KR20140126651A - 내부망공격 탐지장치 및 방법 - Google Patents

내부망공격 탐지장치 및 방법 Download PDF

Info

Publication number
KR20140126651A
KR20140126651A KR1020130084983A KR20130084983A KR20140126651A KR 20140126651 A KR20140126651 A KR 20140126651A KR 1020130084983 A KR1020130084983 A KR 1020130084983A KR 20130084983 A KR20130084983 A KR 20130084983A KR 20140126651 A KR20140126651 A KR 20140126651A
Authority
KR
South Korea
Prior art keywords
session
analysis unit
detection target
detection
internal network
Prior art date
Application number
KR1020130084983A
Other languages
English (en)
Other versions
KR101464367B1 (ko
Inventor
김혁준
Original Assignee
(주)나루씨큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)나루씨큐리티 filed Critical (주)나루씨큐리티
Publication of KR20140126651A publication Critical patent/KR20140126651A/ko
Application granted granted Critical
Publication of KR101464367B1 publication Critical patent/KR101464367B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

외부망 통신장치에 의한 내부망 공격을 탐지하는 탐지장치로써, 내부망 통신장치들과 외부망 통신장치들 사이에 생성되는 세션 정보를 수집하는 세션 로그 수집부, 분석 단위 시간을 설정하고, 각 분석 단위 시간에 수집된 세션 정보를 기초로 각 분석 단위 시간에 생성된 탐지 대상 세션을 추출하고, 분석 단위 시간별로 생성된 탐지 대상 세션을 관리하는 분석부, 그리고 분석 단위 시간들로 구성된 탐지 시간 동안 각 탐지 대상 세션의 생성 빈도를 누적하고, 각 탐지 대상 세션의 생성 빈도를 기초로 탐지 대상 세션들 중에서 명령제어채널을 탐지하는 판단부를 포함한다.

Description

내부망공격 탐지장치 및 방법{APPARATUS AND METHOD FOR DETECTING LOCAL NETWORK ATTACKS}
본 발명은 내부망공격 탐지장치 및 방법에 관한 것이다.
최근 분산서비스거부공격을 기점으로 하여 서비스거부공격, 개인정보 해킹사건, 금융 기관 해킹사건, 그리고 사이버테러 등의 다양한 타겟 공격이 증가하고 있다. 이러한 공격을 수행한 주체 및 공격 방법은 다양하나, 공격대상 네트워크 외부와 공격대상 네트워크 내부가 명령제어채널로 연결되어 공격을 수행하는 공통점이 있다.
명령제어채널을 통한 공격은 지능형지속공격(Advanced Persistent attacks) 형태를 보인다. 공격자는 수개월에 걸쳐 공격대상 네트워크에 머무르며 정보수집, 공격도구다운로드, 내부망공격, 시스템파괴, 정보유출 등의 행위를 수행한다. 공격대상 네트워크는 대부분 방화벽, 침입탐지장치 등으로 보호되므로, 공격자는 악성코드가 첨부된 메일발송, 인터넷서핑 중 사용자 모르게 악성파일 다운로드, 설치된 프로그램 공급자의 전산자원 공격 등 다양한 방법을 통해 초기침입 경로를 확보한다.
특히, 최근에는 지속적으로 명령제어채널을 유지하는 것이 아니라, 공격자에 의해 감염된 내부망 장치가 외부에 위치한 공격자에게 접속을 주기적으로 시도하여 명령제어채널을 생성한다. 감염된 장치는 내부망 보안관리자의 탐지를 피하기 위해, 정규포트를 통한 비정규 프로토콜 통신, 비정규 포트 사용, 외부 클라우드 서비스 사용 등 다양한 방법을 통해 외부에 위치한 공격자와 주기적으로 접속한다.
지금까지의 내부망공격 탐지 장치는 명령제어채널의 기술적 특성을 기초로 명령제어채널을 탐지한다. 즉, 지금까지의 내부망공격 탐지 장치는 특정 시그니처나 악성 인터넷 주소와 같이 이미 알려진 정보를 사용하여 명령제어채널을 탐지한다. 그러나, 이러한 탐지 방법은 이미 알려진 악성행위를 탐지하므로, 이미 사용된 공격방법을 모사하는 낮은 수준의 공격자를 탐지할 수 있을 뿐, 새로운 기법의 명령제어채널을 사용하는 공격자를 탐지하기 어렵다. 따라서, 최근의 공격 방법에 대응할 수 있는 새로운 탐지방법이 요구된다.
본 발명이 해결하고자 하는 과제는 내부망과 외부망 사이에 생성된 세션들을 단위 시간마다 모니터링하고, 각 세션의 생성 빈도를 기초로 명령제어채널을 탐지하는 내부망공격 탐지 장치 및 방법을 제공하는 것이다.
본 발명의 한 실시예에 따른 외부망 통신장치에 의한 내부망 공격을 탐지하는 탐지장치로서, 내부망 통신장치들과 외부망 통신장치들 사이에 생성되는 세션 정보를 수집하는 세션 로그 수집부, 분석 단위 시간을 설정하고, 각 분석 단위 시간에 수집된 세션 정보를 기초로 각 분석 단위 시간에 생성된 탐지 대상 세션을 추출하고, 분석 단위 시간별로 생성된 탐지 대상 세션을 관리하는 분석부, 그리고 분석 단위 시간들로 구성된 탐지 시간 동안 각 탐지 대상 세션의 생성 빈도를 누적하고, 각 탐지 대상 세션의 생성 빈도를 기초로 탐지 대상 세션들 중에서 명령제어채널을 탐지하는 판단부를 포함한다.
상기 판단부는 상기 탐지 시간에 포함된 분석 단위 시간 수를 기초로 기준 빈도를 설정하고, 생성 빈도가 상기 기준 빈도 이상인 탐지 대상 세션을 명령제어채널로 탐지할 수 있다.
상기 분석부는 세션 정보에 포함된 출발지 정보와 목적지 정보를 기초로 세션을 식별하고, 식별한 세션을 탐지 대상 세션으로 관리할 수 있다.
상기 분석부는 세션 정보를 기초로 식별한 세션을 필터링하여 상기 탐지 대상 세션을 결정할 수 있다.
상기 판단부는 제1 분석 단위 시간에 제1 탐지 대상 세션이 생성된 경우, 상기 제1 탐지 대상 세션의 생성 빈도를 증가시킬 수 있다.
상기 판단부는 상기 제1 탐지 대상 세션의 생성 빈도를 기초로 상기 제1 탐지 대상 세션이 일정 개수 이상의 연속된 분석 단위 시간들에서 연속적으로 생성된 경우, 상기 제1 탐지 대상 세션을 명령제어채널로 탐지할 수 있다.
상기 판단부는 내부망 통신 장치의 활동 시간에 해당하는 분석 단위 시간들로 탐지 시간을 구성할 수 있다.
상기 판단부는 명령제어채널의 세션 정보를 기초로 내부망 공격 명령을 전송하는 외부망 통신장치를 탐지할 수 있다.
본 발명의 다른 실시예에 따른 내부망공격 탐지장치가 외부망 통신장치에 의한 내부망 공격을 탐지하는 방법으로서, 내부망 통신장치들과 외부망 통신장치들 사이에 생성되는 세션 정보를 수집하는 단계, 출발지와 목적지로 세션을 특정하여 탐지 대상 세션을 결정하는 단계, 그리고 각 탐지 대상 세션이 주기적으로 생성되는지 판단하여, 주기적으로 생성되는 탐지 대상 세션을 명령제어채널을 탐지하는 단계를 포함한다.
상기 명령제어채널을 탐지하는 단계는 각 분석 단위 시간 동안 각 탐지 대상 세션의 생성 여부를 기초로 각 탐지 대상 세션이 주기적으로 생성되는지 판단할 수 있다.
상기 명령제어채널을 탐지하는 단계는 분석 단위 시간을 설정하는 단계, 각 분석 단위 시간에 수집한 세션 정보를 기초로 각 분석 단위 시간에 생성된 탐지 대상 세션을 추출하는 단계, 분석 단위 시간들로 구성된 탐지 시간 동안 각 탐지 대상 세션의 생성 빈도를 누적하는 단계, 그리고 각 탐지 대상 세션의 생성 빈도를 기초로 탐지 대상 세션들 중에서 명령제어채널을 추출하는 단계를 포함한다.
상기 명령제어채널을 추출하는 단계는 상기 탐지 시간에 포함된 분석 단위 시간 수를 기초로 기준 빈도를 설정하고, 생성 빈도가 상기 기준 빈도 이상인 탐지 대상 세션을 명령제어채널로 추출할 수 있다.
상기 내부망공격 탐지방법은 각 탐지 대상 세션의 생성 빈도를 기초로 분석 단위 시간을 갱신하는 단계를 더 포함할 수 있다.
상기 탐지 대상 세션을 결정하는 단계는 세션 정보에 포함된 출발지 정보와 목적지 정보를 기초로 세션을 식별하고, 식별한 세션을 탐지 대상 세션으로 관리할 수 있다.
상기 명령제어채널을 추출하는 단계는 제1 탐지 대상 세션이 일정 갯수의 연속된 분석 단위 시간들에서 연속적으로 생성된 경우, 상기 제1 탐지 대상 세션을 명령제어채널로 탐지할 수 있다.
본 발명의 실시예에 따르면 알려진 정보를 기반으로 공격자를 탐지하는 방식에서 벗어나, 내부망 공격을 위해 반드시 생성되어야 하는 명령제어채널을 세션 기반으로 탐지하므로, 다양한 방식의 내부망 공격을 탐지할 수 있다. 본 발명의 실시예에 따르면 점점 정교하게 진화하고 있는 내부망 공격 형태에 대해서도 효과적으로 대응할 수 있다. 본 발명의 실시예에 따르면 변형된 공격이나 암호화된 트래픽에 대해서도 탐지할 수 있으므로, 통신 프로토콜에 종속되지 않고 내부망공격을 탐지할 수 있다.
도 1은 본 발명의 한 실시예에 따른 내부망공격에 관계된 네트워크를 개략적으로 설명하는 도면이다.
도 2는 본 발명의 한 실시예에 따른 탐지장치의 블록도이다.
도 3은 본 발명의 한 실시예에 따른 내부망공격 탐지 방법의 흐름도이다.
도 4는 본 발명의 다른 실시예에 따른 내부망공격 탐지 방법의 흐름도이다.
도 5는 본 발명의 또 다른 실시예에 따른 내부망공격 탐지 방법의 흐름도이다.
도 6은 본 발명의 한 실시예에 따른 분석 화면의 예시이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
이제 도면을 참고하여 본 발명의 실시예에 따른 내부망공격 탐지장치 및 방법에 대해 설명한다.
도 1은 본 발명의 한 실시예에 따른 내부망공격에 관계된 네트워크를 개략적으로 설명하는 도면이다.
도 1을 참고하면, 통신 네트워크는 네트워크 장치(10), 내부망(20), 외부망(30), 그리고 내부망공격 탐지장치(앞으로 "탐지장치"라고 한다)(100)로 구성된다. 네트워크 장치(10)는 내부망(20)으로 통하는 관문으로서, 내부망(20)과 외부망(30)을 분리한다. 네트워크 장치(10)는 게이트웨이나 스위치 등일 수 있다. 탐지장치(100)는 내부망(20)과 외부망(30) 사이에 위치한다. 탐지장치(100)는 네트워크 장치(10)에 구현되거나, 네트워크 장치(10)와 별도로 구현될 수 있다.
공격자 장치(200)는 외부망(30)에 위치한다. 내부망(20)은 복수의 통신장치(300, 400, 500, 600)를 포함한다.
네트워크 장치(10)가 방화벽 등을 통해 외부에서 내부자산으로 직접 접속하는 것을 차단한다. 따라서, 공격자 장치(200)는 다양한 방법으로 내부망(20)에 접근하여, 내부망(20)의 통신장치를 공격 수행 장치로 만든다. 예를 들면, 공격자 장치(200)는 악성코드가 첨부된 메일발송, 인터넷서핑 중 사용자 모르게 악성파일 다운로드, 설치된 프로그램 공급자의 전산자원 공격 등 다양한 방법을 통해 내부망 통신장치들을 감염시킬 수 있다. 감염된 장치는 공격자 장치(200)와 주기적으로 접속하여 명령을 수신하고, 명령에 따른 동작을 수행하는 공격 수행 장치가 된다. 여기서, 공격 수행 장치는 통신장치(300-600)일 수 있다.
공격 수행 장치(300-600)는 주기적으로 공격자 장치(200)에 접속한다. 그러면, 각 공격 수행 장치(300-600)와 공격자 장치(200) 사이에 명령제어채널이 생성된다.
공격자 장치(200)는 명령제어채널을 통해 각 공격 수행 장치(300-600)에게 명령을 전달하고, 정보를 수신한다. 접속 주기는 공격자가 명령을 전달할 수 있는 주기일 수 있다. 접속 주기가 비상식적으로 길어 명령제어채널이 드문드문 생성되는 경우, 네트워크 장치(10)나 탐지장치(100) 가 명령제어채널을 찾아내기 어려울 수 있으나, 이 때문에 공격자는 명령 전달 시간이 지연될 수 있다. 따라서, 대부분의 공격자 장치는 접속 주기를 짧게 한다. 예를 들면, 공격 수행 장치는 1분에 수차례 공격자 장치와 접속할 수 있다. 또한 명령제어채널이 긴 시간 동안 유지되는 경우, 공격자 장치가 한번에 많은 정보를 가져갈 수 있지만, 탐지장치(100)가 쉽게 탐지할 수 있다. 따라서, 대부분의 공격자 장치는 명령제어채널을 짧게 유지하면서, 일정 기간 동안 주기적으로 접속하도록 공격 수행 장치에게 명령한다.
이와 같이, 공격 수행 장치(300-600)는 내부망에 연결된 통신장치로서, 정상 서버에 접속하는 것과 같이, 외부망의 공격자 장치(200)에 접속한다. 따라서, 특정 시그니처나 알려진 악성 인터넷 주소와 같은 정보를 사용하여 명령제어채널을 탐지하는 기존 방법은, 세션을 짧게 유지하면서 일정 기간 동안 지속적으로 생성되는 명령제어채널을 탐지하기 어렵다. 또한, 기존 방법은 어느 한 시점에서 악성행위로 보이는 징후를 탐지하므로, 장기간 잠복하여 수행하는 공격을 탐지하기 어렵다. 이러한 문제를 해결하기 위해, 탐지장치(100)는 명령제어채널을 연결하기 위해 반드시 생성되어야하는 세션 정보를 분석하여 명령제어채널을 탐지한다.
탐지장치(100)는 내부망(20)과 외부망(30) 사이에 생성되는 세션들을 모니터링한다. 탐지장치(100)는 내부망의 통신장치별로 생성되는 세션 정보를 수집한다. 세션 정보는 세션에 관계된 각종 통신 로그로서, 세션의 출발지 정보, 목적지 정보, 트래픽 정보 등을 포함한다.
탐지장치(100)는 세션별로 세션식별정보를 할당할 수 있다. 세션은 출발지와 목적지에 의해 구분될 수 있다. 구체적으로, 세션은 출발지 주소(IP), 출발지 포트(Port), 목적지 주소, 목적지 포트, 시간정보로 구분될 수 있다.
탐지장치(100)는 분석 단위 시간별로 각 세션식별정보에 해당하는 세션이 적어도 한번 생성됐는지 확인한다. 탐지장치(100)는 어느 세션식별정보에 해당하는 세션이 분석 단위 시간마다 지속적으로 발견되는 경우, 이 세션을 명령제어채널로 판단한다.
도 2는 본 발명의 한 실시예에 따른 탐지장치의 블록도이다.
도 2를 참고하면, 탐지장치(100)는 세션 로그 수집부(110), 분석부(130), 그리고 판단부(150)를 포함한다.
세션 로그 수집부(110)는 내부망 통신장치와 외부망 통신장치 사이에 생성되는 세션 정보를 수집한다. 세션 정보는 세션의 출발지 정보, 목적지 정보를 포함하고, 출발지는 내부망 통신장치이고, 목적지는 외부망 통신장치이다. 세션 정보는 표 1과 같은 정보를 포함할 수 있다.
세션 정보 설명
ts 연결 발생 시각
uid 식별값
id.orig_h 출발지 주소(IP)(string)
id.orig_p 출발지 포트번호
id.resp_h 목적지 주소(IP)값(string)
id.resp_p 목적지 포트번호
proto 트랜스포트 계층의 프로토콜 종류(tcp/udp/icmp 등)
service 어플리케이션 계층의 프로토콜 종류
duration 연결 종류 후 다시 연결되기 까지의 시간 차
orig_bytes 출발지에서 보낸 페이로드 바이트 수
resp_bytes 목적지에서 보낸 페이로드 바이트 수
conn_state TCP 연결 상태 코드
local_orig 연결이 local에서 이루어졌으면 T, 그렇지 않으면 F
missed_bytes 패킷 loss된 바이트 수
history 연결 상태의 히스토리 나열
orig_pkts 출발지에서 보낸 패킷 수
orig_ip_bytes 출발지에서 보낸 IP헤더를 포함한 전체 바이트 수
resp_pkts 목적지에서 보낸 패킷 수
resp_ip_bytes 목적지에서 보낸 IP헤더를 포함한 전체 바이트 수
tunnel_parents 터널 내부(inner) 커넥션 uid
분석부(130)는 분석 단위 시간을 설정한다. 분석 단위 시간은 지속적으로 접속하는 공격자 장치의 접속 특성을 기초로 설정 및 변경될 수 있다. 분석 단위 시간이 공격자 장치의 접속 주기보다 짧으면, 공격자 장치가 주기적으로 공격하고 있음에도 불구하고, 명령제어채널에 해당하는 세션이 어느 분석 단위 시간에 발견되지 않을 수 있다. 따라서, 분석부(130)는 주기적으로 생성되는 명령제어채널을 탐지할 수 있도록 분석 단위 시간을 설정한다. 예를 들면, 분석 단위 시간은 접속 주기보다 충분히 긴 시간, 예를 들면 30분이나 1시간 등으로 설정될 수 있다.
분석부(130)는 분석 단위 시간별로 세션 정보를 분석한다.
분석부(130)는 각 분석 단위 시간에 수집된 세션 정보를 기초로 각 분석 단위 시간에 생성된 세션 목록을 만든다. 분석부(130)는 분석단위 시간 스탬프, 출발지 정보, 목적지 정보 등을 포함하는 메타로그를 생성하여 각 세션을 정규화한다. 이때, 분석부(130)는 세션의 생성 여부를 탐지하는 것이 중요하므로, 중복 생성된 세션을 제거할 수 있다.
분석부(130)는 출발지와 목적지로 세션을 식별하여 탐지 대상 세션을 결정한다. 이를 위해, 분석부(130)는 탐지 대상 세션에 대해 세션식별정보를 할당할 수 있다. 이때, 분석부(130)는 세션 정보를 기초로 명령제어채널 가능성이 낮은 세션을 탐지 대상 세션에서 제외한다. 예를 들면, 분석부(130)는 검증된 서버가 목적지인 경우, 해당 목적지를 포함하는 세션에 대해서 세션식별정보를 할당하지 않는다. 즉, 분석부(130)는 명령제어채널 가능성이 낮은 세션을 모니터링할 필요가 없기 때문이다. 분석부(130)는 표 2와 같이 세션식별정보를 할당할 수 있다. 통신장치(300)가 세션식별정보 S1에 해당하는 세션을 생성하고, 통신장치(400)가 세션식별정보 S2 및 S3에 해당하는 세션을 생성하고, 통신장치(500)가 세션식별정보 S5에 해당하는 세션을 생성하며, 통신장치(600)가 세션식별정보 S4에 해당하는 세션을 생성하는 것으로 가정한다.
세션식별정보 출발지 주소 목적지 주소
S1 192.168.1.245 74.125.128.101
S2 192.168.1.241 17.172.232.158
S3 192.168.1.241 157.56.141.102
S4 192.168.1.115 17.83.253.7
S5 192.168.1.222 74.125.128.139
분석부(130)는 각 분석 단위 시간 동안 각 탐지 대상 세션이 생성되는지 확인한다. 분석부(130)는 분석 단위 시간 동안 한번이라도 탐지 대상 세션이 생성되면 "생성"으로 판단한다. 예를 들어, 분석 단위 시간이 1시간인 경우, 분석부(130)는 표 3과 같이 분석 단위 시간별로 각 탐지 대상 세션의 생성 여부를 관리한다. 분석부(130)는 "생성" 또는 "미생성" 이외에, 분석 단위 시간 동안 세션이 생성된 횟수를 누적해 관리할 수 있다.
세션식별정보 2013-6-25
12:00		 2013-6-25
13:00		 2013-6-25
14:00		 2013-6-25
15:00		 2013-6-25
16:00		 2013-6-25
17:00
S1 생성 생성 생성 생성 생성 생성
S2 생성 생성 생성 생성 생성 생성
S3 생성 생성 생성 생성 생성 생성
S4 생성 미생성 미생성 미생성 생성 미생성
S5 생성 생성 생성 생성 생성 생성
판단부(150)는 분석 단위 시간들로 구성된 탐지 시간 동안 각 탐지 대상 세션의 생성 정보를 기초로 명령제어채널을 탐지한다. 생성 정보는 생성 빈도, 생성 빈도율, 생성 패턴 등일 수 있다.
판단부(150)는 표 4와 같이 탐지 시간 동안의 생성 빈도를 분석한다. 탐지시간은 세션이 생성된 최초 분석 단위 시간부터 분석 시점까지의 시간이다. 예를 들어, 세션식별정보 S1에 해당하는 통신장치(300)는 분석 시점부터 72 분석 단위 시간 전에 목적지 장치에 최초 접속하였다. 그리고 세션식별정보 S1에 해당하는 통신장치(300)는 분석 단위 시간마다 한번 이상 목적지 장치에 접속하였다. 세션식별정보 S4에 해당하는 통신장치(600)는 분석 시점부터 71 분석 단위 시간 전에 목적지 주소에 해당하는 외부망 통신 장치에 최초 접속하였다. 그리고 세션식별정보 S4에 해당하는 통신장치(600)는 71 분석 단위 시간 동안 10 분석 단위 시간에만 목적지 장치에 접속하였다.
세션식별정보 탐지 시간
(단위: 분석 단위 시간)		 생성 빈도
(단위: 횟수)		 빈도율
(단위: %)
S1 72 72 100
S2 71 71 100
S3 71 71 100
S4 71 10 14
S5 30 30 100
판단부(150)는 내부망 통신 장치가 세션을 생성할 수 있는 활동 시간을 탐지 시간으로 정할 수 있다. 즉, 내부망 통신 장치는 전원이 꺼진 시간 등의 휴지 시간에 세션을 생성할 수 없다. 따라서, 분석부(130)는 각 내부망 통신 장치의 휴지 시간을 탐지 시간에서 제외할 수 있다. 예를 들어, 세션식별정보 S5에 해당하는 통신장치(500)는 분석 시점부터 72 분석 단위 시간 전에 목적지 장치에 최초 접속하였다. 그러나, 세션식별정보 S5에 해당하는 통신장치(500)는 42 분석 단위 시간 동안 휴지 상태였다. 그러면, 분석부(130)는 세션식별정보 S5의 탐지 시간을 30 분석 단위 시간으로 변경한다. 이를 위해 분석부(130)는 각 내부망 통신 장치의 휴지 시간을 모니터링한다. 분석부(130)는 각 내부망 통신 장치의 패킷 송수신 여부를 모니터링하여 휴지 시간인지 활동 시간인지 판단할 수 있다.
판단부(150)는 탐지 시간 동안 각 세션식별정보의 생성 빈도를 기초로 명령제어채널을 탐지한다. 명령제어채널은 일정 기간 동안 주기적으로 생성된다. 따라서, 판단부(150)는 탐지 시간 동안 기준 빈도 이상 생성된 세션을 명령제어채널로 판단할 수 있다. 또는 판단부(150)는 빈도율이 기준 빈도율 이상인 세션을 명령제어채널로 판단할 수 있다. 예를 들어, 탐지 대상 세션 S1, S2, S3, S5를 살펴보면, 분석 시간 단위마다 세션이 생성된 것이므로, 판단부(150)는 탐지 대상 세션 S1, S2, S3, S5를 명령제어채널로 탐지한다. 판단부(150)는 탐지 대상 세션 S1, S2, S3, S5의 목적지 주소를 공격자 장치의 주소로 판단한다. 판단부(150)는 탐지 대상 세션 S1, S2, S3, S5의 출발지 주소를 공격 수행 장치, 즉 감염 장치의 주소로 판단한다.
판단부(150)는 명령제어채널로 탐지된 세션 정보를 기초로 나머지 세션을 필터링할 수 있다. 예를 들어, 판단부(150)는 공격자 장치의 주소로 판단한 목적지 주소를 포함하는 세션을 명령제어채널로 판단할 수 있다.
판단부(150)는 각 세션식별정보의 생성 빈도에 관계된 표준편차를 기초로 명령제어채널을 탐지할 수 있다. 어느 세션이 탐지 시간 동안 꾸준히 생성된 경우, 이 세션의 표준편차는 0에 가까운 값을 가진다. 따라서, 판단부(150)는 표준 편차가 0에 가까운 세션을 명령제어채널로 판단할 수 있다.
도 3은 본 발명의 한 실시예에 따른 내부망공격 탐지 방법의 흐름도이다.
도 3을 참고하면, 탐지장치(100)는 내부망 통신장치와 외부망 통신장치 사이에 생성되는 세션 정보를 수집한다(S110).
탐지장치(100)는 출발지와 목적지로 세션을 특정하여 탐지 대상 세션을 결정한다(S120). 탐지장치(100)는 세션 정보를 기초로 명령제어채널 가능성이 낮은 세션을 탐지 대상 세션에서 제외할 수 있다.
탐지장치(100)는 각 분석 단위 시간 동안 각 탐지 대상 세션이 생성됐는지 확인한다(S130). 탐지장치(100)는 분석 단위 시간 동안 한번이라도 탐지 대상 세션이 생성되면 "생성"으로 판단한다.
탐지장치(100)는 탐지 대상 세션별로 탐지 시간 동안의 생성 빈도를 분석한다(S140). 탐지시간은 탐지 대상 세션이 생성된 최초 분석 단위 시간부터 분석 시점까지의 시간이다. 이때, 탐지장치(100)는 탐지 대상 세션이 생성된 최초 분석 단위 시간부터 분석 시점까지의 전체 시간에서, 각 내부망 통신 장치의 휴지 시간을 제외한 시간을 탐지 시간으로 설정할 수 있다.
탐지장치(100)는 생성 빈도를 기초로 탐지 대상 세션들 중에서 명령제어채널을 탐지한다(S150). 탐지장치(100)는 탐지 시간 동안 기준 빈도 이상 생성된 세션 또는 빈도율이 기준 빈도율 이상인 세션을 명령제어채널로 판단할 수 있다.
도 4는 본 발명의 다른 실시예에 따른 내부망공격 탐지 방법의 흐름도이다.
도 4를 참고하면, 탐지장치(100)는 분석 단위 시간 동안 수집한 세션 정보를 로그 버킷(log bucket)에 수집한다(S210). 로그 버킷은 분석 단위 시간별 로그를 저장하는 저장 단위이다.
탐지장치(100)는 로그 버킷(N=n)에 들어있는 세션 정보를 기초로 분석 단위 시간(N=n)에 생성된 세션 목록을 만든다(S220).
탐지장치(100)는 세션 목록을 기초로 탐지 대상 세션을 결정한다(S230). 탐지 대상 세션은 이전 분석 단위 시간부터 발견된 세션일 수 있고, 현재 분석 단위 시간에 최초로 생성된 세션일 수 있다.
탐지장치(100)는 각 탐지 대상 세션의 생성 빈도를 증가시킨다(S240).
탐지장치(100)는 다음 분석 단위 시간(N=n+1)으로 넘어간다(S250). 탐지장치(100)는 다음 로그 버킷(N=n+1)에 들어있는 세션 정보를 기초로 분석 단위 시간(N=n+1)에 생성된 세션 목록을 만든다.
이렇게, 시간이 지남에 따라 각 탐지 대상 세션의 생성 빈도가 누적된다. 그러면, 탐지장치(100)는 각 탐지 대상 세션의 생성 빈도를 기초로 명령제어채널을 탐지한다.
도 5는 본 발명의 또 다른 실시예에 따른 내부망공격 탐지 방법의 흐름도이다.
도 5를 참고하면, 탐지장치(100)는 분석 단위 시간을 설정한다(S310).
탐지장치(100)는 탐지 대상 세션별로 탐지 대상 세션이 생성된 분석 단위 시간 수를 누적한다(S320).
탐지장치(100)는 탐지 대상 세션별로 누적된 분석 단위 시간 수를 기초로 분석 단위 시간을 갱신한다(S330). 탐지장치(100)는 명령제어채널의 접속 주기를 알 수 없다. 따라서, 분석 단위 시간이 접속 주기에 비해 짧으면, 탐지 대상 세션이 드문드문 생성된 것처럼 보일 수 있다. 따라서, 탐지장치(100)는 탐지 시간 동안 누적된 분석 단위 시간 수를 기초로 분석 단위 시간을 늘릴 수 있다. 또는 분석 단위 시간이 접속 주기에 비해 너무 길면, 탐지장치(100)는 명령제어채널을 탐지하는 시간이 오래 걸릴 수 있다 따라서, 탐지장치(100)는 탐지 시간 동안 누적된 분석 단위 시간 수를 기초로 분석 단위 시간을 줄일 수 있다.
공격자 장치는 내부망의 공격 대상 장치를 제어하기 위해 반드시 공격 대상 장치와 통신을 해야 한다. 접속 주기와 공격의 정밀성은 트레이드오프(Trade-off) 관계에 있다. 따라서 공격자 장치는 일정 수준 이상의 정밀성을 유지하기 위해 주기적으로 내부망의 공격 대상 장치와 통신을 해야 한다. 공격자 장치가 은닉성을 강화하여 접속 주기를 랜덤하게 혹은 길게 가져갈 수 있다. 이러한 경우에도 탐지장치(100)는 분석 단위 시간을 늘려 지속적인 접속을 파악할 수 있다.
도 6은 본 발명의 한 실시예에 따른 분석 화면의 예시이다.
도 6을 참고하면, 탐지장치(100)는 분석 단위 시간이 1시간인 경우, 시간마다 탐지 대상 세션이 생성됐는지 보여주는 화면(50)을 제공한다.
사용자는 화면(50)을 통해 출발지 주소가 192.168.1.245인 장치는 목적지 주소가 74.125.128.101인 장치로 3일 내내 매시간 접속한 것을 알 수 있다.
이와 같이, 본 발명의 실시예에 따르면 알려진 정보를 기반으로 공격자를 탐지하는 방식에서 벗어나, 내부망 공격을 위해 반드시 생성되어야 하는 명령제어채널을 세션 기반으로 탐지하므로, 다양한 방식의 내부망 공격을 탐지할 수 있다. 본 발명의 실시예에 따르면 점점 정교하게 진화하고 있는 내부망 공격 형태에 대해서도 효과적으로 대응할 수 있다. 본 발명의 실시예에 따르면 변형된 공격이나 암호화된 트래픽에 대해서도 탐지할 수 있으므로, 통신 프로토콜에 종속되지 않고 내부망공격을 탐지할 수 있다.
이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.

Claims (15)

  1. 외부망 통신장치에 의한 내부망 공격을 탐지하는 탐지장치로서,
    내부망 통신장치들과 외부망 통신장치들 사이에 생성되는 세션 정보를 수집하는 세션 로그 수집부,
    분석 단위 시간을 설정하고, 각 분석 단위 시간에 수집된 세션 정보를 기초로 각 분석 단위 시간에 생성된 탐지 대상 세션을 추출하고, 분석 단위 시간별로 생성된 탐지 대상 세션을 관리하는 분석부, 그리고
    분석 단위 시간들로 구성된 탐지 시간 동안 각 탐지 대상 세션의 생성 빈도를 누적하고, 각 탐지 대상 세션의 생성 빈도를 기초로 탐지 대상 세션들 중에서 명령제어채널을 탐지하는 판단부
    를 포함하는 내부망공격 탐지장치.
  2. 제1항에서,
    상기 판단부는
    상기 탐지 시간에 포함된 분석 단위 시간 수를 기초로 기준 빈도를 설정하고, 생성 빈도가 상기 기준 빈도 이상인 탐지 대상 세션을 명령제어채널로 탐지하는 내부망공격 탐지장치.
  3. 제1항에서,
    상기 분석부는
    세션 정보에 포함된 출발지 정보와 목적지 정보를 기초로 세션을 식별하고, 식별한 세션을 탐지 대상 세션으로 관리하는 내부망공격 탐지장치.
  4. 제1항에서,
    상기 분석부는
    세션 정보를 기초로 식별한 세션을 필터링하여 상기 탐지 대상 세션을 결정하는 내부망공격 탐지장치.
  5. 제1항에서,
    상기 판단부는
    제1 분석 단위 시간에 제1 탐지 대상 세션이 생성된 경우, 상기 제1 탐지 대상 세션의 생성 빈도를 증가시키는 내부망공격 탐지장치.
  6. 제5항에서,
    상기 판단부는
    상기 제1 탐지 대상 세션의 생성 빈도를 기초로 상기 제1 탐지 대상 세션이 일정 개수 이상의 연속된 분석 단위 시간들에서 연속적으로 생성된 경우, 상기 제1 탐지 대상 세션을 명령제어채널로 탐지하는 내부망공격 탐지장치.
  7. 제1항에서,
    상기 판단부는
    내부망 통신 장치의 활동 시간에 해당하는 분석 단위 시간들로 탐지 시간을 구성하는 내부망공격 탐지장치.
  8. 제1항에서,
    상기 판단부는
    명령제어채널의 세션 정보를 기초로 내부망 공격 명령을 전송하는 외부망 통신장치를 탐지하는 내부망공격 탐지장치.
  9. 내부망공격 탐지장치가 외부망 통신장치에 의한 내부망 공격을 탐지하는 방법으로서,
    내부망 통신장치들과 외부망 통신장치들 사이에 생성되는 세션 정보를 수집하는 단계,
    출발지와 목적지로 세션을 특정하여 탐지 대상 세션을 결정하는 단계, 그리고
    각 탐지 대상 세션이 주기적으로 생성되는지 판단하여, 주기적으로 생성되는 탐지 대상 세션을 명령제어채널을 탐지하는 단계
    를 포함하는 내부망공격 탐지방법.
  10. 제9항에서,
    상기 명령제어채널을 탐지하는 단계는
    각 분석 단위 시간 동안 각 탐지 대상 세션의 생성 여부를 기초로 각 탐지 대상 세션이 주기적으로 생성되는지 판단하는 내부망공격 탐지방법.
  11. 제9항에서,
    상기 명령제어채널을 탐지하는 단계는
    분석 단위 시간을 설정하는 단계,
    각 분석 단위 시간에 수집한 세션 정보를 기초로 각 분석 단위 시간에 생성된 탐지 대상 세션을 추출하는 단계,
    분석 단위 시간들로 구성된 탐지 시간 동안 각 탐지 대상 세션의 생성 빈도를 누적하는 단계, 그리고
    각 탐지 대상 세션의 생성 빈도를 기초로 탐지 대상 세션들 중에서 명령제어채널을 추출하는 단계
    를 포함하는 내부망공격 탐지방법.
  12. 제11항에서,
    상기 명령제어채널을 추출하는 단계는
    상기 탐지 시간에 포함된 분석 단위 시간 수를 기초로 기준 빈도를 설정하고, 생성 빈도가 상기 기준 빈도 이상인 탐지 대상 세션을 명령제어채널로 추출하는 내부망공격 탐지방법.
  13. 제11항에서,
    각 탐지 대상 세션의 생성 빈도를 기초로 분석 단위 시간을 갱신하는 단계
    를 더 포함하는 내부망공격 탐지방법.
  14. 제9항에서,
    상기 탐지 대상 세션을 결정하는 단계는
    세션 정보에 포함된 출발지 정보와 목적지 정보를 기초로 세션을 식별하고, 식별한 세션을 탐지 대상 세션으로 관리하는 내부망공격 탐지방법.
  15. 제9항에서,
    상기 명령제어채널을 추출하는 단계는
    제1 탐지 대상 세션이 일정 갯수의 연속된 분석 단위 시간들에서 연속적으로 생성된 경우, 상기 제1 탐지 대상 세션을 명령제어채널로 탐지하는 내부망공격 탐지방법.
KR1020130084983A 2013-04-23 2013-07-18 내부망공격 탐지장치 및 방법 KR101464367B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20130045028 2013-04-23
KR1020130045028 2013-04-23

Publications (2)

Publication Number Publication Date
KR20140126651A true KR20140126651A (ko) 2014-10-31
KR101464367B1 KR101464367B1 (ko) 2014-11-25

Family

ID=51995858

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130084983A KR101464367B1 (ko) 2013-04-23 2013-07-18 내부망공격 탐지장치 및 방법

Country Status (1)

Country Link
KR (1) KR101464367B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190083178A (ko) * 2018-01-03 2019-07-11 주식회사 윈스 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법
CN111565202A (zh) * 2020-07-15 2020-08-21 腾讯科技(深圳)有限公司 一种内网漏洞攻击防御方法及相关装置
KR102469399B1 (ko) * 2021-09-10 2022-11-21 숭실대학교산학협력단 Can 네트워크의 공격 탐지 시스템, can 네트워크의 공격 탐지 방법 및 can 네트워크의 공격 탐지 방법을 실행시키도록 기록매체에 저장된 컴퓨터 프로그램

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050090640A (ko) * 2004-03-09 2005-09-14 유넷시스템주식회사 유해 트래픽 분석 시스템 및 방법
KR101253615B1 (ko) * 2011-10-31 2013-04-11 한국인터넷진흥원 이동통신망의 보안 시스템

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190083178A (ko) * 2018-01-03 2019-07-11 주식회사 윈스 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법
CN111565202A (zh) * 2020-07-15 2020-08-21 腾讯科技(深圳)有限公司 一种内网漏洞攻击防御方法及相关装置
CN111565202B (zh) * 2020-07-15 2020-10-27 腾讯科技(深圳)有限公司 一种内网漏洞攻击防御方法及相关装置
KR102469399B1 (ko) * 2021-09-10 2022-11-21 숭실대학교산학협력단 Can 네트워크의 공격 탐지 시스템, can 네트워크의 공격 탐지 방법 및 can 네트워크의 공격 탐지 방법을 실행시키도록 기록매체에 저장된 컴퓨터 프로그램

Also Published As

Publication number Publication date
KR101464367B1 (ko) 2014-11-25

Similar Documents

Publication Publication Date Title
Wu et al. An effective architecture and algorithm for detecting worms with various scan techniques
US8046833B2 (en) Intrusion event correlation with network discovery information
US8079080B2 (en) Method, system and computer program product for detecting security threats in a computer network
US9060019B2 (en) Out-of band IP traceback using IP packets
US7562390B1 (en) System and method for ARP anti-spoofing security
US8347383B2 (en) Network monitoring apparatus, network monitoring method, and network monitoring program
KR101424490B1 (ko) 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법
RU2480937C2 (ru) Система и способ уменьшения ложных срабатываний при определении сетевой атаки
CN108270722B (zh) 一种攻击行为检测方法和装置
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
US20040083388A1 (en) Method and apparatus for monitoring data packets in a packet-switched network
EP1454468A1 (en) Heuristic profiler for packet screening
CN111010409A (zh) 加密攻击网络流量检测方法
CN108616488B (zh) 一种攻击的防御方法及防御设备
JP2010198386A (ja) 不正アクセス監視システムおよび不正アクセス監視方法
KR101464367B1 (ko) 내부망공격 탐지장치 및 방법
Affinito et al. The evolution of Mirai botnet scans over a six-year period
Govil et al. Criminology of botnets and their detection and defense methods
CN114006722B (zh) 发现威胁的态势感知验证方法、装置及系统
KR101065800B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
KR20120000942A (ko) 블랙리스트 접근 통계 기반의 봇 감염 호스트 탐지 장치 및 그 탐지 방법
KR100983549B1 (ko) 클라이언트 ddos 방어 시스템 및 그 방법
Zeng Intrusion detection system of ipv6 based on protocol analysis
Wendzel et al. Preventing protocol switching covert channels
JP4661554B2 (ja) 不正アクセス検知方法および装置ならびにプログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20171101

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181114

Year of fee payment: 5