KR102131496B1 - 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법 - Google Patents

보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법 Download PDF

Info

Publication number
KR102131496B1
KR102131496B1 KR1020180059740A KR20180059740A KR102131496B1 KR 102131496 B1 KR102131496 B1 KR 102131496B1 KR 1020180059740 A KR1020180059740 A KR 1020180059740A KR 20180059740 A KR20180059740 A KR 20180059740A KR 102131496 B1 KR102131496 B1 KR 102131496B1
Authority
KR
South Korea
Prior art keywords
security
network
packet
source
attack
Prior art date
Application number
KR1020180059740A
Other languages
English (en)
Other versions
KR20190134287A (ko
Inventor
신승원
이승현
서현민
Original Assignee
한국과학기술원
아토리서치(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국과학기술원, 아토리서치(주) filed Critical 한국과학기술원
Priority to KR1020180059740A priority Critical patent/KR102131496B1/ko
Publication of KR20190134287A publication Critical patent/KR20190134287A/ko
Application granted granted Critical
Publication of KR102131496B1 publication Critical patent/KR102131496B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 동적 네트워크 환경에서 포렌식(forensic) 데이터를 수집하여 사이버 범죄 계획을 전달하는 공격 히스토리 그래프를 구성하는 보안 출처 제공 시스템 및 그 방법에 관한 것으로, 네트워크 관리자에게 공격 시작 지점 및 공격 절차의 공격 정보에 대한 명확한 견해를 제공하는 보안 분석 플랫폼을 제공할 수 있다.

Description

보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법{security provenance providing system for providing of the root cause of security problems and the method thereof}
본 발명은 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법에 관한 것으로, 보다 상세하게는 동적 네트워크 환경에서 포렌식(forensic) 데이터를 수집하여 사이버 범죄 계획을 전달하는 공격 히스토리 그래프를 구성하는 기술에 관한 것이다.
현대의 기업 네트워크는 웹 및 이메일의 다양한 서비스들을 운영하기 위한 이기종 시스템들(예를 들어, 라우터 및 호스트)을 포함한다. 이러한 다양성과 이질성(heterogeneity)에 의해, 네트워크 관리자가 다중 공격 경로를 채택하는 APT(Advanced persistent threat, 지능형 지속 공격)와 같은 정교한 공격 시도들을 추적하거나 모니터링하는 것이 매우 어려워졌다.
최근 들어, 네트워크 가상화 및 이동성 관리와 같은 주요 연구 혁신의 출현으로, 기업 네트워크는 다음 세대로의 전환으로 변화하고 있다. 이러한 전환은 기업 네트워크가 전자 상거래 및 전자 투표 등의 보다 다양하고 복잡한 서비스를 지원한다는 장점이 존재하나, 보안 측면에서는 치명적인 부작용이 도래한다.
이기종 시스템들 및 서비스가 실행 됨에 따라, 네트워크의 구조 및 서비스가 이전보다 복잡해졌기 때문에, 네트워크 관리자가 보안 문제들을 모두 감지하는 것이 매우 어려워졌다.
대표적으로, 최근에 기업 네트워크 내부의 주요 자산들을 대상으로 하는 많은 APT(Advanced persistent threat, 지능형 지속 공격)이 등장했다. 이들은 주요 자산들을 탈취 및 제어하기 위하여 네트워크로 진입하는 데 사용되는 접근 가능한 호스트를 손상시킨다. 다양한 공격 시나리오를 나열하기 어려운 만큼, 공격 시도들을 감지하는 것은 매우 어려운 실정이다. 예를 들어, 공격자들은 내부 네트워크에 대한 채널을 오픈하거나, 내부 네트워크 사용자에게 악성 이메일을 보내기 위하여 내부 네트워크에 대한 접근 권한이 있는 모바일 노드를 손상시킬 수 있다.
이러한 공격을 감지하기 위해, 네트워크 관리자는 네트워크의 공격면(attack surface)을 최소화 및 축소하려는 많은 노력을 기울여 왔다. 예를 들면, 네트워크 관리자는 특정 공격시도를 감지 및 감시하고, 외부 보안 서비스를 아웃소싱하기 위하여 네트워크에 침입 탐지 시스템(Network Intrusion Detection System, NIDS) 및 방화벽(firewall)과 같은 다양한 보안 기능성들을 배치하였다.
그러나, 이러한 노력에도 불구하고, APT와 같은 복잡하고 정교한 공격은 여전히 문제가 되었다. 이러한 공격들은 다양한 공격 경로와 단계를 사용할 수 있기 때문에, 네트워크 관리자가 그것들을 인지하기는 매우 어렵다. 더욱이, 네트워크 관리자는 공격들이 진행되거나, 진행되는 공격의 시작 시점을 놓칠 가능성이 매우 높으며, 이는 향후 다른 공격들 또한 접근 가능하다는 것을 의미한다.
본 발명의 목적은 네트워크 관리자에게 공격 시작 지점 및 공격 절차의 공격 정보에 대한 명확한 견해를 제공하는 보안 분석 플랫폼을 제공하고자 한다.
또한, 본 발명의 목적은 지능형 지속공격을 재구성, 이해, 방지하기 위하여 모든 관련 네트워크와 보안 이벤트들을 모니터링 및 수집하고, 공격 히스토리를 재구성하여 공격의 근본 원인을 찾아내는 새로운 접근법을 고안한 프레임 워크를 실현하고자 한다.
본 발명의 실시예에 따른 보안 출처 제공 시스템은 동적 네트워크 환경에서, 보안에 관련된 네트워크 이벤트로 인한 패킷 및 네트워크 스냅샷을 포함하는 보안 출처 데이터를 수집하며, 상기 보안 출처 데이터를 이용하여 증거 정보를 생성하는 데이터 수집부 및 상기 보안 출처 데이터를 이용하여 관계형 공격 히스토리 그래프를 구성하며, 공격의 동작 시나리오를 구성하는 그래프 구성부를 포함한다.
상기 데이터 수집부는 상기 패킷과, 네트워크 토폴로지, 보안 정책, 네트워크 구조 및 포워딩(forwarding) 규칙 중 적어도 어느 하나 이상을 포함하는 상기 네트워크 스냅샷을 포함하는 상기 보안 출처 데이터를 수집할 수 있다.
상기 데이터 수집부는 상기 패킷을 미러링하는 패킷 모니터부, 상기 동적 네트워크 환경에서, 네트워크 변경 사항을 추적하고, 상기 네트워크 스냅샷을 데이터베이스에 제공하는 네트워크 히스토리 레코더부 및 출처 분석부에서 수신되는 검사 결과에 기초하여 상기 증거 정보를 생성하는 증거 생성부를 포함할 수 있다.
상기 패킷 모니터부는 2단계 패킷 캡쳐(two-phase packet capture, 2PC) 방법을 이용하여 출구(egress) 및 입구(ingress) 스위치에서 한 패킷을 두 번 미러링할 수 있다.
상기 네트워크 히스토리 레코더부는 상기 패킷이 모니터되는 동안 상기 네트워크 스냅샷을 수집하며, 보안 정책 및 네트워크 구조에 대한 내부 상태의 업데이트 또는 변화의 상태 변경에 따라 상기 네트워크 스냅샷을 상기 데이터베이스에 반영할 수 있다.
상기 네트워크 히스토리 레코더부는 소프트웨어 정의 네트워킹(Software-Defined Networking, SDN) 기술을 이용하여 상기 동적 네트워크 환경에서의 상기 상태 변경을 추적하여 모니터링 규칙을 발생하는 출처 모니터링을 수행할 수 있다.
상기 증거 생성부는 상기 패킷을 이용하여 상기 보안 출처 데이터를 검사하는 상기 출처 분석부와 협력하며, 상기 두 개의 패킷에 대해 전사적인(enterprise-wide) 보안 검사를 수행하여 상기 증거 정보를 생성할 수 있다.
상기 출처 분석부는 상기 출구 및 입구 스위치에서 수신되는 두 개의 패킷을 비교하여 패킷의 조작 여부를 검사하며, 포렌식 정보 제공을 위해, 상기 보안 출처 데이터를 발생 순서대로 검사할 수 있다.
상기 그래프 구성부는 호스트(host)와 연관된 상기 보안 출처 데이터가 소모될 때까지 상기 데이터 수집부에서 상기 증거 정보를 수신하여 상기 공격 히스토리 그래프를 재구성할 수 있다.
상기 그래프 구성부는 네트워크 관리자로 정의된 특정 호스트 또는 상기 보안에 관련된 네트워크 이벤트에서 시작하는 상기 보안 출처 데이터의 인과관계를 분석하고, 악의적인 증상에 관련된 상기 보안 출처 데이터가 소모될 때까지 상기 공격 히스토리 그래프를 재구성할 수 있다.
본 발명의 실시예에 따른 보안 문제의 근본적인 원인을 제공하기 위한 보안 출처 제공 시스템의 동작 방법에 있어서, 동적 네트워크 환경에서, 보안에 관련된 네트워크 이벤트로 인한 패킷 및 네트워크 스냅샷을 포함하는 보안 출처 데이터를 수집하며, 상기 보안 출처 데이터를 이용하여 증거 정보를 생성하는 단계 및 상기 보안 출처 데이터를 이용하여 관계형 공격 히스토리 그래프를 구성하며, 공격의 동작 시나리오를 구성하는 단계를 포함한다.
상기 보안 출처 데이터는 상기 패킷과, 네트워크 토폴로지, 보안 정책, 네트워크 구조 및 포워딩(forwarding) 규칙 중 적어도 어느 하나 이상을 포함하는 상기 네트워크 스냅샷을 포함할 수 있다.
상기 보안 출처 데이터를 수집하고, 상기 증거 정보를 생성하는 단계는 상기 패킷을 미러링하는 단계, 상기 동적 네트워크 환경에서, 네트워크 변경 사항을 추적하고, 상기 네트워크 스냅샷을 데이터베이스에 제공하는 단계 및 상기 보안 출처 데이터의 검사 결과에 기초하여 상기 증거 정보를 생성하는 단계를 포함할 수 있다.
상기 보안 출처 데이터를 수집하고, 상기 증거 정보를 생성하는 단계는 상기 패킷을 이용하여 상기 보안 출처 데이터를 검사하는 단계를 통해 상기 증거 정보를 생성할 수 있다.
상기 공격의 동작 시나리오를 구성하는 단계는 호스트(host)와 연관된 상기 보안 출처 데이터가 소모될 때까지 상기 증거 정보를 수신하여 상기 공격 히스토리 그래프를 재구성할 수 있다.
상기 공격의 동작 시나리오를 구성하는 단계는 네트워크 관리자로 정의된 특정 호스트 또는 상기 보안에 관련된 네트워크 이벤트에서 시작하는 상기 보안 출처 데이터의 인과관계를 분석하고, 악의적인 증상에 관련된 상기 보안 출처 데이터가 소모될 때까지 상기 공격 히스토리 그래프를 재구성할 수 있다.
본 발명의 실시예에 따르면, 네트워크 관리자에게 공격 시작 지점 및 공격 절차의 공격 정보에 대한 명확한 견해를 제공하는 보안 분석 플랫폼을 제공할 수 있다.
또한, 본 발명의 실시예에 따르면, 지능형 지속공격을 재구성, 이해, 방지하기 위하여 모든 관련 네트워크와 보안 이벤트들을 모니터링 및 수집하고, 공격 히스토리를 재구성하여 공격의 근본 원인을 찾아내는 새로운 접근법을 고안한 프레임 워크를 실현할 수 있다.
도 1은 정보 유출 공격의 예를 도시한 것이다.
도 2는 본 발명의 실시예에 따른 보안 출처 제공 시스템의 세부 구성을 도시한 것이다.
도 3은 본 발명의 실시예에 따른 데이터 수집부의 세부 구성을 도시한 것이다.
도 4는 본 발명의 실시예에 따른 입구 스위치 및 출구 스위치에서 패킷을 캡쳐하는 예를 도시한 것이다.
도 5는 본 발명의 실시예에 따른 증거 정보의 포맷을 설명하기 위해 도시한 것이다.
도 6은 본 발명의 실시예에 따른 논리적 무결성 위반을 설명하기 위해 도시한 것이다.
도 7은 본 발명의 실시예에 따른 보안 문제의 인과관계를 설명하기 위해 도시한 것이다.
도 8은 본 발명의 실시예에 따른 공격 히스토리 그래프를 구성하는 과정을 도시한 것이다.
도 9는 상태 천이 다이어그램을 도시한 것이다.
도 10은 내재적 보안관계를 도시한 것이다.
도 11은 보안관계에 대한 목록의 표를 도시한 것이다.
도 12는 본 발명의 실시예에 따른 보안 문제의 근본적인 원인을 제공하기 위한 보안 출처 제공 방법의 흐름도를 도시한 것이다.
이하, 본 발명에 따른 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다. 또한, 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.
또한, 본 명세서에서 사용되는 용어(terminology)들은 본 발명의 바람직한 실시예를 적절히 표현하기 위해 사용된 용어들로서, 이는 시청자, 운용자의 의도 또는 본 발명이 속하는 분야의 관례 등에 따라 달라질 수 있다. 따라서, 본 용어들에 대한 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
본 발명은 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법을 제공한다.
본 발명은 동적 네트워크 환경에서 포렌식(forensic) 데이터를 수집하여 사이버 범죄 계획을 전달하는 공격 히스토리 그래프를 구성함으로써, 네트워크 관리자가 최대화된 보안 가시성(visibility)을 사용하여 의심스러운 증상을 분석하도록 도울 수 있다. 이러한 본 발명의 보안 분석 플랫폼(SecTracer)은 수동으로 보안 데이터를 분석하는 오버 헤드를 획기적으로 최소화하고, APT의 시작 지점과 같은 치명적인 정보의 누락 가능성을 최소화할 수 있다.
본 발명의 실시예에 따른 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법의 기여들(contributions)은 다음과 같다.
1. 본 발명은 보안 출처(security provenance)를 도입함으로써, 공격의 전체적인 동작을 이해하여 보안 문제의 근본 원인을 정확하고 안전하게 조사하는 데에 유용하다.
2. 본 발명은 기업 네트워크에 보안 출처를 실현하기 위하여, 프로토타입 시스템인 보안 분석 플랫폼(SecTracer)을 구현하며, 이는 기존의 기업 네트워크 및 그 구성요소들을 수정하지 않고 완전한 보안/네트워크 감사 데이터를 효율적으로 수집한다.
3. 본 발명은 보안 분석 플랫폼을 이용하여 지능형 네트워크 공격 시나리오의 근본 원인을 추적함으로써, 기존 기술보다 높은 효율성을 제공한다.
이하에서는 도 1 내지 도 12를 참조하여 본 발명의 실시예에 따른 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법에 대해 상세히 설명한다.
도 1은 정보 유출 공격의 예를 도시한 것이다.
보다 상세하게는, 도 1은 공격자가 디딤돌 공격(stepping stone attack)을 통해 기밀 데이터 기록을 탈취하려는 공격 시나리오의 예시를 도시한 것이다.
도 1을 참조하면, 네트워크 관리자(manager)는 보안 장비들을 이용하여 보안 정책을 전략적으로 시행함으로써, DB 서버(Database) 및 웹 서버(Web-server) 등의 내부 자산을 보호한다. 특히, DB 서버는 공격자의 주요 대상이기도 하다.
공격자(Attacker)는 우선적으로 DB 서버를 직접 공격하려고 시도할 수 있다(Exploit DB server). 그러나, 이 시도는 DB 서버에 대한 모든 원격 접근을 거부하기 위해 관리자가 구성한 방화벽에 의해 차단될 수 있다(Block by Firewall).
상기 방어를 인지하여, 공격자는 DB 서버에서 웹 서버로 타겟을 변경할 수 있으나(Exploit Web server), 이 또한 IPS에 의해 방어될 수 있다(Block the attack).
전술한 방어에 의해, 공격자는 내부 자산에 대한 접근을 위해 다양한 대안을 시도할 수 있다. 예를 들면, 공격자는 원격 커널 익스플로잇(kernel exploit)을 통해 관리자 머신을 손상(Remote exploit)시켜 관리자의 권한을 획득하고, 획득된 권한을 이용하여 DB 서버에 침입 후, 최종적으로 보호된 기록들을 획득할 수 있다(Connection by stepping stone and Information leakage).
도 1에 도시된 바와 같이, 공격자는 다양한 방법을 이용하여 내부 자산에 접근 및 공격할 수 있다. 그러나, 네트워크 관리자는 공격자의 다양한 공격 시나리오를 모두 예측 및 감지하기엔 한계가 존재하며, 공격이 발생한 후에도 DB 기록의 탈취를 탐지하지 못하였다.
이에, 본 발명의 실시예에 따른 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법은 공격자들의 다양한 공격 시나리오에 대한 근본 원인을 추출하고, 공격과 관련된 히스토리 이벤트들을 연관시킨 공격의 동작 시나리오를 구성하여 관리자에게 제공하고자 한다.
나아가, 본 발명의 실시예에 따른 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법은 전반적인 공격 시나리오를 명확하게 이해하기 위해, 인과관계 분석, 제한된 보안 정보 및 제한된 이벤트 정보를 이용하여 보안 근본 원인 분석(Security Root Cause Analysis, S-RCA)를 수행할 수 있다.
도 2는 본 발명의 실시예에 따른 보안 출처 제공 시스템의 세부 구성을 도시한 것이다.
도 2를 참조하면, 본 발명의 실시예에 따른 보안 출처 제공 시스템(200)은 동적 네트워크 환경에서 포렌식(forensic) 데이터를 수집하여 사이버 범죄 계획을 전달하는 공격 히스토리 그래프(310)를 구성한다.
본 발명의 실시예에 따른 보안 출처 제공 시스템(200)은 보안 문제들의 근본 원인을 추적하는 지능형 보안 분석 플랫폼(SecTracer)을 제시하며, 보안 출처를 실현하는 데에 있어 네트워크 지향(network-oriented) 방식을 고려한다. 예를 들어 관리자(110)가 호스트의 보안 이벤트(즉, 보안 출처)를 추적하려는 경우, 관리자(110)는 운영 요구 사항(Operational Requirements, 120)을 본 발명의 실시예에 따른 보안 출처 제공 시스템(200)에 제공한다. 이에 따라서, 본 발명의 실시예에 따른 보안 출처 제공 시스템(200)은 운영 요구 사항(120) 및 호스트에 대한 정보를 입력받아 호스트에 해당하는 공격 히스토리 그래프(310)를 구성한다.
이 때, 운영 요구 사항(Operational Requirements, 120)은 관리자(110)가 보안 관련 정보를 모니터링 및 수집하기 위한 정보일 수 있다. 예를 들어, 보안 정책(Security policy, 121)은 어느 호스트가 어느 보안 장치를 방문하고, 어떠한 접근 제어 정책에 의해 제한되어야 하는지를 구체화하는 라우팅 정책에 해당하며, 네트워크 구성(network configurations, 122)은 보안 장치 또는 미들 박스(middle boxes)의 위치를 포함하고, 출처정책(provenance policy, 123)은 특정 호스트에 포함된 보안 출처 데이터의 모니터링을 구체화한다.
이에 기반하여, 본 발명의 실시예에 따른 보안 출처 제공 시스템(200)은 특정 호스트에 대한 공격 히스토리 그래프(Attack History Graph, 310)를 생성한다.
이를 위해, 본 발명의 실시예에 따른 보안 출처 제공 시스템(200)은 데이터 수집부(210) 및 그래프 구성부(220)를 포함한다.
도 2를 참조하면, 본 발명의 실시예에 따른 보안 출처 제공 시스템(200)의 데이터 수집부(Data Collector, 210)는 데이터베이스(230) 및 출처 분석부(240)를 통해 동적 네트워크 환경에 대한 보안 출처 데이터를 수집하여 증거 정보를 생성하며, 수집된 보안 출처 데이터를 그래프 구성부(220)에 제공한다.
이하에서는 도 3을 참조하여 본 발명의 실시예에 따른 데이터 수집부에 대해 상세히 설명하고자 한다.
도 3은 본 발명의 실시예에 따른 데이터 수집부의 세부 구성을 도시한 것이다.
도 2 및 3을 참조하면, 데이터 수집부(Data Collector, 210)는 동적 네트워크 환경에서, 보안에 관련된 네트워크 이벤트로 인한 패킷 및 네트워크 스냅샷을 포함하는 보안 출처 데이터를 수집하며, 보안 출처 데이터를 이용하여 증거 정보를 생성한다.
데이터 수집부(210)는 보안 출처 모니터링을 위해 패킷을 캡쳐(capture)하고, 기록 네트워크 변경 사항을 추적하는 모니터링 규칙을 통한 데이터베이스(230)에 데이터를 발행하며(publishes), 증거 요청이 수신되는 경우 출처 분석부(Provenance Analyzer, 240)와 협력하여 증거 정보를 생성한다.
이 때, 상기 보안 출처 데이터는 패킷 및 네트워크 스냅샷을 포함하며, 상기 네트워크 스냅샷은 네트워크 토폴로지, 보안 정책, 네트워크 구조 및 포워딩(forwarding) 규칙 중 적어도 어느 하나 이상을 포함할 수 있다.
세부적으로, 상기 보안 출처 데이터(security provenance data)는 보안과 관련된 출처 데이터이며, 원시 패킷(raw packet), 보안 정책 및 네트워크 스냅샷을 포함한 데이터일 수 있다. 또한, 상기 네트워크 스냅샷(network snapshot)은 시간 상의 특정 지점에서 보안 정책, 네트워크 구조, 호스트 위치를 포함하는 토폴로지, 포워딩 규칙 및 패킷 모니터링 정보에 대한 히스토리적 관점일 수 있다.
도 3을 참조하면, 데이터 수집부(210)는 패킷 모니터부(211), 네트워크 히스토리 레코더부(212) 및 증거 생성부(213)를 포함하며, 출처 분석부(240)와 협력할 수 있다.
패킷 모니터부(Packet Monitor, 211)는 패킷을 미러링(mirroring)할 수 있다. 예를 들면, 패킷 모니터부(211)는 데이터 플레인(Data Plane)에서, 보안 장치 또는 미들 박스를 모니터링하여 패킷을 출처 분석부(240)로 전달(forward)할 수 있다. 이 때, 패킷 모니터부(211)는 보안 문제를 검사하기 위한 패킷의 무결성(integrity) 및 도달 가능성(reachability)를 추적할 수 있다. 출처 분석부(240)는 패킷을 수집할 뿐만 아니라, 보안 출처 데이터를 검사할 수 있다.
도 3을 참조하여 설명하면, 패킷 모니터부(211)는 2단계 패킷 캡쳐(two-phase packet capture, 2PC) 방법을 이용하여 출구(egress) 및 입구(ingress) 스위치에서 한 패킷을 두 번 미러링한다. 보다 상세하게는, 패킷 모니터부(211)는 2단계 패킷 캡쳐(two-phase packet capture, 2PC) 방법을 이용하여 출구(egress) 스위치 및 입구(ingress) 스위치에서 한 패킷을 두 번 미러링하고, 미러링된 두 개의 패킷을 출처 분석부(240)로 전달하는 패킷 모니터링 규칙을 수행할 수 있다.
이는 본 발명의 실시예에 따른 보안 출처 제공 시스템(200)이 각 패킷의 무결성 및 도달 가능성을 조사하는 것을 가능하게 한다. 일 예로, 출처 분석부(240)는 출구 스위치 및 입구 스위치에서 수신되는 두 개의 패킷을 비교하여 패킷의 조작 여부를 검사할 수 있다. 또한, 다른 예로, 패킷이 손실되면(dropped), 출처 분석부(240)는 출구 스위치로부터 오직 하나의 패킷만 수신하여 패킷의 조작 여부를 검사할 수 있다. 이 때, 출처 분석부(240)는 포렌식 정보 제공을 위해, 보안 출처 데이터를 발생 순서대로 검사하는 것을 특징으로 한다.
이하에서는 도 4를 참조하여 입구 스위치 및 출구 스위치에서 패킷을 캡쳐하는 과정에 대해 상세히 설명하고자 한다.
도 4는 본 발명의 실시예에 따른 입구 스위치 및 출구 스위치에서 패킷을 캡쳐하는 예를 도시한 것이다.
보다 상세하게는, 도 4는 본 발명의 실시예에 따른 보안 출처 제공 시스템(200)이 SDN 기술(OpenFlow command)을 적용하여 플로우의 입구 지점 및 출구 지점에서 패킷을 캡쳐하는 예를 도시한 것이다.
도 4에 도시된 바와 같이, H1(Sender)에서 H2(Receiver)로 패킷을 전송한다고 가정하면, 입구 스위치(S1)와 출구 스위치(S2)는 패킷을 H1(Sender)에서 H2(Receiver)로 전달하는 플로우 규칙을 갖는다.
본 발명의 실시예에 따른 보안 출처 제공 시스템(200)은 운영 요구 사항(120)에 기반하여 SDN 기술을 통한 사전에 모니터링 규칙을 설정할 수 있다.
도 4를 참조하면, 패킷이 H1(Sender)에서 입구 스위치(S1)로 도달하는 경우, 본 발명의 실시예에 따른 보안 출처 제공 시스템(200)의 패킷 모니터부(211)는 패킷을 output 및 goto_table의 두 가지 액션을 통해 복제하고, push_vlan의 액션을 통해 상기 복제된 패킷에 VLAN 태그를 추가하여 출처 분석부(240)로 전달할 수 있다. 이 때, 출구 스위치(S2)가 입구 스위치(S1)로부터 패킷을 수신하면, 출구 스위치(S2) 내의 모니터링 규칙은 입구 스위치(S1) 내의 모니터링 규칙과 동일하게 작동한다.
이에 따라서, 출처 분석부(240)는 입구 스위치(S1) 및 출구 스위치(S2) 각각에서 복제된 패킷들을 수신할 수 있다.
출처 분석부(240)는 패킷의 모니터링을 추적하기 위해, 호스트-호스트 경로 및 방문된 미들 박스(visited middle-box)의 리스트를 포함하는 패킷 모니터링 정보(packet monitoring information)를 유지하며, 이를 네트워크 히스토리 레코더부(212)로 전달할 수 있다(forward).
다시 도 3을 참조하면, 데이터 수집부(210)의 네트워크 히스토리 레코더부(Network History Recorder, 212)는 동적 네트워크 환경에서, 네트워크 변경 사항을 추적하고, 네트워크 스냅샷을 데이터베이스(230)에 제공/발행(publish)할 수 있다. 상기 네트워크 스냅샷(network snapshot)은 시간 상의 특정 지점에서 보안 정책, 네트워크 구조, 호스트 위치를 포함하는 토폴로지, 포워딩 규칙 및 패킷 모니터링 정보에 대한 히스토리적 관점일 수 있다.
보다 구체적으로, 네트워크 히스토리 레코더부(212)는 최신 네트워크 스냅샷을 유지하기 위해 내부 상태를 관리할 수 있다. 예를 들면, 네트워크 히스토리 레코더부(212)는 패킷이 모니터되는 동안 네트워크 스냅샷을 수집하며, 보안 정책, 네트워크 구조, 토폴로지, 호스트 위치, 포워딩 규칙 및 패킷 모니터링 정보 중 적어도 어느 하나 이상이 변경되면, 변경된 상태(Network Changes)를 업데이트하고, 업데이트된 버전에 대한 고유 식별자와 함께 업데이트된 네트워크 스냅샷을 데이터베이스(230)에 발행(issue)할 수 있다.
이 때, 네트워크 히스토리 레코더부(212)는 소프트웨어 정의 네트워킹(Software-Defined Networking, SDN) 기술을 이용하여 동적 네트워크 환경에서의 상태 변경을 추적하며, 모니터링 규칙을 발생하는 출처 모니터링을 수행할 수 있다.
증거 생성부(Evidence Generator, 213)는 출처 분석부(240)에서 수신되는 보안 진단 결과를 기반으로 증거 정보를 생성할 수 있다. 보다 상세하게, 증거 생성부(213)는 패킷을 이용하여 보안 출처 데이터를 검사하는 출처 분석부(240)와 협력하며, 패킷 모니터부(211)에 의해 모니터링된 두 개의 패킷에 대해 전사적인(enterprise-wide) 보안 검사를 수행함으로써, 증거 정보를 생성할 수 있다.
사이버 보안 문제들의 80% 이상은 공지된 취약점에 의해 발생하므로, 출처 분석부(240)는 네트워크 침입 감지 시스템(Network Intrusion Detection Systems, NIDS) 및 변칙 감지 시스템과 같은 공격 감지 능력 시스템을 활용한다. 그러나, 상기 공격 감지 능력 시스템은 로컬 영역만 검사하는 외곽(perimeter) 감지 모델이며, 이러한 모델의 한계를 극복하기 위해 출처 분석부(240)는 전사적인(enterprise-wide) 보안 검사를 추가로 지원한다.
출처 분석부(240)는 패킷 모니터부(211)로부터 2단계 패킷 캡쳐(two-phase packet capture, 2PC) 방법에 의해 하나의 패킷 당 두 개의 패킷들을 수신하므로, 복제된 패킷들에 의한 스토리지 오버헤드를 처리해야 한다.
보다 상세하게, 출처 분석부(240)는 패킷들을 모니터링하는 동안, 사전에 각 패킷의 도달 가능성 및 물리적인 무결성 위반을 전처리하고, 전처리 결과(즉, 도달 가능성 및 무결성)가 포함된 패킷들 및 대응하는 네트워크 스냅샷을 데이터베이스(230)에 저장할 수 있다. 이후, 그래프 구성부(220)가 공격 히스토리 그래프(310)를 구성하는 과정에서 증거 정보를 요청하면, 증거 생성부(213)는 데이터베이스(230)에 포함된 호스트 정보를 쿼리하여 패킷들을 검색하고, 요구에 따라 출처 분석부(240)로부터 보안 분석 결과를 추가로 수신하여 패킷마다 증거 정보를 생성할 수 있다.
상기 증거 정보(evidence)는 보안 출처 데이터의 보안 진단 결과이며, 단일 또는 다수 증거는 보안관계를 정의하고, 보안관계에 대응하는 포렌식 정보를 제공할 수 있다. 이 때, 보안 인과관계(security causality) 또는 관계(relationship)는 관계를 정의하며, 이는 주체(subject)가 객체(object)에 대한 CIA(confidentiality, 기밀성), 무결성(integrity) 및 가용성(availability)의 삼각형(triad)에 영향을 미친다는 것을 나타낸다.
도 5는 본 발명의 실시예에 따른 증거 정보의 포맷을 설명하기 위해 도시한 것이다.
도 5를 참조하면, 증거 정보의 포맷은 인덱스 필드 및 특징 필드로 구성된다. 인덱스 필드는 eID(511) 및 sID(512)를 포함하고 있으며, 각각은 증거 정보 자체의 고유 식별자 및 패킷이 모니터링 되는 시점의 네트워크 스냅샷을 나타낸다.
Timestamp(520)는 패킷이 캡쳐된 시간을 나타내고, rPacket(530)은 원시 패킷(raw packet)을 포함하며, mPacket(540)은 원시 패킷이 생성된(crafted) 경우, 변형된 패킷을 보관한다. 또한, results(550)는 출처 분석부(240)의 보안 진단 결과를 나타낸다.
나아가, 출처 분석부(240)는 네트워크 침입 감지 시스템(Network Intrusion Detection Systems, NIDS)에 의한 탐지 결과를 exploitable(557) 및 IDSMsg(558) 필드에 저장할 수 있다. 실시예에 따라서, 출처 분석부(240)는 네트워크 침입 감지 시스템(Network Intrusion Detection Systems, NIDS) 인스턴스의 경고 메시지를 분석한 후, 패킷(또는 패킷 스트림)이 취약점 악용 공격(exploitable attack)과 관련됨을 분석한 경우, 증거 생성부(213)는 exploitable(557)을 true로 설정하고, 악용할 수 없는 경우에는 exploitable(557)를 false로 설정하며, 원시 경고 메시지를 IDSMsg(558)에 저장할 수 있다.
UserDefinedFields(559)는 사용자 정의 필드를 제공한다.
또한, 출처 분석부(240)는 모니터된 패킷을 수신하여 패킷이 목적지에 도달했는지 여부를 확인하고, 모니터된 패킷에서 변하지 않은 필드를 비교함으로써, 한 쌍의 본래 패킷을 추출할 수 있다. 실시예에 따라서, 출처 분석부(240)가 상기 쌍을 찾는 경우, reached(554)를 true로 설정하고, 그렇지 않은 경우, 패킷이 손실된 것으로 간주하고 reached(554)를 false로 설정할 수 있다.
증거 생성부(213)는 패킷이 보안 라우팅 또는 접근 제어 정책을 위반하는 경우, 위반된 정책의 식별자를 SP(552) 또는 AC(553)에 저장할 수 있다.
본 발명의 실시예에 따른 보안 출처 제공 시스템(200)은 논리적 무결성 위반을 중간자 공격(Man-In-The-Middle attack)으로 간주하며, 이하에서는 도 6을 참조하여 무결성 위반에 대해 상세히 설명하고자 한다.
도 6은 본 발명의 실시예에 따른 논리적 무결성 위반을 설명하기 위해 도시한 것이다.
보다 상세하게는, 도 6은 호스트 A(610)와 호스트 B(630) 간의 네트워크에서, 전체적인 논리적 무결성 위반의 예를 나타내며, 공격자(620)는 동일한 MAC 주소를 갖지만 다른 IP 주소를 갖는 것을 특징으로 한다.
본 발명의 실시예에 따른 보안 출처 제공 시스템(200)의 출처 분석부(240)는 호스트 A(610)에서 공격자(620)로, 공격자(620)에서 호스트 B(630)로 연결되는 각 연결상의 두 개의 패킷이 동일한 불변 필드를 갖고, 두 연결의 호스트(610, 630)들 중 하나가 동일 MAC 구조를 가지나, 다른 IP 주소를 갖는 조건인 경우, ARP 스푸핑(spoofing) 공격으로 발생된 논리적 위반을 획득할 수 있다.
전술한 조건이 참인 경우, 출처 분석부(240)는 호스트(610, 630) 사이에 위치하는 노드를 공격자(620)로 간주할 수 있으며, 증거 생성부(213)는 도 5에서 LIntegrity(555)를 true로 설정하고, 각 증거 정보의 eID(511)를 상대방의 rID(551)로 설정한다. 이 때, rID(551)는 관련 증거 정보를 나타내는 참조 ID일 수 있다.
다시 도 2를 참조하면, 본 발명의 실시예에 따른 보안 출처 제공 시스템(200)의 그래프 구성부(Graph Constructor, 220)는 보안 출처 데이터를 이용하여 관계형 공격 히스토리 그래프(310)를 구성하며, 공격의 동작 시나리오를 구성한다.
그래프 구성부(220)는 호스트(host)와 연관된 보안 출처 데이터가 소모될 때까지 데이터 수집부(210)에서 증거 정보를 수신하여 공격 히스토리 그래프(310)를 재구성할 수 있다.
그래프 구성부(220)는 네트워크 관리자(110)로 정의된 특정 호스트 또는 보안에 관련된 네트워크 이벤트에서 시작하는 보안 출처 데이터의 인과관계를 분석하고, 악의적인 증상에 관련된 보안 출처 데이터가 소모될 때까지 공격 히스토리 그래프(310)를 재구성할 수 있다.
공격 히스토리 그래프(310)는 주체 및 객체를 갖는 일련의 히스토리적인 보안의 인과관계를 정의하며, 이는 데이터 변환 함수로 표현될 수도 있다.
이하에서는 도 7 내지 도 11을 참조하여 공격 히스토리 그래프(310)에 대해 상세히 설명하고자 한다.
도 7은 본 발명의 실시예에 따른 보안 문제의 인과관계를 설명하기 위해 도시한 것이다.
도 7을 참조하면, 엣지(edge)는 두 호스트들(710) 간의 보안관계를 나타내며, 직접 관계(Direct) 및 간접 관계(Indirect)를 포함한다.
각 엣지는 타임 스템프가 있는 증거 목록을 포함하는 증거 정보(evidence) 속성을 가진다. 또한, 노드(node)는 호스트(710, Host)를 나타내며, 보안관계의 주체 및 객체를 의미한다.
각 노드는 희생자(victim) 및 공격자(attacker) 상황(status)의 상태를 나타내고, 호스트(710)를 나타내는 고유한 식별자인 IP와 MAC 주소 쌍(a pair of IP and MAC address)을 나타낼 수 있다.
보안관계에서, 직접 관계는 인과관계를 나타내는 결정론적 증거 정보를 포함하며, 간접 관계는 보안관계를 주장할 결정론적 이유는 부족하지만, 공격자의 런타임 권한으로 객체 호스트의 CIA(confidentiality, 기밀성)에 잠재적으로 영향을 미칠 수 있다. 실시예에 따라서, 간접 관계는 잠재적인 보안 허점을 나타낼 수 있으며 예를 들어, 호스트(710)가 손상된 경우, 손상된 호스트에 대한 모든 연결은 디딤돌 공격(stepping stone attack)에 취약할 수 있다.
도 8은 본 발명의 실시예에 따른 공격 히스토리 그래프를 구성하는 과정을 도시한 것이다. 도 9는 상태 천이 다이어그램을 도시한 것이고, 도 10은 내재적 보안관계를 도시한 것이며, 도 11은 보안관계에 대한 목록의 표를 도시한 것이다.
도 8을 참조하면, 그래프 구성부(220)는 증거 생성부(213)에 증거 정보를 요청하고, 보안관계를 정의한다.
그래프 구성부(220)는 호스트를 나타내는 고유한 식별자인 IP와 MAC 주소 쌍(a pair of IP and MAC address)을 수신(810)하여 증거 정보를 수집할 수 있다(820). 이후, 그래프 구성부(220)는 보안관계를 생성하고(830), 생성된 보안관계를 공격 히스토리 그래프(850)에 반영하며, 도 11에 도시된 각 보안관계의 우선 순위(priority)에 따라 호스트 지점(vertex)의 상태(state)를 업데이트할 수 있다.
도 9는 각 보안관계의 In/Out에 따라 상태(state)를 구체화하는 상태 전이 다이어그램(state transition diagram)을 나타낸다.
도 9를 참조하면, 공격자(940)는 공격자의 런타임 권한을 추적하기 위하여 호스트의 리스트인 동적 공격자 리스트를 관리한다. 그 후, 그래프 구성부(Benign, 220)는 보안관계 내의 호스트(920)들 중 하나인 다음 타겟 호스트(910)를 각 보안관계의 우선 순위에 따라 선택한다. 타겟들을 검사하고 보안관계를 생성하며 공격 히스토리 그래프(850)를 반복적으로 업데이트한다.
그래프 구성부(220)는 도 9에 도시된 바와 같은 상태 전이 다이어그램을 통해 위협 전파 분석(threat propagation analysis, 840)을 수행하며, 검사할 타겟이 없는 경우, 본 발명의 실시예에 따른 보안 출처 제공 시스템(200)은 공격 히스토리 그래프(850)를 관리자(110)에게 전달한다.
이 때, 공격 히스토리 그래프(850)는 공격의 시간 순서 기록(chronicle)를 나타내며, 시간 순서의 보안관계는 공격 절차의 순서를 의미한다.
도 10은 손상된 중간 노드들을 통하여 권한 상승 공격(Privilege escalation)을 수행할 수 있음을 나타내는 내재적 보안관계를 나타낸다.
도 10은 공격자(940)가 중간 희생자(intermediary victim, 921, 922)를 거쳐 악의적인 행동을 하는 권한 상승(Privilege escalation)의 환경에서, 내재적 보안관계를 찾기 위한 알고리즘을 설명한다.
공격자(940)의 권한 상승에 따른 간접 관계의 도출을 위해서, 그래프 구성부(220)는 공격자 노드(940)로부터 attack to를 탐색(traverse)하고, 체인의 말단부터 모든 connect_to를 분석할 수 있다. 이후, 희생자(921, 922)가 공격자(940)에 의해 제어되는 상황인 경우, 그래프 구성부(220)는 희생자(921, 922)의 보안 정책 위반 여부에 따라 각 희생자(921, 922)의 implicit_ac_violate 및 implicit_sp_violate의 간접 관계를 정의할 수 있다.
도 12는 본 발명의 실시예에 따른 보안 문제의 근본적인 원인을 제공하기 위한 보안 출처 제공 방법의 흐름도를 도시한 것이다.
도 12의 방법은 도 1에 도시된 본 발명의 실시예에 따른 보안 출처 제공 시스템에 의해 수행된다.
도 12를 참조하면, 단계 1210에서, 동적 네트워크 환경에서, 보안에 관련된 네트워크 이벤트로 인한 패킷 및 네트워크 스냅샷을 포함하는 보안 출처 데이터를 수집하며, 보안 출처 데이터를 이용하여 증거 정보를 생성한다.
보안 출처 데이터는 상기 패킷과, 네트워크 토폴로지, 보안 정책, 네트워크 구조 및 포워딩(forwarding) 규칙 중 적어도 어느 하나 이상을 포함하는 네트워크 스냅샷을 포함할 수 있다.
단계 1210은 패킷을 미러링하는 제1 단계, 동적 네트워크 환경에서, 네트워크 변경 사항을 추적하고, 네트워크 스냅샷을 데이터베이스에 제공하는 제2 단계 및 보안 출처 데이터의 검사 결과에 기초하여 증거 정보를 생성하는 제3 단계를 포함할 수 있다.
이 때, 상기 제3 단계는 패킷을 이용하여 상기 보안 출처 데이터를 검사하는 단계를 통해 증거 정보를 생성할 수 있다.
단계 1220에서, 보안 출처 데이터를 이용하여 관계형 공격 히스토리 그래프를 구성하며, 공격의 동작 시나리오를 구성한다.
단계 1220은 호스트(host)와 연관된 보안 출처 데이터가 소모될 때까지 증거 정보를 수신하여 공격 히스토리 그래프를 재구성할 수 있다. 보다 세부적으로, 단계 1220은 네트워크 관리자로 정의된 특정 호스트 또는 보안에 관련된 네트워크 이벤트에서 시작하는 보안 출처 데이터의 인과관계를 분석하고, 악의적인 증상에 관련된 보안 출처 데이터가 소모될 때까지 공격 히스토리 그래프를 재구성하는 단계일 수 있다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 어플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (17)

  1. 동적 네트워크 환경에서, 보안에 관련된 네트워크 이벤트로 인한 패킷 및 네트워크 토폴로지, 보안 정책, 네트워크 구조 및 포워딩(forwarding) 규칙 중 적어도 어느 하나 이상을 포함하는 네트워크 스냅샷을 포함하는 보안 출처 데이터를 수집하며, 상기 보안 출처 데이터를 이용하여 증거 정보를 생성하는 데이터 수집부; 및
    호스트(host)와 연관된 상기 보안 출처 데이터가 소모될 때까지 상기 데이터 수집부에서 상기 증거 정보를 수신하여, 주체 및 객체를 갖는 일련의 히스토리적인 보안의 인과관계를 정의하는 관계형 공격 히스토리 그래프를 구성하며, 공격의 동작 시나리오를 구성하는 그래프 구성부
    를 포함하고,
    상기 데이터 수집부는
    상기 패킷을 미러링하는 패킷 모니터부;
    상기 동적 네트워크 환경에서, 네트워크 변경 사항을 추적하고, 상기 네트워크 스냅샷을 데이터베이스에 제공하는 네트워크 히스토리 레코더부; 및
    상기 패킷을 이용하여 상기 보안 출처 데이터를 검사하는 출처 분석부에서 수신되는 검사 결과를 기초로, 출구(egress) 및 입구(ingress) 스위치에서 수신되는 두 개의 패킷에 대해 전사적인(enterprise-wide) 보안 검사를 수행하여 상기 증거 정보를 생성하는 증거 생성부
    를 포함하며,
    상기 패킷 모니터부는
    2단계 패킷 캡쳐(two-phase packet capture, 2PC) 방법을 이용하여 상기 출구 및 입구 스위치에서 한 패킷을 두 번 미러링하는 것을 특징으로 하고,
    상기 출처 분석부는
    상기 출구 및 입구 스위치에서 수신되는 상기 두 개의 패킷을 비교하여 패킷의 조작 여부를 검사하며, 포렌식 정보 제공을 위해, 상기 보안 출처 데이터를 발생 순서대로 검사하는 것을 특징으로 하며,
    상기 그래프 구성부는
    네트워크 관리자로 정의된 특정 호스트 또는 상기 보안에 관련된 네트워크 이벤트에서 시작하는 상기 보안 출처 데이터의 인과관계를 분석하고, 악의적인 증상에 관련된 상기 보안 출처 데이터가 소모될 때까지 상기 공격 히스토리 그래프를 재구성하는 것을 특징으로 하는 보안 출처 제공 시스템.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 제1항에 있어서,
    상기 네트워크 히스토리 레코더부는
    상기 패킷이 모니터되는 동안 상기 네트워크 스냅샷을 수집하며, 보안 정책 및 네트워크 구조에 대한 내부 상태의 업데이트 또는 변화의 상태 변경에 따라 상기 네트워크 스냅샷을 상기 데이터베이스에 반영하는 보안 출처 제공 시스템.
  6. 제5항에 있어서,
    상기 네트워크 히스토리 레코더부는
    소프트웨어 정의 네트워킹(Software-Defined Networking, SDN) 기술을 이용하여 상기 동적 네트워크 환경에서의 상기 상태 변경을 추적하여 모니터링 규칙을 발생하는 출처 모니터링을 수행하는 보안 출처 제공 시스템.
  7. 삭제
  8. 삭제
  9. 삭제
  10. 삭제
  11. 보안 출처 제공 시스템-상기 보안 출처 제공 시스템은 데이터 수집부 및 그래프 구성부를 포함함-에 의해 수행되는 보안 출처 제공 방법에 있어서,
    상기 데이터 수집부가 동적 네트워크 환경에서, 보안에 관련된 네트워크 이벤트로 인한 패킷 및 네트워크 토폴로지, 보안 정책, 네트워크 구조 및 포워딩(forwarding) 규칙 중 적어도 어느 하나 이상을 포함하는 네트워크 스냅샷을 포함하는 보안 출처 데이터를 수집하며, 상기 보안 출처 데이터를 이용하여 증거 정보를 생성하는 단계; 및
    상기 그래프 구성부가 호스트(host)와 연관된 상기 보안 출처 데이터가 소모될 때까지 상기 데이터 수집부에서 상기 증거 정보를 수신하여, 주체 및 객체를 갖는 일련의 히스토리적인 보안의 인과관계를 정의하는 관계형 공격 히스토리 그래프를 구성하며, 공격의 동작 시나리오를 구성하는 단계
    를 포함하고,
    상기 증거 정보를 생성하는 단계는
    상기 패킷을 미러링하는 단계;
    상기 동적 네트워크 환경에서, 네트워크 변경 사항을 추적하고, 상기 네트워크 스냅샷을 데이터베이스에 제공하는 단계; 및
    상기 패킷을 이용하여 상기 보안 출처 데이터를 검사하는 단계를 통해, 출구(egress) 및 입구(ingress) 스위치에서 수신되는 두 개의 패킷에 대해 전사적인(enterprise-wide) 보안 검사를 수행하여 상기 증거 정보를 생성하는 단계
    를 포함하며,
    상기 패킷을 미러링하는 단계는
    2단계 패킷 캡쳐(two-phase packet capture, 2PC) 방법을 이용하여 상기 출구 및 입구 스위치에서 한 패킷을 두 번 미러링하는 것을 특징으로 하고,
    상기 패킷을 이용하여 상기 보안 출처 데이터를 검사하는 단계는
    상기 출구 및 입구 스위치에서 수신되는 상기 두 개의 패킷을 비교하여 패킷의 조작 여부를 검사하며, 포렌식 정보 제공을 위해, 상기 보안 출처 데이터를 발생 순서대로 검사하는 것을 특징으로 하며,
    상기 공격의 동작 시나리오를 구성하는 단계는
    네트워크 관리자로 정의된 특정 호스트 또는 상기 보안에 관련된 네트워크 이벤트에서 시작하는 상기 보안 출처 데이터의 인과관계를 분석하고, 악의적인 증상에 관련된 상기 보안 출처 데이터가 소모될 때까지 상기 공격 히스토리 그래프를 재구성하는 것을 특징으로 하는 보안 출처 제공 방법.
  12. 삭제
  13. 삭제
  14. 삭제
  15. 삭제
  16. 삭제
  17. 제11항의 방법을 수행하기 위하여 컴퓨터로 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램.
KR1020180059740A 2018-05-25 2018-05-25 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법 KR102131496B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180059740A KR102131496B1 (ko) 2018-05-25 2018-05-25 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180059740A KR102131496B1 (ko) 2018-05-25 2018-05-25 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20190134287A KR20190134287A (ko) 2019-12-04
KR102131496B1 true KR102131496B1 (ko) 2020-07-08

Family

ID=69004941

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180059740A KR102131496B1 (ko) 2018-05-25 2018-05-25 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR102131496B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230038913A (ko) * 2021-09-13 2023-03-21 한국과학기술원 공개출처정보 포렌식 시스템 및 그 동작 방법
KR20230075286A (ko) * 2021-11-22 2023-05-31 (주)에이펙스 이에스씨 공개출처정보와 스냅샷 사이의 링크 정보를 자동으로 생성하는 공개출처정보 포렌식 시스템 및 그 동작 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140222994A1 (en) * 2013-02-07 2014-08-07 International Business Machines Corporation Transparently tracking provenance information in distributed data systems
US20170223039A1 (en) * 2014-07-31 2017-08-03 Hewlett Packard Enterprise Development Lp Remediating a security threat to a network

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100457971B1 (ko) * 2002-09-06 2004-11-18 지승도 시뮬레이션 기반 네트워크 보안관리 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140222994A1 (en) * 2013-02-07 2014-08-07 International Business Machines Corporation Transparently tracking provenance information in distributed data systems
US20170223039A1 (en) * 2014-07-31 2017-08-03 Hewlett Packard Enterprise Development Lp Remediating a security threat to a network

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230038913A (ko) * 2021-09-13 2023-03-21 한국과학기술원 공개출처정보 포렌식 시스템 및 그 동작 방법
KR102518107B1 (ko) 2021-09-13 2023-04-05 한국과학기술원 공개출처정보 포렌식 시스템 및 그 동작 방법
KR20230075286A (ko) * 2021-11-22 2023-05-31 (주)에이펙스 이에스씨 공개출처정보와 스냅샷 사이의 링크 정보를 자동으로 생성하는 공개출처정보 포렌식 시스템 및 그 동작 방법
KR102600770B1 (ko) * 2021-11-22 2023-11-13 (주)에이펙스 이에스씨 공개출처정보와 스냅샷 사이의 링크 정보를 자동으로 생성하는 공개출처정보 포렌식 시스템 및 그 동작 방법

Also Published As

Publication number Publication date
KR20190134287A (ko) 2019-12-04

Similar Documents

Publication Publication Date Title
Chica et al. Security in SDN: A comprehensive survey
Al-Masri et al. A fog-based digital forensics investigation framework for IoT systems
Lohachab et al. Critical analysis of DDoS—An emerging security threat over IoT networks
Khan et al. Network forensics: Review, taxonomy, and open challenges
Zhang et al. An IoT honeynet based on multiport honeypots for capturing IoT attacks
CN106411562B (zh) 一种电力信息网络安全联动防御方法及系统
Deb et al. A comprehensive survey of vulnerability and information security in SDN
US11184374B2 (en) Endpoint inter-process activity extraction and pattern matching
Garg et al. Performance analysis of snort-based intrusion detection system
Di Sarno et al. A novel security information and event management system for enhancing cyber security in a hydroelectric dam
Ahmed et al. Modelling cyber security for software-defined networks those grow strong when exposed to threats: Analysis and propositions
Khan et al. Towards an applicability of current network forensics for cloud networks: A SWOT analysis
KR102131496B1 (ko) 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법
Rajasekaran et al. Classification and importance of intrusion detection system
Maskat et al. Mobile agents in intrusion detection system: review and analysis
Araújo et al. EICIDS-elastic and internal cloud-based detection system
Tayyebi et al. Cloud security through Intrusion Detection System (IDS): Review of existing solutions
Goyal et al. Application of Deep Learning in Honeypot Network for Cloud Intrusion Detection
Ibrahim et al. Sdn-based intrusion detection system
Mathov et al. Challenges for security assessment of enterprises in the IoT era
Rattanalerdnusorn et al. IoTDePT: Detecting security threats and pinpointing anomalies in an IoT environment
Sourour et al. Environmental awareness intrusion detection and prevention system toward reducing false positives and false negatives
Diaz-Honrubia et al. A trusted platform module-based, pre-emptive and dynamic asset discovery tool
Fanfara et al. Autonomous hybrid honeypot as the future of distributed computer systems security
Naaz et al. Enhancement of network security through intrusion detection

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant