KR20180101868A - 악성 행위 의심 정보 탐지 장치 및 방법 - Google Patents

악성 행위 의심 정보 탐지 장치 및 방법 Download PDF

Info

Publication number
KR20180101868A
KR20180101868A KR1020170028369A KR20170028369A KR20180101868A KR 20180101868 A KR20180101868 A KR 20180101868A KR 1020170028369 A KR1020170028369 A KR 1020170028369A KR 20170028369 A KR20170028369 A KR 20170028369A KR 20180101868 A KR20180101868 A KR 20180101868A
Authority
KR
South Korea
Prior art keywords
flow information
malicious
connectivity
information
similarity
Prior art date
Application number
KR1020170028369A
Other languages
English (en)
Inventor
최선오
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020170028369A priority Critical patent/KR20180101868A/ko
Publication of KR20180101868A publication Critical patent/KR20180101868A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

악성 행위 의심 정보 탐지 장치 및 방법이 개시된다. 본 발명에 따른 악성 행위 의심 정보 탐지 장치는, 악성 행위에 상응하는 악성 행위 플로우 정보를 입력받는 악성 행위 플로우 정보 입력부, 분석 대상 플로우 정보와 상기 악성 행위 플로우 정보의 유사도 분석을 수행하는 유사도 분석부, 상기 분석 대상 플로우 정보와 상기 악성 행위 플로우 정보의 연결성 분석을 수행하는 연결성 분석부, 그리고 상기 유사도 분석의 수행 결과 및 상기 연결성 분석의 수행 결과를 기반으로, 상기 악성 행위와 연관된 악성 행위 의심 정보를 탐지하는 악성 행위 의심 정보 탐지부를 포함한다.

Description

악성 행위 의심 정보 탐지 장치 및 방법{APPARATUS AND METHOD FOR DETECTING OF SUSPECTED MALIGNANT INFORMATION}
본 발명은 악성 행위 의심 정보 탐지 기술에 관한 것으로, 특히 네트워크 플로우의 유사도 및 연결성을 기반으로, 네트워크 악성 행위와 연관된 악성 행위 의심 정보를 탐지하는 기술에 관한 것이다.
일반적으로 침입 탐지 시스템(Intrusion Detection System, IDS)은 기 정의된 네트워크 패턴이 네트워크 트래픽에 나타날 경우, 네트워크 악성 행위로 간주하고, 알람을 출력하거나 해당 네트워크 트래픽을 차단한다.
침입 탐지 시스템(IDS)는 방화벽이 탐지할 수 없는 악의적인 네트워크 트래픽 및 조작을 탐지하며, 취약한 서비스에 대한 네트워크 공격, 애플리케이션에서의 데이터 처리 공격(data driven attack), 권한 확대(privilege escalation) 및 침입자 로그인, 침입자에 의한 주요 파일 접근, 악성 소프트웨어(컴퓨터 바이러스, 트로이 목마, 웜)와 같은 호스트 기반 공격을 탐지한다.
그리고 침입 탐지 시스템(IDS)는 시그니처 기반 침입 탐지 시스템 및 네트워크 기반 침입 탐지 시스템으로 구분될 수 있다. 먼저, 시그니처 기반 침입 탐지 시스템은 악의적인 것으로 추정되는 트래픽 또는 애플리케이션 데이터의 패턴을 감시하여 침입을 식별한다. 시그니처 기반 침입 탐지 시스템은 공격 시그니처를 저장하는 데이터베이스를 이용하여 수집된 정보를 분석하며, 알려진 공격만 탐지할 수 있다.
또한, 네트워크 기반 침입 탐지 시스템은 네트워크 트래픽을 검사하고, 호스트들을 모니터링하여 침입을 식별한다. 네트워크 기반 침입 탐지 시스템에서 센서는 모니터할 네트워크 또는 DMZ, 네트워크 경계의 초크 지점에 위치하며, 악의적인 트래픽을 탐지하기 위하여 모든 네트워크 트래픽의 흐름을 캡쳐하고, 각각의 패킷 내용을 분석한다.
그러나, 사이버 공격은 매 공격마다 알려지지 않은 새로운 형태의 트래픽을 발생하며, 이러한 특성으로 인하여 악의적인 네트워크 트래픽의 탐지가 어렵다. 따라서, 네트워크 트래픽에서 악성 행위로 의심되는 정보를 탐지할 수 있도록 하는 기술의 개발이 필요하다.
한국 등록 특허 제10- 1428721 호, 2014년 06월 24일 공고(명칭: 트래픽 분석을 통한 악성 트래픽 탐지 방법 및 그 시스템)
본 발명의 목적은 알려지지 않아 기존의 침입 탐지 시스템에서 탐지하기 어려운 네트워크 악성 행위를 탐지할 수 있도록 하는 것이다.
또한, 본 발명의 목적은 알려진 네트워크 악성 행위와 연관된 네트워크 플로우를 악성 행위 의심 정보로 선별하여, 악성 행위 탐지 대상을 효과적으로 줄일 수 있도록 하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 악성 행위 의심 정보 탐지 장치는 악성 행위에 상응하는 악성 행위 플로우 정보를 입력받는 악성 행위 플로우 정보 입력부, 분석 대상 플로우 정보와 상기 악성 행위 플로우 정보의 유사도 분석을 수행하는 유사도 분석부, 상기 분석 대상 플로우 정보와 상기 악성 행위 플로우 정보의 연결성 분석을 수행하는 연결성 분석부, 그리고 상기 유사도 분석의 수행 결과 및 상기 연결성 분석의 수행 결과를 기반으로, 상기 악성 행위와 연관된 악성 행위 의심 정보를 탐지하는 악성 행위 의심 정보 탐지부를 포함한다.
이때, 상기 유사도 분석부는, 상기 분석 대상 플로우 정보 및 상기 악성 행위 플로우 정보에 각각에 상응하는 단위 패킷의 바이트 수 분포를 비교하여 상기 유사도 분석을 수행할 수 있다.
이때, 상기 유사도 분석부는, 유클리디안 거리 공식을 이용하여 유사도를 연산할 수 있다.
이때, 상기 악성 행위 의심 정보 탐지부는, 상기 유사도가 유사도 임계값 미만인 경우, 상기 분석 대상 플로우 정보를 악성 행위 의심 정보인 것으로 판단할 수 있다.
이때, 상기 연결성 분석부는, 상기 분석 대상 플로우 정보와 상기 악성 행위 플로우 정보에 상응하는 시작 시간, 소스 아이피, 소스 포트, 목적지 아이피, 목적지 포트 및 프로토콜 중 적어도 어느 하나의 연결성 비교 항목을 기반으로 상기 연결성 분석을 수행할 수 있다.
이때, 상기 연결성 분석부는, 상기 연결성 비교 항목 각각에 가중치를 부여하여 연결성을 연산할 수 있다.
이때, 상기 악성 행위 의심 정보 탐지부는, 상기 연결성이 연결성 임계값 미만인 경우, 상기 분석 대상 플로우 정보를 악성 행위 의심 정보인 것으로 판단할 수 있다.
이때, 상기 악성 행위 플로우 정보 입력부는, 네트워크 악성행위 시그니처 및 악성 파일 수신에 상응하는 네트워크 플로우 정보 중 적어도 어느 하나를 포함할 수 있다.
또한, 본 발명의 일실시예에 따른 악성 행위 의심 정보 탐지에 의해 수행되는 악성 행위 의심 정보 탐지 방법은 악성 행위에 상응하는 악성 행위 플로우 정보를 입력받는 단계, 분석 대상 플로우 정보와 상기 악성 행위 플로우 정보의 유사도 분석을 수행하는 단계, 상기 분석 대상 플로우 정보와 상기 악성 행위 플로우 정보의 연결성 분석을 수행하는 단계, 그리고 상기 유사도 분석의 수행 결과 및 상기 연결성 분석의 수행 결과를 기반으로, 상기 악성 행위와 연관된 악성 행위 의심 정보를 탐지하는 단계를 포함한다.
이때, 상기 유사도 분석을 수행하는 단계는, 상기 분석 대상 플로우 정보 및 상기 악성 행위 플로우 정보에 각각에 상응하는 단위 패킷의 바이트 수 분포를 비교하여 상기 유사도 분석을 수행할 수 있다.
이때, 상기 유사도 분석을 수행하는 단계는, 유클리디안 거리 공식을 이용하여 유사도를 연산할 수 있다.
이때, 상기 악성 행위 의심 정보를 탐지하는 단계는, 상기 유사도가 유사도 임계값 미만인 경우, 상기 분석 대상 플로우 정보를 악성 행위 의심 정보인 것으로 판단할 수 있다.
이때, 상기 연결성 분석을 수행하는 단계는, 상기 분석 대상 플로우 정보와 상기 악성 행위 플로우 정보에 상응하는 시작 시간, 소스 아이피, 소스 포트, 목적지 아이피, 목적지 포트 및 프로토콜 중 적어도 어느 하나의 연결성 비교 항목을 기반으로 상기 연결성 분석을 수행할 수 있다.
이때, 상기 연결성 분석을 수행하는 단계는, 상기 연결성 비교 항목 각각에 가중치를 부여하여 연결성을 연산할 수 있다.
이때, 상기 악성 행위 의심 정보를 탐지하는 단계는, 상기 연결성이 연결성 임계값 미만인 경우, 상기 분석 대상 플로우 정보를 악성 행위 의심 정보인 것으로 판단할 수 있다.
이때, 상기 악성 행위 플로우 정보를 입력받는 단계는, 네트워크 악성행위 시그니처 및 악성 파일 수신에 상응하는 네트워크 플로우 정보 중 적어도 어느 하나를 포함할 수 있다.
본 발명에 따르면, 알려지지 않아 기존의 침입 탐지 시스템에서 탐지하기 어려운 네트워크 악성 행위를 탐지할 수 있다.
또한 본 발명에 따르면, 알려진 네트워크 악성 행위와 연관된 네트워크 플로우를 악성 행위 의심 정보로 선별하여, 악성 행위 탐지 대상을 효과적으로 줄일 수 있다.
도 1은 본 발명의 일실시예에 따른 악성 행위 의심 정보 탐지 장치의 구성을 나타낸 블록도이다.
도 2는 본 발명의 일실시예에 따른 악성 행위 의심 정보 탐지 방법을 설명하기 위한 순서도이다.
도 3은 본 발명의 일실시예에 따른 유사도 분석의 수행 방법을 설명하기 위한 순서도이다.
도 4는 본 발명의 일실시예에 따른 연결성 분석의 수행 방법을 설명하기 위한 순서도이다.
도 5은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명의 일실시예에 따른 악성 행위 의심 정보 탐지 장치의 구성을 나타낸 블록도이다.
도 1에 도시한 바와 같이, 악성 행위 의심 정보 탐지 장치(100)는 악성 행위 플로우 정보 입력부(110), 유사도 분석부(120), 연결성 분석부(130) 및 악성 행위 의심 정보 탐지부(140)를 포함한다.
먼저, 악성 행위 플로우 정보 입력부(110)는 악성 행위에 상응하는 악성 행위 플로우 정보를 입력받는다.
악성 행위 플로우 정보 입력부(110)는 네트워크 악성행위 시그니처 및 악성 파일 수신에 상응하는 네트워크 플로우 정보(Seed) 중 적어도 어느 하나를 입력받을 수 있다.
여기서, 네트워크 악성행위 시그니처는 침입 탐지 시스템에 사용되는 룰을 의미할 수 있으며, 악성 파일 수신에 상응하는 네트워크 플로우 정보(Seed)는 사이버 공격으로 인하여 피해 시스템이 악성 파일을 수신한 것과 관련된 네트워크 플로우 정보를 의미할 수 있다.
그리고 네트워크 플로우 정보는 소스 아이피(source port), 소스 포트(source port), 목적지 아이피(destination IP), 목적지 포트(destination port), 프로토콜(network protocol), 시작 시간, 종료 시간 등으로 구성될 수 있으며, 소스와 목적지 간의 네트워크 트래픽 정보를 나타낼 수 있다.
다음으로 유사도 분석부(120)는 분석 대상 플로우 정보와 악성 행위 플로우 정보의 유사도 분석을 수행한다.
유사도 분석부(120)는 분석 대상 플로우 정보 및 악성 행위 플로우 정보 각각에 상응하는 단위 패킷의 바이트 수 분포를 비교하여, 유사도 분석을 수행할 수 있다. 이때, 유사도 분석부(120)는 유클리디안 거리 공식을 이용하여 유사도를 연산할 수 있다.
그리고 연결성 분석부(130)는 분석 대상 플로우 정보와 악성 행위 플로우 정보의 연결성 분석을 수행한다.
연결성 분석부(130)는 분석 대상 플로우 정보와 악성 행위 플로우 정보에 상응하는 시작 시간, 소스 아이피(source port), 소스 포트(source port), 목적지 아이피(destination IP), 목적지 포트(destination port) 및 프로토콜(network protocol) 중 적어도 어느 하나의 연결성 비교 항목을 기반으로 연결성 분석을 수행할 수 있다.
그리고 연결성 분석부(130)는 연결성 비교 항목 각각에 가중치를 부여하여 연결성을 연산할 수 있다.
마지막으로 악성 행위 의심 정보 탐지부(140)는 유사도 분석의 수행 결과 및 연결성 분석의 수행 결과를 기반으로 악성 행위와 연관된 악성 행위 의심 정보를 탐지한다.
악성 행위 의심 정보 탐지부(140)는 유사도 분석의 수행 결과, 유사도가 유사도 임계값 미만인 경우, 분석 대상 플로우 정보를 악성 행위 의심 정보인 것으로 판단할 수 있다.
또한, 악성 행위 의심 정보 탐지부(140)는 연결성 분석의 수행 결과, 연결성이 연결성 임계값 미만인 경우, 분석 대상 플로우 정보를 악성 행위 의심 정보인 것으로 판단할 수 있다.
이하에서는 도 2 내지 도 4를 통하여, 본 발명의 일실시예에 따른 악성 행위 의심 정보 탐지 장치에 의해 수행되는 악성 행위 의심 정보 탐지 방법에 대하여 더욱 상세하게 설명한다.
도 2는 본 발명의 일실시예에 따른 악성 행위 의심 정보 탐지 방법을 설명하기 위한 순서도이다.
먼저, 악성 행위 의심 정보 탐지 장치(100)는 악성 행위 플로우 정보를 입력받는다(S210).
악성 행위 의심 정보 탐지 장치(100)는 사용자로부터 이미 알려진 악성 행위에 상응하는 플로우 정보인 악성 행위 플로우 정보를 입력받을 수 있다. 그리고 악성 행위 플로우 정보는 네트워크 악성행위 시그니처 및 악성 파일 수신에 상응하는 네트워크 플로우 정보(Seed) 중 적어도 어느 하나를 포함할 수 있다.
여기서, 네트워크 악성행위 시그니처는 침입 탐지 시스템에 사용되는 룰을 의미할 수 있으며, 악성 파일 수신에 상응하는 네트워크 플로우 정보(Seed)는 사이버 공격으로 인하여 피해 시스템이 악성 파일을 수신한 것과 관련된 네트워크 플로우 정보를 의미할 수 있다.
다음으로 악성 행위 의심 정보 탐지 장치(100)는 유사도 분석을 수행한다(S220).
악성 행위 의심 정보 탐지 장치(100)는 수집된 분석 대상 플로우 정보와 S210 단계에서 입력된 악성 행위 플로우 정보의 유사도 분석을 수행한다. 여기서 분석 대상 플로우 정보는 네트워크로부터 실시간으로 수집된 것이거나, 외부로부터 입력받은 것일 수 있다.
유사도 분석 수행 시, 악성 행위 의심 정보 탐지 장치(100)는 분석 대상 플로우 정보에 상응하는 단위 패킷의 바이트 수 분포와, 악성 행위 플로우 정보에 상응하는 단위 패킷의 바이트 수 분포를 비교하여 유사도 분석을 수행할 수 있다.
예를 들어, 단위 패킷이 5개의 패킷인 경우, 악성 행위 의심 정보 탐지 장치(100)는 플로우 정보에 해당하는 처음 5개의 패킷에 상응하는 바이트 수의 분포를 추출하고, 추출된 분석 대상 플로우 정보의 바이트 수의 분포와 악성 행위 플로우 정보의 바이트 수의 분포를 비교하여 유사도 분석을 수행할 수 있다.
이때, 악성 행위 의심 정보 탐지 장치(100)는 다음의 수학식 1과 같이 바이트 수 분포를 추출할 수 있다.
Figure pat00001
여기서, Di는 바이트 수의 분포를 의미하고, p1 p5는 플로우 정보(p)에 포함된 다섯 개 패킷의 바이트 수를 의미한다.
그리고 악성 행위 의심 정보 탐지 장치(100)는 다음의 수학식 2와 같이, 유클리디안 거리 공식을 이용하여, 분석 대상 플로우 정보와 악성 행위 플로우 정보의 유사도를 연산한다.
Figure pat00002
여기서, Sim(p,q)는 유사도를 의미하고, p는 분석 대상 플로우 정보의 패킷을 의미하며, q는 악성 행위 플로우 정보의 패킷을 의미한다.
유사도는 0 내지 1 범위의 값을 갖도록 조정될 수 있다. 그리고 악성 행위 의심 정보 탐지 장치(100)는 유사도가 0에 가까울수록 두 플로우 정보가 유사하다고 판단하고, 1에 가까울수록 두 플로우 정보가 유사하지 않은 것으로 판단할 수 있다.
특히, 악성 행위 의심 정보 탐지 장치(100)는 연산된 두 플로우 정보의 유사도(Sim(p,q))와 유사도 임계값을 비교할 수 있다. 비교 결과, 유사도(Sim(p,q))가 유사도 임계값 미만인 경우, 악성 행위 의심 정보 탐지 장치(100)는 분석 대상 플로우 정보를 악성 행위 의심 정보인 것으로 판단할 수 있다.
반면, 유사도(Sim(p,q))가 유사도 임계값 이상인 경우, 악성 행위 의심 정보 탐지 장치(100)는 분석 대상 플로우 정보가 악성 행위 의심 정보와 연관된 플로우정보가 아닌 것으로 판단할 수 있다.
그리고 악성 행위 의심 정보 탐지 장치(100)는 연결성 분석을 수행한다(S230).
악성 행위 의심 정보 탐지 장치(100)는 하나 이상의 연결성 비교 항목을 기반으로 연결성 분석을 수행할 수 있다. 여기서, 연결성 비교 항목은 분석 대상 플로우 정보 및 상기 악성 행위 플로우 정보에 상응하는 시작 시간, 소스 아이피, 소스 포트, 목적지 아이피, 목적지 포트 및 프로토콜 중 적어도 어느 하나를 포함할 수 있다.
또한, 악성 행위 의심 정보 탐지 장치(100)는 연결성 비교 항목 각각에 가중치를 부여하여, 연결성을 연산할 수 있다. 이때, 연결성 비교 항목 각각에 부여된 가중치는 연결성 비교 항목 별로 상이할 수 있으며, 사용자로부터 설정받은 것이거나, 기 설정된 것일 수 있다.
악성 행위 의심 정보 탐지 장치(100)는 다음의 수학식 3을 통하여 연결성을 연산할 수 있다.
Figure pat00003
여기서, Con(p,q)는 연결성을 의미하고, p는 분석 대상 플로우 정보의 패킷을 의미하며, q는 악성 행위 플로우 정보의 패킷을 의미하고, ai는 연결성 비교 항목을 의미하며, wi는 연결성 비교 항목의 가중치를 의미한다.
그리고 악성 행위 의심 정보 탐지 장치(100)는 연산된 연결성(Con(p,q))과 연결성 임계값을 비교한다. 비교 결과 연결성(Con(p,q))이 연결성 임계값 미만인 것으로 판단된 경우, 악성 행위 의심 정보 탐지 장치(100)는 분석 대상 플로우 정보를 악성 행위 의심 정보인 것으로 판단할 수 있다.
반면, 연결성(Con(p,q))이 연결성 임계값 이상인 경우, 악성 행위 의심 정보 탐지 장치(100)는 분석 대상 플로우 정보가 악성 행위 의심 정보와 연관된 플로우정보가 아닌 것으로 판단할 수 있다.
마지막으로, 악성 행위 의심 정보 탐지 장치(100)는 유사도 분석의 수행 결과 및 연결성 분석의 수행 결과를 기반으로, 악성 행위 의심 정보를 탐지한다(S240).
악성 행위 의심 정보 탐지 장치(100)는 S220 단계에서 악성 행위 의심 정보인 것으로 판단된 분석 대상 플로우 정보와 S230 단계에서 악성 행위 의심 정보인 것으로 판단된 분석 대상 플로우 정보를 이용하여, 최종적으로 악성 행위 의심 정보를 탐지할 수 있다.
설명의 편의상, 악성 행위 의심 정보 탐지 장치(100)가 유사도 분석 및 연결성 분석을 수행한 후, S240 단계에서 악성 행위 의심 정보를 탐지하는 것으로 설명하였으나 이에 한정하지 않고, 악성 행위 의심 정보 탐지 장치(100)는 유사도 분석을 수행한 후 악성 행위 의심 정보를 탐지하고, 연결성 분석을 수행한 후 악성 행위 의심 정보를 탐지하며, 탐지된 악성 행위 의심 정보를 종합하여 사용자에게 제공할 수 있다.
도 3은 본 발명의 일실시예에 따른 유사도 분석의 수행 방법을 설명하기 위한 순서도이다.
먼저, 악성 행위 의심 정보 탐지 장치(100)는 플로우 정보의 단위 패킷에 상응하는 바이트 수의 분포를 추출한다(S310).
악성 행위 의심 정보 탐지 장치(100)는 분석 대상 플로우 정보로부터 단위 패킷을 추출하고, 악성 행위 플로우 정보로부터 단위 패킷을 추출하여, 단위 패킷에 상응하는 바이트 수의 분포를 추출한다.
예를 들어, 단위 패킷이 5개로 설정된 경우, 악성 행위 의심 정보 탐지 장치(100)는 분석 대상 플로우 정보에서 5개의 패킷을 추출하여 바이트 수의 분포를 추출하고, 악성 행위 플로우 정보에서 5개의 패킷을 추출하여 바이트 수의 분포를 추출할 수 있다.
이때, 악성 행위 의심 정보 탐지 장치(100)는 패킷 추출 시, 분석 대상 플로우 정보에서 처음 5개의 패킷을 추출하고, 악성 행위 플로우 정보에서 처음 5개의 패킷을 추출할 수 있다.
그리고 악성 행위 의심 정보 탐지 장치(100)는 유사도 연산을 수행한다(S320).
악성 행위 의심 정보 탐지 장치(100)는 유클리디안 거리 공식을 이용하여 분석 대상 플로우 정보와 악성 행위 플로우 정보의 유사도를 연산한다. 이때, 유사도는 0 내지 1 범위의 값을 갖도록 조정될 수 있다.
유사도 연산을 수행한 후, 악성 행위 의심 정보 탐지 장치(100)는 유사도가 유사도 임계값 미만인지 여부를 판단한다(S330).
악성 행위 의심 정보 탐지 장치(100)는 S320 단계에서 연산된 유사도와 기 설정된 유사도 임계값을 비교하고, 유사도가 유사도 임계값 미만인지 여부를 판단한다.
유사도가 유사도 임계값 미만인 것으로 판단된 경우, 악성 행위 의심 정보 탐지 장치(100)는 악성 행위 의심 정보인 것으로 판단한다(S340).
유사도가 유사도 임계값 미만인 경우, 악성 행위 의심 정보 탐지 장치(100)는 해당 분석 대상 플로우 정보가 악성 행위 플로우 정보와 연관된 것으로 판단하고, 해당 분석 대상 플로우 정보를 악성 행위 의심 정보로 탐지할 수 있다.
그리고 악성 행위 의심 정보 탐지 장치(100)는 S340 단계에서 판단된 악성 행위 의심 정보를 도 2의 S240 단계에서 최종 악성 행위 의심 정보인 것으로 탐지할 수 있다. 또한, 악성 행위 의심 정보 탐지 장치(100)는 S340 단계에서 판단된 악성 행위 의심 정보를 기반으로 후술할 도 4의 연결성 분석을 수행하며, 연결성 분석의 수행 결과를 최종 악성 행위 의심 정보로 탐지할 수도 있다.
도 4는 본 발명의 일실시예에 따른 연결성 분석의 수행 방법을 설명하기 위한 순서도이다.
악성 행위 의심 정보 탐지 장치(100)는 연결성 비교 항목을 선택한다(S410).
악성 행위 의심 정보 탐지 장치(100)는 분석 대상 플로우 정보 및 상기 악성 행위 플로우 정보에 상응하는 시작 시간, 소스 아이피, 소스 포트, 목적지 아이피, 목적지 포트 및 프로토콜 중 적어도 어느 하나를 포함하는 연결성 비교 항목을 선택한다.
이때, 악성 행위 의심 정보 탐지 장치(100)는 사용자로부터 연결성 비교 항목을 선택받거나, 기 설정된 조건에 따라 연결성 비교 항목을 선택할 수 있다.
그리고 악성 행위 의심 정보 탐지 장치(100)는 연결성 연산을 수행한다(S420).
악성 행위 의심 정보 탐지 장치(100)는 S410 단계에서 선택된 연결성 비교 항목에 가중치를 부여하여 연결성 연산을 수행할 수 있다. 이때, 각각의 연결성 비교 항목에 부여된 가중치는 연결성 비교 항목 별로 상이할 수 있으며, 악성 행위 의심 정보 탐지 장치(100)는 사용자로부터 가중치를 설정받거나, 기 설정된 가중치를 이용하여 연결성 연산을 수행할 수 있다.
또한, 악성 행위 의심 정보 탐지 장치(100)는 연결성과 연결성 임계값을 비교한다(S430).
비교 결과 연결성이 연결성 임계값 미만인 것으로 판단된 경우, 악성 행위 의심 정보 탐지 장치(100)는 악성 행위 의심 정보로 판단한다(S440).
연결성이 연결성 임계값 미만인 경우, 악성 행위 의심 정보 탐지 장치(100)는 해당 분석 대상 플로우 정보가 악성 행위 플로우 정보와 연관된 것으로 판단하고, 해당 분석 대상 플로우 정보를 악성 행위 의심 정보로 탐지할 수 있다.
도 5은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
도 5을 참조하면, 본 발명의 실시예는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(500)에서 구현될 수 있다. 도 5에 도시된 바와 같이, 컴퓨터 시스템(500)은 버스(520)를 통하여 서로 통신하는 하나 이상의 프로세서(510), 메모리(530), 사용자 입력 장치(540), 사용자 출력 장치(550) 및 스토리지(560)를 포함할 수 있다. 또한, 컴퓨터 시스템(500)은 네트워크(580)에 연결되는 네트워크 인터페이스(570)를 더 포함할 수 있다. 프로세서(510)는 중앙 처리 장치 또는 메모리(530)나 스토리지(560)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(530) 및 스토리지(560)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(531)이나 RAM(532)을 포함할 수 있다.
따라서, 본 발명의 실시예는 컴퓨터로 구현된 방법이나 컴퓨터에서 실행 가능한 명령어들이 기록된 비일시적인 컴퓨터에서 읽을 수 있는 매체로 구현될 수 있다. 컴퓨터에서 읽을 수 있는 명령어들이 프로세서에 의해서 수행될 때, 컴퓨터에서 읽을 수 있는 명령어들은 본 발명의 적어도 한 가지 태양에 따른 방법을 수행할 수 있다.
이상에서와 같이 본 발명에 따른 악성 행위 의심 정보 탐지 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
100: 악성 행위 의심 정보 탐지 장치
110: 악성 행위 플로우 정보 입력부
120: 유사도 분석부 130: 연결성 분석부
140: 악성 행위 의심 정보 탐지부
500: 컴퓨터 시스템 510: 프로세서
520: 버스 530: 메모리
531: 롬 532: 램
540: 사용자 입력 장치 550: 사용자 출력 장치
560: 스토리지 570: 네트워크 인터페이스
580: 네트워크

Claims (16)

  1. 악성 행위에 상응하는 악성 행위 플로우 정보를 입력받는 악성 행위 플로우 정보 입력부,
    분석 대상 플로우 정보와 상기 악성 행위 플로우 정보의 유사도 분석을 수행하는 유사도 분석부,
    상기 분석 대상 플로우 정보와 상기 악성 행위 플로우 정보의 연결성 분석을 수행하는 연결성 분석부, 그리고
    상기 유사도 분석의 수행 결과 및 상기 연결성 분석의 수행 결과를 기반으로, 상기 악성 행위와 연관된 악성 행위 의심 정보를 탐지하는 악성 행위 의심 정보 탐지부를 포함하는 악성 행위 의심 정보 탐지 장치.
  2. 제1항에 있어서,
    상기 유사도 분석부는,
    상기 분석 대상 플로우 정보 및 상기 악성 행위 플로우 정보에 각각에 상응하는 단위 패킷의 바이트 수 분포를 비교하여 상기 유사도 분석을 수행하는 것을 특징으로 하는 악성 행위 의심 정보 탐지 장치.
  3. 제2항에 있어서,
    상기 유사도 분석부는,
    유클리디안 거리 공식을 이용하여 유사도를 연산하는 것을 특징으로 하는 악성 행위 의심 정보 탐지 장치.
  4. 제3항에 있어서,
    상기 악성 행위 의심 정보 탐지부는,
    상기 유사도가 유사도 임계값 미만인 경우, 상기 분석 대상 플로우 정보를 악성 행위 의심 정보인 것으로 판단하는 것을 특징으로 하는 악성 행위 의심 정보 탐지 장치.
  5. 제1항에 있어서,
    상기 연결성 분석부는,
    상기 분석 대상 플로우 정보와 상기 악성 행위 플로우 정보에 상응하는 시작 시간, 소스 아이피, 소스 포트, 목적지 아이피, 목적지 포트 및 프로토콜 중 적어도 어느 하나의 연결성 비교 항목을 기반으로 상기 연결성 분석을 수행하는 것을 특징으로 하는 악성 행위 의심 정보 탐지 장치.
  6. 제5항에 있어서,
    상기 연결성 분석부는,
    상기 연결성 비교 항목 각각에 가중치를 부여하여 연결성을 연산하는 것을 특징으로 하는 악성 행위 의심 정보 탐지 장치.
  7. 제6항에 있어서,
    상기 악성 행위 의심 정보 탐지부는,
    상기 연결성이 연결성 임계값 미만인 경우, 상기 분석 대상 플로우 정보를 악성 행위 의심 정보인 것으로 판단하는 것을 특징으로 하는 악성 행위 의심 정보 탐지 장치.
  8. 제1항에 있어서,
    상기 악성 행위 플로우 정보 입력부는,
    네트워크 악성행위 시그니처 및 악성 파일 수신에 상응하는 네트워크 플로우 정보 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 악성 행위 의심 정보 탐지 장치.
  9. 악성 행위 의심 정보 탐지에 의해 수행되는 악성 행위 의심 정보 탐지 방법에 있어서,
    악성 행위에 상응하는 악성 행위 플로우 정보를 입력받는 단계,
    분석 대상 플로우 정보와 상기 악성 행위 플로우 정보의 유사도 분석을 수행하는 단계,
    상기 분석 대상 플로우 정보와 상기 악성 행위 플로우 정보의 연결성 분석을 수행하는 단계, 그리고
    상기 유사도 분석의 수행 결과 및 상기 연결성 분석의 수행 결과를 기반으로, 상기 악성 행위와 연관된 악성 행위 의심 정보를 탐지하는 단계를 포함하는 악성 행위 의심 정보 탐지 방법.
  10. 제9항에 있어서,
    상기 유사도 분석을 수행하는 단계는,
    상기 분석 대상 플로우 정보 및 상기 악성 행위 플로우 정보에 각각에 상응하는 단위 패킷의 바이트 수 분포를 비교하여 상기 유사도 분석을 수행하는 것을 특징으로 하는 악성 행위 의심 정보 탐지 방법.
  11. 제10항에 있어서,
    상기 유사도 분석을 수행하는 단계는,
    유클리디안 거리 공식을 이용하여 유사도를 연산하는 것을 특징으로 하는 악성 행위 의심 정보 탐지 방법.
  12. 제11항에 있어서,
    상기 악성 행위 의심 정보를 탐지하는 단계는,
    상기 유사도가 유사도 임계값 미만인 경우, 상기 분석 대상 플로우 정보를 악성 행위 의심 정보인 것으로 판단하는 것을 특징으로 하는 악성 행위 의심 정보 탐지 방법.
  13. 제9항에 있어서,
    상기 연결성 분석을 수행하는 단계는,
    상기 분석 대상 플로우 정보와 상기 악성 행위 플로우 정보에 상응하는 시작 시간, 소스 아이피, 소스 포트, 목적지 아이피, 목적지 포트 및 프로토콜 중 적어도 어느 하나의 연결성 비교 항목을 기반으로 상기 연결성 분석을 수행하는 것을 특징으로 하는 악성 행위 의심 정보 탐지 방법.
  14. 제13항에 있어서,
    상기 연결성 분석을 수행하는 단계는,
    상기 연결성 비교 항목 각각에 가중치를 부여하여 연결성을 연산하는 것을 특징으로 하는 악성 행위 의심 정보 탐지 방법.
  15. 제14항에 있어서,
    상기 악성 행위 의심 정보를 탐지하는 단계는,
    상기 연결성이 연결성 임계값 미만인 경우, 상기 분석 대상 플로우 정보를 악성 행위 의심 정보인 것으로 판단하는 것을 특징으로 하는 악성 행위 의심 정보 탐지 방법.
  16. 제9항에 있어서,
    상기 악성 행위 플로우 정보를 입력받는 단계는,
    네트워크 악성행위 시그니처 및 악성 파일 수신에 상응하는 네트워크 플로우 정보 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 악성 행위 의심 정보 탐지 방법.
KR1020170028369A 2017-03-06 2017-03-06 악성 행위 의심 정보 탐지 장치 및 방법 KR20180101868A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170028369A KR20180101868A (ko) 2017-03-06 2017-03-06 악성 행위 의심 정보 탐지 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170028369A KR20180101868A (ko) 2017-03-06 2017-03-06 악성 행위 의심 정보 탐지 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20180101868A true KR20180101868A (ko) 2018-09-14

Family

ID=63599644

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170028369A KR20180101868A (ko) 2017-03-06 2017-03-06 악성 행위 의심 정보 탐지 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20180101868A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102038926B1 (ko) * 2018-11-17 2019-11-15 한국과학기술정보연구원 공격자 선정 장치 및 공격자 선정 장치의 동작 방법
CN114124563A (zh) * 2021-12-02 2022-03-01 湖北天融信网络安全技术有限公司 一种异常流量检测方法、装置、电子设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101428721B1 (ko) 2013-06-24 2014-08-12 한국인터넷진흥원 트래픽 분석을 통한 악성 트래픽 탐지 방법 및 그 시스템

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101428721B1 (ko) 2013-06-24 2014-08-12 한국인터넷진흥원 트래픽 분석을 통한 악성 트래픽 탐지 방법 및 그 시스템

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102038926B1 (ko) * 2018-11-17 2019-11-15 한국과학기술정보연구원 공격자 선정 장치 및 공격자 선정 장치의 동작 방법
CN114124563A (zh) * 2021-12-02 2022-03-01 湖北天融信网络安全技术有限公司 一种异常流量检测方法、装置、电子设备及存储介质
CN114124563B (zh) * 2021-12-02 2024-03-15 湖北天融信网络安全技术有限公司 一种异常流量检测方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
JP6001689B2 (ja) ログ分析装置、情報処理方法及びプログラム
JP6348656B2 (ja) マルウェア感染端末の検出装置、マルウェア感染端末の検出システム、マルウェア感染端末の検出方法およびマルウェア感染端末の検出プログラム
US10721244B2 (en) Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program
CN107659583B (zh) 一种检测事中攻击的方法及系统
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
US7958559B2 (en) Method, device and computer program product for determining a malicious workload pattern
CN107968791B (zh) 一种攻击报文的检测方法及装置
CN101686239B (zh) 一种木马发现系统
US20170034195A1 (en) Apparatus and method for detecting abnormal connection behavior based on analysis of network data
JP2006279930A (ja) 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置
CN107209834B (zh) 恶意通信模式提取装置及其系统和方法、记录介质
JP5832951B2 (ja) 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム
Kaur et al. Efficient hybrid technique for detecting zero-day polymorphic worms
CN112437062B (zh) 一种icmp隧道的检测方法、装置、存储介质和电子设备
CN112910918A (zh) 基于随机森林的工控网络DDoS攻击流量检测方法及装置
US10963562B2 (en) Malicious event detection device, malicious event detection method, and malicious event detection program
KR20180101868A (ko) 악성 행위 의심 정보 탐지 장치 및 방법
Giacinto et al. Alarm clustering for intrusion detection systems in computer networks
CN110430199B (zh) 识别物联网僵尸网络攻击源的方法与系统
KR20190027122A (ko) 네트워크 공격 패턴 분석 및 방법
JP4159814B2 (ja) 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム
KR100772177B1 (ko) 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치
JP2004054330A (ja) 不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム
US11184369B2 (en) Malicious relay and jump-system detection using behavioral indicators of actors
Maslan et al. DDoS detection on network protocol using cosine similarity and N-Gram+ Method