KR20240028209A - 공격 체인 기반 공격 탐지 장치 및 방법 - Google Patents
공격 체인 기반 공격 탐지 장치 및 방법 Download PDFInfo
- Publication number
- KR20240028209A KR20240028209A KR1020220106415A KR20220106415A KR20240028209A KR 20240028209 A KR20240028209 A KR 20240028209A KR 1020220106415 A KR1020220106415 A KR 1020220106415A KR 20220106415 A KR20220106415 A KR 20220106415A KR 20240028209 A KR20240028209 A KR 20240028209A
- Authority
- KR
- South Korea
- Prior art keywords
- event
- attack
- correlation
- specified
- chain
- Prior art date
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 64
- 238000000034 method Methods 0.000 title claims description 99
- 230000008569 process Effects 0.000 claims description 70
- 230000002688 persistence Effects 0.000 claims description 15
- 238000009792 diffusion process Methods 0.000 claims description 13
- 230000000694 effects Effects 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 15
- 238000010219 correlation analysis Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000005477 standard model Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명의 일 실시예에 따른 공격 체인 기반 공격 탐지 장치는, 사이버 공격을 구성하는 단위 공격 각각이 속하는 전술을 확인하는 단계; 상기 확인된 전술에 따른 속성을 우선 순위에 따라 가중합하여 상기 단위 공격에 대한 스코어를 획득하는 단계; 및 상기 획득된 단위 공격에 대한 스코어를 합하여 상기 사이버 공격에 대한 스코어를 획득하는 단계를 포함한다.
Description
본 발명은 공격 체인을 기반으로 사이버 공격을 탐지하는 공격 체인 기반 공격 탐지 장치 및 방법에 관한 것이다.
표적 공격(Targeted Attack) 또는 APT(Advanced Persistent Threat) 공격과 같은 사이버 공격은 국가 또는 조직의 후원 아래 기밀 탈취, 데이터 및 시스템의 무결성 또는 가용성 파괴 등과 같은 궁극적인 공격 목표를 달성하기 위해 이루어진다. 이 과정에서 공격자들은 다양한 공격 방법들을 이용하여 여러 공격 단계들로 구성된 작전(Operations) 형태로 수개월 또는 수년의 시간 동안 사이버 공격을 수행하는 것으로 추측되고 있다.
이러한 사이버 공격을 효과적으로 탐지하기 위해 국내외 많은 연구가 진행되고 있으며, 다양한 정보보호 제품도 출시되어 여러 기관과 조직에 적용되고 있다. 이러한 여러 활동 중 MITRE 社에서 발표한 ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge) 프레임워크는 사이버 공격의 전술, 기술 및 절차(TTPs, Tactics, Techniques, and Procedure)를 설명할 수 있는 사실상 표준 모델로 자리 잡고 있다.
본 발명이 해결하고자 하는 과제는, 이벤트 간의 상관관계를 분석하여 공격 체인을 구성함으로써 사이버 공격을 탐지하는 공격 체인 기반 공격 탐지 장치 및 방법을 제공하는 것이다.
다만, 본 발명이 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 실시예에 따른 공격 체인 기반 공격 탐지 장치는, 네트워크 내에서 생성되는 제 1 이벤트를 수집하는 이벤트 수집부; 상기 수집된 제 1 이벤트로부터 미리 정의된 공격 기술에 매핑되는 단위 공격을 탐지하는 단위 공격 탐지부; 및 상기 탐지된 단위 공격에 의해 발생된 상기 제 1 이벤트와 과거 제 2 이벤트의 상관관계를 기초로 공격 체인을 구성하는 공격 체인 구성부를 포함한다.
또한, 상기 공격 체인 구성부는, 상기 제 1 이벤트와 상기 제 2 이벤트 사이에 프로세스 개체 기반 상관관계, 파일 개체 기반 상관관계, 네트워크 기반 상관관계, 지속성 기반 상관관계, 및 내부 확산 기반 상관관계 중 적어도 하나의 상관관계에 따라 상기 공격 체인을 구성할 수 있다.
또한, 상기 공격 체인 구성부는, 상기 제 1 이벤트와 상기 제 2 이벤트가 동일한 프로세스에 의한 활동이거나, 상기 제 2 이벤트와 관련된 프로세스가 상기 제 1 이벤트와 관련된 프로세스의 부모 프로세스인 경우, 상기 제 1 이벤트와 상기 제 2 이벤트 사이에 상기 프로세스 개체 기반 상관관계가 있다고 판단할 수 있다.
또한, 상기 공격 체인 구성부는, 상기 제 2 이벤트에 명시된 파일 경로가 상기 제 1 이벤트의 프로세스 실행 인자에 명시되는 제 1 조건, 상기 제 2 이벤트에 명시된 파일 경로가 상기 제 1 이벤트에 명시된 프로세스의 실행 경로와 일치하는 제 2 조건, 상기 제 2 이벤트에 명시된 파일 경로 또는 파일 이름이 상기 제 1 이벤트에 명시된 네트워크에서 전송되는 파일 경로 또는 파일 이름과 일치하는 제 3 조건, 및 상기 제 1 내지 3 조건을 만족하지 않으면서 상기 제 2 이벤트에 명시된 파일 경로가 상기 제 1 이벤트에 명시된 파일 경로와 일치하는 제 4 조건 중 적어도 하나를 만족하는 경우, 상기 제 1 이벤트와 상기 제 2 이벤트 사이에 상기 파일 개체 기반 상관관계가 있다고 판단할 수 있다.
또한, 상기 공격 체인 구성부는, 상기 제 2 이벤트에 명시된 출발지 및 목적지 각각이 상기 제 1 이벤트에 명시된 출발지 및 목적지와 일치하거나, 상기 제 2 이벤트에 명시된 출발지 및 목적지 각각이 상기 제 1 이벤트에 명시된 목적지 및 출발지와 일치하는 경우, 상기 제 1 이벤트와 상기 제 2 이벤트 사이에 상기 네트워크 기반 상관관계가 있다고 판단할 수 있다.
또한, 상기 공격 체인 구성부는, 상기 제 1 이벤트가 공격의 지속 유지를 위해 서비스(Service)를 설치하는 이벤트일 때 상기 제 1 이벤트의 서비스 경로(Service.Path)가 상기 제 2 이벤트의 파일 경로와 일치하거나, 상기 제 2 이벤트가 공격의 지속 유지를 위해 서비스를 설치하는 이벤트일 때 상기 제 2 이벤트의 서비스 경로가 상기 제 1 이벤트의 프로세스 실행 경로와 일치하는 경우, 상기 제 1 이벤트와 상기 제 2 이벤트 사이에 상기 지속성 기반 상관관계가 있다고 판단할 수 있다.
또한, 상기 공격 체인 구성부는, 상기 제 2 이벤트에서 활동하는 사용자(User.Name)가 상기 제 1 이벤트에서 활동하는 사용자와 동일하면서 상기 제 1 이벤트와 상기 제 2 이벤트에 명시된 호스트(Host.IP)가 서로 다르거나, 상기 제 1 이벤트와 상기 제 2 이벤트가 원격 로그인 관련 이벤트이면서 상기 제 2 이벤트의 목적지 호스트와 상기 제 1 이벤트의 접속 호스트가 일치하거나, 상기 제 1 이벤트와 상기 제 2 이벤트가 원격 서비스 접속 관련 이벤트이면서 상기 제 2 이벤트의 목적지 호스트와 상기 제 1 이벤트의 접속 호스트가 일치하는 경우, 상기 제 1 이벤트와 상기 제 2 이벤트 사이에 상기 내부 확산 기반 상관관계가 있다고 판단할 수 있다.
본 발명의 일 실시예에 따른 공격 체인 기반 공격 탐지 방법는, 네트워크 내에서 생성되는 제 1 이벤트를 수집하는 단계; 상기 수집된 제 1 이벤트로부터 미리 정의된 공격 기술에 매핑되는 단위 공격을 탐지하는 단계; 및 상기 탐지된 단위 공격에 의해 발생된 상기 제 1 이벤트와 과거 제 2 이벤트의 상관관계를 기초로 공격 체인을 구성하는 단계를 포함한다.
또한, 상기 공격 체인을 구성하는 단계는, 상기 제 1 이벤트와 상기 제 2 이벤트 사이에 프로세스 개체 기반 상관관계, 파일 개체 기반 상관관계, 네트워크 기반 상관관계, 지속성 기반 상관관계, 및 내부 확산 기반 상관관계 중 적어도 하나의 상관관계를 판단하는 단계; 및 상기 판단된 상관관계에 따라 상기 공격 체인을 구성하는 단계를 포함할 수 있다.
또한, 상기 제 1 이벤트와 상기 제 2 이벤트의 상관관계를 판단하는 단계는, 상기 제 1 이벤트와 상기 제 2 이벤트가 동일한 프로세스에 의한 활동이거나, 상기 제 2 이벤트와 관련된 프로세스가 상기 제 1 이벤트와 관련된 프로세스의 부모 프로세스인 경우, 상기 제 1 이벤트와 상기 제 2 이벤트 사이에 상기 프로세스 개체 기반 상관관계가 있다고 판단하는 단계를 포함할 수 있다.
또한, 상기 제 1 이벤트와 상기 제 2 이벤트의 상관관계를 판단하는 단계는, 상기 제 2 이벤트에 명시된 파일 경로가 상기 제 1 이벤트의 프로세스 실행 인자에 명시되는 제 1 조건, 상기 제 2 이벤트에 명시된 파일 경로가 상기 제 1 이벤트에 명시된 프로세스의 실행 경로와 일치하는 제 2 조건, 상기 제 2 이벤트에 명시된 파일 경로 또는 파일 이름이 상기 제 1 이벤트에 명시된 네트워크에서 전송되는 파일 경로 또는 파일 이름과 일치하는 제 3 조건, 및 상기 제 1 내지 3 조건을 만족하지 않으면서 상기 제 2 이벤트에 명시된 파일 경로가 상기 제 1 이벤트에 명시된 파일 경로와 일치하는 제 4 조건 중 적어도 하나를 만족하는 경우, 상기 제 1 이벤트와 상기 제 2 이벤트 사이에 상기 파일 개체 기반 상관관계가 있다고 판단할 수 있다.
또한, 상기 제 1 이벤트와 상기 제 2 이벤트의 상관관계를 판단하는 단계는, 상기 제 2 이벤트에 명시된 출발지 및 목적지 각각이 상기 제 1 이벤트에 명시된 출발지 및 목적지와 일치하거나, 상기 제 2 이벤트에 명시된 출발지 및 목적지 각각이 상기 제 1 이벤트에 명시된 목적지 및 출발지와 일치하는 경우, 상기 제 1 이벤트와 상기 제 2 이벤트 사이에 상기 네트워크 기반 상관관계가 있다고 판단하는 단계를 포함할 수 있다.
또한, 상기 제 1 이벤트와 상기 제 2 이벤트의 상관관계를 판단하는 단계는, 상기 제 1 이벤트가 공격의 지속 유지를 위해 서비스(Service)를 설치하는 이벤트일 때 상기 제 1 이벤트의 서비스 경로(Service.Path)가 상기 제 2 이벤트의 파일 경로와 일치하거나, 상기 제 2 이벤트가 공격의 지속 유지를 위해 서비스를 설치하는 이벤트일 때 상기 제 2 이벤트의 서비스 경로가 상기 제 1 이벤트의 프로세스 실행 경로와 일치하는 경우, 상기 제 1 이벤트와 상기 제 2 이벤트 사이에 상기 지속성 기반 상관관계가 있다고 판단하는 단계를 포함할 수 있다.
또한, 상기 제 1 이벤트와 상기 제 2 이벤트의 상관관계를 판단하는 단계는, 상기 제 2 이벤트에서 활동하는 사용자(User.Name)가 상기 제 1 이벤트에서 활동하는 사용자와 동일하면서 상기 제 1 이벤트와 상기 제 2 이벤트에 명시된 호스트(Host.IP)가 서로 다르거나, 상기 제 1 이벤트와 상기 제 2 이벤트가 원격 로그인 관련 이벤트이면서 상기 제 2 이벤트의 목적지 호스트와 상기 제 1 이벤트의 접속 호스트가 일치하거나, 상기 제 1 이벤트와 상기 제 2 이벤트가 원격 서비스 접속 관련 이벤트이면서 상기 제 2 이벤트의 목적지 호스트와 상기 제 1 이벤트의 접속 호스트가 일치하는 경우, 상기 제 1 이벤트와 상기 제 2 이벤트 사이에 상기 내부 확산 기반 상관관계가 있다고 판단하는 단계를 포함할 수 있다.
본 발명의 일 실시예에 의하면, 공격의 단편적인 부분만을 탐지하는 기존의 접근 방법에 비해 흐름 관점에서 APT 공격을 공격 체인 형태로 구성하여 탐지함으로써, 사이버 공격에 대한 정확한 상황 인식이 가능할 수 있다.
도 1은 본 발명의 일 실시예 따른 공격 체인 기반 공격 탐지 장치의 제어 블록도이다.
도 2는 본 발명의 일 실시예에 따른 공격 체인 기반 공격 탐지 장치에 적용되는 출처 그래프의 개념을 설명하기 위한 도면이다.
도 3은 본 발명의 일 실시예에 따른 공격 체인 기반 공격 탐지 방법의 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 공격 체인 구성부의 프로세스 개체 기반 상관관계 분석 방법을 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시예에 따른 공격 체인 구성부의 파일 개체 기반 상관관계 분석 방법을 설명하기 위한 도면이다.
도 6은 본 발명의 일 실시예에 따른 공격 체인 구성부의 네트워크 기반 상관관계 분석 방법을 설명하기 위한 도면이다.
도 7은 본 발명의 일 실시예에 따른 공격 체인 구성부의 지속성 기반 상관관계 분석 방법을 설명하기 위한 도면이다.
도 8은 본 발명의 일 실시예에 따른 공격 체인 구성부의 내부 확산 기반 상관관계 분석 방법을 설명하기 위한 도면이다.
도 2는 본 발명의 일 실시예에 따른 공격 체인 기반 공격 탐지 장치에 적용되는 출처 그래프의 개념을 설명하기 위한 도면이다.
도 3은 본 발명의 일 실시예에 따른 공격 체인 기반 공격 탐지 방법의 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 공격 체인 구성부의 프로세스 개체 기반 상관관계 분석 방법을 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시예에 따른 공격 체인 구성부의 파일 개체 기반 상관관계 분석 방법을 설명하기 위한 도면이다.
도 6은 본 발명의 일 실시예에 따른 공격 체인 구성부의 네트워크 기반 상관관계 분석 방법을 설명하기 위한 도면이다.
도 7은 본 발명의 일 실시예에 따른 공격 체인 구성부의 지속성 기반 상관관계 분석 방법을 설명하기 위한 도면이다.
도 8은 본 발명의 일 실시예에 따른 공격 체인 구성부의 내부 확산 기반 상관관계 분석 방법을 설명하기 위한 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
또한, 본 명세서 및 청구범위에서는 구성요소들 간의 구별을 위하여 '제 1', '제 2' 등과 같이 서수를 포함하는 용어가 사용될 수 있다. 이러한 서수는 동일 또는 유사한 구성 요소들을 서로 구별하기 위하여 사용하는 것이며, 이러한 서수사용으로 인하여 용어의 의미가 한정 해석되어서는 안 될 것이다. 일예로, 이러한 서수와 결합된 구성 요소는 그 숫자에 의해 사용 순서나 배치 순서 등이 제한 해석되어서는 안 된다. 필요에 따라서는, 각 서수들은 서로 교체되어 사용될 수도 있다.
본 명세서에서 단수의 표현은 문맥상 명백하게 다름을 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, '포함하다' 또는 '구성하다' 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성 요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성 요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 본 발명의 실시 예에서, 어떤 부분이 다른 부분과 연결되어 있다고 할 때, 이는 직접적인 연결뿐 아니라, 다른 매체를 통한 간접적인 연결의 경우도 포함한다. 또한 어떤 부분이 어떤 구성 요소를 포함한다는 의미는, 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있다는 것을 의미한다.
도 1은 본 발명의 일 실시예 따른 공격 체인 기반 공격 탐지 장치의 제어 블록도이고, 도 2는 본 발명의 일 실시예에 따른 공격 체인 기반 공격 탐지 장치에 적용되는 출처 그래프의 개념을 설명하기 위한 도면이다.
본 발명의 공격 체인 기반 공격 탐지 장치(100)는 사이버 공격(특히 APT 공격)을 구성하는 여러 단위 공격을 공격 체인 형태로 연결하여 공격을 탐지하는 것을 목적으로 한다. 구체적으로, 본 발명의 일 실시예에 따른 공격 체인 기반 공격 탐지 장치(100)는 출처 그래프(Provenance Graph) 기반의 이벤트 개채 간 상관 분석을 수행하여 공격 체인 형태로 사이버 공격을 탐지하며, MITRE ATT&CK 에 정의된 공격 기술을 이용하여 공격 체인을 구성하는 공격 기법을 표현할 수 있다.
도 1을 참고하면, 본 발명의 일 실시예에 따른 공격 체인 기반 공격 탐지 장치(100)는 이벤트 수집부(110); 단위 공격 탐지부(120); 탐지 규칙 저장부; 이벤트 데이터 베이스; 및 공격 체인 구성부(150)를 포함할 수 있다.
이벤트 수집부(110)는 다양한 호스트 및 네트워크 모니터링 도구에서 생성하는 이벤트를 수집하고 저장할 수 있다. 구체적으로, 이벤트 수집부(110)는 엔터프라이즈 환경에서 네트워크에 연결된 모든 Windows 및 Linux 호스트, 네트워크 공격을 탐지하는 침입탐지시스템(NIDS, Network-based Intrusion Detection System)과 네트워크 모니터링 시스템(NMS, Network Monitoring System)에서 정상 행위 및 잠재적 공격 행위로 인하여 발생하는 이벤트를 수집 및 저장할 수 있다.
단위 공격 탐지부(120)는 이벤트로부터 MITRE ATT&CK에 정의된 공격 기술 수준의 단위공격을 탐지할 수 있다. 이 때, ATT&CK에 정의된 공격 기술과 매핑되는 단위 공격 탐지 규칙은 탐지 규칙 저장부(140)에 미리 저장될 수 있다. IDS와 같은 정보보호 제품에서의 탐지 규칙은 패킷에서 나타나는 시그니처를 이용하는 반면, 본 발명의 일 실시예에 따른 단위 공격 탐지부(120)는 행위 기반의 규칙에 따라 공격이 이루어졌을 때 발생되는 이벤트의 특징을 이용하여 공격을 탐지할 수 있다.
공격 체인 구성부(150)는 단위공격으로 생성된 이벤트로부터 출처 그래프 기반의 상관분석을 수행하여 공격 체인을 구성할 수 있다. 여기서 출처 그래프는 도 2와 같이, 호스트 내의 개체간 정보 흐름 또는 제어 흐름을 표현한 그래프이다. 그래프의 노드는 개체를 의미하고, 프로세스는 주체 개체이며, 프로세스를 제외한 파일, 파이프 네트워크 소켓 등은 객체의 개체를 의미할 수 있다. 그래프의 간선은 주체 개체와 객체 개체 간의 흐름 또는 의존성을 나타내기 때문에 출처 그래프를 의존성 그래프(Dependency Graph)라고도 한다.
공격 체인 구성부(150)는 탐지된 단위 공격에 의해 트리거된 이벤트와 이에 연관된 다른 과거 이벤트 간의 상관관계 분석을 수행하여 공격 체인을 구성할 수 있다. 이 때, 공격 체인 구성부(150)는 표 1에 의해 정의된 상관관계 유형에 따라 분석을 수행할 수 있다.
| 종류 | 유형 |
| 프로세스 | 동일 프로세스 |
| 부모-자식 프로세스 | |
| 파일 | 파일 로드됨 |
| 파일 실행됨 | |
| 파일 전송됨 | |
| 기타 파일 사용됨 | |
| 네트워크 | 동일 출발지-목적지 IP/포트 |
| 역전 출발지-목적지 IP/포트 | |
| 지속성 | 서비스 설치 |
| 서비스 실행 | |
| 내부 확산 | 동일 사용자, 다른 호스트 |
| 원격 로그인 | |
| 원격 서비스 (SSH, RDP 등) |
한편, 과거 이벤트는 단위 공격 탐지부(120)에 의해 과거에 탐지된 이벤트로 구성된 이벤트 데이터 베이스(140)로부터 획득될 수 있다.
본 발명의 일 실시예에 따른 공격 체인 기반 공격 탐지 장치(100)는 이러한 기능을 수행하도록 프로그램된 명령어를 포함하는 메모리와 이들 명령어를 수행하는 마이크로프로세서를 포함하는 연산 장치에 의해 구현될 수 있다. 이 때, 도 1의 실시예에 따른 공격 체인 기반 공격 탐지 장치(100)의 구성 각각이 독립적으로 마이크로프로세서에 의해 구현될 수도 있고, 적어도 두개가 하나의 마이크로프로세서에 의해 구현되는 것도 가능할 수 있다.
지금까지는 본 발명의 일 실시예에 따른 공격 체인 기반 공격 탐지 장치(100)의 구성에 대해 설명하였다. 이하에서는 본 발명의 일 실시예에 따른 공격 체인 기반 공격 탐지 장치(100)에 의해 수행되는 공격 체인 기반 공격 탐지 방법에 대해 설명한다.
도 3은 본 발명의 일 실시예에 따른 공격 체인 기반 공격 탐지 방법의 흐름도이다.
먼저, 본 발명의 일 실시예에 따른 공격 체인 기반 공격 탐지 장치(100)는 네트워크 내 이벤트를 수집할 수 있다(S210). 구체적으로, 본 발명의 일 실시예에 따른 공격 체인 기반 공격 탐지 장치(100)의 이벤트 수집부(110)는 네트워크 내에서 생성되는 제 1 이벤트를 수집할 수 있다. 여기서, 제 1 이벤트는 현재 시점에 발생이 확인된 이벤트를 의미할 수 있다.
그 다음, 본 발명의 일 실시예에 따른 공격 체인 기반 공격 탐지 장치(100)는 수집된 제 1 이벤트로부터 미리 정의된 공격 기술에 매핑되는 단위 공격을 탐지할 수 있다(S220). 구체적으로, 본 발명의 일 실시예에 따른 공격 체인 기반 공격 탐지 장치(100)의 단위 공격 탐지부(120)는 탐지 규칙 저장부(130)에 미리 저장된 탐지 규칙에 따라 제 1 이벤트에 매핑되는 단위 공격을 탐지할 수 있다.
예를 들어, ATT&CK에 정의된 (세부) 공격 기술 중 하나인 "Command and Scripting Interpreter: PowerShell"(T1059.001) 관련하여, PowerShell이 실행된 이벤트(Powershell.exe 프로세스 생성 이벤트)가 발생하였을 때 이를 탐지하는 규칙이 설정되면, 본 발명의 일 실시예에 따른 단위 공격 탐지부(120)는 PowerShell이 실행될 때마다 탐지 규칙에 따라 해당 이벤트를 탐지하고 경보를 발생시킬 수 있다.
마지막으로, 본 발명의 일 실시예에 따른 공격 체인 기반 공격 탐지 장치(100)는 탐지된 단위 공격에 의해 발생된 제 1 이벤트와 과거 제 2 이벤트의 상관관계를 기초로 공격 체인을 구성할 수 있다(S230). 여기서, 제 2 이벤트는 제 1 이벤트 발생 시점보다 과거에 발생된 이벤트로서, 이벤트 데이터 베이스(140)에 미리 저장될 수 있다.
구체적으로, 본 발명의 일 실시예에 따른 공격 체인 기반 공격 탐지 장치(100)의 공격 체인 구성부(150)는 제 1 이벤트와 제 2 이벤트 사이에 프로세스 개체 기반 상관관계, 파일 개체 기반 상관관계, 네트워크 기반 상관관계, 지속성 기반 상관관계, 및 내부 확산 기반 상관관계 중 적어도 하나의 상관관계에 따라 공격 체인을 구성할 수 있다.
이하에서는 도 4 내지 8을 참고하여, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)가 수행하는 상관관계 분석 방법에 대해 설명한다.
도 4는 본 발명의 일 실시예에 따른 공격 체인 구성부의 프로세스 개체 기반 상관관계 분석 방법을 설명하기 위한 도면이고, 도 5는 본 발명의 일 실시예에 따른 공격 체인 구성부의 파일 개체 기반 상관관계 분석 방법을 설명하기 위한 도면이고, 도 6은 본 발명의 일 실시예에 따른 공격 체인 구성부의 네트워크 기반 상관관계 분석 방법을 설명하기 위한 도면이고, 도 7은 본 발명의 일 실시예에 따른 공격 체인 구성부의 지속성 기반 상관관계 분석 방법을 설명하기 위한 도면이며, 도 8은 본 발명의 일 실시예에 따른 공격 체인 구성부의 내부 확산 기반 상관관계 분석 방법을 설명하기 위한 도면이다.
본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 동일한 호스트에서 발생한 두 이벤트가 다음의 조건 중 하나를 만족할 때 프로세스 개체 기반 상관관계가 있다고 판단할 수 있다. 이 때, 속성은 프로세스 ID, 이름, 실행 경로가 활용될 수 있다.
구체적으로, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 제 1 이벤트와 제 2 이벤트가 동일한 프로세스에 의한 활동이거나, 제 2 이벤트와 관련된 프로세스가 상기 제 1 이벤트와 관련된 프로세스의 부모 프로세스인 경우, 제 1 이벤트와 상기 제 2 이벤트 사이에 상기 프로세스 개체 기반 상관관계가 있다고 판단할 수 있다.
예를 들어, 도 4의 ①번 이벤트와 ②번 이벤트, ①번 이벤트와 ③번 이벤트는 같은 프로세스 B에 의한 활동이므로, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 ①→② 및 ①→③의 상관관계가 있다고 판단할 수 있다.
또한, 도 4의 ③번 이벤트와 ④번 이벤트의 경우 각각 프로세스 B와 C에 의한 활동이며 프로세스 B는 프로세스 C의 부모 프로세스이므로, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 ③→④의 상관관계가 있다고 판단할 수 있다.
한편, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 두 이벤트가 아래의 조건 중 하나를 만족할 때 파일 개체 기반 상관관계가 있다고 판단할 수 있다. 이 때, 속성은 이름과 경로가 활용될 수 있다.
구체적으로, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 제 2 이벤트에 명시된 파일 경로가 제 1 이벤트의 프로세스 실행 인자에 명시되거나, 제 2 이벤트에 명시된 파일 경로가 제 1 이벤트에 명시된 프로세스의 실행 경로와 일치하거나, 제 2 이벤트에 명시된 파일 경로 또는 파일 이름이 제 1 이벤트에 명시된 네트워크에서 전송되는 파일 경로 또는 파일 이름과 일치하거나, 앞의 3가지 상황을 만족하지 않으면서 제 2 이벤트에 명시된 파일 경로가 제 1 이벤트에 명시된 파일 경로와 일치하는 경우, 제 1 이벤트와 제 2 이벤트 사이에 파일 개체 기반 상관관계가 있다고 판단할 수 있다.
예를 들어, 도 5의 ①번 이벤트와 같이 선행하는 이벤트에 명시된 파일 경로(File.Path)가 ②번 이벤트와 같은 후행하는 이벤트의 프로세스의 실행 인자(Process. Argument)에 명시된 경우 파일 로드된 것으로 보아, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 ①→②의 상관관계가 있다고 판단할 수 있다.
또한, 도 5의 ①번 이벤트와 같이 선행하는 이벤트에 명시된 파일 경로가 도 ②번 이벤트와 같이 후행하는 이벤트에 명시된 프로세스의 실행 경로와 일치하는 경우 파일 실행된 것으로 보아, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 ①→②의 상관관계가 있다고 판단할 수 있다.
또한, 도 5의 ①번 이벤트와 같이 선행하는 이벤트에 명시된 파일 경로 또는 파일 이름(file.name)이 ③번 이벤트와 같이 후행하는 이벤트에 명시된 네트워크에서 전송되는 파일 경로 또는 파일 이름과 일치하는 경우 파일 전송된 것으로 보아, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 ①→③의 상관관계가 있다고 판단할 수 있다.
또한, 위의 3가지 상황에 해당하지 않고, 선행하는 이벤트에 명시된 파일 경로가 후행하는 이벤트에 명시된 파일 경로와 일치하는 경우 기타 파일 사용되었다고 보아, 이 역시도 상관관계가 인정될 수 있다.
한편, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 네트워크 활동과 관련한 두 이벤트(도 6의 ①번 이벤트와 ②번 이벤트)가 아래의 조건 중 하나를 만족할 때 서로 네트워크 기반 상관관계가 있다고 판단할 수 있다. 이 때 속성은 IP와 포트가 이용되고, 아래의 조건 모두 IP와 포트가 모두 일치하는 것이 바람직하나, 모두 일치하지 않더라도 어느 한쪽의 IP와 포트가 같고 다른 쪽의 IP가 일치하면 두 이벤트는 상관관계가 있는 것으로 판단될 수 있다.
구체적으로, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 제 2 이벤트에 명시된 출발지 및 목적지 각각이 제 1 이벤트에 명시된 출발지 및 목적지와 일치하거나, 제 2 이벤트에 명시된 출발지 및 목적지 각각이 제 1 이벤트에 명시된 목적지 및 출발지와 일치하는 경우, 제 1 이벤트와 제 2 이벤트 사이에 네트워크 기반 상관관계가 있다고 판단할 수 있다.
예를 들어, 도 6의 ①번 이벤트에 명시된 출발지 및 목적지 각각이 ②번 이벤트에 명시된 출발지 및 목적지와 일치하는 경우, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 ①→②의 상관관계가 있다고 판단할 수 있다.
또한, 선행하는 이벤트 A에 명시된 출발지 및 목적지 각각이 후행하는 이벤트 B에 명시된 목적지 및 출발지와 일치하는 경우, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 A.source= B.destination 및 B.destination=A.source 의 상관관계가 있다고 판단할 수 있다.
한편, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 두 이벤트가 공격의 지속성을 유지하기 위한 과정에서 아래의 조건 중 하나를 만족할 때 지속성 기반 상관관계가 있다고 판단할 수 있다.
구체적으로, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 제 1 이벤트가 공격의 지속 유지를 위해 서비스(Service)를 설치하는 이벤트일 때 제 1 이벤트의 서비스 경로(Service.Path)가 제 2 이벤트의 파일 경로와 일치하거나, 제 2 이벤트가 공격의 지속 유지를 위해 서비스를 설치하는 이벤트일 때 제 2 이벤트의 서비스 경로가 제 1 이벤트의 프로세스 실행 경로와 일치하는 경우, 제 1 이벤트와 상기 제 2 이벤트 사이에 상기 지속성 기반 상관관계가 있다고 판단할 수 있다.
예를 들어, 도 7의 ②번 이벤트와 같이 후행하는 이벤트가 공격의 지속 유지를 위해 서비스를 설치하는 이벤트일 때 서비스의 경로가 ①번 이벤트와 같이 선행하는 이벤트의 파일 경로와 일치하는 경우 서비스 설치로 보아, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 ①→②의 상관관계가 있다고 판단할 수 있다.
또한, 도 7의 
번 이벤트와 같이 선행하는 이벤트가 공격의 지속 유지를 위해 서비스를 설치하는 이벤트일 때 서비스의 경로가 ③번 이벤트와 같이 후행하는 이벤트의 프로세스 실행 경로와 일치하는 경우 서비스 실행으로 보아, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 ②→③의 상관관계가 있다고 판단할 수 있다.
한편, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 공격자가 특정 호스트에서 다른 호스트로 내부 확산을 하는 과정에서 발생하는 두 이벤트가 아래의 조건 중 하나를 만족할 때 내부 확산 기반 상관관계가 있다고 판단할 수 있다.
구체적으로, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 제 2 이벤트에서 활동하는 사용자(User.Name)가 제 1 이벤트에서 활동하는 사용자와 동일하면서 제 1 이벤트와 제 2 이벤트에 명시된 호스트(Host.IP)가 서로 다르거나, 제 1 이벤트와 제 2 이벤트가 원격 로그인 관련 이벤트이면서 제 2 이벤트의 목적지 호스트와 제 1 이벤트의 접속 호스트가 일치하거나, 제 1 이벤트와 제 2 이벤트가 원격 서비스 접속 관련 이벤트이면서 제 2 이벤트의 목적지 호스트와 제 1 이벤트의 접속 호스트가 일치하는 경우, 제 1 이벤트와 제 2 이벤트 사이에 내부 확산 기반 상관관계가 있다고 판단할 수 있다.
예를 들어, 도 8의 (a)를 참고하면, 선행하는 이벤트(①)에서 활동하는 사용자가 후행하는 이벤트(②)에서 동일한 사용자이면서, 두 이벤트에 명시된 호스트가 서로 다른 경우, 선행하는 이벤트가 발생한 호스트에서 후행하는 이벤트가 발생한 호스트로 내부 확산을 하였다고 볼 수 있으므로, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 ①→②의 상관관계가 있다고 판단할 수 있다.
또한, 도 8의 (b)를 참고하면, 선행하는 이벤트(③)와 후행하는 이벤트(④)가 원격 로그인 관련 이벤트를 의미하고, 선행하는 이벤트의 목적지 호스트와 후행하는 이벤트의 접속 호스트가 일치하는 경우, 선행하는 이벤트가 발생한 호스트에서 후행하는 이벤트가 발생한 호스트로 내부 확산을 하였다고 볼 수 있으므로, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 ③→④의 상관관계가 있다고 판단할 수 있다.
또한, 도 8의 (c)를 참고하면, 선행하는 이벤트(⑤)와 후행하는 이벤트(⑥)가 원격 서비스 접속과 관련한 이벤트를 의미하고, 선행하는 이벤트의 목적지 호스트와 후행하는 이벤트의 접속 호스트가 일치하는 경우, 선행하는 이벤트가 발생한 호스트에서 후행하는 이벤트가 발생한 호스트로 내부 확산을 하였다고 볼 수 있으므로, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 ⑤→⑥의 상관관계가 있다고 판단할 수 있다.
위의 과정을 통해 상관관계를 판단한 후, 본 발명의 일 실시예에 따른 공격 체인 구성부(150)는 판단된 상관관계에 따라 공격 체인을 구성할 수 있다.
이처럼, 본 발명의 일 실시예에 의하면, 공격의 단편적인 부분만을 탐지하는 기존의 접근 방법에 비해 흐름 관점에서 APT 공격을 공격 체인 형태로 구성하여 탐지함으로써, 사이버 공격에 대한 정확한 상황 인식이 가능할 수 있다.
한편, 상술한 일 실시예에 따른 공격 체인 기반 공격 탐지 방법에 포함된 각각의 단계는, 이러한 단계를 수행하도록 프로그램된 컴퓨터 프로그램을 기록하는 컴퓨터 판독가능한 기록매체에서 구현될 수 있다.
또한, 상술한 일 실시예에 따른 공격 체인 기반 공격 탐지 방법에 포함된 각각의 단계는, 이러한 단계를 수행하도록 프로그램된 컴퓨터 프로그램으로 구현될 수도 있다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 품질에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 균등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100: 공격 체인 기반 공격 탐지 장치
110: 이벤트 수집부
120: 단위 공격 탐지부
130: 탐지 규칙 저장부
140: 이벤트 데이터 베이스
150: 공격체인 구성부
110: 이벤트 수집부
120: 단위 공격 탐지부
130: 탐지 규칙 저장부
140: 이벤트 데이터 베이스
150: 공격체인 구성부
Claims (16)
- 네트워크 내에서 생성되는 제 1 이벤트를 수집하는 이벤트 수집부;
상기 수집된 제 1 이벤트로부터 미리 정의된 공격 기술에 매핑되는 단위 공격을 탐지하는 단위 공격 탐지부; 및
상기 탐지된 단위 공격에 의해 발생된 상기 제 1 이벤트와 과거 제 2 이벤트의 상관관계를 기초로 공격 체인을 구성하는 공격 체인 구성부를 포함하는
공격 체인 기반 공격 탐지 장치. - 제 1 항에 있어서,
상기 공격 체인 구성부는,
상기 제 1 이벤트와 상기 제 2 이벤트 사이에 프로세스 개체 기반 상관관계, 파일 개체 기반 상관관계, 네트워크 기반 상관관계, 지속성 기반 상관관계, 및 내부 확산 기반 상관관계 중 적어도 하나의 상관관계에 따라 상기 공격 체인을 구성하는
공격 체인 기반 공격 탐지 장치. - 제 2 항에 있어서,
상기 공격 체인 구성부는,
상기 제 1 이벤트와 상기 제 2 이벤트가 동일한 프로세스에 의한 활동이거나, 상기 제 2 이벤트와 관련된 프로세스가 상기 제 1 이벤트와 관련된 프로세스의 부모 프로세스인 경우, 상기 제 1 이벤트와 상기 제 2 이벤트 사이에 상기 프로세스 개체 기반 상관관계가 있다고 판단하는
공격 체인 기반 공격 탐지 장치. - 제 2 항에 있어서,
상기 공격 체인 구성부는,
상기 제 2 이벤트에 명시된 파일 경로가 상기 제 1 이벤트의 프로세스 실행 인자에 명시되는 제 1 조건, 상기 제 2 이벤트에 명시된 파일 경로가 상기 제 1 이벤트에 명시된 프로세스의 실행 경로와 일치하는 제 2 조건, 상기 제 2 이벤트에 명시된 파일 경로 또는 파일 이름이 상기 제 1 이벤트에 명시된 네트워크에서 전송되는 파일 경로 또는 파일 이름과 일치하는 제 3 조건, 및 상기 제 1 내지 3 조건을 만족하지 않으면서 상기 제 2 이벤트에 명시된 파일 경로가 상기 제 1 이벤트에 명시된 파일 경로와 일치하는 제 4 조건 중 적어도 하나를 만족하는 경우, 상기 제 1 이벤트와 상기 제 2 이벤트 사이에 상기 파일 개체 기반 상관관계가 있다고 판단하는
공격 체인 기반 공격 탐지 장치. - 제 2 항에 있어서,
상기 공격 체인 구성부는,
상기 제 2 이벤트에 명시된 출발지 및 목적지 각각이 상기 제 1 이벤트에 명시된 출발지 및 목적지와 일치하거나, 상기 제 2 이벤트에 명시된 출발지 및 목적지 각각이 상기 제 1 이벤트에 명시된 목적지 및 출발지와 일치하는 경우, 상기 제 1 이벤트와 상기 제 2 이벤트 사이에 상기 네트워크 기반 상관관계가 있다고 판단하는
공격 체인 기반 공격 탐지 장치. - 제 2 항에 있어서,
상기 공격 체인 구성부는,
상기 제 1 이벤트가 공격의 지속 유지를 위해 서비스(Service)를 설치하는 이벤트일 때 상기 제 1 이벤트의 서비스 경로(Service.Path)가 상기 제 2 이벤트의 파일 경로와 일치하거나, 상기 제 2 이벤트가 공격의 지속 유지를 위해 서비스를 설치하는 이벤트일 때 상기 제 2 이벤트의 서비스 경로가 상기 제 1 이벤트의 프로세스 실행 경로와 일치하는 경우, 상기 제 1 이벤트와 상기 제 2 이벤트 사이에 상기 지속성 기반 상관관계가 있다고 판단하는
공격 체인 기반 공격 탐지 장치. - 제 2 항에 있어서,
상기 공격 체인 구성부는,
상기 제 2 이벤트에서 활동하는 사용자(User.Name)가 상기 제 1 이벤트에서 활동하는 사용자와 동일하면서 상기 제 1 이벤트와 상기 제 2 이벤트에 명시된 호스트(Host.IP)가 서로 다르거나, 상기 제 1 이벤트와 상기 제 2 이벤트가 원격 로그인 관련 이벤트이면서 상기 제 2 이벤트의 목적지 호스트와 상기 제 1 이벤트의 접속 호스트가 일치하거나, 상기 제 1 이벤트와 상기 제 2 이벤트가 원격 서비스 접속 관련 이벤트이면서 상기 제 2 이벤트의 목적지 호스트와 상기 제 1 이벤트의 접속 호스트가 일치하는 경우, 상기 제 1 이벤트와 상기 제 2 이벤트 사이에 상기 내부 확산 기반 상관관계가 있다고 판단하는
공격 체인 기반 공격 탐지 장치. - 네트워크 내에서 생성되는 제 1 이벤트를 수집하는 단계;
상기 수집된 제 1 이벤트로부터 미리 정의된 공격 기술에 매핑되는 단위 공격을 탐지하는 단계; 및
상기 탐지된 단위 공격에 의해 발생된 상기 제 1 이벤트와 과거 제 2 이벤트의 상관관계를 기초로 공격 체인을 구성하는 단계를 포함하는
공격 체인 기반 공격 탐지 방법. - 제 8 항에 있어서,
상기 공격 체인을 구성하는 단계는,
상기 제 1 이벤트와 상기 제 2 이벤트 사이에 프로세스 개체 기반 상관관계, 파일 개체 기반 상관관계, 네트워크 기반 상관관계, 지속성 기반 상관관계, 및 내부 확산 기반 상관관계 중 적어도 하나의 상관관계를 판단하는 단계; 및
상기 판단된 상관관계에 따라 상기 공격 체인을 구성하는 단계를 포함하는
공격 체인 기반 공격 탐지 방법. - 제 9 항에 있어서,
상기 제 1 이벤트와 상기 제 2 이벤트의 상관관계를 판단하는 단계는,
상기 제 1 이벤트와 상기 제 2 이벤트가 동일한 프로세스에 의한 활동이거나, 상기 제 2 이벤트와 관련된 프로세스가 상기 제 1 이벤트와 관련된 프로세스의 부모 프로세스인 경우, 상기 제 1 이벤트와 상기 제 2 이벤트 사이에 상기 프로세스 개체 기반 상관관계가 있다고 판단하는 단계를 포함하는
공격 체인 기반 공격 탐지 방법. - 제 9 항에 있어서,
상기 제 1 이벤트와 상기 제 2 이벤트의 상관관계를 판단하는 단계는,
상기 제 2 이벤트에 명시된 파일 경로가 상기 제 1 이벤트의 프로세스 실행 인자에 명시되는 제 1 조건, 상기 제 2 이벤트에 명시된 파일 경로가 상기 제 1 이벤트에 명시된 프로세스의 실행 경로와 일치하는 제 2 조건, 상기 제 2 이벤트에 명시된 파일 경로 또는 파일 이름이 상기 제 1 이벤트에 명시된 네트워크에서 전송되는 파일 경로 또는 파일 이름과 일치하는 제 3 조건, 및 상기 제 1 내지 3 조건을 만족하지 않으면서 상기 제 2 이벤트에 명시된 파일 경로가 상기 제 1 이벤트에 명시된 파일 경로와 일치하는 제 4 조건 중 적어도 하나를 만족하는 경우, 상기 제 1 이벤트와 상기 제 2 이벤트 사이에 상기 파일 개체 기반 상관관계가 있다고 판단하는
공격 체인 기반 공격 탐지 방법. - 제 9 항에 있어서,
상기 제 1 이벤트와 상기 제 2 이벤트의 상관관계를 판단하는 단계는,
상기 제 2 이벤트에 명시된 출발지 및 목적지 각각이 상기 제 1 이벤트에 명시된 출발지 및 목적지와 일치하거나, 상기 제 2 이벤트에 명시된 출발지 및 목적지 각각이 상기 제 1 이벤트에 명시된 목적지 및 출발지와 일치하는 경우, 상기 제 1 이벤트와 상기 제 2 이벤트 사이에 상기 네트워크 기반 상관관계가 있다고 판단하는 단계를 포함하는
공격 체인 기반 공격 탐지 방법. - 제 9 항에 있어서,
상기 제 1 이벤트와 상기 제 2 이벤트의 상관관계를 판단하는 단계는,
상기 제 1 이벤트가 공격의 지속 유지를 위해 서비스(Service)를 설치하는 이벤트일 때 상기 제 1 이벤트의 서비스 경로(Service.Path)가 상기 제 2 이벤트의 파일 경로와 일치하거나, 상기 제 2 이벤트가 공격의 지속 유지를 위해 서비스를 설치하는 이벤트일 때 상기 제 2 이벤트의 서비스 경로가 상기 제 1 이벤트의 프로세스 실행 경로와 일치하는 경우, 상기 제 1 이벤트와 상기 제 2 이벤트 사이에 상기 지속성 기반 상관관계가 있다고 판단하는 단계를 포함하는
공격 체인 기반 공격 탐지 방법. - 제 9 항에 있어서,
상기 제 1 이벤트와 상기 제 2 이벤트의 상관관계를 판단하는 단계는,
상기 제 2 이벤트에서 활동하는 사용자(User.Name)가 상기 제 1 이벤트에서 활동하는 사용자와 동일하면서 상기 제 1 이벤트와 상기 제 2 이벤트에 명시된 호스트(Host.IP)가 서로 다르거나, 상기 제 1 이벤트와 상기 제 2 이벤트가 원격 로그인 관련 이벤트이면서 상기 제 2 이벤트의 목적지 호스트와 상기 제 1 이벤트의 접속 호스트가 일치하거나, 상기 제 1 이벤트와 상기 제 2 이벤트가 원격 서비스 접속 관련 이벤트이면서 상기 제 2 이벤트의 목적지 호스트와 상기 제 1 이벤트의 접속 호스트가 일치하는 경우, 상기 제 1 이벤트와 상기 제 2 이벤트 사이에 상기 내부 확산 기반 상관관계가 있다고 판단하는 단계를 포함하는
공격 체인 기반 공격 탐지 방법. - 컴퓨터 프로그램을 저장하고 있는 컴퓨터 판독 가능 기록매체로서,
상기 컴퓨터 프로그램은, 프로세서에 의해 실행되면,
네트워크 내에서 생성되는 제 1 이벤트를 수집하는 단계;
상기 수집된 제 1 이벤트로부터 미리 정의된 공격 기술에 매핑되는 단위 공격을 탐지하는 단계; 및
상기 탐지된 단위 공격에 의해 발생된 상기 제 1 이벤트와 과거 제 2 이벤트의 상관관계를 기초로 공격 체인을 구성하는 단계를 포함하는
공격 체인 기반 공격 탐지 방법을 수행하도록 하기 위한 명령어를 포함하는,
컴퓨터 판독 가능 기록매체. - 컴퓨터 판독 가능한 기록매체에 저장되어 있는 컴퓨터 프로그램으로서,
상기 컴퓨터 프로그램은, 프로세서에 의해 실행되면,
네트워크 내에서 생성되는 제 1 이벤트를 수집하는 단계;
상기 수집된 제 1 이벤트로부터 미리 정의된 공격 기술에 매핑되는 단위 공격을 탐지하는 단계; 및
상기 탐지된 단위 공격에 의해 발생된 상기 제 1 이벤트와 과거 제 2 이벤트의 상관관계를 기초로 공격 체인을 구성하는 단계를 포함하는
공격 체인 기반 공격 탐지 방법을 상기 프로세서가 수행하도록 하기 위한 명령어를 포함하는,
컴퓨터 프로그램.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220106415A KR20240028209A (ko) | 2022-08-24 | 2022-08-24 | 공격 체인 기반 공격 탐지 장치 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220106415A KR20240028209A (ko) | 2022-08-24 | 2022-08-24 | 공격 체인 기반 공격 탐지 장치 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20240028209A true KR20240028209A (ko) | 2024-03-05 |
Family
ID=90298343
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220106415A KR20240028209A (ko) | 2022-08-24 | 2022-08-24 | 공격 체인 기반 공격 탐지 장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20240028209A (ko) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102322171B1 (ko) | 2020-01-08 | 2021-11-05 | 엘아이지넥스원 주식회사 | 임무수행능력을 고려한 공격 대응방책 선정장치 및 방법 |
-
2022
- 2022-08-24 KR KR1020220106415A patent/KR20240028209A/ko not_active Application Discontinuation
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102322171B1 (ko) | 2020-01-08 | 2021-11-05 | 엘아이지넥스원 주식회사 | 임무수행능력을 고려한 공격 대응방책 선정장치 및 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10587647B1 (en) | Technique for malware detection capability comparison of network security devices | |
| US9853941B2 (en) | Security information and event management | |
| US7644365B2 (en) | Method and system for displaying network security incidents | |
| US7941854B2 (en) | Method and system for responding to a computer intrusion | |
| US20130096980A1 (en) | User-defined countermeasures | |
| US20060015715A1 (en) | Automatically protecting network service from network attack | |
| US20090241190A1 (en) | System and method for securing a network from zero-day vulnerability exploits | |
| CN114598525A (zh) | 一种针对网络攻击的ip自动封禁的方法和装置 | |
| CN112134877A (zh) | 网络威胁检测方法、装置、设备及存储介质 | |
| CN111327601B (zh) | 异常数据响应方法、系统、装置、计算机设备和存储介质 | |
| US20170134400A1 (en) | Method for detecting malicious activity on an aircraft network | |
| CN111371623B (zh) | 业务性能和安全的监测方法、装置、存储介质及电子设备 | |
| CN110535857B (zh) | 防护网络攻击的方法和装置 | |
| CN110798427A (zh) | 一种网络安全防御中的异常检测方法、装置及设备 | |
| CN114268452A (zh) | 一种网络安全防护方法及系统 | |
| JP2014123996A (ja) | ネットワーク監視装置及びプログラム | |
| US20090276852A1 (en) | Statistical worm discovery within a security information management architecture | |
| US9774628B2 (en) | Method for analyzing suspicious activity on an aircraft network | |
| CN113965355B (zh) | 一种基于soc的非法ip省内网络封堵方法及装置 | |
| CN103139056B (zh) | 一种安全网关及一种网络数据的交互方法 | |
| KR101180092B1 (ko) | 보안이벤트 분석방법 및 분석시스템, 그 기록매체 | |
| US10445746B2 (en) | Method for checking compliance of payment application in virtualized environment | |
| JP7396371B2 (ja) | 分析装置、分析方法及び分析プログラム | |
| CN109981573B (zh) | 安全事件响应方法及装置 | |
| KR20240028209A (ko) | 공격 체인 기반 공격 탐지 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E902 | Notification of reason for refusal |