KR102239762B1 - 암호화 트래픽 가시성을 제공하는 패킷 기반 위협 탐지 방법 - Google Patents
암호화 트래픽 가시성을 제공하는 패킷 기반 위협 탐지 방법 Download PDFInfo
- Publication number
- KR102239762B1 KR102239762B1 KR1020190106483A KR20190106483A KR102239762B1 KR 102239762 B1 KR102239762 B1 KR 102239762B1 KR 1020190106483 A KR1020190106483 A KR 1020190106483A KR 20190106483 A KR20190106483 A KR 20190106483A KR 102239762 B1 KR102239762 B1 KR 102239762B1
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- yara
- detection
- threat
- rule
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/30—Arrangements for executing machine instructions, e.g. instruction decode
- G06F9/30003—Arrangements for executing specific machine instructions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H04L67/2861—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/59—Providing operational support to end devices by off-loading in the network or by emulation, e.g. when they are unavailable
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/10—Streamlined, light-weight or high-speed protocols, e.g. express transfer protocol [XTP] or byte stream
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 암호화 트래픽 가시성을 제공하는 패킷 기반 위협 탐지 방법에 관합니다.
본 발명의 방법은 패킷 기반 위협 탐지 장치의 침입 탐지 엔진이 위협을 탐지하여 탐지된 트래픽 데이터를 차단하는 단계와, YARA 탐지 엔진이 침입 탐지 엔진에 의해 위협이 탐지되지 않은 트래픽 데이터를 재탐지하는 단계를 포함하고, 상기 YARA 탐지 엔진의 YARA 룰이 상기 FPGA(Field Programmable Gate Array)의 내부 로직으로 업로드되어 FPGA를 통해 지나가는 패킷들의 헤더값과 패이로드에 있는 모든 데이터를 실기간으로 매칭하는 단계를 더 포함하는 것을 특징으로 합니다.
본 발명의 방법은 패킷 기반 위협 탐지 장치의 침입 탐지 엔진이 위협을 탐지하여 탐지된 트래픽 데이터를 차단하는 단계와, YARA 탐지 엔진이 침입 탐지 엔진에 의해 위협이 탐지되지 않은 트래픽 데이터를 재탐지하는 단계를 포함하고, 상기 YARA 탐지 엔진의 YARA 룰이 상기 FPGA(Field Programmable Gate Array)의 내부 로직으로 업로드되어 FPGA를 통해 지나가는 패킷들의 헤더값과 패이로드에 있는 모든 데이터를 실기간으로 매칭하는 단계를 더 포함하는 것을 특징으로 합니다.
Description
본 발명은 컴퓨터 네트워크의 보안에 관한 것으로, 특히 고속 트래픽 내 암호화 패킷의 보안에 관한 것이다.
현대의 정보화 사회에서 정보를 얻거나 공유하기 위해 컴퓨터 네트워크가 사용된다. 스마트폰이나 데스크톱 혹은 노트북 컴퓨터를 이용하여 인트라넷 또는 인터넷 등의 네트워크에 접속하여 서버로부터 정보를 획득하거나 서버에 정보를 업로드하여 정보를 공유하는 것이다.
이렇게 수많은 사용자가 접속하여 엄청난 양의 정보를 주고받다 보면 악의적인 사용자에 의한 정보 탈취나 서버 공격 시도가 항상 존재하게 마련이다.
그러한 네트워크의 비정상적인 공격이나 해킹시도를 막기 위해 SSL(Secure Socket Layer) 등의 보안 기술이 개발되어 사용되어 왔다. SSL은 웹 서버와 사용자의 브라우저 간에 암호화된 링크를 사용함으로써 전송되는 모든 데이터를 비공개로 유지할 수 있는 기술이다. 하지만 SSL 기술을 사용하면 데이터의 보안을 유지할 수 있지만 보안을 위한 데이터 탐지가 필요한 경우 복호화를 할 수 없는 문제가 다시 발생한다.
따라서 종래기술의 보안 장비들은 이러한 암호화된 데이터들을 탐지하기 위해 암호화 트래픽 가시성을 위한 기능들을 제공해야 한다. 종래기술들의 암호화 트래픽 가시성 제공 시스템은 크게 세 가지 기능을 가지고 있다. 첫째로 암호화 트래픽을 복호화(평문화)하는 기능, 둘째로 복호화된 트래픽에 대한 침입탐지/방지시스템(Intrusion Detection/Prevention System)에서 사용하는 규칙(Rule)을 기반으로 위협을 탐지/차단하는 기능, 셋째로 복호화된 트래픽에 파일이 포함되어 있는 경우 트래픽을 모두 조합하여 완전한 파일을 생성한 후 파일이 악성파일인지 여부를 탐지하는 기능이다.
그런데 이렇게 암호화 트래픽 내의 모든 파일들을 탐지/차단하려면 파일이 포함된 모든 트래픽을 조합하여 탐지하여야 하므로 종래기술에서는 상당한 시간과 컴퓨팅 파워가 필요하다. 특히 네트워크 트래픽은 실시간으로 탐지와 차단이 이루어져야 하므로 시간과 성능의 문제는 결국 비용의 상승으로 연결되는 문제가 발생한다.
본 발명의 발명자들은 이러한 문제점들에 대해 깊이 고민한 끝에 암호화 패킷 내의 파일에 대한 보다 효과적인 탐지와 차단을 위한 장치 및 방법에 관한 본 발명을 완성하기에 이르렀다.
본 발명의 목적은 고속 트래픽 내에서 실시간으로 암호화 패킷을 분리하고 식별하여 악성코드(맬웨어 파일)을 탐지하고 차단하는 방법을 제공함에 있다.
고속 트래픽 내에서 실시간으로 악성코드를 탐지하기 위해서는 상당한 비용 및 시간이 소요된다. 따라서 본 발명의 또 다른 목적은 고속 트래픽 내의 실시간 악성코드 탐지 시간을 줄임으로써 시간과 비용을 절감할 수 있는 암호화 트래픽 가시성 제공 탐지방법을 구현함에 있다.
한편, 본 발명의 명시되지 않은 또 다른 목적들은 하기의 상세한 설명 및 그 효과로부터 용이하게 추론할 수 있는 범위 내에서 추가적으로 고려될 것이다.
위와 같은 과제를 달성하기 위해 본 발명은 FPGA(Field Programmable Gate Array) 기반으로 암호화 트래픽 가시성을 제공하는 패킷 기반 위협 탐지 방법으로서, 패킷 기반 위협 탐지 장치는 암호화된 네트워크 트래픽 데이터를 인증서를 이용하여 복호화하는 암호화 트래픽 복호화 엔진와, 상기 복호화된 트래픽 데이터에 대하여 미리 정해진 침입탐지룰을 적용하여 위협을 탐지하여 차단하는 침입 탐지 엔진과, 상기 침입 탐지 엔진에서 위협이 탐지되지 않은 트래픽 데이터에 대해, 상기 트래픽 데이터를 모두 조합하여 완전한 파일로 생성하는 것이 아니라, 패킷 기반으로 YARA룰을 적용하여 위협을 재탐지하는 패킷 기반 YARA 탐지 엔진을 포함하며:
상기 패킷 기반 위협 탐지 장치의 상기 침입 탐지 엔진이 위협을 탐지하여 탐지된 트래픽 데이터를 차단하고, 상기 YARA 탐지 엔진이 상기 침입 탐지 엔진에 의해 위협이 탐지되지 않은 트래픽 데이터를 재탐지하되, 상기 YARA 탐지 엔진의 상기 YARA 룰이 상기 FPGA의 내부 로직으로 업로드되어 상기 FPGA를 통해 지나가는 패킷들의 헤더값과 패이로드에 있는 모든 데이터를 실기간으로 매칭하는 단계를 포함하는 것을 특징으로 한다.
또한, 본 발명의 바람직한 어느 실시예에 따른 암호화 트래픽 가시성 제공을 통한 패킷 기반 위협 탐지 방법에 있어서, 상기 YARA룰을 적용하여 트래픽 데이터의 위협을 재탐지하는 단계는, 표준 YARA 룰의 세부 구성을 미리 정해진 패킷 기반 YARA룰의 세부 구성으로 변형하여 업데이트하며 업데이트된 YARA 룰에 의해 패킷 각각에 대해 시그니쳐 메터데이터 탐지, 시그니쳐 스트링 탐지 및 시그니쳐 조건 탐지를 수행하는 것이 좋다.
또한, 본 발명의 바람직한 어느 실시예에 따른 암호화 트래픽 가시성 제공을 통한 패킷 기반 위협 탐지 방법에 있어서, 상기 패킷 기반 YARA 탐지 엔진은:
패킷 기반으로 YARA 스트링을 정의하는 스트링 정의부;
패킷 기반 YARA 룰의 조건을 정의하는 조건 정의부; 및
표준 YARA룰을 패킷 기반 YARA 룰 구조로 변경하는 YARA룰 번역기;를 포함하는 것이 좋다.
또한, 본 발명의 바람직한 어느 실시예에 따른 암호화 트래픽 가시성 제공을 통한 패킷 기반 위협 탐지 방법에 있어서, 상기 암호화 트래픽 복호화 엔진, 침입탐지 엔진 또는 패킷 기반 YARA 탐지 엔진은 FPGA(Field Programmable Gate Array)의 하드와이어드(Hardwired) 로직에 의해 하드웨어를 통해 실행되는 것이 좋다.
위와 같은 본 발명의 과제해결수단에 의해서 본 발명은 파일이 포함된 암호화 트래픽을 모두 조합하지 않고서도 축약된 YARA 패턴을 이용하여 실시간으로 악성코드를 탐지/차단할 수 있는 효과가 있다.
또한, 파일이 포함된 암호화 트래픽을 모두 조합하지 않으므로 악성코드 탐지에 걸리는 시간을 종래기술보다 훨씬 단축할 수 있고, 따라서 동일한 성능의 차단 시스템의 가격을 낮출 수 있는 효과가 있다.
한편, 여기에서 명시적으로 언급되지 않은 효과라 하더라도, 본 발명의 기술적 특징에 의해 기대되는 이하의 명세서에서 기재된 효과 및 그 잠정적인 효과는 본 발명의 명세서에 기재된 것과 같이 취급됨을 첨언한다.
도 1은 본 발명의 바람직한 어느 실시예에 따른 전체 시스템의 구조도이다.
도 2는 본 발명의 바람직한 어느 실시예에 따른 패킷 기반 YARA 탐지 엔진의 구조도이다.
도 3은 본 발명의 바람직한 어느 실시예에 따른 패킷 기반 YARA룰 적용의 한 예이다.
도 4는 본 발명의 바람직한 다른 실시예에 따른 위협탐지 방법의 흐름도이다.
도 5는 본 발명의 바람직한 또 다른 실시예에 따른 하드웨어 보드의 개략적인 구조도이다.
※ 첨부된 도면은 본 발명의 기술사상에 대한 이해를 위하여 참조로서 예시된 것임을 밝히며, 그것에 의해 본 발명의 권리범위가 제한되지는 아니한다.
도 2는 본 발명의 바람직한 어느 실시예에 따른 패킷 기반 YARA 탐지 엔진의 구조도이다.
도 3은 본 발명의 바람직한 어느 실시예에 따른 패킷 기반 YARA룰 적용의 한 예이다.
도 4는 본 발명의 바람직한 다른 실시예에 따른 위협탐지 방법의 흐름도이다.
도 5는 본 발명의 바람직한 또 다른 실시예에 따른 하드웨어 보드의 개략적인 구조도이다.
※ 첨부된 도면은 본 발명의 기술사상에 대한 이해를 위하여 참조로서 예시된 것임을 밝히며, 그것에 의해 본 발명의 권리범위가 제한되지는 아니한다.
이하, 도면을 참조하여 본 발명의 다양한 실시예가 안내하는 본 발명의 구성과 그 구성으로부터 비롯되는 효과에 대해 살펴본다. 본 발명을 설명함에 있어서 관련된 공지기능에 대하여 이 분야의 기술자에게 자명한 사항으로서 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다.
도 1은 본 발명의 바람직한 어느 실시예에 따른 암호화 트래픽 가시성 제공을 통한 패킷 기반 위협 탐지 장치의 개략적인 구조도이다.
본 발명에 따른 위협 탐지 장치는 다양한 형태로 구현될 수 있다. 컴퓨터 기반의 장치를 이용하여 소프트웨어적으로 구현할 수도 있고, 전용의 하드웨어를 구성하여 구현할 수 있다. 본 발명의 위협 탐지 장치는 FPGA(Field Programmable Gate Array)를 이용하여 구현할 수 있다. FPGA는 프로그램 가능한 반도체로 한 번 제작하면 수정이 불가능한 주문형 반도체(Application Specific Integrated Circuit, ASIC)와는 달리 사용자가 필요에 따라 설계한 하드웨어를 구현할 수 있는 특징이 있다. 논리소자에 의해 하드웨어 반도체로 구현하기 때문에 소프트웨어적인 구현보다 훨씬 속도가 빠른 장점이 있다.
본 발명의 바람직한 어느 실시예에 따른 암호화 트래픽 가시성을 제공하는 패킷 기반 위협 탐지 장치(10)는 암호화 트래픽 복호화 엔진(110), 침입 탐지 엔진(120) 및 패킷 기반 YARA 탐지 엔진(130)으로 구성된다.
암호화 트래픽 복호화 엔진(110)은 SSL(Secure Socket Layer), HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer) 등으로 암호화된 트래픽 데이터를 복호화한다. 즉, 비문을 평문으로 변환하는 것이다.
SSL은 보안 소켓 계층으로 인터넷상 데이터를 안전하게 전송하기 위한 통신 규약이다. 웹 브라우저와 웹 서버 사이에 데이터를 안전하게 주고받기 위한 업계 표준 프로토콜로 미국 넷스케이프 커뮤니케이션스사가 개발했으며, 웹 뿐만 아니라 파일 전송 규약(FTP) 등 다른 TCP/IP 애플리케이션에 적용할 수 있다. SSL은 인증 암호화 기능이 있다.
HTTPS는 소켓 통신에서 일반 텍스트를 이용하는 대신에 SSL이나 TLS 프로토콜을 통해 세션 데이터를 암호화하여 전송한다. 따라서 데이터의 적절한 보호를 보장할 수 있다. HTTPS의 기본 TCP/IP 포트는 443이다.
SSL 또는 HTTPS 복호화는 해당 인증서(112)를 이용하여 이루어진다. 각 트래픽 세션의 세션정보를 생성, 삭제 또는 갱신하고, 인증되지 않은 트래픽 데이터는 차단하고 로그를 기록한다.
암호화되지 않은 트래픽 데이터는 암호화 트래픽 복호화 엔진(110)에서 바이패스(bypass)하여 침입 탐지 엔진(120)으로 전달된다.
침입탐지 엔진(120)은 복호화된 트래픽 데이터 혹은 암호화되지 않아 바이패스된 트래픽 데이터에 대해 침입탐지룰(122) 기반으로 위협을 탐지한다. 위협이 감지된 트래픽 데이터는 차단하고 탐지로그(20)에 기록을 남긴다. 위협이 감지되지 않은 트래픽 데이터는 YARA 탐지엔진(130)으로 전달한다.
패킷기반 YARA탐지엔진(130)은 침입탐지 엔진(120)에서 위협이 탐지되지 않은 트래픽 데이터에 YARA룰(132)을 적용하여 맬웨어 등 위협을 탐지하게 된다.
이처럼 침입탐지 엔진(120)의 침입탐지룰(122)에 의해 1차 위협을 탐지한 다음, 패킷기반 YARA 탐지 엔진(130)의 YARA 룰(132)에 의해 2차 위협을 재탐지하는 이중적인 순차적인 프로세스에 의해 위협을 탐지한다. 침입탐지룰(122)은 침입탐지룰임을 알리는 정보, 룰 이름으로 사용될 문자 또는 숫자(최소/최대 길이 적용, 예컨대 최소 3자, 최대 200자)로 구성되는 룰 이름, 상중하로 구분하여 적용되는 위험도를 알리는 위험도, 어떤 방식으로 탐지된 패킷을 처리할지에 대한 대응방식, 헤더 및 탐지구문으로 구성되는 시그니쳐로 구성될 수 있다. 반면 야라 룰(132)은 야라 룸임을 알리는 정보, 룰 이름으로 사용될 문자 또는 숫자(최소/최대길이 적용, 예를 들어 최소 3자, 최대 200자), 상중하로 구분하여 적용되는 위험도를 알리는 위험도, 그리고 시그니쳐 메타데이터, 시그니쳐 스트링 및 시그니쳐 조건을 포함하는 시그니쳐로 구성될 수 있다.
도 2는 패킷기반 YARA탐지엔진(130)의 구조도이다.
패킷기반 YARA탐지엔진(130)은 스트링 정의부(134), 조건 정의부(136) 및 YARA룰 번역기(138)를 포함한다.
스트링 정의부(134)는 패킷 기반의 YARA 스트링을 정의한다. 각 스트링은 1패킷 사이즈로 한정하고, 스트링은 문자열 스트링(Text String)과 헥사 스트링(Hexa String)으로 한정한다. 스트링에서 Perl 기반 정규표현식(PCRE)은 지원하지 않고, 정규 표현식은 와일드카드(*)와 물음표(?)만 지원한다. 와이드 스트링(Wide String) 또한 지원 가능하다.
조건 정의부(136)는 패킷기반 YARA룰의 조건(Condition)을 정의한다. 가능한 조건으로는 1. All of them, 2. Any of them, 3. AND, 등이 있다. OR에 대해서는 각 스트링으로 룰을 분할하게 되고, 패킷 기반으로 조건을 정의하기 때문에 파일사이즈 조건은 지원하지 않게 된다.
스트링 정의부(134) 또는 조건 정의부(136)에서 YARA 추가 모듈 옵션(PE, ELF, Cuckoo, Magic, HASH, MATH)은 지원하지 않는다.
YARA룰 번역기(138)는 스트링 정의부(134)와 조건 정의부(136)에서 표준 YARA룰을 패킷 기반으로 정의한 패킷기반 YARA룰 정의를 패킷기반 YARA 탐지엔진(130)에서 처리할 수 있도록 변경하고 최적화한다.
예컨대 본 발명의 바람직한 어느 실시예에 있어서 YARA 룰 번역기(138)는 표준 YARA 룰 테이블에서 룰 이름은 도 3의 룰 번호(310)로 대응되도록 번역하고, 위험도는 1번 스트링으로 대응되도록 한다. 또한 시그니쳐 메타데이터는 2번과 3번 스트링으로, 시그니쳐 나머지 스트링으로, 시그니쳐 조건은 도 3의 조건(330)으로 대응되도록 번역하여 YARA 룰을 업데이트한다.
특히 본 발명의 바람직한 어느 실시예에 있어서, 표준 YARA 테이블의 각 구성이 YARA 룰 번역기에 입력되면 YARA 룰이 FPGA에 인식되어 탐지과정을 수행하기 쉬운 구조로 세부 룰들로 분리된다.
이렇게 축약된 야라 룰은 FPGA의 내부 로직으로 업로드 되어 FPGA를 통해 지나가는 패킷들의 헤더값과 패이로드에 있는 모든 데이터를 바이트기준으로 실시간으로 매칭하여 FPGA에 로딩되어 있는 YARA룰들에 맞는 조건을 찾게 된다.
표준 YARA룰을 위와 같이 번역하여 업데이트함으로써 표준 YARA룰을 축약하거나 변형해도 동일한 탐지 결과를 얻을 수 있다는 데 그 장점이 있다. 따라서 패킷 기반으로 표준 YARA룰을 변형해도 표준 YARA룰과 동일한 탐지가 가능하다.
이와 같이 업데이트된 YARA룰을 이용해서 본 발명의 바람직한 YARA 탐지엔진은 각각 헤더와 패이로드로 구성되는 N개(N은 1보다 큰 정수)의 패킷 각각에 대해 시그니쳐 메타데이터 탐지, 시그니쳐 스트링 탐지, 시그니쳐 조건 탐지를 실행한다.
도 3은 이렇게 번역된 패킷기반 YARA룰 구조를 나타낸다.
YR#1~YR#3(310)은 YARA룰 번호를 나타낸다. 각 YARA룰 내에는 스트링값(320)과 YARA룰 매치 조건(Condition, 330)이 포함된다.
이 패킷기반 YARA룰을 적용한 결과 패킷 데이터(Packet Payload)의 패킷들에는 각각 YARA룰과 매치된 YARA룰 ID 번호인 YR ID#1~2(340)이 표시된다.
본 발명의 패킷기반 YARA룰 탐지엔진(130)은 이처럼 고속의 전용 하드웨어에 의해 패킷 단위의 스트링 매치 검사를 수행한다. 패킷 단위로 각각의 YARA룰의 조건(330)에 부합하는 패킷은 차단함으로써 위협이 있는 파일의 유입을 원천적으로 차단하는 기능을 수행한다. 차단된 패킷은 전체 파일의 조합을 위해 애플리케이션 레이어로 전달된다. YARA룰에 탐지와 차단이 이루어지면 탐지로그(20)에 기록을 남긴다.
도 4는 이상의 암호화 트래픽 가시성 제공을 통한 패킷 기반 위협 탐지 장치(10)에 의해 위협을 탐지하는 방법에 대한 흐름도이다.
우선 SSL, HTTPS 등으로 암호화된 트래픽 데이터를 인증서를 사용하여 복호화한다(S10). 암호화되지 않은 트래픽 데이터는 복호화 하지 않고 다음 단계로 전달된다.
복호화된 트래픽 데이터 혹은 암호화되지 않은 트래픽 데이터는 침입탐지룰을 적용(S20)하여 위협을 탐지한다(S30). 그런 다음, 위협이 탐지되면 패킷을 차단하고(S60) 로그를 기록하게 된다.
다음으로, 침입탐지룰을 적용하여 위협을 탐지하지 못한 경우에는, YARA룰을 적용(S40)하여 위협을 다시 한번 탐지한다(S50). YARA룰 적용을 위해 패킷기반의 YARA 스트링을 미리 정의하고, 패킷기반 YARA룰의 조건을 미리 정의한 다음 패킷기반 YARA룰 번역기를 이용하여 표준 YARA룰을 변형한다. 패킷기반 YARA룰로 변형하여 적용하는 프로세스에 대해서는 앞서 설명한 바와 같다. 위협이 탐지되면 패킷을 차단(S60)하고 로그를 기록한다.
도 5는 본 발명에 따른 암호화 트래픽 가시성 제공을 통한 패킷 기반 위협 탐지 장치(10)가 FPGA 보드에 구성된 경우의 전체 모듈의 구조도이다. HTTPS로 암호화된 트래픽 혹은 암호화되지 않은 트래픽 모두 위협 탐지가 가능하다.
암화화 트래픽 복호화 엔진(110)은 도시 예에서 SSL Traffic Handling Module에 대응한다. 또한, Network Attack Mediation Module 및 Active Session Management Module은 침입탐지 엔진(120)과 패킷 기반 YARA 탐지 엔진에 중첩적으로 대응된다.
이상과 같은 본 발명에 따르면 패킷단위로 YARA룰을 적용함으로써 실시간으로 암호화된 패킷의 가시성 제공을 통한 위협의 탐지가 가능하고, 전용의 FPGA 하드웨어 설계로 소프트웨어로 처리하는 것보다 훨씬 빠른 위협 탐지가 가능하므로 위협탐지 시간을 줄일 수 있는 효과가 있다.
한편, 도시되어 있지는 않지만, 본 발명의 패킷 기반 위협 탐지 장치는 하나 이상의 프로세서와 메모리를 포함할 수 있으며, 기능을 구현하고 성능을 향상시키기 위한 여러 하드웨어 및/또는 소프트웨어 모듈이 더해질 수 있다. 또한, 본 발명은 위에서 설명한 바와 같이, FPGA를 포함하는 하드웨어 모듈 기반으로 실행됨으로써 더 신속하고 더 정확한 악성 모듈 탐지가 가능해진다.
참고로, 본 발명의 일 실시예에 따른 암호화된 패킷의 가시성 제공을 통한 위협탐지방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독가능매체에 기록될 수 있다. 상기 컴퓨터 판독가능매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.
컴퓨터 판독가능매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체, 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함될 수 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급언어코드를 포함한다. 상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
본 발명의 보호범위가 이상에서 명시적으로 설명한 실시예의 기재와 표현에 제한되는 것은 아니다. 또한, 본 발명이 속하는 기술분야에서 자명한 변경이나 치환으로 말미암아 본 발명이 보호범위가 제한될 수도 없음을 다시 한 번 첨언한다.
Claims (4)
- FPGA(Field Programmable Gate Array) 기반으로 암호화 트래픽 가시성을 제공하는 패킷 기반 위협 탐지 방법으로서, 패킷 기반 위협 탐지 장치는 암호화된 네트워크 트래픽 데이터를 인증서를 이용하여 복호화하는 암호화 트래픽 복호화 엔진와, 상기 복호화된 트래픽 데이터에 대하여 미리 정해진 침입탐지룰을 적용하여 위협을 탐지하여 차단하는 침입 탐지 엔진과, 상기 침입 탐지 엔진에서 위협이 탐지되지 않은 트래픽 데이터에 대해, 상기 트래픽 데이터를 모두 조합하여 완전한 파일로 생성하는 것이 아니라, 패킷 기반으로 YARA룰을 적용하여 위협을 재탐지하는 패킷 기반 YARA 탐지 엔진을 포함하며:
상기 패킷 기반 위협 탐지 장치의 상기 침입 탐지 엔진이 위협을 탐지하여 탐지된 트래픽 데이터를 차단하고, 상기 YARA 탐지 엔진이 상기 침입 탐지 엔진에 의해 위협이 탐지되지 않은 트래픽 데이터를 재탐지하되, 상기 YARA 탐지 엔진의 상기 YARA 룰이 상기 FPGA의 내부 로직으로 업로드되어 상기 FPGA를 통해 지나가는 패킷들의 헤더값과 패이로드에 있는 모든 데이터를 실시간으로 매칭하는 단계를 포함하고,
상기 패킷 기반 YARA 탐지 엔진은:
패킷 기반으로 YARA 스트링을 정의하는 스트링 정의부;
패킷 기반 YARA 룰의 조건을 정의하는 조건 정의부; 및
표준 YARA룰을 패킷 기반 YARA 룰 구조로 변경하는 YARA룰 번역기;를 포함하는 암호화 트래픽 가시성 제공을 통한 패킷 기반 위협 탐지 방법.
- 제1항에 있어서,
상기 YARA룰을 적용하여 트래픽 데이터의 위협을 재탐지하는 단계는, 표준 YARA 룰의 세부 구성을 미리 정해진 패킷 기반 YARA룰의 세부 구성으로 변형하여 업데이트하며 업데이트된 YARA 룰에 의해 패킷 각각에 대해 시그니쳐 메터데이터 탐지, 시그니쳐 스트링 탐지 및 시그니쳐 조건 탐지를 수행하는 것인, 암호화 트래픽 가시성을 제공하는 패킷 기반 위협 탐지 방법.
- 삭제
- 제1항에 있어서,
상기 암호화 트래픽 복호화 엔진, 침입탐지 엔진 또는 패킷 기반 YARA 탐지 엔진은 FPGA(Field Programmable Gate Array)의 하드와이어드(Hardwired) 로직에 의해 하드웨어를 통해 실행되는 것인, 암호화 트래픽 가시성 제공을 통한 패킷 기반 위협 탐지 방법.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20180119226 | 2018-10-05 | ||
| KR1020180119226 | 2018-10-05 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20200039551A KR20200039551A (ko) | 2020-04-16 |
| KR102239762B1 true KR102239762B1 (ko) | 2021-04-13 |
Family
ID=70454578
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020190106483A KR102239762B1 (ko) | 2018-10-05 | 2019-08-29 | 암호화 트래픽 가시성을 제공하는 패킷 기반 위협 탐지 방법 |
| KR1020190106481A KR102152313B1 (ko) | 2018-10-05 | 2019-08-29 | 고속 트래픽 내 실시간 암호화 패킷 분리 식별 기술과 식별된 패킷에 대한 야라 탐지 기술 연동 기법과 장치 |
| KR1020190106476A KR102152309B1 (ko) | 2018-10-05 | 2019-08-29 | 야라 탐지 기술과 연동하여 암호화 트래픽 가시성을 제공하는 패킷 기반 위협 탐지 방법 |
Family Applications After (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020190106481A KR102152313B1 (ko) | 2018-10-05 | 2019-08-29 | 고속 트래픽 내 실시간 암호화 패킷 분리 식별 기술과 식별된 패킷에 대한 야라 탐지 기술 연동 기법과 장치 |
| KR1020190106476A KR102152309B1 (ko) | 2018-10-05 | 2019-08-29 | 야라 탐지 기술과 연동하여 암호화 트래픽 가시성을 제공하는 패킷 기반 위협 탐지 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (3) | KR102239762B1 (ko) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101816045B1 (ko) * | 2016-11-29 | 2018-01-08 | 주식회사 엔에스에이치씨 | 악성코드 룰셋을 이용한 악성코드 탐지 시스템 및 방법 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101268104B1 (ko) * | 2006-06-15 | 2013-05-29 | 주식회사 엘지씨엔에스 | 침입방지시스템 및 그 제어방법 |
-
2019
- 2019-08-29 KR KR1020190106483A patent/KR102239762B1/ko active IP Right Grant
- 2019-08-29 KR KR1020190106481A patent/KR102152313B1/ko active IP Right Grant
- 2019-08-29 KR KR1020190106476A patent/KR102152309B1/ko active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101816045B1 (ko) * | 2016-11-29 | 2018-01-08 | 주식회사 엔에스에이치씨 | 악성코드 룰셋을 이용한 악성코드 탐지 시스템 및 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102152313B1 (ko) | 2020-09-04 |
| KR20200039551A (ko) | 2020-04-16 |
| KR102152309B1 (ko) | 2020-09-04 |
| KR20200039549A (ko) | 2020-04-16 |
| KR20200039550A (ko) | 2020-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3169032B1 (en) | System and method of encrypted transmission of web pages | |
| Jakimoski | Security techniques for data protection in cloud computing | |
| Radivilova et al. | Decrypting SSL/TLS traffic for hidden threats detection | |
| US20150082424A1 (en) | Active Web Content Whitelisting | |
| Razzaq et al. | Critical analysis on web application firewall solutions | |
| Dissanayaka et al. | Vulnerability prioritization, root cause analysis, and mitigation of secure data analytic framework implemented with mongodb on singularity linux containers | |
| Swedan et al. | Detection and prevention of malicious cryptocurrency mining on internet-connected devices | |
| Junghanns et al. | Engineering of secure multi-cloud storage | |
| US20240121251A1 (en) | Command and Control Steganographic Communications Detection Engine | |
| US10812506B2 (en) | Method of enciphered traffic inspection with trapdoors provided | |
| Khan | Securing network infrastructure with cyber security | |
| Peng | Research on the Technology of Computer Network Security Protection | |
| Kloibhofer et al. | LoRaWAN with HSM as a security improvement for agriculture applications | |
| Kaushik et al. | a novel approach for an automated advanced MITM attack on IoT networks | |
| Nair et al. | Security attacks in internet of things | |
| Cai et al. | Appcracker: Widespread vulnerabilities in user and session authentication in mobile apps | |
| KR102239762B1 (ko) | 암호화 트래픽 가시성을 제공하는 패킷 기반 위협 탐지 방법 | |
| RU2614928C1 (ru) | Система и способ шифрования при передаче веб-страницы приложению пользователя | |
| RU2706894C1 (ru) | Система и способ анализа содержимого зашифрованного сетевого трафика | |
| Ussath et al. | Insights into Encrypted Network Connections: Analyzing Remote Desktop Protocol Traffic | |
| CN117424742B (zh) | 一种无感知传输层安全协议会话密钥还原方法 | |
| ES2962828T3 (es) | Método para rastrear puntos finales maliciosos en comunicación directa con el servidor de una aplicación utilizandotécnica de huellas digitales TLS | |
| CN110661766B (zh) | 分析加密网络业务的内容的系统和方法 | |
| Wen et al. | A General Framework for Matching Pattern Hiding in Deep Packet Inspection | |
| Korhonen | Outbound SSL/TLS decryption: Security impact of SSL/TLS interception |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |