KR20230032591A - Cyber attack detection method of electronic apparatus - Google Patents

Cyber attack detection method of electronic apparatus Download PDF

Info

Publication number
KR20230032591A
KR20230032591A KR1020210115601A KR20210115601A KR20230032591A KR 20230032591 A KR20230032591 A KR 20230032591A KR 1020210115601 A KR1020210115601 A KR 1020210115601A KR 20210115601 A KR20210115601 A KR 20210115601A KR 20230032591 A KR20230032591 A KR 20230032591A
Authority
KR
South Korea
Prior art keywords
remote
path
logins
remote login
login
Prior art date
Application number
KR1020210115601A
Other languages
Korean (ko)
Other versions
KR102538540B1 (en
Inventor
김상수
구성모
김이형
심신우
임선영
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020210115601A priority Critical patent/KR102538540B1/en
Publication of KR20230032591A publication Critical patent/KR20230032591A/en
Application granted granted Critical
Publication of KR102538540B1 publication Critical patent/KR102538540B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/305Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Provided are an electronic device and an operating method thereof. The electronic device may obtain a database of a plurality of remote logins occurring on a plurality of computers, check the first number of occurrences of remote logins through a first path among the plurality of remote logins and the second number of occurrences having the number of hops same as the first path among the plurality of remote logins based on the database, determine an evaluation index for the first path based on the first and second numbers, and check whether the first remote login is abnormal, when the first remote login having the first path is identified, based on the evaluated evaluation index.

Description

전자 장치의 사이버 공격 탐지 방법{CYBER ATTACK DETECTION METHOD OF ELECTRONIC APPARATUS}CYBER ATTACK DETECTION METHOD OF ELECTRONIC APPARATUS

본 개시는 전자 장치의 사이버 공격 탐지 방법에 관한 것이다.The present disclosure relates to a method for detecting a cyber attack on an electronic device.

사이버 킬체인(Cyber Kill Chain) 프레임워크는 록히드 마틴(Lockheed Martin)에서 제안한 개념으로 공격자가 목표를 이루기 위해 수행해야 하는 업무들을 단계별로 분석하여 공격자의 행동을 파악할 수 있는 프레임워크이다. 사이버 킬체인은 사이버 공격의 기법을 분류하는 데 활용되기도 하며, 공격자의 행동을 분석하고 예측하여 공격자의 공격을 방어하는 데에도 활용 가능하다. The Cyber Kill Chain framework is a concept proposed by Lockheed Martin, and is a framework that can identify the behavior of an attacker by analyzing the tasks that an attacker must perform to achieve a goal step by step. The cyber kill chain is also used to classify the techniques of cyber attacks, and can also be used to defend against attacks by analyzing and predicting the behavior of attackers.

사이버 킬체인을 이루는 여러 단계 중 Lateral Movement는 공격자가 초기 침투 이후에 거점을 확보하고, 장악하는 대상을 늘려 나가는 단계로 볼 수 있다. 공격자는 공격 대상의 외부 환경을 조사(External Reconnaissance)하며, 초기 침입 대상을 선정하고 침투에 성공(Initial Compromise)한다. 이후 공격자는 공격 대상을 확대시키기 위해 내부 정찰(Internal Reconnaissance)을 수행하며, 공격에 필요한 자원에 대한 접근을 위해 권한 상승(Privilege Escalation)을 시도한다. 공격자는 상승된 권한을 활용하여 다른 디바이스에 접근할 수 있는 인증 정보를 획득(Compromise Credential)하며, 획득한 인증 정보를 통해 다른 디바이스에 대한 제어권도 확보(Compromise Other Devices)한다. 공격자는 필요한 자원에 대한 접근 권한을 얻을 때까지 Lateral Movement를 계속 수행하며 내부에서의 제어권을 확장시키며 데이터 유출, 시스템 파괴 등 목표에 대한 활동을 수행(Action on Objectives)하며 최종적으로 임무를 완수(Mission Complete) 시킨다. Among the various steps that make up the cyber kill chain, Lateral Movement can be seen as a step in which an attacker secures a foothold after the initial infiltration and increases the number of targets he takes control of. The attacker investigates the external environment of the attack target (External Reconnaissance), selects an initial intrusion target, and infiltrates successfully (Initial Compromise). Afterwards, the attacker performs internal reconnaissance to expand the attack target, and attempts privilege escalation to gain access to resources required for the attack. An attacker uses elevated privileges to obtain authentication information to access other devices (Compromise Credential), and also secures control over other devices through the acquired authentication information (Compromise Other Devices). The attacker continues to perform Lateral Movement until it gains access to the necessary resources, expands internal control, performs actions on objectives such as data leakage and system destruction (Action on Objectives), and finally completes the mission (Mission). Complete).

이러한 Lateral Movement는 고도화된 APT (Advanced Persistent Threat) 공격이나 표적공격 수행 시 자주 활용되며, 공격자는 오랜 기간 동안 은밀하게 공격을 수행하기 때문에 공격을 탐지하기가 쉽지 않다. 하지만 공격자는 다른 디바이스나 컴퓨터에 로그인할 때 공격자가 필요로 하는 정보를 가진 컴퓨터로 공격자가 획득 가능한 인증 정보를 활용하여 로그인하기 때문에 일반적인 사용자의 원격 로그인 패턴과는 다른, 평소에는 발생하지 않는 로그인 경로를 활용할 확률이 높다.This lateral movement is frequently used in advanced APT (Advanced Persistent Threat) attacks or target attacks, and it is not easy to detect attacks because attackers carry out attacks covertly for a long period of time. However, when an attacker logs in to another device or computer, the attacker logs in to the computer that has the information the attacker needs by using the authentication information that the attacker can obtain. are more likely to use

Lateral Movement 탐지에 대한 연구는 여러가지 데이터 셋과 다양한 탐지 방법을 활용하여 지속적으로 이루어지고 있다. 일 연구에서는 침해된 컴퓨터나 계정이 발견되었을 때 공격과 관련된 다른 컴퓨터와 경로를 검사하는 포렌식 분석(Forensic Analysis)과 침해된 컴퓨터나 계정이 발견되지 않았을 때 알려지지 않은 노드 간의 Lateral Movement를 탐지하는 일반 탐지(General Detection) 개념을 제시하였다. 기본적으로 컴퓨터 간의 원격 로그인 정보를 활용하여 공격자의 이상 행위를 탐지하였으며, 오탐을 줄이기 위해 로그온 이후 이루어지는 서비스 인스톨이나 태스크(task) 등록 및 이후에 이루어지는 프로세스 생성 이벤트 정보들을 조합하여 이상 행위를 탐지하였다. 이 연구에서는 원격 로그인 정보 활용 시 로그인하는 사용자의 정보는 배제하고 컴퓨터의 정보만을 활용했기 때문에 한 컴퓨터 내에 여러 사용자가 존재하는 환경에 적용하기에는 제한점이 있을 것으로 판단된다. Research on lateral movement detection is continuously conducted using various data sets and various detection methods. In one study, when a compromised computer or account is found, forensic analysis is performed to examine other computers and paths related to the attack, and general detection is performed to detect Lateral Movement between unknown nodes when the compromised computer or account is not found. (General Detection) concept was presented. Basically, the attacker's abnormal behavior was detected by using the remote login information between computers, and in order to reduce false positives, the abnormal behavior was detected by combining service installation or task registration after logon and subsequent process creation event information. In this study, when using remote login information, it is judged that there will be limitations in applying it to an environment where multiple users exist in one computer because only the information of the computer was used, excluding the information of the user logging in.

일 연구에서는 보안 이벤트 로그에서 추출할 수 있는 다양한 피처(feature)를 이용해 윈도우 서버에서 발생하는 이벤트들을 클러스터링하였다. 이 실험에서 서로 다른 서버들은 서로 다른 이벤트 패턴을 보임을 확인함으로써 시스템에서 발생하는 이상 행위를 탐지할 수 있는 가능성을 보였다. In one study, events occurring in Windows servers were clustered using various features that could be extracted from security event logs. In this experiment, it was confirmed that different servers showed different event patterns, showing the possibility of detecting abnormal behaviors occurring in the system.

일 연구에서는 인증 이벤트로부터 기본적인 피처 외에 합성 피처들을 추출하고, 인증 로그를 분류하는 지도학습 기술에 대한 방식을 제시하였다. 모델은 Random Forest, LogitBoost, Logistic Regression, 그리고 최종적으로 각 인증 이벤트에 대해 각 모델들의 예측 결과를 종합적으로 활용하는 Majority Voting을 활용하여 악의적인 이벤트를 탐지하였다.In one study, a method for a supervised learning technology that extracts synthetic features in addition to basic features from authentication events and classifies authentication logs was presented. The model detected malicious events by utilizing Random Forest, LogitBoost, Logistic Regression, and finally Majority Voting, which comprehensively utilizes the prediction results of each model for each authentication event.

일 연구에서는 기업에서 수집된 운용 데이터를 수집하여 기업 IT 환경에서 발생하는 Lateral Movement를 탐지하였다. 이 연구에서는 이벤트 로그에서부터 피처들을 선정하고 클러스터링 알고리즘인 HDBSCAN (Hierarchical Density-Based Spatial Clustering for Applications with Noise)을 적용하여 클러스터에서 멀리 떨어진 아웃라이어를 탐지하여 비정상 행위 탐지를 시도하였다. 또한 차원 축소 방법인 PCA(Principal Component Analysis)를 활용하여 고차원의 데이터를 데이터 간의 차이를 최대화할 수 있는 새로운 축을 가진 데이터로 변환시킨 후 통상적으로 표준편차의 3배의 차이가 나는 데이터를 outlier로 식별하여 악의적인 데이터로 분류하였다. In one study, operational data collected from companies was collected to detect Lateral Movement occurring in the company IT environment. In this study, features were selected from the event log, and HDBSCAN (Hierarchical Density-Based Spatial Clustering for Applications with Noise), a clustering algorithm, was applied to detect outliers far from the cluster to attempt anomaly detection. In addition, PCA (Principal Component Analysis), a dimensionality reduction method, is used to transform high-dimensional data into data with a new axis that can maximize the difference between data, and then identify data with a difference of three times the standard deviation as an outlier. and classified as malicious data.

일 연구에서는 네트워크 트래픽에서 피처를 추출하고 두 집합의 교집합을 합집합으로 나누어 유사도 점수를 정량적으로 측정하는 Jaccard Similarity Coefficient 방식을 사용하여 네트워크 트래픽 간의 유사도를 측정한 후 측정된 유사도를 통해 비유사도를 정량적으로 도출하고 비정상적인 트래픽을 식별하였다.In one study, the similarity between network traffic was measured using the Jaccard Similarity Coefficient method, which quantitatively measures the similarity score by extracting features from network traffic and dividing the intersection of the two sets by the union, and then quantitatively dissimilarity through the measured similarity. derived and identified abnormal traffic.

본 발명은 시스템에 침입한 공격자가 한 컴퓨터에서 다른 컴퓨터로 장악 대상을 늘려가는 Lateral Movement를 탐지하기 위하여 복수의 원격 로그인들에 관한 데이터베이스에서 제1경로를 통해 원격 로그인이 발생한 제1횟수 및 제1경로와 동일한 홉(hop) 수를 갖는 경로를 통해 원격 로그인이 발생한 제2횟수를 기초로 제1경로에 관한 평가 지수를 결정하고, 제1경로를 통한 원격 로그인이 발생하는 경우, 원격 로그인의 비정상 여부를 확인하는 방법의 실시 예를 포함한다.In order to detect Lateral Movement in which an attacker intruding into a system increases control targets from one computer to another, the present invention determines the first number of remote logins occurring through a first path and the first number of remote logins in a database on a plurality of remote logins. An evaluation index for the first path is determined based on the second number of remote logins occurring through the path having the same number of hops as the path, and if remote login occurs through the first path, the remote login is abnormal It includes an embodiment of a method for confirming whether or not.

본 발명이 이루고자 하는 기술적 과제는 상기된 바와 같은 과제로 한정되지 않으며, 이하의 실시예들로부터 또 다른 기술적 과제들이 유추될 수 있다.The technical problem to be achieved by the present invention is not limited to the above problem, and other technical problems can be inferred from the following embodiments.

일 실시예에 따라, 전자 장치의 사이버 공격 탐지 방법에 있어서, 복수의 컴퓨터들에서 발생한 복수의 원격 로그인들에 관한 데이터베이스를 획득하는 단계; 상기 데이터베이스를 기초로, 상기 복수의 원격 로그인들 중에서 제1경로를 통해 원격 로그인이 발생한 제1횟수 및 상기 복수의 원격 로그인들 중에서 상기 제1경로와 동일한 홉(hop) 수를 갖는 경로를 통해 원격 로그인이 발생한 제2횟수를 확인하고, 상기 제1횟수 및 상기 제2횟수를 기초로 상기 제1경로에 관한 평가 지수를 결정하는 단계; 및 상기 결정된 평가 지수를 기초로, 상기 제1경로를 갖는 제1 원격 로그인이 식별되는 경우, 상기 제1 원격 로그인의 비정상 여부를 확인하는 단계를 포함할 수 있다.According to an embodiment, a method for detecting a cyber attack on an electronic device includes acquiring a database of a plurality of remote logins generated from a plurality of computers; Based on the database, the first number of occurrences of remote logins through a first path among the plurality of remote logins and remote logins through a path having the same number of hops as the first path among the plurality of remote logins. checking a second number of logins, and determining an evaluation index for the first path based on the first number and the second number of times; and checking whether the first remote login is abnormal when the first remote login having the first path is identified based on the determined evaluation index.

일 실시예에 따라, 전자 장치로서, 적어도 하나의 프로그램이 저장된 메모리; 및 상기 적어도 하나의 프로그램을 실행함으로써, 복수의 컴퓨터들에서 발생한 복수의 원격 로그인들에 관한 데이터베이스를 획득하고, 상기 데이터베이스를 기초로, 상기 복수의 원격 로그인들 중에서 제1경로를 통해 원격 로그인이 발생한 제1횟수 및 상기 복수의 원격 로그인들 중에서 상기 제1경로와 동일한 홉(hop) 수를 갖는 경로를 통해 원격 로그인이 발생한 제2횟수를 확인하고, 상기 제1횟수 및 제2횟수를 기초로 상기 제1경로에 관한 평가 지수를 결정하고, 상기 결정된 평가 지수를 기초로, 상기 제1경로를 갖는 제1 원격 로그인이 식별되는 경우, 상기 제1 원격 로그인의 비정상 여부를 확인하도록 구성된 프로세서를 포함할 수 있다.According to one embodiment, an electronic device includes a memory in which at least one program is stored; and by executing the at least one program, obtaining a database of a plurality of remote logins generated on a plurality of computers, and based on the database, a remote login occurred through a first path among the plurality of remote logins. The first number and the second number of remote logins occurred through a path having the same number of hops as the first path among the plurality of remote logins, and based on the first number and the second number, and a processor configured to determine an evaluation index for the first path, and to determine whether the first remote login is abnormal when a first remote login having the first path is identified based on the determined evaluation index. can

일 실시예에 따라, 컴퓨터로 읽을 수 있는 기록매체는 상술한 동작 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 비일시적 기록매체를 포함할 수 있다.According to an embodiment, the computer-readable recording medium may include a non-transitory recording medium on which a program for executing the above-described operating method is recorded on a computer.

기타 실시예들의 구체적인 사항은 상세한 설명 및 도면들에 포함된다.Details of other embodiments are included in the detailed description and drawings.

본 개시에 따르면, 인증 로그의 컴퓨터 정보뿐만 아니라, 사용자 계정 정보까지 활용하여 로그인 경로를 식별하므로 공격자가 이미 인증 정보를 획득한 사용자 계정을 통해 일반 사용자들이 자주 사용하는 경로로 시스템에 침투하더라도 이를 탐지할 수 있는 가능성과 탐지 정확도를 높일 수 있는 장점이 있다. According to the present disclosure, since a login path is identified by utilizing not only computer information in the authentication log but also user account information, even if an attacker infiltrates the system through a user account for which authentication information has already been obtained, it is detected through a path frequently used by general users. It has the advantage of increasing the possibility and detection accuracy.

또한, 다중 홉 경로를 통한 원격 로그인 식별 시 연속된 원격 로그인 사이에 제한 시간을 두어, 제한 시간을 넘는 연속된 원격 로그인을 갖는 다중 홉 경로 원격 로그인은 다중 홉으로 보지 않게 되어, 실제 제한 시간 이내의 연속된 원격 로그인 발생 시 이를 공격자의 침투 경로 혹은 비정상 경로로 판단할 수 있는 이점이 있다.In addition, when identifying remote logins through a multi-hop path, a time limit is placed between consecutive remote logins, so that a multi-hop path remote login with consecutive remote logins exceeding the time limit is not viewed as a multi-hop, When continuous remote login occurs, it has the advantage of being able to determine it as an attacker's penetration path or an abnormal path.

발명의 효과는 이상에서 언급한 효과만으로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 청구범위 기재로부터 당해 기술 분야의 통상의 기술자에게 명확하게 이해될 수 있다.Effects of the invention are not limited to only the effects mentioned above, and other effects not mentioned can be clearly understood by those skilled in the art from the description of the claims.

도 1 은 본 개시에 따른 전자 장치를 나타낸다.
도 2 는 본 개시에 따른 실시예가 사용되는 환경을 나타낸다.
도 3 은 1-홉 원격 로그인과 다중 홉 원격 로그인의 식별 시 사용되는 피쳐(Feature)를 나타낸다.
도 4 는 본 개시에 따른 실시예가 사용되는 환경을 나타낸다.
도 5 는 본 개시에 따른 방법의 일 실시예를 나타낸다.1 shows an electronic device according to the present disclosure.
2 shows an environment in which an embodiment according to the present disclosure is used.
3 shows features used when identifying 1-hop remote login and multi-hop remote login.
4 shows an environment in which an embodiment according to the present disclosure is used.
5 shows one embodiment of a method according to the present disclosure.

실시 예들에서 사용되는 용어는 본 개시에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 개시에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 개시의 전반에 걸친 내용을 토대로 정의되어야 한다.The terms used in the embodiments have been selected as general terms that are currently widely used as much as possible while considering the functions in the present disclosure, but they may vary depending on the intention or precedent of a person skilled in the art, the emergence of new technologies, and the like. In addition, in a specific case, there are also terms arbitrarily selected by the applicant, and in this case, the meaning will be described in detail in the corresponding description. Therefore, terms used in the present disclosure should be defined based on the meaning of the term and the general content of the present disclosure, not simply the name of the term.

명세서 전체에서 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다. When it is said that a certain part "includes" a certain component throughout the specification, it means that it may further include other components without excluding other components unless otherwise stated.

명세서 전체에서 특별한 언급이 없는 한, "비정상 원격 로그인"은, 시스템에 침투하려고 하는 공격자의 원격 로그인이거나, 그러한 가능성이 높은 원격 로그인을 의미한다.Unless otherwise specified throughout the specification, “abnormal remote login” means a remote login by an attacker trying to infiltrate the system, or a remote login with a high probability.

명세서 전체에서 특별한 언급이 없는 한, "홉(hop)"은, 출발지 컴퓨터에서 도착지 컴퓨터로 원격 로그인할 때, 출발지 컴퓨터로부터 도착지 컴퓨터까지 존재하는 컴퓨터들 사이의 원격 로그인의 수을 의미한다. 예를 들어, "1-홉 원격 로그인"은 일 컴퓨터에서 경유지 컴퓨터 없이 다른 컴퓨터로 원격 로그인하는 것을 의미하고, "2-홉 원격 로그인"은 일 컴퓨터에서 경유지 컴퓨터 하나를 거쳐 다른 컴퓨터로 원격 로그인하는 것을 의미한다. 따라서, "N-홉 원격 로그인"은 일 컴퓨터에서 경유지 컴퓨터 (N-1)개를 거쳐 다른 컴퓨터로 원격 로그인하는 것을 의미한다. 또한, "다중 원격 로그인"은 N이 2 이상인 "N-홉 원격 로그인"을 의미한다.Throughout the specification, unless otherwise specified, “hop” refers to the number of remote logins between computers that exist from the source computer to the destination computer when remotely logging in from the source computer to the destination computer. For example, "one-hop remote login" means remote login from one computer to another computer without a waypoint computer, and "two-hop remote login" means remote login from one computer to another computer via one waypoint computer. means that Thus, "N-hop remote login" means remote login from one computer to another computer via (N-1) waypoint computers. Also, "multiple remote logins" means "N-hop remote logins" in which N is 2 or more.

명세서 전체에서 특별한 언급이 없는 한, "제1 원격 로그인과 제2 원격 로그인이 연속"이라는 어구는, 제1 원격 로그인의 도착지 컴퓨터 및 도착지 계정이 각각 제2 원격 로그인의 출발지 컴퓨터 및 출발지 계정이 되는 경우를 의미한다.Unless otherwise specified throughout the specification, the phrase “the first remote login and the second remote login are consecutive” means that the destination computer and destination account of the first remote login become the source computer and source account of the second remote login, respectively. means case.

이하에서는 도면을 참조하여 본 개시의 실시예를 설명한다.Hereinafter, embodiments of the present disclosure will be described with reference to the drawings.

도 1 은 본 개시에 따른 전자 장치를 나타낸다.1 shows an electronic device according to the present disclosure.

전자 장치(100)는 프로세서(110) 및 메모리(120)를 포함한다. 도 1 에 도시된 전자 장치(100)에는 본 실시예들과 관련된 구성요소들만이 도시되어 있다. 따라서, 전자 장치(100)에는 도 1 에 도시된 구성요소들 외에 다른 범용적인 구성요소들이 더 포함될 수 있음은 당해 기술분야의 통상의 기술자에게 자명하다. The electronic device 100 includes a processor 110 and a memory 120 . In the electronic device 100 shown in FIG. 1 , only components related to the present embodiments are shown. Accordingly, it is apparent to those skilled in the art that the electronic device 100 may further include other general-purpose components in addition to the components shown in FIG. 1 .

프로세서(110)는 전자 장치(100)가 사이버 공격을 탐지하기 위한 전반적인 기능들을 제어하는 역할을 한다. 예를 들어, 프로세서(110)는 전자 장치(100) 내의 메모리(120)에 저장된 프로그램들을 실행함으로써, 전자 장치(100)를 전반적으로 제어한다. 프로세서(110)는 전자 장치(100) 내에 구비된 CPU(central processing unit), GPU(graphics processing unit), AP(application processor) 등으로 구현될 수 있으나, 이에 제한되지 않는다.The processor 110 serves to control overall functions for the electronic device 100 to detect a cyber attack. For example, the processor 110 generally controls the electronic device 100 by executing programs stored in the memory 120 of the electronic device 100 . The processor 110 may be implemented as a central processing unit (CPU), graphics processing unit (GPU), or application processor (AP) included in the electronic device 100, but is not limited thereto.

메모리(120)는 전자 장치(100) 내에서 처리되는 각종 데이터들을 저장하는 하드웨어로서, 메모리(120)는 전자 장치(100)에서 처리된 데이터들 및 처리될 데이터들을 저장할 수 있다. 또한, 메모리(120)는 전자 장치(100)에 의해 구동될 애플리케이션들, 드라이버들 등을 저장할 수 있다. 메모리(120)는 DRAM(dynamic random access memory), SRAM(static random access memory) 등과 같은 RAM(random access memory), ROM(read-only memory), EEPROM(electrically erasable programmable read-only memory), CD-ROM, 블루레이 또는 다른 광학 디스크 스토리지, HDD(hard disk drive), SSD(solid state drive), 또는 플래시 메모리를 포함할 수 있다. The memory 120 is hardware that stores various types of data processed in the electronic device 100, and the memory 120 may store data processed in the electronic device 100 and data to be processed. Also, the memory 120 may store applications and drivers to be driven by the electronic device 100 . The memory 120 may include random access memory (RAM) such as dynamic random access memory (DRAM) and static random access memory (SRAM), read-only memory (ROM), electrically erasable programmable read-only memory (EEPROM), and CD-ROM. ROM, Blu-ray or other optical disk storage, hard disk drive (HDD), solid state drive (SSD), or flash memory.

원격 로그인들은 데이터베이스 형태로 시스템에 저장될 수 있고, 프로세서(110)는 복수의 컴퓨터들에서 발생한 복수의 원격 로그인들에 관한 데이터베이스를 획득할 수 있다. 일 실시예에서, 원격 로그인이 발생하면 원격 로그인에 관한 로그 또는 정보가 전자 장치(100)로 전달되어, 프로세서(110)는 로그 또는 정보를 메모리(120)에 저장하여 데이터베이스를 구축할 수 있다. 다른 실시예에서, 원격 로그인이 발생하면 원격 로그인에 관한 로그 또는 정보가 전자 장치(100)로 전달되어, 프로세서(110)는 로그 또는 정보를 기존의 데이터베이스에 추가하여 시스템 또는 전자장치(100)의 메모리(120)에 저장할 수 있다. 또 다른 실시예에서, 프로세서(110)는 시스템의 인증 로그(Authentication Log) 로부터 데이터베이스를 전달받을 수 있다.The remote logins may be stored in the system in the form of a database, and the processor 110 may obtain a database of a plurality of remote logins occurring on a plurality of computers. In one embodiment, when a remote login occurs, a log or information related to the remote login is transferred to the electronic device 100, and the processor 110 stores the log or information in the memory 120 to build a database. In another embodiment, when a remote login occurs, a log or information related to the remote login is transferred to the electronic device 100, and the processor 110 adds the log or information to an existing database to determine the system or electronic device 100. may be stored in the memory 120 . In another embodiment, the processor 110 may receive a database from an authentication log of the system.

도 2 는 본 개시에 따른 실시예가 사용되는 환경을 나타낸다. 도 2 의 C1, C2, C3, C4 의 큰 원은 개별 컴퓨터를 의미하고, U1, U2, ... , U9는 사용자 계정을 의미한다. 도 2 의 화살표는 화살표의 시작점에 위치하는 사용자 계정과 컴퓨터에서 화살표의 끝점에 위치하는 사용자 계정을 사용하여 인접하는 원에 해당하는 컴퓨터로 원격 로그인 하는 것을 뜻한다. 2 shows an environment in which an embodiment according to the present disclosure is used. Large circles of C1, C2, C3, and C4 in FIG. 2 denote individual computers, and U1, U2, ..., U9 denote user accounts. An arrow in FIG. 2 indicates remote login to a computer corresponding to an adjacent circle using a user account located at the start point of the arrow and a user account located at the end point of the arrow on the computer.

일 실시예에서, 프로세서(110)는 데이터베이스를 기초로 원격 로그인이 발생한 빈도를 확인하고, 확인한 빈도를 기초로 원격 로그인의 비정상 여부를 확인할 수 있다. 일 실시예에서, 프로세서(110)는 특정 기간 동안의 원격 로그인 이력이 저장된 데이터베이스에서 특정 원격 로그인이 몇 회 발생했는지 확인한 다음, 이를 기초로 특정 원격 로그인 탐지 시 특정 원격 로그인의 비정상 여부를 확인할 수 있다. 예를 들어, 도 2 의 C1 컴퓨터의 U3 계정에서 C2 컴퓨터의 U9 계정으로 원격 로그인하는 점선 화살표는 평소 빈번하게 발생하는 원격 로그인이므로, 프로세서(110)는 원격 로그인 이력이 저장된 데이터베이스에서 C1 컴퓨터의 U3 계정에서 C2 컴퓨터의 U9 계정으로의 원격 로그인이 발생한 횟수를 기초로 C1 컴퓨터의 U3 계정에서 C2 컴퓨터의 U9 계정으로의 원격 로그인이 정상 원격 로그인이라고 확인할 수 있다. 한편, 도 2 의 C4 컴퓨터의 U8 계정에서 C3 컴퓨터의 U6 계정으로 로그인하는 실선 화살표는 평소 빈번하게 발생하지 않는 원격 로그인이므로, 프로세서(110)는 원격 로그인 이력이 저장된 데이터베이스에서 C4 컴퓨터의 U8 계정에서 C3 컴퓨터의 U6 계정으로의 원격 로그인이 발생한 횟수를 기초로 C4 컴퓨터의 U8 계정에서 C3 컴퓨터의 U6 계정으로의 원격 로그인이 비정상 원격 로그인이라고 확인할 수 있다. In one embodiment, the processor 110 may check the frequency of remote login based on the database, and determine whether the remote login is abnormal based on the checked frequency. In one embodiment, the processor 110 determines how many times a specific remote login has occurred in a database in which a remote login history for a specific period is stored, and then, based on this, when detecting a specific remote login, determines whether the specific remote login is abnormal. . For example, the dotted line arrow indicating remote login from the U3 account of the C1 computer to the U9 account of the C2 computer in FIG. Based on the number of remote logins from an account to the U9 account on the C2 computer, it can be confirmed that the remote login from the U3 account on the C1 computer to the U9 account on the C2 computer is a normal remote login. On the other hand, since the solid line arrow for logging in from the U8 account of the C4 computer in FIG. 2 to the U6 account of the C3 computer is a remote login that does not occur frequently, the processor 110 uses the U8 account of the C4 computer in the database in which the remote login history is stored. Based on the number of remote logins to the U6 account of the C3 computer, it can be confirmed that the remote login from the U8 account of the C4 computer to the U6 account of the C3 computer is an abnormal remote login.

일 실시예에서, 프로세서(110)는 확인 대상 원격 로그인을 식별하면, 복수의 원격 로그인들의 이력이 저장된 데이터베이스를 기초로, 현재 발생한 확인 대상 원격 로그인과 동일한 경로를 통한 원격 로그인이 발생한 횟수를 확인한 다음, 이를 기초로 확인 대상 원격 로그인의 비정상 여부를 확인할 수 있다. In one embodiment, if the processor 110 identifies the remote login to be verified, the processor 110 checks the number of occurrences of remote logins through the same path as the currently occurring remote login to be verified based on a database in which a history of a plurality of remote logins is stored, and then , based on this, it is possible to check whether the remote login to be checked is abnormal.

일 실시예에서, 프로세서(110)는 복수의 원격 로그인들의 이력이 저장된 데이터베이스를 기초로, 데이터베이스에 저장된 모든 원격 로그인 경로에 대해, 개별 경로를 통하여 원격 로그인이 발생한 횟수를 확인하고, 개별 경로를 통해 원격 로그인이 발생한 개별 횟수를 데이터베이스에 저장할 수 있다. 따라서 이 경우, 프로세서(110)는 확인 대상 원격 로그인을 식별하면 현재 발생한 확인 대상 원격 로그인과 동일한 경로를 통하여 발생한 원격 로그인의 횟수를 데이터베이스로부터 확인하여 이를 기초로 확인 대상 원격 로그인의 비정상 여부를 확인할 수 있다.In one embodiment, the processor 110 checks the number of times remote logins have occurred through individual paths for all remote login paths stored in the database based on a database in which a history of a plurality of remote logins is stored, and through individual paths. Individual counts of remote logins can be stored in a database. Therefore, in this case, if the processor 110 identifies the remote login to be verified, the number of remote logins that have occurred through the same path as the currently occurring remote login to be verified can be checked from the database, and based on this, whether the remote login to be verified is abnormal or not. there is.

일 실시예에서, 확인 대상 원격 로그인의 로그인 경로에는 출발지 컴퓨터의 출발지 계정에서 도착지 컴퓨터의 도착지 계정으로 원격 로그인하는 1-홉 원격 로그인 경로, 또는 출발지 컴퓨터의 출발지 계정에서 적어도 하나의 경유지 컴퓨터의 적어도 하나의 경유지 계정을 거쳐 도착지 컴퓨터의 도착지 계정으로 원격 로그인하는 다중 홉 원격 로그인 경로가 포함될 수 있고, 프로세서(110)는 원격 로그인의 홉(hop) 수를 확인할 수 있다. In one embodiment, the login path of the remote login to be checked includes a 1-hop remote login path remotely logging in from a source account of the source computer to a destination account of the destination computer, or at least one of at least one waypoint computer from the source account of the source computer. A multi-hop remote login path that remotely logs in to the destination account of the destination computer via a waypoint account of , may be included, and the processor 110 may check the number of hops of the remote login.

일 실시예에서, 프로세서(110)는 확인 대상 원격 로그인을 식별하면, 복수의 원격 로그인들의 이력이 저장된 데이터베이스를 기초로, 현재 발생한 확인 대상 원격 로그인과 동일한 경로를 통한 원격 로그인이 발생한 제1횟수를 확인하고, 확인 대상 원격 로그인의 경로와 동일한 홉 수를 갖는 원격 로그인이 발생한 제2횟수를 확인하고, 제1횟수와 제2횟수를 기초로 확인 대상 원격 로그인의 경로에 관한 평가 지수를 결정하고, 평가 지수를 기초로 확인 대상 원격 로그인의 비정상 여부를 확인할 수 있다. In one embodiment, if the processor 110 identifies the remote login to be verified, the processor 110 calculates the first number of occurrences of remote login through the same path as the currently occurring remote login to be verified, based on a database in which a history of a plurality of remote logins is stored. and checking the second number of remote logins having the same number of hops as the path of the remote login to be confirmed, determining an evaluation index for the path of the remote login to be confirmed based on the first and second times, Based on the evaluation index, it is possible to check whether the remote login to be checked is abnormal.

일 실시예에서, 프로세서(110)는 복수의 원격 로그인들의 이력이 저장된 데이터베이스를 기초로, 데이터베이스에 저장된 모든 원격 로그인 경로에 대해, 개별 경로를 통하여 원격 로그인이 발생한 횟수를 확인하고, 개별 경로를 통해 원격 로그인이 발생한 개별 횟수를 데이터베이스에 저장할 수 있다. 따라서 이 경우, 프로세서(110)는 확인 대상 원격 로그인을 식별하면 현재 발생한 확인 대상 원격 로그인과 동일한 경로를 통하여 발생한 원격 로그인의 횟수를 데이터베이스로부터 확인하여 제1횟수로 하고, 확인 대상 원격 로그인의 경로와 동일한 홉 수를 갖는 개별 경로를 통하여 원격 로그인이 발생한 개별 횟수를 모두 더하여 이를 제2횟수로 하고, 제1횟수와 제2횟수를 기초로 확인 대상 원격 로그인의 경로에 관한 평가 지수를 결정하고, 평가 지수를 기초로 확인 대상 원격 로그인의 비정상 여부를 확인할 수 있다. In one embodiment, the processor 110 checks the number of times remote logins have occurred through individual paths for all remote login paths stored in the database based on a database in which a history of a plurality of remote logins is stored, and through individual paths. Individual counts of remote logins can be stored in a database. Therefore, in this case, if the processor 110 identifies the remote login to be verified, the number of remote logins generated through the same path as the currently occurring remote login to be verified is checked from the database and set as the first number, and the path of the remote login to be verified and The number of times remote logins occur through individual paths having the same number of hops is summed up to be the second number, and an evaluation index for the path of the remote login to be checked is determined based on the first number and the second number, and the evaluation Based on the index, it is possible to check whether the remote login to be checked is abnormal.

일 실시예에서, 프로세서(110)는 복수의 원격 로그인들의 이력이 저장된 데이터베이스를 기초로, 데이터베이스에 저장된 모든 원격 로그인 경로에 대해, 개별 경로를 통하여 원격 로그인이 발생한 횟수를 확인하고, 이를 기초로 모든 개별 경로에 관한 평가 지수를 결정하여 데이터베이스에 저장할 수 있다. 따라서 이 경우, 프로세서(110)는 확인 대상 원격 로그인을 식별하면 현재 발생한 확인 대상 원격 로그인과 동일한 경로를 통하여 발생한 원격 로그인의 평가 지수를 데이터베이스로부터 확인하여 이를 기초로 확인 대상 원격 로그인의 비정상 여부를 확인할 수 있다.In one embodiment, the processor 110 checks the number of times remote logins have occurred through individual paths for all remote login paths stored in the database based on a database in which a history of a plurality of remote logins is stored, and based on this, all remote login paths An evaluation index for each route can be determined and stored in a database. Therefore, in this case, when the processor 110 identifies the remote login to be verified, the processor 110 checks the evaluation index of the remote login that occurred through the same path as the currently occurring remote login to be verified from the database, and based on this, determines whether the remote login to be confirmed is abnormal. can

일 실시예에서, 1-홉 로그인 경로의 평가 지수는 아래 수학식 1 과 같이 계산될 수 있다.In one embodiment, the evaluation index of the 1-hop login path can be calculated as in Equation 1 below.

Figure pat00001
Figure pat00001

위 수학식 1 에서,

Figure pat00002
,
Figure pat00003
는 개별 컴퓨터를 의미하고,
Figure pat00004
,
Figure pat00005
는 개별 계정을 의미한다.
Figure pat00006
는 컴퓨터
Figure pat00007
의 계정
Figure pat00008
에서, 컴퓨터
Figure pat00009
의 계정
Figure pat00010
로 1-홉 로그인하는 경로의 평가 지수를 의미한다.
Figure pat00011
는 데이터베이스를 기초로 하여 컴퓨터
Figure pat00012
의 계정
Figure pat00013
에서, 컴퓨터
Figure pat00014
의 계정
Figure pat00015
로 로그인하는 경로가 발생한 횟수를 의미한다.
Figure pat00016
는 데이터베이스를 기초로 하여 1-홉 로그인 경로의 원격 로그인이 발생한 총 횟수를 의미한다.In Equation 1 above,
Figure pat00002
,
Figure pat00003
represents an individual computer,
Figure pat00004
,
Figure pat00005
means an individual account.
Figure pat00006
the computer
Figure pat00007
account of
Figure pat00008
in computer
Figure pat00009
account of
Figure pat00010
It means the evaluation index of the 1-hop login path with .
Figure pat00011
is a computer based on a database
Figure pat00012
account of
Figure pat00013
in computer
Figure pat00014
account of
Figure pat00015
It means the number of occurrences of the path to log in with .
Figure pat00016
Means the total number of remote logins of the 1-hop login path based on the database.

일 실시예에서,

Figure pat00017
개의 홉을 가지는 다중 홉 로그인 경로의 평가 지수는 아래 수학식 2 와 같이 계산될 수 있다. In one embodiment,
Figure pat00017
An evaluation index of a multi-hop login path having N hops can be calculated as in Equation 2 below.

Figure pat00018
Figure pat00018

위 수학식 1 에서,

Figure pat00019
Figure pat00020
Figure pat00021
를 만족하는 정수이다.
Figure pat00022
, ... ,
Figure pat00023
는 개별 컴퓨터를 의미하고,
Figure pat00024
, ... ,
Figure pat00025
는 개별 계정을 의미한다.
Figure pat00026
는 컴퓨터
Figure pat00027
의 계정
Figure pat00028
에서 시작하여, 계정
Figure pat00029
를 사용하여 컴퓨터
Figure pat00030
를 경유하고, 컴퓨터
Figure pat00031
의 계정
Figure pat00032
Figure pat00033
홉 로그인하는 경로의 평가 지수를 의미한다.
Figure pat00034
는 데이터베이스를 기초로 하여 컴퓨터
Figure pat00035
의 계정
Figure pat00036
에서 시작하여, 계정
Figure pat00037
를 사용하여 컴퓨터
Figure pat00038
를 경유하고, 컴퓨터
Figure pat00039
의 계정
Figure pat00040
Figure pat00041
홉 로그인하는 경로가 발생한 횟수를 의미한다.
Figure pat00042
는 데이터베이스를 기초로 하여
Figure pat00043
홉 로그인 경로의 원격 로그인이 발생한 총 횟수를 의미한다In Equation 1 above,
Figure pat00019
and
Figure pat00020
Is
Figure pat00021
is an integer that satisfies
Figure pat00022
, ... ,
Figure pat00023
represents an individual computer,
Figure pat00024
, ... ,
Figure pat00025
means an individual account.
Figure pat00026
the computer
Figure pat00027
account of
Figure pat00028
Starting from, your account
Figure pat00029
using computer
Figure pat00030
via the computer
Figure pat00031
account of
Figure pat00032
as
Figure pat00033
It means the evaluation index of the hop log-in path.
Figure pat00034
is a computer based on a database
Figure pat00035
account of
Figure pat00036
Starting from, your account
Figure pat00037
using computer
Figure pat00038
via the computer
Figure pat00039
account of
Figure pat00040
as
Figure pat00041
Hop Indicates the number of times the log-in path has occurred.
Figure pat00042
is based on the database
Figure pat00043
It means the total number of remote logins of the hop login path.

일 실시예에서, 평가 지수의 계산은 정상적인 운영 환경에서 일반적인 사용자들이 사용하는 인증 로그를 통해 이루어질 수 있다. 이 경우 평가 지수의 산출은 정상적 상태를 학습하는 과정으로 볼 수 있다.In one embodiment, the evaluation index may be calculated through authentication logs used by general users in a normal operating environment. In this case, the calculation of the evaluation index can be seen as a process of learning a normal state.

수학식 1 내지 수학식 2 에 따르면, 정상적인 운영 환경에서 사용자가 자주 사용하는 원격 로그인 경로에 대한 평범도 평가 지수는 다른 경로에 비해 상대적으로 높아질 수 있고, 자주 사용되지 않는 원격 로그인 경로에 대한 평가 지수는 상대적으로 낮아질 수 있다. 특히 일반적인 운영 환경에서 한 번도 출현하지 않은 원격 로그인 경로의 평범도 평가 지수는 0이므로, 해당 경로를 통한 원격 로그인이 탐지된다면 그 원격 로그인은 비정상 원격 로그인일 확률이 높을 수 있다. 따라서 일 실시예에서, 프로세서(110)는 평가 지수가 0인 경로를 따라 발생한 원격 로그인을 비정상 원격 로그인으로 인식할 수 있다. According to Equations 1 and 2, the normality evaluation index for the remote login path frequently used by users in a normal operating environment can be relatively high compared to other paths, and the evaluation index for the remote login path infrequently used. can be relatively low. In particular, since the normality evaluation index of a remote login path that has never appeared in a general operating environment is 0, if a remote login through that path is detected, it may be highly likely that the remote login is an abnormal remote login. Accordingly, in one embodiment, the processor 110 may recognize a remote login occurring along a path having an evaluation index of 0 as an abnormal remote login.

일 실시예에서, 프로세서(110)는 원격 로그인 경로의 평가 지수가 기 설정된 범위 이내인지 여부를 판단하여, 원격 로그인의 비정상 여부를 확인할 수 있다. 기 설정된 범위는 네트워크 시스템의 속성, 공격자의 공격 패턴 등을 고려하여 설정될 수 있다. 보다 구체적으로, 기 설정된 범위는 공격자의 원격 로그인 시간 간격과 전자 장치(100) 또는 프로세서(110)의 처리 속도 및 메모리(120) 크기 등을 고려하여 설정될 수 있다. In one embodiment, the processor 110 may determine whether the remote login path is abnormal by determining whether the evaluation index of the remote login path is within a preset range. The preset range may be set in consideration of attributes of a network system, an attack pattern of an attacker, and the like. More specifically, the preset range may be set in consideration of an attacker's remote log-in time interval, the processing speed of the electronic device 100 or the processor 110, the size of the memory 120, and the like.

일 실시예에서, 프로세서(110)는 1-홉 원격 로그인 경로와 다중 홉 원격 로그인 경로를 구분 또는 확인하여 로그인 경로의 평가 지수를 결정할 수 있다. 구체적으로, 프로세서(110)는 수학식 1 의

Figure pat00044
를 확인할 때 다중 홉 원격 로그인 경로를 구성하는 1-홉 원격 로그인 경로를 제외시킬 수 있다. 따라서 이 경우, 프로세서(110)는 수학식 1 의
Figure pat00045
를 확인할 때 다중 홉 원격 로그인 경로의 일부가 아닌 1-홉 원격 로그인 경로만 확인할 수 있다. 일 실시예에서, 프로세서(110)는 수학식 1 의
Figure pat00046
를 확인할 때 다중 홉 원격 로그인 경로를 구성하는 1-홉 원격 로그인 경로를 제외시킬 수 있다. 따라서 이 경우, 프로세서(110)는 수학식 1 의
Figure pat00047
를 확인할 때 다중 홉 원격 로그인 경로의 일부가 아닌 1-홉 원격 로그인 경로만 확인할 수 있다. In one embodiment, the processor 110 may determine the evaluation index of the login path by distinguishing or verifying a 1-hop remote login path and a multi-hop remote login path. Specifically, the processor 110 of Equation 1
Figure pat00044
You can exclude 1-hop remote login paths that make up multi-hop remote login paths when checking . Therefore, in this case, the processor 110 of Equation 1
Figure pat00045
When checking , you can only check the 1-hop remote login path, which is not part of the multi-hop remote login path. In one embodiment, the processor 110 of Equation 1
Figure pat00046
You can exclude 1-hop remote login paths that make up multi-hop remote login paths when checking . Therefore, in this case, the processor 110 of Equation 1
Figure pat00047
When checking , you can only check the 1-hop remote login path, which is not part of the multi-hop remote login path.

다른 실시예에서, 프로세서(110)는 수학식 1 의

Figure pat00048
를 확인할 때 다중 홉 원격 로그인 경로를 구성하는 1-홉 원격 로그인 경로를 함께 확인할 수 있다. 따라서 이 경우, 프로세서(110)는 수학식 1 의
Figure pat00049
를 확인할 때 1-홉 원격 로그인 경로가 다중 홉 원격 로그인 경로의 일부인지 여부를 확인하지 않고 1-홉 원격 로그인 경로를 모두 확인할 수 있다. 일 실시예에서, 프로세서(110)는 수학식 1 의
Figure pat00050
를 확인할 때 다중 홉 원격 로그인 경로를 구성하는 1-홉 원격 로그인 경로를 확인할 수 있다. 따라서 이 경우, 프로세서(110)는 수학식 1 의
Figure pat00051
를 확인할 때 1-홉 원격 로그인 경로가 다중 홉 원격 로그인 경로의 일부인지 여부를 확인하지 않고 1-홉 원격 로그인 경로를 모두 확인할 수 있다.In another embodiment, the processor 110 of Equation 1
Figure pat00048
When checking , you can also check the 1-hop remote login path that constitutes the multi-hop remote login path. Therefore, in this case, the processor 110 of Equation 1
Figure pat00049
When checking , you can check all 1-hop remote login paths without checking whether the 1-hop remote login path is part of a multi-hop remote login path. In one embodiment, the processor 110 of Equation 1
Figure pat00050
, you can check the 1-hop remote login path that constitutes the multi-hop remote login path. Therefore, in this case, the processor 110 of Equation 1
Figure pat00051
When checking , you can check all 1-hop remote login paths without checking whether the 1-hop remote login path is part of a multi-hop remote login path.

일 실시예에서, 프로세서(110)는

Figure pat00052
인 경우,
Figure pat00053
홉 원격 로그인 경로와
Figure pat00054
-홉 원격 로그인 경로를 구분 또는 확인하여
Figure pat00055
홉 로그인 경로의 평가 지수를 결정할 수 있다. 구체적으로, 프로세서(110)는 수학식 2 의
Figure pat00056
를 확인할 때
Figure pat00057
-홉 원격 로그인 경로를 구성하는
Figure pat00058
홉 원격 로그인 경로는 제외할 수 있다. 따라서 이 경우, 프로세서(110)는 수학식 2 의
Figure pat00059
를 확인할 때
Figure pat00060
-홉 원격 로그인 경로의 일부가 아닌
Figure pat00061
홉 원격 로그인 경로만 확인할 수 있다. 일 실시예에서, 프로세서(110)는 수학식 2 의
Figure pat00062
를 확인할 때
Figure pat00063
-홉 원격 로그인 경로를 구성하는
Figure pat00064
홉 원격 로그인 경로는 제외할 수 있다. 따라서 이 경우, 프로세서(110)는 수학식 2 의
Figure pat00065
를 확인할 때
Figure pat00066
-홉 원격 로그인 경로의 일부가 아닌
Figure pat00067
홉 원격 로그인 경로만 확인할 수 있다. In one embodiment, processor 110
Figure pat00052
If
Figure pat00053
hop remote login path and
Figure pat00054
-Distinguish or check the hop remote login path to
Figure pat00055
The evaluation index of the hop login path can be determined. Specifically, the processor 110 of Equation 2
Figure pat00056
when checking
Figure pat00057
- hop remote login path to configure
Figure pat00058
The hop remote login path can be excluded. Therefore, in this case, the processor 110 of Equation 2
Figure pat00059
when checking
Figure pat00060
-hop not part of the remote login path
Figure pat00061
Only the hop remote login path can be checked. In one embodiment, the processor 110 of Equation 2
Figure pat00062
when checking
Figure pat00063
- hop remote login path to configure
Figure pat00064
The hop remote login path can be excluded. Therefore, in this case, the processor 110 of Equation 2
Figure pat00065
when checking
Figure pat00066
-hop not part of the remote login path
Figure pat00067
Only the hop remote login path can be checked.

일 실시예에서, 프로세서(110)는 수학식 2 의

Figure pat00068
를 확인할 때
Figure pat00069
-홉 원격 로그인 경로를 구성하는
Figure pat00070
홉 원격 로그인 경로를 확인할 수 있다. 따라서 이 경우, 프로세서(110)는 수학식 2 의
Figure pat00071
를 확인할 때
Figure pat00072
홉 원격 로그인 경로가
Figure pat00073
-홉 원격 로그인 경로의 일부인지 여부를 확인하지 않고
Figure pat00074
홉 원격 로그인 경로를 모두 확인할 수 있다. 일 실시예에서, 프로세서(110)는 수학식 2 의
Figure pat00075
를 확인할 때
Figure pat00076
-홉 원격 로그인 경로를 구성하는
Figure pat00077
홉 원격 로그인 경로를 확인할 수 있다. 따라서 이 경우, 프로세서(110)는 수학식 2 의
Figure pat00078
를 확인할 때
Figure pat00079
홉 원격 로그인 경로가
Figure pat00080
-홉 원격 로그인 경로의 일부인지 여부를 확인하지 않고
Figure pat00081
홉 원격 로그인 경로를 모두 확인할 수 있다.In one embodiment, the processor 110 of Equation 2
Figure pat00068
when checking
Figure pat00069
- hop remote login path to configure
Figure pat00070
You can check the hop remote login path. Therefore, in this case, the processor 110 of Equation 2
Figure pat00071
when checking
Figure pat00072
hop remote login path
Figure pat00073
- without checking whether it is part of the hop remote login path
Figure pat00074
You can check all hop remote login paths. In one embodiment, the processor 110 of Equation 2
Figure pat00075
when checking
Figure pat00076
- hop remote login path to configure
Figure pat00077
You can check the hop remote login path. Therefore, in this case, the processor 110 of Equation 2
Figure pat00078
when checking
Figure pat00079
hop remote login path
Figure pat00080
- without checking whether it is part of the hop remote login path
Figure pat00081
You can check all hop remote login paths.

도 3 은 1-홉 원격 로그인과 다중 홉 원격 로그인을 식별하는데 사용되는 피쳐(Features)를 나타낸다. 일 실시예에서, 1-홉 원격 로그인은 출발지 컴퓨터(Source Computer), 출발지 계정(Source User), 도착지 컴퓨터(Destination Computer) 및 도착지 계정(Destination User)의 피쳐를 포함할 수 있다. 이는 출발지 컴퓨터 및 도착지 컴퓨터만을 피쳐로 포함하는 경우에 비해, 공격자가 이미 인증 정보를 획득한 사용자 계정을 통해 일반 사용자들이 자주 사용하는 경로로 시스템에 침투하더라도 이를 탐지할 수 있는 가능성과 탐지 정확도를 높일 수 있는 장점이 있다. 3 shows features used to identify one-hop remote login and multi-hop remote login. In one embodiment, 1-hop remote login may include the features of Source Computer, Source User, Destination Computer and Destination User. Compared to the case of including only the source computer and the destination computer as features, this increases the probability and accuracy of detection even if an attacker infiltrates the system through a user account for which authentication information has already been obtained, even if the attacker infiltrates the system through a path frequently used by ordinary users. There are advantages to being able to

일 실시예에서, 다중 홉 원격 로그인은 출발지 컴퓨터(Source Computer), 출발지 계정(Source User), 도착지 컴퓨터(Destination Computer) 및 도착지 계정(Destination User)의 피쳐를 포함할 수 있다. 하지만, 어떤 공격자는 탐지를 피하기 위해 공격 대상의 네트워크에서 오래 머무는 행위를 지양할 것이므로, 공격자의 공격 시간을 고려하여 홉 간의 제한 시간을 두는 것을 고려할 수 있다. 따라서 일 실시예에 따라, 다중 홉 원격 로그인은 원격 로그인이 발생한 시간을 피쳐로 더 포함할 수 있다.In one embodiment, multi-hop remote login may include features of Source Computer, Source User, Destination Computer and Destination User. However, since some attackers will refrain from staying in the attack target's network for a long time to avoid detection, it can be considered to set a time limit between hops in consideration of the attack time of the attacker. Accordingly, according to an embodiment, the multi-hop remote login may further include a time when the remote login occurred as a feature.

일 실시예에서, 복수의 원격 로그인들에 관한 데이터베이스는 복수의 원격 로그인들이 발생한 시간 정보를 포함하고, 프로세서(110)는 시간 정보를 기초로 복수의 원격 로그인들로부터 적어도 하나의 1-홉 원격 로그인 경로와 적어도 하나의 다중 홉 원격 로그인 경로를 확인할 수 있다. 보다 구체적으로, 프로세서(110)는 연속하는 원격 로그인의 발생 시간의 차이를 기초로 연속하는 원격 로그인을 합쳐서 다중 홉 원격 로그인 경로로 인식할지 여부를 판단할 수 있다.In one embodiment, the database of the plurality of remote logins includes time information of the plurality of remote logins, and the processor 110 determines at least one 1-hop remote login from the plurality of remote logins based on the time information. path and at least one multi-hop remote login path. More specifically, the processor 110 may determine whether or not to recognize a multi-hop remote login path by merging consecutive remote logins based on differences in occurrence times of successive remote logins.

일 실시예에서, 프로세서(110)는 연속하는 원격 로그인의 발생 시간의 차이가 기 설정된 시간 값 이하인 경우, 연속하는 원격 로그인을 다중 홉 원격 로그인 경로로 인식할 수 있다. 도 4 는 본 개시가 적용될 수 있는 일 상황을 나타낸다. 일 실시예에서, 컴퓨터 C1의 계정 U1에서 컴퓨터 C2의 계정 U2로의 원격 로그인이 매주 월요일에 발생하고, 컴퓨터 C2의 계정 U2에서 컴퓨터 C3의 계정 U3로의 원격 로그인이 매주 금요일에 발생할 수 있다. 이 경우, 컴퓨터 C1의 계정 U1에서 컴퓨터 C2의 계정 U2로의 원격 로그인과 컴퓨터 C2의 계정 U2에서 컴퓨터 C3의 계정 U3로의 원격 로그인은 연속하는 원격 로그인이지만, 공격자가 월요일에 C2로 침투하여 4일 동안 C2 컴퓨터에서의 접속을 유지하다가 금요일에 C3 컴퓨터로 원격 로그인 하는 경우는 발생할 확률이 낮다. 따라서 본 개시에 따른 일 실시예에서 프로세서(110)가 연속하는 원격 로그인의 발생 시간의 차이가 기 설정된 시간 값 이하인 경우, 연속하는 원격 로그인을 다중 홉 원격 로그인 경로로 인식하도록 설정된다면, 프로세서(110)는 도 4 의 연속되는 두 원격 로그인을 하나의 다중 홉 경로로 인식하지 않을 수 있다. 결과적으로 컴퓨터 C1의 계정 U1에서 컴퓨터 C2의 계정 U2 를 경유하여 컴퓨터 C3의 계정 U3로의 원격 로그인이 탐지되면, 프로세서(110)는 이를 비정상적인 원격 로그인 경로로 판단할 수 있다.In an embodiment, the processor 110 may recognize successive remote logins as a multi-hop remote login path when a difference in occurrence times of successive remote logins is equal to or less than a preset time value. 4 shows a situation to which the present disclosure can be applied. In one embodiment, a remote login from account U1 on computer C1 to account U2 on computer C2 occurs every Monday, and a remote login from account U2 on computer C2 to account U3 on computer C3 occurs every Friday. In this case, the remote login from account U1 on computer C1 to account U2 on computer C2 and the remote login from account U2 on computer C2 to account U3 on computer C3 are consecutive remote logins, but the attacker infiltrated C2 on Monday and logged in for 4 days. It is unlikely to occur if you maintain a connection from computer C2 and log in remotely to computer C3 on Friday. Therefore, in one embodiment according to the present disclosure, if the processor 110 is set to recognize successive remote logins as a multi-hop remote login path when the difference in occurrence time of successive remote logins is less than or equal to a preset time value, the processor 110 ) may not recognize two consecutive remote logins of FIG. 4 as one multi-hop path. As a result, if a remote login from account U1 of computer C1 to account U3 of computer C3 via account U2 of computer C2 is detected, the processor 110 may determine this as an abnormal remote login path.

일 실시예에서, 기 설정된 시간 값은 네트워크 시스템의 속성, 공격자의 공격 패턴 등을 고려하여 설정될 수 있다. 보다 구체적으로, 기 설정된 시간 값은 공격자의 원격 로그인 시간 간격과 전자 장치(100) 또는 프로세서(110)의 처리 속도 및 메모리(120)의 크기를 고려하여 설정될 수 있다. 일 실시예에서 기 설정된 시간 값은 고정된 값일 수 있으며, 일 실시예에서 기 설정된 시간 값은 3시간일 수 있다. 일 실시예에서, 기 설정된 시간 값은 특정 기간동안 미리 탐지된 공격자의 다중 홉 원격 로그인의 일부인 연속하는 원격 로그인의 시간 간격의 평균값을 고려하여 설정될 수 있다. In one embodiment, the preset time value may be set in consideration of attributes of a network system, an attack pattern of an attacker, and the like. More specifically, the preset time value may be set in consideration of an attacker's remote log-in time interval, the processing speed of the electronic device 100 or the processor 110, and the size of the memory 120. In one embodiment, the preset time value may be a fixed value, and in one embodiment, the preset time value may be 3 hours. In one embodiment, the preset time value may be set in consideration of an average value of time intervals of consecutive remote logins that are part of multi-hop remote logins of an attacker detected in advance during a specific period of time.

일 실시예에서, 기 설정된 시간 값은 공격자의 원격 로그인 시간 간격 또는 공격 패턴이 변함에 따라 함께 변화하는 값일 수 있다. 이 경우, 프로세서(110)는 미리 공격자의 공격 패턴을 학습하여 기 설정된 시간 값을 결정할 수 있고, 새로이 탐지되는 공격자의 원격 로그인을 기초로 기 설정된 시간 값을 동적으로 조정할 수 있다. In one embodiment, the preset time value may be a value that changes as an attacker's remote log-in time interval or attack pattern changes. In this case, the processor 110 may determine a preset time value by learning an attack pattern of an attacker in advance, and may dynamically adjust the preset time value based on a newly detected remote login of an attacker.

일 실시예에서, 프로세서(110)는 연속하는 원격 로그인의 발생 시간의 차이가 기 설정된 제1 시간 값 이상이고 기 설정된 제2 시간 값 이하인 경우, 연속하는 원격 로그인을 다중 홉 원격 로그인 경로로 인식할 수 있다. 이는 연속하는 원격 로그인이 기 설정된 시간 값 이하인 경우에만 다중 홉 원격 로그인 경로로 인식하는 것을 역이용하는 공격자들이 행하는 공격을 탐지하는데 효과적일 수 있다.In one embodiment, the processor 110 recognizes successive remote logins as a multi-hop remote login path when the difference in occurrence times of successive remote logins is equal to or greater than a preset first time value and equal to or less than a preset second time value. can This can be effective in detecting an attack by attackers who reversely use the recognition as a multi-hop remote login path only when consecutive remote logins are less than a preset time value.

도 5 는 일 실시예에 따른 전자 장치(100)의 동작 방법을 나타낸다. 5 illustrates an operating method of the electronic device 100 according to an exemplary embodiment.

도 5 의 동작 방법의 각 단계는 도 1 의 전자 장치(100)에 의해 수행될 수 있으므로, 도 1 과 중복되는 내용에 대해서는 설명을 생략한다.Since each step of the operating method of FIG. 5 can be performed by the electronic device 100 of FIG. 1 , descriptions of overlapping contents with those of FIG. 1 will be omitted.

단계 S500 에서, 전자 장치(100)는 복수의 컴퓨터들에서 발생한 복수의 원격 로그인들에 관한 데이터베이스를 획득할 수 있다.In step S500, the electronic device 100 may obtain a database of a plurality of remote logins generated from a plurality of computers.

단계 S510 에서, 전자 장치(100) 데이터베이스를 기초로, 복수의 원격 로그인들 중에서 제1경로를 통해 원격 로그인이 발생한 제1횟수 및 복수의 원격 로그인들 중에서 제1경로와 동일한 홉(hop) 수를 갖는 경로를 통해 원격 로그인이 발생한 제2횟수를 확인하고, 제1횟수 및 제2횟수를 기초로 제1경로에 관한 평가 지수를 결정 할 수 있다.In step S510, based on the database of the electronic device 100, the first number of remote logins occurring through the first path among the plurality of remote logins and the same number of hops as the first path among the plurality of remote logins are determined. It is possible to check the second number of remote log-ins through the path having the first path and to determine an evaluation index for the first path based on the first number and the second number of times.

제1경로는 출발지 컴퓨터의 출발지 계정에서 도착지 컴퓨터의 도착지 계정으로 원격 로그인하는 1-홉(1-hop) 원격 로그인 경로, 또는 출발지 컴퓨터의 출발지 계정에서 적어도 하나의 경유지 컴퓨터의 적어도 하나의 경유지 계정을 거쳐 도착지 컴퓨터의 도착지 계정으로 원격 로그인하는 다중 홉 원격 로그인 경로를 포함할 수 있다.The first route is a 1-hop remote login path from a source account on the source computer to a destination account on the destination computer, or a source account on the source computer to at least one waypoint account on at least one waypoint computer. You can include a multi-hop remote login path through which you log in remotely to the destination account on the destination computer.

전자 장치(100)는 데이터베이스를 기초로 복수의 원격 로그인들로부터 적어도 하나의 1-홉 원격 로그인 경로와 적어도 하나의 다중 홉 원격 로그인 경로를 확인할 수 있다.The electronic device 100 may check at least one 1-hop remote login path and at least one multi-hop remote login path from a plurality of remote logins based on the database.

데이터베이스는, 복수의 원격 로그인들 각각이 발생한 시간 정보를 포함할 수 있고, 전자 장치(100)는 시간 정보에 기초하여 복수의 원격 로그인들로부터 적어도 하나의 1-홉 원격 로그인 경로와 적어도 하나의 다중 홉 원격 로그인 경로를 확인할 수 있다.The database may include time information at which each of the plurality of remote logins occurred, and the electronic device 100 may include at least one 1-hop remote login path and at least one multiple remote login path from the plurality of remote logins based on the time information. You can check the hop remote login path.

복수의 원격 로그인들은 제1컴퓨터의 제1계정에서 제2컴퓨터의 제2계정으로의 제2 원격 로그인 및 제2컴퓨터의 제2계정에서 제3컴퓨터의 제3계정으로의 제3 원격 로그인을 포함할 수 있고, 전자 장치(100)는, 제2 원격 로그인이 발생한 시간과 제3 원격 로그인이 발생한 시간의 차이를 기초로 제2 원격 로그인 및 제3 원격 로그인을 다중 홉 원격 로그인 경로로 인식할지 여부를 판단할 수 있다.The plurality of remote logins include a second remote login from a first account on a first computer to a second account on a second computer and a third remote login from a second account on a second computer to a third account on a third computer. whether the electronic device 100 recognizes the second remote login and the third remote login as a multi-hop remote login path based on the difference between the time the second remote login occurred and the time the third remote login occurred can judge

전자 장치(100)는 차이가 기 설정된 시간 값 이하인 경우, 제2 원격 로그인 및 제3 원격 로그인을 제1 다중 홉 원격 로그인 경로로 인식할 수 있다.The electronic device 100 may recognize the second remote login and the third remote login as the first multi-hop remote login path when the difference is equal to or less than a preset time value.

기 설정된 시간 값은 공격자의 원격 로그인 시간 간격과 전자 장치(100)의 처리 속도 및 메모리(120) 크기를 고려하여 설정될 수 있다.The preset time value may be set in consideration of the attacker's remote log-in time interval, the processing speed of the electronic device 100, and the size of the memory 120.

단계 S520 에서, 전자 장치(100)는 결정된 평가 지수를 기초로, 제1경로를 갖는 제1 원격 로그인이 식별되는 경우, 제1 원격 로그인의 비정상 여부를 확인 할 수 있다.In step S520, the electronic device 100 may check whether the first remote login is abnormal when the first remote login having the first path is identified based on the determined evaluation index.

전자 장치(100)는 결정된 평가 지수가 0인 경우, 상기 제1 원격 로그인을 비정상적인 로그인으로 인식할 수 있다.When the determined evaluation index is 0, the electronic device 100 may recognize the first remote login as an abnormal login.

전자 장치(100)는 결정된 평가 지수가 기 설정된 범위 이내인지 여부를 판단하여, 상기 제1 원격 로그인의 비정상 여부를 확인할 수 있다.The electronic device 100 can determine whether the first remote login is abnormal by determining whether the determined evaluation index is within a preset range.

전술한 실시예들에 따른 전자 장치는, 프로세서, 프로그램 데이터를 저장하고 실행하는 메모리, 디스크 드라이브와 같은 영구 저장부(permanent storage), 외부 장치와 통신하는 통신 포트, 터치 패널, 키(key), 버튼 등과 같은 사용자 인터페이스 장치 등을 포함할 수 있다. 소프트웨어 모듈 또는 알고리즘으로 구현되는 방법들은 상기 프로세서상에서 실행 가능한 컴퓨터가 읽을 수 있는 코드들 또는 프로그램 명령들로서 컴퓨터가 읽을 수 있는 기록 매체 상에 저장될 수 있다. 여기서 컴퓨터가 읽을 수 있는 기록 매체로 마그네틱 저장 매체(예컨대, ROM(read-only memory), RAM(random-Access memory), 플로피 디스크, 하드 디스크 등) 및 광학적 판독 매체(예컨대, 시디롬(CD-ROM), 디브이디(DVD: Digital Versatile Disc)) 등이 있다. 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템들에 분산되어, 분산 방식으로 컴퓨터가 판독 가능한 코드가 저장되고 실행될 수 있다. 매체는 컴퓨터에 의해 판독가능하며, 메모리에 저장되고, 프로세서에서 실행될 수 있다.An electronic device according to the above-described embodiments includes a processor, a memory for storing and executing program data, a permanent storage unit such as a disk drive, a communication port for communicating with an external device, a touch panel, a key, User interface devices such as buttons and the like may be included. Methods implemented as software modules or algorithms may be stored on a computer-readable recording medium as computer-readable codes or program instructions executable on the processor. Here, the computer-readable recording medium includes magnetic storage media (e.g., read-only memory (ROM), random-access memory (RAM), floppy disk, hard disk, etc.) and optical reading media (e.g., CD-ROM) ), and DVD (Digital Versatile Disc). A computer-readable recording medium may be distributed among computer systems connected through a network, and computer-readable codes may be stored and executed in a distributed manner. The medium may be readable by a computer, stored in a memory, and executed by a processor.

본 실시 예는 기능적인 블록 구성들 및 다양한 처리 단계들로 나타내어질 수 있다. 이러한 기능 블록들은 특정 기능들을 실행하는 다양한 개수의 하드웨어, 소프트웨어, 또는 이들의 조합들로 구현될 수 있다. 예를 들어, 실시 예는 하나 이상의 마이크로프로세서들의 제어 또는 다른 제어 장치들에 의해서 다양한 기능들을 실행할 수 있는, 메모리, 프로세싱, 로직(logic), 룩 업 테이블(look-up table) 등과 같은 직접 회로 구성들을 채용할 수 있다. 구성 요소들이 소프트웨어 프로그래밍 또는 소프트웨어 요소들로 실행될 수 있는 것과 유사하게, 본 실시 예는 데이터 구조, 프로세스들, 루틴들 또는 다른 프로그래밍 구성들의 조합으로 구현되는 다양한 알고리즘을 포함하여, C, C++, 자바(Java), 어셈블러(assembler) 등과 같은 프로그래밍 또는 스크립팅 언어로 구현될 수 있다. 기능적인 측면들은 하나 이상의 프로세서들에서 실행되는 알고리즘으로 구현될 수 있다. 또한, 본 실시 예는 전자적인 환경 설정, 신호 처리, 데이터 처리 또는 이들의 조합 등을 위하여 종래 기술을 채용할 수 있다. "매커니즘", "요소", "수단", "구성"과 같은 용어는 넓게 사용될 수 있으며, 기계적이고 물리적인 구성들로서 한정되는 것은 아니다. 상기 용어는 프로세서 등과 연계하여 소프트웨어의 일련의 처리들(routines)의 의미를 포함할 수 있다.This embodiment can be presented as functional block structures and various processing steps. These functional blocks may be implemented with any number of hardware, software, or combinations thereof that perform specific functions. For example, an embodiment is an integrated circuit configuration such as memory, processing, logic, look-up table, etc., which can execute various functions by control of one or more microprocessors or other control devices. can employ them. Similar to components that can be implemented as software programming or software elements, the present embodiments include data structures, processes, routines, or various algorithms implemented as combinations of other programming constructs, such as C, C++, Java ( It can be implemented in a programming or scripting language such as Java), assembler, or the like. Functional aspects may be implemented in an algorithm running on one or more processors. In addition, this embodiment may employ conventional techniques for electronic environment setting, signal processing, data processing, or a combination thereof. Terms such as "mechanism", "element", "means", and "composition" may be used broadly and are not limited to mechanical and physical components. The term may include a meaning of a series of software routines in association with a processor or the like.

본 실시 예에서 설명하는 특정 예시들로서, 어떠한 방법으로도 기술적 범위를 한정하는 것은 아니다. As specific examples described in this embodiment, the technical scope is not limited in any way.

본 명세서(특히 특허청구범위에서)에서 "상기"의 용어 및 이와 유사한 지시 용어의 사용은 단수 및 복수 모두에 해당하는 것일 수 있다. 또한, 범위(range)를 기재한 경우 상기 범위에 속하는 개별적인 값을 포함하는 것으로서(이에 반하는 기재가 없다면), 상세한 설명에 상기 범위를 구성하는 각 개별적인 값을 기재한 것과 같다. 마지막으로, 방법을 구성하는 단계들에 대하여 명백하게 순서를 기재하거나 반하는 기재가 없다면, 상기 단계들은 적당한 순서로 행해질 수 있다. 반드시 상기 단계들의 기재 순서에 한정되는 것은 아니다. 모든 예들 또는 예시적인 용어(예들 들어, 등등)의 사용은 단순히 기술적 사상을 상세히 설명하기 위한 것으로서 특허청구범위에 의해 한정되지 않는 이상 상기 예들 또는 예시적인 용어로 인해 범위가 한정되는 것은 아니다. 또한, 당업자는 다양한 수정, 조합 및 변경이 부가된 특허청구범위 또는 그 균등물의 범주 내에서 설계 조건 및 팩터에 따라 구성될 수 있음을 알 수 있다.In this specification (particularly in the claims), the use of the term "the" and similar denoting terms may correspond to both the singular and the plural. In addition, when a range is described, it includes individual values belonging to the range (unless otherwise stated), as if each individual value constituting the range was described in the detailed description. Finally, unless an order is explicitly stated or stated to the contrary for the steps making up the method, the steps may be performed in any suitable order. It is not necessarily limited to the order of description of the steps. The use of all examples or exemplary terms (eg, etc.) is simply for explaining technical ideas in detail, and the scope is not limited by the examples or exemplary terms unless limited by the claims. In addition, those skilled in the art can appreciate that various modifications, combinations and changes can be made according to design conditions and factors within the scope of the appended claims or equivalents thereof.

Claims (11)

전자 장치의 사이버 공격 탐지 방법에 있어서,
복수의 컴퓨터들에서 발생한 복수의 원격 로그인들에 관한 데이터베이스를 획득하는 단계;
상기 데이터베이스를 기초로, 상기 복수의 원격 로그인들 중에서 제1경로를 통해 원격 로그인이 발생한 제1횟수 및 상기 복수의 원격 로그인들 중에서 상기 제1경로와 동일한 홉(hop) 수를 갖는 경로를 통해 원격 로그인이 발생한 제2횟수를 확인하고, 상기 제1횟수 및 상기 제2횟수를 기초로 상기 제1경로에 관한 평가 지수를 결정하는 단계; 및
상기 결정된 평가 지수를 기초로, 상기 제1경로를 갖는 제1 원격 로그인이 식별되는 경우, 상기 제1 원격 로그인의 비정상 여부를 확인하는 단계를 포함하는, 사이버 공격 탐지 방법.A cyber attack detection method for an electronic device,
obtaining a database of a plurality of remote logins occurring on a plurality of computers;
Based on the database, the first number of occurrences of remote logins through a first path among the plurality of remote logins and remote logins through a path having the same number of hops as the first path among the plurality of remote logins. checking a second number of logins, and determining an evaluation index for the first path based on the first number and the second number of times; and
and checking whether the first remote login is abnormal when the first remote login having the first path is identified based on the determined evaluation index. 제1항에 있어서,
상기 제1경로는,
출발지 컴퓨터의 출발지 계정에서 도착지 컴퓨터의 도착지 계정으로 원격 로그인하는 1-홉(1-hop) 원격 로그인 경로, 또는 출발지 컴퓨터의 출발지 계정에서 적어도 하나의 경유지 컴퓨터의 적어도 하나의 경유지 계정을 거쳐 도착지 컴퓨터의 도착지 계정으로 원격 로그인하는 다중 홉 원격 로그인 경로를 포함하는, 사이버 공격 탐지 방법.According to claim 1,
The first route,
A one-hop remote login path from a source account on the origin computer to a destination account on the destination computer, or from a source account on the source computer through at least one waypoint account on at least one waypoint computer to a destination computer. A cyberattack detection method that includes a multi-hop remote login path that remotely logs into the destination account. 제1항에 있어서,
상기 결정하는 단계는,
상기 데이터베이스를 기초로 상기 복수의 원격 로그인들로부터 적어도 하나의 1-홉 원격 로그인 경로와 적어도 하나의 다중 홉 원격 로그인 경로를 확인하는 단계를 포함하는, 사이버 공격 탐지 방법. According to claim 1,
The determining step is
and verifying at least one 1-hop remote login path and at least one multi-hop remote login path from the plurality of remote logins based on the database. 제1항에 있어서,
상기 데이터베이스는 상기 복수의 원격 로그인들 각각이 발생한 시간 정보를 포함하고,
상기 결정하는 단계는,
상기 시간 정보에 기초하여 상기 복수의 원격 로그인들로부터 적어도 하나의 1-홉 원격 로그인 경로와 적어도 하나의 다중 홉 원격 로그인 경로를 확인하는 단계를 포함하는, 사이버 공격 탐지 방법.According to claim 1,
The database includes time information at which each of the plurality of remote logins occurred;
The determining step is
and identifying at least one 1-hop remote login path and at least one multi-hop remote login path from the plurality of remote logins based on the time information. 제4항에 있어서,
상기 복수의 원격 로그인들은, 제1컴퓨터의 제1계정에서 제2컴퓨터의 제2계정으로의 제2 원격 로그인 및 제2컴퓨터의 제2계정에서 제3컴퓨터의 제3계정으로의 제3 원격 로그인을 포함하고,
상기 적어도 하나의 1-홉 원격 로그인 경로와 적어도 하나의 다중 홉 원격 로그인 경로를 확인하는 단계는,
상기 제2 원격 로그인이 발생한 시간과 상기 제3 원격 로그인이 발생한 시간의 차이를 기초로 제2 원격 로그인 및 제3 원격 로그인을 다중 홉 원격 로그인 경로로 인식할지 여부를 판단하는 단계를 포함하는, 사이버 공격 탐지 방법.According to claim 4,
The plurality of remote logins include a second remote login from a first account on a first computer to a second account on a second computer and a third remote login from a second account on a second computer to a third account on a third computer. including,
The step of checking the at least one 1-hop remote login path and the at least one multi-hop remote login path,
And determining whether to recognize the second remote login and the third remote login as a multi-hop remote login path based on a difference between a time when the second remote login occurred and a time when the third remote login occurred. Attack detection method. 제5항에 있어서,
상기 판단하는 단계는,
상기 차이가 기 설정된 시간 값 이하인 경우, 제2 원격 로그인 및 제3 원격 로그인을 제1 다중 홉 원격 로그인 경로로 인식하는 단계를 포함하는, 사이버 공격 탐지 방법.According to claim 5,
The determining step is
and recognizing the second remote login and the third remote login as the first multi-hop remote login path when the difference is equal to or less than a predetermined time value. 제6항에 있어서,
상기 기 설정된 시간 값은 공격자의 원격 로그인 시간 간격과 상기 전자 장치의 처리 속도 및 메모리 크기를 고려하여 설정되는, 사이버 공격 탐지 방법.According to claim 6,
Wherein the predetermined time value is set in consideration of an attacker's remote login time interval, processing speed and memory size of the electronic device. 제1항에 있어서,
상기 확인하는 단계는,
상기 결정된 평가 지수가 0인 경우, 상기 제1 원격 로그인을 비정상적인 로그인으로 인식하는 단계를 포함하는, 사이버 공격 탐지 방법.According to claim 1,
The checking step is
and recognizing the first remote login as an abnormal login when the determined evaluation index is 0. 제1항에 있어서,
상기 확인하는 단계는,
상기 결정된 평가 지수가 기 설정된 범위 이내인지 여부를 판단하여, 상기 제1 원격 로그인의 비정상 여부를 확인하는 단계를 포함하는, 사이버 공격 탐지 방법.According to claim 1,
The checking step is
and determining whether the first remote login is abnormal by determining whether the determined evaluation index is within a preset range. 전자 장치로서,
적어도 하나의 프로그램이 저장된 메모리; 및
상기 적어도 하나의 프로그램을 실행함으로써,
복수의 컴퓨터들에서 발생한 복수의 원격 로그인들에 관한 데이터베이스를 획득하고,
상기 데이터베이스를 기초로, 상기 복수의 원격 로그인들 중에서 제1경로를 통해 원격 로그인이 발생한 제1횟수 및 상기 복수의 원격 로그인들 중에서 상기 제1경로와 동일한 홉(hop) 수를 갖는 경로를 통해 원격 로그인이 발생한 제2횟수를 확인하고, 상기 제1횟수 및 상기 제2횟수를 기초로 상기 제1경로에 관한 평가 지수를 결정하고,
상기 결정된 평가 지수를 기초로, 상기 제1경로를 갖는 제1 원격 로그인이 식별되는 경우, 상기 제1 원격 로그인의 비정상 여부를 확인하도록 구성된 프로세서를 포함하는, 전자 장치.As an electronic device,
a memory in which at least one program is stored; and
By executing the at least one program,
obtain a database of a plurality of remote logins occurring on a plurality of computers;
Based on the database, the first number of occurrences of remote logins through a first path among the plurality of remote logins and remote logins through a path having the same number of hops as the first path among the plurality of remote logins. Checking the second number of logins, determining an evaluation index for the first path based on the first number and the second number,
and a processor configured to determine whether the first remote login is abnormal when a first remote login having the first path is identified based on the determined evaluation index. 사이버 공격 탐지 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 비일시적 기록매체로서,
상기 사이버 공격 탐지 방법은,
복수의 컴퓨터들에서 발생한 복수의 원격 로그인들에 관한 데이터베이스를 획득하는 단계;
상기 데이터베이스를 기초로, 상기 복수의 원격 로그인들 중에서 제1경로를 통해 원격 로그인이 발생한 제1횟수 및 상기 복수의 원격 로그인들 중에서 상기 제1경로와 동일한 홉(hop) 수를 갖는 경로를 통해 원격 로그인이 발생한 제2횟수를 확인하고, 상기 제1횟수 및 상기 제2횟수를 기초로 상기 제1경로에 관한 평가 지수를 결정하는 단계; 및
상기 결정된 평가 지수를 기초로, 상기 제1경로를 갖는 제1 원격 로그인이 식별되는 경우, 상기 제1 원격 로그인의 비정상 여부를 확인하는 단계를 포함하는, 비일시적 기록매체.A computer-readable non-transitory recording medium recording a program for executing a cyber attack detection method on a computer,
The cyber attack detection method,
obtaining a database of a plurality of remote logins occurring on a plurality of computers;
Based on the database, the first number of occurrences of remote logins through a first path among the plurality of remote logins and remote logins through a path having the same number of hops as the first path among the plurality of remote logins. checking a second number of logins, and determining an evaluation index for the first path based on the first number and the second number of times; and
and checking whether the first remote login is abnormal when the first remote login having the first path is identified based on the determined evaluation index.
KR1020210115601A 2021-08-31 2021-08-31 Cyber attack detection method of electronic apparatus KR102538540B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210115601A KR102538540B1 (en) 2021-08-31 2021-08-31 Cyber attack detection method of electronic apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210115601A KR102538540B1 (en) 2021-08-31 2021-08-31 Cyber attack detection method of electronic apparatus

Publications (2)

Publication Number Publication Date
KR20230032591A true KR20230032591A (en) 2023-03-07
KR102538540B1 KR102538540B1 (en) 2023-06-01

Family

ID=85513155

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210115601A KR102538540B1 (en) 2021-08-31 2021-08-31 Cyber attack detection method of electronic apparatus

Country Status (1)

Country Link
KR (1) KR102538540B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116484260A (en) * 2023-04-28 2023-07-25 南京信息工程大学 Semi-supervised log anomaly detection method based on bidirectional time convolution network

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007228421A (en) * 2006-02-24 2007-09-06 Mitsubishi Electric Corp Ip network route diagnosis apparatus and ip network route diagnosis system
KR20150036153A (en) * 2012-07-24 2015-04-07 알리바바 그룹 홀딩 리미티드 Method and apparatus of identifying user risk
JP2015520462A (en) * 2012-06-05 2015-07-16 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited Method, apparatus and system for remote login control
KR102072095B1 (en) * 2015-02-25 2020-01-31 알리바바 그룹 홀딩 리미티드 Identity authentication methods, devices, and systems

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007228421A (en) * 2006-02-24 2007-09-06 Mitsubishi Electric Corp Ip network route diagnosis apparatus and ip network route diagnosis system
JP2015520462A (en) * 2012-06-05 2015-07-16 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited Method, apparatus and system for remote login control
KR20150036153A (en) * 2012-07-24 2015-04-07 알리바바 그룹 홀딩 리미티드 Method and apparatus of identifying user risk
KR102072095B1 (en) * 2015-02-25 2020-01-31 알리바바 그룹 홀딩 리미티드 Identity authentication methods, devices, and systems

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Grant Ho et al., "Hopper: Modeling and Detecting Lateral Movement"(2021.08.13.)* *
Qingyun Liu et al., "Latte: Large-Scale Lateral Movement Detection"(2018.)* *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116484260A (en) * 2023-04-28 2023-07-25 南京信息工程大学 Semi-supervised log anomaly detection method based on bidirectional time convolution network
CN116484260B (en) * 2023-04-28 2024-03-19 南京信息工程大学 Semi-supervised log anomaly detection method based on bidirectional time convolution network

Also Published As

Publication number Publication date
KR102538540B1 (en) 2023-06-01

Similar Documents

Publication Publication Date Title
Khraisat et al. Survey of intrusion detection systems: techniques, datasets and challenges
KR102612500B1 (en) Sensitive data exposure detection through logging
CN109922075B (en) Network security knowledge graph construction method and device and computer equipment
Einy et al. The anomaly‐and signature‐based IDS for network security using hybrid inference systems
US20210352095A1 (en) Cybersecurity resilience by integrating adversary and defender actions, deep learning, and graph thinking
Bijone A survey on secure network: intrusion detection & prevention approaches
US20210185057A1 (en) Systems and methods for identifying malicious actors or activities
CN107070889B (en) Unified security defense system based on cloud platform
Moustafa et al. DAD: A Distributed Anomaly Detection system using ensemble one-class statistical learning in edge networks
Rahal et al. A distributed architecture for DDoS prediction and bot detection
Kalutarage et al. Context-aware anomaly detector for monitoring cyber attacks on automotive CAN bus
CN112671701A (en) Vehicle-mounted terminal intrusion detection method based on vehicle-mounted network abnormal behavior feature driving
Razak A study on IDS for preventing Denial of Service attack using outliers techniques
KR102538540B1 (en) Cyber attack detection method of electronic apparatus
CN115211075A (en) Network attack identification in a network environment
Rosenthal et al. ARBA: Anomaly and reputation based approach for detecting infected IoT devices
US11514173B2 (en) Predicting software security exploits by monitoring software events
Pratomo et al. Blatta: Early exploit detection on network traffic with recurrent neural networks
Wei et al. Comparing malware attack detection using machine learning techniques in IoT network traffic
US20170318032A1 (en) System and method for detecting attacks on mobile ad hoc networks based on network flux
US20230275908A1 (en) Thumbprinting security incidents via graph embeddings
Doukas et al. Review of artificial intelligence cyber threat assessment techniques for increased system survivability
El-Taj et al. Intrusion detection and prevention response based on signature-based and anomaly-based: Investigation study
do Vale Dalarmelina et al. Using ML and DL algorithms for intrusion detection in the industrial internet of things
US11611580B1 (en) Malware infection detection service for IoT devices

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right