KR20160019397A - 네트워크 통신을 분석하기 위해 메타데이터를 추출 및 보존하기 위한 시스템 및 방법 - Google Patents
네트워크 통신을 분석하기 위해 메타데이터를 추출 및 보존하기 위한 시스템 및 방법 Download PDFInfo
- Publication number
- KR20160019397A KR20160019397A KR1020157025164A KR20157025164A KR20160019397A KR 20160019397 A KR20160019397 A KR 20160019397A KR 1020157025164 A KR1020157025164 A KR 1020157025164A KR 20157025164 A KR20157025164 A KR 20157025164A KR 20160019397 A KR20160019397 A KR 20160019397A
- Authority
- KR
- South Korea
- Prior art keywords
- network
- processor
- packets
- metadata
- session
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
네트워크에 지능형 지속공격을 감지하기 위한 시스템 및 방법이 제공된다. 상기 방법은 네트워크로부터 데이터 패킷을 캡여하는 단계 및 상기 캡쳐된 패킷들에 대해 계층화 세션 디코딩을 수행하는 단계를 포함한다. 메타데이터가 디코딩된 패킷들로부터 추출되고 분석을 위해 저장된다. 메타데이터의 분석은 네트워크 상에 지능형 지속공격을 감지하는데 사용된다. 시스템은 네트워크 및 상기 네트워크에 결합된 프로세서를 포함한다. 프로세서는 네트워크로부터 데이터 패킷을 캡쳐하고 상기 캡쳐된 패킷들에 대해 계층화 세션 디코딩을 수행하도록 구성된다. 메타데이터가 프로세서에 의해 추출되고 프로세서에 결합된 메모리에 저장된다. 그런 후 메타데이터는 네트워크에 지능형 지속공격을 감지하기 위해 분석될 수 있다.
Description
본 출원은 2013년 3월 14일 자로 출원된 동계류중인 미국 가출원 61/784,931의 우선권을 주장하며, 상기 참조문헌은 전체적으로 본 명세서에 참조로 합체되어 있다.
기술분야는 일반적으로 네트워크 통신 및 네트워크 보안 및 포렌식 목적으로 네트워크 통신을 보존하는 것에 관한 것이다.
기관들 내에 및 기관들 간에 네트워크 통신은 다양한 데이터 및 중요 정보를 전송한다. 그러나, 네트워크 통신은 또한 공격자들이 네트워크의 보안구역 내부에 들어가는 주요 방법들 중 하나다. 현대 네트워크 보안기술은 공격자들이 기관 및 개인에 해를 끼치 것을 막기 위한 많은 방법을 이용한다. 이들 중 어느 것도 특히 오늘날 지능형 지속공격(Advanced Persistent Threat, APT) 시대에 완벽하지 않다. 현대의 APT는 매우 특정 타겟들을 목표로 하는데 개발 및 이용될 수 있고 대개 이런 APT는 감지 및 삭제하기가 매우 어려울 수 있다. 네트워크 트래픽을 기록하는 것은 진보된 네트워크 방어에 있어 공통된 방법들 중 하나다. 이는 보안 카메라와 유사하며, 공격의 감지에 최적화되진 않지만, 제거단계에 아주 유용하며, 근본 원인 및 감염된 네트워크 노드들을 결정하기 위한 목적으로 트래픽의 공격-관련된 서브세트의 면밀한 조사를 허용한다.
네트워크 트래픽은 언제나 증가하고 있고 종래 네트워크 기록방법에 문제를 발생한다. 때로 기관을 완전히 침투하는 방법들을 취하는 APT에 대해, 네트워크 데이터 저장장치에 대한 대표적인 요건은 적어도 6개월이다. 대기업의 경우, 최종 데이터 발생 량을 수집 및 저장하는 것이 대개 불가능하거나 실행하지 못 할 수 있다. APT 감염이 발생하더라도, 이 공격에 의해 야기된 트래픽은 공격을 조사하기 위해 기업이 저장하도록 강제되는 데이터량에 비해 사소하다.
본 발명은 모든 중요한 정보를 원래대로 보존하면서 저장되는데 필요한 데이터량을 크게 줄이게 하는 방법을 제공한다. 더욱이, 본 발명의 다른 바람직한 특징 및 특색은 첨부도면과 상술한 기술분야 및 배경과 결부해 연이은 상세한 설명과 특허청구범위로부터 명백해진다.
네트워크에 대한 지능형 지속공격 감지방법이 제공된다. 상기 방법은 네트워크로부터 데이터 패킷을 캡쳐하는 단계 및 상기 캡쳐된 패킷에 따라 계층화 세션을 수행하는 단계를 포함한다.
메타데이터는 디코딩 패킷으로부터 추출되고 분석을 위해 저장된다. 메타데이터의 분석은 네트워크 상에 지능형 지속공격을 감지하는데 사용된다.
네트워크에 대한 지능형 지속공격 감지 시스템이 제공된다. 상기 시스템은 네트워크 및 상기 네트워크에 결합된 프로세서를 포함한다. 프로세서는 네트워크로부터 데이터 패킷을 캡쳐하고 캡쳐된 패킷에 대한 계층화 세션 디코딩을 수행하도록 구성된다. 메타데이터는 프로세서에 의해 추출되고 상기 프로세서에 결합된 메모리에 저장된다. 메타데이터는 그런 후 네트워크 상에 지능형 지속공격을 감지하기 위해 분석될 수 있다.
본 발명의 내용에 포함됨.
하기의 도면과 결부해 아래에 본 발명을 설명할 것이며, 동일한 참조부호는 동일한 소자를 나타낸다.
도 1은 예시적인 실시예에 따른 네트워크 통신을 보존하기 위한 시스템의 간략한 블록도이다.
도 2는 예시적인 실시예에 따른 캡쳐링 프로세스를 도시한 것이다.
도 3은 예시적인 실시예에 따른 패킷 프로세싱을 도시한 것이다.
도 4는 예시적인 실시예에 따른 세션 리어셈블리를 도시한 것이다.
도 5는 예시적인 실시예에 따른 계층화 세션 디코딩을 도시한 것이다.
도 6은 예시적인 실시예에 따른 메타데이터 추출 및 저장을 도시한 것이다.
도 1은 예시적인 실시예에 따른 네트워크 통신을 보존하기 위한 시스템의 간략한 블록도이다.
도 2는 예시적인 실시예에 따른 캡쳐링 프로세스를 도시한 것이다.
도 3은 예시적인 실시예에 따른 패킷 프로세싱을 도시한 것이다.
도 4는 예시적인 실시예에 따른 세션 리어셈블리를 도시한 것이다.
도 5는 예시적인 실시예에 따른 계층화 세션 디코딩을 도시한 것이다.
도 6은 예시적인 실시예에 따른 메타데이터 추출 및 저장을 도시한 것이다.
하기의 상세한 설명은 단지 사실상 예시이며 개시 또는 사용의 주제를 제한하기 위한 것이 아니다. 더욱이, 선행 기술분야, 배경, 간략한 요약 또는 하기의 상세한 설명에 나타난 임의의 표현되거나 포함된 이론에 의해 속박되게 하려는 의도가 전혀 없다.
본 문서에서, 제 1 및 제 2 등과 같은 관련 용어들은 한 엔티티 또는 동작을 이런 엔티티 또는 동작 간에 어떤 이런 관계 또는 순서를 반드시 필요로 하거나 내포하지 않는 또 다른 엔티티 또는 동작과 식별하기 위해서 단지 사용될 수 있다. "제 1", "제 2", "제 3" 등과 같은 숫자 순서는 단순히 복수 중에 다른 단수를 나타내며 일반적으로 특허청구범위 용어로 정의되지 않는 한 임의의 다른 순서 또는 시퀀스를 내포하지 않는다.
추가로, 하기의 설명은 함께 "연결된" 또는 "결합된" 소자 또는 특징들을 의미한다. 본 명세서에 사용된 바와 같이, "연결된"은 간략히 또 다른 소자/피처에 직접 연결되는(또는 직접 통신하는), 그러나 반드시 기계적인 것이 아닌 한 소자/피처를 말할 수 있다. 마찬가지로, "결합된"은 또 다른 소자/피처에 직간접적으로 연결되는(또는 직간접적으로 통신하는), 그러나 반드시 기계적인 것이 아닌 한 소자/피처를 말할 수 있다. 그러나, 두 소자들이, 일실시예에서 "연결된" 것으로서 아래에 기술될 수 있으나, 다른 실시예에서 유사한 소자들은 "결합될" 수 있고, 그 반대의 경우도 가능할 수 있음을 알아야 한다. 따라서, 본 명세서에 도시된 개략도는 소자들의 예시적인 배열을 나타내나, 추가 개입 소자, 장치, 피처 또는 구성요소들이 실제 실시예에 나타날 수 있다.
몇몇 실시예 및 구현은 기능 및/또는 논리블록 구성요소들과 다양한 처리단계들 면에서 상술되어 있다. 그러나, 이런 블록 구성요소들은 특정 기능을 수행하도록 구성된 임의의 개수의 하드웨어, 소프트웨어, 및/또는 펌웨어 구성요소들에 의해 구현될 수 있음을 알아야 한다. 예컨대, 시스템 또는 구성요소의 실시예는 하나 이상의 마이크로프로세서 또는 다른 제어장치의 제어하에 다양한 기능들을 수행할 수 있는 다양한 집적회로 구성요소들, 가령, 메모리 소자, 디지털 신호처리소자, 논리소자, 룩업테이블 등을 이용할 수 있다. 또한, 당업자는 본 명세서에 기술된 실시예들은 단지 예시적인 구현임을 알 것이다.
마지막으로, 간략히 하기 위해, 종래 기술 및 보안 정보와 관련된 구성요소들과 시스템의 임의의 기능적 태양들(및 시스템의 개개의 동작 구성요소들)은 본 명세서에 상세히 설명하지 않을 것이다. 더욱이, 본 명세서에 포함된 다양한 도면들에 도시된 연결선들은 다양한 소자들 간에 예시적인 기능적 관계 및/또는 물리적 결합을 나타내기 위한 것이다. 많은 대안 또는 추가 기능적 관계 또는 물리적 연결이 본 발명의 실시예에 나타날 수 있음에 주목해야 한다. 도 1-6은 단지 예이며 비율에 따라 작도될 수 없음을 또한 알아야 한다.
지난 수년에 걸쳐, 기관들은 네트워크를 보호하기 위한 시도로 상당한 부분의 자동화 네트워크 어플라이언스들을 쌓아왔다. 동시에, 성공적인 APT 공격량이 꾸준히 증가하고 있다. 가능한 한 많은 네트워크 보안 판매자들이 APT 감지용 자동화 방법을 만들기 위해 시도하고 있어서 여기에서는 모순이 없으나, 이들은 기본적으로 이미 노출되고 조사된 공격벡터 및 방법들만을 다룰 수 있다. 다른 한편으로, APT 공격 뒤의 개인들은 선도자의 모든 전략적 이점들을 갖는다.
공격이 성공한 후, 직접 행동 또는 부작용에 의해 조만간 노출될 것이다. 방어자의 목표는 반응시간, 즉, 걸리는 시간을 최소화하는 것이다:
감염을 완화시키기;
감염이 반복되지 않게 대항조치를 찾기;
손상을 복구하기.
단계 a) 및 b)는 대개 고도로 훈련된 전문가로부터 상당한 노력을 필요로 한다. 실전은 기존 트래픽의 기록은 APT 행동을 조사하는데 필요한 시간을 크게 줄일 수 있음을 보인다. 상술한 바와 같이, 대표적으로 기존 자동화 시스템으로부터 부분적 기록은 충분치 않다; APT가 네트워크를 감염시킨 이유는 기존 어플라이언스들이 첫번째 장소에서 이를 감지하지 못했기 때문이다.
상기는 네트워크 감염을 신속히 효율적으로 조사하기 위해, APT가 네트워크 상에서 활성화되기 때문에 네트워크 상에 발생한 모든 트래픽은 초기 평가가 필요한 것을 의미한다. APT의 초기 "잠복" 주기가 몇 달 또는 심지어 몇 년이 걸릴 수 있다고 가정하면, 이 요건은 대부분의 기관들에 상당한 부담을 야기한다. 인간 전문가들은 조사 및 완화시에만 고용될 수 있으나, 전체 네트워크 기록 능력은 구내에 늘 동작가능해야 한다.
무차별 대입 접근시 기록되고 색인되는 게 필요한 데이터량은 엄청나다. 순수한 기술적 문제 이외에, 그 자체로 또는 자연히 추가적 보안 및 프라이버시 문제를 야기한다. 모든 트래픽이 대용량 디스크 어레이에 편리하게 저장된다면, 공격자의 타겟은 이 저장장치에 침입해 거기서 데이터를 훔치는 것이다.
다시 말하면, 전문가들이 현재 네트워크 보안 경향에서 보는 것은 충분한 증거 없는 저장에서 모든 것을 저장(즉, 오버액팅 및 너무 많은 데이터 저장)하는 것으로 이동이 있다는 것이다.
개시된 방법은 저장장치를 관리할 수 있으면서 들어온 포렌식/응답 효율을 크게 향상시키기 위해 상당한 양의 네트워크 메타데이터를 저장한다. 최대 성능을 달성하기 위해, 모든 필요한 프로세싱, 데이터 압축, 및 중간 데이터 저장장치로서 하드 디스크를 이용하지 않고 메모리에 메타데이터를 추출하는 것이 중요하다. 인덱스형 데이터베이스 형태의 디스크들도 또한 인덱스형 네트워크 메타데이터의 최종 저장장치에만 사용되어야 한다.
본 발명의 일실시예는 상당한 재정 및 저장장치 자원들을 이용하고 추가 보안 및 프라이버스 위험을 야기하지 않으며 가능한 한 효율적으로 감염후 조사를 하도록 충분한 네트워크 메타데이터를 저장하는 구성가능한 방법을 제공한다.
상기 방법은 완전한 클라이언트-서버 보존 스트림을 리어셈블리하고, 디코더 및/또는 디컴프레셔를 적용하고/하거나 하나 이상의 컨텐츠 스캐너를 이용해 발생한 데이터를 분석할 수 있다. 상기 방법은 또한 개개의 네트워크 패킷들을 다루는 딥 패킷 감염을 선택적으로 수행할 수 있다. 상기 방법은 가령, 공통 압축, 집계(aggregation), 파일 포맷 및/또는 인코딩 방식을 "필오프(peel off)"할 수 있는 하나 이상의 컨텐츠 디코딩 계층들을 더 제공할 수 있고, 프로세싱 및 메타데이터 수집에 적합한 형태로 실제 컨텐츠를 추출할 수 있다. 또한, 디코더는 가령, IPv6 터널 또는 이메일 첨부와 같은 히든 트랜스포트 방식을 밝힐 수 있다. 상기 방법은 (가령, 10Gbps 네트워크를 포함한) 실시간 네트워크 트래픽으로 동작할 수 있고, 가령, 교차참조 조사를 위한 하나의 최종 데이터베이스에 다수의 네트워크 메타데이터 스트림들의 수집을 허용할 수 있다. 상기 방법은 또한 미가공 트래픽의 특별한 요소들에 대한 인덱스 액세스를 제공하기 위해 다음의 완전한 및 부분적 풀패킷 캡쳐 방안에 이용될 수 있다
상기 방법은 가령, 기성품 리눅스 운영시스템("OS") 및 인텔기반의 하드웨어에 설치될 수 있고, 상기 어플라이언스가 독립형 네트워크 어플라이언스로서 기능하게 할 수 있다. 상기 방법은 또한 패킷 캡쳐를 위해 하나 이상의 네트워크 인터페이스 카드("NIC")를 이용할 수 있다. 상기 방법은 또한 가령 이메일 및 HTTP 프록시 서버와 같이 다른 정보소스들에 연결될 수 있다. 상기 방법의 다수의 예들은 또한 어플라이언스에 실행될 수 있다.
가령, 64비트 인텔 CPU를 갖는 PC 하드웨어 상에 실행되는 임의의 리눅스에 설치되는 상기 방법으로 기계판독가능매체(가령, CD)가 프로그램될 수 있다.
도 1은 본 발명에 따른 시스템의 일실시예를 도시한 것이다. 알 수 있는 바와 같이, 시스템(100)은 다수의 모듈을 포함한다. 본 발명의 기본적인 실시예에 따르면, 패킷은 네트워크로부터 캡쳐된다(102). 패킷타입이 결정되고(104) 패킷이 블록(106)에서 디코딩된다. 시스템은 다양한 응용들, 가령, TCP/IP 및 UDP 데이터 교환기의 컨텐츠를 포함한 네트워크 트래픽의 모든 계층들에 액세스하기에 적합할 수 있다. 패킷 타입 정보와 디코딩된 패킷들이 세션 리어셈블리를 위해 블록(108)으로 전송된다. 다음, 계층화 세션 디코딩이 블록(110)에서 수행된다. 블록(110)은 SMTP 메일 허브, 또는 웹 프록시 서버로부터 캡쳐된(112) 데이터를 수용할 수 있다. 메타데이터는 계층화 세션 디코딩 정보와 계층화 패킷 디코딩 정보를 이용한 구성 프로파일(116)에 따라 블록(114)에서 추출된다. 이 메타데이터는 상기 메타데이터를 저장하기 위해 데이터베이스(120)에 결합된 메타데이터 수신기(118)를 통해 수집된다. 저장된 메타데이터는 그래픽 사용자 인터페이스(122)를 통해 분석될 수 있다. 운영자는 네트워크에 대한 지능형 지속공격을 감지하기 위해 수동으로 또는 다양한 자동화 프로세스(124)의 보조로 메타데이터를 분석할 수 있다.
시스템(100)은 모든 네트워크 교환을 깊이 파고 진행중인 동안 또는 오프-라인 소스로부터 애플리케이션 프로파일과 파일 포맷들을 디코딩한다. 통상적으로, 디코딩을 마쳤을 때 데이터 그 자체의 컨텐츠는 대개 폐기된다. 디스크 I/O 운영 없이 이 모든 것을 행한 인메모리가 전체 메타데이터 추출단계 동안 포함된다. 시스템(100)은 대표적으로 각 네트워크 교환에 대한 메타데이터 정보를 저장한다(120). IP 어드레스 및 포트와 같은 공통세션속성들 이외에, 시스템은 사용자 구성에 명시된 바와 같이 사용된 모든 애플리케이션 프로토콜, 사용된다면 IP 터널링, 사용자명, 파일명, HTTP 레퍼러(HTTP referrer) 및 요청 URLS, 서버 복구 코드 등을 추출할 수 있다. DNS와 같은 논세션 기반의 프로토콜은 패킷당 기초로 디코딩되고 메타데이터는 세션기반의 프로토콜과 유사한 저장장치에 전송된다.
대표적인 네트워크 트래픽은 장기 세션 및 파일 전송으로 구성되므로, 실제 컨텐츠 없이 세션당 메타데이터 저장장치는 적어도 1/100 압축비 대 미가공 네트워크 트래픽을 구성하고, 주로 풀 데이터 저장장치와 관련된 순응 요건들 이외에 보안 및 프라이버시 위험을 크게 줄인다. 다른 한편으로, 세션 그 자체에 대한 많은 정보를 저장하는 것은 훈련된 네트워크 포렌식 전문가에게 모든 진행단계들에서 네트워크 공격을 조사하는데 필요한 모든 것을 제공한다.
프로세싱 단계는 다음과 같다:
1) 미가공 네트워크 트래픽을 캡쳐한다;
2) 옵션으로 선택적으로 패킷을 디코딩한다(IPv6 터널, DNS, 등);
3) 옵션으로 TCP 및 UDP 프로토콜로부터 세션을 리어셈블리한다;
4) 계층화 세션 디코딩을 수행한다;
5) 구성에 따라 세션 메타데이터를 추출한다.
도 2는 예시적인 실시예에 따른 캡쳐 프로세스를 도시한 것이다. 이 단계의 목적은 시스템 내부에 균일한 데이터 표현을 제공하기 위한 목적과 더불어 라이브 및 오프-라인 데이터 소스들로 다양한 인터페이스를 이행하는 것이다.
다른 캡쳐 모듈들은 네트워크 트래픽의 소스에 따라 이행될 수 있다. 가장 공통적인 소스들은 Network Switch Span 포트(200) 또는 네트워크 탭(202); HTTP Proxy 어플라이언스(204)로부터 ICAP 연결을 통해 들어온 HTTP 트래픽 및 SMTP 메일 허브(206) 실행을 통해 들어온 SMTP 트래픽이다.
하나 이상의 캡쳐방법은 동일한 인메모리 처리 시스템에 사용될 수 있다. 특정 네트워크 교환 프로토콜 및 오프-라인 저장장치 포맷에 대해 추가 캡쳐 모듈도 또한 장래에 이행될 수 있다.
옵션의 선택적 패킷 디코딩
도 3은 예시적인 실시예에 따른 패킷 처리를 도시한 것이다. 소정의 매우 중요한 전송은 포렌식 조사를 위해 의미있는 세션들로 어셈블리하기 위한 시도들이 행해지기 전에 패킷 수준으로 분석될 필요가 있다. 예컨대, IPv6는 네트워크 전송을 혼란시키기 위해 APT에 의해 종종 사용되고 있다. 몇몇 네트워크 교환은 세션이 없고, 이와 같이 처리되어야 한다. 이것의 대표적인 예는 DNS 프로토콜이다. APT와 멀웨어(malware)의 소정의 부류들은 초기 감염 후 추가 소프트웨어를 다운로드하기 위한 DNS에 의존한다. 따라서, 블록(300)은 특별한 프로세싱이 요구되는지 판단한다. 그렇지 않으면, 패킷은 바로 세션 어셈블리(108)로 보내진다. 그러나, 특별한 프로세싱이 요구되면, 계층화 패킷 디코딩 동작(106)이 사용되고 블록(302)은 IP 터널이 세션 메타데이터 추출(114)을 위해 터널 정보를 추가하는데 이용되었는지 판단하고, 그런 후 패킷을 세션 리어셈블리(108)로 보낸다.
시스템은 직접 DNS 요청으로부터 중요한 데이터를 추출하고 IPv6 터널을 감지 및 디코딩함으로써 이들 요건들을 수용한다. 명백히 이런 타입의 프로세싱은 HTTP 또는 SMTP와 같은 세션지향 데이터 교환을 위해 행해질 수 없다.
TCP 및 UDP 프로토콜로부터 옵션적 세션 리어셈블리
도 4는 예시적인 실시예에 따른 세션 리어셈블리(108)를 도시한 것이다. 시스템이 미가공 네트워크 패킷들(400)을 캡쳐하면, 직접적으로 네트워크로부터 또는 오프라인 저장장치로부터든지 간에, 싱규럴 패킷들의 스트림을 공통 특징들을 피처링한 논리 세션에 컴파일하여 저장되는 게 필요한 유사한 정보의 양을 최소화한다. 예컨대, 네트워크 세션이 FTP를 통해 TCP/IP 파일 전송에 1.5KB가 각각 정해진 100 패킷들로 구성되면, 결과적으로 추출된 정보는 소스와 목적지 IP 어드레스 및 포트, 세션의 총 길이, 사용된 사용자명/패스워드, 파일명, 타입 및 길이. 날짜와 시간으로 구성된다. 이들 특징들은 세션에 연루된 모든 패킷들에 공통이며, 패이로드로 모든 미가공 패킷들을 기록하는 것에 비해 정보를 상당히 압축하게 한다.
시스템은 모든 현재 네트워크 스트림의 트랙을 유지하고 다른 컨텐츠 디코딩 및 메타데이터추출을 위해 패이로드와 함께 네트워크로부터 싱규럴 패킷들을 해당 스트림들에 추가하는 TCP/IP 리어셈블리 모듈을 사용한다. 모든 이런 프로세싱은 라이브 네트워크 속도로 수행될 수 있도록 메모리에 행해질 수 있다. 모듈은 저장된 패킷스트림으로 혼잡모드 또는 PCAP 파일의 네트워크 인터페이스를 각각 표현하는 하나 이상의 입력 큐들로부터 하나씩 패킷들을 처리하고, 디스크립터에 의해 표현된 적절한 네트워크 스트림과 메모리에 있는 데이터 영역을 찾고, 상기 패킷으로부터 데이터를 추출하며, 이를 메모리 데이터(402) 오프세트에 넣고 이에 따라 스트림 디스크립터를 업데이트한다. 세션 스트림은 메모리(404)에 저장된다. 모듈은 또한 가령, 특별히 포맷된 네트워크 패킷들 또는 스트림 조건, 일반적으로 예컨대, 타임아웃을 처리하는 것을 기초로 특별한 네트워크 스트림이 클로즈된 것을 결정할 수 있다. 이 경우, TCP/UDP 리어셈블리 모듈은 스트림과 데이터가 완전히 디코딩되고 메모리로부터 이를 제거하는 것을 보장한다. 데이터는 스트레이 패킷들 및 가령 늦게 도달하고 무질서한 TCP 재전송은 TCP RFC 상태에 따라 이와 같이 적절히 인식되는 것에 유의하며 세션 디스크립터 전에 삭제될 수 있다. 메모리내 스트림 데이터는 대표적인 디스크 파일 시스템과 유사한 정해진 크기의 하나 이상의 링크된 메모리 "청크들"로 구성된다. 전송이 진행됨에 따라 데이터 스트림에 대한 새로운 청크들이 할당된다.
계층화 세션 디코딩
도 5는 예시적인 실시예에 따른 계층화 세션 디코딩(106)을 도시한 것이다. 매우 원초적인 초기 메타데이터가 패킷 정보(IP 어드레스, TCP 및 UDP 포트 등)로부터 즉시 이용가능하나, 메타데이터가 전송되는 모든 데이터로부터 추출될 때, 특히, (도 1에 도시된 바와 같이) 이전 모듈(세션 리어셈블리(108)) 또는 세션 캡쳐모듈(112)이 분석을 위해 특별한 세션에 대한 참조를 전송하도록 결정할 때, 이것의 이점이 제공된다. 메인 디코더 루프 핸들러는 세션 디스크립터와 데이터 스트림을 관련시키고 일련의 디코더들을 루프에 배치한다. 디코더들 중 어느 것도 데이터를 더 이상 인식할 수 없을 때까지 디코딩 루프가 발생한다. 이 이벤트는 디코딩 루프의 종료를 촉발한다. 주로 내부 데이터 표현 차이로 인해 APT(Application Protocol Decoders)(500)와 포맷 디코더(502) 간에 논리적 분리가 있다. 프로토콜 디코더(500)는 통신을 적절히 처리하기 위해 클라이언트와 서버 스트림을 동시에 분석할 수 있다. 포맷 디코더(502)는 대표적으로 프로토콜 디코더(500)에 의해 클라이언트-서버 통신으로부터 추출된 싱글 버퍼들을 다룬다. 이런 루프 구조는 모든 데이터가 가령 이중 압축되었더라도 적절히 디코딩될 것을 보장한다.
각 디코딩 싸이클은 프로토콜 또는 포맷, 세션 디스크립션에 추가된 특정 메타데이터를 생산한다. 최상의 성능을 용이하게 하기 위해 모든 프로세싱이 메모리에 행해질 수 있다.
구성에 따른 세션 메타데이터를 추출
도 6은 예시적인 실시예에 따른 메타데이터 추출 및 저장장치를 도시한 것이다. 도시된 바와 같이 다수의 센서들(600)을 이용해 메타데이터가 추출될 수 있다. 이전 단계에서 수집된 메타데이터는 사용자 제공 구성에 일치되어 진다. 사용자가 관심있는 엔트리(가령, 전체 HTTP 헤더가 아니라 포맷명, 파일명 및 사용자명)는 키값 쌍들로 변환되어 지고 저장장치용 데이터베이스에 전송된다.
데이터베이스(120)는 로컬 또는 원격일 수 있다. 원격 데이터베이스의 경우, 개인 프로토콜을 통한 SSL 암호화가 안전하고 신뢰할 수 있고 목적지로 데이터를 전송하도록 이용된다.
하나 이상의 메타데이터 수집시스템(602)은 동일한 데이터베이스(120)에서 처리의 결과를 저장하며 네트워크에 이용될 수 있다. 유효한 100:1(이상) 압축으로 인해, 시스템은 다대일 구성, 즉, 중앙집중식 저장장치 및 상관관계를 위해 동일한 데이터베이스로 네트워크 메타데이터를 전송하는 다수의 컬렉터들로 성공적으로 고속 네트워크에 이용될 수 있다.
적어도 하나의 예시적인 실시예가 상기 상세한 설명에 나타나 있으나, 매우 많은 변형들이 있을 알아야 한다. 예시적인 실시예 또는 예시적인 실시예들은 단지 예들이며 본원의 범위, 적용능력 또는 구성을 어떤 식으로든 제한하도록 의도되어 있지 않음을 알아야 한다. 오히려, 상기 상세한 설명은 예시적인 실시예 또는 예시적인 실시예들을 구현하기 위한 편리한 로드맵을 당업자에 제공할 것이다. 본 명세서에 나타낸 바와 같이 본원의 범위로부터 벗어남이 없이 소자들의 기능 및 수단으로 다양한 변경들이 이루어질 수 있음을 알아야 한다.
Claims (20)
- 캡쳐된 패킷들을 제공하기 위해 프로세서를 통해 네트워크로부터 데이터 패킷을 캡쳐하는 단계;
디코딩된 패킷들을 제공하기 위해 캡쳐된 패킷들에 계층화 세션 디코딩을 수행하는 단계;
디코딩된 패킷들로부터 메타데이터를 추출하는 단계;
메타데이터를 저장하는 단계; 및
네트워크 상에 지능형 지속공격을 감지하기 위해 상기 메타데이터를 분석하는 단계를 포함하는 방법. - 제 1 항에 있어서,
캡쳐된 패킷들에 대한 패킷 타입을 프로세서가 결정하는 단계를 더 포함하는 방법. - 제 1 항에 있어서,
디코딩된 패킷들로부터 세션을 프로세서가 리어셈블리하는 단계를 더 포함하는 방법. - 제 1 항에 있어서,
네트워크 프록시 서버로부터 데이터를 프로세서가 캡쳐하는 단계를 더 포함하는 방법. - 제 1 항에 있어서,
SMTP 허브로부터 데이터를 프로세서가 캡쳐하는 단계를 더 포함하는 방법. - 제 1 항에 있어서,
구성에 따라 메타데이터를 프로세서가 추출하는 단계를 더 포함하는 방법. - 제 1 항에 있어서,
계층화 세션 디코딩을 수행할 경우 애플리케이션 프로토콜 디코더를 프로세서가 이용하는 단계를 더 포함하는 방법. - 제 1 항에 있어서,
계층화 세션 디코딩을 수행할 경우 포맷 디코더를 프로세서가 이용하는 단계를 더 포함하는 방법. - 네트워크;
네트워크에 결합되고, 상기 네트워크로부터의 데이터 패킷을 캡쳐해 캡쳐된 패킷들을 제공하며, 상기 캡쳐된 패킷들에 대한 계층화 세션 디코딩을 수행해 디코딩된 패킷들을 제공하고, 상기 디코딩된 패킷들로부터 메타데이터를 추출하도록 구성된 프로세서; 및
메타데이터를 저장하기 위해 프로세서에 연결된 메모리를 구비하고,
상기 메타데이터는 네트워크 상에 지능형 지속공격을 감지하기 위해 분석될 수 있는 시스템. - 제 9 항에 있어서,
프로세서는 캡쳐된 패킷들에 대한 패킷 타입을 결정하도록 더 구성되는 시스템. - 제 9 항에 있어서,
프로세서는 디코딩된 패킷들로부터 세션을 리어셈블리하도록 더 구성되는 시스템. - 제 9 항에 있어서,
프로세서는 네트워크의 네트워크 프록시 서버로부터 데이터를 캡쳐하도록 더 구성되는 시스템. - 제 9 항에 있어서,
프로세서는 네트워크의 SMTP 허브로부터 데이터를 캡쳐하도록 더 구성되는 시스템. - 제 9 항에 있어서,
프로세서가 구성에 따라 메타데이터를 추출하는 것을 더 포함하는 시스템. - 제 9 항에 있어서,
계층화 세션 디코딩을 수행하기 위한 애플리케이션 프로토콜 디코더를 더 구비하는 시스템. - 제 9 항에 있어서,
계층화 세션 디코딩을 수행하기 위한 포맷 디코더를 더 구비하는 시스템. - 프로세서를 통해 네트워크로부터 데이터 패킷을 캡쳐해 캡쳐된 패킷들을 제공하고, 상기 캡쳐된 패킷들에 대해 계층화 세션 디코딩을 수행해 디코딩된 패킷들을 제공하며, 상기 디코딩된 패킷들로부터 메타데이터를 추출하고, 상기 메타데이터를 분석해 네트워크에 대한 지능형 지속공격을 감지하도록 구성된 지능형 지속공격 감지 프로그램을 포함하는 컴퓨터 프로그램 제품을 구현하는 비일시적 컴퓨터 판독가능 매체.
- 제 17 항에 있어서,
지능형 지속공격 감지 프로그램은 캡쳐된 패킷들에 대한 패킷 타입을 판단하도록 더 구성되는 컴퓨터 프로그램 제품을 구현하는 비일시적 컴퓨터 판독가능 매체. - 제 17 항에 있어서,
지능형 지속공격 감지 프로그램은 디코딩된 패킷들로부터 세션을 리어셈블리하도록 더 구성되는 컴퓨터 프로그램 제품을 구현하는 비일시적 컴퓨터 판독가능 매체. - 제 17 항에 있어서,
지능형 지속공격 감지 프로그램은 구성에 따라 메타데이터를 추출하도록 더 구성되는 컴퓨터 프로그램 제품을 구현하는 비일시적 컴퓨터 판독가능 매체.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201361784931P | 2013-03-14 | 2013-03-14 | |
| US61/784,931 | 2013-03-14 | ||
| PCT/US2014/029426 WO2014153176A1 (en) | 2013-03-14 | 2014-03-14 | System and method for extracting and preserving metadata for analyzing network communications |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20160019397A true KR20160019397A (ko) | 2016-02-19 |
Family
ID=51581439
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020157025164A KR20160019397A (ko) | 2013-03-14 | 2014-03-14 | 네트워크 통신을 분석하기 위해 메타데이터를 추출 및 보존하기 위한 시스템 및 방법 |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US9961095B2 (ko) |
| EP (1) | EP2974144B1 (ko) |
| JP (1) | JP2016513944A (ko) |
| KR (1) | KR20160019397A (ko) |
| CN (1) | CN105103496A (ko) |
| AU (1) | AU2014236179A1 (ko) |
| CA (1) | CA2903262A1 (ko) |
| HK (1) | HK1219006A1 (ko) |
| IL (1) | IL241457B (ko) |
| MX (1) | MX2015010770A (ko) |
| SG (1) | SG11201506938PA (ko) |
| WO (1) | WO2014153176A1 (ko) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20190062115A (ko) * | 2017-11-27 | 2019-06-05 | (주) 시스메이트 | 암호화 트래픽의 네트워크 포렌식 서비스 제공을 위한 icap 프로토콜 확장 방법과 이를 지원하는 네트워크 포렌식 장치 및 웹 프락시 |
| KR20220167034A (ko) * | 2021-06-11 | 2022-12-20 | 주식회사 시큐다임 | 정보 유출 모니터링 서버 및 방법 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10334085B2 (en) * | 2015-01-29 | 2019-06-25 | Splunk Inc. | Facilitating custom content extraction from network packets |
| US10425447B2 (en) * | 2015-08-28 | 2019-09-24 | International Business Machines Corporation | Incident response bus for data security incidents |
| FI127335B (en) * | 2016-05-27 | 2018-04-13 | Cysec Ice Wall Oy | Logging of telecommunications on a computer network |
| CN108632224B (zh) * | 2017-03-23 | 2022-03-15 | 中兴通讯股份有限公司 | 一种apt攻击检测方法和装置 |
| DE102017208735A1 (de) | 2017-05-23 | 2018-11-29 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zum Schutz einer Kommunikation zwischen mindestens einer ersten Kommunikationseinrichtung und wenigstens einer zweiten Kommunikationseinrichtung insbesondere innerhalb eines Kommunikationsnetzwerkes einer industriellen Fertigung und/oder Automatisierung |
| US10630642B2 (en) | 2017-10-06 | 2020-04-21 | Stealthpath, Inc. | Methods for internet communication security |
| US10375019B2 (en) | 2017-10-06 | 2019-08-06 | Stealthpath, Inc. | Methods for internet communication security |
| US10361859B2 (en) | 2017-10-06 | 2019-07-23 | Stealthpath, Inc. | Methods for internet communication security |
| US10367811B2 (en) | 2017-10-06 | 2019-07-30 | Stealthpath, Inc. | Methods for internet communication security |
| US10397186B2 (en) | 2017-10-06 | 2019-08-27 | Stealthpath, Inc. | Methods for internet communication security |
| US10374803B2 (en) | 2017-10-06 | 2019-08-06 | Stealthpath, Inc. | Methods for internet communication security |
| EP3869370B1 (en) * | 2018-10-17 | 2022-11-30 | Panasonic Intellectual Property Corporation of America | Threat analysis apparatus, threat analysis method, and program |
| CN108965349A (zh) * | 2018-10-19 | 2018-12-07 | 周红梅 | 一种监测高级持续性网络攻击的方法和系统 |
| KR102080478B1 (ko) * | 2019-06-20 | 2020-02-24 | 주식회사 쿼드마이너 | 패턴 기반 색인 처리 시스템 및 이를 이용한 패턴 기반 색인 처리 방법 |
| KR102080477B1 (ko) * | 2019-06-20 | 2020-02-24 | 주식회사 쿼드마이너 | 고성능 패킷 스트림 저장 시스템 및 이를 이용한 고성능 패킷 스트림 저장 방법 |
| WO2020256210A1 (ko) * | 2019-06-20 | 2020-12-24 | 주식회사 쿼드마이너 | 네트워크 포렌식 시스템 및 이를 이용한 네트워크 포렌식 방법 |
| KR102080479B1 (ko) * | 2019-06-20 | 2020-02-24 | 주식회사 쿼드마이너 | 시나리오 중심 실시간 공격 감지 시스템 및 이를 이용한 시나리오 중심 실시간 공격 감지 방법 |
| US11558423B2 (en) | 2019-09-27 | 2023-01-17 | Stealthpath, Inc. | Methods for zero trust security with high quality of service |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7315891B2 (en) | 2000-01-12 | 2008-01-01 | Vericept Corporation | Employee internet management device |
| US20110214157A1 (en) * | 2000-09-25 | 2011-09-01 | Yevgeny Korsunsky | Securing a network with data flow processing |
| US9525696B2 (en) * | 2000-09-25 | 2016-12-20 | Blue Coat Systems, Inc. | Systems and methods for processing data flows |
| US7783765B2 (en) | 2001-12-12 | 2010-08-24 | Hildebrand Hal S | System and method for providing distributed access control to secured documents |
| US7260555B2 (en) | 2001-12-12 | 2007-08-21 | Guardian Data Storage, Llc | Method and architecture for providing pervasive security to digital assets |
| JP2003242267A (ja) | 2002-02-15 | 2003-08-29 | Fujitsu Ltd | プロフィール情報公開方法及びプロフィール情報公開プログラム |
| AU2003276869A1 (en) | 2002-09-09 | 2004-03-29 | Netrake Corporation | System for allowing network traffic through firewalls |
| US7454499B2 (en) | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
| JPWO2005006191A1 (ja) | 2003-07-10 | 2006-08-24 | 富士通株式会社 | 複数種類の情報を登録する装置および方法 |
| US7463590B2 (en) * | 2003-07-25 | 2008-12-09 | Reflex Security, Inc. | System and method for threat detection and response |
| US7515717B2 (en) | 2003-07-31 | 2009-04-07 | International Business Machines Corporation | Security containers for document components |
| US7467202B2 (en) * | 2003-09-10 | 2008-12-16 | Fidelis Security Systems | High-performance network content analysis platform |
| US8112800B1 (en) | 2007-11-08 | 2012-02-07 | Juniper Networks, Inc. | Multi-layered application classification and decoding |
| US20090290492A1 (en) * | 2008-05-23 | 2009-11-26 | Matthew Scott Wood | Method and apparatus to index network traffic meta-data |
| US8838819B2 (en) * | 2009-04-17 | 2014-09-16 | Empirix Inc. | Method for embedding meta-commands in normal network packets |
| CN101599963B (zh) * | 2009-06-10 | 2012-07-04 | 电子科技大学 | 网络疑似威胁信息筛选器及筛选处理方法 |
| WO2013055807A1 (en) * | 2011-10-10 | 2013-04-18 | Global Dataguard, Inc | Detecting emergent behavior in communications networks |
| CN102594625B (zh) * | 2012-03-07 | 2016-04-20 | 北京启明星辰信息技术股份有限公司 | 一种apt智能检测分析平台中的白数据过滤方法及系统 |
| US9628507B2 (en) * | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
-
2014
- 2014-03-14 EP EP14768424.5A patent/EP2974144B1/en active Active
- 2014-03-14 CA CA2903262A patent/CA2903262A1/en not_active Abandoned
- 2014-03-14 MX MX2015010770A patent/MX2015010770A/es unknown
- 2014-03-14 AU AU2014236179A patent/AU2014236179A1/en not_active Abandoned
- 2014-03-14 US US14/214,088 patent/US9961095B2/en active Active
- 2014-03-14 SG SG11201506938PA patent/SG11201506938PA/en unknown
- 2014-03-14 WO PCT/US2014/029426 patent/WO2014153176A1/en active Application Filing
- 2014-03-14 JP JP2016503091A patent/JP2016513944A/ja active Pending
- 2014-03-14 KR KR1020157025164A patent/KR20160019397A/ko not_active Application Discontinuation
- 2014-03-14 CN CN201480015454.4A patent/CN105103496A/zh active Pending
-
2015
- 2015-09-10 IL IL241457A patent/IL241457B/en active IP Right Grant
-
2016
- 2016-06-17 HK HK16106981.0A patent/HK1219006A1/zh unknown
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20190062115A (ko) * | 2017-11-27 | 2019-06-05 | (주) 시스메이트 | 암호화 트래픽의 네트워크 포렌식 서비스 제공을 위한 icap 프로토콜 확장 방법과 이를 지원하는 네트워크 포렌식 장치 및 웹 프락시 |
| KR20220167034A (ko) * | 2021-06-11 | 2022-12-20 | 주식회사 시큐다임 | 정보 유출 모니터링 서버 및 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| SG11201506938PA (en) | 2015-09-29 |
| US9961095B2 (en) | 2018-05-01 |
| CA2903262A1 (en) | 2014-09-25 |
| WO2014153176A1 (en) | 2014-09-25 |
| EP2974144B1 (en) | 2018-09-05 |
| IL241457B (en) | 2018-11-29 |
| AU2014236179A1 (en) | 2015-09-03 |
| EP2974144A4 (en) | 2016-09-14 |
| MX2015010770A (es) | 2016-06-17 |
| US20150264072A1 (en) | 2015-09-17 |
| JP2016513944A (ja) | 2016-05-16 |
| IL241457A0 (en) | 2015-11-30 |
| HK1219006A1 (zh) | 2017-03-17 |
| EP2974144A1 (en) | 2016-01-20 |
| CN105103496A (zh) | 2015-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR20160019397A (ko) | 네트워크 통신을 분석하기 위해 메타데이터를 추출 및 보존하기 위한 시스템 및 방법 | |
| EP3304853B1 (en) | Detection of malware and malicious applications | |
| US20200120075A1 (en) | Hardware-accelerated payload filtering in secure communication | |
| US7756997B2 (en) | Effective policies and policy enforcement using characterization of flow content and content-independent flow information | |
| CN112039904A (zh) | 一种网络流量分析与文件提取系统及方法 | |
| US20150304184A1 (en) | Systems and methods for extracting structured application data from a communications link | |
| US10805187B2 (en) | Logging of traffic in a computer network | |
| US10440035B2 (en) | Identifying malicious communication channels in network traffic by generating data based on adaptive sampling | |
| US10749895B2 (en) | Handling network threats | |
| Kaushik et al. | Network forensic system for port scanning attack | |
| AU2018250409A1 (en) | Entropy and value based packet truncation | |
| JP6783261B2 (ja) | 脅威情報抽出装置及び脅威情報抽出システム | |
| CN113315678A (zh) | 加密tcp流量采集方法与装置 | |
| US20140068761A1 (en) | Abuse identification of front-end based services | |
| CN114301802A (zh) | 密评检测方法、装置和电子设备 | |
| US10250560B2 (en) | Network security method and device using IP address | |
| Yang et al. | Identify encrypted packets to detect stepping-stone intrusion | |
| CN115021984B (zh) | 一种网络安全检测方法、装置、电子设备及存储介质 | |
| Naing et al. | IoT Network Forensics based on Transport Layer | |
| Al-Saleh | Fingerprinting violating machines with tcp timestamps | |
| Hutchinson et al. | Information sensitive cyber sensor | |
| Kim et al. | Cyber Black Box: Network intrusion forensics system for collecting and preserving evidence of attack | |
| PLUSKAL | Prostředí pro zpracování dat ze zachycené síťové komunikace | |
| Hjelmvik | Nothing but Network Forensics | |
| Masti et al. | Holmes: A data theft forensic framework |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| WITN | Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid |