KR20120037865A - 세션 모니터링 기반의 비정상 호스트 탐지 장치 및 방법 - Google Patents

세션 모니터링 기반의 비정상 호스트 탐지 장치 및 방법 Download PDF

Info

Publication number
KR20120037865A
KR20120037865A KR1020110023392A KR20110023392A KR20120037865A KR 20120037865 A KR20120037865 A KR 20120037865A KR 1020110023392 A KR1020110023392 A KR 1020110023392A KR 20110023392 A KR20110023392 A KR 20110023392A KR 20120037865 A KR20120037865 A KR 20120037865A
Authority
KR
South Korea
Prior art keywords
host
session
information
entropy
network traffic
Prior art date
Application number
KR1020110023392A
Other languages
English (en)
Inventor
손선경
장범환
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to US13/271,598 priority Critical patent/US20120090027A1/en
Publication of KR20120037865A publication Critical patent/KR20120037865A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

본 발명은 각 관리 대상 호스트로부터 프로세스 정보 및 세션 정보를 수집하여 세션을 이루고 있는 로컬 호스트의 프로세스가 유해 프로세스 목록에 포함되거나 원격지 호스트가 유해 호스트 목록에 포함되는지 평가한 후 네트워크 트래픽과의 연관성을 분석함으로써 이상 현상을 유발하는 호스트와 그 원인이 되는 프로세스를 탐지하는 장치에 관한 것이다. 이를 위하여 본 발명의 실시 예에 따른 세션 모니터링 기반 비정상 호스트 탐지 장치는 호스트의 프로세스 정보 및 세션 정보를 수집하는 호스트 정보 수집부와, 네트워크 트래픽을 수집 및 감시하는 네트워크 트래픽 감시부와, 수집된 세션 정보와 네트워트 트래픽 정보를 분석하는 분석부와, 분석부의 분석 결과에 의거하여 비정상 호스트를 탐지하고 유해 프로세스 및 호스트 목록을 업데이트하는 탐지부를 포함한다.

Description

세션 모니터링 기반의 비정상 호스트 탐지 장치 및 방법{APPARATUS AND METHOD FOR DETECTING ABNORMAL HOST BY USING SESSION MONITORING}
본 발명은 비정상 호스트 탐지에 관한 것으로, 더욱 상세하게는 각 관리 대상 호스트로부터 프로세스 정보 및 세션 정보를 수집하여 세션을 이루고 있는 로컬 호스트의 프로세스가 유해 프로세스 목록에 포함되거나 원격지 호스트가 유해 호스트 목록에 포함되는지 평가한 후 네트워크 트래픽과의 연관성 분석을 통해 비정상 호스트를 탐지할 수 있는 세션 모니터링 기반의 비정상 호스트 탐지 장치 및 방법에 관한 것이다.
동래 이상 현상 탐지 기법은 네트워크 트래픽을 패킷 또는 플로우 단위로 분석하여 비정상 트래픽을 탐지하는 네트워크 기반 이상 현상 탐지 방법과 호스트 프로세스와 리소스를 분석하여 이상 현상을 탐지하는 호스트 기반 이상 현상 탐지 방법으로 나눌 수 있다.
그러나 네트워크 기반 이상 현상 탐지 방법에 의해 탐지된 이상 트래픽이 차단되더라도 이상 트래픽을 발생시키는 호스트가 계속 동작한다면 이상 트래픽이 계속 생성되어 네트워크에 이상 현상을 유발시키는 문제점이 있으며, 호스트 기반 이상 현상 탐지 방법은 실제로 발생하는 침해 사고에 대한 정확한 탐지가 가능하나 시스템에 종속적이고 네트워크와 관련된 행위는 분석이 어려운 문제점이 있다.
상기와 같은 문제점을 해결하기 위해 안출된 것으로서, 본 발명의 목적은 각 관리 대상 호스트로부터 프로세스 정보 및 세션 정보를 수집하여 세션을 이루고 있는 로컬 호스트의 프로세스가 유해 프로세스 목록에 포함되거나 원격지 호스트가 유해 호스트 목록에 포함되는지 평가한 후 네트워크 트래픽과의 연관성을 분석함으로써 이상 현상을 유발하는 호스트와 그 원인이 되는 프로세스를 탐지하는 장치를 제공하는데 있다.
본 발명의 목적은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 측면에 따르면, 본 발명의 실시 예에 따른 세션 모니터링 기반의 비정상 호스트 탐지 장치는 외부의 에이전트와 연동하여 상기 에이전트로부터 호스트에서 실행 중인 프로세스의 정보와 상기 호스트가 연결하고 있는 세션 정보를 수집하는 호스트 정보 수집부와, 네트워크 트래픽 정보를 수집하는 네트워크 트래픽 감시부와, 상기 수집된 세션 정보를 기반으로 호스트별 엔트로피를 계산하고, 상기 계산된 호스트별 엔트로피와 상기 네트워크 트래픽 정보를 비교하여 상관 관계를 분석하는 분석부와, 상기 상관 관계를 기반으로 비정상 호스트를 탐지하고, 상기 비정상 호스트에서 유해한 트래픽을 발생시키는 프로세스를 이용하여 유해 프로세스 및 유해 호스트 목록이 저장된 블랙리스트를 업데이트하는 탐지부를 포함할 수 있다.
본 발명의 실시 예에 따른 세션 모니터링 기반의 비정상 호스트 탐지 장치에서 상기 호스트 정보 수집부는, 상기 수집된 세션의 목적지 호스트가 상기 블랙리스트에 포함되는 경우 상기 세션의 근원지 호스트 및 상기 근원지 호스트가 이용하는 프로세스의 정보를 이용하여 상기 블랙리스트를 업데이트하는 것을 특징으로 한다.
본 발명의 실시 예에 따른 세션 모니터링 기반의 비정상 호스트 탐지 장치에서 상기 네트워크 트래픽 감시부는, 상기 네트워크 트래픽 정보를 호스트, 프로토콜 또는 서비스별로 분류하여 상기 네트워크 트래픽을 감시하는 것을 특징으로 한다.
본 발명의 실시 예에 따른 세션 모니터링 기반의 비정상 호스트 탐지 장치에서 상기 분석부는, 상기 호스트별 엔트로피를 비교하여 엔트로피가 기 설정된 임계값 이상을 갖는 호스트를 추출하고, 상기 추출된 호스트가 상기 블랙리스트의 유해 프로세스 목록에 포함된 프로세스와 세션을 연결하고 있는 경우 상기 추출한 호스트에 대한 네트워크 트래픽과 상기 호스트별 엔트로피간의 비교를 통해 상관 관계를 분석하는 것을 특징으로 한다.
본 발명의 다른 측면에 따르면, 본 발명의 실시 예에 따른 세션 모니터링 기반의 비정상 호스트 탐지 방법은 외부의 에이전트와 연동하여 상기 에이전트로부터 호스트에서 실행 중인 프로세스의 정보와 상기 호스트가 연결하고 있는 세션 정보를 수집하는 단계와, 상기 수집된 세션 정보의 목적지 호스트가 상기 유해 프로세스 및 유해 호스트 목록이 저장된 블랙리스트에 포함되는 경우 상기 세션의 근원지 호스트 및 상기 근원지 호스트가 이용하는 프로세스의 정보를 이용하여 상기 블랙리스트를 업데이트하는 단계와, 상기 수집된 세션 정보를 기반으로 호스트별 엔트로피를 계산하고, 상기 계산된 호스트별 엔트로피와 상기 호스트별 네트워크 트래픽 정보를 비교하여 호스트간 상관 관계를 분석하는 단계와, 상기 상관 관계를 기반으로 비정상 호스트를 탐지하는 단계와, 상기 비정상 호스트에서 유해한 트래픽을 발생시키는 프로세스를 이용하여 상기 블랙리스트를 업데이트하는 단계를 포함할 수 있다.
본 발명의 실시 예에 따른 세션 모니터링 기반의 비정상 호스트 탐지 방법에서 상기 분석하는 단계는, 상기 호스트별 엔트로피를 비교하여 엔트로피가 기 설정된 임계값 이상을 갖는 호스트를 추출하는 단계와, 상기 추출한 호스트가 상기 블랙리스트의 유해 프로세스 목록에 포함된 프로세스와 세션을 연결하고 있는 경우 상기 추출한 호스트에 대한 네트워크 트래픽과 상기 호스트별 엔트로피간의 비교를 통해 상관 관계를 분석하는 단계를 포함하는 것을 특징으로 한다.
본 발명은 호스트에서 수집한 세션 정보와 네트워크 트래픽 정보를 연관 분석하여 네트워크의 비정상적인 현상의 원인이 되는 호스트와 프로세스를 탐지하며, 탐지 결과에 따라 유해 프로세스와 호스트 목록을 갱신함으로써, 오탐률과 미탐률을 낮추고 지속적인 이상 상황을 분석할 수 있는 효과가 있다.
또한, 본 발명은 호스트에 대한 신뢰도를 평가할 때 유해 목록뿐만 아니라 안전한 호스트 목록을 비교함으로써 더욱 정확한 평가를 할 수 있다.
도 1은 본 발명의 실시 예에 따른 세션 모니터링 기반의 비정상 호스트 탐지 장치를 도시한 블록도,
도 2는 본 발명의 실시 예에 따른 비정상 호스트를 탐지하는 과정을 도시한 흐름도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
본 발명의 실시 예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시 예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이하, 첨부된 도면을 참조하여 본 발명의 실시 예를 상세히 설명하기로 한다.
도 1은 본 발명의 실시 예에 따른 세션 모니터링 기반의 비정상 호스트 탐지 장치를 도시한 블록도이다.
도 1을 참조하면, 본 발명의 실시 예에 따른 비정상 호스트 탐지 장치(100)는 호스트 정보 수집부(102), 네트워크 트래픽 감시부(106), 분석부(104) 밑 탐지부(108) 등을 포함할 수 있으며, 외부의 블랙리스트(160) 및 화이트 리스트(220)와 연동하여 비정상 호스트를 탐지할 수 있다.
본 발명의 실시 예에 이용되는 블랙리스트(160)에는 유해 호스트 목록과 유해 프로세스 목록 등이 저장되어 있으며, 화이트 리스트(220)에는 안전한 호스트 목록이 저장되어 있다. 즉, 화이트 리스트(220)에는 메일 서버, DNS 서버, 웹 서버와 같이 믿을 수 있는 호스트의 목록이 저장되어 있으며, 이러한 호스트 목록은 관리자에 의해 수동으로 관리될 수 있다.
본 발명의 실시 예에 따른 비정상 호스트 탐지 장치(100)의 호스트 정보 수집부(102)는 에이전트(150)로부터 호스트에서 실행중인 프로세스의 여러 정보와 호스트가 연결하고 있는 세션 정보를 수집하며, 블랙리스트(160)의 검색을 통해 수집된 세션의 목적지 호스트가 유해 호스트 목록에 포함되는지 파악할 수 있다.
또한, 호스트 정보 수집부(102)는 근원지 호스트의 프로세스와 블랙리스트(160)에 저장되어 있는 유해 프로세스 목록과 비교하여 해당 세션이 네트워크 공격을 시도하거나 악성코드에 감염된 호스트가 C&C 서버와 통신하는 등의 행위를 파악한 후 이를 토대로 유해 프로세스 및 호스트 목록을 저장하고 있는 블랙리스트(160)를 갱신한다. 예를 들어, 근원지 호스트는 블랙리스트(160)에 포함되어 있지 않으나 세션 정보 상의 목적지 호스트가 블랙리스트(160)에 포함된 경우 호스트 정보 수집부(102)는 근원지 호스트 및 세션을 수행하는 프로세스를 유해 호스트 및 프로세스로 판단하여 근원지 호스트 및 프로세스를 이용하여 블랙리스트(160)를 업데이트할 수 있다.
이러한 호스트 정보 수집부(102)가 블랙리스트(160)를 업데이트하는 과정은 임시 업데이트로서, 이후 설명되는 최종 분석 과정을 거쳐 근원지 호스트가 비정상 호스트로 탐지될 때 블랙리스트(160) 내의 목록에 대한 최종 업데이트를 수행할 수 있다.
한편, 관리 대상 호스트의 수가 많은 경우 호스트 정보 수집부(102)를 계층적으로 구성할 수 있다.
네트워크 트래픽 감시부(106)는 네트워크 트래픽을 수집하여 호스트/프로토콜/서비스 별로 분류하고, 네트워크 트래픽의 이상 현상을 감시할 수 있다.
분석부(104)는 수집한 호스트의 세션 정보를 이용하여 호스트들간의 연결 관계를 추출한 후 호스트 별로 엔트로피를 계산하며, 계산된 엔트로피가 타 호스트에 비해 비정상적으로 높은 호스트를 추출한 후 해당 호스트를 안전한 호스트 목록인 화이트 리스트(220)와 비교한다.
또한, 분석부(104)는 비교 결과 해당 호스트가 화이트 리스트(220)에 있는 호스트라 하더라도 블랙리스트(160) 내 유해 프로세스 목록에 포함된 프로세스와 세션을 연결하고 있는 경우에 분석 대상으로 포함시키며, 호스트별의 엔트로피와 비정상 네트워크 트래픽을 유발하는 호스트를 비교하여 상관 관계를 분석할 수 있다.
탐지부(108)는 분석부(104)의 분석 결과를 바탕으로 비정상 호스트를 탐지하고, 해당 호스트에서 유해한 트래픽을 발생시키는 원인이 되는 프로세스를 탐지한 후 탐지된 호스트 및 프로세스 정보를 이용하여 블랙리스트(160)의 목록을 최종 업데이트할 수 있다.를 갱신할 수 있다.
상기와 같은 구성을 갖는 비정상 호스트 탐지 장치(100)가 동작하는 과정에 대해 도 2를 참조하여 설명한다.
도 2는 본 발명의 실시 예에 따른 비정상 호스트를 탐지하는 과정을 도시한 흐름도이다.
도 2에 도시된 바와 같이, 호스트 정보 수집부(102)는 에이전트(150)로부터 호스트의 정보를 수집(S200)하는데, 즉 호스트에서 실행중인 프로세스의 여러 정보와 호스트가 연결하고 있는 세션 정보를 수집한 후 수집된 세션의 목적지 호스트와 블랙리스트(160)에 저장된 유해 호스트 목록을 비교하여 목적지 호스트가 유해 호스트 목록에 포함되는지를 판단한다(S202).
S202의 판단 결과, 목적지 호스트가 유해 호스트 목록에 포함되는 경우 호스트 정보 수집부(102)는 세션의 근원지 호스트의 프로세스가 블랙리스트(160)의 유해프로세스 목록에 포함되는지를 판단한다(S204). 여기에서, 세션의 근원지 호스트의 프로세스는 목적지 호스트와의 통신을 위해 구동되는 것일 수 있다.
S204의 판단 결과, 근원지 호스트의 프로세스가 유해 프로세스 목록에 포함되는 경우 호스트 정보 수집부(102)는 해당 세션이 네트워크 공격을 시도하거나 악성 코드에 감염된 호스트가 C&C 서버와 통신하는 등의 행위로 파악하고, 세션 내 호스트와 호스트의 프로세스 정보를 이용하여 블랙리스트(160)의 정보를 업데이트한다(S206).
그런 다음, 분석부(104)는 수집한 호스트의 세션 정보를 이용하여 호스트들 간의 연결 관계를 추출한 후 호스트 별로 엔트로피를 계산한다(S208).
한편, 분석부(104)는 네트워크 트래픽 감시부(106)에서 수집된 네트워크 트래픽을 호스트/프로토콜/서비스별로 분류한 결과 데이터를 수신(S210)하며, 수신한 결과 데이터를 기반으로 트래픽 연관 분석을 수행하는데, 즉 호스트의 엔트로피와 비정상 네트워크를 유발하는 호스트를 비교하여 상관관계를 분석(S212)한다. 분석부(104)는 트래픽 연관 분석 결과를 탐지부(108)에 제공하며, 탐지부(108)는 제공받은 트래픽 연관 분석 결과를 기반으로 비정상 호스트를 탐지하며, 탐지된 호스트에서 유해한 트래픽을 발생시키는 원인이 되는 프로세스를 탐지(S214)한 후 탐지된 프로세스와 호스트를 이용하여 블랙리스트(160)를 업데이트한다(S216).
한편, S202의 판단 결과 목적지 호스트가 유해 호스트가 아닌 경우 또는 S204의 판단 결과 근원지 호스트의 프로세스가 유해 프로세스가 아닌 경우 S208 단계로 진행하여 이후 단계를 수행한다.
본 발명의 실시 예에 따르면, 호스트에서 수집한 세션 정보와 네트워크 트래픽 정보를 연관 분석하여 네트워크의 비정상적인 현상의 원인이 되는 호스트와 프로세스를 탐지할 수 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 예를 들어 당업자는 각 구성요소를 적용 분야에 따라 변경하거나, 개시된 실시형태들을 조합 또는 치환하여 본 발명의 실시예에 명확하게 개시되지 않은 형태로 실시할 수 있으나, 이 역시 본 발명의 범위를 벗어나지 않는 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것으로 한정적인 것으로 이해해서는 안 되며, 이러한 변형된 실시예들은 본 발명의 특허청구범위에 기재된 기술사상에 포함된다고 하여야 할 것이다.
100 : 비정상 호스트 탐지 장치
102 : 호스트 정보 수집부
104 : 분석부
106 : 네트워크 트래픽 감시부
108 : 탐지부
150 : 에이전트
160 : 블랙리스트
170 : 화이트 리스트

Claims (6)

  1. 외부의 에이전트와 연동하여 상기 에이전트로부터 호스트에서 실행 중인 프로세스의 정보와 상기 호스트가 연결하고 있는 세션 정보를 수집하는 호스트 정보 수집부와,
    네트워크 트래픽 정보를 수집하는 네트워크 트래픽 감시부와,
    상기 수집된 세션 정보를 기반으로 호스트별 엔트로피를 계산하고, 상기 계산된 호스트별 엔트로피와 상기 네트워크 트래픽 정보를 비교하여 상관 관계를 분석하는 분석부와,
    상기 상관 관계를 기반으로 비정상 호스트를 탐지하고, 상기 비정상 호스트에서 유해한 트래픽을 발생시키는 프로세스를 이용하여 유해 프로세스 및 유해 호스트 목록이 저장된 블랙리스트를 업데이트하는 탐지부를 포함하는
    세션 모니터링 기반의 비정상 호스트 탐지 장치.
  2. 제 1 항에 있어서,
    상기 호스트 정보 수집부는,
    상기 수집된 세션의 목적지 호스트가 상기 블랙리스트에 포함되는 경우 상기 세션의 근원지 호스트 및 상기 근원지 호스트가 이용하는 프로세스의 정보를 이용하여 상기 블랙리스트를 업데이트하는 것을 특징으로 하는
    세션 모니터링 기반의 비정상 호스트 탐지 장치.
  3. 제 1 항에 있어서,
    상기 네트워크 트래픽 감시부는,
    상기 네트워크 트래픽 정보를 호스트, 프로토콜 또는 서비스별로 분류하여 상기 네트워크 트래픽을 감시하는 것을 특징으로 하는
    세션 모니터링 기반의 비정상 호스트 탐지 장치.
  4. 제 1 항에 있어서,
    상기 분석부는,
    상기 호스트별 엔트로피를 비교하여 엔트로피가 기 설정된 임계값 이상을 갖는 호스트를 추출하고, 상기 추출된 호스트가 상기 블랙리스트의 유해 프로세스 목록에 포함된 프로세스와 세션을 연결하고 있는 경우 상기 추출한 호스트에 대한 네트워크 트래픽과 상기 호스트별 엔트로피간의 비교를 통해 상관 관계를 분석하는 것을 특징으로 하는
    세션 모니터링 기반의 비정상 호스트 탐지 장치.
  5. 외부의 에이전트와 연동하여 상기 에이전트로부터 호스트에서 실행 중인 프로세스의 정보와 상기 호스트가 연결하고 있는 세션 정보를 수집하는 단계와,
    상기 수집된 세션 정보의 목적지 호스트가 상기 유해 프로세스 및 유해 호스트 목록이 저장된 블랙리스트에 포함되는 경우 상기 세션의 근원지 호스트 및 상기 근원지 호스트가 이용하는 프로세스의 정보를 이용하여 상기 블랙리스트를 업데이트하는 단계와,
    상기 수집된 세션 정보를 기반으로 호스트별 엔트로피를 계산하고, 상기 계산된 호스트별 엔트로피와 상기 호스트별 네트워크 트래픽 정보를 비교하여 호스트간 상관 관계를 분석하는 단계와,
    상기 상관 관계를 기반으로 비정상 호스트를 탐지하는 단계와,
    상기 비정상 호스트에서 유해한 트래픽을 발생시키는 프로세스를 이용하여 상기 블랙리스트를 업데이트하는 단계를 포함하는
    세션 모니터링 기반의 비정상 호스트 탐지 방법.
  6. 제 1 항에 있어서,
    상기 분석하는 단계는,
    상기 호스트별 엔트로피를 비교하여 엔트로피가 기 설정된 임계값 이상을 갖는 호스트를 추출하는 단계와,
    상기 추출한 호스트가 상기 블랙리스트의 유해 프로세스 목록에 포함된 프로세스와 세션을 연결하고 있는 경우 상기 추출한 호스트에 대한 네트워크 트래픽과 상기 호스트별 엔트로피간의 비교를 통해 상관 관계를 분석하는 단계를 포함하는 것을 특징으로 하는
    세션 모니터링 기반의 비정상 호스트 탐지 방법.
KR1020110023392A 2010-10-12 2011-03-16 세션 모니터링 기반의 비정상 호스트 탐지 장치 및 방법 KR20120037865A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US13/271,598 US20120090027A1 (en) 2010-10-12 2011-10-12 Apparatus and method for detecting abnormal host based on session monitoring

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20100099208 2010-10-12
KR1020100099208 2010-10-12

Publications (1)

Publication Number Publication Date
KR20120037865A true KR20120037865A (ko) 2012-04-20

Family

ID=46138881

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110023392A KR20120037865A (ko) 2010-10-12 2011-03-16 세션 모니터링 기반의 비정상 호스트 탐지 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20120037865A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101449627B1 (ko) * 2013-02-14 2014-10-13 주식회사 시큐아이 비정상 세션 탐지 방법 및 장치
KR20150131669A (ko) 2014-05-16 2015-11-25 이화여자대학교 산학협력단 전자 장치 신호를 모니터링하여 네트워크 공격을 감지하는 방법 및 ecu 신호를 분석하여 네트워크 공격을 감지하는 자동차

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101449627B1 (ko) * 2013-02-14 2014-10-13 주식회사 시큐아이 비정상 세션 탐지 방법 및 장치
KR20150131669A (ko) 2014-05-16 2015-11-25 이화여자대학교 산학협력단 전자 장치 신호를 모니터링하여 네트워크 공격을 감지하는 방법 및 ecu 신호를 분석하여 네트워크 공격을 감지하는 자동차

Similar Documents

Publication Publication Date Title
US10104124B2 (en) Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program
JP6001689B2 (ja) ログ分析装置、情報処理方法及びプログラム
CN109962891B (zh) 监测云安全的方法、装置、设备和计算机存储介质
KR101538709B1 (ko) 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법
KR100922579B1 (ko) 네트워크 공격 탐지 장치 및 방법
US10659478B2 (en) Identifying stealth packets in network communications through use of packet headers
JP6201614B2 (ja) ログ分析装置、方法およびプログラム
US20120090027A1 (en) Apparatus and method for detecting abnormal host based on session monitoring
CN107968791B (zh) 一种攻击报文的检测方法及装置
US20150341380A1 (en) System and method for detecting abnormal behavior of control system
CN106027559A (zh) 基于网络会话统计特征的大规模网络扫描检测方法
US20070226803A1 (en) System and method for detecting internet worm traffics through classification of traffic characteristics by types
RU2013153767A (ru) Система и способ для снижения нагрузки на операционную систему при работе антивирусного приложения
CN109063486B (zh) 一种基于plc设备指纹识别的安全渗透测试方法与系统
KR20120068612A (ko) Dns 쿼리 트래픽 감시 및 처리 방법과 그 장치
CN109167794B (zh) 一种面向网络系统安全度量的攻击检测方法
US10749895B2 (en) Handling network threats
EP3242240B1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
KR20140035678A (ko) 학습 가능한 dns 분석기 및 분석 방법
CN106911665B (zh) 一种识别恶意代码弱口令入侵行为的方法及系统
CN114268452A (zh) 一种网络安全防护方法及系统
KR100745678B1 (ko) 트래픽 패턴 분석에 의한 망 공격 탐지장치 및 방법
KR20120037865A (ko) 세션 모니터링 기반의 비정상 호스트 탐지 장치 및 방법
CN102104606A (zh) 一种内网蠕虫主机检测方法
KR20070077517A (ko) 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination