KR102386616B1 - Rat 유사 트래픽 식별 장치 및 방법 - Google Patents

Rat 유사 트래픽 식별 장치 및 방법 Download PDF

Info

Publication number
KR102386616B1
KR102386616B1 KR1020200002979A KR20200002979A KR102386616B1 KR 102386616 B1 KR102386616 B1 KR 102386616B1 KR 1020200002979 A KR1020200002979 A KR 1020200002979A KR 20200002979 A KR20200002979 A KR 20200002979A KR 102386616 B1 KR102386616 B1 KR 102386616B1
Authority
KR
South Korea
Prior art keywords
signature
static
address
map
packet
Prior art date
Application number
KR1020200002979A
Other languages
English (en)
Other versions
KR20210090312A (ko
Inventor
엄기진
장인혁
배찬우
문대건
남동수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020200002979A priority Critical patent/KR102386616B1/ko
Publication of KR20210090312A publication Critical patent/KR20210090312A/ko
Application granted granted Critical
Publication of KR102386616B1 publication Critical patent/KR102386616B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L61/1511
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Abstract

RAT 유사 트래픽 식별 장치 및 방법이 개시된다. 본 발명의 일실시예에 따른 RAT 유사 트래픽 식별 장치는 하나 이상의 프로세서; 및 상기 하나 이상의 프로세서에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리를 포함하고, 상기 적어도 하나 이상의 프로그램은 네트워크 상의 악성 트래픽으로 탐지된 패킷을 생성한 소프트웨어를 확인하고, 상기 소프트웨어가 확인된 경우, 상기 패킷의 정적 정보를 이용하여 시그니처를 생성하고, 시그니처 맵에서 상기 시그니처의 존재 여부를 확인하고, 상기 시그니처가 존재하지 않는 경우, 상기 시그니처를 상기 시그니처 맵에 저장한다.

Description

RAT 유사 트래픽 식별 장치 및 방법 {APPARATUS AND METHOD FOR IDENTIFYING TRAFFICE SIMILAR TO REMOTE-ACCESS-TOOL}
본 발명은 RAT 유사 트래픽 식별 기술에 관한 것으로, 보다 상세하게는 기계학습 기반 및 화이트리스트 관리를 이용한 RAT 유사 트래픽 식별 기술에 관한 것이다.
RAT(Remote Access Tool)의 네트워크 통신 특징을 지도 학습하여 탐지모델을 만들고 이를 이용하여 RAT가 설치된 디바이스의 악성통신을 탐지하는 연구가 진행되고 있다. 하지만 이 기술을 적용하여 대규모 네트워크 환경에서 악성통신을 탐지할 때 RAT-like-healthy 소프트웨어로 인해 False Alarm이 사람이 처리하기 어려운 정도로 많이 발생한다. RAT-like-healthy 소프트웨어는 RAT는 아니지만 통신 패턴이 RAT와 비슷한 프로그램을 말한다. 예를 들면 백신, 클라우드, 업데이트시스템, 윈도우 시스템 관련 프로세스 등이 이에 속한다. 따라서 False Alarm을 줄이고 학습에 의한 탐지율을 높이기 위해 이러한 소프트웨어를 식별하는 기술이 필요하다.
한편, 한국공개특허 제 10-2019-0010225 호 “악성 트래픽 탐지 방법 및 그 장치”는 사전에 정의된 악성 패턴 정보 없이, 대상 시스템에 대한 트래픽 분석 결과를 통해 악성 트래픽 및 상기 악성 트래픽을 유발한 악성 코드를 탐지하는 장치 에 관하여 개시하고 있다.
본 발명은 RAT-like-healthy 소프트웨어의 데이터베이스를 자동 및 수동으로 관리하여 False Alarm을 줄여 탐지율을 높이고 지도학습의 탐지모델이 RAT-like-healthy 소프트웨어를 식별 할 수 있는 라벨링된 데이터를 수집하는 것을 목적으로 한다.
상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 RAT 유사 트래픽 식별 장치는 하나 이상의 프로세서 및 상기 하나 이상의 프로세서에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리를 포함하고, 상기 적어도 하나 이상의 프로그램은 네트워크 상의 악성 트래픽으로 탐지된 패킷을 생성한 소프트웨어를 확인하고, 상기 소프트웨어가 확인된 경우, 상기 패킷의 정적 정보를 이용하여 시그니처를 생성하고, 시그니처 맵에서 상기 시그니처의 존재 여부를 확인하고, 상기 시그니처가 존재하지 않는 경우, 상기 시그니처를 상기 시그니처 맵에 저장한다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 시그니처 맵에 상기 시그니처가 존재하는 경우, 정적 IP 맵에서 상기 패킷의 IP 주소의 존재 여부를 확인할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 패킷의 네트워크 인프라에 대해 기설정된 시간 간격으로 DNS 쿼리를 수행하여 상기 패킷의 IP 주소를 정적 IP 주소와 동적 IP 주소로 구분할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 정적 IP 주소가 상기 정적 IP 맵에 존재하지 않는 경우, 상기 정적 IP 주소를 상기 정적 IP 맵에 저장할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 정적 IP 주소가 상기 정적 IP 맵에 존재하는 경우, 로그 저장, 펄스 알람(FALSE ALARM) 처리 및 비나인(BENIGN) 라벨링 패킷 데이터를 저장할 수 있다.
또한, 상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 RAT 유사 트래픽 식별 방법은 RAT 유사 트래픽 식별 장치의 RAT 유사 트래픽 식별 방법에 있어서, 네트워크 상의 악성 트래픽으로 탐지된 패킷을 생성한 소프트웨어를 확인하는 단계; 상기 소프트웨어가 확인된 경우, 상기 패킷의 정적 정보를 이용하여 시그니처를 생성하고, 시그니처 맵에서 상기 시그니처의 존재 여부를 확인하는 단계 및 상기 시그니처가 존재하지 않는 경우, 상기 시그니처를 상기 시그니처 맵에 저장하는 단계를 포함한다.
이 때, 상기 RAT 유사 트래픽 식별 방법은 상기 시그니처 맵에 상기 시그니처가 존재하는 경우, 정적 IP 맵에서 상기 패킷의 IP 주소의 존재 여부를 확인하는 단계를 더 포함할 수 있다.
이 때, 상기 패킷의 IP 주소의 존재 여부를 확인하는 단계는 상기 패킷의 네트워크 인프라에 대해 기설정된 시간 간격으로 DNS 쿼리를 수행하여 상기 패킷의 IP 주소를 정적 IP 주소와 동적 IP 주소로 구분할 수 있다.
이 때, 상기 패킷의 IP 주소의 존재 여부를 확인하는 단계는 상기 정적 IP 주소가 상기 정적 IP 맵에 존재하지 않는 경우, 상기 정적 IP 주소를 상기 정적 IP 맵에 저장할 수 있다.
이 때, 상기 패킷의 IP 주소의 존재 여부를 확인하는 단계는 상기 정적 IP 주소가 상기 정적 IP 맵에 존재하는 경우, 로그 저장, 펄스 알람(FALSE ALARM) 처리 및 비나인(BENIGN) 라벨링 패킷 데이터를 저장할 수 있다.
본 발명은 RAT-like-healthy 소프트웨어의 데이터베이스를 자동 및 수동으로 관리하여 False Alarm을 줄여 탐지율을 높이고 지도학습의 탐지모델이 RAT-like-healthy 소프트웨어를 식별 할 수 있는 라벨링된 데이터를 수집할 수 있다.
도 1은 본 발명의 일실시예에 따른 RAT 유사 트래픽 식별 장치를 나타낸 블록도이다.
도 2는 본 발명의 일실시예에 따른 정적 네트워크 인프라 IP 주소관리 과정을 나타낸 도면이다.
도 3은 본 발명의 일실시예에 따른 시그니처 추출 및 관리에 관한 RAT 유사 트래픽 식별 방법을 나타낸 동작흐름도이다.
도 4는 본 발명의 일실시예에 따른 시그니처 입력 및 관리에 관한 RAT 유사 트래픽 식별 방법을 나타낸 동작흐름도이다.
도 5는 본 발명의 일실시예에 따른 정적 네트워크 인프라 IP 주소관리에 관한 RAT 유사 트래픽 식별 방법을 나타낸 동작흐름도이다.
도 6은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 도면이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일실시예에 따른 RAT 유사 트래픽 식별 장치를 나타낸 블록도이다. 도 2는 본 발명의 일실시예에 따른 정적 네트워크 인프라 IP 주소관리 과정을 나타낸 도면이다.
도 1을 참조하면, 본 발명의 일실시예에 따른 RAT 유사 트래픽 식별 장치는 패킷 수집부(110), 시그니처 입력부(111), 시그니처 추출부(120), 소프트웨어 데이터베이스부(130), 시그니처 확인부(140), 시그니처 맵 저장부(150), 정적 IP 확인부(160) 및 정적 IP 맵 저장부(170)를 포함한다.
본 발명의 일실시예에 따른 RAT 유사 트래픽 식별 장치는 RAT-like-healthy 소프트웨어 데이터베이스 관리프로그램을 동작시키는 3개의 서브 시스템을 포함할 수 있다.
RAT-like-healthy 소프트웨어 데이터베이스 관리프로그램을 동작시키는 3개의 서브 시스템은 네트워크 시그니처 추출 및 관리 시스템(RAT-like healthy Program network signature extraction & management program), 수동 시그니처 입력 관리 시스템(RAT-like healthy Program manually inserted signature management program) 및 정적 네트워크 인프라 IP 주소관리 시스템(RAT-like healthy Program Static network infra IP address management program)을 포함할 수 있다.
먼저, 네트워크 시그니처 추출 및 관리 시스템으로 동작하는 RAT 유사 트래픽 식별 장치는 패킷을 수집하고, 패킷을 생성한 소프트웨어를 추측하여, 시그니처를 생성하고, 시그니처 맵 저장부(150)(RAT-like-healthy Software: Signature Map)에 시그니처를 저장할 수 있다.
패킷 수집부(110)는 네트워크 상의 악성 트래픽으로 탐지된 패킷을 수집할 수 있다.
이 때, 패킷 수집부(110)는 기계학습 기술에 기반하여 위협탐지가 발생하였을 때, 자동적으로 패킷 수집을 수행할 수도 있다.
이 때, 패킷 수집부(110)는 세션별로 패킷을 묶기 위해 동일한 소스(source) 포트로 나간 패킷들을 모아서 시그니처 추출부(120)로 전달할 수 있다.
시그니처 추출부(120)는 패킷의 패턴 및 헤더 정보 등을 이용하여 패킷을 생성한 소프트웨어가 추측가능한지 확인할 수 있다.
이 때, 시그니처 추출부(120)는 패킷을 생성한 소프트웨어를 추측 가능한 경우, 소프트웨어 데이터베이스부(130)(RAT-like-healthy Software DB)를 참조하여 관련 소프트웨어가 존재하는지 확인할 수 있다.
이 때, 시그니처 추출부(120)는 관련 소프트웨어가 존재하는 경우, 세션에서 발생된 패킷들 중 정적인 정보를 담고 있는 패킷을 찾고 해당 단일 패킷의 정적 정보를 이용하여 시그니처를 생성할 수 있다.
이 때, 시그니처 추출부(120)는 관련 소프트웨어가 존재하지 않는 경우, 패킷에 관한 정보를 관리자에게 전달할 수 있다.
이 때, 시그니처 확인부(140)는 시그니처가 생성되면 시그니처 맵 저장부(150)에 동일한 시그니처가 존재하는지 확인하고, 동일한 시그니처가 존재하지 않는다면 시그니처 맵 저장부(150)(RAT-like-healthy Software: Signature Map)에 시그니처를 저장할 수 있다.
또한, 수동 시그니처 입력 관리 시스템으로 동작하는 RAT 유사 트래픽 식별 장치는 수집된 패킷으로부터 시그니처를 자동으로 추출하는 것이 아닌 관리자가 네트워크 상의 악성 트래픽으로 탐지된 패킷을 분석하여 시그니처를 추출하고, 추출된 시그니처를 시그니처 맵 저장부(150)(RAT-like-healthy Software: Signature Map)에 저장할 수 있다.
이 때, 시그니처 입력부(111)는 관리자로부터 시그니처를 입력 받을 수 있다.
이 때, 시그니처 입력부(111)는 관리자가 패킷을 분석하여 추출된 시그니처를 입력 받을 수 있다.
시그니처 확인부(140)는 시그니처의 패킷을 생성한 소프트웨어를 추측 가능한 경우, 소프트웨어 데이터베이스부(130)(RAT-like-healthy Software DB)를 참조하여 관련 소프트웨어가 존재하는지 확인할 수 있다.
이 때, 시그니처 확인부(140)는 관련 소프트웨어가 존재하지 않는 경우, 패킷에 관한 정보를 관리자에게 전달할 수 있다.
이 때, 시그니처 확인부(140)는 시그니처 맵 저장부(150)에 동일한 시그니처가 존재하는지 확인하고, 동일한 시그니처가 존재하지 않는다면 시그니처 맵 저장부(150)(RAT-like-healthy Software: Signature Map)에 시그니처를 저장할 수 있다.
또한, 정적 네트워크 인프라 IP 주소관리 시스템으로 동작하는 RAT 유사 트래픽 식별 장치는 RAT-like-healthy 소프트웨어가 서비스를 이용하기 위해 접속하는 서버 등의 주소를 이용해 해당 트래픽이 어떤 소프트웨어의 트래픽인지 식별할 수 있다.
패킷 수집부(110)는 네트워크 상의 악성 트래픽으로 탐지된 패킷을 수집할 수 있다.
정적 IP 확인부(160)는 시그니처 맵 저장부(150)에 동일한 시그니처가 존재하는지 확인하고, 동일한 시그니처가 존재하는 경우, 정적 IP 맵 저장부(170) (Domain: Static IP Map)로부터 패킷의 IP의 존재 여부를 조회하고, 동일한 시그니처가 존재하지 않는 경우, 탐지된 패킷의 정보를 관리자에게 전달할 수 있다.
도 2를 참조하면, 정적 IP 확인부(160)는 패킷의 네트워크 인프라에 대해 기설정된 시간 간격으로 DNS 쿼리를 수행하여 정적 IP 주소와 동적 IP 주소를 구분하고, 정적 IP 주소가 정적 IP 맵 저장부(170)(Domain: Static IP Map)에 존재하지 않는 경우, 정적 IP 주소를 저장할 수 있다.
일반적으로 소프트웨어가 서비스를 이용하기 위해 접속하는 네트워크 인프라의 주소는 정적인 경우도 있으나 그렇지 않은 경우도 존재한다. 그리고 정적인 주소라고 하더라도 사유가 발생되면 변경 될 수 있다. 따라서, 정적 IP확인부(160)는 정적 IP 맵 저장부(170)(Domain: Static IP Map)의 항목들에 대해 일정시간마다 DNS쿼리를 이용하여 변경된 항목을 제거할 수도 있다.
이 때, 정적 IP 확인부(160)는 정적 IP 맵 저장부(170)(Domain: Static IP Map)에 해당하는 IP가 존재하는 경우, 로그를 저장하고, 해당하는 IP 가 존재하지 않는 경우, 탐지된 패킷의 정보를 관리자에게 전달할 수 있다.
이 때, 정적 IP 확인부(160)는 로그를 저장한 뒤, 펄스 알람(FALSE ALARM)을 처리하고, 비나인(BENIGN) 라벨링 패킷 데이터를 저장할 수 있다.
도 3은 본 발명의 일실시예에 따른 시그니처 추출 및 관리에 관한 RAT 유사 트래픽 식별 방법을 나타낸 동작흐름도이다.
도 3을 참조하면, 본 발명의 일실시예에 따른 시그니처 추출 및 관리에 관한 RAT 유사 트래픽 식별 방법은 패킷을 수집하고, 패킷을 생성한 소프트웨어를 추측하여, 시그니처를 생성하고, 시그니처 맵 저장부(150)(RAT-like-healthy Software: Signature Map)에 시그니처를 저장할 수 있다.
먼저, 본 발명의 일실시예에 따른 시그니처 추출 및 관리에 관한 RAT 유사 트래픽 식별 방법은 패킷을 수집할 수 있다(S210).
즉, 단계(S210)는 네트워크 상의 악성 트래픽으로 탐지된 패킷을 수집할 수 있다.
이 때, 단계(S210)는 기계학습 기술에 기반하여 위협탐지가 발생하였을 때, 자동적으로 패킷 수집을 수행할 수도 있다.
이 때, 단계(S210)는 세션별로 패킷을 묶기 위해 동일한 소스(source) 포트로 나간 패킷들을 모아서 시그니처 추출부(120)로 전달할 수 있다.
또한, 본 발명의 일실시예에 따른 시그니처 추출 및 관리에 관한 RAT 유사 트래픽 식별 방법은 패킷을 생성한 소프트웨어를 추측 가능한지 확인할 수 있다(S220).
즉, 단계(S220)는 패킷의 패턴 및 헤더 정보 등을 이용하여 패킷을 생성한 소프트웨어가 추측가능한지 확인할 수 있다.
이 때, 단계(S220)는 패킷을 생성한 소프트웨어를 추측 가능한 경우, 소프트웨어 데이터베이스부(130)(RAT-like-healthy Software DB)를 참조하여 관련 소프트웨어가 존재하는지 확인할 수 있다(S230).
이 때, 단계(S230)는 관련 소프트웨어가 존재하는 경우(S240), 세션에서 발생된 패킷들 중 정적인 정보를 담고 있는 패킷을 찾고 해당 단일 패킷의 정적 정보를 이용하여 시그니처를 생성할 수 있다(S250).
이 때, 단계(S240)는 관련 소프트웨어가 존재하지 않는 경우, 패킷에 관한 정보를 관리자에게 전달할 수 있다(S280).
이 때, 단계(S250)는 시그니처가 생성되면 시그니처 맵 저장부(150)에 동일한 시그니처가 존재하는지 확인하고(S260), 동일한 시그니처가 존재하지 않는다면 시그니처 맵 저장부(150)(RAT-like-healthy Software: Signature Map)에 시그니처를 저장할 수 있다(S270).
도 4는 본 발명의 일실시예에 따른 시그니처 입력 및 관리에 관한 RAT 유사 트래픽 식별 방법을 나타낸 동작흐름도이다.
도 4를 참조하면, 본 발명의 일실시예에 따른 시그니처 입력 및 관리에 관한 RAT 유사 트래픽 식별 방법은 수집된 패킷으로부터 시그니처를 자동으로 추출하는 것이 아닌 관리자가 네트워크 상의 악성 트래픽으로 탐지된 패킷을 분석하여 시그니처를 추출하고, 추출된 시그니처를 시그니처 맵 저장부(150)(RAT-like-healthy Software: Signature Map)에 저장할 수 있다.
먼저, 본 발명의 일실시예에 따른 시그니처 입력 및 관리에 관한 RAT 유사 트래픽 식별 방법은 시그니처를 입력 받을 수 있다(S310).
즉, 단계(S310)는 관리자로부터 시그니처를 입력 받을 수 있다.
이 때, 단계(S310)는 관리자가 패킷을 분석하여 추출된 시그니처를 입력 받을 수 있다.
또한, 본 발명의 일실시예에 따른 시그니처 입력 및 관리에 관한 RAT 유사 트래픽 식별 방법은 시그니처가 존재하는지 확인할 수 있다(S330).
즉, 단계(S320)는 시그니처의 패킷을 생성한 소프트웨어를 추측 가능한 경우, 소프트웨어 데이터베이스부(130)(RAT-like-healthy Software DB)를 참조하여 관련 소프트웨어가 존재하는지 확인할 수 있다.
이 때, 단계(S320)는 관련 소프트웨어가 존재하지 않는 경우, 패킷에 관한 정보를 관리자에게 전달할 수 있다.
이 때, 단계(S320)는 시그니처 맵 저장부(150)에 동일한 시그니처가 존재하는지 확인하고(S330), 동일한 시그니처가 존재하지 않는다면 시그니처 맵 저장부(150)(RAT-like-healthy Software: Signature Map)에 시그니처를 저장할 수 있다(S340).
도 5는 본 발명의 일실시예에 따른 정적 네트워크 인프라 IP 주소관리에 관한 RAT 유사 트래픽 식별 방법을 나타낸 동작흐름도이다.
도 5를 참조하면, 본 발명의 일실시예에 따른 정적 네트워크 인프라 IP 주소관리에 관한 RAT 유사 트래픽 식별 방법은 RAT-like-healthy 소프트웨어가 서비스를 이용하기 위해 접속하는 서버 등의 주소를 이용해 해당 트래픽이 어떤 소프트웨어의 트래픽인지 식별할 수 있다.
먼저, 본 발명의 일실시예에 따른 정적 네트워크 인프라 IP 주소관리에 관한 RAT 유사 트래픽 식별 방법은 패킷을 수집할 수 있다(S410).
즉, 단계(S410)는 네트워크 상의 악성 트래픽으로 탐지된 패킷을 수집할 수 있다.
본 발명의 일실시예에 따른 정적 네트워크 인프라 IP 주소관리에 관한 RAT 유사 트래픽 식별 방법은 시그니처 맵을 조회할 수 있다(S420).
즉, 단계(S420)는 시그니처 맵 저장부(150)에 동일한 시그니처가 존재하는지 확인하고(S430), 동일한 시그니처가 존재하는 경우, 정적 IP 맵 저장부(170) (Domain: Static IP Map)로부터 패킷의 IP의 존재 여부를 확인하고(S440), 동일한 시그니처가 존재하지 않는 경우, 탐지된 패킷의 정보를 관리자에게 전달할 수 있다(S460).
도 2를 참조하면, 단계(S440)는 패킷의 네트워크 인프라에 대해 기설정된 시간 간격으로 DNS 쿼리를 수행하여 정적 IP 주소와 동적 IP 주소를 구분하고, 정적 IP 주소가 정적 IP 맵 저장부(170)(Domain: Static IP Map)에 존재하지 않는 경우, 정적 IP 주소를 저장할 수 있다.
일반적으로 소프트웨어가 서비스를 이용하기 위해 접속하는 네트워크 인프라의 주소는 정적인 경우도 있으나 그렇지 않은 경우도 존재한다. 그리고 정적인 주소라고 하더라도 사유가 발생되면 변경 될 수 있다. 따라서, 단계(S440)는 정적 IP 맵 저장부(170)(Domain: Static IP Map)의 항목들에 대해 일정시간마다 DNS쿼리를 이용하여 변경된 항목을 제거할 수도 있다.
이 때, 단계(S440)는 정적 IP 맵 저장부(170)(Domain: Static IP Map)에 해당하는 IP가 존재하는지 확인하고(S450), 존재하는 경우, 로그를 저장하고(S470), 해당하는 IP 가 존재하지 않는 경우, 탐지된 패킷의 정보를 관리자에게 전달할 수 있다(S460).
이 때, 단계(S470)는 로그를 저장한 뒤, 펄스 알람(FALSE ALARM)을 처리하고(S480), 비나인(BENIGN) 라벨링 패킷 데이터를 저장할 수 있다(S490).
도 6은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 도면이다.
도 6을 참조하면, 본 발명의 일실시예에 따른 RAT 유사 트래픽 식별 장치는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(1100)에서 구현될 수 있다. 도 6에 도시된 바와 같이, 컴퓨터 시스템(1100)은 버스(1120)를 통하여 서로 통신하는 하나 이상의 프로세서(1110), 메모리(1130), 사용자 인터페이스 입력 장치(1140), 사용자 인터페이스 출력 장치(1150) 및 스토리지(1160)를 포함할 수 있다. 또한, 컴퓨터 시스템(1100)은 네트워크(1180)에 연결되는 네트워크 인터페이스(1170)를 더 포함할 수 있다. 프로세서(1110)는 중앙 처리 장치 또는 메모리(1130)나 스토리지(1160)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1130) 및 스토리지(1160)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(1131)이나 RAM(1132)을 포함할 수 있다.
본 발명의 일실시예에 따른 RAT 유사 트래픽 식별 장치는 하나 이상의 프로세서(1110) 및 상기 하나 이상의 프로세서(1110)에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리(1130)를 포함하고, 상기 적어도 하나 이상의 프로그램은 네트워크 상의 악성 트래픽으로 탐지된 패킷을 생성한 소프트웨어를 확인하고, 상기 소프트웨어가 확인된 경우, 상기 패킷의 정적 정보를 이용하여 시그니처를 생성하고, 시그니처 맵에서 상기 시그니처의 존재 여부를 확인하고, 상기 시그니처가 존재하지 않는 경우, 상기 시그니처를 상기 시그니처 맵에 저장한다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 시그니처 맵에 상기 시그니처가 존재하는 경우, 정적 IP 맵에서 상기 패킷의 IP 주소의 존재 여부를 확인할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 패킷의 네트워크 인프라에 대해 기설정된 시간 간격으로 DNS 쿼리를 수행하여 상기 패킷의 IP 주소를 정적 IP 주소와 동적 IP 주소로 구분할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 정적 IP 주소가 상기 정적 IP 맵에 존재하지 않는 경우, 상기 정적 IP 주소를 상기 정적 IP 맵에 저장할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 정적 IP 주소가 상기 정적 IP 맵에 존재하는 경우, 로그 저장, 펄스 알람(FALSE ALARM) 처리 및 비나인(BENIGN) 라벨링 패킷 데이터를 저장할 수 있다.
이상에서와 같이 본 발명의 일실시예에 따른 RAT 유사 트래픽 식별 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
110: 패킷 수집부 111: 시그니처 입력부
120: 시그니처 추출부 130: 소프트웨어 데이터베이스부
140: 시그니처 확인부 150: 시그니처 맵 저장부
160: 정적 IP 확인부 170: 정적 IP 맵 저장부
1100: 컴퓨터 시스템 1110: 프로세서
1120: 버스 1130: 메모리
1131: 롬 1132: 램
1140: 사용자 인터페이스 입력 장치
1150: 사용자 인터페이스 출력 장치
1160: 스토리지 1170: 네트워크 인터페이스
1180: 네트워크

Claims (10)

  1. 하나 이상의 프로세서; 및
    상기 하나 이상의 프로세서에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리;
    를 포함하고,
    상기 적어도 하나 이상의 프로그램은
    네트워크 상의 악성 트래픽으로 탐지된 패킷을 생성한 소프트웨어를 확인하고, 상기 소프트웨어가 확인된 경우, 상기 패킷의 정적 정보를 이용하여 시그니처를 생성하고, 시그니처 맵에서 상기 시그니처의 존재 여부를 확인하고, 상기 시그니처 맵에 상기 시그니처가 존재하는 경우, 정적 IP 맵에서 상기 패킷의 IP 주소의 존재 여부를 확인하고, 상기 시그니처가 존재하지 않는 경우, 상기 시그니처를 상기 시그니처 맵에 저장하고,
    상기 소프트웨어가 서비스를 이용하기 위해 접속하는 서버의 주소를 이용하여 상기 소프트웨어를 확인하고,
    상기 패킷의 네트워크 인프라에 대해 기설정된 시간 간격으로 DNS 쿼리를 수행하여 상기 패킷의 IP 주소를 정적 IP 주소와 동적 IP 주소로 구분하고,
    상기 정적 IP 주소가 상기 정적 IP 맵에 존재하지 않는 경우, 상기 정적 IP 주소를 상기 정적 IP 맵에 저장하고,
    상기 정적 IP 맵에 저장된 항목들에 대해 기설정된 시간마다 DNS쿼리를 이용하여 변경된 항목을 제거하는 것을 특징으로 하는 RAT 유사 트래픽 식별 장치.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 청구항 1에 있어서,
    상기 적어도 하나 이상의 프로그램은
    상기 정적 IP 주소가 상기 정적 IP 맵에 존재하는 경우, 로그 저장, 펄스 알람(FALSE ALARM) 처리 및 비나인(BENIGN) 라벨링 패킷 데이터를 저장하는 것을 특징으로 하는 RAT 유사 트래픽 식별 장치.
  6. RAT 유사 트래픽 식별 장치의 RAT 유사 트래픽 식별 방법에 있어서,
    네트워크 상의 악성 트래픽으로 탐지된 패킷을 생성한 소프트웨어를 확인하는 단계;
    상기 소프트웨어가 확인된 경우, 상기 패킷의 정적 정보를 이용하여 시그니처를 생성하고, 시그니처 맵에서 상기 시그니처의 존재 여부를 확인하는 단계;
    상기 시그니처 맵에 상기 시그니처가 존재하는 경우, 정적 IP 맵에서 상기 패킷의 IP 주소의 존재 여부를 확인하는 단계; 및
    상기 시그니처가 존재하지 않는 경우, 상기 시그니처를 상기 시그니처 맵에 저장하는 단계;
    를 포함하고,
    상기 소프트웨어를 확인하는 단계는
    상기 소프트웨어가 서비스를 이용하기 위해 접속하는 서버의 주소를 이용하여 상기 소프트웨어를 확인하고,
    상기 패킷의 IP 주소의 존재 여부를 확인하는 단계는
    상기 패킷의 네트워크 인프라에 대해 기설정된 시간 간격으로 DNS 쿼리를 수행하여 상기 패킷의 IP 주소를 정적 IP 주소와 동적 IP 주소로 구분하고,
    상기 정적 IP 주소가 상기 정적 IP 맵에 존재하지 않는 경우, 상기 정적 IP 주소를 상기 정적 IP 맵에 저장하고,
    상기 정적 IP 맵에 저장된 항목들에 대해 기설정된 시간마다 DNS쿼리를 이용하여 변경된 항목을 제거하는 것을 특징으로 하는 RAT 유사 트래픽 식별 방법.
  7. 삭제
  8. 삭제
  9. 삭제
  10. 청구항 6에 있어서,
    상기 패킷의 IP 주소의 존재 여부를 확인하는 단계는
    상기 정적 IP 주소가 상기 정적 IP 맵에 존재하는 경우, 로그 저장, 펄스 알람(FALSE ALARM) 처리 및 비나인(BENIGN) 라벨링 패킷 데이터를 저장하는 것을 특징으로 하는 RAT 유사 트래픽 식별 방법.
KR1020200002979A 2020-01-09 2020-01-09 Rat 유사 트래픽 식별 장치 및 방법 KR102386616B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200002979A KR102386616B1 (ko) 2020-01-09 2020-01-09 Rat 유사 트래픽 식별 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200002979A KR102386616B1 (ko) 2020-01-09 2020-01-09 Rat 유사 트래픽 식별 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20210090312A KR20210090312A (ko) 2021-07-20
KR102386616B1 true KR102386616B1 (ko) 2022-04-15

Family

ID=77127245

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200002979A KR102386616B1 (ko) 2020-01-09 2020-01-09 Rat 유사 트래픽 식별 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102386616B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101596603B1 (ko) * 2014-12-31 2016-03-07 한양대학교 산학협력단 네트워크 패킷 플로우 시퀀스 정보를 이용한 시그니처 생성 장치 및 방법
KR101631242B1 (ko) * 2015-01-27 2016-06-16 한국전자통신연구원 잠재 디리클레 할당을 이용한 악성 트래픽의 시그니처의 자동화된 식별 방법 및 장치

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101596603B1 (ko) * 2014-12-31 2016-03-07 한양대학교 산학협력단 네트워크 패킷 플로우 시퀀스 정보를 이용한 시그니처 생성 장치 및 방법
KR101631242B1 (ko) * 2015-01-27 2016-06-16 한국전자통신연구원 잠재 디리클레 할당을 이용한 악성 트래픽의 시그니처의 자동화된 식별 방법 및 장치

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Masatsugu Oya et al.,"Early Detection of Remote Access Trojan by Software Network Behavior,"International Conference on Information Security and Cryptology, 658-671(2019.02.21.)*

Also Published As

Publication number Publication date
KR20210090312A (ko) 2021-07-20

Similar Documents

Publication Publication Date Title
CN106713049B (zh) 一种监控的告警方法及装置
TW201703465A (zh) 網路異常偵測技術
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
CN109450955B (zh) 一种基于网络攻击的流量处理方法及装置
CN102487339A (zh) 一种网络设备攻击防范方法及装置
US10038706B2 (en) Systems, devices, and methods for separating malware and background events
US10482240B2 (en) Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored
CN111726342B (zh) 一种提升蜜罐系统告警输出精准性的方法及系统
CN109688094B (zh) 基于网络安全的可疑ip配置方法、装置、设备及存储介质
EP3905084A1 (en) Method and device for detecting malware
US10348751B2 (en) Device, system and method for extraction of malicious communication pattern to detect traffic caused by malware using traffic logs
CN112929376A (zh) 一种流量数据的处理方法、装置、计算机设备和存储介质
CN114024761B (zh) 网络威胁数据的检测方法、装置、存储介质及电子设备
CN113849820A (zh) 一种漏洞检测方法及装置
KR102040371B1 (ko) 네트워크 공격 패턴 분석 및 방법
KR102386616B1 (ko) Rat 유사 트래픽 식별 장치 및 방법
CN117220957A (zh) 一种基于威胁情报的攻击行为响应方法及系统
CN109981573B (zh) 安全事件响应方法及装置
CN111010362B (zh) 一种异常主机的监控方法及装置
US11595419B2 (en) Communication monitoring system, communication monitoring apparatus, and communication monitoring method
CN111224890A (zh) 一种云平台的流量分类方法、系统及相关设备
CN113872980B (zh) 一种工控设备信息的识别方法、装置、存储介质和设备
CN109274676B (zh) 基于自学习方式获取木马控制端ip地址的方法、系统和存储设备
CN109391626B (zh) 一种判定网络攻击结果未遂的方法和相关装置
JP6063340B2 (ja) 指令元特定装置、指令元特定方法、及び指令元特定プログラム

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant