KR20190020526A - 라이브 포렌식 기반 공격 탐지 장치 및 방법 - Google Patents
라이브 포렌식 기반 공격 탐지 장치 및 방법 Download PDFInfo
- Publication number
- KR20190020526A KR20190020526A KR1020170105587A KR20170105587A KR20190020526A KR 20190020526 A KR20190020526 A KR 20190020526A KR 1020170105587 A KR1020170105587 A KR 1020170105587A KR 20170105587 A KR20170105587 A KR 20170105587A KR 20190020526 A KR20190020526 A KR 20190020526A
- Authority
- KR
- South Korea
- Prior art keywords
- attack
- comparison object
- object file
- file
- information
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명의 실시예에 따르면, 네트워크로 연결되는 시스템을 대상으로 해킹 등의 사이버 공격이 행해진 경우 라이브 포렌식 기법과 공격 트리를 융합하여 해당 사이버 공격을 탐지하여 보다 정확한 공격 탐지가 가능하도록 한다. 또한, 탐지된 공격에 대해 공격 트리상에 공격 방법과 공격 수단을 표시하여 줌으로써 시스템 및 네트워크에 대한 공격 내용과 피해를 보다 정확하게 평가할 수 있고, 해킹 공격에 대한 시스템의 피해 복구가 보다 신속하게 이루어지도록 할 수 있다.
Description
본 발명은 사이버 공격에 대한 탐지 방법에 관한 것으로, 특히 라이브 포렌식(live Forensic) 기반 공격 탐지 장치 및 방법에 관한 것이다.
근래에 들어 정보통신 기술 및 유비쿼터스 기술의 발전은 국가 및 사회의 경쟁력 강화와 발전에 기반이 되고 있는 추세이다. 하지만 정보화 추진의 역기능으로 발생하는 다양한 보안문제는 국가 및 사회의 안정을 해치는 현실적인 위협으로 대두되고 있으며, 이러한 위협은 미래 유비쿼터스 사회로 발전함에 따라 더욱 심화될 것으로 예측되고 있다.
이와 같은 정보화 추진의 역기능으로 인한 보안문제로는 대표적으로 네트워크 및 시스템에 내재된 취약점을 이용하여 이루어지는 사이버 공격 즉, 해킹 공격을 들 수 있으며, 이러한, 해킹 공격은 단순한 개인 대 개인의 문제가 아니라 범국가적인 차원에서 주의해야할 문제가 되고 있다.
한편, 해킹 공격으로 인해 특정 시스템이 공격당하게 되면 해당 시스템에는 공격당한 곳의 정보가 어떻게든 수정되어 있으며, 수정 흔적, 즉, 해킹의 흔적 해당 시스템의 어딘가에는 존재하게 된다. 이에 따라, 해킹의 흔적을 찾아 사용자에게 통지하여 해킹 공격에 대한 보안을 강화할 수 있는 기술이 요구된다.
(특허문헌)
대한민국 등록특허번호 10-1214616호(등록일자 2012년 12월 14일)
따라서, 본 발명에서는 시스템에 구비된 휘발성 메모리들에 저장된 휘발성 정보를 기반으로 해킹 공격을 탐지하기 위한 기준이 되는 제1 비교 대상 파일을 생성하고, 사용자로부터 공격 탐지 요청이 있는 시점에 제1 비교 대상 파일과 확장자 다르고 파일명이 동일한 제2 비교 대상 파일을 생성하여 두 개의 파일내 데이터에 변형이 발생하였는지를 검사하여 해킹 공격의 발생 여부를 탐지하고, 탐지된 해킹 공격과 관련하여 공격 트리를 기반으로 공격 경로 및 공격 방법을 제공하는 라이브 포렌식 기반 공격 탐지 장치 및 방법을 제공하고자 한다.
상술한 본 발명의 실시예에 따른 라이브 포렌식 기반 공격 탐지 장치는 공격 탐지 대상 시스템에 구비되는 적어도 하나의 휘발성 메모리에 저장되는 있는 휘발성 정보를 수집하는 정보 수집부와, 상기 휘발성 정보를 기초로 기설정된 제1확장자를 가지는 제1 비교 대상 파일을 생성하고, 공격 탐지 요청이 수신된 경우 상기 요청이 수신된 시점 이후부터, 상기 휘발성 메모리로부터 수집된 휘발성 정보를 기초로 기설정된 제2확장자를 가지는 제2 비교 대상 파일을 생성하는 파일 생성부와, 상기 제1 비교 대상 파일과 상기 제2 비교 대상 파일에 포함된 데이터를 비교하여 상기 공격 탐지 대상 시스템에 대한 공격 여부를 탐지하는 공격 탐지부를 포함한다.
또한, 상기 공격 탐지부는, 상기 제1 비교 대상 파일과 상기 제2 비교 대상 파일 중 확장자만 다르고 파일 이름은 동일한 파일 이름을 가지는 제1 비교 대상 파일과 제2 비교 대상 파일 각각에 포함된 데이터를 비교하여 서로 일치하지 않는 경우 상기 공격 탐지 대상 시스템에 대한 공격이 발생한 것으로 판단하는 것을 특징으로 한다.
또한, 상기 제1 비교 대상 파일의 기초가 되는 상기 휘발성 정보는 상기 공격 탐지 요청이 수신되기 전에 수집된 것인 것을 특징으로 한다.
또한, 상기 제1 비교 대상 파일의 기초가 되는 상기 휘발성 정보는 상기 공격 탐지 시스템이 공격받기 전에 수집된 것인 것을 특징으로 한다.
또한, 상기 휘발성 정보를 기반으로 상기 공격 탐지 대상 시스템에 발생할 수 있는 사이버 공격에 대한 공격 방법 및 공격 수단에 관한 정보를 각각 부모 노드와 자식 노드로 형성하는 공격 트리를 생성하는 트리 생성부를 더 포함하며, 상기 공격 탐지부는, 상기 공격이 탐지된 경우 상기 공격과 관련된 공격 방법 및 공격 수단을 상기 공격 트리상에 표시시키는 것을 특징으로 한다.
또한, 상기 트리 생성부는, 상기 공격 트리 상의 상기 자식 노드에 대해서는 상기 공격 탐지 대상 시스템의 특성을 고려하여 상기 공격 수단이 가능한지 또는 불가능하지 여부에 대한 정보를 표시시키는 것을 특징으로 한다.
또한, 상기 공격 탐지부는, 상기 일치하지 않은 데이터를 기반으로 공격이 의심되는 부분, 공격 방법 또는 공격 수단에 대한 정보를 포함하는 공격 탐지 파일을 생성하는 것을 특징으로 한다.
또한, 상기 제1 비교 대상 파일과 상기 제2 비교 대상 파일은, 휘발성 메모리를 구별하는 식별자를 더 포함하는 것을 특징으로 한다.
또한, 상기 공격 탐지 요청을 입력받는 사용자 인터페이스 제공부를 더 포함하는 것을 특징으로 한다.
또한 본 발명은 라이브 포렌식 기반 공격 탐지 방법으로서, 공격 탐지 대상 시스템에 구비되는 적어도 하나의 휘발성 메모리에 저장되는 있는 휘발성 정보를 수집하는 단계와, 상기 휘발성 정보를 기초로 기설정된 제1확장자를 가지는 제1 비교 대상 파일을 생성하는 단계와, 공격 탐지 요청이 수신되는 경우 상기 요청이 수신된 시점 이후 상기 휘발성 메모리부터 수집된 휘발성 정보를 기초로 기설정된 제2확장자를 가지는 제2 비교 대상 파일을 생성하는 단계와, 상기 제1 비교 대상 파일과 상기 제2 비교 대상 파일에 포함된 데이터를 비교하여 상기 공겨 탐지 대상 시스템에 대한 공격 여부를 탐지하는 단계를 포함한다.
또한, 상기 탐지하는 단계는, 상기 제1 비교 대상 파일과 상기 제2 비교 대상 파일 중 확장자만 다르고 동일한 파일 이름을 가지는 제1 비교 대상 파일과 제2 비교 대상 파일 각각에 포함된 데이터가 서로 일치하는지 검사하는 단계와, 상기 데이터가 서로 일치하지 않는 경우 상기 공격이 발생하는 것으로 판단하는 단계를 포함하는 것을 특징으로 한다.
또한, 상기 수집하는 단계 이후, 상기 휘발성 정보를 기반으로 상기 공격 탐지 대상 시스템에 발생할 수 있는 사이버 공격에 대한 공격 방법 및 공격 수단에 관한 정보를 각각 부모 노드와 자식 노드로 형성하는 공격 트리로 생성하는 단계를 더 포함하며, 상기 탐지하는 단계 이후, 상기 공격이 탐지된 경우 상기 공격과 관련된 공격 방법 및 공격 수단을 상기 공격 트리상에 표시시키는 단계를 더 포함하는 것을 특징으로 한다.
또한, 상기 판단하는 단계 이후, 상기 일치하지 않은 데이터를 기반으로 상기 공격이 의심되는 부분, 공격 방법 또는 공격 수단에 대한 정보를 포함하는 공격 탐지 파일을 생성하는 단계를 더 포함하는 것을 특징으로 한다.
본 발명의 실시예에 따르면, 네트워크로 연결되는 시스템을 대상으로 해킹 등의 사이버 공격이 행해진 경우 라이브 포렌식 기법과 공격 트리를 융합하여 해당 사이버 공격을 탐지하여 보다 정확한 공격 탐지가 가능하다.
또한, 탐지된 공격에 대해 공격 트리상에 공격 방법과 공격 수단을 표시하여 줌으로써 시스템 및 네트워크에 대한 공격 내용과 피해를 보다 정확하게 평가할 수 있고, 해킹 공격에 대한 시스템의 피해 복구가 보다 신속하게 이루어지도록 할 수 있다.
도 1은 본 발명의 실시예에 따른 라이브 포렌식 기반의 시스템 정보 비교 분석 개념을 도시한 도면.
도 2는 본 발명의 실시예에 따른 라이브 포렌식 기반 공격 탐지 장치의 블록 구성도.
도 3은 본 발명의 실시예에 따른 공격 트리의 일예를 도시한 도면.
도 4는 본 발명의 실시예에 따른 라이브 포렌식 기반 공격 탐지 장치에서 시스템에 대한 해킹 공격을 탐지하는 동작 제어 흐름도.
도 5는 본 발명의 일실시예에 있어서, 트로이 목마(Trojan) 공격을 탐지하는 과정을 설명하기 위한 화면 예시도.
도 6은 본 발명의 일실시예에 있어서, ARP 스푸핑(spoofing) 공격을 탐지하는 과정을 설명하기 위한 화면 예시도.
도 2는 본 발명의 실시예에 따른 라이브 포렌식 기반 공격 탐지 장치의 블록 구성도.
도 3은 본 발명의 실시예에 따른 공격 트리의 일예를 도시한 도면.
도 4는 본 발명의 실시예에 따른 라이브 포렌식 기반 공격 탐지 장치에서 시스템에 대한 해킹 공격을 탐지하는 동작 제어 흐름도.
도 5는 본 발명의 일실시예에 있어서, 트로이 목마(Trojan) 공격을 탐지하는 과정을 설명하기 위한 화면 예시도.
도 6은 본 발명의 일실시예에 있어서, ARP 스푸핑(spoofing) 공격을 탐지하는 과정을 설명하기 위한 화면 예시도.
이하, 첨부된 도면을 참조하여 본 발명의 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 실시예에 따른 라이브 포렌식 기반의 시스템 정보 비교 분석 개념을 도시한 도면이다.
즉, 도 1은 공격이 발생하기 이전에 시스템이 안전한 상태에서 휘발성 메모리 등의 타겟 장치로부터 수집된 휘발성 정보와 시스템에 대한 공격이 발생하는 시점에 동일한 타겟 장치로부터 수집된 휘발성 정보를 비교 분석하는 개념을 도시한 것이다.
도 1을 참고하면, 본 발명의 실시예에 따른 해킹 공격을 탐지하기 위해 시스템 정보를 비교 분석하는 과정은 크게 두 단계, 즉, 정보를 수집하는 단계(Information Collet Phase)(100)와 정보를 비교하는 단계(Information Comparison Phase)(150)를 포함할 수 있다.
먼저, 정보를 수집하는 단계(Information Collet Phase)에서는 시스템이 공격되기 이전에 안전한 상태에서 휘발성 메모리(102)로부터 수집된 휘발성 정보들을 대상으로 제1 비교 대상 파일(SID file)(104)을 생성하는 동작이 수행되고, 사용자 인터페이스를 통해 사용자가 공격 탐지를 요청한 시점에 동일한 휘발성 메모리(102)로부터 수집된 휘발성 정보들을 대상으로 제2 비교 대상 파일(CSI file)(106)을 생성하는 동작이 수행될 수 있다.
제1 비교 대상 파일(104)을 생성하는 동작은 DFC(Dump File Collect) 작업(103)으로 표현될 수 있고, 사용자의 공격 탐지 요청에 의해 수집된 휘발성 정보에 기초하여 파일을 생성하는 동작은 CSC(Current State Collect) 작업(105)으로 표현될 수 있다. 즉, 정보를 수집하는 단계(Information Collet Phase)(100)에서는 DFC 작업(103) 및 CSC 작업(105)을 통해 휘발성 메모리(120)에 포함된 휘발성 정보 등과 같은 공격 탐지 대상 시스템의 상태를 나타내는 정보들이 획득될 수 있다. 이때, 이러한 공격 탐지 대상 시스템은 기업, 공공기관, 연구소 등에 구현된 다양한 데이터 시스템이 될 수 있다.
다음으로, 정보를 비교하는 단계(Information Comparison Phase)(150)에서는 정보 수집 단계(100)에서 획득된 휘발성 정보들을 비교하는 동작이 수행되고, 비교 동작은 CDC(Comparison DFC and CSC) 작업(152)으로 표현될 수 있다. 이때, CDC 작업이 완료(154)되는 경우, 공격이 의심되는 부분과 관련된 공격 방법, 공격 수단 등의 정보를 포함하는 공격 탐지 파일(156)이 생성될 수 있다.
도 2는 본 발명의 실시예에 따른 라이브 포렌식 기반 공격 탐지 장치의 상세 블록 구성을 도시한 것이다. 이러한 라이브 포렌식 기반 공격 탐지 장치(200)는 사용자 인터페이스 제공부(202), 표시부(204), 정보 수집부(206), 파일 생성부(208), 트리 생성부(210), 공격 탐지부(212) 등을 포함할 수 있다.
이하, 도 2를 참조하여 본 발명의 실시예에 따른 라이브 포렌식 기반 공격 탐지 장치(200)의 각 구성요소에서의 동작을 상세히 설명하기로 한다.
먼저, 사용자 인터페이스 제공부(202)는 공격 탐지 대상 시스템(250)에 대한 해킹 등의 공격 여부를 확인하기 위해 사용자가 공격 탐지 요청을 입력할 수 있도록 하는 사용자 인터페이스를 제공하며, 사용자는 사용자 인터페이스 제공부(202)에서 제공하는 사용자 인터페이스를 통해 공격 탐지 대상 시스템에 대한 공격 탐지 수행 등을 요청할 수 있다.
표시부(204)는 공격 탐지 장치(200)에서 공격 탐지를 수행함에 따라 발생하는 다양한 정보를 표시시키기 위한 표시장치로서 공격 탐지부(212)의 제어에 따라 공격 탐지 수행을 위한 도 5에서와 같은 다양한 화면을 표시시킬 수 있으며, 공격 탐지 결과를 표시시킬 수 있다.
정보 수집부(206)는 공격 탐지 대상 시스템내 구비되는 공격 탐지 대상이 되는 적어도 하나의 휘발성 메모리에 저장되어 있는 휘발성 정보를 실시간으로 수집한다. 이때, 정보 수집부(206)는 휘발성 메모리를 수집함에 있어서 예를 들어 라이브 포렌식 기술을 이용하여 휘발성 메모리에 저장되어 있는 휘발성 정보를 실시간으로 수집할 수 있다.
여기서, 휘발성 정보라 함은 휘발성 메모리에 저장된 정보 데이터를 의미할 수 있으며, 또한, 본 발명의 실시예에 따라 해킹 등의 사이버 공격 여부를 탐지하기 위해 수집되는 정보로서, 공격 탐지 대상 시스템의 상태를 나타내는 시스템 정보를 포함할 수 있다. 또한, 예를 들어, 휘발성 정보는 공격 탐지 대상 시스템에 전원이 공급된 이후부터 공격 탐지 대상 시스템의 전원이 차단되기 이전까지 다양한 종류의 휘발성 메모리들 각각에 저장된 정보 데이터를 나타낼 수 있다. 이때, 휘발성 메모리는 공격 탐지 대상 시스템에 구비되는 데이터 저장장치로서, 예를 들어 레지스터(register), 캐쉬(cache), RAM(random access memory) 등을 포함할 수 있으나 이에 한정되는 것은 아니다.
또한, 라이브 포렌식이란 문헌 "라이브 포렌식을 위한 윈도우즈 물리 메모리 분석 도구(정보보호학회 논문지, 21(2), 71-82.)"에서 개시된 기술을 의미할 수 있으며, 정보 수집부(206)는 위 문헌에 개시된 라이브 포렌식(Live Forensic) 기술에 기초하여 휘발성 메모리로부터 휘발성 정보를 수집할 수 있으나, 이에 한정되는 것은 아니다.
파일 생성부(208)는 정보 수집부(206)로부터 수집된 휘발성 정보를 대상으로 휘발성 메모리별로 구분하여 미리 정의된 제1확장자를 가지는 제1 비교 대상 파일을 생성할 수 있다. 또한, 사용자 인터페이스 제공부(202)를 통해 사용자로부터의 공격 탐지 요청이 있는 시점에 동일한 휘발성 메모리로부터 수집된 휘발성 정보들을 대상으로 미리 정의된 제2확장자를 가지는 제2 비교 대상 파일을 생성할 수 있다.
이때, 파일 생성부(208)는 제1확장자를 SID(System Information Dump)로 생성하고, 제2확장자를 CSI(Current System Information)로 생성할 수 있으며, 제1 비교 대상 파일과 제2 비교 대상 파일을 휘발성 메모리별로 생성하여 저장할 수 있으나 이에 한정되는 것은 아니다.
즉, 정보 수집부(206)는 적어도 하나의 휘발성 메모리에 저장된 휘발성 정보를 실시간으로 수집하고, 파일 생성부(208)는 수집된 휘발성 정보를 모아서 제1확장자를 예를 들어 SID로 하여 제1 비교 대상 파일을 생성할 수 있다. 아래의 [표 1]에서는 정보 수집부(206)에서 백업(backup)을 위해 수집된 휘발성 정보에 기초하여 파일 생성부에서 생성한 SID 파일의 예를 도시하였다.
위 [표 1]을 참조하면, HKCU_reg_run.sid는 HKEY_CURRENT_USER의 자동 실행되는 파일들을 저장시킨 파일을 나타내고, HKLM_reg_run.sid는 HKEY_LOCAL_MACHINE의 자동 실행되는 파일들을 저장시킨 파일을 나타내고, MAC_check_sid는 ARP 테이블을 저장시킨 파일을 나타낼 수 있다.
이처럼, 파일 생성부(208)는 제1확장자가 SID인 제1 비교 대상 파일을 생성하다가, 사용자 인터페이스 제공부(202)를 통해 공격 탐지 대상 시스템에 대한 사용자로부터의 공격 탐지 요청이 발생하면, 파일 생성부(208)는 공격 탐지 요청이 발생하기 이전에 수집된 정보와는 별도로 공격 탐지 요청이 발생한 시점부터 수집된 휘발성 정보를 모아서 제2확장자를 예를 들어 CSI로 하여 제2 비교 대상 파일을 생성할 수 있다. 아래의 [표 2]에서는 CSI 파일의 예를 도시하였다.
위 [표 2]를 참조하면, HKCU_reg_run.csi는 HKEY_CURRENT_USER의 자동 실행되는 파일들을 저장시킨 파일을 나타내고, HKLM_reg_run.csi는 HKEY_LOCAL_MACHINE의 자동 실행되는 파일들을 저장시킨 파일을 나타내고, MAC_check_csi는 ARP 테이블을 저장시킨 파일을 나타낼 수 있다.
이때, 위 [표 1]과 [표 2]에서 보여지는 바와 같이 파일 생성부(208)는 제1 비교 대상 파일과 제2 비교 대상 파일에 대해 확장자가 SID, CSI로 상이하더라도 수집된 휘발성 정보에 해당하는 기능 또는 속성 등에 따라 동일한 파일명을 갖도록 하여 식별이 용이하도록 한다.
또한, 제1 비교 대상 파일과 제2 비교 대상 파일은 휘발성 메모리 별로 구분되도록 할 수 있다. 예를 들어, 휘발성 메모리 1에서 수집된 정보를 대상으로, 제1 비교 대상 파일은 A.HKCU_reg_run.sid와 같은 파일명으로 생성될 수 있으며, 사용자 인터페이스를 통해 공격 탐지 요청이 수신된 시점부터 동일한 휘발성 메모리 1에서 수집된 정보를 대상으로, 제2 비교 대상 파일은 A.HKCU_reg_run.csi와 같은 파일명으로 생성될 수 있다. 이때, "A" 휘발성 메모리 1에서 수집된 정보임을 식별할 수 있도록 하는 식별자가 될 수 있다.
트리 생성부(210)는 정보 수집부(206)로부터 휘발성 메모리에 대한 정보 수집이 완료되는 경우 수집된 정보의 분석을 위해 공격 트리(attack tree)를 생성할 수 있다.
이때, 정보 수집부(206)로부터 수집되는 휘발성 정보에는 공격 방법, 공격 수단 등 공격과 관련된 데이터가 포함될 수 있으며, 트리 생성부(210)는 위와 같이 수집된 데이터에 기초하여 공격 트리를 생성할 수 있다. 또한, 트리 생성부(210)는 공격 트리를 생성함에 있어서, 위와 같은 데이터를 정규화(normalization)하여 리스트를 생성하고, 리스트에 기초하여 공격 트리를 생성할 수 있다.
도 3은 본 발명의 실시예에 따른 공격 트리의 일예를 도시한 것이다. 도 3을 참조하면, 트리 생성부(210)는 정규화된 리스트에 기초하여 공격자의 최종 공격 목표를 루트 노드(root node)(300)로 하고, 루트 노드(300)의 하위 노드들로 구성된 공격 트리(attack tree)를 생성할 수 있다. 이때, 하위 노드들은 부모 노드(302)와 자식 노드(304)로 구성되고, 부모 노드(302)는 공격 방법을 나타내고, 자식 노드(304)는 공격 방법을 수행하기 위한 공격 수단을 나타낼 수 있다. 또한, 이러한 자식 노드(304)는 공격 탐지 대상 타겟 시스템의 특성에 따라 공격 수단의 가능성을 판단하여 시스템의 특성상 가능한 공격 수단은 P(Possible)로 불가능한 공격 수단은 I(Impossible)로 표시될 수 있다. 이와 같이 트리 생성부(210)에 의해 공격 트리가 공격 방법, 공격 수단에 따라 계층 별로 형성됨에 따라, 공격 탐지부(212)는 공격이 탐지되면, 공격 트리에 기반하여 탐지된 공격에 해당하는 공격 방법, 공격 수단 등을 공격 트리 상에 표시시킴으로써 사용자가 시스템에 발생한 공격에 대해 공격 방법, 공격 수단 등을 쉽게 파악할 수 있도록 하고, 앞으로 발생할 공격 목표, 공격 수단 등을 미리 예측하도록 할 수 있도록 한다.
공격 탐지부(212)는 제1 확장자를 갖는 제1 비교 대상 파일들과 제2 확장자를 갖는 제2 비교 대상 파일들 중 동일한 파일명에 해당하는 파일을 대상으로, 파일에 포함된 데이터를 비교하여 시스템에 대한 공격 여부를 탐지할 수 있다.
즉, 제1 및 제2 확장자를 갖는 제1 비교 대상 파일들과 제2 비교 대상 파일들 각각은 예를 들어 텍스트(text)를 기반으로 생성될 수 있다. 이에 따라, 공격 탐지부(212)는 파일명이 동일한 제1 및 제2 확장자를 갖는 제1 비교 대상 파일과 제2 비교 대상 파일에 포함된 텍스트를 비교함으로써, 제2 확장자를 갖는 파일에 수정이 발생했는지 여부를 검사할 수 있다. 이때, 텍스트의 내용이 동일하지 않아 수정이 발생한 것으로 검사되면, 공격 탐지부(212)는 시스템에 대한 공격이 발생한 것으로 판단하고, 수정이 발생하지 않은 것으로 검사되면 공격이 발생하지 않은 것으로 판단할 수 있다.
또한, 공격 탐지부(212)는 공격이 발생한 것으로 검사된 경우 트리 생성부(210)에서 생성된 공격 트리에 기반하여 탐지된 공격에 해당하는 공격 방법, 공격 수단을 공격 트리상에 표시시킴으로써 사용자가 시스템에 발생한 공격에 대해 공격 방법, 공격 수단 등을 쉽게 파악할 수 있도록 하고, 앞으로 발생할 공격 목표, 공격 수단 등을 미리 예측하도록 할 수 있다. 이에 따라, 이러한 공격 트리상 표시를 통해 사용자가 미래에 발생할 공격 목표, 공격 방법, 공격 수단 등을 예측할 수 있어 공격에 효과적으로 대처할 수 있도록 한다.
또한, 공격 탐지부(212)는 공격이 발생한 것으로 검사된 경우 공격이 탐지된 파일에 대해 수정된 부분에 해당하는 텍스트를 포함하는 공격 탐지 파일을 생성할 수 있으며, 이러한 공격 탐지 파일을 레지스트리(registry)에 등록할 수 있다.
도 4는 본 발명의 실시예에 따른 라이브 포렌식 기반 공격 탐지 장치에서 시스템에 대한 해킹 공격을 탐지하는 동작 제어 흐름을 도시한 것이다. 이하, 도 1 내지 도 4를 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.
먼저, 공격 탐지 장치(200)는 공격 탐지 대상 시스템에 구비되는 적어도 하나의 휘발성 메모리에 저장된 휘발성 정보를 실시간으로 수집한다(S400). 이때, 공격 탐지 장치(200)는 휘발성 메모리를 수집함에 있어서 예를 들어 라이브 포렌식 기술을 이용하여 휘발성 메모리에 저장되어 있는 휘발성 정보를 실시간으로 수집할 수 있다.
여기서, 휘발성 정보라 함은 휘발성 메모리에 저장된 정보 데이터를 의미할 수 있으며, 또한, 본 발명의 실시예에 따라 사이버 해킹 공격여부를 탐지하기 위해 수집되는 정보로서, 시스템의 상태를 나타내는 시스템 정보를 포함할 수 있다. 또한, 예를 들어, 휘발성 정보는 시스템에 전원이 공급된 이후부터 시스템의 전원이 차단되기 이전까지 다양한 종류의 휘발성 메모리들 각각에 저장된 정보 데이터를 나타낼 수 있다. 이때, 휘발성 메모리는 시스템에 구비되는 데이터 저장장치로서, 레지스터, 캐쉬, RAM 등을 포함할 수 있으나 이에 한정되는 것은 아니다.
이어, 공격 탐지 장치(200)는 휘발성 메모리에 대한 정보 수집을 완료하는 경우 수집된 정보의 분석을 위해 공격 트리를 생성한다(S402). 이러한 휘발성 정보에는 공격 방법(공격 행동), 공격 수단 등 공격과 관련된 데이터가 포함될 수 있으며, 공격 탐지 장치(200)는 위와 같이 수집된 데이터에 기초하여 공격 트리를 생성할 수 있다.
이때, 공격 탐지 장치(200)는 도 3에서 보여지는 바와 같이, 공격자의 최종 공격 목표를 루트 노드(300)로 하고, 루트 노드의 하위 노드들로 구성된 공격 트리(attack tree)를 생성할 수 있다. 이때, 하위 노드들은 부모 노드(302)와 자식 노드(304)로 구성될 수 있고, 자식 노드(304)는 공격 탐지 대상 타겟 시스템의 특성에 따라 공격 수단의 가능성을 판단하여 가능한 공격 수단은 P로 불가능한 공격 수단은 I로 표시될 수 있다.
그리고, 공격 탐지 장치(200)는 수집된 휘발성 정보를 대상으로 휘발성 메모리별로 구분하여 미리 정의된 제1확장자를 가지는 제1 비교 대상 파일을 생성한다(S404). 이때, 공격 탐지 장치(200)는 제1확장자를 예를 들어 SID로 설정할 수 있다.
한편, 위와 같이 공격 탐지 장치(200)가 공격 탐지 대상 시스템내 휘발성 메모리에 저장된 휘발성 정보에 대한 백업 작업을 수행하는 동안, 사용자 인터페이스를 통해 사용자로부터 시스템에 대한 해킹 등과 같은 사이버 공격이 있는 지 여부를 요청하는 공격 탐지 요청이 발생할 수 있다.
위와 같이, 공격 탐지 요청이 발생한 경우(S406), 공격 탐지 장치(200)는 사용자로부터의 공격 탐지 요청이 있는 시점에 휘발성 메모리에 저장된 휘발성 정보를 수집하고(S408), 수집된 휘발성 정보들을 대상으로 미리 정의된 제2확장자를 가지는 제2 비교 대상 파일을 생성한다(S410).
이때, 공격 탐지 장치(200)는 제2확장자를 예를 들어 CSI로 설정할 수 있으며, 제2확장자를 가지는 제2 비교 대상 파일을 생성함에 있어서 휘발성 메모리별로 구분하여 생성할 수 있다.
즉, 공격 탐지 장치(200)는 적어도 하나의 휘발성 메모리에 저장된 휘발성 정보를 실시간으로 수집하고, 수집된 휘발성 정보를 모아서 제1확장자를 예를 들어 SID로 하여 제1 비교 대상 파일을 생성할 수 있다.
또한, 공격 탐지 장치(200)는 제1확장자가 SID인 제1 비교 대상 파일을 생성하다가, 시스템에 대한 해킹 공격 여부 확인을 위한 사용자로부터의 공격 탐지 요청이 발생하면, 공격 탐지 요청이 발생하기 이전에 수집된 정보와는 별도로 공격 탐지 요청이 발생한 시점부터 수집된 휘발성 정보를 모아서 제2확장자를 예를 들어 CSI로 하여 제2 비교 대상 파일을 생성할 수 있다.
이어, 공격 탐지 장치(200)는 제1 확장자를 갖는 제1 비교 대상 파일들과 제2 확장자를 갖는 제2 비교 대상 파일들 중 동일한 파일명에 해당하는 파일을 대상으로, 파일에 포함된 데이터를 비교하여 시스템에 대한 공격 여부를 탐지할 수 있다(S412).
이때, 제1 및 제2 확장자를 갖는 제1 비교 대상 파일들과 제2 비교 대상 파일들 각각은 예를 들어 텍스트(text)를 기반으로 생성될 수 있다. 이에 따라, 공격 탐지 장치(200)는 파일명이 동일한 제1 확장자 및 제2 확장자를 갖는 제1 비교 대상 파일과 제2 비교 대상 파일에 포함된 텍스트를 비교함으로써, 제2 확장자를 갖는 파일에 수정이 발생했는지 여부를 검사할 수 있다. 이때, 공격 탐지 장치(200)는 텍스트의 내용이 동일하지 않으면 시스템에 대한 공격이 발생한 것으로 판단하고, 동일하면 시스템에 대한 공격이 발생하지 않은 것으로 판단할 수 있다.
또한, 공격 탐지 장치(200)는 공격이 발생한 것으로 검사된 경우 공격 트리에 기반하여 탐지된 공격에 해당하는 공격 방법, 공격 수단을 공격 트리상에 표시시킨다(S414). 이에 따라, 사용자가 시스템에 발생한 공격에 대해 공격 방법, 공격 수단 등을 쉽게 파악할 수 있도록 하고, 앞으로 발생할 공격 목표, 공격 수단 등을 미리 예측하도록 할 수 있다. 또한, 사용자는 위와 같은 공격 트리상 표시를 통해 미래에 발생할 공격 목표, 공격 방법, 공격 수단 등을 예측할 수 있어 공격에 효과적으로 대처할 수 있게 된다.
도 5는 본 발명의 일실시예에 있어서, 트로이 목마(Trojan) 공격을 탐지하는 과정을 설명하기 위한 화면 예시도이다.
도 5를 참고하면, 공격 탐지 장치(200)는 공격 탐지를 수행하는 경우 미리 저장된 동작 프로그램에 따라 공격 탐지 동작을 위한 프로세스(process)를 구동하고, 프로세스 구동에 따른 공격 탐지를 위한 제1화면(510)을 표시부(204) 상에 표시하여 사용자가 사용자 인터페이스를 통해 원하는 메뉴를 선택하도록 할 수 있다.
이때, 위와 같은 제1화면(510)에는 예를 들어 current state save에 해당하는 메뉴(511), Trojan Check에 해당하는 메뉴(512), Backdoor Check에 해당하는 메뉴(513), ARP Spoofing Check에 해당하는 메뉴(514) 등이 포함될 수 있다.
이러한 메뉴들 중 초기에 current state save에 해당하는 메뉴(511)는 활성화되어 있으나, Trojan Check에 해당하는 메뉴(512), Backdoor Check에 해당하는 메뉴(513), ARP Spoofing Check에 해당하는 메뉴(514) 등은 current state save에 해당하는 메뉴(511)가 선택되기 전까지는 비활성화되어 선택 불가하도록 구현될 수 있다.
즉, current state save에 해당하는 메뉴(511)가 선택되어 CSI 파일이 생성됨에 따라 Trojan Check에 해당하는 메뉴(512), Backdoor Check에 해당하는 메뉴(513), ARP Spoofing Check에 해당하는 메뉴(514)가 활성화 상태로 속성이 변경되어 선택 가능하도록 구현될 수 있다.
이때, 위와 같은 제1화면(510)에서 current state save에 해당하는 메뉴(511)가 선택되면 공격 탐지 대상 시스템에 구비된 적어도 하나의 휘발성 메모리에 저장된 휘발성 정보들이 확장자가 CSI인 파일들로 각각 저장될 수 있다. 예컨대, HKCU_reg_run.csi, HKLM_reg_run.csi, MAC_check.csi, Task_List.csi 파일 등으로 저장될 수 있다.
그리고, current state save에 해당하는 메뉴(511)가 선택됨에 따라, Trojan check, Backdoor check, ARP spoofing check 각각에 해당하는 메뉴(512, 513, 514)가 활성화된다.
위와 같이 csi 파일이 생성되고 Trojan check, Backdoor check, ARP spoofing check 각각에 해당하는 메뉴(512, 513, 514)가 활성화되는 경우, 공격 탐지 장치(200)는 CSI 파일을 비교 분석하기 위한 시스템 환경이 만들어졌음을 사용자에게 알리기 위한 제2화면(520)을 표시부(204)상에 표시시킬 수 있다.
즉, 제1화면(510)에서 current state save에 해당하는 메뉴(511)가 선택됨에 따라, 제1화면(510)이 제2화면(520)으로 변경되고, Trojan check, Backdoor check, ARP spoofing check 각각에 해당하는 메뉴(512, 513, 514)가 비활성화 상태에서 활성화 상태로 변경될 수 있다. 이에 따라, 사용자는 제2화면(520)에서 원하는 메뉴를 선택하여 미리 지정된 다양한 공격 방법 별로 공격 탐지 대상 시스템이 공격 받았는지 여부를 확인해 볼 수 있다.
예를 들어, 제2화면(520)에서 Trojan check에 해당하는 메뉴(512)가 선택되면, 공격 탐지 장치(200)는 Trojan 공격을 탐지하는 프로세스를 구동하여 Trojan 공격 여부를 탐지한다. 이때 공격 탐지 장치(200)는 예를 들어 Trojan 감염 여부를 확인하기 위해(즉, 악성코드에 의한 공격을 탐지하기 위해) 미리 지정된 폴더(예컨대, E:\ForPeace\dump)에 저장된 SID 파일들 중 CSI 파일과 파일명이 동일한 SID 파일을 검색하여, 파일명이 동일한 SID 파일과 CSI 파일에 포함된 텍스트를 비교하는 것을 통해 Trojan 공격을 탐지한다. 즉, 공격 탐지 장치(200)는 예컨대, HKCU_reg_run.sid와 HKCU_reg_run.csi 파일 간 텍스트를 비교하고, HKLM_reg_run.csi와 HKLM_reg_run.sid 파일 간 텍스트를 비교하여 공격 여부를 탐지할 수 있다.
비교 결과, 서로 다른 부분이 없는 것으로 확인되면 공격 탐지 장치(200)는 제2화면(520)을 제3화면(530)으로 변경시켜 Trojan 공격이 탐지되지 않았음을 표시시킬 수 있다. 그러나, 비교결과 서로 다른 부분이 존재하는 것으로 확인되면 공격 탐지 장치(200)는 제2화면(520)을 제4화면(540)으로 변경시켜 Trojan 공격이 탐지되었음을 표시시킬 수 있다.
도 6은 본 발명의 일실시예에 있어서, ARP 스푸핑(spoofing) 공격을 탐지하는 과정을 설명하기 위한 화면 예시도이다.
도 6을 참고하면, 제1화면(510) 및 제2화면(520)의 동작은 도 5에서 설명한 것과 동일하므로 중복되는 설명은 생략하기로 한다.
제2화면(520)에서, ARP Spoofing Check에 해당하는 메뉴(514)가 선택됨에 따라, 공격 탐지 장치(300)는 ARP 테이블을 저장하여 중복된 IP가 존재하는지 여부를 확인할 수 있다. 이때, 공격 탐지 장치(200)는 예를 들어 특정 폴더(E:\ForPeace\Current_State) 내의 MAC_check.csi 파일 내에 동일한 MAC 주소가 존재하는지 여부를 확인함으로써, ARP 스푸핑(spoofing) 공격을 탐지할 수 있다.
위와 같은 탐지 과정에서 ARP 스푸핑 공격이 탐지되지 않은 경우, 공격 탐지 장치(200)는 제2화면(520)을 제5화면(630)으로 전환시켜 ARP 스푸핑 공격이 탐지되지 않았음을 표시시킬 수 있다. 그러나, ARP 스푸핑 공격이 탐지된 경우 공격 탐지 장치(200)는 제2화면(520)을 제6화면(640)으로 전환시켜 ARP 스푸핑 공격이 탐지되었음을 표시시킬 수 있다.
이와 같이, SID 파일들과 CSI 파일들을 생성하고, 생성된 SID파일들과 CSI 파일들을 대상으로 제1화면(510)에서 Trojan Check에 해당하는 메뉴(512), Backdoor Check에 해당하는 메뉴(513), ARP Spoofing Check에 해당하는 메뉴(514)를 선택하는 간단한 동작만으로 3가지 공격에 대한 탐지가 가능할 수 있다. 또한, Trojan Check에 해당하는 메뉴(512), Backdoor Check에 해당하는 메뉴(513), ARP Spoofing Check에 해당하는 메뉴(514)가 선택될 때 해당 공격으로 인해 수정된 파일의 내용 및 정보, 공격 방법, 공격 수단 등이 표시부(204) 상에 표시되어 사용자에게 제공될 수 있다. 이때, 다른 공격 방법에 대한 탐지를 추가하고자 하는 경우, 제1화면(510)에 해당하는 공격 탐지 메뉴가 하나 더 추가되도록 구현할 수 있으며, 이에 따라 새로운 공격에 대한 공격 여부 탐지 결과를 제공할 수 있다.
상술한 바와 같이, 본 발명의 실시예에 따르면, 네트워크로 연결되는 시스템을 대상으로 해킹 등의 사이버 공격이 행해진 경우 라이브 포렌식 기법과 공격 트리를 융합하여 해당 사이버 공격을 탐지하여 보다 정확한 공격 탐지가 가능하도록 한다. 또한, 탐지된 공격에 대해 공격 트리상에 공격 방법과 공격 수단을 표시하여 줌으로써 시스템 및 네트워크에 대한 공격 내용과 피해를 보다 정확하게 평가할 수 있고, 해킹 공격에 대한 시스템의 피해 복구가 보다 신속하게 이루어지도록 할 수 있다.
본 발명에 첨부된 각 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 흐름도의 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
한편 상술한 본 발명의 설명에서는 구체적인 실시예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.
202 : 사용자 인터페이스 제공부 204 : 표시부
206 : 정보 수집부 208 : 파일 생성부
210 : 트리 생성부 212 : 공격 탐지부
206 : 정보 수집부 208 : 파일 생성부
210 : 트리 생성부 212 : 공격 탐지부
Claims (13)
- 공격 탐지 대상 시스템에 구비되는 적어도 하나의 휘발성 메모리에 저장되는 있는 휘발성 정보를 수집하는 정보 수집부와,
상기 휘발성 정보를 기초로 기설정된 제1확장자를 가지는 제1 비교 대상 파일을 생성하고, 공격 탐지 요청이 수신된 경우 상기 요청이 수신된 시점 이후부터, 상기 휘발성 메모리로부터 수집된 휘발성 정보를 기초로 기설정된 제2확장자를 가지는 제2 비교 대상 파일을 생성하는 파일 생성부와,
상기 제1 비교 대상 파일과 상기 제2 비교 대상 파일에 포함된 데이터를 비교하여 상기 공격 탐지 대상 시스템에 대한 공격 여부를 탐지하는 공격 탐지부
를 포함하는 라이브 포렌식 기반 공격 탐지 장치. - 제 1 항에 있어서,
상기 공격 탐지부는,
상기 제1 비교 대상 파일과 상기 제2 비교 대상 파일 중 확장자만 다르고 파일 이름은 동일한 파일 이름을 가지는 제1 비교 대상 파일과 제2 비교 대상 파일 각각에 포함된 데이터를 비교하여 서로 일치하지 않는 경우 상기 공격 탐지 대상 시스템에 대한 공격이 발생한 것으로 판단하는 라이브 포렌식 기반 공격 탐지 장치. - 제 1 항에 있어서,
상기 제1 비교 대상 파일의 기초가 되는 상기 휘발성 정보는 상기 공격 탐지 요청이 수신되기 전에 수집된 것인 라이브 포렌식 기반 공격 탐지 장치. - 제 1 항에 있어서,
상기 제1 비교 대상 파일의 기초가 되는 상기 휘발성 정보는 상기 공격 탐지 시스템이 공격받기 전에 수집된 것인 라이브 포렌식 기반 공격 탐지 장치. - 제 2 항에 있어서,
상기 휘발성 정보를 기반으로 상기 공격 탐지 대상 시스템에 발생할 수 있는 사이버 공격에 대한 공격 방법 및 공격 수단에 관한 정보를 각각 부모 노드와 자식 노드로 형성하는 공격 트리를 생성하는 트리 생성부를 더 포함하며,
상기 공격 탐지부는, 상기 공격이 탐지된 경우 상기 공격과 관련된 공격 방법 및 공격 수단을 상기 공격 트리상에 표시시키는 라이브 포렌식 기반 공격 탐지 장치. - 제 5 항에 있어서,
상기 트리 생성부는, 상기 공격 트리 상의 상기 자식 노드에 대해서는 상기 공격 탐지 대상 시스템의 특성을 고려하여 상기 공격 수단이 가능한지 또는 불가능하지 여부에 대한 정보를 표시시키는 라이브 포렌식 기반 공격 탐지 장치. - 제 2 항에 있어서,
상기 공격 탐지부는,
상기 일치하지 않은 데이터를 기반으로 공격이 의심되는 부분, 공격 방법 또는 공격 수단에 대한 정보를 포함하는 공격 탐지 파일을 생성하는 라이브 포렌식 기반 공격 탐지 장치. - 제 1 항에 있어서,
상기 제1 비교 대상 파일과 상기 제2 비교 대상 파일은, 휘발성 메모리를 구별하는 식별자를 더 포함하는 라이브 포렌식 기반 공격 탐지 장치. - 제 1 항에 있어서,
상기 공격 탐지 요청을 입력받는 사용자 인터페이스 제공부를 더 포함하는 라이브 포렌식 기반 공격 탐지 장치. - 공격 탐지 대상 시스템에 구비되는 적어도 하나의 휘발성 메모리에 저장되는 있는 휘발성 정보를 수집하는 단계와,
상기 휘발성 정보를 기초로 기설정된 제1확장자를 가지는 제1 비교 대상 파일을 생성하는 단계와,
공격 탐지 요청이 수신되는 경우 상기 요청이 수신된 시점 이후 상기 휘발성 메모리부터 수집된 휘발성 정보를 기초로 기설정된 제2확장자를 가지는 제2 비교 대상 파일을 생성하는 단계와,
상기 제1 비교 대상 파일과 상기 제2 비교 대상 파일에 포함된 데이터를 비교하여 상기 공겨 탐지 대상 시스템에 대한 공격 여부를 탐지하는 단계
를 포함하는 라이브 포렌식 기반 공격 탐지 방법. - 제 10 항에 있어서,
상기 탐지하는 단계는,
상기 제1 비교 대상 파일과 상기 제2 비교 대상 파일 중 확장자만 다르고 동일한 파일 이름을 가지는 제1 비교 대상 파일과 제2 비교 대상 파일 각각에 포함된 데이터가 서로 일치하는지 검사하는 단계와,
상기 데이터가 서로 일치하지 않는 경우 상기 공격이 발생하는 것으로 판단하는 단계
를 포함하는 라이브 포렌식 기반 공격 탐지 방법. - 제 10 항에 있어서,
상기 수집하는 단계 이후,
상기 휘발성 정보를 기반으로 상기 공격 탐지 대상 시스템에 발생할 수 있는 사이버 공격에 대한 공격 방법 및 공격 수단에 관한 정보를 각각 부모 노드와 자식 노드로 형성하는 공격 트리로 생성하는 단계를 더 포함하며,
상기 탐지하는 단계 이후,
상기 공격이 탐지된 경우 상기 공격과 관련된 공격 방법 및 공격 수단을 상기 공격 트리상에 표시시키는 단계를 더 포함하는 라이브 포렌식 기반 공격 탐지 방법. - 제 11 항에 있어서,
상기 판단하는 단계 이후,
상기 일치하지 않은 데이터를 기반으로 상기 공격이 의심되는 부분, 공격 방법 또는 공격 수단에 대한 정보를 포함하는 공격 탐지 파일을 생성하는 단계를 더 포함하는 라이브 포렌식 기반 공격 탐지 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170105587A KR101997695B1 (ko) | 2017-08-21 | 2017-08-21 | 라이브 포렌식 기반 공격 탐지 장치 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170105587A KR101997695B1 (ko) | 2017-08-21 | 2017-08-21 | 라이브 포렌식 기반 공격 탐지 장치 및 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20190020526A true KR20190020526A (ko) | 2019-03-04 |
| KR101997695B1 KR101997695B1 (ko) | 2019-07-09 |
Family
ID=65759890
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020170105587A KR101997695B1 (ko) | 2017-08-21 | 2017-08-21 | 라이브 포렌식 기반 공격 탐지 장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101997695B1 (ko) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050038818A1 (en) * | 2003-08-11 | 2005-02-17 | Hooks David Eugene | Systems and methods for creation and use of an adaptive reference model |
| WO2015198600A1 (ja) * | 2014-06-26 | 2015-12-30 | 日本電気株式会社 | 解析装置、解析方法、および、解析プログラムが記録された記憶媒体 |
-
2017
- 2017-08-21 KR KR1020170105587A patent/KR101997695B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050038818A1 (en) * | 2003-08-11 | 2005-02-17 | Hooks David Eugene | Systems and methods for creation and use of an adaptive reference model |
| WO2015198600A1 (ja) * | 2014-06-26 | 2015-12-30 | 日本電気株式会社 | 解析装置、解析方法、および、解析プログラムが記録された記憶媒体 |
Non-Patent Citations (1)
| Title |
|---|
| 삭제 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101997695B1 (ko) | 2019-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI396995B (zh) | 惡意軟體清除方法、系統及電腦程式產品與儲存媒體 | |
| RU2726032C2 (ru) | Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga) | |
| CN103390130B (zh) | 基于云安全的恶意程序查杀的方法、装置和服务器 | |
| JP2014038596A (ja) | 悪意ある実行ファイルの識別方法 | |
| CN110837640B (zh) | 恶意文件的查杀方法、查杀设备、存储介质及装置 | |
| EP3488346B1 (en) | Anomaly detection using sequences of system calls | |
| CN110704836A (zh) | 实时无签名恶意软件检测 | |
| CN110826058B (zh) | 基于用户交互的恶意软件检测的设备、方法、介质 | |
| US20150019915A1 (en) | Systems and methods of analyzing a software component | |
| CN110399722B (zh) | 一种病毒家族生成方法、装置、服务器及存储介质 | |
| JP5832954B2 (ja) | タグ付与装置及びタグ付与方法 | |
| US9450980B2 (en) | Automatic malignant code collecting system | |
| US20150213272A1 (en) | Conjoint vulnerability identifiers | |
| KR20150124020A (ko) | 악성코드 식별 태그 설정 시스템 및 방법, 및 악성코드 식별 태그를 이용한 악성코드 검색 시스템 | |
| US10819745B2 (en) | URL abnormality positioning method and device, and server and storage medium | |
| CN110505246A (zh) | 客户端网络通讯检测方法、装置及存储介质 | |
| KR101997695B1 (ko) | 라이브 포렌식 기반 공격 탐지 장치 및 방법 | |
| EP2942728B1 (en) | Systems and methods of analyzing a software component | |
| CN116248397A (zh) | 漏洞检测方法、装置、电子设备及可读存储介质 | |
| KR101377704B1 (ko) | 통신 단말기의 해킹 방지 방법 및 해킹 방지 방법이 실행되는 통신 단말기 | |
| US11763004B1 (en) | System and method for bootkit detection | |
| CN115001724A (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
| CN112948831A (zh) | 应用程序风险识别的方法和装置 | |
| CN112346743A (zh) | 应用程序安装方法、装置、终端设备及可读存储介质 | |
| JP5435351B2 (ja) | 画面シーケンス確認装置、画面シーケンス確認方法および画面シーケンス確認プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |