KR102002560B1 - Artificial intelligence based target account reconnaissance behavior detection apparatus - Google Patents
Artificial intelligence based target account reconnaissance behavior detection apparatus Download PDFInfo
- Publication number
- KR102002560B1 KR102002560B1 KR1020190002772A KR20190002772A KR102002560B1 KR 102002560 B1 KR102002560 B1 KR 102002560B1 KR 1020190002772 A KR1020190002772 A KR 1020190002772A KR 20190002772 A KR20190002772 A KR 20190002772A KR 102002560 B1 KR102002560 B1 KR 102002560B1
- Authority
- KR
- South Korea
- Prior art keywords
- account
- target account
- reconnaissance
- event
- network
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Abstract
Description
본 발명은 인공지능 기반의 목표계정 정찰행위 탐지 기술에 관한 것으로, 보다 상세하게는, 시공간적 군집성을 기초로 공격대상 계정을 식별하여 내외부 공격자에 의한 목표계정 정찰행위를 탐지할 수 있는 인공지능 기반의 목표계정 정찰행위 탐지 장치에 관한 것이다.The present invention relates to an AI-based target account reconnaissance detection technology, and more specifically, to identify a target account based on spatiotemporal clustering and to detect a target account reconnaissance by internal and external attackers. It relates to a target account reconnaissance detection device.
소프트웨어워의 중요성은 점점 높아지고 있는 추세이고, 대부분의 기업과 회사에서는 온라인 서비스를 통해 비즈니스의 연속성을 유지해가고 있음. 이러한 서비스들은 대부분 서버 시스템의 자원을 활용하여 제공되고 있기에 비즈니스의 연속성을 보장하기 위해 서버 시스템의 보안과 가용성 측면에서 안정적인 운영이 필수적이다.The importance of software wars is increasing, and most companies and companies maintain business continuity through online services. Since most of these services are provided by utilizing server system resources, stable operation is essential in terms of security and availability of server systems to ensure business continuity.
최근 정보 보호 법률 및 규제 등의 강화로 서버 시스템 보호 대책 방안이 요구되고 있고, 고도화되고 있는 다양한 기법의 내부 및/또는 외부 공격으로부터 자산을 보호하기 위해 효과적인 접근 통제와 감사 추적이 포함된 전사적인 서버 시스템 통제 대응 방안이 필요함. 또한, 기존의 서버 보안 기술은 외부 공격에 대해 중점을 두고 있어 잠재적인 내부자 위협에 대응하기에는 한계가 있었다.Recently, server system protection measures are required due to the strengthening of information protection laws and regulations, and enterprise-wide servers including effective access control and audit trails to protect assets from internal and / or external attacks of various advanced techniques. A system control response plan is needed. In addition, existing server security technologies focus on external attacks, limiting their ability to respond to potential insider threats.
한국공개특허 제10-2017-0122548호는 비정상 프로세스의 연관 데이터 분석을 이용한 APT 공격 인지 방법 및 장치에 관한 것으로, 기업이나 조직 등의 네트워크 상의 서버, PC(Personal Computer) 등 호스트 장치의 백신 프로그램이나 보안 시스템에서 실시간으로 탐지된 악성 프로세스 등 비정상 프로세스(어플리케이션)에 대해 과거 연관 데이터에서 그 프로세스와 연관된 데이터 관계 및 수행된 행위에 대한 과거 연관 정보를 생성하여 이를 기반으로 APT 5단계, 즉, 전파(Delivery), 탈취(Exploitation), 설치(Installation), C0026#C(Command 0026# Control) 통신, 목표달성(Actions)을 분석함으로써 지능형 사이버 표적 공격(APT)를 탐지하는 기술을 개시한다.Korean Patent Laid-Open No. 10-2017-0122548 relates to a method and apparatus for recognizing an APT attack using analysis of related data of an abnormal process, and includes a vaccine program of a host device such as a server or a personal computer (PC) on a network of an enterprise or an organization. For an abnormal process (application), such as a malicious process detected in real time in the security system, historical association data is generated from past association data, and past association information on data relations and actions performed associated with the process is based on the APT step 5, that is, propagation ( Disclosed are techniques for detecting advanced cyber target attacks (APTs) by analyzing delivery, exploitation, installation, C0026 # C (Command 0026 # Control) communications, and actions.
한국공개특허 제10-2014-0078329호는 내부망 타겟 공격 대응 장치 및 방법에 관한 것으로, 내부망 타겟 공격 대응 장치는 행위프로파일시 ECDMAX(Exploit, C2, Download, Lateral Movement, External Network Attack, Exfiltration)를 기초로 단계별로 공격을 추적하고 대응하는 기술을 개시한다.Korean Laid-Open Patent Publication No. 10-2014-0078329 relates to an internal network target attack response device and method, and the internal network target attack response device includes ECDMAX (Exploit, C2, Download, Lateral Movement, External Network Attack, Exfiltration) in the behavior profile. Based on the step by step attack tracking and counteracting techniques are disclosed.
본 발명의 일 실시예는 시공간적 군집성을 기초로 공격대상 계정을 식별하여 내외부 공격자에 의한 목표계정 정찰행위를 탐지할 수 있는 인공지능 기반의 목표계정 정찰행위 탐지 장치를 제공하고자 한다.An embodiment of the present invention is to provide an AI-based target account reconnaissance detection device that can detect the target account reconnaissance by the internal and external attacker by identifying the target account based on the spatiotemporal clustering.
본 발명의 일 실시예는 기계학습을 통해 네트워크 활동에서 계정탐색으로 귀결되는 계정탐색 이벤트를 분류할 수 있는 인공지능 기반의 목표계정 정찰행위 탐지 장치를 제공하고자 한다.An embodiment of the present invention is to provide an AI-based target account reconnaissance detection device that can classify account search events resulting in account search in network activity through machine learning.
본 발명의 일 실시예는 종래의 서버 보안 기술에 의해서 내외부 공격이 감지되지 않는 것을 해결할 수 있는 인공지능 기반의 목표계정 정찰행위 탐지 장치를 제공하고자 한다.An embodiment of the present invention is to provide an artificial intelligence-based target account reconnaissance detection device that can solve the detection of internal and external attacks by the conventional server security technology.
실시예들 중에서, 인공지능 기반의 목표계정 정찰행위 탐지 장치는 외부 기기와 데이터 통신을 통해 생성되는 네트워크 활동들을 수집하는 네트워크 활동 수집부, 기계학습 기반의 네트워크 이벤트 모델을 통해 상기 네트워크 활동들 중 계정탐색 이벤트를 결정하는 계정탐색 이벤트 결정부, 상기 계정탐색 이벤트에 관한 시공간적 군집성을 결정하는 시공간적 군집성 결정부 및 상기 시공간적 군집성을 기초로 상기 계정탐색 이벤트와 연관된 계정이 공격대상 계정에 해당하는지 여부를 결정하여 공격자의 목표계정 정찰행위를 탐지하는 목표계정 정찰행위 탐지부를 포함한다.Among the embodiments, the artificial intelligence-based target account reconnaissance detection device is a network activity collecting unit for collecting network activities generated through data communication with an external device, the account of the network activities through a network learning model based on machine learning An account search event determining unit determining a search event, a spatiotemporal clustering determining unit determining a spatiotemporal clustering related to the account search event, and determining whether an account associated with the account search event corresponds to the target account based on the spatiotemporal clustering And a target account reconnaissance detection unit for detecting an attacker's target account reconnaissance.
일 실시예에서, 상기 계정탐색 이벤트 결정부는 상기 네트워크 활동들의 통신 프로토콜 및 포트 번호를 기계학습하여 상기 네트워크 활동들을 분류하고, 상기 네트워크 활동들의 분류를 통해 상기 네트워크 이벤트 모델을 수립할 수 있다.In one embodiment, the account search event determiner may classify the network activities by machine learning the communication protocol and the port number of the network activities, and establish the network event model through the classification of the network activities.
일 실시예에서, 상기 계정탐색 이벤트 결정부는 상기 네트워크 이벤트 모델을 기초로 계정 로그인 이벤트, 계정 이메일 이벤트 및 계정 접속 이벤트 중 적어도 하나를 포함하고 계정탐색으로 귀결되는 이벤트를 상기 계정탐색 이벤트로 결정할 수 있다.In one embodiment, the account search event determiner may include at least one of an account login event, an account email event, and an account access event based on the network event model, and determine an event resulting in an account search as the account search event. .
일 실시예에서, 상기 시공간적 군집성 결정부는 상기 계정탐색 이벤트에 있는 계정 접근의 시간적 밀집도 및 공격자의 공간적 밀집도를 산출할 수 있다.In one embodiment, the spatiotemporal clustering determining unit may calculate the temporal density and the attacker's spatial density of the account access in the account search event.
일 실시예에서, 상기 목표계정 정찰행위 탐지부는 상기 계정 접근 또는 상기 공격자의 단위시간당 집중도 또는 주기당 집중도를 기초로 APT (Advanced Persistent Threat)를 검출할 수 있다.In one embodiment, the target account reconnaissance detection unit may detect APT (Advanced Persistent Threat) based on the concentration of the account access or the attacker per unit time or concentration per cycle.
일 실시예에서, 상기 목표계정 정찰행위 탐지부는 상기 단위시간당 집중도 또는 주기당 집중도가 특정 기준 이상이면 상기 계정탐색 이벤트와 연관된 계정을 공격대상 계정에 해당하는 것으로 결정할 수 있다.In one embodiment, the target account reconnaissance detection unit may determine that an account associated with the account search event corresponds to an attack target account when the concentration per unit time or concentration per cycle is greater than or equal to a certain criterion.
일 실시예에서, 상기 목표계정 정찰행위 탐지부는 상기 목표계정 정찰행위가 탐지되면 계정접근 폐쇄 후 연관 스마트폰에 인증번호 송신하거나 또는 계정권한 축소 후 비밀번호 변경을 요청할 수 있다.In one embodiment, if the target account reconnaissance detection unit detects the target account reconnaissance activity may be closed after the account access to send an authentication number to the associated smartphone or request to change the password after reducing the account authority.
개시된 기술은 다음의 효과를 가질 수 있다. 다만, 특정 실시예가 다음의 효과를 전부 포함하여야 한다거나 다음의 효과만을 포함하여야 한다는 의미는 아니므로, 개시된 기술의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.The disclosed technique can have the following effects. However, since a specific embodiment does not mean to include all of the following effects or only the following effects, it should not be understood that the scope of the disclosed technology is limited by this.
본 발명의 일 실시예에 따른 인공지능 기반의 목표계정 정찰행위 탐지 장치는 시공간적 군집성을 기초로 공격대상 계정을 식별하여 내외부 공격자에 의한 목표계정 정찰행위를 탐지할 수 있다.Artificial intelligence-based target account reconnaissance detection apparatus according to an embodiment of the present invention can detect target account reconnaissance by internal and external attackers by identifying target accounts based on spatiotemporal clustering.
본 발명의 일 실시예에 따른 인공지능 기반의 목표계정 정찰행위 탐지 장치는 기계학습을 통해 네트워크 활동에서 계정탐색으로 귀결되는 계정탐색 이벤트를 분류할 수 있다.The AI-based target account reconnaissance detection apparatus according to an embodiment of the present invention may classify an account search event resulting in an account search in network activity through machine learning.
본 발명의 일 실시예에 따른 인공지능 기반의 목표계정 정찰행위 탐지 장치는 종래의 서버 보안 기술에 의해서 내외부 공격이 감지되지 않는 것을 해결할 수 있다.Artificial intelligence-based target account reconnaissance detection apparatus according to an embodiment of the present invention can solve that the internal and external attacks are not detected by the conventional server security technology.
도 1은 본 발명의 일 실시예에 따른 인공지능 기반의 목표계정 정찰행위 탐지 시스템을 설명하는 도면이다.
도 2는 도 1에 있는 인공지능 기반의 목표계정 정찰행위 탐지 장치를 나타내는 도면이다.
도 3은 도 1에 있는 인공지능 기반의 목표계정 정찰행위 탐지 장치의 프로세서의 기능 요소를 나타내는 도면이다.
도 4는 도 1에 있는 인공지능 기반의 목표계정 정찰행위 탐지 장치에서 수행되는 인공지능 기반의 목표계정 정찰행위 방법을 설명하는 순서도이다.1 is a diagram illustrating an AI-based target account reconnaissance detection system according to an embodiment of the present invention.
FIG. 2 is a diagram illustrating an AI-based target account reconnaissance detection device of FIG. 1.
FIG. 3 is a diagram illustrating functional elements of a processor of the artificial intelligence based target account reconnaissance detection apparatus of FIG. 1.
4 is a flowchart illustrating an AI-based target account reconnaissance method performed by the AI-based target account reconnaissance detection apparatus of FIG. 1.
본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다. 또한, 본 발명에서 제시된 목적 또는 효과는 특정 실시예가 이를 전부 포함하여야 한다거나 그러한 효과만을 포함하여야 한다는 의미는 아니므로, 본 발명의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.Description of the present invention is only an embodiment for structural or functional description, the scope of the present invention should not be construed as limited by the embodiments described in the text. That is, since the embodiments may be variously modified and may have various forms, the scope of the present invention should be understood to include equivalents capable of realizing the technical idea. In addition, the objects or effects presented in the present invention does not mean that a specific embodiment should include all or only such effects, the scope of the present invention should not be understood as being limited thereby.
한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.On the other hand, the meaning of the terms described in the present application should be understood as follows.
"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.Terms such as "first" and "second" are intended to distinguish one component from another component, and the scope of rights should not be limited by these terms. For example, the first component may be named a second component, and similarly, the second component may also be named a first component.
어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.When a component is referred to as being "connected" to another component, it should be understood that there may be other components in between, although it may be directly connected to the other component. On the other hand, when a component is referred to as being "directly connected" to another component, it should be understood that there is no other component in between. On the other hand, other expressions describing the relationship between the components, such as "between" and "immediately between" or "neighboring to" and "directly neighboring to", should be interpreted as well.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Singular expressions should be understood to include plural expressions unless the context clearly indicates otherwise, and terms such as "comprise" or "have" refer to a feature, number, step, operation, component, part, or feature thereof. It is to be understood that the combination is intended to be present and does not exclude in advance the possibility of the presence or addition of one or more other features or numbers, steps, operations, components, parts or combinations thereof.
각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.In each step, an identification code (e.g., a, b, c, etc.) is used for convenience of description, and the identification code does not describe the order of the steps, and each step clearly indicates a specific order in context. Unless stated otherwise, they may occur out of the order noted. That is, each step may occur in the same order as specified, may be performed substantially simultaneously, or may be performed in the reverse order.
본 발명은 컴퓨터가 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있고, 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The present invention can be embodied as computer readable code on a computer readable recording medium, and the computer readable recording medium includes all kinds of recording devices in which data can be read by a computer system. . Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage device, and the like. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.
여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.All terms used herein have the same meaning as commonly understood by one of ordinary skill in the art unless otherwise defined. Generally, the terms defined in the dictionary used are to be interpreted to coincide with the meanings in the context of the related art, and should not be interpreted as having ideal or excessively formal meanings unless clearly defined in the present application.
도 1은 본 발명의 일 실시예에 따른 인공지능 기반의 목표계정 정찰행위 탐지 시스템을 설명하는 도면이다.1 is a diagram illustrating an AI-based target account reconnaissance detection system according to an embodiment of the present invention.
도 1을 참조하면, 인공지능 기반의 목표계정 정찰행위 탐지 시스템(100)은 외부 기기(110) 및 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)를 포함할 수 있다.Referring to FIG. 1, the AI-based target account
외부 기기(110)는 데이터 통신을 통해 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)와 통신을 수행하는 컴퓨팅 장치에 해당하고, 예를 들어, 스마트폰, 노트북 또는 컴퓨터로 구현될 수 있으며 반드시 이에 한정하지 않고, 태블릿 PC 등 다양한 디바이스로도 구현될 수 있다. 외부 기기(110)는 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)와 네트워크를 통해 연결될 수 있고, 적어도 하나의 외부 기기(110)는 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)와 동시에 연결될 수 있다.The
인공지능 기반의 목표계정 정찰행위 탐지 장치(120)는 외부 기기(110)와 데이터 통신을 통해 생성되는 네트워크 활동을 기계학습(Machine Learning)하여 분류하고, 분류된 네트워크 활동을 기반으로 네트워크 이벤트 모델을 수립하여 목표계정 정찰행위를 탐지하는 서버에 해당할 수 있다. 일 실시예에서, 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)는 외부 기기(110)와 데이터 통신에서 공격자의 목표계정 정찰행위를 탐지함으로써 공격에 대한 사전 대응이 가능한 별도의 서버 또는 장치로 구현될 수 있으나, 반드시 이에 한정하지 않는다.The AI-based target account
일 실시예에서, 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)는 데이터베이스(미도시됨)를 포함하여 구현될 수 있고, 데이터베이스와 독립적으로 구현될 수 있다. 데이터베이스와 독립적으로 구현되는 경우에 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)는 데이터베이스와 유선 및/또는 무선으로 연결되어 데이터를 송수신할 수 있다. 이하, 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)와 관련한 보다 상세한 설명은 도 3을 참조하여 설명한다.In one embodiment, the AI-based target account
데이터베이스는 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)의 목표계정 정찰행위 탐지에 필요한 정보들을 저장할 수 있는 저장 장치이다. 일 실시예에서, 데이터베이스는 기계학습을 통해 학습된 복수의 네트워크 활동들을 저장할 수 있고, 반드시 이에 한정하지는 않으며, 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)가 목표계정 정찰행위 탐지를 수행하는 과정에서 다양한 형태로 수집하거나 또는 가공된 정보들을 저장할 수 있다.The database is a storage device capable of storing information necessary for detecting the target account
도 2는 도 1에 있는 인공지능 기반의 목표계정 정찰행위 탐지 장치를 나타내는 도면이다.FIG. 2 is a diagram illustrating an AI-based target account reconnaissance detection device of FIG. 1.
도 2를 참조하면, 인공지능 기반의 목표계정 정찰행위 탐지 장치(120, 이하, 목표계정 정찰행위 탐지 장치)는 프로세서(210), 메모리(220), 사용자 입출력부(230) 및 네트워크 입출력부(240)를 포함할 수 있다.Referring to FIG. 2, an AI-based target account reconnaissance detection device 120 (hereinafter, referred to as a target account reconnaissance detection device) includes a
프로세서(210)는 도 4에 있는 인공지능 기반의 목표계정 정찰행위 탐지를 수행할 수 있고, 이러한 과정에서 읽혀지거나 작성되는 메모리(220)를 관리할 수 있으며, 메모리(220)에 있는 휘발성 메모리와 비휘발성 메모리 간의 동기화 시간을 스케줄 할 수 있다.The
프로세서(210)는 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)의 동작 전반을 제어할 수 있고, 메모리(220), 사용자 입출력부(230) 및 네트워크 입출력부(240)와 전기적으로 연결되어 이들 간의 데이터 흐름을 제어할 수 있다. 프로세서(210)는 목표계정 정찰행위 탐지 장치(120)의 CPU(Central Processing Unit)로 구현될 수 있다.The
메모리(220)는 SSD(Solid State Disk) 또는 HDD(Hard Disk Drive)와 같은 비휘발성 메모리로 구현되어 목표계정 정찰행위 탐지 장치(120)에 필요한 데이터 전반을 저장하는데 사용되는 보조기억장치를 포함할 수 있고, RAM(Random Access Memory)과 같은 휘발성 메모리로 구현된 주기억장치를 포함할 수 있다.The
사용자 입출력부(230)는 사용자 입력을 수신하기 위한 환경 및 사용자에게 특정 정보를 출력하기 위한 환경을 포함하고, 예를 들어, 마우스, 트랙볼, 터치 패드, 그래픽 태블릿, 스캐너, 터치 스크린, 키보드 또는 포인팅 장치와 같은 어댑터를 포함하는 입력장치 및 모니터와 같은 어댑터를 포함하는 출력장치를 포함할 수 있다. 일 실시예에서, 사용자 입출력부(230)는 원격 접속을 통해 접속되는 컴퓨팅 장치에 해당할 수 있고, 그러한 경우, 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)는 서버로서 수행될 수 있다.The user input /
네트워크 입출력부(240)는 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)와 연결하기 위한 환경을 포함할 수 있고, 예를 들어, LAN(Local Area Network) 통신을 위한 어댑터를 포함할 수 있다. 일 실시예에서, 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)는 네트워크 입출력부(240)를 통해 네트워크로 연결될 수 있다.The network input /
도 3은 도 1에 있는 인공지능 기반의 목표계정 정찰행위 탐지 장치의 프로세서의 기능 요소를 나타내는 도면이다.FIG. 3 is a diagram illustrating functional elements of a processor of the artificial intelligence based target account reconnaissance detection apparatus of FIG. 1.
도 3을 참조하면, 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)는 네트워크 활동 수집부(310), 계정탐색 이벤트 결정부(320), 시공간적 군집성 결정부(330), 목표계정 정찰행위 탐지부(340) 및 제어부(350)를 포함한다.Referring to FIG. 3, the AI-based target account
네트워크 활동 수집부(310)는 네트워크 활동과 연관된 데이터를 수집할 수 있다. 구체적으로, 네트워크 활동 수집부(310)는 외부 기기(110)와 데이터 통신을 통해 생성되는 네트워크 활동들을 수집할 수 있다. 예를 들어, 네트워크 활동 수집부(310)는 사용자에 의한 이메일(E-Mail) 수발신, 계정 로그인(Login), 계정 접속 등을 포함하는 네트워크 활동들을 수집할 수 있고, 네트워크 활동은 반드시 이에 한정하지 않는다.The
일 실시예에서, 네트워크 활동 수집부(310)는 외부 기기(110)와 데이터 통신 과정에서 생성되는 패킷(Packet)을 네트워크 활동에 대한 정보로서 수집할 수 있다. 예를 들어, 네트워크 활동 수집부(310)는 IP(Internet Protocol) 주소, 포트 번호(Port Nunber), 사용자 정보, 호스트(Host) 정보 중에서 적어도 하나를 수집할 수 있고, 반드시 이에 한정하지 않는다.In an embodiment, the
네트워크 활동 수집부(310)는 수집된 네트워크 활동들을 분류하기 위하여 계정탐색 이벤트 결정부(320)에 네트워크 활동들을 송신할 수 있다.The
계정탐색 이벤트 결정부(320)는 네트워크 활동 수집부(310)로부터 적어도 하나의 네트워크 활동을 수신할 수 있다. 보다 구체적으로, 계정탐색 이벤트 결정부(320)는 네트워크 활동들의 통신 프로토콜 및 포트 번호(Port Number)를 기계학습(Machine Learning)하여 네트워크 활동들을 분류할 수 있다. 계정탐색 이벤트 결정부(320)는 TCP(Transmission Control Protocol), UDP(User Datagram Protocol), HTTP(Hypertext Transfer Protocol) 또는 SMTP(Simple Mail Transfer Protocol) 등의 통신 프로토콜 및 0 에서 65535 사이의 16비트 정수로 표현되는 포트 번호 등을 기계학습할 수 있다. 예를 들어, 계정탐색 이벤트 결정부(320)는 포트 번호가 25, 465 및 587(보내는 메일 서버) 중 하나에 해당하고, 통신 프로토콜이 SMTP에 해당하면, 해당 네트워크 활동이 사용자에 의한 이메일(E-Mail) 수발신 이벤트 즉, 계정 이메일 이벤트로 분류할 수 있다.The account
계정탐색 이벤트 결정부(320)는 네트워크 활동들의 분류를 통해 네트워크 이벤트 모델을 수립할 수 있다. 계정탐색 이벤트 결정부(320)는 통신 프로토콜과 포트 번호를 학습함으로써 분류된 네트워크 활동들을 기초로 네트워크 이벤트 모델을 수립할 수 있다.The account
계정탐색 이벤트 결정부(320)는 기계학습 기반의 네트워크 이벤트 모델을 통해 네트워크 활동들 중 계정탐색 이벤트를 결정할 수 있다. 보다 구체적으로, 계정탐색 이벤트 결정부(320)는 네트워크 이벤트 모델을 기초로 계정 로그인 이벤트, 계정 이메일 이벤트 및 계정 접속 이벤트 중 적어도 하나를 포함하고, 계정탐색으로 귀결되는 이벤트를 계정탐색 이벤트로 결정할 수 있다.The account
이하, 설명의 편의를 위하여 특정 네트워크 활동이 계정 이메일 이벤트를 포함하는 것으로 가정하여 설명한다.In the following description, it is assumed that a specific network activity includes an account email event for convenience of description.
일 실시예에서, 계정탐색 이벤트 결정부(320)는 특정 네트워크 활동이 계정 이메일 이벤트로 결정되면, 해당 계정 이메일 이벤트와 연관된 계정이 특정 서버에 존재하는지 여부를 파악함으로써 해당 이벤트가 계정탐색으로 귀결되는지 분석할 수 있다. 여기에서, 특정 서버는 목표계정 정찰행위 탐지 장치(120)에 해당할 수도 있고, 목표계정 정찰행위 탐지 장치(120)와 연동된 별도의 서버에 해당할 수도 있으며 반드시 이에 한정하지 않는다. 특정 서버에 계정 이메일 이벤트와 연관된 계정이 존재하면, 계정탐색 이벤트 결정부(320)는 특정 네트워크 활동이 계정 이메일 이벤트를 포함하고, 계정탐색으로 귀결되는 것으로 결정하여 해당 이벤트를 계정탐색 이벤트로 결정할 수 있다.In one embodiment, if the account
시공간적 군집성 결정부(330)는 계정탐색 이벤트 결정부(320)를 통해 결정된 계정탐색 이벤트에 관한 시공간적 군집성을 결정할 수 있다. 여기에서, 시공간적 군집성은 계정탐색 이벤트에 있는 시간적 밀집도 또는 공간적 밀집도를 산출한 것을 의미할 수 있다. 보다 구체적으로, 시공간적 군집성 결정부(330)는 계정탐색 이벤트에 있는 계정 접근의 시간적 밀집도 및 공격자의 공간적 밀집도를 산출할 수 있다.The spatiotemporal
일 실시예에서, 시간적 밀집도는 특정 계정을 향한 네트워크 활동들의 시간적 집중도를 나타낼 수 있고, 단위시간당 집중도 또는 주기당 집중도를 포함할 수 있다. 예를 들어, 시공간적 군집성 결정부(330)는 계정탐색 이벤트에 있는 계정 접근의 시간적 밀집도를 산출하기 위해 A시간부터 30분, A시간부터 1시간 동안에 대한 집중도를 산출하거나 또는 1개월, 1년 등 주기당 집중도를 산출할 수 있으며 단위시간 및 주기 설정은 사용자에 의해 설정될 수 있다.In one embodiment, temporal density may represent the temporal concentration of network activities directed at a particular account and may include concentration per unit time or concentration per cycle. For example, the spatiotemporal
일 실시예에서, 공간적 밀집도는 특정 공격자의 IP(Internet Protocol) 주소 또는 지리적 위치에서 발생되는 계정탐색 이벤트의 집중도를 나타낼 수 있고, 단위시간당 집중도 또는 주기당 집중도를 포함할 수 있다. 여기에서, 특정 공격자는 공격 단말 즉, 사용자가 아니라 컴퓨터를 의미한다.In one embodiment, spatial density may indicate a concentration of account discovery events occurring at an Internet Protocol (IP) address or geographic location of a specific attacker, and may include concentration per unit time or concentration per cycle. Here, the specific attacker means an attacking terminal, that is, a computer, not a user.
목표계정 정찰행위 탐지부(340)는 APT(Advanced Persistent Threat)를 검출할 수 있다. 여기에서, APT(Advanced Persistent Threat)는 지능형 지속 공격으로 조직이나 기업을 표적으로 정한 뒤, 장기간에 걸쳐서 다양한 수단을 총동원하는 지능적 해킹 방법을 말하며 '지능형 지속위협' 또는 '지능형 지속가능위협'이라고도 한다. 예를 들어, 지능형 지속 공격(APT)은 실시간으로 해킹 공격을 시도하는 것이 아니라 미리 악성코드를 숨겨 놓았다가 시간이 지난 뒤 동시에 작동시킨다.The target account
목표계정 정찰행위 탐지부(340)는 계정 접근 또는 공격자의 단위시간당 집중도 또는 주기당 집중도를 기초로 지능형 지속 공격(APT)을 검출할 수 있다. 일 실시예에서, 목표계정 정찰행위 탐지부(340)는 특정 시간에 집중되어 있는지 분석함으로써 지능형 지속 공격(APT)을 검출할 수 있다. 다른 일 실시예에서, 목표계정 정찰행위 탐지부(340)는 특정 지역 즉, 특정 IP(Internet Protocol) 주소에 집중되어 있는지 분석함으로써 지능형 지속 공격(APT)를 검출할 수 있다.The target account
목표계정 정찰행위 탐지부(340)는 단위시간당 집중도 또는 주기당 집중도가 특정 기준 이상이면 계정탐색 이벤트와 연관된 계정을 공격대상 계정에 해당하는 것으로 결정할 수 있다. 여기에서, 특정 기준은 사용자에 의해 설정될 수 있는 기준에 해당할 수 있고, 공격대상 계정은 공격자에 의해 공격을 받는 계정에 해당할 수 있다. 일 실시예에서, 목표계정 정찰행위 탐지부(340)는 특정 시간에 집중되거나 또는 특정 지역에 집중되면 해당 계정이 내외부 공격자로부터 공격을 받는 것으로 판단할 수 있고, 이러한 과정을 통해 해당 계정이 공격대상 계정에 해당하는 것으로 결정할 수 있다.The target account
보다 구체적으로, 목표계정 정찰행위 탐지부(340)는 시공간적 군집성 결정부(330)를 통해 결정된 시공간적 군집성을 기초로 계정탐색 이벤트와 연관된 계정이 공격대상 계정에 해당하는지 여부를 결정하여 공격자의 목표계정 정찰행위를 탐지할 수 있다. 목표계정 정찰행위 탐지부(340)는 결정된 공격대상 계정을 모니터링하여 내외부 공격자의 목표계정 정찰행위를 탐지할 수 있다. 예를 들어, 공격자는 내외부 공격 단말로 존재할 수 있고, 목표계정 정찰행위는 공격대상 계정 정찰, 공격대상 계정 탈취, 파일불법조작(복제, 변경)과 같은 목표달성을 위한 공격대상 계정접근 등을 포함할 수 있으며, 반드시 이에 한정하지 않는다.More specifically, the target account
즉, 목표계정 정찰행위 탐지부(340)는 시공간적 군집성을 기초로 결정된 공격대상 계정을 지속적으로 모니터링함으로써 공격자가 해당 공격대상 계정에 어떠한 공격을 하려고 하는지에 대해 사전 탐지할 수 있다. 본 발명의 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)는 공격자의 목표계정 정찰행위를 사전에 탐지함으로써 내외부 공격자에 의한 공격을 방어할 수 있다.That is, the target account
목표계정 정찰행위 탐지부(340)는 공격자의 목표계정 정찰행위가 탐지되면 계정접근을 폐쇄한 후, 연관 스마트폰에 인증번호를 송신할 수 있다. 일 실시예에서, 목표계정 정찰행위 탐지부(340)는 공격대상 계정과 연관된 사용자 단말 즉, 스마트폰에 인증번호를 송신할 수 있고, 사용자는 인증번호를 수신하여 목표계정 정찰행위 탐지에 의한 계정접근 폐쇄를 해제할 수 있다. 다른 일 실시예에서, 사용자는 인증번호를 수신하더라도 계정접근이 폐쇄되도록 할 수 있다. 예를 들어, 사용자는 특정 기간동안 사용하지 않던 계정이라면 계정접근을 폐쇄하도록 할 수 있다.The target account
목표계정 정찰행위 탐지부(340)는 공격자의 목표계정 정찰행위가 탐지되면 계정권한을 축소한 후 비밀번호 변경을 요청할 수 있다. 여기에서, 계정권한을 축소하는 것은 아래의 <표 1>에 나타난 바와 같이, 사용자가 계정을 이용하여 접근할 수 있는 범위를 축소하는 것을 포함할 수 있으며, 접근 범위는 관리자에 의해 설정 변경될 수 있으며 반드시 이에 한정하지 않는다.The target account
목표계정 정찰행위 탐지 관리자(이하, 관리자)는 목표계정 정찰행위 단계에 따라 계정권한 축소 범위를 상이하게 설정할 수 있다. 목표계정 정찰행위 단계는 1단계부터 N단계로 설정할 수 있고, N단계로 갈수록 목표계정 정찰행위의 위험도가 높음을 의미할 수 있으며 반드시 이에 한정하지 않는다. 관리자는 목표계정 정찰행위 탐지부(340)를 통해 탐지된 목표계정 정찰행위가 1단계 즉, 위험도가 낮은 단계보다 N단계 즉, 위험도가 높은 단계일수록 계정권한을 많이 축소할 수 있다. 예를 들어, 1단계는 1개를 축소하는 반면 N단계는 N개를 축소할 수 있다. The target account reconnaissance detection manager (hereinafter, the administrator) may set the range of account authority reduction according to the target account reconnaissance level. The target account reconnaissance step may be set from step 1 to N step, which may mean that the risk of the target account reconnaissance action increases as step N is not limited thereto. The administrator may reduce the authority of the account more as the target account reconnaissance detection detected by the target account
목표계정 정찰행위 탐지부(340)는 해당 공격대상 계정의 계정권한을 축소한 후, 사용자에게 비밀번호 변경을 요청할 수 있다. 예를 들어, 목표계정 정찰행위 탐지부(340)는 비밀번호 변경을 요청한 뒤, 사용자에 의해 비밀번호가 변경된 것으로 탐지되면 해당 계정의 계정권한을 상승시킬 수 있다. 목표계정 정찰행위 탐지부(340)는 계정권한을 축소시키기 이전으로 계정권한을 복구시킬 수 있다.The target account
제어부(350)는 인공지능 기반의 목표계정 정찰행위 탐지 장치(120)의 전체적인 동작을 제어할 수 있고, 네트워크 활동 수집부(310), 계정탐색 이벤트 결정부(320), 시공간적 군집성 결정부(330) 및 목표계정 정찰행위 탐지부(340) 간의 제어 흐름 또는 데이터 흐름을 제어할 수 있다.The
도 4는 도 1에 있는 인공지능 기반의 목표계정 정찰행위 탐지 장치에서 수행되는 인공지능 기반의 목표계정 정찰행위 방법을 설명하는 순서도이다.4 is a flowchart illustrating an AI-based target account reconnaissance behavior method performed by the AI-based target account reconnaissance detection apparatus of FIG. 1.
도 4에서, 네트워크 활동 수집부(310)는 외부 기기와 데이터 통신을 통해 생성되는 네트워크 활동들을 수집할 수 있다(단계 S410).In FIG. 4, the network
계정탐색 이벤트 결정부(320)는 기계학습 기반의 네트워크 이벤트 모델을 통해 네트워크 활동들 중 계정탐색 이벤트를 결정할 수 있다(단계 S420).The account
시공간적 군집성 결정부(330)는 계정탐색 이벤트에 관한 시공간적 군집성을 결정할 수 있다(단계 S430).The spatiotemporal
목표계정 정찰행위 탐지부(340)는 시공간적 군집성을 기초로 계정탐색 이벤트와 연관된 계정이 공격대상 계정에 해당하는지 여부를 결정하여 공격자의 목표계정 정찰행위를 탐지할 수 있다(단계 S440).The target account
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although described above with reference to a preferred embodiment of the present invention, those skilled in the art will be variously modified and changed within the scope of the invention without departing from the spirit and scope of the invention described in the claims below I can understand that you can.
100: 인공지능 기반의 목표계정 정찰행위 탐지 시스템
110: 외부 기기
120: 인공지능 기반의 목표계정 정찰행위 탐지 장치
210: 프로세서 220: 메모리
230: 사용자 입출력부 240: 네트워크 입출력부
310: 네트워크 활동 수집부 320: 계정탐색 이벤트 결정부
330: 시공간적 군집성 결정부 340: 목표계정 정찰행위 탐지부
350: 제어부100: AI based target account reconnaissance detection system
110: external device
120: AI-based target account reconnaissance detection device
210: processor 220: memory
230: user input and output unit 240: network input and output unit
310: network activity collection unit 320: account navigation event determination unit
330: spatiotemporal clustering determining unit 340: target account reconnaissance detection unit
350: control unit
Claims (7)
상기 네트워크 활동들의 통신 프로토콜 및 포트 번호를 기계학습하여 상기 네트워크 활동들을 분류하고, 상기 네트워크 활동들의 분류를 통해 네트워크 이벤트 모델을 수립하고, 상기 네트워크 이벤트 모델을 통해 상기 네트워크 활동들 중 계정탐색 이벤트를 결정하는 계정탐색 이벤트 결정부;
상기 계정탐색 이벤트에 관한 시공간적 군집성을 결정하는 시공간적 군집성 결정부; 및
상기 시공간적 군집성을 기초로 상기 계정탐색 이벤트와 연관된 계정이 공격대상 계정에 해당하는지 여부를 결정하여 공격자의 목표계정 정찰행위를 탐지하는 목표계정 정찰행위 탐지부를 포함하고,
상기 시공간적 군집성 결정부는
상기 계정탐색 이벤트에 있는 특정 계정을 향한 상기 네트워크 활동들의 시간적 집중도를 나타내는 계정 접근의 시간적 밀집도 및 특정 공격자의 IP 주소 또는 지리적 위치에서 발생되는 상기 계정탐색 이벤트의 집중도를 나타내는 공격자의 공간적 밀집도를 산출하고,
상기 목표계정 정찰행위 탐지부는
상기 계정 접근 또는 상기 공격자의 단위시간당 집중도 또는 주기당 집중도를 기초로 APT (Advanced Persistent Threat)를 검출하는 것을 특징으로 하는 인공지능 기반의 목표계정 정찰행위 탐지 장치.
A network activity collector configured to collect network activities generated through data communication with an external device;
Machine learning the communication protocol and port number of the network activities to classify the network activities, establish a network event model through the classification of the network activities, and determine an account discovery event among the network activities through the network event model. An account search event determiner;
A spatiotemporal clustering determining unit for determining a spatiotemporal clustering of the account search event; And
A target account reconnaissance activity detection unit for determining whether an account associated with the account search event corresponds to an attack target account based on the spatiotemporal clustering and detecting an attacker's target account reconnaissance activity;
The spatiotemporal clustering determining unit
Calculate a temporal density of account accesses representing the temporal concentration of the network activities towards a particular account in the account discovery event and a spatial density of attackers representing the concentration of the account discovery events occurring at a particular attacker's IP address or geographic location; ,
The target account reconnaissance detection unit
An AI-based target account reconnaissance detection device, characterized in that it detects APT (Advanced Persistent Threat) based on the account access or the attacker's concentration per unit time or concentration per cycle.
상기 네트워크 이벤트 모델을 기초로 계정 로그인 이벤트, 계정 이메일 이벤트 및 계정 접속 이벤트 중 적어도 하나를 포함하고 계정탐색으로 귀결되는 이벤트를 상기 계정탐색 이벤트로 결정하는 것을 특징으로 하는 인공지능 기반의 목표계정 정찰행위 탐지 장치.
The method of claim 1, wherein the account search event determiner
AI-based target account reconnaissance action comprising at least one of an account login event, an account e-mail event, and an account access event based on the network event model and determining an event that results in an account search as the account search event Detection device.
상기 단위시간당 집중도 또는 주기당 집중도가 특정 기준 이상이면 상기 계정탐색 이벤트와 연관된 계정을 공격대상 계정에 해당하는 것으로 결정하는 것을 특징으로 하는 인공지능 기반의 목표계정 정찰행위 탐지 장치.
The method of claim 1, wherein the target account reconnaissance detection unit
An AI-based target account reconnaissance detection device, characterized in that if the concentration per unit time or concentration per cycle is above a certain criterion, the account associated with the account search event is determined to correspond to an attack target account.
상기 목표계정 정찰행위가 탐지되면 계정접근 폐쇄 후 연관 스마트폰에 인증번호 송신하거나 또는 계정권한 축소 후 비밀번호 변경을 요청하는 것을 특징으로 하는 인공지능 기반의 목표계정 정찰행위 탐지 장치.
The method of claim 1, wherein the target account reconnaissance detection unit
When the target account reconnaissance detection is detected, AI-based target account reconnaissance detection device, characterized in that for sending an authentication number to the associated smartphone after account access closure or requesting a password change after reducing the account authority.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190002772A KR102002560B1 (en) | 2019-01-09 | 2019-01-09 | Artificial intelligence based target account reconnaissance behavior detection apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190002772A KR102002560B1 (en) | 2019-01-09 | 2019-01-09 | Artificial intelligence based target account reconnaissance behavior detection apparatus |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102002560B1 true KR102002560B1 (en) | 2019-10-01 |
Family
ID=68207516
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020190002772A KR102002560B1 (en) | 2019-01-09 | 2019-01-09 | Artificial intelligence based target account reconnaissance behavior detection apparatus |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102002560B1 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20140078329A (en) | 2012-12-17 | 2014-06-25 | (주)나루씨큐리티 | Method and apparatus for defensing local network attacks |
US20150096024A1 (en) * | 2013-09-30 | 2015-04-02 | Fireeye, Inc. | Advanced persistent threat (apt) detection center |
KR101761798B1 (en) * | 2013-08-20 | 2017-07-26 | 한국전자통신연구원 | Scanning attack detection apparatus in control network |
KR20170122548A (en) | 2016-04-27 | 2017-11-06 | 한국전자통신연구원 | Method and Apparatus for Recognizing APT(Advanced Persistent Threat) using Co-Relational Data Analytics |
-
2019
- 2019-01-09 KR KR1020190002772A patent/KR102002560B1/en active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20140078329A (en) | 2012-12-17 | 2014-06-25 | (주)나루씨큐리티 | Method and apparatus for defensing local network attacks |
KR101761798B1 (en) * | 2013-08-20 | 2017-07-26 | 한국전자통신연구원 | Scanning attack detection apparatus in control network |
US20150096024A1 (en) * | 2013-09-30 | 2015-04-02 | Fireeye, Inc. | Advanced persistent threat (apt) detection center |
KR20170122548A (en) | 2016-04-27 | 2017-11-06 | 한국전자통신연구원 | Method and Apparatus for Recognizing APT(Advanced Persistent Threat) using Co-Relational Data Analytics |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200344246A1 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
Allodi et al. | Security events and vulnerability data for cybersecurity risk estimation | |
US20210248230A1 (en) | Detecting Irregularities on a Device | |
US9369479B2 (en) | Detection of malware beaconing activities | |
CN110620753B (en) | System and method for countering attacks on a user's computing device | |
CN107465648B (en) | Abnormal equipment identification method and device | |
US8683585B1 (en) | Using file reputations to identify malicious file sources in real time | |
Siadati et al. | Detecting structurally anomalous logins within enterprise networks | |
KR101689299B1 (en) | Automated verification method of security event and automated verification apparatus of security event | |
US9154516B1 (en) | Detecting risky network communications based on evaluation using normal and abnormal behavior profiles | |
US9817969B2 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
US20160065594A1 (en) | Intrusion detection platform | |
US11962611B2 (en) | Cyber security system and method using intelligent agents | |
CN111786966A (en) | Method and device for browsing webpage | |
US11258812B2 (en) | Automatic characterization of malicious data flows | |
Alzahrani et al. | SMS mobile botnet detection using a multi-agent system: research in progress | |
Nguyen et al. | DGA botnet detection using collaborative filtering and density-based clustering | |
CN113411297A (en) | Situation awareness defense method and system based on attribute access control | |
Al-Hamami et al. | Development of a network-based: Intrusion Prevention System using a Data Mining approach | |
KR102002560B1 (en) | Artificial intelligence based target account reconnaissance behavior detection apparatus | |
KR102018348B1 (en) | User behavior analysis based target account exploit detection apparatus | |
US11184369B2 (en) | Malicious relay and jump-system detection using behavioral indicators of actors | |
US20200351292A1 (en) | Source entities of security indicators | |
US11743287B2 (en) | Denial-of-service detection system | |
CN114465746B (en) | Network attack control method and system |