KR101712462B1 - Ip 위험군 탐지 시스템 - Google Patents
Ip 위험군 탐지 시스템 Download PDFInfo
- Publication number
- KR101712462B1 KR101712462B1 KR1020160133384A KR20160133384A KR101712462B1 KR 101712462 B1 KR101712462 B1 KR 101712462B1 KR 1020160133384 A KR1020160133384 A KR 1020160133384A KR 20160133384 A KR20160133384 A KR 20160133384A KR 101712462 B1 KR101712462 B1 KR 101712462B1
- Authority
- KR
- South Korea
- Prior art keywords
- module
- candidate
- risk
- group
- malicious
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 탐지 대상인 IP 정보를 수집하는 IP후보군 점검대상 수집 모듈, 상기 IP후보군 중 최근 점검대상에 포함된 IP가 존재하는지를 검증하는 이력 검증모듈, 상기 이력 검증모듈에 의해 점검대상으로 판단된 후보 IP군의 악성여부를 점검 요청하고 결과를 수집하는 점검모듈, 상기 점검모듈의 요청에 의해 악성IP 여부를 분석, 판단하는 외부 시스템, 상기 외부 시스템을 통해 수집된 결과를 기반으로 IP군의 위험수준을 측정하는 위험수준 평가모듈 및 DB를 통해 로그성 데이터를 저장, 관리하는 DB 관리모듈을 포함하는 IP 위험군 탐지 시스템으로서, 본 발명에 의하면, 악성 IP의 위험군을 다양한 기준에 따라 체계적으로 분류하고 직관적으로 시각화함으로써, 악성코드를 유포하거나 유포할 가능성이 있는 IP 위험군을 탐지, 관리하여 네트워크 보안에 취약하지 않도록 한다.
Description
본 발명은 네트워크 보안 기술에 관한 것으로서, 보다 상세하게는 악성코드가 접속하는 C&C 서버 및 악성코드 전파에 이용되는 악성유포지 및 경유지 사이트를 자동으로 탐지 및 수집하는 시스템에 관한 것이다.
과거 일 평균 10종 내외로 발견되었던 악성코드가 최근 10년 동안 급격히 증가하여 오늘날에는 55,000종 이상의 악성코드가 발견되고 있다.
정보통신 기술의 발달과 더불어 IP를 통해 전파가 되는 악성코드 또한 갈수록 진화되어 가고 있고, 바이러스와 같이 전파되는 악성코드의 전파경로 또한 파악하는 데 한계가 있다.
악성코드를 대처하기 위해 개발되는 백신에 의한 처방은 사후적인 조치에 불과하고, 한번 전파되면 쉽게 번지게 되는 특성상 전파경로 내지 초기 유포지를 원천적으로 차단할 필요가 있으나, 복잡한 네트워크 경로로 인해 이를 파악하고 예방 조치하는 데 한계가 있다.
이상의 배경기술에 기재된 사항은 발명의 배경에 대한 이해를 돕기 위한 것으로서, 이 기술이 속하는 분야에서 통상의 지식을 가진 자에게 이미 알려진 종래기술이 아닌 사항을 포함할 수 있다.
본 발명은 상술한 문제점을 해결하고자 안출된 것으로서, 본 발명은 악성 IP의 위험군을 다양한 기준에 따라 체계적으로 분류하고 직관적으로 시각화함으로써, 악성코드를 유포하거나 유포할 가능성이 있는 IP 위험군을 탐지, 관리하여 네트워크 보안에 취약하지 않도록 하기 위한 IP 위험군 탐지 시스템을 제공하는 데 그 목적이 있다.
본 발명의 일 관점에 의한 IP 위험군 탐지 시스템은, 탐지 대상인 IP 정보를 수집하는 IP후보군 점검대상 수집 모듈, 상기 IP후보군 중 최근 점검대상에 포함된 IP가 존재하는지를 검증하는 이력 검증모듈, 상기 이력 검증모듈에 의해 점검대상으로 판단된 후보 IP군의 악성여부를 점검 요청하고 결과를 수집하는 점검모듈, 상기 점검모듈의 요청에 의해 악성IP 여부를 분석, 판단하는 외부 시스템, 상기 외부 시스템을 통해 수집된 결과를 기반으로 IP군의 위험수준을 측정하는 위험수준 평가모듈 및 DB를 통해 로그성 데이터를 저장, 관리하는 DB 관리모듈을 포함한다.
상기 점검대상 수집모듈은, 상기 외부시스템으로부터 악성IP 및 URL 정보를 제공받는 후보IP 및 URL 수집모듈 및 상기 후보IP 및 URL 수집모듈에 의해 수집한 정보 중 URL 정보를 IP주소로 변환하는 URL-IP 주소변환모듈을 포함하는 것을 특징으로 한다.
그리고, 상기 이력 검증모듈은, 상기 IP 후보군에 대해 과거 점검 이력을 확인하는 이력 확인모듈 및 상기 이력 확인모듈을 통해 수집된 결과에 의해 후보 IP의 점검여부를 결정하는 점검여부 결정모듈을 포함하는 것을 특징으로 한다.
또한, 상기 점검모듈은, 상기 후보 IP의 /24, /16 Prefix 변환 IP를 상기 외부서비스에 요청하는 IP Prefix 변환 및 점검 요청모듈 및 상기 IP Prefix 변환 및 점검 요청모듈에 의해 확인된 결과를 수집하는 결과수집 및 변환 처리모듈를 포함하는 것을 특징으로 한다.
나아가, 상기 위험수준 평가모듈은, 상기 후보 IP군의 연속성 여부 및 상기 후보 IP군의 악성 IP 개수를 바탕으로 상기 후보 IP군의 위험수준을 평가하는 IP 위험수준 측정모듈 및 상기 IP 위험수준 측정모듈에 의한 평가 정보를 상기 DB에 저장하기 위한 포맷으로 변환하는 측정결과 처리모듈을 포함하는 것을 특징으로 한다.
여기서, 상기 후보 IP군의 연속성 여부는 일련의 IP 연속성 및 악성 IP 간 밀집성 수준을 고려한 심각도(Severity)를 고려하여 위험수준을 평가하는 것을 특징으로 한다.
그리고, 상기 DB에 저장된 정보를 바탕으로 IP군의 위험수준을 시각화하는 시각화 모듈을 더 포함할 수 있다.
본 발명의 IP 위험군 탐지 시스템에 의하면, 인터넷의 정상적 사용을 침해하는 공격자들이 사용하는 IP들의 위험 IP들의 현황을 실시간, 직관적으로 파악하여, 궁극적으로 전체 IP들 중 악성 IP군을 추출하는 것이 가능하다.
그리고, 이기종 보안시스템들이 클라우드 기반으로 자신들이 필요한 후보 IP의 위험수준을 요청, 분석, 처리, 결과 데이터를 제공할 수 있고(API 기반으로 관련요청 처리), 질의에 따른 후보 IP의 위험수준 정보를 제공하여 다양한 보안시스템에 적용, 이용할 수가 있다.
또한, 현재 존재하는 IP의 위험성 외에 잠재적인 악성 IP를 판별할 수 있어, 다양한 이기종 시스템에게 해당 정보를 제공하여 악성 IP의 차단 및 방어에 응용할 수 있게 한다.
도 1은 본 발명에 의한 IP 위험군 탐지시스템을 개념적으로 도시한 것이다.
도 2는 본 발명에 의한 IP 위험군 탐지시스템의 동작 흐름을 개념적으로 도시한 것이다.
도 3은 본 발명에 의한 IP 위험군 탐지시스템의 일 구성을 개념적으로 도시한 것이다.
도 2는 본 발명에 의한 IP 위험군 탐지시스템의 동작 흐름을 개념적으로 도시한 것이다.
도 3은 본 발명에 의한 IP 위험군 탐지시스템의 일 구성을 개념적으로 도시한 것이다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시 예를 예시하는 첨부 도면 및 첨부 도면에 기재된 내용을 참조하여야만 한다.
본 발명의 바람직한 실시 예를 설명함에 있어서, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지의 기술이나 반복적인 설명은 그 설명을 줄이거나 생략하기로 한다.
본 발명의 IP 위험군 탐지시스템은 외부의 악성코드관련 분석시스템으로부터 추출된 IP 및 URL의 자동 연동, 유입하기 위한 API 인터페이스, 그 인터페이스로부터 유입된 후보(Candidate) IP 및 사용자에 의해 수동으로 기입되는 후보 IP 또는 후보 IP가 존재하지 않을 때 백그라운드로 임의의 후보 IP를 생성하여 운영되는 IP군을 포함하는 후보IP 수집모듈, 그 후보 IP들 중 URL를 IP주소로 변환시키는 URL-IP주소변환모듈과 후보IP의 Whois 등록정보를 바탕으로 구매자의 IP대역을 추출하는 후이지 등록정보 추출기 (Whois Registration Information Extractor), 후보IP를 기준으로 과거 점검이력을 확인하여 정책적으로 점검여부를 결정하는 이력검증모듈, 그 이력검증결과에 따라 수행이 결정된 후보IP에 대해 후보IP의 IP군을 추출하여 순차적으로 외부의 바이러스 확인서비스(Virus Verification Service)로 점검을 요청하는 점검기능과 점검결과를 회수하는 점검모듈, 수집결과를 바탕으로 후보IP군의 위험수준을 연속성과 그의 밀집성, 개수, 시간측면에서 평가하는 위험수준평가모듈, 고/중/저 위험군 수준 및 각 단위별로 평가된 결과 정보를 각각 저장하거나 그 외의 수행결과를 저장하는 DB(각 DB는 편의에 따라 다중 분리 가능), DB에 각각 저장된 결과정보를 검색할 수 있도록 인터페이스를 제공하는 DB 관리모듈 및 결과정보를 통계처리하고, Social Network Analysis, Data Mining을 통해 유사성, 연관성을 파악하고 이를 그룹별로 시각화 하는 시각화 모듈을 포함함으로써 구현된다. 이 시각화 모듈에는 레포팅 기능도 포함한다.
이러한 본 발명에 의한 IP 위험군 탐지 시스템의 구체적인 구성을 도 1 내지 3을 참조하여 설명하기로 한다.
도 1은 본 발명에 의한 IP 위험군 탐지시스템을 개념적으로 도시한 것이고, 도 2는 본 발명에 의한 IP 위험군 탐지시스템의 동작 흐름을 개념적으로 도시한 것이며, 도 3은 본 발명에 의한 IP 위험군 탐지시스템의 일 구성을 개념적으로 도시한 것이다.
위험 IP를 식별하기 위해서는 IP가 악성적으로 사용되었는지를 식별할 수 있는 식별 값이 필요한데, 본 명세서에서는 이러한 식별 값의 집합을 IP 위험군으로 정의한다. 개별 위험 IP에 대해서는 단일 위험 IP로 정의한다.
그리고 자세히 후술하겠지만, 요청되는 단일 후보 IP에 대한 같은 Zone에 포함되어 있는 후보 IP 주변의 위험성 여부를 검증하게 되는데, 여기서 Zone은 IP의 /16, /24 Prefix에 관련된 IP 들이다.
본 발명의 일 실시 예에 따른 IP 위험군 탐지시스템은 점검대상수집모듈(10), 이력검증모듈(20), 점검모듈(30), 외부시스템(40), 위험수준평가모듈(50), DB관리모듈(60), 시각화모듈(70)을 포함할 수 있다.
점검대상 수집모듈(10)은 후보IP 및 URL 수집모듈(11)과 URL-IP 주소변환모듈(12)을 포함할 수 있고, 이력 검증모듈(20)은 이력 확인모듈(21), 점검여부 결정모듈(22)을 포함할 수 있고, 점검모듈(30)은 IP Prefix 변환 및 점검 요청모듈(31)과 결과수집 및 변환 처리모듈(32)을 포함할 수 있고, 외부시스템(40)은 악성IP/URL 수집시스템(41)과 악성IP/URL 검증서비스(42)를 포함하고 그 중 악성IP/URL검증서비스(42)은 바이러스 확인서비스(예: VirusTotal, Scan4you 등)를 포함할 수 있고, 위험수준 평가모듈(50)은 IP 위험수준 측정모듈(51)과 측정결과 처리모듈(52)을 포함할 수 있고, DB 관리모듈(60)은 저장 DB(61)를 포함할 수 있고, 시각화모듈(70)은 DB 관리모듈(60)과 연동되는 수집 결과 DB들의 데이터 결과를 프리젠트 하는 기능을 포함하고 있다.
후보IP 및 URL 수집모듈(11)은 외부시스템(40)의 악성IP/URL 수집시스템(41)으로부터 악성IP/URL에 대한 결과를 제공받는 인터페이스 모듈과 사용자의 수동 IP의 입력을 제공하는 인터페이스를 제공하는 모듈일 수 있다.
구체적으로, 후보IP 및 URL 수집모듈(11)은 외부시스템(40)의 악성코드 탐지/분석시스템의 결과로부터 추출되는 수집 IP나 URL에 대해 웹을 통한 XML 문서형태나 별도의 API를 통해 IP정보를 제공받는 형태로, 그 중 IP와 URL만을 추출하여 사용하고, 수동 입력으로 제공되는 IP나 URL에 대해 DB 관리모듈(60)을 통해 DB(61)에 저장하는 모듈이다.
비록, 도 1에는 도식화하지 않았으나, 후보IP 및 URL 수집모듈(110)에 입력된 IP/URL 정보를 원활하게 처리하기 위해 DB에 저장함과 동시에 별도의 로컬파일, 임시버퍼 또는 큐서버로 순차적으로 입력, 처리되도록 관리할 수 있다.
한편, IP 위험군 탐지시스템은 모든 데이터 처리를 IP 중심으로 시각화하여 처리, 진행하기 때문에, 수집된 데이터 중 URL은 URL-IP주소변환모듈(12)을 통해 IP주소로 변환하게 된다. 그러나, URL의 경우 점검모듈(30)을 통한 요청검증은 URL과 IP 모두를 또는 URL 만을 선택적으로 처리할 수 있다.
특히, 모든 후보 IP들은 Whois를 통해 사용자등록정보를 확인하여, inetnum, country, auth 정보를 추출한다. 추출 정보 중 inetnum는 /16 또는 /24 IP Prefix와 교집합이 되는 IP군을 고위험 IP군으로 분류한다. 고속 정보 추출을 위해 GeoIP를 사용할 수 있다.
수집된 후보 IP는 이력 확인모듈(21)을 통해 과거 점검 이력(메타정보)을 확인하여, 과거 IP의 악성여부를 확인하고, 최종 점검시간을 기준으로 점검여부를 결정한다.
점검여부 결정모듈(22)은 사용자의 정책기준에 따라 임계치를 설정할 수 있고, 경과시간과 정해진 정책시간을 비교하는 것에 의해 판단하게 된다.
경과시간이 정책시간보다 큰가를 기준으로, 정책시간의 기준이 "0일"인 경우, 후보IP에 대해 강제적 점검을 수행하고, "3일"인 경우, 3일 이전에 점검이력이 있을 경우 점검수행을 중지하게 한다.
임계치 설정은 시스템의 성능을 높이고, 중복점검의 가능성을 회피하기 위한 것이다. 만일 이력확인모듈(21)에 의해 후보 IP의 과거 이력이 없거나, 과거 정상 IP로 등록되어 있을 경우(동일 임계치 적용하여 진행 여부 결정), 임계치를 벗어나는 해당 후보 IP는 강제적으로 점검 수행이 이루어진다.
일단, 점검여부 결정모듈(22)에 의해 점검수행이 결정되면, 해당 후보 IP는 의심 IP로 분류되어 의심 플래그(Flag)가 1로 설정된다. 최종 결과에 따라, Flag는 0(정상)으로 변환될 수 있다.
시각화 모듈(70)에서 Flag를 기준으로 최신 악성정보를 구분하고 결과들을 표현하기 위해 설정할 수 있다.
IP Prefix 변환 및 점검 요청모듈(31)은 일단, 후보IP를 /24, /16 Prefix 기반으로 후보 IP군을 리스트 한다.
예를 들어, 123.123.123.3일 경우, 후보 IP군은 /24 Prefix의 경우, 123.123.123.0~123.123.123.255가 된다.
사용자에 따라, /24 Prefix 만을 사용할 수도 있고, /24, /16 Prefix를 함께 리스트하여 의심IP군(A group of suspicious IPs)으로 사용할 수 도 있다.
의심IP군은 순차적으로 악성IP/URL 검증서비스(42)에게 위험IP 여부를 확인 요청한다.
IP Prefix 변환 및 점검 요청모듈(31)에 의해 확인된 결과는 결과수집 및 변환 처리모듈(32)에 의해 처리된다. 이 모듈은 점검요청에 따른 결과를 리턴 받아, 위험수준평가모듈(50)이 처리할 수 있는 포맷으로 변경하여 전달하게 된다.
주요 데이터 포맷은 <요청시간><분석시간><IP><URL><악성여부><최초탐지시간><탐지비율><파일이름><해쉬값>이다.
특히, IP Prefix 변환 및 점검 요청모듈(31)은 병렬로 운영되어 악성IP/URL검증서비스(42)들에게 병렬로 요청할 수 있고, 사용자는 다중의 악성IP/URL 검증서비스(42)를 이용하여 서로 다른 서비스 결과를 동시에 제공받을 수 있다.
따라서, 각기 다른 결과를 취급하기 위해 동일 포맷으로 결과를 최적화하기 위한 과정이 결과수집 및 변환 처리모듈(32)에 포함될 수 있다.
도 1에는 포함되지 않았지만, 결과처리모듈 중 사용자가 수동으로 입력하여 처리하는 모듈이 별도로 존재할 수 있다.
대부분의 악성IP/URL 검증서비스(42)들은 모든 IP 위험군에 대한 정보를 가지고 있지 않은 관계로, 사용자가 수집한 임의의 정보를 수동 처리할 수 있는 데이터입력 인터페이스 모듈을 별도로 운영할 수 있다.
악성IP/URL 검증서비스(42)는 외부시스템으로 IP나 URL들이 과거 악성코드 전파를 위해 사용되었는지에 대한 정보를 관리하고 요청에 따라 정보를 제공하는 시스템으로 바이러스 확인서비스라고 불리는 시스템들이다.
이들 시스템들은 VirusTotal과 Scan4you 등 다양한 서비스들이 존재하고 있다. IP위험군 탐지시스템은 이들 서비스를 이용하여 정보를 수집한다.
IP 위험수준 측정모듈(51)은 크게 동일 IP Prefix를 가진 IP군의 위험수준을 평가하기 위해 IP의 일련성(연속성)의 존재, 악성IP의 수, 시간차 값을 이용한다.
IP의 연속성은 악성IP 사이의 밀집성과 관련이 있고, 시간차는 악성IP가 최초로 탐지된 시간을 나타낸다.
시간차에 대한 임계치는 다양할 수 있고, 일반적으로 6개월을 초과하면 그 효력은 상실할 수 있다. 위험수준 측정은 2단계를 통해 이루어진다.
일단, 최종결과를 바탕으로 의심 IP군은 확인된 위험IP, 고위험 잠재IP, 중위험 잠재IP, 저위험 잠재IP, 정상IP로 1차 분류하고, 확인된 위험IP는 추가적인 Whois의 inetnum를 기준으로 위험도를 재설정한다.
예를들어 123.123.123.3과 123.123.123.6이 확인된 위험IP라면, 123.123.123.4와 123.123.123.5는 고위험 잠재IP가 되고, 123.123.123.1~2와 123.123.123.7~8은 중위험 잠재IP가 된다. 또한 123.123.123.9~255는 저위험 잠재IP가된다. 고/중/저 위험 잠재IP의 임계치 범위는 사용자에 따라 탄력적으로 적용될 수 있다.
그러나, Whois 결과, 위험IP 123.123.123.3의 inetnum이 123.123.123.0~123.123.123.15라면 해당 존(Zone)의 모든 IP는 고위험 잠재IP가 된다. 단, 123.123.123.3과 123.123.123.6는 위험IP로 명명한다.
서술한 바와 같이 고/중/저 잠재위험IP의 정의는 사용자에 따라 다른 기준을 적용, 분류 정의할 수 있다. 예외적으로, inetnum이 대량의 IP를 관리하는 ISP나 신뢰할만한 중견기업 이상의 IP일 경우, inetnum의 원칙은 제외된다. 사전에 해당 whitelist IP군을 정의하여 사용할 수 있다.
특히, 123.123.123.3과 123.123.123.6이 확인된 위험IP들이고, 그들 사이의 123.123.123.4~5 처럼 그 사이 간격이 매우 친밀할 경우 고위험잠재IP일 확률이 높다고 정의할 수 있다. 친밀도(Closeness Rate)는 다양한 수집결과를 바탕으로 값을 조정 변화할 수 있다. 일단, 최초 친밀도 간격은 기준(default) 5를 설정한다.
두번째로, 악성IP수와 악성IP의 최초탐지시간을 이용하여 전체적인 동일 IP군의 위험수준을 결정한다. 악성IP수는 IP군의 전체적인 위험IP수, 고/중/저위험 잠재IP수를 통합하여 결정한다. 물론 각각의 IP는 최초탐지시간과 연관성을 가져야 한다.
악성IP군이 6개월 이후의 경우, 고위험 IP군은 중/저위험 IP군으로 낮게 전환될 수 있다. 즉, 시간경과에 따라 위험수준은 낮아진다고 볼 수 있기 때문이다.
측정결과 처리모듈(52)은 DB에 저장하기 위한 포맷 형식으로 변환하여 DB 관리모듈(60)을 통해 DB(61)에 저장한다. 이 DB(61)에 저장된 데이터 정보는 검색에 이용될 수 있다.
즉, DB 관리모듈(60)은 정보의 저장뿐만 아니라, 저장된 정보의 검색관련 각종 트랜잭션을 생성 처리하는 역할을 수행한다. 특히, 시각화 모듈(70)을 통해 위험 IP군의 Social Network Analysis 또는 데이터마이닝(R등)을 통한 연관성과 유사성, 동일성을 찾는 데 이용될 수 있다. 시각화 모듈(70)은 별도의 GUI 인터페이스를 가질 수 있다.
이와 같이, 본 발명에 의한 IP위험군 탐지시스템은 다양한 외부보안시스템에게 IP의 위험 정보를 실시간 제공함으로써, 다양한 악성코드 공격에 효율적으로 이용될 수 있다.
이상과 같은 본 발명은 예시된 도면을 참조하여 설명되었지만, 기재된 실시 예에 한정되는 것이 아니고, 본 발명의 사상 및 범위를 벗어나지 않고 다양하게 수정 및 변형될 수 있음은 이 기술의 분야에서 통상의 지식을 가진 자에게 자명하다. 따라서 그러한 수정 예 또는 변형 예들은 본 발명의 특허청구범위에 속한다 하여야 할 것이며, 본 발명의 권리범위는 첨부된 특허청구범위에 기초하여 해석되어야 할 것이다.
10 : 점검대상 수집모듈
11 : 후보IP 및 URL 수집모듈
12 : URL-IP 주소변환모듈
20 : 이력 검증모듈
21 : 이력 확인모듈
22 : 점검여부 결정모듈
30 : 점검모듈
31 : IP Prefix 변환 및 점검 요청모듈
32 : 결과수집 및 변환 처리모듈
40 : 외부 시스템
41 : 악성IP/URL 수집 시스템
42 : 악성IP/URL 검증 서비스
50 : 위험수준 평가모듈
51 : IP 위험수준 측정모듈
52 : 측정결과 처리모듈
60 : DB 관리모듈
61 : DB
70 : 시각화 모듈
11 : 후보IP 및 URL 수집모듈
12 : URL-IP 주소변환모듈
20 : 이력 검증모듈
21 : 이력 확인모듈
22 : 점검여부 결정모듈
30 : 점검모듈
31 : IP Prefix 변환 및 점검 요청모듈
32 : 결과수집 및 변환 처리모듈
40 : 외부 시스템
41 : 악성IP/URL 수집 시스템
42 : 악성IP/URL 검증 서비스
50 : 위험수준 평가모듈
51 : IP 위험수준 측정모듈
52 : 측정결과 처리모듈
60 : DB 관리모듈
61 : DB
70 : 시각화 모듈
Claims (7)
- 탐지 대상인 IP 정보를 수집하는 IP후보군 점검대상 수집 모듈;
상기 IP후보군 중 최근 점검대상에 포함된 IP가 존재하는지를 검증하는 이력 검증모듈;
상기 이력 검증모듈에 의해 점검대상으로 판단된 후보 IP군의 악성여부를 점검 요청하고 결과를 수집하는 점검모듈;
상기 점검모듈의 요청에 의해 악성IP 여부를 분석, 판단하는 외부 시스템;
상기 외부 시스템을 통해 수집된 결과를 기반으로 IP군의 위험수준을 측정하는 위험수준 평가모듈; 및
DB를 통해 로그성 데이터를 저장, 관리하는 DB 관리모듈을 포함하고,
상기 위험수준 평가모듈은,
상기 후보 IP군의 연속성 여부, 상기 후보 IP군의 악성 IP 개수 및 시간차 값을 바탕으로 상기 후보 IP군의 위험수준을 평가하는 IP 위험수준 측정모듈; 및
상기 IP 위험수준 측정모듈에 의한 평가 정보를 상기 DB에 저장하기 위한 포맷으로 변환하는 측정결과 처리모듈을 포함하되,
상기 후보 IP군의 연속성 여부는 일련의 IP 연속성 및 악성 IP 간 밀집성 수준을 고려한 심각도(Severity)를 고려하여 확인된 위험IP, 고위험 잠재IP, 중위험 잠재IP, 저위험 잠재IP, 정상IP로 분류하고, 상기 후보 IP군의 연속성 여부에 의한 분류와 악성 IP수 및 악성IP의 최초탐지시간을 이용하여 위험수준을 결정하는 것을 특징으로 하는,
IP 위험군 탐지 시스템. - 청구항 1에 있어서,
상기 점검대상 수집모듈은,
상기 외부시스템으로부터 악성IP 및 URL 정보를 제공받는 후보IP 및 URL 수집모듈; 및
상기 후보IP 및 URL 수집모듈에 의해 수집한 정보 중 URL 정보를 IP주소로 변환하는 URL-IP 주소변환모듈을 포함하는 것을 특징으로 하는,
IP 위험군 탐지 시스템. - 청구항 2에 있어서,
상기 이력 검증모듈은,
상기 IP 후보군에 대해 과거 점검 이력을 확인하는 이력 확인모듈; 및
상기 이력 확인모듈을 통해 수집된 결과에 의해 후보 IP의 점검여부를 결정하는 점검여부 결정모듈을 포함하는 것을 특징으로 하는,
IP 위험군 탐지 시스템. - 청구항 3에 있어서,
상기 점검모듈은,
상기 후보 IP의 /24, /16 Prefix 변환 IP를 상기 외부시스템에 요청하는 IP Prefix 변환 및 점검 요청모듈; 및
상기 IP Prefix 변환 및 점검 요청모듈에 의해 확인된 결과를 수집하는 결과수집 및 변환 처리모듈를 포함하는 것을 특징으로 하는,
IP 위험군 탐지 시스템. - 삭제
- 삭제
- 청구항 4에 있어서,
상기 DB에 저장된 정보를 바탕으로 IP군의 위험수준을 시각화하는 시각화 모듈을 더 포함하는,
IP 위험군 탐지 시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160133384A KR101712462B1 (ko) | 2016-10-14 | 2016-10-14 | Ip 위험군 탐지 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160133384A KR101712462B1 (ko) | 2016-10-14 | 2016-10-14 | Ip 위험군 탐지 시스템 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101712462B1 true KR101712462B1 (ko) | 2017-03-06 |
Family
ID=58399222
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020160133384A KR101712462B1 (ko) | 2016-10-14 | 2016-10-14 | Ip 위험군 탐지 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101712462B1 (ko) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107920055A (zh) * | 2017-09-27 | 2018-04-17 | 中国银联股份有限公司 | 一种ip风险评价方法以及ip风险评价系统 |
| GB2571830A (en) * | 2018-03-07 | 2019-09-11 | Fujitsu Ltd | Recording medium on which evaluating program is recorded, evaluating method, and information processing apparatus |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20120071826A (ko) * | 2010-12-23 | 2012-07-03 | 한국인터넷진흥원 | 악성코드 경유-유포지 탐지 시스템 |
| KR20150133370A (ko) * | 2014-05-19 | 2015-11-30 | 주식회사 케이티 | 웹서비스 접속제어 시스템 및 방법 |
| KR101658174B1 (ko) * | 2016-04-04 | 2016-09-20 | 김강석 | 웹 사이트를 통한 지능형 지속위협 대응시스템 및 방법 |
-
2016
- 2016-10-14 KR KR1020160133384A patent/KR101712462B1/ko active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20120071826A (ko) * | 2010-12-23 | 2012-07-03 | 한국인터넷진흥원 | 악성코드 경유-유포지 탐지 시스템 |
| KR20150133370A (ko) * | 2014-05-19 | 2015-11-30 | 주식회사 케이티 | 웹서비스 접속제어 시스템 및 방법 |
| KR101658174B1 (ko) * | 2016-04-04 | 2016-09-20 | 김강석 | 웹 사이트를 통한 지능형 지속위협 대응시스템 및 방법 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107920055A (zh) * | 2017-09-27 | 2018-04-17 | 中国银联股份有限公司 | 一种ip风险评价方法以及ip风险评价系统 |
| CN107920055B (zh) * | 2017-09-27 | 2020-08-25 | 中国银联股份有限公司 | 一种ip风险评价方法以及ip风险评价系统 |
| GB2571830A (en) * | 2018-03-07 | 2019-09-11 | Fujitsu Ltd | Recording medium on which evaluating program is recorded, evaluating method, and information processing apparatus |
| US11336663B2 (en) | 2018-03-07 | 2022-05-17 | Fujitsu Limited | Recording medium on which evaluating program is recorded, evaluating method, and information processing apparatus |
| GB2571830B (en) * | 2018-03-07 | 2022-11-09 | Fujitsu Ltd | Recording medium on which evaluating program is recorded, evaluating method, and information processing apparatus |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
| US10721245B2 (en) | Method and device for automatically verifying security event | |
| KR101666177B1 (ko) | 악성 도메인 클러스터 탐지 장치 및 방법 | |
| US8683585B1 (en) | Using file reputations to identify malicious file sources in real time | |
| US7434261B2 (en) | System and method of identifying the source of an attack on a computer network | |
| KR101827197B1 (ko) | 로그 분석 시스템 | |
| KR102293773B1 (ko) | 인공지능을 사용한 네트워크 트래픽 분석 장치 및 방법 | |
| KR101811973B1 (ko) | 로그 분석 시스템 | |
| JP6697123B2 (ja) | プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム | |
| US11270001B2 (en) | Classification apparatus, classification method, and classification program | |
| JP6717206B2 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム | |
| Xiao et al. | From patching delays to infection symptoms: Using risk profiles for an early discovery of vulnerabilities exploited in the wild | |
| KR101788410B1 (ko) | 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법 | |
| CN112887341B (zh) | 一种外部威胁监控方法 | |
| EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
| EP3144845B1 (en) | Detection device, detection method, and detection program | |
| US20140344931A1 (en) | Systems and methods for extracting cryptographic keys from malware | |
| KR101535529B1 (ko) | Apt 공격 분석을 위한 의심파일 및 추적정보 수집 방법 | |
| KR101712462B1 (ko) | Ip 위험군 탐지 시스템 | |
| KR101488271B1 (ko) | Ids 오탐 검출 장치 및 방법 | |
| KR20070077517A (ko) | 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법 | |
| Kim et al. | A study on a cyber threat intelligence analysis (CTI) platform for the proactive detection of cyber attacks based on automated analysis | |
| Chiba et al. | Botprofiler: Profiling variability of substrings in http requests to detect malware-infected hosts | |
| US20200334353A1 (en) | Method and system for detecting and classifying malware based on families | |
| KR100977827B1 (ko) | 악성 웹 서버 시스템의 접속탐지 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20200204 Year of fee payment: 4 |