KR101990022B1 - 악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치 - Google Patents

악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치 Download PDF

Info

Publication number
KR101990022B1
KR101990022B1 KR1020180149569A KR20180149569A KR101990022B1 KR 101990022 B1 KR101990022 B1 KR 101990022B1 KR 1020180149569 A KR1020180149569 A KR 1020180149569A KR 20180149569 A KR20180149569 A KR 20180149569A KR 101990022 B1 KR101990022 B1 KR 101990022B1
Authority
KR
South Korea
Prior art keywords
traffic
malicious
template
terminal group
traffic data
Prior art date
Application number
KR1020180149569A
Other languages
English (en)
Inventor
오성택
고웅
김미주
이재혁
박준형
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020180149569A priority Critical patent/KR101990022B1/ko
Application granted granted Critical
Publication of KR101990022B1 publication Critical patent/KR101990022B1/ko
Priority to US16/517,500 priority patent/US11245712B2/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

단말그룹에서 발생 할 수 있는 가상의 악성 트래픽을 생성하는 방법 및 그 장치에 대한 기술이 제공 된다. 본 발명의 일 실시예에 따른 제1 악성코드에 감염된 제1 디바이스로부터 송신되거나, 상기 제1 디바이스로 수신되는 트래픽 데이터를 얻는 단계, 상기 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계, 상기 단말그룹의 악성 트래픽 템플릿을 생성하되, 상기 단말그룹의 악성 트래픽 템플릿은 상기 제1 디바이스의 트래픽 템플릿을 포함하여 구성되는 것인, 단계를 포함한다.

Description

악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치{METHOD FOR GENERATING MALICIOUS TRAFFIC TEMPLATE ABOUT DEVICE GROUP INCLUDING MALICIOUS DEVICE APPARATUS THEREOF}
본 발명은 단말그룹에 대하여 가상의 악성 트래픽 템플릿을 생성하는 방법에 관한 것이다. 보다 자세하게는, 실제 악성코드에 감염된 디바이스에서 발생되는 트래픽 데이터를 이용하여 상기 디바이스를 포함하는 단말그룹에서 발생 할 수 있는 가상의 악성 트래픽을 생성하는 방법에 관한 것이다.
사물인터넷(IoT, Internet of Things)환경은 다양한 디바이스들이 네트워크로 연결되어 하나의 단말그룹을 이룬다. 상기 단말그룹에 포함되는 스마트 디바이스들은 유/무선 네트워크로 연결되어 있어 하나의 디바이스만 악성코드에 감염되어도 빠르게 단말그룹 전체로 악성코드가 전염될 수 있다. 따라서 상기 단말그룹내의 악성코드 감염여부를 탐지할 수 있는 빠르고 정확한 기술이 필요하다. 따라서, 최근에는 네트워크에서 발생되는 트래픽 데이터를 이용하여 악성코드 감염여부를 탐지할 수 있는 다양한 머신 러닝(machine learning) 알고리즘이 개발되고 있다.
특히, 비지도 학습(unsupervised learning)을 하는 이형 탐지 모델(anomaly detection model), 지도 학습(supervised learning)을 하는 침입 탐지 모델(intrusion detection model)을 이용한 머신 러닝(machine learning)기술을 활용하여 사물인터넷 단말그룹의 모니터링 시스템 개발이 적극적으로 이루어 지고 있다. 하지만 정제되지 않은 데이터 모델을 이용하여 학습하는 머신 러닝은 불필요한 자원 낭비에 의해 경제적 비효율이 심하고 상기 정제되지 않은 데이터 모델을 이용하여 학습한 알고리즘은 정확성이 낮다는 문제가 있다. 따라서 악성코드가 감염된 단말그룹에 대한 최적의 학습모델을 생성하는 기술의 제공이 요구된다.
한국등록특허 제2018-0024455호
본 발명이 해결하고자 하는 기술적 과제는, 악성코드에 감염된 디바이스의 기 발생된 트래픽 정보를 이용하여, 정상 상태인 상기 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿을 생성하는 방법 및 장치를 제공하는 것이다.
본 발명이 해결하고자 하는 다른 기술적 과제는, 악성코드에 감염되지 않은 정상상태의 디바이스에서 발생한 트래픽 정보를 이용하여, 상기 디바이스가 포함된 단말그룹에 대한 가상의 악성 트래픽 템플릿을 생성하는 방법 및 장치를 제공하는 것이다.
본 발명이 해결하고자 하는 또 다른 기술적 과제는, 단말그룹에 대한 악성 트래픽 템플릿을 이용하여 상기 단말그룹의 악성코드 모니터링 시스템에 사용되는 머신 러닝에 이용될 수 있는 최적의 학습 모델을 생성하는 방법 및 장치를 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명의 기술분야에서의 통상의 기술자에게 명확하게 이해 될 수 있을 것이다.
상기 기술적 과제를 해결하기 위한, 본 발명의 일 실시예에 따른 악성 트래픽 생성방법은 제1 악성코드에 감염된 제1 디바이스로부터 송신되거나, 상기 제1 디바이스로 수신되는 트래픽 데이터를 얻는 단계, 상기 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계, 단말그룹의 악성 트래픽 템플릿을 생성하되, 상기 단말그룹의 악성 트래픽 템플릿은 상기 제1 디바이스의 트래픽 템플릿을 포함하여 구성되는 것인, 단계를 포함할 수 있다.
일 실시예에 따른 상기 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계는,상기 제1 디바이스로 수신되는 트래픽 데이터만 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계는, 상기 제1 디바이스로부터 송신되는 트래픽 데이터만 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계를 포함하라 수 있다.
일 실시예에 따른 상기 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계는, 상기 단말그룹을 사용하는 사용자와 관련된 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 단말그룹을 사용하는 사용자와 관련된 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계는, 상기 단말그룹을 사용하는 제1 사용자와 관련된 트래픽 데이터를 분석하여 상기 제1 디바이스의 제1 트래픽 템플릿을 생성하는 단계, 상기 단말그룹을 사용하는 제2 사용자와 관련된 트래픽 데이터를 분석하여 상기 제1 디바이스의 제2 트래픽 템플릿을 생성하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계는, 상기 제1 디바이스에서 사용되는 기능과 관련된 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 제1 디바이스에서 사용되는 기능과 관련된 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계는, 상기 제1 디바이스의 제1 기능과 관련된 트래픽 데이터를 분석하여 상기 제1 디바이스의 제3 트래픽 템플릿을 생성하는 단계, 상기 제1 디바이스의 제2 기능과 관련된 트래픽 데이터를 분석하여 상기 제1 디바이스의 제4 트래픽 템플릿을 생성하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계는, 상기 제1 악성코드의 C&C(control and command)서버의 IP 주소 포함하는 패킷을 포함하는 트래픽 템플릿을 생성하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계는, 상기 제1 악성코드와 무관한 랜덤 노이즈(random noise) 트래픽을 포함하는 트래픽 템플릿을 생성하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 단말그룹의 악성 트래픽 템플릿을 생성하되, 상기 단말그룹의 악성 트래픽 템플릿은 상기 제1 디바이스의 트래픽 템플릿을 포함하여 구성되는 것인, 단계는, 상기 단말그룹의 악성 트래픽 템플릿을 생성하되, 상기 단말그룹의 악성 트래픽 템플릿은 상기 제1 디바이스의 정상 상태 트래픽 데이터를 더 포함하여 구성되는 것인, 단계를 포함할 수 있다.
일 실시예에 따른 상기 단말그룹의 악성 트래픽 템플릿을 생성하되, 상기 단말그룹의 악성 트래픽 템플릿은 상기 제1 디바이스의 트래픽 템플릿을 포함하여 구성되는 것인, 단계는, 상기 제1 디바이스의 상기 정상 상태 트래픽 데이터에 상기 제1 악성코드의 행위 패턴을 삽입하는 단계를 더 포함할 수 있다.
일 실시예에 따른 상기 단말그룹의 악성 트래픽 템플릿은 상기 제1 디바이스의 트래픽 템플릿을 포함하여 구성되는 것인, 단계는, 상기 단말그룹의 악성 트래픽 템플릿을 생성하되, 상기 단말그룹의 악성 트래픽 템플릿은 상기 단말그룹에 포함된 제2 디바이스의 트래픽 템플릿을 더 포함하여 구성되는 것인, 단계를 포함할 수 있다.
상기 기술적 과제를 해결하기 위한, 본 발명의 다른 실시예에 따른 악성 트래픽 생성 방법은 정상 상태의 제1 디바이스를 포함하는 단말그룹과 관련된 정상 트래픽 데이터를 얻는 단계, 상기 정상 트래픽 데이터와 제1 악성코드의 행위 분석 정보를 이용하여 악성코드에 감염된 상기 제1 디바이스와 관련된 악성 트래픽 템플릿을 생성하는 단계, 상기 단말그룹의 악성 트래픽 템플릿을 생성하되, 상기 단말그룹의 악성 트래픽 템플릿은 상기 악성코드에 감염된 상기 제1 디바이스와 관련된 상기 악성 트래픽 템플릿을 포함하여 구성되는 것인, 단계를 포함할 수 있다.
상기 기술적 과제를 해결하기 위한, 본 발명의 다른 실시예에 또 따른 악성 트래픽 생성 장치는 악성 트래픽 생성 프로그램이 로드 되는 메모리, 상기 메모리에 로드 된 악성 트래픽 생성 프로그램을 실행하는 프로세서를 포함하되, 악성 트래픽 생성 프로그램은, 제1 악성코드에 감염된 제1 디바이스로부터 송신되거나, 상기 제1 디바이스로 수신되는 트래픽 데이터를 얻는 인스트럭션(instruction), 상기 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 인스트럭션, 상기 단말그룹의 악성 트래픽 템플릿을 생성하되, 상기 단말그룹의 악성 트래픽 템플릿은 상기 제1 디바이스의 트래픽 템플릿을 포함하여 구성되는 것인, 인스트럭션을 포함할 수 있다.
도 1은 본 발명의 일 실시예에 따른 악성 트래픽 템플릿 생성 시스템에 대한 구성 및 동작을 설명하기 위한 도면이다.
도 2는 본 발명의 다른 실시예에 따른 악성 트래픽 템플릿 생성 방법의 순서도이다.
도 3은 본 발명의 또 다른 실시예에 따른 악성코드에 감염되지 않은 단말그룹의 정상 트래픽 데이터의 예시를 설명하기 위한 도면이다
도 4는 본 발명의 또 다른 실시예에 따른 단말그룹의 상기 정상 트래픽 데이터에 악성코드의 행위패턴을 삽입하여 악성 트래픽 템플릿을 생성하는 방법을 설명하기 위한 도면이다.
도 5는 본 발명의 또 다른 실시예에 따른 악성코드에 감염된 단말그룹의 트래픽 데이터를 이용하여 가상의 악성 트래픽 템플릿을 생성하는 방법을 설명하기 위한 도면이다.
도 6은 본 발명의 또 다른 실시예에 따른 단말그룹의 정상 트래픽 데이터, 악성코드 행위패턴 및 악성코드에 감염된 단말그룹의 트래픽 데이터를 이용하여 가상의 악성 트래픽 템플릿을 생성하는 방법을 설명하기 위한 도면이다.
도 7은 본 발명의 또 다른 실시예에 따른 디바이스의 기능별 악성 트래픽 템플릿 생성을 위한 디바이스의 예시를 설명하기 위한 도면이다.
도 8은 본 발명의 또 다른 실시예에 따른 디바이스의 기능별 악성 트래픽 템플릿을 설명하기 위한 AI 스피커의 기능별 트래픽 템플릿의 예시 도면이다.
도 9는 본 발명의 또 다른 실시예에 따른 디바이스의 기능별 트래픽 템플릿에 악성코드의 행위패턴을 삽입하는 방법을 설명하기 위한 도면이다.
도 10은 본 발명의 또 다른 실시예에 따른 단말그룹의 사용자별 악성 트래픽 템플릿 생성을 위한 단말그룹 및 사용자의 디바이스 사용 정보의 예시 도면이다.
도 11은 본 발명의 또 다른 실시예에 따른 디바이스의 사용자별 악성 트래픽 템플릿을 설명하기 위한 AI 스피커의 사용자별 트래픽 템플릿의 예시 도면이다.
도 12는 본 발명의 또 다른 실시예에 따른 디바이스의 사용자별 트래픽 템플릿에 악성코드의 행위패턴을 삽입하는 방법을 설명하기 위한 도면이다.
도 13은 본 발명의 또 다른 실시예에 따른 악성 트래픽 템플릿을 생성하는 단말그룹의 예시 도면이다.
도 14는 본 발명의 또 다른 실시예에 따른 악성 트래픽을 생성하는 네트워크 패킷 생성방법을 설명하기 위한 도면이다.
도 15는 본 발명의 또 다른 실시예에 따른 단말그룹 정보에 대한 데이터베이스의 예시를 설명하기 위한 도면이다.
도 16은 본 발명의 또 다른 실시예에 따른 단말그룹별 사용자 정보에 대한 데이터베이스의 예시를 설명하기 위한 도면이다.
도 17은 본 발명의 또 다른 실시예에 따른 사용자 유형별 디바이스 사용 패턴에 대한 데이터베이스의 예시를 설명하기 위한 도면이다.
도 18은 본 발명의 또 다른 실시예에 따른 디바이스 유형 정보에 대한 데이터베이스의 예시를 설명하기 위한 도면이다.
도 19는 본 발명의 또 다른 실시예에 따른 디바이스의 기능 정보에 대한 데이터베이스의 예시를 설명하기 위한 도면이다.
도 20은 본 발명의 또 다른 실시예에 따른 단말그룹의 디바이스 기능별 트래픽 패턴 정보에 대한 데이터베이스의 예시를 설명하기 위한 도면이다.
도 21은 본 발명의 또 다른 실시예에 따른 단말그룹의 악성 트래픽 데이터를 생성하는 네트워크 패킷의 예시를 설명하기 위한 도면이다.
도 22는 본 발명의 또 다른 실시예에 따른 단말그룹의 악성 트래픽 템플릿 생성 장치의 하드웨어 구성도이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 게시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다.
이하, 도면들을 참조하여 본 발명의 몇몇 실시예들을 설명한다.
본 발명의 일 실시 예에 따른 단말그룹의 악성 트래픽 템플릿을 생성하는 시스템의 구성 및 동작을 도 1을 참조하여 설명한다. 본 명세서에서 단말그룹 이란, 하나의 네트워크에 직/간접적으로 연결된 디바이스의 집합을 의미할 수 있다. 예를 들어 IP주소에서 동일한 네트워크 주소를 사용하나 다른 호스트 주소를 갖는 디바이스들의 집합이 단말그룹일 수 있고, 사물인터넷 환경에서 하나의 AP에 연결된 디바이스의 그룹일 수 있다.
도 1을 참조하면 악성 트래픽 생성 장치(100)는 네트워크를 통하여 여러 단말그룹(10, 20)에서 발생된 트래픽 데이터를 이용하여 상기 단말그룹에 대한 악성 트래픽 템플릿을 생성할 수 있다. 제1 단말그룹(10)은 복수개의 디바이스(11, 12)를 포함할 수 있고, 여러명의 사용자(13, 14, 15)는 상기 제1 단말그룹(10)의 복수개의 디바이스(11, 12)중 적어도 하나를 사용할 수 있다. 또한, 제2 단말그룹(20)도 복수개의 디바이스(21, 22)를 포함할 수 있고, 여러명의 사용자(23, 24, 25)는 상기 제2 단말그룹(20)의 복수개의 디바이스(21, 22)중 적어도 하나를 사용할 수 있다.
악성 트래픽 생성 장치(100)는 상기 단말그룹(10, 20)의 복수개의 디바이스(11, 12, 21, 22)로 수신되는 트래픽 데이터, 또는 복수개의 디바이스(11, 12, 21, 22)로부터 송신되는 트래픽 데이터를 수집할 수 있다. 또한, 상기 수집된 트래픽 데이터를 이용하여 상기 단말그룹(10, 20)에서 발생될 수 있는 가상의 악성 트래픽 템플릿을 생성할 수 있다.
또한, 상기 악성 트래픽 템플릿은 악성코드별로 생성될 수 있다. 예를 들어 제1 단말그룹(10)의 제1 디바이스(11)에 제1 악성코드가 감염된 경우, 제1 악성코드에 감염된 디바이스의 사용자(13, 14, 15)유형별 악성 트래픽 템플릿이 생성될 수 있고, 제1 악성코드에 감염된 제1 디바이스(11)의 기능별 악성 트래픽 템플릿이 생성될 수 있으며, 제1 악성코드에 감염된 디바이스를 포함하는 제1 단말그룹(10) 전체에 대한 악성 트래픽 템플릿도 생성될 수 있다.
악성 트래픽 생성 장치(100)는 악성코드에 감염되지 않은 상기 복수개의 디바이스(11, 12, 21, 22)의 정상 트래픽 데이터도 수집할 수 있다. 본 발명의 몇몇 실시예에 따른 악성 트래픽 템플릿 생성방법은 상기 수집된 정상 트래픽 데이터에 특정 악성코드의 행위 정보를 삽입하는 형태로도 생성될 수 있다. 상세한 설명은 이하 도 3내지 도 4에서 후술한다.
이하 도 2를 참조하여 본 발명의 다른 실시예에 따른 단말그룹의 악성 트래픽 생성 방법을 설명한다.
단계 S100에서 악성 트래픽 템플릿을 생성하고자 하는 대상 단말그룹을 선정할 수 있다. 선정되는 단말그룹은 상기 설명한 바 네트워크로 연결된 디바이스의 집단이다. 단말집단간 네트워크로 연결 될 수 있고, 이 경우 단말그룹 내의 복수개의 디바이스의 IP주소는, 예를 들어 IP주소상 존재하는 복수개의 클래스 중 하나 이상의 동일한 네트워크 주소를 갖고, 호스트 주소를 달리하는 구조일 수 있다. 다만 이는 통상적으로 하나의 AP를 사용하는 단말그룹내에서 사용하는 IP주소의 예시임에 유의해야한다. 따라서 단계 S100에서 선정되는 단말그룹은 예를 들어, 특정 지역에 존재하는 복수개의 가구 중 한 가구일 수 있고, 한 건물에 존재하는 복수개의 회사 중 한 회사일 수 있다.
단계 S200에서 단말그룹에 존재하는 디바이스의 악성코드 감염 여부를 확인할 수 있다. 상기 디바이스가 악성코드에 감염되었는지 여부에 따라, 이하 후술할 상기 단말그룹의 악성 트래픽 템플릿의 생성 방법이 상이해 질 수 있다.
단계 S300에서는 단계 S200에서 상기 디바이스가 악성코드에 감염되지 않은 경우, 정상상태의 디바이스로부터 정상 트래픽 데이터를 획득 할 수 있다. 상기 트래픽 데이터는 예를 들어 TCPDUMP를 이용하여 수집될 수 있다.
단계 S400에서 상기 단계S300에서 획득한 정상 트래픽 데이터에 악성코드의 행위 정보를 삽입할 수 있다. 악성코드 행위 정보는 상기 악성코드에 디바이스가 감염된 경우 발생되는 데이터에 대한 정보를 포함한다. 예를 들어 악성코드 행위 정보는 악성코드가 감염된 디바이스에서 발생되는 악성코드 행위 패턴을 포함할 수 있다.이하 도 4에서 상세히 설명한다.
단계 S500에서 악성코드에 감염된 디바이스의 경우, 악성코드별로 상기 디바이스에서 생성되는 트래픽 데이터를 수집하여 악성 트래픽 템플릿을 생성할 수 있다. 상기 트래픽 템플릿은 디바이스의 기능별, 디바이스의 사용자별, 디바이스를 포함하는 단말그룹별로 생성될 수 있다. 상세한 설명은 이하 도 7내지 도 13에서 후술한다.
또한, 인바운드(in-bound) 공격을 하는 악성코드에 감염된 디바이스에 대한 악성 트래픽 템플릿을 생성하는 경우 상기 악성코드에 감염된 디바이스로 수신되는 트래픽 데이터만 수집할 수도 있다. 예를 들어 상기 악성코드는 상기 디바이스로 접속하는 모든 접근을 차단하는 공격을 할 수 있다. 인바운드 공격을 하는 악성코드에 의해 문제가 발생하는 경우 외부에서 상기 디바이스로 들어오는 네트워크 데이터에 의한 것이므로, 상기 디바이스로 수신되는 트래픽 데이터만 수집함으로써 컴퓨팅장치의 연산을 최소화 할 수 있다.
마찬가지로, 아웃바운드(out-bound) 공격을 하는 악성코드에 감염된 디바이스에 대한 악성 트래픽 템플릿을 생성하는 경우 상기 악성코드에 감염된 디바이스로부터 송신되는 트래픽 데이터만 수집할 수도 있다. 예를 들어 상기 악성코드는 디바이스가 시도하는 모든 접속을 허용하는 공격을 할 수 있다. 아웃바운드 공격을 하는 악성코드에 의해 문제가 발생하는 경우 디바이스의 내부에서 외부로 나가는 네트워크 데이터에 의한 것이므로, 상기 디바이스로부터 송신되는 트래픽 데이터만 수집함으로써 컴퓨팅장치의 연산을 최소화 할 수 있다.
단계 S600에서 단계 S400과 단계 S500에서 생성된 악성 트래픽 템플릿을 이용하여 단말그룹에 대한 가상의 악성 트래픽 템플릿을 생성할 수 있다. 단계 S400에서 생성된 정상 트래픽 데이터와 악성코드 행위 패턴을 이용하여 악성 트래픽 템플릿을 생성할 수 있고, 단계 S500에서 생성된 악성 트래픽 템플릿과 노이즈 트래픽을 이용하여 악성 트래픽 템플릿을 생성할 수 있으며, 단계 S400 과 단계 S500에서 생성된 악성 트래픽 템플릿을 이용하여 하나의 악성 트래픽 템플릿을 생성할 수도 있다.
상기 설명한 바와 같이 다양한 조합으로 악성 트래픽 템플릿을 생성함으로써, 생성된 악성 트래픽 템플릿을 이용해 다양하고 효율적인 머신 러닝의 학습 모델을 생성 할 수 있다. 특히 악성코드에 감염된 디바이스로부터 생성한 악성 트래픽 템플릿은 지도 학습을 하는 머신 러닝 알고리즘에 사용될 수 있다.
이하, 도 3내지 도 4를 참조하여 본 발명의 다른 실시예에 따라 악성코드에 감염되지 않은 디바이스로부터 획득한 정상 트래픽 데이터를 이용해 상기 디바이스의 악성 트래픽 템플릿을 생성하는 방법을 상세히 설명한다.
도 3을 참조하여 단말그룹에서 생성될 수 있는 정상 트래픽 데이터의 예시를 설명한다. 예를 들어 스마트 티비(201), 스마트 캠(202) 및 AI 스피커(203)중 하나 이상의 디바이스 집단(200)이 존재하는 경우, 단말그룹에서 생성되는 트래픽 데이터(310, 320)가 동일한 디바이스들에 의한 트래픽 데이터로 구성되더라도 각각의 단말그룹(310, 320)을 사용하는 사용자의 유형에 따라 다양한 패턴의 트래픽 데이터가 생성 될 수 있다. 예를 들어 제1 단말그룹에서 생성된 트래픽 데이터(310)는 AI 스피커로 수신되거나 AI 스피커로부터 송신된 트래픽(313), 스마트 캠으로 수신되거나 스마트 캠으로부터 송신된 트래픽(312) 및 스마트 티비로 수신되거나 스마트 티비로부터 송신된 트래픽(311)으로 구성될 수 있다. 마찬가지로 제2 단말그룹에서 생성된 트래픽 데이터(320)도 AI 스피커에서 획득한 트래픽(323), 스마트 캠에서 획득한 트래픽(322) 및 스마트 티비(321)에서 획득한 트래픽으로 구성될 수 있으나, 상기 트래픽들(321, 322, 323)의 발생 시간, 횟수 등의 정보가 제1 단말그룹에서 생성된 트래픽(310)에 존재하는 트래픽들(311, 312, 313)과 다를 수 있다.
도 4를 참조하여 디바이스에서 획득한 정상 트래픽에 악성코드 행위 패턴을 삽입하여 악성 트래픽 템플릿이 생성되는 방법을 설명한다. 디바이스의 정상 트래픽 데이터(330)의 트래픽을 악성코드의 행위 패턴(410, 420)으로 치환하거나, 정상 트래픽 데이터(330)에 악성코드의 행위 패턴(410, 420)을 갖는 트래픽을 삽입할 수 있다. 이에 한하지 않고, 악성코드의 행위패턴(410, 420)의 사이에 노이즈 트래픽을 추가하거나 치환하는 방법 등 다양한 패턴으로 트래픽이 생성될 수 있음에 유의해야한다.
또한 본 발명의 또 다른 실시예에 따라 알려진 악성코드 별 악성코드 행위 패턴(400)에서 악성코드 행위 패턴(410, 420)을 추출할 수도 있다. 상기 악성코드 행위 패턴(410, 420)은 예를 들어 DDoS(Distributed Denial of Service attack) 악성코드의 한 종류인 미라이(mirai) 봇넷이 임의의 문자열을 조합해 트래픽을 생성하는 패턴, 릿(leet) 봇넷이 디바이스의 로컬 파일에 접근하여 콘텐츠를 손상시킨 후 이를 뒤섞은 형태로 트래픽을 생성하는 패턴을 포함할 수 있다.
생성된 단말그룹의 악성 트래픽 템플릿(500)은 상기 악성코드 행위 패턴(507, 508), 정상 트래픽 및 노이즈 트래픽(509)중 하나 이상을 포함할 수 있다.
랜덤 노이즈 트래픽(509)은 악성코드의 행위 패턴(410, 420)과 무관한 트래픽으로, 상기 랜덤 노이즈 트래픽(509) 다양한 형태로 악성 트래픽 템플릿(500)에 삽입함으로써 다양한 형태의 악성 트래픽 템플릿(500)을 생성할 수 있다. 다양한 형태의 악성 트래픽 템플릿(500)이 생성 됨으로써 단말그룹의 악성코드 감염여부를 판단하는 모니터링 시스템에서 사용되는 머신 러닝 알고리즘의 학습에 사용될 데이터 모델의 양이 증가하고, 이에 따라 상기 머신 러닝 알고리즘의 정확도가 더 높아질 수 있다.
이하, 도 5를 참조하여 본 발명의 또 다른 실시예에 따라 악성코드에 감염된 디바이스에서 획득한 트래픽 데이터를 이용해 생성한 악성 트래픽 템플릿(501, 502)을 포함하는 단말그룹의 악성 트래픽 템플릿(510) 생성 방법을 설명한다. 악성코드에 감염된 디바이스에서 획득한 트래픽 데이터를 이용해 상기 디바이스와 관련된 악성 트래픽 템플릿(501, 502)을 생성하는 방법은 이하 도 7내지 도 13에서 후술한다.
상기 생성된 특정 디바이스와 관련된 악성 트래픽 템플릿을 포함하는 단말그룹의 악성 트래픽 템플릿(510)의 트래픽은 악성코드의 C&C(control & command)서버의 IP주소를 포함할 수 있다. C&C서버는 악성코드가 원하는 공격을 수행하도록 제어명령을 송신하는 서버이므로, 악성 트래픽 템플릿의 트래픽에 상기 C&C 서버의 IP주소를 삽입함으로써 악성코드에 감염된 단말그룹의 악성 트래픽 템플릿이 생성될 수 있다. 예를 들어 트래픽의 형태가 'TIME, SRC_IP, SRC_PORT, DST_IP, DST_PORT, PROTOCOL, BYTES + ...'인 경우 상기 트래픽이 송신된 IP주소를 의미하는 'SRC_IP'항목에 C&C서버의 IP주소를 삽입할 수 있다. 도 5를 참조하면 상기 악성 트래픽 템플릿(510)의 트래픽(511)에 C&C서버의 IP주소(512, 513)인 '101.101.101.101'및 '201.201.201.201'중 어느 하나를 'SRC_IP'의 자리에 삽입할 수 있다. 이와 같은 악성 트래픽 템플릿을 모델로 학습한 머신 러닝 알고리즘은 상기 C&C 서버의 IP주소를 포함하는 패킷을 포함하는 트래픽을 악성 트래픽으로 탐지할 수 있다.
도 6을 참조하면, 본 발명의 일 실시예에 따라 단말그룹의 악성 트래픽 템플릿(520)은 상기 설명한 디바이스의 정상 트래픽에 악성코드 패턴(507, 508)을 삽입한 악성 트래픽 템플릿(500)과 악성코드에 감염된 디바이스의 트래픽 데이터를 분석하여 생성한 트래픽 템플릿(501, 502)을 이용하여 만들 수도 있다.
예를 들어, 상기 방법으로 생성된 단말그룹의 악성 트래픽 템플릿(520)은 악성코드 패턴(521, 522), 디바이스의 악성 트래픽 템플릿(523) 및 악성코드와 무관한 랜덤 노이즈 트래픽(524)중 적어도 하나를 포함할 수 있다. 상기 악성코드 패턴(521, 522), 디바이스의 악성 트래픽 템플릿(523) 및 랜덤 노이즈 트래픽(524)중 하나 이상은 상기 단말그룹의 정상 트래픽 템플릿이 포함하는 트래픽과 치환 되거나 추가될 수 있다.
이하, 도 7 내지 도 13을 참조하여 디바이스의 악성 트래픽 템플릿을 생성하는 방법을 설명한다.
도 7은 디바이스별 존재하는 기능에 대한 정보이다. 본 발명에 일 실시예에 따른 디바이스의 악성 트래픽 템플릿은 디바이스의 기능별로 생성될 수 있는 바, 도 7의 표를 참조하여 디바이스별 기능 예시를 설명한다.
도 7의 AI 스피커는 날씨확인, 뉴스확인, 교통정보확인 및 음악실행기능 중 어느 하나 이상의 기능을 개별 기능으로 포함할 수 있다. 스마트 TV는 영상 어플리케이션 실행기능을 개별기능으로 포함할 수 있다. 스마트 냉장고는 인터넷 검색기능을 개별기능으로 포함할 수 있다. 스마트 에어컨은 공기정보 전달 및 외부에서 에어컨을 작동시키는 기능 중 적어도 하나를 개별 기능으로 포함할 수 있다. 또한 홈 카메라는 공간 내 물체 이동 탐지 영상 전달 기능을 개별기능으로 포함할 수 있고 스마트 체중계는 체중 전달 기능을 개별기능으로 포함할 수 있다.
상기 AI 스피커, 스마트 TV, 스마트 냉장고, 스마트 에어컨, 홈 카메라 및 스마트 체중계 디바이스들 중 어느 하나 이상은 공통 기능으로 인터넷 접속을 확인하는 기능 및 펌웨어 소프트웨어 업데이트를 확인하는 기능 중 적어도 하나를 공통기능으로 포함할 수 있다.
상기 디바이스에 존재하는 각각의 개별기능 및 공통기능 별로 상기 디바이스의 악성 트래픽 템플릿이 생성될 수 있다. 악성코드별로 상기 디바이스에서 이용하는 기능이 상이하므로, 상기 다양한 디바이스의 다양한 기능에 따라 악성 트래픽 템플릿이 생성됨으로써 실제 악성코드에 감염된 디바이스에서 발생된 트래픽과 유사한 가상의 악성 트래픽을 생성될 수 있다.
도 8을 참조하여 AI 스피커의 악성 트래픽 템플릿을 생성하기 위해 AI 스피커(600)의 기능별로 트래픽 템플릿을 생성하는 방법의 예시를 설명한다. 상기 AI 스피커(600)는 예를 들어 일기예보, 음원 검색/재생 및 음성 검색 기능 중 적어도 하나를 포함할 수 있다. AI 스피커의 트래픽 템플릿(530)은 예를 들어 시간의 흐름에 따라 상기 AI 스피커에서 사용되는 기능과 관련된 트래픽 데이터를 포함할 수 있다.
본 실시예에서 생성되는 AI 스피커의 기능별 트래픽 템플릿은 정상상태의 AI 스피커의 트래픽 데이터와 유사하게 생성될 수 있고, 악성코드에 감염된 상태의 AI 스피커의 트래픽 데이터와 유사하게 생성될 수도 있다. 정상상태인 AI 스피커의 트래픽 데이터와 유사하게 생성될 경우, 상기 AI 스피커와 관련된 악성 트래픽 템플릿 생성과정은 이하 도 9에서 생성된 트래픽 템플릿에 악성코드 행위 패턴이 삽입되는 과정을 포함한다. 반면 악성코드에 감염된 상태의 AI 스피커의 트래픽 데이터와 유사하게 생성될 경우, 상기 AI 스피커와 관련된 악성 트래픽 템플릿 생성과정은 선택적으로 이하 도 9의 악성코드 행위 패턴 삽입 과정이 포함될 수 있다.
도 8의 상기 AI 스피커의 악성 트래픽 템플릿(530)은 00시부터 24시중 AI 스피커의 일기예보 기능의 사용에 의해 발생된 트래픽 데이터(531), 음원 검색/재생기능의 사용에 의해 발생된 트래픽 데이터(532) 및 음성검색 기능의 사용에 의해 발생된 트래픽 데이터(533)중 적어도 하나를 포함하여 구성될 수 있다. AI 스피커의 트래픽 템플릿이 기능별로 생성됨으로써 상기 설명한 바 악성코드에 감염된 AI 스피커의 트래픽 데이터와 유사한 가상의 악성 트래픽 데이터가 정교하게 생성될 수 있다.
도 9를 참조하여 AI 스피커의 기능별 악성 트래픽 템플릿이 생성되는 방법을 상세히 설명한다. 상기 도 8에서 생성된 AI 스피커의 악성 트래픽 템플릿(530) 악성코드에 감염된 AI 스피커의 트래픽 데이터와 더 유사한 패턴을 갖도록 하기 위해, AI 스피커의 기능별 악성 트래픽 템플릿(540)은 악성코드의 악성 행위 패턴(400)을 더 이용하여 생성될 수 있다.
악성코드의 악성 행위 패턴(400)은 악성코드별로 AI 스피커에서 사용되는 기능 및 상기 기능이 사용되는 패턴(410, 420)에 대한 정보를 포함할 수 있다. AI 스피커의 기능별 트래픽 템플릿(530)은 예를 들어 일기예보 기능과 관련된 트래픽 데이터(531), 음원 검색/재생 기능과 관련된 트래픽 데이터(532) 및 음성검색기능과 관련된 트래픽 데이터(533)중 적어도 하나를 포함하여 생성될 수 있다.
예를 들어 특정 악성코드가 일기예보기능과 관련된 트래픽 데이터(541) 및 음원 검색/재생 기능과 관련된 트래픽 데이터(542)에서 악성코드의 행위패턴을 보이는 경우, 생성되는 가상의 AI 스피커의 악성 트래픽 템플릿(540)은 일기예보기능과 관련된 트래픽 데이터(541)가 악성코드 행위 패턴(410) 포함하고, 음원 검색/재생 기능과 관련된 트래픽 데이터(542)가 악성코드 행위 패턴(420)을 포함하도록 할 수 있다.
도 10 내지 도 12을 참조하여 디바이스의 사용자별 악성 트래픽 템플릿이 생성되는 방법을 설명한다. 본 발명의 일 실시예에 따른 디바이스의 악성 트래픽 템플릿은 디바이스의 사용자별로 생성될 수 있다. 또한 상기 디바이스를 포함하는 단말그룹에 대하여도 사용자별로 단말그룹의 악성 트래픽 템플릿이 생성될 수 있다. 악성코드별로 단말그룹중 특정 디바이스를 이용하는 이용패턴이 상이하므로, 본 별명의 본 실시예에 따라 실제 악성코드에 감염된 디바이스에서 발생된 트래픽과 유사한 가상의 악성 트래픽이 생성될 수 있다.
도 10을 참조하여 특정 단말그룹에 대한 사용자 A와 사용자 B의 사용 패턴과 관련된 트래픽 데이터의 예시를 설명한다. AI 스피커, 홈카메라, 스마트 에어컨, 스마트 냉장고 및 스마트 TV를 포함하는 단말그룹을 사용하는 사용자 A와 사용자 B는 하나의 단말그룹의 사용자일 수 있고, 동일한 디바이스로 구성된 상이한 단말그룹의 사용자 일 수 있다.
또한 상기 사용자의 주중 사용과 주말 사용패턴에 따라 단말그룹의 트래픽 데이터가 상이하게 생성될 수 있다. 예를 들어, 단말그룹을 주중에 사용하는 사용자 A의 트래픽 데이터는 기상 및 출근 준비시간, 근무시간, 귀가시간 및 취침시간별로 단말그룹에서 발생되는 트래픽 데이터를 포함할 수 있다. 또한 단말그룹을 주말에 사용하는 사용자A의 트래픽 데이터는 외출시간, 귀가시간, 취침시간 및 그 외 시간에서 발생되는 트래픽 데이터를 포함할 수 있다. 사용자 B과 관련된 단말그룹의 트래픽 데이터도 마찬가지로 주중과 주말에 해당하는 트래픽 데이터로 생성될 수 있으나, 사용자 A와 디바이스 사용패턴이 상이할 수 있다.
예를 들어 사용자 A는 주중 근무시간에 단말그룹의 홈카메라, 스마트 에어컨을 사용함으로써 트래픽 데이터가 발생되지만, 사용자 B의 주중 근무시간에는 트래픽 데이터가 발생되지 않는다. 따라서 만약 사용자 B의 주중 근무시간에 단말그룹의 트래픽 데이터가 발생된다면 악성 트래픽 데이터로 의심될 수 있다는 차이가 존재한다. 본 실시예에서는 상기 사용자 별로 단말그룹 트래픽 데이터가 상이하게 생성됨으로써 정교한 가상의 악성 트래픽 템플릿이 생성될 수 있다.
도 11을 참조하여 AI스피커를 사용하는 사용자에 따라 다르게 생성되는 트래픽 데이터의 예시를 설명한다. 동일한 디바이스인 AI스피커를 사용하더라도 사용자에 따라 생성되는 트래픽 데이터는 상이할 수 있다. 상기 설명한바, 사용자 별로 디바이스를 사용하는 사용 패턴이 상이하기 때문이다.
본 실시예에서 생성되는 AI 스피커의 사용자별 트래픽 템플릿은 정상상태의 AI스피커의 트래픽 데이터와 유사하게 생성될 수 있고, 악성코드에 감염된 상태의 AI 스피커의 트래픽 데이터와 유사하게 생성될 수도 있다. 정상상태인 AI 스피커의 트래픽 데이터와 유사하게 생성될 경우 상기 AI 스피커와 관련된 악성 트래픽 템플릿 생성과정은 이하 도 12에서 생성된 트래픽 템플릿에 악성코드 행위 패턴이 삽입되는 과정을 포함한다. 반면 악성코드에 감염된 상태의 AI 스피커의 트래픽 데이터와 유사하게 생성될 경우, 상기 AI 스피커와 관련된 악성 트래픽 템플릿 생성과정은 선택적으로 이하 도 12의 악성코드 행위 패턴 삽입 과정이 포함될 수 있다.
예를 들어 사용자 A(611) 및 사용자 B(612)가 AI 스피커(610)를 사용하면, 시간의 흐름에 따라 상기 사용자 별로 AI 스피커의 사용과 관련된 트래픽 데이터가 생성될 수 있다.
이경우, AI 스피커에 관련된 트래픽 템플릿(550)은 사용자 A의 사용과 A와 관련된 트래픽 템플릿(551) 및 사용자 B와 관련된 트래픽 템플릿(552)중 적어도 하나를 포함할 수 있다. 상기 설명한바 사용자 A와 관련된 트래픽 템플릿(551)과 사용자 B와 관련된 트래픽 템플릿(552)은 각각의 사용자의 사용 패턴에 따라 다르게 생성될 수 있다.
이하 도 12를 참조하여 AI 스피커의 사용자별 악성 트래픽 템플릿이 생성되는 방법을 상세히 설명한다. AI 스피커의 사용자별 악성 트래픽 템플릿은 악성 코드의 악성 행위 패턴(400)과 AI 스피커의 사용자별로 생성한 트래픽 템플릿(550)을 이용하여 생성될 수 있다.
악성코드의 악성 행위 패턴(400)은 악성코드별로 AI 스피커와 관련된 악성 트래픽을 생성하기위해 AI 스피커가 특정 사용자에 의해 사용되는 사용패턴(410, 420)에 관한 정보를 포함할 수 있다. AI 스피커의 사용자별 트래픽 템플릿(550)은 상기 AI 스피커를 사용하는 사용자 A 및 사용자 B 중 어느 한 사람 이상과 관련된 트래픽 데이터(553)를 포함할 수 있다.
예를 들어 특정 악성코드가 상기 AI 스피커에 대한 사용자의 특정 패턴과 관련된 트래픽 데이터(561, 562)에서 악성코드의 행위 패턴을 보이는 경우, 생성되는 가상의 AI 스피커의 악성 트래픽 템플릿(560)은 사용자의 AI 스피커 사용과 관련된 트래픽 데이터가 상기 악성코드 행위 패턴(410, 420)를 포함하도록 할 수 있다.
구체적으로, 사용자의 AI 스피커 사용과 관련된 트래픽 템플릿(550)을 악성코드의 행위 패턴(410)으로 치환하는 방법으로 악성 트래픽 템플릿(561)을 생성할 수 있고, 사용자의 AI 스피커 사용과 관련된 트래픽 템플릿(550)에 악성코드의 행위 패턴(420)을 추가하는 방법으로 악성 트래픽 템플릿(561)을 생성할 수도 있다. 이에 한정되지 않고 상기 악성 트래픽 템플릿(560)은 다양한 방법으로 악성 행위 패턴(410, 420)을 포함할 수 있음에 유의한다.
도 13을 참조하여, 가상의 단말그룹을 생성하는 방법에 대해 상세히 설명한다. 단말그룹의 가상의 악성 트래픽 템플릿을 생성하기 위해, 상기 단말그룹에 포함되는 디바이스와 상기 단말그룹의 사용자를 지정할 수 있다.
단말그룹에 포함되는 디바이스의 종류 및 사용자에 따라 생성되는 악성 트래픽 템플릿이 상이하므로, 머신 러닝 알고리즘의 학습을 위한 다양한 학습모델이 생성될 수 있다.
예를 들어 '단말그룹1'은 'A 타입 사용자' 1명과 AI 스피커, 스마트 티비, 스마트 냉장고, 스마트 에어컨 및 스마트 캠중 적어도 하나를 포함한 형태로 구성될 수 있다. 마친가지로 단말그룹 2 내지 단말그룹 5도 각각 다양한 사용자 및 디바이스를 포함하여 구성될 수 있다.
이하 도 14 내지 도 21을 참조하여 단말그룹의 악성 트래픽 템플릿을 생성하기 위해 상기 단말그룹으로 전송하는 네트워크 패킷의 생성 방법에 대해 설명한다. 단말그룹의 가상의 악성 트래픽 템플릿을 생성하기 위해서는, 상기 단말그룹의 트래픽 데이터 생성을 유도하기 위한 상기 단말그룹으로의 네트워크 패킷 송/수신이 필요하다.
도 14를 참조하면, 단말그룹의 악성 트래픽 데이터 생성을 위해 상기 단말그룹으로 송/수신하는 네트워크 패킷(740)은 상기 단말그룹이 포함하는 디바이스의 기능별 정보(710), 상기 단말그룹의 사용자 정보(720) 및 상기 단말그룹의 정보(730)중 적어도 하나를 포함하여 생성될 수 있다. 이하 도 15 내지 도 20을 참조하여 상기 악성 트래픽 데이터 생성을 위해 상기 단말그룹으로 전송하는 네트워크 패킷(740)을 생성하기 위한 데이터베이스(database)를 상세히 설명한다.
도 15를 참조하면 단말그룹에 대한 데이터베이스는 키(key)값으로 단말그룹의 식별자를 포함하고, 몇몇 실시예에 따라 인터넷 회선 대역폭 및 단말그룹 AP의 MAC주소에 대한 정보 중 적어도 하나를 더 포함할 수 있다.
도 16을 참조하면 단말그룹별로 상기 단말그룹을 사용하는 사용자에 대한 데이터베이스는 키값으로 도 15의 단말그룹에 대한 데이터베이스의 키값인 단말그룹의 식별자 및 디바이스 사용자의 유형별 식별자를 포함하고, 몇몇 실시예에 따라 사용자 식별자를 더 포함할 수 있다.
도 17을 참조하면 본 발명의 몇몇 실시예에 따라 단말그룹에 대한 데이터 및 단말그룹 사용자에 대한 데이터베이스를 이용하여, 사용자 유형별 디바이스 사용 패턴에 대한 데이터베이스를 생성할 수 있다. 도 16의 사용자 유형별 디바이스 사용 패턴에 대한 데이터베이스는 키값으로 디바이스의 사용자 유형별 식별자 및 디바이스 사용자에 대한 데이터베이스의 키값인 디바이스 유형코드를 포함하고, 몇몇 실시예에 따라 사용자 유형별 디바이스 사용 패턴을 정의한 추가 정보를 더 포함할 수 있다.
사용자 유형별 디바이스 사용 패턴에 대한 데이터베이스가 생성됨으로써 사용자 유형별로 디바이스를 사용하는 다양한 패턴에 기반하여, 상기 디바이스의 악성 트래픽 템플릿이 다양하고 정교하게 생성될 수 있다. 예를 들어 특정 악성코드의 행위패턴과 유사한 사용패턴을 갖는 사용자가 있는 경우, 상기 사용자에 대한 사용패턴이 데이터베이스로 관리됨으로써 기존에 구별되기 어려웠던 사용자의 정상 사용 패턴과 미세한 차이를 갖는 악성 트래픽 템플릿이 생성될 수 있다. 이로써, 상기 악성 트래픽 템플릿으로 학습된 머신 러닝 알고리즘은 상기 악성코드 행위패턴과 상기 사용자의 사용패턴간 다양하고 미세한 차이를 구별할 수 있을 것이다.
도 18을 참조하면 상기 단말그룹에 포함되는 디바이스 유형에 대한 데이터베이스는 키값으로 디바이스 유형 코드를 포함하고, 몇몇 실시예에 따라 디바이스 유형 명칭 및 디바이스 유형 설명에 대한 정보중 적어도 하나를 더 포함할 수 있다. 상기 디바이스 유형 코드는 디바이스의 유형별로 특정 식별자를 부여한 것 일 수 있다. 예를 들어 통신기기 유형인 유선전화, 무선전화 및 휴대폰은 동일한 디바이스 유형 코드일 수 있다.
도 19를 참조하면 디바이스의 기능에 대한 데이터베이스는 키값으로 디바이스 기능 유형 코드를 포함하고, 몇몇 실시예에 따라 디바이스 기능 유형 명칭 및 디바이스 기능 유형 설명중 적어도 하나를 더 포함할 수 있다. 상기 디바이스 기능 유형 코드는 디바이스의 기능별로 특정 식별자를 부여한 것 일 수 있다. 예를 들어 스마트 TV와 스마트 에어컨이 단말그룹의 AP에 접속을 요청하는 기능을 갖는 경우, 상기 AP에 대한 접속 요청 기능은 동일한 기능 유형 코드를 가질 수 있다.
도 20을 참조하면 본 발명의 몇몇 실시예에 따라 디바이스 기능별 트래픽 패턴 정보에 대한 데이터베이스는 디바이스 유형에 대한 데이터베이스 및 디바이스 기능에 대한 데이터베이스를 이용하여 생성될 수 있다. 디바이스 기능별 트래픽 패턴 정보에 대한 데이터베이스는 키값으로 도 18의 디바이스 유형에 대한 데이터베이스의 키값인 디바이스 유형 코드 및 도 19의 디바이스의 기능에 대한 데이터베이스의 키값인 디바이스 기능 유형 코드를 포함하고, 몇몇 실시예에 따라 디바이스별/디바이스의 기능별 트래픽 패턴 정의 정보를 더 포함할 수 있다.
디바이스 기능별 트래픽 패턴 정보에 대한 데이터베이스가 생성됨으로써 단말그룹의 디바이스 기능별로 상기 기능이 사용되는 다양한 패턴에 기반하여, 상기 디바이스의 악성 트래픽 템플릿이 다양하고 정교하게 생성될 수 있다. 예를 들어 특정 악성코드의 행위패턴과 디바이스의 특정 기능이 사용되는 패턴이 유사한 경우, 상기 디바이스 기능별 트래픽 패턴 정보가 데이터베이스로 관리됨으로써 기존에 구별되기 어려웠던 상기 디바이스의 기능의 정상 사용 패턴과 미세한 차이를 갖는 악성 트래픽 템플릿이 생성될 수 있다. 이로써, 상기 악성 트래픽 템플릿으로 학습된 머신 러닝 알고리즘은 상기 악성코드의 행위패턴과 상기 디바이스의 정상 사용 패턴간 다양하고 미세한 차이를 구별할 수 있을 것이다.
도 21을 참조하여 본 발명의 몇몇 실시예에 따라 도 14 내지 도 20에 따라 생성된 데이터 베이스를 이용하여 생성된 단말그룹의 악성 트래픽 템플릿에 따라 송/수신 되는 네트워크 패킷을 설명한다.
예를 들어 단말그룹에 존재하는 AI스피커의 IP주소가 '192.213.213.22'이고 단말그룹의 AP의 IP주소가 '123.234.23.126'인 경우, 악성코드의 행위 패턴이 1초마다 AP 와 AI스피커간 신호를 주고 받는 것 이라면 도 21과 같이 2018년 1월 1일 6시부터 1초 간격으로 AI 스피커가 AP로 사이즈가 45인 패킷을 송신, AP가 AI 스피커로 사이즈가 46인 패킷을 송신 및 다시 AI 스피커가 AP로 사이즈가 251인 패킷을 송신하도록 악성 트래픽 템플릿이 생성될 수 있다.
도 22에 도시된 바와 같이, 본 실시예에 따른 단말그룹의 악성 트래픽 템플릿 생성 방법을 수행하는 컴퓨팅 장치(100)는 프로세서(110) 및 메모리(120)를 포함하고, 본 발명의 몇몇 실시예들에서 스토리지(140), 네트워크 인터페이스(130) 및 시스템 버스 중 적어도 하나를 더 포함할 수 있다.
메모리(120)에 로드 되어 저장되는 하나 이상의 인스트럭션(121, 122, 123)은 프로세서(110)를 통하여 실행되고, 악성 트래픽 템플릿(124)을 생성하여 메모리에 저장될 수 있다. 본 실시예에 따른 디바이스 운영체제 식별 방법을 수행하는 컴퓨팅 장치(100)는 별도의 설명이 없더라도 도 1을 참조하여 설명한 단말그룹의 악성 트래픽 템플릿 생성 방법을 수행할 수 있는 점을 유의한다.
네트워크 인터페이스(130)는 상기 단말그룹에 포함된 디바이스로 패킷을 송신하거나, 상기 디바이스로부터 패킷을 수신할 수 있다. 상기 수신된 패킷에 대한 정보는 스토리지(140)에 저장되도록 할 수 있다.
스토리지(140)는 악성코드 행위패턴을 포함하는 악성코드 행위 분석 정보(141) 및 단말그룹으로부터 수신한 디바이스별 트래픽 데이터(142)를 저장할 수 있다.
상기 하나 이상의 인스트럭션은, 상기 단말그룹에 포함되는 디바이스별 트래픽 데이터를 추출하는 디바이스별 트래픽 데이터 추출 인스트럭션(121), 스토리지에 저장된 악성코드 행위 분석 정보(141)로부터 악성코드 행위 패턴을 추출하는 악성코드 행위 패턴 추출 인스트럭션(122) 및 악성코드별로 단말그룹의 가상의 악성 트래픽 템플릿을 생성하는 악성코드별 가상의 악성 트래픽 생성 인스트럭션(123)을 포함할 수 있다.
일 실시예에서, 디바이스별 트래픽 데이터 추출 인스트럭션(121)은 트래픽 데이터에 악성코드를 삽입하기 위해 단말그룹에 포함되는 디바이스에서 정상 트래픽을 추출할 수 있고, 악성코드에 감염된 디바이스의 트래픽 데이터를 추출할 수도 있다.
일 실시예에서, 악성코드 행위 패턴 추출 인스트럭션(122)은 악성코드별로 악성 트래픽 템플릿을 생성하기 위해 기존에 알려진 악성코드 행위 분석 정보(141)로부터 악성코드의 트래픽 데이터상에서 행위 패턴을 추출할 수 있다.
일 실시예에서, 악성코드별 가상의 악성 트래픽 생성 인스트럭션(123)은 상기 추출한 트래픽 데이터 및 악성코드 행위 패턴을 이용하여 사용자 유형별 디바이스 사용에 대한 악성 트래픽 템플릿을 생성할 수 있고, 디바이스 기능별 악성 트래픽 템플릿 및 단말그룹에 대한 악성 트래픽 템플릿을 생성할 수도 있다.
지금까지 설명된 본 발명의 실시예에 따른 방법들은 컴퓨터가 읽을 수 있는 코드로 구현된 컴퓨터프로그램의 실행에 의하여 수행될 수 있다. 상기 컴퓨터프로그램은 인터넷 등의 네트워크를 통하여 제1 컴퓨팅 장치로부터 제2 컴퓨팅 장치에 전송되어 상기 제2 컴퓨팅 장치에 설치될 수 있고, 이로써 상기 제2 컴퓨팅 장치에서 사용될 수 있다. 상기 제1 컴퓨팅 장치 및 상기 제2 컴퓨팅 장치는, 서버 장치, 클라우드 서비스를 위한 서버 풀에 속한 물리 서버, 데스크탑 피씨와 같은 고정식 컴퓨팅 장치를 모두 포함한다.
상기 컴퓨터프로그램은 DVD-ROM, 플래시 메모리 장치 등의 기록매체에 저장된 것일 수도 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로 이해해야만 한다.

Claims (15)

  1. 컴퓨팅 장치에 의해 수행되는 방법에 있어서,
    제1 악성코드에 감염된 제1 디바이스로부터 송신되거나, 상기 제1 디바이스로 수신되는 트래픽 데이터 및 악성코드에 감염되지 않은 제3 디바이스로부터 송신되거나, 상기 제3 디바이스로부터 수신되는 트래픽 데이터를 획득하는 단계;
    상기 획득한 트래픽 데이터를 분석하여 상기 제1 디바이스로부터 송신되거나 수신되는 트래픽 데이터와 상이한 제1 디바이스의 가상 트래픽 템플릿 및 상기 제3 디바이스로부터 송신되거나 수신되는 트래픽 데이터와 상이한 제3 디바이스의 가상 트래픽 템플릿을 생성하는 단계; 및
    상기 제1 디바이스 및 제3 디바이스 가 포함된 단말그룹의 가상 악성 트래픽 템플릿을 생성하되, 상기 단말그룹의 가상 악성 트래픽 템플릿은 상기 생성된 제1 디바이스의 가상 트래픽 템플릿 및 제3 디바이스의 가상 트래픽 템플릿을 포함하여 구성되는 것인, 단계를 포함하는,
    악성 트래픽 생성 방법.
  2. 제1 항에 있어서,
    상기 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계는,
    상기 제1 디바이스로 수신되는 트래픽 데이터만 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계를 포함하는,
    악성 트래픽 생성 방법.
  3. 제1 항에 있어서,
    상기 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계는,
    상기 제1 디바이스로부터 송신되는 트래픽 데이터만 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계를 포함하는,
    악성 트래픽 생성 방법.
  4. 제1 항에 있어서,
    상기 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계는,
    상기 단말그룹을 사용하는 사용자와 관련된 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계를 포함하는,
    악성 트래픽 생성 방법.
  5. 제4 항에 있어서,
    상기 단말그룹을 사용하는 사용자와 관련된 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계는,
    상기 단말그룹을 사용하는 제1 사용자와 관련된 트래픽 데이터를 분석하여 상기 제1 디바이스의 제1 트래픽 템플릿을 생성하는 단계; 및
    상기 단말그룹을 사용하는 제2 사용자와 관련된 트래픽 데이터를 분석하여 상기 제1 디바이스의 제2 트래픽 템플릿을 생성하는 단계를 포함하는,
    악성 트래픽 생성 방법.
  6. 제1 항에 있어서,
    상기 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계는,
    상기 제1 디바이스에서 사용되는 기능과 관련된 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계를 포함하는,
    악성 트래픽 생성 방법.
  7. 제6 항에 있어서,
    상기 제1 디바이스에서 사용되는 기능과 관련된 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계는,
    상기 제1 디바이스의 제1 기능과 관련된 트래픽 데이터를 분석하여 상기 제1 디바이스의 제3 트래픽 템플릿을 생성하는 단계; 및
    상기 제1 디바이스의 제2 기능과 관련된 트래픽 데이터를 분석하여 상기 제1 디바이스의 제4 트래픽 템플릿을 생성하는 단계를 포함하는,
    악성 트래픽 생성 방법.
  8. 제1 항에 있어서,
    상기 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계는,
    상기 제1 악성코드의 C&C(control and command)서버의 IP 주소 포함하는 패킷을 포함하는 트래픽 템플릿을 생성하는 단계를 포함하는,
    악성 트래픽 생성 방법.
  9. 제1 항에 있어서,
    상기 트래픽 데이터를 분석하여 상기 제1 디바이스의 트래픽 템플릿을 생성하는 단계는,
    상기 제1 악성코드와 무관한 랜덤 노이즈(random noise) 트래픽을 포함하는 트래픽 템플릿을 생성하는 단계를 포함하는,
    악성 트래픽 생성 방법.
  10. 제1 항에 있어서,
    상기 단말그룹의 악성 트래픽 템플릿을 생성하는 단계는,
    상기 단말그룹의 악성 트래픽 템플릿을 생성하되, 상기 단말그룹의 악성 트래픽 템플릿은 상기 제1 디바이스의 정상 상태 트래픽 데이터를 더 포함하여 구성되는 것인, 단계를 포함하는,
    악성 트래픽 생성 방법.
  11. 제10 항에 있어서,
    상기 단말그룹의 악성 트래픽 템플릿을 생성하되, 상기 단말그룹의 악성 트래픽 템플릿은 상기 제1 디바이스의 트래픽 템플릿을 포함하여 구성되는 것인, 단계는,
    상기 제1 디바이스의 상기 정상 상태 트래픽 데이터에 상기 제1 악성코드의 행위 패턴을 삽입하는 단계를 더 포함하는,
    악성 트래픽 생성 방법.
  12. 제1 항에 있어서,
    상기 단말그룹의 악성 트래픽 템플릿을 생성하되, 상기 단말그룹의 악성 트래픽 템플릿은 상기 제1 디바이스의 트래픽 템플릿을 포함하여 구성되는 것인, 단계는,
    상기 단말그룹의 악성 트래픽 템플릿을 생성하되, 상기 단말그룹의 악성 트래픽 템플릿은 상기 단말그룹에 포함된 제2 디바이스의 트래픽 템플릿을 더 포함하여 구성되는 것인, 단계를 포함하는,
    악성 트래픽 생성 방법.
  13. 컴퓨팅 장치에 의해 수행되는 방법에 있어서,
    악성코드에 감염되지 않은 제1 디바이스 및 제2 디바이스를 포함하는 단말그룹과 관련된 정상 트래픽 데이터를 얻는 단계;
    상기 제1 디바이스의 정상 트래픽 데이터와 제1 악성코드의 행위 분석 정보를 이용하여 상기 제1 디바이스의 정상 트래픽 데이터와 상이한 제1 디바이스의 가상 악성 트래픽 템플릿을 생성하고 상기 제2 디바이스의 정상 트래픽 데이터를 이용하여 상기 제2 디바이스의 정상 트래픽 데이터와 상이한 제2 디바이스의 가상 트래픽 템플릿을 생성하는 단계; 및
    상기 제1 디바이스 및 제2 디바이스가 포함된 단말그룹의 가상 악성 트래픽 템플릿을 생성하는 단계를 포함하되, 상기 단말그룹의 가상 악성 트래픽 템플릿은 상기 제1 디바이스의 가상 악성 트래픽 템플릿 및 상기 제2 디바이스의 가상 트래픽 템플릿을 포함하여 구성되는 것인
    악성 트래픽 생성 방법.
  14. 제13 항에 있어서,
    상기 제1 디바이스의 정상 트래픽 데이터와 제1 악성코드의 행위 분석 정보를 이용하여 상기 제1 디바이스의 정상 트래픽 데이터와 상이한 제1 디바이스의 가상 악성 트래픽 템플릿을 생성하는 단계는,
    상기 제1 악성코드의 행위 분석 정보로부터 상기 제1 악성코드의 행위 패턴을 얻는 단계; 및
    상기 제1 디바이스의 정상 트래픽 데이터에 상기 제1 악성코드의 행위 패턴을 삽입하여 제1 디바이스의 가상 악성 트래픽 템플릿을 생성하는 단계를 포함하는,
    악성 트래픽 생성 방법.
  15. 악성 트래픽 생성 프로그램이 로드 되는 메모리; 및
    상기 메모리에 로드 된 악성 트래픽 생성 프로그램을 실행하는 프로세서를 포함하되,
    악성 트래픽 생성 프로그램은,
    제1 악성코드에 감염된 제1 디바이스로부터 송신되거나, 상기 제1 디바이스로 수신되는 트래픽 데이터 및 악성코드에 감염되지 않은 제3 디바이스로부터 송신되거나, 상기 제3 디바이스로부터 수신되는 트래픽 데이터를 획득하는 인스트럭션(instruction);
    상기 획득한 트래픽 데이터를 분석하여 상기 제1 디바이스로부터 송신되거나 수신되는 트래픽 데이터와 상이한 제1 디바이스의 가상 트래픽 템플릿 및 상기 제3 디바이스로부터 송신되거나 수신되는 트래픽 데이터와 상이한 제3 디바이스의 가상 트래픽 템플릿을 생성하는 인스트럭션; 및
    상기 제1 디바이스 및 제3 디바이스 가 포함된 단말그룹의 가상 악성 트래픽 템플릿을 생성하되, 상기 단말그룹의 가상 악성 트래픽 템플릿은 상기 생성된 제1 디바이스의 가상 트래픽 템플릿 및 제3 디바이스의 가상 트래픽 템플릿을 포함하여 구성되는 것인, 인스트럭션을 포함하는,
    컴퓨팅장치.
KR1020180149569A 2018-11-28 2018-11-28 악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치 KR101990022B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020180149569A KR101990022B1 (ko) 2018-11-28 2018-11-28 악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치
US16/517,500 US11245712B2 (en) 2018-11-28 2019-07-19 Method and apparatus for generating virtual malicious traffic template for terminal group including device infected with malicious code

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180149569A KR101990022B1 (ko) 2018-11-28 2018-11-28 악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020190068713A Division KR102089417B1 (ko) 2019-06-11 2019-06-11 악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치

Publications (1)

Publication Number Publication Date
KR101990022B1 true KR101990022B1 (ko) 2019-06-17

Family

ID=67064783

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180149569A KR101990022B1 (ko) 2018-11-28 2018-11-28 악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치

Country Status (2)

Country Link
US (1) US11245712B2 (ko)
KR (1) KR101990022B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11811822B2 (en) * 2020-06-17 2023-11-07 Paypal, Inc. Systems and methods for detecting and automatically blocking malicious traffic
US20230224318A1 (en) * 2022-01-08 2023-07-13 Traceable Inc. Application security testing based on live traffic
US11843618B1 (en) 2022-05-15 2023-12-12 Uab 360 It Optimized analysis for detecting harmful content

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101679578B1 (ko) * 2015-05-27 2016-11-25 주식회사 윈스 IoT 보안을 위한 제어 서비스 제공 장치 및 방법
KR20180024455A (ko) 2016-08-30 2018-03-08 삼성에스디에스 주식회사 의료 정보 처리 방법과 이를 수행하기 위한 장치 및 시스템
KR20180024524A (ko) * 2016-08-30 2018-03-08 주식회사 윈스 네트워크 트래픽 분석에 의한 평판 기반 차단 장치 및 방법
KR20180083522A (ko) * 2017-01-13 2018-07-23 (주)노르마 IoT 무선 보안 서비스 방법 및 시스템
JP2018148270A (ja) * 2017-03-01 2018-09-20 日本電信電話株式会社 分類装置、分類方法および分類プログラム

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9047441B2 (en) 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
US9001688B2 (en) * 2012-08-10 2015-04-07 Ixia Dynamic balancing of a traffic mix for data center device testing
US10567398B2 (en) * 2013-11-04 2020-02-18 The Johns Hopkins University Method and apparatus for remote malware monitoring
US9973516B2 (en) * 2015-02-13 2018-05-15 International Business Machines Corporation Traffic shape obfuscation when using an encrypted network connection
KR20170060280A (ko) * 2015-11-24 2017-06-01 한국전자통신연구원 탐지 규칙 자동 생성 장치 및 방법
US10798167B2 (en) * 2015-11-25 2020-10-06 International Business Machines Corporation Storage enhanced intelligent pre-seeding of information
KR20170091989A (ko) 2016-02-02 2017-08-10 동신대학교산학협력단 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법
JP6692178B2 (ja) 2016-02-23 2020-05-13 株式会社日立製作所 通信システム
US10567342B2 (en) * 2016-02-24 2020-02-18 Imperva, Inc. Techniques for securely detecting compromises of enterprise end stations utilizing tunnel tokens
RU2634211C1 (ru) * 2016-07-06 2017-10-24 Общество с ограниченной ответственностью "Траст" Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак
CN110520806B (zh) * 2016-09-30 2022-09-27 西门子股份公司 对可编程逻辑控制器的偏差工程修改的识别
JP6770454B2 (ja) 2017-02-16 2020-10-14 日本電信電話株式会社 異常検知システム及び異常検知方法
US11030308B2 (en) * 2017-08-09 2021-06-08 Nec Corporation Inter-application dependency analysis for improving computer system threat detection
US10708297B2 (en) * 2017-08-25 2020-07-07 Ecrime Management Strategies, Inc. Security system for detection and mitigation of malicious communications
US10705821B2 (en) * 2018-02-09 2020-07-07 Forescout Technologies, Inc. Enhanced device updating
US11070453B2 (en) * 2018-09-13 2021-07-20 Microsoft Technology Licensing, Llc Providing network traffic endpoint recommendation based on network traffic data analysis

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101679578B1 (ko) * 2015-05-27 2016-11-25 주식회사 윈스 IoT 보안을 위한 제어 서비스 제공 장치 및 방법
KR20180024455A (ko) 2016-08-30 2018-03-08 삼성에스디에스 주식회사 의료 정보 처리 방법과 이를 수행하기 위한 장치 및 시스템
KR20180024524A (ko) * 2016-08-30 2018-03-08 주식회사 윈스 네트워크 트래픽 분석에 의한 평판 기반 차단 장치 및 방법
KR20180083522A (ko) * 2017-01-13 2018-07-23 (주)노르마 IoT 무선 보안 서비스 방법 및 시스템
JP2018148270A (ja) * 2017-03-01 2018-09-20 日本電信電話株式会社 分類装置、分類方法および分類プログラム

Also Published As

Publication number Publication date
US11245712B2 (en) 2022-02-08
US20200169577A1 (en) 2020-05-28

Similar Documents

Publication Publication Date Title
US11696110B2 (en) Distributed, crowdsourced internet of things (IoT) discovery and identification using Block Chain
KR101990022B1 (ko) 악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치
TW201830929A (zh) 在網路流量型樣中以上下文為基礎之異常行為之偵測
CN114145004B (zh) 用于使用dns消息以选择性地收集计算机取证数据的系统及方法
CN110808879B (zh) 一种协议识别方法、装置、设备及可读存储介质
US11546356B2 (en) Threat information extraction apparatus and threat information extraction system
JP2018133004A (ja) 異常検知システム及び異常検知方法
JP6962374B2 (ja) ログ分析装置、ログ分析方法及びプログラム
CN106411819A (zh) 一种识别代理互联网协议地址的方法及装置
CN105323128B (zh) 前端设备接入服务器的方法、装置及系统
KR102089417B1 (ko) 악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치
US8239930B2 (en) Method for controlling access to a network in a communication system
CN115865739A (zh) 一种网络资产探测方法、装置、电子设备及存储介质
CN105871749A (zh) 一种基于路由器的网络访问控制方法、系统及相关设备
JP7321130B2 (ja) ホワイトリスト生成装置、ホワイトリスト生成方法及びコンピュータプログラム
KR20150026187A (ko) 드로퍼 판별을 위한 시스템 및 방법
CN113872802B (zh) 检测网元的方法和装置
RU2776349C1 (ru) Системы и способы использования сообщений dns для селективного сбора компьютерных криминалистических данных
KR20130113787A (ko) Pc방의 가상 ⅰp를 이용한 게임 서비스 제공 방법 및 시스템
CN112261051B (zh) 一种用户注册方法、装置及系统
JP7444249B2 (ja) テーブルエントリ数計測装置、方法、およびプログラム
WO2024116666A1 (ja) 検知システム、検知方法、および、プログラム
KR102055912B1 (ko) 공유기 환경에서 공유 단말을 관리하는 장치 및 방법
CN115550038A (zh) 一种分布式网络集群风险检测方法及系统
CN118041653A (zh) 一种apt攻击的检测方法及装置

Legal Events

Date Code Title Description
A107 Divisional application of patent
GRNT Written decision to grant