KR102390355B1 - 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법 및 장치 - Google Patents

시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법 및 장치 Download PDF

Info

Publication number
KR102390355B1
KR102390355B1 KR1020150160625A KR20150160625A KR102390355B1 KR 102390355 B1 KR102390355 B1 KR 102390355B1 KR 1020150160625 A KR1020150160625 A KR 1020150160625A KR 20150160625 A KR20150160625 A KR 20150160625A KR 102390355 B1 KR102390355 B1 KR 102390355B1
Authority
KR
South Korea
Prior art keywords
attack
signature
character string
information
database
Prior art date
Application number
KR1020150160625A
Other languages
English (en)
Other versions
KR20170057030A (ko
Inventor
이성원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020150160625A priority Critical patent/KR102390355B1/ko
Priority to US15/225,560 priority patent/US10225269B2/en
Publication of KR20170057030A publication Critical patent/KR20170057030A/ko
Application granted granted Critical
Publication of KR102390355B1 publication Critical patent/KR102390355B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/142Denial of service attacks against network infrastructure

Abstract

본 발명은 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법 및 장치에 관한 것이다.
이에 따른 본 발명은 네트워크로부터 수신되는 입력 패킷 내에서 기저장된 적어도 하나의 압축 공격 시그니처와 매치되는 문자열을 탐지하는 단계, 문자열이 탐지되면, 탐지된 문자열이 기저장된 적어도 하나의 개별 공격 시그니처와 매치되는지 여부를 판단하는 단계 및 상기 탐지된 문자열이 상기 기저장된 적어도 하나의 개별 공격 시그니처와 매치되면, 상기 입력 패킷을 공격 패킷으로 판단하고, 매치되지 않으면 새로운 공격 시그니처로 생성하는 단계를 포함하는 것을 특징으로 하는 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법 및 장치에 관한 것이다.

Description

시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법 및 장치{Method and apparatus for detecting attaks and generating attack signatures based on signature merging}
본 발명은 시그니처 기반 네트워크 공격 탐지와 공격 시그니처 자동 생성 방법 및 장치에 관한 것이다.
시그니처 기반 네트워크 공격 탐지에 있어서 가장 많이 이용되는 기술은 스노트(snort.org)이다. 스노트는 공격 시그니처 데이터베이스를 자체적으로 관리하고 주기적으로 업데이트한다.
스노트 2.1버전에서 2997개였던 공격 시그니처는 최근 2.9버전에서 31165개로 증가하였다. 증가하는 공격 시그니처는 IPS 메모리를 많이 필요로 할 뿐만 아니라, 공격 탐지에 소모되는 시간을 증가시킨다. 그럼에도 불구하고 공격 시그니처의 정확한 탐지를 위해서는, 매년 8000여 건씩 새로이 발생하는 악성 코드에 대한 공격 시그니처를 지속적으로 생성해야 하기 때문에, 공격 시그니처 데이터 베이스의 크기는 지속적으로 증가할 수밖에 없다. 증가하는 공격 시그니처 데이터 베이스의 크기는 탐색 속도를 지연시켜 고속 네트워크에 실시간 적용을 어렵게 한다.
이를 해결하기 위하여 스노트는 설정 시스템 파라미터를 통해 공격 탐지 강도에 따라 connectivity, balanced, 그리고 Security 모드를 지원한다. 그러나 공격 탐지 강도가 높은 모드를 설정하는 경우에는 여전히 시스템 지연이 발생하고, 공격 탐지 강도가 낮은 모드를 설정하는 경우에는 미탐을 필연적으로 발생시키므로, 증가하는 공격 시그니처를 효율적으로 관리하기 위한 네트워크 공격 탐지 방법이 요구된다.
한편, 공격 시그니처를 탐지하기 위해서는 공격 시그니처 데이터 베이스가 사전에 생성되어야 하고 공격 발생 이전에 IPS에 제공되어야 한다. 공격 시그니처의 생성 방법에는 호스트 기반과 네트워크 기반의 기술이 있다.
네트워크 기반 기술은 시그니처의 생성에 일반적으로 많이 사용되는 방법으로, 네트워크 공격을 위해서는 독특하고 공격에 반드시 필요한 공격자의 바이트 시퀀스가 트래픽 내에 포함되어야 한다는 것을 가정한다. 그에 따라 네트워크 기반 기술은 네트워크 트래픽 중에서 의심되는 특성을 보이는 트래픽(세션)을 분리하고 이중에서 공통되는 문자열을 찾아 공격 시그니처로 생성한다. 네트워크 기반 공격 시그니처 생성 방법은 공격자가 의미 없는 임의의 문자열을 공격 패킷에 삽입하여 과도한 오탐을 유도하고 공격 시그니처 생성을 회피할 수 있다는 점에서, 공격자가 악용할 수 있다.
호스트 기반 기술은 제한된 환경에 공격 트래픽을 유도하고 실행 과정에 나타나는 비정상적인 코드를 탐지하는 기술이다. 호스트 기반 기술은 공격으로 인한 피해가 발생한 이후에 공격 시그니처를 생성할 수 있으며, 또한 공격 시그니처 생성까지 시간이 매우 오래 걸린다는 단점을 갖는다. 이는 생성된 시그니처가 다른 네트워크 트래픽에 사용되는지 확인하는 단계를 거쳐야 하고 이를 위해서는 IPS와는 다른 별도의 장치를 필요로 한다.
한편, 종래의 시그니처 기반 네트워크 보안 기술에서는 공격 시그니처를 생성하는 장비와 시그니처 기반 공격을 탐지하는 장비(IPS)가 별도로 존재하였다. 따라서, 시그니처를 생성하고 이를 적용하기 위해 별도의 시스템 및 전송 장비를 필요로 하였으며, 그에 따라 생성된 시그니처의 적용에 지연이 발생하였다.
본 발명에서는 상태 병합 기법을 이용하여 증가하는 공격 시그니처 데이터 베이스의 크기를 효율적으로 줄이고, 공격 탐지의 정확도를 높이기 위해 2단계 공격 탐지 및 통계적 매칭을 이용한 시그니처 기반 네트워크 공격 탐지 방법 및 장치를 제공한다.
또한, 본 발명에서는 공격 탐지와 동시에 탐지된 공격을 기초로 공격 시그니처를 실시간으로 생성하는 시그니처 기반 네트워크 공격 탐지 방법 및 장치를 제공한다.
상술한 과제를 해결하기 위한 본 발명에 따른 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법은, 네트워크로부터 수신되는 입력 패킷 내에서 기저장된 적어도 하나의 압축 공격 시그니처와 매치되는 문자열을 탐지하는 단계, 문자열이 탐지되면, 탐지된 문자열이 기저장된 적어도 하나의 개별 공격 시그니처와 매치되는지 여부를 판단하는 단계 및 상기 탐지된 문자열이 상기 기저장된 적어도 하나의 개별 공격 시그니처와 매치되면, 상기 입력 패킷을 공격 패킷으로 판단하고, 매치되지 않으면 새로운 공격 시그니처로 생성하는 단계를 포함하는 것을 특징으로 한다.
또한, 상술한 과제를 해결하기 위한 본 발명에 따른 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 장치는, 네트워크로부터 입력 패킷을 수신하는 통신부, 적어도 하나의 개별 공격 시그니처를 저장하는 상세 데이터 베이스 및 상기 개별 공격 시그니처를 기설정된 알고리즘에 따라 압축하여 생성되는 적어도 하나의 압축 공격 시그니처를 저장하는 압축 데이터 베이스를 포함하는 저장부 및 상기 입력 패킷 내에서 상기 압축 데이터 베이스와 매치되는 문자열이 탐지되면, 상기 탐지된 문자열을 상기 상세 데이터 베이스와 비교하고 상기 입력 패킷을 공격 패킷으로 판단하고, 매치되지 않으면 새로운 공격 시그니처로 생성하는 제어부를 포함하는 것을 특징으로 한다.
본 발명에 따른 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법 및 장치는, 공격 탐지와 공격 시그니처 생성을 동일 프로세스 내에서 수행할 수 있도록 한다.
또한, 본 발명에 따른 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법 및 장치는, 공격 시그니처 데이터 베이스를 위한 자원 제약 및 공격 탐지 시의 속도 저하 문제를 해결할 수 있도록 한다.
도 1은 본 발명의 실시 예에 따른 공격 탐지 및 공격 시그니처 생성 장치의 구조를 나타낸 블록도이다.
도 2는 본 발명의 실시 예에 따른 압축 데이터 베이스 생성 방법을 설명하기 위한 도면이다.
도 3은 본 발명의 실시 예에 따른 공격 탐지 및 공격 시그니처 생성 방법을 나타낸 순서도이다.
도 4는 본 발명의 실시 예에 따른 통계적 매칭 방법을 나타낸 순서도이다.
본 명세서의 실시 예를 설명함에 있어 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 명세서의 요지를 흐릴 수 있다고 판단되는 경우, 그 상세한 설명은 생략될 수 있다.
본 명세서에서 어떤 구성 요소가 다른 구성 요소에 “연결되어 있다.”거나 “접속되어 있다.”라고 언급된 때에는, 해당 구성 요소가 다른 구성 요소에 직접적으로 연결되어 있거나 또는 접속되어 있는 경우뿐만 아니라, 해당 구성 요소와 다른 구성 요소의 사이에 다른 구성 요소가 존재하는 경우도 포함하는 것으로 이해되어야 할 것이다.
본 명세서에서 사용되는 "포함한다," "포함할 수 있다." 등의 표현은 개시된 해당 기능, 동작, 구성요소 등의 존재를 가리키며, 추가적인 하나 이상의 기능, 동작, 구성요소 등을 제한하지 않는다. 또한, 본 명세서에서, "포함하다." 또는 "가지다." 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.  
본 명세서에서 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
이하, 첨부된 도면을 참조하여 본 발명을 설명한다.
도 1은 본 발명의 실시 예에 따른 공격 탐지 및 공격 시그니처 생성 장치의 구조를 나타낸 블록도이다.
도 1을 참조하면, 본 발명의 실시 예에 따른 공격 탐지 및 공격 시그니처 생성 장치(100)는 통신부(110), 제어부(120) 및 저장부(130)를 포함하여 구성될 수 있다.
통신부(110)는 네트워크 패킷 스트림을 수신하여 제어부(120)로 전달한다. 네트워크 패킷 스트림은 각 패킷에 포함된 데이터를 형성하는 문자열로 구성될 수 있다.
제어부(120)는 통신부(110)를 통하여 수신된 네트워크 패킷 스트림 내에서 공격을 탐지하기 위하여, 공격 탐지 및 공격 시그니처 생성 장치(100)의 각 구성 요소들을 제어한다.
본 발명의 실시 예에서, 제어부(120)는 공격 탐지부(121)와 공격 시그니처 생성부(122)를 포함하여 구성된다. 그에 따라 제어부(120)는 공격 탐지부(121)를 통해 네트워크 공격을 탐지하는 동시에 공격 시그니처 생성부(122)를 통해 탐지된 공격에 기반한 시그니처 데이터 베이스를 구성할 수 있다.
공격 탐지부(121)는 저장부(130)에 저장된 시그니처 데이터 베이스를 이용하여, 입력되는 네트워크 패킷 스트림 내 공격을 탐지한다. 본 발명의 실시 예에서, 공격 탐지부(121)는 1단계 공격 탐지로써 입력 문자열과 압축 데이터 베이스(131)를 비교하고, 압축 데이터 베이스(131)와 매칭되는 문자열이 탐지된 경우 2단계 공격 탐지로써 탐지된 문자열과 상세 데이터 베이스(132)를 비교할 수 있다. 1단계 공격 탐지는 2단계 공격 탐지의 대상을 필터링하는 역할을 하며, 1단계 공격 탐지에서 탐지된 문자열은 공격 시그니처 생성부(122)에서 공격 시그니처 생성을 위해 이용될 수 있다.
다양한 실시 예에서 공격 탐지부(121)는 1단계 공격 탐지 이후에 시그니처 정보 매칭을 수행할 수 있다. 공격 탐지부(121)는 1단계 공격 탐지에서 탐지된 문자열을 저장부(130)에 저장된 시그니처 정보 데이터 베이스(133)와 비교한다. 시그니처 정보 데이터 베이스(133) 내에서 탐지된 문자열에 대응하는 시그니처 정보가 검색된 경우, 공격 탐지부(121)는 2단계 공격 탐지를 수행할 수 있으며, 대응하는 시그니처 정보가 검색되지 않은 경우 공격 탐지부(121)는 통계적 매칭을 수행할 수 있다. 일 실시 예에서, 공격 탐지부(121)는 탐지된 문자열의 길이가 기설정된 임계값 이상일 때 통계적 매칭을 수행할 수 있다.
공격 탐지부(121)는 균등 분포 난수를 발생시킨 후, 탐지된 문자열이 매칭된 마지막 노드의 노드 정보와 발생된 난수를 비교하여, 노드 정보에 따른 비율이 발생된 난수보다 크거나 같으면, 통계적 매칭이 성공한 것으로 판단할 수 있다. 여기서 노드 정보에 따른 비율은 해당 노드에서 종료되는 공격 시그니처의 수와 해당 노드를 통과하는 시그니처 수의 비율일 수 있다. 통계적 매칭이 성공한 것으로 판단되면, 공격 탐지부(121)는 탐지된 문자열을 공격 시그니처 생성부(122)로 전달하여 해당 문자열이 공격 시그니처로 생성될 수 있도록 한다.
또한, 공격 탐지부(121)는 1단계 공격 탐지에서 탐지된 문자열이 2단계 공격 탐지에서 매칭되지 않는 경우, 1단계 공격 탐지에서 탐지된 문자열을 공격 시그니처 생성부(122)로 전달하여 해당 문자열이 공격 시그니처로 생성될 수 있도록 할 수 있다.
공격 시그니처 생성부(122)는 공격 탐지부(121)에서 1단계 공격 탐지를 통해 탐지된 문자열을 공격 시그니처로써 상세 데이터 베이스(132)에 저장할 수 있고, 탐지된 문자열로부터 압축된 공격 시그니처를 생성하여 이를 압축 데이터 베이스(131)에 저장할 수 있다.
다양한 실시 예에서, 공격 시그니처 생성부(122)는 압축된 공격 시그니처를 생성하기 위하여 문법 추론 기술을 이용할 수 있다. 문법 추론 기술은 모든 공격 시그니처를 저장하지 않고 공격 시그니처를 생성하는 룰(문법)을 추론하여 적은 양의 데이터만을 관리함으로써, 효율적으로 공격 시그니처를 탐지할 수 있도록 하는 기술이다. 이를 구체적으로 설명하면 다음과 같다.
일 실시 예에서, baab, bab, bb라는 공격 시그니처가 생성된 경우, 이를 트리 형태로 나타내면 도 2(a)에 도시된 바와 같다. 여기에, 문법 추론 기술(예를 들어, Alergia, KDM)을 적용하면, 도 2(a)의 노드들은 상태 병합되어 도 2(b)를 거쳐 도 2(c)와 같이 압축될 수 있다. 공격 시그니처 생성부(122)는 문법 추론 기술에 따라 압축된 공격 시그니처를 생성하고, 이를 압축 데이터 베이스(131)에 저장할 수 있다.
그러나 압축된 공격 시그니처 생성을 위해 문법추론 기술을 적용하면, 공격 탐지 시 다음과 같은 문제가 발생할 수 있다. 우선, 문법은 각각의 공격 시그니처보다 일반적이기 때문에 공격이 아닌 패킷을 공격 패킷으로 오탐할 수 있다. 예를 들어, 도 2의 실시 예에서, bbab는 공격 시그니처가 아니지만, 도 2(c)의 압축된 시그니처에 매칭된다. 또한, 시작 글자와 끝 글자가 명확한 언어와 달리 네트워크 패킷 스트림의 문자열은 시작 글자와 끝 글자가 불명확하기 때문에, 문법 추론 기술을 그대로 적용하는 경우 탐지 시점을 특정하기 어렵게 된다.
본 발명에서는 이러한 문제를 해결하기 위하여, 상술한 바와 같이 2단계 공격 탐지를 수행하며, 추가로 시그니처 정보 데이터 베이스(133)와 통계적 매칭을 이용한다.
다양한 실시 예에서, 공격 시그니처 생성부(122)는 압축 데이터 베이스(131)의 각 노드에 대한 노드 정보로써, 각 노드에 대하여 해당 노드에서 종료되는 공격 시그니처의 수와 해당 노드를 통과하는 시그니처 수의 비율에 대한 정보를 저장할 수 있다. 또한, 공격 시그니처 생성부(122)는 생성된 공격 시그니처에 대한 시그니처 정보로써, 공격 시그니처의 길이 및 마지막 문자에 관한 정보를 생성하고 시그니처 정보 데이터 베이스(133)에 저장할 수 있다.
본 발명에서 공격 시그니처의 생성을 위해 사용되는 데이터와 시스템은 공격자와 분리되어 있다. 따라서 본 발명에 따른 공격 시그니처 생성 및 공격 시그니처 생성 방법은 공격자의 우회 기술로부터 근원적으로 안전하다.
저장부(130)는 공격 시그니처 생성부(122)에 의하여 생성된 공격 시그니처를 압축 데이터 베이스(131) 및 상세 데이터 베이스(132)로 저장한다.
압축 데이터 베이스(131)는 공격 시그니처 생성부(122)에 의하여 생성된 압축된 공격 시그니처를 도 2(c)에 도시된 형태의 트리 구조로 저장할 수 있다. 이때, 압축 데이터 베이스(131)는 각 노드에 관한 노드 정보를 포함할 수 있으며, 노드 정보는 각 노드에 대하여 해당 노드에서 종료되는 공격 시그니처의 수와 해당 노드를 통과하는 시그니처 수의 비율에 대한 정보를 포함할 수 있다.
상세 데이터 베이스(132)는 생성된 악성 시그니처를 그 자체로 포함하거나, 도 2(a)에 도시된 형태의 트리 구조로 저장할 수 있다.
본 발명의 다양한 실시 예에서, 상세 데이터 베이스(132)는 새로 생성되는 공격 시그니처와 결합되어 주기적으로 압축되고, 압축 데이터 베이스(131)를 구성할 수 있다. 이때, 상세 데이터 베이스(132)는 문법 추론 기술을 적용하여 압축될 수 있다.
저장부(130)는 시그니처 정보 데이터 베이스(133)를 저장할 수 있다. 시그니처 정보 데이터 베이스(133)는 시그니처 정보로써 저장된 공격 시그니처들의 길이 및 마지막 문자에 관한 정보를 포함할 수 있다. 도 2의 실시 예에서, 공격 시그니처 baab, bab, bb에 대한 시그니처 정보는 각각 2:b, 3:b, 4:b일 수 있다.
추가로, 저장부(130)는 화이트리스트(134)를 저장할 수 있다. 화이트리스트(134)는 공격 탐지 과정에서 매칭되는 문자열인 것으로 탐지되었으나 최종적으로 공격이 아닌 것으로 판단된 문자열을 기초로 구성될 수 있다. 일 예로 화이트리스트(134)는 1차 공격 탐지 및 시그니처 정보에서 매칭되었으나, 통계적 매칭에서 매칭되지 않은 문자열을 기초로 생성될 수 있다. 화이트리트스(134)는 해당 문자열을 공격 탐지에서 예외처리 하기 위한 정보로 활용될 수 있다.
이하에서는 본 발명에 따른 공격 탐지 및 공격 시그니처 생성 장치(100)의 공격 탐지 및 공격 시그니처 생성 방법에 대하여 보다 구체적으로 설명한다.
도 3은 본 발명의 실시 예에 따른 공격 탐지 및 공격 시그니처 생성 방법을 나타낸 순서도이다.
도 3을 참조하면, 먼저 공격 탐지 및 공격 시그니처 생성 장치(100)는 입력 스트림 내에서 압축 데이터 베이스(131)와 매칭되는 문자열이 탐지되는지 여부를 판단한다(301). 공격 탐지 및 공격 시그니처 생성 장치(100)는 1단계 공격 탐지로써 입력되는 네트워크 패킷의 패이로드 부분을 압축 데이터 베이스(131)에 저장된 압축된 공격 시그니처들과 비교한다. 공격 탐지 및 공격 시그니처 생성 장치(100)는 네트워크 패킷에 포함된 문자열 중에 압축 데이터 베이스(131)에 저장된 압축 공격 시그니처와 매칭되는 압축된 공격 시그니처가 존재하는지 여부를 탐지한다.
매칭되는 문자열이 탐지되면, 공격 탐지 및 공격 시그니처 생성 장치(100)는 시그니처 정보 데이터 베이스(133) 내에서 탐지된 문자열에 대응하는 시그니처 정보가 검색되는지 여부를 판단한다(302). 공격 탐지 및 공격 시그니처 생성 장치(100)는 탐지된 문자열의 길이 및 마지막 문자에 대응하는 시그니처 정보를 시그니처 정보 데이터 베이스(133)에서 검색한다.
시그니처 정보가 검색되지 않으면, 공격 탐지 및 공격 시그니처 생성 장치(100)는 탐지된 문자열에 대하여 통계적 매칭이 성공하였는지 여부를 판단한다(303). 일 실시 예에서, 공격 탐지 및 공격 시그니처 생성 장치(100)는 탐지된 문자열의 길이가 기설정된 임계값 이상인지 여부를 먼저 판단하고, 탐지된 문자열의 길이가 기설정된 임계값 이상일 때, 통계적 매칭이 성공하였는지 여부를 판단할 수 있다. 통계적 매칭 방법에 대하여는 도 4를 참조하여 보다 구체적으로 후술한다.
한편, 시그니처 정보가 검색되면, 공격 탐지 및 공격 시그니처 생성 장치(100)는 상세 데이터 베이스(132)에 탐지된 문자열과 매칭되는 공격 시그니처가 존재하는지 여부를 판단한다(304). 공격 탐지 및 공격 시그니처 생성 장치(100)는 2단계 공격 탐지로써 1단계 공격 탐지에서 탐지된 문자열을 상세 데이터 베이스(132)에 저장된 공격 시그니처들과 비교한다. 공격 탐지 및 공격 시그니처 생성 장치(100)는 탐지된 문자열 중에 압축 데이터 베이스(131)에 탐지된 문자열과 매칭되는 공격 시그니처가 존재하는지 여부를 탐지한다.
탐지된 문자열과 매칭되는 공격 시그니처가 존재하면, 공격 탐지 및 공격 시그니처 생성 장치(100)는 해당 문자열이 포함된 네트워크 패킷을 공격 패킷으로 판단한다(305).
통계적 매칭 단계에서 통계적 매칭이 성공하면, 공격 탐지 및 공격 시그니처 생성 장치(100)는 탐지된 문자열을 압축 및 클러스터링한다(306). 공격 탐지 및 공격 시그니처 생성 장치(100)는 탐지된 문자열에서 중복 문자를 통합하여 압축한다. 반복되는 문자를 하나로 압축함으로써 공격 탐지 및 공격 시그니처 생성 장치(100)는 발생 가능한 공격 시그니처 변종을 탐지할 수 있다. 또한, 공격 탐지 및 공격 시그니처 생성 장치(100)는 압축된 문자열을 문자열의 구성 요소가 같은 문자열들과 클러스터링한다. 예를 들어, acb와 abc는 그 문자열의 구성 요소가 동일하므로, 공격 탐지 및 공격 시그니처 생성 장치(100)는 해당 문자열들을 동일한 클러스터에 할당한다.
이후에, 공격 탐지 및 공격 시그니처 생성 장치(100)는 클러스터링 된 문자열이 유해 패킷인지 여부를 검증한다(307). 검증 결과 해당 문자열이 유해한 패킷이면, 공격 탐지 및 공격 시그니처 생성 장치(100)는 탐지된 문자열을 공격 시그니처로 생성한다(308). 공격 탐지 및 공격 시그니처 생성 장치(100)는 생성된 공격 시그니처를 상세 데이터 베이스(132)에 저장할 수 있다. 또한, 공격 탐지 및 공격 시그니처 생성 장치(100)는 생성된 공격 시그니처를 압축하여 압축된 공격 시그니처를 압축 데이터 베이스(131)에 저장할 수 있다. 이때, 공격 탐지 및 공격 시그니처 생성 장치(100)는 압축 데이터 베이스(131)의 노드별 노드 정보를 갱신할 수 있다. 또한, 공격 탐지 및 공격 시그니처 생성 장치(100)는 생성된 공격 시그니처의 길이 정보 및 마지막 문자에 관한 정보를 이용하여, 시그니처 정보 데이터 베이스(133)를 갱신할 수 있다.
상술한 본 발명에 따른 공격 시그니처 생성 방법은 네트워크 기반 또는 호스트 기반이 아닌 데이터 베이스 기반으로, 공격 시그니처 생성에 있어서 공격자의 개입을 사전에 방지할 수 있다.
반면, 검증 결과 해당 문자열이 무해한 패킷이면, 공격 탐지 및 공격 시그니처 생성 장치(100)는 탐지된 문자열을 화이트리스트(134)에 저장할 수 있다(309).
한편, 통계적 매칭 단계에서 통계적 매칭이 성공하지 않았거나, 2단계 공격 탐지에서 매칭되는 공격 시그니처가 검색되지 않은 경우, 공격 탐지 및 공격 시그니처 생성 장치(100)는 해당 문자열이 포함된 네트워크 패킷을 무해 패킷으로 판단한다(310).
도 4는 본 발명의 실시 예에 따른 통계적 매칭 방법을 나타낸 순서도이다.
도 4를 참조하면, 통계적 매칭을 수행하기 위하여, 공격 탐지 및 공격 시그니처 생성 장치(100)는 먼저 균등 분포 난수를 발생시킨다(401).
이후에, 공격 탐지 및 공격 시그니처 생성 장치(100)는 발생된 난수와 탐지된 문자열이 매칭된 마지막 노드의 노드 정보를 비교한다(402). 노드 정보는 해당 노드에서 종료되는 공격 시그니처의 수와 해당 노드를 통과하는 시그니처 수의 비율일 수 있다.
발생된 난수와 노드 정보에 따른 비율을 비교한 결과(403), 노드 정보에 따른 비율이 난수보다 크거나 같으면, 공격 탐지 및 공격 시그니처 생성 장치(100)는 통계적 매칭이 성공한 것으로 판단할 수 있다(404).
반면, 노드 정보에 따른 비율이 난수보다 작으면, 공격 탐지 및 공격 시그니처 생성 장치(100)는 통계적 매칭이 실패한 것으로 판단할 수 있다(405).
본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 그리고 본 명세서와 도면에 개시된 실시 예들은 본 발명의 내용을 쉽게 설명하고, 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 따라서 본 발명의 범위는 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상을 바탕으로 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100: 공격 탐지 및 공격 시그니처 생성 장치
110: 통신부
120: 제어부
121: 공격 탐지부
122: 공격 시그니처 생성부
130: 저장부
131: 압축 데이터 베이스
132: 상세 데이터 베이스
133: 시그니처 정보 데이터 베이스
134: 화이트리스트

Claims (14)

  1. 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법으로,
    네트워크로부터 수신되는 입력 패킷 내에서 기저장된 적어도 하나의 압축 공격 시그니처와 매치되는 문자열을 탐지하는 1차 공격 탐지 단계;
    기저장된 시그니처 정보 데이터 베이스 내에서 상기 탐지된 문자열에 대응하는 시그니처 정보가 검색되는지 여부를 판단하는 단계; 및
    상기 시그니처 정보가 검색되면, 상기 1차 공격 탐지 단계에서 탐지된 문자열이 기저장된 적어도 하나의 개별 공격 시그니처와 매치되는지 여부를 판단하는 2차 공격 탐지 단계; 및
    상기 탐지된 문자열이 상기 기저장된 적어도 하나의 개별 공격 시그니처와 매치되면, 상기 입력 패킷을 공격 패킷으로 판단하는 단계를 포함하고,
    상기 시그니처 정보가 검색되지 않으면, 새로운 공격 시그니처로 생성하는 단계를 포함하되,
    상기 적어도 하나의 압축 공격 시그니처는,
    상기 적어도 하나의 개별 공격 시그니처를 기설정된 알고리즘에 따라 압축하여 생성되되,
    상기 시그니처 정보는,
    상기 적어도 하나의 개별 공격 시그니처에 대한 길이 정보 및 마지막 문자 정보를 포함하는 것을 특징으로 하는 방법.
  2. 제1항에 있어서, 적어도 하나의 개별 공격 시그니처는,
    상기 적어도 하나의 개별 공격 시그니처를 구성하는 적어도 하나의 문자를 노드로 갖는 트리 형태로 상세 데이터 베이스에 기저장되고,
    상기 적어도 하나의 압축 공격 시그니처는,
    상기 노드 중 연속되는 문자를 병합하여 구성된 트리 형태로 압축 데이터 베이스에 기저장되는 것을 특징으로 하는 방법.
  3. 삭제
  4. 삭제
  5. 제2항에 있어서, 상기 1차 공격 탐지 단계는,
    상기 시그니처 정보가 검색되지 않으면, 상기 탐지된 문자열 및 상기 압축 데이터 베이스의 상기 노드 별로 기저장된 노드 정보를 기초로 통계적 매칭을 수행하는 단계; 및
    상기 통계적 매칭이 성공하면, 상기 탐지된 문자열을 기초로 개별 공격 시그니처를 생성하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  6. 제5항에 있어서, 상기 통계적 매칭을 수행하는 단계는,
    상기 탐지된 문자열의 길이가 기설정된 임계값 이상이면, 상기 통계적 매칭을 수행하는 단계를 포함하는 것을 특징으로 하는 방법.
  7. 제5항에 있어서, 상기 통계적 매칭을 수행하는 단계는,
    균등 분포 난수를 발생시키는 단계; 및
    상기 노드 정보에 포함된 해당 노드에서 종료되는 공격 시그니처의 수와 해당 노드를 통과하는 시그니처 수의 비율이 상기 균등 분포 난수보다 크거나 같으면, 상기 통계적 매칭이 성공한 것으로 판단하는 단계를 포함하는 것을 특징으로 하는 방법.
  8. 제5항에 있어서,
    상기 통계적 매칭이 실패하면, 상기 입력 패킷을 무해 패킷으로 판단하는 단계;
    상기 통계적 매칭이 성공하면, 상기 탐지된 문자열의 중복 문자를 통합하여 압축하는 단계;
    적어도 하나의 압축된 문자열들을 클러스터링하는 단계;
    상기 클러스터링 된 문자열들을 검증하는 단계; 및
    상기 검증 결과 유해한 패킷이면, 상기 탐지된 문자열을 새로운 공격 시그니처로 생성하고, 상기 검증 결과 무해한 패킷이면, 상기 탐지된 문자열을 공격 탐지 시 예외 처리를 위한 화이트리스트로 저장하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  9. 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 장치로,
    네트워크로부터 입력 패킷을 수신하는 통신부;
    적어도 하나의 개별 공격 시그니처를 저장하는 상세 데이터 베이스 및 상기 개별 공격 시그니처를 기설정된 알고리즘에 따라 압축하여 생성되는 적어도 하나의 압축 공격 시그니처를 저장하는 압축 데이터 베이스 및 상기 적어도 하나의 개별 공격 시그니처에 대한 길이 정보 및 마지막 문자 정보를 포함하는 시그니처 정보 데이터 베이스를 포함하는 저장부; 및
    상기 입력 패킷 내에서 상기 압축 데이터 베이스와 매치되는 문자열을 탐지하고, 상기 시그니처 정보 데이터 베이스 내에서 상기 탐지된 문자열에 대응하는 시그니처 정보가 검색되면, 상기 탐지된 문자열을 상기 상세 데이터 베이스와 비교하고, 상기 탐지된 문자열이 상기 상세 데이터 베이스와 매치되면, 상기 입력 패킷을 공격 패킷으로 판단하고,
    상기 시그니처 정보가 검색되지 않으면, 새로운 공격 시그니처로 생성하는 제어부를 포함하는 것을 특징으로 하는 장치.
  10. 제9항에 있어서, 상기 상세 데이터 베이스는,
    상기 적어도 하나의 개별 공격 시그니처를 구성하는 적어도 하나의 문자를 노드로 갖는 트리 형태로 구성되고,
    상기 압축 데이터 베이스는,
    상기 노드 중 연속되는 문자를 병합하여 구성되는 것을 특징으로 하는 장치.
  11. 삭제
  12. 제10항에 있어서, 상기 압축 데이터 베이스는,
    상기 노드 별로 해당 노드에서 종료되는 공격 시그니처의 수와 해당 노드를 통과하는 시그니처 수의 비율을 포함하는 노드 정보를 포함하고,
    상기 제어부는,
    상기 시그니처 정보가 검색되지 않으면, 상기 탐지된 문자열 및 상기 노드 정보를 기초로 통계적 매칭을 수행하고, 상기 통계적 매칭이 성공하면, 상기 탐지된 문자열을 기초로 개별 공격 시그니처 및 압축 공격 시그니처를 생성하는 것을 특징으로 하는 장치.
  13. 제12항에 있어서, 상기 제어부는,
    상기 탐지된 문자열의 길이가 기설정된 임계값 이상이면 균등 분포 난수를 발생시키고, 상기 노드 정보에 포함된 비율이 상기 균등 분포 난수보다 크거나 같으면, 상기 통계적 매칭이 성공한 것으로 판단하는 것을 특징으로 하는 장치.
  14. 제12항에 있어서, 상기 저장부는,
    공격 탐지 시 예외 처리를 위한 적어도 하나의 문자열을 포함하는 화이트리스트를 더 포함하고,
    상기 제어부는,
    상기 통계적 매칭이 실패하면, 상기 입력 패킷을 무해 패킷으로 판단하고, 상기 통계적 매칭이 성공하면, 탐지된 문자열의 중복 문자를 통합하여 압축하고 적어도 하나의 압축된 문자열들을 클러스터링한 후, 클러스터링 된 문자열들을 검증하여 상기 검증 결과 유해한 패킷이면, 상기 탐지된 문자열을 새로운 공격 시그니처로 생성하고, 상기 검증 결과 무해한 패킷이면, 상기 탐지된 문자열을 상기 화이트리스트에 저장하는 것을 특징으로 하는 장치.
KR1020150160625A 2015-11-16 2015-11-16 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법 및 장치 KR102390355B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020150160625A KR102390355B1 (ko) 2015-11-16 2015-11-16 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법 및 장치
US15/225,560 US10225269B2 (en) 2015-11-16 2016-08-01 Method and apparatus for detecting network attacks and generating attack signatures based on signature merging

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150160625A KR102390355B1 (ko) 2015-11-16 2015-11-16 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20170057030A KR20170057030A (ko) 2017-05-24
KR102390355B1 true KR102390355B1 (ko) 2022-04-26

Family

ID=58691560

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150160625A KR102390355B1 (ko) 2015-11-16 2015-11-16 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법 및 장치

Country Status (2)

Country Link
US (1) US10225269B2 (ko)
KR (1) KR102390355B1 (ko)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10242187B1 (en) * 2016-09-14 2019-03-26 Symantec Corporation Systems and methods for providing integrated security management
JP6714142B2 (ja) * 2017-03-03 2020-06-24 日本電信電話株式会社 攻撃パターン抽出装置、攻撃パターン抽出方法および攻撃パターン抽出プログラム
KR20190120312A (ko) * 2017-03-28 2019-10-23 닛본 덴끼 가부시끼가이샤 서명 생성 장치, 서명 생성 방법, 컴퓨터 판독가능 기록 매체에 저장된 프로그램
US11496489B1 (en) * 2019-03-28 2022-11-08 Ca, Inc. Knowledge-aware detection of attacks on a client device conducted with dual-use tools
CN113472721B (zh) * 2020-03-31 2022-12-06 华为技术有限公司 一种网络攻击检测方法及装置
US11777984B1 (en) * 2020-09-04 2023-10-03 Wells Fargo Bank, N.A. Automatic threat detection and remediation
CN111859361B (zh) * 2020-09-23 2021-08-31 歌尔光学科技有限公司 一种通信方法、装置及电子设备和存储介质
CN113489709B (zh) * 2021-06-30 2023-06-20 丁牛信息安全科技(江苏)有限公司 一种流量检测方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101268510B1 (ko) * 2011-12-29 2013-06-07 주식회사 시큐아이 시그니처 탐지 장치 및 방법

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7966658B2 (en) 2004-04-08 2011-06-21 The Regents Of The University Of California Detecting public network attacks using signatures and fast content analysis
KR100622670B1 (ko) * 2004-12-07 2006-09-19 한국전자통신연구원 알려지지 않은 네트워크 공격에 대한 실시간 공격 패턴 검출 시스템 및 그 방법
US7735135B1 (en) * 2005-08-31 2010-06-08 Juniper Networks, Inc. Hardware-based intrusion detection accelerator
KR100897887B1 (ko) 2007-09-07 2009-05-18 (주)포토닉솔루션 광섬유어레이를 이용한 평판형 광도파로 소자와 능동소자의하이브리드 집적구조
KR101003502B1 (ko) * 2007-12-17 2010-12-30 한국전자통신연구원 문자열의 유사성과 포함성을 바탕으로 하는 시그니처스트링 생성방법
KR20090109154A (ko) 2008-04-15 2009-10-20 한국전자통신연구원 악성코드 차단 장치, 시스템 및 방법
KR101110308B1 (ko) * 2008-12-22 2012-02-15 한국전자통신연구원 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법
KR20120048258A (ko) 2010-11-05 2012-05-15 한국전자통신연구원 경사진 거울 및 렌즈를 구비한 광 도파로 구조체
KR101711691B1 (ko) 2013-01-02 2017-03-02 한국전자통신연구원 하이브리드 광결합 모듈 및 그 제조방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101268510B1 (ko) * 2011-12-29 2013-06-07 주식회사 시큐아이 시그니처 탐지 장치 및 방법

Also Published As

Publication number Publication date
US10225269B2 (en) 2019-03-05
KR20170057030A (ko) 2017-05-24
US20170142136A1 (en) 2017-05-18

Similar Documents

Publication Publication Date Title
KR102390355B1 (ko) 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법 및 장치
EP2924943B1 (en) Virus detection method and device
US9158893B2 (en) System for finding code in a data flow
US7596809B2 (en) System security approaches using multiple processing units
US20230092522A1 (en) Data packet processing method, apparatus, and electronic device, computer-readable storage medium, and computer program product
US20170149830A1 (en) Apparatus and method for automatically generating detection rule
CN106161479B (zh) 一种支持特征跨包的编码攻击检测方法和装置
CN104426906A (zh) 识别计算机网络内的恶意设备
JP2020530638A (ja) マルウェアホストネットフロー分析システム及び方法
US20220263823A1 (en) Packet Processing Method and Apparatus, Device, and Computer-Readable Storage Medium
US11080398B2 (en) Identifying signatures for data sets
CN103997489A (zh) 一种识别DDoS僵尸网络通信协议的方法及装置
US20150180881A1 (en) Oam security authentication method and oam transmitting/ receiving devices
CN107911219A (zh) 一种基于密钥签名的api防cc方法
US20180139142A1 (en) Network traffic pattern based machine readable instruction identification
IL243418B (en) System and method for monitoring computer network security
CN112685734A (zh) 安全防护方法、装置、计算机设备和存储介质
CN112769734B (zh) 网络攻击的检测方法、装置和计算机可读存储介质
CN112583827A (zh) 一种数据泄露检测方法及装置
Pungila Hybrid compression of the aho-corasick automaton for static analysis in intrusion detection systems
CN110784429A (zh) 恶意流量的检测方法、装置和计算机可读存储介质
US7900255B1 (en) Pattern matching system, method and computer program product
Shimoni et al. Malicious traffic detection using traffic fingerprint
KR102353130B1 (ko) Nidps 기반 대용량 트래픽 제로데이 공격을 방어하기 위한 방어 시스템 및 방법
CN105471839A (zh) 一种判断路由器数据是否被窜改的方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant