KR102574205B1 - 네트워크 공격 탐지 방법 및 장치 - Google Patents

네트워크 공격 탐지 방법 및 장치 Download PDF

Info

Publication number
KR102574205B1
KR102574205B1 KR1020210122992A KR20210122992A KR102574205B1 KR 102574205 B1 KR102574205 B1 KR 102574205B1 KR 1020210122992 A KR1020210122992 A KR 1020210122992A KR 20210122992 A KR20210122992 A KR 20210122992A KR 102574205 B1 KR102574205 B1 KR 102574205B1
Authority
KR
South Korea
Prior art keywords
security
risk index
security event
risk
network attack
Prior art date
Application number
KR1020210122992A
Other languages
English (en)
Other versions
KR20230039977A (ko
Inventor
김유태
한승연
Original Assignee
주식회사 리니어리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 리니어리티 filed Critical 주식회사 리니어리티
Priority to KR1020210122992A priority Critical patent/KR102574205B1/ko
Publication of KR20230039977A publication Critical patent/KR20230039977A/ko
Application granted granted Critical
Publication of KR102574205B1 publication Critical patent/KR102574205B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

실시예는 로그 데이터를 분석하여 위험도 지표를 생성하고 생성된 위험도 지표를 이용하여 보안 이벤트의 정오탐 여부를 예측가능한 네트워크 공격 탐지 방법 및 장치를 제공한다. 이로써 공격 탐지 정확도가 제고되고 신속한 대응이 가능하다.

Description

네트워크 공격 탐지 방법 및 장치{METHOD AND APPARATUS FOR NETWORK ATTACK DETECTION}
본 발명은 네트워크 공격 탐지 방법 및 장치에 관한 것으로, 보안 로그 데이터를 분석하여 위험도 지표를 생성하고 생성된 위험도 지표를 이용하여 보안 이벤트의 정오탐 여부를 예측가능한 네트워크 공격 탐지 방법 및 장치에 관한 것이다.
이하에서 기술되는 내용은 본 발명의 실시예와 관련되는 배경 정보를 제공할 목적으로 기재된 것일 뿐이고, 기술되는 내용들이 당연하게 종래기술을 구성하는 것은 아니다.
보안 관제 자동화를 위해 보안 솔루션 로그의 정탐/오탐 분석을 널리 활용한다. 이를 위해 보통은 로그 데이터로부터 공격자 IP, 탐지명, 포트 등의 지표를 추출하여 사용하지만, 이는 범용적인 지표로서 고도화된 공격을 탐지하기에는 한계가 있으며 다수의 오탐 또는 미탐이 발생하는 문제점이 있다.
또한, 자동화된 보안 데이터 분석 시에 기존 범용적인 지표들만 사용할 경우 정확한 척도가 되지 못하여 동일한 알고리즘을 사용하더라도 분석 시점에 따라 탐지율이 상이하게 나타나는 문제점이 있다.
한편, 전술한 선행기술은 발명자가 본 발명의 도출을 위해 보유하고 있었거나, 본 발명의 도출 과정에서 습득한 기술 정보로서, 반드시 본 발명의 출원 전에 일반 공중에게 공개된 공지기술이라 할 수는 없다.
본 발명의 일 과제는 공격자의 과거 접근 이력을 반영한 위험도 지표를 생성 및 활용하는 네트워크 공격 탐지 방법 및 장치를 제공하는 것이다.
본 발명의 목적은 이상에서 언급한 과제에 한정되지 않으며, 언급되지 않은 본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있고, 본 발명의 실시 예에 의해 보다 분명하게 이해될 것이다. 또한, 본 발명의 목적 및 장점들은 청구범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 알 수 있을 것이다.
본 발명의 일 실시예에 따른 네트워크 공격 탐지 방법은, 네트워크 보안 장비에 의해 탐지된 보안 이벤트에 대한 보안 로그 데이터를 획득하는 단계, 상기 보안 이벤트의 탐지 이력 정보에 기반하여 상기 보안 이벤트의 위험도에 대한 가중치를 결정하는 단계, 상기 가중치 및 상기 보안 로그 데이터에 기반하여 상기 보안 이벤트의 위험도 지표를 생성하는 단계 및 상기 위험도 지표에 기반하여 상기 보안 이벤트에 대한 정오탐 값을 예측하는 단계를 포함할 수 있다.
본 발명의 일 실시예에 따른 네트워크 공격 탐지 장치는 프로세서 및 적어도 하나의 명령을 저장하는 메모리를 포함하고, 상기 프로세서는 상기 적어도 하나의 명령을 실행함으로써, 네트워크 보안 장비에 의해 탐지된 보안 이벤트에 대한 보안 로그 데이터를 획득하고, 상기 보안 이벤트의 탐지 이력 정보에 기반하여 상기 보안 이벤트의 위험도에 대한 가중치를 결정하고, 상기 가중치 및 상기 보안 로그 데이터에 기반하여 상기 보안 이벤트의 위험도 지표를 생성하고, 상기 위험도 지표에 기반하여 상기 보안 이벤트에 대한 정오탐 값을 예측하도록 구성될 수 있다.
전술한 것 외의 다른 측면, 특징, 및 이점이 이하의 도면, 청구범위 및 발명의 상세한 설명으로부터 명확해질 것이다.
실시예에 의하면 위험도 가중치에 기반한 위험도 지표를 활용하여 보안 이벤트의 정오탐 정확도가 제고된다.
실시예에 의하면 정오탐 예측 모델을 활용하여 정오탐 자동 분석을 제공하므로 초동 분석 시간을 단축하고 신속한 대응이 가능하다.
본 발명의 효과는 이상에서 언급된 것들에 한정되지 않으며, 언급되지 아니한 다른 효과들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
도 1은 실시예에 따른 네트워크 공격 탐지 시스템의 동작 환경을 개략적으로 설명하기 위한 도면이다.
도 2는 실시예에 따른 네트워크 공격 탐지 시스템의 블록도이다.
도 3은 실시예에 따른 네트워크 공격 탐지 장치의 블록도이다.
도 4는 실시예에 따른 네트워크 공격 탐지 방법의 흐름도이다.
도 5는 실시예에 따른 네트워크 공격 탐지 방법을 설명하기 위한 도면이다.
이하에서는 도면을 참조하여 본 발명을 보다 상세하게 설명한다. 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며, 여기에서 설명하는 실시 예들에 한정되지 않는다. 이하 실시 예에서는 본 발명을 명확하게 설명하기 위해서 설명과 직접적인 관계가 없는 부분을 생략하지만, 본 발명의 사상이 적용된 장치 또는 시스템을 구현함에 있어서, 이와 같이 생략된 구성이 불필요함을 의미하는 것은 아니다. 아울러, 명세서 전체를 통하여 동일 또는 유사한 구성요소에 대해서는 동일한 참조번호를 사용한다.
이하의 설명에서 제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 되며, 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 또한, 이하의 설명에서 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
이하의 설명에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
이하 도면을 참고하여 본 발명을 상세히 설명하기로 한다.
도 1은 실시예에 따른 네트워크 공격 탐지 시스템의 동작 환경을 개략적으로 설명하기 위한 도면이다.
네트워크 공격 탐지 시스템(1000)은 외부 네트워크(external network)(EX_NET)와 내부 네트워크(internal network)(IN_NET) 사이의 통신을 모니터링하고 외부 네트워크(EX_NET)로부터 내부 네트워크(IN_NET)를 향한 침입 내지 공격을 탐지한다.
여기서 외부 네트워크(EX_NET)는 공용 네트워크(public network)이고 내부 네트워크(IN_NET)은 사설 네트워크(private network) 또는 데이터 센터 네트워크일 수 있다.
클라이언트(CLIENT)의 서비스 요청은 외부 네트워크(EX_NET) 및 내부 네트워크(IN_NET)를 거쳐서 서버(SERVER)에 도달하고, 서버(SERVER)는 서비스 요청을 처리 후 클라이언트(CLIENT)에게 응답을 전송한다. 예를 들어 클라이언트(CLIENT)와 서버(SERVER)는 패킷 기반의 데이터 통신을 수행한다.
네트워크 공격 탐지 시스템(1000)은 외부 네트워크(EX_NET)로부터 내부 네트워크(IN_NET)로 유입 또는 반대로 유출되는 데이터 패킷을 실시간으로 모니터링하고 내부 네트워크(IN_NET) 및 서버(SERVER)에 대한 보안 이벤트를 탐지한다.
여기서 보안 이벤트는 네트워크 공격 탐지 시스템(1000)의 모니터링 대상인 내부 네트워크(IN_NET) 및 서버(SERVER)에 대한 잠재적 보안 위협을 의미한다.
네트워크 공격 탐지 시스템(1000)은 보안 이벤트를 탐지하고, 정오탐 예측 모델을 실행하여 탐지된 보안 이벤트에 대한 정오탐 값을 예측한다.
네트워크 공격 탐지 시스템(1000)은 보안 장비(10) 및 네트워크 공격 탐지 장치(100)를 포함한다. 추가적으로 네트워크 공격 탐지 시스템(1000)은 티켓팅 시스템(ticketing system)(20)을 더 포함할 수 있다.
이하에서 도 2를 참조하여 네트워크 공격 탐지 시스템(1000)을 보다 상세히 살펴본다.
도 2는 실시예에 따른 네트워크 공격 탐지 시스템의 블록도이다.
네트워크 공격 탐지 시스템(1000)은 클라이언트(CLIENT)와 서버(SERVER) 간 통신을 모니터링하고 보안 이벤트를 탐지한다. 네트워크 공격 탐지 시스템(1000)은 보안 정보 및 이벤트 관리 솔루션(Security Information and Event Management; SIEM)(ex. Splunk ES, Qradar 등) 기반으로 로그 수집 및 통합 분석이 가능한 환경에서 작동한다.
네트워크 공격 탐지 시스템(1000)은 보안 장비(10) 및 네트워크 공격 탐지 장치(100)를 포함한다.
보안 이벤트는 전술한대로 네트워크 공격 탐지 시스템(1000)의 모니터링 대상인 내부 네트워크(IN_NET) 및 서버(SERVER)에 대한 잠재적 보안 위협을 의미한다. 보안 장비(10)는 방화벽(firewall)과 같은 침입 탐지 시스템(Intrusion Prevention System; IPS)을 실행하여 보안 이벤트를 탐지한다. 보안 장비(10)는 예를 들어 사전정의된 탐지 룰(rule)에 따라 공격일 가능성이 높은 통신 패턴을 추출하고 이에 대한 보안 이벤트를 생성한다.
실시예에 따른 네트워크 공격 탐지 장치(100)는 보안 장비(10)가 출력한 보안 이벤트를 수신한다. 네트워크 공격 탐지 장치(100)는 실시예에 따른 네트워크 공격 탐지 방법을 실행하여 수신된 보안 이벤트의 정오탐 여부를 예측한다.
추가적으로 네트워크 공격 탐지 시스템(1000)은 티켓팅 시스템(20)을 더 포함할 수 있다.
티켓팅 시스템(20)은 보안 장비(10)가 생성한 보안 이벤트를 수신하고 보안 관제를 위해 기 설정된 장비에 보안 이벤트 발생을 알리는 메시지를 전송한다. 보안 관제 요원은 티켓팅 시스템(20)에서 출력된 보안 이벤트를 정탐 또는 오탐으로 분류하는 피드백을 제공한다. 일 예에서 네트워크 공격 탐지 장치(100)는 티켓팅 시스템(20)의 정오탐 결과에 기반하여 후술할 위험도의 가중치를 결정할 수 있다.
실시예에 따른 네트워크 공격 탐지 장치(100)는 머신 러닝을 활용하여 보안 장비(10)에서 실행 중인 보안 솔루션의 로그 분석의 정확도를 높이고, 보통의 사용자 대비 공격 시도 대상의 위험도를 식별할 수 있는 위험도 지표를 생성할 수 있다.
실시예에 따른 네트워크 공격 탐지 장치(100)는 보안 로그 분석 시 공격 시도 기준(예를 들어 공격자 IP 주소 등)의 과거 공격 시도 내역 및 보통의 사용자 대비 위험도를 분석가능하도록 위험도 가중치를 부여하고 위험도 지표를 생성할 수 있다.
도 3은 실시예에 따른 네트워크 공격 탐지 장치의 블록도이다.
실시예에 따른 네트워크 공격 탐지 장치(100)는 프로세서(110) 및 적어도 하나의 명령을 저장하는 메모리(120)를 포함한다. 여기서 적어도 하나의 명령은 실시예에 따른 네트워크 공격 탐지 방법을 실행하기 위한 컴퓨터 프로그램을 포함한다.
프로세서(110)는 일종의 중앙처리장치로서, 메모리(120)에 저장된 하나 이상의 명령어를 실행하여 네트워크 공격 탐지 장치(100)의 동작을 제어할 수 있다.
프로세서(110)는 데이터를 처리할 수 있는 모든 종류의 장치를 포함할 수 있다. 프로세서(110)는 예를 들어 프로그램 내에 포함된 코드 또는 명령으로 표현된 기능을 수행하기 위해 물리적으로 구조화된 회로를 갖는, 하드웨어에 내장된 데이터 처리 장치를 의미할 수 있다.
이와 같이 하드웨어에 내장된 데이터 처리 장치의 일 예로서, 마이크로프로세서(microprocessor), 중앙처리장치(central processing unit: CPU), 프로세서 코어(processor core), 멀티프로세서(multiprocessor), 그래픽 처리 유닛(Graphic Processing Unit; GPU), ASIC(application-specific integrated circuit), FPGA(field programmable gate array) 등의 처리 장치를 망라할 수 있으나, 이에 한정되는 것은 아니다. 프로세서(110)는 하나 이상의 프로세서를 포함할 수 있다. 프로세서(110)는 이기종 프로세서, 예를 들어 CPU 및 GPU를 포함할 수 있다.
메모리(120)는 실시예에 따른 네트워크 공격 탐지 과정을 실행하기 위한 하나 이상의 명령을 포함하는 프로그램을 저장할 수 있다. 프로세서(110)는 메모리(120)에 저장된 프로그램, 명령어들에 기반하여 실시예에 따른 네트워크 공격 탐지 과정을 실행할 수 있다.
메모리(120)는 내장 메모리 및/또는 외장 메모리를 포함할 수 있으며, DRAM, SRAM, 또는 SDRAM 등과 같은 휘발성 메모리, OTPROM(one time programmable ROM), PROM, EPROM, EEPROM, mask ROM, flash ROM, NAND 플래시 메모리, 또는 NOR 플래시 메모리 등과 같은 비휘발성 메모리, SSD, CF(compact flash) 카드, SD 카드, Micro-SD 카드, Mini-SD 카드, Xd 카드, 또는 메모리 스틱(memory stick) 등과 같은 플래시 드라이브, 또는 HDD와 같은 저장 장치를 포함할 수 있다. 메모리(120)는 자기 저장 매체(magnetic storage media) 또는 플래시 저장 매체(flash storage media)를 포함할 수 있으나, 이에 한정되는 것은 아니다.
추가적으로 네트워크 공격 탐지 장치(100)는 외부 장치와 통신을 위한 통신부를 더 포함할 수 있다.
도 4는 실시예에 따른 네트워크 공격 탐지 방법의 흐름도이다.
실시예에 따른 네트워크 공격 탐지 방법은 네트워크 보안 장비에 의해 탐지된 보안 이벤트에 대한 보안 로그 데이터를 획득하는 단계(S1), 보안 이벤트의 탐지 이력 정보에 기반하여 보안 이벤트의 위험도에 대한 가중치를 결정하는 단계(S2), 결정된 가중치 및 보안 로그 데이터에 기반하여 보안 이벤트의 위험도 지표를 생성하는 단계(S3) 및 위험도 지표에 기반하여 보안 이벤트에 대한 정오탐 값을 예측하는 단계(S4)를 포함한다.
단계(S1)에서 프로세서(110)는 네트워크 보안 장비(10)에 의해 탐지된 보안 이벤트에 대한 보안 로그 데이터를 획득한다.
보안 장비(10)는 보안 로그 데이터를 생성한다. 보안 로그 데이터는 보안 이벤트 식별 정보, 보안 이벤트 레벨, 접근 시도 정보, 과거 이벤트 탐지 정보, 레벨별 평균 탐지 건수 정보 및 평균 접근 시도 건수 정보를 포함할 수 있다. 또한 보안 로그 데이터는 공격자 IP 주소, 공격자 포트 정보, 목적지 IP 주소, 목적지 포트 정보, 시그니처(signature, 탐지명), 탐지 장비 명, 시그니처에 대하여 탐지 장비가 판단한 위험도인 리스크 정보를 더 포함할 수 있다. 생성된 보안 로그 데이터는 네트워크 공격 탐지 시스템의 로그 저장을 위한 저장소에 저장될 수 있다.
또한, 보안 장비(10)는 사전설정된 시간 동안에 탐지된 적어도 하나의 네트워크 접근 시도에 대하여 적어도 하나의 보안 이벤트를 생성할 수 있다. 여기서 사전설정된 시간은 소정의 탐지 주기로서 보안 장비(10)는 탐지 주기 동안 발생한 적어도 하나의 네트워크 접근 시도가 사전설정된 룰에 따라 잠재적 공격인 지를 판단하고 결과로 보안 이벤트를 생성한다.
여기서 보안 이벤트는 보안 장비(10)에 의해 부여된 레벨 정보를 포함한다. 예를 들어 보안 이벤트의 레벨은 심각(critical), 높은(high), 중간(medium), 낮은(low) 위험도 중 하나로 부여될 수 있다.
네트워크 공격 탐지 장치(100)의 프로세서(110)는 보안 장비(10)가 탐지한 보안 이벤트를 수신하고 해당 보안 이벤트에 대한 보안 로그 데이터를 획득한다.
단계(S2)에서 프로세서(110)는 보안 이벤트의 탐지 이력 정보에 기반하여 보안 이벤트의 위험도에 대한 가중치를 결정한다. 즉, 프로세서(110)는 단계(S2)에서 과거 정오탐 탐지 처리 내역을 포함한 탐지 이력 정보에 기반하여 보안 이벤트의 가중치를 결정한다.
단계(S2)는 탐지 이력 정보 및 보안 이벤트의 레벨에 따라 부여되는 가중치 초기값에 기반하여 보안 이벤트의 위험도에 대한 가중치를 결정하는 단계를 포함할 수 있다.
여기서 탐지 이력 정보는 사전설정된 시간 동안에 발생한 보안 이벤트 수와 관련된 정보로서, 예를 들어 사전설정된 시간 동안에 탐지된 보안 이벤트의 전체 탐지 카운트, 정탐 카운트 및 오탐 카운트를 포함한다.
보안 이벤트의 전체 탐지 카운트는 사전설정된 시간 동안 보안 장비(10)에서 탐지된 보안 이벤트의 전체 수를 의미한다. 정탐 카운트는 사전설정된 시간 동안 보안 장비(10)에서 탐지된 보안 이벤트 중에서 티켓팅 시스템(20)을 거쳐서 보안 관제 요원에 의해 정탐으로 판단된 보안 이벤트의 수 또는 네트워크 공격 탐지 장치(100)에 의해 정탐으로 예측된 보안 이벤트의 수를 의미한다. 오탐 카운트는 사전설정된 시간 동안 보안 장비(10)에서 탐지된 보안 이벤트 중에서 티켓팅 시스템(20)을 거쳐서 보안 관제 요원에 의해 오탐으로 판단된 보안 이벤트의 수 또는 네트워크 공격 탐지 장치(100)에 의해 오탐으로 예측된 보안 이벤트의 수를 의미한다.
단계(S2)에서 프로세서(110)는 보안 이벤트의 레벨에 따라 가중치 초기값을 결정한다. 프로세서(110)는 보안 이벤트의 레벨이 심각할수록 가중치 초기값을 더 큰 값으로 결정(예를 들어 critical: 10, high: 5, medium 2, low: 1)할 수 있다.
일 예에서 프로세서(110)는 탐지 이력 정보에 기반하여 가중치 초기값을 조정할 수 있다. 예를 들어 프로세서(110)는 소정 기간 동안 탐지된 전체 탐지 카운트 대비 정탐 카운트의 비율에 비례하여 가중치 초기값의 디폴트 값을 조정할 수 있다.
단계(S2)에서 프로세서(110)는 다음의 수학식에 따라 보안 이벤트의 레벨별 가중치를 결정할 수 있다.
Figure 112021106833839-pat00001
보안 이벤트의 레벨에 따른 가중치 초기값이 critical: 10, high: 5, medium 2, low: 1이라고 가정하고 이하에서 가중치 계산 과정을 예를 들어 설명한다.
예를 들어 전체 탐지 카운트는 심각(critical) 이벤트 4건이고, 그 중 정탐 카운트 3, 오탐 카운트 1인 경우, 프로세서(110)는 수학식 1에 이를 적용하여 심각(critical) 이벤트의 위험도에 대한 가중치를 다음과 같이 결정할 수 있다.
Figure 112021106833839-pat00002
예를 들어 전체 탐지 카운트는 높은(high) 이벤트 100건이고, 그 중 정탐 카운트 40, 오탐 카운트 60인 경우, 프로세서(110)는 수학식 1에 이를 적용하여 높은(high) 이벤트의 위험도에 대한 가중치를 다음과 같이 결정할 수 있다.
Figure 112021106833839-pat00003
단계(S2)에서 프로세서(110)는 계산 결과에 따라 위험도에 대한 가중치를 업데이트할 수 있다.
단계(S3)에서 프로세서(110)는 단계(S2)에서 결정된 가중치 및 보안 로그 데이터에 기반하여 보안 이벤트의 위험도 지표를 생성한다.
단계(S3)는 제 1 위험도 지표를 생성하는 단계, 제 2 위험도 지표를 생성하는 단계, 제 3 위험도 지표를 생성하는 단계 및 제 4 위험도 지표를 생성하는 단계를 포함할 수 있다.
단계(S3)에서 프로세서(110)는 보안 이벤트의 공격자 IP 주소별로 보안 이벤트의 레벨별 가중치 및 발생 카운트, 공격자 IP 주소별 접근 시도 카운트 및 공격자 IP 주소별 총 접근 시도 카운트에 기반하여 제 1 위험도 지표를 생성할 수 있다.
프로세서(110)는 제 1 위험도 지표(sum_ioc)를 다음의 식에 따라 결정할 수 있다.
여기서 k는 비례 상수(예를 들어 0.001)이다.
프로세서(110)는 보안 이벤트의 공격자 IP 주소별로 각 변수의 값을 집계하여 제 1 위험도 지표를 계산한다.
단계(S3)에서 프로세서(110)는 탐지된 전체 보안 이벤트의 레벨별 가중치 평균값 및 발생 카운트 평균값, 평균 접근 시도 카운트 및 총 접근 시도 카운트에 기반하여 제 2 위험도 지표를 생성할 수 있다.
프로세서(110)는 제 2 위험도 지표(avg_sum_ioc)를 다음의 식에 따라 결정할 수 있다.
여기서 k는 비례 상수로서 수학식 1의 k와 동일한 값으로 설정될 수 있다.
프로세서(110)는 탐지된 전체 보안 이벤트를 기준으로 수학식 5의 각 변수의 값을 집계하여 제 2 위험도 지표를 계산한다.
단계(S3)에서 프로세서(110)는 제 1 위험도 지표, 제 2 위험도 지표 및 공격자 IP 주소별 평균 접근 시도 카운트에 기반하여 제 3 위험도 지표를 생성할 수 있다.
제 3 위험도 지표는 평균 사용자 대비 공격자의 공격 기여도를 반영하는 지표이다.
프로세서(110)는 다음의 식에 따라 제 3 위험도 지표(AAA)를 생성할 수 있다.
사용자들의 평균 위험도 대비 높은위험도를 가진 공격 행위를 시도한 공격자(즉, 제1위험도지표 > 제2위험도지표)가 다수 공격 행동(공격자 IP주소 기준 접속 카운트)을 했을 경우 위험성이 더욱 더 높다고 볼 수 있기 때문에 공격자 IP 주소 기준 평균 접근 시도 카운트를 곱하여 이상치를 판단한다.
단계(S3)에서 프로세서(110)는 제 3 위험도 지표, 공격자 IP 주소별 접근 시도 카운트 및 전체 평균 접근 시도 카운트에 기반하여 제 4 위험도 지표를 생성할 수 있다.
제 4 위험도 지표는 공격 포인트(Attack Point; AP)를 나타낸다. 프로세서(110)는 다음의 식에 따라 제 4 위험도 지표(AP)를 생성할 수 있다.
여기서 공격자 IP 기준 접근 시도 카운트를 전체 평균 접근 시도 카운트로 나누어 특정 공격자의 접근 시도가 평균 사용자의 접근 시도 대비 많았을 경우의 위험도를 보정할 수 있다. a는 상수(예를 들어 100)이고 적용 사이트별로 결정될 수 있다.
단계(S4)에서 프로세서(110)는 단계(S3)에서 생성된 위험도 지표에 기반하여 보안 이벤트에 대한 정오탐 값을 예측한다.
단계(S4)에서 프로세서(110)는 보안 이벤트의 공격자 IP 주소, 목적지 IP 주소, 시그니처 정보, 리스크 정보, 및 제 3 위험도 지표와 제 4 위험도 지표를 입력으로 하여 정오탐 예측 모델을 실행한다.
여기서 보안 이벤트의 공격자 IP 주소, 목적지 IP 주소, 시그니처 정보, 리스크 정보는 보안 장비(10)의 보안 로그 데이터로부터 획득할 수 있다.
예를 들어 정오탐 예측 모델은 랜덤 방식 지니 계수를 사용한 결정 트리(Decision Tree)를 사용할 수 있고, 보안 이벤트의 정오탐 값에 대한 예측치를 출력한다.
단계(S4)에서 프로세서(110)는 제 3 위험도 지표 및 제 4 위험도 지표와 같은 신규 지표를 활용하므로 공격자 IP, 시그니처(signature), 포트(port)와 같은 보안 로그 데이터로부터 직접 추출가능한 지표를 사용하는 경우보다 정오탐 탐지 정확도가 제고된다.
또한, 결정 트리와 같은 분류(classification) 기능을 제공하는 머신 러닝 함수를 활용하여 보안 이벤트에 대한 정오탐에 소요되는 초동 분석 시간을 단축하여 빠른 대응이 가능하다.
일 예에서 프로세서(110)는 단계(S4)에서 출력된 정오탐 예측 값에 기반하여 단계(S2)에서 보안 이벤트의 위험도에 대한 가중치를 업데이트할 수 있다.
일 예에서 프로세서(110)는 사전설정된 주기마다 단계(S1) 내지 단계(S4)를 수행할 수 있다. 예를 들어 사전설정된 주기는 1시간 또는 하루일 수 있다. 일 예에서 프로세서(110)는 보안 이벤트가 발생할 때마다 단계(S1) 내지 단계(S4)를 수행할 수 있다.
도 5는 실시예에 따른 네트워크 공격 탐지 방법을 설명하기 위한 도면이다. 도 5는 도 4를 참조하여 단계(S3)에서 위험도 지표 간의 생성 순서를 보여준다.
프로세서(110)는 제 1 위험도 지표와 제 2 위험도 지표는 동시에 또는 순차적으로 생성할 수 있다. 프로세서(110)는 제 1 위험도 지표와 제 2 위험도 지표에 기반하여 제 3 위험도 지표를 생성할 수 있다. 후속하여 프로세서(110)는 제 3 위험도 지표에 기반하여 제 3 위험도 지표를 생성할 수 있다. 도 4를 참조하여 단계(S4)에서 프로세서(110)는 제 3 위험도 지표 및 제 4 위험도 지표를 입력 데이터로 하여 정오탐 예측 모델을 실행한다.
전술한 본 발명의 일 실시예에 따른 방법은 프로그램이 기록된 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 매체는, 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 매체의 예로는, HDD(Hard Disk Drive), SSD(Solid State Disk), SDD(Silicon Disk Drive), ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있다. 본 발명의 일 실시예에 따른 방법을 실행하기 위한 적어도 하나의 명령어를 포함하는 컴퓨터 프로그램은 컴퓨터 판독가능한 비일시적 기록 매체에 저장되어 제공될 수 있다.
이상 설명된 본 발명의 실시예에 대한 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시 예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 청구범위에 의하여 나타내어지며, 청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100: 네트워크 공격 탐지 장치
1000: 네트워크 공격 탐지 시스템

Claims (15)

  1. 네트워크 공격 탐지 방법으로서,
    네트워크 보안 장비에 의해 탐지된 보안 이벤트에 대한 보안 로그 데이터를 획득하는 단계;
    상기 보안 이벤트의 탐지 이력 정보에 기반하여 상기 보안 이벤트의 위험도에 대한 가중치를 결정하는 단계;
    상기 가중치 및 상기 보안 로그 데이터에 기반하여 상기 보안 이벤트의 위험도 지표를 생성하는 단계; 및
    상기 위험도 지표에 기반하여 상기 보안 이벤트에 대한 정오탐 값을 예측하는 단계
    를 포함하고,
    상기 위험도 지표를 생성하는 단계는,
    상기 보안 이벤트의 공격자 IP 주소별로 상기 보안 이벤트의 레벨별 가중치 및 발생 카운트, 상기 공격자 IP 주소별 접근 시도 카운트 및 상기 공격자 IP 주소별 총 접근 시도 카운트에 기반하여 제 1 위험도 지표를 생성하는 단계;
    탐지된 전체 보안 이벤트의 레벨별 가중치 평균값 및 발생 카운트 평균값, 평균 접근 시도 카운트 및 총 접근 시도 카운트에 기반하여 제 2 위험도 지표를 생성하는 단계;
    상기 제 1 위험도 지표, 상기 제 2 위험도 지표 및 상기 공격자 IP 주소별 평균 접근 시도 카운트에 기반하여 제 3 위험도 지표를 생성하는 단계; 및
    상기 제 3 위험도 지표, 상기 공격자 IP 주소별 접근 시도 카운트 및 전체 평균 접근 시도 카운트에 기반하여 제 4 위험도 지표를 생성하는 단계
    를 포함하는,
    네트워크 공격 탐지 방법.
  2. 제 1 항에 있어서,
    상기 보안 로그 데이터는, 보안 이벤트 식별 정보, 보안 이벤트 레벨, 접근 시도 정보, 과거 이벤트 탐지 정보, 레벨별 평균 탐지 건수 정보 및 평균 접근 시도 건수 정보를 포함하는,
    네트워크 공격 탐지 방법.
  3. 제 1 항에 있어서,
    상기 보안 이벤트는 사전설정된 시간 동안에 탐지된 적어도 하나의 네트워크 접근 시도에 대하여 생성되는,
    네트워크 공격 탐지 방법.
  4. 제 1 항에 있어서,
    상기 탐지 이력 정보는 사전설정된 시간 동안에 탐지된 보안 이벤트의 전체 탐지 카운트, 정탐 카운트 및 오탐 카운트를 포함하는,
    네트워크 공격 탐지 방법.
  5. 제 1 항에 있어서,
    상기 가중치를 결정하는 단계는,
    상기 탐지 이력 정보 및 보안 이벤트의 레벨에 따라 부여되는 가중치 초기값에 기반하여 상기 보안 이벤트의 위험도에 대한 가중치를 결정하는 단계
    를 포함하는,
    네트워크 공격 탐지 방법.
  6. 삭제
  7. 제 1 항에 있어서,
    상기 정오탐 값을 예측하는 단계는,
    상기 보안 이벤트의 공격자 IP 주소, 목적지 IP 주소, 시그니처 정보, 리스크 정보, 및 상기 제 3 위험도 지표와 제 4 위험도 지표를 입력으로 하여 정오탐 예측 모델을 실행하는 단계
    를 포함하고,
    상기 정오탐 예측 모델은 랜덤 방식 지니 계수를 사용한 결정 트리(Decision Tree)에 기반하여 상기 보안 이벤트의 정오탐 값을 예측하도록 구성되는,
    네트워크 공격 탐지 방법.
  8. 제 1 항에 있어서,
    상기 보안 로그 데이터를 획득하는 단계, 상기 가중치를 결정하는 단계, 상기 위험도 지표를 생성하는 단계 및 상기 정오탐 값을 예측하는 단계를 사전설정된 주기마다 수행하는 단계
    를 더 포함하는,
    네트워크 공격 탐지 방법.
  9. 네트워크 공격 탐지 장치로서,
    프로세서; 및
    적어도 하나의 명령을 저장하는 메모리
    를 포함하고, 상기 프로세서는 상기 적어도 하나의 명령을 실행함으로써,
    네트워크 보안 장비에 의해 탐지된 보안 이벤트에 대한 보안 로그 데이터를 획득하고,
    상기 보안 이벤트의 탐지 이력 정보에 기반하여 상기 보안 이벤트의 위험도에 대한 가중치를 결정하고,
    상기 가중치 및 상기 보안 로그 데이터에 기반하여 상기 보안 이벤트의 위험도 지표를 생성하고,
    상기 위험도 지표에 기반하여 상기 보안 이벤트에 대한 정오탐 값을 예측하도록 구성되고,
    상기 보안 이벤트의 공격자 IP 주소별로 상기 보안 이벤트의 레벨별 가중치 및 발생 카운트, 상기 공격자 IP 주소별 접근 시도 카운트 및 상기 공격자 IP 주소별 총 접근 시도 카운트에 기반하여 제 1 위험도 지표를 생성하고,
    탐지된 전체 보안 이벤트의 레벨별 가중치 평균값 및 발생 카운트 평균값, 평균 접근 시도 카운트 및 총 접근 시도 카운트에 기반하여 제 2 위험도 지표를 생성하고,
    상기 제 1 위험도 지표, 상기 제 2 위험도 지표 및 상기 공격자 IP 주소별 평균 접근 시도 카운트에 기반하여 제 3 위험도 지표를 생성하고,
    상기 제 3 위험도 지표, 상기 공격자 IP 주소별 접근 시도 카운트 및 전체 평균 접근 시도 카운트에 기반하여 제 4 위험도 지표를 생성하도록 구성되는,
    네트워크 공격 탐지 장치.
  10. 제 9 항에 있어서,
    상기 프로세서는 상기 적어도 하나의 명령을 실행함으로써,
    사전설정된 시간 동안 발생한 적어도 하나의 네트워크 접근 시도에 대하여 상기 보안 이벤트를 생성하도록 구성되는,
    네트워크 공격 탐지 장치.
  11. 제 9 항에 있어서,
    상기 프로세서는 상기 가중치를 결정하기 위해, 상기 적어도 하나의 명령을 실행함으로써,
    상기 탐지 이력 정보 및 보안 이벤트의 레벨에 따라 부여되는 가중치 초기값에 기반하여 상기 보안 이벤트의 위험도에 대한 가중치를 결정하도록 구성되는,
    네트워크 공격 탐지 장치.
  12. 삭제
  13. 제 9 항에 있어서,
    상기 메모리는 랜덤 방식 지니 계수를 사용한 결정 트리에 기반하여 상기 보안 이벤트의 정오탐 값을 예측하도록 구성된 정오탐 예측 모델을 더 저장하고,
    상기 프로세서는 상기 정오탐 값을 예측하기 위하여 상기 적어도 하나의 명령을 실행함으로써,
    상기 보안 이벤트의 공격자 IP 주소, 목적지 IP 주소, 시그니처 정보, 리스크 정보, 및 상기 제 3 위험도 지표와 제 4 위험도 지표를 입력으로 하여 정오탐 예측 모델을 실행하도록 구성되는,
    네트워크 공격 탐지 장치.
  14. 제 9 항에 있어서,
    상기 프로세서는 상기 적어도 하나의 명령을 실행함으로써,
    사전설정된 주기마다 상기 보안 로그 데이터를 획득하고, 상기 가중치를 결정하고, 상기 위험도 지표를 생성하고, 상기 정오탐 값을 예측하도록 구성되는,
    네트워크 공격 탐지 장치.
  15. 제 1 항 내지 제 5 항, 제 7 항 및 제 8 항 중 어느 한 항에 따른 네트워크 공격 탐지 방법을 실행하기 위한 적어도 하나의 명령어를 포함하는 컴퓨터 프로그램을 저장한 컴퓨터 판독가능한 비일시적 기록 매체.
KR1020210122992A 2021-09-15 2021-09-15 네트워크 공격 탐지 방법 및 장치 KR102574205B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210122992A KR102574205B1 (ko) 2021-09-15 2021-09-15 네트워크 공격 탐지 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210122992A KR102574205B1 (ko) 2021-09-15 2021-09-15 네트워크 공격 탐지 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20230039977A KR20230039977A (ko) 2023-03-22
KR102574205B1 true KR102574205B1 (ko) 2023-09-04

Family

ID=86005942

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210122992A KR102574205B1 (ko) 2021-09-15 2021-09-15 네트워크 공격 탐지 방법 및 장치

Country Status (1)

Country Link
KR (1) KR102574205B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117749645B (zh) * 2023-11-29 2024-06-04 北京金诺珩科技发展有限公司 一种机房动态ip地址数据采集方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102047782B1 (ko) * 2017-01-04 2019-11-22 한국전자통신연구원 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법 및 장치
KR102230441B1 (ko) * 2020-12-14 2021-03-22 주식회사 이글루시큐리티 보안 취약점 진단 결과를 기반으로 보안 조치 보고서를 생성하는 방법, 장치 및 프로그램

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120043466A (ko) * 2010-10-26 2012-05-04 한국통신인터넷기술 주식회사 위협 탐지 시스템으로부터 제공된 정보에 기반한 통합 보안 관리 방법 및 장치

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102047782B1 (ko) * 2017-01-04 2019-11-22 한국전자통신연구원 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법 및 장치
KR102230441B1 (ko) * 2020-12-14 2021-03-22 주식회사 이글루시큐리티 보안 취약점 진단 결과를 기반으로 보안 조치 보고서를 생성하는 방법, 장치 및 프로그램

Also Published As

Publication number Publication date
KR20230039977A (ko) 2023-03-22

Similar Documents

Publication Publication Date Title
JP6732806B2 (ja) アカウント盗難リスクの識別方法、識別装置、及び防止・制御システム
Vokorokos et al. Host-based intrusion detection system
US10599851B2 (en) Malicious code analysis method and system, data processing apparatus, and electronic apparatus
CN109831465A (zh) 一种基于大数据日志分析的网站入侵检测方法
Killourhy et al. A defense-centric taxonomy based on attack manifestations
CN105009132A (zh) 基于置信因子的事件关联
CN109167794B (zh) 一种面向网络系统安全度量的攻击检测方法
KR102230441B1 (ko) 보안 취약점 진단 결과를 기반으로 보안 조치 보고서를 생성하는 방법, 장치 및 프로그램
WO2022042194A1 (zh) 登录设备的封禁检测方法、装置、服务器和存储介质
JP2017142744A (ja) 情報処理装置、ウィルス検出方法及びプログラム
JPWO2016121348A1 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム
CN111786974A (zh) 一种网络安全评估方法、装置、计算机设备和存储介质
KR102574205B1 (ko) 네트워크 공격 탐지 방법 및 장치
CN110135162A (zh) Webshell后门识别方法、装置、设备及存储介质
CN105825130B (zh) 一种信息安全预警方法及装置
US20170346834A1 (en) Relating to the monitoring of network security
CN114238885A (zh) 用户异常登录行为识别方法、装置、计算机设备和存储介质
CN113312620A (zh) 一种程序安全检测方法及装置、处理器芯片、服务器
Zhao et al. A Multi-threading Solution to Multimedia Traffic in NIDS Based on Hybrid Genetic Algorithm.
CN117319001A (zh) 网络安全评估方法、装置、存储介质和计算机设备
JP6066877B2 (ja) 認証サーバ、認証方法及び認証プログラム
CN113542200B (zh) 风险控制方法、装置和存储介质
CN113704749B (zh) 一种恶意挖矿检测处理方法和装置
US11232202B2 (en) System and method for identifying activity in a computer system
JP2018147444A (ja) 分析プログラムを実行する計算機システム、及び、分析プログラムの実行を監視する方法

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant