KR102082889B1 - 프로토콜 분석 장치 및 방법 - Google Patents

프로토콜 분석 장치 및 방법 Download PDF

Info

Publication number
KR102082889B1
KR102082889B1 KR1020180127553A KR20180127553A KR102082889B1 KR 102082889 B1 KR102082889 B1 KR 102082889B1 KR 1020180127553 A KR1020180127553 A KR 1020180127553A KR 20180127553 A KR20180127553 A KR 20180127553A KR 102082889 B1 KR102082889 B1 KR 102082889B1
Authority
KR
South Korea
Prior art keywords
client
api
virtual server
malicious code
protocol
Prior art date
Application number
KR1020180127553A
Other languages
English (en)
Inventor
김동화
김용현
임을규
한중수
배성일
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020180127553A priority Critical patent/KR102082889B1/ko
Application granted granted Critical
Publication of KR102082889B1 publication Critical patent/KR102082889B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • H04L69/162Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

일 실시예에 따른 프로토콜 분석 장치는 가상 서버와의 통신에 사용되는 API(application programming interface)를 실행시키는 실행부와, 상기 실행된 API를 통해 상기 가상 서버와 통신을 수행하는 통신부와, 상기 가상 서버로부터 상기 통신부를 통해 수신받은 패킷 및 상기 수신받은 패킷의 처리로 인해 실행되는 함수를 기초로 소정의 악성 코드의 프로토콜을 분석하는 분석부를 포함한다.

Description

프로토콜 분석 장치 및 방법{APPARATUS AND METHOD FOR ANALYZING PROTOCOL}
본 발명은 프로토콜 분석 장치 및 방법에 관한 것이다.
정보통신 기술의 급격한 발달은 초고속 인터넷의 확산을 가져왔고, 이에 따라 현재 인터넷은 우리 생활에 없어서는 안될 필수적인 요소로 자리잡아 가고 있다. 인터넷의 보급이 확산됨에 따라, 인터넷의 구조적인 취약성을 공격하는 다양한 불법적인 행위도 증가되어 가고 있는데, 그 중에서 분산서비스 거부(DDoS; Distribute Denial of Service attack) 공격과 같은 특정 네트워크나 서버로의 접속을 차단시키는 행위는 개인은 물론 서비스 제공자에게 있어 치명적인 피해를 입힐 수 있는 불법적인 행위이다.
분산서비스 거부 공격은 점차 그 발생 횟수는 물론 영향력도 강력해지고 있는데, 이는 악성 봇(bot)에 감염된 단말의 수가 지속적으로 증가하여 강력한 봇넷(botnet)을 형성하고 있기 때문이다.
여기서, 봇은 프로그램 대리자라는 의미로 사용자에 의도에 따라 여러 역할을 수행하나, 악의적인 목적을 가진 사용자에 의해 다른 사용자 단말에 무단으로 침투하여 해당 사용자 단말의 통제권을 획득하고 악의적인 목적으로 사용되는 봇을 악성 봇이라 한다.
이러한 악성 봇은 제어권을 가진 사용자(또는 명령 제어 서버)에 의해, 악성 봇에 감염된 단말을 원격 조정하여 해당 단말의 정보를 무단으로 추출하는 것은 물론 특정 네트워크나 특정 서버에 대량의 트래픽을 보내 장애를 유발시킴으로써, 서비스 불능(denial of service) 상태로 만들어 버리게 된다.
현재 악성 봇에 감염된 단말을 이용한 분산서비스 거부 공격을 방지하기 위해, 분산서비스 거부 공격 발생 시 이를 방어하는 방법, 우회 서비스를 이용하는 수동적인 해결 방법 등이 사용되고 있으나, 분산서비스 거부 공격에 이용되는 악성 봇에 감염된 사용자 단말을 탐지하거나 이러한 악성 봇의 프로토콜 자체를 분석하는 기술에 대한 요구가 점차 증가되고 있다.
한편, 프로토콜을 분석하는 프로토콜 역공학 기법은 크게 네트워크 추론 기법과 응용프로그램 추론 기법으로 구분된다. 이 중 네트워크 추론 기법은 악성 코드의 실행파일 없이 네트워크 상에서 송수신되는 패킷들을 모니터링함으로써 프로토콜을 분석하는 기법이다. 반면 응용프로그램 추론 기법은 악성 코드의 실행파일을 분석함으로써 프로토콜을 분석하는 기법이다.
한국등록특허공보, 제10-1173810 호 (2012.08.07. 등록)
본 발명의 해결하고자 하는 과제는 코드가 난독화되어 있거나 실행 중에 변경될 경우에도 정상적으로 프로토콜을 분석할 수 있는 기술을 제공하는 것이다.
다만, 본 발명의 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
일 실시예에 따른 프로토콜 분석 장치는 가상 서버와의 통신에 사용되는 API(application programming interface)를 실행시키는 실행부와, 상기 실행된 API를 통해 상기 가상 서버와 통신을 수행하는 통신부와, 상기 가상 서버로부터 상기 통신부를 통해 수신받은 패킷 및 상기 수신받은 패킷의 처리로 인해 실행되는 함수를 기초로 소정의 악성 코드의 프로토콜을 분석하는 분석부를 포함한다.
또한, 상기 API는 소켓(socket) API 또는 접속(connect) API를 포함할 수 있다.
또한, 상기 실행부는 상기 가상 서버가, 상기 악성 코드의 동작을 제어하는 명령 제어 서버의 IP 및 포트와 동일한 IP 및 포트를 갖도록 제어할 수 있다.
또한, 상기 분석부는 상기 수신받은 패킷의 처리로 인해 실행되는 함수의 분기 상황을 기초로 상기 프로토콜을 분석할 수 있다.
일 실시예에 따른 프로토콜 분석 장치가 수행하는 프로토콜 분석 방법은 가상 서버와의 통신에 사용되는 API(application programming interface)를 실행시키는 단계와, 상기 실행된 API를 통해 상기 가상 서버로부터 패킷을 수신받는 단계와, 상기 수신받은 패킷의 처리로 인해 실행되는 함수를 기초로 소정의 악성 코드의 프로토콜을 분석하는 단계를 포함하여 실행된다.
또한, 상기 API는 소켓(socket) API 또는 접속(connect) API를 포함할 수 있다.
또한, 상기 실행시키는 단계는 상기 가상 서버가, 상기 악성 코드의 동작을 제어하는 명령 제어 서버의 IP 및 포트와 동일한 IP 및 포트를 갖도록 제어하는 단계를 포함할 수 있다.
또한, 상기 분석하는 단계는 상기 수신받은 패킷의 처리로 인해 실행되는 함수의 분기 상황을 기초로 상기 프로토콜을 분석할 수 있다.
일 실시예에 따르면 프로토콜을 분석하기 위해, 클라이언트에서 API가 실제로 실행된다. 종래의 프로토콜 분석 방법의 경우 클라이언트에서 API를 실제로 실행시키지 않고 시뮬레이션 만으로 실행시키는데 비해, 일 실시예에서는 클라이언트에서 API가 실제로 실행되는 것이다. 따라서 일 실시예에 따라 분석하는 경우가 종래에 비해 보다 다양한 분석이 수행될 수 있다.
아울러, 가상 장치의 IP와 포트가 명령 제어 서버의 IP 및 포트와 동일하게 설정된다. 따라서, 실제 명령 제어 서버와 동일한 환경 하에서 프로토콜 분석이 가능해진다.
도 1은 일 실시예에 따른 프로토콜 분석 장치에 의해 프로토콜이 분석될 수 있는 상황에 대해 도시하고 있다.
도 2는 도 1에 도시된 프로토콜 분석 장치의 구성을 예시적으로 도시하고 있다.
도 3은 일 실시예에 따른 프로토콜 분석 방법의 절차를 도시하고 있다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 일 실시예에 따른 프로토콜 분석 장치(100)에 의해 프로토콜이 분석될 수 있는 상황에 대해 도시하고 있다. 다만 도 1에 도시된 상황은 예시적인 것에 불과하므로, 프로토콜 분석 장치(100)가 도 1에 도시된 상황에만 한정 적용되는 것으로 해석되는 것은 아니다.
도 1을 참조하면, 명령 제어 서버(300), 클라이언트(200), 가상 서버(400) 및 프로토콜 분석 장치(100)가 도시되어 있다.
이 중 명령 제어 서버(300)는 command and control 서버라고도 지칭된다. 명령 제어 서버(300)는 클라이언트(200)에게 명령을 전달함으로써, 이러한 클라이언트(200)에 설치되어 있는 악성 코드를 실행시킬 수 있다. 악성 코드가 실행되면, 예컨대 해당 클라이언트(200)의 파일이 삭제되거나 변경되거나 외부로 유출될 수 있다.
클라이언트(200)는 컴퓨터 또는 모바일 기기 등일 수 있다. 해커 등은 클라이언트(200)에 악성 코드를 설치할 수 있다. 이렇게 설치된 악성 코드는 클라이언트(200)가 명령 제어 서버(300)로부터 전달받은 명령을 기초로 동작한다. 악성 코드의 동작으로 클라이언트(200)에 내장된 다양한 함수들이 실행될 수 있다.
프로토콜 분석 장치(100)는 클라이언트(200)에 설치되어 있는 악성 코드의 프로토콜을 분석한다. 구체적으로, 프로토콜 분석 장치(100)는 클라이언트(200)가 명령 제어 서버(300)로부터 어떤 패킷을 받았을 때 어떤 동작을 수행하는지를 분석할 수 있다. 이는 프로토콜 역공학이라고 지칭될 수 있다. 이러한 프로토콜 분석 장치(100)에 대해서는 도 2에서 보다 자세하게 설명하기로 한다.
가상 서버(400)는 명령 제어 서버(300)와 동일한 역할을 수행하는 서버이다. 명령 제어 서버(300)는 해커 등의 관리하에 있으므로 프로토콜 분석 장치(100)가 제어할 수 없는 반면, 가상 서버(400)는 프로토콜 분석 장치(100)에 의해 제어가 가능하다. 즉 가상 서버(400)는 프로토콜 분석 장치(100)의 제어 하에 명령 제어 서버(300)와 동일한 기능을 수행할 수 있다. 이러한 가상 서버(400)는 명령 제어 서버(300)의 IP 및 포트와 동일한 IP 및 포트를 가질 수 있다.
이하에서는 도 1에 도시된 각 구성들이 동작하는 절차에 대해 살펴보기로 한다. 해커 등은 명령 제어 서버(300)를 통해 클라이언트(200)에게 명령을 전달한다. 클라이언트(200)에 설치되어 있는 악성 코드는 명령 제어 서버(300)로부터 전달받은 명령에 따라 소정의 동작 내지 함수를 실행시킨다.
여기서, 프로토콜 분석 장치(100)는 클라이언트(200)가 명령 제어 서버(300)로부터 어떤 패킷을 받았는지, 그에 따라 해당 클라이언트(200)에서 어떤 동작이 수행되는지를 분석할 수 있으며, 이를 통해 악성 코드의 프로토콜을 분석할 수 있다. 다만, 이 방식에는 한계가 있다. 왜냐하면, 명령 제어 서버(300)는 프로토콜 분석 장치(100)가 제어할 수 있는 구성이 아니기 때문이다.
이에 일 실시예에서는 가상 서버(400)를 도입한 뒤 가상 서버(400)가 클라이언트(200)에게 소정의 패킷을 전달하도록 한다. 가상 서버(400)가 클라이언트(200)에게 전달하는 소정의 패킷은 미리 약속된 것이며, 프로토콜을 분석하기에 충분히 다양한 것일 수 있다. 따라서, 프로토콜 분석 장치(100)는 클라이언트(200)가 가상 서버(400)로부터 전달받은 패킷, 그리고 이렇게 전달받은 패킷에 따라 클라이언트(200)에서 어떤 동작이 수행되는지를 분석하며, 이렇게 분석된 결과를 토대로 프로토콜을 분석한다.
이하에서는 프로토콜 분석 장치(100)에 대해 보다 자세하게 살펴보기로 한다.
도 2는 도 1에 도시된 프로토콜 분석 장치(100)의 구성을 예시적으로 도시하고 있다. 도 2를 참조하면, 프로토콜 분석 장치(100)는 통신부(110), 저장부(120), 실행부(130) 및 분석부(140)를 포함하며, 다만 프로토콜 분석 장치(100)의 구성이 도 2에 도시된 것으로 한정 해석되는 것은 아니다.
통신부(110)는 데이터의 송수신에 이용되는 구성이며, 소프트웨어적으로 또는 하드웨어적으로 구현 가능하다.
저장부(120)는 데이터를 저장하는 구성이며, 메모리 등에 의해 구현 가능하다. 저장부(120)에는 명령 제어 서버(300)의 IP와 포트에 대한 정보가 저장될 수 있다.
실행부(130)는 API(application programming interface)를 실행시킨다. 여기서 API는 클라이언트(200)에 마련된 것일 수 있다.
실행부(130)에 의해 실행되는 API는 소켓 API(socket API, 접속 API(connect API), 수신 API(recv API) 또는 송신 API(send API)일 수 있다. 소켓 API가 실행됨으로써 클라이언트(200)와 가상 서버(400) 간의 통신이 활성화된다. 접속 API가 실행됨으로써 저장부(120)에 저장되어 있는 명령 제어 서버(300)의 IP와 포트에 대한 정보가 클라이언트(200)로부터 가상 서버(400)에게 전달된다. 수신 API와 송신 API는 각각 클라이언트(200)가 가상 서버(400)와 패킷을 주고받는데에 사용된다. 여기서, 실행부(130)에 의해 실행 가능한 API가 전술한 것들로 한정되는 것은 아니다.
분석부(140)는 클라이언트(200)에 설치되어 있는 소정의 악성 코드에 대한 프로토콜을 분석한다. 이를 위해 분석부(140)는 통신부(110)를 통해 가상 서버(400)로부터 어떠한 패킷이 수신되었는지, 그리고 수신된 패킷에 따라 실행부(130)에 의해 어떤 동작이 클라이언트(200)에서 수행되었는지를 모니터링한다. 예컨대, 분석부(140)는 통신부(110)를 통해 'hello'라는 패킷이 수신되었을 때 A라는 함수가 실행되고 그 후 B라는 함수와 C라는 함수가 순차적으로 실행되는 것을 모니터링할 수 있다. 이 때 분석부(140)는 함수의 분기 상황을 모니터링할 수 있다. 즉, A라는 함수가 실행되고나서 어떠한 함수로 '분기'되어서 실행되었는지를 모니터링한 뒤 이를 분석에 반영할 수 있다.
여기서, 분석부(140)의 분석 방법인 '어떠한 패킷이 수신되었고 수신된 패킷에 따라 어떠한 함동작이 수행되는지'를 분석하는 것은 '기호 실행'으로 지칭되는, 프로토콜 역공학 기법 중의 하나이다.
아울러, 분석부(140)는 수신 API의 버퍼 또는 송신 API의 버퍼가 가리키는 패킷을 대상으로 분석할 수 있다.
도 3은 일 실시예에 따른 프로토콜 분석 방법의 절차를 도시한 도면이다. 도 3에 도시된 이러한 프로토콜 분석 방법은 전술한 프로토콜 분석 장치(100)에 의해 수행 가능하다. 아울러, 도 3에 도시된 것은 예시적인 것에 불과하므로, 프로토콜 분석 방법의 절차가 도 3에 도시된 것으로 한정 해석되는 것은 아니다.
도 3을 참조하면, 프로토콜 분석 장치(100)는 클라이언트(200)에게 소켓 실행 명령을 전달한다(S100).
그에 따라 클라이언트(200)에서는 소켓 API가 실행되고(S200), 이로써 클라이언트(200)와 가상 서버(400) 간의 통신이 활성화된다.
또한, 프로토콜 분석 장치(100)는 클라이언트(200)에게 접속 실행 명령을 전달한다(S110).
그에 따라 클라이언트(200)에서는 접속 API가 실행되고(S210), 이로써 프로토콜 분석 장치(100)의 저장부(120)에 저장되어 있는 명령 제어 서버(300)의 IP와 포트에 대한 정보가 클라이언트(200)로부터 가상 서버(400)에게 전달된다(S220).
이 경우 가상 장치(400)는 단계 S220에서 전달받은 IP와 포트를 자신의 IP와 포트로 설정한다(S300). 단계 S100 내지 S300을 통해 클라이언트(200)와 가상 장치(400) 간의 통신 연결 단계는 완료된다.
다음으로 클라이언트(200)와 가상 장치(400) 간에 패킷이 송수신된다. 도 3에서는 가상 장치(400)가 먼저 클라이언트(200)에게 명령을 송신하는 것이 도시되어 있다(S310). 다만, 도 3에 도시된 것과는 달리 클라이언트(200)가 먼저 가상 장치(400)에게 명령을 송신할 수도 있으며, 이하에서는 가상 장치(400)가 먼저 클라이언트(200)에게 명령을 송신하는 것을 기준으로 설명하기로 한다.
클라이언트(200)는 단계 S310에서 전달받은 명령을 실행한다(S230).
아울러, 클라이언트(200)가 단계 S310에서 전달받은 명령, 그리고 이러한 명령의 실행 과정 및 결과가 프로토콜 분석 장치(100)에게 전달된다(S240). 여기서 실행 과정 및 결과란 클라이언트(200)가 단계 S310에서 전달받은 명령에 따라 실행되는 함수 및 함수의 분기 상황을 포함할 수 있으나 이에 한정되는 것은 아니다.
프로토콜 분석 장치(100)는 단계 S240에서 전달받은 정보를 기초로, 클라이언트(200)에 설치되어 있는 악성 코드의 프로토콜을 분석한다. 분석에 있어서 기호 실행에 따른 기법이 활용될 수 있다.
여기서 단계 S200과 S210를 살펴보면, 클라이언트(200)에서 API가 실제로 실행된다. 종래의 프로토콜 분석 방법의 경우 클라이언트에서 API를 실제로 실행시키지 않고 시뮬레이션 만으로 실행시키는데 비해, 일 실시예에서는 클라이언트(200)에서 API가 실제로 실행되는 것이다. 따라서 일 실시예에 따라 분석하는 경우가 종래에 비해 보다 다양한 분석이 수행될 수 있다.
아울러, 단계 S220를 살펴보면, 클라이언트(200)로부터 가상 장치(400)에게 명령 제어 서버(300)의 IP와 포트 정보가 전달되고, 이에 따라 가상 장치(400)의 IP와 포트가 명령 제어 서버(300)의 IP 및 포트와 동일하게 설정된다. 따라서, 실제 명령 제어 서버와 동일한 환경 하에서 프로토콜 분석이 가능해진다.
한편, 일 실시예에 따른 프로토콜 분석 방법은 이러한 방법에 포함된 각 단계를 포함하여 수행하도록 프로그램된 컴퓨터 프로그램을 저장하는 컴퓨터 판독가능한 기록매체의 형태로 구현되거나 또는 이러한 방법에 포함된 각 단계를 포함하여 수행하도록 프로그램된 컴퓨터 판독가능한 기록매체에 저장된 컴퓨터 프로그램에서 구현될 수 있다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 품질에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 균등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100 : 프로토콜 분석 장치

Claims (10)

  1. 가상 서버와 악성 코드가 설치된 클라이언트 사이의 통신에 사용되는 API(application programming interface)를 실행시키는 실행부와,
    상기 실행된 API를 통해 상기 가상 서버 및 상기 클라이언트와 통신을 수행하는 통신부와,
    상기 가상 서버가 상기 클라이언트로 전송한 패킷, 및 상기 패킷의 처리로 인해 상기 클라이언트가 실행한 함수를 기초로 상기 악성 코드의 프로토콜을 분석하는 분석부를 포함하고,
    상기 가상 서버는 상기 클라이언트에 설치된 악성 코드의 동작을 제어하는 명령 제어 서버와 동일한 기능을 수행하도록 설정되고,
    상기 실행부는,
    상기 가상 서버가, 상기 악성 코드의 동작을 제어하는 명령 제어 서버의 IP 및 포트와 동일한 IP 및 포트를 갖도록 제어하는
    프로토콜 분석 장치.
  2. 제 1 항에 있어서,
    상기 API는
    소켓(socket) API 또는 접속(connect) API를 포함하는
    프로토콜 분석 장치.
  3. 삭제
  4. 제 1 항에 있어서,
    상기 분석부는,
    수신받은 패킷의 처리로 인해 실행되는 함수의 분기 상황을 기초로 상기 프로토콜을 분석하는
    프로토콜 분석 장치.
  5. 프로토콜 분석 장치가 수행하는 프로토콜 분석 방법으로서,
    가상 서버와 악성 코드가 설치된 클라이언트 사이의 통신에 사용되는 API(application programming interface)를 실행시키는 단계와,
    상기 실행된 API를 통해, 상기 가상 서버가 상기 클라이언트로 전송한 패킷을 수신받는 단계와,
    상기 패킷, 및 상기 수신받은 패킷의 처리로 인해 상기 클라이언트가 실행한 함수를 기초로 상기 악성 코드의 프로토콜을 분석하는 단계를 포함하고,
    상기 가상 서버는 상기 클라이언트에 설치된 악성 코드의 동작을 제어하는 명령 제어 서버와 동일한 기능을 수행하도록 설정되고,
    상기 실행시키는 단계는,
    상기 가상 서버가, 상기 악성 코드의 동작을 제어하는 상기 명령 제어 서버의 IP 및 포트와 동일한 IP 및 포트를 갖도록 제어하는 단계를 포함하는
    프로토콜 분석 방법.
  6. 제 5 항에 있어서,
    상기 API는
    소켓(socket) API 또는 접속(connect) API를 포함하는
    프로토콜 분석 방법.
  7. 삭제
  8. 제 5 항에 있어서,
    상기 분석하는 단계는,
    상기 수신받은 패킷의 처리로 인해 실행되는 함수의 분기 상황을 기초로 상기 프로토콜을 분석하는
    프로토콜 분석 방법.
  9. 가상 서버와 악성 코드가 설치된 클라이언트 사이의 통신에 사용되는 API(application programming interface)를 실행시키는 단계와,
    상기 실행된 API를 통해, 상기 가상 서버가 상기 클라이언트로 전송한 패킷을 수신받는 단계와,
    상기 패킷, 및 상기 패킷의 처리로 인해 상기 클라이언트가 실행한 함수를 기초로 상기 악성 코드의 프로토콜을 분석하는 단계를 포함하고,
    상기 가상 서버는 상기 클라이언트에 설치된 악성 코드의 동작을 제어하는 명령 제어 서버와 동일한 기능을 수행하도록 설정되고,
    상기 실행시키는 단계는,
    상기 가상 서버가, 상기 악성 코드의 동작을 제어하는 상기 명령 제어 서버의 IP 및 포트와 동일한 IP 및 포트를 갖도록 제어하는 단계를 포함하여
    수행되도록 프로그램된
    컴퓨터 프로그램을 저장하는 컴퓨터 판독가능한 기록매체.
  10. 가상 서버와 악성 코드가 설치된 클라이언트 사이의 통신에 사용되는 API(application programming interface)를 실행시키는 단계와,
    상기 실행된 API를 통해, 상기 가상 서버가 상기 클라이언트로 전송한 패킷을 수신받는 단계와,
    상기 패킷, 및 상기 패킷의 처리로 인해 상기 클라이언트가 실행한 함수를 기초로 상기 악성 코드의 프로토콜을 분석하는 단계를 포함하고,
    상기 가상 서버는 상기 클라이언트에 설치된 악성 코드의 동작을 제어하는 명령 제어 서버와 동일한 기능을 수행하도록 설정되고,
    상기 실행시키는 단계는,
    상기 가상 서버가, 상기 악성 코드의 동작을 제어하는 상기 명령 제어 서버의 IP 및 포트와 동일한 IP 및 포트를 갖도록 제어하는 단계를 포함하여 수행되도록 프로그램된
    컴퓨터 판독가능한 기록매체에 저장된 컴퓨터 프로그램.
KR1020180127553A 2018-10-24 2018-10-24 프로토콜 분석 장치 및 방법 KR102082889B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180127553A KR102082889B1 (ko) 2018-10-24 2018-10-24 프로토콜 분석 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180127553A KR102082889B1 (ko) 2018-10-24 2018-10-24 프로토콜 분석 장치 및 방법

Publications (1)

Publication Number Publication Date
KR102082889B1 true KR102082889B1 (ko) 2020-04-23

Family

ID=70472331

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180127553A KR102082889B1 (ko) 2018-10-24 2018-10-24 프로토콜 분석 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102082889B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101053470B1 (ko) * 2009-04-14 2011-08-03 박한규 유해 트래픽 제어 및 해킹을 차단하는 장치 및 방법
KR101173810B1 (ko) 2011-09-07 2012-08-16 (주)멜리타 보안 강화 시스템, 이를 위한 단말 및 서비스 장치, 그리고 이를 위한 방법
KR101623073B1 (ko) * 2015-01-19 2016-05-20 한국인터넷진흥원 Api 기반 악성 코드 탐지 시스템 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101053470B1 (ko) * 2009-04-14 2011-08-03 박한규 유해 트래픽 제어 및 해킹을 차단하는 장치 및 방법
KR101173810B1 (ko) 2011-09-07 2012-08-16 (주)멜리타 보안 강화 시스템, 이를 위한 단말 및 서비스 장치, 그리고 이를 위한 방법
KR101623073B1 (ko) * 2015-01-19 2016-05-20 한국인터넷진흥원 Api 기반 악성 코드 탐지 시스템 및 방법

Similar Documents

Publication Publication Date Title
US11616791B2 (en) Process-specific network access control based on traffic monitoring
US11082436B1 (en) System and method for offloading packet processing and static analysis operations
US20220239687A1 (en) Security Vulnerability Defense Method and Device
US9491189B2 (en) Revival and redirection of blocked connections for intention inspection in computer networks
US20170302689A1 (en) Network Security Protection Method and Apparatus
US11539695B2 (en) Secure controlled access to protected resources
Taylor et al. Contextual, flow-based access control with scalable host-based SDN techniques
Umar et al. Mitigating sodinokibi ransomware attack on cloud network using software-defined networking (SDN)
CN104796386B (zh) 一种僵尸网络的检测方法、装置和系统
KR101592323B1 (ko) 서버 장애 시 원격 서버 복구 시스템 및 방법
KR102082889B1 (ko) 프로토콜 분석 장치 및 방법
CN116319028A (zh) 一种反弹shell攻击拦截方法和装置
Arreaga et al. Security Vulnerability Analysis for IoT Devices Raspberry Pi using PENTEST
Bansal et al. Analysis and Detection of various DDoS attacks on Internet of Things Network
Mishra et al. Multi tree view of complex attack–stuxnet
Ceron et al. MARS: From traffic containment to network reconfiguration in malware-analysis systems
CN107819787B (zh) 一种防止局域网计算机非法外联系统及其方法
Buriachok et al. Using 2.4 GHz Wireless Botnets to Implement Denial-of-Service Attacks
KR20150041613A (ko) 기업내 보안망 제공시스템 및 그 방법
Бурячок et al. Using 2.4 GHz wireless botnets to implement denial-of-service attacks
KR20190114158A (ko) 악성 임베디드 펌웨어 분석 및 탐지를 위한 동적 분석 방법
US20240146763A1 (en) Man-in-the-middle interceptor for application security testing
Taylor Software-defined Networking: Improving Security for Enterprise and Home Networks
Rafaele et al. IoT security analysis: Kunbus Revolution Pi connect
Liu et al. Community Cleanup: Incentivizing Network Hygiene via Distributed Attack Reporting

Legal Events

Date Code Title Description
GRNT Written decision to grant