KR102032222B1 - Method for Generating Whitelist and Detecting Abnormal Behavior Based on Matrix - Google Patents
Method for Generating Whitelist and Detecting Abnormal Behavior Based on Matrix Download PDFInfo
- Publication number
- KR102032222B1 KR102032222B1 KR1020180001596A KR20180001596A KR102032222B1 KR 102032222 B1 KR102032222 B1 KR 102032222B1 KR 1020180001596 A KR1020180001596 A KR 1020180001596A KR 20180001596 A KR20180001596 A KR 20180001596A KR 102032222 B1 KR102032222 B1 KR 102032222B1
- Authority
- KR
- South Korea
- Prior art keywords
- matrix
- whitelist
- unit
- abnormal behavior
- generation
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
본 발명은 특정 네트워크 망 내에서 생성되는 명령 이벤트들을 이벤트 발생 주체, 명령 수행 주체, 두 주체 사이에 존재하는 프로퍼티 조합으로 구성된 매트릭스를 구성하는 단계와 상기 구성된 매트릭스 및 명령 이벤트로부터 이상행위를 탐지하는 단계;를 포함하는 것을 특징으로 하는 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법에 관한 것이다.The present invention provides a method comprising constructing a matrix of command events generated in a specific network by an event generator, a command execution agent, and a property combination existing between the two agents, and detecting abnormal behavior from the configured matrix and command events. It relates to a matrix-based white list generation and abnormal behavior detection method comprising a.
Description
본 발명 중소벤처기업부와 부산지방중소기업청의 기술혁신개발사업으로 수행된 연구결과이다.The results of the research carried out as a technology innovation development project of the Small and Medium Venture Business Department of the present invention and Busan Small and Medium Business Administration.
본 발명은 특정 네트워크 망 내에서 생성되는 명령 이벤트들을 이벤트 발생 주체, 명령 수행 주체, 두 주체 사이에 존재하는 프로퍼티 조합으로 구성된 매트릭스를 구성하는 단계와 상기 구성된 매트릭스 및 명령 이벤트로부터 이상행위를 탐지하는 단계;를 포함하는 것을 특징으로 하는 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법에 관한 것이다.The present invention provides a method comprising constructing a matrix of command events generated in a specific network by an event generator, a command execution agent, and a property combination existing between the two agents, and detecting abnormal behavior from the configured matrix and command events. It relates to a matrix-based white list generation and abnormal behavior detection method comprising a.
최근 몇 년간 웹 서버에서 발생하는 비정상 행위를 탐지하기 위한 많은 연구가 진행되어 왔다. 인터넷의 규모가 빠르게 팽창하고 이용률이 증가함에 따라 분석해야 할 대상들이 급격하게 증가하였음에도 불구하고 대용량의 데이터에서 효과적으로 비정상 행위를 분석할 수 있는 방법이 없었기 때문에 단순한 통계적 방법을 이용하여 웹 로그를 분석해 왔다. 또한 기존의 연구는 인위적으로 만들어진 데이터를 대상으로 탐지모델을 제안하고 효용성을 검증하였기 때문에 한계를 가지고 있다.In recent years, many researches have been conducted to detect abnormal behaviors occurring in a web server. Although the scale of the Internet has rapidly expanded and the use rate has increased rapidly, there has been no way to effectively analyze abnormal behavior in large amounts of data. Therefore, we have analyzed web logs using simple statistical methods. . In addition, the existing studies have limitations because they proposed a detection model for artificially generated data and verified their effectiveness.
본 발명은 상기와 같은 종래기술의 문제점을 해결하는 것을 목적으로 한다. The present invention aims to solve the problems of the prior art as described above.
구체적으로, 본 발명의 목적은 매트릭스 기반의 이상행위 탐지를 위한 화이트리스트 생성 방법 및 이를 이용한 공격탐지 방법을 제공하는 것이다.Specifically, it is an object of the present invention to provide a method for generating a white list for detecting abnormal behavior based on a matrix and an attack detection method using the same.
본 발명이 이루고자 하는 기술적 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.Technical problems to be achieved by the present invention are not limited to the above-mentioned problems, and other technical problems not mentioned above may be clearly understood by those skilled in the art from the following description. There will be.
이러한 목적을 달성하기 위한 본 발명에 따른 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법은 특정 네트워크 망 내에서 생성되는 명령 이벤트들을 이벤트 발생 주체, 명령 수행 주체, 두 주체 사이에 존재하는 프로퍼티 조합으로 구성된 매트릭스를 구성하는 단계와 상기 구성된 매트릭스 및 명령 이벤트로부터 이상행위를 탐지하는 단계를 포함하는 것을 특징으로 한다.The matrix-based whitelist generation and anomaly detection method according to the present invention for achieving the above object is a matrix consisting of a command event generated in a specific network network, the event generating subject, the command executing subject, a property combination existing between the two subjects Comprising the step of detecting the abnormal behavior from the configured matrix and command event.
매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법이 적용되는 시스템은 행위탐지부, 매트릭스 생성부, 화이트리스트 등록부로 구성되는 생성부; 통신부, 행위정보 데이터베이스, 공격 추론부로 구성되는 탐지부; 를 포함하는 것을 특징으로 한다.The system to which the matrix-based white list generation and abnormal behavior detection method is applied includes a generation unit including a behavior detection unit, a matrix generation unit, and a white list registration unit; A detection unit comprising a communication unit, an action information database, and an attack inference unit; Characterized in that it comprises a.
이상과 같이 본 발명은 매트릭스 기반의 이상행위 탐지를 위한 화이트리스트 생성 방법 및 이를 이용한 공격탐지 방법을 제공하는 효과가 있다.As described above, the present invention has an effect of providing a whitelist generation method for detecting abnormal behavior based on a matrix and an attack detection method using the same.
본 발명의 기술적 효과들은 이상에서 언급한 기술적 효과들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 효과들은 청구범위의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The technical effects of the present invention are not limited to the technical effects mentioned above, and other technical effects not mentioned above may be clearly understood by those skilled in the art from the description of the claims. There will be.
도 1은 본 발명의 일실시 예에 따른 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법이 적용된 시스템을 나타내는 도면이다.
도 2는 기존의 이상행위 탐지 장치를 나타내는 도면이다.1 is a diagram illustrating a system to which a matrix-based whitelist generation and anomaly detection method according to an embodiment of the present invention are applied.
2 is a diagram illustrating a conventional abnormal behavior detection apparatus.
이하, 본 발명의 바람직한 실시 예를 첨부된 도면을 참조하여 상세히 설명한다. 참고로, 본 발명을 설명하는 데 참조하는 도면에 도시된 구성요소의 크기, 선의 두께 등은 이해의 편의상 다소 과장되게 표현되어 있을 수 있다. 또, 본 발명의 설명에 사용되는 용어들은 본 발명에서의 기능을 고려하여 정의한 것이므로 사용자, 운용자 의도, 관례 등에 따라 달라질 수 있다. 따라서, 이 용어에 대한 정의는 본 명세서의 전반에 걸친 내용을 토대로 내리는 것이 마땅하겠다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. For reference, the size of the components, the thickness of the line, and the like shown in the drawings referred to for describing the present invention may be somewhat exaggerated for ease of understanding. In addition, terms used in the description of the present invention are defined in consideration of the functions in the present invention and may vary according to a user, an operator's intention, customs, and the like. Therefore, the definition of this term should be based on the contents throughout the specification.
또한, 본 발명의 목적이 구체적으로 실현될 수 있는 본 발명의 바람직한 실시 예를 첨부된 도면을 참조하여 설명하지만, 이는 본 발명의 더욱 용이한 이해를 위한 것으로, 본 발명의 범주가 그것에 의해 한정되는 것은 아니다. 아울러, 본 발명의 실시 예를 설명함에 있어서, 동일 구성에 대해서는 동일 명칭 및 동일 부호가 사용되며 이에 따른 부가적인 설명은 생략하기로 한다.In addition, while the purpose of the present invention will be specifically described with reference to the accompanying drawings, preferred embodiments of the present invention, which is intended for easier understanding of the present invention, the scope of the present invention is limited thereto It is not. In addition, in the following description of the embodiment of the present invention, the same name and the same reference numerals are used for the same configuration and additional description thereof will be omitted.
본 발명의 각 구성 단계에 대한 상세한 설명에 앞서, 본 명세서 및 청구 범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 안 되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위하여 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 따라서, 본 명세서에 기재된 실시 예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일실시 예에 불과하며 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원 시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.Prior to the detailed description of each construction step of the present invention, the terms or words used in the present specification and claims should not be construed as being limited to the ordinary or dictionary meanings, and the inventors should consider the best method for their own invention. In order to explain the description, the concept of the term should be interpreted as meaning and concept corresponding to the technical idea of the present invention based on the principle that the concept of the term can be properly defined. Therefore, the embodiments described in the specification and the drawings shown in the drawings are only the most preferred embodiments of the present invention and do not represent all of the technical spirit of the present invention, various modifications that can be substituted at the time of the present application It should be understood that there may be equivalents and variations.
명세서 전체에서 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다. 또한, 명세서에 기재된 "...부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다.When any part of the specification is to "include" any component, this means that it may further include other components, except to exclude other components unless otherwise stated. In addition, the terms "... unit", "module", etc. described in the specification mean a unit for processing at least one function or operation, which may be implemented in hardware or software or a combination of hardware and software. .
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다.Throughout the specification, when a part is "connected" to another part, this includes not only "directly connected" but also "electrically connected" with another element in between. .
"네트워크"는 컴퓨터 시스템들 및/또는 모듈들 간의 전자 데이터를 전송할 수 있게 하는 하나 이상의 데이터 링크로서 정의된다. 정보가 네트워크 또는 다른 (유선, 무선, 또는 유선 또는 무선의 조합인) 통신 접속을 통하여 컴퓨터 시스템에 전송되거나 제공될 때, 이 접속은 컴퓨터-판독가능매체로서 이해될 수 있다.A "network" is defined as one or more data links that enable the transfer of electronic data between computer systems and / or modules. When information is transmitted or provided to a computer system via a network or other (wired, wireless, or a combination of wired or wireless) communication connections, this connection can be understood as a computer-readable medium.
본 발명은 퍼스널 컴퓨터, 랩탑 컴퓨터, 핸드헬드 장치, 멀티프로세서 시스템, 마이크로프로세서-기반 또는 프로그램 가능한 가전제품(programmable consumer electronics), 네트워크 PC, 미니컴퓨터, 메인프레임 컴퓨터, 모바일 전화, PDA, 페이저(pager) 등을 포함하는 다양한 유형의 컴퓨터 시스템 구성을 가지는 네트워크컴퓨팅 환경에서 실시될 수 있다.The present invention relates to personal computers, laptop computers, handheld devices, multiprocessor systems, microprocessor-based or programmable consumer electronics, network PCs, minicomputers, mainframe computers, mobile phones, PDAs, pagers It can be implemented in a network computing environment having various types of computer system configurations, including).
본 발명은 또한 네트워크를 통해 유선 데이터 링크, 무선 데이터 링크, 또는 유선 및 무선 데이터 링크의 조합으로 링크된 로컬 및 원격 컴퓨터 시스템 모두가 태스크를 수행하는 분산형 시스템 환경에서 실행될 수 있다. 분산형 시스템 환경에서, 프로그램 모듈은 로컬 및 원격 메모리 저장 장치에 위치될 수 있다.The invention may also be practiced in distributed system environments where both local and remote computer systems that are linked via wired networks, wireless data links, or combinations of wired and wireless data links perform tasks. In a distributed system environment, program modules may be located in both local and remote memory storage devices.
본 발명의 일실시 예에 따른 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법은 특정 네트워크 망 내에서 생성되는 명령 이벤트들을 이벤트 발생 주체, 명령 수행 주체, 두 주체 사이에 존재하는 프로퍼티 조합으로 구성된 매트릭스를 구성하는 단계와 상기 구성된 매트릭스 및 명령 이벤트로부터 이상행위를 탐지하는 단계를 포함한다.The matrix-based whitelist generation and anomaly detection method according to an embodiment of the present invention constitutes a matrix consisting of a command event generated in a specific network, an event generating agent, a command executing subject, and a property combination existing between two subjects. And detecting abnormal behavior from the configured matrix and command events.
본 발명의 일실시 예에 따른 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법이 적용되는 시스템(100)은 생성부(110)와 탐지부(120)로 구성된다. 생성부는 매트릭스 기반 화이트리스트 생성 기능을 하는 것으로, 행위탐지부(111), 매트릭스 생성부(112), 화이트리스트 등록부(113)로 구성된다.The
탐지부(120)는 이상행위 탐지가 이루어지는 부분으로, 통신부(121), 행위정보 데이터베이스(122), 공격 추론부(123)로 구성된다. The
인가되지 않은 네트워크 연결이 탐지될 시, 상기 주장치 및 상기 단말 장치의 부모 프로세스, 자식 프로세스 및 해쉬값을 포함하는 프로세스 화이트리스트와, 상기 주장치 및 단말 장치에 대한 부모 프로세스 및 자식 프로세스를 비교함으로써 이상 원인을 추적하는 추적부를 포함하고, 상기 화이트리스트는 프로세스 화이트리스트, 파일 화이트리스트 및 네트워크 화이트리스트를 포함한다.When an unauthorized network connection is detected, an abnormal cause is obtained by comparing the process whitelist including the parent process, the child process and the hash value of the master device and the terminal device with the parent process and the child process for the host device and the terminal device. It includes a tracking unit for tracking, the white list includes a process white list, a file white list and a network white list.
이상 본 발명의 실시 예에 따른 도면을 참조하여 설명하였지만, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면 상기 내용을 바탕으로 본 발명의 범주 내에서 다양한 응용, 변형 및 개작을 행하는 것이 가능할 것이다. 이에, 본 발명의 진정한 보호 범위는 첨부된 청구 범위에 의해서만 정해져야 할 것이다.Although described above with reference to the drawings in accordance with an embodiment of the present invention, those skilled in the art to which the present invention pertains to various applications, modifications and adaptations within the scope of the present invention based on the above contents. will be. Accordingly, the true scope of protection of the invention should be defined only by the appended claims.
110 : 생성부
111 : 행위탐지부
112 : 매트릭스 생성부
113 : 화이트리스트 등록부
120 : 탐지부
121 : 통신부
122 : 행위정보 데이터베이스
123 : 공격 추론부110: generation unit
111: behavior detection unit
112: matrix generator
113: white list register
120: detector
121: communication unit
122: behavior information database
123: attack inference
Claims (2)
특정 네트워크 망 내에서 생성되는 명령 이벤트들을 이벤트 발생 주체, 명령 수행 주체, 두 주체 사이에 존재하는 프로퍼티 조합으로 구성된 매트릭스를 구성하는 단계와;
상기 구성된 매트릭스 및 명령 이벤트로부터 이상행위를 탐지하는 단계;
상기 시스템(100)에서, 인가되지 않은 네트워크 연결이 탐지될 경우, 매트릭스를 구성하는 단계는 주장치 및 단말 장치의 부모 프로세스, 자식 프로세스 및 해쉬값을 포함하는 프로세스 화이트리스트와, 상기 주장치 및 단말 장치에 대한 부모 프로세스 및 자식 프로세스를 비교함으로써 이상 원인을 추적하는 추적부를 포함하고, 상기 화이트리스트는 프로세스 화이트리스트, 파일 화이트리스트 및 네트워크 화이트리스트로 구성하는 것을 특징으로 하는 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법The system 100 to which the matrix-based whitelist generation and abnormal behavior detection method is applied includes a generation unit 110 and a detection unit 120, and the generation unit 110 includes an activity detection unit 111 and a matrix generation unit. And a white list registration unit 113, wherein the detection unit 120 is a matrix-based white list of the system 100 including the communication unit 121, the behavior information database 122, and the attack inference unit 123. In the generation and abnormal behavior detection method,
Constructing a matrix of command events generated in a specific network consisting of an event generator, a command execution agent, and a property combination existing between the two agents;
Detecting anomalies from the configured matrix and command events;
In the system 100, if an unauthorized network connection is detected, the step of constructing a matrix includes a process whitelist including parent processes, child processes, and hash values of the master and terminal devices, and the master and terminal devices. And a tracking unit that tracks the cause of the abnormality by comparing the parent process and the child process, wherein the whitelist comprises a process whitelist, a file whitelist, and a network whitelist. Way
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180001596A KR102032222B1 (en) | 2018-01-05 | 2018-01-05 | Method for Generating Whitelist and Detecting Abnormal Behavior Based on Matrix |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180001596A KR102032222B1 (en) | 2018-01-05 | 2018-01-05 | Method for Generating Whitelist and Detecting Abnormal Behavior Based on Matrix |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20190083764A KR20190083764A (en) | 2019-07-15 |
KR102032222B1 true KR102032222B1 (en) | 2019-10-15 |
Family
ID=67257603
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020180001596A KR102032222B1 (en) | 2018-01-05 | 2018-01-05 | Method for Generating Whitelist and Detecting Abnormal Behavior Based on Matrix |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102032222B1 (en) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101767454B1 (en) * | 2015-11-12 | 2017-08-14 | 주식회사 엔젠소프트 | Method and apparatus of fraud detection for analyzing behavior pattern |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102017756B1 (en) | 2014-01-13 | 2019-09-03 | 한국전자통신연구원 | Apparatus and method for detecting abnormal behavior |
KR20170081543A (en) * | 2016-01-04 | 2017-07-12 | 한국전자통신연구원 | Apparatus and method for detecting symptom based on context information |
-
2018
- 2018-01-05 KR KR1020180001596A patent/KR102032222B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101767454B1 (en) * | 2015-11-12 | 2017-08-14 | 주식회사 엔젠소프트 | Method and apparatus of fraud detection for analyzing behavior pattern |
Also Published As
Publication number | Publication date |
---|---|
KR20190083764A (en) | 2019-07-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Han et al. | Unicorn: Runtime provenance-based detector for advanced persistent threats | |
Hassan et al. | Nodoze: Combatting threat alert fatigue with automated provenance triage | |
US11323471B2 (en) | Advanced cybersecurity threat mitigation using cyberphysical graphs with state changes | |
US10248910B2 (en) | Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform | |
US9928364B2 (en) | Detecting malicious files | |
US10558509B2 (en) | Detecting anomalies in program execution | |
JP2020022208A (en) | Method for detecting attack to work environment connected with communication network | |
CN107003976A (en) | Based on active rule can be permitted determine that activity can be permitted | |
US11949719B2 (en) | Systems and methods of information security monitoring with third-party indicators of compromise | |
CN103761175A (en) | System and method for monitoring program execution paths under Linux system | |
Agarwal et al. | Detecting malicious accounts in permissionless blockchains using temporal graph properties | |
Hammi et al. | Security threats, countermeasures, and challenges of digital supply chains | |
WO2021014208A2 (en) | Detection and prevention of malicious script attacks using behavioral analysis of run-time script execution events | |
US20230252136A1 (en) | Apparatus for processing cyber threat information, method for processing cyber threat information, and medium for storing a program processing cyber threat information | |
US20210044606A1 (en) | Automatic generation of detection alerts | |
US10505962B2 (en) | Blackbox program privilege flow analysis with inferred program behavior context | |
KR102032222B1 (en) | Method for Generating Whitelist and Detecting Abnormal Behavior Based on Matrix | |
US20240054210A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
Shyamasundar | Security and protection of SCADA: a bigdata algorithmic approach | |
US20230254340A1 (en) | Apparatus for processing cyber threat information, method for processing cyber threat information, and medium for storing a program processing cyber threat information | |
Du et al. | Research on a security mechanism for cloud computing based on virtualization | |
Armstrong et al. | Complexity science challenges in cybersecurity | |
Ksibi et al. | IoMT Security Model based on Machine Learning and Risk Assessment Techniques | |
Bartoli et al. | Automatic integrity checks for remote web resources | |
Shi et al. | Structural classification and similarity measurement of malware |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |