KR20140093060A - 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법 - Google Patents

지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법 Download PDF

Info

Publication number
KR20140093060A
KR20140093060A KR1020130005385A KR20130005385A KR20140093060A KR 20140093060 A KR20140093060 A KR 20140093060A KR 1020130005385 A KR1020130005385 A KR 1020130005385A KR 20130005385 A KR20130005385 A KR 20130005385A KR 20140093060 A KR20140093060 A KR 20140093060A
Authority
KR
South Korea
Prior art keywords
delay time
traffic
packet
server
client
Prior art date
Application number
KR1020130005385A
Other languages
English (en)
Other versions
KR101424490B1 (ko
Inventor
남구민
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020130005385A priority Critical patent/KR101424490B1/ko
Publication of KR20140093060A publication Critical patent/KR20140093060A/ko
Application granted granted Critical
Publication of KR101424490B1 publication Critical patent/KR101424490B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

개시된 기술은 네트워크 보안 장비에서 행위기반 분석을 통해 네트워크 외부로부터의 역 접속 트래픽을 탐지하는 기술에 관한 것으로, 개시된 기술에 따른 지연시간 기반 역 접속 탐지 시스템은 클라이언트와 서버 간 송수신되는 패킷들을 수집하는 패킷 수집부, 상기 패킷 수집부에서 수집된 패킷들을 분석하여 상기 패킷들을 세션별로 분류하는 세션 관리부, 상기 세션별로, 인바운드(inbound) 패킷과 아웃바운드(outbound) 패킷이 송수신된 시간을 기초로 클라이언트 지연시간과 서버 지연시간을 산출하는 지연시간 분석부 및 상기 클라이언트 지연시간과 서버 지연시간을 기초로 기 저장된 룰과 비교분석하여 역 접속 트래픽을 탐지하는 탐지부를 포함한다.

Description

지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법{Reverse access detecting system and method based on latency}
개시된 기술은 네트워크 보안 장비에서 역 접속 트래픽을 탐지 또는 차단하는 기술에 관한 것으로, 더 상세하게는 클라이언트와 서버 간 행위들을 분석하여 네트워크 외부로부터의 역 접속 트래픽을 탐지하는 역 접속 탐지 시스템 및 그 탐지 방법에 관한 것이다.
최근 디지털 처리 장치의 발달과 더불어 통신망 특히 인터넷을 통한 데이터 송수신이 보편화되고, 이러한 통신망을 통해 데이터를 송수신하는 디지털 처리 장치 중 일반적으로 데이터를 제공하는 디지털 처리 장치를 서버(Server)라하고, 데이터를 요청하고 수신하는 디지털 처리 장치를 클라이언트(Client)라고 정의한다.
네트워크 또는 서버에 접근하는 역 접속 트래픽, 유해 트래픽, 비인가 트래픽 등을 탐지 또는 차단하기 위해 IDS(Intrusion Detection System), IPS(Intrusion Protection System)와 같은 네트워크 보안 장비가 사용될 수 있다. IDS와 IPS는 로그 또는 네트워크 트래픽을 분석하여 외부 또는 내부 사용자에 의한 불법적인 시스템 접근, 권한 초과 행위 등을 탐지하거나 차단한다.
네트워크 보안 장비에서 역 접속 트래픽, 유해 트래픽, 비인가 트래픽 등을 탐지하는 방법에는 행위기반 탐지(Behavior Detection) 기법, 시그니처 기반 탐지(Signature Base Detection) 기법 등이 있다. 행위기반 탐지 기법은 시스템 내에서 발생하는 행위들을 바탕으로 역 접속 트래픽, 유해 트래픽, 비인가 트래픽 등을 탐지하는 기법으로 알려지지 않은 공격(Unknown Attack)에 능동적으로 대응할 수 있으나 오탐률이 높은 문제점이 있다. 시그니처 기반 탐지 기법은 유입되는 데이터 스트림(Data Stream)을 보안 장비가 갖고 있는 시그니처 또는 스트링(String)과 비교하여 역 접속 트래픽, 유해 트래픽, 비인가 트래픽 등을 탐지하는 기법으로 비교적 정확한 탐지가 가능하며 빠른 스캔 속도를 제공한다는 장점이 있으나, 알려지지 않은 공격에 취약하다는 문제점이 있다.
행위기반 탐지 기법의 예로, 대한민국 공개특허 공보 제10-2012-0020609호(2012.03.08) '온라인 게임의 비공개 봇 검출방법'에 기재된 바와 같이, 봇(bot) 특유의 마우스 및 키보드 입력 이벤트 발생처리, 코드 인젝션 등의 징후를 포착하는 기술들이 공개되어 있다.
대한민국 공개특허 공보 제10-2012-0020609호, 2012.03. 08
개시된 기술에 따른 역 접속 탐지 시스템 및 그 탐지 방법의 목적은 행위기반 트래픽 분석(예를 들어, 지연시간 분석)을 통해 네트워크 보안 장비에서 네트워크 외부로부터의 역 접속 트래픽을 탐지 또는 차단하는 데 있다.
또한, 개시된 기술의 목적은 트래픽 분석을 통해 RAT(Remote Administration Tool) 툴이 설치된 클라이언트와 C&C(Command and Control) 서버간 접속을 탐지 또는 차단하는 데 있다.
또한, 개시된 기술의 목적은 APT(Advanced Persist Threat) 공격에서 자주 사용되는 RAT 툴을 통해 외부 C&C 서버로 내부 정보가 유출되는 것을 방지하는 데 있다.
개시된 기술에 따른 지연시간 기반 역 접속 탐지 시스템은 클라이언트와 서버 간 송수신되는 패킷들을 수집하는 패킷 수집부, 상기 패킷 수집부에서 수집된 패킷들을 분석하여 상기 패킷들을 세션별로 분류하는 세션 관리부, 상기 세션별로, 인바운드 패킷과 아웃바운드 패킷이 송수신된 시간을 기초로 클라이언트 지연시간과 서버 지연시간을 산출하는 지연시간 분석부 및 상기 클라이언트 지연시간과 서버 지연시간을 기초로 기 저장된 룰과 비교분석하여 역 접속 트래픽을 탐지하는 탐지부를 포함한다.
상기 지연시간 분석부는 분석 예외 패킷을 제외한 인바운드 패킷과 아웃바운드 패킷을 기초로 클라이언트 지연시간과 서버 지연시간을 산출하며, 상기 분석 예외 패킷은 프로토콜 제어 패킷과 웹페이지의 다중 링크에 의한 요청 패킷을 포함한다.
상기 지연시간 분석부는 서버 측 마지막 인바운드 패킷이 수신된 시간과 트래픽 방향이 변경된 후 클라이언트 측 첫 번째 아웃바운드 패킷이 수신된 시간 사이의 시간 간격을 클라이언트 지연시간으로 산출하고, 클라이언트 측 마지막 아웃바운드 패킷이 수신된 시간과 트래픽 방향이 변경된 후 서버 측 첫 번째 인바운드 응답 패킷이 수신된 시간 사이의 시간 간격을 서버 지연시간으로 산출한다.
상기 탐지부는 상기 클라이언트 지연시간이 기준값(threshold)보다 크고, 상기 서버 지연시간이 기준값보다 작은 경우에는 해당 세션의 트래픽은 정상 트래픽으로 분류한다.
그리고, 상기 탐지부는 상기 클라이언트 지연시간이 기준값보다 작고, 상기 서버 지연시간이 기준값보다 큰 경우와 상기 클라이언트 지연시간과 상기 서버 지연시간이 모두 기준값보다 작은 경우에는 해당 세션의 트래픽은 네트워크 외부로부터의 역 접속 트래픽으로 분류한다.
또한, 상기 탐지부는 기준값 이상의 지연시간 후 수신된 첫 번째 패킷이 인바운드 방향인 경우에는 해당 세션의 트래픽은 네트워크 외부로부터의 역 접속 트래픽으로 분류한다.
개시된 기술에 따른 지연시간 기반 역 접속 탐지 시스템은 역 접속 트래픽이 탐지된 세션을 차단하는 차단부를 더 포함할 수 있다.
개시된 기술에 따른 지연시간 기반 역 접속 탐지 방법은 (a) 패킷 수집부에서 클라이언트와 서버 간 송수신되는 패킷들을 수집하는 단계, (b) 세션 관리부에서 상기 수집된 패킷들을 분석하여 상기 패킷들을 세션별로 분류하는 단계, (c) 지연시간 분석부에서 세션별로 인바운드 패킷과 아웃바운드 패킷이 송수신된 시간을 기초로 클라이언트 지연시간과 서버 지연시간을 산출하는 단계 및 (d) 탐지부에서 상기 클라이언트 지연시간과 서버 지연시간을 기초로 기 저장된 룰과 비교분석하여 역 접속을 탐지하는 단계를 포함한다.
개시된 기술에 따른 지연시간 기반 역 접속 탐지 방법은 상기 패킷들을 세션별로 분류한 후, 분석 예외 패킷을 제외하는 단계를 더 포함할 수 있고, 상기 분석 예외 패킷은 프로토콜 제어 패킷과 웹페이지의 다중 링크에 의한 요청 패킷을 포함한다.
이상에서 설명한 바와 같이, 개시된 기술에 따른 지연시간 기반 역 접속 탐지 시스템 및 그 방법은 지연시간 분석을 통해 네트워크 외부로부터의 역 접속을 탐지 또는 차단할 수 있다.
또한, 개시된 기술에 따른 지연시간 기반 역 접속 탐지 시스템 및 그 방법은 지연시간 분석을 통해 계산량과 시스템 복잡도를 높이지 않고 효과적으로 역 접속 트래픽을 탐지 또는 차단할 수 있으며, 알려지지 않은 공격도 탐지/차단할 수 있는 효과가 있다.
또한, 개시된 기술에 따른 지연시간 기반 역 접속 탐지 시스템 및 그 방법은 RAT(Remote Administration Tool) 툴이 설치된 클라이언트와 C&C(Command and Control) 서버간 접속을 탐지 또는 차단할 수 있으며, RAT 툴을 통해 외부 C&C 서버로 내부 정보가 유출되는 것을 방지할 수 있다.
도 1은 일반적인 네트워크 구성을 나타내는 구성도.
도 2는 개시된 기술에 따른 네트워크 보안 장비의 지연시간 기반 역 접속 탐지 시스템의 상세 구성을 나타내는 구성도.
도 3은 정상 트래픽의 패턴을 나타내는 도면.
도 4는 역 접속 패턴으로서 봇과 C&C 서버간 제1 트래픽 패턴을 나타내는 도면.
도 5는 역 접속 패턴으로서 봇과 C&C 서버간 제2 트래픽 패턴을 나타내는 도면.
도 6은 개시된 기술에 따른 네트워크 보안 장비의 지연시간 기반 역 접속 탐지 방법을 나타내는 흐름도.
도 7은 도 6의 룰 분석 과정을 나타내는 흐름도.
개시된 기술의 실시예들에 관한 설명은 개시된 기술의 구조적 내지 기능적 설명들을 위하여 예시된 것에 불과하므로, 개시된 기술의 권리범위는 본문에 설명된 실시예들에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 개시된 기술의 실시예들은 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 개시된 기술의 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다.
개시된 기술에서 기재된 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다" 또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
개시된 기술에서 기술한 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않은 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.
이하, 본 발명에 따른 네트워크 보안 장비의 패턴 매칭 시스템 및 그 패턴 매칭 방법을 실시하기 위한 구체적인 내용을 설명하면 다음과 같다.
[도 1]은 일반적인 네트워크 구성을 나타내는 구성도이다.
서버(140)는 라우터(120)를 통해 외부 네트워크(110)와 연결되며, 서버(140)와 외부 네트워크(110) 사이에는 역 접속 트래픽, 유해 트래픽, 비인가 트래픽 등으로부터 서버(140)를 보호하기 위해 네트워크 보안 장비(130)가 구비된다. 예를 들어, 네트워크 보안 장비(130)에는 서버(140)에 접근하는 역 접속 트래픽, 유해 트래픽, 비인가 트래픽 등을 탐지 또는 차단하기 위해 IDS(Intrusion Detection System), IPS(Intrusion Protection System) 등이 사용될 수 있다.
개시된 기술은 네트워크 보안 장비(130)에서 지연시간을 기준으로 네트워크 외부로부터의 역 접속 트래픽을 탐지 또는 차단하는 기술에 관한 것이다.
[도 2]는 개시된 기술에 따른 네트워크 보안 장비의 지연시간 기반 역 접속 탐지 시스템의 상세 구성을 나타내는 구성도이다. 도 2를 참조하면, 지연시간 기반 역 접속 탐지 시스템은 패킷 수집부(210), 세션 관리부(220), 지연시간 분석부(230) 및 탐지부(240)를 포함한다. 일 실시예에서, 지연시간 기반 역 접속 탐지 시스템은 역 접속 트래픽이 탐지된 세션을 차단하는 차단부를 더 포함할 수 있다.
패킷 수집부(210), 세션 관리부(220), 지연시간 분석부(230) 및 탐지부(240)는 분석 엔진의 각 프로세스 처리 블록을 편의상 기능에 따라 분류한 것이며, 구현 예에 따라 더 상세히 분류되거나 또는 통합되어 구현될 수 있다. 일 실시예에서 각 구성요소는 소프트웨어 모듈로 구현될 수 있다.
패킷 수집부(210)는 클라이언트와 서버 간 송수신되는 패킷들을 수집한다. 패킷 수집부(210)는 인라인(inline) 방식, 미러링 포트(mirroring port)를 통해 패킷을 수집하는 미러링 방식, 네트워크 탭(network tap) 또는 탭 드라이버(tap driver)를 통해 패킷을 수집하는 탭 방식을 통해 패킷을 수집할 수 있다. 패킷 수집부(210)는 인바운드(inbound) 방향과 아웃바운드(outbound) 방향을 구분하여 패킷의 송수신 방향을 확인할 수 있다.
세션 관리부(220)는 패킷 수집부(210)에서 수집된 패킷들을 분석하여 패킷들을 세션(session)별로 분류하고, 동일한 세션 내에서 방향별로 패킷이 수집된 시작시간과 마지막 시간을 기록한다. 세션 관리부(220)는 패킷의 TCP/IP 헤더를 분석하여 5튜플(소스 IP, 소스 port, 목적지 IP, 목적지 IP, 사용 중인 프로토콜)을 확인하고, 5튜플(5 tuples)을 기초로 세션을 분류할 수 있다. 예를 들어, 동일한 5튜플을 갖는 패킷은 동일한 세션으로 분류할 수 있다.
이때, 세션 관리부(220)는 인바운드 방향의 패킷과 아웃바운드 방향의 패킷은 동일한 세션으로 분류한다. 즉, 5튜플에서 소스(source)와 목적지(destination) 방향이 반대인 패킷들도 동일한 세션으로 분류한다.
수집된 패킷의 5튜플이 기존 세션의 값과 일치하지 않은 경우 세션 관리부(220)는 해당 5튜플을 기초로 신규 세션을 생성한다. 세션이 생성된 후 TCP FIN과 같은 세션 종료 메시지가 수신된 세션, 설정 시간(inactive time) 동안 패킷이 수집되지 않는 세션의 경우에는 세션 관리부(220)는 해당 세션을 관리 리스트에서 제거한다.
지연시간 분석부(230)는 인바운드 패킷과 아웃바운드 패킷이 송수신된 시간을 기초로 세션별로 클라이언트 지연시간과 서버 지연시간을 산출한다. 지연시간 분석부(230)는 서버측 마지막 인바운드 패킷이 수신된 시간과 트래픽 방향이 변경된 후 클라이언트 측 첫 번째 아웃바운드 패킷이 수신된 시간 사이의 시간 간격을 클라이언트 지연시간으로 산출하고, 클라이언트 측 마지막 아웃바운드 패킷이 수신된 시간과 트래픽 방향이 변경된 후 서버측 첫 번째 인바운드 패킷이 수신된 시간 사이의 시간 간격을 서버 지연시간으로 산출한다. 예를 들어, 트래픽 방향이 변경될 때 즉, 인바운드에서 아웃바운드로 또는 아웃바운드에서 인바운드로 트래픽 방향이 변경될 때, 이전 방향의 마지막 패킷이 수집된 시간과 현재 수집된 패킷이 수집된 시간 사이의 간격을 지연시간으로 산출한다.
이때, 지연시간 분석부(230)는 분석 예외 패킷을 제외한 인바운드 패킷과 아웃바운드 패킷을 기초로 클라이언트 지연시간과 서버 지연시간을 산출한다.
분석 예외 패킷은 프로토콜 제어 패킷과 웹페이지의 다중 링크에 의한 요청 패킷을 포함한다. 예를 들어, TCP SYN, TCP ACK, TCP FIN과 같은 프로토콜 제어 패킷, 하나의 웹 페이지에 포함되어 있는 다중 링크에 의한 자동 요청 패킷을 분석 예외 패킷으로 제외할 수 있다. 일 실시예에서, 지연시간 분석부(230)는 클라이언트 지연 시간이 설정값 이하인 패킷의 경우 다중 링크에 의한 자동 요청 패킷으로 분류하여 분석 예외 패킷으로 제외할 수 있다. 분석 예외 패킷은 시스템 상황 등에 따라 사용자에 의해 미리 설정될 수 있다.
탐지부(240)는 지연시간 분석부(230)에서 산출된 클라이언트 지연시간과 서버 지연시간을 기초로 기 저장된 룰과 비교분석하여 네트워크 외부로부터의 역 접속 트래픽을 탐지한다. 이하에서는 [도 3] 내지 [도 5]를 참조하여 지연시간을 기초로 역 접속 트래픽을 탐지하는 과정을 상세히 설명하기로 한다.
[도 3]은 정상 트래픽의 패턴을 나타내는 도면이다.
도 3을 참조하면, 네트워크 보안 장비(320)의 탐지부(240)는 트래픽 방향이 변경되기 전 클라이언트(310)가 송신한 마지막 아웃바운드 패킷(340)이 수집된 시간과 트래픽 방향이 변경된 후 서버(330)가 송신한 첫 번째 인바운드 패킷(350)이 수집된 시간 차이를 서버 지연시간으로 산출한다. 그리고 트래픽 방향이 변경되기 전 마지막 인바운드 패킷(360)이 수집된 시간과 트래픽 방향이 변경된 후 첫 번째 아웃바운드 패킷(370)이 수집된 시간 차이를 클라이언트 지연시간으로 산출한다.
일반적으로 악성 코드에 감염된 봇(bot)이 아닌 사람이 클라이언트(310)를 동작시키는 경우, 클라이언트 지연시간은 특정 값보다 크고, 시스템에 의해 자동으로 동작하는 서버 지연시간은 특정 값보다 작다. 따라서, 탐지부(240)는 클라이언트 지연시간이 기준값보다 크고, 서버 지연시간이 기준값보다 작은 경우에는 해당 세션의 트래픽은 정상 트래픽으로 분류한다. 일 실시예에서, 클라이언트 지연시간에 대한 기준값과 서버 지연시간에 대한 기준값은 동일한 값일 수도 있고, 다른 값일 수도 있다. 해당 기준값들은 실험치로 미리 설정될 수도 있고, 시스템에서 산출된 평균 지연시간에 대응하여 자동으로 특정 값으로 설정될 수도 있다.
[도 4]은 역 접속 패턴으로서 봇과 C&C 서버간 제1 트래픽 패턴을 나타내는 도면이다.
도 4를 참조하면, 네트워크 보안 장비(420)는 악성코드에 감염된 봇(410)과 C&C(Command and Control) 서버(430) 사이에 위치하는 것으로 가정한다.
네트워크 보안 장비(420)의 탐지부(240)는 트래픽 방향이 변경되기 전 서버 측 마지막 인바운드 패킷(440)이 수집된 시간과 트래픽 방향이 변경된 후 클라이언트 측 첫 번째 아웃바운드 패킷(450)이 수집된 시간 차이를 클라이언트 지연시간으로 산출한다. 그리고 트래픽 방향이 변경되기 전 마지막 아웃바운드 패킷(460)이 수집된 시간과 트래픽 방향이 변경된 후 첫 번째 인바운드 패킷(470)이 수집된 시간 차이를 서버 지연시간으로 산출한다.
사용자는 C&C 서버를 통해 Netcat, Poinson Ivy와 같은 RAT(Remote Administration Tool) 툴에 감염된 봇(bot)에 접근하고 봇을 제어할 수 있다. 사용자가 C&C 서버를 동작시키는 경우, 봇이 자동으로 응답하는 클라이언트의 지연시간은 특정 값보다 작고, 사용자에 의해 제어되는 서버의 지연시간은 특정 값보다 크다. 따라서, 탐지부(240)는 클라이언트 지연시간이 기준값보다 작고, 서버 지연시간이 기준값보다 큰 경우에는 해당 세션의 트래픽은 역 접속 트래픽으로 분류한다.
일 실시예에서, 클라이언트 지연시간에 대한 기준값과 서버 지연시간에 대한 기준값은 동일한 값일 수도 있고, 다른 값일 수도 있다. 해당 기준값들은 실험치로 미리 설정될 수도 있고, 시스템에서 산출된 평균 지연시간에 대응하여 자동으로 특정 값으로 설정될 수도 있다.
[도 5]는 역 접속 패턴으로서 봇과 C&C 서버간 제2 트래픽 패턴을 나타내는 도면이다.
도 5를 참조하면, 네트워크 보안 장비(520)는 악성코드에 감염된 봇(510)과 C&C 서버(530) 사이에 위치하는 것으로 가정한다.
네트워크 보안 장비(520)의 탐지부(240)는 트래픽 방향이 변경되기 전 서버 측 마지막 인바운드 패킷(540)이 수집된 시간과 트래픽 방향이 변경된 후 클라이언트 측 첫 번째 아웃바운드 패킷(550)이 수집된 시간 차이를 클라이언트 지연시간으로 산출한다. 그리고 트래픽 방향이 변경되기 전 마지막 아웃바운드 패킷(560)이 수집된 시간과 트래픽 방향이 변경된 후 첫 번째 인바운드 패킷(570)이 수집된 시간 차이를 서버 지연시간으로 산출한다.
C&C 서버가 RAT 툴 등에 의해 감염되어 자동으로 동작하는 경우, 봇이 자동으로 응답하는 클라이언트의 지연시간은 특정 값보다 작고, 자동으로 제어되는 서버의 지연시간도 특정 값보다 작다. 따라서, 탐지부(240)는 클라이언트 지연시간과 서버 지연시간이 모두 기준값보다 작은 경우에는 해당 세션의 트래픽은 역 접속 트래픽으로 분류한다.
일 실시예에서, 클라이언트 지연시간에 대한 기준값과 서버 지연시간에 대한 기준값은 동일한 값일 수도 있고, 다른 값일 수도 있다. 해당 기준값들은 실험치로 미리 설정될 수도 있고, 시스템에서 산출된 평균 지연시간에 대응하여 자동으로 특정 값으로 설정될 수도 있다.
일 실시예에서, 특정값 이상의 지연시간 후 최초 트래픽 방향이 서버 측에서 송신된 인바운드 방향인 경우, 해당 트래픽의 패킷은 C&C 서버의 요청 또는 C&C 서버가 봇에 keepalive 메시지를 송신하는 것 일 수 있다. 따라서, 탐지부(240)는 기준값 이상의 지연시간 후 수신된 첫 번째 패킷이 인바운드 방향인 경우에는 해당 세션의 트래픽은 역 접속 트래픽으로 분류한다.
[도 6]은 개시된 기술에 따른 네트워크 보안 장비의 지연시간 기반 역 접속 탐지 방법을 나타내는 흐름도이다.
네트워크 보안 장비는 패킷 수집부를 통해 클라이언트와 서버 간 송수신되는 패킷들을 수집하고(단계 S610), 세션 관리부를 통해 수집된 패킷들을 분석하여 패킷들을 세션별로 분류한다(단계 S620). 세션 관리부는 패킷의 5튜플을 기초로 세션을 분류할 수 있다.
패킷들을 세션별로 분류한 후, 지연시간 분석부는 분석 예외 패킷을 제외하고(단계 S630), 세션별로 인바운드 패킷과 아웃바운드 패킷이 송수신된 시간을 기초로 클라이언트 지연시간과 서버 지연시간을 산출한다(단계 S640). 분석 예외 패킷은 프로토콜 제어 패킷과 웹페이지의 다중 링크에 의한 요청 패킷을 포함한다.
탐지부는 클라이언트 지연시간과 서버 지연시간을 기초로 기 저장된 룰과 비교분석하고(단계 S650), 네트워크 외부로부터의 역 접속 트래픽을 탐지한다(단계 S660). 일 실시예에서, 탐지부는 탐지된 역 접속 트래픽을 사용자에게 알릴 수 있다. 또는, 네트워크 보안 장비가 차단부를 통해 탐지부에서 탐지된 역 접속 트래픽을 자동으로 차단할 수 있다.
[도 7]은 [도 6]의 룰 분석 과정을 나타내는 흐름도이다.
탐지부는 클라이언트 지연시간과 서버 지연시간을 분석하여(단계 S710), 클라이언트 지연시간이 기준값보다 크고, 서버 지연시간이 기준값보다 작은 경우에는 정상 트래픽으로 분류한다(단계 S720).
클라이언트 지연시간이 기준값보다 작고, 서버 지연시간이 기준값보다 큰 경우에는 탐지부는 해당 트래픽을 역 접속 트래픽으로 분류한다(단계 S730). 예를 들어, 탐지부는 해당 트래픽을 봇과 사용자에 의해 제어되는 C&C 서버간 트래픽으로 분류할 수 있다.
클라이언트 지연시간과 서버 지연시간이 모두 기준값보다 작은 경우에는 탐지부는 해당 트래픽을 역 접속 트래픽으로 분류한다(단계 S740). 예를 들어, 탐지부는 해당 트래픽을 봇과 자동으로 제어되는 C&C 서버간 트래픽으로 분류할 수 있다.
일 실시예에서, 탐지부는 기준값 이상의 지연시간 후 수신된 첫 번째 패킷이 인바운드 방향인 경우에는 해당 세션의 트래픽을 역 접속 트래픽으로 분류할 수 있다.
이상에서 설명한 바와 같이, 개시된 기술에 따른 지연시간 기반 역 접속 탐지 시스템 및 방법을 적용하면 지연시간 분석을 통해 네트워크 외부로부터의 역 접속 트래픽을 탐지 또는 차단할 수 있다.
또한, 개시된 기술에 따른 지연시간 기반 역 접속 탐지 시스템 및 방법은 지연시간 분석을 통해 계산량과 시스템 복잡도를 높이지 않고 효과적으로 역 접속 트래픽을 탐지 또는 차단할 수 있으며, 알려지지 않은 공격도 탐지/차단할 수 있는 효과가 있다.
또한, 개시된 기술에 따른 지연시간 기반 역 접속 탐지 시스템 및 방법은 RAT 툴이 설치된 클라이언트와 C&C 서버간 접속을 탐지 또는 차단할 수 있으며, RAT 툴을 통해 외부 C&C 서버로 내부 정보가 유출되는 것을 방지할 수 있다.
이상 본 발명의 실시예로 설명하였으나 본 발명의 기술적 사상이 상기 실시예로 한정되는 것은 아니며, 본 발명의 기술적 사상을 벗어나지 않는 범주에서 다양한 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법으로 구현할 수 있다.
210 : 패킷 수집부 220 : 세션 관리부
230 : 지연시간 분석부 240 : 탐지부

Claims (15)

  1. 클라이언트와 서버 간 송수신되는 패킷들을 수집하는 패킷 수집부;
    상기 패킷 수집부에서 수집된 패킷들을 분석하여 상기 패킷들을 세션별로 분류하는 세션 관리부;
    상기 세션별로, 인바운드(inbound) 패킷과 아웃바운드(outbound) 패킷이 송수신된 시간을 기초로 클라이언트 지연시간과 서버 지연시간을 산출하는 지연시간 분석부; 및
    상기 클라이언트 지연시간과 서버 지연시간을 기초로 기 저장된 룰과 비교분석하여 역 접속 트래픽을 탐지하는 탐지부를 포함하는 지연시간 기반 역 접속 탐지 시스템.
  2. 제1항에 있어서, 상기 지연시간 분석부는
    분석 예외 패킷을 제외한 인바운드 패킷과 아웃바운드 패킷을 기초로 클라이언트 지연시간과 서버 지연시간을 산출하는 것을 특징으로 하는 지연시간 기반 역 접속 탐지 시스템.
  3. 제2항에 있어서, 상기 분석 예외 패킷은
    프로토콜 제어 패킷과 웹페이지의 다중 링크에 의한 요청 패킷을 포함하는 것을 특징으로 하는 지연시간 기반 역 접속 탐지 시스템.
  4. 제1항에 있어서, 상기 지연시간 분석부는
    서버 측 마지막 인바운드 패킷이 수신된 시간과 트래픽 방향이 변경된 후 클라이언트 측 첫 번째 아웃바운드 패킷이 수신된 시간 사이의 시간 간격을 클라이언트 지연시간으로 산출하고,
    클라이언트 측 마지막 아웃바운드 패킷이 수신된 시간과 트래픽 방향이 변경된 후 서버 측 첫 번째 인바운드 응답 패킷이 수신된 시간 사이의 시간 간격을 서버 지연시간으로 산출하는 것을 특징으로 하는 지연시간 기반 역 접속 탐지 시스템.
  5. 제1항에 있어서, 상기 탐지부는
    상기 클라이언트 지연시간이 기준값(threshold)보다 크고, 상기 서버 지연시간이 기준값보다 작은 경우에는 해당 세션의 트래픽은 정상 트래픽으로 분류하는 것을 특징으로 하는 지연시간 기반 역 접속 탐지 시스템.
  6. 제1항에 있어서, 상기 탐지부는
    상기 클라이언트 지연시간이 기준값보다 작고, 상기 서버 지연시간이 기준값보다 큰 경우에는 해당 세션의 트래픽은 역 접속 트래픽으로 분류하는 것을 특징으로 하는 지연시간 기반 역 접속 탐지 시스템.
  7. 제1항에 있어서, 상기 탐지부는
    상기 클라이언트 지연시간과 상기 서버 지연시간이 모두 기준값보다 작은 경우에는 해당 세션의 트래픽은 역 접속 트래픽으로 분류하는 것을 특징으로 하는 지연시간 기반 역 접속 탐지 시스템.
  8. 제1항에 있어서, 상기 탐지부는
    기준값 이상의 지연시간 후 수신된 첫 번째 패킷이 서버 측에서 송신된 인바운드 방향인 경우에는 해당 세션의 트래픽은 역 접속 트래픽으로 분류하는 것을 특징으로 하는 지연시간 기반 역 접속 탐지 시스템.
  9. 제1항에 있어서,
    상기 역 접속 트래픽이 탐지된 세션을 차단하는 차단부를 더 포함하는 것을 특징으로 하는 지연시간 기반 역 접속 탐지 시스템.
  10. (a) 패킷 수집부에서 클라이언트와 서버 간 송수신되는 패킷들을 수집하는 단계;
    (b) 세션 관리부에서 상기 수집된 패킷들을 분석하여 상기 패킷들을 세션별로 분류하는 단계;
    (c) 지연시간 분석부에서 세션별로 인바운드 패킷과 아웃바운드 패킷이 송수신된 시간을 기초로 클라이언트 지연시간과 서버 지연시간을 산출하는 단계; 및
    (d) 탐지부에서 상기 클라이언트 지연시간과 서버 지연시간을 기초로 기 저장된 룰과 비교분석하여 역 접속 트래픽을 탐지하는 단계를 포함하는 지연시간 기반 역 접속 탐지 방법.
  11. 제10항에 있어서,
    상기 패킷들을 세션별로 분류한 후, 분석 예외 패킷을 제외하는 단계를 더 포함하는 것을 특징으로 하는 지연시간 기반 역 접속 탐지 방법.
  12. 제10항에 있어서, 상기 역 접속 트래픽을 탐지하는 단계는
    상기 클라이언트 지연시간이 기준값보다 크고, 상기 서버 지연시간이 기준값보다 작은 경우에는 해당 세션의 트래픽은 정상 트래픽으로 분류하는 것을 특징으로 하는 지연시간 기반 역 접속 탐지 방법.
  13. 제10항에 있어서, 상기 역 접속 트래픽을 탐지하는 단계는
    상기 클라이언트 지연시간이 기준값보다 작고, 상기 서버 지연시간이 기준값보다 큰 경우에는 해당 세션의 트래픽은 역 접속 트래픽으로 분류하는 것을 특징으로 하는 지연시간 기반 역 접속 탐지 방법.
  14. 제10항에 있어서, 상기 역 접속 트래픽을 탐지하는 단계는
    상기 클라이언트 지연시간과 상기 서버 지연시간이 모두 기준값보다 작은 경우에는 해당 세션의 트래픽은 역 접속 트래픽으로 분류하는 것을 특징으로 하는 지연시간 기반 역 접속 탐지 방법.
  15. 제10항에 있어서, 상기 역 접속 트래픽을 탐지하는 단계는
    기준값 이상의 지연시간 후 수신된 첫 번째 패킷이 인바운드 방향인 경우에는 해당 세션의 트래픽은 역 접속 트래픽으로 분류하는 것을 특징으로 하는 지연시간 기반 역 접속 탐지 방법.
KR1020130005385A 2013-01-17 2013-01-17 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법 KR101424490B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130005385A KR101424490B1 (ko) 2013-01-17 2013-01-17 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130005385A KR101424490B1 (ko) 2013-01-17 2013-01-17 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법

Publications (2)

Publication Number Publication Date
KR20140093060A true KR20140093060A (ko) 2014-07-25
KR101424490B1 KR101424490B1 (ko) 2014-08-01

Family

ID=51739423

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130005385A KR101424490B1 (ko) 2013-01-17 2013-01-17 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법

Country Status (1)

Country Link
KR (1) KR101424490B1 (ko)

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018204237A1 (en) * 2017-05-03 2018-11-08 Extrahop Networks, Inc. Detecting network flow states for network traffic analysis
CN110995733A (zh) * 2019-12-12 2020-04-10 江苏亨通工控安全研究院有限公司 一种基于遥测技术的工控领域的入侵检测系统
US10728126B2 (en) 2018-02-08 2020-07-28 Extrahop Networks, Inc. Personalization of alerts based on network monitoring
US10742530B1 (en) 2019-08-05 2020-08-11 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
US10965702B2 (en) 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
US10979282B2 (en) 2018-02-07 2021-04-13 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US11012329B2 (en) 2018-08-09 2021-05-18 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US11165814B2 (en) 2019-07-29 2021-11-02 Extrahop Networks, Inc. Modifying triage information based on network monitoring
US11165831B2 (en) 2017-10-25 2021-11-02 Extrahop Networks, Inc. Inline secret sharing
US11165823B2 (en) 2019-12-17 2021-11-02 Extrahop Networks, Inc. Automated preemptive polymorphic deception
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
US11310256B2 (en) 2020-09-23 2022-04-19 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11323467B2 (en) 2018-08-21 2022-05-03 Extrahop Networks, Inc. Managing incident response operations based on monitored network activity
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
US11388072B2 (en) 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US11431744B2 (en) 2018-02-09 2022-08-30 Extrahop Networks, Inc. Detection of denial of service attacks
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11546153B2 (en) 2017-03-22 2023-01-03 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6789203B1 (en) 2000-06-26 2004-09-07 Sun Microsystems, Inc. Method and apparatus for preventing a denial of service (DOS) attack by selectively throttling TCP/IP requests
JP2004140524A (ja) 2002-10-16 2004-05-13 Sony Corp DoS攻撃検知方法、DoS攻撃検知装置及びプログラム

Cited By (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11546153B2 (en) 2017-03-22 2023-01-03 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
WO2018204237A1 (en) * 2017-05-03 2018-11-08 Extrahop Networks, Inc. Detecting network flow states for network traffic analysis
US11165831B2 (en) 2017-10-25 2021-11-02 Extrahop Networks, Inc. Inline secret sharing
US11665207B2 (en) 2017-10-25 2023-05-30 Extrahop Networks, Inc. Inline secret sharing
US11463299B2 (en) 2018-02-07 2022-10-04 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US10979282B2 (en) 2018-02-07 2021-04-13 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US10728126B2 (en) 2018-02-08 2020-07-28 Extrahop Networks, Inc. Personalization of alerts based on network monitoring
US11431744B2 (en) 2018-02-09 2022-08-30 Extrahop Networks, Inc. Detection of denial of service attacks
US11496378B2 (en) 2018-08-09 2022-11-08 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US11012329B2 (en) 2018-08-09 2021-05-18 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US11323467B2 (en) 2018-08-21 2022-05-03 Extrahop Networks, Inc. Managing incident response operations based on monitored network activity
US10965702B2 (en) 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
US11706233B2 (en) 2019-05-28 2023-07-18 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
US11165814B2 (en) 2019-07-29 2021-11-02 Extrahop Networks, Inc. Modifying triage information based on network monitoring
US11652714B2 (en) 2019-08-05 2023-05-16 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742530B1 (en) 2019-08-05 2020-08-11 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US11388072B2 (en) 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US11438247B2 (en) 2019-08-05 2022-09-06 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US11463465B2 (en) 2019-09-04 2022-10-04 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
CN110995733A (zh) * 2019-12-12 2020-04-10 江苏亨通工控安全研究院有限公司 一种基于遥测技术的工控领域的入侵检测系统
US11165823B2 (en) 2019-12-17 2021-11-02 Extrahop Networks, Inc. Automated preemptive polymorphic deception
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11310256B2 (en) 2020-09-23 2022-04-19 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11558413B2 (en) 2020-09-23 2023-01-17 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
US11916771B2 (en) 2021-09-23 2024-02-27 Extrahop Networks, Inc. Combining passive network analysis and active probing
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity

Also Published As

Publication number Publication date
KR101424490B1 (ko) 2014-08-01

Similar Documents

Publication Publication Date Title
KR101424490B1 (ko) 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법
US11316878B2 (en) System and method for malware detection
US8255996B2 (en) Network threat detection and mitigation
US8966627B2 (en) Method and apparatus for defending distributed denial-of-service (DDoS) attack through abnormally terminated session
US8042182B2 (en) Method and system for network intrusion detection, related network and computer program product
US10911473B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
US11005865B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
KR20130017333A (ko) 응용 계층 기반의 슬로우 분산서비스거부 공격판단 시스템 및 방법
KR100947211B1 (ko) 능동형 보안 감사 시스템
KR102244036B1 (ko) 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법
KR20110037645A (ko) 분산 서비스 거부 방어 장치 및 그 방법
CN108616488B (zh) 一种攻击的防御方法及防御设备
US20040250158A1 (en) System and method for protecting an IP transmission network against the denial of service attacks
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
US20220263846A1 (en) METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF
KR20070079781A (ko) 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법
JP2004356915A (ja) 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法
KR20200109875A (ko) 유해 ip 판단 방법
KR102211503B1 (ko) 유해 ip 판단 방법
KR101065800B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
CN114172881B (zh) 基于预测的网络安全验证方法、装置及系统
KR100983549B1 (ko) 클라이언트 ddos 방어 시스템 및 그 방법
KR101196325B1 (ko) 분산서비스거부 공격 탐지장치 및 방법
KR20200044210A (ko) 무선 IoT장비에 대한 이상행위 패킷탐지 장치
KR101449627B1 (ko) 비정상 세션 탐지 방법 및 장치

Legal Events

Date Code Title Description
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170717

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180723

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190723

Year of fee payment: 6