KR20110011935A - 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법 - Google Patents

비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법 Download PDF

Info

Publication number
KR20110011935A
KR20110011935A KR1020090069418A KR20090069418A KR20110011935A KR 20110011935 A KR20110011935 A KR 20110011935A KR 1020090069418 A KR1020090069418 A KR 1020090069418A KR 20090069418 A KR20090069418 A KR 20090069418A KR 20110011935 A KR20110011935 A KR 20110011935A
Authority
KR
South Korea
Prior art keywords
network attack
traffic
information
image
network
Prior art date
Application number
KR1020090069418A
Other languages
English (en)
Other versions
KR101219538B1 (ko
Inventor
정치윤
장범환
손선경
유종호
김건량
김종현
나중찬
조현숙
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020090069418A priority Critical patent/KR101219538B1/ko
Priority to US12/630,672 priority patent/US20110016525A1/en
Publication of KR20110011935A publication Critical patent/KR20110011935A/ko
Application granted granted Critical
Publication of KR101219538B1 publication Critical patent/KR101219538B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법에 관한 것으로, 대량의 트래픽 데이터를 실시간으로 처리 할 수 있고, 트래픽 이미지를 생성할 때 트래픽의 볼륨, 국가 정보, ISP 정보, 사용되는 포트 정보 등의 다양한 정보들을 삽입하여 기존의 트래픽 볼륨 기반의 네트워크 공격 탐지 기법들이 탐지하지 못했던 공격들을 탐지할 수 있다. 또한, 본 발명은 비주얼 데이터 분석 기법을 사용하여 네트워크 트래픽을 분석함으로써 분석된 결과가 이미지 패턴으로 나타나기 때문에 공격의 탐지 결과를 보고 네트워크 공격 여부를 직관적으로 인지하고, 네트워크 공격 탐지 정보와 네트워크 공격에 대한 이미지 패턴과 원본 데이터 등을 표현하는 사용자 인터페이스를 제공하기 때문에 네트워크 관리자 측면에서 탐지된 공격을 신속하게 검증할 수 있다.
Figure P1020090069418
네트워크, 공격, 트래픽, 분석, 표현, 이미지

Description

비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법{APPARATUS FOR DETECTING NETWORK ATTACK BASED ON VISUAL DATA ANALYSIS AND ITS METHOD THEREOF}
본 발명은 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법에 관한 것으로, 보다 상세하게는 네트워크에서 발생하는 다양한 공격 데이터들을 탐지하기 위하여 트래픽 정보를 이미지로 형상화한 후, 형상화된 이미지에 대하여 비주얼 데이터 분석 기법을 이용하여 네트워크상의 다양한 공격 데이터를 탐지하도록 하는 장치 및 그 방법에 관한 것이다.
본 발명은 지식경제부의 IT성장동력기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2007-S-022-03, 과제명: AII-IP 환경의 지능형 사이버 공격 감시 및 추적 시스템 개발].
네트워크에서 발생되는 공격 데이터의 침입을 탐지하기 위하여 일반적으로 크게 두 가지 침입 탐지 모델을 이용하는데, 비정상 탐지 모델(abnormal detection model)과 오용 탐지 모델(misuse detection model) 등으로 구분된다.
즉, 비정상 탐지 모델은 네트워크 트래픽의 정상 행위에 대한 특성을 모델링 한 후, 정상 행위 모델과 차이를 보이는 경우 네트워크 공격으로 판단하여 탐지하는 모델이고, 오용 탐지 모델은 사전 공격에 대한 시그니처를 생성한 후, 발생되는 네트워크 트래픽에서 시그니처가 존재하는지 여부를 검사하여 네트워크 공격을 탐지하는 모델이다.
이러한 탐지 모델들은 네트워크의 구축이 요구되는 곳에 적절히 적용되어 활용되고 있으나 침입의 유형이 다양화되어 가고 있는 현 시점에서 그대로 적용하기에는 침입에 대응함에 있어서 취약점들이 노출되고 있는 것이 현 실정이다.
상술한 바와 같이 종래 기술에서 언급된 탐지 모델들을 네트워크에 그대로 적용시키기에는 많은 문제점이 존재하는데 그 중에서도 중요한 문제점을 제시하면 다음과 같다.
즉, 비정상 탐지 모델은 네트워크의 특성에 따라서 달라질 수 있기 때문에 정교한 정상 행위 모델을 생성하는 것이 매우 어렵고, 특히 비정상 탐지 모델의 경우 공격이 아님에도 공격으로 판정하는 오판이 많이 발생한다.
또한, 오용 탐지 모델은 알려진 공격에 대하여 정확하게 탐지가 가능하지만, 알려지지 않은 공격에 대해서는 탐지가 불가능하며, 특히 공격의 종류가 늘어남에 따라 시그니처의 데이터베이스가 커지게 되는 문제점이 있다.
이에, 본 발명의 기술적 과제는 상술한 바와 같은 문제점을 해결하기 위해 안출한 것으로, 네트워크에서 발생하는 다양한 공격 데이터들을 탐지하기 위하여 트래픽 정보를 이미지로 형상화한 후, 형상화된 이미지에 대하여 비주얼 데이터 분석 기법을 이용하여 네트워크상의 다양한 공격 데이터를 탐지하도록 하는 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법을 제공한다.
본 발명의 일 관점에 따른 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치는 트래픽 정보를 수집하여 IP 부가정보를 통해 트래픽 이미지를 생성하는 트래픽 이미지 생성부와, 생성된 트래픽 이미지와 이전에 입력된 트래픽 이미지 간의 기설정된 유사도 임계값을 통해 유사성을 비교하여 네트워크 공격을 검출하는 네트워크 공격 검출부와, 네트워크 공격이 검출된 시점의 트래픽 이미지를 분석하여 네트워크 공격 정보 및 네트워크 공격의 패턴 정보를 탐지하는 네트워크 공격 분석부와, 생성된 네트워크 공격 정보 및 네트워크 공격의 패턴 정보를 표현하는 네트워크 공격 탐지 결과 표현부를 포함한다.
상술한 트래픽 이미지 생성부는, 네트워크 장비 혹은 트래픽 생성 장비로부터 트래픽 정보를 수집하는 트래픽 정보 수집부와, 수집된 트래픽 정보에 대하여 IP정보 데이터베이스를 검색하여 근원지 IP 및 목적지 IP의 정보와 통계 정보에 해당하는 IP부가정보를 추출하는 IP 주소 정보 추출부와, 추출된 IP부가정보를 통해 트래픽 이미지의 가로축 및 세로축과 픽셀(x,y) 색상을 생성하는 이미지 생성부를 포함한다.
상술한 근원지 IP 및 목적지 IP의 정보 각각에는, IP주소가 속한 국가, AS(autonomous system), 회사, ISP(internet service provider), 위도, 경도, 관리 도메인이 포함하는 것을 특징으로 한다.
상술한 트래픽 이미지의 가로축 및 세로축과 픽셀 색상은, 트래픽 정보가 수집되는 주기(T)에 따라 생성되는 것을 특징으로 한다.
상술한 픽셀 색상은, RGB, YCrCb, HSV(hue(색상), saturation(채도), value(명도)로 이루어진 컬러모델)의 색상 스페이스인 것을 특징으로 한다.
상술한 네트워크 공격 검출부는, 생성된 트래픽 이미지와 이전에 입력된 트래픽 이미지 간의 유사성 비교를 통해 기설정된 유사도 임계값을 벗어나는 경우 네트워크 공격이 존재하는 것으로 판별하는 공격 검출부와, 판별된 네트워크 공격이 존재하는 검출 결과를 제공하는 트래픽 이미지 관리부를 포함하는 것을 특징으로 한다.
상술한 유사성 비교는, 이미지 픽셀 색상 변화 정보 혹은 DCT(discrete cosine transform) 변수간의 변화 정보를 사용하는 장면 경계 검출(scene change detection)을 사용하는 것을 특징으로 한다.
상술한 네트워크 공격 분석부는, 검출된 네트워크 공격의 전역적 공격 혹은 지역적 공격에 따라 네트워크 공격의 분석을 요청하고, 요청의 응답으로 입력되는 네트워크 공격 분석 결과를 통해 네트워크 공격 정보 및 네트워크 공격의 패턴 정보를 생성하는 네트워크 공격 분석 관리부와, 네트워크 공격이 전역적 공격일 경 우, 라인 검출 기법을 통해 트래픽 이미지에 존재하는 라인의 기울기를 기준으로 수평 라인일 경우 근원지 IP를 기준으로 트래픽을 분석하여 네트워크 공격을 탐지하고, 수직 라인일 경우 목적지 IP를 기준으로 트래픽을 분석하여 네트워크 공격을 탐지하며, 수직 라인 및 수평 라인이 아닌 경우 근원지 및 목적지 IP의 분포를 통해 네트워크 공격을 탐지하는 전역 공격 탐지부와, 네트워크 공격이 지역적 공격일 경우, 이미지 처리 기법을 통해 균일 영역을 검출하고, 이미지의 명암도(intensity)와 색상 분석 및 경계선 검출(edge detection)을 통해 호스트 및 포트를 검출하며, 검출된 균일 영역과 호스트 및 포트를 통해 트래픽을 검사하여 네트워크 공격을 탐지하는 지역 공격 탐지부를 포함하는 것을 특징으로 한다.
상술한 이미지 처리 기법은, 이미지 분할(image segmentation) 기법 혹은 연결영역 레이블링(connected componet labeling) 기법 혹은 경계선 검출 기법인 것을 특징으로 한다.
상술한 네트워크 공격 탐지 결과 표현부는, 네트워크 공격 정보 및 네트워크 공격의 패턴 정보에 대하여 공격 탐지 결과 리스트로 구성하여 표시장치를 통해 표시하는 공격 탐지 결과 표현부와, 네트워크 공격이 발생됨을 알리는 경보 메시지를 생성하여 다른 보안장비나 다른 네트워크 장비로 전송하는 네트워크 공격 탐지 결과 관리부를 포함하는 것을 특징으로 한다.
상술한 공격 탐지 결과 리스트는, 네트워크 공격 탐지 리스트 정보와 시간 흐름에 따른 트래픽 이미지간의 유사성과 원본 트래픽의 흐름과 트래픽 이미지와 호스트 분석 이미지와 포트 분석 이미지로 구분되는 것을 특징으로 한다.
또한, 본 발명의 다른 관점에 따른 비주얼 데이터 분석 기반의 네트워크 공격 탐지 방법은 트래픽 정보를 수집하여 IP 부가정보를 통해 트래픽 이미지를 생성하는 단계와, 생성된 트래픽 이미지와 이전에 입력된 트래픽 이미지 간의 기설정된 유사도 임계값을 통해 유사성을 비교하여 네트워크 공격을 검출하는 단계와, 네트워크 공격이 검출된 시점의 트래픽 이미지를 분석하여 네트워크 공격 정보 및 네트워크 공격의 패턴 정보를 탐지하는 단계와, 생성된 네트워크 공격 정보 및 네트워크 공격의 패턴 정보를 출력장치를 통해 표시하는 단계를 포함한다.
상술한 생성하는 단계는, 네트워크 장비 혹은 트래픽 생성 장비로부터 트래픽 정보를 수집하는 단계와, 수집된 트래픽 정보에 대하여 IP정보 데이터베이스를 검색하여 근원지 IP 및 목적지 IP의 정보와 통계 정보에 해당하는 IP부가정보를 추출하는 단계와, 추출된 IP부가정보를 통해 트래픽 이미지의 가로축 및 세로축과 픽셀(x,y) 색상을 생성하는 단계를 포함하는 것을 특징으로 한다.
상술한 근원지 IP 및 목적지 IP의 정보 각각에는, IP주소가 속한 국가, AS(autonomous system), 회사, ISP(internet service provider), 위도, 경도, 관리 도메인이 포함되어 있는 것을 특징으로 한다.
상술한 픽셀 색상은, RGB, YCrCb, HSV(hue(색상), saturation(채도), value(명도)로 이루어진 컬러모델)의 색상 스페이스인 것을 특징으로 한다.
상술한 검출하는 단계는, 생성된 트래픽 이미지와 이전에 입력된 트래픽 이미지 간의 유사성 비교를 통해 기설정된 유사도 임계값을 벗어나는 경우 네트워크 공격이 존재하는 것으로 판별하는 단계와, 네트워크 공격이 존재하는 경우, 네트워 크 공격이 존재한다는 검출 결과를 네트워크 공격 분석 관리부로 제공하는 단계를 포함하는 것을 특징으로 한다.
상술한 유사성 비교는, 이미지 픽셀 색상 변화 정보 혹은 장면 경계 검출(scene change detection)을 사용하는 것을 특징으로 한다.
상술한 탐지하는 단계는, 검출된 네트워크 공격이 지역적 공격일 경우, 이미지 처리 기법을 통해 근원지와 목적지간 트래픽의 양과 트래픽에 존재하는 근원지 및 목적지 포트의 분포와 근원지와 목적지의 IP 주소 분포를 통해 특정 영역을 선택하는 단계와, 선택된 특정 영역에 대하여 목적지 호스트 분석 이미지와 포트 분석 이미지를 생성하여 균일 영역을 검출하는 단계와, 이미지의 명암도(intensity), 색상 분석, 경계선 검출(edge detection)을 통해 이미지에서 특징적인 호스트 및 포트를 검출하는 단계와, 검출된 균일 영역과 호스트 및 포트를 통해 트래픽을 검사하여 네트워크 공격을 탐지하는 단계와, 탐지된 네트워크 공격의 결과를 통해 네트워크 공격 정보 및 네트워크 공격의 패턴 정보를 생성하는 단계를 포함하는 것을 특징으로 한다.
상술한 이미지 처리 기법은, 이미지 분할(image segmentation) 기법 혹은 연결영역 레이블링(connected componet labeling) 기법 혹은 경계선 검출 기법인 것을 특징으로 한다.
상술한 탐지하는 단계는, 검출된 네트워크 공격이 전역적 공격일 경우, 라인 검출 기법을 통해 트래픽 이미지에 존재하는 라인의 기울기를 기준으로 수평 라인인지 아니면 수직 라인인지를 체크하는 단계와, 체크하는 단계에서 수평 라인일 경 우 근원지 IP를 기준으로 트래픽을 분석하여 제1네트워크 공격을 탐지하는 단계와, 체크하는 단계에서 수직 라인일 경우 목적지 IP를 기준으로 트래픽을 분석하여 제2네트워크 공격을 탐지하는 단계와, 체크하는 단계에서 수직 라인 및 수평 라인이 아닌 경우 근원지와 목적지 IP의 분포를 통해 제3네트워크 공격을 탐지하는 단계와, 탐지된 제1,2,3네트워크 공격의 결과를 통해 네트워크 공격 정보 및 네트워크 공격의 패턴 정보를 생성하는 단계를 포함하는 것을 특징으로 한다.
상술한 표시하는 단계는, 네트워크 공격 정보 및 네트워크 공격의 패턴 정보에 대하여 공격 탐지 결과 리스트로 구성하여 표시장치를 통해 표시하는 단계와, 네트워크 공격이 발생됨을 알리는 경보 메시지를 생성하여 다른 보안장비나 다른 네트워크 장비로 전송하는 단계를 포함하는 것을 특징으로 한다.
상술한 공격 탐지 결과 리스트는, 네트워크 공격 탐지 리스트 정보와 시간 흐름에 따른 트래픽 이미지간의 유사성과 원본 트래픽의 흐름과 트래픽 이미지와 호스트 분석 이미지와 포트 분석 이미지로 구분되는 것을 특징으로 한다.
본 발명은 네트워크에서 발생하는 다양한 공격 데이터들을 탐지하기 위하여 트래픽 정보를 이미지로 형상화한 후, 형상화된 이미지에 대하여 비주얼 데이터 분석 기법을 이용하여 네트워크상의 다양한 공격 데이터를 탐지함으로써, 기존에서와 같이 비정상 탐지 모델에서 공격이 아님에도 공격으로 판정하는 오판과 오용 탐지 모델에서 알려지지 않은 공격에 대해서는 불가능한 탐지 및 시그니처의 데이터베이 스가 커지게 되는 문제점들을 해결할 수 있다.
또한, 본 발명은 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법을 제공함으로써, 대량의 트래픽 데이터를 실시간으로 처리 할 수 있고, 트래픽 이미지를 생성할 때 트래픽의 볼륨, 국가 정보, ISP 정보, 사용되는 포트 정보 등의 다양한 정보들을 삽입하여 기존의 트래픽 볼륨 기반의 네트워크 공격 탐지 기법들이 탐지하지 못했던 공격들을 탐지할 수 있다.
또한, 본 발명은 비주얼 데이터 분석 기법을 사용하여 네트워크 트래픽을 분석함으로써 분석된 결과가 이미지 패턴으로 나타나기 때문에 공격의 탐지 결과를 보고 네트워크 공격 여부를 직관적으로 인지하고, 네트워크 공격 탐지 정보와 네트워크 공격에 대한 이미지 패턴과 원본 데이터 등을 표현하는 사용자 인터페이스를 제공하기 때문에 네트워크 관리자 측면에서 탐지된 공격을 신속하게 검증할 수 있는 이점이 있다.
이하, 첨부된 도면을 참조하여 본 발명의 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 일 실시예에 따른 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치에 대한 블록 구성도로서, 트래픽 이미지 생성부(100)와 네트워크 공격 검출부(200)와 네트워크 공격 분석부(300)와 네트워크 공격 탐지 결과 표현부(400) 등을 포함할 수 있다.
트래픽 이미지 생성부(100)는 도 2에 도시된 바와 같이 트래픽 정보 수집부(101)와 인터넷 프로토콜(Internet Protocol, 이하 IP라 함)주소 정보 추출부(103)와 IP 정보 DB(105)와 이미지 생성부(107) 등을 포함할 수 있다.
트래픽 정보 수집부(101)는 네트워크 장비(예컨대, 라우터 등)(S1) 혹은 트래픽 생성 장비(S2)로부터 네트워크 통신(예컨대, TCP(transmission control protocol) 또는 UDP(user datagram protocol)를 사용하는 통신)을 통해 입력되는 트래픽 정보(예컨대, 네트워크 모니터링을 위한 표준으로 트래픽 정보를 캡쳐하기 위한 방식인 Netflow, sflow 등)를 수집하면서 정규화하여 IP 주소 정보 추출부(103)에 제공한다.
IP 주소 정보 추출부(103)는 트래픽 정보 수집부(101)로부터 입력되는 정규화된 트래픽 정보에 대하여 IP정보 DB(105)를 검색하여 트래픽 정보에 대한 다수의 IP부가정보, 예컨대, 근원지 IP와 목적지 IP, 근원지 포트 정보, 목적지 포트 정보, 프로토콜 정보, 통계 정보 등을 추출한 다음에, 이중 IP주소가 속한 국가, AS(autonomous system), 회사, ISP(internet service provider), 위도, 경도, 관리 도메인 등이 포함된 근원지 IP와 목적지 IP의 정보와 통계 정보에 해당하는 이미지 생성용 IP부가정보를 이미지 생성부(107)에 제공한다. 여기서, IP정보 DB(105)에는 근원지 IP와 목적지 IP, 근원지 포트 정보, 목적지 포트 정보, 프로토콜 정보, 통계 정보와, 근원지 IP와 목적지 IP의 정보에 포함된 IP주소가 속한 국가, AS, 회사, ISP, 위도, 경도, 관리 도메인 등의 정보를 DB 혹은 파일의 형태로 저장하고 있다.
이미지 생성부(107)는 IP주소 정보 추출부(103)로부터 입력되는 이미지 생성용 IP부가정보로부터 근원지 정보 축의 IP주소가 속한 국가, AS, 회사, ISP, 위도, 경도, 관리 도메인 등이 포함된 근원지 IP의 정보와, 목적지 정보 축의 IP주소가 속한 국가, AS, 회사, ISP, 위도, 경도, 관리 도메인 등이 포함된 목적지 IP의 정보를 통해 n×n의 트래픽 이미지의 가로축과 세로축을 생성하여 네트워크 공격 검출부(200)내 트래픽 이미지 관리부(201)에 제공한다. 예컨대, 도 6a에 도시된 바와 같이 근원지 IP와 목적지 IP를 사용하여 가로축과 세로축을 구성할 경우, IP주소가 32비트로 구성되어 매우 넓은 범위를 가지지만, IP주소의 국가 정보를 사용하여 가로축과 세로축을 구성하는 경우, 가로축과 세로축은 최대 국가의 수인 260이 되어 260×260의 트래픽 이미지가 생성되며, 트래픽 이미지에 존재하는 임의의 픽셀(x,y) 값(S601)은 근원지의 y국가에서 목적지 x국가로 흐르는 트래픽을 의미한다.
또한, 이미지 생성부(107)는 근원지의 y국가에서 목적지 x국가로 흐르는 해당 픽셀의 트래픽 정보를 사용하여 트래픽의 통계 정보를 계산하고, 이 계산된 트 래픽의 통계 정보를 통해 RGB, YCrCb, HSV(hue(색상), saturation(채도), value(명도)로 이루어진 컬러모델) 등의 다양한 색상 스페이스가 사용되는 트래픽 이미지의 픽셀(x,y) 색상을 트래픽 정보가 수집되는 주기(T)에 따라 생성하여 네트워크 공격 검출부(200)내 트래픽 이미지 관리부(201)에 제공한다.
예컨대, 목적지 포트에 대한 통계 값을 사용할 경우, 도 6b에 도시된 바와 같이 x축의 목적지 포트 번호에 대하여 존재하는 y축의 트래픽 빈도수를 계산한 후, 목적지 포트 번호의 평균값과 분산을 계산하여 HSV 색상 스페이스에서 H를 평균값, S를 분산, V를 트래픽의 빈도수로 매핑하여 그래프 형식으로 표현할 수 있는데, 채도가 높아지는 그래프 형식을 통해 스캐닝 공격이 이루어지고 있음을 알 수 있고, 다양한 칼라중에서 검정색의 그래프 형식을 통해 트래픽이 많이 발생됨을 알 수 있으며, 트래픽의 빈도수만을 사용하여 0∼255까지 값으로 정규화한 후, 흑백 이미지의 그래프 형식을 통해 네트워크 공격을 탐지할 수도 있다.
또한, 도 6c를 참조하면, 근원지 IP와 목적지 IP를 IP주소로 매핑하여 트래픽으로 표현함을 나타낸 도면으로서, 다수의 근원지 IP로부터 하나의 목적지 IP주소로 트래픽이 발생되고 있는 것은 분산 서비스 거부 공격(S602)이 진행되고 있음을 의미한다. 그리고, 도 6d를 참조하면, 근원지 IP와 목적지 IP를 IP주소로 매핑하여 트래픽으로 표현함을 나타낸 도면으로서, 하나의 근원지 IP가 다수의 목적지 IP주소로 트래픽을 발생시키고 있음을 알 수 있으며, 이는 인터넷 웜(S603)이 발생하고 있음을 의미한다.
네트워크 공격 검출부(200)는 도 3에 도시된 바와 같이 트래픽 이미지 관리 부(201)와 공격 검출부(203) 등을 포함할 수 있다.
트래픽 이미지 관리부(201)는 트래픽 이미지 생성부(100)내 이미지 생성부(107)로부터 주기(T)에 따라 수집되는 트래픽 이미지를 저장하고 공격 검출부(203)에서 요청이 있는 경우에 저장된 트래픽 이미지를 요청에 대한 응답으로 공격 검출부(203)에 전송한다.
또한, 트래픽 이미지 관리부(201)는 공격 검출부(203)로부터 입력되는 네트워크 공격 검출 결과를 전송받아 네트워크 공격 분석부(300)내 네트워크 공격 분석 관리부(301)에 제공한다.
공격 검출부(203)는 트래픽 이미지 관리부(201)로부터 주기(T)에 따라 수집되는 트래픽 이미지와 이전에 입력된 트래픽 이미지 간의 유사성을 비교하여 사용자가 정의한 유사도 임계값을 벗어나는 경우 네트워크 공격이 존재하는 것으로 판단하고, 판단된 네트워크 공격 검출 결과를 트래픽 이미지 관리부(201)에 제공한다. 여기서, 유사성 비교는, 이미지 픽셀 색상 변화 정보 혹은 DCT(discrete cosine transform) 변수간의 변화 정보 등을 사용하는 장면 경계 검출(scene change detection) 방법을 이용하는 것이 바람직하다.
예컨대, 공격 검출부(203)는 트래픽 이미지 관리부(201)로부터 주기(T) 마다 트래픽 이미지가 수집되고, 현재 시간(t)에 입력되는 트래픽 이미지를 도 7에 도시된 바와 같이 t번째 이미지라할 경우, t번째 이미지의 색상 및 분포 정보를 이전 주기에 생성된 t-1번째 이미지와 t-2부터 t-k번째 이미지로부터 계산된 평균 이미지인 tm이미지와 비교하여 사용자가 정의한 유사도 임계값을 벗어나면 네트워크 공 격이 존재, 다시 말하여 현재 생성된 이미지가 t-1번째 이미지 또는 tm 이미지와 색상 및 분포 정보의 차이가 크다는 것은 이전의 네트워크 트래픽에서 생성되지 않는 트래픽이 생성되었거나, 트래픽의 패턴이 변화되었다는 것을 의미하기 때문에 네트워크 공격이 존재하는 것으로 판단한다.
네트워크 공격 분석부(300)는 도 4에 도시된 바와 같이 네트워크 공격 분석 관리부(301)와 전역 공격 탐지부(303)와 지역 공격 탐지부(305) 등을 포함할 수 있다.
네트워크 공격 분석 관리부(301)는 네트워크 공격 검출부(200)내 트래픽 이미지 관리부(201)로부터 입력되는 네트워크 공격 검출 결과를 전역 공격 탐지부(303) 및 지역 공격 탐지부(305)에 제공하여 네트워크 공격 분석을 요청하고, 이 요청에 대한 응답으로 입력되는 네트워크 공격 분석 결과를 통해 네트워크 공격 정보 및 네트워크 공격의 패턴 정보를 생성하여 네트워크 공격 탐지 결과 표현부(400)내 네트워크 공격 탐지 결과 관리부(401)에 제공한다.
전역 공격 탐지부(303)는 대규모 네트워크를 대상으로 전역적인 공격을 탐지하는 블록으로서, 네트워크 공격 분석 관리부(301)의 네트워크 공격 분석 요청에 따라 입력되는 네트워크 공격 검출 결과가 전역적인 공격(예컨대, 대규모의 네트워크 공격으로, 분산 서비스 거부 공격(DDos: distributed denial-of-service attack)과 인터넷 웜 등의 공격)의 대상일 경우, 이 네트워크 공격 검출 결과에 대하여 라인 검출 기법(알고리즘)을 통해 트래픽 이미지에 존재하는 라인의 기울기를 기준으로 수평 라인인지를 판단한다. 이 판단결과에서 수평 라인일 경우 특정 근원 지 IP에서 다수의 목적지 IP로 트래픽을 전송하고 있다는 것을 의미하기 때문에 근원지 IP를 기준으로 트래픽을 분석하여 네트워크 공격을 탐지하고, 반면에, 판단결과에서 수직 라인일 경우 다수의 근원지 IP로부터 특정 목적지 IP로 트래픽이 전송되고 있다는 것을 의미하기 때문에 목적지 IP를 기준으로 트래픽을 분석하여 네트워크 공격을 탐지하며, 반면에, 판단결과에서 수직 라인 및 수평 라인이 아닌 경우 근원지와 목적지 IP의 분포를 통해 네트워크 공격을 탐지한 다음에, 이 탐지된 결과인 네트워크 공격 분석 결과를 요청에 대한 응답으로 네트워크 공격 분석 관리부(301)에 제공한다.
지역 공격 탐지부(305)는 소규모 네트워크를 대상으로 지역적인 공격을 탐지하는 블록으로서, 네트워크 공격 분석 관리부(301)의 네트워크 공격 분석 요청에 따라 입력되는 네트워크 공격 검출 결과가 지역적인 공격(예컨대, 서비스 거부 공격(Dos: denial-of-service attack), 호스트 스캔, 포트 스캔 등의 공격)의 대상일 경우, 이 네트워크 공격 검출 결과에 대하여 이미지 분할(image segmentation) 기법 혹은 연결영역 레이블링(connected componet labeling) 기법 혹은 경계선 검출 기법 등의 이미지 처리 기법을 통해 근원지와 목적지간의 트래픽 양, 해당 트래픽에 존재하는 근원지 및 목적지 포트의 분포, 근원지와 목적지의 IP 주소 분포 등을 고려하여 특정 영역을 선택하고, 이 선택된 특정 영역에 대하여 목적지 호스트 분석 이미지와 포트 분석 이미지를 생성하여 균일 영역을 검출하고, 또한 이미지의 명암도(intensity), 색상 분석, 경계선 검출(edge detection)등을 통하여 이미지에서 특징적인 호스트 및 포트를 검출하며, 이 검출된 균일 영역과 호스트 및 포트를 통해 해당 호스트 및 포트와 관련된 트래픽을 검사하여 네트워크 공격을 탐지하고, 이 탐지 결과인 네트워크 공격 분석 결과를 요청에 대한 응답으로 네트워크 공격 분석 관리부(301)에 제공한다.
예컨대, 지역 공격 탐지부(305)는 네트워크 공격 분석 관리부(301)의 네트워크 공격 분석 요청에 따라 입력되는 네트워크 공격 검출 결과에 대한 특정 영역의 범위를 B클래스로 설정한 경우, B클래스 네트워크 간에서 발생되는 트래픽을 기준으로 네트워크 공격을 분석한다.
첫째로 도 8a에 도시된 바와 같이 호스트 분석 이미지인 경우 가로축이 IP주소(a.b.c.d) 중 c를 나타내며, 세로축이 IP주소의 d를 의미하는 것으로, 호스트 별 송신/수신 트래픽을 목적지 포트 번호에 매핑하여 화면에 이미지를 표현한 후 이미지 분할 기법과 연결영역 레이블링 기법과 경계선 검출 기법 중 어느 하나의 기법을 적용하면 같은 목적지 포트를 가지는 호스트 및 트래픽이 많이 발생되는 호스트로서, 두 개의 균일 영역(S801, S802) 및 하나의 스팟 영역(S803)이 탐지되었으며, 균일 영역에 대한 근원지 IP 또는 목적지 IP를 찾아서 공격자 또는 피해자를 찾게 된다. 여기서, 균일 영역은 같은 목적지 포트를 사용하여 다양한 호스트를 스캐닝하는 것으로 호스트 스캐닝으로 판정할 수 있으며, 스팟 영역은 특정 호스트에 대하여 트래픽이 많이 유발되는 것으로 포스 스캐닝 또는 서비스 거부 공격으로 판정할 수 있으며, 호스트 별 송신/수신 트래픽을 매핑함에 있어서 목적지 포트 번호가 아닌 트래픽의 빈도수를 사용할 수도 있다.
둘째로, 도 8b에 도시된 바와 같이 포트 분석 이미지인 경우 0∼65535의 값 을 가지는 근원지 포트 또는 목적지 포트별 발생되는 트래픽의 양을 색상으로 매핑하여 표현한 이미지로서, 이미지 분할 기법과 연결영역 레이블링 기법과 경계선 검출 기법 중 어느 하나의 기법을 적용하면 동일한 트래픽의 양을 가지는 포트들의 분포 및 트래픽이 집중되는 포트로서, 세 개의 균일 영역(S804, S805, S806)과 한 개의 스팟 영역(S807)이 탐지되었으며, 탐지된 영역의 트래픽을 분석함으로써 공격을 판정할 수 있다. 여기서, 균일한 영역은 해당 영역에 존재하는 포트들이 동일한 트래픽 양을 갖는 것으로, 포트 스캐닝 공격으로 판정할 수 있고, 스팟 영역은 해당 포트를 사용하는 트래픽이 많다는 것으로, 근원지 및 목적지 IP의 분포도에 따라서 서비스 거부 공격, 호스트 스캐닝 공격으로 판정할 수 있다.
네트워크 공격 탐지 결과 표현부(400)는 공격의 탐지 정보와 공격의 원본 트래픽 흐름뿐만 아니라 트래픽 이미지, 호스트 분석 이미지, 포트 분석 이미지 등의 공격 패턴을 표현하여 네트워크 관리자가 직관적으로 네트워크의 현상을 이해하고 판단하도록 하는 블록으로서, 도 5에 도시된 바와 같이 네트워크 공격 탐지 결과 관리부(401) 및 공격 탐지 결과 표현부(403) 등을 포함할 수 있다.
네트워크 공격 탐지 결과 관리부(401)는 네트워크 공격 분석부(300)내 네트워크 공격 분석 관리부(301)로부터 입력된 네트워크 공격 정보 및 네트워크 공격의 패턴 정보를 공격 탐지 결과 표현부(403)에 제공하고, 더불어 네트워크 공격 정보 및 네트워크 공격의 패턴 정보를 관리하는 중에, 관리자의 요청 또는 시스템의 설정에 따라 다른 보안 장비나 다른 네트워크 장비(S3)로 네트워크 공격이 발생됨을 알리는 경보 메시지를 생성하여 전송한다.
공격 탐지 결과 표현부(403)는 네트워크 공격 탐지 결과 관리부(401)로부터 입력되는 네트워크 공격 정보 및 네트워크 공격의 패턴 정보에 대한 공격 탐지 결과 리스트, 일 예로, 도 9에 도시된 바와 같이 네트워크 공격 탐지 리스트 정보(S901), 시간 흐름에 따른 트래픽 이미지간의 유사성(S902), 원본 트래픽의 흐름(S903), 트래픽 이미지(S904), 호스트 분석 이미지(S905), 포트 분석 이미지(S906) 등으로 구분되도록 구성하여 네트워크 관리자가 확인할 수 있도록 표시장치(S4)를 통해 표시한다.
여기서, 네트워크 관리자는 공격 탐지 리스트 정보(S901)를 통하여 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치가 분석한 네트워크 공격의 리스트를 볼 수 있으며, 해당 공격을 선택할 때에는 해당 공격이 존재했던 트래픽 이미지(S904), 호스트 분석 이미지(S905), 포트 분석 이미지(S906) 등의 공격 분석에 사용된 이미지들을 볼 수 있으며, 또한 원본 트래픽의 흐름(S903)을 통하여 원본 트래픽의 근원지, 목적지, 사용 프로토콜 및 포트 번호 등을 직관적으로 인지할 수 있으며, 또한, 시간 흐름에 따른 트래픽 이미지간의 유사성(S902)을 통하여 이상 현상이 발생된 시점을 확인함으로써, 이상 현상이 발생한 시점에서 탐지된 네트워크 공격 리스트 정보 및 이미지 패턴 정보를 실시간으로 확인 할 수 있다.
따라서, 본 발명은 네트워크에서 발생하는 다양한 공격 데이터들을 탐지하기 위하여 트래픽 정보를 이미지로 형상화한 후, 형상화된 이미지에 대하여 비주얼 데이터 분석 기법을 이용하여 네트워크상의 다양한 공격 데이터를 탐지함으로써, 기존에서와 같이 비정상 탐지 모델에서 공격이 아님에도 공격으로 판정하는 오판과 오용 탐지 모델에서 알려지지 않은 공격에 대해서는 불가능한 탐지 및 시그니처의 데이터베이스가 커지게 되는 문제점들을 해결할 수 있다.
다음에, 상술한 바와 같은 구성을 갖는 본 발명의 일 실시예에서 비주얼 데이터 분석 기반의 네트워크 공격 탐지 과정에 대하여 설명한다.
도 10은 본 발명의 일 실시예에 따른 비주얼 데이터 분석 기반의 네트워크 공격 탐지 방법에 대하여 순차적으로 도시한 흐름도이다.
먼저, 트래픽 이미지 생성부(100)내 트래픽 정보 수집부(101)에서는 네트워크 장비(예컨대, 라우터 등)(S1) 혹은 트래픽 생성 장비(S2)로부터 네트워크 통신(예컨대, TCP(transmission control protocol) 또는 UDP(user datagram protocol)를 사용하는 통신)을 통해 입력되는 트래픽 정보(예컨대, Netflow, sflow 등)를 수집하면서 정규화(S101)하여 IP 주소 정보 추출부(103)에 제공(S103)한다.
IP 주소 정보 추출부(103)에서는 트래픽 정보 수집부(101)로부터 입력되는 정규화된 트래픽 정보에 대하여 IP정보 DB(105)를 검색(S104)하여 트래픽 정보에 대한 다수의 IP부가정보, 일 예로, 근원지 IP와 목적지 IP, 근원지 포트 정보, 목적지 포트 정보, 프로토콜 정보, 통계 정보 등을 추출(S105)한 다음에, 이중 IP주소가 속한 국가, AS, 회사, ISP, 위도, 경도, 관리 도메인 등이 포함된 근원지 IP와 목적지 IP의 정보와 통계 정보에 해당하는 이미지 생성용 IP부가정보를 이미지 생성부(107)에 제공(S107)한다.
이미지 생성부(107)에서는 IP주소 정보 추출부(103)로부터 입력되는 이미지 생성용 IP부가정보로부터 근원지 정보 축의 IP주소가 속한 국가, AS, 회사, ISP, 위도, 경도, 관리 도메인 등이 포함된 근원지 IP의 정보와, 목적지 정보 축의 IP주소가 속한 국가, AS, 회사, ISP, 위도, 경도, 관리 도메인 등이 포함된 목적지 IP의 정보를 통해 n×n의 트래픽 이미지의 가로축과 세로축을 생성(S109)하여 네트워크 공격 검출부(200)내 트래픽 이미지 관리부(201)에 제공(S113)한다.
또한, 이미지 생성부(107)에서는 근원지의 y국가에서 목적지 x국가로 흐르는 해당 픽셀의 트래픽 정보를 사용하여 트래픽의 통계 정보를 계산하고, 이 계산된 트래픽의 통계 정보를 통해 RGB, YCrCb, HSV 등의 다양한 색상 스페이스가 사용되는 트래픽 이미지의 픽셀(x,y) 색상을 트래픽 정보가 수집되는 주기(T)에 따라 생성(S111)하여 네트워크 공격 검출부(200)내 트래픽 이미지 관리부(201)에 제공(S113)한다.
네트워크 공격 검출부(200)내 트래픽 이미지 관리부(201)에서는 트래픽 이미지 생성부(100)내 이미지 생성부(107)로부터 주기(T)에 따라 수집되는 트래픽 이미지를 저장(S115)하고 공격 검출부(203)에서 요청이 있는 경우에 저장된 트래픽 이미지를 요청에 대한 응답으로 공격 검출부(203)에 전송(S117)한다.
공격 검출부(203)에서는 트래픽 이미지 관리부(201)로부터 주기(T)에 따라 수집되는 트래픽 이미지와 이전에 입력된 트래픽 이미지 간의 유사성을 비교(예컨대, 이미지 픽셀 색상 변화 정보 혹은 DCT(discrete cosine transform) 변수간의 변화 정보 등을 사용하는 장면 경계 검출(scene change detection) 방법을 사용함)(S119)하여 사용자가 정의한 유사도 임계값을 벗어나는 경우 네트워크 공격이 존재하는 것으로 판단하고, 판단된 네트워크 공격 검출 결과를 트래픽 이미지 관리 부(201)에 제공(S121)한다.
트래픽 이미지 관리부(201)에서는 공격 검출부(203)로부터 입력되는 네트워크 공격 검출 결과를 전송받아 네트워크 공격 분석부(300)내 네트워크 공격 분석 관리부(301)에 제공(S123)한다.
네트워크 공격 분석부(300)내 네트워크 공격 분석 관리부(301)에서는 네트워크 공격 검출부(200)내 트래픽 이미지 관리부(201)로부터 입력되는 네트워크 공격 검출 결과가 전역적인 공격인지, 아니면 지역적인 공격인지를 판별(S125)한다.
상기 판별(S125)결과, 전역적인 공격일 경우(S127) 네트워크 공격 검출 결과를 전역 공격 탐지부(303)에 제공하여 네트워크 공격 분석을 요청(S129)한다.
전역 공격 탐지부(303)에서는 네트워크 공격 분석 관리부(301)의 네트워크 공격 분석 요청에 따라 입력되는 네트워크 공격 검출 결과에 대하여 라인 검출 기법(알고리즘)을 통해 트래픽 이미지에 존재하는 라인의 기울기를 기준으로 수평 라인인지를 판단(S131)한다.
상기 판단(S131)결과, 수평 라인일 경우 특정 근원지 IP에서 다수의 목적지 IP로 트래픽을 전송하고 있다는 것을 의미하기 때문에 근원지 IP를 기준으로 트래픽을 분석하여 네트워크 공격을 탐지(S133)하고, 탐지된 결과인 네트워크 공격 분석 결과를 요청에 대한 응답으로 네트워크 공격 분석 관리부(301)에 제공(S135)한다.
상기 판단(S131)결과, 수직 라인일 경우 다수의 근원지 IP로부터 특정 목적지 IP로 트래픽이 전송되고 있다는 것을 의미하기 때문에 목적지 IP를 기준으로 트 래픽을 분석하여 네트워크 공격을 탐지(S137)하고, 탐지된 결과인 네트워크 공격 분석 결과를 요청에 대한 응답으로 네트워크 공격 분석 관리부(301)에 제공(S139)한다.
상기 판단(S131)결과, 수직 라인 및 수평 라인이 아닌 경우(S141) 근원지와 목적지 IP의 분포를 통해 네트워크 공격을 탐지(S143)하고, 탐지된 결과인 네트워크 공격 분석 결과를 요청에 대한 응답으로 네트워크 공격 분석 관리부(301)에 제공(S145)한다.
네트워크 공격 분석 관리부(301)에서는 요청에 대한 응답으로 입력되는 네트워크 공격 분석 결과를 통해 네트워크 공격 정보 및 네트워크 공격의 패턴 정보를 생성(S147)하여 네트워크 공격 탐지 결과 관리부(401)에 제공한다.
상기 판별결과, 지역적인 공격일 경우(S149) 네트워크 공격 검출 결과를 지역 공격 탐지부(305)에 제공하여 네트워크 공격 분석을 요청(S151)한다.
지역 공격 탐지부(305)에서는 네트워크 공격 분석 관리부(301)의 네트워크 공격 분석 요청에 따라 입력되는 네트워크 공격 검출 결과에 대하여 이미지 분할(image segmentation) 기법과 연결영역 레이블링(connected componet labeling) 기법 혹은 경계선 검출 기법 등의 이미지 처리 기법을 통해 근원지와 목적지간의 트래픽 양, 해당 트래픽에 존재하는 근원지 및 목적지 포트의 분포, 근원지와 목적지의 IP 주소 분포 등을 고려하여 특정 영역을 선택(S153)하고, 이 선택된 특정 영역에 대하여 목적지 호스트 분석 이미지와 포트 분석 이미지를 생성하여 균일 영역을 검출(S155)하며, 이미지의 명암도(intensity), 색상 분석, 경계선 검출(edge detection)등을 통하여 이미지에서 특징적인 호스트 및 포트를 검출(S157)한다.
이어서, 지역 공격 탐지부(305)에서는 이 검출된 균일 영역과 호스트 및 포트를 통해 해당 호스트 및 포트와 관련된 트래픽을 검사하여 네트워크 공격의 탐지(S159)하고, 이 탐지 결과인 네트워크 공격 분석 결과를 요청에 대한 응답으로 네트워크 공격 분석 관리부(301)에 제공(S161)한다.
네트워크 공격 분석 관리부(301)에서는 요청에 대한 응답으로 입력되는 네트워크 공격 분석 결과를 통해 네트워크 공격 정보 및 네트워크 공격의 패턴 정보를 생성(S163)하여 네트워크 공격 탐지 결과 표현부(400)내 네트워크 공격 탐지 결과 관리부(401)에 제공한다.
네트워크 공격 탐지 결과 표현부(400)내 네트워크 공격 탐지 결과 관리부(401)에서는 네트워크 공격 분석부(300)내 네트워크 공격 분석 관리부(301)로부터 입력된 네트워크 공격 정보 및 네트워크 공격의 패턴 정보를 공격 탐지 결과 표현부(403)에 제공(S165)한다.
그러면, 공격 탐지 결과 표현부(403)에서는 네트워크 공격 탐지 결과 관리부(401)로부터 입력되는 네트워크 공격 정보 및 네트워크 공격의 패턴 정보를 일 예로, 도 9에 도시된 바와 같이 네트워크 공격 탐지 리스트 정보(S901), 시간 흐름에 따른 트래픽 이미지간의 유사성(S902), 원본 트래픽의 흐름(S903), 트래픽 이미지(S904), 호스트 분석 이미지(S905), 포트 분석 이미지(S906)로 구분되도록 구성하여 네트워크 관리자가 확인할 수 있도록 표시장치(S4)를 통해 표시(S167)한다.
더불어 네트워크 공격 탐지 결과 관리부(401)에서는 네트워크 공격 정보 및 네트워크 공격의 패턴 정보를 관리하는 중에, 관리자의 요청 또는 시스템의 설정에 따라 다른 보안 장비나 다른 네트워크 장비(S3)로 네트워크 공격이 발생됨을 알리는 경보 메시지를 생성하여 전송(S169)한다.
본 발명에 의한 비주얼 데이터 분석 기반의 네트워크 공격 탐지 방법은 컴퓨터 프로그램으로 작성 가능하다. 이 컴퓨터 프로그램을 구성하는 코드들 및 코드 세그먼트들은 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 또한, 해당 컴퓨터 프로그램은 컴퓨터가 읽을 수 있는 정보저장매체(computer readable media)에 저장되고, 컴퓨터에 의하여 읽혀지고 실행됨으로써 비주얼 데이터 분석을 기반으로 네트워크 공격을 탐지하도록 하는 방법을 구현한다. 정보저장매체는 자기 기록매체, 광 기록매체 및 캐리어 웨이브 매체를 포함한다.
이상에서와 같이, 본 발명은 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법을 제공함으로써, 대량의 트래픽 데이터를 실시간으로 처리 할 수 있고, 트래픽 이미지를 생성할 때 트래픽의 볼륨, 국가 정보, ISP 정보, 사용되는 포트 정보 등의 다양한 정보들을 삽입하여 기존의 트래픽 볼륨 기반의 네트워크 공격 탐지 기법들이 탐지하지 못했던 공격들을 탐지할 수 있다. 또한, 비주얼 데이터 분석 기법을 사용하여 네트워크 트래픽을 분석함으로써 분석된 결과가 이미지 패턴으로 나타나기 때문에 공격의 탐지 결과를 보고 네트워크 공격 여부를 직관적으로 인지하고, 네트워크 공격 탐지 정보와 네트워크 공격에 대한 이미지 패턴과 원본 데이터 등을 표현하는 사용자 인터페이스를 제공하기 때문에 네트워크 관리자 측면에서 탐지된 공격을 신속하게 검증할 수 있다.
지금까지 본 발명에 대하여 그 일부 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
도 1은 본 발명의 일 실시예에 따른 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치에 대한 블록 구성도,
도 2는 도 1에 도시된 트래픽 이미지 생성부의 상세 블록 구성도,
도 3은 도 1에 도시된 네트워크 공격 검출부의 상세 블록 구성도,
도 4는 도 1에 도시된 네트워크 공격 분석부의 상세 블록 구성도,
도 5는 도 1에 도시된 네트워크 공격 탐지 결과 표현부의 상세 블록 구성도,
도 6a는 본 발명의 일 실시예에 따른 근원지 IP와 목적지 IP의 정보를 도시한 도면,
도 6b는 본 발명의 일 실시예에 따른 x축의 목적지 포트 번호에 대하여 존재하는 y축의 트래픽 빈도수를 그래프 형식으로 표현한 도면,
도 6c는 본 발명의 일 실시예에 따른 근원지 IP와 목적지 IP를 IP주소로 매핑하여 트래픽으로 분산 서비스 거부 공격을 나타낸 도면,
도 6d는 본 발명의 일 실시예에 따른 근원지 IP와 목적지 IP를 IP주소로 매핑하여 트래픽으로 인터넷 웜을 나타낸 도면,
도 7은 본 발명의 일 실시예에 따른 공격 검출부를 통해 트래픽 이미지와 이전에 입력된 트래픽 이미지 간의 유사성 비교를 통해 네트워크 공격의 존재 여부를 판별하기 위한 도면,
도 8a는 본 발명의 일 실시예에 따른 호스트 분석 이미지인 경우, 두 개의 균일 영역 및 하나의 스팟 영역이 탐지됨을 표시한 도면,
도 8b는 본 발명의 일 실시예에 따른 포트 분석 이미지인 경우, 세 개의 균일 영역과 한 개의 스팟 영역이 탐지됨을 표시한 도면,
도 9는 본 발명의 일 실시예에 따른 공격 탐지 결과 리스트를 도시한 도면,
도 10은 본 발명의 일 실시예에 따른 비주얼 데이터 분석 기반의 네트워크 공격 탐지 방법에 대하여 순차적으로 도시한 흐름도.
<도면의 주요부분에 대한 부호의 설명>
100 : 트래픽 이미지 생성부 200 : 네트워크 공격 검출부
300 : 네트워크 공격 분석부 400 : 네트워크 공격 탐지 결과 표현부

Claims (22)

  1. 트래픽 정보를 수집하여 IP 부가정보를 통해 트래픽 이미지를 생성하는 트래픽 이미지 생성부와,
    상기 트래픽 이미지와 이전에 입력된 트래픽 이미지 간의 기설정된 유사도 임계값을 통해 유사성을 비교하여 네트워크 공격을 검출하는 네트워크 공격 검출부와,
    상기 네트워크 공격이 검출된 시점의 상기 트래픽 이미지를 분석하여 네트워크 공격 정보 및 네트워크 공격의 패턴 정보를 탐지하는 네트워크 공격 분석부와,
    상기 네트워크 공격 정보 및 네트워크 공격의 패턴 정보를 표현하는 네트워크 공격 탐지 결과 표현부
    를 포함하는 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치.
  2. 제 1 항에 있어서,
    상기 트래픽 이미지 생성부는,
    네트워크 장비 혹은 트래픽 생성 장비로부터 트래픽 정보를 수집하는 트래픽 정보 수집부와,
    상기 트래픽 정보에 대하여 IP정보 데이터베이스를 검색하여 근원지 IP 및 목적지 IP의 정보와 통계 정보에 해당하는 IP부가정보를 추출하는 IP 주소 정보 추 출부와,
    상기 IP부가정보, IP주소 정보, 축약된 형태의 IP 주소 정보를 통해 트래픽 이미지의 가로축 및 세로축과 픽셀(x,y) 색상을 생성하는 이미지 생성부
    를 포함하는 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치.
  3. 제 2 항에 있어서,
    상기 근원지 IP 및 목적지 IP의 정보 각각에는, IP주소가 속한 국가, AS(autonomous system), 회사, ISP(internet service provider), 위도, 경도, 관리 도메인이 포함되는 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치.
  4. 제 2 항에 있어서,
    상기 트래픽 이미지의 가로축 및 세로축과 픽셀 색상은, 상기 트래픽 정보가 수집되는 주기(T)에 따라 생성되는 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치.
  5. 제 2 항에 있어서,
    상기 픽셀 색상은, RGB, YCrCb, HSV(hue(색상), saturation(채도), value(명 도)로 이루어진 컬러모델)의 색상 스페이스인 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치.
  6. 제 1 항에 있어서,
    상기 네트워크 공격 검출부는,
    상기 트래픽 이미지와 이전에 입력된 트래픽 이미지 간의 유사성 비교를 통해 기설정된 유사도 임계값을 벗어나는 경우 상기 네트워크 공격이 존재하는 것으로 판별하는 공격 검출부와,
    상기 네트워크 공격이 존재하는 검출 결과를 제공하는 트래픽 이미지 관리부
    를 포함하는 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치.
  7. 제 6 항에 있어서,
    상기 유사성 비교는, 이미지 픽셀 색상 변화 정보 혹은 DCT(discrete cosine transform) 변수간의 변화 정보를 사용하는 장면 경계 검출(scene change detection)을 사용하는 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치.
  8. 제 1 항에 있어서,
    상기 네트워크 공격 분석부는,
    상기 네트워크 공격의 전역적 공격 혹은 지역적 공격에 따라 상기 네트워크 공격의 분석을 요청하고, 상기 요청의 응답으로 입력되는 네트워크 공격 분석 결과를 통해 상기 네트워크 공격 정보 및 네트워크 공격의 패턴 정보를 생성하는 네트워크 공격 분석 관리부와,
    상기 네트워크 공격이 상기 전역적 공격일 경우, 라인 검출 기법을 통해 상기 트래픽 이미지에 존재하는 라인의 기울기를 기준으로 수평 라인일 경우 근원지 IP를 기준으로 트래픽을 분석하여 상기 네트워크 공격을 탐지하고, 수직 라인일 경우 목적지 IP를 기준으로 트래픽을 분석하여 상기 네트워크 공격을 탐지하며, 상기 수직 라인 및 수평 라인이 아닌 경우 상기 근원지 및 목적지 IP의 분포를 통해 상기 네트워크 공격을 탐지하는 전역 공격 탐지부와,
    상기 네트워크 공격이 상기 지역적 공격일 경우, 이미지 처리 기법을 통해 균일 영역을 검출하고, 이미지의 명암도(intensity)와 색상 분석 및 경계선 검출(edge detection)을 통해 호스트 및 포트를 검출하며, 상기 균일 영역과 상기 호스트 및 포트를 통해 트래픽을 검사하여 상기 네트워크 공격을 탐지하는 지역 공격 탐지부
    를 포함하는 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치.
  9. 제 8 항에 있어서,
    상기 이미지 처리 기법은, 이미지 분할(image segmentation) 기법 혹은 연결영역 레이블링(connected componet labeling) 기법 혹은 경계선 검출 기법인 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치.
  10. 제 1 항에 있어서,
    상기 네트워크 공격 탐지 결과 표현부는,
    상기 네트워크 공격 정보 및 네트워크 공격의 패턴 정보에 대하여 공격 탐지 결과 리스트로 구성하여 표시장치를 통해 표시하는 공격 탐지 결과 표현부와,
    상기 네트워크 공격이 발생됨을 알리는 경보 메시지를 생성하여 다른 보안장비나 다른 네트워크 장비로 전송하는 네트워크 공격 탐지 결과 관리부
    를 포함하는 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치.
  11. 제 10 항에 있어서,
    상기 공격 탐지 결과 리스트는, 네트워크 공격 탐지 리스트 정보와 시간 흐름에 따른 트래픽 이미지간의 유사성과 원본 트래픽의 흐름과 트래픽 이미지와 호스트 분석 이미지와 포트 분석 이미지로 구분되는 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치.
  12. 트래픽 정보를 수집하여 IP 부가정보를 통해 트래픽 이미지를 생성하는 단계와,
    상기 트래픽 이미지와 이전에 입력된 트래픽 이미지 간의 기설정된 유사도 임계값을 통해 유사성을 비교하여 네트워크 공격을 검출하는 단계와,
    상기 네트워크 공격이 검출된 시점의 상기 트래픽 이미지를 분석하여 네트워크 공격 정보 및 네트워크 공격의 패턴 정보를 탐지하는 단계와,
    상기 네트워크 공격 정보 및 네트워크 공격의 패턴 정보를 출력장치를 통해 표시하는 단계
    를 포함하는 비주얼 데이터 분석 기반의 네트워크 공격 탐지 방법.
  13. 제 12 항에 있어서,
    상기 생성하는 단계는,
    네트워크 장비 혹은 트래픽 생성 장비로부터 트래픽 정보를 수집하는 단계와,
    상기 트래픽 정보에 대하여 IP정보 데이터베이스를 검색하여 근원지 IP 및 목적지 IP의 정보와 통계 정보에 해당하는 IP부가정보를 추출하는 단계와,
    상기 IP부가정보, IP주소 정보, 축약된 형태의 IP 주소 정보를 통해 트래픽 이미지의 가로축 및 세로축과 픽셀(x,y) 색상을 생성하는 단계
    를 포함하는 비주얼 데이터 분석 기반의 네트워크 공격 탐지 방법.
  14. 제 13 항에 있어서,
    상기 근원지 IP 및 목적지 IP의 정보 각각에는, IP주소가 속한 국가, AS(autonomous system), 회사, ISP(internet service provider), 위도, 경도, 관리 도메인이 포함되어 있는 비주얼 데이터 분석 기반의 네트워크 공격 탐지 방법.
  15. 제 13 항에 있어서,
    상기 픽셀 색상은, RGB, YCrCb, HSV(hue(색상), saturation(채도), value(명도)로 이루어진 컬러모델)의 색상 스페이스인 비주얼 데이터 분석 기반의 네트워크 공격 탐지 방법.
  16. 제 12 항에 있어서,
    상기 검출하는 단계는,
    상기 트래픽 이미지와 이전에 입력된 트래픽 이미지 간의 유사성 비교를 통해 기설정된 유사도 임계값을 벗어나는 경우 상기 네트워크 공격이 존재하는 것으로 판별하는 단계와,
    상기 네트워크 공격이 존재하는 경우, 상기 네트워크 공격이 존재한다는 검출 결과를 네트워크 공격 분석 관리부로 제공하는 단계
    를 포함하는 비주얼 데이터 분석 기반의 네트워크 공격 탐지 방법.
  17. 제 16 항에 있어서,
    상기 유사성 비교는, 이미지 픽셀 색상 변화 정보 혹은 장면 경계 검출(scene change detection)을 사용하는 비주얼 데이터 분석 기반의 네트워크 공격 탐지 방법.
  18. 제 12 항에 있어서,
    상기 탐지하는 단계는,
    상기 네트워크 공격이 지역적 공격일 경우, 이미지 처리 기법을 통해 근원지와 목적지간 트래픽의 양과 상기 트래픽에 존재하는 근원지 및 목적지 포트의 분포와 상기 근원지와 목적지의 IP 주소 분포를 통해 특정 영역을 선택하는 단계와,
    상기 특정 영역에 대하여 목적지 호스트 분석 이미지와 포트 분석 이미지를 생성하여 균일 영역을 검출하는 단계와,
    이미지의 명암도(intensity), 색상 분석, 경계선 검출(edge detection)을 통해 상기 이미지에서 특징적인 호스트 및 포트를 검출하는 단계와,
    상기 균일 영역과 상기 호스트 및 포트를 통해 트래픽을 검사하여 상기 네트워크 공격을 탐지하는 단계와,
    상기 네트워크 공격의 결과를 통해 상기 네트워크 공격 정보 및 네트워크 공격의 패턴 정보를 생성하는 단계
    를 포함하는 비주얼 데이터 분석 기반의 네트워크 공격 탐지 방법.
  19. 제 18 항에 있어서,
    상기 이미지 처리 기법은, 이미지 분할(image segmentation) 기법 혹은 연결영역 레이블링(connected componet labeling) 기법 혹은 경계선 검출 기법인 비주얼 데이터 분석 기반의 네트워크 공격 탐지 방법.
  20. 제 12 항에 있어서,
    상기 탐지하는 단계는,
    상기 네트워크 공격이 전역적 공격일 경우, 라인 검출 기법을 통해 상기 트래픽 이미지에 존재하는 라인의 기울기를 기준으로 수평 라인인지 아니면 수직 라인인지를 체크하는 단계와,
    상기 체크하는 단계에서 수평 라인일 경우 근원지 IP를 기준으로 트래픽을 분석하여 제1네트워크 공격을 탐지하는 단계와,
    상기 체크하는 단계에서 수직 라인일 경우 목적지 IP를 기준으로 트래픽을 분석하여 제2네트워크 공격을 탐지하는 단계와,
    상기 체크하는 단계에서 수직 라인 및 수평 라인이 아닌 경우 근원지와 목적지 IP의 분포를 통해 제3네트워크 공격을 탐지하는 단계와,
    상기 탐지된 제1,2,3네트워크 공격의 결과를 통해 상기 네트워크 공격 정보 및 네트워크 공격의 패턴 정보를 생성하는 단계
    를 포함하는 비주얼 데이터 분석 기반의 네트워크 공격 탐지 방법.
  21. 제 12 항에 있어서,
    상기 표시하는 단계는,
    상기 네트워크 공격 정보 및 네트워크 공격의 패턴 정보에 대하여 공격 탐지 결과 리스트로 구성하여 네트워크 표시장치를 통해 표시하는 단계와,
    상기 네트워크 공격이 발생됨을 알리는 경보 메시지를 생성하여 다른 보안장비나 다른 네트워크 장비로 전송하는 단계
    를 포함하는 비주얼 데이터 분석 기반의 네트워크 공격 탐지 방법.
  22. 제 21 항에 있어서,
    상기 공격 탐지 결과 리스트는, 네트워크 공격 탐지 리스트 정보와 시간 흐 름에 따른 트래픽 이미지간의 유사성과 원본 트래픽의 흐름과 트래픽 이미지와 호스트 분석 이미지와 포트 분석 이미지로 구분되는 비주얼 데이터 분석 기반의 네트워크 공격 탐지 방법.
KR1020090069418A 2009-07-14 2009-07-29 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법 KR101219538B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020090069418A KR101219538B1 (ko) 2009-07-29 2009-07-29 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법
US12/630,672 US20110016525A1 (en) 2009-07-14 2009-12-03 Apparatus and method for detecting network attack based on visual data analysis

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090069418A KR101219538B1 (ko) 2009-07-29 2009-07-29 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20110011935A true KR20110011935A (ko) 2011-02-09
KR101219538B1 KR101219538B1 (ko) 2013-01-08

Family

ID=43466179

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090069418A KR101219538B1 (ko) 2009-07-14 2009-07-29 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법

Country Status (2)

Country Link
US (1) US20110016525A1 (ko)
KR (1) KR101219538B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101281456B1 (ko) * 2011-08-19 2013-07-08 고려대학교 산학협력단 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법
US9817969B2 (en) 2013-10-15 2017-11-14 Penta Security Systems Inc. Device for detecting cyber attack based on event analysis and method thereof
CN110445692A (zh) * 2019-08-16 2019-11-12 杭州安恒信息技术股份有限公司 基于主机的流量画像生成方法、系统和计算机可读介质
KR20210065687A (ko) * 2019-11-27 2021-06-04 국방과학연구소 시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치, 방법, 기록 매체 및 컴퓨터 프로그램

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8245302B2 (en) * 2009-09-15 2012-08-14 Lockheed Martin Corporation Network attack visualization and response through intelligent icons
US8245301B2 (en) * 2009-09-15 2012-08-14 Lockheed Martin Corporation Network intrusion detection visualization
US9106689B2 (en) 2011-05-06 2015-08-11 Lockheed Martin Corporation Intrusion detection using MDL clustering
CN102420825B (zh) * 2011-11-30 2014-07-02 北京星网锐捷网络技术有限公司 一种网络攻击防御检测方法及系统
US9141791B2 (en) * 2012-11-19 2015-09-22 Hewlett-Packard Development Company, L.P. Monitoring for anomalies in a computing environment
KR20140075068A (ko) * 2012-12-10 2014-06-19 한국전자통신연구원 화상 통화 영상 변조 장치 및 그 방법
US9106693B2 (en) * 2013-03-15 2015-08-11 Juniper Networks, Inc. Attack detection and prevention using global device fingerprinting
US9015839B2 (en) 2013-08-30 2015-04-21 Juniper Networks, Inc. Identifying malicious devices within a computer network
KR101505138B1 (ko) 2013-12-26 2015-03-24 주식회사 시큐아이 네트워크에 연결된 보안 장치 및 그것의 동작 방법
US11310131B2 (en) 2016-02-29 2022-04-19 Level 3 Communications, Llc Data network analysis system and method for a communication network
CN107332806B (zh) 2016-04-29 2020-05-05 阿里巴巴集团控股有限公司 移动设备标识的设置方法及装置
CN110520806B (zh) * 2016-09-30 2022-09-27 西门子股份公司 对可编程逻辑控制器的偏差工程修改的识别
CN106941502B (zh) * 2017-05-02 2020-10-20 北京理工大学 一种内部网络的安全度量方法和装置
JP2019216305A (ja) * 2018-06-11 2019-12-19 国立大学法人 東京大学 通信装置、パケット処理方法及びプログラム
EP3826242B1 (en) * 2018-07-19 2022-08-10 Fujitsu Limited Cyber attack information analyzing program, cyber attack information analyzing method, and information processing device
CN109729069B (zh) * 2018-11-26 2021-12-28 武汉极意网络科技有限公司 异常ip地址的检测方法、装置与电子设备
US11159542B2 (en) * 2019-03-21 2021-10-26 Microsoft Technology Licensing, Llc Cloud view detection of virtual machine brute force attacks
CN110445753A (zh) * 2019-06-28 2019-11-12 平安科技(深圳)有限公司 终端设备异常访问的隔离方法和装置
KR102251467B1 (ko) * 2019-07-25 2021-05-13 호서대학교 산학협력단 이상치 스코어 기반의 edr에서의 이상 징후 탐지 장치 및 방법
US11606385B2 (en) 2020-02-13 2023-03-14 Palo Alto Networks (Israel Analytics) Ltd. Behavioral DNS tunneling identification
US11811820B2 (en) * 2020-02-24 2023-11-07 Palo Alto Networks (Israel Analytics) Ltd. Malicious C and C channel to fixed IP detection
CN111641619B (zh) * 2020-05-21 2022-06-17 杭州安恒信息技术股份有限公司 一种基于大数据构建黑客画像的方法、装置和计算机设备
US11425162B2 (en) 2020-07-01 2022-08-23 Palo Alto Networks (Israel Analytics) Ltd. Detection of malicious C2 channels abusing social media sites
CN112383554B (zh) * 2020-11-16 2023-04-18 平安科技(深圳)有限公司 接口流量异常检测方法、装置、终端设备及存储介质
US11968222B2 (en) 2022-07-05 2024-04-23 Palo Alto Networks (Israel Analytics) Ltd. Supply chain attack detection

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5278901A (en) * 1992-04-30 1994-01-11 International Business Machines Corporation Pattern-oriented intrusion-detection system and method
US5870559A (en) * 1996-10-15 1999-02-09 Mercury Interactive Software system and associated methods for facilitating the analysis and management of web sites
US6088804A (en) * 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US6301668B1 (en) * 1998-12-29 2001-10-09 Cisco Technology, Inc. Method and system for adaptive network security using network vulnerability assessment
US20020066034A1 (en) * 2000-10-24 2002-05-30 Schlossberg Barry J. Distributed network security deception system
US7562134B1 (en) * 2000-10-25 2009-07-14 At&T Intellectual Property I, L.P. Network traffic analyzer
US7290283B2 (en) * 2001-01-31 2007-10-30 Lancope, Inc. Network port profiling
WO2002071227A1 (en) * 2001-03-01 2002-09-12 Cyber Operations, Llc System and method for anti-network terrorism
KR100520687B1 (ko) * 2003-02-12 2005-10-11 박세웅 네트워크 상태 표시 장치 및 방법
US7735141B1 (en) * 2005-03-10 2010-06-08 Noel Steven E Intrusion event correlator
US8089871B2 (en) * 2005-03-25 2012-01-03 At&T Intellectual Property Ii, L.P. Method and apparatus for traffic control of dynamic denial of service attacks within a communications network
KR100651754B1 (ko) * 2005-09-28 2006-12-01 한국전자통신연구원 트래픽 패턴-맵을 이용한 네트워크 상태 표시 장치 및 그방법
US7849187B2 (en) * 2005-09-28 2010-12-07 Electronics And Telecommunications Research Institute Network status display device and method using traffic pattern map
US7930752B2 (en) * 2005-11-18 2011-04-19 Nexthink S.A. Method for the detection and visualization of anomalous behaviors in a computer network
KR100925176B1 (ko) * 2007-09-21 2009-11-05 한국전자통신연구원 지리 정보를 이용한 네트워크 상태 표시장치 및 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101281456B1 (ko) * 2011-08-19 2013-07-08 고려대학교 산학협력단 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법
US9817969B2 (en) 2013-10-15 2017-11-14 Penta Security Systems Inc. Device for detecting cyber attack based on event analysis and method thereof
CN110445692A (zh) * 2019-08-16 2019-11-12 杭州安恒信息技术股份有限公司 基于主机的流量画像生成方法、系统和计算机可读介质
KR20210065687A (ko) * 2019-11-27 2021-06-04 국방과학연구소 시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치, 방법, 기록 매체 및 컴퓨터 프로그램

Also Published As

Publication number Publication date
KR101219538B1 (ko) 2013-01-08
US20110016525A1 (en) 2011-01-20

Similar Documents

Publication Publication Date Title
KR101219538B1 (ko) 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법
Cvitić et al. Boosting-based DDoS detection in internet of things systems
US8015605B2 (en) Scalable monitor of malicious network traffic
EP3287927B1 (en) Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device
US8549650B2 (en) System and method for three-dimensional visualization of vulnerability and asset data
Thonnard et al. A framework for attack patterns' discovery in honeynet data
US8245302B2 (en) Network attack visualization and response through intelligent icons
CN109962891A (zh) 监测云安全的方法、装置、设备和计算机存储介质
EP3264312A1 (en) Model-based computer attack analytics orchestration
CN111586046B (zh) 一种结合威胁情报和机器学习的网络流量分析方法及系统
CN110113350B (zh) 一种物联网系统安全威胁监测与防御系统及方法
CN110602041A (zh) 基于白名单的物联网设备识别方法、装置及网络架构
CN113691566B (zh) 基于空间测绘和网络流量统计的邮件服务器窃密检测方法
KR20150091775A (ko) 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템
CN111181978B (zh) 异常网络流量的检测方法、装置、电子设备及存储介质
EP3242240B1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
CN110766329A (zh) 一种信息资产的风险分析方法、装置、设备及介质
US8775613B2 (en) Method and system for providing network monitoring, security event collection apparatus and service abnormality detection apparatus for network monitoring
CN115883223A (zh) 用户风险画像的生成方法及装置、电子设备、存储介质
Sen et al. On using contextual correlation to detect multi-stage cyber attacks in smart grids
CN110225009B (zh) 一种基于通信行为画像的代理使用者检测方法
Kim Potential risk analysis method for malware distribution networks
CN110912933B (zh) 一种基于被动测量的设备识别方法
Ohnof et al. IPMatrix: An effective visualization framework for cyber threat monitoring
Kasemsri A survey, taxonomy, and analysis of network security visualization techniques

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151228

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161228

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee