KR102038926B1 - 공격자 선정 장치 및 공격자 선정 장치의 동작 방법 - Google Patents

공격자 선정 장치 및 공격자 선정 장치의 동작 방법 Download PDF

Info

Publication number
KR102038926B1
KR102038926B1 KR1020180142165A KR20180142165A KR102038926B1 KR 102038926 B1 KR102038926 B1 KR 102038926B1 KR 1020180142165 A KR1020180142165 A KR 1020180142165A KR 20180142165 A KR20180142165 A KR 20180142165A KR 102038926 B1 KR102038926 B1 KR 102038926B1
Authority
KR
South Korea
Prior art keywords
target
term analysis
destination
component information
short
Prior art date
Application number
KR1020180142165A
Other languages
English (en)
Inventor
송중석
권태웅
최상수
이윤수
박진학
이혁로
박학수
박진형
Original Assignee
한국과학기술정보연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국과학기술정보연구원 filed Critical 한국과학기술정보연구원
Priority to KR1020180142165A priority Critical patent/KR102038926B1/ko
Application granted granted Critical
Publication of KR102038926B1 publication Critical patent/KR102038926B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Abstract

본 발명은, 집중적으로 모니터링할 가시화 대상(공격자 IP)를 선정하는 기술을 실현함으로써, 실제 공격을 유발하는 공격자를 직관적으로 탐지할 수 있도록 하는 고수준의 가시화 기술이 가능해지도록 하는 기술에 관한 것이다.

Description

공격자 선정 장치 및 공격자 선정 장치의 동작 방법{AGGRESSOR SELECTING DEVICE AND CONTROL METHOD THEREOF}
본 발명은, 보안관제 기술 분야에 관한 것으로, 더욱 상세하게는 집중적으로 모니터링할 대상(예: 공격자 IP)를 선별할 수 있는 기술에 관한 것이다.
사이버공간에 연결된 무수히 많은 시스템들은 정상적은 용도로 활용되기도 하지만, 해킹과 같은 악성행위에 활용되기도 한다. 이러한 악성행위를 수행하는 시스템을 선별할 수 있다면, 보안관제의 인력 또는 시스템이 선별된 시스템을 집중적으로 모니터링할 수 있기 때문에, 네트워크 운영 및 보안의 범위를 타겟팅함으로써 업무의 효율성을 향상시킬 수 있을 것이다.
한편, 다수의 악성 봇(예: 좀비 PC)들을 이용하여 공격하는 DDoS공격들의 경우, 공격자들을 탐지하는 것보다는 이들을 조종하는 C&C서버를 탐지/대응하여 근본적인 원인을 차단하는 것이 매우 중요하다.
하지만, C&C서버는 공격에 직접적으로 가담하지 않으므로 피해 서버들과 직접적인 관계가 없기 때문에, 실제 공격을 유발하는 공격자 즉 C&C서버를 탐지하는 것이 매우 어렵다.
이에, 공격에 직접적으로 가담하지 않아 피해 서버와의 직접적 관련성이 낮은 성격을 갖는 공격자(예: C&C서버 IP) 등 실제 공격을 유발하는 공격자(IP)를 선별할 수 있다면, 보안관제의 인력 또는 시스템이 선별된 시스템을 집중적으로 모니터링할 수 있기 때문에, 네트워크 운영 및 보안의 범위를 타겟팅함으로써 업무의 효율성을 향상시킬 수 있을 것이다.
헌데, 기존의 보안이벤트를 기반으로 하는 기술(예: 가시화 기술)은, 집중적으로 모니터링할 가시화 대상을 선정하는 별도 기능이 없으며, 보안이벤트에 대한 전체적인 동향/현황을 가시화하는 수준에 그치고 있다.
결국, 기존의 보안이벤트 기반 기술은, 집중적으로 모니터링할 가시화 대상(공격자 IP)를 선정하는 기능의 부재로 인해, 보안관제의 업무 효율을 만족할 만한 수준으로 향상시킬 수 없는 한계를 갖는다.
이에, 본 발명에서는, 집중적으로 모니터링할 가시화 대상(공격자 IP)를 선정하는 기능(기술)을 제안하고자 한다.
본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 도달하고자 하는 목적은, 집중적으로 모니터링할 가시화 대상(공격자 IP)를 선정하는 기술을 실현하는데 있다.
상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 공격자 선정 장치는, 수집한 보안이벤트를 근거로, 대상 IP 별로 주요 성분정보를 생성하는 주요성분정보 생성모듈; 상기 대상 IP 별로 생성되는 주요 성분정보 및 기 정의된 가중치를 근거로, 상기 대상 IP 별로 악성 의심수준을 결정하는 의심수준 결정모듈; 및 상기 대상 IP 별로 결정한 악성 의심수준에 따라, 상기 대상 IP 중 집중 모니터링 대상을 선정하는 선정모듈을 포함한다.
구체적으로, 상기 주요성분정보 생성모듈은, 공격 유형 및 단기간 이상 행위를 탐지하기 위해 정의된 단기분석 유형의 주요 성분정보와, 장기간 이상 행위를 탐지하기 위해 정의된 장기분석 유형의 주요 성분정보를 구분하여 생성할 수 있다.
구체적으로, 상기 단기분석 유형의 주요 성분정보는, 단기분석 유형에 기 설정된 시간 동안, 대상 IP에서 발생되는 보안이벤트의 발생 횟수, 대상 IP에서 접근한 목적지 IP의 개수 및 목적지 Port의 개수, 대상 IP에서 발생되는 보안이벤트의 발생 간격 평균을 포함할 수 있다.
구체적으로, 장기분석 유형의 주요 성분정보는, 장기분석 유형에 기 설정된 시간 동안, 대상 IP 에서 발생되는 보안이벤트의 분(minute) 단위 발생 빈도 및 보안이벤트의 발생 간격 평균을 포함할 수 있다.
구체적으로, 상기 의심수준 결정모듈은, 상기 대상 IP 별로 생성되는 단기분석 유형의 주요 성분정보 중 보안이벤트 발생 횟수의 최대값, 목적지 IP 개수 최대값, 목적지 Port 개수 최대값, 보안이벤트 발생 간격 평균 최소값을 기준으로 이용하여, 상기 대상 IP 별로, 단기분석 유형의 각 주요 성분정보 및 각 주요 성분정보에 정의된 가중치를 근거로 악성 의심수준 스코어링을 계산할 수 있다.
구체적으로, 상기 의심수준 결정모듈은, 상기 대상 IP 별로 생성되는 장기분석 유형의 주요 성분정보 중 보안이벤트 분단위 발생 빈도 최대값, 보안이벤트 발생 간격 평균 최소값을 기준으로 이용하여, 상기 대상 IP 별로, 장기분석 유형의 각 주요 성분정보 및 각 주요 성분정보에 정의된 가중치를 근거로 악성 의심수준 스코어링을 계산할 수 있다.
구체적으로, 상기 선정모듈은, 상기 대상 IP 별로 결정한 악성 의심수준에 따라 상기 대상 IP를 정렬하여, 악성 의심수준이 가장 높은 상위 N개를 집중 모니터링 대상을 선정할 수 있다.
구체적으로, 집중 모니터링 대상으로 선정된 IP와 선정된 IP의 악성 의심수준을 나타내는 악성 의심수준 스코어링 정보를, 가시화하는 가시화모듈을 더 포함할 수 있다.
상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 공격자 선정 장치의 동작 방법은, 수집한 보안이벤트를 근거로, 대상 IP 별로 주요 성분정보를 생성하는 주요성분정보 생성단계; 상기 대상 IP 별로 생성되는 주요 성분정보 및 기 정의된 가중치를 근거로, 상기 대상 IP 별로 악성 의심수준을 결정하는 의심수준 결정단계; 및 상기 대상 IP 별로 결정한 악성 의심수준에 따라, 상기 대상 IP 중 집중 모니터링 대상을 선정하는 선정단계를 포함한다.
구체적으로, 상기 주요성분정보 생성단계는, 공격 유형 및 단기간 이상 행위를 탐지하기 위해 정의된 단기분석 유형의 주요 성분정보와, 장기간 이상 행위를 탐지하기 위해 정의된 장기분석 유형의 주요 성분정보를 구분하여 생성할 수 있다.
구체적으로, 상기 단기분석 유형의 주요 성분정보는, 단기분석 유형에 기 설정된 시간 동안, 대상 IP에서 발생되는 보안이벤트의 발생 횟수, 대상 IP에서 접근한 목적지 IP의 개수 및 목적지 Port의 개수, 대상 IP에서 발생되는 보안이벤트의 발생 간격 평균을 포함할 수 있다.
구체적으로, 장기분석 유형의 주요 성분정보는, 장기분석 유형에 기 설정된 시간 동안, 대상 IP 에서 발생되는 보안이벤트의 분(minute) 단위 발생 빈도 및 보안이벤트의 발생 간격 평균을 포함할 수 있다.
구체적으로, 상기 의심수준 결정단계는, 상기 대상 IP 별로 생성되는 단기분석 유형의 주요 성분정보 중 보안이벤트 발생 횟수의 최대값, 목적지 IP 개수 최대값, 목적지 Port 개수 최대값, 보안이벤트 발생 간격 평균 최소값을 기준으로 이용하여, 상기 대상 IP 별로, 단기분석 유형의 각 주요 성분정보 및 각 주요 성분정보에 정의된 가중치를 근거로 악성 의심수준 스코어링을 계산할 수 있다.
구체적으로, 상기 의심수준 결정단계는, 상기 대상 IP 별로 생성되는 장기분석 유형의 주요 성분정보 중 보안이벤트 분단위 발생 빈도 최대값, 보안이벤트 발생 간격 평균 최소값을 기준으로 이용하여, 상기 대상 IP 별로, 장기분석 유형의 각 주요 성분정보 및 각 주요 성분정보에 정의된 가중치를 근거로 악성 의심수준 스코어링을 계산할 수 있다.
구체적으로, 상기 선정단계는, 상기 대상 IP 별로 결정한 악성 의심수준에 따라 상기 대상 IP를 정렬하여, 악성 의심수준이 가장 높은 상위 N개를 집중 모니터링 대상을 선정할 수 있다.
상기 목적을 달성하기 위한 본 발명의 제 3 관점에 따른 컴퓨터프로그램은, 하드웨어와 결합하여, 수집한 보안이벤트를 근거로 대상 IP 별로 주요 성분정보를 생성하는 주요성분정보 생성단계; 상기 대상 IP 별로 생성되는 주요 성분정보 및 기 정의된 가중치를 근거로, 상기 대상 IP 별로 악성 의심수준을 결정하는 의심수준 결정단계; 및 상기 대상 IP 별로 결정한 악성 의심수준에 따라, 상기 대상 IP 중 집중 모니터링 대상을 선정하는 선정단계를 실행시키기 위하여 매체에 저장된다.
구체적으로, 상기 주요성분정보 생성단계는, 공격 유형 및 단기간 이상 행위를 탐지하기 위해 정의된 단기분석 유형의 주요 성분정보와, 장기간 이상 행위를 탐지하기 위해 정의된 장기분석 유형의 주요 성분정보를 구분하여 생성할 수 있다.
이에, 본 발명에 따른 공격자 선정 장치 및 공격자 선정 장치의 동작 방법에 의하면, 집중적으로 모니터링할 가시화 대상(공격자 IP)를 선정하는 기술을 실현함으로써, 실제 공격을 유발하는 공격자를 직관적으로 탐지할 수 있도록 하는 고수준의 가시화 기술이 가능해지도록 한다.
이로 인해, 본 발명에 따르면, 실제 공격을 유발한 IP 주소를 직관적으로 탐지할 수 있도록 할 뿐 아니라, 선정된 IP 주소를 대상으로 집중 모니터링할 수 있도록 하여, 보안관제 업무의 효율성을 향상시키는 효과를 기대할 수 있다.
도 1은 본 발명의 실시예에 따른 공격자 선정 기술의 개념을 보여주는 개념도이다.
도 2는 본 발명의 실시예에 따른 공격자 선정 장치의 구성을 보여주는 구성도이다.
도 3은 본 발명의 실시예에 따른 단기분석 유형의 주요 성분정보 생성 과정을 설명하기 위한 일 예를 보여주는 예시도이다.
도 4는 본 발명의 실시예에 따른 장기분석 유형의 주요 성분정보 생성 과정을 설명하기 위한 일 예를 보여주는 예시도이다.
도 5는 본 발명의 실시예에 따른 공격자 선정 장치의 동작 방법을 보여주는 흐름도이다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예에 대하여 설명한다.
사이버공간에 연결된 무수히 많은 시스템들은 정상적은 용도로 활용되기도 하지만, 해킹과 같은 악성행위에 활용되기도 한다. 이러한 악성행위를 수행하는 시스템을 선별할 수 있다면, 보안관제의 인력 또는 시스템이 선별된 시스템을 집중적으로 모니터링할 수 있기 때문에, 네트워크 운영 및 보안의 범위를 타겟팅함으로써 업무의 효율성을 향상시킬 수 있을 것이다.
한편, 다수의 악성 봇(예: 좀비 PC)들을 이용하여 공격하는 DDoS공격들의 경우, 공격자들을 탐지하는 것보다는 이들을 조종하는 C&C서버를 탐지/대응하여 근본적인 원인을 차단하는 것이 매우 중요하다.
하지만, C&C서버는 공격에 직접적으로 가담하지 않으므로 피해 서버들과 직접적인 관계가 없기 때문에, 실제 공격을 유발하는 공격자 즉 C&C서버를 탐지하는 것이 매우 어렵다.
이에, 공격에 직접적으로 가담하지 않아 피해 서버와의 직접적 관련성이 낮은 성격을 갖는 공격자(예: C&C서버 IP) 등 실제 공격을 유발하는 공격자(IP)를 선별할 수 있다면, 보안관제의 인력 또는 시스템이 선별된 시스템을 집중적으로 모니터링할 수 있기 때문에, 네트워크 운영 및 보안의 범위를 타겟팅함으로써 업무의 효율성을 향상시킬 수 있을 것이다.
헌데, 기존의 보안이벤트를 기반으로 하는 기술(예: 가시화 기술)은, 집중적으로 모니터링할 가시화 대상을 선정하는 별도 기능이 없으며, 보안이벤트에 대한 전체적인 동향/현황을 가시화하는 수준에 그치고 있다.
결국, 기존의 보안이벤트 기반 기술은, 집중적으로 모니터링할 가시화 대상(공격자 IP)를 선정하는 기능의 부재로 인해, 보안관제의 업무 효율을 만족할 만한 수준으로 향상시킬 수 없는 한계를 갖는다.
이에, 본 발명에서는, 집중적으로 모니터링할 가시화 대상(공격자 IP)를 선정하는 기능(기술)을 제안하고자 한다.
도 1은 본 발명에서 제안하는 공격자 선정 기술을 개념적으로 보여주고 있다.
도 1에 도시된 바와 같이, 본 발명에서 제안하는 공격자 선정 기술은, 크게 다음의 4 단계 과정으로 설명할 수 있다.
먼저, 본 발명에서 제안하는 공격자 선정 기술은, 공격자 선정에 기초정보로서 사용될 보안이벤트를 수집하는 과정, 이처럼 수집한 보안이벤트를 근거로 대상 IP 별로 주요 성분정보를 생성하는 과정, 생성한 대상 IP 별로 주요 성분정보를 근거로 대상 IP 별로 악성 의심수준(스코어)을 결정하는 과정을 포함하며, 이러한 3 단계 과정을 토대로 집중적으로 모니터링할 대상(공격자 IP)를 선정한 결과물을 제공할 수 있다.
아울러, 본 발명에서 제안하는 공격자 선정 기술은, 전술의 3 단계 과정에 따른 결과물을 보안이벤트 기반 가시화 기술에 반영하여, 집중 모니터링 대상(공격자 IP)의 악성 의심수준 스코어링 정보를 가시화하는 마지막 단계 과정을 포함하며, 이러한 과정을 토대로 집중 모니터링 대상(공격자 IP)에 대한 정보를 직접적인 가시화 결과물로서 제공할 수 있다.
이하에서는, 도 2를 참조하여 본 발명의 실시예에 공격자 선정 장치의 구성에 대해 구체적으로 설명하겠다.
본 발명의 공격자 선정 장치(100)는, 주요성분정보 생성모듈(110), 의심수준 결정모듈(120), 선정모듈(130)을 포함할 수 있다.
더 나아가, 본 발명의 공격자 선정 장치(100)는, 가시화모듈(140)을 더 포함할 수 있다.
이러한 공격자 선정 장치(100)의 구성 전체 내지는 적어도 일부는 하드웨어 모듈 형태 또는 소프트웨어 모듈 형태로 구현되거나, 하드웨어 모듈과 소프트웨어 모듈이 조합된 형태로도 구현될 수 있다.
여기서, 소프트웨어 모듈이란, 예컨대, 공격자 선정 장치(100) 내에서 연산을 제어하는 프로세서에 의해 실행되는 명령어로 이해될 수 있으며, 이러한 명령어는 공격자 선정 장치(100) 내 메모리에 탑재된 형태를 가질 수 있을 것이다.
결국, 본 발명의 일 실시예에 따른 공격자 선정 장치(100)는 전술한 구성을 통해, 본 발명에서 제안하는 기술 즉 실제 공격 유발이 의심되는 집중 모니터링 대상(공격자 IP)를 선정하는 기술을 실현하며, 이하에서는 이를 실현하기 위한 공격자 선정 장치(100) 내 각 구성에 대해 보다 구체적으로 설명하기로 한다.
주요성분정보 생성모듈(110)은, 수집한 보안이벤트를 근거로, 대상 IP 별로 주요 성분정보를 생성한다.
본 발명의 공격자 선정 장치(100)는, 복수의 침입탐지시스템(IDS) 또는 침입차단시스템(IPS)로부터 보안이벤트를 수집한다.
예를 들면, 공격자 선정 장치(100)는, 단일(또는 다수)의 침입탐지시스템(IDS)/침입차단시스템(IPS)로부터, 기 정의된 수집 주기마다 기 정의된 수집 방식에 따라서 보안이벤트를 수집할 수 있다.
이때의 수집 주기는, 예컨대 1분, 5분, 10분, 1시간 등 사용자에 의해 임의 설정이 가능할 것이다.
그리고, 공격자 선정 장치(100)는, 수집한 보안이벤트를 분(minute) 단위 배치파일로 생성하여 관리할 수 있고, 1일 단위의 누적 통계정보로 생성 및 저장/관리가 가능한 DB구조를 포함할 수도 있다.
이때, 보안이벤트는, 보안이벤트명(Event Name), 탐지 시간(Detection Time), 출발지 IP(Source IP), 출발지 Port(Source Port), 목적지 IP(Destination IP), 목적지 Port(Destination Port) 등을 포함하는 구성일 수 있다.
이에, 주요성분정보 생성모듈(110)은, 전술과 같이 실시간으로 수집/저장/관리되는 보안이벤트를 근거로, 대상 IP 별로 주요 성분정보를 생성할 수 있다.
즉, 주요성분정보 생성모듈(110)은, 대상 IP 별로, 대상 IP의 악성 의심수준을 가늠하는 통계정보 다시 말해 공격의 특징 또는 시스템의 이상을 확인할 수 있는 통계정보로 활용하기 위한 주요 성분정보를 생성하는 것이다.
보다 구체적으로 설명하면, 주요성분정보 생성모듈(110)은, 공격 유형 및 단기간 이상 행위를 탐지하기 위해 정의된 단기분석 유형의 주요 성분정보와, 장기간 이상 행위를 탐지하기 위해 정의된 장기분석 유형의 주요 성분정보를 구분하여 생성할 수 있다.
즉, 주요성분정보 생성모듈(110)은, 보안이벤트를 분석하는 유형을 단기 및 장기로 구분하여, 단기분석을 위한 단기분석 유형의 주요 성분정보와, 장기분석을 장기분석 유형의 주요 성분정보를 생성하는 것이다.
여기서, 단기분석 유형의 주요 성분정보는, 단기분석 유형에 기 설정된 시간 동안, 대상 IP에서 발생되는 보안이벤트의 발생 횟수, 대상 IP에서 접근한 목적지 IP의 개수 및 목적지 Port의 개수, 대상 IP에서 발생되는 보안이벤트의 발생 간격 평균을 포함할 수 있으며, 보안이벤트 또는 공격의 유형을 대표할 수 있는 통계정보를 의미한다.
구체적으로 예를 들면, 단기분석 유형의 주요 성분정보는 4개의 주요 성분정보1,2,3,4로 분류할 수 있다.
이때, 4개의 단기분석 유형 주요 성분정보는, 단기분석 유형에 기 설정된 시간(예: 1분) 동안, 대상 IP에 대한 보안이벤트의 발생 횟수로서의 주요 성분정보1, 대상 IP에서 접근한 목적지 IP 개수로서의 주요 성분정보2, 대상 IP에서 접근한 목적지 Port 개수로서의 주요 성분정보3, 대상 IP에서 발생되는 보안이벤트의 발생 간격 평균으로서의 주요 성분정보4를 포함한다.
한편, 장기분석 유형의 주요 성분정보는, 장기분석 유형에 기 설정된 시간 동안, 대상 IP 에서 발생되는 보안이벤트의 분(minute) 단위 발생 빈도 및 보안이벤트의 발생 간격 평균을 포함할 수 있으며, 시스템의 장기적 이상행위를 대표할 수 있는 통계정보를 의미한다.
구체적으로 예를 들면, 장기분석 유형의 주요 성분정보는 2개의 주요 성분정보5,6으로 분류할 수 있다.
이때, 2개의 장기분석 유형 주요 성분정보는, 장기분석 유형에 기 설정된 시간(예: 1일) 동안, 대상 IP 에서 발생되는 보안이벤트의 분(minute) 단위 발생 빈도를 나타내는 주요 성분정보5, 대상 IP 에서 발생되는 보안이벤트의 발생 간격 평균을 나타내는 주요 성분정보6을 포함한다.
보안이벤트는 크게 서명 기반 공격 유형/임계치 기반 공격 유형으로 구분되며, 서명 기반 공격은 공격의 특징정보를 활용해 탐지하는 유형으로 웹 공격 패턴 등이 주를 이루며, 임계치 기반 공격은 발생 빈도를 활용해 탐지하는 유형으로 SCAN, DDoS 등이 여기에 속한다.
이때, 대상 IP는, 보안이벤트에서 출발지 IP에 해당된다.
예를 들어, 기 설정된 시간(예: 1분, 또는 1일 등) 동안의 보안이벤트를 근거로 대상 IP 별로 주요 성분정보를 생성하는 경우를 가정하고, 시간(예: 1분, 또는 1일 등) 동안의 보안이벤트 전체(예: 1분_300개, 1일_5만개)에서 출발지 IP 내 존재하는 서로 다른 IP 주소정보가 M개인 경우라면, 출발지 IP 내 존재하는 서로 다른 M개의 IP 주소정보 각각이, 대상 IP에 해당된다.
이에, 주요성분정보 생성모듈(110)은, 단기분석 유형에 기 설정된 시간을 1분이라고 가정하면, 매 1분 단위로, 해당 시간 1분 동안의 수집 보안이벤트를 근거로 대상 IP 별로 전술한 단기분석 유형의 주요 성분정보1,2,3,4를 생성할 수 있다.
또한, 주요성분정보 생성모듈(110)은, 장기분석 유형에 기 설정된 시간을 1일이라고 가정하면, 매 1일 단위로, 해당 시간 1일(24시간) 동안 수집된 보안이벤트를 근거로 대상 IP 별로 전술한 장기분석 유형의 주요 성분정보5,6을 생성할 수 있다.
물론, 전술의 단기분석 유형에 기 설정된 시간 및 장기분석 유형에 기 설정된 시간은, 각기 사용자(운용자)에 의해 변경/설정이 가능하며, 이하에서는 설명의 편의를 위해 단기분석 유형에 기 설정된 시간 1분, 장기분석 유형에 기 설정된 시간 1일로 가정하여 설명하겠다.
의심수준 결정모듈(120)은, 대상 IP 별로 생성되는 주요 성분정보 및 기 정의된 가중치를 근거로, 대상 IP 별로 악성 의심수준을 결정한다.
여기서, 주요 성분정보에 기 정의되는 가중치는, 정보 수집 환경의 특정 및 공격 동향을 고려하여, 자동으로 또는 사용자(운용자)에 의해 수동으로 가변될 수 있는 수치인 것이 바람직하다.
예를 들어 설명하면, 의심수준 결정모듈(120)은, 대상 IP 별로 생성되는 단기분석 유형의 주요 성분정보 중 보안이벤트 발생 횟수의 최대값, 목적지 IP 개수 최대값, 목적지 Port 개수 최대값, 보안이벤트 발생 간격 평균 최소값을 기준으로 이용하여, 대상 IP 별로, 단기분석 유형의 각 주요 성분정보 및 각 주요 성분정보에 정의된 가중치를 근거로 악성 의심수준 스코어링(이하, 단기분석 악성 의심수준 스코어링)을 계산할 수 있다.
구체적으로, 의심수준 결정모듈(120)은, 대상 IP 별로 생성되는 단기분석 유형의 주요 성분정보1,2,3,4를 근거로, 대상 IP 별로 이벤트 발생횟수 유형, 목적지 IP개수 유형, 목적지 Port개수 유형, 이벤트 발생 간격 유형을 각각 먼저 결정할 수 있다.
예컨대, 대상 IP A를 가정하여 설명하면, 의심수준 결정모듈(120)은, 매 1분 단위로 생성되는 대상 IP 별 단기분석 유형의 주요 성분정보1,2,3,4를 근거로, 금번 1분 동안 생성된 전체 대상 IP 별 보안이벤트 발생 횟수 중 최대값을 분모로 하고 금번 1분 동안 생성된 대상 IP A의 주요 성분정보1_보안이벤트 발생 횟수를 분자로 하여, 다음의 수학식 1에 따라 대상 IP A의 이벤트 발생횟수 유형을 결정한다.
Figure 112018114536519-pat00001
도 3의 (3A)를 참조하여 설명하면, 금번 1분 동안 생성된 대상 IP A,B,C의 보안이벤트 발생 횟수 중 최대값은 대상 IP A의 주요 성분정보1_보안이벤트 발생 횟수 10회일 것이다.
이 경우, 수학식 1에 따르면, 대상 IP A의 이벤트 발생횟수 유형은 10/10이므로 1로 결정될 것이다.
또한, 대상 IP A를 가정하여 설명하면, 의심수준 결정모듈(120)은, 매 1분 단위로 생성되는 대상 IP 별 단기분석 유형의 주요 성분정보1,2,3,4를 근거로, 금번 1분 동안 생성된 전체 대상 IP 별 목적지 IP 개수 중 최대값을 분모로 하고 금번 1분 동안 생성된 대상 IP A의 주요 성분정보2_목적지 IP 개수를 분자로 하여, 다음의 수학식 2에 따라 대상 IP A의 목적지 IP개수 유형을 결정한다.
Figure 112018114536519-pat00002
도 3의 (3B)를 참조하여 설명하면, 금번 1분 동안 생성된 대상 IP A,B,C의 목적지 IP 개수 중 최대값은 대상 IP B의 주요 성분정보2_목적지 IP 개수 10개일 것이다.
이 경우, 수학식 2에 따르면, 대상 IP A의 목적지 IP개수 유형은 3/10이므로 0.3으로 결정될 것이다.
또한, 대상 IP A를 가정하여 설명하면, 의심수준 결정모듈(120)은, 매 1분 단위로 생성되는 대상 IP 별 단기분석 유형의 주요 성분정보1,2,3,4를 근거로, 금번 1분 동안 생성된 전체 대상 IP 별 목적지 Port 개수 중 최대값을 분모로 하고 금번 1분 동안 생성된 대상 IP A의 주요 성분정보3_목적지 Port 개수를 분자로 하여, 다음의 수학식 3에 따라 대상 IP A의 목적지 Port개수 유형을 결정한다.
Figure 112018114536519-pat00003
도 3의 (3C)를 참조하여 설명하면, 금번 1분 동안 생성된 대상 IP A,B,C의 목적지 Port 개수 중 최대값은 대상 IP C의 주요 성분정보3_목적지 Port 개수 5개일 것이다. 그리고, A의 주요 성분정보3_목적지 Port 개수는, 1과 3으로 2개이다.
이 경우, 수학식 3에 따르면, 대상 IP A의 목적지 IP개수 유형은 2/5이므로 0.4으로 결정될 것이다.
또한, 대상 IP A를 가정하여 설명하면, 의심수준 결정모듈(120)은, 매 1분 단위로 생성되는 대상 IP 별 단기분석 유형의 주요 성분정보1,2,3,4를 근거로, 금번 1분 동안 생성된 전체 대상 IP 별 보안이벤트 발생 간격 평균 중 최소값을 분자로 하고 금번 1분 동안 생성된 대상 IP A의 주요 성분정보4_ 보안이벤트의 발생 간격 평균을 분모로 하여, 다음의 수학식 4에 따라 대상 IP A의 이벤트 발생 간격 유형을 결정한다.
Figure 112018114536519-pat00004
도 3의 (3D)를 참조하여 설명하면, 금번 1분 동안 생성된 대상 IP A,B,C의 보안이벤트 발생 간격 평균은 각기 12.5((10+15+15+10)/4), 16.67((25=15=10)/3), 25((25=25)/2)이다.
이에, 대상 IP A,B,C의 보안이벤트 발생 간격 평균 중 최소값은 대상 IP A의 주요 성분정보4_보안이벤트 발생 간격 평균 12.5일 것이다.
이 경우, 수학식 4에 따르면, 대상 IP A의 이벤트 발생 간격 유형은 12.5/12.5이므로 1로 결정될 것이다.
그리고, 의심수준 결정모듈(120)은, 전술과 같이 결정한 대상 IP A의 이벤트 발생횟수 유형, 목적지 IP개수 유형, 목적지 Port개수 유형, 이벤트 발생 간격 유형 각각에 기 정의된 가중치를 반영하여, 금번 1분에 대한 대상 IP A의 악성 의심수준을 결정할 수 있다.
예컨대, 의심수준 결정모듈(120)은, 이벤트 발생횟수 유형, 목적지 IP개수 유형, 목적지 Port개수 유형, 이벤트 발생 간격 유형 각각에, 각기 기 정의되어 있는 가중치를 곱한 후 모두 더한 값을, 금번 1분에 대한 대상 IP A의 악성 의심수준을 나타내는 악성 의심수준 스코어링 즉 단기분석 악성 의심수준 스코어링으로서 계산/출력할 수 있다.
한편, 의심수준 결정모듈(120)은, 대상 IP 별로 생성되는 장기분석 유형의 주요 성분정보 중 보안이벤트 분단위 발생 빈도 최대값, 보안이벤트 분단위 발생 간격 평균 최소값을 기준으로 이용하여, 장기분석 유형의 각 주요 성분정보 및 각 주요 성분정보에 정의된 가중치를 근거로 악성 의심수준 스코어링(이하, 장기분석 악성 의심수준 스코어링)을 계산할 수 있다.
구체적으로, 의심수준 결정모듈(120)은, 대상 IP 별로 생성되는 장기분석 유형의 주요 성분정보5,6을 근거로, 대상 IP 별로 분단위 발생빈도 유형, 발생평균 유형을 각각 먼저 결정할 수 있다.
예컨대, 대상 IP A를 가정하여 설명하면, 의심수준 결정모듈(120)은, 매 1일(24시간) 단위로 생성되는 대상 IP 별 장기분석 유형의 주요 성분정보5,6을 근거로, 금번 1일(24시간) 동안 생성된 전체 대상 IP 별 보안이벤트 분(minute) 단위 발생 빈도 중 최대값을 분모로 하고 금번 1일(24시간) 동안 생성된 대상 IP A의 주요 성분정보5_보안이벤트 분단위 발생 빈도를 분자로 하여, 다음의 수학식 5에 따라 대상 IP A의 분단위 발생빈도 유형을 결정한다.
Figure 112018114536519-pat00005
도 4는, 도면의 간략화를 위해, 장기분석 유형에 설정된 시간으로서, 1일(24시간) 대신 10분을 가정하여 도시하였다.
도 4를 참조하여 설명하면, 금번 시간(가정: 10분) 동안 생성된 대상 IP A,B,C의 보안이벤트 분단위 발생 빈도 중 최대값은 대상 IP C의 주요 성분정보5_보안이벤트 분단위 발생 빈도 10회일 것이다.
이 경우, 수학식 5에 따르면, 대상 IP A의 분단위 발생빈도 유형은 5/10이므로 0.5로 결정될 것이다.
또한, 대상 IP A를 가정하여 설명하면, 의심수준 결정모듈(120)은, 매 1일(24시간) 단위로 생성되는 대상 IP 별 장기분석 유형의 주요 성분정보5,6을 근거로, 금번 1일(24시간) 동안 생성된 전체 대상 IP 별 보안이벤트 발생 간격 평균 중 최소값을 분모로 하고 금번 1일(24시간) 동안 생성된 대상 IP A의 주요 성분정보5_보안이벤트 발생 빈도를 분자로 하여, 다음의 수학식 6에 따라 대상 IP A의 발생평균 유형을 결정한다.
Figure 112018114536519-pat00006
도 4를 참조하여 설명하면, 금번 시간(가정: 10분) 동안 생성된 대상 IP A,B,C의 보안이벤트 발생 간격 평균은 각기 2((2+2+2+2)/4), 2(2/1), 1((1+1+1+1+1+1+1+1+1)/9)이다.
이에, 대상 IP A,B,C의 보안이벤트 발생 간격 평균 중 최소값은 대상 IP C의 주요 성분정보6_보안이벤트 발생 간격 평균 1일 것이다.
이 경우, 수학식 6에 따르면, 대상 IP A의 발생평균 유형은 1/2이므로 0.5로 결정될 것이다.
그리고, 의심수준 결정모듈(120)은, 전술과 같이 결정한 대상 IP A의 분단위 발생빈도 유형, 발생평균 유형 각각에 기 정의된 가중치를 반영하여, 금번 1일(24시간)에 대한 대상 IP A의 악성 의심수준을 결정할 수 있다.
예컨대, 의심수준 결정모듈(120)은, 분단위 발생빈도 유형, 발생평균 유형에, 각기 기 정의되어 있는 가중치를 곱한 후 모두 더한 값을, 금번 1일(24시간)에 대한 대상 IP A의 악성 의심수준을 나타내는 악성 의심수준 스코어링 즉 장기분석 악성 의심수준 스코어링으로서 계산/출력할 수 있다.
정리하면, 의심수준 결정모듈(120)은, 전술과 같이 대상 IP A에 대하여 계산한 단기분석/장기분석 악성 의심수준 스코어링을 모두 합하여 얻어지는 스코어(값)을, 대상 IP A에 대한 악성 의심수준으로 결정할 수 있다.
이와 같은 방식으로, 의심수준 결정모듈(120)은, 전술에서 예시로 언급한 대상 IP A를 비롯한 각 대상 IP 별로, 악성 의심수준으로 결정할 수 있다.
선정모듈(130)은, 대상 IP 별로 결정한 악성 의심수준에 따라, 대상 IP 중 집중 모니터링 대상을 선정한다.
구체적으로, 선정모듈(130)은, 대상 IP 별로 결정한 악성 의심수준에 따라 대상 IP를 정렬(예: 오름차순 또는 내림차순)하여, 악성 의심수준이 가장 높은 상위 N개를 집중 모니터링 대상을 선정할 수 있다.
물론, 악성 의심수준이 가장 높은 상위 N개는, 사용자(운용자)에 의해 변경/설정 가능한 개수일 것이다.
이상 설명한 바와 같이, 본 발명의 공격자 선정 장치(100)에 따르면, 보안이벤트 기반으로 파악되는 수 많은 대상 IP 중에서 집중 모니터링할 대상(공격자 IP)를 선정할 수 있는 구체적이고 고도화된 기술(설정 알고리즘)을 실현하고 있다.
더 나아가, 본 발명의 공격자 선정 장치(100)에 포함된 가시화모듈(140)은, 전술의 선정모듈(130)에서 집중 모니터링 대상으로 선정된 IP(공격자)와 선정된 IP(공격자)의 악성 의심수준을 나타내는 악성 의심수준 스코어링 정보를, 가시화할 수 있다.
이렇게 되면, 본 발명의 공격자 선정 장치(100)는, 집중적으로 모니터링할 대상(공격자 IP)를 선정한 결과물, 즉 집중 모니터링 대상(공격자 IP)에 대한 정보를 직접적인 가시화 결과물로서 제공할 수 있다.
물론, 본 발명의 공격자 선정 장치(100)는, 집중 모니터링 대상으로 선정된 IP(공격자) 및 악성 의심수준 스코어링 정보를, 가시화 기술이 아닌 타 시스템에서 활용하도록 제공하는 것도 가능할 것이다.
이상에서 설명한 바와 같이, 본 발명에 따르면, 집중적으로 모니터링할 가시화 대상(공격자 IP)를 선정하는 기술을 실현함으로써, 실제 공격을 유발하는 공격자를 직관적으로 탐지할 수 있도록 하는 고수준의 가시화 기술이 가능해지도록 한다.
이로 인해, 본 발명에 따르면, 실제 공격을 유발한 IP 주소를 직관적으로 탐지할 수 있도록 할 뿐 아니라, 선정된 IP 주소를 대상으로 집중 모니터링할 수 있도록 하여, 보안관제 업무의 효율성을 향상시키는 효과를 기대할 수 있다.
이하에서는, 도 5를 참조하여, 본 발명의 일 실시예에 따른 공격자 선정 장치의 동작 방법에 대하여 설명하겠다.
본 발명의 공격자 선정 장치의 동작 방법에 따르면, 공격자 선정 장치(100)는, 복수의 침입탐지시스템(IDS) 또는 침입차단시스템(IPS)로부터 보안이벤트를 수집한다(S10).
예를 들면, 공격자 선정 장치(100)는, 단일(또는 다수)의 침입탐지시스템(IDS)/침입차단시스템(IPS)로부터, 기 정의된 수집 주기마다 기 정의된 수집 방식에 따라서 보안이벤트를 수집할 수 있다.
이때의 수집 주기는, 예컨대 1분, 5분, 10분, 1시간 등 사용자에 의해 임의 설정이 가능할 것이다.
본 발명의 공격자 선정 장치의 동작 방법에 따르면, 공격자 선정 장치(100)는, 전술과 같이 실시간으로 수집/저장/관리되는 보안이벤트를 근거로, 대상 IP 별로 주요 성분정보를 생성할 수 있다(S20).
보다 구체적으로 설명하면, 공격자 선정 장치(100)는, 공격 유형 및 단기간 이상 행위를 탐지하기 위해 정의된 단기분석 유형의 주요 성분정보와, 장기간 이상 행위를 탐지하기 위해 정의된 장기분석 유형의 주요 성분정보를 구분하여 생성할 수 있다(S20).
여기서, 단기분석 유형의 주요 성분정보는, 단기분석 유형에 기 설정된 시간 동안, 대상 IP에서 발생되는 보안이벤트의 발생 횟수, 대상 IP에서 접근한 목적지 IP의 개수 및 목적지 Port의 개수, 대상 IP에서 발생되는 보안이벤트의 발생 간격 평균을 포함할 수 있으며, 보안이벤트 또는 공격의 유형을 대표할 수 있는 통계정보를 의미한다.
구체적으로 예를 들면, 단기분석 유형의 주요 성분정보는 4개의 주요 성분정보1,2,3,4로 분류할 수 있다.
이때, 4개의 단기분석 유형 주요 성분정보는, 단기분석 유형에 기 설정된 시간(예: 1분) 동안, 대상 IP에 대한 보안이벤트의 발생 횟수로서의 주요 성분정보1, 대상 IP에서 접근한 목적지 IP 개수로서의 주요 성분정보2, 대상 IP에서 접근한 목적지 Port 개수로서의 주요 성분정보3, 대상 IP에서 발생되는 보안이벤트의 발생 간격 평균으로서의 주요 성분정보4를 포함한다.
한편, 장기분석 유형의 주요 성분정보는, 장기분석 유형에 기 설정된 시간 동안, 대상 IP 에서 발생되는 보안이벤트의 분(minute) 단위 발생 빈도 및 보안이벤트의 발생 간격 평균을 포함할 수 있으며, 시스템의 장기적 이상행위를 대표할 수 있는 통계정보를 의미한다.
구체적으로 예를 들면, 장기분석 유형의 주요 성분정보는 2개의 주요 성분정보5,6으로 분류할 수 있다.
이때, 2개의 장기분석 유형 주요 성분정보는, 장기분석 유형에 기 설정된 시간(예: 1일) 동안, 대상 IP 에서 발생되는 보안이벤트의 분(minute) 단위 발생 빈도를 나타내는 주요 성분정보5, 대상 IP 에서 발생되는 보안이벤트의 발생 간격 평균을 나타내는 주요 성분정보6을 포함한다.
이때, 대상 IP는, 보안이벤트에서 출발지 IP에 해당된다.
예를 들어, 기 설정된 시간(예: 1분, 또는 1일 등) 동안의 보안이벤트를 근거로 대상 IP 별로 주요 성분정보를 생성하는 경우를 가정하고, 시간(예: 1분, 또는 1일 등) 동안의 보안이벤트 전체(예: 1분_300개, 1일_5만개)에서 출발지 IP 내 존재하는 서로 다른 IP 주소정보가 M개인 경우라면, 출발지 IP 내 존재하는 서로 다른 M개의 IP 주소정보 각각이, 대상 IP에 해당된다.
이에, 공격자 선정 장치(100)는, 단기분석 유형에 기 설정된 시간을 1분이라고 가정하면, 매 1분 단위로, 해당 시간 1분 동안의 수집 보안이벤트를 근거로 대상 IP 별로 전술한 단기분석 유형의 주요 성분정보1,2,3,4를 생성할 수 있다(S20).
또한, 공격자 선정 장치(100)는, 장기분석 유형에 기 설정된 시간을 1일이라고 가정하면, 매 1일 단위로, 해당 시간 1일(24시간) 동안 수집된 보안이벤트를 근거로 대상 IP 별로 전술한 장기분석 유형의 주요 성분정보5,6을 생성할 수 있다(S20).
물론, 전술의 단기분석 유형에 기 설정된 시간 및 장기분석 유형에 기 설정된 시간은, 각기 사용자(운용자)에 의해 변경/설정이 가능하며, 이하에서는 설명의 편의를 위해 단기분석 유형에 기 설정된 시간 1분, 장기분석 유형에 기 설정된 시간 1일로 가정하여 설명하겠다.
그리고 본 발명의 공격자 선정 장치의 동작 방법에 따르면, 공격자 선정 장치(100)는, 대상 IP 별로 생성되는 주요 성분정보 및 기 정의된 가중치를 근거로, 대상 IP 별로 악성 의심수준을 결정한다(S30).
여기서, 주요 성분정보에 기 정의되는 가중치는, 정보 수집 환경의 특정 및 공격 동향을 고려하여, 자동으로 또는 사용자(운용자)에 의해 수동으로 가변될 수 있는 수치인 것이 바람직하다.
예를 들어 설명하면, 공격자 선정 장치(100)는, 대상 IP 별로 생성되는 단기분석 유형의 주요 성분정보 중 보안이벤트 발생 횟수의 최대값, 목적지 IP 개수 최대값, 목적지 Port 개수 최대값, 보안이벤트 발생 간격 평균 최소값을 기준으로 이용하여, 대상 IP 별로, 단기분석 유형의 각 주요 성분정보 및 각 주요 성분정보에 정의된 가중치를 근거로 악성 의심수준 스코어링(이하, 단기분석 악성 의심수준 스코어링)을 계산할 수 있다(S30).
구체적으로, 공격자 선정 장치(100)는, 대상 IP 별로 생성되는 단기분석 유형의 주요 성분정보1,2,3,4를 근거로, 전술의 수학식 1,2,3,4에 따라 대상 IP 별로 이벤트 발생횟수 유형, 목적지 IP개수 유형, 목적지 Port개수 유형, 이벤트 발생 간격 유형을 각각 먼저 결정할 수 있다.
이후, 공격자 선정 장치(100)는, 전술과 같이 결정한 대상 IP 별 이벤트 발생횟수 유형, 목적지 IP개수 유형, 목적지 Port개수 유형, 이벤트 발생 간격 유형 각각에 기 정의된 가중치를 반영하여, 대상 IP 별로 악성 의심수준을 결정할 수 있다.
예컨대, 공격자 선정 장치(100)는, 이벤트 발생횟수 유형, 목적지 IP개수 유형, 목적지 Port개수 유형, 이벤트 발생 간격 유형 각각에, 각기 기 정의되어 있는 가중치를 곱한 후 모두 더한 값을, 대상 IP의 악성 의심수준을 나타내는 악성 의심수준 스코어링 즉 단기분석 악성 의심수준 스코어링으로서 계산/출력할 수 있다.
한편, 공격자 선정 장치(100)는, 대상 IP 별로 생성되는 장기분석 유형의 주요 성분정보 중 보안이벤트 분단위 발생 빈도 최대값, 보안이벤트 분단위 발생 간격 평균 최소값을 기준으로 이용하여, 장기분석 유형의 각 주요 성분정보 및 각 주요 성분정보에 정의된 가중치를 근거로 악성 의심수준 스코어링(이하, 장기분석 악성 의심수준 스코어링)을 계산할 수 있다(S30).
구체적으로, 공격자 선정 장치(100)는, 대상 IP 별로 생성되는 장기분석 유형의 주요 성분정보5,6을 근거로, 전술의 수학식 5,6에 따라 대상 IP 별로 분단위 발생빈도 유형, 발생평균 유형을 각각 먼저 결정할 수 있다.
이후, 공격자 선정 장치(100)는, 전술과 같이 결정한 대상 IP 별 분단위 발생빈도 유형, 발생평균 유형 각각에 기 정의된 가중치를 반영하여, 대상 IP 별로 악성 의심수준을 결정할 수 있다.
예컨대, 공격자 선정 장치(100)는, 분단위 발생빈도 유형, 발생평균 유형에, 각기 기 정의되어 있는 가중치를 곱한 후 모두 더한 값을, 대상 IP A의 악성 의심수준을 나타내는 악성 의심수준 스코어링 즉 장기분석 악성 의심수준 스코어링으로서 계산/출력할 수 있다.
이에, 공선정 장치(100)는, 대상 IP 별로 전술과 같이 계산한 단기분석/장기분석 악성 의심수준 스코어링을 모두 합하여 얻어지는 스코어(값)을, 대상 악성 의심수준으로 결정할 수 있다(S30).
이에, 본 발명의 공격자 선정 장치의 동작 방법에 따르면, 공격자 선정 장치(100)는, 대상 IP 별로 결정한 악성 의심수준에 따라, 대상 IP 중 집중 모니터링 대상을 선정한다(S40,S50).
구체적으로, 공격자 선정 장치(100)는, 대상 IP 별로 결정한 악성 의심수준에 따라 대상 IP를 정렬(예: 오름차순 또는 내림차순)하여(S40), 악성 의심수준이 가장 높은 상위 N개를 집중 모니터링 대상을 선정할 수 있다(S50).
물론, 악성 의심수준이 가장 높은 상위 N개는, 사용자(운용자)에 의해 변결/설정 가능한 개수일 것이다.
더 나아가 본 발명의 공격자 선정 장치의 동작 방법에 따르면, 공격자 선정 장치(100)는, 집중 모니터링 대상으로 선정된 IP(공격자)와 선정된 IP(공격자)의 악성 의심수준을 나타내는 악성 의심수준 스코어링 정보를, 가시화할 수 있다(S60).
이렇게 되면, 본 발명의 공격자 선정 장치(100)는, 집중적으로 모니터링할 대상(공격자 IP)를 선정한 결과물, 즉 집중 모니터링 대상(공격자 IP)에 대한 정보를 직접적인 가시화 결과물로서 제공할 수 있다.
이상에서 설명한 바와 같이, 본 발명에 따르면, 집중적으로 모니터링할 가시화 대상(공격자 IP)를 선정하는 기술을 실현함으로써, 실제 공격을 유발하는 공격자를 직관적으로 탐지할 수 있도록 하는 고수준의 가시화 기술이 가능해지도록 한다.
이로 인해, 본 발명에 따르면, 실제 공격을 유발한 IP 주소를 직관적으로 탐지할 수 있도록 할 뿐 아니라, 선정된 IP 주소를 대상으로 집중 모니터링할 수 있도록 하여, 보안관제 업무의 효율성을 향상시키는 효과를 기대할 수 있다.
위 설명한 본 발명의 일 실시예에 따른 공격자 선정 장치의 동작 방법은, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
지금까지 본 발명을 바람직한 실시 예를 참조하여 상세히 설명하였지만, 본 발명이 상기한 실시 예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.
본 발명의 공격자 선정 장치 및 공격자 선정 방법에 따르면, 집중적으로 모니터링할 가시화 대상(공격자 IP)를 선정할 수 있는 기술을 실현하는 점에서, 기존 기술의 한계를 뛰어 넘음에 따라 관련 기술에 대한 이용만이 아닌 적용되는 장치의 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으로 명백하게 실시할 수 있는 정도이므로 산업상 이용가능성이 있는 발명이다.
100 : 공격자 선정 장치
110 : 주요성분정보 생성모듈 120 : 의심수준 결정모듈
130 : 선정모듈 140 : 가시화모듈

Claims (17)

  1. 수집한 보안이벤트를 근거로, 대상 IP 별로 주요 성분정보를 생성하는 주요성분정보 생성모듈;
    상기 대상 IP 별로 생성되는 주요 성분정보 및 기 정의된 가중치를 근거로, 상기 대상 IP 별로 악성 의심수준을 결정하는 의심수준 결정모듈; 및
    상기 대상 IP 별로 결정한 악성 의심수준에 따라, 상기 대상 IP 중 집중 모니터링 대상을 선정하는 선정모듈을 포함하며,
    상기 주요 성분정보에 포함되는 단기분석 유형의 주요 성분정보는,
    단기분석 유형에 기 설정된 시간 동안, 대상 IP에서 발생되는 보안이벤트의 발생 횟수, 대상 IP에서 접근한 목적지 IP의 개수 및 목적지 Port의 개수, 대상 IP에서 발생되는 보안이벤트의 발생 간격 평균을 포함하며,
    상기 의심수준 결정모듈은,
    특정 대상 IP에 대하여, 보안이벤트의 발생 횟수를 이용하여 결정되는 이벤트발생횟수유형, 목적지 IP의 개수를 이용하여 결정되는 목적지IP개수유형, 목적지 Port의 개수를 이용하여 결정되는 목적지Port개수유형 및 보안이벤트의 발생 간격 평균을 이용하여 결정되는 이벤트발생간격유형 중 적어도 하나를 이용하여 특정 대상 IP의 악성 의심수준을 결정하며,
    상기 이벤트발생횟수유형은,
    상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 보안이벤트 발생 횟수 중 최대값을 분모로 하고 특정 대상 IP의 보안이벤트의 발생 횟수를 분자로 하여 결정되고,
    상기 목적지IP개수유형은,
    상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 목적지 IP 개수 중 최대값을 분모로 하고 특정 대상 IP의 목적지 IP 개수를 분자로 하여 결정되고,
    상기 목적지Port개수유형은,
    상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 목적지 Port 개수 중 최대값을 분모로 하고 특정 대상 IP의 목적지 Port 개수를 분자로 하여 결정되고,
    상기 이벤트발생간격유형은,
    상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 보안이벤트 발생 간격 평균 중 최대값을 분모로 하고 특정 대상 IP의 보안이벤트 발생 간격 평균을 분자로 하여 결정되는 것을 특징으로 하는 공격자 선정 장치.
  2. 제 1 항에 있어서,
    상기 주요성분정보 생성모듈은,
    공격 유형 및 단기간 이상 행위를 탐지하기 위해 정의된 단기분석 유형의 주요 성분정보와, 장기간 이상 행위를 탐지하기 위해 정의된 장기분석 유형의 주요 성분정보를 구분하여 생성하는 것을 특징으로 하는 공격자 선정 장치.
  3. 삭제
  4. 제 2 항에 있어서,
    상기 장기분석 유형의 주요 성분정보는,
    장기분석 유형에 기 설정된 시간 동안, 대상 IP 에서 발생되는 보안이벤트의 분(minute) 단위 발생 빈도 및 보안이벤트의 발생 간격 평균을 포함하는 것을 특징으로 하는 공격자 선정 장치.
  5. 삭제
  6. 제 4 항에 있어서,
    상기 의심수준 결정모듈은,
    상기 대상 IP 별로 생성되는 장기분석 유형의 주요 성분정보 중 보안이벤트 분단위 발생 빈도 최대값, 보안이벤트 발생 간격 평균 최소값을 기준으로 이용하여,
    상기 대상 IP 별로, 장기분석 유형의 각 주요 성분정보 및 각 주요 성분정보에 정의된 가중치를 근거로 악성 의심수준 스코어링을 계산하는 것을 특징으로 하는 공격자 선정 장치.
  7. 제 1 항에 있어서,
    상기 선정모듈은,
    상기 대상 IP 별로 결정한 악성 의심수준에 따라 상기 대상 IP를 정렬하여, 악성 의심수준이 가장 높은 상위 N개를 집중 모니터링 대상을 선정하는 것을 특징으로 하는 공격자 선정 장치.
  8. 제 1 항에 있어서,
    집중 모니터링 대상으로 선정된 IP와 선정된 IP의 악성 의심수준을 나타내는 악성 의심수준 스코어링 정보를, 가시화하는 가시화모듈을 더 포함하는 것을 특징으로 하는 공격자 선정 장치.
  9. 수집한 보안이벤트를 근거로, 대상 IP 별로 주요 성분정보를 생성하는 주요성분정보 생성단계;
    상기 대상 IP 별로 생성되는 주요 성분정보 및 기 정의된 가중치를 근거로, 상기 대상 IP 별로 악성 의심수준을 결정하는 의심수준 결정단계; 및
    상기 대상 IP 별로 결정한 악성 의심수준에 따라, 상기 대상 IP 중 집중 모니터링 대상을 선정하는 선정단계를 포함하며,
    상기 주요 성분정보에 포함되는 단기분석 유형의 주요 성분정보는,
    단기분석 유형에 기 설정된 시간 동안, 대상 IP에서 발생되는 보안이벤트의 발생 횟수, 대상 IP에서 접근한 목적지 IP의 개수 및 목적지 Port의 개수, 대상 IP에서 발생되는 보안이벤트의 발생 간격 평균을 포함하며,
    상기 의심수준 결정단계는,
    특정 대상 IP에 대하여, 보안이벤트의 발생 횟수를 이용하여 결정되는 이벤트발생횟수유형, 목적지 IP의 개수를 이용하여 결정되는 목적지IP개수유형, 목적지 Port의 개수를 이용하여 결정되는 목적지Port개수유형 및 보안이벤트의 발생 간격 평균을 이용하여 결정되는 이벤트발생간격유형 중 적어도 하나를 이용하여 특정 대상 IP의 악성 의심수준을 결정하며,
    상기 이벤트발생횟수유형은,
    상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 보안이벤트 발생 횟수 중 최대값을 분모로 하고 특정 대상 IP의 보안이벤트의 발생 횟수를 분자로 하여 결정되고,
    상기 목적지IP개수유형은,
    상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 목적지 IP 개수 중 최대값을 분모로 하고 특정 대상 IP의 목적지 IP 개수를 분자로 하여 결정되고,
    상기 목적지Port개수유형은,
    상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 목적지 Port 개수 중 최대값을 분모로 하고 특정 대상 IP의 목적지 Port 개수를 분자로 하여 결정되고,
    상기 이벤트발생간격유형은,
    상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 보안이벤트 발생 간격 평균 중 최대값을 분모로 하고 특정 대상 IP의 보안이벤트 발생 간격 평균을 분자로 하여 결정되는 것을 특징으로 하는 공격자 선정 장치의 동작 방법.
  10. 제 9 항에 있어서,
    상기 주요성분정보 생성단계는,
    공격 유형 및 단기간 이상 행위를 탐지하기 위해 정의된 단기분석 유형의 주요 성분정보와, 장기간 이상 행위를 탐지하기 위해 정의된 장기분석 유형의 주요 성분정보를 구분하여 생성하는 것을 특징으로 하는 공격자 선정 장치의 동작 방법.
  11. 삭제
  12. 제 10 항에 있어서,
    장기분석 유형의 주요 성분정보는,
    장기분석 유형에 기 설정된 시간 동안, 대상 IP 에서 발생되는 보안이벤트의 분(minute) 단위 발생 빈도 및 보안이벤트의 발생 간격 평균을 포함하는 것을 특징으로 하는 공격자 선정 장치의 동작 방법.
  13. 삭제
  14. 제 12 항에 있어서,
    상기 의심수준 결정단계는,
    상기 대상 IP 별로 생성되는 장기분석 유형의 주요 성분정보 중 보안이벤트 분단위 발생 빈도 최대값, 보안이벤트 발생 간격 평균 최소값을 기준으로 이용하여,
    상기 대상 IP 별로, 장기분석 유형의 각 주요 성분정보 및 각 주요 성분정보에 정의된 가중치를 근거로 악성 의심수준 스코어링을 계산하는 것을 특징으로 하는 공격자 선정 장치의 동작 방법.
  15. 제 9 항에 있어서,
    상기 선정단계는,
    상기 대상 IP 별로 결정한 악성 의심수준에 따라 상기 대상 IP를 정렬하여, 악성 의심수준이 가장 높은 상위 N개를 집중 모니터링 대상을 선정하는 것을 특징으로 하는 공격자 선정 장치의 동작 방법.
  16. 하드웨어와 결합하여, 수집한 보안이벤트를 근거로 대상 IP 별로 주요 성분정보를 생성하는 주요성분정보 생성단계;
    상기 대상 IP 별로 생성되는 주요 성분정보 및 기 정의된 가중치를 근거로, 상기 대상 IP 별로 악성 의심수준을 결정하는 의심수준 결정단계; 및
    상기 대상 IP 별로 결정한 악성 의심수준에 따라, 상기 대상 IP 중 집중 모니터링 대상을 선정하는 선정단계를 실행시키며,
    상기 주요 성분정보에 포함되는 단기분석 유형의 주요 성분정보는,
    단기분석 유형에 기 설정된 시간 동안, 대상 IP에서 발생되는 보안이벤트의 발생 횟수, 대상 IP에서 접근한 목적지 IP의 개수 및 목적지 Port의 개수, 대상 IP에서 발생되는 보안이벤트의 발생 간격 평균을 포함하며,
    상기 의심수준 결정단계는,
    특정 대상 IP에 대하여, 보안이벤트의 발생 횟수를 이용하여 결정되는 이벤트발생횟수유형, 목적지 IP의 개수를 이용하여 결정되는 목적지IP개수유형, 목적지 Port의 개수를 이용하여 결정되는 목적지Port개수유형 및 보안이벤트의 발생 간격 평균을 이용하여 결정되는 이벤트발생간격유형 중 적어도 하나를 이용하여 특정 대상 IP의 악성 의심수준을 결정하며,
    상기 이벤트발생횟수유형은,
    상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 보안이벤트 발생 횟수 중 최대값을 분모로 하고 특정 대상 IP의 보안이벤트의 발생 횟수를 분자로 하여 결정되고,
    상기 목적지IP개수유형은,
    상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 목적지 IP 개수 중 최대값을 분모로 하고 특정 대상 IP의 목적지 IP 개수를 분자로 하여 결정되고,
    상기 목적지Port개수유형은,
    상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 목적지 Port 개수 중 최대값을 분모로 하고 특정 대상 IP의 목적지 Port 개수를 분자로 하여 결정되고,
    상기 이벤트발생간격유형은,
    상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 보안이벤트 발생 간격 평균 중 최대값을 분모로 하고 특정 대상 IP의 보안이벤트 발생 간격 평균을 분자로 하여 결정되는 것을 실행시키기 위하여 매체에 저장된 컴퓨터프로그램.
  17. 제 16 항에 있어서,
    상기 주요성분정보 생성단계는,
    공격 유형 및 단기간 이상 행위를 탐지하기 위해 정의된 단기분석 유형의 주요 성분정보와, 장기간 이상 행위를 탐지하기 위해 정의된 장기분석 유형의 주요 성분정보를 구분하여 생성하는 것을 실행시키기 위하여 매체에 저장된 컴퓨터프로그램.
KR1020180142165A 2018-11-17 2018-11-17 공격자 선정 장치 및 공격자 선정 장치의 동작 방법 KR102038926B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180142165A KR102038926B1 (ko) 2018-11-17 2018-11-17 공격자 선정 장치 및 공격자 선정 장치의 동작 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180142165A KR102038926B1 (ko) 2018-11-17 2018-11-17 공격자 선정 장치 및 공격자 선정 장치의 동작 방법

Publications (1)

Publication Number Publication Date
KR102038926B1 true KR102038926B1 (ko) 2019-11-15

Family

ID=68578711

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180142165A KR102038926B1 (ko) 2018-11-17 2018-11-17 공격자 선정 장치 및 공격자 선정 장치의 동작 방법

Country Status (1)

Country Link
KR (1) KR102038926B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102626373B1 (ko) * 2022-10-18 2024-01-18 쿠팡 주식회사 이상 사용자를 검출하는 방법 및 이를 지원하는 전자 장치

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100073125A (ko) * 2008-12-22 2010-07-01 한국전자통신연구원 무선 네트워크에서 보안 상황 감시 장치
KR20120057066A (ko) * 2010-11-26 2012-06-05 한국전자통신연구원 네트워크 보안관제 시스템 및 방법, 네트워크 보안관제를 위한 보안 이벤트 처리 장치 및 시각화 처리 장치
KR101499116B1 (ko) * 2013-11-28 2015-03-06 한국과학기술정보연구원 보안이벤트 판별 방법 및 이에 적용되는 장치
KR20170058140A (ko) * 2015-11-18 2017-05-26 (주)이스트소프트 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법
KR20180101868A (ko) * 2017-03-06 2018-09-14 한국전자통신연구원 악성 행위 의심 정보 탐지 장치 및 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100073125A (ko) * 2008-12-22 2010-07-01 한국전자통신연구원 무선 네트워크에서 보안 상황 감시 장치
KR20120057066A (ko) * 2010-11-26 2012-06-05 한국전자통신연구원 네트워크 보안관제 시스템 및 방법, 네트워크 보안관제를 위한 보안 이벤트 처리 장치 및 시각화 처리 장치
KR101499116B1 (ko) * 2013-11-28 2015-03-06 한국과학기술정보연구원 보안이벤트 판별 방법 및 이에 적용되는 장치
KR20170058140A (ko) * 2015-11-18 2017-05-26 (주)이스트소프트 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법
KR20180101868A (ko) * 2017-03-06 2018-09-14 한국전자통신연구원 악성 행위 의심 정보 탐지 장치 및 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102626373B1 (ko) * 2022-10-18 2024-01-18 쿠팡 주식회사 이상 사용자를 검출하는 방법 및 이를 지원하는 전자 장치
WO2024085275A1 (ko) * 2022-10-18 2024-04-25 쿠팡 주식회사 이상 사용자를 검출하는 방법 및 이를 지원하는 전자 장치

Similar Documents

Publication Publication Date Title
US20240154983A1 (en) Network anomaly detection and profiling
CN109962891B (zh) 监测云安全的方法、装置、设备和计算机存储介质
JP6201614B2 (ja) ログ分析装置、方法およびプログラム
US6742128B1 (en) Threat assessment orchestrator system and method
US7114183B1 (en) Network adaptive baseline monitoring system and method
EP3068095B1 (en) Monitoring apparatus and method
US9369484B1 (en) Dynamic security hardening of security critical functions
IL257849B2 (en) Systems and methods for detecting and scoring anomalies
JP6574332B2 (ja) データ分析システム
JP7311350B2 (ja) 監視装置、監視方法、および監視プログラム
CN110224970B (zh) 一种工业控制系统的安全监视方法和装置
CN109144023A (zh) 一种工业控制系统的安全检测方法和设备
KR101697189B1 (ko) 시나리오 기반 사이버 공격 이력 추적 시스템 및 방법
EP3623983A1 (en) Method and device for identifying security threats, storage medium, processor and terminal
WO2016121348A1 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体
JP2019028891A (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP2019536158A (ja) 検知結果が有効であるかないかを検証する方法およびシステム
KR100656351B1 (ko) 네트워크의 취약성 평가 기반의 위험 관리 분석 방법 및 그장치
JP2009135649A (ja) データ処理装置及びデータ処理方法及びプログラム
KR100625096B1 (ko) 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한예경보 방법 및 그 시스템
KR102038926B1 (ko) 공격자 선정 장치 및 공격자 선정 장치의 동작 방법
KR101079442B1 (ko) 침해 대응 장치 및 방법
Al-Hamami et al. Development of a network-based: Intrusion Prevention System using a Data Mining approach
Nagarajan et al. Combining intrusion detection and recovery for enhancing system dependability
Luo et al. Security of HPC systems: From a log-analyzing perspective

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant