KR20180042608A - Apparatus and method for analyzing network malicious behavior - Google Patents

Apparatus and method for analyzing network malicious behavior Download PDF

Info

Publication number
KR20180042608A
KR20180042608A KR1020160134971A KR20160134971A KR20180042608A KR 20180042608 A KR20180042608 A KR 20180042608A KR 1020160134971 A KR1020160134971 A KR 1020160134971A KR 20160134971 A KR20160134971 A KR 20160134971A KR 20180042608 A KR20180042608 A KR 20180042608A
Authority
KR
South Korea
Prior art keywords
malicious behavior
network
query
destination
behavior analysis
Prior art date
Application number
KR1020160134971A
Other languages
Korean (ko)
Inventor
최선오
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020160134971A priority Critical patent/KR20180042608A/en
Publication of KR20180042608A publication Critical patent/KR20180042608A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Disclosed are an apparatus and a method for analyzing a network malicious behavior. According to present invention, the apparatus comprises: a flow extracting part for extracting flow meta information of collected network traffic; a flow storage part for storing the extracted flow meta information in a table form of a database; and a malicious behavior analyzing part for transmitting a query corresponding to at least one of a persistent external connection query and a TCP SYN flooding query to the flow storage part and analyzing a network malicious behavior based on a response value of the query. Therefore, the apparatus may allow an analyst who lacks experience or knowledge to easily analyze the network malicious behavior.

Description

네트워크 악성행위 분석 장치 및 방법{APPARATUS AND METHOD FOR ANALYZING NETWORK MALICIOUS BEHAVIOR}[0001] APPARATUS AND METHOD FOR ANALYZING NETWORK MALICIOUS BEHAVIOR [0002]

본 발명은 네트워크 악성행위 분석 기술에 관한 것으로, 특히 수집된 네트워크 트래픽 및 네트워크 트래픽의 메타 정보를 이용하여, 네트워크 악성 행위를 분석하는 기술에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to network malicious behavior analysis technology, and more particularly, to a technology for analyzing network malicious behavior using meta information of collected network traffic and network traffic.

오늘날 사이버 공격은 사회적 혼란을 야기하고, 국가 안보를 위협하며 개인에게 금전적 피해를 주는 목적으로 자행되고 있다. 사이버 공격의 유형이 다양해지고 있으며, 그 중 대표적인 네트워크 위협으로는 봇넷과 분산 서비스 거부공격(DDoS) 등이 있다. Today, cyber attacks are used to cause social confusion, threaten national security, and cause financial harm to individuals. The types of cyber attacks are becoming more diverse, and typical network threats include botnets and distributed denial of service attacks (DDoS).

봇넷(Botnet)이란 악성 소프트웨어인 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 의미한다. 봇들은 자유자재로 통제하는 권한을 가진 봇마스터에 의해 원격 조정되어 각종 악성 행위를 수행한다. A botnet is a network of computers infected with bot malicious software. The bots are remotely controlled by bot masters who have the ability to control freely and perform various malicious acts.

봇은 웜/바이러스, 백도어, 스파이웨어, 루트킷 등 다양한 악성코드들의 특성을 복합적으로 지니며, 봇넷을 통해 DDoS, Ad-ware, Spyware, 스팸발송, 정보불법 수집 등 대부분의 사이버 공격이 가능하다.Bots have various characteristics of malicious codes such as worms / viruses, backdoors, spyware, and rootkits. Most cyber attacks are possible through botnets such as DDoS, Ad-ware, Spyware, Spamming,

그리고 서비스 거부 공격 중 하나인 TCP SYN Flooding 공격은 네트워크와 시스템의 자원을 공격 대상으로 하는 공격 방법으로, TCP가 데이터를 보내기 전에 연결을 먼저 맺어야 하는 연결지향성을 이용한 공격 방법이다. TCP SYN Flooding attack, which is one of the denial of service attacks, is an attack method that attacks network and system resources. It is an attack method using connection directivity in which TCP must first establish a connection before sending data.

즉, TCP SYN Flooding 공격은 TCP 프로토콜을 이용하여 클라이언트가 서버에 접속을 시도할 때, TCP 헤더에 SYN 플래그를 보내면 서버가 이에 대한 답변으로 SYN/ACK를 보내며, 다시 클라이언트의 ACK를 받는다는 점을 이용한 공격이다. That is, the TCP SYN Flooding attack uses SYN / ACK when the client sends a SYN flag to the TCP header when the client tries to connect to the server using the TCP protocol, and receives the ACK of the client again. It is an attack.

공격자가 임의로 자신의 IP 주소를 응답할 수 없는 IP 주소로 속여 다량으로 서버에 전송하면, 서버는 클라이언트로 SYN/ACK를 보내고, 이에 대한 클라이언트의 응답인 ACK를 받기 위하여 대기 상태에 빠진다. 이와 같이, TCP SYN Flooding 공격은 큐 공간이 가득 차 더 이상 TCP SYN을 받을 수 없는 상태로 만들어 공격을 실행한다. If an attacker arbitrarily tricks his or her IP address into an IP address that can not be replied to the server, the server sends a SYN / ACK to the client and waits to receive an ACK, which is the client's response thereto. Thus, the TCP SYN flooding attack makes the state that the queue space becomes full and can no longer receive the TCP SYN, and executes the attack.

이러한 사이버 공격 발생 시, 네트워크 트래픽을 수집하고, 네트워크 플로우 정보를 추출하며, 다양한 검색 도구를 활용하여 사이버 공격을 탐지 및 분석하는 기술이 개발되었다. In the event of cyber attacks, technologies have been developed to collect network traffic, extract network flow information, and detect and analyze cyber attacks using various search tools.

그러나 종래의 사이버 공격 분석 기술들은 분석가의 다양한 경험 및 지식을 필요로 한다. 즉, 경험이나 지식이 부족한 사용자들은 사이버 공격을 분석하기에는 어려움이 있으며, 사이버 공격 분석의 성능은 분석가의 경험 및 지식에 의존적이다. However, conventional cyber attack analysis techniques require various experiences and knowledge of analysts. In other words, users lacking experience or knowledge have difficulties in analyzing cyber attacks, and the performance of cyber attack analysis depends on the experience and knowledge of analysts.

따라서, 경험이나 지식이 부족한 분석가도 손쉽게 네트워크 악성 행위를 분석할 수 있도록 하는 기술의 개발이 필요하다. Therefore, it is necessary to develop a technique that enables analysts lacking experience or knowledge to easily analyze network malicious behavior.

한국 등록 특허 제10-1623068호, 2016년 05월 20일 공고(명칭: 네트워크 트래픽 수집 및 분석 시스템)Korean Registered Patent No. 10-1623068, May 20, 2016 Announcement (Name: Network Traffic Acquisition and Analysis System)

본 발명의 목적은 경험이나 지식이 부족한 분석가도 손쉽게 네트워크 악성 행위를 분석할 수 있도록 하는 것이다. The object of the present invention is to enable an analyst who lacks experience or knowledge to easily analyze network malicious behavior.

또한, 본 발명의 목적은 봇에 감염된 시스템이 C&C 시스템에 접근하는 봇넷의 네트워크 악성 행위를 분석하는 것이다. It is also an object of the present invention to analyze network malicious behavior of a botnet in which a bot infected system accesses a C & C system.

또한, 본 발명의 목적은 TCP SYN 플러딩의 네트워크 악성 행위를 분석하는 것이다. It is also an object of the present invention to analyze network malicious behavior of TCP SYN flooding.

상기한 목적을 달성하기 위한 본 발명에 따른 네트워크 악성행위 분석 장치는 수집된 네트워크 트래픽의 플로우 메타 정보를 추출하는 플로우 추출부; 추출된 상기 플로우 메타 정보를 데이터베이스의 테이블 형태로 저장하는 플로우 저장부; 및 지속적 외부 연결 질의 및 TCP SYN 플러딩 질의 중 적어도 어느 하나에 상응하는 질의를 상기 플로우 저장부로 전송하고, 상기 질의의 응답값을 기반으로 네트워크 악성 행위를 분석하는 악성행위 분석부를 포함한다. According to an aspect of the present invention, there is provided an apparatus for analyzing network malicious behavior, comprising: a flow extractor for extracting flow meta information of collected network traffic; A flow storage unit for storing the extracted flow meta information in a table form of a database; And a malicious behavior analysis unit for sending a query corresponding to at least one of a persistent external connection query and a TCP SYN flooding query to the flow storage unit and analyzing network malicious behavior based on a response value of the query.

이때, 상기 악성행위 분석부는, 제1 네트워크 장비가 제2 네트워크 장비로 전송하는 복수 개의 SYN 패킷에 상응하는 RST 패킷을 분석하는, 상기 지속적 외부 연결 질의를 수행할 수 있다. At this time, the malicious behavior analysis unit may perform the persistent external connection query, which analyzes an RST packet corresponding to a plurality of SYN packets transmitted from the first network equipment to the second network equipment.

이때, 상기 악성행위 분석부는, 소스 IP에 상응하는 상기 제2 네트워크 장비의 호스트, 상기 제2 네트워크 장비의 포트, 목적지 IP에 상응하는 상기 제1 네트워크 장비의 호스트 및 상기 제1 네트워크 장비의 포트 개수 중 적어도 어느 하나를 그룹화할 수 있다. At this time, the malicious behavior analysis unit may include a host of the second network equipment corresponding to the source IP, a port of the second network equipment, a host of the first network equipment corresponding to the destination IP, May be grouped.

이때, 상기 악성행위 분석부는, 상기 제1 네트워크 장비의 포트 개수가 임계값 이상인 경우, 상기 지속적 외부 연결에 상응하는 악성행위로 탐지할 수 있다. At this time, if the number of ports of the first network equipment is equal to or greater than the threshold value, the malicious behavior analysis unit may detect malicious activity corresponding to the persistent external connection.

이때, 상기 악성행위 분석부는, 목적지 IP 및 목적지 포트에 상응하는 패킷의 수를 분석하는, 상기 TCP SYN 플러딩 질의를 수행할 수 있다. At this time, the malicious behavior analysis unit may perform the TCP SYN flooding query, which analyzes the number of packets corresponding to the destination IP and the destination port.

이때, 상기 악성행위 분석부는, 상기 목적지 IP, 상기 목적지 포트 및 상기 목적지 IP의 상기 목적지 포트에 상응하는 플로우의 개수를 그룹화 할 수 있다. At this time, the malicious behavior analysis unit may group the number of flows corresponding to the destination IP, the destination port, and the destination port of the destination IP.

이때, 상기 악성행위 분석부는, 상기 플로우의 개수가 임계값 이상인 경우, 상기 TCP SYN 플러딩에 상응하는 악성행위로 탐지할 수 있다. At this time, the malicious behavior analysis unit can detect malicious behavior corresponding to the TCP SYN flooding when the number of the flows is equal to or greater than the threshold value.

이때, 상기 플로우 저장부는, 상기 플로우 메타 정보의 인덱스를 비트맵 형태로 관리할 수 있다. In this case, the flow storage unit may manage the index of the flow meta information in a bitmap form.

이때, 상기 플로우 메타 정보는, 상기 네트워크 트래픽의 플로우에 상응하는 소스의 IP, 상기 소스의 포트 번호, 목적지의 IP, 상기 목적지의 포트 번호, 패킷의 개수, 바이트 수, 프로토콜, 서비스, 파일 유형, TCP 플래그 정보의 누적값, 시작 시간 및 종료 시간 중 적어도 어느 하나를 포함할 수 있다. The flow meta information includes at least one of a source IP corresponding to the flow of the network traffic, a port number of the source, an IP of a destination, a port number of the destination, a number of packets, a number of bytes, a protocol, An accumulation value of the TCP flag information, a start time, and an end time.

이때, 상기 악성행위 분석부는, 6비트의 상기 TCP 플래그 정보를 이용하여 상기 플로우 저장부로 질의할 수 있다. At this time, the malicious behavior analysis unit can query the flow storage unit using the 6-bit TCP flag information.

또한, 본 발명의 일실시예에 따른 네트워크 악성행위 분석 장치에 의해 수행되는 네트워크 악성행위 분석 방법은 수집된 네트워크 트래픽의 플로우 메타 정보를 추출하는 단계; 추출된 상기 플로우 메타 정보를 데이터베이스의 테이블 형태로 저장하는 단계; 및 저장된 상기 플로우 메타 정보의 데이터베이스로, 지속적 외부 연결 질의 및 TCP SYN 플러딩 질의 중 적어도 어느 하나에 상응하는 질의를 전송하는 단계; 및 상기 질의의 응답값을 기반으로 네트워크 악성 행위를 분석하는 단계를 포함한다. Also, the network malicious behavior analysis method performed by the apparatus for analyzing network malicious behavior according to an embodiment of the present invention includes: extracting flow meta information of collected network traffic; Storing the extracted flow meta information in a table form of a database; Transmitting a query corresponding to at least one of a persistent external connection query and a TCP SYN flooding query to a database of the stored flow meta information; And analyzing network malicious behavior based on the response value of the query.

이때, 상기 질의를 전송하는 단계는, 제1 네트워크 장비가 제2 네트워크 장비로 전송하는 복수 개의 SYN 패킷에 상응하는 RST 패킷을 분석하는, 상기 지속적 외부 연결 질의를 전송할 수 있다. At this time, the transmitting of the query may transmit the persistent external connection query, which analyzes an RST packet corresponding to a plurality of SYN packets transmitted by the first network equipment to the second network equipment.

이때, 상기 네트워크 악성 행위를 분석하는 단계는, 소스 IP에 상응하는 상기 제2 네트워크 장비의 호스트, 상기 제2 네트워크 장비의 포트, 목적지 IP에 상응하는 상기 제1 네트워크 장비의 호스트 및 상기 제1 네트워크 장비의 포트 개수 중 적어도 어느 하나를 그룹화할 수 있다. Wherein analyzing the network malicious behavior comprises: analyzing the network malicious behavior based on a host of the second network equipment corresponding to the source IP, a port of the second network equipment, a host of the first network equipment corresponding to the destination IP, And at least one of the number of ports of the equipment can be grouped.

이때, 상기 네트워크 악성 행위를 분석하는 단계는, 상기 제1 네트워크 장비의 포트 개수가 임계값 이상인 경우, 상기 지속적 외부 연결에 상응하는 악성행위로 탐지할 수 있다. At this time, when analyzing the network malicious behavior, malicious behavior corresponding to the persistent external connection can be detected when the number of ports of the first network equipment is equal to or greater than the threshold value.

이때, 상기 질의를 전송하는 단계는, 목적지 IP 및 목적지 포트에 상응하는 패킷의 수를 분석하는, 상기 TCP SYN 플러딩 질의를 전송할 수 있다. At this time, the step of transmitting the query may transmit the TCP SYN flooding query, which analyzes the number of packets corresponding to the destination IP and the destination port.

이때, 상기 네트워크 악성 행위를 분석하는 단계는, 상기 목적지 IP, 상기 목적지 포트 및 상기 목적지 IP의 상기 목적지 포트에 상응하는 플로우의 개수를 그룹화 할 수 있다. At this time, the analyzing network malicious behavior may group the number of flows corresponding to the destination IP, the destination port, and the destination port of the destination IP.

이때, 상기 네트워크 악성 행위를 분석하는 단계는, 상기 플로우의 개수가 임계값 이상인 경우, 상기 TCP SYN 플러딩에 상응하는 악성행위로 탐지할 수 있다. At this time, when analyzing the network malicious behavior, malicious behavior corresponding to the TCP SYN flooding can be detected when the number of the flows is equal to or greater than a threshold value.

이때, 상기 플로우 메타 정보를 저장하는 단계는, 상기 플로우 메타 정보의 인덱스를 비트맵 형태로 관리할 수 있다. In this case, the step of storing the flow meta information may manage the index of the flow meta information in a bit map form.

이때, 상기 플로우 메타 정보는, 상기 네트워크 트래픽의 플로우에 상응하는 소스의 IP, 상기 소스의 포트 번호, 목적지의 IP, 상기 목적지의 포트 번호, 패킷의 개수, 바이트 수, 프로토콜, 서비스, 파일 유형, TCP 플래그 정보의 누적값, 시작 시간 및 종료 시간 중 적어도 어느 하나를 포함할 수 있다. The flow meta information includes at least one of a source IP corresponding to the flow of the network traffic, a port number of the source, an IP of a destination, a port number of the destination, a number of packets, a number of bytes, a protocol, An accumulation value of the TCP flag information, a start time, and an end time.

이때, 상기 네트워크 악성 행위를 분석하는 단계는, 6비트의 상기 TCP 플래그 정보를 이용하여 상기 플로우 메타 정보의 데이터베이스로 질의할 수 있다. At this time, the network malicious behavior analysis may query the database of the flow meta information using the 6-bit TCP flag information.

본 발명에 따르면, 경험이나 지식이 부족한 분석가도 손쉽게 네트워크 악성 행위를 분석할 수 있다. According to the present invention, an analyst who lacks experience or knowledge can easily analyze network malicious behavior.

또한 본 발명에 따르면, 봇에 감염된 시스템이 C&C 시스템에 접근하는 봇넷의 네트워크 악성 행위를 분석할 수 있다.Also, according to the present invention, it is possible to analyze a network malicious behavior of a botnet in which a bot-infected system accesses a C & C system.

또한 본 발명에 따르면, TCP SYN 플러딩의 네트워크 악성 행위를 분석할 수 있다. Also, according to the present invention, network malicious behavior of TCP SYN flooding can be analyzed.

도 1은 본 발명의 일실시예에 따른 네트워크 악성행위 분석 장치가 적용되는 환경을 개략적으로 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 네트워크 악성행위 분석 장치의 구성을 나타낸 블록도이다.
도 3은 본 발명의 일실시예에 따른 네트워크 악성행위 분석 방법을 설명하기 위한 순서도이다.
도 4는 본 발명의 일실시예에 따른 네트워크 플로우 메타 정보를 나타낸 도면이다.
도 5는 본 발명의 일실시예에 따른 TCP 플래그를 나타낸 도면이다.
도 6은 본 발명의 일실시예에 따른 지속적 외부 연결 질의를 설명하기 위한 도면이다.
도 7은 본 발명의 일실시예에 따른 TCP SYN 플러딩 질의를 설명하기 위한 도면이다.
도 8은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.FIG. 1 is a diagram schematically illustrating an environment to which a network malicious behavior analysis apparatus according to an embodiment of the present invention is applied.
2 is a block diagram illustrating a configuration of an apparatus for analyzing network malicious behavior according to an exemplary embodiment of the present invention.
3 is a flowchart illustrating a method for analyzing network malicious behavior according to an exemplary embodiment of the present invention.
4 is a diagram illustrating network flow meta information according to an exemplary embodiment of the present invention.
5 is a diagram illustrating a TCP flag according to an embodiment of the present invention.
6 is a diagram for explaining a persistent external connection query according to an embodiment of the present invention.
7 is a view for explaining a TCP SYN flooding query according to an embodiment of the present invention.
8 is a block diagram illustrating a computer system in accordance with an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail.

그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used in this application is used only to describe a specific embodiment and is not intended to limit the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In the present application, the terms "comprises" or "having" and the like are used to specify that there is a feature, a number, a step, an operation, an element, a component or a combination thereof described in the specification, But do not preclude the presence or addition of one or more other features, integers, steps, operations, elements, components, or combinations thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries should be interpreted as having a meaning consistent with the meaning in the context of the relevant art and are to be interpreted in an ideal or overly formal sense unless explicitly defined in the present application Do not.

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. In order to facilitate the understanding of the present invention, the same reference numerals are used for the same constituent elements in the drawings and redundant explanations for the same constituent elements are omitted.

도 1은 본 발명의 일실시예에 따른 네트워크 악성행위 분석 장치가 적용되는 환경을 개략적으로 나타낸 도면이다.FIG. 1 is a diagram schematically illustrating an environment to which a network malicious behavior analysis apparatus according to an embodiment of the present invention is applied.

도 1에 도시한 바와 같이, 네트워크 악성행위 분석 시스템은 트래픽 수집 장치(100), 네트워크 악성행위 분석 장치(200) 및 데이터베이스(300)를 포함할 수 있다. As shown in FIG. 1, the network malicious behavior analysis system may include a traffic collection apparatus 100, a network malicious behavior analysis apparatus 200, and a database 300.

먼저, 트래픽 수집 장치(100)는 트래픽 모니터링 시스템에 상응할 수 있으며, 또한, 트래픽 수집 장치(100)는 실시간으로 발생하는 트래픽을 통신의 영향이 없도록 복사하여 수집하는 탭(tap) 또는 미러링(mirroring) 장치 등을 의미할 수 있다. First, the traffic collecting apparatus 100 may correspond to the traffic monitoring system. Also, the traffic collecting apparatus 100 may perform a tap or mirroring process for copying and collecting traffic generated in real- ) Device or the like.

그리고 트래픽 수집 장치(100)는 수집된 네트워크 트래픽을 네트워크 악성행위 분석 장치(200)로 제공한다. 이때, 트래픽 수집 장치(100)는 네트워크 패킷이 저장된 pcap(Packet Capture) 파일 형태로 네트워크 악성행위 분석 장치(200)에 제공할 수 있다. The traffic collecting apparatus 100 provides the collected network traffic to the network malicious behavior analysis apparatus 200. At this time, the traffic collecting apparatus 100 may provide the network malicious behavior analysis apparatus 200 with a packet capture (pcap) file in which network packets are stored.

pcap은 네트워크 트래픽을 캡쳐하기 위한 API로 구성되며, 유닉스 계열 운영체제들은 libpcap 라이브러리에 pcap을 포함하고, 윈도우 환경은 WinPcap이라는 libpcap 포팅을 이용한다. 그리고 libpcap 과 winpcap 라이브러리를 이용하여 캡쳐된 패킷은 파일로 저장될 수 있다. pcap consists of an API for capturing network traffic. Unix-like operating systems include pcap in the libpcap library, and the Windows environment uses the libpcap porting called WinPcap. Packets captured using the libpcap and winpcap libraries can be saved as files.

설명의 편의상, 트래픽 수집 장치(100)가 네트워크 악성행위 분석 장치(200)와는 별개의 장치인 것으로 설명하였으나 이에 한정하지 않고, 네트워크 악성행위 분석 장치(200)는 트래픽 수집 장치(100)에 상응하는 소프트웨어를 이용하여 pcap 파일을 획득할 수 있다. The network malicious behavior analysis apparatus 200 is not limited to the network malicious behavior analysis apparatus 200. For example, the network malicious behavior analysis apparatus 200 may be configured to detect the network malicious behavior analysis apparatus 200, You can use the software to obtain the pcap file.

그리고 네트워크 악성행위 분석 장치(200)는 pcap 파일로부터 네트워크 플로우 메타 정보를 추출한다. The network malicious behavior analysis apparatus 200 extracts network flow meta information from the pcap file.

여기서, 네트워크 플로우 메타 정보는 2개의 네트워크 장비 간에 네트워크 패킷들이 어떻게 전송되었는지를 의미하는 정보로, sourcehost, sourceport, destinationhost, destinationport, packets, bytes, protocol, service, filetype, tcpflags, starttime 및 endtime 중 적어도 어느 하나를 포함할 수 있다. Here, the network flow meta information is information indicating how the network packets are transmitted between the two network devices. At least one of sourcehost, source port, destinationhost, destination port, packets, bytes, protocol, service, filetype, tcpflags, One can be included.

또한, 네트워크 악성행위 분석 장치(200)는 추출된 네트워크 플로우 메타 정보를 데이터베이스의 테이블 형태로 저장한다. 이때, 네트워크 악성행위 분석 장치(200)는 외부의 데이터베이스(300)에 네트워크 플로우 메타 정보를 저장하거나, 네트워크 악성행위 분석 장치(200) 내에 구비된 데이터베이스에 네트워크 플로우 메타 정보를 저장할 수 있다. In addition, the network malicious behavior analysis apparatus 200 stores the extracted network flow meta information in the form of a table in a database. At this time, the network malicious behavior analysis apparatus 200 may store network flow meta information in an external database 300 or store network flow meta information in a database provided in the network malicious behavior analysis apparatus 200.

그리고 네트워크 악성행위 분석 장치(200)는 고속 로딩 및 고속 검색을 지원하기 위하여, 비트맵 인덱스(Bitmap index)를 사용하여 네트워크 플로우 메타 정보를 저장할 수 있다. The network malicious behavior analysis apparatus 200 can store network flow meta information using a bitmap index to support fast loading and fast searching.

여기서, 비트맵 인덱스는 비트를 이용하여 컬럼값을 저장하고, 이를 이용하여 ROWID를 자동으로 생성하는 인덱스를 의미한다. 그리고 본 발명의 일실시예에 따른 네트워크 악성행위 분석 장치(200)는 대용량 데이터 검색을 위하여, 인덱스를 비트맵 형태로 관리하는 비트맵 인덱스를 사용할 수 있다. Here, the bitmap index refers to an index that stores a column value using a bit and automatically generates a rowid using the bit value. The apparatus 200 for analyzing network malicious behavior according to an embodiment of the present invention may use a bitmap index that manages an index in a bitmap form for searching large amounts of data.

그리고 네트워크 악성행위 분석 장치(200)는 사전에 기 정의된 네트워크 악성행위 분석 방법에 따라 데이터베이스(300)에 질의하고, 질의의 응답값을 수신한다. 이때, 데이터베이스(300)는 네트워크 플로우 메타 정보를 저장한 외부의 데이터베이스(300)이거나 네트워크 악성행위 분석 장치(200) 내부에 구비된 데이터베이스를 의미할 수 있다. The network malicious behavior analysis apparatus 200 queries the database 300 according to a predefined network malicious behavior analysis method, and receives a response value of the query. In this case, the database 300 may be an external database 300 storing network flow meta information or a database provided in the network malicious behavior analysis apparatus 200.

네트워크 악성행위 분석 장치(200)는 지속적 외부 연결에 상응하는 질의를 수행하거나, TCP SYN 플러딩에 상응하는 질의를 수행할 수 있다. 그리고 질의의 응답값을 기반으로 네트워크 악성행위를 분석한다. The network malicious behavior analysis apparatus 200 may perform a query corresponding to a persistent external connection or perform a query corresponding to TCP SYN flooding. And analyze network malicious behavior based on the response value of the query.

이때, 네트워크 악성행위 분석 장치(200)는 봇 등의 악성코드에 감염된 내부 시스템이 외부 C&C 시스템으로 접근할 때 나타나는 증상을 기반으로, 지속적 외부 연결에 상응하는 질의를 수행할 수 있다. At this time, the network malicious behavior analysis apparatus 200 can perform a query corresponding to the persistent external connection based on the symptom when an internal system infected with a malicious code such as a bot approaches the external C & C system.

또한, 네트워크 악성행위 분석 장치(200)는 특정 목적지 아이피와 특정 목적지 포트로 다량의 TCP SYN 패킷이 전송되는 증상을 기반으로, TCP SYN 플러딩에 상응하는 질의를 수행할 수 있다. In addition, the network malicious code analysis apparatus 200 can perform a query corresponding to the TCP SYN flooding based on the symptom that a large amount of TCP SYN packet is transmitted to a specific destination IP and a specific destination port.

이하에서는 도 2를 통하여 본 발명의 일실시예에 따른 네트워크 악성행위 분석 장치의 구성에 대하여 더욱 상세하게 설명한다. Hereinafter, a configuration of a network malicious behavior analysis apparatus according to an embodiment of the present invention will be described in detail with reference to FIG.

도 2는 본 발명의 일실시예에 따른 네트워크 악성행위 분석 장치의 구성을 나타낸 블록도이다. 2 is a block diagram illustrating a configuration of an apparatus for analyzing network malicious behavior according to an exemplary embodiment of the present invention.

도 2에 도시한 바와 같이, 네트워크 악성행위 분석 장치(200)는 플로우 추출부(210), 플로우 저장부(220) 및 악성행위 분석부(230)를 포함한다. 2, the network malicious behavior analysis apparatus 200 includes a flow extracting unit 210, a flow storing unit 220, and a malicious behavior analyzing unit 230. As shown in FIG.

먼저, 플로우 추출부(210)는 수집된 네트워크 트래픽의 플로우 메타 정보를 추출한다. First, the flow extracting unit 210 extracts flow meta information of the collected network traffic.

여기서, 플로우 메타 정보는 2개의 네트워크 장비 간에 네트워크 패킷들이 어떻게 전송되었는지를 나타내는 정보이다. 그리고 플로우 메타 정보는, 네트워크 트래픽의 플로우에 상응하는 소스의 IP(sourcehost), 소스의 포트 번호(sourceport), 목적지의 IP(destinationhost), 목적지의 포트 번호(destinationport), 패킷의 개수(packets), 바이트 수(bytes), 프로토콜(protocol), 서비스(service), 파일 유형(filetype), TCP 플래그 정보의 누적값(tcpflags), 시작 시간(starttime) 및 종료 시간(endtime) 중 적어도 어느 하나를 포함할 수 있다. Here, the flow meta information is information indicating how network packets are transmitted between two network devices. The flow meta information includes at least one of a source IP address of a source corresponding to a flow of network traffic, a source port number, a destination IP address, a destination port number, a packet number, Includes at least any one of a number of bytes, a protocol, a service, a file type, an accumulated value of TCP flag information (tcpflags), a start time, and an end time .

다음으로 플로우 저장부(220)는 추출된 플로우 메타 정보를 데이터베이스의 테이블 형태로 저장한다. 이때, 플로우 저장부(220)는 외부의 데이터베이스에 플로우 메타 정보를 저장하거나, 네트워크 악성행위 분석 장치(200)에 구비된 데이터베이스에 플로우 메타 정보를 저장할 수 있다. Next, the flow storage unit 220 stores the extracted flow meta information in the form of a table in the database. At this time, the flow storage unit 220 may store flow meta information in an external database or store flow meta information in a database provided in the network malicious behavior analysis apparatus 200.

그리고 플로우 저장부(220)는 고속 로딩 및 고속 검색을 지원하기 위하여, 비트맵 인덱스(Bitmap index)를 사용하여 네트워크 플로우 메타 정보를 저장할 수 있다.The flow storage unit 220 may store the network flow meta information using a bitmap index to support fast loading and fast searching.

여기서, 로딩은 네트워크 플로우 정보를 데이터베이스의 테이블 형태로 저장하는 과정을 의미하며, 플로우 저장부(220)는 대용량 데이터 검색을 위하여 플로우 메타 정보의 인덱스를 비트맵 형태로 관리할 수 있다. Here, the loading means storing the network flow information in the form of a table in the database, and the flow storage unit 220 can manage the index of the flow meta information in the form of a bitmap for searching a large amount of data.

마지막으로, 악성행위 분석부(230)는 사전에 기 정의된 네트워크 악성행위 분석 방법에 따라 데이터베이스에 질의를 전송한다. 그리고 질의에 상응하는 응답값(결과)을 수신하고, 질의의 응답값을 기반으로 네트워크 악성 행위를 분석한다. Finally, the malicious behavior analysis unit 230 transmits a query to the database according to a predefined network malicious behavior analysis method. Then, it receives the response value (result) corresponding to the query, and analyzes network malicious behavior based on the response value of the query.

이때, 악성행위 분석부(230)는 지속적 외부 연결에 상응하는 질의 및 TCP SYN 플러딩에 상응하는 질의 중 적어도 어느 하나에 상응하는 질의를 데이터베이스로 전송할 수 있다. 그리고 악성행위 분석부(230)는 질의에 대한 응답값을 기반으로 네트워크 악성행위를 분석할 수 있다. At this time, the malicious behavior analysis unit 230 may transmit a query corresponding to at least one of a query corresponding to persistent external connection and a query corresponding to TCP SYN flooding to the database. The malicious behavior analysis unit 230 can analyze network malicious behavior based on the response value to the query.

악성행위 분석부(230)는 지속적 외부 연결 질의를 수행하여, 제1 네트워크 장비가 제2 네트워크 장비로 전송하는 복수 개의 SYN 패킷에 상응하는 RST 패킷을 분석할 수 있다. Malicious behavior analysis unit 230 may analyze the RST packet corresponding to a plurality of SYN packets transmitted from the first network equipment to the second network equipment by performing persistent external connection query.

악성행위 분석부(230)는 소스 IP에 상응하는 제2 네트워크 장비의 호스트, 제2 네트워크 장비의 포트, 목적지 IP에 상응하는 제1 네트워크 장비의 호스트 및 제1 네트워크 장비의 포트 개수 중 적어도 어느 하나를 그룹화할 수 있다. 그리고 악성행위 분석부(230)는 제1 네트워크 장비의 포트 개수가 임계값 이상인 경우, 지속적 외부 연결에 상응하는 악성 행위로 탐지할 수 있다. The malicious behavior analysis unit 230 may determine at least one of the host of the second network equipment corresponding to the source IP, the port of the second network equipment, the host of the first network equipment corresponding to the destination IP, Can be grouped. If the number of ports of the first network equipment is greater than or equal to the threshold value, the malicious behavior analysis unit 230 may detect malicious activity corresponding to the persistent external connection.

지속적 외부 연결은 내부 시스템이 지속적으로 외부 시스템에 연결하기 위하여 SYN 패킷을 전송하지만, 외부 시스템의 해당 포트가 열려있지 않기 때문에 외부 시스템이 내부 시스템으로 RST 패킷을 보내는 것을 의미한다. A persistent external connection means that the external system sends an RST packet to the internal system because the internal system continuously sends the SYN packet to connect to the external system but the corresponding port of the external system is not open.

지속적 외부 연결은 주로 악성코드에 감염된 내부 시스템이 외부 C&C 시스템에 접근하고자 할 때 많이 나타나는 증상이다. 따라서, 악성행위 분석부(230)는 지속적 외부 연결 질의를 데이터베이스로 전송하여 지속적 외부 연결에 상응하는 악성 행위를 분석할 수 있다. Persistent external connectivity is a common symptom often seen when an internal system infected with malicious code tries to access an external C & C system. Accordingly, the malicious behavior analysis unit 230 can analyze the malicious behavior corresponding to the continuous external connection by transmitting the continuous external connection query to the database.

또한, 악성행위 분석부(230)는 TCP SYN 플러딩 질의를 수행하여, 목적지 IP 및 목적지 포트에 상응하는 패킷의 수를 분석할 수 있다. 악성행위 분석부(230)는 목적지 IP, 목적지 포트 및 목적지 IP의 목적지 포트에 상응하는 플로우의 개수 중 적어도 어느 하나를 그룹화할 수 있다. 그리고 악성행위 분석부(230)는 플로우의 개수가 임계값 이상인 경우, TCP SYN 플러딩에 상응하는 악성행위로 탐지할 수 있다. In addition, the malicious behavior analysis unit 230 may analyze the number of packets corresponding to the destination IP and the destination port by performing the TCP SYN flooding query. The malicious behavior analysis unit 230 may group at least one of the destination IP, the destination port, and the number of flows corresponding to the destination port of the destination IP. If the number of flows is equal to or greater than the threshold value, the malicious behavior analysis unit 230 may detect malicious activity corresponding to TCP SYN flooding.

TCP SYN 플러딩은 특정 목적지 아이피와 특정 목적지 포트로 다량의 TCP SYN 패킷을 전송하는 것을 의미한다. TCP SYN 플러딩은 주로 서비스거부(Denial of Service, DoS) 공격에 주로 사용된다. 따라서 악성행위 분석부(230)는 TCP SYN 플러딩 질의를 데이터베이스로 전송하여 TCP SYN 플러딩에 상응하는 악성행위를 분석할 수 있다. TCP SYN flooding means sending a large number of TCP SYN packets to a specific destination IP and a specific destination port. TCP SYN flooding is mainly used for Denial of Service (DoS) attacks. Therefore, the malicious behavior analysis unit 230 may analyze the malicious behavior corresponding to the TCP SYN flooding by transmitting the TCP SYN flooding query to the database.

그리고 악성행위 분석부(230)는 6비트의 TCP 플래그 정보를 이용하여 데이터베이스로 질의할 수 있다. The malicious behavior analysis unit 230 can query the database using the 6-bit TCP flag information.

여기서, TCP 플래그 정보는 URG, ACK, PSH, RST, SYN, FIN의 6비트로 구성될 수 있다. URG는 Urgent Flag를 의미하며, 긴급히 데이터를 처리해야 할 때 사용되고, ACK는 Acknowledgement Flag를 의미하며 접속에 응답할 때 사용된다. 그리고 PSH는 Push Flag를 의미하고 데이터를 빨리 보내고자 할 때 사용된다. Here, the TCP flag information may be composed of 6 bits of URG, ACK, PSH, RST, SYN, and FIN. URG means Urgent Flag, it is used when urgent data processing is required, ACK means Acknowledgment Flag and it is used when responding to a connection. PSH stands for Push Flag and is used to send data quickly.

RST는 Reset Flag를 의미하며, 원인을 알 수 없는 장애로 통신을 복구할 수 없는 경우, 또는 일방적으로 세션 연결을 해제하기 위한 용도로 사용된다. SYN는 접속을 요청할 때 사용되는 Synchronize Flag를 의미하고, FIN는 데이터 전송을 완료한 후 또는 세션 종료를 요청할 때 사용되는 Fin Flag를 의미한다. RST means Reset Flag and it is used to unblock the session unilaterally if communication can not be restored due to unexplained failure. SYN means a Synchronize Flag used when requesting a connection, and FIN means a Fin Flag used when a data transmission is completed or a session is requested to be terminated.

이하에서는 도 3 내지 도 7을 통하여, 본 발명의 일실시예에 따른 네트워크 악성행위 분석 장치에 의해 수행되는 네트워크 악성행위 분석 방법에 대하여 더욱 상세하게 설명한다. Hereinafter, a method for analyzing network malicious behavior performed by the apparatus for analyzing network malicious behavior according to an embodiment of the present invention will be described in detail with reference to FIG. 3 through FIG.

도 3은 본 발명의 일실시예에 따른 네트워크 악성행위 분석 방법을 설명하기 위한 순서도이다.3 is a flowchart illustrating a method for analyzing network malicious behavior according to an exemplary embodiment of the present invention.

먼저, 네트워크 악성행위 분석 장치(200)는 네트워크 트래픽을 수집한다(S310).First, the network malicious behavior analysis apparatus 200 collects network traffic (S310).

네트워크 악성행위 분석 장치(200)는 탭(tap) 또는 미러링(mirroring) 장치 등의 트래픽 수집 장치로부터 pcap 파일을 획득하거나, 트래픽 감시 소프트웨어를 이용하여 직접 pcap 파일을 획득할 수 있다. 네트워크 악성행위 분석 장치(200)는 공지된 기술을 활용하여 네트워크 트래픽을 수집할 수 있으며, 네트워크 트래픽을 수집하는 방법은 이에 한정되지 않는다. The network malicious behavior analysis apparatus 200 may obtain a pcap file from a traffic collection device such as a tap or a mirroring device or may acquire a pcap file directly using traffic monitoring software. The network malicious behavior analysis apparatus 200 can collect network traffic using a known technology, and the method for collecting network traffic is not limited thereto.

그리고 네트워크 악성행위 분석 장치(200)는 수집된 네트워크 트래픽으로부터 플로우 메타 정보를 추출하고(S320), 추출된 플로우 메타 정보를 저장한다(S330). Then, the network malicious behavior analysis apparatus 200 extracts flow meta information from the collected network traffic (S320) and stores the extracted flow meta information (S330).

여기서, 네트워크 플로우 메타 정보는 2개의 네트워크 장비 간에 네트워크 패킷들이 어떻게 전송되었는지를 의미하는 정보를 의미한다. Here, the network flow meta information means information indicating how network packets are transmitted between two network devices.

도 4는 본 발명의 일실시예에 따른 네트워크 플로우 메타 정보를 나타낸 도면이다.4 is a diagram illustrating network flow meta information according to an exemplary embodiment of the present invention.

도 4에 도시한 바와 같이, 네트워크 플로우 메타 정보는, sourcehost, sourceport, destinationhost, destinationport, packets, bytes, protocol, service, filetype, tcpflags, starttime 및 endtime을 포함할 수 있다. As shown in FIG. 4, the network flow meta information may include sourcehost, source port, destinationhost, destination port, packets, bytes, protocol, service, filetype, tcpflags, starttime and endtime.

Sourcehost는 네트워크 패킷을 전송한 장비의 아이피를 의미하고, sourceport는 네트워크 패킷을 보낸 장비에서 사용되는 포트 번호를 의미한다. 그리고 destinationhost는 네트워크 패킷을 받는 장비의 아이피를 의미하고, destinationport는 네트워크 패킷을 받는 장비에서 사용되는 포트 번호를 의미한다. Sourcehost means the IP of the device that sent the network packet, and source port means the port number used in the device that sent the network packet. The destination host is the IP address of the device receiving the network packet, and the destination port is the port number of the device receiving the network packet.

또한, packets은 해당 플로우에서 보낸 패킷의 개수를 의미하고, bytes는 해당 플로우에서 보낸 바이트 수를 의미하며, protocol은 해당 플로우에서 사용되는 프로토콜을 의미하고, service는 해당 플로우에서 사용되는 서비스를 의미한다. 그리고 filetype은 해당 플로우에서 파일이 전송되면 해당 파일의 시그니처를 탐지하여 기록된다. In addition, packets indicate the number of packets sent from the flow, bytes indicate the number of bytes sent from the flow, protocol indicates a protocol used in the flow, and service indicates a service used in the flow . And the filetype detects the signature of the file when the file is transferred in the flow.

Tcpflags는 해당 플로우에서 보내진 패킷에 상응하는 TCP 플래그 정보의 누적값을 의미하고, starttime은 해당 플로우의 시작 시간을 의미하며, endtime은 해당 플로우의 종료 시간을 의미한다. Tcpflags denotes an accumulated value of TCP flag information corresponding to a packet sent from the corresponding flow, starttime means the start time of the flow, and endtime means the end time of the flow.

다시 도 3에 대하여 설명하면, 네트워크 악성행위 분석 장치(200)는 플로우 메타 정보 데이터베이스로 질의를 전송하고(S340), 질의의 응답값을 기반으로 네트워크 악성 행위를 분석한다(S350).Referring again to FIG. 3, the network malicious behavior analysis apparatus 200 transmits a query to the flow meta information database (S340) and analyzes network malicious behavior based on the response value of the query (S350).

이때, 네트워크 악성행위 분석 장치(200)는 지속적 외부 연결에 상응하는 질의 및 TCP SYN 플러딩에 상응하는 질의 중 적어도 어느 하나에 상응하는 질의를 데이터베이스로 전송할 수 있다.At this time, the network malicious code analysis apparatus 200 may transmit a query corresponding to at least one of a query corresponding to persistent external connection and a query corresponding to TCP SYN flooding to the database.

그리고 네트워크 악성행위 분석 장치(200)는 6비트의 TCP 플래그 정보를 이용하여 데이터베이스로 질의할 수 있다. The network malicious behavior analysis apparatus 200 can query the database using the 6-bit TCP flag information.

도 5는 본 발명의 일실시예에 따른 TCP 플래그를 나타낸 도면이다.5 is a diagram illustrating a TCP flag according to an embodiment of the present invention.

도 5에 도시한 바와 같이, TCP 플래그 정보는 URG, ACK, PSH, RST, SYN, FIN의 6비트로 구성될 수 있다. URG는 Urgent Flag를 의미하며, 긴급히 데이터를 처리해야 할 때 사용되고, ACK는 Acknowledgement Flag를 의미하며 접속에 응답할 때 사용된다. 그리고 PSH는 Push Flag를 의미하고 데이터를 빨리 보내고자 할 때 사용된다. As shown in FIG. 5, the TCP flag information may be composed of 6 bits of URG, ACK, PSH, RST, SYN, and FIN. URG means Urgent Flag, it is used when urgent data processing is required, ACK means Acknowledgment Flag and it is used when responding to a connection. PSH stands for Push Flag and is used to send data quickly.

RST는 Reset Flag를 의미하며, 원인을 알 수 없는 장애로 통신을 복구할 수 없는 경우, 또는 일방적으로 세션 연결을 해제하기 위한 용도로 사용된다. SYN는 접속을 요청할 때 사용되는 Synchronize Flag를 의미하고, FIN는 데이터 전송을 완료한 후 또는 세션 종료를 요청할 때 사용되는 Fin Flag를 의미한다.RST means Reset Flag and it is used to unblock the session unilaterally if communication can not be restored due to unexplained failure. SYN means a Synchronize Flag used when requesting a connection, and FIN means a Fin Flag used when a data transmission is completed or a session is requested to be terminated.

네트워크 악성행위 분석 장치(200)는 도 3의 S340 단계에서 지속적 외부 연결에 상응하는 질의를 데이터베이스로 전송할 수 있다. The network malicious behavior analysis apparatus 200 may transmit a query corresponding to the persistent external connection to the database in step S340 of FIG.

지속적 외부 연결은 내부 시스템이 지속적으로 외부 시스템에 연결하기 위하여 SYN 패킷을 전송하지만, 외부 시스템의 해당 포트가 열려있지 않기 때문에 외부 시스템이 내부 시스템으로 RST 패킷을 보내는 것을 의미한다. A persistent external connection means that the external system sends an RST packet to the internal system because the internal system continuously sends the SYN packet to connect to the external system but the corresponding port of the external system is not open.

지속적 외부 연결은 주로 악성코드에 감염된 내부 시스템이 외부 C&C 시스템에 접근하고자 할 때 많이 나타나는 증상이다. 따라서, 네트워크 악성행위 분석 장치(200)는 지속적 외부 연결 질의를 데이터베이스로 전송하여 지속적 외부 연결에 상응하는 악성 행위를 분석할 수 있다. Persistent external connectivity is a common symptom often seen when an internal system infected with malicious code tries to access an external C & C system. Therefore, the network malicious behavior analysis apparatus 200 can analyze the malicious behavior corresponding to the persistent external connection by transmitting the persistent external connection query to the database.

도 6은 본 발명의 일실시예에 따른 지속적 외부 연결 질의를 설명하기 위한 도면이다.6 is a diagram for explaining a persistent external connection query according to an embodiment of the present invention.

도 6에 도시된 지속적 외부 연결 질의에서, tcpflags의 값이 20 이라는 것은 이진수로 010100을 의미한다. Tcp 플래그는 도 5와 같이 URG, ACK, PSH, RST, SYN, FIN의 6비트로 구성되므로, 010100은 해당 플로우에서 ACK 플래그 및 RST 플래그가 1로 셋팅된 패킷이 전송되었다는 것을 의미한다. 즉, 소스 아이피에 해당하는 장비가 목적지 아이피에 해당하는 장비로 RST 패킷을 전송한 것을 의미한다. In the persistent external connection query shown in FIG. 6, the value of tcpflags is 20, meaning binary number 010100. Since the Tcp flag is composed of 6 bits of URG, ACK, PSH, RST, SYN and FIN as shown in FIG. 5, 010100 indicates that a packet with the ACK flag and the RST flag set to 1 is transmitted in the corresponding flow. That is, the device corresponding to the source IP transmits the RST packet to the device corresponding to the destination IP.

그리고 네트워크 악성행위 분석 장치(200)는 도 6의 지속적 외부 연결 질의를 통하여, 목적지 아이피에 해당하는 장비가 소스 아이피에 해당하는 장비로 SYN 패킷을 보냈을 때, 소스 아이피에 해당하는 장비가 목적지 아이피에 해당하는 장비로 RST 패킷을 보냈는지를 찾는다. When the apparatus corresponding to the destination IP sends a SYN packet to the apparatus corresponding to the source IP through the persistent external connection query of FIG. 6, the network malicious behavior analysis apparatus 200 determines whether the apparatus corresponding to the source IP is a destination IP To determine whether the RST packet has been sent to the corresponding equipment.

이와 같은 과정을 모든 플로우에 대해 한 번에 처리하기 위하여, 네트워크 악성행위 분석 장치(200)는 (sourcehost, sourceport, destinationhost, destinationport의 개수)로 그룹화한다. 그리고 destinationport의 개수가 기 설정된 임계값(threshold) 이상인 경우, 네트워크 악성행위 분석 장치(200)는 지속적 외부 연결에 상응하는 악성 행위로 판단한다. The network malicious behavior analysis apparatus 200 groups (sourcehost, source port, destinationhost, destination port number) in order to process such a process for all the flows at once. If the number of destination ports is equal to or greater than a preset threshold value, the network malicious behavior analysis apparatus 200 determines that the malicious behavior corresponds to the persistent external connection.

예를 들어, 지속적 외부 연결 질의의 응답값(결과)이 (A, B, C, D)인 경우, 감염 시스템 C는 외부 시스템 A의 B번 포트로 D번 지속적으로 외부 연결을 시도한 것을 의미한다. 외부 시스템 A의 B번 포트가 아직 열려있지 않기 때문에, 외부 시스템 A는 감염 시스템 C로 D번 RST 패킷을 보낸 것이다. 그리고 네트워크 악성행위 분석 장치(200)는 D와 기 설정된 임계값(threshold)을 비교하여 지속적 외부 연결에 상응하는 악성 행위를 분석할 수 있다.For example, if the response value (result) of the persistent external connection query is (A, B, C, D), the infection system C means that the external connection is continuously made to the port B of the external system A . Since port B of external system A is not yet open, external system A has sent RST packet D to infected system C. Then, the network malicious behavior analysis apparatus 200 can compare malicious behavior corresponding to the persistent external connection by comparing D with a preset threshold.

이와 같이, 네트워크 악성행위 분석 장치(200)는 지속적 외부 연결 질의를 수행하여, 제1 네트워크 장비가 제2 네트워크 장비로 전송하는 복수 개의 SYN 패킷에 상응하는 RST 패킷을 분석할 수 있다. In this manner, the network malicious behavior analysis apparatus 200 can perform a persistent external connection query to analyze RST packets corresponding to a plurality of SYN packets transmitted from the first network equipment to the second network equipment.

그리고 네트워크 악성행위 분석 장치(200)는 소스 IP에 상응하는 제2 네트워크 장비의 호스트, 제2 네트워크 장비의 포트, 목적지 IP에 상응하는 제1 네트워크 장비의 호스트 및 제1 네트워크 장비의 포트 개수 중 적어도 어느 하나를 그룹화할 수 있다. 또한, 네트워크 악성행위 분석 장치(200)는 제1 네트워크 장비의 포트 개수가 임계값 이상인 경우, 지속적 외부 연결에 상응하는 악성 행위로 탐지할 수 있다. Then, the network malicious behavior analysis apparatus 200 determines at least one of the host of the second network equipment corresponding to the source IP, the port of the second network equipment, the host of the first network equipment corresponding to the destination IP, Any one can be grouped. In addition, the network malicious behavior analysis apparatus 200 can detect malicious behavior corresponding to a persistent external connection when the number of ports of the first network equipment is equal to or greater than a threshold value.

한편, 네트워크 악성행위 분석 장치(200)는 도 3의 S340 단계에서 TCP SYN 플러딩에 상응하는 질의를 데이터베이스로 전송할 수 있다. Meanwhile, the network malicious behavior analysis apparatus 200 may transmit a query corresponding to TCP SYN flooding to the database in step S340 of FIG.

TCP SYN 플러딩은 특정 목적지 아이피와 특정 목적지 포트로 다량의 TCP SYN 패킷을 전송하는 것을 의미한다. TCP SYN 플러딩은 주로 서비스거부(Denial of Service, DoS) 공격에 주로 사용된다. 따라서 네트워크 악성행위 분석 장치(200)는 TCP SYN 플러딩 질의를 데이터베이스로 전송하여 TCP SYN 플러딩에 상응하는 악성행위를 분석할 수 있다. TCP SYN flooding means sending a large number of TCP SYN packets to a specific destination IP and a specific destination port. TCP SYN flooding is mainly used for Denial of Service (DoS) attacks. Therefore, the network malicious behavior analysis apparatus 200 can analyze the malicious behavior corresponding to the TCP SYN flooding by transmitting the TCP SYN flooding query to the database.

도 7은 본 발명의 일실시예에 따른 TCP SYN 플러딩 질의를 설명하기 위한 도면이다. 7 is a view for explaining a TCP SYN flooding query according to an embodiment of the present invention.

도 7에 도시한 TCP SYN 플러딩 질의에서, tcpflags의 값이 2라는 것은 이진수로 000010을 의미한다. Tcp 플래그는 도 5와 같이 URG, ACK, PSH, RST, SYN, FIN의 6비트로 구성되므로, 000010은 SYN 플래그가 1로 셋팅된 패킷이 해당 플로우에서 전송되었다는 것을 의미한다. In the TCP SYN flooding query shown in FIG. 7, when the value of tcpflags is 2, it means 000010 as a binary number. Since the Tcp flag is composed of 6 bits of URG, ACK, PSH, RST, SYN, and FIN as shown in FIG. 5, 000010 means that a packet having the SYN flag set to 1 is transmitted in the corresponding flow.

TCP SYN 플러딩은 특정 목적지 아이피 및 특정 목적지 포트를 대상으로 하므로, 목적지 아이피와 목적지 포트를 사용하여 그룹화하고, 해당 목적지 아이피 및 목적지 포트에 상응하는 플로우의 개수가 기 설정된 임계값(threshold) 이상인 경우, 네트워크 악성행위 분석 장치(200)는 TCP SYN 플러딩에 상응하는 악성 행위로 탐지할 수 있다. Since TCP SYN flooding targets specific destination IP and specific destination port, grouping is performed using destination IP and destination port, and when the number of flows corresponding to the destination IP and destination port is equal to or greater than a preset threshold value, The network malicious behavior analysis apparatus 200 can detect malicious activity corresponding to TCP SYN flooding.

예를 들어, TCP SYN 플러딩 질의의 응답값(결과)이 (A, B, C)인 경우, A라는 목적지 아이피의 B번 포트로 C번 TCP SYN 패킷이 보내진 것을 의미한다. 그리고 네트워크 악성행위 분석 장치(200)는 C와 기 설정된 임계값(threshold)을 비교하여 TCP SYN 플러딩에 상응하는 악성 행위를 분석할 수 있다. For example, if the response value (result) of the TCP SYN flooding query is (A, B, C), it means that TCP SYN packet C is sent to port B of the destination IP of A. Then, the network malicious behavior analysis apparatus 200 can compare malicious behavior corresponding to the TCP SYN flooding by comparing C with a predetermined threshold.

설명의 편의상, 도 6의 기 설정된 임계값(threshold)과 도 7의 기 설정된 임계값(threshold)을 서로 구분하여 표시하지 않았으나, 도 6 및 도 7에 도시된 기 설정된 임계값(threshold)은 서로 다른 값을 의미할 수 있다. For convenience of explanation, the predetermined threshold value in FIG. 6 and the predetermined threshold value in FIG. 7 are not displayed separately from each other. However, the predetermined threshold values shown in FIG. 6 and FIG. It can mean different values.

이와 같이, 네트워크 악성행위 분석 장치(200)는 TCP SYN 플러딩 질의를 수행하여, 목적지 IP 및 목적지 포트에 상응하는 패킷의 수를 분석할 수 있다. 네트워크 악성행위 분석 장치(200)는 목적지 IP, 목적지 포트 및 목적지 IP의 목적지 포트에 상응하는 플로우의 개수 중 적어도 어느 하나를 그룹화할 수 있다. 그리고 네트워크 악성행위 분석 장치(200)는 플로우의 개수가 임계값 이상인 경우, TCP SYN 플러딩에 상응하는 악성행위로 탐지할 수 있다. In this manner, the network malicious code analysis apparatus 200 can perform the TCP SYN flooding query to analyze the number of packets corresponding to the destination IP and the destination port. The network malicious behavior analysis apparatus 200 can group at least one of the destination IP, the destination port, and the number of flows corresponding to the destination port of the destination IP. Then, the network malicious behavior analysis apparatus 200 can detect malicious behavior corresponding to the TCP SYN flooding when the number of flows is equal to or greater than the threshold value.

도 8은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.8 is a block diagram illustrating a computer system in accordance with an embodiment of the present invention.

도 8을 참조하면, 본 발명의 실시예는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(800)에서 구현될 수 있다. 도 8에 도시된 바와 같이, 컴퓨터 시스템(800)은 버스(820)를 통하여 서로 통신하는 하나 이상의 프로세서(810), 메모리(830), 사용자 입력 장치(840), 사용자 출력 장치(850) 및 스토리지(860)를 포함할 수 있다. 또한, 컴퓨터 시스템(800)은 네트워크(880)에 연결되는 네트워크 인터페이스(870)를 더 포함할 수 있다. 프로세서(810)는 중앙 처리 장치 또는 메모리(830)나 스토리지(860)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(830) 및 스토리지(860)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(831)이나 RAM(832)을 포함할 수 있다.Referring to FIG. 8, embodiments of the present invention may be implemented in a computer system 800, such as a computer readable recording medium. 8, a computer system 800 includes one or more processors 810, a memory 830, a user input device 840, a user output device 850, and a storage 850, which communicate with one another via a bus 820. [ 860 < / RTI > In addition, the computer system 800 may further include a network interface 870 connected to the network 880. The processor 810 may be a central processing unit or a semiconductor device that executes the processing instructions stored in the memory 830 or the storage 860. [ Memory 830 and storage 860 may be various types of volatile or non-volatile storage media. For example, the memory may include ROM 831 or RAM 832.

따라서, 본 발명의 실시예는 컴퓨터로 구현된 방법이나 컴퓨터에서 실행 가능한 명령어들이 기록된 비일시적인 컴퓨터에서 읽을 수 있는 매체로 구현될 수 있다. 컴퓨터에서 읽을 수 있는 명령어들이 프로세서에 의해서 수행될 때, 컴퓨터에서 읽을 수 있는 명령어들은 본 발명의 적어도 한 가지 태양에 따른 방법을 수행할 수 있다.Thus, embodiments of the invention may be embodied in a computer-implemented method or in a non-volatile computer readable medium having recorded thereon instructions executable by the computer. When computer readable instructions are executed by a processor, the instructions readable by the computer are capable of performing the method according to at least one aspect of the present invention.

이상에서와 같이 본 발명에 따른 네트워크 악성행위 분석 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다. As described above, the apparatus and method for analyzing network malicious behavior according to the present invention are not limited to the configuration and method of the embodiments described above, but the embodiments can be applied to various embodiments All or a part of the above-described elements may be selectively combined.

100: 트래픽 수집 장치 200: 네트워크 악성행위 분석 장치
210: 플로우 추출부 220: 플로우 저장부
230: 악성행위 분석부 300: 데이터베이스
800: 컴퓨터 시스템 810: 프로세서
820: 버스 830: 메모리
831: 롬 832: 램
840: 사용자 입력 장치 850: 사용자 출력 장치
860: 스토리지 870: 네트워크 인터페이스
880: 네트워크100: traffic collecting apparatus 200: network malicious behavior analyzing apparatus
210: Flow extraction unit 220: Flow storage unit
230: malicious behavior analysis unit 300: database
800: computer system 810: processor
820: bus 830: memory
831: ROM 832: RAM
840: user input device 850: user output device
860: Storage 870: Network Interface
880: Network

Claims (20)

수집된 네트워크 트래픽의 플로우 메타 정보를 추출하는 플로우 추출부;
추출된 상기 플로우 메타 정보를 데이터베이스의 테이블 형태로 저장하는 플로우 저장부; 및
지속적 외부 연결 질의 및 TCP SYN 플러딩 질의 중 적어도 어느 하나에 상응하는 질의를 상기 플로우 저장부로 전송하고, 상기 질의의 응답값을 기반으로 네트워크 악성 행위를 분석하는 악성행위 분석부
를 포함하는 네트워크 악성행위 분석 장치. A flow extracting unit for extracting flow meta information of the collected network traffic;
A flow storage unit for storing the extracted flow meta information in a table form of a database; And
A malicious behavior analysis unit for analyzing a network malicious behavior based on a response value of the query, a malicious behavior analysis unit for analyzing malicious behavior of the network based on a response value of the query, a query corresponding to at least one of a persistent external connection query and a TCP SYN flooding query,
The network malicious behavior analysis apparatus comprising: 청구항 1에 있어서,
상기 악성행위 분석부는,
제1 네트워크 장비가 제2 네트워크 장비로 전송하는 복수 개의 SYN 패킷에 상응하는 RST 패킷을 분석하는, 상기 지속적 외부 연결 질의를 수행하는 것을 특징으로 하는 네트워크 악성행위 분석 장치. The method according to claim 1,
The malicious behavior analysis unit,
Wherein the persistent external connection query analyzing unit analyzes the RST packet corresponding to a plurality of SYN packets transmitted from the first network equipment to the second network equipment. 청구항 2에 있어서,
상기 악성행위 분석부는,
소스 IP에 상응하는 상기 제2 네트워크 장비의 호스트, 상기 제2 네트워크 장비의 포트, 목적지 IP에 상응하는 상기 제1 네트워크 장비의 호스트 및 상기 제1 네트워크 장비의 포트 개수 중 적어도 어느 하나를 그룹화하는 네트워크 악성행위 분석 장치. The method of claim 2,
The malicious behavior analysis unit,
Grouping at least one of a host of the second network equipment corresponding to the source IP, a port of the second network equipment, a host of the first network equipment corresponding to the destination IP and a port number of the first network equipment, Malicious behavior analysis device. 청구항 3에 있어서,
상기 악성행위 분석부는,
상기 제1 네트워크 장비의 포트 개수가 임계값 이상인 경우, 상기 지속적 외부 연결에 상응하는 악성행위로 탐지하는 것을 특징으로 하는 네트워크 악성행위 분석 장치. The method of claim 3,
The malicious behavior analysis unit,
Detecting malicious behavior corresponding to the persistent external connection when the number of ports of the first network equipment is equal to or greater than a threshold value. 청구항 1에 있어서,
상기 악성행위 분석부는,
목적지 IP 및 목적지 포트에 상응하는 패킷의 수를 분석하는, 상기 TCP SYN 플러딩 질의를 수행하는 것을 특징으로 하는 네트워크 악성행위 분석 장치. The method according to claim 1,
The malicious behavior analysis unit,
And analyzes the number of packets corresponding to the destination IP and the destination port, and performs the TCP SYN flooding query. 청구항 5에 있어서,
상기 악성행위 분석부는,
상기 목적지 IP, 상기 목적지 포트 및 상기 목적지 IP의 상기 목적지 포트에 상응하는 플로우의 개수를 그룹화하는 것을 특징으로 하는 네트워크 악성행위 분석 장치.The method of claim 5,
The malicious behavior analysis unit,
And grouping the number of flows corresponding to the destination IP, the destination port, and the destination port of the destination IP. 청구항 6에 있어서,
상기 악성행위 분석부는,
상기 플로우의 개수가 임계값 이상인 경우, 상기 TCP SYN 플러딩에 상응하는 악성행위로 탐지하는 것을 특징으로 하는 네트워크 악성행위 분석 장치. The method of claim 6,
The malicious behavior analysis unit,
And detects a malicious action corresponding to the TCP SYN flooding if the number of flows is equal to or greater than a threshold value. 청구항 1에 있어서,
상기 플로우 저장부는,
상기 플로우 메타 정보의 인덱스를 비트맵 형태로 관리하는 것을 특징으로 하는 네트워크 악성행위 분석 장치.The method according to claim 1,
Wherein the flow storage unit comprises:
And the index of the flow meta information is managed in a bitmap form. 청구항 8에 있어서,
상기 플로우 메타 정보는,
상기 네트워크 트래픽의 플로우에 상응하는 소스의 IP, 상기 소스의 포트 번호, 목적지의 IP, 상기 목적지의 포트 번호, 패킷의 개수, 바이트 수, 프로토콜, 서비스, 파일 유형, TCP 플래그 정보의 누적값, 시작 시간 및 종료 시간 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 네트워크 악성행위 분석 장치. The method of claim 8,
The flowmeter information includes:
A source port number, a destination IP number, a destination port number, a packet number, a byte number, a protocol, a service, a file type, an accumulated value of TCP flag information, Time, and end time of the network malicious behavior. 청구항 9에 있어서,
상기 악성행위 분석부는,
6비트의 상기 TCP 플래그 정보를 이용하여 상기 플로우 저장부로 질의하는 것을 특징으로 하는 네트워크 악성행위 분석 장치. The method of claim 9,
The malicious behavior analysis unit,
And queries the flow storage unit using the 6-bit TCP flag information. 네트워크 악성행위 분석 장치에 의해 수행되는 네트워크 악성행위 분석 방법에 있어서,
수집된 네트워크 트래픽의 플로우 메타 정보를 추출하는 단계;
추출된 상기 플로우 메타 정보를 데이터베이스의 테이블 형태로 저장하는 단계; 및
저장된 상기 플로우 메타 정보의 데이터베이스로, 지속적 외부 연결 질의 및 TCP SYN 플러딩 질의 중 적어도 어느 하나에 상응하는 질의를 전송하는 단계; 및
상기 질의의 응답값을 기반으로 네트워크 악성 행위를 분석하는 단계;
를 포함하는 네트워크 악성행위 분석 방법. A network malicious behavior analysis method performed by a network malicious behavior analysis apparatus,
Extracting flow meta information of the collected network traffic;
Storing the extracted flow meta information in a table form of a database; And
Transmitting a query corresponding to at least one of a persistent external connection query and a TCP SYN flooding query to a database of the stored flow meta information; And
Analyzing network malicious behavior based on a response value of the query;
Wherein the network malicious behavior analysis method comprises the steps of: 청구항 11에 있어서,
상기 질의를 전송하는 단계는,
제1 네트워크 장비가 제2 네트워크 장비로 전송하는 복수 개의 SYN 패킷에 상응하는 RST 패킷을 분석하는, 상기 지속적 외부 연결 질의를 전송하는 것을 특징으로 하는 네트워크 악성행위 분석 방법. The method of claim 11,
Wherein the step of transmitting the query comprises:
The persistent external connection query analyzing the RST packet corresponding to a plurality of SYN packets transmitted by the first network equipment to the second network equipment. 청구항 12에 있어서,
상기 네트워크 악성 행위를 분석하는 단계는,
소스 IP에 상응하는 상기 제2 네트워크 장비의 호스트, 상기 제2 네트워크 장비의 포트, 목적지 IP에 상응하는 상기 제1 네트워크 장비의 호스트 및 상기 제1 네트워크 장비의 포트 개수 중 적어도 어느 하나를 그룹화하는 네트워크 악성행위 분석 방법. . The method of claim 12,
Wherein analyzing the network malicious behavior comprises:
Grouping at least one of a host of the second network equipment corresponding to the source IP, a port of the second network equipment, a host of the first network equipment corresponding to the destination IP and a port number of the first network equipment, Malicious behavior analysis method. . 청구항 13에 있어서,
상기 네트워크 악성 행위를 분석하는 단계는,
상기 제1 네트워크 장비의 포트 개수가 임계값 이상인 경우, 상기 지속적 외부 연결에 상응하는 악성행위로 탐지하는 것을 특징으로 하는 네트워크 악성행위 분석 방법. 14. The method of claim 13,
Wherein analyzing the network malicious behavior comprises:
Detecting a malicious action corresponding to the persistent external connection when the number of ports of the first network equipment is equal to or greater than a threshold value. 청구항 11에 있어서,
상기 질의를 전송하는 단계는,
목적지 IP 및 목적지 포트에 상응하는 패킷의 수를 분석하는, 상기 TCP SYN 플러딩 질의를 전송하는 것을 특징으로 하는 네트워크 악성행위 분석 방법. The method of claim 11,
Wherein the step of transmitting the query comprises:
And transmits the TCP SYN flooding query, which analyzes the number of packets corresponding to the destination IP and the destination port. 청구항 15에 있어서,
상기 네트워크 악성 행위를 분석하는 단계는,
상기 목적지 IP, 상기 목적지 포트 및 상기 목적지 IP의 상기 목적지 포트에 상응하는 플로우의 개수를 그룹화하는 것을 특징으로 하는 네트워크 악성행위 분석 방법.16. The method of claim 15,
Wherein analyzing the network malicious behavior comprises:
And grouping the number of flows corresponding to the destination IP, the destination port, and the destination port of the destination IP. 청구항 16에 있어서,
상기 네트워크 악성 행위를 분석하는 단계는,
상기 플로우의 개수가 임계값 이상인 경우, 상기 TCP SYN 플러딩에 상응하는 악성행위로 탐지하는 것을 특징으로 하는 네트워크 악성행위 분석 방법. 18. The method of claim 16,
Wherein analyzing the network malicious behavior comprises:
And detecting malicious behavior corresponding to the TCP SYN flooding if the number of flows is equal to or greater than a threshold value. 청구항 11에 있어서,
상기 플로우 메타 정보를 저장하는 단계는,
상기 플로우 메타 정보의 인덱스를 비트맵 형태로 관리하는 것을 특징으로 하는 네트워크 악성행위 분석 방법.The method of claim 11,
Wherein the step of storing the flow meta information comprises:
Wherein the index of the flow meta information is managed in a bitmap form. 청구항 18에 있어서,
상기 플로우 메타 정보는,
상기 네트워크 트래픽의 플로우에 상응하는 소스의 IP, 상기 소스의 포트 번호, 목적지의 IP, 상기 목적지의 포트 번호, 패킷의 개수, 바이트 수, 프로토콜, 서비스, 파일 유형, TCP 플래그 정보의 누적값, 시작 시간 및 종료 시간 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 네트워크 악성행위 분석 방법. 19. The method of claim 18,
The flowmeter information includes:
A source port number, a destination IP number, a destination port number, a packet number, a byte number, a protocol, a service, a file type, an accumulated value of TCP flag information, A time and an end time of the network malicious behavior. 청구항 19에 있어서,
상기 네트워크 악성 행위를 분석하는 단계는,
6비트의 상기 TCP 플래그 정보를 이용하여 상기 플로우 메타 정보의 데이터베이스로 질의하는 것을 특징으로 하는 네트워크 악성행위 분석 방법.The method of claim 19,
Wherein analyzing the network malicious behavior comprises:
And querying the database of the flowmeter information using the 6-bit TCP flag information.
KR1020160134971A 2016-10-18 2016-10-18 Apparatus and method for analyzing network malicious behavior KR20180042608A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160134971A KR20180042608A (en) 2016-10-18 2016-10-18 Apparatus and method for analyzing network malicious behavior

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160134971A KR20180042608A (en) 2016-10-18 2016-10-18 Apparatus and method for analyzing network malicious behavior

Publications (1)

Publication Number Publication Date
KR20180042608A true KR20180042608A (en) 2018-04-26

Family

ID=62082280

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160134971A KR20180042608A (en) 2016-10-18 2016-10-18 Apparatus and method for analyzing network malicious behavior

Country Status (1)

Country Link
KR (1) KR20180042608A (en)

Similar Documents

Publication Publication Date Title
JP5003556B2 (en) Communication detection device, communication detection method, and communication detection program
KR101391781B1 (en) Apparatus and Method for Detecting HTTP Botnet based on the Density of Web Transaction
US9661008B2 (en) Network monitoring apparatus, network monitoring method, and network monitoring program
CN109194680B (en) Network attack identification method, device and equipment
CN102624706B (en) Method for detecting DNS (domain name system) covert channels
WO2016006520A1 (en) Detection device, detection method and detection program
JP5947838B2 (en) Attack detection apparatus, attack detection method, and attack detection program
EP2863611A1 (en) Device for detecting cyber attack based on event analysis and method thereof
CA2545916A1 (en) Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data
CN114830112A (en) Detection and mitigation of DDoS attacks performed over QUIC communication protocols
KR20130017333A (en) Attack decision system of slow distributed denial of service based application layer and method of the same
CN110166480B (en) Data packet analysis method and device
JP6502902B2 (en) Attack detection device, attack detection system and attack detection method
JP6750457B2 (en) Network monitoring device, program and method
CN112671759A (en) DNS tunnel detection method and device based on multi-dimensional analysis
JP6592196B2 (en) Malignant event detection apparatus, malignant event detection method, and malignant event detection program
KR101072981B1 (en) Protection system against DDoS
CN111131309A (en) Distributed denial of service detection method and device and model creation method and device
CN110430199B (en) Method and system for identifying internet of things botnet attack source
WO2019240054A1 (en) Communication device, packet processing method, and program
KR20180042608A (en) Apparatus and method for analyzing network malicious behavior
RU186198U1 (en) Host Level Intrusion Detector
KR101686472B1 (en) Network security apparatus and method of defending an malicious behavior
CN115086068B (en) Network intrusion detection method and device
Utsai et al. DOS attack reduction by using Web service filter