KR20200075725A - 복수개의 디바이스 정보 종합 분석을 통한 디바이스 이상 징후 탐지 방법 및 그 장치 - Google Patents

복수개의 디바이스 정보 종합 분석을 통한 디바이스 이상 징후 탐지 방법 및 그 장치 Download PDF

Info

Publication number
KR20200075725A
KR20200075725A KR1020190090709A KR20190090709A KR20200075725A KR 20200075725 A KR20200075725 A KR 20200075725A KR 1020190090709 A KR1020190090709 A KR 1020190090709A KR 20190090709 A KR20190090709 A KR 20190090709A KR 20200075725 A KR20200075725 A KR 20200075725A
Authority
KR
South Korea
Prior art keywords
abnormality
detecting
information
detect
anomalies
Prior art date
Application number
KR1020190090709A
Other languages
English (en)
Inventor
김미주
고웅
오성택
이재혁
박준형
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020190090709A priority Critical patent/KR20200075725A/ko
Publication of KR20200075725A publication Critical patent/KR20200075725A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Abstract

복수개의 디바이스의 정보를 이용하여 대상 디바이스의 이상 징후를 탐지하는 방법 및 그 장치에 대한 기술이 제공 된다. 본 발명의 일 실시예에 따른 제1 도메인(Domain)에 존재하는 제1 디바이스의 정보 및 제2 도메인에 존재하는 제2 디바이스의 정보를 획득하는 단계; 및 상기 획득한 상기 제1 디바이스의 정보 및 상기 제2 디바이스의 정보를 모두 이용하여 상기 제1 디바이스의 이상 징후 및 상기 제2 디바이스의 이상 징후를 탐지하되, 상기 제1 디바이스의 정보 및 상기 제2 디바이스의 정보 중 어느 하나만 이용하는 경우 상기 제1 디바이스의 이상 징후 및 상기 제2 디바이스의 이상 징후가 탐지되지 않는, 단계를 포함한다.

Description

복수개의 디바이스 정보 종합 분석을 통한 디바이스 이상 징후 탐지 방법 및 그 장치{METHOD AND APPARATUS FOR DETECTING A DEVICE ABNORMALITY SYMPTOM THROUGH COMPREHENSIVE ANALYSIS OF A PLURALITY OF PIECES OF DEVICE INFORMATION}
본 발명은 복수개의 디바이스의 정보를 이용하여 대상 디바이스의 이상 징후를 탐지하는 방법에 관한 것이다. 보다 자세하게는, 개별 디바이스 정보만으로는 탐지하기 어려운 이상 징후에 대하여 복수개의 디바이스에 대한 정보를 종합적으로 이용하여 각각의 디바이스에 대한 이상징후를 탐지하는 방법에 관한 것이다.
IoT(Internet of Things) 디바이스는 하나의 네트워크로 모두 연결되어 있기 때문에 악성 코드에 감염될 경우 IoT 환경 전체가 위협을 받을 수 있다. 따라서 IoT 디바이스의 이상 징후를 조기에 탐지하여 문제를 해결하는 것이 중요하다.
하지만, 최근 '사람처럼 행동(Human-like)'하는 지능형 악성 코드의 증가로 기존의 IoT 디바이스의 개별적인 상태만 탐지하는 보안 시스템으로는 지능형 악성 코드를 정확하고 빠르게 탐지하기 어렵다.
따라서 복수개의 디바이스에 대한 정보를 종합적으로 분석하여, 디바이스에 이상 징후가 발생되었는지 여부를 빠르고 정확하게 탐지할 수 있는 기술의 제공이 요구된다.
한국공개특허 2010-0067667 A
본 발명이 해결하고자 하는 기술적 과제는, 각각의 디바이스의 정보만으로는 탐지되기 어려운 디바이스의 이상 징후에 대해 다른 디바이스의 정보를 이용하여 이상 징후를 탐지하는 방법 및 그 장치에 관한 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명의 기술분야에서의 통상의 기술자에게 명확하게 이해 될 수 있을 것이다.
상기 기술적 과제를 해결하기 위한, 본 발명의 일 실시예에 따른 디바이스 이상 징후 탐지 방법은 제1 도메인(Domain)의 SMU(Security Management Unit)에 연결된 제1 디바이스의 동작 정보 및 제2 도메인 SMU에 연결된 제2 디바이스의 동작 정보를 획득하는 단계, 상기 제1 디바이스의 동작 정보 및 상기 제2 디바이스의 동작 정보를 비교하여, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하되, 상기 제1 도메인 SMU와 상기 제2 도메인 SMU는 직접 연결되지 않은 장치일 수 있다.
일 실시예에 따른 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는, 상기 제1 디바이스의 제조사와 상기 제2 디바이스의 제조사가 동일한 경우, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는, 상기 제1 디바이스 제품명과 상기 제2 디바이스의 제품명이 동일한 경우, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는, 상기 제1 도메인과 제2 도메인이 동일한 영역인 경우, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는, 상기 제1 디바이스의 제품명과 상기 제2 디바이스의 제품명 상이하고 상기 제1 디바이스의 제조사와 상기 제2 디바이스의 제조사가 동일한 경우, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 제1 디바이스의 동작 정보 및 상기 제2 디바이스의 동작 정보를 비교하여, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는, 상기 제1 디바이스의 동작 정보 및 상기 제 2 디바이스의 동작 정보가 유사한 경우 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 제1 디바이스의 동작 정보 및 상기 제2 디바이스의 동작 정보를 비교하여, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는, 상기 제1 디바이스의 동작의 패턴 정보 및 상기 제 2 디바이스의 동작의 패턴 정보가 유사한 경우 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 제1 디바이스의 동작 정보 및 상기 제2 디바이스의 동작 정보를 비교하여, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는, 상기 제1 디바이스의 동작 정보 및 상기 제1 디바이스의 동작 정보와 상이한 상기 제 2 디바이스의 동작 정보가 결합된 정보를 이용하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는, 상기 제1 디바이스의 전원 상태의 변화 주기 및 상기 제2 디바이스의 전원 상태의 변화 주기를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는, 기 제1 디바이스의 프로세스 정보 및 상기 제2 디바이스의 프로세스 정보를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는, 상기 제1 디바이스에서 실행되는 프로세스의 메모리 사용량 및 상기 제2 디바이스에서 실행되는 프로세스의 메모리 사용량을 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는, 상기 제1 디바이스에서 실행되는 프로세스의 메모리 사용량 및 상기 제2 디바이스 프로세스에서 실행되는 메모리 사용량을 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는, 상기 제1 디바이스의 파일 해시값 및 상기 제2 디바이스의 파일 해시값을 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는, 상기 제1 디바이스에 입력된 명령어 및 상기 제2 디바이스에 입력된 명령어를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 제1 디바이스에 입력된 명령어 및 상기 제2 디바이스에 입력된 명령어를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는, 상기 제1 디바이스에 입력된 su(substitute)명령어 및 상기 제2 디바이스에 입력된 su명령어를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 제1 디바이스에 입력된 명령어 및 상기 제2 디바이스에 입력된 명령어를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는, 상기 제1 디바이스에 입력된 chmod(change mode)명령어 및 상기 제2 디바이스에 입력된 chmod명령어를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는, 상기 제1 디바이스로 송신된 인바운드(inbound) 패킷 정보 및 상기 제2 디바이스로 송신된 인바운드 패킷 정보를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 제1 디바이스로 송신된 인바운드 패킷 및 상기 제2 디바이스로 송신된 인바운드 패킷을 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는, 상기 제1 디바이스로 송신된 인바운드 패킷의 소스(source) 지역 정보 및 상기 제2 디바이스로 송신된 인바운드 패킷의 소스 지역 정보를 비교하여, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는, 상기 제1 디바이스로부터 송신된 아웃바운드(outbound) 패킷 정보 및 상기 제2 디바이스로부터 송신된 아웃바운드 패킷 정보를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함할 수 있다.
일 실시예에 따른 상기 제1 디바이스로부터 송신된 아웃바운드(outbound) 패킷 정보 및 상기 제2 디바이스로부터 송신된 아웃바운드 패킷 정보를 이용하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는, 상기 제1 디바이스로부터 송신된 아웃바운드(outbound) 패킷의 목적지(destination) 지역 정보 및 상기 제2 디바이스로부터 송신된 아웃바운드 패킷의 목적지 지역 정보를 비교하여, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함할 수 있다.
상기 기술적 과제를 해결하기 위한 본 발명의 다른 실시예에 따른 디바이스 이상 징후 탐지 장치는 디바이스 이상 징후 탐지 프로그램이 로드되는 메모리 및 상기 메모리에 로드된 디바이스 이상 징후 탐지 프로그램을 실행하는 프로세서를 포함하되, 상기 디바이스 이상 징후 탐지 프로그램은, 제1 도메인(Domain)의 SMU(Security Management Unit)에 연결된 제1 디바이스의 동작 정보 및 제2 도메인 SMU에 연결된 제2 디바이스의 동작 정보를 획득하는 인스트럭션(instruction), 상기 제1 디바이스의 동작 정보 및 상기 제2 디바이스의 동작 정보를 비교하여, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하되, 상기 제1 도메인 SMU와 상기 제2 도메인 SMU는 직접 연결되지 않은 장치일 수 있다.
도 1은 본 발명의 일 실시예에 따른 디바이스의 이상 징후 탐지 시스템에 대한 구성 및 동작을 설명하기 위한 도면이다.
도 2는 본 발명의 다른 실시예에 따른 디바이스의 이상 징후 탐지 방법의 순서도이다.
도 3은 도 2의 일부 동작을 자세히 설명하기 위한 순서도이다.
도 4는 본 발명의 또 다른 실시예에 따른 복수개의 도메인에 존재하는 복수개의 디바이스의 이상 징후 탐지 방법을 설명하기 위한 도면이다.
도 5는 본 발명의 또 다른 실시예에 따른 하나의 도메인에 존재하는 복수개의 디바이스의 이상 징후 탐지 방법을 설명하기 위한 도면이다.
도 6은 본 발명의 또 다른 실시예에 따른 하나의 도메인에 존재하는 동일한 제품명의 복수개의 디바이스의 이상 징후 탐지 방법을 설명하기 위한 도면이다.
도 7a는 본 발명의 또 다른 실시예에 따른 복수개의 유사한 디바이스 정보를 이용하여 디바이스의 이상 징후를 탐지하는 방법을 설명하기 위한 도면이다.
도 7b는 본 발명의 또 다른 실시예에 따른 복수개의 유사한 패턴을 포함하는 디바이스 정보를 이용하여 디바이스의 이상 징후를 탐지하는 방법을 설명하기 위한 도면이다.
도 8은 본 발명의 또 다른 실시예에 따른 디바이스의 정보를 종합한 유의미한 결과데이터를 이용하여 디바이스의 이상 징후를 탐지하는 방법을 설명하기 위한 도면이다.
도 9는 본 발명의 또 다른 실시예에 따른 디바이스의 파일 정보를 이용하여 디바이스 이상 징후를 탐지하는 방법을 설명하기 위한 도면이다.
도 10은 본 발명의 또 다른 실시예에 따른 디바이스에 입력된 명령어를 이용하여 디바이스 이상 징후를 탐지하는 방법을 설명하기 위한 도면이다.
도 11은 본 발명의 또 다른 실시예에 따른 디바이스의 아웃바운드 트래픽 정보를 이용하여 디바이스 이상 징후를 탐지하는 방법을 설명하기 위한 도면이다.
도 12는 본 발명의 또 다른 실시예에 따른 디바이스의 인바운드 트래픽 정보를 이용하여 디바이스 이상 징후를 탐지하는 방법을 설명하기 위한 도면이다.
도 13은 본 발명의 또 다른 실시예에 따른 디바이스 이상 징후 탐지 장치의 하드웨어 블록도이다.
도 14는 본 발명의 또 다른 실시예에 따른 디바이스 이상 징후 탐지 장치의 하드웨어 구성도이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 게시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다.
이하, 도면들을 참조하여 본 발명의 몇몇 실시예들을 설명한다.
도 1을 참조하여 디바이스 이상 징후 탐지 장치의 구성 및 동작을 설명한다. 디바이스 이상 징후 탐지 장치는 복수개의 도메인에 존재하는 디바이스의 상태를 네트워크를 통해 수신하여, 각각의 디바이스 및 도메인에 존재하는 이상 징후 여부를 탐지할 수 있다.
각각의 도메인은 물리적으로 분리된 지역일 수 있고, 동일한 지역에서 분리된 복수개의 네트워크망 일 수 있으며, 동일한 네트워크망에 복수개의 AP를 통해 분리된 가상의 네트워크 영역일 수도 있다. 또한, 하나의 도메인은 다시 복수개의 도메인으로 나뉠 수 있다.
도메인은 SMU(Security Management Unit)(10, 20, 30)와 적어도 하나 이상의 디바이스(11, 12, 13, 14, 21, 22, 23, 31, 32, 33, 34)를 포함할 수 있다. 예를 들어 도메인 1은 하나의 SMU(10)와 4개 이상의 다른 디바이스(11, 12, 13, 14)를 포함할 수 있고, 도메인 3 하나의 SMU(30)와 상기 도메인 1에 포함되는 디바이스와 동일한 종류의 디바이스(31, 32, 33, 34)를 포함할 수 있으며, 도메인 2는 하나의 SMU(20)와 도메인 3과 동일한 종류의 디바이스(21, 23) 및 다른 종류의 디바이스(22)를 포함할 수 있다.
SMU(10, 20, 30)는 각각의 도메인에 적어도 하나 이상이 존재할 수 있다. 상기 SUM는 디바이스 이상 징후 장치(100)로부터 디바이스 정보 및 도메인 정보에 대한 요청을 수신할 수 있으며, 상기 도메인 내에 존재하는 복수개의 디바이스의 상태 정보, 상기 도메인으로 송/수신되는 네트워크 패킷 정보 및 인바운드(inbound), 아웃바운드(outbound) 트래픽 정보를 디바이스 이상 징후 탐지 장치(100)에 송신할 수도 있다.
디바이스 이상 징후 탐지 장치(100)는 복수의 SMU(12, 20, 30)로부터 송신 받은 디바이스 정보를 이용하여 각각의 디바이스(11, 12, 13, 14, 21, 22, 23, 31, 32, 33, 34)에서 나타나는 이상 징후를 탐지할 수 있다. 특히, 개별적인 디바이스의 정보만으로는 탐지할 수 없었던 이상 징후 일지라도, 다른 도메인의 다른 디바이스의 정보와 종합하여 분석함으로써 이상 징후임을 판단할 수 있다.
예를 들어, 특정 도메인에 포함되는 AP가 30일 단위로 재부팅 되는 경우, 상기 AP의 정보만으로는 단순 AP의 오작동으로 판단될 수 있으나, 100개의 다른 도메인에서 AP가 30일 단위로 재부팅 된다면 악성 코드의 공격일 가능성이 매우 높다. 따라서 본 발명의 일 실시예에 따른 디바이스 이상 징후 탐지 장치는 위와 같은 상황을 이상 징후로 탐지해낼 수 있다.
도 2를 참조하여 본 발명의 일 실시예에 따른 이상 징후 탐지 방법의 순서도를 설명한다.
단계 S110에서, 제1 도메인에 포함되는 제1 디바이스의 정보를 획득한다. 상기 디바이스의 정보는 디바이스의 하드웨어 정보, 소프트웨어 정보 및 디바이스 상태 정보 중 하나 이상을 포함할 수 있다. 하드웨어 정보는 예를 들어 제품명, 제품의 버전 및 제조사에 관한 정보를 포함할 수 있다. 소프트웨어 정보는 예를 들어 디바이스의 펌웨어의 운영체제, 펌웨어의 버전 및 상기 디바이스에 설치된 응용 소프트웨어에 관련된 정보를 포함할 수 있다.
또한 디바이스 상태 정보는 상기 디바이스의 전원 상태에 관한 정보, CPU사용량, 메모리 사용량, 프로세스와 관련된 정보, 네트워크 패킷 정보, 입출력 및 저장되는 파일 정보, 사용자 및 사용자의 권한과 관련된 정보, 서비스에 관한 정보, 네트워크 포트 및 IP와 관련된 정보 및 디바이스에 입력되는 명령어와 관련된 정보를 포함할 수 있다. 상세한 설명은 이하 7 내지 12 에서 후술한다.
단계 S120에서, 제2 도메인에 포함되는 제2 디바이스의 정보를 획득한다. 제1 도메인과 제2 도메인은 물리적 또는 시스템상으로 분리된 별개의 네트워크 망을 포함할 수 있다. 본 발명의 일 실시예에 따라 복수개의 도메인에 포함된 각각의 디바이스 정보를 종합적으로 이용하여 디바이스의 이상 징후를 판단함으로써 추후 발생될 수 있는 악성 코드의 공격을 조기에 탐지할 수 있다.
단계 S130과 단계 S140은 지정된 선후관계가 있는 것은 아니며, 병렬적으로 수행될 수도 있음에 유의한다.
단계 S130에서 제1 도메인에 포함된 제1 디바이스의 정보만으로 제1 디바이스의 이상 징후를 탐지할 수 있는지 판단한다. 제1 디바이스의 정보만으로 제1 디바이스의 이상 징후가 탐지된다면, 컴퓨팅 장치의 연산량 감소를 위해 제2 도메인의 제2 디바이스의 정보와 종합 판단하지 않고 상기 제1 디바이스의 이상 징후 탐지를 종료할 수 있다.
단계 S140에서 단계 S130과 마찬가지로 제2 도메인에 포함된 제2 디바이스의 정보만으로 제2 디바이스의 이상 징후를 탐지 할 수 있다. 제2 디바이스의 정보만으로 제2 디바이스의 이상 징후가 탐지된다면, 컴퓨팅 장치의 연산량 감소를 위해 제1 도메인의 제1 디바이스의 정보와 종합 판단하지 않고 상기 제2 디바이스의 이상 징후 탐지를 종료할 수 있다.
단계 S150에서 획득한 제1 디바이스의 정보 및 제2 디바이스의 정보를 이용하여 제1 디바이스 또는 제2 디바이스의 이상 징후를 탐지할 수 있다. 즉, 제1 디바이스의 이상 징후를 탐지하기 위해 제2 디바이스의 정보를 이용할 수 있고, 제2 디바이스의 이상 징후를 탐지하기 위해 제1 디바이스의 정보를 이용할 수도 있다. 상세한 설명은 이하 도3에서 후술한다.
도 3을 참조하여 제1 디바이스 또는 제2 디바이스의 이상 징후를 탐지하기 위해 이용하는 다른 디바이스를 지정하는 방법에 대해 설명한다.
단계 S151에서, 본 발명의 일 실시예에 따라 제품명이 동일한 복수개의 디바이스를 이용하여 특정 디바이스의 이상 징후를 탐지할 수 있다.
예를 들어 제1 디바이스의 이상 징후를 탐지하기 위해, 제1 디바이스와 제품명이 동일한 상기 제2 디바이스의 정보를 이용할 수 있다. 제품명이 동일한 경우 악성 코드의 공격 패턴 및 감염된 디바이스의 증상이 유사하므로, 동일한 제품명을 갖는 복수개의 디바이스 정보를 종합적으로 분석할 수 있다.
단계 S152에서 본 발명의 다른 실시예에 따라 제품명이 상이하더라도 제조사가 동일한 복수개의 디바이스를 이용하여 특정 디바이스의 이상 징후를 탐지할 수 있다.
예를 들어 제1 디바이스의 이상 징후를 탐지하기 위해 제1 디바이스와 제품명은 상이하나 제조사가 동일한 제2 디바이스의 정보를 이용할 수 있다. 제품명이 상이하더라도 제조사가 동일한 경우 하드웨어 구성 및 소프트웨어 아키텍처가 유사하다. 따라서 동일한 제조사에서 제조된 디바이스는 감염되는 악성 코드의 유형이 유사하므로 상기 디바이스들의 정보를 종합 분석함으로써 이상 징후를 효율적으로 탐지할 수 있다.
단계 S153에서 본 발명의 또 다른 실시예에 따라 제품의 버전이 동일한지 여부를 더 확인할 수 있다. 컴퓨팅 장치의 연산 속도 및 연산의 정확도를 높이기 위해 상기 확인된 제품의 버전에 따라 동일한 버전을 갖는 디바이스의 정보를 비교하여 디바이스의 이상 징후를 탐지할 수 있다. 제품의 버전이란, 하드웨어의 버전일 수 있고 펌웨어의 버전일 수도 있다.
도 4를 참조하여 복수개의 디바이스의 정보를 이용하여 특정 디바이스의 이상 징후를 탐지함에 있어, 상기 복수개의 디바이스를 지정하는 방법을 상세히 설명한다. 각각의 도메인은 상기 도메인의 인바운드, 아웃바운드 트래픽 관리 및 상기 도메인에 포함된 디바이스 관리를 위한 SMU(110, 120, 130)을 포함할 수 있다.
본 발명의 또 다른 실시예에 따라, 대상 디바이스의 이상 징후 탐지를 위한 컴퓨팅 연산의 효율성을 높이기 위해 복수개의 도메인에 존재하는 복수개의 디바이스 중 대상 디바이스와 관련된 디바이스에 대한 정보만 이용될 수 있다. 복수개의 도메인에 존재하는 복수개의 디바이스에 대한 정보를 모두 이용하여 이상 징후를 탐지하는 것은 속도 및 정확성 측면에서 모두 비효율적이다.
도메인 1에 포함된 대상 디바이스(111)의 이상 징후를 탐지하는 경우 본 발명의 일 실시예에 따른 다른 도메인에 존재하는 동일한 제품명(121, 131)의 디바이스의 정보가 이용될 수 있다. 다른 제품명의 디바이스(112, 113, 114, 122, 123, 132, 133, 134) 정보를 이용할 경우 대상 디바이스의 제품에서만 발현되는 악성 코드 감염 증상이 탐지 되지 않을 수 있다.
또한 본 발명의 또 다른 실시예에 따라, 대상 디바이스의 이상 징후 탐지를 위해 복수개의 도메인에 존재하는 복수개의 디바이스 중 대상 디바이스와 동일한 제조사에서 제조된 디바이스에 대한 정보만 이용될 수 있다.
즉, 도메인 1에 포함된 대상 디바이스(112)의 이상 징후를 탐지하기 위해 도메인 3에 존재하는 동일한 제품명의 디바이스(132)의 정보 뿐 아니라 도메인 2에 존재하는 다른 제품명을 갖지만 동일한 제조사에서 제조된 디바이스(122)의 정보도 이용될 수 있다. 동일한 제조사에서 제조된 디바이스(112, 122, 132)는 유사한 하드웨어 구성 및 유사한 소프트웨어 아키텍처를 포함할 수 있고 이에 따라 공격 당하는 악성 코드의 종류 및 감염 증상이 유사할 수 있다.
본 발명의 또 다른 실시예에 따른 대상 디바이스의 이상 징후 탐지 방법은 다른 도메인에 존재하는 디바이스중 동일 제품명 및 동일 버전인 디바이스의 정보만 이용할 수도 있다.
즉, 도메인 1의 대상 디바이스(111)의 이상 징후를 탐지하기 동일 버전의 동일 제품인 도메인 2의 디바이스(121)의 정보는 이용하고 동일 제품이나 버전이 다른 도메인 3의 디바이스(131)의 정보는 이용하지 않을 수 있다. 예를 들어 한 도메인에 스마트폰처럼 동일한 제품명의 기기가 많을 경우 연산량을 줄이고 더 최적의 이상 징후 탐지를 위해 동일 버전인 디바이스의 정보만 이용하여 대상 디바이스의 이상 징후 탐지가 수행될 수 있다.
도 5를 참조하여, 본 발명의 또 다른 실시예에 따라 동일한 도메인 내에 존재하는 복수개의 디바이스 정보를 이용하여 대상 디바이스의 이상 징후를 탐지하는 방법을 설명한다.
본 실시예에 따라 특정 도메인 내에서 복수개의 디바이스 정보를 이용하는 경우 상기 도 4에서 설명한 바와 같이 다양한 방법으로 디바이스가 지정 될 수 있다. 또한 디바이스를 지정하는 기준의 우선순위는 지정된 것이 아님에 유의한다.
예를 들어 하나의 SMU(140)에 의해 관리되는 도메인 4에 대상 디바이스(142)와 동일한 제품명의 디바이스(149)가 존재하더라도 대상 디바이스(142)에서 획득한 정보에 따라 동일 제조사에서 제조된 디바이스(145, 146, 147)에 대한 정보를 이용하는 것이 더 최적의 이상 징후 탐지 방법이라면, 동일 제품명 디바이스(149)의 정보는 배제되고 동일 제조사에서 제조된 디바이스(145, 146, 147)의 정보만 이용될 수 있다.
또한 도 6을 참조하면 본 발명의 또 다른 실시예에 따라 엄격하게 동일 제품 및 동일 버전인 디바이스간 정보만을 이용하여 대상 디바이스의 이상 징후가 탐지될 수 있다.
예를 들어, 하나의 SMU(150)에 의해 관리되는 도메인 5에 존재하는 복수개의 디바이스에 대하여 대상 디바이스(151)와 동일한 제조사에서 제조된 동일한 제품이고 버전도 동일한 디바이스(155, 158)의 정보만 이용하여 상기 대상 디바이스(151)의 이상 징후 탐지에 이용될 수 있다.
본 실시예에 따르면 대상 디바이스(152)와 동일한 제품명을 갖더라도 제조사가 다른 디바이스(159)의 정보는 이용되지 않을 수 있고, 대상 디바이스(152)와 동일한 제조사에서 제조되었더라도 제품명이 다른 디바이스(153, 154, 157)들의 정보도 이용되지 않을 수 있다.
이하 도 7 내지 12를 참조하여 대상 디바이스와 상기 설명한 다양한 기준에 의해 지정된 디바이스간 이상 징후를 탐지하는 방법을 상세히 설명한다.
본 발명의 일 실시예에 따라 대상 디바이스의 이상 탐지에 이용된 대상 디바이스의 정보와 지정된 디바이스의 정보는 디바이스의 전원 상태일 수 있다. 즉, 대상 디바이스와 지정된 디바이스의 전원이 켜지는 시기, 주기, 횟수 및 시간에 대한 정보를 이용하여 대상 디바이스의 이상 징후 여부가 탐지 될 수 있다.
예를 들어 대상 디바이스가 특정 시간에 동시에 전원이 켜지는 경우, 동시에 전원이 꺼지는 경우, 특정 시간대에 전원이 켜져 있는 상태가 유지되는 경우, 특정 시간대에 전원이 꺼져 있는 상태가 유지되는 경우 및 전원이 켜지고 꺼지는 주기가 동일, 유사한 경우 이상 징후로 탐지될 수 있다.
본 발명의 다른 실시예에 따라 대상 디바이스의 이상 탐지에 이용된 대상 디바이스의 정보와 지정된 디바이스의 정보는 기기의 상태(status)일 수 있다. 기기의 상태는 예를 들어 입출력을 하지 않는 슬립 상태, 네트워크와 통신중인 송수신 상태, 펌웨어 업그레이드중인 상태 및 응용프로그램 실행중인 상태일 수 있다. 기기의 상태는 이에 한하지 않고 디바이스에 따라 정의 된 다양한 모드(mode) 가 될 수 있고, 디바이스에서 수행되는 서비스가 될 수도 있음에 유의한다.
본 발명의 또 다른 실시예에 따라 대상 디바이스의 이상 탐지에 이용된 대상 디바이스의 정보와 지정된 디바이스의 정보는 디바이스의 프로세스일 수 있다. 예를 들어 화이트 리스트(white list)가 아닌 동일한 프로세스가 복수개의 디바이스에서 실행되는 경우, 더 나아가 실행되는 프로세스가 연속해서 동일한 경우 이상 징후로 탐지 될 수 있다. 또한 프로세스가 실행되는 시점에서의 디바이스의 CPU 사용량 및 메모리 사용량에 관한 정보를 이용하여 대상 디바이스의 이상 징후 여부가 탐지될 수도 있다.
본 발명의 또 다른 실시예에 따라 대상 디바이스의 이상 탐지에 이용된 대상 디바이스의 정보와 지정된 디바이스의 정보는 디바이스의 CPU사용량 또는 메모리 사용량일 수 있다. 구체적으로 대상 디바이스의 CPU 사용량 및 지정된 디바이스의 CPU 사용량이 99%이상인 경우, 50%이상으로 5분 이상 지속되는 경우 및 30%이상으로 1시간 이상 지속되는 경우 중 어느 하나 이상의 경우가 대상 디바이스 및 지정된 디바이스의 이상 징후로 탐지될 수 있다.
또한 본 발명의 또 다른 실시예에 따라 대상 디바이스의 이상 탐지에 이용된 대상 디바이스의 정보와 지정된 디바이스의 정보는 다른 정보일 수도 있다. 구체적으로 대상 디바이스의 정보는 CPU 사용량을 이용하고 지정된 디바이스의 정보는 메모리 사용량일 수 있다. 후술하는 디바이스의 정보를 종합한 결과 데이터가 유의미한 데이터를 생성하는 경우 상기 대상 디바이스 및 지정된 디바이스의 이상 징후로 탐지될 수 있다.
도 7a을 참조하여 디바이스의 상태 정보의 유사도 비교를 통해 디바이스의 이상 징후가 탐지되는 방법을 설명한다.
본 발명의 또 다른 실시예에 따라 각각 하나의 SMU(210, 220, 230)에 의해 관리되는 도메인 A, 도메인 B, 도메인 C가 존재할 때, 대상 디바이스(211)의 정보와 대상 디바이스(211)의 이상 징후 탐지를 위해 지정된 디바이스(221, 231)의 정보의 유사도를 이용해 대상 디바이스(211)의 이상 징후가 탐지될 수 있다. 다만 이에 한정되지 않고 상기 대상 디바이스 및 지정된 디바이스가 모두 하나의 도메인에 포함된 것 일 수 있으며, 몇몇 디바이스만 동일한 도메인에 포함된 것 일 수도 있음을 유의한다.
예를 들어 대상 디바이스의 CPU 사용량(311a) 또는 지정된 디바이스(221, 231)의 CPU 사용량(312a, 313a) 각각에 대한 정보를 개별적으로 관찰해서는 디바이스 각각에 대한 이상 징후로 판단 되지 않는 데이터일지라도, 상기 디바이스들의 CPU 사용량(311a, 312a, 313a)을 종합한 결과 데이터(310a)의 분석 결과 상기 CPU 사용량(311a, 312a, 313a)데이터들이 일정 오차 미만으로 유사한 경우 상기 대상 디바이스(211)는 이상 징후가 존재하는 것으로 탐지될 수 있다. 또한 지정된 디바이스(221, 231)에 대하여도 이상 징후가 존재하는 것으로 탐지 될 수 있다.
본 실시예에서 이용되는 디바이스의 정보의 예시로 CPU 사용량을 사용했으나, 디바이스 정보란 이에 한하지 않고 메모리 사용량, 네트워크 인바운드(inbound) 트래픽량 및 네트워크 아웃바운드(outbound) 트래픽량일 수 있다.
도 7b를 참조하여 동일 및 유사한 패턴을 포함하는 디바이스의 상태 정보 비교를 통해 디바이스의 이상 징후가 탐지되는 방법을 설명한다.
본 발명의 또 다른 실시예에 따라 동시간에 유사한 디바이스 상태 정보를 포함하는 복수개의 디바이스뿐 아니라 임계 시간 내의 간격을 두고 유사한 패턴의 디바이스 상태 정보(311b, 312b, 313b)를 포함하는 복수개의 디바이스의 이상 징후도 탐지 될 수 있다.
예를 들어, 동일 시간 기준으로는 상이한 패턴을 보이는 디바이스(211, 221, 231)별 상태 정보(311b, 312b, 313b)일지라도 일정 시간 간격을 두고 반복되는 패턴을 포함하는 경우, 상기 대상 디바이스(211)는 이상 징후가 존재하는 것으로 탐지될 수 있다. 또한 지정된 디바이스(221, 231)에 대하여도 이상 징후가 존재하는 것으로 탐지 될 수 있다.
도 8 참조하여 디바이스의 상태 정보를 종합한 데이터가 유의미한 결과 데이터를 생성하는 경우의 이상 징후 탐지 방법을 설명한다.
본 발명의 또 다른 실시예에 따라 각각 하나의 SMU(240, 250, 260)에 의해 관리되는 도메인 D, 도메인 E, 도메인 F가 존재할 때, 대상 디바이스(241)의 정보와 대상 디바이스의 이상 징후 탐지를 위해 지정된 디바이스(251, 261)의 정보를 종합하여 생성된 결과 데이터(320)가 유의미한 데이터를 의미하는지 여부에 따라 상기 대상 디바이스(241)의 이상 징후가 탐지될 수 있다.
예를 들어 대상 디바이스의 네트워크 인바운드 트래픽량에 대한 데이터(321), 지정된 디바이스의 네트워크 인바운드 트래픽량에 대한 데이터(322, 323) 각각에 대한 정보를 개별적으로 관찰해서는 디바이스 각각에 대한 이상 징후로 판단 되지 않는 데이터일지라도, 상기 디바이스 들의 네트워크 인바운드 트래픽량을 종합한 결과 데이터(320)가 유의미한 경우 상기 대상 디바이스(241) 및 지정된 디바이스(251, 261)은 이상 징후가 존재하는 것으로 탐지될 수 있다.
예를 들어 각각의 디바이스 네트워크 인바운드 트래픽량(321, 322, 323)을 합친 결과 데이터(320)가 특정 악성 코드에서 송신하는 네트워크 트래픽량과 동일한 경우 상기 결과 데이터(320)는 유의미하므로 상기 디바이스들(241, 251, 261)은 이상 징후가 존재하는 것으로 탐지될 수 있다.
본 실시예에서 이용되는 디바이스의 정보의 예시로 네트워크 인바운드 트래픽량을 사용했으나, 디바이스 정보란 이에 한하지 않고 CPU 사용량, 메모리 사용량, 및 네트워크 아웃바운드(outbound) 트래픽량중 어느 하나일 수도 있다.
이하 도 9를 참조하여 디바이스의 파일 정보를 이용하여 이상 징후가 탐지되는 방법을 상세히 설명한다.
본 발명의 또 다른 실시예에 따라 대상 디바이스와 지정된 디바이스에 저장된 파일명, 파일 용량 및 파일 해시값을 포함한 파일 정보를 이용하여 이상징후가 탐지될 수 있다.
예를 들어 화이트리스트가 아닌 파일명을 갖는 파일 또는 동일한 파일 용량을 갖는 파일이 대상 디바이스(271)와 복수개의 지정된 디바이스(281, 291)에 존재하는 경우 상기 파일은 악성 코드의 공격과 관련된 파일일 가능성이 높다. 따라서, 이 경우 대상 디바이스(271)및 복수개의 지정된 디바이스(281, 291)은 이상 징후가 존재하는 것으로 탐지될 수 있다.
본 발명의 또 다른 실시예에 따르면 파일 해시값에 대한 정보를 이용하여 대상 디바이스(271)의 이상 징후 여부가 탐지 될 수 있다. 파일 해시값을 이용하면 파일이 제작사에서 배포한 원본 파일인지 변조된 파일인지 여부를 알 수 있다. 원본 파일의 해시값과 현자 파일의 해시값이 다른 경우 악성 코드나 바이러스가 삽입된 파일일 가능성이 높다.
대상 디바이스(271)에 저장된 파일의 해시값 정보(331)와 복수개의 지정된 디바이스(281, 291)에 저장된 파일의 해시값 정보(332, 333)를 이용하여 이상 징후 여부가 탐지되는 경우, 상기 디바이스에 저장된 파일이 모두 동일하다면 해시값은 모두 동일 해야 한다.
예를 들어 상기 디바이스들에 저장된 파일의 원본 파일의 CRC32값이 DMS 'KDF9129382354', MD5의 값이 'A8DF8SDSD'및 SHA-1의 값이 '345111111JFJ'인 경우, 대상 디바이스의 파일 해시값(331) 중 SHA-1이 원본파일과 다르므로 상기 대상 디바이스(271)는 이상 징후가 존재하는 것으로 탐지될 수 있다. 또한 지정된 디바이스의 파일 해시값(332, 333)중 원본 파일의 해시값과 동일한 해시값(332)을 가지는 디바이스(281)는 이상 징후가 없는 것으로 탐지되고, 원본 파일의 SHA-1과 상이한 해시값(333)을 갖는 디바이스(291)는 이상 징후가 존재하는 것으로 탐지될 수 있다.
또한 원본 파일의 해시값을 획득할 수 없는 경우 대상 디바이스(271)의 이상 징후가 판단 됨에 있어 지정된 디바이스(281, 291)의 동일한 파일의 해시값과 다른 해시값을 포함하는 경우, 대상 디바이스만 악성 코드에 감염된 것으로 이상 징후가 탐지될 수 있다. 그리고 대상 디바이스(271)의 해시값과 지정된 디바이스(281, 291)의 해시값이 모두 동일한 경우에도 상기 디바이스들이 모두 악성 코드에 감염된 것으로 이상 징후가 탐지될 수도 있는 등 상기 파일의 해시값에 대한 정보가 다양하게 분석되어 이용될 수 있음에 유의한다.
도 10을 참조하여 디바이스에 입력되는 명령어를 분석하여 상기 디바이스의 이상 징후가 탐지되는 방법을 설명한다.
본 발명의 또 다른 실시예에 따르면 복수개의 디바이스에 입력되는 연속된 2개의 명령어가 동일한 경우, 동일한 명령어가 복수개의 디바이스에 동시에 입력되는 경우 상기 복수개의 디바이스는 이상 징후가 존재하는 것으로 탐지 될 수 있다. 또한 대상 디바이스에서 프로세스 종료 명령어가 입력되는 경우 대상 디바이스의 이상 징후가 존재하는 것으로 탐지될 수도 있고, su명령어(341, 343, 345) 및 chmod명령어(342, 344, 346)가 입력되는 경우도 대상 디바이스의 이상 징후로 탐지될 수 있다. 이하 상세히 설명한다.
또한, 본 발명의 또 다른 실시예에 따르면 대상 디바이스(411) 및 지정된 디바이스(421, 431)가 각각 다른 SMU(410, 420, 430)로 관리되는 다른 도메인에 포함되어 있는 경우, 동시에 특정 계정으로 사용자 권한을 변경하는 su명령어(341, 343, 345)가 입력되거나, 동일한 시점에 동일한 계정의 권한을 갖는 경우 상기 디바이스들(411, 421, 431)은 동일한 악성 코드의 공격을 받거나, 이미 악성 코드에 감염된 좀비 디바이스일 가능성이 높다. 따라서 이 경우 상기 복수개의 디바이스(411, 421, 431)들의 이상 징후로 탐지될 수 있다.
이에 한하지 않고 chmod 명령어(342, 344, 346)를 통해 상기 디바이스(411, 421, 431)에 포함되는 파일 또는 디렉토리의 권한이 변경되는 경우도 이상 징후로 탐지될 수 있음에 유의한다.
도 11을 참조하여 각 도메인의 아웃바운드 네트워크 트래픽 정보를 이용하여 상기 도메인에 포함된 디바이스의 이상 징후가 탐지되는 방법을 설명한다.
SMU(440, 450, 460)를 통해 송신되는 각 도메인의 아웃바운드 네트워크 트래픽 정보를 이용하여 도메인에 포함되는 디바이스(441, 451, 461)의 이상 징후가 탐지되는 경우, 아웃바운드 네트워크 트래픽의 특성상 source IP는 상기 도메인에 포함되는 디바이스(441, 451, 461)의 IP이므로 연산량 감소를 위해 이상 징후 탐지에 이용되지 않을 수 있다. 따라서 아웃바운드 네트워크 패킷 정보(351, 352, 353)가 이용되는 경우 destination IP, destination Port, source Port 및 destination의 지역정보만 이용될 수 있다. 이 경우 화이트 리스트에 포함되는 destination IP, destination Port 및 source Port는 이상 징후 탐지 대상에서 제외될 수 있음에 유의한다.
구체적으로 대상 디바이스(441)와 지정된 디바이스(451, 461)가 송신하는 네트워크 패킷의 분석 결과 destination IP가 동일한 경우, destination Port가 동일한 경우 및 source Port가 동일한 경우 본 실시예에 따라 상기 디바이스(441, 451, 461)의 이상 징후로 탐지 될 수 있다. 또한 destination 의 지역이 동일한 경우도 상기 이상 징후로 탐지 될 수 있다. 이 경우 상기 디바이스(441, 451, 461) 각각의 네트워크 패킷 분석만으로는 이상 징후로 탐지 될 수 없으나 복수개의 디바이스의 정보를 이용함으로 이상 징후로 탐지될 수 있다.
도 12를 참조하여 각 도메인의 인바운드 네트워크 트래픽 정보를 이용하여 상기 도메인에 포함된 디바이스의 이상 징후가 탐지되는 방법을 설명한다.
SMU(270, 280, 290)을 통해 수신되는 각 도메인의 인바운드 네트워크 트래픽 정보를 이용하여 도메인에 포함되는 디바이스(471, 481, 491)의 이상 징후가 탐지되는 경우, 인바운드 네트워크 트래픽의 특성상 destination IP는 상기 도메인에 포함되는 디바이스(471, 481, 491)의 IP이므로 연산량 감소를 위해 이상 징후 탐지에 이용되지 않을 수 있다. 따라서 인바운드 네트워크 패킷 정보(361, 362, 363)가 이용되는 경우 source IP, source Port, destination Port 및 source의 지역정보만 이용될 수 있다. 이 경우 화이트 리스트에 포함되는 source IP, source Port 및 destination Port는 이상 징후 탐지 대상에서 제외될 수 있음에 유의한다.
구체적으로 대상 디바이스(471)와 지정된 디바이스(481, 491)가 수신하는 네트워크 패킷의 분석 결과 source IP가 동일한 경우, destination Port가 동일한 경우 및 source Port가 동일한 경우 본 실시예에 따라 상기 디바이스(471, 481, 491)의 이상 징후로 탐지 될 수 있다. 또한 source 의 지역이 동일한 경우도 상기 이상 징후로 탐지 될 수 있다. 이 경우 상기 디바이스(471, 481, 491) 각각의 네트워크 패킷 분석만으로는 이상 징후로 탐지 될 수 없으나 복수개의 디바이스의 정보를 이용함으로 이상 징후로 탐지될 수 있다.
도 13은 디바이스 이상 징후 탐지 장치의 블록도를 설명한다. 이하 도 13을 참조하여 디바이스 이상 징후 탐지 장치의 동작을 상세히 설명한다.
본 발명의 또 다른 실시예에 따른 디바이스 이상 징후 탐지 장치(500)는 디바이스 정보 수집기(501), 디바이스 정보 분류기(502), 이상 징후 탐지기(503), 디바이스 정보 DB(504) 및 디바이스 이상 징후 탐지 정책 DB(505)중 적어도 하나를 포함할 수 있다.
디바이스 정보 DB(504)는 디바이스의 제품명, 제조사, 버전 및 펌웨어에 대한 정보중 적어도 하나를 포함할 수 있다.
디바이스 이상 징후 탐지 정책 DB(505)는 다양한 악성 코드의 분석을 통하여 디바이스의 상태 정보중 이상 징후로 탐지될 정보에 대한 룰을 포함할 수 있다. 예를 들어 상기 설명한 유사한 CPU사용량을 갖는 경우, 메모리 용량 50%이상 5분이상 디바이스가 사용되는 경우에 대한 정보가 포함 될 수 있다.
디바이스 정보 수집기(501)는 이상 징후를 탐지상 도메인의 대상 디바이스에 대한 정보를 디바이스 정보 DB(504)로부터 획득할 수 있다.
디바이스 정보 분류기(502)는 디바이스 이상 징후 탐지 정책 DB(505)를 이용하여 상기 디바이스 정보 수집기(501)에서 획득한 정보중 필요한 정보만 분류해 낼 수 있다. 예를 들어 인바운드 네트워크 트래픽 정보를 이용할 경우 네트워크 패킷 정보중 destination IP정보를 제외한 source IP, source Port, destination Port 및 source의 지역정보만 분류해 낼 수 있다. 또한 상기 정보가 화이트 리스트에 포함되는 경우 상기 정보는 이용되지 않을 수 있다.
이상 징후 탐지기(503)는 디바이스 정보 분류기(502)가 분류한 정보가 디바이스 이상 징후 탐지 정책 DB(505)에 포함된 룰에 해당하는지 여부를 확인하여 대상 디바이스의 이상 징후 여부를 탐지할 수 있다.
도 14에 도시된 바와 같이, 본 발명의 또 다른 실시예에 따른 디바이스 이상 징후 탐지 방법을 수행하는 컴퓨팅 장치(600)는 프로세서(610) 및 메모리(620)를 포함하고, 몇몇 실시예들에서 스토리지(640), 네트워크 인터페이스(630) 및 시스템 버스(650) 중 적어도 하나를 더 포함할 수 있다.
메모리(620)에 로드 되어 저장되는 하나 이상의 인스트럭션(621, 622)은 프로세서(610)를 통하여 실행된다. 본 실시예에 따른 디바이스 이상 징후 탐지 방법을 수행하는 컴퓨팅 장치(600)는 별도의 설명이 없더라도 도 1 내지 도 12를 참조하여 설명한 디바이스 이상 징후 탐지 방법을 수행할 수 있는 점을 유의한다.
네트워크 인터페이스(630)는 대상 디바이스 또는 상기 대상 디바이스가 포함된 도메인을 관리하는 SMU로 패킷을 송신하거나, 상기 대상 디바이스 및 SMU로부터 패킷을 수신할 수 있다. 상기 수신된 정보는 스토리지(640)에 저장되도록 할 수 있다.
스토리지(640)는 디바이스 이상 징후 탐지 룰(641) 및 디바이스 정보(601)를 저장할 수 있다.
상기 하나 이상의 인스트럭션은, 대상 디바이스의 정보를 획득하는 인스트럭션(621) 및 상기 대상 디바이스의 정보를 이용하여 이상 징후를 탐지하는 디바이스 이상 징후 탐지 인스트럭션(622)을 포함할 수 있다.
일 실시예에서, 디바이스 정보 획득 인스트럭션(621)은 디바이스의 정보중 이상 징후를 탐지하기 위해 필요한 정보(601)만 획득할 수 있다.
일 실시예에서, 디바이스 이상 징후 탐지 인스트럭션(622)은 디바이스 정보(601)를 이용하여 대상 디바이스의 이상 징후 룰과 매칭하여 상기 대상 디바이스의 이상 징후를 탐지할 수 있다.
지금까지 설명된 본 발명의 실시예에 따른 방법들은 컴퓨터가 읽을 수 있는 코드로 구현된 컴퓨터프로그램의 실행에 의하여 수행될 수 있다. 상기 컴퓨터프로그램은 인터넷 등의 네트워크를 통하여 제1 컴퓨팅 장치로부터 제2 컴퓨팅 장치에 전송되어 상기 제2 컴퓨팅 장치에 설치될 수 있고, 이로써 상기 제2 컴퓨팅 장치에서 사용될 수 있다. 상기 제1 컴퓨팅 장치 및 상기 제2 컴퓨팅 장치는, 서버 장치, 클라우드 서비스를 위한 서버 풀에 속한 물리 서버, 데스크탑 피씨와 같은 고정식 컴퓨팅 장치를 모두 포함한다.
상기 컴퓨터프로그램은 DVD-ROM, 플래시 메모리 장치 등의 기록매체에 저장된 것일 수도 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로 이해해야만 한다.

Claims (21)

  1. 컴퓨팅 장치에 의해 수행되는 방법에 있어서,
    제1 도메인(Domain)의 SMU(Security Management Unit)에 연결된 제1 디바이스의 동작 정보 및 제2 도메인 SMU에 연결된 제2 디바이스의 동작 정보를 획득하는 단계; 및
    상기 제1 디바이스의 동작 정보 및 상기 제2 디바이스의 동작 정보를 비교하여, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하되,
    상기 제1 도메인 SMU와 상기 제2 도메인 SMU는 직접 연결되지 않은 장치인,
    디바이스 이상 징후 탐지 방법.
  2. 제1 항에 있어서,
    상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,
    상기 제1 디바이스의 제조사와 상기 제2 디바이스의 제조사가 동일한 경우, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,
    디바이스 이상 징후 탐지 방법.
  3. 제2 항에 있어서,
    상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,
    상기 제1 디바이스의 제품명과 상기 제2 디바이스의 제품명이 동일한 경우, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,
    디바이스 이상 징후 탐지 방법.
  4. 제1 항에 있어서,
    상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,
    상기 제1 도메인과 제2 도메인이 동일한 영역인 경우, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,
    디바이스 이상 징후 탐지 방법.
  5. 제4 항에 있어서,
    상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,
    상기 제1 디바이스의 제품명과 상기 제2 디바이스의 제품명 상이하고 상기 제1 디바이스의 제조사와 상기 제2 디바이스의 제조사가 동일한 경우, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,
    디바이스 이상 징후 탐지 방법.
  6. 제1 항에 있어서,
    상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,
    상기 제1 디바이스의 동작 정보 및 상기 제2 디바이스의 동작 정보가 유사한 경우, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,
    디바이스 이상 징후 탐지 방법.
  7. 제6 항에 있어서,
    상기 제1 디바이스의 동작 정보 및 상기 제2 디바이스의 동작 정보가 유사한 경우, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,
    상기 제1 디바이스의 동작의 패턴 정보 및 상기 제2 디바이스의 동작의 패턴 정보가 유사한 경우 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,
    디바이스 이상 징후 탐지 방법.
  8. 제1 항에 있어서,
    상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,
    상기 제1 디바이스의 동작 정보 및 상기 제1 디바이스의 동작 정보와 상이한 상기 제2 디바이스의 동작 정보가 결합된 정보를 이용하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,
    디바이스 이상 징후 탐지 방법.
  9. 제1 항에 있어서,
    상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,
    상기 제1 디바이스의 전원 상태의 변화 주기 및 상기 제2 디바이스의 전원 상태의 변화 주기를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,
    디바이스 이상 징후 탐지 방법.
  10. 제1 항에 있어서,
    상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,
    상기 제1 디바이스의 프로세스 정보 및 상기 제2 디바이스의 프로세스 정보를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,
    디바이스 이상 징후 탐지 방법.
  11. 제10 항에 있어서,
    상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,
    상기 제1 디바이스에서 실행되는 프로세스의 CPU 사용량 및 상기 제2 디바이스에서 실행되는 프로세스의 CPU 사용량을 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,
    디바이스 이상 징후 탐지 방법.
  12. 제10 항에 있어서,
    상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,
    상기 제1 디바이스에서 실행되는 프로세스의 메모리 사용량 및 상기 제2 디바이스에서 실행되는 프로세스의 메모리 사용량을 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,
    디바이스 이상 징후 탐지 방법.
  13. 제1 항에 있어서,
    상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,
    상기 제1 디바이스의 파일 해시값 및 상기 제2 디바이스의 파일 해시값을 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,
    디바이스 이상 징후 탐지 방법.
  14. 제1 항에 있어서,
    상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,
    상기 제1 디바이스에 입력된 명령어 및 상기 제2 디바이스에 입력된 명령어를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,
    디바이스 이상 징후 탐지 방법.
  15. 제14 항에 있어서
    상기 제1 디바이스에 입력된 명령어 및 상기 제2 디바이스에 입력된 명령어를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,
    상기 제1 디바이스에 입력된 su(substitute)명령어 및 상기 제2 디바이스에 입력된 su명령어를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,
    디바이스 이상 징후 탐지 방법.
  16. 제14 항에 있어서,
    상기 제1 디바이스에 입력된 명령어 및 상기 제2 디바이스에 입력된 명령어를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,
    상기 제1 디바이스에 입력된 chmod(change mode)명령어 및 상기 제2 디바이스에 입력된 chmod명령어를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,
    디바이스 이상 징후 탐지 방법.
  17. 제1 항에 있어서,
    상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,
    상기 제1 디바이스로 송신된 인바운드(inbound) 패킷 정보 및 상기 제2 디바이스로 송신된 인바운드 패킷 정보를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,
    디바이스 이상 징후 탐지 방법.
  18. 제17 항에 있어서,
    상기 제1 디바이스로 송신된 인바운드 패킷 및 상기 제2 디바이스로 송신된 인바운드 패킷을 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,
    상기 제1 디바이스로 송신된 인바운드 패킷의 소스(source) 지역 정보 및 상기 제2 디바이스로 송신된 인바운드 패킷의 소스 지역 정보를 비교하여, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,
    디바이스 이상 징후 탐지 방법.
  19. 제1 항에 있어서,
    상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,
    상기 제1 디바이스로부터 송신된 아웃바운드(outbound) 패킷 정보 및 상기 제2 디바이스로부터 송신된 아웃바운드 패킷 정보를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,
    디바이스 이상 징후 탐지 방법.
  20. 제19 항에 있어서,
    상기 제1 디바이스로부터 송신된 아웃바운드(outbound) 패킷 정보 및 상기 제2 디바이스로부터 송신된 아웃바운드 패킷 정보를 이용하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,
    상기 제1 디바이스로부터 송신된 아웃바운드(outbound) 패킷의 목적지(destination) 지역 정보 및 상기 제2 디바이스로부터 송신된 아웃바운드 패킷의 목적지 지역 정보를 비교하여, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,
    디바이스 이상 징후 탐지 방법.
  21. 디바이스 이상 징후 탐지 프로그램이 로드되는 메모리; 및
    상기 메모리에 로드된 디바이스 이상 징후 탐지 프로그램을 실행하는 프로세서를 포함하되,
    상기 디바이스 이상 징후 탐지 프로그램은,
    제1 도메인(Domain)의 SMU(Security Management Unit)에 연결된 제1 디바이스의 동작 정보 및 제2 도메인 SMU에 연결된 제2 디바이스의 동작 정보를 획득하는 인스트럭션(instruction);
    상기 제1 디바이스의 동작 정보 및 상기 제2 디바이스의 동작 정보를 비교하여, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하되,
    상기 제1 도메인 SMU와 상기 제2 도메인 SMU는 직접 연결되지 않은 장치인,
    컴퓨팅 장치.
KR1020190090709A 2019-07-26 2019-07-26 복수개의 디바이스 정보 종합 분석을 통한 디바이스 이상 징후 탐지 방법 및 그 장치 KR20200075725A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190090709A KR20200075725A (ko) 2019-07-26 2019-07-26 복수개의 디바이스 정보 종합 분석을 통한 디바이스 이상 징후 탐지 방법 및 그 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190090709A KR20200075725A (ko) 2019-07-26 2019-07-26 복수개의 디바이스 정보 종합 분석을 통한 디바이스 이상 징후 탐지 방법 및 그 장치

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020180163676A Division KR102006232B1 (ko) 2018-12-18 2018-12-18 복수개의 디바이스 정보 종합 분석을 통한 디바이스 이상 징후 탐지 방법 및 그 장치

Publications (1)

Publication Number Publication Date
KR20200075725A true KR20200075725A (ko) 2020-06-26

Family

ID=71136665

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190090709A KR20200075725A (ko) 2019-07-26 2019-07-26 복수개의 디바이스 정보 종합 분석을 통한 디바이스 이상 징후 탐지 방법 및 그 장치

Country Status (1)

Country Link
KR (1) KR20200075725A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230085692A (ko) * 2021-12-07 2023-06-14 서울대학교산학협력단 IoT 시스템의 비정상행위 탐지 방법 및 그 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100067667A1 (en) 2004-04-29 2010-03-18 Pearson Larry B Method of and system for altering incoming call controls after a call has been placed to an emergency number

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100067667A1 (en) 2004-04-29 2010-03-18 Pearson Larry B Method of and system for altering incoming call controls after a call has been placed to an emergency number

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230085692A (ko) * 2021-12-07 2023-06-14 서울대학교산학협력단 IoT 시스템의 비정상행위 탐지 방법 및 그 장치

Similar Documents

Publication Publication Date Title
US11277423B2 (en) Anomaly-based malicious-behavior detection
Bayer et al. Scalable, behavior-based malware clustering.
US9998483B2 (en) Service assurance and security of computing systems using fingerprinting
US9639693B2 (en) Techniques for detecting a security vulnerability
US20180089430A1 (en) Computer security profiling
US10320833B2 (en) System and method for detecting creation of malicious new user accounts by an attacker
US9270467B1 (en) Systems and methods for trust propagation of signed files across devices
US11985040B2 (en) Multi-baseline unsupervised security-incident and network behavioral anomaly detection in cloud-based compute environments
US11443035B2 (en) Behavioral user security policy
CN112534432A (zh) 不熟悉威胁场景的实时缓解
US8800040B1 (en) Methods and systems for prioritizing the monitoring of malicious uniform resource locators for new malware variants
EP3474174B1 (en) System and method of adapting patterns of dangerous behavior of programs to the computer systems of users
RU2653241C1 (ru) Обнаружение угрозы нулевого дня с использованием сопоставления ведущего приложения/программы с пользовательским агентом
CN111324891A (zh) 用于容器文件完整性监视的系统和方法
WO2018136087A1 (en) Multiple remote attestation service for cloud-based systems
WO2021135257A1 (zh) 一种漏洞处理方法及相关设备
KR20200075725A (ko) 복수개의 디바이스 정보 종합 분석을 통한 디바이스 이상 징후 탐지 방법 및 그 장치
US10893090B2 (en) Monitoring a process on an IoT device
JP2020004127A (ja) コンピュータ資産管理システムおよびコンピュータ資産管理方法
KR102006232B1 (ko) 복수개의 디바이스 정보 종합 분석을 통한 디바이스 이상 징후 탐지 방법 및 그 장치
US20220405104A1 (en) Cross platform and platform agnostic accelerator remoting service
CN113010268B (zh) 恶意程序识别方法及装置、存储介质、电子设备
US10063589B2 (en) Microcheckpointing as security breach detection measure
US10810098B2 (en) Probabilistic processor monitoring
Robert et al. Practical approaches towards securing edge devices in smart grid