KR102244036B1 - 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법 - Google Patents

네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법 Download PDF

Info

Publication number
KR102244036B1
KR102244036B1 KR1020200105865A KR20200105865A KR102244036B1 KR 102244036 B1 KR102244036 B1 KR 102244036B1 KR 1020200105865 A KR1020200105865 A KR 1020200105865A KR 20200105865 A KR20200105865 A KR 20200105865A KR 102244036 B1 KR102244036 B1 KR 102244036B1
Authority
KR
South Korea
Prior art keywords
asset
classification
flow data
network
module
Prior art date
Application number
KR1020200105865A
Other languages
English (en)
Inventor
박상언
양봉열
Original Assignee
주식회사 로그프레소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 로그프레소 filed Critical 주식회사 로그프레소
Priority to KR1020200105865A priority Critical patent/KR102244036B1/ko
Application granted granted Critical
Publication of KR102244036B1 publication Critical patent/KR102244036B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computational Linguistics (AREA)
  • Artificial Intelligence (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명에 의한 네트워크 자산 자동 분류 방법은, 플로우 데이터 수집 모듈과, 자산 특성 추출 모듈과, 자산 분류 학습 모듈과, 자산 분류 예측 모듈을 포함하는 환경에서 수행되며, 플로우 데이터 수집 모듈이, 플로우 데이터 생성 장치로부터 네트워크 자산의 플로우 데이터를 수집하는 제1 단계와; 자산 특성 추출 모듈이, 수집된 플로우 데이터로부터 자산 특성을 추출하는 제2 단계와; 자산 분류 모듈이, 추출된 자산 특성에 기초하여 자산 분류를 실행하는 제3 단계를 포함한다.
제3 단계는, 자산 분류 학습 모듈이, 추출된 자산 특성에 기초하여 비지도 학습을 실행하는 제3-1 단계와; 자산 분류 예측 모듈이, 제3-1 단계에서 실행된 비지도 학습에서 군집화된 결과에 따라서 자산의 추정 분류를 실행하는 제3-2 단계를 포함한다.

Description

네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법{Method for Classifying Network Asset Using Network Flow data and Method for Detecting Threat to the Network Asset Classified by the Same Method}
본 발명은 네트워크 플로우 데이터를 이용하여 네트워크 자산을 자동으로 분류하고 분류된 네트워크 자산에 대한 위협을 탐지하는 방법에 대한 것이다.
네트워크를 구성하는 자산 예를 들어, 라우터, 스위치, 무선 AP, 웹 서버, AP 서버, 업무 기기(데이터베이스, PC, 태블릿 PC, 스마트폰 등) 등은 외부의 공격 위협에 노출될 수 있다. 다양한 방식으로 그러한 외부 공격 위협을 사전에 탐지하고 대처할 수 있는 솔루션들이 있는데, 그러한 외부 공격 위협의 탐지를 위해서는 먼저 해당 네트워크의 구조 및 네트워크를 구성하는 자산의 배치와 용도 등을 파악해야 한다.
업무상 네트워크 환경은 웹 서버와 메일 서버 등이 배치되는 DMZ 영역, PC와 모바일 기기 등이 동작하는 업무망, AP 서버나 데이터베이스가 배치되는 서버팜으로 구성되며, 각 영역에 배치되는 네트워크 자산의 개별적인 특성은 외부 공격 위협 탐지에 있어서 중요하게 고려되어야 한다.
예를 들어, 업무망의 PC는 일반적으로 인터넷이나 내부망의 서버에 접속하여 업무를 수행하는데 이전에는 동작하지 않던 FTP 서버의 서비스가 구동되는 경우에는 이를 이상징후로 탐지할 수 있다. 다른 예로서, 서버는 다수의 클라이언트에게 서비스를 제공하는데 인터넷이나 PC 네트워크 대역으로 접속을 시도한다면 C&C 서버 접속 시도 또는 내부망 침투 시도(lateral movement)에 관련된 이상 징후로 탐지할 수 있다.
종래의 보안 관제 시스템에서는, 네트워크 자산 정보를 일일이 수작업으로 입력하거나, 또는 네트워크 스캐너 등의 별도의 장치를 통해서 트래픽 부하를 발생시켜서 자산 정보를 조사하였다. 그러나 그러한 방식의 경우 네트워크 자산 정보를 구성하기 위해 시간과 노력이 과도하게 필요하며, 자산 정보의 업데이트 속도 역시 느려질 수밖에 없어서 외부 공격 위협을 신속하게 탐지하고 대처하는 데에 한계가 있을 수밖에 없다.
[선행특허문헌]
한국특허 제10-2089688호 (2020년 4월 24일 등록공고)
본 발명은 종래 기술에 의한 네트워크 자산의 정보 획득 방법의 한계를 극복하기 위해 자동으로 네트워크 자산 정보를 수집하고 업데이트할 수 있는 네트워크 자산 정보 수집 방법 및 그렇게 수집된 네트워크 자산에 대한 외부 공격 위협을 신속하게 탐지할 수 있는 방법을 제공하는 것을 목적으로 한다.
본 발명에 의한 네트워크 자산 자동 분류 방법은, 플로우 데이터 수집 모듈과, 자산 특성 추출 모듈과, 자산 분류 학습 모듈과, 자산 분류 예측 모듈을 포함하는 환경에서 수행되며, 플로우 데이터 수집 모듈이, 플로우 데이터 생성 장치로부터 네트워크 자산의 플로우 데이터를 수집하는 제1 단계와; 자산 특성 추출 모듈이, 수집된 플로우 데이터로부터 자산 특성을 추출하는 제2 단계와; 자산 분류 모듈이, 추출된 자산 특성에 기초하여 자산 분류를 실행하는 제3 단계를 포함한다.
제3 단계는, 자산 분류 학습 모듈이, 추출된 자산 특성에 기초하여 비지도 학습을 실행하는 제3-1 단계와; 자산 분류 예측 모듈이, 제3-1 단계에서 실행된 비지도 학습에서 군집화된 결과에 따라서 자산의 추정 분류를 실행하는 제3-2 단계를 포함한다.
본 발명에 의한 네트워크 자산 자동 분류 방법은, 플로우 데이터 수집 모듈이, 수집된 플로우 데이터를 정규화하는 제1-1 단계를 더 포함할 수 있다.
추출되는 자산 특성은, 내부 출발지 IP 개수, 외부 출발지 IP 개수, 내부 목적지 IP 개수, 외부 목적지 IP 개수, 서비스 포트 목록 정보, 통신 발생 시간대 정보 중 적어도 어느 하나일 수 있다.
제3-2 단계는, 고유 서비스 포트 개수의 합을 군집의 크기로 나눈 비율이 더 큰 군집을 서버로 분류하고, 그렇지 않은 군집을 PC로 분류하는 단계일 수 있다.
본 발명의 다른 실시예에 의한 네트워크 자산 자동 분류 방법에 의하면, 제3 단계는, 자산 분류 학습 모듈이, 추출된 자산 특성에 기초하여 지도 학습을 실행하는 제3-1 단계와; 자산 분류 예측 모듈이, 제3-1 단계의 지도 학습에 의해 생성된 학습 모델에 따라 자산의 추정 분류를 실행하는 제3-2 단계를 포함한다.
상기 실시예는 수동 설정되어 이미 분류되어 있는 자산 또는 분류가 확정된 자산을 조회하는 제3-3 단계를 더 포함할 수 있으며, 제3-1 단계는, 상기 수동 분류 또는 확정 분류된 자산을 지도 학습에 사용하는 단계일 수 있다.
상기 실시예은 생성된 학습 모델의 성능을 이전 학습 모델의 성능과 비교하여 이전 학습 모델보다 성능이 우수하면 학습 모델을 업데이트하고 그렇지 않으면 파기하는 제3-4 단계를 더 포함할 수 있다.
확정된 자산 IP에 대해서는 제3-2 단계를 실행하지 않을 수 있다.
본 발명에 의해 자동으로 분류된 네트워크 자산에 대해서 보안 관제 장치가 위협 시나리오를 탐지하는 방법은, 보안 관제 장치가, 플로우 데이터 수집 모듈 및 플로우 데이터 생성 장치 중 적어도 어느 하나로부터 플로우 데이터를 수신하는 제4 단계와; 보안 관제 장치가, 기 분류되어 있는 네트워크 자산 정보에 기초하여 플로우 데이터에 대해 자산 분류 태깅을 수행하는 제5 단계와; 보안 관제 장치가, 미리 수립되어 있는 위협 시나리오를 조회하고 탐지 조건이 일치하는 경우 보안 경보를 발생하는 제6 단계를 포함한다.
본 발명의 각 단계는 컴퓨터 판독 가능 기록 매체에 기록된 컴퓨터 프로그램에 의해서 수행될 수 있다.
본 발명에 의하면, 네트워크 자산을 자동으로 빠르게 분류할 수 있으므로 자산 분류 결과를 이용하여 신속하고 빠르게 위협을 탐지할 수 있는 효과가 제공된다.
도 1은 본 발명이 수행되는 환경의 예를 도시한 도면.
도 2는 본 발명에 의한 네트워크 자산 정보 분류 방법의 흐름도.
도 3은 비지도 학습 기반의 네트워크 자산 분류 방법의 일례의 흐름도
도 4는 지도 학습 기반의 네트워크 자산 분류 모델 생성 방법의 일례의 흐름도.
도 5는 지도 학습 기반의 자산 분류 모델에 의한 자산 분류 방법의 일례의 흐름도.
도 6은 분류된 자산 정보에 기초하여 위협 시나리오를 탐지하는 방법의 일례의 흐름도.
도 7은 본 발명을 수행하는 전자적 연산 장치의 일례의 블록도.
이하에서는 첨부 도면을 참조하여 본 발명에 대해서 자세하게 설명한다.
본 명세서에서 수행되는 정보(데이터) 전송/수신 과정은 필요에 따라서 암호화/복호화가 적용될 수 있으며, 본 명세서 및 특허청구범위에서 정보(데이터) 전송 과정을 설명하는 표현은 별도로 언급되지 않더라도 모두 암호화/복호화하는 경우도 포함하는 것으로 해석되어야 한다. 본 명세서에서 "A로부터 B로 전송(전달)" 또는 "A가 B로부터 수신"과 같은 형태의 표현은 중간에 다른 매개체가 포함되어 전송(전달) 또는 수신되는 것도 포함하며, A로부터 B까지 직접 전송(전달) 또는 수신되는 것 만을 표현하는 것은 아니다. 본 발명의 설명에 있어서 각 단계의 순서는 선행 단계가 논리적 및 시간적으로 반드시 후행 단계에 앞서서 수행되어야 하는 경우가 아니라면 각 단계의 순서는 비제한적으로 이해되어야 한다. 즉 위와 같은 예외적인 경우를 제외하고는 후행 단계로 설명된 과정이 선행 단계로 설명된 과정보다 앞서서 수행되더라도 발명의 본질에는 영향이 없으며 권리범위 역시 단계의 순서에 관계없이 정의되어야 한다. 그리고 본 명세서에서 “A 또는 B”은 A와 B 중 어느 하나를 선택적으로 가리키는 것뿐만 아니라 A와 B 모두를 포함하는 것도 의미하는 것으로 정의된다. 또한, 본 명세서에서 "포함"이라는 용어는 포함하는 것으로 나열된 요소 이외에 추가로 다른 구성요소를 더 포함하는 것도 포괄하는 의미를 가진다.
본 명세서에서 "모듈" 또는 “유니트”라 함은 범용적인 하드웨어와 그 기능을 수행하는 소프트웨어의 논리적 결합을 의미한다.
본 명세서에서는 본 발명의 설명에 필요한 최소한의 구성요소만을 설명하며, 본 발명의 본질과 관계가 없는 구성요소는 언급하지 아니한다. 그리고 언급되는 구성요소만을 포함하는 배타적인 의미로 해석되어서는 아니되며 언급되지 않은 다른 구성요소도 포함할 수 있는 비배타적인 의미로 해석되어야 한다.
본 발명에 의한 방법은 컴퓨터, 태블릿 PC, 모바일폰, 휴대용 연산 장치, 고정식 연산 장치 등의 전자적 연산 장치에 의해서 실행될 수 있다. 또한, 본 발명의 하나 또는 그 이상의 방법 또는 형태가 적어도 하나의 프로세서에 의해 실행될 수 있다는 점이 이해되어야 한다. 프로세서는, 컴퓨터, 태블릿PC, 모바일 장치, 휴대용 연산 장치 등에 설치될 수 있다. 컴퓨터 프로그램 명령을 저장하도록 되어 있는 메모리가 그러한 장치에 설치되어서 프로그램이 저장된 프로그램 명령을 프로세서가 실행하도록 특별히 프로그램되어 하나 또는 그 이상의, 본 명세서에 기재된 기재된 바와 같은 프로세스를 실행할 수 있다. 또한, 본 명세서에 기재된 정보 및 방법 등은, 하나 또는 그 이상의 추가적인 구성요소와 프로세서를 포함하는 컴퓨터, 태블릿PC, 모바일 장치, 휴대용 연산 장치 등에 의해서 실행될 수 있다는 점이 이해되어야 한다. 또한, 제어 로직은, 프로세서, 제어부/제어 유니트 등에 의해 실행가능한 프로그램 명령을 포함하는 비휘발성 컴퓨터 판독 가능 매체로 구현될 수 있다. 컴퓨터 판독 가능 매체의 예로는, ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 플래시 드라이브, 스마트 카드, 광학 데이터 저장 장치 등이 있지만 그에 제한되는 것은 아니다. 또한, 컴퓨터 판독 가능 기록 매체는 네트워크로 연결된 컴퓨터에 분산되어, 컴퓨터 판독 가능 매체가 분산된 방식 예를 들어 원격 서버 또는 CAN(Controller Area Network)에 의해 분산된 방식으로 저장되고 실행될 수도 있다.
본 발명의 각 단계를 수행하는 전자적 연산 장치의 일례가 도 7에 도시되어 있다. 도 7에 도시된 바와 같이 전자적 연산 장치(709)는 프로세서(예를 들어 중앙 처리 유니트(CPU; 710)와, 메모리(720)와, 유선 또는 무선 통신 유니트(730)와, 적어도 하나의 입력 유니트(740), 및 적어도 하나의 출력 유니트(750)를 포함하지만, 포함하는 구성요소는 열거된 구성요소에 제한되지 않는다. 도 7에 도시된 구조는 단지 설명의 목적으로 단순화되어 제공되는 것이라는 점이 이해되어야 한다. 전자적 연산 장치(709)의 구조는 후술하는 특허청구범위에 따라서 당업자에 의해 적절한 방식으로 변경될 수 있다. 또한, 전자적 연산 장치(709)의 각 구성요소 역시 후술하는 특허청구범위에 따라서 당업자에 의해 적절한 방식으로 변경될 수 있다. 그러므로, 도 7에 도시된 장치의 구조는 단지 예시적이며 본 발명의 권리범위를 제한하는 것으로 해석되어서는 아니된다.
프로세서(710)는 전자적 연산 장치(709)의 작동을 제어할 수 있다. 더 자세하게는 프로세서(710)는 도 7에 도시된 바와 같은 전자적 연산 장치(709)에 설치된 여러 구성요소를 제어하고 상호작용하도록 작동될 수 있다. 예를 들어, 메모리(720)는 프로세서(710)에 의해 실행되는 프로그램 명령이나 데이터를 저장할 수 있다. 본 명세서에서 설명하는 프로세스(단계)는 프로세서(710)의 실행을 위해 메모리(720)에 프로그램 명령어의 형태로 저장될 수 있다. 통신 유니트(730)는 전자적 연산 장치(709)가 통신 네트워크를 통해서 적어도 하나의 외부 장치로 데이터를 전송하거나 적어도 하나의 외부 장치로부터 데이터를 수신하도록 할 수 있다. 입력 유니트(740)는 전자적 연산 장치(709)가 오디오/비디오 입력, 사용자 입력, 데이터 입력 등의 다양한 형태의 입력을 수신하도록 할 수 있다. 이러한 목적을 위해 입력 유니트(740)는 다양한 형태의 입력을 받아들이기 위해서 예를 들어, 키보드, 카메라, 터치 패널, 마이크로폰, 센서, 마우스, 적어도 하나의 버튼이나 스위치(도시되지 않음) 중 적어도 어느 하나 또는 복수 개의 입력 장치를 포함할 수 있다. 출력 유니트(750)는, 사용자가 볼 수 있도록 디스플레이 스크린(752)에 정보를 표시할 수 있다. 디스플레이 스크린(752)은 공지되어 있는 다양한 메커니즘을 통해서 사용자 태핑(tapping)이나 스크린(752)을 누르는 것과 같은 적어도 하나의 입력을 받아들이도록 구성될 수 있다. 출력 유니트(750)는, 광원(754)을 더 포함할 수 있다. 전자적 연산 장치(709)는, 단일 장치로 도시되어 있지만, 사용되는 동안 서로 연결되고 상호작용할 수 있는 다중의 분리된 장치로 구성될 수도 있다.
본 명세서에서 설명하는 예시적인 실시예는 본 명세서에 개시(開示)되는 장치의 구조, 기능, 제작 및 용도와 방법의 원리에 대한 전반적인 이해를 제공한다. 이러한 하나 이상의 실시예가 첨부 도면에 도시되어 있다. 당업자라면 여기에 구체적으로 기재되고 첨부 도면에 도시되어 있는 장치 및 방법이 비제한적이고 예시적인 실시예이며 본 발명의 권리범위는 특허청구범위에 의해서 정의된다는 점을 이해할 것이다. 하나의 예시적인 실시예와 관련되어 도시되고 설명되는 특징은 다른 실시예의 특징과도 결합될 수 있다. 그러한 수정(modification) 또는 변경(variation)은 본 발명의 권리범위에 포함되도록 의도된다.
도 1에는 본 발명이 수행되는 환경의 예가 도시되어 있다.
본 발명이 수행되는 환경은, 네트워크 자산 #1(10-1) 내지 네트워크 자산 #N(10-N)과, 플로우 데이터 생성 장치(15)와, 네트워크 자산의 플로우 데이터 수집 모듈(20)과, 자산 특성 추출 모듈(30)과, 자산 분류 모듈(40)과, 자산 정보 DB(50)를 포함한다. 네트워크 자산(10-1,...,10-N)은 예를 들어, 라우터, 스위치, 무선 AP, 웹 서버, AP 서버, 데이터베이스, PC, 태블릿 PC 또는 스마트폰과 같은 모바일 기기, 네트워크 프린터 등이 될 수 있으며, 네트워크 내에서 소정의 기능을 하는 장치라면 무엇이든 종류에 관계없이 포함될 수 있으며 상기 열거된 장치에 제한되지 않는다. 네트워크 자산 중에서 플로우 데이터를 생성하지 못하는 서버, PC, 데이터베이스, 모바일 기기 등은 플로우 데이터를 생성하는 네트워크 스위치, 라우터, 방화벽 등의 네트워크 장비(플로우 데이터 생성 장치(15))와 직간접적으로 연결됨으로써 네트워크 자산이 전송하는 패킷에 기초하여 플로우 데이터 생성 장치(15)가 플로우 데이터를 생성한다. 네트워크 자산이 플로우 데이터를 생성하는 경우에는 플로우 데이터 생성 장치(15)와 네트워크 자산(10)이 일치할 수 있다.
플로우 데이터 수집 모듈(20)은 플로우 데이터 생성 장치(15)를 통해서 네트워크 자산(10-1,...,10-N)의 플로우 데이터를 수집하며, 정규화(표준화)할 수 있다. 수집되는 플로우 데이터는 제조사별로 포맷이 상이하므로 후술하는 표준화(정규화) 과정을 거쳐서 본 발명이 사용할 수 있는 데이터 형태로 가공한다.
방화벽은 세션 로그 또는 트래픽 로그를 SYSLOG, SNMP, 또는 전용 API 형태로 지원한다. 라우터나 스위치는 일반적으로 NetFlow 또는 IPFIX(IP Flow Information Export) 프로토콜을 통한 플로우 데이터 전송을 지원한다.
네트워크 상에 전용 트래픽 분석기가 제공되는 환경에서는, TAP 스위치를 통하거나 라우터나 스위치의 SPAN 포트 설정을 통해서 라우터 또는 스위치의 패킷을 트래픽 분석기로 미러링하고, 트래픽 분석가가 NetFlow 또는 IPFIX 패킷을 플로우 수집 모듈(20)로 전송할 수도 있다.
본 발명의 플로우 데이터 수집 모듈(20)이 수집하는 플로우 데이터는 네트워크상에 존재하는 방화벽, 라우터, 네트워크 스위치 등의 플로우 데이터 생성 장치(15)가 통상적으로 생성하는 데이터로서 네트워크 자산 분류 목적만을 위해서 네트워크 인프라에 추가적인 부하를 유발하지 않는 데이터를 의미한다.
정규화된 플로우 데이터는 자산 특성 추출 모듈(30)로 입력된다. 자산 특성 추출 모듈(30)은 네트워크 자산의 특성을 추출하며 추출된 특성 정보는 자산 분류 모듈(40)로 입력되어, 자산 분류 모듈(40)이 네트워크 자산을 분류하는데에 사용된다.
자산 분류 모듈(40)은, 자산 분류 학습 모듈(42)과 자산 분류 예측 모듈(44)를 포함할 수 있다. 자산 분류 학습 모듈(42)은 수집된 플로우 데이터에 대해서 소정의 방법 예를 들어 지도학습 또는 비지도학습을 통해 자산 분류 학습 모델을 수립한다. 자산 분류 예측 모듈(44)은, 자산 분류 학습 모듈(42)에 의해 생성되는 학습 모듈에 따라서 입력된 플로우 데이터에 기반하여 네트워크 자산을 분류한다.
자산 분류 모델(40)에 의해서 분류된 결과 및 자산 정보는 자산 정보 DB(50)에 저장된다. 자산 정보 DB(50)에는, 자산 IP별 추정 분류와 확정 분류, 그 이외에도 필요한 정보 예를 들어 호스트명, 운영체제 등 자산 IP의 세부 정보가 저장될 수 있다.
도 2에는 본 발명에 의한 자산 정보 분류 방법의 개략적인 흐름도가 도시되어 있다.
단계(200)에서는 플로우 수집 모듈(20)이 네트워크 상에 존재하는 라우터, 방화벽, 네트워크 스위치 등과 같은 플로우 데이터 생성 장치(15)로부터 전술한 바와 같은 플로우 데이터를 수집한다.
수집된 플로우 데이터는 소정의 형식으로 표준화된다(단계 210).
네트워크 자산의 제조사 별로 서로 상이한 플로우 데이터를 본 발명에 사용할 수 있도록 표준화(정규화)하는 예에 대해서 설명한다. 이하에서 설명하는 표준화 방법은 하나의 예시에 불과하며, 필요에 따라 다른 방식으로 얼마든지 표준화가 수행될 수 있다.
시큐아이 MF2 방화벽에서 수집되는 로그의 예는 다음과 같다.
1 2015-03-09T05:57:56.796286Z [fw4_deny] [222.119.190.2] 2015-03-09 14:57:56,2015-03-09 14:57:56,0,MF2_HOST,5,Undefined,184.105.139.67,32873,222.119.190.229,161,UDP,EXT,1,131, ,-,Deny by Deny Rule
다른 예로서 팔로알토 네트워크 방화벽에서 수집되는 로그의 예는 다음과 같다.
Feb 22 16:27:11 1,2012/02/22 16:27:11,0002C101615,TRAFFIC,end,0,2012/02/22 16:27:10,172.16.246.56,112.76.169.110,0.0.0.0,0.0.0.0,VPN,,,web-browsing,vsys1,L3_VPN,L3_DMZ,vlan,vlan.2,traffic_IPS_182,2012/02/22 16:27:10,344092,1,3744,80,0,0,0x0,tcp,allow,1732,1732,1732,7,2012/02/22 16:24:30,130,any,0,0,0x0,172.16.0.0-172.31.255.255,Korea Republic Of,0
상기와 같은 로그 데이터를 다음의 형식에 따라서 정규화를 할 수 있다.
필드 타입 설명
_time 날짜/시간 플로우 시작 시각
src_ip IP 주소 출발지 IP 주소
src_port 정수 출발지 포트
dst_ip IP 주소 목적지 IP 주소
dst_port 정수 목적지 포트
protocol 문자열 L4 프로토콜: ICMP, TCP, UDP
app 문자열 L7 프로토콜: HTTP, DNS 등
action 문자열 대응: 허용, 차단
src_zone 문자열 출발지 영역(unstrusted, dmz 등)
dst_zone 문자열 목적지 영역(unstrusted, dmz 등)
nat_src_ip IP 주소 NAT 출발지 IP 주소
nat_src_port 정수 NAT 출발지 포트
nat_dst_ip 문자열 NAT 목적지 IP 주소
nat_dst_port 정수 NAT 목적지 포트
policy 문자열 방화벽 정책 식별자
duration 정수 초 단위 접속 유지 시간
total_pkts 정수 양방향 송수신 패킷 수
total_bytes 정수 양방향 송수신 바이트량
sent_pkts 정수 클라이언트에서 서버로 전송한 패킷 수
rcvd_pkts 정수 서버에서 클라이언트로 전송한 패킷 수
sent_bytes 정수 클라이언트에서 서버로 전송한 바이트량
rcvd_bytes 정수 서버에서 클라이언트로 전송한 바이트량
src_country 문자열 출발지 ISO 국가 코드
dst_country 문자열 목적지 ISO 국가 코드
플로우 데이터 중 NetFlow와 IPFIX 패킷은 아래와 같은 필드 구성으로 표준화할 수 있다.
필드 타입 설명 비고
_time 날짜/시간 플로우 시작 시각
src_ip IP 주소 출발지 IP 주소
src_port 정수 출발지 포트
dst_ip IP 주소 목적지 IP 주소
dst_port 정수 목적지 포트
protocol 문자열 L4 프로토콜 IANA 코드를 문자열 변환
duration 정수 first, last 필드 값을 기준으로 계산
total_pkts 정수 양방향 송수신 패킷 수
total_bytes 정수 양방향 송수신 바이트량
sent_pkts 정수 클라이언트에서 서버로 전송한 패킷 수 v5는 지원하지 않음
rcvd_pkts 정수 서버에서 클라이언트로 전송한 패킷 수 v5는 지원하지 않음
sent_bytes 정수 클라이언트에서 서버로 전송한 바이트량 v5는 지원하지 않음
rcvd_bytes 정수 서버에서 클라이언트로 전송한 바이트량 v5는 지원하지 않음
표준화된 플로우 데이터는 자산 특성 추출 모듈(30)에 입력되어 자산 특성이 추출된다(단계 220).
추출되는 자산 특성은 내부 출발지 IP 개수, 외부 출발지 IP 개수, 내부 목적지 IP 개수, 외부 목적지 IP 개수, 서비스 포트 목록, 통신 발생 시간대를 포함할 수 있다. 각각의 특성은 구체적으로 다음과 같다.
내부 출발지 IP 개수: 특정 IP 를 목적지로 접속한 내부 출발지 IP 주소의 개수
외부 출발지 IP 개수: 특정 IP를 목적지로 접속한 외부 출발지 IP 주소의 개수
내부 목적지 IP 개수: 특정 IP에서 접속한 내부 목적지 IP 주소의 개수
외부 목적지 IP 개수: 특정 IP에서 접속한 외부 목적지 IP 주소의 개수
서비스 포트 목록: TCP/UDP 프로토콜별 서비스 포트 목록
통신 발생 시간대: 특정 IP의 시간대별 통신 발생 여부(출발지/목적지 무관)
특정 IP를 목적지로 접속하는 내부 출발지 IP의 개수가 많을수록 해당 특정 IP의 자산은 내부 서버일 가능성이 높다.
특정 IP를 목적지로 접속하는 외부 출발지 IP의 개수가 많을수록 해당 특정 IP의 자산은 DMZ 영역에 배치된 서버(예를 들어, 웹 서버 또는 메일 서버 등)일 가능성이 높다.
특정 IP에서 접속하는 내부 목적지 IP의 개수가 많을수록 해당 특정 IP의 자산은 업무용 PC(또는 업무용 태블릿 PC 또는 모바일 장치 등 업무용으로 사용되는 장치)일 가능성이 높다.
특정 IP에서 접속하는 외부 목적지 IP의 개수가 많을수록 해당 특정 IP의 자산은 인터넷용 PC일 가능성이 높다.
서비스 포트 목록 정보는, 포트 군집 유형에 따라서 서버인지 PC인지를 구분하는데에 사용할 수 있다.
웹 서버는 80/TCP (HTTP), 443/TCP (HTTPS), 22/TCP (SSH) 포트가 열려있는 경우가 흔하며, PC의 경우, 135/TCP (RPC), 139/TCP (NETBIOS), 445/TCP (SMB), 3389/TCP (MSRDP) 포트가 열려있는 경우가 흔하므로, 서비스 포트 목록 정보에 기초하여 서버인지 PC인지 여부를 구분할 수 있다.
서버는 공격 노출을 최소화하기 위하여 80/TCP (HTTP)와 같은 표준 정의된 포트 번호를 다른 번호로 변경하는 경우도 흔히 찾아볼 수 있지만, 조직 정책으로 반영하기 때문에 랜덤하게 적용되지는 않고 특정 포트 번호의 경향성을 가진 경우가 대부분이므로 학습이 가능하다.
통신 발생 시간대 정보를 사용하면, 통신이 없는 시간대가 존재하는 경우 해당 특정 IP의 자산은 PC일 가능성이 높은 것으로 분류할 수 있다.
상기 설명에서 "특정 IP"는 본 발명에 의한 분류 방법에 의해서 분류하고자 하는 네트워크 자산의 IP가 될 수 있다.
단계(220)에서 추출된 자산 특성은 자산 분류 모듈(40)로 입력되어 본 발명에 의한 자산 분류에 사용된다.
추출된 자산 특성은 자산 분류 학습 모듈(42)과 자산 분류 예측 모듈(44)로 입력되어, 자산 분류 학습 모듈(42)이 분류 모델을 생성하는데에 사용되고, 자산 분류 예측 모듈(44)이 추출된 자산 특성을 가지고 분류 모델에 따라서 자산을 분류하는 데에 사용된다(단계 230, 240).
도 3 내지 도 5를 참조하여 자산 분류 학습 모델을 생성하는 것과 자산 분류를 수행하는 과정에 대해서 설명한다.
도 3에는 비지도 학습 기반의 자산 분류 과정의 흐름도가 도시되어 있다. 도 3은 비지도 학습 알고리즘 중에서 KMEANS를 사용하는 예에 대한 것이지만, 본 발명의 권리범위는 그에 제한되는 것으로 이해되어서는 아니되며, 공지되어 있는 다른 비지도 학습 알고리즘 예를 들어 밀도 기반 군집 분석 (DBSCAN, Density-Based Spatial Clustering of Applications with Noise), 계층 군집 분석 (HCA, Hierarchical Cluster Analysis) 등을 적용할 수 있으며, 비지도 학습 기반 분류 알고리즘의 정확도를 향상시키기 위해 차원 축소 단계에서 주성분 분석 (PCA, Principal Component Analysis), 오토 인코더 (Auto Encoder) 등을 적용할 수 있다.
자산 분류 학습 모듈(42)은 소정의 기간 동안의 플로우 데이터를 자산 특성 추출 모듈(30)에 조회한다(단계 300). 표준화된 플로우 데이터는 자산 특성 추출 모듈(30)에 무기한 또는 관리자가 지정한 기간 동안 보관될 수 있다.
이어서 조회된 플로우 데이터에 대해 자산 특성 추출 모듈(30)이 통계 처리를 통해 자산 분류 모델 입력 특성을 추출한다(단계 310).
자산 특성 추출 모듈(30)은 단계(320)에서 입력 특성 전처리를 수행한다. 본 발명의 다른 실시예에서는, 효율 측면에서 불리하지만 입력 특성 전처리를 자산 분류 학습 모듈(42) 및/또는 자산 분류 예측 모듈(44)이 수행할 수도 있다.
입력 특성 전처리는 수치형 데이터에 대한 스케일 조정, 범주형 데이터(분류형 데이터)에 대해서 특정 범주에 대해서만 "1"로 표현하고 나머지 범주는 "0"으로 표현하는 원-핫 인코딩(One Hot Encoding), 피처 해싱(Feature Hashing)을 통해 범주형 데이터를 수치형 데이터로 변환하는 작업 등을 포함할 수 있다.
자산 분류 학습 모듈(42)은 비지도 학습 모델 생성을 위한 자산 군집화를 수행한다(단계 330). 도 3의 실시예에서는 K값을 2로 설정하여 2개의 군집으로 분리해서 예를 들어 PC와 서버로 분류할 수 있다. 군집의 개수는 필요에 따라 설정될 수 있으며 그 값에 본 발명의 권리범위가 제한되는 것으로 이해되어서는 아니된다. 군집화에는 예를 들어 유클리드 거리(Euclidean distance)를 사용할 수 있는데 유클리드 거리 산출에는 전술한 추출 특성이 사용될 수 있다. 유클리드 거리 산출에 사용되는 특성 중 상대적으로 영향력이 큰 특성은 내부 출발지 IP 개수, 외부 출발지 IP 개수, 내부 목적지 IP 개수, 외부 목적지 IP 개수이다. 상기 IP의 개수는 실제 개수에 해당하는 정수값을 사용할 수도 있고, 0에서 1 사이의 값을 가지도록 변환된 값을 사용할 수도 있다. 예를 들어 IP의 개수/(IP의 개수 + 0.01)로 변환한 값을 IP의 개수 지표로 유클리드 거리 산출에 이용할 수 있다.
서비스 포트 목록을 유클리드 거리 산출에 사용하기 위해서는 고유한 포트의 개수로 변환하여 사용할 수 있고, 통신 발생 시간대는 시간대의 시간 수 예를 들어 08시~19시 시간대 가동인 경우 10(시간)으로 변환하여 사용할 수 있다. 변환의 방식은 필요에 따라 얼마든지 다른 방식으로 할 수 있으며 상기 변환 방식에 본 발명의 권리범위가 제한되는 것은 아니다.
군집화가 완료되면 자산 정보 DB(50)에 군집화를 통해서 추정된 추정 분류를 저장한다(단계 340). 도 3에 도시된 자산 군집화(단계330)에 따른 비지도 학습에서는, 자산 분류 학습 모듈(42)과 자산 분류 예측 모듈(44)의 작업이 한번에 수행될 수 있다.
군집화를 통해 분류를 추정하는 것은 예를 들어 다음과 같이 수행될 수 있다. 고유 서비스 포트 개수의 합을 군집의 크기로 나눈 비율이 더 큰 군집은 서버로 분류하고, 그렇지 않은 군집은 PC로 분류할 수 있다.
도 4에는 지도 학습 기반으로 자산 분류 모델을 생성하는 방법의 과정이 도시되어 있다.
단계(400)에서 기간별 플로우 데이터를 조회하고, 단계(410)에서 통계 처리를 통해 자산 분류 모델에 입력하는 특성을 추출한다.
다음으로 수동 설정되어 있거나 또는 확정된 자산 IP별로 분류를 조회한다(단계 420).
자산 IP의 분류는 다음과 같은 방법에 의해 확정될 수 있다. 예를 들어, 액티브 디렉토리 환경에서 도메인 컨트롤러와 LDAP 프로토콜 통신을 수행하여 규칙 기반으로 분류를 확정하거나, 별도의 ITSM(IT Service Management) 서버가 존재하는 경우 자산 정보를 동기화하여 자산의 분류를 확정할 수 있다. 또는, 네트워크 접근 제어(NAC, Network Access Control) 솔루션을 운영하는 경우, NAC 센서 장비의 네트워크 스캔에 의해서 수집된 자산 정보를 동기화하여 확정할 수도 있다. 그 밖에도 공지된 다양한 방법에 의해서 자산 IP별로 분류를 확정할 수 있다.
본 발명은, 특히 외부 요소의 자산 정보를 분류하고자 할 때에 유용할 수 있는데, 예를 들어 리눅스 장비의 경우 도메인 컨트롤러에서 확인할 수 없으며, NAC 센서가 설치되지 않은 경우 자산 정보를 확인할 수 없는데 본 발명에 따르면 그러한 자산에 대해서도 분류를 자동으로 수행할 수 있다.
단계(430)에서는 수동 설정된 자산 IP와 확정된 자산 IP를 이용하여 지도 학습을 수행하여 새 분류 모델 학습을 수행한다.
새 분류 모델과 이전 모델의 성능을 비교하여(단계 440), 모델 성능이 하락한 경우에는 새 분류 모델을 파기하고(단계 450), 모델 성능이 상승한 경우에는 자산 분류 모델을 업데이트한다(단계460). 모델 성능은 예를 들어 다음과 같은 방식으로 수행될 수 있다.
정확도 (Accuracy) = (TP+TN) / (TP+TF+FP+FN)
재현율 (Recall) = TP / (TP+FN)
정밀도 (Precision) = TP / (TP+FP)
F1 점수 (F1 score) = 2xTP / (2xTP+FP+FN)
- F1은 재현율과 정밀도의 조화 평균 의미함
TP (True Positive): 실제 1, 예측 1로 일치
TN (True Negative): 실제 0, 예측 0로 일치
FP (False Positive): 실제 0, 예측 1로 불일치
FN (False Negative): 실제 1, 예측 0로 불일치
도 5에는 도 4에 의해 생성된 지도 학습 모델을 이용하여 네트워크 자산을 분류하는 방법의 흐름도이다.
단계(500)에서 기간별 플로우 데이터를 조회하고, 단계(540)에서 통계 처리를 통해서 자산 분류 모델에 입력되어 분류될 자산의 입력 특성을 추출한다.
특성이 입력된 자산 IP 중에서 이미 확정된 자산 IP는 다시 분류할 필요가 없기 때문에 제외한다(단계520).
그 이외의 자산 IP의 특성은 도 4에 의해 생성된 지도 기반 자산 분류 학습 모델에 입력되어서 분류가 추정되며(단계 530), 추정 분류된 자산 IP는 자산 정보 IP에 등록 및 저장된다(단계 540).
도 6에는 전술한 바와 같이 본 발명에 의해 자동으로 분류된 네트워크 자산에 대한 외부 공격 위협을 탐지하는 방법의 흐름도가 도시되어 있다. 도 6의 외부 공격 위협 탐지는 별도로 제공되는 보안 관제 시스템(도시되지 않음)에 의해서 수행될 수 있다. 플로우 데이터 수집 모듈(20)과, 자산 특성 추출 모듈(30)과, 자산 분류 학습/예측 모듈(40)을 별도의 전용 서버로 구성하여 상기 보안 관제 시스템에 배치할 수 있다.
보안 관제 시스템은 실시간으로 플로우 데이터를 수신하고 (단계 600), 자산 정보 DB(50)를 참조하여 수신된 플로우 데이터에 출발지 IP, 목적지 IP 등에 대한 자산 분류 태깅을 수행한다(단계 610).
보안 관제 시스템의 탐지 모듈은 자산 정보 DB(50)가 업데이트될 때마다 [자산 IP-분류정보]를 인메모리 캐싱할 수 있다. 자산 IP에 확정 분류가 되어 있으면 확정 분류를, 그렇지 않으면 추정 분류를 사용할 수 있다.
태깅된 플로우 데이터를 분석하여 미리 설정되어 있는 시나리오 1 내지 N(620-1, 620-2,...,620-N) 중 해당되는 것이 있는지를 탐지하고, 탐지 조건이 일치하는 시나리오가 있다면 보안 경보 DB(60)에 등록하고 보안 경보를 할 수 있도록 한다.
본 발명에 의하면 네트워크 자산 분류가 자동으로 수행되고 업데이트되기 때문에, 관리자가 네트워크 자산 분류를 수동으로 해야 공격 위협 탐지가 가능한 종래 기술에 비해 외부 공격 위협 탐지를 신속하고 정확하게 수행할 수 있는 작용 효과가 있다.
보안 경고 시나리오는 다양하게 구성될 수 있으며, 다음과 같은 예가 가능하다.
[시나리오 예시 1]
(출발지 IP = 서버) AND (목적지 IP = 외부 IP) AND (대응 = DENY) => 서버 침해 발생 후 C&C 서버 접속 시도로 의심
DMZ 영역에 배치된 웹 서버의 경우 통상적으로 웹 브라우저가 접속하여 소정의 서비스를 제공하는 역할을 수행하므로 방화벽이나 라우터 같은 자산의 트래픽 로그에는 외부 IP(인터넷 대역) => 웹 서버 IP(공인 IP 또는 내부 IP) 기록이 남는다. 그런데 웹 서버가 인터넷 구간으로 직접 외부 IP에 접속하는 경우는 서버 소프트웨어 업데이트를 위해 패키지 배포판 저장소 등 일부 제한된 인터넷 IP 대역의 서버를 제외하고는 거의 없는 것이 정상적이다.
웹 애플리케이션의 취약점 등을 통해 웹 서버가 해킹되는 경우 공격자는 지속적인 제어권을 확보하기 위해서 공격자가 제어하는 서버로 리버스 쉘 접속을 수행하거나 추가적인 공격 툴을 다운로드하기 위해 인터넷 구간 접속을 시도할 수 있다. 그러나 웹 서버에서 인터넷으로의 접근은 보안 정책상 이미 허용되지 않을 가능성이 높고, 기존 방화벽 규칙에 의해 차단(DENY)되어 있을 것이다. 따라서 시나리오 예시 1과 같은 상황이 탐지된다면 이를 "서버 침해 발생 후 C&C 서버 접속 시도로 의심"하고 보안 경고를 발생시킬 수 있다.
[시나리오 예시 2]
(출발지 IP = PC) AND (목적지 IP = 서버 분류인 다수의 자산) => PC 침해 발생 후 내부망 스캔 의심
이 예시는, 이메일을 통한 스피어피싱이나 악성 웹사이트에 방문해서 드라이브-바이-다운로드로 감염당한 PC가 있을 때 가능하다. 최초로 감염시킨 PC 자체에 중요 정보가 있을 수 있지만, 대부분은 개인정보를 대량으로 취급하는 PC 또는 영업 비밀이 존재하는 서버 등 더 가치있고 중요한 자산에 접근하는 것이 공격자의 목표이므로, 공격자는 내부에 어떤 자신이 있는지 알려고 한다. 이를 위해 공격자는 공격에 성공한 PC로부터 내부에 접속할 수 있는 자산이 무엇인지 내부망 대역에 대해 네트워크 스캐닝을 진행한다. 그런데 일반적으로 특정 PC에서 업무적으로 접속하는 서버는 특정 서버로 정형화되어 있다.
따라서 공격자가 감염 PC에서 네트워크 스캐닝을 진행하면 평상시에는 접속할 일이 없는 다수의 서버에 접속을 시도하게 된다. 시나리오 예시 2에서 목적지 IP를 서버 분류로 한 것은 PC 간에는 브로드캐스트 등 다양한 UDP 트래픽이 존재하기 때문에 PC로까지 확장하면 오탐지 가능성이 높아지기 때문이다.
[시나리오 예시 3]
(출발지 IP = PC) AND (목적지 IP = 인터넷) AND (대량 정보 송신) => 비인가 네트워크 서비스 설치 및 정보 유출 시도 의심
방화벽이나 라우터에서 트래픽 로그를 남길 때에는 클라이언트에서 서버로 보낸 패킷의 크기와 서버에서 클라이언트로 보낸 패킷의 크기를 구분하여 기록하는 것이 일반적이다. 업무용 PC의 경우 대부분의 트래픽 유형은 다운로드이다. 그런데 PC가 악성 코드에 감염된 상태라면, 해당 PC가 대량의 정보를 취합하여 외부로 전송하는 통로가 될 수 있다. PC가 출발지 IP인데, 대량의 정보가 송신된다면 그 자체로 매우 특이한 이상징후에 해당하여 보안 경보를 발생시킬 수 있다.
이상 첨부 도면을 참고하여 본 발명에 대해서 설명하였지만 본 발명의 권리범위는 후술하는 특허청구범위에 의해 결정되며 전술한 실시예 및/또는 도면에 제한되는 것으로 해석되어서는 아니된다. 그리고 특허청구범위에 기재된 발명의, 당업자에게 자명한 개량, 변경 및 수정도 본 발명의 권리범위에 포함된다는 점이 명백하게 이해되어야 한다.
10: 네트워크 자산 15: 플로우 데이터 생성 장치
20: 플로우 데이터 수집 모듈 30: 자산 특성 추출 모듈
40: 자산 분류 모듈 42: 자산 분류 학습 모듈
44: 자산 분류 예측 모듈 50: 자산 정보 DB

Claims (13)

  1. 플로우 데이터 수집 모듈과, 자산 특성 추출 모듈과, 자산 분류 학습 모듈과, 자산 분류 예측 모듈을 포함하는 환경에서 수행되는 네트워크 자산 자동 분류 방법에 있어서,
    플로우 데이터 수집 모듈이, 플로우 데이터 생성이 가능한 네트워크 자산으로부터 네트워크 자산의 플로우 데이터를 수집하는 제1 단계와,
    자산 특성 추출 모듈이, 수집된 플로우 데이터로부터 통계적으로 처리된 자산 특성을 추출하는 제2 단계와,
    자산 분류 모듈이, 추출된 자산 특성에 기초하여 자산 분류를 실행하는 제3 단계를 포함하며,
    제3 단계는,
    자산 분류 학습 모듈이, 추출된 자산 특성에 기초하여 비지도 학습을 실행하는 제3-1 단계와,
    자산 분류 예측 모듈이, 제3-1 단계에서 실행된 비지도 학습에서 군집화된 결과에 따라서 자산의 추정 분류를 실행하는 제3-2 단계를 포함하며,
    상기 통계적으로 처리된 자산 특성은, 내부 출발지 IP 개수, 외부 출발지 IP 개수, 내부 목적지 IP 개수, 외부 목적지 IP 개수 중 적어도 어느 하나를 포함하는,
    네트워크 자산 자동 분류 방법.
  2. 청구항 1에 있어서,
    플로우 데이터 수집 모듈이, 수집된 플로우 데이터를 정규화하는 제1-1 단계를 더 포함하는,
    네트워크 자산 자동 분류 방법.
  3. 삭제
  4. 청구항 1에 있어서,
    제3-2 단계는,
    고유 서비스 포트 개수의 합을 군집의 크기로 나눈 비율이 더 큰 군집을 서버로 분류하고,
    그렇지 않은 군집을 PC로 분류하는 단계인,
    네트워크 자산 자동 분류 방법.
  5. 플로우 데이터 수집 모듈과, 자산 특성 추출 모듈과, 자산 분류 학습 모듈과, 자산 분류 예측 모듈을 포함하는 환경에서 수행되는 네트워크 자산 자동 분류 방법에 있어서,
    플로우 데이터 수집 모듈이, 플로우 데이터 생성이 가능한 네트워크 자산으로부터 네트워크 자산의 플로우 데이터를 수집하는 제1 단계와,
    자산 특성 추출 모듈이, 수집된 플로우 데이터로부터 통계적으로 처리된 자산 특성을 추출하는 제2 단계와,
    자산 분류 모듈이, 추출된 자산 특성에 기초하여 자산 분류를 실행하는 제3 단계를 포함하며,
    제3 단계는,
    자산 분류 학습 모듈이, 추출된 자산 특성에 기초하여 지도 학습을 실행하는 제3-1 단계와,
    자산 분류 예측 모듈이, 제3-1 단계의 지도 학습에 의해 생성된 학습 모델에 따라 자산의 추정 분류를 실행하는 제3-2 단계를 포함하며,
    상기 통계적으로 처리된 자산 특성은, 내부 출발지 IP 개수, 외부 출발지 IP 개수, 내부 목적지 IP 개수, 외부 목적지 IP 개수 중 적어도 어느 하나를 포함하는,
    네트워크 자산 자동 분류 방법.
  6. 청구항 5에 있어서,
    수동 설정되어 이미 분류되어 있는 자산 또는 분류가 확정된 자산을 조회하는 제3-3 단계를 더 포함하며,
    제3-1 단계는, 상기 수동 분류 또는 확정 분류된 자산을 지도 학습에 사용하는 단계인,
    네트워크 자산 자동 분류 방법.
  7. 청구항 5에 있어서,
    생성된 학습 모델의 성능을 이전 학습 모델의 성능과 비교하여 이전 학습 모델보다 성능이 우수하면 학습 모델을 업데이트하고 그렇지 않으면 파기하는 제3-4 단계를 더 포함하는,
    네트워크 자산 자동 분류 방법.
  8. 청구항 6에 있어서,
    확정된 자산 IP에 대해서는 제3-2 단계를 실행하지 않는,
    네트워크 자산 자동 분류 방법.
  9. 청구항 1, 청구항 2 및 청구항 4 내지 청구항 8 중 어느 하나의 청구항에 의한 네트워크 자산 자동 분류 방법에 의해 네트워크 자산이 분류되는 환경에서 보안 관제 장치가 위협 시나리오를 탐지하는 방법에 있어서,
    보안 관제 장치가, 플로우 데이터 수집 모듈 및 플로우 데이터 생성 장치 중 적어도 어느 하나로부터 플로우 데이터를 수신하는 제4 단계와,
    보안 관제 장치가, 기 분류되어 있는 네트워크 자산 정보에 기초하여 플로우 데이터에 대해 자산 분류 태깅을 수행하는 제5 단계와,
    보안 관제 장치가, 미리 수립되어 있는 위협 시나리오를 조회하고 탐지 조건이 일치하는 경우 보안 경보를 발생하는 제6 단계를 포함하는,
    위협 시나리오 탐지 방법.
  10. 컴퓨터에 청구항 1, 청구항 2 및 청구항 4 내지 청구항 8 중 어느 하나의 청구항에 기재된 단계를 실행시키기 위한 프로그램을 기록한, 컴퓨터 판독 가능 기록 매체.
  11. 컴퓨터에 청구항 2 및 청구항 4 내지 청구항 8 중 어느 하나의 청구항에 기재된 단계를 실행시키기 위하여 매체에 저장된 컴퓨터 프로그램.
  12. 컴퓨터에 청구항 9에 기재된 단계를 실행시키기 위한 프로그램을 기록한, 컴퓨터 판독 가능 기록 매체.
  13. 컴퓨터에 청구항 9에 기재된 단계를 실행시키기 위하여 매체에 저장된 컴퓨터 프로그램.
KR1020200105865A 2020-08-24 2020-08-24 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법 KR102244036B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200105865A KR102244036B1 (ko) 2020-08-24 2020-08-24 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200105865A KR102244036B1 (ko) 2020-08-24 2020-08-24 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법

Publications (1)

Publication Number Publication Date
KR102244036B1 true KR102244036B1 (ko) 2021-04-23

Family

ID=75738067

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200105865A KR102244036B1 (ko) 2020-08-24 2020-08-24 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법

Country Status (1)

Country Link
KR (1) KR102244036B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114301757A (zh) * 2021-11-26 2022-04-08 腾讯科技(深圳)有限公司 一种网络资产处理方法、装置、设备以及存储介质
CN116662817A (zh) * 2023-07-31 2023-08-29 北京天防安全科技有限公司 物联网设备的资产识别方法及系统
CN117499267A (zh) * 2023-12-29 2024-02-02 深圳万物安全科技有限公司 网络设备的资产测绘方法、设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190078768A (ko) * 2017-12-27 2019-07-05 (주)씨커스 전산 자산 정보 자동 분석 장치 및 방법
KR102013141B1 (ko) * 2019-03-08 2019-08-22 원장식 네트워크 장비의 이상 검출 장치 및 방법
KR102088310B1 (ko) * 2018-11-15 2020-03-16 주식회사 이글루시큐리티 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정시스템 및 그 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190078768A (ko) * 2017-12-27 2019-07-05 (주)씨커스 전산 자산 정보 자동 분석 장치 및 방법
KR102088310B1 (ko) * 2018-11-15 2020-03-16 주식회사 이글루시큐리티 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정시스템 및 그 방법
KR102013141B1 (ko) * 2019-03-08 2019-08-22 원장식 네트워크 장비의 이상 검출 장치 및 방법

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114301757A (zh) * 2021-11-26 2022-04-08 腾讯科技(深圳)有限公司 一种网络资产处理方法、装置、设备以及存储介质
CN114301757B (zh) * 2021-11-26 2024-05-28 腾讯科技(深圳)有限公司 一种网络资产处理方法、装置、设备以及存储介质
CN116662817A (zh) * 2023-07-31 2023-08-29 北京天防安全科技有限公司 物联网设备的资产识别方法及系统
CN116662817B (zh) * 2023-07-31 2023-11-24 北京天防安全科技有限公司 物联网设备的资产识别方法及系统
CN117499267A (zh) * 2023-12-29 2024-02-02 深圳万物安全科技有限公司 网络设备的资产测绘方法、设备及存储介质
CN117499267B (zh) * 2023-12-29 2024-03-26 深圳万物安全科技有限公司 网络设备的资产测绘方法、设备及存储介质

Similar Documents

Publication Publication Date Title
US10721243B2 (en) Apparatus, system and method for identifying and mitigating malicious network threats
Lima Filho et al. Smart detection: an online approach for DoS/DDoS attack detection using machine learning
US11916943B2 (en) Name translation monitoring
US11394728B2 (en) Associating a user identifier detected from web traffic with a client address
US8042182B2 (en) Method and system for network intrusion detection, related network and computer program product
US9860278B2 (en) Log analyzing device, information processing method, and program
KR102244036B1 (ko) 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법
US20190034631A1 (en) System and method for malware detection
JP5264470B2 (ja) 攻撃判定装置及びプログラム
WO2021139643A1 (zh) 加密攻击网络流量检测方法,其装置及电子设备
WO2014129587A1 (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
KR102045468B1 (ko) 네트워크 데이터 분석에 기반한 비정상 연결 행위 탐지 장치 및 방법
US20240048578A1 (en) Behavior based profiling
US20150106867A1 (en) Security information and event management
US11258812B2 (en) Automatic characterization of malicious data flows
KR20090087437A (ko) 트래픽 검출 방법 및 장치
KR102222377B1 (ko) 위협 대응 자동화 방법
US11457025B2 (en) Method and system for detecting and preventing data exfiltration attacks
US20220263846A1 (en) METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF
Seo et al. A study on efficient detection of network-based IP spoofing DDoS and malware-infected Systems
Nguyen et al. An efficient approach to reduce alerts generated by multiple IDS products
KR20020072618A (ko) 네트워크 기반 침입탐지 시스템
Nie et al. Intrusion detection using a graphical fingerprint model
KR20200044210A (ko) 무선 IoT장비에 대한 이상행위 패킷탐지 장치
EP2975818A1 (en) Method and system for enhancing the security of mobile devices

Legal Events

Date Code Title Description
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant