KR20040008375A - 비정상행위 공통 특징을 이용한 침입탐지방법 및 기록매체 - Google Patents

비정상행위 공통 특징을 이용한 침입탐지방법 및 기록매체 Download PDF

Info

Publication number
KR20040008375A
KR20040008375A KR1020020042003A KR20020042003A KR20040008375A KR 20040008375 A KR20040008375 A KR 20040008375A KR 1020020042003 A KR1020020042003 A KR 1020020042003A KR 20020042003 A KR20020042003 A KR 20020042003A KR 20040008375 A KR20040008375 A KR 20040008375A
Authority
KR
South Korea
Prior art keywords
intrusion
abnormal behavior
computer
intrusion detection
behavior
Prior art date
Application number
KR1020020042003A
Other languages
English (en)
Inventor
이동익
고기웅
신욱
Original Assignee
광주과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 광주과학기술원 filed Critical 광주과학기술원
Priority to KR1020020042003A priority Critical patent/KR20040008375A/ko
Publication of KR20040008375A publication Critical patent/KR20040008375A/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files

Abstract

본 발명은 비정상행위 공통 특징을 이용한 침입탐지방법 및 기록매체에 대한 발명으로서, 컴퓨터나 네트워크, 통신기기 내의 시스템에서 프로세스가 실행되는 경우 그 프로세스의 시스템 호출순서에 이상행위조각이 존재하는지를 검사하여 정해놓은 임계값 이상일 경우 침입으로 판단하여 컴퓨터나 네트워크, 통신기기의 시스템으로의 침입을 탐지하는 방법 및 기록매체를 제공하고자 한다.
침입탐지를 프로세스의 시스템 호출순서 전체를 가지고 탐지하지 않고 이상행위조각을 가지고 탐지하는 바 호출순서 전체 중 일부만 상이한 경우 또는 같은 이상행위조각을 가지는 호출순서 등을 DB에서 제거 할 수 있어 DB에 저장할 양이 획기적으로 줄어든다.
뿐만 아니라, 추출된 이상행위조각은 특정한 침입뿐만 아니라 침입행위 전반적으로 나타나는 공통적인 특성인바, 이를 통해 알려지지 아니한 형태의 침입에 대해서도 탐지가 가능하다.

Description

비정상행위 공통 특징을 이용한 침입탐지방법 및 기록매체 {Intrusion detection method and recording media based on common features of abnormal behavior}
본 발명은 비정상행위 공통 특징을 이용한 침입탐지방법 및 기록매체에 대한 발명으로서, 컴퓨터나 네트워크, 통신기기 내의 시스템에서 프로세스가 실행되는 경우 그 프로세스의 시스템 호출순서에 이상행위조각(일반적으로 침입은 대부분 정상행위와 공통적인 부분을 가지며, 단지 일부분만이 침입행위의 특성을 가지는 데, 이러한 침입행위의 특성을 가진 일부분을 이상행위조각이라고 한다.)이 존재하는지를 검사하여 정해놓은 임계값이상일 경우 해당 프로세스를 침입으로 판단하여 컴퓨터나 네트워크, 통신기기의 시스템으로의 침입을 탐지하는 방법 및 기록매체를 제공하고자 한다.
기존의 침입탐지의 기술은 분류하면 일반적으로 다음과 같은 방법이 있다.
침입탐지 시스템은 이미 발견된 침입행위를 데이터베이스화하고 법칙화하여 침입여부를 탐지하는 방법과 통계를 통해서 시스템의 침입행위를 파라메터화 하여 침입여부를 탐지하는 방법, 그리고 신경망을 통해서 학습하여 침입행위를 탐지하는 방법, 프로세스가 행하는 시스템의 호출을 단순히 비교함으로서 침입여부를 탐지하는 방법(면역학적 접근방법)이 있다.
본 발명은 상기의 기존의 침입탐지 기술 중 프로세스가 행하는 시스템의 호출을 단순히 비교하여 침입여부를 탐지하는 방법(면역학적 접근방법)의 일종이다. 즉 시스템 내에서 새로운 프로세스가 실행되면 프로세스가 시스템을 호출하게 되는데 이러한 호출순서를 이용하여 침입여부를 탐지한다. 이러한 침입탐지 시스템은 이미 발견된 침입행위의 처음부터 끝까지의 모든 호출순서를 저장한 후, 프로세스에 의한 시스템의 호출순서 모두를 이미 저장되어 있는 개개의 처음부터 끝까지의 모든 호출 순서와 비교하여 일치하는 지를 살펴 그 프로세스가 침입인지를 탐지한다. 그런데 침입은 대부분 정상행위와 공통적인 부분을 가지며, 단지 일부분만이 침입행위의 특성을 가지는 것(이러한 침입행위의 특성을 가진 일부분을 이상행위조각이라고 한다.)이 일반적인바, 상기와 같이 각 호출순서 당 처음부터 끝까지의 모든 호출순서를 비교하게 되면 기존에 알려진 침입의 전체적인 기술 (description)을 모두 축적하기 때문에 침입의 패턴의 양이 방대하여, 저장 공간이 많이 필요하였다.
이와 관련하여 문헌이 있다("A sense of self for Unix processes." S. Forrest, S. A. Hofmeyr, A. Somayaji, and T. A. Longstaff. In Proceedings of 1996 IEEE Symposium on Computer Security and Privacy(1996)). 여기에 기술된 내용은 정상행위만을 사용하여 침입을 탐지하는 시스템에 대하여 기술되어 있어서, 침입 탐지시 프로세스의 호출순서 전체를 고려하지 않고, 정상행위 부분을 제거한 이상행위조각만을 고려하는 본 발명과 차이가 있다.
본 발명은 상술한 문제점을 해결하기 위하여 발명한 것으로서, 본 발명의 목적은 시스템에 대한 악의적 침입의 효율적 탐지 방법을 제공하기 위한 것이다. 상기 목적을 달성하기 위하여 정상행위 DB와 이상행위조각을 포함하는 비정상행위 DB를 갖추어, 프로세스의 실행시 시스템의 호출순서를 정상행위 DB의 조각, 비정상행위 DB의 이상행위조각과 비교하여 이상행위조각의 포함정도를 판단하여 미리 정해진 임계값을 넘어서는 경우 해당 프로세스를 침입으로 판단하는 것을 특징으로 하는 비정상행위 공통 특징을 이용한 침입탐지방법 및 컴퓨터가 읽을 수 있는 프로그램을 수록한 기록매체를 제공하고자한다.
도 1은 본 발명인 비정상행위 공통 특징을 이용한 침입탐지방법에 대한 전체적인 개괄도이다.
도 2는 본 발명인 비정상행위 공통 특징을 이용한 침입탐지방법의 실시예의 플로우차트이다.
도 3은 본 발명인 비정상행위 공통 특징을 이용한 침입탐지방법의 또 다른 실시예의 플로우차트이다.
도 4는 본 발명에 있어서 정상행위 DB와 비정상행위 DB를 모델링 하는 방법을 나타내는 도면이다.
도 1은 본 발명인 비정상행위 공통 특징을 이용한 침입탐지방법에 대한 전체적인 개괄도이고, 도 2는 본 발명인 비정상행위 공통 특징을 이용한 침입탐지방법의 실시예의 플로우차트이며, 도 3은 본 발명인 비정상행위 공통 특징을 이용한 침입탐지방법의 또 다른 실시예의 플로우차트이며, 도 4는 본 발명에 있어서 정상행위 DB와 비정상행위 DB를 모델링 하는 방법을 나타내는 도이다.
본 명세서에서 서술할 정상행위와 비정상행위에 대해서 간략히 살펴보겠다.
본 명세서에서의 정상행위라 함은 프로세스가 실행되었을 때 시스템을 호출(S10)하게 되는데, 그 호출에 의해서 시스템에 해킹, 침입 없이 정상적으로 실행되는 경우를 말하며, 정상행위 조각이라 함은 상기의 정상행위를 이루는 호출순서를 순서대로 일정한 단위를 가지는 만들 수 있는 가능한 모든 조각을 말한다(도 4참고). 그리고 비정상행위라 함은 프로세스가 실행되었을 때 시스템을 호출(S10)하는 데 그 호출순서 중에 시스템의 해킹, 침입을 위한 조각(이상행위조각: 기존의 정상행위조각에서는 볼 수 없었던 순서를 가지는 조각)이 들어있는 것을 말한다.
본 발명의 전체적인 체계는 도 1을 보면 알 수 있다. 즉 도 1의 왼 측에 도시되어 있는 바와 같이 정상행위, 비정상행위 자료를 이용하여 모델링, 필터링하여 정상행위 DB(100)와 비정상행위 DB(200)를 구성하여, 상기의 DB를 통하여 프로세스가 실행된 경우 시스템을 호출하는 호출순서를 검사하여 실행 완료시키거나 침입으로 판단하는 일련의 체계를 제공한다.
본 발명을 실시하기 위해서는 이미 발견된 정상행위와 침입행위의 시스템 호출순서로부터 조각을 모아서 만든 정상행위 DB(100)와 비정상행위 DB(200)를 구성해야한다. 이에 대해서는 도 4에 도시되어 있다.
도 4에 도시된 바와 같이, 정상행위 DB(100)는 정상행위라고 검증되어 미리 획득된 시스템의 호출순서를 그 순서대로 임의의 개수를(도면상에서는 4개로 정한경우의 예이다) 가지는 조각을 모두 추출하여 해당 조각의 DB를 만들게 된다.
도 4에 도시된 바와 같이, 비정상행위 DB(200)는 알려진 시스템 공격행위의 시스템의 호출순서를 그 순서대로 상기의 임의의 개수(정상행위 DB를 만들면서 정해진 개수)를 가지는 조각을 모두 추출하여 상기의 정상행위 DB의 조각들과 비교하여 다른 조각(이상행위조각)만을 모아서 DB를 만들게 된다. 비정상행위 DB(200)를 만드는 경우에 상기의 비교과정에서 같은 이상행위 조각이 2개가 발견되었다면 가중치를 2로 주어 해당 이상행위조각이 자주 사용되는 것이라는 정보도 비정상행위 DB(200)에 포함시킨다.
상기에서 기술한 바와 같이 구성된 정상행위 DB(100)와 비정상행위 DB(200)를 이용하여, 도 2에서 도시된 바와 같이 컴퓨터나 네트워크, 통신기기에서 프로세스가 실행되어 시스템을 호출(S10)하게 되면 호출순서를 그 순서에 따라 임의의 개수(DB를 만들 때 정해진 개수)단위로 검사(S20-S50)한다. 검사 시 먼저 정상행위 DB(100)를 이용하여 프로세스의 시스템 호출순서를 검사(S20)한다. 검사하여 프로세스의 시스템 호출이 정상행위에 해당하는 부분이 100%인가를 살펴서(S30) 100%인 경우 본 프로세스를 실행하여 완료(S70)하도록 한다(즉 침입으로 판단하지 않는다). 그러나 프로세스의 시스템 호출순서가 정상행위에 해당하는 부분이 100%에 미치지 못하는 경우에는 비정상행위 DB로(즉 이상행위조각으로) 상기 프로세스의 시스템 호출순서를 한 번 더 검사(S40)한다. 본 검사에서 이상행위조각의 비율이 임계값(해당 시스템의 마스터가 미리 설정해 놓은 값)에 비교(S50)하여 작은 경우에는 프로세스를 실행하여 완료(S70)하도록 한다(즉 침입으로 판단하지 않는다). 그러나 프로세스의 시스템 호출순서상의 이상행위조각의 비율이 임계값보다 크거나 같은 경우에는 해당 프로세스를 침입으로 판단(S60)하여 컴퓨터나 네트워크, 통신기기를 침입으로부터 보호한다. 침입으로 판단된 경우에는 일반적으로 침입으로 판단된 프로세스를 실행을 중단시키거나 해당 프로세스를 컴퓨터나 네트워크, 통신기기로부터 삭제, 제거하는 등의 대응을 취할 수 있다.
본 발명은 상기의 경우뿐만 아니라 정상행위 DB(100)의 검사를 하지 않고 바로 비정상행위 DB(200)를 검사하여 프로세스의 시스템 호출순서상의 이상행위조각의 비율을 판단하는 방법으로도 본 발명의 목적을 이룰 수 있다. 즉 비정상행위 DB(200)를 만들 때 이미 정상행위 DB(100)의 조각들과 비교를 한 것이므로, 비정상행위 DB(200)상의 이상행위조각만을 가지고 프로세스의 시스템 호출순서를 검사하는 것도 가능하다.
도 3에 도시된 바와 같이, 컴퓨터나 네트워크, 통신기기에서 프로세스가 실행되어 시스템을 호출(S10)하게 되면 호출순서를 그 순서에 따라 임의의 개수(DB를 만들 때 정해진 개수)단위로 검사(S40)한다. 이 경우 상기의 실시예와 달리 정상행위 DB(100)에 의한 검색 없이 바로 비정상행위 DB(200)로(즉 비정상행위 DB의 이상행위조각으로) 상기 프로세스의 시스템 호출순서를 검사(S40)한다. 본 검사에서 이상행위조각의 비율이 임계값(해당 시스템의 마스터가 미리 설정해 놓은 값)에비교(S50)하여 작은 경우에는 프로세스를 실행하여 완료(S70)하도록 한다(즉 침입으로 판단하지 않는다). 그러나 프로세스의 시스템 호출순서상의 이상행위조각의 비율이 임계값보다 크거나 같은 경우에는 해당 프로세스를 침입으로 판단(S60)하여 컴퓨터나 네트워크, 통신기기를 침입으로부터 보호한다. 침입으로 판단된 경우에는 일반적으로 침입으로 판단된 프로세스를 실행을 중단시키거나 해당 프로세스를 컴퓨터나 네트워크, 통신기기로부터 삭제, 제거하는 등의 대응을 취할 수 있다.
이상에서 살펴본 방법은 실시예일 뿐이고, 본원의 청구범위에 의해서 본 특허출원의 범위가 정해진다.
침입여부를 프로세스의 시스템 호출순서 전체를 가지고 탐지하지 않고 이상행위조각을 가지고 탐지하는 바 호출순서 전체 중 일부만 상이한 경우 또는 같은 이상행위조각을 가지는 호출순서 등을 DB에서 제거 할 수 있어 DB에 저장할 양이 획기적으로 줄어든다.
뿐만 아니라, 추출된 이상행위조각은 특정한 침입뿐만 아니라 침입행위 전반적으로 나타나는 공통적인 특성인바, 이를 통해 알려지지 아니한 형태의 침입에 대해서도 탐지가 가능하다.

Claims (22)

  1. 컴퓨터, 네트워크 및 통신기기에서 프로세스가 실행되어 시스템을 호출할 때 그 호출로부터 침입을 탐지하는 침입탐지방법에 있어서,
    이상행위조각을 사용하여 시스템의 호출순서를 검사하는 단계를 포함하는 것을 특징으로 하는 비정상행위 공통 특징을 이용한 침입탐지방법
  2. 컴퓨터, 네트워크 및 통신기기에서 프로세스가 실행되어 시스템을 호출하는 단계와;
    상기 시스템의 호출순서를 그 순서에 따라 정상행위 DB를 이용하여 프로세스의 시스템 호출순서를 검사하는 단계와;
    상기 프로세스의 시스템 호출순서가 정상행위에 해당여부 검사결과가 특정값보다 높은 경우 본 프로세스를 침입으로 판단하지 않도록 하고, 프로세스의 시스템 호출순서 중 정상행위에 해당하는 부분이 특정값에 미치지 못하는 경우에는 비정상행위 DB로 상기 프로세스의 시스템 호출순서를 검사하도록 하는 단계와;
    시스템 호출순서가 상기 비정상행위 검사결과가 임계값에 비교하여 작은 경우에는 프로세스를 침입으로 판단하지 않도록 하고, 프로세스의 시스템 호출순서 중 비정상행위 검사결과가 임계값보다 크거나 같은 경우에는 해당 프로세스를 침입으로 판단하는 단계를 포함하는 비정상행위 공통 특징을 이용한 침입탐지방법
  3. 청구항 2에 있어서,
    상기 프로세스를 침입으로 판단하지 않은 경우에 상기 프로세스를 실행하여 완료하도록 하는 단계를 더 포함하는 것을 특징으로 하는 비정상행위 공통 특징을 이용한 침입탐지방법
  4. 청구항 2 또는 청구항 3에 있어서,
    상기 프로세스를 침입으로 판단한 경우에 상기 침입을 차단하는 단계를 더 포함하는 것을 특징으로 하는 비정상행위 공통 특징을 이용한 침입탐지방법
  5. 청구항 4에 있어서,
    상기 침입을 차단하는 단계는 상기 프로세스의 실행을 중단하거나 상기 프로세스를 컴퓨터, 네트워크 및 통신기기에서 제거하는 것을 특징으로 하는 비정상행위 공통 특징을 이용한 침입탐지방법
  6. 청구항 2 내지 청구항 5중 어느 한 항에 있어서,
    상기 특정값이 100%인 것을 특징으로 하는 비정상행위 공통 특징을 이용한 침입탐지방법
  7. 컴퓨터, 네트워크 및 통신기기에서 프로세스가 실행되어 시스템을 호출하는 단계와;
    상기 시스템의 호출순서를 그 순서에 따라 비정상행위 DB로 상기 프로세스의 시스템 호출순서를 검사하는 단계와;
    시스템 호출순서가 상기 비정상행위 검사결과가 임계값에 비교하여 작은 경우에는 프로세스를 침입으로 판단하지 않도록 하고, 프로세스의 시스템 호출순서 중 비정상행위 검사결과가 임계값보다 크거나 같은 경우에는 해당 프로세스를 침입으로 판단하는 단계를 포함하는 비정상행위 공통 특징을 이용한 침입탐지방법
  8. 청구항 7에 있어서,
    상기 프로세스를 침입으로 판단하지 않은 경우에 상기 프로세스를 실행하여 완료하도록 하는 단계를 더 포함하는 것을 특징으로 하는 비정상행위 공통 특징을 이용한 침입탐지방법
  9. 청구항 7 또는 청구항 8에 있어서,
    상기 프로세스를 침입으로 판단한 경우에 상기 침입을 차단하는 단계를 더 포함하는 것을 특징으로 하는 비정상행위 공통 특징을 이용한 침입탐지방법
  10. 청구항 9에 있어서,
    상기 침입을 차단하는 단계는 상기 프로세스의 실행을 중단하거나 상기 프로세스를 컴퓨터, 네트워크 및 통신기기에서 제거하는 것을 특징으로 하는 비정상행위 공통 특징을 이용한 침입탐지방법
  11. 청구항 7 내지 청구항 10중 어느 한 항에 있어서,
    상기 특정값이 100%인 것을 특징으로 하는 비정상행위 공통 특징을 이용한 침입탐지방법
  12. 컴퓨터, 네트워크 및 통신기기에서 프로세스가 실행되어 시스템을 호출할 때 그 호출로부터 침입을 탐지하는 침입탐지방법에 있어서,
    이상행위조각을 사용하여 시스템의 호출순서를 검사하는 단계를 포함하는 것을 특징으로 하는 컴퓨터가 읽을 수 있는 비정상행위 공통특징을 이용한 침입탐지 컴퓨터 프로그램을 수록한 기록매체
  13. 컴퓨터, 네트워크 및 통신기기에서 프로세스가 실행되어 시스템을 호출하는 단계와;
    상기 시스템의 호출순서를 그 순서에 따라 정상행위 DB를 이용하여 프로세스의 시스템 호출순서를 검사하는 단계와;
    상기 프로세스의 시스템 호출순서가 정상행위에 해당여부 검사결과가 특정값보다 높은 경우 본 프로세스를 침입으로 판단하지 않도록 하고, 프로세스의 시스템 호출순서 중 정상행위에 해당하는 부분이 특정값에 미치지 못하는 경우에는 비정상행위 DB로 상기 프로세스의 시스템 호출순서를 검사하도록 하는 단계와;
    시스템 호출순서가 비정상행위 검사결과가 임계값에 비교하여 작은 경우에는프로세스를 침입으로 판단하지 않도록 하고, 프로세스의 시스템 호출순서 중 비정상행위 검사결과가 임계값보다 크거나 같은 경우에는 해당 프로세스를 침입으로 판단하는 단계를 포함하는 컴퓨터가 읽을 수 있는 비정상행위 공통특징을 이용한 침입탐지 컴퓨터 프로그램을 수록한 기록매체
  14. 청구항 13에 있어서,
    상기 프로세스를 침입으로 판단하지 않은 경우에 상기 프로세스를 실행하여 완료하도록 하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨터가 읽을 수 있는 비정상행위 공통특징을 이용한 침입탐지 컴퓨터 프로그램을 수록한 기록매체
  15. 청구항 13 또는 청구항 14에 있어서,
    상기 프로세스를 침입으로 판단한 경우에 상기 침입을 차단하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨터가 읽을 수 있는 비정상행위 공통특징을 이용한 침입탐지 컴퓨터 프로그램을 수록한 기록매체
  16. 청구항 15에 있어서,
    상기 침입을 차단하는 단계는 상기 프로세스의 실행을 중단하거나 상기 프로세스를 컴퓨터, 네트워크 및 통신기기에서 제거하는 것을 특징으로 하는 컴퓨터가 읽을 수 있는 비정상행위 공통특징을 이용한 침입탐지 컴퓨터 프로그램을 수록한 기록매체
  17. 청구항 13 내지 청구항 16중 어느 한 항에 있어서,
    상기 특정값이 100%인 것을 특징으로 하는 컴퓨터가 읽을 수 있는 비정상행위 공통특징을 이용한 침입탐지 컴퓨터 프로그램을 수록한 기록매체
  18. 컴퓨터, 네트워크 및 통신기기에서 프로세스가 실행되어 시스템을 호출하는 단계와;
    상기 시스템의 호출순서를 그 순서에 따라 비정상행위 DB로 상기 프로세스의 시스템 호출순서를 검사하는 단계와;
    시스템 호출순서가 비정상행위 검사결과가 임계값에 비교하여 작은 경우에는 프로세스를 침입으로 판단하지 않도록 하고, 프로세스의 시스템 호출순서 중 비정상행위 검사결과가 임계값보다 크거나 같은 경우에는 해당 프로세스를 침입으로 판단하는 단계를 포함하는 컴퓨터가 읽을 수 있는 비정상행위 공통특징을 이용한 침입탐지 컴퓨터 프로그램을 수록한 기록매체
  19. 청구항 18에 있어서,
    상기 프로세스를 침입으로 판단하지 않은 경우에 상기 프로세스를 실행하여 완료하도록 하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨터가 읽을 수 있는 비정상행위 공통특징을 이용한 침입탐지 컴퓨터 프로그램을 수록한 기록매체
  20. 청구항 18 또는 청구항 19에 있어서,
    상기 프로세스를 침입으로 판단한 경우에 상기 침입을 차단하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨터가 읽을 수 있는 비정상행위 공통특징을 이용한 침입탐지 컴퓨터 프로그램을 수록한 기록매체
  21. 청구항 20에 있어서,
    상기 침입을 차단하는 단계는 상기 프로세스의 실행을 중단하거나 상기 프로세스를 컴퓨터, 네트워크 및 통신기기에서 제거하는 것을 특징으로 하는 컴퓨터가 읽을 수 있는 비정상행위 공통특징을 이용한 침입탐지 컴퓨터 프로그램을 수록한 기록매체
  22. 청구항 18 내지 청구항 21중 어느 한 항에 있어서,
    상기 특정값이 100%인 것을 특징으로 하는 컴퓨터가 읽을 수 있는 비정상행위 공통특징을 이용한 침입탐지 컴퓨터 프로그램을 수록한 기록매체
KR1020020042003A 2002-07-18 2002-07-18 비정상행위 공통 특징을 이용한 침입탐지방법 및 기록매체 KR20040008375A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020020042003A KR20040008375A (ko) 2002-07-18 2002-07-18 비정상행위 공통 특징을 이용한 침입탐지방법 및 기록매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020020042003A KR20040008375A (ko) 2002-07-18 2002-07-18 비정상행위 공통 특징을 이용한 침입탐지방법 및 기록매체

Publications (1)

Publication Number Publication Date
KR20040008375A true KR20040008375A (ko) 2004-01-31

Family

ID=37317442

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020020042003A KR20040008375A (ko) 2002-07-18 2002-07-18 비정상행위 공통 특징을 이용한 침입탐지방법 및 기록매체

Country Status (1)

Country Link
KR (1) KR20040008375A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100850361B1 (ko) * 2007-03-14 2008-08-04 한국전자통신연구원 실행 가능한 코드 탐지 방법 및 장치
US7571477B2 (en) 2004-12-07 2009-08-04 Electronics And Telecommunications Research Institute Real-time network attack pattern detection system for unknown network attack and method thereof
KR20190048004A (ko) 2017-10-30 2019-05-09 삼성에스디에스 주식회사 기계 학습 기반의 이상 행위 탐지 방법 및 그 장치

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6189104B1 (en) * 1996-08-01 2001-02-13 Harris Corporation Integrated network security access control system
KR20020024508A (ko) * 2000-09-25 2002-03-30 김병기 네트워크 침입탐지를 위한 비정상행위 탐지기법
KR20020041371A (ko) * 2002-05-01 2002-06-01 김영천 비인가신호의 침입 탐지 장치 및 방법
WO2002048959A2 (en) * 2000-12-13 2002-06-20 The Johns Hopkins University A hierarchial neural network intrusion detector

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6189104B1 (en) * 1996-08-01 2001-02-13 Harris Corporation Integrated network security access control system
KR20020024508A (ko) * 2000-09-25 2002-03-30 김병기 네트워크 침입탐지를 위한 비정상행위 탐지기법
WO2002048959A2 (en) * 2000-12-13 2002-06-20 The Johns Hopkins University A hierarchial neural network intrusion detector
KR20020041371A (ko) * 2002-05-01 2002-06-01 김영천 비인가신호의 침입 탐지 장치 및 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Catalog, (2000.03) *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7571477B2 (en) 2004-12-07 2009-08-04 Electronics And Telecommunications Research Institute Real-time network attack pattern detection system for unknown network attack and method thereof
KR100850361B1 (ko) * 2007-03-14 2008-08-04 한국전자통신연구원 실행 가능한 코드 탐지 방법 및 장치
US8166545B2 (en) 2007-03-14 2012-04-24 Electronics And Telecommunications Research Institute Method and apparatus for detecting executable code
KR20190048004A (ko) 2017-10-30 2019-05-09 삼성에스디에스 주식회사 기계 학습 기반의 이상 행위 탐지 방법 및 그 장치

Similar Documents

Publication Publication Date Title
CN106055980B (zh) 一种基于规则的JavaScript安全性检测方法
US6735703B1 (en) Multi-platform sequence-based anomaly detection wrapper
US6742124B1 (en) Sequence-based anomaly detection using a distance matrix
CN102647421B (zh) 基于行为特征的web后门检测方法和装置
RU2535506C2 (ru) Система и способ формирования сценариев модели поведения приложений
US10356113B2 (en) Apparatus and method for detecting abnormal behavior
TWI396995B (zh) 惡意軟體清除方法、系統及電腦程式產品與儲存媒體
CN106462703A (zh) 补丁文件分析系统与分析方法
JP2005526311A (ja) データベースシステムを監視するための方法および装置
CN112787992A (zh) 一种敏感数据的检测与防护的方法、装置、设备和介质
WO2017040957A1 (en) Process launch, monitoring and execution control
CN108989294A (zh) 一种准确识别网站访问的恶意用户的方法及系统
CN109800569A (zh) 程序鉴别方法及装置
KR100959276B1 (ko) 커널계층에서 통제리스트를 이용한 악성프로세스 설치차단 시스템 및 그 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체
CN108429746B (zh) 一种面向云租户的隐私数据保护方法及系统
KR102338998B1 (ko) 로그 무결성 검사 및 이를 통한 로그 위변조 행위 증빙 시스템 및 그 방법
CN104426836A (zh) 一种入侵检测方法及装置
US11449618B2 (en) Active testing of access control policy
KR20040008375A (ko) 비정상행위 공통 특징을 이용한 침입탐지방법 및 기록매체
CN106899977B (zh) 异常流量检验方法和装置
CN103593614B (zh) 一种未知病毒检索方法
CN108446557B (zh) 基于防御蜜罐的安全威胁主动感知方法
KR100310860B1 (ko) 실시간침입탐지시스템에서의에이전트구조를이용한실시간침입탐지방법
CN108509796B (zh) 一种风险性的检测方法及服务器
CN112784274A (zh) 基于Linux平台的恶意样本检测收集方法及系统、存储介质、设备

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application