KR20100127591A - 응용프로그램의 네트워크 행동 시그니처 생성 장치, 수집 서버, 네트워크 행동 파악 시스템 및 네트워크 행동 시그니처 생성 방법 - Google Patents

응용프로그램의 네트워크 행동 시그니처 생성 장치, 수집 서버, 네트워크 행동 파악 시스템 및 네트워크 행동 시그니처 생성 방법 Download PDF

Info

Publication number
KR20100127591A
KR20100127591A KR1020090046093A KR20090046093A KR20100127591A KR 20100127591 A KR20100127591 A KR 20100127591A KR 1020090046093 A KR1020090046093 A KR 1020090046093A KR 20090046093 A KR20090046093 A KR 20090046093A KR 20100127591 A KR20100127591 A KR 20100127591A
Authority
KR
South Korea
Prior art keywords
signature
behavior
summary information
network
network behavior
Prior art date
Application number
KR1020090046093A
Other languages
English (en)
Other versions
KR101148705B1 (ko
Inventor
홍원기
정재윤
원영준
Original Assignee
포항공과대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 포항공과대학교 산학협력단 filed Critical 포항공과대학교 산학협력단
Priority to KR1020090046093A priority Critical patent/KR101148705B1/ko
Publication of KR20100127591A publication Critical patent/KR20100127591A/ko
Application granted granted Critical
Publication of KR101148705B1 publication Critical patent/KR101148705B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 응용프로그램의 네트워크 행동 시그니처 생성 장치, 수집 서버, 네트워크 행동 파악 시스템 및 네트워크 행동 시그니처 생성 방법에 관한 것으로, 응용프로그램들의 네트워크 행동 기반의 시그니처를 요약한 요약정보를 생성할 수 있으며, 시그니처 요약정보를 수집하여 응용프로그램의 행동적 특성을 반영하는 시그니처를 추출할 수 있고, 응용프로그램이 비정상적인 행동을 보일 경우에 이를 탐지 해 낼 수 있으며, 악의적인 행동을 하는 응용프로그램을 탐지하는 데에도 사용할 수 있는 이점이 있다.
네트워크 행동, 행동 시그니처, 시그니처 요약정보

Description

응용프로그램의 네트워크 행동 시그니처 생성 장치, 수집 서버, 네트워크 행동 파악 시스템 및 네트워크 행동 시그니처 생성 방법{SIGNATURE GENERATION APPARATUS FOR NETWORK BEHAVIOR OF APPLICATIONS, COLLECTION SERVER, DETECTION SYSTEM FOR NETWORK BEHAVIOR, AND SIGNATURE GENERATION METHOD FOR NETWORK BEHAVIOR}
본 발명은 응용프로그램의 네트워크 행동 파악에 관한 것으로서, 더욱 상세하게는 응용프로그램의 네트워크 행동을 파악하기 위한 네트워크 행동 시그니처 생성 장치, 수집 서버, 네트워크 행동 파악 시스템 및 네트워크 행동 시그니처 생성 방법에 관한 것이다.
현재 컴퓨터에서 사용하는 거의 모든 응용프로그램은 인터넷 등의 네트워크 자원을 사용하며, 수많은 응용프로그램의 트래픽이 네트워크를 돌아다니면서 그들이 의도하던 의도하지 않던 종종 여러 가지의 문제를 발생시킨다.
따라서, 네트워크 관리자는 점차 각각의 응용프로그램이 네트워크에 어떠한 영향을 끼치고 있으며 그 특성은 무엇인지에 대한 정보가 필요하게 되었다.
종래 기술에 의하면 패킷의 페이로드(payload)에서 추출한 시그니처(signature)를 기반으로 한 것이 대부분이었다. 시그니처는 어떤 트래픽 플로우(flow)가 어떤 인터넷 응용프로그램으로부터 발생하였는지를 알아내기 위한 식별자(identifier)로서, 트래픽 플로우를 구성하는 패킷의 페이로드로부터 추출되는 정보이다. 따라서 어떤 응용프로그램 A로부터 발생된 플로우 A-1, A-2, A-3, A-4, ... A-N 등이 그 2번째 패킷의 페이로드 네 번째 바이트 위치에 0x00ff00ff라는 옥텟(octet)값을 가지고 있고, N이 통계적으로 유의미한 수준에서 큰 값일 경우, 이 0x00ff00ff는 응용프로그램 A의 시그니처가 된다. 인터넷으로부터 수집된 트래픽 플로우의 두 번째 패킷의 네 번째 바이트 위치에 해당 옥텟값을 등장할 경우에 해당 플로우는 응용 프로그램 A로부터 발생한 것으로 결론지을 수 있기 때문이다.
하지만 이러한 종래 기술에 의하면 패킷의 페이로드를 모두 조사해 봐야 하는 부담이 있고, 이는 네트워크 최종 사용자가 원하지 않는 문제점이 있다. 또한 페이로드 시그니처를 기반으로 하여 응용프로그램의 행동적인 특성을 표현하는 데에는 한계가 있는 문제점이 있다.
본 발명은 이와 같은 종래 기술의 문제점을 해결하기 위해 제안한 것으로서, 응용프로그램들의 네트워크 행동 기반의 시그니처를 요약한 요약정보를 생성할 수 있는 시그니처 생성 장치를 제공한다.
그리고, 시그니처 요약정보를 수집하여 응용프로그램의 행동적 특성을 반영하는 시그니처를 추출하는 시그니처 수집 서버를 제공한다.
부가하여, 시그니처 생성 장치와 시그니처 수집 서버를 채용하여 응용프로그램의 네트워크 행동을 파악할 수 있는 네트워크 행동 파악 시스템을 제공한다.
또한, 시그니처 생성 장치가 응용프로그램들의 네트워크 행동 기반의 시그니처를 요약한 요약정보를 생성하는 네트워크 행동 시그니처 생성 방법을 제공한다.
본 발명의 제 1 실시예로서 응용프로그램의 네트워크 행동 파악 시스템은, 응용프로그램의 네트워크 행동에 대응하는 시그니처 요약정보를 제공하는 시그니처 생성 장치와, 상기 시그니처 생성 장치로부터 상기 시그니처 요약정보를 수집하는 시그니처 수집 서버와, 상기 시그니처 수집 서버로부터 상기 시그니처 요약정보를 제공받아서 상기 응용프로그램의 네트워크 행동을 파악하는 정보로 이용하는 시그니처 필요 단말를 포함할 수 있다.
여기서, 상기 시그니처 생성 장치는, 상기 응용프로그램의 네트워크 행동에 의해 발생하는 패킷을 수신하는 패킷 수신부와, 상기 패킷 수신부가 수신한 패킷의 헤더 및 페이로드를 파싱하는 헤더 페이로드 파싱부와, 상기 응용프로그램의 네트워크 행동에 대한 특성을 파악하여 행동 시그니처를 추출할 수 있는 행동 시그니처 추출 알고리즘을 저장하는 행동 시그니처 저장부와, 상기 헤더 페이로드 파싱부가 파싱한 패킷 정보를 대상으로 하여 상기 행동 시그니처 저장부에 저장한 상기 행동 시그니처 추출 알고리즘에 따라 상기 행동 시그니처를 추출하여 상기 응용프로그램의 네트워크 행동을 판단하는 행동 판단부와, 상기 행동 판단부가 판단한 네트워크 행동을 요약한 시그니처 요약정보를 생성하는 요약정보 생성부와, 상기 요약정보 생성부가 생성한 시그니처 요약정보를 송신하는 요약정보 송신부를 포함할 수 있다.
상기 네트워크 행동 파악 시스템은, 상기 행동 시그니처 저장부에 저장한 상기 행동 시그니처 추출 알고리즘을 추가 또는 제거하는 행동 시그니처 갱신부를 더 포함할 수 있다.
상기 시그니처 수집 서버는, 상기 시그니처 생성 장치로부터 시그니처 요약정보를 수신하는 요약정보 수신부와, 상기 요약정보 수신부가 수신한 시그니처 요약정보를 수집하는 요약정보 수집부와, 상기 요약정보 수집부가 수집한 시그니처 요약정보와 기 저장한 시그니처를 비교하여 시그니처 추출 알고리즘에 따라 해당 시그니처를 추출하는 시그니처 추출부와, 상기 시그니처 추출부가 추출한 시그니처를 저장하는 시그니처 저장부와, 상기 시그니처 추출부가 추출한 시그니처를 외부에 공개하는 시그니처 표현부를 포함할 수 있다.
본 발명의 제 2 실시예로서 응용프로그램의 네트워크 행동 시그니처 생성 장치는, 응용프로그램의 네트워크 행동에 의해 발생하는 패킷을 수신하는 패킷 수신부와, 상기 패킷 수신부가 수신한 패킷의 헤더 및 페이로드를 파싱하는 헤더 페이 로드 파싱부와, 상기 응용프로그램의 네트워크 행동에 대한 특성을 파악하여 행동 시그니처를 추출할 수 있는 행동 시그니처 추출 알고리즘을 저장하는 행동 시그니처 저장부와, 상기 헤더 페이로드 파싱부가 파싱한 패킷 정보를 대상으로 하여 상기 행동 시그니처 저장부에 저장한 상기 행동 시그니처 추출 알고리즘에 따라 상기 행동 시그니처를 추출하여 상기 응용프로그램의 네트워크 행동을 판단하는 행동 판단부와, 상기 행동 판단부가 판단한 네트워크 행동을 요약한 시그니처 요약정보를 생성하는 요약정보 생성부와, 상기 요약정보 생성부가 생성한 시그니처 요약정보를 송신하는 요약정보 송신부를 포함할 수 있다.
여기서, 상기 네트워크 행동 시그니처 생성 장치는, 상기 행동 시그니처 저장부에 저장한 상기 행동 시그니처 추출 알고리즘을 추가 또는 제거하는 행동 시그니처 갱신부를 더 포함할 수 있다.
본 발명의 제 3 실시예로서 응용프로그램의 네트워크 행동 시그니처 수집 장치는, 응용프로그램의 네트워크 행동에 대응하는 시그니처 요약정보를 수신하는 요약정보 수신부와, 상기 요약정보 수신부가 수신한 시그니처 요약정보를 수집하는 요약정보 수집부와, 상기 요약정보 수집부가 수집한 시그니처 요약정보와 기 저장한 시그니처를 비교하여 시그니처 추출 알고리즘에 따라 해당 시그니처를 추출하는 시그니처 추출부와, 상기 시그니처 추출부가 추출한 시그니처를 저장하는 시그니처 저장부와, 상기 시그니처 추출부가 추출한 시그니처를 외부에 공개하는 시그니처 표현부를 포함할 수 있다.
본 발명의 제 4 실시예로서 응용프로그램의 네트워크 행동에 대응하는 정보 를 생성하는 행동 시그니처 생성 장치에 의한 행동 시그니처 생성 방법은, 상기 응용프로그램의 네트워크 행동에 의해 발생하는 패킷의 헤더 및 페이로드를 파싱하는 단계와, 파싱한 상기 패킷를 대상으로 하여 행동 시그니처 추출 알고리즘에 따라 행동 시그니처를 추출하여 상기 응용프로그램의 네트워크 행동을 판단하는 단계와, 판단한 상기 네트워크 행동을 요약한 시그니처 요약정보를 생성하는 단계를 포함할 수 있다.
여기서, 상기 네트워크 행동을 판단하는 단계는, 파싱한 상기 패킷이 어떤 응용프로그램의 네트워크 행동에 의해 발생한 패킷인지를 판별하는 단계와, 판별한 상기 응용프로그램의 식별정보를 상기 패킷에 부가하여 상기 응용프로그램 별로 분류하는 단계와, 분류한 상기 패킷을 대상으로 하여 행동 시그니처 추출 알고리즘에 따라 각 응용프로그램 별로 상기 행동 시그니처를 추출하는 단계와, 추출한 상기 행동 시그니처에 의거하여 상기 응용프로그램의 네트워크 행동을 판단하는 단계를 포함할 수 있다.
상기 분류하는 단계는, 판별한 상기 응용프로그램이 식별대상으로 등록된 응용프로그램인지 확인하여 등록되지 않은 경우에 상기 식별대상으로 등록한 후에 상기 식별정보를 부가할 수 있다.
본 발명의 실시예에 의하면, 응용프로그램들의 네트워크 행동 기반의 시그니처를 요약한 요약정보를 생성할 수 있으며, 시그니처 요약정보를 수집하여 응용프 로그램의 행동적 특성을 반영하는 시그니처를 추출할 수 있다.
나아가, 응용프로그램이 비정상적인 행동을 보일 경우에 이를 탐지 해 낼 수 있으며, 악의적인 행동을 하는 응용프로그램을 탐지하는 데에도 사용할 수 있는 효과가 있다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 도면부호는 동일 구성 요소를 지칭한다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
도 1은 본 발명의 실시예에 따른 시그니처 생성 장치와 시그니처 수집 서버를 채용한 응용프로그램의 네트워크 행동 파악 시스템의 구성도이다.
이에 나타낸 바와 같이 네트워크 행동 파악 시스템은, 인터넷(1), 네트워크 단말(2), 응용프로그램(210), 시그니처 생성 장치(220), 시그니처 수집 서버(310), 시그니처 필요 단말(410) 등을 포함하여 구성된다.
시그니처 생성 장치(220)는 네트워크 단말(2)에 탑재한 응용프로그램(210)의 인터넷(1) 등에 대한 네트워크 행동에 대응하는 시그니처 요약정보를 제공한다. 시그니처 생성 장치(220)는 도 1의 예시와 같이 네트워크 단말(2)에 탑재할 수 있으며, 프로그램 형태, 예컨대 에이전트 프로그램 형태로 탑재할 수도 있고, 이와는 달리 네트워크 단말(2)의 외부에 별도로 설치할 수도 있다.
시그니처 수집 서버(310)는 시그니처 생성 장치(220)로부터 시그니처 요약정보를 수집한다.
시그니처 필요 단말(410)은 시그니처 수집 서버(310)로부터 시그니처 요약정보를 제공받아서 응용프로그램(210)의 네트워크 행동을 파악하는 정보로 이용한다.
도 2는 본 발명의 실시예에 따른 시그니처 생성 장치의 구성도이다.
이에 나타낸 바와 같이 시그니처 생성 장치(220)는, 패킷 수신부(221), 헤더 페이로드 파싱부(222), 행동 시그니처 저장부(223), 행동 시그니처 갱신부(224), 행동 판단부(225), 요약정보 생성부(226), 요약정보 송신부(227) 등을 포함하여 구성된다.
패킷 수신부(221)는 응용프로그램(210)의 네트워크 행동에 의해 발생하는 패킷을 수신한다.
헤더 페이로드 파싱부(222)는 패킷 수신부(221)가 수신한 패킷의 헤더 및 페이로드를 파싱한다.
행동 시그니처 저장부(223)는 응용프로그램(210)의 네트워크 행동에 대한 특성을 파악하여 행동 시그니처를 추출할 수 있는 행동 시그니처 추출 알고리즘을 저장한다.
행동 시그니처 갱신부(224)는 행동 시그니처 저장부(223)에 저장한 행동 시그니처 추출 알고리즘을 추가 또는 제거한다.
행동 판단부(225)는 헤더 페이로드 파싱부(222)가 파싱한 패킷 정보를 대상으로 하여 행동 시그니처 저장부(223)에 저장한 행동 시그니처 추출 알고리즘에 따라 행동 시그니처를 추출하여 응용프로그램(210)의 네트워크 행동을 판단한다.
요약정보 생성부(226)는 행동 판단부(225)가 판단한 네트워크 행동을 요약한 시그니처 요약정보를 생성한다.
요약정보 송신부(227)는 요약정보 생성부(226)가 생성한 시그니처 요약정보를 시그니처 수집 서버(310)에게 송신한다.
도 3은 본 발명의 실시예에 따른 시그니처 수집 서버의 구성도이다.
이에 나타낸 바와 같이 시그니처 수집 서버(310)는, 요약정보 수신부(311), 요약정보 수집부(312), 시그니처 추출부(313), 시그니처 저장부(314), 시그니처 표현부(315) 등을 포함하여 구성된다.
요약정보 수신부(311)는 시그니처 생성 장치(220)로부터 시그니처 요약정보를 수신한다.
시그니처 추출부(313)는 요약정보 수집부(312)가 수집한 시그니처 요약정보와 기 저장한 시그니처를 비교하여 시그니처 추출 알고리즘에 따라 해당 시그니처, 즉 정확한 시그니처를 추출한다.
시그니처 저장부(314)는 시그니처 추출부(313)가 추출한 시그니처를 저장한다.
시그니처 표현부(315)는 시그니처 추출부(313)가 추출한 시그니처를 외부에 공개한다.
이와 같이 구성된 본 발명의 실시예에 따른 시그니처 생성 장치, 시그니처 수집 서버 등을 포함하는 네트워크 행동 파악 시스템에 의한 응용프로그램의 네트워크 행동 파악 과정에 대해 도 4의 흐름도와 도 5의 시그니처 요약정보 예시도를 추가적으로 참고하여 설명하기로 한다.
먼저, 네트워크 단말(2)에 탑재한 응용프로그램(210)의 네트워크 행동에 의 해 패킷이 발생한다.
이러한 응용프로그램(210)의 네트워크 행동에 대해 예시하면 다음과 같다.
웜(worm)에 감염된 응용프로그램의 경우에 새로운 감염 대상을 찾기 위해 네트워크 리소스(network resource)를 스캐닝(scanning)하는 행동을 하게 된다. 이때, 응용프로그램은 수신지 주소(destination address) 또는 소스 포트(source port), 수신지 포트(destination port)의 일부를 고정시키고 다른 값을 증진 오더(increasing order)로 스캐닝하는 등의 행동을 보이게 된다.
P2P 응용프로그램의 경우에는 크게 두 가지의 네트워크 행동으로 나눌 수 있다. 하나는 적은 수의 플로우(flow)를 생성하고 생성된 플로우 내에서 대량(heavy)의 트래픽(traffic)을 주고받는 경우이고 다른 하나는 많은 수의 플로우를 생성하고 각각의 플로우에서는 상대적으로 작은 크기의 트래픽을 주고받는 경우이다.
시그니처 생성 장치(220)의 패킷 수신부(221)는 이러한 응용프로그램(210)의 네트워크 행동에 의해 발생하는 패킷을 수신하며, 이렇게 수신한 패킷은 예컨대, 버퍼에 쌓인다(S401).
그리고, 헤더 페이로드 파싱부(222)는 패킷 수신부(221)가 수신한 패킷의 헤더 및 페이로드를 파싱한다. 예컨대, 버퍼로부터 패킷을 차례로 얻어서 헤더 및 페이로드 정보를 추출한다(S403).
행동 판단부(225)는 헤더 페이로드 파싱부(222)가 추출한 정보를 통해 어떤 응용프로그램(210)의 네트워크 행동에 의해 발생한 패킷인지를 판별한다(S405). 그리고, 패킷을 주고받고 있는 응용프로그램(210)이 식별대상으로 등록된 응용프로그 램인지 확인(S407)하여 등록되지 않은 경우에는 해당 응용프로그램(210)을 식별대상으로 등록하며(S409), 이미 등록된 경우 또는 등록을 완료한 후에는 판별한 응용프로그램(210)의 식별정보를 패킷 정보에 부가한다. 예컨대, 스탬프를 패킷 정보에 찍어준다(S411).
이어서, 행동 판단부(225)는 응용프로그램(210) 별로 분류한 패킷을 대상으로 하여 행동 시그니처 저장부(223)에 저장한 행동 시그니처 추출 알고리즘에 따라 각 응용프로그램(210) 별로 행동 시그니처를 추출한다. 예컨대, 각 응용프로그램(210) 별로 해당하는 플러그인(plugin)의 행동 시그니처 추출 알고리즘에 따라 행동 시그니처를 추출한다(S413).
그리고, 행동 판단부(225)는 헤더 페이로드 파싱부(222)가 파싱한 패킷 정보로부터 추출한 행동 시그니처에 의거하여 응용프로그램(210)의 네트워크 행동을 판단한다(S414).
다음으로, 요약정보 생성부(226)는 행동 판단부(225)가 판단한 네트워크 행동을 요약한 시그니처 요약정보를 생성한다.
도 5는 요약정보 생성부(226)가 시그니처 요약정보를 XML(eXtensible Markup Language) 형식으로 생성한 결과를 예시한 것이다. 도 5의 시그니처 요약정보의 가장 상위에 있는 ‘signatures’는 응용프로그램의 이름과 요약정보를 만든 시간을 어트리븃(attribute)으로 갖는다. ‘signatures’는 자식(child)으로 ‘behavioral’ 외에 다르게 분류된 시그니처 종류 군이 있을 경우 이를 자식으로 가질 수 있다. 예시한 실시예에서는 ‘behavioral’시그니처에 특화되어 있으므로 다른 시그 니처 종류군의 표현은 확장 가능성만 열어두었다. ‘behavioral’은 ‘component’ 들을 자식으로 갖는다. ‘component’는 행동 시그니처 추출 알고리즘에 해당하는 시그니처를 모아놓은 것이다. ‘component’는 행동 시그니처 추출 알고리즘의 이름과 수집된 시그니처의 방향(응용프로그램과 다른 호스트)을 어트리븃으로 갖는다. ‘component’는 수집된 시그니처의 방향 구분과 플로우 하나 하나의 시그니처 혹은 모든 플로우의 통합적인 시그니처를 나타낸다.
여기서, 요약정보 생성부(226)는 시그니처 요약정보를 생성할 때에 XML 이외에 RDF(Resource Description Framework), OWL(Web Ontology Language), JSON(JavaScript Oject Notation) 등의 형식으로도 생성할 수 있다.
그러면, 요약정보 송신부(227)는 요약정보 생성부(226)가 생성한 시그니처 요약정보를 시그니처 수집 서버(310)에게 송신한다(S415).
한편, 시그니처 수집 서버(310)의 요약정보 수신부(311)는 시그니처 생성 장치(220)로부터 시그니처 요약정보를 수신하며, 시그니처 추출부(313)는 요약정보 수집부(312)가 수집한 시그니처 요약정보와 시그니처 저장부(314)에 기 저장한 시그니처를 비교하여 시그니처 추출 알고리즘에 따라 해당하는 정확한 시그니처를 추출하고, 시그니처 저장부(314)는 시그니처 추출부(313)가 추출한 시그니처를 저장한다.
이처럼 시그니처 추출부(313)가 추출한 시그니처는 시그니처 표현부(315)에 의해 외부에 공개된다.
끝으로, 시그니처 수집 서버(310)는 시그니처 생성 장치(220)로부터 수집한 시그니처 요약정보를 시그니처 필요 단말(410)에게 전송하며, 시그니처 필요 단말(410)은 시그니처 수집 서버(310)로부터 전송 받은 시그니처 요약정보를 응용프로그램(210)의 네트워크 행동을 파악하는 정보로 이용한다. 이처럼 시그니처 필요 단말(410)에게 시그니처 요약정보를 전송하는 것은 시그니처 수집 서버(310)의 시그니처 추출부(313) 또는 시그니처 표현부(315)가 수행할 수 있다.
시그니처 필요 단말(410)이 시그니처 요약정보를 이용하여 응용프로그램(210)의 네트워크 행동을 파악하는 경우를 예시하면 다음과 같다.
시그니처 필요 단말(410)은 응용프로그램(210)의 네트워크 행동을 파악하여 비정상 트래픽의 침입을 탐지할 수 있다. 일반적으로 비정상 트래픽의 침입 탐지는 페이로드의 특정 문자열을 보고 확인하거나 미리 알려진 특정 포트를 대상으로 비정상 트래픽의 침입 탐지를 수행하는데, 본 발명의 실시예에서는 페이로드가 특정 키값으로 암호화되어 있거나 혹은 페이로드를 살펴보는 것이 불가능하거나 응용프로그램이 지정된 포트 번호만 사용하지 않는 경우에도 보다 효과적으로 침입을 탐지 할 수 있다.
또한, 시그니처 필요 단말(410)은 트래픽에서 응용프로그램 별로 플로우를 구분 할 수 있다. 수집된 행동 시그니처를 기반으로 엔드 호스트(end host)에서 발생하는 트래픽을 분석할 경우에 엔드 호스트에서 트래픽을 발생시키는 응용프로그램을 알아 낼 수 있다.
도 1은 본 발명의 실시예에 따른 시그니처 생성 장치와 시그니처 수집 서버를 채용한 응용프로그램의 네트워크 행동 파악 시스템의 구성도,
도 2는 본 발명의 실시예에 따른 시그니처 생성 장치의 구성도,
도 3은 본 발명의 실시예에 따른 시그니처 수집 서버의 구성도,
도 4는 본 발명의 실시예에 따른 시그니처 생성 장치에 의한 네트워크 행동 시그니처 생성 방법을 설명하기 위한 흐름도,
도 5는 본 발명의 실시예에 따라 생성한 시그니처 요약정보의 예시도.
<도면의 주요 부분에 대한 부호의 설명>
1 : 인터넷 2 : 네트워크 단말
210 : 응용프로그램 220 : 시그니처 생성 장치
221 : 패킷 수신부 222 : 헤더 페이로드 파싱부
223 : 행동 시그니처 저장부 224 : 행동 시그니처 갱신부
225 : 행동 판단부 226 : 요약정보 생성부
227 : 요약정보 송신부 310 : 시그니처 수집 서버
311 : 요약정보 수신부 312 : 요약정보 수집부
313 : 시그니처 추출부 314 : 시그니처 저장부
315 : 시그니처 표현부 410 : 시그니처 필요 단말

Claims (10)

  1. 응용프로그램의 네트워크 행동에 대응하는 시그니처 요약정보를 제공하는 시그니처 생성 장치와,
    상기 시그니처 생성 장치로부터 상기 시그니처 요약정보를 수집하는 시그니처 수집 서버와,
    상기 시그니처 수집 서버로부터 상기 시그니처 요약정보를 제공받아서 상기 응용프로그램의 네트워크 행동을 파악하는 정보로 이용하는 시그니처 필요 단말
    를 포함하는 응용프로그램의 네트워크 행동 파악 시스템.
  2. 제 1 항에 있어서,
    상기 시그니처 생성 장치는,
    상기 응용프로그램의 네트워크 행동에 의해 발생하는 패킷을 수신하는 패킷 수신부와,
    상기 패킷 수신부가 수신한 패킷의 헤더 및 페이로드를 파싱하는 헤더 페이로드 파싱부와,
    상기 응용프로그램의 네트워크 행동에 대한 특성을 파악하여 행동 시그니처를 추출할 수 있는 행동 시그니처 추출 알고리즘을 저장하는 행동 시그니처 저장부와,
    상기 헤더 페이로드 파싱부가 파싱한 패킷 정보를 대상으로 하여 상기 행동 시그니처 저장부에 저장한 상기 행동 시그니처 추출 알고리즘에 따라 상기 행동 시그니처를 추출하여 상기 응용프로그램의 네트워크 행동을 판단하는 행동 판단부와,
    상기 행동 판단부가 판단한 네트워크 행동을 요약한 시그니처 요약정보를 생성하는 요약정보 생성부와,
    상기 요약정보 생성부가 생성한 시그니처 요약정보를 송신하는 요약정보 송신부
    를 포함하는 응용프로그램의 네트워크 행동 파악 시스템.
  3. 제 2 항에 있어서,
    상기 네트워크 행동 파악 시스템은, 상기 행동 시그니처 저장부에 저장한 상기 행동 시그니처 추출 알고리즘을 추가 또는 제거하는 행동 시그니처 갱신부
    를 더 포함하는 응용프로그램의 네트워크 행동 파악 시스템.
  4. 제 1 항에 있어서,
    상기 시그니처 수집 서버는,
    상기 시그니처 생성 장치로부터 시그니처 요약정보를 수신하는 요약정보 수신부와,
    상기 요약정보 수신부가 수신한 시그니처 요약정보를 수집하는 요약정보 수집부와,
    상기 요약정보 수집부가 수집한 시그니처 요약정보와 기 저장한 시그니처를 비교하여 시그니처 추출 알고리즘에 따라 해당 시그니처를 추출하는 시그니처 추출부와,
    상기 시그니처 추출부가 추출한 시그니처를 저장하는 시그니처 저장부와,
    상기 시그니처 추출부가 추출한 시그니처를 외부에 공개하는 시그니처 표현부
    를 포함하는 응용프로그램의 네트워크 행동 파악 시스템.
  5. 응용프로그램의 네트워크 행동에 의해 발생하는 패킷을 수신하는 패킷 수신부와,
    상기 패킷 수신부가 수신한 패킷의 헤더 및 페이로드를 파싱하는 헤더 페이로드 파싱부와,
    상기 응용프로그램의 네트워크 행동에 대한 특성을 파악하여 행동 시그니처를 추출할 수 있는 행동 시그니처 추출 알고리즘을 저장하는 행동 시그니처 저장부와,
    상기 헤더 페이로드 파싱부가 파싱한 패킷 정보를 대상으로 하여 상기 행동 시그니처 저장부에 저장한 상기 행동 시그니처 추출 알고리즘에 따라 상기 행동 시그니처를 추출하여 상기 응용프로그램의 네트워크 행동을 판단하는 행동 판단부와,
    상기 행동 판단부가 판단한 네트워크 행동을 요약한 시그니처 요약정보를 생성하는 요약정보 생성부와,
    상기 요약정보 생성부가 생성한 시그니처 요약정보를 송신하는 요약정보 송 신부
    를 포함하는 응용프로그램의 네트워크 행동 시그니처 생성 장치.
  6. 제 5 항에 있어서,
    상기 네트워크 행동 시그니처 생성 장치는, 상기 행동 시그니처 저장부에 저장한 상기 행동 시그니처 추출 알고리즘을 추가 또는 제거하는 행동 시그니처 갱신부
    를 더 포함하는 응용프로그램의 네트워크 행동 시그니처 생성 장치.
  7. 응용프로그램의 네트워크 행동에 대응하는 시그니처 요약정보를 수신하는 요약정보 수신부와,
    상기 요약정보 수신부가 수신한 시그니처 요약정보를 수집하는 요약정보 수집부와,
    상기 요약정보 수집부가 수집한 시그니처 요약정보와 기 저장한 시그니처를 비교하여 시그니처 추출 알고리즘에 따라 해당 시그니처를 추출하는 시그니처 추출부와,
    상기 시그니처 추출부가 추출한 시그니처를 저장하는 시그니처 저장부와,
    상기 시그니처 추출부가 추출한 시그니처를 외부에 공개하는 시그니처 표현부
    를 포함하는 응용프로그램의 네트워크 행동 시그니처 수집 장치.
  8. 응용프로그램의 네트워크 행동에 대응하는 정보를 생성하는 행동 시그니처 생성 장치에 의한 행동 시그니처 생성 방법으로서,
    상기 응용프로그램의 네트워크 행동에 의해 발생하는 패킷의 헤더 및 페이로드를 파싱하는 단계와,
    파싱한 상기 패킷를 대상으로 하여 행동 시그니처 추출 알고리즘에 따라 행동 시그니처를 추출하여 상기 응용프로그램의 네트워크 행동을 판단하는 단계와,
    판단한 상기 네트워크 행동을 요약한 시그니처 요약정보를 생성하는 단계
    를 포함하는 응용프로그램의 네트워크 행동 시그니처 생성 방법.
  9. 제 8 항에 있어서,
    상기 네트워크 행동을 판단하는 단계는,
    파싱한 상기 패킷이 어떤 응용프로그램의 네트워크 행동에 의해 발생한 패킷인지를 판별하는 단계와,
    판별한 상기 응용프로그램의 식별정보를 상기 패킷에 부가하여 상기 응용프로그램 별로 분류하는 단계와,
    분류한 상기 패킷을 대상으로 하여 행동 시그니처 추출 알고리즘에 따라 각 응용프로그램 별로 상기 행동 시그니처를 추출하는 단계와,
    추출한 상기 행동 시그니처에 의거하여 상기 응용프로그램의 네트워크 행동을 판단하는 단계
    를 포함하는 응용프로그램의 네트워크 행동 시그니처 생성 방법.
  10. 제 9 항에 있어서,
    상기 분류하는 단계는, 판별한 상기 응용프로그램이 식별대상으로 등록된 응용프로그램인지 확인하여 등록되지 않은 경우에 상기 식별대상으로 등록한 후에 상기 식별정보를 부가하는
    응용프로그램의 네트워크 행동 시그니처 생성 방법.
KR1020090046093A 2009-05-26 2009-05-26 응용프로그램의 네트워크 행동 시그니처 생성 장치, 수집 서버, 네트워크 행동 파악 시스템 및 네트워크 행동 시그니처 생성 방법 KR101148705B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090046093A KR101148705B1 (ko) 2009-05-26 2009-05-26 응용프로그램의 네트워크 행동 시그니처 생성 장치, 수집 서버, 네트워크 행동 파악 시스템 및 네트워크 행동 시그니처 생성 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090046093A KR101148705B1 (ko) 2009-05-26 2009-05-26 응용프로그램의 네트워크 행동 시그니처 생성 장치, 수집 서버, 네트워크 행동 파악 시스템 및 네트워크 행동 시그니처 생성 방법

Publications (2)

Publication Number Publication Date
KR20100127591A true KR20100127591A (ko) 2010-12-06
KR101148705B1 KR101148705B1 (ko) 2012-05-23

Family

ID=43504800

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090046093A KR101148705B1 (ko) 2009-05-26 2009-05-26 응용프로그램의 네트워크 행동 시그니처 생성 장치, 수집 서버, 네트워크 행동 파악 시스템 및 네트워크 행동 시그니처 생성 방법

Country Status (1)

Country Link
KR (1) KR101148705B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101338223B1 (ko) * 2011-11-17 2013-12-10 고려대학교 산학협력단 네트워크 트래픽 분석 시스템 및 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101444908B1 (ko) * 2013-01-08 2014-09-26 주식회사 시큐아이 시그니처를 저장하는 보안 장치 및 그것의 동작 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060037077A1 (en) * 2004-08-16 2006-02-16 Cisco Technology, Inc. Network intrusion detection system having application inspection and anomaly detection characteristics
KR100912806B1 (ko) * 2006-12-07 2009-08-18 한국전자통신연구원 인터넷 트래픽으로부터 특정 인터넷 응용 프로그램시그너춰를 추출하는 장치 및 방법.

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101338223B1 (ko) * 2011-11-17 2013-12-10 고려대학교 산학협력단 네트워크 트래픽 분석 시스템 및 방법

Also Published As

Publication number Publication date
KR101148705B1 (ko) 2012-05-23

Similar Documents

Publication Publication Date Title
US9781139B2 (en) Identifying malware communications with DGA generated domains by discriminative learning
US8010685B2 (en) Method and apparatus for content classification
EP2953298B1 (en) Log analysis device, information processing method and program
US8577829B2 (en) Extracting information from unstructured data and mapping the information to a structured schema using the naïve bayesian probability model
CN112468520B (zh) 一种数据检测方法、装置、设备及可读存储介质
EP2924943B1 (en) Virus detection method and device
EA037617B1 (ru) Способ и система для обнаружения несанкционированного вторжения в трафик данных в сети передачи данных
CN112887274B (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
CN112769833B (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
KR101859562B1 (ko) 취약점 정보 분석 방법 및 장치
EP3242240A1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
Svoboda Network traffic analysis with deep packet inspection method
CN111625837A (zh) 识别系统漏洞的方法、装置和服务器
JP6548823B2 (ja) 木グラフプロパティを適用するjsonデータのリアルタイムバリデーション
CN115695031A (zh) 主机失陷检测方法、装置及设备
CN111343153A (zh) 数据包检测方法、装置、服务器及存储介质
KR101148705B1 (ko) 응용프로그램의 네트워크 행동 시그니처 생성 장치, 수집 서버, 네트워크 행동 파악 시스템 및 네트워크 행동 시그니처 생성 방법
US11159548B2 (en) Analysis method, analysis device, and analysis program
CN113347184A (zh) 网络流量安全检测引擎的测试方法、装置、设备及介质
CN111770097B (zh) 一种基于白名单的内容锁防火墙方法及系统
US9794274B2 (en) Information processing apparatus, information processing method, and computer readable medium
CN113282932B (zh) 一种poc生成方法、装置、电子设备和存储介质
US9049170B2 (en) Building filter through utilization of automated generation of regular expression
CN111988271A (zh) 一种通信流处理方法及装置
CN116192527A (zh) 攻击流量检测规则生成方法、装置、设备及存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee