KR20220094093A - 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템 및 그 방법 - Google Patents

회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템 및 그 방법 Download PDF

Info

Publication number
KR20220094093A
KR20220094093A KR1020210057139A KR20210057139A KR20220094093A KR 20220094093 A KR20220094093 A KR 20220094093A KR 1020210057139 A KR1020210057139 A KR 1020210057139A KR 20210057139 A KR20210057139 A KR 20210057139A KR 20220094093 A KR20220094093 A KR 20220094093A
Authority
KR
South Korea
Prior art keywords
packets
packet
zero
security
network
Prior art date
Application number
KR1020210057139A
Other languages
English (en)
Other versions
KR102584775B1 (ko
Inventor
이시영
Original Assignee
엑사비스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엑사비스 주식회사 filed Critical 엑사비스 주식회사
Priority to PCT/KR2021/019355 priority Critical patent/WO2022145838A1/ko
Publication of KR20220094093A publication Critical patent/KR20220094093A/ko
Application granted granted Critical
Publication of KR102584775B1 publication Critical patent/KR102584775B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

회귀보안검사를 이용한 이상행위 학습 및 탐지 방법 및 그 시스템이 개시된다. 상기 방법은 시스템이 네트워크를 통과하는 복수의 패킷들 중 적어도 일부를 선택적으로 저장하는 패킷 저장 프로세스를 수행하는 단계, 상기 시스템이 상기 패킷 저장 프로세스를 통해 저장된 저장 패킷들을 검사하여 상기 네트워크에 적용될 신규 보안 룰에 해당하는 제로데이 침투가 있었는지 여부를 판단하는 제로데이 침투 판단 단계, 및 상기 시스템이 상기 제로데이 침투로 발생한 침투행위들을 정형화 데이터로 생성하는 단계를 포함하며, 생성한 정형화 데이터에 기초하여 상기 제로데이 침투에 상응하는 행위패턴을 판별할 수 있는 행위패턴 판단모델이 학습되는 것을 특징으로 할 수 있다.

Description

회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템 및 그 방법{Abnormal behavior learning and detection system using regression security check and method therof}
본 발명은 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템 및 그 방법에 관한 것으로, 보다 상세하게는 탐지 규칙이 업데이트 된 보안 위협을 가지고 회귀보안검사를 통해 제로데이 침투로 인한 이상행위를 딥러닝(deep learning)으로 학습하기 위한 학습 데이터의 생성 및 이를 이용하여 이상행위를 판단할 수 있는 딥러닝 모델을 구축하고 활용할 수 있는 기술적 사상에 관한 것이다.
기존의 네트워크 제어 및 관리 장비들은 TCP(transport layer protocol)/UDP(user datagram protocol) 또는 IP(Internet protocol)의 패킷 정보를 기반으로, 해당 장비들의 특정 단위 목표인 라우팅이나 QoS(Quality of Service), DDoS(Distributed Denial of Service)방지 등을 달성하기 위해 노력해 왔다. 그러나 패킷 기반의 접근 방법은 상위 애플리케이션들의 통신 관계에 따른 정보들을 무시하고, 단순히 일시적인 정보 전달 단위인 각각의 분리된 패킷에 담겨 있는 정보들에만 의존함으로써, 적게는 처리 속도의 한계성과 크게는 적용성의 한계로 인해 패킷 라우팅을 위한 라우터, DDoS 공격을 방어하는 전용 시스템, 또는 트래픽 제어를 위한 DPI(Deep Packet Inspection) 시스템 등과 같은 독립적인 목표를 위한 단일 시스템의 형태로 제공되고 있다. 이 중 DPI 시스템은 특정 애플리케이션 또는 클라이언트(예컨대, P2P 클라이언트(client))가 사용하는 잘 알려진 포트 번호와 페이로드(Payload)의 시그너쳐(Signature)를 찾아서 검출하고, 검출된 패킷을 제어하는 방법을 채택하고 있다. 이러한 시그너쳐를 검출함으로써 어떤 클라이언트 즉, 애플리케이션이 현재 네트워크에서 패킷을 생성 및/또는 전송하고 있는지를 알게 되고, 소정의 정책에 따라 적절한 네트워크 제어를 수행하게 된다. 그리고 이러한 시그너쳐에 대한 정보를 포함하고 있는 보안 룰이 보안장비에 설정됨으로써, DPI와 같은 보안장비는 위협을 방어하고 있다.
한편, 제로데이 침투(공격)은 좁게는 컴퓨터 소프트웨어의 취약점을 공격하는 기술적 위협으로, 특히 해당 취약점에 대하여 공표되지 않았거나, 공표되었더라도 해당 취약점에 대한 보안 룰(보안규칙) 패치가 아직 나오지 않은 시점에서 이루어지거나, 넓게는 신변종 보안위협의 등장 이후 해당 신변종 보안위협을 탐지할 수 있는 탐지룰이 나오기 전에 이루어지는 공격(시간상의 보안사각)을 말한다.
이러한 취약점 및 시간상의 보안사각은 말 그대로 아직 보안 룰에 대한 패치가 이루어지기 전이므로, 악의적인 공격자에게 알려질 경우 소프트웨어에 대한 공격에 무방비로 노출될 수밖에 없어 소프트웨어 보안에 중요한 이슈를 가진다.
그런데 이러한 취약점 및 시간상의 보안사각은 개발자나 사용자에 의해 발견되거나, 사용자에 의해 제보되지 않았다면, 그 취약점을 이용하는 공격 매개체(예컨대, 바이러스, 웜 등의 악성코드)가 발견되어야 해당 취약점에 대한 패치가 이루어질 수 있으며, 패치가 정상적으로 이루어지기 전까지는 해당 취약점을 이용한 공격에 속수무책으로 노출될 수밖에 없는 위험이 있다.
따라서 제로데이 침투가 행해진 경우, 제로데이 침투 여부를 빠르게 판단할 수 있는 것이 제로데이 침투로 인한 피해를 최소화하는데 매우 중요할 수 있다.
한국특허출원(출원번호 10-2008-0126888, "네트워크 컨트롤 시스템 및 네트워크 컨트롤 방법") 한국특허출원(출원번호 10-2011-0019891, "네트워크 검사 시스템 및 그 제공방법")
본 발명은 이러한 문제점을 해결하고자 안출된 발명으로써, 본 발명이 이루고자 하는 기술적 과제는 실시간으로 패킷을 검사하고 검사결과 문제없는 패킷만을 선택적으로 통과시키는 네트워크 보안 시스템에 있어서, 특정 위협이 제로데이 기간 중에 있어 이를 탐지할 룰셋이 제공되지 않은 상태에서도 학습된 이상행위의 탐지를 통해, 특정 위협이 침투하였음을 판단할 수 있는 기술적 사상을 제공하는 것이다.
또한 매우 효율적인 패킷 저장을 통해 모든 또는 대부분의 룰셋을 검사할 수 있고, 이를 토대로 최신의 보안 위협에 따라 자동으로 적용되는 보안 룰셋을 변경할 수 있는 기술적 사상을 제공하는 것이다.
또한, 네트워크를 기록하기 위해 패킷의 저장개수를 현저히 줄일 수 있고, 고속의 패킷 서치를 지원할 수 있는 기술적 사상을 제공하는 것이다.
또한, 네트워크를 기록하기 위한 패킷의 저장개수를 현저히 줄이면서도 네트워크를 검사하는 데에 있어서는 성능의 차이가 거의 없어서, 과거의 오랜 시간에 대한 네트워크 기록이 가능하였고 이에 따라 네트워크 검사 룰이 설정되는 경우 빠른 시간 내에 현재의 네트워크 패킷들을 실시간으로 검사할 수 있을 뿐 아니라 과거의 네트워크도 소급하여 빠른 시간 내에 검사할 수 있는 방법 및 시스템을 제공하는 것이다.
또한, 새로운 위협에 대한 탐지규칙(보안 룰)이 업데이트될 때마다 과거 트래픽에 대한 보안검사(회귀보안검사)를 수행할 수 있으며, 이를 통해 제로데이 공격으로 임한 침투행위들을 정형화된 데이터(예컨대, 지향성 그래프)로 구축할 수 있어서 침투행위의 특성을 정의하는 학습 데이터의 생성 및 라벨링(labeling 또는 annotatoin이라고도 함)이 자동으로 이루어질 수 있는 효과가 있다.
또한, 회귀보안검사를 통해 성공한 침투 이후 장기간에 걸친 관련된 행위 정보를 수집할 수 있어, 이상행위의 정확도가 향상될 수 있는 효과가 있다.
또한 이러한 정형화된 데이터로 침투행위를 정의함으로써 제로데이 공격의 특성을 딥러닝 모델의 학습에 효과적으로 이용할 수 있고, 이로 인해 정확도 높은 제로데이 공격 패턴을 탐지하는 행위패턴 탐지모듈을 구축할 수 있는 효과가 있다.
또한 구축된 행위패턴 탐지모듈을 통해 공격의 의심이 되는 네트워크 패턴을 패킷 검사를 통한 탐지규칙과는 별개로 탐색하여 보안성을 높일 수 있는 효과가 있다.
본 발명의 일 측면에 따르면, 상기의 기술적 과제를 해결하기 위한 회귀보안검사를 이용한 이상행위 학습 및 탐지 방법은 시스템이 네트워크를 통과하는 복수의 패킷들 중 적어도 일부를 선택적으로 저장하는 패킷 저장 프로세스를 수행하는 단계, 상기 시스템이 상기 패킷 저장 프로세스를 통해 저장된 저장 패킷들을 검사하여 상기 네트워크에 적용될 신규 보안 룰에 해당하는 제로데이 침투가 있었는지 여부를 판단하는 제로데이 침투 판단 단계, 및 상기 시스템이 상기 제로데이 침투로 발생한 침투행위들을 정형화 데이터로 생성하는 단계를 포함하며, 생성한 정형화 데이터에 기초하여 상기 제로데이 침투에 상응하는 행위패턴을 판별할 수 있는 행위패턴 판단모델이 학습되는 것을 특징으로 한다.
상기 시스템이 네트워크를 통과하는 복수의 패킷들 중 적어도 일부를 선택적으로 저장하는 패킷 저장 프로세스를 수행하는 단계는, 상기 시스템이 상기 복수의 패킷들로부터 세션을 형성하는 세션형성 패킷들 중 상기 세션의 초기 N(N은 자연수)개의 선행 패킷만을 저장하는 상기 패킷 저장 프로세스를 수행하는 단계를 포함할 수 있다.
상기 시스템이 상기 제로데이 침투로 발생한 침투행위들을 정형화 데이터로 생성하는 단계는 상기 시스템이 상기 제로데이 침투로 발생한 침투행위들에 이용된 적어도 하나의 호스트를 노드로 설정하고, 각각의 노드에서 다른 노드로 일어난 통신행위를 에지로 설정한 지향성 그래프로 상기 정형화 데이터를 생성하는 단계를 포함할 수 있다.
상기 지향성 그래프에 포함된 노드는, 각각의 노드에 상응하는 적어도 하나의 호스트가 특정행위를 수행한 시점 및 IP에 대한 정보를 포함할 수 있다.
상기 지향성 그래프에 포함된 에지는 각각의 에지에 해당하는 통신행위에 상응하는 프로토콜 또는 수행행위에 대한 정보를 포함할 수 있다.
상기 행위패턴 판단모델은, 상기 정형화 데이터를 포함하는 학습 데이터를 RNN 또는 LSTM을 이용하여 학습하여 구축될 수 있다.
상기 회귀보안검사를 이용한 이상행위 학습 및 탐지 방법은, 상기 행위패턴 판단모델의 생성 후 상기 네트워크를 통과하려 하는 패킷들에 대해 실시간 정형화 데이터를 생성하는 단계, 생성한 실시간 정형화 데이터에 대해 상기 행위패턴 판단모델을 이용하여 이상행위 여부를 판단하는 단계를 더 포함할 수 있다.
상기의 방법은 데이터 처리장치에 설치되는 소프트웨어에 의해 구현될 수 있다.
본 발명의 다른 일 측면에 따르면, 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템이 제공된다. 상기 시스템은 네트워크를 통과하는 복수의 패킷들 중 적어도 일부를 선택적으로 저장하는 패킷 저장 프로세스를 수행하는 패킷 저장모듈, 상기 네트워크에 적용될 신규 보안 룰이 업데이트 되는 경우, 상기 패킷 저장 프로세스를 통해 저장된 저장 패킷들을 검사하여 상기 신규 보안 룰에 해당하는 제로데이 침투가 있었는지 여부를 판단하는 침입방지 모듈, 상기 제로데이 침투로 발생한 침투행위들을 정형화 데이터로 생성하는 데이터 생성모듈, 및 생성한 정형화 데이터를 학습하여 상기 제로데이 침투에 상응하는 행위패턴을 판단하기 위한 행위패턴 판단모델을 생성하는 제어모듈을 포함한다.
또 다른 일측 면에 따르면, 상기 시스템은 프로그램이 저장된 저장장치, 상기 프로그램을 구동하기 위한 프로세서를 포함하며, 상기 프로세서에 의해 구동되는 상기 프로그램은, 네트워크를 통과하는 복수의 패킷들 중 적어도 일부를 선택적으로 저장하는 패킷 저장 프로세스를 수행하고, 상기 네트워크에 적용될 신규 보안 룰이 업데이트 되는 경우, 상기 패킷 저장 프로세스를 통해 저장된 저장 패킷들을 검사하여 상기 신규 보안 룰에 해당하는 제로데이 침투가 있었는지 여부를 판단하며, 상기 제로데이 침투로 발생한 침투행위들을 정형화 데이터로 생성하고, 생성한 정형화 데이터를 학습하여 상기 제로데이 침투에 상응하는 행위패턴을 판단하기 위한 행위패턴 판단모델을 생성한다.
상기 프로세서에 의해 구동되는 상기 프로그램은, 상기 제로데이 침투로 발생한 침투행위들에 이용된 적어도 하나의 호스트를 노드로 설정하고, 각각의 노드에서 다른 노드로 일어난 통신행위를 에지로 설정한 지향성 그래프로 상기 정형화 데이터를 생성할 수 있다.
상기 프로세서에 의해 구동되는 상기 프로그램은, 상기 행위패턴 판단모델의 생성 후 상기 네트워크를 통과하려 하는 패킷들에 대해 실시간 정형화 데이터를 생성하고, 생성한 실시간 정형화 데이터에 대해 상기 행위패턴 판단모델을 이용하여 이상행위 여부를 판단할 수 있다.
본 발명의 기술적 사상에 따르면, 실시간으로 패킷을 검사하고 검사결과 문제없는 패킷만을 선택적으로 통과시키는 네트워크 보안 시스템에 있어서, 회귀보안검사를 통해 검출된 제로데이 침투와 이후의 행위 패턴을 학습함으로써, 제로데이 기간에 있어 탐지 룰셋이 제공되지 않은 위협의 침투를 빨리 찾을 수 있고, 이를 통하여 탐지 룰셋이 제공되지 않은 보안 위협의 침투로 인한 피해를 최소화시킬 수 있는 효과가 있다.
또한 모든 또는 대부분의 룰셋에 대한 검사를 효과적으로 할 수 있고, 이를 토대로 최신의 보안 위협에 따라 자동으로 적용되는 보안 룰셋을 변경할 수 있는 효과가 있다.
또한, 고속으로 패킷을 검사하면서 플로우 및 플로우에 기반한 세션에 대한 정보를 생성할 수 있어서, 세션의 초기 선행패킷 일정 개수만을 검사할 수 있도록 하여 고속 네트워크 환경에서 실시간으로 패킷 검사가 수행될 수 있는 효과가 있다.
또한, 네트워크를 기록하기 위해 필요한 패킷의 저장개수를 현저히 줄일 수 있고, 세션 정보 및 플로우 정보에 기초하여 고속의 패킷 서치를 지원할 수 있는 효과가 있다.
또한, 네트워크를 기록하기 위해 필요한 패킷의 저장개수가 줄어듦으로 인해 동일한 물리적 환경에서도 오랜 시간동안 네트워크의 기록이 가능한 효과가 있다.
또한 이러한 네트워크의 기록이 가능함으로써, 실시간으로 패킷 검사를 수행하는데 뛰어날 뿐만 아니라, 과거에 네트워크 공격이 있었는지에 대한 검증도 가능한 효과가 있다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 본 발명의 일 실시 예에 따른 시스템의 개략적인 구성을 나타내는 도면이다.
도 2는 본 발명의 일 실시 예에 따른 네트워크 보안 방법을 개략적으로 설명하기 위한 도면이다.
도 3은 본 발명의 일 실시 예에 따른 시스템 제공방법을 위한 세션, 플로우, 및 패킷을 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시 예에 따른 시스템 제공방법에 따른 패킷 서치를 수행하는 개념을 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시 예에 따른 시스템 제공방법에 따른 효과를 설명하기 위한 도면이다.
도 6은 본 발명의 일 실시 예에 따른 시스템 제공방법을 통한 복수의 패킷저장 모드를 설명하기 위한 도면이다.
도 7은 본 발명의 일 실시 예에 따라 과거의 네트워크 공격을 효과적으로 검사할 수 있는 개념을 설명하기 위한 도면이다.
도 8은 본 발명의 일 실시 예에 따른 시스템의 개략적인 물리적 구성을 나타내는 도면이다.
도 9은 본 발명의 일 실시 예에 따라 공격행위를 정의하기 위한 정형화 데이터 모델의 개념을 나타내는 도면이다.
도 10은 본 발명의 일 실시 예에 따른 제로데이 공격행위의 정형화 데이터의 일 실시 예를 나타내는 도면이다.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
본 명세서에 있어서, 포함하다 또는 가지다 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 본 명세서에 있어서는 어느 하나의 구성요소가 다른 구성요소로 데이터를 '전송'하는 경우에는 상기 구성요소는 상기 다른 구성요소로 직접 상기 데이터를 전송할 수도 있고, 적어도 하나의 또 다른 구성요소를 통하여 상기 데이터를 상기 다른 구성요소로 전송할 수도 있는 것을 의미한다. 반대로 어느 하나의 구성요소가 다른 구성요소로 데이터를 '직접 전송'하는 경우에는 상기 구성요소에서 다른 구성요소를 통하지 않고 상기 다른 구성요소로 상기 데이터가 전송되는 것을 의미한다.
이하, 첨부된 도면들을 참조하여 본 발명의 실시예들을 중심으로 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.
도 1은 본 발명의 일 실시 예에 따른 시스템의 개략적인 구성을 나타내는 도면이다.
도 1을 참조하면, 본 발명의 실시 예에 따른 시스템(100)은 침입방지 모듈(110), 패킷저장 모듈(120), 및 제어모듈(130)을 포함한다. 상기 시스템(100)은 DB(140) 및/또는 패킷서치 모듈(150)을 더 포함할 수 있다. 또한, 상기 시스템(100)은 패킷 추출모듈(160), 데이터 생성모듈(170)을 더 포함할 수 있다.
다른 실시 예에 의하면, 상기 시스템(100)은 패킷저장 모듈(120) 및 제어모듈(130)을 포함할 수 있다. 이러한 경우는 기존에 이미 구축된 IPS 시스템(예컨대, 침입방지 모듈(110))에 본 발명의 기술적 사상을 적용하기 위해 시스템(100)이 적용되는 경우일 수 있다.
한편, 본 발명의 기술적 사상을 구현하기 위해서는 패킷추출 모듈(160)이 더 구비될 수 있다. 상기 패킷추출 모듈(160)은 네트워크로부터 복수의 패킷들을 수신할 수 있다. 상기 패킷추출 모듈(160)은 네트워크상의 소정의 위치에 설치되어 네트워크를 통해 이동하는 패킷들을 수집하여, 상기 침입방지 모듈(110) 및 상기 패킷저장 모듈(120)로 분배할 수 있다. 분배되는 패킷은 동일할 수 있음은 물론이다. 일 예에 의하면 상기 패킷추출 모듈(160)은 네트워크로부터 패킷들을 태핑(tapping)하는 장비를 포함하여 구현될 수 있다.
상기 패킷추출 모듈(160)은 예컨대, 소정의 로컬 에어리어 네트워크(LAN) 상에 존재하는 게이트웨이(gateway)의 전단 및/또는 후단에 위치하여 본 발명의 기술적 사상에 따라 네트워크를 검사할 수 있다. 그러면 상기 시스템(100)은 검사결과를 이용하여 따라 네트워크/트래픽을 컨트롤할 수 있다. 네트워크/트래픽을 컨트롤 한다 함은 소정의 세션, 플로우 및/또는 패킷별로 대역폭, 전송 속도를 조절하거나 전송을 차단하는 등의 인위적 행위를 의미할 수 있다. 상기 패킷추출 모듈(160)은 예컨대 소정의 NIC(Network Interface Card)로 구현될 수 있지만, 이에 한정되는 것은 아니다.
패킷추출 모듈(160)은 수신된 패킷을 상기 침입방지 모듈(110) 및 상기 패킷저장 모듈(120) 모두로 전송할 수 있다.
상기 데이터 생성모듈(170)은 후술할 바와 같이 네트워크 공격 예컨대, 제로데이 공격에 의해 발생한 일련의 공격 행위패턴들을 포함하는 행위들을 미러 정해진 정형화 데이터로 생성할 수 있다. 일 예에 의하면 상기 정형화 데이터는 지향성 그래프일 수 있지만, 이에 국한되지는 않으며 시계열적으로 일어나는 일련의 행위들(예컨대, 정보의 전송, 저장, 배포, 삭제 등)을 표현하고, 이러한 표현으로부터 특징적인 행위들을 추출할 수 있는 딥러닝 모델의 입력 데이터로 사용되기 적합한 다양한 정형화 데이터가 정의될 수 있다.
이러한 데이터 생성모듈(170)의 동작 및/또는 기능에 대해서는 후술하도록 한다.
상기 침입방지 모듈(110)은 적용 보안 룰셋에 따라 실시간으로 패킷검사를 수행하고, 검사결과에 따라 선택적으로 패킷을 통과시킬 수 있다. 즉, 패킷검사결과 문제가 없는 패킷만을 선택적으로 통과시킬 수 있다.
상기 적용 보안 룰셋은 검사시점에서 알려진 즉, 상기 시스템(100)에 저장되어서 적용 가능한 보안 룰셋의 전체 집합 즉, 풀 룰셋(full rule-set) 중 일부일 수 있다. 보안 룰셋은 복수의 보안 룰을 포함하는 의미일 수 있다. 또한 각각의 보안 룰은 패킷 검사의 기준이 되는 규칙을 포함할 수 있다. 예컨대, 패킷에 특정 패턴의 비트 스트림이 존재하거나, 패킷의 어떤 위치에 어떤 값 또는 텍스트가 존재하거나, 어떤 포트(port)로 수신되는 패킷이거나, 및/또는 패킷의 출발지 또는 목적지가 어떠한 값이거나 등의 규칙들이 적어도 하나 조합되어서 보안 룰을 형성할 수 있다. 이러한 보안 룰은 신규 보안 위협이 발생할 때마다 상기 시스템(100)에 해당 신규 보안 위협의 종류나 특징 그리고 이에 대응되는 보안 룰이 업데이트될 수 있음은 물론이다.
한편, 풀 룰셋은 통상 2만 여개가 넘는 보안 룰을 포함하는 것으로 알려져 있고, 신규 보안 위협이 발생할 때마다 그 수는 증가할 수밖에 없다. 그리고 실제로 아무리 고성능의 침입방지 모듈(110) 또는 IPS라 하더라도 풀 룰셋을 모두 실시간으로 검사하는 것은 거의 불가능에 가깝다. 현실적으로 정도의 차이는 있지만 적용 보안 룰셋은 풀 룰셋의 10분의 1 수준으로 설정되는 것이 일반적이다. 즉, 종래의 네트워크 보안 시스템들은 이미 알려진 풀 룰셋 중 일부분만 적용 보안 룰셋으로 적용하여 실시간으로 검사를 수행하고, 나머지 보안 룰셋들은 검사를 수행하지 않게 된다.
따라서 적용 보안 룰셋의 나머지 보안 룰셋을 본 명세서에서는 운용상의 보안공백으로 표현하기로 한다. 운용상의 보안공백은 어쩔 수 없이 발생하는 보안상의 위협이지만 이러한 운용상의 보안공백을 최소화하기 위한 노력이 필요하였다. 이러한 노력은 예컨대, 보안 전문 인력이 해당 시점에서 보안 위협의 트렌드 등을 습득하고, 일정 주기별로 적용 보안 룰셋을 변경하는 방식이 존재해왔다. 하지만 보안 전문 인력을 고용하여야 하는 것도 큰 비용의 손실일 뿐만 아니라, 아무리 뛰어난 보안 전문 인력이라 하더라도 보안의 대상이 되는 네트워크에 실제로 어떠한 보안위협들이 존재하였는지를 정확히 알고, 그에 따라 적용 보안 룰셋을 최적화하는 것은 실질적으로 불가능하였다.
왜냐하면 IPS를 통해서 실시간으로 검사를 수행한 보안 룰셋 이외에는 실제 어떠한 보안 위협이 존재하였는지를 알기가 어렵고, 이를 알기 위해서는 모든 패킷들을 별도로 저장한 후 저장된 패킷들에 대해 실제 일일이 풀 룰셋 또는 풀 룰셋 중 대부분의 보안 룰셋으로 검사를 수행해보아야만이 정확히 해당 네트워크에서 어떤 보안 위협이 존재하였는지를 알 수 있기 때문이다. 하지만 전술한 바와 같이 네트워크를 통과하는 모든 패킷들을 저장하는 것 자체가 매우 고비용이고, 이러한 모든 패킷들을 다 저장한 후 풀 룰셋으로 패킷검사를 수행한다고 하더라도 매우 오랜 시간이 걸릴 수 밖에 없었다. 그리고 오랜 시간 후에 비로소 검사결과를 확인하고, 적용 보안 룰셋을 변경하는 것은 비효율적일 수 있다.
이러한 문제점은 저장하는 패킷을 대폭으로 줄일 수 있으면서도, 실제로 모든 패킷을 저장해서 검사하는 것과 대동소이한 검사결과를 가질 수 있는 기술적 사상에 의해 해결될 수 있다. 본 발명은 이러한 기술적 사상을 제공함으로써 저장된 패킷의 양을 대폭 줄일 수 있으면서도 양질의 검사결과를 얻을 수 있고, 이를 통해 저장된 패킷에 대해 풀 룰셋 또는 운용상의 보안공백에 상응하는 보안 룰셋(예컨대, 풀 룰셋 중 적용 보안 룰셋을 제외한 보안 룰셋)으로 검사를 수행하여 빠른 검사결과를 획득할 수 있고, 이를 통해 적용 보안 룰셋을 적응적으로 변경할 수 있도록 함으로써 네트워크의 보안성을 효과적으로 높일 수 있도록 한다. 이러한 기술적 사상은 특정 세션의 초기 N(N은 자연수)개의 패킷만을 매우 빠른 시간에 선별할 수 있는 기술적 사상 및 선별된 세션의 초기 N개의 패킷을 선택적으로 저장하는 기술적 사상에 의해 달성될 수 있다. 이러한 기술적 사상에 대해서는 후술하도록 한다.
한편, 신규 보안 위협이 발생하는 경우에는 아무리 적용 보안 룰셋을 최적화하더라도 이를 방지할 수는 없다. 즉, 새로운 공격이 발생하면 시간적으로 일정 시간 후에 상기 새로운 공격에 대응되는 보안 룰(탐지 규칙)이 생성될 수 밖에 없다. 이러한 신규 보안 위협을 본 명세서에서는 '시간상의 보안 공백'으로 정의하기로 하며, 이러한 시간상의 보안 공백에서 발생하는 공격이 제로데이 공격이라 불리운다.
그리고 이러한 시간상의 보안 공백을 최소화하기 위한 기술적 사상 역시 전술한 바와 같이 효율적으로 선별된 패킷만을 저장하고, 저장된 패킷들을 고속으로 탐색할 수 있음으로 가능해질 수 있다. 이러한 기술적 사상 역시 후술하도록 한다.
상기 패킷저장 모듈(120)은 상기 패킷추출 모듈(160)로부터 수신된 복수의 패킷들 중에서 적어도 일부를 선택적으로 추출할 수 있다.
그러면 상기 제어모듈(130)은 패킷저장 모듈(120)에 의해 저장된 저장패킷에 대해 패킷 검사를 수행할 수 있다. 저장패킷에 대한 패킷검사는 적용 보안 룰셋 이외의 보안 룰을 적어도 하나 검사 룰로써 설정하여 패킷검사를 수행하는 과정일 수 있다. 물론, 구현 예에 따라 패킷검사 시점의 풀 룰셋에 대해 패킷검사를 수행할 수도 있음은 물론이다. 또한, 적용 보안 룰셋을 저장패킷에 대해 검사할 때에도 적용할 수도 있다. 또는 풀 룰셋 중 적용 보안 룰셋을 제외한 나머지 보안 룰들에 대해서만 패킷검사를 수행할 수도 있다.
이러한 저장패킷에 대한 패킷검사는 상기 침입방지 모듈(110)이 수행하는 패킷검사의 시점보다 일정 시간 후일 수 있다. 따라서 침입방지 모듈(110)이 수행하는 패킷검사의 시점에서의 풀 룰셋과 상기 제어모듈(130)이 저장패킷에 대해 수행하는 패킷검사 시점에서의 풀 룰셋은 다를 수도 있다. 따라서 실시 예에 따라 침입방지 모듈(110)이 수행하는 패킷검사 시점에서의 풀 룰셋에 비해 저장패킷에 대해 수행하는 패킷검사시점에서 새로운 보안 룰이 풀 룰셋에 추가된 경우에는, 상기 새로운 보안 룰은 반드시 저장패킷에 대해서는 검사 룰로써 설정될 수 있도록 상기 제어모듈(130)은 적용 보안 룰셋을 변경할 수도 있다.
결국, 상기 제어모듈(130)은 저장패킷에 대해 적용 보안 룰셋에 포함되지 않은 적어도 하나의 보안 룰을 검사 룰로 설정하여 패킷검사를 수행하고, 패킷검사의 수행결과에 따라 현재 적용되고 있는 적용 보안 룰셋을 변경할 수 있다. 이하에서는 설명의 편의를 위해, 상기 제어모듈(130)은 저장패킷에 대해 풀 룰셋으로 검사를 수행하는 경우를 예시적으로 설명하도록 한다.
상기 제어모듈(130)이 적용 보안 룰셋을 변경한다고 함은, 변경 전의 적용 보안 룰셋에 포함된 보안 룰과 변경 후의 적용 보안 룰셋에 포함되는 보안 룰 중 적어도 하나는 다름을 의미할 수 있다. 따라서 변경전의 적용 보안 룰셋에 포함된 보안 룰이 변경 후의 적용 보안 룰셋에도 여전히 포함될 수 있음은 물론이다.
또한 상기 제어모듈(130)이 적용 보안 룰셋을 변경한다고 함은, 적용 보안 룰셋에 포함된 보안 룰의 개수는 유지한 채, 적용 보안 룰셋에 포함된 보안 룰을 대체하는 과정일 수도 있다.
하지만 구현 예에 따라서는 상기 제어모듈(130)은 적용 보안 룰셋에 포함될 보안 룰의 개수 역시 변경할 수도 있다. 예컨대, 상기 제어모듈(130)은 일정 주기별로 저장패킷에 대한 패킷검사를 수행할 수 있고, 그 결과 보안 위협이 기존에 비해 증대되고 있다고 판단한 경우에는 보안 룰의 개수를 증가시킬 수도 있다. 물론 이와 반대로 저장패킷에 대한 패킷검사결과에 따라 적용 보안 룰셋에 포함될 보안 룰의 개수를 줄일 수도 있다.
상기 제어모듈(130)은 변경된 적용 보안 룰셋에 대해 상기 침입방지 모듈(110)이 검사 룰로써 패킷검사를 수행할 수 있도록 할 수 있다. 예컨대, 상기 침입방지 모듈(110)이 자체적으로 적용 보안 룰셋을 저장하는 경우에는 변경된 적용 보안 룰셋에 대한 정보를 상기 침입방지 모듈(110)로 전송할 수도 있다. 또는 상기 제어모듈(130)은 소정의 저장위치에 변경된 적용 보안 룰셋에 대한 정보를 저장하고, 상기 침입방지 모듈(110)은 상기 저장위치에 저장된 상기 적용 보안 룰셋을 검사 룰로 설정하여 패킷검사를 수행하도록 할 수도 있다. 기타 다양한 방식으로 상기 제어모듈(130)은 적용 보안 룰셋을 변경할 수 있다.
상기 DB(140)는 본 발명의 기술적 사상을 구현하기 위해 필요한 정보들이 저장되는 정보의 저장수단을 의미할 수 있다. 상기 DB(140)에는 전술한 바와 같이 패킷저장 모듈(120)에 의해 저장된 저장패킷에 대한 정보, 후술할 바와 같은 플로우 정보, 세션 정보 등이 저장될 수 있음은 물론이다. 또한 적용 보안 룰셋에 대한 정보가 저장될 수도 있다. 기타 본 발명의 기술적 사상을 구현하기 위해 필요한 정보들이 저장되는 저장수단으로 상기 DB(140)가 구현되면 족하다. 또한 상기 DB(140)는 하나의 물리적 저장장치로만 구현될 필요는 없고, 복수의 물리적 저장장치로 구현될 수도 있다. 또한, 구현 예에 따라 상기 DB(140)는 상기 시스템(100)과는 분리된 물리적 장치로 구현될 수도 있고, 상기 시스템(100)은 네트워크를 통해 상기 DB(140)에 억세스할 수도 있다.
상기 패킷서치 모듈(150)은 DB(140)에 저장된 패킷을 서치하는 기능을 수행할 수 있다. 이때 후술할 바와 같이 고속의 다운드릴 서치가 가능하도록 할 수 있다. 그리고 이러한 고속의 패킷서치를 통해 시간상의 보안 공백을 줄일 수 있는 효과가 있다.
도 2는 본 발명의 일 실시 예에 따른 네트워크 보안 방법을 개략적으로 설명하기 위한 도면이다.
도 2를 참조하면, 본 발명의 실시 예에 따른 네트워크 보안방법을 위해서는 상기 시스템(100)에 의해 입력 트래픽의 효과적인 선택적 저장이 이루어질 수 있다(S100). 이러한 선택적 저장은 세션을 탐지하고, 세션의 초기 N 개의 선행패킷만을 추출하는 기술적 사상이 이용될 수 있다. 또한 후술할 바와 같이 세션의 초기 N 개의 선행패킷을 고속으로 추출하기 위해 플로우 정보를 이용하는 기술적 사상이 제공될 수 있다. 이러한 입력 트래픽의 선택적 저장은 상기 패킷저장 모듈(120)에 의해 수행될 수 있다.
한편, 상기 시스템(100)에 의해 실시간으로 침입방지 프로세스가 이루어지고 있을 수 있다(S100-1). 이러한 침입방지는 전술한 바와 같이 적용 보안 룰셋에 의해 실시간 패킷검사를 통해 선택적인 패킷의 통과를 수행함으로써 이루어질 수 있다. 상기 시스템(100)은 풀 룰셋 중 소정의 방식으로 선택한 일부의 보안 룰셋을 상기 침입방지 프로세스에서의 적용 보안 룰셋으로 선택하고, 이를 상기 침입방지 프로세스의 검사 룰로 적용하고 있을 수 있다. 이러한 초기의 적용 보안 룰셋은 임의로 또는 소정의 보안 담당자에 의해 이루어질 수 있다.
그러면, 상기 시스템(100)은 저장패킷에 대해 패킷검사를 수행할 수 있다(S110). 저장패킷에 대한 패킷검사는 전술한 바와 같이 풀 룰셋이 적용될 수 있지만, 이에 국한되지는 않는다. 적어도 현재 침입방지 프로세스에 적용되고 있는 적용 보안 룰셋에는 포함되지 않은 적어도 하나의 보안 룰이 상기 저장패킷에 대한 패킷검사에서 검사 룰로 이용될 수 있다.
상기 저장패킷에 대한 패킷검사는 소정의 주기 단위(예컨대, 일/주 등)로 이루어질 수 있다. 이러한 주기가 빠를수록 더욱 즉각적으로 운용상의 보안공백에 대한 대응이 가능해질 수 있다. 그리고 이러한 주기를 단축하기 위해서는 저장패킷의 양이 적으면서도, 패킷검사의 품질이 높아질 수 있도록 효율적인 패킷저장이 이루어져야 할 수 있다.
그러면 상기 시스템(100)은 검사결과에 따라 적용 보안 룰셋을 변경할 수 있다(S120). 적용 보안 룰셋의 변경은 예컨대, 현재 설정된 적용 보안 룰셋으로는 탐지되지 않는 패킷이 저장패킷에 대한 패킷검사 프로세스(S110)에서 탐지된 경우, 해당 패킷을 탐지할 수 있는 보안 룰이 포함되도록 하는 변경일 수 있다.
이러한 보안 룰의 변경을 위한 일 예는 LRU(Least Recently Used) 방식일 수도 있다. 즉, 가장 오랫동안 사용되지 않은(즉, 필터링할 패킷을 탐지하는데 이용되지 않은) 보안 룰을 적용 보안 룰셋에서 제외하는 대신 새로운 보안 룰이 적용 보안 룰셋에 포함되도록 하는 방식일 수 있다. 하지만 이러한 구체적인 적용 보안 룰셋의 변경 방식은 다양할 수 있음을 본 발명의 기술분야의 평균적 전문가는 용이하게 추론할 수 있을 것이다.
한편, 상기 시스템(100)은 적용 보안 룰셋에 포함될 보안 룰의 개수 및/또는 저장패킷에 대한 패킷검사 주기를 적응적으로 조절할 수도 있다. 이러한 조절은 저장패킷에 대한 패킷검사 프로세스(S110)의 결과에 따라 보안 위협의 강도(예컨대, 탐지된 공격 또는 패킷의 수 등)에 따라 적응적으로 조절될 수 있다.
예컨대, 적용 보안 룰셋에 포함된 보안 룰의 개수의 조절은 네트워크의 성능을 심각하게 저하시키지 않는 범위내에서 수행되는 것이 바람직할 수 있다. 또한 저장패킷에 대한 패킷검사 주기의 조절은 보안 위협의 강도가 강하다고 판단된 경우에는 짧게 조절되고, 반대의 경우에는 길게 조절될 수 있다.
적용 보안 룰셋의 변경이 이루어지면, 상기 침입방지 프로세스는 변경된 적용 보안 룰셋에 따라 이루어질 수 있다.
결국 본 발명의 기술적 사상에 의하면, 운용상의 보안공백을 최소화하면서 실제 네트워크에서 이루어진 보안 위협에 따라 적응적 보안정책이 이루어질 수 있는 효과를 제공할 수 있다.
한편, 패킷저장 모듈(120)에 의해 선택적으로 패킷을 저장하는 개념에 대해서 설명하면 다음과 같다. 본 발명의 기술적 사상에 의하면, 상기 패킷저장 모듈(120)은 고속으로 세션들 각각의 선행 패킷 N개만을 추출하여 저장할 수 있다. 이를 위해 플로우를 이용하여 세션의 초기 N개의 선행 패킷을 추출하는 기술적 사상을 제공한다.
상기 패킷저장 모듈(120)은 플로우 생성모듈(121) 및 세션생성 모듈(122)을 포함할 수 있다.
상기 플로우 생성모듈(121)은 상기 패킷추출 모듈(160)에 의해 수신되는 패킷들에 기초하여 복수의 플로우들을 생성할 수 있다. 상기 패킷추출 모듈(160)은 상기 플로우 생성모듈(121)로 순차적으로 패킷들을 출력할 수 있다. 그러면, 상기 플로우 생성모듈(121)은 플로우를 생성할 수 있다. 플로우를 생성한다고 함은 후술할 바와 같이 플로우 정보를 생성하는 것을 의미할 수 있다. 구현 예에 따라서는, 선택적으로 상기 플로우 생성모듈(121)은 플로우에 포함되는 패킷을 추출하여 상기 DB(140)에 저장할 수도 있다. 상기 플로우 생성모듈(121)은 소정의 플로우에 해당하는 모든 패킷들을 저장토록 할 수도 있지만, 구현 예에 따라서는 후술할 바와 같이 상기 플로우를 포함하는 세션의 초기 몇 개의 패킷만을 최종적으로 상기 DB(140)에 저장토록 할 수도 있다.
물론, 상기 플로우 생성모듈(121)은 플로우 및 해당 플로우에 포함된 모든 패킷을 임시로 상기 DB(140)에 저장하고, 상기 세션 생성모듈(122)이 저장된 패킷들 중 선택적으로 일부만 저장하고 나머지는 삭제할 수도 있다.
본 명세서에서 플로우(flow)라 함은, 제한된 시간 내에 연속적으로 전달되는 IP 패킷들의 집합을 의미한다. 따라서, IP 플로우는 애플리케이션의 주소 쌍(송신자 주소, 송신자 포트 번호, 수신자 주소, 수신자 포트 번호), 호스트 쌍(송신자 네트워크 주소, 수신자 네트워크 주소), AS 번호 쌍(송신자 AS 번호, 수신자 AS 번호) 등으로 명세되는 제한된 시간 내에 연속적으로 전달되는 IP 패킷들의 흐름으로 정의될 수 있다. 이러한 플로우에 대한 개념 및 플로우를 형성하는 방식에 대해서는 상기한 선행기술문헌에 상세히 개시되어 있으므로 본 명세서에서는 상세한 설명은 생략하도록 한다. 또한, 본 명세서에서 플로우에 대한 개념, 플로우의 생성 방법에 대해서는 상기한 선행기술문헌에 개시된 기술적 사상 및 기재를 본 명세서의 레퍼런스로 포함하며, 본 명세서의 기재에 포함되는 것으로 취급할 수 있다.
패킷들의 속성 중 플로우를 생성하기 위한 일 예로 5-튜플(tuple)을 이용할 수 있다. 즉, 플로우 생성모듈(121)은 네트워크 상에서 패킷들을 입력으로 받아서 패킷들의 연속된 집합인 플로우를 생성하거나, 플로우를 형성하는 패킷들 중 일부를 추출할 수 있다. 플로우를 생성하거나 플로우 패킷을 검출하는 조건은 패킷들의 속성(예컨대, 5-Tuple(Source Address, Destination Address, Source Port, Destination Port, Protocol))를 비교하여 동일한 속성(예컨대, 5-튜플(tuple) 값)을 가지는 패킷이 존재하지 않으면 새로운 플로우를 생성하고, 만약에 동일한 값을 가지는 패킷이 존재하면 그 플로우의 플로우 정보를 업데이트할 수 있다.
패킷들의 연속된 집합이라 함은 반드시 물리적으로 연속된 패킷들을 의미하는 것이 아니라, 시간적으로 제한된 시간 내에 도달한 패킷의 속성이 동일한 패킷을 포함하는 의미로 사용될 수 있다.
상기 플로우 정보는 패킷의 5-튜플 정보를 포함하며, 플로우 사이즈(Flow Size), 지속기간(Duration) 즉, 플로우의 시작 시간(S.T) 및 종료 시간(E.T), 패킷 카운트(Packet Count, P.C), 평균 패킷 사이즈(Average Packet Size), 평균 레이트(Average Rate), 플래그(예컨대, 프로토콜을 위한 특별한 신호(SYN, FIN 등)) 및/또는 폴로우 사이즈 등을 포함할 수 있다. 상기 플로우 정보는 DB(140)로 출력되어 저장될 수 있다. 상기 플로우 생성모듈(121)은 상기 DB(140)에 소정의 플로우에 대한 플로우 정보 및 상기 플로우에 포함되는 패킷을 대응되도록 저장할 수 있다. 이러한 과정을 상기 플로우 생성모듈(121)이 플로우를 생성한다고 정의할 수 있다. 예컨대, 플로우 정보 및 플로우에 포함된 패킷이 물리적으로 연속되도록 저장될 수도 있고, 테이블, 링크 등과 같이 물리적으로는 분리되어 있더라도 용이하게 탐색될 수 있는 다양한 형태로 저장될 수 있다.
이렇게 저장된 패킷들 중 일부는 상기 세션 생성모듈(122)에 의해 생성되는 세션 정보에 기초하여 삭제될 수도 있다. 즉, 세션의 초기 N 개의 선행패킷을 제외하고는 삭제될 수도 있다. 따라서 구현 예에 따라서는 특정 플로우에 대해서는 플로우 정보만 저장되고, 상기 특정 플로우에 해당하는 패킷은 저장되지 않을 수도 있다.
상기 세션 생성모듈(122)은 상기 플로우 생성모듈(121)에 의해 복수의 플로우들이 저장장치(예컨대, 상기 DB(140))에 저장되면 즉, 복수의 플로우들이 생성되면, 상기 복수의 플로우들에 대한 정보에 기초하여 세션을 생성할 수 있다. 세션을 생성한다고 함은 생성된 복수의 플로우들 중에서 동일한 세션을 형성하는 플로우들을 추출하고, 추출된 플로우들에 대한 식별정보를 포함하는 세션 정보를 생성하여 상기 DB(140)에 저장하는 것을 의미할 수 있다. 또한 상기 세션 정보와 함께 상기 세션에 포함된 패킷들 중 선행 N 개의 선행패킷을 상기 세션 정보에 대응되도록 저장하는 과정을 포함하는 의미일 수도 있다. 선행패킷을 상기 세션 정보에 대응되도록 저장하는 과정은 이미 상기 플로우 생성모듈(121)에 의해 저장된 패킷들 중 상기 선행패킷을 제외하고 삭제하는 과정을 의미할 수도 있다. 또는 세션 정보 및 상기 선행패킷은 별도로 저장될 수도 있다. 이러한 경우에는 상기 선행패킷은 이중으로 저장될 수도 있다.
상기 세션 생성모듈(122)이 세션을 생성하는 개념은 도 3을 참조하여 설명하도록 한다.
도 3은 본 발명의 일 실시 예에 따른 네트워크 검사 시스템 제공방법을 위한 세션, 플로우, 및 패킷을 설명하기 위한 도면이다.
도 3을 참조하면, 소정의 장치들끼리 세션(S)이 형성되면, 상기 세션(S)은 적어도 하나의 플로우(F)로 구성될 수 있다. 또한, 상기 적어도 하나의 플로우는 각각 적어도 하나의 패킷(P)으로 구성될 수 있다.
본 발명의 기술적 사상에 의하면, 상기 시스템(100)은 소정의 네트워크상의 일 지점을 경유하는 패킷들을 수집할 수 있다. 이는 상기 패킷추출 모듈(160)에 의해 수행될 수 있다.
그리고 수집되는 패킷들의 패킷 속성(예컨대, 5튜플 등)에 기초하여 상기 시스템(100)은 플로우를 생성할 수 있다. 플로우의 생성방법에 대해서는 상술한 바와 같다. 이러한 플로우의 생성은 플로우 생성모듈(121)에 의해 수행될 수 있다. 각각의 플로우는 하나의 패킷만으로 구성될 수도 있고, 복수의 패킷들로 구성될 수도 있다. 또한 플로우별로 플로우 사이즈가 다를 수도 있다.
이처럼 플로우가 생성되면 상기 세션 생성모듈(122)은 세션을 생성할 수 있다. 그리고 상기 세션 생성모듈(122)은 생성되는 세션에 기초하여 복수의 패킷들 중 선택적으로 일부 또는 전부를 저장장치 또는 DB(140)에 저장할 수 있다.
이를 위해 상기 시스템(100)에는 적어도 하나의 패킷 저장모드를 제공할 수 있다.
본 발명의 기술적 사상에 따라 제공되는 상기 패킷 저장모드는 적어도 세션의 초기 N개의 패킷만을 저장하는 모드를 제공할 수 있다. 구현 예에 따라서는 미리 정해진 종류의 세션에 대해서만 상기 세션을 형성하는 패킷을 전부 또는 일부(예컨대, N개)만 저장하는 모드를 제공할 수도 있다. 구현 예에 따라서는 세션(모든 세션 또는 미리 정해진 종류의 세션)에 포함된 모든 패킷을 다 저장하는 모드를 제공할 수도 있다. 각각의 모드에 대해 상기 시스템(100)은 패킷들을 무작위로 저장하는 것이 아니라 상기 세션 생성모듈(122)에 의해 생성되는 세션정보에 따라 세션을 기준으로 하는 패킷저장 모드를 제공할 수 있다. 이러한 패킷저장 모드의 일 예들은 도 6을 참조하여 후술하도록 한다.
세션을 생성하기 위해 상기 세션 생성모듈(122)은 DB(140)에 저장된 플로우 정보를 확인할 수 있다. 동일한 세션에 포함되는 플로우들은 공통되는 특성을 가질 수 있다. 따라서 상기 세션 생성모듈(122)은 상기 DB(140)에 저장된 플로우들 중 상기 공통되는 특성을 가진 플로우들을 탐색할 수 있다. 또한 플로우 정보(예컨대, 플로우 정보에 포함되는 S.T, E.T 등의 정보)에 기초하여 각각의 플로우의 시간적 우선순위를 파악할 수 있다. 상기 세션 생성모듈(122)은 각각의 세션 형성 플로우의 플로우 정보에 포함되는 플래그 정보에 기초하여 해당 세션의 최선 플로우 및 최후 플로우를 파악할 수도 있다.
따라서 상기 세션 생성모듈(122)은 특정 세션에 포함되는 적어도 하나의 플로우 즉, 세션 형성 플로우를 추출할 수 있다. 상기 세션 형성 플로우는 하나의 플로우일 수도 있고, 복수의 플로우들을 포함할 수도 있다.
이처럼 본 발명의 기술적 사상에 따른 시스템(100)이 플로우만을 생성하는 것이 아니라, 생성한 플로우에 기초하여 세션을 생성하는 것은 세션의 초기 N(N은 자연수)개의 선행패킷에 의해 해당 세션의 중요한 특성들이 모두 파악될 수 있기 때문이다. 따라서 종래의 선행기술들이 수집되는 모든 패킷을 저장하고 검사(예컨대, DPI)하거나, 각각의 플로우별로 일정 개수의 선행패킷을 저장 및 검사하는 것에 비해 보다 적은 수의 패킷 검사만으로도 소정의 애플리케이션의 특성 또는 원하는 정보를 검사할 수 있다. 일반적으로 세션의 초기 5개 내외에 패킷을 검사하는 정도면 상기 세션에 포함되는 모든 패킷을 검사하는 것에 비해 검사의 품질에 큰 차이가 없음이 알려져 있다.
물론, 전술한 바와 같이 네트워크의 특성이나 보안의 강도에 따라 적어도 하나의 패킷 저장모드들이 제공되고, 상기 세션 생성모듈(122)은 적어도 하나의 패킷 저장모드 중에서 현재 설정된 설정모드에 상응하도록 패킷을 저장할 수 있다.
또한, 본 발명의 기술적 사상에 의하면 저장패킷에 대한 패킷검사 프로세스의 검사대상이 되는 패킷의 양을 줄일 수 있게 되는 효과가 있다. 따라서 스토리지에 대한 이득이 발생할 수 있는 효과가 있다.
또한, 본 발명의 기술적 사상과 같이 패킷으로부터 플로우를 생성하고, 생성된 플로우를 이용하여 세션까지 생성하는 경우에는 특정 서비스 이용자가 패킷을 서치할 때에도 고속의 패킷 서치가 가능한 효과가 있다. 즉, 상기 시스템(100)이 세션의 초기 N개의 선행패킷만을 저장하는 것이 아니라 수집되는 모든 패킷을 저장할 수도 있는데, 이러한 경우에는 세션을 생성함으로써 생성되는 세션정보를 가장 먼저 탐색하여 원하는 패킷에 상응하는 세션을 탐색하고, 탐색된 세션으로부터 원하는 패킷에 상응하는 플로우를 탐색한 후 탐색된 플로우에 기초하여 패킷을 검색함으로써 고속의 다운드릴 서치가 가능한 효과가 발생한다. 왜냐하면 플로우만을 생성하는 경우에는 최악의 경우에 플로우의 개수만큼 서치를 수행한 후에 패킷을 서치할 수 있지만, 세션이 형성된 경우에는 최악의 경우에 세션의 개수만큼만 서치를 수행한 후, 빠른 시간에 해당 패킷에 상응하는 플로우 및 패킷을 탐색할 수 있기 때문이다. 물론, 초기 N 개의 선행패킷만을 저장하는 경우에도 이러한 효과는 여전히 존재한다. 또한, 패킷을 서치하고자 하는 서비스 이용자는 세션에 대한 정보는 알고 있을 수 있지만, 플로우에 대한 정보는 알지 못하는 경우도 존재할 수 있다. 따라서 본 발명의 기술적 사상과 같이 세션을 생성하는 경우에는 네트워크 리코딩 서비스에서 효율적이고 고속의 패킷 서칭이 가능해지는 효과가 있다.
구현 예에 따라서 상기 시스템(100)에 포함된 세션 생성모듈(122)은 수집되는 패킷들 중 N개의 선행패킷보다는 많은 M개의 패킷 즉, 저장패킷들을 저장할 수도 있다. 이러한 경우에도 상기 시스템(100)은 상기 선행패킷에 대해서만 패킷 검사를 실시할 수 있다. 또한 M개의 저장패킷을 저장해둠으로써 패킷 검사뿐만 아니라 패킷 서치에도 원하는 패킷이 탐색될 가능성을 높여줄 수 있다. M은 서비스의 종류, 서비스 이용자의 요구에 따라 또는 상기 세션이 이용되는 애플리케이션의 종류에 따라 적응적으로 설정될 수 있다.
다시 도 1을 참조하면, 상기 세션 생성모듈(122)은 상기 플로우 생성모듈(121)이 생성한 복수의 플로우들에 기초하여 세션을 생성할 수 있다. 즉, 세션정보를 생성할 수 있다.
상기 세션 정보는 적어도 상기 세션에 포함되는 적어도 하나의 플로우 즉, 세션 형성 플로우들 각각의 인덱스(식별정보)를 포함할 수 있다. 또한, 상기 세션의 특성을 나타내는 다양한 정보들이 상기 세션 정보에 더 포함될 수 있다.
이러한 세션 정보의 생성을 통해 전술한 바와 같이 고속의 패킷 서칭이 가능할 수 있으며, 또한 세션의 생성을 통해 세션의 초기 N개의 선행패킷만을 특정할 수도 있다.
도 4를 참조하여 본 발명의 패킷들이 저장되는 개념적인 구조를 설명하면 다음과 같을 수 있다.
도 4는 본 발명의 일 실시 예에 따른 네트워크 검사 시스템 제공방법에 따른 패킷 서치를 수행하는 개념을 설명하기 위한 도면이다.
도 4를 참조하면, 상기 세션 생성모듈(122)은 전술한 바와 같이 소정의 세션을 생성할 수 있다. 세션의 생성을 통해 생성되는 세션 정보에는 도 4에 도시된 바와 같이 적어도 상기 세션에 포함되는 세션 형성 플로우의 식별정보가 포함될 수 있다.
또한, 상기 세션 정보에는 상기 세션의 5-튜플에 대한 정보, 시작시간(S.T) 및 종료시간(E.T), 패킷 카운트(P,C), 세션 사이즈(S.S)등에 대한 정보들이 더 포함될 수 있다.
상기 시스템(100)에 포함된 패킷 서치모듈(150)은 서비스 이용자의 단말기(미도시)로부터 수신되는 패킷 서치 요청에 응답하여, 상기 패킷 서치 요청에 상응하는 세션을 가장 먼저 탐색할 수 있다. 상기 패킷 서치 요청에는 상기 세션정보에 포함된 정보들이 적어도 하나 포함될 수 있음은 물론이다. 예컨대, 송신자 주소, 수신자 주소, 및 시간 정보 등이 상기 패킷 서치요청에 포함될 수 있다.
그러면 상기 패킷 서치모듈(150)은 상기 세션 정보에 포함된 세션 형성 플로우들 각각의 플로우 정보를 탐색하여 패킷 서치 요청에 상응하는 플로우를 탐색할 수 있다. 그리고 상기 패킷 서치 요청에 상응하는 플로우가 탐색되면, 상기 패킷 서치모듈(150)은 용이하게 상기 패킷 서치 요청에 상응하는 패킷을 상기 DB(140)로부터 탐색할 수 있다. 물론, 구현 예에 따라 상기 시스템(100)이 선행패킷만을 저장하는 경우에는 패킷 서치 요청에 상응하는 패킷은 존재하지 않을 수도 있다. 또한 모든 패킷들을 저장하는 경우에는 패킷 서치 요청에 상응하는 패킷은 탐색됨이 보장될 수도 있다.
결국, 본 발명의 기술적 사상은 패킷으로부터 플로우를 생성하고, 플로우로부터 세션을 생성한 후, 패킷을 서치할 때에는 세션, 플로우, 및 패킷 순으로 다운드릴 고속 서치가 가능해지는 효과가 있다.
이러한 고속 서치는 시간상의 보안 공백을 줄일 수 있는 효과가 있다. 즉 시간상의 보안 공백에 의해 공격을 당한 대상 네트워크 또는 대상 시스템에 대해 빨리 대응을 할 수 있도록 하는 것이 매우 중요한데, 이를 위해서는 시간상의 보안 공백에 의한 패킷서치가 빨리 이루어져야 하기 때문이다.
한편, 이처럼 서치가 이루어진 결과로 획득되는 패킷에 대해서, 상기 제어모듈(130)은 DPI(Deep packet Inspection) 등을 통해 패킷의 프로토콜 정보 및 관련 메타 데이터(URL, 또는 기타 패킷 속성(5-Tuple)에 포함된 정보) 등)를 추출할 수 있다.
그리고 이처럼 추출된 정보를 이용하여 제로데이 공격을 통해 이루어진 일련의 행위를 정형화된 데이터 모델로 정의할 수 있다. 이처럼 제로데이 공격에 의해 이루어진 일련의 행위(제로데이 공격에 사용된 패킷들에 의해 이루어진 행위들)를 미리 정해진 정형화된 데이터로 표현하는 경우, 이러한 데이터 모델을 소정의 딥러닝 모델로 학습하여 제로데이 공격에서 이루어진 행위들의 피쳐(fearutre) 또는 특징을 상기 딥러닝 모델이 학습하도록 할 수 있다.
그러면 추후에는 패킷 검사에 의해 네트워크 위협이 탐지될 뿐만 아니라, 특정 행위가 이루어진 경우에 이를 네트워크 위협에 의해 발생한 행위일 가능성이 높다고 판단할 수 있어서 네트워크 보안의 큰 향상이 이루어질 수 있다.
또한 전술한 바와 같이 본 발명의 기술적 사상에 의하면, 선행 N 패킷들이 저장되어 있어서 상대적으로 오랜 기간 동안의 패킷들이 저장되어 있을 수 있고, 새로운 신규 보안 룰(탐지규칙)이 업데이트 된 경우에는 이러한 신규 보안 룰을 이용하여 저장된 패킷들이 제로데이 공격에 사용되었는지 여부가 검사될 수 있다.
그리고 이러한 검사를 통해 제로데이 공격에 사용된 패킷들 및 이러한 패킷들에 의해 공격받은 네트워크(또는 네트워크 장비)에서 행해진 행위들이 파악될 수 있고 이를 딥러닝 모델이 학습하기 용이한 정형화된 데이터 모델로 표현(생성)하는 경우 자동으로 딥러닝 학습용 학습 데이터가 라벨링되어 생성되는 효과가 있다.
이처럼 딥러닝 모델을 통해 제로데이 공격의 행위패턴을 학습하고 이를 이용해 네트워크 보안에 이용하는 방식에 대해서는 구체적으로 후술하도록 한다.
다시 도 1을 참조하면, 상기 제어모듈(130)은 세션 생성모듈(122)에 의해 저장된 패킷들에 대해 패킷 검사를 수행할 수 있다. 일 예에 의하면 상기 세션 생성모듈(122)은 세션별로 선행패킷들만을 저장장치 또는 DB(140)에 저장할 수 있고, 이러한 경우 각각의 세션의 선행패킷들을 대상으로 패킷 검사를 수행할 수 있다. 패킷 검사를 수행하는 방식은 다양할 수 있으며, 예컨대 종래의 DPI(Deep Packet Inspection) 등이 이용될 수도 있다.
또한 데이터 생성모듈(170)은 패킷 검사를 통해 네트워크 위협(제로데이 공격 포함)으로 발생되는 일련의 행위들의 행위패턴을 정형화된 데이터 모델로 생성할 수 있다. 이를 위해 상기 제어모듈(130)은 패킷 검사를 통해 상기 정형화 데이터를 생성하기 위해 필요한 정보들, 예컨대, 소스 주소, 목적지 주소, 프로토콜 등을 패킷으로부터 추출하고, 이를 상기 데이터 생성모듈(170)로 전달할 수 있다.
일 례에 의하면 상기 제어모듈(130)은 제로데이 공격을 탐지할 수 있는 보안 룰이 업데이트 되면, 상기 보안 룰을 이용하여 제로데이 공격에 이용되는 패킷들을 패킷 검사를 통해 추출할 수 있다.
그러면 상기 데이터 생성모듈(170)은 상기 제로데이 공격을 받은 장치(또는 장치들)(예컨대, 공격당한 네트워크에 존재하는 호스트 등)의 행위들(예컨대, 정보의 전송, 삭제, 변경 등)을 검출하고, 검출된 행위들을 정형화된 데이터 모델 즉, 정형화 데이터로 생성할 수 있다.
물론, 제로데이 공격을 받은 장치들의 모든 행위가 상기 제로데이 공격에 의해 발생되는 것은 아닐 수 있으며, 정상적인 동작을 수행하는 경우가 존재할 수도 있다. 따라서 상기 데이터 생성모듈(170)은 공격을 받은 적어도 하나의 장치의 행위 및 상기 장치와 연결된 장치들의 일련의 행위에 대한 정형화 데이터를 생성할 수 있다. 그리고 이중에는 제로데이 공격으로 인한 행위와 정상적인 행위가 모두 포함될 수 있다.
상기 데이터 생성모듈(170)은 제로데이 공격을 받은 장치뿐만 아니라 다수의 장치들 및 이들의 통신을 통해 이루어지는 다수의 행위들을 정형화 데이터로 생성할 수 있고, 이 중에서 제로데이 공격을 받은 이후의 행위들에 대응되는 정형화 데이터를 제로데이 공격을 받았다고 라벨링할 수 있다.
그러면 상기 제어모듈(130)은 제로데이 공격을 받았다고 라벨링된 정형화 데이터와 그렇지 않은 정형화 데이터들을 학습하고, 이로부터 제로데이 공격을 받은 장치 또는 장치들의 특징적 행위패턴을 구분할 수 있는 행위패턴 판단모델을 생성할 수 있다.
이러한 행위패턴 판단모델은 다수의 라벨링된 정형화 데이터를 입력데이터로 입력받아 학습하여, 제로데이 공격을 받은 장치들만의 특징적인 행위패턴들을 판단할 수 있도록 학습된 딥러닝 모델일 수 있다.
이러한 딥러닝 모델은 과거로부터 연속된 데이터를 학습할 수 있는 RNN, LSTM 등의 모델이 이용될 수 있으며, 이러한 딥러닝 모델의 입력 데이터로는 상기 정형화 데이터(예컨대, 지향성 그래프)가 이용될 수 있다.
상기 제어모듈(130)이 생성한 행위패턴 판단모델은 상기 데이터 생성모듈(170)이 생성하는 학습 데이터를 이용하여 학습이 된 후에는, 소정의 패킷을 수신한 장치로 인해 소정의 행위패턴이 발생한 경우 발생한 행위패턴이 제로데이 공격의 특징을 갖는 행위패턴인지 그렇지 않은지를 판단할 수 있다.
이를 위해 상기 데이터 생성모듈(170)은 실시간으로 네트워크를 통과하는 패킷들로 인해 발생하는 행위패턴들에 상응하는 정형화 데이터를 생성하고, 생성한 정형화 데이터를 상기 행위패턴 판단모델로 입력할 수 있다. 그러면 상기 행위패턴 판단모델은 입력된 정형화 데이터가 제로데이 공격에 상응하는 행위패턴인지 아닌지를 판단할 수 있다.
결국 본 발명의 기술적 사상에 의하면, 제로데이 공격에 해당하는 보안 룰이 알려져서 보안장비에 업데이트된 후에는 패킷 검사를 통해 제로데이 공격에 상응하는 악성 코드가 존재하는지를 검사하는 보안대책을 적용하는 것과 더불어, 제로데이 공격에 상응하는 독특한 행위패턴들을 별도로 검사할 수 있는 효과가 있다.
이는 통상 특정 악성코드가 알려지더라도 상기 특정 악성코드가 수행하는 악의적인 공격행위가 모두 알려지지 않을 수 있으며, 또한 새로운 형태의 제2제로데이 공격, 제3제로데이 공격 등이 발생할 수 있는데 이때에는 해당하는 악성코드에 해당하는 보안 룰이 개발되기 전까지는 아무런 대책이 없을 수도 있다.
하지만 본 발명의 기술적 사상에 따라 다수의 악성코드의 행위패턴들이 학습되면, 아직 검사 룰 즉, 탐지규칙이 밝혀지지 않은 새로운 제로데이 공격이 발생할 경우 패킷검사 자체로는 공격을 방어할 수 없지만 행위패턴에 기반하여 종래의 다른 악의적 공격과 유사한 행위패턴이 발생했는지를 알 수 있으므로 매우 보안성이 강화되는 효과가 있다.
한편, 상기 제어모듈(130)의 패킷 검사결과는 상기 DB(140)에 저장될 수 있음은 물론이다. 또한 제어모듈(130)에 의해 상기 선행패킷만 패킷 검사가 수행될 수 있으므로, 세션이 종료되기 전에 상기 세션에 대한 패킷 검사가 실시간으로 완료될 수도 있다.
또한, 전술한 바와 같이 본 발명의 기술적 사상에 의하면 세션별 미리 설정된 개수의 선행패킷들만을 저장하는 경우, 현재의 네트워크 패킷들을 실시간으로 검사할 수 있는 것뿐만 아니라, 고속으로 과거의 패킷들(즉, 기저장된 선행패킷들)을 검사할 수 있다. 즉, 과거에 대해서도 소급적으로 네트워크 검사가 가능한 효과가 있으며, 이러한 경우에는 이미 네트워크 공격을 받은 경우라도 적어도 네트워크 공격을 받았다는 사실을 고속으로 확인하고 공격받은 시스템(예컨대, 패킷들의 목적지)에 통보할 수도 있는 효과가 있다.
한편, 본 발명의 기술적 사상에 의하면, 전술한 바와 같이 상기 시스템(100)은 네트워크 리코딩 서비스에 이용될 수도 있다. 네트워크 리코딩을 위해서는 종래에는 수집되는 모든 패킷들을 저장해야 했지만, 본 발명의 기술적 사상에 의하면 세션을 형성함으로써 세션의 초기 N 개의 선행패킷만을 저장함으로써 저장 패킷의 양을 확연히 줄이면서도 중요한 정보들은 저장할 수 있게 된다. 물론, 서비스의 필요에 따라 M개의 저장패킷을 저장할 수도 있다. 이러한 경우에도 전체 패킷을 수집/저장하는 것에 비해 스토리지의 절약효과는 존재한다.
또한 본 발명의 기술적 사상에 의하면, 상기 시스템(100)은 미리 정해진 종류의 세션에 해당하는 패킷들만 저장할 수도 있다. 예컨대, 상기 시스템(100)은 HTTP, TCP 세션 등 미리 정해진 세션에 대해서만 네트워크 레코딩을 수행할 수 있다.
이처럼 미리 정해진 세션에 대해서만 네트워크 레코딩을 수행하는 기능은 상기 플로우 생성모듈(121)에 의해 수행될 수도 있고, 상기 세션 생성모듈(122)에 의해 생성될 수도 있다. 예컨대, 상기 플로우 생성모듈(121)은 패킷추출 모듈(160)에 의해 수집되는 패킷들 중 미리 정해진 세션에 해당하는 패킷들만을 대상으로 플로우를 생성할 수 있다. 또는 상기 플로우 생성모듈(121)은 모든 패킷들을 대상으로 플로우를 생성한 후, 상기 세션 생성모듈(122)이 생성된 플로우 중 미리 정해진 세션에 해당하지 않는 플로우는 상기 DB(140)로부터 삭제할 수도 있다.
상기 미리 정해진 세션에 해당하는지 여부는 패킷들의 포트정보에 기초하여 파악할 수 있다. 즉, 세션의 종류에 따라 포트번호가 바인딩(binding)될 수 있고, 이러한 포트번호에 기초하여 미리 정해진 세션에 해당하는 패킷 또는 플로우인지가 판단될 수 있다.
구현 예에 따라서는, 상기 패킷추출 모듈(160)이 미리 정해진 세션에 해당하는 패킷만을 상기 플로우 생성모듈(121)로 전송할 수도 있다.
어떠한 경우든 상기 시스템(100)은 미리 정해진 세션에 대해서만 네트워크 레코딩을 수행할 수도 있다.
결국, 본 발명의 기술적 사상에 의하면 종래의 네트워크 레코딩에 비해 저장되는 패킷의 절대적인 양이 줄어들 수 있고, 또한 원하는 세션에 대해서만 네트워크 레코딩이 수행될 수도 있다.
이를 개념적으로 도시하면 도 5와 같을 수 있다.
도 5는 본 발명의 일 실시 예에 따른 네트워크 검사 시스템 제공방법에 따른 효과를 설명하기 위한 도면이다.
도 5를 참조하면, 직사각형의 가로축은 세션 사이즈를 개념적으로 나타내고 세로축은 세션들을 개념적으로 나타낸다. 따라서 도 5에 도시된 사각형(10)은 수집되는 패킷들을 모두 저장하는 경우의 저장되는 패킷 양을 의미할 수 있다.
본 발명의 기술적 사상에 따른 시스템(100)은 특정 세션에 포함되는 패킷들 전부를 저장하는 것이 아니라, N 개의 선행패킷만(또는 M개의 저장패킷)을 저장할 수 있으므로 각 세션별로 저장되는 패킷의 양이 줄어들 수 있는 효과가 있다.
또한, 본 발명의 기술적 사상에 따른 시스템(100)은 모든 세션들에 대해 패킷을 저장하는 것이 아니라, 미리 정해진 종류의 세션만을 저장할 수 있으므로 미리 정해진 종류에 해당하지 않는 세션들(D에 해당)에 대해서는 아예 패킷 저장이 이루어지지 않을 수 있는 효과가 있다.
이처럼 본 발명의 기술적 사상에 의하면 저장하는 패킷의 절대적인 양을 줄이면서도 패킷 검사에 유의미한 패킷들만 선택적으로 저장함으로 고속의 패킷 서치가 가능해지는 효과가 있다. 이와 동시에 전술한 바와 같이 세션 정보, 플로우 정보 순으로의 드릴다운 서치를 통해 고속의 패킷 서치가 가능해지는 효과가 있다.
도 6은 본 발명의 일 실시 예에 따른 네트워크 검사 시스템 제공방법을 통한 복수의 패킷저장 모드를 설명하기 위한 도면이다.
도 6을 참조하면, 직사각형의 가로축은 세션 사이즈를 개념적으로 나타내고 세로축은 세션들을 개념적으로 나타낸다. 따라서 도 6에 도시된 사각형(10)은 수집되는 패킷들을 모두 저장하는 경우의 저장되는 패킷 양을 의미할 수 있으며, 빗금친 영역(20)은 실제로 상기 세션 생성모듈(122)에 의해 저장된 패킷의 양을 나타낼 수 있다.
우선 도 6a는 패킷들을 저장하지 않는 경우를 나타내며, 이러한 경우에는 본 발명의 기술적 사상에 따라 실시간으로 패킷을 검사하는 경우를 나타낼 수 있다. 이때에는 종래의 DPI와 같은 기능을 수행할 수 있다. 하지만 이때에도 본 발명의 기술적 사상에 의하면 세션을 생성하고 생성된 세션의 선행패킷들만을 고속으로 검사할 수 있는 효과가 있다.
도 6b는 미리 정해진 종류의 세션에 대해서만 상기 세션의 모든 패킷을 검사하는 경우를 개념적으로 도시하고 있다. 도 6c는 모든 세션에 대해서 초기 N개의 선행패킷들을 저장하는 경우를 개념적으로 도시하고 있다.
도 6d는 미리 정해진 종류에 세션에 대해서 초기 N개의 선행패킷들을 저장하는 경우를 개념적으로 도시하고 있다. 또한, 도 6e는 모든 세션에 대해 모든 패킷들을 저장하는 경우를 개념적으로 도시하고 있다.
이와 같이 상기 시스템(100)은 도 6에 도시된 바와 같은 적어도 하나의 패킷저장 모드를 제공하며, 이 중에서 현재의 네트워크에 대해 설정된 설정모드에 따라 상기 시스템(100)은 적응적으로 패킷을 저장할 수 있다. 설정모드는 네트워크의 특성 또는 요구되는 보안성의 강도에 따라 적응적으로 선택될 수 있음은 물론이다.
도 7은 본 발명의 일 실시 예에 따라 과거의 네트워크 공격을 효과적으로 검사할 수 있는 개념을 설명하기 위한 도면이다.
즉, 시간상의 보안 공백을 줄일 수 있는 개념을 설명하기 위한 도면이다. 우선 도 7a는 종래의 네트워크 보안 시스템(예컨대, DPI)의 동작 개념을 예시적으로 나타내고 있다. 예컨대, 소정의 시점(t1)에서 신규 네트워크 위협이 발생할 수 있다. 이러한 신규 네트워크 위협에 상응하는 네트워크 검사 룰(예컨대, 신규 위협을 나타내는 패킷 시그너쳐 등)은 일정 시간이 지난 후(t2)에 설정될 수 있으며, 이러한 경우 종래의 네트워크 보안 시스템은 상기 시점(t2) 이후에만 상기 신규 네트워크 위협에 대응할 수 있게 된다. 즉, 시점(t1) 및 시점(t2) 사이에 실제로 네트워크 공격이 있었다고 하더라도 이를 인지할 수 없는 문제점이 있다.
물론 종래에도 네트워크 검사 시스템(예컨대, DPI) 및 네트워크 레코딩 시스템을 모두 사용하는 경우에는 시점(t1) 및 시점(t2) 사이에 네트워크 공격을 인지할 수도 있다. 하지만 이러한 경우에도 종래의 네트워크 레코딩은 본 발명의 기술적 사상에 비해 많은 수의 패킷들이 저장되어야 했고 이에 따라 고속으로 과거의 네트워크 공격을 인지하거나 이에 따른 대응을 할 수 없는 문제점이 있었다.
이에 비해 도 7b에 도시된 바와 같은 본 발명의 기술적 사상에 따른 네트워크 검사 방법에 의하면 시점(t1) 및 시점(t2) 사이에 네트워크 레코딩이 수행되면서도 적은 수의 패킷들의 저장만으로도 네트워크 레코딩이 수행될 수 있는 효과가 있다. 이를 통해 고속으로 과거의 네트워크에 대해서 소급적인 네트워크 검사가 수행될 수 있고, 이를 통해 공격된 대상에 대한 빠른 조치가 가능해질 수 있는 효과가 있다. 물론, 시점(t2) 이후에는 실시간으로 고속의 네트워크 검사가 가능할 수 있음은 물론이다.
도 8은 본 발명의 일 실시 예에 따른 시스템의 개략적인 물리적 구성을 나타내는 도면이다.
도 8을 참조하면, 상기 시스템(100)은 도 1에 도시된 바와 같은 기능별 논리적 구성을 포함하고 있으며, 물리적으로는 도 8에 도시된 바와 같은 구성을 포함할 수 있다.
상기 시스템(100)은 본 발명의 기술적 사상을 구현하기 위한 프로그램이 저장되는 메모리(저장장치)(120-1), 및 상기 메모리(120-1)에 저장된 프로그램을 실행하기 위한 프로세서(110-1)가 구비될 수 있다.
상기 프로세서(110-1)는 상기 시스템(100)의 구현 예에 따라, CPU, 모바일 프로세서 등 다양한 명칭으로 명명될 수 있음을 본 발명의 기술분야의 평균적 전문가는 용이하게 추론할 수 있을 것이다. 또한, 도 1에서 설명한 바와 같이 상기 시스템(100)은 복수의 물리적 장치들이 유기적으로 결합되어 구현될 수도 있으며, 이러한 경우 상기 프로세서(110-1)는 물리적 장치별로 적어도 한 개 구비되어 본 발명의 시스템(100)을 구현할 수 있음을 본 발명의 기술분야의 평균적 전문가는 용이하게 추론할 수 있을 것이다.
상기 메모리(120-1)는 상기 프로그램이 저장되며, 상기 프로그램을 구동시키기 위해 상기 프로세서가 접근할 수 있는 어떠한 형태의 저장장치로 구현되어도 무방하다. 또한 하드웨어적 구현 예에 따라 상기 메모리(120-1)는 어느 하나의 저장장치가 아니라 복수의 저장장치로 구현될 수도 있다. 또한 상기 메모리(120-1)는 주기억장치 뿐만 아니라, 임시기억장치를 포함할 수도 있다. 또한 휘발성 메모리 또는 비휘발성 메모리로 구현될 수도 있으며, 상기 프로그램이 저장되고 상기 프로세서에 의해 구동될 수 있도록 구현되는 모든 형태의 정보저장 수단을 포함하는 의미로 정의될 수 있다.
상기 시스템(100)은 실시 예에 따라 보안장비를 직간접적으로 운용하거나 또는 보안 서비스를 제공하는 주체가 실시하는 시스템일 수 있고, 웹 서버, 컴퓨터, 또는 본 발명에 정의되는 기능을 위해 독자적으로 구현되는 보안장비 등 다양한 방식으로 구현될 수 있으며, 본 명세서에서 정의되는 기능을 수행할 수 있는 어떠한 형태의 데이터 프로세싱 장치도 포함하는 의미로 정의될 수 있다.
또한 상기 시스템(100)의 실시 예에 따라 다양한 주변장치들(주변장치 1(130) 내지 주변장치 N(130-1))이 더 구비될 수 있다. 예컨대, 키보드, 모니터, 그래픽 카드, 통신장치 등이 주변장치로써 상기 시스템(100)에 더 포함될 수 있음을 본 발명의 기술분야의 평균적 전문가는 용이하게 추론할 수 있을 것이다.
이하 본 명세서에서 상기 시스템(100) 또는 상기 시스템(100)에 포함된 소정의 모듈이 어떤 동작 또는 기능을 수행한다고 함은, 상기 프로세서(110-1)에 의해 구동되는 상기 프로그램에 의해 상기 동작 또는 기능이 수행되는 것을 의미함을 본 발명의 기술분야의 평균적 전문가는 용이하게 추론할 수 있을 것이다.
전술한 바와 같이 상기 시스템(100)은 본 발명의 기술적 사상에 따른 보안 방법 즉, 회귀보안검사를 이용한 이상행위 학습 및 탐지 방법을 구현하기 위해 우선 네트워크를 통과하는 복수의 패킷들 중 적어도 일부를 선택적으로 저장하는 패킷 저장 프로세스를 수행할 수 있다.
그리고 이때 패킷 저장 프로세스는 패킷 저장모듈(120)에 의해 수행될 수 있으며, 전술한 바와 같이 세션을 형성하는 세션형성 패킷들 중 상기 세션의 초기 N(N은 자연수)개의 선행 패킷을 선택적으로 저장하는 프로세스일 수 있다.
그러면 상기 제어모듈(130)은 상기 패킷 저장 프로세스를 통해 저장된 저장 패킷들을 검사하여 상기 네트워크에 적용될 신규 보안 룰에 해당하는 제로데이 침투가 있었는지 여부를 판단하는 제로데이 침투(공격)를 판단할 수 있다. 그리고 제로데이 침투에 이용된 패킷 또는 패킷들을 추출할 수 있다. 이러한 제로데이 침투 여부의 판단 및 이에 이용된 패킷의 추출은 새로운 보안 룰이 업데이트될 때마다 이루어질 수도 있다.
그러면 상기 제어모듈(130)은 검출된 패킷들을 검사하여 정형화 데이터를 생성하기 위한 필요정보를 추출할 수 있다.
예컨대, 상기 제어모듈(130)은 제로데이 공격에 이용된 패킷에 대해 DPI(Deep Packet Inspection)을 수행하여 프로토콜, 및 프로토콜의 메타 데이터(예컨대, 소스 주소, 데스티네이션 주소 등)을 추출할 수 있으며, 상기 필요정보에 포함될 수 있다. 상기 필요정보는 공격을 했거나 받은 장치 및/또는 상기 장치와 통신을 수행한 타장치들의 연속적인 행위들 즉, 행위패턴을 정의 또는 표현할 수 있는 정보일 수 있으며, 상기 프로토콜, 상기 메타 데이터 이외에도 행위패턴을 정의할 수 있는 다양한 정보들이 상기 필요정보에 포함될 수 있음은 물론이다.
추출된 필요정보들은 상기 데이터 생성모듈(170)로 전달될 수 있으며, 상기 데이터 생성모듈(170)은 전달받은 필요정보에 기초하여 정형화 데이터를 생성할 수 있다.
이러한 정형화 데이터는 연속된 일련의 행위를 정의할 수 있으며, 상기 데이터 생성모듈(170)은 제로데이 공격을 받은 경우의 행위패턴과 그렇지 않은 경우(예컨대, 공격을 받지 않은 정상적인 경우 및/또는 다른 공격을 받은 경우 등)의 행위패턴을 포함하여 다수의 정형화 데이터를 학습 데이터로 생성할 수 있다.
상기 데이터 생성모듈(170)은 네트워크에 포함된 정상적인 패킷, 타 공격에 해당하는 악성코드를 가진 패킷, 및 상기 제로데이 공격에 해당하는 패킷 등 다양한 패킷들에 기반한 여러 장치들의 일련의 행위들을 정형화 데이터로 생성하고, 생성한 정형화 데이터는 상기 제어모듈(130)에 의해 생성되는 행위패턴 판단모델의 학습 데이터로 이용될 수 있다.
상기 데이터 생성모듈(170)은 상기 제어모듈(130)에 의해 수행되는 패킷 검사결과, 저장된 패킷들 중 제로데이 공격에 해당하는 악성코드를 가진 패킷에 기반한 행위패턴을 자동으로 제로데이 공격을 받은 행위패턴으로 라벨링할 수 있으며, 이를 통해 학습 데이터의 자동화된 라벨링이 가능한 효과가 있다.
상기 제어모듈(130)은 다수의 행위패턴들 각각에 상응하는 정형화 데이터 및 각각의 정형화 데이터에 라벨링된 라벨링 정보(예컨대, 정상 행위패턴, 제로데이 공격을 받은 경우의 행위패턴, 타 공격을 받은 경우의 행위패턴 등)를 학습데이터로 하여 행위패턴 판단모델을 학습시킬 수 있다.
그러면 학습된 행위패턴 판단모델은 소정의 정형화 데이터가 입력되면, 이러한 정형화 데이터(즉 행위패턴)이 상기 제로데이 공격의 특징을 가지는지를 판단할 수 있다.
이를 위해서는 상기 정형화 데이터는 일련의 연속된 행위들을 잘 정의하면서도 상기 행위패턴 판단모델 즉, 딥러닝 모델이 잘 학습하고 추론할 수 있는 형태로 정의되는 것이 바람직할 수 있다.
본 발명의 기술적 사상에 의하면, 상기 정형화 데이터는 지향성 그래프로 정의될 수 있으며, 상기 행위패턴 판단모델은 RNN(Recurrent Neural Network) 또는 LSTM(Lomg Short-Term Memory)으로 구현되는 경우를 일 예로 설명하지만 본 발명의 권리범위가 이에 국한되지는 않는다.
본 발명의 일 예에 따른 정형화 데이터의 일 예는 도 9에 도시된다.
도 9은 본 발명의 일 실시 예에 따라 공격행위를 정의하기 위한 정형화 데이터 모델의 개념을 나타내는 도면이다.
도 9를 참조하면, 본 발명의 기술적 사상에 따른 정형화 데이터는 지향성 그래프로 구현될 수 있다.
그리고 상기 지향성 그래프에서 제로데이 침투로 발생한 침투행위들에 이용된 적어도 하나의 호스트들 각각은 노드가 될 수 있다. 예컨대, 제로데이 공격에 해당하는 악성코드를 수신한 호스트가 노드가 되고, 이러한 호스트와 통신한 타 호스트가 다른 노드로 설정될 수 있다.
그리고 각각의 노드에서 다른 노드로 일어난 통신행위를 에지로 설정할 수 있다.
그리고 상기 지향성 그래프에 포함된 각각의 노드는, 각각의 노드에 상응하는 호스트에서 특정행위를 수행한 시점에 대한 정보 및 IP(각 노드에 해당하는 호스트의 IP, 예컨대, IP1, IP2, IP3, IP4, IP5))에 대한 정보를 포함할 수 있다. 도 9에서는 T1, T2, T3, T4, T5는 각 호스트에서 발생한 행위의 시점과는 별개로 행위가 일어난 순서를 순차적으로 나타내고 있다.
또한, 상기 지향성 그래프에 포함된 에지는 각각의 에지에 해당하는 통신행위에 상응하는 프로토콜(예컨대, Protocol 1, Protocol 2, Protocol 3, Protocol 5) 및/또는 수행행위(예컨대, Behavior 1, Behavior 2, Behavior 3, Behavior 5)에 대한 정보를 포함할 수 있다.
예컨대, 도 9에서는 하나의 행위패턴이 정의되는 정형화 데이터의 일 예를 나타내고 있으며, 상기 지향성 그래프에는 5개의 노드들(N1, N2, N3, N4, N5)가 포함될 수 있다.
예컨대, 제1노드(N1)는 IP1을 가지며 제로데이 공격에 해당하는 악성코드가 포함된 패킷을 수신한 호스트 또는 보호되는 네트워크의 외부에 존재하며 상기 악성코드를 내부 호스트로 전송한 호스트일 수 있고, 상기 제1노드(N1)와 소정의 시점에 통신한 소정의 호스트가 제2노드(N2)가 될 수 있다. 그 후 상기 제2노드(N2) 소정의 시점에 통신한 소정의 호스트가 제3노드(N3)가 될 수 있으며, 그 후 상기 제3노드(N3)와 소정의 시점에 통신한 호스트들이 각각 제4노드(N4) 및 제5노드(N5)가 될 수 있다.
여기서 T4에 해당하는 제4노드(N4)와의 통신이 T5에 해당하는 제5노드(N5)와의 통신보다 먼저 수행된 것일 수 있다.
그리고 제1에지(E1)는 제1노드(N1)와 제2노드(N2)가 제1프로토콜(Protocol 1)을 통해 통신하였고, 그 통신을 통한 행위는 Behavior 1이라는 행위임을 나타내는 정보를 포함할 수 있다.
마찬가지로 제2에지(E1)는 제2노드(N2)와 제3노드(N3)가 제2프로토콜(Protocol 2)을 통해 통신하였고, 그 통신을 통한 행위는 Behavior 2이라는 행위임을 나타내는 정보를 포함할 수 있다. 또한, 제3에지(E1)는 제3노드(N3)와 제4노드(N4)가 제3프로토콜(Protocol 3)을 통해 통신하였고, 그 통신을 통한 행위는 Behavior 3이라는 행위임을 나타내는 정보를 포함하며, 제4에지(E4)는 제3노드(N3)와 제5노드(N5)가 제5프로토콜(Protocol 5)을 통해 통신하였고, 그 통신을 통한 행위는 Behavior 5이라는 행위임을 나타내는 정보를 포함할 수 있다.
이처럼 제로데이 공격을 직접받은 호스트로부터 시작되는 일련의 행위들 즉, 행위패턴을 정의하는 정보가 지향성 그래프로 정의될 수 있고, 이러한 지향성 그래프가 정형화 데이터의 일 예가 될 수 있다.
보다 구체적인 사례를 통해 정형화 데이터를 생성하는 일 예는 도 10에 도시된다.
도 10은 본 발명의 일 실시 예에 따른 제로데이 공격행위의 정형화 데이터의 일 실시 예를 나타내는 도면이다.
도 10을 참조하면, 도 10은 상기 시스템(100)에 악성 코드 γ의 탐지규칙이 새로 업데이트되었고, 이에 따라 상기 시스템(100)이 저장된 패킷들에 대한 패킷검사를 실시하여 외부 IP α에서 내부 IP β로 악성 코드 γ의 제로데이 침투가 발견된 경우의 일 예에서 발생한 행위패턴을 정의하는 정형화 데이터일 수 있다.
상기 시스템(100)은 제로데이 침투를 당한 내부 IP β로부터 내부 데이터베이스(IP δ)의 ID 및 Password 탈취 시도 이벤트 발생했음을 검출하였고, 또한 내부 IP β로부터 외부 Blacklist IP ε로의 주기적인 데이터 전달이라는 행위가 발생하고 있음을 검출하였다.
그러면 외부 IP α, 내부 IP β, 내부 IP δ, 내부 IP β, 외부 Blacklist IP ε 각각에 해당하는 호스트가 정형화 데이터에 포함되는 노드들(N10, N11, N12, N13, N14)가 될 수 있다.
그리고 노드 N11과 N13에서 알 수 있듯이 동일한 호스트라도 타임스탬프 즉, 행위의 시점이 다른 경우에는 다른 노드로 표현될 수 있음을 알 수 있다.
또한 에지(E10)는 노드(N10)와 노드(N11)가 프로토콜(HTTP)을 통해 통신하였고, 그 통신을 통해 악성코드(malware)를 전송하였음을 나타내는 정보를 포함할 수 있다. 에지(E11)는 노드(N11)와 노드(N12)가 프로토콜(HTTP)을 통해 통신하였고, 그 통신을 통해 여러번의 로그인 시도 및 실패(Multiple Login Failure)가 이루어졌음을 나타내는 정보를 포함할 수 있다.
에지(E12)는 노드(N12)와 노드(N13)가 프로토콜(미상)을 통해 통신하였고, 그 통신을 통해 소정의 정보들의 전송(Data Transfer)가 이루어졌음을 나타내는 정보를 포함할 수 있다.
에지(E13)는 노드(N13)와 노드(N14)가 프로토콜(미상)을 통해 통신하였고, 그 통신을 통해 주기적인 정보들의 전송(Periodic Data Transfer)가 이루어졌음을 나타내는 정보를 포함할 수 있다.
이와 같은 방식으로 악성코드가 감지되면 이로부터 일어나는 일련의 행위패턴들이 정형화 데이터로 생성될 수 있다.
또한 정형화 데이터를 생성할 때 각각의 에지에 포함되는 Behavior는 미리 복수개의 정해진 행위유형들이 정의되어 있을 수 있으며, 노드간의 통신을 통해 수행된 각 행위들이 미리 정해진 행위유형들 중 하나로 설정되어 행위들 각각에 대한 표준화가 이루어질 수도 있다. 이러한 각각의 행위들은 DPI를 통해 검출되는 프로토콜 및 메타정보로부터 특정되거나, 각각의 호스트의 로그 기록에 의해 특정되는 등 다양한 방식으로 특정될 수 있음은 물론이다.
이처럼 소정의 패킷에 기초하여 발생하는 행위패턴이 상기 데이터 생성모듈(170)에 의해 정형화 데이터로 생성되고, 생성된 정형화 데이터 각각에 대해 라벨링 정보(제로데이 공격, 정상 등)가 라벨링 되어 학습 데이터가 구축되면, 전술한 바와 같이 상기 제어모듈(130)은 학습 데이터를 입력시켜 소정의 정형화 데이터가 제로데이 공격에 상응하는 행위패턴인지 여부를 판단하도록 학습시킴으로써 행위패턴 판단모델을 생성할 수 있다.
그리고 학습된 행위패턴 판단모델이 구축되면, 이후에는 상기 데이터 생성모듈(170)에 의해 네트워크를 통과하려 하는 소정의 패킷(예컨대, 세션별 초기 패킷 등)에 대해 실시간 정형화 데이터가 생성될 경우, 생성한 실시간 정형화 데이터에 대해 상기 행위패턴 판단모델을 이용하여 상기 제로데이 공격에 상응하는 행위패턴인지를 판단할 수 있다.
상기 행위패턴 판단모델은 전술한 바와 같이 RNN 또는 LSTM 등의 공지된 딥러닝 모델이 이용될 수 있으며 이러한 딥러닝 모델의 구조 및 학습방식 등은 널리 공지되어 있으므로 상세한 설명은 생략하도록 한다. 어떠한 경우든 상기 행위패턴 판단모델은 제로데이 공격에 의해 발생하는 행위패턴이 가지는 특징적인 피쳐를 정의하고 이를 이용해 소정의 행위패턴이 상기 제로데이 공격에 의한 행위패턴인지 여부를 판단할 수 있다.
결국, 본 발명의 기술적 사상에 의하면, 본 발명의 기술적 사상에 따른 시스템(100)은 제로데이 공격이 있었는지 여부를 확인하는 것뿐만 아니라, 이러한 제로데이 공격에 의해 발생하는 특징적인 행위패턴을 학습을 통해 판별할 수 있도록 함으로써, 추후에는 패킷검사를 통한 공격의 방어뿐만 아니라 보호되는 네트워크 내부에서 이루어지는 행위패턴에 기반하여 공격으로 의심되는 위협을 파악할 수 있는 효과가 있다.
본 발명의 실시예에 따른 네트워크 보안 방법은 컴퓨터가 읽을 수 있는 프로그램 명령 형태로 구현되어 컴퓨터로 읽을 수 있는 기록 매체에 저장될 수 있으며, 본 발명의 실시예에 따른 제어 프로그램 및 대상 프로그램도 컴퓨터로 판독 가능한 기록 매체에 저장될 수 있다. 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다.
기록 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 소프트웨어 분야 당업자에게 공지되어 사용 가능한 것일 수도 있다.
컴퓨터로 읽을 수 있는 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 전자적으로 정보를 처리하는 장치, 예를 들어, 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시 예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타나며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

Claims (12)

  1. 회귀보안검사를 이용한 이상행위 학습 및 탐지 방법에 있어서,
    시스템이 네트워크를 통과하는 복수의 패킷들 중 적어도 일부를 선택적으로 저장하는 패킷 저장 프로세스를 수행하는 단계;
    상기 시스템이 상기 패킷 저장 프로세스를 통해 저장된 저장 패킷들을 검사하여 상기 네트워크에 적용될 신규 보안 룰에 해당하는 제로데이 침투가 있었는지 여부를 판단하는 제로데이 침투 판단 단계; 및
    상기 시스템이 상기 제로데이 침투로 발생한 침투행위들을 정형화 데이터로 생성하는 단계를 포함하며,
    생성한 정형화 데이터에 기초하여 상기 제로데이 침투에 상응하는 행위패턴을 판별할 수 있는 행위패턴 판단모델이 학습되는 것을 특징으로 하는 회귀보안검사를 이용한 이상행위 학습 및 탐지 방법.
  2. 제1항에 있어서, 상기 시스템이 네트워크를 통과하는 복수의 패킷들 중 적어도 일부를 선택적으로 저장하는 패킷 저장 프로세스를 수행하는 단계는,
    상기 시스템이 상기 복수의 패킷들로부터 세션을 형성하는 세션형성 패킷들 중 상기 세션의 초기 N(N은 자연수)개의 선행 패킷만을 저장하는 상기 패킷 저장 프로세스를 수행하는 단계를 포함하는 회귀보안검사를 이용한 이상행위 학습 및 탐지 방법.
  3. 제1항에 있어서, 상기 시스템이 상기 제로데이 침투로 발생한 침투행위들을 정형화 데이터로 생성하는 단계는,
    상기 시스템이 상기 제로데이 침투로 발생한 침투행위들에 이용된 적어도 하나의 호스트를 노드로 설정하고, 각각의 노드에서 다른 노드로 일어난 통신행위를 에지로 설정한 지향성 그래프로 상기 정형화 데이터를 생성하는 단계를 포함하는 회귀보안검사를 이용한 이상행위 학습 및 탐지 방법.
  4. 제3항에 있어서, 상기 지향성 그래프에 포함된 노드는,
    각각의 노드에 상응하는 적어도 하나의 호스트가 특정행위를 수행한 시점 및 IP에 대한 정보를 포함하는 회귀보안검사를 이용한 이상행위 학습 및 탐지 방법.
  5. 제3항에 있어서, 상기 지향성 그래프에 포함된 에지는,
    각각의 에지에 해당하는 통신행위에 상응하는 프로토콜 또는 수행행위에 대한 정보를 포함하는 회귀보안검사를 이용한 이상행위 학습 및 탐지 방법.

  6. 제1항에 있어서, 상기 행위패턴 판단모델은,
    상기 정형화 데이터를 포함하는 학습 데이터를 RNN 또는 LSTM을 이용하여 학습하여 구축되는 회귀보안검사를 이용한 이상행위 학습 및 탐지 방법.
  7. 제1항에 있어서, 상기 회귀보안검사를 이용한 이상행위 학습 및 탐지 방법은,
    상기 행위패턴 판단모델의 생성 후 상기 네트워크를 통과하려 하는 패킷들에 대해 실시간 정형화 데이터를 생성하는 단계;
    생성한 실시간 정형화 데이터에 대해 상기 행위패턴 판단모델을 이용하여 이상행위 여부를 판단하는 단계를 더 포함하는 회귀보안검사를 이용한 이상행위 학습 및 탐지 방법.
  8. 데이터 처리장치에 설치되며 상기 제1항 내지 제7항 중 어느 한 항에 기재된 방법을 수행하기 위한 매체에 기록된 컴퓨터 프로그램.


  9. 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템에 있어서,
    네트워크를 통과하는 복수의 패킷들 중 적어도 일부를 선택적으로 저장하는 패킷 저장 프로세스를 수행하는 패킷 저장모듈;
    상기 네트워크에 적용될 신규 보안 룰이 업데이트 되는 경우, 상기 패킷 저장 프로세스를 통해 저장된 저장 패킷들을 검사하여 상기 신규 보안 룰에 해당하는 제로데이 침투가 있었는지 여부를 판단하는 침입방지 모듈;
    상기 제로데이 침투로 발생한 침투행위들을 정형화 데이터로 생성하는 데이터 생성모듈; 및
    생성한 정형화 데이터를 학습하여 상기 제로데이 침투에 상응하는 행위패턴을 판단하기 위한 행위패턴 판단모델을 생성하는 제어모듈을 포함하는 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템.
  10. 프로그램이 저장된 저장장치;
    상기 프로그램을 구동하기 위한 프로세서를 포함하며,
    상기 프로세서에 의해 구동되는 상기 프로그램은,
    네트워크를 통과하는 복수의 패킷들 중 적어도 일부를 선택적으로 저장하는 패킷 저장 프로세스를 수행하고,
    상기 네트워크에 적용될 신규 보안 룰이 업데이트 되는 경우, 상기 패킷 저장 프로세스를 통해 저장된 저장 패킷들을 검사하여 상기 신규 보안 룰에 해당하는 제로데이 침투가 있었는지 여부를 판단하며,
    상기 제로데이 침투로 발생한 침투행위들을 정형화 데이터로 생성하고,
    생성한 정형화 데이터를 학습하여 상기 제로데이 침투에 상응하는 행위패턴을 판단하기 위한 행위패턴 판단모델을 생성하는 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템.
  11. 제10항에 있어서, 상기 프로세서에 의해 구동되는 상기 프로그램은,
    상기 제로데이 침투로 발생한 침투행위들에 이용된 적어도 하나의 호스트를 노드로 설정하고, 각각의 노드에서 다른 노드로 일어난 통신행위를 에지로 설정한 지향성 그래프로 상기 정형화 데이터를 생성하는 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템.
  12. 제10항에 있어서, 상기 프로세서에 의해 구동되는 상기 프로그램은,
    상기 행위패턴 판단모델의 생성 후 상기 네트워크를 통과하려 하는 패킷들에 대해 실시간 정형화 데이터를 생성하고,
    생성한 실시간 정형화 데이터에 대해 상기 행위패턴 판단모델을 이용하여 이상행위 여부를 판단하는 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템.

KR1020210057139A 2020-12-28 2021-05-03 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템 및 그 방법 KR102584775B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/KR2021/019355 WO2022145838A1 (ko) 2020-12-28 2021-12-20 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템 및 그 방법

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020200185139 2020-12-28
KR20200185139 2020-12-28

Publications (2)

Publication Number Publication Date
KR20220094093A true KR20220094093A (ko) 2022-07-05
KR102584775B1 KR102584775B1 (ko) 2023-10-05

Family

ID=82401904

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210057139A KR102584775B1 (ko) 2020-12-28 2021-05-03 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR102584775B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102618707B1 (ko) * 2023-09-09 2023-12-28 주식회사 엔키 침투 테스트 공격 데이터를 이용한 학습 데이터 생성 장치 및 방법, 및 생성된 학습 데이터를 이용한 인공 신경망 모델의 학습 장치 및 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100769221B1 (ko) * 2006-08-04 2007-10-29 한국정보보호진흥원 제로데이 공격 대응 시스템 및 방법
KR20110019891A (ko) 2009-08-21 2011-03-02 삼성전자주식회사 원격 데이터 백업 방법 및 이를 이용한 원격 데이터 백업 시스템
US20180077175A1 (en) * 2016-09-13 2018-03-15 Accenture Global Solutions Limited Malicious threat detection through time series graph analysis
KR20200068608A (ko) * 2018-12-05 2020-06-15 건국대학교 산학협력단 패킷 데이터에 대한 사이버 공격을 방어하기 위한 공격 방어 방법 및 이를 수행하는 장치들

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100769221B1 (ko) * 2006-08-04 2007-10-29 한국정보보호진흥원 제로데이 공격 대응 시스템 및 방법
KR20110019891A (ko) 2009-08-21 2011-03-02 삼성전자주식회사 원격 데이터 백업 방법 및 이를 이용한 원격 데이터 백업 시스템
US20180077175A1 (en) * 2016-09-13 2018-03-15 Accenture Global Solutions Limited Malicious threat detection through time series graph analysis
KR20200068608A (ko) * 2018-12-05 2020-06-15 건국대학교 산학협력단 패킷 데이터에 대한 사이버 공격을 방어하기 위한 공격 방어 방법 및 이를 수행하는 장치들

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102618707B1 (ko) * 2023-09-09 2023-12-28 주식회사 엔키 침투 테스트 공격 데이터를 이용한 학습 데이터 생성 장치 및 방법, 및 생성된 학습 데이터를 이용한 인공 신경망 모델의 학습 장치 및 방법

Also Published As

Publication number Publication date
KR102584775B1 (ko) 2023-10-05

Similar Documents

Publication Publication Date Title
US10587636B1 (en) System and method for bot detection
CN108494746B (zh) 一种网络端口流量异常检测方法及系统
KR102050089B1 (ko) 적응적 룰셋 세팅을 수행하는 네트워크 보안 시스템 및 그 방법
JP4490994B2 (ja) ネットワークセキュリティデバイスにおけるパケット分類
US8341740B2 (en) Method and system for identifying enterprise network hosts infected with slow and/or distributed scanning malware
US20110231935A1 (en) System and method for passively identifying encrypted and interactive network sessions
CN110166480B (zh) 一种数据包的分析方法及装置
US8161555B2 (en) Progressive wiretap
Shanthi et al. Detection of botnet by analyzing network traffic flow characteristics using open source tools
JP2014236461A (ja) 遮断システム、遮断サーバ、遮断方法、およびプログラム
Seo et al. A study on efficient detection of network-based IP spoofing DDoS and malware-infected Systems
KR102584775B1 (ko) 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템 및 그 방법
KR102174462B1 (ko) 네트워크 보안 방법 및 이를 수행하는 시스템
KR101715107B1 (ko) 리트로액티브 네트워크 검사 시스템 및 그 제공방법
Ismail et al. Stateless malware packet detection by incorporating naive bayes with known malware signatures
US20210067525A1 (en) System and method for network security performing adaptive rule-set setting
KR102120795B1 (ko) 적응적으로 패킷 저장을 수행하는 네트워크 검사 방법 및 이를 수행하는 시스템
US11528199B2 (en) Method for network inspection saving packet and system performing the same
Peleh et al. Intelligent detection of DDoS attacks in SDN networks
KR20110040152A (ko) 공격자 패킷 역추적 방법 및 이를 위한 시스템
KR101060615B1 (ko) 올아이피네트워크 환경의 공격 탐지 및 추적 시스템 및 방법
KR102621652B1 (ko) DRDoS 공격 대응 방법, DRDoS 공격 대응 프로그램 및 DRDoS 공격 대응 기능을 구비한 서버 컴퓨터
Cheng et al. A network-wide view-based detection and mitigation of a sophisticated Interest Flooding Attack
KR20240065966A (ko) 효율적으로 데이터를 저장하는 네트워크 검사 방법 및 이를 수행하는 시스템
KR20230017590A (ko) 가입자 네트워크의 DDoS 트래픽 차단방법

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant