KR20230032591A - Cyber attack detection method of electronic apparatus - Google Patents
Cyber attack detection method of electronic apparatus Download PDFInfo
- Publication number
- KR20230032591A KR20230032591A KR1020210115601A KR20210115601A KR20230032591A KR 20230032591 A KR20230032591 A KR 20230032591A KR 1020210115601 A KR1020210115601 A KR 1020210115601A KR 20210115601 A KR20210115601 A KR 20210115601A KR 20230032591 A KR20230032591 A KR 20230032591A
- Authority
- KR
- South Korea
- Prior art keywords
- remote
- path
- logins
- remote login
- login
- Prior art date
Links
- 238000001514 detection method Methods 0.000 title claims description 14
- 238000011156 evaluation Methods 0.000 claims abstract description 38
- 230000002159 abnormal effect Effects 0.000 claims abstract description 27
- 235000008694 Humulus lupulus Nutrition 0.000 claims abstract description 13
- 238000012545 processing Methods 0.000 claims description 10
- 238000011017 operating method Methods 0.000 abstract description 4
- 238000000034 method Methods 0.000 description 13
- 238000004422 calculation algorithm Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 206010000117 Abnormal behaviour Diseases 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000000513 principal component analysis Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000004374 forensic analysis Methods 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000007477 logistic regression Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/305—Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 개시는 전자 장치의 사이버 공격 탐지 방법에 관한 것이다.The present disclosure relates to a method for detecting a cyber attack on an electronic device.
사이버 킬체인(Cyber Kill Chain) 프레임워크는 록히드 마틴(Lockheed Martin)에서 제안한 개념으로 공격자가 목표를 이루기 위해 수행해야 하는 업무들을 단계별로 분석하여 공격자의 행동을 파악할 수 있는 프레임워크이다. 사이버 킬체인은 사이버 공격의 기법을 분류하는 데 활용되기도 하며, 공격자의 행동을 분석하고 예측하여 공격자의 공격을 방어하는 데에도 활용 가능하다. The Cyber Kill Chain framework is a concept proposed by Lockheed Martin, and is a framework that can identify the behavior of an attacker by analyzing the tasks that an attacker must perform to achieve a goal step by step. The cyber kill chain is also used to classify the techniques of cyber attacks, and can also be used to defend against attacks by analyzing and predicting the behavior of attackers.
사이버 킬체인을 이루는 여러 단계 중 Lateral Movement는 공격자가 초기 침투 이후에 거점을 확보하고, 장악하는 대상을 늘려 나가는 단계로 볼 수 있다. 공격자는 공격 대상의 외부 환경을 조사(External Reconnaissance)하며, 초기 침입 대상을 선정하고 침투에 성공(Initial Compromise)한다. 이후 공격자는 공격 대상을 확대시키기 위해 내부 정찰(Internal Reconnaissance)을 수행하며, 공격에 필요한 자원에 대한 접근을 위해 권한 상승(Privilege Escalation)을 시도한다. 공격자는 상승된 권한을 활용하여 다른 디바이스에 접근할 수 있는 인증 정보를 획득(Compromise Credential)하며, 획득한 인증 정보를 통해 다른 디바이스에 대한 제어권도 확보(Compromise Other Devices)한다. 공격자는 필요한 자원에 대한 접근 권한을 얻을 때까지 Lateral Movement를 계속 수행하며 내부에서의 제어권을 확장시키며 데이터 유출, 시스템 파괴 등 목표에 대한 활동을 수행(Action on Objectives)하며 최종적으로 임무를 완수(Mission Complete) 시킨다. Among the various steps that make up the cyber kill chain, Lateral Movement can be seen as a step in which an attacker secures a foothold after the initial infiltration and increases the number of targets he takes control of. The attacker investigates the external environment of the attack target (External Reconnaissance), selects an initial intrusion target, and infiltrates successfully (Initial Compromise). Afterwards, the attacker performs internal reconnaissance to expand the attack target, and attempts privilege escalation to gain access to resources required for the attack. An attacker uses elevated privileges to obtain authentication information to access other devices (Compromise Credential), and also secures control over other devices through the acquired authentication information (Compromise Other Devices). The attacker continues to perform Lateral Movement until it gains access to the necessary resources, expands internal control, performs actions on objectives such as data leakage and system destruction (Action on Objectives), and finally completes the mission (Mission). Complete).
이러한 Lateral Movement는 고도화된 APT (Advanced Persistent Threat) 공격이나 표적공격 수행 시 자주 활용되며, 공격자는 오랜 기간 동안 은밀하게 공격을 수행하기 때문에 공격을 탐지하기가 쉽지 않다. 하지만 공격자는 다른 디바이스나 컴퓨터에 로그인할 때 공격자가 필요로 하는 정보를 가진 컴퓨터로 공격자가 획득 가능한 인증 정보를 활용하여 로그인하기 때문에 일반적인 사용자의 원격 로그인 패턴과는 다른, 평소에는 발생하지 않는 로그인 경로를 활용할 확률이 높다.This lateral movement is frequently used in advanced APT (Advanced Persistent Threat) attacks or target attacks, and it is not easy to detect attacks because attackers carry out attacks covertly for a long period of time. However, when an attacker logs in to another device or computer, the attacker logs in to the computer that has the information the attacker needs by using the authentication information that the attacker can obtain. are more likely to use
Lateral Movement 탐지에 대한 연구는 여러가지 데이터 셋과 다양한 탐지 방법을 활용하여 지속적으로 이루어지고 있다. 일 연구에서는 침해된 컴퓨터나 계정이 발견되었을 때 공격과 관련된 다른 컴퓨터와 경로를 검사하는 포렌식 분석(Forensic Analysis)과 침해된 컴퓨터나 계정이 발견되지 않았을 때 알려지지 않은 노드 간의 Lateral Movement를 탐지하는 일반 탐지(General Detection) 개념을 제시하였다. 기본적으로 컴퓨터 간의 원격 로그인 정보를 활용하여 공격자의 이상 행위를 탐지하였으며, 오탐을 줄이기 위해 로그온 이후 이루어지는 서비스 인스톨이나 태스크(task) 등록 및 이후에 이루어지는 프로세스 생성 이벤트 정보들을 조합하여 이상 행위를 탐지하였다. 이 연구에서는 원격 로그인 정보 활용 시 로그인하는 사용자의 정보는 배제하고 컴퓨터의 정보만을 활용했기 때문에 한 컴퓨터 내에 여러 사용자가 존재하는 환경에 적용하기에는 제한점이 있을 것으로 판단된다. Research on lateral movement detection is continuously conducted using various data sets and various detection methods. In one study, when a compromised computer or account is found, forensic analysis is performed to examine other computers and paths related to the attack, and general detection is performed to detect Lateral Movement between unknown nodes when the compromised computer or account is not found. (General Detection) concept was presented. Basically, the attacker's abnormal behavior was detected by using the remote login information between computers, and in order to reduce false positives, the abnormal behavior was detected by combining service installation or task registration after logon and subsequent process creation event information. In this study, when using remote login information, it is judged that there will be limitations in applying it to an environment where multiple users exist in one computer because only the information of the computer was used, excluding the information of the user logging in.
일 연구에서는 보안 이벤트 로그에서 추출할 수 있는 다양한 피처(feature)를 이용해 윈도우 서버에서 발생하는 이벤트들을 클러스터링하였다. 이 실험에서 서로 다른 서버들은 서로 다른 이벤트 패턴을 보임을 확인함으로써 시스템에서 발생하는 이상 행위를 탐지할 수 있는 가능성을 보였다. In one study, events occurring in Windows servers were clustered using various features that could be extracted from security event logs. In this experiment, it was confirmed that different servers showed different event patterns, showing the possibility of detecting abnormal behaviors occurring in the system.
일 연구에서는 인증 이벤트로부터 기본적인 피처 외에 합성 피처들을 추출하고, 인증 로그를 분류하는 지도학습 기술에 대한 방식을 제시하였다. 모델은 Random Forest, LogitBoost, Logistic Regression, 그리고 최종적으로 각 인증 이벤트에 대해 각 모델들의 예측 결과를 종합적으로 활용하는 Majority Voting을 활용하여 악의적인 이벤트를 탐지하였다.In one study, a method for a supervised learning technology that extracts synthetic features in addition to basic features from authentication events and classifies authentication logs was presented. The model detected malicious events by utilizing Random Forest, LogitBoost, Logistic Regression, and finally Majority Voting, which comprehensively utilizes the prediction results of each model for each authentication event.
일 연구에서는 기업에서 수집된 운용 데이터를 수집하여 기업 IT 환경에서 발생하는 Lateral Movement를 탐지하였다. 이 연구에서는 이벤트 로그에서부터 피처들을 선정하고 클러스터링 알고리즘인 HDBSCAN (Hierarchical Density-Based Spatial Clustering for Applications with Noise)을 적용하여 클러스터에서 멀리 떨어진 아웃라이어를 탐지하여 비정상 행위 탐지를 시도하였다. 또한 차원 축소 방법인 PCA(Principal Component Analysis)를 활용하여 고차원의 데이터를 데이터 간의 차이를 최대화할 수 있는 새로운 축을 가진 데이터로 변환시킨 후 통상적으로 표준편차의 3배의 차이가 나는 데이터를 outlier로 식별하여 악의적인 데이터로 분류하였다. In one study, operational data collected from companies was collected to detect Lateral Movement occurring in the company IT environment. In this study, features were selected from the event log, and HDBSCAN (Hierarchical Density-Based Spatial Clustering for Applications with Noise), a clustering algorithm, was applied to detect outliers far from the cluster to attempt anomaly detection. In addition, PCA (Principal Component Analysis), a dimensionality reduction method, is used to transform high-dimensional data into data with a new axis that can maximize the difference between data, and then identify data with a difference of three times the standard deviation as an outlier. and classified as malicious data.
일 연구에서는 네트워크 트래픽에서 피처를 추출하고 두 집합의 교집합을 합집합으로 나누어 유사도 점수를 정량적으로 측정하는 Jaccard Similarity Coefficient 방식을 사용하여 네트워크 트래픽 간의 유사도를 측정한 후 측정된 유사도를 통해 비유사도를 정량적으로 도출하고 비정상적인 트래픽을 식별하였다.In one study, the similarity between network traffic was measured using the Jaccard Similarity Coefficient method, which quantitatively measures the similarity score by extracting features from network traffic and dividing the intersection of the two sets by the union, and then quantitatively dissimilarity through the measured similarity. derived and identified abnormal traffic.
본 발명은 시스템에 침입한 공격자가 한 컴퓨터에서 다른 컴퓨터로 장악 대상을 늘려가는 Lateral Movement를 탐지하기 위하여 복수의 원격 로그인들에 관한 데이터베이스에서 제1경로를 통해 원격 로그인이 발생한 제1횟수 및 제1경로와 동일한 홉(hop) 수를 갖는 경로를 통해 원격 로그인이 발생한 제2횟수를 기초로 제1경로에 관한 평가 지수를 결정하고, 제1경로를 통한 원격 로그인이 발생하는 경우, 원격 로그인의 비정상 여부를 확인하는 방법의 실시 예를 포함한다.In order to detect Lateral Movement in which an attacker intruding into a system increases control targets from one computer to another, the present invention determines the first number of remote logins occurring through a first path and the first number of remote logins in a database on a plurality of remote logins. An evaluation index for the first path is determined based on the second number of remote logins occurring through the path having the same number of hops as the path, and if remote login occurs through the first path, the remote login is abnormal It includes an embodiment of a method for confirming whether or not.
본 발명이 이루고자 하는 기술적 과제는 상기된 바와 같은 과제로 한정되지 않으며, 이하의 실시예들로부터 또 다른 기술적 과제들이 유추될 수 있다.The technical problem to be achieved by the present invention is not limited to the above problem, and other technical problems can be inferred from the following embodiments.
일 실시예에 따라, 전자 장치의 사이버 공격 탐지 방법에 있어서, 복수의 컴퓨터들에서 발생한 복수의 원격 로그인들에 관한 데이터베이스를 획득하는 단계; 상기 데이터베이스를 기초로, 상기 복수의 원격 로그인들 중에서 제1경로를 통해 원격 로그인이 발생한 제1횟수 및 상기 복수의 원격 로그인들 중에서 상기 제1경로와 동일한 홉(hop) 수를 갖는 경로를 통해 원격 로그인이 발생한 제2횟수를 확인하고, 상기 제1횟수 및 상기 제2횟수를 기초로 상기 제1경로에 관한 평가 지수를 결정하는 단계; 및 상기 결정된 평가 지수를 기초로, 상기 제1경로를 갖는 제1 원격 로그인이 식별되는 경우, 상기 제1 원격 로그인의 비정상 여부를 확인하는 단계를 포함할 수 있다.According to an embodiment, a method for detecting a cyber attack on an electronic device includes acquiring a database of a plurality of remote logins generated from a plurality of computers; Based on the database, the first number of occurrences of remote logins through a first path among the plurality of remote logins and remote logins through a path having the same number of hops as the first path among the plurality of remote logins. checking a second number of logins, and determining an evaluation index for the first path based on the first number and the second number of times; and checking whether the first remote login is abnormal when the first remote login having the first path is identified based on the determined evaluation index.
일 실시예에 따라, 전자 장치로서, 적어도 하나의 프로그램이 저장된 메모리; 및 상기 적어도 하나의 프로그램을 실행함으로써, 복수의 컴퓨터들에서 발생한 복수의 원격 로그인들에 관한 데이터베이스를 획득하고, 상기 데이터베이스를 기초로, 상기 복수의 원격 로그인들 중에서 제1경로를 통해 원격 로그인이 발생한 제1횟수 및 상기 복수의 원격 로그인들 중에서 상기 제1경로와 동일한 홉(hop) 수를 갖는 경로를 통해 원격 로그인이 발생한 제2횟수를 확인하고, 상기 제1횟수 및 제2횟수를 기초로 상기 제1경로에 관한 평가 지수를 결정하고, 상기 결정된 평가 지수를 기초로, 상기 제1경로를 갖는 제1 원격 로그인이 식별되는 경우, 상기 제1 원격 로그인의 비정상 여부를 확인하도록 구성된 프로세서를 포함할 수 있다.According to one embodiment, an electronic device includes a memory in which at least one program is stored; and by executing the at least one program, obtaining a database of a plurality of remote logins generated on a plurality of computers, and based on the database, a remote login occurred through a first path among the plurality of remote logins. The first number and the second number of remote logins occurred through a path having the same number of hops as the first path among the plurality of remote logins, and based on the first number and the second number, and a processor configured to determine an evaluation index for the first path, and to determine whether the first remote login is abnormal when a first remote login having the first path is identified based on the determined evaluation index. can
일 실시예에 따라, 컴퓨터로 읽을 수 있는 기록매체는 상술한 동작 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 비일시적 기록매체를 포함할 수 있다.According to an embodiment, the computer-readable recording medium may include a non-transitory recording medium on which a program for executing the above-described operating method is recorded on a computer.
기타 실시예들의 구체적인 사항은 상세한 설명 및 도면들에 포함된다.Details of other embodiments are included in the detailed description and drawings.
본 개시에 따르면, 인증 로그의 컴퓨터 정보뿐만 아니라, 사용자 계정 정보까지 활용하여 로그인 경로를 식별하므로 공격자가 이미 인증 정보를 획득한 사용자 계정을 통해 일반 사용자들이 자주 사용하는 경로로 시스템에 침투하더라도 이를 탐지할 수 있는 가능성과 탐지 정확도를 높일 수 있는 장점이 있다. According to the present disclosure, since a login path is identified by utilizing not only computer information in the authentication log but also user account information, even if an attacker infiltrates the system through a user account for which authentication information has already been obtained, it is detected through a path frequently used by general users. It has the advantage of increasing the possibility and detection accuracy.
또한, 다중 홉 경로를 통한 원격 로그인 식별 시 연속된 원격 로그인 사이에 제한 시간을 두어, 제한 시간을 넘는 연속된 원격 로그인을 갖는 다중 홉 경로 원격 로그인은 다중 홉으로 보지 않게 되어, 실제 제한 시간 이내의 연속된 원격 로그인 발생 시 이를 공격자의 침투 경로 혹은 비정상 경로로 판단할 수 있는 이점이 있다.In addition, when identifying remote logins through a multi-hop path, a time limit is placed between consecutive remote logins, so that a multi-hop path remote login with consecutive remote logins exceeding the time limit is not viewed as a multi-hop, When continuous remote login occurs, it has the advantage of being able to determine it as an attacker's penetration path or an abnormal path.
발명의 효과는 이상에서 언급한 효과만으로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 청구범위 기재로부터 당해 기술 분야의 통상의 기술자에게 명확하게 이해될 수 있다.Effects of the invention are not limited to only the effects mentioned above, and other effects not mentioned can be clearly understood by those skilled in the art from the description of the claims.
도 1 은 본 개시에 따른 전자 장치를 나타낸다.
도 2 는 본 개시에 따른 실시예가 사용되는 환경을 나타낸다.
도 3 은 1-홉 원격 로그인과 다중 홉 원격 로그인의 식별 시 사용되는 피쳐(Feature)를 나타낸다.
도 4 는 본 개시에 따른 실시예가 사용되는 환경을 나타낸다.
도 5 는 본 개시에 따른 방법의 일 실시예를 나타낸다.1 shows an electronic device according to the present disclosure.
2 shows an environment in which an embodiment according to the present disclosure is used.
3 shows features used when identifying 1-hop remote login and multi-hop remote login.
4 shows an environment in which an embodiment according to the present disclosure is used.
5 shows one embodiment of a method according to the present disclosure.
실시 예들에서 사용되는 용어는 본 개시에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 개시에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 개시의 전반에 걸친 내용을 토대로 정의되어야 한다.The terms used in the embodiments have been selected as general terms that are currently widely used as much as possible while considering the functions in the present disclosure, but they may vary depending on the intention or precedent of a person skilled in the art, the emergence of new technologies, and the like. In addition, in a specific case, there are also terms arbitrarily selected by the applicant, and in this case, the meaning will be described in detail in the corresponding description. Therefore, terms used in the present disclosure should be defined based on the meaning of the term and the general content of the present disclosure, not simply the name of the term.
명세서 전체에서 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다. When it is said that a certain part "includes" a certain component throughout the specification, it means that it may further include other components without excluding other components unless otherwise stated.
명세서 전체에서 특별한 언급이 없는 한, "비정상 원격 로그인"은, 시스템에 침투하려고 하는 공격자의 원격 로그인이거나, 그러한 가능성이 높은 원격 로그인을 의미한다.Unless otherwise specified throughout the specification, “abnormal remote login” means a remote login by an attacker trying to infiltrate the system, or a remote login with a high probability.
명세서 전체에서 특별한 언급이 없는 한, "홉(hop)"은, 출발지 컴퓨터에서 도착지 컴퓨터로 원격 로그인할 때, 출발지 컴퓨터로부터 도착지 컴퓨터까지 존재하는 컴퓨터들 사이의 원격 로그인의 수을 의미한다. 예를 들어, "1-홉 원격 로그인"은 일 컴퓨터에서 경유지 컴퓨터 없이 다른 컴퓨터로 원격 로그인하는 것을 의미하고, "2-홉 원격 로그인"은 일 컴퓨터에서 경유지 컴퓨터 하나를 거쳐 다른 컴퓨터로 원격 로그인하는 것을 의미한다. 따라서, "N-홉 원격 로그인"은 일 컴퓨터에서 경유지 컴퓨터 (N-1)개를 거쳐 다른 컴퓨터로 원격 로그인하는 것을 의미한다. 또한, "다중 원격 로그인"은 N이 2 이상인 "N-홉 원격 로그인"을 의미한다.Throughout the specification, unless otherwise specified, “hop” refers to the number of remote logins between computers that exist from the source computer to the destination computer when remotely logging in from the source computer to the destination computer. For example, "one-hop remote login" means remote login from one computer to another computer without a waypoint computer, and "two-hop remote login" means remote login from one computer to another computer via one waypoint computer. means that Thus, "N-hop remote login" means remote login from one computer to another computer via (N-1) waypoint computers. Also, "multiple remote logins" means "N-hop remote logins" in which N is 2 or more.
명세서 전체에서 특별한 언급이 없는 한, "제1 원격 로그인과 제2 원격 로그인이 연속"이라는 어구는, 제1 원격 로그인의 도착지 컴퓨터 및 도착지 계정이 각각 제2 원격 로그인의 출발지 컴퓨터 및 출발지 계정이 되는 경우를 의미한다.Unless otherwise specified throughout the specification, the phrase “the first remote login and the second remote login are consecutive” means that the destination computer and destination account of the first remote login become the source computer and source account of the second remote login, respectively. means case.
이하에서는 도면을 참조하여 본 개시의 실시예를 설명한다.Hereinafter, embodiments of the present disclosure will be described with reference to the drawings.
도 1 은 본 개시에 따른 전자 장치를 나타낸다.1 shows an electronic device according to the present disclosure.
전자 장치(100)는 프로세서(110) 및 메모리(120)를 포함한다. 도 1 에 도시된 전자 장치(100)에는 본 실시예들과 관련된 구성요소들만이 도시되어 있다. 따라서, 전자 장치(100)에는 도 1 에 도시된 구성요소들 외에 다른 범용적인 구성요소들이 더 포함될 수 있음은 당해 기술분야의 통상의 기술자에게 자명하다. The
프로세서(110)는 전자 장치(100)가 사이버 공격을 탐지하기 위한 전반적인 기능들을 제어하는 역할을 한다. 예를 들어, 프로세서(110)는 전자 장치(100) 내의 메모리(120)에 저장된 프로그램들을 실행함으로써, 전자 장치(100)를 전반적으로 제어한다. 프로세서(110)는 전자 장치(100) 내에 구비된 CPU(central processing unit), GPU(graphics processing unit), AP(application processor) 등으로 구현될 수 있으나, 이에 제한되지 않는다.The
메모리(120)는 전자 장치(100) 내에서 처리되는 각종 데이터들을 저장하는 하드웨어로서, 메모리(120)는 전자 장치(100)에서 처리된 데이터들 및 처리될 데이터들을 저장할 수 있다. 또한, 메모리(120)는 전자 장치(100)에 의해 구동될 애플리케이션들, 드라이버들 등을 저장할 수 있다. 메모리(120)는 DRAM(dynamic random access memory), SRAM(static random access memory) 등과 같은 RAM(random access memory), ROM(read-only memory), EEPROM(electrically erasable programmable read-only memory), CD-ROM, 블루레이 또는 다른 광학 디스크 스토리지, HDD(hard disk drive), SSD(solid state drive), 또는 플래시 메모리를 포함할 수 있다. The
원격 로그인들은 데이터베이스 형태로 시스템에 저장될 수 있고, 프로세서(110)는 복수의 컴퓨터들에서 발생한 복수의 원격 로그인들에 관한 데이터베이스를 획득할 수 있다. 일 실시예에서, 원격 로그인이 발생하면 원격 로그인에 관한 로그 또는 정보가 전자 장치(100)로 전달되어, 프로세서(110)는 로그 또는 정보를 메모리(120)에 저장하여 데이터베이스를 구축할 수 있다. 다른 실시예에서, 원격 로그인이 발생하면 원격 로그인에 관한 로그 또는 정보가 전자 장치(100)로 전달되어, 프로세서(110)는 로그 또는 정보를 기존의 데이터베이스에 추가하여 시스템 또는 전자장치(100)의 메모리(120)에 저장할 수 있다. 또 다른 실시예에서, 프로세서(110)는 시스템의 인증 로그(Authentication Log) 로부터 데이터베이스를 전달받을 수 있다.The remote logins may be stored in the system in the form of a database, and the
도 2 는 본 개시에 따른 실시예가 사용되는 환경을 나타낸다. 도 2 의 C1, C2, C3, C4 의 큰 원은 개별 컴퓨터를 의미하고, U1, U2, ... , U9는 사용자 계정을 의미한다. 도 2 의 화살표는 화살표의 시작점에 위치하는 사용자 계정과 컴퓨터에서 화살표의 끝점에 위치하는 사용자 계정을 사용하여 인접하는 원에 해당하는 컴퓨터로 원격 로그인 하는 것을 뜻한다. 2 shows an environment in which an embodiment according to the present disclosure is used. Large circles of C1, C2, C3, and C4 in FIG. 2 denote individual computers, and U1, U2, ..., U9 denote user accounts. An arrow in FIG. 2 indicates remote login to a computer corresponding to an adjacent circle using a user account located at the start point of the arrow and a user account located at the end point of the arrow on the computer.
일 실시예에서, 프로세서(110)는 데이터베이스를 기초로 원격 로그인이 발생한 빈도를 확인하고, 확인한 빈도를 기초로 원격 로그인의 비정상 여부를 확인할 수 있다. 일 실시예에서, 프로세서(110)는 특정 기간 동안의 원격 로그인 이력이 저장된 데이터베이스에서 특정 원격 로그인이 몇 회 발생했는지 확인한 다음, 이를 기초로 특정 원격 로그인 탐지 시 특정 원격 로그인의 비정상 여부를 확인할 수 있다. 예를 들어, 도 2 의 C1 컴퓨터의 U3 계정에서 C2 컴퓨터의 U9 계정으로 원격 로그인하는 점선 화살표는 평소 빈번하게 발생하는 원격 로그인이므로, 프로세서(110)는 원격 로그인 이력이 저장된 데이터베이스에서 C1 컴퓨터의 U3 계정에서 C2 컴퓨터의 U9 계정으로의 원격 로그인이 발생한 횟수를 기초로 C1 컴퓨터의 U3 계정에서 C2 컴퓨터의 U9 계정으로의 원격 로그인이 정상 원격 로그인이라고 확인할 수 있다. 한편, 도 2 의 C4 컴퓨터의 U8 계정에서 C3 컴퓨터의 U6 계정으로 로그인하는 실선 화살표는 평소 빈번하게 발생하지 않는 원격 로그인이므로, 프로세서(110)는 원격 로그인 이력이 저장된 데이터베이스에서 C4 컴퓨터의 U8 계정에서 C3 컴퓨터의 U6 계정으로의 원격 로그인이 발생한 횟수를 기초로 C4 컴퓨터의 U8 계정에서 C3 컴퓨터의 U6 계정으로의 원격 로그인이 비정상 원격 로그인이라고 확인할 수 있다. In one embodiment, the
일 실시예에서, 프로세서(110)는 확인 대상 원격 로그인을 식별하면, 복수의 원격 로그인들의 이력이 저장된 데이터베이스를 기초로, 현재 발생한 확인 대상 원격 로그인과 동일한 경로를 통한 원격 로그인이 발생한 횟수를 확인한 다음, 이를 기초로 확인 대상 원격 로그인의 비정상 여부를 확인할 수 있다. In one embodiment, if the
일 실시예에서, 프로세서(110)는 복수의 원격 로그인들의 이력이 저장된 데이터베이스를 기초로, 데이터베이스에 저장된 모든 원격 로그인 경로에 대해, 개별 경로를 통하여 원격 로그인이 발생한 횟수를 확인하고, 개별 경로를 통해 원격 로그인이 발생한 개별 횟수를 데이터베이스에 저장할 수 있다. 따라서 이 경우, 프로세서(110)는 확인 대상 원격 로그인을 식별하면 현재 발생한 확인 대상 원격 로그인과 동일한 경로를 통하여 발생한 원격 로그인의 횟수를 데이터베이스로부터 확인하여 이를 기초로 확인 대상 원격 로그인의 비정상 여부를 확인할 수 있다.In one embodiment, the
일 실시예에서, 확인 대상 원격 로그인의 로그인 경로에는 출발지 컴퓨터의 출발지 계정에서 도착지 컴퓨터의 도착지 계정으로 원격 로그인하는 1-홉 원격 로그인 경로, 또는 출발지 컴퓨터의 출발지 계정에서 적어도 하나의 경유지 컴퓨터의 적어도 하나의 경유지 계정을 거쳐 도착지 컴퓨터의 도착지 계정으로 원격 로그인하는 다중 홉 원격 로그인 경로가 포함될 수 있고, 프로세서(110)는 원격 로그인의 홉(hop) 수를 확인할 수 있다. In one embodiment, the login path of the remote login to be checked includes a 1-hop remote login path remotely logging in from a source account of the source computer to a destination account of the destination computer, or at least one of at least one waypoint computer from the source account of the source computer. A multi-hop remote login path that remotely logs in to the destination account of the destination computer via a waypoint account of , may be included, and the
일 실시예에서, 프로세서(110)는 확인 대상 원격 로그인을 식별하면, 복수의 원격 로그인들의 이력이 저장된 데이터베이스를 기초로, 현재 발생한 확인 대상 원격 로그인과 동일한 경로를 통한 원격 로그인이 발생한 제1횟수를 확인하고, 확인 대상 원격 로그인의 경로와 동일한 홉 수를 갖는 원격 로그인이 발생한 제2횟수를 확인하고, 제1횟수와 제2횟수를 기초로 확인 대상 원격 로그인의 경로에 관한 평가 지수를 결정하고, 평가 지수를 기초로 확인 대상 원격 로그인의 비정상 여부를 확인할 수 있다. In one embodiment, if the
일 실시예에서, 프로세서(110)는 복수의 원격 로그인들의 이력이 저장된 데이터베이스를 기초로, 데이터베이스에 저장된 모든 원격 로그인 경로에 대해, 개별 경로를 통하여 원격 로그인이 발생한 횟수를 확인하고, 개별 경로를 통해 원격 로그인이 발생한 개별 횟수를 데이터베이스에 저장할 수 있다. 따라서 이 경우, 프로세서(110)는 확인 대상 원격 로그인을 식별하면 현재 발생한 확인 대상 원격 로그인과 동일한 경로를 통하여 발생한 원격 로그인의 횟수를 데이터베이스로부터 확인하여 제1횟수로 하고, 확인 대상 원격 로그인의 경로와 동일한 홉 수를 갖는 개별 경로를 통하여 원격 로그인이 발생한 개별 횟수를 모두 더하여 이를 제2횟수로 하고, 제1횟수와 제2횟수를 기초로 확인 대상 원격 로그인의 경로에 관한 평가 지수를 결정하고, 평가 지수를 기초로 확인 대상 원격 로그인의 비정상 여부를 확인할 수 있다. In one embodiment, the
일 실시예에서, 프로세서(110)는 복수의 원격 로그인들의 이력이 저장된 데이터베이스를 기초로, 데이터베이스에 저장된 모든 원격 로그인 경로에 대해, 개별 경로를 통하여 원격 로그인이 발생한 횟수를 확인하고, 이를 기초로 모든 개별 경로에 관한 평가 지수를 결정하여 데이터베이스에 저장할 수 있다. 따라서 이 경우, 프로세서(110)는 확인 대상 원격 로그인을 식별하면 현재 발생한 확인 대상 원격 로그인과 동일한 경로를 통하여 발생한 원격 로그인의 평가 지수를 데이터베이스로부터 확인하여 이를 기초로 확인 대상 원격 로그인의 비정상 여부를 확인할 수 있다.In one embodiment, the
일 실시예에서, 1-홉 로그인 경로의 평가 지수는 아래 수학식 1 과 같이 계산될 수 있다.In one embodiment, the evaluation index of the 1-hop login path can be calculated as in Equation 1 below.
위 수학식 1 에서, , 는 개별 컴퓨터를 의미하고, , 는 개별 계정을 의미한다. 는 컴퓨터 의 계정 에서, 컴퓨터 의 계정 로 1-홉 로그인하는 경로의 평가 지수를 의미한다. 는 데이터베이스를 기초로 하여 컴퓨터 의 계정 에서, 컴퓨터 의 계정 로 로그인하는 경로가 발생한 횟수를 의미한다. 는 데이터베이스를 기초로 하여 1-홉 로그인 경로의 원격 로그인이 발생한 총 횟수를 의미한다.In Equation 1 above, , represents an individual computer, , means an individual account. the computer account of in computer account of It means the evaluation index of the 1-hop login path with . is a computer based on a database account of in computer account of It means the number of occurrences of the path to log in with . Means the total number of remote logins of the 1-hop login path based on the database.
일 실시예에서, 개의 홉을 가지는 다중 홉 로그인 경로의 평가 지수는 아래 수학식 2 와 같이 계산될 수 있다. In one embodiment, An evaluation index of a multi-hop login path having N hops can be calculated as in Equation 2 below.
위 수학식 1 에서, 와 는 를 만족하는 정수이다. , ... , 는 개별 컴퓨터를 의미하고, , ... , 는 개별 계정을 의미한다. 는 컴퓨터 의 계정 에서 시작하여, 계정 를 사용하여 컴퓨터 를 경유하고, 컴퓨터 의 계정 로 홉 로그인하는 경로의 평가 지수를 의미한다. 는 데이터베이스를 기초로 하여 컴퓨터 의 계정 에서 시작하여, 계정 를 사용하여 컴퓨터 를 경유하고, 컴퓨터 의 계정 로 홉 로그인하는 경로가 발생한 횟수를 의미한다. 는 데이터베이스를 기초로 하여 홉 로그인 경로의 원격 로그인이 발생한 총 횟수를 의미한다In Equation 1 above, and Is is an integer that satisfies , ... , represents an individual computer, , ... , means an individual account. the computer account of Starting from, your account using computer via the computer account of as It means the evaluation index of the hop log-in path. is a computer based on a database account of Starting from, your account using computer via the computer account of as Hop Indicates the number of times the log-in path has occurred. is based on the database It means the total number of remote logins of the hop login path.
일 실시예에서, 평가 지수의 계산은 정상적인 운영 환경에서 일반적인 사용자들이 사용하는 인증 로그를 통해 이루어질 수 있다. 이 경우 평가 지수의 산출은 정상적 상태를 학습하는 과정으로 볼 수 있다.In one embodiment, the evaluation index may be calculated through authentication logs used by general users in a normal operating environment. In this case, the calculation of the evaluation index can be seen as a process of learning a normal state.
수학식 1 내지 수학식 2 에 따르면, 정상적인 운영 환경에서 사용자가 자주 사용하는 원격 로그인 경로에 대한 평범도 평가 지수는 다른 경로에 비해 상대적으로 높아질 수 있고, 자주 사용되지 않는 원격 로그인 경로에 대한 평가 지수는 상대적으로 낮아질 수 있다. 특히 일반적인 운영 환경에서 한 번도 출현하지 않은 원격 로그인 경로의 평범도 평가 지수는 0이므로, 해당 경로를 통한 원격 로그인이 탐지된다면 그 원격 로그인은 비정상 원격 로그인일 확률이 높을 수 있다. 따라서 일 실시예에서, 프로세서(110)는 평가 지수가 0인 경로를 따라 발생한 원격 로그인을 비정상 원격 로그인으로 인식할 수 있다. According to Equations 1 and 2, the normality evaluation index for the remote login path frequently used by users in a normal operating environment can be relatively high compared to other paths, and the evaluation index for the remote login path infrequently used. can be relatively low. In particular, since the normality evaluation index of a remote login path that has never appeared in a general operating environment is 0, if a remote login through that path is detected, it may be highly likely that the remote login is an abnormal remote login. Accordingly, in one embodiment, the
일 실시예에서, 프로세서(110)는 원격 로그인 경로의 평가 지수가 기 설정된 범위 이내인지 여부를 판단하여, 원격 로그인의 비정상 여부를 확인할 수 있다. 기 설정된 범위는 네트워크 시스템의 속성, 공격자의 공격 패턴 등을 고려하여 설정될 수 있다. 보다 구체적으로, 기 설정된 범위는 공격자의 원격 로그인 시간 간격과 전자 장치(100) 또는 프로세서(110)의 처리 속도 및 메모리(120) 크기 등을 고려하여 설정될 수 있다. In one embodiment, the
일 실시예에서, 프로세서(110)는 1-홉 원격 로그인 경로와 다중 홉 원격 로그인 경로를 구분 또는 확인하여 로그인 경로의 평가 지수를 결정할 수 있다. 구체적으로, 프로세서(110)는 수학식 1 의 를 확인할 때 다중 홉 원격 로그인 경로를 구성하는 1-홉 원격 로그인 경로를 제외시킬 수 있다. 따라서 이 경우, 프로세서(110)는 수학식 1 의 를 확인할 때 다중 홉 원격 로그인 경로의 일부가 아닌 1-홉 원격 로그인 경로만 확인할 수 있다. 일 실시예에서, 프로세서(110)는 수학식 1 의 를 확인할 때 다중 홉 원격 로그인 경로를 구성하는 1-홉 원격 로그인 경로를 제외시킬 수 있다. 따라서 이 경우, 프로세서(110)는 수학식 1 의 를 확인할 때 다중 홉 원격 로그인 경로의 일부가 아닌 1-홉 원격 로그인 경로만 확인할 수 있다. In one embodiment, the
다른 실시예에서, 프로세서(110)는 수학식 1 의 를 확인할 때 다중 홉 원격 로그인 경로를 구성하는 1-홉 원격 로그인 경로를 함께 확인할 수 있다. 따라서 이 경우, 프로세서(110)는 수학식 1 의 를 확인할 때 1-홉 원격 로그인 경로가 다중 홉 원격 로그인 경로의 일부인지 여부를 확인하지 않고 1-홉 원격 로그인 경로를 모두 확인할 수 있다. 일 실시예에서, 프로세서(110)는 수학식 1 의 를 확인할 때 다중 홉 원격 로그인 경로를 구성하는 1-홉 원격 로그인 경로를 확인할 수 있다. 따라서 이 경우, 프로세서(110)는 수학식 1 의 를 확인할 때 1-홉 원격 로그인 경로가 다중 홉 원격 로그인 경로의 일부인지 여부를 확인하지 않고 1-홉 원격 로그인 경로를 모두 확인할 수 있다.In another embodiment, the
일 실시예에서, 프로세서(110)는 인 경우, 홉 원격 로그인 경로와 -홉 원격 로그인 경로를 구분 또는 확인하여 홉 로그인 경로의 평가 지수를 결정할 수 있다. 구체적으로, 프로세서(110)는 수학식 2 의 를 확인할 때 -홉 원격 로그인 경로를 구성하는 홉 원격 로그인 경로는 제외할 수 있다. 따라서 이 경우, 프로세서(110)는 수학식 2 의 를 확인할 때 -홉 원격 로그인 경로의 일부가 아닌 홉 원격 로그인 경로만 확인할 수 있다. 일 실시예에서, 프로세서(110)는 수학식 2 의 를 확인할 때 -홉 원격 로그인 경로를 구성하는 홉 원격 로그인 경로는 제외할 수 있다. 따라서 이 경우, 프로세서(110)는 수학식 2 의 를 확인할 때 -홉 원격 로그인 경로의 일부가 아닌 홉 원격 로그인 경로만 확인할 수 있다. In one embodiment,
일 실시예에서, 프로세서(110)는 수학식 2 의 를 확인할 때 -홉 원격 로그인 경로를 구성하는 홉 원격 로그인 경로를 확인할 수 있다. 따라서 이 경우, 프로세서(110)는 수학식 2 의 를 확인할 때 홉 원격 로그인 경로가 -홉 원격 로그인 경로의 일부인지 여부를 확인하지 않고 홉 원격 로그인 경로를 모두 확인할 수 있다. 일 실시예에서, 프로세서(110)는 수학식 2 의 를 확인할 때 -홉 원격 로그인 경로를 구성하는 홉 원격 로그인 경로를 확인할 수 있다. 따라서 이 경우, 프로세서(110)는 수학식 2 의 를 확인할 때 홉 원격 로그인 경로가 -홉 원격 로그인 경로의 일부인지 여부를 확인하지 않고 홉 원격 로그인 경로를 모두 확인할 수 있다.In one embodiment, the
도 3 은 1-홉 원격 로그인과 다중 홉 원격 로그인을 식별하는데 사용되는 피쳐(Features)를 나타낸다. 일 실시예에서, 1-홉 원격 로그인은 출발지 컴퓨터(Source Computer), 출발지 계정(Source User), 도착지 컴퓨터(Destination Computer) 및 도착지 계정(Destination User)의 피쳐를 포함할 수 있다. 이는 출발지 컴퓨터 및 도착지 컴퓨터만을 피쳐로 포함하는 경우에 비해, 공격자가 이미 인증 정보를 획득한 사용자 계정을 통해 일반 사용자들이 자주 사용하는 경로로 시스템에 침투하더라도 이를 탐지할 수 있는 가능성과 탐지 정확도를 높일 수 있는 장점이 있다. 3 shows features used to identify one-hop remote login and multi-hop remote login. In one embodiment, 1-hop remote login may include the features of Source Computer, Source User, Destination Computer and Destination User. Compared to the case of including only the source computer and the destination computer as features, this increases the probability and accuracy of detection even if an attacker infiltrates the system through a user account for which authentication information has already been obtained, even if the attacker infiltrates the system through a path frequently used by ordinary users. There are advantages to being able to
일 실시예에서, 다중 홉 원격 로그인은 출발지 컴퓨터(Source Computer), 출발지 계정(Source User), 도착지 컴퓨터(Destination Computer) 및 도착지 계정(Destination User)의 피쳐를 포함할 수 있다. 하지만, 어떤 공격자는 탐지를 피하기 위해 공격 대상의 네트워크에서 오래 머무는 행위를 지양할 것이므로, 공격자의 공격 시간을 고려하여 홉 간의 제한 시간을 두는 것을 고려할 수 있다. 따라서 일 실시예에 따라, 다중 홉 원격 로그인은 원격 로그인이 발생한 시간을 피쳐로 더 포함할 수 있다.In one embodiment, multi-hop remote login may include features of Source Computer, Source User, Destination Computer and Destination User. However, since some attackers will refrain from staying in the attack target's network for a long time to avoid detection, it can be considered to set a time limit between hops in consideration of the attack time of the attacker. Accordingly, according to an embodiment, the multi-hop remote login may further include a time when the remote login occurred as a feature.
일 실시예에서, 복수의 원격 로그인들에 관한 데이터베이스는 복수의 원격 로그인들이 발생한 시간 정보를 포함하고, 프로세서(110)는 시간 정보를 기초로 복수의 원격 로그인들로부터 적어도 하나의 1-홉 원격 로그인 경로와 적어도 하나의 다중 홉 원격 로그인 경로를 확인할 수 있다. 보다 구체적으로, 프로세서(110)는 연속하는 원격 로그인의 발생 시간의 차이를 기초로 연속하는 원격 로그인을 합쳐서 다중 홉 원격 로그인 경로로 인식할지 여부를 판단할 수 있다.In one embodiment, the database of the plurality of remote logins includes time information of the plurality of remote logins, and the
일 실시예에서, 프로세서(110)는 연속하는 원격 로그인의 발생 시간의 차이가 기 설정된 시간 값 이하인 경우, 연속하는 원격 로그인을 다중 홉 원격 로그인 경로로 인식할 수 있다. 도 4 는 본 개시가 적용될 수 있는 일 상황을 나타낸다. 일 실시예에서, 컴퓨터 C1의 계정 U1에서 컴퓨터 C2의 계정 U2로의 원격 로그인이 매주 월요일에 발생하고, 컴퓨터 C2의 계정 U2에서 컴퓨터 C3의 계정 U3로의 원격 로그인이 매주 금요일에 발생할 수 있다. 이 경우, 컴퓨터 C1의 계정 U1에서 컴퓨터 C2의 계정 U2로의 원격 로그인과 컴퓨터 C2의 계정 U2에서 컴퓨터 C3의 계정 U3로의 원격 로그인은 연속하는 원격 로그인이지만, 공격자가 월요일에 C2로 침투하여 4일 동안 C2 컴퓨터에서의 접속을 유지하다가 금요일에 C3 컴퓨터로 원격 로그인 하는 경우는 발생할 확률이 낮다. 따라서 본 개시에 따른 일 실시예에서 프로세서(110)가 연속하는 원격 로그인의 발생 시간의 차이가 기 설정된 시간 값 이하인 경우, 연속하는 원격 로그인을 다중 홉 원격 로그인 경로로 인식하도록 설정된다면, 프로세서(110)는 도 4 의 연속되는 두 원격 로그인을 하나의 다중 홉 경로로 인식하지 않을 수 있다. 결과적으로 컴퓨터 C1의 계정 U1에서 컴퓨터 C2의 계정 U2 를 경유하여 컴퓨터 C3의 계정 U3로의 원격 로그인이 탐지되면, 프로세서(110)는 이를 비정상적인 원격 로그인 경로로 판단할 수 있다.In an embodiment, the
일 실시예에서, 기 설정된 시간 값은 네트워크 시스템의 속성, 공격자의 공격 패턴 등을 고려하여 설정될 수 있다. 보다 구체적으로, 기 설정된 시간 값은 공격자의 원격 로그인 시간 간격과 전자 장치(100) 또는 프로세서(110)의 처리 속도 및 메모리(120)의 크기를 고려하여 설정될 수 있다. 일 실시예에서 기 설정된 시간 값은 고정된 값일 수 있으며, 일 실시예에서 기 설정된 시간 값은 3시간일 수 있다. 일 실시예에서, 기 설정된 시간 값은 특정 기간동안 미리 탐지된 공격자의 다중 홉 원격 로그인의 일부인 연속하는 원격 로그인의 시간 간격의 평균값을 고려하여 설정될 수 있다. In one embodiment, the preset time value may be set in consideration of attributes of a network system, an attack pattern of an attacker, and the like. More specifically, the preset time value may be set in consideration of an attacker's remote log-in time interval, the processing speed of the
일 실시예에서, 기 설정된 시간 값은 공격자의 원격 로그인 시간 간격 또는 공격 패턴이 변함에 따라 함께 변화하는 값일 수 있다. 이 경우, 프로세서(110)는 미리 공격자의 공격 패턴을 학습하여 기 설정된 시간 값을 결정할 수 있고, 새로이 탐지되는 공격자의 원격 로그인을 기초로 기 설정된 시간 값을 동적으로 조정할 수 있다. In one embodiment, the preset time value may be a value that changes as an attacker's remote log-in time interval or attack pattern changes. In this case, the
일 실시예에서, 프로세서(110)는 연속하는 원격 로그인의 발생 시간의 차이가 기 설정된 제1 시간 값 이상이고 기 설정된 제2 시간 값 이하인 경우, 연속하는 원격 로그인을 다중 홉 원격 로그인 경로로 인식할 수 있다. 이는 연속하는 원격 로그인이 기 설정된 시간 값 이하인 경우에만 다중 홉 원격 로그인 경로로 인식하는 것을 역이용하는 공격자들이 행하는 공격을 탐지하는데 효과적일 수 있다.In one embodiment, the
도 5 는 일 실시예에 따른 전자 장치(100)의 동작 방법을 나타낸다. 5 illustrates an operating method of the
도 5 의 동작 방법의 각 단계는 도 1 의 전자 장치(100)에 의해 수행될 수 있으므로, 도 1 과 중복되는 내용에 대해서는 설명을 생략한다.Since each step of the operating method of FIG. 5 can be performed by the
단계 S500 에서, 전자 장치(100)는 복수의 컴퓨터들에서 발생한 복수의 원격 로그인들에 관한 데이터베이스를 획득할 수 있다.In step S500, the
단계 S510 에서, 전자 장치(100) 데이터베이스를 기초로, 복수의 원격 로그인들 중에서 제1경로를 통해 원격 로그인이 발생한 제1횟수 및 복수의 원격 로그인들 중에서 제1경로와 동일한 홉(hop) 수를 갖는 경로를 통해 원격 로그인이 발생한 제2횟수를 확인하고, 제1횟수 및 제2횟수를 기초로 제1경로에 관한 평가 지수를 결정 할 수 있다.In step S510, based on the database of the
제1경로는 출발지 컴퓨터의 출발지 계정에서 도착지 컴퓨터의 도착지 계정으로 원격 로그인하는 1-홉(1-hop) 원격 로그인 경로, 또는 출발지 컴퓨터의 출발지 계정에서 적어도 하나의 경유지 컴퓨터의 적어도 하나의 경유지 계정을 거쳐 도착지 컴퓨터의 도착지 계정으로 원격 로그인하는 다중 홉 원격 로그인 경로를 포함할 수 있다.The first route is a 1-hop remote login path from a source account on the source computer to a destination account on the destination computer, or a source account on the source computer to at least one waypoint account on at least one waypoint computer. You can include a multi-hop remote login path through which you log in remotely to the destination account on the destination computer.
전자 장치(100)는 데이터베이스를 기초로 복수의 원격 로그인들로부터 적어도 하나의 1-홉 원격 로그인 경로와 적어도 하나의 다중 홉 원격 로그인 경로를 확인할 수 있다.The
데이터베이스는, 복수의 원격 로그인들 각각이 발생한 시간 정보를 포함할 수 있고, 전자 장치(100)는 시간 정보에 기초하여 복수의 원격 로그인들로부터 적어도 하나의 1-홉 원격 로그인 경로와 적어도 하나의 다중 홉 원격 로그인 경로를 확인할 수 있다.The database may include time information at which each of the plurality of remote logins occurred, and the
복수의 원격 로그인들은 제1컴퓨터의 제1계정에서 제2컴퓨터의 제2계정으로의 제2 원격 로그인 및 제2컴퓨터의 제2계정에서 제3컴퓨터의 제3계정으로의 제3 원격 로그인을 포함할 수 있고, 전자 장치(100)는, 제2 원격 로그인이 발생한 시간과 제3 원격 로그인이 발생한 시간의 차이를 기초로 제2 원격 로그인 및 제3 원격 로그인을 다중 홉 원격 로그인 경로로 인식할지 여부를 판단할 수 있다.The plurality of remote logins include a second remote login from a first account on a first computer to a second account on a second computer and a third remote login from a second account on a second computer to a third account on a third computer. whether the
전자 장치(100)는 차이가 기 설정된 시간 값 이하인 경우, 제2 원격 로그인 및 제3 원격 로그인을 제1 다중 홉 원격 로그인 경로로 인식할 수 있다.The
기 설정된 시간 값은 공격자의 원격 로그인 시간 간격과 전자 장치(100)의 처리 속도 및 메모리(120) 크기를 고려하여 설정될 수 있다.The preset time value may be set in consideration of the attacker's remote log-in time interval, the processing speed of the
단계 S520 에서, 전자 장치(100)는 결정된 평가 지수를 기초로, 제1경로를 갖는 제1 원격 로그인이 식별되는 경우, 제1 원격 로그인의 비정상 여부를 확인 할 수 있다.In step S520, the
전자 장치(100)는 결정된 평가 지수가 0인 경우, 상기 제1 원격 로그인을 비정상적인 로그인으로 인식할 수 있다.When the determined evaluation index is 0, the
전자 장치(100)는 결정된 평가 지수가 기 설정된 범위 이내인지 여부를 판단하여, 상기 제1 원격 로그인의 비정상 여부를 확인할 수 있다.The
전술한 실시예들에 따른 전자 장치는, 프로세서, 프로그램 데이터를 저장하고 실행하는 메모리, 디스크 드라이브와 같은 영구 저장부(permanent storage), 외부 장치와 통신하는 통신 포트, 터치 패널, 키(key), 버튼 등과 같은 사용자 인터페이스 장치 등을 포함할 수 있다. 소프트웨어 모듈 또는 알고리즘으로 구현되는 방법들은 상기 프로세서상에서 실행 가능한 컴퓨터가 읽을 수 있는 코드들 또는 프로그램 명령들로서 컴퓨터가 읽을 수 있는 기록 매체 상에 저장될 수 있다. 여기서 컴퓨터가 읽을 수 있는 기록 매체로 마그네틱 저장 매체(예컨대, ROM(read-only memory), RAM(random-Access memory), 플로피 디스크, 하드 디스크 등) 및 광학적 판독 매체(예컨대, 시디롬(CD-ROM), 디브이디(DVD: Digital Versatile Disc)) 등이 있다. 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템들에 분산되어, 분산 방식으로 컴퓨터가 판독 가능한 코드가 저장되고 실행될 수 있다. 매체는 컴퓨터에 의해 판독가능하며, 메모리에 저장되고, 프로세서에서 실행될 수 있다.An electronic device according to the above-described embodiments includes a processor, a memory for storing and executing program data, a permanent storage unit such as a disk drive, a communication port for communicating with an external device, a touch panel, a key, User interface devices such as buttons and the like may be included. Methods implemented as software modules or algorithms may be stored on a computer-readable recording medium as computer-readable codes or program instructions executable on the processor. Here, the computer-readable recording medium includes magnetic storage media (e.g., read-only memory (ROM), random-access memory (RAM), floppy disk, hard disk, etc.) and optical reading media (e.g., CD-ROM) ), and DVD (Digital Versatile Disc). A computer-readable recording medium may be distributed among computer systems connected through a network, and computer-readable codes may be stored and executed in a distributed manner. The medium may be readable by a computer, stored in a memory, and executed by a processor.
본 실시 예는 기능적인 블록 구성들 및 다양한 처리 단계들로 나타내어질 수 있다. 이러한 기능 블록들은 특정 기능들을 실행하는 다양한 개수의 하드웨어, 소프트웨어, 또는 이들의 조합들로 구현될 수 있다. 예를 들어, 실시 예는 하나 이상의 마이크로프로세서들의 제어 또는 다른 제어 장치들에 의해서 다양한 기능들을 실행할 수 있는, 메모리, 프로세싱, 로직(logic), 룩 업 테이블(look-up table) 등과 같은 직접 회로 구성들을 채용할 수 있다. 구성 요소들이 소프트웨어 프로그래밍 또는 소프트웨어 요소들로 실행될 수 있는 것과 유사하게, 본 실시 예는 데이터 구조, 프로세스들, 루틴들 또는 다른 프로그래밍 구성들의 조합으로 구현되는 다양한 알고리즘을 포함하여, C, C++, 자바(Java), 어셈블러(assembler) 등과 같은 프로그래밍 또는 스크립팅 언어로 구현될 수 있다. 기능적인 측면들은 하나 이상의 프로세서들에서 실행되는 알고리즘으로 구현될 수 있다. 또한, 본 실시 예는 전자적인 환경 설정, 신호 처리, 데이터 처리 또는 이들의 조합 등을 위하여 종래 기술을 채용할 수 있다. "매커니즘", "요소", "수단", "구성"과 같은 용어는 넓게 사용될 수 있으며, 기계적이고 물리적인 구성들로서 한정되는 것은 아니다. 상기 용어는 프로세서 등과 연계하여 소프트웨어의 일련의 처리들(routines)의 의미를 포함할 수 있다.This embodiment can be presented as functional block structures and various processing steps. These functional blocks may be implemented with any number of hardware, software, or combinations thereof that perform specific functions. For example, an embodiment is an integrated circuit configuration such as memory, processing, logic, look-up table, etc., which can execute various functions by control of one or more microprocessors or other control devices. can employ them. Similar to components that can be implemented as software programming or software elements, the present embodiments include data structures, processes, routines, or various algorithms implemented as combinations of other programming constructs, such as C, C++, Java ( It can be implemented in a programming or scripting language such as Java), assembler, or the like. Functional aspects may be implemented in an algorithm running on one or more processors. In addition, this embodiment may employ conventional techniques for electronic environment setting, signal processing, data processing, or a combination thereof. Terms such as "mechanism", "element", "means", and "composition" may be used broadly and are not limited to mechanical and physical components. The term may include a meaning of a series of software routines in association with a processor or the like.
본 실시 예에서 설명하는 특정 예시들로서, 어떠한 방법으로도 기술적 범위를 한정하는 것은 아니다. As specific examples described in this embodiment, the technical scope is not limited in any way.
본 명세서(특히 특허청구범위에서)에서 "상기"의 용어 및 이와 유사한 지시 용어의 사용은 단수 및 복수 모두에 해당하는 것일 수 있다. 또한, 범위(range)를 기재한 경우 상기 범위에 속하는 개별적인 값을 포함하는 것으로서(이에 반하는 기재가 없다면), 상세한 설명에 상기 범위를 구성하는 각 개별적인 값을 기재한 것과 같다. 마지막으로, 방법을 구성하는 단계들에 대하여 명백하게 순서를 기재하거나 반하는 기재가 없다면, 상기 단계들은 적당한 순서로 행해질 수 있다. 반드시 상기 단계들의 기재 순서에 한정되는 것은 아니다. 모든 예들 또는 예시적인 용어(예들 들어, 등등)의 사용은 단순히 기술적 사상을 상세히 설명하기 위한 것으로서 특허청구범위에 의해 한정되지 않는 이상 상기 예들 또는 예시적인 용어로 인해 범위가 한정되는 것은 아니다. 또한, 당업자는 다양한 수정, 조합 및 변경이 부가된 특허청구범위 또는 그 균등물의 범주 내에서 설계 조건 및 팩터에 따라 구성될 수 있음을 알 수 있다.In this specification (particularly in the claims), the use of the term "the" and similar denoting terms may correspond to both the singular and the plural. In addition, when a range is described, it includes individual values belonging to the range (unless otherwise stated), as if each individual value constituting the range was described in the detailed description. Finally, unless an order is explicitly stated or stated to the contrary for the steps making up the method, the steps may be performed in any suitable order. It is not necessarily limited to the order of description of the steps. The use of all examples or exemplary terms (eg, etc.) is simply for explaining technical ideas in detail, and the scope is not limited by the examples or exemplary terms unless limited by the claims. In addition, those skilled in the art can appreciate that various modifications, combinations and changes can be made according to design conditions and factors within the scope of the appended claims or equivalents thereof.
Claims (11)
복수의 컴퓨터들에서 발생한 복수의 원격 로그인들에 관한 데이터베이스를 획득하는 단계;
상기 데이터베이스를 기초로, 상기 복수의 원격 로그인들 중에서 제1경로를 통해 원격 로그인이 발생한 제1횟수 및 상기 복수의 원격 로그인들 중에서 상기 제1경로와 동일한 홉(hop) 수를 갖는 경로를 통해 원격 로그인이 발생한 제2횟수를 확인하고, 상기 제1횟수 및 상기 제2횟수를 기초로 상기 제1경로에 관한 평가 지수를 결정하는 단계; 및
상기 결정된 평가 지수를 기초로, 상기 제1경로를 갖는 제1 원격 로그인이 식별되는 경우, 상기 제1 원격 로그인의 비정상 여부를 확인하는 단계를 포함하는, 사이버 공격 탐지 방법.A cyber attack detection method for an electronic device,
obtaining a database of a plurality of remote logins occurring on a plurality of computers;
Based on the database, the first number of occurrences of remote logins through a first path among the plurality of remote logins and remote logins through a path having the same number of hops as the first path among the plurality of remote logins. checking a second number of logins, and determining an evaluation index for the first path based on the first number and the second number of times; and
and checking whether the first remote login is abnormal when the first remote login having the first path is identified based on the determined evaluation index.
상기 제1경로는,
출발지 컴퓨터의 출발지 계정에서 도착지 컴퓨터의 도착지 계정으로 원격 로그인하는 1-홉(1-hop) 원격 로그인 경로, 또는 출발지 컴퓨터의 출발지 계정에서 적어도 하나의 경유지 컴퓨터의 적어도 하나의 경유지 계정을 거쳐 도착지 컴퓨터의 도착지 계정으로 원격 로그인하는 다중 홉 원격 로그인 경로를 포함하는, 사이버 공격 탐지 방법.According to claim 1,
The first route,
A one-hop remote login path from a source account on the origin computer to a destination account on the destination computer, or from a source account on the source computer through at least one waypoint account on at least one waypoint computer to a destination computer. A cyberattack detection method that includes a multi-hop remote login path that remotely logs into the destination account.
상기 결정하는 단계는,
상기 데이터베이스를 기초로 상기 복수의 원격 로그인들로부터 적어도 하나의 1-홉 원격 로그인 경로와 적어도 하나의 다중 홉 원격 로그인 경로를 확인하는 단계를 포함하는, 사이버 공격 탐지 방법. According to claim 1,
The determining step is
and verifying at least one 1-hop remote login path and at least one multi-hop remote login path from the plurality of remote logins based on the database.
상기 데이터베이스는 상기 복수의 원격 로그인들 각각이 발생한 시간 정보를 포함하고,
상기 결정하는 단계는,
상기 시간 정보에 기초하여 상기 복수의 원격 로그인들로부터 적어도 하나의 1-홉 원격 로그인 경로와 적어도 하나의 다중 홉 원격 로그인 경로를 확인하는 단계를 포함하는, 사이버 공격 탐지 방법.According to claim 1,
The database includes time information at which each of the plurality of remote logins occurred;
The determining step is
and identifying at least one 1-hop remote login path and at least one multi-hop remote login path from the plurality of remote logins based on the time information.
상기 복수의 원격 로그인들은, 제1컴퓨터의 제1계정에서 제2컴퓨터의 제2계정으로의 제2 원격 로그인 및 제2컴퓨터의 제2계정에서 제3컴퓨터의 제3계정으로의 제3 원격 로그인을 포함하고,
상기 적어도 하나의 1-홉 원격 로그인 경로와 적어도 하나의 다중 홉 원격 로그인 경로를 확인하는 단계는,
상기 제2 원격 로그인이 발생한 시간과 상기 제3 원격 로그인이 발생한 시간의 차이를 기초로 제2 원격 로그인 및 제3 원격 로그인을 다중 홉 원격 로그인 경로로 인식할지 여부를 판단하는 단계를 포함하는, 사이버 공격 탐지 방법.According to claim 4,
The plurality of remote logins include a second remote login from a first account on a first computer to a second account on a second computer and a third remote login from a second account on a second computer to a third account on a third computer. including,
The step of checking the at least one 1-hop remote login path and the at least one multi-hop remote login path,
And determining whether to recognize the second remote login and the third remote login as a multi-hop remote login path based on a difference between a time when the second remote login occurred and a time when the third remote login occurred. Attack detection method.
상기 판단하는 단계는,
상기 차이가 기 설정된 시간 값 이하인 경우, 제2 원격 로그인 및 제3 원격 로그인을 제1 다중 홉 원격 로그인 경로로 인식하는 단계를 포함하는, 사이버 공격 탐지 방법.According to claim 5,
The determining step is
and recognizing the second remote login and the third remote login as the first multi-hop remote login path when the difference is equal to or less than a predetermined time value.
상기 기 설정된 시간 값은 공격자의 원격 로그인 시간 간격과 상기 전자 장치의 처리 속도 및 메모리 크기를 고려하여 설정되는, 사이버 공격 탐지 방법.According to claim 6,
Wherein the predetermined time value is set in consideration of an attacker's remote login time interval, processing speed and memory size of the electronic device.
상기 확인하는 단계는,
상기 결정된 평가 지수가 0인 경우, 상기 제1 원격 로그인을 비정상적인 로그인으로 인식하는 단계를 포함하는, 사이버 공격 탐지 방법.According to claim 1,
The checking step is
and recognizing the first remote login as an abnormal login when the determined evaluation index is 0.
상기 확인하는 단계는,
상기 결정된 평가 지수가 기 설정된 범위 이내인지 여부를 판단하여, 상기 제1 원격 로그인의 비정상 여부를 확인하는 단계를 포함하는, 사이버 공격 탐지 방법.According to claim 1,
The checking step is
and determining whether the first remote login is abnormal by determining whether the determined evaluation index is within a preset range.
적어도 하나의 프로그램이 저장된 메모리; 및
상기 적어도 하나의 프로그램을 실행함으로써,
복수의 컴퓨터들에서 발생한 복수의 원격 로그인들에 관한 데이터베이스를 획득하고,
상기 데이터베이스를 기초로, 상기 복수의 원격 로그인들 중에서 제1경로를 통해 원격 로그인이 발생한 제1횟수 및 상기 복수의 원격 로그인들 중에서 상기 제1경로와 동일한 홉(hop) 수를 갖는 경로를 통해 원격 로그인이 발생한 제2횟수를 확인하고, 상기 제1횟수 및 상기 제2횟수를 기초로 상기 제1경로에 관한 평가 지수를 결정하고,
상기 결정된 평가 지수를 기초로, 상기 제1경로를 갖는 제1 원격 로그인이 식별되는 경우, 상기 제1 원격 로그인의 비정상 여부를 확인하도록 구성된 프로세서를 포함하는, 전자 장치.As an electronic device,
a memory in which at least one program is stored; and
By executing the at least one program,
obtain a database of a plurality of remote logins occurring on a plurality of computers;
Based on the database, the first number of occurrences of remote logins through a first path among the plurality of remote logins and remote logins through a path having the same number of hops as the first path among the plurality of remote logins. Checking the second number of logins, determining an evaluation index for the first path based on the first number and the second number,
and a processor configured to determine whether the first remote login is abnormal when a first remote login having the first path is identified based on the determined evaluation index.
상기 사이버 공격 탐지 방법은,
복수의 컴퓨터들에서 발생한 복수의 원격 로그인들에 관한 데이터베이스를 획득하는 단계;
상기 데이터베이스를 기초로, 상기 복수의 원격 로그인들 중에서 제1경로를 통해 원격 로그인이 발생한 제1횟수 및 상기 복수의 원격 로그인들 중에서 상기 제1경로와 동일한 홉(hop) 수를 갖는 경로를 통해 원격 로그인이 발생한 제2횟수를 확인하고, 상기 제1횟수 및 상기 제2횟수를 기초로 상기 제1경로에 관한 평가 지수를 결정하는 단계; 및
상기 결정된 평가 지수를 기초로, 상기 제1경로를 갖는 제1 원격 로그인이 식별되는 경우, 상기 제1 원격 로그인의 비정상 여부를 확인하는 단계를 포함하는, 비일시적 기록매체.A computer-readable non-transitory recording medium recording a program for executing a cyber attack detection method on a computer,
The cyber attack detection method,
obtaining a database of a plurality of remote logins occurring on a plurality of computers;
Based on the database, the first number of occurrences of remote logins through a first path among the plurality of remote logins and remote logins through a path having the same number of hops as the first path among the plurality of remote logins. checking a second number of logins, and determining an evaluation index for the first path based on the first number and the second number of times; and
and checking whether the first remote login is abnormal when the first remote login having the first path is identified based on the determined evaluation index.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210115601A KR102538540B1 (en) | 2021-08-31 | 2021-08-31 | Cyber attack detection method of electronic apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210115601A KR102538540B1 (en) | 2021-08-31 | 2021-08-31 | Cyber attack detection method of electronic apparatus |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20230032591A true KR20230032591A (en) | 2023-03-07 |
KR102538540B1 KR102538540B1 (en) | 2023-06-01 |
Family
ID=85513155
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020210115601A KR102538540B1 (en) | 2021-08-31 | 2021-08-31 | Cyber attack detection method of electronic apparatus |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102538540B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116484260A (en) * | 2023-04-28 | 2023-07-25 | 南京信息工程大学 | Semi-supervised log anomaly detection method based on bidirectional time convolution network |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007228421A (en) * | 2006-02-24 | 2007-09-06 | Mitsubishi Electric Corp | Ip network route diagnosis apparatus and ip network route diagnosis system |
KR20150036153A (en) * | 2012-07-24 | 2015-04-07 | 알리바바 그룹 홀딩 리미티드 | Method and apparatus of identifying user risk |
JP2015520462A (en) * | 2012-06-05 | 2015-07-16 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | Method, apparatus and system for remote login control |
KR102072095B1 (en) * | 2015-02-25 | 2020-01-31 | 알리바바 그룹 홀딩 리미티드 | Identity authentication methods, devices, and systems |
-
2021
- 2021-08-31 KR KR1020210115601A patent/KR102538540B1/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007228421A (en) * | 2006-02-24 | 2007-09-06 | Mitsubishi Electric Corp | Ip network route diagnosis apparatus and ip network route diagnosis system |
JP2015520462A (en) * | 2012-06-05 | 2015-07-16 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | Method, apparatus and system for remote login control |
KR20150036153A (en) * | 2012-07-24 | 2015-04-07 | 알리바바 그룹 홀딩 리미티드 | Method and apparatus of identifying user risk |
KR102072095B1 (en) * | 2015-02-25 | 2020-01-31 | 알리바바 그룹 홀딩 리미티드 | Identity authentication methods, devices, and systems |
Non-Patent Citations (2)
Title |
---|
Grant Ho et al., "Hopper: Modeling and Detecting Lateral Movement"(2021.08.13.)* * |
Qingyun Liu et al., "Latte: Large-Scale Lateral Movement Detection"(2018.)* * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116484260A (en) * | 2023-04-28 | 2023-07-25 | 南京信息工程大学 | Semi-supervised log anomaly detection method based on bidirectional time convolution network |
CN116484260B (en) * | 2023-04-28 | 2024-03-19 | 南京信息工程大学 | Semi-supervised log anomaly detection method based on bidirectional time convolution network |
Also Published As
Publication number | Publication date |
---|---|
KR102538540B1 (en) | 2023-06-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Khraisat et al. | Survey of intrusion detection systems: techniques, datasets and challenges | |
KR102612500B1 (en) | Sensitive data exposure detection through logging | |
CN109922075B (en) | Network security knowledge graph construction method and device and computer equipment | |
Einy et al. | The anomaly‐and signature‐based IDS for network security using hybrid inference systems | |
US20210352095A1 (en) | Cybersecurity resilience by integrating adversary and defender actions, deep learning, and graph thinking | |
Bijone | A survey on secure network: intrusion detection & prevention approaches | |
US20210185057A1 (en) | Systems and methods for identifying malicious actors or activities | |
CN107070889B (en) | Unified security defense system based on cloud platform | |
Moustafa et al. | DAD: A Distributed Anomaly Detection system using ensemble one-class statistical learning in edge networks | |
Rahal et al. | A distributed architecture for DDoS prediction and bot detection | |
Kalutarage et al. | Context-aware anomaly detector for monitoring cyber attacks on automotive CAN bus | |
CN112671701A (en) | Vehicle-mounted terminal intrusion detection method based on vehicle-mounted network abnormal behavior feature driving | |
Razak | A study on IDS for preventing Denial of Service attack using outliers techniques | |
KR102538540B1 (en) | Cyber attack detection method of electronic apparatus | |
CN115211075A (en) | Network attack identification in a network environment | |
Rosenthal et al. | ARBA: Anomaly and reputation based approach for detecting infected IoT devices | |
US11514173B2 (en) | Predicting software security exploits by monitoring software events | |
Pratomo et al. | Blatta: Early exploit detection on network traffic with recurrent neural networks | |
Wei et al. | Comparing malware attack detection using machine learning techniques in IoT network traffic | |
US20170318032A1 (en) | System and method for detecting attacks on mobile ad hoc networks based on network flux | |
US20230275908A1 (en) | Thumbprinting security incidents via graph embeddings | |
Doukas et al. | Review of artificial intelligence cyber threat assessment techniques for increased system survivability | |
El-Taj et al. | Intrusion detection and prevention response based on signature-based and anomaly-based: Investigation study | |
do Vale Dalarmelina et al. | Using ML and DL algorithms for intrusion detection in the industrial internet of things | |
US11611580B1 (en) | Malware infection detection service for IoT devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right |