KR102614309B1 - 엔드포인트 공격 탐지 방법 및 장치 - Google Patents
엔드포인트 공격 탐지 방법 및 장치 Download PDFInfo
- Publication number
- KR102614309B1 KR102614309B1 KR1020230120773A KR20230120773A KR102614309B1 KR 102614309 B1 KR102614309 B1 KR 102614309B1 KR 1020230120773 A KR1020230120773 A KR 1020230120773A KR 20230120773 A KR20230120773 A KR 20230120773A KR 102614309 B1 KR102614309 B1 KR 102614309B1
- Authority
- KR
- South Korea
- Prior art keywords
- ttp
- detection
- mapping
- attack
- endpoint
- Prior art date
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 193
- 238000000034 method Methods 0.000 title claims description 78
- 238000013507 mapping Methods 0.000 claims abstract description 121
- 230000008569 process Effects 0.000 claims description 29
- 230000009471 action Effects 0.000 claims description 26
- 230000000694 effects Effects 0.000 claims description 14
- 238000010586 diagram Methods 0.000 description 12
- 230000006399 behavior Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 8
- 239000011159 matrix material Substances 0.000 description 6
- 201000007023 Thrombotic Thrombocytopenic Purpura Diseases 0.000 description 5
- 230000003542 behavioural effect Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 238000011161 development Methods 0.000 description 3
- 230000007123 defense Effects 0.000 description 2
- 230000002688 persistence Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000013515 script Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
엔드 포인트 공격 탐지 방법 및 장치가 제공된다. 상기 엔드 포인트 공격 탐지 장치는 하나 이상의 인스트럭션을 저장하는 메모리, 및 상기 메모리에 저장된 상기 하나 이상의 인스트럭션을 실행하는 하나 이상의 프로세서를 포함하고, 상기 하나 이상의 프로세서는 상기 하나 이상의 인스트럭션을 실행함으로써 엔드포인트에서 발생하는 하나 이상의 시스템 로그를 수집하고, 상기 수집한 시스템 로그 중 사이버 공격 행위로 의심되는 하나 이상의 시스템 로그에 대하여 TTP 매핑을 수행하고, 상기 TTP 매핑 결과를 TTP 탐지 후보로 정의하고, 소정의 시간 동안 발생한 상기 TTP 탐지 후보의 위협도의 합 또는 소정의 시간 동안 발생한 상기 TTP 탐지 후보의 발생 패턴과 소정의 공격 그룹의 공격 패턴 간의 유사도에 기초하여 상기 TTP 탐지 후보 중 적어도 일부를 사이버 공격으로 탐지한다.
Description
본 발명은 엔드포인트 공격 탐지 방법 및 장치에 관한 것이다.
정보통신기술(Information & Communication Technology, ICT)의 발달로 인하여 다양한 사이버보안 위협이 증가하고 있다. 따라서, 정보 시스템의 보안 문제로 인한 심각한 재정적 손실이나 인명 피해가 발생할 수 있다.
종래에 사이버 공격을 탐지하는 다양한 기술이 제안되었지만, 더욱 정교해진 공격을 탐지하기 위해 사이버 공격의 전술(Tactic), 기법(Technique), 절차(Procedure) 등을 고려하여 공격을 탐지하는 것이 필요하다.
본 발명이 해결하고자 하는 과제는 엔드포인트 공격 탐지 방법 및 장치를 제공하는 것이다.
본 발명이 해결하고자 하는 과제들은 이상에서 언급된 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상술한 과제를 해결하기 위한 본 발명의 일 면에 따른 엔드 포인트 공격 탐지 장치는 하나 이상의 인스트럭션을 저장하는 메모리, 및 상기 메모리에 저장된 상기 하나 이상의 인스트럭션을 실행하는 하나 이상의 프로세서를 포함하고, 상기 하나 이상의 프로세서는 상기 하나 이상의 인스트럭션을 실행함으로써 엔드포인트에서 발생하는 하나 이상의 시스템 로그를 수집하고, 상기 수집한 시스템 로그 중 사이버 공격 행위로 의심되는 하나 이상의 시스템 로그에 대하여 TTP 매핑을 수행하고, 상기 TTP 매핑 결과를 TTP 탐지 후보로 정의하고, 소정의 시간 동안 발생한 상기 TTP 탐지 후보의 위협도의 합 또는 소정의 시간 동안 발생한 상기 TTP 탐지 후보의 발생 패턴과 소정의 공격 그룹의 공격 패턴 간의 유사도에 기초하여 상기 TTP 탐지 후보 중 적어도 일부를 사이버 공격으로 탐지할 수 있다.
상술한 과제를 해결하기 위한 본 발명의 일 면에 따른 엔드 포인트 공격 탐지 방법은 엔드포인트에서 발생하는 하나 이상의 시스템 로그를 수집하는 단계, 상기 수집한 시스템 로그 중 사이버 공격 행위로 의심되는 하나 이상의 시스템 로그에 대하여 TTP 매핑을 수행하는 단계, 및 상기 TTP 매핑 결과를 TTP 탐지 후보로 정의하고, 소정의 시간 동안 발생한 상기 TTP 탐지 후보의 위협도의 합 또는 소정의 시간 동안 발생한 상기 TTP 탐지 후보의 발생 패턴과 소정의 공격 그룹의 공격 패턴 간의 유사도에 기초하여 상기 TTP 탐지 후보 중 적어도 일부를 사이버 공격으로 탐지하는 단계를 포함할 수 있다.
본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 발명은 TTP 매핑과 TTP 탐지의 2단계로 구성함으로써, 물리적 서버를 2대 이상으로 분리하여 TTP 매핑과 TTP 탐지를 분산 처리하는 경우, 오버헤드 최소화에 유리할 수 있다.
본 발명은 TTP 매핑과 오탐 목록을 이용함으로써, 사이버 공격 행위에 대한 탐지시에 오탐지 가능성을 고려할 수 있어 오탐지를 최소화할 수 있다.
본 발명은 TTP 매핑을 이용함으로써, 종래의 기술인 시그니처(signature)를 기준으로 사이버 공격을 탐지하는 방법보다 공격자가 탐지를 우회할 수 있는 가능성을 낮출 수 있다. 구체적으로, 본 발명은 공격자의 행동이 TTP 형태의 조합으로 감지되고 이를 토대로 탐지가 이뤄지므로, 공격자가 탐지를 우회하기 위하여 시그니처를 변조하더라도 정확하게 사이버 공격을 탐지해낼 수 있다.
본 발명의 효과들은 이상에서 언급된 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 엔드 포인트 공격 탐지 장치를 간략하게 나타낸 도면이다.
도 2는 본 발명의 다른 실시예에 따른 엔드 포인트 공격 탐지 장치를 간략하게 나타낸 도면이다.
도 3은 본 발명의 일 실시예에 따라, 엔드 포인트 공격 탐지 장치에서 수행되는 사이버 공격 탐지 방법을 나타낸 도면이다.
도 4는 본 발명의 일 실시예에 따른 엔드 포인트 공격 탐지 장치에서 수행되는 TTP 매핑 및 사이버 공격 탐지 과정을 나타낸 도면이다.
도 5는 본 발명의 일 실시예에 따른 엔드 포인트 공격 탐지 장치에서 수행되는 TTP 매핑 과정을 나타낸 도면이다.
도 6은 본 발명의 일 실시예에 따른 엔드 포인트 공격 탐지 장치에서 수행되는 사이버 공격 탐지 과정을 나타낸 도면이다.
도 2는 본 발명의 다른 실시예에 따른 엔드 포인트 공격 탐지 장치를 간략하게 나타낸 도면이다.
도 3은 본 발명의 일 실시예에 따라, 엔드 포인트 공격 탐지 장치에서 수행되는 사이버 공격 탐지 방법을 나타낸 도면이다.
도 4는 본 발명의 일 실시예에 따른 엔드 포인트 공격 탐지 장치에서 수행되는 TTP 매핑 및 사이버 공격 탐지 과정을 나타낸 도면이다.
도 5는 본 발명의 일 실시예에 따른 엔드 포인트 공격 탐지 장치에서 수행되는 TTP 매핑 과정을 나타낸 도면이다.
도 6은 본 발명의 일 실시예에 따른 엔드 포인트 공격 탐지 장치에서 수행되는 사이버 공격 탐지 과정을 나타낸 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나, 본 발명은 이하에서 개시되는 실시예들에 제한되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술 분야의 통상의 기술자에게 본 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다. 명세서 전체에 걸쳐 동일한 도면 부호는 동일한 구성 요소를 지칭하며, "및/또는"은 언급된 구성요소들의 각각 및 하나 이상의 모든 조합을 포함한다. 비록 "제1", "제2" 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야의 통상의 기술자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
본 발명을 설명함에 있어서 관련된 공지 기술에 대하여 통상의 기술자에게 자명한 사항으로서 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 상세한 설명을 생략한다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예를 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 엔드 포인트 공격 탐지 장치를 간략하게 나타낸 도면이다.
도 1을 참조하면, 엔드 포인트 공격 탐지 장치(100)는 하나 이상의 프로세서(110), 메모리(120) 및 통신부(130)를 포함할 수 있다.
프로세서(110)는 하나 이상의 코어로 구성될 수 있다. 프로세서(110)는 엔드 포인트 공격 탐지 장치(100)의 전체적인 동작을 제어할 수 있다. 프로세서(110)는 메모리(120)에 저장된 하나 이상의 인스트럭션을 판독하여 본 개시의 일 실시예에 따른 엔드포인트 공격 탐지를 수행할 수 있다. 예를 들어, 프로세서(110)는 메모리(120)에 저장된 하나 이상의 인스트럭션을 판독하여 본 개시의 일 실시예에 따른 TTP 매핑 및 사이버 공격 탐지를 수행할 수 있다.
메모리(120)는 프로세서(110)가 생성하거나 결정한 임의의 형태의 정보 및 통신부(130)를 통해 수신한 임의의 형태의 정보를 저장할 수 있다. 메모리(120)는 RAM(Random Access Memory), ROM(Read Only Memory), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM), 플래시 메모리(Flash Memory), 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 발명이 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터 판독가능 기록매체를 포함할 수 있다. 메모리(120)는 프로세서(110)에 의해 실행되는 하나 이상의 인스트럭션을 저장할 수 있다.
통신부(130)는 임의의 형태의 데이터, 정보 및 신호 등을 송수신할 수 있는 임의의 유무선 통신 네트워크를 포함할 수 있다.
엔드 포인트 공격 탐지 장치(100)는 하나 이상의 엔드포인트와 연결되어 엔드포인트에서 발생하는 하나 이상의 시스템 로그를 수집하고 사이버 공격 유무를 분석할 수 있다.
도 2는 본 발명의 다른 실시예에 따른 엔드 포인트 공격 탐지 장치를 간략하게 나타낸 도면이다.
도 2를 참조하면, 엔드 포인트 공격 탐지 장치(200)는 제1 장치(210)와 제2 장치(220)를 포함할 수 있다. 제1 장치(210)와 제2 장치(210)는 도 1을 참조하여 설명한 하나 이상의 프로세서, 메모리 및 통신부를 포함할 수 있다.
엔드 포인트 공격 탐지 장치(200)는 분산 처리할 수 있다. 제1 장치(210)와 제2 장치(210) 중 하나의 장치가 후술하는 TTP 매핑 과정을 수행하고, 다른 하나의 장치가 후술하는 사이버 공격 탐지 과정을 수행할 수 있다. 하나의 장치는 엔드 포인트(미도시)와 연결되어 시스템 로그를 수집하고, 수집한 시스템 로그 중 사이버 공격 행위로 의심되는 하나 이상의 시스템 로그에 대하여 TTP 매핑을 수행할 수 있다. 다른 하나의 장치는 상기 장치로부터 TTP 매핑 결과를 수신하고, TTP 매핑 결과를 TTP 탐지 후보로 정의하고, 소정의 기준에 기초하여 상기 TTP 탐지 후보 중 적어도 일부를 사이버 공격으로 탐지할 수 있다.
네트워크(300)는 임의의 형태의 데이터 및 신호 등을 송수신할 수 있는 임의의 유무선 통신 네트워크를 포함할 수 있다. 구체적으로, 네트워크(300)는 제1 장치(210)와 제2 장치(220) 간에 데이터 및 신호 등을 송수신할 수 있는 유무선 통신 네트워크를 포함할 수 있다.
다음으로, 본 발명의 일 실시예에 따라, 엔드 포인트 공격 탐지 장치(100)(또는 제1 장치(210)와 제2 장치(220))의 프로세서(110)에 의해 수행되는 엔드포인트 공격 탐지에 관한 구체적인 방법을 후술하도록 한다.
도 3은 본 발명의 일 실시예에 따라, 엔드 포인트 공격 탐지 장치에서 수행되는 사이버 공격 탐지 방법을 나타낸 도면이다. 도 3에 도시되는 단계들은 예시적인 단계들이다. 따라서, 본 개시의 사사의 범위를 벗어나지 않는 한도에서 도 3의 단계들 중 일부가 생략되거나 추가적인 단계들이 존재할 수 있다는 점 또한 당업자에게 명백할 것이다. 도 3에서 도시되는 흐름도에 따른 과정은 예를 들어, 엔드 포인트 공격 탐지 장치(100)에 의해 수행될 수 있다.
도 3을 참조하면, 엔드 포인트 공격 탐지 장치(100)의 프로세서(110)는 엔드포인트에서 발생하는 하나 이상의 시스템 로그를 수집할 수 있다(S110).
엔드포인트는 단말, 네트워크에 연결하고 네트워크를 통해 통신하는 장치를 의미할 수 있다. 예를 들어, 엔드포인트는 모바일, 데스크톱, 가상머신, 임베디드 디바이스, 서버 등 네트워크에 연결하는 모든 장치를 포함할 수 있다.
시스템 로그는 시스템에서 발생하는 이벤트와 활동에 관한 정보를 기록한 것일 수 있다. 예를 들어, 시스템 로그는 이벤트 및 오류 메시지, 접속 기록, 시스템 리소스 사용량, 보안 이벤트, 네트워크 활동, 시스템 상태 및 변화 등에 관한 정보를 포함할 수 있다. 일례로, 시스템 로그는 프로세스 생성, 네트워크 연결 등의 이벤트를 포함할 수 있다. 프로세스 생성은 새로 만들어진 프로세스에 대한 확장 정보를 제공하는 이벤트일 수 있다. 네트워크 연결은 컴퓨터의 TCP/UDP 연결을 기록하는 이벤트일 수 있다.
프로세서(110)는 수집한 시스템 로그 중 사이버 공격 행위로 의심되는 하나 이상의 시스템 로그에 대하여 TTP(공격 전술(Tactic), 기법(Technique), 절차(Procedure)) 매핑을 수행할 수 있다(S120).
공격 전술은 공격자의 공격 목표에 따른 행동을 나타내는 정보를 의미할 수 있다. 예를 들어, 공격 전술은 정찰(Reconnaissance), 자원 개발(Resource Development), 초기 접근(Initial Access), 실행(Execution), 지속(Persistence), 권한 상승(Privilege Escalation), 방어 회피(Defense Evasion), 자격증명 획득(Credential Access), 발견(Discovery), 측면 이동(Lateral Movement), 수집(Collection), C2(Command and Control), 데이터유출(Exfiltaration), 영향(impact) 등을 포함할 수 있다.
정찰은 공격 대상에 대한 정보 수집 및 이해 단계로, 대상 네트워크 및 시스템을 조사하고 취약점을 찾기 위해 정보를 수집하는 것을 의미할 수 있다.
자원 개발은 공격에 사용될 도구 및 인프라를 준비하는 단계로, 공격에 필요한 악성 코드나 도구를 개발하거나 획득하는 것을 의미할 수 있다.
초기 접근은 시스템 내로 침투하는 첫 번째 단계로, 취약점을 활용하거나 사회 공학 기술을 사용하여 원격으로 시스템에 접근하는 것을 의미할 수 있다.
실행은 악성 코드나 스크립트를 실행하여 시스템 내에서 원하는 작업을 수행하는 것을 의미할 수 있다.
지속은 시스템에 장기적인 접근을 유지하기 위해 백도어나 다른 메커니즘을 설치하거나 설정하는 것을 의미할 수 있다.
권한 상승은 시스템 내에서 더 높은 권한을 얻기 위해 다양한 기술 활용하는 것을 의미할 수 있다.
방어 회피는 탐지를 회피하고 분석을 어렵게 만드는 기술을 활용하여 보안 시스템을 회피하는 것을 의미할 수 있다.
자격증명 획득은 시스템 내의 유효한 계정 정보를 획득하거나 크랙된 암호를 사용하여 인증을 우회하는 것을 의미할 수 있다.
발견은 시스템 내의 정보 및 자원을 탐색하여 공격을 계획하고 확장하는 것일 수 있다.
측면 이동은 시스템 내에서 이동하여 더 많은 호스트 또는 자원에 접근하는 것으로, 원격에서 시스템에 침투하는 공격일 수 있다.
수집은 훔친 정보나 데이터를 수집하거나 검사하기 위해 시스템 내에서 작업을 수행하는 것을 의미할 수 있다.
C2(Command and Control)는 원격 서버나 인프라를 사용하여 원격으로 시스템을 조작하고 제어하는 것을 의미할 수 있다.
데이터 유출은 탈취한 데이터를 외부로 전송하거나 유출하는 것으로, 실제 해커에게 정보를 전송할 위험이 있을 수 있다.
영향은 시스템 또는 데이터를 손상시키거나 서비스의 가용성을 저해하기 위해 작업을 수행하는 것으로, 공격의 최종 목표를 실행하는 것이므로 위험할 수 있다.
기법은 공격자가 목표에 대한 공격 전술을 달성하기 위한 기술을 나타내는 정보를 의미할 수 있다.
절차는 기법을 구체적으로 실행하기 위한 방법을 설명하는 정보를 의미할 수 있다.
한편, 프로세서(110)는 사전 정해진 TTP 매핑 규칙에 따라 TTP 매핑을 수행할 수 있다.
TTP 매핑 규칙은 매핑 규칙 식별자, 공격행위 식별자, 공격행위 위협도, 오탐 목록, 매핑 방법 중 하나 이상을 포함할 수 있다.
매핑 규칙 식별자는 시스템 로그에 포함된 공격행위에 관한 정보를 공격 전술, 기법, 절차의 계층으로 나누어 분류하기 위한 식별자일 수 있다. 따라서, 프로세서(110)는 매핑 규칙 식별자를 이용하여 시스템 로그에 포함된 공격행위에 관한 정보를 공격 전술, 기법, 절차의 계층으로 나누어 분류할 수 있다.
공격행위 식별자는 시스템 로그에 포함된 공격행위를 식별하기 위한 식별자일 수 있다. 따라서, 프로세서(110)는 공격행위 식별자를 이용하여 시스템 로그에 포함된 공격행위를 식별할 수 있다.
공격행위 위협도는 공격행위에 포함된 TTP(공격 전술, 기법, 절차)에 대해서 시스템에 끼치는 영향력을 나타내는 지표일 수 있다. 공격행위 위협도는 공격 전술, 기법, 절차 각각에 대해서 사전에 정의되어 있을 수 있다. 따라서, 프로세서(110)는 공격행위 위협도를 이용하여 공격행위에 포함된 TTP(공격 전술, 기법, 절차)에 대한 영향력을 판단할 수 있다.
오탐 목록은 사전 설치된 특정 프로그램으로 인해 공격으로 오인될 수 있는 TTP에 관한 정보일 수 있다. 예를 들어, 오탐 목록은 컴퓨팅 장치에 특정 보안 프로그램이 설치되어 있는 경우, 공격으로 인식될 가능성이 높은 특정 TTP에 관한 정보일 수 있다. 따라서, 프로세서(110)는 오탐 목록을 이용하여 사이버 공격 행위가 아닌 것으로 판단되는 TTP를 식별할 수 있다. 그리고 프로세서(110)는 해당 TTP를 매핑하지 않거나, 또는 해당 TTP에 대한 탐지 신뢰성을 다른 TTP에 비해서 상대적으로 낮게 설정할 수 있다.
매핑 방법은 공격행위에 포함된 TTP(공격 전술, 기법, 절차)와 보안 프레임워크(또는, 기타 분석 모델) 간의 관계를 정의하는 방법일 수 있다. 예를 들어, 매핑 방법은 직접 매핑, 간접 매핑, 유사성 기반 매핑 등을 포함할 수 있다. 따라서, 프로세서(110)는 매핑 방법을 이용하여 공격행위에 포함된 TTP(공격 전술, 기법, 절차)와 보안 프레임워크(또는, 기타 분석 모델) 간의 관계를 정의할 수 있다.
직접 매핑은 공격행위에 관한 정보와 보안 프레임워크 간의 직접적인 관계를 매핑하는 방법일 수 있다. 예를 들어, 특정 공격 전술이 ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) 매트릭스의 특정 기법과 일치하는 경우 직접적으로 매핑될 수 있다. ATT&CK 매트릭스는 공격 행위, 공격 행위에 대한 대응 방안 등을 포함하는 매트릭스일 수 있다.
간접 매핑은 공격행위에 관한 정보가 보안 프레임워크와 직접적으로 일치하지 않고, 관련성이 있는 경우에 공격행위에 관한 정보를 간접적으로 매핑하는 방법일 수 있다. 예를 들어, 특정 공격 전술이 ATT&CK 매트릭스의 기법과 직접적으로 일치하는 항목이 없는 경우, 간접 매핑은 유사한 개념이나 관련된 정보를 활용하여 특정 공격 전술과 ATT&CK 매트릭스의 특정 기법을 매핑할 수 있다.
유사성 기반 매핑은 공격행위에 관한 정보와 보안 프레임워크 간의 유사성을 기반으로 매핑하는 방법일 수 있다. 예를 들어, 유사성 기반 매핑은 유사한 특성이나 동작을 갖는 특정 공격 전술과 ATT&CK 매트릭스의 특정 기법을 연결하는 방식으로 매핑할 수 있다.
TTP 매핑 결과는 매핑 결과 식별자, TTP 매핑에 사용된 TTP 매핑 규칙의 매핑 규칙 식별자, 엔드포인트 식별자, 시스템 로그에 관한 프로세스 식별자, TTP 매핑 시각, 행위 발생 시각, 시스템 로그 식별자 중 하나 이상을 포함할 수 있다.
매핑 결과 식별자는 매핑된 정보를 식별하고 구분하는데 사용되는 식별자일 수 있다. 따라서, 프로세서(110)는 매핑 결과 식별자를 이용하여 TTP 매핑 결과에 따라 매핑된 정보를 식별하고 구분할 수 있다.
엔드포인트 식별자는 엔드포인트를 식별하고 구분하는데 사용되는 식별자일 수 있다. 따라서, 프로세서(110)는 엔드포인트 식별자를 이용하여 TTP 매핑 결과에 따른 엔드포인트를 식별하고 구분할 수 있다.
시스템 로그에 관한 프로세스 식별자는 시스템 내에서 실행되는 프로세스들을 고유하게 식별하고 구분하는데 사용되는 식별자일 수 있다. 따라서, 프로세서(110)는 시스템 로그에 관한 프로세스 식별자를 이용하여 TTP 매핑 결과에 따른 프로세스를 식별하고 구분할 수 있다.
TTP 매핑 시각은 프로세서(110)에 의해 TTP 매핑이 수행된 시각에 대한 정보일 수 있다.
행위 발생 시각은 공격행위가 발생한 시각에 대한 정보일 수 있다.
시스템 로그 식별자는 시스템 로그를 식별하고 구분하는데 사용되는 식별자일 수 있다. 따라서, 프로세서(110)는 시스템 로그 식별자를 이용하여 TTP 매핑 결과에 따른 시스템 로그를 식별하고 구분할 수 있다.
프로세서(110)는 TTP 매핑 결과를 TTP 탐지 후보로 정의하고, 소정의 시간 동안 발생한 TTP 탐지 후보의 위협도의 합 또는 소정의 시간 동안 발생한 TTP 탐지 후보의 발생 패턴과 소정의 공격 그룹의 공격 패턴 간의 유사도에 기초하여 TTP 탐지 후보 중 적어도 일부를 사이버 공격으로 탐지할 수 있다(S130).
프로세서(110)는 TTP 매핑 결과를 모두 사이버 공격으로 바로 탐지하지 않고, TTP 매핑 결과를 TTP 탐지 후보로 정의하고, 위협도 또는 유사도에 기초하여 TTP 탐지 후보 중에서 일부를 사이버 공격으로 탐지함으로써, 사이버 공격 탐지의 정확도를 높일 수 있다.
프로세서(110)는 사전 정해진 TTP 탐지 규칙에 따라 사이버 공격 탐지를 수행할 수 있다.
TTP 탐지 규칙은 탐지 규칙 식별자, 탐지 대상 범위, 탐지 유형, 경고 수준, 탐지 기준 시간 중 하나 이상을 포함할 수 있다.
탐지 규칙 식별자는 탐지 규칙을 식별하고 구분하는데 사용되는 식별자일 수 있다. 따라서, 프로세서(110)는 탐지 규칙 식별자를 이용하여 탐지 규칙을 식별하고 구분할 수 있다. 탐지 규칙은 TTP를 탐지하기 위한 규칙을 포함할 수 있다. 예를 들어, 탐지 규칙 식별자는 행위 패턴, 시그니처, 행위 조건, 로그 분석 규칙 등을 식별할 수 있다.
행위 패턴은 특정 사이버 공격 행위에 대한 특징적인 행동 패턴이나 동작을 의미할 수 있다. 예를 들어, 행위 패턴은 악성 파일 다운로드 시도, 비정상적인 포트 스캔 등의 행위를 포함할 수 있다.
시그니처는 사이버 공격 행위나 악성 동작을 나타내는 특정 패턴이나 문자열을 의미할 수 있다.
행위 조건은 사이버 공격 행위가 발생하려면 만족해야하는 조건을 의미할 수 있다. 예를 들어, 행위 조건은 특정 포트로의 접근 시도, 특정 프로토콜의 사용 등을 포함할 수 있다.
로그 분석 규칙은 시스템 로그 또는 네트워크 트래픽 로그에서 특정 이벤트 또는 패턴을 식별하는 규칙을 의미할 수 있다.
한편, 탐지 대상 범위는 탐지를 수행할 대상을 나타내는 것으로, 프로세스, 단말, 기관 등을 포함할 수 있다. 따라서, 프로세서(110)는 탐지 대상 범위에서 사이버 공격 행위로 의심되는 하나 이상의 시스템 로그의 TTP를 식별할 수 있다.
탐지 유형은 소정의 시간 동안 발생한 TTP 탐지 후보의 위협도의 합, 소정의 시간 동안 발생한 TTP 탐지 후보의 발생 패턴과 소정의 공격 그룹의 공격 패턴 간의 유사도를 포함할 수 있다.
경고 수준은 TTP의 위험도에 따라 TTP별로 사전 결정된 점수(예를 들어, 0~3 사이의 점수)를 의미할 수 있다.
탐지 기준 시간은 탐지를 수행하는 시간일 수 있다.
한편, 사이버 공격 탐지 결과는 탐지 결과 식별자, 사이버 공격 탐지에 사용된 TTP 탐지 규칙의 탐지 규칙 식별자, 탐지 규칙 유형, 엔드포인트 식별자, 시스템 로그에 관한 프로세스 식별자, TTP 탐지 시각, 행위 발생 시각, TTP 매핑 결과 목록 중 하나 이상을 포함할 수 있다.
탐지 결과 식별자는 탐지 결과를 식별하고 구분하는데 사용되는 식별자일 수 있다. 따라서, 프로세서(110)는 탐지 결과 식별자를 이용하여 탐지 결과를 식별하고 구분할 수 있다.
사이버 공격 탐지에 사용된 TTP 탐지 규칙의 탐지 규칙 식별자는 사이버 공격 탐지에 사용된 TTP를 탐지하는데 사용된 탐지 규칙을 식별하고 구분하는데 사용되는 식별자일 수 있다. 따라서, 프로세서(110)는 사이버 공격 탐지에 사용된 TTP 탐지 규칙의 탐지 규칙 식별자를 이용하여 사이버 탐지 공격을 탐지하는데 사용된 탐지 규칙을 식별하고 구분할 수 있다.
탐지 규칙 유형은 TTP 탐지 규칙에 따라 탐지된 소정의 시간 동안 발생한 TTP 탐지 후보의 위협도의 합, 소정의 시간 동안 발생한 TTP 탐지 후보의 발생 패턴과 소정의 공격 그룹의 공격 패턴 간의 유사도를 포함할 수 있다.
엔드포인트 식별자는 엔드포인트를 식별하고 구분하는데 사용되는 식별자일 수 있다. 따라서, 프로세서(110)는 엔드포인트 식별자를 이용하여 엔드포인트를 식별하고 구분할 수 있다.
시스템 로그에 관한 프로세스 식별자는 시스템 로그에 관한 프로세스를 식별하고 구분하는데 사용되는 식별자일 수 있다. 따라서, 프로세서(110)는 시스템 로그에 관한 프로세스 식별자를 이용하여 프로세스를 식별하고 구분할 수 있다.
TTP 탐지 시각은 TTP의 탐지를 시작한 시각에 관한 정보일 수 있다. 따라서, 프로세서(110)는 TTP 탐지 시각을 이용하여 TTP의 탐지를 시작한 시각을 획득할 수 있다.
행위 발생 시각은 사이버 공격에 관한 행위가 발생한 시각일 수 있다. 행위 발생 시각은 행위 발생 시작 시각 및 행위 발생 종료 시각을 포함할 수 있다. 따라서, 프로세서(110)는 행위 발생 시각을 이용하여 사이버 공격에 관한 행위의 시작 시각 및 종료 시각을 획득할 수 있다.
TTP 매핑 결과 목록은 TTP 탐지 후보 중에서 사이버 공격으로 탐지된 TTP에 관한 정보를 포함할 수 있다. 예를 들어, TTP 매핑 결과 목록은 TTP의 공격 그룹, 기술적 특징, 유사도, 위협도의 합 등의 정보를 포함할 수 있다. 따라서, 프로세서(110)는 TTP 매핑 결과 목록을 이용하여 사이버 공격으로 탐지된 TTP에 관한 정보를 획득할 수 있다.
도 4는 본 발명의 일 실시예에 따른 엔드 포인트 공격 탐지 장치에서 수행되는 TTP 매핑 및 사이버 공격 탐지 과정을 나타낸 도면이다.
도 4를 참조하면, 엔드 포인트 공격 탐지 장치(100)의 프로세서(110)는 엔드포인트에서 발생하는 하나 이상의 시스템 로그를 수집함으로써, 시스템 로그 수집 목록(11)을 획득할 수 있다. 예를 들어, 시스템 로그 수집 목록(11)은 제1 로그, 제2 로그, 제3 로그, 제4 로그, 제5 로그 등을 포함할 수 있다. 제1 내지 제5 로그 각각은 하나 이상의 로그를 포함하는 로그 집합 내지는 로그 그룹일 수 있다.
프로세서(110)는 시스템 로그 수집 목록(11)에서 사이버 공격 행위로 의심되는 하나 이상의 시스템 로그를 선별하여, 시스템 로그 선별 목록(12)를 획득할 수 있다. 예를 들어, 시스템 로그 선별 목록(12)은 제2 로그, 제3 로그, 제4 로그를 포함할 수 있다.
프로세서(110) 수집한 시스템 로그 중 사이버 공격 행위로 의심되는 하나 이상의 시스템 로그에 대하여 TTP 매핑을 수행함으로써, TTP 매핑 목록(13)을 획득할 수 있다. 예를 들어, TTP 매핑 목록(13)은 제2 TTP, 제3 TTP, 제4 TTP를 포함할 수 있다.
프로세서(110)는 TTP 매핑 결과(예를 들어, TTP 매핑 목록(13))를 TTP 탐지 후보로 정의하고, 소정의 시간 동안 발생한 TTP 탐지 후보의 위협도의 합 또는 소정의 시간 동안 발생한 TTP 탐지 후보의 발생 패턴과 소정의 공격 그룹의 공격 패턴 간의 유사도를 탐지할 수 있다. 프로세서(110)는 탐지 결과로 탐지 목록(14)를 획득할 수 있다. 탐지 목록(14)은 TTP 탐지 후보 별로 위협도 및 유사도를 탐지한 결과를 포함할 수 있다. 예를 들어, 탐지 목록(14)은 제2 TTP의 제1 위협도, 제2 TTP의 제 2 위협도, 제2 TTP의 제1 해킹 그룹과의 유사도, 제2 TTP의 제2 해킹 그룹과의 유사도 등을 포함할 수 있다.
프로세서(110)는 탐지 목록(14)을 이용하여 TTP 탐지 후보 중 적어도 일부를 사이버 공격으로 탐지함으로써, 사이버 공격 목록(15)을 획득할 수 있다. 사이버 공격 목록(15)은 탐지 목록(14)에서 사이버 공격으로 결정된 시스템 로그에 관한 정보를 포함할 수 있다. 예를 들어, 사이버 공격 목록(15)은 사이버 공격으로 결정된 제3 로그의 제3 TTP의 제1 위협도, 제3 TTP의 제1 해킹 그룹과의 유사도 등을 포함할 수 있다.
도 5는 본 발명의 일 실시예에 따른 엔드 포인트 공격 탐지 장치에서 수행되는 TTP 매핑 과정을 나타낸 도면이다.
도 5를 참조하면, 엔드 포인트 공격 탐지 장치(100)의 프로세서(110)는 시스템 로그(21)에 대해서 TTP 매핑 규칙(22)에 따라 TTP 매핑을 수행함으로써, TTP 매핑 결과(23)를 획득할 수 있다.
시스템 로그(21)는 시스템에서 발생하는 이벤트와 활동에 관한 정보를 기록한 것일 수 있다.
TTP 매핑 규칙(22)은 매핑 규칙 식별자, 공격행위 식별자, 공격행위 위협도, 오탐 목록, 매핑 방법 중 하나 이상을 포함할 수 있다.
TTP 매핑 결과(23)는 매핑 결과 식별자, TTP 매핑에 사용된 TTP 매핑 규칙의 매핑 규칙 식별자, 엔드포인트 식별자, 시스템 로그에 관한 프로세스 식별자, TTP 매핑 시각, 행위 발생 시각, 시스템 로그 식별자 중 하나 이상을 포함할 수 있다.
도 6은 본 발명의 일 실시예에 따른 엔드 포인트 공격 탐지 장치에서 수행되는 사이버 공격 탐지 과정을 나타낸 도면이다.
도 6을 참조하면, 엔드 포인트 공격 탐지 장치(100)의 프로세서(110)는 TTP 매핑 결과(23)를 TTP 탐지 후보로 정의할 수 있다.
프로세서(110)는 TTP 탐지 후보 중에서 적어도 일부를 사전 정해진 TTP 탐지 규칙(24)에 따라 사이버 공격으로 탐지함으로써, 탐지 결과(25)를 획득할 수 있다.
TTP 탐지 규칙(24)은 탐지 규칙 식별자, 탐지 대상 범위, 탐지 유형, 경고 수준, 탐지 기준 시간 중 하나 이상을 포함할 수 있다.
탐지 결과(25)는 탐지 결과 식별자, 사이버 공격 탐지에 사용된 TTP 탐지 규칙의 탐지 규칙 식별자, 탐지 규칙 유형, 엔드포인트 식별자, 시스템 로그에 관한 프로세스 식별자, TTP 탐지 시각, 행위 발생 시각, TTP 매핑 결과 목록 중 하나 이상을 포함할 수 있다.
도 1 내지 도 6을 참조하여 상술한 바와 같이, 일 실시예에 따른 엔드 포인트 공격 탐지 장치(100)는 TTP 매핑과 TTP 탐지의 2단계로 구성함으로써, 물리적 서버를 2대 이상으로 분리하여 TTP 매핑과 TTP 탐지를 분산 처리하는 경우, 오버헤드 최소화에 유리할 수 있다.
엔드 포인트 공격 탐지 장치(100)는 TTP 매핑과 오탐 목록을 이용함으로써, 사이버 공격 행위에 대한 탐지시에 오탐지 가능성을 고려할 수 있어 오탐지를 최소화할 수 있다.
엔드 포인트 공격 탐지 장치(100)는 TTP 매핑을 이용함으로써, 종래의 기술인 시그니처(signature)를 기준으로 사이버 공격을 탐지하는 방법보다 공격자가 탐지를 우회할 수 있는 가능성을 낮출 수 있다. 구체적으로, 엔드 포인트 공격 탐지 장치(100)는 공격자의 행동이 TTP 형태의 조합으로 감지되고 이를 토대로 탐지가 이뤄지므로, 공격자가 탐지를 우회하기 위하여 시그니처를 변조하더라도 정확하게 사이버 공격을 탐지해낼 수 있다.
본 발명의 실시예와 관련하여 설명된 방법 또는 알고리즘의 단계들은 하드웨어로 직접 구현되거나, 하드웨어에 의해 실행되는 소프트웨어 모듈로 구현되거나, 또는 이들의 결합에 의해 구현될 수 있다. 소프트웨어 모듈은 RAM(Random Access Memory), ROM(Read Only Memory), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM), 플래시 메모리(Flash Memory), 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 발명이 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터 판독가능 기록매체에 상주할 수도 있다.
이상, 첨부된 도면을 참조로 하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야의 통상의 기술자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며, 제한적이 아닌 것으로 이해해야만 한다.
Claims (10)
- 엔드 포인트 공격 탐지를 분산 처리하는 엔드 포인트 공격 탐지 장치로서,
하나 이상의 엔드 포인트와 연결되어 TTP 매핑을 수행하는 제1 장치; 및
상기 제1 장치와 연결되어 TTP 탐지를 수행하고, 상기 제1 장치와 물리적으로 분리된 제2 장치를 포함하고,
상기 제1 장치는 상기 엔드 포인트에서 발생하는 하나 이상의 시스템 로그를 수집하고, 사전 정해진 TTP 매핑 규칙에 따라 상기 수집한 시스템 로그 중 사이버 공격 행위로 의심되는 하나 이상의 시스템 로그에 대하여 TTP 매핑을 수행하고,
상기 제2 장치는 상기 TTP 매핑 결과를 TTP 탐지 후보로 정의하고, 사전 정해진 TTP 탐지 규칙에 따라 소정의 시간 동안 발생한 상기 TTP 탐지 후보의 위협도의 합 또는 소정의 시간 동안 발생한 상기 TTP 탐지 후보의 발생 패턴과 소정의 공격 그룹의 공격 패턴 간의 유사도에 기초하여 상기 TTP 탐지 후보 중 적어도 일부를 사이버 공격으로 탐지하고,
상기 TTP 매핑 규칙은 매핑 규칙 식별자, 공격행위 식별자, 공격행위 위협도, 오탐 목록 및 매핑 방법을 포함하고,
상기 TTP 매핑 규칙의 오탐 목록은 사전 설치된 보안 프로그램에 상응하여 사이버 공격 행위로 인식될 수 있는 TTP에 관한 정보를 포함하고, 상기 제1 장치는 상기 오탐 목록을 이용하여 상기 오탐 목록에 상응하는 시스템 로그에 대하여 TTP 매핑을 수행하지 않거나 TTP 매핑 신뢰성을 소정 값보다 낮게 설정하고,
상기 TTP 탐지 규칙은 탐지 규칙 식별자, 탐지 대상 범위, 탐지 유형, 경고 수준 및 탐지 기준 시간을 포함하고,
상기 TTP 탐지 규칙의 탐지 유형은 상기 위협도의 합 또는 상기 유사도 중 하나를 포함하는 것을 특징으로 하는,
엔드 포인트 공격 탐지 장치. - 제1항에 있어서,
상기 TTP 매핑 결과는,
매핑 결과 식별자, 상기 TTP 매핑에 사용된 상기 TTP 매핑 규칙의 매핑 규칙 식별자, 상기 엔드포인트 식별자, 상기 시스템 로그에 관한 프로세스 식별자, TTP 매핑 시각, 행위 발생 시각, 시스템 로그 식별자 중 하나 이상을 포함하는,
엔드포인트 공격 탐지 장치. - 제2항에 있어서,
상기 사이버 공격 탐지 결과는,
탐지 결과 식별자, 상기 사이버 공격 탐지에 사용된 상기 TTP 탐지 규칙의 탐지 규칙 식별자, 탐지 규칙 유형, 상기 엔드포인트 식별자, 상기 시스템 로그에 관한 프로세스 식별자, TTP 탐지 시각, 행위 발생 시각, TTP 매핑 결과 목록 중 하나 이상을 포함하는,
엔드포인트 공격 탐지 장치. - 제3항에 있어서,
상기 TTP 매핑 규칙의 공격행위 위협도는 각각의 TTP에 대해서 시스템에 끼치는 영향력을 나타내는 지표인,
엔드포인트 공격 탐지 장치. - 제4항에 있어서,
상기 제1 장치는 공격자의 행동을 TTP 형태의 조합으로 감지하는,
엔드포인트 공격 탐지 장치. - 엔드 포인트 공격 탐지를 분산 처리하고, 하나 이상의 엔드 포인트와 연결되어 TTP 매핑을 수행하는 제1 장치와, 상기 제1 장치와 연결되어 TTP 탐지를 수행하고, 상기 제1 장치와 물리적으로 분리된 제2 장치를 포함하는 엔드 포인트 공격 탐지 장치에 의해 수행되는 방법으로서,
상기 제1 장치가 상기 엔드 포인트에서 발생하는 하나 이상의 시스템 로그를 수집하고, 사전 정해진 TTP 매핑 규칙에 따라 상기 수집한 시스템 로그 중 사이버 공격 행위로 의심되는 하나 이상의 시스템 로그에 대하여 TTP 매핑을 수행하는 단계; 및
상기 제2 장치가 상기 TTP 매핑 결과를 TTP 탐지 후보로 정의하고, 사전 정해진 TTP 탐지 규칙에 따라 소정의 시간 동안 발생한 상기 TTP 탐지 후보의 위협도의 합 또는 소정의 시간 동안 발생한 상기 TTP 탐지 후보의 발생 패턴과 소정의 공격 그룹의 공격 패턴 간의 유사도에 기초하여 상기 TTP 탐지 후보 중 적어도 일부를 사이버 공격으로 탐지하는 단계를 포함하고,
상기 TTP 매핑 규칙은 매핑 규칙 식별자, 공격행위 식별자, 공격행위 위협도, 오탐 목록 및 매핑 방법을 포함하고,
상기 TTP 매핑 규칙의 오탐 목록은 사전 설치된 보안 프로그램에 상응하여 사이버 공격 행위로 인식될 수 있는 TTP에 관한 정보를 포함하고, 상기 제1 장치는 상기 오탐 목록을 이용하여 상기 오탐 목록에 상응하는 시스템 로그에 대하여 TTP 매핑을 수행하지 않거나 TTP 매핑 신뢰성을 소정 값보다 낮게 설정하고,
상기 TTP 탐지 규칙은 탐지 규칙 식별자, 탐지 대상 범위, 탐지 유형, 경고 수준 및 탐지 기준 시간을 포함하고,
상기 TTP 탐지 규칙의 탐지 유형은 상기 위협도의 합 또는 상기 유사도 중 하나를 포함하는 것을 특징으로 하는,
엔드 포인트 공격 탐지 방법. - 제6항에 있어서,
상기 TTP 매핑 결과는,
매핑 결과 식별자, 상기 TTP 매핑에 사용된 상기 TTP 매핑 규칙의 매핑 규칙 식별자, 상기 엔드포인트 식별자, 상기 시스템 로그에 관한 프로세스 식별자, TTP 매핑 시각, 행위 발생 시각, 시스템 로그 식별자 중 하나 이상을 포함하는,
엔드포인트 공격 탐지 방법. - 제7항에 있어서,
상기 사이버 공격 탐지 결과는,
탐지 결과 식별자, 상기 사이버 공격 탐지에 사용된 상기 TTP 탐지 규칙의 탐지 규칙 식별자, 탐지 규칙 유형, 상기 엔드포인트 식별자, 상기 시스템 로그에 관한 프로세스 식별자, TTP 탐지 시각, 행위 발생 시각, TTP 매핑 결과 목록 중 하나 이상을 포함하는,
엔드포인트 공격 탐지 방법. - 제8항에 있어서,
상기 TTP 매핑 규칙의 공격행위 위협도는 각각의 TTP에 대해서 시스템에 끼치는 영향력을 나타내는 지표인,
엔드포인트 공격 탐지 방법. - 제9항에 있어서,
상기 제1 장치는 공격자의 행동을 TTP 형태의 조합으로 감지하는,
엔드포인트 공격 탐지 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020230120773A KR102614309B1 (ko) | 2023-09-12 | 2023-09-12 | 엔드포인트 공격 탐지 방법 및 장치 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020230120773A KR102614309B1 (ko) | 2023-09-12 | 2023-09-12 | 엔드포인트 공격 탐지 방법 및 장치 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102614309B1 true KR102614309B1 (ko) | 2023-12-15 |
Family
ID=89124843
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020230120773A KR102614309B1 (ko) | 2023-09-12 | 2023-09-12 | 엔드포인트 공격 탐지 방법 및 장치 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102614309B1 (ko) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101639869B1 (ko) | 2014-08-04 | 2016-07-14 | (주)엔토빌소프트 | 악성코드 유포 네트워크 탐지 프로그램 |
| KR102225460B1 (ko) * | 2019-10-16 | 2021-03-10 | 한국전자통신연구원 | 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치 |
| KR20230073056A (ko) * | 2021-11-18 | 2023-05-25 | 주식회사 엔피코어 | 악성 이벤트로그 자동분석 장치 및 방법 |
-
2023
- 2023-09-12 KR KR1020230120773A patent/KR102614309B1/ko active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101639869B1 (ko) | 2014-08-04 | 2016-07-14 | (주)엔토빌소프트 | 악성코드 유포 네트워크 탐지 프로그램 |
| KR102225460B1 (ko) * | 2019-10-16 | 2021-03-10 | 한국전자통신연구원 | 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치 |
| KR20230073056A (ko) * | 2021-11-18 | 2023-05-25 | 주식회사 엔피코어 | 악성 이벤트로그 자동분석 장치 및 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11316891B2 (en) | Automated real-time multi-dimensional cybersecurity threat modeling | |
| ES2854701T3 (es) | Métodos y medio de almacenamiento informático para dividir la seguridad de las sesiones | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| RU2535506C2 (ru) | Система и способ формирования сценариев модели поведения приложений | |
| CN108337219B (zh) | 一种物联网防入侵的方法和存储介质 | |
| US20210234877A1 (en) | Proactively protecting service endpoints based on deep learning of user location and access patterns | |
| CN109167794B (zh) | 一种面向网络系统安全度量的攻击检测方法 | |
| US11019494B2 (en) | System and method for determining dangerousness of devices for a banking service | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| US11481478B2 (en) | Anomalous user session detector | |
| CN110912855A (zh) | 一种基于渗透性测试用例集的区块链架构安全评估方法及系统 | |
| CN113438249B (zh) | 一种基于策略的攻击溯源方法 | |
| KR102180098B1 (ko) | 악성코드 모니터링 및 사용자 단말 제어 기능을 수행하는 악성코드 탐지 시스템 | |
| Rosli et al. | Clustering analysis for malware behavior detection using registry data | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| CN110430199B (zh) | 识别物联网僵尸网络攻击源的方法与系统 | |
| EP3462359B1 (en) | System and method of identifying new devices during a user's interaction with banking services | |
| KR102614309B1 (ko) | 엔드포인트 공격 탐지 방법 및 장치 | |
| EP3252645B1 (en) | System and method of detecting malicious computer systems | |
| KR101200055B1 (ko) | 합동전력군사지휘소용 지휘통제통신컴퓨터감시정찰 종합운용체계 및 데이터 센터 시스템에 대한 실시간 해킹 및 침입 방지 시스템 | |
| CN112769815B (zh) | 一种智能工控安全监控与防护方法和系统 | |
| KR102221726B1 (ko) | Edr 단말 장치 및 방법 | |
| Kono et al. | An unknown malware detection using execution registry access | |
| CN113094715A (zh) | 一种基于知识图谱的网络安全动态预警系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |