KR20130034773A - 화이트리스트를 이용한 네트워크 감시 장치 및 방법 - Google Patents

화이트리스트를 이용한 네트워크 감시 장치 및 방법 Download PDF

Info

Publication number
KR20130034773A
KR20130034773A KR1020110098829A KR20110098829A KR20130034773A KR 20130034773 A KR20130034773 A KR 20130034773A KR 1020110098829 A KR1020110098829 A KR 1020110098829A KR 20110098829 A KR20110098829 A KR 20110098829A KR 20130034773 A KR20130034773 A KR 20130034773A
Authority
KR
South Korea
Prior art keywords
white list
message
layer
information
correlation
Prior art date
Application number
KR1020110098829A
Other languages
English (en)
Other versions
KR101360591B1 (ko
Inventor
윤정한
민병길
김우년
장문수
장엽
백종목
주성호
최문석
Original Assignee
한국전력공사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전력공사 filed Critical 한국전력공사
Priority to KR1020110098829A priority Critical patent/KR101360591B1/ko
Publication of KR20130034773A publication Critical patent/KR20130034773A/ko
Application granted granted Critical
Publication of KR101360591B1 publication Critical patent/KR101360591B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크에 대한 공격 시그니처(signature)의 정보 없이도 네트워크의 이상 정보를 확인할 수 있는 화이트리스트를 이용한 네트워크 감시 기술이 개시된다. 이를 위해, 본 발명에 따른 네트워크 감시 장치는 복수개의 통신노드들의 정상 동작 시에, 복수개의 통신노드들 간에 송수신되는 패킷들을 수집하고, 패킷들을 분석하여 화이트리스트를 생성하는 화이트리스트 생성부; 복수개의 통신노드들 간에 송수신되는 대상 패킷을 수신하고, 대상 패킷에 대한 정보를 화이트리스트와 비교 분석하며, 대상 패킷에 대한 정보에 화이트리스트에 정의되지 않은 정보가 포함되어 있는 경우, 대상 패킷을 이상징후로 판단하는 감시부; 및 감시부에서 판단된 이상징후의 정보를 사용자에게 통보하는 알람 생성부를 포함한다.

Description

화이트리스트를 이용한 네트워크 감시 장치 및 방법{Apparatus and method for monitoring network using whitelist}
본 발명은 화이트리스트를 이용한 네트워크 감시 장치 및 방법에 관한 것이다. 보다 상세하게는, 본 발명은 네트워크에 대한 공격 시그니처(signature)의 정보 없이도 네트워크의 이상 정보를 확인할 수 있는 화이트리스트를 이용한 네트워크 감시 장치 및 방법에 관한 것이다.
최근 네트워크 사용자가 급증하면서 네트워크 기반 시스템에 대한 공격이 증가하고 있다. 구체적으로, 호스트(host)에 악의적인 패킷(packet)을 보내어 호스트가 원하지 않는 동작을 수행하게 하는 것을 목적으로 한 공격이 증가하고 있다. 이에 따라, 이러한 네트워크에 대한 공격 및 네트워크 자체의 오류를 감시하기 위한 네트워크 감시 기술에 대한 연구가 계속되고 있다.
특히, 복잡화된 네트워크 시스템 즉, 하나의 네트워크 내의 복수개의 통신노드들이 2 개 이상의 프로토콜을 사용하고, 2 개 이상의 서비스를 제공하며, 다양한 사용자 권한에 대한 기관의 보안정책을 갖는 시스템을 감시하기 위하여는, 복잡화된 네트워크 시스템에도 유연하게 적용될 수 있는 네트워크 감시 기술이 필요하다. 또한, 네트워크 시스템의 이상징후의 근본적인 분석을 위하여, 이상징후 감지 이후 해당 이상징후의 원인을 정확하게 분석할 수 있는 네트워크 감시 기술이 요구되는 실정이다.
본 발명의 목적은 통신노드 간의 정상 통신패턴을 정의하고 이를 감시하여, 네트워크에 대한 공격 시그니처(signature)의 정보 없이도 네트워크의 이상 정보(보안 위협, 시스템 오류, 사용자 실수 등)를 확인하는 것이다.
그리고, 본 발명은 네트워크에 이상징후가 발생한 경우, 해당 이상징후에 대한 데이터를 화이트리스트(Whitelist)와 비교하여, 해당 이상징후의 발생 원인에 대한 정보를 도출하는 것을 목적으로 한다.
또한, 본 발명은 네트워크상의 통신노드들이 다양한 프로토콜, 다양한 서비스를 제공할 때에도 통신노드들의 특성, 통신노드 간의 상호 상관관계 특성, 기관의 보안 정책 등을 반영한 화이트리스트 기반으로 이상징후를 정확하게 감지하는 것을 목적으로 한다.
또한, 본 발명은 화이트리스트를 네트워크 계층, 컨트롤 계층 및 상관관계 계층으로 나누어 이상징후를 순차적으로 판단하여, 이상징후를 보다 정밀하게 판단하는 것을 목적으로 한다. 더불어, 본 발명은 화이트리스트의 특정 계층에서 이상징후가 감지되면 다른 계층에서의 판단 동작을 진행하지 않음으로써, 불필요한 감시 동작을 줄이는 것을 목적으로 한다.
또한, 본 발명은 관리자가 화이트리스트를 직접 수정할 수 있어, 학습이나 통계만을 이용해 화이트리스트를 생성할 때보다 보안 정책들을 화이트리스트에 명확하게 반영하는 것을 목적으로 한다.
상기한 목적을 달성하기 위한 본 발명에 따른 네트워크 감시 장치는 복수개의 통신노드들의 정상 동작 시에, 상기 복수개의 통신노드들 간에 송수신되는 패킷들을 수집하고, 상기 패킷들을 분석하여 화이트리스트를 생성하는 화이트리스트 생성부; 상기 복수개의 통신노드들 간에 송수신되는 대상 패킷을 수신하고, 상기 대상 패킷에 대한 정보를 상기 화이트리스트와 비교 분석하며, 상기 대상 패킷에 대한 정보에 상기 화이트리스트에 정의되지 않은 정보가 포함되어 있는 경우, 상기 대상 패킷을 이상징후로 판단하는 감시부; 및 상기 감시부에서 판단된 상기 이상징후의 정보를 사용자에게 통보하는 알람 생성부를 포함한다.
이 때, 상기 화이트리스트 생성부는 수집된 상기 패킷들을 이용하여 어플리케이션 레벨에서 전송된 메시지를 재조립하는 패킷 수집부를 더 포함하고, 상기 메시지를 분석하여 상기 화이트리스트를 생성할 수 있다.
이 때, 상기 화이트리스트 생성부는, 상기 메시지를 전송한 통신노드의 전송 IP, 상기 메시지를 수신한 통신노드의 수신 IP 및 상기 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 분석하여, 상기 화이트리스트의 네트워크 계층을 생성하는 네트워크 계층 분석부; 상기 메시지에서 사용된 명령어, 상기 메시지가 전송하는 데이터 객체들의 특성 및 상기 메시지의 전송에 소요된 전송시간 중의 적어도 하나를 분석하여, 상기 화이트리스트의 컨트롤 계층을 생성하는 컨트롤 계층 분석부; 상기 메시지의 상관관계 정보를 분석하여, 상기 화이트리스트의 상관관계 계층을 생성하는 상관관계 계층 분석부; 및 상기 네트워크 계층 분석부, 상기 컨트롤 계층 분석부 및 상기 상관관계 계층 분석부에서 분석된 상기 메시지에 대한 정보를 바탕으로 상기 화이트리스트를 생성하는 화이트리스트 정의부를 포함할 수 있다.
이 때, 상기 메시지의 상기 상관관계 정보는, 상기 메시지의 순서 정보, 상기 메시지 간의 시간간격 정보 및 상기 메시지의 전송을 수신하는 통신노드의 상태 변화 정보 중의 적어도 하나의 정보를 포함할 수 있다.
이 때, 상기 감시부는 상기 복수개의 통신노드들 간에 송수신되는 상기 대상 패킷을 수신하고, 상기 대상 패킷을 상기 어플리케이션 레벨에서 전송된 대상 메시지로 재조립하는 대상 패킷 수신부를 더 포함하고, 상기 대상 메시지를 상기 화이트리스트와 비교 분석하여, 상기 대상 패킷의 상기 이상징후를 판단할 수 있다.
이 때, 상기 감시부는, 상기 화이트리스트의 상기 네트워크 계층과, 상기 대상 메시지를 전송한 통신노드의 전송 IP, 상기 대상 메시지를 수신한 통신노드의 수신 IP 및 상기 대상 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 비교하여, 상기 이상징후를 판단하는 네트워크 계층 감시부; 상기 화이트리스트의 상기 컨트롤 계층과, 상기 대상 메시지에서 사용된 명령어, 상기 대상 메시지가 전송하는 데이터 객체들의 특성 및 상기 대상 메시지의 전송에 소요된 전송시간 중의 적어도 하나를 비교하여, 상기 이상징후를 판단하는 컨트롤 계층 감시부; 및 상기 화이트리스트의 상기 상관관계 계층과, 상기 대상 메시지의 상관관계 정보를 비교하여, 상기 이상징후를 판단하는 상관관계 계층 감시부를 포함할 수 있다.
이 때, 상기 감시부에서, 상기 네트워크 계층 감시부, 상기 컨트롤 계층 감시부 및 상기 상관관계 계층 감시부는 순차적으로 동작할 수 있다.
이 때, 상기 감시부는, 상기 네트워크 계층 감시부에서 상기 이상징후가 판단된 경우, 상기 컨트롤 계층 감시부 및 상기 상관관계 계층 감시부는 동작하지 않게 형성되며, 상기 컨트롤 계층 감시부에서 상기 이상징후가 판단된 경우, 상기 상관관계 계층 감시부는 동작하지 않도록 형성될 수 있다.
이 때, 상기 네트워크 계층 감시부, 상기 컨트롤 계층 감시부 및 상기 상관관계 계층 감시부에서 상기 이상징후가 판단되지 않은 경우, 상기 대상 패킷을 정상 패킷으로 판단하는 정상 판단부를 더 포함할 수 있다.
이 때, 상기 화이트 리스트 생성부는, 상기 화이트리스트를 상기 사용자에게 가시화하고, 상기 사용자가 상기 화이트리스트를 수정할 수 있도록 형성되는 화이트리스트 피드백부를 더 포함할 수 있다.
이 때, 상기 화이트리스트는 생성부는, 상기 화이트리스트에 상기 복수개의 통신노드들 각각의 보안 정책을 반영되도록 상기 화이트리스트를 생성할 수 있다.
또한, 상기한 목적을 달성하기 위한 본 발명에 따른 네트워크 감시 방법은 복수개의 통신노드들의 정상 동작 시에, 상기 복수개의 통신노드들 간에 송수신되는 패킷들을 수집하는 단계; 상기 패킷들을 분석하여 상기 복수개의 통신노드들이 정상 동작할 때의 화이트리스트를 생성하는 단계; 상기 복수개의 통신노드들 간에 송수신되는 대상 패킷을 수신하는 단계; 상기 대상 패킷에 대한 정보를 상기 화이트리스트와 비교 분석하는 단계; 상기 대상 패킷에 대한 정보에 상기 화이트리스트에 정의되지 않은 정보가 포함되어 있는 경우, 상기 대상 패킷을 이상징후로 판단하는 단계; 및 상기 이상징후를 사용자에게 통보하는 단계를 포함한다.
이 때, 상기 화이트리스트를 생성하는 단계는, 수집된 상기 패킷들을 이용하여 어플리케이션 레벨에서 전송된 메시지를 재조립하고, 상기 메시지를 분석하여 상기 화이트리스트를 생성하는 것을 특징으로 하는 네트워크 감시 방법.
이 때, 상기 화이트리스트를 생성하는 단계는, 상기 메시지를 전송한 통신노드의 전송 IP, 상기 메시지를 수신한 통신노드의 수신 IP 및 상기 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 분석하여, 상기 화이트리스트의 네트워크 계층을 생성하는 단계; 상기 메시지에서 사용된 명령어, 상기 메시지가 전송하는 데이터 객체들의 특성 및 상기 메시지 전송에 소요된 전송시간 중의 적어도 하나를 분석하여, 상기 화이트리스트의 컨트롤 계층을 생성하는 단계; 및 상기 메시지의 상관관계 정보를 분석하여, 상기 화이트리스트의 상관관계 계층을 생성하는 단계를 포함할 수 있다.
이 때, 상기 상관관계 정보는, 상기 메시지의 순서 정보, 상기 메시지 간의 시간간격 정보 및 상기 메시지의 전송을 수신하는 통신노드의 상태 변화 정보 중의 적어도 하나의 정보를 포함할 수 있다.
이 때, 상기 대상 패킷을 수신하는 단계는, 상기 복수개의 통신노드들 간에 송수신되는 상기 대상 패킷을 수신하고, 상기 대상 패킷을 상기 어플리케이션 레벨에서 전송된 대상 메시지로 재조립하며, 상기 비교 분석하는 단계는, 상기 대상 메시지를 상기 화이트리스트와 비교 분석할 수 있다.
이 때, 상기 비교 분석하는 단계는, 상기 화이트리스트의 상기 네트워크 계층과, 상기 대상 메시지를 전송한 통신노드의 전송 IP, 상기 대상 메시지를 수신한 통신노드의 수신 IP 및 상기 대상 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 비교 분석하는, 네트워크 계층 비교 분석 단계; 상기 화이트리스트의 상기 컨트롤 계층과, 상기 대상 메시지에서 사용된 명령어, 상기 대상 메시지가 전송하는 데이터 객체들의 특성 및 상기 대상 메시지의 전송에 소요된 전송시간 중의 적어도 하나를 비교 분석하는, 컨트롤 계층 비교 분석 단계; 및 상기 화이트리스트의 상기 상관관계 계층과, 상기 대상 메시지의 상관관계 정보를 비교 분석하는, 상관관계 계층 비교 분석 단계를 포함할 수 있다.
이 때, 상기 네트워크 계층 비교 분석 단계, 상기 컨트롤 계층 비교 분석 단계 및 상기 상관관계 계층 비교 분석 단계는 순차적으로 진행될 수 있다.
이 때, 상기 네트워크 계층 비교 분석 단계에서 상기 이상징후가 판단된 경우, 상기 컨트롤 계층 비교 분석 단계 및 상기 상관관계 계층 비교 분석 단계는 진행되지 않게 형성되며, 상기 컨트롤 계층 비교 분석 단계에서 상기 이상징후가 판단된 경우, 상기 상관관계 계층 비교 분석 단계는 진행되지 않도록 형성될 수 있다.
이 때, 상기 네트워크 계층 비교 분석 단계, 상기 컨트롤 계층 비교 분석 단계 및 상기 상관관계 계층 비교 분석 단계에서 상기 이상징후가 판단되지 않은 경우, 상기 대상 패킷을 정상 패킷으로 판단하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 감시 방법.
이 때, 상기 화이트리스트를 생성하는 단계는, 상기 화이트리스트를 상기 사용자에게 가시화하고, 상기 사용자가 상기 화이트리스트를 수정할 수 있도록 형성되는 화이트리스트 피드백 단계를 포함할 수 있다.
이 때, 상기 화이트리스트를 생성하는 단계는, 상기 화이트리스트에 상기 복수개의 통신노드들 각각의 보안 정책을 반영되도록 상기 화이트리스트를 생성할 수 있다.
본 발명의 실시예에 따르면, 복수개의 통신노드 간의 정상 통신패턴을 정의하고 이를 감시하여, 네트워크에 대한 공격 시그니처(signature)의 정보 없이도 네트워크의 이상 정보(보안 위협, 시스템 오류, 사용자 실수 등)를 확인할 수 있다.
그리고, 본 발명의 실시예는 네트워크에 이상징후가 발생한 경우, 해당 이상징후에 대한 데이터를 화이트리스트와 비교하여, 해당 이상징후의 발생 원인에 대한 정보를 도출할 수 있다.
또한, 본 발명의 실시예는 네트워크상의 통신노드들이 다양한 프로토콜, 다양한 서비스를 제공할 때에도 통신노드들의 특성, 통신노드 간의 상호 상관관계 특성, 기관의 보안 정책 등을 반영한 화이트리스트 기반으로 이상징후를 정확하게 감지할 수 있다.
또한, 본 발명의 실시예는 화이트리스트를 네트워크 계층, 컨트롤 계층 및 상관관계 계층으로 나누어 이상징후를 순차적으로 판단하여, 이상징후를 보다 정밀하게 판단할 수 있다. 더불어, 본 발명의 실시예는 화이트리스트의 특정 계층에서 이상징후가 감지되면 다른 계층에서의 판단 동작을 진행하지 않음으로써, 불필요한 감시 동작을 줄일 수 있는 효과를 갖을 수 있다.
또한, 본 발명의 실시예는 관리자가 화이트리스트를 직접 수정할 수 있어, 학습이나 통계만을 이용해 화이트리스트를 생성할 때보다 보안 정책들을 화이트리스트에 명확하게 반영할 수 있다.
도 1은 본 발명에 따른 네트워크 감시 장치가 적용된 네트워크의 구성을 도시한 개념도이다.
도 2는 본 발명에 따른 네트워크 감시 장치의 구성을 나타낸 블록도이다.
도 3은 본 발명에 따른 네트워크 감시 장치에 있어서, 화이트리스트의 내용을 설명하기 위한 도면이다.
도 4는 본 발명에 따른 네트워크 감시 방법을 설명하기 위한 플로우챠트이다.
도 5는 본 발명에 따른 네트워크 감시 방법에 있어서, 화이트리스트를 생성하는 단계를 설명하기 위한 플로우챠트이다.
도 6은 본 발명에 따른 네트워크 감시 방법에 있어서, 네트워크 계층을 비교 분석하는 단계를 설명하기 위한 플로우챠트이다.
도 7은 본 발명에 따른 네트워크 감시 방법에 있어서, 컨트롤 계층을 비교 분석하는 단계를 설명하기 위한 플로우챠트이다.
도 8은 본 발명에 따른 네트워크 감시 방법에 있어서, 상관관계 계층을 비교 분석하는 단계를 설명하기 위한 플로우챠트이다.
도 9는 본 발명에 따른 네트워크 감시 방법에 있어서, 네트워크상의 이상징후를 감시하는 전체적인 흐름을 설명하기 위한 플로우챠트이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하에서는 본 발명의 실시예에 따른 화이트리스트를 이용한 네트워크 감시 장치의 구성 및 동작에 대하여 설명하도록 한다.
도 1은 본 발명에 따른 네트워크 감시 장치가 적용된 네트워크의 구성을 도시한 개념도이다.
도 1을 참조하면, 본 발명에 따른 네트워크 감시 장치(100)는 복수개의 통신노드들(300a, 300b, 300c, 300d, 300e)이 상호 연결된 네트워크(200)에 연결된다.
도 2는 본 발명에 따른 네트워크 감시 장치의 구성을 나타낸 블록도이다.
도 2를 참조하면, 이러한 본 발명에 따른 네트워크 감시 장치(100)는 화이트리스트 생성부(110), 감시부(120) 및 알람 생성부(130)를 포함하여 구성된다.
화이트리스트 생성부(110)는 복수개의 통신노드들의 정상 동작 시에, 복수개의 통신노드들 간에 송수신되는 패킷들을 수집한다. 그리고, 화이트리스트 생성부(110)는 상기 패킷들을 분석하여 화이트리스트를 생성한다. 이 때의 화이트리스트는 복수개의 통신노드들이 외부의 공격이나 자체 오류 등의 이상징후가 없는 정상 동작 시의 송수신되는 패킷들에 관련한 정보를 기록하여 형성된다. 화이트리스트에 대한 구체적인 설명은 도 3에 대한 설명과 함께 후술한다.
보다 구체적으로, 화이트리스트 생성부(110)는 패킷 수집부(111), 네트워크 계층 분석부(112), 컨트롤 계층 분석부(113), 상관관계 계층 분석부(114) 및 화이트리스트 정의부(115)를 포함하여 구성된다. 또한, 화이트리스트 생성부(110)는 화이트리스트 피드백부(116)를 더 포함하여 구성될 수 있다.
패킷 수집부(111)는 수집된 패킷들을 이용하여 어플리케이션 레벨에서 전송된 메시지를 재조립한다.
네트워크 계층 분석부(112)는 메시지를 전송한 통신노드의 전송 IP, 메시지를 수신한 통신노드의 수신 IP 및 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 분석하여, 화이트리스트의 네트워크 계층을 생성한다.
컨트롤 계층 분석부(113)는 메시지에서 사용된 명령어, 메시지가 전송하는 데이터 객체들의 특성 및 메시지의 전송에 소요된 전송시간 중의 적어도 하나를 분석하여, 화이트리스트의 컨트롤 계층을 분석한다.
상관관계 계층 분석부(114)는 메시지의 상관관계 정보를 분석하여, 화이트리스트의 상관관계 계층을 생성한다. 이 때, 메시지의 상관관계 정보는 순서 정보, 메시지 간의 시간간격 정보 및 메시지의 전송을 수신하는 통신노드의 상태 변화 정보 중의 적어도 하나의 정보를 포함할 수 있다.
화이트리스트 정의부(115)는 네트워크 계층 분석부(112), 컨트롤 계층 분석부(113) 및 상관관계 계층 분석부(114)에서 분석된 메시지에 대한 정보를 바탕으로 상기 화이트리스트를 생성한다. 즉, 화이트리스트 정의부(115)는 네트워크 계층 분석부(112)에서 생성된 네트워크 계층, 컨트롤 계층 분석부(113)에서 생성된 컨트롤 계층 및 상관관계 계층 분석부에서 생성된 컨트롤 계층을 합하여 화이트리스트를 생성할 수 있다.
화이트리스트 피드백부(116)는 화이트리스트 정의부(115)에서 생성된 화이트리스트를 사용자에게 가시화하고, 사용자가 화이트리스트를 수정할 수 있도록 형성된다.
또한, 화이트리스트 생성부(110)는 화이트리스트에 복수개의 통신노드들 각각의 보안 정책이 반영되도록 화이트리스트를 생성할 수 있다. 그리고, 상기 보안 정책은 화이트리스트 피드백부(116)를 통하여 사용자가 직접 화이트리스트에 입력할 수도 있다.
감시부(120)는 복수개의 통신노드들 간에 송수신되는 대상 패킷을 수신한다. 이 때, 대상 패킷은 이상징후가 존재하는지 여부 판단의 대상이 된는 패킷에 해당한다. 그리고, 감시부(120)는 대상 패킷에 대한 정보를 화이트리스트 생성부(110)에서 생성된 화이트리스트와 비교 분석한다. 또한, 감시부(120)는 대상 패킷에 대한 정보에 화이트리스트에 정의되지 않은 정보가 포함되어 있는 경우, 해당 대상 패킷을 이상징후로 판단한다.
보다 구체적으로, 감시부(120)는 대상 패킷 수신부(121), 네트워크 계층 감시부(122), 컨트롤 계층 감시부(123) 및 상관관계 계층 감시부(124)를 포함하여 구성된다. 그리고, 감시부(120)는 정상 판단부(125)를 더 포함하여 구성될 수 있다.
대상 패킷 수신부(121)는 복수개의 통신노드들 간에 송수신되는 대상 패킷을 수신한다. 그리고, 대상 패킷 수신부(121)는 대상 패킷을 어플리케이션 레벨에서 전송된 대상 메시지로 재조립한다. 여기서, 재조립된 대상 메시지를 화이트리스트와 비교 분석하여, 대상 패킷의 이상징후를 판단할 수 있다.
네트워크 계층 감시부(122)는 화이트리스트의 네트워크 계층과, 대상 메시지를 전송한 통신노드의 전송 IP, 대상 메시지를 수신한 통신노드의 수신 IP 및 대상 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 비교하여, 이상징후를 판단한다. 즉, 네트워크 계층 감시부(122)는 대상 메시지의 전송 IP, 수신 IP 및 사용된 서비스에 대한 정보가 화이트리스트에 포함되어 있지 않은 경우, 해당 대상 메시지와 관련된 대상 패킷을 이상징후로 판단할 수 있다.
컨트롤 계층 감시부(123)는 화이트리스트의 컨트롤 계층과, 대상 메시지에서 사용된 명령어, 대상 메시지가 전송하는 데이터 객체들의 특성 및 대상 메시지의 전송에 소요된 전송시간 중의 적어도 하나를 비교하여, 이상징후를 판단한다. 즉, 컨트롤 계층 감시부(123)는 대상 메시지의 명령어, 데이터 객체들의 특성 및 전송시간에 대한 정보가 화이트리스트에 포함되어 있지 않은 경우, 해당 대상 메시지와 관련된 대상 패킷을 이상징후로 판단할 수 있다.
상관관계 계층 감시부(124)는 화이트리스트의 상관관계 계층과, 대상 메시지의 상관관계 정보를 비교하여, 이상징후를 판단한다. 즉, 상관관계 계층 감시부(124)는 대상 메시지의 상관관계 정보가 화이트리스트에 포함되어 있지 않은 경우, 해당 대상 메시지와 관련된 대상 패킷을 이상징후로 판단할 수 있다. 이 때, 대상 메시지의 상관관계 정보는 대상 메시지의 순서 정보, 대상 메시지 간의 시간간격 정보 및 대상 메시지의 전송을 수신하는 통신노드의 상태 변화 정보 중의 적어도 하나의 정보를 포함하여 구성될 수 있다.
네트워크 계층 감시부(122), 컨트롤 계층 감시부(123) 및 상관관계 계층 감시부(124)는 순차적으로 동작할 수 있다. 더욱 구체적으로, 네트워크 계층 감시부(122)에서 이상징후가 판단된 경우, 컨트롤 계층 감시부(123) 및 상관관계 계층 감시부(123)는 동작하지 않게 형성될 수 있다. 또한, 컨트롤 계층 감시부(123)에서 이상징후가 판단된 경우, 상관관계 계층 감시부(124)는 동작하지 않도록 형성될 수 있다. 이에 따라, 네트워크 감시 장치(100)에 있어서, 불필요한 감시 동작을 줄일 수 있다.
정상 판단부(125)는 네트워크 계층 감시부(122), 컨트롤 계층 감시부(123) 및 상관관계 계층 감시부(124)에서 이상징후가 판단되지 않은 경우, 해당 대상 패킷을 정상 패킷으로 판단한다. 그리고, 정상 판단부(125)는 정상 패킷에 대한 정보를 사용자에게 통보할 수 있도록 형성된다.
알람 생성부(130)는 감시부(120)에서 판단된 이상징후의 정보를 사용자에게 통보하도록 형성된다. 이러한, 알람 생성부(130)는 화이트리스트를 기반으로 대상 메시지를 조사하여, 외부 침입, 불필요한 서비스 제공, 허용되지 않은 명령어의 사용이나 허용되지 않은 데이터 객체를 이용한 통신노드의 오동작 유발 공격, 메시지 전송시간 연장을 이용한 DoS 공격, 메시지 간의 순서 조작을 이용한 공격 등 발생 가능한 보안위협에 대한 정보를 사용자에게 통보할 수 있다.
도 3은 본 발명에 따른 네트워크 감시 장치에 있어서, 화이트리스트의 내용을 설명하기 위한 도면이다. 먼저, 도 3에서 사용된 용어의 정의는 다음과 같다.
용 어 정 의
Sips Set of IP (메시지를 전송하는 통신노드의 IP)
Dips Set of IP (메시지를 수신하는 통신노드의 IP)
IP 통신노드의 IP address
Services Set of Service
Service 통신노드에서 제공하는 서비스
Opcodes Set of Opcode
Opcode 명령어
Datalists Set of Datalist
Datalist List of (Types, Sizes, Values)
Types Set of Type
Type 프로토콜에서 제공하는 데이터 타입, 사용자 정의 타입
Sizes Set of Size
Size 정수
Values Set of Value
Value 정수
Times Set of Time
Time 정수
Relation 상관관계 정보
도 3 및 상기의 표 1을 참조하면, 화이트리스트(Whitelist)는 네트워크 계층(Wips, Wservices), 컨트롤 계층(Wopcodes, Wdatalists, Wtimes) 및 상관관계 계층(Wrelations)을 포함하여 구성된다. 그리고, 화이트리스트는 Wips의 집합이다. Wips는 Sips에 포함되는 IP에서 Dips에 포함되는 IP로 Wservices 규칙에 해당하는 통신행위가 허가되었음을 나타낸다. Wservices는 Services에 포함되는 서비스가 Wopcodes에 해당하는 통신행위에 대해 허가되었음을 나타낸다. Wopcodes는 Opcodes에 포함되는 명령어가 Wdatalists에 해당하는 통신행위에 대해 허가되었음을 나타낸다. Wdatalists는 Datalists에 포함되는 데이터 객체의 특성의 리스트가 나타낼 수 있는 데이터 객체의 리스트가 Wtimes에 해당하는 통신행위에 대해 허가되었음을 나타낸다. Wtimes는 Times에 포함하는 시간에 Wrelations에 해당하는 통신행위가 허가되었음을 나타낸다. Wrelations는 Wrelations에 포함되는 상관관계(메시지 순서, 메시지 간의 시간 간격, 메시지 전송에 따른 통신노드의 상태 변화 등)에 해당하는 통신행위가 허가되었음을 나타낸다. 어플리케이션 레벨에서 전송하는 메시지의 특성을 명령어와 전송할 데이터 객체의 리스트로 구성하고 데이터 객체의 특성은 데이터 객체의 타입(프로토콜에서 미리 정의된 타입 또는 사용자 정의 타입), 데이터의 크기(bit 개수), 데이터의 값(binary 값)으로 구분하였다. Relation은 전송된 제어명령의 순서, 제어명령 간의 시간 간격, 제어명령에 따른 통신노드의 상태 변화 외의 다양한 방향으로 확장이 가능하다.
이하에서는 본 발명에 따른 화이트리스트를 이용한 네트워크 감시 방법에 대하여 설명하도록 한다.
도 4는 본 발명에 따른 네트워크 감시 방법을 설명하기 위한 플로우챠트이다.
도 4를 참조하면, 본 발명에 따른 화이트리스트를 이용한 네트워크 감시 방법은 먼저, 복수개의 통신노드들의 정상 동작 시에, 상기 복수개의 통신노드들 간에 송수신되는 패킷들을 수집한다(S100).
그리고, 단계(S100)에서 수집된 패킷들을 분석하여 복수개의 통신노드들이 정상 동작할 때의 화이트리스트를 생성한다(S200). 단계(S200)에서 화이트리스트를 생성하는 구체적인 방법에 대하여는 도 5와 함께 후술하도록 한다. 그리고, 단계(S200)는 생성된 화이트리스트를 사용자에게 가시화하고, 사용자가 화이트리스트를 수정할 수 있도록 형성되는 화이트리스트 피드백 단계를 포함하여 형성될 수 있다. 또한, 단계(S200)에서 화이트리스트는 복수개의 통신노드들 각각의 보안 정책을 반영하도록 생성될 수 있다.
그리고, 복수개의 통신노드들 간에 송수신되며, 이상징후가 있는지 판단의 대상이 되는 대상 패킷을 수신한다(S300).
단계(S300)를 통해 수신된 대상 패킷에 관한 정보가 화이트리스트에 정의되지 않은 정보를 포함하고 있는지를 판단한다(S400). 이러한, 단계(S400)는 네트워크 계층 비교 분석 단계, 컨트롤 계층 비교 분석 단계 및 상관관계 계층 비교 분석 단계를 포함하여 이루어질 수 있다. 단계(S400)의 보다 구체적인 내용은 도 6 내지 도 8과 함께 후술하도록 한다.
단계(S400)의 판단 결과, 대상 패킷에 관한 정보가 모두 화이트리스트에 정의되어 있다면, 단계(S300)로 돌아가 계속해서 대상 패킷을 수신한다.
반면, 단계(S400)의 판단 결과, 대상 패킷에 관한 정보에 화이트리스트에 정의되지 않은 정보가 포함되어 있는 경우 해당 대상 패킷을 이상징후로 판단한다(S500). 그리고, 단계(S500)에서 판단된 이상징후를 사용자에게 통보한다(S600).
이하에서는 본 발명에 따른 화이트리스트를 이용한 네트워크 감시 방법에 있어서, 화이트리스트를 생성하는 단계에 대하여 보다 상세히 설명하도록 한다.
도 5는 본 발명에 따른 네트워크 감시 방법에 있어서, 화이트리스트를 생성하는 단계를 설명하기 위한 플로우챠트이다.
도 5를 참조하면, 본 발명에 따른 네트워크 감시 방법에 있어서, 화이트리스트를 생성하는 단계는 먼저, 수집된 패킷들을 이용하여 어플리케이션 레벨에서 전송된 메시지를 재조립한다(S210). 이 때의 메시지를 분석하여 화이트리스트가 생성될 수 있다.
그리고, 메시지를 전송한 통신노드의 전송 IP, 메시지를 수신한 통신노드의 수신 IP 및 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 분석하여, 화이트리스트의 네트워크 계층을 생성한다(S211).
그리고, 메시지에서 사용된 명령어, 메시지가 전송하는 데이터 객체들의 특성 및 메시지 전송에 소요된 전송시간 중의 적어도 하나를 분석하여, 화이트리스트의 컨트롤 계층을 생성한다(S212).
그리고, 메시지의 상관관계 정보를 분석하여, 화이트리스트의 상관관계 계층을 생성한다(S213). 이 때, 메시지의 상관관계 정보는 메시지의 순서 정보, 메시지 간의 시간간격 정보 및 메시지의 전송을 수신하는 통신노드의 상태 변화 정보 중의 적어도 하나의 정보를 포함하여 구성될 수 있다.
이하에서는 본 발명에 따른 화이트리스트를 이용한 네트워크 감시 방법에 있어서, 네트워크 계층을 비교 분석하는 단계에 대하여 보다 상세히 설명하도록 한다.
도 6은 본 발명에 따른 네트워크 감시 방법에 있어서, 네트워크 계층을 비교 분석하는 단계를 설명하기 위한 플로우챠트이다.
본 발명에 따른 화이트리스트를 이용한 네트워크 감시 방법에 있어서, 네트워크 계층을 비교 분석하는 단계는 먼저, 대상 메시지에 있어서, 대상 메시지를 전송한 통신노드의 전송 IP 및 대상 메시지를 수신한 수신 IP를 분석한다(S410).
그리고, 대상 메시지를 전송한 통신노드의 전송 IP 및 대상 메시지를 수신한 수신 IP가 화이트리스트의 네트워크 계층에 포함된 정보인지를 판단한다(S411).
단계(S411)의 판단 결과, 대상 메시지를 전송한 통신노드의 전송 IP 및 대상 메시지를 수신한 수신 IP가 화이트리스트의 네트워크 계층에 포함된 정보인 경우, 대상 메시지를 전송하기 위해 사용된 서비스를 분석한다(S412).
그리고, 대상 메시지를 전송하기 위해 사용된 서비스가 화이트리스트의 네트워크 계층에 포함된 정보인지를 판단한다(S413).
단계(S413)의 판단 결과, 대상 메시지를 전송하기 위해 사용된 서비스가 화이트리스트의 네트워크 계층에 포함된 정보인 경우, 분석 완료된 대상 메시지에 대한 정보를 컨트롤 계층 감시부로 전송한다(S416).
단계(S411) 및 단계(S413)의 판단 결과, 대상 메시지를 전송한 통신노드의 전송 IP, 대상 메시지를 수신한 통신노드의 수신 IP 및 대상 메시지를 전송하기 위해 사용된 서비스의 정보가 화이트리스트의 네트워크 계층에 포함되지 않은 경우, 해당 정보를 이상징후로 판단한다(S414). 그리고, 이상징후로 판단된 정보를 사용자에게 통보한다(S415). 단계(S414) 및 단계(S415)를 통해 이상징후로 판단되고 통보된 정보도 필요에 따라 컨트롤 계층 감시부로 전송될 수 있다(S416).
이하에서는 본 발명에 따른 화이트리스트를 이용한 네트워크 감시 방법에 있어서, 컨트롤 계층을 비교 분석하는 단계에 대하여 보다 상세히 설명하도록 한다.
도 7은 본 발명에 따른 네트워크 감시 방법에 있어서, 컨트롤 계층을 비교 분석하는 단계를 설명하기 위한 플로우챠트이다.
본 발명에 따른 화이트리스트를 이용한 네트워크 감시 방법에 있어서, 컨트롤 계층을 비교 분석하는 단계는 먼저, 네트워크 계층 감시부로부터 분석이 완료된 정보를 수신한다(S420).
단계(S420)에서 수신된 정보의 대상 메시지에서 사용된 명령어를 분석한다(S421).
그리고, 대상 메시지에서 사용된 명령어가 화이트리스트의 컨트롤 계층에 포함된 정보인지를 판단한다(S422).
단계(S422)의 판단 결과, 대상 메시지에서 사용된 명령어가 화이트리스트의 네트워크 계층에 포함된 정보인 경우, 대상 메시지가 전송하는 데이터 객체들의 특성을 분석한다(S423).
그리고, 대상 메시지가 전송하는 데이터 객체들의 특성이 화이트리스트의 컨트롤 계층에 포함된 정보인지를 판단한다(S424).
단계(S424)의 판단 결과, 대상 메시지가 전송하는 데이터 객체들의 특성이 화이트리스트의 컨트롤 계층에 포함된 정보인 경우, 대상 메시지 전송에 소요된 전송시간을 분석한다(S425).
그리고, 대상 메시지 전송에 소요된 전송시간이 화이트리스트의 컨트롤 계층에 포함된 정보인지를 판단한다(S426).
단계(S426)의 판단 결과, 대상 메시지 전송에 소요된 전송시간이 화이트리스트의 컨트롤 계층에 포함된 정보인 경우, 분석 완료된 대상 메시지에 대한 정보를 상관관계 계층 감시부로 전송한다(S429).
단계(S422), 단계(S424) 및 단계(S426)의 판단 결과, 메시지에서 사용된 명령어, 메시지가 전송하는 데이터 객체들의 특성 및 메시지 전송에 소요된 전송시간의 정보가 화이트리스트의 컨트롤 계층에 포함되지 않은 경우, 해당 정보를 이상징후로 판단한다(S427). 그리고, 이상징후로 판단된 정보를 사용자에게 통보한다(S428). 단계(S422), 단계(S424) 및 단계(S426)를 통해 이상징후로 판단되고 통보된 정보도 필요에 따라 상관관계 계층 감시부로 전송될 수 있다(S429).
이하에서는 본 발명에 따른 화이트리스트를 이용한 네트워크 감시 방법에 있어서, 상관관계 계층을 비교 분석하는 단계에 대하여 보다 상세히 설명하도록 한다.
도 8은 본 발명에 따른 네트워크 감시 방법에 있어서, 상관관계 계층을 비교 분석하는 단계를 설명하기 위한 플로우챠트이다.
본 발명에 따른 화이트리스트를 이용한 네트워크 감시 방법에 있어서, 상관관계 계층을 비교 분석 하는 단계는 먼저, 컨트롤 계층 감시부로부터 분석이 완료된 정보를 수신한다(S430).
단계(S42)에서 수신된 정보의 대상 메시지에 의한 상관관계 정보를 분석한다(S431).
그리고, 대상 메시지의 상관관계 정보가 화이트리스트의 컨트롤 계층에 포함된 정보인지를 판단한다(S432). 이 때, 대상 메시지의 상관관계 정보는 대상 메시지의 순서 정보, 대상 메시지 간의 시간간격 정보 및 대상 메시지의 전송을 수신하는 통신노드의 상태 변화 정보 중의 적어도 하나의 정보를 포함할 수 있다.
단계(S432)의 판단 결과, 대상 메시지의 상관관계 정보가 화이트리스트의 컨트롤 계층에 포함된 경우, 네트워크 계층 감시 단계 및 컨트롤 계층 감시 단계에서 이상징후로 판단되지 않은 대상 메시지에 관한 대상 패킷에 대하여 정상 행위로 판단한다(S433).
단계(S423)의 판단 결과, 대상 메시지의 상관관계 정보가 화이트리스트의 컨트롤 계층에 포함되지 않은 경우, 해당 정보를 이상징후로 판단한다(S434). 그리고, 이상징후로 판단된 정보를 사용자에게 통보한다(S435).
도 6에 따른 네트워크 계층 비교 분석 단계, 도 7에 따른 컨트롤 계층 비교 분석 단계 및 도 8에 따른 상관관계 계층 비교 분석 단계는 순차적으로 진행될 수 있다. 즉, 본 발명에 따른 네트워크 감시 방법에 있어서, 네트워크 계층 비교 분석 단계에서 이상징후가 판단된 경우, 컨트롤 계층 비교 분석 단계 및 상관관계 계층 비교 분석 단계는 진행되지 않게 형성될 수 있다. 그리고, 컨트롤 계층 비교 분석 단계에서 이상징후가 판단된 경우, 상관관계 계층 비교 분석 단계는 진행되지 않도록 형성될 수 있다.
이하에서는 본 발명에 따른 화이트리스트를 이용한 네트워크 감시 방법에 있어서, 네트워크상의 이상징후를 감시하는 전체적인 흐름에 대하여 보다 상세히 설명하도록 한다.
도 9는 본 발명에 따른 네트워크 감시 방법에 있어서, 네트워크상의 이상징후를 감시하는 전체적인 흐름을 설명하기 위한 플로우챠트이다.
도 9를 참조하면, 본 발명에 따른 화이트리스트를 이용한 네트워크 감시 방법에 있어서, 네트워크상의 이상징후를 감시하는 전체적인 흐름은 먼저, 대상 메시지의 재조립이 성공하였는지를 판단한다(S10). 단계(S10)의 판단 결과, 대상 메시지의 재조립에 실패하였다면, 어플리케이션 레벨 DoS 공격이 있거나 또는 대상 메시지 전송 통신노드의 성능이 저하된 것으로 판단될 수 있다.
그리고, 대상 메시지를 전송한 통신노드의 전송 IP 및 대상 메시지를 수신한 통신노드의 수신 IP 사이에 통신이 허용되는지를 화이트리스트에 기반하여 판단한다(S11). 단계(S11)의 판단 결과, 전송 IP 및 수신 IP 사이에 통신이 허용되지 않은 경우, 외부에서의 침입, 외부로의 정보 유출, 외부 C&C 서버의 접속 시도 또는 사용 권한 위배의 사용이 있는 것으로 판단될 수 있다.
그리고, 대상 메시지를 전송하기 위해 사용된 서비스가 허가된 서비스인지를 화이트리스트에 기반하여 판단한다(S12). 단계(S12)의 판단 결과, 서비스가 허가되지 않은 서비스인 경우, 불필요한 서비스가 제공되었거나, 사용 권한 위배의 사용이 있는 것으로 판단될 수 있다.
그리고, 대상 메시지에서 사용된 명령어가 허가된 명령어인지를 화이트리스트에 기반하여 판단한다(S13). 단계(S13)의 판단 결과, 명령어가 허가되지 않은 명령어인 경우, 사용 권한 위배의 사용이 있거나, 악성 코드가 전파 되고 있는 것으로 판단될 수 있다.
그리고, 대상 메시지가 전송하는 데이터 객체들의 특성이 허가된 데이터 객체 특성인지를 화이트리스트에 기반하여 판단한다(S14). 단계(S14)의 판단 결과, 데이터 객체 특성이 허가되지 않은 특성을 갖는 경우, 버퍼 오버플로우 공격(데이터 크기가 틀린 경우), 사용자의 실수, 시스템 자체 오류, 악성코드의 전파(데이터 타입, 크기가 틀린 경우) 또는 데이터 임계치를 넘는 오작동이 유발(데이터 값이 틀린 경우)된 것으로 판단될 수 있다.
그리고, 대상 메시지의 전송에 소요된 전송시간이 적합한지를 화이트리스트에 기반하여 판단한다(S15). 단계(S15)의 판단 결과, 전송시간이 적합하지 않다면, 어플리케이션 레벨 DoS 공격 또는 대상 메시지가 전송되는 통신노드의 성능이 저하된 것으로 판단될 수 있다.
그리고, 대상 메시지의 상관관계 정보가 지켜졌는지를 화이트리스트에 기반하여 판단한다(S16). 단계(S16)의 판단 결과, 상관관계 정보가 지켜지지 않았다면, 내부자에 의한 공격, 시스템 오작동 유발의 공격 또는 시스템 취약점의 공격이 발생된 것으로 판단될 수 있다.
단계(S10) 내지 단계(S16)의 판단 결과, 화이트리스트에 포함되지 않은 정보가 대상 메시지에 관한 정보에서 발견된 경우, 해당 정보를 이상징후로 판단하고(S17), 이상징후를 사용자에게 통보한다(S18).
한편, 상술한 화이트리스트를 이용한 네트워크 감시 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터로 판독 가능한 기록 매체에 기록될 수 있다. 이 때, 컴퓨터로 판독 가능한 기록매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 한편, 기록매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.
컴퓨터로 판독 가능한 기록매체에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(Magnetic Media), CD-ROM, DVD와 같은 광기록 매체(Optical Media), 플롭티컬 디스크(Floptical Disk)와 같은 자기-광매체(Magneto-Optical Media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 한편, 이러한 기록매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다.
이상에서와 같이 본 발명에 따른 화이트리스트를 이용한 네트워크 감시 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
100; 네트워크 감시 장치
110; 화이트리스트 생성부
111; 패킷 수집부
112; 네트워크 계층 분석부
113; 컨트롤 계층 분석부
114; 상관관계 계층 분석부
115; 화이트리스트 정의부
116; 화이트리스트 피드백부
120; 감시부
121; 대상 패킷 수신부
122; 네트워크 계층 감시부
123; 컨트롤 계층 감시부
124; 상관관계 계층 감시부
125; 정상 판단부
130; 알람 생성부

Claims (22)

  1. 복수개의 통신노드들의 정상 동작 시에, 상기 복수개의 통신노드들 간에 송수신되는 패킷들을 수집하고, 상기 패킷들을 분석하여 화이트리스트를 생성하는 화이트리스트 생성부;
    상기 복수개의 통신노드들 간에 송수신되는 대상 패킷을 수신하고, 상기 대상 패킷에 대한 정보를 상기 화이트리스트와 비교 분석하며, 상기 대상 패킷에 대한 정보에 상기 화이트리스트에 정의되지 않은 정보가 포함되어 있는 경우, 상기 대상 패킷을 이상징후로 판단하는 감시부; 및
    상기 감시부에서 판단된 상기 이상징후의 정보를 사용자에게 통보하는 알람 생성부를 포함하는 것을 특징으로 하는 네트워크 감시 장치.
  2. 청구항 1에 있어서,
    상기 화이트리스트 생성부는 수집된 상기 패킷들을 이용하여 어플리케이션 레벨에서 전송된 메시지를 재조립하는 패킷 수집부를 더 포함하고, 상기 메시지를 분석하여 상기 화이트리스트를 생성하는 것을 특징으로 하는 네트워크 감시 장치.
  3. 청구항 2에 있어서,
    상기 화이트리스트 생성부는,
    상기 메시지를 전송한 통신노드의 전송 IP, 상기 메시지를 수신한 통신노드의 수신 IP 및 상기 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 분석하여, 상기 화이트리스트의 네트워크 계층을 생성하는 네트워크 계층 분석부;
    상기 메시지에서 사용된 명령어, 상기 메시지가 전송하는 데이터 객체들의 특성 및 상기 메시지의 전송에 소요된 전송시간 중의 적어도 하나를 분석하여, 상기 화이트리스트의 컨트롤 계층을 생성하는 컨트롤 계층 분석부;
    상기 메시지의 상관관계 정보를 분석하여, 상기 화이트리스트의 상관관계 계층을 생성하는 상관관계 계층 분석부; 및
    상기 네트워크 계층 분석부, 상기 컨트롤 계층 분석부 및 상기 상관관계 계층 분석부에서 분석된 상기 메시지에 대한 정보를 바탕으로 상기 화이트리스트를 생성하는 화이트리스트 정의부를 포함하는 것을 특징으로 하는 네트워크 감시 장치.
  4. 청구항 3에 있어서,
    상기 메시지의 상기 상관관계 정보는,
    상기 메시지의 순서 정보, 상기 메시지 간의 시간간격 정보 및 상기 메시지의 전송을 수신하는 통신노드의 상태 변화 정보 중의 적어도 하나의 정보를 포함하는 것을 특징으로 하는 네트워크 감시 장치.
  5. 청구항 3에 있어서,
    상기 감시부는 상기 복수개의 통신노드들 간에 송수신되는 상기 대상 패킷을 수신하고, 상기 대상 패킷을 상기 어플리케이션 레벨에서 전송된 대상 메시지로 재조립하는 대상 패킷 수신부를 더 포함하고,
    상기 대상 메시지를 상기 화이트리스트와 비교 분석하여, 상기 대상 패킷의 상기 이상징후를 판단하는 것을 특징으로 하는 네트워크 감시 장치.
  6. 청구항 5에 있어서,
    상기 감시부는,
    상기 화이트리스트의 상기 네트워크 계층과, 상기 대상 메시지를 전송한 통신노드의 전송 IP, 상기 대상 메시지를 수신한 통신노드의 수신 IP 및 상기 대상 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 비교하여, 상기 이상징후를 판단하는 네트워크 계층 감시부;
    상기 화이트리스트의 상기 컨트롤 계층과, 상기 대상 메시지에서 사용된 명령어, 상기 대상 메시지가 전송하는 데이터 객체들의 특성 및 상기 대상 메시지의 전송에 소요된 전송시간 중의 적어도 하나를 비교하여, 상기 이상징후를 판단하는 컨트롤 계층 감시부; 및
    상기 화이트리스트의 상기 상관관계 계층과, 상기 대상 메시지의 상관관계 정보를 비교하여, 상기 이상징후를 판단하는 상관관계 계층 감시부를 포함하는 것을 특징으로 하는 네트워크 감시 장치.
  7. 청구항 6에 있어서,
    상기 감시부에서,
    상기 네트워크 계층 감시부, 상기 컨트롤 계층 감시부 및 상기 상관관계 계층 감시부는 순차적으로 동작하는 것을 특징으로 하는 네트워크 감시 장치.
  8. 청구항 7에 있어서,
    상기 감시부는,
    상기 네트워크 계층 감시부에서 상기 이상징후가 판단된 경우, 상기 컨트롤 계층 감시부 및 상기 상관관계 계층 감시부는 동작하지 않게 형성되며, 상기 컨트롤 계층 감시부에서 상기 이상징후가 판단된 경우, 상기 상관관계 계층 감시부는 동작하지 않도록 형성되는 것을 특징으로 하는 네트워크 감시 장치.
  9. 청구항 7에 있어서,
    상기 네트워크 계층 감시부, 상기 컨트롤 계층 감시부 및 상기 상관관계 계층 감시부에서 상기 이상징후가 판단되지 않은 경우, 상기 대상 패킷을 정상 패킷으로 판단하는 정상 판단부를 더 포함하는 것을 특징으로 하는 네트워크 감시 장치.
  10. 청구항 1에 있어서,
    상기 화이트 리스트 생성부는,
    상기 화이트리스트를 상기 사용자에게 가시화하고, 상기 사용자가 상기 화이트리스트를 수정할 수 있도록 형성되는 화이트리스트 피드백부를 더 포함하는 것을 특징으로 하는 네트워크 감시 장치.
  11. 청구항 1에 있어서,
    상기 화이트리스트는 생성부는,
    상기 화이트리스트에 상기 복수개의 통신노드들 각각의 보안 정책을 반영되도록 상기 화이트리스트를 생성하는 것을 특징으로 하는 네트워크 감시 장치.
  12. 복수개의 통신노드들의 정상 동작 시에, 상기 복수개의 통신노드들 간에 송수신되는 패킷들을 수집하는 단계;
    상기 패킷들을 분석하여 상기 복수개의 통신노드들이 정상 동작할 때의 화이트리스트를 생성하는 단계;
    상기 복수개의 통신노드들 간에 송수신되는 대상 패킷을 수신하는 단계;
    상기 대상 패킷에 대한 정보를 상기 화이트리스트와 비교 분석하는 단계;
    상기 대상 패킷에 대한 정보에 상기 화이트리스트에 정의되지 않은 정보가 포함되어 있는 경우, 상기 대상 패킷을 이상징후로 판단하는 단계; 및
    상기 이상징후를 사용자에게 통보하는 단계를 포함하는 것을 특징으로 하는 네트워크 감시 방법.
  13. 청구항 12에 있어서,
    상기 화이트리스트를 생성하는 단계는,
    수집된 상기 패킷들을 이용하여 어플리케이션 레벨에서 전송된 메시지를 재조립하고, 상기 메시지를 분석하여 상기 화이트리스트를 생성하는 것을 특징으로 하는 네트워크 감시 방법.
  14. 청구항 13에 있어서,
    상기 화이트리스트를 생성하는 단계는,
    상기 메시지를 전송한 통신노드의 전송 IP, 상기 메시지를 수신한 통신노드의 수신 IP 및 상기 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 분석하여, 상기 화이트리스트의 네트워크 계층을 생성하는 단계;
    상기 메시지에서 사용된 명령어, 상기 메시지가 전송하는 데이터 객체들의 특성 및 상기 메시지 전송에 소요된 전송시간 중의 적어도 하나를 분석하여, 상기 화이트리스트의 컨트롤 계층을 생성하는 단계; 및
    상기 메시지의 상관관계 정보를 분석하여, 상기 화이트리스트의 상관관계 계층을 생성하는 단계를 포함하는 것을 특징으로 하는 네트워크 감시 방법.
  15. 청구항 14에 있어서,
    상기 상관관계 정보는,
    상기 메시지의 순서 정보, 상기 메시지 간의 시간간격 정보 및 상기 메시지의 전송을 수신하는 통신노드의 상태 변화 정보 중의 적어도 하나의 정보를 포함하는 것을 특징으로 하는 네트워크 감시 방법.
  16. 청구항 14에 있어서,
    상기 대상 패킷을 수신하는 단계는,
    상기 복수개의 통신노드들 간에 송수신되는 상기 대상 패킷을 수신하고, 상기 대상 패킷을 상기 어플리케이션 레벨에서 전송된 대상 메시지로 재조립하며,
    상기 비교 분석하는 단계는,
    상기 대상 메시지를 상기 화이트리스트와 비교 분석하는 것을 특징으로 하는 네트워크 감시 방법.
  17. 청구항 16에 있어서,
    상기 비교 분석하는 단계는,
    상기 화이트리스트의 상기 네트워크 계층과, 상기 대상 메시지를 전송한 통신노드의 전송 IP, 상기 대상 메시지를 수신한 통신노드의 수신 IP 및 상기 대상 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 비교 분석하는, 네트워크 계층 비교 분석 단계;
    상기 화이트리스트의 상기 컨트롤 계층과, 상기 대상 메시지에서 사용된 명령어, 상기 대상 메시지가 전송하는 데이터 객체들의 특성 및 상기 대상 메시지의 전송에 소요된 전송시간 중의 적어도 하나를 비교 분석하는, 컨트롤 계층 비교 분석 단계; 및
    상기 화이트리스트의 상기 상관관계 계층과, 상기 대상 메시지의 상관관계 정보를 비교 분석하는, 상관관계 계층 비교 분석 단계를 포함하는 것을 특징으로 하는 네트워크 감시 방법.
  18. 청구항 17에 있어서,
    상기 네트워크 계층 비교 분석 단계, 상기 컨트롤 계층 비교 분석 단계 및 상기 상관관계 계층 비교 분석 단계는 순차적으로 진행되는 것을 특징으로 하는 네트워크 감시 방법.
  19. 청구항 18에 있어서,
    상기 네트워크 계층 비교 분석 단계에서 상기 이상징후가 판단된 경우, 상기 컨트롤 계층 비교 분석 단계 및 상기 상관관계 계층 비교 분석 단계는 진행되지 않게 형성되며, 상기 컨트롤 계층 비교 분석 단계에서 상기 이상징후가 판단된 경우, 상기 상관관계 계층 비교 분석 단계는 진행되지 않도록 형성되는 것을 특징으로 하는 네트워크 감시 방법.
  20. 청구항 18에 있어서,
    상기 네트워크 계층 비교 분석 단계, 상기 컨트롤 계층 비교 분석 단계 및 상기 상관관계 계층 비교 분석 단계에서 상기 이상징후가 판단되지 않은 경우, 상기 대상 패킷을 정상 패킷으로 판단하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 감시 방법.
  21. 청구항 12에 있어서,
    상기 화이트리스트를 생성하는 단계는,
    상기 화이트리스트를 상기 사용자에게 가시화하고, 상기 사용자가 상기 화이트리스트를 수정할 수 있도록 형성되는 화이트리스트 피드백 단계를 포함하는 것을 특징으로 하는 네트워크 감시 방법.
  22. 청구항 12에 있어서,
    상기 화이트리스트를 생성하는 단계는,
    상기 화이트리스트에 상기 복수개의 통신노드들 각각의 보안 정책을 반영되도록 상기 화이트리스트를 생성하는 것을 특징으로 하는 네트워크 감시 방법.
KR1020110098829A 2011-09-29 2011-09-29 화이트리스트를 이용한 네트워크 감시 장치 및 방법 KR101360591B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110098829A KR101360591B1 (ko) 2011-09-29 2011-09-29 화이트리스트를 이용한 네트워크 감시 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110098829A KR101360591B1 (ko) 2011-09-29 2011-09-29 화이트리스트를 이용한 네트워크 감시 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20130034773A true KR20130034773A (ko) 2013-04-08
KR101360591B1 KR101360591B1 (ko) 2014-02-11

Family

ID=48436780

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110098829A KR101360591B1 (ko) 2011-09-29 2011-09-29 화이트리스트를 이용한 네트워크 감시 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101360591B1 (ko)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101455167B1 (ko) * 2013-09-03 2014-10-27 한국전자통신연구원 화이트리스트 기반의 네트워크 스위치
KR20150026345A (ko) * 2013-09-02 2015-03-11 한국전력공사 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법
KR101538709B1 (ko) * 2014-06-25 2015-07-29 아주대학교산학협력단 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법
KR101585876B1 (ko) * 2015-06-08 2016-01-15 동국대학교 산학협력단 분산 네트워크 프로토콜 기반의 데이터 수신 장치 및 그 침입 탐지 방법
US10356113B2 (en) 2016-07-11 2019-07-16 Korea Electric Power Corporation Apparatus and method for detecting abnormal behavior
USD870749S1 (en) 2018-01-04 2019-12-24 Samsung Electronics Co., Ltd. Display screen or portion thereof with transitional graphical user interface
US11089033B2 (en) 2016-04-26 2021-08-10 Mitsubishi Electric Corporation Intrusion detection device, intrusion detection method, and computer readable medium
KR102484940B1 (ko) * 2022-03-24 2023-01-06 온시큐리티 주식회사 패킷 순서정보를 이용한 산업제어시스템의 이상징후를 감지하는 방법 및 장치

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101880162B1 (ko) 2015-12-31 2018-08-16 다운정보통신(주) 자동제어시스템 내 제어신호 분석을 이용한 제어신호 무결성 검증 방법
KR20200098838A (ko) 2019-02-13 2020-08-21 다운정보통신(주) 제어신호 패킷과 상태분석을 이용한 제어시스템 이상행위 탐지 시스템 및 그 방법
WO2021107259A1 (ko) 2019-11-29 2021-06-03 (주) 앤앤에스피 네트워크 패킷 화이트리스트 연계 iacs 패킷 플로우 보안 감시 방법 및 시스템

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100779072B1 (ko) * 2004-12-08 2007-11-27 한국전자통신연구원 Arp 공격 탐지 장치 및 방법
KR100628328B1 (ko) * 2005-03-10 2006-09-27 한국전자통신연구원 적응적 침해 방지 장치 및 방법
KR101219796B1 (ko) * 2009-10-07 2013-01-09 한국전자통신연구원 분산 서비스 거부 방어 장치 및 그 방법

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150026345A (ko) * 2013-09-02 2015-03-11 한국전력공사 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법
KR101455167B1 (ko) * 2013-09-03 2014-10-27 한국전자통신연구원 화이트리스트 기반의 네트워크 스위치
US9369434B2 (en) 2013-09-03 2016-06-14 Electronics And Telecommunications Research Institute Whitelist-based network switch
KR101538709B1 (ko) * 2014-06-25 2015-07-29 아주대학교산학협력단 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법
KR101585876B1 (ko) * 2015-06-08 2016-01-15 동국대학교 산학협력단 분산 네트워크 프로토콜 기반의 데이터 수신 장치 및 그 침입 탐지 방법
US11089033B2 (en) 2016-04-26 2021-08-10 Mitsubishi Electric Corporation Intrusion detection device, intrusion detection method, and computer readable medium
US10356113B2 (en) 2016-07-11 2019-07-16 Korea Electric Power Corporation Apparatus and method for detecting abnormal behavior
USD870749S1 (en) 2018-01-04 2019-12-24 Samsung Electronics Co., Ltd. Display screen or portion thereof with transitional graphical user interface
KR102484940B1 (ko) * 2022-03-24 2023-01-06 온시큐리티 주식회사 패킷 순서정보를 이용한 산업제어시스템의 이상징후를 감지하는 방법 및 장치

Also Published As

Publication number Publication date
KR101360591B1 (ko) 2014-02-11

Similar Documents

Publication Publication Date Title
KR101360591B1 (ko) 화이트리스트를 이용한 네트워크 감시 장치 및 방법
Ghafir et al. Detection of advanced persistent threat using machine-learning correlation analysis
US10505953B2 (en) Proactive prediction and mitigation of cyber-threats
US10187422B2 (en) Mitigation of computer network attacks
US20200372154A1 (en) Blockchain security
Han et al. A comprehensive survey of security threats and their mitigation techniques for next‐generation SDN controllers
US20230007032A1 (en) Blockchain-based host security monitoring method and apparatus, medium and electronic device
CN108183921B (zh) 经由边界网关进行信息安全性威胁中断的系统和方法
US11652824B2 (en) Trustworthiness evaluation of network devices
Patel et al. Taxonomy and proposed architecture of intrusion detection and prevention systems for cloud computing
Krishnan et al. An adaptive distributed intrusion detection system for cloud computing framework
KR20170091989A (ko) 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법
KR101768079B1 (ko) 침입탐지 오탐 개선을 위한 시스템 및 방법
Ujcich et al. Causal Analysis for {Software-Defined} Networking Attacks
Hessam et al. A new approach for detecting violation of data plane integrity in Software Defined Networks
KR101202212B1 (ko) 통신 네트워크를 위한 침입 방지 방법 및 시스템
Kim et al. Enhancing security in SDN: Systematizing attacks and defenses from a penetration perspective
KR101767591B1 (ko) 침입탐지 오탐 개선을 위한 시스템 및 방법
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
US10979302B2 (en) Meta behavioral analytics for a network or system
Ohri et al. Software-defined networking security challenges and solutions: A comprehensive survey
Mallikarjunan et al. BAIT: behaviour aided intruder testimony technique for attacker intention prediction in business data handling
Rullo et al. Kalis2. 0-a SECaaS-Based Context-Aware Self-Adaptive Intrusion Detection System for the IoT
US12074906B1 (en) System and method for ransomware early detection using a security appliance as default gateway with point-to-point links between endpoints
Elzoghbi et al. DIS-Guard: Enhancing SDN resilience to topology and RCO attacks

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170201

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180202

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20200121

Year of fee payment: 7