KR20220099437A - 사용자 단말 이벤트 연동 악성파일 판단방법 및 이를 이용한 시스템 - Google Patents

사용자 단말 이벤트 연동 악성파일 판단방법 및 이를 이용한 시스템 Download PDF

Info

Publication number
KR20220099437A
KR20220099437A KR1020210001667A KR20210001667A KR20220099437A KR 20220099437 A KR20220099437 A KR 20220099437A KR 1020210001667 A KR1020210001667 A KR 1020210001667A KR 20210001667 A KR20210001667 A KR 20210001667A KR 20220099437 A KR20220099437 A KR 20220099437A
Authority
KR
South Korea
Prior art keywords
file
information
event
security
user terminal
Prior art date
Application number
KR1020210001667A
Other languages
English (en)
Other versions
KR102478984B1 (ko
Inventor
황정규
전석기
Original Assignee
주식회사 아이티스테이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 아이티스테이션 filed Critical 주식회사 아이티스테이션
Priority to KR1020210001667A priority Critical patent/KR102478984B1/ko
Priority to PCT/KR2021/000297 priority patent/WO2022149637A1/ko
Publication of KR20220099437A publication Critical patent/KR20220099437A/ko
Application granted granted Critical
Publication of KR102478984B1 publication Critical patent/KR102478984B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 각종 보안 장비와 SIEM을 PC와 연계하여 내부에서 발생하는 보안 이벤트를 수집하고, 해당 이벤트를 발생시킨 PC를 분석하여 악성파일을 판단하는 방법 및 이를 이용한 시스템에 관한 것으로, 본 발명은 사용자 단말의 보안이벤트를 감시서버에서 분석하여 보안 이벤트 분석 정보를 생성하는 단계, 보안 이벤트 분석 정보와 관련된 사용자 단말의 PE 파일의 이벤트 정보를 포함하는 파일 이벤트 정보를 사용자 단말에 설치된 감시 에이전트로 추출하여 감시서버로 전송하는 단계, 감시서버에서 보안 이벤트 분석 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 보안 이벤트 분석 정보 및 파일 이벤트 정보가 통합된 통합보안 데이터를 생성하는 단계, 통합 보안 데이터를 분석하여 PE 파일의 악성파일 여부를 판단하는 단계 및 감시서버에 통합보안 데이터가 시간순으로 저장되어 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보로 이루어진 과거 통합보안 데이터를 포함하는 과거 통합보안 데이터그룹을 생성하는 단계를 포함할 수 있다.

Description

사용자 단말 이벤트 연동 악성파일 판단방법 및 이를 이용한 시스템{DETERMINE METHOD FOR MALICIOUS FILE BY LINKING WITH EVENTS IN USER TERMINAL AND SYSTEM USING THEM}
본 발명은 사용자 단말 이벤트 연동 악성파일 판단방법 및 이를 이용한 시스템에 관한 것으로, 더욱 상세하게는 각종 보안 장비 및 SIEM을 사용자 단말과 연계하여 내부에서 발생하는 보안 이벤트를 수집하고, 해당 이벤트를 발생시킨 사용자 단말을 분석하여 멀웨어 등의 악성파일을 판단하는 방법 및 시스템에 관한 것이다.
보안 장비는 내/외부망의 비정상적인 행위를 탐지/차단하여 조직 내 위협을 사전에 차단하는 역할을 한다. SIEM(Security Information & Event Management)은 각 종 보안장비의 이벤트를 수집하고 분석하여 보다 체계적이고 신속한 보안 시스템 구축할 수 있는 역할을 담당한다.
종래에는, 이러한 보안 시스템을 통해 내부 사용자 PC에 이상 징후를 감지하면, 보안 담당자가 수동으로 PC를 분석하여 위협 유무에 대한 진단을 수행해 왔다.
하지만, 이와 같은 수동 분석은 지리적 제한에 의한 분석 시간 지연 요소와 1회성 행위에 관련한 재현 불가능 요소로 인해 많은 전문화된 인력과 시간이 필요하다는 문제가 있었다.
대한민국 등록특허 10-1414084호(2014.06.25 등록)
본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로, 본 발명은 각종 보안 장비와 SIEM을 사용자 단말과 연계하여 내부에서 발생하는 보안 이벤트를 수집하고, 해당 이벤트를 발생시킨 사용자 단말을 분석하여 멀웨어를 판단할 수 있는 사용자 단말 이벤트 연동 악성파일 판단방법 및 이를 이용한 시스템을 제공하는 것을 과제로 한다.
상기한 과제를 해결하기 위하여, 본 발명의 사용자 단말 이벤트 연동 악성파일 판단방법은 사용자 단말의 보안이벤트를 감시서버에서 분석하여 보안 이벤트 분석 정보를 생성하는 단계, 보안 이벤트 분석 정보와 관련된 사용자 단말의 PE 파일의 이벤트 정보를 포함하는 파일 이벤트 정보를 사용자 단말에 설치된 감시 에이전트로 추출하여 감시서버로 전송하는 단계, 감시서버에서 보안 이벤트 분석 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 보안 이벤트 분석 정보 및 파일 이벤트 정보가 통합된 통합보안 데이터를 생성하는 단계, 통합 보안 데이터를 분석하여 PE 파일의 악성파일 여부를 판단하는 단계 및 감시서버에 통합보안 데이터가 시간순으로 저장되어 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보로 이루어진 과거 통합보안 데이터를 포함하는 과거 통합보안 데이터그룹을 생성하는 단계를 포함할 수 있다.
또한, 본 발명의 사용자 단말 이벤트 연동 악성파일 판단 시스템은 사용자 단말 관련 보안 이벤트 정보가 수집되는 보안이벤트 정보 수집부, 사용자 단말에 설치되어 보안 이벤트 분석 정보와 관련된 사용자 단말의 PE 파일의 이벤트 정보가 포함된 파일 이벤트 정보를 수집하는 감시 에이전트부, 보안이벤트 정보 수집부의 보안 이벤트 정보를 분석하여 보안 이벤트 분석 정보를 생성하고, 보안 이벤트 분석 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 보안 이벤트 분석 정보 및 파일 이벤트 정보가 통합된 통합 보안 데이터를 생성하는 감시 서버부, 및 감시 서버부에서 생성된 통합 보안 데이터를 분석하여 PE 파일의 악성파일 여부를 판단하는 악성파일 판단부를 포함할 수 있다.
본 발명의 사용자 단말 이벤트 연동 악성파일 판단방법은, 보안 담당자에 의한 수동 분석 대신에 사용자 단말과 연동되어 작동됨에 따라 악성파일 분석 및 판단을 용이하게 할 수 있다. 즉, 본 발명의 사용자 단말 이벤트 연동 악성파일 판단방법은 각종 보안 장비와 SIEM을 사용자 단말과 연계하여 내부에서 발생하는 보안 이벤트를 수집하고, 해당 이벤트를 발생시킨 사용자 단말을 분석하여 악성파일을 판단할 수 있다.
도 1은 본 발명의 일 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 시스템이 네트워크를 통해 사용자 단말에 연결되는 구성을 개략적으로 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 시스템의 구성을 개략적으로 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 방법을 나타내는 흐름도이다.
도 4는 도 3의 사용자 단말 이벤트 연동 악성파일 판단 방법의 일부 단계를 나타내는 흐름도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
비록 제1, 제2 등이 다양한 소자, 구성요소 및/또는 섹션들을 서술하기 위해서 사용되나, 이들 소자, 구성요소 및/또는 섹션들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 소자, 구성요소 또는 섹션들을 다른 소자, 구성요소 또는 섹션들과 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 소자, 제1 구성요소 또는 제1 섹션은 본 발명의 기술적 사상 내에서 제2 소자, 제2 구성요소 또는 제2 섹션일 수도 있음은 물론이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "이루어지다(made of)"는 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
이때, 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭하며, 처리 흐름도 도면들의 각 구성과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 구성(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다.
또한, 몇 가지 대체 실시예들에서는 구성들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 구성들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 구성들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이하, 본 발명에 대하여 첨부된 도면에 따라 보다 상세히 설명한다.
도 1은 본 발명의 일 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 시스템이 네트워크를 통해 사용자 단말에 연결되는 구성을 개략적으로 도시한 도면이다. 그리고, 도 2는 본 발명의 일 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 시스템의 구성을 개략적으로 도시한 도면이다.
도 1 및 도 2를 참조하면, 본 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 시스템(100)은, 보안 이벤트 정보 수집부(110), 감시 에이전트부(120), 감시 서버부(130) 및 악성 파일 판단부(140)를 포함할 수 있다.
보안 이벤트 정보 수집부(110)는 사용자 단말과 관련된 보안 이벤트 정보를 수집할 수 있다. 즉, 보안 이벤트 정보 수집부(110)에는 사용자 단말에 설치된 감시 에이전트부(120)를 통해 사용자 단말 관련 보안 이벤트 정보가 수집될 수 있다.
감시 에이전트부(120)는 사용자 단말에 설치되어 보안 이벤트 분석 정보와 관련된 사용자 단말의 PE 파일(EXE, DLL, Drive, Object 등)의 이벤트 정보가 포함된 파일 이벤트 정보를 수집할 수 있다.
감시 서버부(130)는 보안 이벤트 정보 수집부(110)의 보안 이벤트 정보를 분석하여 보안 이벤트 분석 정보를 생성하고, 보안 이벤트 분석 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 보안 이벤트 분석 정보 및 파일 이벤트 정보가 통합된 통합보안 데이터를 생성할 수 있다.
악성 파일 판단부(140)는 감시 서버부(130)에서 생성된 통합보안 데이터를 분석하여 PE 파일의 악성파일 여부를 판단할 수 있다.
여기서, 보안 이벤트 정보 수집부(110)는 경보정보, 연관성 정보 및 시나리오 기반 정보 중 하나 이상을 수집하는 보안정보 이벤트 관리부(111), 사용자 단말 관련 탐지 및 차단 이벤트 정보 중 하나 이상을 수집하는 보안장비부(112) 및 사용자 단말과 인터넷 및 서버존 사이의 패킷 미러링 정보를 수집하는 패킷 미러링부(113)를 포함할 수 있다.
그리고, 보안 이벤트 정보 수집부(110)는 경보정보의 내용 중에서 이벤트의 발생 시간, 경보명, 출발지 IP, 출발지 Port, 목적지 IP, 목적지 Pot 정보 및 위험도를 추출하여 저장할 수 있다.
악성 파일 판단부(140)는 악성파일 의심 보고서 생성부(141)를 포함할 수 있다.
이러한 악성파일 의심 보고서 생성부(141)는 PE 파일이 악성파일이 아닌 경우 PE 파일로 의심되는지 여부를 판단하여 악성파일 의심보고서를 생성할 수 있다.
결국, 본 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 시스템(100)은 사용자 단말과 연계하여 악성파일 여부를 판단할 수 있다.
도 3 및 도 4는 본 발명의 일 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 방법을 개략적으로 나타낸 흐름도이다.
도 3을 참고하면, 본 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단방법(S200)은, 보안 이벤트 분석 정보를 생성하는 단계(S210), 파일 이벤트 정보를 감시서버로 전송하는 단계(S220), 통합보안 데이터를 생성하는 단계(S230), PE 파일의 악성파일 여부를 판단하는 단계(S240) 및 과거 통합보안 데이터그룹을 생성하는 단계(S250)를 포함할 수 있다.
본 실시예에 따른 보안 이벤트 분석 정보를 생성하는 단계(S210)에서는 사용자 단말의 보안이벤트를 감시서버에서 분석하여 보안 이벤트 분석 정보를 생성할 수 있다.
실시예에서, 보안 이벤트 분석 정보를 생성하는 단계(S210)에서 생성되는 보안 이벤트 분석 정보는, 보안정보이벤트 관리(SIEM)부(111)에서 생성된 사용자 단말의 보안정보이벤트 정보, 보안장비부(112)에서 생성된 사용자 단말의 탐지 및 차단 이벤트 정보 및 사용자 단말과 인터넷 및 서버존 사이의 패킷 미러링 정보 중 하나 이상을 포함할 수 있다.
즉, 보안 이벤트 분석 정보를 생성하는 단계(S210)에서 감시서버는 보안이벤트를 분석하기 위해서 사용자 단말에서 발생되는 보안이벤트를 수집하게 된다.
먼저, 보안 이벤트 분석 정보를 생성하는 단계(S210)에서 감시서버는 보안정보 이벤트 관리(SIEM)부(111)에서 발생되는 사용자 단말의 보안정보이벤트 정보를 DB Connection 또는 오픈 API 등의 연동 방식을 이용하여 서버와 연동함으로써 보안정보이벤트 정보를 수집할 수 있다.
이때, 사용자 단말의 보안정보이벤트 정보는 단일 경보정보, 연관성 경보정보 및 시나리오 기반 경보정보 중 하나를 포함할 수 있다. 그리고, 감시서버는 이들 경보정보의 내용 중에서 발생 시간, 경보명, 출발지 IP, 출발지 Port, 목적지 IP, 목적지 Port 정보 및 위험도를 추출하여 저장할 수 있다.
또한, 보안 이벤트 분석 정보를 생성하는 단계(S210)에서 감시서버는 보안장비부(112)에서 생성된 상기 사용자 단말의 탐지 및 차단 이벤트 정보를 수집하게 되는데, IPS, Ddos, 웹방화벽(WAF; Web Application Fire/Wall) 등의 보안장비부(112)에서 발생되는 탐지/차단 이벤트 로그를 syslog 형태로 전송받아 발생 시간, 경보명, 출발지 IP, 출발지 Port, 목적지 IP, 목적지 Port 정보 및 위험도를 추출하여 저장할 수 있다.
그리고, 보안 이벤트 분석 정보를 생성하는 단계(S210)에서 감시서버는 사용자 단말과 인터넷 및 서버존 사이의 패킷 미러링 정보를 수집하게 되는데, 사용자 단말과 인터넷 사이 또는 사용자 단말과 서버존 사이의 장비를 통한 미러링으로 패킷을 수집할 수 있다. 이때, 수집된 패킷을 통해 사용자 단말의 BlackIP 접속 행위, 서버존의 비정상적인 접속 행위를 감시할 수 있다. 접속 행위 발견 시 발생 시간, 탐지명, 출발지 IP, 출발지 Port, 목적지 IP, 목적지 Port 정보를 메모리에 저장한다.
여기서, 보안정보이벤트 관리(SIEM)부(111)와 보안장비부(112)에서의 이벤트 분석에 의해 저장된 정보, 즉 보안정보 이벤트 정보와 탐지 및 차단 이벤트 정보를 Security Event Data Preprocessing의 약자 “SEDP”로 명명하고, 미러링 분석에 의해 저장된 정보를 Mirror Packet Analysis Result의 약자 “MPAR”로 명명하며, 사용자 단말 IP를 UserIP의 약자 “UIP”로 명명할 수 있다.
본 실시예에 따른 파일 이벤트 정보를 감시서버로 전송하는 단계(S220)에서는 보안 이벤트 분석 정보와 관련된 사용자 단말의 PE 파일의 이벤트 정보를 포함하는 파일 이벤트 정보를 사용자 단말에 설치된 감시 에이전트로 추출하여 감시서버로 전송할 수 있다. 여기서, PE 파일의 이벤트 정보는 PE 파일의 파일명, Hash값(SHA256) 및 감시서버에 저장된 위치 정보를 포함할 수 있다.
실시예에서, 파일 이벤트 정보를 감시서버로 전송하는 단계(S220)에서 사용자 단말에 설치된 감시 에이전트를 통해 파일 이벤트 정보를 감시서버로 전송할 수 있다.
이때, 파일 이벤트 정보를 감시서버로 전송하는 단계(S220)에서는 감시 에이전트에 의해 다음의 기능들이 수행될 수 있다. 먼저, 사용자 단말에서 발생되는 모든 통신 내역을 저장하고, 다음으로 감시서버의 명령을 전달받아 명령을 수행하며, 그후 사용자 단말에서 네트워크 장비로의 비정상적인 접속 행위와 UIP 사이에서의 통신을 감시할 수 있으며, 최종적으로 저장된 통신 내역과 감시 내역을 비교하고 일치하는 정보를 추출하여 서버에 전송할 수 있다.
구체적으로, 파일 이벤트 정보를 감시서버로 전송하는 단계(S220)에서, 감시 에이전트는 사용자 단말에서 발생되는 모든 통신 내역을 저장할 수 있다. 이때, 통신 내역은 PE 파일에 의해 시도되는 외부와의 모든 통신 내용을 포함할 수 있다. PE 파일이 연결을 시도할 때마다 발생 시간, PE 파일명, PE 파일 경로, PE 파일 Hash, 출발지 IP, 출발지 Port, 목적지 IP, 목적지 Port 정보를 각 쌍으로 순차적으로 저장할 수 있다. 하나의 연결 시도에 복수의 PE 파일이 관여될 수 있으므로, 한 쌍에 여러 개의 PE 파일의 이벤트 정보가 저장될 수 있다.
또한, 파일 이벤트 정보를 감시서버로 전송하는 단계(S220)에서 감시 에이전트는 감시서버의 명령을 전달받아 이를 수행할 수 있다. 이때, 감시 에이전트의 명령 수행 기능은 UIP에서 멀웨어와 같은 악성파일이 존재한다는 분석이 나올 경우 해당 프로세스를 죽이거나 네트워크를 논리적으로 차단할 수 있다. 논리적 네트워크로 통신이 차단되더라도 감시서버와 감시 에이전트 간 통신은 허용된다. 여기서, 감시서버와 감시 에이전트 간 통신의 허용은 추후 오탐으로 판단될 경우 논리적 네트워크 차단과 해당 프로세스 차단을 해제하기 위한 것이다.
그리고, 파일 이벤트 정보를 감시서버로 전송하는 단계(S220)에서 감시 에이전트는 사용자 단말에서 네트워크 장비로의 비정상적인 접속 행위와 UIP 사이에서의 통신을 감시할 수 있다. 여기서, 파일 이벤트 정보는 PE 파일의 이벤트 정보와 관련된 사용자 단말과 네트워크 장비와의 비정상 접속 이벤트 정보 및 사용자 단말과 다른 사용자 단말의 접속 이벤트 정보 중 하나 이상을 포함할 수 있다.
이때, 파일 이벤트 정보를 감시서버로 전송하는 단계(S220)에서 감시 에이전트는, 네트워크 장비에 대한 비정상 행위와 UIP간 통신 발생 시 발생 시간, 출발지 IP, 출발지 Port, 목적지 IP, 및 목적지 Port를 메모리에 저장하게 되며, 앞서 사용자 단말에서 발생되는 모든 통신 내역을 저장한 통신 내역과, 감시 내역을 비교하여 일치하는 정보를 추출하고, 추출된 내용을 서버에 전송할 수 있으며, 전송시 이와 관련된 PE 파일들을 함께 서버로 전송할 수 있다.
본 실시예에 따른 통합보안 데이터를 생성하는 단계(S230)에서는 감시서버에서 보안 이벤트 분석 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 보안 이벤트 분석 정보 및 파일 이벤트 정보가 통합된 통합보안 데이터를 생성할 수 있다.
실시예에서, 통합보안 데이터를 생성하는 단계(S230)에서 생성되는 PE 파일 보안 이벤트 분석 정보는, 보안정보이벤트 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 보안정보이벤트 정보, 탐지 및 차단 이벤트 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 탐지 및 차단 이벤트 정보 및 패킷 미러링 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 패킷 미러링 정보 중 하나 이상을 포함할 수 있다.
여기서, 통합보안 데이터를 생성하는 단계(S230)에서, 감시서버에서 보안 이벤트 분석 정보인 SEDP와 MPAR에 새로운 내용이 추가될 때 마다 UIP를 구하고 해당 UIP의 감시 에이전트에 통신 내역과 출발지 IP, 출발지 Port, 목적지 IP, 목적지 Port 정보와 일치하는 내용이 있는지를 확인 요청하고, 요청 내용과 매칭된 PE 파일의 이벤트 정보 내용을 전송받는다. SEDP과 MPAR 내용은 전송받은 PE 파일의 이벤트 정보와 통합하여 저장된다. PE 파일의 이벤트 정보는 파일명, Hash값(SHA256), 감시 에이전트에서 전송된 파일을 저장한 감시 서버에서의 위치 정보로 구성될 수 있다. 저장된 정보는 SEDP와 MPAR에 PE 파일의 이벤트 정보가 추가된 내용으로 “PE_SEDP”와 “PE_MPAR”로 명명될 수 있다. 즉, PE_SEDP는 PE 파일 보안 정보 이벤트 정보 및 PE 파일 탐지 및 차단 이벤트 정보를 포함하여 이루어지고, PE_MPAR는 PE 파일 패킷 미러링 정보를 포함할 수 있다.
이처럼, 통합보안 데이터를 생성하는 단계(S230)에서 감시서버는 PE_SEDP 정보, PE_MPAR 정보와, 감시 에이전트에서 보내온 네트워크 장비의 비정상 접속 행위 관련 통신 내역 정보 및 사용자 단말간 통신 내역 등 총 4가지 내용을 통합하여 통합보안 데이터로 저장할 수 있다. 이때, 4가지로 통합된 통합보안 데이터의 정보를 Integrated Security Data의 약자 “ISD”로 명명할 수 있다.
본 실시예에 따른 PE 파일의 악성파일 여부를 판단하는 단계(S240)에서는 통합 보안 데이터를 분석하여 PE 파일의 악성파일 여부를 판단할 수 있다. 이때, PE 파일의 악성파일 여부를 판단하는 단계(S240)에서 감시 에이전트는 이벤트 발생에 의해 ISD에 저장되는 PE 파일을 정적/동적 분석기로 보내어 악성파일을 판별할 수 있다. 이와 같은 악성파일 판단부의 기능을 하는 정적/동적 분석기는 감시서버 안에 구축될 수 있고, 별도 서버로 구축되어 운영될 수도 있다. 예컨대, 본 실시예에서 사용되는 동적 분석기로는 감시 에이전트를 기반으로 하여 악성파일의 동적 분석을 위한 쿠쿠 샌드박스(Cuckoo Sandbox)를 사용할 수 있다.
본 실시예에 따른 과거 통합보안 데이터그룹을 생성하는 단계(S250)에서는 감시서버에 통합보안 데이터가 시간순으로 저장되어 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보로 이루어진 과거 통합보안 데이터를 포함하는 과거 통합보안 데이터그룹을 생성할 수 있다.
한편, 본 실시예에 따르면, PE 파일의 악성파일 여부를 판단하는 단계(S240)에서, PE 파일이 악성파일로 판단되는 경우, 사용자 단말에 PE 파일의 실행 중지 또는 사용자 단말 네트워크의 중지를 감시서버에서 사용자 단말의 감시 에이전트에 지시할 수 있다.
이와 달리, PE 파일이 악성파일이 아닌 것으로 판단될 경우, 본 실시예에 따르면 PE 파일의 악성파일 여부를 판단하는 단계(S240)는, 도 4에 도시된 바와 같이, 타임구간을 결정하는 단계(S241), 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보를 세는 단계(S242), 과거 PE 파일의 Hash 값을 비교하는 단계(S243) 및 악성파일 의심 보고서를 생성하는 단계(S244)를 포함할 수 있다.
본 실시예에 따른 타임구간을 결정하는 단계(S241)에서는 감시서버에서 악성파일 분석 시작시간에서 과거 시간 사이의 타임구간을 결정할 수 있다. 이때, 타임구간을 결정하는 단계(S241)에서 특정 시간 대역의 ISD 분석을 위해 현재 시간을 기준으로 임의 과거 시간까지의 타임 구간을 정할 수 있다. 예를 들어 현재 시간을 기준으로 20분 전까지 과거 시간의 타임 구간을 설정할 수 있다.
본 실시예에 따른 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보를 세는 단계(S242)에서는 과거 통합보안 데이터그룹에서 타임구간에 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보 중 하나 이상이 몇 개가 생성되었는지를 셀 수 있다. 이때, 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보를 세는 단계(S242)에서, 감시 에이전트는 통합보안 데이터인 ISD로부터 설정된 타임 구간과 일치하는 내용만을 추출하고, 이를 두가지 정보로 구분할 수 있다. 첫번째는 보안정보이벤트 관리(SIEM)부와 관련된 정보이고, 두번째는 보안장비 이벤트와 네트워크 비정상 접속 행위 관련 내용이 될 수 있다. 두가지로 구분된 내용을 각각 UIP를 기준으로 두개의 카운트 통계를 작성할 수 있다.
여기서, 과거 PE 파일 보안 이벤트 분석 정보는, 보안정보이벤트 관리(SIEM)부에서 생성된 사용자 단말의 과거 보안정보이벤트 정보, 보안장비부(112)에서 생성된 사용자 단말의 과거 탐지 및 차단 이벤트 정보와 사용자 단말과 인터넷 및 서버존 사이의 과거 패킷 미러링 정보 중 하나 이상을 포함할 수 있다.
이때, 과거 파일 이벤트 정보는, 과거 PE 파일의 이벤트 정보와 관련된 사용자 단말과 네트워크 장비와의 과거 비정상 접속 이벤트 정보 및 사용자 단말과 다른 사용자 단말의 과거 접속 이벤트 정보 중 하나 이상을 포함할 수 있다.
예를 들어, 사용자 단말별 특정 시간 대역에 발생하는 이벤트는 SIEM 이벤트, IPS 이벤트, WebF/W 이벤트, Ddos 이벤트, BlackIP 접속 이벤트, 서버존 비정상 접속 이벤트, 네트워크 비정상 접속 이벤트 등을 포함할 수 있다.
아래의 표 1은 사용자 단말에서 특정 시간 대역에 발생한 일 예시적인 이벤트의 통계를 나타낸 표이다.
번호 탐지 항목 카운트
1 SIEM 이벤트 2
2 IPS 이벤트 1
3 Web F/W 이벤트 0
4 DDos 이벤트 0
5 BlackIP 접속 이벤트 2
6 서버존 비정상 접속 이벤트 0
7 네트워크 비정상 접속 이벤트 1
본 실시예에 따른 과거 PE 파일의 Hash 값을 비교하는 단계(S243)에서는 타임구간에서 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보 중 하나 이상의 생성 개수가 2개 이상일 경우, 2개 이상의 과거 PE 파일 보안 이벤트 분석 정보 및/또는 과거 파일 이벤트 정보에 관련된 2개 이상의 과거 PE 파일의 Hash 값을 비교할 수 있다. 이때, 과거 PE 파일의 Hash 값을 비교하는 단계(S243)에서, 두개의 카운트 통계에서 카운트가 K이상인 UIP를 구하고 ISD에서 타임 구간과 UIP 두가지를 만족하는 조건으로 데이터를 추출할 수 있다. K는 K1과 K2로 나누어 지며 K1은 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보를 세는 단계(S242)의 첫번째 카운트 통계에서 사용하고, K2값은 두번째 카운트 통계에서 사용한다. 또한, K1 및 K2는 “2” 이상의 상수이며 관리자에 의해 값이 상이하게 설정될 수 있다.상기 표 1에서, 첫번째 항목인 보안정보이벤트 관리(SIEM)부와 관련된 이벤트가 K1으로 설정될 수 있고, 나머지 항목의 이벤트들이 K2로 설정될 수 있다.
그리고, 과거 PE 파일의 Hash 값을 비교하는 단계(S243)에서, 추출한 내용 중 Z값 이상의 동일한 Hash값을 갖는 ISD 데이터를 추출할 수 있다. Z는 Hash값의 중복 상수이며, “2” 이상의 값을 가질 수 있고 관리자에 의해 값이 상이하게 설정될 수 있다.
아래의 표 2는 통합보안 데이터인 Integrated Security Data(ISD)에서 특정 시간 대역의 보안정보이벤트 관리(SIEM)부와 관련된 부분만 추출한 내용을 나타낸 일 예시이다.
Figure pat00001
그리고, 아래의 표 3은 통합보안 데이터인 Integrated Security Data(ISD)에서 특정 시간 대역의 보안장비부(112)에서 발생된 이벤트와 네트워크 비정상 행위만을 추출한 내용을 나타낸 일 예시이다.
Figure pat00002
상기 표 2에서와 같이, K1 항목에서 SIP(또는, checksum)의 합계, 즉 수집 회수(3회)가 관리자에 의한 정한 정수인 “2” 이상이고, 마찬가지로, 상기 표 3에서와 같이, K2 항목에서 SIP(또는, checksum)의 합계, 즉 수집 회수(3회)가 관리자에 의한 정한 정수인 “2” 이상이므로 각각의 경우에서 2개 이상의 PE Hash 값의 중복 카운트가 수집되었으며, 수집된 파일의 비교를 통해 해당 파일을 의심 파일로 분류할 수 있다.
본 실시예에 따른 악성파일 의심 보고서를 생성하는 단계(S244)에서는 2개 이상의 과거 PE 파일 중 Hash 값이 일치하는 과거 PE 파일에 대해 악성파일 의심 보고서를 생성할 수 있다. 이때, ISD 데이터 내용은 보안 담당자가 다양한 분석을 할 수 있도록 의심 파일 보고서 형태로 출력될 수 있다.
따라서, 본 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단방법(S200)은 사용자 단말과 연동되어 사용자 단말에서 발생되는 보안 이벤트 정보로부터 악성파일을 판단할 수 있다.
또한, 본 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단방법(S200)에 의하면 PE 파일이 악성파일이 아닌 것으로 판단되더라도, 과거의 PE 파일과 비교를 통해 해당 파일을 의심 파일로 분류하여 관리할 수 있으므로 악성파일에 의한 위험을 방지할 수 있다.
한편, 본 발명의 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단방법(S200)은 소프트웨어 및 하드웨어에 의해 하나의 모듈로 구현 가능하며, 전술한 본 발명의 실시예들은 컴퓨터에서 실행될 수 있는 프로그램으로 작성 가능하고, 컴퓨터로 읽을 수 있는 기록매체를 이용하여 상기 프로그램을 동작시키는 범용 컴퓨터에서 구현될 수 있다. 상기 컴퓨터로 읽을 수 있는 기록매체는 롬(ROM), 플로피 디스크, 하드 디스크 등의 자기적 매체, CD, DVD 등의 광학적 매체 및 인터넷을 통한 전송과 같은 캐리어 웨이브와 같은 형태로 구현된다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
그리고, 본 발명의 실시예에서 사용되는 구성요소는 또는 '~부'는 메모리 상의 소정 영역에서 수행되는 태스크, 클래스, 서브 루틴, 프로세스, 오브젝트, 실행 쓰레드, 프로그램과 같은 소프트웨어(software)나, FPGA(field-programmable gate array)나 ASIC(application-specific integrated circuit)과 같은 하드웨어(hardware)로 구현될 수 있으며, 또한 상기 소프트웨어 및 하드웨어의 조합으로 이루어질 수도 있다. 상기 구성요소 또는 '~부'는 컴퓨터로 판독 가능한 저장 매체에 포함되어 있을 수도 있고, 복수의 컴퓨터에 그 일부가 분산되어 분포될 수도 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
100: 사용자 단말 이벤트 연동 악성파일 판단 시스템
110: 보안 이벤트 정보 수집부 111: 보안정보 이벤트 관리부
112: 보안장비부 113: 패킷 미러링부
120: 감시 에이전트부 130: 감시 서버부140: 악성 파일 판단부 141: 악성 파일 의심 보고서 생성부

Claims (11)

  1. 사용자 단말의 보안이벤트를 감시서버에서 분석하여 보안 이벤트 분석 정보를 생성하는 단계;
    상기 보안 이벤트 분석 정보와 관련된 상기 사용자 단말의 PE 파일의 이벤트 정보를 포함하는 파일 이벤트 정보를 상기 사용자 단말에 설치된 감시 에이전트로 추출하여 상기 감시서버로 전송하는 단계;
    상기 감시서버에서 상기 보안 이벤트 분석 정보와 상기 PE 파일의 이벤트 정보가 통합된 PE 파일 보안 이벤트 분석 정보 및 상기 파일 이벤트 정보가 통합된 통합보안 데이터를 생성하는 단계;
    상기 통합보안 데이터를 분석하여 상기 PE 파일의 악성파일 여부를 판단하는 단계; 및
    상기 감시서버에 상기 통합보안 데이터가 시간순으로 저장되어 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보로 이루어진 과거 통합보안 데이터를 포함하는 과거 통합보안 데이터그룹을 생성하는 단계;를 포함하는 사용자 단말 이벤트 연동 악성파일 판단방법.
  2. 제1항에 있어서,
    상기 보안 이벤트 분석 정보는,
    보안정보이벤트 관리(SIEM)부에서 생성된 상기 사용자 단말의 보안정보이벤트 정보, 보안장비부에서 생성된 상기 사용자 단말의 탐지 및 차단 이벤트 정보와 상기 사용자 단말과 인터넷 및 서버존 사이의 패킷 미러링 정보 중 하나 이상을 포함하는 사용자 단말 이벤트 연동 악성파일 판단방법.
  3. 제2항에 있어서,
    상기 PE 파일 보안 이벤트 분석 정보는,
    상기 보안정보이벤트 정보와 상기 PE 파일의 이벤트 정보가 통합된 PE 파일 보안정보이벤트 정보, 상기 탐지 및 차단 이벤트 정보와 상기 PE 파일의 이벤트 정보가 통합된 PE 파일 탐지 및 차단 이벤트 정보 및 상기 패킷 미러링 정보와 상기 PE 파일의 이벤트 정보가 통합된 PE 파일 패킷 미러링 정보 중 하나 이상을 포함하는 사용자 단말 이벤트 연동 악성파일 판단방법.
  4. 제3항에 있어서,
    상기 파일 이벤트 정보는,
    상기 PE 파일의 이벤트 정보와 관련된 상기 사용자 단말과 네트워크 장비와의 비정상 접속 이벤트 정보 및 상기 사용자 단말과 다른 사용자 단말의 접속 이벤트 정보 중 하나 이상을 더 포함하는 사용자 단말 이벤트 연동 악성파일 판단방법.
  5. 제1항에 있어서,
    상기 PE 파일의 이벤트 정보는,
    상기 PE 파일의 파일명, Hash값(SHA256) 및 상기 감시서버에 저장된 위치 정보를 포함하는 사용자 단말 이벤트 연동 악성파일 판단방법.
  6. 제1항에 있어서,
    상기 PE 파일의 악성파일 여부를 판단하는 단계에서,
    상기 PE 파일이 악성파일로 판단되는 경우, 상기 사용자 단말에 상기 PE 파일의 실행 중지 또는 상기 사용자 단말 네트워크의 중지를 상기 감시서버에서 상기 사용자 단말의 상기 감시 에이전트에 지시하는 단계;를 더 포함하는 사용자 단말 이벤트 연동 악성파일 판단방법.
  7. 제1항에 있어서,
    상기 PE 파일의 악성파일 여부를 판단하는 단계에서, 상기 PE 파일이 악성파일이 아닌 것으로 판단될 경우,
    상기 감시서버에서 상기 악성파일 분석 시작시간에서 과거 시간 사이의 타임구간을 결정하는 단계;
    상기 과거 통합보안 데이터그룹에서 상기 타임구간에 상기 과거 PE 파일 보안 이벤트 분석 정보 및 상기 과거 파일 이벤트 정보 중 하나 이상이 몇 개가 생성되었는지를 세는 단계;
    상기 타임구간에서 상기 과거 PE 파일 보안 이벤트 분석 정보 및 상기 과거 파일 이벤트 정보 중 하나 이상의 생성 개수가 2개 이상일 경우, 상기 2개 이상의 상기 과거 PE 파일 보안 이벤트 분석 정보 및/또는 상기 과거 파일 이벤트 정보에 관련된 2개 이상의 과거 PE 파일의 Hash 값을 비교하는 단계; 및
    상기 2개 이상의 과거 PE 파일 중 상기 Hash 값이 일치하는 과거 PE 파일에 대해 악성파일 의심 보고서를 생성하는 단계;를 포함하는 사용자 단말 이벤트 연동 악성파일 판단방법.
  8. 제7항에 있어서,
    상기 과거 PE 파일 보안 이벤트 분석 정보는,
    상기 보안정보이벤트 관리(SIEM)부에서 생성된 상기 사용자 단말의 과거 보안정보이벤트 정보, 보안장비부에서 생성된 상기 사용자 단말의 과거 탐지 및 차단 이벤트 정보와 상기 사용자 단말과 인터넷 및 서버존 사이의 과거 패킷 미러링 정보 중 하나 이상을 포함하고,
    상기 과거 파일 이벤트 정보는,
    상기 과거 PE 파일의 이벤트 정보와 관련된 상기 사용자 단말과 네트워크 장비와의 과거 비정상 접속 이벤트 정보 및 상기 사용자 단말과 다른 사용자 단말의 과거 접속 이벤트 정보 중 하나 이상을 포함하는 사용자 단말 이벤트 연동 악성파일 판단방법.
  9. 사용자 단말 관련 보안 이벤트 정보가 수집되는 보안이벤트 정보 수집부;
    상기 사용자 단말에 설치되어 보안 이벤트 분석 정보와 관련된 상기 사용자 단말의 PE 파일의 이벤트 정보가 포함된 파일 이벤트 정보를 수집하는 감시 에이전트부;
    상기 보안이벤트 정보 수집부의 상기 보안 이벤트 정보를 분석하여 상기 보안 이벤트 분석 정보를 생성하고, 상기 보안 이벤트 분석 정보와 상기 PE 파일의 이벤트 정보가 통합된 PE 파일 보안 이벤트 분석 정보 및 상기 파일 이벤트 정보가 통합된 통합 보안 데이터를 생성하는 감시 서버부; 및
    상기 감시 서버부에서 생성된 통합 보안 데이터를 분석하여 상기 PE 파일의 악성파일 여부를 판단하는 악성파일 판단부;를 포함하는 사용자 단말 이벤트 연동 악성파일 판단 시스템.
  10. 제9항에 있어서,
    상기 보안이벤트 정보 수집부는,
    경보정보, 연관성 정보 및 시나리오 기반 정보 중 하나 이상을 수집하는 보안정보 이벤트 관리부, 상기 사용자 단말 관련 탐지 및 차단 이벤트 정보 중 하나 이상을 수집하는 보안장비부 및 상기 사용자 단말과 인터넷 및 서버존 사이의 패킷 미러링 정보를 수집하는 패킷 미러링부를 포함하는 사용자 단말 이벤트 연동 악성파일 판단 시스템.
  11. 제9항에 있어서,
    상기 악성파일 판단부는,
    상기 PE 파일이 악성파일이 아닌 경우 상기 PE 파일로 의심되는지 여부를 판단하여 악성파일 의심보고서를 생성하는 악성파일 의심 보고서 생성부를 포함하는 사용자 단말 이벤트 연동 악성파일 판단 시스템.
KR1020210001667A 2021-01-06 2021-01-06 사용자 단말 이벤트 연동 악성파일 판단방법 및 이를 이용한 시스템 KR102478984B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020210001667A KR102478984B1 (ko) 2021-01-06 2021-01-06 사용자 단말 이벤트 연동 악성파일 판단방법 및 이를 이용한 시스템
PCT/KR2021/000297 WO2022149637A1 (ko) 2021-01-06 2021-01-11 사용자 단말 이벤트 연동 악성파일 판단방법 및 이를 이용한 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210001667A KR102478984B1 (ko) 2021-01-06 2021-01-06 사용자 단말 이벤트 연동 악성파일 판단방법 및 이를 이용한 시스템

Publications (2)

Publication Number Publication Date
KR20220099437A true KR20220099437A (ko) 2022-07-13
KR102478984B1 KR102478984B1 (ko) 2022-12-19

Family

ID=82357468

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210001667A KR102478984B1 (ko) 2021-01-06 2021-01-06 사용자 단말 이벤트 연동 악성파일 판단방법 및 이를 이용한 시스템

Country Status (2)

Country Link
KR (1) KR102478984B1 (ko)
WO (1) WO2022149637A1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101414084B1 (ko) 2013-03-28 2014-07-04 한신대학교 산학협력단 모바일 단말의 악성 어플리케이션 탐지 시스템 및 방법
KR20180047935A (ko) * 2016-11-02 2018-05-10 주식회사 아이티스테이션 지능형 지속위협 환경에서의 통합 보안 시스템
KR102152317B1 (ko) * 2019-11-21 2020-09-04 (주)피즐리소프트 기탐지된 악성파일의 IoC를 이용한 악성의심파일의 TTPs를 추출하는 방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101645412B1 (ko) * 2014-05-28 2016-08-04 주식회사 안랩 악성파일진단장치 및 악성파일진단장치의 진단 방법
US9754106B2 (en) * 2014-10-14 2017-09-05 Symantec Corporation Systems and methods for classifying security events as targeted attacks
KR102415971B1 (ko) * 2015-12-10 2022-07-05 한국전자통신연구원 악성 모바일 앱 감지 장치 및 방법
KR20180045363A (ko) * 2016-10-25 2018-05-04 (주)케이사인 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101414084B1 (ko) 2013-03-28 2014-07-04 한신대학교 산학협력단 모바일 단말의 악성 어플리케이션 탐지 시스템 및 방법
KR20180047935A (ko) * 2016-11-02 2018-05-10 주식회사 아이티스테이션 지능형 지속위협 환경에서의 통합 보안 시스템
KR102152317B1 (ko) * 2019-11-21 2020-09-04 (주)피즐리소프트 기탐지된 악성파일의 IoC를 이용한 악성의심파일의 TTPs를 추출하는 방법

Also Published As

Publication number Publication date
WO2022149637A1 (ko) 2022-07-14
KR102478984B1 (ko) 2022-12-19

Similar Documents

Publication Publication Date Title
US10645110B2 (en) Automated forensics of computer systems using behavioral intelligence
Hubballi et al. False alarm minimization techniques in signature-based intrusion detection systems: A survey
Treinen et al. A framework for the application of association rule mining in large intrusion detection infrastructures
US20030084326A1 (en) Method, node and computer readable medium for identifying data in a network exploit
US20030084319A1 (en) Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
CN111711599A (zh) 基于多元海量数据融合关联分析的安全态势感知系统
KR102225460B1 (ko) 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치
US20030084329A1 (en) Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
US20030084328A1 (en) Method and computer-readable medium for integrating a decode engine with an intrusion detection system
CN106537872B (zh) 用于检测计算机网络中的攻击的方法
Ning et al. Correlating alerts using prerequisites of intrusions
CN112134877A (zh) 网络威胁检测方法、装置、设备及存储介质
CA2996966A1 (en) Process launch, monitoring and execution control
US7836503B2 (en) Node, method and computer readable medium for optimizing performance of signature rule matching in a network
Debar et al. Intrusion detection: Introduction to intrusion detection and security information management
US20030084344A1 (en) Method and computer readable medium for suppressing execution of signature file directives during a network exploit
CN114640548A (zh) 一种基于大数据的网络安全感知和预警的方法及系统
Xu et al. Correlation analysis of intrusion alerts
Dwivedi et al. Event correlation for intrusion detection systems
KR102478984B1 (ko) 사용자 단말 이벤트 연동 악성파일 판단방법 및 이를 이용한 시스템
Raut Log based intrusion detection system
Cui A toolkit for intrusion alerts correlation based on prerequisites and consequences of attacks
Aslan Using machine learning techniques to detect attacks in computer networks
Sourour et al. Environmental awareness intrusion detection and prevention system toward reducing false positives and false negatives

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant