KR20170122548A - 비정상 프로세스의 연관 데이터 분석을 이용한 apt 공격 인지 방법 및 장치 - Google Patents

비정상 프로세스의 연관 데이터 분석을 이용한 apt 공격 인지 방법 및 장치 Download PDF

Info

Publication number
KR20170122548A
KR20170122548A KR1020160051673A KR20160051673A KR20170122548A KR 20170122548 A KR20170122548 A KR 20170122548A KR 1020160051673 A KR1020160051673 A KR 1020160051673A KR 20160051673 A KR20160051673 A KR 20160051673A KR 20170122548 A KR20170122548 A KR 20170122548A
Authority
KR
South Korea
Prior art keywords
apt
information
download
api
model
Prior art date
Application number
KR1020160051673A
Other languages
English (en)
Inventor
이종훈
김영수
한민호
김익균
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020160051673A priority Critical patent/KR20170122548A/ko
Publication of KR20170122548A publication Critical patent/KR20170122548A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • H04L67/1074Peer-to-peer [P2P] networks for supporting data block transmission mechanisms
    • H04L67/1078Resource delivery mechanisms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 기업이나 조직 등의 네트워크 상의 서버, PC(Personal Computer) 등 호스트 장치의 백신 프로그램이나 보안 시스템에서 실시간으로 탐지된 악성 프로세스 등 비정상 프로세스(어플리케이션)에 대해, 과거 연관 데이터에서 그 프로세스와 연관된 데이터 관계 및 수행된 행위에 대한 과거 연관 정보를 생성하여, 이를 기반으로 APT 5단계, 즉, 전파(Delivery), 탈취(Exploitation), 설치(Installation), C&C(Command & Control) 통신, 목표달성(Actions)을 분석함으로써, 지능형 사이버 표적 공격(APT)을 탐지하는 방법 및 장치에 관한 것이다.

Description

비정상 프로세스의 연관 데이터 분석을 이용한 APT 공격 인지 방법 및 장치{Method and Apparatus for Recognizing APT(Advanced Persistent Threat) using Co-Relational Data Analytics}
본 발명은 지능형 사이버 표적 공격(APT, Advanced Persistent Threat)의 인지 방법 및 장치에 관한 것으로서, 특히, 기업이나 조직 등의 네트워크 상의 서버, PC(Personal Computer) 등 호스트 장치에서 탐지된 지능형 사이버 표적 공격(APT)이 의심스러운 악성 프로세스 등 비정상 프로세스(어플리케이션)와 관련된 연관 데이터를 찾아내어 그 프로세스와 연관된 데이터 관계 및 수행된 행위를 분석함으로써, 지능형 사이버 표적 공격(APT)을 탐지하는 방법 및 장치에 관한 것이다.
현재 지능형 사이버 표적 공격은 공격자가 장기간에 걸쳐서 다양한 신종의 변종된 공격 기법을 활용하고 있으며, 이는 기업망이나 조직에 상당한 위협으로 대두되고 있고, 이를 탐지하기 위한 다양한 보안 시스템과 솔루션이 개발되고 있다. 특히 APT(Advanced Persistent Threat)의 경우에는 공격자가 보안 위협을 표적으로 정한 기업망이나 조직의 네트워크에 지속적이고 은밀하게 가하는 공격으로써, 조직 내부의 PC나 호스트를 공격자가 장악한 뒤 내부 중요 서버나 데이터베이스에 접근하여 중요 정보를 빼가거나 파괴하는 것을 목표로 한다.
예를 들어, 공격자가 백신 프로그램 업데이트 서버를 침투하여, 백신 업데이트 서버의 리다이렉션 주소를 바꾸어, 공격자 자신이 지정한 악성 서버로부터 백신 업데이트 행위가 이루어지도록 하여 정상 프로그램을 가장한 악성코드를 사용자에게 다운로드 하는 경우와 같은 행위는 기존의 보안 장비로는 막을 수가 없다. 그리고 장기간 동안 악성 코드나 프로그램을 은닉시키고 여러 단계에 걸쳐 행해지므로 APT의 공격을 탐지하거나 확인하는데 있어 많은 한계를 드러내고 있다. 또, APT 공격은 최종 목표 행위가 내부 기밀 정보 탈취나 시스템 파괴와 같은 공격으로 기업이나 조직 내에 치명적인 피해가 일어나게 되므로 지속적이고 은밀하게 진행되는 공격을 인지하고 탐지할 필요가 있다.
즉, 오랜 잠복 기간을 두고 은밀하고 정교하게 이루어지는 최근의 지능형 사이버 표적 공격(APT: Advanced Persistent Threat)을 인지하고 방어하는 데 있어 기존 보안 시스템이나 바이러스 백신 프로그램은 과거의 관련 정보를 분석하지 않는 한계를 드러내고 있기 때문에, 여러 개의 악성코드와 조직망내의 여러 호스트들 내에서 단계적으로 행해지는 APT의 공격 여부를 인지할 수가 없다.
따라서, 본 발명은 상술한 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은, 기업이나 조직 등의 네트워크 상의 서버, PC(Personal Computer) 등 호스트 장치의 백신 프로그램이나 보안 시스템에서 실시간으로 탐지된 악성 프로세스 등 비정상 프로세스(어플리케이션)에 대해, 과거 연관 데이터에서 그 프로세스와 연관된 데이터 관계 및 수행된 행위에 대한 과거 연관 정보를 생성하여, 이를 기반으로 APT 5단계, 즉, 전파(Delivery), 탈취(Exploitation), 설치(Installation), C&C(Command & Control) 통신, 목표달성(Actions)을 분석함으로써, 지능형 사이버 표적 공격(APT)을 탐지하는 방법 및 장치를 제공하는 데 있다.
또한, 이를 위해 API(Application Program Interface) 데이터 수집기를 통하여 호스트 장치 내에서 호출된 프로세스, 파일, 네트워크와 관련된 API 이름과 파라미터를 수집하고 이를 장기간 저장하여, 저장된 과거 연관 데이터에서 악성 프로세스나 비정상 프로세스(어플리케이션)에 대해 연관성이 있는 연관 정보를 추출하고 이를 조합 및 결합하여 APT의 5단계 범주내의 세부 모델과 매핑 여부를 분석해 지능형 사이버 표적 공격(APT)을 탐지하는 방법 및 장치를 제공하는 데 있다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재들로부터 당업자에게 명확하게 이해될 수 있을 것이다.
먼저, 본 발명의 특징을 요약하면, 상기의 목적을 달성하기 위한 본 발명의 일면에 따른 사이버 표적 공격 탐지 장치에서의 공격 탐지 방법은, API(Application Program Interface)를 통하여 호스트 장치에서 발생하는 프로세스, 파일 오퍼레이션, 또는 네트워크 접속과 관련된 API 정보를 수집하여 저장 수단에 저장하는 단계; 상기 호스트 장치에서 발생하는 비정상 프로세스를 실시간으로 탐지하는 단계; 상기 저장 수단에서 상기 비정상 프로세스와 관련된 과거의 API 정보를 추출하여, 상기 비정상 프로세스와 과거 연관 프로세스에 대한, 유입 경로 정보, 파일 오퍼레이션 정보, 또는 네트워크 접속 정보를 포함하는 과거 연관 정보를 생성하는 단계; 및 상기 과거 연관 정보에서 중복된 데이터를 연결점으로 추출하고 연관 데이터 셋을 생성 후, 상기 연관 데이터 셋에 대하여 APT(Advanced Persistent Threat) 각 단계의 결정을 위하여 APT 행위 모델과 매핑 여부를 분석하는 단계를 포함한다.
상기 과거 연관 정보를 생성하는 단계는, 다운로드 경로나 파일 생성을 포함하는 유입 경로와 관련된 API 정보로부터, 상기 비정상 프로세스와 관련해 최초에 유입된 프로세스의 다운로드 경로나 파일 생성 경로를 포함하는 상기 유입 경로 정보를 생성하는 단계를 포함한다.
상기 과거 연관 정보를 생성하는 단계는, 파일 오퍼레이션 관련 API 정보로부터, 상기 파일 오퍼레이션 정보를 생성하는 단계를 포함한다.
상기 과거 연관 정보를 생성하는 단계는, 네트워크 접속 관련 API 정보로부터, 상기 네트워크 접속 정보 정보를 생성하는 단계를 포함한다.
상기 분석하는 단계에서, 상기 연관 데이터 셋에 포함된, 전파(Delivery), 탈취(Exploitation), 설치(Installation), C&C(Command & Control) 통신, 또는 목표달성(Actions) 단계를 포함하는 APT의 각 단계를 결정하고, 상기 각 단계와 그에 포함되는 행위 모델의 탐지 건수를 그래피컬하게 사용자 인터페이스를 통해 표시하는 것을 특징으로 한다.
상기 분석하는 단계는, 상기 APT 행위 모델 중 E-메일에 의한 다운로드, 웹페이지에 의한 다운로드, 외부로부터의 소프트웨어 업데이트 다운로드, 외장 메모리에 의한 다운로드, 또는 공격자나 외부 서버에 의한 명시적 다운로드의 모델을 포함하는 행위 모델과의 매핑 여부를 분석하여 전파(Delivery) 단계의 포함 여부를 결정하는 단계를 포함한다.
상기 분석하는 단계는, 상기 APT 행위 모델 중 파일 실행, 미리 정해진 중요 서버의 검색, 또는 내부망 정보 수집의 모델을 포함하는 행위 모델과의 매핑 여부를 분석하여 탈취(Exploitation) 단계의 포함 여부를 결정하는 단계를 포함한다.
상기 분석하는 단계는, 상기 APT 행위 모델 중 추가 다운로드나 설치의 모델을 포함하는 행위 모델과의 매핑 여부를 분석하여 설치(Installation) 단계의 포함 여부를 결정하는 단계를 포함한다.
상기 분석하는 단계는, 상기 APT 행위 모델 중 주기적 공격자 C&C 통신, 시스템 내부 정보 검색, 시스템 내부 파일 다운로드, 시스템 내부 파일 업로드, 또는 원격 제어의 모델을 포함하는 행위 모델과의 매핑 여부를 분석하여 C&C(Command & Control) 통신 단계의 포함 여부를 결정하는 단계를 포함한다.
상기 분석하는 단계는, 상기 APT 행위 모델 중 내부 정보 유출, 또는 백신 프로그램 종료의 모델을 포함하는 행위 모델과의 매핑 여부를 분석하여 목표 달성(Actions) 단계의 포함 여부를 결정하는 단계를 포함한다.
그리고, 본 발명의 다른 일면에 따른 사이버 표적 공격을 탐지하기 위한 장치는, API(Application Program Interface)를 통하여 호스트 장치에서 발생하는 프로세스, 파일 오퍼레이션, 또는 네트워크 접속과 관련된 API 정보를 수집하는 API 데이터 수집기; 상기 API 정보를 저장 수단에 소정의 기간 동안 저장하는 API 데이터 저장기; 상기 호스트 장치에서 발생하는 비정상 프로세스를 (실시간으로) 탐지하는 실시간 비정상 프로세스 탐지기; 상기 저장 수단에서 상기 비정상 프로세스와 관련된 과거의 API 정보를 추출하여, 상기 비정상 프로세스와 과거 연관 프로세스에 대한, 유입 경로 정보, 파일 오퍼레이션 정보, 또는 네트워크 접속 정보를 포함하는 과거 연관 정보를 생성하는 연관 데이터 분석기; 및 상기 과거 연관 정보에서 중복된 데이터를 연결점으로 추출하고 연관 데이터 셋을 생성 후, 상기 연관 데이터 셋에 대하여 APT(Advanced Persistent Threat) 각 단계의 결정을 위하여 APT 행위 모델과 매핑 여부를 분석하는 APT 단계 분석기를 포함한다.
상기 연관 데이터 분석기는, 다운로드 경로나 파일 생성을 포함하는 유입 경로와 관련된 API 정보로부터, 상기 비정상 프로세스와 관련해 최초에 유입된 프로세스의 다운로드 경로나 파일 생성 경로를 포함하는 상기 유입 경로 정보를 생성할 수 있다.
상기 연관 데이터 분석기는, 파일 오퍼레이션 관련 API 정보로부터, 상기 파일 오퍼레이션 정보를 생성할 수 있다.
상기 연관 데이터 분석기는, 네트워크 접속 관련 API 정보로부터, 상기 네트워크 접속 정보 정보를 생성할 수 있다.
상기 APT 단계 분석기는, 상기 연관 데이터 셋에 포함된, 전파(Delivery), 탈취(Exploitation), 설치(Installation), C&C(Command & Control) 통신, 또는 목표달성(Actions) 단계를 포함하는 APT의 각 단계를 결정하고, 상기 각 단계와 그에 포함되는 행위 모델의 탐지 건수를 그래피컬하게 사용자 인터페이스를 통해 표시할 수 있다.
상기 APT 단계 분석기는, 상기 APT 행위 모델 중 E-메일에 의한 다운로드, 웹페이지에 의한 다운로드, 외부로부터의 소프트웨어 업데이트 다운로드, 외장 메모리에 의한 다운로드, 또는 공격자나 외부 서버에 의한 명시적 다운로드의 모델을 포함하는 행위 모델과의 매핑 여부를 분석하여 전파(Delivery) 단계의 포함 여부를 결정할 수 있다.
상기 APT 단계 분석기는, 상기 APT 행위 모델 중 파일 실행, 미리 정해진 중요 서버의 검색, 또는 내부망 정보 수집의 모델을 포함하는 행위 모델과의 매핑 여부를 분석하여 탈취(Exploitation) 단계의 포함 여부를 결정할 수 있다.
상기 APT 단계 분석기는, 상기 APT 행위 모델 중 추가 다운로드나 설치의 모델을 포함하는 행위 모델과의 매핑 여부를 분석하여 설치(Installation) 단계의 포함 여부를 결정할 수 있다.
상기 APT 단계 분석기는, 상기 APT 행위 모델 중 주기적 공격자 C&C 통신, 시스템 내부 정보 검색, 시스템 내부 파일 다운로드, 시스템 내부 파일 업로드, 또는 원격 제어의 모델을 포함하는 행위 모델과의 매핑 여부를 분석하여 C&C(Command & Control) 통신 단계의 포함 여부를 결정할 수 있다.
상기 APT 단계 분석기는, 상기 APT 행위 모델 중 내부 정보 유출, 또는 백신 프로그램 종료의 모델을 포함하는 행위 모델과의 매핑 여부를 분석하여 목표 달성(Actions) 단계의 포함 여부를 결정할 수 있다.
본 발명에 따른 지능형 사이버 표적 공격(APT)을 탐지하는 방법 및 장치에 따르면, API(Application Program Interface) 데이터 수집기를 통하여 수집한 과거 연관 데이터에서, 실시간으로 탐지된 악성 프로세스나 비정상 프로세스(어플리케이션)에 대해 연관성이 있는 과거 연관 정보를 추출하고 이를 조합 및 결합하여 APT의 5단계 범주내의 세부 행위 모델과 매핑 여부를 분석해 지능형 사이버 표적 공격(APT)을 탐지할 수 있고, 이를 이용하여 기업이나 조직 등의 네트워크 상의 서버, PC(Personal Computer) 등 호스트 장치에 사이버 표적 공격이 의심스러운 악성 행위를 탐지하는 기술 및 시스템으로 다양한 활용이 가능하다.
도 1은 본 발명의 일 실시예에 따른 과거 연관 데이터를 이용한 지능형 사이버 표적 공격(APT) 탐지 장치의 구성도이다.
도 2는 본 발명의 일 실시예에 따른 지능형 사이버 표적 공격(APT) 탐지 장치에서의 APT 탐지 동작을 설명하기 위한 흐름도이다.
도 3은 본 발명의 일 실시예에 따른 과거 연관 정보의 결합 과정을 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 연결점 추출 및 결합에 의한 과거 연관 정보의 결합 과정을 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시예에 따른 비정상 프로세스에 대한 연관 데이터 셋의 예시이다.
도 6은 본 발명의 일 실시예에 따른 연관 데이터 셋에 대한 APT 모델 매핑의 예시이다.
도 7은 본 발명의 일 실시예에 따른 APT 탐지를 위한 단계별 행위 모델의 예시이다.
도 8a 및 도 8b는 본 발명의 일 실시예에 따른 APT 단계별 결과 화면의 예시이다.
도 9는 본 발명의 일 실시예에 따른 지능형 사이버 표적 공격(APT) 탐지 장치의 구현 방법의 일례를 설명하기 위한 도면이다.
이하, 본 발명의 일부 실시예들을 예시적인 도면을 통해 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명의 실시예를 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 실시예에 대한 이해를 방해한다고 판단되는 경우에는 그 상세한 설명은 생략한다.
본 발명의 실시예의 구성 요소를 설명하는 데 있어서, 제 1, 제 2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 또한, 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
도 1은 본 발명의 일 실시예에 따른 과거 연관 데이터를 이용한 지능형 사이버 표적 공격(APT) 탐지 장치(100)의 구성도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 지능형 사이버 표적 공격(APT) 탐지 장치(100)는, API 데이터 수집기(110), (윈도우) API 데이터 저장기(120), 실시간 비정상 프로세스 탐지기(130), 연관 데이터 분석기(140) 및 APT 단계 분석기(150)를 포함한다. 이와 같은 지능형 사이버 표적 공격(APT) 탐지 장치(100)의 구성요소들은 반도체 프로세서와 같은 하드웨어, 응용 프로그램과 같은 소프트웨어, 또는 이들의 결합으로 구현될 수 있다. 지능형 사이버 표적 공격(APT) 탐지 장치(100)는 유무선 인터넷 통신이 가능한 네트워크 상의 서버, PC(Personal Computer) 등 호스트 장치에 탑재될 수 있다.
API 데이터 수집기(110)는 호스트 장치 내에서 호출된 프로세스, 파일 오퍼레이션, 네트워크 접속 등과 관련된 각각의 API(Application Program Interface) 이름과 해당 파라미터 등 API 정보를 수집한다. 예를 들어, 윈도우 기반 OS(Operating System)에서 지원하는 API를 이용하여 호스트 장치 내에서 발생하는 각종 프로세스, 파일 오퍼레이션, 네트워크 접속 관련 파라미터에 대한 API 정보를 수집할 수 있다.
API 데이터 저장기(120)는 API 데이터 수집기(110)가 수집한 API 정보를 메모리 등 저장 수단에 저장 관리하며, 소정의 기간 동안 유지한다.
실시간 비정상 프로세스 탐지기(130)는 안티 바이러스 백신 프로그램이나 보안 시스템을 이용하여 실시간으로 악성 프로세스 등 비정상 프로세스(어플리케이션)을 탐지한다.
연관 데이터 분석기(140)는, 비정상 프로세스에 대해, API 데이터 저장기(120)에 저장된 API 정보, 즉, 과거 관련 데이터를 참조하고 분석하여, 비정상 프로세스 및 과거 연관 프로세스에 대한, 유입 경로 정보, 파일 오퍼레이션 정보, 네트워크 접속 정보 등 과거 연관 정보를 생성한다.
APT 단계 분석기(150)는 비정상 프로세스에 대한 과거 연관 정보의 중복된 데이터를 연결점으로 추출하고 조합하여 연관 데이터 셋을 생성 후, 이를 기반으로 APT의 5단계 범주내의 세부 행위 모델과 매핑 여부를 분석해 APT 단계를 결정하고, 각 단계와 그에 포함되는 행위 모델의 탐지 건수를 그래피컬하게 사용자 인터페이스를 통해 표시할 수 있다. APT 5단계는 전파(Delivery), 탈취(Exploitation), 설치(Installation), C&C 통신, 목표달성(Actions) 등을 포함한다.
도 2는 본 발명의 일 실시예에 따른 지능형 사이버 표적 공격(APT) 탐지 장치(100)에서의 APT 탐지 동작을 설명하기 위한 흐름도이다.
먼저, 실시간 비정상 프로세스 탐지기(130)가 실시간으로 호스트 장치에서 발생하는 악성 프로세스 등 비정상 프로세스(예, 비정상 프로세스의 프로세스 이름, 프로세스 ID, 파일명 등)를 탐지한다(S110).
연관 데이터 분석기(140)는 API 데이터 저장기(120)에서 해당 비정상 프로세스의 프로세스 이름, 프로세스 ID, 파일명 등에 대응되는 과거 관련 API 정보를 추출하고(S120, S130, S140), 해당 비정상 프로세스 및 과거 연관 프로세스에 대하여 다운로드나 유입 경로 행위 분석, 파일 오퍼레이션 분석, 네트워크 접속 행위 분석을 수행한다(S121, S131, S141). 과거 관련 API 정보는 부모 프로세스 정보(예, 부모 프로세스의 이름, 프로세스 ID, 파일명 등) 등 과거 연관 프로세스 정보를 포함하며, 비정상 프로세스 및 과거 연관 프로세스에 대한, 다운로드 경로나 파일 생성 등 유입 경로와 관련된 정보(예, URL Download, File Create 등에 대한 API 정보), 파일 오퍼레이션 관련 정보(예, File Read, File Write, File Move, File Delete 등에 대한 API 정보), 네트워크 접속 관련 정보(예, connect, send, recv, listen 등에 대한 API 정보) 등의 API 정보를 포함한다.
예를 들어, 연관 데이터 분석기(140)는 API 데이터 저장기(120)에서, 비정상 프로세스 및 과거 연관 프로세스를 포함하는, 다운로드 경로나 파일 생성 등 유입 경로와 관련된 API 정보(예, URL Download, File Create 등에 대한 API 정보)를 추출할 수 있고, 추출된 정보에 대하여 비정상 프로세스와 관련해 최초로 다운로드가 있었거나 파일 생성 정보를 분석하며(S120), 비정상 프로세스와 관련해 최초에 유입된 프로세스의 다운로드 경로, 파일 생성 경로를 분석하여 비정상 프로세스 및 과거 연관 프로세스에 대한 유입 경로 정보(예, 다운로드 경로, 파일 생성 경로 등의 리스트)를 생성한다(S121).
또한, 연관 데이터 분석기(140)는 API 데이터 저장기(120)에서, 비정상 프로세스 및 과거 연관 프로세스를 포함하는, 파일 오퍼레이션 관련 API 정보(예, File Read, File Write, File Move, File Delete 등에 대한 API 정보)를 추출할 수 있고(S130), 추출된 정보를 분석하여 비정상 프로세스 및 과거 연관 프로세스에 대한 파일 오퍼레이션 정보(예, 파일 오퍼레이션 프로세스 등의 리스트)를 생성한다(S131).
연관 데이터 분석기(140)는 API 데이터 저장기(120)에서, 비정상 프로세스 및 과거 연관 프로세스를 포함하는, 네트워크 접속 관련 API 정보(예, connect, send, recv, listen 등에 대한 API 정보)를 추출할 수 있고(S140), 추출된 정보를 분석하여 네트워크 접속 정보(예, 실제 접속이 이루어진 외부 호스트 IP(Internet Protocol) 주소와 포트 정보, 내부 호스트 IP 주소와 포트 정보 등의 리스트)를 생성한다(S141).
연관 데이터 분석기(140)가 생성하는 유입 경로 정보, 파일 오퍼레이션 정보, 네트워크 접속 정보 등 과거 연관 정보는, <object1, object2, behavior name>의 형태를 갖는다. 예를 들어 "프로세스1" 이 "파일1" 을 "다운로드"한 경우, <프로세스1, 파일1, 다운로드>로 표현된 유입 경로 정보가 생성된다. 또한, "프로세스2" 이 "ip_1" 에 접속한 경우, <프로세스2, ip1, Connect> 로 표현된 네트워크 접속 정보가 생성된다.
연관 데이터 분석기(140)가 이와 같은 유입 경로 정보, 파일 오퍼레이션 정보, 네트워크 접속 정보 등 과거 연관 정보를 생성하면, APT 단계 분석기(150)는 비정상 프로세스에 대한 과거 연관 정보의 중복된 데이터를 연결점으로 추출하고 조합하여 연관 데이터 셋을 생성 후(S150), 이를 기반으로 APT의 5단계 범주내의 세부 행위 모델과 매핑 여부를 분석해(S160), 각 단계에 해당 여부를 결정한다(S170). APT 단계 분석기(150)는 전파(Delivery), 탈취(Exploitation), 설치(Installation), C&C 통신, 목표달성(Actions) 등 각 단계와 그에 포함되는 행위 모델의 탐지 건수를 그래피컬하게 사용자 인터페이스를 통해 표시할 수 있다.
도 3은 본 발명의 일 실시예에 따른 과거 연관 정보의 결합 과정을 설명하기 위한 도면이다. 도 3은 각각의 과거 연관 정보가 행위별(behavior)로 생성되었을 때, APT 단계 분석기(150)가 이를 조합하기 위한 위한 연관 정보의 결합 과정을 보여준다.
도 3과 같이, 과거 연관 정보로서, Object_1 과 Object_2 에 대한 Behavior_1의 데이터가 생성되고, Object_1 과 Object_3 에 대한 Behavior_2의 데이터가 생성되면, Object_1 이 연결점이 되어서 두 개의 연관 데이터는 연결된 하나의 데이터로 결합이 이루어진다.
도 4는 본 발명의 일 실시예에 따른 연결점 추출 및 결합에 의한 과거 연관 정보의 결합 과정을 설명하기 위한 도면이다. 도 4는 도 3에서 설명한 연관 정보의 결합 과정을 보다 자세히 설명한 예시로써, 연결점 추출 및 결합 과정을 보여준다.
도 4와 같이, 과거 연관 정보로서, 6개의 행위(Behavior_1 ~ Behavior_6)에 대한 데이터가 생성되었을 때(410), 중복된 데이터인 Process Name(421), Object_1(422), Object_2(423)를 연결점으로 추출하고(420), 이 연결점을 기반으로 데이터들이 서로 연결 결합되도록 구성한 결합 데이터를 생성한다(430).
도 5는 본 발명의 일 실시예에 따른 비정상 프로세스에 대한 연관 데이터 셋의 예시이다. 도 5는 APT 단계 분석기(150)가 비정상 프로세스에 대한 과거 연관 정보의 연결점을 추출하고 조합하여 생성한 연관 데이터 셋의 일례를 나타낸다.
도 5와 같이, 비정상 프로세스로 탐지된 mal2.exe 에 대해서, mal2.exe의 과거 연관 정보를 분석하여 연관된 행위를 추출한 후, 이를 결합하게 되면, mal2.exe 는 프로세스 mal1.exe에 의해 다운로드 되었고, mal1.exe는 outlook.exe에 의해 다운로드 및 파일생성 되었음을 알 수 있다. 그리고, mal1.exe는 parent.exe에 의해 실행이 되었고, parent.exe는 네트워크 접속을 하였다. 그리고, mal2.exe 는 동일한 망내의 내부 ip 에 대해서 연속적인 포트(sequencial port)에 접속을 하였고, 포트 5504를 오픈하여 listen 상태로 있었음을 알 수 있다.
한편, APT 단계 분석기(150)는 이와 같이 연관 데이터 셋을 생성 후(S150), 이를 기반으로 APT의 5단계 범주내의 세부 행위 모델과 매핑 여부를 분석해(S160) 각 단계에 해당 여부를 결정한다(S170). APT 단계 분석기(150)는 전파(Delivery), 탈취(Exploitation), 설치(Installation), C&C 통신, 목표달성(Actions) 등 각 단계와 그에 포함되는 행위 모델의 탐지 건수를 그래피컬하게 사용자 인터페이스(예, LCD 디스플레이)를 통해 표시할 수 있다.
도 6은 본 발명의 일 실시예에 따른 연관 데이터 셋에 대한 APT 모델 매핑의 예시이다. 도 6은 연관 데이터 셋에 대한 "E-메일 다운로드", "파일 실행", "공격자/C&C 통신", "중요 서버 검색" 등의 APT 모델 매핑을 나타낸다.
도 6을 참조하면, 먼저 위와 같은 방법으로 malware.exe 라는 비정상 프로세스에 대한 과거 연관 정보를 추출하여, 연결점을 이용한 데이터 결합에 의해서 610과 같이 연관 데이터 셋을 구성할 수 있다. 이렇게 구성된 연관 데이터 셋에 대해서, APT 단계 분석기(150)는 APT의 5단계인 전파(Delivery), 탈취(Exploitation), 설치(Installation), C&C(Command & Control) 통신, 목표달성(Actions)의 모델에 적용할 수 있는지를 분석한다.
먼저, 이와 같은 연관 데이터 셋에서, 이메일 응용 프로그램으로 분류되는 Outlook.exe에 의해 cheat.jpg가 다운로드 및 파일생성(create) 되었으므로, 이 경우는 미리 정의된 모델 "E-메일 다운로드"로 매핑한다.
또한, photo_viewer라는 프로그램의 실행에 의해 cheat.jpg 가 file open되면서, malware.exe가 create되고 실행이 되었으므로, 이 경우는 미리 정의된 모델 "파일 실행"으로 매핑한다.
또한, malware.exe가 내부 중요 서버로 미리 리스트해 놓은 ip에 접속하였으므로, 이 경우는 미리 정의된 모델 "중요 서버 검색"으로 매핑한다.
그리고, malware.exe가 외부의 알려지지 않은 ip_1과 ip_2에 접속을 하였으므로, 이 경우는 미리 정의된 모델 "공격자/C&C 통신"으로 매핑한다.
즉, malware.exe는 외부에서 이메일에 다운로드된 cheat.jpg 내에 은닉되어 있었던 실행파일로써, 내부 중요 서버를 접근하는 행위가 있었음을 인지할 수 있다.
도 6에는 연관 데이터 셋에 대한 "E-메일 다운로드", "파일 실행", "공격자/C&C 통신", "중요 서버 검색" 등의 APT 모델 매핑을 나타내었고, APT의 각 단계의 더 많은 모델에 대하여 도 7을 참조기로 한다.
도 7은 본 발명의 일 실시예에 따른 APT 탐지를 위한 단계별 행위 모델의 예시이다. APT 단계는 기업망이나 조직 외부에서 공격자에 의해 이루어지는 사전 작업외에, 일반적으로 망 내에서는, 전파(Delivery), 탈취(Exploitation), 설치(Installation), C&C(Command & Control) 통신, 목표달성(Actions)을 포함하는 5 단계가 반복적으로 이루어진다.
도 7을 참조하면, 먼저, 전파(Delivery) 단계의 경우, 공격자가 비정상 프로세스와 관련해 최초로 이메일 등의 방법으로 악성 프로세스 등 비정상 프로세스를 망 내의 호스트 장치에 전파하는 것으로써, 전파(Delivery)를 위한 행위 모델은, 1) E-메일에 의한 (파일) 다운로드, 2) 웹페이지(게시판)에 의한 다운로드, 3) 외부로부터의 소프트웨어 업데이트 다운로드, 4) USB(Universal Serial Bus) 등의 외장 메모리에 의한 다운로드, 5) 공격자/외부의 C&C 서버에 의한 명시적 다운로드 등의 모델을 포함한다.
다음 단계로서, 전파 단계를 통해서 다운로드된 비정상 프로세스를 통하여 망내 호스트 장치를 점유하기 위한 탈취(Exploitation)를 위한 행위 모델은, 6) 파일 실행, 7) 중요 서버 검색, 8) 내부망 정보 수집 등의 모델을 포함한다.
점유된 시스템에 공격자의 또 다른 프로그램 설치를 위한 설치(Installation) 단계의 행위 모델은, 9) 추가 다운로드 및 설치 등의 모델을 포함한다.
C&C(Command & Control) 통신 단계의 행위 모델은, 10) 주기적 공격자 C&C 통신, 11) 시스템 내부 정보 검색, 12) 시스템 내부 파일 다운로드, 13) 시스템 내부 파일 업로드, 14) 원격 제어 등의 모델을 포함한다.
그리고, 목표 달성(Actions) 단계의 행위 모델은, 15) 내부 정보 유출과 16) 백신 프로그램 종료 등의 모델을 포함한다.
상기에서 언급한 연관 데이터 셋을 분석하여 이렇게 정의된 행위 모델 중 3 개 이상의 행위 모델이 인지되는 경우, APT 단계 분석기(150)는 각 APT 단계별 모델 탐지 건수를 지능형 사이버 표적 공격(APT) 탐지 장치(100)의 GUI(Graphic User Interface)를 통해서 레포팅을 한다. 즉, APT 단계 분석기(150)는, 전파(Delivery), 탈취(Exploitation), 설치(Installation), C&C 통신, 목표달성(Actions) 등 각 단계와 그에 포함되는 행위 모델의 탐지 건수를 그래피컬하게 사용자 인터페이스를 통해 표시할 수 있다.
도 8a 및 도 8b는 본 발명의 일 실시예에 따른 APT 단계별 결과 화면의 예시이다.
APT 단계 분석기(150)는, 연관 데이터 셋을 분석하여 APT의 5단계 범주내의 세부 행위 모델과 매핑 여부를 분석하는 평상시 상태에서 도 8a와 같이 사용자 인터페이스를 통해 그래피컬하게 APT 각 단계를 표시할 수 있다.
또한, APT 단계 분석기(150)는, 연관 데이터 셋을 분석하여 도 7과 같은 행위 모델 중 3 개 이상의 행위 모델이 인지되는 경우, 도 8b와 같이 사용자 인터페이스를 통해 그래피컬하게 각 APT 단계와 해당 모델 탐지 건수를 표시할 수 있다. 이때 탐지 건수의 크기별로 APT 각 단계를 서로 다른 색상으로 구분하여 표시할 수 있다. 예를 들어, 탐지 건수가 많은 단계의 색상은 'Red'로 표시하고, 탐지 건수가 적은 단계의 색상은 'Yellow'로 표시할 수 있으며, 도 8a와 같이 평상시 상태에서는 'Blue' 등으로 표시할 수 있다.
도 9는 본 발명의 일 실시예에 따른 지능형 사이버 표적 공격(APT) 탐지 장치(100)의 구현 방법의 일례를 설명하기 위한 도면이다. 본 발명의 일 실시예에 따른 지능형 사이버 표적 공격(APT) 탐지 장치(100)는 하드웨어, 소프트웨어, 또는 이들의 결합으로 이루어질 수 있다. 예를 들어, 지능형 사이버 표적 공격(APT) 탐지 장치(100)는 도 9와 같은 컴퓨팅 시스템(1000)으로 구현될 수 있다.
컴퓨팅 시스템(1000)은 버스(1200)를 통해 연결되는 적어도 하나의 프로세서(1100), 메모리(1300), 사용자 인터페이스 입력 장치(1400), 사용자 인터페이스 출력 장치(1500), 스토리지(1600), 및 네트워크 인터페이스(1700)를 포함할 수 있다. 프로세서(1100)는 중앙 처리 장치(CPU) 또는 메모리(1300) 및/또는 스토리지(1600)에 저장된 명령어들에 대한 처리를 실행하는 반도체 장치일 수 있다. 메모리(1300) 및 스토리지(1600)는 다양한 종류의 휘발성 또는 불휘발성 저장 매체를 포함할 수 있다. 예를 들어, 메모리(1300)는 ROM(Read Only Memory)(1310) 및 RAM(Random Access Memory)(1320)을 포함할 수 있다.
따라서, 본 명세서에 개시된 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계는 프로세서(1100)에 의해 실행되는 하드웨어, 소프트웨어 모듈, 또는 그 2 개의 결합으로 직접 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터, 하드 디스크, 착탈형 디스크, CD-ROM과 같은 저장 매체(즉, 메모리(1300) 및/또는 스토리지(1600))에 상주할 수도 있다. 예시적인 저장 매체는 프로세서(1100)에 커플링되며, 그 프로세서(1100)는 저장 매체로부터 정보를 판독할 수 있고 저장 매체에 정보를 기입할 수 있다. 다른 방법으로, 저장 매체는 프로세서(1100)와 일체형일 수도 있다. 프로세서 및 저장 매체는 주문형 집적회로(ASIC) 내에 상주할 수도 있다. ASIC는 사용자 단말기 내에 상주할 수도 있다. 다른 방법으로, 프로세서 및 저장 매체는 사용자 단말기 내에 개별 컴포넌트로서 상주할 수도 있다.
상술한 바와 같이, 본 발명에 따른 지능형 사이버 표적 공격(APT) 장치(100)에서는, API(Application Program Interface) 데이터 수집기(110)를 통하여 수집한 과거 연관 데이터에서, 실시간으로 탐지된 악성 프로세스나 비정상 프로세스(어플리케이션)에 대해 연관성이 있는 과거 연관 정보를 추출하고 이를 조합 및 결합하여 APT의 5단계 범주내의 세부 모델과 매핑 여부를 분석해 지능형 사이버 표적 공격(APT)을 탐지할 수 있고, 이를 이용하여 기업이나 조직 등의 네트워크 상의 서버, PC(Personal Computer) 등 호스트 장치에 사이버 표적 공격이 의심스러운 악성 행위를 탐지하는 기술 및 시스템으로 다양한 활용이 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다.
따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
API 데이터 수집기(110)
API 데이터 저장기(120)
실시간 비정상 프로세스 탐지기(130)
연관 데이터 분석기(140)
APT 단계 분석기(150)

Claims (20)

  1. 사이버 표적 공격 탐지 장치에서의 공격 탐지 방법에 있어서,
    API(Application Program Interface)를 통하여 호스트 장치에서 발생하는 프로세스, 파일 오퍼레이션, 또는 네트워크 접속과 관련된 API 정보를 수집하여 저장 수단에 저장하는 단계;
    상기 호스트 장치에서 발생하는 비정상 프로세스를 탐지하는 단계;
    상기 저장 수단에서 상기 비정상 프로세스와 관련된 과거의 API 정보를 추출하여, 상기 비정상 프로세스와 과거 연관 프로세스에 대한, 유입 경로 정보, 파일 오퍼레이션 정보, 또는 네트워크 접속 정보를 포함하는 과거 연관 정보를 생성하는 단계; 및
    상기 과거 연관 정보에서 중복된 데이터를 연결점으로 추출하고 연관 데이터 셋을 생성 후, 상기 연관 데이터 셋에 대하여 APT(Advanced Persistent Threat) 각 단계의 결정을 위하여 APT 행위 모델과 매핑 여부를 분석하는 단계
    를 포함하는 것을 특징으로 하는 공격 탐지 방법.
  2. 제1항에 있어서,
    상기 과거 연관 정보를 생성하는 단계는,
    다운로드 경로나 파일 생성을 포함하는 유입 경로와 관련된 API 정보로부터, 상기 비정상 프로세스와 관련해 최초에 유입된 프로세스의 다운로드 경로나 파일 생성 경로를 포함하는 상기 유입 경로 정보를 생성하는 단계
    를 포함하는 것을 특징으로 하는 공격 탐지 방법.
  3. 제1항에 있어서,
    상기 과거 연관 정보를 생성하는 단계는,
    파일 오퍼레이션 관련 API 정보로부터, 상기 파일 오퍼레이션 정보를 생성하는 단계
    를 포함하는 것을 특징으로 하는 공격 탐지 방법.
  4. 제1항에 있어서,
    상기 과거 연관 정보를 생성하는 단계는,
    네트워크 접속 관련 API 정보로부터, 상기 네트워크 접속 정보 정보를 생성하는 단계
    를 포함하는 것을 특징으로 하는 공격 탐지 방법.
  5. 제1항에 있어서,
    상기 분석하는 단계에서, 상기 연관 데이터 셋에 포함된, 전파(Delivery), 탈취(Exploitation), 설치(Installation), C&C(Command & Control) 통신, 또는 목표달성(Actions) 단계를 포함하는 APT의 각 단계를 결정하고, 상기 각 단계와 그에 포함되는 행위 모델의 탐지 건수를 그래피컬하게 사용자 인터페이스를 통해 표시하는 것을 특징으로 하는 공격 탐지 방법.
  6. 제1항에 있어서,
    상기 분석하는 단계는,
    상기 APT 행위 모델 중 E-메일에 의한 다운로드, 웹페이지에 의한 다운로드, 외부로부터의 소프트웨어 업데이트 다운로드, 외장 메모리에 의한 다운로드, 또는 공격자나 외부 서버에 의한 명시적 다운로드의 모델을 포함하는 행위 모델과의 매핑 여부를 분석하여 전파(Delivery) 단계의 포함 여부를 결정하는 단계
    를 포함하는 것을 특징으로 하는 공격 탐지 방법.
  7. 제1항에 있어서,
    상기 분석하는 단계는,
    상기 APT 행위 모델 중 파일 실행, 미리 정해진 중요 서버의 검색, 또는 내부망 정보 수집의 모델을 포함하는 행위 모델과의 매핑 여부를 분석하여 탈취(Exploitation) 단계의 포함 여부를 결정하는 단계
    를 포함하는 것을 특징으로 하는 공격 탐지 방법.
  8. 제1항에 있어서,
    상기 분석하는 단계는,
    상기 APT 행위 모델 중 추가 다운로드나 설치의 모델을 포함하는 행위 모델과의 매핑 여부를 분석하여 설치(Installation) 단계의 포함 여부를 결정하는 단계
    를 포함하는 것을 특징으로 하는 공격 탐지 방법.
  9. 제1항에 있어서,
    상기 분석하는 단계는,
    상기 APT 행위 모델 중 주기적 공격자 C&C 통신, 시스템 내부 정보 검색, 시스템 내부 파일 다운로드, 시스템 내부 파일 업로드, 또는 원격 제어의 모델을 포함하는 행위 모델과의 매핑 여부를 분석하여 C&C(Command & Control) 통신 단계의 포함 여부를 결정하는 단계
    를 포함하는 것을 특징으로 하는 공격 탐지 방법.
  10. 제1항에 있어서,
    상기 분석하는 단계는,
    상기 APT 행위 모델 중 내부 정보 유출, 또는 백신 프로그램 종료의 모델을 포함하는 행위 모델과의 매핑 여부를 분석하여 목표 달성(Actions) 단계의 포함 여부를 결정하는 단계
    를 포함하는 것을 특징으로 하는 공격 탐지 방법.
  11. 사이버 표적 공격을 탐지하기 위한 장치에 있어서,
    API(Application Program Interface)를 통하여 호스트 장치에서 발생하는 프로세스, 파일 오퍼레이션, 또는 네트워크 접속과 관련된 API 정보를 수집하는 API 데이터 수집기;
    상기 API 정보를 저장 수단에 소정의 기간 동안 저장하는 API 데이터 저장기;
    상기 호스트 장치에서 발생하는 비정상 프로세스를 탐지하는 실시간 비정상 프로세스 탐지기;
    상기 저장 수단에서 상기 비정상 프로세스와 관련된 과거의 API 정보를 추출하여, 상기 비정상 프로세스와 과거 연관 프로세스에 대한, 유입 경로 정보, 파일 오퍼레이션 정보, 또는 네트워크 접속 정보를 포함하는 과거 연관 정보를 생성하는 연관 데이터 분석기; 및
    상기 과거 연관 정보에서 중복된 데이터를 연결점으로 추출하고 연관 데이터 셋을 생성 후, 상기 연관 데이터 셋에 대하여 APT(Advanced Persistent Threat) 각 단계의 결정을 위하여 APT 행위 모델과 매핑 여부를 분석하는 APT 단계 분석기
    를 포함하는 것을 특징으로 하는 사이버 표적 공격을 탐지하기 위한 장치.
  12. 제11항에 있어서,
    상기 연관 데이터 분석기는,
    다운로드 경로나 파일 생성을 포함하는 유입 경로와 관련된 API 정보로부터, 상기 비정상 프로세스와 관련해 최초에 유입된 프로세스의 다운로드 경로나 파일 생성 경로를 포함하는 상기 유입 경로 정보를 생성하는 것을 특징으로 하는 사이버 표적 공격을 탐지하기 위한 장치.
  13. 제11항에 있어서,
    상기 연관 데이터 분석기는,
    파일 오퍼레이션 관련 API 정보로부터, 상기 파일 오퍼레이션 정보를 생성하는 것을 특징으로 하는 사이버 표적 공격을 탐지하기 위한 장치.
  14. 제11항에 있어서,
    상기 연관 데이터 분석기는,
    네트워크 접속 관련 API 정보로부터, 상기 네트워크 접속 정보 정보를 생성하는 것을 특징으로 하는 사이버 표적 공격을 탐지하기 위한 장치.
  15. 제11항에 있어서,
    상기 APT 단계 분석기는,
    상기 연관 데이터 셋에 포함된, 전파(Delivery), 탈취(Exploitation), 설치(Installation), C&C(Command & Control) 통신, 또는 목표달성(Actions) 단계를 포함하는 APT의 각 단계를 결정하고, 상기 각 단계와 그에 포함되는 행위 모델의 탐지 건수를 그래피컬하게 사용자 인터페이스를 통해 표시하는 것을 특징으로 하는 사이버 표적 공격을 탐지하기 위한 장치.
  16. 제11항에 있어서,
    상기 APT 단계 분석기는,
    상기 APT 행위 모델 중 E-메일에 의한 다운로드, 웹페이지에 의한 다운로드, 외부로부터의 소프트웨어 업데이트 다운로드, 외장 메모리에 의한 다운로드, 또는 공격자나 외부 서버에 의한 명시적 다운로드의 모델을 포함하는 행위 모델과의 매핑 여부를 분석하여 전파(Delivery) 단계의 포함 여부를 결정하는 것을 특징으로 하는 사이버 표적 공격을 탐지하기 위한 장치.
  17. 제11항에 있어서,
    상기 APT 단계 분석기는,
    상기 APT 행위 모델 중 파일 실행, 미리 정해진 중요 서버의 검색, 또는 내부망 정보 수집의 모델을 포함하는 행위 모델과의 매핑 여부를 분석하여 탈취(Exploitation) 단계의 포함 여부를 결정하는 것을 특징으로 하는 사이버 표적 공격을 탐지하기 위한 장치.
  18. 제11항에 있어서,
    상기 APT 단계 분석기는,
    상기 APT 행위 모델 중 추가 다운로드나 설치의 모델을 포함하는 행위 모델과의 매핑 여부를 분석하여 설치(Installation) 단계의 포함 여부를 결정하는 것을 특징으로 하는 사이버 표적 공격을 탐지하기 위한 장치.
  19. 제11항에 있어서,
    상기 APT 단계 분석기는,
    상기 APT 행위 모델 중 주기적 공격자 C&C 통신, 시스템 내부 정보 검색, 시스템 내부 파일 다운로드, 시스템 내부 파일 업로드, 또는 원격 제어의 모델을 포함하는 행위 모델과의 매핑 여부를 분석하여 C&C(Command & Control) 통신 단계의 포함 여부를 결정하는 것을 특징으로 하는 사이버 표적 공격을 탐지하기 위한 장치.
  20. 제11항에 있어서,
    상기 APT 단계 분석기는,
    상기 APT 행위 모델 중 내부 정보 유출, 또는 백신 프로그램 종료의 모델을 포함하는 행위 모델과의 매핑 여부를 분석하여 목표 달성(Actions) 단계의 포함 여부를 결정하는 것을 특징으로 하는 사이버 표적 공격을 탐지하기 위한 장치.
KR1020160051673A 2016-04-27 2016-04-27 비정상 프로세스의 연관 데이터 분석을 이용한 apt 공격 인지 방법 및 장치 KR20170122548A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160051673A KR20170122548A (ko) 2016-04-27 2016-04-27 비정상 프로세스의 연관 데이터 분석을 이용한 apt 공격 인지 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160051673A KR20170122548A (ko) 2016-04-27 2016-04-27 비정상 프로세스의 연관 데이터 분석을 이용한 apt 공격 인지 방법 및 장치

Publications (1)

Publication Number Publication Date
KR20170122548A true KR20170122548A (ko) 2017-11-06

Family

ID=60384260

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160051673A KR20170122548A (ko) 2016-04-27 2016-04-27 비정상 프로세스의 연관 데이터 분석을 이용한 apt 공격 인지 방법 및 장치

Country Status (1)

Country Link
KR (1) KR20170122548A (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102018348B1 (ko) 2019-03-06 2019-09-05 엘에스웨어(주) 사용자 행동 분석 기반의 목표계정 탈취 감지 장치
KR102002560B1 (ko) 2019-01-09 2019-10-01 엘에스웨어(주) 인공지능 기반의 목표계정 정찰행위 탐지 장치
KR20200038151A (ko) * 2018-10-02 2020-04-10 국방과학연구소 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법 및 장치
KR102225460B1 (ko) * 2019-10-16 2021-03-10 한국전자통신연구원 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치
KR20210125147A (ko) * 2020-04-07 2021-10-18 한국전자통신연구원 악성파일을 이용한 악성 트래픽 생성 방법 및 장치
US11601442B2 (en) 2018-08-17 2023-03-07 The Research Foundation For The State University Of New York System and method associated with expedient detection and reconstruction of cyber events in a compact scenario representation using provenance tags and customizable policy

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11601442B2 (en) 2018-08-17 2023-03-07 The Research Foundation For The State University Of New York System and method associated with expedient detection and reconstruction of cyber events in a compact scenario representation using provenance tags and customizable policy
KR20200038151A (ko) * 2018-10-02 2020-04-10 국방과학연구소 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법 및 장치
KR102002560B1 (ko) 2019-01-09 2019-10-01 엘에스웨어(주) 인공지능 기반의 목표계정 정찰행위 탐지 장치
KR102018348B1 (ko) 2019-03-06 2019-09-05 엘에스웨어(주) 사용자 행동 분석 기반의 목표계정 탈취 감지 장치
KR102225460B1 (ko) * 2019-10-16 2021-03-10 한국전자통신연구원 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치
KR20210125147A (ko) * 2020-04-07 2021-10-18 한국전자통신연구원 악성파일을 이용한 악성 트래픽 생성 방법 및 장치

Similar Documents

Publication Publication Date Title
AU2018217323B2 (en) Methods and systems for identifying potential enterprise software threats based on visual and non-visual data
Case et al. Memory forensics: The path forward
KR20170122548A (ko) 비정상 프로세스의 연관 데이터 분석을 이용한 apt 공격 인지 방법 및 장치
CN107426242B (zh) 网络安全防护方法、装置及存储介质
US20160078229A1 (en) System And Method For Threat Risk Scoring Of Security Threats
EP2998901B1 (en) Unauthorized-access detection system and unauthorized-access detection method
RU2726032C2 (ru) Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga)
US10033761B2 (en) System and method for monitoring falsification of content after detection of unauthorized access
US11328056B2 (en) Suspicious event analysis device and related computer program product for generating suspicious event sequence diagram
EP3136276A1 (en) System and method for detecting harmful files executable on a virtual stack machine
CN108369541B (zh) 用于安全威胁的威胁风险评分的系统和方法
JP6674036B2 (ja) 分類装置、分類方法及び分類プログラム
CN112532631A (zh) 一种设备安全风险评估方法、装置、设备及介质
CN111565202A (zh) 一种内网漏洞攻击防御方法及相关装置
US20240045954A1 (en) Analysis of historical network traffic to identify network vulnerabilities
CN116340943A (zh) 应用程序保护方法、装置、设备、存储介质和程序产品
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
CN114726579A (zh) 防御网络攻击的方法、装置、设备、存储介质及程序产品
WO2015178002A1 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
Kumar et al. A review on 0-day vulnerability testing in web application
US20220245249A1 (en) Specific file detection baked into machine learning pipelines
Liu Design and implement of common network security scanning system
KR20170094673A (ko) 멀티 소스 데이터 가공 장치 및 방법
Ismaila et al. Malware and Digital Forensics
CN118233278A (zh) 过滤用于传输到远程设备的事件的系统和方法