KR102483826B1 - 데이터 보안 방법 - Google Patents
데이터 보안 방법 Download PDFInfo
- Publication number
- KR102483826B1 KR102483826B1 KR1020210138591A KR20210138591A KR102483826B1 KR 102483826 B1 KR102483826 B1 KR 102483826B1 KR 1020210138591 A KR1020210138591 A KR 1020210138591A KR 20210138591 A KR20210138591 A KR 20210138591A KR 102483826 B1 KR102483826 B1 KR 102483826B1
- Authority
- KR
- South Korea
- Prior art keywords
- terminal
- payload
- correlation
- analysis
- data
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000004891 communication Methods 0.000 claims abstract description 77
- 230000005540 biological transmission Effects 0.000 claims abstract description 36
- 230000004044 response Effects 0.000 claims abstract description 22
- 238000004458 analytical method Methods 0.000 claims description 164
- 239000013598 vector Substances 0.000 claims description 98
- 230000005856 abnormality Effects 0.000 claims description 34
- 238000004088 simulation Methods 0.000 claims description 32
- 238000012546 transfer Methods 0.000 claims description 17
- 230000000903 blocking effect Effects 0.000 claims description 14
- 230000009471 action Effects 0.000 claims description 4
- 238000001514 detection method Methods 0.000 abstract description 8
- 238000010219 correlation analysis Methods 0.000 abstract description 5
- 230000006399 behavior Effects 0.000 description 23
- 238000013528 artificial neural network Methods 0.000 description 21
- 230000006870 function Effects 0.000 description 21
- 238000007726 management method Methods 0.000 description 21
- 238000012545 processing Methods 0.000 description 19
- 238000010586 diagram Methods 0.000 description 14
- 238000005516 engineering process Methods 0.000 description 13
- 239000007787 solid Substances 0.000 description 10
- 230000002159 abnormal effect Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 8
- 238000013473 artificial intelligence Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 210000004027 cell Anatomy 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000013527 convolutional neural network Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 230000036541 health Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 210000002569 neuron Anatomy 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 230000000306 recurrent effect Effects 0.000 description 2
- 238000003860 storage Methods 0.000 description 2
- 238000005728 strengthening Methods 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- VKWMGUNWDFIWNW-UHFFFAOYSA-N 2-chloro-1,1-dioxo-1,2-benzothiazol-3-one Chemical compound C1=CC=C2S(=O)(=O)N(Cl)C(=O)C2=C1 VKWMGUNWDFIWNW-UHFFFAOYSA-N 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 239000008280 blood Substances 0.000 description 1
- 210000004369 blood Anatomy 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 239000004020 conductor Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 230000003155 kinesthetic effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001537 neural effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 230000005236 sound signal Effects 0.000 description 1
- 230000000638 stimulation Effects 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
실시예들은 데이터를 보안하는 기술을 제공한다. 실시예에 따른 데이터 보안 방법은, 단말기의 이벤트 감지부에 의해, 안드로이드 어플리케이션 패키지 파일(Android application package file, APK)의 동작 신호를 감지하는 동작; 상기 동작 신호에 반응하여, 상기 단말기의 트랜시버에 의해, 상기 안드로이드 어플리케이션 패키지 파일의 전송 요청에 의해 외부로 전송되는 상기 단말기에 저장된 데이터 패킷을 보안 서버로 전송하는 동작; 상기 보안 서버의 상관관계 분석부에 의해, 상기 데이터 패킷의 상관관계를 분석하고, 상기 데이터 패킷의 상관관계 인스턴트 정보를 획득하는 동작; 상기 보안 서버의 매칭부에 의해, 상기 데이터 패킷의 상관관계 인스턴트 정보에 매칭되는 상관관계 등록 정보를 상기 보안 서버의 가상화 데이터베이스에서 검색하는 동작; 상기 상관관계 인스턴트 정보와 매칭되는 상기 상관관계 등록 정보가 검색된 경우에, 상기 보안 서버의 트랜시버에 의해, 전송 차단 요청 신호를 상기 단말기의 트랜시버로 전송하는 동작; 및 상기 상관관계 인스턴트 정보와 매칭되는 상기 상관관계 등록 정보가 검색되지 않은 경우에, 상기 단말기의 제어부에 의해, 상기 데이터 패킷의 통신 관리 정보를 기초로 상기 데이터 패킷을 네트워크로 전송할지 여부를 결정하는 동작을 포함할 수 있다.
Description
본 발명의 실시예들은 데이터를 보안하는 기술에 관한 것으로, 패킷 분석을 통해 데이터를 보안하는 기술에 대한 것이다.
보안 기술이 발전하면서 해킹의 기법도 나날이 정교해지고 있다. 최근에는 다양한 방식을 통해 사용자의 단말기에 은밀이 침투하고, 단말기로부터 중요한 정보를 훔치는 사건이 많아지고 있다. 예를 들어, C&C 서버(350)는 피싱을 통해 단말기(320)로부터 중요한 데이터를 유출할 수 있다.
APT(Advanced Persistent Threat)란, 지능형 지속 위협을 의미한다. APT는 하나의 공격 방법이나 수단이 아니며, 공격자가 특정 대상을 목표로 다양한 해킹 기술을 이용해 은밀하게 지속적으로 공격하는 행위를 의미한다. APT 공격은 정교한 악성코드와 공격기술을 활용해 단말기(320)에 침투하고 눈치채지 못하게 기밀정보를 유출시킬 수 있다. 수많은 좀비 PC를 거느리는 봇넷의 대량 트래픽과는 달리 APT를 수행하는 C&C 서버(350)은 소량 트래픽을 이용하고 지속적으로 IP 주소를 변경하거나 프락시 서버를 이용함으로써 탐지가 매우 어렵다.
위에서 설명한 배경기술은 발명자가 본원의 개시 내용을 도출하는 과정에서 보유하거나 습득한 것으로서, 반드시 본 출원 전에 일반 공중에 공개된 공지기술이라고 할 수는 없다.
실시예들은, 단계적으로 데이터 보안 검사를 강화함으로써 데이터 유출의 탐지의 속도와 정확성을 함께 높이는 방법을 제공할 수 있다.
실시예들에서 이루고자 하는 기술적 과제들은 이상에서 언급한 사항들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 이하 설명할 다양한 실시예들로부터 당해 기술분야에서 통상의 지식을 가진 자에 의해 고려될 수 있다.
실시예에 따른 데이터 보안 방법은, 단말기의 이벤트 감지부에 의해, 안드로이드 어플리케이션 패키지 파일(Android application package file, APK)의 동작 신호를 감지하는 동작; 상기 동작 신호에 반응하여, 상기 단말기의 트랜시버에 의해, 상기 안드로이드 어플리케이션 패키지 파일의 전송 요청에 의해 외부로 전송되는 상기 단말기에 저장된 데이터 패킷을 보안 서버로 전송하는 동작; 상기 보안 서버의 상관관계 분석부에 의해, 상기 데이터 패킷의 상관관계를 분석하고, 상기 데이터 패킷의 상관관계 인스턴트 정보를 획득하는 동작; 상기 보안 서버의 매칭부에 의해, 상기 데이터 패킷의 상관관계 인스턴트 정보에 매칭되는 상관관계 등록 정보를 상기 보안 서버의 가상화 데이터베이스에서 검색하는 동작; 상기 상관관계 인스턴트 정보와 매칭되는 상기 상관관계 등록 정보가 검색된 경우에, 상기 보안 서버의 트랜시버에 의해, 전송 차단 요청 신호를 상기 단말기의 트랜시버로 전송하는 동작; 및 상기 상관관계 인스턴트 정보와 매칭되는 상기 상관관계 등록 정보가 검색되지 않은 경우에, 상기 단말기의 제어부에 의해, 상기 데이터 패킷의 통신 관리 정보를 기초로 상기 데이터 패킷을 네트워크로 전송할지 여부를 결정하는 동작을 포함할 수 있다.
상기 보안 서버의 가상화부에 의해, 상기 보안 서버의 내부 데이터 베이스 및 하나 이상의 외부 서버의 외부 데이터 베이스를 가상화하여 가상화 데이터 베이스를 생성하는 동작을 더 포함할 수 있다.
상기 가상화 데이터 베이스를 생성하는 동작은, 상기 보안 서버의 내부 데이터 베이스에 저장된 상관관계 등록 정보 및 상기 외부 데이터 베이스에 저장된 상관관계 등록 정보에 대한 상관관계 하이어라키 정보를 생성하는 동작을 포함하고, 가상화 데이터베이스에서 검색하는 동작은, 상기 상관관계 하이어라키 정보를 기초로 상기 상관관계 인스턴트 정보에 매칭되는 상관관계 등록 정보를 검색하는 동작을 포함할 수 있다.
상기 단말기의 제어부에 의해 상기 전송할지 여부를 결정하는 동작은, 상기 상관관계 인스턴트 정보와 매칭되는 상기 상관관계 등록 정보가 검색되지 않은 경우에, 상기 단말기의 제어부에 의해, 상기 데이터 패킷의 통신 관리 정보를 기초로 상기 데이터 패킷을 상기 단말기의 스위치로 전달할지 여부를 결정하는 동작을 포함하고, 상기 방법은, 단말기의 스위치에 의해, 상기 데이터 패킷에 대해 패턴 분석을 수행하는 동작; 및 상기 단말기의 스위치에 의해, 상기 패턴 분석의 결과를 기초로 상기 데이터 패킷을 상기 네트워크로 전송할지 여부를 결정하는 동작을 더 포함할 수 있다.
상기 단말기의 스위치에 의해 상기 전송할지 여부를 결정하는 동작은, 상기 단말기의 스위치에 의해, 상기 패턴 분석의 결과를 기초로 상기 데이터 패킷을 상기 단말기의 미러링부로 전달할지 여부를 결정하는 동작을 포함하고, 상기 방법은, 상기 단말기의 미러링부에 의해, 상기 데이터 패킷을 복사하여 미러 패킷을 생성하는 동작; 상기 단말기의 페이로드 분석부에 의해, 상기 미러 패킷의 페이로드를 분석하는 동작; 및 상기 단말기의 페이로드 분석부에 의해, 상기 페이로드의 분석의 결과를 기초로 상기 미러 패킷을 상기 네트워크로 전송할지 여부를 결정하는 동작을 더 포함할 수 있다.
상기 단말기의 페이로드 분석부에 의해 상기 전송할지 여부를 결정하는 동작은, 상기 단말기의 페이로드 분석부에 의해, 상기 페이로드의 분석의 결과를 기초로 상기 미러 패킷을 시뮬레이션 수행부로 전달할지 여부를 결정하는 동작을 포함하고, 상기 방법은, 상기 시뮬레이션 수행부에 의해, 상기 미러 패킷을 상기 단말기의 가상 머신에 입력하여 시뮬레이션을 수행하는 동작; 및 상기 단말기의 스위치에 의해, 상기 시뮬레이션의 결과를 기초로 상기 단말기의 트랜시버로 상기 데이터 패킷을 전달할지 여부를 결정하는 동작을 더 포함할 수 있다.
상기 미러 패킷의 페이로드를 분석하는 동작은, 상기 단말기의 페이로드 분석부에 의해, 페이로드 분석 모델을 이용하여 상기 미러 패킷으로부터 비정상성 특징 벡터를 출력하는 동작; 상기 단말기의 페이로드 분석부에 의해, 상기 비정상성 특징 벡터가 다차원 공간의 중심 그룹 입체 모델에 포함되는지 여부를 판단하는 동작; 및 상기 비정상성 특징 벡터가 다차원 공간의 중심 그룹 입체 모델에 포함되는 경우에, 상기 단말기의 페이로드 분석부에 의해, 상기 페이로드의 분석의 결과를 기초로 상기 미러 패킷을 상기 네트워크로 전송하는 동작을 포함할 수 있다.
상기 페이로드 분석 모델은 프로토콜 분석부, 사용자 행위 분석부, 패킷 분석부, 사용자 정의 비정상성 분석부 및 비정상성 특징 분석부를 포함하고, 상기 비정상성 특징 벡터를 출력하는 동작은, 상기 단말기의 페이로드 분석부에 의해, 상기 프로토콜 분석부에 상기 미러 패킷의 프로토콜 정보를 입력하여 프로토콜 분석 벡터를 출력하는 동작; 상기 단말기의 페이로드 분석부에 의해, 상기 사용자 행위 분석부에 상기 데이터 패킷과 관련된 사용자 행위 정보를 입력하여 사용자 행위 분석 벡터를 출력하는 동작; 상기 단말기의 페이로드 분석부에 의해, 상기 패킷 분석부에 상기 미러 패킷의 페이로드를 입력하여 패킷 분석 벡터를 출력하는 동작; 상기 단말기의 페이로드 분석부에 의해, 상기 사용자 정의 비정상성 분석부에 상기 미러 패킷의 페이로드를 입력하여 사용자 정의 비정상성 분석 벡터를 출력하는 동작; 상기 단말기의 페이로드 분석부에 의해, 상기 프로토콜 분석 벡터, 상기 사용자 행위 분석 벡터, 상기 패킷 분석 벡터 및 상기 사용자 정의 비정상성 분석 벡터에 콘케티네이션(concatenation)을 수행하여 결합 벡터를 출력하는 동작; 및 상기 단말기의 페이로드 분석부에 의해, 상기 결합 벡터를 상기 비정상성 특징 분석부에 입력하여 비정상성 특징 벡터를 출력하는 동작을 포함할 수 있다.
상기 중심 그룹 입체 모델은 정상인 것으로 판단되고 임계 밀도 이상의 복수의 정상 특징 벡터를 포함하는 중심 그룹으로부터 법선 방향으로 최소 경계 거리만큼 떨어진 상기 다차원 공간의 입체 모델을 나타낼 수 있다.
상기 방법은, 상기 비정상성 특징 벡터가 다차원 공간의 중심 그룹 입체 모델에 포함되지 않는 경우에, 상기 단말기의 페이로드 분석부에 의해, 상기 비정상성 특징 벡터를 기초로 상기 중심 그룹 입체 모델을 갱신하는 동작을 더 포함할 수 있다.
상기 갱신하는 동작은, 상기 단말기의 페이로드 분석부에 의해, 상기 비정상성 특징 벡터에서 가장 가까운 정상 특징 벡터를 결정하는 동작; 및 상기 단말기의 페이로드 분석부에 의해, 상기 결정된 정상 특징 벡터를 향하여 상기 다차원 공간의 입체 모델의 경계를 조정하는 동작을 포함할 수 있다.
실시예들에 따르면, 단계적으로 데이터 보안 검사를 강화함으로써 데이터 유출의 탐지의 속도와 정확성을 함께 높일 수 있다.
실시예들로부터 얻을 수 있는 효과들은 이상에서 언급된 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 이하의 상세한 설명을 기반으로 당해 기술분야에서 통상의 지식을 가진 자에게 명확하게 도출되고 이해될 수 있다.
실시예들에 대한 이해를 돕기 위해 상세한 설명의 일부로 포함된, 첨부 도면은 다양한 실시예들을 제공하고, 상세한 설명과 함께 다양한 실시예들의 기술적 특징을 설명한다.
도 1은 일 실시예에 따른 전자 장치의 구성을 나타내는 도면이다.
도 2는 일 실시예에 따른 프로그램의 구성을 나타내는 도면이다.
도 3은 일 실시예에 따른 데이터 보안 시스템의 전체 구성을 도시한 도면이다.
도 4는 일 실시예에 따른 보안 서버의 구성을 도시한 도면이다.
도 5는 일 실시예에 따른 단말기의 구성을 도시한 도면이다.
도 6은 일 실시예에 따른 데이터 보안 방법의 일례를 나타내는 흐름도이다.
도 7은 일 실시예에 따른 다차원 공간의 중심 그룹 입체 모델을 도시한 도면이다.
도 8은 일 실시예에 따른 데이터 보안 방법의 동작을 도시한 흐름도이다.
도 9는 일 실시예에 따른 데이터 보안 방법의 동작을 도시한 흐름도이다.
도 1은 일 실시예에 따른 전자 장치의 구성을 나타내는 도면이다.
도 2는 일 실시예에 따른 프로그램의 구성을 나타내는 도면이다.
도 3은 일 실시예에 따른 데이터 보안 시스템의 전체 구성을 도시한 도면이다.
도 4는 일 실시예에 따른 보안 서버의 구성을 도시한 도면이다.
도 5는 일 실시예에 따른 단말기의 구성을 도시한 도면이다.
도 6은 일 실시예에 따른 데이터 보안 방법의 일례를 나타내는 흐름도이다.
도 7은 일 실시예에 따른 다차원 공간의 중심 그룹 입체 모델을 도시한 도면이다.
도 8은 일 실시예에 따른 데이터 보안 방법의 동작을 도시한 흐름도이다.
도 9는 일 실시예에 따른 데이터 보안 방법의 동작을 도시한 흐름도이다.
이하의 실시예들은 실시예들의 구성요소들과 특징들을 소정 형태로 결합한 것들이다. 각 구성요소 또는 특징은 별도의 명시적 언급이 없는 한 선택적인 것으로 고려될 수 있다. 각 구성요소 또는 특징은 다른 구성요소나 특징과 결합되지 않은 형태로 실시될 수 있다. 또한, 일부 구성요소들 및/또는 특징들을 결합하여 다양한 실시예들을 구성할 수도 있다. 다양한 실시예들에서 설명되는 동작들의 순서는 변경될 수 있다. 어느 실시예의 일부 구성이나 특징은 다른 실시예에 포함될 수 있고, 또는 다른 실시예의 대응하는 구성 또는 특징과 교체될 수 있다.
도면에 대한 설명에서, 다양한 실시예들의 요지를 흐릴 수 있는 절차 또는 단계 등은 기술하지 않았으며, 당해 기술분야에서 통상의 지식을 가진 자의 수준에서 이해할 수 있을 정도의 절차 또는 단계는 또한 기술하지 아니하였다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함(comprising 또는 including)"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "...부", "...기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다. 또한, "일(a 또는 an)", "하나(one)", "그(the)" 및 유사 관련어는 다양한 실시예들을 기술하는 문맥에 있어서(특히, 이하의 청구항의 문맥에서) 본 명세서에 달리 지시되거나 문맥에 의해 분명하게 반박되지 않는 한, 단수 및 복수 모두를 포함하는 의미로 사용될 수 있다.
이하, 다양한 실시예들에 따른 실시 형태를 첨부된 도면을 참조하여 상세하게 설명한다. 첨부된 도면과 함께 이하에 개시될 상세한 설명은 다양한 실시예들의 예시적인 실시형태를 설명하고자 하는 것이며, 유일한 실시형태를 나타내고자 하는 것이 아니다.
또한, 다양한 실시예들에서 사용되는 특정(特定) 용어들은 다양한 실시예들의 이해를 돕기 위해서 제공된 것이며, 이러한 특정 용어의 사용은 다양한 실시예들의 기술적 사상을 벗어나지 않는 범위에서 다른 형태로 변경될 수 있다.
도 1은 일 실시예에 따른 전자 장치의 구성을 나타내는 도면이다.
도 1은, 다양한 실시예들에 따른, 네트워크 환경(100) 내의 전자 장치(101)의 블록도이다. 도 1을 참조하면, 네트워크 환경(100)에서 전자 장치(101)는 제 1 네트워크(198)(예: 근거리 무선 통신 네트워크)를 통하여 전자 장치(102)와 통신하거나, 또는 제 2 네트워크(199)(예: 원거리 무선 통신 네트워크)를 통하여 전자 장치(104) 또는 서버(108) 중 적어도 하나와 통신할 수 있다. 일실시예에 따르면, 전자 장치(101)는 서버(108)를 통하여 전자 장치(104)와 통신할 수 있다. 일실시예에 따르면, 전자 장치(101)는 프로세서(120), 메모리(130), 입력 모듈(150), 음향 출력 모듈(155), 디스플레이 모듈(160), 오디오 모듈(170), 센서 모듈(176), 인터페이스(177), 연결 단자(178), 햅틱 모듈(179), 카메라 모듈(180), 전력 관리 모듈(188), 배터리(189), 통신 모듈(190), 가입자 식별 모듈(196), 또는 안테나 모듈(197)을 포함할 수 있다. 어떤 실시예에서는, 전자 장치(101)에는, 이 구성요소들 중 적어도 하나(예: 연결 단자(178))가 생략되거나, 하나 이상의 다른 구성요소가 추가될 수 있다. 어떤 실시예에서는, 이 구성요소들 중 일부들(예: 센서 모듈(176), 카메라 모듈(180), 또는 안테나 모듈(197))은 하나의 구성요소(예: 디스플레이 모듈(160))로 통합될 수 있다. 전자 장치(101)는 클라이언트, 단말기 또는 피어로 지칭될 수도 있다.
프로세서(120)는, 예를 들면, 소프트웨어(예: 프로그램(140))를 실행하여 프로세서(120)에 연결된 전자 장치(101)의 적어도 하나의 다른 구성요소(예: 하드웨어 또는 소프트웨어 구성요소)를 제어할 수 있고, 다양한 데이터 처리 또는 연산을 수행할 수 있다. 일실시예에 따르면, 데이터 처리 또는 연산의 적어도 일부로서, 프로세서(120)는 다른 구성요소(예: 센서 모듈(176) 또는 통신 모듈(190))로부터 수신된 명령 또는 데이터를 휘발성 메모리(132)에 저장하고, 휘발성 메모리(132)에 저장된 명령 또는 데이터를 처리하고, 결과 데이터를 비휘발성 메모리(134)에 저장할 수 있다. 일실시예에 따르면, 프로세서(120)는 메인 프로세서(121)(예: 중앙 처리 장치 또는 어플리케이션 프로세서) 또는 이와는 독립적으로 또는 함께 운영 가능한 보조 프로세서(123)(예: 그래픽 처리 장치, 신경망 처리 장치(NPU: neural processing unit), 이미지 시그널 프로세서, 센서 허브 프로세서, 또는 커뮤니케이션 프로세서)를 포함할 수 있다. 예를 들어, 전자 장치(101)가 메인 프로세서(121) 및 보조 프로세서(123)를 포함하는 경우, 보조 프로세서(123)는 메인 프로세서(121)보다 저전력을 사용하거나, 지정된 기능에 특화되도록 설정될 수 있다. 보조 프로세서(123)는 메인 프로세서(121)와 별개로, 또는 그 일부로서 구현될 수 있다.
보조 프로세서(123)는, 예를 들면, 메인 프로세서(121)가 인액티브(예: 슬립) 상태에 있는 동안 메인 프로세서(121)를 대신하여, 또는 메인 프로세서(121)가 액티브(예: 어플리케이션 실행) 상태에 있는 동안 메인 프로세서(121)와 함께, 전자 장치(101)의 구성요소들 중 적어도 하나의 구성요소(예: 디스플레이 모듈(160), 센서 모듈(176), 또는 통신 모듈(190))와 관련된 기능 또는 상태들의 적어도 일부를 제어할 수 있다. 일실시예에 따르면, 보조 프로세서(123)(예: 이미지 시그널 프로세서 또는 커뮤니케이션 프로세서)는 기능적으로 관련 있는 다른 구성요소(예: 카메라 모듈(180) 또는 통신 모듈(190))의 일부로서 구현될 수 있다. 일실시예에 따르면, 보조 프로세서(123)(예: 신경망 처리 장치)는 인공지능 모델의 처리에 특화된 하드웨어 구조를 포함할 수 있다. 인공지능 모델은 기계 학습을 통해 생성될 수 있다. 이러한 학습은, 예를 들어, 인공지능 모델이 수행되는 전자 장치(101) 자체에서 수행될 수 있고, 별도의 서버(예: 서버(108))를 통해 수행될 수도 있다. 학습 알고리즘은, 예를 들어, 지도형 학습(supervised learning), 비지도형 학습(unsupervised learning), 준지도형 학습(semi-supervised learning) 또는 강화 학습(reinforcement learning)을 포함할 수 있으나, 전술한 예에 한정되지 않는다. 인공지능 모델은, 복수의 인공 신경망 레이어들을 포함할 수 있다. 인공 신경망은 심층 신경망(DNN: deep neural network), CNN(convolutional neural network), RNN(recurrent neural network), RBM(restricted boltzmann machine), DBN(deep belief network), BRDNN(bidirectional recurrent deep neural network), 심층 Q-네트워크(deep Q-networks) 또는 상기 중 둘 이상의 조합 중 하나일 수 있으나, 전술한 예에 한정되지 않는다. 인공지능 모델은 하드웨어 구조 이외에, 추가적으로 또는 대체적으로, 소프트웨어 구조를 포함할 수 있다.
메모리(130)는, 전자 장치(101)의 적어도 하나의 구성요소(예: 프로세서(120) 또는 센서 모듈(176))에 의해 사용되는 다양한 데이터를 저장할 수 있다. 데이터는, 예를 들어, 소프트웨어(예: 프로그램(140)) 및, 이와 관련된 명령에 대한 입력 데이터 또는 출력 데이터를 포함할 수 있다. 메모리(130)는, 휘발성 메모리(132) 또는 비휘발성 메모리(134)를 포함할 수 있다.
프로그램(140)은 메모리(130)에 소프트웨어로서 저장될 수 있으며, 예를 들면, 운영 체제(142), 미들 웨어(144) 또는 어플리케이션(146)을 포함할 수 있다.
입력 모듈(150)은, 전자 장치(101)의 구성요소(예: 프로세서(120))에 사용될 명령 또는 데이터를 전자 장치(101)의 외부(예: 사용자)로부터 수신할 수 있다. 입력 모듈(150)은, 예를 들면, 마이크, 마우스, 키보드, 키(예: 버튼), 또는 디지털 펜(예: 스타일러스 펜)을 포함할 수 있다.
음향 출력 모듈(155)은 음향 신호를 전자 장치(101)의 외부로 출력할 수 있다. 음향 출력 모듈(155)은, 예를 들면, 스피커 또는 리시버를 포함할 수 있다. 스피커는 멀티미디어 재생 또는 녹음 재생과 같이 일반적인 용도로 사용될 수 있다. 리시버는 착신 전화를 수신하기 위해 사용될 수 있다. 일실시예에 따르면, 리시버는 스피커와 별개로, 또는 그 일부로서 구현될 수 있다.
디스플레이 모듈(160)은 전자 장치(101)의 외부(예: 사용자)로 정보를 시각적으로 제공할 수 있다. 디스플레이 모듈(160)은, 예를 들면, 디스플레이, 홀로그램 장치, 또는 프로젝터 및 해당 장치를 제어하기 위한 제어 회로를 포함할 수 있다. 일실시예에 따르면, 디스플레이 모듈(160)은 터치를 감지하도록 설정된 터치 센서, 또는 상기 터치에 의해 발생되는 힘의 세기를 측정하도록 설정된 압력 센서를 포함할 수 있다.
오디오 모듈(170)은 소리를 전기 신호로 변환시키거나, 반대로 전기 신호를 소리로 변환시킬 수 있다. 일실시예에 따르면, 오디오 모듈(170)은, 입력 모듈(150)을 통해 소리를 획득하거나, 음향 출력 모듈(155), 또는 전자 장치(101)와 직접 또는 무선으로 연결된 외부 전자 장치(예: 전자 장치(102))(예: 스피커 또는 헤드폰)를 통해 소리를 출력할 수 있다.
센서 모듈(176)은 전자 장치(101)의 작동 상태(예: 전력 또는 온도), 또는 외부의 환경 상태(예: 사용자 상태)를 감지하고, 감지된 상태에 대응하는 전기 신호 또는 데이터 값을 생성할 수 있다. 일실시예에 따르면, 센서 모듈(176)은, 예를 들면, 제스처 센서, 자이로 센서, 기압 센서, 마그네틱 센서, 가속도 센서, 그립 센서, 근접 센서, 컬러 센서, IR(infrared) 센서, 생체 센서, 온도 센서, 습도 센서, 또는 조도 센서를 포함할 수 있다.
인터페이스(177)는 전자 장치(101)가 외부 전자 장치(예: 전자 장치(102))와 직접 또는 무선으로 연결되기 위해 사용될 수 있는 하나 이상의 지정된 프로토콜들을 지원할 수 있다. 일실시예에 따르면, 인터페이스(177)는, 예를 들면, HDMI(high definition multimedia interface), USB(universal serial bus) 인터페이스, SD카드 인터페이스, 또는 오디오 인터페이스를 포함할 수 있다.
연결 단자(178)는, 그를 통해서 전자 장치(101)가 외부 전자 장치(예: 전자 장치(102))와 물리적으로 연결될 수 있는 커넥터를 포함할 수 있다. 일실시예에 따르면, 연결 단자(178)는, 예를 들면, HDMI 커넥터, USB 커넥터, SD 카드 커넥터, 또는 오디오 커넥터(예: 헤드폰 커넥터)를 포함할 수 있다.
햅틱 모듈(179)은 전기적 신호를 사용자가 촉각 또는 운동 감각을 통해서 인지할 수 있는 기계적인 자극(예: 진동 또는 움직임) 또는 전기적인 자극으로 변환할 수 있다. 일실시예에 따르면, 햅틱 모듈(179)은, 예를 들면, 모터, 압전 소자, 또는 전기 자극 장치를 포함할 수 있다.
카메라 모듈(180)은 정지 영상 및 동영상을 촬영할 수 있다. 일실시예에 따르면, 카메라 모듈(180)은 하나 이상의 렌즈들, 이미지 센서들, 이미지 시그널 프로세서들, 또는 플래시들을 포함할 수 있다.
전력 관리 모듈(188)은 전자 장치(101)에 공급되는 전력을 관리할 수 있다. 일실시예에 따르면, 전력 관리 모듈(188)은, 예를 들면, PMIC(power management integrated circuit)의 적어도 일부로서 구현될 수 있다.
배터리(189)는 전자 장치(101)의 적어도 하나의 구성요소에 전력을 공급할 수 있다. 일실시예에 따르면, 배터리(189)는, 예를 들면, 재충전 불가능한 1차 전지, 재충전 가능한 2차 전지 또는 연료 전지를 포함할 수 있다.
통신 모듈(190)은 전자 장치(101)와 외부 전자 장치(예: 전자 장치(102), 전자 장치(104), 또는 서버(108)) 간의 직접(예: 유선) 통신 채널 또는 무선 통신 채널의 수립, 및 수립된 통신 채널을 통한 통신 수행을 지원할 수 있다. 통신 모듈(190)은 프로세서(120)(예: 어플리케이션 프로세서)와 독립적으로 운영되고, 직접(예: 유선) 통신 또는 무선 통신을 지원하는 하나 이상의 커뮤니케이션 프로세서를 포함할 수 있다. 일실시예에 따르면, 통신 모듈(190)은 무선 통신 모듈(192)(예: 셀룰러 통신 모듈, 근거리 무선 통신 모듈, 또는 GNSS(global navigation satellite system) 통신 모듈) 또는 유선 통신 모듈(194)(예: LAN(local area network) 통신 모듈, 또는 전력선 통신 모듈)을 포함할 수 있다. 이들 통신 모듈 중 해당하는 통신 모듈은 제 1 네트워크(198)(예: 블루투스, WiFi(wireless fidelity) direct 또는 IrDA(infrared data association)와 같은 근거리 통신 네트워크) 또는 제 2 네트워크(199)(예: 레거시 셀룰러 네트워크, 5G 네트워크, 차세대 통신 네트워크, 인터넷, 또는 컴퓨터 네트워크(예: LAN 또는 WAN)와 같은 원거리 통신 네트워크)를 통하여 외부의 전자 장치(104)와 통신할 수 있다. 이런 여러 종류의 통신 모듈들은 하나의 구성요소(예: 단일 칩)로 통합되거나, 또는 서로 별도의 복수의 구성요소들(예: 복수 칩들)로 구현될 수 있다. 무선 통신 모듈(192)은 가입자 식별 모듈(196)에 저장된 가입자 정보(예: 국제 모바일 가입자 식별자(IMSI))를 이용하여 제 1 네트워크(198) 또는 제 2 네트워크(199)와 같은 통신 네트워크 내에서 전자 장치(101)를 확인 또는 인증할 수 있다.
무선 통신 모듈(192)은 4G 네트워크 이후의 5G 네트워크 및 차세대 통신 기술, 예를 들어, NR 접속 기술(new radio access technology)을 지원할 수 있다. NR 접속 기술은 고용량 데이터의 고속 전송(eMBB(enhanced mobile broadband)), 단말 전력 최소화와 다수 단말의 접속(mMTC(massive machine type communications)), 또는 고신뢰도와 저지연(URLLC(ultra-reliable and low-latency communications))을 지원할 수 있다. 무선 통신 모듈(192)은, 예를 들어, 높은 데이터 전송률 달성을 위해, 고주파 대역(예: mmWave 대역)을 지원할 수 있다. 무선 통신 모듈(192)은 고주파 대역에서의 성능 확보를 위한 다양한 기술들, 예를 들어, 빔포밍(beamforming), 거대 배열 다중 입출력(massive MIMO(multiple-input and multiple-output)), 전차원 다중입출력(FD-MIMO: full dimensional MIMO), 어레이 안테나(array antenna), 아날로그 빔형성(analog beam-forming), 또는 대규모 안테나(large scale antenna)와 같은 기술들을 지원할 수 있다. 무선 통신 모듈(192)은 전자 장치(101), 외부 전자 장치(예: 전자 장치(104)) 또는 네트워크 시스템(예: 제 2 네트워크(199))에 규정되는 다양한 요구사항을 지원할 수 있다. 일실시예에 따르면, 무선 통신 모듈(192)은 eMBB 실현을 위한 Peak data rate(예: 20Gbps 이상), mMTC 실현을 위한 손실 Coverage(예: 164dB 이하), 또는 URLLC 실현을 위한 U-plane latency(예: 다운링크(DL) 및 업링크(UL) 각각 0.5ms 이하, 또는 라운드 트립 1ms 이하)를 지원할 수 있다.
안테나 모듈(197)은 신호 또는 전력을 외부(예: 외부의 전자 장치)로 송신하거나 외부로부터 수신할 수 있다. 일실시예에 따르면, 안테나 모듈(197)은 서브스트레이트(예: PCB) 위에 형성된 도전체 또는 도전성 패턴으로 이루어진 방사체를 포함하는 안테나를 포함할 수 있다. 일실시예에 따르면, 안테나 모듈(197)은 복수의 안테나들(예: 어레이 안테나)을 포함할 수 있다. 이런 경우, 제 1 네트워크(198) 또는 제 2 네트워크(199)와 같은 통신 네트워크에서 사용되는 통신 방식에 적합한 적어도 하나의 안테나가, 예를 들면, 통신 모듈(190)에 의하여 상기 복수의 안테나들로부터 선택될 수 있다. 신호 또는 전력은 상기 선택된 적어도 하나의 안테나를 통하여 통신 모듈(190)과 외부의 전자 장치 간에 송신되거나 수신될 수 있다. 어떤 실시예에 따르면, 방사체 이외에 다른 부품(예: RFIC(radio frequency integrated circuit))이 추가로 안테나 모듈(197)의 일부로 형성될 수 있다.
다양한 실시예에 따르면, 안테나 모듈(197)은 mmWave 안테나 모듈을 형성할 수 있다. 일실시예에 따르면, mmWave 안테나 모듈은 인쇄 회로 기판, 상기 인쇄 회로 기판의 제 1 면(예: 아래 면)에 또는 그에 인접하여 배치되고 지정된 고주파 대역(예: mmWave 대역)을 지원할 수 있는 RFIC, 및 상기 인쇄 회로 기판의 제 2 면(예: 윗 면 또는 측 면)에 또는 그에 인접하여 배치되고 상기 지정된 고주파 대역의 신호를 송신 또는 수신할 수 있는 복수의 안테나들(예: 어레이 안테나)을 포함할 수 있다.
상기 구성요소들 중 적어도 일부는 주변 기기들간 통신 방식(예: 버스, GPIO(general purpose input and output), SPI(serial peripheral interface), 또는 MIPI(mobile industry processor interface))을 통해 서로 연결되고 신호(예: 명령 또는 데이터)를 상호간에 교환할 수 있다.
일실시예에 따르면, 명령 또는 데이터는 제 2 네트워크(199)에 연결된 서버(108)를 통해서 전자 장치(101)와 외부의 전자 장치(104)간에 송신 또는 수신될 수 있다. 외부의 전자 장치(102, 또는 104) 각각은 전자 장치(101)와 동일한 또는 다른 종류의 장치일 수 있다. 일실시예에 따르면, 전자 장치(101)에서 실행되는 동작들의 전부 또는 일부는 외부의 전자 장치들(102, 104, 또는 108) 중 하나 이상의 외부의 전자 장치들에서 실행될 수 있다. 예를 들면, 전자 장치(101)가 어떤 기능이나 서비스를 자동으로, 또는 사용자 또는 다른 장치로부터의 요청에 반응하여 수행해야 할 경우에, 전자 장치(101)는 기능 또는 서비스를 자체적으로 실행시키는 대신에 또는 추가적으로, 하나 이상의 외부의 전자 장치들에게 그 기능 또는 그 서비스의 적어도 일부를 수행하라고 요청할 수 있다. 상기 요청을 수신한 하나 이상의 외부의 전자 장치들은 요청된 기능 또는 서비스의 적어도 일부, 또는 상기 요청과 관련된 추가 기능 또는 서비스를 실행하고, 그 실행의 결과를 전자 장치(101)로 전달할 수 있다. 전자 장치(101)는 상기 결과를, 그대로 또는 추가적으로 처리하여, 상기 요청에 대한 응답의 적어도 일부로서 제공할 수 있다. 이를 위하여, 예를 들면, 클라우드 컴퓨팅, 분산 컴퓨팅, 모바일 에지 컴퓨팅(MEC: mobile edge computing), 또는 클라이언트-서버 컴퓨팅 기술이 이용될 수 있다. 전자 장치(101)는, 예를 들어, 분산 컴퓨팅 또는 모바일 에지 컴퓨팅을 이용하여 초저지연 서비스를 제공할 수 있다. 다른 실시예에 있어서, 외부의 전자 장치(104)는 IoT(internet of things) 기기를 포함할 수 있다. 서버(108)는 기계 학습 및/또는 신경망을 이용한 지능형 서버일 수 있다. 일실시예에 따르면, 외부의 전자 장치(104) 또는 서버(108)는 제 2 네트워크(199) 내에 포함될 수 있다. 전자 장치(101)는 5G 통신 기술 및 IoT 관련 기술을 기반으로 지능형 서비스(예: 스마트 홈, 스마트 시티, 스마트 카, 또는 헬스 케어)에 적용될 수 있다.
서버(108)는 전자 장치(101)가 접속되며, 접속된 전자 장치(101)로 서비스를 제공할 수 있다. 또한, 서버(108)는 회원 가입 절차를 진행하여 그에 따라 회원으로 가입된 사용자의 각종 정보를 저장하여 관리하고, 서비스에 관련된 각종 구매 및 결제 기능을 제공할 수도 있다. 또한, 서버(108)는, 사용자 간에 서비스를 공유할 수 있도록, 복수의 전자 장치(101) 각각에서 실행되는 서비스 애플리케이션의 실행 데이터를 실시간으로 공유할 수도 있다. 이러한 서버(108)는 하드웨어적으로는 통상적인 웹 서버(Web Server) 또는 왑 서버(WAP Server)와 동일한 구성을 가질 수 있다. 그러나, 소프트웨어적으로는, C, C++, Java, Visual Basic, Visual C 등 여하한 언어를 통하여 구현되어 여러 가지 기능을 하는 프로그램 모듈(Module)을 포함할 수 있다. 또한, 서버(108)는 일반적으로 인터넷과 같은 개방형 컴퓨터 네트워크를 통하여 불특정 다수 클라이언트 및/또는 다른 서버와 연결되어 있고, 클라이언트 또는 다른 서버의 작업수행 요청을 접수하고 그에 대한 작업 결과를 도출하여 제공하는 컴퓨터 시스템 및 그를 위하여 설치되어 있는 컴퓨터 소프트웨어(서버 프로그램)를 뜻하는 것이다. 또한, 서버(108)는, 전술한 서버 프로그램 이외에도, 서버(108) 상에서 동작하는 일련의 응용 프로그램(Application Program)과 경우에 따라서는 내부 또는 외부에 구축되어 있는 각종 데이터베이스(DB: Database, 이하 "DB"라 칭함)를 포함하는 넓은 개념으로 이해되어야 할 것이다. 따라서, 서버(108)는, 회원 가입 정보와, 게임에 대한 각종 정보 및 데이터를 분류하여 DB에 저장시키고 관리하는데, 이러한 DB는 서버(108)의 내부 또는 외부에 구현될 수 있다. 또한, 서버(108)는, 일반적인 서버용 하드웨어에 도스(DOS), 윈도우(windows), 리눅스(Linux), 유닉스(UNIX), 매킨토시(Macintosh) 등의 운영체제에 따라 다양하게 제공되고 있는 서버 프로그램을 이용하여 구현될 수 있으며, 대표적인 것으로는 윈도우 환경에서 사용되는 웹사이트(Website), IIS(Internet Information Server)와 유닉스환경에서 사용되는 CERN, NCSA, APPACH등이 이용될 수 있다. 또한, 서버(108)는, 서비스의 사용자 인증이나 서비스와 관련된 구매 결제를 위한 인증 시스템 및 결제 시스템과 연동할 수도 있다.
제1 네트워크(198) 및 제2 네트워크(199)는 단말들 및 서버들과 같은 각각의 노드 상호 간에 정보 교환이 가능한 연결 구조 또는 서버(108)와 전자 장치들(101, 104)을 연결하는 망(Network)을 의미한다. 제1 네트워크(198) 및 제2 네트워크(199)는 인터넷(Internet), LAN(Local Area Network), Wireless LAN(Wireless Local Area Network), WAN(Wide Area Network), PAN(Personal Area Network), 3G, 4G, LTE, 5G, Wi-Fi 등이 포함되나 이에 한정되지는 않는다. 제1 네트워크(198) 및 제2 네트워크(199)는 LAN, WAN 등의 폐쇄형 제1 네트워크(198) 및 제2 네트워크(199)일 수도 있으나, 인터넷(Internet)과 같은 개방형인 것이 바람직하다. 인터넷은 TCP/IP 프로토콜 및 그 상위계층에 존재하는 여러 서비스, 즉 HTTP(HyperText Transfer Protocol), Telnet, FTP(File Transfer Protocol), DNS(Domain Name System), SMTP(Simple Mail Transfer Protocol), SNMP(Simple Network Management Protocol), NFS(Network File Service), NIS(Network Information Service)를 제공하는 전 세계적인 개방형 컴퓨터 제1 네트워크(198) 및 제2 네트워크(199) 구조를 의미한다.
데이터베이스는 데이터베이스 관리 프로그램(DBMS)을 이용하여 컴퓨터 시스템의 저장공간(하드디스크 또는 메모리)에 구현된 일반적인 데이터구조를 가질 수 가질 수 있다. 데이터베이스는 데이터의 검색(추출), 삭제, 편집, 추가 등을 자유롭게 행할 수 있는 데이터 저장형태를 가질 수 있다. 데이터베이스는 오라클(Oracle), 인포믹스(Infomix), 사이베이스(Sybase), DB2와 같은 관계형 데이타베이스 관리 시스템(RDBMS)이나, 겜스톤(Gemston), 오리온(Orion), O2 등과 같은 객체 지향 데이타베이스 관리 시스템(OODBMS) 및 엑셀론(Excelon), 타미노(Tamino), 세카이주(Sekaiju) 등의 XML 전용 데이터베이스(XML Native Database)를 이용하여 본 개시의 일 실시예의 목적에 맞게 구현될 수 있고, 자신의 기능을 달성하기 위하여 적당한 필드(Field) 또는 엘리먼트들을 가질 수 있다.
도 2는 일 실시예에 따른 프로그램의 구성을 나타내는 도면이다.
도 2은 다양한 실시예에 따른 프로그램(140)을 예시하는 블록도(200)이다. 일실시예에 따르면, 프로그램(140)은 전자 장치(101)의 하나 이상의 리소스들을 제어하기 위한 운영 체제(142), 미들웨어(144), 또는 상기 운영 체제(142)에서 실행 가능한 어플리케이션(146)을 포함할 수 있다. 운영 체제(142)는, 예를 들면, AndroidTM, iOSTM, WindowsTM, SymbianTM, TizenTM, 또는 BadaTM를 포함할 수 있다. 프로그램(140) 중 적어도 일부 프로그램은, 예를 들면, 제조 시에 전자 장치(101)에 프리로드되거나, 또는 사용자에 의해 사용 시 외부 전자 장치(예: 전자 장치(102 또는 104), 또는 서버(108))로부터 다운로드되거나 갱신 될 수 있다. 프로그램(140)의 전부 또는 일부는 뉴럴 네트워크를 포함할 수 있다.
운영 체제(142)는 전자 장치(101)의 하나 이상의 시스템 리소스들(예: 프로세스, 메모리, 또는 전원)의 관리(예: 할당 또는 회수)를 제어할 수 있다. 운영 체제(142)는, 추가적으로 또는 대체적으로, 전자 장치(101)의 다른 하드웨어 디바이스, 예를 들면, 입력 모듈(150), 음향 출력 모듈(155), 디스플레이 모듈(160), 오디오 모듈(170), 센서 모듈(176), 인터페이스(177), 햅틱 모듈(179), 카메라 모듈(180), 전력 관리 모듈(188), 배터리(189), 통신 모듈(190), 가입자 식별 모듈(196), 또는 안테나 모듈(197)을 구동하기 위한 하나 이상의 드라이버 프로그램들을 포함할 수 있다.
미들웨어(144)는 전자 장치(101)의 하나 이상의 리소스들로부터 제공되는 기능 또는 정보가 어플리케이션(146)에 의해 사용될 수 있도록 다양한 기능들을 어플리케이션(146)으로 제공할 수 있다. 미들웨어(144)는, 예를 들면, 어플리케이션 매니저(201), 윈도우 매니저(203), 멀티미디어 매니저(205), 리소스 매니저(207), 파워 매니저(209), 데이터베이스 매니저(211), 패키지 매니저(213), 커넥티비티 매니저(215), 노티피케이션 매니저(217), 로케이션 매니저(219), 그래픽 매니저(221), 시큐리티 매니저(223), 통화 매니저(225), 또는 음성 인식 매니저(227)를 포함할 수 있다.
어플리케이션 매니저(201)는, 예를 들면, 어플리케이션(146)의 생명 주기를 관리할 수 있다. 윈도우 매니저(203)는, 예를 들면, 화면에서 사용되는 하나 이상의 GUI 자원들을 관리할 수 있다. 멀티미디어 매니저(205)는, 예를 들면, 미디어 파일들의 재생에 필요한 하나 이상의 포맷들을 파악하고, 그 중 선택된 해당하는 포맷에 맞는 코덱을 이용하여 상기 미디어 파일들 중 해당하는 미디어 파일의 인코딩 또는 디코딩을 수행할 수 있다. 리소스 매니저(207)는, 예를 들면, 어플리케이션(146)의 소스 코드 또는 메모리(130)의 메모리의 공간을 관리할 수 있다. 파워 매니저(209)는, 예를 들면, 배터리(189)의 용량, 온도 또는 전원을 관리하고, 이 중 해당 정보를 이용하여 전자 장치(101)의 동작에 필요한 관련 정보를 결정 또는 제공할 수 있다. 일실시예에 따르면, 파워 매니저(209)는 전자 장치(101)의 바이오스(BIOS: basic input/output system)(미도시)와 연동할 수 있다.
데이터베이스 매니저(211)는, 예를 들면, 어플리케이션(146)에 의해 사용될 데이터베이스를 생성, 검색, 또는 변경할 수 있다. 패키지 매니저(213)는, 예를 들면, 패키지 파일의 형태로 배포되는 어플리케이션의 설치 또는 갱신을 관리할 수 있다. 커넥티비티 매니저(215)는, 예를 들면, 전자 장치(101)와 외부 전자 장치 간의 무선 연결 또는 직접 연결을 관리할 수 있다. 노티피케이션 매니저(217)는, 예를 들면, 지정된 이벤트(예: 착신 통화, 메시지, 또는 알람)의 발생을 사용자에게 알리기 위한 기능을 제공할 수 있다. 로케이션 매니저(219)는, 예를 들면, 전자 장치(101)의 위치 정보를 관리할 수 있다. 그래픽 매니저(221)는, 예를 들면, 사용자에게 제공될 하나 이상의 그래픽 효과들 또는 이와 관련된 사용자 인터페이스를 관리할 수 있다.
시큐리티 매니저(223)는, 예를 들면, 시스템 보안 또는 사용자 인증을 제공할 수 있다. 통화(telephony) 매니저(225)는, 예를 들면, 전자 장치(101)에 의해 제공되는 음성 통화 기능 또는 영상 통화 기능을 관리할 수 있다. 음성 인식 매니저(227)는, 예를 들면, 사용자의 음성 데이터를 서버(108)로 전송하고, 그 음성 데이터에 적어도 일부 기반하여 전자 장치(101)에서 수행될 기능에 대응하는 명령어(command), 또는 그 음성 데이터에 적어도 일부 기반하여 변환된 문자 데이터를 서버(108)로부터 수신할 수 있다. 일 실시예에 따르면, 미들웨어(244)는 동적으로 기존의 구성요소를 일부 삭제하거나 새로운 구성요소들을 추가할 수 있다. 일 실시예에 따르면, 미들웨어(144)의 적어도 일부는 운영 체제(142)의 일부로 포함되거나, 또는 운영 체제(142)와는 다른 별도의 소프트웨어로 구현될 수 있다.
어플리케이션(146)은, 예를 들면, 홈(251), 다이얼러(253), SMS/MMS(255), IM(instant message)(257), 브라우저(259), 카메라(261), 알람(263), 컨택트(265), 음성 인식(267), 이메일(269), 달력(271), 미디어 플레이어(273), 앨범(275), 와치(277), 헬스(279)(예: 운동량 또는 혈당과 같은 생체 정보를 측정), 또는 환경 정보(281)(예: 기압, 습도, 또는 온도 정보 측정) 어플리케이션을 포함할 수 있다. 일실시예에 따르면, 어플리케이션(146)은 전자 장치(101)와 외부 전자 장치 사이의 정보 교환을 지원할 수 있는 정보 교환 어플리케이션(미도시)을 더 포함할 수 있다. 정보 교환 어플리케이션은, 예를 들면, 외부 전자 장치로 지정된 정보 (예: 통화, 메시지, 또는 알람)를 전달하도록 설정된 노티피케이션 릴레이 어플리케이션, 또는 외부 전자 장치를 관리하도록 설정된 장치 관리 어플리케이션을 포함할 수 있다. 노티피케이션 릴레이 어플리케이션은, 예를 들면, 전자 장치(101)의 다른 어플리케이션(예: 이메일 어플리케이션(269))에서 발생된 지정된 이벤트(예: 메일 수신)에 대응하는 알림 정보를 외부 전자 장치로 전달할 수 있다. 추가적으로 또는 대체적으로, 노티피케이션 릴레이 어플리케이션은 외부 전자 장치로부터 알림 정보를 수신하여 전자 장치(101)의 사용자에게 제공할 수 있다.
장치 관리 어플리케이션은, 예를 들면, 전자 장치(101)와 통신하는 외부 전자 장치 또는 그 일부 구성 요소(예: 외부 전자장치의 디스플레이 모듈 또는 카메라 모듈)의 전원(예: 턴-온 또는 턴-오프) 또는 기능(예: 밝기, 해상도, 또는 포커스)을 제어할 수 있다. 장치 관리 어플리케이션은, 추가적으로 또는 대체적으로, 외부 전자 장치에서 동작하는 어플리케이션의 설치, 삭제, 또는 갱신을 지원할 수 있다.
도 3은 일 실시예에 따른 데이터 보안 시스템의 전체 구성을 도시한 도면이다.
피싱의 방식은 단말기(320)의 운영체제에 따라 다르게 적용될 수 있다. 안드로이드 기반 모바일 기기의 보급률의 증가로 피싱의 패턴이 안드로이드 기반의 모바일 기기로 확장되고 있다. 모바일 기기는 어플리케이션을 통해 사용자에게 다양한 정보를 제공 및 수집한다. 피싱 가해자는 해당 기능을 사용하여 피해자에게 어플리케이션 설치를 유도하고 어플리케이션을 통해 피해자의 사진, 연락처 등 다양한 데이터를 무단으로 수집하여 금융 범죄에 활용하고 있다.
단말기(320)의 운영체제가 안드로이드인 경우, C&C 서버(350)는 안드로이드 어플리케이션 패키지 파일을 실행하도록 사용자를 유도할 수 있다. 사용자가 안드로이드 어플리케이션 패키지 파일을 실행하게 되면, 단말기(320)는 안드로이드 어플리케이션 패키지 파일의 인스트럭션에 의해 C&C 서버(350)로 다양한 데이터를 전송할 수 있다. 여기서, 가해자가 유포한 어플리케이션 파일은 안드로이드 기반의 안드로이드 어플리케이션 패키지 파일이고, 사용자가 안드로이드 어플리케이션 패키지 파일을 실행하게 되면 안드로이드 어플리케이션 패키지 파일에 의해 가해자의 C&C 서버(350)로 피해자의 데이터를 유출하는 방식이 사용되고 있다.
안드로이드 어플리케이션 패키지(Android Application Package, APK) 파일은 안드로이드 운영 체제 또는 안드로이드를 기반으로 하는 다른 운영 체제에 의해 사용되는 형식의 파일로서, 모바일 어플리케이션, 모바일 게임 또는 미들웨어와 같은 안드로이드 운영 체제 상에서 실행될 수 있는 어플리케이션의 배포 또는 설치를 위한 형식의 파일이다.
C&C 서버(350)는 피해자의 단말기(320)로부터 데이터를 유출하는 서버를 의미한다. C&C 서버란 일반적으로 감염된 좀비 PC가 해커가 원하는 공격을 수행하도록 원격지에서 명령을 내리거나 악성 코드를 제어하는 서버를 의미할 수 있다. 예를 들어, C&C 서버(350)는 감염된 PC 로 악성 코드를 유포시키거나, 스팸 전송 또는 DDos 공격 등을 수행할 수 있다.
일 실시예에 따르면, 데이터 보안 시스템은 다양한 보안 기법을 이용하여 C&C 서버(350)을 탐지할 수 있다. 데이터 보안 시스템은 C&C 서버(350)의 IP 주소를 탐지할 수 있다. 데이터 보안 시스템은 피싱 어플리케이션에 의해 데이터가 유출되는 경로를 추적할 수 있다. 데이터 보안 시스템은 피싱 어플리케이션을 통해 통신을 하고 있는 C&C 서버(350)의 주소를 추적함으로써 가해자를 특정할 수 있다. 데이터 보안 시스템은 탐지 결과를 기초로 단말기(320)로부터 C&C 서버(350)로 데이터 패킷이 유출되는 것을 방지할 수 있다.
이를 위하여, 도 3을 참조하면, 데이터 보안 시스템은 보안 서버(310), 네트워크(340), 단말기(320)를 포함할 수 있다. 데이터 보안 시스템은 하나 이상의 외부의 서버(331, 332)를 더 포함할 수 있다.
안드로이드 어플리케이션 패키지 파일을 실행할 때 안드로이드 어플리케이션 패키지 파일과 C&C 서버(350) 간에 통신이 발생할 수 있다. 단말기(320)는 안드로이드 어플리케이션 패키지 파일(Android application package file, APK)의 동작 신호를 감지할 수 있다. 동작 신호에 반응하여, 단말기(320)는 안드로이드 어플리케이션 패키지 파일의 전송 요청에 의해 외부로 전송되는 단말기에 저장된 데이터 패킷을 보안 서버로 전송할 수 있다.
보안 서버(310)는 안드로이드 어플리케이션 패키지 파일에 의해 C&C 서버(350)로 전송 요청된 데이터 패킷을 분석할 수 있다. 보안 서버(310)는 분석을 통해 통신하고 있는 모든 패킷의 IP 주소를 수집할 수 있다. 보안 서버(310)는 수집된 IP 주소에서 C&C 서버(350)의 IP 주소를 특정할 수 있다.
보안 서버(310)는 안드로이드 어플리케이션 패키지 파일에 대한 실행 명령이 발생한 시각으로부터 짧은 시각, 예를 들어, 임계 시간 내에 전송되는 모든 데이터 패킷을 수집할 수 있다. 보안 서버(310)는 안드로이드 어플리케이션 패키지 파일을 실행하는 순간의 시각을 기초로 데이터 패킷을 분석함으로써 목적지의 IP 주소를 찾을 수 있다. 보통 안드로이드 어플리케이션 패키지 파일에 대한 실행 명령 이후에 짧은 시간에 데이터 누출이 발생하므로, 보안 서버(310)는 정확성을 유지하면서도 검사 대상을 줄일 수 있다.
보안 서버(310)는 데이터 패킷의 상관관계를 분석하고, 데이터 패킷의 상관관계 인스턴트 정보를 획득할 수 있다. 여기서, 상관관계는 데이터 패킷의 목적지 주소들 간의 관계를 나타낼 수 있다. 예를 들어, 데이터 패킷의 제1 주소 요청 이후 해당 데이터 패킷에 대해 연달아 제2 주소 요청이 있는 경우, 요청 주소 간의 상관 관계 인스턴트 정보가 획득될 수 있다. 상관 관계 인스턴트 정보는 현재 검사 대상이 되는 데이터 패킷의 상관관계 정보를 의미하며, 상관관계 등록 정보는 미리 등록된 상관관계 정보를 의미할 수 있다.
보안 서버(310)는 알려진 IP 주소 또는 URI를 기반으로 C&C 서버(350)에 대한 통신을 차단할 수 있다. 예를 들어, 1.1.1.2인 IP 주소가 C&C 서버(350)의 IP 주소인 것으로 알려진 경우, 보안 서버(310)는 1.1.1.2인 IP 주소를 차단할 수 있다.
데이터 보안 시스템은 외부의 서버(331, 332)와 함께 복수의 C&C 서버(350)의 IP 주소에 대한 데이터베이스를 확보하고 복수의 C&C 서버(350) 간의 상관관계를 분석하여 분석 결과를 공유할 수 있다. 데이터 보안 시스템은 자체 또는 다른 보안 업체와 협력하여 글로벌 위협 인텔리전스(Global Threat Intelligence) 정보를 구축하여 사용할 수 있다.
보안 서버(310)는 보안 서버(310)의 내부 데이터 베이스 및 하나 이상의 외부 서버의 외부 데이터 베이스를 가상화하여 가상화 데이터 베이스를 생성할 수 있다. 보안 서버(310)의 가상화부는 보안 서버(310)의 내부 데이터 베이스에 저장된 상관관계 등록 정보 및 외부 데이터 베이스에 저장된 상관관계 등록 정보에 대한 상관관계 하이어라키 정보를 생성할 수 있다. 상관관계 하이어라키 정보는 복수의 상관관계에 대한 위계 관계를 나타낼 수 있다. 보안 서버(310) 및 외부의 서버(331, 332)는 가상화 데이터 베이스를 공유할 수 있다.
보안 서버(310)는 데이터 패킷의 상관관계 인스턴트 정보에 매칭되는 상관관계 등록 정보를 보안 서버(310)의 가상화 데이터베이스에서 검색할 수 있다. 보안 서버(310)의 매칭부는 상관관계 하이어라키 정보를 기초로 상관관계 인스턴트 정보에 매칭되는 상관관계 등록 정보를 검색할 수 있다. 상관관계 인스턴트 정보와 매칭되는 상관관계 등록 정보가 검색된 경우에, 보안 서버(310)는 전송 차단 요청 신호를 단말기(320)로 전송할 수 있다.
데이터 보안 시스템은 알려지지 않은 C&C 서버(350)에 대해서는 C&C 서버(350)로 전송되는 데이터 패킷의 페이로드 분석을 수행할 수 있다. 이하에서는, 데이터 패킷의 페이로드를 분석하기 위한 과정이 서술된다.
상관관계 인스턴트 정보와 매칭되는 상관관계 등록 정보가 검색되지 않은 경우에, 단말기(320)는 데이터 패킷의 통신 관리 정보를 기초로 데이터 패킷을 네트워크로 전송할지 여부를 결정할 수 있다. 단말기(320)는 데이터 패킷의 통신 관리 정보를 기초로 데이터 패킷을 단말기의 스위치로 전달할지 여부를 결정할 수 있다. 통신 관리 정보는 데이터 패킷의 통신의 방식에 관한 정보를 나타낸다.
예를 들어, 통신 관리 정보는 TCP 통신인지 SSL 통신인지에 관한 정보를 포함할 수 있다. 데이터 보안 시스템은 C&C 서버(350)와의 통신이 TCP 통신인지 SSL 통신인지 확인할 수 있다. C&C 서버(350)와의 통신이 SSL 통신인 경우에, 데이터 보안 시스템은 SSL 통신을 통해 전송되는 데이터 패킷의 페이로드를 SSL 인스펙션(SSL inspection) 기법을 통해 분석할 수 있다. 데이터 보안 시스템은 SSL 통신이 관리되는 SSL 통신인지 여부를 확인할 수 있다. 데이터 보안 시스템은 관리되지 않은 SSL 통신에 대해 정책적으로 미연에 통신을 차단할 수 있다.
데이터 보안 시스템은 전송되는 모든 데이터 패킷에 대해 단계적으로 필터링을 수행할 수 있다. 데이터 보안 시스템은 스위치를 통해 모든 데이터 패킷에 대해 1차적인 필터링을 수행할 수 있다. 데이터 보안 시스템은 필터링 결과 의심되는 데이터 패킷에 대해 페이로드 분석을 수행할 수 있다. 안전한 것으로 판단되는 데이터 패킷에 대해서는 페이로드 분석을 생략할 수 있다. 이처럼, 데이터 보안 시스템은 페이로드 분석보다 간단한 패턴 분석을 통해 페이로드 분석을 수행할 데이터 패킷을 선별함으로써 검사 속도와 정확도를 함께 높일 수 있다.
단말기(320)의 스위치는 데이터 패킷에 대해 패턴 분석을 수행할 수 있다. 단말기(320)는 C&C 서버(350)의 통신 채널의 트래픽의 특성 정보를 학습하여 C&C 서버(350)를 탐지할 수 있다. 예를 들어, 단말기(320)의 스위치는 C&C 서버(350)의 커넥션 정보들에 대해 패턴 분석을 수행할 수 있다. 단말기(320)는 패턴 분석을 통해 통신 세션 내의 TCP 플래그 및 포트 값의 분포(Deviation)을 파악할 수 있다. 데이터 보안 시스템은 분석 결과를 통해 C&C 서버(350)와 일반 서버를 구별할 수 있다.
예를 들어, 단말기(320)는 SYN-NOP-RST-FIN 등의 순차적인 통신 패턴을 보이는 통신 세션에 대응하는 서버를 일반 서버로 구분하고, 연속된 짧은 SYN-NOP-FIN의 통신 특성을 보여주며 특정한 언노운 포트(Unknown Port)를 주로 사용하는 서버를 C&C 서버(350)로 구분할 수 있다.
단말기(320)의 스위치는 패턴 분석의 결과를 기초로 데이터 패킷을 네트워크로 전송할지 여부를 결정할 수 있다. 단말기(320)의 스위치는 패턴 분석의 결과를 기초로 데이터 패킷을 단말기의 미러링부로 전달할지 여부를 결정할 수 있다.
단말기(320)의 미러링부는 데이터 패킷을 복사하여 미러 패킷을 생성할 수 있다. 단말기(320)의 페이로드 분석부는 미러 패킷의 페이로드를 분석할 수 있다. 단말기(320)의 페이로드 분석부는 페이로드의 분석의 결과를 기초로 미러 패킷을 네트워크로 전송할지 여부를 결정할 수 있다.
페이로드 분석부는 보안 정책에 의해 단말기(320)의 다른 구성과 고립될 수 있다. 단말기(320)는 데이터 패킷과 동일한 미러 패킷을 페이로드 분석부에서 분석함으로써 분석 과정에서 발생할 수 있는 문제가 단말기(320)의 다른 구성에 영향을 미치지 않도록 제어할 수 있다.
데이터 보안 시스템은 비정상 행위 기반 분석 기법을 사용하여 데이터 패킷의 페이로드를 분석할 수 있다. 이하에서는, 페이로드 분석 모델을 이용하여 분석하는 과정에 대해 서술된다.
단말기(320)의 페이로드 분석부는 페이로드 분석 모델을 이용하여 미러 패킷으로부터 비정상성 특징 벡터를 출력할 수 있다. 여기서, 페이로드 분석 모델은 프로토콜 분석부, 사용자 행위 분석부, 패킷 분석부, 사용자 정의 비정상성 분석부 및 비정상성 특징 분석부를 포함할 수 있다. 페이로드 분석 모델을 구성하는 프로토콜 분석부, 사용자 행위 분석부, 패킷 분석부, 사용자 정의 비정상성 분석부 및 비정상성 특징 분석부 각각은 뉴럴 네트워크로 구성되며, 다량의 학습 데이터를 이용하여 미리 학습될 수 있다.
페이로드 분석 모델을 구성하는 뉴럴 네트워크(neural network), 일반적으로 "노드"라 지칭될 수 있는 상호 연결된 계산 단위들의 집합으로 구성될 수 있다. 이러한 "노드"들은, "뉴런(neuron)"들로 지칭될 수도 있다. 뉴럴 네트워크는, 적어도 둘 이상의 노드들을 포함하여 구성된다. 뉴럴 네트워크들을 구성하는 노드(또는 뉴런)들은 하나 이상의 "링크"에 의해 상호 연결될 수 있다.
뉴럴 네트워크 내에서, 링크를 통해 연결된 둘 이상의 노드들은 상대적으로 입력 노드 및 출력 노드의 관계를 형성할 수 있다. 입력 노드 및 출력 노드의 개념은 상대적인 것으로서, 하나의 노드에 대하여 출력 노드 관계에 있는 임의의 노드는 다른 노드와의 관계에서 입력 노드 관계에 있을 수 있으며, 그 역도 성립할 수 있다. 전술한 바와 같이, 입력 노드 대 출력 노드 관계는 링크를 중심으로 생성될 수 있다. 하나의 입력 노드에 하나 이상의 출력 노드가 링크를 통해 연결될 수 있으며, 그 역도 성립할 수 있다.
하나의 링크를 통해 연결된 입력 노드 및 출력 노드 관계에서, 출력 노드는 입력 노드에 입력된 데이터에 기초하여 그 값이 결정될 수 있다. 여기서, 입력 노드와 출력 노드를 상호 연결하는 노드는 가중치를 가질 수 있다. 가중치는 가변적일 수 있으며, 뉴럴 네트워크가 원하는 기능을 수행하기 위해, 사용자 또는 알고리즘에 의해 가변될 수 있다. 예를 들어, 하나의 출력 노드에 하나 이상의 입력 노드가 각각의 링크에 의해 상호 연결된 경우, 출력 노드는 상기 출력 노드와 연결된 입력 노드들에 입력된 값들 및 각각의 입력 노드들에 대응하는 링크에 설정된 가중치에 기초하여 출력 노드 값을 결정할 수 있다.
전술한 바와 같이, 뉴럴 네트워크는, 둘 이상의 노드들이 하나 이상의 링크를 통해 상호연결 되어 뉴럴 네트워크 내에서 입력 노드 및 출력 노드 관계를 형성한다. 뉴럴 네트워크 내에서 노드들과 링크들의 개수 및 노드들과 링크들 사이의 연관관계, 링크들 각각에 부여된 가중치의 값에 따라, 신경망 네트워크의 특성이 결정될 수 있다. 예를 들어, 동일한 개수의 노드 및 링크들이 존재하고, 링크들 사이의 가중치 값이 상이한 두 신경망 네트워크가 존재하는 경우, 두 개의 신경망 네트워크들은 서로 상이한 것으로 인식될 수 있다.
프로토콜 분석부는 다양한 네트워크 레이어에 따라 네트워크/프로토콜 정보에 대하여 각각의 패킷을 분석할 수 있다. 예를 들어, 프로토콜 분석부는 네트워크 인터페이스 컨트롤러 정보, 미디어 액세스 컨트롤 주소, 도메인 네임 서버/서비스 정보, 프록시 정보, 데이터의 부호화/복호화 상태 정보, 데이터가 IPv6 또는 IPv4인지, 다이나믹 호스트 구성 정보, 윈도우 인터넷 네임 서비스 정보 등을 분석할 수 있다.
사용자 행위 분석부는 사용자 행위 정보를 상기 분석 결과에 추가할 수 있다. 예를 들어, 사용자 행위 분석 모듈은 사용자 역할/그룹, 위치/지오그래피, 사용된 장치, 사용된 어플리케이션, 평균 세션 길이, 데이터 트래픽 패턴, 업로드/다운로드 데이터의 평균 양, 과거 보안 이슈 등을 분석할 수 있다.
패킷 분석부는 DPI 기술을 구현하는 패킷 관련 분석 정보를 추가로 분석할 수 있다. 예를 들어, 패킷 분석부는 파일 포맷/표준에 컨텐츠가 매칭되는지, 재전송 횟수, 불필요 패킷의 수 등을 분석할 수 있다. 예를 들어, 패킷 분석부는 재전송 횟수가 높은 데이터 패킷에 대해 데이터 누출 시도의 지표로 판단할 수 있다. 불필요한 패킷의 수가 많은 경우도 데이터 누출 시도의 지표로 볼 수 있으며, 불필요한 패킷들 사이에 개인 정보를 감추고 훔친 데이터를 해커 단에서 재조합함으로써 데이터가 누출될 수 있다. 패킷 분석부는 공백이 전혀 없는 매우 조밀한 패킷 헤더의 경우도 비정상으로 판단할 수 있다. 이는 TCP/UDP/IP 헤더에 데이터를 감추려는 의도로 데이터를 조작하는 신호로 볼 수 있다.
사용자 정의 비정상성 분석부는 데이터 패킷을 분석하여 분석 결과가 사용자에 의해 정의된 비정상성에 대응하는지 여부를 판단할 수 있다. 이를 통해, 사용자에 의해 레이블링된 알려지지 않은 보안/성능 이슈가 검출될 수 있다.
단말기의 페이로드 분석부는 프로토콜 분석부에 미러 패킷의 프로토콜 정보를 입력하여 프로토콜 분석 벡터를 출력할 수 있다. 단말기의 페이로드 분석부는 사용자 행위 분석부에 데이터 패킷과 관련된 사용자 행위 정보를 입력하여 사용자 행위 분석 벡터를 출력 할 수 있다. 단말기의 페이로드 분석부는 패킷 분석부에 미러 패킷의 페이로드를 입력하여 패킷 분석 벡터를 출력할 수 있다. 단말기의 페이로드 분석부는 사용자 정의 비정상성 분석부에 미러 패킷의 페이로드를 입력하여 사용자 정의 비정상성 분석 벡터를 출력할 수 있다.
단말기의 페이로드 분석부는 프로토콜 분석 벡터, 사용자 행위 분석 벡터, 패킷 분석 벡터 및 사용자 정의 비정상성 분석 벡터에 콘케티네이션(concatenation)을 수행하여 결합 벡터를 출력할 수 있다. 단말기의 페이로드 분석부는 결합 벡터를 비정상성 특징 분석부에 입력하여 비정상성 특징 벡터를 출력 할수 있다.
일 실시예에 따르면, 단말기의 페이로드 분석부는 비정상성 특징 벡터가 다차원 공간의 중심 그룹 입체 모델에 포함되는지 여부를 판단할 수 있다. 중심 그룹 입체 모델은 성능 또는 보안 기준에 따라 분석된 데이터 패킷이 적절하게 분류되도록 도와주는 모든 관련 데이터를 통해 획득될 수 있다. 중심 그룹 입체 모델은 정상인 것으로 판단되는 임계 밀도 이상의 복수의 정상 특징 벡터를 포함하는 중심 그룹으로부터 법선 방향으로 최소 경계 거리만큼 떨어진 다차원 공간의 입체 모델을 나타낼 수 있다.
단말기의 페이로드 분석부는 비정상성 특징 벡터를 중심 그룹 입체 모델이 포함된 다차원 공간에 배치할 수 있다. 비정상성 특징 벡터는 프로토콜 분석, 사용자 행위 분석, 패킷 분석 및 하나 이상의 사용자 정의 비정상성 분석 축을 기준으로 다차원 공간에 배치될 수 있다.
데이터 보안 시스템은 최소 경계 거리의 조정을 통해서 보안 수준이 조정될 수 있다. 예를 들어, 데이터 보안 시스템은 높은 보안 수준을 채택하기 위해서 최소 경계 거리를 작게 설정할 수 있고, 낮은 보안 수준을 채택하기 위해서 최소 경계 거리를 크게 설정할 수 있다.
다른 실시예에 따르면, 페이로드 분석부는 중심 그룹 입체 모델에 속하는 벡터들을 정상성의 대표 샘플로 보고, 중심 그룹 입체 모델에 속하는 복수의 정상 특징 벡터 각각과 검사 대상이 되는 비정상성 특징 벡터 간의 거리를 계산할 수 있다. 페이로드 분석부는 각각의 거리를 종합하여 최종 거리를 계산하고, 최종 거리와 임계 거리를 비교하여 비정상성 여부를 판단할 수도 있다.
비정상성 특징 벡터가 다차원 공간의 중심 그룹 입체 모델에 포함되는 경우에, 단말기의 페이로드 분석부는 페이로드의 분석의 결과를 기초로 미러 패킷을 네트워크로 전송할 수 있다.
비정상성 특징 벡터가 다차원 공간의 중심 그룹 입체 모델에 포함되지 않는 경우에, 단말기의 페이로드 분석부는 비정상성 특징 벡터를 기초로 중심 그룹 입체 모델을 갱신할 수 있다. 단말기의 페이로드 분석부는 비정상성 특징 벡터에서 가장 가까운 정상 특징 벡터를 결정할 수 있다. 단말기의 페이로드 분석부는 결정된 정상 특징 벡터를 향하여 다차원 공간의 입체 모델의 경계를 조정할 수 있다. 예를 들어, 비정상성 특징 벡터로부터 결정된 정상 특징 벡터를 향하여, 원래의 경계로부터 비정상성 특징 벡터 까지의 거리가 원래의 경계로부터 정상 특징 벡터까지의 거리를 기초로, 경계를 조정할 수 있다.
단말기의 페이로드 분석부는 페이로드의 분석의 결과를 기초로 미러 패킷을 시뮬레이션 수행부로 전달할지 여부를 결정할 수 있다. 시뮬레이션 수행부는 미러 패킷을 단말기의 가상 머신에 입력하여 시뮬레이션을 수행할 수 있다.
데이터 보안 시스템은 전송되는 데이터 패킷을 가상 머신에서 실제로 실행해 볼 수 있다. 데이터 보안 시스템은 실행 결과를 기초로 해당 데이터 패킷에 포함된 정보가 단말기(320) 또는 단말기(320)의 사용자에게 중요한 영향을 미칠 수 있는지 판단할 수 있다. 데이터 패킷의 전송이 APT 공격으로 판단된 경우, 데이터 보안 시스템은 데이터 패킷의 전송을 차단할 수 있다.
단말기의 스위치는 시뮬레이션의 결과를 기초로 단말기의 트랜시버로 데이터 패킷을 전달할지 여부를 결정할 수 있다. 시뮬레이션의 결과가 비정상성을 나타내는 경우에, 시뮬레이션 수행부는 스위치로 데이터 패킷의 전송을 차단하는 명령을 전달할 수 있다. 시뮬레이션의 결과가 정상성을 나타내는 경우에, 시뮬레이션 수행부는 스위치로 데이터 패킷의 전송을 허용하는 명령을 전달할 수 있다.
도 4는 일 실시예에 따른 보안 서버(310)의 구성을 도시한 도면이다.
일 실시예에 따르면, 보안 서버(400)는 가상화부(401), 상관관계 분석부(402), 매칭부(403) 및 트랜시버(404)를 포함할 수 있다.
상관관계 분석부(402)는 데이터 패킷의 상관관계를 분석할 수 있다. 상관관계 분석부(402)는 분석 결과를 기초로 데이터 패킷의 상관관계 인스턴트 정보를 획득할 수 있다.
매칭부(403)는 데이터 패킷의 상관관계 인스턴트 정보에 매칭되는 상관관계 등록 정보를 보안 서버(310)의 가상화 데이터베이스에서 검색할 수 있다.
상관관계 인스턴트 정보와 매칭되는 상관관계 등록 정보가 검색된 경우에, 트랜시버(404)는 전송 차단 요청 신호를 단말기의 트랜시버로 전송할 수 있다.
상관관계 인스턴트 정보와 매칭되는 상관관계 등록 정보가 검색되지 않은 경우에, 트랜시버(404)는 전송 허용 신호를 단말기의 트랜시버로 전송할 수 있다.
가상화부(401)는 보안 서버(400)의 내부 데이터 베이스 및 하나 이상의 외부 서버의 외부 데이터 베이스를 가상화하여 가상화 데이터 베이스를 생성할 수 있다.
가상화부(401)는 보안 서버(310)의 내부 데이터 베이스에 저장된 상관관계 등록 정보 및 외부 데이터 베이스에 저장된 상관관계 등록 정보에 대한 상관관계 하이어라키 정보를 생성할 수 있다.
매칭부(403)는 상관관계 하이어라키 정보를 기초로 상관관계 인스턴트 정보에 매칭되는 상관관계 등록 정보를 검색할 수 있다.
도 5는 일 실시예에 따른 단말기의 구성을 도시한 도면이다.
일 실시예에 따르면, 단말기(500)는 이벤트 감지부(501), 제어부(502), 스위치(503), 트랜시버(504), 미러링부(505), 페이로드 분석부(506), 시뮬레이션 수행부(507) 및 프로세서(508)을 포함할 수 있다.
이벤트 감지부(501)는 안드로이드 어플리케이션 패키지 파일(Android application package file, APK)의 동작 신호를 감지할 수 있다.
동작 신호에 반응하여, 트랜시버(504)는 안드로이드 어플리케이션 패키지 파일의 전송 요청에 의해 외부로 전송되는 단말기에 저장된 데이터 패킷을 보안 서버로 전송할 수 있다.
보안 서버(400)에서 상관관계 인스턴트 정보와 매칭되는 상관관계 등록 정보가 검색되지 않은 경우에, 단말기(500)의 제어부(502)는 데이터 패킷의 통신 관리 정보를 기초로 데이터 패킷을 네트워크로 전송할지 여부를 결정할 수 있다.
상관관계 인스턴트 정보와 매칭되는 상관관계 등록 정보가 검색되지 않은 경우에, 제어부(500)는 데이터 패킷의 통신 관리 정보를 기초로 데이터 패킷을 단말기의 스위치로 전달할지 여부를 결정할 수 있다.
스위치(503)는 데이터 패킷에 대해 패턴 분석을 수행할 수 있다. 스위치(503)는 패턴 분석의 결과를 기초로 데이터 패킷을 네트워크로 전송할지 여부를 결정할 수 있다. 네트워크로 전송할지 여부를 결정하기 위하여, 스위치(503)는 패턴 분석의 결과를 기초로 데이터 패킷을 단말기의 미러링부로 전달할지 여부를 결정할 수 있다.
패턴 분석 결과가 정상으로 판단된 경우에, 미러링부(505)는 데이터 패킷을 복사하여 미러 패킷을 생성할 수 있다. 페이로드 분석부(506)는 미러 패킷의 페이로드를 분석할 수 있다. 페이로드 분석부(506)는 페이로드의 분석의 결과를 기초로 미러 패킷을 네트워크로 전송할지 여부를 결정할 수 있다.
미러 패킷을 네트워크로 전송할지 여부를 결정하기 위하여, 페이로드 분석부(506)는 페이로드의 분석의 결과를 기초로 미러 패킷을 시뮬레이션 수행부(507)로 전달할지 여부를 결정할 수 있다.
시뮬레이션 수행부(507)는 미러 패킷을 단말기의 가상 머신에 입력하여 시뮬레이션을 수행할 수 있다. 스위치(503)는 시뮬레이션의 결과를 기초로 단말기의 트랜시버로 데이터 패킷을 전달할지 여부를 결정할 수 있다.
도 6은 일 실시예에 따른 데이터 보안 방법의 일례를 나타내는 흐름도이다.
도 6을 참고하면, 단말기(500)는 이벤트 감지부(501), 제어부(502), 스위치(503), 트랜시버(504), 미러링부(505), 페이로드 분석부(506), 시뮬레이션 수행부(507) 및 프로세서(508)을 포함할 수 있다. 보안 서버(400)는 가상화부(401), 상관관계 분석부(402), 매칭부(403) 및 트랜시버(404)를 포함할 수 있다.
동작(601)에서, 이벤트 감지부(501)는 단말기(500)의 안드로이드 어플리케이션 패키지 파일에 대한 실행 명령에 대응하여 안드로이드 어플리케이션 패키지 파일의 동작 신호를 감지할 수 있다. 이벤트 감지부(501)는 안드로이드 어플리케이션 패키지 파일로부터 생성되는 단말기(500) 내부의 데이터 패킷에 대한 데이터 전송 요청 신호를 감지할 수 있다.
동작(602)에서, 이벤트 감지부(501)는 동작 신호의 감지에 대응하여 데이터 패킷 전송 요청 신호를 트랜시버(504)로 전송할 수 있다. 트랜시버(504)는 데이터 패킷을 보안 서버(400)로 전송할 수 있다. 보안 서버(400)의 트랜시버(404)는 데이터 패킷을 상관관계 분석부(402)로 전송할 수 있다.
동작(605)에서, 상관관계 분석부(402)는 데이터 패킷의 상관관계를 분석하고, 데이터 패킷의 상관관계 인스턴트 정보를 획득할 수 있다. 여기서, 상관관계는 데이터 패킷의 목적지 주소들 간의 관계를 나타낼 수 있다.
동작(606)에서, 상관관계 분석부(402)는 상관관계 인스턴트 정보를 매칭부(403)로 전달할 수 있다.
동작(607)에서, 매칭부(403)는 상관관계 인스턴트 정보와 매칭되는 상관관계 등록 정보를 검색할 수 있다.
동작(608)에서, 매칭되는 상관관계 등록 정보가 존재하는 경우에, 상관관계 분석부(402)는 전송 차단 요청 신호를 트랜시버(404)로 전달할 수 있다.
동작(609)에서, 트랜시버(404)는 트랜시버(504)로 전송 차단 요청 신호를 전송할 수 있다. 트랜시버(504)는 전송 차단 요청 신호를 제어부(502)로 전달할 수 있다.
동작(610)에서, 제어부(502)는 전송 차단 요청 신호에 반응하여 데이터 패킷의 전송을 차단할 수 있다.
동작(638)에서, 매칭되는 상관관계 등록 정보가 존재하지 않는 경우에, 상관관계 분석부(402)는 전송 허용 신호를 트랜시버(404)로 전달할 수 있다.
동작(639)에서, 트랜시버(404)는 트랜시버(504)로 전송 허용 신호를 전송할 수 있다. 트랜시버(504)는 전송 허용 신호를 스위치(503)로 전달할 수 있다.
동작(611)에서, 스위치(503)는 데이터 패킷에 대해 패턴 분석을 수행할 수 있다. 패턴 분석의 결과가 비정상인 것으로 판단된 경우에, 스위치(503)는 제어부(502)로 전송 차단 신호를 전달할 수 있다.
동작(612)에서, 제어부(502)는 전송 차단 신호에 반응하여 데이터 패킷의 전송을 차단할 수 있다.
패턴 분석의 결과가 정상인 것으로 판단된 경우에, 스위치(503)는 미러링부(505)로 데이터 패킷을 전달할 수 있다.
동작(613)에서, 미러링부(505)는 데이터 패킷에 대응하는 미러 패킷을 생성할 수 있다.
동작(614)에서, 미러링부(505)는 미러 패킷의 페이로드를 페이로드 분석부(506)로 전달할 수 있다.
동작(615)에서, 페이로드 분석부(506)는 미러 패킷의 페이로드를 분석할 수 있다. 페이로드의 분석 결과가 비정상이 것으로 판단된 경우, 페이로드 분석부(506)는 제어부(502)로 전송 차단 요청 신호를 전달할 수 있다.
동작(616)에서, 제어부(502)는 전송 차단 요청 신호에 반응하여 데이터 패킷의 전송을 차단할 수 있다.
페이로드의 분석 결과가 정상인 것으로 판단된 경우, 페이로드 분석부(506)는 시뮬레이션 수행부(507)로 미러 패킷을 전달할 수 있다.
동작(617)에서, 시뮬레이션 수행부(507)는 미러 패킷을 이용하여 시뮬레이션을 수행할 수 있다. 시뮬레이션 수행부(507)은 복수의 미러 패킷을 결합하여 단말기(500)의 운영 체제를 모방한 가상 머신에서 실행시켜 보거나, 조합된 미러 패킷에 중요한 개인 정보 등이 있는지 판단할 수 있다. 시뮬레이션 수행부(507)는 시뮬레이션의 수행 결과가 정상인지 비정상인지를 판단할 수 있다.
시뮬레이션의 수행 결과가 비정상인 경우, 시뮬레이션 수행부(507)는 제어부(502)로 전송 차단 요청 신호를 전달할 수 있다.
동작(618)에서, 제어부(502)는 전송 차단 요청 신호에 반응하여 데이터 패킷의 전송을 차단할 수 있다.
시뮬레이션의 수행 결과가 정상인 경우, 시뮬레이션 수행부(507)는 제어부(502)로 전송 허용 신호를 전달할 수 있다.
동작(619)에서, 제어부(502)는 전송 허용 신호에 반응하여 네트워크로 데이터 패킷을 전송할 수 있다.
도 7은 일 실시예에 따른 다차원 공간의 중심 그룹 입체 모델을 도시한 도면이다.
일 실시예에 따르면, 단말기의 페이로드 분석부는 비정상성 특징 벡터가 다차원 공간의 중심 그룹 입체 모델에 포함되는지 여부를 판단할 수 있다. 중심 그룹 입체 모델은 성능 또는 보안 기준에 따라 분석된 데이터 패킷이 적절하게 분류되도록 도와주는 모든 관련 데이터를 통해 획득될 수 있다. 중심 그룹 입체 모델은 정상인 것으로 판단되는 임계 밀도 이상의 복수의 정상 특징 벡터를 포함하는 중심 그룹으로부터 법선 방향으로 최소 경계 거리만큼 떨어진 다차원 공간의 입체 모델을 나타낼 수 있다.
단말기의 페이로드 분석부는 비정상성 특징 벡터를 중심 그룹 입체 모델이 포함된 다차원 공간에 배치할 수 있다. 비정상성 특징 벡터는 프로토콜 분석, 사용자 행위 분석, 패킷 분석 및 하나 이상의 사용자 정의 비정상성 분석 축을 기준으로 다차원 공간에 배치될 수 있다.
데이터 보안 시스템은 최소 경계 거리의 조정을 통해서 보안 수준이 조정될 수 있다. 예를 들어, 데이터 보안 시스템은 높은 보안 수준을 채택하기 위해서 최소 경계 거리를 작게 설정할 수 있고, 낮은 보안 수준을 채택하기 위해서 최소 경계 거리를 크게 설정할 수 있다.
도 7을 참조하면, 다차원 공간은 데이터 패킷 내의 보안 이슈에 따라 레이블링된 코너 및 엣지를 표현한다. 예를 들어, 다차원 공간은 제1축(701), 제2축(702), 제3축(703), 제4축(704), 제5축(705)의 5개의 차원을 가질 수 있다. 예를 들어, 제1축(701), 제2축(702), 제3축(703), 제4축(704), 제5축(705)은 각각 프로토콜 분석의 결과, 사용자 행위 분석의 결과, 패킷 분석의 결과, 제1 사용자 정의 비정상성의 분석의 결과, 제2 사용자 정의 비정상성의 분석의 결과를 나타내는 지표의 기준이 되는 축일 수 있다.
단말기의 페이로드 분석부는 비정상성 특징 벡터를 중심 그룹 입체 모델이 포함된 다차원 공간에 배치할 수 있다. 비정상성 특징 벡터는 프로토콜 분석, 사용자 행위 분석, 패킷 분석 및 하나 이상의 사용자 정의 비정상성 분석 축을 기준으로 다차원 공간에 배치될 수 있다.
도 7에 따르면, 복수의 포인트가 표시되며, 각각의 포인트는 비정상성 특징 벡터를 나타낸다. 비정상성 특징 벡터 각각은 하나의 데이터 패킷에 대응한다. 다차원 공간에는 하나 이상의 중심 그룹 입체 모델(720, 730)이 존재할 수 있다. 다차원 공간은 분리된 중심성을 가질 수 있으며, 예를 들어, 둘 이상의 거의 동일한 밀도를 가지는 중심 그룹 입체 모델(720, 730)을 가질 수 있다.
중심 그룹 입체 모델(720)은 복수의 정상 특징 벡터(721)를 포함할 수 있다. 비정상성 특징 벡터(730)은 복수의 정상 특징 벡터(731)를 포함할 수 있다. 그 외에도, 둘 이상의 서브 그룹(741, 751)이 존재할 수 있지만, 이러한 서브 그룹들은 중심 그룹(720, 730)을 위협할 정도로 크지 않다.
정상 데이터 패킷을 표현하는 정상 특징 벡터를 포함하는 중심 그룹 입체 모델(720, 730)의 결정은 다양한 기법으로 수행될 수 있으며, 이후, 데이터 패킷들은 시스템 상에서 계속 분석되게 된다. 중심 그룹 입체 모델(720, 730)의 갱신은 비정상으로 판단되는 특징 벡터 및 정상으로 판단되는 특징 벡터에 의해 지속적으로 수행될 수 있다. 데이터 패킷은 지속적으로 분석되고 클러스터링될 수 있고, 클러스터링되는 하나 이상의 중심 그룹 입체 모델은 중심성 기능을 하는 것으로 인정되는 밀도에 도달할 수 있다. 이렇게 일정한 임계 밀도를 초과하는 중심 그룹 입체 모델은 정상성을 판단하기 위한 새로운 기준이 될 수 있다.
비정상으로 판단되는 특징 벡터들은 다차원 공간의 엣지 또는 코너에 가깝게 배치된다. 특정한 특징 벡터가 중심성으로부터 멀리 떨어지는 동시에, 코너 또는 엣지에 가깝게 배치된 알려진 비정상성에 가깝지도 않은 경우 또는 임의의 알려진 비정상성의 데이터 세트에 충분히 매칭되지 않는 경우, 데이터 보안 시스템은 사용자에 의해 정의되는 사용자 이벤트를 생성할 수 있다. 다차원 공간에 의해 개념화되는 중심 그룹 입체 모델과 비교할 때, 이러한 비정상성은 알려지지 않은 비정상성/일탈로 지칭될 수 있다. 사용자 이벤트가 발생할 경우 데이터 보안 시스템은 별도로 문제되는 데이터 패킷을 분류하거나 라벨링하기 위해 보안 서버(310)에 관리 권한을 요청할 수 있다.
도 8은 일 실시예에 따른 데이터 보안 방법의 동작을 도시한 흐름도이다.
일 실시예에 따르면, 동작(801)에서, 단말기의 이벤트 감지부는 안드로이드 어플리케이션 패키지 파일(Android application package file, APK)의 동작 신호를 감지할 수 있다.
일 실시예에 따르면, 동작(803)에서, 동작 신호에 반응하여, 단말기의 트랜시버는 안드로이드 어플리케이션 패키지 파일의 전송 요청에 의해 외부로 전송되는 단말기에 저장된 데이터 패킷을 보안 서버로 전송할 수 있다.
일 실시예에 따르면, 동작(805)에서, 보안 서버의 상관관계 분석부는 데이터 패킷의 상관관계를 분석하고, 데이터 패킷의 상관관계 인스턴트 정보를 획득할 수 있다.
일 실시예에 따르면, 동작(807)에서, 보안 서버의 매칭부는 데이터 패킷의 상관관계 인스턴트 정보에 매칭되는 상관관계 등록 정보를 보안 서버의 가상화 데이터베이스에서 검색할 수 있다.
일 실시예에 따르면, 동작(809)에서, 상관관계 인스턴트 정보와 매칭되는 상관관계 등록 정보가 검색된 경우에, 보안 서버의 트랜시버는 전송 차단 요청 신호를 단말기의 트랜시버로 전송할 수 있다.
일 실시예에 따르면, 동작(811)에서, 상관관계 인스턴트 정보와 매칭되는 상관관계 등록 정보가 검색되지 않은 경우에, 단말기의 제어부는 데이터 패킷의 통신 관리 정보를 기초로 데이터 패킷을 네트워크로 전송할지 여부를 결정할 수 있다.
도 9는 일 실시예에 따른 데이터 보안 방법의 페이로드를 분석하는 동작을 구체화한 흐름도이다.
일 실시예에 따르면, 페이로드 분석 모델은 프로토콜 분석부, 사용자 행위 분석부, 패킷 분석부, 사용자 정의 비정상성 분석부 및 비정상성 특징 분석부를 포함할 수 있다.
일 실시예에 따르면, 동작(901)에서, 단말기의 페이로드 분석부는 프로토콜 분석부에 미러 패킷의 프로토콜 정보를 입력하여 프로토콜 분석 벡터를 출력할 수 있다.
일 실시예에 따르면, 동작(903)에서, 단말기의 페이로드 분석부는 사용자 행위 분석부에 데이터 패킷과 관련된 사용자 행위 정보를 입력하여 사용자 행위 분석 벡터를 출력할 수 있다.
일 실시예에 따르면, 동작(905)에서, 단말기의 페이로드 분석부는 패킷 분석부에 미러 패킷의 페이로드를 입력하여 패킷 분석 벡터를 출력할 수 있다.
일 실시예에 따르면, 동작(907)에서,단말기의 페이로드 분석부는 사용자 정의 비정상성 분석부에 미러 패킷의 페이로드를 입력하여 사용자 정의 비정상성 분석 벡터를 출력할 수 있다.
일 실시예에 따르면, 동작(909)에서, 단말기의 페이로드 분석부는 프로토콜 분석 벡터, 사용자 행위 분석 벡터, 패킷 분석 벡터 및 사용자 정의 비정상성 분석 벡터에 콘케티네이션(concatenation)을 수행하여 결합 벡터를 출력할 수 있다.
일 실시예에 따르면, 동작(911)에서, 단말기의 페이로드 분석부는 결합 벡터를 비정상성 특징 분석부에 입력하여 비정상성 특징 벡터를 출력할 수 있다.
이상에서 설명된 실시예들은 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치, 방법 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기를 기초로 다양한 기술적 수정 및 변형을 적용할 수 있다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.
Claims (11)
- 단말기의 이벤트 감지부에 의해, 안드로이드 어플리케이션 패키지 파일(Android application package file, APK)의 동작 신호를 감지하는 동작;
상기 동작 신호에 반응하여, 상기 단말기의 트랜시버에 의해, 상기 안드로이드 어플리케이션 패키지 파일의 전송 요청에 의해 외부로 전송되는 상기 단말기에 저장된 데이터 패킷을 보안 서버로 전송하는 동작;
상기 보안 서버의 상관관계 분석부에 의해, 상기 데이터 패킷의 상관관계를 분석하고, 상기 데이터 패킷의 상관관계 인스턴트 정보를 획득하는 동작;
상기 보안 서버의 매칭부에 의해, 상기 데이터 패킷의 상관관계 인스턴트 정보에 매칭되는 상관관계 등록 정보를 상기 보안 서버의 가상화 데이터베이스에서 검색하는 동작;
상기 상관관계 인스턴트 정보와 매칭되는 상기 상관관계 등록 정보가 검색된 경우에, 상기 보안 서버의 트랜시버에 의해, 전송 차단 요청 신호를 상기 단말기의 트랜시버로 전송하는 동작; 및
상기 상관관계 인스턴트 정보와 매칭되는 상기 상관관계 등록 정보가 검색되지 않은 경우에, 상기 단말기의 제어부에 의해, 상기 데이터 패킷의 통신 관리 정보를 기초로 상기 데이터 패킷을 네트워크로 전송할지 여부를 결정하는 동작을 포함하고,
상기 단말기의 제어부에 의해 상기 전송할지 여부를 결정하는 동작은,
상기 상관관계 인스턴트 정보와 매칭되는 상기 상관관계 등록 정보가 검색되지 않은 경우에, 상기 단말기의 제어부에 의해, 상기 데이터 패킷의 통신 관리 정보를 기초로 상기 데이터 패킷을 상기 단말기의 스위치로 전달할지 여부를 결정하는 동작
을 포함하고,
상기 단말기의 스위치에 의해, 상기 데이터 패킷에 대해 패턴 분석을 수행하는 동작; 및
상기 단말기의 스위치에 의해, 상기 패턴 분석의 결과를 기초로 상기 데이터 패킷을 상기 네트워크로 전송할지 여부를 결정하는 동작을 더 포함하고,
상기 단말기의 스위치에 의해 상기 전송할지 여부를 결정하는 동작은,
상기 단말기의 스위치에 의해, 상기 패턴 분석의 결과를 기초로 상기 데이터 패킷을 상기 단말기의 미러링부로 전달할지 여부를 결정하는 동작
을 포함하고,
상기 단말기의 미러링부에 의해, 상기 데이터 패킷을 복사하여 미러 패킷을 생성하는 동작;
상기 단말기의 페이로드 분석부에 의해, 상기 미러 패킷의 페이로드를 분석하는 동작; 및
상기 단말기의 페이로드 분석부에 의해, 상기 페이로드의 분석의 결과를 기초로 상기 미러 패킷을 상기 네트워크로 전송할지 여부를 결정하는 동작
을 더 포함하고,
상기 미러 패킷의 페이로드를 분석하는 동작은,
상기 단말기의 페이로드 분석부에 의해, 페이로드 분석 모델을 이용하여 상기 미러 패킷으로부터 비정상성 특징 벡터를 출력하는 동작;
상기 단말기의 페이로드 분석부에 의해, 상기 비정상성 특징 벡터가 다차원 공간의 중심 그룹 입체 모델에 포함되는지 여부를 판단하는 동작; 및
상기 비정상성 특징 벡터가 다차원 공간의 중심 그룹 입체 모델에 포함되는 경우에, 상기 단말기의 페이로드 분석부에 의해, 상기 페이로드의 분석의 결과를 기초로 상기 미러 패킷을 상기 네트워크로 전송하는 동작
을 포함하고,
상기 페이로드 분석 모델은 프로토콜 분석부, 사용자 행위 분석부, 패킷 분석부, 사용자 정의 비정상성 분석부 및 비정상성 특징 분석부를 포함하고,
상기 비정상성 특징 벡터를 출력하는 동작은,
상기 단말기의 페이로드 분석부에 의해, 상기 프로토콜 분석부에 상기 미러 패킷의 프로토콜 정보를 입력하여 프로토콜 분석 벡터를 출력하는 동작;
상기 단말기의 페이로드 분석부에 의해, 상기 사용자 행위 분석부에 상기 데이터 패킷과 관련된 사용자 행위 정보를 입력하여 사용자 행위 분석 벡터를 출력하는 동작;
상기 단말기의 페이로드 분석부에 의해, 상기 패킷 분석부에 상기 미러 패킷의 페이로드를 입력하여 패킷 분석 벡터를 출력하는 동작;
상기 단말기의 페이로드 분석부에 의해, 상기 사용자 정의 비정상성 분석부에 상기 미러 패킷의 페이로드를 입력하여 사용자 정의 비정상성 분석 벡터를 출력하는 동작;
상기 단말기의 페이로드 분석부에 의해, 상기 프로토콜 분석 벡터, 상기 사용자 행위 분석 벡터, 상기 패킷 분석 벡터 및 상기 사용자 정의 비정상성 분석 벡터에 콘케티네이션(concatenation)을 수행하여 결합 벡터를 출력하는 동작; 및
상기 단말기의 페이로드 분석부에 의해, 상기 결합 벡터를 상기 비정상성 특징 분석부에 입력하여 비정상성 특징 벡터를 출력하는 동작
을 포함하고,
상기 중심 그룹 입체 모델은 정상인 것으로 판단되고 임계 밀도 이상의 복수의 정상 특징 벡터를 포함하는 중심 그룹으로부터 법선 방향으로 최소 경계 거리만큼 떨어진 상기 다차원 공간의 입체 모델을 나타내는, 데이터 보안 방법. - 제1항에 있어서,
상기 보안 서버의 가상화부에 의해, 상기 보안 서버의 내부 데이터 베이스 및 하나 이상의 외부 서버의 외부 데이터 베이스를 가상화하여 가상화 데이터 베이스를 생성하는 동작을 더 포함하는,
데이터 보안 방법. - 제2항에 있어서,
상기 가상화 데이터 베이스를 생성하는 동작은,
상기 보안 서버의 내부 데이터 베이스에 저장된 상관관계 등록 정보 및 상기 외부 데이터 베이스에 저장된 상관관계 등록 정보에 대한 상관관계 하이어라키 정보를 생성하는 동작을 포함하고,
가상화 데이터베이스에서 검색하는 동작은,
상기 상관관계 하이어라키 정보를 기초로 상기 상관관계 인스턴트 정보에 매칭되는 상관관계 등록 정보를 검색하는 동작을 포함하는,
데이터 보안 방법. - 삭제
- 삭제
- 제1항에 있어서,
상기 단말기의 페이로드 분석부에 의해 상기 전송할지 여부를 결정하는 동작은,
상기 단말기의 페이로드 분석부에 의해, 상기 페이로드의 분석의 결과를 기초로 상기 미러 패킷을 시뮬레이션 수행부로 전달할지 여부를 결정하는 동작
을 포함하고,
상기 시뮬레이션 수행부에 의해, 상기 미러 패킷을 상기 단말기의 가상 머신에 입력하여 시뮬레이션을 수행하는 동작; 및
상기 단말기의 스위치에 의해, 상기 시뮬레이션의 결과를 기초로 상기 단말기의 트랜시버로 상기 데이터 패킷을 전달할지 여부를 결정하는 동작
을 더 포함하는, 데이터 보안 방법. - 삭제
- 삭제
- 삭제
- 제1항에 있어서,
상기 비정상성 특징 벡터가 다차원 공간의 중심 그룹 입체 모델에 포함되지 않는 경우에, 상기 단말기의 페이로드 분석부에 의해, 상기 비정상성 특징 벡터를 기초로 상기 중심 그룹 입체 모델을 갱신하는 동작
을 더 포함하는, 데이터 보안 방법. - 제10항에 있어서,
상기 갱신하는 동작은,
상기 단말기의 페이로드 분석부에 의해, 상기 비정상성 특징 벡터에서 가장 가까운 정상 특징 벡터를 결정하는 동작; 및
상기 단말기의 페이로드 분석부에 의해, 상기 결정된 정상 특징 벡터를 향하여 상기 다차원 공간의 입체 모델의 경계를 조정하는 동작
을 포함하는, 데이터 보안 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210138591A KR102483826B1 (ko) | 2021-10-18 | 2021-10-18 | 데이터 보안 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210138591A KR102483826B1 (ko) | 2021-10-18 | 2021-10-18 | 데이터 보안 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102483826B1 true KR102483826B1 (ko) | 2023-01-04 |
Family
ID=84924982
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020210138591A KR102483826B1 (ko) | 2021-10-18 | 2021-10-18 | 데이터 보안 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102483826B1 (ko) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20110070464A (ko) * | 2009-12-18 | 2011-06-24 | 한국전자통신연구원 | 트래픽 수집장치, 트래픽 분석장치, 시스템 및 그 분석방법 |
| KR20130093841A (ko) * | 2012-01-26 | 2013-08-23 | 주식회사 시큐아이 | 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법 |
| KR20200033090A (ko) * | 2018-09-19 | 2020-03-27 | 주식회사맥데이타 | 네트워크 보안 모니터링 방법, 네트워크 보안 모니터링 장치 및 시스템 |
-
2021
- 2021-10-18 KR KR1020210138591A patent/KR102483826B1/ko active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20110070464A (ko) * | 2009-12-18 | 2011-06-24 | 한국전자통신연구원 | 트래픽 수집장치, 트래픽 분석장치, 시스템 및 그 분석방법 |
| KR20130093841A (ko) * | 2012-01-26 | 2013-08-23 | 주식회사 시큐아이 | 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법 |
| KR20200033090A (ko) * | 2018-09-19 | 2020-03-27 | 주식회사맥데이타 | 네트워크 보안 모니터링 방법, 네트워크 보안 모니터링 장치 및 시스템 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Samarakoon et al. | 5g-nidd: A comprehensive network intrusion detection dataset generated over 5g wireless network | |
| Sowah et al. | Detection and prevention of man‐in‐the‐middle spoofing attacks in MANETs using predictive techniques in artificial neural networks (ANN) | |
| Koroniotis | Designing an effective network forensic framework for the investigation of botnets in the Internet of Things | |
| US10764311B2 (en) | Unsupervised classification of web traffic users | |
| US11930020B2 (en) | Detection and mitigation of security threats to a domain name system for a communication network | |
| KR102414167B1 (ko) | 뉴럴 네트워크를 이용한 패킷 센딩을 통한 보안 방법 및 장치 | |
| US12088571B2 (en) | System and methods of determining and managing probes in a multi-hop network | |
| WO2019217969A1 (en) | Predicting cyber threats in a federated threat intelligence environment | |
| CN110537181A (zh) | 管理数据加密应用程序 | |
| CN115239941B (zh) | 对抗图像生成方法、相关装置及存储介质 | |
| Hou et al. | IoTGAN: GAN powered camouflage against machine learning based IoT device identification | |
| US20220116416A1 (en) | Systems and methods of predicting an imminent event at satellite network | |
| CN114422207A (zh) | 基于多模态的c&c通信流量检测方法及装置 | |
| Rajawat et al. | Analysis assaulting pattern for the security problem monitoring in 5G‐enabled sensor network systems with big data environment using artificial intelligence/machine learning | |
| KR102476292B1 (ko) | 인공지능을 이용하여 차량의 페달 박스 촬영 영상 데이터를 가공하는 블랙박스 관리 시스템 | |
| KR102483826B1 (ko) | 데이터 보안 방법 | |
| KR102438865B1 (ko) | 텍스트 필터링을 이용한 데이터 보안 방법 | |
| US20220182412A1 (en) | Systems and methods of evaluating probe attributes for securing a network | |
| KR102382169B1 (ko) | 데이터 처리 방법 및 장치 | |
| KR102471214B1 (ko) | IP-Cam 모니터링 방법 및 장치 | |
| KR102455357B1 (ko) | 뉴럴 네트워크 기반의 피싱 데이터 필터링 시스템 | |
| KR102390412B1 (ko) | 인공지능 기반의 피싱 대응 챗봇 시스템 | |
| KR102653470B1 (ko) | Ai 기반 dvr 기기 영상 실시간 스트리밍 시스템 | |
| KR102434472B1 (ko) | 서버 및 그 서버의 보안 방법 | |
| KR102575856B1 (ko) | 입력 수단의 호환 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GRNT | Written decision to grant |