KR20170079528A - 공격 탐지 방법 및 장치 - Google Patents
공격 탐지 방법 및 장치 Download PDFInfo
- Publication number
- KR20170079528A KR20170079528A KR1020150190209A KR20150190209A KR20170079528A KR 20170079528 A KR20170079528 A KR 20170079528A KR 1020150190209 A KR1020150190209 A KR 1020150190209A KR 20150190209 A KR20150190209 A KR 20150190209A KR 20170079528 A KR20170079528 A KR 20170079528A
- Authority
- KR
- South Korea
- Prior art keywords
- attack detection
- error report
- false
- attack
- communication device
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0766—Error or fault reporting or storing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0766—Error or fault reporting or storing
- G06F11/0787—Storage of error reports, e.g. persistent data storage, storage using memory protection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 공격 탐지 방법 및 장치에 관한 것이다.
이에 따른 본 발명은, 공격 탐지 장치가 적어도 하나의 통신 장치에 대한 허위 OS 에러 리포트를 외부로 전송하는 단계, 상기 허위 OS 에러 리포트를 기초로 공격 탐지 시그니처를 생성하는 단계 및 상기 공격 탐지 시그니처를 이용하여 상기 적어도 하나의 통신 장치를 위한 공격 탐지를 수행하는 단계를 포함하는 것을 특징으로 하는 공격 탐지 방법 및 장치에 관한 것이다.
이에 따른 본 발명은, 공격 탐지 장치가 적어도 하나의 통신 장치에 대한 허위 OS 에러 리포트를 외부로 전송하는 단계, 상기 허위 OS 에러 리포트를 기초로 공격 탐지 시그니처를 생성하는 단계 및 상기 공격 탐지 시그니처를 이용하여 상기 적어도 하나의 통신 장치를 위한 공격 탐지를 수행하는 단계를 포함하는 것을 특징으로 하는 공격 탐지 방법 및 장치에 관한 것이다.
Description
본 발명은 공격 탐지 방법 및 장치에 관한 것이다.
근래에 자산의 위협은 악성 코드, 제로데이 등을 포함한 알려진 방법의 공격보다, 공격할 타겟의 취약점, 내부 시스템의 문제점을 이용하는 알려지지 않은 방법의 공격에 의해 정교하게 일어난다. 즉, 해커는 타겟을 공격하기 전에 사전 조사 작업을 하여, 타겟 시스템의 취약성 또는 OS(Operating System)가 갖는 문제점을 찾고, 이를 기반으로 정교한 공격을 시도한다. 또한, 근래의 자산 위협은 장기간에 걸쳐 지속적인 공격으로 이루어진다는 특징을 갖는다.
이와 같은 문제를 해결하기 위해서, 최근까지 악성 코드 행위 분석, 평판 조회 등 다양한 기술을 제안하기 위한 꾸준한 노력이 계속되고 있다.
그러나 대부분의 제안된 기술은 일반적인 OS와 시스템, 또는 프로그램을 목적으로 제작되어 제로데이 등의 공격에 빠르게 대응할 수 있으나, 장기간에 걸친 지속적인 공격, 타겟의 내부 시스템, OS에 맞추어 일어나는 맞춤형 공격 등을 탐지하는 데 있어서는 한계를 갖는다.
따라서, 타겟에 맞춤형으로 알려지지 않았거나, 지속적으로 발생하는 공격을 막을 수 있는 방법이 필요하다.
본 발명은 상기한 문제점을 해결하기 위한 것으로, 시스템 문제 보고에 사용되는 윈도우 에러 리포팅(Windows Error Reporting; WER) 기능을 이용하여 맞춤형으로 알려지지 않은 공격을 적극적(공격적)으로 방어하는 공격 탐지 방법 및 장치를 제공한다.
상술한 과제를 해결하기 위한 본 발명에 따른 공격 탐지 방법은, 공격 탐지 장치가 적어도 하나의 통신 장치에 대한 허위 OS 에러 리포트를 외부로 전송하는 단계, 상기 허위 OS 에러 리포트를 기초로 공격 탐지 시그니처를 생성하는 단계 및 상기 공격 탐지 시그니처를 이용하여 상기 적어도 하나의 통신 장치를 위한 공격 탐지를 수행하는 단계를 포함하는 것을 특징으로 한다.
또한, 상술한 과제를 해결하기 위한 본 발명에 따른 공격 탐지 장치는, 외부와 데이터 통신을 수행하는 통신부, 적어도 하나의 공격 탐지 시그니처를 저장하는 저장부 및 적어도 하나의 통신 장치에 대한 허위 OS 에러 리포트를 외부로 전송하도록 상기 통신부를 제어하고, 상기 허위 OS 에러 리포트를 기초로 공격 탐지 시그니처를 생성하여 상기 저장부에 저장하고, 상기 공격 탐지 시그니처를 이용하여 상기 적어도 하나의 통신 장치를 위한 공격 탐지를 수행하는 제어부 포함하는 것을 특징으로 한다.
본 발명에 따른 공격 탐지 방법 및 장치는, 공격에 대한 사후처리 방식의 대응이 아닌 적극적 방어 수단으로, 공격 초기에 공격 패킷이 내부 네트워크 도달하기 전 공격을 탐지하여 피해를 최소화할 수 있도록 한다.
또한, 본 발명에 따른 공격 탐지 방법 및 장치는, 공격을 예측하고 보안 시스템에 적용함으로써, 시스템과 인력의 가용성을 높일 수 있도록 한다.
또한, 본 발명에 따른 공격 탐지 방법 및 장치는, 공격으로 분류된 패킷에 정확히 매칭되는 패킷들만 분석에서 탐지되기 때문에 패턴 매칭 처리 성능을 향상시킬 수 있다.
도 1은 본 발명에 따른 공격 탐지 장치가 동작하는 네트워크 시스템을 나타낸 도면이다.
도 2는 공격 탐지 장치의 구조를 나타낸 블록도이다.
도 3은 윈도우 에러 리포트의 일 예를 나타낸 도면이다.
도 4는 본 발명에 따른 공격 탐지 방법을 나타낸 순서도이다.
도 2는 공격 탐지 장치의 구조를 나타낸 블록도이다.
도 3은 윈도우 에러 리포트의 일 예를 나타낸 도면이다.
도 4는 본 발명에 따른 공격 탐지 방법을 나타낸 순서도이다.
본 명세서의 실시 예를 설명함에 있어 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 명세서의 요지를 흐릴 수 있다고 판단되는 경우, 그 상세한 설명은 생략될 수 있다.
본 명세서에서 사용되는 "포함한다," "포함할 수 있다." 등의 표현은 개시된 해당 기능, 동작, 구성요소 등의 존재를 가리키며, 추가적인 하나 이상의 기능, 동작, 구성요소 등을 제한하지 않는다. 또한, 본 명세서에서, "포함하다." 또는 "가지다." 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
본 명세서에서 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
이하, 첨부된 도면을 참조하여 본 발명을 설명한다.
도 1은 본 발명에 따른 공격 탐지 장치가 동작하는 네트워크 시스템을 나타낸 도면이다.
도 1을 참조하면, 본 발명에 따른 공격 탐지 장치(100)는 내부 네트워크(200) 및 외부 네트워크(300)와 연결되어 네트워크 통신을 수행할 수 있다.
내부 네트워크(200)는 적어도 하나의 통신 장치들(예를 들어, PC)로 구성될 수 있다. 본 발명의 다양한 실시 예에서, 내부 네트워크(200)를 구성하는 적어도 하나의 통신 장치들은 OS 에러 리포팅 기능을 지원할 수 있다. 일 실시 예에서, OS 에러 리포팅 기능은 윈도우 에러 리포팅 기능일 수 있다. 그에 따라, 내부 네트워크(200)를 구성하는 적어도 하나의 장치들에서 윈도우 에러가 발생하는 경우, 적어도 하나의 장치들은 윈도우 에러 리포트를 작성하여 외부 네트워크(300)의 OS 제공자 서버, 예를 들어 마이크로소프트(Microsoft; MS) 서버로 전송할 수 있다.
외부 네트워크(300)는 인터넷 네트워크로 OS 제공자 서버, 예를 들어 마이크로소프트 서버 등을 포함하여 구성될 수 있다.
본 발명의 다양한 실시 예에서, 해커(400)는 외부 네트워크(300)를 통해 공격 탐지 장치(100) 및 내부 네트워크(200)와 연결될 수 있다. 해커(400)는 내부 네트워크에 존재하는 적어도 하나의 통신 장치를 공격하기 위해, 사전에 타겟 통신 장치에 대한 조사 작업을 수행할 수 있다. 이때, 해커(400)는 타겟 통신 장치로부터 외부 네트워크(300)로 전송되는 OS 에러 리포트를 획득하여 타겟 통신 장치의 취약점이나 내부 시스템의 문제점을 판단하고, 이를 기초로 타겟 통신 장치에 맞춤형 공격을 시도할 수 있다.
이러한 공격을 방지하기 위하여, 본 발명의 다양한 실시 예에서, 공격 탐지 장치(100)는 내부 네트워크(100)를 구성하는 적어도 하나의 통신 장치에 대한 허위 OS 에러 리포트를 외부 네트워크(300)로 전송하고, 허위 OS 에러 리포트를 기초로 공격 탐지 시그니처를 미리 생성한다. 일 실시 예에서, 공격 탐지 장치(100)는 생성된 공격 탐지 시그니처를 적어도 하나의 통신 장치로 전달할 수 있다.
해커(400)가 타겟 통신 장치를 공격하기 위하여 사전 조사를 수행하는 경우, 해커(400)는 공격 탐지 장치(100)에 의해 외부 네트워크(300)로 전송된 허위 OS 에러 리포트를 획득하게 되고 이를 기초로 타겟 통신 장치를 공격할 수 있다. 본 발명의 실시 예에 따르면, 공격 탐지 장치(100) 또는 타겟 통신 장치는 허위 OS 에러 리포트를 기초로 미리 생성된 공격 탐지 시그니처를 이용하여, 용이하게 해커(400)의 공격을 탐지하고 이를 차단할 수 있다.
본 발명의 다양한 실시 예에서 공격 탐지 장치(100)는 내부 네트워크(200)를 외부 공격으로부터 보호하기 위한 보안 처리를 수행하는 보안 장치일 수 있다.
이하에서는, 상기한 본 발명에 따른 공격 탐지 장치(100)의 구체적인 동작을 도면을 참조하여 설명한다.
도 2는 본 발명에 따른 공격 탐지 장치의 구조를 나타낸 블록도이다.
도 2를 참조하면, 본 발명에 따른 공격 탐지 장치(100)는 통신부(110), 제어부(120) 및 저장부(130)를 포함하여 구성될 수 있다.
통신부(110)는 내부 네트워크(200)를 구성하는 적어도 하나의 통신 장치 및 외부 네트워크(300)를 구성하는 서버 등과 네트워크 통신을 수행할 수 있다. 외부 네트워크(300)는 OS 제공자 서버로, 예를 들어 마이크로소프트 서버 등을 포함하여 구성될 수 있다.
제어부(120)는 본 발명에 따른 공격 탐지 동작을 수행하기 위하여 공격 탐지 장치(100)의 각 구성 요소들을 제어한다.
구체적으로, 제어부(120)는 공격 탐지 장치(100)와 연결된 내부 네트워크(200)의 적어도 하나의 통신 장치에 대한 허위 OS 에러 리포트를 생성하여 외부 네트워크(300)로 전송한다.
윈도우와 같은 OS는 애플리케이션이 충돌하는 경우 등에 에러 내용을 외부 네트워크(300)의 OS 서버로 전송하는 OS 에러 리포팅 기능을 제공한다. 일 예로, 마이크로소프트의 윈도우는 윈도우 에러 리포팅 기능을 제공한다. OS 에러 리포트의 송신 여부는 기본적으로 통신 장치의 사용자가 결정하지만, OS 정책(MS의 경우, MS 프라이버시 정책)에 따라 사용자에게 알리지 않고 OS가 직접 외부로 전송할 수 있다.
OS 에러 리포팅 기능은 작성된 OS 에러 리포트를 지정된 패킷 형식으로 변환하여 다양한 시스템 정보를 전송한다. OS 에러 리포트는 시스템 정보로써, 예를 들어, OS 관련 정보(예를 들어, 이름, 버전 정보 등), 애플리케이션 또는 서비스 관련 정보(예를 들어, 이름, 버전 정보 등), 장치 정보(예를 들어, 모델명, 식별자 등) 등을 포함할 수 있다. 도 3은, firefox라는 애플리케이션에서 에러가 발생한 경우 생성된 OS 에러 리포트의 일 예를 도시한 것으로, OS 에러 리포트에는 Acer 제품의 PC 모델, 단말기 식별 정보 등 다양한 시스템 정보가 포함되어 있다.
특정 OS들, 예를 들어 Windows XP, Windows 7, Windows Vista 등은 OS 에러 리포트 전송 시, 이를 암호화하지 않고 전송하기 때문에, 외부 네트워크(300)를 통하여 OS 에러 리포트를 획득하는 해커는 쉽게 OS 에러 리포트에 포함된 정보를 확인할 수 있다. 최근, OS 업데이트를 통하여 일부 OS에서는 OS 에러 리포팅 기능에 SSL 암호화를 적용하기도 하나, 전송 첫 번째 단계에서는 여전히 OS 에러 리포트를 암호화하지 않고 있는 실정이다. 예를 들어, 도 3의 OS 에러 리포트는, 다음과 같은 웹 주소를 통해 누구나 용이하게 확인할 수 있다.
“http://watson.microsoft.com/StageOne/sqlservr_exe/2009_100_1600_1/4bb6b40b/ntdll_dll/6_1_7601_17514/4ce7c8f9/c0000374/000c40f2.htm?Retriage=1”
대부분의 APT(Advanced Persistent Threat) 공격은 정찰(사전 조사), 초기침투, 권한확대, 지속적 악용의 형태로 이루어질 수 있다. 상술한 바와 같이 OS 에러 리포트는 제3자가 용이하게 그 내용을 확인할 수 있기 때문에, 타겟 통신 장치를 공격하고자 하는 해커는 정찰 단계에서 타겟 통신 장치의 OS 에러 리포트를 이용하여 시스템 정보를 용이하게 획득하고, 타겟 통신 장치의 취약점이나 내부 시스템의 문제점을 파악하여 맞춤형 공격을 시도할 수 있다.
이러한 공격을 방지하기 위하여, 본 발명의 다양한 실시 예에서, 제어부(120)는 내부 네트워크(200)의 적어도 하나의 통신 장치에 대한 허위 OS 에러 리포트를 생성하여 외부 네트워크(300)로 전송할 수 있다. 제어부(120)는 범용적으로 사용하지 않은 애플리케이션 정보 등을 이용하거나, 조작된 데이터베이스 정보 등을 이용하여 허위 OS 에러 리포트를 생성할 수 있다.
일 예로, 일반적인 데이터베이스에 접근하는 snort rule로 3306 포트를 사용하는 mysql 서버에 Root 계정으로 로그인하는 정보는 다음의 표 1과 같이 구성될 수 있다.
alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 3306 (msg:"MYSQL root login attempt"; flow:to_server,established; content:"|0A 00 00 01 85 04 00 00 80|root|00|"; classtype:protocol-command-decode; sid:1775; rev:2;) |
제어부(120)가 임의로 조작된 데이터베이스에 접근하는 정보를 이용하여 허위 OS 에러 리포트를 생성하고자 하는 경우, 제어부(120)는 상기의 정보에 있어서 포트 번호, Root 계정을 다음의 표 2와 같이 임의로 변경하여 OS 에러 리포트를 생성할 수 있다.
alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 3308 (msg:"MYSQL root login attempt"; flow:to_server,established; content:"|0A 00 00 01 85 04 00 00 80|secui|00|"; classtype:protocol-command-decode; sid:1776; rev:2;) |
제어부(120)는 생성된 허위 OS 에러 리포트를 기초로 공격을 탐지하기 위해 사용할 공격 탐지 시그니처를 생성한다. 일 실시 예에서, 제어부(120)는 생성된 공격 탐지 시그니처를 내부 네트워크(200)를 구성하는 적어도 하나의 통신 장치로 전달할 수도 있다.
상기한 예에서, 제어부(120)는 표 2와 같이 조작된 데이터베이스에 접근하는 정보를 기초로 공격 탐지 시그니처를 생성할 수 있다.
제어부(120)는 허위 OS 에러 리포트를 기초로 생성된 공격 탐지 시그니처를 이용하여, 내부 네트워크(200)를 구성하는 적어도 하나의 통신 장치를 위한 공격 탐지를 수행한다. 상술한 실시 예에 따르면, 제어부(120)는 해커(400)가 허위 OS 에러 리포트를 획득하여 타겟 통신 장치를 공격하는 경우, 사전에 허위 OS 에러 리포트를 기초로 생성된 공격 탐지 시그니처를 이용하여 용이하고 적확하게 공격을 탐지할 수 있다.
저장부(130)는 제어부(120)의 제어에 따라, 허위 OS 에러 리포트 및 이에 관련된 정보나 생성된 공격 탐지 시그니처 등을 저장할 수 있다.
도 4는 본 발명에 따른 공격 탐지 방법을 나타낸 순서도이다.
도 4를 참조하면, 본 발명에 따른 공격 탐지 장치(100)는 먼저 적어도 하나의 통신 장치에 대한 허위 OS 에러 리포트를 생성하여(401) 외부로 전송한다(402). 허위 OS 에러 리포트는 시스템 정보로써, 예를 들어, OS 관련 정보(예를 들어, 이름, 버전 정보 등), 애플리케이션 또는 서비스 관련 정보(예를 들어, 이름, 버전 정보 등), 장치 정보(예를 들어, 모델명, 식별자 등) 등을 포함할 수 있다. 제어부(120)는 제어부(120)는 범용적으로 사용하지 않은 애플리케이션 정보 등을 이용하거나, 조작된 데이터베이스 정보 등을 이용하여 허위 OS 에러 리포트를 생성할 수 있다.
다음으로, 공격 탐지 장치(100)는 허위 OS 에러 리포트를 기초로, 공격 탐지 시그니처를 생성한다(403). 구체적으로, 공격 탐지 장치(100)는 허위 OS 에러 리포트 생성에 이용된 데이터를 기초로, 공격 탐지 시그니처를 생성할 수 있다. 일 실시 예에서, 공격 탐지 장치(100)는 생성된 공격 탐지 시그니처를 적어도 하나의 통신 장치로 전달할 수 있다.
다음으로, 공격 탐지 장치(100)는 생성된 공격 탐지 시그니처를 이용하여 적어도 하나의 통신 장치를 위한 공격 탐지를 수행한다(404).
추가로, 생성된 공격 탐지 시그니처에 대응하는 공격이 탐지되면, 공격 탐지 장치(100)는 그에 대응하는 적어도 하나의 동작, 예를 들어 공격 탐지 사실을 공격 타겟 통신 장치로 전송하는 동작, 공격을 차단하는 동작 등을 수행할 수 있다.
본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 그리고 본 명세서와 도면에 개시된 실시 예들은 본 발명의 내용을 쉽게 설명하고, 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 따라서 본 발명의 범위는 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상을 바탕으로 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100: 공격 탐지 장치
110: 통신부
120: 제어부
130: 저장부
200: 내부 네트워크
300: 외부 네트워크
400: 해커
110: 통신부
120: 제어부
130: 저장부
200: 내부 네트워크
300: 외부 네트워크
400: 해커
Claims (14)
- 공격 탐지 장치가 적어도 하나의 통신 장치에 대한 허위 OS 에러 리포트를 외부로 전송하는 단계;
상기 허위 OS 에러 리포트를 기초로 공격 탐지 시그니처를 생성하는 단계; 및
상기 공격 탐지 시그니처를 이용하여 상기 적어도 하나의 통신 장치를 위한 공격 탐지를 수행하는 단계를 포함하는 것을 특징으로 하는 공격 탐지 방법. - 제1항에 있어서, 상기 허위 OS 에러 리포트는,
시스템 정보로써, OS 관련 정보, 애플리케이션 또는 서비스 관련 정보, 장치 정보 중 적어도 하나를 포함하는 것을 특징으로 하는 공격 탐지 방법. - 제1항에 있어서, 상기 허위 OS 에러 리포트를 외부로 전송하는 단계는,
비범용적 애플리케이션 정보 또는 조작된 데이터베이스 정보를 기초로 상기 허위 OS 에러 리포트를 생성하는 단계를 포함하는 것을 특징으로 하는 공격 탐지 방법. - 제3항에 있어서, 상기 OS 에러 리포트를 생성하는 단계는,
포트 번호 및 루트 계정 중 적어도 하나가 조작된 데이터 베이스 정보를 기초로 OS 에러 리포트를 생성하는 단계를 포함하는 것을 특징으로 하는 공격 탐지 방법. - 제1항에 있어서, 상기 허위 OS 에러 리포트는,
윈도우 에러 리포팅 기능에 의해 지원되는 윈도우 에러 리포트인 것을 특징으로 하는 공격 탐지 방법. - 제1항에 있어서, 상기 공격 탐지 시그니처를 생성하는 단계는,
상기 생성된 공격 탐지 시그니처를 상기 적어도 하나의 통신 장치로 전송하여, 상기 적어도 하나의 통신 장치가 상기 공격 탐지 시그니처를 이용하여 공격 탐지를 수행하도록 하는 단계를 포함하는 것을 특징으로 하는 공격 탐지 방법. - 제1항에 있어서,
상기 공격 탐지 결과, 상기 공격 탐지 시그니처에 대응하는 공격이 감지되면, 상기 적어도 하나의 통신 장치로 공격 탐지 사실을 전송하거나 또는 상기 공격을 차단하기 위한 동작을 수행하는 단계를 더 포함하는 것을 특징으로 하는 공격 탐지 방법. - 외부와 데이터 통신을 수행하는 통신부;
적어도 하나의 공격 탐지 시그니처를 저장하는 저장부; 및
적어도 하나의 통신 장치에 대한 허위 OS 에러 리포트를 외부로 전송하도록 상기 통신부를 제어하고, 상기 허위 OS 에러 리포트를 기초로 공격 탐지 시그니처를 생성하여 상기 저장부에 저장하고, 상기 공격 탐지 시그니처를 이용하여 상기 적어도 하나의 통신 장치를 위한 공격 탐지를 수행하는 제어부 포함하는 것을 특징으로 하는 공격 탐지 장치. - 제8항에 있어서, 상기 허위 OS 에러 리포트는,
시스템 정보로써, OS 관련 정보, 애플리케이션 또는 서비스 관련 정보, 장치 정보 중 적어도 하나를 포함하는 것을 특징으로 하는 공격 탐지 장치. - 제8항에 있어서, 상기 제어부는,
비범용적 애플리케이션 정보 또는 조작된 데이터베이스 정보를 기초로 상기 허위 OS 에러 리포트를 생성하는 것을 특징으로 하는 공격 탐지 장치. - 제10항에 있어서, 상기 제어부는,
포트 번호 및 루트 계정 중 적어도 하나가 조작된 데이터 베이스 정보를 기초로 OS 에러 리포트를 생성하는 것을 특징으로 하는 공격 탐지 장치. - 제8항에 있어서, 상기 제어부는,
상기 허위 OS 에러 리포트는,
윈도우 에러 리포팅 기능에 의해 지원되는 윈도우 에러 리포트인 것을 특징으로 하는 공격 탐지 장치. - 제8항에 있어서, 상기 제어부는,
상기 생성된 공격 탐지 시그니처를 상기 적어도 하나의 통신 장치로 전송하여, 상기 적어도 하나의 통신 장치가 상기 공격 탐지 시그니처를 이용하여 공격 탐지를 수행하도록 하는 것을 특징으로 하는 공격 탐지 장치. - 제8항에 있어서, 상기 제어부는,
상기 공격 탐지 결과, 상기 공격 탐지 시그니처에 대응하는 공격이 감지되면, 상기 적어도 하나의 통신 장치로 공격 탐지 사실을 전송하거나 또는 상기 공격을 차단하기 위한 동작을 수행하도록 제어하는 것을 특징으로 하는 공격 탐지 장치.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150190209A KR20170079528A (ko) | 2015-12-30 | 2015-12-30 | 공격 탐지 방법 및 장치 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150190209A KR20170079528A (ko) | 2015-12-30 | 2015-12-30 | 공격 탐지 방법 및 장치 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20170079528A true KR20170079528A (ko) | 2017-07-10 |
Family
ID=59355816
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020150190209A KR20170079528A (ko) | 2015-12-30 | 2015-12-30 | 공격 탐지 방법 및 장치 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20170079528A (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107508817A (zh) * | 2017-09-04 | 2017-12-22 | 北京经纬信安科技有限公司 | 一种企事业单位内源威胁网络安全防御设备 |
-
2015
- 2015-12-30 KR KR1020150190209A patent/KR20170079528A/ko not_active Application Discontinuation
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107508817A (zh) * | 2017-09-04 | 2017-12-22 | 北京经纬信安科技有限公司 | 一种企事业单位内源威胁网络安全防御设备 |
CN107508817B (zh) * | 2017-09-04 | 2020-05-05 | 北京经纬信安科技有限公司 | 一种企事业单位内源威胁网络安全防御设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11151258B2 (en) | System and method for identifying network security threats and assessing network security | |
US10757134B1 (en) | System and method for detecting and remediating a cybersecurity attack | |
Antonakakis et al. | Understanding the mirai botnet | |
US10454953B1 (en) | System and method for separated packet processing and static analysis | |
US10594736B1 (en) | Selective traffic blockage | |
US9661009B1 (en) | Network-based malware detection | |
JP6106780B2 (ja) | マルウェア解析システム | |
US8839442B2 (en) | System and method for enabling remote registry service security audits | |
US9654494B2 (en) | Detecting and marking client devices | |
US8677493B2 (en) | Dynamic cleaning for malware using cloud technology | |
US20150007250A1 (en) | Interception and Policy Application for Malicious Communications | |
AU2012259113A1 (en) | Malware analysis system | |
US9998482B2 (en) | Automated network interface attack response | |
KR101541244B1 (ko) | Pc 및 공유기 등의 dns 변조를 통한 파밍 공격 방지 방법 및 시스템 | |
Rahman et al. | Holistic approach to arp poisoning and countermeasures by using practical examples and paradigm | |
KR101494329B1 (ko) | 악성 프로세스 검출을 위한 시스템 및 방법 | |
KR20200011702A (ko) | 보안관제체계 진단장치 및 보안관제체계 진단방법 | |
KR20170079528A (ko) | 공격 탐지 방법 및 장치 | |
CN112039895B (zh) | 一种网络协同攻击方法、装置、系统、设备及介质 | |
GB2540375A (en) | Preventing browser-originating attacks in a local area network | |
Ayala et al. | How hackers gain access to a healthcare facility or hospital network | |
CN117955675A (zh) | 一种网络攻击的防御方法、装置、电子设备及存储介质 | |
CN115333866A (zh) | 安全防护方法、装置、终端设备以及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |