KR102501372B1 - Ai 기반 이상징후 침입 탐지 및 대응 시스템 - Google Patents

Ai 기반 이상징후 침입 탐지 및 대응 시스템 Download PDF

Info

Publication number
KR102501372B1
KR102501372B1 KR1020200170705A KR20200170705A KR102501372B1 KR 102501372 B1 KR102501372 B1 KR 102501372B1 KR 1020200170705 A KR1020200170705 A KR 1020200170705A KR 20200170705 A KR20200170705 A KR 20200170705A KR 102501372 B1 KR102501372 B1 KR 102501372B1
Authority
KR
South Korea
Prior art keywords
data
security
abnormal
ips
viruses
Prior art date
Application number
KR1020200170705A
Other languages
English (en)
Other versions
KR20220081145A (ko
Inventor
김상오
이창훈
김경은
장예윤
박주원
임태빈
김진
Original Assignee
상명대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 상명대학교산학협력단 filed Critical 상명대학교산학협력단
Priority to KR1020200170705A priority Critical patent/KR102501372B1/ko
Publication of KR20220081145A publication Critical patent/KR20220081145A/ko
Application granted granted Critical
Publication of KR102501372B1 publication Critical patent/KR102501372B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/302Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance

Abstract

AI 기반 이상징후 침입 탐지 및 대응 시스템 및 방법이 개시된다. AI 기반 이상징후 침입 탐지 및 대응 시스템은 기업 내부 네트워크의 라우터나 게이트웨이에 설치되는 방화벽; 상기 방화벽에 연결되는 침입 탐지 시스템(IDS) 또는 침입 차단 시스템(IPS); 및 상기 침입 탐지 시스템(IDS) 또는 상기 침입 차단 시스템(IPS)에 연결되며, IT 시스템 장애, 보안사고, 급격한 네트워크 트래픽 증가 등 AI 기반 이상징후에 관한 보안 위협과 침입을 탐지하도록 인터넷 메일, 악성코드, 바이러스/웜, DDoS 공격에 대하여 사전에 학습된 AI 머신 러닝의 학습을 통해 이상 징후 데이터에 대하여 타입별 빅 데이터를 분석하고, 정상적인 데이터 학습 후 비정상적인 이상징후 탐지하고 비정상적인 데이터 학습 후 비정상적인 이상징후 탐지하며 비정상 데이터에 대하여 위협 DB에 저장하고 의사결정 시스템에 의해 보안 위협에 대응하여 IDS/IPS가 공격 시도IP를 차단하거나, 방화벽(F/W)과 IDS/IPS에 blacklist로 등록하고 악성 코드나 바이러스에 대응하여 백신 솔류션을 적용하는 위협 정보 수집 서버를 포함한다.
상기 시스템은 인터넷 메일, 악성코드, 바이러스/웜, DDoS 공격에 대하여 외부 네트워크로부터 유입되는 TCP/IP 패킷을 참조하여 악성 코드/바이러스에 의한 IT 시스템 장애, 보안사고, 급격한 네트워크 트래픽 증가 등 AI 기반 이상징후에 관한 보안 위협과 침입을 탐지하여 인터넷 메일, 악성코드, 바이러스/웜, DDoS 공격에 대하여 사전에 학습된 AI 머신 러닝의 학습을 통해 빅 데이터를 분석하고, 정상적인 데이터 학습 후 비정상적인 이상징후 탐지하고 비정상적인 데이터 학습 후 비정상적인 이상징후 탐지하며 비정상 데이터에 대하여 위협 DB에 저장하고 의사결정 시스템에 의해 보안 위협에 대응하여 IDS/IPS가 공격 시도IP를 차단하거나, 방화벽(F/W)과 IDS/IPS에 blacklist로 등록하고 악성 코드나 바이러스에 대응하여 백신 솔류션을 적용하여 보안 위협과 침입에 대응하여 보안 침해 사고를 예방하게 되었다.

Description

AI 기반 이상징후 침입 탐지 및 대응 시스템{AI-based mysterious symptom intrusion detection and system}
본 발명은 AI 기반 이상징후 침입 탐지 및 대응 시스템에 관한 것으로, 보다 상세하게는 인터넷 메일, 악성코드, 바이러스/웜, DDoS 공격에 대하여 외부 네트워크로부터 유입되는 TCP/IP 패킷을 참조하여 악성 코드/바이러스에 의한 IT 시스템 장애, 보안사고, 급격한 네트워크 트래픽 증가 등 AI 기반 이상징후에 관한 보안 위협과 침입을 탐지하여 인터넷 메일, 악성코드, 바이러스/웜, DDoS 공격에 대하여 사전에 학습된 AI 머신 러닝의 학습을 통해 데이터 마이닝을 사용하여 빅 데이터를 분석하고, 정상적인 데이터 학습 후 비정상적인 이상징후 탐지하고 비정상적인 데이터 학습 후 비정상적인 이상징후 탐지하며 비정상 데이터에 대하여 위협 DB에 저장하고 의사결정 시스템에 의해 보안 위협에 대응하여 IDS/IPS가 공격 시도IP를 차단하거나, 방화벽(F/W)과 IDS/IPS에 blacklist로 등록하고 악성 코드나 바이러스에 대응하여 백신 솔류션을 적용하여 보안 위협과 침입에 대응하여 보안 침해 사고를 예방한다.
최근, 악성 코드와 malware, 바이러스에 의해 컴퓨터의 내의 기밀 문서가 포함된 중요 정보 시스템이 파괴는 해킹 피해가 자주 발생되고 있으며, 이에 대응하여 인터넷 보안 및 인터넷 침해 사고 대응 기술이 요구되고 있다.
인터넷 보안의 위협 요소는 네트워크적 위협, 시스템적 위협, 물리적 위협으로 분류된다.
인터넷 보안 위협 요소 내 용
네트워크적 위협 - Protocol 취약점 이용: 스푸핑 공격(spoofing attack), 세션 가로채기(session hijacking)
- 서비스 방해: 데이터 자료의 변조, 삭제, 유출, DoS 공격, DDoS(Distributed Denial-of-Service, 분산 서비스 거부) 공격, 스팸 메일
- 정보 유출: 네트워크 도청, 사용자 도청
시스템적 위협 - 계정 도용: 크래킹(cracking), sniffer 프로그램을 이용한 암호 해독
- 해킹: 시스템 내의 특정 프로그램을 악의로 변경
- 악성 프로그램: 악성 코드, malware, 랜섬웨어, 바이러스
물리적 위협 - 내외부 출입자에 의한 정보 보안사고
- 기밀 문서 관리 보안 취약,
- 침입자의 불법복제/정보 유출(Information Theft)
해킹은 네트워크나 인터넷을 통하여 IDS, Firewall을 우회하여 불법적인 경로로 외부 공격자가 내부 시스템에 침입(intrusion)하여 중요 데이터나 자료를 획득 파괴하여 공격(attack)하는 행위이다. 공격 대상 시스템에는 공격자가 불법적인 접근/사용자 권한 획득을 위해 Sniffer, finger 등을 사용된다. 예를들면, 침입 도구는 스니퍼 설치, 백도어, 트로이 목마 설치된다.
Figure 112020133094141-pat00001
패스워드 스니핑(Password Sniffing) 공격: 스니퍼(sniffer)는 단어의 의미(냄새를 맡다, 코를 킁킁거리다)에서도 알 수 있듯이 스니퍼는 “컴퓨터 네트워크상에 흘러 다니는 트래픽을 엿듣는 도청장치”라고 할 수 있다. 그리고 “스니핑”은 스니퍼를 이용하여 네트워크상의 데이터를 도청하는 행위이다. 패스워드 스니핑(Password Sniffing)은 접근 제어(Access Control)로 암호를 수시로 바꾸면 해결책이다.
Figure 112020133094141-pat00002
서비스 거부(Denial of Service, DoS) 공격 또는 분산 서비스 거부(Distributed Denial of Service, DDoS) 공격은 분산된 복수의 공격자 컴퓨터로부터 표적시스템에 동시에 접속하여 단시간에 특정 웹사이트에 대용량 트래픽 데이터를 전송하여 과부하를 일으켜 트래픽(bandwidth), 프로세스 처리능력, 시스템 자원을 고갈시켜 시스템을 다운시켜 정상적인 서비스를 할 수 없도록 공격한다.
Figure 112020133094141-pat00003
IP spoofing 공격: IP 스푸핑 공격(spoofing attack)은 바로 자기 자신의 식별정보를 속여 다른 대상 시스템을 공격하는 기법이다. 네트워크 상의 공격자는 TCP/IP(transfer control protocol/Internet protocol) 프로토콜 상의 취약성을 기반으로 해킹 시도시 자신의 시스템 정보(IP address, DNS 이름, MAC address 등)를 위장하여 감춤으로써 역추적이 어렵게 만든다. 스푸핑 공격은 패킷 스니퍼링이나 서비스 거부 공격, 세션 하이재킹(session hijacking) 등의 다른 여러 가지 공격을 가능하게 한다. IP 스푸핑 공격(IP spoofing attack)의 종류는 IP 스푸핑, ARP 스푸핑, 이메일 스푸핑, DNS 스푸핑이 있다. 만약, 공격자가 세션ID를 쿠키에 저장한다면, 쿠키 노출에 대한 하이재킹까지 가능하기 때문에 인터넷 보안에 취약하고 위험하며, 공격자가 세션IDffm 캡춰할 경우 HTTP 헤더의 다른 값을 모두 캡춰할 수 있다. 쿠키 노출은 브라우저의 취약점 또는 크로스 사이트 스크립팅(XSS, Cross-Site Scripting)과 관련되며, 희생자(victim) 컴퓨터는 모든 헤더의 정보를 알아낼 수 있는 공격자가 해당 웹사이트를 방문했을 가능성이 높다.
Figure 112020133094141-pat00004
플러딩(flooding) 공격: Syn 플러딩 공격은 TCP의 초기 연결과정에서 TCP 3-way Handshaking을 이용, Syn 패킷을 요청하여 서버로 하여금 ACK 및 SYN 패킷을 송신하며, 이때 보내는 송신 주소가 무의미한 주소이므로 서버는 대기상태에 있게 되고, 이러한 요청 패킷들이 들어오면 서버의 대기 큐(queue)가 가득차 결국 서비스거부 상태에 들어가게 된다.
해킹에 대한 대응 기술은 네트워크적인 대응 방법으로써 침입 차단 시스템(firewall), 침입 탐지 시스템(IDS), 어플리케이션의 암호화/복호화 통신(SSL, IPsec 등), 통합 보안관리(Enterprise Security Management, ESM), 통합 인증 및 권한 권리(EAM), 안티 바이러스 소프트웨어가 사용되고 있다.
침입 탐지시스템(IDS)는 네트워크를 통해 네트워크 시스템 자원을 불법복제/삭제하거나 비정상적인 행위로 데이터를 훼손하거나 서비스 불능 상태로 만드는 보안 위협들을 탐지하여 그에 대응하는 시스템이다. 방화벽(Firewall)은 방화벽 호스트를 구축하여 외부 인터넷과 내부 인트라넷 네트워의 Local Host 정보를 제어한다. 침입탐지시스템(Intrusion Detection System, IDS)은 특정 웹사이트에 분산 서비스 거부(DDoS) 공격이 발생하면, 네트워크 상에 대량의 트래픽이 발생시켜 시스템의 마비 또는 네트워크의 성능 저하로 네트워크 자원을 마비시키는 대표적인 트래픽 폭주 공격(traffic flooding attack)을 차단한다.
침입탐지 방법론은 탐지를 분석하는 방법에 따라 크게 오용탐지와 비정상행위 탐지로 분류된다. 오용탐지는 서명분석(signature analysis), 전문가시스템(expert systems), 상태전이 분석(state transition analysis), 페트리 넷(petri-nets), 비정상행위 탐지는 통계(statistics), 전문가 시스템(expert systems), 신경망(neural networks), 데이터 마이닝(data mining), HMM(Hidden Markov Models) 기술을 이용한다.
IPSec(Internet Protocol Security protocol)은 네트워크 통신의 패킷 처리 계층에서 보안을 유지하기 위해, 지금도 사용되고 있는 표준이다. 이전의 보안 기법들은 보안이 통신모델의 응용 계층(Application Layer)에 삽입되었다. IPSec은 가상 사설망과 사설망에 원격 사용자 접속시에 특히 유용할 것이다. IPSec의 큰 장점은 개별 사용자 컴퓨터의 변경 없이도 보안에 관한 준비가 처리될 수 있다.
SSL/TLS는 보안 소켓 레이어(SSL: Secure Sockets Layer), 전송 계층 보안(TLS: Transport Layer Security) 암호 규약으로 사용된다.
S-HTTP(Secure Hypertext Transfer Protocol, Secure HTTP)는 WWW 파일들이 안전하게 교환되게 해주는 HTTP의 확장판이다. 각 S-HTTP 파일은 암호화되며, 전자서명(electronic signature)을 포함한다. S-HTTP는 잘 알려진 또 다른 보안 프로토콜인 SSL의 대안으로 사용된다. 두 기술의 주요 차이점은, S-HTTP는 권한있는 사용자라는 것을 입증하기 위한 인증서를 클라이언트에서 보낼 수 있는 반면에, SSL에서는 오직 서버만이 인증할 수 있다. S-HTTP는 은행을 대리해 서버가 있는 곳, 또는 사용자ID와 패스워드를 사용하는 것보다 보다 더 안전한 사용자로부터 인증이 필요한 상황에서 보다 많이 사용된다. S-HTTP는 어떠한 단일 암호화 시스템을 사용하지 않지만, RSA(Rivest Shamir Adleman) 공개키/개인키 암호화 시스템은 지원한다. SSL은 TCP 계층보다 더 상위의 프로그램 계층에서 동작한다. S-HTTP는 HTTP 응용의 상위 계층에서 동작한다. 두 개의 보안 프로토콜들 모두가 한 사용자에 의해 사용될 수 있지만, 주어진 문서는 단지 그중 하나만이 사용될 수 있다. Terisa Systems은 인터넷 보안도구 내에 SSL과 S-HTTP 모두를 포함한다.
참고로, SSL(Secure Socket Layer)은 넷스케이프사에서 전자상거래 등의 보안을 위해 개발하였다. 이후 TLS(Transport Layer Security)라는 이름으로 표준화되었다. SSL은 특히 전송계층(Transport Layer)의 암호화 방식이기 때문에 HTTP 뿐만 아니라 NNTP(Network News Transfer Protocol), FTP(file transfer protocol), XMPP 등 응용계층(Application Layer) 프로토콜에 상관없이 사용할 수 있다. 기본적으로 인증(authentication), 암호화(encryption), 무결성(integrity)을 보장한다.
최근, 이메일의 첨부 파일에 포함된 악성 코드, malware(랜섬 웨어), 웜, 바이러스가 많이 발생되고 있으며, 이메일 악성 코드 탐지 대응 기술이 필요하다.
웹페이지는 악성 코드(malicious code)에 의한 해킹, 네트워크의 특정 웹사이트 URL에 대용량 트래픽을 발생시켜 과부하로 다운로드시키는 분산 서비스 거부(DDoS) 공격을 방어하는 기술이 필요하다. DNS 기반 DDoS 공격은 찾아내기가 어려울 뿐만 아니라 움직이는 표적과 같이 계속 모습을 바꿔가며 내외부 DNS 서버에 영향을 줄 수 있다. 공격자는 증폭/반사, 서비스 장애 공격 및 단순한 NXDOMAIN(Non-Existent Domain) 등의 기본적 방법부터 봇넷, 연쇄 반응 및 오작동 도메인 등의 보다 정교한 공격까지 광범위한 기법을 사용한다.
도 3을 참조하면, DNS 공격은 애플리케이션 계층 DDoS 공격의 주요 표적이지만 DNS 위협 방어는 기존 방화벽으로는 역부족이다. 특히 증폭/반사 기법으로 이루어지는 DNS 기반의 DDoS 공격을 방어할 수 없다. 그러나, 인포블록스 ADP(Advanced DNS Protection)는 DNS DDoS, 익스플로잇, NXDOMAIN, DNS 데이터 유출 및 DNS 하이재킹 공격과 같은 광범위한 DNS 기반 공격을 효율적으로 방어한다. ADP는 인프라스트럭처 오버프로비저닝이나 응답 속도 제한에 의존하지 않고 정상적인 쿼리(Query)에만 응답하면서 DNS 공격을 지능적으로 감지하고 완화한다.
지난해 국내 대기업과 은행 여러 곳을 대상으로 ‘랜섬DDoS’ 공격이 기승을 부리고 있다. 랜섬DDoS는 인질을 뜻하는 ‘랜섬(Ransom)’과 특정 웹사이트의 네트워크 과부하로 서비스를 다운시키는‘분산 서비스 거부(DDoS)’ 공격이 발생되었다.
또한, 이동통신 단말기의 URL이 포함된 SMS 메시지를 사용한 스미싱, 유해 URL 정보가 포함된 메신저를 사용한 파밍이 많이 발생되고 있다.
이와 관련된 선행 기술1로써, 특허등록번호 10-0862187에서는 "취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법"이 등록되어 있다.
도 1은 종래의 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의 인터넷 웜 탐지장치(220)를 도시한 블럭도이다. 상기 인터넷 웜 탐지장치(220)는 위협 존재 판단부(120), 패킷 내용 추출부(140), 공격 판단부(170), 취약점 정보 저장부(150)를 포함한다.
추가적으로, 분할 패킷 처리부(130), 세션 관리 정보 저장부(160), 공격 대응부(180), 관리자(190) 또는 보안장비(200)를 포함할 수 있다.
NIC장치(110)(network interface card)로써, 본 발명의 인터넷 웜 탐지장치(220)가 네트워크(100)로 부터 패킷을 수집할 수 있도록 하는 인터페이스 수단이다.
취약점 분석 및 공격방식 모델링(modeling)을 이용한 네트워크(network) 기반의 인터넷 웜(internet worm) 탐지장치는, 응용 프로그램의 발견된 취약점을 공격하기 위해 사용되는 키워드를 포함한 취약점 공격 탐지에 필요한 취약점 정보를 저장하는 취약점 정보 저장부(150)); 네트워크(network)상에 전송되는 패킷(packet)이 취약점을 갖는 응용 프로그램으로 전송되는 것인지를 판단하는 위협 존재 판단부(120); 상기 취약점을 갖는 응용 프로그램으로 전송되는 것으로 판단된 패킷에서 상기 취약점 정보를 이용하여 침입 판단에 필요한 정보를 추출하는 패킷 내용 추출부(140); 및 상기 패킷에서 추출한 정보와 취약점 저장부에 저장된 취약점 정보를 비교/분석하여 공격 패킷인지를 판단하는 공격 판단부(170)로 구성되며, 이에 의해, 응용 프로그램의 취약점 정보를 활용하고 공격 방식을 모델링하여 인터넷 웜을 탐지하고 실제 공격 발생 이전에 대응 방법을 준비할 수 있게 되며, 분할되거나 순서가 바뀌어 도착하는 패킷의 특정 세션에 속하는 정보 중 일부만을 저장함으로써 저장장치 사용의 효율성을 확보하고 패킷 처리에 필요한 자원을 감소시킬 수 있다.
이와 관련된 선행기술2로써, 특허등록번호 10-1553172에서는 "포렌식 기반 SACT 시스템 및 그 구동방법"이 등록되어 있으며, 정보보호 기술로써, 공격자 단말기(피의자)가 공격 패킷으로 희생자 단말기(피해자)를 공격할 경우 공격 패킷을 싱크홀 라우터에 전달해 공격자 단말기로 하여금 공격 패킷이 라우터에 전송 완료됨을 오인하도록 유도하고, 공격 패킷에 대한 분석결과 데이터 및 역추적 경로정보를 생성하는 SACT(Sinkhole and Compressed Filter based Trackback) 시스템을 제공한다.
도 2를 참조하면, SACT(Sinkhole and Compressed Filter based Trackback) 시스템(1000)은 공격자 단말기(100, 피의자)가 공격 패킷으로 희생자 단말기(110. 피해자)를 공격할 경우 공격 패킷을 싱크홀 라우터(400)에 전달해 공격자 단말기(100)로 하여금 공격 패킷이 라우터(300)에 전송 완료됨을 오인하도록 유도함과 더불어 공격 패킷에 대한 분석결과 데이터 및 IP(Internet Protocol) 주소가 변경(IP Spoofing)된 패킷의 실제 송신지를 찾아내는 역추적 경로정보를 생성시키는 시스템으로, 관리 서버(200), 라우터(300), 싱크홀 라우터(400) 및 공격분석 서버(500)를 포함하며, 라우터(300)는 공격탐지 모듈(320), 라우터 관리모듈(310)을 포함한다.
상기 포렌식 기반 SACT 시스템은
공격 패킷에 대한 역추적을 지시하는 역추적 요청정보를 생성시키는 관리 서버;
공격자 단말기가 상기 공격 패킷으로 희생자 단말기를 공격할 경우 상기 공격 패킷을 탐지해 싱크홀 라우터에 전달하고, 상기 역추적 요청정보에 응답하는 역추적 응답정보를 상기 관리 서버에게 전달하는 라우터;
상기 공격자 단말기로 하여금 상기 공격 패킷이 상기 라우터에 전송 완료됨을 오인하도록 상기 라우터를 통해 상기 공격 패킷을 지속적으로 전달받아 공격분석 서버에 전송하는 싱크홀 라우터; 및
상기 싱크홀 라우터로부터 공격 패킷을 전달받아 상기 공격 패킷에 대한 분석결과 데이터를 생성시켜 상기 관리 서버에 전송하는 공격분석 서버를 포함하며,
상기 관리 서버는 상기 역추적 응답정보를 이용해 상기 공격 패킷에 대한 역추적 경로정보를 생성시킨 후 저장 모듈에 저장하며,
상기 라우터와 기 연결된 라우터 관리모듈은 상기 공격 패킷으로부터 생성된 BF 2진수값을 CBF 압축 알고리즘을 활용해 CBF(Compressed Bloom Filter) 압축값으로 압축시킴에 따라 일정시간 동안 침입하는 상기 공격 패킷을 역추적하며,
상기 관리 서버는 상기 라우터 관리모듈에 의해 생성된 상기 CBF(Compressed Bloom Filter) 압축값을 CBF 복원 알고리즘을 활용해 상기 BF(Bloom Filter) 2진수값으로 복원함에 따라 상기 일정시간 경과 후에도 상기 공격 패킷을 역추적하는 것을 특징으로 한다.
관리 서버는 공격 패킷에 대한 역추적을 지시하는 역추적 요청정보를 생성시킨다(S100).
공격자 단말기가 공격 패킷으로 희생자 단말기를 공격할 경우, 라우터는 공격 패킷을 탐지해 싱크홀 라우터에 전달하고, 역추적 요청정보에 응답하는 역추적 응답정보를 관리 서버에게 전달한다(S110, S120).
라우터와 기 연결된 라우터 관리모듈은 라우터가 관리 서버로부터 역추적 요청정보를 수신함을 확인할 경우, 라우터를 경유하는 공격 패킷이 블룸 필터에 등록됨을 인지한다.
이때, 블룸 필터는 공격 패킷을 대상으로 BF 테이블 번지의 주소값이 '0' 또는 '1'으로 갱신된 BF 2진수값으로 생성시킨다.
라우터 관리모듈은 False로 설정된 역추적 응답정보(BF 2진수값이 '0'일 경우) 또는 True로 설정된 역추적 응답 정보(BF 2진수값이 '1'일 경우) 를 관리 서버에 전달한다.
또한, 라우터 관리모듈은 공격 패킷으로부터 생성된 BF 2진수값을 CBF 압축 알고리즘을 활용해 CBF 압축값으로 압축한다.
싱크홀 라우터는 공격자 단말기로 하여금 공격 패킷이 라우터에 전송 완료됨을 오인하도록 라우터를 통해 공격 패킷을 지속적으로 전달받아 공격분석 서버에 전송한다(S130).
공격분석 서버는 싱크홀 라우터로부터 공격 패킷을 전달받아 공격 패킷에 대한 분석결과 데이터를 생성시켜 관리 서버에 전송한다(S140).
관리 서버는 역추적 응답정보를 이용해 공격 패킷에 대한 역추적 경로정보를 생성시키거나, 라우터 관리모듈에 의해 생성된 CBF(Compressed Bloom Filter) 압축값을 CBF 복원 알고리즘을 활용 BF(Bloom Filter) 2진수값으로 복원하고 이를 통해 역추적 경로정보를 생성한다(S150).
여기서, 관리 서버는 True로 설정된 역추적 응답정보만을 추출한 후 True로 설정된 역추적 응답정보로부터 조회된 라우터 ID와 타임스탬프를 조합해 역추적 경로정보를 생성하며, 역추적 경로정보는 시스템 상에 기구비된 저장모듈에 저장된다.
그러나, 라우터를 통해 호스트 컴퓨터로 인터넷 네트워크를 통해 크래커 또는 해커의 공격에 의한 패스워드 스니핑 해킹; 바이러스, malware(랜섬웨어 등), 악성 코드가 포함된 이메일 수신; 및 특정 웹사이트에 대하여 DDoS(Distributed Denial-of-Service) 공격과 같은 사이버 보안 공격(Cyber Security Attack), 스팸 메일 증가 사례가 발생하고 있으며, 네트워크를 통해 침입하는 공격(attack)에 대하여 인터넷, 이메일, 웹사이트, 엔드포인트 컴퓨터에서 이에 대한 인터넷 보안 대응 기술의 확보가 필요하다.
특허 등록번호 10-0862187 (등록일자 2008년 10월 01일), "취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법", 한국전자통신연구원 특허 등록번호 10-1553172 (등록일자 2015년 09월 08일), "포렌직 기반 SACT 시스템 및 그 구동방법", 가톨릭관동대학교산학협력단
상기 문제점을 해결하기 위한 본 발명의 목적은 인터넷 메일, 악성코드, 바이러스/웜, DDoS 공격에 대하여 외부 네트워크로부터 유입되는 TCP/IP 패킷을 참조하여 악성 코드/바이러스에 의한 IT 시스템 장애, 보안사고, 급격한 네트워크 트래픽 증가 등 AI 기반 이상징후에 관한 보안 위협과 침입을 탐지하여 인터넷 메일, 악성코드, 바이러스/웜, DDoS 공격에 대하여 사전에 학습된 AI 머신 러닝의 학습을 통해 데이터 마이닝을 사용하여 빅 데이터를 분석하고, 정상적인 데이터 학습 후 비정상적인 이상징후 탐지하고 비정상적인 데이터 학습 후 비정상적인 이상징후 탐지하며 비정상 데이터에 대하여 위협 DB에 저장하고 의사결정 시스템에 의해 보안 위협에 대응하여 IDS/IPS가 공격 시도IP를 차단하거나, 방화벽(F/W)과 IDS/IPS에 blacklist로 등록하고 악성 코드나 바이러스에 대응하여 백신 솔류션을 적용하여 보안 위협과 침입에 대응하여 보안 침해 사고를 예방하는, AI 기반 이상징후 침입 탐지 및 대응 시스템을 제공한다.
본 발명의 목적을 달성하기 위해, AI 기반 이상징후 침입 탐지 및 대응 시스템은 기업 내부 네트워크의 라우터나 게이트웨이에 설치되는 방화벽; 상기 방화벽에 연결되는 침입 탐지 시스템(IDS) 또는 침입 차단 시스템(IPS); 및 상기 침입 탐지 시스템(IDS) 또는 상기 침입 차단 시스템(IPS)에 연결되며, IT 시스템 장애, 보안사고, 급격한 네트워크 트래픽 증가 등 AI 기반 이상징후에 관한 보안 위협과 침입을 탐지하도록 인터넷 메일, 악성코드, 바이러스/웜, DDoS 공격에 대하여 사전에 학습된 AI 머신 러닝의 학습을 통해 이상 징후 데이터에 대하여 타입별 빅 데이터를 분석하고, 정상적인 데이터 학습 후 비정상적인 이상징후 탐지하고 비정상적인 데이터 학습 후 비정상적인 이상징후 탐지하며 비정상 데이터에 대하여 위협 DB에 저장하고 의사결정 시스템에 의해 보안 위협에 대응하여 IDS/IPS가 공격 시도IP를 차단하거나, 방화벽과 IDS/IPS에 blacklist로 등록하고 악성 코드나 바이러스에 대응하여 백신 솔류션을 적용하도록 제공하는 위협 정보 수집 서버를 포함한다.
본 발명의 AI 기반 이상징후 침입 탐지 및 대응 시스템은 인터넷 메일, 악성코드, 바이러스/웜, DDoS 공격에 대하여 외부 네트워크로부터 유입되는 TCP/IP 패킷을 참조하여 악성 코드/바이러스에 의한 IT 시스템 장애, 보안사고, 급격한 네트워크 트래픽 증가 등 AI 기반 이상징후에 관한 보안 위협과 침입을 탐지하여 인터넷 메일, 악성코드, 바이러스/웜, DDoS 공격에 대하여 사전에 학습된 AI 머신 러닝의 학습을 통해 데이터 마이닝을 사용하여 빅 데이터를 분석하고, 정상적인 데이터 학습 후 비정상적인 이상징후 탐지하고 비정상적인 데이터 학습 후 비정상적인 이상징후 탐지하며 비정상 데이터에 대하여 위협 DB에 저장하고 의사결정 시스템에 의해 보안 위협에 대응하여 IDS/IPS가 공격 시도IP를 차단하거나, 방화벽(F/W)과 IDS/IPS에 blacklist로 등록하고 악성 코드나 바이러스에 대응하여 백신 솔류션을 적용하여 보안 위협과 침입에 대응하여 보안 침해 사고를 예방하는 효과가 있다.
AI 기반 이상징후 침입 탐지 및 대응 시스템은 i) 기술적인 측면에서 보안 사고 침입 탐지의 수치예측 결과의 정확도를 높임으로써, 신뢰도 높은 시스템을 구축하며, 빅 데이터 분석/예측을 통한 선제적 상황 인지 및 상황 대응 능력을 강화하며, IT 운영 능력을 향상시키며, ii) 경제적인 측면에서, IT 운영 관리 비용을 절감하고, iii) 사회적인 측면에서, 인터넷 보안, AI 및 빅데이터 엔지니어 등의 4차 산업 고용 인력을 창출하며, IT 운영 및 장애 관련 빅 데이터 분석과 AI기반 이상행위 탐지모델 개발 능력을 갖춘 전문적인 IT 운영 핵심 인력을 양성하게 되었다.
도 1은 종래의 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의 인터넷 웜 탐지장치(220)를 도시한 블럭도이다.
도 2는 기존 SACT(Sinkhole and Compressed Filter based Trackback) 시스템을 도시한 도면이다.
도 3은 DrDoS 공격과 DNS 캐시 포이즈닝 개념도이다.
도 4는 본 발명에 따른 AI 기반 이상징후 침입 탐지 및 대응 시스템 구성도이다.
이하, 본 발명의 바람직한 실시예를 첨부된 도면을 참조하여 발명의 구성 및 동작을 상세하게 설명한다. 본 발명의 설명에 있어서 관련된 공지의 기능 또는 공지의 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 자세한 설명을 생략한다. 또한, 첨부된 도면 번호는 동일한 구성을 표기할 때에 다른 도면에서 동일한 도면번호를 부여한다.
본 발명의 AI 기반 이상징후 침입 탐지 및 대응 시스템은 인터넷 메일, 악성코드, 바이러스/웜, DDoS 공격에 대하여 유형별로 외부 네트워크로부터 유입되는 악성 코드/바이러스에 의한 IT 시스템 장애, 보안사고, 급격한 네트워크 트래픽 증가 등 AI 기반 이상징후에 관한 보안 위협과 침입을 탐지하도록 인터넷 메일, 악성코드, 바이러스/웜, DDoS 공격에 대하여 사전에 학습된 AI 머신 러닝의 학습을 통해 빅 데이터를 분석하고, 정상적인 데이터 학습 후 비정상적인 이상징후 탐지하고 비정상적인 데이터 학습 후 비정상적인 이상징후 탐지하며 정상/비정상 데이터를 추출 분류하여 정상 데이터를 통과시키며, 비정상 데이터에 대하여 위협 DB에 저장하고 의사결정 시스템에 의해 보안 위협에 대응하여 IDS/IPS가 공격 시도IP를 차단하거나, 방화벽(F/W)과 IDS/IPS에 blacklist로 등록하고 악성 코드나 바이러스에 대응하여 백신 솔류션을 적용하여 보안 위협과 침입에 대응하여 보안 침해 사고를 예방한다.
도 4는 본 발명에 따른 AI 기반 이상징후 침입 탐지 및 대응 시스템 구성도이다.
공격자 PC(700)로부터 라우터(L3 스위치)(710, 720)를 통해 외부 네트워크로부터 내부 네트워크로 진입시 존재하는 방화벽(900)과 침입탐지 시스템(IDS) 또는 (IPS)(910)이 구비되며, 침입탐지 시스템(IDS) 또는 침입차단시스템(IPS)(910)는 위협정보 수집 서버(920)와 위협DB, 백신DB에 연동되며, 이후 인트라넷에는 다수의 사용자 단말(PC)(940)이 구비된다.
['침입 탐지' 또는 '네트워크 침입차단' 발생시 조치사항]
1. '네트워크 침입차단' 로그에 남는 공격자 IP 주소와, 공격당한 희생자 IP 주소를 기록
2. '네트워크 침입차단'로그에 남는 공격자 IP의 PC에서 V3최신엔진으로 전체 수동 검사. 악성코드(랜섬 웨어 등 malware) 또는 바이러스/웜에 의해 공격받을 수 있으므로 V3 최신 엔진 등의 백신을 사용하여 모든 디스크 드라이버를 수동 검사
3. 불필요하게 네트워크 연결하고 있는 프로세스가 있는지 확인하기 위해 TcpView를 사용하면 현재 네트워크를 사용하고 있는 프로그램을 확인할 수 있다.
4. 네트워크 트래픽은 SNMP(Simple Network Management Protocol)를 사용하여 MRTG(Multi Router Traffic Grapher) 네트워크 트래픽 모니터링 측정 소프트웨어를 사용하여 네트워크 링크의 네트워크 트래픽을 측정한다.
참고로, MRTG는 Perl로 작성되며, SNMP 프로토콜을 사용하며 Windows, Linux, Unix, Mac OS 및 Netware에서 실행할 수 있으며, MRTG는 TCP/IP 네트워크 트래픽을 모니터링하는 도구로써 시간별 트래픽 변화 추이를 그래프로 확인할 수 있으며, DDoS 공격에 의해 특정 웹사이트에 급속히 TCP/IP 네트워크 트래픽 증가되는 이상 징후를 발견할 수 있다.
TCP/IP 프로토콜은 송신자 IP 주소와 port 번호와 수신자 IP 주소와 port 번호로 통신된다.
해킹 침투 방법은 기본적으로 접근권한을 유지하고 정보 수집(information gathering); 탐색(reconnaissance); 공격 대상 컴퓨터의 어떤 port가 열려 있고 어떤 서비스를 제공하는지 공격대상 IP 주소의 포트 스캐닝(port scanning); 공격(attack)을 포함하는 4단계로 구성된다.
예를들면, whois 서비스는 기업의 DNS 서버에 등록되어 있는 IP 주소, 호스트 이름, 회사 주소, 전화번호 등의 공격대상의 연락처 정보를 얻도록 해준다.
whois target@domain
탐색을 하다보면, IP 주소보다 호스트 이름을 결과로 얻르 수 있다. 이러한 경우 host 툴을 사용하여 호스트 이름을 IP 주소로 변환할 수 있다.
host target_hostname
host aaa.example.com
또한, DNS 서버에서 정보 추출하는 방법은 nslookup 또는 dig를 사용한다. nslookup은 DNS 서버의 IP주소를 입력하여 쿼리하며 호스트의 기록을 확보하는 툴을사용한다.
nslookup
> server 33.77.88.99
dig는 zone transfer로 실제 공격대상 IP 주소(target_ip)를 입력하면 공격대상 DNS 서버의 IP 주소와 호스트의 모든 목록을 획득할 수 있다. dig의 "-t AXFR" dhqtusdmf 사용하여 기업의 DMZ zone 외부로 zone transfer를 할 수 있다.
dig @target_ip
dig @192.168.1.23 example.com -t AXFR
이메일 스팸 필터링의 경우, 이메일은 헤더(header)와 바디(body)로 구성되며, 스팸 필터(spam filter)에 의해 이메일 헤더의 기 설정된 특정 스팸 키워드(keyword)를 체크하여 스팸 문구가 존재하면 스팸 폴더로 저장된다.
정체 불명의 송신자 이메일과 송신자 정보가 없는 바이러스가 존재하는 첨부파일이 포함된 이메일은 이상 징후가 있는 경우, 이상징후가 있는 첨부 파일(예시, PDF가 포함된 RAR 포맷으로 압축된 압축 파일 형태의 의심스러운 첨부파일)을 다운로드하여 저장하면 바이러스에 감염되지 않도록 바로 해당 첨부파일을 바이러스 백신을 사용하여 바이러스 검사를 하면 감염을 방지할 수 있다. 이 경우, 바이러스 백신은 실시간으로 탐지 검사 기능이 작동된다.
- Beverly Wang
- "Please this is the send mail..."
- 첨부 파일: "PO-PRODUCT9988-PDF.rar"
방화벽(900)은 기업 내부의 인트라넷의 라우터(router) 또는 게이트웨이(gateway)에 설치되며, 컴퓨터 네트워크에서 해커나 크래커의 불법 침입을 차단하고 네트워크 보안 사고를 방지하기 위해 허가된 사용자 외에 접근 자체를 차단하며, 패킷 필터링 방화벽(packet filtering firewall), 이중 홈 게이트웨이 방화벽(dual-homed gateway firewall), 차폐 호스트 방화벽(screened host firewall) 등이 있다.
침입 탐지 시스템(IDS)(910)은 트로이 목마(Trojan Horse), 또는 악성코드를 탐지하여 백신을 작동시키며, 백도어(backdoor)를 탐지하여 억제한다. 참고로, 백도어는 정상적인 인증 절차를 거치지 않고, 컴퓨터와 암호 시스템 등에 접근할 수 있도록 하는 방법이다. 백도어는 주로 설계 및 개발 단계에 의도적으로 심어지는 것이지만, 작동 중인 컴퓨터에 존재하는 보안 취약점을 통해 전송된 소프트웨어(트로이목마 등)에 의해 만들어지기도 한다.
침입 차단 시스템(IPS)(910)은 디지털 백신(Digital Vaccine) 또는 보안 필터(Malware Filter와 스팸 필터)를 사용하여 외부에서 OS나 응용프로그램의 취약점을 노린 트래픽을 탐지/차단하여 기업 내부의 호스트 컴퓨터가 악성코드나 바이러스/웜에 감염되지 않도록 하며, Reputation Feed(추가적인 옵션 기능)으로써 IP주소/DNS도메인/URL블랙리스트에 기업 내부의 단말에서 C&C 서버 및 피싱 사이트에 대한 무단 통신을 차단한다.
침입 차단 시스템(IPS)(910)은 네트워크 보안(Network Security) 차원에서, 방화벽 솔루션에 포함하거나, 별도의 독립적 어플라이언스로 사용될 수 있다.
위협정보 수집 서버(920)는 일측은 침입 탐지 시스템(IDS)(910) 또는 침입 차단 시스템(IPS)(910)에 연결되고, 타측은 GUI 기반의 세큐리티 매니저(Security Manager)(930)와 연결되며,
위협정보 수집 서버(920)는
악성 코드/바이러스에 의한 IT 시스템 장애, 보안사고와 침해 위협을 방지하기 위해, 악성코드 또는 바이러스/웜이 포함된 파일이 첨부된 인터넷 메일, 급격한 네트워크 트래픽 증가를 야기하는 DDoS 공격에 대하여 외부 네트워크로부터 내부 네트워크로 유입되는 유형별로 보안 사고 이상 징후 데이터를 수집하는 데이터 수집부(921);
외부 네트워크로부터 유입되는 상기 악성코드 또는 바이러스/웜이 포함된 파일이 첨부된 인터넷 메일에 첨부된 파일의 바이러스/악성코드를 검사하고, 네트워크 트래픽 모니터링 프로그램(MRTG 등)에 의해 감지되는 급격한 네트워크 트래픽 증가를 야기하는 DDoS 공격에 대하여 트래픽을 측정하여 평상시 트래픽값의 임계치 이상의 AI 기반 보안 위협 이상징후를 탐지하는 AI 기반 침입 탐지부(923);
인터넷 메일, 악성코드, 바이러스/웜, DDoS 공격에 대하여 유형별로 사전에 학습된 AI 머신 러닝의 학습을 통해 네트워크 트래픽 임계치 초과여부를 확인하고 보안사고 위협 관련 빅 데이터를 분석하고, 정상적인 데이터 학습 후 비정상적인 이상징후 탐지하고 비정상적인 데이터 학습 후 비정상적인 이상징후 탐지하며 비정상 데이터에 대하여 위협 DB에 저장하고 의사결정 시스템(DSS)에 제공하는 데이터 분석부(927);
의사결정 시스템(DSS)에 의해 GUI 기반의 세큐리티 매니저(930)로 보안탐지 비정상적인 이상징후 데이터와 이벤트 정보를 출력하여 침해에 대응하도록 하는 침해 대응부(929); 및
악성 코드나 바이러스에 대응된 백신 솔류션을 적용하도록 제공하는 백신DB를 포함한다.
상기 위협정보 수집 서버(920)는
상기 침해 대응부(929)에 연결되고, 상기 GUI 기반의 세큐리티 매니저(930)와 연결되며,
상기 GUI 기반의 세큐리티 매니저(930)로 보안탐지 비정상적인 이상징후 데이터와 이벤트 정보를 출력하고, 상기 GUI 기반의 세큐리티 매니저(930)에 의해 보안 위협에 대응하여 IDS/IPS가 공격 시도IP를 차단하거나, 방화벽(F/W)(900)과 침입탐지 시스템(IDS/IPS)(910)에 blacklist로 등록하고 백신DB에서 제공되는 악성 코드나 바이러스에 대응하여 백신 솔류션을 적용하도록 하는 의사결정 시스템(DSS); 및
정상적인 데이터/비정상적인 데이터 학습 후 보안 위협에 해당되는 비정상적인 이상징후 탐지하며 비정상 데이터를 저장하는 위협DB를 더 포함한다.
상기 위협정보 수집 서버(920)는
보안사고의 유형별 로그 기록과 횟수, 보안사고 유형별 이상징후 데이터를 학습하여 예측 데이터를 수치화하고, 위협 보안사고 분석 통계(일별/주별/월별 보안사고 현황/추이)를 제공하고, 이를 데이터 시각화하여 막대그래프, 파이차트, 박스 플롯(Box Plot), 통계 추이 그래프, 산점도(scatter diagram)로 도형화하는 통계정보 제공부를 더 포함한다.
예를 들면, 비정상적인 이상징후는 악성코드 및 바이러스/웜의 검출, 스팸 필터의 이메일 헤더의 스팸 메일에 포함되는 특정 문구 키워드(keyword)에 의해 필터링 된 스팸 메일 폴더에 저장되며, 평상시 메일 송수신 평균 임계치 횟수 보다 더 많은 스팸메일의 증가, 평상시 가용트래픽 임계치 이상의 급속한 네트워크 트래픽 증가 등을 포함한다.
상기 세큐리티 매니저는 위협정보 수집 서버(920)와 연동되고, 상기 기업 내부 네트워크의 IT 정보 시스템과 연동되고, 상기 기업 내부 네트워크의 IT 정보 시스템(기업 서버)(970)은 운영하면서 발생되는 WEB, WAS, DB에서 수집되는 ID/Passwd 내부 접근권한 관리(Access Control) 정보와 접속 IP 주소와 ID/Passwd 로그 정보와 사용시간, 성능지표 및 서버 성능 지표, 업무시스템 사용 기록, 개인정보 열람 로그, 이벤트 발생 로그의 정보 수집과 분석/탐지 정보를 기록한다.
* 인공지능(AI)과 빅데이터 분석 기술 활용하여 정밀 보안 위협 탐지, 분석/대응이 가능한 JMachine 시스템 구축
(1) IT 운영 데이터를 활용한 미래 장애예측 탐지
- 업무 및 서버 성능지표에 대한 수치 예측
- 국내 독보적인 High Value Date 수집/분석 및 장애 예측 기술 실현
(2) 수치예측 및 이벤트 기반의 IT 장애 분석/탐지
- 정상적인 데이터 학습 후, 보안 위협 비정상적인 이상징후 탐지
- 비정상적인 데이터 학습 후, 보안 위협 비정상적인 이상징후 탐지
(3) 발생 이벤트의 유형/성격을 기존 대응 이력을 기반으로 사용자에게 대응 유형을 의사결정을 지원한다.
고객가치 AIOps 기반의 IT 인프라 시스템의 무장애를 실현
* 머신 러닝의 비정상정인 데이터 학습에 사용한 알고리즘과 정확도 지표
­ 수치예측 모델예측 평가지표 : RMSE(Root Mean Square Error)
­ 정확도 지표 : SMAPE(Symmetric mean absolute percentage error)
* 학습 데이터 전처리
­ AI 모델 생성 및 학습 데이터 생성 : 시계열이 확보된 Data
* 보안사고 이상징후 탐지 방법
­ AI 가변 임계치: 평상시 네트워크 트래픽 값 등의 자동으로 AI가 임계치 지정(평균치와 관측치 기반)
­ AI 수치 이상징후 탐지: 메일 수신 횟수 급속한 스팸메일의 증가 등의 다중 수치상의 이상패턴 자동 탐지
­ AI 로그 이상징후 탐지: 자연어 처리 기술(NLP)을 사용하여 텍스트 문장상의 이상패턴 자동탐지
­ AI 이상징후 탐지/예측: AI가 다중 데이터를 종합분석 이상징후 자동 탐지
* 보안 위협 데이터 분석 및 대응
­ 발생된 이벤트의 유형/성격을 기존 대응 이력과 비교하여, 사용자에게 대응 유형을 의사결정을 할 수 있도록 GUI 기반 세큐리티 매니저 지원
­ DataMart를 활용하여 사용자 정의가 가능한 이벤트 대응 대시보드
하지만, IT 운영관제 시장의 요구사항으로 IT 운영 전반에 걸친 장애예측 및 자동 대응을 할 수 있는 IT장애 예측 시스템을 요구하고 있으며, 이를 실현하기 위하여 본 참여업체가 보안사고 이상징후 데이터를 탐지하는 인공지능 모듈을 탑재하여 개발한 JMACHINE에 다음의 과제를 수행할 필요성이 절실하다.
­ 보안사고 유형별 로그 기록과 횟수, 보안사고 유형별 통계 수치 및 용량 데이터를 학습하여 예측 데이터를 수치화하고, 위협 보안사고 분석 통계(일별/주별/월별 보안사고 현황/추이)를 제공하고, 이를 데이터 시각화하여 막대그래프, 파이차트, 박스 플롯(Box Plot), 산점도(scatter diagram)로 도형화하여 직관성 확보
­ 보안사고 통계와 수치예측 결과의 정확도(accuracy)를 높임으로써, 신뢰도 높은 시스템 구축
­ 분석/예측을 통한 선제적 상황 인지 및 상황 대응 능력 강화
­ IT 인프라 시스템의 무장애를 실현
IT 정보 시스템은 운영하면서 발생하는 거의 모든 데이터(WEB, WAS, DB에서 수집되는 내부 접근권한 관리(Access Control)와 로그 정보와 성능지표 및 서버 성능 지표, 업무시스템 사용 기록, 개인정보 열람 로그, 이벤트 발생 로그 등)의 정보 수집과 분석/탐지가 필요하다.
이러한 방대하고 다양한 데이터에서 IT 장애 예측 관련된 정보를 사람이 분석/식별하는 것은 한계가 있으며, 이를 기반으로 IT 장애 예측은 현실적으로 불가한 상황이며, 이를 극복하기 위해 빅데이터를 AI로 분석하고, 장애를 예측하기 위한 기술이 절실하게 요구된다.
[연구개발 범위]
* 학습에 사용한 알고리즘과 정확도 지표
­ 수치예측 모델예측 평가지표 : RMSE(Root Mean Square Error)
­ 정확도 지표 : SMAPE(Symmetric mean absolute percentage error)
* 학습 데이터 전처리
­ AI 모델 생성 및 학습 데이터 생성 : 시계열이 확보된 Data
* 이상징후 탐지 방법
­ AI 가변 임계치: 자동으로 AI가 임계치 지정(관측치 기반)
­ AI 가변 임계 예측: 자동으로 AI가 임계치 예측(예측치 기반)
­ AI 수치 이상징후 탐지: 다중 수치상의 이상패턴 자동 탐지
­ AI 로그 이상징후 탐지: 텍스트 문장상의 이상패턴 자동탐지
­ AI 이상징후 탐지/예측: AI가 다중 데이터를 종합분석 이상징후 자동 탐지
* 분석 및 대응
­ 발생된 보안사고의 이상징후 이벤트의 유형별(악성코드, 바이러스, 웜, DDoS 공격) 기존 대응 이력과 비교하여, 관리자에게 대응 유형을 의사결정할 수 있도록 지원한다.
­ DataMart를 활용하여 사용자 정의가 가능한 이벤트 대응 대시보드
국내외 경쟁 제품과의 우수성 확보 전략은 다음과 같이 제시하였다.
1) 데이터 수집만으로 즉시적인 AI 모델생성 및 학습 시작
2) AIOps 분석/탐지 데이터와 업무의 통합
- 성능지표 및 이벤트 발생 데이터 기반의 IT 장애예측 기반 마련
3) 탐지율과 정탐율을 수치를 제공할 수 있는 객관적 데이터 확보
4) IT 장애에 대한 사전 식별 및 정밀분석, 사용자 의사결정 정보 제공
* 개발/모델 구축 및 데이터/기능(단위/통합) 검증
1. 전처리 : AI 모델 생성 및 학습을 위한 데이터 표준화
2. 탐지 : AI 기반 보안사고 이상징후 탐지.
3. 분석 : AI 수치예측 분석 / AI 이벤트 분석
4. 대응 : AI를 사용하여 침해 대응 의사결정 자동화
본 발명의 AI 기반 이상징후 침입 탐지 및 대응 시스템은 인터넷 메일, 악성코드, 바이러스/웜, DDoS 공격에 대하여 외부 네트워크로부터 유입되는 악성 코드/바이러스에 의한 IT 시스템 장애, 보안사고, 급격한 네트워크 트래픽 증가 등 AI 기반 이상징후에 관한 보안 위협과 침입을 탐지하도록 인터넷 메일, 악성코드, 바이러스/웜, DDoS 공격에 대하여 사전에 학습된 AI 머신 러닝의 학습을 통해 빅 데이터를 분석하고, 정상적인 데이터 학습 후 비정상적인 이상징후 탐지하고 비정상적인 데이터 학습 후 비정상적인 이상징후 탐지하며 정상/비정상 데이터를 추출 분류하여 정상 데이터를 통과시키며, 비정상 데이터에 대하여 위협 DB에 저장하고 의사결정 시스템에 의해 보안 위협에 대응하여 IDS/IPS가 공격 시도IP를 차단하거나, 방화벽(F/W)과 IDS/IPS에 blacklist로 등록하고 악성 코드나 바이러스에 대응하여 백신 솔류션을 적용하여 보안 위협과 침입에 대응하여 보안 침해 사고를 예방한다.
AI 기반 이상징후 침입 탐지 및 대응 시스템은 i) 기술적인 측면에서 보안 사고 침입 탐지의 수치예측 결과의 정확도를 높임으로써, 신뢰도 높은 시스템을 구축하며, 빅 데이터 분석/예측을 통한 선제적 상황 인지 및 상황 대응 능력을 강화하며, IT 운영 능력을 향상시키며, ii) 경제적인 측면에서, IT 운영 관리 비용을 절감하고, iii) 사회적인 측면에서, 인터넷 보안, AI 및 빅데이터 엔지니어 등의 4차 산업 고용 인력을 창출하며, IT 운영 및 장애 관련 빅 데이터 분석과 AI기반 이상행위 탐지모델 개발 능력을 갖춘 전문적인 IT 운영 핵심 인력을 양성하게 되었다.
본 발명에 따른 실시예들은 다양한 컴퓨터 수단을 통해 수행될 수 있는 프로그램 명령 형태로 구현되고 컴퓨터 판독 가능 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 기록 매체는 프로그램 명령, 데이터 파일, 데이터 구조를 단독으로 또는 조합하여 포함할 수 있다. 컴퓨터 판독 가능 기록 매체는 스토리지, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 저장 매체에 프로그램 명령을 저장하고 수행하도록 구성된 하드웨어 장치가 포함될 수 있다. 프로그램 명령의 예는 컴파일러에 의해 만들어지는 것과, 기계어 코드뿐만 아니라 인터프리터를 사용하여 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함할 수 있다. 상기 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로써 작동하도록 구성될 수 있다.
이상에서 설명한 바와 같이, 본 발명의 방법은 프로그램으로 구현되어 컴퓨터의 소프트웨어를 이용하여 읽을 수 있는 형태로 기록매체(CD-ROM, RAM, ROM, 메모리 카드, 하드 디스크, 광자기 디스크, 스토리지 디바이스 등)에 저장될 수 있다.
본 발명의 구체적인 실시예를 참조하여 설명하였지만, 본 발명은 상기와 같이 기술적 사상을 예시하기 위해 구체적인 실시 예와 동일한 구성 및 작용에만 한정되지 않고, 본 발명의 기술적 사상과 범위를 벗어나지 않는 한도 내에서 다양하게 변형하여 실시될 수 있다. 따라서, 그와 같은 변형도 본 발명의 범위에 속하는 것으로 간주해야 하며, 본 발명의 범위는 후술하는 특허청구범위에 의해 결정되어야 한다.
700: 공격자 PC 710,720: 라우터(L3 스위치)
900: 방화벽 910: 침입탐지 시스템(IDS)
920: 위협정보 수집 서버 921: 데이터 수집부
923: AI 기반 침입 탐지부 927: 데이터 분석부
929: 침해 대응부 930: 세큐리티 매니저
940: 사용자 단말(PC) 970: 기업 서버

Claims (7)

  1. 기업 내부 네트워크의 라우터나 게이트웨이에 설치되는 방화벽;
    상기 방화벽에 연결되는 침입 탐지 시스템(IDS) 또는 침입 차단 시스템(IPS); 및
    상기 침입 탐지 시스템(IDS) 또는 상기 침입 차단 시스템(IPS)에 연결되며, IT 시스템 장애, 보안사고, 급격한 네트워크 트래픽 증가 등 AI 기반 이상징후에 관한 보안 위협과 침입을 탐지하도록 인터넷 메일, 악성코드, 바이러스/웜, DDoS 공격에 대하여 사전에 학습된 AI 머신 러닝의 학습을 통해 이상 징후 데이터에 대하여 타입별 빅 데이터를 분석하고, 정상적인 데이터 학습 후 비정상적인 이상징후 탐지하고 비정상적인 데이터 학습 후 비정상적인 이상징후 탐지하며 비정상 데이터에 대하여 위협 DB에 저장하고 의사결정 시스템에 의해 보안 위협에 대응하여 IDS/IPS가 공격 시도IP를 차단하거나, 방화벽과 IDS/IPS에 blacklist로 등록하고 악성 코드나 바이러스에 대응하여 백신 솔류션을 적용하는 위협 정보 수집 서버; 를 포함하며,
    상기 위협정보 수집 서버는
    악성코드 또는 바이러스/웜이 포함된 파일이 첨부된 인터넷 메일, 급격한 네트워크 트래픽 증가를 야기하는 DDoS 공격에 대하여 외부 네트워크로부터 내부 네트워크로 유입되는 유형별로 보안 사고 이상 징후 데이터를 수집하는 데이터 수집부;
    외부 네트워크로부터 유입되는 상기 악성코드 또는 바이러스/웜이 포함된 파일이 첨부된 인터넷 메일에 첨부된 파일의 바이러스/악성코드를 검사하고, 네트워크 트래픽 모니터링 프로그램(MRTG)에 의해 감지되는 급격한 네트워크 트래픽 증가를 야기하는 DDoS 공격에 대하여 트래픽을 측정하여 평상시 트래픽값의 임계치 이상의 AI 기반 보안 위협 이상징후를 탐지하는 AI 기반 침입 탐지부;
    인터넷 메일, 악성코드, 바이러스/웜, DDoS 공격에 대하여 유형별로 사전에 학습된 AI 머신 러닝의 학습을 통해 네트워크 트래픽 임계치 초과여부를 확인하고 보안사고 위협 관련 빅 데이터를 분석하고, 정상적인 데이터 학습 후 비정상적인 이상징후 탐지하고 비정상적인 데이터 학습 후 비정상적인 이상징후 탐지하며 비정상 데이터에 대하여 위협 DB에 저장하고 의사결정 시스템(DSS)에 제공하는 데이터 분석부;
    GUI 기반의 세큐리티 매니저로 보안탐지 비정상적인 이상징후 데이터와 이벤트 정보를 출력하여 침해에 대응하도록 하는 침해 대응부; 및
    악성 코드나 바이러스에 대응된 백신 솔류션을 제공하는 백신DB를 포함하고
    상기 위협정보 수집 서버는
    상기 침해 대응부에 연결되고, 상기 GUI 기반의 세큐리티 매니저와 연결되며,
    상기 GUI 기반의 세큐리티 매니저로 보안탐지 비정상적인 이상징후 데이터와 이벤트 정보를 출력하고, 상기 GUI 기반의 세큐리티 매니저에 의해 보안 위협에 대응하여 IDS/IPS가 공격 시도IP를 차단하거나, 방화벽(F/W)과 IDS/IPS에 blacklist로 등록하고 백신DB에서 제공되는 악성 코드나 바이러스에 대응하여 백신 솔류션을 적용하도록 하는 의사결정 시스템(DSS); 및
    정상적인 데이터/비정상적인 데이터 학습 후 보안 위협에 해당되는 비정상적인 이상징후 탐지하며 비정상 데이터를 저장하는 위협DB; 을 포함하고,
    상기 위협정보 수집 서버(920)는 보안사고의 유형별 로그 기록과 횟수, 보안사고 유형별 이상징후 데이터를 학습하여 예측 데이터를 수치화하고, 위협 보안사고 분석 통계(일별/주별/월별 보안사고 현황/추이)를 제공하고, 이를 데이터 시각화하여 막대그래프, 파이차트, 박스 플롯(Box Plot), 통계 추이 그래프, 산점도(scatter diagram)로 도형화하는 통계정보 제공부를 더 포함하고,
    비정상적인 이상징후는 악성코드 및 바이러스/웜의 검출, 스팸 필터의 이메일 헤더의 스팸 메일에 포함되는 특정 문구 키워드(keyword)에 의해 필터링 된 스팸 메일 폴더에 저장되며, 평상시 메일 송수신 평균 임계치 횟수 보다 더 많은 스팸메일의 증가, 평상시 가용트래픽 임계치 이상의 급속한 네트워크 트래픽 증가를 포함하며,
    상기 세큐리티 매니저는 위협정보 수집 서버(920)와 연동되고, 상기 기업 내부 네트워크의 IT 정보 시스템과 연동되고, 상기 기업 내부 네트워크의 IT 정보 시스템(기업 서버)(970)은 운영하면서 발생되는 WEB, WAS, DB에서 수집되는 ID/Passwd 내부 접근권한 관리(Access Control) 정보와 접속 IP 주소와 ID/Passwd 로그 정보와 사용시간, 성능지표 및 서버 성능 지표, 업무시스템 사용 기록, 개인정보 열람 로그, 이벤트 발생 로그의 정보 수집과 분석/탐지 정보를 기록하는 것을 특징으로 하는 AI 기반 이상징후 침입 탐지 및 대응 시스템.
  2. 제1항에 있어서,
    상기 침입 탐지 시스템(IDS)은 트로이 목마, 또는 악성코드를 탐지하여 백신을 작동시키며, 백도어를 탐지하여 억제하는, AI 기반 이상징후 침입 탐지 및 대응 시스템.
  3. 제1항에 있어서,
    상기 침입 차단 시스템(IPS)은 디지털 백신 또는 보안 필터(Malware Filter)를 사용하여 외부에서 OS나 응용프로그램의 취약점을 노린 트래픽을 탐지/차단하여 기업 내부의 호스트 컴퓨터가 악성코드나 바이러스/웜에 감염되지 않도록 하며, 옵션 기능으로써 IP주소/DNS도메인/URL블랙리스트에 기업 내부의 단말에서 C&C 서버 및 피싱 사이트에 대한 통신을 차단하는, AI 기반 이상징후 침입 탐지 및 대응 시스템.
  4. 제1항에 있어서,
    상기 침입 차단 시스템(IPS)은 네트워크 보안 차원에서, 방화벽 솔루션에 포함하거나, 별도의 독립적 어플라이언스로 사용되는, AI 기반 이상징후 침입 탐지 및 대응 시스템.
  5. 제1항에 있어서,
    상기 위협정보 수집 서버는 일측은 상기 침입 탐지 시스템(IDS) 또는 침입 차단 시스템(IPS)에 연결되고, 타측은 GUI 기반의 세큐리티 매니저(Security Manager)와 연결되는, AI 기반 이상징후 침입 탐지 및 대응 시스템.
  6. 삭제
  7. 삭제
KR1020200170705A 2020-12-08 2020-12-08 Ai 기반 이상징후 침입 탐지 및 대응 시스템 KR102501372B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200170705A KR102501372B1 (ko) 2020-12-08 2020-12-08 Ai 기반 이상징후 침입 탐지 및 대응 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200170705A KR102501372B1 (ko) 2020-12-08 2020-12-08 Ai 기반 이상징후 침입 탐지 및 대응 시스템

Publications (2)

Publication Number Publication Date
KR20220081145A KR20220081145A (ko) 2022-06-15
KR102501372B1 true KR102501372B1 (ko) 2023-02-21

Family

ID=81987487

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200170705A KR102501372B1 (ko) 2020-12-08 2020-12-08 Ai 기반 이상징후 침입 탐지 및 대응 시스템

Country Status (1)

Country Link
KR (1) KR102501372B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102531376B1 (ko) * 2022-08-01 2023-05-12 (주)트라이언아이앤씨 망연계 기반의 정보와 네트워크 보안 관제 시스템 및 그 방법
KR102517657B1 (ko) * 2022-11-04 2023-04-05 (주)천도엔지니어링 공동주택 정보통신망 제어 시스템
CN116319005A (zh) * 2023-03-21 2023-06-23 上海安博通信息科技有限公司 结合自然语言处理模型的攻击检测方法、装置及处理系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101814368B1 (ko) * 2017-07-27 2018-01-04 김재춘 빅데이터 및 인공지능을 이용한 정보 보안 네트워크 통합 관리 시스템 및 그 방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100862187B1 (ko) 2006-10-27 2008-10-09 한국전자통신연구원 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법
KR101553172B1 (ko) 2014-07-28 2015-09-15 가톨릭관동대학교산학협력단 포렌직 기반 sact 시스템 및 그 구동방법
KR102079304B1 (ko) * 2018-04-18 2020-02-19 롯데정보통신 주식회사 화이트리스트 기반 악성코드 차단 장치 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101814368B1 (ko) * 2017-07-27 2018-01-04 김재춘 빅데이터 및 인공지능을 이용한 정보 보안 네트워크 통합 관리 시스템 및 그 방법

Also Published As

Publication number Publication date
KR20220081145A (ko) 2022-06-15

Similar Documents

Publication Publication Date Title
KR101689296B1 (ko) 보안이벤트 자동 검증 방법 및 장치
WO2018177210A1 (zh) 防御apt攻击
US8640234B2 (en) Method and apparatus for predictive and actual intrusion detection on a network
KR101045362B1 (ko) 능동 네트워크 방어 시스템 및 방법
Hunt et al. Network forensics: an analysis of techniques, tools, and trends
KR102501372B1 (ko) Ai 기반 이상징후 침입 탐지 및 대응 시스템
Kaur et al. Comparison of network security tools-firewall, intrusion detection system and Honeypot
Innab et al. Hybrid system between anomaly based detection system and honeypot to detect zero day attack
Hindy et al. A taxonomy of malicious traffic for intrusion detection systems
Carter et al. Intrusion prevention fundamentals
Hunt New developments in network forensics—Tools and techniques
Simkhada et al. Security threats/attacks via botnets and botnet detection & prevention techniques in computer networks: a review
Stanciu Technologies, methodologies and challenges in network intrusion detection and prevention systems.
Hunt et al. Achieving critical infrastructure protection through the interaction of computer security and network forensics
Yu et al. On detecting active worms with varying scan rate
Behal et al. Signature-based botnet detection and prevention
Nyakomitta et al. A survey of data exfiltration prevention techniques
Sulieman et al. Detecting zero-day polymorphic worm: A review
Ahmed et al. Characterizing strengths of snort-based IDPS
Harale et al. Network based intrusion detection and prevention systems: Attack classification, methodologies and tools
Hunt et al. The design of real-time adaptive forensically sound secure critical infrastructure
Verwoerd Active network security
Nafarieh Detecting Bot Networks Based On HTTP And TLS Traffic Analysis
Sawyer Potential threats and mitigation tools for network attacks
Herbert et al. Towards Enhanced Threat Intelligence Through NetFlow Distillation

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant