KR102002560B1 - Artificial intelligence based target account reconnaissance behavior detection apparatus - Google Patents

Artificial intelligence based target account reconnaissance behavior detection apparatus Download PDF

Info

Publication number
KR102002560B1
KR102002560B1 KR1020190002772A KR20190002772A KR102002560B1 KR 102002560 B1 KR102002560 B1 KR 102002560B1 KR 1020190002772 A KR1020190002772 A KR 1020190002772A KR 20190002772 A KR20190002772 A KR 20190002772A KR 102002560 B1 KR102002560 B1 KR 102002560B1
Authority
KR
South Korea
Prior art keywords
account
target account
reconnaissance
event
network
Prior art date
Application number
KR1020190002772A
Other languages
Korean (ko)
Inventor
김민수
신동명
이예슬
고상준
Original Assignee
엘에스웨어(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘에스웨어(주) filed Critical 엘에스웨어(주)
Priority to KR1020190002772A priority Critical patent/KR102002560B1/en
Application granted granted Critical
Publication of KR102002560B1 publication Critical patent/KR102002560B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Abstract

The present invention relates to an artificial intelligence (AI)-based target account reconnaissance detection device. According to the present invention, the target account reconnaissance detection device comprises: a network activity collecting unit collecting network activities generated through data communications with an external device; an account search event determination unit determining an account search event among the network activities through a machine learning-based network event model; a spatial-temporal clustering determining unit determining the spatial-temporal clustering of the account search event; and a target account reconnaissance detection unit detecting target account reconnaissance behavior of an attacker by determining whether an account associated with the account search event corresponds to a target account based on the spatial-temporal clustering.

Description

인공지능 기반의 목표계정 정찰행위 탐지 장치{ARTIFICIAL INTELLIGENCE BASED TARGET ACCOUNT RECONNAISSANCE BEHAVIOR DETECTION APPARATUS}AI-based target account reconnaissance detection device {ARTIFICIAL INTELLIGENCE BASED TARGET ACCOUNT RECONNAISSANCE BEHAVIOR DETECTION APPARATUS}

본 발명은 인공지능 기반의 목표계정 정찰행위 탐지 기술에 관한 것으로, 보다 상세하게는, 시공간적 군집성을 기초로 공격대상 계정을 식별하여 내외부 공격자에 의한 목표계정 정찰행위를 탐지할 수 있는 인공지능 기반의 목표계정 정찰행위 탐지 장치에 관한 것이다.The present invention relates to an AI-based target account reconnaissance detection technology, and more specifically, to identify a target account based on spatiotemporal clustering and to detect a target account reconnaissance by internal and external attackers. It relates to a target account reconnaissance detection device.

소프트웨어워의 중요성은 점점 높아지고 있는 추세이고, 대부분의 기업과 회사에서는 온라인 서비스를 통해 비즈니스의 연속성을 유지해가고 있음. 이러한 서비스들은 대부분 서버 시스템의 자원을 활용하여 제공되고 있기에 비즈니스의 연속성을 보장하기 위해 서버 시스템의 보안과 가용성 측면에서 안정적인 운영이 필수적이다.The importance of software wars is increasing, and most companies and companies maintain business continuity through online services. Since most of these services are provided by utilizing server system resources, stable operation is essential in terms of security and availability of server systems to ensure business continuity.

최근 정보 보호 법률 및 규제 등의 강화로 서버 시스템 보호 대책 방안이 요구되고 있고, 고도화되고 있는 다양한 기법의 내부 및/또는 외부 공격으로부터 자산을 보호하기 위해 효과적인 접근 통제와 감사 추적이 포함된 전사적인 서버 시스템 통제 대응 방안이 필요함. 또한, 기존의 서버 보안 기술은 외부 공격에 대해 중점을 두고 있어 잠재적인 내부자 위협에 대응하기에는 한계가 있었다.Recently, server system protection measures are required due to the strengthening of information protection laws and regulations, and enterprise-wide servers including effective access control and audit trails to protect assets from internal and / or external attacks of various advanced techniques. A system control response plan is needed. In addition, existing server security technologies focus on external attacks, limiting their ability to respond to potential insider threats.

한국공개특허 제10-2017-0122548호는 비정상 프로세스의 연관 데이터 분석을 이용한 APT 공격 인지 방법 및 장치에 관한 것으로, 기업이나 조직 등의 네트워크 상의 서버, PC(Personal Computer) 등 호스트 장치의 백신 프로그램이나 보안 시스템에서 실시간으로 탐지된 악성 프로세스 등 비정상 프로세스(어플리케이션)에 대해 과거 연관 데이터에서 그 프로세스와 연관된 데이터 관계 및 수행된 행위에 대한 과거 연관 정보를 생성하여 이를 기반으로 APT 5단계, 즉, 전파(Delivery), 탈취(Exploitation), 설치(Installation), C0026#C(Command 0026# Control) 통신, 목표달성(Actions)을 분석함으로써 지능형 사이버 표적 공격(APT)를 탐지하는 기술을 개시한다.Korean Patent Laid-Open No. 10-2017-0122548 relates to a method and apparatus for recognizing an APT attack using analysis of related data of an abnormal process, and includes a vaccine program of a host device such as a server or a personal computer (PC) on a network of an enterprise or an organization. For an abnormal process (application), such as a malicious process detected in real time in the security system, historical association data is generated from past association data, and past association information on data relations and actions performed associated with the process is based on the APT step 5, that is, propagation ( Disclosed are techniques for detecting advanced cyber target attacks (APTs) by analyzing delivery, exploitation, installation, C0026 # C (Command 0026 # Control) communications, and actions.

한국공개특허 제10-2014-0078329호는 내부망 타겟 공격 대응 장치 및 방법에 관한 것으로, 내부망 타겟 공격 대응 장치는 행위프로파일시 ECDMAX(Exploit, C2, Download, Lateral Movement, External Network Attack, Exfiltration)를 기초로 단계별로 공격을 추적하고 대응하는 기술을 개시한다.Korean Laid-Open Patent Publication No. 10-2014-0078329 relates to an internal network target attack response device and method, and the internal network target attack response device includes ECDMAX (Exploit, C2, Download, Lateral Movement, External Network Attack, Exfiltration) in the behavior profile. Based on the step by step attack tracking and counteracting techniques are disclosed.

한국공개특허 제10-2017-0122548호 (2017.11.06)Korean Patent Publication No. 10-2017-0122548 (2017.11.06) 한국공개특허 제10-2014-0078329호 (2014.06.25)Korean Patent Publication No. 10-2014-0078329 (2014.06.25)

본 발명의 일 실시예는 시공간적 군집성을 기초로 공격대상 계정을 식별하여 내외부 공격자에 의한 목표계정 정찰행위를 탐지할 수 있는 인공지능 기반의 목표계정 정찰행위 탐지 장치를 제공하고자 한다.An embodiment of the present invention is to provide an AI-based target account reconnaissance detection device that can detect the target account reconnaissance by the internal and external attacker by identifying the target account based on the spatiotemporal clustering.

본 발명의 일 실시예는 기계학습을 통해 네트워크 활동에서 계정탐색으로 귀결되는 계정탐색 이벤트를 분류할 수 있는 인공지능 기반의 목표계정 정찰행위 탐지 장치를 제공하고자 한다.An embodiment of the present invention is to provide an AI-based target account reconnaissance detection device that can classify account search events resulting in account search in network activity through machine learning.

본 발명의 일 실시예는 종래의 서버 보안 기술에 의해서 내외부 공격이 감지되지 않는 것을 해결할 수 있는 인공지능 기반의 목표계정 정찰행위 탐지 장치를 제공하고자 한다.An embodiment of the present invention is to provide an artificial intelligence-based target account reconnaissance detection device that can solve the detection of internal and external attacks by the conventional server security technology.

실시예들 중에서, 인공지능 기반의 목표계정 정찰행위 탐지 장치는 외부 기기와 데이터 통신을 통해 생성되는 네트워크 활동들을 수집하는 네트워크 활동 수집부, 기계학습 기반의 네트워크 이벤트 모델을 통해 상기 네트워크 활동들 중 계정탐색 이벤트를 결정하는 계정탐색 이벤트 결정부, 상기 계정탐색 이벤트에 관한 시공간적 군집성을 결정하는 시공간적 군집성 결정부 및 상기 시공간적 군집성을 기초로 상기 계정탐색 이벤트와 연관된 계정이 공격대상 계정에 해당하는지 여부를 결정하여 공격자의 목표계정 정찰행위를 탐지하는 목표계정 정찰행위 탐지부를 포함한다.Among the embodiments, the artificial intelligence-based target account reconnaissance detection device is a network activity collecting unit for collecting network activities generated through data communication with an external device, the account of the network activities through a network learning model based on machine learning An account search event determining unit determining a search event, a spatiotemporal clustering determining unit determining a spatiotemporal clustering related to the account search event, and determining whether an account associated with the account search event corresponds to the target account based on the spatiotemporal clustering And a target account reconnaissance detection unit for detecting an attacker's target account reconnaissance.

일 실시예에서, 상기 계정탐색 이벤트 결정부는 상기 네트워크 활동들의 통신 프로토콜 및 포트 번호를 기계학습하여 상기 네트워크 활동들을 분류하고, 상기 네트워크 활동들의 분류를 통해 상기 네트워크 이벤트 모델을 수립할 수 있다.In one embodiment, the account search event determiner may classify the network activities by machine learning the communication protocol and the port number of the network activities, and establish the network event model through the classification of the network activities.

일 실시예에서, 상기 계정탐색 이벤트 결정부는 상기 네트워크 이벤트 모델을 기초로 계정 로그인 이벤트, 계정 이메일 이벤트 및 계정 접속 이벤트 중 적어도 하나를 포함하고 계정탐색으로 귀결되는 이벤트를 상기 계정탐색 이벤트로 결정할 수 있다.In one embodiment, the account search event determiner may include at least one of an account login event, an account email event, and an account access event based on the network event model, and determine an event resulting in an account search as the account search event. .

일 실시예에서, 상기 시공간적 군집성 결정부는 상기 계정탐색 이벤트에 있는 계정 접근의 시간적 밀집도 및 공격자의 공간적 밀집도를 산출할 수 있다.In one embodiment, the spatiotemporal clustering determining unit may calculate the temporal density and the attacker's spatial density of the account access in the account search event.

일 실시예에서, 상기 목표계정 정찰행위 탐지부는 상기 계정 접근 또는 상기 공격자의 단위시간당 집중도 또는 주기당 집중도를 기초로 APT (Advanced Persistent Threat)를 검출할 수 있다.In one embodiment, the target account reconnaissance detection unit may detect APT (Advanced Persistent Threat) based on the concentration of the account access or the attacker per unit time or concentration per cycle.

일 실시예에서, 상기 목표계정 정찰행위 탐지부는 상기 단위시간당 집중도 또는 주기당 집중도가 특정 기준 이상이면 상기 계정탐색 이벤트와 연관된 계정을 공격대상 계정에 해당하는 것으로 결정할 수 있다.In one embodiment, the target account reconnaissance detection unit may determine that an account associated with the account search event corresponds to an attack target account when the concentration per unit time or concentration per cycle is greater than or equal to a certain criterion.

일 실시예에서, 상기 목표계정 정찰행위 탐지부는 상기 목표계정 정찰행위가 탐지되면 계정접근 폐쇄 후 연관 스마트폰에 인증번호 송신하거나 또는 계정권한 축소 후 비밀번호 변경을 요청할 수 있다.In one embodiment, if the target account reconnaissance detection unit detects the target account reconnaissance activity may be closed after the account access to send an authentication number to the associated smartphone or request to change the password after reducing the account authority.

개시된 기술은 다음의 효과를 가질 수 있다. 다만, 특정 실시예가 다음의 효과를 전부 포함하여야 한다거나 다음의 효과만을 포함하여야 한다는 의미는 아니므로, 개시된 기술의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.The disclosed technique can have the following effects. However, since a specific embodiment does not mean to include all of the following effects or only the following effects, it should not be understood that the scope of the disclosed technology is limited by this.

본 발명의 일 실시예에 따른 인공지능 기반의 목표계정 정찰행위 탐지 장치는 시공간적 군집성을 기초로 공격대상 계정을 식별하여 내외부 공격자에 의한 목표계정 정찰행위를 탐지할 수 있다.Artificial intelligence-based target account reconnaissance detection apparatus according to an embodiment of the present invention can detect target account reconnaissance by internal and external attackers by identifying target accounts based on spatiotemporal clustering.

본 발명의 일 실시예에 따른 인공지능 기반의 목표계정 정찰행위 탐지 장치는 기계학습을 통해 네트워크 활동에서 계정탐색으로 귀결되는 계정탐색 이벤트를 분류할 수 있다.The AI-based target account reconnaissance detection apparatus according to an embodiment of the present invention may classify an account search event resulting in an account search in network activity through machine learning.

본 발명의 일 실시예에 따른 인공지능 기반의 목표계정 정찰행위 탐지 장치는 종래의 서버 보안 기술에 의해서 내외부 공격이 감지되지 않는 것을 해결할 수 있다.Artificial intelligence-based target account reconnaissance detection apparatus according to an embodiment of the present invention can solve that the internal and external attacks are not detected by the conventional server security technology.

도 1은 본 발명의 일 실시예에 따른 인공지능 기반의 목표계정 정찰행위 탐지 시스템을 설명하는 도면이다.
도 2는 도 1에 있는 인공지능 기반의 목표계정 정찰행위 탐지 장치를 나타내는 도면이다.
도 3은 도 1에 있는 인공지능 기반의 목표계정 정찰행위 탐지 장치의 프로세서의 기능 요소를 나타내는 도면이다.
도 4는 도 1에 있는 인공지능 기반의 목표계정 정찰행위 탐지 장치에서 수행되는 인공지능 기반의 목표계정 정찰행위 방법을 설명하는 순서도이다.1 is a diagram illustrating an AI-based target account reconnaissance detection system according to an embodiment of the present invention.
FIG. 2 is a diagram illustrating an AI-based target account reconnaissance detection device of FIG. 1.
FIG. 3 is a diagram illustrating functional elements of a processor of the artificial intelligence based target account reconnaissance detection apparatus of FIG. 1.
4 is a flowchart illustrating an AI-based target account reconnaissance method performed by the AI-based target account reconnaissance detection apparatus of FIG. 1.

본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다. 또한, 본 발명에서 제시된 목적 또는 효과는 특정 실시예가 이를 전부 포함하여야 한다거나 그러한 효과만을 포함하여야 한다는 의미는 아니므로, 본 발명의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.Description of the present invention is only an embodiment for structural or functional description, the scope of the present invention should not be construed as limited by the embodiments described in the text. That is, since the embodiments may be variously modified and may have various forms, the scope of the present invention should be understood to include equivalents capable of realizing the technical idea. In addition, the objects or effects presented in the present invention does not mean that a specific embodiment should include all or only such effects, the scope of the present invention should not be understood as being limited thereby.

한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.On the other hand, the meaning of the terms described in the present application should be understood as follows.

"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.Terms such as "first" and "second" are intended to distinguish one component from another component, and the scope of rights should not be limited by these terms. For example, the first component may be named a second component, and similarly, the second component may also be named a first component.

어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.When a component is referred to as being "connected" to another component, it should be understood that there may be other components in between, although it may be directly connected to the other component. On the other hand, when a component is referred to as being "directly connected" to another component, it should be understood that there is no other component in between. On the other hand, other expressions describing the relationship between the components, such as "between" and "immediately between" or "neighboring to" and "directly neighboring to", should be interpreted as well.

단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Singular expressions should be understood to include plural expressions unless the context clearly indicates otherwise, and terms such as "comprise" or "have" refer to a feature, number, step, operation, component, part, or feature thereof. It is to be understood that the combination is intended to be present and does not exclude in advance the possibility of the presence or addition of one or more other features or numbers, steps, operations, components, parts or combinations thereof.

각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.In each step, an identification code (e.g., a, b, c, etc.) is used for convenience of description, and the identification code does not describe the order of the steps, and each step clearly indicates a specific order in context. Unless stated otherwise, they may occur out of the order noted. That is, each step may occur in the same order as specified, may be performed substantially simultaneously, or may be performed in the reverse order.

본 발명은 컴퓨터가 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있고, 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The present invention can be embodied as computer readable code on a computer readable recording medium, and the computer readable recording medium includes all kinds of recording devices in which data can be read by a computer system. . Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage device, and the like. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.All terms used herein have the same meaning as commonly understood by one of ordinary skill in the art unless otherwise defined. Generally, the terms defined in the dictionary used are to be interpreted to coincide with the meanings in the context of the related art, and should not be interpreted as having ideal or excessively formal meanings unless clearly defined in the present application.

도 1은 본 발명의 일 실시예에 따른 인공지능 기반의 목표계정 정찰행위 탐지 시스템을 설명하는 도면이다.1 is a diagram illustrating an AI-based target account reconnaissance detection system according to an embodiment of the present invention.

도 1을 참조하면, 인공지능 기반의 목표계정 정찰행위 탐지 시스템(100)은 외부 기기(110) 및 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)를 포함할 수 있다.Referring to FIG. 1, the AI-based target account reconnaissance detection system 100 may include an external device 110 and an AI-based target account reconnaissance detection apparatus 120.

외부 기기(110)는 데이터 통신을 통해 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)와 통신을 수행하는 컴퓨팅 장치에 해당하고, 예를 들어, 스마트폰, 노트북 또는 컴퓨터로 구현될 수 있으며 반드시 이에 한정하지 않고, 태블릿 PC 등 다양한 디바이스로도 구현될 수 있다. 외부 기기(110)는 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)와 네트워크를 통해 연결될 수 있고, 적어도 하나의 외부 기기(110)는 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)와 동시에 연결될 수 있다.The external device 110 corresponds to a computing device that communicates with the AI-based target account reconnaissance detection device 120 through data communication, and may be implemented as, for example, a smartphone, a laptop, or a computer. The present invention is not limited thereto and may be implemented in various devices such as a tablet PC. The external device 110 may be connected to the AI-based target account reconnaissance detection device 120 through a network, and the at least one external device 110 may be connected to the AI-based target account reconnaissance detection device 120. Can be connected at the same time.

인공지능 기반의 목표계정 정찰행위 탐지 장치(120)는 외부 기기(110)와 데이터 통신을 통해 생성되는 네트워크 활동을 기계학습(Machine Learning)하여 분류하고, 분류된 네트워크 활동을 기반으로 네트워크 이벤트 모델을 수립하여 목표계정 정찰행위를 탐지하는 서버에 해당할 수 있다. 일 실시예에서, 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)는 외부 기기(110)와 데이터 통신에서 공격자의 목표계정 정찰행위를 탐지함으로써 공격에 대한 사전 대응이 가능한 별도의 서버 또는 장치로 구현될 수 있으나, 반드시 이에 한정하지 않는다.The AI-based target account reconnaissance detection device 120 classifies the network activity generated through data communication with the external device 110 by machine learning and classifies the network event model based on the classified network activity. It may correspond to a server that detects the target account reconnaissance by establishing a target account. In one embodiment, the AI-based target account reconnaissance detection device 120 is a separate server or device capable of proactively responding to the attack by detecting the target account reconnaissance activity of the attacker in data communication with the external device 110. It may be implemented, but is not necessarily limited thereto.

일 실시예에서, 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)는 데이터베이스(미도시됨)를 포함하여 구현될 수 있고, 데이터베이스와 독립적으로 구현될 수 있다. 데이터베이스와 독립적으로 구현되는 경우에 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)는 데이터베이스와 유선 및/또는 무선으로 연결되어 데이터를 송수신할 수 있다. 이하, 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)와 관련한 보다 상세한 설명은 도 3을 참조하여 설명한다.In one embodiment, the AI-based target account reconnaissance detection apparatus 120 may be implemented including a database (not shown), and may be implemented independently of the database. When implemented independently of the database, the AI-based target account reconnaissance detection device 120 may be connected to the database by wire and / or wirelessly to transmit and receive data. Hereinafter, a more detailed description related to the AI-based target account reconnaissance detection apparatus 120 will be described with reference to FIG. 3.

데이터베이스는 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)의 목표계정 정찰행위 탐지에 필요한 정보들을 저장할 수 있는 저장 장치이다. 일 실시예에서, 데이터베이스는 기계학습을 통해 학습된 복수의 네트워크 활동들을 저장할 수 있고, 반드시 이에 한정하지는 않으며, 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)가 목표계정 정찰행위 탐지를 수행하는 과정에서 다양한 형태로 수집하거나 또는 가공된 정보들을 저장할 수 있다.The database is a storage device capable of storing information necessary for detecting the target account reconnaissance detection device 120 of the AI-based target account reconnaissance detection device. In one embodiment, the database may store a plurality of network activities learned through machine learning, but is not necessarily limited thereto, the AI-based target account reconnaissance detection device 120 performs the target account reconnaissance detection The information can be collected or processed in various forms.

도 2는 도 1에 있는 인공지능 기반의 목표계정 정찰행위 탐지 장치를 나타내는 도면이다.FIG. 2 is a diagram illustrating an AI-based target account reconnaissance detection device of FIG. 1.

도 2를 참조하면, 인공지능 기반의 목표계정 정찰행위 탐지 장치(120, 이하, 목표계정 정찰행위 탐지 장치)는 프로세서(210), 메모리(220), 사용자 입출력부(230) 및 네트워크 입출력부(240)를 포함할 수 있다.Referring to FIG. 2, an AI-based target account reconnaissance detection device 120 (hereinafter, referred to as a target account reconnaissance detection device) includes a processor 210, a memory 220, a user input / output unit 230, and a network input / output unit ( 240).

프로세서(210)는 도 4에 있는 인공지능 기반의 목표계정 정찰행위 탐지를 수행할 수 있고, 이러한 과정에서 읽혀지거나 작성되는 메모리(220)를 관리할 수 있으며, 메모리(220)에 있는 휘발성 메모리와 비휘발성 메모리 간의 동기화 시간을 스케줄 할 수 있다.The processor 210 may perform AI-based target account reconnaissance detection in FIG. 4, manage the memory 220 that is read or written in this process, and the volatile memory in the memory 220. You can schedule synchronization times between nonvolatile memories.

프로세서(210)는 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)의 동작 전반을 제어할 수 있고, 메모리(220), 사용자 입출력부(230) 및 네트워크 입출력부(240)와 전기적으로 연결되어 이들 간의 데이터 흐름을 제어할 수 있다. 프로세서(210)는 목표계정 정찰행위 탐지 장치(120)의 CPU(Central Processing Unit)로 구현될 수 있다.The processor 210 may control the overall operation of the AI-based target account reconnaissance detection device 120 and is electrically connected to the memory 220, the user input / output unit 230, and the network input / output unit 240. You can control the data flow between them. The processor 210 may be implemented as a central processing unit (CPU) of the target account reconnaissance detection device 120.

메모리(220)는 SSD(Solid State Disk) 또는 HDD(Hard Disk Drive)와 같은 비휘발성 메모리로 구현되어 목표계정 정찰행위 탐지 장치(120)에 필요한 데이터 전반을 저장하는데 사용되는 보조기억장치를 포함할 수 있고, RAM(Random Access Memory)과 같은 휘발성 메모리로 구현된 주기억장치를 포함할 수 있다.The memory 220 may include a secondary memory device which is implemented as a nonvolatile memory such as a solid state disk (SSD) or a hard disk drive (HDD), and is used to store overall data necessary for the target account reconnaissance detection device 120. It may include a main memory device implemented with volatile memory such as random access memory (RAM).

사용자 입출력부(230)는 사용자 입력을 수신하기 위한 환경 및 사용자에게 특정 정보를 출력하기 위한 환경을 포함하고, 예를 들어, 마우스, 트랙볼, 터치 패드, 그래픽 태블릿, 스캐너, 터치 스크린, 키보드 또는 포인팅 장치와 같은 어댑터를 포함하는 입력장치 및 모니터와 같은 어댑터를 포함하는 출력장치를 포함할 수 있다. 일 실시예에서, 사용자 입출력부(230)는 원격 접속을 통해 접속되는 컴퓨팅 장치에 해당할 수 있고, 그러한 경우, 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)는 서버로서 수행될 수 있다.The user input / output unit 230 includes an environment for receiving user input and an environment for outputting specific information to the user, and includes, for example, a mouse, a trackball, a touch pad, a graphic tablet, a scanner, a touch screen, a keyboard, or a pointing. It may include an input device including an adapter such as a device and an output device including an adapter such as a monitor. In one embodiment, the user input / output unit 230 may correspond to a computing device connected through a remote connection, in which case, the AI-based target account reconnaissance detection device 120 may be performed as a server.

네트워크 입출력부(240)는 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)와 연결하기 위한 환경을 포함할 수 있고, 예를 들어, LAN(Local Area Network) 통신을 위한 어댑터를 포함할 수 있다. 일 실시예에서, 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)는 네트워크 입출력부(240)를 통해 네트워크로 연결될 수 있다.The network input / output unit 240 may include an environment for connecting to the AI-based target account reconnaissance detection device 120, and may include, for example, an adapter for local area network (LAN) communication. . In one embodiment, the AI-based target account reconnaissance detection device 120 may be connected to the network through the network input and output unit 240.

도 3은 도 1에 있는 인공지능 기반의 목표계정 정찰행위 탐지 장치의 프로세서의 기능 요소를 나타내는 도면이다.FIG. 3 is a diagram illustrating functional elements of a processor of the artificial intelligence based target account reconnaissance detection apparatus of FIG. 1.

도 3을 참조하면, 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)는 네트워크 활동 수집부(310), 계정탐색 이벤트 결정부(320), 시공간적 군집성 결정부(330), 목표계정 정찰행위 탐지부(340) 및 제어부(350)를 포함한다.Referring to FIG. 3, the AI-based target account reconnaissance detection device 120 includes a network activity collector 310, an account search event determiner 320, a spatiotemporal clustering determiner 330, and a target account reconnaissance detection. The unit 340 and the controller 350 are included.

네트워크 활동 수집부(310)는 네트워크 활동과 연관된 데이터를 수집할 수 있다. 구체적으로, 네트워크 활동 수집부(310)는 외부 기기(110)와 데이터 통신을 통해 생성되는 네트워크 활동들을 수집할 수 있다. 예를 들어, 네트워크 활동 수집부(310)는 사용자에 의한 이메일(E-Mail) 수발신, 계정 로그인(Login), 계정 접속 등을 포함하는 네트워크 활동들을 수집할 수 있고, 네트워크 활동은 반드시 이에 한정하지 않는다.The network activity collector 310 may collect data associated with network activity. In detail, the network activity collector 310 may collect network activities generated through data communication with the external device 110. For example, the network activity collection unit 310 may collect network activities including e-mail reception, account login, account access, etc. by the user, but the network activity is not limited thereto. Do not.

일 실시예에서, 네트워크 활동 수집부(310)는 외부 기기(110)와 데이터 통신 과정에서 생성되는 패킷(Packet)을 네트워크 활동에 대한 정보로서 수집할 수 있다. 예를 들어, 네트워크 활동 수집부(310)는 IP(Internet Protocol) 주소, 포트 번호(Port Nunber), 사용자 정보, 호스트(Host) 정보 중에서 적어도 하나를 수집할 수 있고, 반드시 이에 한정하지 않는다.In an embodiment, the network activity collector 310 may collect a packet generated in a data communication process with the external device 110 as information on network activity. For example, the network activity collecting unit 310 may collect at least one of an Internet Protocol (IP) address, a port number (Port Nunber), user information, and host information, but is not limited thereto.

네트워크 활동 수집부(310)는 수집된 네트워크 활동들을 분류하기 위하여 계정탐색 이벤트 결정부(320)에 네트워크 활동들을 송신할 수 있다.The network activity collector 310 may transmit the network activities to the account search event determiner 320 to classify the collected network activities.

계정탐색 이벤트 결정부(320)는 네트워크 활동 수집부(310)로부터 적어도 하나의 네트워크 활동을 수신할 수 있다. 보다 구체적으로, 계정탐색 이벤트 결정부(320)는 네트워크 활동들의 통신 프로토콜 및 포트 번호(Port Number)를 기계학습(Machine Learning)하여 네트워크 활동들을 분류할 수 있다. 계정탐색 이벤트 결정부(320)는 TCP(Transmission Control Protocol), UDP(User Datagram Protocol), HTTP(Hypertext Transfer Protocol) 또는 SMTP(Simple Mail Transfer Protocol) 등의 통신 프로토콜 및 0 에서 65535 사이의 16비트 정수로 표현되는 포트 번호 등을 기계학습할 수 있다. 예를 들어, 계정탐색 이벤트 결정부(320)는 포트 번호가 25, 465 및 587(보내는 메일 서버) 중 하나에 해당하고, 통신 프로토콜이 SMTP에 해당하면, 해당 네트워크 활동이 사용자에 의한 이메일(E-Mail) 수발신 이벤트 즉, 계정 이메일 이벤트로 분류할 수 있다.The account search event determiner 320 may receive at least one network activity from the network activity collector 310. More specifically, the account search event determiner 320 may classify network activities by machine learning a communication protocol and a port number of network activities. The account search event determiner 320 may include a communication protocol such as Transmission Control Protocol (TCP), User Datagram Protocol (UDP), Hypertext Transfer Protocol (HTTP), or Simple Mail Transfer Protocol (SMTP), and a 16-bit integer between 0 and 65535. The machine can learn the port number represented by. For example, if the account search event determiner 320 corresponds to one of the port numbers 25, 465, and 587 (outgoing mail server), and the communication protocol corresponds to SMTP, the network activity may be sent by the user. -Mail) can be classified as incoming / outgoing event, that is, account email event.

계정탐색 이벤트 결정부(320)는 네트워크 활동들의 분류를 통해 네트워크 이벤트 모델을 수립할 수 있다. 계정탐색 이벤트 결정부(320)는 통신 프로토콜과 포트 번호를 학습함으로써 분류된 네트워크 활동들을 기초로 네트워크 이벤트 모델을 수립할 수 있다.The account search event determiner 320 may establish a network event model through classification of network activities. The account search event determiner 320 may establish a network event model based on the classified network activities by learning a communication protocol and a port number.

계정탐색 이벤트 결정부(320)는 기계학습 기반의 네트워크 이벤트 모델을 통해 네트워크 활동들 중 계정탐색 이벤트를 결정할 수 있다. 보다 구체적으로, 계정탐색 이벤트 결정부(320)는 네트워크 이벤트 모델을 기초로 계정 로그인 이벤트, 계정 이메일 이벤트 및 계정 접속 이벤트 중 적어도 하나를 포함하고, 계정탐색으로 귀결되는 이벤트를 계정탐색 이벤트로 결정할 수 있다.The account search event determiner 320 may determine an account search event among network activities through a machine learning based network event model. More specifically, the account search event determiner 320 may include at least one of an account login event, an account email event, and an account access event based on the network event model, and determine an event resulting from the account search as an account search event. have.

이하, 설명의 편의를 위하여 특정 네트워크 활동이 계정 이메일 이벤트를 포함하는 것으로 가정하여 설명한다.In the following description, it is assumed that a specific network activity includes an account email event for convenience of description.

일 실시예에서, 계정탐색 이벤트 결정부(320)는 특정 네트워크 활동이 계정 이메일 이벤트로 결정되면, 해당 계정 이메일 이벤트와 연관된 계정이 특정 서버에 존재하는지 여부를 파악함으로써 해당 이벤트가 계정탐색으로 귀결되는지 분석할 수 있다. 여기에서, 특정 서버는 목표계정 정찰행위 탐지 장치(120)에 해당할 수도 있고, 목표계정 정찰행위 탐지 장치(120)와 연동된 별도의 서버에 해당할 수도 있으며 반드시 이에 한정하지 않는다. 특정 서버에 계정 이메일 이벤트와 연관된 계정이 존재하면, 계정탐색 이벤트 결정부(320)는 특정 네트워크 활동이 계정 이메일 이벤트를 포함하고, 계정탐색으로 귀결되는 것으로 결정하여 해당 이벤트를 계정탐색 이벤트로 결정할 수 있다.In one embodiment, if the account navigation event determiner 320 determines that a specific network activity is an account email event, the account search event determiner 320 determines whether the account associated with the account email event exists on a specific server, and thus the event results in the account search. Can be analyzed. Here, the specific server may correspond to the target account reconnaissance detection device 120, or may correspond to a separate server linked to the target account reconnaissance detection device 120, but is not necessarily limited thereto. If the account associated with the account email event exists in a specific server, the account search event determiner 320 may determine that the specific network activity includes an account email event and result in account search, and determine the event as an account search event. have.

시공간적 군집성 결정부(330)는 계정탐색 이벤트 결정부(320)를 통해 결정된 계정탐색 이벤트에 관한 시공간적 군집성을 결정할 수 있다. 여기에서, 시공간적 군집성은 계정탐색 이벤트에 있는 시간적 밀집도 또는 공간적 밀집도를 산출한 것을 의미할 수 있다. 보다 구체적으로, 시공간적 군집성 결정부(330)는 계정탐색 이벤트에 있는 계정 접근의 시간적 밀집도 및 공격자의 공간적 밀집도를 산출할 수 있다.The spatiotemporal clustering determining unit 330 may determine the spatiotemporal clustering regarding the account searching event determined by the account searching event determining unit 320. Here, the spatiotemporal clustering may mean calculating the temporal density or the spatial density in the account search event. More specifically, the spatiotemporal clustering determining unit 330 may calculate the temporal density of the account access and the attacker's spatial density in the account search event.

일 실시예에서, 시간적 밀집도는 특정 계정을 향한 네트워크 활동들의 시간적 집중도를 나타낼 수 있고, 단위시간당 집중도 또는 주기당 집중도를 포함할 수 있다. 예를 들어, 시공간적 군집성 결정부(330)는 계정탐색 이벤트에 있는 계정 접근의 시간적 밀집도를 산출하기 위해 A시간부터 30분, A시간부터 1시간 동안에 대한 집중도를 산출하거나 또는 1개월, 1년 등 주기당 집중도를 산출할 수 있으며 단위시간 및 주기 설정은 사용자에 의해 설정될 수 있다.In one embodiment, temporal density may represent the temporal concentration of network activities directed at a particular account and may include concentration per unit time or concentration per cycle. For example, the spatiotemporal clustering determining unit 330 calculates the concentration for 30 minutes from A time, 1 hour from A time, or 1 month, 1 year, etc. to calculate the temporal density of the account access in the account navigation event. The concentration per cycle can be calculated and the unit time and period settings can be set by the user.

일 실시예에서, 공간적 밀집도는 특정 공격자의 IP(Internet Protocol) 주소 또는 지리적 위치에서 발생되는 계정탐색 이벤트의 집중도를 나타낼 수 있고, 단위시간당 집중도 또는 주기당 집중도를 포함할 수 있다. 여기에서, 특정 공격자는 공격 단말 즉, 사용자가 아니라 컴퓨터를 의미한다.In one embodiment, spatial density may indicate a concentration of account discovery events occurring at an Internet Protocol (IP) address or geographic location of a specific attacker, and may include concentration per unit time or concentration per cycle. Here, the specific attacker means an attacking terminal, that is, a computer, not a user.

목표계정 정찰행위 탐지부(340)는 APT(Advanced Persistent Threat)를 검출할 수 있다. 여기에서, APT(Advanced Persistent Threat)는 지능형 지속 공격으로 조직이나 기업을 표적으로 정한 뒤, 장기간에 걸쳐서 다양한 수단을 총동원하는 지능적 해킹 방법을 말하며 '지능형 지속위협' 또는 '지능형 지속가능위협'이라고도 한다. 예를 들어, 지능형 지속 공격(APT)은 실시간으로 해킹 공격을 시도하는 것이 아니라 미리 악성코드를 숨겨 놓았다가 시간이 지난 뒤 동시에 작동시킨다.The target account reconnaissance detection unit 340 may detect an advanced persistent threat (APT). Here, APT (Advanced Persistent Threat) refers to an intelligent hacking method that targets an organization or enterprise with an advanced persistent attack, and then employs various means over a long period of time, and is also called 'intelligent sustained threat' or 'intelligent sustainable threat'. . For example, Advanced Persistent Attacks (APTs) do not attempt to exploit hacking attacks in real time, but hide the malware in advance and run it simultaneously over time.

목표계정 정찰행위 탐지부(340)는 계정 접근 또는 공격자의 단위시간당 집중도 또는 주기당 집중도를 기초로 지능형 지속 공격(APT)을 검출할 수 있다. 일 실시예에서, 목표계정 정찰행위 탐지부(340)는 특정 시간에 집중되어 있는지 분석함으로써 지능형 지속 공격(APT)을 검출할 수 있다. 다른 일 실시예에서, 목표계정 정찰행위 탐지부(340)는 특정 지역 즉, 특정 IP(Internet Protocol) 주소에 집중되어 있는지 분석함으로써 지능형 지속 공격(APT)를 검출할 수 있다.The target account reconnaissance detection unit 340 may detect an intelligent persistent attack (APT) based on an account access or an attacker's concentration per unit time or concentration per cycle. In one embodiment, the target account reconnaissance detection unit 340 may detect an advanced persistent attack (APT) by analyzing whether it is concentrated at a specific time. In another embodiment, the target account reconnaissance detection unit 340 may detect an advanced persistent attack (APT) by analyzing whether the target account is concentrated in a specific region, that is, a specific Internet Protocol (IP) address.

목표계정 정찰행위 탐지부(340)는 단위시간당 집중도 또는 주기당 집중도가 특정 기준 이상이면 계정탐색 이벤트와 연관된 계정을 공격대상 계정에 해당하는 것으로 결정할 수 있다. 여기에서, 특정 기준은 사용자에 의해 설정될 수 있는 기준에 해당할 수 있고, 공격대상 계정은 공격자에 의해 공격을 받는 계정에 해당할 수 있다. 일 실시예에서, 목표계정 정찰행위 탐지부(340)는 특정 시간에 집중되거나 또는 특정 지역에 집중되면 해당 계정이 내외부 공격자로부터 공격을 받는 것으로 판단할 수 있고, 이러한 과정을 통해 해당 계정이 공격대상 계정에 해당하는 것으로 결정할 수 있다.The target account reconnaissance detection unit 340 may determine that an account associated with an account search event corresponds to an attack target account when the concentration per unit time or the concentration per cycle is greater than or equal to a predetermined criterion. Here, the specific criteria may correspond to criteria that can be set by the user, and the target account may correspond to an account attacked by the attacker. In one embodiment, the target account reconnaissance detection unit 340 may determine that the account is attacked by internal and external attackers when the target account reconnaissance detection unit 340 is concentrated at a specific time or in a specific region, and through this process the target account is attacked You can decide that this corresponds to your account.

보다 구체적으로, 목표계정 정찰행위 탐지부(340)는 시공간적 군집성 결정부(330)를 통해 결정된 시공간적 군집성을 기초로 계정탐색 이벤트와 연관된 계정이 공격대상 계정에 해당하는지 여부를 결정하여 공격자의 목표계정 정찰행위를 탐지할 수 있다. 목표계정 정찰행위 탐지부(340)는 결정된 공격대상 계정을 모니터링하여 내외부 공격자의 목표계정 정찰행위를 탐지할 수 있다. 예를 들어, 공격자는 내외부 공격 단말로 존재할 수 있고, 목표계정 정찰행위는 공격대상 계정 정찰, 공격대상 계정 탈취, 파일불법조작(복제, 변경)과 같은 목표달성을 위한 공격대상 계정접근 등을 포함할 수 있으며, 반드시 이에 한정하지 않는다.More specifically, the target account reconnaissance detection unit 340 determines whether an account associated with an account search event corresponds to an attack target account based on the spatiotemporal clustering determined by the spatiotemporal clustering determining unit 330. Can detect scouting The target account reconnaissance detection unit 340 may detect the target account reconnaissance behavior of internal and external attackers by monitoring the determined attack target account. For example, an attacker may exist as an internal or external attack terminal, and the target account reconnaissance may include reconnaissance of the target account, take account of the target account, and access to the target account for achieving the target such as file illegal manipulation (duplicate or change). It is possible, but is not limited to this.

즉, 목표계정 정찰행위 탐지부(340)는 시공간적 군집성을 기초로 결정된 공격대상 계정을 지속적으로 모니터링함으로써 공격자가 해당 공격대상 계정에 어떠한 공격을 하려고 하는지에 대해 사전 탐지할 수 있다. 본 발명의 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)는 공격자의 목표계정 정찰행위를 사전에 탐지함으로써 내외부 공격자에 의한 공격을 방어할 수 있다.That is, the target account reconnaissance detection unit 340 continuously detects the attack target to attack the target account by continuously monitoring the target account determined based on the spatiotemporal clustering. Artificial intelligence-based target account reconnaissance detection device 120 of the present invention can prevent attacks by internal and external attackers by detecting the target account reconnaissance behavior of the attacker in advance.

목표계정 정찰행위 탐지부(340)는 공격자의 목표계정 정찰행위가 탐지되면 계정접근을 폐쇄한 후, 연관 스마트폰에 인증번호를 송신할 수 있다. 일 실시예에서, 목표계정 정찰행위 탐지부(340)는 공격대상 계정과 연관된 사용자 단말 즉, 스마트폰에 인증번호를 송신할 수 있고, 사용자는 인증번호를 수신하여 목표계정 정찰행위 탐지에 의한 계정접근 폐쇄를 해제할 수 있다. 다른 일 실시예에서, 사용자는 인증번호를 수신하더라도 계정접근이 폐쇄되도록 할 수 있다. 예를 들어, 사용자는 특정 기간동안 사용하지 않던 계정이라면 계정접근을 폐쇄하도록 할 수 있다.The target account reconnaissance detection unit 340 may close the account access when the attacker's target account reconnaissance is detected, and then transmit the authentication number to the associated smartphone. In one embodiment, the target account reconnaissance detection unit 340 may transmit an authentication number to a user terminal associated with the attack target account, that is, a smartphone, and the user may receive an authentication number to receive an account by detecting the target account reconnaissance activity. The access closure can be released. In another embodiment, the user may allow the account access to be closed even if the user receives the authentication number. For example, a user may want to close an account if the account has not been used for a certain period of time.

목표계정 정찰행위 탐지부(340)는 공격자의 목표계정 정찰행위가 탐지되면 계정권한을 축소한 후 비밀번호 변경을 요청할 수 있다. 여기에서, 계정권한을 축소하는 것은 아래의 <표 1>에 나타난 바와 같이, 사용자가 계정을 이용하여 접근할 수 있는 범위를 축소하는 것을 포함할 수 있으며, 접근 범위는 관리자에 의해 설정 변경될 수 있으며 반드시 이에 한정하지 않는다.The target account reconnaissance detection unit 340 may reduce the account authority and request a password change when the attacker's target account reconnaissance is detected. In this case, reducing the account authority may include reducing the range that the user can access using the account, as shown in Table 1 below, and the access range may be changed by the administrator. It is not necessarily limited thereto.

축소 전Before zoom out 축소 후After shrinking 접근 가능Accessible 접근 불가Access denied 접근 가능Accessible 접근 가능Accessible 접근 가능Accessible 접근 불가Access denied

목표계정 정찰행위 탐지 관리자(이하, 관리자)는 목표계정 정찰행위 단계에 따라 계정권한 축소 범위를 상이하게 설정할 수 있다. 목표계정 정찰행위 단계는 1단계부터 N단계로 설정할 수 있고, N단계로 갈수록 목표계정 정찰행위의 위험도가 높음을 의미할 수 있으며 반드시 이에 한정하지 않는다. 관리자는 목표계정 정찰행위 탐지부(340)를 통해 탐지된 목표계정 정찰행위가 1단계 즉, 위험도가 낮은 단계보다 N단계 즉, 위험도가 높은 단계일수록 계정권한을 많이 축소할 수 있다. 예를 들어, 1단계는 1개를 축소하는 반면 N단계는 N개를 축소할 수 있다. The target account reconnaissance detection manager (hereinafter, the administrator) may set the range of account authority reduction according to the target account reconnaissance level. The target account reconnaissance step may be set from step 1 to N step, which may mean that the risk of the target account reconnaissance action increases as step N is not limited thereto. The administrator may reduce the authority of the account more as the target account reconnaissance detection detected by the target account reconnaissance detection unit 340 is at step 1, that is, at a high risk level, rather than at a low risk level. For example, step 1 can reduce one, while step N can reduce N.

목표계정 정찰행위 탐지부(340)는 해당 공격대상 계정의 계정권한을 축소한 후, 사용자에게 비밀번호 변경을 요청할 수 있다. 예를 들어, 목표계정 정찰행위 탐지부(340)는 비밀번호 변경을 요청한 뒤, 사용자에 의해 비밀번호가 변경된 것으로 탐지되면 해당 계정의 계정권한을 상승시킬 수 있다. 목표계정 정찰행위 탐지부(340)는 계정권한을 축소시키기 이전으로 계정권한을 복구시킬 수 있다.The target account reconnaissance detection unit 340 may reduce the account authority of the target account, and request the user to change the password. For example, the target account reconnaissance detection unit 340 may increase the account authority of the corresponding account when the password change is detected by the user after requesting a password change. The target account reconnaissance detection unit 340 may restore the account authority before reducing the account authority.

제어부(350)는 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)의 전체적인 동작을 제어할 수 있고, 네트워크 활동 수집부(310), 계정탐색 이벤트 결정부(320), 시공간적 군집성 결정부(330) 및 목표계정 정찰행위 탐지부(340) 간의 제어 흐름 또는 데이터 흐름을 제어할 수 있다.The controller 350 may control the overall operation of the AI-based target account reconnaissance detection device 120, and may include a network activity collector 310, an account search event determiner 320, and a spatiotemporal clustering determiner 330. ) And the control flow or data flow between the target account reconnaissance detection unit 340.

도 4는 도 1에 있는 인공지능 기반의 목표계정 정찰행위 탐지 장치에서 수행되는 인공지능 기반의 목표계정 정찰행위 방법을 설명하는 순서도이다.4 is a flowchart illustrating an AI-based target account reconnaissance behavior method performed by the AI-based target account reconnaissance detection apparatus of FIG. 1.

도 4에서, 네트워크 활동 수집부(310)는 외부 기기와 데이터 통신을 통해 생성되는 네트워크 활동들을 수집할 수 있다(단계 S410).In FIG. 4, the network activity collecting unit 310 may collect network activities generated through data communication with an external device (step S410).

계정탐색 이벤트 결정부(320)는 기계학습 기반의 네트워크 이벤트 모델을 통해 네트워크 활동들 중 계정탐색 이벤트를 결정할 수 있다(단계 S420).The account search event determiner 320 may determine an account search event among network activities through the machine learning based network event model (step S420).

시공간적 군집성 결정부(330)는 계정탐색 이벤트에 관한 시공간적 군집성을 결정할 수 있다(단계 S430).The spatiotemporal clustering determining unit 330 may determine the spatiotemporal clustering regarding the account search event (step S430).

목표계정 정찰행위 탐지부(340)는 시공간적 군집성을 기초로 계정탐색 이벤트와 연관된 계정이 공격대상 계정에 해당하는지 여부를 결정하여 공격자의 목표계정 정찰행위를 탐지할 수 있다(단계 S440).The target account reconnaissance detection unit 340 may detect an attacker's target account reconnaissance by determining whether the account associated with the account search event corresponds to the target account based on the spatiotemporal clustering (step S440).

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although described above with reference to a preferred embodiment of the present invention, those skilled in the art will be variously modified and changed within the scope of the invention without departing from the spirit and scope of the invention described in the claims below I can understand that you can.

100: 인공지능 기반의 목표계정 정찰행위 탐지 시스템
110: 외부 기기
120: 인공지능 기반의 목표계정 정찰행위 탐지 장치
210: 프로세서 220: 메모리
230: 사용자 입출력부 240: 네트워크 입출력부
310: 네트워크 활동 수집부 320: 계정탐색 이벤트 결정부
330: 시공간적 군집성 결정부 340: 목표계정 정찰행위 탐지부
350: 제어부100: AI based target account reconnaissance detection system
110: external device
120: AI-based target account reconnaissance detection device
210: processor 220: memory
230: user input and output unit 240: network input and output unit
310: network activity collection unit 320: account navigation event determination unit
330: spatiotemporal clustering determining unit 340: target account reconnaissance detection unit
350: control unit

Claims (7)

외부 기기와 데이터 통신을 통해 생성되는 네트워크 활동들을 수집하는 네트워크 활동 수집부;
상기 네트워크 활동들의 통신 프로토콜 및 포트 번호를 기계학습하여 상기 네트워크 활동들을 분류하고, 상기 네트워크 활동들의 분류를 통해 네트워크 이벤트 모델을 수립하고, 상기 네트워크 이벤트 모델을 통해 상기 네트워크 활동들 중 계정탐색 이벤트를 결정하는 계정탐색 이벤트 결정부;
상기 계정탐색 이벤트에 관한 시공간적 군집성을 결정하는 시공간적 군집성 결정부; 및
상기 시공간적 군집성을 기초로 상기 계정탐색 이벤트와 연관된 계정이 공격대상 계정에 해당하는지 여부를 결정하여 공격자의 목표계정 정찰행위를 탐지하는 목표계정 정찰행위 탐지부를 포함하고,
상기 시공간적 군집성 결정부는
상기 계정탐색 이벤트에 있는 특정 계정을 향한 상기 네트워크 활동들의 시간적 집중도를 나타내는 계정 접근의 시간적 밀집도 및 특정 공격자의 IP 주소 또는 지리적 위치에서 발생되는 상기 계정탐색 이벤트의 집중도를 나타내는 공격자의 공간적 밀집도를 산출하고,
상기 목표계정 정찰행위 탐지부는
상기 계정 접근 또는 상기 공격자의 단위시간당 집중도 또는 주기당 집중도를 기초로 APT (Advanced Persistent Threat)를 검출하는 것을 특징으로 하는 인공지능 기반의 목표계정 정찰행위 탐지 장치.
A network activity collector configured to collect network activities generated through data communication with an external device;
Machine learning the communication protocol and port number of the network activities to classify the network activities, establish a network event model through the classification of the network activities, and determine an account discovery event among the network activities through the network event model. An account search event determiner;
A spatiotemporal clustering determining unit for determining a spatiotemporal clustering of the account search event; And
A target account reconnaissance activity detection unit for determining whether an account associated with the account search event corresponds to an attack target account based on the spatiotemporal clustering and detecting an attacker's target account reconnaissance activity;
The spatiotemporal clustering determining unit
Calculate a temporal density of account accesses representing the temporal concentration of the network activities towards a particular account in the account discovery event and a spatial density of attackers representing the concentration of the account discovery events occurring at a particular attacker's IP address or geographic location; ,
The target account reconnaissance detection unit
An AI-based target account reconnaissance detection device, characterized in that it detects APT (Advanced Persistent Threat) based on the account access or the attacker's concentration per unit time or concentration per cycle.
삭제delete 제1항에 있어서, 상기 계정탐색 이벤트 결정부는
상기 네트워크 이벤트 모델을 기초로 계정 로그인 이벤트, 계정 이메일 이벤트 및 계정 접속 이벤트 중 적어도 하나를 포함하고 계정탐색으로 귀결되는 이벤트를 상기 계정탐색 이벤트로 결정하는 것을 특징으로 하는 인공지능 기반의 목표계정 정찰행위 탐지 장치.
The method of claim 1, wherein the account search event determiner
AI-based target account reconnaissance action comprising at least one of an account login event, an account e-mail event, and an account access event based on the network event model and determining an event that results in an account search as the account search event Detection device.
삭제delete 삭제delete 제1항에 있어서, 상기 목표계정 정찰행위 탐지부는
상기 단위시간당 집중도 또는 주기당 집중도가 특정 기준 이상이면 상기 계정탐색 이벤트와 연관된 계정을 공격대상 계정에 해당하는 것으로 결정하는 것을 특징으로 하는 인공지능 기반의 목표계정 정찰행위 탐지 장치.
The method of claim 1, wherein the target account reconnaissance detection unit
An AI-based target account reconnaissance detection device, characterized in that if the concentration per unit time or concentration per cycle is above a certain criterion, the account associated with the account search event is determined to correspond to an attack target account.
제1항에 있어서, 상기 목표계정 정찰행위 탐지부는
상기 목표계정 정찰행위가 탐지되면 계정접근 폐쇄 후 연관 스마트폰에 인증번호 송신하거나 또는 계정권한 축소 후 비밀번호 변경을 요청하는 것을 특징으로 하는 인공지능 기반의 목표계정 정찰행위 탐지 장치.
The method of claim 1, wherein the target account reconnaissance detection unit
When the target account reconnaissance detection is detected, AI-based target account reconnaissance detection device, characterized in that for sending an authentication number to the associated smartphone after account access closure or requesting a password change after reducing the account authority.
KR1020190002772A 2019-01-09 2019-01-09 Artificial intelligence based target account reconnaissance behavior detection apparatus KR102002560B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190002772A KR102002560B1 (en) 2019-01-09 2019-01-09 Artificial intelligence based target account reconnaissance behavior detection apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190002772A KR102002560B1 (en) 2019-01-09 2019-01-09 Artificial intelligence based target account reconnaissance behavior detection apparatus

Publications (1)

Publication Number Publication Date
KR102002560B1 true KR102002560B1 (en) 2019-10-01

Family

ID=68207516

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190002772A KR102002560B1 (en) 2019-01-09 2019-01-09 Artificial intelligence based target account reconnaissance behavior detection apparatus

Country Status (1)

Country Link
KR (1) KR102002560B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140078329A (en) 2012-12-17 2014-06-25 (주)나루씨큐리티 Method and apparatus for defensing local network attacks
US20150096024A1 (en) * 2013-09-30 2015-04-02 Fireeye, Inc. Advanced persistent threat (apt) detection center
KR101761798B1 (en) * 2013-08-20 2017-07-26 한국전자통신연구원 Scanning attack detection apparatus in control network
KR20170122548A (en) 2016-04-27 2017-11-06 한국전자통신연구원 Method and Apparatus for Recognizing APT(Advanced Persistent Threat) using Co-Relational Data Analytics

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140078329A (en) 2012-12-17 2014-06-25 (주)나루씨큐리티 Method and apparatus for defensing local network attacks
KR101761798B1 (en) * 2013-08-20 2017-07-26 한국전자통신연구원 Scanning attack detection apparatus in control network
US20150096024A1 (en) * 2013-09-30 2015-04-02 Fireeye, Inc. Advanced persistent threat (apt) detection center
KR20170122548A (en) 2016-04-27 2017-11-06 한국전자통신연구원 Method and Apparatus for Recognizing APT(Advanced Persistent Threat) using Co-Relational Data Analytics

Similar Documents

Publication Publication Date Title
US20200344246A1 (en) Apparatus, system and method for identifying and mitigating malicious network threats
Allodi et al. Security events and vulnerability data for cybersecurity risk estimation
US20210248230A1 (en) Detecting Irregularities on a Device
US9369479B2 (en) Detection of malware beaconing activities
CN110620753B (en) System and method for countering attacks on a user&#39;s computing device
CN107465648B (en) Abnormal equipment identification method and device
US8683585B1 (en) Using file reputations to identify malicious file sources in real time
Siadati et al. Detecting structurally anomalous logins within enterprise networks
KR101689299B1 (en) Automated verification method of security event and automated verification apparatus of security event
US9154516B1 (en) Detecting risky network communications based on evaluation using normal and abnormal behavior profiles
US9817969B2 (en) Device for detecting cyber attack based on event analysis and method thereof
US20160065594A1 (en) Intrusion detection platform
US11962611B2 (en) Cyber security system and method using intelligent agents
CN111786966A (en) Method and device for browsing webpage
US11258812B2 (en) Automatic characterization of malicious data flows
Alzahrani et al. SMS mobile botnet detection using a multi-agent system: research in progress
Nguyen et al. DGA botnet detection using collaborative filtering and density-based clustering
CN113411297A (en) Situation awareness defense method and system based on attribute access control
Al-Hamami et al. Development of a network-based: Intrusion Prevention System using a Data Mining approach
KR102002560B1 (en) Artificial intelligence based target account reconnaissance behavior detection apparatus
KR102018348B1 (en) User behavior analysis based target account exploit detection apparatus
US11184369B2 (en) Malicious relay and jump-system detection using behavioral indicators of actors
US20200351292A1 (en) Source entities of security indicators
US11743287B2 (en) Denial-of-service detection system
CN114465746B (en) Network attack control method and system