KR20230032463A - 네트워크 보안 지원 방법 및 이를 이용하는 보안 지원 장치 - Google Patents

네트워크 보안 지원 방법 및 이를 이용하는 보안 지원 장치 Download PDF

Info

Publication number
KR20230032463A
KR20230032463A KR1020210115340A KR20210115340A KR20230032463A KR 20230032463 A KR20230032463 A KR 20230032463A KR 1020210115340 A KR1020210115340 A KR 1020210115340A KR 20210115340 A KR20210115340 A KR 20210115340A KR 20230032463 A KR20230032463 A KR 20230032463A
Authority
KR
South Korea
Prior art keywords
packet
attack
security
packets
network
Prior art date
Application number
KR1020210115340A
Other languages
English (en)
Other versions
KR102616603B1 (ko
Inventor
최성곤
최원석
박용희
이래엽
Original Assignee
충북대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 충북대학교 산학협력단 filed Critical 충북대학교 산학협력단
Priority to KR1020210115340A priority Critical patent/KR102616603B1/ko
Publication of KR20230032463A publication Critical patent/KR20230032463A/ko
Application granted granted Critical
Publication of KR102616603B1 publication Critical patent/KR102616603B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크를 서버 장치에 전송되는 적어도 일부 패킷을 포함하는 패킷 리스트를 수집하는 단계, 상기 패킷 리스트에 포함된 패킷이 NIDPS(Network Intrusion Detection and Prevention System) 보안 룰을 위반한 공격 패킷인지 여부를 검사하는 단계, 상기 공격 패킷이 검출되면, 상기 검출된 공격 패킷에 대해 프로세스 단위로 위협 요소를 평가하는 킬체인 룰을 적용하는 단계, 상기 킬체인 룰 적용에 따른 공격 단계에 대한 정보를 적어도 포함하는 패킷 보안 메시지를 생성하는 단계, 상기 생성된 패킷 보안 메시지를 지정된 관리자 장치에 전송하는 단계를 포함하는 특징으로 하는 네트워크 보안 지원 방법 및 이를 이용한 네트워크 보안 지원 장치를 개시한다.

Description

네트워크 보안 지원 방법 및 이를 이용하는 보안 지원 장치{Supporting Method of Network Security and device using the same}
본 발명은 네트워크 보안에 관한 것으로, 더욱 상세하게는 공격 패턴을 가지는 패킷의 프로세스별 정의 및 파악하여 보고할 수 있는 네트워크 보안 지원 방법 및 이를 이용하는 보안 지원 장치에 관한 것이다.
인터넷 네트워크를 통하여 다양한 정보를 교환할 수 있는 환경이 제공되고 있다. 그러나 이러한 인터넷 네트워크를 통하여 악의적으로 타인의 컴퓨팅 장치를 공격하는 문제가 있다. 예컨대, 특정 컴퓨팅 시스템의 취약점을 공격하는 제로 데이 공격이 문제가 되고 있다. 이러한 문제 해결을 위하여 종래에는 Packet Capture Appliance (PCA) 장비를 이용하여, 공격 패킷을 저장할 수 있었다. 상기 PCA 장비는 Network Intrusion Detection and Prevention System (NIDPS) 엔진을 이용하며, 상기 NIDPS 엔진은 Intrusion Detection System (IDS), Intrusion Prevention System (IPS) 기능을 수행할 수 있다. NIDPS 엔진에서 통과된 패킷을 PCA 장비에 저장하고, 새로운 공격 패턴에 대한 규칙이 업데이트가 될 경우 이를 저장된 패킷에 적용할 수 있다.
상술한 종래 PCA 및 NIDPS 엔진을 이용한 보안 지원 방법은 수집된 패킷을 NIDPS 엔진에 통과시킨 후, 검사 결과를 단순히 DB에 저장 및 출력하는 기능만을 제공하기 때문에, 저장된 검사 결과를 관리자가 개별적으로 확인해야 하는 어려움이 있고, 그에 따라 취약점 공격에 대한 방어가 매우 늦어지는 문제가 있었다.
본 발명은 상술한 종래 문제점들을 해소하기 위한 것으로, 본 발명은 공격 패킷에 대한 검사 결과에 대해 위협 요소별 정의 및 분석을 수행함으로써, 공격 패킷이 가지는 특성을 빠르게 판단할 수 있도록 하는 네트워크 보안 지원 방법 및 이를 지원하는 보안 지원 장치를 제공함에 있다.
본 발명의 실시 예에 따른 네트워크 보안 지원 장치는 네트워크에 접속되어 통신 채널을 형성하는 통신 인터페이스, 상기 통신 인터페이스를 통해 수신되는 적어도 일부 패킷을 저장하는 저장부, 상기 통신 인터페이스 및 상기 저장부와 기능적으로 연결된 개선된 보안 지원 장치를 포함하고, 상기 개선된 보안 지원 장치는 상기 통신 인터페이스가 수신하는 패킷의 적어도 일부를 포함하는 패킷 리스트를 수집하고, 패킷 리스트에 포함된 패킷들에 대한 보안 룰 위반 여부를 검사하는 패킷 검사 엔진, 상기 패킷들 중 보안 룰을 위반한 공격 패킷에 대해 프로세스 단위로 위협 요소를 평가하는 분석 모듈, 상기 평가 결과에 따른 패킷 보안 메시지를 생성하여 보고하는 분석 결과 처리 모듈을 포함하는 것을 특징으로 한다.
한편, 상기 패킷 검사 엔진은 상기 패킷들이 NIDPS(Network Intrusion Detection and Prevention System) 보안 룰을 위반하는지 여부에 따라 공격 패킷 여부를 결정하는 것을 특징으로 한다.
또한, 상기 분석 모듈은 킬체인 룰에 따라 상기 공격 패킷에 대한 공격 단계를 결정하는 것을 특징으로 한다.
여기서, 상기 분석 모듈은 상기 저장부에 저장된 이전 공격 패킷의 공격 단계를 참조하여 현재 수집된 공격 패킷에 대한 공격 단계를 시계열적으로 분석하는 것을 특징으로 한다.
추가로, 상기 분석 결과 처리 모듈은 상기 공격 패킷이 수신된 시점 정보, 상기 공격 패킷의 출발지 및 목적지 정보, 상기 공격 단계에 대응하는 사전 정의된 대응 방안을 포함하는 상기 패킷 보안 메시지를 생성하는 것을 특징으로 한다.
특히, 상기 분석 결과 처리 모듈은 상기 대응 방안에 따른 공격 대응 처리를 수행하고, 상기 공격 대응 처리에 대한 결과를 상기 패킷 보안 메시지에 포함시키는 것을 특징으로 한다.
본 발명의 실시 예에 따른 네트워크 보안 지원 방법은 네트워크를 서버 장치에 전송되는 적어도 일부 패킷을 포함하는 패킷 리스트를 수집하는 단계, 상기 패킷 리스트에 포함된 패킷이 NIDPS(Network Intrusion Detection and Prevention System) 보안 룰을 위반한 공격 패킷인지 여부를 검사하는 단계, 상기 공격 패킷이 검출되면, 상기 검출된 공격 패킷에 대해 프로세스 단위로 위협 요소를 평가하는 킬체인 룰을 적용하는 단계, 상기 킬체인 룰 적용에 따른 공격 단계에 대한 정보를 적어도 포함하는 패킷 보안 메시지를 생성하는 단계, 상기 생성된 패킷 보안 메시지를 지정된 관리자 장치에 전송하는 단계를 포함하는 특징으로 한다.
상기 방법에서, 상기 킬체인 룰을 적용하는 단계는 저장부에 저장된 이전 공격 패킷의 공격 단계를 참조하여 현재 수집된 공격 패킷에 대한 공격 단계를 시계열적으로 분석하는 단계를 포함하는 것을 특징으로 한다.
또한, 상기 패킷 보안 메시지를 생성하는 단계는 상기 공격 패킷이 수신된 시점 정보, 상기 공격 패킷의 출발지 및 목적지 정보, 상기 공격 단계에 대응하는 사전 정의된 대응 방안을 포함하는 상기 패킷 보안 메시지를 생성하는 단계를 포함하는 것을 특징으로 한다.
이 경우, 상기 패킷 보안 메시지를 생성하는 단계는 상기 대응 방안에 따른 공격 대응 처리를 수행하고, 상기 공격 대응 처리에 대한 결과를 상기 패킷 보안 메시지에 포함시키는 단계를 더 포함하는 것을 특징으로 한다.
본 발명에 따른 네트워크 보안 지원 방법 및 이를 이용하는 보안 지원 장치에 따르면, 본 발명은 공격 패킷의 위협 요소에 대한 보다 빠른 판단을 지원하며, 그에 따라 적절한 대응 전략을 세울 수 있는 시간을 확보할 수 있도록 지원한다.
도 1은 본 발명의 실시 예에 따른 네트워크 보안 지원 장치가 적용된 환경의 한 예를 나타낸 도면이다.
도 2는 본 발명의 실시 예에 따른 네트워크 보안 지원 장치 구성의 한 예를 나타낸 도면이다.
도 3은 본 발명의 실시 예에 따른 네트워크 보안 지원 장치의 기간 내 시계열 분석 방법의 한 예를 나타낸 도면이다.
하기의 설명에서는 본 발명의 실시 예를 이해하는데 필요한 부분만이 설명되며, 그 이외 부분의 설명은 본 발명의 요지를 흩트리지 않는 범위에서 생략될 것이라는 것을 유의하여야 한다.
이하에서 설명되는 본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니 되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념으로 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 따라서 본 명세서에 기재된 실시 예와 도면에 도시된 구성은 본 발명의 바람직한 실시 예에 불과할 뿐이고, 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.
이하, 첨부된 도면을 참조하여 본 발명의 실시 예를 보다 상세하게 설명하고자 한다.
도 1은 본 발명의 실시 예에 따른 네트워크 보안 지원 장치가 적용된 환경의 한 예를 나타낸 도면이다.
도 1을 참조하면, 네트워크 보안 지원 환경(10)은 다양한 네트워크 요소 또는 장비나 장치들로 구성된 네트워크(50)와, 상기 네트워크(50)에 연결된 공격자 장치(51) 및 컴퓨팅 장치(53), 상기 컴퓨팅 장치(53)에 전달되는 패킷을 검사하는 네트워크 보안 지원 장치(100)를 포함할 수 있다.
상기 네트워크(50)는 상기 네트워크 보안 지원 환경(10)의 에지 단말(예: 공격자 장치(51) 및 컴퓨팅 장치(53))들 간의 통신 채널을 형성할 수 있다. 이러한 네트워크(50)는 다양한 유선 환경 또는 무선 환경을 지원하는 케이블이나, 라우터, 주소 변환기 등뿐만 아니라, 기지국이나 무선 접속 포인트 등을 포함할 수 있다. 상기 네트워크(50)는 예컨대, 수동적으로 패킷을 전달하는 구성으로서, 예컨대, 공격자 장치(51)로부터 출력된 공격 패킷을 컴퓨팅 장치(53)에 전달할 수도 있다.
상기 공격자 장치(51)는 상기 네트워크(50)에 통신적으로 연결되고, 컴퓨팅 장치(53)에 공격 패킷을 전송하는 구성을 포함할 수 있다. 상술한 공격자 장치(51)는 컴퓨팅 장치(53)의 취약점을 이용하여 컴퓨팅 장치(53) 사용자의 동의 없이 컴퓨팅 장치(53)에 저장된 데이터를 해킹하거나, 컴퓨팅 장치(53)에 저장된 데이터를 변경하거나, 삭제 하는 등의 사이버 공격을 수행할 수 있다.
상기 컴퓨팅 장치(53)는 상기 네트워크(50)에 연결되어, 다양한 네트워크(50) 사용자 단말에게 정보를 제공하거나 또는 다양한 네트워크(50) 사용자 단말로부터 정보를 수신하여 저장할 수 있다. 이 과정에서, 공격자 장치(51)가 제공하는 공격 패킷을 수신할 수 있다.
상기 네트워크 보안 지원 장치(100)는 상기 컴퓨팅 장치(53) 전단에 배치되어, 컴퓨팅 장치(53)에 전달되는 패킷을 검사하여, 공격 패킷 검사를 수행하고, 검사 결과에 대한 위협 요소를 판별하여 보고할 수 있다. 이러한 네트워크 보안 지원 장치(100)는 상기 컴퓨팅 장치(53)의 일부 구성으로 포함되어 배치될 수도 있다.
도 2는 본 발명의 실시 예에 따른 네트워크 보안 지원 장치 구성의 한 예를 나타낸 도면이다.
도 2를 참조하면, 본 발명의 네트워크 보안 지원 장치(100)는 통신 인터페이스(110), 개선된 보안 지원 장치(120) 및 저장부(130)를 포함할 수 있다.
상기 통신 인터페이스(110)는 네트워크(50)와 통신 채널을 형성하고, 네트워크(50)에서 컴퓨팅 장치(53)로 전송되는 패킷의 적어도 일부를 수신할 수 있다. 상기 통신 인터페이스(110)는 수신된 패킷을 개선된 보안 지원 장치(120)에 전달할 수 있다.
상기 저장부(130)는 상기 네트워크 보안 지원 장치(100) 운용에 필요한 데이터, 프로그램, 알고리즘 등을 저장할 수 있다. 또한, 상기 저장부(130)는 개선된 보안 지원 장치(120) 운용에 따른 데이터를 저장하거나, 저장된 데이터를 개선된 보안 지원 장치(120)에 제공할 수 있다. 이러한 저장부(130)는 상기 네트워크 보안 지원 장치(100) 운용과 관련한 프로그램들을 저장하는 저장 모듈과, 상기 개선된 보안 지원 장치(120) 운용에 따라 생성된 데이터를 저장하거나 저장된 데이터를 제공하는 데이터베이스를 포함할 수 있다.
상기 개선된 보안 지원 장치(120)는 패킷 검사 엔진(121)(예: NIDPS 엔진), 결과 저장 처리부(123), 분석 모듈(125), 분석 결과 처리 모듈(127)을 포함할 수 있다.
상기 패킷 검사 엔진(121)은 네트워크(50)를 통해 컴퓨팅 장치(53)에 전달된 패킷을 검사할 수 있는 적어도 하나의 엔진을 포함할 수 있다. 이 과정에서, 패킷 검사 엔진(121)은 개선된 보안 지원 장치(예: Advanced PCA 장비)를 통해 캡처된 패킷에 대해 공격 패턴 방어 룰을 적용할 수 있다. 상기 공격 패턴 방어 룰은 상기 저장부(130)에 저장되고, 패킷 검사 엔진(121) 운용 시, 로딩되어 운용될 수 있다. 한 예로서, 상기 패킷 검사 엔진(121)은 앞서 언급한 NIDPS 엔진을 포함할 수 있다. 상기 패킷 검사 엔진(121)은 패킷 검사 결과 및 해당 패킷을 결과 저장 처리부(123)에 전달할 수 있다. 이때, 패킷 검사 엔진(121)은 패킷 검사 시간 정보를 함께 저장할 수 있다. 상기 패킷 검사 엔진(121)은 설정에 따라 또는 컴퓨팅 장치(53) 요청에 따라, 또는 개선된 보안 지원 장치(120)의 정책에 따라, 지정된 기간 동안의 패킷 검사를 위한 패킷 리스트 수집을 수행할 수 있다. 또는, 상기 패킷 검사 엔진(121)은 실시간 패킷 보안 검사를 위한 패킷 리스트를 수집할 수 있다. 또는, 패킷 검사 엔진(121)은 컴퓨팅 장치(53)로 전송되는 패킷의 양이 일정량 이상인 경우 패킷 리스트를 수집하고, 패킷 양이 지정된 량 이하인 경우 패킷 리스트 수집을 중지할 수 있다. 상기 패킷 검사 엔진(121)은 패킷의 보안 룰 위반 검사를 위해 사전 정의된 알고리즘을 저장 및 관리할 수 있다. 상기 패킷 검사 엔진(121)은 패킷에 대한 검사를 수행하고, 패킷이 보안 룰을 위반한 것으로 판단되면, 해당 결과를 분석 모듈(125)에 안내할 수 있다. 이와 함께, 패킷 검사 엔진(121)은 보안 룰 위반 패킷을 분석 모듈(125)에 전달할 수 있다.
상기 결과 저장 처리부(123)는 패킷 검사 엔진(121)이 전달한 패킷들을 저장부(130)에 저장할 수 있다. 상기 결과 저장 처리부(123)는 패킷 검사 엔진(121)이 전달한 패킷, 패킷에 관한 보안 룰 위반 검사 결과, 패킷 수집 및 검사 시점 등을 함께 저장부(130)의 데이터베이스에 저장할 수 있다.
상기 분석 모듈(125)은 패킷 검사 엔진(121)이 전달한 보안 룰 위반 패킷에 대한 공격 단계 분석을 수행할 수 있다. 예를 들어, 상기 분석 모듈(125)은 사이버 공격에 대해 프로세스 단위 분석을 수행하고, 각 프로세스 단계에서의 위협 요소를 정의 및 파악하기 위한 분석 모델(예: 사이버 킬체인)을 운용할 수 있다. 이와 관련하여, 분석 모듈(125)은 패킷의 특성 또는 패킷의 공격 방법에 따라 공격 단계를 결정할 수 있다. 또한, 상기 분석 모듈(125)은 공격 단계별 대응 방안을 결정할 수 있다. 개선된 보안 지원 장치(120)는 공격 방법들에 매핑된 공격 단계들, 공격 단계들에 매핑된 대응 방안들을 정의한 정책 또는 설정 값들을 저장 관리할 수 있다. 한 예로서, 사이버 킬체인 단계는 7단계로 구분될 수 있으며, 정찰, 무기화, 전달, 익스플로잇, 설치, C&C, 행동 개기 단계를 포함할 수 있다. 상기 분석 모듈(125)인 사이버 킬체인 분석 모델을 적용하는 경우, 각 단계별 공격 방법과 대응 방안은 다음 표 1과 같이 정의될 수 있다.
단계 공격 방법 대응 방안
정찰 이메일, 크롤링 방화벽 필터링
무기화 악성코드 생성 IDS/IPS
전달 Drive by download Proxy Filter
익스플로잇 사이버무기 작동 안티바이러스
설치 Trojan 설치 Secure OS
C&C 시스템 권한획득 Firewall ACL
행동 개시 데이터 유출 허위 데이터 전송
표 1을 참조하면, 이메일이나 크롤링과 관련한 공격 패킷이 검출되면, 분석 모듈(125)은 해당 단계를 정찰 단계로 판단하고, 정찰 단계에 매핑된 대응 방안으로서, 방화벽 필터링을 네트워크 보안 지원 장치(100) 또는 컴퓨팅 장치(53)에 제안하거나, 방화벽 필터링을 자동 수행할 수 있다. 악성코드 생성을 위한 공격 패킷이 검출되면, 분석 모듈(125)은 해당 단계를 무기화 단계로 판단하고, 무기화 단계에 매핑된 대응 방안으로서, IDS/IPS 필터링을 네트워크 보안 지원 장치(100) 또는 컴퓨팅 장치(53)에 제안하거나, 방화벽 필터링을 자동 수행할 수 있다. Drive by download에 대응하는 공격 패킷이 검출되면, 분석 모듈(125)은 해당 단계를 전달 단계로 판단하고, 전달 단계에 매핑된 대응 방안으로서, Proxy 필터링을 네트워크 보안 지원 장치(100) 또는 컴퓨팅 장치(53)에 제안하거나, 방화벽 필터링을 자동 수행할 수 있다. 사이버 무기 작동과 관련한 공격 패킷이 검출되면, 분석 모듈(125)은 해당 단계를 익스플로잇 단계로 판단하고, 익스플로잇 단계에 매핑된 대응 방안으로서, 안티바이러스 적용을 네트워크 보안 지원 장치(100) 또는 컴퓨팅 장치(53)에 제안하거나, 방화벽 필터링을 자동 수행할 수 있다. Trojan 설치와 관련한 공격 패킷이 검출되면, 분석 모듈(125)은 해당 단계를 설치 단계로 판단하고, 설치 단계에 매핑된 대응 방안으로서, Secure OS 작동을 네트워크 보안 지원 장치(100) 또는 컴퓨팅 장치(53)에 제안하거나, 방화벽 필터링을 자동 수행할 수 있다. 시스템 권한 획득을 위한 공격 패킷이 검출되면, 분석 모듈(125)은 해당 단계를 C&C 단계로 판단하고, C&C 단계에 매핑된 대응 방안으로서, Firewall ACL 작동을 네트워크 보안 지원 장치(100) 또는 컴퓨팅 장치(53)에 제안하거나, 방화벽 필터링을 자동 수행할 수 있다. 데이터 유출이 검출되면, 분석 모듈(125)은 해당 단계를 행동 개시 단계로 판단하고, 행동 개시 단계에 매핑된 대응 방안으로서, 허위 데이터 전송을 네트워크 보안 지원 장치(100) 또는 컴퓨팅 장치(53)에 제안하거나, 방화벽 필터링을 자동 수행할 수 있다.
한편, 위에 제시한 공격 방법에 대한 단계 분석 및 대응 방안은 한 예로서, 개선된 보안 지원 장치(120) 관리자 또는 설계자의 정책 변경이나 컴퓨팅 장치(53) 요청에 따라, 새로운 공격 방법과 단계 및 대응 방안이 추가되거나, 이전 등록된 공격 방법과 단계 및 대응 방안이 변경 또는 삭제될 수 있다.
상기 분석 모듈(125)은 상술한 공격 방법에 따른 공격 단계 분석과 관련하여, 패킷 검사 엔진(121)의 검사 결과에 대한 사이버 킬체인 분석을 수행할 수 있다. 이때, 분석 모듈(125)은 저장부(130)의 데이터베이스에 저장된 과거 데이터를 가져오고, 현재 업데이트된 NIDPS 보안 룰과 킬체인 룰을 적용하여 과거 공격 시도를 분석할 수 있다.
상기 분석 결과 처리 모듈(127)은 분석 모듈(125) 결과에 따른 리포팅을 위한 패킷 보안 메시지 생성 및 생성된 패킷 보안 메시지의 전달을 처리할 수 있다. 이와 관련하여, 분석 결과 처리 모듈(127)은 보안 메시지 생성 모듈 및 리포트 모듈을 포함할 수 있다. 상기 패킷 보안 메시지는 여러 가지 정보를 가질 수 있지만, 다음 표 2와 같은 정보를 포함할 수 있다.
Timestamp 출발지IP 목적지IP 공격 메시지 대응 방법 ...
표 2를 참조하면, 상기 패킷 보안 메시지는, 공격 패킷으로 간주되는 패킷 수신 시간에 해당하는 Timestamp, 해당 패킷의 출발지 IP와 목적지 IP, 공격 패킷의 용도에 해당하는 공격 메시지, 공격 방식에 따른 대응 방법을 적어도 포함할 수 있다. 추가적으로, 패킷 보안 메시지의 기입 항목은 추가, 삭제 또는 변경될 수 있다.
한편, 상기 분석 결과 처리 모듈(127)은 패킷 보안 메시지가 생성되면, 지정된 관리자 장치에 상기 패킷 보안 메시지를 리포트할 수 있다. 상기 관리자 장치는 예컨대, 네트워크 보안 지원 장치(100)를 관리하는 관리자의 전자 장치 또는 상기 공격 패킷이 타겟으로 하는 컴퓨팅 장치(53) 관리자의 전자 장치, 또는 상기 공격 패킷의 검출과 대응 방안에 대한 리포트를 요구한 관리자의 전자 장치로 전송할 수 있다. 이와 관련하여, 분석 결과 처리 모듈(127)은 상기 패킷 보안 메시지를 수신한 관리자 장치의 연결 정보를 저장 관리할 수 있다.
한편, 상기 분석 결과 처리 모듈(127)은 패킷 보안 메시지 생성과 관련하여 적응적 대응 처리(예: 모든 공격 단계들 중 적어도 일부 공격 단계들에 대한 리포트 수행)를 수행할 수 있다. 예컨대, 분석 결과 처리 모듈(127)은 설정 또는 정책에 따라 특정 공격 단계 이상(예: 설치 단계 이상)에 대해서만 패킷 보안 메시지를 생성하여 리포트할 수 있다. 상기 분석 결과 처리 모듈(127)은 설치 단계 미만의 공격 단계들에 대해서는 자동으로 공격 대응을 수행하고, 공격 단계 및 그에 따른 대응 처리 결과만을 관리자 장치에 리포트할 수 있다.
도 3은 본 발명의 실시 예에 따른 네트워크 보안 지원 장치의 기간 내 시계열 분석 방법의 한 예를 나타낸 도면이다.
도 3을 참조하면, 본 발명의 실시 예에 따른 네트워크 보안 지원 방법은, 네트워크 보안 지원 장치(100)가 301 단계에서, 검사를 수행할 패킷 리스트를 수집할 수 있다. 이와 관련하여, 네트워크 보안 지원 장치(100)는 특정 네트워크(50)에 접속하여, 해당 네트워크(50)를 통해 전달되는 패킷들에 대한 감시를 수행할 수 있다. 이 과정에서, 네트워크 보안 지원 장치(100)는 관리자의 설정에 따라, 지정된 기간 또는 특정 이벤트 발생 시 해당 네트워크(50)에 대한 패킷 모니터링 및 패킷 리스트 수집을 수행할 수 있다.
303 단계에서, 네트워크 보안 지원 장치(100)는 킬체인 룰 데이터를 수집할 수 있다. 상기 킬체인 루 데이터는 패킷 검사 결과에 대한 공격 단계 분석을 프로세스 단위로 처리하기 위한 것으로, 다른 분석 모델로 대체될 수도 있다.
305 단계에서, 네트워크 보안 지원 장치(100)의 패킷 검사 엔진(121)은 검사를 진행하는 패킷이 NIDPS 보안 룰을 위반한 패킷인지 확인할 수 있다. 상기 패킷 검사 엔진(121)은 상기 NIDPS 보안 룰 위반 여부에 대한 결과 및 패킷 관련 정보를 저장부(130)의 데이터베이스에 저장하는 한편, 패킷 검사 결과 및 해당 패킷을 분석 모듈(125)에 전달할 수 있다.
305 단계에서, 검사 중인 패킷이 NIDPS 보안 룰을 위반한 패킷인 경우, 네트워크 보안 지원 장치(100)의 분석 모듈(125)은 307 단계에서 공격 단계 분석을 수행할 수 있다. 이 과정에서, 분석 모듈(125)은 킬체인 분석 모델을 이용할 수 있다.
309 단계에서, 네트워크 보안 지원 장치(100)는 공격 단계 분석 결과가, 킬체인 룰에 등록된 공격 패턴 중 어떠한 공격 패턴에 해당하는지 확인할 수 있다. 킬체인 룰은 앞서 설명한 바와 같이, 단계별로 공격 방법과 대응 방안에 대한 데이터를 적용한 룰이다. 공격 방법은 NIDPS 엔진의 결과 검사와 매칭될 수 있다.
공격 단계 분석 결과가 킬체인 룰에 등록된 특정 공격 패턴에 해당하는 경우, 311 단계에서, 네트워크 보안 지원 장치(100)는 킬체인 룰에 등록된 공격 패턴에 매핑되는 대응 방안을 탐색할 수 있다.
309 단계에서, 네트워크 보안 지원 장치(100)는 공격 단계 분석 결과가 킬체인 룰에 등록되지 않은 공격 패턴인 경우 313 단계에서 에러 처리를 결정할 수 있다. 상기 에러 처리 내용은 공격 단계 분석 결과가 분석 모델에 포함되지 않은 항목임을 나타내는 정보를 포함할 수 있다. 한편, 305 단계에서, 네트워크 보안 지원 장치(100)는 수집된 패킷이 NIDPS 보안 룰을 위반한 패킷이 아닌 경우, 예컨대 일반 패킷인 경우, 이하 과정 예컨대 307 단계 내지 313 단계를 스킵할 수 있다.
다음으로, 네트워크 보안 지원 장치(100)는 315 단계에서 패킷 보안 메시지를 생성할 수 있다. 상기 패킷 보안 메시지는 공격 단계 분석 결과, 공격 단계에 따른 대응 방안(또는 방법), 시간 정보(Timestamp), 패킷의 출발지와 목적지 주소 정보(IP 주소) 등을 포함할 수 있다. 또는, 상기 패킷 보안 메시지는, 공격에 대한 대응 처리를 자동으로 수행하도록 설정된 경우, 공격 단계 분석에 따라 네트워크 보안 지원 장치(100)가 수행한 공격 대응 처리 결과를 포함할 수도 있다.
네트워크 보안 지원 장치(100)는 317 단계에서 현재 검사된 패킷은 마지막 패킷인지 확인할 수 있다. 마지막 패킷이면, 네트워크 보안 지원 장치(100)는 네트워크 보안 지원 기능을 종료할 수 있다. 현재 검사된 패킷이 마지막 패킷이 아니면, 네트워크 보안 지원 장치(100)는 305 단계 이전으로 분기하여 이하 과정을 재수행할 수 있다.
상술한 바와 같이, 본 발명의 실시 예에 따른 네트워크 보안 지원 방법에 따르면, 본 발명은 특정 컴퓨팅 장치(53)를 공격하는 공격 패킷에 대한 검사 결과에 대해, 프로세스 단위로 위협 요소를 정의하여, 단순히 공격 패킷이 존재하는지 여부 확인을 벗어나, 위협 단계에 대한 인식 및 그에 따른 적응적 처리를 지원할 수 있다. 또한, 상기 네트워크 보안 지원 방법은 현재 검사 중인 공격 패킷에 대한 분석을 수행하는 과정에서, 이전 저장부(130)의 데이터베이스에 저장된 공격 패킷에 대한 분석 결과를 참조함으로써, 현재 시점에서의 공격 패킷 분석 결과에 대한 시계열적 분석을 수행할 수 있다. 즉, 본 발명은 공격의 진행 상황을 판단할 수 있도록 함으로써, 보다 적극적인 진행 상태 확인 및 추정을 통해, 사이버 공격에 대한 동적 대응을 수행할 시간을 확보할 수 있도록 지원한다.
한편, 본 명세서와 도면에 개시된 실시 예들은 이해를 돕기 위해 특정 예를 제시한 것에 지나지 않으며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형예들이 실시 가능하다는 것은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게는 자명한 것이다.
10: 네트워크 보안 지원 환경
50: 네트워크
51: 공격자 장치
53: 컴퓨팅 장치
100: 네트워크 보안 지원 장치
110: 통신 인터페이스
120: 개선된 보안 지원 장치
130: 저장부

Claims (10)

  1. 네트워크에 접속되어 통신 채널을 형성하는 통신 인터페이스;
    상기 통신 인터페이스를 통해 수신되는 적어도 일부 패킷을 저장하는 저장부;
    상기 통신 인터페이스 및 상기 저장부와 기능적으로 연결된 개선된 보안 지원 장치를 포함하고,
    상기 개선된 보안 지원 장치는
    상기 통신 인터페이스가 수신하는 패킷의 적어도 일부를 포함하는 패킷 리스트를 수집하고, 패킷 리스트에 포함된 패킷들에 대한 보안 룰 위반 여부를 검사하는 패킷 검사 엔진;
    상기 패킷들 중 보안 룰을 위반한 공격 패킷에 대해 프로세스 단위로 위협 요소를 평가하는 분석 모듈;
    상기 평가 결과에 따른 패킷 보안 메시지를 생성하여 보고하는 분석 결과 처리 모듈;을 포함하는 것을 특징으로 하는 네트워크 보안 지원 장치.
  2. 제1항에 있어서,
    상기 패킷 검사 엔진은
    상기 패킷들이 NIDPS(Network Intrusion Detection and Prevention System) 보안 룰을 위반하는지 여부에 따라 공격 패킷 여부를 결정하는 것을 특징으로 하는 네트워크 보안 지원 장치.
  3. 제1항에 있어서,
    상기 분석 모듈은
    킬체인 룰에 따라 상기 공격 패킷에 대한 공격 단계를 결정하는 것을 특징으로 하는 네트워크 보안 지원 장치.
  4. 제3항에 있어서,
    상기 분석 모듈은
    상기 저장부에 저장된 이전 공격 패킷의 공격 단계를 참조하여 현재 수집된 공격 패킷에 대한 공격 단계를 시계열적으로 분석하는 것을 특징으로 하는 네트워크 보안 지원 장치.
  5. 제1항에 있어서,
    상기 분석 결과 처리 모듈은
    상기 공격 패킷이 수신된 시점 정보, 상기 공격 패킷의 출발지 및 목적지 정보, 상기 공격 단계에 대응하는 사전 정의된 대응 방안을 포함하는 상기 패킷 보안 메시지를 생성하는 것을 특징으로 하는 네트워크 보안 지원 장치.
  6. 제5항에 있어서,
    상기 분석 결과 처리 모듈은
    상기 대응 방안에 따른 공격 대응 처리를 수행하고, 상기 공격 대응 처리에 대한 결과를 상기 패킷 보안 메시지에 포함시키는 것을 특징으로 하는 네트워크 보안 지원 장치.
  7. 네트워크를 서버 장치에 전송되는 적어도 일부 패킷을 포함하는 패킷 리스트를 수집하는 단계;
    상기 패킷 리스트에 포함된 패킷이 NIDPS(Network Intrusion Detection and Prevention System) 보안 룰을 위반한 공격 패킷인지 여부를 검사하는 단계;
    상기 공격 패킷이 검출되면, 상기 검출된 공격 패킷에 대해 프로세스 단위로 위협 요소를 평가하는 킬체인 룰을 적용하는 단계;
    상기 킬체인 룰 적용에 따른 공격 단계에 대한 정보를 적어도 포함하는 패킷 보안 메시지를 생성하는 단계;
    상기 생성된 패킷 보안 메시지를 지정된 관리자 장치에 전송하는 단계;를 포함하는 특징으로 하는 네트워크 보안 지원 방법.
  8. 제7항에 있어서,
    상기 킬체인 룰을 적용하는 단계는
    저장부에 저장된 이전 공격 패킷의 공격 단계를 참조하여 현재 수집된 공격 패킷에 대한 공격 단계를 시계열적으로 분석하는 단계;를 포함하는 것을 특징으로 하는 네트워크 보안 지원 방법.
  9. 제7항에 있어서,
    상기 패킷 보안 메시지를 생성하는 단계는
    상기 공격 패킷이 수신된 시점 정보, 상기 공격 패킷의 출발지 및 목적지 정보, 상기 공격 단계에 대응하는 사전 정의된 대응 방안을 포함하는 상기 패킷 보안 메시지를 생성하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 지원 방법.
  10. 제9항에 있어서,
    상기 패킷 보안 메시지를 생성하는 단계는
    상기 대응 방안에 따른 공격 대응 처리를 수행하고, 상기 공격 대응 처리에 대한 결과를 상기 패킷 보안 메시지에 포함시키는 단계;를 더 포함하는 것을 특징으로 하는 네트워크 보안 지원 방법.
KR1020210115340A 2021-08-31 2021-08-31 네트워크 보안 지원 방법 및 이를 이용하는 보안 지원 장치 KR102616603B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210115340A KR102616603B1 (ko) 2021-08-31 2021-08-31 네트워크 보안 지원 방법 및 이를 이용하는 보안 지원 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210115340A KR102616603B1 (ko) 2021-08-31 2021-08-31 네트워크 보안 지원 방법 및 이를 이용하는 보안 지원 장치

Publications (2)

Publication Number Publication Date
KR20230032463A true KR20230032463A (ko) 2023-03-07
KR102616603B1 KR102616603B1 (ko) 2023-12-21

Family

ID=85512876

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210115340A KR102616603B1 (ko) 2021-08-31 2021-08-31 네트워크 보안 지원 방법 및 이를 이용하는 보안 지원 장치

Country Status (1)

Country Link
KR (1) KR102616603B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130093841A (ko) * 2012-01-26 2013-08-23 주식회사 시큐아이 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법
US20160308898A1 (en) * 2015-04-20 2016-10-20 Phirelight Security Solutions Inc. Systems and methods for tracking, analyzing and mitigating security threats in networks via a network traffic analysis platform
JP2019219898A (ja) * 2018-06-20 2019-12-26 三菱電機株式会社 セキュリティ対策検討ツール

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130093841A (ko) * 2012-01-26 2013-08-23 주식회사 시큐아이 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법
US20160308898A1 (en) * 2015-04-20 2016-10-20 Phirelight Security Solutions Inc. Systems and methods for tracking, analyzing and mitigating security threats in networks via a network traffic analysis platform
JP2019219898A (ja) * 2018-06-20 2019-12-26 三菱電機株式会社 セキュリティ対策検討ツール

Also Published As

Publication number Publication date
KR102616603B1 (ko) 2023-12-21

Similar Documents

Publication Publication Date Title
US10095866B2 (en) System and method for threat risk scoring of security threats
US20160241574A1 (en) Systems and methods for determining trustworthiness of the signaling and data exchange between network systems
CN111245793A (zh) 网络数据的异常分析方法及装置
CN111193719A (zh) 一种网络入侵防护系统
CN103701795B (zh) 拒绝服务攻击的攻击源的识别方法和装置
US10944784B2 (en) Identifying a potential DDOS attack using statistical analysis
US20160127406A1 (en) Identifying a potential ddos attack using statistical analysis
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
US11636208B2 (en) Generating models for performing inline malware detection
EP3374870B1 (en) Threat risk scoring of security threats
US11374946B2 (en) Inline malware detection
CN113079185B (zh) 实现深度数据包检测控制的工业防火墙控制方法及设备
KR20170091989A (ko) 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법
CN112787985B (zh) 一种漏洞的处理方法、管理设备以及网关设备
Seo et al. Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling
US20220245249A1 (en) Specific file detection baked into machine learning pipelines
KR102616603B1 (ko) 네트워크 보안 지원 방법 및 이를 이용하는 보안 지원 장치
CN112202821B (zh) 一种cc攻击的识别防御系统及方法
EP3999985A1 (en) Inline malware detection
US20030037260A1 (en) Heuristic profiler for packet screening
US12107826B2 (en) Cobalt Strike Beacon HTTP C2 heuristic detection
US12107872B2 (en) Deep learning pipeline to detect malicious command and control traffic
US11770361B1 (en) Cobalt strike beacon HTTP C2 heuristic detection
US20230231857A1 (en) Deep learning pipeline to detect malicious command and control traffic
Paoni Using Network Mapping and Anomaly Detection to Identify Advanced Persistent Threats

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant