KR20230056638A - 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법 - Google Patents

로그 정보를 이용한 보안 위협 탐지 시스템 및 방법 Download PDF

Info

Publication number
KR20230056638A
KR20230056638A KR1020230050121A KR20230050121A KR20230056638A KR 20230056638 A KR20230056638 A KR 20230056638A KR 1020230050121 A KR1020230050121 A KR 1020230050121A KR 20230050121 A KR20230050121 A KR 20230050121A KR 20230056638 A KR20230056638 A KR 20230056638A
Authority
KR
South Korea
Prior art keywords
heat map
attack
log
attack type
firewall
Prior art date
Application number
KR1020230050121A
Other languages
English (en)
Inventor
김명수
장민해
정남준
Original Assignee
한국전력공사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전력공사 filed Critical 한국전력공사
Priority to KR1020230050121A priority Critical patent/KR20230056638A/ko
Publication of KR20230056638A publication Critical patent/KR20230056638A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)

Abstract

공격자의 공격으로부터 사용자의 자산과 정보를 보호하고, 공격의 유형과 공격자를 색출하기 위하여 기계학습 및 탐지 방법을 사용하여 실시간에 가까운 결과를 도출할 수 있는 방화벽 로그를 이용한 보안 위협 탐지 시스템이 개시된다. 상기 보안 위협 탐지 시스템은, 인터넷망에 연결되는 게이트웨이, 상기 게이트웨이로부터의 접속 정보를 저장하여 방화벽 로그를 생성하는 방화벽, 및 상기 방화벽 로그를 이용하여 보안 위협 탐지 여부를 결정하는 처리부를 포함하는 것을 특징으로 한다.

Description

로그 정보를 이용한 보안 위협 탐지 시스템 및 방법{System and Method for detecting security threats using log information}
본 발명은 네트워크 보안 기술에 관한 것으로서, 더 상세하게는 방화벽 로그를 이용한 기계학습기반 이상징후 및 네트워크 공격유형을 탐지할 수 있는 보안 위협 탐지 시스템 및 방법에 대한 것이다.
또한, 본 발명은 자원 사용 로그를 이용한 기계학습기반 이상징후 및 네트워크 공격유형을 탐지할 수 있는 보안 위협 탐지 시스템 및 방법에 대한 것이다.
기존 보안 장비에서의 이상징후 탐지는 기본적으로 트래픽을 분석하여 일정한 임계치를 초과하면 이를 기반으로 공격여부를 판단하였다. 즉, 임계치 기반 필터를 이용하였다. 임계치의 값은 보안 관제사 또는 전문가의 경험에 의해 결정되어서, 전문가의 경험치와 실력차이에 따라 임계치의 정확도가 좌우된다.
보안 위협 탐지를 위해서 기존에는 임계치 방법을 사용하고 있는데, 실시간 트래픽과 평균 트래픽의 비교, 실시간 프로토콜 비율 분석 비교 등으로 수행하고 있다. 기존 방식은 주로 평균에서 임계값을 구하고 임계치를 초과한 경우 이상이라고 판단하는 기법이 주로 사용되어 왔다.
이러한 임계치 방법은 정확한 임계치를 산정하기 어려워 굉장히 엄격하게 임계치를 설정하여 다량의 오탐 이벤트를 발생하게 된다. 이는 보안관제를 더욱 어렵게 하여 실제 공격을 관제하는데 장애를 초래하고 있다. 또한, 기존 방법은 공격의 유형 및 공격자를 정확히 색출하기 위해서는 수작업으로 수행하는 연관분석 및 전문가의 분석이 필요하여, 대응시간이 많이 소요되고 있다.
부연하면, 보안 위협 탐지를 위해서 기존에는 임계치 방법을 사용하고 있는데, 실시간 트래픽과 평균 트래픽의 비교, 실시간 프로토콜 비율 분석 비교 등으로 수행하고 있다. 기존 방식은 주로 평균에서 임계값을 구하고 임계치를 초과한 경우 이상이라고 판단하는 기법이 주로 사용되어 왔다.
이러한 임계치 방법은 정확한 임계치를 산정하기 어려워 굉장히 엄격하게 임계치를 설정하여 다량의 오탐 이벤트를 발생하게 된다. 이는 보안관제를 더욱 어렵게 하여 실제 공격을 관제하는데 장애를 초래하고 있다. 또한, 기존 방법은 공격의 유형 및 공격자를 정확히 색출하기 위해서는 수작업으로 수행하는 연관분석 및 전문가의 분석이 필요하여, 대응시간이 많이 소요되고 있다.
1. 한국등록특허 제10-2033169호(2019년10월10일)
본 발명은 위 배경기술에 따른 문제점을 해소하기 위해 제안된 것으로서, 공격자의 공격으로부터 사용자의 자산과 정보를 보호하고, 공격의 유형과 공격자를 색출하기 위하여 기계학습 및 탐지 방법을 사용하여 실시간에 가까운 결과를 도출할 수 있는 방화벽 로그를 이용한 보안 위협 탐지 시스템 및 방법을 제공하는데 그 목적이 있다.
또한, 본 발명은 유연한 이상징후 탐지를 가능하게 하는 보안 위협 탐지 시스템 및 방법을 제공하는데 다른 목적이 있다.
본 발명은 위에서 제시된 과제를 달성하기 위해, 공격자의 공격으로부터 사용자의 자산과 정보를 보호하고, 공격의 유형과 공격자를 색출하기 위하여 기계학습 및 탐지 방법을 사용하여 실시간에 가까운 결과를 도출할 수 있는 방화벽 로그를 이용한 보안 위협 탐지 시스템이 제공된다.
상기 보안 위협 탐지 시스템은,
인터넷망에 연결되는 게이트웨이;
상기 게이트웨이로부터의 접속 정보를 저장하여 방화벽 로그를 생성하는 방화벽; 및
상기 방화벽 로그를 이용하여 보안 위협 탐지 여부를 결정하는 처리부;를 포함하는 것을 특징으로 한다.
또한, 상기 처리부는, 상기 방화벽 로그를 수집하는 로그 수집 모듈; 상기 방화벽 로그를 미리 설정되는 시간 단위로 묶어서 다수의 매트릭스 형태로 구성하여 정상 상태 히트맵 또는 실시간 추적 히트맵을 작성하는 로그 가공 모듈; 상기 정상 상태 히트맵을 기준으로 딥러닝 모델을 통해 공격 유형별 히트맵을 생성하는 기계 학습 모듈; 및 상기 실시간 추적 히트맵과 상기 공격 유형별 히트맵을 비교하여 상기 보안 위협 탐지 여부를 결정하는 분석 모듈;을 포함하는 것을 특징으로 한다.
또한, 상기 시간 단위는 n분(여기서, n은 0보다 큰 정수)인 것을 특징으로 한다.
또한, 상기 공격 유형별 히트맵은 미리 수동으로 작성되는 공격 시나리오 히트맵을 상기 정상 상태 히트맵과 비교를 반복함으로써 생성되는 것을 특징으로 한다.
또한, 상기 비교는 색깔의 형태간 비교인 것을 특징으로 한다.
또한, 상기 정상 상태 히트맵은 상기 방화벽 로그 중 정상 로그 정보만을 이용하여 생성되는 것을 특징으로 한다.
또한, 상기 방화벽 로그는 목적지 IP(Destination Internet protocol) 정보, 목적지 포트(Destination Port) 정보를 포함하는 것을 특징으로 한다.
또한, 다수의 상기 매트릭스 형태는 Y축에 상기 목적지 IP(Destination Internet protocol) 정보가 배치되고, X축에 상기 목적지 포트(Destination Port) 정보가 배치되는 것을 특징으로 한다.
또한, 상기 딥러닝 모델은 CNN(Convolutional Neural Network)인 것을 특징으로 한다.
또한, 상기 공격 유형별 히트맵은 싱크플러딩 공격을 기반으로 하는 싱크플러딩(SynFlooding) 히트맵, DDos(Distributed Denial of Service) 공격을 기반으로 하는 DDos 히트맵, 서버 다운 공격을 기반으로 하는 서버 다운 히트맵, 및 웜감염 공격을 기반으로 하는 웜감염 히트맵 중 어느 하나인 것을 특징으로 한다.
다른 한편으로, 본 발명의 다른 일실시예는, 자원 사용 로그를 이용한 보안 위협 탐지 시스템으로서, 자원 사용 로그를 수집하는 로그 수집 모듈; 상기 자원 사용 로그를 미리 설정되는 시간 단위로 묶어서 다수의 매트릭스 형태로 구성하여 정상 상태 히트맵 또는 실시간 추적 히트맵을 작성하는 로그 가공 모듈; 상기 정상 상태 히트맵을 기준으로 딥러닝 모델을 통해 공격 유형별 히트맵을 생성하는 기계 학습 모듈; 및 상기 실시간 추적 히트맵과 상기 공격 유형별 히트맵을 비교하여 상기 보안 위협 탐지 여부를 결정하는 분석 모듈;을 포함하는 것을 특징으로 하는 자원 사용 로그를 이용한 보안 위협 탐지 시스템을 제공한다.
이때, 상기 자원 사용 로그는 CPU(central processing unit) 사용률, 메모리 점유율, 및 프로세스 가동율 중 어느 하나인 것을 특징으로 한다.
또 다른 한편으로, 본 발명의 또 다른 일실시예는, (a) 방화벽이 인터넷망에 연결되는 게이트웨이로부터의 접속 정보를 저장하여 방화벽 로그를 생성하는 단계; 및 (b) 처리부가 상기 방화벽 로그를 이용하여 보안 위협 탐지 여부를 결정하는 단계;를 포함하는 것을 특징으로 하는 방화벽 로그를 이용한 보안 위협 탐지 방법을 제공한다.
또한, 상기 (b) 단계는, (b-1) 로그 수집 모듈이 상기 방화벽 로그를 수집하는 단계; (b-2) 로그 가공 모듈이 상기 방화벽 로그를 미리 설정되는 시간 단위로 묶어서 다수의 매트릭스 형태로 구성하여 정상 상태 히트맵 또는 실시간 추적 히트맵을 작성하는 단계; (b-3) 기계 학습 모듈이 상기 정상 상태 히트맵을 기준으로 딥러닝 모델을 통해 공격 유형별 히트맵을 생성하는 단계; 및 (b-4) 분석 모듈이 상기 실시간 추적 히트맵과 상기 공격 유형별 히트맵을 비교하여 상기 보안 위협 탐지 여부를 결정하는 단계;를 포함하는 것을 특징으로 하는 방화벽 로그를 이용한 보안 위협 탐지 방법을 제공한다.
또한, 상기 (b-4) 단계는, 상기 분석 모듈이 상기 보안 위협 탐지 여부를 출력부(250)에 알람 정보로 출력하는 단계;를 포함하는 것을 특징으로 한다.
또한, 상기 알람 정보는 음성, 문자, 및 그래픽의 조합인 것을 특징으로 한다.
또 다른 한편으로, 본 발명의 또 다른 일실시예는, 자원 사용 로그를 이용한 보안 위협 탐지 방법으로서, (a) 로그 수집 모듈이 자원 사용 로그를 수집하는 단계; (b) 로그 가공 모듈이 상기 자원 사용 로그를 미리 설정되는 시간 단위로 묶어서 다수의 매트릭스 형태로 구성하여 정상 상태 히트맵 또는 실시간 추적 히트맵을 작성하는 단계; (c) 기계 학습 모듈이 상기 정상 상태 히트맵을 기준으로 딥러닝 모델을 통해 공격 유형별 히트맵을 생성하는 단계; 및 (d) 분석 모듈이 상기 실시간 추적 히트맵과 상기 공격 유형별 히트맵을 비교하여 상기 보안 위협 탐지 여부를 결정하는 단계;를 포함하는 것을 특징으로 하는 자원 사용 로그를 이용한 보안 위협 탐지 방법을 제공한다.
본 발명에 따르면, 사이버 공격에 대한 탐지를 효과적으로 검출하고, 인력 및 프로그램 탐지 기법의 고정적인 한계점을 극복할 수 있다.
또한, 본 발명의 다른 효과로서는 예컨대 프로그램이나 인력이 결정한 DoS 공격의 임계치를 인공지능으로 대체할 경우, 보다 유연하고 확률에 기반한 탐지가 가능한 장점을 갖는다는 점을 들 수 있다.
또한, 본 발명의 또 다른 효과로서는 새로운 공격유형이 발생할 경우, 정상 트래픽 범주에서 벗어남으로 이를 탐지하여 공격당하기 전 선제적으로 대응이 가능하다는 점을 들 수 있다.
도 1은 본 발명의 일실시예에 따른 방화벽 로그를 이용한 보안 위협 탐지 시스템의 구성 블럭도이다.
도 2는 도 1에 도시된 처리부(140)의 세부 구성 블럭도이다.
도 3은 본 발명의 일실시예에 따른 정상 히트맵 및 공격 유형별 히트맵의 작성 과정을 보여주는 흐름도이다.
도 4는 도 3의 과정 이후, 히트맵 비교에 의한 정상, 비정상 판별 과정을 보여주는 흐름도이다.
도 5는 본 발명의 일실시예에 따른 DDoS 히트맵의 작성 예시이다.
도 6은 본 발명의 일실시예에 따른 정상 히트맵의 이미지이다.
도 7은 본 발명의 일실시예에 따른 싱크플러딩(SynFlooding) 히트맵의 이미지이다.
도 8은 본 발명의 일실시예에 따른 DDos(Distributed Denial of Service) 히트맵의 이미지이다.
도 9는 본 발명의 일실시예에 따른 서버 다운 히트맵의 이미지이다.
도 10은 본 발명의 일실시예에 따른 웜감염 히트맵의 이미지이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 도면에서 표시된 구성요소의 크기 및 상대적인 크기는 설명의 명료성을 위해 과장된 것일 수 있다.
명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭하며, “및/또는”은 언급된 아이템들의 각각 및 하나 이상의 모든 조합을 포함한다.
본 명세서에서 사용된 용어는 실시 예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 “포함한다” 및/또는 “구성된다”는 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
비록 제1, 제2 등의 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 대해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소와 구별하기 위하여 사용되는 것이다. 따라서, 이하에서 언급되는 제 1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않은 한 이상적으로 또는 과도하게 해석되지 않는다.
이하 첨부된 도면을 참조하여 본 발명의 일실시예에 따른 방화벽 로그를 이용한 보안 위협 탐지 시스템 및 방법을 상세하게 설명한다.
도 1은 본 발명의 일실시예에 따른 방화벽 로그를 이용한 보안 위협 탐지 시스템(100)의 구성 블럭도이다. 도 1을 참조하면, 보안 위협 탐지 시스템(100)은, 인터넷망(110), 게이트웨이(120), 방화벽(130), 처리부(140) 등을 포함하여 구성될 수 있다.
인터넷망(110)은 복수의 단말 및 서버들과 같은 각각의 노드 상호 간에 정보 교환이 가능한 연결 구조를 의미하는 것으로, 공중교환 전화망(PSTN), 공중교환 데이터망(PSDN), 종합정보통신망(ISDN: Integrated Services Digital Networks), 광대역 종합 정보 통신망(BISDN: Broadband ISDN), 근거리 통신망(LAN: Local Area Network), 대도시 지역망(MAN: Metropolitan Area Network), 광역 통신망(WLAN: Wide LAN) 등이 될 수 있다, 그러나, 본 발명은 이에 한정되지는 않으며, 무선 통신망인 CDMA(Code Division Multiple Access), WCDMA(Wideband Code Division Multiple Access), Wibro(Wireless Broadband), WiFi(Wireless Fidelity), HSDPA(High Speed Downlink Packet Access) 망 , 블루투쓰(bluetooth),NFC(Near Field Communication) 네트워크, 위성 방송 네트워크, 아날로그 방송 네트워크, DMB(Digital Multimedia Broadcasting) 네트워크 등이 될 수 있다. 또는, 이들 유선 통신망 및 무선 통신망의 조합일 수 있다.
게이트웨이(120)는 서로 다른 인터넷망, 프로토콜을 사용하는 네트워크 간의 통신을 가능하게 하는 것으로서 컴퓨터나 소프트웨어로 구성될 수 있다. 물론, 게이트웨이(120)는 라우터를 포함하는 개념일 수 있다. 따라서, 패킷을 다른 네트워크에 보내주는 기능을 한다.
방화벽(130)은 인증받지 못한 소스에 의한 액세스로부터 네트워크를 보호하기 위한 것으로 소스주소, 목적지 주소와 트래픽 타입의 정보를 이용하여 트래픽을 블락킹하는데 공중망으로부터 인입되는 트래픽이 신뢰성을 갖는 장비로부터 발생된 것에 한해서만, 인입을 허락한다.
따라서, 방화벽(130)은 침입 탐지 시스템(IDS: Intrusion Detection System), 침입방지시스템(IPS: Intrusion Prevention System) 등을 포함하여 구성될 수 있다. 침입 탐지 시스템(IDS)은 관리 대상 네트워크에서 발생하는 보안 이벤트를 수집 및/또는 분석하여, 악의적인 네트워크 트래픽을 탐지하면 이 사실을 관리자에게 경보하는 기능을 수행한다. 침입방지시스템(IPS)은 관리 대상 네트워크에서 발생하는 보안 이벤트를 수집 및/또는 분석하여, 악의적인 네트워크 트래픽을 탐지하면 이 사실을 관리자에게 경보하고, 또한, 즉시 차단하는 기능을 수행한다.
도 1을 계속 참조하면, 또한, 방화벽(130)은 TCP(Transmission Control Protocol), UDP(User Datagram Protocol), ICMP(Internet Control Message Protocol) 등의 통신 프로토콜에 따른 접속 기록을 로그로 저장하여 방화벽 로그를 생성하는 기능을 수행한다. 이러한 방화벽 로그를 저장하기 위해 저장부(미도시)가 구성될 수 있다. 저장부는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), 멀티미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(예를 들어 SD(Secure Digital) 또는 XD(eXtreme Digital) 메모리 등), 램(Random Access Memory, RAM), SRAM(Static Random Access Memory), 롬(Read Only Memory, ROM), EEPROM(Electrically Erasable Programmable Read Only Memory), PROM(Programmable Read Only Memory), 자기 메모리, 자기 디스크, 광디스크 중 적어도 하나의 타입의 저장매체를 포함할 수 있다. 또한, 인터넷(internet)상에서 저장 기능을 수행하는 웹 스토리지(web storage), 클라우드 서버와 관련되어 동작할 수도 있다.
방화벽 로그는 목적지 IP(Destination Internet protocol) 정보, 목적지 포트(Destination Port) 정보 등을 포함한다. 방화벽은 정상 트래픽은 허용(Allow)하고, 비정상 트래픽은 거부(Deny)하는 기능이 있다.
처리부(140)는 각 유형별로 특별한 형태와 또한, 접속의 수가 증가하여 색깔로도 명확한 구분이 가능한 히트맵 형태의 데이터를 이용하여 사이버 공격과 그 유형을 실시간으로 판별하는 알고리즘을 수행하는 기능을 수행한다.
도 2는 도 1에 도시된 처리부(140)의 세부 구성 블럭도이다. 도 2를 참조하면, 처리부(140)는, 로그 수집 모듈(210), 로그 가공 모듈(220), 기계 학습 모듈(230), 분석 모듈(240), 출력부(250) 등을 포함하여 구성될 수 있다.
로그 수집 모듈(210)은 방화벽 로그를 수집하는 기능을 수행한다.
로그 가공 모듈(220)은 수집된 방화벽 로그를 가공하여 매트릭스 형태로 가공한다. 부연하면, 전처리 과정으로 인공지능 모델을 통해 기계 학습시키고, 탐지하기 위해 가공이 필요하다. 따라서, n분 단위로 묶어서 다수의 매트릭스 형태로 구성한다. 매트릭스 형태의 Y축은 목적지 IP(Destination IP(서버)) 정보를, 매트릭스 형태의 X축은 목적지 포트(Destination PORT) 정보를 나타내며, 값은 접속 세션 수를 표기하여 n분 동안 해당 서비스에 접속한 사용자 수를 알 수 있도록 한다. 이러한 다수의 매트릭스 형태를 통해 정상 히트맵이 작성된다. 즉, 정상 히트맵은 정상 상태의 서버 IP와 서버 PORT에 기반하여 작성된다. 이를 보여주는 도면이 도 5에 도시된다. 이에 대해서는 후술하기로 한다.
도 2를 계속 참조하면, 기계 학습 모듈(230)은 정상 히트맵 및 수동으로 작성된 공격 시나리오 히트맵을 딥러닝 모델 학습에 적용하여 공격 유형별 히트맵을 생성하는 기능을 수행한다. 딥러닝 모델은 RNN(Recurrent Neural Network), DNN(Deep Neural Network), CNN(Convolutional Neural Network) 등으로 이루어진다. 공격유형을 라벨로 하는 256*256 히트맵 이미지가 입력 계층이 되고, 은닉층은 Convolutional 2D 3*3윈도우의 32채널 필터와 MaxPooling2D로 2*2의 윈도우에 2 스트라이드로 높이 너비를 절반으로 줄여 나간다. 활성화 함수는 relu를 사용한다. 최종적으로 출력 계층은 다중분류로 소프트맥스(softmax)를 사용한다. 은닉층의 경우 학습결과에 따라 변형될 수 있다.
이러한 공격 유형별 히트맵을 보여주는 도면이 도 7 내지 도 10에 도시된다. 이에 대해서는 후술하기로 한다.
*분석 모듈(240)은 이러한 기계 학습 모듈(230)에 의해 생성되는 공격 유형별 히트맵을 이용하여 보안 위협 탐지 여부를 결정한다. 부연하면, 추적 히트맵과 공격 유형별 히트맵을 이미지 비교를 통해 공격 유형 정보를 생성하고, 이 공격 유형의 정상 또는 비정상을 판별한다. 또한, 이를 알람 정보로 생성하는 기능을 수행한다.
출력부(250)는 로그 수집 모듈(210), 로그 가공 모듈(220), 기계 학습 모듈(230), 분석 모듈(240) 등에서 처리하는 정보를 표시하는 기능을 수행한다. 따라서, 출력부(250)는 문자, 음성, 및 그래픽의 조합으로 정보를 출력할 수 있다. 이를 위해 출력부(250)는 디스플레이, 사운드 시스템 등을 포함하여 구성될 수 있다.
디스플레이는 LCD(Liquid Crystal Display), LED(Light Emitting Diode) 디스플레이, PDP(Plasma Display Panel), OLED(Organic LED) 디스플레이, 터치 스크린, CRT(Cathode Ray Tube), 플렉시블 디스플레이 등이 될 수 있다. 터치 스크린의 경우, 입력 수단으로 기능할 수 있다. 물론, 도 2에서는 출력부(240)를 처리부(140)에 포함되는 것으로 도시하였으나, 이는 이해를 위한 것으로 출력부(250)는 처리부(140)와 구분되어 구성된다.
도 2에 도시된 로그 수집 모듈(210), 로그 가송 모듈(220), 기계 학습 모듈(230), 분석 모듈(240)은 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 소프트웨어 및/또는 하드웨어로 구현될 수 있다. 하드웨어 구현에 있어, 상술한 기능을 수행하기 위해 디자인된 ASIC(application specific integrated circuit), DSP(digital signal processing), PLD(programmable logic device), FPGA(field programmable gate array), 프로세서, 마이크로프로세서, 다른 전자 유닛 또는 이들의 조합으로 구현될 수 있다.
소프트웨어 구현에 있어, 소프트웨어 구성 컴포넌트(요소), 객체 지향 소프트웨어 구성 컴포넌트, 클래스 구성 컴포넌트 및 작업 구성 컴포넌트, 프로세스, 기능, 속성, 절차, 서브 루틴, 프로그램 코드의 세그먼트, 드라이버, 펌웨어, 마이크로 코드, 데이터, 데이터베이스, 데이터 구조, 테이블, 배열 및 변수를 포함할 수 있다. 소프트웨어, 데이터 등은 메모리에 저장될 수 있고, 프로세서에 의해 실행된다. 메모리나 프로세서는 당업자에게 잘 알려진 다양한 수단을 채용할 수 있다.
도 3은 본 발명의 일실시예에 따른 정상 히트맵 및 공격 시나리오 히트맵의 작성 과정을 보여주는 흐름도이다. 도 3을 참조하면, 먼저 로그 수집 모듈(210)이 방화벽 로그를 수집한다(단계 S310).
이후, 로그 가공 모듈(220)이 수집된 방화벽 로그를 가공하고, 가공된 방화벽 로그 중 정상 로그 정보만을 이용하여 정상 상태 히트맵을 생성한다(단계 S320).
이후, 사용자가 공격 시나리오에 따른 공격 시나리오 히트맵을 수동으로 작성한다(단계 S330). 물론, 단계 S330)는 방화벽 로그 수집 단계(S310)이전에 이루어질 수도 있다. 이 경우, 공격 시나리오 히트맵은 사전에 데이터베이스로 저장된다.
이후, 기계 학습 모듈(230)은 딥러닝과 같은 이미지 학습을 수행한다(단계 S340). 부연하면, 방화벽 로그중 허용(Allow) 로그를 학습시켜서 정상 트래픽을 학습시킨다. 정상 로그를 기준으로 IP와 PORT에 각 공격 유형별 필요한 만큼 시나리오별 히트맵을 수동작성하여 공격 유형을 학습시켜 공격 유형별 히트맵을 생성한다(단계 S350).
도 4는 도 3의 과정 이후, 히트맵 비교에 의한 정상, 비정상 판별 과정을 보여주는 흐름도이다. 즉, 도 4는 도 3에 과정에 의해 생성된 공격 유형별 히트맵을 이용하여 실시간 수집되는 추적 히트맵의 공경 유형을 판별하고, 이상 여부를 확인한다. 도 4를 참조하면, 먼저 로그 수집 모듈(210)이 방화벽 로그를 수집한다(단계 S410).
이후, 로그 가공 모듈(220)이 수집된 방화벽 로그를 가공하고, 로그 정보를 이용하여 실시간 추적 히트맵을 생성한다(단계 S420).
이후, 분석 모듈(240)은 실시간 추적 히트맵과 공격 유형별 히트맵을 비교하여 보안 위협을 탐지한다(단계 S440). 부연하면, 정상 트래픽의 경우, 목적지 IP와 목적지 Port 의 히트맵이 고르게 분포되지만, 공격 및 이상징후가 발생할 경우, 각 유형별로 특별한 형태와 또한, 접속의 수가 증가하여 색깔로도 명확한 구분이 가능하다. 이러한 형태의 데이터를 이용하여 CNN 등의 이미지 학습을 이용하면 사이버 공격과 그 유형을 실시간으로 판별할 수 있다.
도 3 및 도 4에 도시된 순서는 이해를 위한 것으로, 순서가 바뀔 수도 있고, 복수의 단계가 하나로 이루어지거나, 하나의 단계가 여러 단계로 세분화될 수도 있다.
도 5는 본 발명의 일실시예에 따른 DDoS 히트맵의 작성 예시이다. 도 5를 참조하면, 방화벽(130)은 정상트래픽은 허용(Allow)하고, 비정상 트래픽은 거부(Deny)하는 기능이 있다. 따라서, 방화벽 로그중 Allow 로그를 학습시켜서 정상 트래픽을 학습시킨다. 정상을 기준으로 IP와 PORT에 각 공격 유형별 필요한 만큼 시나리오별 히트맵을 수동작성한다.
특히, 도 5는 DDoS(Distributed Denial of Service)에 대한 IP, PORT 의 히트맵을 작성한 예이다. 가로축은 서비스 목적지 포트 정보들이고, 세로축은 목적지 서버 IP 정보들이다. 방화벽 로그의 수집은 n분 단위로 묶어서 다수의 매트릭스 형태로 구성된다. 여기서, n은 0보다 큰 정수이고, 본 발명의 일실시예에서는 약 10분이다. 또한, 아래 컬러바는 좌측에서 우측으로 갈 수록 값이 증가한다. 즉, 최좌측은 0이고, 최우측은 3000이다. 따라서, 색깔에 따라 급격한 접속 세션수(access session count)의 폭증이 있는 지를 알 수 있다.
도 6은 본 발명의 일실시예에 따른 정상 히트맵의 이미지이다. 도 6을 참조하면, 정상 트래픽의 경우, 목적지 IP와 목적지 Port 의 히트맵이 고르게 분포된다.
이와 달리, 공격 및 이상징후가 발생할 경우, 각 유형별로 특별한 형태와 접속 세션수가 증가하여 색깔로도 명확한 구분이 가능하다. 이를 보여주는 도면이 도 7 내지 도 10에 도시된다.
도 7은 본 발명의 일실시예에 따른 싱크플러딩(SynFlooding) 히트맵의 이미지이다. 도 7을 참조하면, 싱크플러딩 공격은 TCP 세션이 연결될 때의 취약성을 이용한 서버 공격이다. 서버별로 동시 사용자의 접속수가 제한되어 있으므로 존재하지 않는 클라이언트가 접속한 것처럼 속여서 다른 사용자가 서버에서 제공하는 서비스를 받지 못하게 하는 것이다. 도 7을 참조하면, Y축에는 목적지 포트(Destination PORT) 정보가, X축에는 목적지 포트(Destination Port) 정보가 표시된다. 또한, 접속 세션수를 표기하는 값이 표기된다. 접속 세션수는 도면에서 색에 해당된다. 히트맵으로 남색계열에 가까울수록 접속세션이 적고, 적색에 가까울수록 접속세션이 많아진다.
도 8은 본 발명의 일실시예에 따른 DDos(Distributed Denial of Service) 히트맵의 이미지이다. 도 8을 참조하면, DDos 공격은 방대한 양의 트래픽으로 사이트를 무력화하여 사이트가 충돌하거나 아주 느리게 작동되도록 함으로써 웹 사이트 또는 웹 애플리케이션을 사용자가 사용할 수 없게 만드는 악의적인 공격 방식이다. 따라서, 트래픽의 폭증이 발생하게 되며, 도 8에 도시된 히트맵은 붉은 색깔의 띠가 상대적으로 다른 히트맵 보다 많이 발생한다.
도 9는 본 발명의 일실시예에 따른 서버 다운 히트맵의 이미지이다. 도 9를 참조하면, 특정 IP 한개에 무더기 패킷을 보내 다운시키는 공격이다. 서버 다운 히트맵의 경우, 거의 트랙픽이 없다. 정상상태의 히트맵인 도6을 기준으로 도9에는 적색계열의 이미지가 줄어든게 보인다. 정상적으로 트래픽이 발생해야하는 IP와 PORT에서 트래픽이 사라졌다는 것은 서버다운 등 서비스 장애를 뜻한다.
도 10은 본 발명의 일실시예에 따른 웜감염 히트맵의 이미지이다. 도 10을 참조하면, 웜감염 공격은 컴퓨터 바이러스에 감염된 파일을 저장매체나 네트워크를 통해 다른 컴퓨터에서 사용하면 그 컴퓨터도 감염되는 공격이다. 웜감염 히트맵의 경우, 붉은 색깔의 띠가 세로축을 횡단하여 일자로 나타난다.
본 발명의 일실시예에서는 방화벽(Firewall) 로그를 이용한 이상탐지 및 공격유형을 판단하였으나, CPU(central processing unit) 사용률, 메모리 점유율, 프로세스 가동율 등 자원사용 로그를 이용하여 사이버 공격 여부를 판단할 수 있다. 앞서 설명한 것과 같이 정상인 상태에서의 CPU 사용률, 메모리 점유율, 프로세스 가동율을 히트맵으로 작성하고, 각 공격별 시나리오를 작성하여 앞에서 설명한 히트맵 비교를 통해 이상징후를 판단할 수 있다. 물론, 이를 위해서는 도 2에 도시된 구성요소를 포함할 수 있다. 이 경우, 로그 수집 모듈(210)은 컴퓨터의 자원사용 로그를 수집하며, 로그 가공 모듈(220)은 자원사용 로그를 가공하여 히트맵을 생성하고, 기계 학습 모듈(230)도 자원사용을 통해 공격 유형별 히트맵을 생성한다. 또한, 분석 모듈(240)은 이러한 자원사용 로그를 이용하여 생성되는 실시간 추적 히트맵과 공격 유형별 히트맵을 이용하여 보안 위협 탐지 여부를 결정한다. 여기서, 컴퓨터는 서버가 되나, 이에 한정되지는 않으며, 워크스테이션, PC(Personal computer), 노트북 등이 될 수 있다.
또한, 여기에 개시된 실시형태들과 관련하여 설명된 방법 또는 알고리즘의 단계들은, 마이크로프로세서, 프로세서, CPU(Central Processing Unit) 등과 같은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 (명령) 코드, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다.
상기 매체에 기록되는 프로그램 (명령) 코드는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프 등과 같은 자기 매체(magnetic media), CD-ROM, DVD, 블루레이 등과 같은 광기록 매체(optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 (명령) 코드를 저장하고 수행하도록 특별히 구성된 반도체 기억 소자가 포함될 수 있다.
여기서, 프로그램 (명령) 코드의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
100: 보안 위협 탐지 시스템
110: 인터넷망
120: 게이트웨이
130: 방화벽
140: 처리부

Claims (1)

  1. 자원 사용 로그를 이용한 보안 위협 탐지 시스템에 있어서,
    자원 사용 로그를 수집하는 로그 수집 모듈(210);
    상기 자원 사용 로그를 미리 설정되는 시간 단위로 묶어서 다수의 매트릭스 형태로 구성하여 정상 상태 히트맵 또는 실시간 추적 히트맵을 작성하는 로그 가공 모듈(220);
    상기 정상 상태 히트맵을 기준으로 딥러닝 모델을 통해 공격 유형별 히트맵을 생성하는 기계 학습 모듈(230); 및
    상기 실시간 추적 히트맵과 상기 공격 유형별 히트맵을 비교하여 상기 보안 위협 탐지 여부를 결정하는 분석 모듈(240);을 포함하고,
    상기 자원 사용 로그는 CPU(central processing unit) 사용률, 메모리 점유율, 및 프로세스 가동율 중 어느 하나이고,
    상기 공격 유형별 히트맵은 정상인 상태에서의 CPU 사용률, 메모리 점유율, 프로세스 가동율을 이용하여 각 공격 유형별 필요한 만큼 미리 수동으로 작성되는 공격 시나리오 히트맵을 상기 정상 상태 히트맵과 비교를 반복함으로써 생성되하며,
    상기 분석 모듈(240)은 추적 히트맵과 공격 유형별 히트맵을 이미지 비교를 통해 공격 유형 정보를 생성하고, 공격 유형의 정상 또는 비정상으로 판별하며,
    정상 트래픽 대비 공격 및 이상징후가 발생할 경우, 공격 유형 별로 특별한 형태와 상기 접속 세션수가 증가하여 색깔로 구분하는 것을 특징으로 하는
    자원 사용 로그를 이용한 보안 위협 탐지 시스템.

KR1020230050121A 2020-11-26 2023-04-17 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법 KR20230056638A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020230050121A KR20230056638A (ko) 2020-11-26 2023-04-17 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020200160867A KR102524551B1 (ko) 2020-11-26 2020-11-26 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법
KR1020230050121A KR20230056638A (ko) 2020-11-26 2023-04-17 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020200160867A Division KR102524551B1 (ko) 2020-11-26 2020-11-26 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20230056638A true KR20230056638A (ko) 2023-04-27

Family

ID=81982677

Family Applications (5)

Application Number Title Priority Date Filing Date
KR1020200160867A KR102524551B1 (ko) 2020-11-26 2020-11-26 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법
KR1020230050121A KR20230056638A (ko) 2020-11-26 2023-04-17 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법
KR1020230050120A KR102624123B1 (ko) 2020-11-26 2023-04-17 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법
KR1020230050122A KR102624124B1 (ko) 2020-11-26 2023-04-17 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법
KR1020230050123A KR20230054650A (ko) 2020-11-26 2023-04-17 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020200160867A KR102524551B1 (ko) 2020-11-26 2020-11-26 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법

Family Applications After (3)

Application Number Title Priority Date Filing Date
KR1020230050120A KR102624123B1 (ko) 2020-11-26 2023-04-17 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법
KR1020230050122A KR102624124B1 (ko) 2020-11-26 2023-04-17 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법
KR1020230050123A KR20230054650A (ko) 2020-11-26 2023-04-17 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법

Country Status (1)

Country Link
KR (5) KR102524551B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102033169B1 (ko) 2017-07-24 2019-10-16 주식회사 시큐리티인사이드 지능형 보안로그 분석방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100950079B1 (ko) * 2008-01-30 2010-03-26 성균관대학교산학협력단 은닉마코프 모델을 이용한 확률적인 네트워크 이상징후탐지 장치 및 그 방법
KR102177998B1 (ko) * 2019-11-28 2020-11-12 (주)시큐레이어 기계 학습 모델에 기반하여 SYN Flood 공격을 탐지하기 위한 학습 방법, 전처리 방법 및 이를 이용한 학습 장치, 전처리 장치

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102033169B1 (ko) 2017-07-24 2019-10-16 주식회사 시큐리티인사이드 지능형 보안로그 분석방법

Also Published As

Publication number Publication date
KR20230056637A (ko) 2023-04-27
KR20220073108A (ko) 2022-06-03
KR20230056639A (ko) 2023-04-27
KR20230054650A (ko) 2023-04-25
KR102624124B1 (ko) 2024-01-12
KR102524551B1 (ko) 2023-04-24
KR102624123B1 (ko) 2024-01-12

Similar Documents

Publication Publication Date Title
US9094288B1 (en) Automated discovery, attribution, analysis, and risk assessment of security threats
US9398027B2 (en) Data detecting method and apparatus for firewall
US20230156029A1 (en) Network Traffic Correlation Engine
Kaushik et al. Detection of attacks in an intrusion detection system
Chen et al. Intrusion detection
Bouyeddou et al. Detection of smurf flooding attacks using Kullback-Leibler-based scheme
CN113422779A (zh) 一种基于集中管控的积极的安全防御的系统
Cha et al. Study of multistage anomaly detection for secured cloud computing resources in future internet
Rahman et al. A novel cloud computing security model to detect and prevent DoS and DDoS attack
Ahmed et al. A Linux-based IDPS using Snort
Kareem et al. Entropy-based distributed denial of service attack detection in software-defined networking
Sukhni et al. A systematic analysis for botnet detection using genetic algorithm
Satrya et al. The detection of ddos flooding attack using hybrid analysis in ipv6 networks
KR102524551B1 (ko) 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법
Hnamte et al. Enhancing security in Software-Defined Networks: An approach to efficient ARP spoofing attacks detection and mitigation
Abudalfa et al. Evaluating performance of supervised learning techniques for developing real-time intrusion detection system
Jeong et al. Rule conversion mechanism between NIDPS engines
Blackwell Ramit-Rule-Based Alert Management Information Tool
Singh et al. A review on intrusion detection system
Ragupathy et al. Detecting Denial of Service Attacks by Analysing Network Traffic in Wireless Networks
Hamdani et al. Detection of DDOS attacks in cloud computing environment
Straub et al. Malware propagation in fully connected networks: A netflow-based analysis
Cheema et al. Comparative evaluation of header vs. payload based network anomaly detectors
Agrawal et al. Proposed multi-layers intrusion detection system (MLIDS) model
Bou-Harb et al. On detecting and clustering distributed cyber scanning

Legal Events

Date Code Title Description
A107 Divisional application of patent
E902 Notification of reason for refusal