KR20190120312A - 서명 생성 장치, 서명 생성 방법, 컴퓨터 판독가능 기록 매체에 저장된 프로그램 - Google Patents

서명 생성 장치, 서명 생성 방법, 컴퓨터 판독가능 기록 매체에 저장된 프로그램 Download PDF

Info

Publication number
KR20190120312A
KR20190120312A KR1020197027930A KR20197027930A KR20190120312A KR 20190120312 A KR20190120312 A KR 20190120312A KR 1020197027930 A KR1020197027930 A KR 1020197027930A KR 20197027930 A KR20197027930 A KR 20197027930A KR 20190120312 A KR20190120312 A KR 20190120312A
Authority
KR
South Korea
Prior art keywords
signature
attack data
string
unit
tentatively
Prior art date
Application number
KR1020197027930A
Other languages
English (en)
Inventor
다츠야 이토
Original Assignee
닛본 덴끼 가부시끼가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 닛본 덴끼 가부시끼가이샤 filed Critical 닛본 덴끼 가부시끼가이샤
Publication of KR20190120312A publication Critical patent/KR20190120312A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/903Querying
    • G06F16/90335Query processing
    • G06F16/90344Query processing by using string matching techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Abstract

서명 생성 장치(2)는 위협 정보를 수집하는 수집 유닛(11); 수집 유닛(11)에 의해 수집된 위협 정보로부터 공격 데이터를 추출하는 추출 유닛(21); 및 추출 유닛(21)에 의해 추출된 공격 데이터에 기초하여 서명을 생성하는 생성 유닛(31)을 포함한다. 추출 유닛(21)에 의해 공통 문자열을 갖는 복수의 공격 데이터가 추출되는 경우, 생성 유닛(31)은 공통 문자열을 포함하는 서명을 잠정적으로 생성하고, 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하고, 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는 경우, 문자열을 잠정적으로 생성된 서명으로부터 제거하여 서명을 생성한다.

Description

서명 생성 장치, 서명 생성 방법, 프로그램이 저장된 비일시적 컴퓨터 판독가능 매체
본 개시내용은 서명 생성 장치, 서명 생성 방법 및 프로그램에 관한 것이다.
컴퓨터는 외부로부터 멀웨어와 같은 공격 데이터에 의해 공격받기 쉽다. 멀웨어는 컴퓨터를 부정하게 또한 유해하게 동작시킬 의도로 작성된 악의가 있는 소프트웨어이며, 예로는 컴퓨터 바이러스 및 웜을 포함한다.
이러한 공격 데이터를 검출하는 하나의 접근법은 서명 기반 시스템이라고 불리는 것이 있다. 서명 기반 시스템에서는, 공격 데이터를 정의하는 서명이 등록되고, 외부로부터의 데이터가 공격 데이터인지는 서명의 사용에 의해 판단된다.
무수한 기존 공격 데이터가 존재하며, 새로운 공격 데이터가 차례로 나타난다. 따라서, 서명도 계속해서 생성되고 갱신될 필요가 있다. 그러나, 단일 사람 또는 조직이 무수한 기존 공격 데이터를 모두 추적하고 서명을 생성하는 것을 유지하는 것은 어렵다.
따라서, 최근에는, 위협 정보를 수집하고 수집된 위협 정보에 기초하여 서명을 자동으로 생성하는 기술이 제안되었다(예를 들어, 특허 문헌 1 및 2).
특허 출원 제2005-520230호에 대한 PCT 국제 공개의 공개된 일본어 번역문 국제 특허 공개 WO2003/058457호
특허문헌 1 및 2에 개시된 기술에 따르면, 위협 정보에 기초하여 생성되는 서명이 특히 검증되지 않는다. 따라서, 이 기술은 서명이 비공격 데이터를 공격 데이터라고 잘못 식별할 수 있다는 점에서 단점이 있다.
상술한 단점을 고려하여, 본 개시내용은 비공격 데이터를 공격 데이터라고 잘못 식별할 가능성을 감소시키는 서명을 생성할 수 있는 서명 생성 장치, 서명 생성 방법 및 프로그램을 제공하는 것에 관한 것이다.
일 양태에서, 서명 생성 장치는
위협 정보를 수집하도록 구성된 수집 유닛;
수집 유닛에 의해 수집된 위협 정보로부터 공격 데이터를 추출하도록 구성된 추출 유닛; 및
추출 유닛에 의해 추출된 공격 데이터에 기초하여 서명을 생성하도록 구성된 생성 유닛을 포함하고,
생성 유닛은
추출 유닛에 의해 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때, 공통 문자열을 포함하는 서명을 잠정적으로 생성하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 문자열을 잠정적으로 생성된 서명으로부터 제거하여 서명을 생성하도록 구성된다.
일 양태에서, 서명 생성 방법은 서명 생성 장치에 의한 서명 생성 방법이며, 본 방법은
위협 정보를 수집하는 수집 스텝;
수집 스텝에서 수집된 위협 정보로부터 공격 데이터를 추출하는 추출 스텝; 및
추출 스텝에서 추출된 공격 데이터에 기초하여 서명을 생성하는 생성 스텝을 포함하고,
생성 스텝은,
추출 스텝에서 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때, 공통 문자열을 포함하는 서명을 잠정적으로 생성하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 문자열을 잠정적으로 생성된 서명으로부터 제거하여 서명을 생성하는 것을 포함한다.
일 양태에서, 프로그램은 컴퓨터가,
위협 정보를 수집하는 수집 절차;
수집 절차에서 수집된 위협 정보로부터 공격 데이터를 추출하는 추출 절차; 및
추출 절차에서 추출된 공격 데이터에 기초하여 서명을 생성하는 생성 절차를 실행하게 하고,
생성 절차는,
추출 절차에서 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때, 공통 문자열을 포함하는 서명을 잠정적으로 생성하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 문자열을 잠정적으로 생성된 서명으로부터 제거하여 서명을 생성하는 것을 포함한다.
전술한 양태들은 비공격 데이터를 공격 데이터라고 잘못 식별할 가능성을 감소시키는 서명을 생성할 수 있는 유리한 효과를 획득할 수 있게 한다.
도 1은 본 개시내용의 실시 형태에 따른 서명 생성 장치의 구성예를 도시한다.
도 2는 도 1에 도시된 추출 룰 DB에 등록된 추출 룰의 일례를 도시한다.
도 3은 도 1에 도시된 추출 유닛에 보유된 공격 데이터의 데이터 포맷의 일례를 도시한다.
도 4는 도 1에 도시된 서명 생성 유닛의 동작예를 도시한다.
도 5는 도 1에 도시된 서명 생성 장치의 처리 흐름의 일례를 도시하는 흐름도이다.
도 6은 본 개시내용에 따른 서명 생성 장치의 구성예를 도시한다.
이하, 도면들을 참조하여 본 개시내용의 실시 형태에 대해서 설명할 것이다.
먼저, 도 1을 참조하여, 본 실시 형태에 따른 서명 생성 장치(1)의 구성에 대해서 설명할 것이다. 도 1은 본 실시 형태에 따른 서명 생성 장치(1)의 구성예를 도시한다. 서명 생성 장치(1)는 수집 유닛(10), 추출 유닛(20), 서명 생성 유닛(30), 서명 제출 유닛(40), 수집 룰 데이터베이스(DB)(50), 추출 룰 DB(60), 생성 룰 DB(70) 및 제출 룰 DB(80)를 포함한다. 수집 룰 DB(50), 추출 룰 DB(60), 생성 룰 DB(70) 및 제출 룰 DB(80)는 서명 생성 장치(1)의 내부에 제공되는 것에 한정되지 않고 서명 생성 장치(1)의 외부에 제공될 수 있다.
수집 유닛(10)은 수집 룰 DB(50)에 등록된 수집 룰에 따라 위협 정보를 수집한다. 위협 정보는 컴퓨터에 위협을 표시하고 다수의 위협 정보 제공자에 의해 제공된다. 수집 룰은 예를 들어, 위협 정보의 소스(예를 들어, 위협 정보 제공자의 서버)의 URL(uniform resource locator), 그 소스로부터 수집된 위협 정보의 타입(예를 들어, IP(internet protocol) 어드레스에 대한 위협 정보) 등을 정의한다. 수집 유닛(10)은 예를 들어, 수집 룰에 의해 정의된 URL 하에서 소스로부터 수집 룰에 의해 정의된 타입의 위협 정보를 수집한다.
추출 유닛(20)은 추출 룰 DB(60)에 등록된 추출 룰에 따라 수집 유닛(10)에 의해 수집된 위협 정보로부터 공격 데이터를 추출한다. 추출 유닛(20)의 동작은 상세하게 후술될 것이다.
서명 생성 유닛(30)은 추출 유닛(20)에 의해 추출된 공격 데이터에 기초하여 그리고 생성 룰 DB(70)에 등록된 생성 룰에 따라 서명을 생성한다. 서명 생성 유닛(30)의 동작에 대해서는 상세하게 후술될 것이다.
서명 제출 유닛(40)은 제출 룰 DB(80)에 등록된 제출 룰에 따라 서명 생성 유닛(30)에 의해 생성된 서명을 제출 목적지에 제출한다. 서명의 제출 목적지는 외부로부터 컴퓨터에 들어오는 공격 데이터를 검출하는 장치이고, 예를 들어, 네트워크 상에 배치된 시큐리티 서버, 클라이언트 단말기 내에 배치된 시큐리티 모듈 등이다. 제출 룰은 예를 들어, 서명을 제출하는 제출 목적지, 그 제출 목적지에 액세스하는 방법(예를 들어, 식별(ID) 및/또는 패스워드) 등을 정의한다. 서명 제출 유닛(40)은 예를 들어, 제출 룰에 의해 정의된 제출 목적지에, 제출 룰에 의해 정의된 액세스 방법을 통해 액세스하고, 서명을 제출한다.
이제, 도 2 및 도 3을 참조하여, 본 실시 형태에 따른 추출 유닛(20)의 동작에 대해서 설명할 것이다. 도 2는 추출 룰 DB(60)에 등록된 추출 룰의 일례를 도시한다. 도 2에 도시된 추출 룰은 위협 정보의 타입(도 2에서의 "Type"), 위협 정보로부터 공격 데이터를 추출하는 룰(도 2에서의 "rule"), 추출된 공격 데이터로 설정된 태그(도 2에서의 "tag"), 및 위협 정보의 소스의 URL(도 2에서의 "URL(Source)")을 정의한다.
추출 유닛(20)은 추출 룰에 의해 정의된 URL 하에서 소스로부터 수집 유닛(10)에 의해 수집되며, 추출 룰에 의해 정의된 타입인 위협 정보로부터, 추출 룰에 의해 정의된 룰에 따라 공격 데이터를 추출한다. 다음으로, 추출 유닛(20)은 추출된 공격 데이터에 추출 룰에 의해 정의된 태그를 설정한다.
보다 구체적으로, 추출 유닛(20)은 URL "https://www.binarydefense.com/tor.txt" 하에서 소스로부터 수집되며, 타입 "IP address"인 위협 정보에 대해서는, 룰 "parser1"에 따라 공격 데이터를 추출한다. 다음으로, 추출 유닛(20)은 추출된 공격 데이터에, 태그 "tor"를 설정한다.
추출 유닛(20)은 상기에서 추출한 공격 데이터를 유지하고, 서명 생성 유닛(30)은 추출 유닛(20)에 의해 보유되어 있는 공격 데이터에 기초하여 서명을 생성한다.
여기서, 위협 정보는 위협 정보가 수집된 곳에 따라 상이한 데이터 포맷을 갖는다. 만일 추출 유닛(20)이 각각의 공격 데이터를 상이한 데이터 포맷으로 보유하고 있다면, 서명 생성 유닛(30)이 추출 유닛(20)에 보유된 주어진 공격 데이터를 검색할 때, 서명 생성 유닛(30)은 그 공격 데이터의 데이터 포맷을 인식할 필요가 있고, 이는 서명을 생성하는 데 필요한 시간을 증가시킨다.
따라서, 추출 유닛(20)은 상기에서 추출한 공격 데이터를 미리 결정된 데이터 포맷으로 변환하여 보유한다. 도 3은 추출 유닛(20)에 보유된 공격 데이터의 데이터 포맷의 일례를 도시한다. 도 3에 도시된 데이터 포맷의 헤더는 공격 데이터를 추출한 위협 정보의 소스(도 3에서의 "Source"), 그 위협 정보의 타입(도 3에서의 "Type"), 그 공격 데이터를 나타내는 오브젝트(도 3에서의 "Object"), 그 공격 데이터를 추출한 날자(도 3에서의 "date"), 그 공격 데이터에 설정된 태그(도 3에스의 "tag")이다. 공격 데이터를 나타내는 오브젝트는 공격 데이터 자체이거나 그 공격 데이터의 해시값일 수 있다. 해시값의 계산 방법은 도 2에 도시된 추출 룰에서, 예를 들어 룰에 의해 정의될 수 있다.
이러한 방식으로, 추출 유닛(20)이 공격 데이터를 미리 결정된 데이터 포맷으로 변환하여 보유하기 때문에, 서명 생성 유닛(30)은 추출 유닛(20)으로부터 공격 데이터를 신속하게 검색할 수 있고, 이는 서명을 생성하는 데 필요한 시간을 감소시킬 수 있게 한다.
이제, 도 4를 참조하여, 본 실시 형태에 따른 서명 생성 유닛(30)의 동작에 대해서 설명할 것이다. 도 4는 서명 생성 유닛(30)의 동작예를 도시한다. 본 명세서에서는, 공격 데이터가 멀웨어인 예에 대해서 설명할 것이다.
생성 룰 DB(70)에 등록된 생성 룰에는, 공통 문자열을 갖는 복수의 공격 데이터가 추출 유닛(20)에 의해 추출될 때, 공통 문자열을 포함하는 서명을 생성하는 것이 정의되어 있다. 따라서, 서명 생성 유닛(30)은, 공통 문자열을 갖는 복수의 공격 데이터가 추출 유닛(20)에 의해 추출될 때, 공통 문자열을 추출하고(스텝 S11), 공통 문자열을 포함하는 서명을 잠정적으로 생성한다(스텝 S12).
도 4에 도시된 예에서, 서명 생성 유닛(30)은 스텝 S11에서 공통 문자열로서 각각 5개의 문자열 A, B, C, D, E를 추출하고, 스텝 S12에서 함수 "A 및 B 및(C 또는 D) 및 E"로 멀웨어를 정의한 서명을 잠정적으로 생성한다.
생성 룰 DB(70)에는, 생성 룰 이외에, 화이트 리스트가 등록되며, 이 화이트 리스트는 공격 데이터가 아닌 비공격 데이터에서도 사용되는 문자열의 리스트이다. 또한, 생성 룰에는, 잠정적으로 생성된 서명에 포함되는 문자열과 화이트 리스트의 문자열 간의 매칭을 행하는 것이 정의되어 있다. 따라서, 서명 생성 유닛(30)은 잠정적으로 생성된 서명에 포함되는 문자열과 화이트 리스트의 문자열 간의 매칭을 행하고, 따라서 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가한다. 서명 생성 유닛(30)은, 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 잠정적으로 생성된 서명으로부터 해당 문자열을 제거하여 잠정적으로 생성된 서명을 수정한다(스텝 S13). 따라서, 서명이 생성된다.
도 4에 도시된 예에서, 서명 생성 유닛(30)은 잠정적으로 생성된 서명에 포함되는 5개의 문자열 A, B, C, D, E와 화이트 리스트의 문자열 간의 매칭을 행하고, 이는 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열 E(=</security>)을 포함하고 있다고 평가하게 된다. 따라서, 스텝 S13에서, 서명 생성 유닛(30)은 잠정적으로 생성된 서명으로부터 문자열 E를 제거하고, 멀웨어를 정의하는 함수를 "A 및 B 및(C 또는 D)"로 변경하여 서명을 수정한다. 또한, 수정된 서명에 태그를 설정한다. 따라서, 서명이 생성된다.
이러한 방식으로, 서명 생성 유닛(30)은 복수의 공격 데이터에 포함된 공통 문자열을 포함하는 서명을 잠정적으로 생성하고, 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 서명 생성 유닛(30)은 잠정적으로 생성된 서명으로부터 그 문자열을 제거하여 서명을 생성한다. 이것은 서명이 비공격 데이터를 공격 데이터라고 잘못 식별할 가능성을 감소시킬 수 있게 한다.
이제, 도 5를 참조하여, 본 실시 형태에 따른 서명 생성 장치(1)의 처리 흐름에 대해서 설명할 것이다. 도 5는 본 실시 형태에 따른 서명 생성 장치(1)의 처리 흐름의 일례를 도시하는 흐름도이다.
먼저, 수집 유닛(10)은 수집 룰 DB(50)에 등록된 수집 룰에 따라 위협 정보를 수집한다(스텝 S21). 다음으로, 추출 유닛(20)은 추출 룰 DB(60)에 등록된 추출 룰에 따라 수집 유닛(10)에 의해 수집된 위협 정보로부터 공격 데이터를 추출한다(스텝 S22).
다음으로, 서명 생성 유닛(30)은 생성 룰 DB(70)에 등록된 생성 룰에 따라 이하와 같이 서명을 생성한다.
서명 생성 유닛(30)은 추출 유닛(20)에 의해 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때까지 대기한다. 추출 유닛(20)에 의해 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때, 서명 생성 유닛(30)은 그 공통 문자열을 추출하고(스텝 S23), 추출된 공통 문자열을 포함하는 서명을 잠정적으로 생성한다(스텝 S24).
다음으로, 서명 생성 유닛(30)은 잠정적으로 생성된 서명에 포함되는 문자열과 화이트 리스트의 문자열 간의 매칭을 행하고, 따라서 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할지를 평가한다(스텝 S25).
스텝 S25에서, 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는 경우(스텝 S25에서의 "예"), 서명 생성 유닛(30)은 이 문자열을 잠정적으로 생성된 서명으로부터 제거하여 잠정적으로 생성된 서명을 수정한다(스텝 S26). 이 경우, 서명 생성 유닛(30)은 수정된 서명을 새롭게 생성된 서명으로 채택한다.
한편, 스텝 S25에서, 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 어떠한 문자열도 포함하지 않은 경우(스텝 S25에서의 "아니오"), 잠정적으로 생성된 서명은 어떠한 수정도 없이 새롭게 생성된 서명으로 채택된다.
그 후, 서명 제출 유닛(40)은 제출 룰 DB(80)에 등록된 제출 룰에 따라 서명 생성 유닛(30)에 의해 생성된 서명을 제출 목적지에 제출한다(스텝 S27).
전술한 바와 같이, 본 실시 형태에 따른 서명 생성 장치(1)에 의하면, 서명 생성 유닛(30)이 복수의 공격 데이터에 포함된 공통 문자열을 포함하는 서명을 잠정적으로 생성하고, 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 서명 생성 유닛(30)은 잠정적으로 생성된 서명으로부터 그 문자열을 제거하여 서명을 생성한다. 이것은 서명이 비공격 데이터를 공격 데이터라고 잘못 식별할 가능성을 감소시킬 수 있게 한다.
이하, 도 6을 참조하여, 본 개시내용에 따른 서명 생성 장치의 개요에 대하여 설명할 것이다. 도 6은 본 개시내용에 따른 서명 생성 장치(2)의 구성예를 도시한다. 서명 생성 장치(2)는 수집 유닛(11), 추출 유닛(21) 및 생성 유닛(31)을 포함한다.
수집 유닛(11)은 위협 정보를 수집한다. 수집 유닛(11)은 수집 유닛(10)에 대응한다.
추출 유닛(21)은 수집 유닛(11)에 의해 수집된 위협 정보로부터 공격 데이터를 추출한다. 추출 유닛(21)은 추출 유닛(20)에 대응한다.
생성 유닛(31)은 추출 유닛(21)에 의해 추출된 공격 데이터에 기초하여 서명을 생성한다. 구체적으로, 생성 유닛(31)은, 추출 유닛(21)에 의해 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때, 그 공통 문자열을 포함하는 서명을 잠정적으로 생성한다. 다음으로, 생성 유닛(31)은 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가한다. 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는 경우, 생성 유닛(31)은 그 문자열을 잠정적으로 생성된 서명으로부터 제거하여 서명을 생성한다. 생성 유닛(31)은 서명 생성 유닛(30)에 대응한다.
전술한 바와 같이, 본 개시내용에 따른 서명 생성 장치(2)에 의하면, 생성 유닛(31)은 복수의 공격 데이터에 포함된 공통 문자열을 포함하는 서명을 잠정적으로 생성하고, 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 생성 유닛(31)은 잠정적으로 생성된 서명으로부터 그 문자열을 제거하여 서명을 생성한다. 이것은 서명이 비공격 데이터를 공격 데이터라고 잘못 식별할 가능성을 감소시킬 수 있게 한다.
지금까지, 실시 형태를 참조하여 본 출원의 개시내용의 다양한 양태를 설명했지만, 본 출원의 개시내용은 전술한 것에 의해 한정되지 않는다. 본 출원의 개시내용의 각 양태의 구성 및 상세에 대해서는 본 분야의 숙련된 자가 이해할 수 있는 다양한 변경이 이루어질 수 있다.
예를 들어, 전술한 실시 형태에서는, 기능 블록들(수집 유닛, 추출 유닛, 서명 생성 유닛(또는 생성 유닛) 및 서명 제출 유닛)이 동일 장치 내에 제공되었지만, 이것은 제한적인 예가 아니다. 이들 기능 블록은 개별 장치에 제공되고 케이블을 통해 또는 무선으로 상호접속될 수 있다.
전술한 실시 형태에서의 각 기능 블록은 하드웨어 또는 소프트웨어, 또는 양쪽 모두에 의해 구성될 수 있고, 각 기능 블록은 단일의 하드웨어, 단일의 소프트웨어, 복수의 하드웨어, 또는 복수의 소프트웨어에 의해 구성될 수 있다. 각 장치의 기능(처리)는 중앙 처리 유닛(CPU), 메모리 등을 갖는 컴퓨터에 의해 구현될 수 있다. 예를 들어, 실시 형태에 따른 서명 생성 방법을 구현하기 위한 프로그램은 메모리에 저장될 수 있고, 메모리에 저장된 이 프로그램을 CPU에 의해 실행시켜서 각 기능을 구현할 수 있다.
전술한 프로그램은 다양한 타입의 비일시적 컴퓨터 판독가능 매체를 사용하여 저장되고 컴퓨터에 공급될 수 있다. 비일시적 컴퓨터 판독가능 매체는 다양한 타입의 유형 저장 매체를 포함한다. 비일시적 컴퓨터 판독가능 매체의 예는 자기 저장 매체(예를 들어, 플렉시블 디스크, 자기 테이프, 하드디스크 드라이브), 광자기 저장 매체(예를 들어, 광자기 디스크), 콤팩트 디스크 판독 전용 메모리(CD-ROM), 콤팩트 디스크 기록가능(CD-R), 콤팩트 디스크 재기록가능(CD-R/W), 반도체 메모리(예를 들어, 마스크 ROM, 프로그램가능 ROM(PROM), 소거가능 PROM(EPROM), 플래시 ROM, 랜덤 액세스 메모리(RAM)를 포함한다. 또한, 프로그램은 다양한 타입의 일시적 컴퓨터 판독가능 매체의 형태로 컴퓨터에 공급될 수 있다. 일시적 컴퓨터 판독가능 매체의 예는 전기 신호, 광신호 및 전자파를 포함한다. 일시적 컴퓨터 판독가능 매체는 전선 또는 광 파이버와 같은 유선 통신선 또는 무선 통신선을 통해 프로그램을 컴퓨터에 공급할 수 있다.
전술한 실시 형태의 일부 또는 전부는 또한 이하의 부기에서와 같이 표현될 수 있지만, 이하의 것에 한정되지 않는다.
(부기 1)
서명 생성 장치는:
위협 정보를 수집하도록 구성된 수집 유닛;
수집 유닛에 의해 수집된 위협 정보로부터 공격 데이터를 추출하도록 구성된 추출 유닛; 및
추출 유닛에 의해 추출된 공격 데이터에 기초하여 서명을 생성하도록 구성된 생성 유닛을 포함하고,
생성 유닛은
추출 유닛에 의해 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때, 공통 문자열을 포함하는 서명을 잠정적으로 생성하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 문자열을 잠정적으로 생성된 서명으로부터 제거하여 서명을 생성하도록 구성된다.
(부기 2)
부기 1에 따른 서명 생성 장치에서,
비공격 데이터에 사용되는 문자열은 데이터베이스에 저장되고,
생성 유닛은 잠정적으로 생성된 서명에 포함되는 문자열과 데이터베이스에 저장된 문자열 간의 매칭을 행하여 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하도록 구성된다.
(부기 3)
부기 1 또는 2에 따른 서명 생성 장치에서,
추출 유닛은 공격 데이터의 데이터 포맷을 미리 결정된 데이터 포맷으로 변환하여 보유하도록 구성된다.
(부기 4)
부기 1 내지 3 중 어느 하나에 따른 서명 생성 장치는:
생성 유닛에 의해 생성된 서명을 특정 제출 목적지에 제출하도록 구성된 제출 유닛을 더 포함한다.
(부기 5)
서명 생성 장치에 의한 서명 생성 방법은:
위협 정보를 수집하는 수집 스텝;
수집 스텝에서 수집된 위협 정보로부터 공격 데이터를 추출하는 추출 스텝; 및
추출 스텝에서 추출된 공격 데이터에 기초하여 서명을 생성하는 생성 스텝을 포함하고,
생성 스텝은,
추출 스텝에서 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때, 공통 문자열을 포함하는 서명을 잠정적으로 생성하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 문자열을 잠정적으로 생성된 서명으로부터 제거하여 서명을 생성하는 것을 포함한다.
(부기 6)
부기 5에 따른 서명 생성 방법에서,
비공격 데이터에 사용되는 문자열은 데이터베이스에 저장되고,
생성 스텝은 잠정적으로 생성된 서명에 포함되는 문자열과 데이터베이스에 저장된 문자열 간의 매칭을 행하여 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가한다.
(부기 7)
부기 5 또는 6에 따른 서명 생성 방법에서,
추출 스텝은 공격 데이터의 데이터 포맷을 미리 결정된 데이터 포맷으로 변환하여 보유하는 것을 포함한다.
(부기 8)
부기 5 내지 7 중 어느 하나에 따른 서명 생성 방법은:
생성 스텝에서 생성된 서명을 특정 제출 목적지에 제출하는 제출 스텝을 더 포함한다.
(부기 9)
프로그램은 컴퓨터가,
위협 정보를 수집하는 수집 절차;
수집 절차에서 수집된 위협 정보로부터 공격 데이터를 추출하는 추출 절차; 및
추출 절차에서 추출된 공격 데이터에 기초하여 서명을 생성하는 생성 절차를 실행하게 하고,
생성 절차는,
추출 절차에서 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때, 공통 문자열을 포함하는 서명을 잠정적으로 생성하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 문자열을 잠정적으로 생성된 서명으로부터 제거하여 서명을 생성하는 것을 포함한다.
(부기 10)
부기 9에 따른 프로그램에서,
비공격 데이터에 사용되는 문자열은 데이터베이스에 저장되고,
생성 절차는 잠정적으로 생성된 서명에 포함되는 문자열과 데이터베이스에 저장된 문자열 간의 매칭을 행하여 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가한다.
(부기 11)
부기 9 또는 10에 따른 프로그램에서,
생성 절차는 공격 데이터의 데이터 포맷을 미리 결정된 데이터 포맷으로 변환하여 보유하는 것을 포함한다.
(부기 12)
부기 9 내지 11 중 어느 하나에 따른 프로그램은:
생성 절차에서 생성된 서명을 특정 제출 목적지에 제출하는 제출 절차를 더 포함한다.
이 출원은 2017년 3월 28일에 출원된 일본 특허 출원 제2017-062918호에 대한 우선권을 주장하고, 그 전체 개시내용은 본 명세서에 포함된다.
1 : 서명 생성 장치
10 : 수집 유닛
20 : 추출 유닛
30 : 서명 생성 유닛
40 : 서명 제출 유닛
50 : 수집 룰 DB
60 : 추출 룰 DB
70 : 생성 룰 DB
80 : 제출 룰 DB
2 : 서명 생성 장치
11 : 수집 유닛
21 : 추출 유닛
31 : 생성 유닛

Claims (9)

  1. 서명 생성 장치로서,
    위협 정보를 수집하도록 구성된 수집 유닛;
    상기 수집 유닛에 의해 수집된 위협 정보로부터 공격 데이터를 추출하도록 구성된 추출 유닛; 및
    상기 추출 유닛에 의해 추출된 공격 데이터에 기초하여 서명을 생성하도록 구성된 생성 유닛을 포함하고,
    상기 생성 유닛은
    상기 추출 유닛에 의해 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때, 상기 공통 문자열을 포함하는 서명을 잠정적으로 생성하고,
    잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하고,
    상기 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 상기 문자열을 상기 잠정적으로 생성된 서명으로부터 제거하여 서명을 생성하도록 구성된 서명 생성 장치.
  2. 제1항에 있어서,
    상기 비공격 데이터에 사용되는 문자열은 데이터베이스에 저장되고,
    상기 생성 유닛은 상기 잠정적으로 생성된 서명에 포함되는 문자열과 상기 데이터베이스에 저장된 문자열 간의 매칭을 행하여 상기 잠정적으로 생성된 서명이 상기 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하도록 구성된 서명 생성 장치.
  3. 제1항 또는 제2항에 있어서,
    상기 추출 유닛은 상기 공격 데이터를 미리 결정된 데이터 포맷으로 변환하여 보유하도록 구성되는 서명 생성 장치.
  4. 제1항 내지 제3항 중 어느 한 항에 있어서,
    상기 생성 유닛에 의해 생성된 서명을 특정 제출 목적지에 제출하도록 구성된 제출 유닛을 더 포함하는 서명 생성 장치.
  5. 서명 생성 장치에 의한 서명 생성 방법으로서,
    위협 정보를 수집하는 수집 스텝;
    상기 수집 스텝에서 수집된 위협 정보로부터 공격 데이터를 추출하는 추출 스텝; 및
    상기 추출 스텝에서 추출된 공격 데이터에 기초하여 서명을 생성하는 생성 스텝을 포함하고,
    상기 생성 스텝은,
    상기 추출 스텝에서 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때, 상기 공통 문자열을 포함하는 서명을 잠정적으로 생성하고,
    잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하고,
    상기 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 상기 문자열을 상기 잠정적으로 생성된 서명으로부터 제거하여 서명을 생성하는 것을 포함하는 서명 생성 방법.
  6. 제5항에 있어서,
    상기 비공격 데이터에 사용되는 문자열은 데이터베이스에 저장되고,
    상기 생성 스텝은 상기 잠정적으로 생성된 서명에 포함되는 문자열과 상기 데이터베이스에 저장된 문자열 간의 매칭을 행하여 상기 잠정적으로 생성된 서명이 상기 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하는 것을 포함하는 서명 생성 방법.
  7. 제5항 또는 제6항에 있어서,
    상기 추출 스텝은 상기 공격 데이터를 미리 결정된 데이터 포맷으로 변환하여 보유하는 것을 포함하는 서명 생성 방법.
  8. 제5항 내지 제7항 중 어느 한 항에 있어서,
    상기 생성 스텝에서 생성된 서명을 특정 제출 목적지에 제출하는 제출 스텝을 더 포함하는 서명 생성 방법.
  9. 프로그램을 저장하는 비일시적 컴퓨터 판독가능 매체로서,
    상기 프로그램은,
    컴퓨터로 하여금,
    위협 정보를 수집하는 수집 절차;
    상기 수집 절차에서 수집된 위협 정보로부터 공격 데이터를 추출하는 추출 절차; 및
    상기 추출 절차에서 추출된 공격 데이터에 기초하여 서명을 생성하는 생성 절차를 실행하게 하고,
    상기 생성 절차는,
    상기 추출 절차에서 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때, 상기 공통 문자열을 포함하는 서명을 잠정적으로 생성하고,
    잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하고,
    상기 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 상기 문자열을 상기 잠정적으로 생성된 서명으로부터 제거하여 서명을 생성하는 것을 포함하는 비일시적 컴퓨터 판독가능 매체.
KR1020197027930A 2017-03-28 2017-12-20 서명 생성 장치, 서명 생성 방법, 컴퓨터 판독가능 기록 매체에 저장된 프로그램 KR20190120312A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017062918 2017-03-28
JPJP-P-2017-062918 2017-03-28
PCT/JP2017/045830 WO2018179628A1 (ja) 2017-03-28 2017-12-20 シグネチャ生成装置、シグネチャ生成方法、プログラムが格納された非一時的なコンピュータ可読媒体

Publications (1)

Publication Number Publication Date
KR20190120312A true KR20190120312A (ko) 2019-10-23

Family

ID=63674508

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020197027930A KR20190120312A (ko) 2017-03-28 2017-12-20 서명 생성 장치, 서명 생성 방법, 컴퓨터 판독가능 기록 매체에 저장된 프로그램

Country Status (6)

Country Link
US (1) US11429717B2 (ko)
JP (1) JPWO2018179628A1 (ko)
KR (1) KR20190120312A (ko)
CN (1) CN110506268A (ko)
RU (1) RU2019130058A (ko)
WO (1) WO2018179628A1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003058457A1 (en) 2001-12-31 2003-07-17 Citadel Security Software Inc. Automated computer vulnerability resolution system
JP2005520230A (ja) 2002-03-08 2005-07-07 サイファートラスト, インコーポレイテッド 電子セキュリティを強化するシステムおよび方法

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005047862A2 (en) * 2003-11-12 2005-05-26 The Trustees Of Columbia University In The City Of New York Apparatus method and medium for identifying files using n-gram distribution of data
WO2006036763A2 (en) * 2004-09-22 2006-04-06 Cyberdefender Corporation System for distributing information using a secure peer-to-peer network
JP4585925B2 (ja) 2005-06-16 2010-11-24 株式会社日立製作所 セキュリティ設計支援方法及び支援装置
US7730040B2 (en) 2005-07-27 2010-06-01 Microsoft Corporation Feedback-driven malware detector
US8713686B2 (en) 2006-01-25 2014-04-29 Ca, Inc. System and method for reducing antivirus false positives
US8201244B2 (en) * 2006-09-19 2012-06-12 Microsoft Corporation Automated malware signature generation
GB2470928A (en) * 2009-06-10 2010-12-15 F Secure Oyj False alarm identification for malware using clean scanning
JP2012003463A (ja) 2010-06-16 2012-01-05 Kddi Corp シグネチャの生成を支援する支援装置、方法及びプログラム
US8813228B2 (en) 2012-06-29 2014-08-19 Deloitte Development Llc Collective threat intelligence gathering system
JP5868515B2 (ja) * 2012-09-25 2016-02-24 三菱電機株式会社 シグニチャ検証装置及びシグニチャ検証方法及びプログラム
RU2573262C2 (ru) 2014-05-12 2016-01-20 Самсунг Электроникс Ко., Лтд. Способ теплового анализа портативных электронных устройств на основе измерений
US9665716B2 (en) * 2014-12-23 2017-05-30 Mcafee, Inc. Discovery of malicious strings
KR102390355B1 (ko) * 2015-11-16 2022-04-26 한국전자통신연구원 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법 및 장치
US10547627B2 (en) * 2016-03-08 2020-01-28 Palo Alto Networks, Inc. Malicious HTTP cookies detection and clustering
US10855701B2 (en) * 2017-11-03 2020-12-01 F5 Networks, Inc. Methods and devices for automatically detecting attack signatures and generating attack signature identifications
WO2020186033A1 (en) * 2019-03-13 2020-09-17 Arun Lakhotia Method for automatic creation of malware detection signature

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003058457A1 (en) 2001-12-31 2003-07-17 Citadel Security Software Inc. Automated computer vulnerability resolution system
JP2005520230A (ja) 2002-03-08 2005-07-07 サイファートラスト, インコーポレイテッド 電子セキュリティを強化するシステムおよび方法

Also Published As

Publication number Publication date
CN110506268A (zh) 2019-11-26
WO2018179628A1 (ja) 2018-10-04
RU2019130058A3 (ko) 2021-04-28
US11429717B2 (en) 2022-08-30
US20200380128A1 (en) 2020-12-03
RU2019130058A (ru) 2021-04-28
JPWO2018179628A1 (ja) 2020-01-16

Similar Documents

Publication Publication Date Title
US11330014B2 (en) Optically analyzing text strings such as domain names
CA2966408C (en) A system and method for network intrusion detection of covert channels based on off-line network traffic
WO2020249112A1 (zh) 基于内存取证和区块链的电子证据固定和网络取证方法及系统
US10491618B2 (en) Method and apparatus for website scanning
US9300682B2 (en) Composite analysis of executable content across enterprise network
Prasse et al. Malware detection by analysing network traffic with neural networks
JP6397932B2 (ja) エンドポイントからのネットワークリクエストに言語分析を適用するマルウェアに感染しているマシンを識別するためのシステム
US8707426B1 (en) Method and apparatus for resolving a cousin domain name to detect web-based fraud
US11544575B2 (en) Machine-learning based approach for malware sample clustering
US11270001B2 (en) Classification apparatus, classification method, and classification program
US10462168B2 (en) Access classifying device, access classifying method, and access classifying program
KR101859562B1 (ko) 취약점 정보 분석 방법 및 장치
CN109862021B (zh) 威胁情报的获取方法及装置
US11140196B1 (en) Malware fingerprinting on encrypted transport layer security (TLS) traffic
US11159566B2 (en) Countering phishing attacks
CN113726818B (zh) 一种失陷主机检测方法及装置
WO2018143097A1 (ja) 判定装置、判定方法、および、判定プログラム
JP6538618B2 (ja) 管理装置及び管理方法
KR20190120312A (ko) 서명 생성 장치, 서명 생성 방법, 컴퓨터 판독가능 기록 매체에 저장된 프로그램
CN113726826B (zh) 一种威胁情报生成方法及装置
KR101542762B1 (ko) 네트워크 기반 세이프 브라우징(Safe-Browsing) DB 생성 및 배포 방법, 세이프 브라우징 DB를 이용한 세이프 브라우징(Safe-Browsing) 강제화 방법
Hobert et al. Enhancing cyber attribution through behavior similarity detection on linux shell honeypots with att&ck framework
WO2023175954A1 (ja) 情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体
Cassagne et al. Following the Obfuscation Trail: Identifying and Exploiting Obfuscation Signatures in Malicious Code
US20140157412A1 (en) Device, method and non-transitory computer readable storage medium thereof for performing anonymous testing on electronic digital

Legal Events

Date Code Title Description
A201 Request for examination
WITB Written withdrawal of application