KR102458075B1 - Malware response method to ensure high availability of cyber physical system - Google Patents

Malware response method to ensure high availability of cyber physical system Download PDF

Info

Publication number
KR102458075B1
KR102458075B1 KR1020200160855A KR20200160855A KR102458075B1 KR 102458075 B1 KR102458075 B1 KR 102458075B1 KR 1020200160855 A KR1020200160855 A KR 1020200160855A KR 20200160855 A KR20200160855 A KR 20200160855A KR 102458075 B1 KR102458075 B1 KR 102458075B1
Authority
KR
South Korea
Prior art keywords
malicious code
cyber
physical system
malicious
high availability
Prior art date
Application number
KR1020200160855A
Other languages
Korean (ko)
Other versions
KR20220073103A (en
Inventor
신인철
Original Assignee
목포대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 목포대학교산학협력단 filed Critical 목포대학교산학협력단
Priority to KR1020200160855A priority Critical patent/KR102458075B1/en
Publication of KR20220073103A publication Critical patent/KR20220073103A/en
Application granted granted Critical
Publication of KR102458075B1 publication Critical patent/KR102458075B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 사이버물리시스템의 고가용성 보장을 위한 악성코드 대응 방법에 관한 것으로, 보다 상세하게는 사이버물리시스템의 네트워크 메시지로부터 예상되는 악성코드를 식별한 후, 식별된 악성코드가 유발할 수 있는 공격 트리 모델을 기반으로 방화벽 설정 파일을 생성하여 악성코드가 전파될 수 있는 네트워크 구간에 해당하는 기기들로 전송함으로써, 제로 데이 공격에 대한 빠른 대처가 가능하고 피해를 최소화할 수 있는 사이버물리시스템의 고가용성 보장을 위한 악성코드 대응 방법에 관한 것이다.The present invention relates to a malicious code response method for ensuring high availability of a cyber-physical system, and more particularly, to an attack tree that can be caused by the identified malicious code after identifying an expected malicious code from a network message of the cyber-physical system High availability of a cyber-physical system that can quickly respond to zero-day attacks and minimize damage by creating a firewall configuration file based on the model and transmitting it to devices corresponding to the network section where malicious code can be propagated It relates to a method of countermeasures against malicious code for guarantee.

Description

사이버물리시스템의 고가용성 보장을 위한 악성코드 대응 방법{Malware response method to ensure high availability of cyber physical system}Malware response method to ensure high availability of cyber physical system

본 발명은 사이버물리시스템의 고가용성 보장을 위한 악성코드 대응 방법에 관한 것으로, 보다 상세하게는 사이버물리시스템의 네트워크 메시지로부터 예상되는 악성코드를 식별한 후, 식별된 악성코드가 유발할 수 있는 공격 트리 모델을 기반으로 방화벽 설정 파일을 생성하여 악성코드가 전파될 수 있는 네트워크 구간에 해당하는 기기들로 전송함으로써, 제로 데이 공격에 대한 빠른 대처가 가능하고 피해를 최소화할 수 있는 사이버물리시스템의 고가용성 보장을 위한 악성코드 대응 방법에 관한 것이다.The present invention relates to a malicious code response method for ensuring high availability of a cyber-physical system, and more particularly, to an attack tree that can be caused by the identified malicious code after identifying an expected malicious code from a network message of the cyber-physical system High availability of a cyber-physical system that can quickly respond to zero-day attacks and minimize damage by creating a firewall configuration file based on the model and transmitting it to devices corresponding to the network section where malicious code can be propagated It relates to a method of countermeasures against malicious code for guarantee.

악성코드란 악성 또는 악용 가능한 소프트웨어의 집합으로서, 바이러스, 웜, 스파이웨어, 악성 애드웨어 등 사용자와 컴퓨터에 잠재적으로 위험이 되는 모든 소프트웨어를 총칭하는 용어이다. 현재 전 세계적으로 매일 20만개 이상의 신종변종 악성코드가 새롭게 발견되고 있으며, 악성코드 발생량은 해마다 증가하고 있는 추세이다.Malicious code is a set of malicious or exploitable software, and is a generic term for all software that is potentially dangerous to users and computers, such as viruses, worms, spyware, and malicious adware. Currently, more than 200,000 new variants of malicious code are newly discovered every day around the world, and the amount of malicious code is increasing every year.

한편, 사이버물리시스템이란 실제 물리 세계의 시스템을 센서와 구동기를 통해 정보통신 기기와 연결시킨 복합 시스템으로 물류, 헬스케어, 정보통신, 에너지 기술 등에 활용되는 산업 제어 시스템을 의미하며, 독립적인 네트워크를 구성하고 있어서 외부 네트워크와는 분리되어 있었으나, 악성코드에 의한 우회적 공격이 발생함으로써, 단순 공극(Air gap) 정책으로 대처하는 것에 한계가 드러나고, 정보통신 기술의 발달로 사이버물리시스템은 비즈니스, 정보 공유 그리고 유지보수를 위하여 외부 네트워크와 연결이 필요하게 되었다.On the other hand, cyber-physical system is a complex system that connects the real physical world system with information and communication devices through sensors and actuators. Although it was separated from the external network because of its configuration, a detour attack caused by malicious code revealed limitations in dealing with a simple air gap policy. And for maintenance, it became necessary to connect to an external network.

이러한 사이버물리시스템의 보안은 침해행위를 유발하는 악성코드 리스트를 등록한 뒤 감시를 통해 차단하는 블랙리스트 기반의 보안기술과 정상적인 네트워크 패킷을 등록한 뒤 등록된 네트워크 패킷만을 전송하는 화이트리스트 기반의 보안기술이 적용되고 있다.The security of these cyber-physical systems consists of a blacklist-based security technology that registers a list of malicious codes that cause infringing behavior and blocks them through monitoring, and a whitelist-based security technology that registers normal network packets and then transmits only the registered network packets. is being applied

그러나, 현재 적용되고 있는 보안기술은 인터넷에 존재하는 다양한 악성행위를 탐지하고 차단하기 위한 통신 프로토콜을 기반으로 동작하도록 수행되기 때문에독립적인 플랫폼과 제어기술로 구축된 사이버물리시스템에는 기존의 정보통신의 정보보호 메카니즘이 그대로 적용될 수 없다는 문제가 있다.However, since the currently applied security technology operates based on the communication protocol to detect and block various malicious behaviors on the Internet, the cyber physical system built with an independent platform and control technology has the There is a problem that the information protection mechanism cannot be applied as it is.

예를 들어, 인터넷은 단지 정보 전달을 위한 시스템으로 악성행위 발생 시 정보의 유출을 방지하기 위해 즉각적인 차단을 통해 대응이 가능하나, 사이버물리시스템의 경우 제어시스템이 정보와 더불어 명령어를 동시에 네트워크에 전달하기 때문에 이를 차단할 경우 시스템 운영의 가용성이 저하되는 문제가 발생한다.For example, the Internet is only a system for information delivery, and it is possible to respond through immediate blocking to prevent information leakage when a malicious behavior occurs. Therefore, if it is blocked, the availability of system operation is reduced.

또한, 일반적으로 악성코드를 이용하여 악성행위를 수행하는 공격자들은 주로 기존의 악성코드를 변형한 변종 악성코드를 이용하여 사이버 공격을 수행하는데 이는 신종 악성코드를 개발하는 것보다 기존 악성코드를 변형하는 것이 상대적으로 용이하고 개발 비용도 저렴하기 때문이다. Also, in general, attackers who perform malicious actions using malicious codes mainly perform cyber attacks using mutant malicious codes that are modified from existing malicious codes. This is because it is relatively easy and the development cost is low.

또한, 이러한 악성코드를 이용한 공격은 보안 취약점이 발견되었을 때 그 문제점의 존재 자체가 공표되기 전 해당 취약점을 악용하여 이루어지는 제로 데이 공격이 수행되기 때문에 대처가 어렵다는 문제가 있다.In addition, there is a problem in that it is difficult to deal with an attack using such a malicious code because, when a security vulnerability is discovered, a zero-day attack is performed by exploiting the vulnerability before the existence of the problem itself is announced.

이에, 블랙리스트와 화이트리스트 기반의 보안기술은 등록되지 않은 악성코드에 대한 대응성이 부족하기 때문에, 각종 악성코드에 의해 발생되는 침해 행위에 대해 효과적으로 대응하기 위해서는 악성코드를 식별하고, 식별된 악성코드가 유발할 수 있는 침해 행위에 대해 적절한 대응이 필요하다.Accordingly, since the security technology based on blacklist and whitelist lacks responsiveness to unregistered malicious codes, in order to effectively respond to intrusions caused by various malicious codes, malicious codes are identified and identified malicious codes are identified. Appropriate countermeasures are required for infringing behavior that the code may cause.

따라서, 사이버물리시스템의 가용성 문제를 일으키는 악성행위를 식별하고 이를 통해 일어날 수 있는 침해행위에 대한 대응을 수행할 수 있도록함으로써, 시스템 운영의 가용성을 극대화시킬 수 있는 방법이 필요한 실정이다.Therefore, there is a need for a method that can maximize the availability of system operation by identifying malicious behaviors that cause usability problems in the cyber-physical system and responding to possible infringements through this.

본 발명은 상술한 문제점을 해결하기 위해 안출된 것으로 본 발명의 목적은 사이버물리시스템에서 수집되는 네트워크 메시지에 포함된 악성코드를 식별하고 식별된 악성코드에 대한 침해 행위를 차단 및 대응할 수 있는 대체 방안을 제공함으로써, 사이버물리시스템의 피해를 최소화하여 시스템 운영의 가용성을 극대화할 수 있는 사이버물리시스템의 고가용성 보장을 위한 악성코드 대응 방법을 제공하는 것이다.The present invention has been devised to solve the above problems, and an object of the present invention is to identify malicious code included in a network message collected from a cyber-physical system, and to block and respond to intrusive actions against the identified malicious code. It is to provide a malicious code countermeasure method to ensure high availability of a cyber physical system that can maximize the availability of system operation by minimizing damage to the cyber physical system.

상술한 목적을 달성하기 위해 본 발명은 미리 수집된 악성코드에 대해 정적 및 동적 분석을 수행하여 악성코드의 특정 패턴을 그룹화한 클러스터링 모델과 악성코드가 유발하는 침해 행위들의 공격 트리 모델을 구축하는 단계; 실시간으로 수집된 사이버물리시스템의 네트워크 메시지들을 상기 클러스터링 모델에 입력하여 악성코드를 식별하는 단계 식별된 악성코드에 해당하는 공격 트리 모델을 추출하는 단계; 식별된 악성코드의 침해 행위들이 수행 및 전파되는 것을 방지하기 위한 악성코드 대응 구간을 추출하는 단계; 및 추출된 공격 트리 모델을 기반으로 방화벽 설정 파일을 생성하여 상기 악성코드 대응 구간에 해당하는 기기들로 전송하는 단계;를 포함하는 것을 특징으로 하는 사이버물리시스템의 고가용성 보장을 위한 악성코드 대응 방법을 제공하는 데 있다.In order to achieve the above object, the present invention performs static and dynamic analysis on previously collected malicious code to construct a clustering model that groups specific patterns of malicious code and an attack tree model for malicious code-induced intrusion behavior. ; identifying a malicious code by inputting network messages of the cyber-physical system collected in real time into the clustering model; extracting an attack tree model corresponding to the identified malicious code; extracting a malicious code response section to prevent the identified malicious code infringing actions from being performed and propagated; and generating a firewall setting file based on the extracted attack tree model and transmitting it to devices corresponding to the malicious code response section. is to provide

바람직한 실시예에 있어서, 상기 네트워크 메시지는 미러링 방식으로 수집될 수 있다.In a preferred embodiment, the network messages may be collected in a mirroring manner.

바람직한 실시예에 있어서, 상기 악성코드 대응 구간을 추출하는 단계:는 상기 사이버물리시스템의 네트워크 그래프에서 식별된 악성코드를 갖는 네트워크 메세지가 도달 가능한 노드들을 추출하는 단계; 및 추출된 노드들로 구성된 네트워크 그래프를 최소 신장 트리로 구성하고, 상기 최소 신장 트리의 단계별 노드들을 악성코드 대응 구간으로 선정하는 단계;를 포함한다.In a preferred embodiment, the extracting of the malicious code correspondence section comprises: extracting nodes to which a network message having a malicious code identified in the network graph of the cyber-physical system can be reached; and constructing a network graph composed of the extracted nodes as a minimum spanning tree, and selecting step-by-step nodes of the minimum spanning tree as a malicious code-corresponding section.

바람직한 실시예에 있어서, 상기 악성코드 대응 구간은 상기 발신 주소의 노드를 기점으로 단계적으로 멀어지는 노드들의 집합인 단계별 대응 구간을 갖으며, 상기 발신 주소의 노드와 일정 거리 이하에 포함된 단계별 대응 구간을 상기 악성코드 대응 구간으로 선정한다.In a preferred embodiment, the malicious code response section has a step-by-step correspondence section that is a set of nodes stepping away from the node of the source address step by step, and includes a step-by-step corresponding section included within a certain distance from the node of the source address. The malicious code response section is selected.

또한, 본 발명은 컴퓨터를 이용하여 상기 사이버물리시스템의 고가용성 보장을 위한 악성코드 대응 방법이 기록 매체에 저장된 컴퓨터 프로그램을 더 제공한다.In addition, the present invention further provides a computer program stored in a recording medium for a method for countering malicious codes for ensuring high availability of the cyber-physical system using a computer.

본 발명은 다음과 같은 우수한 효과가 있다.The present invention has the following excellent effects.

본 발명의 사이버물리시스템의 고가용성 보장을 위한 악성코드 대응 방법에 따르면, 수집된 악성코드의 정적 및 동적 분석을 수행하여 생성된 악성행위 클러스터링 모델과 공격 트리 모델을 통해, 네트워크 메시지 내 악성코드를 식별하고, 식별된 악성코드로부터 발생할 수 있는 침해 행위들을 추출한 후 침해 행위들에 대한 방화벽 설정 파일을 생성하여 대응이 필요한 네트워크 구간에 포함된 기기들로 전송함으로써, 피해를 최소화하고, 고가용성으로 시스템을 운영할 수 있는 장점이 있다.According to the malicious code countermeasure method for ensuring high availability of the cyber physical system of the present invention, malicious code in network messages is detected through the malicious behavior clustering model and attack tree model generated by performing static and dynamic analysis of the collected malicious code. After identifying and extracting infringing behaviors that may occur from the identified malicious code, the firewall configuration file for the infringing behaviors is created and transmitted to the devices included in the network section that requires response, thereby minimizing damage and providing a system with high availability. It has the advantage of being able to operate

또한, 본 발명의 사이버물리시스템의 고가용성 보장을 위한 악성코드 대응 방법에 따르면, 블랙리스트와 화이트리스트 기반의 보안 기술과 달리, 등록되지 않은 악성코드도 악성행위 클러스터링 모델을 통해 유사한 특성 패턴을 갖는 악성코드를 식별하고, 식별된 악성코드의 침해 행위들에 대한 방화벽 설정 파일을 생성하여 제공함으로써, 제로 데이 공격에 효과적으로 대응이 가능하다는 장점이 있다. In addition, according to the malicious code countermeasure method for ensuring high availability of the cyber-physical system of the present invention, unlike the blacklist and whitelist-based security technologies, unregistered malicious code has a similar characteristic pattern through the malicious behavior clustering model. It has the advantage of being able to effectively respond to zero-day attacks by identifying malicious code and creating and providing a firewall configuration file for the identified malicious code infringing actions.

도 1은 본 발명의 일 실시예에 따른 악성코드 대응 방법의 순서도,
도 2는 본 발명의 일 실시예에 따른 클러스터링 모델 및 공격트리 모델 생성 과정의 순서도,
도 3은 본 발명의 일 실시예에 따른 악성코드 대응 구간 추출 과정의 순서도,
도 4는 본 발명의 일 실시예에 따른 사이버물리시스템의 네트워크 그래프를 보여주는 도면,
도 5는 본 발명의 일 실시예에 따른 식별된 악성코드를 갖는 네트워크 메시지가 도달 가능한 노드들이 추출된 네트워크 그래프,
도 6은 본 발명의 일 실시예에 따른 최소신장트리와 단계별 악성코드 대응구간을 보여주는 도면이다.1 is a flowchart of a malicious code countermeasure method according to an embodiment of the present invention;
2 is a flowchart of a clustering model and an attack tree model generation process according to an embodiment of the present invention;
3 is a flowchart of a malicious code response section extraction process according to an embodiment of the present invention;
4 is a diagram showing a network graph of a cyber-physical system according to an embodiment of the present invention;
5 is a network graph in which nodes reachable by a network message having an identified malicious code are extracted according to an embodiment of the present invention;
6 is a diagram showing a minimum spanning tree and a step-by-step malicious code correspondence section according to an embodiment of the present invention.

본 발명에서 사용되는 용어는 가능한 현재 널리 사용되는 일반적인 용어를 선택하였으나, 특정한 경우는 출원인이 임의로 선정한 용어도 있는데 이 경우에는 단순한 용어의 명칭이 아닌 발명의 상세한 설명 부분에 기재되거나 사용된 의미를 고려하여 그 의미가 파악되어야 할 것이다.As for the terms used in the present invention, general terms that are currently widely used as possible have been selected, but in certain cases, there are also terms arbitrarily selected by the applicant. So the meaning must be understood.

이하, 첨부한 도면에 도시된 바람직한 실시예들을 참조하여 본 발명의 기술적 구성을 상세하게 설명한다.Hereinafter, the technical configuration of the present invention will be described in detail with reference to preferred embodiments shown in the accompanying drawings.

그러나, 본 발명은 여기서 설명되는 실시예에 한정되지 않고 다른 형태로 구체화될 수도 있다. 명세서 전체에 걸쳐 동일한 참조번호는 동일한 구성요소를 나타낸다.However, the present invention is not limited to the embodiments described herein and may be embodied in other forms. Like reference numerals refer to like elements throughout.

도 1은 본 발명의 일 실시예에 따른 악성코드 대응 방법의 순서도, 도 2는 본 발명의 일 실시예에 따른 클러스터링 모델 및 공격트리 모델 생성 과정의 순서도, 도 3은 본 발명의 일 실시예에 따른 악성코드 대응 구간 추출 과정의 순서도이다.1 is a flowchart of a malicious code countermeasure method according to an embodiment of the present invention, FIG. 2 is a flowchart of a clustering model and an attack tree model generation process according to an embodiment of the present invention, and FIG. It is a flowchart of the extraction process of the malicious code response section.

도 1 내지 도 3을 참조하면, 본 발명의 일 실시예에 따른 악성코드 대응 방법은 사이버물리시스템의 네트워크 메시지의 악성코드를 식별하고 식별된 악성코드의 침해 행위를 기반으로 방화벽 설정 파일을 생성하여 대응이 수행되어야 할 네트워크 구간에 포함된 기기들로 전송함으로써, 상기 사이버물리시스템의 보안을 수행할 수 있는 방법에 관한 것이다.1 to 3 , the malicious code response method according to an embodiment of the present invention identifies malicious code in a network message of a cyber-physical system and creates a firewall setting file based on the identified malicious code intrusion behavior. The present invention relates to a method for performing security of the cyber-physical system by transmitting to devices included in a network section in which a response is to be performed.

또한, 본 발명의 일 실시예에 따른 악성코드 대응 방법은 컴퓨터에 의해 수행되며, 상기 컴퓨터에는 상기 컴퓨터를 기능시켜 악성코드 대응 방법을 수행하는 컴퓨터 프로그램이 저장된다.In addition, the malicious code countermeasure method according to an embodiment of the present invention is performed by a computer, and the computer stores a computer program that functions the computer to perform the malware countermeasure method.

또한, 상기 컴퓨터는 일반적인 퍼스널 컴퓨터뿐만 아니라, 스마트폰이나 태블릿 PC와 같은 스마트 기기를 포함하는 광의의 컴퓨팅 장치를 의미한다.In addition, the computer refers to a computing device in a broad sense including a smart device such as a smart phone or a tablet PC as well as a general personal computer.

또한, 상기 컴퓨터 프로그램은 별도의 기록 매체에 저장되어 제공될 수 있으며, 상기 기록매체는 본 발명을 위하여 특별히 설계되어 구성된 것들이거나 컴퓨터 소프트웨어 분야에서 통상의 지식을 가진 자에게 공지되어 사용 가능한 것일 수 있다.In addition, the computer program may be provided by being stored in a separate recording medium, and the recording medium may be specially designed and configured for the present invention or may be known and available to a person skilled in the field of computer software. .

예를 들면, 상기 기록매체는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD, DVD와 같은 광 기록 매체, 자기 및 광 기록을 겸할 수 있는 자기-광 기록 매체,롬, 램, 플래시 메모리 등 단독 또는 조합에 의해 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치일 수 있다.For example, the recording medium includes a hard disk, a magnetic medium such as a floppy disk and a magnetic tape, an optical recording medium such as a CD and DVD, a magneto-optical recording medium capable of both magnetic and optical recording, ROM, RAM, and flash memory. and the like, alone or in combination, may be a hardware device specially configured to store and execute program instructions.

또한, 상기 컴퓨터 프로그램은 프로그램 명령, 로컬 데이터 파일, 로컬 데이터 구조 등이 단독 또는 조합으로 구성된 컴퓨터 프로그램일 수 있고, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라, 인터프리터 등을 사용하여 컴퓨터에 의해 실행될 수 있는 고급 언어 코드로 짜여진 컴퓨터 프로그램일 수 있다.In addition, the computer program may be a computer program composed of program instructions, a local data file, a local data structure, etc. alone or in combination, and may be executed by a computer using an interpreter as well as machine code such as generated by a compiler. It may be a computer program written in a high-level language code that can be

또한, 본 발명은 상기 컴퓨터 프로그램이 저장되고, 상기 사이버물리시스템으로부터 네트워크 메시지를 수신받아 상기 악성코드 대응 방법을 수행하는 서버가 별도로 제공될 수 있다.Also, according to the present invention, a server for storing the computer program and receiving a network message from the cyber-physical system to perform the malicious code countermeasure method may be separately provided.

이하에서는 본 발명의 악성코드 대응 방법에 대해 상세히 설명한다.Hereinafter, the malicious code countermeasure method of the present invention will be described in detail.

본 발명의 일 실시예에 따른 악성코드 대응 방법은 악성행위 클러스터링 모델과 공격 트리 모델을 구축하는 단계(S1000), 악성코드를 식별하는 단계(S2000), 식별된 악성코드의 공격 트리 모델을 추출하는 단계(S3000), 악성코드 대응 구간을 추출하는 단계(S4000) 및 악성코드 대응 구간으로 방화벽 설정 파일을 전송하는 단계(S5000)를 포함하여 이루어진다.The malicious code response method according to an embodiment of the present invention includes the steps of constructing a malicious behavior clustering model and an attack tree model (S1000), identifying the malicious code (S2000), and extracting the attack tree model of the identified malicious code. Step S3000, extracting the malicious code response section (S4000), and transmitting the firewall setting file to the malicious code response section (S5000) are included.

먼저, 본 발명의 일 실시예에 따른 악성코드 대응 방법은 클러스터링 모델과 공격 트리 모델을 구축한다(S1000).First, in the malicious code response method according to an embodiment of the present invention, a clustering model and an attack tree model are constructed (S1000).

상세하게는 상기 클러스터링 모델과 상기 공격 트리 모델은 미리 수집된 악성코드를 정적 분석 및 동적 분석을 수행한 후(S1100), 분석된 특성 패턴과 침해 행위들을 기반으로 형성된다(S1200).In detail, the clustering model and the attack tree model are formed based on the analyzed characteristic patterns and infringing behaviors after performing static and dynamic analysis of previously collected malicious codes (S1100) (S1200).

또한, 상기 악성코드는 상기 사이버물리시스템에서 미러링(Mirroring)을 통하여 수집될 수 있다. In addition, the malicious code may be collected through mirroring in the cyber-physical system.

상기 정적 분석은 별도로 악성코드의 실행없이 분석을 수행하는 방법으로 악성코드가 발생하는 네트워크 메시지의 크기, 내용, 전달주소, 시간, 시간 간격 등의 특정 패턴에 대한 분석을 수행한다.The static analysis is a method of performing analysis without separately executing malicious code, and analyzes specific patterns such as size, content, delivery address, time, and time interval of a network message in which malicious code is generated.

또한, 상기 정적 분석은 바이너리를 블록 단위로 해싱하여 유사도를 식별하는 ssdepp, 악성코드에 적용된 패킹(packing) 여부를 식별하는 PeID 및 상업용 분석 도구 등을 활용하여 수행될 수 있다.In addition, the static analysis may be performed using ssdepp, which identifies similarity by hashing binaries in block units, PeID, which identifies whether or not packing is applied to malicious code, and a commercial analysis tool.

상기 동적 분석은 악성코드를 실행 후 나타나는 침해 행위들에 대해 에뮬레이터나 가상머신 환경에서 직접 실행시켜 분석을 수행한다.In the dynamic analysis, the malicious code is directly executed in an emulator or virtual machine environment for the infringement actions that appear after executing the analysis.

또한, 상기 정적 분석은 Pocess Exlplorer, System Explorer, Process Monitor 및 상업용 분석 도구 등을 활용하여 수행될 수 있다.In addition, the static analysis may be performed using a process explorer, a system explorer, a process monitor, and a commercial analysis tool.

상기 악성행위 클러스터링 모델은 상기 정적 분석을 통해 수집된 악성코드들의 특정 패턴들 미리 설정된 방식으로 클러스터링하여 그룹화한 모델로, 상기 클러스터링 모델은 공지된 다양한 알고리즘에 의해 수행될 수 있으며, 바람직하게는 K-means 알고리즘이 사용될 수 있다.The malicious behavior clustering model is a model in which specific patterns of malicious codes collected through the static analysis are clustered in a preset manner and grouped. The clustering model may be performed by various known algorithms, preferably K- means algorithm can be used.

또한, 상기 정적 분석을 통해 수십된 특정 패턴들은 특징 벡터를 추출하기 위한 전처리 과정을 수행 후 클러스터링 모델을 생성하기 위한 과정이 수행될 수 있다.In addition, a process for generating a clustering model may be performed after performing a pre-processing process for extracting a feature vector for dozens of specific patterns through the static analysis.

상기 공격 트리 모델은 악성 행위를 가하기 위해 수행될 수 있는 침해 행위들을 트리 형식으로 구조화한 모델로 상기 동적 분석을 통해 수집된 악성코드들의 침해 행위들을 이용하여 생성된다.The attack tree model is a model in which intrusion actions that can be performed to apply a malicious action are structured in a tree format, and is generated using the intrusion actions of malicious codes collected through the dynamic analysis.

다음, 상기 사이버물리시스템으로부터 네트워크 메시지들을 수신받아 상기 클러스터링 모델에 입력하여 악성코드를 식별한다(S2000). Next, a malicious code is identified by receiving network messages from the cyber-physical system and inputting them into the clustering model (S2000).

또한, 상기 네트워크 메시지는 상기 클러스터링 모델에 입력하여 악성코드를 식별하기 위해 상기 클러스터링을 생성하기 위해 사용된 데이터의 종류에 따라 정적 분석을 수행하여 특정 패턴 또는 특정 패턴으로부터 특징 벡터를 추출하는 과정이 수행될 수 있다.In addition, in order to identify the malicious code by inputting the network message into the clustering model, static analysis is performed according to the type of data used to generate the clustering, and a process of extracting a specific pattern or a feature vector from a specific pattern is performed. can be

또한, 상기 네트워크 메시지는 상기 클러스터링 모델을 통해 악성코드의 여부와 종류가 판단될 수 있으며, 상기 클러스터링 모델을 생성하기 위해 사용되지 않은 새로운 또는 변종된 악성코드라도 유사한 특성 패턴을 갖는 악성코드로 식별될 수 있다.In addition, whether or not the network message is malicious code can be determined through the clustering model, and even new or modified malicious code not used to generate the clustering model can be identified as malicious code having a similar characteristic pattern. can

다음, 식별된 악성코드에 해당하는 공격 트리 모델을 추출한다(S3000).Next, an attack tree model corresponding to the identified malicious code is extracted (S3000).

여기서, 상기 공격 트리 모델은 악성코드별로 생성된 공격 트리 모델들 중 식별된 악성코드에 해당되는 공격 트리 모델이다.Here, the attack tree model is an attack tree model corresponding to the identified malicious code among the attack tree models generated for each malicious code.

다음, 식별된 악성코드의 침해 행위들이 수행 및 전파되는 것을 방지하기 위한 악성코드 대응 구간을 추출한다(S4000).Next, a malicious code response section is extracted to prevent the identified malicious code infringement actions from being performed and propagated (S4000).

도 4는 본 발명의 일 실시예에 따른 사이버물리시스템의 네트워크 그래프를 보여주는 도면, 도 5는 본 발명의 일 실시예에 따른 식별된 악성코드를 갖는 네트워크 메시지가 도달 가능한 노드들이 추출된 네트워크 그래프, 도 6은 본 발명의 일 실시예에 따른 최소신장트리와 단계별 악성코드 대응구간을 보여주는 도면이다.4 is a diagram showing a network graph of a cyber-physical system according to an embodiment of the present invention. 6 is a diagram showing a minimum spanning tree and a step-by-step malicious code correspondence section according to an embodiment of the present invention.

도 4 내지 도 6을 참조하면, 상기 악성코드 대응 구간은 상기 식별된 악성코드를 갖는 네트워크 메시지의 발신 주소와 수신 주소를 기반으로 추출되며, 다음과 같은 과정이 수행된다.4 to 6 , the malicious code response section is extracted based on the sending address and the receiving address of the network message having the identified malicious code, and the following process is performed.

먼저, 미리 생성된 사이버물리시스템의 네트워크 그래프로부터 식별된 악성코드를 갖는 네트워크 메시지가 도달 가능한 노드들을 추출한다(S4100).First, nodes to which a network message having an identified malicious code can be reached are extracted from the network graph of the cyber-physical system generated in advance ( S4100 ).

상기 네트워크 그래프는 상기 사이버물리시스템의 구성들을 노드로 표현하고, 구성들 간의 관계를 연결선을 통해 시각화한 것으로, 상기 발신 주소의 노드(a)와 상기 수신 주소의 노드(b) 내에 포함된 라우터의 기 설정된 통신방식과 목적지 설정에 의해 도달 가능한 노드들(e)을 추출할 수 있다.The network graph expresses the components of the cyber-physical system as nodes, and visualizes the relationship between the components through a connection line. It is possible to extract the reachable nodes (e) by the preset communication method and destination setting.

또한, 상기 사이버물리시스템의 구성들은 센서, 운영 시스템, 제어 시스템, 네트워크 장비 등의 기기들을 포함한다.In addition, the components of the cyber-physical system include devices such as a sensor, an operating system, a control system, and a network device.

다음, 추출된 노드들(e)로 구성된 네트워크 그래프를 최소 신장 트리로 구성하고, 단계열 악성코드 대응 구간을 선정한다(S4200).Next, the network graph composed of the extracted nodes (e) is configured as a minimum spanning tree, and a section corresponding to the step sequence malicious code is selected (S4200).

상기 최소 신장 트리는 주어진 네트워크 그래프를 최소한의 비용으로 트리를 구성할 수 있는 알고리즘으로, 이를 통해 각 노드 간에 연결된 불필요한 연결선을 제거하고, 단계별 노드들의 악성코드 대응 구간을 선정할 수 있다.The minimum spanning tree is an algorithm that can construct a tree using a given network graph at a minimum cost. Through this, unnecessary connection lines connected between each node can be removed, and a section corresponding to the malicious code of each node can be selected.

상세하게는 상기 악성코드 대응 구간은 상기 최소 신장 트리를 통해 상기 발신 주소의 노드(a)를 기점으로 단계적으로 멀어지는 노드들의 집합인 단계별 대응 구간(level1,level2,...)을 갖으며, 상기 발신 주소의 노드(a)와 일정 거리 이하에 포함된 단계별 대응 구간(level1,level2,...)을 상기 악성코드 대응 구간으로 선정될 수 있다.In detail, the malicious code correspondence section has a step-by-step correspondence section (level1, level2, ...) that is a set of nodes that step away from the node (a) of the source address through the minimum spanning tree, A step-by-step corresponding section (level1, level2, ...) included within a predetermined distance from the node (a) of the source address may be selected as the malicious code response section.

또한, 상기 대응 구간의 단계는 사용자가 사이버물리시스템의 환경과 보안 수준에 따라 다양하게 설정될 수 있다.In addition, the step of the corresponding section may be variously set by the user according to the environment and security level of the cyber-physical system.

다음, 상기 악성코드 대응 구간에 해당하는 기기들로 방화벽 설정 파일을 전송한다.Next, the firewall setting file is transmitted to the devices corresponding to the malicious code response section.

여기서, 상기 방화벽 설정 파일은 추출된 공격 트리 모델을 기반으로 자동으로 작성되거나, 각 공격 트리 모델에 대해 미리 생성된 방화벽 설정 파일일 수 있다.Here, the firewall setting file may be automatically created based on the extracted attack tree model, or may be a firewall setting file created in advance for each attack tree model.

또한, 각 공격 트리 모델에 대해 방화벽 설정 파일을 미리 생성해 놓을 경우, 추출된 공격 트리 모델과 대응되는 방화벽 설정 파일이 선택되어 상기 악성코드 대응 구간에 해당하는 기기들로 전송될 수 있다.In addition, when a firewall setting file is previously created for each attack tree model, a firewall setting file corresponding to the extracted attack tree model may be selected and transmitted to devices corresponding to the malicious code response section.

따라서, 본 발명의 악성코드 대응 방법은 실질적으로 악성코드의 영향이 미칠 수 있는 악성코드 대응 구간을 추출하여 해당 구간에 포함된 기기들이 악성코드에 대응할 수 있도록 방화벽 설정 파일을 생성하여 전송함으로써, 악성코드로 인한 피해를 최소화할 수 있을 뿐만 아니라 사이버물리시스템을 고가용성으로 운영할 수 있다.Therefore, the malicious code response method of the present invention extracts a malicious code response section that can be affected by malicious code, creates and transmits a firewall setting file so that devices included in the section can respond to malicious code, and transmits the malicious code. In addition to minimizing the damage caused by the code, it is possible to operate the cyber-physical system with high availability.

또한, 본 발명의 악성코드 대응 방법은 알려지지 않은 신규 또는 변종 악성코드가 네트워크 메시지에 포함되어도 클러스터링 모델을 통해 유사한 특성 패턴을 갖는 악성코드를 식별하고, 식별된 악성코드의 침해 행위들에 대한 방화벽 설정 파일을 생성하여 제공함으로써, 제로 데이 공격에 효과적으로 대응이 가능하다는 장점이 있다.In addition, the malicious code countermeasure method of the present invention identifies malicious code having a similar characteristic pattern through a clustering model even when unknown new or variant malicious code is included in the network message, and sets up a firewall for the identified malicious code intrusion actions By creating and providing a file, it has the advantage of being able to effectively respond to a zero-day attack.

이상에서 살펴본 바와 같이 본 발명은 바람직한 실시예를 들어 도시하고 설명하였으나, 상기한 실시예에 한정되지 아니하며 본 발명의 정신을 벗어나지 않는 범위 내에서 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변경과 수정이 가능할 것이다.As described above, the present invention has been illustrated and described with reference to preferred embodiments, but it is not limited to the above-described embodiments, and those of ordinary skill in the art to which the present invention pertains within the scope not departing from the spirit of the present invention Various changes and modifications will be possible.

삭제delete

Claims (5)

미리 수집된 악성코드에 대해 정적 및 동적 분석을 수행하여 악성코드의 특정 패턴을 그룹화한 클러스터링 모델과 악성코드가 유발하는 침해 행위들의 공격 트리 모델을 구축하는 단계;
실시간으로 수집된 사이버물리시스템의 네트워크 메시지들을 상기 클러스터링 모델에 입력하여 악성코드를 식별하는 단계,
식별된 악성코드에 해당하는 공격 트리 모델을 추출하는 단계;
식별된 악성코드의 침해 행위들이 수행 및 전파되는 것을 방지하기 위한 악성코드 대응 구간을 추출하는 단계; 및
추출된 공격 트리 모델을 기반으로 방화벽 설정 파일을 생성하여 상기 악성코드 대응 구간에 해당하는 기기들로 전송하는 단계;를 포함하고,
상기 악성코드 대응 구간을 추출하는 단계:는
상기 사이버물리시스템의 네트워크 그래프에서 식별된 악성코드를 갖는 네트워크 메세지가 도달 가능한 노드들을 추출하는 단계; 및
추출된 노드들로 구성된 네트워크 그래프를 최소 신장 트리로 구성하고 상기 최소 신장 트리의 단계별 노드들을 악성코드 대응 구간으로 선정하는 단계;를 포함하는 것을 특징으로 하는 사이버물리시스템의 고가용성 보장을 위한 악성코드 대응 방법.constructing a clustering model in which specific patterns of malicious code are grouped by performing static and dynamic analysis on previously collected malicious code and an attack tree model of malicious code-induced intrusion;
identifying malicious codes by inputting network messages of the cyber-physical system collected in real time into the clustering model;
extracting an attack tree model corresponding to the identified malicious code;
extracting a malicious code response section to prevent the identified malicious code infringing actions from being performed and propagated; and
Including; generating a firewall setting file based on the extracted attack tree model and transmitting it to devices corresponding to the malicious code response section;
Extracting the malicious code response section:
extracting nodes to which a network message having an identified malicious code is reachable from the network graph of the cyber-physical system; and
A malicious code for ensuring high availability of a cyber-physical system, comprising: constructing a network graph composed of extracted nodes into a minimum spanning tree and selecting step-by-step nodes of the minimum spanning tree as a malicious code response section; How to respond. 제 1 항에 있어서,
상기 네트워크 메시지는 미러링 방식으로 수집되는 것을 특징으로 하는 사이버물리시스템의 고가용성 보장을 위한 악성코드 대응 방법.
The method of claim 1,
The malicious code countermeasure method for guaranteeing high availability of a cyber-physical system, characterized in that the network messages are collected in a mirroring method.
 제 2 항에 있어서,
상기 악성코드 대응 구간은 발신 주소의 노드를 기점으로 단계적으로 멀어지는 노드들의 집합인 단계별 대응 구간을 갖으며, 상기 발신 주소의 노드와 일정 거리 이하에 포함된 단계별 대응 구간을 상기 악성코드 대응 구간으로 선정하는 것을 특징으로 하는 사이버물리시스템의 고가용성 보장을 위한 악성코드 대응 방법3. The method of claim 2,
The malicious code response section has a step-by-step correspondence section that is a set of nodes stepping away from the node of the source address as the starting point, and the step-by-step corresponding section included within a certain distance from the node of the source address is selected as the malicious code response section A malicious code response method for ensuring high availability of a cyber-physical system, characterized in that 컴퓨터를 이용하여 제 1 항 내지 제 3 항 중 어느 한 항의 사이버물리시스템의 고가용성 보장을 위한 악성코드 대응 방법을 실행시키기 위하여 기록 매체에 저장된 컴퓨터 프로그램





A computer program stored in a recording medium to execute the malicious code countermeasure method for guaranteeing high availability of the cyber-physical system according to any one of claims 1 to 3 using a computer.





 삭제delete
KR1020200160855A 2020-11-26 2020-11-26 Malware response method to ensure high availability of cyber physical system KR102458075B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200160855A KR102458075B1 (en) 2020-11-26 2020-11-26 Malware response method to ensure high availability of cyber physical system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200160855A KR102458075B1 (en) 2020-11-26 2020-11-26 Malware response method to ensure high availability of cyber physical system

Publications (2)

Publication Number Publication Date
KR20220073103A KR20220073103A (en) 2022-06-03
KR102458075B1 true KR102458075B1 (en) 2022-10-24

Family

ID=81983309

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200160855A KR102458075B1 (en) 2020-11-26 2020-11-26 Malware response method to ensure high availability of cyber physical system

Country Status (1)

Country Link
KR (1) KR102458075B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240129474A (en) 2023-02-20 2024-08-27 한국전자통신연구원 Apparatus and method for controling network access based on graphic user interface

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116112243B (en) * 2023-01-17 2023-09-05 广州鲁邦通物联网科技股份有限公司 Industrial control system intelligent computer physical intrusion detection defense system and method

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180262525A1 (en) * 2017-03-09 2018-09-13 General Electric Company Multi-modal, multi-disciplinary feature discovery to detect cyber threats in electric power grid
KR101897962B1 (en) * 2017-11-27 2018-10-31 한국인터넷진흥원 Method for performing machine learning for neural network model and apparatus thereof

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101156005B1 (en) * 2009-12-16 2012-06-18 한전케이디엔주식회사 System and method for network attack detection and analysis

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180262525A1 (en) * 2017-03-09 2018-09-13 General Electric Company Multi-modal, multi-disciplinary feature discovery to detect cyber threats in electric power grid
KR101897962B1 (en) * 2017-11-27 2018-10-31 한국인터넷진흥원 Method for performing machine learning for neural network model and apparatus thereof

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240129474A (en) 2023-02-20 2024-08-27 한국전자통신연구원 Apparatus and method for controling network access based on graphic user interface

Also Published As

Publication number Publication date
KR20220073103A (en) 2022-06-03

Similar Documents

Publication Publication Date Title
RU2706896C1 (en) System and method of detecting malicious files using a training model trained on one malicious file
US11675904B1 (en) Systems and methods for protecting against malware attacks using signature-less endpoint protection
US11882134B2 (en) Stateful rule generation for behavior based threat detection
US10140451B2 (en) Detection of malicious scripting language code in a network environment
US20190132355A1 (en) Malicious script detection
CN102651061B (en) System and method of protecting computing device from malicious objects using complex infection schemes
JP6774881B2 (en) Business processing system monitoring device and monitoring method
US12069076B2 (en) System and method for detecting and classifying malware
JPWO2014112185A1 (en) Attack analysis system, linkage device, attack analysis linkage method, and program
KR102458075B1 (en) Malware response method to ensure high availability of cyber physical system
KR102079304B1 (en) Apparatus and method of blocking malicious code based on whitelist
US10757029B2 (en) Network traffic pattern based machine readable instruction identification
El Boujnouni et al. New malware detection framework based on N-grams and support vector domain description
CN110659478B (en) Method for detecting malicious files preventing analysis in isolated environment
CN108345795B (en) System and method for detecting and classifying malware
CN110717181A (en) Non-control data attack detection method and device based on novel program dependency graph
Uma et al. Survey on Android malware detection and protection using data mining algorithms
JP7168010B2 (en) Action plan estimation device, action plan estimation method, and program
EP3588351A1 (en) System and method of identifying malicious files using a learning model trained on a malicious file
Visaggio The state of the malware: What can we defend against?
US20240303344A1 (en) Methods, systems, and computer readable media for breach and attack simulation
Daponte et al. The State of the Malware: What Can We Defend Against?
CN104657664A (en) Virus processing method and equipment
CN113569239A (en) Malicious software analysis method
Wendelin Malware Detection in Secured Systems

Legal Events

Date Code Title Description
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant