WO2022149637A1 - User terminal event-associated malicious file determination method and system using same - Google Patents

User terminal event-associated malicious file determination method and system using same Download PDF

Info

Publication number
WO2022149637A1
WO2022149637A1 PCT/KR2021/000297 KR2021000297W WO2022149637A1 WO 2022149637 A1 WO2022149637 A1 WO 2022149637A1 KR 2021000297 W KR2021000297 W KR 2021000297W WO 2022149637 A1 WO2022149637 A1 WO 2022149637A1
Authority
WO
WIPO (PCT)
Prior art keywords
file
information
event
security
user terminal
Prior art date
Application number
PCT/KR2021/000297
Other languages
French (fr)
Korean (ko)
Inventor
황정규
전석기
Original Assignee
주식회사 아이티스테이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 아이티스테이션 filed Critical 주식회사 아이티스테이션
Publication of WO2022149637A1 publication Critical patent/WO2022149637A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Definitions

  • the present invention relates to a method for determining a malicious file linked to a user terminal event and a system using the same, and more particularly, to a user who collects security events that occur inside by linking various security equipment and SIEM with a user terminal, and generates the event
  • the present invention relates to a method and system for analyzing a terminal to determine a malicious file such as malware.
  • SIEM Security Information & Event Management
  • Patent Document 1 Republic of Korea Patent No. 10-1414084 (Registered on June 25, 2014)
  • the present invention has been devised to solve the above problems, and the present invention collects security events that occur inside by linking various security equipment and SIEM with a user terminal, and analyzes the user terminal that generated the event for malware.
  • An object of the present invention is to provide a method for judging user terminal event-linked malicious files that can determine , and a system using the same.
  • the method for determining a malicious file linked to a user terminal event of the present invention includes the steps of analyzing a security event of the user terminal in a monitoring server to generate security event analysis information, and the PE of the user terminal related to the security event analysis information Extracting the file event information including the event information of the file to the monitoring agent installed in the user terminal and transmitting it to the monitoring server, the PE file security event analysis information in which the security event analysis information and the event information of the PE file are integrated from the monitoring server Creating integrated security data with integrated file event information, analyzing the integrated security data to determine whether a PE file is a malicious file, and storing the integrated security data in chronological order in the monitoring server to collect past It may include creating a past integrated security data group including past integrated security data consisting of past file event information.
  • the user terminal event interlocking malicious file determination system of the present invention includes a security event information collection unit in which user terminal-related security event information is collected, and event information of a PE file of the user terminal installed in the user terminal and related to security event analysis information. It generates security event analysis information by analyzing the security event information of the monitoring agent unit that collects the file event information and the security event information collection unit. It may include a monitoring server unit for generating integrated security data in which the file event information is integrated, and a malicious file determining unit for determining whether a PE file is a malicious file by analyzing the integrated security data generated by the monitoring server unit.
  • the method for judging a malicious file linked to a user terminal event of the present invention can facilitate analysis and determination of a malicious file as it is operated in conjunction with the user terminal instead of manual analysis by a security officer. That is, the user terminal event-linked malicious file determination method of the present invention collects security events that occur inside by linking various security equipment and SIEM with the user terminal, and analyzes the user terminal that generated the event to determine the malicious file. can
  • FIG. 1 is a diagram schematically illustrating a configuration in which a user terminal event-linked malicious file determination system is connected to a user terminal through a network according to an embodiment of the present invention.
  • FIG. 2 is a diagram schematically illustrating the configuration of a user terminal event-linked malicious file determination system according to an embodiment of the present invention.
  • FIG. 3 is a flowchart illustrating a method for determining a malicious file linked to a user terminal event according to an embodiment of the present invention.
  • FIG. 4 is a flowchart illustrating some steps of the method for determining a malicious file linked to a user terminal event of FIG. 3 .
  • first, second, etc. are used to describe various elements, components, and/or sections, it should be understood that these elements, components, and/or sections are not limited by these terms. These terms are only used to distinguish one element, component, or sections from another. Accordingly, it goes without saying that the first element, the first element, or the first section mentioned below may be the second element, the second element, or the second section within the spirit of the present invention.
  • 1 is a diagram schematically illustrating a configuration in which a user terminal event-linked malicious file determination system is connected to a user terminal through a network according to an embodiment of the present invention.
  • 2 is a diagram schematically illustrating the configuration of a user terminal event-linked malicious file determination system according to an embodiment of the present invention.
  • the user terminal event interlocking malicious file determination system 100 includes a security event information collection unit 110 , a monitoring agent unit 120 , a monitoring server unit 130 and It may include a malicious file determination unit 140 .
  • the security event information collection unit 110 may collect security event information related to the user terminal. That is, the security event information collecting unit 110 may collect user terminal-related security event information through the monitoring agent unit 120 installed in the user terminal.
  • the monitoring agent unit 120 may be installed in the user terminal to collect file event information including event information of a PE file (EXE, DLL, Drive, Object, etc.) of the user terminal related to security event analysis information.
  • event information of a PE file EXE, DLL, Drive, Object, etc.
  • the monitoring server unit 130 analyzes the security event information of the security event information collecting unit 110 to generate security event analysis information, and the PE file security event analysis information in which the security event analysis information and the event information of the PE file are integrated and Integrated security data in which file event information is integrated can be created.
  • the malicious file determining unit 140 may determine whether the PE file is a malicious file by analyzing the integrated security data generated by the monitoring server unit 130 .
  • the security event information collection unit 110 includes a security information event management unit 111 that collects one or more of alarm information, correlation information, and scenario-based information, and security equipment that collects one or more of user terminal-related detection and blocking event information. It may include a unit 112 and a packet mirroring unit 113 that collects packet mirroring information between the user terminal and the Internet and the server zone.
  • the security event information collection unit 110 may extract and store an event occurrence time, an alarm name, a source IP, a source port, a destination IP, destination pot information, and a degree of risk from the contents of the alarm information.
  • the malicious file determining unit 140 may include a malicious file suspicious report generating unit 141 .
  • the malicious file suspicious report generation unit 141 may generate a malicious file suspicious report by determining whether the PE file is suspected to be a PE file if it is not a malicious file.
  • the user terminal event-linked malicious file determination system 100 may determine whether the malicious file is a malicious file in association with the user terminal.
  • 3 and 4 are flowcharts schematically illustrating a method for determining a malicious file linked to a user terminal event according to an embodiment of the present invention.
  • the user terminal event interlocking malicious file determination method (S200) includes the steps of generating security event analysis information (S210), transmitting the file event information to the monitoring server (S220), It may include the step of generating the integrated security data (S230), the step of determining whether the PE file is a malicious file (S240), and the step of generating the past integrated security data group (S250).
  • the security event of the user terminal may be analyzed by the monitoring server to generate the security event analysis information.
  • the security event analysis information generated in the step (S210) of generating the security event analysis information is, the security information event information of the user terminal generated by the security information event management (SIEM) unit 111, the security equipment unit ( 112) may include one or more of the detection and blocking event information of the user terminal and packet mirroring information between the user terminal and the Internet and the server zone.
  • SIEM security information event management
  • the monitoring server collects the security event generated from the user terminal in order to analyze the security event.
  • the monitoring server uses an interlocking method such as DB Connection or open API for the security information event information of the user terminal generated in the security information event management (SIEM) unit 111 .
  • SIEM security information event management
  • the security information event information of the user terminal may include one of single alarm information, related alarm information, and scenario-based alarm information.
  • the monitoring server may extract and store the occurrence time, alarm name, source IP, source port, destination IP, destination port information and risk from the contents of the alarm information.
  • the monitoring server collects the detection and blocking event information of the user terminal generated by the security equipment unit 112. IPS, Ddos, Web Firewall (WAF; Web) By receiving the detection/blocking event log generated by the security equipment unit 112 such as Application Fire/Wall) in syslog format, the time of occurrence, alarm name, source IP, source port, destination IP, destination port information and risk are extracted. can be saved.
  • the monitoring server collects packet mirroring information between the user terminal and the Internet and the server zone, through the equipment between the user terminal and the Internet or between the user terminal and the server zone. Packets can be collected by mirroring. At this time, it is possible to monitor the BlackIP access behavior of the user terminal and the abnormal access behavior of the server zone through the collected packets. When an access behavior is discovered, the time of occurrence, detection name, source IP, source port, destination IP, and destination port information are stored in the memory.
  • the information stored by the event analysis in the security information event management (SIEM) unit 111 and the security equipment unit 112, that is, security information event information and detection and blocking event information, is “SEDP”, an abbreviation for Security Event Data Preprocessing.
  • SEDP security information event information
  • MPAR information stored by mirroring analysis
  • UIP user terminal IP
  • the file event information including the event information of the PE file of the user terminal related to the security event analysis information is extracted and monitored by a monitoring agent installed in the user terminal.
  • the event information of the PE file may include the file name of the PE file, a hash value (SHA256), and location information stored in the monitoring server.
  • the file event information in the step of transmitting the file event information to the monitoring server (S220), may be transmitted to the monitoring server through a monitoring agent installed in the user terminal.
  • the monitoring agent stores all communication details that occur in the user terminal, then receives the command from the monitoring server to execute the command, and then monitors the abnormal connection behavior from the user terminal to the network equipment and the communication between the UIP. , it is possible to compare the finally stored communication history with the monitoring history, extract the matching information, and send it to the server.
  • the monitoring agent may store all communication details generated in the user terminal.
  • the communication details may include all communication contents with the outside attempted by the PE file.
  • the generation time, PE file name, PE file path, PE file hash, source IP, source port, destination IP, and destination port information can be stored sequentially in pairs. Since a plurality of PE files may be involved in one connection attempt, event information of a plurality of PE files may be stored in a pair.
  • the monitoring agent may receive a command from the monitoring server and perform it.
  • the command execution function of the monitoring agent can kill the process or logically block the network when it is analyzed that a malicious file such as malware exists in the UIP.
  • Communication between monitoring server and monitoring agent is allowed even if communication is blocked by logical network.
  • the permission of communication between the monitoring server and the monitoring agent is to cancel the blocking of the logical network and the blocking of the corresponding process if it is later determined to be a false positive.
  • the monitoring agent may monitor the abnormal connection behavior from the user terminal to the network equipment and the communication between the UIP.
  • the file event information may include one or more of abnormal connection event information between the user terminal and the network equipment related to the event information of the PE file, and connection event information between the user terminal and another user terminal.
  • the monitoring agent stores the occurrence time, source IP, source port, destination IP, and destination port in memory when abnormal behavior to network equipment and communication between UIP occurs. It is stored, and it is possible to extract matching information by comparing the communication history that saved all the communication details generated in the user terminal with the monitoring history, and transmit the extracted contents to the server. can be sent to the server.
  • the security event analysis information and the event information of the PE file are integrated in the monitoring server, and the integrated security data is generated in which the PE file security event analysis information and the file event information are integrated. can do.
  • the PE file security event analysis information generated in the step (S230) of generating the integrated security data is PE file security information event information in which the security information event information and the event information of the PE file are integrated, detection and blocking event information It may include at least one of PE file detection and blocking event information and packet mirroring information in which the event information of the PE file is integrated with the PE file packet mirroring information in which the event information of the PE file is integrated.
  • SEDP and MPAR are security event analysis information
  • a UIP is obtained, and communication details, source IP, and source port are obtained from the monitoring agent of the corresponding UIP.
  • the destination IP, and the destination port information it is requested to check whether there is a match, and the event information content of the PE file that matches the request content is transmitted.
  • SEDP and MPAR contents are saved together with the event information of the received PE file.
  • the event information of the PE file may consist of a file name, a hash value (SHA256), and location information on the monitoring server where the file transmitted from the monitoring agent is stored.
  • the stored information is the contents of the event information of the PE file added to SEDP and MPAR, and can be named “PE_SEDP” and “PE_MPAR”. That is, PE_SEDP may include PE file security information event information and PE file detection and blocking event information, and PE_MPAR may include PE file packet mirroring information.
  • the monitoring server integrates a total of four contents: PE_SEDP information, PE_MPAR information, communication history information related to abnormal access behavior of network equipment sent from the monitoring agent, and communication history between user terminals. It can be saved as integrated security data.
  • the information of the four integrated security data can be named “ISD”, an abbreviation of Integrated Security Data.
  • step S240 of determining whether the PE file is a malicious file it is possible to determine whether the PE file is a malicious file by analyzing the integrated security data.
  • the monitoring agent can determine the malicious file by sending the PE file stored in the ISD to the static/dynamic analyzer by the occurrence of an event.
  • the static/dynamic analyzer that functions as such a malicious file determination unit may be built in the monitoring server or may be built and operated as a separate server.
  • a dynamic analyzer used in this embodiment a Cuckoo Sandbox for dynamic analysis of malicious files based on a monitoring agent may be used.
  • the integrated security data is stored in the monitoring server in chronological order, including past integrated security data consisting of past PE file security event analysis information and past file event information. You can create a past integrated security data group.
  • the monitoring server monitors the execution of the PE file in the user terminal or the suspension of the user terminal network may instruct the monitoring agent of the user terminal.
  • the step of determining whether the PE file is a malicious file includes the step of determining a time period (S240) as shown in FIG. S241), counting past PE file security event analysis information and past file event information (S242), comparing hash values of past PE files (S243), and generating a malicious file suspicion report (S244) can
  • the monitoring server can determine the time section between the malicious file analysis start time and the past time.
  • a time period up to an arbitrary past time may be determined based on the current time for ISD analysis of a specific time band. For example, you can set a time interval in the past time 20 minutes before the current time.
  • the monitoring agent extracts only the content that matches the set time period from the integrated security data ISD, and can divide it into two pieces of information.
  • the first may be information related to the Security Information Event Management (SIEM) unit, and the second may be related to security equipment events and abnormal network access behavior. Two count statistics can be created based on the UIP of each divided content.
  • SIEM Security Information Event Management
  • the past PE file security event analysis information includes past security information event information of the user terminal generated by the security information event management (SIEM) unit, past detection and blocking event information of the user terminal generated by the security equipment unit 112 and It may include one or more of past packet mirroring information between the user terminal and the Internet and the server zone.
  • SIEM security information event management
  • the past file event information may include one or more of past abnormal access event information between the user terminal and the network equipment related to the event information of the past PE file, and past access event information between the user terminal and another user terminal.
  • the event occurring in a specific time band for each user terminal may include a SIEM event, an IPS event, a WebF/W event, a Ddos event, a BlackIP access event, an abnormal server zone access event, an abnormal network access event, and the like.
  • Table 1 below is a table showing statistics of an exemplary event occurring in a specific time band in the user terminal.
  • step (S243) of comparing the hash values of the past PE files when the number of generation of one or more of the past PE file security event analysis information and the past file event information is two or more in the time period, two or more past PEs Hash values of two or more past PE files related to file security event analysis information and/or past file event information may be compared.
  • a UIP having a count of K or more is obtained from two count statistics, and data can be extracted from the ISD under the condition that both the time interval and the UIP are satisfied.
  • K is divided into K1 and K2, and K1 is used in the first count statistics of the step (S242) of counting past PE file security event analysis information and past file event information, and the K2 value is used in the second count statistics.
  • K1 and K2 are constants of “2” or more, and values may be set differently by an administrator.
  • an event related to the security information event management (SIEM) unit which is the first item, may be set to K1, and events of the remaining items may be set to K2.
  • SIEM security information event management
  • ISD data having the same hash value equal to or greater than the Z value among the extracted contents may be extracted.
  • Z is a duplicate constant of the hash value, and it can have a value of “2” or more, and the value can be set differently by the administrator.
  • Table 2 below is an example showing the contents extracted from the Integrated Security Data (ISD), which is the integrated security data, only the part related to the Security Information Event Management (SIEM) unit in a specific time band.
  • ISD Integrated Security Data
  • SIEM Security Information Event Management
  • Table 3 below is an example of extracting only events and network abnormal behaviors occurring in the security equipment unit 112 in a specific time band from Integrated Security Data (ISD), which is integrated security data.
  • ISD Integrated Security Data
  • the sum of SIP (or checksum) in the K1 item that is, the number of collections (3 times) is greater than or equal to “2”, an integer determined by the administrator, and similarly, as in Table 3 above, in the K2 item Since the sum of SIP (or checksum), that is, the number of collections (3 times) is more than “2”, which is an integer determined by the administrator, duplicate counts of two or more PE hash values were collected in each case, and the comparison of the collected files was performed. You can classify the file as a suspicious file.
  • a malicious file suspicion report may be generated for a past PE file having the same hash value among two or more past PE files.
  • the ISD data contents may be output in the form of a suspicious file report so that the security officer can perform various analysis.
  • the user terminal event interlocking malicious file determination method ( S200 ) may determine a malicious file from security event information generated in the user terminal in conjunction with the user terminal.
  • the user terminal event-linked malicious file determination method (S200) according to the present embodiment, even if the PE file is determined not to be a malicious file, the file can be classified and managed as a suspicious file by comparing it with the previous PE file. Therefore, the risk of malicious files can be prevented.
  • the user terminal event interlocking malicious file determination method (S200) can be implemented as one module by software and hardware, and the above-described embodiments of the present invention are written as a program that can be executed on a computer. If possible, it may be implemented in a general-purpose computer that operates the program using a computer-readable recording medium.
  • the computer-readable recording medium is implemented in the form of a magnetic medium such as a ROM, a floppy disk, a hard disk, an optical medium such as a CD or DVD, and a carrier wave such as transmission through the Internet.
  • the computer-readable recording medium may be distributed in network-connected computer systems to store and execute computer-readable codes in a distributed manner.
  • the components used in the embodiment of the present invention or ' ⁇ unit' are tasks, classes, subroutines, processes, objects, execution threads, programs, such as tasks performed in a predetermined area on the memory, or FPGAs. It may be implemented in hardware such as a field-programmable gate array or an application-specific integrated circuit (ASIC), or a combination of the software and hardware.
  • the component or ' ⁇ unit' may be included in a computer-readable storage medium, or a part thereof may be distributed and distributed in a plurality of computers.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to a method for collecting internally occurring security events by associating various types of security equipment and SIEM with PCs, and analyzing a PC having occurred a corresponding event, thereby determining a malicious file, and a system using same. The present invention may comprise the steps of: generating security event analysis information by analyzing a security event of a user terminal by a monitoring server; extracting file event information including event information of a PE file of the user terminal, which is related to the security event analysis information, by a monitoring agent installed in the user terminal, and transmitting the extracted file event information to the monitoring server; generating PE file security event analysis information and integrated security data by the monitoring server; determining whether the PE file is a malicious file, by analyzing the integrated security data; and generating a past integrated security data group including past integrated security data, wherein the integrated security data is stored in chronological order in the monitoring server, and the past integrated security data thus includes past PE file security event analysis information and past file event information.

Description

사용자 단말 이벤트 연동 악성파일 판단방법 및 이를 이용한 시스템User terminal event interlocking malicious file determination method and system using the same
본 발명은 사용자 단말 이벤트 연동 악성파일 판단방법 및 이를 이용한 시스템에 관한 것으로, 더욱 상세하게는 각종 보안 장비 및 SIEM을 사용자 단말과 연계하여 내부에서 발생하는 보안 이벤트를 수집하고, 해당 이벤트를 발생시킨 사용자 단말을 분석하여 멀웨어 등의 악성파일을 판단하는 방법 및 시스템에 관한 것이다.The present invention relates to a method for determining a malicious file linked to a user terminal event and a system using the same, and more particularly, to a user who collects security events that occur inside by linking various security equipment and SIEM with a user terminal, and generates the event The present invention relates to a method and system for analyzing a terminal to determine a malicious file such as malware.
보안 장비는 내/외부망의 비정상적인 행위를 탐지/차단하여 조직 내 위협을 사전에 차단하는 역할을 한다. SIEM(Security Information & Event Management)은 각 종 보안장비의 이벤트를 수집하고 분석하여 보다 체계적이고 신속한 보안 시스템 구축할 수 있는 역할을 담당한다.Security equipment detects/blocks abnormal behavior of internal/external networks and blocks threats within the organization in advance. SIEM (Security Information & Event Management) is responsible for collecting and analyzing events of various security equipment to build a more systematic and rapid security system.
종래에는, 이러한 보안 시스템을 통해 내부 사용자 PC에 이상 징후를 감지하면, 보안 담당자가 수동으로 PC를 분석하여 위협 유무에 대한 진단을 수행해 왔다.Conventionally, when an abnormal symptom is detected in an internal user's PC through such a security system, a security officer manually analyzes the PC to diagnose the presence or absence of a threat.
하지만, 이와 같은 수동 분석은 지리적 제한에 의한 분석 시간 지연 요소와 1회성 행위에 관련한 재현 불가능 요소로 인해 많은 전문화된 인력과 시간이 필요하다는 문제가 있었다.However, such manual analysis has a problem in that it requires a lot of specialized manpower and time due to the analysis time delay factor due to geographical restrictions and the non-reproducible factor related to one-time actions.
[참고문헌][references]
(특허문헌1) 대한민국 등록특허 10-1414084호(2014.06.25 등록)(Patent Document 1) Republic of Korea Patent No. 10-1414084 (Registered on June 25, 2014)
본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로, 본 발명은 각종 보안 장비와 SIEM을 사용자 단말과 연계하여 내부에서 발생하는 보안 이벤트를 수집하고, 해당 이벤트를 발생시킨 사용자 단말을 분석하여 멀웨어를 판단할 수 있는 사용자 단말 이벤트 연동 악성파일 판단방법 및 이를 이용한 시스템을 제공하는 것을 과제로 한다.The present invention has been devised to solve the above problems, and the present invention collects security events that occur inside by linking various security equipment and SIEM with a user terminal, and analyzes the user terminal that generated the event for malware. An object of the present invention is to provide a method for judging user terminal event-linked malicious files that can determine , and a system using the same.
상기한 과제를 해결하기 위하여, 본 발명의 사용자 단말 이벤트 연동 악성파일 판단방법은 사용자 단말의 보안이벤트를 감시서버에서 분석하여 보안 이벤트 분석 정보를 생성하는 단계, 보안 이벤트 분석 정보와 관련된 사용자 단말의 PE 파일의 이벤트 정보를 포함하는 파일 이벤트 정보를 사용자 단말에 설치된 감시 에이전트로 추출하여 감시서버로 전송하는 단계, 감시서버에서 보안 이벤트 분석 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 보안 이벤트 분석 정보 및 파일 이벤트 정보가 통합된 통합보안 데이터를 생성하는 단계, 통합 보안 데이터를 분석하여 PE 파일의 악성파일 여부를 판단하는 단계 및 감시서버에 통합보안 데이터가 시간순으로 저장되어 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보로 이루어진 과거 통합보안 데이터를 포함하는 과거 통합보안 데이터그룹을 생성하는 단계를 포함할 수 있다.In order to solve the above problem, the method for determining a malicious file linked to a user terminal event of the present invention includes the steps of analyzing a security event of the user terminal in a monitoring server to generate security event analysis information, and the PE of the user terminal related to the security event analysis information Extracting the file event information including the event information of the file to the monitoring agent installed in the user terminal and transmitting it to the monitoring server, the PE file security event analysis information in which the security event analysis information and the event information of the PE file are integrated from the monitoring server Creating integrated security data with integrated file event information, analyzing the integrated security data to determine whether a PE file is a malicious file, and storing the integrated security data in chronological order in the monitoring server to collect past It may include creating a past integrated security data group including past integrated security data consisting of past file event information.
또한, 본 발명의 사용자 단말 이벤트 연동 악성파일 판단 시스템은 사용자 단말 관련 보안 이벤트 정보가 수집되는 보안이벤트 정보 수집부, 사용자 단말에 설치되어 보안 이벤트 분석 정보와 관련된 사용자 단말의 PE 파일의 이벤트 정보가 포함된 파일 이벤트 정보를 수집하는 감시 에이전트부, 보안이벤트 정보 수집부의 보안 이벤트 정보를 분석하여 보안 이벤트 분석 정보를 생성하고, 보안 이벤트 분석 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 보안 이벤트 분석 정보 및 파일 이벤트 정보가 통합된 통합 보안 데이터를 생성하는 감시 서버부, 및 감시 서버부에서 생성된 통합 보안 데이터를 분석하여 PE 파일의 악성파일 여부를 판단하는 악성파일 판단부를 포함할 수 있다.In addition, the user terminal event interlocking malicious file determination system of the present invention includes a security event information collection unit in which user terminal-related security event information is collected, and event information of a PE file of the user terminal installed in the user terminal and related to security event analysis information. It generates security event analysis information by analyzing the security event information of the monitoring agent unit that collects the file event information and the security event information collection unit. It may include a monitoring server unit for generating integrated security data in which the file event information is integrated, and a malicious file determining unit for determining whether a PE file is a malicious file by analyzing the integrated security data generated by the monitoring server unit.
본 발명의 사용자 단말 이벤트 연동 악성파일 판단방법은, 보안 담당자에 의한 수동 분석 대신에 사용자 단말과 연동되어 작동됨에 따라 악성파일 분석 및 판단을 용이하게 할 수 있다. 즉, 본 발명의 사용자 단말 이벤트 연동 악성파일 판단방법은 각종 보안 장비와 SIEM을 사용자 단말과 연계하여 내부에서 발생하는 보안 이벤트를 수집하고, 해당 이벤트를 발생시킨 사용자 단말을 분석하여 악성파일을 판단할 수 있다.The method for judging a malicious file linked to a user terminal event of the present invention can facilitate analysis and determination of a malicious file as it is operated in conjunction with the user terminal instead of manual analysis by a security officer. That is, the user terminal event-linked malicious file determination method of the present invention collects security events that occur inside by linking various security equipment and SIEM with the user terminal, and analyzes the user terminal that generated the event to determine the malicious file. can
도 1은 본 발명의 일 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 시스템이 네트워크를 통해 사용자 단말에 연결되는 구성을 개략적으로 도시한 도면이다. 1 is a diagram schematically illustrating a configuration in which a user terminal event-linked malicious file determination system is connected to a user terminal through a network according to an embodiment of the present invention.
도 2는 본 발명의 일 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 시스템의 구성을 개략적으로 도시한 도면이다.2 is a diagram schematically illustrating the configuration of a user terminal event-linked malicious file determination system according to an embodiment of the present invention.
도 3은 본 발명의 일 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 방법을 나타내는 흐름도이다.3 is a flowchart illustrating a method for determining a malicious file linked to a user terminal event according to an embodiment of the present invention.
도 4는 도 3의 사용자 단말 이벤트 연동 악성파일 판단 방법의 일부 단계를 나타내는 흐름도이다.4 is a flowchart illustrating some steps of the method for determining a malicious file linked to a user terminal event of FIG. 3 .
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Advantages and features of the present invention and methods of achieving them will become apparent with reference to the embodiments described below in detail in conjunction with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but will be implemented in a variety of different forms, only these embodiments allow the disclosure of the present invention to be complete, and common knowledge in the technical field to which the present invention belongs It is provided to fully inform the possessor of the scope of the invention, and the present invention is only defined by the scope of the claims. Like reference numerals refer to like elements throughout.
비록 제1, 제2 등이 다양한 소자, 구성요소 및/또는 섹션들을 서술하기 위해서 사용되나, 이들 소자, 구성요소 및/또는 섹션들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 소자, 구성요소 또는 섹션들을 다른 소자, 구성요소 또는 섹션들과 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 소자, 제1 구성요소 또는 제1 섹션은 본 발명의 기술적 사상 내에서 제2 소자, 제2 구성요소 또는 제2 섹션일 수도 있음은 물론이다.Although first, second, etc. are used to describe various elements, components, and/or sections, it should be understood that these elements, components, and/or sections are not limited by these terms. These terms are only used to distinguish one element, component, or sections from another. Accordingly, it goes without saying that the first element, the first element, or the first section mentioned below may be the second element, the second element, or the second section within the spirit of the present invention.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "이루어지다(made of)"는 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.The terminology used herein is for the purpose of describing the embodiments and is not intended to limit the present invention. In this specification, the singular also includes the plural, unless specifically stated otherwise in the phrase. As used herein, "comprises" and/or "made of" refers to a referenced component, step, operation and/or element of one or more other components, steps, operations and/or elements. The presence or addition is not excluded.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.Unless otherwise defined, all terms (including technical and scientific terms) used herein may be used with the meaning commonly understood by those of ordinary skill in the art to which the present invention belongs. In addition, terms defined in a commonly used dictionary are not to be interpreted ideally or excessively unless clearly defined in particular.
이때, 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭하며, 처리 흐름도 도면들의 각 구성과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 구성(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다.In this case, the same reference numerals refer to the same components throughout the specification, and it will be understood that each configuration of the process flowchart drawings and combinations of the flowchart drawings may be performed by computer program instructions. These computer program instructions may be embodied in a processor of a general purpose computer, special purpose computer, or other programmable data processing equipment, such that the instructions performed by the processor of the computer or other programmable data processing equipment are not described in the flowchart configuration(s). It creates a means to perform functions.
또한, 몇 가지 대체 실시예들에서는 구성들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 구성들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 구성들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.It should also be noted that in some alternative embodiments it is also possible for the functions recited in the configurations to occur out of order. For example, it is possible that two configurations shown one after another may in fact be performed substantially simultaneously, or that the configurations may sometimes be performed in the reverse order according to the corresponding function.
이하, 본 발명에 대하여 첨부된 도면에 따라 보다 상세히 설명한다.Hereinafter, the present invention will be described in more detail with reference to the accompanying drawings.
도 1은 본 발명의 일 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 시스템이 네트워크를 통해 사용자 단말에 연결되는 구성을 개략적으로 도시한 도면이다. 그리고, 도 2는 본 발명의 일 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 시스템의 구성을 개략적으로 도시한 도면이다.1 is a diagram schematically illustrating a configuration in which a user terminal event-linked malicious file determination system is connected to a user terminal through a network according to an embodiment of the present invention. 2 is a diagram schematically illustrating the configuration of a user terminal event-linked malicious file determination system according to an embodiment of the present invention.
도 1 및 도 2를 참조하면, 본 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 시스템(100)은, 보안 이벤트 정보 수집부(110), 감시 에이전트부(120), 감시 서버부(130) 및 악성 파일 판단부(140)를 포함할 수 있다.1 and 2 , the user terminal event interlocking malicious file determination system 100 according to the present embodiment includes a security event information collection unit 110 , a monitoring agent unit 120 , a monitoring server unit 130 and It may include a malicious file determination unit 140 .
보안 이벤트 정보 수집부(110)는 사용자 단말과 관련된 보안 이벤트 정보를 수집할 수 있다. 즉, 보안 이벤트 정보 수집부(110)에는 사용자 단말에 설치된 감시 에이전트부(120)를 통해 사용자 단말 관련 보안 이벤트 정보가 수집될 수 있다.The security event information collection unit 110 may collect security event information related to the user terminal. That is, the security event information collecting unit 110 may collect user terminal-related security event information through the monitoring agent unit 120 installed in the user terminal.
감시 에이전트부(120)는 사용자 단말에 설치되어 보안 이벤트 분석 정보와 관련된 사용자 단말의 PE 파일(EXE, DLL, Drive, Object 등)의 이벤트 정보가 포함된 파일 이벤트 정보를 수집할 수 있다.The monitoring agent unit 120 may be installed in the user terminal to collect file event information including event information of a PE file (EXE, DLL, Drive, Object, etc.) of the user terminal related to security event analysis information.
감시 서버부(130)는 보안 이벤트 정보 수집부(110)의 보안 이벤트 정보를 분석하여 보안 이벤트 분석 정보를 생성하고, 보안 이벤트 분석 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 보안 이벤트 분석 정보 및 파일 이벤트 정보가 통합된 통합보안 데이터를 생성할 수 있다.The monitoring server unit 130 analyzes the security event information of the security event information collecting unit 110 to generate security event analysis information, and the PE file security event analysis information in which the security event analysis information and the event information of the PE file are integrated and Integrated security data in which file event information is integrated can be created.
악성 파일 판단부(140)는 감시 서버부(130)에서 생성된 통합보안 데이터를 분석하여 PE 파일의 악성파일 여부를 판단할 수 있다.The malicious file determining unit 140 may determine whether the PE file is a malicious file by analyzing the integrated security data generated by the monitoring server unit 130 .
여기서, 보안 이벤트 정보 수집부(110)는 경보정보, 연관성 정보 및 시나리오 기반 정보 중 하나 이상을 수집하는 보안정보 이벤트 관리부(111), 사용자 단말 관련 탐지 및 차단 이벤트 정보 중 하나 이상을 수집하는 보안장비부(112) 및 사용자 단말과 인터넷 및 서버존 사이의 패킷 미러링 정보를 수집하는 패킷 미러링부(113)를 포함할 수 있다.Here, the security event information collection unit 110 includes a security information event management unit 111 that collects one or more of alarm information, correlation information, and scenario-based information, and security equipment that collects one or more of user terminal-related detection and blocking event information. It may include a unit 112 and a packet mirroring unit 113 that collects packet mirroring information between the user terminal and the Internet and the server zone.
그리고, 보안 이벤트 정보 수집부(110)는 경보정보의 내용 중에서 이벤트의 발생 시간, 경보명, 출발지 IP, 출발지 Port, 목적지 IP, 목적지 Pot 정보 및 위험도를 추출하여 저장할 수 있다.In addition, the security event information collection unit 110 may extract and store an event occurrence time, an alarm name, a source IP, a source port, a destination IP, destination pot information, and a degree of risk from the contents of the alarm information.
악성 파일 판단부(140)는 악성파일 의심 보고서 생성부(141)를 포함할 수 있다.The malicious file determining unit 140 may include a malicious file suspicious report generating unit 141 .
이러한 악성파일 의심 보고서 생성부(141)는 PE 파일이 악성파일이 아닌 경우 PE 파일로 의심되는지 여부를 판단하여 악성파일 의심보고서를 생성할 수 있다.The malicious file suspicious report generation unit 141 may generate a malicious file suspicious report by determining whether the PE file is suspected to be a PE file if it is not a malicious file.
결국, 본 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 시스템(100)은 사용자 단말과 연계하여 악성파일 여부를 판단할 수 있다.As a result, the user terminal event-linked malicious file determination system 100 according to the present embodiment may determine whether the malicious file is a malicious file in association with the user terminal.
도 3 및 도 4는 본 발명의 일 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 방법을 개략적으로 나타낸 흐름도이다.3 and 4 are flowcharts schematically illustrating a method for determining a malicious file linked to a user terminal event according to an embodiment of the present invention.
도 3을 참고하면, 본 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단방법(S200)은, 보안 이벤트 분석 정보를 생성하는 단계(S210), 파일 이벤트 정보를 감시서버로 전송하는 단계(S220), 통합보안 데이터를 생성하는 단계(S230), PE 파일의 악성파일 여부를 판단하는 단계(S240) 및 과거 통합보안 데이터그룹을 생성하는 단계(S250)를 포함할 수 있다.Referring to Figure 3, the user terminal event interlocking malicious file determination method (S200) according to the present embodiment includes the steps of generating security event analysis information (S210), transmitting the file event information to the monitoring server (S220), It may include the step of generating the integrated security data (S230), the step of determining whether the PE file is a malicious file (S240), and the step of generating the past integrated security data group (S250).
본 실시예에 따른 보안 이벤트 분석 정보를 생성하는 단계(S210)에서는 사용자 단말의 보안이벤트를 감시서버에서 분석하여 보안 이벤트 분석 정보를 생성할 수 있다.In the step of generating the security event analysis information according to the present embodiment (S210), the security event of the user terminal may be analyzed by the monitoring server to generate the security event analysis information.
실시예에서, 보안 이벤트 분석 정보를 생성하는 단계(S210)에서 생성되는 보안 이벤트 분석 정보는, 보안정보이벤트 관리(SIEM)부(111)에서 생성된 사용자 단말의 보안정보이벤트 정보, 보안장비부(112)에서 생성된 사용자 단말의 탐지 및 차단 이벤트 정보 및 사용자 단말과 인터넷 및 서버존 사이의 패킷 미러링 정보 중 하나 이상을 포함할 수 있다.In an embodiment, the security event analysis information generated in the step (S210) of generating the security event analysis information is, the security information event information of the user terminal generated by the security information event management (SIEM) unit 111, the security equipment unit ( 112) may include one or more of the detection and blocking event information of the user terminal and packet mirroring information between the user terminal and the Internet and the server zone.
즉, 보안 이벤트 분석 정보를 생성하는 단계(S210)에서 감시서버는 보안이벤트를 분석하기 위해서 사용자 단말에서 발생되는 보안이벤트를 수집하게 된다.That is, in the step (S210) of generating the security event analysis information, the monitoring server collects the security event generated from the user terminal in order to analyze the security event.
먼저, 보안 이벤트 분석 정보를 생성하는 단계(S210)에서 감시서버는 보안정보 이벤트 관리(SIEM)부(111)에서 발생되는 사용자 단말의 보안정보이벤트 정보를 DB Connection 또는 오픈 API 등의 연동 방식을 이용하여 서버와 연동함으로써 보안정보이벤트 정보를 수집할 수 있다.First, in the step (S210) of generating security event analysis information, the monitoring server uses an interlocking method such as DB Connection or open API for the security information event information of the user terminal generated in the security information event management (SIEM) unit 111 . By interworking with the server, security information event information can be collected.
이때, 사용자 단말의 보안정보이벤트 정보는 단일 경보정보, 연관성 경보정보 및 시나리오 기반 경보정보 중 하나를 포함할 수 있다. 그리고, 감시서버는 이들 경보정보의 내용 중에서 발생 시간, 경보명, 출발지 IP, 출발지 Port, 목적지 IP, 목적지 Port 정보 및 위험도를 추출하여 저장할 수 있다. In this case, the security information event information of the user terminal may include one of single alarm information, related alarm information, and scenario-based alarm information. And, the monitoring server may extract and store the occurrence time, alarm name, source IP, source port, destination IP, destination port information and risk from the contents of the alarm information.
또한, 보안 이벤트 분석 정보를 생성하는 단계(S210)에서 감시서버는 보안장비부(112)에서 생성된 상기 사용자 단말의 탐지 및 차단 이벤트 정보를 수집하게 되는데, IPS, Ddos, 웹방화벽(WAF; Web Application Fire/Wall) 등의 보안장비부(112)에서 발생되는 탐지/차단 이벤트 로그를 syslog 형태로 전송받아 발생 시간, 경보명, 출발지 IP, 출발지 Port, 목적지 IP, 목적지 Port 정보 및 위험도를 추출하여 저장할 수 있다.In addition, in the step (S210) of generating the security event analysis information, the monitoring server collects the detection and blocking event information of the user terminal generated by the security equipment unit 112. IPS, Ddos, Web Firewall (WAF; Web) By receiving the detection/blocking event log generated by the security equipment unit 112 such as Application Fire/Wall) in syslog format, the time of occurrence, alarm name, source IP, source port, destination IP, destination port information and risk are extracted. can be saved
그리고, 보안 이벤트 분석 정보를 생성하는 단계(S210)에서 감시서버는 사용자 단말과 인터넷 및 서버존 사이의 패킷 미러링 정보를 수집하게 되는데, 사용자 단말과 인터넷 사이 또는 사용자 단말과 서버존 사이의 장비를 통한 미러링으로 패킷을 수집할 수 있다. 이때, 수집된 패킷을 통해 사용자 단말의 BlackIP 접속 행위, 서버존의 비정상적인 접속 행위를 감시할 수 있다. 접속 행위 발견 시 발생 시간, 탐지명, 출발지 IP, 출발지 Port, 목적지 IP, 목적지 Port 정보를 메모리에 저장한다. And, in the step (S210) of generating the security event analysis information, the monitoring server collects packet mirroring information between the user terminal and the Internet and the server zone, through the equipment between the user terminal and the Internet or between the user terminal and the server zone. Packets can be collected by mirroring. At this time, it is possible to monitor the BlackIP access behavior of the user terminal and the abnormal access behavior of the server zone through the collected packets. When an access behavior is discovered, the time of occurrence, detection name, source IP, source port, destination IP, and destination port information are stored in the memory.
여기서, 보안정보이벤트 관리(SIEM)부(111)와 보안장비부(112)에서의 이벤트 분석에 의해 저장된 정보, 즉 보안정보 이벤트 정보와 탐지 및 차단 이벤트 정보를 Security Event Data Preprocessing의 약자 “SEDP”로 명명하고, 미러링 분석에 의해 저장된 정보를 Mirror Packet Analysis Result의 약자 “MPAR”로 명명하며, 사용자 단말 IP를 UserIP의 약자 “UIP”로 명명할 수 있다.Here, the information stored by the event analysis in the security information event management (SIEM) unit 111 and the security equipment unit 112, that is, security information event information and detection and blocking event information, is “SEDP”, an abbreviation for Security Event Data Preprocessing. , and the information stored by mirroring analysis is named “MPAR”, an abbreviation of Mirror Packet Analysis Result, and the user terminal IP can be named “UIP”, an abbreviation of UserIP.
본 실시예에 따른 파일 이벤트 정보를 감시서버로 전송하는 단계(S220)에서는 보안 이벤트 분석 정보와 관련된 사용자 단말의 PE 파일의 이벤트 정보를 포함하는 파일 이벤트 정보를 사용자 단말에 설치된 감시 에이전트로 추출하여 감시서버로 전송할 수 있다. 여기서, PE 파일의 이벤트 정보는 PE 파일의 파일명, Hash값(SHA256) 및 감시서버에 저장된 위치 정보를 포함할 수 있다.In the step of transmitting the file event information to the monitoring server according to the present embodiment (S220), the file event information including the event information of the PE file of the user terminal related to the security event analysis information is extracted and monitored by a monitoring agent installed in the user terminal. can be sent to the server. Here, the event information of the PE file may include the file name of the PE file, a hash value (SHA256), and location information stored in the monitoring server.
실시예에서, 파일 이벤트 정보를 감시서버로 전송하는 단계(S220)에서 사용자 단말에 설치된 감시 에이전트를 통해 파일 이벤트 정보를 감시서버로 전송할 수 있다.In an embodiment, in the step of transmitting the file event information to the monitoring server (S220), the file event information may be transmitted to the monitoring server through a monitoring agent installed in the user terminal.
이때, 파일 이벤트 정보를 감시서버로 전송하는 단계(S220)에서는 감시 에이전트에 의해 다음의 기능들이 수행될 수 있다. 먼저, 사용자 단말에서 발생되는 모든 통신 내역을 저장하고, 다음으로 감시서버의 명령을 전달받아 명령을 수행하며, 그후 사용자 단말에서 네트워크 장비로의 비정상적인 접속 행위와 UIP 사이에서의 통신을 감시할 수 있으며, 최종적으로 저장된 통신 내역과 감시 내역을 비교하고 일치하는 정보를 추출하여 서버에 전송할 수 있다.At this time, in the step of transmitting the file event information to the monitoring server (S220), the following functions may be performed by the monitoring agent. First, it stores all communication details that occur in the user terminal, then receives the command from the monitoring server to execute the command, and then monitors the abnormal connection behavior from the user terminal to the network equipment and the communication between the UIP. , it is possible to compare the finally stored communication history with the monitoring history, extract the matching information, and send it to the server.
구체적으로, 파일 이벤트 정보를 감시서버로 전송하는 단계(S220)에서, 감시 에이전트는 사용자 단말에서 발생되는 모든 통신 내역을 저장할 수 있다. 이때, 통신 내역은 PE 파일에 의해 시도되는 외부와의 모든 통신 내용을 포함할 수 있다. PE 파일이 연결을 시도할 때마다 발생 시간, PE 파일명, PE 파일 경로, PE 파일 Hash, 출발지 IP, 출발지 Port, 목적지 IP, 목적지 Port 정보를 각 쌍으로 순차적으로 저장할 수 있다. 하나의 연결 시도에 복수의 PE 파일이 관여될 수 있으므로, 한 쌍에 여러 개의 PE 파일의 이벤트 정보가 저장될 수 있다.Specifically, in the step of transmitting the file event information to the monitoring server (S220), the monitoring agent may store all communication details generated in the user terminal. In this case, the communication details may include all communication contents with the outside attempted by the PE file. Each time a PE file attempts to connect, the generation time, PE file name, PE file path, PE file hash, source IP, source port, destination IP, and destination port information can be stored sequentially in pairs. Since a plurality of PE files may be involved in one connection attempt, event information of a plurality of PE files may be stored in a pair.
또한, 파일 이벤트 정보를 감시서버로 전송하는 단계(S220)에서 감시 에이전트는 감시서버의 명령을 전달받아 이를 수행할 수 있다. 이때, 감시 에이전트의 명령 수행 기능은 UIP에서 멀웨어와 같은 악성파일이 존재한다는 분석이 나올 경우 해당 프로세스를 죽이거나 네트워크를 논리적으로 차단할 수 있다. 논리적 네트워크로 통신이 차단되더라도 감시서버와 감시 에이전트 간 통신은 허용된다. 여기서, 감시서버와 감시 에이전트 간 통신의 허용은 추후 오탐으로 판단될 경우 논리적 네트워크 차단과 해당 프로세스 차단을 해제하기 위한 것이다.In addition, in the step of transmitting the file event information to the monitoring server (S220), the monitoring agent may receive a command from the monitoring server and perform it. At this time, the command execution function of the monitoring agent can kill the process or logically block the network when it is analyzed that a malicious file such as malware exists in the UIP. Communication between monitoring server and monitoring agent is allowed even if communication is blocked by logical network. Here, the permission of communication between the monitoring server and the monitoring agent is to cancel the blocking of the logical network and the blocking of the corresponding process if it is later determined to be a false positive.
그리고, 파일 이벤트 정보를 감시서버로 전송하는 단계(S220)에서 감시 에이전트는 사용자 단말에서 네트워크 장비로의 비정상적인 접속 행위와 UIP 사이에서의 통신을 감시할 수 있다. 여기서, 파일 이벤트 정보는 PE 파일의 이벤트 정보와 관련된 사용자 단말과 네트워크 장비와의 비정상 접속 이벤트 정보 및 사용자 단말과 다른 사용자 단말의 접속 이벤트 정보 중 하나 이상을 포함할 수 있다.And, in the step of transmitting the file event information to the monitoring server (S220), the monitoring agent may monitor the abnormal connection behavior from the user terminal to the network equipment and the communication between the UIP. Here, the file event information may include one or more of abnormal connection event information between the user terminal and the network equipment related to the event information of the PE file, and connection event information between the user terminal and another user terminal.
이때, 파일 이벤트 정보를 감시서버로 전송하는 단계(S220)에서 감시 에이전트는, 네트워크 장비에 대한 비정상 행위와 UIP간 통신 발생 시 발생 시간, 출발지 IP, 출발지 Port, 목적지 IP, 및 목적지 Port를 메모리에 저장하게 되며, 앞서 사용자 단말에서 발생되는 모든 통신 내역을 저장한 통신 내역과, 감시 내역을 비교하여 일치하는 정보를 추출하고, 추출된 내용을 서버에 전송할 수 있으며, 전송시 이와 관련된 PE 파일들을 함께 서버로 전송할 수 있다.At this time, in the step of transmitting the file event information to the monitoring server (S220), the monitoring agent stores the occurrence time, source IP, source port, destination IP, and destination port in memory when abnormal behavior to network equipment and communication between UIP occurs. It is stored, and it is possible to extract matching information by comparing the communication history that saved all the communication details generated in the user terminal with the monitoring history, and transmit the extracted contents to the server. can be sent to the server.
본 실시예에 따른 통합보안 데이터를 생성하는 단계(S230)에서는 감시서버에서 보안 이벤트 분석 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 보안 이벤트 분석 정보 및 파일 이벤트 정보가 통합된 통합보안 데이터를 생성할 수 있다.In the step of generating the integrated security data according to the present embodiment (S230), the security event analysis information and the event information of the PE file are integrated in the monitoring server, and the integrated security data is generated in which the PE file security event analysis information and the file event information are integrated. can do.
실시예에서, 통합보안 데이터를 생성하는 단계(S230)에서 생성되는 PE 파일 보안 이벤트 분석 정보는, 보안정보이벤트 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 보안정보이벤트 정보, 탐지 및 차단 이벤트 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 탐지 및 차단 이벤트 정보 및 패킷 미러링 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 패킷 미러링 정보 중 하나 이상을 포함할 수 있다.In an embodiment, the PE file security event analysis information generated in the step (S230) of generating the integrated security data is PE file security information event information in which the security information event information and the event information of the PE file are integrated, detection and blocking event information It may include at least one of PE file detection and blocking event information and packet mirroring information in which the event information of the PE file is integrated with the PE file packet mirroring information in which the event information of the PE file is integrated.
여기서, 통합보안 데이터를 생성하는 단계(S230)에서, 감시서버에서 보안 이벤트 분석 정보인 SEDP와 MPAR에 새로운 내용이 추가될 때 마다 UIP를 구하고 해당 UIP의 감시 에이전트에 통신 내역과 출발지 IP, 출발지 Port, 목적지 IP, 목적지 Port 정보와 일치하는 내용이 있는지를 확인 요청하고, 요청 내용과 매칭된 PE 파일의 이벤트 정보 내용을 전송받는다. SEDP과 MPAR 내용은 전송받은 PE 파일의 이벤트 정보와 통합하여 저장된다. PE 파일의 이벤트 정보는 파일명, Hash값(SHA256), 감시 에이전트에서 전송된 파일을 저장한 감시 서버에서의 위치 정보로 구성될 수 있다. 저장된 정보는 SEDP와 MPAR에 PE 파일의 이벤트 정보가 추가된 내용으로 “PE_SEDP”와 “PE_MPAR”로 명명될 수 있다. 즉, PE_SEDP는 PE 파일 보안 정보 이벤트 정보 및 PE 파일 탐지 및 차단 이벤트 정보를 포함하여 이루어지고, PE_MPAR는 PE 파일 패킷 미러링 정보를 포함할 수 있다.Here, in the step of generating the integrated security data (S230), whenever new content is added to SEDP and MPAR, which are security event analysis information, from the monitoring server, a UIP is obtained, and communication details, source IP, and source port are obtained from the monitoring agent of the corresponding UIP. , the destination IP, and the destination port information, it is requested to check whether there is a match, and the event information content of the PE file that matches the request content is transmitted. SEDP and MPAR contents are saved together with the event information of the received PE file. The event information of the PE file may consist of a file name, a hash value (SHA256), and location information on the monitoring server where the file transmitted from the monitoring agent is stored. The stored information is the contents of the event information of the PE file added to SEDP and MPAR, and can be named “PE_SEDP” and “PE_MPAR”. That is, PE_SEDP may include PE file security information event information and PE file detection and blocking event information, and PE_MPAR may include PE file packet mirroring information.
이처럼, 통합보안 데이터를 생성하는 단계(S230)에서 감시서버는 PE_SEDP 정보, PE_MPAR 정보와, 감시 에이전트에서 보내온 네트워크 장비의 비정상 접속 행위 관련 통신 내역 정보 및 사용자 단말간 통신 내역 등 총 4가지 내용을 통합하여 통합보안 데이터로 저장할 수 있다. 이때, 4가지로 통합된 통합보안 데이터의 정보를 Integrated Security Data의 약자 “ISD”로 명명할 수 있다.In this way, in the step of generating the integrated security data (S230), the monitoring server integrates a total of four contents: PE_SEDP information, PE_MPAR information, communication history information related to abnormal access behavior of network equipment sent from the monitoring agent, and communication history between user terminals. It can be saved as integrated security data. At this time, the information of the four integrated security data can be named “ISD”, an abbreviation of Integrated Security Data.
본 실시예에 따른 PE 파일의 악성파일 여부를 판단하는 단계(S240)에서는 통합 보안 데이터를 분석하여 PE 파일의 악성파일 여부를 판단할 수 있다. 이때, PE 파일의 악성파일 여부를 판단하는 단계(S240)에서 감시 에이전트는 이벤트 발생에 의해 ISD에 저장되는 PE 파일을 정적/동적 분석기로 보내어 악성파일을 판별할 수 있다. 이와 같은 악성파일 판단부의 기능을 하는 정적/동적 분석기는 감시서버 안에 구축될 수 있고, 별도 서버로 구축되어 운영될 수도 있다. 예컨대, 본 실시예에서 사용되는 동적 분석기로는 감시 에이전트를 기반으로 하여 악성파일의 동적 분석을 위한 쿠쿠 샌드박스(Cuckoo Sandbox)를 사용할 수 있다.In step S240 of determining whether the PE file is a malicious file according to the present embodiment, it is possible to determine whether the PE file is a malicious file by analyzing the integrated security data. At this time, in step S240 of determining whether the PE file is a malicious file, the monitoring agent can determine the malicious file by sending the PE file stored in the ISD to the static/dynamic analyzer by the occurrence of an event. The static/dynamic analyzer that functions as such a malicious file determination unit may be built in the monitoring server or may be built and operated as a separate server. For example, as a dynamic analyzer used in this embodiment, a Cuckoo Sandbox for dynamic analysis of malicious files based on a monitoring agent may be used.
본 실시예에 따른 과거 통합보안 데이터그룹을 생성하는 단계(S250)에서는 감시서버에 통합보안 데이터가 시간순으로 저장되어 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보로 이루어진 과거 통합보안 데이터를 포함하는 과거 통합보안 데이터그룹을 생성할 수 있다. In the step of creating the past integrated security data group according to this embodiment (S250), the integrated security data is stored in the monitoring server in chronological order, including past integrated security data consisting of past PE file security event analysis information and past file event information. You can create a past integrated security data group.
한편, 본 실시예에 따르면, PE 파일의 악성파일 여부를 판단하는 단계(S240)에서, PE 파일이 악성파일로 판단되는 경우, 사용자 단말에 PE 파일의 실행 중지 또는 사용자 단말 네트워크의 중지를 감시서버에서 사용자 단말의 감시 에이전트에 지시할 수 있다.On the other hand, according to the present embodiment, in the step (S240) of determining whether the PE file is a malicious file, if the PE file is determined to be a malicious file, the monitoring server monitors the execution of the PE file in the user terminal or the suspension of the user terminal network may instruct the monitoring agent of the user terminal.
이와 달리, PE 파일이 악성파일이 아닌 것으로 판단될 경우, 본 실시예에 따르면 PE 파일의 악성파일 여부를 판단하는 단계(S240)는, 도 4에 도시된 바와 같이, 타임구간을 결정하는 단계(S241), 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보를 세는 단계(S242), 과거 PE 파일의 Hash 값을 비교하는 단계(S243) 및 악성파일 의심 보고서를 생성하는 단계(S244)를 포함할 수 있다.On the other hand, when it is determined that the PE file is not a malicious file, the step of determining whether the PE file is a malicious file (S240) according to the present embodiment includes the step of determining a time period (S240) as shown in FIG. S241), counting past PE file security event analysis information and past file event information (S242), comparing hash values of past PE files (S243), and generating a malicious file suspicion report (S244) can
본 실시예에 따른 타임구간을 결정하는 단계(S241)에서는 감시서버에서 악성파일 분석 시작시간에서 과거 시간 사이의 타임구간을 결정할 수 있다. 이때, 타임구간을 결정하는 단계(S241)에서 특정 시간 대역의 ISD 분석을 위해 현재 시간을 기준으로 임의 과거 시간까지의 타임 구간을 정할 수 있다. 예를 들어 현재 시간을 기준으로 20분 전까지 과거 시간의 타임 구간을 설정할 수 있다.In the step of determining the time section according to the present embodiment (S241), the monitoring server can determine the time section between the malicious file analysis start time and the past time. In this case, in the step of determining the time period ( S241 ), a time period up to an arbitrary past time may be determined based on the current time for ISD analysis of a specific time band. For example, you can set a time interval in the past time 20 minutes before the current time.
본 실시예에 따른 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보를 세는 단계(S242)에서는 과거 통합보안 데이터그룹에서 타임구간에 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보 중 하나 이상이 몇 개가 생성되었는지를 셀 수 있다. 이때, 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보를 세는 단계(S242)에서, 감시 에이전트는 통합보안 데이터인 ISD로부터 설정된 타임 구간과 일치하는 내용만을 추출하고, 이를 두가지 정보로 구분할 수 있다. 첫번째는 보안정보이벤트 관리(SIEM)부와 관련된 정보이고, 두번째는 보안장비 이벤트와 네트워크 비정상 접속 행위 관련 내용이 될 수 있다. 두가지로 구분된 내용을 각각 UIP를 기준으로 두개의 카운트 통계를 작성할 수 있다.In the step (S242) of counting past PE file security event analysis information and past file event information according to this embodiment, at least one of past PE file security event analysis information and past file event information in a time interval in the past integrated security data group You can count whether a dog has been created. At this time, in the step (S242) of counting the past PE file security event analysis information and the past file event information, the monitoring agent extracts only the content that matches the set time period from the integrated security data ISD, and can divide it into two pieces of information. The first may be information related to the Security Information Event Management (SIEM) unit, and the second may be related to security equipment events and abnormal network access behavior. Two count statistics can be created based on the UIP of each divided content.
여기서, 과거 PE 파일 보안 이벤트 분석 정보는, 보안정보이벤트 관리(SIEM)부에서 생성된 사용자 단말의 과거 보안정보이벤트 정보, 보안장비부(112)에서 생성된 사용자 단말의 과거 탐지 및 차단 이벤트 정보와 사용자 단말과 인터넷 및 서버존 사이의 과거 패킷 미러링 정보 중 하나 이상을 포함할 수 있다.Here, the past PE file security event analysis information includes past security information event information of the user terminal generated by the security information event management (SIEM) unit, past detection and blocking event information of the user terminal generated by the security equipment unit 112 and It may include one or more of past packet mirroring information between the user terminal and the Internet and the server zone.
이때, 과거 파일 이벤트 정보는, 과거 PE 파일의 이벤트 정보와 관련된 사용자 단말과 네트워크 장비와의 과거 비정상 접속 이벤트 정보 및 사용자 단말과 다른 사용자 단말의 과거 접속 이벤트 정보 중 하나 이상을 포함할 수 있다.In this case, the past file event information may include one or more of past abnormal access event information between the user terminal and the network equipment related to the event information of the past PE file, and past access event information between the user terminal and another user terminal.
예를 들어, 사용자 단말별 특정 시간 대역에 발생하는 이벤트는 SIEM 이벤트, IPS 이벤트, WebF/W 이벤트, Ddos 이벤트, BlackIP 접속 이벤트, 서버존 비정상 접속 이벤트, 네트워크 비정상 접속 이벤트 등을 포함할 수 있다.For example, the event occurring in a specific time band for each user terminal may include a SIEM event, an IPS event, a WebF/W event, a Ddos event, a BlackIP access event, an abnormal server zone access event, an abnormal network access event, and the like.
아래의 표 1은 사용자 단말에서 특정 시간 대역에 발생한 일 예시적인 이벤트의 통계를 나타낸 표이다.Table 1 below is a table showing statistics of an exemplary event occurring in a specific time band in the user terminal.
번호number 탐지 항목detection items 카운트count
1One SIEM 이벤트SIEM Events 22
22 IPS 이벤트IPS event 1One
33 Web F/W 이벤트Web F/W event 00
44 DDos 이벤트DDoS events 00
55 BlackIP 접속 이벤트BlackIP connection event 22
66 서버존 비정상 접속 이벤트Server zone abnormal connection event 00
77 네트워크 비정상 접속 이벤트Network abnormal connection event 1One
본 실시예에 따른 과거 PE 파일의 Hash 값을 비교하는 단계(S243)에서는 타임구간에서 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보 중 하나 이상의 생성 개수가 2개 이상일 경우, 2개 이상의 과거 PE 파일 보안 이벤트 분석 정보 및/또는 과거 파일 이벤트 정보에 관련된 2개 이상의 과거 PE 파일의 Hash 값을 비교할 수 있다. 이때, 과거 PE 파일의 Hash 값을 비교하는 단계(S243)에서, 두개의 카운트 통계에서 카운트가 K이상인 UIP를 구하고 ISD에서 타임 구간과 UIP 두가지를 만족하는 조건으로 데이터를 추출할 수 있다. K는 K1과 K2로 나누어 지며 K1은 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보를 세는 단계(S242)의 첫번째 카운트 통계에서 사용하고, K2값은 두번째 카운트 통계에서 사용한다. 또한, K1 및 K2는 “2” 이상의 상수이며 관리자에 의해 값이 상이하게 설정될 수 있다.In the step (S243) of comparing the hash values of the past PE files according to the present embodiment, when the number of generation of one or more of the past PE file security event analysis information and the past file event information is two or more in the time period, two or more past PEs Hash values of two or more past PE files related to file security event analysis information and/or past file event information may be compared. At this time, in the step of comparing the hash values of the past PE files (S243), a UIP having a count of K or more is obtained from two count statistics, and data can be extracted from the ISD under the condition that both the time interval and the UIP are satisfied. K is divided into K1 and K2, and K1 is used in the first count statistics of the step (S242) of counting past PE file security event analysis information and past file event information, and the K2 value is used in the second count statistics. Also, K1 and K2 are constants of “2” or more, and values may be set differently by an administrator.
상기 표 1에서, 첫번째 항목인 보안정보이벤트 관리(SIEM)부와 관련된 이벤트가 K1으로 설정될 수 있고, 나머지 항목의 이벤트들이 K2로 설정될 수 있다.In Table 1, an event related to the security information event management (SIEM) unit, which is the first item, may be set to K1, and events of the remaining items may be set to K2.
그리고, 과거 PE 파일의 Hash 값을 비교하는 단계(S243)에서, 추출한 내용 중 Z값 이상의 동일한 Hash값을 갖는 ISD 데이터를 추출할 수 있다. Z는 Hash값의 중복 상수이며, “2” 이상의 값을 가질 수 있고 관리자에 의해 값이 상이하게 설정될 수 있다.And, in the step of comparing the hash values of the past PE files ( S243 ), ISD data having the same hash value equal to or greater than the Z value among the extracted contents may be extracted. Z is a duplicate constant of the hash value, and it can have a value of “2” or more, and the value can be set differently by the administrator.
아래의 표 2는 통합보안 데이터인 Integrated Security Data(ISD)에서 특정 시간 대역의 보안정보이벤트 관리(SIEM)부와 관련된 부분만 추출한 내용을 나타낸 일 예시이다.Table 2 below is an example showing the contents extracted from the Integrated Security Data (ISD), which is the integrated security data, only the part related to the Security Information Event Management (SIEM) unit in a specific time band.
경보명alarm name SIPSIP DIPDIP portport 프로세스process checksumchecksum 날짜date
출발지 IP 기준 SQL Injection Attack 3회3 SQL Injection Attacks based on source IP 192.168.50.23192.168.50.23 1.1.1.11.1.1.1 8080 Ntpg.exentpg.exe 4F1712EE489413CEA7AD0CCCFE26C484A7695697DEA5327125517DEC8D8ED2144F1712EE489413CEA7AD0CCCFE26C484A7695697DEA5327125517DEC8D8ED214 2020-06-30 20:19:422020-06-30 20:19:42
IP 스캔 의심IP scan suspect 192.168.50.23192.168.50.23 1.1.1.11.1.1.1 66 Ntpg.exentpg.exe 4F1712EE489413CEA7AD0CCCFE26C484A7695697DEA5327125517DEC8D8ED2144F1712EE489413CEA7AD0CCCFE26C484A7695697DEA5327125517DEC8D8ED214 2020-06-30 20:21:012020-06-30 20:21:01
관리자 포트 접속 감지Detect manager port access 192.168.50.23192.168.50.23 2.2.2.22.2.2.2 2222 Ntpg.exentpg.exe 4F1712EE489413CEA7AD0CCCFE26C484A7695697DEA5327125517DEC8D8ED2144F1712EE489413CEA7AD0CCCFE26C484A7695697DEA5327125517DEC8D8ED214 2020-06-30 20:21:552020-06-30 20:21:55
그리고, 아래의 표 3은 통합보안 데이터인 Integrated Security Data(ISD)에서 특정 시간 대역의 보안장비부(112)에서 발생된 이벤트와 네트워크 비정상 행위만을 추출한 내용을 나타낸 일 예시이다.And, Table 3 below is an example of extracting only events and network abnormal behaviors occurring in the security equipment unit 112 in a specific time band from Integrated Security Data (ISD), which is integrated security data.
장비명Equipment name 탐지명detection name SIPSIP DIPDIP portport 프로세스process checksumchecksum 날짜date
IPSIPS Cross-Site
Scripting AttackCross-Site
Scripting Attack 		192.168.1.50192.168.1.50 151.139.
128.14151.139.
128.14 		8080 mbtipv32.exembtipv32.exe 35958532EA4AF3B7D99A5C1DF0A6355AEC483EF92A1FA0B2AC4F9DA908320AF235958532EA4AF3B7D99A5C1DF0A6355AEC483EF92A1FA0B2AC4F9DA908320AF2 2020-01-29 09:50:522020-01-29 09:50:52
BlackIPBlackIP -- 192.168.1.50192.168.1.50 151.139.
128.14151.139.
128.14 		8080 mbtipv32.exembtipv32.exe 35958532EA4AF3B7D99A5C1DF0A6355AEC483EF92A1FA0B2AC4F9DA908320AF235958532EA4AF3B7D99A5C1DF0A6355AEC483EF92A1FA0B2AC4F9DA908320AF2 2020-01-29 09:51:242020-01-29 09:51:24
상기 표 2에서와 같이, K1 항목에서 SIP(또는, checksum)의 합계, 즉 수집 회수(3회)가 관리자에 의한 정한 정수인 “2” 이상이고, 마찬가지로, 상기 표 3에서와 같이, K2 항목에서 SIP(또는, checksum)의 합계, 즉 수집 회수(3회)가 관리자에 의한 정한 정수인 “2” 이상이므로 각각의 경우에서 2개 이상의 PE Hash 값의 중복 카운트가 수집되었으며, 수집된 파일의 비교를 통해 해당 파일을 의심 파일로 분류할 수 있다.As in Table 2 above, the sum of SIP (or checksum) in the K1 item, that is, the number of collections (3 times) is greater than or equal to “2”, an integer determined by the administrator, and similarly, as in Table 3 above, in the K2 item Since the sum of SIP (or checksum), that is, the number of collections (3 times) is more than “2”, which is an integer determined by the administrator, duplicate counts of two or more PE hash values were collected in each case, and the comparison of the collected files was performed. You can classify the file as a suspicious file.
본 실시예에 따른 악성파일 의심 보고서를 생성하는 단계(S244)에서는 2개 이상의 과거 PE 파일 중 Hash 값이 일치하는 과거 PE 파일에 대해 악성파일 의심 보고서를 생성할 수 있다. 이때, ISD 데이터 내용은 보안 담당자가 다양한 분석을 할 수 있도록 의심 파일 보고서 형태로 출력될 수 있다.In the step of generating a malicious file suspicion report ( S244 ) according to the present embodiment, a malicious file suspicion report may be generated for a past PE file having the same hash value among two or more past PE files. In this case, the ISD data contents may be output in the form of a suspicious file report so that the security officer can perform various analysis.
따라서, 본 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단방법(S200)은 사용자 단말과 연동되어 사용자 단말에서 발생되는 보안 이벤트 정보로부터 악성파일을 판단할 수 있다.Accordingly, the user terminal event interlocking malicious file determination method ( S200 ) according to the present embodiment may determine a malicious file from security event information generated in the user terminal in conjunction with the user terminal.
또한, 본 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단방법(S200)에 의하면 PE 파일이 악성파일이 아닌 것으로 판단되더라도, 과거의 PE 파일과 비교를 통해 해당 파일을 의심 파일로 분류하여 관리할 수 있으므로 악성파일에 의한 위험을 방지할 수 있다.In addition, according to the user terminal event-linked malicious file determination method (S200) according to the present embodiment, even if the PE file is determined not to be a malicious file, the file can be classified and managed as a suspicious file by comparing it with the previous PE file. Therefore, the risk of malicious files can be prevented.
한편, 본 발명의 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단방법(S200)은 소프트웨어 및 하드웨어에 의해 하나의 모듈로 구현 가능하며, 전술한 본 발명의 실시예들은 컴퓨터에서 실행될 수 있는 프로그램으로 작성 가능하고, 컴퓨터로 읽을 수 있는 기록매체를 이용하여 상기 프로그램을 동작시키는 범용 컴퓨터에서 구현될 수 있다. 상기 컴퓨터로 읽을 수 있는 기록매체는 롬(ROM), 플로피 디스크, 하드 디스크 등의 자기적 매체, CD, DVD 등의 광학적 매체 및 인터넷을 통한 전송과 같은 캐리어 웨이브와 같은 형태로 구현된다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.On the other hand, the user terminal event interlocking malicious file determination method (S200) according to an embodiment of the present invention can be implemented as one module by software and hardware, and the above-described embodiments of the present invention are written as a program that can be executed on a computer. If possible, it may be implemented in a general-purpose computer that operates the program using a computer-readable recording medium. The computer-readable recording medium is implemented in the form of a magnetic medium such as a ROM, a floppy disk, a hard disk, an optical medium such as a CD or DVD, and a carrier wave such as transmission through the Internet. In addition, the computer-readable recording medium may be distributed in network-connected computer systems to store and execute computer-readable codes in a distributed manner.
그리고, 본 발명의 실시예에서 사용되는 구성요소는 또는 '~부'는 메모리 상의 소정 영역에서 수행되는 태스크, 클래스, 서브 루틴, 프로세스, 오브젝트, 실행 쓰레드, 프로그램과 같은 소프트웨어(software)나, FPGA(field-programmable gate array)나 ASIC(application-specific integrated circuit)과 같은 하드웨어(hardware)로 구현될 수 있으며, 또한 상기 소프트웨어 및 하드웨어의 조합으로 이루어질 수도 있다. 상기 구성요소 또는 '~부'는 컴퓨터로 판독 가능한 저장 매체에 포함되어 있을 수도 있고, 복수의 컴퓨터에 그 일부가 분산되어 분포될 수도 있다.And, the components used in the embodiment of the present invention or '~ unit' are tasks, classes, subroutines, processes, objects, execution threads, programs, such as tasks performed in a predetermined area on the memory, or FPGAs. It may be implemented in hardware such as a field-programmable gate array or an application-specific integrated circuit (ASIC), or a combination of the software and hardware. The component or '~ unit' may be included in a computer-readable storage medium, or a part thereof may be distributed and distributed in a plurality of computers.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.Although the embodiments of the present invention have been described above with reference to the accompanying drawings, those of ordinary skill in the art to which the present invention pertains can realize that the present invention can be embodied in other specific forms without changing the technical spirit or essential features. you will be able to understand Therefore, it should be understood that the embodiments described above are illustrative in all respects and not restrictive.

Claims (11)

  1. 사용자 단말의 보안이벤트를 감시서버에서 분석하여 보안 이벤트 분석 정보를 생성하는 단계;generating security event analysis information by analyzing a security event of the user terminal in a monitoring server;
    상기 보안 이벤트 분석 정보와 관련된 상기 사용자 단말의 PE 파일의 이벤트 정보를 포함하는 파일 이벤트 정보를 상기 사용자 단말에 설치된 감시 에이전트로 추출하여 상기 감시서버로 전송하는 단계;extracting the file event information including event information of the PE file of the user terminal related to the security event analysis information to a monitoring agent installed in the user terminal and transmitting it to the monitoring server;
    상기 감시서버에서 상기 보안 이벤트 분석 정보와 상기 PE 파일의 이벤트 정보가 통합된 PE 파일 보안 이벤트 분석 정보 및 상기 파일 이벤트 정보가 통합된 통합보안 데이터를 생성하는 단계;generating, in the monitoring server, the security event analysis information and the PE file security event analysis information in which the event information of the PE file is integrated, and the integrated security data in which the file event information is integrated;
    상기 통합보안 데이터를 분석하여 상기 PE 파일의 악성파일 여부를 판단하는 단계; 및 determining whether the PE file is a malicious file by analyzing the integrated security data; and
    상기 감시서버에 상기 통합보안 데이터가 시간순으로 저장되어 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보로 이루어진 과거 통합보안 데이터를 포함하는 과거 통합보안 데이터그룹을 생성하는 단계;를 포함하는 사용자 단말 이벤트 연동 악성파일 판단방법.Creating a past integrated security data group comprising the past integrated security data consisting of past PE file security event analysis information and past file event information by storing the integrated security data in chronological order in the monitoring server; User terminal event comprising a; How to determine linked malicious files.
  2. 제1항에 있어서,According to claim 1,
    상기 보안 이벤트 분석 정보는,The security event analysis information,
    보안정보이벤트 관리(SIEM)부에서 생성된 상기 사용자 단말의 보안정보이벤트 정보, 보안장비부에서 생성된 상기 사용자 단말의 탐지 및 차단 이벤트 정보와 상기 사용자 단말과 인터넷 및 서버존 사이의 패킷 미러링 정보 중 하나 이상을 포함하는 사용자 단말 이벤트 연동 악성파일 판단방법.Among the security information event information of the user terminal generated by the security information event management (SIEM) unit, the detection and blocking event information of the user terminal generated by the security equipment unit, and packet mirroring information between the user terminal and the Internet and the server zone A method for determining a malicious file linked to a user terminal event including one or more.
  3. 제2항에 있어서,3. The method of claim 2,
    상기 PE 파일 보안 이벤트 분석 정보는,The PE file security event analysis information,
    상기 보안정보이벤트 정보와 상기 PE 파일의 이벤트 정보가 통합된 PE 파일 보안정보이벤트 정보, 상기 탐지 및 차단 이벤트 정보와 상기 PE 파일의 이벤트 정보가 통합된 PE 파일 탐지 및 차단 이벤트 정보 및 상기 패킷 미러링 정보와 상기 PE 파일의 이벤트 정보가 통합된 PE 파일 패킷 미러링 정보 중 하나 이상을 포함하는 사용자 단말 이벤트 연동 악성파일 판단방법.PE file security information event information in which the security information event information and the event information of the PE file are integrated, PE file detection and blocking event information in which the detection and blocking event information and the event information of the PE file are integrated, and the packet mirroring information and at least one of PE file packet mirroring information in which the event information of the PE file is integrated.
  4. 제3항에 있어서,4. The method of claim 3,
    상기 파일 이벤트 정보는,The file event information is
    상기 PE 파일의 이벤트 정보와 관련된 상기 사용자 단말과 네트워크 장비와의 비정상 접속 이벤트 정보 및 상기 사용자 단말과 다른 사용자 단말의 접속 이벤트 정보 중 하나 이상을 더 포함하는 사용자 단말 이벤트 연동 악성파일 판단방법.The user terminal event interlocking malicious file determination method further comprising at least one of abnormal access event information between the user terminal and network equipment related to the event information of the PE file and access event information between the user terminal and another user terminal.
  5. 제1항에 있어서,According to claim 1,
    상기 PE 파일의 이벤트 정보는,The event information of the PE file is,
    상기 PE 파일의 파일명, Hash값(SHA256) 및 상기 감시서버에 저장된 위치 정보를 포함하는 사용자 단말 이벤트 연동 악성파일 판단방법.A method for determining a malicious file linked to a user terminal event including the file name of the PE file, a hash value (SHA256), and location information stored in the monitoring server.
  6. 제1항에 있어서,According to claim 1,
    상기 PE 파일의 악성파일 여부를 판단하는 단계에서,In the step of determining whether the PE file is a malicious file,
    상기 PE 파일이 악성파일로 판단되는 경우, 상기 사용자 단말에 상기 PE 파일의 실행 중지 또는 상기 사용자 단말 네트워크의 중지를 상기 감시서버에서 상기 사용자 단말의 상기 감시 에이전트에 지시하는 단계;를 더 포함하는 사용자 단말 이벤트 연동 악성파일 판단방법.When the PE file is determined to be a malicious file, instructing the monitoring server to stop the execution of the PE file or to stop the user terminal network to the user terminal to the monitoring agent of the user terminal; A method for judging malicious files linked to terminal events.
  7. 제1항에 있어서,According to claim 1,
    상기 PE 파일의 악성파일 여부를 판단하는 단계에서, 상기 PE 파일이 악성파일이 아닌 것으로 판단될 경우,In the step of determining whether the PE file is a malicious file, if it is determined that the PE file is not a malicious file,
    상기 감시서버에서 상기 악성파일 분석 시작시간에서 과거 시간 사이의 타임구간을 결정하는 단계;determining, in the monitoring server, a time interval between the malicious file analysis start time and the past time;
    상기 과거 통합보안 데이터그룹에서 상기 타임구간에 상기 과거 PE 파일 보안 이벤트 분석 정보 및 상기 과거 파일 이벤트 정보 중 하나 이상이 몇 개가 생성되었는지를 세는 단계;counting how many at least one of the past PE file security event analysis information and the past file event information is generated in the time period in the past integrated security data group;
    상기 타임구간에서 상기 과거 PE 파일 보안 이벤트 분석 정보 및 상기 과거 파일 이벤트 정보 중 하나 이상의 생성 개수가 2개 이상일 경우, 상기 2개 이상의 상기 과거 PE 파일 보안 이벤트 분석 정보 및/또는 상기 과거 파일 이벤트 정보에 관련된 2개 이상의 과거 PE 파일의 Hash 값을 비교하는 단계; 및 When the number of generation of one or more of the past PE file security event analysis information and the past file event information in the time period is two or more, the two or more pieces of the past PE file security event analysis information and/or the past file event information comparing hash values of two or more related past PE files; and
    상기 2개 이상의 과거 PE 파일 중 상기 Hash 값이 일치하는 과거 PE 파일에 대해 악성파일 의심 보고서를 생성하는 단계;를 포함하는 사용자 단말 이벤트 연동 악성파일 판단방법.and generating a malicious file suspicion report for a past PE file having the same hash value among the two or more past PE files.
  8. 제7항에 있어서,8. The method of claim 7,
    상기 과거 PE 파일 보안 이벤트 분석 정보는,The past PE file security event analysis information is,
    상기 보안정보이벤트 관리(SIEM)부에서 생성된 상기 사용자 단말의 과거 보안정보이벤트 정보, 보안장비부에서 생성된 상기 사용자 단말의 과거 탐지 및 차단 이벤트 정보와 상기 사용자 단말과 인터넷 및 서버존 사이의 과거 패킷 미러링 정보 중 하나 이상을 포함하고,Past security information event information of the user terminal generated by the security information event management (SIEM) unit, past detection and blocking event information of the user terminal generated by the security equipment unit, and the past between the user terminal and the Internet and server zone contains one or more of packet mirroring information;
    상기 과거 파일 이벤트 정보는,The past file event information is,
    상기 과거 PE 파일의 이벤트 정보와 관련된 상기 사용자 단말과 네트워크 장비와의 과거 비정상 접속 이벤트 정보 및 상기 사용자 단말과 다른 사용자 단말의 과거 접속 이벤트 정보 중 하나 이상을 포함하는 사용자 단말 이벤트 연동 악성파일 판단방법.A user terminal event interlocking malicious file determination method comprising at least one of past abnormal access event information between the user terminal and network equipment related to the event information of the past PE file and past access event information between the user terminal and another user terminal.
  9. 사용자 단말 관련 보안 이벤트 정보가 수집되는 보안이벤트 정보 수집부;a security event information collection unit for collecting user terminal-related security event information;
    상기 사용자 단말에 설치되어 보안 이벤트 분석 정보와 관련된 상기 사용자 단말의 PE 파일의 이벤트 정보가 포함된 파일 이벤트 정보를 수집하는 감시 에이전트부;a monitoring agent unit installed in the user terminal to collect file event information including event information of a PE file of the user terminal related to security event analysis information;
    상기 보안이벤트 정보 수집부의 상기 보안 이벤트 정보를 분석하여 상기 보안 이벤트 분석 정보를 생성하고, 상기 보안 이벤트 분석 정보와 상기 PE 파일의 이벤트 정보가 통합된 PE 파일 보안 이벤트 분석 정보 및 상기 파일 이벤트 정보가 통합된 통합 보안 데이터를 생성하는 감시 서버부; 및The security event information is analyzed by the security event information collection unit to generate the security event analysis information, and the security event analysis information and the event information of the PE file are integrated, and the PE file security event analysis information and the file event information are integrated. Monitoring server unit for generating integrated security data; and
    상기 감시 서버부에서 생성된 통합 보안 데이터를 분석하여 상기 PE 파일의 악성파일 여부를 판단하는 악성파일 판단부;를 포함하는 사용자 단말 이벤트 연동 악성파일 판단 시스템.and a malicious file determination unit that analyzes the integrated security data generated by the monitoring server unit to determine whether the PE file is a malicious file.
  10. 제9항에 있어서,10. The method of claim 9,
    상기 보안이벤트 정보 수집부는,The security event information collection unit,
    경보정보, 연관성 정보 및 시나리오 기반 정보 중 하나 이상을 수집하는 보안정보 이벤트 관리부, 상기 사용자 단말 관련 탐지 및 차단 이벤트 정보 중 하나 이상을 수집하는 보안장비부 및 상기 사용자 단말과 인터넷 및 서버존 사이의 패킷 미러링 정보를 수집하는 패킷 미러링부를 포함하는 사용자 단말 이벤트 연동 악성파일 판단 시스템.A security information event management unit that collects one or more of alarm information, correlation information, and scenario-based information, a security equipment unit that collects at least one of detection and blocking event information related to the user terminal, and a packet between the user terminal and the Internet and server zone A user terminal event-linked malicious file determination system including a packet mirroring unit for collecting mirroring information.
  11. 제9항에 있어서,10. The method of claim 9,
    상기 악성파일 판단부는,The malicious file determination unit,
    상기 PE 파일이 악성파일이 아닌 경우 상기 PE 파일로 의심되는지 여부를 판단하여 악성파일 의심보고서를 생성하는 악성파일 의심 보고서 생성부를 포함하는 사용자 단말 이벤트 연동 악성파일 판단 시스템.and a malicious file suspicious report generator for generating a malicious file suspicion report by determining whether the PE file is suspected of being a malicious file when the PE file is not a malicious file.
PCT/KR2021/000297 2021-01-06 2021-01-11 User terminal event-associated malicious file determination method and system using same WO2022149637A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020210001667A KR102478984B1 (en) 2021-01-06 2021-01-06 Determine method for malicious file by linking with events in user terminal and system using them
KR10-2021-0001667 2021-01-06

Publications (1)

Publication Number Publication Date
WO2022149637A1 true WO2022149637A1 (en) 2022-07-14

Family

ID=82357468

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2021/000297 WO2022149637A1 (en) 2021-01-06 2021-01-11 User terminal event-associated malicious file determination method and system using same

Country Status (2)

Country Link
KR (1) KR102478984B1 (en)
WO (1) WO2022149637A1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101414084B1 (en) * 2013-03-28 2014-07-04 한신대학교 산학협력단 System and for Malicious Application Detection on Mobile Device and Method thereof
KR20150136919A (en) * 2014-05-28 2015-12-08 주식회사 안랩 Malicious file diagnosis device and control method thereof
US20160103992A1 (en) * 2014-10-14 2016-04-14 Symantec Corporation Systems and methods for classifying security events as targeted attacks
KR20170068814A (en) * 2015-12-10 2017-06-20 한국전자통신연구원 Apparatus and Method for Recognizing Vicious Mobile App
KR20180045363A (en) * 2016-10-25 2018-05-04 (주)케이사인 Apparatus and Method for Determining Priority for Event Integrated Management of Heterogeneous Systems

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101951730B1 (en) * 2016-11-02 2019-02-25 주식회사 아이티스테이션 Total security system in advanced persistent threat
KR102152317B1 (en) * 2019-11-21 2020-09-04 (주)피즐리소프트 Method of deriving TTPS from IoC related with malware

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101414084B1 (en) * 2013-03-28 2014-07-04 한신대학교 산학협력단 System and for Malicious Application Detection on Mobile Device and Method thereof
KR20150136919A (en) * 2014-05-28 2015-12-08 주식회사 안랩 Malicious file diagnosis device and control method thereof
US20160103992A1 (en) * 2014-10-14 2016-04-14 Symantec Corporation Systems and methods for classifying security events as targeted attacks
KR20170068814A (en) * 2015-12-10 2017-06-20 한국전자통신연구원 Apparatus and Method for Recognizing Vicious Mobile App
KR20180045363A (en) * 2016-10-25 2018-05-04 (주)케이사인 Apparatus and Method for Determining Priority for Event Integrated Management of Heterogeneous Systems

Also Published As

Publication number Publication date
KR20220099437A (en) 2022-07-13
KR102478984B1 (en) 2022-12-19

Similar Documents

Publication Publication Date Title
US7197762B2 (en) Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits
US7444679B2 (en) Network, method and computer readable medium for distributing security updates to select nodes on a network
US7424744B1 (en) Signature based network intrusion detection system and method
US20030084319A1 (en) Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
CN106411562B (en) Electric power information network safety linkage defense method and system
US20030084326A1 (en) Method, node and computer readable medium for identifying data in a network exploit
Kholidy et al. CIDS: A framework for intrusion detection in cloud systems
WO2011010823A2 (en) Method for detecting and preventing a ddos attack using cloud computing, and server
US20030101353A1 (en) Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
US20040111531A1 (en) Method and system for reducing the rate of infection of a communications network by a software worm
US20030084328A1 (en) Method and computer-readable medium for integrating a decode engine with an intrusion detection system
US20050182950A1 (en) Network security system and method
SE524963C2 (en) Node and mobile device for a mobile telecommunications network providing intrusion detection
US7836503B2 (en) Node, method and computer readable medium for optimizing performance of signature rule matching in a network
WO2012023657A1 (en) Network-based harmful-program detection method using a virtual machine, and a system comprising the same
Debar et al. Intrusion detection: Introduction to intrusion detection and security information management
US20030084344A1 (en) Method and computer readable medium for suppressing execution of signature file directives during a network exploit
CN113315666A (en) Defense control method and system for information network security
CN114124516A (en) Situation awareness prediction method, device and system
Tiwari et al. Refinements in Zeek intrusion detection system
US20190166139A1 (en) Network protection device and network protection system
KR100959274B1 (en) A system for early preventing proliferation of malicious codes using a network monitering information and the method thereof
Bolzoni et al. ATLANTIDES: An Architecture for Alert Verification in Network Intrusion Detection Systems.
KR20020072618A (en) Network based intrusion detection system

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21917800

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

32PN Ep: public notification in the ep bulletin as address of the adressee cannot be established

Free format text: NOTING OF LOSS OF RIGHTS PURSUANT TO RULE 112(1) EPC (EPO FORM 1205A DATED 23/11/2023)