KR20190027122A - 네트워크 공격 패턴 분석 및 방법 - Google Patents

네트워크 공격 패턴 분석 및 방법 Download PDF

Info

Publication number
KR20190027122A
KR20190027122A KR1020170113757A KR20170113757A KR20190027122A KR 20190027122 A KR20190027122 A KR 20190027122A KR 1020170113757 A KR1020170113757 A KR 1020170113757A KR 20170113757 A KR20170113757 A KR 20170113757A KR 20190027122 A KR20190027122 A KR 20190027122A
Authority
KR
South Korea
Prior art keywords
network
attack
set value
time
ratio
Prior art date
Application number
KR1020170113757A
Other languages
English (en)
Other versions
KR102040371B1 (ko
Inventor
신영성
송영호
강문환
백나은
신재환
장진수
신광식
김현태
장재우
Original Assignee
전북대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 전북대학교산학협력단 filed Critical 전북대학교산학협력단
Priority to KR1020170113757A priority Critical patent/KR102040371B1/ko
Publication of KR20190027122A publication Critical patent/KR20190027122A/ko
Application granted granted Critical
Publication of KR102040371B1 publication Critical patent/KR102040371B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Abstract

네트워크 공격 패턴 분석 장치 및 방법이 개시된다. 네트워크 공격 패턴 분석 방법은 침입 탐지 시스템을 통해, 설정된 주기 마다 네트워크 로그를 수집하는 단계와, 상기 네트워크 로그로부터 공격 탐지 요소를 추출하고, 상기 공격 탐지 요소를 이용하여, 네트워크 공격 패턴을 분석하는 단계와, 상기 분석 결과를 그래프 형태로 출력하는 단계를 포함할 수 있다.

Description

네트워크 공격 패턴 분석 및 방법{APPARATUS AND METHOD FOR ANALYZING NETWORK ATTACK PATTERN}
본 발명의 실시예들은 네트워크 로그를 실시간 모니터링하여, 네트워크 공격을 탐지하고, 네트워크 공격 패턴을 분석한 결과를 그래프 형태로 출력하는 네트워크 공격 패턴 분석 및 방법에 관한 것이다.
네트워크 로그를 수집 및 분석하여, 네트워크 공격을 탐지하고, 네트워크 트래픽 관리를 수행하기 위해 네트워크 침입 탐지 시스템(Network Intrusion Detection System)이 활용되고 있다.
그러나, 최근 스마트폰, 사물인터넷 등 IT 기기들의 발달로 네트워크 트래픽 양이 급격히 증가 함에 따라, 네트워크 로그의 양도 급격히 증가하여, 네트워크 침입 탐지 시스템은 방대한 양의 네트워크 로그를 처리하는데 많은 시간을 소요하게 되고, 이로 인해, 네트워크 로그를 실시간으로 처리하는 것이 어렵다.
따라서, 네트워크 침입 탐지 시스템은 네트워크 로그로부터 네트워크 공격을 빠르게 탐지하고, 네트워크 공격 패턴을 신속히 분석하는 것이 용이하지 않다.
또한, 네트워크 공격이 탐지되더라도, 네트워크 공격 상태를 시각화하여 제공하지 않음에 따라, 사용자가 네트워크 공격 상태를 파악하는 것이 쉽지 않다.
본 발명은 침입 탐지 시스템으로부터 기설정된 룰(rule)에 기초하여 공격이 탐지된, 네트워크 로그를 수집하고, 상기 수집된 네트워크 로그로부터 네트워크 공격 패턴을 분석 함으로써, 불필요한 데이터(예컨대, 공격을 받지 않은 네트워크 로그) 처리 과정을 생략하여, 네트워크 공격 패턴 분석을 위한 데이터 처리에 소요되는 시간을 감소시킴에 따라, 네트워크 로그에 대한 실시간 처리를 가능하게 하는 것을 목적으로 한다.
본 발명은 설정된 주기 마다 네트워크 로그를 수집하고, 상기 네트워크 로그로부터 추출되는 공격 탐지 요소를 통해, 네트워크 공격 패턴을 실시간 분석 함으로써, 네트워크 로그에 대한 네트워크 공격 패턴을 신속하게 판단할 수 있게 하는 것을 목적으로 한다.
또한, 본 발명은 네트워크 공격 패턴에 대한 분석 결과를, 그래프 형태로 출력 함으로써, 상기 분석 결과를 쉽게 파악할 수 있게 하는 것을 목적으로 한다.
상기의 목적을 이루기 위한, 네트워크 공격 패턴 분석 장치는 침입 탐지 시스템을 통해, 설정된 주기 마다 네트워크 로그를 수집하는 인터페이스부와, 상기 네트워크 로그로부터 공격 탐지 요소를 추출하고, 상기 공격 탐지 요소를 이용하여, 네트워크 공격 패턴을 분석하는 프로세서와, 상기 분석 결과를 그래프 형태로 출력하는 디스플레이부를 포함할 수 있다.
상기의 목적을 이루기 위한, 네트워크 공격 패턴 분석 방법은 침입 탐지 시스템을 통해, 설정된 주기 마다 네트워크 로그를 수집하는 단계와, 상기 네트워크 로그로부터 공격 탐지 요소를 추출하고, 상기 공격 탐지 요소를 이용하여, 네트워크 공격 패턴을 분석하는 단계와, 상기 분석 결과를 그래프 형태로 출력하는 단계를 포함할 수 있다.
본 발명의 실시예에 따르면, 침입 탐지 시스템으로부터 기설정된 룰(rule)에 기초하여 공격이 탐지된, 네트워크 로그를 수집하고, 상기 수집된 네트워크 로그로부터 네트워크 공격 패턴을 분석 함으로써, 불필요한 데이터(예컨대, 공격을 받지 않은 네트워크 로그) 처리 과정을 생략하여, 네트워크 공격 패턴 분석을 위한 데이터 처리에 소요되는 시간을 감소시킴에 따라, 네트워크 로그에 대한 실시간 처리를 가능하게 한다.
본 발명의 실시예에 따르면, 설정된 주기 마다 네트워크 로그를 수집하고, 상기 네트워크 로그로부터 추출되는 공격 탐지 요소를 통해, 네트워크 공격 패턴을 실시간 분석 함으로써, 네트워크 로그에 대한 네트워크 공격 패턴을 신속하게 판단할 수 있게 한다.
또한, 본 발명의 실시예에 따르면, 네트워크 공격 패턴에 대한 분석 결과를, 그래프 형태로 출력 함으로써, 상기 분석 결과를 쉽게 파악할 수 있게 한다.
도 1은 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치의 구성에 대한 일례를 도시하는 도면이다.
도 2는 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치의 구성에 대한 다른 일례를 도시하는 도면이다.
도 3은 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치에서의 네트워크 공격 패턴 탐지 일례를 설명하기 위한 도면이다.
도 4는 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치에서의 공격 탐지 요소를 추출하는 일례를 설명하기 위한 도면이다.
도 5는 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치에서 수집하는 네트워크 로그의 일례를 도시한 도면이다.
도 6은 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치에 네트워크 로그를 제공하는 침입 탐지 시스템에서의 공격 탐지 방법에 대한 일례를 설명하기 위한 도면이다.
도 7 내지 도 9는 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치에서 네트워크 공격 패턴을 분석한 결과로서 제공하는 그래프의 일례들을 도시한 도면이다.
도 10은 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 방법을 나타내는 흐름도이다.
이하, 첨부 도면들 및 첨부 도면들에 기재된 내용들을 참조하여 본 발명의 다양한 실시예를 상세하게 설명하지만, 본 발명이 실시예에 의해 제한되거나 한정되는 것은 아니다.
도 1은 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치의 구성에 대한 일례를 도시하는 도면이다.
도 1을 참조하면, 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치(100)는 인터페이스부(101), 프로세서(103), 데이터베이스(105) 및 디스플레이부(107)를 포함할 수 있다.
인터페이스부(101)는 침입 탐지 시스템을 통해, 설정된 주기(예컨대, 1분) 마다 네트워크 로그를 수집할 수 있다. 이때, 인터페이스부(101)는 상기 침입 탐지 시스템으로부터 기설정된 룰(rule)에 기초하여 공격이 탐지된, 상기 네트워크 로그를 수집하여, 제1 데이터베이스(105)에 저장할 수 있다. 즉, 인터페이스부(101)는 침입 탐지로 판별되는 비정상의 네트워크 로그만을 수집 함에 따라, 불필요한 네트워크 로그 수집 및 분석을 최소화할 수 있다.
프로세서(103)는 상기 네트워크 로그로부터 공격 탐지 요소를 추출하고, 상기 공격 탐지 요소를 이용하여, 네트워크 공격 패턴을 분석할 수 있다. 이때, 프로세서(103)는 상기 공격 탐지 요소로서, 데스티네이션 포트(Destination Port), 데스티네이션 아이피(Destination IP) 및 소스 아이피(Source IP) 중 적어도 하나의 정보를 추출할 수 있으며, 제2 데이터베이스(105)에 저장할 수 있다.
ⅰ) 데스티네이션 포트를 이용하여, 네트워크 공격 패턴을 분석하는 일례
프로세서(103)는 임의의 시점에서, 상기 공격 탐지 요소로서, 데스티네이션 포트를 추출하고, 설정된 평균 사용 데스티네이션 포트(
Figure pat00001
)의 수(또는, 설정된 주기 동안 추출된 데스티네이션 포트의 평균)에 대한 상기 추출된 데스티네이션 포트(
Figure pat00002
)의 수의 비율이 설정치(
Figure pat00003
)(예컨대, 1.8)를 초과하는지를 확인할 수 있다. 이때, 프로세서(103)는 상기 확인 결과, [수학식 1]에서와 같이, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 포트 스캐닝(Port Scanning) 공격으로 분석할 수 있다.
Figure pat00004
즉, 프로세서(103)는 포트 스캐닝 공격일 경우, 접근해 온 목적지 상에서 열린 포트에 대해 전역적인 탐색을 시도 함에 따라, 방화벽 로그 상에서 해당 시간 대의 데스티네이션 포트의 수가 평소 때의 데스티네이션 포트의 수 보다 증가하는 것에 기인하여, [수학식 1]을 통해, 포트 스캐닝 공격인지를 분석할 수 있다.
또한, 프로세서(103)는 상기 추출된 데스티네이션 포트의 수가, 설정된 데스티네이션 포트(
Figure pat00005
)의 수(예컨대, 100)를 초과하는지를 더 확인할 수 있으며, [수학식 2]에서와 같이, 상기 추출된 데스티네이션 포트의 수가, 설정된 데스티네이션 포트의 수를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 포트 스캐닝 공격으로 분석할 수 있다.
Figure pat00006
상기 포트 스캐닝 공격에 관련하여, 프로세서(103)는 [수학식 2]를 추가로 더 확인하여, 해당 시간대의 데스티네이션 포트의 수가 해당 네트워크에서 사용하는 포트의 수를 넘지 않을 경우, 포트 스캐닝 공격이 아닌 것으로 판단 함으로써, 해당 네트워크 서비스의 사용자 수가 평소 시간보다 많아져 서비스 하는 포트에 대한 접근 횟수가 많아지는 것만으로, 포트 스캐닝 공격으로 잘못 판단할 가능성을 제거할 수 있다.
ⅱ) 데스티네이션 아이피를 이용하여, 네트워크 공격 패턴을 분석하는 일례
프로세서(103)는 임의의 시점에서, 상기 공격 탐지 요소로서, 데스티네이션 아이피를 추출하고, 설정된 평균 사용 데스티네이션 아이피(
Figure pat00007
)의 수(또는, 설정된 주기 동안 추출된 데스티네이션 아이피의 평균)에 대한 상기 추출된 데스티네이션 아이피(
Figure pat00008
)의 수의 비율이, 설정치(
Figure pat00009
)(예컨대, 1.8)를 초과하는지를 확인할 수 있다. 이때, 프로세서(103)는 상기 확인 결과, [수학식 3]에서와 같이, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 호스트 스캐닝(Host Scanning) 공격으로 분석할 수 있다.
Figure pat00010
즉, 프로세서(103)는 호스트 스캐닝 공격일 경우, 평상시보다 접근하는 목적지가 다양해짐을 의미 함에 따라, 방화벽 로그 상에서 해당 시간대의 데스티네이션 아이피의 수(Dip)가 평소 때의 데스티네이션 아이피 보다 증가하는 것에 기인하여, [수학식 3]을 통해, 호스트 스캐닝 공격인지를 분석할 수 있다.
또한, 프로세서(103)는 상기 추출된 데스티네이션 아이피의 수가, 설정된 데스티네이션 아이피(
Figure pat00011
)의 수(예컨대, 40)를 초과하는지를 더 확인할 수 있으며, [수학식 4]에서와 같이, 상기 추출된 데스티네이션 아이피의 수가, 설정된 데스티네이션 아이피의 수를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 호스트 스캐닝 공격으로 분석할 수 있다.
Figure pat00012
상기 호스트 스캐닝 공격에 관련하여, 프로세서(103)는 [수학식 4]를 추가로 더 확인하여, 해당 시간대의 데스티네이션 아이피의 수가 해당 네트워크에서 사용하는 아이피의 수를 넘지 않을 경우, 호스트 스캐닝 공격이 아닌 것으로 판단 함으로써, 해당 네트워크 서비스의 사용자 수가 평소 시간보다 많아져 서비스 하는 호스트에 대한 접근 횟수가 많아지는 것만으로, 호스트 스캐닝 공격으로 잘못 판단할 가능성을 제거할 수 있다.
ⅲ) 네트워크 로그, 소스 아이피 및 데스티네이션 아이피를 이용하여, 네트워크 공격 패턴을 분석하는 일례
프로세서(103)는 임의의 시점에서, 상기 공격 탐지 요소로서, 소스 아이피(Source IP) 및 데스티네이션 아이피를 추출할 수 있다. 이때, 프로세서(103)는 설정된 평균 네트워크 로그(
Figure pat00013
)의 양(또는, 설정된 주기 동안 수집된 네트워크 로그의 평균)에 대한 상기 수집된 네트워크 로그(
Figure pat00014
)의 양의 제1 비율이, 제1 설정치(
Figure pat00015
)(예컨대, 20)를 초과하고, 상기 추출된 데스티네이션 아이피(
Figure pat00016
)의 수에 대한 상기 추출된 소스 아이피(
Figure pat00017
)의 수의 제2 비율이, 제2 설정치(
Figure pat00018
)(예컨대, 10)를 초과하는지를 확인할 수 있다.
프로세서(103)는 상기 확인 결과, [수학식 5]에서와 같이, 상기 제1 비율이 상기 제1 설정치를 초과하고, [수학식 6]에서와 같이, 상기 제2 비율이 상기 제2 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 디도스(DDoS: Distribute Denial of Service) 공격으로 분석할 수 있다.
Figure pat00019
Figure pat00020
즉, 프로세서(103)는 디도스 공격일 경우, 해당 시간대에 발생하는 로그의 양이 평소 시간대의 로그의 양 보다 월등히 많아지는 것에 기인하여, [수학식 5]를 통해, 디도스 공격인지를 분석할 수 있다.
또한, 프로세서(103)는 [수학식 6]을 확인 함으로써, 다수의 사용자가 소수의 네트워크 호스트를 공격하여, 데스티네이션 아이피 보다 소스 아이피가 월등히 높을 경우에 한하여, 디도스 공격으로 판단 함으로써, 해당 네트워크 서비스의 사용자가 많아지는 것만으로, 디도스 공격으로 잘못 판단하는 가능성을 제거할 수 있다.
ⅳ) 소스 아이피를 이용하여, 네트워크 공격 패턴을 분석하는 일례
프로세서(103)는 임의의 시점에서, 상기 공격 탐지 요소로서, 소스 아이피를 추출하고, 설정된 평균 사용 소스 아이피(
Figure pat00021
)의 수(또는, 설정된 주기 동안 추출된 소스 아이피의 평균)에 대한 상기 추출된 소스 아이피(
Figure pat00022
)의 수의 비율이, 설정치(
Figure pat00023
)(예컨대, 2)를 초과하는지를 확인할 수 있다. 이때, 프로세서(103)는 상기 확인 결과, [수학식 7]에서와 같이, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 웜(Worm) 또는 바이러스(Virus) 공격으로 분석할 수 있다.
Figure pat00024
즉, 프로세서(103)는 웜 또는 바이러스 공격일 경우, 소스 아이피의 활동량이 증가하는 것에 기인하여, [수학식 7]을 통해, 웜 또는 바이러스 공격인지를 분석할 수 있다.
또한, 프로세서(103)는 상기 추출된 소스 아이피의 수가, 설정된 소스 아이피(
Figure pat00025
)의 수(예컨대, 20)를 초과하는지를 더 확인할 수 있으며, [수학식 8]에서와 같이, 상기 추출된 소스 아이피의 수가, 설정된 소스 아이피의 수를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 웜 또는 바이러스 공격으로 분석할 수 있다.
Figure pat00026
웜 또는 바이러스 공격에 관련하여, 프로세서(103)는 [수학식 8]를 추가로 더 확인하여, 해당 시간대의 소스 아이피의 수가 해당 네트워크에서 사용하는 아이피의 수를 넘지 않을 경우, 웜 또는 바이러스 공격이 아닌 것으로 판단 함으로써, 주기적으로 발생할 수 있는 활동량 증가만으로, 웜 또는 바이러스 공격으로 잘못 판단할 가능성을 제거할 수 있다.
ⅴ) 네트워크 로그 변화를 이용하여, 네트워크 공격 패턴을 분석하는 일례
프로세서(103)는 임의의 제1 시점에서, 설정된 평균 네트워크 로그(
Figure pat00027
)의 양에 대한 네트워크 로그(
Figure pat00028
)(즉, 제1 시점에서 수집된 네트워크 로그)의 양의 제1 비율이, 제1 설정치(
Figure pat00029
)(예컨대, 1.0)를 초과하는지를 확인하고, 상기 제1 시점에서의 상기 네트워크 로그(
Figure pat00030
)의 양에 대한 제2 시점에서의 네트워크 로그(
Figure pat00031
)(즉, 제2 시점에서 수집된 네트워크 로그)의 양의 제2 비율이, 제2 설정치(
Figure pat00032
)(예컨대, 0.1) 미만인지를 확인할 수 있다. 여기서, 제2 시점(
Figure pat00033
)(예컨대, 1시 01분)은 제1 시점(
Figure pat00034
)(예컨대, 1시 00분)에서 설정된 주기(예컨대, 1분 또는 10분)가 경과된 시점에 해당한다.
프로세서(103)는 상기 확인 결과, [수학식 9]에서와 같이, 상기 제1 비율이 상기 제1 설정치를 초과하고, [수학식 10]에서와 같이, 상기 제2 비율이 상기 제2 설정치를 모두 초과하는 경우, 상기 제2 시점에 대한 상기 네트워크 공격 패턴을, 네트워크 장애 발생으로 분석할 수 있다.
Figure pat00035
Figure pat00036
즉, 프로세서(103)는 상기 네트워크 장애가 발생할 경우, 네트워크 서비스의 사용자가 많아지거나 공격으로 인해, 네트워크 트래픽이 급격히 증가하여 해당 네트워크가 감당할 수 없는 트래픽이 기록되면, 네트워크 장애가 발생하여 다음 시점에서의 네트워크 활동이 중지되는 것에 기인하여, [수학식 3]을 통해, 네트워크 장애 발생인지를 분석할 수 있다. 이때, 프로세서(103)는 해당 시점 전(t-1)에 위협 요소가 아닌 많은 양의 로그가 수집되어 네트워크 장애가 발생할 경우, 해당 시점(t)에서의 로그 발생량이 급격하게 감소하는지를 확인하여, 네트워크 장애 발생인지를 분석할 수 있다.
데이터베이스(105)는 제1 데이터베이스(105) 및 제2 데이터베이스(105)를 포함할 수 있다. 여기서, 제1 데이터베이스(105)는 예컨대, 하둡 분산 파일 시스템 스토리지(HDFS: Hadoop Distributed File System Storage)일 수 있으며, 수집된 네트워크 로그가 저장될 수 있다. 또한, 제2 데이터베이스(105)는 하이브 스토리지(Hive Storage)일 수 있으며, 상기 네트워크 로그로부터 추출된 공격 탐지 요소가 저장될 수 있다.
디스플레이부(107)는 상기 분석 결과를 그래프 형태(예컨대, 막대그래프, 꺾은선 그래프, 원형 그래프 등)로 출력할 수 있다. 이때, 디스플레이부(107)는 웹 인터페이스 형태로 상기 분석 결과를 제공할 수 있다. 여기서, 디스플레이부(107)는 분석 결과를 사용자에게 제공할 수 있는 결과 출력 창과 함께, 사용자로부터 분석 기간을 입력받을 수 있는 분석조건 설정 창을 포함하는 웹 페이지를 제공할 수 있다. 분석 기간은 디폴트(예컨대, 금일)로 설정될 수 있으며, 분석 기간이 변경되어 입력되는 경우, 디스플레이부(107)는 프로세서(103)로부터, 해당 기간에 수집된 네트워크 로그에서 네트워크 공격 패턴을 재분석한 결과를 수신하여, 출력할 수 있다.
도 2는 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치의 구성에 대한 다른 일례를 도시하는 도면이다.
도 2를 참조하면, 네트워크 공격 패턴 분석 장치(200)는 로그 수집부(201), HDFS(203), 로그 추출부(205), Hive(207), 로그 분석부(209) 및 디스플레이부(211)를 포함할 수 있다. 여기서, 네트워크 공격 패턴 분석 장치(200)는 대용량의 데이터를 효율적으로 처리가 가능한 맵리듀스(MapReduce) 프레임워크와 데이터 분산 저장 시스템인 하둡 분산 파일 시스템(Hadoop Distributed File System)을 이용하여 네트워크 로그를 분산 저장 및 처리하여 효율적으로 네트워크 공격을 감지할 수 있다.
로그 수집부(201)는 서버로부터 설정된 주기(예컨대, 1분) 마다 네트워크 로그를 수신하고, 네트워크 로그를 클러스터의 HDFS(203)에 분산 저장하여, 실시간적 네트워크 공격 패턴을 지원할 수 있다. 이때, 서버는 네트워크 침입을 탐지하는 침입 탐지 시스템(IDS: Intrusion Detection System)을 통해, 네트워크 로그를 수집할 수 있다. 여기서, 침입 탐지 시스템은 예컨대, 실시간 트래픽 분석과 아이피(IP)에서의 패킷 로깅을 수행하는 Snort 기반의 침입 탐지 시스템일 수 있다.
HDFS(203)는 네트워크 로그를 저장할 수 있다.
로그 추출부(205)는 HDFS(203)에 저장된 네트워크 로그에서 네트워크 공격 탐지에 필요한 요소(예컨대, 소스 아이피, 데스티네이션 아이피, 데스티네이션 포트, 시간)를 추출할 수 있다. 이때, 추출된 요소는 맵리듀스 기반 데이터 웨어하우스인 Hive(207)에 저장된다.
Hive(207)는 네트워크 공격 탐지에 필요한 요소를 저장할 수 있다.
로그 분석부(209)는 로그 추출부(205)에서 추출된 요소를 이용하여, 예컨대, 4가지 네트워크 공격 패턴(Port Scanning, Host Scanning, DDos, 웜 또는 바이러스 공격)과 네트워크 장애에 대한 분석을 수행할 수 있다.
디스플레이부(211)는 통계 기반 프로그래밍 언어로서 예컨대, R을 이용하여, 그래프 형태(예컨대, 막대그래프, 꺾은선 그래프, 원형 그래프 등)로 시각화한 후 웹을 통해 표시하여, 사용자에게 제공할 수 있다. 여기서, R은 오픈소스 프로그램으로 통계/데이터 마이닝 및 그래프를 위한 언어이다. R은 대용량 데이터 분석을 목적으로 사용되며, 다양한 기능을 지원한다. R은 다른 개발 언어와 연계 호환이 가능하고, 웹과 연동하여 실시간 처리가 가능하며, 웹 서비스로 제공하는데 유용하다.
도 3은 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치에서의 네트워크 공격 패턴 탐지 일례를 설명하기 위한 도면이다.
도 3을 참조하면, 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치는 로그 수집부를 통해, 스노트(Snort)에서 발생하는 네트워크 로그를 수집할 수 있다(301).
네트워크 공격 패턴 분석 장치는 쉘 스크립트(shell script)를 통해 예컨대, 1분 단위로 HDFS에 네트워크 로그를 저장한다(303). 여기서, 네트워크 로그가 저장되는 시간은 사용자에 의해, 설정될 수 있다.
네트워크 공격 패턴 분석 장치는 로그 추출부를 통해, Log Storage(HDFS)에 저장된 네트워크 로그로부터, 공격 탐지 분석에 필요한 요소(Source_IP, Destination_IP, Destination_Port, 시간)을 추출할 수 있다(305).
네트워크 공격 패턴 분석 장치는 추출한 요소를 Sub Storage(HIVE)에 저장할 수 있다(307).
네트워크 공격 패턴 분석 장치는 로그 분석부를 통해, 상기 추출된 요소를 바탕으로 네트워크 로그를 분석하여, 네트워크 공격 유형(예컨대, 5가지 유형)을 도출할 수 있다(309).
네트워크 공격 패턴 분석 장치는 상기 분석한 결과를, 데이터 통계 기반 프로그래밍 언어(예컨대, R)를 이용하여, 웹 인터페이스 형태로 시각화할 수 있다(311).
네트워크 공격 패턴 분석 장치는 새로 탐지된 공격 유형에 대해서는 새로운 룰(Rule)을 만들어 Sub Storage(HIVE)에 저장할 수 있다(313).
도 4는 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치에서의 공격 탐지 요소를 추출하는 일례를 설명하기 위한 도면이다.
도 4를 참조하면, 네트워크 공격 패턴 분석 장치는 로그 추출부를 통해, 비정형 형태로 수집된 네트워크 로그를 정형 데이터로 변환하고, 상기 변환된 네트워크 로그에서 네트워크 공격 탐지에 필요한 요소(즉, 공격 탐지 요소)를 추출할 수 있다.
상기 요소는 예컨대, 소스 아이피(Source IP), 데스티네이션 아이피(Destination IP), 데스티네이션 포트(Destination Port) 및 시간(time) 중 적어도 하나를 포함할 수 있다. 여기서, 소스 아이피는 공격의 근원지 정보를 포함할 수 있고, 데스티네이션 아이피와 데스티네이션 포트는 공격 대상을 나타내는 정보를 포함할 수 있다.
한편, 네트워크 공격 패턴 분석 장치는 대용량 데이터를 처리하는 분산 프로그래밍 프레임워크인 맵리듀스(MapReduce)를 사용하여, 대용량의 네트워크 로그 추출과 분석을 수행할 수 있다. 이때, 네트워크 공격 패턴 분석 장치는 맵리듀스를 통해, 맵(Map) 단계와 리듀스(Reduce) 단계를 수행할 수 있다.
네트워크 공격 패턴 분석 장치는 상기 맵(Map) 단계로서, 네트워크 로그에서 흩어져있는 데이터를 키(Key)와 밸유(Value)를 쌍으로 묶어, 데이터를 분류할 수 있다.
또한, 네트워크 공격 패턴 분석 장치는 상기 리듀스(Reduce) 단계로서, 필터링(filtering) 및 소팅(Sorting)을 거쳐, 데이터를 추출할 수 있다.
구체적으로, 상기 네트워크 공격 탐지에 필요한 요소를 추출하기 위해, 네트워크 공격 패턴 분석 장치는 세 가지 단계를 수행할 수 있다.
네트워크 공격 패턴 분석 장치는 첫번째 단계로서, 맵-리듀스(Map-Reduce) 과정을 통해, 예컨대, 도 5에 도시된 바와 같은, 네트워크 로그로부터 요소를 추출할 수 있다(401). 이때, 네트워크 공격 패턴 분석 장치는 네트워크 로그를 한 줄씩 읽어 소스 아이피(Source IP), 데스티네이션 아이피(Destination IP) 및 데스티네이션 포트(Destination Port)의 3가지 요소를 추출한 후, 소스 아이피를 키(key)로 데스티네이션 아이피(Destination IP), 데스티네이션 포트(Destination Port)를 밸유(value)로 하여, HDFS에 저장할 수 있다.
네트워크 공격 패턴 분석 장치는 두번째 단계로서, 네트워크 로그에서 각 요소의 수(count)를 추출한다(403). 이때, 네트워크 공격 패턴 분석 장치는 각각의 요소를 키(key)로 설정하고, 요소들의 수(count)를 밸유(value)로 하여, HDFS에 저장할 수 있다. 이때, 네트워크 공격 패턴 분석 장치는 예컨대, 1분 단위로 주기적으로 수집되는 네트워크 로그에서 요소의 수를 계산하고, 10분 단위(또는, 1분 단위)로 요소의 수에 대한 평균값을 산출하여, HDFS에 저장할 수 있다.
네트워크 공격 패턴 분석 장치는 세번째 단계로서, 맵-리듀스 과정을 통해 처리한 값을 예컨대, HQL(Hibernate Query Language)를 이용하여 Hive에 저장할 수 있다(405).
도 6은 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치에 네트워크 로그를 제공하는 침입 탐지 시스템에서의 공격 탐지 방법에 대한 일례를 설명하기 위한 도면이다.
도 6을 참조하면, 침입 탐지 시스템은 Snort 기반의 침입 탐지 시스템일 수 있으며, 룰(Rule)을 사용하여 패킷의 패턴 매칭을 수행하고, 네트워크 공격 및 문제를 감지할 수 있다. 이때, 상기 룰(Rule)은 공격을 탐지하기 위해, 사전에 정의될 수 있으며, 이미 탐지된 공격에 대한 패턴과 해당 패턴의 공격이 감지되었을 때 어떠한 동작을 수행할 것인지를 나타내는 룰 헤더(Rule Header)(601)와 동작을 할 때 추가적으로 수행할 것을 나타내는 룰 옵션(Rule Option)(603)을 포함할 수 있다.
침입 탐지 시스템은 수집한 네트워크 로그가 룰과 일치하는지를 확인하여, 네트워크 공격을 탐지할 수 있다. 이때, 침입 탐지 시스템은 기작성된 다양한 종류의 룰을 이용하여, 여러 가지 네트워크 공격을 탐지할 수 있다.
침입 탐지 시스템은 네트워크 로그(또는, 패킷)이 수집되면, 룰과 일치하는지 확인한 후, 일치하면 룰에서 지정된 작업을 수행할 수 있다. 이때, 침입 탐지 시스템은 룰에 지정된 작업으로서, 첫째, 노드에 경고를 하거나 둘째, 수집된 네트워크 로그(또는, 패킷)을 기록하거나 셋째, 수집된 네트워크 로그(또는, 패킷)을 삭제할 수 있다.
예컨대, 침입 탐지 시스템은 TCP 프로토콜을 통해 모든 IP와 모든 PORT에서 특정 IP 주소인 123.234.56.78의 53번 포트로 들어오는 패턴일 경우, 경고(alert)를 생성하는 동작을 수행할 수 있다. 이때, 침입 탐지 시스템은 경고에 대한 룰 옵션(Rule Option)에 따라 "DNS(Domain Name Server)에 접근 시도"라는 메시지와 해당 Snort Rule의 ID를 10000010로 설정할 수 있다.
도 7은 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치에서 네트워크 공격 패턴을 분석한 결과로서 제공하는 그래프의 일례를 도시한 도면이다.
도 7을 참조하면, 네트워크 공격 패턴 분석 장치는 임의의 시점에서 수집된 네트워크 로그로부터 데스티네이션 아이피를 추출하고, 설정된 평균 사용 데스티네이션 아이피의 수에 대한 상기 추출된 데스티네이션 아이피의 수의 비율이, 설정치를 초과하는 동시에, 상기 추출된 데스티네이션 아이피의 수가, 설정된 데스티네이션 아이피의 수를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 호스트 스캐닝 공격으로 분석할 수 있다.
이때, 네트워크 공격 패턴 분석 장치는 각각의 요소(데스티네이션 포트(Destination Port), 데스티네이션 아이피(Destination IP), 소스 아이피(Source IP))의 발생 횟수와 전체 횟수를 측정하여, 꺾은선 그래프로 작성하여 출력할 수 있다. 여기서, 소스 아이피(Source IP) 수치나 데스티네이션 아이피(Destination IP)에 비해, 데스티네이션 포트(Destination Port) 수치가 증가한 것을 확인할 수 있다.
또한, 네트워크 공격 패턴 분석 장치는 소스 아이피 수치 변화에 기초하여, 네트워크 공격 패턴이, 웜 또는 바이러스 공격으로 분석되는 경우, 도 8에 도시된 바와 같이, 꺾은선 그래프로 작성하여 출력할 수 있다. 이때, 소스 아이피(Source IP) 수치가 증가한 것을 확인할 수 있다.
또한, 네트워크 공격 패턴 분석 장치는 네트워크 로그 변화에 기초하여, 네트워크 공격 패턴이, 네트워크 장애 발생으로 분석되는 경우, 도 9에 도시된 바와 같이, 꺾은선 그래프로 작성하여 출력할 수 있다. 이때, 장애 발생 직전의 로그 양이 평균치보다 높음을 확인할 수 있다.
도 10은 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 방법을 나타내는 흐름도이다.
도 10을 참조하면, 단계(1001)에서, 네트워크 공격 패턴 분석 장치는 침입 탐지 시스템을 통해, 설정된 주기 마다 네트워크 로그를 수집할 수 있다. 이때, 네트워크 공격 패턴 분석 장치는 상기 침입 탐지 시스템으로부터 기설정된 룰(rule)에 기초하여 공격이 탐지된, 상기 네트워크 로그를 수집할 수 있다.
단계(1003)에서, 네트워크 공격 패턴 분석 장치는 상기 네트워크 로그로부터 공격 탐지 요소를 추출하고, 상기 공격 탐지 요소를 이용하여, 네트워크 공격 패턴을 분석할 수 있다. 이때, 네트워크 공격 패턴 분석 장치는 상기 공격 탐지 요소로서, 데스티네이션 포트(Destination Port), 데스티네이션 아이피(Destination IP) 및 소스 아이피(Source IP) 중 적어도 하나의 정보를 추출할 수 있다.
먼저, 네트워크 공격 패턴 분석 장치는 임의의 시점에서, 상기 공격 탐지 요소로서, 데스티네이션 포트를 추출하고, 설정된 평균 사용 데스티네이션 포트의 수에 대한 상기 추출된 데스티네이션 포트의 수의 비율이 설정치를 초과하는지를 확인할 수 있다. 이때, 네트워크 공격 패턴 분석 장치는 상기 확인 결과, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 포트 스캐닝(Port Scanning) 공격ⅰ)으로 분석할 수 있다.
또한, 네트워크 공격 패턴 분석 장치는 상기 추출된 데스티네이션 포트의 수가, 설정된 데스티네이션 포트의 수를 초과하는지를 더 확인할 수 있으며, 상기 추출된 데스티네이션 포트의 수가, 설정된 데스티네이션 포트의 수를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 포트 스캐닝 공격으로 분석할 수 있다.
네트워크 공격 패턴 분석 장치는 임의의 시점에서, 상기 공격 탐지 요소로서, 데스티네이션 아이피를 추출하고, 설정된 평균 사용 데스티네이션 아이피의 수에 대한 상기 추출된 데스티네이션 아이피의 수의 비율이, 설정치를 초과하는지를 확인할 수 있다. 이때, 네트워크 공격 패턴 분석 장치는 상기 확인 결과, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 호스트 스캐닝(Host Scanning) 공격ⅱ)으로 분석할 수 있다.
또한, 네트워크 공격 패턴 분석 장치는 상기 추출된 데스티네이션 아이피의 수가, 설정된 데스티네이션 아이피의 수를 초과하는지를 더 확인할 수 있으며, 상기 추출된 데스티네이션 아이피의 수가, 설정된 데스티네이션 아이피의 수를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 호스트 스캐닝 공격으로 분석할 수 있다.
네트워크 공격 패턴 분석 장치는 임의의 시점에서, 상기 공격 탐지 요소로서, 소스 아이피 및 데스티네이션 아이피를 추출할 수 있다. 이때, 네트워크 공격 패턴 분석 장치는 설정된 평균 네트워크 로그의 양에 대한 상기 수집된 네트워크 로그의 양의 제1 비율이, 제1 설정치를 초과하고, 상기 추출된 데스티네이션 아이피의 수에 대한 상기 추출된 소스 아이피의 수의 제2 비율이, 제2 설정치를 초과하는지를 확인할 수 있다.
네트워크 공격 패턴 분석 장치는 상기 확인 결과, 상기 제1 비율이 상기 제1 설정치를 초과하고, 상기 제2 비율이 상기 제2 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 디도스(DDoS: Distribute Denial of Service) 공격ⅲ)으로 분석할 수 있다.
네트워크 공격 패턴 분석 장치는 임의의 시점에서, 상기 공격 탐지 요소로서, 소스 아이피를 추출하고, 설정된 평균 사용 소스 아이피의 수에 대한 상기 추출된 소스 아이피의 수의 비율이, 설정치를 초과하는지를 확인할 수 있다. 이때, 네트워크 공격 패턴 분석 장치는 상기 확인 결과, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 웜(Worm) 또는 바이러스(Virus) 공격ⅳ)으로 분석할 수 있다.
또한, 네트워크 공격 패턴 분석 장치는 상기 추출된 소스 아이피의 수가, 설정된 소스 아이피의 수를 초과하는지를 더 확인할 수 있으며, 상기 추출된 소스 아이피의 수가, 설정된 소스 아이피의 수를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 웜 또는 바이러스 공격으로 분석할 수 있다.
네트워크 공격 패턴 분석 장치는 임의의 제1 시점에서, 설정된 평균 네트워크 로그의 양에 대한 상기 네트워크 로그의 양의 제1 비율이, 제1 설정치를 초과하는지를 확인하고, 상기 제1 시점에서의 상기 네트워크 로그의 양에 대한 제2 시점에서의 네트워크 로그의 양의 제2 비율이, 제2 설정치 미만인지를 확인할 수 있다. 여기서, 제2 시점은 제1 시점에서 설정된 주기가 경과된 시점에 해당한다.
네트워크 공격 패턴 분석 장치는 상기 확인 결과, 상기 제1 비율이 상기 제1 설정치를 초과하고, 상기 제2 비율이 상기 제2 설정치를 모두 초과하는 경우, 상기 제2 시점에 대한 상기 네트워크 공격 패턴을, 네트워크 장애 발생ⅴ)으로 분석할 수 있다.
단계(1005)에서, 네트워크 공격 패턴 분석 장치는 상기 분석 결과를 그래프 형태(예컨대, 막대그래프, 꺾은선 그래프, 원형 그래프 등)로 출력할 수 있다. 이때, 네트워크 공격 패턴 분석 장치는 상기 분석 결과를 사용자에게 제공할 수 있는 결과 출력 창과 함께, 사용자로부터 분석 기간을 입력받을 수 있는 분석조건 설정 창을 포함하는 웹 페이지를 제공할 수 있다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 저장 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 저장될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 저장되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 저장 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광저장 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.
100: 네트워크 공격 패턴 분석 장치
101: 인터페이스부 103: 프로세서
105: 데이터베이스 107: 디스플레이부

Claims (14)

  1. 침입 탐지 시스템을 통해, 설정된 주기 마다 네트워크 로그를 수집하는 단계;
    상기 네트워크 로그로부터 공격 탐지 요소를 추출하고, 상기 공격 탐지 요소를 이용하여, 네트워크 공격 패턴을 분석하는 단계; 및
    상기 분석 결과를 그래프 형태로 출력하는 단계
    를 포함하는 네트워크 공격 패턴 분석 방법.
  2. 제1항에 있어서,
    상기 네트워크 로그를 수집하는 단계는,
    상기 침입 탐지 시스템으로부터 기설정된 룰(rule)에 기초하여 공격이 탐지된, 상기 네트워크 로그를 수집하는 단계
    를 포함하는 네트워크 공격 패턴 분석 방법.
  3. 제1항에 있어서,
    상기 네트워크 공격 패턴을 분석하는 단계는,
    임의의 시점에서, 상기 공격 탐지 요소로서, 데스티네이션 포트(Destination Port)를 추출하는 단계;
    설정된 평균 사용 데스티네이션 포트의 수에 대한 상기 추출된 데스티네이션 포트의 수의 비율이 설정치를 초과하는지를 확인하는 단계; 및
    상기 확인 결과, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 포트 스캐닝(Port Scanning) 공격으로 분석하는 단계
    를 포함하는 네트워크 공격 패턴 분석 방법.
  4. 제1항에 있어서,
    상기 네트워크 공격 패턴을 분석하는 단계는,
    임의의 시점에서, 상기 공격 탐지 요소로서, 데스티네이션 아이피(Destination IP)를 추출하는 단계;
    설정된 평균 사용 데스티네이션 아이피의 수에 대한 상기 추출된 데스티네이션 아이피의 수의 비율이, 설정치를 초과하는지를 확인하는 단계; 및
    상기 확인 결과, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 호스트 스캐닝(Host Scanning) 공격으로 분석하는 단계
    를 포함하는 네트워크 공격 패턴 분석 방법.
  5. 제1항에 있어서,
    상기 네트워크 공격 패턴을 분석하는 단계는,
    임의의 시점에서, 상기 공격 탐지 요소로서, 소스 아이피(Source IP) 및 데스티네이션 아이피를 추출하는 단계;
    설정된 평균 네트워크 로그의 양에 대한 상기 네트워크 로그의 양의 비율이, 제1 설정치를 초과하는지를 확인하는 단계;
    상기 추출된 데스티네이션 아이피의 수에 대한 상기 추출된 소스 아이피의 수의 비율이, 제2 설정치를 초과하는지를 확인하는 단계; 및
    상기 확인 결과, 상기 비율 각각이 상기 제1 설정치 및 상기 제2 설정치를 모두 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 디도스(DDoS: Distribute Denial of Service) 공격으로 분석하는 단계
    를 포함하는 네트워크 공격 패턴 분석 방법.
  6. 제1항에 있어서,
    상기 네트워크 공격 패턴을 분석하는 단계는,
    임의의 시점에서, 상기 공격 탐지 요소로서, 소스 아이피를 추출하는 단계;
    설정된 평균 사용 소스 아이피의 수에 대한 상기 추출된 소스 아이피의 수의 비율이, 설정치를 초과하는지를 확인하는 단계; 및
    상기 확인 결과, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 웜(Worm) 또는 바이러스(Virus) 공격으로 분석하는 단계
    를 포함하는 네트워크 공격 패턴 분석 방법.
  7. 제1항에 있어서,
    상기 네트워크 공격 패턴을 분석하는 단계는,
    임의의 제1 시점에서, 설정된 평균 네트워크 로그의 양에 대한 상기 네트워크 로그의 양의 비율이, 제1 설정치를 초과하는지를 확인하는 단계;
    상기 제1 시점에서의 상기 네트워크 로그의 양에 대한 제2 시점에서의 상기 네트워크 로그의 양의 비율이, 제2 설정치 미만인지를 확인하는 단계 -제2 시점은, 제1 시점에서 설정된 주기가 경과된 시점에 해당함-; 및
    상기 확인 결과, 상기 비율 각각이 상기 제1 설정치 및 상기 제2 설정치를 모두 초과하는 경우, 상기 제2 시점에 대한 상기 네트워크 공격 패턴을, 네트워크 장애 발생으로 분석하는 단계
    를 포함하는 네트워크 공격 패턴 분석 방법.
  8. 침입 탐지 시스템을 통해, 설정된 주기 마다 네트워크 로그를 수집하는 인터페이스부;
    상기 네트워크 로그로부터 공격 탐지 요소를 추출하고, 상기 공격 탐지 요소를 이용하여, 네트워크 공격 패턴을 분석하는 프로세서; 및
    상기 분석 결과를 그래프 형태로 출력하는 디스플레이부
    를 포함하는 네트워크 공격 패턴 분석 장치.
  9. 제8항에 있어서,
    상기 인터페이스부는,
    상기 침입 탐지 시스템으로부터 기설정된 룰에 기초하여 공격이 탐지된, 상기 네트워크 로그를 수집하는
    네트워크 공격 패턴 분석 장치.
  10. 제8항에 있어서,
    상기 프로세서는,
    임의의 시점에서, 상기 공격 탐지 요소로서, 데스티네이션 포트를 추출하고,
    설정된 평균 사용 데스티네이션 포트의 수에 대한 상기 추출된 데스티네이션 포트의 수의 비율이 설정치를 초과하는지를 확인하며, 상기 확인 결과, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 포트 스캐닝 공격으로 분석하는
    네트워크 공격 패턴 분석 장치.
  11. 제8항에 있어서,
    상기 프로세서는,
    임의의 시점에서, 상기 공격 탐지 요소로서, 데스티네이션 아이피를 추출하고,
    설정된 평균 사용 데스티네이션 아이피의 수에 대한 상기 추출된 데스티네이션 아이피의 수의 비율이, 설정치를 초과하는지를 확인하며, 상기 확인 결과, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 호스트 스캐닝 공격으로 분석하는
    네트워크 공격 패턴 분석 장치.
  12. 제8항에 있어서,
    상기 프로세서는,
    임의의 시점에서, 상기 공격 탐지 요소로서, 소스 아이피 및 데스티네이션 아이피를 추출하고,
    설정된 평균 네트워크 로그의 양에 대한 상기 네트워크 로그의 양의 비율이, 제1 설정치를 초과하는지를 확인하고, 상기 추출된 데스티네이션 아이피의 수에 대한 상기 추출된 소스 아이피의 수의 비율이, 제2 설정치를 초과하는지를 확인한 후,
    상기 확인 결과, 상기 비율 각각이 상기 제1 설정치 및 상기 제2 설정치를 모두 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 디도스 공격으로 분석하는
    네트워크 공격 패턴 분석 장치.
  13. 제8항에 있어서,
    상기 프로세서는,
    임의의 시점에서, 상기 공격 탐지 요소로서, 소스 아이피를 추출하고,
    설정된 평균 사용 소스 아이피의 수에 대한 상기 추출된 소스 아이피의 수의 비율이, 설정치를 초과하는지를 확인하며, 상기 확인 결과, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 웜 또는 바이러스 공격으로 분석하는
    네트워크 공격 패턴 분석 장치.
  14. 제8항에 있어서,
    상기 프로세서는,
    임의의 제1 시점에서, 설정된 평균 네트워크 로그의 양에 대한 상기 네트워크 로그의 양의 비율이, 제1 설정치를 초과하는지를 확인하고,
    상기 제1 시점에서의 상기 네트워크 로그의 양에 대한 제2 시점에서의 상기 네트워크 로그의 양의 비율이, 제2 설정치 미만인지를 확인하며, -제2 시점은, 제1 시점에서 설정된 주기가 경과된 시점에 해당함-
    상기 확인 결과, 상기 비율 각각이 상기 제1 설정치 및 상기 제2 설정치를 모두 초과하는 경우, 상기 제2 시점에 대한 상기 네트워크 공격 패턴을, 네트워크 장애 발생으로 분석하는
    네트워크 공격 패턴 분석 장치.
KR1020170113757A 2017-09-06 2017-09-06 네트워크 공격 패턴 분석 및 방법 KR102040371B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170113757A KR102040371B1 (ko) 2017-09-06 2017-09-06 네트워크 공격 패턴 분석 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170113757A KR102040371B1 (ko) 2017-09-06 2017-09-06 네트워크 공격 패턴 분석 및 방법

Publications (2)

Publication Number Publication Date
KR20190027122A true KR20190027122A (ko) 2019-03-14
KR102040371B1 KR102040371B1 (ko) 2019-11-05

Family

ID=65759448

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170113757A KR102040371B1 (ko) 2017-09-06 2017-09-06 네트워크 공격 패턴 분석 및 방법

Country Status (1)

Country Link
KR (1) KR102040371B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110351608A (zh) * 2019-07-18 2019-10-18 中国传媒大学 一种广电用户收视行为数据切片系统、架构及方法
KR20220160849A (ko) * 2021-05-28 2022-12-06 숭실대학교산학협력단 스마트홈 IoT를 이용한 외부 침입 차단 시스템 및 그 방법
KR20230072281A (ko) * 2021-11-17 2023-05-24 주식회사 윈스 DDoS 공격 탐지 방법 및 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130010818A (ko) * 2011-07-19 2013-01-29 주식회사 엔피코어 비정상 트래픽 제어 장치 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130010818A (ko) * 2011-07-19 2013-01-29 주식회사 엔피코어 비정상 트래픽 제어 장치 및 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110351608A (zh) * 2019-07-18 2019-10-18 中国传媒大学 一种广电用户收视行为数据切片系统、架构及方法
KR20220160849A (ko) * 2021-05-28 2022-12-06 숭실대학교산학협력단 스마트홈 IoT를 이용한 외부 침입 차단 시스템 및 그 방법
KR20230072281A (ko) * 2021-11-17 2023-05-24 주식회사 윈스 DDoS 공격 탐지 방법 및 장치

Also Published As

Publication number Publication date
KR102040371B1 (ko) 2019-11-05

Similar Documents

Publication Publication Date Title
CN109962891B (zh) 监测云安全的方法、装置、设备和计算机存储介质
CN109951500B (zh) 网络攻击检测方法及装置
EP2953298B1 (en) Log analysis device, information processing method and program
EP2961111B1 (en) Network monitoring device, network monitoring method, and network monitoring program
US10721244B2 (en) Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program
US9210181B1 (en) Detection of anomaly in network flow data
CN110583003B (zh) 用于在基于云的机器上将可疑ip地址分类为非目标攻击源的非协议特定系统和方法
EP3221794B1 (en) Method and system for detecting threats using metadata vectors
JP2015076863A (ja) ログ分析装置、方法およびプログラム
CN107547490B (zh) 一种扫描器识别方法、装置及系统
Rahal et al. A distributed architecture for DDoS prediction and bot detection
EP3657371A1 (en) Information processing device, information processing method, and information processing program
CN109144023A (zh) 一种工业控制系统的安全检测方法和设备
KR102040371B1 (ko) 네트워크 공격 패턴 분석 및 방법
EP3242240B1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
CN113645215A (zh) 异常网络流量数据的检测方法、装置、设备及存储介质
JP2010250607A (ja) 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム
CN111131180A (zh) 一种大规模云环境中分布式部署的http协议post拦截方法
KR20180101868A (ko) 악성 행위 의심 정보 탐지 장치 및 방법
KR101695461B1 (ko) 보안 위험 감지 장치 및 방법
US20230379361A1 (en) System and method for generating cyber threat intelligence
RU2781822C1 (ru) Система и способ автоматической оценки качества сигнатур сетевого трафика
KR20120038882A (ko) 네트워크 모니터링 시스템 및 방법, 네트워크 모니터링을 위한 보안이벤트 수집 장치 및 서비스 이상상황 탐지 장치
JP5086382B2 (ja) 異常トラヒック分析システム、方法、および装置
CN116668161A (zh) 监控云平台中租户行为的方法、装置、设备和介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant