KR20160076167A - System and Method for Anomaly Detection - Google Patents

System and Method for Anomaly Detection Download PDF

Info

Publication number
KR20160076167A
KR20160076167A KR1020140186019A KR20140186019A KR20160076167A KR 20160076167 A KR20160076167 A KR 20160076167A KR 1020140186019 A KR1020140186019 A KR 1020140186019A KR 20140186019 A KR20140186019 A KR 20140186019A KR 20160076167 A KR20160076167 A KR 20160076167A
Authority
KR
South Korea
Prior art keywords
abnormal
storage
processes
present
program
Prior art date
Application number
KR1020140186019A
Other languages
Korean (ko)
Other versions
KR101938415B1 (en
Inventor
한민호
김익균
이한성
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020140186019A priority Critical patent/KR101938415B1/en
Publication of KR20160076167A publication Critical patent/KR20160076167A/en
Application granted granted Critical
Publication of KR101938415B1 publication Critical patent/KR101938415B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Disclosed in the present invention are an anomaly detection system and a method thereof. According to an embodiment of the present invention, the anomaly detection system includes: at least one agent which is installed in a user PC, collects data related to processes of all programs run on the PC, and transmits the data through a network; a storage/analysis device which stores the data collected by the agent in a storage; and a detection device which checks if a check-target action outside the predefined normal action range exists based on the data related to the processes. The storage/analysis device searches for data related to the all processes regarding the check-target action in the storage and checks if the check-target action is an anomaly using the clustering result using the found data and the clustering result about the predefined abnormal programs.

Description

비정상 행위 탐지 시스템 및 방법{System and Method for Anomaly Detection}{System and Method for Anomaly Detection}

본 발명은 프로그램 이상 행위 탐지 기술에 관한 것으로서, 더 구체적으로는 프로그램의 실행중 프로세스를 이용하여 비정상 행위를 탐지할 수 있는 비정상 행위 탐지 시스템 및 방법에 관한 것이다.The present invention relates to a program anomaly detection technology, and more particularly, to a system and method for detecting anomalous activity that can detect an abnormal operation using a process during execution of a program.

인터넷 인프라의 급속한 발전과 인터넷 보급률 확대에 따라 사용자 PC의 보안을 위협하는 악성 프로그램이 갈수록 지능화, 다양화되고, 악성 프로그램으로 인한 피해 역시도 나날이 커지고 있다.With the rapid development of the Internet infrastructure and the increasing penetration rate of the Internet, malicious programs that threaten the security of user PCs become increasingly intelligent and diversified, and the damage caused by malicious programs is also increasing day by day.

악성 프로그램들은 사용자 PC에 침투하여 사용자의 의도와는 무관한 작업을 처리하거나 비정상적인 기능을 수행하는 프로그램으로서, 바이러스, 웜, 트로이목마, 백도어, 스파이웨어 등의 프로그램을 통칭한다.Malicious programs are programs that infiltrate a user's PC to handle unrelated tasks or perform abnormal functions, and collectively refer to programs such as viruses, worms, Trojan horses, backdoors, and spyware.

악성 프로그램은 다양한 형태가 존재하지만, 다른 프로그램 또는 운영 체제에 접근하여 코드를 변경시키거나, 정보를 추출하는 동작, 비정상적인 네트워크 패킷을 송수신하는 동작 또는 보안 프로그램으로부터 자신의 존재를 숨기기 위한 은닉 행위와 같은 일반적인 프로그램과는 다른 이상 행동을 수행한다는 공통적인 특징이 있다.Malicious programs can exist in various forms, but they can access other programs or operating systems to change code, extract information, send and receive abnormal network packets, or stealth to hide their presence from security programs. There is a common feature that it performs abnormal behavior different from general program.

종래의 악의적 행동 탐지 방법은 악의적인 프로그램의 코드를 분석하여 악의적인 프로그램을 제거 가능한 패턴 시그니처를 만들어, 이와 동일한 시그니처를 탐지함에 따라 악의적인 행동을 파악 및 차단하는 방식이 있었다. 그러나, 이 방법은 높은 정확도로 시그니처 동일성 확인함에 따라 알려진 공격 이외에는 탐지할 수 없었다.Conventional malicious behavior detection methods include a method of analyzing malicious program code to create a pattern signature that can remove a malicious program and detecting and blocking the malicious behavior by detecting the same signature. However, this method could not be detected except for known attacks, as signature identity was confirmed with high accuracy.

본 발명은 전술한 바와 같은 기술적 배경에서 안출된 것으로서, 프로그램의 프로세스 정보를 이용하여 비정상 행위를 탐지할 수 있는 비정상 행위 탐지 시스템 및 방법을 제공하는 것을 그 목적으로 한다.SUMMARY OF THE INVENTION It is an object of the present invention to provide an abnormal behavior detection system and method capable of detecting an abnormal behavior using process information of a program.

본 발명의 목적은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The objects of the present invention are not limited to the above-mentioned objects, and other objects not mentioned can be clearly understood by those skilled in the art from the following description.

본 발명의 일면에 따른 비정상 행위 탐지 시스템은, 사용자 PC에 각기 구비되어, 상기 PC에서 실행되는 모든 프로그램의 프로세스에 관련된 정보를 수집하여 네트워크로 전송하는 적어도 하나의 에이전트; 상기 에이전트에 의해 수집된 정보를 저장소 내에 저장하는 저장/분석 장치; 상기 프로세스와 관련된 정보로부터 기설정된 정상 행위 범위를 벗어나는 확인대상 행위의 존재 여부를 확인하는 탐지 장치를 포함하고, 상기 저장/분석 장치는, 상기 저장소 내 상기 확인대상 행위와 관련된 모든 프로세스와 관련된 정보를 검색하고, 검색된 정보를 이용한 군집화 결과와 기정의된 비정상 프로그램에 대한 군집화 결과를 이용하여 상기 확인대상 행위가 이상 행위인지를 확인하는 것을 특징으로 한다.According to an aspect of the present invention, there is provided an abnormal behavior detection system comprising: at least one agent, which is provided in a user PC, collects information related to a process of all programs executed in the PC and transmits the collected information to a network; A storage / analysis device that stores information collected by the agent in a repository; The information processing apparatus according to claim 1, further comprising: a detection device for verifying the existence of an operation to be verified that is out of a predetermined normal operation range from the information related to the process, wherein the storage / And the clustering result using the retrieved information and the clustering result of the predetermined abnormal program are used to confirm whether the verification target behavior is an abnormal behavior.

본 발명에 따르면, 프로그램의 프로세스 정보를 이용하여 비정상 행위를 탐지할 수 있다.According to the present invention, an abnormal behavior can be detected using process information of a program.

도 1은 본 발명에 따른 프로그램, 프로세스 및 네트워크 트래픽의 관계를 도시한 도면.
도 2a 및 2b는 본 발명에 따른 비정상 프로그램의 프로세스 및 네트워크 트래픽의 관계를 이용한 군집화 과정을 도시한 흐름도와 도면.
도 3은 본 발명에 따른 비정상 행위 탐지 시스템을 도시한 구성도.
도 4는 본 발명에 따른 비정상 행위 판단 과정을 설명하기 위한 도면.BRIEF DESCRIPTION OF THE DRAWINGS Fig. 1 is a diagram showing the relationship between a program, a process and network traffic according to the present invention; Fig.
FIG. 2A and FIG. 2B are flowcharts illustrating a clustering process using a process of an abnormal program and a relationship of network traffic according to the present invention. FIG.
FIG. 3 is a block diagram illustrating an abnormal behavior detection system according to the present invention; FIG.
4 is a diagram for explaining an abnormal behavior judging process according to the present invention.

본 발명의 전술한 목적 및 그 이외의 목적과 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 한편, 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성소자, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성소자, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, advantages and features of the present invention and methods for accomplishing the same will become apparent with reference to the embodiments described in detail below with reference to the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as being limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. Is provided to fully convey the scope of the invention to those skilled in the art, and the invention is only defined by the scope of the claims. It is to be understood that the terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification. As used herein, the terms " comprises, " and / or "comprising" refer to the presence or absence of one or more other components, steps, operations, and / Or additions.

이하, 발명의 시스템 구성 및 그 동작 방법을 설명하기에 앞서, 본 발명의 실시예에서 비정상 행위 탐지에 이용되는 기준을 생성하는 방법에 대하여 한다. 이하, 도 1 및 2를 참조하여 본 발명의 실시예에 따른 비정상 행위 탐지 기준 생성 방법에 대하여 설명한다.Hereinafter, a method of generating a criterion used for abnormal behavior detection in an embodiment of the present invention will be described before describing the system configuration and the operation method of the present invention. Hereinafter, a method for generating an abnormal behavior detection criterion according to an embodiment of the present invention will be described with reference to FIGS. 1 and 2. FIG.

도 1은 본 발명의 실시예에 따른 프로그램, 프로세스 및 네트워크 트래픽의 관계를 도시한 도면이고, 도 2a 및 2b는 본 발명의 실시예에 따른 비정상 프로그램의 프로세스 및 네트워크 트래픽의 관계를 이용한 군집화 과정을 도시한 흐름도와 도면이다.FIG. 1 is a diagram illustrating a relationship between a program, a process, and network traffic according to an exemplary embodiment of the present invention. FIGS. 2A and 2B illustrate a clustering process using an abnormal program process and a network traffic relationship according to an embodiment of the present invention. Fig.

도 1과 같이, PC에서 일 프로그램이 실행되면, 프로세스 생성 시스템 호출을 통해 다수의 프로세스(프로세스1~n)가 생성되고, 생성된 프로세스 중 일부(프로세스 1, 2, 3, 4, n)는 다양한 형태의 네트워크 트래픽을 생성한다.1, when one program is executed in the PC, a plurality of processes (processes 1 to n) are generated through a process generation system call, and a part of the generated processes (processes 1, 2, 3, 4, n) It generates various types of network traffic.

본 발명에서는 이러한 프로그램의 특징을 이용하여 다수의 비정상 프로그램이 수행될 때 생성되는 프로세스와 네트워크 트래픽의 관계 즉, 프로세스와 네트워크 트래픽 간의 연관규칙 또는 시퀀스 패턴(Sequence Pattern)을 이용하여 행위(특징)에 대한 군집화를 수행하고, 이를 이용하여 비정상 행위를 탐지한다.According to the present invention, by using the feature of such a program, the behavior (characteristic) is calculated by using the relation between the process and the network traffic generated when a plurality of abnormal programs are executed, that is, the association rule or sequence pattern between the process and the network traffic And the abnormal behavior is detected using this.

다수의 비정상 프로그램의 프로세스 및 네트워크 트래픽과의 관계를 이용한 행위의 군집화 과정은 다음과 같이 수행될 수 있다.The clustering of behaviors using the process of multiple abnormal programs and the relationship with network traffic can be performed as follows.

도 2a를 참조하면, 비정상 행위 탐지 시스템(10)은 네트워크나, 데이터베이스 등으로부터 이미 알고 있는 비정상 프로그램을 수집한다(S210). 만약, 비정상 행위 탐지 시스템(10)이 비정상 프로그램의 프로세스 및 네트워크 트래픽을 이미 가지고 있다면, 이 단계는 생략될 수 있다.Referring to FIG. 2A, the abnormal behavior detection system 10 collects an abnormal program already known from a network, a database, or the like (S210). If the abnormal behavior detection system 10 already has process and network traffic of the abnormal program, this step may be omitted.

비정상 행위 탐지 시스템(10)은 수집된 비정상 프로그램을 실행하여 군집화 과정에 사용될 입력변수(즉, 군집화될 변수들)를 추출한다(S220). 여기서, 군집화에 사용될 입력변수는 비정상 프로그램의 실행중 생성된 프로세스와 네트워크 트래픽에 관련된 것이며, 그 구체 내용에 대해서는 이하에서 설명한다.The abnormal behavior detection system 10 executes the collected abnormal programs to extract input variables (i.e., variables to be clustered) to be used in the clustering process (S220). Here, the input variables to be used for clustering are related to the process and network traffic generated during the execution of the abnormal program, and the concrete contents thereof will be described below.

비정상 행위 탐지 시스템(10)은 복수의 군집화 알고리즘 중에서 하나의 군집화 알고리즘을 선택한 후 입력변수를 군집화한다(S230). 여기서, 비정상 행위 탐지 시스템(10)은 프로세스와 네트워크 트래픽과의 관계를 이용하여 유사한 특징을 갖는 비정상 프로그램을 군집화할 수 있다. 이때, 복수의 군집화 알고리즘 및 군집화 과정은 당업자라면 본 명세서로부터 자명하게 도출할 수 있으므로, 그에 대한 자세한 설명은 생략한다.The abnormal behavior detection system 10 clusters the input variables after selecting one clustering algorithm from among the plurality of clustering algorithms (S230). Here, the abnormal behavior detection system 10 can group abnormal programs having similar characteristics using the relationship between the process and the network traffic. At this time, a plurality of clustering algorithms and clustering processes can be derived from the present invention by those skilled in the art, so a detailed description thereof will be omitted.

전술한 예에서는 비정상 행위 탐지 시스템(10)이 비정상 행위 군집화 과정을 주도적으로 수행하는 경우를 예로 들어 설명하였다. 하지만, 비정상 행위 탐지 시스템(10)은 관리자의 지시에 따라 수동적으로 전술한 과정을 수행할 수도 있음은 물론이다.In the above-described example, the abnormal behavior detection system 10 performs the abnormal behavior clustering process as an example. However, it is needless to say that the abnormal behavior detection system 10 may manually perform the above-described processes according to an instruction of the administrator.

한편, 전술한, 군집화 과정에 사용될 입력변수는 다음과 같다.On the other hand, the above input variables to be used in the clustering process are as follows.

- 비정상 프로그램에 의해 생성된 프로세스 수- Number of processes created by the abnormal program

- 비정상 프로그램에 의해 생성된 프로세스 중 네트워크 연결을 가지는 프로세스 수- The number of processes that have network connections among the processes created by the abnormal program.

- 비정상 프로그램에 의해 생성된 프로세스의 총 네트워크 연결 수- The total number of network connections for processes created by the abnormal program

- 비정상 프로그램에 의해 생성된 프로세스들의 총 로컬 네트워크 연결(127.0.0.1) 수- The total number of local network connections (127.0.0.1) of processes created by the abnormal program

- 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 플로우(Network Flow)의 종류- the type of network flow created by the processes created by the abnormal program

- 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 연결중 타깃 포트(Target Port)가 80인 네트워크 연결 수- The number of network connections whose target port is 80 among the network connections created by the processes created by the abnormal program

- 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 연결중 타깃 포트(Target Port)가 80 이외인 네트워크 연결 수- The number of network connections whose target port is other than 80 among the network connections created by the processes created by the abnormal program.

- 비정상 프로그램에 의해 생성된 프로세스 중 최대 네트워크 연결(Network Connection)을 가지는 프로세스의 최대 네트워크 연결 수- The maximum number of network connections for processes that have a maximum network connection among the processes created by the abnormal program.

- 비정상 프로그램에 의해 생성된 프로세스 중 네트워크 연결(Network Connection)을 가지는 프로세스의 비율- Percentage of processes that have network connections among processes created by abnormal programs

- 비정상 프로그램에 의해 생성된 프로세스 들이 생성한 네트워크 연결중 로컬(Local) 네트워크 연결의 비율- Percentage of local network connections among the network connections created by the processes created by the abnormal program

- 비정상 프로그램에 의해 생성된 프로세스 들이 생성한 네트워크 연결중 타깃 포트(Target Port)가 80인 네트워크 연결의 비율- Percentage of network connections whose target port is 80 among the network connections created by the processes created by the abnormal program.

도 2b의 왼쪽 그림과 같이, 추출된 입력변수들은 점선 타원 내에 있는 복수의 점일 수 있다. 여기서, 점선 타원은 입력변수를 단순히 묶은 것일 수 있다.As shown in the left-hand side of FIG. 2B, the extracted input variables may be a plurality of points within the dotted ellipse. Here, the dotted ellipse can be simply a grouping of input variables.

도 2b의 오른쪽 그림과 같이, 복수의 타원 내 입력변수들이 군집화되면, 복수의 실선 타원과 같이 군집화될 수 있다.
As shown in the right side of FIG. 2B, when a plurality of input variables in an ellipse are clustered, they can be clustered like a plurality of solid line ellipses.

이하, 도 3 및 도 4를 참조하여 본 발명의 실시예에 따른 비정상 행위 탐지 시스템에 대하여 설명한다. 도 3은 본 발명의 실시예에 따른 비정상 행위 탐지 시스템을 도시한 구성도이고, 도 4는 본 발명의 실시예에 따른 비정상 행위 판단 과정을 설명하기 위한 도면이다.Hereinafter, an abnormal behavior detection system according to an embodiment of the present invention will be described with reference to FIG. 3 and FIG. FIG. 3 is a block diagram illustrating an abnormal behavior detection system according to an embodiment of the present invention, and FIG. 4 is a diagram for explaining an abnormal behavior determination process according to an embodiment of the present invention.

도 3에 도시된 바와 같이, 본 발명의 실시예에 따른 비정상 행위 탐지 시스템(10)은 복수의 에이전트(310_1~n), 저장/분석 장치(330), 대용량 저장소(340) 및 비정상 행위 탐지 장치(320)를 포함한다. 여기서, 복수의 에이전트(310_1~n), 저장/분석 장치(330) 및 비정상 행위 탐지 장치(320)는 각기 인터넷망으로 연결될 수 있다.3, the abnormal behavior detection system 10 according to an embodiment of the present invention includes a plurality of agents 310_1 to n, a storage / analysis apparatus 330, a mass storage 340, (320). Here, the plurality of agents 310_1 to n, the storage / analysis apparatus 330, and the abnormal behavior detection apparatus 320 may be connected to the Internet.

각 에이전트(310_1~n)는 각 사용자 PC에 설치된 소프트웨어 또는 하드웨어로서, 설치된 사용자 PC에서 실행되는 모든 프로그램의 프로세스와 네트워크 연결 정보를 수집한다. 여기서, 사용자는 일반 사용자 및 관리자 등을 포함할 수 있다.Each of the agents 310_1 to 310-n collects process and network connection information of all programs executed in the installed user PC as software or hardware installed in each user PC. Here, the user may include a general user, an administrator, and the like.

각 에이전트(310_1~n)는 수집된 복수의 프로세스 및 복수의 네트워크 연결 정보를 저장/분석 장치(330)로 전송한다. Each of the agents 310_1 to 310-n transmits a plurality of collected processes and a plurality of network connection information to the storage / analysis apparatus 330.

여기서, 복수의 프로세스 및 복수의 네트워크 연결 정보는 프로세스 생성시간, 호스트 ID(예컨대, 호스트 IP 주소), 프로세스 ID, 부모 프로세스 ID(Parent Process ID) 및 네트워크 연결을 수반하는 프로세스의 Src.와 Dst. IP 주소, Src.와 Dst. 포트 중 적어도 하나를 포함할 수 있다.Here, the plurality of processes and the plurality of network connection information include a process creation time, a host ID (e.g., a host IP address), a process ID, a parent process ID (parent process ID), and Src and Dst of a process involving network connection. IP address, Src. And Dst. And a port.

저장/분석 장치(330)는 각 에이전트(310_1~n)로부터 수신한 복수의 프로세스 및 복수의 네트워크 연결 정보를 대용량 저장소(340) 내 저장한다.The storage / analysis apparatus 330 stores a plurality of processes and a plurality of network connection information received from the agents 310_1 to 310-n in the mass storage 340.

비정상 행위 탐지 장치(320)는 기설정된 시점에 대용량 저장소(340) 내 복수의 프로세스 및 복수의 네트워크 연결 정보를 탐지하고, 이 중에서 기정의된 정상 행위 범위를 벗어나는 확인대상 행위가 있는지를 확인한다. 이때, 기정의된 정상 행위 범위는 비정상 행위가 일어나지 않는 상황에서, 네트워크 사용 상황을 적어도 일정시간 동안 모니터링한 결과 정의된 것일 수 있다. 예컨대, 기정의된 정상 행위 범위는 프로세스와 네트워크 연결 정보의 출연 순서 등으로 정의될 수 있다.The abnormal behavior detection apparatus 320 detects a plurality of processes and a plurality of network connection information in the mass storage 340 at a predetermined time point and confirms whether there is an operation to be confirmed out of the predetermined normal operation range. In this case, the predetermined normal operation range may be defined as a result of monitoring the network usage status for at least a certain period of time in a situation where abnormal behavior does not occur. For example, the predetermined normal action range can be defined by the order of appearance of processes and network connection information.

비정상 행위 탐지 장치(320)는 기정의된 정상 행위 범위를 벗어나는 확인대상 행위를 탐지하면, 탐지 정보를 저장/분석 장치(330)로 전송한다. 예컨대, 탐지 정보는 확인대상 행위의 탐지 시간 및 확인대상 행위에 대응하는 Src.와 Dst. IP 주소, Src.와 Dst. 포트일 수 있다.When the abnormal behavior detection device 320 detects an action to be confirmed that is out of the predetermined normal action range, the abnormal behavior detection device 320 transmits the detection information to the storage / analysis device 330. For example, the detection information includes a detection time of an action to be confirmed and Src. And Dst. IP address, Src. And Dst. Port.

저장/분석 장치(330)는 탐지 정보를 수신하면, 탐지 정보 및 탐지 정보와 관련된 대용량 저장소(340) 내 프로세스 및 네트워크 연결 정보를 검색한다. Upon receiving the detection information, the storage / analysis device 330 retrieves the process and network connection information in the mass storage 340 associated with the detection information and the detection information.

그리고, 저장/분석 장치(330)는 검색된 확인대상 행위와 관련된 프로세스 및 네트워크 연결 정보가 군집 내에 존재하는지를 확인한다.Then, the storage / analysis apparatus 330 confirms whether the process and network connection information related to the searched verification target behavior exists in the cluster.

구체적으로, 저장/분석 장치(330)는 확인대상 행위와 관련된 프로세스 및 네트워크 연결 정보를 입력변수로 하는 군집화를 수행하여 분류 결과를 생성하고, 분류 결과가 기정의된 분집화 집단(도 4의 타원 참조) 내에 존재하는지를 확인한다.Specifically, the storage / analysis apparatus 330 performs clustering using input data and process related to the object behavior to be classified as input variables, generates a classification result, and outputs the classification result to the predefined distribution group (the ellipse ).

만약, 분류 결과가 도 4의 타원 내의 점(A)처럼 군집화 집단 내에 존재하면, 저장/분석 장치(330)는 확인대상 행위를 비정상 행위로 판단한다. 반면, 분류 결과가 도 4의 타원 바깥의 점(B)처럼 군집화 집단 내에 존재하지 않으면, 저장/분석 장치(330)는 확인대상 행위를 정상 행위로 판단할 수 있다.If the classification result exists in the clustering group as in the point A in the ellipse of FIG. 4, the storage / analysis device 330 determines that the verification target behavior is an abnormal behavior. On the other hand, if the classification result does not exist in the clustering group like the point B outside the ellipse in FIG. 4, the storage / analysis device 330 can determine the verification target behavior as a normal operation.

이와 같이, 본 발명의 실시예는 네트워크 사용 상황을 기반으로 정상 행위 범위를 정의하고, 정상 행위 범위를 벗어나는 확인대상 행위에 대해서는 비정상 프로그램에 대한 군집화 결과를 이용하여 이상 행위를 탐지할 수 있다.As described above, the embodiment of the present invention can define the normal action range based on the network use situation, and can detect the abnormal action by using the clustering result of the abnormal program for the action to be confirmed that is out of the normal action range.

그에 따라, 본 발명의 실시예는 종래의 알려지지 않은 공격 즉, 변형된 공격 등을 탐지하던 기술의 문제점인 오탐(False Positive)의 문제 발생을 현저하게 줄일 수 있다.
Accordingly, the embodiment of the present invention can remarkably reduce the occurrence of a false positive, which is a problem of a technique of detecting a known unknown attack, that is, a modified attack.

이상, 본 발명의 구성에 대하여 첨부 도면을 참조하여 상세히 설명하였으나, 이는 예시에 불과한 것으로서, 본 발명이 속하는 기술분야에 통상의 지식을 가진자라면 본 발명의 기술적 사상의 범위 내에서 다양한 변형과 변경이 가능함은 물론이다. 따라서 본 발명의 보호 범위는 전술한 실시예에 국한되어서는 아니되며 이하의 특허청구범위의 기재에 의하여 정해져야 할 것이다.While the present invention has been described in detail with reference to the accompanying drawings, it is to be understood that the invention is not limited to the above-described embodiments. Those skilled in the art will appreciate that various modifications, Of course, this is possible. Accordingly, the scope of protection of the present invention should not be limited to the above-described embodiments, but should be determined by the description of the following claims.

Claims (1)

사용자 PC에 각기 구비되어, 상기 PC에서 실행되는 모든 프로그램의 프로세스에 관련된 정보를 수집하여 네트워크로 전송하는 적어도 하나의 에이전트;
상기 에이전트에 의해 수집된 정보를 저장소 내에 저장하는 저장/분석 장치;
상기 프로세스와 관련된 정보로부터 기설정된 정상 행위 범위를 벗어나는 확인대상 행위의 존재 여부를 확인하는 탐지 장치를 포함하고,
상기 저장/분석 장치는, 상기 저장소 내 상기 확인대상 행위와 관련된 모든 프로세스와 관련된 정보를 검색하고, 검색된 상기 정보를 이용한 군집화 결과와 기정의된 비정상 프로그램에 대한 군집화 결과를 이용하여 상기 확인대상 행위가 이상 행위인지를 확인하는 것인 비정상 행위 탐지 시스템. At least one agent each of which is provided in a user PC and collects information related to a process of all programs executed in the PC and transmits the collected information to a network;
A storage / analysis device that stores information collected by the agent in a repository;
And a detection device for verifying the presence or absence of an action to be verified that is out of the predetermined normal action range from the information related to the process,
The storage / analysis apparatus searches information related to all the processes related to the verification target behavior in the repository, and uses the result of the clustering using the retrieved information and the result of clustering of a predetermined abnormal program, An abnormal behavior detection system.
KR1020140186019A 2014-12-22 2014-12-22 System and Method for Anomaly Detection KR101938415B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140186019A KR101938415B1 (en) 2014-12-22 2014-12-22 System and Method for Anomaly Detection

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140186019A KR101938415B1 (en) 2014-12-22 2014-12-22 System and Method for Anomaly Detection

Publications (2)

Publication Number Publication Date
KR20160076167A true KR20160076167A (en) 2016-06-30
KR101938415B1 KR101938415B1 (en) 2019-01-15

Family

ID=56352665

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140186019A KR101938415B1 (en) 2014-12-22 2014-12-22 System and Method for Anomaly Detection

Country Status (1)

Country Link
KR (1) KR101938415B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102156600B1 (en) * 2019-11-20 2020-09-16 (주)케이사인 System and method for creating association between packets collected in network and processes in endpoint computing device

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100877911B1 (en) * 2008-01-31 2009-01-12 전남대학교산학협력단 Method for detection of p2p-based botnets using a translation model of network traffic

Also Published As

Publication number Publication date
KR101938415B1 (en) 2019-01-15

Similar Documents

Publication Publication Date Title
US10657251B1 (en) Multistage system and method for analyzing obfuscated content for malware
US10659478B2 (en) Identifying stealth packets in network communications through use of packet headers
JP5087661B2 (en) Malignant code detection device, system and method impersonated into normal process
US9047466B2 (en) Method of detecting a malware based on a white list
US20170061126A1 (en) Process Launch, Monitoring and Execution Control
WO2017086837A1 (en) Method for detecting malicious programs and elements
KR102293773B1 (en) Apparatus and method for analyzing network traffic using artificial intelligence
KR20150124370A (en) Method, apparatus and system for detecting malicious process behavior
US9491190B2 (en) Dynamic selection of network traffic for file extraction shellcode detection
US10972490B2 (en) Specifying system, specifying device, and specifying method
EP3474174B1 (en) System and method of adapting patterns of dangerous behavior of programs to the computer systems of users
EP2854362B1 (en) Software network behavior analysis and identification system
EP3531324B1 (en) Identification process for suspicious activity patterns based on ancestry relationship
Rosli et al. Clustering analysis for malware behavior detection using registry data
US10819717B2 (en) Malware infected terminal detecting apparatus, malware infected terminal detecting method, and malware infected terminal detecting program
CN105791250B (en) Application program detection method and device
CN109218315B (en) Safety management method and safety management device
KR101938415B1 (en) System and Method for Anomaly Detection
US20230214489A1 (en) Rootkit detection based on system dump files analysis
KR101880689B1 (en) Apparatus and method for detecting malicious code
KR20200092508A (en) Large-scale honeypot system IoT botnet analysis
Guo et al. Research on detecting windows vulnerabilities based on security patch comparison
US20190294795A1 (en) Threat Detection System
CN106790280B (en) Emergency troubleshooting method and device for network attack
KR101695461B1 (en) Apparatus and method for detecting security danger

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant