KR102550043B1 - 트래픽 분석 장치 및 그 방법 - Google Patents

트래픽 분석 장치 및 그 방법 Download PDF

Info

Publication number
KR102550043B1
KR102550043B1 KR1020180041189A KR20180041189A KR102550043B1 KR 102550043 B1 KR102550043 B1 KR 102550043B1 KR 1020180041189 A KR1020180041189 A KR 1020180041189A KR 20180041189 A KR20180041189 A KR 20180041189A KR 102550043 B1 KR102550043 B1 KR 102550043B1
Authority
KR
South Korea
Prior art keywords
host
traffic
characteristic factor
network
analysis device
Prior art date
Application number
KR1020180041189A
Other languages
English (en)
Other versions
KR20190118054A (ko
Inventor
이은혜
김재희
지정은
김민재
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020180041189A priority Critical patent/KR102550043B1/ko
Publication of KR20190118054A publication Critical patent/KR20190118054A/ko
Application granted granted Critical
Publication of KR102550043B1 publication Critical patent/KR102550043B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4552Lookup mechanisms between a plurality of directories; Synchronisation of directories, e.g. metadirectories

Abstract

트래픽 분석 장치가 제공된다. 본 발명의 일 실시예에 따른 트래픽 분석 장치는 트래픽 데이터를 수집하는 트래픽 수집부, 상기 트래픽 데이터를 기초로 네트워크에 관한 특성인자(feature)를 추출하는 특성인자 추출부 및 상기 추출된 특성인자를 기초로 상기 네트워크 상에 존재하는 호스트 중에서 의심 호스트를 판별하는 판별부를 포함할 수 있다. 이때, 상기 추출된 특성인자는, 특정 소스 호스트(source host)가 목적 호스트(destination host)에 접속한 횟수와 특정 목적 호스트에 접속한 소스 호스트의 개수에 기초하여 결정되는 제1 특성인자를 포함할 수 있다.

Description

트래픽 분석 장치 및 그 방법{APPARATUS FOR ANALYZING TRAFFIC AND METHOD THEREOF}
본 발명은 트래픽 분석 장치 및 그 방법에 관한 것이다. 보다 자세하게는, 트래픽 데이터를 분석하여 비정상 트래픽과 연관된 호스트를 탐지하고, 대량의 트래픽 데이터를 효과적으로 시각화하는 장치 및 그 장치에서 수행되는 방법에 관한 것이다.
인터넷의 발전은 우리 삶의 질을 향상시키는 순기능만을 가져온 것이 아니라 네트워크 기반 시스템을 대상으로 사이버 공격이라는 역기능도 함께 가져왔다. 사이버 공격으로 인한 피해는 계속해서 증가하고 있으며, 이를 최소화하기 위해 기업 및 공공기관에서는 다양한 네트워크 보안 시스템을 구축하여 운영하고 있다.
대부분의 네트워크 보안 시스템은 보안 관리자가 작성한 탐지 룰(e.g. 비정상 트래픽 패턴, 시그니처 등)에 따라 비정상 트래픽을 탐지하는 룰 기반 시스템이다. 예를 들어, 특정 호스트에 대한 접속을 차단하는 룰, URI(uniform resource identifier) 내에 악성 호스트와 연관된 특정 키워드가 포함되어 있는지 여부에 따라 트래픽을 차단하는 룰 등을 보안 관리자가 입력하면, 네트워크 보안 시스템은 입력된 탐지 룰에 따라 비정상 트래픽에 대한 탐지 및 차단 동작을 수행하게 된다.
이와 같은 룰 기반의 네트워크 보안 시스템은 아래와 같은 다양한 이유로 인해 대상 네트워크의 보안을 보장하기에는 충분하지 않다.
첫째, 탐지 룰의 신뢰도는 전적으로 보안 관리자의 경험에 의존하기 때문에, 관리자가 미처 생각하지 못하거나 알려지지 않은 공격 유형에 대해서는 미탐(false negative) 문제가 발생한다.
둘째, 룰 기반의 네트워크 보안 시스템은 수동적인 탐지 행위만을 수행할 수 있기 때문에, 능동적으로 의심스러운 호스트 및 트래픽을 탐지하고 보안 관리자에게 알리는 기능을 제공할 수 없다.
셋째, 관리자가 탐지 룰을 지나치게 엄격하게 작성하는 경우, 정상 트래픽을 비정상으로 오인하는 오탐(false positive) 문제가 빈번하게 발생할 수 있다.
이외에도, 대부분의 네트워크 보안 시스템은 시각화 기능의 부재로 인해 네트워크 전반에 걸친 트래픽 현황, 보안 상황 등을 보안 관리자에게 신속하고 직관적으로 제공하지 못한다는 문제를 갖고 있다. 예를 들어, 기업에 구축된 네트워크 보안 시스템은 트래픽 데이터에 대한 단순 통계 정보만을 제공할 뿐, 대량의 트래픽 데이터를 효과적으로 시각화해주는 기능을 포함하고 있지 않다. 따라서, 보안 관리자가 트래픽 데이터로부터 네트워크 전반에 걸친 트래픽 현황, 보안 상황 등을 신속하고 쉽게 파악하는 것은 매우 어려운 실정이다.
이에 따라, 트래픽 데이터 분석을 통해 비정상 트래픽을 자동으로 탐지하고, 대량의 트래픽 데이터를 효과적으로 시각화하여 제공할 수 있는 새로운 네트워크 보안 솔루션이 요구되고 있다.
한국공개특허 제10-2014-0127552 (2014.11.04일 공개)
본 발명이 해결하고자 하는 기술적 과제는, 트래픽 데이터를 분석하여 비정상 트래픽 및/또는 상기 비정상 트래픽과 연관된 호스트를 자동으로 탐지할 수 있는 장치 및 그 장치에서 수행되는 방법을 제공하는 것이다.
본 발명이 해결하고자 하는 다른 기술적 과제는, 방대한 양의 트래픽 데이터를 효과적으로 시각화할 수 있는 장치 및 그 장치에서 수행되는 방법을 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명의 기술분야에서의 통상의 기술자에게 명확하게 이해 될 수 있을 것이다.
상기 기술적 과제를 해결하기 위한, 본 발명의 일 실시예에 따른 트래픽 분석 장치는, 트래픽 데이터를 수집하는 트래픽 수집부, 상기 트래픽 데이터를 기초로 네트워크에 관한 특성인자(feature)를 추출하는 특성인자 추출부 및 상기 추출된 특성인자를 기초로 상기 네트워크 상에 존재하는 호스트 중에서 의심 호스트를 판별하는 판별부를 포함할 수 있다. 이때, 상기 추출된 특성인자는, 특정 소스 호스트(source host)가 목적 호스트(destination host)에 접속한 횟수와 특정 목적 호스트에 접속한 소스 호스트의 개수에 기초하여 결정되는 제1 특성인자를 포함할 수 있다.
일 실시예에서, 상기 의심 호스트에 접속하여 상기 의심 호스트에 대한 정보를 수집하는 의심 호스트 정보 수집부를 더 포함할 수 있다.
일 실시예에서, 상기 트래픽 데이터를 기초로 호스트의 IP 주소와 도메인 이름 간의 매핑 정보를 포함하는 참조 테이블을 생성하는 참조 테이블 생성부를 더 포함할 수 있다. 이때, 상기 특성인자 추출부는 상기 참조 테이블을 참조하여 상기 특성인자를 추출할 수 있다.
일 실시예에서, 상기 추출된 특성인자를 기초로 상기 네트워크 상에 존재하는 호스트에 대한 네트워크 그래프를 시각적으로 구성하는 시각화부를 더 포함할 수 있다.
상술한 기술적 과제를 해결하기 위한 본 발명의 다른 실시예에 따른 트래픽 분석 장치는, 트래픽 데이터를 수집하는 트래픽 수집부, 상기 트래픽 데이터를 기초로 네트워크에 관한 특성인자(feature)를 추출하는 특성인자 추출부 및 상기 추출된 특성인자를 기초로 상기 네트워크 상에 존재하는 호스트 중에서 의심 호스트를 판별하는 판별부를 포함할 수 있다. 이때, 상기 추출된 특성인자는, 리퍼러 호스트(referer host)와 목적 호스트(destination host)가 일치하는 트래픽에 기초하여 결정되는 제1 특성인자를 포함할 수 있다.
일 실시예에서, 상기 판별부는, 상기 특성인자에 기초하여 구축된 결정 트리를 이용하여 상기 의심 호스트를 판별할 수 있다.
일 실시예에서, 상기 추출된 특성인자는, 리퍼러 호스트가 존재하지 않는 트래픽에 기초하여 결정되는 제2 특성인자 및 목적 호스트에 접속한 소스 호스트(source host)의 개수에 기초하여 결정되는 제3 특성인자 중 적어도 하나를 포함할 수 있다.
상술한 기술적 과제를 해결하기 위한 본 발명의 또 다른 실시예에 따른 트래픽 분석 장치는, 트래픽 데이터를 수집하는 트래픽 수집부, 상기 트래픽 데이터를 기초로 네트워크에 관한 특성인자(feature)를 추출하는 특성인자 추출부 및 상기 추출된 특성인자를 기초로 상기 네트워크 상에 존재하는 호스트에 대한 네트워크 그래프를 시각적으로 구성하는 시각화부를 포함할 수 있다. 이때, 상기 시각화부는, 리퍼러 호스트(referer host)를 제외하고 소스 호스트(source host) 및 목적 호스트(destination host)를 포함하는 제1 네트워크 그래프와 소스 호스트, 리퍼러 호스트 및 목적 호스트를 포함하는 제2 네트워크 그래프를 시각적으로 구성할 수 있다.
일 실시예에서, 상기 네트워크 그래프를 구성하는 적어도 일부의 노드는, 공통 도메인 이름을 기준으로 그룹핑된 호스트 그룹에 대응될 수 있다.
일 실시예에서, 관심 호스트를 지정하는 사용자 입력을 받는 사용자 인터페이스부를 더 포함하고, 상기 시각화부는, 상기 제1 네트워크 그래프에 포함된 호스트 중에서 관심 호스트로 지정하는 사용자 입력에 응답하여, 상기 제2 네트워크 그래프를 시각화할 수 있다. 이때, 상기 시각화된 제2 네트워크 그래프는, 상기 관심 호스트, 상기 관심 호스트와 연관된 리퍼러 호스트 및 상기 관심 호스트와 연관된 목적 호스트에 대응되는 노드를 포함할 수 있다.
일 실시예에서, 상기 추출된 특성인자는, 특정 소스 호스트가 목적 호스트에 접속한 횟수 및 특정 목적 호스트에 접속한 소스 호스트의 개수에 기초하여 결정되는 제1 특성인자를 포함하되, 상기 제1 네트워크 그래프는, 상기 제1 특성인자에 기초하여 선정된 주요 호스트에 대응되는 노드를 포함할 수 있다.
일 실시예에서, 상기 추출된 특성인자는, 리퍼러 호스트와 목적 호스트가 일치하는 제1 트래픽에 기초하여 결정되는 제1 특성인자를 포함하되, 상기 시각화부는, 상기 제1 특성인자에 기초하여 상기 제1 트래픽을 셀프 루프(self-loop) 에지로 시각화하고, 상기 셀프 루프 에지는 또는 상기 제1 트래픽과 연관된 노드 중 적어도 하나를 하이라이트 처리할 수 있다.
일 실시예에서, 상기 추출된 특성인자는, 목적 호스트에 접속한 소스 호스트의 개수에 기초하여 결정되는 제1 특성인자를 포함하되, 상기 시각화부는, 상기 제1 특성인자를 기초로 네트워크 그래프를 구성하는 노드의 시각적 요소를 결정할 수 있다.
일 실시예에서, 상기 트래픽 데이터를 기초로 호스트의 IP 주소와 도메인 이름 간의 매핑 정보를 포함하는 참조 테이블을 생성하는 참조 테이블 생성부를 더 포함하되, 상기 시각화부는, 상기 참조 테이블을 이용하여 네트워크 그래프 상에 호스트의 IP 주소를 도메인 이름으로 변환하여 표시할 수 있다.
도 1은 본 발명의 일 실시예에 따른 트래픽 분석 시스템의 구성도이다.
도 2 및 도 3은 본 발명의 일 실시예에 따른 트래픽 분석 장치를 나타내는 블록도이다.
도 4는 본 발명의 일 실시예에 따른 의심 호스트 정보 수집 과정을 설명하기 위한 예시도이다.
도 5는 본 발명의 일 실시예에 따른 참조 테이블을 나타낸다.
도 6은 본 발명의 일 실시예에 따른 특성인자의 목록을 나타낸다.
도 7 내지 도 9는 본 발명의 일 실시예에 따른 TF-IDF 기반의 특성인자를 설명하기 위한 예시도이다.
도 10은 본 발명의 일 실시예에 따른 네트워크 그래프 시각화에 이용되는 노드 정보를 나타낸다.
도 11은 본 발명의 일 실시예에 따른 네트워크 그래프 시각화에 이용되는 에지 정보를 나타낸다.
도 12 내지 도 14는 본 발명의 몇몇 실시예에서 참조될 수 있는 네트워크 그래프를 나타내는 예시도이다.
도 15는 본 발명의 일 실시예에 따른 트래픽 분석 장치를 나타내는 하드웨어 구성도이다.
도 16은 본 발명의 일 실시예에 따른 트래픽 분석 방법을 나타내는 흐름도이다.
도 17은 본 발명의 일 실시예에 따른 특성인자 추출 과정을 나타내는 상세 흐름도이다.
도 18은 본 발명의 일 실시예에 따른 참조 테이블 구축 과정을 나타내는 상세 흐름도이다.
도 19 및 도 20은 본 발명의 일 실시예에 따른 단계적인 네트워크 시각화 과정을 설명하기 위한 도면이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다.
명세서에서 사용되는 "포함한다 (comprises)" 및/또는 "포함하는 (comprising)"은 언급된 구성 요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성 요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
이하, 본 발명의 몇몇 실시예들에 대하여 첨부된 도면에 따라 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 트래픽 분석 시스템을 도시한다. 특히, 도 1은 기업의 인트라넷(10) 환경에 상기 트래픽 분석 시스템이 구축된 것을 예로써 도시하고 있다.
도 1은 참조하면, 상기 트래픽 분석 시스템은 트래픽 수집 장치(70) 및 트래픽 분석 장치(100)를 포함하도록 구성될 수 있다. 단, 이는 본 발명의 목적을 달성하기 위한 바람직한 실시예일뿐이며, 필요에 따라 일부 구성 요소가 추가되거나 삭제될 수 있음은 물론이다. 또한, 도 1에 도시된 트래픽 분석 시스템의 각각의 구성 요소들은 기능적으로 구분되는 기능 요소들을 나타낸 것으로서, 적어도 하나의 구성 요소가 실제 물리적 환경에서는 서로 통합되는 형태로 구현될 수도 있음에 유의한다. 예를 들어, 트래픽 수집 장치(70)와 트래픽 분석 장치(100)는 동일한 물리적 장치 내의 서로 다른 로직(logic)의 형태로 구현될 수도 있다.
상기 트래픽 분석 시스템에서, 트래픽 수집 장치(70)는 네트워크 상의 트래픽 데이터(e.g. flow data)를 수집하는 컴퓨팅 장치이다. 트래픽 수집 장치(70)는 인트라넷(10)에서 외부로 향하는 아웃바운드 트래픽(outbound traffic) 및/또는 외부에서 유입되는 인바운드 트래픽(inbound traffic)을 수집할 수 있다.
트래픽 수집 장치(70)는 포트 미러링(port mirroring)을 통해 네트워크 장비(e.g. 라우터 30, 스위치 50)로부터 각종 트래픽 데이터를 수집할 수 있다. 단, 이는 본 발명의 일부 실시예를 설명하기 위한 것일 뿐이며, 트래픽 수집 장치(70)가 트래픽 데이터를 수집하는 방법은 얼마든지 달라질 수 있다.
상기 트래픽 분석 시스템에서, 트래픽 분석 장치(100)는 트래픽 수집 장치(70)가 제공하는 트래픽 데이터를 분석하는 컴퓨팅 장치이다. 여기서, 상기 컴퓨팅 장치는, 노트북, 데스크톱(desktop), 랩탑(laptop) 등이 될 수 있으나, 이에 국한되는 것은 아니며 연산 수단 및 통신 수단이 구비된 모든 종류의 장치를 포함할 수 있다. 단, 대량의 트래픽 데이터에 대한 분석이 요구되는 환경이라면, 트래픽 분석 장치(100)는 고성능의 서버 컴퓨팅 장치로 구현되는 것이 바람직할 수 있다.
본 발명의 실시예에 따르면, 트래픽 분석 장치(100)는 트래픽 데이터를 분석하여 네트워크에 관한 다양한 특성인자(feature)를 추출하고, 추출된 특성인자에 기초하여 비정상 트래픽과 연관된 것으로 의심되는 호스트(이하, "의심 호스트"로 칭하기로 함)를 자동으로 탐지할 수 있다. 본 실시예에 따르면, 관리자의 경험에 의존하지 않고 의심 호스트가 탐지될 수 있는 바, 관리자의 편의성 및 대상 네트워크의 보안성이 향상될 수 있다. 특히, 관리자가 생각하지 못한 비정상 트래픽이 탐지될 수 있는 바, 미탐 문제가 완화될 수 있다. 또한, 엄격한 탐지 룰이 필요치 않은 바 오탐 문제도 완화될 수 있다. 본 실시예에 대한 자세한 설명은 도 2 이하의 도면을 참조하여 후술하도록 한다.
본 발명의 실시예에 따르면, 트래픽 분석 장치(100)는 상기 추출된 특성인자에 기초하여 대량의 트래픽 데이터를 네트워크 그래프로 시각화하여 제공할 수 있다. 또한, 트래픽 분석 장치(100)는 네트워크 그래프 상에서 탐지된 의심 호스트, 비정상 트래픽 등을 하이라이트 처리하여 표시할 수 있고, 다양한 유형의 네트워크 그래프를 단계적으로 시각화하여 제공할 수 있다. 이와 같은 실시예에 한하여, 트래픽 분석 장치(100)는 네트워크 시각화 장치로 명명될 수도 있다. 본 실시예에 따르면, 네트워크 공격의 탐지, 이상 행위의 발견 등과 같은 네트워크 보안 상황을 관리자가 신속하고 직관적으로 인지할 수 있게 되는 바, 관리자의 편의성 및 대상 네트워크의 보안성은 더욱 향상될 수 있다. 본 실시예에 대한 설명 또한 도 2 이하의 도면을 참조하여 상세하게 설명하도록 한다.
지금까지 도 1을 참조하여 본 발명의 일 실시예에 따른 트래픽 분석 시스템에 대하여 설명하였다. 이하에서는, 본 발명의 일 실시예에 따른 트래픽 분석 장치(100)의 구성 및 동작에 대하여 도 2 내지 도 15를 참조하여 설명한다.
도 2 및 도 3은 본 발명의 일 실시예에 따른 트래픽 분석 장치(100)를 나타내는 블록도이다. 이하, 도 2 및 도 3을 참조하여 설명한다.
트래픽 분석 장치(100)는 수집부(110), 분석부(130), 판별부(150), 시각화부(170) 및 사용자 인터페이스부(190)를 포함하도록 구성될 수 있다. 다만, 도 2 및 도 3에는 본 발명의 실시예와 관련 있는 구성요소들만이 도시되어 있다. 따라서, 본 발명이 속한 기술분야의 통상의 기술자라면 도 2 및 도 3에 도시된 구성요소들 외에 다른 범용적인 구성 요소들이 더 포함될 수 있음을 알 수 있다. 또한, 도 2 및 도 3에 도시된 트래픽 분석 장치(100)의 각각의 구성 요소들은 기능적으로 구분되는 기능 요소들을 나타낸 것으로서, 적어도 하나의 구성 요소가 실제 물리적 환경에서는 서로 통합되는 형태로 구현될 수도 있음에 유의한다.
각 구성 요소를 살펴보면, 수집부(110)는 트래픽 데이터, 호스트 정보, 의심 호스트 정보 등의 각종 정보를 수집한다. 이를 위해, 수집부(110)는 트래픽 수집부(111), 호스트 정보 수집부(113) 및 의심 호스트 정보 수집부(115)를 포함하도록 구성될 수 있다.
트래픽 수집부(111)는 네트워크 상의 트래픽 데이터를 수집한다. 일 예에서, 트래픽 수집부(111)는 별도의 수집 장치(e.g. 트래픽 수집 장치 70)로부터 트래픽 데이터를 제공받을 수 있다. 다른 예에서, 트래픽 수집부(111)는 네트워크 장비로부터 직접 트래픽 데이터를 수집할 수도 있다.
호스트 정보 수집부(113)는 호스트의 IP 주소에 대응되는 도메인 이름을 수집하거나, 호스트의 IP 주소에 대응되는 위치 정보, 국가 정보 등의 각종 정보를 수집할 수 있다.
의심 호스트 정보 수집부(115)는 네트워크 상에 존재하는 호스트 중에서 판별부(150)에 의해 제공된 의심 호스트에 대한 정보를 수집한다. 상기 의심 호스트에 대한 정보는 의심 호스트의 접속 화면, 웹 브라우저(web browser)의 타이틀 바, 의심 호스트의 인터넷 검색 결과 등을 포함할 수 있다. 실시예에 따라, 상기 의심 호스트에 대한 정보는 관리자에게 자동으로 통지되도록 구현될 수도 있다.
본 발명의 실시예에 따르면, 의심 호스트 정보 수집부(115)는 의심 호스트에 접속이 가능한지 여부에 따라 적어도 일부는 서로 다른 정보를 수집할 수 있다. 예를 들어, 도 4에 도시된 바와 같이, 의심 호스트 목록(201)이 주어지면, 의심 호스트 정보 수집부(115)는 각 의심 호스트에 접속이 되는지 여부를 판정할 수 있다. 접속이 되는 의심 호스트(202)의 경우, 의심 호스트 정보 수집부(115)는 해당 의심 호스트(202)의 접속 화면(206) 및/또는 웹 브라우저의 타이틀 바(207)를 수집(e.g. 이미지 캡처)할 수 있다.
이와 반대로, 접속이 되지 않는 의심 호스트(203)의 경우, 의심 호스트 정보 수집부(115)는 해당 의심 호스트(203)의 인터넷 검색 결과(204)를 수집할 수 있다. 실시예에 따라, 의심 호스트 정보 수집부(115)는 특정 검색 사이트에서 첫 번째로 출력되는 검색 결과(205) 및/또는 복수의 검색 사이트의 검색 결과에 공통적으로 포함된 정보를 수집할 수도 있다.
또한, 의심 호스트 정보 수집부(115)는 외부의 정보 사이트로부터 네트워크 상에 존재하는 호스트에 대한 정보를 수집할 수 있다. 예를 들어, 호스트 정보 수집부(113)는 "virusshare.com" 사이트와 같이 악성코드 관련 위험 정보를 제공하는 정보 사이트에 게시된 악성 의심 호스트에 대한 정보(e.g. 악성 의심 호스트의 도메인 이름, IP 주소 등)를 수집할 수 있다.
다시 도 2를 참조하면, 분석부(130)는 트래픽 수집부(111)에 의해 수집된 트래픽 데이터를 분석하여 네트워크에 관한 다양한 특성인자를 추출한다. 이를 위해, 분석부(130)는 참조 테이블 생성부(131) 및 특성인자 추출부(133)는 포함하도록 구성될 수 있다.
참조 테이블 생성부(131)는 호스트를 식별하기 위해 이용되는 참조 테이블을 생성하고 갱신한다. 상기 참조 테이블의 예는 도 5에 도시되어 있다. 도 5에 도시된 바와 같이, 상기 참조 테이블은 호스트의 IP 주소와 상기 IP 주소에 매칭되는 도메인 이름을 포함할 수 있다. 따라서, 상기 참조 테이블을 이용하면, 복수의 IP 주소를 갖는 호스트, 복수의 도메인 이름을 갖는 호스트 등이 동일 호스트로 정확하게 식별될 수 있게 되며, 후술할 특성인자 또한 정확하게 추출될 수 있게 된다.
이외에도, 상기 참조 테이블은 해당 호스트에 최초로 접속한 호스트의 IP 주소, 다른 호스트가 해당 호스트에 접속한 횟수 등의 정보를 더 포함할 수 있다. 참조 테이블 생성부(131)가 참조 테이블을 생성하고 갱신하는 과정에 대한 자세한 설명은 추후 도 18을 참조하여 부연 설명하도록 한다.
다시 도 3을 참조하면, 특성인자 추출부(133)는 상기 참조 테이블을 참조하여 네트워크에 관한 다양한 특성인자를 추출한다. 상기 특성인자는 의심 호스트를 판별하기 위해 판별부(150)에 의해 이용되거나, 네트워크 그래프를 시각화하기 위해 시각화부(170)에 의해 이용될 수 있다. 특성인자의 예는 도 6에 도시되어 있다.
도 6에 도시된 바와 같이, 상기 네트워크에 관한 특성인자는 소스 호스트(source host)가 목적 호스트(destination host)에 접속한 횟수, 리퍼러 호스트(referer host)와 목적 호스트가 일치하는 트래픽(e.g. referer 필드와 destination 필드가 일치하는 트래픽)과 연관된 특성인자("self-loop"), 목적 호스트에 접속한 소스 호스트의 개수를 가리키는 인기도(popularity), 목적 호스트에 접속한 소스 호스트의 개수가 복수인지 여부를 가리키는 특성인자("다중 접속 여부"), 리퍼러 호스트가 존재하지 않는 트래픽(e.g. referrer 필드가 null인 트래픽)과 연관된 특성인자("리퍼러 호스트 존재 여부"), 직접 IP 주소 입력하여 목적 호스트에 접속하는 트래픽과 연관된 특성인자("접속 유형") 등을 포함할 수 있다.
도 6에 도시된 특성인자 중에서 위험도는 의심 호스트 정보 수집부(115)가 외부 정보 사이트로부터 수집한 악성 의심 호스트 정보에 기초하여 산출될 수 있다. 예를 들어, 특정 호스트의 위험도는 상기 특정 호스트를 악성 의심 호스트로 게시한 외부 정보 사이트의 개수에 기초하여 산출될 수 있다. 그러나, 본 발명의 범위가 이에 국한되는 것은 아니며, 위험도를 산출하는 방식은 얼마든지 달라질 수 있다.
참고로, 특정 호스트는 소스 호스트가 될 수 있고, 목적 호스트가 될 수도 있다. 또한, 특정 호스트는 리퍼러 호스트가 될 수도 있는데, 상기 리퍼러 호스트는 리퍼러 필드에 설정된 호스트를 의미한다.
한편, 본 발명의 실시예에 따르면, 특성인자 추출부(133)는 도 6에 도시된 특성인자 외에 TF-IDF(term frequency-inverse document frequency)의 개념에 기초하여 호스트의 중요도를 나타내는 특성인자를 추출할 수 있다. 이해의 편의를 제공하기 위해, 상기 특성인자에 대하여 도 7 내지 도 9를 참조하여 부연 설명하도록 한다.
도 7의 상단 박스(211, 213)에 도시된 바와 같이, TF-IDF는 단어 빈도와 역 문서 빈도에 기초하여 핵심 키워드를 선정하기 위해 이용되는 가중치이다. TF-IDF의 개념을 차용하여, 특성인자 추출부(133)는 도 7의 하단 박스(215, 217)에 도시된 바와 같이 호스트 중요도를 나타내는 TF-IDF 기반 특성인자를 연산할 수 있다. 이때, TF-IDF의 단어("term")는 목적 호스트에 대응되고, 문서("document")는 소스 호스트에 대응되는 것으로 이해될 수 있다.
다만, 도 7에 도시된 TF-IDF 기반 특성인자의 산출 방법은 실시예에 따라 얼마든지 변형될 수 있음에 유의하여야 한다. 즉, 본원의 몇몇 실시예에서 활용되는 TF-IDF 기반 특성인자는 특정 소스 호스트가 목적 호스트에 접속한 횟수에 비례하고 특정 목적 호스트에 접속한 소스 호스트의 개수에 반비례하도록 산출되는 값일 뿐이므로, 이에 대한 연산 방법은 얼마든지 변형될 수 있다.
보다 이해의 편의를 제공하기 위해, 도 8 및 도 9에 도시된 예에 대하여 간략하게 설명하도록 한다. 도 8 및 도 9에 도시된 예에서 TF 값과 IDF 값 각각은 문서 내 전체 단어의 개수와 전체 문서의 개수를 고려하지 않고 산출되었다.
도 8은 2개의 문서(221, 222)에 포함된 각 단어에 대하여 TF-IDF 값(223 내지 226)을 산출하는 예를 도시하고 있다. 이때, 문서 1(221)에 대하여 단어(A)의 빈도는 높고 역 문서 빈도는 낮으므로 단어(A)는 가장 높은 TF-IDF 값을 갖게 된다.
도 9는 도 8에 도시된 문서(221, 222) 및 단어(A, B, C) 각각에 대응되는 소스 호스트(231, 233)와 목적 호스트(235 내지 239)를 도시한 것이다. 도 9에서, 에지(edge) 상단의 숫자는 단어 빈도에 대응되는 접속횟수를 도시한 것이고, 에지 하단에 위치한 괄호 안의 숫자는 TF-IDF에 대응되는 특성인자 값을 도시한 것이다.
도 9를 참조하면, 소스 호스트 1(231)에 대한 목적 호스트 A(235)의 TF-IDF 값이 가장 높은 값을 갖는데, 이와 관련된 트래픽 패턴은 특정 소스 호스트(e.g. 소스 호스트 1)는 빈번하게 접속하고, 다른 소스 호스트(e.g. 소스 호스트 2)는 잘 접속하지 않는 패턴인 것을 알 수 있다.
일반적으로, 모든 소스 호스트가 빈번하게 접속하는 목적 호스트는 포털 사이트(portal site)와 같이 잘 알려진 정상 호스트일 가능성이 높다. 이와 반대로, 다른 소스 호스트는 잘 접속하지 않고 특정 소스 호스트만이 빈번하게 접속하는 목적 호스트는 개인 클라우드, C&C(command & control) 서버, 정보 유출지에 해당할 가능성이 높으며, 상기 특정 소스 호스트는 악성코드에 감염된 호스트일 가능성이 높다. 즉, TF-IDF 기반의 특성인자가 높은 값을 갖는 소스 호스트와 목적 호스트는 비정상 트래픽과 연관된 악성 호스트일 가능성이 높다. 따라서, 상기 TF-IDF 기반의 특성인자를 활용하면 효과적으로 의심 호스트가 탐지될 수 있다.
다시 도 2를 참조하면, 판별부(150)는 특성인자 추출부(133)에 의해 추출된 특성인자에 기초하여 의심 호스트를 판별한다.
제1 실시예에서, 판별부(150)는 전술한 특성인자 중 전부 또는 일부에 기초하여 구축된 결정 트리(decision tree)를 이용하여 네트워크 상에 존재하는 호스트 중에서 의심 호스트를 판별할 수 있다.
상기 제1 실시예에서, NAS(network attached storage) 등과 같이 개인 클라우드에 접속하는 트래픽 또는 호스트를 탐지하기 위해, 셀프 루프(self-loop), 다중접속 여부, 접속 유형, 리퍼러 호스트 존재 여부, 접속 유형, 인기도 등의 특성인자들을 이용하여 결정 트리가 구축될 수 있다.
위와 같은 특성인자들을 이용하는 이유는 상기 특성인자들이 개인 클라우드에 접속하는 트래픽 패턴을 잘 나타낼 수 있기 때문이다. 부연 설명하면, 개인 클라우드는 특정 개인만이 이용하는 저장소이기 때문에, IP 주소로 접속하는 경향이 있고, 접속하는 호스트의 개수는 매우 제한적일 수밖에 없다. 따라서, "다중 접속 여부", "인기도", "접속 유형" 등의 특성인자가 개인 클라우드와 연관된 트래픽 패턴을 잘 반영하게 된다. 또한, 웹 서버에서 cgi-bin 방식으로 페이지를 전달하면 리퍼러 필드가 자신을 참조하는 트래픽이 나타나는데, NAS를 이용하는 서버들은 주로 cgi-bin 방식으로 구현되기 때문에, "셀프 루프" 특성인자 또한 개인 클라우드와 연관된 트래픽 패턴을 잘 반영하게 된다.
상기 제1 실시예에 따르면, 개인 클라우드에 접속하는 트래픽, 개인 클라우드와 접속한 호스트 등이 비정상 트래픽 또는 의심 호스트로 정확하게 탐지될 수 있다. 특히, 인트라넷 환경에서 인가되지 않은 개인 클라우드 접속 행위는 기밀 유출과 연관된 심각한 보안 위협이 될 수 있다. 따라서, 상기 제1 실시예에 따르면, 기밀 유출과 같은 보안 위협을 조기에 탐지함으로써 대상 네트워크의 보안성이 크게 향상될 수 있다.
제2 실시예에서, 판별부(150)는 전술한 TF-IDF 기반의 특성인자를 이용하여 의심 호스트를 판별할 수 있다. 예를 들어, 전체 호스트 중에서 TF-IDF 기반의 특성인자 값이 상위 n%(단, n은 양의 실수)에 해당하는 호스트들, 상위 m개(단, m은 양의 정수)의 호스트들이 의심 호스트로 판별될 수 있다. 상기 TF-IDF 기반의 특성인자는 특정 소스 호스트가 특정 목적 호스트에 빈번하게 접속하는 트래픽 패턴(e.g. 개인 클라우드 접속)과 다수의 소스 호스트가 특정 목적 호스트에 빈번하게 접속하는 트래픽 패턴(e.g. 포털 사이트 접속)을 잘 구별할 수 있다. 따라서, 상기 제2 실시예에 따르면, 복잡한 기계 학습 모델을 이용하지 않고도, 효과적으로 의심 호스트가 판별될 수 있다.
제3 실시예에서, 판별부(150)는 위험도가 미리 설정된 기준을 만족하는 호스트를 의심 호스트로 판별할 수 있다. 예를 들어, 특정 호스트를 악성 의심 호스트로 게시한 위험 정보 사이트의 개수에 기초하여 위험도가 산정된다고 가정하면, 판별부(150)는 상기 위험 정보 사이트의 개수 또는 비율이 소정의 기준을 만족하는 호스트를 의심 호스트로 판별할 수 있다.
제4 실시예에서, 판별부(150)는 제1 실시예 내지 제3 실시예의 다양한 조합을 통해 의심 호스트를 판별할 수 있다. 예를 들어, 판별부(150)는 TF-IDF 기반의 특성인자에 기초하여 주요 호스트를 결정하고, 위험도 및/또는 결정 트리 등을 이용하여 상기 주요 호스트 중에서 의심 호스트를 결정할 수 있다. 상기 제4 실시예에 따르면, 보다 엄격한 기준으로 의심 호스트가 판별될 수 있다.
다음으로, 시각화부(170)는 특성인자 추출부(133)에 의해 추출된 특성인자에 기초하여 네트워크 정보를 생성하고, 생성된 네트워크 정보를 네트워크 그래프로 시각화한다. 이를 위해, 시각화부(170)는 노드 정보 생성부(171), 에지 정보 생성부(173) 및 네트워크 정보 시각화부(175)를 포함하도록 구성될 수 있다.
노드 정보 생성부(171)는 네트워크 그래프를 구성하는 노드에 대한 정보를 생성한다. 상기 노드에 대한 정보는 노드 타입, 노드 식별자, 관련 특성인자 등을 포함할 수 있다. 노드와 관련된 특성인자와 시각화 방식의 예시는 도 10에 도시되어 있다. 단, 도 10에 도시된 예는 본 발명의 일부 실시예들을 설명하기 위한 것일 뿐이고, 노드와 관련된 특성인자의 종류, 해당 특성인자의 시각화 방식, 해당 특성인자의 시각화 여부 등은 사용자의 설정에 따라 얼마든지 달라질 수 있다.
다음으로, 에지 정보 생성부(173)는 네트워크 그래프를 구성하는 에지에 대한 정보를 생성한다. 상기 에지에 대한 정보는 에지 타입, 에지로 연결된 노드의 식별자, 관련 특성인자 등을 포함할 수 있다. 에지와 관련된 특성인자와 시각화 방식의 예는 도 11에 도시되어 있다. 단, 도 11에 도시된 예는 본 발명의 일부 실시예들을 설명하기 위한 것일 뿐이고, 에지와 관련된 특성인자의 종류, 해당 특성인자의 시각화 방식, 해당 특성인자의 시각화 여부 등은 사용자의 설정에 따라 얼마든지 달라질 수 있다.
다시 도 3을 참조하면, 네트워크 정보 시각화부(175)는 노드 정보 생성부(171) 및 에지 정보 생성부(173)에 의해 생성된 네트워크 정보(즉, 노드 정보와 에지 정보)에 기초하여 네트워크 그래프를 시각적으로 구성한다. 이하에서는, 네트워크 그래프의 시각화 효과를 향상시키기 위한 본 발명의 몇몇 실시예들에 대하여 설명하도록 한다.
일 실시예에서, 네트워크 정보 시각화부(175)는 호스트의 도메인 이름 또는 IP 주소에 기초하여 요약된 형태로 네트워크 그래프를 시각화할 수 있다. 예를 들어, 도 12에 도시된 바와 같이, 네트워크 정보 시각화부(175)는 공통된 도메인 이름을 갖는 호스트들(247a)을 그룹핑하고, 호스트 그룹을 하나의 노드(247b)로 표시할 수 있다. 특히, 도 12는 SLD(second level domain)에 기초하여 호스트가 그룹핑된 것을 예로써 도시하고 있다. 다른 예를 들어, 네트워크 정보 시각화부(175)는 IP 주소의 대역, 서브넷 등을 이용하여 호스트들을 그룹핑하고, 호스트 그룹을 하나의 노드로 표시할 수도 있다. 본 실시예에 따르면, 요약된 형태로 네트워크 그래프가 시각화됨에 따라, 대량의 트래픽 데이터과 효과적으로 시각화될 수 있으며, 전반적인 트래픽 현황, 보안 상황과 관련된 많은 정보가 관리자에게 신속하게 전달되는 효과가 있다.
일 실시예에서, 네트워크 정보 시각화부(175)는 TF-IDF에 기반한 특성인자에 기초하여 주요 호스트를 선정함으로써 요약된 형태로 네트워크 그래프를 시각화할 수 있다. 예를 들어, 네트워크 정보 시각화부(175)는 TF-IDF에 기반한 특성인자에 기초하여 소스 호스트 별로 주요 목적 호스트를 선정하고, 상기 소스 호스트 및 상기 주요 목적 주요 호스트에 대응되는 노드만을 포함하는 네트워크 그래프를 시각화할 수 있다. 본 실시예에 따르면, 주요 호스트와 연관된 트래픽 데이터만이 시각화되는 바, 핵심적인 정보만이 관리자에게 신속하게 전달되는 효과가 있다.
일 실시예에서, 네트워크 정보 시각화부(175)는 호스트의 타입(e.g. 소스 호스트, 목적 호스트, 리퍼러 호스트)에 기초하여 노드의 시각적 요소를 결정할 수 있다. 예를 들어, 네트워크 정보 시각화부(175)는 도 12에 도시된 바와 같이 소스 호스트에 대응되는 노드(241)와 목적 호스트에 대응되는 노드(243, 245)를 서로 다른 모양으로 시각화할 수 있다. 본 실시예에 따르면, 호스트의 타입이 관리자에게 직관적으로 인식될 것인 바, 정보 전달성이 더욱 향상될 수 있다.
참고로, 도 12 내지 도 14에 도시된 네트워크 그래프에서, "SH"는 소스 호스트를 가리키고, "DH"는 목적 호스트를 가리키며, "RH"는 리퍼러 호스트를 가리킨다.
일 실시예에서, 네트워크 정보 시각화부(175)는 노드에 인접하여 대응되는 호스트의 IP 주소 및/또는 도메인 이름을 표시할 수 있다. 또한, 네트워크 정보 시각화부(175)는 참조 테이블을 이용하여 IP 주소를 매핑되는 도메인 이름으로 변환하여 표시할 수 있다. 이에 대한 예는 도 12를 참조하도록 한다. 본 실시예에 따르면, 관리자가 호스트를 용이하게 식별할 수 있을 뿐만 아니라, 호스트 간의 연관 관계가 용이하게 파악될 수 있는 바, 정보 전달성이 더욱 향상될 수 있다.
일 실시예에서, 네트워크 정보 시각화부(175)는 소정의 기준에 따라 네트워크 그래프에 대한 하이라이트 처리를 수행할 수 있다. 여기서, 상기 하이라이트 처리는 시각적으로 구별되는 효과를 줄 수 있다면, 어떠한 방식으로 수행되더라도 무방하다.
일 예에서, 네트워크 정보 시각화부(175)는 IP 주소로 접속된 호스트와 연관된 노드를 하이라이트 처리할 수 있다. IP 주소로 접속된 호스트는 개인 클라우드에 해당할 확률이 높기 때문이다. 특히, 도 12에서는, IP 주소로 접속된 호스트에 대응되는 노드(245)에 인접하여 상기 IP 주소를 라벨로 표시하고, 상기 IP 주소가 굵은 글씨로 강조하여 표시된 것이 예로써 도시되었다.
일 예에서, 네트워크 정보 시각화부(175)는 위험도가 소정의 조건을 만족하는 호스트와 연관된 노드를 하이라이트 처리할 수 있다. 특히, 도 12에서는, 위험도가 상대적으로 높은 호스트에 대응되는 노드(243)가 다른 모양으로 표시된 것이 예로써 도시되었다.
일 예에서, 네트워크 정보 시각화부(175)는 TF-IDF 기반의 특성인자, 접속횟수, 전송량 등의 특성인자가 소정의 조건을 만족하는 경우, 연관된 노드 및 에지 중 적어도 하나를 하이라이트 처리할 수 있다. 예를 들어, 도 13에 도시된 바와 같이, 상기 특성인자들이 에지의 굵기로 표시되는 경우, 소정의 조건을 만족하는 에지(251)는 다른 모양으로 표시될 수 있다.
일 예에서, 네트워크 정보 시각화부(175)는 셀프 루프 특성인자와 연관된 노드 및 에지 중 적어도 하나를 하이라이트 처리할 수 있다. 셀프 루프가 발견된 트래픽은 개인 클라우드에 해당할 확률이 높기 때문이다. 특히, 도 14에서는, 셀프 루프에 대응되는 에지(263)가 다른 모양으로 표시된 것이 예로써 도시되었다.
일 예에서, 네트워크 정보 시각화부(175)는 다중 접속 여부 특성인자에 기초하여 접속한 소스 호스트의 개수가 "1"인 목적 호스트를 하이라이트 처리할 수 있다. 특정 소스 호스트만 단독으로 접근하는 목적 호스트는 개인 클라우드에 해당할 확률이 높기 때문이다. 특히, 도 14에서는, 소스 호스트(261)가 단독으로 접속한 목적 호스트(264)가 다른 색상으로 표시된 것이 예로써 도시되었다.
한편, 본 발명의 실시예에 따르면, 네트워크 정보 시각화부(175)는 2가지 유형의 네트워크 그래프를 이용하여 단계적인 시각화 기능을 제공할 수 있다.
구체적으로, 제1 시각화 단계에서, 제1 네트워크 그래프가 제공될 수 있다. 상기 제1 네트워크 그래프는 전반적인 트래픽 현황, 보안 상황 등을 시각적으로 제공하는 그래프로, 리퍼러 호스트를 제외하고 소스 호스트 및 목적 호스트에 대응되는 노드만을 포함할 수 있다. 실시예에 따라, 상기 제1 네트워크 그래프는 요약된 형태로 제공되거나, 특정 IP 대역만을 시각화하거나, 또는 관리자에 의해 지정된 네트워크 구역(e.g. 특정 서브넷)만을 시각화한 그래프일 수 있다.
다음으로, 제2 시각화 단계에서, 제2 네트워크 그래프가 제공될 수 있다. 상기 제2 네트워크 그래프는 세부적인 트래픽 현황, 보안 상황 등을 시각적으로 제공하는 그래프로, 세부 연결 현황을 보여주기 위해 리퍼러 호스트를 포함하도록 시각화된 그래프이다. 상기 제2 네트워크 그래프의 일 예는 도 14에 도시되어 있다. 도 14에 도시된 바와 같이, 소스 호스트(261)가 목적 호스트(265)에 접속하는 과정 중에 거쳐 간 리퍼러 호스트(267, 269)를 함께 표시함으로써, 소스 호스트(261)와 목적 호스트(265) 간의 세부 연결 현황(e.g. 접속 경로, 웹 페이지 이동 경로 등)이 관리자에게 직관적으로 제공될 수 있다.
상기 제2 네트워크 그래프는 관리자에 의해 지정된 관심 호스트(e.g. 의심 호스트)에 대한 트래픽 분석을 수행하기 위해 이용될 수 있다. 즉, 관리자는 관심 호스트에 대한 제2 네트워크 그래프를 통해 관심 호스트와 다른 호스트 간의 세부 연결 현황, 트래픽 현황 등을 효과적으로 파악할 수 있다.
본 실시예에 따르면, 단계별 시각화 기능을 제공함으로써, 복잡하고 거대한 규모의 네트워크에 트래픽 데이터가 보다 효과적으로 시각화될 수 있다. 본 실시예에 대한 설명은 추후 도 19 및 도 20을 참조하여 부연 설명하도록 한다.
다시 도 2를 참조하면, 사용자 인터페이스부(190)는 사용자의 인터페이스 기능을 제공한다. 예를 들어, 사용자 인터페이스부(190)는 사용자로부터 각종 입력을 받고, 각종 정보를 출력하기 위해 소정의 GUI(graphical user interface)를 제공할 수 있다. 상기 GUI는 웹 기반으로 구현될 수 있으나, 본 발명의 범위가 이에 한정되는 것은 아니다.
보다 구체적으로, 사용자 인터페이스부(190)는 상기 GUI를 통해 시각화된 네트워크 그래프를 사용자에게 제공할 수 있다. 또한, 사용자 인터페이스부(190)는 상기 GUI를 통해 관심 IP 대역, 관심 서브넷, 관심 호스트에 대한 입력, 시각화 방식에 대한 설정 입력 등의 각종 입력을 받을 수도 있다.
도 2 및 도 3에 도시된 트래픽 분석 장치(100)의 각 구성 요소는 소프트웨어(Software) 또는, FPGA(Field Programmable Gate Array)나 ASIC(Application-Specific Integrated Circuit)과 같은 하드웨어(Hardware)를 의미할 수 있다. 그렇지만, 상기 구성 요소들은 소프트웨어 또는 하드웨어에 한정되는 의미는 아니며, 어드레싱(Addressing)할 수 있는 저장 매체에 있도록 구성될 수도 있고, 하나 또는 그 이상의 프로세서들을 실행시키도록 구성될 수도 있다. 상기 구성 요소들 안에서 제공되는 기능은 더 세분화된 구성 요소에 의하여 구현될 수 있으며, 복수의 구성 요소들을 합하여 특정한 기능을 수행하는 하나의 구성 요소로 구현될 수도 있다.
도 15는 본 발명의 일 실시예에 따른 트래픽 분석 장치(100)를 나타내는 하드웨어 구성도이다.
도 15를 참조하면, 트래픽 분석 장치(100)는 하나 이상의 프로세서(101), 버스(105), 네트워크 인터페이스(107), 프로세서(101)에 의하여 수행되는 컴퓨터 프로그램을 로드(load)하는 메모리(103)와, 트래픽 분석 소프트웨어(109a)를 저장하는 스토리지(109)를 포함할 수 있다. 다만, 도 15에는 본 발명의 실시예와 관련 있는 구성요소들만이 도시되어 있다. 따라서, 본 발명이 속한 기술분야의 통상의 기술자라면 도 15에 도시된 구성요소들 외에 다른 범용적인 구성 요소들이 더 포함될 수 있음을 알 수 있다.
프로세서(101)는 트래픽 분석 장치(100)의 각 구성의 전반적인 동작을 제어한다. 프로세서(101)는 CPU(Central Processing Unit), MPU(Micro Processor Unit), MCU(Micro Controller Unit), GPU(Graphic Processing Unit) 또는 본 발명의 기술 분야에 잘 알려진 임의의 형태의 프로세서를 포함하여 구성될 수 있다. 또한, 프로세서(101)는 본 발명의 실시예들에 따른 방법을 실행하기 위한 적어도 하나의 애플리케이션 또는 프로그램에 대한 연산을 수행할 수 있다. 트래픽 분석 장치(100)는 하나 이상의 프로세서를 구비할 수 있다.
메모리(103)는 각종 데이터, 명령 및/또는 정보를 저장한다. 메모리(103)는 본 발명의 실시예들에 따른 트래픽 분석 방법을 실행하기 위하여 스토리지(109)로부터 하나 이상의 프로그램(109a)을 로드할 수 있다. 도 15에서 메모리(103)의 예시로 RAM이 도시되었다.
버스(105)는 트래픽 분석 장치(100)의 구성 요소 간 통신 기능을 제공한다. 버스(105)는 주소 버스(Address Bus), 데이터 버스(Data Bus) 및 제어 버스(Control Bus) 등 다양한 형태의 버스로 구현될 수 있다.
네트워크 인터페이스(107)는 트래픽 분석 장치(100)의 유무선 인터넷 통신을 지원한다. 또한, 네트워크 인터페이스(107)는 인터넷 통신 외의 다양한 통신 방식을 지원할 수도 있다. 이를 위해, 네트워크 인터페이스(107)는 본 발명의 기술 분야에 잘 알려진 통신 모듈을 포함하여 구성될 수 있다.
스토리지(109)는 상기 하나 이상의 프로그램(109a)을 비임시적으로 저장할 수 있다. 도 15에서 상기 하나 이상의 프로그램(109a)의 예시로 트래픽 분석 소프트웨어(109a)가 도시되었다.
스토리지(109)는 ROM(Read Only Memory), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM), 플래시 메모리 등과 같은 비휘발성 메모리, 하드 디스크, 착탈형 디스크, 또는 본 발명이 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체를 포함하여 구성될 수 있다.
트래픽 분석 소프트웨어(109a)는 메모리(103)에 로드되어 프로세서(101)로 하여금 본 발명의 몇몇 실시예들에 따른 동작을 수행하도록 하는 인스트럭션들(instructions)을 포함할 수 있다.
제1 예를 들어, 트래픽 분석 소프트웨어(109a)는 트래픽 데이터를 수집하는 동작, 상기 트래픽 데이터를 기초로 네트워크에 관한 특성인자를 추출하는 동작 및 상기 추출된 특성인자를 기초로 네트워크 상에 존재하는 호스트 중에서 의심 호스트를 판별하는 동작을 수행하도록 하는 인스트럭션을 포함할 수 있다. 이때, 상기 추출된 특성인자는 특정 소스 호스트(source host)가 목적 호스트(destination host)에 접속한 횟수와 특정 목적 호스트에 접속한 소스 호스트의 개수에 기초하여 결정되는 제1 특성인자(e.g. TF-IDF 기반의 특성인자) 또는 리퍼러 호스트(referer host)와 목적 호스트(destination host)가 일치하는 트래픽에 기초하여 결정되는 제2 특성인자(e.g. 셀프 루프)를 포함할 수 있다.
제2 예를 들어, 트래픽 분석 소프트웨어(109a)는 트래픽 데이터를 수집하는 동작, 상기 트래픽 데이터를 기초로 네트워크에 관한 특성인자(feature)를 추출하는 동작 및 상기 추출된 특성인자를 기초로 상기 네트워크 상에 존재하는 호스트에 대한 네트워크 그래프를 시각적으로 구성하는 동작을 수행하도록 하는 인스트럭션을 포함할 수 있다. 이때, 상기 시각적으로 구성하는 동작은 리퍼러 호스트(referer host)를 제외하고 소스 호스트(source host) 및 목적 호스트(destination host)에 대응되는 노드만을 포함하는 제1 네트워크 그래프를 시각적으로 구성하는 동작 및 상기 소스 호스트, 상기 리퍼러 호스트 및 상기 목적 호스트에 대응되는 노드를 포함하는 제2 네트워크 그래프를 시각적으로 구성하는 동작을 포함할 수 있다.
지금까지, 도 2 내지 도 15를 참조하여 본 발명의 실시예에 따른 트래픽 분석 장치(100)의 구성 및 동작에 대하여 설명하였다.
다음으로, 도 16 내지 도 20을 참조하여 본 발명의 일 실시예에 따른 트래픽 분석 방법에 대하여 상세하게 설명한다.
이하에서 후술될 본 발명의 실시예에 따른 트래픽 분석 방법의 각 단계는, 컴퓨팅 장치에 의해 수행될 수 있다. 예를 들어, 상기 컴퓨팅 장치는 트래픽 분석 장치(100)일 수 있다. 다만, 설명의 편의를 위해, 상기 트래픽 분석 방법에 포함되는 각 단계의 동작 주체는 그 기재가 생략될 수도 있다. 또한, 트래픽 분석 방법의 각 단계는 프로세서에 의해 수행되는 컴퓨터 프로그램(e.g. 도 15의 트래픽 분석 SW 109a)의 인스트럭션들로 구현될 수 있다.
도 16은 본 발명의 일 실시예에 따른 트래픽 분석 방법을 나타내는 흐름도이다. 단, 이는 본 발명의 목적을 달성하기 위한 바람직한 실시예일뿐이며, 필요에 따라 일부 단계가 추가되거나 삭제될 수 있음은 물론이다.
도 16을 참조하면, 상기 트래픽 분석 방법은 트래픽 데이터를 수집하는 단계(S100)에서 시작된다. 트래픽 데이터의 수집은 어떠한 방식으로 수행되더라도 무방하다.
단계(S200)에서, 트래픽 분석 장치(100)는 트래픽 데이터를 분석하여 네트워크에 대한 특성인자를 추출한다. 상기 특성인자의 종류는 예를 들어 도 6에 도시된 특성인자, TF-IDF 기반의 특성인자를 포함할 수 있다.
본 단계(S200)의 상세 과정은 도 17에 도시되어 있다. 도 17에 도시된 바와 같이, 트래픽 분석 장치(100)는 먼저 참조 테이블을 생성하고(S210), 상기 참조 테이블을 참조하여 특성인자를 추출할 수 있다(S230). 전술한 바와 같이, 상기 참조 테이블을 통해 정확하게 호스트가 식별될 수 있는 바, 각 호스트에 대한 특성인자가 정확하게 추출될 수 있다. 참조 테이블을 생성하고 갱신하는 방법에 대한 예는 추후 도 18을 참조하여 상세하게 설명하도록 한다.
단계(S300)에서, 트래픽 분석 장치(100)는 추출된 특성인자를 기초로 의심 호스트를 탐지한다. 의심 호스트를 탐지하는 방법은 판별부(150)에 대한 설명을 참조하도록 한다.
단계(S400)에서, 트래픽 분석 장치(100)는 네트워크 상에 존재하는 호스트 및 의심 호스트를 네트워크 그래프로 시각화한다.
본 발명의 실시예에 따르면, 트래픽 분석 장치(100)는 소스 호스트 및 목적 호스트에 대응되는 노드만을 포함하는 제1 네트워크 그래프를 시각화하고, 사용자의 입력에 따라 특정 소스 호스트와 상기 특정 소스 호스트와 연관된 리퍼러 호스트 및 목적 호스트에 대응되는 노드를 포함하는 제2 네트워크 그래프를 시각화할 수 있다. 본 실시예에 대한 자세한 설명은 도 19 및 도 20을 참조하여 후술하도록 한다.
지금까지, 도 16 및 도 17을 참조하여 본 발명의 일 실시예에 따른 트래픽 분석 방법에 대하여 설명하였다. 이하에서는, 참조 테이블을 생성 및 갱신하는 과정에 대하여 도 18을 참조하여 설명하도록 한다.
도 18은 본 발명의 일 실시예에 따른 참조 테이블 구축 과정을 나타내는 상세 흐름도이다. 특히, 도 18은 참조 테이블 구축과 동시에 다중 접속 및 접속횟수에 대한 특성인자 추출이 수행되는 과정을 예로써 도시하고 있다.
단계(S211)에서, 트래픽 분석 장치(100)는 트래픽 데이터 입력 받는다. 또한, 트래픽 분석 장치(100)는 입력된 트래픽 데이터에서 IP 주소, 도메인 이름 등을 추출한다.
단계(S213)에서, 트래픽 분석 장치(100)는 추출된 IP 주소가 참조 테이블에 존재하는지 판정한다.
단계(S215)에서, 추출된 IP 주소가 존재하지 않는다는 판정에 응답하여, 트래픽 분석 장치(100)는 참조 테이블을 생성하고, 생성된 참조 테이블에 해당 트래픽 데이터에서 추출된 도메인 이름, IP 주소를 기록하고, 최초 접속 IP 필드에 상기 추출된 IP 주소를 기록한다. 이때, 참조 테이블의 다중 접속 필드는 예를 들어 "false"로 초기화될 수 있다.
단계(S217)에서, 추출된 IP 주소가 존재한다는 판정에 응답하여, 트래픽 분석 장치(100)는 해당 참조 테이블의 수정일 및 접속횟수 필드를 갱신한다. 구체적으로, 트래픽 분석 장치(100)는 해당 참조 테이블의 수정일 필드를 현재 시간으로 수정하고, 해당 참조 테이블의 접속횟수를 증가시킨다.
단계(S219)에서, 트래픽 분석 장치(100)는 IP 주소가 최초 접속 IP와 동일한지 여부를 판정한다.
단계(S221)에서, 동일하지 않다는 판정에 응답하여, 트래픽 분석 장치(100)는 다중접속 필드를 "true"로 설정한다.
지금까지, 도 18을 참조하여 참조 테이블을 생성 및 갱신하는 과정에 대하여 설명하였다. 이하에서는, 네트워크 그래프를 단계적으로 시각화하는 실시예에 대하여 도 19 및 도 20을 참조하여 설명하도록 한다.
도 19 및 도 20은 본 발명의 일 실시예에 따른 단계적인 네트워크 그래프 시각화 과정을 설명하기 위한 도면이다.
먼저, 단계(S410)에서, 트래픽 분석 장치(100)는 소스 호스트와 목적 호스트에 대응되는 노드만을 포함하는 제1 네트워크 그래프를 시각적으로 구성한다.
몇몇 실시예에서, 트래픽 분석 장치(100)는 상기 제1 네트워크 그래프를 구성하는 노드 중에서 의심 호스트와 연관된 노드 및/또는 에지를 하이라이트 처리할 수 있다.
몇몇 실시예에서, 상기 제1 네트워크 그래프를 구성하기 전에, 분석 대상에 대한 필터링 과정이 수행될 수 있다. 상기 필터링 과정은 예를 들어 IP 주소, 도메인 이름 등을 기준(e.g. 특정 IP 대역 필터링, 특정 서브넷 필터링, 특정 도메인 필터링)으로 수행될 수 있다. 본 실시예에서, 트래픽 분석 장치(100)는 필터링 결과에 기초하여 상기 제1 네트워크 그래프를 시각적으로 구성할 수 있다. 예컨대, 도 20에 도시된 바와 같이, 상기 필터링 결과는 전체 네트워크 그래프의 특정 부분(271)을 가리키고, 해당 부분(271)에 대하여 제1 네트워크 그래프(273)가 구성될 수 있다.
단계(S430)에서, 트래픽 분석 장치(100)는 특정 호스트(또는 호스트 그룹)를 관심 호스트로 지정하는 사용자 입력을 수신한다. 상기 사용자 입력은, 상기 제1 네트워크 그래프 상에서 상기 특정 호스트에 대한 노드를 선택하는 방식, 상기 제1 네트워크 그래프 상에서 특정 영역을 지정하는 방식, 상기 특정 호스트의 IP 주소 또는 도메인 이름을 입력하는 방식 등 어떠한 방식으로 입력되더라도 무방하다.
단계(S450)에서, 트래픽 분석 장치(100)는 지정된 관심 호스트와 연관된 목적 호스트 및 리퍼러 호스트에 대한 제2 네트워크 그래프를 시각적으로 구성할 수 있다. 예를 들어, 도 20에 도시된 바와 같이, 제1 네트워크 그래프(273) 상에서 특정 영역(275)이 관심 영역으로 지정된 경우, 관심 영역(275)에 포함된 호스트와 연관된 리퍼러 호스트 및 목적 호스트에 대한 제2 네트워크 그래프(277)가 시각화될 수 있다.
지금까지, 도 19 및 도 20을 참조하여 본 발명의 일 실시예에 따른 네트워크 그래프 시각화 방법에 대하여 설명하였다. 상술한 방법에 따르면, 네트워크 상에서 발생하는 방대한 양의 트래픽 데이터를 단계적으로 시각화함으로써, 관리자에게 신속하고 정확하게 트래픽 현황 및 보안 상황에 관한 정보를 전달할 수 있다. 아울러, 관리자는 시각화된 네트워크 그래프를 통해 네트워크 공격의 사전에 탐지할 수 있으며, 알려지지 않는 공격 패턴 분석, 네트워크 이상 상태의 조기 발견 등을 용이하게 수행할 수 있다.
지금까지 도 1 내지 도 20을 참조하여 본 발명의 몇몇 실시예들 및 상기 몇몇 실시예들에 따른 효과를 언급하였다. 본 발명의 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
지금까지 도 1 내지 도 20을 참조하여 설명된 본 발명의 개념은 컴퓨터가 읽을 수 있는 매체 상에 컴퓨터가 읽을 수 있는 코드로 구현될 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체는, 예를 들어 이동형 기록 매체(CD, DVD, 블루레이 디스크, USB 저장 장치, 이동식 하드 디스크)이거나, 고정식 기록 매체(ROM, RAM, 컴퓨터 구비 형 하드 디스크)일 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체에 기록된 상기 컴퓨터 프로그램은 인터넷 등의 네트워크를 통하여 다른 컴퓨팅 장치에 전송되어 상기 다른 컴퓨팅 장치에 설치될 수 있고, 이로써 상기 다른 컴퓨팅 장치에서 사용될 수 있다.
도면에서 동작들이 특정한 순서로 도시되어 있지만, 반드시 동작들이 도시된 특정한 순서로 또는 순차적 순서로 실행되어야만 하거나 또는 모든 도시 된 동작들이 실행되어야만 원하는 결과를 얻을 수 있는 것으로 이해되어서는 안 된다. 특정 상황에서는, 멀티태스킹 및 병렬 처리가 유리할 수도 있다. 더욱이, 위에 설명한 실시예들에서 다양한 구성들의 분리는 그러한 분리가 반드시 필요한 것으로 이해되어서는 안 되고, 설명된 프로그램 컴포넌트들 및 시스템들은 일반적으로 단일 소프트웨어 제품으로 함께 통합되거나 다수의 소프트웨어 제품으로 패키지 될 수 있음을 이해하여야 한다.
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로 이해해야만 한다.

Claims (23)

  1. 트래픽 데이터를 수집하는 트래픽 수집부;
    상기 트래픽 데이터를 기초로 네트워크에 관한 특성인자(feature)를 추출하는 특성인자 추출부 - 상기 특성인자는 접속 횟수 및 접속 호스트의 개수에 기초하여 결정되는 제1 특성인자를 포함하고, 특정 소스 호스트(source host)에 대해 특정 목적 호스트(destination host)가 갖는 상기 제1 특성인자의 값은 상기 특정 목적 호스트에 상기 특정 소스 호스트가 접속한 횟수가 많을수록 그리고 상기 특정 목적 호스트에 접속한 소스 호스트들의 개수가 적을수록 더 높은 값으로 결정됨 -; 및
    상기 추출된 특성인자를 기초로 상기 네트워크 상에 존재하는 호스트 중에서 의심 호스트를 판별하는 판별부를 포함하되,
    상기 판별부는 상기 네트워크 상에 존재하는 목적 호스트 중에서 상기 제1 특성인자의 값이 기준치 이상인 호스트를 상기 의심 호스트로 판별하는,
    트래픽 분석 장치.
  2. 제1 항에 있어서,
    상기 의심 호스트에 접속하여 상기 의심 호스트에 대한 정보를 수집하는 의심 호스트 정보 수집부를 더 포함하는 것을 특징으로 하는,
    트래픽 분석 장치.
  3. 제2 항에 있어서,
    상기 의심 호스트 정보 수집부는,
    상기 의심 호스트에 접속이 되지 않는다는 판정에 응답하여, 상기 의심 호스트에 대한 인터넷 검색 결과를 수집하는 것을 특징으로 하는,
    트래픽 분석 장치.
  4. 제1 항에 있어서,
    상기 트래픽 데이터를 기초로 호스트의 IP 주소와 도메인 이름 간의 매핑 정보를 포함하는 참조 테이블을 생성하는 참조 테이블 생성부를 더 포함하되,
    상기 특성인자 추출부는 상기 참조 테이블을 참조하여 상기 특성인자를 추출하는 것을 특징으로 하는,
    트래픽 분석 장치.
  5. 제1 항에 있어서,
    상기 추출된 특성인자를 기초로 상기 네트워크 상에 존재하는 호스트에 대한 네트워크 그래프를 시각적으로 구성하는 시각화부를 더 포함하는 것을 특징으로 하는,
    트래픽 분석 장치.
  6. 제5 항에 있어서,
    상기 시각화부는,
    상기 네트워크 그래프를 구성하는 노드 중에서, 상기 의심 호스트와 연관된 노드를 하이라이트 처리하는 것을 특징으로 하는,
    트래픽 분석 장치.
  7. 제5 항에 있어서,
    상기 시각화부는,
    리퍼러 호스트를 제외하고 소스 호스트 및 목적 호스트를 포함하는 제1 네트워크 그래프를 시각화하고,
    상기 제1 네트워크 그래프에 포함된 호스트 중에서 지정된 관심 호스트, 상기 관심 호스트와 연관된 리퍼러 호스트 및 상기 관심 호스트와 연관된 목적 호스트를 포함하는 제2 네트워크 그래프를 시각화하는 것을 특징으로 하는,
    트래픽 분석 장치.
  8. 트래픽 데이터를 수집하는 트래픽 수집부;
    상기 트래픽 데이터를 기초로 네트워크에 관한 특성인자(feature)를 추출하는 특성인자 추출부 - 상기 특성인자는 리퍼러 호스트(referer host)와 목적 호스트(destination host)가 일치하는 제1 트래픽을 나타내기 위한 제1 특성인자를 포함함 -; 및
    상기 추출된 특성인자를 기초로 상기 네트워크 상에 존재하는 호스트 중에서 의심 호스트를 판별하는 판별부를 포함하되,
    상기 판별부는 상기 제1 특성인자에 기초하여 상기 제1 트래픽과 연관된 호스트를 상기 의심 호스트로 판별하는,
    트래픽 분석 장치.
  9. 제8 항에 있어서,
    상기 판별부는,
    상기 특성인자에 기초하여 구축된 결정 트리를 이용하여 상기 의심 호스트를 판별하는 것을 특징으로 하는,
    트래픽 분석 장치.
  10. 제8 항에 있어서,
    상기 추출된 특성인자는,
    리퍼러 호스트가 존재하지 않는 트래픽을 나타내기 위한 제2 특성인자 및 목적 호스트에 접속한 소스 호스트(source host)의 개수에 기초하여 결정되는 제3 특성인자를 더 포함하고,
    상기 판별부는,
    상기 제1 특성인자 내지 상기 제3 특성인자에 기초하여 상기 의심 호스트를 판별하는 것을 특징으로 하는,
    트래픽 분석 장치.
  11. 제8 항에 있어서,
    상기 추출된 특성인자를 기초로 상기 네트워크 상에 존재하는 호스트에 대한 네트워크 그래프를 시각적으로 구성하는 시각화부를 더 포함하는 것을 특징으로 하는,
    트래픽 분석 장치.
  12. 트래픽 데이터를 수집하는 트래픽 수집부;
    상기 트래픽 데이터를 기초로 네트워크에 관한 특성인자(feature)를 추출하는 특성인자 추출부; 및
    상기 추출된 특성인자를 기초로 상기 네트워크 상에 존재하는 호스트에 대한 네트워크 그래프를 시각적으로 구성하는 시각화부를 포함하되,
    상기 시각화부는,
    리퍼러 호스트(referer host)를 제외하고 소스 호스트(source host) 및 목적 호스트(destination host) 간의 관계를 나타내는 제1 네트워크 그래프를 시각적으로 구성하고,
    상기 제1 네트워크 그래프에 포함된 호스트 중에서 관심 호스트를 지정하는 사용자 입력에 응답하여, 상기 관심 호스트, 상기 관심 호스트와 연관된 리퍼러 호스트 및 상기 관심 호스트와 연관된 목적 호스트 간의 관계를 나타내는 제2 네트워크 그래프를 시각적으로 구성하는,
    트래픽 분석 장치.
  13. 제12 항에 있어서,
    상기 네트워크 그래프를 구성하는 적어도 일부의 노드는,
    공통 도메인 이름을 기준으로 그룹핑된 호스트 그룹에 대응되는 것을 특징으로 하는,
    트래픽 분석 장치.
  14. 제12 항에 있어서,
    상기 관심 호스트를 지정하는 상기 사용자 입력을 받는 사용자 인터페이스부를 더 포함하는 것을 특징으로 하는,
    트래픽 분석 장치.
  15. 제12 항에 있어서,
    상기 추출된 특성인자를 기초로 네트워크 상에 존재하는 호스트 중에서 의심 호스트를 판별하는 판별부를 더 포함하고,
    상기 제1 네트워크 그래프를 구성하는 노드는 상기 네트워크 상에 존재하는 호스트에 대응되며,
    상기 시각화부는,
    상기 제1 네트워크 그래프를 구성하는 노드 중에서, 상기 의심 호스트에 대응되는 노드를 하이라이트 처리하는 것을 특징으로 하는,
    트래픽 분석 장치.
  16. 제12 항에 있어서,
    상기 네트워크 그래프에서, 소스 호스트에 대응되는 제1 노드의 시각적 요소는 목적 호스트에 대응되는 제2 노드의 시각적 요소와 적어도 일부는 상이한 것을 특징으로 하는,
    트래픽 분석 장치.
  17. 제12 항에 있어서,
    상기 추출된 특성인자는, 특정 소스 호스트가 목적 호스트에 접속한 횟수 및 특정 목적 호스트에 접속한 소스 호스트의 개수에 기초하여 결정되는 제1 특성인자를 포함하되,
    상기 시각화부는,
    상기 제1 특성인자의 값에 기초하여 상기 네트워크 그래프를 구성하는 에지의 시각적 요소를 결정하는 것을 특징으로 하는,
    트래픽 분석 장치.
  18. 제12 항에 있어서,
    상기 추출된 특성인자는, 특정 소스 호스트가 목적 호스트에 접속한 횟수 및 특정 목적 호스트에 접속한 소스 호스트의 개수에 기초하여 결정되는 제1 특성인자를 포함하되,
    상기 제1 네트워크 그래프는,
    상기 제1 특성인자에 기초하여 선정된 주요 호스트에 대응되는 노드를 포함하는 것을 특징으로 하는,
    트래픽 분석 장치.
  19. 제12 항에 있어서,
    상기 추출된 특성인자는, 리퍼러 호스트와 목적 호스트가 일치하는 제1 트래픽에 기초하여 결정되는 제1 특성인자를 포함하되,
    상기 시각화부는,
    상기 제1 특성인자에 기초하여 상기 제1 트래픽을 셀프 루프(self-loop) 에지로 시각화하고,
    상기 셀프 루프 에지는 또는 상기 제1 트래픽과 연관된 노드 중 적어도 하나를 하이라이트 처리하는 것을 특징으로 하는,
    트래픽 분석 장치.
  20. 제12 항에 있어서,
    상기 추출된 특성인자는, 소스 호스트가 IP 주소를 통해 목적 호스트에 접속한 제1 트래픽에 기초하여 결정되는 제1 특성인자를 포함하되,
    상기 시각화부는,
    상기 제1 특성인자를 기초로 상기 제1 트래픽과 연관된 노드 및 에지 중 적어도 하나를 하이라이트 처리하는 것을 특징으로 하는,
    트래픽 분석 장치.
  21. 제12 항에 있어서,
    상기 추출된 특성인자는, 목적 호스트에 접속한 소스 호스트의 개수에 기초하여 결정되는 제1 특성인자를 포함하되,
    상기 시각화부는,
    상기 제1 특성인자를 기초로 네트워크 그래프를 구성하는 노드의 시각적 요소를 결정하는 것을 특징으로 하는,
    트래픽 분석 장치.
  22. 제21 항에 있어서,
    상기 시각화부는,
    상기 네트워크 그래프를 구성하는 노드 중에서, 상기 제1 특성인자의 값이 1인 노드를 하이라이트 처리하는 것을 특징으로 하는,
    트래픽 분석 장치.
  23. 제12 항에 있어서,
    상기 트래픽 데이터를 기초로 호스트의 IP 주소와 도메인 이름 간의 매핑 정보를 포함하는 참조 테이블을 생성하는 참조 테이블 생성부를 더 포함하되,
    상기 시각화부는,
    상기 참조 테이블을 이용하여 네트워크 그래프 상에 호스트의 IP 주소를 도메인 이름으로 변환하여 표시하는 것을 특징으로 하는,
    트래픽 분석 장치.
KR1020180041189A 2018-04-09 2018-04-09 트래픽 분석 장치 및 그 방법 KR102550043B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180041189A KR102550043B1 (ko) 2018-04-09 2018-04-09 트래픽 분석 장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180041189A KR102550043B1 (ko) 2018-04-09 2018-04-09 트래픽 분석 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20190118054A KR20190118054A (ko) 2019-10-17
KR102550043B1 true KR102550043B1 (ko) 2023-06-29

Family

ID=68424418

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180041189A KR102550043B1 (ko) 2018-04-09 2018-04-09 트래픽 분석 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR102550043B1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102240278B1 (ko) * 2019-10-29 2021-04-14 (주)누리텔레콤 자가 통신망 경로 설정 방법 및 장치
KR102274343B1 (ko) * 2020-03-02 2021-07-06 주식회사 케이티 도메인 별로 ip 정보를 관리하는 방법 및 이를 수행하는 트래픽 분석 장치
KR102430881B1 (ko) * 2021-12-13 2022-08-09 에스지에이솔루션즈 주식회사 서버 단말 연결 망의 보안위협과 보안 커널을 연계한 사용자의 경로 및 행위의 가시화 방법, 장치 및 컴퓨터-판독가능 기록매체
KR102638308B1 (ko) * 2021-12-21 2024-02-20 주식회사 윈스 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법 및 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101587571B1 (ko) * 2014-12-10 2016-02-02 (주)아이티언 학습기법을 응용한 분산서비스거부 공격 방어시스템 및 방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100081109A (ko) * 2009-01-05 2010-07-14 서울대학교산학협력단 스팸 필터링 방법 및 그 방법을 채용한 시스템
KR20140127552A (ko) 2013-04-25 2014-11-04 한국인터넷진흥원 외부망과 내부망 사이의 트래픽 분석을 통한 악성코드 경유지 추적 방법 및 시스템
KR20150091775A (ko) * 2014-02-04 2015-08-12 한국전자통신연구원 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템
US10721245B2 (en) * 2015-10-19 2020-07-21 Korea Institute Of Science And Technology Information Method and device for automatically verifying security event

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101587571B1 (ko) * 2014-12-10 2016-02-02 (주)아이티언 학습기법을 응용한 분산서비스거부 공격 방어시스템 및 방법

Also Published As

Publication number Publication date
KR20190118054A (ko) 2019-10-17

Similar Documents

Publication Publication Date Title
KR102550043B1 (ko) 트래픽 분석 장치 및 그 방법
US11036867B2 (en) Advanced rule analyzer to identify similarities in security rules, deduplicate rules, and generate new rules
KR102017756B1 (ko) 이상행위 탐지 장치 및 방법
Hu et al. Detecting and resolving firewall policy anomalies
CN104956376B (zh) 虚拟化环境中应用和设备控制的方法和技术
US20180091539A1 (en) Network Security Analysis System
US9237161B2 (en) Malware detection and identification
US20160261618A1 (en) System and method for selectively evolving phishing detection rules
US11956208B2 (en) Graphical representation of security threats in a network
JP2018506808A (ja) ネットワークデータ特性評価のシステムと方法
Bromander et al. Semantic Cyberthreat Modelling.
JPWO2014208427A1 (ja) セキュリティ情報管理システム、セキュリティ情報管理方法及びセキュリティ情報管理プログラム
WO2018066221A1 (ja) 分類装置、分類方法及び分類プログラム
US20210194931A1 (en) User interface for defining security groups
US11533325B2 (en) Automatic categorization of IDPS signatures from multiple different IDPS systems
JP2018077607A (ja) セキュリティルール評価装置およびセキュリティルール評価システム
JPWO2016121348A1 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム
GB2575755A (en) Assessment program, assessment method, and information processing device
US20210194849A1 (en) Scalable visualization of network flows
Negoita et al. Enhanced security using elasticsearch and machine learning
JP2012088803A (ja) 悪性ウェブコード判別システム、悪性ウェブコード判別方法および悪性ウェブコード判別用プログラム
JP2006350543A (ja) ログ分析装置
US20230035450A1 (en) Systems, devices, and methods for observing a computer network and/or securing data access to a computer network
JP6536680B2 (ja) 情報処理装置、情報処理方法、およびプログラム
JP7424395B2 (ja) 分析システム、方法およびプログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant