KR20110068308A - System and method for network attack detection and analysis - Google Patents

System and method for network attack detection and analysis Download PDF

Info

Publication number
KR20110068308A
KR20110068308A KR1020090125192A KR20090125192A KR20110068308A KR 20110068308 A KR20110068308 A KR 20110068308A KR 1020090125192 A KR1020090125192 A KR 1020090125192A KR 20090125192 A KR20090125192 A KR 20090125192A KR 20110068308 A KR20110068308 A KR 20110068308A
Authority
KR
South Korea
Prior art keywords
honeypot
virtual
unit
network
traffic
Prior art date
Application number
KR1020090125192A
Other languages
Korean (ko)
Other versions
KR101156005B1 (en
Inventor
김진철
엄익채
이기동
Original Assignee
한전케이디엔주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한전케이디엔주식회사 filed Critical 한전케이디엔주식회사
Priority to KR1020090125192A priority Critical patent/KR101156005B1/en
Publication of KR20110068308A publication Critical patent/KR20110068308A/en
Application granted granted Critical
Publication of KR101156005B1 publication Critical patent/KR101156005B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Abstract

PURPOSE: A network attack detection and analysis system is provided to detect a new malicious cyber attack which is hard to deal with a signature based technique by analyzing the correlation of traffic property through real-time and post monitoring of inside and external traffic. CONSTITUTION: A firewall(110) determines to block the traffic coming into a private network from outside and coming out from the inside of the private network. A virtual honey pot(120) includes a virtual machine and collects network attack data. The VM emulates the operation of the OS. A honey pot manager(130) controls the installation, operation, and setting change of the VM, and monitors the operation of the virtual honey pot. A packet collector(140) collects the packet data coming into the virtual honey pot or coming out from the virtual honey pot.

Description

네트워크 공격 탐지 및 분석 시스템 및 그 방법{SYSTEM AND METHOD FOR NETWORK ATTACK DETECTION AND ANALYSIS}Network attack detection and analysis system and method thereof {SYSTEM AND METHOD FOR NETWORK ATTACK DETECTION AND ANALYSIS}

본 발명은 네트워크 보안에 관한 것으로, 더욱 상세하게는 네트워크 공격 탐지 및 분석 시스템 및 그 방법에 관한 것이다.The present invention relates to network security, and more particularly, to a network attack detection and analysis system and method thereof.

분산 서비스 거부 공격(distributed denial-of-service attack; DDoS)은 복수의 네트워크에 분산되어 있는 대량의 컴퓨터가 일제히 특정 서버에 패킷(packet)을 송출해서 통신 선로 또는 처리 용량을 넘쳐나게 하여 서버 기능이 정지되게 하는 공격이다. 실제로 패킷을 보내는 컴퓨터의 관리자나 이용자에게는 공격의 의도가 없으나 외부의 악의적인 제3자(공격자, cracker)에 의해 컴퓨터를 조종 당해서 이용자가 인지하지 못하는 가운데 서버 공격에 협력하도록 하는 것이 특징이다.Distributed denial-of-service attack (DDoS) allows a large number of computers distributed in multiple networks to send packets to a specific server all at once, overflowing communication lines or processing capacity. It is an attack that stops. In fact, the administrator or user of the computer sending the packet has no intention of attacking, but the computer is manipulated by an external malicious third party (attacker, cracker) so that the user cooperates with the server attack without the user's knowledge.

공격자는 어느 하나의 컴퓨터 시스템의 취약점을 악용하여 그 시스템을 DDoS 마스터 시스템으로 만든 후, 그 마스터 시스템을 이용하여 DDoS 공격에 함께 동원될 다른 시스템들을 검색하는데, 이 과정에서 크래킹(cracking) 도구들을 다수의 시스템에 적재한다. 공격자는 자신이 제어할 수 있는 시스템들로 하여금 특정 표적 시스템에 대하여 공격을 개시하도록 지시하고, 그 결과 표적 시스템이 수용 가능한 이상의 다량의 패킷이 밀려 들어옴으로써 표적 시스템에서 서비스 거부(denial of service; DoS)가 유발된다.An attacker exploits a vulnerability in one computer system to make it a DDoS master system, and then uses that master system to search for other systems that will be mobilized together in a DDoS attack. Load into the system. The attacker instructs the systems he can control to launch an attack against a particular target system, resulting in a denial of service (DoS) attack on the target system by flooding more packets than the target system can accommodate. ) Is caused.

최근에는 봇넷에 의한 대규모 분산 서비스 거부 공격이 사회적 또는 국가적 문제가 되고 있다. 봇넷(botnet)이란 악성 소프트웨어인 봇(bot)에 감염된 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 말한다. 각종 악성 행위를 수행할 수 있는 악성 프로그램인 봇(bot)에 감염된 수천 내지 수십만 대의 컴퓨터들이 네트워크로 연결되고, 봇들을 통제할 수 있는 봇 마스터(bot master)의 원격 명령에 의해 DDoS 공격, 스팸(spam) 발송, 키 로깅(key logging) 등의 다양한 공격을 실행하게 된다.Recently, large-scale distributed denial-of-service attacks by botnets have become a social or national problem. A botnet is a form in which many computers infected by malicious software bots are connected by a network. Thousands to hundreds of thousands of computers infected by bots, which are malicious programs that can perform various malicious actions, are connected to the network, and DDoS attacks, spam ( It launches various attacks, such as sending spam and key logging.

특히 봇넷은 컴퓨터 시스템의 알려진 취약점을 악용하여 보안 패치가 나오기 전까지의 기간 동안 네트워크 공격을 실행하는 제로데이 공격(zero day attack)을 일으켜 큰 피해를 발생시키고 있는데, 안티 바이러스 백신 프로그램(anti-virus vaccine program), 침입 탐지 시스템(intrusion detection system; IDS)이나 침입 방지 시스템(intrusion prevention system; IPS)과 같은 종래 네트워크 보안 기술은 대부분 시그너처(signature)라고 불리는 공격 패턴들의 데이터베이스에 기반하여 공격 여부를 판단하므로 봇과 같이 종래 알려지지 않고, 동적으로 변동하며, 은닉 기법까지 사용하는 신종 악성 프로그램을 방어하는 데에는 기술적인 한계가 있다.In particular, botnets cause a major damage by exploiting known vulnerabilities in computer systems, causing a zero day attack that runs a network attack for a period before a security patch is released. Traditional network security technologies, such as programs, intrusion detection systems (IDS), and intrusion prevention systems (IPS), often determine whether an attack is based on a database of attack patterns called signatures. There are technical limitations in defending new malicious programs such as bots, which are not known in the art, dynamically varying, and even using hidden techniques.

따라서 본 발명의 제1 목적은 봇넷 등의 악성 프로그램의 동작을 탐지하여 분산 서비스 거부 공격 등의 네트워크 공격을 차단할 수 있는 네트워크 공격 탐지 및 분석 시스템을 제공하는 것이다.Accordingly, a first object of the present invention is to provide a network attack detection and analysis system that can detect the operation of malicious programs such as botnets and block network attacks such as distributed denial of service attacks.

따라서 본 발명의 제 2목적은 봇넷 등의 악성 프로그램의 동작을 탐지하여 분산 서비스 거부 공격 등의 네트워크 공격을 차단할 수 있는 네트워크 공격 탐지 및 분석 방법을 제공하는 것이다.Accordingly, a second object of the present invention is to provide a network attack detection and analysis method that can detect the operation of malicious programs such as botnets and block network attacks such as distributed denial of service attacks.

본 발명이 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 본 발명의 기재로부터 당해 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.  The technical objects to be achieved by the present invention are not limited to the above-mentioned technical problems, and other technical subjects which are not mentioned can be clearly understood by those skilled in the art from the description of the present invention .

상술한 본 발명의 제1 목적을 달성하기 위한 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템은, 외부로부터 사설 네트워크로 유입되는 트래픽 및 상기 사설 네트워크 내부로부터 외부로 유출되는 트래픽 중 적어도 하나의 차단 여부를 결정하는 방화벽과, 상기 방화벽 뒤에 위치하고, 운영체제의 동작을 에뮬레이션 하는 적어도 하나의 가상 머신을 포함하며, 네트워크 공격에 대한 데이터를 수집하는 가상 하니팟부와, 상기 방화벽 뒤에 위치하고, 상기 가상 머신의 설치, 동작 개시, 동작 중단 및 설정 변경을 제어하며, 상기 가상 하니팟부의 동작을 실시간으로 감시하는 하니팟 관리부 및 상기 방화벽 뒤에 위치하고, 상기 가상 하 니팟부로 유입되거나 상기 가상 하니팟부로부터 유출되는 패킷 데이터를 수집하는 패킷 수집부를 포함한다.Network attack detection and analysis system according to an embodiment of the present invention for achieving the first object of the present invention described above, at least one of traffic flowing into the private network from the outside and traffic flowing out of the private network from the outside A firewall configured to determine whether to block the network; and at least one virtual machine located behind the firewall and emulating the operation of an operating system, and a virtual honeypot unit configured to collect data about a network attack, and located behind the firewall. Controls the installation, operation start, operation stop and change of settings, and located behind the firewall and the honeypot management unit for monitoring the operation of the virtual honeypot unit in real time, the packet flowing into or out of the virtual honeypot unit Including a packet collector to collect data All.

상기 하니팟 관리부는 상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 상기 가상 하니팟부에 대한 공격 여부를 판단할 수 있다.The honeypot management unit may determine whether an attack on the virtual honeypot unit based on at least a portion of at least one of data collected by the virtual honeypot unit and packet data collected by the packet collector.

상기 하니팟 관리부는 상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 상기 가상 하니팟부에 대한 공격이 있다고 판단되는 경우 상기 방화벽으로 하여금 상기 사설 네트워크 내부로부터 외부로 유출되는 트래픽을 차단케 할 수 있다.When the honeypot management unit determines that there is an attack on the virtual honeypot unit based on at least one of at least one of data collected by the virtual honeypot unit and packet data collected by the packet collecting unit, the firewall causes the firewall to cause the private network. It can block traffic from inside to outside.

상기 방화벽은 상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 상기 가상 하니팟부에 대한 공격이 있다고 판단되는 경우 상기 사설 네트워크 내부로부터 외부로 유출되는 트래픽을 차단할 수 있다.When the firewall determines that there is an attack on the virtual honeypot unit based on at least one of at least one of data collected by the virtual honeypot unit and packet data collected by the packet collector, the firewall is leaked from the inside of the private network to the outside. You can block traffic.

상기 하니팟 관리부 또는 상기 방화벽은 상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 외부 네트워크 IP 주소, 내부 네트워크 IP 주소, 상기 내부 네트워크 IP의 포트 주소 및 패킷크기(Packet size) 중 적어도 하나를 판단하고, 판단된 결과에 기초하여 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단할 수 있다.The honeypot management unit or the firewall may be an external network IP address, an internal network IP address, or a port of the internal network IP based on at least a portion of at least one of data collected by the virtual honeypot unit and packet data collected by the packet collector. At least one of an address and a packet size may be determined, and it may be determined whether there is an attack on the virtual honeypot unit based on the determined result.

상기 하니팟 관리부 또는 상기 방화벽은 상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 상기 가상 하니팟부의 유입 트래픽 및 유출 트래픽을 결정하고, 결정된 상기 가상 하니팟부의 상기 유입 트래픽 및 상기 유출 트래픽에 대한 상관분석 결과에 기초하여 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단할 수 있다.The honeypot management unit or the firewall determines the inflow traffic and the outflow traffic of the virtual honeypot unit based on at least a portion of at least one of data collected by the virtual honeypot unit and packet data collected by the packet collector. Based on the correlation analysis result of the inflow traffic and the outflow traffic of the virtual honeypot unit, it may be determined whether there is an attack on the virtual honeypot unit.

상기 상관분석은 유출 TCP FIN 트래픽에 대비한 유입 TCP SYN 트래픽의 비율을 산출하고, 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단하는 것은 TCP 분산 서비스 거부 공격이 있는지 여부를 판단할 수 있다.The correlation analysis calculates a ratio of incoming TCP SYN traffic to outgoing TCP FIN traffic, and determining whether there is an attack on the virtual honeypot unit may determine whether there is a TCP distributed denial of service attack.

상기 상관분석은 유출 트래픽에 대비한 유입 트래픽의 비율을 산출하고, 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단하는 것은 UDP 분산 서비스 거부 공격이 있는지 여부를 판단할 수 있다.The correlation analysis calculates a ratio of inflow traffic to outflow traffic, and determining whether there is an attack on the virtual honeypot unit may determine whether there is a UDP distributed denial of service attack.

상기 상관분석은 유입 트래픽에 대비한 유출 트래픽의 비율을 산출하고, 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단하는 것은 ICM 분산 서비스 거부 공격이 있는지 여부를 판단할 수 있다.The correlation analysis calculates a ratio of outflow traffic to inflow traffic, and determining whether there is an attack on the virtual honeypot unit may determine whether there is an ICM distributed denial of service attack.

상술한 본 발명의 제2 목적을 달성하기 위한 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 방법은, 운영체제의 동작을 에뮬레이션 하는 적어도 하나의 가상 머신을 하니팟 호스트에 설치하고, 상기 적어도 하나의 가상 머신이 하니팟 기능을 수행하도록 설정하는 단계와, 상기 적어도 하나의 가상 머신으로 유입되거나 상기 적어도 하나의 가상 머신으로부터 유출되는, 네트워크 공격에 대한, 데이터를 수집하는 단계 및 수집된 상기 데이터에 기초하여 적어도 어느 하나의 상기 가상 머신에서 발생한 네트워크 공격을 탐지하는 단계를 포함한다.Network attack detection and analysis method according to an embodiment of the present invention for achieving the second object of the present invention, at least one virtual machine emulating the operation of the operating system in the honeypot host, the at least one Collecting the data for the network attack, entering or exiting the at least one virtual machine from the at least one virtual machine, and collecting the data; Detecting a network attack that occurred on at least one of the virtual machines based on the detection.

상기 네트워크 공격 탐지 및 분석 방법은 상기 적어도 하나의 가상 머신의 동작 개시, 동작 중단, 설정 변경 및 제거 중 적어도 하나를 수행하는 단계를 더 포함할 수 있다.The network attack detection and analysis method may further include performing at least one of starting, stopping, changing, and removing an operation of the at least one virtual machine.

상기 네트워크 공격 탐지 및 분석 방법은 적어도 어느 하나의 상기 가상 머신에서 네트워크 공격이 탐지된 경우 외부로부터 상기 적어도 하나의 가상 머신으로 유입되는 트래픽 및 상기 적어도 하나의 가상 머신으로부터 외부로 유출되는 트래픽 중 적어도 하나를 차단하는 단계를 더 포함할 수 있다.The network attack detection and analysis method may include at least one of traffic flowing into the at least one virtual machine from outside and traffic flowing out from the at least one virtual machine when a network attack is detected in at least one of the virtual machines. It may further comprise the step of blocking.

상기와 같은 네트워크 공격 탐지 및 분석 시스템 및 그 방법에 따르면, 내부 및 외부 트래픽에 대해 실시간 감시 및 사후 감시하고 네트워크 트래픽 특성을 상관 분석함으로써 봇넷에 의한 분산 서비스 거부 공격 등과 같이 종래 시그너처 기반 기술로 대응하기 어려운 신종 악성 사이버 공격을 탐지할 수 있다.According to the network attack detection and analysis system and the method as described above, real-time monitoring and post-monitoring of internal and external traffic and correlation of network traffic characteristics to cope with conventional signature-based technologies such as distributed denial of service attacks by botnets. It can detect difficult new malicious cyber attacks.

그리고 방화벽이 외부로부터 하니팟으로 유입되는 트래픽은 허용하고 하니팟으로부터 외부로 유출되는 트래픽은 차단하여, 그 결과 수집된 데이터에 기초하여 행위 기반 알고리즘을 적용함으로써 봇넷의 표적 시스템 공격 및 봇 마스터와의 통신 등과 같은 신종 사이버 공격을 탐지하고 방화벽에 의하여 이를 차단할 수 있다.The firewall allows traffic from the outside to the honeypot and blocks traffic from the outside to the honeypot, and applies behavior-based algorithms based on the collected data to attack botnets and target systems. New cyber attacks, such as communications, can be detected and blocked by firewalls.

나아가 하니팟을 가상 머신 형태로 구성하고 이에 대한 관리 서버를 둠으로써 하니팟에 대한 설치, 동작 개시, 동작 중단 및 설정 변경 등의 통합 관리 및 유지보수가 용이하다.Furthermore, by configuring the honeypot as a virtual machine and having a management server for it, it is easy to integrate management and maintenance of the honeypot such as installation, start-up, stoppage, and configuration change.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.As the invention allows for various changes and numerous embodiments, particular embodiments will be illustrated in the drawings and described in detail in the written description. However, this is not intended to limit the present invention to specific embodiments, it should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention. Like reference numerals are used for like elements in describing each drawing.

제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.The terms first, second, A, B, etc. may be used to describe various elements, but the elements should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as the second component, and similarly, the second component may also be referred to as the first component. And / or < / RTI > includes any combination of a plurality of related listed items or any of a plurality of related listed items.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.When a component is referred to as being "connected" or "connected" to another component, it may be directly connected to or connected to that other component, but it may be understood that other components may be present in between. Should be. On the other hand, when a component is said to be "directly connected" or "directly connected" to another component, it should be understood that there is no other component in between.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular example embodiments only and is not intended to be limiting of the present invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, the terms "comprise" or "have" are intended to indicate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, and one or more other features. It is to be understood that the present invention does not exclude the possibility of the presence or the addition of numbers, steps, operations, components, components, or a combination thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art. Terms such as those defined in the commonly used dictionaries should be construed as having meanings consistent with the meanings in the context of the related art and shall not be construed in ideal or excessively formal meanings unless expressly defined in this application. Do not.

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 이하, 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.Hereinafter, with reference to the accompanying drawings, it will be described in detail a preferred embodiment of the present invention. Hereinafter, the same reference numerals are used for the same components in the drawings, and duplicate descriptions of the same components are omitted.

본 발명의 실시예에 대하여 설명하기에 앞서, 본 발명에서 사용되는 용어들에 대하여 우선 설명한다.Prior to describing an embodiment of the present invention, terms used in the present invention will first be described.

사설 네트워크(private network)Private network

공중 네트워크와 달리 사설 네트워크는 특정 네트워크로 구축한 조직에 관 련된 사용이 가능한 네트워크이다. 즉, 인증되지 않은 사용자로부터 접근을 차단하여 네트워크의 보안성을 유지시키며 네트워크를 직접적으로 통제함으로써 네트워크 운영에 유연성과 독립성을 기할 수 있는 반면, 다른 사설 네트워크와의 연동 및 이동 사용자에 대한 지원이 어렵다. 원거리에 위치한 지점 간의 네트워크 또는 전용회선 구축 시에 비용 부담이 큰 문제가 있어서, 이를 해결하기 위하여 가상 사설망(virtual private network; VPN)이 이용되는데, 가상 사설망이란 공중 네트워크를 통해 한 회사나 몇몇 단체가 내용을 바깥 사람에게 드러내지 않고 통신할 목적으로 쓰이는 사설 통신망을 의미한다.Unlike public networks, private networks are networks that can be used by organizations built on specific networks. In other words, by blocking access from unauthorized users, the security of the network can be maintained and the network can be directly controlled to provide flexibility and independence in network operations, while interworking with other private networks and supporting mobile users is difficult. . There is a big cost burden when establishing a network or leased line between remote locations, and a virtual private network (VPN) is used to solve this problem. It means a private network used for the purpose of communicating without revealing the contents to outsiders.

가상 머신(virtual machine)Virtual machine

통상적으로 가상 머신은 물리적인 실체를 가진 컴퓨터인 것처럼 자체 운영체제 및 애플리케이션을 실행할 수 있는 완전히 분리된 소프트웨어 컨테이너를 의미한다. 가상 머신은 물리적 컴퓨터와 동일하게 동작하며, 자체의 가상 CPU(central processing unit, 중앙처리장치), RAM(random access memory), 하드 디스크(hard disk) 및 NIC(network interface card, 네트워크 인터페이스 카드)를 포함한다. 운영체제는 가상 머신과 물리적 머신을 구분할 수 없으며 애플리케이션이나 네트워크의 다른 컴퓨터도 이들을 구분하지 못한다. 일반적으로 가상 머신은 소프트웨어로만 구성되며 하드웨어 구성요소를 포함하지 않는다.Typically, a virtual machine is a completely separate software container that can run its own operating system and applications as if it were a computer with a physical entity. A virtual machine behaves like a physical computer and has its own virtual processing unit (CPU), random access memory (RAM), hard disk and network interface card (NIC). Include. The operating system can't distinguish between virtual and physical machines, and neither can applications or other computers on the network. Typically, a virtual machine consists only of software and does not contain any hardware components.

가상 머신은 표준적인 물리적 컴퓨터와 호환되며, 가상 머신 간에는 마치 물리적으로 분리된 것처럼 서로 분리되어 있다. 가상 머신은 전체 컴퓨팅 환경을 캡슐화하고, 기본 하드웨어와는 독립적으로 실행된다. 이와 같은 특성들에 의하여 한 대의 물리적 컴퓨터에서 복수의 서로 다른 운영체제 및 애플리케이션 혼합 구성을 실행할 수 있다.Virtual machines are compatible with standard physical computers, and virtual machines are separated from each other as if they were physically separate. Virtual machines encapsulate the entire computing environment and run independently of the underlying hardware. These features allow for the execution of multiple different operating system and application mix configurations on a single physical computer.

방화벽(firewall)Firewall

방화벽의 기본 역할은 신뢰 수준이 다른 네트워크 구간들 사이에 놓여서 신뢰 수준이 낮은 네트워크로부터 오는 유해 트래픽이 신뢰 수준이 높은 네트워크로 오지 못하게 막는 것이다. 통상적으로 네트워크 관리자의 입장에서 높은 신뢰도를 갖는 구간은 내부 네트워크 구간이라 하고, 낮은 신뢰도를 갖는 구간을 인터넷 구간 또는 외부 네트워크 구간이라고 한다. 예를 들어, 외부에 서비스를 제공하는 서버들로 구성된 소규모 네트워크(DMZ)을 설치하고, 방화벽이 인터넷으로부터 내부 네트워크로의 침입은 막고 내부 네트워크에서 인터넷으로 통신은 허용하는 것과 같은 네트워크 정책을 실행할 수 있다.The primary role of the firewall is to place malicious traffic between networks with different levels of trust so that harmful traffic from a low-trust network does not reach the high-trust network. Generally, a section having a high reliability from the position of a network administrator is called an internal network section, and a section having a low reliability is called an internet section or an external network section. For example, you can set up a small network (DMZ) of servers that provide services to the outside, and enforce network policies such as firewalls preventing intrusion from the Internet to the internal network and allowing communication from the internal network to the Internet. have.

하니팟(honeypot)Honeypot

하니팟은 개념적으로 그 가치가 침입 내지 공격 당하는 것에 있는 보안 자원을 말한다. 하니팟은 공격자(attacker)나 해커(hacker)를 유인하기 위한 기능을 별도로 보유하는 것이 아니라, 단지 인터넷 상에 존재하며 침입 내지 공격 당함으로써 공격자나 해커의 행동, 공격 기법 등을 분석하는데 사용된다. 즉, 하니팟은 방화벽이나 침입 탐지 시스템(intrusion detection system)처럼 특정한 보안 문제를 해결하기 보다는 전반적인 보안 구조의 향상에 그 목적을 두고 있다.Honeypots are conceptually a security resource whose value lies in being invaded or attacked. Honeypots do not have a separate function to attract attackers or hackers, but simply exist on the Internet and are used to analyze attacker or hacker behaviors and attack techniques by being intruded or attacked. In other words, honeypots aim at improving the overall security structure rather than solving specific security problems such as firewalls and intrusion detection systems.

침입 방지(intrusion prevention) 분야에서 하니팟은 공격자를 속이거나, 저지하는데 사용될 수 있다. 그리고 침입 탐지(intrusion detection) 분야에서 하 니팟은 공격자의 행위를 탐지하는데 매우 효율적이다. 또한 침입 대응(intrusion response) 분야에서 하니팟은 침입자(intruder)가 어떻게 시스템에 침입했으며, 어떠한 행동을 했는지에 대한 상세한 정보를 제공할 수 있다.In the field of intrusion prevention, honeypots can be used to trick or stop an attacker. And in the field of intrusion detection, honeypots are very efficient in detecting attacker's actions. In addition, in the area of intrusion response, honeypots can provide detailed information about how an intruder intruded into the system and what it did.

하니팟이 공격자와 상호작용하는 정도, 즉, 공격자가 시스템에 침입해서 자신이 원하는 행동을 할 수 있는 정도가 하니팟이 수집하는 데이터의 질과 양에 영향을 준다. 로우 레벨 하니팟(low level honeypot)는 텔넷(telnet) 또는 FTP(file transfer protocol)과 같은 몇몇 특정한 서비스와 그에 따른 보안상 취약점을 에뮬레이션 하는 것으로, 공격자는 로그인 시도 및 매우 제한적인 상호작용만이 가능하므로, 이를 통해 획득할 수 있는 정보의 질과 양도 낮고 적다. 이에 반하여 하이 레벨 하니팟(high level honeypot)은 실제 운영체제 자체를 에뮬레이션 하는 것으로, 공격자는 백도어(backdoor) 프로그램과 같은 파일을 전송할 수도 있고 해킹 코드를 컴파일 할 수도 있는 등 다양한 행위를 할 수 있어서, 공격자의 키 입력(keystroke), 공격 도구의 사용, 공격자의 대화, 또는 전송되는 이미지 등 많은 정보를 얻을 수 있는 장점이 있다.The degree to which a honeypot interacts with an attacker, that is, the extent to which an attacker can infiltrate the system and do what they want, affects the quality and amount of data that the honeypot collects. Low level honeypots emulate some specific services, such as telnet or file transfer protocol (FTP), and their security vulnerabilities. Attackers can only log in and try very limited interaction. Therefore, the quality and quantity of information that can be obtained through this is low and small. High level honeypots, on the other hand, emulate the actual operating system itself. An attacker can perform various actions, such as sending files such as backdoor programs or compiling hacking code. The advantage is that you get a lot of information, such as keystrokes, the use of attack tools, an attacker's conversation, or an image to be sent.

하니넷(honeynet)Honeynet

하니넷은 일반 컴퓨터 시스템, 보안 솔루션, 그리고 하니팟으로 구성된 네트워크 구조를 의미한다. 또는 하니넷은 일반적으로 한 세션만 필요한 하니팟과 달리 복수의 동시 세션이 요구되는 네트워크 시스템을 의미하기도 한다. 공격자와 높은 수준(high level)의 상호 작용(interaction)이 이루어지며, 공격자는 시스템뿐만 아니라 해당 네트워크에도 자유롭게 접근 및 활동할 수 있다.A honeynet is a network structure consisting of general computer systems, security solutions, and honeypots. Alternatively, a honeynet generally refers to a network system that requires a plurality of simultaneous sessions, unlike a honeypot, which requires only one session. There is a high level of interaction with the attacker, and the attacker can freely access and act on the network as well as the system.

하니넷은 하나의 시스템이 아니라 여러 대의 시스템으로 이루어진 네트워크이다. 하니넷은 접근 통제 시스템의 관리하에서 모든 유입, 유출 트래픽이 통제되고, 이를 통하여 데이터를 수집한다. 이렇게 수집된 정보를 분석하여 공격 도구, 공격 기술, 공격 동기에 대해 알 수 있다. 또한 수집된 정보는 공격에 대한 예보, 경보에 활용될 수 있다.A honeynet is not a system but a network of several systems. Honeynet is controlled by access control system to control all inflow and outflow traffic and collect data through it. The collected information can be analyzed to learn about attack tools, attack techniques, and attack motives. The collected information can also be used to forecast and alert on attacks.

도 1은 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템의 구성을 나타내는 블록도이다.1 is a block diagram showing the configuration of a network attack detection and analysis system according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템은 방화벽(110), 가상 하니팟부(120), 하니팟 관리부(130) 및 패킷 수집부(140)를 포함한다.1, a network attack detection and analysis system according to an embodiment of the present invention includes a firewall 110, a virtual honeypot unit 120, a honeypot manager 130, and a packet collector 140.

방화벽(110)은 외부 네트워크, 인터넷, 공용 네트워크 등과 내부 네트워크, 사설 네트워크, 인트라넷 등의 경계에서 외부로부터 사설 네트워크로 유입되는 트래픽과 사설 네트워크 내부로부터 외부로 유출되는 트래픽을 차단 또는 통과시킨다.The firewall 110 blocks or passes the traffic flowing into the private network from outside and the traffic flowing out from the inside of the private network at the boundary of the external network, the Internet, the public network, and the internal network, the private network, the intranet, and the like.

방화벽(110)이 트래픽을 차단 또는 통과시키는 기준은 네트워크 공격 탐지 및 분석 시스템 사용자(user) 또는 사설 네트워크 관리자(administrator)가 결정하는 네트워크 보안 정책(network security policy)에 따르거나, 방화벽(110)에 탑재된 시그너처(signature) 기반 탐지 및 분석 모듈 또는 행위(action) 기반 탐지 및 분석 모듈의 미리 정하여진 판단 기준에 따르는 것일 수 있다.The criteria for the firewall 110 to block or pass the traffic may be based on a network security policy determined by a network attack detection and analysis system user or a private network administrator, or may be applied to the firewall 110. The signature-based detection and analysis module or the action-based detection and analysis module may be based on predetermined criteria.

시그너처 기반 탐지 및 분석 모듈은 안티 바이러스 소프트웨어, 백신 소프트웨어 등에서 주로 사용되는 악성 코드에 대한 시그너처, 즉 악성 코드가 갖는 패턴을 검색하여 악성 코드인지 여부를 판단하는 기법을 이용한다. 이에 반하여, 행위 기반 탐지 및 분석 모듈은 악성 코드의 호스트 내에서의 행동이나 네트워크 트래픽의 특성을 분석하여 악성 코드인지 여부를 판단하는 기법을 이용한다.The signature-based detection and analysis module uses a technique for searching for signatures of malicious codes mainly used in antivirus software and antivirus software, that is, patterns of malicious codes to determine whether they are malicious codes. In contrast, the behavior-based detection and analysis module uses a technique for determining whether the malicious code is malicious by analyzing the behavior of the malicious code in the host or the characteristics of the network traffic.

방화벽(110)은 외부로부터 사설 네트워크로 유입되는 트래픽은 차단하지 않고 사설 네트워크 내부로부터 외부로 유출되는 트래픽은 차단할 수 있다. 예를 들어, 이와 같은 방화벽(110)의 동작 또는 정책에 의하여 봇넷의 표적 시스템 공격, 봇 마스터 또는 중간 조정 서버(command & control server; C&C server)와의 통신을 차단할 수 있다.The firewall 110 may block traffic flowing out from the inside of the private network without blocking traffic flowing into the private network from the outside. For example, the operation or policy of the firewall 110 may block a target system attack of the botnet, communication with a bot master or a command & control server (C & C server).

방화벽(110)은 후술할 가상 하니팟부(120)에 포함되는 각각의 가상 머신 하니팟(121, 123)에서 발생하는 키 스트로크(key stroke) 정보, 네트워크 트래픽 정보, 의심되는 악성 코드의 행위 패턴 정보, 침입 감지 시스템(IDS) 패턴 정보를 저장할 수 있다. 이 경우 방화벽(110) 또는 하니팟 관리부(130)는 상기 정보를 분석한 결과에 기초하여 방화벽(110)의 트래픽 관리 정책을 변경할 수 있다.The firewall 110 may include key stroke information, network traffic information, and suspected malicious code behavior pattern information generated in each of the virtual machine honeypots 121 and 123 included in the virtual honeypot unit 120 to be described later. Intrusion detection system (IDS) pattern information can be stored. In this case, the firewall 110 or the honeypot management unit 130 may change the traffic management policy of the firewall 110 based on the result of analyzing the information.

가상 하니팟부(120)는 방화벽(110) 뒤에, 즉 방화벽(110)에 의하여 외부 네트워크로부터 격리된 사설 네트워크 내부에 위치한다. 가상 하니팟부(120)는 운영체제(operating system)의 동작을 에뮬레이션(emulation)하는 적어도 하나의 가상 머신을 포함하며, 네트워크 공격의 잠재적인 목표가 되어 네트워크 공격에 대한 데이터를 수집한다.The virtual honeypot unit 120 is located behind the firewall 110, that is, inside the private network isolated from the external network by the firewall 110. The virtual honeypot unit 120 includes at least one virtual machine that emulates the operation of an operating system and becomes a potential target of a network attack to collect data about the network attack.

가상 하니팟부(120)는 m개의 물리적 서버(호스트)에 가상 운영체제를 설치하여 생성한 n개(n >= m)의 가상 머신 하니팟(121, 123)을 포함한다. 특정 물리적 서버(호스트)에 설치된 적어도 하나의 가상 머신 하니팟은 물리적 네트워크 카드(network interface card)를 물리적 서버(호스트)와 공유할 수 있다.The virtual honeypot unit 120 includes n virtual machine honeypots 121 and 123 generated by installing virtual operating systems on m physical servers (hosts). At least one virtual machine honeypot installed in a specific physical server (host) may share a physical network card (network interface card) with the physical server (host).

가상 머신 하니팟(121, 123)을 생성하는 과정은 각 가상 머신에 대한 운영체제 설치, 네트워크 설정 또는 가상 세션 설정 등을 포함하는 시스템 설정, 가상 세션 등의 로깅(logging) 설정, 필요한 경우 가상 머신 하니팟의 동작 테스트, 가상 머신 또는 가상 세션의 백업 등의 과정을 포함할 수 있다.The process of creating the virtual machine honeypots 121 and 123 may include system setting including installation of an operating system for each virtual machine, network setting or virtual session setting, logging setting of a virtual session, and the like. It may include a test operation of a pod, a backup of a virtual machine or a virtual session, and the like.

도 2는 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템에서의 가상 머신 하니팟을 설명하기 위한 개념도이다.2 is a conceptual diagram illustrating a virtual machine honeypot in a network attack detection and analysis system according to an embodiment of the present invention.

가상 머신 하니팟(121, 123)은 가상 머신 관리자(virtual machine manager; VM manager)가 생성 및 제어하는 개별 게스트(guest) 시스템에 대응될 수 있다. 가상 머신 하니팟(121, 123)은 가상 운영체제에 가상 네트워크 세션 설정이 이루어진 하나의 시스템으로 볼 수 있다.The virtual machine honeypots 121 and 123 may correspond to individual guest systems that are created and controlled by a virtual machine manager (VM manager). The virtual machine honeypots 121 and 123 may be viewed as one system in which a virtual network session is established in the virtual operating system.

가상 머신 관리자는, 물리적 서버(호스트)를 구성하는 물리적 실체인 하드웨어(hardware)를 제어하고 하드웨어 상에서 소프트웨어를 실행하는 호스트 운영체제(host operating; host OS) 상에서 실행된다.The virtual machine manager runs on a host operating system (OS) that controls hardware, which is a physical entity constituting a physical server (host), and executes software on the hardware.

다시 도 1을 참조하면, 가상 하니팟부(120)는 공격자와의 하이 레벨 인터랙션(high level interaction)을 제공하는 하이 레벨 하니팟일 수 있다. 운영체제의 전체 기능 및 서비스와 애플리케이션를 에뮬레이션 함으로써 공격자의 행위에 대한 보다 상세한 정보를 수집 및 분석할 수 있다.Referring back to FIG. 1, the virtual honeypot unit 120 may be a high level honeypot that provides high level interaction with an attacker. By emulating the full set of features, services, and applications of the operating system, you can collect and analyze more detailed information about attacker behavior.

하니팟 관리부(130)는 방화벽(110) 뒤에, 즉 방화벽(110)에 의하여 외부 네트워크로부터 격리된 사설 네트워크 내부에 위치한다. 하니팟 관리부(130)는 가상 머신의 설치, 동작 개시, 동작 중단, 설정 변경 및 제거를 개시 및 제어하고, 가상 하니팟부(123)의 동작을 실시간으로 감시할 수 있다. 상술한 바와 같이 상기 가상 머신은 가상 하니팟부(120)에 포함되는 각 가상 머신 하니팟(121, 123)에 대응된다.The honeypot management unit 130 is located behind the firewall 110, that is, inside the private network isolated from the external network by the firewall 110. The honeypot management unit 130 may start and control the installation, operation start, operation stop, setting change and removal of the virtual machine, and may monitor the operation of the virtual honeypot unit 123 in real time. As described above, the virtual machine corresponds to each of the virtual machine honeypots 121 and 123 included in the virtual honeypot unit 120.

하니팟 관리부(130)는 가상 하니팟부(120), 즉 가상 머신 하니팟(121, 123)의 동작에 대한 정보 또는 가상 하니팟부(120)에서 수집되는 데이터를 모니터링하고 이에 관한 보고서를 생성하여 시스템 관리자에게 제공할 수 있다.The honeypot management unit 130 monitors the information about the operation of the virtual honeypot unit 120, that is, the virtual machine honeypots 121 and 123, or data collected from the virtual honeypot unit 120, and generates a report about the system. Can be provided to the administrator.

상술한 바와 같이, 하니팟 관리부(130)는 가상 하니팟부(120)의 각 가상 머신 하니팟(121, 123)의 생성, 재설치, 제거, 동작 개시, 동작 중단 및 설정 변경을 개시 및 제어할 수 있다. 가상 하니팟부(120)는 복수의 가상 머신 하니팟(121, 123)을 포함할 수 있고, 하니팟 관리부(130)가 각각의 가상 머신 하니팟(121, 123)을 제어할 수 있으므로 시스템 관리자가 복수의 물리적 서버(호스트)에 일일이 운영체제를 설치하고 애플리케이션을 설치하는 번거로움을 피할 수 있어서, 그 결과 하니넷을 용이하게 제어할 수 있다.As described above, the honeypot management unit 130 may initiate and control the creation, reinstallation, removal, operation start, operation stop, and setting change of each virtual machine honeypot 121 and 123 of the virtual honeypot unit 120. have. The virtual honeypot unit 120 may include a plurality of virtual machine honeypots 121 and 123, and the honeypot manager 130 may control each of the virtual machine honeypots 121 and 123. The trouble of installing an operating system and installing applications on a plurality of physical servers (hosts) can be avoided, and as a result, the honeynet can be easily controlled.

하니팟 관리부(130)는 방화벽(110), 가상 하니팟부(120), 후술할 패킷 수집부(140) 또는 자신(130)에 저장된 데이터에 기초하여 네트워크 공격 발생 여부 또는 공격자의 공격 기법을 식별하고, 네트워크 보안 정책을 결정할 수 있다. 하니 팟 관리부(130)는 네트워크 공격을 탐지하는 방법으로서, 공격 의도 확인 기법, 네트워크 행위 기반 기법 또는 시그너처 기반 기법 등을 사용할 수 있다.The honeypot management unit 130 identifies whether a network attack has occurred or an attacker's attack technique based on data stored in the firewall 110, the virtual honeypot unit 120, the packet collecting unit 140, or itself 130 to be described later. The network security policy can be determined. The honey pot manager 130 may detect a network attack, and may use an attack intention confirmation technique, a network behavior based technique, or a signature based technique.

예를 들어, 하니팟 관리부(130)는 공격 의도 확인 기법으로서 TCP/UDP 서비스를 제공하는 모든 포트를 모니터링 하거나, 복수 번 동일 포트로의 접근을 시도하는 서비스 요청을 잠재적인 네트워크 공격으로 탐지할 수 있다.For example, the honeypot management unit 130 may monitor all ports providing a TCP / UDP service as an attack intention checking technique, or detect a service request that attempts to access the same port multiple times as a potential network attack. have.

또는 하니팟 관리부(130)는 네트워크 행위 기반 기법으로서 소스 IP 주소, 소스 포트, 목적 IP 주소, 목적 포트, 패킷 길이 등에 대한 분석을 통하여 알려지지 않은 공격을 탐지할 수 있다. 예를 들어, 소스 IP 주소의 수, 목적 IP 주소의 수, 목적 포트의 수의 관계가 1:1:m 인 경우에는 목적 포트 스캔, 1:1:m 인 경우에는 웜(worm) 또는 호스트 스캔, m:1:1 인 경우에는 포트 고정 소스 변조 DDoS, m:m:1 인 경우에는 분산 호스트 스캔, m:1:m 인 경우에는 포트 가변 소스 변조 DDoS, 1:m:m 인 경우에는 백 스캐터에 해당하는 공격으로 탐지할 수 있다.Alternatively, the honeypot manager 130 may detect an unknown attack through analysis of a source IP address, a source port, a destination IP address, a destination port, and a packet length as a network behavior based technique. For example, if the relationship between the number of source IP addresses, the number of destination IP addresses, and the number of destination ports is 1: 1: m, then the destination port scan; if 1: 1: 1, the worm or host scan port fixed source modulation DDoS for m: 1: 1, distributed host scan for m: m: 1, port variable source modulation DDoS for m: 1: m, back for 1: m: m This can be detected by an attack that corresponds to a scatter.

또는 하니팟 관리부(130)는 시그너처 기반 기법으로서 알려진 패턴을 가지는 악성 코드를 탐지할 수 있다.Alternatively, the honeypot manager 130 may detect malicious code having a pattern known as a signature-based technique.

이하에서 네트워크 행위 기반 기법에 따른 공격 탐지 방법에 대해 구체적인 예를 들어 설명하겠다. 네트워크 공격 탐지는 방화벽(110), 하니팟 관리부(130) 또는 패킷 수집부(140) 중 어느 것에 의하여도 수행될 수 있으나, 이하에서는 하니팟 관리부(130)가 네트워크 공격 탐지를 수행하는 것으로 가정하고 설명하겠다.Hereinafter, an attack detection method according to a network behavior based method will be described with a specific example. The network attack detection may be performed by any one of the firewall 110, the honeypot management unit 130, and the packet collecting unit 140, but hereinafter, it is assumed that the honeypot management unit 130 performs the network attack detection. I will explain.

하니팟 관리부(130)는 가상 하니팟부(120)가 수집한 데이터의 전부 또는 일부, 후술할 패킷 수집부(140)가 수집한 패킷 데이터의 전부 또는 일부, 또는 가 상 하니팟부(120) 및 패킷 수집부(140)가 수집한 패킷 데이터의 전부 또는 일부에 기초하여 가상 하니팟부(120)의 유입 트래픽 및 유출 트래픽을 결정할 수 있다. 그리고 하니팟 관리부(130)는 결정된 가상 하니팟부(120)의 유입 트래픽 및 유출 트래픽에 대한 상관분석 결과에 기초하여 가상 하니팟부(120)에 대한 공격이 있는지 여부를 판단할 수 있다. 상기 유입 트래픽 및 상기 유출 트래픽의 비율을 산출하는데 있어서 NetFlow 통계 정보가 이용될 수 있다.The honeypot management unit 130 may include all or a portion of data collected by the virtual honeypot unit 120, all or a portion of packet data collected by the packet collecting unit 140, or a virtual honeypot unit 120 and a packet. The inflow traffic and the outflow traffic of the virtual honeypot unit 120 may be determined based on all or a part of the packet data collected by the collection unit 140. The honeypot management unit 130 may determine whether there is an attack on the virtual honeypot unit 120 based on the determined correlation analysis result of the inflow traffic and the outflow traffic of the virtual honeypot unit 120. NetFlow statistical information may be used to calculate the ratio of the inflow traffic and the outflow traffic.

하니팟 관리부(130)는 유출 TCP FIN 트래픽에 대비한 유입 TCP SYN 트래픽의 비율을 산출하는 상관분석을 실시하고, 그 상관분석 결과에 기초하여 가상 하니팟부(120)에 대한 TCP 분산 서비스 거부 공격이 있는지 여부를 판단할 수 있다. 하니팟 관리부(130)는 트래픽을 유발한 호스트의 IP를 이용하여 TCP 플로우 기록을 검색하여 마스터 봇(C&C 서버)의 위치(IP 정보)를 판단할 수 있다.The honeypot management unit 130 performs a correlation analysis that calculates the ratio of the incoming TCP SYN traffic to the outgoing TCP FIN traffic, and based on the correlation analysis result, the TCP distributed denial of service attack on the virtual honeypot unit 120 is performed. Can be determined. The honeypot manager 130 may determine the location (IP information) of the master bot (C & C server) by searching the TCP flow record using the IP of the host that caused the traffic.

또는 하니팟 관리부(130)는 유출 트래픽에 대비한 유입 트래픽의 비율을 산출하는 상관분석을 실시하고, 그 상관분석 결과에 기초하여 가상 하니팟부(120)에 대한 UDP 분산 서비스 거부 공격이 있는지 여부를 판단할 수 있다. 하니팟 관리부(130)는 트래픽을 유발한 호스트의 IP를 이용하여 UDP 플로우 기록을 검색하여 마스터 봇(C&C 서버)의 위치(IP 정보)를 판단할 수 있다.Alternatively, the honeypot management unit 130 performs a correlation analysis for calculating a ratio of inflow traffic to outflow traffic, and based on the correlation analysis result, whether or not there is a UDP distributed denial of service attack on the virtual honeypot unit 120. You can judge. The honeypot manager 130 may determine the location (IP information) of the master bot (C & C server) by searching the UDP flow record using the IP of the host that caused the traffic.

또는 하니팟 관리부(130)는 유입 트래픽에 대비한 유출 트래픽의 비율을 산출하는 상관분석을 실시하고, 그 상관분석 결과에 기초하여 가상 하니팟부(120)에 대한 ICM 분산 서비스 거부 공격이 있는지 여부를 판단할 수 있다. 하니팟 관리부(130)는 트래픽을 유발한 호스트의 IP를 이용하여 ICM 플로우 기록을 검색하여 마스터 봇(C&C 서버)의 위치(IP 정보)를 판단할 수 있다.Alternatively, the honeypot management unit 130 performs a correlation analysis for calculating the ratio of outflow traffic to the inflow traffic, and based on the correlation analysis result, whether there is an ICM distributed denial of service attack on the virtual honeypot unit 120. You can judge. The honeypot manager 130 may determine the location (IP information) of the master bot (C & C server) by searching the ICM flow record using the IP of the host that caused the traffic.

하니팟 관리부(130)는 가상 하니팟부(120)가 수집한 데이터의 전부 또는 일부, 후술할 패킷 수집부(140)가 수집한 패킷 데이터의 전부 또는 일부, 또는 가상 하니팟부(120) 및 패킷 수집부(140)가 수집한 패킷 데이터의 전부 또는 일부에 기초하여 가상 하니팟부(120)에 대한 네트워크 공격이 있는지 판단하고, 공격이 있다고 판단되면 방화벽(110)으로 하여금 외부로부터 사설 네트워크로 유입되는 트래픽, 사설 네트워크 내부로부터 외부로 유출되는 트래픽, 또는 유입되거나 유출되는 모든 트래픽을 차단케 할 수 있다.The honeypot management unit 130 may include all or a portion of data collected by the virtual honeypot unit 120, all or a portion of packet data collected by the packet collector 140 to be described later, or a virtual honeypot unit 120 and a packet collection. On the basis of all or part of the packet data collected by the unit 140, it is determined whether there is a network attack on the virtual honeypot unit 120, and when it is determined that the firewall 110 causes the traffic to flow into the private network from the outside, the firewall 110. For example, it can block outgoing traffic from inside or outside the private network, or all incoming or outgoing traffic.

본 발명의 다른 일 실시예로서, 방화벽(110)은 가상 하니팟부(120)가 수집한 데이터의 전부 또는 일부, 후술할 패킷 수집부(140)가 수집한 패킷 데이터의 전부 또는 일부, 또는 가상 하니팟(120) 및 패킷 수집부(140)가 수집한 패킷 데이터의 전부 또는 일부에 기초하여 가상 하니팟부(120)에 대한 공격이 있는지 판단하고, 공격이 있다고 판단되면 외부로부터 사설 네트워크로 유입되는 트래픽, 사설 네트워크 내부로부터 외부로 유출되는 트래픽, 또는 유입되거나 유출되는 모든 트래픽을 차단할 수 있다.As another embodiment of the present invention, the firewall 110 is all or part of the data collected by the virtual honeypot unit 120, all or part of the packet data collected by the packet collection unit 140 to be described later, or virtual honey Based on all or part of the packet data collected by the pod 120 and the packet collecting unit 140, it is determined whether there is an attack on the virtual honey pot unit 120, and when the attack is determined, traffic flowing into the private network from the outside is determined. For example, it can block outgoing traffic from inside or outside the private network, or any incoming or outgoing traffic.

본 발명의 또 다른 일 실시예로서, 후술할 패킷 수집부(140)는 가상 하니팟부(120)가 수집한 데이터의 전부 또는 일부, 패킷 수집부(140)가 수집한 패킷 데이터의 전부 또는 일부, 또는 가상 하니팟(120) 및 패킷 수집부(140)가 수집한 패킷 데이터의 전부 또는 일부에 기초하여 가상 하니팟부(120)에 대한 공격이 있는지 판단하고, 공격이 있다고 판단되면 방화벽(110)으로 하여금 외부로부터 사설 네트 워크로 유입되는 트래픽, 사설 네트워크 내부로부터 외부로 유출되는 트래픽, 또는 유입되거나 유출되는 모든 트래픽을 차단케 할 수 있다.As another embodiment of the present invention, the packet collecting unit 140 to be described later includes all or part of the data collected by the virtual honeypot unit 120, all or part of the packet data collected by the packet collecting unit 140, Alternatively, the virtual honeypot 120 and the packet collecting unit 140 determine whether there is an attack on the virtual honeypot unit 120 based on all or a part of the packet data collected, and if the attack is determined, the firewall 110. You can block traffic from outside into the private network, from outside the private network to outside, or from all outgoing or outgoing traffic.

패킷 수집부(140)는 방화벽(110) 뒤에, 즉 방화벽(110)에 의하여 외부 네트워크로부터 격리된 사설 네트워크 내부에 위치한다. 패킷 수집부(140)는 가상 하니팟부(120)로 유입되거나 가상 하니팟부(120)로부터 유출되는 패킷 데이터를 수집한다. 패킷 수집부(140)는 가상 하니팟부(120)와 외부 네트워크 간에 전송되는 통신 패킷을 저장하여, 방화벽(110) 또는 하니팟 관리부(130)에서의 네트워크 공격 탐지 분석에 이용되는 데이터로서 제공하거나, 네트워크 공격의 사후 검출(forensic) 데이터 또는 네트워크 공격에 대한 법정 증거(forensic evidence)를 제공할 수 있다.The packet collector 140 is located behind the firewall 110, that is, inside the private network isolated from the external network by the firewall 110. The packet collecting unit 140 collects packet data flowing into or out of the virtual honeypot unit 120. The packet collection unit 140 stores communication packets transmitted between the virtual honeypot unit 120 and the external network, and provides the data as data used for network attack detection analysis in the firewall 110 or the honeypot management unit 130, Forensic data of network attacks or forensic evidence of network attacks can be provided.

패킷 수집부(140)는 가상 하니팟부(120)로 유입되거나 가상 하니팟부(120)로부터 유출되는 패킷을 수집하고 패킷 데이터를 조회하거나 패킷을 추적할 수 있는 패킷 수집 장비(packet capture device)를 포함할 수 있고, 수집된 패킷에 대한 보고서를 생성하여 시스템 관리자에게 제공할 수 있다.The packet collecting unit 140 includes a packet capture device that collects packets that flow into or out of the virtual honeypot unit 120 and inquires packet data or tracks the packet. You can also generate a report on the collected packets and provide them to the system administrator.

방화벽(110), 가상 하니팟부(120), 하니팟 관리부(130) 및 패킷 수집부(140) 중 적어도 둘 이상의 구성요소는 하나의 블록 또는 하나의 장치로 구현될 수 있다. 예를 들어, 가상 하니팟부(120) 및 하니팟 관리부(130)는 하니팟 호스트(미도시)와 같이 하나의 블록 또는 하나의 장치로 구현될 수 있다. 또는 가상 하니팟부(120), 하니팟 관리부(130) 및 패킷 수집부(140)는 하니팟 호스트(미도시)와 같이 하나의 블록 또는 하나의 장치로 구현될 수 있다. 또는 방화벽(110), 가상 하 니팟부(120) 및 하니팟 관리부(130)는 하니팟 호스트(미도시)와 같이 하나의 블록 또는 하나의 장치로 구현될 수 있다. 또는 방화벽(110), 가상 하니팟부(120), 하니팟 관리부(130) 및 패킷 수집부(140)는 하니팟 호스트(미도시)와 같이 하나의 블록 또는 하나의 장치로 구현될 수 있다.At least two or more components of the firewall 110, the virtual honeypot unit 120, the honeypot management unit 130, and the packet collecting unit 140 may be implemented as one block or one device. For example, the virtual honeypot unit 120 and the honeypot manager 130 may be implemented as one block or one device, such as a honeypot host (not shown). Alternatively, the virtual honeypot unit 120, the honeypot manager 130, and the packet collector 140 may be implemented as one block or one device, such as a honeypot host (not shown). Alternatively, the firewall 110, the virtual honeypot unit 120, and the honeypot management unit 130 may be implemented as one block or one device, such as a honeypot host (not shown). Alternatively, the firewall 110, the virtual honeypot unit 120, the honeypot manager 130, and the packet collector 140 may be implemented as one block or one device, such as a honeypot host (not shown).

이하에서는 가상 하니팟부(120)에서 발생하는 네트워크 이벤트에 기초하여 네트워크 공격을 탐지 또는 판별하는 방법의 예에 대하여 별도의 도면을 참조하여 설명하겠다.Hereinafter, an example of a method of detecting or determining a network attack based on a network event occurring in the virtual honeypot unit 120 will be described with reference to a separate drawing.

도 3은 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템에서의 네트워크 공격 탐지 방법을 설명하기 위한 흐름도이다. 네트워크 공격 탐지는 방화벽(110), 하니팟 관리부(130) 또는 패킷 수집부(140) 중 어느 것에 의하여도 수행될 수 있으나, 이하에서는 하니팟 관리부(130)가 네트워크 공격 탐지를 수행하는 것으로 가정하고 설명하겠다.3 is a flowchart illustrating a network attack detection method in a network attack detection and analysis system according to an embodiment of the present invention. The network attack detection may be performed by any one of the firewall 110, the honeypot management unit 130, and the packet collecting unit 140, but hereinafter, it is assumed that the honeypot management unit 130 performs the network attack detection. I will explain.

도 3을 참조하면, 하니팟 관리부(130)는 단위 시간 동안 네트워크 이벤트를 수집한다(S210). 네트워크 이벤트(network event)란 적어도 하나의 통신 패킷에 의하여 발생하는 네트워크 상의 사건(event)을 의미한다.Referring to FIG. 3, the honeypot management unit 130 collects network events for a unit time (S210). A network event refers to an event on the network caused by at least one communication packet.

하니팟 관리부(130)는 가상 하니팟부(120)가 수집한 데이터의 전부 또는 일부, 패킷 수집부(140)가 수집한 패킷 데이터의 전부 또는 일부, 또는 가상 하니팟(120) 및 패킷 수집부(140)가 수집한 패킷 데이터의 전부 또는 일부에 기초하여 적어도 하나의 패킷에 대한 외부 네트워크 IP 주소, 내부 네트워크 IP 주소, 상기 내부 네트워크 IP의 포트 주소, 패킷크기(packet size) 및 코드 시그너처 중 적어도 하나를 판단할 수 있다. 그리고 하니팟 관리부(130)는 그 판단된 결과에 기초하여 가상 하니팟부(120)에 대한 공격이 있는지 여부를 판단할 수 있다. 여기서 상기 코드 시그너처는 적어도 하나의 패킷의 페이로드(payload)로 구성되는 악성 코드의 알려진 코드 패턴을 의미한다.The honeypot management unit 130 may include all or a portion of data collected by the virtual honeypot unit 120, all or a portion of packet data collected by the packet collecting unit 140, or a virtual honeypot 120 and a packet collecting unit ( At least one of an external network IP address, an internal network IP address, a port address of the internal network IP, a packet size, and a code signature for at least one packet based on all or part of the packet data collected by 140 Can be determined. The honeypot management unit 130 may determine whether there is an attack on the virtual honeypot unit 120 based on the determined result. Here, the code signature refers to a known code pattern of malicious code that is composed of payloads of at least one packet.

미리 정하여진 개수 이상의 동일한 네트워크 이벤트가 발생한 경우에는 축약 결과 이벤트가 발생한 것으로 판단할 수 있다(S220, S271).When the same network event more than a predetermined number has occurred, it may be determined that the abbreviated event has occurred (S220, S271).

미리 정하여진 개수 이상의 동일한 네트워크 이벤트가 발생하지 않은 경우에는 다음과 같다(S220). 동일 외부 네트워크 IP 주소 및 서로 다른 내부 네트워크 IP 주소의 동일한 포트 주소에 대한 이벤트가 발생한 경우에는 스캐닝 의심 이벤트로 판단할 수 있다(S230, S240, S273). 서로 다른 외부 네트워크 IP 주소 및 서로 다른 내부 네트워크 IP 주소의 동일한 포트 주소에 대한 이벤트가 발생한 경우에는 웜 전파 의심 이벤트로 판단할 수 있다(S230, S250, S275). 동일 코드 시그너처가 식별된 경우에는 봇 전파 의심 이벤트로 판단할 수 있다(S220, S230, S240, S250, S260, S277).If the same network event or more than a predetermined number does not occur as follows (S220). When an event for the same port address of the same external network IP address and different internal network IP addresses occurs, it may be determined as a scanning suspicious event (S230, S240, S273). When an event occurs for the same port address of different external network IP addresses and different internal network IP addresses, it may be determined as a worm propagation event (S230, S250, S275). If the same code signature is identified, it may be determined as a suspicious bot propagation event (S220, S230, S240, S250, S260, S277).

도 4는 본 발명의 다른 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템에서의 네트워크 공격 탐지 방법을 설명하기 위한 흐름도이다. 네트워크 공격 탐지는 방화벽(110), 하니팟 관리부(130) 또는 패킷 수집부(140) 중 어느 것에 의하여도 수행될 수 있으나, 이하에서는 하니팟 관리부(130)가 네트워크 공격 탐지를 수행하는 것으로 가정하고 설명하겠다.4 is a flowchart illustrating a network attack detection method in a network attack detection and analysis system according to another embodiment of the present invention. The network attack detection may be performed by any one of the firewall 110, the honeypot management unit 130, and the packet collecting unit 140, but hereinafter, it is assumed that the honeypot management unit 130 performs the network attack detection. I will explain.

도 4를 참조하면, 하니팟 관리부(130)는 단위 시간 동안 네트워크 트래픽을 분석한다(S310). 외부 네트워크로부터 유입되는 트래픽이 발생하였고 동일 포트에 대한 트래픽인 경우에는 마스터 봇 C&C 의심 이벤트로 판단할 수 있다(S320, S330, S351). 내부 네트워크로부터 유출되는 트래픽이 발생하였고 동일한 외부 IP 주소에 대한 트래픽인 경우에는 DDoS 의심 이벤트로 판단할 수 있다(S320, S340, S353). 내부 네트워크로부터 유출되는 트래픽이 발생하였고 동일한 외부 IP 주소에 대한 트래픽이 아닌 경우에는 웜 전파 의심 이벤트로 판단할 수 있다(S320, S340, S355).Referring to FIG. 4, the honeypot manager 130 analyzes network traffic for a unit time (S310). When traffic from an external network occurs and traffic to the same port may be determined as a suspicious master bot C & C event (S320, S330, S351). When traffic leaked from the internal network occurs and traffic to the same external IP address may be determined as a suspected DDoS event (S320, S340, and S353). If the traffic leaked from the internal network is generated and is not traffic to the same external IP address, it may be determined as a worm propagation event (S320, S340, and S355).

도 5는 본 발명의 다른 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템의 구성을 나타내는 블록도이다.5 is a block diagram showing the configuration of a network attack detection and analysis system according to another embodiment of the present invention.

방화벽(110), 가상 하니팟부(120), 하니팟 관리부(130) 및 패킷 수집부(140)에 대하여는 도 1 내지 도 4와 동일한 참조부호를 사용하며 상기 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템에 대하여 도 1 내지 도 4를 참조하여 설명한 바와 동일하게 이해될 수 있으므로 이하 설명을 생략한다.The firewall 110, the virtual honeypot unit 120, the honeypot management unit 130, and the packet collecting unit 140 use the same reference numerals as those of FIGS. 1 to 4, and the network attack according to the embodiment of the present invention. Since the detection and analysis system can be understood in the same manner as described with reference to FIGS. 1 to 4, a description thereof will be omitted.

L3 스위치(150)와 방화벽(110), 가상 하니팟부(120) 및 패킷 수집부(140) 간에는 실제 트래픽이 전송된다. 패킷 수집부(140)는, L3 스위치(150)와 가상 하니팟부(120) 간의 트래픽 라인(151)에서 유입 또는 유출되는 패킷을 수집할 수 있도록, L3 스위치(150)의 미러링 포트(SPAN 포트)에 연결될 수 있다(S153).Actual traffic is transmitted between the L3 switch 150 and the firewall 110, the virtual honeypot 120, and the packet collector 140. The packet collecting unit 140 may collect a packet flowing in or out of the traffic line 151 between the L3 switch 150 and the virtual honeypot unit 120, and a mirroring port (SPAN port) of the L3 switch 150. It may be connected to (S153).

L2 스위치(160)와 방화벽(110), 가상 하니팟부(120), 하니팟 관리부(130) 및 패킷 수집부(140) 간에는 관리 트래픽 또는 제어 트래픽이 전송된다.Management traffic or control traffic is transmitted between the L2 switch 160 and the firewall 110, the virtual honeypot unit 120, the honeypot management unit 130, and the packet collection unit 140.

도 6은 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 방법을 설명하기 위한 흐름도이다.6 is a flowchart illustrating a network attack detection and analysis method according to an embodiment of the present invention.

도 6을 참조하면, 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 방법은 운영체제의 동작을 에뮬레이션 하는 적어도 하나의 가상 머신을 하니팟 호스트에 설치하고, 적어도 하나의 가상 머신이 하니팟 기능을 수행하도록 설정하는 단계(S410), 적어도 하나의 가상 머신으로 유입되거나 적어도 하나의 가상 머신으로부터 유출되는, 네트워크 공격에 대한, 데이터를 수집하는 단계(S430) 및 수집된 데이터에 기초하여 적어도 어느 하나의 가상 머신에서 발생한 네트워크 공격을 탐지하는 단계(S440)를 포함한다.Referring to FIG. 6, in the network attack detection and analysis method according to an embodiment of the present invention, at least one virtual machine is installed in a honeypot host that emulates an operation of an operating system, and the at least one virtual machine provides a honeypot function. Setting to perform (S410), collecting data about network attacks that flow into or out of the at least one virtual machine (S430) and at least one based on the collected data Detecting a network attack occurred in the virtual machine (S440).

본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 방법은 적어도 하나의 가상 머신의 동작 개시, 동작 중단, 설정 변경 및 제거 중 적어도 하나를 수행하는 단계(S420)를 더 포함할 수 있다.The network attack detection and analysis method according to an embodiment of the present invention may further include performing at least one of starting, stopping, changing, and removing an operation of at least one virtual machine (S420).

본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 방법은, 적어도 어느 하나의 상기 가상 머신에서 네트워크 공격이 탐지된 경우 외부로부터 적어도 하나의 가상 머신으로 유입되는 트래픽 및 적어도 하나의 가상 머신으로부터 외부로 유출되는 트래픽 중 적어도 하나를 차단하는 단계를 더 포함할 수 있다(S450).Network attack detection and analysis method according to an embodiment of the present invention, when the network attack is detected in at least one of the virtual machine traffic from the outside to the at least one virtual machine and at least one virtual machine to the outside Blocking at least one of the outgoing traffic may be further included (S450).

가상 머신 하니팟 설정 단계(S410), 가상 머신 하니팟 설정 변경 단계(S420), 유입 및 유출 데이터 수집 단계(S430), 네트워크 공격 탐지 단계(S440) 및 유입 트래픽 및 유출 트래픽 차단 단계(S450)에 대하여는 상기 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템에서 방화벽(110), 가상 하니팟부(120), 하니팟 관리부(130) 및 패킷 수집부(140)에 대하여 도 1 내지 도 5을 참조하여 설명한 바와 유사하게 이해될 수 있으므로 이하 설명을 생략한다.In the virtual machine honeypot setting step (S410), virtual machine honeypot setting change step (S420), inflow and outflow data collection step (S430), network attack detection step (S440) and inflow and outflow traffic blocking step (S450) 1 to 5 with respect to the firewall 110, the virtual honeypot unit 120, the honeypot management unit 130 and the packet collector 140 in the network attack detection and analysis system according to an embodiment of the present invention. As it may be understood similarly to what has been described with reference, the following description is omitted.

이상 실시예를 참조하여 설명하였지만, 해당 기술분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although described with reference to the above embodiments, those skilled in the art will understand that various modifications and changes can be made without departing from the spirit and scope of the invention as set forth in the claims below. Could be.

도 1은 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템의 구성을 나타내는 블록도이다.1 is a block diagram showing the configuration of a network attack detection and analysis system according to an embodiment of the present invention.

도 2는 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템에서의 가상 머신 하니팟을 설명하기 위한 개념도이다.2 is a conceptual diagram illustrating a virtual machine honeypot in a network attack detection and analysis system according to an embodiment of the present invention.

도 3은 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템에서의 네트워크 공격 탐지 방법을 설명하기 위한 흐름도이다.3 is a flowchart illustrating a network attack detection method in a network attack detection and analysis system according to an embodiment of the present invention.

도 4는 본 발명의 다른 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템에서의 네트워크 공격 탐지 방법을 설명하기 위한 흐름도이다.4 is a flowchart illustrating a network attack detection method in a network attack detection and analysis system according to another embodiment of the present invention.

도 5는 본 발명의 다른 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템의 구성을 나타내는 블록도이다.5 is a block diagram showing the configuration of a network attack detection and analysis system according to another embodiment of the present invention.

도 6은 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 방법을 설명하기 위한 흐름도이다.6 is a flowchart illustrating a network attack detection and analysis method according to an embodiment of the present invention.

* 도면의 주요부분에 대한 부호의 설명 *Explanation of symbols on the main parts of the drawings

110 : 방화벽 120 : 가상 하니팟부110: firewall 120: virtual honey pot

130 : 하니팟 관리부 140 : 패킷 수집부130: honey pot management unit 140: packet collection unit

150 : L3 스위치 160 : L2 스위치150: L3 switch 160: L2 switch

Claims (12)

외부로부터 사설 네트워크로 유입되는 트래픽 및 상기 사설 네트워크 내부로부터 외부로 유출되는 트래픽 중 적어도 하나의 차단 여부를 결정하는 방화벽;A firewall for determining whether to block at least one of traffic flowing into the private network from the outside and traffic flowing out from the inside of the private network; 상기 방화벽 뒤에 위치하고, 운영체제의 동작을 에뮬레이션 하는 적어도 하나의 가상 머신을 포함하며, 네트워크 공격에 대한 데이터를 수집하는 가상 하니팟부;A virtual honeypot unit located behind the firewall and including at least one virtual machine that emulates an operation of an operating system, and collects data about a network attack; 상기 방화벽 뒤에 위치하고, 상기 가상 머신의 설치, 동작 개시, 동작 중단 및 설정 변경을 제어하며, 상기 가상 하니팟부의 동작을 실시간으로 감시하는 하니팟 관리부; 및A honeypot manager located behind the firewall and controlling installation, operation start, operation stop, and configuration change of the virtual machine, and monitoring the operation of the virtual honeypot unit in real time; And 상기 방화벽 뒤에 위치하고, 상기 가상 하니팟부로 유입되거나 상기 가상 하니팟부로부터 유출되는 패킷 데이터를 수집하는 패킷 수집부를 포함하는 네트워크 공격 탐지 및 분석 시스템.And a packet collecting unit located behind the firewall and collecting packet data flowing into or out of the virtual honeypot unit. 제1항에 있어서,The method of claim 1, 상기 하니팟 관리부는 상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 상기 가상 하니팟부에 대한 공격 여부를 판단하는 것을 특징으로 하는 네트워크 공격 탐지 및 분석 시스템.The honeypot management unit determines whether or not an attack on the virtual honeypot unit based on at least a portion of at least one of the data collected by the virtual honeypot unit and the packet data collected by the packet collector. Analysis system. 제1항에 있어서,The method of claim 1, 상기 하니팟 관리부는 상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 상기 가상 하니팟부에 대한 공격이 있다고 판단되는 경우 상기 방화벽으로 하여금 상기 사설 네트워크 내부로부터 외부로 유출되는 트래픽을 차단케 하는 것을 특징으로 하는 네트워크 공격 탐지 및 분석 시스템.When the honeypot management unit determines that there is an attack on the virtual honeypot unit based on at least one of at least one of data collected by the virtual honeypot unit and packet data collected by the packet collecting unit, the firewall causes the firewall to cause the private network. Network attack detection and analysis system, characterized in that to block traffic flowing out from the inside. 제1항에 있어서,The method of claim 1, 상기 방화벽은 상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 상기 가상 하니팟부에 대한 공격이 있다고 판단되는 경우 상기 사설 네트워크 내부로부터 외부로 유출되는 트래픽을 차단하는 것을 특징으로 하는 네트워크 공격 탐지 및 분석 시스템.When the firewall determines that there is an attack on the virtual honeypot unit based on at least one of at least one of data collected by the virtual honeypot unit and packet data collected by the packet collector, the firewall is leaked from the inside of the private network to the outside. Network attack detection and analysis system, characterized in that blocking traffic. 제2항 내지 제4항 중 어느 한 항에 있어서,The method according to any one of claims 2 to 4, 상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 외부 네트워크 IP 주소, 내부 네트워크 IP 주소, 상기 내부 네트워크 IP의 포트 주소 및 패킷크기(Packet size) 중 적어도 하나를 판단하고, 판단된 결과에 기초하여 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단하는 것을 특징으로 하는 네트워크 공격 탐지 및 분석 시스 템.An external network IP address, an internal network IP address, a port address of the internal network IP, and a packet size based on at least one of at least one of data collected by the virtual honeypot unit and packet data collected by the packet collector. And determining whether there is an attack on the virtual honeypot unit based on the determined result. 제2항 내지 제4항 중 어느 한 항에 있어서,The method according to any one of claims 2 to 4, 상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 상기 가상 하니팟부의 유입 트래픽 및 유출 트래픽을 결정하고, 결정된 상기 가상 하니팟부의 상기 유입 트래픽 및 상기 유출 트래픽에 대한 상관분석 결과에 기초하여 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단하는 것을 특징으로 하는 네트워크 공격 탐지 및 분석 시스템.Determine the inflow traffic and the outflow traffic of the virtual honeypot unit based on at least a portion of at least one of the data collected by the virtual honeypot unit and the packet data collected by the packet collector unit; And determining whether there is an attack on the virtual honeypot unit based on a correlation analysis result for the leaked traffic. 제6항에 있어서,The method of claim 6, 상기 상관분석은 유출 TCP FIN 트래픽에 대비한 유입 TCP SYN 트래픽의 비율을 산출하고, 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단하는 것은 TCP 분산 서비스 거부 공격이 있는지 여부를 판단하는 것을 특징으로 하는 네트워크 공격 탐지 및 분석 시스템.The correlation analysis calculates the ratio of the incoming TCP SYN traffic to the outgoing TCP FIN traffic, and determining whether there is an attack on the virtual honeypot unit, determining whether there is a TCP distributed denial of service attack. Network attack detection and analysis system. 제6항에 있어서,The method of claim 6, 상기 상관분석은 유출 트래픽에 대비한 유입 트래픽의 비율을 산출하고, 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단하는 것은 UDP 분산 서비스 거부 공격이 있는지 여부를 판단하는 것을 특징으로 하는 네트워크 공격 탐지 및 분석 시스템.The correlation analysis calculates a ratio of inflow traffic to outflow traffic, and determining whether there is an attack on the virtual honeypot unit determines whether there is a UDP distributed denial-of-service attack, and Analysis system. 제6항에 있어서,The method of claim 6, 상기 상관분석은 유입 트래픽에 대비한 유출 트래픽의 비율을 산출하고, 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단하는 것은 ICM 분산 서비스 거부 공격이 있는지 여부를 판단하는 것을 특징으로 하는 네트워크 공격 탐지 및 분석 시스템.The correlation analysis calculates a ratio of outflow traffic to inflow traffic, and determining whether there is an attack on the virtual honeypot unit determines whether there is an ICM distributed denial-of-service attack, and Analysis system. 운영체제의 동작을 에뮬레이션 하는 적어도 하나의 가상 머신을 하니팟 호스트에 설치하고, 상기 적어도 하나의 가상 머신이 하니팟 기능을 수행하도록 설정하는 단계;Installing at least one virtual machine on a honeypot host that emulates the operation of an operating system and setting the at least one virtual machine to perform a honeypot function; 상기 적어도 하나의 가상 머신으로 유입되거나 상기 적어도 하나의 가상 머신으로부터 유출되는, 네트워크 공격에 대한, 데이터를 수집하는 단계 및Collecting data, for network attacks, flowing into or out of the at least one virtual machine; and 수집된 상기 데이터에 기초하여 적어도 어느 하나의 상기 가상 머신에서 발생한 네트워크 공격을 탐지하는 단계를 포함하는 네트워크 공격 탐지 및 분석 방법.Detecting network attacks occurring in at least one of the virtual machines based on the collected data. 제10항에 있어서,The method of claim 10, 상기 적어도 하나의 가상 머신의 동작 개시, 동작 중단, 설정 변경 및 제거 중 적어도 하나를 수행하는 단계를 더 포함하는 네트워크 공격 탐지 및 분석 방 법.And performing at least one of starting, stopping, changing, and removing an operation of the at least one virtual machine. 제10항에 있어서,The method of claim 10, 적어도 어느 하나의 상기 가상 머신에서 네트워크 공격이 탐지된 경우 외부로부터 상기 적어도 하나의 가상 머신으로 유입되는 트래픽 및 상기 적어도 하나의 가상 머신으로부터 외부로 유출되는 트래픽 중 적어도 하나를 차단하는 단계를 더 포함하는 네트워크 공격 탐지 및 분석 방법.Blocking at least one of traffic flowing into the at least one virtual machine from outside and traffic flowing out from the at least one virtual machine when a network attack is detected in at least one of the virtual machines; How to detect and analyze network attacks.
KR1020090125192A 2009-12-16 2009-12-16 System and method for network attack detection and analysis KR101156005B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090125192A KR101156005B1 (en) 2009-12-16 2009-12-16 System and method for network attack detection and analysis

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090125192A KR101156005B1 (en) 2009-12-16 2009-12-16 System and method for network attack detection and analysis

Publications (2)

Publication Number Publication Date
KR20110068308A true KR20110068308A (en) 2011-06-22
KR101156005B1 KR101156005B1 (en) 2012-06-18

Family

ID=44400578

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090125192A KR101156005B1 (en) 2009-12-16 2009-12-16 System and method for network attack detection and analysis

Country Status (1)

Country Link
KR (1) KR101156005B1 (en)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013048111A2 (en) * 2011-09-26 2013-04-04 인텔렉추얼디스커버리 주식회사 Method and apparatus for detecting an intrusion on a cloud computing service
WO2013126442A1 (en) * 2012-02-20 2013-08-29 Virtustream Canada Holdings, Inc. Systems involving firewall of virtual machine traffic and methods of processing information associated with same
CN107222515A (en) * 2016-03-22 2017-09-29 阿里巴巴集团控股有限公司 Honey jar dispositions method, device and cloud server
US9817969B2 (en) 2013-10-15 2017-11-14 Penta Security Systems Inc. Device for detecting cyber attack based on event analysis and method thereof
CN107370756A (en) * 2017-08-25 2017-11-21 北京神州绿盟信息安全科技股份有限公司 A kind of sweet net means of defence and system
KR20190032968A (en) * 2017-09-20 2019-03-28 주식회사 큐인 Hacking prevention system based on IoT
KR20200063957A (en) * 2018-11-28 2020-06-05 고려대학교 산학협력단 The block withholding attack detecting device and operation method thereof
KR102174507B1 (en) * 2019-05-17 2020-11-04 (주)유미테크 A appratus and method for auto setting firewall of the gateway in network
KR20220073103A (en) * 2020-11-26 2022-06-03 목포대학교산학협력단 Malware response method to ensure high availability of cyber physical system

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102339826B1 (en) 2021-08-26 2021-12-16 한화시스템(주) Cyber attack detection/blocking system and method through wireless communication in Linux network system environment

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100424724B1 (en) * 2001-07-27 2004-03-27 김상욱 Apparatus for detecting invasion with network stream analysis

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013048111A2 (en) * 2011-09-26 2013-04-04 인텔렉추얼디스커버리 주식회사 Method and apparatus for detecting an intrusion on a cloud computing service
WO2013048111A3 (en) * 2011-09-26 2013-05-23 인텔렉추얼디스커버리 주식회사 Method and apparatus for detecting an intrusion on a cloud computing service
US9294489B2 (en) 2011-09-26 2016-03-22 Intellectual Discovery Co., Ltd. Method and apparatus for detecting an intrusion on a cloud computing service
WO2013126442A1 (en) * 2012-02-20 2013-08-29 Virtustream Canada Holdings, Inc. Systems involving firewall of virtual machine traffic and methods of processing information associated with same
US9264402B2 (en) 2012-02-20 2016-02-16 Virtustream Canada Holdings, Inc. Systems involving firewall of virtual machine traffic and methods of processing information associated with same
US9817969B2 (en) 2013-10-15 2017-11-14 Penta Security Systems Inc. Device for detecting cyber attack based on event analysis and method thereof
CN107222515A (en) * 2016-03-22 2017-09-29 阿里巴巴集团控股有限公司 Honey jar dispositions method, device and cloud server
CN107222515B (en) * 2016-03-22 2021-05-04 阿里巴巴集团控股有限公司 Honeypot deployment method and device and cloud server
CN107370756A (en) * 2017-08-25 2017-11-21 北京神州绿盟信息安全科技股份有限公司 A kind of sweet net means of defence and system
CN107370756B (en) * 2017-08-25 2020-04-07 北京神州绿盟信息安全科技股份有限公司 Honey net protection method and system
KR20190032968A (en) * 2017-09-20 2019-03-28 주식회사 큐인 Hacking prevention system based on IoT
KR20200063957A (en) * 2018-11-28 2020-06-05 고려대학교 산학협력단 The block withholding attack detecting device and operation method thereof
KR102174507B1 (en) * 2019-05-17 2020-11-04 (주)유미테크 A appratus and method for auto setting firewall of the gateway in network
KR20220073103A (en) * 2020-11-26 2022-06-03 목포대학교산학협력단 Malware response method to ensure high availability of cyber physical system

Also Published As

Publication number Publication date
KR101156005B1 (en) 2012-06-18

Similar Documents

Publication Publication Date Title
KR101156005B1 (en) System and method for network attack detection and analysis
Birkinshaw et al. Implementing an intrusion detection and prevention system using software-defined networking: Defending against port-scanning and denial-of-service attacks
Bhushan et al. Security challenges in cloud computing: state-of-art
Modi et al. A survey of intrusion detection techniques in cloud
Akhunzada et al. Secure and dependable software defined networks
US9942270B2 (en) Database deception in directory services
Kene et al. A review on intrusion detection techniques for cloud computing and security challenges
Mehmood et al. Intrusion detection system in cloud computing: Challenges and opportunities
US20150326587A1 (en) Distributed system for bot detection
US20060282893A1 (en) Network information security zone joint defense system
Song et al. Cooperation of intelligent honeypots to detect unknown malicious codes
Huang et al. An OpenFlow-based collaborative intrusion prevention system for cloud networking
Kim et al. Agent-based honeynet framework for protecting servers in campus networks
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
Araújo et al. EICIDS-elastic and internal cloud-based detection system
Ribin et al. Precursory study on varieties of DDoS attacks and its implications in cloud systems
Narwal et al. Game-theory based detection and prevention of DoS attacks on networking node in open stack private cloud
Chatterjee Design and development of a framework to mitigate dos/ddos attacks using iptables firewall
EP3595257B1 (en) Detecting suspicious sources, e.g. for configuring a distributed denial of service mitigation device
Huang et al. Design and implementation of a distributed early warning system combined with intrusion detection system and honeypot
Rodrigues et al. Design and implementation of a low-cost low interaction IDS/IPS system using virtual honeypot approach
Adenuga-Taiwo et al. Security analysis of onos software-defined network platform
Gautam et al. Optimized virtual honeynet with implementation of host machine as honeywall
Prasad et al. An efficient flash crowd attack detection to internet threat monitors (itm) using honeypots
Zhai et al. Research on applications of honeypot in Campus Network security

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150602

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160602

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170605

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180605

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190604

Year of fee payment: 8