KR20190010225A - Method for detecting malicious traffic and Apparatus thereof - Google Patents
Method for detecting malicious traffic and Apparatus thereof Download PDFInfo
- Publication number
- KR20190010225A KR20190010225A KR1020170092725A KR20170092725A KR20190010225A KR 20190010225 A KR20190010225 A KR 20190010225A KR 1020170092725 A KR1020170092725 A KR 1020170092725A KR 20170092725 A KR20170092725 A KR 20170092725A KR 20190010225 A KR20190010225 A KR 20190010225A
- Authority
- KR
- South Korea
- Prior art keywords
- traffic
- malicious
- detection unit
- detecting
- malicious traffic
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Abstract
Description
본 발명은 악성 트래픽 탐지 방법 및 그 장치에 관한 것이다. 보다 자세하게는, 사전에 정의된 악성 패턴 정보 없이 악성 코드에 의해 유발된 악성 트래픽을 탐지하는 방법 및 그 방법을 수행하는 장치에 관한 것이다.The present invention relates to a malicious traffic detection method and apparatus. More particularly, the present invention relates to a method for detecting malicious traffic caused by malicious code without previously defined malicious pattern information, and an apparatus for performing the method.
악성 코드(malicious code)는 특정 어플리케이션 또는 시스템의 보안 상의 취약점을 이용하여 시스템에 비정상적인 동작을 일으키거나, 사용자의 개인 정보를 몰래 탈취하는 등의 방식으로 사용자에게 해를 끼치는 모든 코드를 총칭한다. 악성 코드의 종류는 웜(worm)이나 바이러스(virus)와 같이 실행 파일 형태의 악성 코드와 웹 브라우저를 통해서 실행되는 스크립트 형태의 악성 코드 등으로 다양하다.Malicious code is a generic term that refers to all the code that causes harm to the user in such a way as to cause an abnormal operation in the system by exploiting security weakness of a specific application or system, or to seize the user's personal information. The types of malicious codes vary from malicious code such as worms and viruses to executable files and script-type malicious code executed through web browsers.
악성 코드로 인한 피해를 미연에 방지하기 위해 지금까지 다양한 악성코드 탐지 방법이 제안된 바 있다. 예를 들어, 시그니처(signature) 매칭을 통해 악성 코드를 탐지하는 정적 분석 방법, 샌드 박스(sand box)와 같이 차단된 공간에서 수행되는 동적 행위 분석을 통해 악성 코드를 탐지하는 동적 분석 방법 등이 제안된 바 있다.A variety of malicious code detection methods have been proposed so far to prevent damage caused by malicious code. For example, a static analysis method for detecting malicious code through signature matching, a dynamic analysis method for detecting malicious code through dynamic behavior analysis performed in a blocked space such as a sandbox .
그러나, 전술한 정적 분석 및 동적 분석 방법은 사전에 정의된 악성 패턴 정보와 유사성에 기초하여 악성 코드를 탐지하는 방법들이기 때문에, 악성 패턴 정보가 미리 정의되어 있지 않은 신종 또는 변종 악성 코드 탐지에 취약하다는 문제가 있다.However, since the above-described static analysis and dynamic analysis methods are methods for detecting malicious code based on similarity with previously defined malicious pattern information, malicious pattern information is vulnerable to detection of new or variant malicious code that is not defined in advance there is a problem.
또한, 정적 분석 및 동적 분석 방법은 회피할 수 있는 요소(e.g. 샌드 박스에서 악성 행위를 수행하지 않는 분석 회피형 악성 코드 등)가 매우 다양하기 때문에, 정적 분석 및 동적 분석을 기초로 악성 코드를 탐지하는 장치가 대상 시스템 내에 구축되어 있다 하더라도, 악성 코드로부터 상기 대상 시스템의 안전이 보장되기는 어렵다.In addition, static analysis and dynamic analysis methods can detect malicious code based on static analysis and dynamic analysis, because there are many elements that can be avoided (eg, malicious codes that do not perform malicious actions in the sandbox). Even if the device is built in the target system, it is difficult to guarantee the security of the target system from malicious code.
아울러, 악성 코드를 탐지하는 종래의 장치들은 악성 코드의 침투를 막기 위해 내부로 유입되는 인바운드 트래픽의 전수 검사에만 치중하기 때문에, 이미 침투된 악성 코드를 이용하여 수행되는 사이버 공격에 대해서 대응할 수 없다는 문제점도 존재한다.In addition, since conventional devices for detecting malicious codes concentrate only on the inspection of inbound traffic flowing into the internal network in order to prevent the infiltration of malicious code, it is impossible to cope with a cyber attack carried out using already infiltrated malicious code Lt; / RTI >
따라서, 사전에 정의된 악성 패턴 정보 없이 신규 및 변종 악성 코드를 탐지할 수 있고, 침투된 악성 코드를 이용하여 수행되는 사이버 공격을 예방할 수 있는 방법 및 장치가 요구된다.Therefore, there is a need for a method and apparatus capable of detecting new and variant malicious codes without previously defined malicious pattern information, and preventing cyber attacks performed using infiltrated malicious codes.
본 발명이 해결하고자 하는 기술적 과제는, 사전에 정의된 악성 패턴 정보 없이 휴리스틱(heuristic) 기반으로 악성 코드에 의해 발생된 악성 트래픽을 탐지하고, 나아가 상기 악성 코드를 탐지할 수 있는 악성 트래픽 탐지 방법 및 그 방법을 수행하는 장치를 제공하는 것이다.The present invention is directed to a malicious traffic detection method capable of detecting malicious traffic generated by malicious code based on a heuristic without any predefined malicious pattern information and further detecting the malicious code, And to provide a device for performing the method.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명의 기술분야에서의 통상의 기술자에게 명확하게 이해될 수 있을 것이다.The technical objects of the present invention are not limited to the above-mentioned technical problems, and other technical subjects not mentioned can be clearly understood by those skilled in the art from the following description.
상기 기술적 과제를 해결하기 위한, 본 발명의 일 실시예에 따른 악성 트래픽 탐지 장치는, 네트워크 상에서, 대상 시스템에 대한 트래픽을 수집하는 트래픽 수집부 및 상기 수집된 트래픽 중에서, 악성 트래픽을 탐지하는 제1 악성 트래픽 탐지부를 포함하되, 상기 제1 악성 트래픽 탐지부는, 상기 수집된 트래픽 중에서, 시간대별로 지속적으로 나타나는 트래픽을 가리키는 주기성 트래픽을 검출하는 주기성 트래픽 검출부 및 트래픽 발생횟수의 시간대별 분포에 기초하여, 상기 검출된 주기성 트래픽이 악성 트래픽인지 여부를 판정하는 제1 악성 트래픽 판정부를 포함할 수 있다.According to an aspect of the present invention, there is provided an apparatus for detecting malicious traffic according to an exemplary embodiment of the present invention. The apparatus includes a traffic collecting unit for collecting traffic for a target system on a network, Wherein the first malicious traffic detection unit comprises a periodic traffic detection unit for detecting periodic traffic indicative of traffic continuously appearing in the time period among the collected traffic, and a second malicious traffic detection unit for detecting, based on the time- And a first malicious traffic determiner for determining whether the detected periodic traffic is malicious traffic.
일 실시예에서, 상기 수집된 트래픽은, 상기 대상 시스템에서 외부의 호스트로 전송되는 아웃바운드(outbound) 트래픽일 수 있다.In one embodiment, the collected traffic may be outbound traffic transmitted from the target system to an external host.
일 실시예에서, 상기 제1 악성 트래픽 탐지부는, 상기 수집된 트래픽 중에서, 리퍼러 필드(referer field) 값이 존재하지 않는 트래픽을 추출하는 트래픽 추출부를 더 포함하되, 상기 주기성 트래픽 검출부는, 상기 추출된 트래픽 중에서 상기 주기성 트래픽을 검출할 수 있다.In one embodiment, the first malicious traffic detection unit may further include a traffic extracting unit that extracts, from among the collected traffic, traffic for which a referer field value does not exist, And may detect the periodic traffic among the traffic.
일 실시예에서, 상기 제1 악성 트래픽 판정부는, 시간대별 트래픽 발생횟수에 대한 표준편차 또는 분산 값이 기 설정된 임계 값 이하인 경우, 상기 검출된 주기성 트래픽을 악성 트래픽으로 판정할 수 있다.In one embodiment, the first malicious traffic determination unit may determine the detected periodic traffic as malicious traffic when the standard deviation or the variance value for the number of times of traffic generation for each time period is less than or equal to a preset threshold value.
일 실시예에서, 상기 수집된 트래픽 중에서, 복수의 외부 호스트로 접속을 요청하는 트래픽을 가리키는 다중 접속 트래픽을 검출하고, 상기 검출된 다중 접속 트래픽을 기초로 악성 트래픽을 탐지하는 제2 악성 트래픽 탐지부를 더 포함할 수 있다.In one embodiment, a second malicious traffic detection unit detects multiple access traffic indicating traffic requesting connection to a plurality of external hosts among the collected traffic, and detects malicious traffic based on the detected multiple access traffic .
일 실시예에서, 상기 수집된 트래픽 중에서, 목적지에 대한 URL 개수와 매칭되는 IP 개수의 비교 결과를 이용하여 상기 목적지에 대한 URL과 IP가 불일치하는 트래픽을 가리키는 위조 트래픽을 검출하고, 상기 검출된 위조 트래픽을 기초로 악성 트래픽을 탐지하는 제2 악성 트래픽 탐지부를 더 포함할 수 있다.Detecting a fake traffic that indicates a traffic for which the IP and the URL for the destination do not match using the comparison result of the number of IPs matched with the number of URLs for the destination among the collected traffic; And a second malicious traffic detection unit for detecting malicious traffic based on the traffic.
상술한 기술적 과제를 해결하기 위한 본 발명의 다른 실시예에 따른 악성 트래픽 탐지 장치는, 네트워크 상에서, 대상 시스템에 대한 트래픽을 수집하는 트래픽 수집부 및 상기 수집된 트래픽 중에서, 악성 트래픽을 탐지하는 제1 악성 트래픽 탐지부를 포함하되, 상기 제1 악성 트래픽 탐지부는, 상기 수집된 트래픽 중에서, 복수의 외부 호스트로 접속을 요청하는 요청 트래픽을 가리키는 다중 접속 트래픽을 검출하는 다중 접속 트래픽 검출부 및 상기 복수의 요청 트래픽에 대응되는 응답 트래픽에 포함된 데이터의 크기의 편차 정도에 기초하여, 상기 검출된 다중 접속 트래픽이 악성 트래픽인지 여부를 판정하는 악성 트래픽 판정부를 포함할 수 있다.According to another aspect of the present invention, there is provided an apparatus for detecting malicious traffic according to another embodiment of the present invention. The apparatus includes a traffic collector for collecting traffic for a target system on a network, Wherein the malicious traffic detection unit includes a multiple access traffic detection unit for detecting multiple access traffic indicating request traffic requesting connection to a plurality of external hosts from the collected traffic, Access traffic is malicious traffic based on the degree of deviation of the size of data included in the response traffic corresponding to the malicious traffic.
상술한 기술적 과제를 해결하기 위한 본 발명의 또 다른 실시예에 따른 악성 트래픽 탐지 방법은, 악성 트래픽 탐지 장치에 의해 수행되는 대상 시스템에 대한 악성 트래픽 탐지 방법에 있어서, 네트워크 상에서, 상기 대상 시스템에 대한 트래픽을 수집하는 단계, 상기 수집된 트래픽 중에서, 시간대별로 지속적으로 나타나는 트래픽을 가리키는 주기성 트래픽을 검출하는 단계 및 트래픽 발생횟수의 시간대별 분포에 기초하여, 상기 검출된 주기성 트래픽이 악성 트래픽에 해당하는지 여부를 판정하는 단계를 포함할 수 있다.According to another aspect of the present invention, there is provided a malicious traffic detection method for a malicious traffic detection device, the malicious traffic detection method comprising the steps of: Detecting periodic traffic indicative of traffic continuously appearing in each time period among the collected traffic and detecting whether or not the detected periodic traffic corresponds to malicious traffic based on the distribution of the number of times of traffic occurrence by time slot, Based on the result of the determination.
상술한 기술적 과제를 해결하기 위한 본 발명의 또 다른 실시예에 따른 컴퓨터 프로그램은, 컴퓨팅 장치와 결합되어, 네트워크 상에서, 상기 대상 시스템에 대한 트래픽을 수집하는 단계, 상기 수집된 트래픽 중에서, 시간대별로 지속적으로 나타나는 트래픽을 가리키는 주기성 트래픽을 검출하는 단계 및 트래픽 발생횟수의 시간대별 분포에 기초하여, 상기 검출된 주기성 트래픽이 악성 트래픽에 해당하는지 여부를 판정하는 단계를 실행시키기 위하여 기록 매체에 저장될 수 있다.According to another aspect of the present invention, there is provided a computer program product for collecting traffic for a target system on a network, the method comprising the steps of: And determining whether the detected periodic traffic corresponds to malicious traffic, based on the time-based distribution of the number of times of occurrence of the traffic .
상술한 본 발명에 따르면, 사전에 정의된 악성 패턴 정보 없이 휴리스틱에 기반하여 악성 트래픽이 탐지되고, 상기 악성 트래픽을 유발한 악성 코드 또한 탐지될 수 있다. 따라서, 본 발명에 따르면, 종래의 악성 코드 탐지 방법에 의해 탐지되기 어려웠던 신종 및/또는 변종 악성 코드가 탐지될 수 있으며, 이에 따라, 상기 신종 및/또는 변종 악성 코드에 의해 유발되는 사회적·경제적 피해가 예방될 수 있다.According to the present invention, malicious traffic is detected based on a heuristic without previously defined malicious pattern information, and malicious code causing the malicious traffic can also be detected. Therefore, according to the present invention, it is possible to detect new and / or variant malicious codes which have been difficult to detect by the conventional malicious code detection method, and accordingly, to detect social and economic damages caused by the new and / Can be prevented.
또한, 주기성 트래픽, 다중 접속 트래픽 및/또는 위조 트래픽이 악성 의심 트래픽으로 검출되고, 상기 악성 의심 트래픽 중에서 소정의 기준을 만족하는 트래픽이 악성 트래픽으로 판정된다. 이에 따라, 악성 트래픽 탐지의 정확도가 향상될 수 있다.Also, periodic traffic, multiple access traffic and / or fake traffic are detected as malicious suspicious traffic, and traffic satisfying a predetermined criterion among the malicious suspicious traffic is determined as malicious traffic. Thus, the accuracy of malicious traffic detection can be improved.
또한, 아웃바운드 트래픽 분석을 통해 대상 시스템 내에 침투한 악성 코드에 의해 유발된 악성 트래픽이 탐지될 수 있다. 이에 따라, 대상 시스템 내에 침투한 악성 코드를 이용하여 수행되는 사이버 공격이 예방되는 효과가 있다.In addition, outbound traffic analysis can detect malicious traffic caused by malicious code infiltrating the target system. Accordingly, there is an effect that a cyber attack performed using malicious code infiltrating into the target system is prevented.
또한, 휴리스틱 기반으로 탐지된 신종 및/또는 변종 악성 코드에 대한 악성 패턴 정보가 종래의 악성 코드의 탐지 장치에 제공될 수 있다. 이를 통해, 대상 시스템의 보안성이 더욱 향상되는 효과가 있다.In addition, malicious pattern information for new and / or variant malicious codes detected based on the heuristic can be provided to a conventional malicious code detection apparatus. Thus, the security of the target system can be further improved.
본 발명의 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.The effects of the present invention are not limited to the effects mentioned above, and other effects not mentioned can be clearly understood to those of ordinary skill in the art from the following description.
도 1은 본 발명의 제1 실시예에 따른 악성 트래픽 탐지 시스템의 구성도이다.
도 2는 본 발명의 제2 실시예에 따른 악성 트래픽 탐지 시스템의 구성도이다.
도 3은 본 발명의 다른 실시예에 따른 악성 트래픽 탐지 장치를 나타내는 블록도이다.
도 4a 내지 도 4c는 본 발명의 몇몇 실시예에 따른 악성 트래픽 탐지부를 설명하기 위한 도면이다.
도 5는 악성 트래픽 탐지부의 일 구성 요소인 제1 악성 트래픽 탐지부를 나타내는 블록도이다.
도 6은 URL의 형식 및 구성 요소를 설명하기 위한 도면이다.
도 7은 악성 트래픽 탐지부의 일 구성 요소인 제2 악성 트래픽 탐지부를 나타내는 블록도이다.
도 8은 악성 트래픽 탐지부의 일 구성 요소인 제3 악성 트래픽 탐지부를 나타내는 블록도이다.
도 9는 본 발명의 또 다른 실시예에 따른 악성 트래픽 탐지 장치의 하드웨어 구성도이다.
도 10 및 도 11은 본 발명의 제1 실시예에 따른 악성 트래픽 탐지 방법을 설명하기 위한 흐름도이다.
도 12 내지 도 14는 본 발명의 제2 실시예에 따른 악성 트래픽 탐지 방법을 설명하기 위한 흐름도이다.
도 15는 본 발명의 제3 실시예에 따른 악성 트래픽 탐지 방법을 설명하기 위한 흐름도이다.1 is a block diagram of a malicious traffic detection system according to a first embodiment of the present invention.
2 is a configuration diagram of a malicious traffic detection system according to a second embodiment of the present invention.
3 is a block diagram illustrating a malicious traffic detection apparatus according to another embodiment of the present invention.
4A to 4C are views for explaining a malicious traffic detection unit according to some embodiments of the present invention.
5 is a block diagram illustrating a first malicious traffic detection unit, which is a component of the malicious traffic detection unit.
Fig. 6 is a diagram for explaining the format and constituent elements of the URL.
7 is a block diagram illustrating a second malicious traffic detection unit, which is a component of the malicious traffic detection unit.
8 is a block diagram illustrating a third malicious traffic detection unit, which is a component of the malicious traffic detection unit.
9 is a hardware block diagram of a malicious traffic detection apparatus according to another embodiment of the present invention.
10 and 11 are flowcharts for explaining a malicious traffic detection method according to the first embodiment of the present invention.
12 to 14 are flowcharts for explaining a malicious traffic detection method according to a second embodiment of the present invention.
15 is a flowchart illustrating a malicious traffic detection method according to a third embodiment of the present invention.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention and the manner of achieving them will become apparent with reference to the embodiments described in detail below with reference to the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. To fully disclose the scope of the invention to those skilled in the art, and the invention is only defined by the scope of the claims. Like reference numerals refer to like elements throughout the specification.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다.Unless defined otherwise, all terms (including technical and scientific terms) used herein may be used in a sense commonly understood by one of ordinary skill in the art to which this invention belongs. Also, commonly used predefined terms are not ideally or excessively interpreted unless explicitly defined otherwise. The terminology used herein is for the purpose of illustrating embodiments and is not intended to be limiting of the present invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification.
명세서에서 사용되는 "포함한다 (comprises)" 및/또는 "포함하는 (comprising)"은 언급된 구성 요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성 요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.It is noted that the terms "comprises" and / or "comprising" used in the specification are intended to be inclusive in a manner similar to the components, steps, operations, and / Or additions.
이하, 본 발명의 몇몇 실시예들에 대하여 첨부된 도면에 따라 상세하게 설명한다.Hereinafter, some embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 제1 실시예에 따른 악성 트래픽 탐지 시스템의 구성도이다. 도 1은 대상 시스템이 기업 내 인트라넷(intra-net)이고, 악성 코드 유포 서버(20)가 유포한 악성 코드에 감염된 단말(10)이 외부의 C&C 서버(30)와 통신하는 경우를 예로써 도시하고 있다.1 is a block diagram of a malicious traffic detection system according to a first embodiment of the present invention. 1 shows an example where a target system is an intra-company intra-net and a
도 1을 참조하면, 본 발명의 제1 실시예에 따른 악성 트래픽 탐지 시스템은 트래픽 수집 장치(200) 및 악성 트래픽 탐지 장치(100)를 포함할 수 있다. 단, 이는 본 발명의 목적을 달성하기 위한 바람직한 실시예일 뿐이며, 필요에 따라 일부 구성 요소가 추가되거나 삭제될 수 있음은 물론이다. 또한, 도 1에 도시된 악성 트래픽 탐지 시스템의 각각의 구성 요소들은 기능적으로 구분되는 기능 요소들을 나타낸 것으로서, 적어도 하나의 구성 요소가 실제 물리적 환경에서는 서로 통합되는 형태로 구현될 수도 있음에 유의한다. 이하, 상기 제1 실시예에 따른 악성 트래픽 탐지 시스템의 각 구성 요소에 대하여 설명한다.Referring to FIG. 1, the malicious traffic detection system according to the first embodiment of the present invention may include a
상기 제1 실시예에서, 트래픽 수집 장치(200)는 네트워크 상에서 대상 시스템에 대한 트래픽을 수집하여 악성 트래픽 탐지 장치(100)로 제공한다. 트래픽 수집 장치(200)는 예를 들어 포트 미러링(port mirroring)을 통해 상기 대상 시스템에 대한 트래픽을 수집할 수 있으나, 이에 국한되는 것은 아니다.In the first embodiment, the
일 실시예에서, 트래픽 수집 장치(200)는 대상 시스템에서 외부 호스트로 송신되는 아웃바운드 트래픽(outbound traffic)을 수집하여 악성 트래픽 탐지 장치(100)로 제공할 수 있다. 악성 코드에 감염된 단말(10)은 소정의 목적(e.g. 개인 정보 유출, 기밀 문서 유출 등)을 달성하기 위해 외부의 악성 서버(30)에 접속을 시도할 확률이 높기 때문에, 아웃바운드 트래픽 분석을 통해 악성 트래픽을 탐지하는 것이 효과적이기 때문이다. 즉, 본 실시예에서, 악성 트래픽 탐지 장치(100)는 악성 코드가 대상 시스템 내에 침투되어 있다는 가정 하에, 아웃바운드 트래픽 분석을 통해 악성 트래픽을 탐지할 수 있다.In one embodiment, the
단, 다른 실시예에 따르면, 트래픽 수집 장치(200)는 아웃바운드 트래픽 및 인바운드 트래픽(inbound traffic)을 모두 수집하여 악성 트래픽 탐지 장치(100)로 제공할 수도 있다.However, according to another embodiment, the
상기 악성 트래픽은 악성 코드가 포함된 트래픽, 악성 코드에 의해 발생된 트래픽 등 대상 시스템 또는 대상 시스템의 사용자에게 유해한 영향을 미칠 수 있는 모든 트래픽을 총칭하는 포괄적인 개념으로 이용될 수 있다. 또한, 상기 악성 트래픽은 당해 기술 분야에서 이상 트래픽, 비정상 트래픽, 유해 트래픽 등의 용어와 혼용되어 사용될 수 있으나 동일한 개념을 지칭할 수 있음에 유의한다.The malicious traffic can be used as a comprehensive concept to collectively refer to all traffic that may have a detrimental effect on a target system or a user of the target system, such as traffic including malicious code and traffic generated by malicious code. It should be noted that the malicious traffic may be used in combination with terminology such as abnormal traffic, abnormal traffic, and harmful traffic in the related art, but may refer to the same concept.
상기 제1 실시예에서, 악성 트래픽 탐지 장치(100)는 트래픽 수집 장치(100)에 의해 제공된 트래픽을 기초로 악성 트래픽을 탐지하는 컴퓨팅 장치이다. 여기서, 상기 컴퓨팅 장치는, 노트북, 데스크톱(desktop), 랩탑(laptop) 등이 될 수 있으나, 이에 국한되는 것은 아니며 컴퓨팅 기능 및 통신 기능이 구비된 모든 종류의 장치를 포함할 수 있다. 단, 상기 제1 실시예와 같이 인트라넷 상의 트래픽에 대한 전수 검사를 목적으로 악성 트래픽 탐지 장치(100)가 실시되는 경우라면, 상기 컴퓨팅 장치는 고성능의 서버 장치로 구현되는 것이 바람직할 것이다.In the first embodiment, the malicious
또한, 악성 트래픽 탐지 장치(100)는 악성 트래픽이 탐지되면 상기 탐지된 악성 트래픽과 관련된 악성 코드를 탐지할 수 있다. 예를 들어, 악성 트래픽 탐지 장치(100)는 상기 탐지된 악성 트래픽을 추적하여 상기 악성 트래픽을 유발한 악성 코드를 탐지할 수 있다.In addition, the malicious
본 발명의 몇몇 실시예에 따르면, 악성 트래픽 탐지 장치(100)는 악성 트래픽 또는 악성 코드에 대하여 기 정의된 악성 패턴 정보 없이 휴리스틱 기반으로 악성 트래픽을 탐지할 수 있다. 여기서, 상기 휴리스틱 기반으로 악성 트래픽을 탐지하는 것은 사전에 정의된 악성 패턴 정보가 없더라도 합리적인 가정에 기초하여 정의된 조건을 이용하여 수집된 트래픽을 검사하고, 상기 조건을 만족하는 트래픽을 악성 트래픽으로 탐지한다는 것을 의미할 수 있다.According to some embodiments of the present invention, the malicious
상기 합리적인 가정은 예를 들어 다음과 같은 가정들을 포함할 수 있다.The rational assumption may include, for example, the following assumptions.
(가정 1) 악성 코드에 감염된 단말은 최종 목적을 달성하기 위해 지속적으로 외부의 악성 서버에 접속을 시도할 것이다.(Assumption 1) A terminal infected with malicious code will continuously try to connect to an external malicious server to achieve its final goal.
(가정 2) 악성 코드에 감염된 단말은 최종 목적을 달성하기 위해 외부에 존재하는 다수의 악성 서버에 접속을 시도할 것이다.(Assumption 2) A terminal infected with malicious code will try to connect to a number of malicious servers existing outside the terminal to achieve the final purpose.
(가정 3) 악성 코드에 감염된 단말은 외부에 존재하는 악성 서버로의 접속 시도를 은닉하기 위해 위조된 목적지 주소를 이용할 것이다(e.g. HTTP 헤더의 URL을 정상적인 사이트의 URL로 위조하고, 실제로 접속하는 IP는 악성 서버의 IP로 하여 접속을 시도하는 경우 등).(Assumption 3) A terminal infected with malicious code will use a forged destination address to conceal an attempt to connect to an external malicious server (eg, forge the URL of the HTTP header to the URL of a normal site, Is trying to connect to the malicious server's IP, etc.).
정리하면, 악성 트래픽 탐지 장치(100)는 사전에 정의된 악성 패턴 정보 없이 전술한 합리적인 가정들을 이용하여 악성 트래픽 및/또는 악성 코드를 탐지할 수 있다. 이에 따라, 사전에 정의된 악성 패턴 정보를 이용하여 악성 코드를 탐지하는 종래의 방법들이 탐지할 수 없었던 신종 악성 코드 및/또는 변종 악성 코드가 탐지될 수 있다. 악성 트래픽 탐지 장치(100)가 휴리스틱 기반으로 악성 트래픽을 탐지하는 방법에 대한 자세한 설명은 도 3 이하의 도면을 참조하여 후술하도록 한다.In summary, the malicious
본 발명의 몇몇 실시예에 따른 악성 코드 탐지 시스템에서, 트래픽 수집 장치(200)와 악성 트래픽 탐지 장치(100)는 네트워크를 통해 통신할 수 있다. 일반적으로 상기 네트워크는 근거리 통신망(Local Area Network; LAN)과 같은 유선 네트워크로 구현될 것이나, 광역 통신망(Wide Area Network; WAN), 이동 통신망(mobile radio communication network), Wibro(Wireless Broadband Internet) 등과 같이 임의의 종류의 유/무선 네트워크로 구현되더라도 무방하다.In a malicious code detection system according to some embodiments of the present invention, the
참고로, 도 1에서 악성 트래픽 탐지 장치(100)와 트래픽 수집 장치(200)는 물리적으로 독립된 장치로 도시되어 있으나, 실시예에 따라 동일한 장치 내에 서로 다른 로직(logic)의 형태로 구현될 수도 있다.1, the malicious
지금까지 도 1을 참조하여 본 발명의 제1 실시예에 따른 악성 트래픽 탐지 시스템에 대하여 설명하였다. 다음으로, 도 2를 참조하여 본 발명의 제2 실시예에 따른 악성 트래픽 탐지 시스템에 대하여 설명하도록 한다.The malicious traffic detection system according to the first embodiment of the present invention has been described with reference to FIG. Next, a malicious traffic detection system according to a second embodiment of the present invention will be described with reference to FIG.
도 2는 본 발명의 제2 실시예에 따른 악성 트래픽 탐지 시스템의 구성도이다. 도 2는 대상 시스템이 기업 내의 인트라넷이고, 특정 단말(40)이 악성 코드 유포 서버(50)에 의해 유포된 신종 악성 코드에 감염되어 외부의 C&C 서버(60)와 통신하는 것을 예로써 도시하고 있다.2 is a configuration diagram of a malicious traffic detection system according to a second embodiment of the present invention. 2 shows an example in which the target system is an intranet in the enterprise and the
도 2를 참조하면, 상기 제2 실시예에 따른 악성 트래픽 탐지 시스템은 악성 코드 탐지 장치(300)를 더 포함할 수 있다.Referring to FIG. 2, the malicious traffic detection system according to the second embodiment may further include a malicious
상기 제2 실시예에서, 악성 코드 탐지 장치(300)는 사전에 정의된 악성 패턴 정보를 이용하여 트래픽 수집 장치(200)가 제공하는 트래픽에 대한 정적 분석 및/또는 동적 분석을 수행함으로써 악성 코드를 탐지하는 컴퓨팅 장치일 수 있다. 특히, 악성 코드 탐지 장치(300)는 인바운드 트래픽에 대한 전수 검사를 통해 악성 코드를 탐지하는 컴퓨팅 장치일 수 있으나, 이에 국한되는 것은 아니다.In the second embodiment, the malicious
상기 제2 실시예에서, 대상 시스템의 안정성 및 보안성을 더욱 향상시키기 위해 악성 트래픽 탐지 장치(100)와 악성 코드 탐지 장치(300)가 상호보완적으로 동작할 수 있다. 예를 들어, 악성 코드 탐지 장치(300)가 탐지할 수 없는 신종 악성 코드를, 악성 트래픽 탐지 장치(100)가 탐지한 뒤 상기 신종 악성 코드에 대한 탐지 정보를 악성 코드 탐지 장치(300)로 제공함으로써 두 장치(100, 300)가 상호보완적으로 동작할 수 있다.In the second embodiment, the malicious
전술한 예에 대하여 부연 설명하면, 악성 코드 탐지 장치(300)는 악성 코드 패턴이 존재하지 않는 신종 악성 코드를 탐지할 수 없기 때문에, 특정 단말(40)이 신종 악성 코드에 감염되는 경우가 발생될 수 있다. 이와 같은 경우, 상기 감염된 단말(40)은 소정의 목적을 달성하기 위해 외부의 C&C 서버(60)에 접속을 시도할 것이다. 그러면, 휴리스틱에 기반한 악성 트래픽 탐지 장치(100)가 외부의 C&C 서버(60)에 접속을 시도하는 악성 트래픽과 상기 악성 트래픽을 유발한 신종 악성 코드를 탐지하고, 상기 신종 악성 코드에 대한 탐지 정보를 악성 코드 탐지 장치(300)로 제공할 수 있다. 상기 탐지 정보를 제공받은 악성 코드 탐지 장치(300)는 상기 탐지 정보를 기초로 상기 신종 악성 코드에 대한 악성 패턴 정보를 생성함으로써, 이후부터 상기 신종 악성 코드의 침투를 사전에 탐지하도록 동작할 수 있다.Describing the above example in detail, the malicious
지금까지, 도 2를 참조하여 본 발명의 제2 실시예에 따른 악성 트래픽 탐지 시스템에 대하여 설명하였다. 이하에서는, 본 발명의 다른 실시예에 따른 악성 트래픽 탐지 장치(100)의 구성 및 동작에 대하여 도 3 내지 도 9를 참조하여 설명하도록 한다.The malicious traffic detection system according to the second embodiment of the present invention has been described with reference to FIG. Hereinafter, the configuration and operation of the malicious
도 3은 본 발명의 실시예에 따른 악성 트래픽 탐지 장치(100)를 나타내는 블록도이다.3 is a block diagram illustrating a malicious
도 3을 참조하면, 악성 트래픽 탐지 장치(100)는 트래픽 수집부(110) 및 악성 트래픽 탐지부(130)를 포함하도록 구성될 수 있다. 다만, 도 3에는 본 발명의 실시예와 관련 있는 구성요소들만이 도시되어 있다. 따라서, 본 발명이 속한 기술분야의 통상의 기술자라면 도 3에 도시된 구성요소들 외에 다른 범용적인 구성 요소들이 더 포함될 수 있음을 알 수 있다. 또한, 도 3에 도시된 악성 트래픽 탐지 장치(100)의 각각의 구성 요소들은 기능적으로 구분되는 기능 요소들을 나타낸 것으로서, 적어도 하나의 구성 요소가 실제 물리적 환경에서는 서로 통합되는 형태로 구현될 수도 있음에 유의한다. 이하, 악성 트래픽 탐지 장치(100)의 각 구성 요소에 대하여 설명한다.Referring to FIG. 3, the malicious
트래픽 수집부(110)는 소정의 수집 기간 동안 네트워크 상에서 대상 시스템에 대한 트래픽을 수집한다. 여기서, 상기 수집되는 트래픽은 아웃바운드 트래픽일 수 있으나, 이에 국한되는 것은 아니다. 또한, 상기 수집 기간은 예를 들어 일 단위, 주 단위, 월 단위 등으로 다양하게 설정될 수 있다.The
몇몇 실시예에서, 트래픽 수집부(110)는 직접 트래픽을 수집하는 것이 아니라, 도 1 및 도 2에 도시된 트래픽 수집 장치(200)와 같은 별도의 트래픽 수집 장치로부터, 수집된 트래픽을 제공받을 수도 있다.In some embodiments, the
악성 트래픽 탐지부(130)는 휴리스틱 기반으로 수집된 트래픽에서 악성 트래픽을 탐지한다.The malicious
본 발명의 실시예에 따르면, 악성 트래픽 탐지부(130)는 제1 악성 트래픽 탐지부(131), 제2 악성 트래픽 탐지부(133) 및 제3 악성 트래픽 탐지부(135)를 포함하도록 구성될 수 있다.According to the embodiment of the present invention, the malicious
제1 악성 트래픽 탐지부(131)는 지속적으로 동일한 외부 호스트에 접근을 시도하는 트래픽(이하, "주기성 트래픽"으로 명명함)에 기초하여 악성 트래픽을 탐지한다. 자세하게는, 제1 악성 트래픽 탐지부(131)는 전술한 "가정 1"을 토대로 상기 주기성 트래픽을 악성 의심 트래픽으로 검출하고, 상기 악성 의심 트래픽 중에서 소정의 기준을 만족하는 트래픽을 악성 트래픽으로 판정한다. 이에 대한 자세한 설명은 도 5, 도 10 및 도 11을 참조하여 상세하게 설명하도록 한다.The first malicious
제2 악성 트래픽 탐지부(133)는 다수의 외부 호스트에 접근을 시도하는 트래픽(이하, "다중 접속 트래픽"으로 명명함)에 기초하여 악성 트래픽을 탐지한다. 자세하게는, 제2 악성 트래픽 탐지부(133)는 전술한 "가정 2"을 토대로 상기 다중 접속 트래픽을 악성 의심 트래픽으로 검출하고, 상기 다중 접속 트래픽 중에서 소정의 기준을 만족하는 트래픽을 악성 트래픽으로 판정한다. 이에 대한 자세한 설명은 도 7, 도 12 내지 도 14를 참조하여 상세하게 설명하도록 한다.The second malicious
제3 악성 트래픽 탐지부(135)는 목적지의 URL과 IP가 일치하지 않는 트래픽(이하, "위조 트래픽"으로 명명함)에 기초하여 악성 트래픽을 탐지한다. 자세하게는, 제3 악성 트래픽 탐지부(135)는 전술한 "가정 3"을 토대로 상기 위조 트래픽을 악성 의심 트래픽으로 검출하고, 상기 악성 의심 트래픽 중에서 소정의 기준을 만족하는 트래픽을 악성 트래픽으로 판정한다. 이에 대한 자세한 설명은 도 8 및 도 15 를 참조하여 상세하게 설명하도록 한다.The third malicious
본 발명의 실시예에 따르면, 제1 악성 트래픽 탐지부 내지 제3 악성 트래픽 탐지부(131 내지 135)는 다양한 방식으로 동작되도록 구성될 수 있다.According to an embodiment of the present invention, the first to third malicious
일 실시예에서, 도 4a에 도시된 바와 같이, 제1 악성 트래픽 탐지부 내지 제3 악성 트래픽 탐지부(131 내지 135)는 상호 독립적이고 병렬적으로 동작되도록 구성될 수 있다. 본 실시예에서, 수집된 트래픽 각각에 대하여 제1 악성 트래픽 탐지부 내지 제3 악성 트래픽 탐지부(131 내지 135)가 중복하여 전수 검사를 수행하여 악성 트래픽을 탐지한다. 본 실시예에 따르면, 병렬적으로 악성 트래픽 탐지가 수행되므로, 평균 탐지 속도가 향상될 수 있다.In one embodiment, as shown in FIG. 4A, the first malicious traffic detecting unit to the third malicious
일 실시예에서, 도 4b에 도시된 바와 같이, 제1 악성 트래픽 탐지부 내지 제3 악성 트래픽 탐지부(131 내지 135)는 단계적 또는 순차적으로 동작되도록 구성될 수 있다. 본 실시예에서, 제1 악성 트래픽 탐지부(131)가 먼저 수집된 트래픽 각각에 대하여 악성 트래픽 해당 여부를 검사하고, 악성 트래픽으로 판정되지 않은 트래픽은 다시 제2 악성 트래픽 탐지부(133)에 의해 검사되게 된다. 또한, 제2 악성 트래픽 탐지부(1330)에 의해 악성 트래픽으로 판정되지 않은 트래픽은 최종적으로 제3 악성 트래픽 탐지부(135)에 의해 검사되게 된다. 본 실시예에 따르면, 순차적으로 수집된 트래픽에 대한 전수 검사가 수행되므로, 평균 탐지 속도는 떨어질 수 있으나, 단계가 진행될수록 검사 대상 트래픽의 양이 줄어들기 때문에 컴퓨팅 비용 측면에서 효율적일 수 있다.In one embodiment, as shown in FIG. 4B, the first to third malicious
참고로, 도 4b에서, 제1 악성 트래픽 탐지부(131)가 먼저 악성 트래픽을 탐지하는 것으로 도시되어 있으나, 악성 트래픽 탐지부(131 내지 135)의 탐지 순서는 얼마든지 달라질 수 있다. 다만, 보다 효율적으로 악성 트래픽 탐지를 수행하기 위해서는, 각 악성 트래픽 탐지부(131 내지 135)의 탐지 성능(e.g. 탐지 정확도, 오탐률, 기준 시간 당 트래픽 검사 개수 등)을 기준으로 탐지 순서를 결정하는 것이 바람직할 수 있다. 실시예에 따라, 정해진 시간 간격으로 각 악성 트래픽 탐지부(131 내지 135)의 탐지 성능을 산출하고, 상기 산출된 탐지 성능에 기초하여 각 악성 트래픽 탐지부(131 내지 135)의 탐지 순서가 동적으로 결정되도록 구현될 수도 있을 것이다.In FIG. 4B, the first malicious
일 실시예에서, 도 4c에 도시된 바와 같이, 제1 악성 트래픽 탐지부 내지 제3 악성 트래픽 탐지부(131 내지 135)는 수집된 트래픽에 각각에 대하여 상호 병렬적으로 악성 의심 지수를 산출하고, 별도의 악성 트래픽 판정부(137)가 최종적으로 악성 트래픽 여부를 판정할 수도 있다. 본 실시예에서, 각각의 악성 트래픽 탐지부 내지 악성 트래픽 탐지부(131 내지 135)는 해당 트래픽이 악성 트래픽에 해당할 확률 또는 점수를 가리키는 제1 내지 제3 악성 의심 지수를 산출하고, 악성 트래픽 판정부(137)가 상기 제1 내지 제3 악성 의심 지수를 기초로 해당 트래픽이 악성 트래픽인지 여부를 판정하게 된다.In one embodiment, as shown in FIG. 4C, the first to third
예를 들어, 악성 트래픽 판정부(137)는 상기 제1 내지 제3 악성 의심 지수의 가중치 합 또는 가중 평균이 임계 값 이상인지 여부를 기초로 해당 트래픽이 악성 트래픽인지 여부를 판정할 수 있다. 여기서, 상기 가중치 합 또는 가중 평균에 이용되는 가중치는 기 설정된 고정 값 또는 상황에 따라 변동되는 변동 값일 수 있다. 예를 들어, 상기 가중치는 각 악성 트래픽 탐지부(131 내지 135)의 탐지 성능에 기초하여 동적으로 결정되는 변동 값일 수 있다. 본 실시예에 따르면, 해당 트래픽에서 나타나는 다양한 악성 패턴을 종합적으로 고려하여 악성 트래픽 여부가 판정되므로, 악성 트래픽 탐지의 정확도가 향상되고 오탐률은 감소될 수 있다.For example, the malicious
지금까지, 도 4a 내지 도 4c를 참조하여, 각각의 악성 트래픽 탐지부(131 내지 135)의 동작 방식에 따른 몇몇 실시예에 대하여 살펴보았다. 이하에서는, 도 5 내지 도 8을 참조하여, 각각의 악성 트래픽 탐지부(131 내지 135)에 대하여 상세하게 설명하도록 한다.Up to now, several embodiments according to the operation modes of the malicious
도 5는 제1 악성 트래픽 탐지부(131)를 나타내는 블록도이다.5 is a block diagram showing the first malicious
도 5를 참조하면, 제1 악성 트래픽 탐지부(131)는 트래픽 그룹핑부(131a), 트래픽 추출부(131b), 주기성 트래픽 검출부(131c) 및 악성 트래픽 판정부(131d)를 포함하도록 구성될 수 있다.5, the first malicious
각 구성 요소를 살펴보면, 트래픽 그룹핑부(131a)는 수집된 트래픽을 시간대별로 그룹핑한다. 예를 들어, 트래픽 그룹핑부(131a)는 수집된 트래픽을 30분 단위, 1시간 단위, 3시간 단위 등 기 설정된 시간 간격 단위로 그룹핑한다.Referring to the respective components, the
트래픽 추출부(131b)는 그룹핑된 트래픽에서 리퍼러 필드(referer field) 값이 존재하지 않는 트래픽을 추출하는 제1 추출 단계를 수행한다. 리퍼러 필드에 특정 URL이 포함된 트래픽은 사용자가 특정 웹 페이지의 링크를 클릭함에 따라 발생된 트래픽이기 때문에 악성 트래픽일 확률이 매우 낮기 때문이다. 본 기술적 사상은 제2 악성 트래픽 탐지부(133) 및 제3 악성 트래픽 탐지부(135)에도 동일하게 적용될 수 있다.The
또한, 트래픽 추출부(131b)는 상기 추출된 트래픽 중에서 목적지의 URL(uniform resource locator)이 일치하는 트래픽을 추출하는 제2 추출 단계를 수행한다. 제1 예에서, 동일한 외부 호스트로 접근하는 트래픽을 추출하기 위해 트래픽 추출부(131b)는 URL에 포함된 호스트 주소가 일치하는 트래픽을 추출할 수 있다. 제2 예에서, 트래픽 추출부(131b)는 URL에 포함된 호스트 주소 및 파일 경로가 모두 일치하는 트래픽을 추출할 수도 있다.In addition, the
이해의 편의를 제공하기 위해 URL의 형식에 대하여 도 6을 참조하여 간략하게 설명하면, 도 6에 도시된 예시적인 URL("http://aaa.com:8080/bbb/ccc.jsp?i=1")에서, "http"는 프로토콜을 가리키고, "aaa.com"은 접속할 호스트 주소를 가리키며, "8080"은 접속할 호스트의 포트 번호를 가리킨다. 또한, "bbb"는 요청 파일의 경로를 가리키고, "ccc.jsp"는 요청 파일명을 가리키며, "i=1"은 쿼리 스트링(query string)을 가리킨다. 또한, 도 6에 도시된 URL에서 파일 경로는 파일의 경로와 이름을 포함하는 문자열로 "bbb/ccc.jsp"를 가리키는 것으로 이해될 수 있다.For convenience of understanding, the format of the URL will be briefly described with reference to FIG. 6, and an example URL (" http://aaa.com:8080/bbb/ccc.jsp?i= 1 ")," http "indicates the protocol," aaa.com "indicates the host address to connect to, and" 8080 "indicates the port number of the host to be connected. Also, "bbb" indicates the path of the request file, "ccc.jsp" indicates the request file name, and "i = 1" indicates the query string. Further, in the URL shown in Fig. 6, the file path can be understood as a string including " bbb / ccc.jsp " including the path and name of the file.
참고로, 전술한 트래픽 추출부(131b)에서, 리퍼러 필드에 기초한 제1 추출 단계와 URL에 기초한 제2 추출 단계가 순서대로 수행되는 것으로 설명하였으나, 당해 기술 분야의 통상의 기술자라면 두 과정에 어떠한 종속성도 존재하지 않는 것을 인지할 수 있을 것이다. 즉, 상기 제1 추출 단계와 상기 제2 추출 단계는 얼마든지 다른 순서로 수행되더라도 무방하다. 또한, 도 5에서 트래픽 그룹핑부(131a)와 트래픽 추출부(131b)의 동작이 순서대로 수행되는 것으로 도시되어 있으나, 이 또한 얼마든지 다른 순서로 수행될 수 있음에 유의해야 한다. 아울러, 다른 언급이 없더라도, 본 명세서에서 종속성을 갖지 않는 구성 요소들 또는 단계들의 동작은 얼마든지 다른 순서로 수행될 수 있음에 유의한다.For reference, in the above-described
다시 도 5를 참조하면, 주기성 트래픽 검출부(131c)는 시간대별로 그룹핑된 트래픽 그룹 중에서, 다수의 트래픽 그룹에 지속적으로 나타나는 주기성 트래픽을 검출한다. 예를 들어, 주기성 트래픽 검출부(131c)는 목적지가 동일한 트래픽 또는 발신지와 목적지가 모두 동일한 트래픽이 기 설정된 개수 이상의 트래픽 그룹에서 나타나는 경우 해당 트래픽을 주기성 트래픽으로 검출할 수 있다.Referring again to FIG. 5, the periodic
본 발명의 실시예에 따르면, 주기성 트래픽 검출부(131c)는 정확하게 특정 시간 간격 별로 발생되는 주기성 트래픽을 검출할 뿐만 아니라, 정확한 주기가 있지 않더라도 여러 시간대에 걸쳐서 지속적으로 나타나는 주기성 트래픽 또한 검출할 수 있다. 예를 들어, 1시간 간격으로 트래픽이 그룹핑되었다고 할 때, 목적지의 URL이 동일한 트래픽이 1시 ~ 2시 사이, 2시 ~ 3시 사이, 3시 ~ 4시 사이를 가리키는 트래픽 그룹에 지속적으로 나타나는 경우, 해당 트래픽은 주기성 트래픽으로 검출될 수 있다.According to the embodiment of the present invention, the periodic
악성 트래픽 판정부(131d)는 트래픽 발생횟수의 시간대별 분포에 기초하여, 검출된 주기성 트래픽이 악성 트래픽인지 여부를 판정한다. 예를 들어, 악성 트래픽 판정부(131d)는 상기 검출된 주기성 트래픽에 대한 시간대별 트래픽 발생횟수의 표준편차 또는 분산 값을 산출하고, 상기 산출된 표준편차 또는 분산 값이 기 설정된 임계 값 이하인 경우 상기 검출된 주기성 트래픽을 악성 트래픽으로 판정할 수 있다. 특정 시간대(e.g. 업무 시간)에만 집중적으로 발생되고 다른 시간대(e.g. 업무 외 시간)에는 적게 발생되는 트래픽(e.g. 표준편차 또는 분산 값이 큰 트래픽)은 특정 업무와 관련된 정상 트래픽일 확률이 높기 때문이다.The malicious
본 발명의 실시예에 따르면, 악성 트래픽 판정부(131d)는 상기 검출된 주기성 트래픽 각각에 대한 발신지 단말의 수에 기초하여 악성 트래픽 여부를 판정할 수 있다. 예를 들어, 상기 검출된 주기성 트래픽이 임계 값 이상의 발신지 단말에서 발생된 트래픽인 경우, 악성 트래픽 판정부(131d)는 해당 주기성 트래픽을 정상 트래픽으로 판정할 수 있다. 다수의 발신지 단말이 동시에 악성 코드에 감염될 가능성은 높지 않기 때문이다. 본 실시예에 따른 기술적 사상은 제2 및 제3 악성 트래픽 탐지부(133, 135)에도 동일하게 적용될 수 있다.According to the embodiment of the present invention, the malicious
또한, 본 발명의 실시예에 따라 악성 트래픽 탐지부(130)가 도 4c에 도시된 바와 같이 구성되는 경우, 악성 트래픽 판정부(131d)는 악성 의심 지수 결정부(미도시)로 대체될 수 있다. 본 실시예에서, 악성 의심 지수 결정부(미도시)는 트래픽 발생횟수의 분산 및/또는 표준 편차 및/또는 발신지 단말의 수 등에 기초하여 악성 의심 지수를 결정할 수 있다. 예를 들어, 악성 의심 지수 결정부(미도시)는 상기 표준편차 또는 분산 값이 작거나, 발신지 단말의 수가 적을수록 검출된 주기성 트래픽에 대한 악성 의심 지수를 높은 값으로 결정할 수 있다. 본 실시예에 따른 기술적 사상은 제2 및 제3 악성 트래픽 탐지부(133, 135)에도 동일하게 적용될 수 있다.When the malicious
지금까지, 도 5를 참조하여 제1 악성 트래픽 탐지부(131)에 대하여 설명하였다. 제1 악성 트래픽 탐지부(131)에 대한 추가적인 내용은 도 10 및 도 11에 대한 설명 부분을 더 참조하도록 한다.Up to now, the first malicious
다음으로, 도 7을 참조하여 제2 악성 트래픽 탐지부(133)에 대하여 설명하도록 한다.Next, the second malicious
도 7을 참조하면, 제2 악성 트래픽 탐지부(133)는 트래픽 그룹핑부(133a), 트래픽 추출부(133b), 다중 접속 트래픽 검출부(133c) 및 악성 트래픽 판정부(133d)를 포함하도록 구성될 수 있다.7, the second malicious
각 구성 요소를 살펴보면, 트래픽 그룹핑부(133a)는 목적지 URL을 기준으로 외부 호스트로 접속을 요청하는 요청 트래픽을 그룹핑하여 적어도 하나의 트래핑 그룹을 형성한다. 제1 예에서, 트래픽 그룹핑부(133a)는 목적지 URL에 포함된 파일 경로를 기준으로 상기 수집된 트래픽을 그룹핑할 수 있다. 제1 예에 따르면, 제1 URL("aaa.com/main.jsp?i=3")과 제2 URL("bbb.com/main.jsp?i=5")에 대한 요청 트래픽은 동일한 그룹으로 그룹핑될 수 있다. 제2 예에서, 트래픽 그룹핑부(133a)는 목적지 URL에 포함된 파일 경로 및 쿼리 스트링을 기준으로 상기 수집된 트래픽을 그룹핑할 수 있다. 제2 예에 따르면, 제1 URL("aaa.com/main.jsp?i=3")과 제2 URL("bbb.com/main.jsp?i=5")에 대한 요청 트래픽은 서로 다른 그룹으로 그룹핑될 수 있다.Referring to each component, the
트래픽 추출부(133b)는 트래픽 그룹에 포함된 요청 트래픽 중에서 대응되는 응답 트래픽에 포함된 데이터의 크기를 기초로 트래픽을 추출한다. 예를 들어, 트래픽 추출부(133b)는 트래픽 그룹에 포함된 요청 트래픽 중에서 대응되는 응답 트래픽에 포함된 데이터의 크기가 제1 임계 값 이상이거나, 상기 데이터의 크기가 제2 임계 값 이하인 트래픽을 추출한다. 이때, 상기 제2 임계 값은 상기 제1 임계 값보다 큰 값으로 설정될 수 있다. 즉, 트래픽 추출부(133b)는 대응되는 응답 트래픽의 데이터 크기가 너무 크거나 작은 요청 트래픽을 제외할 수 있다. 이는, 응답 데이터의 크기가 너무 큰 경우, 보통 영상 데이터에 해당하여 악성 트래픽과 관련 없는 경우가 많으며, 상기 응답 데이터의 크기가 너무 작은 경우는 ACK와 같이 의미 없는 트래픽일 확률이 높기 때문이다.The
본 발명의 실시예에 따르면, 트래픽 추출부(133b)는 특정 외부 호스트를 목적지로 하는 요청 트래픽의 개수에 기초하여 트래픽을 추출할 수도 있다. 예를 들어, 트래픽 추출부(133b)는 특정 외부 호스트를 목적지로 하는 요청 트래픽의 개수가 제1 임계 값 이상이거나, 제2 임계 값 이하인 트래픽을 추출할 수 있다. 이때, 상기 제2 임계 값은 상기 제1 임계 값보다 큰 값으로 설정될 수 있다. 즉, 트래픽 추출부(133b)는 특정 외부 호스트를 목적지로 하는 요청 트래픽의 개수가 너무 많거나 적은 트래픽을 제외할 수 있다. 이는, 상기 요청 트래픽의 개수가 너무 많은 경우, 일반적으로 포털 사이트로 접속하는 정상 트래픽일 확률이 높고, 상기 트래픽의 개수가 너무 적은 경우에는 의미 없는 트래픽일 확률이 높기 때문이다. 참고로, 본 실시예에서, 트래픽 그룹핑부(133a)는 특정 외부 호스트를 기준으로, 수집된 트래픽을 그룹핑하여 트래픽 추출부(133b)로 제공할 수 있으며, 본 실시예에 따른 기술적 사상은 제1 및 제3 악성 트래픽 탐지부(131, 135)에도 동일하게 적용될 수 있다.According to the embodiment of the present invention, the
다중 접속 트래픽 검출부(133c)는 상기 추출된 트래픽에 포함된 각각의 트래픽 그룹 중에서, 서로 다른 호스트 주소가 포함된 목적지 URL이 나타나는 트래픽 그룹을 다중 접속 트래픽으로 검출한다. 부연 설명하면, 상기 트래픽 그룹은 목적지 URL에 동일한 파일 경로가 포함된 트래픽의 집합이므로, 다중 접속 트래픽 검출부(133c)는 목적지 URL에 복수의 호스트 주소가 포함된 트래픽 그룹을 다중 접속 트래픽으로 검출할 수 있는 것이다.The multiple
악성 트래픽 판정부(133d)는 대응되는 응답 트래픽에 포함된 데이터의 크기의 편차 정도에 기초하여 상기 검출된 다중 접속 트래픽이 악성 트래픽인지 여부를 판정한다. 예를 들어, 악성 트래픽 판정부(133d)는 대응되는 응답 트래픽에 포함된 데이터의 크기의 표준편차 및/또는 분산 값을 산출하고, 상기 표준편차 및/또는 분산 값이 기 설정된 임계 값 이하인 경우 해당 다중 접속 트래픽을 악성 트래픽으로 판정한다. 파일 경로가 동일하고 서로 다른 외부 호스트를 목적지로 하는 트래픽에 대하여 응답 데이터의 크기까지 비슷한 경우는 우연히 발생하기 어려운 경우이기 때문이다.The malicious
지금까지, 도 7을 참조하여 제2 악성 트래픽 탐지부(133)에 대하여 설명하였다. 제2 악성 트래픽 탐지부(133)에 대한 추가적인 내용은 도 12 내지 도 14에 대한 설명 부분을 더 참조하도록 한다.Up to now, the second malicious
다음으로, 도 8을 참조하여 제3 악성 트래픽 탐지부(135)에 대하여 설명하도록 한다.Next, the third malicious
도 8을 참조하면, 제3 악성 트래픽 탐지부(135)는 트래픽 그룹핑부(135a), 위조 트래픽 검출부(135b) 및 악성 트래픽 판정부(135c)를 포함하도록 구성될 수 있다.Referring to FIG. 8, the third malicious
각 구성 요소를 살펴보면, 트래픽 그룹핑부(135a)는 수집된 트래픽의 목적지 URL에 포함된 호스트 주소 및 IP 중 어느 하나의 요소에 기초하여, 상기 수집된 트래픽을 그룹핑한다. 즉, 트래픽 그룹핑부(135a)는 목적지 URL의 호스트 주소를 기준으로 수집된 트래픽을 제1 트래픽 그룹을 형성할 수 있고, 상기 수집된 트래픽을 IP를 기준으로 그룹핑하여 제2 트래픽 그룹을 형성할 수도 있다.Referring to each component, the
위조 트래픽 검출부(135b)는 트래픽 그룹 중에서 목적지에 대한 URL과 IP가 불일치하는 적어도 하나의 트래픽 그룹을 위조 트래픽으로 검출한다.The forged
본 발명의 실시예에 따르면, 위조 트래픽 검출부(135b)는 일일이 각 트래픽의 URL에 대응되는 IP를 조회하고, 상기 조회된 IP가 상기 URL과 매칭되는지 여부를 검사하는 것이 아니라, 상기 트래픽 그룹 내에서 URL을 기준으로 매칭되는 IP의 개수 또는 IP를 기준으로 매칭되는 URL 개수를 비교함으로써 위조 트래픽을 검출한다. 그렇게 함으로써, 위조 트래픽 검출부(135b)는 각 URL에 대응되는 IP 정보를 조회할 필요 없이 고속으로 위조 트래픽을 검출할 수 있다.According to the embodiment of the present invention, the forged
부연 설명하면, 호스트 주소를 기준으로 제1 트래픽 그룹이 형성된 경우, 위조 트래픽 검출부(135b)는 상기 제1 트래픽 그룹 중에서 복수의 IP가 나타나는 트래픽 그룹을 제1 위조 트래픽으로 검출할 수 있다. 또한, IP를 기준으로 제2 트래픽 그룹이 형성된 경우, 위조 트래픽 검출부(135b)는 상기 제2 트래픽 그룹 중에서 복수의 URL이 나타나는 트래픽 그룹을 제2 위조 트래픽으로 검출할 수 있다.In other words, when the first traffic group is formed based on the host address, the
한편, 포털 사이트의 경우, 다수의 서비스를 제공하기 위해 복수의 IP를 보유하는 경우가 있다. 이와 같은 경우, 상기 포털 사이트에 대한 트래픽에서 복수의 IP가 나타나므로 상기 제1 위조 트래픽 중에 오검출되는 위조 트래픽이 존재할 수 있다. 또한, 호스팅 업체를 이용하는 경우, 서로 다른 서비스가 동일한 IP로 제공되는 경우가 있을 수 있다. 이와 같은 경우, 하나의 IP에 복수의 URL이 나타날 수 있기 때문에, 상기 제2 위조 트래픽 중에도 오검출되는 위조 트래픽이 존재할 수 있다.On the other hand, in the case of a portal site, a plurality of IPs may be held to provide a plurality of services. In such a case, since there are a plurality of IPs in the traffic to the portal site, falsified traffic that is erroneously detected in the first forged traffic may exist. Also, when using a hosting company, there may be cases where different services are provided with the same IP. In such a case, since a plurality of URLs may appear in one IP, falsified traffic that is erroneously detected even in the second falsified traffic may exist.
오검출되는 위조 트래픽이 증가될수록, 악성 트래픽 탐지의 정확도가 떨어질 수 있으므로, 이와 같은 문제를 해결하기 위해, 위조 트래픽 검출부(135b)는 상기 제1 트래픽 그룹 중에서, 복수의 IP가 나타나는 트래픽 그룹을 제1 위조 의심 트래픽으로 검출하고, 상기 제2 트래픽 그룹 중에서, 복수의 호스트 주소가 나타나는 트래픽 그룹을 제2 위조 의심 트래픽으로 검출하며, 상기 제1 위조 의심 트래픽과 상기 제2 위조 의심 트래픽에 동시에 포함되는 트래픽을 위조 트래픽으로 검출할 수 있다. 본 실시예에 따르면, 위조 트래픽에 대한 검출 정확도가 향상될 수 있고, 이에 따라 악성 트래픽 탐지의 정확도 또한 향상될 수 있다.In order to solve such a problem, the forged
악성 트래픽 판정부(135c)는 검출된 위조 트래픽 중에서 접속 트래픽의 개수가 기 설정된 임계 값 이하인 외부 호스트를 목적지로 하는 위조 트래픽을 악성 트래픽으로 판정한다. 즉, 악성 트래픽 판정부(135c)는 접속을 요청하는 트래픽의 개수를 기준으로, 상기 검출된 위조 트래픽이 악성 트래픽인지 여부를 판정한다. 이는, 접속 트래픽이 많은 외부 호스트는 다수의 사용자들이 방문하는 사이트를 제공하는 정상 호스트일 확률이 높다는 점을 반영한 것으로 이해될 수 있다.The malicious
지금까지, 도 8을 참조하여 제3 악성 트래픽 탐지부(135)에 대하여 설명하였다. 제3 악성 트래픽 탐지부(135)에 대한 추가적인 내용은 도 15에 대한 설명 부분을 더 참조하도록 한다.Up to now, the third malicious
지금까지 설명한 도 3, 도 4a 내지 도 8의 각 구성 요소는 소프트웨어(Software) 또는, FPGA(Field Programmable Gate Array)나 ASIC(Application-Specific Integrated Circuit)과 같은 하드웨어(Hardware)를 의미할 수 있다. 그렇지만, 상기 구성 요소들은 소프트웨어 또는 하드웨어에 한정되는 의미는 아니며, 어드레싱(Addressing)할 수 있는 저장 매체에 있도록 구성될 수도 있고, 하나 또는 그 이상의 프로세서들을 실행시키도록 구성될 수도 있다. 상기 구성 요소들 안에서 제공되는 기능은 더 세분화된 구성 요소에 의하여 구현될 수 있으며, 복수의 구성 요소들을 합하여 특정한 기능을 수행하는 하나의 구성 요소로 구현될 수도 있다.Each of the components of FIGS. 3 and 4A to 8 described above may mean software or hardware such as an FPGA (Field Programmable Gate Array) or an ASIC (Application-Specific Integrated Circuit). However, the components are not limited to software or hardware, and may be configured to be addressable storage media, and configured to execute one or more processors. The functions provided in the components may be implemented by a more detailed component, or may be implemented by a single component that performs a specific function by combining a plurality of components.
도 9는 본 발명의 또 다른 실시예에 따른 악성 트래픽 탐지 장치(100)의 하드웨어 구성도이다.9 is a hardware configuration diagram of a malicious
도 9를 참조하면, 악성 트래픽 탐지 장치(100)는 하나 이상의 프로세서(101), 버스(105), 네트워크 인터페이스(107), 프로세서(101)에 의하여 수행되는 컴퓨터 프로그램을 로드(load)하는 메모리(103)와, 악성 트래픽 탐지 소프트웨어(109a)를 저장하는 스토리지(109)를 포함할 수 있다. 다만, 도 9에는 본 발명의 실시예와 관련 있는 구성요소들만이 도시되어 있다. 따라서, 본 발명이 속한 기술분야의 통상의 기술자라면 도 9에 도시된 구성요소들 외에 다른 범용적인 구성 요소들이 더 포함될 수 있음을 알 수 있다.9, the malicious
프로세서(101)는 악성 트래픽 탐지 장치(100)의 각 구성의 전반적인 동작을 제어한다. 프로세서(101)는 CPU(Central Processing Unit), MPU(Micro Processor Unit), MCU(Micro Controller Unit), GPU(Graphic Processing Unit) 또는 본 발명의 기술 분야에 잘 알려진 임의의 형태의 프로세서를 포함하여 구성될 수 있다. 또한, 프로세서(101)는 본 발명의 실시예들에 따른 방법을 실행하기 위한 적어도 하나의 애플리케이션 또는 프로그램에 대한 연산을 수행할 수 있다. 악성 트래픽 탐지 장치(100)는 하나 이상의 프로세서를 구비할 수 있다.The
메모리(103)는 각종 데이터, 명령 및/또는 정보를 저장한다. 메모리(103)는 본 발명의 실시예들에 따른 악성 트래픽 탐지 방법을 실행하기 위하여 스토리지(109)로부터 하나 이상의 프로그램(109a)을 로드할 수 있다. 도 9에서 메모리(103)의 예시로 RAM이 도시되었다.The
버스(105)는 악성 트래픽 탐지 장치(100)의 구성 요소 간 통신 기능을 제공한다. 버스(105)는 주소 버스(Address Bus), 데이터 버스(Data Bus) 및 제어 버스(Control Bus) 등 다양한 형태의 버스로 구현될 수 있다.The
네트워크 인터페이스(107)는 악성 트래픽 탐지 장치(100)의 유무선 인터넷 통신을 지원한다. 또한, 네트워크 인터페이스(107)는 인터넷 통신 외의 다양한 통신 방식을 지원할 수도 있다. 이를 위해, 네트워크 인터페이스(107)는 본 발명의 기술 분야에 잘 알려진 통신 모듈을 포함하여 구성될 수 있다.The
스토리지(109)는 상기 하나 이상의 프로그램(109a)을 비임시적으로 저장할 수 있다. 도 9에서 상기 하나 이상의 프로그램(109a)의 예시로 악성 트래픽 탐지 소프트웨어(109a)가 도시되었다.The
스토리지(109)는 ROM(Read Only Memory), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM), 플래시 메모리 등과 같은 비휘발성 메모리, 하드 디스크, 착탈형 디스크, 또는 본 발명이 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체를 포함하여 구성될 수 있다.The
악성 트래픽 탐지 소프트웨어(109a)는 본 발명의 실시예에 따른 악성 트래픽 탐지 방법을 수행할 수 있다.The malicious
구체적으로, 악성 트래픽 탐지 소프트웨어(109a)는 메모리(103)에 로드되어, 하나 이상의 프로세서(101)에 의해, 네트워크 상에서, 상기 대상 시스템에 대한 트래픽을 수집하는 오퍼레이션, 상기 수집된 트래픽 중에서, 시간대별로 지속적으로 나타나는 트래픽을 가리키는 주기성 트래픽을 검출하는 오퍼레이션 및 트래픽 발생횟수의 시간대별 분포에 기초하여, 상기 검출된 주기성 트래픽이 악성 트래픽에 해당하는지 여부를 판정하는 오퍼레이션을 실행할 수 있다.Specifically, the malicious
지금까지, 도 3 내지 도 9를 참조하여 본 발명의 실시예에 따른 악성 트래픽 탐지 장치(100)의 구성 및 동작에 대하여 설명하였다. 다음으로, 도 10 내지 도 15를 참조하여 본 발명의 또 다른 실시예에 따른 악성 트래픽 탐지 방법에 대하여 설명하도록 한다.Up to now, the configuration and operation of the malicious
이하에서 후술할 본 발명의 실시예에 따른 악성 트래픽 탐지 방법의 각 단계는, 컴퓨팅 장치에 의해 수행될 수 있다. 예를 들어, 상기 컴퓨팅 장치는 악성 트래픽 탐지 장치(100)일 수 있다. 다만, 설명의 편의를 위해, 상기 악성 트래픽 탐지 방법에 포함되는 각 단계의 동작 주체는 그 기재가 생략될 수도 있다. 또한, 악성 트래픽 탐지 방법의 각 단계는 악성 트래픽 탐지 소프트웨어(109a)가 프로세서(101)에 의해 실행됨으로써, 악성 트래픽 탐지 장치(100)에서 수행되는 오퍼레이션일 수 있다.Each step of the malicious traffic detection method according to an embodiment of the present invention to be described below may be performed by a computing device. For example, the computing device may be malicious
중복된 설명을 배제하기 위해, 이하에서 후술할 악성 트래픽 탐지 방법의 구성 요소 중에서 도 3 내지 도 9를 참조하여 설명한 구성과 실질적으로 동일한 구성 요소에 대한 설명은 생략하도록 한다.In order to exclude redundant description, description of components substantially the same as those described with reference to FIGS. 3 to 9 among the components of the malicious traffic detection method to be described below will be omitted.
도 10 및 도 11은 본 발명의 제1 실시예에 따른 악성 트래픽 탐지 방법의 흐름도이다. 단, 이는 본 발명의 목적을 달성하기 위한 바람직한 실시예일 뿐이며, 필요에 따라 일부 단계가 추가되거나 삭제될 수 있음은 물론이다.10 and 11 are flowcharts of a malicious traffic detection method according to the first embodiment of the present invention. However, it should be understood that the present invention is not limited thereto and that some steps may be added or deleted as needed.
상기 제1 실시예에 따른 악성 트래픽 탐지 방법은 주기성 트래픽에 기초하여 악성 트래픽을 탐지한다. 도 10 및 도 11을 참조하여, 상기 제1 실시예에 따른 악성 트래픽 탐지 방법의 각 단계를 구체적으로 살펴보면, 네트워크 상에서 대상 시스템에 대한 트래픽이 수집되면(S110), 악성 트래픽 탐지 장치(100)가 상기 수집된 트래픽을 시간대별로 그룹핑한다(S130). 다음으로, 악성 트래픽 탐지 장치(100)는 URL에 포함된 호스트 주소가 일치하는 트래픽을 추출하고(S150), 상기 추출된 트래픽에서 시간대별로 지속적으로 나타나는 주기성 트래픽을 검출한다(S170). 다음으로, 악성 트래픽 탐지 장치(100)는 트래픽 발생횟수의 시간대별 분포에 기초하여, 상기 주기성 트래픽이 악성 트래픽인지 여부를 판정한다(S190).The malicious traffic detection method according to the first exemplary embodiment detects malicious traffic based on periodic traffic. Referring to FIGS. 10 and 11, each step of the malicious traffic detection method according to the first embodiment will be described in detail. When traffic for a target system is collected on the network (S110), the malicious
단계(S190)에 대하여 도 11을 참조하여 부연 설명하면, 악성 트래픽 탐지 장치(100)는 시간대별 트래픽 발생횟수의 표준편차 또는 분산을 산출하고(S191), 상기 산출된 표준편차 또는 분산이 임계 값 이하인 경우 해당 주기성 트래픽을 악성 트래픽으로 판정한다(S193, S195).11, the malicious
지금까지, 도 10 및 도 11을 참조하여 본 발명의 제1 실시예에 따른 악성 트래픽 탐지 방법에 대하여 설명하였다. 상기 제1 실시예에 대한 내용은 도 5를 참조하여 설명한 부분을 더 참조하도록 한다.The malicious traffic detection method according to the first embodiment of the present invention has been described with reference to FIGS. 10 and 11. FIG. The contents of the first embodiment will be described with reference to FIG.
다음으로, 도 12 내지 도 14는 본 발명의 제2 실시예에 따른 악성 트래픽 탐지 방법에 대하여 설명하도록 한다.Next, FIGS. 12 to 14 illustrate a malicious traffic detection method according to a second embodiment of the present invention.
상기 제2 실시예에 따른 악성 트래픽 탐지 방법은 다중 접속 트래픽에 기초하여 악성 트래픽을 탐지한다. 도 12 내지 도 14를 참조하여, 상기 제2 실시예에 따른 악성 트래픽 탐지 방법의 각 단계를 구체적으로 살펴보면, 네트워크 상에서 대상 시스템에 대한 트래픽이 수집되면(S210), 악성 트래픽 탐지 장치(100)는 URL에 포함된 파일 경로에 기준으로 상기 수집된 트래픽을 그룹핑한다(S230). 여기서, 상기 수집된 트래픽은 외부 호스트로 접속을 요청하는 요청 트래픽일 수 있다.The malicious traffic detection method according to the second embodiment detects malicious traffic based on multiple access traffic. 12 to 14, each step of the malicious traffic detection method according to the second embodiment will be described in detail. When the traffic for the target system is collected on the network (S210), the malicious
다음으로, 악성 트래픽 탐지 장치(100)는 대응되는 응답 트래픽에 포함된 데이터의 크기를 기초로 요청 트래픽을 추출한다(S250). 단계(S250)에 대하여 도 13을 참조하여 부연 설명하면, 악성 트래픽 탐지 장치(100)는 대응되는 응답 트래픽에 포함된 데이터의 크기가 제1 임계 값 이상이고, 상기 제2 임계 값 이하인 요청 트래픽을 다중 접속 트래픽 검출 대상으로 추출할 수 있다(S251, S252, S254, S255).Next, the malicious
다음으로, 악성 트래픽 탐지 장치(100)는 추출된 요청 트래픽에 포함된 트래픽 그룹 중에서 복수의 호스트 주소가 포함된 목적지 URL이 나타나는 트래픽 그룹을 다중 접속 트래픽으로 검출한다(S270). 다음으로, 악성 트래픽 탐지 장치(100)는 응답 트래픽에 포함된 데이터 크기의 편차 정도에 기초하여 검출된 다중 접속 트래픽이 악성 트래픽인지 여부를 판정한다(S290).Next, the malicious
단계(S290)에 대하여 도 14를 참조하여 부연 설명하면, 악성 트래픽 탐지 장치(100)는 상기 검출된 다중 접속 트래픽에 대응되는 응답 트래픽의 데이터 크기에 대한 표준 편차 또는 분산을 산출하고(S291), 상기 산출된 표준편차 또는 분산이 임계 값 이하인 경우 상기 검출된 다중 접속 트래픽을 악성 트래픽으로 판정한다(S293, 295).14, the malicious
지금까지, 도 12 내지 도 14를 참조하여 본 발명의 제2 실시예에 따른 악성 트래픽 탐지 방법에 대하여 설명하였다. 상기 제2 실시예에 대한 내용은 도 7을 참조하여 설명한 부분을 더 참조하도록 한다.Up to now, a malicious traffic detection method according to the second embodiment of the present invention has been described with reference to FIG. 12 to FIG. The contents of the second embodiment will be described with reference to FIG.
다음으로, 도 15를 참조하여 본 발명의 제3 실시예에 따른 악성 트래픽 탐지 방법에 대하여 설명하도록 한다.Next, a malicious traffic detection method according to the third embodiment of the present invention will be described with reference to FIG.
상기 제3 실시예에 따른 악성 트래픽 탐지 방법은 위조 트래픽에 기초하여 악성 트래픽을 탐지한다. 도 15를 참조하여, 상기 제3 실시예에 따른 악성 트래픽 탐지 방법의 각 단계를 구체적으로 살펴보면, 네트워크 상에서 대상 시스템에 대한 트래픽이 수집되면(S310), 악성 트래픽 탐지 장치(100)는 목적지 URL에 포함된 호스트 주소 및 IP 중 어느 하나의 요소를 기준으로 수집된 트래픽을 그룹핑한다(320).The malicious traffic detection method according to the third embodiment detects malicious traffic based on the forged traffic. Referring to FIG. 15, each step of the malicious traffic detection method according to the third embodiment will be described in detail. When the traffic for the target system is collected on the network (S310), the malicious traffic detection apparatus 100 (320) the collected traffic based on any one of the included host address and IP.
다음으로, 악성 트래픽 탐지 장치(100)는 목적지에 대한 URL 개수와 매칭되는 IP 개수의 비교 결과를 이용하여 위조 트래픽을 검출한다(S330). 또한, 악성 트래픽 탐지 장치(100)는 상기 검출된 위조 트래픽 중에서 접속 트래픽의 개수가 임계 값 이하인 호스트를 목적지로 하는 위조 트래픽을 악성 트래픽으로 판정한다(S340, S350).Next, the malicious
지금까지, 도 15를 참조하여 본 발명의 제3 실시예에 따른 악성 트래픽 탐지 방법에 대하여 설명하였다. 상기 제3 실시예에 대한 내용은 도 8을 참조하여 설명한 부분을 더 참조하도록 한다.The malicious traffic detection method according to the third embodiment of the present invention has been described with reference to FIG. The third embodiment will be described with reference to FIG.
지금까지, 도 10 내지 도 15를 참조하여 본 발명의 몇몇 실시예에 따른 악성 트래픽 탐지 방법에 대하여 설명하였다. 상술한 본 발명에 따르면, 사전에 정의된 악성 패턴 정보 없이 휴리스틱에 기반하여 악성 트래픽이 탐지되고, 상기 악성 트래픽을 유발한 악성 코드 또한 탐지될 수 있다. 따라서, 본 발명에 따르면, 신종 및/또는 변종 악성 코드가 탐지될 수 있으며, 이에 따라, 상기 신종 및/또는 변종 악성 코드에 의해 유발되는 경제적 피해가 예방될 수 있다.Up to now, a malicious traffic detection method according to some embodiments of the present invention has been described with reference to FIGS. 10 to 15. FIG. According to the present invention, malicious traffic is detected based on a heuristic without previously defined malicious pattern information, and malicious code causing the malicious traffic can also be detected. Thus, according to the present invention, new and / or variant malicious codes can be detected, thereby preventing economic damage caused by the new and / or variant malicious code.
또한, 주기성 트래픽, 다중 접속 트래픽 및/또는 위조 트래픽이 악성 의심 트래픽으로 검출되고, 상기 악성 의심 트래픽 중에서 정의된 소정의 기준을 만족하는 트래픽이 악성 트래픽으로 판정된다. 이에 따라, 악성 트래픽 탐지의 정확도가 향상될 수 있다.Also, periodic traffic, multiple access traffic and / or fake traffic are detected as malicious suspicious traffic, and traffic satisfying a predetermined criterion defined among the malicious suspicious traffic is determined as malicious traffic. Thus, the accuracy of malicious traffic detection can be improved.
지금까지 도 1 내지 도 15를 참조하여 설명된 본 발명의 개념은 컴퓨터가 읽을 수 있는 매체 상에 컴퓨터가 읽을 수 있는 코드로 구현될 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체는, 예를 들어 이동형 기록 매체(CD, DVD, 블루레이 디스크, USB 저장 장치, 이동식 하드 디스크)이거나, 고정식 기록 매체(ROM, RAM, 컴퓨터 구비 형 하드 디스크)일 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체에 기록된 상기 컴퓨터 프로그램은 인터넷 등의 네트워크를 통하여 다른 컴퓨팅 장치에 전송되어 상기 다른 컴퓨팅 장치에 설치될 수 있고, 이로써 상기 다른 컴퓨팅 장치에서 사용될 수 있다.The concepts of the present invention described above with reference to Figures 1-15 can be implemented in computer readable code on a computer readable medium. The computer readable recording medium may be, for example, a removable recording medium (CD, DVD, Blu-ray disk, USB storage device, removable hard disk) . The computer program recorded on the computer-readable recording medium may be transmitted to another computing device via a network such as the Internet and installed in the other computing device, thereby being used in the other computing device.
도면에서 동작들이 특정한 순서로 도시되어 있지만, 반드시 동작들이 도시된 특정한 순서로 또는 순차적 순서로 실행되어야만 하거나 또는 모든 도시 된 동작들이 실행되어야만 원하는 결과를 얻을 수 있는 것으로 이해되어서는 안 된다. 특정 상황에서는, 멀티태스킹 및 병렬 처리가 유리할 수도 있다. 더욱이, 위에 설명한 실시예들에서 다양한 구성들의 분리는 그러한 분리가 반드시 필요한 것으로 이해되어서는 안 되고, 설명된 프로그램 컴포넌트들 및 시스템들은 일반적으로 단일 소프트웨어 제품으로 함께 통합되거나 다수의 소프트웨어 제품으로 패키지 될 수 있음을 이해하여야 한다.Although the operations are shown in the specific order in the figures, it should be understood that the operations need not necessarily be performed in the particular order shown or in a sequential order, or that all of the illustrated operations must be performed to achieve the desired result. In certain situations, multitasking and parallel processing may be advantageous. Moreover, the separation of the various configurations in the above-described embodiments should not be understood as such a separation being necessary, and the described program components and systems may generally be integrated together into a single software product or packaged into multiple software products .
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로 이해해야만 한다.While the present invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, I can understand that. It is therefore to be understood that the above-described embodiments are illustrative in all aspects and not restrictive.
Claims (20)
상기 수집된 트래픽 중에서, 악성 트래픽을 탐지하는 제1 악성 트래픽 탐지부를 포함하되,
상기 제1 악성 트래픽 탐지부는,
상기 수집된 트래픽 중에서, 시간대별로 지속적으로 나타나는 트래픽을 가리키는 주기성 트래픽을 검출하는 주기성 트래픽 검출부 및
트래픽 발생횟수의 시간대별 분포에 기초하여, 상기 검출된 주기성 트래픽이 악성 트래픽인지 여부를 판정하는 제1 악성 트래픽 판정부를 포함하는 것을 특징으로 하는,
악성 트래픽 탐지 장치.A traffic collecting unit for collecting traffic for a target system on a network;
And a first malicious traffic detection unit for detecting malicious traffic among the collected traffic,
Wherein the first malicious traffic detection unit comprises:
A periodic traffic detector for detecting periodic traffic indicating traffic continuously appearing in each time period among the collected traffic;
And a first malicious traffic determiner for determining whether the detected periodic traffic is malicious traffic based on the distribution of the number of traffic occurrences by time slot.
Malicious traffic detection device.
상기 수집된 트래픽은,
상기 대상 시스템에서 외부의 호스트로 전송되는 아웃바운드(outbound) 트래픽인 것을 특징으로 하는,
악성 트래픽 탐지 장치.The method according to claim 1,
The collected traffic,
Wherein the target system is an outbound traffic transmitted from the target system to an external host.
Malicious traffic detection device.
상기 제1 악성 트래픽 탐지부는,
상기 수집된 트래픽 중에서, 리퍼러 필드(referer field) 값이 존재하지 않는 트래픽을 추출하는 트래픽 추출부를 더 포함하되,
상기 주기성 트래픽 검출부는,
상기 추출된 트래픽 중에서 상기 주기성 트래픽을 검출하는 것을 특징으로 하는,
악성 트래픽 탐지 장치.The method according to claim 1,
Wherein the first malicious traffic detection unit comprises:
And a traffic extracting unit for extracting traffic that does not have a referer field value among the collected traffic,
Wherein the periodic traffic detection unit comprises:
And detects the periodic traffic among the extracted traffic.
Malicious traffic detection device.
상기 제1 악성 트래픽 탐지부는,
상기 수집된 트래픽을 시간대별로 그룹핑하는 트래픽 그룹핑부 및
상기 그룹핑된 트래픽 중에서, 목적지의 URL(uniform resource locator)에 포함된 호스트 주소 및 파일 경로가 일치하는 트래픽을 추출하는 트래픽 추출부를 더 포함하되,
상기 주기성 트래픽 검출부는,
상기 추출된 트래픽 중에서, 상기 주기성 트래픽을 검출하는 것을 특징으로 하는,
악성 트래픽 탐지 장치.The method according to claim 1,
Wherein the first malicious traffic detection unit comprises:
A traffic grouping unit for grouping the collected traffic by time zone,
Further comprising a traffic extracting unit for extracting, among the grouped traffic, traffic having a matching host address and file path included in a uniform resource locator (URL) of a destination,
Wherein the periodic traffic detection unit comprises:
And the periodic traffic is detected from among the extracted traffic.
Malicious traffic detection device.
상기 제1 악성 트래픽 판정부는,
시간대별 트래픽 발생횟수에 대한 표준편차 또는 분산이 기 설정된 임계 값 이하인 경우, 상기 검출된 주기성 트래픽을 악성 트래픽으로 판정하는 것을 특징으로 하는,
악성 트래픽 탐지 장치.The method according to claim 1,
Wherein the first malicious traffic judging unit comprises:
And judges that the detected periodic traffic is malicious traffic when the standard deviation or variance with respect to the number of times of occurrence of traffic by time slot is equal to or less than a predetermined threshold value.
Malicious traffic detection device.
상기 수집된 트래픽 중에서, 복수의 외부 호스트로 접속을 요청하는 트래픽을 가리키는 다중 접속 트래픽을 검출하고, 상기 검출된 다중 접속 트래픽을 기초로 악성 트래픽을 탐지하는 제2 악성 트래픽 탐지부를 더 포함하는 것을 특징으로 하는,
악성 트래픽 탐지 장치.The method according to claim 1,
And a second malicious traffic detection unit for detecting multiple access traffic indicating traffic requesting connection to a plurality of external hosts from the collected traffic and detecting malicious traffic based on the detected multiple access traffic As a result,
Malicious traffic detection device.
상기 수집된 트래픽은 외부 호스트로 접속을 요청하는 요청 트래픽 및 상기 요청에 따른 응답 트래픽을 포함하고,
상기 제2 악성 트래픽 탐지부는,
상기 요청 트래픽 중에서, 대응되는 응답 트래픽에 포함된 데이터의 크기가 제1 임계 값 이상이거나, 상기 데이터의 크기가 제2 임계 값 이하인 요청 트래픽을 추출하는 트래픽 추출부를 포함하되,
상기 제2 임계 값은 상기 제1 임계 값보다 큰 값이고,
상기 검출된 다중 접속 트래픽은,
상기 추출된 요청 트래픽 중에서 검출된 것을 특징으로 하는,
악성 트래픽 탐지 장치.The method according to claim 6,
Wherein the collected traffic includes request traffic for requesting connection to an external host and response traffic according to the request,
Wherein the second malicious traffic detection unit comprises:
And a traffic extracting unit for extracting a request traffic having a size of the data included in the response traffic corresponding to the request traffic or a size of the data included in the response traffic is equal to or larger than a first threshold value,
Wherein the second threshold value is greater than the first threshold value,
The detected multiple access traffic may include:
Wherein the request traffic is detected from the extracted request traffic.
Malicious traffic detection device.
상기 제2 악성 트래픽 탐지부는,
URL에 포함된 파일 경로를 기준으로, 상기 수집된 트래픽을 그룹핑하여 적어도 하나의 트래픽 그룹을 형성하는 트래픽 그룹핑부 및
상기 적어도 하나의 트래픽 그룹 중에서, 서로 다른 호스트 주소가 포함된 목적지 URL이 나타나는 트래픽 그룹을 다중 접속 트래픽으로 검출하는 다중 접속 트래픽 검출부를 포함하는 것을 특징으로 하는,
악성 트래픽 탐지 장치.The method according to claim 6,
Wherein the second malicious traffic detection unit comprises:
A traffic grouping unit for grouping the collected traffic based on a file path included in the URL to form at least one traffic group,
And a multiple access traffic detector for detecting a traffic group in which at least one traffic group includes destination addresses including different host addresses as multiple access traffic.
Malicious traffic detection device.
상기 검출된 다중 접속 트래픽은 복수의 호스트에 대한 요청 트래픽을 포함하고,
상기 제2 악성 트래픽 탐지부는,
상기 요청 트래픽에 대응되는 응답 트래픽에 포함된 데이터의 크기의 편차 정도에 기초하여, 상기 검출된 다중 접속 트래픽이 악성 트래픽인지 여부를 판정하는 제2 악성 트래픽 판정부를 포함하는 것을 특징으로 하는,
악성 트래픽 탐지 장치.The method according to claim 6,
Wherein the detected multiple access traffic includes request traffic for a plurality of hosts,
Wherein the second malicious traffic detection unit comprises:
And a second malicious traffic determiner for determining whether the detected multiple-access traffic is malicious traffic based on a degree of deviation of the size of data included in the response traffic corresponding to the request traffic.
Malicious traffic detection device.
상기 제2 악성 트래픽 판정부는,
상기 데이터의 크기에 대한 표준 편차 또는 분산이 기 설정된 임계 값 이하인 경우, 상기 검출된 다중 접속 트래픽을 악성 트래픽으로 판정하는 제2 악성 트래픽 판정부를 포함하는 것을 특징으로 하는,
악성 트래픽 탐지 장치.10. The method of claim 9,
The second malicious traffic judging section judges,
And a second malicious traffic determiner for determining that the detected multiple access traffic is malicious traffic when the standard deviation or variance of the size of the data is less than or equal to a preset threshold value.
Malicious traffic detection device.
상기 수집된 트래픽 중에서, 목적지에 대한 URL 개수와 매칭되는 IP 개수의 비교 결과를 이용하여 상기 목적지에 대한 URL과 IP가 불일치하는 트래픽을 가리키는 위조 트래픽을 검출하고, 상기 검출된 위조 트래픽을 기초로 악성 트래픽을 탐지하는 제2 악성 트래픽 탐지부를 더 포함하는 것을 특징으로 하는,
악성 트래픽 탐지 장치.The method according to claim 1,
Detecting, from among the collected traffic, a fake traffic indicating a traffic in which IP is inconsistent with a URL of the destination using a comparison result of the number of IPs matched with the number of URLs of the destination; Further comprising a second malicious traffic detection unit for detecting traffic,
Malicious traffic detection device.
상기 제2 악성 트래픽 탐지부는,
목적지 URL에 포함된 호스트 주소 및 IP 중 어느 하나의 요소를 기준으로, 상기 수집된 트래픽을 그룹핑하여 적어도 하나의 트래픽 그룹을 형성하는 트래픽 그룹핑부 및
상기 적어도 하나의 트래픽 그룹 중에서, 호스트 주소의 개수와 매칭되는 IP의 개수가 불일치하는 트래픽 그룹을 위조 트래픽으로 검출하는 위조 트래픽 검출부를 포함하는 것을 특징으로 하는,
악성 트래픽 탐지 장치.12. The method of claim 11,
Wherein the second malicious traffic detection unit comprises:
A traffic grouping unit for grouping the collected traffic based on any one of a host address and an IP included in a destination URL to form at least one traffic group,
And a forged traffic detector for detecting a traffic group in which the number of IP addresses matched with the number of host addresses is mismatched among the at least one traffic group as fake traffic.
Malicious traffic detection device.
상기 트래픽 그룹핑부는,
상기 호스트 주소를 기준으로 상기 수집된 트래픽을 그룹핑하여 적어도 하나의 제1 트래픽 그룹을 형성하고, 상기 IP를 기준으로 상기 수집된 트래픽을 그룹핑하여 적어도 하나의 제2 트래픽 그룹을 형성하며,
상기 위조 트래픽 검출부는,
상기 적어도 하나의 제1 트래픽 그룹 중에서, 복수의 IP가 나타나는 트래픽 그룹을 제1 위조 의심 트래픽으로 검출하고, 상기 적어도 하나의 제2 트래픽 그룹 중에서, 복수의 호스트 주소가 나타나는 트래픽 그룹을 제2 위조 의심 트래픽으로 검출하며, 상기 제1 위조 의심 트래픽과 상기 제2 위조 의심 트래픽에 동시에 포함되는 트래픽을 위조 트래픽으로 검출하는 것을 특징으로 하는,
악성 트래픽 탐지 장치.13. The method of claim 12,
The traffic-
Grouping the collected traffic based on the host address to form at least one first traffic group, forming at least one second traffic group by grouping the collected traffic based on the IP,
Wherein the forged traffic detection unit comprises:
Detecting, from among the at least one first traffic group, a traffic group in which a plurality of IPs appear, as a first forged traffic suspicious traffic, and for detecting a traffic group in which a plurality of host addresses appear among the at least one second traffic group, Traffic is detected as traffic, and traffic included in both the first forgery suspect traffic and the second forgery suspect traffic is detected as fake traffic.
Malicious traffic detection device.
상기 제2 악성 트래픽 탐지부는,
상기 검출된 위조 트래픽 중에서, 접속 트래픽의 개수가 기 설정된 임계 값 이하인 외부 호스트를 목적지로 하는 위조 트래픽을 악성 트래픽으로 판정하는 제2 악성 트래픽 판정부를 포함하는 것을 특징으로 하는,
악성 트래픽 탐지 장치.12. The method of claim 11,
Wherein the second malicious traffic detection unit comprises:
And a second malicious traffic judging unit for judging, as malicious traffic, falsified traffic destined for an external host whose number of access traffic is less than or equal to a predetermined threshold value, among the detected falsified traffic.
Malicious traffic detection device.
상기 수집된 트래픽 중에서, 악성 트래픽을 탐지하는 제1 악성 트래픽 탐지부를 포함하되,
상기 제1 악성 트래픽 탐지부는,
상기 수집된 트래픽 중에서, 복수의 외부 호스트로 접속을 요청하는 요청 트래픽을 가리키는 다중 접속 트래픽을 검출하는 다중 접속 트래픽 검출부 및
상기 복수의 요청 트래픽에 대응되는 응답 트래픽에 포함된 데이터의 크기의 편차 정도에 기초하여, 상기 검출된 다중 접속 트래픽이 악성 트래픽인지 여부를 판정하는 악성 트래픽 판정부를 포함하는 것을 특징으로 하는,
악성 트래픽 탐지 장치.A traffic collecting unit for collecting traffic for a target system on a network;
And a first malicious traffic detection unit for detecting malicious traffic among the collected traffic,
Wherein the first malicious traffic detection unit comprises:
A multiple access traffic detector for detecting a multiple access traffic pointing to a request traffic requesting connection to a plurality of external hosts from among the collected traffic;
And a malicious traffic determiner for determining whether the detected multiple access traffic is malicious traffic based on a degree of deviation of data size included in response traffic corresponding to the plurality of request traffic.
Malicious traffic detection device.
상기 제1 악성 트래픽 탐지부는,
URL에 포함된 파일 경로를 기준으로, 상기 수집된 트래픽을 그룹핑하여 적어도 하나의 트래픽 그룹을 형성하는 트래픽 그룹핑부를 더 포함하되,
상기 다중 접속 트래픽 검출부는,
상기 적어도 하나의 트래픽 그룹 중에서, 서로 다른 호스트 주소가 포함된 목적지 URL이 나타나는 트래픽 그룹을 다중 접속 트래픽으로 검출하는 것을 특징으로 하는,
악성 트래픽 탐지 장치.16. The method of claim 15,
Wherein the first malicious traffic detection unit comprises:
Further comprising a traffic grouping unit for grouping the collected traffic based on a file path included in the URL to form at least one traffic group,
Wherein the multiple access traffic detection unit comprises:
And detects a traffic group in which a destination URL including a different host address appears among the at least one traffic group as multiple access traffic.
Malicious traffic detection device.
상기 수집된 트래픽은 외부 호스트로 접속을 요청하는 요청 트래픽 및 상기 요청에 따른 응답 트래픽을 포함하고,
상기 제1 악성 트래픽 탐지부는,
상기 요청 트래픽 중에서, 대응되는 응답 트래픽에 포함된 데이터의 크기가 제1 임계 값 이상이거나, 상기 데이터의 크기가 제2 임계 값 이하인 요청 트래픽을 추출하는 트래픽 추출부를 더 포함하되,
상기 제2 임계 값은 상기 제1 임계 값보다 큰 값이고,
상기 다중 접속 트래픽 검출부는,
상기 추출된 요청 트래픽 중에서, 상기 다중 접속 트래픽을 검출하는 것을 특징으로 하는,
악성 트래픽 탐지 장치.16. The method of claim 15,
Wherein the collected traffic includes request traffic for requesting connection to an external host and response traffic according to the request,
Wherein the first malicious traffic detection unit comprises:
Further comprising a traffic extracting unit for extracting request traffic having a size of the data included in the corresponding response traffic from the request traffic being greater than or equal to a first threshold value or a size of the data being less than or equal to a second threshold value,
Wherein the second threshold value is greater than the first threshold value,
Wherein the multiple access traffic detection unit comprises:
And detects the multiple access traffic from among the extracted request traffic.
Malicious traffic detection device.
상기 악성 트래픽 판정부는,
상기 대응되는 응답 트래픽에 포함된 데이터의 크기에 대한 표준 편차 또는 분산이 기 설정된 임계 값 이하인 경우, 상기 검출된 다중 접속 트래픽을 악성 트래픽으로 판정하는 것을 특징으로 하는,
악성 트래픽 탐지 장치.16. The method of claim 15,
The malicious traffic judging unit judges,
And determines that the detected multiple access traffic is malicious traffic when the standard deviation or variance of the size of data included in the corresponding response traffic is less than or equal to a preset threshold value.
Malicious traffic detection device.
상기 수집된 트래픽 중에서, 시간대별로 지속적으로 나타나는 트래픽을 가리키는 주기성 트래픽을 검출하고, 트래픽 발생횟수의 시간대별 분포에 기초하여 상기 검출된 주기성 트래픽 중에서 악성 트래픽을 탐지하는 제2 악성 트래픽 탐지부를 더 포함하는 것을 특징으로 하는,
악성 트래픽 탐지 장치.16. The method of claim 15,
And a second malicious traffic detection unit for detecting periodic traffic indicating traffic continuously appearing in the time period among the collected traffic and detecting malicious traffic among the detected periodic traffic based on distribution of the number of times of traffic generation by time period ≪ / RTI >
Malicious traffic detection device.
상기 수집된 트래픽 중에서, 목적지에 대한 URL 개수와 매칭되는 IP 개수의 비교 결과를 이용하여 상기 목적지에 대한 URL과 IP가 불일치하는 트래픽을 가리키는 위조 트래픽을 검출하고, 상기 목적지에 대한 접속 트래픽의 개수에 기초하여 상기 검출된 위조 트래픽 중에서 악성 트래픽으로 탐지하는 제2 악성 트래픽 탐지부를 더 포함하는 것을 특징으로 하는,
악성 트래픽 탐지 장치.16. The method of claim 15,
Detecting fake traffic indicating a traffic having an IP mismatch between a URL for the destination and a number of IPs matched with the number of URLs for the destination among the collected traffic; And a second malicious traffic detection unit for detecting malicious traffic among the detected fake traffic based on the detected malicious traffic.
Malicious traffic detection device.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170092725A KR102347525B1 (en) | 2017-07-21 | 2017-07-21 | Method for detecting malicious traffic and Apparatus thereof |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170092725A KR102347525B1 (en) | 2017-07-21 | 2017-07-21 | Method for detecting malicious traffic and Apparatus thereof |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20190010225A true KR20190010225A (en) | 2019-01-30 |
| KR102347525B1 KR102347525B1 (en) | 2022-01-04 |
Family
ID=65276861
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020170092725A KR102347525B1 (en) | 2017-07-21 | 2017-07-21 | Method for detecting malicious traffic and Apparatus thereof |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102347525B1 (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102180105B1 (en) * | 2020-08-13 | 2020-11-17 | 최원천 | Method and apparatus for determining malicious software for software installed on device |
| KR102325629B1 (en) * | 2020-09-18 | 2021-11-11 | 국민대학교산학협력단 | Anomaly detecting method and anomaly detecting apparatus |
| CN116915474A (en) * | 2023-07-26 | 2023-10-20 | 安徽中杰信息科技有限公司 | Https protocol analysis system and method based on flow analysis |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20110035336A (en) | 2009-09-30 | 2011-04-06 | 주식회사 케이티 | Method for detecting traffic anomaly and network management system using the same |
| KR20120072992A (en) * | 2010-12-24 | 2012-07-04 | 한국인터넷진흥원 | System and method for botnet detection using traffic analysis of non-ideal domain name system |
| KR101446280B1 (en) * | 2013-03-26 | 2014-10-01 | 건국대학교 산학협력단 | System for detecting and blocking metamorphic malware using the Intermediate driver |
| KR101621019B1 (en) * | 2015-01-28 | 2016-05-13 | 한국인터넷진흥원 | Method for detecting attack suspected anomal event |
| KR20170045699A (en) * | 2015-10-19 | 2017-04-27 | 한국과학기술정보연구원 | Automated verification method of security event and automated verification apparatus of security event |
-
2017
- 2017-07-21 KR KR1020170092725A patent/KR102347525B1/en active IP Right Grant
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20110035336A (en) | 2009-09-30 | 2011-04-06 | 주식회사 케이티 | Method for detecting traffic anomaly and network management system using the same |
| KR20120072992A (en) * | 2010-12-24 | 2012-07-04 | 한국인터넷진흥원 | System and method for botnet detection using traffic analysis of non-ideal domain name system |
| KR101446280B1 (en) * | 2013-03-26 | 2014-10-01 | 건국대학교 산학협력단 | System for detecting and blocking metamorphic malware using the Intermediate driver |
| KR101621019B1 (en) * | 2015-01-28 | 2016-05-13 | 한국인터넷진흥원 | Method for detecting attack suspected anomal event |
| KR20170045699A (en) * | 2015-10-19 | 2017-04-27 | 한국과학기술정보연구원 | Automated verification method of security event and automated verification apparatus of security event |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102180105B1 (en) * | 2020-08-13 | 2020-11-17 | 최원천 | Method and apparatus for determining malicious software for software installed on device |
| KR102325629B1 (en) * | 2020-09-18 | 2021-11-11 | 국민대학교산학협력단 | Anomaly detecting method and anomaly detecting apparatus |
| CN116915474A (en) * | 2023-07-26 | 2023-10-20 | 安徽中杰信息科技有限公司 | Https protocol analysis system and method based on flow analysis |
| CN116915474B (en) * | 2023-07-26 | 2024-01-26 | 安徽中杰信息科技有限公司 | Https protocol analysis system and method based on flow analysis |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102347525B1 (en) | 2022-01-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11068588B2 (en) | Detecting irregularities on a device | |
| US10348771B2 (en) | Learned behavior based security | |
| US8024804B2 (en) | Correlation engine for detecting network attacks and detection method | |
| US8572740B2 (en) | Method and system for detection of previously unknown malware | |
| US10860715B2 (en) | Method and apparatus for proactively identifying and mitigating malware attacks via hosted web assets | |
| US8683585B1 (en) | Using file reputations to identify malicious file sources in real time | |
| US8621608B2 (en) | System, method, and computer program product for dynamically adjusting a level of security applied to a system | |
| US9147073B2 (en) | System and method for automatic generation of heuristic algorithms for malicious object identification | |
| US20170366563A1 (en) | Agentless ransomware detection and recovery | |
| US20070245418A1 (en) | Computer virus generation detection apparatus and method | |
| US9367687B1 (en) | Method for malware detection using deep inspection and data discovery agents | |
| US8955138B1 (en) | Systems and methods for reevaluating apparently benign behavior on computing devices | |
| CN108369541B (en) | System and method for threat risk scoring of security threats | |
| WO2016121348A1 (en) | Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored | |
| CN110868403B (en) | Method and equipment for identifying advanced persistent Attack (APT) | |
| KR20190010225A (en) | Method for detecting malicious traffic and Apparatus thereof | |
| EP3353983B1 (en) | Method and system with a passive web application firewall | |
| JP2016033690A (en) | Illegal intrusion detection device, illegal intrusion detection method, illegal intrusion detection program, and recording medium | |
| US10425432B1 (en) | Methods and apparatus for detecting suspicious network activity | |
| WO2023151238A1 (en) | Ransomware detection method and related system | |
| Chiba et al. | Botprofiler: Profiling variability of substrings in http requests to detect malware-infected hosts | |
| JP2016525750A (en) | Identifying misuse of legal objects | |
| KR100961870B1 (en) | Web security system and method by examination in each network layer | |
| KR100632204B1 (en) | Attack detection device on network and method | |
| US11934515B2 (en) | Malware deterrence using computer environment indicators |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |