KR20230097350A - Security system and method through network traffic analysis - Google Patents

Security system and method through network traffic analysis Download PDF

Info

Publication number
KR20230097350A
KR20230097350A KR1020210186756A KR20210186756A KR20230097350A KR 20230097350 A KR20230097350 A KR 20230097350A KR 1020210186756 A KR1020210186756 A KR 1020210186756A KR 20210186756 A KR20210186756 A KR 20210186756A KR 20230097350 A KR20230097350 A KR 20230097350A
Authority
KR
South Korea
Prior art keywords
network traffic
traffic analysis
security system
security
present
Prior art date
Application number
KR1020210186756A
Other languages
Korean (ko)
Inventor
김종범
Original Assignee
엑사비스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엑사비스 주식회사 filed Critical 엑사비스 주식회사
Priority to KR1020210186756A priority Critical patent/KR20230097350A/en
Publication of KR20230097350A publication Critical patent/KR20230097350A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers

Abstract

네트워크 트래픽 분석을 통한 보안 시스템 및 그 방법이 개시된다. 본 발명의 실시 예에 따른 네트워크 트래픽 분석을 통한 보안 방법은, 네트워크 트래픽 분석을 통한 보안 시스템이 보안검사 엔진에서 정보 유출 시도를 감지하는 단계, 상기 네트워크 트래픽 분석을 통한 보안 시스템이 정보 유출 시도의 오탐 또는 과탐 여부를 판단하기 위한 메타데이터를 선택하는 단계, 및 상기 네트워크 트래픽 분석을 통한 보안 시스템이 선택된 메타데이터를 통해 검출 내용의 오탐 또는 과탐 여부를 판단하는 단계를 포함한다.A security system and method through network traffic analysis are disclosed. A security method through network traffic analysis according to an embodiment of the present invention includes the steps of detecting an information leakage attempt in a security inspection engine by a security system through network traffic analysis, and the security system through network traffic analysis detecting false positives of an information leakage attempt. Alternatively, the method may include selecting metadata for determining whether there is excessive detection, and determining whether the detected content is false positive or excessive positive through the selected metadata by the security system through the network traffic analysis.

Description

네트워크 트래픽 분석을 통한 보안 시스템 및 그 방법{Security system and method through network traffic analysis}Security system and method through network traffic analysis

본 발명은 네트워크 트래픽 분석을 통한 보안 시스템 및 그 방법에 관한 것으로, 보다 상세하게는 네트워크 트래픽에서 특정 패턴(시그니처)에 따라 위협 여부를 식별하는 보안검사에서 오탐 및/또는 과탐을 줄이기 위하여, 누적된 프로토콜 메타데이터들의 상관관계 분석 결과를 활용할 수 있도록 하는 기술적 사상에 관한 것이다.The present invention relates to a security system and method through network traffic analysis, and more particularly, in order to reduce false positives and/or excessive positives in a security inspection that identifies threats according to a specific pattern (signature) in network traffic, accumulated It is about a technical idea that makes it possible to utilize the results of correlation analysis of protocol metadata.

프로토콜 메타데이터는 네트워크 패킷이 활요하는 프로토콜의 헤더 등의 식별 가능한 필드 값을 의미하며, 모든 네트워크 트래픽에서 값을 추출하여 DB저장, 상관관계 분석을 수행하게 된다.Protocol metadata refers to identifiable field values such as protocol headers used by network packets, and values are extracted from all network traffic to perform DB storage and correlation analysis.

한편, 네트워크 트래픽에서 특정 패턴(시그니처)에 따라 위협 여부를 식별하는 보안검사가 수행되는데, 이러한 보안 검사는 모든 네트워크 트래픽을 시그니처 기반으로 검사하게 된다.Meanwhile, a security inspection is performed to identify whether or not there is a threat according to a specific pattern (signature) in network traffic. This security inspection inspects all network traffic based on a signature.

이러한 보안검사는 기본적으로 패턴 기반 검출 방식이 사용되는데, 항상 오탐 및/또는 과탐이 존재할 수 있어 각별한 주의가 요구된다.These security checks basically use a pattern-based detection method, but special attention is required because false positives and/or excessive positives can always exist.

따라서 보안검사에서의 이러한 오탐 및/또는 과탐을 줄이기 위해, 누적된 프로토콜 메타데이터들의 상관관계 분석 결과를 활용할 수 있도록 하는 기술적 사상이 요구된다.Therefore, in order to reduce such false positives and/or over-positives in security inspection, a technical idea that can utilize the result of correlation analysis of accumulated protocol metadata is required.

특허문헌 1. 한국등록특허(등록번호 10-1502490, "네트워크 트래픽을 감시하는 가입자 단말 및 보안 감시 노드")Patent Document 1. Korea Registered Patent (Registration No. 10-1502490, "Subscriber terminal and security monitoring node monitoring network traffic")

본 발명이 해결하고자 하는 과제는 네트워크 트래픽에서 특정 패턴(시그니처)에 따라 위협 여부를 식별하는 보안검사에서의 오탐 및/또는 과탐을 줄이기 위해, 누적된 프로토콜 메타데이터들의 상관관계 분석 결과를 활용할 수 있도록 하는 기술적 사상을 제공하는 것이다.The problem to be solved by the present invention is to reduce false positives and / or excessive positives in a security inspection that identifies threats according to specific patterns (signatures) in network traffic, to utilize the results of correlation analysis of accumulated protocol metadata It is to provide a technical idea to

상기 기술적 과제를 해결하기 위한 본 발명의 실시 예에 따른 네트워크 트래픽 분석을 통한 보안 방법은, 네트워크 트래픽 분석을 통한 보안 시스템이 보안검사 엔진에서 정보 유출 시도를 감지하는 단계, 상기 네트워크 트래픽 분석을 통한 보안 시스템이 정보 유출 시도의 오탐 또는 과탐 여부를 판단하기 위한 메타데이터를 선택하는 단계, 및 상기 네트워크 트래픽 분석을 통한 보안 시스템이 선택된 메타데이터를 통해 검출 내용의 오탐 또는 과탐 여부를 판단하는 단계를 포함한다.A security method through network traffic analysis according to an embodiment of the present invention for solving the above technical problem includes the step of detecting an information leakage attempt in a security inspection engine by a security system through network traffic analysis, security through network traffic analysis The system selects metadata for determining whether an information leakage attempt is false positive or excessive positive, and the security system through the network traffic analysis determines whether the detected content is false positive or excessive positive through the selected metadata. .

본 발명의 실시 예에 의하면, 누적된 프로토콜 메타데이터들의 상관관계 분석 결과를 활용함으로써, 보안검사에서의 오탐 및/또는 과탐을 줄일 수 있는 효과가 있다.According to an embodiment of the present invention, by utilizing the correlation analysis result of the accumulated protocol metadata, there is an effect of reducing false positives and/or excessive positives in a security check.

본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 본 발명의 실시 예에 따른 네트워크 트래픽 분석을 통한 보안 시스템의 정보 유출 시도 감지를 나타낸다.
도 2는 본 발명의 실시 예에 따른 네트워크 트래픽 분석을 통한 보안 시스템의 네트워크 스캐닝 시도 감지를 나타낸다.In order to more fully understand the drawings cited in the detailed description of the present invention, a brief description of each drawing is provided.
1 shows detection of an information leakage attempt by a security system through network traffic analysis according to an embodiment of the present invention.
2 shows network scanning attempt detection by a security system through network traffic analysis according to an embodiment of the present invention.

본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시 예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.Since the present invention can apply various transformations and have various embodiments, specific embodiments will be illustrated in the drawings and described in detail in the detailed description. However, it should be understood that this is not intended to limit the present invention to specific embodiments, and includes all transformations, equivalents, and substitutes included in the spirit and scope of the present invention. In describing the present invention, if it is determined that a detailed description of related known technologies may obscure the gist of the present invention, the detailed description will be omitted.

제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.Terms such as first and second may be used to describe various components, but the components should not be limited by the terms. These terms are only used for the purpose of distinguishing one component from another.

본 출원에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. Terms used in this application are only used to describe specific embodiments, and are not intended to limit the present invention. Singular expressions include plural expressions unless the context clearly dictates otherwise.

본 명세서에 있어서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.In this specification, terms such as "include" or "have" are intended to designate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, but one or more other It should be understood that the presence or addition of features, numbers, steps, operations, components, parts, or combinations thereof is not precluded.

이하, 첨부된 도면들을 참조하여 본 발명의 실시 예들을 중심으로 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings, focusing on embodiments of the present invention. Like reference numerals in each figure indicate like members.

본 발명의 기술적 사상에 따른 네트워크 트래픽 분석을 통한 보안 시스템 및 그 방법은 도 1 내지 도 2에 도시된 바와 같다. A security system and method through network traffic analysis according to the technical idea of the present invention are as shown in FIGS. 1 and 2 .

도 1은 본 발명의 실시 예에 따른 네트워크 트래픽 분석을 통한 보안 시스템의 정보 유출 시도 감지를 나타낸다.1 shows detection of an information leakage attempt by a security system through network traffic analysis according to an embodiment of the present invention.

도 1을 참조하면, 보안검사 엔진의 정보 유출 시도가 의심되는 경우가 있을 수 있다.(Attempted Information Leak, IP A(내부 IP) → IP X(외부 IP, 공격자))Referring to FIG. 1, there may be cases where the information leakage attempt of the security inspection engine is suspected. (Attempted Information Leak, IP A (internal IP) → IP X (external IP, attacker))

정보 유출 시도의 오탐 및/또는 과탐 여부를 판단하기 위해, 네트워크 트래픽 분석을 통한 보안 시스템은 메타데이터를 선택할 수 있다.In order to determine whether an information leakage attempt is false positive and/or excessive positive, the security system through network traffic analysis may select metadata.

내부 IP로부터 외부 IP로의 outbound 트래픽이나, 해당 외부 IP가 재택근무 등으로 인해 외부에서 지속적으로 내부망에 위치한 정보에 접근해야 하는 경우 해당 메시지가 발생할 수 있으나, 실제 위협은 아닐 수 있다.If outbound traffic from an internal IP to an external IP or the external IP needs to continuously access information located on the internal network from the outside due to telecommuting, etc., the message may occur, but it may not be a real threat.

내부 IP와 전혀 연결이 없던 새로운 외부 IP가 내부망에 위치한 정보에 접근하는 경우에는 실제 위협으로 판단할 수 있다.If a new external IP that has no connection with an internal IP accesses information located on the internal network, it can be determined as a real threat.

따라서, IP A와 통신한 외부 IP의 빈도를 체크하고, 검출된 IP(IP X)의 등장 빈도를 체크하도록 메타데이터를 활용할 수 있다.Accordingly, metadata may be utilized to check the frequency of an external IP communicating with IP A and to check the appearance frequency of the detected IP (IP X).

네트워크 트래픽 분석을 통한 보안 시스템은 이처럼 메타데이터를 통해 검출 내용의 오탐 및/똔느 과탐 여부를 판단할 수 있다.A security system through network traffic analysis can determine false positives and/or excessive positives through metadata.

예를 들어, IP A와 통신한 외부 IP에서 검출된 IP인 IP X는 빈도 체크 결과 해당 정보 유출 시도가 1회만 발생하였을 수 있으며, 기존 통신하던 외부 IP가 아닐 수 있다. 이러한 경우, 상기 네트워크 트래픽 분석을 통한 보안 시스템은 해당 정보 유출 시도를 실제 위협으로 판단할 수 있다.For example, IP X, which is an IP detected from an external IP that communicated with IP A, may have attempted to leak the information only once as a result of frequency check, and may not be the external IP that was previously communicated. In this case, the security system through the network traffic analysis may determine the information leakage attempt as a real threat.

도 2는 본 발명의 실시 예에 따른 네트워크 트래픽 분석을 통한 보안 시스템의 네트워크 스캐닝 시도 감지를 나타낸다.2 shows network scanning attempt detection by a security system through network traffic analysis according to an embodiment of the present invention.

도 2를 참조하면, 본 발명의 실시 예에 따른 네트워크 트래픽 분석을 통한 보안 시스템은 보안검사 엔진의 네트워크 스캐닝 시도가 의심되는 경우를 감지할 수 있다.(Attempted Network Scan, IP B(내부 IP, 공격 의심자) → IP Y(내부 IP, 공격자))Referring to FIG. 2 , the security system through network traffic analysis according to an embodiment of the present invention can detect a case in which a network scanning attempt by a security scan engine is suspected. (Attempted Network Scan, IP B (internal IP, attack) suspect) → IP Y (internal IP, attacker))

상기 네트워크 트래픽 분석을 통한 보안 시스템은 이러한 네트워크 스캐닝 시도의 오탐 및/또는 과탐 여부를 판단하기 위한 메타데이터를 선택할 수 있다.The security system through the network traffic analysis may select metadata for determining false positives and/or excessive positives of such a network scanning attempt.

내부 IP가 destination인 스캐닝 시도라고 하더라도, 내부 보안 담당자가 네트워크 내의 취약점을 식별하기 위해 정기적으로 수행하는 스캐닝 과정일 가능성이 있다.Even if it is a scanning attempt with an internal IP as the destination, there is a possibility that the scanning process is regularly performed by internal security personnel to identify vulnerabilities in the network.

하지만 스캐닝 수행 IP가 외부 IP이며, 규칙성 없이 간헐적으로 내부에 대한 스캐닝 시도가 감지되면 실제 위협으로 판단할 수 있다.However, if the scanning execution IP is an external IP and an intermittent scanning attempt to the inside is detected, it can be determined as a real threat.

따라서, IP B가 외부 IP인지 식별하고, IP B와 IP Y 간의 트래픽의 시간적 규칙성을 체크하도록 메타데이터를 활용할 수 있다.Accordingly, metadata may be utilized to identify whether IP B is an external IP and to check temporal regularity of traffic between IP B and IP Y.

상기 네트워크 트래픽 분석을 통한 보안 시스템은 이처럼 메타데이터를 통해 검출 내용의 오탐 및/또는 과탐 여부를 판단할 수 있다.The security system through the network traffic analysis can determine false positives and/or excessive false positives through metadata.

예를 들어, IP B는 내부 IP이며, IP B와 IP Y의 트래픽은 체크 결과 매달 1일에만 지속적으로 스캐닝 동작이 수행되었을 수 있다.For example, IP B is an internal IP, and as a result of checking the traffic of IP B and IP Y, a scanning operation may be continuously performed only on the first day of every month.

이는 특정 주기로 내부 IP에서 수행한 스캐닝으로, 실제 위협이 아니라고 판단할 수 있다.This is a scanning performed on the internal IP at a specific period, and it can be determined that it is not a real threat.

전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시 예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성요소들도 결합된 형태로 실시될 수 있다.The above description of the present invention is for illustrative purposes, and those skilled in the art can understand that it can be easily modified into other specific forms without changing the technical spirit or essential features of the present invention. will be. Therefore, the embodiments described above should be understood as illustrative in all respects and not limiting. For example, each component described as a single type may be implemented in a distributed manner, and similarly, components described as distributed may be implemented in a combined form.

본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타나며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.The scope of the present invention is indicated by the following claims rather than the detailed description above, and all changes or modifications derived from the meaning and scope of the claims and equivalent concepts thereof should be construed as being included in the scope of the present invention. .

Claims (1)

네트워크 트래픽 분석을 통한 보안 시스템이 보안검사 엔진에서 정보 유출 시도를 감지하는 단계;
상기 네트워크 트래픽 분석을 통한 보안 시스템이 정보 유출 시도의 오탐 또는 과탐 여부를 판단하기 위한 메타데이터를 선택하는 단계; 및
상기 네트워크 트래픽 분석을 통한 보안 시스템이 선택된 메타데이터를 통해 검출 내용의 오탐 또는 과탐 여부를 판단하는 단계를 포함하는 네트워크 트래픽 분석을 통한 보안 방법.
Detecting an information leakage attempt in a security inspection engine by a security system through network traffic analysis;
selecting, by the security system through the network traffic analysis, metadata for determining false positives or excessive negatives in an information leakage attempt; and
A security method through network traffic analysis comprising the step of determining, by the security system through network traffic analysis, whether false positives or excessive positives are detected through selected metadata.
KR1020210186756A 2021-12-24 2021-12-24 Security system and method through network traffic analysis KR20230097350A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210186756A KR20230097350A (en) 2021-12-24 2021-12-24 Security system and method through network traffic analysis

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210186756A KR20230097350A (en) 2021-12-24 2021-12-24 Security system and method through network traffic analysis

Publications (1)

Publication Number Publication Date
KR20230097350A true KR20230097350A (en) 2023-07-03

Family

ID=87157603

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210186756A KR20230097350A (en) 2021-12-24 2021-12-24 Security system and method through network traffic analysis

Country Status (1)

Country Link
KR (1) KR20230097350A (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101502490B1 (en) 2013-10-18 2015-03-13 주식회사 케이티 Subscibe terminal and security farm node for monitoring network traffic

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101502490B1 (en) 2013-10-18 2015-03-13 주식회사 케이티 Subscibe terminal and security farm node for monitoring network traffic

Similar Documents

Publication Publication Date Title
KR100426317B1 (en) System for providing a real-time attacking connection traceback using of packet watermark insertion technique and method therefor
Sharma et al. A comparative analysis and awareness survey of phishing detection tools
KR102222377B1 (en) Method for Automatically Responding to Threat
CN107493256A (en) Security incident defence method and device
CN106713358A (en) Attack detection method and device
CN111464526A (en) Network intrusion detection method, device, equipment and readable storage medium
CN111901348A (en) Method and system for active network threat awareness and mimicry defense
CN113468075A (en) Security testing method and system for server-side software
Lee et al. VoIP-aware network attack detection based on statistics and behavior of SIP traffic
Sharma et al. BotMAD: Botnet malicious activity detector based on DNS traffic analysis
KR20170046001A (en) System and method for improvement invasion detection
CN114339767A (en) Signaling detection method and device, electronic equipment and storage medium
Sen et al. Towards an approach to contextual detection of multi-stage cyber attacks in smart grids
KR20230097350A (en) Security system and method through network traffic analysis
CN113206828B (en) Method and device for analyzing security of network device
US20210234878A1 (en) Method and system to determine device vulnerabilities by scanner analysis
KR20100066841A (en) System for security solution for web application, and method for security solution using the system
Yinka-Banjo et al. Intrusion detection using anomaly detection algorithm and snort
CN111147491B (en) Vulnerability repairing method, device, equipment and storage medium
US11184369B2 (en) Malicious relay and jump-system detection using behavioral indicators of actors
CN111783092A (en) Malicious attack detection method and system for communication mechanism between android applications
Ahmed et al. Measures and metrics for the enforcement of critical security controls: a case study of boundary defense
Gawron et al. Automatic vulnerability detection for weakness visualization and advisory creation
Hubballi et al. An active intrusion detection system for LAN specific attacks
KR100862321B1 (en) Method and apparatus for detecting and blocking network attack without attack signature