KR20190134287A - security provenance providing system for providing of the root cause of security problems and the method thereof - Google Patents

security provenance providing system for providing of the root cause of security problems and the method thereof Download PDF

Info

Publication number
KR20190134287A
KR20190134287A KR1020180059740A KR20180059740A KR20190134287A KR 20190134287 A KR20190134287 A KR 20190134287A KR 1020180059740 A KR1020180059740 A KR 1020180059740A KR 20180059740 A KR20180059740 A KR 20180059740A KR 20190134287 A KR20190134287 A KR 20190134287A
Authority
KR
South Korea
Prior art keywords
security
network
source data
packet
attack
Prior art date
Application number
KR1020180059740A
Other languages
Korean (ko)
Other versions
KR102131496B1 (en
Inventor
신승원
이승현
서현민
Original Assignee
한국과학기술원
아토리서치(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국과학기술원, 아토리서치(주) filed Critical 한국과학기술원
Priority to KR1020180059740A priority Critical patent/KR102131496B1/en
Publication of KR20190134287A publication Critical patent/KR20190134287A/en
Application granted granted Critical
Publication of KR102131496B1 publication Critical patent/KR102131496B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to a security source providing system for constructing an attack history graph for collecting forensic data in a dynamic network environment and delivering a cybercrime plan and a method thereof. According to the present invention, a security analysis platform that provides a network administrator with a clear view of attack information of an attack start point and attack procedures can be provided.

Description

보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법{security provenance providing system for providing of the root cause of security problems and the method thereof}Security provenance providing system for providing of the root cause of security problems and the method

본 발명은 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법에 관한 것으로, 보다 상세하게는 동적 네트워크 환경에서 포렌식(forensic) 데이터를 수집하여 사이버 범죄 계획을 전달하는 공격 히스토리 그래프를 구성하는 기술에 관한 것이다. The present invention relates to a system and method for providing a security source for providing a root cause of a security problem, and more particularly, to construct an attack history graph that collects forensic data in a dynamic network environment and delivers a cyber crime plan. It's about technology.

현대의 기업 네트워크는 웹 및 이메일의 다양한 서비스들을 운영하기 위한 이기종 시스템들(예를 들어, 라우터 및 호스트)을 포함한다. 이러한 다양성과 이질성(heterogeneity)에 의해, 네트워크 관리자가 다중 공격 경로를 채택하는 APT(Advanced persistent threat, 지능형 지속 공격)와 같은 정교한 공격 시도들을 추적하거나 모니터링하는 것이 매우 어려워졌다.Modern enterprise networks include heterogeneous systems (eg, routers and hosts) for running various services of the web and email. This diversity and heterogeneity makes it very difficult for network administrators to track or monitor sophisticated attack attempts such as Advanced persistent threats (APTs), which employ multiple attack vectors.

최근 들어, 네트워크 가상화 및 이동성 관리와 같은 주요 연구 혁신의 출현으로, 기업 네트워크는 다음 세대로의 전환으로 변화하고 있다. 이러한 전환은 기업 네트워크가 전자 상거래 및 전자 투표 등의 보다 다양하고 복잡한 서비스를 지원한다는 장점이 존재하나, 보안 측면에서는 치명적인 부작용이 도래한다. In recent years, with the advent of major research innovations such as network virtualization and mobility management, enterprise networks are transitioning to the next generation. This shift has the advantage that corporate networks support a wider variety of complex services, such as e-commerce and e-voting, but with security side effects.

이기종 시스템들 및 서비스가 실행 됨에 따라, 네트워크의 구조 및 서비스가 이전보다 복잡해졌기 때문에, 네트워크 관리자가 보안 문제들을 모두 감지하는 것이 매우 어려워졌다. As heterogeneous systems and services are implemented, it becomes very difficult for network administrators to detect all security problems, because the structure and services of the network are more complex than ever before.

대표적으로, 최근에 기업 네트워크 내부의 주요 자산들을 대상으로 하는 많은 APT(Advanced persistent threat, 지능형 지속 공격)이 등장했다. 이들은 주요 자산들을 탈취 및 제어하기 위하여 네트워크로 진입하는 데 사용되는 접근 가능한 호스트를 손상시킨다. 다양한 공격 시나리오를 나열하기 어려운 만큼, 공격 시도들을 감지하는 것은 매우 어려운 실정이다. 예를 들어, 공격자들은 내부 네트워크에 대한 채널을 오픈하거나, 내부 네트워크 사용자에게 악성 이메일을 보내기 위하여 내부 네트워크에 대한 접근 권한이 있는 모바일 노드를 손상시킬 수 있다. Representatively, a number of advanced persistent threats (APTs) have recently emerged that target key assets within the corporate network. These compromise the accessible hosts used to enter the network to steal and control key assets. As it is difficult to list various attack scenarios, it is very difficult to detect attack attempts. For example, an attacker could compromise a mobile node that has access to the internal network to open a channel to the internal network or send malicious emails to internal network users.

이러한 공격을 감지하기 위해, 네트워크 관리자는 네트워크의 공격면(attack surface)을 최소화 및 축소하려는 많은 노력을 기울여 왔다. 예를 들면, 네트워크 관리자는 특정 공격시도를 감지 및 감시하고, 외부 보안 서비스를 아웃소싱하기 위하여 네트워크에 침입 탐지 시스템(Network Intrusion Detection System, NIDS) 및 방화벽(firewall)과 같은 다양한 보안 기능성들을 배치하였다. To detect such attacks, network administrators have made many efforts to minimize and reduce the attack surface of the network. For example, network administrators have deployed a variety of security functions, such as Network Intrusion Detection System (NIDS) and firewalls, to detect and monitor specific attack attempts and outsource external security services.

그러나, 이러한 노력에도 불구하고, APT와 같은 복잡하고 정교한 공격은 여전히 문제가 되었다. 이러한 공격들은 다양한 공격 경로와 단계를 사용할 수 있기 때문에, 네트워크 관리자가 그것들을 인지하기는 매우 어렵다. 더욱이, 네트워크 관리자는 공격들이 진행되거나, 진행되는 공격의 시작 시점을 놓칠 가능성이 매우 높으며, 이는 향후 다른 공격들 또한 접근 가능하다는 것을 의미한다. However, despite these efforts, complex and sophisticated attacks such as APT remain a problem. Because these attacks can use a variety of attack vectors and steps, it is very difficult for network administrators to recognize them. Moreover, network administrators are very likely to miss attacks or miss the start of an ongoing attack, which means other attacks will be accessible in the future.

본 발명의 목적은 네트워크 관리자에게 공격 시작 지점 및 공격 절차의 공격 정보에 대한 명확한 견해를 제공하는 보안 분석 플랫폼을 제공하고자 한다.An object of the present invention is to provide a security analysis platform that provides a network administrator with a clear view of the attack start point and attack information of the attack procedure.

또한, 본 발명의 목적은 지능형 지속공격을 재구성, 이해, 방지하기 위하여 모든 관련 네트워크와 보안 이벤트들을 모니터링 및 수집하고, 공격 히스토리를 재구성하여 공격의 근본 원인을 찾아내는 새로운 접근법을 고안한 프레임 워크를 실현하고자 한다. In addition, the object of the present invention is to realize a framework that devises a new approach to monitor and collect all relevant network and security events to reconstruct, understand, and prevent advanced sustained attacks, and to reconstruct the attack history to find the root cause of the attack. I would like to.

본 발명의 실시예에 따른 보안 출처 제공 시스템은 동적 네트워크 환경에서, 보안에 관련된 네트워크 이벤트로 인한 패킷 및 네트워크 스냅샷을 포함하는 보안 출처 데이터를 수집하며, 상기 보안 출처 데이터를 이용하여 증거 정보를 생성하는 데이터 수집부 및 상기 보안 출처 데이터를 이용하여 관계형 공격 히스토리 그래프를 구성하며, 공격의 동작 시나리오를 구성하는 그래프 구성부를 포함한다.The security source providing system according to an embodiment of the present invention collects security source data including a packet and a network snapshot due to a network event related to security in a dynamic network environment, and generates evidence information using the security source data. And a graph construction unit for constructing a relational attack history graph using the data collection unit and the security source data, and configuring an operation scenario of the attack.

상기 데이터 수집부는 상기 패킷과, 네트워크 토폴로지, 보안 정책, 네트워크 구조 및 포워딩(forwarding) 규칙 중 적어도 어느 하나 이상을 포함하는 상기 네트워크 스냅샷을 포함하는 상기 보안 출처 데이터를 수집할 수 있다.The data collector may collect the security source data including the packet and the network snapshot including at least one of a network topology, a security policy, a network structure, and a forwarding rule.

상기 데이터 수집부는 상기 패킷을 미러링하는 패킷 모니터부, 상기 동적 네트워크 환경에서, 네트워크 변경 사항을 추적하고, 상기 네트워크 스냅샷을 데이터베이스에 제공하는 네트워크 히스토리 레코더부 및 출처 분석부에서 수신되는 검사 결과에 기초하여 상기 증거 정보를 생성하는 증거 생성부를 포함할 수 있다.The data collection unit is based on a test result received from a packet monitor unit that mirrors the packet, a network history recorder unit that tracks network changes in the dynamic network environment, and provides the network snapshot to a database and a source analyzer unit. It may include an evidence generating unit for generating the evidence information.

상기 패킷 모니터부는 2단계 패킷 캡쳐(two-phase packet capture, 2PC) 방법을 이용하여 출구(egress) 및 입구(ingress) 스위치에서 한 패킷을 두 번 미러링할 수 있다.The packet monitor may mirror one packet twice in an egress and ingress switch using a two-phase packet capture (2PC) method.

상기 네트워크 히스토리 레코더부는 상기 패킷이 모니터되는 동안 상기 네트워크 스냅샷을 수집하며, 보안 정책 및 네트워크 구조에 대한 내부 상태의 업데이트 또는 변화의 상태 변경에 따라 상기 네트워크 스냅샷을 상기 데이터베이스에 반영할 수 있다. The network history recorder unit may collect the network snapshot while the packet is monitored and reflect the network snapshot to the database according to a state change of an update or change of an internal state of a security policy and a network structure.

상기 네트워크 히스토리 레코더부는 소프트웨어 정의 네트워킹(Software-Defined Networking, SDN) 기술을 이용하여 상기 동적 네트워크 환경에서의 상기 상태 변경을 추적하여 모니터링 규칙을 발생하는 출처 모니터링을 수행할 수 있다.The network history recorder unit may perform source monitoring to generate a monitoring rule by tracking the state change in the dynamic network environment by using software-defined networking (SDN) technology.

상기 증거 생성부는 상기 패킷을 이용하여 상기 보안 출처 데이터를 검사하는 상기 출처 분석부와 협력하며, 상기 두 개의 패킷에 대해 전사적인(enterprise-wide) 보안 검사를 수행하여 상기 증거 정보를 생성할 수 있다.The evidence generation unit cooperates with the source analysis unit that inspects the security source data using the packet, and generates the evidence information by performing an enterprise-wide security check on the two packets. .

상기 출처 분석부는 상기 출구 및 입구 스위치에서 수신되는 두 개의 패킷을 비교하여 패킷의 조작 여부를 검사하며, 포렌식 정보 제공을 위해, 상기 보안 출처 데이터를 발생 순서대로 검사할 수 있다.The source analyzer compares two packets received at the exit and inlet switches to check whether the packets have been manipulated, and may check the security source data in order of generation to provide forensic information.

상기 그래프 구성부는 호스트(host)와 연관된 상기 보안 출처 데이터가 소모될 때까지 상기 데이터 수집부에서 상기 증거 정보를 수신하여 상기 공격 히스토리 그래프를 재구성할 수 있다.The graph unit may reconstruct the attack history graph by receiving the evidence information from the data collector until the security source data associated with a host is consumed.

상기 그래프 구성부는 네트워크 관리자로 정의된 특정 호스트 또는 상기 보안에 관련된 네트워크 이벤트에서 시작하는 상기 보안 출처 데이터의 인과관계를 분석하고, 악의적인 증상에 관련된 상기 보안 출처 데이터가 소모될 때까지 상기 공격 히스토리 그래프를 재구성할 수 있다. The graph component analyzes the causal relationship of the security source data starting from a specific host defined by the network administrator or the network event related to the security, and the attack history graph until the security source data related to the malicious symptom is consumed. Can be reconstructed.

본 발명의 실시예에 따른 보안 문제의 근본적인 원인을 제공하기 위한 보안 출처 제공 시스템의 동작 방법에 있어서, 동적 네트워크 환경에서, 보안에 관련된 네트워크 이벤트로 인한 패킷 및 네트워크 스냅샷을 포함하는 보안 출처 데이터를 수집하며, 상기 보안 출처 데이터를 이용하여 증거 정보를 생성하는 단계 및 상기 보안 출처 데이터를 이용하여 관계형 공격 히스토리 그래프를 구성하며, 공격의 동작 시나리오를 구성하는 단계를 포함한다.In a method of operating a security source providing system for providing a root cause of a security problem according to an embodiment of the present invention, in a dynamic network environment, security source data including a packet and a network snapshot due to a network event related to security may Collecting, generating evidence information using the security source data, constructing a relational attack history graph using the security source data, and constructing an operation scenario of the attack.

상기 보안 출처 데이터는 상기 패킷과, 네트워크 토폴로지, 보안 정책, 네트워크 구조 및 포워딩(forwarding) 규칙 중 적어도 어느 하나 이상을 포함하는 상기 네트워크 스냅샷을 포함할 수 있다.The security source data may include the network snapshot including the packet and at least one of a network topology, a security policy, a network structure, and a forwarding rule.

상기 보안 출처 데이터를 수집하고, 상기 증거 정보를 생성하는 단계는 상기 패킷을 미러링하는 단계, 상기 동적 네트워크 환경에서, 네트워크 변경 사항을 추적하고, 상기 네트워크 스냅샷을 데이터베이스에 제공하는 단계 및 상기 보안 출처 데이터의 검사 결과에 기초하여 상기 증거 정보를 생성하는 단계를 포함할 수 있다.Gathering the security source data and generating the evidence information includes mirroring the packet, in the dynamic network environment, tracking network changes, providing the network snapshot to a database and the security source Generating the evidence information based on the inspection result of the data.

상기 보안 출처 데이터를 수집하고, 상기 증거 정보를 생성하는 단계는 상기 패킷을 이용하여 상기 보안 출처 데이터를 검사하는 단계를 통해 상기 증거 정보를 생성할 수 있다.Collecting the security source data and generating the evidence information may generate the evidence information by inspecting the security source data using the packet.

상기 공격의 동작 시나리오를 구성하는 단계는 호스트(host)와 연관된 상기 보안 출처 데이터가 소모될 때까지 상기 증거 정보를 수신하여 상기 공격 히스토리 그래프를 재구성할 수 있다.Configuring the attack scenario of the attack may receive the evidence information and reconstruct the attack history graph until the security source data associated with the host is consumed.

상기 공격의 동작 시나리오를 구성하는 단계는 네트워크 관리자로 정의된 특정 호스트 또는 상기 보안에 관련된 네트워크 이벤트에서 시작하는 상기 보안 출처 데이터의 인과관계를 분석하고, 악의적인 증상에 관련된 상기 보안 출처 데이터가 소모될 때까지 상기 공격 히스토리 그래프를 재구성할 수 있다. Configuring the attack scenario of the attack may analyze the causal relationship of the security source data starting from a specific host defined by the network administrator or the network event related to the security, and consume the security source data related to the malicious symptom. Until the attack history graph can be reconstructed.

본 발명의 실시예에 따르면, 네트워크 관리자에게 공격 시작 지점 및 공격 절차의 공격 정보에 대한 명확한 견해를 제공하는 보안 분석 플랫폼을 제공할 수 있다. According to an embodiment of the present invention, it is possible to provide a security analysis platform that provides a network administrator with a clear view of the attack start point and attack information of the attack procedure.

또한, 본 발명의 실시예에 따르면, 지능형 지속공격을 재구성, 이해, 방지하기 위하여 모든 관련 네트워크와 보안 이벤트들을 모니터링 및 수집하고, 공격 히스토리를 재구성하여 공격의 근본 원인을 찾아내는 새로운 접근법을 고안한 프레임 워크를 실현할 수 있다. In addition, according to an embodiment of the present invention, in order to reconstruct, understand, and prevent advanced sustained attacks, a frame devised a new approach to monitor and collect all relevant network and security events, and reconstruct the attack history to find the root cause of the attack. Work can be realized.

도 1은 정보 유출 공격의 예를 도시한 것이다.
도 2는 본 발명의 실시예에 따른 보안 출처 제공 시스템의 세부 구성을 도시한 것이다.
도 3은 본 발명의 실시예에 따른 데이터 수집부의 세부 구성을 도시한 것이다.
도 4는 본 발명의 실시예에 따른 입구 스위치 및 출구 스위치에서 패킷을 캡쳐하는 예를 도시한 것이다.
도 5는 본 발명의 실시예에 따른 증거 정보의 포맷을 설명하기 위해 도시한 것이다.
도 6은 본 발명의 실시예에 따른 논리적 무결성 위반을 설명하기 위해 도시한 것이다.
도 7은 본 발명의 실시예에 따른 보안 문제의 인과관계를 설명하기 위해 도시한 것이다.
도 8은 본 발명의 실시예에 따른 공격 히스토리 그래프를 구성하는 과정을 도시한 것이다.
도 9는 상태 천이 다이어그램을 도시한 것이다.
도 10은 내재적 보안관계를 도시한 것이다.
도 11은 보안관계에 대한 목록의 표를 도시한 것이다.
도 12는 본 발명의 실시예에 따른 보안 문제의 근본적인 원인을 제공하기 위한 보안 출처 제공 방법의 흐름도를 도시한 것이다.
1 shows an example of an information leakage attack.
2 shows a detailed configuration of a security source providing system according to an embodiment of the present invention.
3 shows a detailed configuration of a data collection unit according to an embodiment of the present invention.
4 illustrates an example of capturing a packet at an inlet switch and an outlet switch according to an embodiment of the present invention.
5 is a diagram illustrating a format of evidence information according to an embodiment of the present invention.
6 illustrates a logical integrity violation according to an embodiment of the present invention.
7 is a diagram illustrating a causal relationship of a security problem according to an embodiment of the present invention.
8 illustrates a process of constructing an attack history graph according to an embodiment of the present invention.
9 shows a state transition diagram.
10 illustrates an intrinsic security relationship.
11 shows a table of lists of security relationships.
12 illustrates a flowchart of a method for providing a security source for providing a root cause of a security problem according to an embodiment of the present invention.

이하, 본 발명에 따른 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다. 또한, 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. However, the present invention is not limited or limited by the embodiments. Also, like reference numerals in the drawings denote like elements.

또한, 본 명세서에서 사용되는 용어(terminology)들은 본 발명의 바람직한 실시예를 적절히 표현하기 위해 사용된 용어들로서, 이는 시청자, 운용자의 의도 또는 본 발명이 속하는 분야의 관례 등에 따라 달라질 수 있다. 따라서, 본 용어들에 대한 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. Also, the terminology used herein is a term used to properly express a preferred embodiment of the present invention, which may vary depending on a viewer, an operator's intention, or customs in the field to which the present invention belongs. Therefore, the definitions of the terms should be made based on the contents throughout the specification.

본 발명은 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법을 제공한다.The present invention provides a system and method for providing a security source for providing a root cause of a security problem.

본 발명은 동적 네트워크 환경에서 포렌식(forensic) 데이터를 수집하여 사이버 범죄 계획을 전달하는 공격 히스토리 그래프를 구성함으로써, 네트워크 관리자가 최대화된 보안 가시성(visibility)을 사용하여 의심스러운 증상을 분석하도록 도울 수 있다. 이러한 본 발명의 보안 분석 플랫폼(SecTracer)은 수동으로 보안 데이터를 분석하는 오버 헤드를 획기적으로 최소화하고, APT의 시작 지점과 같은 치명적인 정보의 누락 가능성을 최소화할 수 있다.The present invention can help network administrators analyze suspicious symptoms using maximized security visibility by constructing an attack history graph that collects forensic data in a dynamic network environment and delivers cybercrime plans. . The security analysis platform (SecTracer) of the present invention can dramatically minimize the overhead of manually analyzing security data and minimize the possibility of missing critical information such as the starting point of the APT.

본 발명의 실시예에 따른 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법의 기여들(contributions)은 다음과 같다.Contributions of a security source providing system and method for providing a root cause of a security problem according to an embodiment of the present invention are as follows.

1. 본 발명은 보안 출처(security provenance)를 도입함으로써, 공격의 전체적인 동작을 이해하여 보안 문제의 근본 원인을 정확하고 안전하게 조사하는 데에 유용하다.1. The present invention is useful for accurately and securely investigating the root cause of a security problem by understanding the overall behavior of the attack by introducing security provenance.

2. 본 발명은 기업 네트워크에 보안 출처를 실현하기 위하여, 프로토타입 시스템인 보안 분석 플랫폼(SecTracer)을 구현하며, 이는 기존의 기업 네트워크 및 그 구성요소들을 수정하지 않고 완전한 보안/네트워크 감사 데이터를 효율적으로 수집한다.2. The present invention implements a security analysis platform (SecTracer), a prototype system, in order to realize a security source in an enterprise network, which efficiently completes security / network audit data without modifying the existing enterprise network and its components. To collect.

3. 본 발명은 보안 분석 플랫폼을 이용하여 지능형 네트워크 공격 시나리오의 근본 원인을 추적함으로써, 기존 기술보다 높은 효율성을 제공한다. 3. The present invention uses a security analysis platform to track the root cause of advanced network attack scenarios, providing higher efficiency than existing technologies.

이하에서는 도 1 내지 도 12를 참조하여 본 발명의 실시예에 따른 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법에 대해 상세히 설명한다.Hereinafter, a system and method for providing a security source for providing a root cause of a security problem according to an embodiment of the present invention will be described in detail with reference to FIGS. 1 to 12.

도 1은 정보 유출 공격의 예를 도시한 것이다.1 shows an example of an information leakage attack.

보다 상세하게는, 도 1은 공격자가 디딤돌 공격(stepping stone attack)을 통해 기밀 데이터 기록을 탈취하려는 공격 시나리오의 예시를 도시한 것이다.More specifically, FIG. 1 illustrates an example of an attack scenario in which an attacker attempts to steal a record of confidential data via a stepping stone attack.

도 1을 참조하면, 네트워크 관리자(manager)는 보안 장비들을 이용하여 보안 정책을 전략적으로 시행함으로써, DB 서버(Database) 및 웹 서버(Web-server) 등의 내부 자산을 보호한다. 특히, DB 서버는 공격자의 주요 대상이기도 하다.Referring to FIG. 1, a network manager strategically enforces a security policy using security devices to protect internal assets such as a DB server and a web server. In particular, the DB server is also an attacker's main target.

공격자(Attacker)는 우선적으로 DB 서버를 직접 공격하려고 시도할 수 있다(Exploit DB server). 그러나, 이 시도는 DB 서버에 대한 모든 원격 접근을 거부하기 위해 관리자가 구성한 방화벽에 의해 차단될 수 있다(Block by Firewall).An attacker may first try to attack the DB server directly (Exploit DB server). However, this attempt can be blocked by a firewall configured by the administrator to deny all remote access to the DB server (Block by Firewall).

상기 방어를 인지하여, 공격자는 DB 서버에서 웹 서버로 타겟을 변경할 수 있으나(Exploit Web server), 이 또한 IPS에 의해 방어될 수 있다(Block the attack).Recognizing the defense, the attacker can change the target from the DB server to the web server (Exploit Web server), but this can also be blocked by IPS (Block the attack).

전술한 방어에 의해, 공격자는 내부 자산에 대한 접근을 위해 다양한 대안을 시도할 수 있다. 예를 들면, 공격자는 원격 커널 익스플로잇(kernel exploit)을 통해 관리자 머신을 손상(Remote exploit)시켜 관리자의 권한을 획득하고, 획득된 권한을 이용하여 DB 서버에 침입 후, 최종적으로 보호된 기록들을 획득할 수 있다(Connection by stepping stone and Information leakage).By virtue of the aforementioned defense, an attacker can try various alternatives for access to internal assets. For example, an attacker can gain an administrator's authority by remotely exploiting the administrator's machine through a kernel kernel exploit, infiltrate the DB server using the acquired authority, and finally obtain the protected records. Connection by stepping stone and Information leakage.

도 1에 도시된 바와 같이, 공격자는 다양한 방법을 이용하여 내부 자산에 접근 및 공격할 수 있다. 그러나, 네트워크 관리자는 공격자의 다양한 공격 시나리오를 모두 예측 및 감지하기엔 한계가 존재하며, 공격이 발생한 후에도 DB 기록의 탈취를 탐지하지 못하였다. As shown in FIG. 1, an attacker can access and attack internal assets using a variety of methods. However, network administrators have limitations in predicting and detecting all attacker's various attack scenarios, and they could not detect the exploitation of DB records even after the attack occurred.

이에, 본 발명의 실시예에 따른 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법은 공격자들의 다양한 공격 시나리오에 대한 근본 원인을 추출하고, 공격과 관련된 히스토리 이벤트들을 연관시킨 공격의 동작 시나리오를 구성하여 관리자에게 제공하고자 한다. Therefore, the security source providing system and method for providing the root cause of the security problem according to an embodiment of the present invention extracts the root cause for various attack scenarios of attackers, the operation scenario of the attack associated with the history events associated with the attack To configure and provide to the administrator.

나아가, 본 발명의 실시예에 따른 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법은 전반적인 공격 시나리오를 명확하게 이해하기 위해, 인과관계 분석, 제한된 보안 정보 및 제한된 이벤트 정보를 이용하여 보안 근본 원인 분석(Security Root Cause Analysis, S-RCA)를 수행할 수 있다.Furthermore, a security source providing system and method for providing a root cause of a security problem according to an embodiment of the present invention may be secured using causality analysis, limited security information, and limited event information in order to clearly understand the overall attack scenario. Root Cause Analysis (S-RCA) can be performed.

도 2는 본 발명의 실시예에 따른 보안 출처 제공 시스템의 세부 구성을 도시한 것이다.2 shows a detailed configuration of a security source providing system according to an embodiment of the present invention.

도 2를 참조하면, 본 발명의 실시예에 따른 보안 출처 제공 시스템(200)은 동적 네트워크 환경에서 포렌식(forensic) 데이터를 수집하여 사이버 범죄 계획을 전달하는 공격 히스토리 그래프(310)를 구성한다.Referring to FIG. 2, the security source providing system 200 according to an embodiment of the present invention constructs an attack history graph 310 that collects forensic data in a dynamic network environment and delivers a cyber crime plan.

본 발명의 실시예에 따른 보안 출처 제공 시스템(200)은 보안 문제들의 근본 원인을 추적하는 지능형 보안 분석 플랫폼(SecTracer)을 제시하며, 보안 출처를 실현하는 데에 있어 네트워크 지향(network-oriented) 방식을 고려한다. 예를 들어 관리자(110)가 호스트의 보안 이벤트(즉, 보안 출처)를 추적하려는 경우, 관리자(110)는 운영 요구 사항(Operational Requirements, 120)을 본 발명의 실시예에 따른 보안 출처 제공 시스템(200)에 제공한다. 이에 따라서, 본 발명의 실시예에 따른 보안 출처 제공 시스템(200)은 운영 요구 사항(120) 및 호스트에 대한 정보를 입력받아 호스트에 해당하는 공격 히스토리 그래프(310)를 구성한다. Security source providing system 200 according to an embodiment of the present invention proposes an intelligent security analysis platform (SecTracer) for tracking the root cause of security problems, network-oriented approach to realizing security sources Consider. For example, if the manager 110 wants to track a host's security event (ie, security source), the manager 110 may set the operational requirements 120 to the security source providing system according to the embodiment of the present invention. 200). Accordingly, the security source providing system 200 according to the embodiment of the present invention receives an operation requirement 120 and information about the host and constructs an attack history graph 310 corresponding to the host.

이 때, 운영 요구 사항(Operational Requirements, 120)은 관리자(110)가 보안 관련 정보를 모니터링 및 수집하기 위한 정보일 수 있다. 예를 들어, 보안 정책(Security policy, 121)은 어느 호스트가 어느 보안 장치를 방문하고, 어떠한 접근 제어 정책에 의해 제한되어야 하는지를 구체화하는 라우팅 정책에 해당하며, 네트워크 구성(network configurations, 122)은 보안 장치 또는 미들 박스(middle boxes)의 위치를 포함하고, 출처정책(provenance policy, 123)은 특정 호스트에 포함된 보안 출처 데이터의 모니터링을 구체화한다. In this case, the operational requirements 120 may be information for the administrator 110 to monitor and collect security-related information. For example, security policy 121 corresponds to a routing policy that specifies which hosts visit which security devices and which access control policies should be restricted, while network configurations 122 The location policy includes the location of the device or middle boxes, and a provision policy 123 embodies the monitoring of security source data contained in a particular host.

이에 기반하여, 본 발명의 실시예에 따른 보안 출처 제공 시스템(200)은 특정 호스트에 대한 공격 히스토리 그래프(Attack History Graph, 310)를 생성한다.Based on this, the security source providing system 200 according to an embodiment of the present invention generates an attack history graph 310 for a specific host.

이를 위해, 본 발명의 실시예에 따른 보안 출처 제공 시스템(200)은 데이터 수집부(210) 및 그래프 구성부(220)를 포함한다.To this end, the security source providing system 200 according to an embodiment of the present invention includes a data collector 210 and a graph configuration unit 220.

도 2를 참조하면, 본 발명의 실시예에 따른 보안 출처 제공 시스템(200)의 데이터 수집부(Data Collector, 210)는 데이터베이스(230) 및 출처 분석부(240)를 통해 동적 네트워크 환경에 대한 보안 출처 데이터를 수집하여 증거 정보를 생성하며, 수집된 보안 출처 데이터를 그래프 구성부(220)에 제공한다. 2, the data collector 210 of the security source providing system 200 according to an embodiment of the present invention may secure the dynamic network environment through the database 230 and the source analyzer 240. Collecting source data to generate evidence information, and provides the collected security source data to the graph configuration unit 220.

이하에서는 도 3을 참조하여 본 발명의 실시예에 따른 데이터 수집부에 대해 상세히 설명하고자 한다.Hereinafter, a data collector according to an embodiment of the present invention will be described in detail with reference to FIG. 3.

도 3은 본 발명의 실시예에 따른 데이터 수집부의 세부 구성을 도시한 것이다.3 shows a detailed configuration of a data collection unit according to an embodiment of the present invention.

도 2 및 3을 참조하면, 데이터 수집부(Data Collector, 210)는 동적 네트워크 환경에서, 보안에 관련된 네트워크 이벤트로 인한 패킷 및 네트워크 스냅샷을 포함하는 보안 출처 데이터를 수집하며, 보안 출처 데이터를 이용하여 증거 정보를 생성한다. 2 and 3, the data collector 210 collects security source data including a packet and a network snapshot due to a network event related to security in a dynamic network environment, and uses the security source data. Generate evidence information.

데이터 수집부(210)는 보안 출처 모니터링을 위해 패킷을 캡쳐(capture)하고, 기록 네트워크 변경 사항을 추적하는 모니터링 규칙을 통한 데이터베이스(230)에 데이터를 발행하며(publishes), 증거 요청이 수신되는 경우 출처 분석부(Provenance Analyzer, 240)와 협력하여 증거 정보를 생성한다.The data collector 210 publishes data to the database 230 through monitoring rules for capturing packets for security source monitoring, tracking historical network changes, and when a request for evidence is received. Work with the Provenance Analyzer (240) to generate evidence.

이 때, 상기 보안 출처 데이터는 패킷 및 네트워크 스냅샷을 포함하며, 상기 네트워크 스냅샷은 네트워크 토폴로지, 보안 정책, 네트워크 구조 및 포워딩(forwarding) 규칙 중 적어도 어느 하나 이상을 포함할 수 있다. In this case, the security source data includes a packet and a network snapshot, and the network snapshot may include at least one or more of a network topology, a security policy, a network structure, and a forwarding rule.

세부적으로, 상기 보안 출처 데이터(security provenance data)는 보안과 관련된 출처 데이터이며, 원시 패킷(raw packet), 보안 정책 및 네트워크 스냅샷을 포함한 데이터일 수 있다. 또한, 상기 네트워크 스냅샷(network snapshot)은 시간 상의 특정 지점에서 보안 정책, 네트워크 구조, 호스트 위치를 포함하는 토폴로지, 포워딩 규칙 및 패킷 모니터링 정보에 대한 히스토리적 관점일 수 있다. In detail, the security provenance data is source data related to security and may be data including a raw packet, a security policy, and a network snapshot. In addition, the network snapshot may be a historical view of a security policy, a network structure, a topology including a host location, forwarding rules, and packet monitoring information at a specific point in time.

도 3을 참조하면, 데이터 수집부(210)는 패킷 모니터부(211), 네트워크 히스토리 레코더부(212) 및 증거 생성부(213)를 포함하며, 출처 분석부(240)와 협력할 수 있다.Referring to FIG. 3, the data collector 210 may include a packet monitor 211, a network history recorder 212, and an evidence generator 213, and may cooperate with the source analyzer 240.

패킷 모니터부(Packet Monitor, 211)는 패킷을 미러링(mirroring)할 수 있다. 예를 들면, 패킷 모니터부(211)는 데이터 플레인(Data Plane)에서, 보안 장치 또는 미들 박스를 모니터링하여 패킷을 출처 분석부(240)로 전달(forward)할 수 있다. 이 때, 패킷 모니터부(211)는 보안 문제를 검사하기 위한 패킷의 무결성(integrity) 및 도달 가능성(reachability)를 추적할 수 있다. 출처 분석부(240)는 패킷을 수집할 뿐만 아니라, 보안 출처 데이터를 검사할 수 있다.The packet monitor 211 may mirror the packet. For example, the packet monitor 211 may forward the packet to the source analyzer 240 by monitoring the security device or the middle box in the data plane. In this case, the packet monitor 211 may track the integrity and reachability of the packet for checking a security problem. The source analyzer 240 may not only collect packets but also inspect security source data.

도 3을 참조하여 설명하면, 패킷 모니터부(211)는 2단계 패킷 캡쳐(two-phase packet capture, 2PC) 방법을 이용하여 출구(egress) 및 입구(ingress) 스위치에서 한 패킷을 두 번 미러링한다. 보다 상세하게는, 패킷 모니터부(211)는 2단계 패킷 캡쳐(two-phase packet capture, 2PC) 방법을 이용하여 출구(egress) 스위치 및 입구(ingress) 스위치에서 한 패킷을 두 번 미러링하고, 미러링된 두 개의 패킷을 출처 분석부(240)로 전달하는 패킷 모니터링 규칙을 수행할 수 있다. Referring to FIG. 3, the packet monitor 211 mirrors one packet twice in an egress and ingress switch using a two-phase packet capture (2PC) method. . More specifically, the packet monitor 211 mirrors one packet twice at an egress switch and an ingress switch using a two-phase packet capture (2PC) method, and mirrors it. The packet monitoring rule for transmitting the two packets to the source analyzer 240 may be performed.

이는 본 발명의 실시예에 따른 보안 출처 제공 시스템(200)이 각 패킷의 무결성 및 도달 가능성을 조사하는 것을 가능하게 한다. 일 예로, 출처 분석부(240)는 출구 스위치 및 입구 스위치에서 수신되는 두 개의 패킷을 비교하여 패킷의 조작 여부를 검사할 수 있다. 또한, 다른 예로, 패킷이 손실되면(dropped), 출처 분석부(240)는 출구 스위치로부터 오직 하나의 패킷만 수신하여 패킷의 조작 여부를 검사할 수 있다. 이 때, 출처 분석부(240)는 포렌식 정보 제공을 위해, 보안 출처 데이터를 발생 순서대로 검사하는 것을 특징으로 한다.This enables the security source providing system 200 according to an embodiment of the present invention to examine the integrity and reachability of each packet. For example, the source analyzer 240 may check whether the packet is manipulated by comparing two packets received from the exit switch and the inlet switch. In another example, when a packet is dropped, the source analyzer 240 may receive only one packet from the exit switch and check whether the packet is manipulated. At this time, the source analysis unit 240 is characterized in that to check the security source data in order to provide forensic information.

이하에서는 도 4를 참조하여 입구 스위치 및 출구 스위치에서 패킷을 캡쳐하는 과정에 대해 상세히 설명하고자 한다.Hereinafter, a process of capturing a packet in an inlet switch and an outlet switch will be described in detail with reference to FIG. 4.

도 4는 본 발명의 실시예에 따른 입구 스위치 및 출구 스위치에서 패킷을 캡쳐하는 예를 도시한 것이다. 4 illustrates an example of capturing a packet at an inlet switch and an outlet switch according to an embodiment of the present invention.

보다 상세하게는, 도 4는 본 발명의 실시예에 따른 보안 출처 제공 시스템(200)이 SDN 기술(OpenFlow command)을 적용하여 플로우의 입구 지점 및 출구 지점에서 패킷을 캡쳐하는 예를 도시한 것이다. More specifically, FIG. 4 illustrates an example in which the security source providing system 200 according to an embodiment of the present invention captures packets at an entry point and an exit point of a flow by applying an OpenFlow command.

도 4에 도시된 바와 같이, H1(Sender)에서 H2(Receiver)로 패킷을 전송한다고 가정하면, 입구 스위치(S1)와 출구 스위치(S2)는 패킷을 H1(Sender)에서 H2(Receiver)로 전달하는 플로우 규칙을 갖는다. As shown in FIG. 4, assuming that a packet is transmitted from H1 (Sender) to H2 (Receiver), the inlet switch S1 and the outlet switch S2 forward the packet from H1 (Sender) to H2 (Receiver). Has a flow rule.

본 발명의 실시예에 따른 보안 출처 제공 시스템(200)은 운영 요구 사항(120)에 기반하여 SDN 기술을 통한 사전에 모니터링 규칙을 설정할 수 있다.The security source providing system 200 according to an embodiment of the present invention may set a monitoring rule in advance through the SDN technology based on the operation requirement 120.

도 4를 참조하면, 패킷이 H1(Sender)에서 입구 스위치(S1)로 도달하는 경우, 본 발명의 실시예에 따른 보안 출처 제공 시스템(200)의 패킷 모니터부(211)는 패킷을 output 및 goto_table의 두 가지 액션을 통해 복제하고, push_vlan의 액션을 통해 상기 복제된 패킷에 VLAN 태그를 추가하여 출처 분석부(240)로 전달할 수 있다. 이 때, 출구 스위치(S2)가 입구 스위치(S1)로부터 패킷을 수신하면, 출구 스위치(S2) 내의 모니터링 규칙은 입구 스위치(S1) 내의 모니터링 규칙과 동일하게 작동한다. Referring to FIG. 4, when the packet reaches the inlet switch S1 from H1 (Sender), the packet monitor 211 of the security source providing system 200 according to the embodiment of the present invention outputs and goto_table the packet. It can be duplicated through two actions of and by adding a VLAN tag to the duplicated packet through the action of push_vlan, it can be delivered to the source analyzer 240. At this time, when the exit switch S2 receives a packet from the inlet switch S1, the monitoring rule in the outlet switch S2 operates in the same way as the monitoring rule in the inlet switch S1.

이에 따라서, 출처 분석부(240)는 입구 스위치(S1) 및 출구 스위치(S2) 각각에서 복제된 패킷들을 수신할 수 있다.Accordingly, the source analyzer 240 may receive packets duplicated at each of the inlet switch S1 and the outlet switch S2.

출처 분석부(240)는 패킷의 모니터링을 추적하기 위해, 호스트-호스트 경로 및 방문된 미들 박스(visited middle-box)의 리스트를 포함하는 패킷 모니터링 정보(packet monitoring information)를 유지하며, 이를 네트워크 히스토리 레코더부(212)로 전달할 수 있다(forward).The source analyzer 240 maintains packet monitoring information, including a list of host-host paths and visited middle-boxes, to track the monitoring of the packets, and maintains this network history. The recorder unit 212 may be forwarded.

다시 도 3을 참조하면, 데이터 수집부(210)의 네트워크 히스토리 레코더부(Network History Recorder, 212)는 동적 네트워크 환경에서, 네트워크 변경 사항을 추적하고, 네트워크 스냅샷을 데이터베이스(230)에 제공/발행(publish)할 수 있다. 상기 네트워크 스냅샷(network snapshot)은 시간 상의 특정 지점에서 보안 정책, 네트워크 구조, 호스트 위치를 포함하는 토폴로지, 포워딩 규칙 및 패킷 모니터링 정보에 대한 히스토리적 관점일 수 있다.Referring back to FIG. 3, the network history recorder 212 of the data collector 210 tracks network changes and provides / issues a network snapshot to the database 230 in a dynamic network environment. (publish) can be. The network snapshot may be a historical view of a security policy, network structure, topology including host location, forwarding rules, and packet monitoring information at specific points in time.

보다 구체적으로, 네트워크 히스토리 레코더부(212)는 최신 네트워크 스냅샷을 유지하기 위해 내부 상태를 관리할 수 있다. 예를 들면, 네트워크 히스토리 레코더부(212)는 패킷이 모니터되는 동안 네트워크 스냅샷을 수집하며, 보안 정책, 네트워크 구조, 토폴로지, 호스트 위치, 포워딩 규칙 및 패킷 모니터링 정보 중 적어도 어느 하나 이상이 변경되면, 변경된 상태(Network Changes)를 업데이트하고, 업데이트된 버전에 대한 고유 식별자와 함께 업데이트된 네트워크 스냅샷을 데이터베이스(230)에 발행(issue)할 수 있다. More specifically, the network history recorder unit 212 may manage an internal state to maintain the latest network snapshot. For example, the network history recorder unit 212 collects a network snapshot while the packet is monitored, and if at least one or more of the security policy, network structure, topology, host location, forwarding rule, and packet monitoring information is changed, Update Network Changes and issue an updated network snapshot to database 230 with a unique identifier for the updated version.

이 때, 네트워크 히스토리 레코더부(212)는 소프트웨어 정의 네트워킹(Software-Defined Networking, SDN) 기술을 이용하여 동적 네트워크 환경에서의 상태 변경을 추적하며, 모니터링 규칙을 발생하는 출처 모니터링을 수행할 수 있다.In this case, the network history recorder 212 may track a change in a dynamic network environment by using software-defined networking (SDN) technology and perform source monitoring to generate a monitoring rule.

증거 생성부(Evidence Generator, 213)는 출처 분석부(240)에서 수신되는 보안 진단 결과를 기반으로 증거 정보를 생성할 수 있다. 보다 상세하게, 증거 생성부(213)는 패킷을 이용하여 보안 출처 데이터를 검사하는 출처 분석부(240)와 협력하며, 패킷 모니터부(211)에 의해 모니터링된 두 개의 패킷에 대해 전사적인(enterprise-wide) 보안 검사를 수행함으로써, 증거 정보를 생성할 수 있다.The evidence generator 213 may generate evidence information based on a security diagnosis result received from the source analyzer 240. In more detail, the evidence generator 213 cooperates with the source analyzer 240 that inspects the security source data using the packet, and is enterprise-wide for the two packets monitored by the packet monitor 211. By performing wide-wide security checks, you can generate evidence.

사이버 보안 문제들의 80% 이상은 공지된 취약점에 의해 발생하므로, 출처 분석부(240)는 네트워크 침입 감지 시스템(Network Intrusion Detection Systems, NIDS) 및 변칙 감지 시스템과 같은 공격 감지 능력 시스템을 활용한다. 그러나, 상기 공격 감지 능력 시스템은 로컬 영역만 검사하는 외곽(perimeter) 감지 모델이며, 이러한 모델의 한계를 극복하기 위해 출처 분석부(240)는 전사적인(enterprise-wide) 보안 검사를 추가로 지원한다.Since more than 80% of cyber security problems are caused by known vulnerabilities, the source analyzer 240 utilizes attack detection capability systems such as Network Intrusion Detection Systems (NIDS) and anomaly detection systems. However, the attack detection capability system is a perimeter detection model that inspects only the local area, and to overcome the limitation of the model, the source analyzer 240 additionally supports enterprise-wide security inspection. .

출처 분석부(240)는 패킷 모니터부(211)로부터 2단계 패킷 캡쳐(two-phase packet capture, 2PC) 방법에 의해 하나의 패킷 당 두 개의 패킷들을 수신하므로, 복제된 패킷들에 의한 스토리지 오버헤드를 처리해야 한다.Since the source analyzer 240 receives two packets per packet from the packet monitor 211 by a two-phase packet capture method (2PC), storage overhead due to duplicated packets is achieved. Must be processed.

보다 상세하게, 출처 분석부(240)는 패킷들을 모니터링하는 동안, 사전에 각 패킷의 도달 가능성 및 물리적인 무결성 위반을 전처리하고, 전처리 결과(즉, 도달 가능성 및 무결성)가 포함된 패킷들 및 대응하는 네트워크 스냅샷을 데이터베이스(230)에 저장할 수 있다. 이후, 그래프 구성부(220)가 공격 히스토리 그래프(310)를 구성하는 과정에서 증거 정보를 요청하면, 증거 생성부(213)는 데이터베이스(230)에 포함된 호스트 정보를 쿼리하여 패킷들을 검색하고, 요구에 따라 출처 분석부(240)로부터 보안 분석 결과를 추가로 수신하여 패킷마다 증거 정보를 생성할 수 있다. In more detail, the source analyzer 240 preprocesses the reachability and physical integrity violation of each packet while monitoring the packets, and includes the packets and corresponding preprocessing results (ie reachability and integrity). The network snapshot may be stored in the database 230. Subsequently, when the graph constructing unit 220 requests evidence information in the process of constructing the attack history graph 310, the evidence generating unit 213 searches for packets by querying host information included in the database 230, If necessary, the source analysis unit 240 may further receive the security analysis result to generate evidence information for each packet.

상기 증거 정보(evidence)는 보안 출처 데이터의 보안 진단 결과이며, 단일 또는 다수 증거는 보안관계를 정의하고, 보안관계에 대응하는 포렌식 정보를 제공할 수 있다. 이 때, 보안 인과관계(security causality) 또는 관계(relationship)는 관계를 정의하며, 이는 주체(subject)가 객체(object)에 대한 CIA(confidentiality, 기밀성), 무결성(integrity) 및 가용성(availability)의 삼각형(triad)에 영향을 미친다는 것을 나타낸다. The evidence is a result of a security diagnosis of the security source data, and single or multiple evidences may define a security relationship and provide forensic information corresponding to the security relationship. At this point, a security causality or relationship defines a relationship, which means that the subject is responsible for the CIA (confidentiality), integrity and availability of the object. Indicates that it affects triangles.

도 5는 본 발명의 실시예에 따른 증거 정보의 포맷을 설명하기 위해 도시한 것이다.5 is a diagram illustrating a format of evidence information according to an embodiment of the present invention.

도 5를 참조하면, 증거 정보의 포맷은 인덱스 필드 및 특징 필드로 구성된다. 인덱스 필드는 eID(511) 및 sID(512)를 포함하고 있으며, 각각은 증거 정보 자체의 고유 식별자 및 패킷이 모니터링 되는 시점의 네트워크 스냅샷을 나타낸다.Referring to FIG. 5, the format of the evidence information includes an index field and a feature field. The index field includes an eID 511 and an sID 512, each of which represents a unique identifier of the evidence information itself and a network snapshot of when the packet is monitored.

Timestamp(520)는 패킷이 캡쳐된 시간을 나타내고, rPacket(530)은 원시 패킷(raw packet)을 포함하며, mPacket(540)은 원시 패킷이 생성된(crafted) 경우, 변형된 패킷을 보관한다. 또한, results(550)는 출처 분석부(240)의 보안 진단 결과를 나타낸다.Timestamp 520 represents the time at which the packet was captured, rPacket 530 contains the raw packet, and mPacket 540 stores the modified packet when the original packet is crafted. In addition, the results 550 indicate a security diagnosis result of the source analyzer 240.

나아가, 출처 분석부(240)는 네트워크 침입 감지 시스템(Network Intrusion Detection Systems, NIDS)에 의한 탐지 결과를 exploitable(557) 및 IDSMsg(558) 필드에 저장할 수 있다. 실시예에 따라서, 출처 분석부(240)는 네트워크 침입 감지 시스템(Network Intrusion Detection Systems, NIDS) 인스턴스의 경고 메시지를 분석한 후, 패킷(또는 패킷 스트림)이 취약점 악용 공격(exploitable attack)과 관련됨을 분석한 경우, 증거 생성부(213)는 exploitable(557)을 true로 설정하고, 악용할 수 없는 경우에는 exploitable(557)를 false로 설정하며, 원시 경고 메시지를 IDSMsg(558)에 저장할 수 있다.In addition, the source analyzer 240 may store the detection result by the Network Intrusion Detection Systems (NIDS) in the exploitable 557 and IDSMsg 558 fields. According to an embodiment, the source analyzer 240 analyzes the warning message of the Network Intrusion Detection Systems (NIDS) instance and then indicates that the packet (or packet stream) is associated with an exploitable attack. In the case of analysis, the evidence generator 213 may set the exploitable 557 to true, and if it cannot be exploited, set the exploitable 557 to false, and store the raw warning message in the IDSMsg 558.

UserDefinedFields(559)는 사용자 정의 필드를 제공한다.UserDefinedFields 559 provides user defined fields.

또한, 출처 분석부(240)는 모니터된 패킷을 수신하여 패킷이 목적지에 도달했는지 여부를 확인하고, 모니터된 패킷에서 변하지 않은 필드를 비교함으로써, 한 쌍의 본래 패킷을 추출할 수 있다. 실시예에 따라서, 출처 분석부(240)가 상기 쌍을 찾는 경우, reached(554)를 true로 설정하고, 그렇지 않은 경우, 패킷이 손실된 것으로 간주하고 reached(554)를 false로 설정할 수 있다. In addition, the source analyzer 240 may extract the pair of original packets by receiving the monitored packet, confirming whether the packet has reached the destination, and comparing the unchanged fields in the monitored packet. According to an embodiment, when the source analyzer 240 finds the pair, the reached 554 may be set to true, otherwise, the packet may be regarded as lost and the reached 554 may be set to false.

증거 생성부(213)는 패킷이 보안 라우팅 또는 접근 제어 정책을 위반하는 경우, 위반된 정책의 식별자를 SP(552) 또는 AC(553)에 저장할 수 있다. When the packet violates the security routing or access control policy, the evidence generator 213 may store the identifier of the violated policy in the SP 552 or the AC 553.

본 발명의 실시예에 따른 보안 출처 제공 시스템(200)은 논리적 무결성 위반을 중간자 공격(Man-In-The-Middle attack)으로 간주하며, 이하에서는 도 6을 참조하여 무결성 위반에 대해 상세히 설명하고자 한다.The security source providing system 200 according to an embodiment of the present invention regards a logical integrity violation as a man-in-the-middle attack. Hereinafter, the integrity violation will be described in detail with reference to FIG. 6. .

도 6은 본 발명의 실시예에 따른 논리적 무결성 위반을 설명하기 위해 도시한 것이다. 6 illustrates a logical integrity violation according to an embodiment of the present invention.

보다 상세하게는, 도 6은 호스트 A(610)와 호스트 B(630) 간의 네트워크에서, 전체적인 논리적 무결성 위반의 예를 나타내며, 공격자(620)는 동일한 MAC 주소를 갖지만 다른 IP 주소를 갖는 것을 특징으로 한다. More specifically, FIG. 6 shows an example of an overall logical integrity violation in the network between Host A 610 and Host B 630, wherein the attacker 620 has the same MAC address but different IP addresses. do.

본 발명의 실시예에 따른 보안 출처 제공 시스템(200)의 출처 분석부(240)는 호스트 A(610)에서 공격자(620)로, 공격자(620)에서 호스트 B(630)로 연결되는 각 연결상의 두 개의 패킷이 동일한 불변 필드를 갖고, 두 연결의 호스트(610, 630)들 중 하나가 동일 MAC 구조를 가지나, 다른 IP 주소를 갖는 조건인 경우, ARP 스푸핑(spoofing) 공격으로 발생된 논리적 위반을 획득할 수 있다. Source analysis unit 240 of the security source providing system 200 according to an embodiment of the present invention is connected to each of the connection from the host A (610) to the attacker 620, the attacker 620 to the host B (630) If two packets have the same invariant field and one of the hosts 610, 630 of the two connections have the same MAC structure, but with different IP addresses, then the logical violation caused by the ARP spoofing attack Can be obtained.

전술한 조건이 참인 경우, 출처 분석부(240)는 호스트(610, 630) 사이에 위치하는 노드를 공격자(620)로 간주할 수 있으며, 증거 생성부(213)는 도 5에서 LIntegrity(555)를 true로 설정하고, 각 증거 정보의 eID(511)를 상대방의 rID(551)로 설정한다. 이 때, rID(551)는 관련 증거 정보를 나타내는 참조 ID일 수 있다. If the above condition is true, the source analyzer 240 may consider a node located between the hosts 610 and 630 as the attacker 620, and the evidence generator 213 may use the LIntegrity 555 in FIG. Is set to true, and the eID 511 of each piece of evidence information is set to the rID 551 of the other party. In this case, the rID 551 may be a reference ID indicating related evidence information.

다시 도 2를 참조하면, 본 발명의 실시예에 따른 보안 출처 제공 시스템(200)의 그래프 구성부(Graph Constructor, 220)는 보안 출처 데이터를 이용하여 관계형 공격 히스토리 그래프(310)를 구성하며, 공격의 동작 시나리오를 구성한다. Referring back to FIG. 2, the graph constructor 220 of the security source providing system 200 according to an embodiment of the present invention constructs a relational attack history graph 310 using security source data, and attacks Configure the operation scenario.

그래프 구성부(220)는 호스트(host)와 연관된 보안 출처 데이터가 소모될 때까지 데이터 수집부(210)에서 증거 정보를 수신하여 공격 히스토리 그래프(310)를 재구성할 수 있다.The graph constructer 220 may reconstruct the attack history graph 310 by receiving evidence information from the data collector 210 until the security source data associated with the host is consumed.

그래프 구성부(220)는 네트워크 관리자(110)로 정의된 특정 호스트 또는 보안에 관련된 네트워크 이벤트에서 시작하는 보안 출처 데이터의 인과관계를 분석하고, 악의적인 증상에 관련된 보안 출처 데이터가 소모될 때까지 공격 히스토리 그래프(310)를 재구성할 수 있다. The graph configuration unit 220 analyzes the causal relationship of the security source data starting from the specific host or the security related network event defined by the network manager 110, and attacks until the security source data related to the malicious symptom is consumed. The history graph 310 may be reconstructed.

공격 히스토리 그래프(310)는 주체 및 객체를 갖는 일련의 히스토리적인 보안의 인과관계를 정의하며, 이는 데이터 변환 함수로 표현될 수도 있다. The attack history graph 310 defines a causal relationship between historical security with subjects and objects, which may be represented by data transformation functions.

이하에서는 도 7 내지 도 11을 참조하여 공격 히스토리 그래프(310)에 대해 상세히 설명하고자 한다.Hereinafter, the attack history graph 310 will be described in detail with reference to FIGS. 7 to 11.

도 7은 본 발명의 실시예에 따른 보안 문제의 인과관계를 설명하기 위해 도시한 것이다. 7 is a diagram illustrating a causal relationship of a security problem according to an embodiment of the present invention.

도 7을 참조하면, 엣지(edge)는 두 호스트들(710) 간의 보안관계를 나타내며, 직접 관계(Direct) 및 간접 관계(Indirect)를 포함한다.Referring to FIG. 7, an edge represents a security relationship between two hosts 710 and includes a direct relationship and an indirect relationship.

각 엣지는 타임 스템프가 있는 증거 목록을 포함하는 증거 정보(evidence) 속성을 가진다. 또한, 노드(node)는 호스트(710, Host)를 나타내며, 보안관계의 주체 및 객체를 의미한다.Each edge has an evidence attribute that contains a list of evidence with a time stamp. In addition, a node represents a host 710, and means a subject and an object of a security relationship.

각 노드는 희생자(victim) 및 공격자(attacker) 상황(status)의 상태를 나타내고, 호스트(710)를 나타내는 고유한 식별자인 IP와 MAC 주소 쌍(a pair of IP and MAC address)을 나타낼 수 있다. Each node represents a state of victim and attacker status and may represent a pair of IP and MAC addresses, which are unique identifiers representing the host 710.

보안관계에서, 직접 관계는 인과관계를 나타내는 결정론적 증거 정보를 포함하며, 간접 관계는 보안관계를 주장할 결정론적 이유는 부족하지만, 공격자의 런타임 권한으로 객체 호스트의 CIA(confidentiality, 기밀성)에 잠재적으로 영향을 미칠 수 있다. 실시예에 따라서, 간접 관계는 잠재적인 보안 허점을 나타낼 수 있으며 예를 들어, 호스트(710)가 손상된 경우, 손상된 호스트에 대한 모든 연결은 디딤돌 공격(stepping stone attack)에 취약할 수 있다. In security relationships, direct relationships contain deterministic evidence indicating causal relationships, while indirect relationships lack the deterministic reasons for asserting security relationships, but are potentially at risk to the object host's CIA (confidentiality) with the runtime privileges of the attacker. Can affect. Depending on the embodiment, the indirect relationship may represent a potential security hole and, for example, if the host 710 is compromised, all connections to the compromised host may be vulnerable to stepping stone attacks.

도 8은 본 발명의 실시예에 따른 공격 히스토리 그래프를 구성하는 과정을 도시한 것이다. 도 9는 상태 천이 다이어그램을 도시한 것이고, 도 10은 내재적 보안관계를 도시한 것이며, 도 11은 보안관계에 대한 목록의 표를 도시한 것이다. 8 illustrates a process of constructing an attack history graph according to an embodiment of the present invention. 9 shows a state transition diagram, FIG. 10 shows an intrinsic security relationship, and FIG. 11 shows a table of lists of security relationships.

도 8을 참조하면, 그래프 구성부(220)는 증거 생성부(213)에 증거 정보를 요청하고, 보안관계를 정의한다.Referring to FIG. 8, the graph constructing unit 220 requests evidence information from the evidence generating unit 213 and defines a security relationship.

그래프 구성부(220)는 호스트를 나타내는 고유한 식별자인 IP와 MAC 주소 쌍(a pair of IP and MAC address)을 수신(810)하여 증거 정보를 수집할 수 있다(820). 이후, 그래프 구성부(220)는 보안관계를 생성하고(830), 생성된 보안관계를 공격 히스토리 그래프(850)에 반영하며, 도 11에 도시된 각 보안관계의 우선 순위(priority)에 따라 호스트 지점(vertex)의 상태(state)를 업데이트할 수 있다.The graph construction unit 220 may receive evidence 810 of a pair of IP and MAC address, which is a unique identifier representing a host, in operation 820, and collect evidence information. Then, the graph configuration unit 220 generates a security relationship (830), reflects the generated security relationship in the attack history graph 850, according to the priority (priority) of each security relationship shown in FIG. You can update the state of the vertex.

도 9는 각 보안관계의 In/Out에 따라 상태(state)를 구체화하는 상태 전이 다이어그램(state transition diagram)을 나타낸다.FIG. 9 shows a state transition diagram for specifying a state according to In / Out of each security relationship.

도 9를 참조하면, 공격자(940)는 공격자의 런타임 권한을 추적하기 위하여 호스트의 리스트인 동적 공격자 리스트를 관리한다. 그 후, 그래프 구성부(Benign, 220)는 보안관계 내의 호스트(920)들 중 하나인 다음 타겟 호스트(910)를 각 보안관계의 우선 순위에 따라 선택한다. 타겟들을 검사하고 보안관계를 생성하며 공격 히스토리 그래프(850)를 반복적으로 업데이트한다.Referring to FIG. 9, the attacker 940 manages a dynamic attacker list, which is a list of hosts, to track the runtime privileges of the attacker. The graph constructer 220 then selects the next target host 910, one of the hosts 920 in the security association, according to the priority of each security association. Examine the targets, create a security association, and update the attack history graph 850 repeatedly.

그래프 구성부(220)는 도 9에 도시된 바와 같은 상태 전이 다이어그램을 통해 위협 전파 분석(threat propagation analysis, 840)을 수행하며, 검사할 타겟이 없는 경우, 본 발명의 실시예에 따른 보안 출처 제공 시스템(200)은 공격 히스토리 그래프(850)를 관리자(110)에게 전달한다.The graph configuration unit 220 performs a threat propagation analysis 840 through a state transition diagram as shown in FIG. 9, and provides a security source according to an embodiment of the present invention when there is no target to be inspected. System 200 communicates attack history graph 850 to manager 110.

이 때, 공격 히스토리 그래프(850)는 공격의 시간 순서 기록(chronicle)를 나타내며, 시간 순서의 보안관계는 공격 절차의 순서를 의미한다.At this time, the attack history graph 850 represents a time sequence record (chronicle) of the attack, the security relationship of the time order means the order of the attack procedure.

도 10은 손상된 중간 노드들을 통하여 권한 상승 공격(Privilege escalation)을 수행할 수 있음을 나타내는 내재적 보안관계를 나타낸다.10 shows an implicit security relationship that indicates that privilege escalation can be performed through compromised intermediate nodes.

도 10은 공격자(940)가 중간 희생자(intermediary victim, 921, 922)를 거쳐 악의적인 행동을 하는 권한 상승(Privilege escalation)의 환경에서, 내재적 보안관계를 찾기 위한 알고리즘을 설명한다. FIG. 10 illustrates an algorithm for finding an intrinsic security relationship in an environment of privilege escalation in which an attacker 940 performs malicious actions via an intermediary victim 921 and 922.

공격자(940)의 권한 상승에 따른 간접 관계의 도출을 위해서, 그래프 구성부(220)는 공격자 노드(940)로부터 attack to를 탐색(traverse)하고, 체인의 말단부터 모든 connect_to를 분석할 수 있다. 이후, 희생자(921, 922)가 공격자(940)에 의해 제어되는 상황인 경우, 그래프 구성부(220)는 희생자(921, 922)의 보안 정책 위반 여부에 따라 각 희생자(921, 922)의 implicit_ac_violate 및 implicit_sp_violate의 간접 관계를 정의할 수 있다. In order to derive an indirect relationship according to the elevation of the attacker 940, the graph component 220 may traverse attack to from the attacker node 940 and analyze all connect_to from the end of the chain. Subsequently, when the victims 921 and 922 are controlled by the attacker 940, the graph constructer 220 implicit_ac_violate of each victim 921 and 922 according to whether the victims 921 and 922 have violated a security policy. And implicit_sp_violate may be defined.

도 12는 본 발명의 실시예에 따른 보안 문제의 근본적인 원인을 제공하기 위한 보안 출처 제공 방법의 흐름도를 도시한 것이다.12 illustrates a flowchart of a method for providing a security source for providing a root cause of a security problem according to an embodiment of the present invention.

도 12의 방법은 도 1에 도시된 본 발명의 실시예에 따른 보안 출처 제공 시스템에 의해 수행된다.The method of FIG. 12 is performed by a security source providing system according to the embodiment of the present invention shown in FIG.

도 12를 참조하면, 단계 1210에서, 동적 네트워크 환경에서, 보안에 관련된 네트워크 이벤트로 인한 패킷 및 네트워크 스냅샷을 포함하는 보안 출처 데이터를 수집하며, 보안 출처 데이터를 이용하여 증거 정보를 생성한다. Referring to FIG. 12, in step 1210, in a dynamic network environment, security source data including packets and network snapshots due to network events related to security are collected, and evidence information is generated using the security source data.

보안 출처 데이터는 상기 패킷과, 네트워크 토폴로지, 보안 정책, 네트워크 구조 및 포워딩(forwarding) 규칙 중 적어도 어느 하나 이상을 포함하는 네트워크 스냅샷을 포함할 수 있다.Security source data may include a network snapshot that includes the packet and at least one of a network topology, a security policy, a network structure, and a forwarding rule.

단계 1210은 패킷을 미러링하는 제1 단계, 동적 네트워크 환경에서, 네트워크 변경 사항을 추적하고, 네트워크 스냅샷을 데이터베이스에 제공하는 제2 단계 및 보안 출처 데이터의 검사 결과에 기초하여 증거 정보를 생성하는 제3 단계를 포함할 수 있다. Step 1210 is a first step of mirroring packets, in a dynamic network environment, a second step of tracking network changes, providing a network snapshot to a database, and generating evidence information based on inspection results of the security source data. It may include three steps.

이 때, 상기 제3 단계는 패킷을 이용하여 상기 보안 출처 데이터를 검사하는 단계를 통해 증거 정보를 생성할 수 있다. In this case, the third step may generate evidence information by inspecting the security source data using a packet.

단계 1220에서, 보안 출처 데이터를 이용하여 관계형 공격 히스토리 그래프를 구성하며, 공격의 동작 시나리오를 구성한다.In step 1220, the relational attack history graph is constructed using the security source data, and the operational scenario of the attack is constructed.

단계 1220은 호스트(host)와 연관된 보안 출처 데이터가 소모될 때까지 증거 정보를 수신하여 공격 히스토리 그래프를 재구성할 수 있다. 보다 세부적으로, 단계 1220은 네트워크 관리자로 정의된 특정 호스트 또는 보안에 관련된 네트워크 이벤트에서 시작하는 보안 출처 데이터의 인과관계를 분석하고, 악의적인 증상에 관련된 보안 출처 데이터가 소모될 때까지 공격 히스토리 그래프를 재구성하는 단계일 수 있다. Step 1220 may reconstruct the attack history graph by receiving evidence information until security source data associated with the host is consumed. More specifically, step 1220 analyzes the causality of security source data originating from a specific host or network event related to security defined as a network administrator, and plots the attack history graph until the security source data associated with the malicious symptom is exhausted. Reconstruction may be performed.

이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 어플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The apparatus described above may be implemented as a hardware component, a software component, and / or a combination of hardware components and software components. For example, the devices and components described in the embodiments may be, for example, processors, controllers, arithmetic logic units (ALUs), digital signal processors, microcomputers, field programmable arrays (FPAs), It may be implemented using one or more general purpose or special purpose computers, such as a programmable logic unit (PLU), microprocessor, or any other device capable of executing and responding to instructions. The processing device may execute an operating system (OS) and one or more software applications running on the operating system. The processing device may also access, store, manipulate, process, and generate data in response to the execution of the software. For convenience of explanation, one processing device may be described as being used, but one of ordinary skill in the art will appreciate that the processing device includes a plurality of processing elements and / or a plurality of types of processing elements. It can be seen that it may include. For example, the processing device may include a plurality of processors or one processor and one controller. In addition, other processing configurations are possible, such as parallel processors.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may include a computer program, code, instructions, or a combination of one or more of the above, and configure the processing device to operate as desired, or process it independently or collectively. You can command the device. Software and / or data may be any type of machine, component, physical device, virtual equipment, computer storage medium or device in order to be interpreted by or to provide instructions or data to the processing device. Or may be permanently or temporarily embodied in a signal wave to be transmitted. The software may be distributed over networked computer systems so that they are stored or executed in a distributed manner. Software and data may be stored on one or more computer readable recording media.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to the embodiment may be embodied in the form of program instructions that can be executed by various computer means and recorded in a computer readable medium. The computer readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the media may be those specially designed and constructed for the purposes of the embodiments, or they may be of the kind well-known and available to those having skill in the computer software arts. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks, such as floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine code, such as produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware device described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.Although the embodiments have been described by the limited embodiments and the drawings as described above, various modifications and variations are possible to those skilled in the art from the above description. For example, the described techniques may be performed in a different order than the described method, and / or components of the described systems, structures, devices, circuits, etc. may be combined or combined in a different form than the described method, or other components. Or even if replaced or substituted by equivalents, an appropriate result can be achieved.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are within the scope of the claims that follow.

Claims (17)

동적 네트워크 환경에서, 보안에 관련된 네트워크 이벤트로 인한 패킷 및 네트워크 스냅샷을 포함하는 보안 출처 데이터를 수집하며, 상기 보안 출처 데이터를 이용하여 증거 정보를 생성하는 데이터 수집부; 및
상기 보안 출처 데이터를 이용하여 관계형 공격 히스토리 그래프를 구성하며, 공격의 동작 시나리오를 구성하는 그래프 구성부
를 포함하는 보안 출처 제공 시스템.
In a dynamic network environment, the data collection unit for collecting the security source data, including packets and network snapshots due to network events related to security, and generates evidence information using the security source data; And
A graph constructing unit constructing a relational attack history graph using the security source data and constructing an operation scenario of an attack
Security source providing system comprising a.
제1항에 있어서,
상기 데이터 수집부는
상기 패킷과, 네트워크 토폴로지, 보안 정책, 네트워크 구조 및 포워딩(forwarding) 규칙 중 적어도 어느 하나 이상을 포함하는 상기 네트워크 스냅샷을 포함하는 상기 보안 출처 데이터를 수집하는 보안 출처 제공 시스템.
The method of claim 1,
The data collection unit
And collect the security source data including the packet and the network snapshot including at least one of a network topology, a security policy, a network structure, and a forwarding rule.
제2항에 있어서,
상기 데이터 수집부는
상기 패킷을 미러링하는 패킷 모니터부;
상기 동적 네트워크 환경에서, 네트워크 변경 사항을 추적하고, 상기 네트워크 스냅샷을 데이터베이스에 제공하는 네트워크 히스토리 레코더부; 및
출처 분석부에서 수신되는 검사 결과에 기초하여 상기 증거 정보를 생성하는 증거 생성부
를 포함하는 보안 출처 제공 시스템.
The method of claim 2,
The data collection unit
A packet monitor unit for mirroring the packet;
A network history recorder unit for tracking network changes and providing the network snapshot to a database in the dynamic network environment; And
Evidence generation unit for generating the evidence information based on the test results received from the source analysis unit
Security source providing system comprising a.
제3항에 있어서,
상기 패킷 모니터부는
2단계 패킷 캡쳐(two-phase packet capture, 2PC) 방법을 이용하여 출구(egress) 및 입구(ingress) 스위치에서 한 패킷을 두 번 미러링하는 것을 특징으로 하는 보안 출처 제공 시스템.
The method of claim 3,
The packet monitor unit
A system for providing a security source, characterized by mirroring one packet twice at an egress and ingress switch using a two-phase packet capture (2PC) method.
제3항에 있어서,
상기 네트워크 히스토리 레코더부는
상기 패킷이 모니터되는 동안 상기 네트워크 스냅샷을 수집하며, 보안 정책 및 네트워크 구조에 대한 내부 상태의 업데이트 또는 변화의 상태 변경에 따라 상기 네트워크 스냅샷을 상기 데이터베이스에 반영하는 보안 출처 제공 시스템.
The method of claim 3,
The network history recorder unit
Collecting the network snapshot while the packet is monitored and reflecting the network snapshot to the database in accordance with a state change of an update or change of an internal state to a security policy and network structure.
제5항에 있어서,
상기 네트워크 히스토리 레코더부는
소프트웨어 정의 네트워킹(Software-Defined Networking, SDN) 기술을 이용하여 상기 동적 네트워크 환경에서의 상기 상태 변경을 추적하여 모니터링 규칙을 발생하는 출처 모니터링을 수행하는 보안 출처 제공 시스템.
The method of claim 5,
The network history recorder unit
A security source providing system for performing source monitoring to generate monitoring rules by tracking the state change in the dynamic network environment using Software-Defined Networking (SDN) technology.
제3항에 있어서,
상기 증거 생성부는
상기 패킷을 이용하여 상기 보안 출처 데이터를 검사하는 상기 출처 분석부와 협력하며, 상기 두 개의 패킷에 대해 전사적인(enterprise-wide) 보안 검사를 수행하여 상기 증거 정보를 생성하는 보안 출처 제공 시스템.
The method of claim 3,
The evidence generating unit
Collaborating with the origin analysis unit for inspecting the security source data using the packet, and generating the evidence information by performing an enterprise-wide security check on the two packets.
제7항에 있어서,
상기 출처 분석부는
상기 출구 및 입구 스위치에서 수신되는 두 개의 패킷을 비교하여 패킷의 조작 여부를 검사하며, 포렌식 정보 제공을 위해, 상기 보안 출처 데이터를 발생 순서대로 검사하는 것을 특징으로 하는 보안 출처 제공 시스템.
The method of claim 7, wherein
The source analysis unit
And comparing the two packets received at the exit and inlet switches to check whether the packets have been manipulated, and to check the security source data in order of occurrence in order to provide forensic information.
제1항에 있어서,
상기 그래프 구성부는
호스트(host)와 연관된 상기 보안 출처 데이터가 소모될 때까지 상기 데이터 수집부에서 상기 증거 정보를 수신하여 상기 공격 히스토리 그래프를 재구성하는 보안 출처 제공 시스템.
The method of claim 1,
The graph component is
And receiving the evidence information from the data collection unit to reconstruct the attack history graph until the security source data associated with a host is consumed.
제9항에 있어서,
상기 그래프 구성부는
네트워크 관리자로 정의된 특정 호스트 또는 상기 보안에 관련된 네트워크 이벤트에서 시작하는 상기 보안 출처 데이터의 인과관계를 분석하고, 악의적인 증상에 관련된 상기 보안 출처 데이터가 소모될 때까지 상기 공격 히스토리 그래프를 재구성하는 것을 특징으로 하는 보안 출처 제공 시스템.
The method of claim 9,
The graph component is
Analyzing the causality of the security source data starting at a specific host defined by the network administrator or the security related network event, and reconstructing the attack history graph until the security source data related to the malicious symptom is exhausted. Featured security source providing system.
보안 문제의 근본적인 원인을 제공하기 위한 보안 출처 제공 시스템의 동작 방법에 있어서,
동적 네트워크 환경에서, 보안에 관련된 네트워크 이벤트로 인한 패킷 및 네트워크 스냅샷을 포함하는 보안 출처 데이터를 수집하며, 상기 보안 출처 데이터를 이용하여 증거 정보를 생성하는 단계; 및
상기 보안 출처 데이터를 이용하여 관계형 공격 히스토리 그래프를 구성하며, 공격의 동작 시나리오를 구성하는 단계
를 포함하는 보안 출처 제공 방법.
In the method of operating the security source providing system to provide the root cause of the security problem,
In a dynamic network environment, collecting security source data, including packets and network snapshots due to network events related to security, and generating evidence information using the security source data; And
Constructing a relational attack history graph using the security source data, and constructing an operation scenario of an attack
Security source providing method comprising a.
제11항에 있어서,
상기 보안 출처 데이터는
상기 패킷과, 네트워크 토폴로지, 보안 정책, 네트워크 구조 및 포워딩(forwarding) 규칙 중 적어도 어느 하나 이상을 포함하는 상기 네트워크 스냅샷을 포함하는 보안 출처 제공 방법.
The method of claim 11,
The secure source data
And the network snapshot including at least one of the packet and a network topology, a security policy, a network structure, and a forwarding rule.
제11항에 있어서,
상기 보안 출처 데이터를 수집하고, 상기 증거 정보를 생성하는 단계는
상기 패킷을 미러링하는 단계;
상기 동적 네트워크 환경에서, 네트워크 변경 사항을 추적하고, 상기 네트워크 스냅샷을 데이터베이스에 제공하는 단계; 및
상기 보안 출처 데이터의 검사 결과에 기초하여 상기 증거 정보를 생성하는 단계
를 포함하는 보안 출처 제공 방법.
The method of claim 11,
Collecting the security source data and generating the evidence information
Mirroring the packet;
In the dynamic network environment, tracking network changes and providing the network snapshot to a database; And
Generating the evidence information based on the inspection result of the security source data
Security source providing method comprising a.
제13항에 있어서,
상기 보안 출처 데이터를 수집하고, 상기 증거 정보를 생성하는 단계는
상기 패킷을 이용하여 상기 보안 출처 데이터를 검사하는 단계를 통해 상기 증거 정보를 생성하는 것을 특징으로 하는 보안 출처 제공 방법.
The method of claim 13,
Collecting the security source data and generating the evidence information
And examining the security source data using the packet to generate the evidence information.
제11항에 있어서,
상기 공격의 동작 시나리오를 구성하는 단계는
호스트(host)와 연관된 상기 보안 출처 데이터가 소모될 때까지 상기 증거 정보를 수신하여 상기 공격 히스토리 그래프를 재구성하는 보안 출처 제공 방법.
The method of claim 11,
Configuring the operation scenario of the attack
Receiving the evidence information and reconstructing the attack history graph until the security source data associated with a host is exhausted.
제15항에 있어서,
상기 공격의 동작 시나리오를 구성하는 단계는
네트워크 관리자로 정의된 특정 호스트 또는 상기 보안에 관련된 네트워크 이벤트에서 시작하는 상기 보안 출처 데이터의 인과관계를 분석하고, 악의적인 증상에 관련된 상기 보안 출처 데이터가 소모될 때까지 상기 공격 히스토리 그래프를 재구성하는 것을 특징으로 하는 보안 출처 제공 방법.
The method of claim 15,
Configuring the operation scenario of the attack
Analyzing the causality of the security source data starting at a specific host defined by the network administrator or the security related network event, and reconstructing the attack history graph until the security source data related to the malicious symptom is exhausted. Characterized by a method of providing security sources.
제11항 내지 제16항 중 어느 한 항의 방법을 수행하기 위하여 컴퓨터로 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램.A computer program stored in a computer readable recording medium for performing the method of any one of claims 11 to 16.
KR1020180059740A 2018-05-25 2018-05-25 security provenance providing system for providing of the root cause of security problems and the method thereof KR102131496B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180059740A KR102131496B1 (en) 2018-05-25 2018-05-25 security provenance providing system for providing of the root cause of security problems and the method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180059740A KR102131496B1 (en) 2018-05-25 2018-05-25 security provenance providing system for providing of the root cause of security problems and the method thereof

Publications (2)

Publication Number Publication Date
KR20190134287A true KR20190134287A (en) 2019-12-04
KR102131496B1 KR102131496B1 (en) 2020-07-08

Family

ID=69004941

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180059740A KR102131496B1 (en) 2018-05-25 2018-05-25 security provenance providing system for providing of the root cause of security problems and the method thereof

Country Status (1)

Country Link
KR (1) KR102131496B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102518107B1 (en) * 2021-09-13 2023-04-05 한국과학기술원 Open-source intelligence forensic system and method of operating the same
KR102600770B1 (en) * 2021-11-22 2023-11-13 (주)에이펙스 이에스씨 Open-source intelligence forensic system that generates link information between public source information and snapshot and method of operating the same

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040022112A (en) * 2002-09-06 2004-03-11 지승도 Network Security Management System based the Simulation Technique
US20140222994A1 (en) * 2013-02-07 2014-08-07 International Business Machines Corporation Transparently tracking provenance information in distributed data systems
US20170223039A1 (en) * 2014-07-31 2017-08-03 Hewlett Packard Enterprise Development Lp Remediating a security threat to a network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040022112A (en) * 2002-09-06 2004-03-11 지승도 Network Security Management System based the Simulation Technique
US20140222994A1 (en) * 2013-02-07 2014-08-07 International Business Machines Corporation Transparently tracking provenance information in distributed data systems
US20170223039A1 (en) * 2014-07-31 2017-08-03 Hewlett Packard Enterprise Development Lp Remediating a security threat to a network

Also Published As

Publication number Publication date
KR102131496B1 (en) 2020-07-08

Similar Documents

Publication Publication Date Title
Khan et al. Network forensics: Review, taxonomy, and open challenges
US10462188B2 (en) Computer network security system
Al-Masri et al. A fog-based digital forensics investigation framework for IoT systems
Zhang et al. An IoT honeynet based on multiport honeypots for capturing IoT attacks
CN106411562B (en) Electric power information network safety linkage defense method and system
Deb et al. A comprehensive survey of vulnerability and information security in SDN
US7197762B2 (en) Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
Stiawan et al. The trends of intrusion prevention system network
Irfan et al. A framework for cloud forensics evidence collection and analysis using security information and event management
Man et al. A collaborative intrusion detection system framework for cloud computing
Ahmed et al. Modelling cyber security for software-defined networks those grow strong when exposed to threats: Analysis and propositions
Khan et al. Towards an applicability of current network forensics for cloud networks: A SWOT analysis
CN113794590B (en) Method, device and system for processing network security situation awareness information
KR102131496B1 (en) security provenance providing system for providing of the root cause of security problems and the method thereof
Rajasekaran et al. Classification and importance of intrusion detection system
US10296744B1 (en) Escalated inspection of traffic via SDN
Araújo et al. EICIDS-elastic and internal cloud-based detection system
Tayyebi et al. Cloud security through Intrusion Detection System (IDS): Review of existing solutions
Diaz-Honrubia et al. A trusted platform module-based, pre-emptive and dynamic asset discovery tool
Rattanalerdnusorn et al. IoTDePT: Detecting security threats and pinpointing anomalies in an IoT environment
Ghribi et al. Multi-layer Cooperative Intrusion Detection System for Cloud Environment.
Prabhu et al. Network intrusion detection system
Naaz et al. Enhancement of network security through intrusion detection
Lamb et al. Protecting virtual programmable switches from cross-app poisoning (cap) attacks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant