KR20120084806A - 컴퓨터 리소스의 하이재킹 검출 방법 - Google Patents

컴퓨터 리소스의 하이재킹 검출 방법 Download PDF

Info

Publication number
KR20120084806A
KR20120084806A KR1020127016005A KR20127016005A KR20120084806A KR 20120084806 A KR20120084806 A KR 20120084806A KR 1020127016005 A KR1020127016005 A KR 1020127016005A KR 20127016005 A KR20127016005 A KR 20127016005A KR 20120084806 A KR20120084806 A KR 20120084806A
Authority
KR
South Korea
Prior art keywords
hijacking
external network
computer resources
server
resource
Prior art date
Application number
KR1020127016005A
Other languages
English (en)
Other versions
KR101443472B1 (ko
Inventor
로렝 클레비
안토니 마틴
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20120084806A publication Critical patent/KR20120084806A/ko
Application granted granted Critical
Publication of KR101443472B1 publication Critical patent/KR101443472B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Quality & Reliability (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 내부 네트워크(100) 상에 위치되고, 서비스 공급자에 의해 관리되는 접속(104)을 통해 보안 및 기밀성 기준이 없는 외부 네트워크(102)에 접속된 내부 네트워크(100)에 특정한 보안 및 기밀성 기준을 구현하는 컴퓨터 리소스(111)의 하이재킹을 검출하기 위한 방법에 관한 것으로서,
- 외부 네트워크(102)와 통신하기 위해 컴퓨터 리소스(111)에 의해 구현된 접속 파라미터(108)를 저장하는 단계(106)와,
- 비가역적 함수에 기초하여 이 저장된 파라미터(108)를 프로세싱하여, 상기 저장된 파라미터에 대응하는 고유 코드를 생성하는 단계―상기 고유 코드로부터는 상기 파라미터를 식별할 수 없음―(112)와,
- 외부 네트워크 상에 위치된 서버(118)에 상기 생성된 고유 코드를 송신하여 상기 서버(118)가 상기 고유 코드로부터 컴퓨터 리소스(111)의 액티비티를 분석하고 상기 컴퓨터 리소스의 임의의 하이재킹을 검출할 수 있게 하는 단계(114)를 포함하는 것을 특징으로 한다.

Description

컴퓨터 리소스의 하이재킹 검출 방법{METHOD FOR DETECTING THE HIJACKING OF COMPUTER RESOURCES}
본 발명은 컴퓨터 리소스의 하이재킹(hijacking)을 검출하기 위한 방법에 관한 것이다.
증가하는 수의 사용자가 인터넷과 같은 공개 네트워크에 접속된 퍼스널 컴퓨터 또는 이동 전화와 같은 컴퓨터 리소스를 갖는다.
이들 접속은 이어서 또한 "해적" 또는 "해커"라 칭하는 악의적인 제 3 자에 의해 사용될 수 있어 바이러스라 칭하는 소프트웨어를 사용함으로써 이들 리소스를 감염시키고, 남용(abusive) 또는 심지어 부정(illicit) 동작을 위해 이들의 액티비티를 하이재킹한다.
일반적으로, 하이재킹된 리소스의 사용자는 이들이 이들의 컴퓨터를 만족스럽게 보호하는 것을 가능하게 하고 그리고/또는 이들 리소스의 감염을 검출하기 위한 컴퓨터 트레이닝이 결여되어 있다.
이 때문에, 컴퓨터 리소스의 하이재킹은 통상적으로 이들 리소스의 기능을 혼란시키지 않는 방식으로 구현되고, 이는 특히 이들 리소스의 사용자에 의해 감염에 대해 의심을 환기시키지 않는 것을 가능하게 한다.
이는 감염된 컴퓨터에 가시적인 영향을 최소화하면서 전파되는 "봇의 네트워크(Network of Bot)"의 약어인 "봇(Bot)" 또는 "봇넷(Botnet)"이라 칭하는 컴퓨터 바이러스의 경우에 해당한다.
이러한 바이러스는 그럼에도 불구하고 감염된 및 하이재킹된 리소스의 사용자에 대해 특히 손상적인 해적 동작을 수행할 수 있다는 것이 주목되어야 한다.
예로서, 공지의 "이산적인(discrete)" 바이러스는 코드 번호 및 은행 계좌 번호와 같은 기밀 데이터를 도난하여, 이들 기밀 데이터를 부정한 방식으로 사용할 수 있는 제 3 자에 이들을 전달할 수 있다.
또한, 서비스를 혼란시키거나 중단시키기 위해 인터넷 사이트에 고용량(수백으로부터 또는 심지어 수천개의 감염된 머신)의 위조 네트워크 메시지를 생성하는 "분산 서비스 거부"(DDOS) 스팸의 송신을 명령할 수 있거나 또는 심지어 예를 들어 아동 성도착증 콘텐트와 같은 불법 콘텐트의 호스팅을 명령할 수 있는 이산적인 바이러스가 존재한다.
이 경우에, 바이러스는 하이재킹된 리소스의 사용자의 평판 또는 심지어 사회적 책임에 영향을 미칠 수 있다.
실제로, 사용자들은 이들 사용자가 적합한 보안 수단을 구현하고 있는 것을 보여줄 수 없으면 - 이러한 것은 컴퓨터 엔지니어링에 전문적인 기술이 없는 사용자에게는 용이하지 않음 -, 이들의 감염된 컴퓨터 리소스에 의해 자행되는 손해에 책임을 져야하는 위험을 무릅써야 하는 것으로 여겨지고 있다.
마지막으로, "이산적인" 바이러스가 갖는 최종 문제점은, 사용자가 컴퓨터 리소스의 장애를 주목하지 못하면, 사용자가 바이러스를 제거하려고 행동하기 전에 상당한 시간이 경과할 수 있기 때문에 - 이 동안에 감염이 전파될 수 있음 -, 이들의 강한 감염 능력에 있다.
컴퓨터 리소스의 하이재킹을 검출하기 위해, 안티-바이러스 소프트웨어의 구현이 통상적이지만, 신규 바이러스가 빈번히 생성되고 있고 일부 바이러스는 이들의 디지털 지문을 동적으로 수정하는 능력을 가짐에도 불구하고, 안티-바이러스 데이터베이스 내의 바이러스의 서명 또는 지문(fingerprint)이 정적인 것에 따라 통계적 접근법을 사용하여 미리 규정된 바이러스에 한정된다. 부가적으로, 사용자들은 이들의 안티-바이러스 소프트웨어를 규칙적으로 업데이트하고 있지 않다.
또한, 컴퓨터 리소스의 사용자는 특히 사용자가 다수의 직원을 채용하고 있는 회사일 때, 데이터 기밀성의 문제점에 직면하게 된다.
실제로, 이 경우에, 다수의 국가, 예를 들어 프랑스의 법은 회사 또는 서비스 공급자가 피고용인에 의해 또는 인터넷 서비스의 가입자에 의해 행해진 개인 접속을 모니터링하는 것을 금지하고 있어, 따라서 잠재적으로 위험한 사이트로의 접속을 검출하는 것을 불가능하게 한다.
본 발명은 보안 및 기밀성 제약을 받게 되는 컴퓨터 리소스로부터 형성된 내부 네트워크의 외부에서, 이들의 거동, 말하자면 이들의 접속 및/또는 이들 보안 및 기밀성 제약을 갖지 않는 외부 네트워크, 통상적으로 인터넷과 같은 공개 네트워크와 수행되는 통신을 분석함으로써 내부 네트워크 상의 컴퓨터 리소스의 하이재킹을 식별하는 것이 가능하다는 관찰의 결과이다.
본 발명은 또한 다수의 경우에, 예를 들어 사용자가 소형 또는 중간 크기의 회사 또는 개인일 때, 사용자가 이들 리소스의 거동을 분석하고 거동 분석을 통해 하이재킹을 검출하기 위한 수단을 갖지 않는다는 관찰을 포함한다.
이러한 것은 본 발명이 내부 네트워크에 위치되고, 서비스 공급자에 의해 관리되는 접속을 통해 보안 및 기밀성 기준이 없는 외부 네트워크에 접속된 이 내부 네트워크에 특정한 보안 및 기밀성 기준을 구현하는 컴퓨터 리소스의 하이재킹을 검출하기 위한 방법에 있어서,
- 외부 네트워크와 통신하기 위해 컴퓨터 리소스에 의해 구현된 접속 파라미터를 저장하는 단계와,
- 비가역적 함수에 기초하여 이 저장된 파라미터를 프로세싱하여, 상기 저장된 파라미터에 대응하지만 상기 저장된 파라미터의 식별을 허용하지는 않는 고유 코드를 생성하는 단계와,
- 외부 네트워크 상에 위치된 서버에 상기 생성된 코드를 송신하여 이 서버가 상기 고유 코드로부터 컴퓨터 리소스의 액티비티를 분석하고 컴퓨터 리소스의 임의의 하이재킹을 검출할 수 있게 하는 단계를 포함하는 것을 특징으로 하는 컴퓨터 리소스의 하이재킹을 검출하기 위한 방법에 관한 것인 이유이다.
본 발명에 의하면, 내부 네트워크의 외부의 운영자는 내부 네트워크의 기밀성 및 보안 기준에 따르면서 리소스의 거동을 분석할 수 있다. 따라서, 제한된 컴퓨터 분석의 수단을 갖는 사용자는 접속의 기밀성 및 보안을 보존하면서 리소스의 하이재킹을 검출하는데 필요한 수단 및 전문적 기술을 갖는 외부 운영자를 호출할 수 있다.
통상적으로, 접속 파라미터는 유형 (google.fr)의 도메인명 및/또는 유형 (smtp.neuf.fr)의 보내는 이메일 서버일 수 있고, 여기서 SMTP는 "단순 메일 전송 프로토콜" 보내는 메일 프로토콜이다.
다수의 도메인명 및/또는 보내는 메일 서버에 방법을 적용하는데 있어서, 보내는 메일 서버는 이어서 그 강도 및/또는 다이버시티가 분석된 리소스의 하이재킹을 의심하는 것을 가능하게 하는 액티비티를 검출할 수 있다.
일 실시예에서, 방법은 접속 파라미터로서, 이하의 요소, 즉 내부 네트워크로부터 외부 네트워크로 전송된 패킷의 헤더 및/또는 바디의 콘텐트, 내부 네트워크로부터 외부 네트워크에 발행된 DNS 요청 내에 포함된 식별자, 또는 내부 네트워크에 의해 외부 네트워크에 송신된 이메일의 수신인의 식별자 중 적어도 하나를 고려하는 단계를 포함한다.
일 실시예에 따르면, 방법은 특히 도메인명 또는 메일 서버 어드레스와 같은 상기 접속 파라미터에 기초하여 고유 코드를 생성하기 위해 해싱 함수를 사용하는 단계를 포함한다.
일 실시예에서, 방법은 리소스의 하이재킹을 검출하고 또는 새로운 접속 파라미터를 생성하기 위해, 그 프로세싱 전에, 내부 네트워크 내의 접속 파라미터의 내부 분석을 수행하는 단계를 포함한다.
일 실시예에 따르면, 방법은 원격 서버에 내부 분석 보고를 송신하는 부가의 단계를 포함한다.
일 실시예에서, 방법은 원격 서버에 송신된 생성된 고유 코드를 갖는 비코딩된 파라미터를 송신하는 단계를 포함한다.
일 실시예에서, 방법은 컴퓨터 리소스의 하이재킹을 검출하기 위해 외부 네트워크에 접속할 때 사용자의 사용 조건에 대한 정보를 고려하는 단계를 포함한다.
일 실시예에서, 방법은 외부 네트워크에 액세스하기 위해 사용자의 조건에 대한 정보를 고려하는 단계를 포함하고, 이 정보는 리소스의 하이재킹을 검출하기 위해 서비스 공급자에 의해 송신된다.
본 발명은 또한, 내부 네트워크 내에 위치되고, 서비스 공급자에 의해 관리되는 접속을 통해 보안 및 기밀성 기준이 없는 외부 네트워크에 접속된 이 내부 네트워크에 특정한 보안 및 기밀성 기준을 구현하는 컴퓨터 리소스에 있어서,
- 외부 네트워크와 통신하도록 구현된 접속 파라미터를 저장하기 위한 수단과,
- 비가역적 함수에 기초하여 이 저장된 파라미터를 프로세싱하여, 상기 저장된 파라미터에 대응하지만 대응하는 생성된 코드로부터 상기 파라미터의 식별을 허용하지는 않는 고유 코드를 생성하기 위한 수단과,
- 외부 네트워크 상에 위치된 서버에 생성된 코드를 송신하여 이 서버가 상기 고유 코드로부터 컴퓨터 리소스의 액티비티를 분석하고 이전의 실시예들 중 하나에 따른 방법을 사용하여 컴퓨터 리소스의 임의의 하이재킹을 검출할 수 있게 하는 수단을 포함하는 것을 특징으로 하는 컴퓨터 리소스에 관한 것이다.
본 발명은 또한, 내부 네트워크 상에 위치되고, 서비스 공급자에 의해 관리되는 접속을 통해 보안 및 기밀성 기준이 없는 외부 네트워크에 접속된 이 내부 네트워크에 특정한 보안 및 기밀성 기준을 구현하는 컴퓨터 리소스의 하이재킹을 검출하기 위한 서버에 있어서, 외부 네트워크 상에 위치되어, 서버는 이전의 실시예들 중 하나에 따른 방법을 사용하여 이들 컴퓨터 리소스에 의해 생성된 고유 코드로부터 컴퓨터 리소스를 분석하기 위한 수단을 포함하는 것을 특징으로 하는 컴퓨터 리소스의 하이재킹을 검출하기 위한 서버에 관한 것이다.
본 발명의 다른 특징 및 이득은 첨부 도면을 참조하여 예시의 목적으로 제공되고 비한정적인 이하의 상세한 설명을 고찰할 때 명백해질 것이다.
도 1은 본 발명의 일 구현예를 개략적으로 도시하는 도면.
도 2는 본 발명에 따른 서버에 의해 구현된 분석표.
도 1을 참조하면, 본 발명에 따른 컴퓨터 리소스(101)의 하이재킹을 검출하기 위한 방법이 내부 네트워크(100)를 위해 구현되어 이 내부 네트워크에 특정한 보안 및 기밀성 기준을 구현한다.
이 예에서, 내부 네트워크(100)는 다수의 상호 접속된 단말을 포함하는 회사 인트라넷이고, 기밀성 기준은 소정의 단말에 의해 요청된 도메인명의 식별시에 금지를 포함하고, 반면 보안 기준은 이 예에서 인터넷에 의해 형성된 외부 네트워크(102)와 통신하기 위해 ADSL(비대칭 디지털 가입자 회선) 고속 접속(104)의 요청 사용량을 포함한다.
따라서, 인터넷(102)이 전술된 보안 및 기밀성 기준이 결여되더라도, 접속(104)을 관리하는 서비스 공급자는 본 발명을 사용하여 이 외부 네트워크(102)로부터 네트워크(100) 내의 컴퓨터 리소스의 하이재킹을 검출하기 위한 방법을 구현할 수 있다.
이를 위해, 인터넷 네트워크(100)는 외부 네트워크(102)와 통신하기 위해 컴퓨터 리소스(101)에 의해 구현된 접속 파라미터(108)를 필터링하고 저장하기 위해 단계 106을 수행한다.
이 실시예에서, 본 출원인은 필터링되고 저장되는 것이 가능한 접속 파라미터로서 이하의 요소 중 적어도 하나를 고려한다.
- 내부 네트워크(100)로부터 외부 네트워크(102)로 송신된 데이터 패킷의 헤더 및/또는 바디의 콘텐트. 이 때문에, 몇몇 패킷의 바디 및/또는 헤더의 콘텐트는 예를 들어 비교적 상당한 양의 발신된 이메일(초당 수 메시지) 및/경유하여 2 초과의 다수의 보내는 메일 공급자(SMTP 서버)와 같은 리소스의 하이재킹 또는 임의의 의심 액티비티의 특성을 나타낼 수 있다.
- 외부 네트워크 상의 DNS 서버에 송신된 요청에 포함된 식별자(108).
이를 위해, DNS 서버의 역할은 예를 들어, www.alcatel-lucent.com과 같은 도메인명에 대해 발행된 요청를 해결하는 것이라는 것이 주목되어야 한다. 더 구체적으로, DNS 서버는 93.178.374.3과 같은 형태를 취하는 적어도 하나의 IP(인터넷 프로토콜) 어드레스를 도메인명과 연관시키는 데이터베이스를 갖는다.
다음에, DNS 서버의 질의는, 이 다이버시티가 통상적으로 내부 리소스(101)가 하이재킹될 때 비정상적으로 높다는 이해를 갖고, 예를 들어 리소스가 통신하는 서버의 다이버시티의 견지에서 내부 리소스(101)의 액티비티를 학습하는 것을 가능하게 한다.
- SMTP("단순 메일 전송 프로토콜")를 사용하여 이 경우에서와 같이 외부 네트워크에 송신된 이메일을 프로세싱하는 SMTP 서버와 같은 메일 서버를 위한 식별자. 이 때문에, 재차, 하이재킹된 리소스는 예를 들어 이들이 원하지 않는 메일 또는 "스팸"을 생성할 때 특히 높은 가변적인 액티비티를 나타낸다.
이들 파라미터에 기초하여, 본 발명은 대응 코드로부터 프로세싱된 파라미터의 임의의 이후의 식별을 차단하기 위해, 각각 저장된 파라미터로부터 고유 코드를 생성하는 비가역적 함수에 기초하여 이들 저장된 파라미터(108)를 프로세싱하기 위한 단계 112를 구현한다.
본 발명의 이 실시예는 예를 들어 MD5 또는 SHA-1 함수와 같은 고유 코드로 저장된 파라미터를 인코딩하기 위해 해싱 함수를 사용한다.
따라서, 접속 파라미터의 기밀성이 보존되지만, 그럼에도 불구하고 특히 행해진 접속의 다이버시티 및 품질의 견지에서 리소스(111)의 거동을 분석하는 것이 가능하다.
내부 네트워크(100) 내에서, 파라미터의 분석(110)은, 리소스의 하이재킹을 내부적으로 검출하고 그리고/또는 리소스(101)에 의해 행해진 통신의 기밀성을 보장하는 보고시에 이후에 전송되는 - 단계 114 - 예를 들어 통계적인 파라미터와 같은 새로운 파라미터를 생성하기 위해, 이들의 프로세싱 전에 수행될 수 있다는 것이 주목되어야 한다.
도 2를 참조하면, 이 유형의 진보 또는 내부 분석은 예를 들어 소위 "고속 흐름(fast flow)" 네트워크 내의 리소스의 하이재킹을 의심하거나 특징화하는 것을 가능하게 하는 파라미터의 요약을 갖고 요청된 DNS명 - 예를 들어, "4thfirework.com" 또는 "fireholiday.com" - 에 의해 행해진 접속을 요약할 수 있어, 예를 들어
- 상이한 인터넷 서버로부터 오는 단일 도메인명으로부터의 다양한 요청에 대해 복귀된 어드레스를 분석하도록 설계된 "메시지 발생". 이 때문에, 봇넷에 링크된 도메인명과 연관된 어드레스는 규칙적인 및/또는 법적인 도메인명에 대해 해당할 수 있는 임의의 지리학적, 기술적 또는 관리적 링크 없이 전세계에 걸쳐 위치된 개인적으로 소유된 머신의 어드레스임.
- 단지 수초의 복귀된 DNS 데이터에 대한 타임 투 라이브(또는 TTL)
과 같은 DNS 프로토콜의 사용을 하이재킹한다.
이 단계 114는 예를 들어 다양한 접속(104)이 구현될 때, 다수의 보고에 기초하여 구현될 수 있다.
이 실시예에서, 비코딩된 데이터가 또한 가능한데, 즉 프로세싱되지 않은 접속 파라미터가 코딩된 데이터를 갖고 단계 114에서 직접 전송되고, 이어서 기밀성 제약이 허용될 때 외부 서버(118)로 전송된다.
따라서, 이 정보의 세트는 외부 네트워크(102) 상에 위치된 상기 서버(118)에 단계 116에서 전송된다. 서버(118)는 이어서 컴퓨터 리소스(111)의 액티비티를 연구하고 컴퓨터 리소스의 하이재킹을 검출하기 위해 - 단계 120 -, 단계 112에서 생성된 고유 코드 및 단계 110에서 송신된 임의의 잠재적인 접속 파라미터를 외부적으로 분석할 수 있다.
이를 위해, 리소스(111)의 거동은 접속의 견지에서 다양한 유형의 감염에 대응하는 사전 결정된 거동과 비교될 수 있다.
예를 들어, "고속 흐름" 거동은 전술된 바와 같이 특정 DNS 거동을 식별함으로써, 또는 이들 도메인명이 전송될 때 바이러스에 특정한 도메인명을 인식함으로써 검출될 수 있다.
유사하게, 스팸을 송신하기 위해 하이재킹된 리소스는 리소스(111)의 SMTP 거동을 분석함으로서 검출될 수 있는데, 즉 이들 리소스(111)에 의해 송신된 이메일의 수신인 또는 스팸이 송신되는 웹사이트 또는 봇넷 바이러스를 식별하는 이메일 송신의 콘텐트에 관련된다.
리소스(111)의 사용자의 가입에 따라, 다른 검출 프로세스가 구현될 수도 있다. 예를 들어, 개인은 통상적으로 가정에서 HTTP 서버를 호스팅하지 않아, HTTP 요청의 리소스(111)에 의한 수신이 하이재킹에 대한 실마리로서 고려될 수 있고,
"친애하는 로렌트 클레비(Laurent Clevy), 당신은 당신의 서비스 공급자로부터 "네트워크 침입 모니터링(network intrusion monitoring)" 서비스에 가입되어 있기 때문에 이 메시지를 수신합니다. 우리가 당신의 컴퓨터로부터 소정의 비정상적인 거동을 검출하였기 때문에 당신의 웹 프로파일을 재규정하기 위해 아래의 보안 링크를 사용하십시오.
http://local/webprofile/LC"
와 같은 보안 HTTPS 페이지를 사용하여, 이 사용자의 어드레스에 메시지를 트리거링할 수 있게 된다.
링크 "http://local/webprofile/LC"를 클릭함으로써, 사용자 - 이 예에서 이름이 로렌크 클레비임 - 는
"제 3 자가 당신의 컴퓨터 상에 저장된 정보에 액세스할 수 있도록 HTTP 사이트를 호스팅하겠습니까? 예/아니오"와 같은 메시지를 수신할 수 있다.
다음에, 사용자는 예를 들어 다른 예에서, 그가 의도적으로 이메일을 송신하는 서버를 지시함으로써, 그 또는 그녀의 리소스에 의해 비정상적인 거동을 검출하는 것을 도울 수 있다.
또한, 사용자는 사전 결정된 시간이 검출되기 전으로부터 저장된 데이터를 갖고 슬라이딩 시간 기간에 걸쳐 분석을 수행하기 위해 행해진 모든 접속의 저장을 허용하도록 요청될 수도 있다 - 단계 122 -.
본 발명은 특히 고속 인터넷 액세스 라인을 개방할 때 가입을 통해 구현될 때 다수의 변형을 취할 수도 있다.
이 경우에, 사용자는 감염된 리소스의 액티비티 특성을 검출하기 위해, DNS 및/또는 SMTP 요청를 모니터링하는 서비스인 리소스 하이재킹 검출 서비스에 가입할 수 있다.
이러한 가입은 전화에 의해 행해질 수 있고, 이어서 그 또는 그녀가 접속(104) - 통상적으로 컴퓨터 리소스(101)가 컴퓨터일 때 통상적으로 ADSL("비대칭 디지털 가입자 라인") 박스 - 을 보장하기 위해 필요한 수단을 설치할 때 사용자 자신에 의해 구성될 수 있다.
다른 경우에, 예를 들어 리소스(101)가 전화기, 스마트폰, PDA("개인 휴대 정보 단말") 및/또는 휴대용 컴퓨터일 때, 전술된 단계 108, 110, 112 및 114를 구현하는데 요청되는 수단의 구성은 제조시에 단말 내에 구성될 수 있고, 이들 리소스는 이 구현을 위해 요청되는 제한된 수단에 의해 제약된다.
다음에, 가입은 속도, 경고, 데이터의 예방적인 저장 및 리소스(101)의 사용자를 돕는 책임이 있는 기술자의 이용 가능성의 견지에서 증가하는 지원을 갖고 3개의 서비스 레벨을 포함할 수 있다.
부가적으로, 가입의 이벤트에, 서비스 공급자는 다양한 단계에서 정보를 제공할 수 있다.
- 접속 파라미터를 필터링하고 저장하는 단계 106 중에, 사용자의 이메일 어드레스의 하나 이상에 대한 정보가 송신되어 - 단계 124 - 이들 이메일을 전송하고 그리고/또는 저장하도록 설계된 서버를 식별하는 것을 가능하게 하여 리소스로부터 이들 서버로의 접속이 예측 가능한 것으로서 고려될 수 있게 된다.
- 해싱 단계 112 중에, 전송된 패킷을 저장하기 위한 임의의 잠재적인 인증에 대한 정보는 따라서 감염되는 것으로 의심되는 패킷을 분석하는 것을 가능하게 한다. 서비스 공급자가 이러한 인증을 제공받을 때, 이들 패킷은 예를 들어 슬라이딩 시간 윈도우 내에서 분석될 수 있어 사전 결정된 시간 동안 저장되어 있는 패킷이 삭제되게 된다.
- 예를 들어 리소스(111)에 의해 송신된 패킷의 완전한 저장, 현재 안티-바이러스 소프트웨어로 스캔된 퍼스널 데이터의 백업 및 특히 인터넷을 브라우징하고 이메일을 송신하기 위해 보안 소프트웨어의 제안된 다운로드를 포함하는 리소스의 하이재킹을 방지하기 위한 프로세싱 단계 128 중에.
이 경우에, 서비스 공급자는 예를 들어 가입에 포함되거나 포함되지 않을 수도 있는 옵션에 관한 예방적인 프로세싱 서비스에 리소스(111)의 사용자의 가입에 대한 정보를 제공할 수도 있다 - 단계 130.
- 이 실시예에서 그 또는 그녀의 리소스(111)의 하이재킹된 액티비티의 검출, 퍼스널 데이터 프라이버시의 위험에 대한 경고, 제한된 진단 및 원격 지원을 위한 콘택트 어드레스의 사용자로의 통신을 포함하는 기본 프로세싱 단계 132 중에.
이 경우에, 서비스 공급자는 감염된 리소스(111)를 바이러스 제거하고, 감염된 리소스(111)를 식별하고 전략적인 데이터를 백업하고, 잠재적으로 대체 솔루션을 제공하기 위해 요청된 시간 프레임 내에 리소스(111)의 사이트에 기술자를 제공하도록 의도된 이후의 프로세싱 동작을 위한 - 또는 현장 프로세싱(138)을 위한 추정치를 제공하도록 설계된 원격 프로세싱 서비스(136)로의 가입에 대한 정보를 제공할 수 있다 - 단계 134 -.
도 1에 도시된 바와 같이, 단계 132, 136 및 138은 이들의 거동의 분석을 수행하는 운영자를 갖고 리소스(111)의 사용자에 의해 유지된 가입에 의존하여 연속적으로 구현될 수 있다.
본 발명은 다수의 변형예가 실시된다. 이 때문에, 현재 인터넷으로의 접속을 위한 다른 네트워크 파라미터는 통상적으로 익명이거나 인터넷 운영자(IP 어드레스)에 의해 제공되기 때문에 도메인명 및/또는 보내는 메일 서버명을 주로 참조하여 설명되었지만, 본 발명은 인터넷 프로토콜 이외의 통신 프로토콜에 따라 등가의 파라미터로 구현될 수도 있다는 것이 명백하다.
부가적으로, 본 발명은 다수의 접속 파라미터의 분석을 구현함으로써 뿐만 아니라 컴퓨터 바이러스 감염을 검출하기 위한 다양한 방법을 조합함으로써 구성될 수 있다는 것이 명백하다.

Claims (10)

  1. 내부 네트워크(100)에 위치되고, 서비스 공급자에 의해 관리되는 접속(104)을 통해 보안 및 기밀성 기준이 없는 외부 네트워크(102)에 접속된 내부 네트워크(100)에 특정한 보안 및 기밀성 기준을 구현하는 컴퓨터 리소스(111)의 하이재킹을 검출하기 위한 방법에 있어서,
    - 상기 외부 네트워크(102)와 통신하기 위해 상기 컴퓨터 리소스(111)에 의해 구현된 접속 파라미터(108)를 저장하는 단계(106)와,
    - 비가역적 함수에 기초하여 상기 저장된 파라미터(108)를 프로세싱하여, 상기 저장된 파라미터에 대응하는 고유 코드를 생성하는 단계―상기 고유 코드로부터는 상기 파라미터를 식별할 수 없음―(112)와,
    - 상기 외부 네트워크 상에 위치된 서버(118)에 상기 생성된 고유 코드를 송신하여 상기 서버(118)가 상기 고유 코드로부터 컴퓨터 리소스(111)의 액티비티(activity)를 분석하고 상기 컴퓨터 리소스의 임의의 하이재킹을 검출할 수 있게 하는 단계(114)를 포함하는
    컴퓨터 리소스의 하이재킹을 검출하기 위한 방법.
  2. 제 1 항에 있어서,
    상기 내부 네트워크로부터 상기 외부 네트워크로 전송된 패킷의 헤더 및 바디 중 적어도 하나의 콘텐트, 상기 내부 네트워크에 의해 상기 외부 네트워크에 발행된 DNS 요청 내에 포함된 식별자, 또는 상기 내부 네트워크에 의해 상기 외부 네트워크에 송신된 이메일의 수신인의 식별자 중 적어도 하나를 접속 파라미터(108)로서 고려하는 단계를 포함하는
    컴퓨터 리소스의 하이재킹을 검출하기 위한 방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 저장된 파라미터(108)에 기초하여 고유 코드를 생성하기 위해 해싱 함수를 사용하는 단계(112)를 포함하는
    컴퓨터 리소스의 하이재킹을 검출하기 위한 방법.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    리소스(111)의 하이재킹을 검출하고 또는 새로운 접속 파라미터(108)를 생성하기 위해, 상기 내부 네트워크(100) 내의 상기 접속 파라미터(108)의 내부 분석을 그 프로세싱 전에, 수행하는 단계(110)를 포함하는
    컴퓨터 리소스의 하이재킹을 검출하기 위한 방법.
  5. 제 4 항에 있어서,
    원격 서버(118)에 내부 분석 보고를 전송하는 단계(113)를 포함하는
    컴퓨터 리소스의 하이재킹을 검출하기 위한 방법.
  6. 제 1 항 내지 제 5 항 중 어느 한 항에 있어서,
    상기 서버(118)에 전송된 고유 생성된 코드를 갖는 접속 파라미터(108)를 송신하는 단계를 포함하는
    컴퓨터 리소스의 하이재킹을 검출하기 위한 방법.
  7. 제 1 항 내지 제 6 항 중 어느 한 항에 있어서,
    컴퓨터 리소스의 하이재킹을 검출하기 위해 상기 외부 네트워크(102)에 접속하는 상기 리소스(111)를 사용하기 위한 사용자의 조건에 대한 정보를 고려하는 단계(124)를 포함하는
    컴퓨터 리소스의 하이재킹을 검출하기 위한 방법.
  8. 제 1 항 내지 제 7 항 중 어느 한 항에 있어서,
    상기 외부 네트워크(102)에 액세스하기 위해 리소스(111)를 사용하기 위해 사용자의 조건에 관한 정보를 고려하는 단계(130, 134)를 포함하는 것을 특징으로 하는
    컴퓨터 리소스의 하이재킹을 검출하기 위한 방법.
  9. 내부 네트워크(100) 상에 위치되고, 서비스 공급자에 의해 관리되는 접속(104)을 통해 보안 및 기밀성 기준이 없는 외부 네트워크(102)에 접속된 내부 네트워크(100)에 특정한 보안 및 기밀성 기준을 구현하는 컴퓨터 리소스(111)에 있어서,
    - 상기 외부 네트워크(102)와 통신하도록 구현된 접속 파라미터(108)를 저장하기 위한 수단과,
    - 비가역적 함수(112)에 기초하여 이 저장된 파라미터(108)를 프로세싱하여, 상기 저장된 파라미터(108)에 대응하는 고유 코드를 생성하는 수단―상기 고유 코드로부터는 상기 저장된 파라미터(108)를 식별할 수 없음―과,
    - 상기 외부 네트워크(102) 상에 위치된 서버(118)에 상기 생성된 고유 코드를 송신하여(114) 상기 서버가 상기 고유 코드로부터 컴퓨터 리소스(111)의 액티비티를 분석하고 제 1 항 내지 제 8 항 중 어느 한 항에 따른 방법을 사용하여 상기 컴퓨터 리소스의 임의의 하이재킹을 검출할 수 있게 하는 수단을 포함하는
    컴퓨터 리소스.
  10. 내부 네트워크(100) 상에 위치되고, 서비스 공급자에 의해 관리되는 접속(104)을 통해 보안 및 기밀성 기준이 없는 외부 네트워크(102)에 접속된 내부 네트워크(100)에 특정한 보안 및 기밀성 기준을 구현하는 컴퓨터 리소스(111)의 하이재킹을 검출하기 위한 서버(118)에 있어서,
    상기 외부 네트워크(102) 상에 위치되어, 상기 서버(118)는 제 1 항 내지 제 8 항 중 어느 한 항에 따른 방법을 사용하여 상기 컴퓨터 리소스에 의해 생성된 고유 코드로부터 컴퓨터 리소스를 분석하기 위한 수단을 포함하는
    컴퓨터 리소스의 하이재킹을 검출하기 위한 서버.
KR1020127016005A 2009-12-21 2010-12-08 컴퓨터 리소스의 하이재킹 검출 방법 KR101443472B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR0959335A FR2954547B1 (fr) 2009-12-21 2009-12-21 Procede de detection d?un detournement de ressources informatiques
FR0959335 2009-12-21
PCT/FR2010/052639 WO2011083226A1 (fr) 2009-12-21 2010-12-08 Procédé de détection d'un détournement de ressources informatiques

Publications (2)

Publication Number Publication Date
KR20120084806A true KR20120084806A (ko) 2012-07-30
KR101443472B1 KR101443472B1 (ko) 2014-09-22

Family

ID=42291509

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020127016005A KR101443472B1 (ko) 2009-12-21 2010-12-08 컴퓨터 리소스의 하이재킹 검출 방법

Country Status (7)

Country Link
US (1) US9104874B2 (ko)
EP (1) EP2517139A1 (ko)
JP (1) JP5699162B2 (ko)
KR (1) KR101443472B1 (ko)
CN (1) CN102792306B (ko)
FR (1) FR2954547B1 (ko)
WO (1) WO2011083226A1 (ko)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9191399B2 (en) * 2012-09-11 2015-11-17 The Boeing Company Detection of infected network devices via analysis of responseless outgoing network traffic
EP3117320B1 (en) * 2014-03-11 2020-08-19 Vectra AI, Inc. Method and system for detecting external control of compromised hosts
US9396332B2 (en) 2014-05-21 2016-07-19 Microsoft Technology Licensing, Llc Risk assessment modeling
CN108737327B (zh) * 2017-04-14 2021-11-16 阿里巴巴集团控股有限公司 拦截恶意网站的方法、装置、系统和存储器
US10764309B2 (en) 2018-01-31 2020-09-01 Palo Alto Networks, Inc. Context profiling for malware detection
US11159538B2 (en) * 2018-01-31 2021-10-26 Palo Alto Networks, Inc. Context for malware forensics and detection
US11956212B2 (en) 2021-03-31 2024-04-09 Palo Alto Networks, Inc. IoT device application workload capture

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100856149B1 (ko) * 1999-11-26 2008-09-03 네테카 인코포레이티드 전자 메일 서버 및 전자 메일 통신을 용이하게 하기 위한 방법
US20030172291A1 (en) * 2002-03-08 2003-09-11 Paul Judge Systems and methods for automated whitelisting in monitored communications
US7690040B2 (en) * 2004-03-10 2010-03-30 Enterasys Networks, Inc. Method for network traffic mirroring with data privacy
WO2005091107A1 (en) * 2004-03-16 2005-09-29 Netcraft Limited Security component for use with an internet browser application and method and apparatus associated therewith
WO2007075813A2 (en) * 2005-12-23 2007-07-05 Advanced Digital Forensic Solutions, Inc. Enterprise-wide data identification, sharing and management, and searching forensic data
WO2007081960A2 (en) * 2006-01-10 2007-07-19 Advanced Digital Forensic Solutions, Inc. Enterprise-wide data identification, sharing and management
JP4287456B2 (ja) * 2006-10-26 2009-07-01 株式会社東芝 サービス不能攻撃を防止するサーバ装置、方法およびプログラム
US8352738B2 (en) * 2006-12-01 2013-01-08 Carnegie Mellon University Method and apparatus for secure online transactions
US8312536B2 (en) 2006-12-29 2012-11-13 Symantec Corporation Hygiene-based computer security
US8020207B2 (en) * 2007-01-23 2011-09-13 Alcatel Lucent Containment mechanism for potentially contaminated end systems
US8677479B2 (en) * 2007-04-16 2014-03-18 Microsoft Corporation Detection of adversaries through collection and correlation of assessments
KR20090037540A (ko) * 2007-10-12 2009-04-16 한국정보보호진흥원 클라이언트 애플리케이션을 탐지하기 위한 복합형 네트워크탐지 방법
US7836142B2 (en) * 2008-02-22 2010-11-16 Time Warner Cable, Inc. System and method for updating a dynamic domain name server
US7921212B2 (en) * 2008-10-14 2011-04-05 At&T Intellectual Property I, L.P. Methods and apparatus to allocate bandwidth between video and non-video services in access networks

Also Published As

Publication number Publication date
JP2013515419A (ja) 2013-05-02
KR101443472B1 (ko) 2014-09-22
FR2954547B1 (fr) 2012-10-12
WO2011083226A1 (fr) 2011-07-14
CN102792306B (zh) 2016-05-25
EP2517139A1 (fr) 2012-10-31
JP5699162B2 (ja) 2015-04-08
US9104874B2 (en) 2015-08-11
CN102792306A (zh) 2012-11-21
FR2954547A1 (fr) 2011-06-24
US20120272316A1 (en) 2012-10-25

Similar Documents

Publication Publication Date Title
US10326779B2 (en) Reputation-based threat protection
US8490190B1 (en) Use of interactive messaging channels to verify endpoints
US8161540B2 (en) System and method for unified communications threat management (UCTM) for converged voice, video and multi-media over IP flows
JP6006788B2 (ja) ドメイン名をフィルタリングするためのdns通信の使用
US8484733B2 (en) Messaging security device
US20150040220A1 (en) System and Method for Unified Communications Threat Management (UCTM) for Converged Voice, Video and Multi-Media Over IP Flows
KR101443472B1 (ko) 컴퓨터 리소스의 하이재킹 검출 방법
CN101141243A (zh) 一种对通信数据进行安全检查和内容过滤的装置和方法
US20160127316A1 (en) Highly secure firewall system
Livingood et al. Recommendations for the Remediation of Bots in ISP Networks
Gruber et al. Security status of voip based on the observation of real-world attacks on a honeynet
Špaček et al. Current issues of malicious domains blocking
KR20130131133A (ko) 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법 및 지능화된 피싱 메일의 차단시스템
Berger et al. Internet security meets the IP multimedia subsystem: an overview
Moya Analysis and evaluation of the snort and bro network intrusion detection systems
Bortolameotti C&C botnet detection over SSL
WO2008086224A2 (en) Systems and methods for detecting and blocking malicious content in instant messages
Hofbauer et al. CDRAS: An approach to dealing with Man-in-the-Middle attacks in the context of Voice over IP
Williams et al. Securing Public Instant Messaging (IM) At Work
Arnaldy et al. Analysis of Apilogy. id Email Domain Security Status Using DMARC (Domain-Based Message Authentication, Reporting, and Conformance)
Livingood et al. RFC 6561: Recommendations for the Remediation of Bots in ISP Networks
KR20100027829A (ko) 가상 프록시 서버를 이용한 에스아이피 공격탐지 시스템 및방법
Van Staden Investigating and Implementing an Email Forensic Readiness Architecture
Shekokar et al. Threats Analysis of VoIP System
Mathew et al. Survey of Secure Computing

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170908

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee