KR20060056459A - 악성코드 프로토콜 분석 및 유해 트래픽을 생성하는 방법및 장치 - Google Patents

악성코드 프로토콜 분석 및 유해 트래픽을 생성하는 방법및 장치 Download PDF

Info

Publication number
KR20060056459A
KR20060056459A KR1020040095547A KR20040095547A KR20060056459A KR 20060056459 A KR20060056459 A KR 20060056459A KR 1020040095547 A KR1020040095547 A KR 1020040095547A KR 20040095547 A KR20040095547 A KR 20040095547A KR 20060056459 A KR20060056459 A KR 20060056459A
Authority
KR
South Korea
Prior art keywords
protocol
attack
packet
unit
malicious code
Prior art date
Application number
KR1020040095547A
Other languages
English (en)
Other versions
KR100609708B1 (ko
Inventor
최병철
서동일
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020040095547A priority Critical patent/KR100609708B1/ko
Priority to US11/152,987 priority patent/US20060130145A1/en
Publication of KR20060056459A publication Critical patent/KR20060056459A/ko
Application granted granted Critical
Publication of KR100609708B1 publication Critical patent/KR100609708B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 악성코드 프로토콜 분석 및 유해 트래픽을 생성하는 방법 및 시스템에 관한 것으로, 유해 트래픽 생성 방법은, (a) 네트워크 트래픽 발생을 위한 TCP/IP 프로토콜에 해당하는 1차 공격 패킷 생성을 위한 패킷 프로토콜 상세정보를 설정하는 단계; (b) 네트워크 취약성 점검을 수행하는 2차 공격 패킷 생성을 위한 네트워크 취약성 점검을 설정하는 단계; (c) 서비스 거부 공격 형태의 3차 공격 패킷 생성을 위한 공격 상세정보를 설정하는 단계; 및 (d) 상기 (a)단계, 상기 (b)단계, 상기 (c)단계에 의해 설정된 패킷 프로토콜 상세정보, 네트워크 취약성 점검 및 공격 상세정보를 통하여 유해 트래픽을 생성하는 단계;로 구성된다. 따라서, 네트워크 보안 장비에 대한 인터넷 웜과 같은 악성코드 공격에 대한 현실성 있는 성능 시험을 가능하게 할 수 있다.

Description

악성코드 프로토콜 분석 및 유해 트래픽을 생성하는 방법 및 장치{Apparatus and method for malicious code protocol analysis and harmful traffic generation}
도 1은 본 발명의 일실시예에 따른 악성코드 프로토콜 분석 및 유해 트래픽 생성하는 시스템의 블럭도이다.
도 2는 본 발명의 일실시예에 따른 악성코드 프로토콜 분석하는 방법에 대한 흐름도이다.
도 3은 본 발명의 다른 일실시예에 따른 유해 트래픽 생성하는 방법에 대한 흐름도이다.
본 발명은 악성코드 프로토콜 분석 및 유해 트래픽을 생성하는 방법 및 시스템에 관한 것으로, 더욱 상세하게는 네트워크 보안 장비를 시험하기 위한 기능을 수행하여 네트워크 보안 장비의 보안 성능을 효율적으로 측정하는 악성코드 분석 및 유해 트래픽을 생성하는 방법 및 시스템에 관한 것이다.
악성코드는 웜(Worm), 바이러스(Virus), 백도어(Back Door)와 트로이 목마 (Trojan Horse), 침해형 악성코드(Malware) 및 광고성 악성코드(Adware) 등이 있다.
유해 트래픽은 상기와 같은 악성코드 및 기타 공격 시그너쳐에 의해 생성된 공격 트래픽을 의미한다.
악성코드 프로토콜 분석과 관련하여, 종래에는 이미 알려진 악성코드에 해당하는 공격 패턴이 침입 탐지 규칙과 매칭되는지 여부를 통하여 악성코드 프로토콜 분석을 수행하였지만, 자동적으로 CVE(공통 취약점: Common Vulnerabilities and Exposures) 연동 및 악성코드 실행파일 데이터 분석을 통하여 악성코드 프로토콜 분석을 수행하지는 않았다.
유해 트래픽 생성의 경우와 관련하여, 종래에는 단순한 공격 패킷 생성을 수행하였으나, 인터넷 웜과 같은 일정한 시나리오(1차 공격 - 공격 시그너쳐, 2차 공격 - 취약성 점검, 3차 공격 - 공격 트래픽 생성 등)로 동작하는 공격 패킷 또는 유해 트래픽을 생성하지는 못하였다.
본 발명은 악성코드 프로토콜 분석 및 유해 트래픽을 생성하는 방법 및 시스템에 관한 것으로, 네트워크 장비를 시험하기 위한 악성코드를 CVE와 연동하여 분석하고 그 분석 결과(공격 패턴)를 저장 및 관리 할 수 있는 악성코드 프로토콜 분석 방법 및 악성코드 프로토콜 분석기와, 상기 악성코드 프로토폴 분석기에서 분석된 악성코드 프로토콜 분석 정보를 이용하거나 새로운 형태의 유해 트래픽을 생성할 수 있는 유해 트래픽 생성 방법 및 유해 트래픽 생성기를 제공한다.
본 발명에 의한 악성코드 프로토콜 분석 장치는, 악성코드가 삽입된 공격 코드를 로딩하여 내부 데이터를 분석하여 악성코드 프로토콜 분석결과를 생성하는 악성코드 프로토콜 분석부; 상기 악성코드 프로토콜 분석부로부터 입력되는 상기 악성코드가 CVE(공통 취약점) 데이터베이스에 존재하는지 확인한 후, 존재한다고 판단되는 경우 상기 악성코드에 대하여 CVE 정보를 분석하여 CVE 분석 정보를 생성하는 CVE 분석부; 및 상기 악성코드 프로토콜 분석부에 상기 공격 코드를 설정하여 주고, 상기 악성코드 프로토콜 분석결과와 상기 CVE 분석결과를 표시하는 사용자 인터페이스부;를 포함하는 것을 특징으로 가진다.
본 발명에 의한 유해 트래픽 생성 장치는, 네트워크 트래픽 발생을 위한 TCP/IP 프로토콜에 해당하는 1차 공격 패킷 생성을 위한 패킷 프로토콜 상세정보를 설정하는 패킷 프로토콜 설정부; 네트워크 취약성 점검을 수행하는 2차 공격 패킷 생성을 위한 네트워크 취약성 점검을 설정하는 네트워크 취약성 점검부; 서비스 거부 공격 형태의 3차 공격 패킷 생성을 위한 공격 상세정보를 설정하는 공격 프로토콜 설정부; 상기 패킷 프로토콜 설정부, 네트워크 취약성 점검부 및 공격 프로토콜 설정부에 설정된 패킷 정보를 통하여 실제로 유해 트래픽을 생성하는 패킷 드라이버; 및 입력되는 설정값을 상기 패킷 프로토콜 설정부, 네트워크 취약성 점검부 및 공격 프로토콜 설정부 중에서 해당하는 부분에 전달하고, 상기 패킷 프로토콜 상세정보, 네트워크 취약성 점검 및 공격 상세정보와 상기 패킷 드라이버에서 생성된 유해 트래픽을 표시하는 사용자 인터페이스부;를 포함하는 것을 특징으로 가진다.
본 발명에 의한 악성코드 프로토콜 생성 및 유해 트래픽 생성 장치는, 악성코드가 삽입된 공격 코드를 로딩하여 내부 데이터를 분석하여 악성코드 프로토콜 분석결과를 생성하는 악성코드 프로토콜 분석부, 상기 악성코드 프로토콜 분석부로부터 입력되는 상기 악성코드가 CVE(공통 취약점) 데이터베이스에 존재하는지 확인한 후, 존재한다고 판단되는 경우 상기 악성코드에 대하여 CVE 정보를 분석하여 CVE 분석 정보를 생성하는 CVE 분석부 및 상기 악성코드 프로토콜 분석부에 상기 공격 코드를 설정하여 주고, 상기 악성코드 프로토콜 분석결과와 상기 CVE 분석결과를 표시하는 제 1 사용자 인터페이스부로 이루어진 악성코드 프로토콜 분석기; 및 네트워크 트래픽 발생을 위한 TCP/IP 프로토콜에 해당하는 1차 공격 패킷 생성을 위한 패킷 프로토콜 상세정보를 설정하는 패킷 프로토콜 설정부, 네트워크 취약성 점검을 수행하는 2차 공격 패킷 생성을 위한 네트워크 취약성 점검을 설정하는 네트워크 취약성 점검부, 서비스 거부 공격 형태의 3차 공격 패킷 생성을 위한 공격 상세정보를 설정하는 공격 프로토콜 설정부, 상기 패킷 프로토콜 설정부, 네트워크 취약성 점검부 및 공격 프로토콜 설정부에 설정된 패킷 정보를 통하여 실제로 유해 트래픽을 생성하는 패킷 드라이버, 및 입력되는 설정값을 상기 패킷 프로토콜 설정부, 네트워크 취약성 점검부 및 공격 프로토콜 설정부 중에서 해당하는 부분에 전달하고, 상기 패킷 프로토콜 상세정보, 네트워크 취약성 점검 및 공격 상세정보와 상기 패킷 드라이버에서 생성된 유해 트래픽을 표시하는 제 2 사용자 인터페이스부;를 포함하는 것을 특징으로 가진다.
본 발명에 의한 악성코드 프로토콜 분석 방법은, (a) 악성코드가 삽입된 공 격 코드를 로딩하는 단계; (b) 상기 (a)단계에서 로딩된 공격 코드에 삽입된 악성코드가 CVE 데이터베이스에 존재하는지 여부를 판단하는 단계; (c) 상기 (b)단계에서의 판단결과, 상기 악성코드가 상기 CVE 데이터베이스에 존재한다고 판단되면 상기 악성코드에 대하여 CVE 분석과 악성코드 프로토콜을 분석하는 단계; 및 (d) 상기 (b)단계에서의 판단결과, 상기 악성코드가 상기 CVE 데이터베이스에 존재하지 않는다고 판단되면 상기 악성코드에 대하여 악성코드 프로토콜을 분석하는 단계;를 포함하는 것을 특징으로 가진다.
본 발명에 의한 유해 트래픽 생성 방법은, (a) 네트워크 트래픽 발생을 위한 TCP/IP 프로토콜에 해당하는 1차 공격 패킷 생성을 위한 패킷 프로토콜 상세정보를 설정하는 단계; (b) 네트워크 취약성 점검을 수행하는 2차 공격 패킷 생성을 위한 네트워크 취약성 점검을 설정하는 단계; (c) 서비스 거부 공격 형태의 3차 공격 패킷 생성을 위한 공격 상세정보를 설정하는 단계; 및 (d) 상기 (a)단계, 상기 (b)단계, 상기 (c)단계에 의해 설정된 패킷 프로토콜 상세정보, 네트워크 취약성 점검 및 공격 상세정보를 통하여 유해 트래픽을 생성하는 단계;를 포함하는 것을 특징으로 하는
이하, 본 발명에 따른 악성코드 프로토콜 분석 및 유해 트래픽을 생성하는 방법 및 시스템을 첨부한 도면을 참조하여 상세히 설명하기로 한다.
도 1은 본 발명의 일실시예에 따른 악성코드 프로토콜 분석 및 유해 트래픽을 생성하는 시스템의 블럭도이다.
도 1을 참조하면, 본 발명에 따른 악성코드 프로토콜 분석 및 유해 트래픽 을 생성하는 시스템은 악성코드 프로토콜 분석기(100)와 유해 트래픽 생성기(150)로 구성된다.
네트워크 보안 장비를 시험하기 위하여 유해 트래픽을 생성하는 유해 트래픽 생성기(150)는 패킷 프로토콜 설정부(Packet Protocol Configuration Unit)(160), 네트워크 취약성 점검부(Network Vulnerability Scanning Unit)(170), 공격 프로토콜 설정부(Attack Protocol Configuration Unit)(180), 패킷 드라이버(Packet Driver)(190), 결과 데이터베이스(Results Database)(140) 및 사용자 인터페이스부(GUI: Graphic User Interface Unit)(130)로 구성된다.
패킷 프로토콜 설정부(160)는 IP(Internet Protocol), TCP(Transmission Control Protocol) 또는 UDP(User Datagram Protocol) 데이터 설정을 통하여 사용자가 원하는 패킷 정보를 설정하는 역할을 수행한다. 사용자는 사용자 인터페이스부(130)를 통하여 IP 헤더 정보(MAC Address 등), TCP 헤더 정보 또는 UDP 헤더 정보를 입력하고, 패이로드(Payload)에 데이터 정보를 입력한다. 패킷 프로토콜 설정부(160)는 사용자 인터페이스부(130)를 통하여 입력되는 IP 헤더 정보, TCP 헤더 정보 또는 UDP 헤더 정보를 통하여 원하는 패킷 정보를 설정할 수 있다. 설정된 패킷 정보는 패킷 드라이브(190)와 연동되어 실제의 패킷이 생성되며, 실제로 생성된 패킷은 NIC 드라이브(195)를 통하여 물리적인 네트워크 선을 따라 외부로 전달된다.
네트워크 취약성 점검부(170)는 패킷 프로토콜 설정부(160)에서 사용자가 원하는 패킷 정보를 설정한 이후에 인터넷 웜과 같이 네트워크 취약성 점검을 수행하 는 2차 공격 패킷 생성을 위한 정보를 설정하는 역할을 수행한다. 네트워크 취약성 점검부(170)는 인터넷 웜과 같이 서비스 거부 공격 형태의 3차 공격을 수행하기 전에 행하는 행동 패턴을 표현하는 역할을 수행하는 것이다. 네트워크 취약성 점검부(170)에서 설정된 패킷 정보는 패킷 드라이브(190)와 연동되어 실제의 패킷이 생성되며, 실제로 생성된 패킷은 NIC 드라이브(195)를 통하여 물리적인 네트워크 선을 따라 외부로 전달된다.
구제척으로, 네크워크 취약성 점검부(170)에서 수행하는 네크워크 취약성 점검에는 핑 테스트(Ping Test), 포트(Port) 점검, 운영체제(OS: Operating System) 점검 등이 수행된다. 이와 같이, 네트워크 취약성 점검을 하는 것은 인터넷 웜의 공격 패턴중 1단계 공격과 3단계 공격 사이에 네트워크 취약성을 점검하여 효과적인 유해 트래픽을 생성하도록 하기 위함이다.
공격 프로토콜 설정부(180)는 인터넷 웜과 같이 DoS(Denial of Service : 서비스 거부 공격) 형태의 공격을 수행할 수 있는 세부 사항을 설정하는 역할을 수행한다. DoS 형태의 공격(3단계 공격)에는 주로 여러개의 호스트를 공격하는 형태와 하나의 호스트를 공격하는 형태로 나뉘어 진다. 공격 프로토콜 설정부(180)에서 설정된 패킷 정보는 패킷 드라이브(190)와 연동되어 실제의 패킷이 생성되며, 실제로 생성된 패킷은 NIC 드라이브(195)를 통하여 물리적인 네트워크 선을 따라 외부로 전달된다.
상기 DoS 형태의 공격에서 여러개의 호스트를 공격하는 형태는 목적지 주소를 자동으로 변경시키며 패킷 전송 횟수 및 전송 간격을 조정하게 된다.
그리고, 상기 DoS 형태의 공격에서 하나의 호스트를 공격하는 형태는 하나의 목적지에 다량의 패킷을 전송하는 공격을 수행하며 이러한 형태는 SYN Flooding 공격을 수행하는 것을 패턴화한 공격 형태이다.
사용자 인터페이스부(130)는 GUI(Graphical User Interface)라고도 하며, 실제로 사용자가 화면상에 입력값 또는 체크값을 설정하면, 입력값 또는 설정값이 패킷 프로토콜 설정부(160), 네트워크 취약성 점검부(170) 및 공격 프로토콜 설정부(180)중에서 해당하는 부분에 전달되고, 패킷 프로토콜 설정부(160), 네트워크 취약성 점검부(170) 및 공격 프로토콜 설정부(180)중에서 해당하는 부분에서 동작이 수행되어 나타난 결과를 다시 사용자 인터페이스부(130)의 화면에 표시된다.
패킷 드라이브(190)는 패킷 프로토콜 설정부(160), 네트워크 취약성 점검부(170) 및 공격 프로토콜 설정부(180)로부터 패킷 정보를 입력받아 실제로 패킷을 생성하고 외부로부터 패킷을 수집하는 역할을 수행한다. 이와 같은 패킷 드라이브(190)에서의 동작결과에 대하여는 사용자 인터페이스부(130)의 화면을 통하여 표시된다.
NIC 드라이브(Network Interface Card Drive)(195)는 컴퓨터에 일반적으로 설치되어 드라이브를 나타내는 것으로 물리적인 전달 매체이며 패킷 드라이브(190)에서 생성된 패킷이 NIC 드라이브(195)를 통해서 물리적인 네트워크로 전송된다. NIC 드라이브(195)는 종래의 장치 또는 정보를 활용한다.
결과 데이터베이스(140)는 패킷 프로토콜 설정부(160), 네트워크 취약성 점검부(170) 및 공격 프로토콜 설정부(180)에서 생성된 공격 패턴 정보(설정 정보)를 저장하여 재사용할 수 있도록 하는 역할을 수행한다.
네트워크 보안 장비 시험을 하기 위하여 유해 트래픽 공격 슈트(Suite)를 추출하는 악성코드 프로토콜 분석기(100)는 악성코드 프로토콜 분석부(Malicious Code Protocol Analysis Unit)(120), CVE(공통 취약점) 분석부(Common Vulnerabilities and Exposures Analysis Unit)(110), 결과 데이터베이스(Results Database)(140) 및 사용자 인터페이스부(GUI: Graphic User Interface Unit)(130)로 구성된다.
악성코드 프로토콜 분석부(120)는 먼저 악성코드 공격 파일(예를 들어, .exe 형태의 실제 코드)을 로딩(Loading)하여 악성코드 내부의 데이터를 분석하는 역할을 수행한다.
CVE(공통 취약점: Common Vulnerabilities and Exposures) 분석부(110)는 악성코드에 해당하는 CVE 정보(TCP/IP 프로토콜 정보, 공격 패턴 정보 등)를 분석하여 자동으로 프로토콜 패턴을 사용자 인터페이스부(130) 화면에 출력할 수 있도록 하는 역할을 수행한다.
사용자 인터페이스부(130)인 GUI(Graphical User Interface)라고도 하며, 사용자 인터페이스부(130)는 악성코드 프로토콜 분석부(120)와 CVE 분석부(110)에서 분석된 결과(악성코드 공격 패턴 정보)를 화면에 보여주고 이를 결과 데이터베이스(140)에 저장할 수 있는 인터페이스를 제공한다.
결과 데이터베이스(140)는 악성코드 프로토콜 분석부(120)와 CVE 분석부 (110)에서 생성된 악성코드 공격 패턴 정보를 저장하여 재사용할 수 있도록 하는 역할을 수행한다.
도 2는 본 발명의 일실시예에 따른 악성코드 프로토콜 분석하는 방법에 대한 흐름도이다.
도 2를 참조하면, 네트워크 보안 장비 시험을 하기 위하여 유해 트래픽 공격 슈트(Suite)를 추출하는 악성코드 프로토콜 분석기(100)에서의 동작에 대한 보다 구체적인 흐름도를 나타낸 것이다.
먼저, 사용자 인터페이스부(130)를 통하여 사용자가 로딩(읽기 또는 열기) 버튼을 누름으로써 악성코드가 삽입된 공격 코드(공격 파일)를 열게 된다(S200).
다음으로, CVE 데이터베이스(115)에 단계S200의 공격 코드에 삽입되어 있는 악성코드가 존재하는지 여부를 판단한다(S220). 단계S220에서의 판단결과, CVE 데이터베이스(115)에 상기 악성코드가 존재한다고 판단되면 단계S240으로 진행한다. 한편, 단계S220에서의 판단결과 상기 악성코드가 존재하지 않는다고 판단되면 단계S245로 진행한다.
단계S240에서는 CVE 분석부(110)를 통하여 CVE 분석과 악성코드 프로토콜 분석부(120)를 통하여 악성코드 데이터 분석을 수행하게 된다. 여기에서, CVE 분석은 악성코드에 해당하는 CVE 정보(TCP/IP 프로토콜 정보, 공격 패턴 정보 등)를 분석하게 되고, 악성코드 프로토콜 분석은 악성코드 내부 데이터를 분석하게 된다.
단계S245에서는 악성코드 프로토콜 분석부(120)를 통하여 악성코드 내부 데이터를 분석하게 된다.
단계S240과 단계S245의 다음 단계인 단계S260에서는 상기 단계S240에서 분석된 CVE 분석결과와 악성코드 프로토콜 분석결과와 단계S245에서 분석된 악성코드 프로토콜 분석결과를 사용자 인터페이스부(130)의 화면에 표시한다.
다음으로, CVE 분석결과와 악성코드 프로토콜 분석결과를 결과 데이터베이스(140)에 저장한다(S280).
도 3은 본 발명의 다른 일실시예에 따른 유해 트래픽을 생성하는 방법에 대한 흐름도이다.
도 3을 참조하면, 네트워크 보안 장비를 시험하기 위하여 유해 트래픽을 생성하는 유해 트래픽 생성기(150)에서의 동작에 대한 보다 구체적인 흐름도를 나타낸 것이다.
먼저, 네트워크 트래픽 발생을 위한 TCP/IP 프로토콜에 해당하는 1차 공격 패킷 생성을 위한 패킷 상세정보를 설정한다(S300).
다음으로, 인터넷 웜과 같이 네트워크 취약성 점검을 수행하는 2차 공격 패킷 생성을 위한 네트워크 취약성 점검을 설정한다(S320).
다음으로, 인터넷 웜과 같이 서비스 거부 공격 형태의 3차 공격 패킷 생성을 위한 공격 상세정보를 설정한다(S340).
다음으로, 상기 단계S300, 단계S320, 단계S340에 의해 생성된 유해 트래픽에 대한 공격 상황 정보를 분석하고 사용자 인터페이스부(130)의 화면에 분석결과를 표시한다(S360).
다음으로, 상기 단계S360에서 생성된 분석결과를 결과 데이터베이스(140)에 저장한다(S380).
이상에서와 같이 도면과 명세서에서 최적 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
상술한 바와 같이 본 발명에 따른 악성코드 프로토콜 분석 및 유해 트래픽을 생성하는 방법 및 시스템은, 보다 효과적으로 네트워크 보안 장비의 시험을 위한 웜/바이러스와 같은 다형질 및 다단계 공격 형태에 대한 공격 패턴을 분석하고 유해 트래픽을 자동으로 생성할 수 있다.
그럼으로써, 네트워크 보안 장비에 대한 인터넷 웜과 같은 악성코드 공격에 대한 성능 시험을 가능하게 할 수 있다.

Claims (14)

  1. 악성코드가 삽입된 공격 코드를 로딩하여 내부 데이터를 분석하여 악성코드 프로토콜 분석결과를 생성하는 악성코드 프로토콜 분석부;
    상기 악성코드 프로토콜 분석부로부터 입력되는 상기 악성코드가 CVE(공통 취약점) 데이터베이스에 존재하는지 확인한 후, 존재한다고 판단되는 경우 상기 악성코드에 대하여 CVE 정보를 분석하여 CVE 분석 정보를 생성하는 CVE 분석부; 및
    상기 악성코드 프로토콜 분석부에 상기 공격 코드를 설정하여 주고, 상기 악성코드 프로토콜 분석결과와 상기 CVE 분석결과를 표시하는 사용자 인터페이스부;를 포함하는 것을 특징으로 하는 악성코드 프로토콜 분석 장치.
  2. 제 1 항에 있어서,
    상기 악성코드 프로토콜 분석부에서 분석된 악성코드 프로토콜 분석결과와 상기 CVE 분석부에서 분석된 CVE 분석결과를 저장하고 관리하는 결과 데이터베이스;를 더 포함하는 것을 특징으로 하는 악성코드 프로토콜 분석 장치.
  3. 제 1 항에 있어서,
    상기 CVE 정보는 TCP/IP 프로토콜 정보 또는 공격 패턴 정보중 적어도 어느 하나인 것을 특징으로 하는 악성코드 프로토콜 분석 장치.
  4. 네트워크 트래픽 발생을 위한 TCP/IP 프로토콜에 해당하는 1차 공격 패킷 생성을 위한 패킷 프로토콜 상세정보를 설정하는 패킷 프로토콜 설정부;
    네트워크 취약성 점검을 수행하는 2차 공격 패킷 생성을 위한 네트워크 취약성 점검을 설정하는 네트워크 취약성 점검부;
    서비스 거부 공격 형태의 3차 공격 패킷 생성을 위한 공격 상세정보를 설정 하는 공격 프로토콜 설정부;
    상기 패킷 프로토콜 설정부, 네트워크 취약성 점검부 및 공격 프로토콜 설정부에 설정된 패킷 정보를 통하여 실제로 유해 트래픽을 생성하는 패킷 드라이버; 및
    입력되는 설정값을 상기 패킷 프로토콜 설정부, 네트워크 취약성 점검부 및 공격 프로토콜 설정부 중에서 해당하는 부분에 전달하고, 상기 패킷 프로토콜 상세정보, 네트워크 취약성 점검 및 공격 상세정보와 상기 패킷 드라이버에서 생성된 유해 트래픽을 표시하는 사용자 인터페이스부;를 포함하는 것을 특징으로 하는 유해 트래픽 생성 장치.
  5. 제 4 항에 있어서,
    상기 패킷 프로토콜 설정부, 네트워크 점검부 및 공격 프로토콜 설정부에서 설정된 패킷 프로토콜 상세정보, 네트워크 취약성 점검 및 공격 상세정보를 저장하고 관리하는 결과 데이터베이스를 더 포함하는 것을 특징으로 하는 유해 트래픽 생성 장치.
  6. 악성코드가 삽입된 공격 코드를 로딩하여 내부 데이터를 분석하여 악성코드 프로토콜 분석결과를 생성하는 악성코드 프로토콜 분석부, 상기 악성코드 프로토콜 분석부로부터 입력되는 상기 악성코드가 CVE(공통 취약점) 데이터베이스에 존재하는지 확인한 후, 존재한다고 판단되는 경우 상기 악성코드에 대하여 CVE 정보를 분 석하여 CVE 분석 정보를 생성하는 CVE 분석부 및 상기 악성코드 프로토콜 분석부에 상기 공격 코드를 설정하여 주고, 상기 악성코드 프로토콜 분석결과와 상기 CVE 분석결과를 표시하는 제 1 사용자 인터페이스부로 이루어진 악성코드 프로토콜 분석기; 및
    네트워크 트래픽 발생을 위한 TCP/IP 프로토콜에 해당하는 1차 공격 패킷 생성을 위한 패킷 프로토콜 상세정보를 설정하는 패킷 프로토콜 설정부, 네트워크 취약성 점검을 수행하는 2차 공격 패킷 생성을 위한 네트워크 취약성 점검을 설정하는 네트워크 취약성 점검부, 서비스 거부 공격 형태의 3차 공격 패킷 생성을 위한 공격 상세정보를 설정하는 공격 프로토콜 설정부, 상기 패킷 프로토콜 설정부, 네트워크 취약성 점검부 및 공격 프로토콜 설정부에 설정된 패킷 정보를 통하여 실제로 유해 트래픽을 생성하는 패킷 드라이버, 및 입력되는 설정값을 상기 패킷 프로토콜 설정부, 네트워크 취약성 점검부 및 공격 프로토콜 설정부 중에서 해당하는 부분에 전달하고, 상기 패킷 프로토콜 상세정보, 네트워크 취약성 점검 및 공격 상세정보와 상기 패킷 드라이버에서 생성된 유해 트래픽을 표시하는 제 2 사용자 인터페이스부;를 포함하는 것을 특징으로 하는 악성코드 프로토콜 생성 및 유해 트래픽 생성 장치.
  7. 제 6 항에 있어서,
    상기 제 1 사용자 인터페이스부와 상기 제 2 사용자 인터페이스부는 함께 형성되어 있는 것을 특징으로 하는 악성코드 프로토콜 생성 및 유해 트래픽 생성 장 치.
  8. 제 6 항에 있어서,
    상기 악성코드 프로토콜 분석부에서 분석된 악성코드 프로토콜 분석결과와 상기 CVE 분석부에서 분석된 CVE 분석결과 및 상기 패킷 프로토콜 설정부, 네트워크 점검부 및 공격 프로토콜 설정부에서 설정된 패킷 프로토콜 상세정보, 네트워크 취약성 점검 및 공격 상세정보를 저장하고 관리하는 결과 데이터베이스;를 더 포함하는 것을 특징으로 하는 악성코드 프로토콜 생성 및 유해 트래픽 생성 장치.
  9. (a) 악성코드가 삽입된 공격 코드를 로딩하는 단계;
    (b) 상기 (a)단계에서 로딩된 공격 코드에 삽입된 악성코드가 CVE 데이터베이스에 존재하는지 여부를 판단하는 단계;
    (c) 상기 (b)단계에서의 판단결과, 상기 악성코드가 상기 CVE 데이터베이스에 존재한다고 판단되면 상기 악성코드에 대하여 CVE 분석과 악성코드 프로토콜을 분석하는 단계; 및
    (d) 상기 (b)단계에서의 판단결과, 상기 악성코드가 상기 CVE 데이터베이스에 존재하지 않는다고 판단되면 상기 악성코드에 대하여 악성코드 프로토콜을 분석하는 단계;를 포함하는 것을 특징으로 하는 악성코드 프로토콜 분석 방법.
  10. 제 9 항에 있어서,
    상기 (c)단계와 상기 (d)단계에서 분석된 분석결과를 사용자 인터페이스부를 통하여 화면에 표시하는 단계;를 더 포함하는 것을 특징으로 하는 악성코드 프로토콜 분석 방법.
  11. 제 9 항 또는 제 10 항에 있어서,
    상기 (d)단계에서 분석된 분석결과를 결과 데이터베이스에 저장하고 관리하는 단계;를 더 포함하는 것을 특징으로 하는 악성코드 프로토콜 분석 방법.
  12. (a) 네트워크 트래픽 발생을 위한 TCP/IP 프로토콜에 해당하는 1차 공격 패킷 생성을 위한 패킷 프로토콜 상세정보를 설정하는 단계;
    (b) 네트워크 취약성 점검을 수행하는 2차 공격 패킷 생성을 위한 네트워크 취약성 점검을 설정하는 단계;
    (c) 서비스 거부 공격 형태의 3차 공격 패킷 생성을 위한 공격 상세정보를 설정하는 단계; 및
    (d) 상기 (a)단계, 상기 (b)단계, 상기 (c)단계에 의해 설정된 패킷 프로토콜 상세정보, 네트워크 취약성 점검 및 공격 상세정보를 통하여 유해 트래픽을 생성하는 단계;를 포함하는 것을 특징으로 하는 유해 트래픽 생성 방법.
  13. 제 12 항에 있어서,
    상기 (d)단계에서 생성된 유해 트래픽을 분석하고 상기 분석된 분석결과를 사용자 인터페이스부를 통하여 화면에 표시하는 단계;를 더 포함하는 것을 특징으로 하는 유해 트래픽 생성 방법.
  14. 제 12 항 또는 제 13 항에 있어서,
    상기 (d)단계에서 생성된 유해 트래픽을 결과 데이터베이스에 저장하고 관리하는 단계;를 더 포함하는 것을 특징으로 하는 유해 트래픽 생성 방법.
KR1020040095547A 2004-11-20 2004-11-20 악성코드 프로토콜 분석 및 유해 트래픽을 생성하는 방법및 장치 KR100609708B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020040095547A KR100609708B1 (ko) 2004-11-20 2004-11-20 악성코드 프로토콜 분석 및 유해 트래픽을 생성하는 방법및 장치
US11/152,987 US20060130145A1 (en) 2004-11-20 2005-06-14 System and method for analyzing malicious code protocol and generating harmful traffic

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040095547A KR100609708B1 (ko) 2004-11-20 2004-11-20 악성코드 프로토콜 분석 및 유해 트래픽을 생성하는 방법및 장치

Publications (2)

Publication Number Publication Date
KR20060056459A true KR20060056459A (ko) 2006-05-24
KR100609708B1 KR100609708B1 (ko) 2006-08-08

Family

ID=36585648

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040095547A KR100609708B1 (ko) 2004-11-20 2004-11-20 악성코드 프로토콜 분석 및 유해 트래픽을 생성하는 방법및 장치

Country Status (2)

Country Link
US (1) US20060130145A1 (ko)
KR (1) KR100609708B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101854981B1 (ko) * 2016-06-10 2018-05-04 국방과학연구소 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법 및 이의 장치
KR20210125147A (ko) * 2020-04-07 2021-10-18 한국전자통신연구원 악성파일을 이용한 악성 트래픽 생성 방법 및 장치

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8060936B2 (en) 2008-10-21 2011-11-15 Lookout, Inc. Security status and information display system
US8099472B2 (en) 2008-10-21 2012-01-17 Lookout, Inc. System and method for a mobile cross-platform software system
US8533844B2 (en) 2008-10-21 2013-09-10 Lookout, Inc. System and method for security data collection and analysis
US9367680B2 (en) 2008-10-21 2016-06-14 Lookout, Inc. System and method for mobile communication device application advisement
US9043919B2 (en) 2008-10-21 2015-05-26 Lookout, Inc. Crawling multiple markets and correlating
US9235704B2 (en) 2008-10-21 2016-01-12 Lookout, Inc. System and method for a scanning API
US8347386B2 (en) 2008-10-21 2013-01-01 Lookout, Inc. System and method for server-coupled malware prevention
US8087067B2 (en) 2008-10-21 2011-12-27 Lookout, Inc. Secure mobile platform system
US8984628B2 (en) * 2008-10-21 2015-03-17 Lookout, Inc. System and method for adverse mobile application identification
US9781148B2 (en) 2008-10-21 2017-10-03 Lookout, Inc. Methods and systems for sharing risk responses between collections of mobile communications devices
US8051480B2 (en) * 2008-10-21 2011-11-01 Lookout, Inc. System and method for monitoring and analyzing multiple interfaces and multiple protocols
US8108933B2 (en) * 2008-10-21 2012-01-31 Lookout, Inc. System and method for attack and malware prevention
US9955352B2 (en) 2009-02-17 2018-04-24 Lookout, Inc. Methods and systems for addressing mobile communications devices that are lost or stolen but not yet reported as such
US8855601B2 (en) 2009-02-17 2014-10-07 Lookout, Inc. System and method for remotely-initiated audio communication
US8538815B2 (en) 2009-02-17 2013-09-17 Lookout, Inc. System and method for mobile device replacement
US9042876B2 (en) 2009-02-17 2015-05-26 Lookout, Inc. System and method for uploading location information based on device movement
US8467768B2 (en) 2009-02-17 2013-06-18 Lookout, Inc. System and method for remotely securing or recovering a mobile device
US8397301B2 (en) 2009-11-18 2013-03-12 Lookout, Inc. System and method for identifying and assessing vulnerabilities on a mobile communication device
US8738765B2 (en) 2011-06-14 2014-05-27 Lookout, Inc. Mobile device DNS optimization
US8788881B2 (en) 2011-08-17 2014-07-22 Lookout, Inc. System and method for mobile device push communications
US8789190B2 (en) * 2011-12-23 2014-07-22 Mcafee, Inc. System and method for scanning for computer vulnerabilities in a network environment
US9407443B2 (en) 2012-06-05 2016-08-02 Lookout, Inc. Component analysis of software applications on computing devices
US9589129B2 (en) 2012-06-05 2017-03-07 Lookout, Inc. Determining source of side-loaded software
US8655307B1 (en) 2012-10-26 2014-02-18 Lookout, Inc. System and method for developing, updating, and using user device behavioral context models to modify user, device, and application state, settings and behavior for enhanced user security
CN103036743B (zh) * 2012-12-19 2015-10-07 中国科学院信息工程研究所 一种窃密木马的tcp心跳行为的检测方法
US9208215B2 (en) 2012-12-27 2015-12-08 Lookout, Inc. User classification based on data gathered from a computing device
US9374369B2 (en) 2012-12-28 2016-06-21 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
US8855599B2 (en) 2012-12-31 2014-10-07 Lookout, Inc. Method and apparatus for auxiliary communications with mobile communications device
US9424409B2 (en) 2013-01-10 2016-08-23 Lookout, Inc. Method and system for protecting privacy and enhancing security on an electronic device
US9642008B2 (en) 2013-10-25 2017-05-02 Lookout, Inc. System and method for creating and assigning a policy for a mobile communications device based on personal data
US9973534B2 (en) 2013-11-04 2018-05-15 Lookout, Inc. Methods and systems for secure network connections
US10122747B2 (en) 2013-12-06 2018-11-06 Lookout, Inc. Response generation after distributed monitoring and evaluation of multiple devices
US9753796B2 (en) 2013-12-06 2017-09-05 Lookout, Inc. Distributed monitoring, evaluation, and response for multiple devices
EP3289510B1 (en) 2015-05-01 2020-06-17 Lookout Inc. Determining source of side-loaded software
CN106407813B (zh) * 2016-05-17 2020-04-07 北京摄星科技有限公司 一种异构漏洞扫描器数据归一化处理装置及方法
US10440053B2 (en) 2016-05-31 2019-10-08 Lookout, Inc. Methods and systems for detecting and preventing network connection compromise
US10218697B2 (en) 2017-06-09 2019-02-26 Lookout, Inc. Use of device risk evaluation to manage access to services
JP7366860B2 (ja) * 2020-08-17 2023-10-23 株式会社日立製作所 攻撃シナリオシミュレーション装置、攻撃シナリオ生成システム、および攻撃シナリオ生成方法
CN113794712B (zh) * 2021-09-10 2022-07-12 中国工商银行股份有限公司 用于控制网络安全靶场的流量的方法、装置、设备及介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2375206A1 (en) * 2000-03-27 2001-10-04 Network Security Systems, Inc. Internet/network security method and system for checking security of a client from a remote facility

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101854981B1 (ko) * 2016-06-10 2018-05-04 국방과학연구소 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법 및 이의 장치
KR20210125147A (ko) * 2020-04-07 2021-10-18 한국전자통신연구원 악성파일을 이용한 악성 트래픽 생성 방법 및 장치

Also Published As

Publication number Publication date
KR100609708B1 (ko) 2006-08-08
US20060130145A1 (en) 2006-06-15

Similar Documents

Publication Publication Date Title
KR100609708B1 (ko) 악성코드 프로토콜 분석 및 유해 트래픽을 생성하는 방법및 장치
CN107426242B (zh) 网络安全防护方法、装置及存储介质
Mutz et al. An experience developing an IDS stimulator for the black-box testing of network intrusion detection systems
US8997231B2 (en) Preventive intrusion device and method for mobile devices
Toth et al. Accurate buffer overflow detection via abstract pay load execution
JP4320013B2 (ja) 不正処理判定方法、データ処理装置、コンピュータプログラム、及び記録媒体
KR101252812B1 (ko) 네트워크 보안 장치 및 그를 이용한 패킷 데이터 처리방법
US20040030931A1 (en) System and method for providing enhanced network security
Johari et al. Penetration testing in IoT network
CN113468075A (zh) 一种服务器端软件的安全测试方法和系统
WO2017217247A1 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
JP2005242754A (ja) セキュリティ管理システム
Al-Saadoon et al. A comparison of trojan virus behavior in Linux and Windows operating systems
KR100772177B1 (ko) 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치
Nath Vulnerability assessment methods–a review
TWM592531U (zh) 網路攻擊分析系統
CN116170186A (zh) 基于网络流量分析的攻击代码在线检测方法和装置
Kruegel et al. Reverse engineering of network signatures
CN113660291A (zh) 智慧大屏显示信息恶意篡改防护方法及装置
Kohlrausch Experiences with the noah honeynet testbed to detect new internet worms
Todd et al. Alert verification evasion through server response forging
Yu et al. Trustworthy web services based on testing
Fu et al. Camouflaging virtual honeypots
RU2757330C1 (ru) Способ выявления несогласованного использования ресурсов вычислительного устройства пользователя
Salemi et al. " Automated rules generation into Web Application Firewall using Runtime Application Self-Protection

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee