KR20070095718A - 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지시스템 및 방법 - Google Patents

유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지시스템 및 방법 Download PDF

Info

Publication number
KR20070095718A
KR20070095718A KR1020060026267A KR20060026267A KR20070095718A KR 20070095718 A KR20070095718 A KR 20070095718A KR 1020060026267 A KR1020060026267 A KR 1020060026267A KR 20060026267 A KR20060026267 A KR 20060026267A KR 20070095718 A KR20070095718 A KR 20070095718A
Authority
KR
South Korea
Prior art keywords
traffic
type
worm
characteristic
similarity
Prior art date
Application number
KR1020060026267A
Other languages
English (en)
Inventor
김우년
김동수
최대식
박응기
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020060026267A priority Critical patent/KR20070095718A/ko
Priority to US11/453,448 priority patent/US20070226803A1/en
Publication of KR20070095718A publication Critical patent/KR20070095718A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01BCABLES; CONDUCTORS; INSULATORS; SELECTION OF MATERIALS FOR THEIR CONDUCTIVE, INSULATING OR DIELECTRIC PROPERTIES
    • H01B9/00Power cables
    • H01B9/006Constructional features relating to the conductors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01BCABLES; CONDUCTORS; INSULATORS; SELECTION OF MATERIALS FOR THEIR CONDUCTIVE, INSULATING OR DIELECTRIC PROPERTIES
    • H01B1/00Conductors or conductive bodies characterised by the conductive materials; Selection of materials as conductors
    • H01B1/02Conductors or conductive bodies characterised by the conductive materials; Selection of materials as conductors mainly consisting of metals or alloys
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01BCABLES; CONDUCTORS; INSULATORS; SELECTION OF MATERIALS FOR THEIR CONDUCTIVE, INSULATING OR DIELECTRIC PROPERTIES
    • H01B3/00Insulators or insulating bodies characterised by the insulating materials; Selection of materials for their insulating or dielectric properties
    • H01B3/18Insulators or insulating bodies characterised by the insulating materials; Selection of materials for their insulating or dielectric properties mainly consisting of organic substances
    • H01B3/30Insulators or insulating bodies characterised by the insulating materials; Selection of materials for their insulating or dielectric properties mainly consisting of organic substances plastics; resins; waxes
    • H01B3/44Insulators or insulating bodies characterised by the insulating materials; Selection of materials for their insulating or dielectric properties mainly consisting of organic substances plastics; resins; waxes vinyl resins; acrylic resins
    • H01B3/443Insulators or insulating bodies characterised by the insulating materials; Selection of materials for their insulating or dielectric properties mainly consisting of organic substances plastics; resins; waxes vinyl resins; acrylic resins from vinylhalogenides or other halogenoethylenic compounds
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01BCABLES; CONDUCTORS; INSULATORS; SELECTION OF MATERIALS FOR THEIR CONDUCTIVE, INSULATING OR DIELECTRIC PROPERTIES
    • H01B5/00Non-insulated conductors or conductive bodies characterised by their form
    • H01B5/08Several wires or the like stranded in the form of a rope
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01BCABLES; CONDUCTORS; INSULATORS; SELECTION OF MATERIALS FOR THEIR CONDUCTIVE, INSULATING OR DIELECTRIC PROPERTIES
    • H01B7/00Insulated conductors or cables characterised by their form
    • H01B7/17Protection against damage caused by external factors, e.g. sheaths or armouring
    • H01B7/18Protection against damage caused by wear, mechanical force or pressure; Sheaths; Armouring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Abstract

본 발명은 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 및 유형 분류, 심각도 판정 및 경보를 수행하는 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 시스템 및 방법에 관한 것으로, 인터넷 웜을 트래픽의 다양한 특성으로 분류한 특성 프로파일을 정의하고, 정의된 트래픽과 수집된 트래픽의 유사도 비교 방법으로 인터넷 웜 트래픽을 탐지하고, 인터넷 웜의 유형을 분류하며, 심각도 판정 및 경보를 수행하게 함으로써, 기존 룰 기반으로 탐지되지 않는 대부분의 웜들에 대한 탐지의 효율성을 증대시키고 관련 웜의 위험도 수준의 정량화를 통한 단계적인 대응 및 예·경보를 통하여 통신망 전체의 생존성을 높여주고 대량의 정보를 효과적으로 파악 하게 할 수 있다.
인터넷 웜, 트래픽 탐지,

Description

유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 시스템 및 방법{SYSTEM AND METHOD FOR DETECTING INTERNET WORM TRAFFIC BY CLUSTERING TRAFFIC CHARACTERIZATION CLASSIFIED BY TYPE}
도 1은 본 발명의 실시 예에 따른 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 시스템의 전체 구성을 나타내는 구성도,
도 2는 본 발명의 실시 예에 따른 사전 정의된 인터넷 웜 트래픽의 특성 프로파일을 시스템이 설치되는 기관 또는 위치에 맞게 초기에 조정하는 과정을 나타내는 순서도,
도 3은 본 발명의 실시 예에 따른 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 시스템의 동작 과정을 나타내는 순서도이다.
<도면의 주요부분에 대한 부호의 설명>
100 : 트래픽 수집 및 종합부 200 : 트래픽 특성 벡터 생성부
210 : 트래픽 특성 벡터 300 : 유사도 분석부
310 : 웜 트래픽 특성 프로파일 400 : 트래픽 유형 결정부
500 : 심각도 판정부 600 : 대응 및 경보 수행부
본 발명은 인터넷 웜(일반적으로 ‘웜’이라고도 함) 탐지에 관한 것으로, 더욱 상세하게는 웜의 원인을 통하여 탐지되는 기존의 방법에서 벗어나 웜의 분석 결과를 통한 탐지 방법을 적용하여 다양한 변종에 대하여도 적절하게 대응 할 수 있는 트래픽 특성 분류를 통해 인터넷 웜 트래픽 탐지 및 유형(type) 분류, 심각도 판정 및 경보를 수행하는 시스템 및 방법에 관한 것이다.
인터넷의 급속한 성장은 많은 편리성을 제공함과 동시에 많은 문제점을 포함하고 있으며, 가장 큰 문제 영역으로 보안 영역이 대두되고 있는 추세이다. 현재 인터넷 상의 많은 시스템들이 공격의 대상이 되고 있으며, 인터넷을 통한 침입은 해커의 직접적인 침입도 있지만 인터넷 웜과 같이 시스템에 위해를 가하는 자동화된 침입도 있다.
인터넷 웜은 스스로 자신을 복제하여 네트워크 상에 연결된 다른 컴퓨터들로 스스로 자신을 전송하는 프로그램이다. 이러한 인터넷 웜을 포함한 인터넷을 통한 침입 행위(intrusion behavior)를 탐지하기 위한 모델로는 오용 침입(misuse intrusion) 탐지와 비정상침입(abnormal intrusion) 탐지 모델로 분류되고 있다.
오용 침입 탐지 모델은 패턴 기반으로 침입을 탐지하는 모델로서 침입탐지 시스템(IDS: Intrusion Detection System)이나 웜·바이러스 백신들이 사용하는 탐지 모델이다. 이러한 오용 침입 탐지 모델은 패턴 기반으로 침입을 탐지함으로써 새로운 침입이나 인터넷 웜에 대해서는 사고 발생 후 분석이 완료되어 새로운 패턴이 업데이트 되어야 탐지를 할 수 있는 단점이 있다.
비정상침입 탐지 모델에서는 적절한 알고리즘을 이용하여 정상 행위 패턴에 대한 모델을 생성하고, 그 모델과 벗어나는 행위 패턴에 대해 자동적으로 탐지한다. 이 방식은 알려지지 않은 공격이나 새로운 웜 또는 변형된 웜의 공격을 탐지할 수 있는 장점이 있지만, 지금까지 학습되지 않은 새로운 패턴인 공격 행위가 아닌 정상 행동 패턴에 대해서도 공격으로 잘못 탐지할 수 있다는 단점이 있다. 이러한 비정상행위 탐지 모델은 크게 예측모형과 설명모형으로 나눌 수 있다. 예측모형에서는 학습을 위한 정상 데이터 셋이 제공된 후에, 학습을 거쳐 제시되는 데이터 셋이 정상인지 비정상인지 판별하는 것을 목적으로 하고 있으며, 예측모형에 영향을 끼친 기법으로는 ADAM, PHAD, NIDES, 인공지능, 정보이론수치학(information theoretic measures), 네트워크 활동 모델(network activity models) 등이 있다. 예측모형과 달리 설명모형은 학습데이터에 대한 어떠한 사전 정보 없이 비정상행위 패턴을 탐지하는 것을 목적으로 하고 있으며, 설명 모형은 통계적 접근 방식, 클러스터링, 이상치(outlier) 탐지 기법, 상태기계(state machine) 등에 이론적 근거를 두고 있다.
현재까지의 인터넷 웜의 탐지 및 변형된 인터넷 웜의 탐지 방법은 오용 침입 탐지 모델을 이용하여 이미 알려진 룰 및 패턴에 의해 침입을 탐지하는 방법을 취하고 있다. 이 방법은 새로운 웜이나 변형된 웜이 발생한 후, 해당 웜의 샘플이 수집되어 분석된 다음, 탐지 가능한 패턴으로 확립되어야 탐지할 수 있는 단점이 있 다. 이러한 오용 침입 탐지 모델은 알려진 패턴을 사용함으로써 간단하고 정확도가 높은 반면 새로운 웜이나 변형된 웜을 탐지할 수 없어 정해진 패턴 없이 새로 발생하거나 또는 변형된 인터넷 웜을 탐지하는 방법의 필요성이 대두 되었다.
또한, 비정상침입 탐지 모델을 통한 인터넷 웜의 탐지는 네트워크의 트래픽 통계적 특성을 활용하는 등의 특정 패턴을 이용하지 않음으로써 인터넷 웜에 대한 비패턴 탐지도 부분적으로 이루어지며, 새로운 웜·바이러스나 침입에 대해서 대응할 수 있지만, 아직 네트워크 트래픽의 이상탐지를 연구하는 등의 연구 초기단계에 머물러 있다.
따라서, 웜·바이러스나 침입을 탐지한 후, 인터넷 웜에 대한 조기 경보 및 이에 대한 대응은 전체 네트워크의 망의 생존성을 위한 예방적인 대응으로 매우 중요한 역할을 차지한다. ISC(Internet storm center)의 지원팀은 자동화된 분석도구와 시각화 도구를 사용하여 데이터베이스로 유입되는 데이터를 감시하며, 전역적 공격들에 해당하는 활동을 검색한다. 그들은 자신들이 발견한 징후를 ISC의 주 웹사이트를 통해 인터넷 공동체(Internet community)에 알리거나 직접 ISP들에게 혹은 뉴스그룹이나 공개 정보공유 포럼에 메일과 게시물을 통해 알리고 있다. 그러나 이러한 예·경보들은 자동화된 방법이라기보다는 피해상황에 대한 사람들의 보고를 통한 예·경보 방법이며 다분히 공격이 발생한 이후에 경보 및 대응을 발생하는 시스템으로 아직 많은 개선이 필요하다.
따라서, 본 발명의 목적은 상기한 종래 기술의 문제점을 해결하기 위해 이루어진 것으로, 본 발명의 목적은 인터넷 웜을 트래픽의 다양한 특성으로 분류한 특성 프로파일로 정의하고, 정의된 트래픽과 수집된 트래픽의 유사도 비교를 통해 인터넷 웜 트래픽을 탐지하고, 인터넷 웜의 유형(type)을 분류하며, 심각도 판정 및 경보를 수행하는 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 시스템을 제공하는 것이다.
한편, 본 발명의 다른 목적은 다양한 인터넷 웜에 대하여 그룹화를 수행하고, 그룹별로 인터넷 웜의 트래픽 특성을 다양한 통계 방법, 정보이론수치학 등의 방법을 통하여 특성 벡터를 정의한 웜 트래픽 특성 프로파일을 구성하고, 정해진 일정기간 수집된 트래픽에 대한 특성 벡터를 생성하여, 사전 정의된 그룹의 특성 벡터와 유사도 비교를 수행한 후 가장 높은 유사도를 가지는 트래픽 유형을 결정하며, 결정된 트래픽 유형의 유사도 점수에 따라서 정상에서 심각까지의 사전 정의된 심각도 점수 범위에 따라서 심각도를 판정하며, 결정된 트래픽 유형의 심각도 등급에 따른 대응 방안을 제공하고 경보를 수행하도록 함으로써, 새로이 발생하는 웜이나 변형된 웜에 대해서 정해진 패턴 없이 탐지하여 웜의 특성과 심각 정도 및 그에 따른 단계적 대응 방안을 제시하고 경보를 수행하는 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 방법을 제공하는 것이다.
상기와 같은 목적을 달성하기 위한 본 발명의 트래픽 특성 분류를 통한 인터넷 웜 트래픽 유형 분류, 심각도 판정 및 경보를 수행하는 인터넷 웜 트래픽 탐지 시스템은, 일정기간 네트워크 트래픽을 수집하고 분석하여 저장하는 트래픽 수집 및 종합부, 상기 일정기간 수집된 트래픽으로부터 특성 필터를 이용하여 트래픽 특성 벡터를 생성하는 트래픽 특성 벡터 생성부, 상기 생성된 트래픽 특성 벡터와 사전 정의된 웜 트래픽 특성 프로파일의 각 유형과의 유사도 점수를 생성하는 유사도 분석부, 상기 생성된 유사도 점수를 이용하여 상기 사전 정의된 웜 트래픽 특성 프로파일의 유형과 가장 근접한 트래픽 유형을 결정하는 트래픽 유형 결정부, 상기 결정된 트래픽 유형의 유사도 점수를 사전 정의된 심각도 판정 점수 범위와 비교하여 심각도 등급을 판정하는 심각도 판정부 및 상기 판정 결과에 따른 대응 및 경보를 수행하는 대응 및 경보 수행부를 포함하여 이루어진 것을 특징으로 한다.
한편, 본 발명의 트래픽 특성 분류를 통한 인터넷 웜 트래픽 유형 분류, 심각도 판정 및 경보를 수행하는 인터넷 웜 트래픽 탐지 방법은, 사전에 인터넷 웜에 대한 그룹화를 수행하여 그룹별로 트래픽 특성 벡터를 정의한 웜 트래픽 특성 프로파일을 구성하는 단계, 일정기간 수집한 트랙픽에 대한 특성 벡터를 생성하여 사전 정의된 그룹별 트래픽 특성 벡터와 유사도 비교를 수행하여 가장 높은 유사도 점수를 가지는 웜 트래픽 유형을 결정하는 단계, 상기 결정된 트래픽 유형의 유사도 점수에 대해 정상에서 심각까지의 사전 정의된 심각도 판정 등급별 기준 점수와 비교하여 심각도를 판정하는 단계, 상기 결정된 트래픽 유형의 심각도 등급에 대한 대 응 방안을 제공하고, 사용자 경보의 유무를 판단하는 단계 및 상기 판단결과, 사용자 경보가 필요할 경우, 사전 정의된 웜 트래픽 유형 및 위험 등급별 대응 방안을 수행하고, 경보 수단을 통하여 관리자에게 경보를 수행하는 단계를 포함하여 이루어진 것을 특징으로 한다.
한편, 본 발명의 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 방법은 먼저 사전 정의된 웜 트래픽 특성 프로파일의 유형별 특성 벡터를 조정하여 설치기간에 맞도록 초기 조정하는 단계를 포함하여 이루어진 것을 특징으로 한다.
또한, 웜 트래픽 특성 프로파일을 초기 조정하는 단계는, 패킷을 수집하고 수집된 패킷의 헤더를 분석하여 트래픽 기본 정보를 생성하는 단계, 상기 생성된 트래픽 기본 정보를 트래픽 기본 정보 데이터베이스에 저장하는 단계, 상기 수집된 트래픽 기본 정보를 이용하여 유형별 트래픽 특성 값을 생성하여 특성값 데이터베이스에 저장하는 단계, 웜 트래픽 특성 프로파일 생성기간이 완료되었는지 판단하고, 판단결과 웜 트래픽 특성 프로파일 생성기간이 완료된 경우, 상기 특성값 데이터베이스를 이용하여 설치 기관의 평시 트래픽에 대한 특성값 프로파일을 생성하는 단계 및 설치 기관의 평시 트래픽의 특성값을 이용하여 상기 저장된 유형별 트래픽 특성 값을 조정하여 웜 트래픽 특성 프로파일을 구성하는 단계로 이루어진 것을 특징으로 한다.
따라서, 본 발명의 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 시스템 및 방법은 인터넷 웜이 유발하는 트랙픽 특성을 그룹화하고 향후 발생하는 웜이 유발하는 트래픽의 특성과 그룹화된 트래픽의 특성을 유사도 분석을 통해서 어떠한 그룹과 연관되는지를 판단하고, 결정된 그룹과의 유사도 점수를 통해서 해당 트래픽의 정상 또는 심각도를 정량화하여 판정하며, 사전 정의된 각 그룹별 대응방안에 따라서 적절한 대응을 수행하며, 관리자에게 단문메시지, 전자메일, 스크린 팝업 등을 통해서 심각도를 알려줌으로써, 기존 룰 기반으로 탐지되지 않는 많은 웜들에 대한 탐지의 효율성을 증대시키고 관련 웜의 위험도 수준의 정량화를 통한 단계적인 대응 및 예·경보를 통하여 통신망 전체의 생존성을 높여주고 대량의 정보를 효과적으로 파악할 수 있다.
이하, 본 발명에 따른 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 및 유형 분류, 심각도 판정 및 경보를 수행하는 인터넷 웜 트래픽 탐지 시스템 및 방법에 대하여 도면을 참조하여 상세히 설명하기로 한다.
도 1은 본 발명의 실시 예에 따른 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 및 유형 분류, 심각도 판정 및 경보를 수행하는 시스템의 전체 구성이 도시되어 있다.
도 1에 도시된 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 및 유형 분류, 심각도 판정 및 경보를 수행하는 시스템은 기관의 인터넷과 접속되는 지점에서 스위치의 미러링이나 탭 장비를 이용하여 연결되거나 또는 호스트 기반의 탐지를 위해서 특정 호스트에 위치할 수 있다.
트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 및 유형 분류, 심각도 판정 및 경보를 수행하는 시스템은 트래픽 수집 및 종합부(100), 트래픽 특성 벡터 생성부(200), 유사도 분석부(300), 트래픽 유형 결정부(400), 심각도 판정부(500), 대 응 및 경보 수행부(600)로 구성된다.
본 발명의 트래픽 수집 및 종합부(100)는 네트워크 트래픽의 다양한 기본 정보들인 근원지 IP, 목적지 IP, 근원지 포트, 목적지 포트, 패킷 길이, 프로토콜, 플래그 정보 등의 기본 정보를 수집하고 이를 데이터베이스로 저장하여 트래픽 특성 벡터 생성부(200)에서 분석에 활용하도록 지원한다.
트래픽 특성 벡터 생성부(200)는 트래픽 수집 및 종합부(100)에서 수집된 일정 기간의 트래픽 기본 정보를 이용하여 다양한 특성 필터(201)를 적용하여 특성 값(211)을 생성하며, 생성된 특성 값을 포함하는 트래픽 특성 벡터(210)를 생성한다. 특성 필터(201)는 필요시 추가하거나 삭제할 수 있으며, 그에 따라서 트래픽 특성 벡터(210)도 변하게 된다.
트래픽 특성 벡터 생성부(200)에서는 기존의 근원지 주소 IP 패킷의 수, 목적지 주소 IP 패킷의 수, 근원지 포트 패킷의 수, 목적지 포트 패킷의 수 등의 단순한 통계치뿐만 아니라 정보공학이론의 엔트로피, 패킷 길이의 분포 통계 등의 복잡한 수준의 특성 값을 추출할 수 있는 특성 필터를 적용할 수 있다. 엔트로피에는 다양한 기본 특성, 근원지 주소 IP의 엔트로피, 목적지 주소 IP의 엔트로피, 근원지 포트의 엔트로피, 목적지 포트의 엔트로피, 근원지 IP 주소-목적지 IP 주소 엔트로피, 패킷 길이의 엔트로피, 프로토콜별 엔트로피, 기본 특성의 복합적인 결합에 대한 엔트로피 등의 기본 특성을 기준으로 구성할 수 있다. 이러한 특성 필터는 적용 환경이나 기술의 변화에 따라서 추가 및 삭제를 수행할 수 있으며 이로 인하여 환경과 기술의 변화에 적응할 수 있도록 제공된다.
유사도 분석부(300)는 생성된 트래픽 특성 벡터(210)와 웜 트래픽 특성 프로파일(310) 내에 사전 정의된 각각의 웜 유형(Type)별 특성 벡터(311)를 다양한 유사도 분석 기법을 적용하여 두 벡터 사이의 유사도 값을 생성한다. 유사도 분석에 적용되는 방법은 코사인 유사도 분석, Jaccard 유사도 분석, 유사도 거리 분석 방법 등의 다양한 방법이 적용가능하다. 유사도 분석부(300)를 통해서 사전 정의된 각각의 웜 유형별로 유사도 값이 한 가지씩 생성된다.
트래픽 유형 결정부(400)는 사전 정의된 웜 유형별로 구한 유사도(401) 점수 중에서 트래픽 특성 벡터(210)와 가장 유사한 웜 트래픽 유형의 점수(402)를 선택한다.
심각도 판정부(500)는 트래픽 특성 벡터(210)와 선택된 웜 트래픽 유형과의 유사도 점수(402)를 사전 정의된 심각도 유형들(501)에 정의된 유사도 점수의 범위와 비교를 통하여 현재 선택된 트래픽 유형의 유사도 점수의 심각도를 판정한다.
대응 및 경보 수행부(600)는 트래픽 유형 결정부(400)에서 선택된 웜 트래픽 유형과 심각도 판정부(500)에서 판정된 심각도에 따라서 선택된 웜 트래픽 유형의 판정된 심각도에 해당하는 사전 정의된 유형별 대응방안(601)에 따른 대응을 수행하고, 화면 팝업(602), 전자메일(603), 단문 메시지(604)를 통해서 경보를 수행한다.
도 2는 본 발명의 실시 예에 따른 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 및 유형 분류, 심각도 판정 및 경보를 수행하는 시스템의 사전 정의된 인터넷 웜 트래픽의 특성 프로파일을 시스템이 설치되는 기관 또는 위치에 맞게 초기 에 조정하는 과정을 나타내는 순서도이다.
사전 정의된 인터넷 웜 트래픽의 특성 프로파일을 시스템이 설치되는 기관 또는 위치에 맞게 초기에 조정하는 과정은 패킷을 수집(S201)하고 수집된 패킷의 헤더를 분석(S202)하여 트래픽 기본 정보를 생성하고, 생성된 트래픽 기본 정보를 기본 정보 데이터베이스(S204)에 저장(S203)하며, 정해진 일정 주기별로 해당 주기동안 수집된 트래픽 기본 정보를 이용하여 특성 값을 생성하여 특성값 데이터베이스(S206)에 저장(S205)한다. 이 과정은 정해진 초기 웜 트래픽 특성 프로파일 생성 기간 동안 반복되어 수행(S207)되면서 특성값을 생성하여 데이터베이스에 저장한다.
초기 웜 트래픽 특성 프로파일 생성이 완료되면(S207, Yes), 특성값 데이터베이스(S206)를 이용하여 설치 기관의 평시 트래픽에 대한 특성값 프로파일을 생성(S208)하고, 사전 정의된 트래픽 유형(Type)별로 평시 트래픽 특성값을 이용하여 특성값을 조정(S209)하게 된다. 특성값 조정은 사전 정의된 모든 웜 트래픽 유형(Type)에 대해서 적용함으로써 웜 트래픽 특성 프로파일을 구성(S210)하게 된다. 초기 웜 트래픽 특성 프로파일 생성이 완료되지 않으면(S207, No), 패킷 수집단계로 리턴하여 웜 트래픽 특성 프로파일 생성이 완료될 때까지 과정을 반복한다.
도 3은 본 발명의 실시 예에 따른 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 및 유형 분류, 심각도 판정 및 경보를 수행하는 시스템의 동작 과정을 나타내는 순서도이다.
도 2와 같이 초기 조정된 웜 트래픽 특성 프로파일을 이용하여 인터넷 웜 트 래픽의 탐지 및 유형 분류, 심각도 판정 및 경보를 수행하기 위해서, 트래픽 수집 및 종합부(100)에서 패킷을 수집(S301)하고, 패킷의 헤더를 분석(S302)하여 트래픽 기본 정보를 생성 및 데이터베이스에 저장(S303)한다. 이 과정은 분석을 수행하기 위한 정해진 일정 시간동안 반복적으로 수행(S304)되며, 일정시간 수집이 완료되면 트래픽 기본 정보 데이터베이스(S312)에 저장된 트래픽 기본 정보를 이용하여 필터별 트래픽 특성값을 계산(S305)하여 트래픽 특성 벡터를 생성(S306)한다.
생성된 트래픽 특성 벡터와 사전 정의된 웜 트래픽 특성 프로파일(S313)의 각 유형(Type)별로 유사도 분석을 수행을 통해 유사도를 비교(S307)하여 유사도 값을 생성하고, 생성된 유사도 값을 이용하여 가장 유사한 웜 트래픽 유형을 결정(S308)하고, 사전 정의된 트래픽 심각도 판정 등급별 기준(S314)과의 비교를 통해서 트래픽의 위험 등급을 결정(S309)한다.
결정된 위험 등급에 해당 트래픽에 대한 대응 방안을 적용하여 사용자 경보가 필요한지 판단(S310)을 통해서 필요한 경우(Yes), 해당 과정을 수행하며, 그렇지 않은 경우(No) 정상 트래픽으로 간주한다. 즉, 대응 및 경보 수행이 필요하다고 판단된 경우(Yes), 사전 정의된 웜 트래픽 유형 및 위험 등급별 대응 방안을 수행하고, 화면 팝업, 전자메일, 단문 메시지 등의 경보 수단을 통하여 관리자에게 경보(S311)를 수행하고, 그렇지 않은 경우(No) 정상 트래픽으로 간주하여 작업을 종료한다.
이와 같이 본 발명은 인터넷 웜의 탐지를 위해서 트래픽 특성을 추출한 특성 벡터를 이용함으로써 새로이 발생하거나 변형된 웜을 탐지할 수 있으며, 유사도 분 석을 통해서 트래픽 유형을 결정함으로써 해당 웜이 가지는 특성을 파악할 수 있으며, 특성 벡터들의 유사도 점수로써 심각도를 판정함으로써 위험의 정도를 계량화하여 제공할 수 있으며, 그룹화된 웜 트래픽 특성에 따른 대응방안을 단계적으로 제공함으로써 해당 위협의 확산에 대해서 단계적으로 대응할 수 있다.
이상에서 몇 가지 실시예를 들어 본 발명을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것이 아니고 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형실시될 수 있다.
상술한 바와 같이, 본 발명에 의한 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 및 유형 분류, 심각도 판정 및 경보를 수행하는 시스템 및 방법은, 정해진 패턴 없이 웜 트래픽을 트래픽 특성별로 군집화하여 그룹으로 나누고, 각 그룹별로 트래픽 특성을 나타내는 트래픽 특성 벡터를 정의하여, 새로운 트래픽의 특성 벡터와의 유사도 비교를 통하여 해당 트래픽의 유형을 정의하고, 그 심각도를 정량적으로 표현함으로써 심각도에 따른 적절한 대응 조치 및 관리자 경보를 수행함으로써, 기존 룰 기반으로 탐지되지 않는 새로이 나타나거나 변형된 웜 트래픽을 탐지할 수 있으며, 탐지된 웜 트래픽의 유형을 트래픽 특성으로 판단함으로써 해당 웜이 나타낼 영향을 사전에 파악하여 대응할 수 있으며, 심각도를 유사도 점수와 사전 정의된 심각도 등급에 따라 결정함으로써 해당 웜 트래픽의 위험 수준을 정량적으로 제공할 수 있어 단계적인 대응 및 예·경보를 통하여 통신망 전체의 생존성을 높여주고 대량의 정보를 효과적으로 파악할 수 있다.

Claims (11)

  1. 일정기간 네트워크 트래픽을 수집하고 분석하여 저장하는 트래픽 수집 및 종합부;
    상기 일정기간 수집된 트래픽으로부터 특성 필터를 이용하여 트래픽 특성 벡터를 생성하는 트래픽 특성 벡터 생성부;
    상기 생성된 트래픽 특성 벡터와 사전 정의된 웜 트래픽 특성 프로파일의 각 유형과의 유사도 점수를 생성하는 유사도 분석부;
    상기 사전 정의된 웜 트래픽 특성 프로파일의 유형에 대해 생성된 유사도 점수를 이용하여 트래픽 유형을 결정하는 트래픽 유형 결정부;
    상기 결정된 트래픽 유형의 유사도 점수를 사전 정의된 심각도 판정 점수 범위와 비교하여 심각도 등급을 판정하는 심각도 판정부; 및
    상기 판정 결과에 따른 대응 및 경보를 수행하는 대응 및 경보 수행부
    를 포함하여 구성되는 것을 특징으로 하는 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 시스템.
  2. 제 1항에 있어서, 상기 트래픽 수집 및 종합부는,
    네트워크 트래픽의 다양한 기본 정보들인 근원지 IP, 목적지 IP, 근원지 포트, 목적지 포트, 패킷 길이, 프로토콜, 플래그 정보를 포함한 기본 정보를 수집하고, 데이터베이스에 저장하여 상기 트래픽 특성 벡터 생성부에서 분석에 활용하도 록 지원하는 것을 특징으로 하는 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 시스템.
  3. 제 1항에 있어서, 상기 트래픽 특성 벡터 생성부는,
    특성 필터의 추가 또는 삭제가 가능하며, 일정시간 수집된 트래픽 정보를 이용하여 근원지 IP 주소, 목적지 IP 주소, 근원지 포트 번호, 목적지 포트 번호, 패킷 길이, 프로토콜, 패킷의 플래그, 근원지 IP 주소-목적지 IP 주소를 포함하는 단순 통계치 및 단순 통계 항목에 대한 엔트로피를 특성 값으로 생성하는 것을 특징으로 하는 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 시스템.
  4. 제 1항에 있어서, 상기 유사도 분석부는,
    코사인 유사도, Jaccard 유사도를 포함하는 다양한 유사도 분석 방법에 의해서 유사도를 계산하는 것을 특징으로 하는 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 시스템.
  5. 제 1항에 있어서, 상기 대응 및 경보 수행부는,
    상기 트래픽 유형 결정부에서 결정된 웜 트래픽 유형별로 상기 심각도 판정부에서 결정된 심각도 등급에 해당하는 대응 방안을 수행하고, 관리자에게 화면 팝업, 전자메일, 단문 메시지를 통해 경보를 알리는 것을 특징으로 하는 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 시스템.
  6. 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 및 유형 분류, 심각도 판정 및 경보를 수행하는 방법에 있어서,
    사전에 인터넷 웜에 대한 그룹화를 수행하여 그룹별로 트래픽 특성 벡터를 정의한 웜 트래픽 특성 프로파일을 구성하는 단계;
    일정기간 수집한 트랙픽에 대한 특성 벡터를 생성하여 사전 정의된 그룹별 트래픽 특성 벡터와 유사도 비교를 수행하여 가장 높은 유사도 점수를 가지는 웜 트래픽 유형을 결정하는 단계;
    상기 결정된 트래픽 유형의 유사도 점수에 대해 정상에서 심각까지의 사전 정의된 심각도 판정 등급별 기준 점수와 비교하여 심각도를 판정하는 단계;
    상기 결정된 트래픽 유형의 심각도 등급에 대한 대응 방안을 제공하고, 사용자 경보의 유무를 판단하는 단계; 및
    상기 사용자 경보의 유무 판단결과, 사용자 경보가 필요할 경우, 사전 정의된 웜 트래픽 유형 및 위험 등급별 대응 방안을 수행하고, 경보 수단을 통하여 관리자에게 경보를 수행하는 단계
    를 포함하여 이루어지는 것을 특징으로 하는 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 방법.
  7. 제 6항에 있어서, 상기 사용자 경보의 유무 판단결과, 사용자 경보가 필요 없는 경우,
    정상 트래픽으로 간주하는 것을 특징으로 하는 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 방법.
  8. 제 6항에 있어서,
    사전 정의된 웜 트래픽 특성 프로파일의 유형별 특성 벡터를 조정하여 설치기간에 맞도록 초기 조정하는 단계를 포함하는 것을 특징으로 하는 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 방법.
  9. 제 8항에 있어서, 상기 웜 트래픽 특성 프로파일을 초기 조정하는 단계는,
    패킷을 수집하고 수집된 패킷의 헤더를 분석하여 트래픽 기본 정보를 생성하는 단계;
    상기 생성된 트래픽 기본 정보를 트래픽 기본 정보 데이터베이스에 저장하는 단계;
    상기 수집된 트래픽 기본 정보를 이용하여 유형별 트래픽 특성 값을 생성하여 특성값 데이터베이스에 저장하는 단계;
    웜 트래픽 특성 프로파일 생성기간이 완료되었는지 판단하고, 판단결과 웜 트래픽 특성 프로파일 생성 기간이 완료된 경우, 상기 특성값 데이터베이스를 이용 하여 설치 기관의 평시 트래픽에 대한 특성값 프로파일을 생성하는 단계; 및
    설치 기관의 평시 트래픽의 특성값을 이용하여 상기 저장된 유형별 트래픽 특성 값을 조정하여 웜 트래픽 특성 프로파일을 구성하는 단계
    를 포함하여 이루어지는 것을 특징으로 하는 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 방법.
  10. 제 9항에 있어서, 상기 판단 결과, 웜 트래픽 특성 프로파일 생성기간이 완료되지 않은 경우,
    상기 패킷 수집 단계로 리턴하여 웜 트래픽 특성 프로파일 생성기간이 완료될 때까지 정해진 일정 시간동안 반복적으로 수행하는 것을 특징으로 하는 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 방법.
  11. 제 9항에 있어서, 상기 평시 트래픽 특성은,
    설치되는 기관의 트래픽의 특성을 일정기간 동안 운영한 결과로서의 트래픽 특성을 나타내는 것을 특징으로 하는 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지 방법.
KR1020060026267A 2006-03-22 2006-03-22 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지시스템 및 방법 KR20070095718A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020060026267A KR20070095718A (ko) 2006-03-22 2006-03-22 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지시스템 및 방법
US11/453,448 US20070226803A1 (en) 2006-03-22 2006-06-15 System and method for detecting internet worm traffics through classification of traffic characteristics by types

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060026267A KR20070095718A (ko) 2006-03-22 2006-03-22 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20070095718A true KR20070095718A (ko) 2007-10-01

Family

ID=38535193

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060026267A KR20070095718A (ko) 2006-03-22 2006-03-22 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지시스템 및 방법

Country Status (2)

Country Link
US (1) US20070226803A1 (ko)
KR (1) KR20070095718A (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100942798B1 (ko) * 2007-11-29 2010-02-18 한국전자통신연구원 악성코드 탐지장치 및 방법
KR101123845B1 (ko) * 2010-04-30 2012-03-19 시큐아이닷컴 주식회사 통계 시그니쳐 생성 장치 및 방법
KR101253078B1 (ko) * 2011-06-07 2013-04-10 (주)소만사 스마트폰 개인정보 오남용 위험성 평가 및 보호 방법
KR101329141B1 (ko) * 2007-07-10 2013-11-21 더 리젠츠 오브 더 유니버시티 오브 미시건 컴퓨터 프로그램의 행동을 이용하여 악성 프로그램인지여부를 진단하는 장치 및 방법
US9473531B2 (en) 2014-11-17 2016-10-18 International Business Machines Corporation Endpoint traffic profiling for early detection of malware spread
US20170004306A1 (en) * 2015-06-30 2017-01-05 Iyuntian Co., Ltd. Method, apparatus and terminal for detecting a malware file

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7603711B2 (en) * 2002-10-31 2009-10-13 Secnap Networks Security, LLC Intrusion detection system
US8369212B2 (en) * 2006-08-29 2013-02-05 Hewlett-Packard Development Company, L.P. Network path validation based on user-specified criteria
US9026638B2 (en) * 2007-02-05 2015-05-05 Novell, Inc. Stealth entropy collection
US8904530B2 (en) * 2008-12-22 2014-12-02 At&T Intellectual Property I, L.P. System and method for detecting remotely controlled E-mail spam hosts
CN103023801B (zh) * 2012-12-03 2016-02-24 复旦大学 一种基于流量特征分析的网络中间节点缓存优化方法
CN107251037B (zh) * 2015-02-20 2021-02-12 日本电信电话株式会社 黑名单生成装置、黑名单生成系统、黑名单生成方法和记录介质
US9979748B2 (en) * 2015-05-27 2018-05-22 Cisco Technology, Inc. Domain classification and routing using lexical and semantic processing
US9407652B1 (en) * 2015-06-26 2016-08-02 Palantir Technologies Inc. Network anomaly detection
US10834214B2 (en) 2018-09-04 2020-11-10 At&T Intellectual Property I, L.P. Separating intended and non-intended browsing traffic in browsing history
US11368470B2 (en) * 2019-06-13 2022-06-21 International Business Machines Corporation Real-time alert reasoning and priority-based campaign discovery
CN111404835B (zh) * 2020-03-30 2023-05-30 京东科技信息技术有限公司 流量控制方法、装置、设备及存储介质
CN112383544B (zh) * 2020-11-13 2023-03-24 西安热工研究院有限公司 适用于电力scada的基于业务行为画像的反爬虫方法
US20220303227A1 (en) * 2021-03-17 2022-09-22 At&T Intellectual Property I, L.P. Facilitating identification of background browsing traffic in browsing history data in advanced networks
CN117395183B (zh) * 2023-12-13 2024-02-27 成都安美勤信息技术股份有限公司 一种工业物联网异常流量分级检测方法和系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7634813B2 (en) * 2004-07-21 2009-12-15 Microsoft Corporation Self-certifying alert
US8161554B2 (en) * 2005-04-26 2012-04-17 Cisco Technology, Inc. System and method for detection and mitigation of network worms
JP2007013343A (ja) * 2005-06-28 2007-01-18 Fujitsu Ltd ワーム検出パラメータ設定プログラム及びワーム検出パラメータ設定装置
US7971256B2 (en) * 2005-10-20 2011-06-28 Cisco Technology, Inc. Mechanism to correlate the presence of worms in a network

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101329141B1 (ko) * 2007-07-10 2013-11-21 더 리젠츠 오브 더 유니버시티 오브 미시건 컴퓨터 프로그램의 행동을 이용하여 악성 프로그램인지여부를 진단하는 장치 및 방법
KR100942798B1 (ko) * 2007-11-29 2010-02-18 한국전자통신연구원 악성코드 탐지장치 및 방법
KR101123845B1 (ko) * 2010-04-30 2012-03-19 시큐아이닷컴 주식회사 통계 시그니쳐 생성 장치 및 방법
KR101253078B1 (ko) * 2011-06-07 2013-04-10 (주)소만사 스마트폰 개인정보 오남용 위험성 평가 및 보호 방법
US9473531B2 (en) 2014-11-17 2016-10-18 International Business Machines Corporation Endpoint traffic profiling for early detection of malware spread
US9497217B2 (en) 2014-11-17 2016-11-15 International Business Machines Corporation Endpoint traffic profiling for early detection of malware spread
US20170004306A1 (en) * 2015-06-30 2017-01-05 Iyuntian Co., Ltd. Method, apparatus and terminal for detecting a malware file
KR20170003356A (ko) * 2015-06-30 2017-01-09 이윤티안 시오., 엘티디. 악성 취약점 파일을 검출하기 위한 방법, 장치 및 단말기
US10176323B2 (en) * 2015-06-30 2019-01-08 Iyuntian Co., Ltd. Method, apparatus and terminal for detecting a malware file

Also Published As

Publication number Publication date
US20070226803A1 (en) 2007-09-27

Similar Documents

Publication Publication Date Title
KR20070095718A (ko) 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지시스템 및 방법
CN107154950B (zh) 一种日志流异常检测的方法及系统
JP6201614B2 (ja) ログ分析装置、方法およびプログラム
EP2953298B1 (en) Log analysis device, information processing method and program
EP2979425B1 (en) Method and apparatus for detecting a multi-stage event
US20120278890A1 (en) Intrusion detection in communication networks
CN110535702B (zh) 一种告警信息处理方法及装置
EP3465515B1 (en) Classifying transactions at network accessible storage
CN108040493A (zh) 利用低置信度安全事件来检测安全事故
Jiang et al. Anomaly detection via one class SVM for protection of SCADA systems
CN103441982A (zh) 一种基于相对熵的入侵报警分析方法
JP2007013343A (ja) ワーム検出パラメータ設定プログラム及びワーム検出パラメータ設定装置
CN101668012B (zh) 安全事件检测方法及装置
KR20150091775A (ko) 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템
KR101692982B1 (ko) 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템
CN113225358B (zh) 网络安全风险评估系统
JP2007081454A (ja) 異常検出システム,異常管理装置,異常管理方法,プローブおよびそのプログラム
Dhakar et al. A novel data mining based hybrid intrusion detection framework
CN112671767B (zh) 一种基于告警数据分析的安全事件预警方法及装置
CN109144023A (zh) 一种工业控制系统的安全检测方法和设备
CN113704328B (zh) 基于人工智能的用户行为大数据挖掘方法及系统
CN112905996A (zh) 基于多维度数据关联分析的信息安全溯源系统及方法
KR20080079767A (ko) 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법
KR101281460B1 (ko) 통계적 공정 관리도를 이용하여 이상증후를 탐지하는 방법
KR20100001786A (ko) 서포트 벡터 데이터 명세를 이용한 트래픽 폭주 공격 탐지방법, 그 장치 및 이를 기록한 기록 매체

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application