KR101951730B1 - Total security system in advanced persistent threat - Google Patents

Total security system in advanced persistent threat Download PDF

Info

Publication number
KR101951730B1
KR101951730B1 KR1020160144841A KR20160144841A KR101951730B1 KR 101951730 B1 KR101951730 B1 KR 101951730B1 KR 1020160144841 A KR1020160144841 A KR 1020160144841A KR 20160144841 A KR20160144841 A KR 20160144841A KR 101951730 B1 KR101951730 B1 KR 101951730B1
Authority
KR
South Korea
Prior art keywords
malicious software
monitoring
unit
user terminal
server
Prior art date
Application number
KR1020160144841A
Other languages
Korean (ko)
Other versions
KR20180047935A (en
Inventor
소준영
전석기
Original Assignee
주식회사 아이티스테이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 아이티스테이션 filed Critical 주식회사 아이티스테이션
Priority to KR1020160144841A priority Critical patent/KR101951730B1/en
Publication of KR20180047935A publication Critical patent/KR20180047935A/en
Application granted granted Critical
Publication of KR101951730B1 publication Critical patent/KR101951730B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

본 발명은 유해 사이트를 통제하고, 악성 소프트웨어를 차단하고, 관리자 모드 접근에 대한 보안을 강화하며 네트워크 외 사용에 대한 통제를 강화할 수 있는 보안 시스템을 제공하고자 한다.
이를 위해 본 발명의 실시예에 따른 보안 시스템은, 서버와 사용자 단말 및 상기 서버와 사용자 단말 사이에서 보안을 수행하는 보안 장치를 포함하는 보안 시스템에 있어서, 서버는, 보안 장치의 차단 로그 정보를 수집하는 로그 수집부, 시스템 사용자의 인터넷 프로토콜(IP)을 수집하고 통신망 주소 변환기(NAT)를 통해 변환된 IP에서 실제 사용자 IP를 추출하여 수집하는 IP 수집부, 차단 로그 정보의 IP 수집부의 IP별 발생 횟수가 소정의 임계값인 제1 임계값을 초과하는지 판단하고 해당 로그 및 해당 IP(감시 IP)를 추출하는 제1 판단부, 제1 판단부가 제1 임계값을 초과하는 것으로 판단한 경우 상기 사용자 단말이 상기 감시 IP와 통신하는지 여부를 감지하는 감시부, 감시부를 통해 감시 IP와 사용자 단말이 통신하는 경우 차단 로그의 악성소프트웨어(MalWare)의 해쉬(hash)값을 기준 해쉬값과 비교한 후 1차적 악성소프트웨어 여부를 판단하는 제2 판단부, 제2 판단부를 통해 1차적 악성소프트웨어라고 판단한 경우에는 사용자 단말이 다운로드한 파일 및 URL을 기초로 최종적으로 악성소프트웨어 여부를 판단하는 제3 판단부, 제2 판단부를 통해 1차적 악성소프트웨어가 아니라고 판단된 경우에는 차단 로그의 악성소프트웨어를 기저장된 악성소프트웨어 데이터베이스와 비교하여 판단하는 악성소프트웨어 감시 서버, 제3 판단부 및 악성소프트웨어 감시 서버를 통해 나온 악성소프트웨어가 적용된 연관 IP 정보 및 사용자 단말이 다운로드한 파일과 URL을 미러링 데이터로 저장하는 미러링 데이터베이스부를 포함하는 것을 특징으로 한다.
이를 통해 기존 보안 장비에서 활용되지 못한 NAT IP 및 공유기 IP로 사용자 별로 IP를 검출하여 보다 체계적인 보안 시스템을 구축할 수 있다.The present invention provides a security system capable of controlling harmful sites, blocking malicious software, enhancing security for administrator mode access, and strengthening control over non-network use.
To this end, a security system according to an embodiment of the present invention includes a server, a user terminal, and a security device that performs security between the server and the user terminal, wherein the server collects blocking log information of the security device An IP collecting unit for collecting Internet users' Internet Protocol (IP) and extracting and extracting actual user IP from the converted IP through a network address translator (NAT); A first judging unit for judging whether the number of times exceeds a first threshold value which is a predetermined threshold value and for extracting a corresponding log and a corresponding IP (monitoring IP) A monitoring unit for detecting whether or not the monitoring IP communicates with the monitoring IP; and a malicious software (MalWare And a second judging unit for judging whether the malicious software is the primary malicious software after comparing the hash value of the malicious software with the reference hash value, A malicious software monitoring server for comparing the malicious software in the blocking log with the previously stored malicious software database when it is determined that the malicious software is not the primary malicious software through the third determination unit and the second determination unit, A third determination unit, and a mirroring database unit for storing related IP information to which malicious software derived from the malicious software monitoring server is applied, and a file and URL downloaded by the user terminal as mirroring data.
Through this, it is possible to construct a more systematic security system by detecting IP by user with NAT IP and router IP which is not utilized in existing security equipment.

Description

지능형 지속위협 환경에서의 통합 보안 시스템{TOTAL SECURITY SYSTEM IN ADVANCED PERSISTENT THREAT}{TOTAL SECURITY SYSTEM IN ADVANCED PERSISTENT THREAT}

본 발명은 보안 시스템에 관한 것으로, 보다 자세하게는 유해 사이트를 통제하고, 악성 소프트웨어를 차단하고, 관리자 모드 접근에 대한 보안을 강화하며 네트워크 외 사용에 대한 통제를 강화할 수 있는 보안 시스템에 관한 것이다.The present invention relates to a security system, and more particularly, to a security system capable of controlling a harmful site, blocking malicious software, enhancing security for administrator mode access, and strengthening control over non-network use.

요즘 PC를 포함한 IT 디바이스들은 다양한 장비 및 어플리케이션으로 인해서 보안 홀(hole)이 늘어나고 있는 상황이고, 다양한 형태의 공격으로 인해 정확한 공격을 탐지하기란 매우 어려운 상황이다.Nowadays IT devices including PCs are increasing in security holes due to various equipment and applications, and it is very difficult to detect correct attacks due to various types of attacks.

일반적으로 신종 또는 변종 바이러스를 치료하기 위해서 사용자가 자신의 컴퓨터에 이상 징후를 발견한 후 문제를 유발시킨 해당 프로그램을 찾아 백신 업체에 신고하게 되고, 백신 업체는 신고 접수된 파일을 컴퓨터 바이러스 또는 해킹 기능이 포함되어 있는지 분석 후 해당 악성코드에 대한 진단 및 차단 백신을 제작하고 배포하여 더 이상의 다른 컴퓨터 사용자의 컴퓨터 시스템에 유입되지 않도록 악성 프로그램을 차단한다.Generally, in order to treat a new or variant virus, the user finds an abnormal symptom on his computer and then finds the program causing the problem and reports the virus to the vaccine company. The malicious code is diagnosed and blocked and the malicious program is blocked from being transferred to another computer user's computer system.

현재 발견된 수많은 종류의 컴퓨터 바이러스는 누군가 먼저 해당 바이러스에 감염되어 피해를 본 후 신고된 것이 대부분이다. 그런데 최근 알려진 컴퓨터 바이러스와 해킹 프로그램들은 고도의 은닉 기법을 사용하고 있기 때문에, 컴퓨터 사용자가 직접 악성 코드를 찾기가 어렵고, 심지어 자신의 컴퓨터에 컴퓨터 바이러스에 의해 감염되어 있는지 조차 모르는 경우가 많다.Many of the computer viruses that have been found are mostly reported after someone has been infected with the virus first. However, recently known computer viruses and hacking programs use a high level of concealment techniques, so it is often difficult for computer users to find malicious code, and even if they are infected by computer viruses on their computers.

따라서 백신 업체로 바이러스 감염에 대한 신고가 늦어지고, 백신 제작이 늦어져서 바이러스로 인한 피해가 커질 뿐만 아니라, 그 피해가 다른 컴퓨터로 더 크게 확산되기도 한다. 한편, 이를 극복하고자, 백신업체들은 사용자 신고에만 의존하지 않고 신종 및 변조 바이러스를 조기에 확보하기 위한 방안이 제시되고 있다. 일례로 사용자 컴퓨터 단말(PC)에 새로 유입되는 실행 프로그램을 실시간으로 감지하여 해당 프로세스의 기능이 컴퓨터 바이러스의 특성과 유사할 경우 이를 샘플로 수집한다. 백신업체는 수집된 샘플을 분석하여 악성코드로 판정되면 바이러스 백신을 만들어 업데이트를 배포한다.As a result, not only are vaccine vendors reporting virus infections late, vaccine production is delayed, causing damage from viruses, and the damage spread to other computers. On the other hand, in order to overcome this, vaccine vendors are suggesting ways to secure new and modified viruses early without resorting to user reporting. For example, if a function of the process is similar to a characteristic of a computer virus, the program is collected as a sample. The vaccine vendor analyzes the collected samples and distributes the updates by creating antivirus if it is determined to be malicious code.

상기와 같이 실행되는 프로그램(또는 프로세스)을 검사하여 악성프로세스를 검출하는 종래 기술로, 한국특허공개 제2009-0080220호(2009.7.24 공개)의 "유해 프로세스 검출/차단 재발방지 방법"이 개시되어 있다. As a conventional technique for detecting a malicious process by inspecting a program (or a process) to be executed as described above, Korean Patent Laid-Open Publication No. 2009-0080220 (published on July 24, 2009) have.

이 종래 기술은 실행프로세스의 종류를 데이터베이스화하여 문제가 되는 악성프로세스를 찾아 제거하거나 실행을 하지 못하도록 차단(blocking)시키는 유해 프로세스 검출/차단 방법에 관한 것이다.This prior art relates to a harmful process detection / blocking method for blocking malicious processes by finding out malicious processes that are problematic or blocking them from being executed by converting the types of execution processes into databases.

그러나 상기 종래 기술은 이미 실행되고 있는 프로그램을 검사한다는 것에 한계점이 존재한다. 즉, 새로 유입되는 실행 프로그램을 감시한다는 것도 이미 악성코드가 설치되어 실행되었다는 것을 의미한다. 따라서 악성코드가 유입되어 설치되는 순간을 알지 못하기 때문에, 악성코드의 모든 설치 정보(신규 파일 생성, 기존 파일 변경 등)를 확보하지 못한다. 이로 인해, 백신업체의 실행프로그램 실시간 감시 기술은 실행 프로그램 자체만을 분석하여 실행 중 관련 파일만을 수집하는 단점이 있다.However, there is a limitation in that the above-mentioned conventional technique checks an already executed program. In other words, monitoring new inflow executable programs means that malicious code has already been installed and running. Therefore, it does not know the moment when malicious code is installed and installed, so it can not secure all installation information (creation of new file, change of existing file, etc.) of malicious code. As a result, the real-time monitoring technology of the execution program of the vaccine company has a disadvantage of analyzing only the execution program itself and collecting only related files during execution.

또한, 종래의 백신업체의 실행프로그램 실시간 감시 기술은 샘플을 수집하여 악성코드를 분석하였더라도 백신이 제작되어 배포된 후에야 대응이 가능하므로 악성코드 분석과 동시에 대응할 수 없는 단점도 있다. In addition, the real-time monitoring technology of the execution program of the conventional vaccine company can not cope with the malicious code analysis because the vaccine can be dealt with only after the vaccine is produced and distributed even if the sample is collected and the malicious code is analyzed.

한편, 상기와 같은 실행프로그램 실시간 감시 기술의 문제점을 극복하기 위하여, 시스템 커널에서 발생하는 특정 이벤트들, 예를 들어, 특정 파일의 쓰기, 특정 프로그램의 실행 등이 발생할 때, 프로세스(또는 프로그램)를 검사하는 기술들이 제시되고 있다.Meanwhile, in order to overcome the problem of the above-mentioned real-time monitoring program execution technology, when a specific event occurring in the system kernel, for example, writing of a specific file, execution of a specific program, Techniques for inspection are presented.

이와 같은 기술의 일예인 종래 기술 한국특허공개 제2007-0121195호(2007.12.27 공개)의 "시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템 및 방법" 발명은, 커널 계층에서 실시간 시스템 자원 접근시 제공되는 시스템 이벤트 정보를 이용하여 프로세스 리스트를 추출하여 응용 계층에서 사용자에게 제공되는 프로세스 리스트와의 비교를 통해 커널 계층에만 제공되는 프로세스를 은닉 프로세스로 검출하고 제거하여 실시간으로 시스템에 존재하는 은닉 프로세스를 탐지하는 기술을 개시하고 있다.The present invention relates to a system and method for detecting a hidden process using system event information in Korean Patent Application Publication No. 2007-0121195 (published on Dec. 27, 2007), which is an example of such a technology. A process of extracting a process list using event information and comparing the process list with a process list provided to a user in an application layer, detects a hidden process existing in the system in real time by detecting and removing a process provided only in the kernel layer as a hidden process .

그러나 상기 종래 기술은 시스템 이벤트가 발생되는 커널 계층에서 프로세스를 검사하므로 시스템에 부하가 가중될 수 있는 문제점이 있다.However, the conventional art has a problem that the load on the system may be increased because the kernel layer that generates the system event checks the process.

또한, 상기 종래 기술은 응용 레벨에서 실행 프로그램을 검사하고 커널 레벨에서 시스템 이벤트를 검사하는 차이는 있지만 신종 또는 변종 악성코드를 찾아내기 위해 컴퓨터 단말 자체의 정보에만 의존하고 있어 침입탐지시스템, 침입차단시스템, DDoS 전용 장비, 보안관제시스템 등 다른 보안시스템에서 먼저 침입을 탐지하였을 경우 탐지 정보를 활용할 수 없어 대응이 늦어질 수 있다.In addition, although the above-described prior art has a difference in inspecting an execution program at an application level and inspecting a system event at a kernel level, it relies only on the information of the computer terminal itself in order to find a new or variant malicious code, , DDoS dedicated equipment, security control system, etc., it is possible to delay the response because it can not use the detection information.

따라서, 상기 종래 기술들의 문제점을 효과적으로 해결하고 보완할 수 있는 기술의 개발이 절실히 요구되고 있는 상태라 할 것이다.Accordingly, there is an urgent need to develop a technique that can effectively solve and solve the problems of the conventional techniques.

본 발명은 유해 사이트를 통제하고, 악성 소프트웨어를 차단하고, 관리자 모드 접근에 대한 보안을 강화하며 네트워크 외 사용에 대한 통제를 강화할 수 있는 보안 시스템을 제공하고자 한다.The present invention provides a security system capable of controlling harmful sites, blocking malicious software, enhancing security for administrator mode access, and strengthening control over non-network use.

본 발명이 해결하고자 하는 과제는 이상에서 언급된 과제로 제한되지 않는다. 언급되지 않은 다른 기술적 과제들은 이하의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The problems to be solved by the present invention are not limited to the above-mentioned problems. Other technical subjects not mentioned may be clearly understood by those skilled in the art from the following description.

본 발명의 실시예에 따른 보안 시스템은, 서버와 사용자 단말 및 상기 서버와 사용자 단말 사이에서 보안을 수행하는 보안 장치를 포함하는 보안 시스템에 있어서, 상기 서버는, 상기 보안 장치의 차단 로그 정보를 수집하는 로그 수집부, 상기 시스템 사용자의 인터넷 프로토콜(IP)을 수집하고 통신망 주소 변환기(NAT)를 통해 변환된 IP에서 실제 사용자 IP를 추출하여 수집하는 IP 수집부, 상기 차단 로그 정보의 상기 IP 수집부의 IP별 발생 횟수가 소정의 임계값인 제1 임계값을 초과하는지 판단하고 해당 로그 및 해당 IP(감시 IP)를 추출하는 제1 판단부, 상기 제1 판단부가 상기 제1 임계값을 초과하는 것으로 판단한 경우 상기 사용자 단말이 상기 감시 IP와 통신하는지 여부를 감지하는 감시부, 상기 감시부를 통해 상기 감시 IP와 상기 사용자 단말이 통신하는 경우 상기 차단 로그의 악성소프트웨어(MalWare)의 해쉬(hash)값을 기준 해쉬값과 비교한 후 1차적 악성소프트웨어 여부를 판단하는 제2 판단부, 상기 제2 판단부를 통해 1차적 악성소프트웨어라고 판단한 경우에는 상기 사용자 단말이 다운로드한 파일 및 URL을 기초로 최종적으로 악성소프트웨어 여부를 판단하는 제3 판단부, 상기 제2 판단부를 통해 1차적 악성소프트웨어가 아니라고 판단된 경우에는 상기 차단 로그의 악성소프트웨어를 기저장된 악성소프트웨어 데이터베이스와 비교하여 판단하는 악성소프트웨어 감시 서버, 상기 제3 판단부 및 악성소프트웨어 감시 서버를 통해 나온 악성소프트웨어가 적용된 연관 IP 정보 및 상기 사용자 단말이 다운로드한 파일과 URL을 미러링 데이터로 저장하는 미러링 데이터베이스부를 포함하는 것을 특징으로 한다.A security system according to an embodiment of the present invention includes a server, a user terminal, and a security device that performs security between the server and the user terminal, wherein the server collects blocking log information of the security device An IP collecting unit for collecting Internet protocols of the system user and extracting and collecting actual user IPs from IPs converted through a network address translator (NAT) A first judging unit for judging whether the number of occurrences per IP exceeds a first threshold value which is a predetermined threshold value and for extracting a corresponding log and a corresponding IP (surveillance IP), a case where the first judging unit exceeds the first threshold value A monitoring unit configured to detect whether the user terminal communicates with the monitoring IP when it is determined that the user terminal is in communication with the monitoring IP; A second judging unit for comparing the hash value of malicious software (MalWare) of the blocking log with the reference hash value and judging whether or not the malicious software is the primary malicious software; when judging the primary malicious software through the second judging unit Malicious software of the blocking log in the case where it is determined that the malicious software is not the primary malicious software through the second determination unit, based on the file and the URL downloaded by the user terminal; Related IP information to which malicious software derived from the malicious software monitoring server compares with the stored malicious software database, the third determination unit, and the malicious software monitoring server, and a file and a URL downloaded by the user terminal are stored as mirroring data And a mirroring database unit The.

또한, 상기 서버는, 관리자 모드로의 접근을 감지하여 접속 차단 여부를 결정하는 제4 판단부를 더 포함하고, 상기 제4 판단부는, 상기 미러링 데이터에 기초하여 관리자 모드로의 접근이 감지되면 작업 허용 시간 내에서 이루어지는지 판단하고, 허용 시간 초과의 경우에는 상기 사용자 단말에 관리자 응답 요청 신호를 전송하고, 상기 요청 신호에 상응하는 응답 신호를 전송받으면 패스워드 입력 일치 여부를 판단한 후 불일치하면 불일치 횟수 또는 불일치 시간으로 이루어지는 불일치 임계값 초과 여부를 통해 다시 상기 작업 허용 시간 내에 있는지 판단하거나(불일치 임계값 이하) 상기 감시부를 통해 상기 감시 IP와 상기 사용자 단말이 통신하는지 여부를 감지하는(불일치 임계값 초과) 것을 특징으로 한다.The server may further include a fourth determination unit for determining whether to block access by detecting access to the administrator mode and the fourth determination unit may determine that access to the administrator mode is permitted based on the mirroring data, If it is determined that the input of the password is not within the time limit, the controller transmits a manager response request signal to the user terminal. If the response signal is received, (A mismatch threshold value or less) through the monitor whether the monitoring IP communicates with the user terminal through the monitoring unit (exceeding the mismatch threshold value) by determining whether the mismatch threshold exceeds the mismatch threshold again .

또한, 상기 서버는, 상기 차단 로그 정보의 위장 공격을 탐지하기 위해 상기 제1 임계값을 소정 시간 동안 감소시키는 위장 공격 탐지부를 더 포함하는 것을 특징으로 한다.The server may further include a spoofing attack detecting unit for decreasing the first threshold value for a predetermined time to detect a spoofing attack of the blocking log information.

또한, 상기 서버는, 상기 미러링 데이터를 기초로 위험도가 낮은 정보로 이루어지는 화이트리스트를 결정하고 저장하는 화이트리스트 모듈과 상기 사용자 단말의 네트워크에서 파밍, 피싱, 악성코드 및 정보유출 중 하나 이상인 감시 대상을 감시하기 위해 IP SCAN 모듈, Port SCAN 모듈, 화이트리스트 외 세션 감지 모듈, 내부 네트워크 연결 감지 모듈로 이루어지는 네트워크 감시부를 더 포함하는 것을 특징으로 한다.The server may further include a white list module for determining and storing a white list composed of low-risk information on the basis of the mirroring data, and a white list module for detecting and storing at least one of pharming, phishing, malicious code, And a network monitoring unit including an IP SCAN module, a Port SCAN module, a whitelist session detection module, and an internal network connection detection module.

또한, 상기 네트워크 감시부는, 상기 감시 대상의 발생 횟수가 소정 임계값인 제2 임계값을 초과하면 해당 소프트웨어의 악성 여부를 판단하기 위한 정보를 상기 제2 판단부로 전송하는 것을 특징으로 한다.The network monitoring unit may transmit information for determining whether the software is malicious if the number of occurrences of the monitoring target exceeds a second threshold value, which is a predetermined threshold value, to the second determination unit.

또한, 상기 서버는, 통계 분석부를 더 포함하고, 상기 통계 분석부는, 상기 화이트리스트 외 세션의 일별 네트워크 통계와 상기 사용자 단말 별 일일 통계 평균 데이터를 소정 기준 범위와 비교하여 상기 기준 범위를 초과하는 경우에 소정 기간 동안 이루어진 소프트웨어 다운로드 정보를 획득한 후 상기 다운로드 정보를 상기 제2 판단부로 전송하는 것을 특징으로 한다.The server further includes a statistical analysis unit, wherein the statistical analysis unit compares the daily network statistics of the out-of-white list session and the daily average statistical data of each user terminal with a predetermined reference range, And transmits the download information to the second determination unit after acquiring software download information for a predetermined period.

본 발명의 실시예에 의하면, 기존 보안 장비에서 활용되지 못한 NAT IP 및 공유기 IP로 사용자 별로 IP를 검출하여 보다 체계적인 보안 시스템을 구축할 수 있다.According to the embodiment of the present invention, it is possible to construct a more systematic security system by detecting IPs for each user with the NAT IP and the router IP not utilized in the existing security equipment.

또한, 관리자와 일반 사용자를 구별하여 실제 중요 서버에 접근하는 패턴에 대해 능동적인 대처 효과를 달성할 수 있다.In addition, it is possible to achieve an active coping effect on a pattern of accessing a real important server by distinguishing between an administrator and a general user.

또한, 판별된 실제 공격 패턴을 해쉬(hash)화하여 같은 방식의 공격 패턴을 빠르게 탐지할 수 있는 효과가 있다.Also, it has an effect of quickly detecting an attack pattern of the same type by hashing the identified actual attack pattern.

또한, 탐지된 공격 패턴이 가지는 해쉬값을 타 사이트와 공유하여 보다 정밀한 보안 탐지가 가능하도록 할 수 있다.In addition, the hash value of the detected attack pattern can be shared with other sites, thereby enabling more accurate security detection.

도 1은 종래 보안 시스템의 구조 및 문제점을 도시한 개략도이다.
도 2는 본 발명의 실시예에 따른 보안 시스템의 구성을 도시한 블록도이다.
도 3은 본 발명의 실시예에 따른 보안 시스템의 서버 구성을 도시한 블록도이다.
도 4는 본 발명의 실시예에 따른 보안 시스템의 네트워크 감시부 구성을 도시한 블록도이다.
도 5는 본 발명의 실시예에 따른 보안 시스템의 MalWare 판단 과정을 도시한 순서도이다.
도 6은 본 발명의 실시예에 따른 보안 시스템의 관리자 모드 접근에 따른 보안 프로세스를 도시한 순서도이다.
도 7은 본 발명의 실시예에 따른 보안 시스템의 내부 네트워크 감시 과정을 도시한 순서도이다.
도 8은 본 발명의 실시예에 따른 보안 시스템의 통계 정보를 이용한 보안 프로세스에 대한 순서도이다.1 is a schematic diagram showing the structure and problems of a conventional security system.
2 is a block diagram illustrating the configuration of a security system according to an embodiment of the present invention.
3 is a block diagram illustrating a server configuration of a security system according to an embodiment of the present invention.
4 is a block diagram illustrating a configuration of a network monitoring unit of a security system according to an embodiment of the present invention.
5 is a flowchart illustrating a MalWare determination process of the security system according to the embodiment of the present invention.
6 is a flowchart illustrating a security process according to an administrator mode approach of a security system according to an embodiment of the present invention.
7 is a flowchart illustrating an internal network monitoring process of a security system according to an embodiment of the present invention.
8 is a flowchart illustrating a security process using statistical information of a security system according to an embodiment of the present invention.

본 발명의 다른 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되는 실시 예를 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예는 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.Other advantages and features of the present invention and methods of achieving them will become apparent with reference to the embodiments described below in detail with reference to the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as being limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the concept of the invention to those skilled in the art. Is provided to fully convey the scope of the invention to those skilled in the art, and the invention is only defined by the scope of the claims.

만일 정의되지 않더라도, 여기서 사용되는 모든 용어들(기술 혹은 과학 용어들을 포함)은 이 발명이 속한 종래 기술에서 보편적 기술에 의해 일반적으로 수용되는 것과 동일한 의미를 가진다. 일반적인 사전들에 의해 정의된 용어들은 관련된 기술 그리고/혹은 본 출원의 본문에 의미하는 것과 동일한 의미를 갖는 것으로 해석될 수 있고, 그리고 여기서 명확하게 정의된 표현이 아니더라도 개념화되거나 혹은 과도하게 형식적으로 해석되지 않을 것이다.Unless defined otherwise, all terms (including technical or scientific terms) used herein have the same meaning as commonly accepted by the generic art in the prior art to which this invention belongs. Terms defined by generic dictionaries may be interpreted to have the same meaning as in the related art and / or in the text of this application, and may be conceptualized or overly formalized, even if not expressly defined herein I will not.

본 명세서에서 사용된 용어는 실시 예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 본 명세서에서 사용되는 '포함한다' 및/또는 이 동사의 다양한 활용형들은 언급된 구성요소, 동작 및/또는 소자 외의 하나 이상의 다른 구성요소, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다. 공지된 구성에 대한 일반적인 설명은 본 발명의 요지를 흐리지 않기 위해 생략될 수 있다. 본 발명의 도면에서 동일하거나 상응하는 구성에 대하여는 가급적 동일한 도면부호가 사용된다.The terminology used herein is for the purpose of illustrating embodiments and is not intended to be limiting of the present invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification. As used herein, various uses of " comprises " and / or the verb do not exclude the presence or addition of one or more other elements, acts, and / or elements other than the mentioned elements, operations, and / or elements. A general description of known configurations may be omitted so as not to obscure the gist of the present invention. In the drawings of the present invention, the same reference numerals are used as many as possible for the same or corresponding configurations.

이하, 도면을 참조하여 본 발명의 실시예에 따른 보안 시스템에 대하여 상세히 설명한다.Hereinafter, a security system according to an embodiment of the present invention will be described in detail with reference to the drawings.

먼저, 본 발명의 실시예에 따른 보안 시스템의 장점에 대해 종래 기술과 비교하여 설명하기 위해 도 1을 기초로 이하에서 설명한다.First, the advantages of the security system according to the embodiment of the present invention will be described below with reference to FIG. 1 in order to compare with the prior art.

도 1은 종래 보안 시스템의 구조 및 문제점을 도시한 개략도이다.1 is a schematic diagram showing the structure and problems of a conventional security system.

종래 보안 시스템의 경우 도 1에 도시된 바와 같이 해당 서버의 관리가 이루어지는 시스템은 인터넷과의 접속이 처음 라우터를 통해 이루어진다. 종래 보안 시스템의 경우 보안 장치로 서버존 방화벽, 웹 방화벽, 내부 방화벽 등을 구비하고 있는데 최근에는 이러한 보안 장치를 무력화시킬 수 있는 방법들이 나타나고 있어서 이에 대한 해결책 개발이 요구되고 있다.In the conventional security system, as shown in FIG. 1, a system in which a server is managed is connected to the Internet through a router for the first time. Conventional security systems include a server zone firewall, a web firewall, an internal firewall, and the like as security devices. Recently, there have been developed methods for disabling such security devices, and development of a solution thereof has been required.

종래 보안 시스템의 문제점을 좀 더 살펴보면, 도 1에 도시된 바와 같이 보안 이벤트 중 NAT(IP 주소 변환기, 사설 IP 주소를 공인 IP 주소로 변환)를 통해 변환된 IP에 대한 방어가 효과적으로 이루어지고 있지 않다. 즉, 보안 장치에서 전송받은 NAT IP로 내부 사용자 추적이 불가능한 것이 주된 문제점이다.As shown in FIG. 1, the protection of IPs converted through NAT (IP address translator, private IP address to public IP address) among security events is not effectively performed . In other words, it is a main problem that the internal user can not be traced to the NAT IP transmitted from the security device.

또한, 방화벽에서 관리자 PC의 중요 서버로 접속하는 이벤트가 발생할 경우에, 비정상적인 관리자 PC의 중요 서버 접속 상황을 모니터링할 수 없는 문제점이 있다.In addition, there is a problem that when an event of accessing from the firewall to the important server of the manager PC occurs, monitoring of the important server connection status of the abnormal manager PC can not be performed.

이와 같은 문제점들을 효과적으로 해결하기 위해 본 발명의 실시예에 따른 보안 시스템을 제안하고자 한다.In order to solve these problems effectively, a security system according to an embodiment of the present invention is proposed.

본 발명의 실시예에 따른 보안 시스템의 구성에 대해 도 2 내지 도 4를 기초로 이하에서 상세히 설명한다. 도 2는 본 발명의 실시예에 따른 보안 시스템의 구성을 도시한 블록도이고, 도 3은 본 발명의 실시예에 따른 보안 시스템의 서버 구성을 도시한 블록도이며, 도 4는 본 발명의 실시예에 따른 보안 시스템의 네트워크 감시부 구성을 도시한 블록도이다.The configuration of a security system according to an embodiment of the present invention will be described in detail below with reference to Figs. 2 to 4. Fig. FIG. 2 is a block diagram illustrating the configuration of a security system according to an embodiment of the present invention. FIG. 3 is a block diagram illustrating a server configuration of a security system according to an embodiment of the present invention. FIG. 5 is a block diagram illustrating a network monitoring unit configuration of a security system according to an example.

도 2에 도시된 바와 같이 본 발명의 실시예에 따른 보안 시스템은, 보안 장치(10), 서버(100) 및 사용자 단말(200)로 이루어질 수 있다. 보안 장치(10)는 일반적으로 현재 사용되고 있는 보안 장치로 이루어질 수 있다. 즉, 인터넷을 통해 외부에서 특정 시스템에 접속이 이루어지는 경우 비정상적인 이벤트가 발생하거나 차단이 필요한 프로그램이라고 판단되는 경우 차단을 수행하는 보안 장치가 적용될 수 있다.As shown in FIG. 2, the security system according to the embodiment of the present invention may include a security device 10, a server 100, and a user terminal 200. The security device 10 can generally be a security device that is currently in use. That is, when a connection to a specific system is performed from the outside via the Internet, a security device that performs blocking when it is determined that an abnormal event occurs or a program that needs to be blocked is applied.

또한, 서버(100)는 보장 장치(10)로부터 전송 받은 다양한 접속 정보를 처리하고 사용자 단말(200)로 상기 접속 정보를 전송하며 다시 사용자 단말로부터 정보를 수신하여 다시 인터넷을 통해 외부로 보내는 역할을 수행한다. 효과적인 보안 작동을 수행하기 위한 서버(100)의 세부 동작 과정은 아래에서 상술한다.In addition, the server 100 processes various access information received from the guarantee device 10, transmits the access information to the user terminal 200, receives information from the user terminal 200, and sends the information to the outside via the Internet again . The detailed operation process of the server 100 for performing an effective security operation will be described in detail below.

또한, 사용자 단말(200)은 서버(100)에 연결되어 인터넷 망에 접속하는 사용자가 사용하는 단말로 PC 또는 기타 통신 단말을 포함할 수 있다. 도 2에 도시된 바와 같이 사용자 단말(200)은 하나 이상이 구비될 수 있다.Also, the user terminal 200 may include a PC or other communication terminal as a terminal used by a user connected to the server 100 and accessing the Internet. As shown in FIG. 2, one or more user terminals 200 may be provided.

다음으로 본 발명의 실시예에 따른 보안 시스템의 서버(100) 세부 구성을 도 3 내지 도 4를 보면 다음과 같다. 서버(100)는 로그 수집부(101), IP 수집부(102), 제1 판단부(103), 감시부(104), 제2 판단부(105), 제3 판단부(106), MalWare 감시 서버(107), 미러링 DB부(108), 제4 판단부(109), 위장 공격 탐지부(110), 화이트리스트 모듈(111), 네트워크 감시부(112) 및 통계 분석부(113)를 포함한다.Next, the detailed configuration of the server 100 of the security system according to the embodiment of the present invention will be described with reference to FIG. 3 to FIG. The server 100 includes a log collecting unit 101, an IP collecting unit 102, a first determining unit 103, a monitoring unit 104, a second determining unit 105, a third determining unit 106, The monitoring server 107, the mirroring DB unit 108, the fourth determination unit 109, the camouflage attack detection unit 110, the whitelist module 111, the network monitoring unit 112, and the statistical analysis unit 113 .

로그 수집부(101)는 보안 장치(10)의 차단 로그 정보를 수집한다.The log collecting unit 101 collects the blocking log information of the security device 10.

또한, IP 수집부(102)는 시스템 사용자의 인터넷 프로토콜(IP)을 수집하고 또한 통신망 주소 변환기(NAT)를 통해 변환된 IP에서 실제 사용자 IP를 추출하여 수집한다. 즉, 표면적으로 파악이 가능한 사용자 IP는 물론 NAT를 통해 변환된 IP의 실제 사용자 IP를 추출하여 수집하는 기능을 수행한다.In addition, the IP collector 102 collects the Internet protocol (IP) of the system user and extracts and collects the actual user IP from the converted IP through the network address translator (NAT). That is, it extracts and collects the actual user IP of the converted IP through the NAT as well as the user IP which can grasp the surface.

또한, 제1 판단부(103)는 로그 수집부(10)를 통해 수집한 차단 로그 정보의 IP 수집부(102)의 IP별 발생 횟수가 소정의 임계값인 제1 임계값을 초과하는지 판단한다. 그리고, 최종적으로 해당 로그 및 해당 IP(감시 IP)를 추출한다. 즉, 제1 판단부(103)는 차단 로그 정보가 시스템 내에서 자주 발생하거나 한꺼번에 많이 발생하거나 또는 주기적으로 발생하는 상태를 통계적으로 파악하여 제1 임계값을 결정할 수 있고 이러한 제1 임계값을 기준으로 차단 로그 정보를 필터링하여 감시 대상이 되는 감시 IP 및 해당 로그를 추출한다.The first judging unit 103 judges whether the number of occurrences of the blocking log information collected by the log collecting unit 10 for each IP of the IP collecting unit 102 exceeds a first threshold value which is a predetermined threshold value . Finally, the log and the corresponding IP (monitoring IP) are extracted. That is, the first determination unit 103 can determine the first threshold value by statistically grasping the state where the blocking log information occurs frequently in the system, occurs at a time, or periodically occurs, and determines the first threshold value as a reference The monitoring log information is filtered to extract the monitoring IP and the corresponding log to be monitored.

또한, 감시부(104)는 제1 판단부(103)가 제1 임계값을 초과하는 것으로 판단한 경우 사용자 단말(200)이 감시 IP와 통신하는지 여부를 감지하는 기능을 수행한다. 즉, 감시 대상이 되는 감시 IP와 사용자 단말(200)이 직접적인 접속이 이루어지는지 여부를 감지한다.The monitoring unit 104 also detects whether the user terminal 200 communicates with the monitoring IP when the first determination unit 103 determines that the first determination unit 103 exceeds the first threshold value. That is, it detects whether a direct connection between the supervisory IP to be monitored and the user terminal 200 is established.

또한, 제2 판단부(105)는 감시부(104)를 통해 감시 IP와 사용자 단말(200)이 통신하는 것으로 판단된 경우, 차단 로그에 해당하는 악성소프트웨어(MalWare)의 해쉬(hash)값을 기준 해쉬값과 비교한 후 1차적 MalWare 여부를 판단한다. 즉, 제2 판단부(105)는 감시 대상이 되는 감시 IP와 사용자 단말(200) 사이에 접속이 발생하면 이 둘 사이의 차단 로그에 해당하는 MalWare 에 대해 1차적으로으로 진짜 MalWare인지 여부를 판단한다. 해쉬값이 기준 해쉬값과 같은 경우라면 진짜 MalWare에 해당할 것이고, 다르다면 MalWare가 아니거나 해쉬값으로 파악이 안되는 별도의 MalWare에 해당할 수도 있다.If it is determined that the monitoring IP communicates with the user terminal 200 through the monitoring unit 104, the second determination unit 105 may determine a hash value of the malicious software MalWare corresponding to the blocking log After comparing with the reference hash value, it is judged whether or not the primary MalWare exists. That is, when a connection is established between the monitoring IP to be monitored and the user terminal 200, the second determination unit 105 determines whether or not the MalWare corresponding to the blocking log between the two is primarily a real MalWare do. If the hash value is the same as the standard hash value, it would be a real MalWare, otherwise it could be MalWare or a separate MalWare that is not identified as a hash value.

또한, 제3 판단부(106)는 제2 판단부(105)를 통해 1차적 MalWare라고 판단된 경우, 사용자 단말(200)이 다운로드한 파일 및 URL(Uniform Resource Locator)을 기초로 최종적으로 MalWare 여부를 판단한다. 즉, 해쉬값만을 가지고 판단하는 간단한 과정을 통해 판단하는 과정인 제2 판단부(105)와 달리 사용자 단말(200)이 직접적으로 다운로드한 파일 및 URL 정보를 직접 분석하여 최종적인 MalWare 여부를 판단한다.If it is determined through the second determination unit 105 that the primary malware is detected, the third determination unit 106 determines whether the malware (malware) is finally detected based on the file downloaded by the user terminal 200 and the URL (Uniform Resource Locator) . That is, unlike the second determination unit 105, which is a process of determining through a simple process of determining only a hash value, the user terminal 200 directly analyzes the file and URL information directly downloaded to determine whether the file is a final MalWare .

또한, MalWare 감시 서버(악성소프트웨어 감시 서버, 107)는 제2 판단부(105)를 통해 1차적 MalWare가 아니라고 판단된 경우에도 추가적으로 차단 로그의 MalWare를 기저장된 MalWare 데이터베이스와 비교하여 MalWare 여부를 판단한다. 즉, 별도의 MalWare 데이터베이스를 구비하여 추가적으로 MalWare 여부를 판단하는 과정을 수행한다.If it is determined that the malwares are not the primary MalWare through the second determination unit 105, the MalWare monitoring server 107 (malicious software monitoring server 107) further compares the MalWare of the blocking log with the previously stored MalWare database to determine whether MalWare . That is, a separate MalWare database is provided to further determine whether MalWare has been added.

이상에서 설명한 제1 판단부(103) 내지 MalWare 감시 서버(107)를 통해 본 발명의 실시예에 따른 보안 시스템은 체계적이면서도 누락이 거의 발생하지 않는 MalWare 감지를 효과적으로 수행할 수 있다.The security system according to the embodiment of the present invention can effectively perform MalWare detection that is systematic and hardly misses through the first determination unit 103 to the MalWare monitoring server 107 described above.

또한, 미러링 DB부(미러링 데이터베이스부, 108)는 제3 판단부(106) 및 MalWare 감시 서버(107)를 통해 나온 MalWare가 적용된 연관 IP 정보 및 사용자 단말(200)이 다운로드한 파일과 URL을 미러링 데이터로 저장한다. 즉, MalWare에 관련된 IP 정보 및 다운로드 파일 등을 데이터베이스화하여 향후 같은 이벤트나 유사한 이벤트가 발생했을 때 조회 자료로 이용하기 위함이다. 이와 같은 DB화를 통해 본 발명에 따른 보안 시스템은 보다 빠른 MalWare 판단 과정을 수행할 수 있고 변화되는 외부 침입에 대해 효과적으로 대응할 수 있다.The mirroring DB unit (mirroring database unit) 108 mirrors the associated IP information to which the MalWare applied through the third determination unit 106 and the MalWare monitoring server 107 is applied and the file and URL downloaded by the user terminal 200 And stores it as data. In other words, the IP information and the download file related to MalWare are converted into a database so that they can be used as inquiry data when the same event or similar event occurs in the future. Through the DB configuration, the security system according to the present invention can perform a faster MalWare determination process and effectively cope with the changed external intrusion.

이상에서는 본 보안 시스템의 기본이 되는 차단 로그에 기초한 MalWare 판단 과정(기능 1)에 대해 설명하였고, 아래에서는 외부에서 본 시스템에 관리자 모드로 접근하는 경우에 대해 설명한다.In the foregoing, the MalWare judgment process (function 1) based on the blocking log serving as a basis of the present security system has been described. Hereinafter, a case of accessing the system from the outside by the administrator mode will be described.

본 발명의 실시예에 따른 보안 시스템의 서버(100)의 제4 판단부(109)는, 미러링 DB부(108)에 저장된 미러링 데이터를 이용하여 관리자 모드로의 접근이 감지되는지 판단한다. 즉, 제4 판단부(109)는 관리자 모드로의 접근을 감지하여 시스템에 대한 접속 차단 여부를 결정한다.The fourth determination unit 109 of the server 100 of the security system according to the embodiment of the present invention determines whether access to the administrator mode is detected using the mirroring data stored in the mirroring DB unit 108. [ That is, the fourth determination unit 109 detects access to the administrator mode and determines whether to block access to the system.

만약 접근이 감지되면 제4 판단부(109)는 작업 허용 시간 내에 접근이 이루어지는지 판단한다. 즉, 제4 판단부(109)는 접근 과정이 허용 시간을 초과하는지 여부를 기준으로 정상적인 접속인지 아니면 비정상적인 접근인지 판단한다. If the access is detected, the fourth determination unit 109 determines whether access is made within the work allowable time. That is, the fourth determination unit 109 determines whether the access procedure is a normal access or an abnormal access based on whether the access procedure exceeds the allowable time.

만약 허용 시간 초과의 경우, 제4 판단부(109)는 사용자 단말(200)에 관리자 응답 요청 신호를 전송하고, 요청 신호에 상응하는 응답 신호를 사용자 단말(200)로부터 전송 받으면 패스워드 입력 일치 여부를 판단한다. 즉, 1차적으로 사용자 단말(200)로부터 관리자 접속이 맞다는 신호를 수신하면 2차적으로 패스워드 입력을 요구하는 과정을 수행하게 된다.If the allowance time is exceeded, the fourth determination unit 109 transmits an administrator response request signal to the user terminal 200, and if the response signal corresponding to the request signal is received from the user terminal 200, . That is, when a signal indicating that a manager connection is correct is received from the user terminal 200, a process of requesting a password input is performed.

이에 따라 제4 판단부(109)는 만약 입력 패스워드가 불일치하면 추가적으로 불일치 횟수 또는 불일치 시간으로 이루어지는 불일치 임계값의 초과 여부를 판단한다. Accordingly, if the input password does not match, the fourth determination unit 109 further determines whether the mismatch threshold value, which is the number of mismatches or the mismatch time, is exceeded.

즉, 다시 작업 허용 시간 내에 있는 것으로 판단(불일치 임계값 이하의 경우)하는 경우에는 정상적인 접속으로 판단한다. 그리고, 불일치 임계값이 초과되는 경우에는 감시부(104)를 통해 감시 IP와 사용자 단말(200)이 통신하는지 여부를 감지하는 과정으로 복귀하게 된다. 즉, 후자의 경우에는 관리자 접근이 유효하지 않다고 판단한 경우로 이에 대한 알림을 사용자 단말(200)에게 제공하면서 상기에서 설명한 감시부(104)를 통한 감지 과정을 수행하여 구체적인 That is, when it is judged that it is within the allowable working time again (in the case of the disagreement threshold value or less), it is judged that the connection is normal. If the mismatch threshold value is exceeded, the process returns to the process of detecting whether the monitoring IP communicates with the user terminal 200 through the monitoring unit 104. That is, in the latter case, when it is determined that the manager access is not valid, the detection process is performed through the monitoring unit 104 described above while providing a notification to the user terminal 200,

MalWare 판단 과정을 거치게 된다.MalWare will be judged.

이상에서는 본 보안 시스템의 두 번째 기능인 외부에서 본 시스템에 관리자 모드로 접근하는 경우의 보안 과정을 설명하였고 아래에서는 본 시스템의 세 번째 기능인 내부 네트워크 감시 과정을 설명한다.In the above, the security process of accessing the present system from the outside, which is the second function of the present security system, in the administrator mode is described, and the internal network monitoring process, which is the third function of the present system, is described below.

본 발명의 실시예에 따른 보안 시스템의 서버(100)는 위장 공격 탐지부(110)를 포함하고, 위장 공격 탐지부(110)는 차단 로그 정보의 위장 공격을 탐지하기 위해 제1 임계값을 소정 시간 동안 감소시킨다. 즉, 네트워크 내부에서 발생하는 여러 이벤트 중에서 위장술에 해당하는 과정(일시적으로 작동이나 접속이 불규칙화되거나 느려지는 과정)이 발생할 수 있는데 이에 대비하기 위해 본 시스템의 위장 공격 탐지부(110)는 제1 임계치를 일시적으로 낮추는 과정을 수행한다.The server 100 of the security system according to the embodiment of the present invention includes a spoof attack detection unit 110. The spoof attack detection unit 110 detects a spoof attack of blocking log information by setting a first threshold value Decrease over time. That is, among the various events occurring in the network, a process corresponding to the camouflage (temporary operation or irregularization or slowing of connection) may occur. To cope with this, the camouflage attack detection unit 110 of the present system detects the first The process of temporarily lowering the threshold value is performed.

그리고, 화이트리스트 모듈(111)는 미러링 데이터를 기초로 위험도가 낮은 정보로 이루어지는 화이트리스트를 결정하고 저장한다. 즉, 안정도가 높은 정보를 미러링 데이터를 기초로 선별하여 별도로 저장한다.The whitelist module 111 then determines and stores a whitelist consisting of low-risk information based on the mirroring data. That is, information with high stability is selected based on the mirroring data and stored separately.

또한, 네트워크 감시부(112)는 사용자 단말의 네트워크에서 파밍, 피싱, 악성코드 및 정보유출 중 하나 이상인 감시 대상을 감시한다.In addition, the network monitoring unit 112 monitors at least one of a pharming, a phishing, a malicious code and an information leak in a network of the user terminal.

구체적으로 네트워크 감시부(112)는 도 4에 도시된 바와 같이 IP SCAN 모듈(112-1), Port SCAN 모듈(112-2), 화이트리스트 외 세션 감지 모듈(112-3), 내부 네트워크 연결 감지 모듈(112-4)로 이루어질 수 있다. IP SCAN 모듈(112-1)은 내부 네트워크의 IP를 감시하고, Port SCAN 모듈(112-2)은 포트를 감지하고, 화이트리스트 외 세션 감지 모듈(112-3)은 화이트리스트 외의 세션을 감시하며, 내부 네트워크 연결 감지 모듈(112-4)은 내부 네트워크의 연결 여부를 감지한다.4, the network monitoring unit 112 includes an IP SCAN module 112-1, a port SCAN module 112-2, a whitelist session detection module 112-3, an internal network connection detection Module 112-4. The IP SCAN module 112-1 monitors the IP of the internal network, the Port SCAN module 112-2 senses the port, the non-whitelist session detection module 112-3 monitors sessions outside the whitelist , The internal network connection detection module 112-4 detects whether or not the internal network is connected.

네트워크 감시부(112)는 감시 대상의 발생 횟수가 소정 임계값인 제2 임계값을 초과하면 해당 소프트웨어의 악성 여부를 판단하기 위한 정보를 제2 판단부(105)로 전송한다. 즉, 네트워크 감시부(112)는 내부 네트워크에서 감시 대상의 이벤트 발생 횟수가 제2 임계값을 초과하면 제2 판단부(105)의 MalWare 판단 과정인 해쉬값 비교 단계로 관련 정보를 전송하는 기능을 수행한다.The network monitoring unit 112 transmits to the second determining unit 105 information for determining whether the software is malicious if the number of times of occurrence of the monitoring target exceeds a second threshold value, which is a predetermined threshold value. That is, the network monitoring unit 112 transmits the related information to the hash value comparing step which is the MalWare determining process of the second determining unit 105 when the number of events to be monitored in the internal network exceeds the second threshold value .

또한, 서버(100)는 통계 분석부(113)를 포함하고, 통계 분석부(113)는 화이트리스트 외 세션의 일별 네트워크 통계와 사용자 단말 별 일일 통계 평균 데이터를 산출한다.In addition, the server 100 includes a statistical analysis unit 113, and the statistical analysis unit 113 calculates the daily statistical data of the out-of-white list sessions and the daily statistical average data of the user terminals.

통계 분석부(113)는 이렇게 산출한 통계 및 데이터를 소정 기준 범위와 비교하여 기준 범위를 초과하는 경우에 소정 기간 동안 이루어진 소프트웨어 다운로드 정보를 획득한 후 다운로드 정보를 제2 판단부(105)로 전송한다. 여기서 소정 기준 범위는 각 통계 및 데이터의 오차율이 될 수 있고 이러한 오차율을 초과하게 되면, 오차율 발생일 기준으로 7일 전후의 기간 동안의 다운로드 내역을 검색한 후 다운로드하고 이 정보를 제2 판단부(105)로 전송한다. 상기 7일이라는 기간은 일 예이고 정보의 종류 및 해당 시스템의 특성에 따라 변경될 수 있음은 물론이다.The statistical analysis unit 113 compares the calculated statistics and data with a predetermined reference range, and if the calculated statistical and data exceeds the reference range, the statistical analysis unit 113 acquires the software download information for a predetermined period and transmits the download information to the second determination unit 105 do. Here, the predetermined reference range may be an error rate of each statistic and data. When the error rate is exceeded, the download details for the period of about 7 days are searched and downloaded on the basis of the error rate occurrence date, 105). The 7-day period is an example, and may be changed depending on the type of information and the characteristics of the system.

다음으로 본 발명의 실시예에 따른 보안 시스템의 MalWare 판단 과정에 대해 도 5를 기초로 이하에서 상세히 살펴본다. 도 5에 도시된 과정은 본 발명의 실시예에 따른 보안 시스템의 첫 번째 기능에 대한 것이다. 도 5는 본 발명의 실시예에 따른 보안 시스템의 MalWare 판단 과정을 도시한 순서도이다.Next, the MalWare determination process of the security system according to the embodiment of the present invention will be described in detail with reference to FIG. The process shown in FIG. 5 is for the first function of the security system according to the embodiment of the present invention. 5 is a flowchart illustrating a MalWare determination process of the security system according to the embodiment of the present invention.

도 5에 도시된 바와 같이, 본 발명의 실시예에 따른 보안 시스템은 먼저 차단 로그를 수집하고(S10), IP 수집 및 NAT을 통해 변화되는 실제 사용자 IP를 수집한다(S11). 그런 뒤 차단 로그 횟수와 제1 임계값을 비교하는데, 구체적으로 차단 로그 횟수가 제1 임계값을 초과하는지 여부를 판단한다(S12). 만약 차단 로그 횟수가 제1 임계값 이하인 경우에는 계속 차단 로그 수집 과정을 수행하도록 하고(S10으로 복귀), 차단 로그 횟수가 제1 임계값 초과인 경우에는 사용자 단말(200)과 감시 IP가 통신하는지 여부를 체크한다(S13). 사용자 단말(200)과 감시 IP가 통신하면 차단 로그 MalWare 해쉬값과 기준 해쉬값의 동일성 여부를 판단한다(S14). 만약 두 값이 같은 경우에는 감시 IP를 통해 다운로드한 파일 및 URL로 MalWare에 해당하는지 여부를 최종적으로 판단한다(S15). 만약 두 값이 다른 경우에는 차단 로그 MalWare와 DB(MalWare 데이터베이스)와 비교하여 다시 한 번 MalWare 여부를 판단한다. 마지막으로 상기 두 가지 판단을 한 후 각 정보(다운로드 파일 및 URL 정보)를 미러링 데이터로 하여 미러링 DB(미러링 데이터베이스)에 저장한다(S17).As shown in FIG. 5, the security system according to the embodiment of the present invention first collects a blocking log (S10), and collects actual user IPs changed through IP collection and NAT (S11). Then, it compares the number of intercepted logs with the first threshold value. Specifically, it determines whether the number of intercepted logs exceeds the first threshold value (S12). If the number of blocking logs is equal to or less than the first threshold value, the blocking log collecting process is performed (return to S10). If the blocking log number exceeds the first threshold value, the user terminal 200 and the monitoring IP communicate (S13). When the user terminal 200 and the monitoring IP communicate with each other, it is determined whether or not the blocking log MalWare hash value is identical to the reference hash value (S14). If the two values are the same, it is finally determined whether the file and the URL downloaded through the monitoring IP correspond to MalWare (S15). If the two values are different from each other, MalWare and DB (MalWare database) are checked again. Finally, after making the above two decisions, each information (download file and URL information) is stored in the mirroring database (mirroring database) as mirroring data (S17).

다음으로 본 발명의 실시예에 따른 보안 시스템의 관리자 모드 접근에 따른 보안 프로세스에 대해 도 6을 기초로 설명한다. 도 6에 도시된 보안 프로세스는 본 발명의 실시예에 따른 보안 시스템의 두 번째 기능에 대한 것이다. 도 6은 본 발명의 실시예에 따른 보안 시스템의 관리자 모드 접근에 따른 보안 프로세스를 도시한 순서도이다.Next, a security process according to an administrator mode approach of a security system according to an embodiment of the present invention will be described with reference to FIG. The security process shown in FIG. 6 is for a second function of the security system according to an embodiment of the present invention. 6 is a flowchart illustrating a security process according to an administrator mode approach of a security system according to an embodiment of the present invention.

도 6에 도시된 바와 같이, 본 발명의 실시예에 따른 보안 시스템은 관리자 모드 접근에 따른 보안 프로세스를 수행하기 위해 먼저 관리자 모드 접근 이벤트의 발생을 감지한다(S20). 감지가 되면 해당 접근 과정이 기설정 또는 기저장된 작업 허용 시간을 초과하는지를 판단한다(S21). As shown in FIG. 6, a security system according to an embodiment of the present invention detects the occurrence of an administrator mode access event to perform a security process according to an administrator mode access (S20). If it is detected, it is determined whether the approach process exceeds the preset or pre-stored work permissible time (S21).

만약 해당 접근 과정이 작업 허용 시간 이하인 경우에는, 정상적인 접근으로 판단하고(S22) 종료한다.If the access procedure is equal to or less than the work permissible time, it is judged as a normal access (S22) and the process is terminated.

만약 해당 접근 과정이 작업 허용 시간을 초과하는 것으로 판단되면 사용자 단말(200)에 관리자 응답 요청 신호를 전송한다(S23). 즉, 해당 접근 과정이 작업 허용 시간을 초과하는 경우에는 1차적으로 부적절한 관리자 모드 접근이 있는 것으로 판단하여 서버(100)는 사용자 단말(200)에 적절한 관리자 접속인지 여부를 확인 받기 위해 관리자 응답 요청 신호를 전송한다.If it is determined that the access process exceeds the work allowable time, an administrator response request signal is transmitted to the user terminal 200 (S23). That is, when the access procedure exceeds the operation allowable time, the server 100 determines that there is an inappropriate administrator mode access, and the server 100 transmits an administrator response request signal .

그리고 서버(100)가 사용자 단말(200)로부터 응답 신호를 수신하면 다시 패스워드 입력을 요구한다(S24). 서버(100)가 요구한 패스워드 입력에 대해 사용자 단말(200)을 통한 패스워드가 입력되면 기준 패스워드와 입력 패스워드를 비교하여 불일치 여부를 판단한다(S25). 만약 두 패스워드가 일치하면 정상적인 접근으로 판단하고(S22) 종료한다.When the server 100 receives the response signal from the user terminal 200, the server 100 requests the password input again (S24). When the password input through the user terminal 200 is input to the password input requested by the server 100, the input password is compared with the reference password to determine whether the input password is inconsistent (S25). If the two passwords match, it is determined that the access is normal (S22) and the process ends.

만약 두 패스워드가 불일치하면 예비적으로 비정상적 접근으로 판단하고 다시 패스워드 입력을 요구하면서 불일치 횟수 또는 불일치가 발생하는 패스워드 입력 시간으로 이루어지는 불일치 임계값을 초과하는지 여부를 판단한다(S26).If the two passwords do not coincide with each other, it is determined as an abnormal access in advance and the password input is requested again, and it is judged whether or not the number of inconsistencies exceeds the inconsistency threshold value of the password input time at which the inconsistency occurs (S26).

만약 불일치 임계값을 초과하지 않는 상태이면 정상적인 접근으로 판단하고(S22) 종료한다.If the mismatch threshold value is not exceeded, it is determined as a normal access (S22) and the process ends.

만약 불일치 임계값을 초과하는 경우이면 감시 IP와 사용자 단말(200)이 통신하는지 여부를 감지하는 S13 단계로 이동하여 계속 진행하게 된다.If the mismatch threshold value is exceeded, the process proceeds to step S13 where it is determined whether the monitoring IP and the user terminal 200 communicate with each other.

다음으로 본 발명의 실시예에 따른 보안 시스템의 내부 네트워크 감시 과정에 대해 도 7 내지 도 8을 기초로 이하에서 설명한다. 상기 내부 네트워크 감시 과정은 발명의 실시예에 따른 보안 시스템의 세 번째 기능에 해당한다. 도 7은 본 발명의 실시예에 따른 보안 시스템의 내부 네트워크 감시 과정을 도시한 순서도이고, 도 8은 본 발명의 실시예에 따른 보안 시스템의 통계 정보를 이용한 보안 프로세스에 대한 순서도이다.Next, an internal network monitoring process of the security system according to the embodiment of the present invention will be described with reference to FIGS. 7 to 8. FIG. The internal network monitoring process corresponds to a third function of the security system according to the embodiment of the present invention. FIG. 7 is a flowchart illustrating an internal network monitoring process of a security system according to an embodiment of the present invention, and FIG. 8 is a flowchart illustrating a security process using statistical information of a security system according to an embodiment of the present invention.

도 7에 도시된 바와 같이, 본 발명의 실시예에 따른 보안 시스템의 내부 네트워크 감시 과정 중 하나는 내부 네트워크를 감시하는 과정이다. 즉, 먼저 내부 네트워크를 감시한다(S30). 내부 네트워크 감시는 사용자 단말(200)의 네트워크에서 파밍, 피싱, 악성코드 및 정보유출 중 하나 이상으로 이루어지는 감시 대상을 감시한다. 이러한 감시를 통해 감시 대상이 되는 이벤트의 발생 횟수가 기설정된 제2 임계값을 초과하는지 판단한다(S31). 즉, 상기 감시 대상과 연관된 해당 소프트웨어의 악성 여부를 판단하는 과정이다.As shown in FIG. 7, one of the internal network monitoring processes of the security system according to the embodiment of the present invention is a process of monitoring an internal network. That is, the internal network is monitored first (S30). The internal network monitoring monitors a monitoring target consisting of at least one of pharming, phishing, malicious code, and information leakage in the network of the user terminal 200. In step S31, it is determined whether the number of events to be monitored exceeds the preset second threshold value through the monitoring. That is, it is a process of judging whether or not the corresponding software associated with the monitored object is malicious.

만약 감시 대상의 발생 횟수가 제2 임계값을 초과하지 않으면 다시 내부 네트워크를 감시하는 단계(S30)로 돌아가고, 제2 임계값을 초과하면 도 5의 S14 단계로 이동하여 본 시스템의 첫 번째 기능에서 차단 로그 MalWare 해쉬값을 비교하는 과정을 수행하게 된다.If the number of occurrences of the monitoring object does not exceed the second threshold value, the process returns to step S30 to monitor the internal network again. If the number of occurrences exceeds the second threshold value, the process proceeds to step S14 of FIG. And performs the process of comparing the blocking log MalWare hash value.

또한, 도 8의 도시 내용은 본 발명의 실시예에 따라 내부 네트워크 상의 일별 네트워크 통계 및 사용자 단말 별 일일 통계 평균 데이터를 수집하여 내부 네트워크를 감시하는 과정을 나타낸다.In addition, FIG. 8 shows a process of monitoring the internal network by collecting the daily statistical data on the internal network and the daily statistical average data of each user terminal according to the embodiment of the present invention.

먼저 일별 네트워크 통계(A)를 수집하고(S40), 사용자 단말 별 일일 통계 평균 데이터(B)를 수집한 후(S41), 통계(A)와 평균 데이터(B)를 모두 고려한 통계 수치를 산출한 후 소정 기준 범위를 초과하는지 판단한다(S42). 만약 통계 수치가 소정 기준 범위를 초과하지 않으며 다시 통계 정보를 수집하는 S40 단계로 복귀하고, 소정 기준 범위를 초과하면 도 5의 S14 단계로 이동하여 본 시스템의 첫 번째 기능에서 차단 로그 MalWare 해쉬값을 비교하는 과정을 수행하게 된다. 여기서 소정의 기준 범위는 통계 비교를 통한 오차율로 할 수 있으며, 소정 기준 범위 초과가 있으면 S14 단계로 이동하기 전에 해당 이벤트 발생일을 기준으로 7일 전후 기간 동안 다운로드한 내용을 검색한 후 해당 파일 발견 시에 S14 단계로 이동한다.First, the daily network statistic A is collected (S40), the daily statistical average data B for each user terminal is collected (S41), and statistical values considering both the statistical data A and the average data B are calculated And then determines whether it exceeds a predetermined reference range (S42). If the statistical value does not exceed the predetermined reference range and the statistical information is again collected, the process returns to step S40. If the statistical value exceeds the predetermined reference range, the process proceeds to step S14 in FIG. 5 and the MalWare hash value A comparison process is performed. Here, if the predetermined reference range is exceeded, the predetermined reference range may be the error rate through the statistical comparison. If there is a predetermined reference range, the downloaded contents are searched for about 7 days on the basis of the event occurrence date before moving to step S14, The flow advances to step S14.

또한, 일별 네트워크 통계는 화이트리스트 외의 일별 네트워크 통계로 프로토콜 별 통계, 포트별 통계, 80,443을 제외한 통계, 국가별 통계를 포함할 수 있다.Also, the daily network statistics are daily net statistics other than the whitelist, which may include protocol statistics, port statistics, 80,443 statistics, and country statistics.

또한, 해당 파일 발견이 되지 않으면 MalWare 유입 경로 탐색을 위한 사이트 별 프로세스를 실행한다.In addition, if the file is not found, the site-specific process for malware funnel navigation is executed.

이상의 실시예들은 본 발명의 이해를 돕기 위하여 제시된 것으로, 본 발명의 범위를 제한하지 않으며, 이로부터 다양한 변형 가능한 실시예들도 본 발명의 범위에 속할 수 있음을 이해하여야 한다. 따라서, 본 발명의 기술적 보호범위는 특허청구범위의 기술적 사상에 의해 정해져야 할 것이며, 본 발명의 기술적 보호범위는 특허청구범위의 문언적 기재 그 자체로 한정되는 것이 아니라 실질적으로는 기술적 가치가 균등한 범주의 발명에 대하여까지 미치는 것임을 이해하여야 한다.It is to be understood that the above-described embodiments are provided to facilitate understanding of the present invention, and do not limit the scope of the present invention, and it is to be understood that various modifications may be made within the scope of the present invention. Therefore, the technical protection scope of the present invention should be determined by the technical idea of the claims, and the technical protection scope of the present invention is not limited to the literary description of the claims, The invention of a category.

10: 보안 장치 100: 서버
101: 로그 수집부 102: IP 수집부
103: 제1 판단부 104: 감시부
105: 제2 판단부 106: 제3 판단부
107: MalWare 감시 서버 108: 미러링 DB부
109: 제4 판단부 110: 위장 공격 탐지부
111: 화이트리스트 모듈 112: 네트워크 감시부
112-1: IP SCAN 모듈 112-2: Port SCAN 모듈
112-3: 화이트리스트 외 세션 감지 모듈
112-4: 내부 네트워크 연결 감지 모듈
113: 통계 분석부
10: security device 100: server
101: log collecting unit 102: IP collecting unit
103: First judging unit 104:
105: second judgment unit 106: third judgment unit
107: MalWare monitoring server 108: Mirroring DB unit
109: fourth judging unit 110: camouflage attack detecting unit
111: White list module 112: Network monitoring section
112-1: IP SCAN module 112-2: Port SCAN module
112-3: Out-of-whitelist session detection module
112-4: Internal network connection detection module
113: Statistical Analysis Department

Claims (6)

서버와 사용자 단말 및 상기 서버와 사용자 단말 사이에서 보안을 수행하는 보안 장치를 포함하는 보안 시스템에 있어서,
상기 서버는,
상기 보안 장치의 차단 로그 정보를 수집하는 로그 수집부,
상기 시스템 사용자의 인터넷 프로토콜(IP)을 수집하고 통신망 주소 변환기(NAT)를 통해 변환된 IP에서 실제 사용자 IP를 추출하여 수집하는 IP 수집부,
상기 차단 로그 정보의 상기 IP 수집부의 IP별 발생 횟수가 소정의 임계값인 제1 임계값을 초과하는지 판단하고 해당 로그 및 해당 IP(감시 IP)를 추출하는 제1 판단부,
상기 제1 판단부가 상기 제1 임계값을 초과하는 것으로 판단한 경우 상기 사용자 단말이 상기 감시 IP와 통신하는지 여부를 감지하는 감시부,
상기 감시부를 통해 상기 감시 IP와 상기 사용자 단말이 통신하는 경우 상기 차단 로그의 악성소프트웨어(MalWare)의 해쉬(hash)값을 기준 해쉬값과 비교한 후 1차적 악성소프트웨어 여부를 판단하는 제2 판단부,
상기 제2 판단부를 통해 1차적 악성소프트웨어라고 판단한 경우에는 상기 사용자 단말이 다운로드한 파일 및 URL을 기초로 최종적으로 악성소프트웨어 여부를 판단하는 제3 판단부,
상기 제2 판단부를 통해 1차적 악성소프트웨어가 아니라고 판단된 경우에는 상기 차단 로그의 악성소프트웨어를 기저장된 악성소프트웨어 데이터베이스와 비교하여 판단하는 악성소프트웨어 감시 서버,
상기 제3 판단부 및 악성소프트웨어 감시 서버를 통해 나온 악성소프트웨어가 적용된 연관 IP 정보 및 상기 사용자 단말이 다운로드한 파일과 URL을 미러링 데이터로 저장하는 미러링 데이터베이스부를 포함하고,
상기 서버는, 관리자 모드로의 접근을 감지하여 접속 차단 여부를 결정하는 제4 판단부를 더 포함하고,
상기 제4 판단부는, 상기 미러링 데이터에 기초하여 관리자 모드로의 접근이 감지되면 작업 허용 시간 내에서 이루어지는지 판단하고, 허용 시간 초과의 경우에는 상기 사용자 단말에 관리자 응답 요청 신호를 전송하고, 상기 요청 신호에 상응하는 응답 신호를 전송받으면 패스워드 입력 일치 여부를 판단한 후 1차적으로 사용자 단말(200)로부터 관리자 접속이 맞다는 신호를 수신하면 2차적으로 패스워드 입력을 요구하는 과정을 수행하되, 불일치하면 불일치 횟수 또는 불일치 시간으로 이루어지는 불일치 임계값 초과 여부를 통해 다시 상기 작업 허용 시간 내에 있는지 판단하거나(불일치 임계값 이하) 상기 감시부를 통해 상기 감시 IP와 상기 사용자 단말이 통신하는지 여부를 감지하는(불일치 임계값 초과) 것을 특징으로 하는 보안 시스템.
A security system comprising a server, a user terminal, and a security device for performing security between the server and the user terminal,
The server comprises:
A log collector for collecting blocking log information of the security device,
An IP collector for collecting Internet protocol (IP) of the system user and extracting and collecting an actual user IP from IP converted through a network address translator (NAT)
A first judging unit for judging whether the number of occurrences of the blocking log information for each IP in the IP collecting unit exceeds a first threshold value which is a predetermined threshold value and for extracting a log and a corresponding IP (monitoring IP)
A monitoring unit for detecting whether the user terminal communicates with the monitoring IP when it is determined that the first determining unit exceeds the first threshold,
A second judging unit for comparing the hash value of malicious software (MalWare) of the blocking log with the reference hash value when the monitoring IP communicates with the user terminal through the monitoring unit, ,
A third determination unit for determining whether the malicious software is the last malicious software based on the file and the URL downloaded by the user terminal when the malicious software is determined as the primary malicious software through the second determination unit;
A malicious software monitoring server for comparing the malicious software of the blocking log with a previously stored malicious software database when it is determined that the malicious software is not the primary malicious software through the second determination unit,
And a mirroring database unit for storing, as the mirroring data, the related IP information to which the malicious software derived from the third determining unit and the malicious software monitoring server are applied, and the file and URL downloaded by the user terminal,
The server may further include a fourth determination unit for determining whether to block access by detecting access to the administrator mode,
Wherein the fourth determination unit determines whether access to the administrator mode is performed based on the mirroring data and whether the access is made within the operation allowable time, transmits an administrator response request signal to the user terminal when the permission time is exceeded, If the response signal corresponding to the signal is received, it is determined whether or not the password input is coincident. Then, when a signal indicating that the administrator connection is correct is received from the user terminal 200, the process of requesting the password input is performed. (Not equal to or less than a mismatch threshold value) through the mismatch threshold value exceeding the mismatch threshold value or the mismatch threshold, or whether the monitoring IP communicates with the user terminal through the monitoring unit ≪ / RTI >
삭제delete 제1 항에 있어서,
상기 서버는,
상기 차단 로그 정보의 위장 공격을 탐지하기 위해 상기 제1 임계값을 소정 시간 동안 감소시키는 위장 공격 탐지부를 더 포함하는 것을 특징으로 하는 보안 시스템.The method according to claim 1,
The server comprises:
Further comprising: a spoof attack detecting unit for decreasing the first threshold value for a predetermined time to detect a spoofing attack of the blocking log information. 제1 항에 있어서,
상기 서버는,
상기 미러링 데이터를 기초로 위험도가 낮은 정보로 이루어지는 화이트리스트를 결정하고 저장하는 화이트리스트 모듈과
상기 사용자 단말의 네트워크에서 파밍, 피싱, 악성코드 및 정보유출 중 하나 이상인 감시 대상을 감시하기 위해 IP SCAN 모듈, Port SCAN 모듈, 화이트리스트 외 세션 감지 모듈, 내부 네트워크 연결 감지 모듈로 이루어지는 네트워크 감시부를 더 포함하는 것을 특징으로 하는 보안 시스템.The method according to claim 1,
The server comprises:
A white list module for determining and storing a white list composed of low-risk information based on the mirroring data;
A network monitoring unit consisting of an IP SCAN module, a Port SCAN module, a whitelist session detection module, and an internal network connection detection module is provided to monitor a monitoring target in at least one of pharming, phishing, malicious code and information leakage in the network of the user terminal The security system comprising: 제4 항에 있어서,
상기 네트워크 감시부는, 상기 감시 대상의 발생 횟수가 소정 임계값인 제2 임계값을 초과하면 해당 소프트웨어의 악성 여부를 판단하기 위한 정보를 상기 제2 판단부로 전송하는 것을 특징으로 하는 보안 시스템.5. The method of claim 4,
Wherein the network monitoring unit transmits information for determining whether the software is malicious if the number of times of occurrence of the monitoring target exceeds a second threshold value that is a predetermined threshold value to the second determination unit. 제4 항에 있어서,
상기 서버는, 통계 분석부를 더 포함하고,
상기 통계 분석부는, 상기 화이트리스트 외 세션의 일별 네트워크 통계와 상기 사용자 단말 별 일일 통계 평균 데이터를 소정 기준 범위와 비교하여 상기 기준 범위를 초과하는 경우에 소정 기간 동안 이루어진 소프트웨어 다운로드 정보를 획득한 후 상기 다운로드 정보를 상기 제2 판단부로 전송하는 것을 특징으로 하는 보안 시스템.
5. The method of claim 4,
The server further includes a statistical analysis unit,
Wherein the statistical analysis unit compares the daily network statistics of the out-of-white-list session and the daily statistical average data of each user terminal with a predetermined reference range to acquire software download information for a predetermined period of time when exceeding the reference range, And transmits the download information to the second determination unit.
KR1020160144841A 2016-11-02 2016-11-02 Total security system in advanced persistent threat KR101951730B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160144841A KR101951730B1 (en) 2016-11-02 2016-11-02 Total security system in advanced persistent threat

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160144841A KR101951730B1 (en) 2016-11-02 2016-11-02 Total security system in advanced persistent threat

Publications (2)

Publication Number Publication Date
KR20180047935A KR20180047935A (en) 2018-05-10
KR101951730B1 true KR101951730B1 (en) 2019-02-25

Family

ID=62185046

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160144841A KR101951730B1 (en) 2016-11-02 2016-11-02 Total security system in advanced persistent threat

Country Status (1)

Country Link
KR (1) KR101951730B1 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102478984B1 (en) * 2021-01-06 2022-12-19 주식회사 아이티스테이션 Determine method for malicious file by linking with events in user terminal and system using them
WO2022270893A1 (en) * 2021-06-23 2022-12-29 주식회사맥데이타 Network security monitoring device and method based on security packet of terminal
KR102354783B1 (en) * 2021-10-21 2022-01-24 주식회사 모노커뮤니케이션즈 Router management system with increased security
CN114553494B (en) * 2022-01-26 2024-02-13 深圳市风云实业有限公司 Lightweight dyeing and detecting method and device based on data message
CN114666001B (en) * 2022-02-23 2024-04-02 中国电子科技集团公司第三十研究所 Time synchronization system and multi-stage safety monitoring method, equipment and medium thereof
CN116821910B (en) * 2023-08-30 2023-11-17 北京安天网络安全技术有限公司 Safety protection system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101414084B1 (en) * 2013-03-28 2014-07-04 한신대학교 산학협력단 System and for Malicious Application Detection on Mobile Device and Method thereof

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040193918A1 (en) * 2003-03-28 2004-09-30 Kenneth Green Apparatus and method for network vulnerability detection and compliance assessment
KR100729794B1 (en) * 2005-10-25 2007-06-20 주식회사 아라기술 System and method for automatically curing the harmful computer software
US8341740B2 (en) * 2008-05-21 2012-12-25 Alcatel Lucent Method and system for identifying enterprise network hosts infected with slow and/or distributed scanning malware

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101414084B1 (en) * 2013-03-28 2014-07-04 한신대학교 산학협력단 System and for Malicious Application Detection on Mobile Device and Method thereof

Also Published As

Publication number Publication date
KR20180047935A (en) 2018-05-10

Similar Documents

Publication Publication Date Title
KR101951730B1 (en) Total security system in advanced persistent threat
US11775622B2 (en) Account monitoring
EP3264720B1 (en) Using dns communications to filter domain names
KR100942456B1 (en) Method for detecting and protecting ddos attack by using cloud computing and server thereof
US7779468B1 (en) Intrusion detection and vulnerability assessment system, method and computer program product
US9628508B2 (en) Discovery of suspect IP addresses
TWI294726B (en)
CN110493195B (en) Network access control method and system
US20100071065A1 (en) Infiltration of malware communications
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
JP2019021294A (en) SYSTEM AND METHOD OF DETERMINING DDoS ATTACKS
CN111131176B (en) Resource access control method, device, equipment and storage medium
US9444830B2 (en) Web server/web application server security management apparatus and method
JP2006252256A (en) Network management system, method and program
KR100989347B1 (en) Method for detecting a web attack based on a security rule
US8862730B1 (en) Enabling NAC reassessment based on fingerprint change
CN111131168A (en) Self-adaptive protection method based on Web application
JP6106861B1 (en) Network security device, security system, network security method, and program
CN112583841B (en) Virtual machine safety protection method and system, electronic equipment and storage medium
KR100959274B1 (en) A system for early preventing proliferation of malicious codes using a network monitering information and the method thereof
CN112671781A (en) RASP-based firewall system
CN110417578B (en) Abnormal FTP connection alarm processing method
KR101754195B1 (en) Method for security enhancement based on multi log gathering server
Sobola et al. Experimental study of modsecurity web application firewalls
KR20200092508A (en) Large-scale honeypot system IoT botnet analysis

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant