KR102446642B1 - 내부 침입탐지 및 방지 시스템의 이벤트를 외부 위협 인텔리전스를 이용하여 분석하는 내부에 알려지지 않은 위협의 탐지장치 - Google Patents

내부 침입탐지 및 방지 시스템의 이벤트를 외부 위협 인텔리전스를 이용하여 분석하는 내부에 알려지지 않은 위협의 탐지장치 Download PDF

Info

Publication number
KR102446642B1
KR102446642B1 KR1020190150246A KR20190150246A KR102446642B1 KR 102446642 B1 KR102446642 B1 KR 102446642B1 KR 1020190150246 A KR1020190150246 A KR 1020190150246A KR 20190150246 A KR20190150246 A KR 20190150246A KR 102446642 B1 KR102446642 B1 KR 102446642B1
Authority
KR
South Korea
Prior art keywords
threat
ioc
yara
idps
detection
Prior art date
Application number
KR1020190150246A
Other languages
English (en)
Other versions
KR20210062254A (ko
Inventor
강병완
박석영
Original Assignee
(주)피즐리소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)피즐리소프트 filed Critical (주)피즐리소프트
Priority to KR1020190150246A priority Critical patent/KR102446642B1/ko
Publication of KR20210062254A publication Critical patent/KR20210062254A/ko
Application granted granted Critical
Publication of KR102446642B1 publication Critical patent/KR102446642B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 내부 침입탐지 및 방지시스템의 이벤트와 외부 위협 인텔리전스의 정보를 함께 이용하여 위협 데이터를 생성함으로써 내부 침입탐지 및 방지시스템에 알려지지 않은 위협을 탐지할 수 있으며, 이에 따라 네트워크의 보안성이 실질적으로 향상시키는 것에 관한 것입니다.

Description

내부 침입탐지 및 방지 시스템의 이벤트를 외부 위협 인텔리전스를 이용하여 분석하는 내부에 알려지지 않은 위협의 탐지장치{Device of detecting unknown threats using correlation of external threat intelligence with the packet information detected by IDSP for internal networks}
본 발명은 컴퓨터 네트워크의 보안에 관한 것으로서, 특히 알려지지 않은 네트워크에 대한 위협을 탐지할 수 있는 장치에 관한 것이다.
4차 산업혁명을 맞이하여 컴퓨터 네트워크의 중요성은 더욱 더 높아지고 있다. 사람들은 손쉽게 데스크톱, 노트북, 테블릿, 또는 스마트폰을 이용하여 인터넷이나 인트라넷 등의 네트워크에 접속하여 정보를 얻거나 제공한다.
인터넷이나 인트라넷 같은 네트워크는 사회 문화 경제 등 다양한 분야에서 인프라로 폭 넓게 이용되고 있으나, 반대로 인터넷의 보안 취약점으로 인해 사이버 문화의 마비와 온라인 신뢰 기반의 저하 등 새로운 사회 혼란 요인을 야기시키고 있다
악의적인 사용자에 의한 위협을 방지하기 위하여 여러가지 기술들이 개발되고 있다. 그 중 하나는 내부 보안 솔루션인 내부 침입탐지/방지시스템(IDPS: Intrusion Detection/Prevention System)이다. 내부 침입탐지/방지시스템은 이미 정해져있는 규칙(Rule)을 기반으로 위협을 탐지 및 차단한다. 다른 하나는 외부 위협 인텔리전스(external Threat intelligence)이다. 외부 위협 인텔리전스란 다양한 출처로부터의 위협 정보를 취합하여 공유 및 제공하는 서비스를 의미한다. 즉, 조직 내부의 인력 또는 시스템에서 발생한 것이 아닌 외부에서 발생하는 사이버 위협에 관한 정보(IP, URL, Domain, Hash, YARA)를 제공받아 그 위협에 대응하는 것을 말한다.
내부 침입탐지/방지시스템과 외부 위협 인텔리전스를 함께 이용하는 것은 일견 매우 합리적이고 높은 보안성을 제공할 것처럼 보인다. 하지만 실제로는 외부 위협 인텔리전스에서 제공하는 사이버 위협에 관한 정보(IP, URL, Domain, Hash, YARA)와 내부 침입탐지/방지시스템의 이벤트를 단순히 매칭하는 것은 양자가 정확하게 일치하지 않는 경우가 많이 실질적으로 보안성 향상에 기여하는바가 없다.
본 발명의 발명자들은 이러한 문제점에 대해 깊이 고민한 끝에 내부 침입탐지/방지시스템 및 외부 위협 인텔리전스를 함께 이용함으로써 보안성이 향상된 알려지지 않는 위협의 탐지 장치 및 방법에 관한 본 발명을 완성하기에 이르렀다.
침입탐지/방지시스템의 이벤트와 외부 위협 인텔리전스의 정보를 단순히 매칭하는 것은 양자가 정확하게 일치하지 않는 경우가 많아 실질적으로 보안성 향상에 기여하는 바가 없다. 따라서 본 발명의 목적은 내부 침입탐지/방지시스템의 이벤트의 패킷정보를 YARA 기반의 외부 위협 인텔리전스의 정보에 포함된 야라 시그니처를 이용하여 YARA 탐지엔진으로 분석함으로써 실질적으로 보안성을 향상시킬 수 있는 장치를 제공하는 것에 있다.
한편, 본 발명의 명시되지 않은 또 다른 목적들은 하기의 상세한 설명 및 그 효과로부터 용이하게 추론할 수 있는 범위 내에서 추가적으로 고려될 것이다.
위와 같은 과제를 달성하기 위해 본 발명의 내부에 알려지지 않은 위협의 탐지장치는 내부 위협탐지 및 방지시스템(IDPS)과 외부 위협 인텔리전스를 이용하며, 구체적으로는 내부 위협탐지 및 방지시스템의 이벤트를 파싱하되, 탐지룰 ID를 생성하여 탐지를 ID를 포함하는 IDPS 이벤트데이터와 탐지룰 ID에 의해 식별되는 IDPS 패킷데이터를 생성하는 IDPS 파서;
외부 위협 인텔리전스 소스로부터 전송받은 외부 위협 인텔리전스를 파싱하여 YARA 시그니처를 구비하는 YARA IoC(Indicator of Compromise)를 포함하는 외부 위협 인텔리전스 IoC를 생성하는 외부 위협 인텔리전스 파서; 및
YARA 탐지 엔진을 이용하여 IDPS 패킷데이터와 YARA 시그니처를 매칭하는 단계를 포함하여 수행되고, 매칭된 IDPS 패킷데이터의 탐지룰 ID에 해당하는 IDPS 이벤트데이터와 매칭된 YARA 시그니처의 YARA IoC를 이용하여 위협 데이터를 생성하는 파일 위협 분석기;를 포함한다.
일 실시예에 있어서, 상기 외부 위협 인텔리전스 IoC는 IP IoC 또는 파일 IoC를 더 포함하고, 상기 위협 데이터와 상기 IP IoC 또는 파일 IoC를 매칭하여 위협을 분석하는 IoC 위협 분석기를 더 포함한다.
일 실시예에 있어서, 상기 IoC 위협 분석기는 화이트리스트와 상기 위협 데이터를 매칭하여, 상기 화이트리스트와 매칭되는 위협 데이터는 제거한다.
위와 같은 본 발명의 과제해결수단에 의해서 본 발명은 내부 침입탐지 및 방지시스템의 이벤트와 외부 위협 인텔리전스의 정보를 함께 이용하여 위협 데이터베이스를 생성함으로써 내부 침입탐지/방지시스템이 내부에 알려지지 않은 위협을 탐지할 수 있으며, 이에 따라 네트워크의 보안성이 실질적으로 향상된다.
또한, 생성된 위협 데이터베이스에서 화이트리스트와 관련된 위협데이터는 제거함으로써 보다 신뢰성 있게 네트워크의 보안성을 향상시킬 수 있다.
한편, 여기에서 명시적으로 언급되지 않은 효과라 하더라도, 본 발명의 기술적 특징에 의해 기대되는 이하의 명세서에서 기재된 효과 및 그 잠정적인 효과는 본 발명의 명세서에 기재된 것과 같이 취급됨을 첨언한다.
도 1은 본 발명의 일 실시예에 따른 알려지 않은 위협의 탐지장치의 개략적인 구조도이다.
도 2는 본 발명의 다른 실시예에 따른 내부에 알려지지 않은 위협의 탐지방법의 개략적 흐름도이다.
첨부된 도면은 본 발명의 기술사상에 대한 이해를 위하여 참조로서 예시된 것임을 밝히며, 그것에 의해 본 발명의 권리범위가 제한되지는 아니한다.
본 발명을 설명함에 있어서 관련된 공지기능에 대하여 이 분야의 기술자에게 자명한 사항으로서 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 상세한 설명을 생략한다.
도 1은 본 발명의 일 실시예에 따른 알려지 않은 위협의 탐지장치(100)의 개략적인 구조도이다. 본 문서에서 내부에 알려지지 않은 위협이라 함은 네트워크의 내부 침입탐지/방지시스템(IDPS: Intrusion Detection/Prevention System)에 알려지지 않은 위협으로서, 내부 침입탐지/방지시스템만으로는 탐지 및 방지할 수 없는 위협을 의미한다.
본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 다양한 형태로 구현될 수 있다.
컴퓨터 기반의 장치를 이용하여 소프트웨어적으로 구현할 수도 있고, 전용의 하드웨어를 구성하여 구현할 수 잇다. 본 발명의 위협탐지장치(100)는 FPGA(Field Programmable Gate Array)를 이용하여 구현할 수 있다. FPGA는 프로그램가능한 반도체로 한번 제작하면 수정이 불가능한 주문형 반도체(Application Specific Integrated Circuit, ASIC)와 달린 사용자가 필요에 따라 설계한 하드웨어를 구현할 수 있는 특징이 있다. 논리소자에 의해 하드웨어 반도체로 구현하기 때문에 소프트웨어적인 구현보다 훨씬 속도가 빠른 장점이 있다. 한편, 본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 빅데이터 엔진을 기초로 제작될 수 있다.
본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 IDPS 파서(10), 외부 위협 인텔리전스 파서(20), 파일 위협 분석기(30)로 구성된다. 또한, IoC(Indicator of Compromise) 위협 분석기(40)와 위험도 평가기(50)를 더 포함하여 구성될 수 있다. 본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)의 동작 과정과 결과를 디스플레이 장치 등의 유저 인터페이스(60)를 통해 제공할 수 있다.
IDPS 파서(10)는 내부 위협탐지 및 방지시스템(1)을 소스로 하여 전송받은 내부 위협탐지 및 방지시스템의 이벤트(또는 로그)를 파싱(parsing)하여 IDPS 데이터(11)를 생성한다. IDPS 데이터(11)는 IDPS 이벤트데이터(12)와 IDPS 패킷데이터(13)으로 구성된다. IDPS 파서(10)가 IDPS 이벤트데이터(12)를 생성할 때 IDPS 이벤트데이터(12)들을 식별할 수 있도록 탐지룰 ID를 생성하고, IDPS 이벤트데이터(12)를 탐지룰 ID와 해당 이벤트에 관한 정보를 IDPS 이벤트데이터(12)로 생성한다. 해당 이벤트에 관한 정보란 Host IP(HIP), Remote IP(RIS), Ruld Identifier(RID), IDPS Rule category[Type](RT), IDPS rule 심각도(RS), number of count(#C), protocol 및 Common Vulnerability Exposure(CVE)에서 선택되는 적어도 어느 하나를 의미한다. 한편, 생성된 탐지룰 ID를 기준으로 하는 IDPS 패킷데이터(13)를 생성한다. 즉, IDPS 패킷데이터(13)에서는 특정 이벤트에 대한 탐지룰 ID와 그 특정 이벤트의 패킷데이터(detected packet)를 포함한다.
내부 칩입탐지 및 방지시스템(10)은 기저장되어 있던 위협에 관한 규칙(Rule)을 기반으로 위협을 탐지하거나 차단하는 기능을 가지는 것이므로 내부 침입탐지 및 방지시스템(10)에 알려지지 않은 위협은 탐지하거나 차단할 수 없다. 본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 외부 위협 인텔리전스 소스(2)를 이용하여 이 문제를 해결하였다. 외부 위협 인텔리전스 소스(2)란 외부 위협 인텔리전스 공유 체계를 의미하며, 예를 들어 STIX, CybOX, MEAC, YARA, OpenIoC 등이 있다.
외부 위협 인텔리전스 파서(20)는 외부 위협 인텔리전스 소스(2)로부터 전송받은 외부 위협 인텔리전스를 파싱하여 외부 위협 인텔리전스 IoC(21)를 생성한다. 특히, 본 발명의 내부에 알려지지 않은 위협의 탐지장치(100)는 외부 위협 인텔리전스 중에서 YARA 기반의 외부 위협 인텔리전스를 이용할 수 있는데, 이 경우 외부 위협 인텔리전스 파서(20)는 외부 위협 인텔리전스 소스(2)로부터 전송받은 외부 위협 인텔리전스를 파싱하여 생성되는 외부 위협 인텔리전스 IoC(21)가 YARA 시그니처 및 YARA 심각도를 포함하는 YARA IoC(22)를 구비하도록 할 수 있다. 한편, YARA IoC(22)를 생성할 때 생성되는 YARA IoC(22)는 룰 정규화를 통하여 1개의 YARA 룰을 8 byte 이내로 구성하되, YARA 룰이 8 byte 이상인 경우에는 YARA 룰을 추가로 생성하고 CYID(Child YARA Identifier) 필드값을 구성할 수 있다. 이는 IDPS 패킷데이터(13)가 8 byte를 기준으로 생성되는 것을 고려한 것이다. 즉, 생성되는 YARA 룰의 byte가 IDPS 패킷데이터의 byte보다 작은 것이 바람직하다. YARA IoC(22)는 YARA 시그니쳐[byte string](SIG) 및 YARA 심각도(YS)를 포함하고, 나아가 YARA Identifier(YID), Child YARA Identifier(CYID), YARA category[type](YT) 중 적어도 하나 이상을 더 포함할 수 있다. 또한, 외부 위협 인텔리전스 파서(20)는 외부 위협 인텔리전스 소스(2)로부터 YARA IoC(22) 외에도 IP IoC(23) 및 파일 IoC(24)을 생성한다. IP IoC(23)는 Remote IP(RIP) 및 Protocol을 포함하고, 파일 IoC(24)는 Hash(MD5)를 포함한다.
파일 위협 분석기(30)는 IDPS 패킷데이터(13)와 YARA IoC(22)를 이용하여 위협 데이터(31)를 생성한다. 파일 위협 분석기(30)는 YARA 탐지 엔진을 구비하고 있다. YARA 탐지 엔진을 이용하여 IDPS 패킷데이터(13)와 YARA IoC(22)의 YARA 시그니처를 매칭한다. 매칭한 결과가 파지티브(Positve)일 경우 매칭된 IDPS 패킷데이터(13)의 탐지룰 ID에 해당하는 IDPS 이벤트데이터(12)와 매칭된 YARA 시그니처의 YARA IoC(22)를 이용하여 위협 데이터(31)를 생성한다. 이와 같이 IDPS 이벤트데이터(12)와 YARA IoC(22)를 이용함으로써 위협 데이터(31)는 Host IP[Internal](HIP), Remote IP(RIP), YARA category[Type](YT), IDPS Rule category[Type](RT), YARA severity(YS), IDPS Rule severity(RS), Final Severity(FS) 및 Common Vulnerability Exposure(CVE)를 포함할 수 있다. 이로써 본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 내부 위협탐지 및 방지시스템(IDPS)에 규칙으로 저장되어 있지 않은 위협의 경우에도 외부 위협 인텔리전스 소스(2)로부터 제공받은 YARA IoC(22)를 이용하여 침입탐지 및 방지가 가능하다.
본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 IoC 위협 분석기(40)를 이용하여 위협에 대한 보안성을 더욱 향상시킬 수 있다. 이를 위해 IoC 위협 분석기(40)는 위협 데이터(31)와 외부 위협 인텔리전스 IoC(21)의 IP IoC(23)와 파일 IoC(24)를 매칭한다. IoC 위협 분석기(40)는 위협 데이터(31)와 외부 위협 인텔리전스 IoC(21)의 IP IoC(23)와 파일 IoC(24)를 매칭한 결과가 파지티브(Positive)일 경우 위험성 평가기(50)로 그 정보를 전송한다.
한편, 본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 화이트리스트(41)를 이용하여 위협이 없는 것으로 미리 판단된 트래픽은 위협 데이터(31)에서 제거한다. 화이트리스트란 안전한 IoC 리스트를 의미한다. 화이트리스트(41)는 IP 화이티리스트(42)와 파일 화이트리스트(43)로 구성되어 있으며, 화이트리스트(41)와 위협 데이터(31)를 매칭하여, 매칭한 결과가 파지티브(Positive)일 경우 매칭된 IP 또는 파일에 대응하는 데이터를 위협 데이터(31)에서 제거한다.
위험도 평가기(50)에서는 최종적으로 평가된 트래픽의 위험도를 여러단계의 등급으로 나누어 유저인터페이스(60)를 통해 사용자에게 제공한다. 이때 여러단계?? 등급에 대해서는 후술하는 본 발명의 내부에 알려지지 않은 위협의 탐지방법에서 구체적으로 살펴본다.
본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 YARA 기반의 외부 위협 인텔리전스과 내부 위협탐지 및 방지시스템을 함께 이용하여 내부에 알려지지 않은 위협에 대한 실질적인 보안성 향상에 기여할 수 있다.
도 2는 본 발명의 다른 실시예에 따른 내부에 알려지지 않은 위협의 탐지방법의 개략적 흐름도이다. 본 발명의 다른 실시예에 따른 내부에 알려지지 않은 위협의 탐지방법은 상술한 본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치에 의해 구동될 수 있다.
우선 내부 위협탐지 및 방지시스템의 이벤트를 파싱하는 단계(S10)가 수행된다. 이 단계에서는 내부 위협탐지 및 방지시스템의 이벤트를 파싱하여 IDPS 이벤트데이터 및 IDPS 패킷데이터를 생성한다. IDPS 이벤트데이터를 생성할 때에는 해당 이벤트에 대한 탐지룰 ID를 생성하고, 그 외 해당 이벤트에 관한 정보를 함께 저장한다. IDPS 패킷데이터는 생성된 탐지룰 ID에 의해 식별가능하도록 해당 이벤트의 패킷데이터와 생성된 탐지룰 ID가 함께 저장한다. IDPS 이벤트 데이터에는 탐지룰 ID와 Host IP(HIP), Remote IP(RIS), Ruld Identifier(RID), IDPS Rule category[Type](RT), IDPS rule 심각도(RS), number of count(#C), protocol 및 Common Vulnerability Exposure(CVE)에서 선택되는 적어도 어느 하나를 구비한다.
다음으로, 혹은 S10 단계와 함께 외부 위협 인텔리전스를 파싱하는 단계(S20)가 수행된다. 이 단계에서는 외부 위협 인텔리전스를 파싱하여 YARA IoC와, IP IoC, 파일 IoC를 포함하는 외부 위협 인텔리전스 IoC를 생성한다. 이때 YARA IoC는 룰 정규화를 통하여 1개의 YARA 룰을 8 byte 이내로 구성하되, YARA 룰이 8 byte 초과할 경우에는 YARA 룰을 추가로 생성하고 CYID(Child YARA Identifier) 필드값을 구성할 수 있다. YARA IoC는 YARA 시그니쳐[byte string](SIG) 및 YARA 심각도(YS)를 포함하고, 나아가 YARA Identifier(YID), Child YARA Identifier(CYID), YARA category[type](YT) 중 적어도 하나 이상을 더 포함할 수 있다. 한편, IP IoC는 Remote IP(RIP) 및 Protocol을 포함하고, 파일 IoC는 Hash(MD5)를 포함한다.
다음으로, 위험성을 평가하는 단계(S30)를 수행한다. 위험성을 평가하는 단계(S30)는 적어도 하나 이상의 하위 단계로 구성될 수 있으며, 복수의 단계로 구성함으로써 위험도를 정량적으로 평가할 수 있다.
먼저, IDPS 패킷데이터와 YARA 시그니처를 매칭하는 단계(S31)가 수행될 수 있다. IDPS 패킷데이터와 YARA 시그니처를 매칭하는 단계는 YARA 탐지 엔진을 이용할 수 있다. IDPS 패킷데이터와 YARA 시그니처의 매칭 결과가 파지티브(Positive)인 경우 위험도가 있는 것으로 결정된다. 한편, 매칭된 IDPS 패킷데이터의 탐지룰 ID에 해당하는 IDPS 이벤트데이터와 매칭된 YARA 시그니처의 YARA IoC를 이용하여 위협 데이터를 생성한다. 만약 매칭되지 않는다면 위험도가 없기 때문에 다른 위협을 탐지한다.
만약 YARA IoC의 YARA 룰이 8 byte를 초과할 경우 CYID를 필드값으로 구성되는데, 그 경우 IDPS 패킷데이터와 YARA 시그니처(CYID)를 매칭하는 단계(S32)가 수행된다.
탐지룰 ID와 해당 이벤트에 관한 정보를 포함하는 IDPS 이벤트데이터 및 상기 탐지룰 ID를 기준으로 하는 IDPS 패킷데이터를 IDPS 패킷데이터와 YARA 시그니처(CYID)의 매칭 결과가 파지티브(Positive)인 경우 위험도가 증가하며, 네거티브(negative)인 경우 위험성을 평가하는 단계(S30)를 종료한다.
다음으로 IP IoC와 위협대이터의 Remote IP를 매칭하는 단계(S33), 위협데이터의 YARA 심각도가 높음(High)인지 확인하는 단계(S34), 위험데이터의 CVE 심각도가 높음(High)인지 확인하는 단계(S35)가 수행된다. 각 단계가 파지티브(Positive)인 경우 위험도가 증가하며, 네거티브(negative)인 경우 위험성을 평가하는 단계(S30)를 종료한다. 상술한 단계 S31 ~ S35에서 파지티브(positive)인 단계가 많을수록 위험도가 높은 것으로 결정된다.
위험성을 평가하는 단계(S30)를 수행한 후 위험 데이터와 화이트리스트를 매칭하는 단계(S40)를 수행한다. 이 단계에서 화이트리스트에 해당하는 위험 데이터는 위험도가 있는 것에서 제외한다.
화이트리스트에서 제외되지 아니한 위협데이터에 대해서는 위험성을 산출한다(S50). 이때, 위험성을 평가하는 단계(S30)를 구성하는 각 하위 단계에 파지티브(positve)인 단계가 많을수록 높은 위험성의 점수를 부여한다.
이상과 같이 본 발명은 내부 침입탐지 및 방지시스템의 이벤트와 외부 위협 인텔리전스의 정보를 함께 이용하여 위협 데이터를 생성함으로써 내부 침입탐지 및 방지시스템에 알려지지 않은 위협을 탐지할 수 있으며, 이에 따라 네트워크의 보안성이 실질적으로 향상된다.
참고로, 본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독가능매체에 기록될 수 있다. 상기 컴퓨터 판독가능매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.
컴퓨터 판독가능매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체, 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함될 수 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급언어코드를 포함한다. 상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
발명의 보호범위가 이상에서 명시적으로 설명한 실시예의 기재와 표현에 제한되는 것은 아니다. 또한, 본 발명이 속하는 기술분야에서 자명한 변경이나 치환으로 말미암아 본 발명이 보호범위가 제한될 수도 없음을 다시 한 번 첨언한다.

Claims (3)

  1. 내부 위협탐지 및 방지시스템(IDPS)과 외부 위협 인텔리전스를 이용하며, FPGA(Field Programmable Gate Array)에 의해 구현되는 내부 위협탐지 및 방지시스템에 알려지지 않은 위협의 탐지장치로서:
    내부 위협탐지 및 방지시스템의 이벤트를 파싱하되, 탐지룰 ID를 생성하여 탐지룰 ID를 포함하는 IDPS 이벤트데이터와 탐지룰 ID에 의해 식별되는 IDPS 패킷 데이터를 생성하는 IDPS 파서;
    외부 위협 인텔리전스 소스로부터 전송받은 외부 위협 인텔리전스를 파싱하여 YARA 시그니처를 구비하는 YARA IoC(Indicator of Compromise)를 포함하는 외부 위협 인텔리전스 IoC를 생성하는 외부 위협 인텔리전스 파서; 및
    YARA 탐지 엔진을 이용하여 IDPS 패킷데이터와 YARA 시그니처를 매칭하고, 매칭된 IDPS 패킷데이터의 탐지룰 ID에 해당하는 IDPS 이벤트데이터와 매칭된 YARA 시그니처의 YARA IoC를 이용하여 위협 데이터를 생성하는 파일 위협 분석기;를 포함하고,
    상기 외부 위협 인텔리전스 파서가 상기 YARA IoC를 룰 정규화를 통하여 YARA 룰을 생성하되, 생성되는 YARA 룰의 byte가 상기 IDPS 패킷 데이터의 byte보다 같거나 작은 것을 특징으로 하는 내부에 알려지지 않은 위협의 탐지장치.
  2. 제1항에 있어서,
    상기 외부 위협 인텔리전스 IoC는 IP IoC 또는 파일 IoC를 더 포함하고, 상기 위협 데이터와 상기 IP IoC 또는 파일 IoC를 매칭하여 위협을 분석하는 IoC 위협 분석기를 더 포함하는 내부에 알려지지 않은 위협의 탐지장치.
  3. 제2항에 있어서,
    상기 IoC 위협 분석기는 화이트리스트와 상기 위협 데이터를 매칭하여, 상기 화이트리스트와 매칭되는 위협 데이터는 제거하는 내부에 알려지지 않은 위협의 탐지장치.
KR1020190150246A 2019-11-21 2019-11-21 내부 침입탐지 및 방지 시스템의 이벤트를 외부 위협 인텔리전스를 이용하여 분석하는 내부에 알려지지 않은 위협의 탐지장치 KR102446642B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190150246A KR102446642B1 (ko) 2019-11-21 2019-11-21 내부 침입탐지 및 방지 시스템의 이벤트를 외부 위협 인텔리전스를 이용하여 분석하는 내부에 알려지지 않은 위협의 탐지장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190150246A KR102446642B1 (ko) 2019-11-21 2019-11-21 내부 침입탐지 및 방지 시스템의 이벤트를 외부 위협 인텔리전스를 이용하여 분석하는 내부에 알려지지 않은 위협의 탐지장치

Publications (2)

Publication Number Publication Date
KR20210062254A KR20210062254A (ko) 2021-05-31
KR102446642B1 true KR102446642B1 (ko) 2022-09-23

Family

ID=76150306

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190150246A KR102446642B1 (ko) 2019-11-21 2019-11-21 내부 침입탐지 및 방지 시스템의 이벤트를 외부 위협 인텔리전스를 이용하여 분석하는 내부에 알려지지 않은 위협의 탐지장치

Country Status (1)

Country Link
KR (1) KR102446642B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180191747A1 (en) * 2016-12-29 2018-07-05 X Development Llc Gathering indicators of compromise for security threat detection
KR101931525B1 (ko) * 2018-05-02 2018-12-21 박정권 정보 보호를 위한 운영 관리 시스템
KR101964592B1 (ko) * 2018-04-25 2019-04-02 한국전자통신연구원 보안위협 정보 공유 장치 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180191747A1 (en) * 2016-12-29 2018-07-05 X Development Llc Gathering indicators of compromise for security threat detection
KR101964592B1 (ko) * 2018-04-25 2019-04-02 한국전자통신연구원 보안위협 정보 공유 장치 및 방법
KR101931525B1 (ko) * 2018-05-02 2018-12-21 박정권 정보 보호를 위한 운영 관리 시스템

Also Published As

Publication number Publication date
KR20210062254A (ko) 2021-05-31

Similar Documents

Publication Publication Date Title
US11102223B2 (en) Multi-host threat tracking
JP6334069B2 (ja) 悪意のあるコードの検出の精度保証のためのシステムおよび方法
US11405419B2 (en) Preventing advanced persistent threat attack
US11675904B1 (en) Systems and methods for protecting against malware attacks using signature-less endpoint protection
US9344457B2 (en) Automated feedback for proposed security rules
US11122061B2 (en) Method and server for determining malicious files in network traffic
US8769692B1 (en) System and method for detecting malware by transforming objects and analyzing different views of objects
JP2018530066A (ja) 低信頼度のセキュリティイベントによるセキュリティインシデントの検出
AlYousef et al. Dynamically detecting security threats and updating a signature-based intrusion detection system’s database
US20170155683A1 (en) Remedial action for release of threat data
KR101768079B1 (ko) 침입탐지 오탐 개선을 위한 시스템 및 방법
Deng et al. Lexical analysis for the webshell attacks
Suthar et al. A signature-based botnet (emotet) detection mechanism
KR101767591B1 (ko) 침입탐지 오탐 개선을 위한 시스템 및 방법
Mukhopadhyay et al. Heuristic intrusion detection and prevention system
KR102446642B1 (ko) 내부 침입탐지 및 방지 시스템의 이벤트를 외부 위협 인텔리전스를 이용하여 분석하는 내부에 알려지지 않은 위협의 탐지장치
KR102239759B1 (ko) 내부 침입탐지 및 방지 시스템의 이벤트를 외부 위협 인텔리전스를 이용하여 분석하는 내부에 알려지지 않은 위협의 탐지방법
KR102446645B1 (ko) 기탐지된 악성파일의 IoC를 이용한 악성의심파일의 TTPs를 추출하는 장치
KR102152317B1 (ko) 기탐지된 악성파일의 IoC를 이용한 악성의심파일의 TTPs를 추출하는 방법
KR102377784B1 (ko) 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템
Irfan et al. A Malware Detection Framework Based on Forensic and Unsupervised Machine Learning Methodologies
Rafa et al. Detecting Intrusion in Cloud using Snort: An Application towards Cyber-Security
Bernardo Targeted attack detection by means of free and open source solutions
Nandan et al. Cyber Attacks on Smart Cities and How Artificial Intelligence can be Used as a Boon
Ogheneovo et al. Implementing a Robust Network-Based Intrusion Detection System

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right