KR102156600B1 - 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 - Google Patents

네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 Download PDF

Info

Publication number
KR102156600B1
KR102156600B1 KR1020190149575A KR20190149575A KR102156600B1 KR 102156600 B1 KR102156600 B1 KR 102156600B1 KR 1020190149575 A KR1020190149575 A KR 1020190149575A KR 20190149575 A KR20190149575 A KR 20190149575A KR 102156600 B1 KR102156600 B1 KR 102156600B1
Authority
KR
South Korea
Prior art keywords
packet
network
malware
endpoint computing
computing device
Prior art date
Application number
KR1020190149575A
Other languages
English (en)
Inventor
이현종
Original Assignee
(주)케이사인
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)케이사인 filed Critical (주)케이사인
Priority to KR1020190149575A priority Critical patent/KR102156600B1/ko
Application granted granted Critical
Publication of KR102156600B1 publication Critical patent/KR102156600B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • H04L43/106Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/31Flow control; Congestion control by tagging of packets, e.g. using discard eligibility [DE] bits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Abstract

네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법이 개시된다. 네트워크 백본에 연결된 복수의 엔드포인트 컴퓨팅 장치들 각각의 내부에 설치된 네트워크 필터 드라이버가, 실행중인 하나 이상의 프로세스들이 네트워크를 통해 다른 디바이스와 통신하기 위해 전송할 송신패킷을 전달받아 그 송신패킷의 헤더에 송신패킷을 전송하는 프로세스를 특정할 수 있는 TAG 정보를 부가한다. 네트워크 백본에 연결되어 복수의 엔드포인트 컴퓨팅 장치들과 통신 가능한 네트워크 모니터링 장치에 설치된 맬웨어 패킷 검출부가, 복수의 엔드포인트 컴퓨팅 장치가 전송하는 모든 송신패킷들을 미러링 방식으로 네트워크 백본을 통해 수집한다. 맬웨어 패킷 검출부가, 그 수집된 송신패킷들 중에서 비정상 행위를 하는 것으로 탐지된 맬웨어 송신패킷에 포함된 소스 IP 정보와 TAG 정보를 추출하여 맬웨어 송신패킷을 송신한 엔드포인트 컴퓨팅 장치와 프로세스를 특정한다. 이에 의해, 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성할 수 있다.

Description

네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법{System and method for creating association between packets collected in network and processes in endpoint computing device}
본 발명은 엔드포인트 컴퓨팅 장치의 보안 기술 분야에 관한 것으로, 보다 상세하게는 엔드포인트 컴퓨팅 장치들이 생성하는 맬웨어 송신패킷이 어떤 맬워어 프로세스에 의해 생성되었는지를 특정할 수 있는 시스템 및 방법에 관한 것이다.
컴퓨터 시스템에 맬웨어가 끼치는 해악은 점점 더 심각해지고 있다. 맬웨어에 의한 피해를 막기 위해서는 컴퓨터 시스템에 맬웨어가 침투하는 것을 원천적으로 차단할 필요가 있다. 하지만, 이것은 현실적으로 불가능하다. 컴퓨터 시스템에는 맬웨어가 침투해 있을 수 있다는 가정 하에 컴퓨터 시스템의 보안 대책을 마련할 필요가 있다. 이런 가정 하에, 컴퓨터 시스템에 이미 침투해 있는 맬웨어를 최대한 빨리 찾아내어 완전히 제거하는 것은 유효한 보안 대책 중의 한 가지가 될 수 있다.
도 1은 어떤 조직의 일반적인 컴퓨터 시스템 네트워크를 예시적으로 간략하게 도시한다. 그 컴퓨터 시스템 네트워크(10)는 일반적으로 다수의 엔드포인트 컴퓨팅 장치들(20, 30)이 네트워크 백본(40)을 통해 서로 통신가능하게 연결되어 있다. 엔드포인트 컴퓨팅 장치들(20, 30)은 그 조직의 사용자들이 사용하는 개인용 컴퓨터(PC)나 노트북, 핸드폰 등과 같은 컴퓨팅 장치들을 그 조직의 대외비 정보를 저장, 관리하는 데이터 저장소(50)도 네트워크 백본(40)에 연결될 수 있다.
컴퓨터 시스템 네트워크(10)를 공격하려는 공격자는 외부 네트워크에 존재하는 명령 및 제어 서버(Command & Control Server)(60)를 통해 어떤 엔드포인트 컴퓨팅 장치(20)에 맬웨어(22)를 침투시킬 수 있다. 그 맬웨어(22)는 엔트포인트 장치(20)에 존재하면서, 그 명령 및 제어 서버(60)와는 네트워크 백본(40)에 연결된 게이트웨이(45)와 인터넷(70)을 통해 통신할 수 있다.
엔드포인트 컴퓨팅 장치(20)에 침투해 있는 맬웨어(22)는 명령 및 제어 서버(60)가 하달하는 명령과 통제에 따라 엔드포인트 컴퓨팅 장치들(20, 30)을 비롯한 컴퓨터 시스템 네트워크(10) 내의 자원들에 대하여 여러 가지 비정상적인 행위를 수행할 수 있다.
비정상적인 행위 중의 한 가지 예로서, 엔드포인트 컴퓨팅 장치(20)에 침투해 있는 맬웨어(22)는 중요 정보가 저장된 장소 예컨대 데이터 저장소(50)를 찾아내어 침투하기 위해 네트워크 내부의 다른 엔드포인트 컴퓨팅 장치(30)로 이동(lateral movement)할 수도 있다.
맬웨어(22)의 또 다른 비정상적 행위로는, 내부 네트워크의 자원들에 대한 공격 명령을 받거나 그 자원들로부터 수집한 중요 정보를 네트워크 외부로 전송하기 위하여, 맬웨어(22)는 외부 네트워크에 존재하는 공격자 서버인 명령 및 제어(60)와 통신(C2C)을 할 수 있다. 즉, 맬웨어(22)는 명령 및 제어 서버(60)가 지시하는 행위를 수행하고 그 결과를 보고할 수 있다. 명령 및 제어 서버(60)는 엔드포인트 컴퓨팅 장치(20)에 침투해있는 맬웨어(22)에게 어떤 임무를 수행할 것을 지시하는 명령(command)을 하달할 수 있다. 그 명령에 응하여, 맬웨어(22)는 그 명령에 따른 임무를 수행하여 획득한 정보(information)나 임무 수행 결과를 명령 및 제어 서버(60)에게 전달할 수 있다.
종래에는 이러한 맬웨어(22)의 행위들을 탐지하기 위해 내부 네트워크에서 통신되는 패킷들을 모니터링하였다. 네트워크 백본(40)에 연결된 네트워크 모니터링 장치(70)가 미러링(mirroring)을 통해 통신되는 패킷들을 모두 제공받아 각 패킷을 분석한다. 분석 결과에 따라 비정상적인 행위를 하는 것으로 의심되는 패킷(맬웨어 패킷)을 찾아낼 수 있다. 종래의 방식에 의하면, 네트워크 모니터링 장치(70)는 그 맬웨어 패킷의 헤더에 포함된 소스 IP 주소 정보에 기초하여 해당 패킷이 어떤 엔드포인트 컴퓨팅 장치가 전송한 것인지는 알 수 있다. 즉, 종래의 방식은 송신되는 맬웨어 패킷에 포함된 IP주소 정보를 이용하여 어떤 엔드포인트 컴퓨팅 장치가 비정상적인 행위를 하려는 지는 알아낼 수 있다.
그런데 엔드포인트 컴퓨팅 장치(20, 24)들 각각에서는 같은 시간에 복수의 프로세스(P1, P2, P3, ...)가 동시에 실행 중일 수 있다. 소스 IP 주소 정보는 복수의 엔드포인트 컴퓨팅 장치들 중 하나의 엔드포인트 컴퓨팅 장치를 특정할 수는 있지만, 그 하나의 엔드포인트 컴퓨팅 장치에서 동시에 실행되고 있는 복수의 프로세스들 중에서 어떤 프로세스가 맬웨어 패킷을 전송한 프로세스인지를 특정할 수 없다. 일반적으로, 송신 패킷에는 그 패킷을 만들어 송신한 프로세스에 관한 정보가 포함되어 있지 않다. 맬웨어 패킷도 마찬가지이다. 맬웨어 패킷에는 자신을 생성하여 전송한 맬웨어 프로세스를 특정할 수 있는 정보가 포함되어 있지 않다.
엔드포인트 컴퓨팅 장치(20, 24)에 침투해 있는 맬웨어 프로세스를 최대한 빨리 찾아내지 못하면, 그 맬웨어 프로세스는 비정상적인 행위를 계속할 수 있다. 그로 인해 피해는 크게 확대될 수 있다.
본 발명의 일 목적은 내부 네트워크에 연결된 복수의 엔드포인트 컴퓨팅 장치들이 외부로 전송하는 송신 패킷을 모니터링 하여 비정상적인 행위를 하는 패킷이 검출될 때 그 패킷을 전송한 프로세스와 엔드포인트 컴퓨팅 장치를 실시간으로 특정할 수 있는 방법과 이를 위한 시스템을 제공하는 것이다.
본 발명이 해결하고자 하는 과제는 상술한 과제들에 한정되는 것이 아니며, 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위에서 다양하게 확장될 수 있을 것이다.
상기 본 발명의 목적을 실현하기 위한 실시예들에 따른 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템은 네트워크 필터 드라이버와 맬웨어 패킷 검출부를 포함한다. 상기 네트워크 필터 드라이버는 네트워크 백본에 연결된 복수의 엔드포인트 컴퓨팅 장치에 설치되어, 각 엔드포인트 컴퓨팅 장치에서 실행 중에 있는 하나 이상의 프로세스들이 네트워크를 통해 다른 디바이스와 통신하기 위해 전송하는 송신패킷을 전달받아 상기 송신패킷 내부에 상기 송신패킷을 전송하는 프로세스를 특정할 수 있는 태그(TAG) 정보를 부가하도록 구성된다. 상기 맬웨어 패킷 검출부는 상기 네트워크 백본에 연결되어 상기 복수의 엔드포인트 컴퓨팅 장치들과 통신 가능한 네트워크 모니터링 장치에 설치되어, 상기 복수의 엔드포인트 컴퓨팅 장치가 전송하는 모든 송신패킷들을 미러링 방식으로 상기 네트워크 백본을 통해 수집하고, 그 수집된 송신패킷들 중에서 비정상 행위를 하는 것으로 탐지된 맬웨어 송신패킷에 포함된 소스 IP 정보와 TAG 정보를 추출하여 상기 맬웨어 송신패킷을 송신한 엔드포인트 컴퓨팅 장치와 프로세스를 각각 특정할 수 있도록 구성된다.
예시적인 실시예들에 있어서, 상기 TAG 정보는 상기 송신패킷을 생성한 프로세스의 프로세스 식별자(PID) 정보, 상기 송신패킷을 생성한 프로세스의 부모 프로세스의 식별자(PPID) 정보, 그리고 상기 송신패킷이 생성된 시간 정보인 타임스탬프를 포함할 수 있다.
예시적인 실시예들에 있어서, 상기 TAG 정보는 상기 송신패킷의 IP 헤더의 옵션(Options) 영역에 기록될 수 있다.
예시적인 실시예들에 있어서, 상기 네트워크 필터 드라이버는 상기 엔드포인트 컴퓨팅 장치의 커널 영역 내에 설치된 네트워크 드라이버의 일 구성요소로서 제공될 수 있다.
예시적인 실시예들에 있어서, 상기 네트워크 필터 드라이버는 상기 TAG 정보의 추가에 따른 변경 내용에 맞춰 상기 IPv4(Internet Protocol, version 4) 헤더의 헤더 길이와 패킷의 총 길이, 그리고 헤더 체크섬(checksum)의 값을 조정하도록 구성될 수 있다.
예시적인 실시예들에 있어서, 상기 맬웨어 패킷 검출부는 패킷 저장부, 패킷 분석부, 그리고 프로세스 특정부를 포함할 수 있다. 상기 패킷 저장부는 수집된 송신패킷들을 저장하도록 구성될 수 있다. 상기 패킷 분석부는 맬웨어에 의한 비정상 행위를 위한 맬웨어 송신패킷인지 여부를 분석하도록 구성될 수 있다. 상기 프로세스 특정부는, 분석 결과에 따라 상기 맬웨어 송신패킷으로 판별된 경우, 그 판별된 맬웨어 송신패킷으로부터 소스 IP정보와 TAG 정보를 추출하여 상기 맬웨어 송신패킷을 송신한 엔드포인트 컴퓨팅 장치와 프로세스를 특정할 수 있도록 구성될 수 있다.
예시적인 실시예들에 있어서, 상기 송신패킷의 비정상 행위는 상기 엔드포인트 컴퓨팅 장치가 네트워크 외부의 공격자 서버와 통신하는 행위(C2C 행위) 및/또는 상기 네트워크 내부의 다른 컴퓨팅 장치에 침투하기 위한 내부망 이동(lateral movement) 행위를 포함할 수 있다.
한편, 상기 본 발명의 목적을 실현하기 위한 실시예들에 따른 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 방법은 컴퓨터 장치에서 실행되는 컴퓨터 프로그램을 이용하여 악성코드를 탐지하기 위한 방법이다. 상기 방법은, 네트워크 백본에 연결된 복수의 엔드포인트 컴퓨팅 장치들 각각의 내부에 설치된 네트워크 필터 드라이버가, 실행중인 하나 이상의 프로세스들이 네트워크를 통해 다른 디바이스와 통신하기 위해 전송할 송신패킷을 전달받아 상기 송신패킷 내부에 상기 송신패킷을 전송하는 프로세스를 특정할 수 있는 TAG 정보를 부가하는 단계; 상기 네트워크 백본에 연결되어 상기 복수의 엔드포인트 컴퓨팅 장치들과 통신 가능한 네트워크 모니터링 장치에 설치된 맬웨어 패킷 검출부가, 상기 복수의 엔드포인트 컴퓨팅 장치가 전송하는 모든 송신패킷들을 미러링 방식으로 상기 네트워크 백본을 통해 수집하는 단계; 및 상기 맬웨어 패킷 검출부가, 그 수집된 송신패킷들 중에서 비정상 행위를 하는 것으로 탐지된 맬웨어 송신패킷에 포함된 소스 IP 정보와 TAG 정보를 추출하여 상기 맬웨어 송신패킷을 송신한 엔드포인트 컴퓨팅 장치와 프로세스를 특정하는 단계를 포함한다.
예시적인 실시예들에 있어서, 상기 TAG 정보는 상기 송신패킷을 생성한 프로세스의 프로세스 식별자(PID) 정보, 상기 송신패킷을 생성한 프로세스의 부모 프로세스의 식별자(PPID) 정보, 그리고 상기 송신패킷이 생성된 시간 정보인 타임스탬프를 포함할 수 있다.
예시적인 실시예들에 있어서, 상기 TAG 정보는 상기 송신패킷의 IPv4 헤더의 옵션(Options) 영역에 기록될 수 있다.
예시적인 실시예들에 있어서, 상기 TAG 정보를 부가하는 단계는 상기 TAG 정보의 추가에 따른 변경 내용에 맞춰 상기 IPv4 헤더의 헤더 길이와 패킷의 총 길이, 그리고 헤더 체크섬(checksum)의 값을 조정하는 단계를 포함할 수 있다.
예시적인 실시예들에 있어서, 상기 특정하는 단계는, 수집된 송신패킷들을 패킷 저장부에 저장하는 단계; 상기 메모리에 저장된 송신패킷들이 맬웨어에 의한 비정상 행위를 위한 맬웨어 송신패킷인지 여부를 분석하는 단계; 그리고 분석 결과에 따라 상기 맬웨어 송신패킷으로 판별된 경우, 판별된 맬웨어 송신패킷으로부터 소스 IP정보와 TAG 정보를 추출하여 상기 맬웨어 송신패킷을 송신한 엔드포인트 컴퓨팅 장치와 프로세스를 특정하는 단계를 포함할 수 있다.
예시적인 실시예들에 있어서, 상기 네트워크 필터 드라이버는 상기 엔드포인트 컴퓨팅 장치의 커널 영역 내에 설치된 네트워크 드라이버의 일 구성요소로서 제공될 수 있다.
예시적인 실시예들에 있어서, 상기 송신패킷의 비정상 행위는 상기 엔드포인트 컴퓨팅 장치가 네트워크 외부의 공격자 서버와 통신하는 행위(C2C 행위) 및/또는 상기 네트워크 내부의 다른 컴퓨팅 장치에 침투하기 위한 내부망 이동(lateral movement) 행위를 포함할 수 있다.
상기 본 발명의 목적을 실현하기 위한 실시예들에 따르면, 위에서 언급된 예시적 실시예들에 따른 '네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 방법'을 수행하기 위하여 컴퓨터 판독 가능한 기록 매체에 저장된 컴퓨터 실행가능 프로그램이 제공될 수 있다.
또한, 위에서 언급된 예시적 실시예들에 따른 '네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 방법'을 수행하기 위한 컴퓨터 실행가능 프로그램이 기록된 컴퓨터 판독 가능한 기록 매체가 제공될 수 있다.
본 발명의 예시적인 실시예들에 따르면, 내부 네트워크에 연결된 복수의 엔드포인트 컴퓨팅 장치들이 외부로 전송하는 패킷에는 전송 전에 그 패킷의 송신을 요청한 프로세스를 특정할 수 있는 TAG 정보가 기입된다. 이에 의해, 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성할 수 있다.
그 전송되는 패킷은 미러링을 통해 맬웨어 패킷 검출부에 전달되고, 그 송신 패킷이 맬웨어 패킷인지 분석된다. 맬웨어 패킷으로 판별되면, 그 송신 패킷의 IP헤더에 추가되어 있는 IP 주소 정보와 TAG 정보에 의거하여, 어떤 엔드포인트 컴퓨팅 장치의 어떤 프로세스가 그 맬웨어 송신 패킷을 전송하였는지 알아낼 수 있다. 맬웨어 패킷을 생성하는 컴퓨터 장치와 프로세스를 특정할 수 있으므로, 그 맬웨어를 제거하거나 및/또는 그 맬웨어로 인한 피해를 최소화 할 수 있는 조치 등을 신속하게 수행할 수 있다. 이를 통해, 엔드포인트 컴퓨팅 장치의 보안을 강화할 수 있다.
도 1은 종래기술에 따라 일반적인 컴퓨터 시스템에서 맬웨어 프로세서를 검출하기 위한 환경을 예시적으로 나타낸 블록도이다.
도 2는 본 발명의 예시적인 실시예에 따라 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하여 맬웨어 프로세스를 탐지하기 위한 시스템의 구성을 나타낸 블록도이다.
도 3은 본 발명의 예시적인 실시예에 따라 TAG 정보가 추가된 IPv4 패킷의 예시적인 포맷을 나타낸다.
도 5는 본 발명의 예시적인 실시예에 따라 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하여 맬웨어 프로세스를 탐지하기 위한 방법을 설명하기 위한 흐름도이다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
본문에 개시되어 있는 본 발명의 실시예들에 대해서, 특정한 구조적 내지 기능적 설명들은 단지 본 발명의 실시예를 설명하기 위한 목적으로 예시된 것이다. 본 발명의 실시예들은 다양한 형태로 실시될 수 있으며, 본문에 설명된 실시예들에 한정되는 것으로 해석되어서는 안 된다. 즉, 본 발명은 다양한 변경을 가할 수 있고, 여러 가지 형태를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 본문에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 개시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 발명에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다. 또한, 제1, 제2 등의 용어는 다양한 구성요소들을 설명하는 데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
도 2는 본 발명의 예시적인 실시예에 따라 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하기 위한 시스템(90)을 나타낸다.
도 2를 참조하면, 연관관계 생성 시스템(90)은 네트워크 필터 드라이버(100)와 맬웨어 패킷 검출부(210)를 포함할 수 있다.
네트워크 필터 드라이버(100)는 네트워크 백본(40)에 연결된 복수의 엔드포인트 컴퓨팅 장치(20, 30)에 설치될 수 있다. 네트워크 필터 드라이버(100)는 엔드포인트 컴퓨팅 장치(20)의 커널 영역(26) 내에 설치된 네트워크 드라이버(120)의 일 구성요소로서 제공될 수 있다. 즉, 네트워크 필터 드라이버(100)는 각 엔드포인트 컴퓨팅 장치(20)의 커널 영역(26)에서 실행될 수 있다.
네트워크 필터 드라이버(100)는 각 엔드포인트 컴퓨팅 장치(20)의 사용자 영역(24)에서 실행되고 있는 하나 이상의 프로세스들(P1, P2, P3)이 전송하는 송신패킷을 전달받아 그 송신패킷 내부에 그 송신패킷을 전송하는 프로세스를 특정할 수 있는 TAG 정보를 부가하도록 구성될 수 있다. 각 엔드포인트 컴퓨팅 장치(20)가 전송하는 송신패킷은 네트워크 백본(40)을 통해 네트워크 내부의 다른 장치(30) 또는 외부 네트워크의 다른 장치 예컨대 명령 및 제어 서버(60)와 통신하기 위해 전송하는 패킷일 수 있다.
예시적인 실시예에서, 상기 TAG 정보는 다음과 같은 세 가지 정보를 포함할 수 있다: (i) 송신패킷을 생성한 프로세스의 프로세스 식별자(Process ID: PID) 정보, (ii) 송신패킷을 생성한 프로세스의 부모 프로세스의 식별자(Parent Process ID: PPID) 정보, 그리고 (iii) 송신패킷이 생성된 시간 정보인 타임스탬프(Timestamp). 타임스탬프 정보와 PID 정보는 맬웨어 패킷을 송신한 프로세스를 특정할 수 있다. 맬웨어 패킷을 송신한 프로세스의 부모 프로세스도 맬웨어 패킷의 생성과 송신에 관여된 프로세스일 수도 있다. 예컨대 그 부모 프로세스 역시 맬웨어 프로세스이거나 백도어 방식으로 해당 맬웨어 프로세스를 조종하는 프로세스일 수도 있고, 경우에 따라서는 일반적인 정상 프로세스일 수도 있다. 그러므로 PPID 정보를 이용하여 그 부모 프로세스를 알아내어 과연 그 부모 프로세스가 유해한 작용을 하는 프로세스인지를 파악할 필요가 있다. 어떤 맬웨어 프로세스의 PPID 정보를 알 수 있기 때문에, 하나의 맬웨어 프로세스를 발견하면, 그것의 부모 프로세스를 끝까지 추적하여 유해한 프로세스를 모두 찾아낼 수 있다.
각 엔드포인트 컴퓨팅 장치(20, 30)는 외부와의 통신을 위해 예컨대 랜카드 등과 같은 네트워크 인터페이싱 카드(network interfacing card: NIC)(130)를 포함할 수 있다.
도 3은 본 발명의 예시적인 실시예에 따라 TAG 정보가 추가된 IPv4 패킷의 예시적인 포맷을 나타낸다.
네트워크 필터 드라이버(100)는 네트워크 레이어에서 작용할 수 있다. 네트워크 레이어에 생성되는 IPv4 패킷(150)은 크게 IP 페이로드와 IP 헤더를 포함한다. IP 페이로드는 애플리케이션 레이어에서 생성되는 데이터(140)와 트랜스포트 레이어에서 부가되는 TCP/UDP 헤더 정보를 포함할 수 있다. 상기 TAG 정보(160)는 IPv4 패킷(150)의 IP 헤더에 포함될 수 있다.
IPv4 표준에 따르면, IP 헤더는 IPv4 헤더의 헤더 길이와 패킷의 총 길이, 그리고 헤더 체크섬(checksum)의 값, 소스(source) IP 주소, 목적지(destination) IP 주소 등의 정보를 기록하는 영역과, 사용자들이 필요에 따라 활용할 수 있는 옵션 영역(Options)(300)을 포함한다. 상기 TAG 정보(160)는 IP 헤더 영역 중에서도 특히 옵션 영역(300)에 기록될 수 있다. 그 옵션 영역(300)은 40바이트로 제공될 수 있다. TAG 정보(160)의 타임스탬프용으로 8바이트, PID용으로 4바이트, PPID용으로 4바이트를 각각 사용할 수 있다. 옵션 영역(300)은 TAG 정보(160) 기록용으로 사용하고도 24바이트가 남는다.
네트워크 필터 드라이버(100)는 IPv4 패킷(150)의 IP 헤더의 옵션 영역(300)에 TAG 정보(160)를 추가함에 따른 변경 내용에 맞춰 IPv4 헤더의 헤더 길이와 패킷의 총 길이, 그리고 헤더 체크섬(checksum)의 값을 조정하도록 구성될 수 있다.
맬웨어 패킷 검출부(210)는 네트워크 모니터링 장치(200)에 설치될 수 있다. 맬웨어 패킷 검출부(210)는 소프트웨어로 구현될 수 있다. 네트워크 모니터링 장치(200)는 네트워크 백본(40)에 연결되어 복수의 엔드포인트 컴퓨팅 장치들(20, 22')과 통신할 수 있다. 네트워크 모니터링 장치(200)는 네트워크 백본(40)을 통해 전송되는 내부 네트워크의 모든 패킷(170, 180)을 미러링 방식으로 수신할 수 있는 네트워크 장비일 수 있다.
네트워크 모니터링 장치(200)에서 실행되고 있는 맬웨어 패킷 검출부(210)는 복수의 엔드포인트 컴퓨팅 장치(20, 20')가 외부로 전송하는 모든 송신패킷들(170, 180)을 미러링 방식으로 네트워크 백본(40)을 통해 수집할 수 있다. 엔드포인트 컴퓨팅 장치(20)가 외부로 전송하는 송신패킷의 예로는, 내부 네트워크에 연결된 다른 장비들, 예컨대 다른 엔드포인트 컴퓨팅 장치(30)로 보내지는 송신패킷(180)과, 게이트웨이(45)와 인터넷(70)을 통해 연결되는 외부 네트워크의 다른 컴퓨팅 장치들, 예컨대 명령 및 제어 서버(60)와 통신하기 위한 송신패킷(170)이 있을 수 있다.
맬웨어 패킷 검출부(210)는 그 수집된 송신패킷들(170, 180) 중에서 소위 비정상 행위를 하는 것으로 탐지된 패킷(이하, '맬웨어 송신패킷'이라 함)을 탐지할 수 있다. 그리고 맬웨어 패킷 검출부(210)는 맬웨어 송신패킷이 탐지된 경우, 그 맬웨어 송신패킷의 IP헤더에 포함된 소스 IP 정보와 TAG 정보를 추출하여 상기 맬웨어 송신패킷을 송신한 엔드포인트 컴퓨팅 장치(20)와 프로세스(22)를 각각 특정할 수 있도록 구성될 수 있다.
송신패킷(170, 180)의 비정상 행위는 엔드포인트 컴퓨팅 장치(20)가 맬웨어에 의해 네트워크 외부의 공격자 서버, 예컨대 명령 및 제어 서버(60)와 통신하는 행위(C2C 행위) 및/또는 상기 네트워크 내부의 다른 컴퓨팅 장치(30)에 침투하기 위한 내부망 이동(lateral movement) 행위를 포함할 수 있다.
예시적인 실시예에서, 맬웨어 패킷 검출부(210)는 패킷 저장부(212), 패킷 분석부(214), 그리고 프로세스 특정부(216)를 포함할 수 있다. 패킷 저장부(212)는 미러링을 통해 수집된 송신패킷들을 저장하도록 구성될 수 있다. 패킷 분석부(214)는 맬웨어에 의한 비정상 행위를 위한 맬웨어 송신패킷인지 여부를 분석하도록 구성될 수 있다. 프로세스 특정부(216)는 패킷 분석부(214)에 의한 분석 결과에 따라 맬웨어 송신패킷으로 판별된 경우, 그 판별된 맬웨어 송신패킷으로부터 소스 IP정보와 TAG 정보를 추출하여 그 맬웨어 송신패킷을 송신한 엔드포인트 컴퓨팅 장치(20)와 프로세스(22)를 특정할 수 있도록 구성될 수 있다.
다음으로, 도 4의 흐름도는 본 발명의 예시적인 실시예에 따라 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치(20)의 프로세스(P1, P2, P3) 간의 연관관계를 생성하여 맬웨어 프로세스(22)를 탐지하기 위한 방법을 나타낸다.
이 방법은 컴퓨터 장치에서 실행되는 컴퓨터 프로그램을 이용하여 악성코드를 탐지하기 위해 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 방법이다. 이 방법은 도 2의 연관관계 생성 시스템(90)에서 수행될 수 있다.
도 4를 참조하면, 엔드포인트 컴퓨팅 장치(20)의 사용자 영역(24)에서는 복수의 프로세스들(P1, P2, P3)들이 실행 중에 있는 경우를 고려한다. 하나 이상의 프로세스들(P1, P2, P3)들은 원하는 데이터를 원하는 목적지로 전송하기 위한 요청을 할 수 있다(S10). 그와 같은 요청을 하는 프로세스(P1, P2, P3)는 시스템 콜(110) 함수를 호출할 수 있다. 시스템 콜(110) 함수는 응용프로그램에서 운영체제에게 상기 데이터를 지정된 목적지로 전송하는 일을 수행해달라고 요청할 수 있다. 사용자 프로세스(P1, P2, P3)가 시스템 콜(110)을 요청하면 제어가 커널로 넘어간다.
커널 영역(26)에서는, 전송 요청된 데이터(140)를 넘겨받아 트랜스포트 레이어에서 통신프로토콜에 따라 예컨대 TCP 헤더 또는 UDP 헤더를 부가한 다음, 네트워크 레이어의 네트워크 드라이버(120)에 전달될 수 있다. 네트워크 드라이버(120)는 전달받은 페이로드(payload)에 IP헤더를 부가할 수 있다(S20). 네트워크 드라이버(120)가 부가하는 IP 헤더는 앞에서 설명한 것처럼 도 5에 예시된 포맷으로 구성된 정보를 포함할 수 있다. 즉, IP 헤더는 소스 IP 주소와 목적지 IP 주소를 포함할 수 있다.
필터 드라이버(100)는 IP 헤더가 부가된 패킷(150)을 네트워크 드라이버(120)로부터 받아서 그 IP 헤더의 옵션 영역(300)에 TAG 정보(160)를 더 부가할 수 있다(S30). 그 TAG 정보(160)는 해당 데이터의 송신을 요청한 사용자 프로세스를 특정할 수 있는 정보를 포함할 수 있다. 즉, 앞에서 언급하였듯이, 그 부가되는 TAG 정보는 송신패킷을 전달받은 시간 정보인 타임스탬프, 송신패킷을 보낸 프로세스의 프로세스 식별자(PID), 송신패킷을 보낸 프로세스의 부모 프로세스 식별자(PPID)를 포함할 수 있다.
TAG 정보(160)를 포함한 IP 헤더가 부가된 패킷은 데이터링크 레이어에서 소스 및 목적지 MAC 주소를 포함하는 이더넷 헤더까지 부가되어 송신패킷으로 생성될 수 있다. 그 송신 패킷(170, 180)은 해당 엔드포인트 컴퓨팅 장치(20)의 네트워크 인터페이싱 카드(Network Interfacing Card: NIC)(130)를 통해 외부로 전송될 수 있다(S40).
엔드포인트 컴퓨팅 장치(20)가 외부로 전송하는 송신 패킷들 중에는 목적지 IP 주소가 내부 네트워크의 다른 컴퓨팅 장치, 예컨대 다른 엔드포인트 컴퓨팅 장치(30)인 송신패킷(180)이 있을 수 있고, 목적지 IP 주소가 외부 네트워크의 다른 컴퓨팅 장치, 예컨대 명령 및 제어 서버(60)인 송신패킷(170)이 있을 수도 있다. 외부로 전송되는 모든 송신 패킷(170, 180)들은 네트워크 백본(40)을 통해 목적지 IP 주소로 전송될 수 있다. 이 때, 네트워크 모니터링 장치(200)는 미러링 방식으로 네트워크 백본(40)을 통해 전송되는 모든 송신 패킷(170, 180)들을 수신할 수 있다. 그 수신된 송신 패킷(170, 180)들은 맬웨어 패킷 검출부(210)에 전달될 수 있다(S50).
맬웨어 패킷 검출부(210)에서는 전달받은 송신 패킷(170, 180)들을 우선 패킷 저장부(212)에 저장한다. 패킷 분석부(214)는 패킷 저장부(212)에 저장된 송신 패킷들(170, 180)을 분석하여 맬웨어 패킷인지 여부를 판별할 수 있다. 어떤 패킷이 맬웨어 패킷인지 여부를 판별하는 방법은 이미 다양하게 알려져 있다. 본 발명의 실시를 위해서는 기존에 알려진 방법들 중에서 또는 앞으로 알려질 방법들 중에서 적절한 것을 채택하여 사용할 수 있다. 맬웨어 패킷인지 여부를 판별하는 방법은 본 발명의 핵심 주제는 아니므로 여기서는 그에 관한 상세한 설명은 생략하기로 한다.
패킷 분석부(214)는 송신 패킷들을 분석한 결과 맬웨어 패킷으로 판별된 송신 패킷이 있으면 그 송신 패킷을 프로세스 특정부(216)에 전달할 수 있다. 프로세스 특정부(216)는 맬웨어 패킷으로 판별된 그 송신 패킷의 IP 헤더에서 소스 IP 주소 정보와, 옵션 영역(300)에 기록되어 있는 TAG 정보(160)를 읽어낼 수 있다. 프로세스 특정부(216)는 읽어낸 TAG 정보(160)에 포함된 타임스탬프 정보, 프로세스 식별자(PID) 정보, 그리고 부모 프로세스 식별자(PPID) 정보를 분석할 있다(S60). 타임스탬프 정보는 상기 송신패킷을 전달받은 시간 정보일 수 있다. PID 정보는 상기 송신패킷을 보낸 프로세스의 식별자 정보일 수 있다. 부모 프로세스 식별자(PPID) 정보는 상기 송신패킷을 보낸 프로세스의 부모 프로세스의 식별자 정보일 수 있다.
프로세스 특정부(216)는 맬웨어 송신패킷의 소스 IP 주소 정보에 의거하여 내부 네트워크에 연결된 여러 컴퓨팅 장치들 중에서 그 맬웨어 송신패킷을 전송한 엔드포인트 컴퓨팅 장치(20)를 특정할 수 있다.
나아가, 프로세서 특정부(216)는 맬웨어 송신패킷에 포함된 TAG 정보(160)에 포함된 프로세스 ID(PID)와 타임스탬프에 의거여, 특정된 엔드포인트 컴퓨팅 장치(20)에서 실행되고 있는 복수의 프로세스들(P1, P2, P3) 중에서 그 맬웨어 송신패킷을 생성하여 전송한 하나의 프로세스(22, P1)를 특정할 수 있다(S70).
맬웨어 패킷을 송신한 프로세스의 부모 프로세스도 맬웨어 패킷의 생성과 송신에 관여된 프로세스로 의심할 수 있다. TAG 정보(160)에는 그 맬웨어 송신패킷을 송신한 프로세스(22, P1)의 부모 프로세스 식별자(PPID)정보도 포함되어 있으므로, 그 PPID 정보에 기초하여, 맬웨어 프로세스(22, P1)의 부모 프로세스를 연쇄적으로 끝까지 추적할 수 있다. PPID를 이용하여 그 부모 프로세스가 과연 유해한 프로세스인지(예컨대, 맬웨어 프로세스인지 또는 맬웨어 프로세스를 백도어 방식으로 조종하는 프로세스인지) 여부를 분석할 수 있다.
맬웨어 프로세스가 검출되면, 그 맬웨어 프로세스에 의한 피해 확산을 차단하기 위한 조치를 즉각적으로 실시할 수 있다. 이를 위해, 맬웨어 패킷 검출부(210)는 맬웨어 프로세스로 특정되는 PID 정보와 타임스탬프 정보를 해당 엔드포인트 컴퓨팅 장치(20)에 전달하여 그 맬웨어 프로세스가 더 이상 작동하지 못하도록 하는 조치를 취하게 할 수 있다(S80).
위의 실시예에서는 IPv4의 인터넷 주소 체계를 예로 하여 설명하였다. 하지만, 본 발명은 상위 버전의 인터넷 주소 체계인 IPv6에도 적용될 수 있음은 물론이다.
이상에서 설명한 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 방법은 하드웨어 구성요소와 소프트웨어 구성요소의 조합으로 구현될 수 있다. 하드웨어 구성요소는 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 처리 장치를 이용하여 구현될 수 있다. 그 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다.
소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다. 실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
본 발명은 맬웨어 등으로부터 엔드포인트 컴퓨터 장치들을 안전하게 보호하기 위한 엔드포인트 보안 장치, 네트워크 보안 시스템 등에 널리 이용될 수 있다.
이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다. 그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.
20, 30: 엔트포인트 컴퓨팅 장치 22: 맬웨어 프로세스
P1, P2, P3: 프로세스 24: 사용자 영역
26: 커널 영역 40: 네트워크 백본
60: 명령 및 제어 서버 100: 필터 드라이버
120: 네트워크 드라이버 170, 180: 송신 패킷
200: 네트워크 모니터링 장치 210: 맬웨어 패킷 검출부
212: 패킷 저장부 214: 패킷 분석부
216: 프로세스 특정부

Claims (16)

  1. 네트워크 백본에 연결된 복수의 엔드포인트 컴퓨팅 장치에 설치되어, 각 엔드포인트 컴퓨팅 장치에서 실행 중에 있는 하나 이상의 프로세스들이 네트워크를 통해 다른 디바이스와 통신하기 위해 전송하는 송신패킷을 전달받아 상기 송신패킷의 IP 헤더의 옵션(Options) 영역에 상기 송신패킷을 전송하는 프로세스를 특정할 수 있는 TAG 정보를 삽입하도록 구성된 네트워크 필터 드라이버; 및
    상기 네트워크 백본에 연결되어 상기 복수의 엔드포인트 컴퓨팅 장치들과 통신 가능한 네트워크 모니터링 장치에 설치되어, 상기 복수의 엔드포인트 컴퓨팅 장치가 전송하는 모든 송신패킷들을 미러링 방식으로 상기 네트워크 백본을 통해 수집하고, 그 수집된 송신패킷들 중에서 비정상 행위를 하는 것으로 탐지된 맬웨어 송신패킷에 포함된 소스 IP 정보와 TAG 정보를 추출하여 상기 맬웨어 송신패킷을 송신한 엔드포인트 컴퓨팅 장치와 프로세스를 각각 특정할 수 있도록 구성된 맬웨어 패킷 검출부를 구비하고,
    상기 TAG 정보는 상기 송신패킷을 생성한 프로세스의 프로세스 식별자(PID) 정보, 상기 송신패킷을 생성한 프로세스의 부모 프로세스의 식별자(PPID) 정보, 그리고 상기 송신패킷이 생성된 시간 정보인 타임스탬프를 포함하는 것을 특징으로 하는 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템.
  2. 삭제
  3. 삭제
  4. 제1항에 있어서, 상기 네트워크 필터 드라이버는 상기 엔드포인트 컴퓨팅 장치의 커널 영역 내에 설치된 네트워크 드라이버의 일 구성요소로서 제공되는 것을 특징으로 하는 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템.
  5. 제1항에 있어서, 상기 네트워크 필터 드라이버는 상기 TAG 정보의 추가에 따른 변경 내용에 맞춰 상기 IPv4 헤더의 헤더 길이와 패킷의 총 길이, 그리고 헤더 체크섬(checksum)의 값을 조정하도록 구성된 것을 특징으로 하는 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템.
  6. 제1항에 있어서, 상기 맬웨어 패킷 검출부는 수집된 송신패킷들을 저장하도록 구성된 패킷 저장부; 맬웨어에 의한 비정상 행위를 위한 맬웨어 송신패킷인지 여부를 분석하도록 구성된 패킷 분석부; 그리고 분석 결과에 따라 상기 맬웨어 송신패킷으로 판별된 경우, 그 판별된 맬웨어 송신패킷으로부터 소스 IP정보와 TAG 정보를 추출하여 상기 맬웨어 송신패킷을 송신한 엔드포인트 컴퓨팅 장치와 프로세스를 특정할 수 있도록 구성된 프로세스 특정부를 포함하는 것을 특징으로 하는 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템.
  7. 제1항에 있어서, 상기 송신패킷의 비정상 행위는 상기 엔드포인트 컴퓨팅 장치가 네트워크 외부의 공격자 서버와 통신하는 행위(C2C 행위) 및/또는 상기 네트워크 내부의 다른 컴퓨팅 장치에 침투하기 위한 내부망 이동(lateral movement) 행위를 포함하는 것을 특징으로 하는 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템.
  8. 컴퓨터 장치에서 실행되는 컴퓨터 프로그램을 이용하여 악성코드를 탐지하기 위한 방법으로서,
    네트워크 백본에 연결된 복수의 엔드포인트 컴퓨팅 장치들 각각의 내부에 설치된 네트워크 필터 드라이버가, 실행중인 하나 이상의 프로세스들이 네트워크를 통해 다른 디바이스와 통신하기 위해 전송할 송신패킷을 전달받아 상기 송신패킷의 IP 헤더의 옵션(Options) 영역에 상기 송신패킷을 전송하는 프로세스를 특정할 수 있는 TAG 정보를 삽입하는 단계;
    상기 네트워크 백본에 연결되어 상기 복수의 엔드포인트 컴퓨팅 장치들과 통신 가능한 네트워크 모니터링 장치에 설치된 맬웨어 패킷 검출부가, 상기 복수의 엔드포인트 컴퓨팅 장치가 전송하는 모든 송신패킷들을 미러링 방식으로 상기 네트워크 백본을 통해 수집하는 단계; 및
    상기 맬웨어 패킷 검출부가, 그 수집된 송신패킷들 중에서 비정상 행위를 하는 것으로 탐지된 맬웨어 송신패킷에 포함된 소스 IP 정보와 TAG 정보를 추출하여 상기 맬웨어 송신패킷을 송신한 엔드포인트 컴퓨팅 장치와 프로세스를 특정하는 단계를 포함하고,
    상기 TAG 정보는 상기 송신패킷을 생성한 프로세스의 프로세스 식별자(PID) 정보, 상기 송신패킷을 생성한 프로세스의 부모 프로세스의 식별자(PPID) 정보, 그리고 상기 송신패킷이 생성된 시간 정보인 타임스탬프를 포함하는 것을 특징으로 하는 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 방법.
  9. 삭제
  10. 제8항에 있어서, 상기 TAG 정보는 상기 송신패킷의 IPv4 헤더의 옵션(Options) 영역에 기록되는 것을 특징으로 하는 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 방법.
  11. 제8항에 있어서, 상기 TAG 정보를 부가하는 단계는 상기 TAG 정보의 추가에 따른 변경 내용에 맞춰 상기 IPv4 헤더의 헤더 길이와 패킷의 총 길이, 그리고 헤더 체크섬(checksum)의 값을 조정하는 단계를 포함하는 것을 특징으로 하는 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 방법.
  12. 제8항에 있어서, 상기 특정하는 단계는, 수집된 송신패킷들을 패킷 저장부에 저장하는 단계; 메모리에 저장된 송신패킷들이 맬웨어에 의한 비정상 행위를 위한 맬웨어 송신패킷인지 여부를 분석하는 단계; 분석 결과에 따라 상기 맬웨어 송신패킷으로 판별된 경우, 판별된 맬웨어 송신패킷으로부터 소스 IP정보와 TAG 정보를 추출하여 상기 맬웨어 송신패킷을 송신한 엔드포인트 컴퓨팅 장치와 프로세스를 특정하는 단계를 포함하는 것을 특징으로 하는 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 방법.
  13. 제8항에 있어서, 상기 네트워크 필터 드라이버는 상기 엔드포인트 컴퓨팅 장치의 커널 영역 내에 설치된 네트워크 드라이버의 일 구성요소로서 제공되는 것을 특징으로 하는 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 방법.
  14. 제8항에 있어서, 상기 송신패킷의 비정상 행위는 상기 엔드포인트 컴퓨팅 장치가 네트워크 외부의 공격자 서버와 통신하는 행위(C2C 행위) 및/또는 상기 네트워크 내부의 다른 컴퓨팅 장치에 침투하기 위한 내부망 이동(lateral movement) 행위를 포함하는 것을 특징으로 하는 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 방법.
  15. 제8항, 제10항 내지 제14항 중 어느 한 항에 기재된 '네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 방법'을 수행하기 위하여 컴퓨터 판독 가능한 기록 매체에 저장된 컴퓨터 실행가능 프로그램.
  16. 제8항, 제10항 내지 제14항 중 어느 한 항에 기재된 '네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 방법'을 수행하기 위한 컴퓨터 실행가능 프로그램이 기록된 컴퓨터 판독 가능한 기록 매체.
KR1020190149575A 2019-11-20 2019-11-20 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 KR102156600B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190149575A KR102156600B1 (ko) 2019-11-20 2019-11-20 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190149575A KR102156600B1 (ko) 2019-11-20 2019-11-20 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR102156600B1 true KR102156600B1 (ko) 2020-09-16

Family

ID=72669598

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190149575A KR102156600B1 (ko) 2019-11-20 2019-11-20 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR102156600B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000031147A (ko) * 1998-11-03 2000-06-05 서평원 파일 전송 프로토콜에 대한 네트워크 주소 변환 적용 방법
KR20120106641A (ko) * 2011-03-16 2012-09-26 삼성에스디에스 주식회사 시스템 온 칩 기반의 패킷 필터링을 제공할 수 있는 디바이스 및 패킷 필터링 방법
KR101938415B1 (ko) * 2014-12-22 2019-01-15 한국전자통신연구원 비정상 행위 탐지 시스템 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000031147A (ko) * 1998-11-03 2000-06-05 서평원 파일 전송 프로토콜에 대한 네트워크 주소 변환 적용 방법
KR20120106641A (ko) * 2011-03-16 2012-09-26 삼성에스디에스 주식회사 시스템 온 칩 기반의 패킷 필터링을 제공할 수 있는 디바이스 및 패킷 필터링 방법
KR101938415B1 (ko) * 2014-12-22 2019-01-15 한국전자통신연구원 비정상 행위 탐지 시스템 및 방법

Similar Documents

Publication Publication Date Title
EP3127301B1 (en) Using trust profiles for network breach detection
US11153341B1 (en) System and method for detecting malicious network content using virtual environment components
JP5972401B2 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
KR101109393B1 (ko) 소프트웨어 취약성의 이용을 방지하기 위한 통신 메시지 필터링 방법 및 시스템
KR102580898B1 (ko) Dns 메시지를 사용하여 컴퓨터 포렌식 데이터를 선택적으로 수집하는 시스템 및 방법
JP2017534105A (ja) 分散型トラフィック管理システムおよび技術
JP5920169B2 (ja) 不正コネクション検出方法、ネットワーク監視装置及びプログラム
JP7388613B2 (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
WO2018131199A1 (ja) 結合装置、結合方法および結合プログラム
US20160337385A1 (en) Network monitoring method and network monitoring device
JP6092759B2 (ja) 通信制御装置、通信制御方法、および通信制御プログラム
KR102156600B1 (ko) 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법
CN114629714B (zh) 蜜罐和沙箱相互增强的恶意程序行为处理方法及系统
JP2014063349A (ja) マルウェア検出装置および方法
US10250625B2 (en) Information processing device, communication history analysis method, and medium
US20200059486A1 (en) Information processing apparatus, recording medium recording network monitoring program, and network monitoring method
US10581916B2 (en) System and method for identifying cyber-attacks
JP5738042B2 (ja) ゲートウェイ装置、情報処理装置、処理方法およびプログラム
JP6101525B2 (ja) 通信制御装置、通信制御方法、通信制御プログラム
TWI764618B (zh) 網路資安威脅防護系統及相關的前攝性可疑網域示警系統
JP5986695B2 (ja) 情報処理装置、処理方法およびプログラム
JP5456636B2 (ja) ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム
JP5893787B2 (ja) 情報処理装置、処理方法およびプログラム
KR102015897B1 (ko) 악성 코드 분석을 위한 모조 응답 패킷을 생성하는 네트워크 접속 유도 방법
WO2020255185A1 (ja) 攻撃グラフ加工装置、方法およびプログラム

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant