KR20210117006A - 악성 트래픽 검출 방법 및 그 장치 - Google Patents

악성 트래픽 검출 방법 및 그 장치 Download PDF

Info

Publication number
KR20210117006A
KR20210117006A KR1020200033312A KR20200033312A KR20210117006A KR 20210117006 A KR20210117006 A KR 20210117006A KR 1020200033312 A KR1020200033312 A KR 1020200033312A KR 20200033312 A KR20200033312 A KR 20200033312A KR 20210117006 A KR20210117006 A KR 20210117006A
Authority
KR
South Korea
Prior art keywords
server
party
certificate
certification authority
malicious traffic
Prior art date
Application number
KR1020200033312A
Other languages
English (en)
Other versions
KR102336605B1 (ko
Inventor
양철웅
양우석
이윤석
Original Assignee
주식회사 수산아이앤티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 수산아이앤티 filed Critical 주식회사 수산아이앤티
Priority to KR1020200033312A priority Critical patent/KR102336605B1/ko
Priority to PCT/KR2021/002792 priority patent/WO2021187782A1/ko
Publication of KR20210117006A publication Critical patent/KR20210117006A/ko
Application granted granted Critical
Publication of KR102336605B1 publication Critical patent/KR102336605B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

악성 트래픽 검출 방법 및 그 장치가 개시된다. 검출장치는 서버와 클라이언트 사이의 보안연결을 위한 핸드셰이크 과정에서 상기 서버가 전송하는 서버인증서를 수신하면, 서버인증서의 발행자필드와 소유자필드를 비교하여 서버인증서가 제3자에 의해 전자서명되었는지 파악하고, 제3자의 공개키를 기초로 전자서명을 검증하며, 제3자 또는 제3자의 상위 인증기관이 기 정의된 신뢰기관이 아니면, 악성코드가 발생하는 트래픽으로 분류한다.

Description

악성 트래픽 검출 방법 및 그 장치{Method and apparatus for detecting malicious traffic}
본 발명의 실시 예는 악성 코드가 유발하는 악성 트래픽을 검출하는 방법 및 그 장치에 관한 것이다.
여러 보안사고는 네트워크를 통해 발생한다. 전형적인 사고 시나리오를 살펴보면, (1) 사용자가 여러 가지 경로로 악성코드를 실행하게 되고, (2) 이후 해당 악성 코드가 C&C(Command & Control) 서버와 통신을 수행하여 명령 및 추가 코드 등을 받고, (3) 주어진 시간에 악성 행위(예를 들어, DDoS 또는 랜섬웨어 등)를 수행한다.
금융이나 소셜네트워크서비스(SNS) 등 프라이버시가 중요시되는 곳에서는 보안연결(예를 들어, TLS(Transport Layer Security), SSL(Secure Sockets Layer) 연결 등)을 사용한다. 보안연결은 패킷의 암복호화를 통해 이루어지므로 클라이언트와 서버 사이의 트래픽이 악성인지 여부를 파악하기 위해서는 암호화된 패킷을 복호화하고 패킷에 포함된 내용을 분석하는 과정이 필요하다.
본 발명의 실시 예가 이루고자 하는 기술적 과제는, 클라이언트와 서버 사이의 보안연결에서 주고받는 패킷의 복호화과정 없이 악성 트래픽을 검출하는 방법 및 그 장치를 제공하는 데 있다.
상기의 기술적 과제를 달성하기 위한, 본 발명의 실시 예에 따른 악성 트래픽 검출 방법의 일 예는, 서버와 클라이언트 사이의 보안연결을 위한 핸드셰이크 과정에서 상기 서버가 전송하는 서버인증서를 수신하는 단계; 상기 서버인증서의 발행자필드와 소유자필드를 비교하여 상기 서버인증서가 상기 서버가 아닌 제3자에 의해 전자서명되었는지 파악하는 단계; 상기 제3자의 공개키를 기초로 상기 전자서명을 검증하여 상기 제3자에 의한 전자서명인지 검증하는 단계; 및 상기 제3자 또는 상기 제3자의 상위 인증기관이 기 정의된 신뢰기관이 아니면, 악성코드가 발생하는 트래픽으로 분류하는 단계;를 포함한다.
상기의 기술적 과제를 달성하기 위한, 본 발명의 실시 예에 따른 악성 트래픽 검출 장치의 일 예는, 서버와 클라이언트 사이의 보안연결을 위한 핸드셰이크 과정에서 상기 서버가 전송하는 서버인증서를 수신하는 인증서수신부; 상기 서버인증서의 발행자필드와 소유자필드를 비교하여 상기 서버인증서가 상기 서버가 아닌 제3자에 의해 전자서명되었는지 파악하고, 상기 제3자의 공개키를 기초로 상기 전자서명을 검증하여 상기 제3자에 의한 전자서명인지 검증하는 전자서명검증부; 상기 제3자 또는 상기 제3자의 상위 계층에 존재하는 적어도 하나 이상의 상위 인증기관이 기 정의된 신뢰기관인지 파악하는 인증기관검증부; 및 상기 제3자 또는 상위 인증기관이 기 정의된 신뢰기관이 아니면, 악성코드가 발생하는 트래픽으로 분류하는 악성코드탐지부;를 포함한다.
본 발명의 실시 예에 따르면, 클라이언트와 서버 사이의 보안연결에서 주고받는 패킷의 복호화 과정없이 악성 트래픽을 검출할 수 있다.
도 1은 본 발명의 실시 예에 따른 악성 트래픽 검출 방법이 적용되는 전체 시스템의 개략적인 구조의 일 예를 도시한 도면,
도 2는 본 발명의 실시 예가 적용되는 인터넷 보안 연결 방법의 일 예를 도시한 도면,
도 3은 본 발명의 실시 예에 따른 계층적 인증기관의 일 예를 도시한 도면,
도 4는 본 발명의 실시 예에 따른 서버인증서를 이용한 악성 트래픽 검출 방법의 일 예를 도시한 흐름도,
도 5는 본 발명의 실시 예에 따른 핑거프린트(finger print)의 일 예를 도시한 도면,
도 6은 본 발명의 실시 예에 따라 핑거프린트를 이용한 악성 트래픽 검출 방법의 일 예를 도시한 흐름도,
도 7은 본 발명의 실시 예에 따른 악성 트래픽 검출 방법의 다른 실시 예를 도시한 흐름도, 그리고,
도 8은 본 발명의 실시 예에 따른 검출장치의 구성의 일 예를 도시한 도면이다.
이하에서, 첨부된 도면들을 참조하여 본 발명의 실시 예에 따른 악성 트래픽 검출 방법 및 그 장치에 대해 상세히 설명한다.
도 1은 본 발명의 실시 예에 따른 악성 트래픽 검출 방법이 적용되는 전체 시스템의 개략적인 구조의 일 예를 도시한 도면이다.
도 1을 참조하면, 클라이언트(110)와 서버(120)는 인터넷(130)을 통해 연결되며, 검출장치(100)는 클라이언트(110)와 서버(120) 사이에 송수신되는 패킷을 미러링장치(140)를 통해 수신한다. 다른 실시 예로, 미러링장치(140) 없이 검출장치(100)가 미러링장치(140)의 위치에 존재할 수 있다. 검출장치(100)는 적어도 하나 이상의 물리적 서버 또는 클라우드 시스템 등 실시 예에 따라 다양한 형태로 구현 가능하다. 다른 실시 예로, 검출장치(100)는 방화벽의 일부 또는 기존 보안장비의 일부로 구현될 수 있다.
도 2는 본 발명의 실시 예가 적용되는 인터넷 보안 연결 방법의 일 예를 도시한 도면이다.
도 2를 참조하면, 서버(130)는 인증기관(150)으로부터 서버인증서를 발급받는다(S200,S210). 인증기관(150)은 전자서명한 인증서를 발급하는 서버이며, 실시 예에 따라 도 3과 같은 계층적 구조로 이루어질 수 있다. 예를 들어, 최상위인증기관은 복수의 차상위인증기관에 인증업무를 부여하고, 차상위인증기관은 다시 차차상위인증기관에 인증업무를 부여할 수 있다. 이 경우 서버(120)는 가장 아래에 위치한 인증기관에 인증을 요청하여 전자서면된 서버인증서를 발급받을 수 있다.
서버인증서는 인증기관(150)의 개인키로 서명되고, 인증기관(150)의 공개키는 공개된다. 따라서 공개키를 이용하여 서버인증서를 복호화하여 서버인증서를 검증할 수 있다. 서버인증서의 일 예로, X.509가 사용될 수 있다.
클라이언트(110)가 서버(120)에 접속하면(S220), 서버(120)는 서버인증서를 클라이언트(110)에 제공한다(S230). 서버인증서를 받은 클라이언트(110)는 보안 연결을 위한 핸드셰이크(handshake) 과정을 수행한다(S250). 핸드셰이크 과정은 TLS(Transport Layer Security) 등의 표준에 정의되어 있으므로 이에 대한 설명은 생략한다.
도 3은 본 발명의 실시 예에 따른 계층적 인증기관의 일 예를 도시한 도면이다.
도 3을 참조하면, 최상위 인증기관(300)과 그 아래에 적어도 하나 이상의 차상위 인증기관(310,312)이 존재하고, 차상위 인증기관(310,312) 아래에 다시 적어도 하나 이상의 차차상위 인증기관(320,322)이 존재한다. 실시 예에 따라, 최상위 인증기관(300)이 둘 이상 존재할 수 있다. 최상위 인증기관(300)은 신뢰할 수 있는 기관으로 미리 정의되어 있다. 본 실시 예는 이해를 돕기 위하여 세 개의 계층을 도시하고 있으나, 계층의 수는 실시 예에 따라 다양할 수 있다.
차상위 인증기관(310,312)은 최상위 인증기관(300)이 서명한 인증서를 가지며, 차차상위 인증기관(320,322)은 차상위 인증기관((310,312)이 서명한 인증서를 가진다. 서버는 차차상위 인증기관(320,322)이 서명한 서버인증서를 발급받는다. 따라서 서버가 받은 서버인증서는 차차상위 인증기관(320,322)부터 최상위 인증기관(300)까지 전자서명이 체인으로 연결된다.
정상적인 서버는 인증기관으로부터 서명받은 서버인증서를 사용하나, 악성 트래픽을 유발하는 C&C 서버는 인증기관으로부터 정상적인 서버인증서를 발급받지 못한다. 따라서 본 실시 예는 서버인증서가 인증기관으로부터 정상적으로 발급받은 인증서인지를 기초로 악성 트래픽을 파악하는 방법을 제시하며 이에 대한 예가 도 4에 도시되어 있다.
도 4는 본 발명의 실시 예에 따른 서버인증서를 이용한 악성 트래픽 검출 방법의 일 예를 도시한 흐름도이다.
도 4를 참조하면, 검출장치(100)는 클라이언트와 서버 사이의 보안연결 과정에서 서버가 클라이언트에 전송하는 서버인증서를 수신한다(S400). 예를 들어, 도 1에서 살핀 바와 같이, 검출장치(100)는 미러링장치를 통해 서버인증서를 수신할 수 있다. 본 실시 예에서, 서버인증서는 암호화되지 않은 평문 형태로 전송된다고 가정한다. 만약 서버인증서가 암호화되어 있다면 이를 복호화하는 과정이 더 추가될 수 있다
검출장치(100)는 서버인증서에 전자서명이 포함되어 있다면(S410), 그 전자서명이 서버인증서를 전송한 서버가 아닌 제3자에 의한 전자서명인지 파악한다(S420). 예를 들어, C&C 서버는 정상적인 서버인증서인 것처럼 보이도록 자기 서명된 인증서(self-signed certificate)를 사용할 수 있다. 검출장치(100)는 서버인증서의 발행자필드(issue field)와 소유자필드(subject field)를 비교하여 서버인증서의 전자서명이 서버 자신이 아닌 제3자에 의한 것인지 파악할 수 있다. 발행자필드와 소유자필드가 동일하면 서버인증서는 서버 자신이 서명한 인증서이다.
C&C 서버는 서버인증서의 발행자필드 및 소유자필드를 다르게 만들어 서버인증서가 마치 정상적으로 발급된 것처럼 속일 수 있다. 이를 파악하기 위하여, 검출장치(100)는 서버인증서에 발행자로 기재된 인증기관의 공개키(public key)로 서버인증서를 검증하여, 서버인증서에 기재된 인증기관이 실제 서명하였는지 파악할 수 있다(S420). 예를 들어, 서버인증서에는 "verisign"에 의해 서명되었다고 기재되어 있으나, "verisign"의 공개키로 전자서명값을 검증하면 올바른 값이 아닐 수 있다.
C&C 서버는 제3자에 의해 실제 서명된 서버인증서를 사용할 수 있다. 이 경우 서버인증서에 기재된 제3자가 실제 서명하였으므로, 제3자의 공개키로 전자서명값을 검증하면 올바른 값이 나온다. 그러나 제3자가 신뢰할 수 있는 인증기관이 아닐 수 있다. 따라서 검출장치(100)는 전자서명한 제3자가 신뢰할 수 있는 기관인지 파악한다(S430). 예를 들어, 도 3과 같이 계층적인 인증기관의 구조를 가질 경우에, 검출장치(100)는 서버인증서를 서명한 최하위 계층의 인증기관(320,322)을 파악하여 검증하고, 검증에 성공하면 그 상위에 존재하는 차상위 인증기관(310,312)을 파악하고 차상위 인증기관(310,312)의 공개키를 이용하여 검증을 수행한다. 이와 같은 방법으로 최상위 인증기관(300)까지 검증에 성공하면 최상위 인증기관(300)이 기 정의된 신뢰기관에 속하는지 파악한다. 검출장치(100)는 최상위 인증기관(300)까지 정상적으로 도달하지 못하거나(즉, 최하위 인증기관에서 최상위 인증기관의 체인 중간에서 검증에 실패한 경우), 최상위 인증기관(300)이 미리 정의된 신뢰기관에 해당하지 아니하면, 서버와 클라이언트 사이의 트래픽을 악성 트래픽으로 분류한다(S440).
따라서 C&C 서버가 계층적 서명이 이루어진 서버인증서를 정교하게 모방하여 만든다고 하여도 도 3의 최상위 인증기관(300)을 모방할 수는 없으므로, 검출장치(100)는 서버인증서를 통해 악성 트래픽 여부를 파악할 수 있다.
도 5는 본 발명의 실시 예에 따른 핑거프린트(finger print)의 일 예를 도시한 도면이다.
도 5를 참조하면, 인터넷 보안 연결을 위한 핸드셰이크 과정에서 클라이언트와 서버가 주고받는 패킷에 포함된 파라메터는 통신 소프트웨어마다 정해져 있다. 동일한 클라이언트가 동일한 서버와 인터넷 보안 연결을 시도하는 경우 매번 핸드세이크 과정의 패킷에 포함된 파라메터 값은 동일하다. 그러나 클라이언트가 접속하는 서버의 종류가 달라지면 파라메터 값 또한 달라진다.
예를 들어, TLS 핸드셰이크 과정의 'Client Hello' 패킷(500)에 포함된 파라메터들 중 'version'(510), 'cipher suites'(520), 'extension'(530,540,550)의 여러 파라메터 값은 클라이언트가 어떤 서버와 통신하는지에 따라 달라진다. 따라서 'client hello' 패킷(500)에 포함된 파라메터의 적어도 하나 이상의 값을 조합하여 클라이언트가 통신하는 서버 종류를 특정할 수 있는 핑거프린트를 만들 수 있다.
본 실시 예에서 핑거프린트는 각 파라메터의 값이 나타내는 의미가 중요한 것이 아니라 클라이언트가 접속하는 서버의 종류별로 파라메터의 값이 서로 다르다는 것이 중요하다. 따라서 검출장치(100)는 TLS 등의 패킷을 복호화할 필요 없이 패킷의 해당 파라메터 필드 부분의 바이트(byte)를 10진수 값으로 수집하고 이를 조합하여 핑거프린트를 만들 수 있다. 다른 실시 예로, 핑거프린트는 일정 길이의 해시값으로 구성될 수 있다. 즉, 검출장치(100)는 파라메터 값을 조합한 후 이에 대한 해시값을 만들어 핑거프린트로 사용할 수 있다.
본 실시 예는 'client hello' 패킷(500)의 예를 들고 있으나, 서버가 클라이언트에 전송하는 패킷에 포함된 파라메터를 기초로 서버 종류를 특정할 수 있는 핑거프린트를 만들 수 있다.
도 6은 본 발명의 실시 예에 따라 핑거프린트를 이용한 악성 트래픽 검출 방법의 일 예를 도시한 흐름도이다.
도 6을 참조하면, 검출장치(100)는 클라이언트와 서버 사이에 보안 연결을 위한 핸드셰이크 과정에서 주고받는 패킷을 수신한다(S600). 검출장치(100)는 패킷에 포함된 파라메터를 이용하여 핑거프린트를 생성한다(S610). 핑거프린트 생성에 사용되는 패킷의 종류, 해당 패킷의 파라메터 종류는 미리 정의되어 있다.
검출장치(100)는 핑거프린트가 기 정의된 핑거프린트리스트에 존재하는지 파악한다(S620). 여기서 핑거프린트리스트는 악성 트래픽을 유발하는 서버와 통신할 때 나타나는 패킷의 핑거프린트를 미리 정의한 리스트이다. 핑거프린트 리스트는 사용자에 의해 미리 정의된다. 핑거프린트리스트는 사용자에 의해 리스트 내역이 추가, 갱신 또는 삭제될 수 있다.
검출장치(100)는 핑거프린트가 핑거프린트리스트에 존재하면 클라이언트와 서버 사이의 트래픽을 악성 트래픽으로부 분류한다(S630).
도 7은 본 발명의 실시 예에 따른 악성 트래픽 검출 방법의 다른 실시 예를 도시한 흐름도이다.
도 7을 참조하면, 검출장치(100)는 복수의 악성 트래픽 검출 방법을 사용할 수 있다. 먼저, 검출장치(100)는 클라이언트와 서버 사이의 패킷을 수신하여 서버의 IP 주소를 파악한다(S700). 검출장치(100)는 서버의 IP 주소가 악성 코드를 유발하는 C&C 서버에 대한 리스트(즉, C&C 리스트)에 존재하면(S710), 악성 트래픽으로 분류한다(S740).
서버의 IP 주소가 C&C 리스트에 존재하지 않으면(S710), 검출장치(100)는 도 6에서 살핀 핑거프린트를 이용한 악성 트래픽 검출 방법을 이용하여 검사한다(S720). 다른 실시 예로, 검출장치(100)는 악성 트래픽이 검출되면 서버의 IP 주소를 C&C 리스트에 추가할 수 있다.
핑거프린트를 이용한 검사에서 악성 트래픽이 검출되지 않으면, 검출장치(100)는 도 4에서 살핀 서버인증서를 이용한 악성 트래픽 검출 방법을 이용하여 검사한다(S730). 다른 실시 예로, 악성 트래픽이 검출되면, 검출장치(100)는 서버의 IP 주소를 C&C 리스트에 반영하고, 핑거프린트를 핑거프린트리스트에 반영할 수 있다.
도 8은 본 발명의 실시 예에 따른 검출장치의 구성의 일 예를 도시한 도면이다.
도 8을 참조하면, 검출장치(100)는 인증서수신부(800), 전자서명파악부(810), 인증기관파악부(820), 악성코드탐지부(830), IP 검증부(840) 및 핑거프린트검증부(850)를 포함한다. 실시 예에 따라 IP 검증부(840)와 핑거프린트검증부(850)의 전체 또는 일부를 생략할 수 있다.
인증서수신부(800)는 클라이언트와 서버 사이의 보안 연결 과정에서 서버가 전송한 서버인증서를 수신한다.
전자서명파악부(810)는 서버인증서가 서버 자신에 의해 전자서명되었는지 파악하고, 서버인증서가 서버 자신이 아닌 제3자에 의해 전자서명되었다면 제3자의 공개키를 이용하여 실제 제3자가 서명한 것이 맞는지 검증한다.
인증기관파악부(820)는 서버인증서가 서버 자신이 아닌 제3자에 의해 서명이 되었다면, 제3자 및 제3자의 상위 인증기관을 순차적으로 파악하고 검증하는 과정을 통해 최상위 인증기관을 파악하고, 최상위 인증기관이 기 정의된 신뢰기관인지 파악한다.
악성코드탐지부(830)는 최상위 인증기관까지 순차적으로 전자서명값이 검증되지 않거나 최상위 인증기관이 기 정의된 신뢰기관이 아니면 악성 트래픽으로 분류한다.
IP 검증부(840)는 서버 IP 주소를 파악한 후 서버 IP 주소가 기 정의된 C&C 리스트에 존재하는지 파악한다. 서버 IP 주소가 C&C 리스트에 존재하면, IP 검증부(840)는 악성 트래픽으로 분류한다.
핑거프린트검증부(850)는 서버와 클라이언트 사이의 보안 연결을 위한 핸드셰이크 과정에서 주고받은 패킷의 파라메터 값을 기초로 핑거프린트를 생성하고, 그 핑거프린트가 기 정의된 핑거프린트리스트에 존재하는지 파악한다. 핑거프린트가 핑거프린트리스트에 존재하면, 핑거프린트검증부(850)는 서버와 클라이언트 사이의 트래픽을 악성 트래픽으로 분류한다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 프로그램 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이제까지 본 발명에 대하여 그 바람직한 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

Claims (9)

  1. 서버와 클라이언트 사이의 보안연결을 위한 핸드셰이크 과정에서 상기 서버가 전송하는 서버인증서를 수신하는 단계;
    상기 서버인증서의 발행자필드와 소유자필드를 비교하여 상기 서버인증서가 상기 서버가 아닌 제3자에 의해 전자서명되었는지 파악하는 단계;
    상기 제3자의 공개키를 기초로 상기 전자서명을 검증하여 상기 제3자에 의한 전자서명인지 검증하는 단계; 및
    상기 제3자 또는 상기 제3자의 상위 인증기관이 기 정의된 신뢰기관이 아니면, 악성코드가 발생하는 트래픽으로 분류하는 단계;를 포함하는 것을 특징으로 하는 악성 트래픽 검출 방법.
  2. 제 1항에 있어서,
    상기 서버인증서는 X.509 인증서인 것을 특징으로 하는 악성 트래픽 검출 방법.
  3. 제 1항에 있어서,
    상기 서버인증서는 계층적 구조의 인증기관에 의해 전자서명되고,
    상기 분류하는 단계는,
    상기 서버인증서에 계층적으로 전자서명한 상위 인증기관을 순차적으로 검증하여 최상위 인증기관을 파악하는 단계; 및
    상기 최상위 인증기관이 기 정의된 신뢰기관인지 파악하는 단계;를 포함하는 것을 특징으로 하는 악성 트래픽 검출 방법.
  4. 제 1항에 있어서,
    상기 서버의 인터넷주소가 기 정의된 C&C 서버리스트에 등록되어 있는지 파악하는 단계; 및
    상기 C&C 서버리스트에 존재하면 악성 트래픽으로 분류하는 단계;를 상기 수신하는 단계 이전에 더 포함하는 것을 특징으로 하는 악성 트래픽 검출 방법.
  5. 제 1항에 있어서,
    상기 핸드셰이크 과정에서 전송되는 패킷에 포함된 적어도 하나 이상의 필드를 이용하여 클라이언트 또는 서버의 핑거프린트를 생성하는 단계; 및
    악성 트래픽에 대한 핑거프린트 리스트에 상기 핑거프린트가 존재하면 악성 트래픽으로 분류하는 단계;를 상기 수신하는 단계 이전에 더 포함하는 것을 특징으로 하는 악성 트래픽 검출 방법.
  6. 서버와 클라이언트 사이의 보안연결을 위한 핸드셰이크 과정에서 상기 서버가 전송하는 서버인증서를 수신하는 인증서수신부;
    상기 서버인증서의 발행자필드와 소유자필드를 비교하여 상기 서버인증서가 상기 서버가 아닌 제3자에 의해 전자서명되었는지 파악하고, 상기 제3자의 공개키를 기초로 상기 전자서명을 검증하여 상기 제3자에 의한 전자서명인지 검증하는 전자서명검증부;
    상기 제3자 또는 상기 제3자의 상위 계층에 존재하는 적어도 하나 이상의 상위 인증기관이 기 정의된 신뢰기관인지 파악하는 인증기관검증부; 및
    상기 제3자 또는 상위 인증기관이 기 정의된 신뢰기관이 아니면, 악성코드가 발생하는 트래픽으로 분류하는 악성코드탐지부;를 포함하는 것을 특징으로 하는 악성 트래픽 검출 장치.
  7. 제 6항에 있어서,
    상기 서버의 인터넷주소가 기 정의된 C&C 서버리스트에 등록되어 있는지 여부를 기초로 악성 트래픽을 파악하는 IP검증부;를 더 포함하는 것을 특징으로 하는 악성 트래픽 검출 장치.
  8. 제 6항에 있어서,
    상기 핸드셰이크 과정에서 전송되는 패킷에 포함된 적어도 하나 이상의 필드를 이용하여 생성한 클라이언트 또는 서버의 핑거프린트가 악성 트래픽에 대하여 미리 정의된 리스트에 존재하는지 여부를 기초로 악성 트래픽을 파악하는 핑거프린트검증부;를 더 포함하는 것을 특징으로 하는 악성 트래픽 검출 장치.
  9. 제 1항 내지 제 5항 중 어느 한 항에 기재된 방법을 수행하기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020200033312A 2020-03-18 2020-03-18 악성 트래픽 검출 방법 및 그 장치 KR102336605B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020200033312A KR102336605B1 (ko) 2020-03-18 2020-03-18 악성 트래픽 검출 방법 및 그 장치
PCT/KR2021/002792 WO2021187782A1 (ko) 2020-03-18 2021-03-08 악성 트래픽 검출 방법 및 그 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200033312A KR102336605B1 (ko) 2020-03-18 2020-03-18 악성 트래픽 검출 방법 및 그 장치

Publications (2)

Publication Number Publication Date
KR20210117006A true KR20210117006A (ko) 2021-09-28
KR102336605B1 KR102336605B1 (ko) 2021-12-09

Family

ID=77769473

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200033312A KR102336605B1 (ko) 2020-03-18 2020-03-18 악성 트래픽 검출 방법 및 그 장치

Country Status (2)

Country Link
KR (1) KR102336605B1 (ko)
WO (1) WO2021187782A1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113938314B (zh) * 2021-11-17 2023-11-28 北京天融信网络安全技术有限公司 一种加密流量的检测方法及装置、存储介质
CN114928452B (zh) * 2022-05-17 2024-02-13 壹沓科技(上海)有限公司 访问请求验证方法、装置、存储介质及服务器
CN115941361B (zh) * 2023-02-16 2023-05-09 科来网络技术股份有限公司 恶意流量识别方法、装置及设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110087826A (ko) * 2010-01-27 2011-08-03 한남대학교 산학협력단 가상머신을 이용한 악성소프트웨어 탐지 방법
KR20120136954A (ko) * 2011-06-10 2012-12-20 한국전자통신연구원 인증서 검증 시스템 및 그 방법
KR20170125495A (ko) * 2016-05-04 2017-11-15 주식회사 수산아이앤티 암호화 통신 세션 처리 방법 및 장치
KR20180041840A (ko) * 2016-10-17 2018-04-25 권오준 암호화 통신 시스템 및 방법, 이를 위한 가드 시스템 및 사용자 단말기

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090054774A (ko) * 2007-11-27 2009-06-01 한국정보보호진흥원 분산 네트워크 환경에서의 통합 보안 관리 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110087826A (ko) * 2010-01-27 2011-08-03 한남대학교 산학협력단 가상머신을 이용한 악성소프트웨어 탐지 방법
KR20120136954A (ko) * 2011-06-10 2012-12-20 한국전자통신연구원 인증서 검증 시스템 및 그 방법
KR20170125495A (ko) * 2016-05-04 2017-11-15 주식회사 수산아이앤티 암호화 통신 세션 처리 방법 및 장치
KR20180041840A (ko) * 2016-10-17 2018-04-25 권오준 암호화 통신 시스템 및 방법, 이를 위한 가드 시스템 및 사용자 단말기

Also Published As

Publication number Publication date
KR102336605B1 (ko) 2021-12-09
WO2021187782A1 (ko) 2021-09-23

Similar Documents

Publication Publication Date Title
US10447674B2 (en) Key exchange through partially trusted third party
US11757641B2 (en) Decentralized data authentication
US7673334B2 (en) Communication system and security assurance device
US20190207772A1 (en) Network scan for detecting compromised cloud-identity access information
TWI592822B (zh) Man-machine identification method, network service access method and the corresponding equipment
EP2755162B1 (en) Identity controlled data center
US20170171219A1 (en) Signed envelope encryption
US10333930B2 (en) System and method for transparent multi-factor authentication and security posture checking
CN114598540B (zh) 访问控制系统、方法、装置及存储介质
KR102336605B1 (ko) 악성 트래픽 검출 방법 및 그 장치
US20090240936A1 (en) System and method for storing client-side certificate credentials
JP7309880B2 (ja) リダイレクションを含むタイムスタンプベースの認証
CN110198297B (zh) 流量数据监控方法、装置、电子设备及计算机可读介质
US10848489B2 (en) Timestamp-based authentication with redirection
Halgamuge Latency estimation of blockchain-based distributed access control for cyber infrastructure in the iot environment
CN113242249B (zh) 一种会话控制方法和设备
US20230308433A1 (en) Early termination of secure handshakes
EP3895043B1 (en) Timestamp-based authentication with redirection
US20210367788A1 (en) Digital re-signing method for supporting various digital signature algorithms in secure sockets layer decryption apparatus
Tate Supplemental Authentication via Internet Fingerprinting

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right