KR20190120312A - 서명 생성 장치, 서명 생성 방법, 컴퓨터 판독가능 기록 매체에 저장된 프로그램 - Google Patents
서명 생성 장치, 서명 생성 방법, 컴퓨터 판독가능 기록 매체에 저장된 프로그램 Download PDFInfo
- Publication number
- KR20190120312A KR20190120312A KR1020197027930A KR20197027930A KR20190120312A KR 20190120312 A KR20190120312 A KR 20190120312A KR 1020197027930 A KR1020197027930 A KR 1020197027930A KR 20197027930 A KR20197027930 A KR 20197027930A KR 20190120312 A KR20190120312 A KR 20190120312A
- Authority
- KR
- South Korea
- Prior art keywords
- signature
- attack data
- string
- unit
- tentatively
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
- G06F16/90344—Query processing by using string matching techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
서명 생성 장치(2)는 위협 정보를 수집하는 수집 유닛(11); 수집 유닛(11)에 의해 수집된 위협 정보로부터 공격 데이터를 추출하는 추출 유닛(21); 및 추출 유닛(21)에 의해 추출된 공격 데이터에 기초하여 서명을 생성하는 생성 유닛(31)을 포함한다. 추출 유닛(21)에 의해 공통 문자열을 갖는 복수의 공격 데이터가 추출되는 경우, 생성 유닛(31)은 공통 문자열을 포함하는 서명을 잠정적으로 생성하고, 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하고, 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는 경우, 문자열을 잠정적으로 생성된 서명으로부터 제거하여 서명을 생성한다.
Description
본 개시내용은 서명 생성 장치, 서명 생성 방법 및 프로그램에 관한 것이다.
컴퓨터는 외부로부터 멀웨어와 같은 공격 데이터에 의해 공격받기 쉽다. 멀웨어는 컴퓨터를 부정하게 또한 유해하게 동작시킬 의도로 작성된 악의가 있는 소프트웨어이며, 예로는 컴퓨터 바이러스 및 웜을 포함한다.
이러한 공격 데이터를 검출하는 하나의 접근법은 서명 기반 시스템이라고 불리는 것이 있다. 서명 기반 시스템에서는, 공격 데이터를 정의하는 서명이 등록되고, 외부로부터의 데이터가 공격 데이터인지는 서명의 사용에 의해 판단된다.
무수한 기존 공격 데이터가 존재하며, 새로운 공격 데이터가 차례로 나타난다. 따라서, 서명도 계속해서 생성되고 갱신될 필요가 있다. 그러나, 단일 사람 또는 조직이 무수한 기존 공격 데이터를 모두 추적하고 서명을 생성하는 것을 유지하는 것은 어렵다.
따라서, 최근에는, 위협 정보를 수집하고 수집된 위협 정보에 기초하여 서명을 자동으로 생성하는 기술이 제안되었다(예를 들어, 특허 문헌 1 및 2).
특허문헌 1 및 2에 개시된 기술에 따르면, 위협 정보에 기초하여 생성되는 서명이 특히 검증되지 않는다. 따라서, 이 기술은 서명이 비공격 데이터를 공격 데이터라고 잘못 식별할 수 있다는 점에서 단점이 있다.
상술한 단점을 고려하여, 본 개시내용은 비공격 데이터를 공격 데이터라고 잘못 식별할 가능성을 감소시키는 서명을 생성할 수 있는 서명 생성 장치, 서명 생성 방법 및 프로그램을 제공하는 것에 관한 것이다.
일 양태에서, 서명 생성 장치는
위협 정보를 수집하도록 구성된 수집 유닛;
수집 유닛에 의해 수집된 위협 정보로부터 공격 데이터를 추출하도록 구성된 추출 유닛; 및
추출 유닛에 의해 추출된 공격 데이터에 기초하여 서명을 생성하도록 구성된 생성 유닛을 포함하고,
생성 유닛은
추출 유닛에 의해 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때, 공통 문자열을 포함하는 서명을 잠정적으로 생성하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 문자열을 잠정적으로 생성된 서명으로부터 제거하여 서명을 생성하도록 구성된다.
일 양태에서, 서명 생성 방법은 서명 생성 장치에 의한 서명 생성 방법이며, 본 방법은
위협 정보를 수집하는 수집 스텝;
수집 스텝에서 수집된 위협 정보로부터 공격 데이터를 추출하는 추출 스텝; 및
추출 스텝에서 추출된 공격 데이터에 기초하여 서명을 생성하는 생성 스텝을 포함하고,
생성 스텝은,
추출 스텝에서 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때, 공통 문자열을 포함하는 서명을 잠정적으로 생성하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 문자열을 잠정적으로 생성된 서명으로부터 제거하여 서명을 생성하는 것을 포함한다.
일 양태에서, 프로그램은 컴퓨터가,
위협 정보를 수집하는 수집 절차;
수집 절차에서 수집된 위협 정보로부터 공격 데이터를 추출하는 추출 절차; 및
추출 절차에서 추출된 공격 데이터에 기초하여 서명을 생성하는 생성 절차를 실행하게 하고,
생성 절차는,
추출 절차에서 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때, 공통 문자열을 포함하는 서명을 잠정적으로 생성하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 문자열을 잠정적으로 생성된 서명으로부터 제거하여 서명을 생성하는 것을 포함한다.
전술한 양태들은 비공격 데이터를 공격 데이터라고 잘못 식별할 가능성을 감소시키는 서명을 생성할 수 있는 유리한 효과를 획득할 수 있게 한다.
도 1은 본 개시내용의 실시 형태에 따른 서명 생성 장치의 구성예를 도시한다.
도 2는 도 1에 도시된 추출 룰 DB에 등록된 추출 룰의 일례를 도시한다.
도 3은 도 1에 도시된 추출 유닛에 보유된 공격 데이터의 데이터 포맷의 일례를 도시한다.
도 4는 도 1에 도시된 서명 생성 유닛의 동작예를 도시한다.
도 5는 도 1에 도시된 서명 생성 장치의 처리 흐름의 일례를 도시하는 흐름도이다.
도 6은 본 개시내용에 따른 서명 생성 장치의 구성예를 도시한다.
도 2는 도 1에 도시된 추출 룰 DB에 등록된 추출 룰의 일례를 도시한다.
도 3은 도 1에 도시된 추출 유닛에 보유된 공격 데이터의 데이터 포맷의 일례를 도시한다.
도 4는 도 1에 도시된 서명 생성 유닛의 동작예를 도시한다.
도 5는 도 1에 도시된 서명 생성 장치의 처리 흐름의 일례를 도시하는 흐름도이다.
도 6은 본 개시내용에 따른 서명 생성 장치의 구성예를 도시한다.
이하, 도면들을 참조하여 본 개시내용의 실시 형태에 대해서 설명할 것이다.
먼저, 도 1을 참조하여, 본 실시 형태에 따른 서명 생성 장치(1)의 구성에 대해서 설명할 것이다. 도 1은 본 실시 형태에 따른 서명 생성 장치(1)의 구성예를 도시한다. 서명 생성 장치(1)는 수집 유닛(10), 추출 유닛(20), 서명 생성 유닛(30), 서명 제출 유닛(40), 수집 룰 데이터베이스(DB)(50), 추출 룰 DB(60), 생성 룰 DB(70) 및 제출 룰 DB(80)를 포함한다. 수집 룰 DB(50), 추출 룰 DB(60), 생성 룰 DB(70) 및 제출 룰 DB(80)는 서명 생성 장치(1)의 내부에 제공되는 것에 한정되지 않고 서명 생성 장치(1)의 외부에 제공될 수 있다.
수집 유닛(10)은 수집 룰 DB(50)에 등록된 수집 룰에 따라 위협 정보를 수집한다. 위협 정보는 컴퓨터에 위협을 표시하고 다수의 위협 정보 제공자에 의해 제공된다. 수집 룰은 예를 들어, 위협 정보의 소스(예를 들어, 위협 정보 제공자의 서버)의 URL(uniform resource locator), 그 소스로부터 수집된 위협 정보의 타입(예를 들어, IP(internet protocol) 어드레스에 대한 위협 정보) 등을 정의한다. 수집 유닛(10)은 예를 들어, 수집 룰에 의해 정의된 URL 하에서 소스로부터 수집 룰에 의해 정의된 타입의 위협 정보를 수집한다.
추출 유닛(20)은 추출 룰 DB(60)에 등록된 추출 룰에 따라 수집 유닛(10)에 의해 수집된 위협 정보로부터 공격 데이터를 추출한다. 추출 유닛(20)의 동작은 상세하게 후술될 것이다.
서명 생성 유닛(30)은 추출 유닛(20)에 의해 추출된 공격 데이터에 기초하여 그리고 생성 룰 DB(70)에 등록된 생성 룰에 따라 서명을 생성한다. 서명 생성 유닛(30)의 동작에 대해서는 상세하게 후술될 것이다.
서명 제출 유닛(40)은 제출 룰 DB(80)에 등록된 제출 룰에 따라 서명 생성 유닛(30)에 의해 생성된 서명을 제출 목적지에 제출한다. 서명의 제출 목적지는 외부로부터 컴퓨터에 들어오는 공격 데이터를 검출하는 장치이고, 예를 들어, 네트워크 상에 배치된 시큐리티 서버, 클라이언트 단말기 내에 배치된 시큐리티 모듈 등이다. 제출 룰은 예를 들어, 서명을 제출하는 제출 목적지, 그 제출 목적지에 액세스하는 방법(예를 들어, 식별(ID) 및/또는 패스워드) 등을 정의한다. 서명 제출 유닛(40)은 예를 들어, 제출 룰에 의해 정의된 제출 목적지에, 제출 룰에 의해 정의된 액세스 방법을 통해 액세스하고, 서명을 제출한다.
이제, 도 2 및 도 3을 참조하여, 본 실시 형태에 따른 추출 유닛(20)의 동작에 대해서 설명할 것이다. 도 2는 추출 룰 DB(60)에 등록된 추출 룰의 일례를 도시한다. 도 2에 도시된 추출 룰은 위협 정보의 타입(도 2에서의 "Type"), 위협 정보로부터 공격 데이터를 추출하는 룰(도 2에서의 "rule"), 추출된 공격 데이터로 설정된 태그(도 2에서의 "tag"), 및 위협 정보의 소스의 URL(도 2에서의 "URL(Source)")을 정의한다.
추출 유닛(20)은 추출 룰에 의해 정의된 URL 하에서 소스로부터 수집 유닛(10)에 의해 수집되며, 추출 룰에 의해 정의된 타입인 위협 정보로부터, 추출 룰에 의해 정의된 룰에 따라 공격 데이터를 추출한다. 다음으로, 추출 유닛(20)은 추출된 공격 데이터에 추출 룰에 의해 정의된 태그를 설정한다.
보다 구체적으로, 추출 유닛(20)은 URL "https://www.binarydefense.com/tor.txt" 하에서 소스로부터 수집되며, 타입 "IP address"인 위협 정보에 대해서는, 룰 "parser1"에 따라 공격 데이터를 추출한다. 다음으로, 추출 유닛(20)은 추출된 공격 데이터에, 태그 "tor"를 설정한다.
추출 유닛(20)은 상기에서 추출한 공격 데이터를 유지하고, 서명 생성 유닛(30)은 추출 유닛(20)에 의해 보유되어 있는 공격 데이터에 기초하여 서명을 생성한다.
여기서, 위협 정보는 위협 정보가 수집된 곳에 따라 상이한 데이터 포맷을 갖는다. 만일 추출 유닛(20)이 각각의 공격 데이터를 상이한 데이터 포맷으로 보유하고 있다면, 서명 생성 유닛(30)이 추출 유닛(20)에 보유된 주어진 공격 데이터를 검색할 때, 서명 생성 유닛(30)은 그 공격 데이터의 데이터 포맷을 인식할 필요가 있고, 이는 서명을 생성하는 데 필요한 시간을 증가시킨다.
따라서, 추출 유닛(20)은 상기에서 추출한 공격 데이터를 미리 결정된 데이터 포맷으로 변환하여 보유한다. 도 3은 추출 유닛(20)에 보유된 공격 데이터의 데이터 포맷의 일례를 도시한다. 도 3에 도시된 데이터 포맷의 헤더는 공격 데이터를 추출한 위협 정보의 소스(도 3에서의 "Source"), 그 위협 정보의 타입(도 3에서의 "Type"), 그 공격 데이터를 나타내는 오브젝트(도 3에서의 "Object"), 그 공격 데이터를 추출한 날자(도 3에서의 "date"), 그 공격 데이터에 설정된 태그(도 3에스의 "tag")이다. 공격 데이터를 나타내는 오브젝트는 공격 데이터 자체이거나 그 공격 데이터의 해시값일 수 있다. 해시값의 계산 방법은 도 2에 도시된 추출 룰에서, 예를 들어 룰에 의해 정의될 수 있다.
이러한 방식으로, 추출 유닛(20)이 공격 데이터를 미리 결정된 데이터 포맷으로 변환하여 보유하기 때문에, 서명 생성 유닛(30)은 추출 유닛(20)으로부터 공격 데이터를 신속하게 검색할 수 있고, 이는 서명을 생성하는 데 필요한 시간을 감소시킬 수 있게 한다.
이제, 도 4를 참조하여, 본 실시 형태에 따른 서명 생성 유닛(30)의 동작에 대해서 설명할 것이다. 도 4는 서명 생성 유닛(30)의 동작예를 도시한다. 본 명세서에서는, 공격 데이터가 멀웨어인 예에 대해서 설명할 것이다.
생성 룰 DB(70)에 등록된 생성 룰에는, 공통 문자열을 갖는 복수의 공격 데이터가 추출 유닛(20)에 의해 추출될 때, 공통 문자열을 포함하는 서명을 생성하는 것이 정의되어 있다. 따라서, 서명 생성 유닛(30)은, 공통 문자열을 갖는 복수의 공격 데이터가 추출 유닛(20)에 의해 추출될 때, 공통 문자열을 추출하고(스텝 S11), 공통 문자열을 포함하는 서명을 잠정적으로 생성한다(스텝 S12).
도 4에 도시된 예에서, 서명 생성 유닛(30)은 스텝 S11에서 공통 문자열로서 각각 5개의 문자열 A, B, C, D, E를 추출하고, 스텝 S12에서 함수 "A 및 B 및(C 또는 D) 및 E"로 멀웨어를 정의한 서명을 잠정적으로 생성한다.
생성 룰 DB(70)에는, 생성 룰 이외에, 화이트 리스트가 등록되며, 이 화이트 리스트는 공격 데이터가 아닌 비공격 데이터에서도 사용되는 문자열의 리스트이다. 또한, 생성 룰에는, 잠정적으로 생성된 서명에 포함되는 문자열과 화이트 리스트의 문자열 간의 매칭을 행하는 것이 정의되어 있다. 따라서, 서명 생성 유닛(30)은 잠정적으로 생성된 서명에 포함되는 문자열과 화이트 리스트의 문자열 간의 매칭을 행하고, 따라서 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가한다. 서명 생성 유닛(30)은, 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 잠정적으로 생성된 서명으로부터 해당 문자열을 제거하여 잠정적으로 생성된 서명을 수정한다(스텝 S13). 따라서, 서명이 생성된다.
도 4에 도시된 예에서, 서명 생성 유닛(30)은 잠정적으로 생성된 서명에 포함되는 5개의 문자열 A, B, C, D, E와 화이트 리스트의 문자열 간의 매칭을 행하고, 이는 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열 E(=</security>)을 포함하고 있다고 평가하게 된다. 따라서, 스텝 S13에서, 서명 생성 유닛(30)은 잠정적으로 생성된 서명으로부터 문자열 E를 제거하고, 멀웨어를 정의하는 함수를 "A 및 B 및(C 또는 D)"로 변경하여 서명을 수정한다. 또한, 수정된 서명에 태그를 설정한다. 따라서, 서명이 생성된다.
이러한 방식으로, 서명 생성 유닛(30)은 복수의 공격 데이터에 포함된 공통 문자열을 포함하는 서명을 잠정적으로 생성하고, 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 서명 생성 유닛(30)은 잠정적으로 생성된 서명으로부터 그 문자열을 제거하여 서명을 생성한다. 이것은 서명이 비공격 데이터를 공격 데이터라고 잘못 식별할 가능성을 감소시킬 수 있게 한다.
이제, 도 5를 참조하여, 본 실시 형태에 따른 서명 생성 장치(1)의 처리 흐름에 대해서 설명할 것이다. 도 5는 본 실시 형태에 따른 서명 생성 장치(1)의 처리 흐름의 일례를 도시하는 흐름도이다.
먼저, 수집 유닛(10)은 수집 룰 DB(50)에 등록된 수집 룰에 따라 위협 정보를 수집한다(스텝 S21). 다음으로, 추출 유닛(20)은 추출 룰 DB(60)에 등록된 추출 룰에 따라 수집 유닛(10)에 의해 수집된 위협 정보로부터 공격 데이터를 추출한다(스텝 S22).
다음으로, 서명 생성 유닛(30)은 생성 룰 DB(70)에 등록된 생성 룰에 따라 이하와 같이 서명을 생성한다.
서명 생성 유닛(30)은 추출 유닛(20)에 의해 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때까지 대기한다. 추출 유닛(20)에 의해 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때, 서명 생성 유닛(30)은 그 공통 문자열을 추출하고(스텝 S23), 추출된 공통 문자열을 포함하는 서명을 잠정적으로 생성한다(스텝 S24).
다음으로, 서명 생성 유닛(30)은 잠정적으로 생성된 서명에 포함되는 문자열과 화이트 리스트의 문자열 간의 매칭을 행하고, 따라서 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할지를 평가한다(스텝 S25).
스텝 S25에서, 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는 경우(스텝 S25에서의 "예"), 서명 생성 유닛(30)은 이 문자열을 잠정적으로 생성된 서명으로부터 제거하여 잠정적으로 생성된 서명을 수정한다(스텝 S26). 이 경우, 서명 생성 유닛(30)은 수정된 서명을 새롭게 생성된 서명으로 채택한다.
한편, 스텝 S25에서, 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 어떠한 문자열도 포함하지 않은 경우(스텝 S25에서의 "아니오"), 잠정적으로 생성된 서명은 어떠한 수정도 없이 새롭게 생성된 서명으로 채택된다.
그 후, 서명 제출 유닛(40)은 제출 룰 DB(80)에 등록된 제출 룰에 따라 서명 생성 유닛(30)에 의해 생성된 서명을 제출 목적지에 제출한다(스텝 S27).
전술한 바와 같이, 본 실시 형태에 따른 서명 생성 장치(1)에 의하면, 서명 생성 유닛(30)이 복수의 공격 데이터에 포함된 공통 문자열을 포함하는 서명을 잠정적으로 생성하고, 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 서명 생성 유닛(30)은 잠정적으로 생성된 서명으로부터 그 문자열을 제거하여 서명을 생성한다. 이것은 서명이 비공격 데이터를 공격 데이터라고 잘못 식별할 가능성을 감소시킬 수 있게 한다.
이하, 도 6을 참조하여, 본 개시내용에 따른 서명 생성 장치의 개요에 대하여 설명할 것이다. 도 6은 본 개시내용에 따른 서명 생성 장치(2)의 구성예를 도시한다. 서명 생성 장치(2)는 수집 유닛(11), 추출 유닛(21) 및 생성 유닛(31)을 포함한다.
수집 유닛(11)은 위협 정보를 수집한다. 수집 유닛(11)은 수집 유닛(10)에 대응한다.
추출 유닛(21)은 수집 유닛(11)에 의해 수집된 위협 정보로부터 공격 데이터를 추출한다. 추출 유닛(21)은 추출 유닛(20)에 대응한다.
생성 유닛(31)은 추출 유닛(21)에 의해 추출된 공격 데이터에 기초하여 서명을 생성한다. 구체적으로, 생성 유닛(31)은, 추출 유닛(21)에 의해 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때, 그 공통 문자열을 포함하는 서명을 잠정적으로 생성한다. 다음으로, 생성 유닛(31)은 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가한다. 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는 경우, 생성 유닛(31)은 그 문자열을 잠정적으로 생성된 서명으로부터 제거하여 서명을 생성한다. 생성 유닛(31)은 서명 생성 유닛(30)에 대응한다.
전술한 바와 같이, 본 개시내용에 따른 서명 생성 장치(2)에 의하면, 생성 유닛(31)은 복수의 공격 데이터에 포함된 공통 문자열을 포함하는 서명을 잠정적으로 생성하고, 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 생성 유닛(31)은 잠정적으로 생성된 서명으로부터 그 문자열을 제거하여 서명을 생성한다. 이것은 서명이 비공격 데이터를 공격 데이터라고 잘못 식별할 가능성을 감소시킬 수 있게 한다.
지금까지, 실시 형태를 참조하여 본 출원의 개시내용의 다양한 양태를 설명했지만, 본 출원의 개시내용은 전술한 것에 의해 한정되지 않는다. 본 출원의 개시내용의 각 양태의 구성 및 상세에 대해서는 본 분야의 숙련된 자가 이해할 수 있는 다양한 변경이 이루어질 수 있다.
예를 들어, 전술한 실시 형태에서는, 기능 블록들(수집 유닛, 추출 유닛, 서명 생성 유닛(또는 생성 유닛) 및 서명 제출 유닛)이 동일 장치 내에 제공되었지만, 이것은 제한적인 예가 아니다. 이들 기능 블록은 개별 장치에 제공되고 케이블을 통해 또는 무선으로 상호접속될 수 있다.
전술한 실시 형태에서의 각 기능 블록은 하드웨어 또는 소프트웨어, 또는 양쪽 모두에 의해 구성될 수 있고, 각 기능 블록은 단일의 하드웨어, 단일의 소프트웨어, 복수의 하드웨어, 또는 복수의 소프트웨어에 의해 구성될 수 있다. 각 장치의 기능(처리)는 중앙 처리 유닛(CPU), 메모리 등을 갖는 컴퓨터에 의해 구현될 수 있다. 예를 들어, 실시 형태에 따른 서명 생성 방법을 구현하기 위한 프로그램은 메모리에 저장될 수 있고, 메모리에 저장된 이 프로그램을 CPU에 의해 실행시켜서 각 기능을 구현할 수 있다.
전술한 프로그램은 다양한 타입의 비일시적 컴퓨터 판독가능 매체를 사용하여 저장되고 컴퓨터에 공급될 수 있다. 비일시적 컴퓨터 판독가능 매체는 다양한 타입의 유형 저장 매체를 포함한다. 비일시적 컴퓨터 판독가능 매체의 예는 자기 저장 매체(예를 들어, 플렉시블 디스크, 자기 테이프, 하드디스크 드라이브), 광자기 저장 매체(예를 들어, 광자기 디스크), 콤팩트 디스크 판독 전용 메모리(CD-ROM), 콤팩트 디스크 기록가능(CD-R), 콤팩트 디스크 재기록가능(CD-R/W), 반도체 메모리(예를 들어, 마스크 ROM, 프로그램가능 ROM(PROM), 소거가능 PROM(EPROM), 플래시 ROM, 랜덤 액세스 메모리(RAM)를 포함한다. 또한, 프로그램은 다양한 타입의 일시적 컴퓨터 판독가능 매체의 형태로 컴퓨터에 공급될 수 있다. 일시적 컴퓨터 판독가능 매체의 예는 전기 신호, 광신호 및 전자파를 포함한다. 일시적 컴퓨터 판독가능 매체는 전선 또는 광 파이버와 같은 유선 통신선 또는 무선 통신선을 통해 프로그램을 컴퓨터에 공급할 수 있다.
전술한 실시 형태의 일부 또는 전부는 또한 이하의 부기에서와 같이 표현될 수 있지만, 이하의 것에 한정되지 않는다.
(부기 1)
서명 생성 장치는:
위협 정보를 수집하도록 구성된 수집 유닛;
수집 유닛에 의해 수집된 위협 정보로부터 공격 데이터를 추출하도록 구성된 추출 유닛; 및
추출 유닛에 의해 추출된 공격 데이터에 기초하여 서명을 생성하도록 구성된 생성 유닛을 포함하고,
생성 유닛은
추출 유닛에 의해 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때, 공통 문자열을 포함하는 서명을 잠정적으로 생성하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 문자열을 잠정적으로 생성된 서명으로부터 제거하여 서명을 생성하도록 구성된다.
(부기 2)
부기 1에 따른 서명 생성 장치에서,
비공격 데이터에 사용되는 문자열은 데이터베이스에 저장되고,
생성 유닛은 잠정적으로 생성된 서명에 포함되는 문자열과 데이터베이스에 저장된 문자열 간의 매칭을 행하여 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하도록 구성된다.
(부기 3)
부기 1 또는 2에 따른 서명 생성 장치에서,
추출 유닛은 공격 데이터의 데이터 포맷을 미리 결정된 데이터 포맷으로 변환하여 보유하도록 구성된다.
(부기 4)
부기 1 내지 3 중 어느 하나에 따른 서명 생성 장치는:
생성 유닛에 의해 생성된 서명을 특정 제출 목적지에 제출하도록 구성된 제출 유닛을 더 포함한다.
(부기 5)
서명 생성 장치에 의한 서명 생성 방법은:
위협 정보를 수집하는 수집 스텝;
수집 스텝에서 수집된 위협 정보로부터 공격 데이터를 추출하는 추출 스텝; 및
추출 스텝에서 추출된 공격 데이터에 기초하여 서명을 생성하는 생성 스텝을 포함하고,
생성 스텝은,
추출 스텝에서 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때, 공통 문자열을 포함하는 서명을 잠정적으로 생성하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 문자열을 잠정적으로 생성된 서명으로부터 제거하여 서명을 생성하는 것을 포함한다.
(부기 6)
부기 5에 따른 서명 생성 방법에서,
비공격 데이터에 사용되는 문자열은 데이터베이스에 저장되고,
생성 스텝은 잠정적으로 생성된 서명에 포함되는 문자열과 데이터베이스에 저장된 문자열 간의 매칭을 행하여 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가한다.
(부기 7)
부기 5 또는 6에 따른 서명 생성 방법에서,
추출 스텝은 공격 데이터의 데이터 포맷을 미리 결정된 데이터 포맷으로 변환하여 보유하는 것을 포함한다.
(부기 8)
부기 5 내지 7 중 어느 하나에 따른 서명 생성 방법은:
생성 스텝에서 생성된 서명을 특정 제출 목적지에 제출하는 제출 스텝을 더 포함한다.
(부기 9)
프로그램은 컴퓨터가,
위협 정보를 수집하는 수집 절차;
수집 절차에서 수집된 위협 정보로부터 공격 데이터를 추출하는 추출 절차; 및
추출 절차에서 추출된 공격 데이터에 기초하여 서명을 생성하는 생성 절차를 실행하게 하고,
생성 절차는,
추출 절차에서 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때, 공통 문자열을 포함하는 서명을 잠정적으로 생성하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 문자열을 잠정적으로 생성된 서명으로부터 제거하여 서명을 생성하는 것을 포함한다.
(부기 10)
부기 9에 따른 프로그램에서,
비공격 데이터에 사용되는 문자열은 데이터베이스에 저장되고,
생성 절차는 잠정적으로 생성된 서명에 포함되는 문자열과 데이터베이스에 저장된 문자열 간의 매칭을 행하여 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가한다.
(부기 11)
부기 9 또는 10에 따른 프로그램에서,
생성 절차는 공격 데이터의 데이터 포맷을 미리 결정된 데이터 포맷으로 변환하여 보유하는 것을 포함한다.
(부기 12)
부기 9 내지 11 중 어느 하나에 따른 프로그램은:
생성 절차에서 생성된 서명을 특정 제출 목적지에 제출하는 제출 절차를 더 포함한다.
이 출원은 2017년 3월 28일에 출원된 일본 특허 출원 제2017-062918호에 대한 우선권을 주장하고, 그 전체 개시내용은 본 명세서에 포함된다.
1 : 서명 생성 장치
10 : 수집 유닛
20 : 추출 유닛
30 : 서명 생성 유닛
40 : 서명 제출 유닛
50 : 수집 룰 DB
60 : 추출 룰 DB
70 : 생성 룰 DB
80 : 제출 룰 DB
2 : 서명 생성 장치
11 : 수집 유닛
21 : 추출 유닛
31 : 생성 유닛
10 : 수집 유닛
20 : 추출 유닛
30 : 서명 생성 유닛
40 : 서명 제출 유닛
50 : 수집 룰 DB
60 : 추출 룰 DB
70 : 생성 룰 DB
80 : 제출 룰 DB
2 : 서명 생성 장치
11 : 수집 유닛
21 : 추출 유닛
31 : 생성 유닛
Claims (9)
- 서명 생성 장치로서,
위협 정보를 수집하도록 구성된 수집 유닛;
상기 수집 유닛에 의해 수집된 위협 정보로부터 공격 데이터를 추출하도록 구성된 추출 유닛; 및
상기 추출 유닛에 의해 추출된 공격 데이터에 기초하여 서명을 생성하도록 구성된 생성 유닛을 포함하고,
상기 생성 유닛은
상기 추출 유닛에 의해 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때, 상기 공통 문자열을 포함하는 서명을 잠정적으로 생성하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하고,
상기 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 상기 문자열을 상기 잠정적으로 생성된 서명으로부터 제거하여 서명을 생성하도록 구성된 서명 생성 장치. - 제1항에 있어서,
상기 비공격 데이터에 사용되는 문자열은 데이터베이스에 저장되고,
상기 생성 유닛은 상기 잠정적으로 생성된 서명에 포함되는 문자열과 상기 데이터베이스에 저장된 문자열 간의 매칭을 행하여 상기 잠정적으로 생성된 서명이 상기 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하도록 구성된 서명 생성 장치. - 제1항 또는 제2항에 있어서,
상기 추출 유닛은 상기 공격 데이터를 미리 결정된 데이터 포맷으로 변환하여 보유하도록 구성되는 서명 생성 장치. - 제1항 내지 제3항 중 어느 한 항에 있어서,
상기 생성 유닛에 의해 생성된 서명을 특정 제출 목적지에 제출하도록 구성된 제출 유닛을 더 포함하는 서명 생성 장치. - 서명 생성 장치에 의한 서명 생성 방법으로서,
위협 정보를 수집하는 수집 스텝;
상기 수집 스텝에서 수집된 위협 정보로부터 공격 데이터를 추출하는 추출 스텝; 및
상기 추출 스텝에서 추출된 공격 데이터에 기초하여 서명을 생성하는 생성 스텝을 포함하고,
상기 생성 스텝은,
상기 추출 스텝에서 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때, 상기 공통 문자열을 포함하는 서명을 잠정적으로 생성하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하고,
상기 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 상기 문자열을 상기 잠정적으로 생성된 서명으로부터 제거하여 서명을 생성하는 것을 포함하는 서명 생성 방법. - 제5항에 있어서,
상기 비공격 데이터에 사용되는 문자열은 데이터베이스에 저장되고,
상기 생성 스텝은 상기 잠정적으로 생성된 서명에 포함되는 문자열과 상기 데이터베이스에 저장된 문자열 간의 매칭을 행하여 상기 잠정적으로 생성된 서명이 상기 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하는 것을 포함하는 서명 생성 방법. - 제5항 또는 제6항에 있어서,
상기 추출 스텝은 상기 공격 데이터를 미리 결정된 데이터 포맷으로 변환하여 보유하는 것을 포함하는 서명 생성 방법. - 제5항 내지 제7항 중 어느 한 항에 있어서,
상기 생성 스텝에서 생성된 서명을 특정 제출 목적지에 제출하는 제출 스텝을 더 포함하는 서명 생성 방법. - 프로그램을 저장하는 비일시적 컴퓨터 판독가능 매체로서,
상기 프로그램은,
컴퓨터로 하여금,
위협 정보를 수집하는 수집 절차;
상기 수집 절차에서 수집된 위협 정보로부터 공격 데이터를 추출하는 추출 절차; 및
상기 추출 절차에서 추출된 공격 데이터에 기초하여 서명을 생성하는 생성 절차를 실행하게 하고,
상기 생성 절차는,
상기 추출 절차에서 공통 문자열을 갖는 복수의 공격 데이터가 추출될 때, 상기 공통 문자열을 포함하는 서명을 잠정적으로 생성하고,
잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함하는지를 평가하고,
상기 잠정적으로 생성된 서명이 비공격 데이터에 사용되는 문자열을 포함할 때, 상기 문자열을 상기 잠정적으로 생성된 서명으로부터 제거하여 서명을 생성하는 것을 포함하는 비일시적 컴퓨터 판독가능 매체.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017062918 | 2017-03-28 | ||
JPJP-P-2017-062918 | 2017-03-28 | ||
PCT/JP2017/045830 WO2018179628A1 (ja) | 2017-03-28 | 2017-12-20 | シグネチャ生成装置、シグネチャ生成方法、プログラムが格納された非一時的なコンピュータ可読媒体 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20190120312A true KR20190120312A (ko) | 2019-10-23 |
Family
ID=63674508
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020197027930A KR20190120312A (ko) | 2017-03-28 | 2017-12-20 | 서명 생성 장치, 서명 생성 방법, 컴퓨터 판독가능 기록 매체에 저장된 프로그램 |
Country Status (6)
Country | Link |
---|---|
US (1) | US11429717B2 (ko) |
JP (1) | JPWO2018179628A1 (ko) |
KR (1) | KR20190120312A (ko) |
CN (1) | CN110506268A (ko) |
RU (1) | RU2019130058A (ko) |
WO (1) | WO2018179628A1 (ko) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003058457A1 (en) | 2001-12-31 | 2003-07-17 | Citadel Security Software Inc. | Automated computer vulnerability resolution system |
JP2005520230A (ja) | 2002-03-08 | 2005-07-07 | サイファートラスト, インコーポレイテッド | 電子セキュリティを強化するシステムおよび方法 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005047862A2 (en) * | 2003-11-12 | 2005-05-26 | The Trustees Of Columbia University In The City Of New York | Apparatus method and medium for identifying files using n-gram distribution of data |
WO2006036763A2 (en) * | 2004-09-22 | 2006-04-06 | Cyberdefender Corporation | System for distributing information using a secure peer-to-peer network |
JP4585925B2 (ja) | 2005-06-16 | 2010-11-24 | 株式会社日立製作所 | セキュリティ設計支援方法及び支援装置 |
US7730040B2 (en) | 2005-07-27 | 2010-06-01 | Microsoft Corporation | Feedback-driven malware detector |
US8713686B2 (en) | 2006-01-25 | 2014-04-29 | Ca, Inc. | System and method for reducing antivirus false positives |
US8201244B2 (en) * | 2006-09-19 | 2012-06-12 | Microsoft Corporation | Automated malware signature generation |
GB2470928A (en) * | 2009-06-10 | 2010-12-15 | F Secure Oyj | False alarm identification for malware using clean scanning |
JP2012003463A (ja) | 2010-06-16 | 2012-01-05 | Kddi Corp | シグネチャの生成を支援する支援装置、方法及びプログラム |
US8813228B2 (en) | 2012-06-29 | 2014-08-19 | Deloitte Development Llc | Collective threat intelligence gathering system |
JP5868515B2 (ja) * | 2012-09-25 | 2016-02-24 | 三菱電機株式会社 | シグニチャ検証装置及びシグニチャ検証方法及びプログラム |
RU2573262C2 (ru) | 2014-05-12 | 2016-01-20 | Самсунг Электроникс Ко., Лтд. | Способ теплового анализа портативных электронных устройств на основе измерений |
US9665716B2 (en) * | 2014-12-23 | 2017-05-30 | Mcafee, Inc. | Discovery of malicious strings |
KR102390355B1 (ko) * | 2015-11-16 | 2022-04-26 | 한국전자통신연구원 | 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법 및 장치 |
US10547627B2 (en) * | 2016-03-08 | 2020-01-28 | Palo Alto Networks, Inc. | Malicious HTTP cookies detection and clustering |
US10855701B2 (en) * | 2017-11-03 | 2020-12-01 | F5 Networks, Inc. | Methods and devices for automatically detecting attack signatures and generating attack signature identifications |
WO2020186033A1 (en) * | 2019-03-13 | 2020-09-17 | Arun Lakhotia | Method for automatic creation of malware detection signature |
-
2017
- 2017-12-20 RU RU2019130058A patent/RU2019130058A/ru not_active Application Discontinuation
- 2017-12-20 US US16/497,124 patent/US11429717B2/en active Active
- 2017-12-20 CN CN201780089063.0A patent/CN110506268A/zh active Pending
- 2017-12-20 WO PCT/JP2017/045830 patent/WO2018179628A1/ja active Application Filing
- 2017-12-20 KR KR1020197027930A patent/KR20190120312A/ko not_active Application Discontinuation
- 2017-12-20 JP JP2019508574A patent/JPWO2018179628A1/ja active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003058457A1 (en) | 2001-12-31 | 2003-07-17 | Citadel Security Software Inc. | Automated computer vulnerability resolution system |
JP2005520230A (ja) | 2002-03-08 | 2005-07-07 | サイファートラスト, インコーポレイテッド | 電子セキュリティを強化するシステムおよび方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110506268A (zh) | 2019-11-26 |
WO2018179628A1 (ja) | 2018-10-04 |
RU2019130058A3 (ko) | 2021-04-28 |
US11429717B2 (en) | 2022-08-30 |
US20200380128A1 (en) | 2020-12-03 |
RU2019130058A (ru) | 2021-04-28 |
JPWO2018179628A1 (ja) | 2020-01-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11330014B2 (en) | Optically analyzing text strings such as domain names | |
CA2966408C (en) | A system and method for network intrusion detection of covert channels based on off-line network traffic | |
WO2020249112A1 (zh) | 基于内存取证和区块链的电子证据固定和网络取证方法及系统 | |
US10491618B2 (en) | Method and apparatus for website scanning | |
US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
Prasse et al. | Malware detection by analysing network traffic with neural networks | |
JP6397932B2 (ja) | エンドポイントからのネットワークリクエストに言語分析を適用するマルウェアに感染しているマシンを識別するためのシステム | |
US8707426B1 (en) | Method and apparatus for resolving a cousin domain name to detect web-based fraud | |
US11544575B2 (en) | Machine-learning based approach for malware sample clustering | |
US11270001B2 (en) | Classification apparatus, classification method, and classification program | |
US10462168B2 (en) | Access classifying device, access classifying method, and access classifying program | |
KR101859562B1 (ko) | 취약점 정보 분석 방법 및 장치 | |
CN109862021B (zh) | 威胁情报的获取方法及装置 | |
US11140196B1 (en) | Malware fingerprinting on encrypted transport layer security (TLS) traffic | |
US11159566B2 (en) | Countering phishing attacks | |
CN113726818B (zh) | 一种失陷主机检测方法及装置 | |
WO2018143097A1 (ja) | 判定装置、判定方法、および、判定プログラム | |
JP6538618B2 (ja) | 管理装置及び管理方法 | |
KR20190120312A (ko) | 서명 생성 장치, 서명 생성 방법, 컴퓨터 판독가능 기록 매체에 저장된 프로그램 | |
CN113726826B (zh) | 一种威胁情报生成方法及装置 | |
KR101542762B1 (ko) | 네트워크 기반 세이프 브라우징(Safe-Browsing) DB 생성 및 배포 방법, 세이프 브라우징 DB를 이용한 세이프 브라우징(Safe-Browsing) 강제화 방법 | |
Hobert et al. | Enhancing cyber attribution through behavior similarity detection on linux shell honeypots with att&ck framework | |
WO2023175954A1 (ja) | 情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体 | |
Cassagne et al. | Following the Obfuscation Trail: Identifying and Exploiting Obfuscation Signatures in Malicious Code | |
US20140157412A1 (en) | Device, method and non-transitory computer readable storage medium thereof for performing anonymous testing on electronic digital |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
WITB | Written withdrawal of application |