KR101938415B1 - 비정상 행위 탐지 시스템 및 방법 - Google Patents

비정상 행위 탐지 시스템 및 방법 Download PDF

Info

Publication number
KR101938415B1
KR101938415B1 KR1020140186019A KR20140186019A KR101938415B1 KR 101938415 B1 KR101938415 B1 KR 101938415B1 KR 1020140186019 A KR1020140186019 A KR 1020140186019A KR 20140186019 A KR20140186019 A KR 20140186019A KR 101938415 B1 KR101938415 B1 KR 101938415B1
Authority
KR
South Korea
Prior art keywords
network connection
network
processes
abnormal
connection information
Prior art date
Application number
KR1020140186019A
Other languages
English (en)
Other versions
KR20160076167A (ko
Inventor
한민호
김익균
이한성
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020140186019A priority Critical patent/KR101938415B1/ko
Publication of KR20160076167A publication Critical patent/KR20160076167A/ko
Application granted granted Critical
Publication of KR101938415B1 publication Critical patent/KR101938415B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 비정상 행위 탐지 시스템 및 방법에 대하여 개시한다. 본 발명의 일면에 따른 비정상 행위 탐지 시스템은, 사용자 PC에 각기 구비되어, 상기 PC에서 실행되는 모든 프로그램의 프로세스 및 네트워크 연결 정보를 수집하여 네트워크로 전송하는 적어도 하나의 에이전트; 상기 에이전트에 의해 수집된 정보를 저장소 내에 저장하는 저장/분석 장치; 상기 프로세스 및 네트워크 연결 정보로부터 기설정된 정상 행위 범위를 벗어나는 확인대상 행위의 존재 여부를 확인하는 탐지 장치를 포함하고, 상기 저장/분석 장치는, 상기 저장소 내 상기 확인대상 행위와 관련된 모든 프로세스 및 네트워크 연결 정보를 검색하고, 검색된 정보를 이용한 군집화 결과와 기정의된 비정상 프로그램에 대한 군집화 결과를 이용하여 상기 확인대상 행위가 이상 행위인지를 확인하는 것을 특징으로 한다.

Description

비정상 행위 탐지 시스템 및 방법{System and Method for Anomaly Detection}
본 발명은 프로그램 이상 행위 탐지 기술에 관한 것으로서, 더 구체적으로는 프로그램의 실행중 프로세스를 이용하여 비정상 행위를 탐지할 수 있는 비정상 행위 탐지 시스템 및 방법에 관한 것이다.
인터넷 인프라의 급속한 발전과 인터넷 보급률 확대에 따라 사용자 PC의 보안을 위협하는 악성 프로그램이 갈수록 지능화, 다양화되고, 악성 프로그램으로 인한 피해 역시도 나날이 커지고 있다.
악성 프로그램들은 사용자 PC에 침투하여 사용자의 의도와는 무관한 작업을 처리하거나 비정상적인 기능을 수행하는 프로그램으로서, 바이러스, 웜, 트로이목마, 백도어, 스파이웨어 등의 프로그램을 통칭한다.
악성 프로그램은 다양한 형태가 존재하지만, 다른 프로그램 또는 운영 체제에 접근하여 코드를 변경시키거나, 정보를 추출하는 동작, 비정상적인 네트워크 패킷을 송수신하는 동작 또는 보안 프로그램으로부터 자신의 존재를 숨기기 위한 은닉 행위와 같은 일반적인 프로그램과는 다른 이상 행동을 수행한다는 공통적인 특징이 있다.
종래의 악의적 행동 탐지 방법은 악의적인 프로그램의 코드를 분석하여 악의적인 프로그램을 제거 가능한 패턴 시그니처를 만들어, 이와 동일한 시그니처를 탐지함에 따라 악의적인 행동을 파악 및 차단하는 방식이 있었다. 그러나, 이 방법은 높은 정확도로 시그니처 동일성 확인함에 따라 알려진 공격 이외에는 탐지할 수 없었다.
본 발명은 전술한 바와 같은 기술적 배경에서 안출된 것으로서, 프로그램의 프로세스 정보를 이용하여 비정상 행위를 탐지할 수 있는 비정상 행위 탐지 시스템 및 방법을 제공하는 것을 그 목적으로 한다.
본 발명의 목적은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일면에 따른 비정상 행위 탐지 시스템은, 사용자 PC에 각기 구비되어, 상기 PC에서 실행되는 모든 프로그램의 프로세스에 관련된 정보를 수집하여 네트워크로 전송하는 적어도 하나의 에이전트; 상기 에이전트에 의해 수집된 정보를 저장소 내에 저장하는 저장/분석 장치; 상기 프로세스에 관련된 정보로부터 기설정된 정상 행위 범위를 벗어나는 확인대상 행위의 존재 여부를 확인하는 탐지 장치를 포함하고, 상기 저장/분석 장치는, 상기 저장소 내 상기 확인대상 행위와 관련된 모든 프로세스와 관련된 정보를 검색하고, 검색된 정보를 이용한 군집화 결과와 기정의된 비정상 프로그램에 대한 군집화 결과를 이용하여 상기 확인대상 행위가 이상 행위인지를 확인하는 것을 특징으로 한다.
본 발명에 따르면, 프로그램의 프로세스 정보를 이용하여 비정상 행위를 탐지할 수 있다.
도 1은 본 발명에 따른 프로그램, 프로세스 및 네트워크 트래픽의 관계를 도시한 도면.
도 2a 및 2b는 본 발명에 따른 비정상 프로그램의 프로세스 및 네트워크 트래픽의 관계를 이용한 군집화 과정을 도시한 흐름도와 도면.
도 3은 본 발명에 따른 비정상 행위 탐지 시스템을 도시한 구성도.
도 4는 본 발명에 따른 비정상 행위 판단 과정을 설명하기 위한 도면.
본 발명의 전술한 목적 및 그 이외의 목적과 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 한편, 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성소자, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성소자, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
이하, 발명의 시스템 구성 및 그 동작 방법을 설명하기에 앞서, 도 1 및 2를 참조하여 본 발명의 실시예에 따른 비정상 행위 탐지 기준을 생성하는 방법에 대하여 설명한다.
도 1은 본 발명의 실시예에 따른 프로그램, 프로세스 및 네트워크 트래픽의 관계를 도시한 도면이고, 도 2a 및 2b는 본 발명의 실시예에 따른 비정상 프로그램의 프로세스 및 네트워크 트래픽의 관계를 이용한 군집화 과정을 도시한 흐름도와 도면이다.
도 1과 같이, PC에서 일 프로그램이 실행되면, 프로세스 생성 시스템 호출을 통해 다수의 프로세스(프로세스1~n)가 생성되고, 생성된 프로세스 중 일부(프로세스 1, 2, 3, 4, n)는 다양한 형태의 네트워크 트래픽을 생성한다.
본 발명에서는 이러한 프로그램의 특징을 이용하여 다수의 비정상 프로그램이 수행될 때 생성되는 프로세스와 네트워크 트래픽의 관계 즉, 프로세스와 네트워크 트래픽 간의 연관규칙 또는 시퀀스 패턴(Sequence Pattern)을 이용하여 행위(특징)에 대한 군집화를 수행하고, 이를 이용하여 비정상 행위를 탐지한다.
다수의 비정상 프로그램의 프로세스 및 네트워크 트래픽과의 관계를 이용한 행위의 군집화 과정은 다음과 같이 수행될 수 있다.
도 2a를 참조하면, 본 발명의 비정상 행위 탐지 시스템(도 3의 30)은 네트워크나, 데이터베이스 등으로부터 이미 알고 있는 비정상 프로그램을 수집한다(S210). 만약, 비정상 행위 탐지 시스템(30)이 비정상 프로그램의 프로세스 및 네트워크 트래픽을 이미 가지고 있다면, 이 단계는 생략될 수 있다.
비정상 행위 탐지 시스템(30)은 수집된 비정상 프로그램을 실행하여 군집화 과정에 사용될 입력변수(즉, 군집화될 변수들)를 추출한다(S220). 여기서, 군집화에 사용될 입력변수는 비정상 프로그램의 실행중 생성된 프로세스와 네트워크 트래픽에 관련된 것이며, 그 구체 내용에 대해서는 이하에서 설명한다.
비정상 행위 탐지 시스템(30)은 복수의 군집화 알고리즘 중에서 하나의 군집화 알고리즘을 선택한 후 입력변수를 군집화한다(S230). 여기서, 비정상 행위 탐지 시스템(30)은 프로세스와 네트워크 트래픽과의 관계를 이용하여 유사한 특징을 갖는 비정상 프로그램을 군집화할 수 있다. 이때, 복수의 군집화 알고리즘 및 군집화 과정은 당업자라면 본 명세서로부터 자명하게 도출할 수 있으므로, 그에 대한 자세한 설명은 생략한다.
전술한 예에서는 비정상 행위 탐지 시스템(30)이 비정상 행위 군집화 과정을 주도적으로 수행하는 경우를 예로 들어 설명하였다. 하지만, 비정상 행위 탐지 시스템(30)은 관리자의 지시에 따라 수동적으로 전술한 과정을 수행할 수도 있음은 물론이다.
한편, 전술한, 군집화 과정에 사용될 입력변수는 다음과 같다.
- 비정상 프로그램에 의해 생성된 프로세스 수
- 비정상 프로그램에 의해 생성된 프로세스 중 네트워크 연결을 가지는 프로세스 수
- 비정상 프로그램에 의해 생성된 프로세스의 총 네트워크 연결 수
- 비정상 프로그램에 의해 생성된 프로세스들의 총 로컬 네트워크 연결(127.0.0.1) 수
- 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 플로우(Network Flow)의 종류
- 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 연결중 타깃 포트(Target Port)가 80인 네트워크 연결 수
- 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 연결중 타깃 포트(Target Port)가 80 이외인 네트워크 연결 수
- 비정상 프로그램에 의해 생성된 프로세스 중 최대 네트워크 연결(Network Connection)을 가지는 프로세스의 최대 네트워크 연결 수
- 비정상 프로그램에 의해 생성된 프로세스 중 네트워크 연결(Network Connection)을 가지는 프로세스의 비율
- 비정상 프로그램에 의해 생성된 프로세스 들이 생성한 네트워크 연결중 로컬(Local) 네트워크 연결의 비율
- 비정상 프로그램에 의해 생성된 프로세스 들이 생성한 네트워크 연결중 타깃 포트(Target Port)가 80인 네트워크 연결의 비율
도 2b의 왼쪽 그림과 같이, 추출된 입력변수들은 점선 타원 내에 있는 복수의 점일 수 있다. 여기서, 점선 타원은 입력변수를 단순히 묶은 것일 수 있다.
도 2b의 오른쪽 그림과 같이, 복수의 타원 내 입력변수들이 군집화되면, 복수의 실선 타원과 같이 군집화될 수 있다.
이하, 도 3 및 도 4를 참조하여 본 발명의 실시예에 따른 비정상 행위 탐지 시스템(30)에 대하여 설명한다. 도 3은 본 발명의 실시예에 따른 비정상 행위 탐지 시스템(30)을 도시한 구성도이고, 도 4는 본 발명의 실시예에 따른 비정상 행위 판단 과정을 설명하기 위한 도면이다.
도 3에 도시된 바와 같이, 본 발명의 실시예에 따른 비정상 행위 탐지 시스템(30)은 복수의 에이전트(310_1~n), 저장/분석 장치(330), 대용량 저장소(340) 및 비정상 행위 탐지 장치(320)를 포함한다. 여기서, 복수의 에이전트(310_1~n), 저장/분석 장치(330) 및 비정상 행위 탐지 장치(320)는 각기 인터넷망으로 연결될 수 있다.
각 에이전트(310_1~n)는 각 사용자 PC에 설치된 소프트웨어 또는 하드웨어로서, 설치된 사용자 PC에서 실행되는 모든 프로그램의 프로세스와 네트워크 연결 정보를 수집한다. 여기서, 사용자는 일반 사용자 및 관리자 등을 포함할 수 있다.
각 에이전트(310_1~n)는 수집된 복수의 프로세스 및 복수의 네트워크 연결 정보를 저장/분석 장치(330)로 전송한다.
여기서, 복수의 프로세스 및 복수의 네트워크 연결 정보는 프로세스 생성시간, 호스트 ID(예컨대, 호스트 IP 주소), 프로세스 ID, 부모 프로세스 ID(Parent Process ID) 및 네트워크 연결을 수반하는 프로세스의 Src.와 Dst. IP 주소, Src.와 Dst. 포트 중 적어도 하나를 포함할 수 있다.
저장/분석 장치(330)는 각 에이전트(310_1~n)로부터 수신한 복수의 프로세스 및 복수의 네트워크 연결 정보를 대용량 저장소(340) 내 저장한다.
비정상 행위 탐지 장치(320)는 기설정된 시점에 대용량 저장소(340) 내 복수의 프로세스 및 복수의 네트워크 연결 정보를 탐지하고, 이 중에서 기정의된 정상 행위 범위를 벗어나는 확인대상 행위가 있는지를 확인한다. 이때, 기정의된 정상 행위 범위는 비정상 행위가 일어나지 않는 상황에서, 네트워크 사용 상황을 적어도 일정시간 동안 모니터링한 결과 정의된 것일 수 있다. 예컨대, 기정의된 정상 행위 범위는 프로세스와 네트워크 연결 정보의 출연 순서 등으로 정의될 수 있다.
비정상 행위 탐지 장치(320)는 기정의된 정상 행위 범위를 벗어나는 확인대상 행위를 탐지하면, 탐지 정보를 저장/분석 장치(330)로 전송한다. 예컨대, 탐지 정보는 확인대상 행위의 탐지 시간 및 확인대상 행위에 대응하는 Src.와 Dst. IP 주소, Src.와 Dst. 포트일 수 있다.
저장/분석 장치(330)는 탐지 정보를 수신하면, 탐지 정보 및 탐지 정보와 관련된 대용량 저장소(340) 내 프로세스 및 네트워크 연결 정보를 검색한다.
그리고, 저장/분석 장치(330)는 검색된 확인대상 행위와 관련된 프로세스 및 네트워크 연결 정보가 군집 내에 존재하는지를 확인한다.
구체적으로, 저장/분석 장치(330)는 확인대상 행위와 관련된 프로세스 및 네트워크 연결 정보를 입력변수로 하는 군집화를 수행하여 분류 결과를 생성하고, 분류 결과가 기정의된 군집화 집단(도 4의 타원 참조) 내에 존재하는지를 확인한다.
만약, 분류 결과가 도 4의 타원 내의 점(A)처럼 군집화 집단 내에 존재하면, 저장/분석 장치(330)는 확인대상 행위를 비정상 행위로 판단한다. 반면, 분류 결과가 도 4의 타원 바깥의 점(B)처럼 군집화 집단 내에 존재하지 않으면, 저장/분석 장치(330)는 확인대상 행위를 정상 행위로 판단할 수 있다.
이와 같이, 본 발명의 실시예는 네트워크 사용 상황을 기반으로 정상 행위 범위를 정의하고, 정상 행위 범위를 벗어나는 확인대상 행위에 대해서는 비정상 프로그램에 대한 군집화 결과를 이용하여 이상 행위를 탐지할 수 있다.
그에 따라, 본 발명의 실시예는 종래의 알려지지 않은 공격 즉, 변형된 공격 등을 탐지하던 기술의 문제점인 오탐(False Positive)의 문제 발생을 현저하게 줄일 수 있다.
이상, 본 발명의 구성에 대하여 첨부 도면을 참조하여 상세히 설명하였으나, 이는 예시에 불과한 것으로서, 본 발명이 속하는 기술분야에 통상의 지식을 가진자라면 본 발명의 기술적 사상의 범위 내에서 다양한 변형과 변경이 가능함은 물론이다. 따라서 본 발명의 보호 범위는 전술한 실시예에 국한되어서는 아니되며 이하의 특허청구범위의 기재에 의하여 정해져야 할 것이다.

Claims (9)

  1. 사용자 PC에 각기 구비되어, 상기 PC에서 실행되는 프로그램의 프로세스 및 네트워크 연결 정보를 수집하여 통신망을 통해 하기의 저장/분석 장치로 전송하는 에이전트;
    상기 프로세스 및 네트워크 연결 정보로부터 기정의된 정상 행위 범위를 벗어나는 확인대상 행위의 존재 여부를 확인하여 탐지 정보를 통신망을 통해 하기의 저장/분석 장치로 전송하는 탐지 장치;
    다수의 비정상 프로그램이 수행될 때 생성되는 프로세스와 네트워크 연결 정보를 입력변수로 사용하여 확인대상 행위에 대한 군집화를 수행하여 저장소에 저장하는 수단; 상기 에이전트로부터 전송된 프로세스 및 네트워크 연결 정보를 저장소에 저장하는 수단; 상기 탐지 장치로부터 전송된 탐지 정보를 수신하여 탐지 정보에 관련된 프로세스 및 네트워크 연결 정보를 저장소에서 검색하는 수단; 검색된 확인대상 행위와 관련된 프로세스 및 네트워크 연결 정보가 군집 내에 존재하는지 확인하는 수단이 포함된 저장/분석 장치를 포함하되,
    상기 탐지 장치는 기설정된 시점에 상기 저장소에 저장된 프로세스 및 네트워크 연결 정보를 탐지하고, 이 중에서 기정의된 정상 행위 범위를 벗어나는 확인대상 행위가 있는지를 확인하는 것을 특징으로 하고,
    상기 저장/분석 장치에서의 상기 군집화를 위한 연결 정보 입력변수는, 비정상 프로그램에 의해 생성된 프로세스 수, 비정상 프로그램에 의해 생성된 프로세스 중 네트워크 연결을 가지는 프로세스 수, 비정상 프로그램에 의해 생성된 프로세스의 총 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스들의 총 로컬 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 플로우의 종류, 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 연결중 타깃 포트가 사전 설정된 개수와 같은 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 연결중 타깃 포트가 사전 설정된 개수와 다른 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스 중 최대 네트워크 연결(Network Connection)을 가지는 프로세스의 최대 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스 중 네트워크 연결(Network Connection)을 가지는 프로세스의 비율, 및 비정상 프로그램에 의해 생성된 프로세스 들이 생성한 네트워크 연결중 로컬(Local) 네트워크 연결의 비율 중에서 선택된 적어도 하나인 것을 특징으로 하는 비정상 행위 탐지 시스템.
  2. 다수의 비정상 프로그램이 수행될 때 생성되는 프로세스와 네트워크 연결 정보를 입력변수로 사용하여 확인대상 행위에 대한 군집화를 수행하여 저장소에 저장하는 수단;
    사용자 PC에 설치되어 PC에서 실행되는 프로그램의 프로세스 및 네트워크 연결 정보를 수집하는 에이전트로부터 통신망을 통해 전송된 프로세스 및 네트워크 연결 정보를 수신하여 저장소에 저장하는 수단;
    상기 프로세스 및 네트워크 연결 정보로부터 기정의된 정상 행위 범위를 벗어나는 확인대상 행위의 존재 여부를 확인하는 탐지 장치로부터 통신망을 통해 전송된 탐지 정보를 수신하여 탐지 정보에 관련된 프로세스 및 네트워크 연결 정보를 저장소에서 검색하는 수단;
    검색된 확인대상 행위와 관련된 프로세스 및 네트워크 연결 정보가 군집 내에 존재하는지 확인하는 수단이 포함된 저장/분석 장치를 포함하되,
    상기 탐지 장치는 기설정된 시점에 상기 저장소에 저장된 프로세스 및 네트워크 연결 정보를 탐지하고, 이 중에서 기정의된 정상 행위 범위를 벗어나는 확인대상 행위가 있는지를 확인하는 것을 특징으로 하고,
    상기 저장/분석 장치에서의 상기 군집화를 위한 연결 정보 입력변수는, 비정상 프로그램에 의해 생성된 프로세스 수, 비정상 프로그램에 의해 생성된 프로세스 중 네트워크 연결을 가지는 프로세스 수, 비정상 프로그램에 의해 생성된 프로세스의 총 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스들의 총 로컬 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 플로우의 종류, 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 연결중 타깃 포트가 사전 설정된 개수와 같은 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 연결중 타깃 포트가 사전 설정된 개수와 다른 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스 중 최대 네트워크 연결(Network Connection)을 가지는 프로세스의 최대 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스 중 네트워크 연결(Network Connection)을 가지는 프로세스의 비율, 및 비정상 프로그램에 의해 생성된 프로세스 들이 생성한 네트워크 연결중 로컬(Local) 네트워크 연결의 비율 중에서 선택된 적어도 하나인 것을 특징으로 하는 비정상 행위 탐지 시스템.
  3. 제1항 또는 제2항에 있어서, 상기 저장/분석 장치의 상기 확인대상 행위에 대한 군집화를 수행하여 저장소에 저장하는 수단은
    네트워크나 데이터베이스로부터 이미 알고 있는 비정상 프로그램을 수집하는 수단,
    수집된 비정상 프로그램을 실행하여 군집화 과정에 사용될, 비정상 프로그램의 실행중 생성된 프로세스와 네트워크 연결에 관련된 입력변수, 즉, 군집화될 변수들을 추출하는 수단,
    복수의 군집화 알고리즘 중에서 하나의 군집화 알고리즘을 선택한 후 입력변수를 군집화하는 수단을 포함하는 비정상 행위 탐지 시스템.
  4. 제1항 또는 제2항에 있어서, 상기 프로세스 및 네트워크 연결 정보는 프로세스 생성시간, 호스트 ID, 프로세스 ID, 부모 프로세스 ID(Parent Process ID), 및 네트워크 연결을 수반하는 프로세스의 Src.와 Dst. IP 주소, Src.와 Dst. 포트 중 적어도 하나를 포함하는 비정상 행위 탐지 시스템.
  5. 제1항 또는 제2항에 있어서, 상기 탐지 정보는 확인대상 행위의 탐지 시간 및 확인대상 행위에 대응하는 Src.와 Dst. IP 주소, Src.와 Dst. 포트 중 적어도 하나를 포함하는 비정상 행위 탐지 시스템.
  6. 제1항 또는 제2항에 있어서, 상기 저장/분석 장치의 검색된 확인대상 행위와 관련된 프로세스 및 네트워크 연결 정보가 군집 내에 존재하는지 확인하는 수단은,
    확인대상 행위와 관련된 프로세스 및 네트워크 연결 정보를 입력변수로 하는 군집화를 수행하여 분류 결과를 생성하고, 분류 결과가 기정의된 군집화 집단 내에 존재하는지를 확인하는 것을 특징으로 하는 비정상 행위 탐지 시스템.
  7. 1) 다수의 비정상 프로그램이 수행될 때 생성되는 프로세스와 네트워크 연결 정보를 입력변수로 사용하여 확인대상 행위에 대한 군집화를 수행하여 저장소에 저장하는 절차,
    2) 사용자 PC에 설치되어 PC에서 실행되는 프로그램의 프로세스 및 네트워크 연결 정보를 수집하는 에이전트로부터 통신망을 통해 전송된 프로세스 및 네트워크 연결 정보를 수신하여 저장소에 저장하는 절차,
    3) 상기 프로세스 및 네트워크 연결 정보로부터 기정의된 정상 행위 범위를 벗어나는 확인대상 행위의 존재 여부를 확인하는 탐지 장치로부터 통신망을 통해 전송된 탐지 정보를 수신하여 탐지 정보에 관련된 프로세스 및 네트워크 연결 정보를 저장소에서 검색하는 절차,
    4) 검색된 확인대상 행위와 관련된 프로세스 및 네트워크 연결 정보가 군집 내에 존재하는지 확인하는 절차를 포함하되,
    상기 절차 3)의 상기 탐지 장치는 기설정된 시점에 상기 저장소에 저장된 프로세스 및 네트워크 연결 정보를 탐지하고, 이 중에서 기정의된 정상 행위 범위를 벗어나는 확인대상 행위가 있는지를 확인하는 것을 특징으로 하고,
    상기 절차 1)에서의 상기 군집화를 위한 연결 정보 입력변수는, 비정상 프로그램에 의해 생성된 프로세스 수, 비정상 프로그램에 의해 생성된 프로세스 중 네트워크 연결을 가지는 프로세스 수, 비정상 프로그램에 의해 생성된 프로세스의 총 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스들의 총 로컬 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 플로우의 종류, 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 연결중 타깃 포트가 사전 설정된 개수와 같은 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 연결중 타깃 포트가 사전 설정된 개수와 다른 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스 중 최대 네트워크 연결(Network Connection)을 가지는 프로세스의 최대 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스 중 네트워크 연결(Network Connection)을 가지는 프로세스의 비율, 및 비정상 프로그램에 의해 생성된 프로세스 들이 생성한 네트워크 연결중 로컬(Local) 네트워크 연결의 비율 중에서 선택된 적어도 하나인 것을 특징으로 하는 비정상 행위 탐지 방법.
  8. 제7항에 있어서, 상기 절차 1)의 확인대상 행위에 대한 군집화를 수행하여 저장소에 저장하는 절차는
    네트워크나 데이터베이스로부터 이미 알고 있는 비정상 프로그램을 수집하는 절차,
    수집된 비정상 프로그램을 실행하여 군집화 과정에 사용될, 비정상 프로그램의 실행중 생성된 프로세스와 네트워크 연결에 관련된 입력변수, 즉, 군집화될 변수들을 추출하는 절차,
    복수의 군집화 알고리즘 중에서 하나의 군집화 알고리즘을 선택한 후 입력변수를 군집화하는 절차를 포함하는 비정상 행위 탐지 방법.
  9. 제7항에 있어서, 상기 절차 4)의 검색된 확인대상 행위와 관련된 프로세스 및 네트워크 연결 정보가 군집 내에 존재하는지 확인하는 절차는,
    확인대상 행위와 관련된 프로세스 및 네트워크 연결 정보를 입력변수로 하는 군집화를 수행하여 분류 결과를 생성하고, 분류 결과가 기정의된 군집화 집단 내에 존재하는지를 확인하는 것을 특징으로 하는 비정상 행위 탐지 방법.
KR1020140186019A 2014-12-22 2014-12-22 비정상 행위 탐지 시스템 및 방법 KR101938415B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140186019A KR101938415B1 (ko) 2014-12-22 2014-12-22 비정상 행위 탐지 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140186019A KR101938415B1 (ko) 2014-12-22 2014-12-22 비정상 행위 탐지 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20160076167A KR20160076167A (ko) 2016-06-30
KR101938415B1 true KR101938415B1 (ko) 2019-01-15

Family

ID=56352665

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140186019A KR101938415B1 (ko) 2014-12-22 2014-12-22 비정상 행위 탐지 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101938415B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102156600B1 (ko) * 2019-11-20 2020-09-16 (주)케이사인 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100877911B1 (ko) * 2008-01-31 2009-01-12 전남대학교산학협력단 네트워크 트래픽 전이 모델을 이용한 피투피 기반 봇넷탐지방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100877911B1 (ko) * 2008-01-31 2009-01-12 전남대학교산학협력단 네트워크 트래픽 전이 모델을 이용한 피투피 기반 봇넷탐지방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102156600B1 (ko) * 2019-11-20 2020-09-16 (주)케이사인 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법

Also Published As

Publication number Publication date
KR20160076167A (ko) 2016-06-30

Similar Documents

Publication Publication Date Title
US10659478B2 (en) Identifying stealth packets in network communications through use of packet headers
US10104124B2 (en) Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program
RU2613535C1 (ru) Способ обнаружения вредоносных программ и элементов
KR102210627B1 (ko) 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템
CN109711171A (zh) 软件漏洞的定位方法及装置、系统、存储介质、电子装置
US20170061126A1 (en) Process Launch, Monitoring and Execution Control
CN107968791B (zh) 一种攻击报文的检测方法及装置
KR101236822B1 (ko) Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체
EP2854362B1 (en) Software network behavior analysis and identification system
US20180013778A1 (en) Apparatus and method for detecting abnormal behavior
US20150188933A1 (en) Dynamic selection of network traffic for file extraction and shellcode detection
EP3474174B1 (en) System and method of adapting patterns of dangerous behavior of programs to the computer systems of users
US10819717B2 (en) Malware infected terminal detecting apparatus, malware infected terminal detecting method, and malware infected terminal detecting program
CN102957673B (zh) 一种信息的处理方法、设备和系统
CN105791250B (zh) 应用程序检测方法及装置
CN111291372B (zh) 一种基于软件基因技术对终端设备文件检测的方法及装置
KR101938415B1 (ko) 비정상 행위 탐지 시스템 및 방법
KR101625890B1 (ko) 인터넷 응용 트래픽 프로토콜의 시그니처 변경 탐지를 위한 테스트 자동화 방법 및 시스템
KR20200092508A (ko) IoT 기기 악성코드 분석을 위한 대규모 허니팟 시스템
KR101880689B1 (ko) 악성코드 진단장치 및 방법
US20210058414A1 (en) Security management method and security management apparatus
CN106411816B (zh) 一种工业控制系统、安全互联系统及其处理方法
KR20180101868A (ko) 악성 행위 의심 정보 탐지 장치 및 방법
US10599845B2 (en) Malicious code deactivating apparatus and method of operating the same
CN106790280B (zh) 网络攻击的应急排查方法及装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant