KR102254220B1 - 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법 및 이를 이용한 시스템 - Google Patents

익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법 및 이를 이용한 시스템 Download PDF

Info

Publication number
KR102254220B1
KR102254220B1 KR1020190128530A KR20190128530A KR102254220B1 KR 102254220 B1 KR102254220 B1 KR 102254220B1 KR 1020190128530 A KR1020190128530 A KR 1020190128530A KR 20190128530 A KR20190128530 A KR 20190128530A KR 102254220 B1 KR102254220 B1 KR 102254220B1
Authority
KR
South Korea
Prior art keywords
detection rule
sharing
personal information
network traffic
hash value
Prior art date
Application number
KR1020190128530A
Other languages
English (en)
Other versions
KR20210045562A (ko
Inventor
김강산
김성호
권영재
남동수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020190128530A priority Critical patent/KR102254220B1/ko
Publication of KR20210045562A publication Critical patent/KR20210045562A/ko
Application granted granted Critical
Publication of KR102254220B1 publication Critical patent/KR102254220B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법 및 이를 이용한 시스템이 개시된다. 본 발명에 따른 사이버 위협 정보 공유 방법은 공유 클라이언트가, 개인정보 익명화 정책을 기반으로 네트워크 트래픽의 개인 정보를 익명화하는 단계; 공유 서버가, 상기 공유 클라이언트로부터 수신된 익명화 데이터를 기반으로 신규 탐지규칙을 생성하는 단계; 및 상기 공유 클라이언트가, 상기 공유 서버로부터 상기 신규 탐지규칙을 공유받아 기정의된 탐지 규칙을 업데이트하는 단계를 포함한다.

Description

익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법 및 이를 이용한 시스템 {METHOD OF SHAREING CYBER THREAT INFORMATION BASED ON ANONYMIZED NETWORK TRAFFIC AND SYSTEM USING THE SAME}
본 발명은 익명화된 네트워크 트래픽을 기반으로 생성된 사이버 위협 정보를 공유하는 기술에 관한 것으로, 특히 사이버 위협을 공유하는 공유체계에서 네트워크 트래픽을 익명화하여 수집하고, 수집된 네트워크 트래픽으로 새로운 탐지규칙을 생성하여 공유하는 기술에 관한 것이다.
네트워크 트래픽을 수집하는데 있어서 주의할 점은 네트워크 트래픽을 통해 공개될 수 있는 개인정보를 보호하는 것이다. 네트워크 트래픽 정보에는 사용자의 IP 주소, MAC 주소, 통신 프로토콜 및 포트 번호와 함께 사용자가 방문한 웹페이지의 주소, 신용카드 번호, 암호화되지 않은 패스워드, 송수신된 이메일 내용 등이 포함될 수 있다.
현재 사용자의 IP 주소를 임의의 정보로 대체하는 익명화 기술이 존재한다. 또한, 전통적인 네트워크 침입 탐지시스템으로는 탐지할 수 없는 사이버 공격에 대응하기 위해 파일 기반의 사이버 위협 인텔리전스 공유 기술이 개발되고 있다.
한국 공개 특허 제10-2017-0079086호, 2017년 7월 10일 공개(명칭: IP 기반 네트워크에서 IP 주소를 익명화하는 기법 및 IP 기반 네트워크에서 IP 주소를 익명화하여 패킷을 전송하는 방법)
본 발명의 목적은 IP 주소에 한정하지 않고, 네트워크 트래픽에서 개인정보로 판단될 수 있는 모든 정보를 식별하여 익명화함으로써 탐지규칙 생성과정에서 개인정보의 유출 및 노출을 방지하는 것이다.
또한, 본 발명의 목적은 다수의 공유 클라이언트로부터 익명화된 데이터를 수집하여 위협정보를 추출하고, 추출된 위협정보로부터 생성된 새로운 위협탐지규칙을 공유함으로써 각각의 공유 클라이언트에 대해 신규 위협을 예방하는 것이다.
또한, 본 발명의 목적은 신규 탐지규칙 적용 시에는 익명화된 데이터를 복원함으로써 탐지규칙 적용 시 성능저하를 방지하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법은 공유 클라이언트가, 개인정보 익명화 정책을 기반으로 네트워크 트래픽의 개인 정보를 익명화하는 단계; 공유 서버가, 상기 공유 클라이언트로부터 수신된 익명화 데이터를 기반으로 신규 탐지규칙을 생성하는 단계; 및 상기 공유 클라이언트가, 상기 공유 서버로부터 상기 신규 탐지규칙을 공유받아 기정의된 탐지 규칙을 업데이트하는 단계를 포함한다.
이 때, 공유 클라이언트가, 상기 기정의된 탐지 규칙을 기반으로 상기 수집된 네트워크 트래픽을 통해 생성된 세션 스트림에 대한 탐지를 수행하는 단계를 더 포함하고, 상기 익명화하는 단계는 상기 탐지를 통해 상기 기정의된 탐지 규칙에 일치하는 일치 세션 스트림에 대해 수행될 수 있다.
이 때, 익명화하는 단계는 상기 일치 세션 스트림의 프로토콜 헤더를 기반으로 상기 개인 정보를 식별하여 익명화하는 익명화 1단계; 및 상기 일치 세션 스트림의 프로토콜 페이로드를 기반으로 상기 개인 정보를 식별하여 익명화하는 익명화 2단계를 포함할 수 있다.
이 때, 개인정보 익명화 정책은 식별된 모든 개인정보를 해시값으로 대체하는 1단계, 식별된 개인정보 중 일부만을 해시값으로 대체하는 2단계, 식별된 개인정보 중 IP 주소만 해시값으로 대체하는 3단계 및 식별된 개인정보 중 사용자가 지정한 부분만 해시값으로 대체하는 4단계에 상응하는 단계별 정책에 상응할 수 있다.
이 때, 익명화하는 단계는 익명화된 개인 정보를 복원하기 위한 매핑 테이블 및 상기 일치 세션 스트림에 대한 메타데이터를 생성하는 단계를 포함할 수 있다.
이 때, 매핑 테이블은 상기 개인 정보의 원본 데이터와 상기 개인 정보를 대체한 해시값을 매핑한 것에 상응하고, 상기 메타데이터는 상기 원본 데이터의 종류와 상기 해시값을 매핑한 것에 상응할 수 있다.
이 때, 공유 클라이언트가, 상기 기정의된 탐지 규칙, 상기 익명화 데이터 및 상기 메타데이터를 결합하여 상기 공유 서버로 전달하는 단계를 더 포함할 수 있다.
이 때, 신규 탐지규칙을 생성하는 단계는 상기 공유 클라이언트로부터 결합되어 전달받은 데이터를 기반으로 탐지규칙 데이터베이스를 업데이트하고, 업데이트된 탐지규칙 데이터베이스를 기반으로 상기 신규 탐지규칙을 생성할 수 있다.
이 때, 신규 탐지규칙을 생성하는 단계는 상기 공유 클라이언트 이외의 외부 소스를 기반으로 상기 탐지규칙 데이터베이스가 업데이트된 경우, 상기 공유 클라이언트로부터 데이터가 전달되는지 여부를 고려하지 않고 상기 신규 탐지규칙을 생성할 수 있다.
이 때, 신규 탐지규칙은 해시값이 포함된 익명화된 데이터 기반의 제1 타입 및 해시값이 포함되지 않은 제2 타입 중 어느 하나에 상응하고, 상기 기정의된 탐지 규칙을 업데이트하는 단계는 상기 신규 탐지규칙이 상기 제1 타입에 상응하는 경우, 상기 신규 탐지규칙에 상응하는 매핑 테이블을 기반으로 상기 신규 탐지규칙에 포함된 익명화된 데이터를 복원하는 단계를 포함할 수 있다.
이 때, 기정의된 탐지 규칙을 업데이트하는 단계는 상기 공유 클라이언트가, 기설정된 업데이트 주기마다 상기 공유 서버에게 상기 신규 탐지규칙의 공유를 요청하는 단계; 및 상기 공유 서버가, 상기 공유 클라이언트에 대한 인증을 수행하고, 상기 인증에 성공한 경우에 상기 신규 탐지규칙의 존재 여부를 고려하여 상기 요청에 대해 응답하는 단계를 포함할 수 있다.
또한, 본 발명의 일실시예에 따른 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 시스템은, 개인정보 익명화 정책을 기반으로 네트워크 트래픽의 개인 정보를 익명화하는 공유 클라이언트; 및 상기 공유 클라이언트로부터 수신된 익명화 데이터를 기반으로 신규 탐지규칙을 생성하는 공유 서버를 포함하고, 상기 공유 클라이언트는 상기 공유 서버로부터 상기 신규 탐지규칙을 공유받아 기정의된 탐지 규칙을 업데이트 한다.
이 때, 공유 클라이언트는 상기 기정의된 탐지 규칙을 기반으로 상기 수집된 네트워크 트래픽을 통해 생성된 세션 스트림에 대한 탐지를 수행하고, 상기 탐지를 통해 상기 기정의된 탐지 규칙에 일치하는 일치 세션 스트림에 대해 익명화를 수행할 수 있다.
이 때, 공유 클라이언트는 상기 일치 세션 스트림의 프로토콜 헤더를 기반으로 상기 개인 정보를 식별하여 1단계 익명화를 수행하고, 상기 일치 세션 스트림의 프로토콜 페이로드를 기반으로 상기 개인 정보를 식별하여 2단계 익명화를 수행할 수 있다.
이 때, 개인정보 익명화 정책은 식별된 모든 개인정보를 해시값으로 대체하는 1단계, 식별된 개인정보 중 일부만을 해시값으로 대체하는 2단계, 식별된 개인정보 중 IP 주소만 해시값으로 대체하는 3단계 및 식별된 개인정보 중 사용자가 지정한 부분만 해시값으로 대체하는 4단계에 상응하는 단계별 정책에 상응할 수 있다.
이 때, 공유 클라이언트는 익명화된 개인 정보를 복원하기 위한 매핑 테이블 및 상기 일치 세션 스트림에 대한 메타데이터를 생성할 수 있다.
이 때, 매핑 테이블은 상기 개인 정보의 원본 데이터와 상기 개인 정보를 대체한 해시값을 매핑한 것에 상응하고, 상기 메타데이터는 상기 원본 데이터의 종류와 상기 해시값을 매핑한 것에 상응할 수 있다.
이 때, 공유 클라이언트는 상기 기정의된 탐지 규칙, 상기 익명화 데이터 및 상기 메타데이터를 결합하여 상기 공유 서버로 전달할 수 있다.
이 때, 공유 서버는 상기 공유 클라이언트로부터 결합되어 전달받은 데이터를 기반으로 탐지규칙 데이터베이스를 업데이트하고, 업데이트된 탐지규칙 데이터베이스를 기반으로 상기 신규 탐지규칙을 생성할 수 있다.
이 때, 공유 서버는 상기 공유 클라이언트 이외의 외부 소스를 기반으로 상기 탐지규칙 데이터베이스가 업데이트된 경우, 상기 공유 클라이언트로부터 데이터가 전달되는지 여부를 고려하지 않고 상기 신규 탐지규칙을 생성할 수 있다.
이 때, 신규 탐지규칙은 해시값이 포함된 익명화된 데이터 기반의 제1 타입 및 해시값이 포함되지 않은 제2 타입 중 어느 하나에 상응하고, 상기 공유 클라이언트는 상기 신규 탐지규칙이 상기 제1 타입에 상응하는 경우, 상기 신규 탐지규칙에 상응하는 매핑 테이블을 기반으로 상기 신규 탐지규칙에 포함된 익명화된 데이터를 복원할 수 있다.
이 때, 공유 클라이언트는 기설정된 업데이트 주기마다 상기 공유 서버에게 상기 신규 탐지규칙의 공유를 요청하고, 상기 공유 서버는 상기 공유 클라이언트에 대한 인증을 수행하고, 상기 인증에 성공한 경우에 상기 신규 탐지규칙의 존재 여부를 고려하여 상기 요청에 대해 응답할 수 있다.
본 발명에 따르면, IP 주소에 한정하지 않고, 네트워크 트래픽에서 개인정보로 판단될 수 있는 모든 정보를 식별하여 익명화함으로써 탐지규칙 생성과정에서 개인정보의 유출 및 노출을 방지할 수 있다.
또한, 본 발명은 다수의 공유 클라이언트로부터 익명화된 데이터를 수집하여 위협정보를 추출하고, 추출된 위협정보로부터 생성된 새로운 위협탐지규칙을 공유함으로써 각각의 공유 클라이언트에 대해 신규 위협을 예방할 수 있다.
또한, 본 발명은 신규 탐지규칙 적용 시에는 익명화된 데이터를 복원함으로써 탐지규칙 적용 시 성능저하를 방지할 수 있다.
도 1은 본 발명의 일실시예에 따른 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 시스템을 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법을 나타낸 동작흐름도이다.
도 3은 도 2에 도시된 사이버 위협 정보 공유 방법 중 네트워크 트래픽을 수집하는 과정을 상세하게 나타낸 동작흐름도이다.
도 4는 본 발명에 따른 매핑 테이블의 일 예를 나타낸 도면이다.
도 5는 본 발명에 따른 메타데이터의 일 예를 나타낸 도면이다.
도 6은 도 2에 도시된 사이버 위협 정보 공유 방법 중 개인 정보를 익명화하는 과정을 상세하게 나타낸 동작흐름도이다.
도 7은 도 2에 도시된 사이버 위협 정보 공유 방법 중 신규 탐지규칙을 생성하는 과정을 상세하게 나타낸 동작흐름도이다.
도 8은 본 발명의 일실시예에 따른 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 과정을 상세하게 나타낸 도면이다.
도 9는 본 발명의 일실시예에 따른 공유 클라이언트를 나타낸 블록도이다.
도 10은 본 발명의 일실시예에 따른 공유 서버를 나타낸 블록도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일실시예에 따른 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 시스템을 나타낸 도면이다.
도 1을 참조하면, 본 발명의 일실시예에 따른 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 시스템은 적어도 하나의 공유 서버(101, 102) 및 적어도 하나의 공유 클라이언트(111~115)를 기반으로 계층적으로 구성될 수 있다.
이 때, 공유 서버(101)는 계층의 최상위에서 공유 클라이언트(111), 공유 클라이언트(112) 및 공유 클라이언트(113)와 연결되어 익명화된 네트워크 트래픽을 수집하고, 탐지규칙을 공유할 수 있다.
이 때, 공유 클라이언트(111)와 공유 클라이언트(112)는 계층의 종단에 위치하면서, 각각 호스트 1, 2 및 호스트 3, 4와 네트워크를 구성할 수 있다.
또한, 공유 클라이언트(113)는 호스트 5, 6과 네트워크를 구성함과 도시에 공유 서버(102)와도 연결됨으로써 공유 서버(101)에서 공유 받은 탐지규칙을 공유 서버(102)에게 전달해줄 수도 있다. 이 때, 공유 서버(102)에서 수집한 익명화된 네트워크 트래픽은 공유 클라이언트(113)를 통해 공유 서버(101)에게 제공될 수도 있다.
이 때, 공유 서버(102)는 공유 클라이언트(114) 및 공유 클라이언트(115)와 연결되어 익명화된 네트워크 트래픽을 수집하고, 탐지규칙을 공유할 수 있다.
이하에서는 공유 서버(101, 102)들과 공유 클라이언트(111~115)들이 상호간의 통신을 기반으로 익명화된 네트워크 트래픽 기반의 탐지규칙을 공유하는 과정을 상세하게 설명하도록 한다.
도 2는 본 발명의 일실시예에 따른 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법을 나타낸 동작흐름도이다.
도 2를 참조하면, 본 발명의 일실시예에 따른 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법은 공유 클라이언트가, 개인정보 익명화 정책을 기반으로 네트워크 트래픽의 개인 정보를 익명화한다(S210).
이 때, 공유 클라이언트는 별도의 네트워크 트래픽 센서를 이용하여 네트워크 트래픽을 수집할 수 있다.
이 때, 공유 클라이언트는 수집된 네트워크 트래픽을 이용하여 세션 스트림을 생성하고, 생성된 세션 스트림에 대해 기정의된 탐지규칙을 기반으로 한 탐지를 수행할 수 있다. 이 때, 세션 스트림은 하나의 세션에 대해 수집된 패킷들을 결합하는 과정을 통해 생성될 수 있다.
이 후, 탐지를 통해 기정의된 탐지규칙에 일치하는 일치 세션 스트림에 대해서 익명화 과정을 수행할 수 있다.
예를 들어, 도 3을 참조하면, 먼저 공유 클라이언트는 수집된 네트워크 트래픽을 기반으로 하나의 세션 스트림을 생성할 수 있다(S310).
이 후, 공유 클라이언트가 관리하는 기정의된 탐지규칙을 기반으로 생성된 세션 스트림에 대한 탐지를 수행할 수 있다(S320).
이 후, 세션 스트림에서 위협이 탐지되었는지 여부를 판단하고(S325), 위협이 탐지되면 탐지결과 데이터를 생성하고(S330) 익명화 단계를 수행할 수 있다.
이 때, 탐지결과 데이터는 위협이 탐지된 세션 스트림 정보와 해당 세션 스트림에서 일치된 탐지 규칙에 상응할 수 있다.
또한, 단계(S325)의 판단결과 세션 스트림에서 위혐이 탐지되지 않으면, 해당 네트워크 트래픽을 공유할 필요가 없다고 판단하고, 익명화 과정을 종료할 수 있다.
이 후, 익명화 과정은 일치 세션 스트림의 프로토콜을 식별하는 과정을 기반으로 수행될 수 있다.
먼저, 일치 세션 스트림의 프로토콜 헤더를 기반으로 개인 정보를 식별하여 익명화할 수 있다. 이 때, 미리 정의된 프로토콜 헤더의 구조 정보를 기반으로 일치 세션 스트림에서 각 네트워크 계층 헤더 부분에 포함된 개인정보를 식별할 수 있다. 예를 들어, 각 네트워크 계층 헤더 부분에 포함된 개인정보로는 IP 계층의 Source, Destination, TCP 계층의 Source Port, Destination Port, HTTP 계층의 Host, User-Agent 등에 상응할 수 있다.
이 때, 익명화하는 방법은 식별된 각각의 개인정보의 값을 해시값으로 대체하는 과정에 상응할 수 있다.
이 때, 개인정보 익명화 정책은 식별된 모든 개인정보를 해시값으로 대체하는 1단계, 식별된 개인정보 중 일부만을 해시값으로 대체하는 2단계, 식별된 개인정보 중 IP 주소만 해시값으로 대체하는 3단계 및 식별된 개인정보 중 사용자가 지정한 부분만 해시값으로 대체하는 4단계에 상응하는 단계별 정책에 상응할 수 있다.
예를 들어, 2단계에 상응하는 개인정보 익명화 정책의 경우, IP 헤더, TCP/UDP 헤더 및 응용계층 헤더에 포함된 개인정보만 해시값으로 대체하여 익명화를 수행할 수 있다.
다른 예를 들어, 4단계에 상응하는 개인정보 익명화 정책의 경우, 식별될 수 있는 모든 개인정보 중 사용자가 지정한 개인정보만을 해시값으로 대체하여 익명화를 수행할 수도 있다.
이와 같은 익명화 과정을 통해 일치 세션 스트림에 포함된 개인정보를 해시값으로 대체함으로써 개인정보가 제거된 세션 스트림, 즉 익명화된 세션 스트림을 생성할 수 있다.
이 때, 익명화된 개인 정보를 복원하기 위한 매핑 테이블 및 일치 세션 스트림에 대한 메타데이터를 생성할 수 있다.
이 때, 매핑 테이블은 개인 정보의 원본 데이터와 개인 정보를 대체한 해시값을 매핑한 것에 상응하고, 메타데이터는 원본 데이터의 종류와 해시값을 매핑한 것에 상응할 수 있다.
예를 들어, 도 4에 도시된 것처럼 개인정보에 해당하는 IP 주소와 전화번호의 원본 데이터를 각각의 해시값과 매핑하여 매핑 테이블을 생성할 수 있다. 또한, 도 5에 도시된 것처럼 각 개인정보의 데이터 종류를 나타낸 데이터를 각각의 해시값과 매핑하여 메타데이터를 생성할 수도 있다.
이 때, 각각의 개인정보에 대해 이미 생성된 매핑 테이블이나 메타데이터가 존재하는 경우, 익명화 단계를 통해 이미 존재하는 매핑 테이블이나 메타데이터를 업데이트할 수도 있다.
또한, 프로토콜 헤더에 대한 개인정보 익명화 과정을 종료되면, 일치 세션 스트림의 프로토콜 페이로드를 기반으로 개인 정보를 식별하여 익명화할 수 있다.
또한, 도 2에는 도시하지 아니하였으나, 본 발명의 일실시예에 따른 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법은, 공유 클라이언트가 기정의된 탐지규칙, 익명화 데이터 및 메타데이터를 결합하여 공유 서버로 전달할 수 있다.
예를 들어, 도 6을 참조하면, 공유 클라이언트에 기정의된 탐지규칙을 통해 탐지된 일치 세션 스트림의 프로토콜을 식별할 수 있다(S610).
이 후, 프로토콜 헤더를 기반으로 개인정보를 식별하고(S630), 식별된 개인정보를 해시값으로 대체하여 프로토콜 헤더에 포함된 개인정보에 대한 익명화를 수행할 수 있다.
이 후, 익명화된 개인정보에 대한 매핑테이블과 메타데이터를 생성하거나 갱신하는 과정을 수행할 수 있다(S640, S650).
이 후, 공유 어플리케이션은 일치 세션 스트림의 프로토콜 페이로드에 대한 개인정보 식별이 수행되었는지 여부를 판단하고(S655), 페이로드에 대해 개인정보 식별을 수행하지 않았으면, 식별된 프로토콜 페이로드 중 개인정보를 식별한 뒤(S660) 단계(S630)을 통해 페이로드에서 식별된 개인정보를 익명화하는 단계를 다시 수행할 수 있다.
이 때, 페이로드에 대한 개인정보 식별이란, 네트워크 계층의 가장 높은 단계인 페이로드 부분에 대해 익명화 정책에 기반하여 개인정보를 식별하는 과정을 의미할 수 있다. 예를 들어, 프로토콜의 페이로드에서는 개인정보로는 핸드폰번호, 신용카드 번호, 주민등록번호 등의 개인정보가 식별될 수 있다.
이 후, 단계(S655)의 판단결과 프로토콜 페이로드에 대한 개인정보 식별이 수행되었으면, 익명화를 통해 해시값으로 대체된 익명화된 세션 스트림을 생성할 수 있다(S670).
이 후, 공유 클라이언트는 공유 서버로 전달할 데이터 결합하여 공유 서버로 결합된 데이터를 전달할 수 있다(S680).
이 때, 결합된 데이터에는 해시값으로 대체된 세션 스트림, 일치 세션 스트림을 탐지하는데 사용된 탐지 규칙 및 메타데이터 등이 포함될 수 있다.
또한, 본 발명의 일실시예에 따른 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법은 공유 서버가, 공유 클라이언트로부터 수신된 익명화 데이터를 기반으로 신규 탐지규칙을 생성한다(S220).
이 때, 공유 서버는 공유 클라이언트로부터 결합되어 전달받은 데이터를 기반으로 탐지규칙 데이터베이스를 업데이트하고, 업데이트된 탐지규칙 데이터베이스를 기반으로 신규 탐지규칙을 생성할 수 있다.
예를 들어, 도 7을 참조하면, 공유 서버는 공유 클라이언트로부터 결합된 데이터를 수신하면(S710), 수신된 데이터를 탐지규칙 데이터베이스에 저장함으로써 탐지규칙 데이터베이스를 업데이트할 수 있다(S720).
이 후, 공유 서버는 업데이트된 탐지규칙 데이터베이스를 분석하여 신규 탐지규칙을 생성가능한지 여부를 판단할 수 있다(S725).
이 때, 공유 클라이언트로부터 수신된 결합된 데이터와 다른 소스를 통해 수집된 데이터를 분석하는 과정을 통해 신규로 생성할 탐지규칙이 존재하는지 여부를 판단할 수 있다. 예를 들어, 공유 클라이언트로부터 수신된 일치 세션 스트림을 탐지하는데 사용된 탐지규칙, 해시값으로 대체된 익명화된 세션 스트림, 이에 대한 메타데이터와 함께 공유 클라이언트가 아닌 다른 루트로 수신된 데이터들을 분석할 수 있다.
이 때, 다른 소스로부터 획득한 OSINT(Open Source Intelligent) 등의 추가정보를 공유 클라이언트로부터 수신된 데이터와 함께 분석할 수 있다.
단계(S725)의 판단결과, 신규로 생성할 탐지규칙이 존재하는 경우에 신규 탐지규칙을 생성할 수 있다(S725).
이 때, 새롭게 생성된 신규 탐지규칙은 해시값이 포함된 탐지규칙에 상응할 수 있다.
또한, 단계(S725)의 판단결과 탐지규칙 데이터베이스가 업데이트되더라도 신규로 생성할 탐지규칙이 존재하지 않는 것으로 판단되는 경우에는 신규 탐지규칙을 생성하지 않고 단계를 종료할 수도 있다.
이 때, 공유 클라이언트 이외의 외부 소스를 기반으로 탐지규칙 데이터베이스가 업데이트된 경우, 공유 클라이언트로부터 데이터가 전달되는지 여부를 고려하지 않고 신규 탐지규칙을 생성할 수 있다.
이 때, 외부 소스를 기반으로 생성된 신규 탐지규칙은 해시값을 포함하지 않는 탐지규칙에 상응할 수 있다.
즉, 공유 서버에서 생성되는 신규 탐지규칙은 해시값이 포함된 익명화된 데이터 기반의 제1 타입 및 해시값이 포함되지 않은 제2 타입 중 어느 하나에 상응할 수 있다.
또한, 본 발명의 일실시예에 따른 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법은 공유 클라이언트가, 공유 서버로부터 신규 탐지규칙을 공유 받아 기정의된 탐지 규칙을 업데이트한다(S230).
이 때, 공유 클라이언트는 기설정된 업데이트 주기마다 공유 서버에게 신규 탐지 규칙의 공유를 요청할 수 있고, 요청에 의해 공유받은 신규 탐지규칙을 기반으로 기정의된 탐지규칙을 업데이트할 수 있다.
이 때, 공유 서버는 신규 탐지규칙의 공유를 요청한 공유 클라이언트에 대해 인증을 수행하고, 인증에 성공한 경우에 해당 공유 클라이언트에게 공유할 신규 탐지규칙의 존재 여부를 고려하여 요청에 대해 응답할 수 있다.
만약, 공유할 신규 탐지규칙이 존재하지 않는 경우, 공유할 신규 탐지규칙이 없다는 응답을 회신할 수 있다.
이 때, 공유 클라이언트는, 신규 탐지규칙이 제1 타입에 상응하는 경우에 신규 탐지규칙에 상응하는 매핑 테이블을 기반으로 신규 탐지규칙에 포함된 익명화된 데이터를 복원할 수 있다. 즉, 도 4 및 도 5에 도시된 것과 같이 해시값에 매핑된 정보를 기반으로 신규 탐지규칙의 원본 데이터를 복원할 수 있다.
예를 들어, 도 8을 참조하면, 공유 클라이언트(810)가 주기에 따라 공유 서버(820)에게 신규 탐지규칙을 요청하면(S802), 공유 서버(820)는 공유 클라이언트(810)에 대한 인증을 수행하여 인증 성공 여부를 판단할 수 있다(S804).
이 때, 공유 클라이언트(810)에 대한 인증은 탐지규칙 공유 요청 메시지에 포함된 API KEY를 통해 수행하거나 다양한 인증방식을 이용할 수 있다.
이 때, 단계(S804)의 판단결과 인증이 실패하면 신규 탐지규칙 공유를 종료할 수 있다.
또한, 단계(S804)의 판단결과 인증이 성공하면, 공유 클라이언트(810)에게 공유할 신규 탐지규칙이 존재하는지 여부를 판단할 수 있다(S806).
이 때, 단계(S806)의 판단결과 공유 클라이언트(810)에게 배포할 신규 탐지규칙이 존재하지 않으면, 공유 클라이언트(810)에게 공유할 신규 탐지규칙이 없음을 응답할 수 있다(S808).
또한, 단계(S806)의 판단결과 공유 클라이언트(810)에게 배포할 신규 탐지규칙이 존재하면, 공유 클라이언트(810)에게 신규 탐지규칙을 공유해줄 수 있다(S810).
이 후, 공유 클라이언트(810)는 공유받은 신규 탐지규칙이 해시값이 포함된 제1 타입에 해당하는지 여부를 판단하고(S812), 제1 타입인 경우에는 신규 탐지규칙에 포함된 해시값을 제거가능한지 여부를 판단할 수 있다(S814).
단계(S814)의 판단결과 해시값을 제거할 수 없으면, 탐지규칙 데이터베이스를 업데이트하지 않고 종료할 수 있다.
또한, 단계(S814)의 판단결과 해시값을 제거할 수 있으면, 신규 탐지규칙의 원본 데이터를 복원하고(S816), 복원된 신규 탐지규칙을 탐지규칙 데이터베이스에 업데이트할 수 있다(S818).
이 후, 공유 클라이언트(810)는 복원된 신규 탐지규칙을 공유 서버(820)에게도 전달하여 공유할 수 있다(S818).
또한, 단계(S812)의 판단결과 신규 탐지규칙이 제1 타입이 아니면, 복원과정없이 바로 탐지규칙 데이터베이스에 신규 탐지규칙을 업데이트할 수 있다.
또한, 도 2에는 도시하지 아니하였으나, 본 발명의 일실시예에 따른 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법은 상술한 바와 같이 본 발명의 일실시예에 따른 사이버 위협 정보 공유 과정에서 발생되는 다양한 정보를 별도의 저장모듈에 저장한다.
이와 같은 사이버 위협 정보 공유 방법을 통해 IP 주소에 한정하지 않고, 네트워크 트래픽에서 개인정보로 판단될 수 있는 모든 정보를 식별하여 익명화함으로써 탐지규칙 생성과정에서 개인정보의 유출 및 노출을 방지할 수 있다.
또한, 다수의 공유 클라이언트로부터 익명화된 데이터를 수집하여 위협정보를 추출하고, 추출된 위협정보로부터 생성된 새로운 위협탐지규칙을 공유함으로써 각각의 공유 클라이언트에 대해 신규 위협을 예방할 수 있으며, 신규 탐지규칙 적용 시에는 익명화된 데이터를 복원함으로써 탐지규칙 적용 시 성능저하를 방지할 수도 있다.
도 9는 본 발명의 일실시예에 따른 공유 클라이언트를 나타낸 블록도이다.
도 9를 참조하면, 본 발명의 일실시예에 따른 공유 클라이언트는 네트워크 트래픽 획득부(910), 세션 스트림 생성부(920), 개인정보 익명화부(930), 데이터 전송부(940), 신규 탐지규칙 요청부(950) 및 탐지규칙 저장부(960)를 포함한다.
도 10은 본 발명의 일실시예에 따른 공유 서버를 나타낸 블록도이다.
도 10을 참조하면, 본 발명의 일실시예에 따른 공유 서버는 데이터 수신부(1010), 탐지규칙 생성부(1020), 사이버 위협 정보 공유부(1030) 및 탐지규칙 데이터베이스(1040)를 포함한다.
이하에서는, 도 9 내지 도 10에 도시된 공유 클라이언트와 공유 서버를 기반으로 탐지규칙을 공유하는 과정을 상세하게 설명하도록 한다.
먼저, 네트워크 트래픽 획득부(910)는 별도의 네트워크 트래픽 센서를 이용하여 네트워크 트래픽을 수집할 수 있다.
이 후, 세션 스트림 생성 및 탐지부(920)는 수집된 네트워크 트래픽을 이용하여 세션 스트림을 생성하고, 생성된 세션 스트림에 대해 기정의된 탐지규칙을 기반으로 한 탐지를 수행할 수 있다. 이 때, 세션 스트림은 하나의 세션에 대해 수집된 패킷들을 결합하는 과정을 통해 생성될 수 있다.
이 후, 개인정보 익명화부(930)는 탐지를 통해 기정의된 탐지규칙에 일치하는 일치 세션 스트림에 대해서 익명화 과정을 수행할 수 있다.
이 때, 개인정보 익명화 정책을 기반으로 네트워크 트래픽의 개인 정보를 익명화할 수 있다.
예를 들어, 도 3을 참조하면, 먼저 공유 클라이언트는 수집된 네트워크 트래픽을 기반으로 하나의 세션 스트림을 생성할 수 있다(S310).
이 후, 공유 클라이언트가 관리하는 기정의된 탐지규칙을 기반으로 생성된 세션 스트림에 대한 탐지를 수행할 수 있다(S320).
이 후, 세션 스트림에서 위협이 탐지되었는지 여부를 판단하고(S325), 위협이 탐지되면 탐지결과 데이터를 생성하고(S330) 익명화 단계를 수행할 수 있다.
이 때, 탐지결과 데이터는 위협이 탐지된 세션 스트림 정보와 해당 세션 스트림에서 일치된 탐지 규칙에 상응할 수 있다.
또한, 단계(S325)의 판단결과 세션 스트림에서 위혐이 탐지되지 않으면, 해당 네트워크 트래픽을 공유할 필요가 없다고 판단하고, 익명화 과정을 종료할 수 있다.
이 후, 익명화 과정은 일치 세션 스트림의 프로토콜을 식별하는 과정을 기반으로 수행될 수 있다.
먼저, 일치 세션 스트림의 프로토콜 헤더를 기반으로 개인 정보를 식별하여 익명화할 수 있다. 이 때, 미리 정의된 프로토콜 헤더의 구조 정보를 기반으로 일치 세션 스트림에서 각 네트워크 계층 헤더 부분에 포함된 개인정보를 식별할 수 있다. 예를 들어, 각 네트워크 계층 헤더 부분에 포함된 개인정보로는 IP 계층의 Source, Destination, TCP 계층의 Source Port, Destination Port, HTTP 계층의 Host, User-Agent 등에 상응할 수 있다.
이 때, 익명화하는 방법은 식별된 각각의 개인정보의 값을 해시값으로 대체하는 과정에 상응할 수 있다.
이 때, 개인정보 익명화 정책은 식별된 모든 개인정보를 해시값으로 대체하는 1단계, 식별된 개인정보 중 일부만을 해시값으로 대체하는 2단계, 식별된 개인정보 중 IP 주소만 해시값으로 대체하는 3단계 및 식별된 개인정보 중 사용자가 지정한 부분만 해시값으로 대체하는 4단계에 상응하는 단계별 정책에 상응할 수 있다.
예를 들어, 2단계에 상응하는 개인정보 익명화 정책의 경우, IP 헤더, TCP/UDP 헤더 및 응용계층 헤더에 포함된 개인정보만 해시값으로 대체하여 익명화를 수행할 수 있다.
다른 예를 들어, 4단계에 상응하는 개인정보 익명화 정책의 경우, 식별될 수 있는 모든 개인정보 중 사용자가 지정한 개인정보만을 해시값으로 대체하여 익명화를 수행할 수도 있다.
이와 같은 익명화 과정을 통해 일치 세션 스트림에 포함된 개인정보를 해시값으로 대체함으로써 개인정보가 제거된 세션 스트림, 즉 익명화된 세션 스트림을 생성할 수 있다.
이 때, 익명화된 개인 정보를 복원하기 위한 매핑 테이블 및 일치 세션 스트림에 대한 메타데이터를 생성할 수 있다.
이 때, 매핑 테이블은 개인 정보의 원본 데이터와 개인 정보를 대체한 해시값을 매핑한 것에 상응하고, 메타데이터는 원본 데이터의 종류와 해시값을 매핑한 것에 상응할 수 있다.
예를 들어, 도 4에 도시된 것처럼 개인정보에 해당하는 IP 주소와 전화번호의 원본 데이터를 각각의 해시값과 매핑하여 매핑 테이블을 생성할 수 있다. 또한, 도 5에 도시된 것처럼 각 개인정보의 데이터 종류를 나타낸 데이터를 각각의 해시값과 매핑하여 메타데이터를 생성할 수도 있다.
이 때, 각각의 개인정보에 대해 이미 생성된 매핑 테이블이나 메타데이터가 존재하는 경우, 익명화 단계를 통해 이미 존재하는 매핑 테이블이나 메타데이터를 업데이트할 수도 있다.
또한, 프로토콜 헤더에 대한 개인정보 익명화 과정을 종료되면, 일치 세션 스트림의 프로토콜 페이로드를 기반으로 개인 정보를 식별하여 익명화할 수 있다.
이 후, 데이터 전송부(940)는 기정의된 탐지규칙, 익명화 데이터 및 메타데이터를 결합하여 공유 서버로 전달할 수 있다.
예를 들어, 도 6을 참조하면, 공유 클라이언트에 기정의된 탐지규칙을 통해 탐지된 일치 세션 스트림의 프로토콜을 식별할 수 있다(S610).
이 후, 프로토콜 헤더를 기반으로 개인정보를 식별하고(S630), 식별된 개인정보를 해시값으로 대체하여 프로토콜 헤더에 포함된 개인정보에 대한 익명화를 수행할 수 있다.
이 후, 익명화된 개인정보에 대한 매핑테이블과 메타데이터를 생성하거나 갱신하는 과정을 수행할 수 있다(S640, S650).
이 후, 공유 어플리케이션은 일치 세션 스트림의 프로토콜 페이로드에 대한 개인정보 식별이 수행되었는지 여부를 판단하고(S655), 페이로드에 대해 개인정보 식별을 수행하지 않았으면, 식별된 프로토콜 페이로드 중 개인정보를 식별한 뒤(S660) 단계(S630)을 통해 페이로드에서 식별된 개인정보를 익명화하는 단계를 다시 수행할 수 있다.
이 때, 페이로드에 대한 개인정보 식별이란, 네트워크 계층의 가장 높은 단계인 페이로드 부분에 대해 익명화 정책에 기반하여 개인정보를 식별하는 과정을 의미할 수 있다. 예를 들어, 프로토콜의 페이로드에서는 개인정보로는 핸드폰번호, 신용카드 번호, 주민등록번호 등의 개인정보가 식별될 수 있다.
이 후, 단계(S655)의 판단결과 프로토콜 페이로드에 대한 개인정보 식별이 수행되었으면, 익명화를 통해 해시값으로 대체된 익명화된 세션 스트림을 생성할 수 있다(S670).
이 후, 공유 클라이언트는 공유 서버로 전달할 데이터 결합하여 공유 서버로 결합된 데이터를 전달할 수 있다(S680).
이 때, 결합된 데이터에는 해시값으로 대체된 세션 스트림, 일치 세션 스트림을 탐지하는데 사용된 탐지 규칙 및 메타데이터 등이 포함될 수 있다.
이 후, 데이터 수신부(1010)는 공유 클라이언트로부터 익명화 데이터, 즉 결합되어 전달되는 데이터를 수신할 수 있다.
이 후, 탐지규칙 생성부(1020)는 공유 클라이언트로부터 수신된 익명화 데이터를 기반으로 신규 탐지규칙을 생성할 수 있다.
이 때, 공유 클라이언트로부터 결합되어 전달받은 데이터를 기반으로 탐지규칙 데이터베이스를 업데이트하고, 업데이트된 탐지규칙 데이터베이스를 기반으로 신규 탐지규칙을 생성할 수 있다.
예를 들어, 도 7을 참조하면, 공유 서버는 공유 클라이언트로부터 결합된 데이터를 수신하면(S710), 수신된 데이터를 탐지규칙 데이터베이스에 저장함으로써 탐지규칙 데이터베이스를 업데이트할 수 있다(S720).
이 후, 공유 서버는 업데이트된 탐지규칙 데이터베이스를 분석하여 신규 탐지규칙을 생성가능한지 여부를 판단할 수 있다(S725).
이 때, 공유 클라이언트로부터 수신된 결합된 데이터와 다른 소스를 통해 수집된 데이터를 분석하는 과정을 통해 신규로 생성할 탐지규칙이 존재하는지 여부를 판단할 수 있다. 예를 들어, 공유 클라이언트로부터 수신된 일치 세션 스트림을 탐지하는데 사용된 탐지규칙, 해시값으로 대체된 익명화된 세션 스트림, 이에 대한 메타데이터와 함께 공유 클라이언트가 아닌 다른 루트로 수신된 데이터들을 분석할 수 있다.
이 때, 다른 소스로부터 획득한 OSINT(Open Source Intelligent) 등의 추가정보를 공유 클라이언트로부터 수신된 데이터와 함께 분석할 수 있다.
단계(S725)의 판단결과, 신규로 생성할 탐지규칙이 존재하는 경우에 신규 탐지규칙을 생성할 수 있다(S725).
이 때, 새롭게 생성된 신규 탐지규칙은 해시값이 포함된 탐지규칙에 상응할 수 있다.
또한, 단계(S725)의 판단결과 탐지규칙 데이터베이스가 업데이트되더라도 신규로 생성할 탐지규칙이 존재하지 않는 것으로 판단되는 경우에는 신규 탐지규칙을 생성하지 않고 단계를 종료할 수도 있다.
이 때, 공유 클라이언트 이외의 외부 소스를 기반으로 탐지규칙 데이터베이스가 업데이트된 경우, 공유 클라이언트로부터 데이터가 전달되는지 여부를 고려하지 않고 신규 탐지규칙을 생성할 수 있다.
이 때, 외부 소스를 기반으로 생성된 신규 탐지규칙은 해시값을 포함하지 않는 탐지규칙에 상응할 수 있다.
즉, 공유 서버에서 생성되는 신규 탐지규칙은 해시값이 포함된 익명화된 데이터 기반의 제1 타입 및 해시값이 포함되지 않은 제2 타입 중 어느 하나에 상응할 수 있다.
이 후, 신규 탐지규칙 요청부(950)가 공유 서버로 신규 탐지규칙의 공유를 요청하면, 사이버 위협 정보 공유부(1030)가 신규 탐지규칙을 공유해줄 수 있다.
이 때, 탐지규칙 저장부(960)는 신규 탐지규칙을 공유 받아 기정의된 탐지 규칙을 업데이트할 수 있다.
이 때, 공유 클라이언트는 기설정된 업데이트 주기마다 공유 서버에게 신규 탐지 규칙의 공유를 요청할 수 있고, 요청에 의해 공유받은 신규 탐지규칙을 기반으로 기정의된 탐지규칙을 업데이트할 수 있다.
이 때, 공유 서버는 신규 탐지규칙의 공유를 요청한 공유 클라이언트에 대해 인증을 수행하고, 인증에 성공한 경우에 해당 공유 클라이언트에게 공유할 신규 탐지규칙의 존재 여부를 고려하여 요청에 대해 응답할 수 있다.
만약, 공유할 신규 탐지규칙이 존재하지 않는 경우, 공유할 신규 탐지규칙이 없다는 응답을 회신할 수 있다.
이 때, 공유 클라이언트는, 신규 탐지규칙이 제1 타입에 상응하는 경우에 신규 탐지규칙에 상응하는 매핑 테이블을 기반으로 신규 탐지규칙에 포함된 익명화된 데이터를 복원할 수 있다. 즉, 도 4 및 도 5에 도시된 것과 같이 해시값에 매핑된 정보를 기반으로 신규 탐지규칙의 원본 데이터를 복원할 수 있다.
예를 들어, 도 8을 참조하면, 공유 클라이언트(810)가 주기에 따라 공유 서버(820)에게 신규 탐지규칙을 요청하면(S802), 공유 서버(820)는 공유 클라이언트(810)에 대한 인증을 수행하여 인증 성공 여부를 판단할 수 있다(S804).
이 때, 공유 클라이언트(810)에 대한 인증은 탐지규칙 공유 요청 메시지에 포함된 API KEY를 통해 수행하거나 다양한 인증방식을 이용할 수 있다.
이 때, 단계(S804)의 판단결과 인증이 실패하면 신규 탐지규칙 공유를 종료할 수 있다.
또한, 단계(S804)의 판단결과 인증이 성공하면, 공유 클라이언트(810)에게 공유할 신규 탐지규칙이 존재하는지 여부를 판단할 수 있다(S806).
이 때, 단계(S806)의 판단결과 공유 클라이언트(810)에게 배포할 신규 탐지규칙이 존재하지 않으면, 공유 클라이언트(810)에게 공유할 신규 탐지규칙이 없음을 응답할 수 있다(S808).
또한, 단계(S806)의 판단결과 공유 클라이언트(810)에게 배포할 신규 탐지규칙이 존재하면, 공유 클라이언트(810)에게 신규 탐지규칙을 공유해줄 수 있다(S810).
이 후, 공유 클라이언트(810)는 공유받은 신규 탐지규칙이 해시값이 포함된 제1 타입에 해당하는지 여부를 판단하고(S812), 제1 타입인 경우에는 신규 탐지규칙에 포함된 해시값을 제거가능한지 여부를 판단할 수 있다(S814).
단계(S814)의 판단결과 해시값을 제거할 수 없으면, 탐지규칙 데이터베이스를 업데이트하지 않고 종료할 수 있다.
또한, 단계(S814)의 판단결과 해시값을 제거할 수 있으면, 신규 탐지규칙의 원본 데이터를 복원하고(S816), 복원된 신규 탐지규칙을 탐지규칙 데이터베이스에 업데이트할 수 있다(S818).
이 후, 공유 클라이언트(810)는 복원된 신규 탐지규칙을 공유 서버(820)에게도 전달하여 공유할 수 있다(S818).
또한, 단계(S812)의 판단결과 신규 탐지규칙이 제1 타입이 아니면, 복원과정없이 바로 탐지규칙 데이터베이스에 신규 탐지규칙을 업데이트할 수 있다
또한, 도 9 내지 도 10에는 도시하지 아니하였으나, 공유 클라이언트 및 공유 서버는 사이버 위협 정보 공유 과정에서 발생되는 다양한 정보를 저장하는 메모리를 포함할 수 있다.
실시예에 따라, 메모리는 공유 클라이언트 및 공유 서버와 독립적으로 구성되어 사이버 위협 정보 공유를 위한 기능을 지원할 수 있다. 이 때, 메모리는 별도의 대용량 스토리지로 동작할 수 있고, 동작 수행을 위한 제어 기능을 포함할 수도 있다.
일 구현예의 경우, 메모리는 컴퓨터로 판독 가능한 매체이다. 일 구현 예에서, 메모리는 휘발성 메모리 유닛일 수 있으며, 다른 구현예의 경우, 메모리는 비휘발성 메모리 유닛일 수도 있다. 일 구현예의 경우, 저장장치는 컴퓨터로 판독 가능한 매체이다. 다양한 서로 다른 구현 예에서, 저장장치는 예컨대 하드디스크 장치, 광학디스크 장치, 혹은 어떤 다른 대용량 저장장치를 포함할 수도 있다.
이와 같은 공유 클라이언트 및 공유 서버를 이용함으로써 IP 주소에 한정하지 않고, 네트워크 트래픽에서 개인정보로 판단될 수 있는 모든 정보를 식별하여 익명화함으로써 탐지규칙 생성과정에서 개인정보의 유출 및 노출을 방지할 수 있다.
또한, 다수의 공유 클라이언트로부터 익명화된 데이터를 수집하여 위협정보를 추출하고, 추출된 위협정보로부터 생성된 새로운 위협탐지규칙을 공유함으로써 각각의 공유 클라이언트에 대해 신규 위협을 예방할 수 있으며, 신규 탐지규칙 적용 시에는 익명화된 데이터를 복원함으로써 탐지규칙 적용 시 성능저하를 방지할 수도 있다.
이상에서와 같이 본 발명에 따른 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법 및 이를 이용한 시스템은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
101, 102, 820: 공유 서버 111~115, 810: 공유 클라이언트
910: 네트워크 트래픽 획득부 920: 세션 스트림 생성 및 탐지부
930: 개인정보 익명화부 940: 데이터 전송부
950: 신규 탐지규칙 요청부 960: 탐지규칙 저장부
1010: 데이터 수신부 1020: 탐지규칙 생성부
1030: 사이버 위협 정보 공유부 1040: 탐지규칙 데이터베이스

Claims (20)

  1. 공유 클라이언트가, 개인정보 익명화 정책을 기반으로 네트워크 트래픽의 개인 정보를 익명화하는 단계;
    공유 서버가, 상기 공유 클라이언트로부터 수신된 익명화 데이터를 기반으로 신규 탐지규칙을 생성하는 단계; 및
    상기 공유 클라이언트가, 상기 공유 서버로부터 상기 신규 탐지규칙을 공유받아 기정의된 탐지 규칙을 업데이트하는 단계
    를 포함하고,
    상기 익명화하는 단계는
    상기 개인정보 익명화 정책에 상응하는 단계별 정책을 고려하여 상기 개인정보의 전체 또는 일부만을 해시값으로 대체하여 익명화를 수행하되, 상기 기정의된 탐지 규칙을 기반으로 상기 네트워크 트래픽을 통해 생성된 세션 스트림에 대해 수행되는 탐지를 통해 상기 기정의된 탐지 규칙에 일치하는 일치 세션 스트림에 대해 익명화를 수행하고,
    상기 공유 클라이언트는
    익명화된 개인 정보를 복원하기 위한 매핑 테이블 및 상기 일치 세션 스트림에 대한 메타데이터를 생성하고, 상기 메타데이터를 기반으로 상기 신규 탐지규칙에 포함된 익명화된 부분이 복원된 형태로 상기 기정의된 탐지 규칙을 업데이트하는 것을 특징으로 하는 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법.
  2. 삭제
  3. 청구항 1에 있어서,
    상기 익명화하는 단계는
    상기 일치 세션 스트림의 프로토콜 헤더를 기반으로 상기 개인 정보를 식별하여 익명화하는 익명화 1단계; 및
    상기 일치 세션 스트림의 프로토콜 페이로드를 기반으로 상기 개인 정보를 식별하여 익명화하는 익명화 2단계를 포함하는 것을 특징으로 하는 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법.
  4. 청구항 1에 있어서,
    상기 개인정보 익명화 정책은
    식별된 모든 개인정보를 해시값으로 대체하는 1단계, 식별된 개인정보 중 일부만을 해시값으로 대체하는 2단계, 식별된 개인정보 중 IP 주소만 해시값으로 대체하는 3단계 및 식별된 개인정보 중 사용자가 지정한 부분만 해시값으로 대체하는 4단계에 상응하는 단계별 정책에 상응하는 것을 특징으로 하는 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법.
  5. 삭제
  6. 청구항 1에 있어서,
    상기 매핑 테이블은 상기 개인 정보의 원본 데이터와 상기 개인 정보를 대체한 해시값을 매핑한 것에 상응하고, 상기 메타데이터는 상기 원본 데이터의 종류와 상기 해시값을 매핑한 것에 상응하는 것을 특징으로 하는 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법.
  7. 청구항 1에 있어서,
    상기 공유 클라이언트가, 상기 기정의된 탐지 규칙, 상기 익명화 데이터 및 상기 메타데이터를 결합하여 상기 공유 서버로 전달하는 단계를 더 포함하는 것을 특징으로 하는 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법.
  8. 청구항 7에 있어서,
    상기 신규 탐지규칙을 생성하는 단계는
    상기 공유 클라이언트로부터 결합되어 전달받은 데이터를 기반으로 탐지규칙 데이터베이스를 업데이트하고, 업데이트된 탐지규칙 데이터베이스를 기반으로 상기 신규 탐지규칙을 생성하는 것을 특징으로 하는 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법.
  9. 청구항 8에 있어서,
    상기 신규 탐지규칙을 생성하는 단계는
    상기 공유 클라이언트 이외의 외부 소스를 기반으로 상기 탐지규칙 데이터베이스가 업데이트된 경우, 상기 공유 클라이언트로부터 데이터가 전달되는지 여부를 고려하지 않고 상기 신규 탐지규칙을 생성하는 것을 특징으로 하는 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법.
  10. 청구항 1에 있어서,
    상기 신규 탐지규칙은
    해시값이 포함된 익명화된 데이터 기반의 제1 타입 및 해시값이 포함되지 않은 제2 타입 중 어느 하나에 상응하고,
    상기 기정의된 탐지 규칙을 업데이트하는 단계는
    상기 신규 탐지규칙이 상기 제1 타입에 상응하는 경우, 상기 신규 탐지규칙에 상응하는 매핑 테이블을 기반으로 상기 신규 탐지규칙에 포함된 익명화된 데이터를 복원하는 단계를 포함하는 것을 특징으로 하는 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법.
  11. 청구항 1에 있어서,
    상기 기정의된 탐지 규칙을 업데이트하는 단계는
    상기 공유 클라이언트가, 기설정된 업데이트 주기마다 상기 공유 서버에게 상기 신규 탐지규칙의 공유를 요청하는 단계; 및
    상기 공유 서버가, 상기 공유 클라이언트에 대한 인증을 수행하고, 상기 인증에 성공한 경우에 상기 신규 탐지규칙의 존재 여부를 고려하여 상기 요청에 대해 응답하는 단계를 포함하는 것을 특징으로 하는 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법.
  12. 개인정보 익명화 정책을 기반으로 네트워크 트래픽의 개인 정보를 익명화하는 공유 클라이언트; 및
    상기 공유 클라이언트로부터 수신된 익명화 데이터를 기반으로 신규 탐지규칙을 생성하는 공유 서버
    를 포함하고,
    상기 공유 클라이언트는
    상기 공유 서버로부터 상기 신규 탐지규칙을 공유받아 기정의된 탐지 규칙을 업데이트 하고,
    상기 공유 클라이언트는
    상기 개인정보 익명화 정책에 상응하는 단계별 정책을 고려하여 상기 개인정보의 전체 또는 일부만을 해시값으로 대체하여 익명화를 수행하되, 상기 기정의된 탐지 규칙을 기반으로 상기 네트워크 트래픽을 통해 생성된 세션 스트림에 대해 수행되는 탐지를 통해 상기 기정의된 탐지 규칙에 일치하는 일치 세션 스트림에 대해 익명화를 수행하고,
    익명화된 개인 정보를 복원하기 위한 매핑 테이블 및 상기 일치 세션 스트림에 대한 메타데이터를 생성하고, 상기 메타데이터를 기반으로 상기 신규 탐지규칙에 포함된 익명화된 부분이 복원된 형태로 상기 기정의된 탐지 규칙을 업데이트하는 것을 특징으로 하는 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 시스템.
  13. 삭제
  14. 청구항 12에 있어서,
    상기 공유 클라이언트는
    상기 일치 세션 스트림의 프로토콜 헤더를 기반으로 상기 개인 정보를 식별하여 1단계 익명화를 수행하고, 상기 일치 세션 스트림의 프로토콜 페이로드를 기반으로 상기 개인 정보를 식별하여 2단계 익명화를 수행하는 것을 특징으로 하는 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 시스템.
  15. 청구항 12에 있어서,
    상기 개인정보 익명화 정책은
    식별된 모든 개인정보를 해시값으로 대체하는 1단계, 식별된 개인정보 중 일부만을 해시값으로 대체하는 2단계, 식별된 개인정보 중 IP 주소만 해시값으로 대체하는 3단계 및 식별된 개인정보 중 사용자가 지정한 부분만 해시값으로 대체하는 4단계에 상응하는 단계별 정책에 상응하는 것을 특징으로 하는 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 시스템.
  16. 삭제
  17. 청구항 12에 있어서,
    상기 매핑 테이블은 상기 개인 정보의 원본 데이터와 상기 개인 정보를 대체한 해시값을 매핑한 것에 상응하고, 상기 메타데이터는 상기 원본 데이터의 종류와 상기 해시값을 매핑한 것에 상응하는 것을 특징으로 하는 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 시스템.
  18. 청구항 12에 있어서,
    상기 공유 클라이언트는
    상기 기정의된 탐지 규칙, 상기 익명화 데이터 및 상기 메타데이터를 결합하여 상기 공유 서버로 전달하는 것을 특징으로 하는 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 시스템.
  19. 청구항 18에 있어서,
    상기 공유 서버는
    상기 공유 클라이언트로부터 결합되어 전달받은 데이터를 기반으로 탐지규칙 데이터베이스를 업데이트하고, 업데이트된 탐지규칙 데이터베이스를 기반으로 상기 신규 탐지규칙을 생성하는 것을 특징으로 하는 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 시스템.
  20. 청구항 19에 있어서,
    상기 공유 서버는
    상기 공유 클라이언트 이외의 외부 소스를 기반으로 상기 탐지규칙 데이터베이스가 업데이트된 경우, 상기 공유 클라이언트로부터 데이터가 전달되는지 여부를 고려하지 않고 상기 신규 탐지규칙을 생성하는 것을 특징으로 하는 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 시스템.
KR1020190128530A 2019-10-16 2019-10-16 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법 및 이를 이용한 시스템 KR102254220B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190128530A KR102254220B1 (ko) 2019-10-16 2019-10-16 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법 및 이를 이용한 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190128530A KR102254220B1 (ko) 2019-10-16 2019-10-16 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법 및 이를 이용한 시스템

Publications (2)

Publication Number Publication Date
KR20210045562A KR20210045562A (ko) 2021-04-27
KR102254220B1 true KR102254220B1 (ko) 2021-05-24

Family

ID=75725631

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190128530A KR102254220B1 (ko) 2019-10-16 2019-10-16 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법 및 이를 이용한 시스템

Country Status (1)

Country Link
KR (1) KR102254220B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114172728B (zh) * 2021-12-08 2024-04-26 恒安嘉新(北京)科技股份公司 一种网络流量的识别方法、装置、设备及介质
CN114553403B (zh) * 2022-01-06 2024-02-13 中国科学院信息工程研究所 一种符合数据安全的威胁情报共享方法及装置
WO2023191126A1 (ko) * 2022-03-29 2023-10-05 주식회사 리드포인트시스템 개인 식별화 정보의 관리를 위한 비식별화 처리 방법 및 그 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100628329B1 (ko) * 2005-07-30 2006-09-27 한국전자통신연구원 네트워크 세션 특성 정보에 대한 공격 행위 탐지규칙 생성장치 및 그 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101489149B1 (ko) * 2011-12-05 2015-02-06 한국전자통신연구원 프라이버시와 사용자 피드백을 이용하는 사용자 기반 개인화 서비스 제공 시스템, 서버, 단말장치 및 방법
KR102014741B1 (ko) * 2017-09-08 2019-08-28 (주)피즐리소프트 Fpga 기반 고속 스노트 룰과 야라 룰 매칭 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100628329B1 (ko) * 2005-07-30 2006-09-27 한국전자통신연구원 네트워크 세션 특성 정보에 대한 공격 행위 탐지규칙 생성장치 및 그 방법

Also Published As

Publication number Publication date
KR20210045562A (ko) 2021-04-27

Similar Documents

Publication Publication Date Title
US10637839B2 (en) Systems and methods for protecting communications between nodes
US8073936B2 (en) Providing support for responding to location protocol queries within a network node
EP3354000B1 (fr) Equipement pour offrir des services de résolution de noms de domaine
KR102254220B1 (ko) 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법 및 이를 이용한 시스템
US8990573B2 (en) System and method for using variable security tag location in network communications
US8191131B2 (en) Obscuring authentication data of remote user
US8510548B1 (en) Method and discovery system for discovering encrypted peer-to-peer (EP2P) nodes associated with a particular EP2P network
CN111034150A (zh) 高效ssl/tls代理
US20130151663A1 (en) Data obtaining method and apparatus, and network storage method and device
US20170222978A1 (en) Systems, devices, and methods for improved domain name system firewall protection
JP5270692B2 (ja) セキュリティ実施ポイントへのセキュリティ・アソシエーション情報の選択的ロードのための方法、装置、およびコンピュータ・プログラム
US20190132292A1 (en) Secure anonymous communications methods and apparatus
Conrad et al. A Survey on Tor and I2P
US10341286B2 (en) Methods and systems for updating domain name service (DNS) resource records
US20170012937A1 (en) Network address translation
US20100125668A1 (en) Methods, Systems, and Computer Program Products for Enhancing Internet Security for Network Subscribers
US11750646B2 (en) System and method for decentralized internet traffic filtering policy reporting
EP4167524B1 (en) Local network device connection control
EP4262148A1 (en) Network security with server name indication
CN112491836A (zh) 通信系统、方法、装置及电子设备
CN107888651A (zh) 用于多简档创建以减轻剖析的方法和系统
US20240297868A1 (en) Randomizing server-side addresses
WO2023117802A1 (fr) Procédés d'identification d'au moins un serveur de mitigation et de protection d'un domaine client contre une attaque informatique, dispositifs et signal correspondants
JP2020031293A (ja) ネットワーク連携システム及びネットワーク連携方法

Legal Events

Date Code Title Description
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)