KR102267564B1 - 원격 단말기의 능동적 보안 위협 탐지 방법 - Google Patents

원격 단말기의 능동적 보안 위협 탐지 방법 Download PDF

Info

Publication number
KR102267564B1
KR102267564B1 KR1020200152945A KR20200152945A KR102267564B1 KR 102267564 B1 KR102267564 B1 KR 102267564B1 KR 1020200152945 A KR1020200152945 A KR 1020200152945A KR 20200152945 A KR20200152945 A KR 20200152945A KR 102267564 B1 KR102267564 B1 KR 102267564B1
Authority
KR
South Korea
Prior art keywords
remote terminal
packet
risk
control unit
payload
Prior art date
Application number
KR1020200152945A
Other languages
English (en)
Other versions
KR102267564B9 (ko
Inventor
김정미
Original Assignee
주식회사 케이사인
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이사인 filed Critical 주식회사 케이사인
Priority to KR1020200152945A priority Critical patent/KR102267564B1/ko
Application granted granted Critical
Publication of KR102267564B1 publication Critical patent/KR102267564B1/ko
Publication of KR102267564B9 publication Critical patent/KR102267564B9/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 원격 단말기와, 위험 수준 관리 서버와, 원격 단말기 보안 관제부와, 네트워크 접근 통제부와, 스위치를 포함하는 환경에서 실행되는 원격 단말기 보안 위협 탐지 방법에 관한 것으로서, 위험 수준 관리 서버가, 악성 트래픽 모델을 생성하는 제1 단계와; 위험 수준 관리 서버가, 생성된 악성 트래픽 모델을 원격 단말기로 배포하는 제2 단계와; 원격 단말기가, 악성 트래픽을 식별하는 제3 단계와; 원격 단말기가, 위험 지표를 위험 수준 관리 서버에 보고하는 제4 단계를 포함한다.

Description

원격 단말기의 능동적 보안 위협 탐지 방법{Method for Actively Detecting Security Threat to Remote Terminal}
본 발명은 원격 단말기의 보안 위협 탐지 방법에 대한 것으로서 좀 더 구체적으로는 통계적 방법을 사용하지 아니하고 단위 시간별 베이스라인을 생성할 필요가 없는 능동적 보안 위협 탐지 방법에 대한 것이다.
COVID-19 창궐로 인해서 비대면 업무가 많이 이루어지고 있는데 보안 솔루션이 적절하게 장착된 상태로 지급된 단말기가 아니라 업무 수행자가 개인적으로 소유한 단말기로 회사나 기관 등의 내부 업무망에 접속하는 경우가 많아지고 있다.
그에 따라 악성 코드에 감염된 개인 단말기가 회사나 기관 등의 내부 업무망을 표적으로 하는 APT 공격(Advanced Persistent Threats)의 진입 지점으로 이용되는 경우가 증가하고 있으며, 내부 업무망의 보안성을 유지하기 위해서는 개인 단말기에 대한 보안 상태 유지 역시 중요하게 고려되는 상황이다.
종래에 사용되던 보더(border) 기반 보안 정책은, 현재와 같은 비대면 시대의 보더리스(borderless) 환경 즉 보안 관리 대상이 기하급수적으로 증가하는 환경에서는 적합하지 않으며, 종래의 보안 정책으로 대응하는데에 한계가 존재한다.
한국특허등록 제10-2047782호 (등록공고일:2019년 11월 22일)
본 발명은 종래 기술의 한계점을 극복하여, 보안 관리 대상이 기하급수적으로 증가하는 보더리스 환경에서도 정확하고 빠르게 보안 위협을 탐지함으로써 사용자 단말기가 내부 업무망에 대한 공격의 진입 지점이 되지 않도록 하는 보안 위협 탐지 방법을 제공하는 것을 목적으로 한다.
본 발명은 원격 단말기와, 위험 수준 관리 서버와, 원격 단말기 보안 관제부와, 네트워크 접근 통제부와, 스위치를 포함하는 환경에서 실행되는 원격 단말기 보안 위협 탐지 방법에 관한 것으로서, 위험 수준 관리 서버가, 악성 트래픽 모델을 생성하는 제1 단계와; 위험 수준 관리 서버가, 생성된 악성 트래픽 모델을 원격 단말기로 배포하는 제2 단계와; 원격 단말기가, 악성 트래픽을 식별하는 제3 단계와; 원격 단말기가, 위험 지표를 위험 수준 관리 서버에 보고하는 제4 단계를 포함한다.
원격 단말기 보안 위협 탐지 방법은, 위험 수준 관리 서버가, 제4 단계에서 보고된 위험 지표를 원격 단말기 보안 관제부에 배포하는 제5 단계를 더 포함할 수 있다.
원격 단말기 보안 위협 탐지 방법은, 원격 단말기 보안 관제부가, 제5 단계에서 배포된 위험 지표의 IP 주소가 원격 단말기 보안 관제부에 저장되어 있는 IP 주소와 매칭되는 경우에, 해당 위험 지표를 로컬 위험 프로파일로 저장하는 제6 단계를 더 포함할 수 있다.
원격 단말기 보안 위협 탐지 방법은, 출발지 IP 주소가 원격 단말기 보안 관제부에 등록되어 있지 않으면, 원격 단말기 보안 관제부가 네트워크 접근 통제부에 접근 차단을 지시하는 제7 단계를 더 포함할 수 있다.
원격 단말기 보안 위협 탐지 방법은, 적어도 로컬 위험 프로파일에 저장된 위험 지표에 기초하여 산출된 보안 위협을 기준으로 접근하는 원격 단말기의 접근 차단 여부를 결정하는 제8 단계를 더 포함할 수 있다.
제1 단계는, 네트워크 패킷을 수집하는 제1-1 단계와; 패킷 플로우를 생성하는 제1-2 단계와; 상기 패킷 플로우에 기초하여 패킷 페이로드 플로우 패턴을 생성하는 제1-3 단계와; 상기 패킷 페이로드 플로우 패턴에 대해서 기계학습을 수행하여 보안 위협 탐지 모델을 생성하는 제1-4 단계를 포함할 수 있다.
제1-2 단계는, 출발지 IP 주소와 도착지 IP 주소가 동일하거나, 그 반대 방향인 네트워크 통신 패킷을 기준으로 분류하는 제1-2-1 단계와; 제1-2-1 단계에서 분류된 패킷에 인덱스를 부여하여 패킷 플로우를 생성하는 제1-2-2 단계를 포함할 수 있다.
제1-2 단계는, 패킷 플로우에 대해서 패킷 플로우 패턴을 생성하는 제1-2-3 단계를 더 포함할 수 있다.
제1-2-3 단계는, 각각의 패킷의 페이로드에 소정의 수를 더하는 제1-2-3-1 단계와; 제1-2-3-1 단계의 조정 페이로드에 통신 방향에 따라 양수 또는 음수를 곱하는 제1-2-3-2 단계를 포함할 수 있다.
제1-4 단계는, 생성된 패킷 페이로드 플로우 패턴과 악성 코드 여부에 관한 라벨에 대해 기계 학습을 실행하여 보안 위협 탐지 모델을 생성하는 제9 단계를 더 포함할 수 있다.
제3 단계는, 원격 단말기가, 네트워크 패킷을 수집하는 제3-1 단계와; 원격 단말기가, 수집된 네트워크 패킷을 기초로 패킷 플로우를 생성하는 제 3-2 단계와; 원격 단말기가, 제3-2 단계에서 생성된 패킷 플로우를 기초로 패킷 페이로드 플로우 패턴을 생성하는 제3-3 단계를 더 포함할 수 있다.
제3 단계는 원격 단말기가, 제3-3 단계에서 생성된 패킷 페이로드 플로우 패턴을 제9 단계에서 생성된 보안 위협 탐지 모델에 입력하여 트래픽 유형을 식별하는 제3-4 단계를 포함할 수 있다.
제3-2 단계는 출발지 IP 주소와 도착지 IP 주소가 동일하거나, 그 반대 방향인 네트워크 통신 패킷을 기준으로 분류하는 제3-2-1 단계와; 제3-2-1 단계에서 분류된 패킷에 인덱스를 부여하여 패킷 플로우를 생성하는 제3-2-2 단계를 포함할 수 있다.
제3-3 단계는, 각각의 패킷의 페이로드에 소정의 수를 더하는 제3-3-1 단계와; 제3-3-1 단계의 조정 페이로드에 통신 방향에 따라 양수 또는 음수를 곱하는 제3-3-2 단계를 포함할 수 있다.
기계 학습의 알고리즘은 마르코프 체인 알고리즘을 적용할 수 있다.
본 발명에 의한 원격 단말기 보안 위협 탐지 방법은 컴퓨터 판독 가능 기록 매체에 기록된 컴퓨터 프로그램에 의해서 실행될 수 있다.
본 발명에 의하면 보더리스 보안 환경에서도 신속하고 정확한 위험 요소 탐지가 가능하며 특히 통계적 방법을 사용하지 않고도 보안 위험 요소를 탐지할 수 있는 작용효과가 있다.
도 1은 본 발명에 의한 보안 위협 탐지 방법이 실행되는 환경의 일례를 도시한 도면.
도 2는 본 발명에 의한, 위험 수준 관리 서버가 악성 트래픽 모델을 생성하고 위험 지표를 배포하는 방법의 흐름도.
도 3은 본 발명에 의한, 악성 트래픽 모델을 생성하는 방법의 흐름도.
도 4는 패킷 플로우 생성을 설명하기 위한 예시적인 패킷 정보.
도 5 및 도 6은 패킷 플로우로부터 패킷 페이로드 플로우 패턴을 생성하는 방법을 설명하기 위한 도면.
도 7은 패킷 페이로드 플로우 패턴으로부터 악성 트래픽 모델을 생성하는 과정의 흐름도.
도 8은 보안 위협을 탐지하는 과정의 흐름도.
이하에서는 첨부 도면을 참조하여 본 발명에 대해서 자세하게 설명한다.
본 명세서에서 수행되는 정보(데이터) 전송/수신 과정은 필요에 따라서 암호화/복호화가 적용될 수 있으며, 본 명세서 및 특허청구범위에서 정보(데이터) 전송 과정을 설명하는 표현은 별도로 언급되지 않더라도 모두 암호화/복호화하는 경우도 포함하는 것으로 해석되어야 한다. 본 명세서에서 "A로부터 B로 전송(전달)" 또는 "A가 B로부터 수신"과 같은 형태의 표현은 중간에 다른 매개체가 포함되어 전송(전달) 또는 수신되는 것도 포함하며, A로부터 B까지 직접 전송(전달) 또는 수신되는 것 만을 표현하는 것은 아니다. 본 발명의 설명에 있어서 각 단계의 순서는 선행 단계가 논리적 및 시간적으로 반드시 후행 단계에 앞서서 수행되어야 하는 경우가 아니라면 각 단계의 순서는 비 제한적으로 이해되어야 한다. 즉위와 같은 예외적인 경우를 제외하고는 후행 단계로 설명된 과정이 선행 단계로 설명된 과정보다 앞서서 수행되더라도 발명의 본질에는 영향이 없으며 권리범위 역시 단계의 순서에 관계없이 정의되어야 한다. 그리고 본 명세서에서 “A 또는 B”은 A와 B 중 어느 하나를 선택적으로 가리키는 것뿐만 아니라 A와 B 모두를 포함하는 것도 의미하는 것으로 정의된다. 또한, 본 명세서에서 "포함"이라는 용어는 포함하는 것으로 나열된 요소 이외에 추가로 다른 구성요소를 더 포함하는 것도 포괄하는 의미를 가진다.
본 명세서에서 "모듈" 또는 “유니트” 또는 "~ 부"라 함은 범용적인 하드웨어와 그 기능을 수행하는 소프트웨어의 논리적 결합을 의미한다.
본 명세서에서는 본 발명의 설명에 필요한 최소한의 구성요소만을 설명하며, 본 발명의 본질과 관계가 없는 구성요소는 언급하지 아니한다. 그리고 언급되는 구성요소만을 포함하는 배타적인 의미로 해석되어서는 아니되며 언급되지 않은 다른 구성요소도 포함할 수 있는 비배타적인 의미로 해석되어야 한다.
본 발명에 의한 방법은 컴퓨터, 태블릿 PC, 모바일폰, 휴대용 연산 장치, 고정식 연산 장치 등의 전자적 연산 장치에 의해서 실행될 수 있다. 또한, 본 발명의 하나 또는 그 이상의 방법 또는 형태가 적어도 하나의 프로세서에 의해 실행될 수 있다는 점이 이해되어야 한다. 프로세서는, 컴퓨터, 태블릿PC, 모바일 장치, 휴대용 연산 장치 등에 설치될 수 있다. 컴퓨터 프로그램 명령을 저장하도록 되어 있는 메모리가 그러한 장치에 설치되어서 프로그램이 저장된 프로그램 명령을 프로세서가 실행하도록 특별히 프로그램되어 하나 또는 그 이상의, 본 명세서에 기재된 기재된 바와 같은 프로세스를 실행할 수 있다. 또한, 본 명세서에 기재된 정보 및 방법 등은, 하나 또는 그 이상의 추가적인 구성요소와 프로세서를 포함하는 컴퓨터, 태블릿PC, 모바일 장치, 휴대용 연산 장치 등에 의해서 실행될 수 있다는 점이 이해되어야 한다. 또한, 제어 로직은, 프로세서, 제어부/제어 유니트 등에 의해 실행가능한 프로그램 명령을 포함하는 비휘발성 컴퓨터 판독 가능 매체로 구현될 수 있다. 컴퓨터 판독 가능 매체의 예로는, ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 플래시 드라이브, 스마트 카드, 광학 데이터 저장 장치 등이 있지만 그에 제한되는 것은 아니다. 또한, 컴퓨터 판독 가능 기록 매체는 네트워크로 연결된 컴퓨터에 분산되어, 컴퓨터 판독 가능 매체가 분산된 방식 예를 들어 원격 서버 또는 CAN(Controller Area Network)에 의해 분산된 방식으로 저장되고 실행될 수도 있다.
본 명세서에서 설명하는 예시적인 실시예는 본 명세서에 개시(開示)되는 장치의 구조, 기능, 제작 및 용도와 방법의 원리에 대한 전반적인 이해를 제공한다. 이러한 하나 이상의 실시예가 첨부 도면에 도시되어 있다. 당업자라면 여기에 구체적으로 기재되고 첨부 도면에 도시되어 있는 장치 및 방법이 비제한적이고 예시적인 실시예이며 본 발명의 권리범위는 특허청구범위에 의해서 정의된다는 점을 이해할 것이다. 하나의 예시적인 실시예와 관련되어 도시되고 설명되는 특징은 다른 실시예의 특징과도 결합될 수 있다. 그러한 수정(modification) 또는 변경(variation)은 본 발명의 권리범위에 포함되도록 의도된다.
도 1에는 본 발명에 의한 보안 위협 탐지 방법이 실행되는 환경의 일례가 도시되어 있다.
상기 환경은, 원격 단말기(10)와, 위험 수준 관리 서버(20)와, 통신망(30)과, 내부 업무망(100)을 포함한다.
원격 단말기(10)에는 보안 수준 모니터링 에이전트 모듈(15)이 설치되며, 보안 수준 모니터링 에이전트 모듈(15)은 위험 지표 탐지 모듈(151)과 위험 지표 보고 모듈(152)을 포함한다. 보안 수준 모니터링 에이전트 모듈(15)은 원격 단말기(10)에 설치되어 보안 취약점 여부를 지속적으로 감시한다.
위험 수준 관리 서버(20)는, 악성 트래픽 모델 생성부(21)와, 배포 모듈(23)과, 위험 프로파일 저장부(25)을 포함한다. 위험 수준 관리 서버(20)는 악성 트래픽 모델을 생성하고, 위험 지표를 저장하고 배포한다.
내부 업무망(100)은, 통신망(30)과 연결되는 스위치(110)와, 네트워크 접근 통제부(120)와, 원격 단말기 보안 관제부(130)를 포함한다. 네트워크 접근 통제부(120)는 위험 수준 평가 및 통제 모듈(125)을 포함한다. 원격 단말기 보안 관제부(130)는, 위험 프로파일 획득 모듈(132)과, 로컬 위험 프로파일 DB(134)와, 원격 단말기 DB(136)를 포함한다.
원격 단말기 보안 관제부(130)는, 내부 업무망(100)에 접근 가능한 원격 단말기에 대한 정보 및 위험 프로파일을 관리한다.
네트워크 접근 통제부(120)는, 내부 업무망(100)에 유입되는 원격 단말기의 트래픽을 모니터링하고 보안 취약점이 있는 원격 단말기의 접근을 차단한다.
도 2에는 위험 수준 관리 서버(20)의 악성 트래픽 모델 생성부(21)가 실행하는 악성 트래픽 모델 생성 및 위험 지표 배포 과정의 흐름도가 도시되어 있다.
악성 트래픽 모델 생성부(21)는 후술하는 과정을 거쳐서 악성 트래픽 모델 즉 어떤 트래픽을 악성 코드로 판단할 것인지를 결정하는 모델을 생성한다(단계 200).
생성된 악성 트래픽 모델은 배포 모듈(23)이 원격 단말기(10)의 보안 수준 모니터링 에이전트 모듈(15)로 배포한다. 보안 수준 모니터링 에이전트 모듈(15)의 위험 지표 탐지 모듈(151)은, 트래픽을 지속적으로 탐지하면서 상기 악성 트래픽 모델에 기초하여 악성 트래픽을 식별한다(단계 220). 위험 지표 보고 모듈(152)은 식별된 악성 트래픽을 위험 수준 관리 서버(20)로 보고하여 위험 프로파일 저장부(25)에 저장한다(단계 230). 위험 수준 관리 서버(20)의 배포 모듈(23)은 상기 악성 트래픽을 위험 지표로 원격 단말기 보안 관제부(130)로 배포하고, 배포된 위험 지표는 위험 프로파일 획득 모듈(132)이 획득한다(단계 240). 획득한 위험 지표의 IP 주소와 매칭되는 IP 주소의 원격 단말기(10)가 원격 단말기 DB(136)에 존재하면 해당 위험 지표를 로컬 위험 프로파일 DB(134)에 저장한다.
도 3에는 본 발명에 의한 악성 트래픽 생성 과정의 흐름도가 도시되어 있다.
악성 트래픽 모델 생성부(21)는, 패킷 플로우를 생성하고(단계 300), 패킷 페이로드 플로우 패턴을 생성한다(단계 310). 도 4 내지 도 6을 참조하여 패킷 플로우 생성 및 패킷 페이로드 플로우 패턴 생성에 대해서 설명한다.
도 4에는 패킷 플로우 생성 및 패킷 페이로드 플로우 패턴 생성을 설명하기 위한 예시적인 패킷 정보가 도시되어 있다.
특정 그룹에 속하는 패킷은, 출발지 IP 주소 및 포트와, 도착지 IP 주소 및 포트가 동일하거나, 그 반대 방향인 네트워크 통신 패킷이다.
그룹 1의 패킷은 [출발지 IP가 10.10.10.1, 출발지 포트가 1 / 도착지 IP가 10.10.10.100, 도착지 포트가 502]이거나 통신 방향이 그 반대인 [출발지 IP가 10.10.10.100, 출발지 포트가 502 / 도착지 IP가 10.10.10.1, 도착지 포트가 1]인 네트워크 통신 패킷이다.
그룹 2의 패킷은 [출발지 IP가 10.10.10.2, 출발지 포트가 11 / 도착지 IP가 10.10.10.100, 도착지 포트가 502]이거나 통신 방향이 그 반대인 [출발지 IP가 10.10.10.100, 출발지 포트가 502 / 도착지 IP가 10.10.10.2, 도착지 포트가 11]인 네트워크 통신 패킷이다.
시간 순서대로 패킷에 인덱스를 부여하여 도 5 및 도 6에 도시된 바와 같은 형식의 패킷 플로우를 생성한다.
생성된 패킷 플로우에 기초하여 패킷 페이로드 플로우 패턴을 생성한다. 먼저, 페이로드가 "0"이 되지 않도록 소정의 양수를 더한다.
도 5 및 도 6의 실시예에서는, 페이로드 값에 "10"을 더했다. 이 값은 페이로드 값이 "0"이 되지 않도록 하는 값이면 어느 값도 사용할 수 있으며 본 실시예에서 사용한 "10"에 본 발명의 권리범위가 제한되는 것은 아니다.
다음으로, 패킷의 통신 방향을 알 수 있게 하기 위해서 통신 방향에 따라서 양수 또는 음수를 곱할 수 있다.
도 5 및 도 6에 도시된 실시예에서는, 수신 패킷에는 "-1"을 곱하고, 송신 패킷에는 "+1"을 곱함으로써 페이로드 숫자만 보더라도 수신 패킷인지 송신 패킷인지를 판단할 수 있게 한다.
상기 방법에 의해서 패킷 페이로드 플로우 패턴을 생성하면, 도 5 및 도 6에 도시된 바와 같은 숫자를 가지는 패턴이 생성된다.
이렇게 생성된 패킷 페이로드 플로우 패턴은 예를 들어 "악성(malicious)"과 "정상(benign)"으로 구성되는 라벨과 함께 도 7에 도시된 바와 같은 학습 데이터로 구성되며 기계 학습(320)에 의해 악성 트래픽 모델이 생성된다(330). 기계학습은 예를 들어 "마르코프 체인 알고리즘"(Markov Chain Algorithm)을 적용할 수 있으며, 지도 학습 뿐아니라 비지도 학습을 통한 학습 모델 생성 역시 가능하다.
이렇게 생성된 모델은 배포 모듈(23)에 의해 보안 수준 모니터링 에이전트 모듈로 배포된다(도 2의 단계(210).
본 발명에 의한 패킷 페이로드 플로우 패턴에 의해 악성 트래픽을 탐지하게 되면 통계적 방법을 사용할 필요가 없으며 단위 시간별로 베이스라인을 생성할 필요도 없는 효과가 있다.
도 8에는 보안 수준 모니터링 에이전트 모듈(15)의 위험 지표 탐지 모듈(151)이 악성 트래픽을 식별하는 방법의 흐름도가 도시되어 있다.
위험 지표 탐지 모듈(151)은 네트워크 패킷을 수집하고(단계 221), 수집된 패킷에 대해서 패킷 플로우를 생성하고(단계 222), 패킷 페이로드 플로우 패턴을 생성한다(단계 223). 패킷 플로우 생성과, 패킷 페이로드 플로우 패턴을 생성하는 방법은 전술한 바와 같다. 수집되는 패킷이 미리 정해진 소정의 임계치보다 많은 경우에 단계(222) 및 단계(223)으로 진행할 수 있다.
이렇게 생성된 패킷 페이로드 플로우 패턴은 단계(210)에서 배포받은 기계 학습 모델(225)로 입력하여 해당 트래픽이 악성 트래픽인지 여부를 식별한다(단계 224).
악성 트래픽으로 판단되면, 원격 단말기 IP 주소와, 위험 지표 타입(예를 들어 "악성 트래픽"), 스코어, 위험 지표 타입에 해당하는 세부 정보(악성 트래픽의 경우, 트래픽 클래스, Remote IP (원격 단말기와 통신하는 상대 IP 즉 공격자 서버로 의심되는 IP, 포트 정보) 등을 위험 지표 보고 모듈(152)이 위험 프로파일 저장부(25)에 업로드한다.
이렇게 수집된 위험 지표는 위험 수준 관리 서버(20)의 위험 프로파일 저장부(25)로부터 위험 프로파일 획득 모듈(132)이 획득한다. 위험 프로파일의 단말기 IP 주소에 매칭되는 IP 주소를 가진 원격 단말기가 원격 단말기 DB(136)에 저장되어 있으면, 해당 위험 지표를 로컬 위험 프로파일 DB(134)에 저장한다.
상기와 같은 위험 지표가 등록된 것은 보안 취약점이 있는 원격 단말기로 판정할 수 있으며, 네트워크 접근 통제부(120)가 스위치(110)를 통해 유입되는 트래픽을 모니터링하다가 위험 지표의 원격 단말기가 접근하려는 경우, 위험 수준 평가 및 통제 모듈(125)이 해당 원격 단말기의 접근을 통제할 수 있다.
원격 단말기 DB(136)에 저장되어 있지 않는 단말기라면 곧바로 접근을 차단하고, 저장되어 있는 원격 단말기의 경우 로컬 위험 프로파일 DB(136)에 저장된 위험 수준을 평가한 후에 접근 차단 여부를 결정할 수 있다. 예를 들어, 위험 지표의 타입 및 스코어를 반영해서 해당 원격 단말기의 전체 위험 수준을 산출하고 그 위험 수준이 미리 결정되어 있는 보안 정책의 값보다 낮으면 접근을 허용,그렇지 않으면 접근을 차단할 수 있다.
본 발명에 의하면 보더리스 보안 환경에서도 신속하고 정확한 위험 요소 탐지가 가능하며 특히 통계적 방법을 사용하지 않고도 보안 위험 요소를 탐지할 수 있는 작용효과가 있다.
이상 첨부 도면을 참고하여 본 발명에 대해서 설명하였지만 본 발명의 권리범위는 후술하는 특허청구범위에 의해 결정되며 전술한 실시예 및/또는 도면에 제한되는 것으로 해석되어서는 아니된다. 그리고 특허청구범위에 기재된 발명의, 당업자에게 자명한 개량, 변경 및 수정도 본 발명의 권리범위에 포함된다는 점이 명백하게 이해되어야 한다.
10: 원격 단말기 15: 보안 수준 모니터링 에이전트 모듈
20: 위험 수준 관리 서버 21: 악성 트래픽 모델 생성부
23: 배포 모듈 25: 위험 프로파일 저장부
100: 내부 업무망 110: 스위치
120: 네트워크 접근 통제부 125: 위험 수준 평가 및 통제 모듈
130: 원격 단말기 보안 관제부 132: 위험 프로파일 획득 모듈
134: 로컬 위험 프로파일 DB 136: 원격 단말기 DB

Claims (16)

  1. 원격 단말기와; 위험 수준 관리 서버와; 원격 단말기 보안 관제부와, 네트워크 접근 통제부와, 스위치를 포함하며 상기 원격 단말기가 접속하는 내부 업무망을; 포함하는 환경에서 실행되는 원격 단말기 보안 위협 탐지 방법에 있어서,
    위험 수준 관리 서버가, 악성 코드가 발생시키는 악성 트래픽의 보안 위협 탐지 모델을 생성하는 제1 단계와,
    위험 수준 관리 서버가, 생성된 악성 트래픽의 보안 위협 탐지 모델을 원격 단말기로 배포하는 제2 단계와,
    원격 단말기가, 악성 트래픽을 식별하는 제3 단계와,
    원격 단말기가, 위험 지표를 위험 수준 관리 서버에 보고하는 제4 단계를 포함하며,
    제1 단계는,
    네트워크 패킷을 수집하는 제1-1 단계와,
    수집된 네트워크 패킷을 기초로 패킷 플로우를 생성하는 제1-2 단계와,
    상기 패킷 플로우에 기초하여 패킷 페이로드 플로우 패턴을 생성하는 제1-3 단계와,
    상기 패킷 페이로드 플로우 패턴에 대해서 기계학습을 수행하여 보안 위협 탐지 모델을 생성하는 제1-4 단계를 포함하며,
    제1-2 단계는,
    출발지 IP 주소와 도착지 IP 주소가 동일하거나, 그 반대 방향인 네트워크 통신 패킷을 기준으로 분류하는 제1-2-1 단계와, 제1-2-1 단계에서 분류된 패킷에 시간에 따라 순차적으로 인덱스를 부여하여 패킷 플로우를 생성하는 제1-2-2 단계를 포함하며,
    제1-3 단계는,
    각각의 패킷의 페이로드에 소정의 수를 더하여 조정 페이로드를 산출하는 제1-3-1 단계와,
    제1-3-1 단계의 조정 페이로드에 통신 방향에 따라 양수 또는 음수로 표시하는 제1-3-2 단계를 포함하는,
    원격 단말기 보안 위협 탐지 방법.
  2. 청구항 1에 있어서,
    위험 수준 관리 서버가, 제4 단계에서 보고된 위험 지표를 원격 단말기 보안 관제부에 배포하는 제5 단계를 더 포함하는,
    원격 단말기 보안 위협 탐지 방법.
  3. 청구항 2에 있어서,
    원격 단말기 보안 관제부가, 제5 단계에서 배포된 위험 지표의 IP 주소가 원격 단말기 보안 관제부에 저장되어 있는 IP 주소와 매칭되는 경우에, 해당 위험 지표를 로컬 위험 프로파일로 저장하는 제6 단계를 더 포함하는,
    원격 단말기 보안 위협 탐지 방법.
  4. 청구항 3에 있어서,
    출발지 IP 주소가 원격 단말기 보안 관제부에 등록되어 있지 않으면, 원격 단말기 보안 관제부가 네트워크 접근 통제부에 접근 차단을 지시하는 제7 단계를 더 포함하는,
    원격 단말기 보안 위협 탐지 방법.
  5. 청구항 3에 있어서,
    적어도 로컬 위험 프로파일에 저장된 위험 지표에 기초하여 산출된 보안 위협을 기준으로 접근하는 원격 단말기의 접근 차단 여부를 결정하는 제8 단계를 더 포함하는,
    원격 단말기 보안 위협 탐지 방법.
  6. 삭제
  7. 삭제
  8. 삭제
  9. 삭제
  10. 삭제
  11. 청구항 1에 있어서,
    제3 단계는,
    원격 단말기가, 네트워크 패킷을 수집하는 제3-1 단계와,
    원격 단말기가, 수집된 네트워크 패킷을 기초로 패킷 플로우를 생성하는 제 3-2 단계와,
    원격 단말기가, 제3-2 단계에서 생성된 패킷 플로우를 기초로 패킷 페이로드 플로우 패턴을 생성하는 제3-3 단계를 더 포함하며,
    원격 단말기가, 제3-3 단계에서 생성된 패킷 페이로드 플로우 패턴을 제1-4 단계에서 생성된 보안 위협 탐지 모델에 입력하여 트래픽 유형을 식별하는 제3-4 단계를 포함하며,
    제3-2 단계는,
    출발지 IP 주소와 도착지 IP 주소가 동일하거나, 그 반대 방향인 네트워크 통신 패킷을 기준으로 분류하는 제3-2-1 단계와, 제3-2-1 단계에서 분류된 패킷에 시간에 따라 순차적으로 인덱스를 부여하여 패킷 플로우를 생성하는 제3-2-2 단계를 포함하며,
    제3-3 단계는,
    각각의 패킷의 페이로드에 소정의 수를 더하여 조정 페이로드를 산출하는 제3-3-1 단계와,
    제3-3-1 단계의 조정 페이로드에 통신 방향에 따라 양수 또는 음수로 표시하는 제3-3-2 단계를 포함하는,
    원격 단말기 보안 위협 탐지 방법.
  12. 삭제
  13. 삭제
  14. 청구항 1에 있어서,
    기계 학습의 알고리즘은 마르코프 체인 알고리즘인,
    원격 단말기 보안 위협 탐지 방법.
  15. 청구항 1 내지 청구항 5, 청구항 11 및 청구항 14 중 어느 하나의 청구항의 방법의 단계를 실행시키는 컴퓨터 프로그램이 기록된 컴퓨터 판독 가능 기록 매체.
  16. 청구항 1 내지 청구항 5, 청구항 11 및 청구항 14 중 어느 하나의 청구항의 방법의 단계를 실행시키기 위해 컴퓨터 판독 가능 기록 매체에 기록된 컴퓨터 프로그램.
KR1020200152945A 2020-11-16 2020-11-16 원격 단말기의 능동적 보안 위협 탐지 방법 KR102267564B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200152945A KR102267564B1 (ko) 2020-11-16 2020-11-16 원격 단말기의 능동적 보안 위협 탐지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200152945A KR102267564B1 (ko) 2020-11-16 2020-11-16 원격 단말기의 능동적 보안 위협 탐지 방법

Publications (2)

Publication Number Publication Date
KR102267564B1 true KR102267564B1 (ko) 2021-06-21
KR102267564B9 KR102267564B9 (ko) 2022-03-15

Family

ID=76599769

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200152945A KR102267564B1 (ko) 2020-11-16 2020-11-16 원격 단말기의 능동적 보안 위협 탐지 방법

Country Status (1)

Country Link
KR (1) KR102267564B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102469651B1 (ko) * 2021-11-02 2022-11-23 주식회사 케이사인 IoT 장치에서의 IoT 봇넷 차단 방법 및 장치
KR102469654B1 (ko) * 2021-11-02 2022-11-23 주식회사 케이사인 IoT 봇넷 차단 방법 및 시스템
WO2023128301A1 (ko) * 2021-12-29 2023-07-06 주식회사 안랩 뷰 기반 원격 제어 탐지 방법, 뷰 기반 원격 제어 탐지 장치, 및 컴퓨터 판독 가능한 기록 매체

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030056652A (ko) * 2001-12-28 2003-07-04 한국전자통신연구원 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법
KR20150081889A (ko) * 2014-01-07 2015-07-15 한국전자통신연구원 제어 네트워크 침해사고 탐지 장치 및 탐지 방법
KR20180084502A (ko) * 2017-01-17 2018-07-25 한국항공대학교산학협력단 Isp를 사용한 바이러스 사전 탐지 장치 및 방법
KR102047782B1 (ko) 2017-01-04 2019-11-22 한국전자통신연구원 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법 및 장치
JP2020530638A (ja) * 2017-08-09 2020-10-22 エヌティーティー セキュリティー コーポレイション マルウェアホストネットフロー分析システム及び方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030056652A (ko) * 2001-12-28 2003-07-04 한국전자통신연구원 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법
KR20150081889A (ko) * 2014-01-07 2015-07-15 한국전자통신연구원 제어 네트워크 침해사고 탐지 장치 및 탐지 방법
KR102047782B1 (ko) 2017-01-04 2019-11-22 한국전자통신연구원 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법 및 장치
KR20180084502A (ko) * 2017-01-17 2018-07-25 한국항공대학교산학협력단 Isp를 사용한 바이러스 사전 탐지 장치 및 방법
JP2020530638A (ja) * 2017-08-09 2020-10-22 エヌティーティー セキュリティー コーポレイション マルウェアホストネットフロー分析システム及び方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102469651B1 (ko) * 2021-11-02 2022-11-23 주식회사 케이사인 IoT 장치에서의 IoT 봇넷 차단 방법 및 장치
KR102469654B1 (ko) * 2021-11-02 2022-11-23 주식회사 케이사인 IoT 봇넷 차단 방법 및 시스템
WO2023128301A1 (ko) * 2021-12-29 2023-07-06 주식회사 안랩 뷰 기반 원격 제어 탐지 방법, 뷰 기반 원격 제어 탐지 장치, 및 컴퓨터 판독 가능한 기록 매체

Also Published As

Publication number Publication date
KR102267564B9 (ko) 2022-03-15

Similar Documents

Publication Publication Date Title
KR102267564B1 (ko) 원격 단말기의 능동적 보안 위협 탐지 방법
AU2017224993B2 (en) Malicious threat detection through time series graph analysis
US11146581B2 (en) Techniques for defending cloud platforms against cyber-attacks
US20200177618A1 (en) Generating attack graphs in agile security platforms
US10997289B2 (en) Identifying malicious executing code of an enclave
US7526806B2 (en) Method and system for addressing intrusion attacks on a computer system
US8769692B1 (en) System and method for detecting malware by transforming objects and analyzing different views of objects
Aborujilah et al. Cloud‐Based DDoS HTTP Attack Detection Using Covariance Matrix Approach
JP2018530066A (ja) 低信頼度のセキュリティイベントによるセキュリティインシデントの検出
US20170155683A1 (en) Remedial action for release of threat data
CN113660224A (zh) 基于网络漏洞扫描的态势感知防御方法、装置及系统
Awan et al. Identifying cyber risk hotspots: A framework for measuring temporal variance in computer network risk
US11514173B2 (en) Predicting software security exploits by monitoring software events
Che Mat et al. A systematic literature review on advanced persistent threat behaviors and its detection strategy
Agrawal et al. A SURVEY ON ATTACKS AND APPROACHES OF INTRUSION DETECTION SYSTEMS.
Yinka-Banjo et al. Intrusion detection using anomaly detection algorithm and snort
US20230156019A1 (en) Method and system for scoring severity of cyber attacks
El-Taj et al. Intrusion detection and prevention response based on signature-based and anomaly-based: Investigation study
Vähäkainu et al. Cyberattacks Against Critical Infrastructure Facilities and Corresponding Countermeasures
KR20190020523A (ko) 로그 분석을 이용한 공격 탐지 장치 및 방법
US11184369B2 (en) Malicious relay and jump-system detection using behavioral indicators of actors
Patel et al. An approach to detect and prevent distributed denial of service attacks using blockchain technology in cloud environment
Pryshchepa et al. Modern IT problems and ways to solve them
Slamet et al. Campus hybrid intrusion detection system using snort and c4. 5 algorithm
KR20230149925A (ko) 단말기 보안 시스템 및 이를 이용한 단말기 보안 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
G170 Re-publication after modification of scope of protection [patent]