WO2023003067A1

WO2023003067A1 - 비정상 데이터 탐지 시스템 및 방법

Info

Publication number: WO2023003067A1
Application number: PCT/KR2021/010353
Authority: WO
Inventors: 김기홍; 어성율; 박성은; 이현종
Original assignee: 주식회사 샌즈랩
Priority date: 2021-07-19
Filing date: 2021-08-05
Publication date: 2023-01-26
Also published as: KR102386284B1; KR102386289B1; KR102386287B1; KR102386294B1; KR102386282B1; KR102386297B1; KR102386290B1

Abstract

본 발명은 비정상 데이터 탐지 시스템에 관한 것이다. 비정상 데이터 탐지 시스템은, 입력 데이터를 수신하고, 트리거 룰을 기초로 수신된 입력 데이터 내에 비정상 데이터가 포함된 경우, 비정상 데이터를 나타내는 하나 이상의 초기 시그널을 생성하는 하나 이상의 트리거 모듈, 하나 이상의 트리거 모듈로부터 생성된 하나 이상의 초기 시그널을 수신하고, 피드 룰을 기초로 수신된 하나 이상의 초기 시그널에 대한 논리 연산을 수행하여 결과 시그널을 생성하는 시그널 허브 및 시그널 허브로부터 생성된 결과 시그널을 수신하고, 디텍터 룰을 기초로, 수신된 결과 시그널로부터 비정상 데이터에 대응하는 공격 탐지 정보를 검출하는 하나 이상의 디텍터 모듈을 포함한다.

Description

비정상 데이터 탐지 시스템 및 방법

본 발명은 비정상 데이터 탐지 시스템 및 방법에 관한 것으로, 구체적으로, 비정상 데이터에 대한 시그널을 생성하여 해당 비정상 데이터와 연관된 공격을 탐지하는 비정상 데이터 탐지 시스템 및 방법에 관한 것이다.

최근 기술의 발전과 동시에 사이버 공격 또한 더욱 지능화되고 치밀해지고 있다. 예를 들어, 네트워크 공격은 스마트폰이나 PC 등과 연관된 네트워크를 교란, 거부, 손상, 파괴할 수 있다. 따라서, 이러한 네트워크 공격을 예방하거나 차단하기 위한 기술의 개발이 필요하다.

본 발명은 상기와 같은 문제점을 해결하기 위한 비정상 데이터 탐지 시스템, 방법 및 기록 매체에 저장된 컴퓨터 프로그램을 제공한다.

본 발명은 시스템(장치), 방법 또는 컴퓨터 판독 가능 기록 매체에 저장된 컴퓨터 프로그램을 포함한 다양한 방식으로 구현될 수 있다.

본 발명의 일 실시예에 따르면, 비정상 데이터 탐지 시스템은, 입력 데이터를 수신하고, 트리거 룰을 기초로 수신된 입력 데이터 내에 비정상 데이터가 포함된 경우, 비정상 데이터를 나타내는 하나 이상의 초기 시그널을 생성하는 하나 이상의 트리거 모듈, 하나 이상의 트리거 모듈로부터 생성된 하나 이상의 초기 시그널을 수신하고, 피드 룰을 기초로 수신된 하나 이상의 초기 시그널에 대한 논리 연산을 수행하여 결과 시그널을 생성하는 시그널 허브 및 시그널 허브로부터 생성된 결과 시그널을 수신하고, 디텍터 룰을 기초로, 수신된 결과 시그널로부터 비정상 데이터에 대응하는 공격 탐지 정보를 검출하는 하나 이상의 디텍터 모듈을 포함한다.

본 발명의 일 실시예에 따르면, 트리거 룰은, 특정 데이터를 비정상 데이터로 결정하기 위한 조건 정보를 포함한다. 하나 이상의 트리거 모듈은, 조건 정보와 연관된 논리 연산 및 인덴테이션 수준을 이용하여, 비정상 데이터를 판정하기 위한 비정상 평가 함수를 생성하는 비정상 평가 함수 생성 모듈을 포함한다.

본 발명의 일 실시예에 따르면, 하나 이상의 트리거 모듈은, 비정상 평가 함수 생성 모듈로부터 생성된 비정상 평가 함수를 수신하고, 입력 데이터를 비정상 평가 함수에 입력하여 입력 데이터 내에 비정상 데이터가 포함된 경우, 초기 시그널 생성 요청을 전송하는 비정상 체커 모듈을 더 포함한다.

본 발명의 일 실시예에 따르면, 트리거 룰은, 생성되는 초기 시그널의 타입과 연관된 출력 정보를 더 포함한다. 하나 이상의 트리거 모듈은, 비정상 체커 모듈로부터 초기 시그널 생성 요청을 수신하는 경우, 출력 정보를 기초로 결정된 타입의, 하나 이상의 초기 시그널을 생성하는 시그널 생성 모듈을 더 포함한다.

본 발명의 일 실시예에 따르면, 트리거 룰은, 입력 데이터의 특성과 연관된 입력 정보를 포함한다. 하나 이상의 트리거 모듈은, 입력 정보를 기초로 결정된 데이터베이스의 특정 위치로부터, 대상 프로토콜을 이용하여 입력 데이터를 수신하는 데이터 수신 모듈을 포함한다.

본 발명의 일 실시예에 따르면, 피드 룰은, 하나 이상의 트리거 모듈 사이의 논리 관계를 결정하기 위한 관련성 정보를 포함한다. 시그널 허브는, 관련성 정보와 연관된 논리 연산 및 인덴테이션 수준을 이용하여, 하나 이상의 초기 시그널을 기초로 결과 시그널을 생성하기 위한 시그널 연산 함수를 생성하는 시그널 연산 함수 생성 모듈을 포함한다.

본 발명의 일 실시예에 따르면, 시그널 허브는, 시그널 연산 함수 생성 모듈로부터 생성된 시그널 연산 함수를 수신하고, 하나 이상의 초기 시그널을 시그널 연산 함수에 입력하여 결과 시그널을 생성하는 시그널 연산 모듈을 더 포함한다.

본 발명의 일 실시예에 따르면, 시그널 허브는, 하나 이상의 초기 시그널 중 중복되는 초기 시그널을 제거하기 위한 시그널 리듀서를 포함한다.

본 발명의 일 실시예에 따르면, 시그널 리듀서는, 하나 이상의 트리거 모듈 중 동일한 트리거 모듈에서 생성된 초기 시그널들을 중복되는 초기 시그널로 판정한다.

본 발명의 일 실시예에 따르면, 시그널 리듀서는, 비정상 범위가 미리 정해진 비율 이상 중복되는 초기 시그널들을 중복되는 초기 시그널로 판정한다.

본 발명의 일 실시예에 따르면, 피드 룰은, 생성된 결과 시그널을 전달받는 디텍터 모듈을 결정하기 위한 디텍터 모듈에 대한 정보를 포함한다. 시그널 허브는, 디텍터 모듈에 대한 정보를 기초로 결정된 하나 이상의 디텍터 모듈로 생성된 결과 시그널을 전송하는 시그널 전송 모듈을 포함한다.

본 발명의 일 실시예에 따르면, 디텍터 룰은, 비정상 데이터와 연관된 공격 정보를 추출하기 위한 탐지 규칙에 대한 정보를 포함한다. 하나 이상의 디텍터 모듈은, 탐지 규칙에 대한 정보와 연관된 논리 연산 및 인덴테이션 수준을 이용하여, 공격 정보를 추출하기 위한 공격 탐지 함수를 생성하는 공격 탐지 함수 생성 모듈을 포함한다.

본 발명의 일 실시예에 따르면, 하나 이상의 디텍터 모듈은, 공격 탐지 함수 생성 모듈로부터 생성된 공격 탐지 함수를 수신하고, 결과 시그널과 연관된 입력 데이터를 공격 탐지 함수에 입력하여, 결과 시그널에 대한 공격 탐지를 수행하는 공격 디텍터 모듈을 더 포함한다.

본 발명의 일 실시예에 따르면, 디텍터 룰은, 공격 탐지 정보의 처리 여부를 결정하기 위한 하나 이상의 디텍터 모듈 사이의 관련성 정보를 포함한다. 하나 이상의 디텍터 모듈은, 관련성 정보와 연관된 논리 연산 및 인덴테이션 수준을 이용하여, 공격 탐지 정보의 처리 여부를 결정하기 위한 평가 함수를 생성하는 평가 함수 생성 모듈을 포함한다.

본 발명의 일 실시예에 따르면, 하나 이상의 디텍터 모듈의 각각은 디텍터 모듈의 의존도를 기초로 복수의 레벨 중 하나의 레벨에 대응한다. 이전 레벨의 디텍터 모듈의 공격 탐지 정보는 다음 레벨의 디텍터 모듈에 의해 이용된다. 생성된 평가 함수 생성 모듈로부터 생성된 평가 함수를 수신하고, 수신된 평가 함수를 기초로 공격 탐지 정보를 다음 레벨의 디텍터 모듈 또는 백트래커 모듈로 전송하는 평가 모듈을 더 포함한다.

본 발명의 일 실시예에 따르면, 평가 모듈은, 다음 레벨의 디텍터 모듈이 존재하는 경우, 평가 함수를 기초로 공격 탐지 정보를 다음 레벨의 디텍터 모듈로 전송한다.

본 발명의 일 실시예에 따르면, 평가 모듈은, 다음 레벨의 디텍터 모듈이 존재하지 않는 경우, 공격 탐지 정보를 백트래커 모듈로 전송한다.

본 발명의 일 실시예에 따르면, 비정상 데이터 탐지 시스템은, 하나 이상의 디텍터 모듈의 공격 탐지 정보를 이용하여, 비정상 데이터와 연관된 공격의 속성 및 공격의 절차를 결정하는 백트래커 모듈을 더 포함한다.

본 발명의 다른 실시예에 따르면, 적어도 하나의 프로세서에 의해 수행되는 비정상 데이터 탐지 방법은, 입력 데이터를 수신하고, 트리거 룰을 기초로 수신된 입력 데이터 내에 비정상 데이터가 포함된 경우, 비정상 데이터를 나타내는 하나 이상의 초기 시그널을 생성하는 단계, 생성된 하나 이상의 초기 시그널을 수신하고, 피드 룰을 기초로 수신된 하나 이상의 초기 시그널에 대한 논리 연산을 수행하여 결과 시그널을 생성하는 단계 및 생성된 결과 시그널을 수신하고, 디텍터 룰을 기초로, 수신된 결과 시그널로부터 비정상 데이터에 대응하는 공격 탐지 정보를 검출하는 단계를 포함한다.

본 발명의 또 다른 실시예에 따르면 상술된 비정상 데이터 탐지 방법을 컴퓨터에서 실행하기 위해 컴퓨터 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램이 제공된다.

본 발명의 다양한 실시예에 따르면, 비정상 데이터 탐지 시스템은 트리거 룰, 피드 룰 및 디텍터 룰을 이용하여 입력 데이터 내에 포함된 비정상 데이터를 효과적으로 추출할 수 있으며, 추출된 비정상 데이터와 연관된 공격을 분석하여 저장함으로써, 이 후 네트워크 공격 등에 노출된 경우, 효율적으로 대응할 수 있다.

본 발명의 다양한 실시예에 따르면, 비정상 데이터 탐지 시스템은 디텍터 모듈을 계층 구조로 구성함으로써, 더 정밀한 공격 탐지 정보를 검출할 수 있다.

본 발명의 다양한 실시예에 따르면, 시그널 제한 모듈은 flooding 공격(네트워크 대역폭 소진 공격) 등에 대한 무한한 시그널의 발생을 방지할 수 있다.

본 발명의 다양한 실시예에 따르면, 트리 구조의 비정상 평가 함수를 이용하여 입력 데이터를 순차적으로 검사함으로써, 트리거 모듈은 입력 데이터 내에 비정상 데이터가 포함되어 있는지 여부를 효과적으로 확인할 수 있다.

본 발명의 다양한 실시예에 따르면, 트리거 룰에 따라 비정상 데이터의 전후 데이터를 적절히 추출함으로써, 트리거 모듈은 필요한 범위의 데이터를 간단히 추출할 수 있으며, 별도의 처리 없이 동일한 유형의 데이터를 효과적으로 생성할 수 있다.

본 발명의 다양한 실시예에 따르면, 시그널 리듀서는 초기 시그널들을 그대로 이용하지 않고, 중복을 제거함으로써, 데이터 처리 속도 및 효율을 향상시킬 수 있다.

본 발명의 다양한 실시예에 따르면, 시그널 허브는 트리 구조의 시그널 연산 함수를 이용하여 복수의 트리거 모듈 중 목적하는 트리거 모듈로부터 수신된 초기 시그널에 대한 연산을 선택적으로 수행할 수 있다.

본 발명의 다양한 실시예에 따르면, 평가 모듈은 트리 구조의 평가 함수를 이용하여 디텍터 모듈 각각에 대응하는 레벨 및 연결 관계를 결정하고, 목적하는 디텍터 모듈 들을 이용하여 점점 더 정밀하게 공격 탐지를 수행할 수 있다.

본 발명의 다양한 실시예에 따르면, 디텍터 모듈은 트리 구조의 공격 탐지 함수를 이용하여 다양한 비정상 데이터 중 특정 탐지 규칙을 만족하는 비정상 데이터를 효과적으로 검출할 수 있다.

본 발명의 효과는 이상에서 언급한 효과로 제한되지 않으며, 언급되지 않은 다른 효과들은 청구범위의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자("통상의 기술자"라 함)에게 명확하게 이해될 수 있을 것이다.

본 발명의 실시예들은, 이하 설명하는 첨부 도면들을 참조하여 설명될 것이며, 여기서 유사한 참조 번호는 유사한 요소들을 나타내지만, 이에 한정되지는 않는다.

도 1은 본 발명의 일 실시예에 따른 비정상 데이터 탐지 시스템의 내부 구성을 나타내는 기능적인 블록도이다.

도 2는 본 발명의 일 실시예에 따른 트리거 모듈의 내부 구성을 나타내는 기능적인 블록도이다.

도 3은 본 발명의 일 실시예에 따른 트리거 룰을 기초로 비정상 평가 함수가 생성되는 예시를 나타내는 도면이다.

도 4는 본 발명의 일 실시예에 따른 입력 데이터를 기초로 다양한 유형의 출력 데이터가 생성되는 예시를 나타내는 도면이다.

도 5는 본 발명의 일 실시예에 따른 시그널 허브의 내부 구성을 나타내는 기능적인 블록도이다.

도 6은 본 발명의 일 실시예에 따른 피드 룰을 기초로 시그널 연산 함수가 생성되는 예시를 나타내는 도면이다.

도 7은 본 발명의 일 실시예에 따른 디텍터 모듈의 내부 구성을 나타내는 기능적인 블록도이다.

도 8은 본 발명의 일 실시예에 따른 디텍터 룰을 기초로 평가 함수가 생성되는 예시를 나타내는 도면이다.

도 9는 본 발명의 일 실시예에 따른 디텍터 룰을 기초로 공격 탐지 함수가 생성되는 예시를 나타내는 도면이다.

도 10은 본 발명의 일 실시예에 따른 비정상 데이터 탐지 방법의 예시를 나타내는 흐름도이다.

도 11은 본 발명의 일 실시예에 따른 초기 시그널 생성 방법의 예시를 나타내는 흐름도이다.

도 12는 본 발명의 일 실시예에 따른 결과 시그널 생성 방법의 예시를 나타내는 흐름도이다.

도 13은 본 발명의 일 실시예에 따른 공격 탐지 방법의 예시를 나타내는 흐름도이다.

이하, 본 발명의 실시를 위한 구체적인 내용을 첨부된 도면을 참조하여 상세히 설명한다. 다만, 이하의 설명에서는 본 발명의 요지를 불필요하게 흐릴 우려가 있는 경우, 널리 알려진 기능이나 구성에 관한 구체적 설명은 생략하기로 한다.

첨부된 도면에서, 동일하거나 대응하는 구성요소에는 동일한 참조부호가 부여되어 있다. 또한, 이하의 실시예들의 설명에 있어서, 동일하거나 대응되는 구성요소를 중복하여 기술하는 것이 생략될 수 있다. 그러나, 구성요소에 관한 기술이 생략되어도, 그러한 구성요소가 어떤 실시예에 포함되지 않는 것으로 의도되지는 않는다.

개시된 실시예의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나, 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명이 완전하도록 하고, 본 발명이 통상의 기술자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것일 뿐이다.

본 명세서에서 사용되는 용어에 대해 간략히 설명하고, 개시된 실시예에 대해 구체적으로 설명하기로 한다. 본 명세서에서 사용되는 용어는 본 발명에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 관련 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 발명의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서, 본 발명에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 발명의 전반에 걸친 내용을 토대로 정의되어야 한다.

본 명세서에서의 단수의 표현은 문맥상 명백하게 단수인 것으로 특정하지 않는 한, 복수의 표현을 포함한다. 또한, 복수의 표현은 문맥상 명백하게 복수인 것으로 특정하지 않는 한, 단수의 표현을 포함한다. 명세서 전체에서 어떤 부분이 어떤 구성요소를 포함한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다.

본 발명에서, "포함하다", "포함하는" 등의 용어는 특징들, 단계들, 동작들, 요소들 및/또는 구성 요소들이 존재하는 것을 나타낼 수 있으나, 이러한 용어가 하나 이상의 다른 기능들, 단계들, 동작들, 요소들, 구성 요소들 및/또는 이들의 조합이 추가되는 것을 배제하지는 않는다.

본 발명에서, 특정 구성 요소가 임의의 다른 구성 요소에 "결합", "조합", "연결" 되거나, "반응" 하는 것으로 언급된 경우, 특정 구성 요소는 다른 구성 요소에 직접 결합, 조합 및/또는 연결되거나, 반응할 수 있으나, 이에 한정되지 않는다. 예를 들어, 특정 구성 요소와 다른 구성 요소 사이에 하나 이상의 중간 구성 요소가 존재할 수 있다. 또한, 본 발명에서 "및/또는"은 열거된 하나 이상의 항목의 각각 또는 하나 이상의 항목의 적어도 일부의 조합을 포함할 수 있다.

본 발명에서, '룰(rule)'은 네트워크 공격 등과 연관된 비정상 데이터 및/또는 비정상 데이터에 대한 공격 탐지 정보를 검출하고 저장하기 위한 정보를 포함하는 것으로, 임의의 프로그래밍 언어로 작성될 수 있다. 예를 들어, 룰은 하나 이상의 트리거(trigger) 룰, 하나 이상의 피드(feed) 룰, 하나 이상의 디텍터(detector) 룰을 포함할 수 있으나, 이에 한정되지 않는다. 이와 같은 룰은 비정상 데이터 탐지 시스템, 임의의 컴퓨팅 장치 등에 의해 미리 생성되거나, 사용자에 의해 미리 정해질 수 있다. 일 실시예에 따르면, 트리거 룰은 트리거 모듈의 명칭 등을 나타내는 메타 데이터, 입력 데이터에 대한 정의, 출력 데이터에 대한 정의, 시그널 제한 기능에 대한 정의, 비정상 판단 규칙에 대한 정의 등을 포함할 수 있다. 또한, 피드 룰은 시그널에 대한 논리 연산(bool 연산)에서 허용 시간 차이의 정의, 연결된 하나 이상의 디텍터 모듈의 명칭, 연결된 하나 이상의 트리거 모듈 및 이들 사이의 논리 연산 관계 등을 포함할 수 있다. 또한, 디텍터 룰은 디텍터 모듈의 명칭 등을 나타내는 메타 데이터, 입력 데이터에 대한 정의, 디텍터 모듈의 하나 이상의 탐지 규칙(발생할 경고의 카테고리, 경고 이름, 공격 절차 단계, 경고 판단 규칙)에 대한 정의 등을 포함할 수 있다.

본 발명에서, '비정상 데이터'는 미리 정해진 입력 데이터의 유형, 형식 등과 상이한 정보를 포함하는 데이터를 지칭할 수 있다. 예를 들어, 비정상 데이터는 네트워크 공격 트래픽을 포함할 수 있다.

본 발명에서, '공격 탐지 정보'는 검출된 비정상 데이터와 연관된 네트워크 공격 트래픽 등의 속성(attribute), 유형, 절차 등에 대한 탐지 정보를 지칭할 수 있다. 예를 들어, 공격의 속성은 공격 도구, 유포 방법, 취약점, 공격 그룹 등에 대한 정보를 포함할 수 있다.

도 1은 본 발명의 일 실시예에 따른 비정상 데이터 탐지 시스템(100)의 내부 구성을 나타내는 기능적인 블록도이다. 일 실시예에 따르면, 비정상 데이터 탐지 시스템(100)은 입력 데이터(예: 하나 이상의 패킷(packet)) 내에 포함된 비정상 데이터를 추출하고, 해당 비정상 데이터와 연관된 공격(예: 네트워크 공격 등)의 속성, 절차 등을 검출하기 위한 시스템을 지칭할 수 있다. 이러한 비정상 데이터 탐지 시스템(100)은 하나 이상의 트리거(trigger) 모듈, 시그널 허브(signal hub), 하나 이상의 디텍터(detector) 모듈을 포함할 수 있다. 도시된 것과 같이, 비정상 데이터 탐지 시스템(100)은 3개의 트리거 모듈(120), 시그널 허브(130), 6개의 디텍터 모듈(140, 150, 160)을 포함할 수 있으나, 이에 한정되지 않으며, 상이한 수의 모듈을 포함할 수 있다.

일 실시예에 따르면, 트리거 모듈(120)은 소스 DB(110)로부터 입력 데이터를 수신할 수 있다. 여기서, 소스 DB(110)는 비정상 데이터 탐지의 판단 대상이 되는 임의의 입력 데이터가 저장된 데이터베이스일 수 있다. 소스 DB(110)는 하나의 데이터베이스로 구성되거나, 논리적 및/또는 물리적으로 구분된 둘 이상의 데이터베이스로 구성될 수 있다. 트리거 모듈(120)은 소스 DB(110)로부터 비정상 데이터 탐지의 판단 대상이 되는 입력 데이터를 수신할 수 있다. 예를 들어, 트리거 모듈(120)은 특정 프로토콜(protocol)을 이용하여 특정 사이즈의 입력 데이터를 특정 입력 주기에 따라 수신할 수 있다.

트리거 모듈(120)은 입력 데이터를 수신하고, 트리거 룰(trigger rule)을 기초로 수신된 입력 데이터가 비정상 데이터를 포함하는지 여부를 판정할 수 있다. 일 실시예에 따르면, 트리거 룰은 비정상 데이터를 판단하는 기준에 대한 정보를 포함할 수 있다. 또한, 비정상 데이터를 판단하는 기준은 대상 프로토콜, 검색된 데이터의 수, 머신 러닝 기반의 비정상 스코어(score), SYN 패킷의 개수, 목적 IP 별 PPS, 목적 포트(destination port) 번호의 고유 개수 등을 포함할 수 있다. 이와 같은 비정상 데이터를 판단하는 기준은 사용자에 의해 사전 결정되거나, 공격 여부를 판정하기 위한 임의의 알고리즘에 의해 결정될 수 있다. 즉, 트리거 모듈(120)은 대상 프로토콜, 검색된 데이터의 수, 머신 러닝 기반의 비정상 스코어, SYN 패킷의 개수, 목적 IP 별 PPS, 목적 포트 번호의 고유 개수 등을 이용하여 비정상 데이터를 포함하는지 여부를 판정할 수 있다. 예를 들어, 트리거 모듈(120)은 특정 목적 포트 번호의 전송 패킷이 100개 이상인 경우, 해당 입력 데이터가 비정상 데이터를 포함하는 것으로 판정할 수 있다. 다른 예에서, 트리거 모듈(120)은 머신 러닝 등으로 산출된 비정상 점수가 30 이상인 경우, 해당 입력 데이터가 비정상 데이터를 포함하는 것으로 판정할 수 있다.

입력 데이터 내에 비정상 데이터가 포함된 것으로 판정된 경우, 트리거 모듈(120)은 비정상 데이터를 나타내는 하나 이상의 초기 시그널을 생성할 수 있다. 여기서, 초기 시그널은 비정상 데이터에 해당하는 영역을 포함하는 입력 데이터의 적어도 일부 영역과 연관된 데이터를 지칭할 수 있다. 일 실시예에 따르면, 트리거 룰은 초기 시그널의 타입(type)과 연관된 출력 정보를 포함할 수 있으며, 트리거 모듈(120)은 출력 정보를 기초로 결정된 타입의, 하나 이상의 초기 시그널을 생성할 수 있다. 예를 들어, 제1 트리거 모듈(120_1)은 제1 초기 시그널을 생성하고, 제2 트리거 모듈(120_2)은 제2 초기 시그널을 생성하고, 제3 트리거 모듈(120_3)은 제3 초기 시그널을 생성할 수 있다. 이와 같이 생성된 초기 시그널들은 시그널 허브(130)로 전달될 수 있다.

일 실시예에 따르면, 시그널 허브(130)는 트리거 모듈(120)로부터 수신된 초기 시그널들에 대한 연산을 수행할 수 있다. 구체적으로, 시그널 허브(130)는 피드 룰(feed rule)을 기초로 수신된 초기 시그널들에 대한 연산을 수행하여 결과 시그널을 생성할 수 있다. 예를 들어, 시그널 허브(130)는 트리거 모듈(120)로부터 수신된 초기 시그널들에 대한 중복을 제거하고, 논리 연산(예: Bool 연산)을 수행하여 결과 시그널을 생성할 수 있다. 즉, 피드 룰은 초기 시그널들에 대하여 수행될 논리 연산에 대한 정보를 포함할 수 있으며, 시그널 허브(130)는 피드 룰에 포함된 논리 연산에 대한 정보를 기초로, 연산을 수행할 수 있다. 여기서, 결과 시그널은 논리 연산의 대상이 된 초기 시그널들과 연관된 데이터(예: 초기 시그널들을 병합한 데이터)로서, 해당 초기 시그널들의 시간 범위를 모두 포함하는 데이터를 지칭할 수 있다. 이와 같이 생성된 결과 시그널은 디텍터 모듈(140, 150, 160)로 전달될 수 있다.

일 실시예에 따르면, 디텍터 모듈(140, 150, 160)은 시그널 허브(130)로부터 생성된 결과 시그널을 수신하고, 디텍터(detector) 룰을 기초로, 수신된 결과 시그널로부터 비정상 데이터에 대응하는 공격 탐지 정보를 검출할 수 있다. 예를 들어, 디텍터 룰은 비정상 데이터에 대응하는 공격을 결정하기 위한 공격 탐지 규칙에 대한 정보를 포함할 수 있다. 여기서, 공격 탐지 규칙에 대한 정보는 머신 러닝 기반의 비정상 스코어, 데이터 수 또는 특정 필드의 개수, 패킷의 프로토콜, 링크 인벤토리(link inventory), 링크의 프로토콜 인벤토리(protocol inventory), IP 블랙리스트(blacklist), 도메인 블랙리스트, URL 블랙리스트, mac 주소 인벤토리, IP 주소 인벤토리, SYN 패킷의 개수, 목적 IP 별 PPS, 목적 포트(destination port) 번호의 고유 개수 등을 분석하거나 검사하여 공격의 속성, 절차 등을 결정하기 위한 정보를 포함할 수 있다. 즉, 디텍터 모듈(140, 150, 160)은 디텍터 룰을 이용하여 비정상 데이터에 대응하는 공격 탐지 정보(예: 공격의 속성, 절차 등)를 검출할 수 있다. 이와 같이 검출된 공격 탐지 정보는 경고 DB(170)에 저장될 수 있다.

일 실시예에 따르면, 비정상 데이터 탐지 시스템(100)은 검출된 공격 탐지 정보와 기존에 탐지된 공격(공격의 명칭, 카테고리 등)를 비교하여 공격 탐지 정보와 대응하는 특정 공격을 결정할 수 있다. 그리고 나서, 비정상 데이터 탐지 시스템(100)은 결정된 공격의 대응 방법을 이용하여 해당 공격을 차단하거나 예방할 수 있다. 기존에 탐지된 공격 중 대응되는 공격이 발견되지 않는 경우, 비정상 데이터 탐지 시스템(100)은 검출된 공격 탐지 정보를 새로운 공격으로 정의하고, 해당 공격의 유포 방법, 취약점 등을 임의의 데이터베이스(예: 경고 DB(170)) 상에 저장하여 관리할 수 있다. 다시 말해, 비정상 데이터 탐지 시스템(100)은 기존에 존재하는 공격 뿐만 아니라 새로운 네트워크 공격이 실행된 경우에도, 실시간으로 이를 분석하여 관련 정보 및 대응책 등을 결정할 수 있다.

추가적으로 또는 대안적으로, 비정상 데이터 탐지 시스템(100)은 새롭게 정의된 공격을 이용한 공격 및 대응에 대한 시뮬레이션을 수행할 수 있다. 예를 들어, 비정상 데이터 탐지 시스템(100)은 새롭게 정의된 공격을 이용한 공격 및 대응을 반복적으로 수행하여, 대응 취약점 등을 판정할 수 있다. 그리고 나서, 비정상 데이터 탐지 시스템(100)은 판정된 대응 취약점 등에 대한 수치값, 알고리즘 등을 변경하여 지속적으로 대응 성능을 향상시킬 수 있다. 추가적으로 또는 대안적으로, 비정상 데이터 탐지 시스템(100)은 새롭게 정의된 미리 정해진 개수의 공격을 이용하여, 최신 공격의 트렌드를 분석할 수 있다. 여기서, 공격의 트렌드는 공격의 유포 방법, 취약점 등과 같은 최신 공격에 대한 임의의 정보를 포함할 수 있다. 이 경우, 공격의 트렌드를 분석하고 결정하기 위한 임의의 알고리즘이 사용될 수 있다.

일 실시예에 따르면, 디텍터 모듈(140, 150, 160)은 의존도를 기초로 복수의 레벨(level) 중 하나의 레벨에 대응할 수 있다. 여기서, 의존도는 각각의 디텍터 모듈의 입력값의 유형에 따라 상이하게 결정될 수 있다. 예를 들어, 제1 레벨의 디텍터 모듈(140)은 시그널 허브(130)로부터 직접 결과 시그널을 수신하여 공격 탐지 정보를 생성하는 모듈을 지칭할 수 있다. 또한, 제2 레벨의 디텍터 모듈(150)은 제1 레벨의 디텍터 모듈(140)의 출력값을 새로운 입력값으로 하여 공격 탐지 정보를 재생성하는 모듈을 지칭할 수 있으며, 제3 레벨의 디텍터 모듈(160)은 제2 레벨의 디텍터 모듈(150)의 출력값을 새로운 입력값으로 하여 공격 탐지 정보를 재생성하는 모듈을 지칭할 수 있다. 다시 말해, 이전 레벨의 디텍터 모듈의 공격 탐지 정보는 다음 레벨의 디텍터 모듈에 의해 이용될 수 있다. 이와 같은 디텍터 모듈(140, 150, 160)의 레벨은 디텍터 룰에 포함된 하나 이상의 디텍터 모듈(140, 150, 160) 사이의 관련성(relevance) 정보를 기초로 결정될 수 있다.

도 1에서는 비정상 데이터 탐지 시스템(100)이 소스 DB(110)로부터 입력 데이터를 수신하는 것으로 상술되었으나, 이에 한정되지 않는다. 예를 들어, 비정상 데이터 탐지 시스템(100)은 임의의 외부 장치(예: 사용자 단말, 정보 처리 시스템 등)로부터 입력 데이터를 수신할 수도 있다. 또한, 도 1에서는 트리거 모듈(120), 시그널 허브(130), 디텍터 모듈(140, 150, 160) 등이 구분되어 상술되었으나, 이는 발명의 이해를 돕기 위한 것일 뿐이며, 하나의 연산 장치에서 둘 이상의 기능을 수행할 수도 있다. 이와 같은 구성에 의해, 비정상 데이터 탐지 시스템(100)은 트리거 룰, 피드 룰 및 디텍터 룰을 이용하여 입력 데이터 내에 포함된 비정상 데이터를 효과적으로 추출할 수 있으며, 추출된 비정상 데이터와 연관된 공격을 분석하여 저장함으로써, 이 후 네트워크 공격 등이 발생한 경우, 효율적으로 대응할 수 있다. 또한, 비정상 데이터 탐지 시스템(100)은 디텍터 모듈(140, 150, 160)을 계층 구조(hierarchy structure)로 구성함으로써, 더 정밀한 공격 탐지 정보를 검출할 수 있다. 또한, 비정상 데이터 탐지 시스템(100)은 상술된 과정을 통해 네트워크 공격 등과 연관된 비정상 데이터뿐만 아니라 새롭게 발견되는 공격의 경우에도 간단히 분석하여, 이 후 해당 공격에 대한 대응을 효율적으로 수행할 수 있다.

도 2는 본 발명의 일 실시예에 따른 트리거 모듈(120)의 내부 구성을 나타내는 기능적인 블록도이다. 도시된 것과 같이, 트리거 모듈(120)은 하나 이상의 세부 모듈을 포함할 수 있다. 예를 들어, 트리거 모듈(120)은 룰 파서(210), 데이터 수신 모듈(220), 시그널 제한 모듈(230), 비정상 평가 함수 생성 모듈(240), 비정상 체커 모듈(250), 시그널 생성 모듈(260) 등을 포함할 수 있다. 또한, 트리거 모듈(120)은 소스 DB(110), 시그널 허브(130) 등과 통신하며 비정상 데이터 탐지에 필요한 데이터 및/또는 정보를 주고받을 수 있다.

룰 파서(rule parser)(210)는 트리거 룰(212)을 수신하여 분석 및/또는 처리할 수 있다. 예를 들어, 룰 파서(210)는 하나 이상의 외부 장치로부터 트리거 룰(212)을 수신하고 분석하여, 트리거 모듈(120)에 포함된 각 세부 모듈의 동작을 결정하기 위한 처리를 수행할 수 있다. 일 실시예에 따르면, 트리거 룰(212)은 입력 데이터의 특성과 연관된 입력 정보를 포함할 수 있으며, 룰 파서(210)는 입력 정보를 이용하여 입력 데이터의 특성을 설정하거나 결정할 수 있다. 예를 들어, 룰 파서(210)는 트리거 룰(212)을 기초로 수신하는 입력 데이터의 범주(index), 입력 데이터를 수신하기 위해 사용되는 대상 프로토콜, 입력 데이터의 사이즈, 수신 주기 등을 포함하는 입력 정보를 이용하여 입력 데이터의 특성을 설정하거나 결정할 수 있다. 이와 같이 결정된 입력 데이터의 특성에 대한 정보는 데이터 수신 모듈(220)로 전송될 수 있다.

추가적으로 또는 대안적으로, 룰 파서(210)는 데이터 및/또는 정보의 효율적인 처리를 위해 생성되는 일정 시간 동안의 시그널의 개수를 제한할 수 있다. 일 실시예에 따르면, 트리거 룰(212)은 특정 시간 범위와 해당 시간 범위 내의 생성 및/또는 처리 가능한 시그널의 개수에 대한 정보를 포함할 수 있다. 이 경우, 룰 파서(210)는 해당 정보를 이용하여 시그널의 제한을 설정하거나 결정할 수 있다. 이와 같이 결정된 시그널의 제한에 대한 정보는 시그널 제한 모듈(230)로 전송될 수 있다.

추가적으로 또는 대안적으로, 룰 파서(210)는 비정상 데이터를 탐지하기 위한 조건(condition)을 설정하거나 결정할 수 있다. 상술된 바와 같이, 트리거 룰(212)은 대상 프로토콜, 검색된 데이터의 수, 머신 러닝 기반의 비정상 스코어(score), SYN 패킷의 개수, 목적 IP 별 PPS, 목적 포트(destination port) 번호의 고유 개수 등을 이용하여 비정상 데이터의 탐지와 연관된 조건 정보를 포함할 수 있다. 즉, 룰 파서(210)는 트리거 룰(212)에 포함된 조건 정보를 기초로 비정상 데이터를 탐지하기 위한 정보를 결정할 수 있다. 이와 같이 결정된 비정상 데이터를 탐지하기 위한 정보는 비정상 평가 함수 생성 모듈(240)로 전송될 수 있다.

추가적으로 또는 대안적으로, 룰 파서(210)는 출력 데이터(예: 초기 시그널)의 유형 등을 설정하거나 결정할 수 있다. 예를 들어, 트리거 룰(212)은 출력 데이터의 유형(type), 크기, 범위 등과 연관된 정보를 포함할 수 있다. 즉, 룰 파서(210)는 트리거 룰(212)을 기초로 출력 데이터의 유형 등에 대한 정보를 결정할 수 있다. 이와 같이 결정된 기초로 출력 데이터의 유형 등에 대한 정보는 시그널 생성 모듈(260)로 전송될 수 있다.

일 실시예에 따르면, 데이터 수신 모듈(220)은 입력 데이터의 특성에 대한 정보를 수신하고, 결정된 데이터베이스의 특정 위치로부터, 대상 프로토콜을 이용하여 입력 데이터를 수신할 수 있다. 예를 들어, 입력 데이터의 범주가 "traffic"이고, 대상 프로토콜이 "tcp"이고, 수신 주기는 5s이고, 입력 데이터의 크기는 10s인 경우, 데이터 수신 모듈(220)은 데이터베이스(예: 소스 DB)에서 "traffic"에 해당하는 입력 데이터를 "tcp"프로토콜을 이용하여 10s의 크기로 5s의 주기마다 수신할 수 있다. 그리고 나서, 데이터 수신 모듈(220)은 수신된 입력 데이터를 비정상 체커 모듈(250)로 전송할 수 있다.

일 실시예에 따르면, 비정상 체커 모듈(250)은 비정상 평가 함수 생성 모듈(240)로부터 생성된 비정상 평가 함수를 수신하고, 입력 데이터를 비정상 평가 함수에 입력하여, 입력 데이터 내에 비정상 데이터가 포함되었는지 여부를 판정할 수 있다. 예를 들어, 비정상 평가 함수 생성 모듈(240)은 조건 정보(예: 조건 정보를 기초로 결정된 비정상 데이터를 탐지하기 위한 정보)와 연관된 논리 연산 및 인덴테이션(indentation) 수준을 이용하여, 비정상 데이터를 판정하기 위한 비정상 평가 함수를 생성할 수 있다. 여기서, 비정상 평가 함수는 트리(tree) 구조의 함수로 생성될 수 있다. 즉, 비정상 체커 모듈(250)은 트리 구조의 비정상 평가 함수를 이용하여 입력 데이터 내에 비정상 데이터가 포함되었는지 여부를 판정할 수 있다.

비정상 데이터가 존재하는 것으로 판정된 경우, 비정상 체커 모듈(250)은 시그널 생성 모듈(260)로 초기 시그널 생성 요청을 전송할 수 있다. 또한, 비정상 체커 모듈(250)은 시그널 제한 모듈(230)로 초기 시그널 생성 알림을 전송할 수 있다. 일 실시예에 따르면, 비정상 체커 모듈(250)로부터 수신된 초기 시그널 생성 알림의 개수 및 시그널의 제한에 대한 정보를 이용하여 시그널의 개수를 조절하거나 제한할 수 있다. 예를 들어, 시그널 제한 모듈(230)은 특정 시간(예: 120초) 동안 특정 개수(예: 1개)의 시그널만이 발생하도록 제어할 수 있으며, 특정 시간 내에 특정 개수와 같거나 특정 개수를 넘어서는 시그널이 발생하는 경우, 시그널 제한 모듈(230)은 데이터 수신 모듈(220)을 비활성화시켜 입력 데이터의 수신을 제한할 수 있다. 그리고 나서, 시그널 제한 모듈(230)은 특정 시간이 경과하는 경우, 데이터 수신 모듈(220)을 다시 활성화시키고, 시그널의 개수를 초기화할 수 있다. 이와 같은 구성에 의해, 시그널 제한 모듈(230)은 flooding 공격(네트워크 대역폭 소진 공격) 등에 대한 무한한 시그널의 발생을 방지할 수 있다.

초기 시그널 생성 요청을 수신하는 경우, 시그널 생성 모듈(260)은 수신된 초기 시그널 생성 요청 및 출력 데이터의 유형 등에 대한 정보를 기초로 초기 시그널을 생성할 수 있다. 예를 들어, 초기 시그널의 타입이 "input"으로 결정된 경우, 시그널 생성 모듈(260)은 입력 데이터를 그대로 출력하여 초기 시그널을 생성할 수 있다. 다른 예에서, 초기 시그널의 타입이 "anomaly"로 결정된 경우, 시그널 생성 모듈(260)은 입력 데이터를 기준으로 특정 범위 내의 데이터를 포함시켜 초기 시그널을 생성할 수 있다. 여기서, 초기 시그널은 트리거 모듈(120)의 명칭 및 버전, 데이터베이스의 범주의 명칭, 대상 프로토콜의 명칭, 출력 데이터의 시작 시간, 출력 데이터의 종료 시간 등을 포함할 수 있다. 이와 같이 생성된 초기 시그널은 다음 처리를 위해 시그널 허브(130)로 전송될 수 있다.

도 2에서는 시그널 허브(130)가 하나의 트리거 모듈(120)로부터 생성된 초기 시그널을 수신하는 것으로 도시되었으나, 이에 한정되지 않으며, 시그널 허브(130)는 복수의 트리거 모듈로부터 생성된 초기 시그널들을 수신할 수 있다. 또한, 도 2에서는 트리거 모듈(120)에 포함된 각각의 모듈이 구분되어 상술되었으나, 이는 발명의 이해를 돕기 위한 것일 뿐이며, 하나의 연산 장치에서 둘 이상의 기능을 수행할 수도 있다.

도 3은 본 발명의 일 실시예에 따른 트리거 룰을 기초로 비정상 평가 함수(320)가 생성되는 예시를 나타내는 도면이다. 상술된 바와 같이, 트리거 모듈(또는 비정상 평가 함수 생성 모듈)은 트리거 룰(트리거 룰의 적어도 일부)을 이용하여 비정상 평가 함수(320)를 생성할 수 있다. 예를 들어, 트리거 룰은 특정 데이터를 비정상 데이터로 결정하기 위한 조건 정보(310)를 포함할 수 있으며, 트리거 모듈은 조건 정보와 연관된 논리 연산 및 인덴테이션 수준을 이용하여, 비정상 데이터를 판정하기 위한 비정상 평가 함수를 생성할 수 있다.

도시된 예에서, 트리거 모듈은 bool 연산 및 인덴테이션 수준을 이용하여 조건 정보(310)의 bool 관계를 정의할 수 있다. 예를 들어, "tcp.tcp_flag_syn: 1"구문(360)과 "count(): 20+"구문(370)은 and 연산(340)으로 연결될 수 있으며, 연결된 and 연산(340)과 "anomaly_score: 30+"구문(350)은 or 연산(330)으로 연결될 수 있다. 즉, 트리거 모듈은 조건 정보의 bool 관계를 트리 구조로 구축하여 비정상 평가 함수(320)를 생성할 수 있다.

일 실시예에 따르면, 트리거 모듈은 생성된 비정상 평가 함수(320)를 이용하여 입력 데이터 내에 비정상 데이터가 포함되었는지 여부를 판정할 수 있다. 예를 들어, 트리거 모듈은 트리 형태의 비정상 평가 함수(320)를 후위 순회(postorder)를 기초로 탐지하여 입력 데이터 내에 비정상 데이터가 포함되었는지 여부를 판정할 수 있으나, 이에 한정되지 않는다. 트리거 모듈은 전위 순회(preorder), 중위 순회(inorder) 등을 이용하여 비정상 평가 함수(320)를 탐지할 수도 있다.

도시된 예에서, 입력 데이터가 수신되는 경우, 트리거 모듈은 tcp.tcp_flag_syn 이 1인 패킷이 20개 이상이거나, 비정상 점수가 30 이상인 경우, 해당 입력 데이터가 비정상 데이터를 포함하는 것으로 판정할 수 있다. 이와 같이, 트리 구조의 비정상 평가 함수(320)를 이용하여 입력 데이터를 순차적으로 검사함으로써, 트리거 모듈은 입력 데이터 내에 비정상 데이터가 포함되어 있는지 여부를 효과적으로 확인할 수 있다.

도 4는 본 발명의 일 실시예에 따른 입력 데이터(410)를 기초로 다양한 유형의 출력 데이터(420, 430, 440, 450)가 생성되는 예시를 나타내는 도면이다. 상술된 바와 같이, 트리거 모듈(또는 시그널 생성 모듈)은 입력 데이터(410)에 비정상 데이터(C1)가 포함된 경우, 비정상 데이터를 포함하는 출력 데이터(420, 430, 440, 450)(예: 초기 시그널)를 생성할 수 있다. 예를 들어, 출력 데이터(420, 430, 440, 450)는 트리거 룰에 포함된 출력 정보를 기초로 타입 등이 결정될 수 있다.

일 실시예에 따르면, 트리거 룰은 출력 데이터의 타입(type), 크기(size), 단위(unit), 범위(cover) 등에 대한 정보를 포함할 수 있다. 여기서, 타입은 input 또는 anomaly로 결정될 수 있으며, 크기는 출력 데이터의 시간 간격을 나타낼 수 있다. 또한, 범위는 출력 데이터가 포함하는 영역을 결정할 수 있다. 예를 들어, 타입이 input인 경우, 트리거 모듈은 입력 데이터(410)와 동일한 출력 데이터(420)를 초기 시그널로서 생성하거나 출력할 수 있다. 다른 예에서, 타입이 anomaly이고, 범위가 before인 경우, 트리거 모듈은 비정상 데이터(C1)를 기준으로 이전 시간 간격의 영역을 더 포함하도록 출력 데이터(430)를 초기 시그널로서 생성하거나 출력할 수 있다. 또 다른 예에서, 타입이 anomaly이고, 범위가 after인 경우, 트리거 모듈은 비정상 데이터(C1)를 기준으로 다음 시간 간격의 영역을 더 포함하도록 출력 데이터(440)를 초기 시그널로서 생성하거나 출력할 수 있다. 또 다른 예에서, 타입이 anomaly이고, 범위가 both인 경우, 트리거 모듈은 비정상 데이터(C1)를 기준으로 이전 및 다음 시간 간격의 영역을 더 포함하도록 출력 데이터(450)를 초기 시그널로서 생성하거나 출력할 수 있다. 이와 같은 구성에 의해, 트리거 룰에 따라 비정상 데이터의 전후 데이터를 적절히 추출함으로써, 트리거 모듈은 필요한 범위의 데이터를 간단히 추출할 수 있으며, 별도의 처리 없이 동일한 유형의 데이터를 효과적으로 생성할 수 있다.

도 5는 본 발명의 일 실시예에 따른 시그널 허브(130)의 내부 구성을 나타내는 기능적인 블록도이다. 도시된 것과 같이, 시그널 허브(130)는 하나 이상의 세부 모듈을 포함할 수 있다. 예를 들어, 시그널 허브(130)는 룰 파서(510), 시그널 수신 모듈(520), 시그널 리듀서(signal reducer)(530), 시그널 연산 함수 생성 모듈(540), 시그널 연산 모듈(550), 시그널 디스카더(signal discarder)(560), 시그널 전송 모듈(570) 등을 포함할 수 있다. 또한, 시그널 허브(130)는 트리거 모듈(120), 디텍터 모듈(140) 등과 통신하며 비정상 데이터 탐지에 필요한 데이터 및/또는 정보를 주고받을 수 있다.

룰 파서(510)는 피드 룰(512)을 수신하여 분석 및/또는 처리할 수 있다. 예를 들어, 룰 파서(510)는 하나 이상의 외부 장치로부터 피드 룰(512)을 수신하고 분석하여, 시그널 허브(130)에 포함된 각 세부 모듈의 동작을 결정하기 위한 처리를 수행할 수 있다. 일 실시예에 따르면, 피드 룰(512)은 하나 이상의 트리거 모듈 사이의 논리 관계를 결정하기 위한 관련성 정보를 포함할 수 있다. 여기서, 하나 이상의 트리거 모듈은 복수의 트리거 모듈을 포함할 수 있다. 또한, 관련성 정보는 복수의 트리거 모듈 사이의 bool 연산 관계를 포함할 수 있다. 즉, 룰 파서(510)는 관련성 정보를 기초로 복수의 트리거 모듈 사이의 bool 연산 관계를 분석할 수 있다. 이와 같이 분석된 복수의 트리거 모듈 사이의 bool 연산 관계에 대한 정보는 시그널 연산 함수 생성 모듈(540)로 전송될 수 있다.

추가적으로 또는 대안적으로, 피드 룰(512)은 연산된 결과 시그널을 전달받을 하나 이상의 디텍터 모듈(140)에 대한 정보를 포함할 수 있으며, 룰 파서(510)는 피드 룰(512)을 이용하여 연산된 결과 시그널을 전달받을 하나 이상의 디텍터 모듈(140)의 목록을 결정할 수 있다. 이와 같이 결정된 하나 이상의 디텍터 모듈(140)의 목록은 시그널 전송 모듈(570)로 전송될 수 있다.

일 실시예에 따르면, 시그널 수신 모듈(520)은 트리거 모듈(120)로부터 생성된 초기 시그널들을 수신할 수 있다. 예를 들어, 시그널 수신 모듈(520)은 정의된 모든 트리거 모듈(120)로부터 생성된 초기 시그널들을 수신할 수 있다. 이 경우, 수신된 초기 시그널들은 도착한 순서대로 버퍼(522)에 저장될 수 있다. 이와 같이 저장된 초기 시그널들은 시그널 리듀서(530)에 의해 처리될 때까지 버퍼(522)에 저장될 수 있다.

시그널 리듀서(530)는 버퍼(522)에 저장된 초기 시그널들을 수신한 후, 수신된 초기 시그널들 중 중복되는 초기 시그널을 제거할 수 있다. 예를 들어, 시그널 리듀서(530)는 일정 시간을 주기로 초기 시그널들을 수신하여 중복되는 초기 시그널을 제거할 수 있다. 일 실시예에 따르면, 시그널 리듀서(530)는 하나 이상의 트리거 모듈(120) 중 동일한 트리거 모듈에서 생성된 초기 시그널들을 중복되는 초기 시그널로 판정할 수 있다. 추가적으로 또는 대안적으로, 시그널 리듀서(530)는 비정상 범위가 미리 정해진 비율 이상 중복되는 초기 시그널들을 중복되는 초기 시그널로 판정할 수 있다. 예를 들어, 미리 정해진 비율이 50%일 때, 제1 초기 시그널이 5s에서 25s 사이의 범위의 시그널이고, 제2 초기 시그널이 10s에서 30s 사이의 범위의 시그널인 경우, 제1 초기 시그널 및 제2 초기 시그널은 비정상 범위가 미리 정해진 비율 이상 중복되는 초기 시그널로 판정될 수 있다. 그리고 나서, 시그널 리듀서(530)는 이와 같이 중복되는 것으로 판정된 초기 시그널(중복되는 초기 시그널들 중 하나의 초기 시그널을 제외한 나머지)을 제거한 후, 남은 초기 시그널들을 시그널 연산 모듈(550)로 전달할 수 있다. 이 경우, 시그널 리듀서(530)는 초기 시그널들을 트리거 모듈(120)의 명칭에 따라 그룹화하여 시그널 연산 모듈(550)로 전달할 수 있다. 이와 같은 구성에 의해, 시그널 리듀서(530)는 초기 시그널들을 그대로 이용하지 않고, 중복을 제거함으로써, 데이터 처리 속도 및 효율을 향상시킬 수 있다.

시그널 연산 모듈(550)은 시그널 연산 함수 생성 모듈(540)로부터 생성된 시그널 연산 함수를 수신하고, 하나 이상의 초기 시그널을 시그널 연산 함수에 입력하여 결과 시그널을 생성할 수 있다. 예를 들어, 시그널 연산 함수 생성 모듈(540)은 관련성 정보와 연관된 논리 연산 및 인덴테이션 수준을 이용하여, 하나 이상의 초기 시그널을 기초로 결과 시그널을 생성하기 위한 시그널 연산 함수를 생성할 수 있다. 여기서, 시그널 연산 함수는 트리(tree) 구조의 함수로 생성될 수 있다. 즉, 시그널 연산 모듈(550)은 트리 구조의 시그널 연산 함수를 이용하여 수신된 초기 시그널들에 대한 연산을 수행할 수 있다. 또한, 시그널 연산 모듈(550)은 각 초기 시그널에 대해 복수의 피드 룰 중 어떤 피드 룰에 의해 연산이 수행되었는지 여부를 기록할 수 있다.

모든 초기 시그널에 대해 처리가 완료된 경우, 시그널 연산 모듈(550)은 시그널 전송 모듈(570)로 결과 시그널 전송 요청을 전달할 수 있다. 또한, 시그널 연산 모듈(550)은 시그널 디스카더(560)로 시그널에 대한 처리를 요청할 수 있다. 일 실시예에 따르면, 시그널 디스카더(560)는 시그널 연산 모듈(550)로부터 초기 시그널들을 수신할 수 있다. 예를 들어, 시그널 디스카더(560)는 그룹화된 초기 시그널들을 수신할 수 있다. 초기 시그널들을 수신하는 경우, 시그널 디스카더(560)는 모든 피드 룰에 의해 처리가 완료된 초기 시그널을 삭제하고, 모든 피드 룰에 의해 처리가 완료되지 않은 초기 시그널은 이후에 처리되어야 하므로 보관될 수 있다. 또한, 시그널 디스카더(560)는 전달받은 마지막 초기 시그널과 처리되지 못한 시그널의 시간 차이가 피드 룰에 의해 정의된 거리 차이 값보다 큰 경우, 이후에도 처리되지 않으므로 폐기될 수 있다. 여기서, 보관되는 초기 시그널은 다시 시그널 수신 모듈(520) 및 버퍼(522)를 통해 시그널 리듀서(530) 및 시그널 연산 모듈(550)로 전달될 수 있다. 즉, 모든 초기 시그널에 대하여 처리가 완료될 때까지 상술된 과정이 반복적으로 수행될 수 있다.

시그널 전송 모듈(570)은 수신된 결과 시그널 및 룰 파서(510)로부터 수신된 디텍터 모듈에 대한 정보를 이용하여, 결정된 하나 이상의 디텍터 모듈(140)로 생성된 결과 시그널을 전송할 수 있다. 여기서, 디텍터 모듈(140)로 전송되는 결과 시그널은 연산에 사용된 초기 시그널에 대한 트리거 모듈(120)의 명칭 및 버전, 데이터베이스의 범주의 명칭, 대상 프로토콜의 명칭, 출력 데이터의 시작 시간 및 종료 시간 등을 포함할 수 있다. 이 경우, 시그널 전송 모듈(570)로부터 결과 시그널을 수신하는 디텍터 모듈(140)은 제1 레벨의 디텍터 레벨일 수 있다.

도 5에서는 3개의 트리거 모듈(120)로부터 초기 시그널을 수신하고, 3개의 디텍터 모듈(140)로 결과 시그널을 전송하는 것으로 도시되었으나, 이에 한정되지 않으며, 임의의 개수의 트리거 모듈로부터 초기 시그널을 수신하고, 임의의 개수의 디텍터 모듈로 결과 시그널을 전송할 수 있다. 또한, 도 5에서는 시그널 허브(130)에 포함된 각각의 모듈이 구분되어 상술되었으나, 이는 발명의 이해를 돕기 위한 것일 뿐이며, 하나의 연산 장치에서 둘 이상의 기능을 수행할 수도 있다.

도 6은 본 발명의 일 실시예에 따른 피드 룰을 기초로 시그널 연산 함수(620)가 생성되는 예시를 나타내는 도면이다. 상술된 바와 같이, 시그널 허브(또는 시그널 연산 함수 생성 모듈)은 피드 룰(피드 룰의 적어도 일부)을 이용하여 시그널 연산 함수(620)를 생성할 수 있다. 예를 들어, 피드 룰은 하나 이상의 트리거 모듈 사이의 논리 관계를 결정하기 위한 관련성 정보(610)를 포함할 수 있으며, 시그널 허브는 관련성 정보(610)와 연관된 논리 연산 및 인덴테이션 수준을 이용하여, 하나 이상의 초기 시그널을 기초로 결과 시그널을 생성하기 위한 시그널 연산 함수(620)를 생성할 수 있다.

도시된 예에서, 시그널 허브는 bool 연산 및 인덴테이션 수준을 이용하여 관련성 정보(610)의 bool 관계를 정의할 수 있다. 예를 들어, "Trigger B"구문(650)과 "Trigger C"구문(660)은 or 연산(640)으로 연결될 수 있으며, 연결된 or 연산(640)과 "Trigger A"구문(630)은 and 연산으로 연결될 수 있다. 즉, 시그널 허브는 관련성 정보(610)의 bool 관계를 트리 구조로 구축하여 시그널 연산 함수(620)를 생성할 수 있다. 여기서, 구문이 and 연산으로 연결된 경우, 시그널 허브는 해당 트리거 모듈들로부터 모두 초기 시그널이 도착하면 연산을 수행할 수 있다. 또한, 구문이 or 연산으로 연결된 경우, 시그널 허브는 하나 이상의 트리거 모듈로부터 초기 시그널이 도착하면 곧바로 연산을 수행할 수 있다.

일 실시예에 따르면, 시그널 허브는 생성된 시그널 연산 함수(620)를 이용하여 초기 시그널들로부터 연산 대상이 되는 트리거 모듈들로부터 전달된 것인지 여부를 판정하고, 결과 시그널을 생성할 수 있다. 예를 들어, 시그널 허브는 트리 형태의 시그널 연산 함수(620)를 후위 순회를 기초로 탐지하여 초기 시그널들이 연산 대상인지 여부를 판정하고, 연산 대상인 경우 해당 초기 시그널들을 이용하여 결과 시그널을 생성할 수 있으나, 이에 한정되지 않는다. 시그널 허브는 전위 순회, 중위 순회 등을 이용하여 시그널 연산 함수(620)를 탐지할 수도 있다. 추가적으로, 피드 룰은 거리(distance) 설정 값을 포함할 수 있으며, 연산 대상인지 여부의 판단 시, 시그널 허브는 초기 시그널들의 범위의 차이가 거리 설정 값 이내 인지 여부를 기초로 연상 대상인지 여부를 판단할 수 있다.

도시된 예에서, 시그널 허브는 Trigger B 또는 Trigger C 중 어느 하나에서 초기 시그널을 수신하고, Trigger A로부터 추가적으로 초기 시그널을 수신하는 경우, 수신된 초기 시그널들을 이용하여 결과 시그널을 생성할 수 있다. 여기서, 결과 시그널은 연산 대상인 초기 시그널들의 시간 범위를 포함할 수 있다. 이와 같은 구성에 의해, 시그널 허브는 트리 구조의 시그널 연산 함수(620)를 이용하여 복수의 트리거 모듈 중 목적하는 트리거 모듈로부터 수신된 초기 시그널에 대한 연산을 선택적으로 수행할 수 있다.

도 7은 본 발명의 일 실시예에 따른 디텍터 모듈(140)의 내부 구성을 나타내는 기능적인 블록도이다. 도시된 것과 같이, 디텍터 모듈(140)은 하나 이상의 세부 모듈을 포함할 수 있다. 예를 들어, 디텍터 모듈(140)은 룰 파서(710), 함수 생성 모듈(720), 공격 탐지 모듈(730) 등을 포함할 수 있다. 여기서, 디텍터 모듈(140)은 디텍터 모듈(140)이 수신하는 입력값에 따라 복수의 레벨 중 하나의 레벨에 대응할 수 있다. 또한, 디텍터 모듈(140)은 비정상 데이터 탐지 시스템의 다른 모듈 구성과 통신하며 비정상 데이터 탐지에 필요한 데이터 및/또는 정보를 주고받을 수 있다.

룰 파서(710)는 디텍터 룰(712)을 수신하여 분석 및/또는 처리할 수 있다. 예를 들어, 룰 파서(710)는 하나 이상의 외부 장치로부터 디텍터 룰(712)을 수신하고 분석하여, 디텍터 모듈(140)에 포함되거나 연결된 각 세부 모듈의 동작을 결정하기 위한 처리를 수행할 수 있다. 일 실시예에 따르면, 디텍터 룰(712)은 비정상 데이터와 연관된 공격 정보를 추출하기 위한 탐지 규칙에 대한 정보를 포함할 수 있다. 이 경우, 룰 파서(710)는 탐지 규칙에 대한 정보의 논리 연산 관계 등을 분석하여 함수 생성 모듈(720)로 전달할 수 있다. 추가적으로 또는 대안적으로, 디텍터 룰(712)은 공격 탐지 정보의 처리 여부를 결정하기 위한 하나 이상의 디텍터 모듈(140) 사이의 관련성 정보를 포함할 수 있다. 이 경우, 룰 파서(710)는 해당 관련성 정보의 논리 연산 관계 등을 분석하여 함수 생성 모듈(720)로 전달할 수 있다.

일 실시예에 따르면, 시그널 허브(130)로부터 전달된 결과 시그널은 버퍼(740)에 저장될 수 있다. 이 경우, 데이터 수신 모듈(750)은 버퍼(740)에 저장된 결과 시그널을 읽고 처리할 수 있다. 예를 들어, 데이터 수신 모듈(750)은 결과 시그널에 포함된 범주 정보와 대상 프로토콜 정보를 이용하여 소스 DB(110)에 저장된 데이터를 조회할 수 있다. 데이터 수신 모듈(750)은 결과 시그널 및/또는 조회된 데이터를 디텍터 모듈(제1 레벨의 디텍터 모듈)(140)로 전달할 수 있다.

일 실시예에 따르면, 공격 탐지 모듈(730)은 함수 생성 모듈(720)로부터 생성된 공격 탐지 함수를 수신하고, 결과 시그널과 연관된 입력 데이터를 공격 탐지 함수에 입력하여, 결과 시그널에 대한 공격 탐지를 수행할 수 있다. 예를 들어, 함수 생성 모듈(720)은 탐지 규칙에 대한 정보와 연관된 논리 연산 및 인덴테이션 수준을 이용하여, 공격 정보를 추출하기 위한 공격 탐지 함수를 생성할 수 있다. 여기서, 공격 탐지 함수는 트리(tree) 구조의 함수로 생성될 수 있다. 즉, 공격 탐지 모듈(730)은 트리 구조의 공격 탐지 함수를 이용하여 결과 시그널에 대한 공격 탐지를 수행할 수 있다. 공격 탐지 모듈(730)에 의해 탐지가 완료된 경우, 탐지 이력이 저장되고, 탐지 이력 및 해당 디텍터 모듈(140)의 명칭 등을 포함하는 공격 탐지 정보를 평가 모듈(760)로 전달될 수 있다.

평가 모듈(760)은 함수 생성 모듈(720)로부터 생성된 평가 함수를 수신하고, 수신된 평가 함수를 기초로 공격 탐지 정보를 다음 레벨의 디텍터 모듈 또는 백트래커(backtracker) 모듈(770)로 전송할 수 있다. 예를 들어, 디텍터 룰(712)은 공격 탐지 정보의 처리 여부를 결정하기 위한 하나 이상의 디텍터 모듈 사이의 관련성 정보를 포함하고, 함수 생성 모듈(720)은 관련성 정보와 연관된 논리 연산 및 인덴테이션 수준을 이용하여, 공격 탐지 정보의 처리 여부를 결정하기 위한 평가 함수를 생성할 수 있다. 일 실시예에 따르면, 평가 모듈(760)은 다음 레벨의 디텍터 모듈이 존재하는 경우, 평가 함수를 기초로 공격 탐지 정보를 다음 레벨의 디텍터 모듈로 전송할 수 있다. 추가적으로 또는 대안적으로, 평가 모듈(760)은 다음 레벨의 디텍터 모듈이 존재하지 않는 경우, 공격 탐지 정보를 백트래커 모듈(770)로 전송할 수 있다.

백트래커 모듈(770)은 하나 이상의 디텍터 모듈의 공격 탐지 정보를 이용하여, 비정상 데이터와 연관된 공격의 속성 및 공격의 절차를 결정할 수 있다. 일 실시예에 따르면, 백트래커 모듈(770)은 각각의 디텍터 모듈에 포함된 공격 탐지 모듈들에서 공격이 탐지될 때마다 기록된 탐지 정보와 이력을 분석하여 공격의 속성 및/또는 공격의 라이프사이클(lifecycle)을 분석할 수 있다. 예를 들어, 최종 공격 탐지에 대한 공격 속성은 탐지되었던 경고(alert)의 카테고리와 명칭일 수 있으며, 공격 절차는 활성화된 디텍터 모듈들의 공격 상태를 연결하여 구성될 수 있다. 여기서, 백트래커 모듈(770)은 공격 상태 전환 테이블(780)에서 이전의 공격 절차 상태 등에 대한 정보를 수신하고, 이전 공격 상태와 현재 공격 상태가 연결 가능한 경우 공격 절차(시퀀스)를 구성하거나, 연결 불가능한 경우 새로운 공격 절차를 구성할 수 있다. 이와 같이 탐지된 공격 탐지 정보, 공격의 속성, 절차 등은 경고 모듈(790)로 전송될 수 있으며, 경고 모듈(790)은 탐지된 정보를 경고 DB(170)에 저장할 수 있다.

도 7에서는 함수 생성 모듈(720)이 공격 탐지 함수 및 평가 함수를 생성하는 것으로 상술되었으나, 이에 한정되지 않으며, 공격 탐지 함수를 생성하는 모듈 및 평가 함수를 생성하는 모듈이 구분되어 존재할 수도 있다. 또한, 도 7에서는 디텍터 모듈(140)에 포함되거나 연결된 각각의 모듈이 구분되어 상술되었으나, 이는 발명의 이해를 돕기 위한 것일 뿐이며, 하나의 연산 장치에서 둘 이상의 기능을 수행할 수도 있다.

도 8은 본 발명의 일 실시예에 따른 디텍터 룰을 기초로 평가 함수(820)가 생성되는 예시를 나타내는 도면이다. 상술된 바와 같이, 디텍터 모듈(디텍터 모듈의 평가 함수 생성 모듈)은 디텍터 룰(디텍터 룰의 적어도 일부)을 이용하여 평가 함수(820)를 생성할 수 있다. 예를 들어, 디텍터 룰은 공격 탐지 정보의 처리 여부를 결정하기 위한 하나 이상의 디텍터 모듈 사이의 관련성 정보(810)를 포함할 수 있으며, 디텍터 모듈은 관련성 정보(810)와 연관된 논리 연산 및 인덴테이션 수준을 이용하여, 공격 탐지 정보의 처리 여부를 결정하기 위한 평가 함수(820)를 생성할 수 있다.

도시된 예에서, 입력(input)의 타입은 시그널(signal) 또는 디텍터(detectors)로 결정될 수 있다. 입력 타입이 시그널인 경우, 디텍터 모듈은 시그널 허브로부터 직접 결과 시그널을 수신하므로, 평가 함수(820)는 사용되지 않을 수 있다. 다시 말해, 평가 함수(820)는 디텍터 모듈로부터 공격 탐지 정보를 입력값으로 수신하는 경우에 사용될 수 있다. 디텍터 모듈은 bool 연산 및 인덴테이션 수준을 이용하여 관련성 정보(810)의 bool 관계를 정의할 수 있다. 예를 들어, "Detector A"구문(840)과 "Detector B"구문(850)은 or 연산(830)으로 연결될 수 있다. 즉, 디텍터 모듈은 관련성 정보(810)의 bool 관계를 트리 구조로 구축하여 평가 함수(820)를 생성할 수 있다. 이와 같이 생성된 평가 함수(820)는 평가 모듈로 전송될 수 있다.

평가 모듈은 평가 함수(820)를 이용하여 다음 레벨의 디텍터 모듈이 존재하는지 여부를 검사할 수 있다. 다음 레벨의 디텍터 모듈이 존재하는 경우, 평가 모듈은 이전 레벨의 디텍터 모듈의 공격 탐지 정보를 다음 레벨의 디텍터 모듈로 전송할 수 있다. 다음 레벨의 디텍터 모듈이 존재하지 않는 경우, 평가 모듈은 공격 탐지 정보를 백트래커 모듈로 전송하여 공격의 특성, 절차 등을 분석할 수 있다. 예를 들어, 구문이 and 연산으로 연결된 경우, 평가 모듈은 해당 디텍터 모듈들로부터 모두 공격이 탐지된 경우, 상술된 처리를 수행할 수 있다. 또한, 구문이 or 연산으로 연결된 경우, 평가 모듈은 하나 이상의 디텍터 모듈로부터 공격이 탐지된 경우 곧바로 처리를 수행할 수 있다.

도시된 예에서, 평가 모듈은 Detector A 또는 Detector B 중 어느 하나에서 탐지 이력 등을 포함하는 공격 탐지 정보를 수신하는 경우, 다음 레벨의 디텍터 모듈이 있는지 여부를 검사하고, 이에 대한 처리를 수행할 수 있다. 이와 같은 구성에 의해, 평가 모듈은 트리 구조의 평가 함수(820)를 이용하여 디텍터 모듈 각각에 대응하는 레벨 및 연결 관계를 결정하고, 목적하는 디텍터 모듈 들을 이용하여 점점 더 정밀하게 공격 탐지를 수행할 수 있다.

도 9는 본 발명의 일 실시예에 따른 디텍터 룰을 기초로 공격 탐지 함수(920)가 생성되는 예시를 나타내는 도면이다. 상술된 바와 같이, 디텍터 모듈(또는 공격 탐지 함수 생성 모듈)은 디텍터 룰(디텍터 룰의 적어도 일부)을 이용하여 공격 탐지 함수(920)를 생성할 수 있다. 예를 들어, 디텍터 룰은 비정상 데이터와 연관된 공격 정보를 추출하기 위한 탐지 규칙에 대한 정보(910)를 포함할 수 있으며, 디텍터 모듈은 탐지 규칙에 대한 정보(910)와 연관된 논리 연산 및 인덴테이션 수준을 이용하여, 공격 정보를 추출하기 위한 공격 탐지 함수(920)를 생성할 수 있다.

도시된 예에서, 탐지 규칙에 대한 정보(910)는 발생할 경고의 카테고리(category), 발생할 경고의 명칭(alert), 경고가 발생할 수 있는 공격 절차 단계 등에 대한 정보를 포함할 수 있다. 디텍터 모듈은 bool 연산 및 인덴테이션 수준을 이용하여 탐지 규칙에 대한 정보(910)의 bool 관계를 정의할 수 있다. 예를 들어, "modbus.modbus_exception_code == 1" 구문(940)과 "modbus.modbus_exception_code == 3" 구문(950)은 or 연산(930)으로 연결될 수 있다. 즉, 디텍터 모듈은 탐지 규칙에 대한 정보(910)를 트리 구조로 구축하여 공격 탐지 함수(920)를 생성할 수 있다.

일 실시예에 따르면, 디텍터 모듈은 공격 탐지 함수(920)를 이용하여 결과 시그널 및/또는 이전 레벨의 공격 탐지 정보에 포함된 공격의 속성, 절차 등을 결정할 수 있다. 예를 들어, 입력 데이터가modbus.modbus_exception_code가 1 이거나 3인 경우, 디텍터 모듈은 해당 조건과 연관된 공격의 속성, 절차 등을 탐지할 수 있다. 예를 들어, 디텍터 모듈은 트리 형태의 공격 탐지 함수(920)를 후위 순회(postorder)를 기초로 탐지하여 공격의 속성, 절차 등을 탐지할 수 있으나, 이에 한정되지 않는다. 디텍터 모듈은 전위 순회(preorder), 중위 순회(inorder) 등을 이용하여 공격 탐지 함수(920)를 탐지할 수도 있다. 이와 같은 구성에 의해, 디텍터 모듈은 트리 구조의 공격 탐지 함수(920)를 이용하여 다양한 비정상 데이터 중 특정 탐지 규칙을 만족하는 비정상 데이터를 효과적으로 검출할 수 있다.

도 10은 본 발명의 일 실시예에 따른 비정상 데이터 탐지 방법(1000)의 예시를 나타내는 흐름도이다. 일 실시예에 따르면, 비정상 데이터 탐지 방법(1000)은 프로세서(예를 들어, 컴퓨팅 장치의 적어도 하나의 프로세서)에 의해 수행될 수 있다. 도시된 바와 같이, 비정상 데이터 탐지 방법(1000)은 프로세서가 입력 데이터를 수신하고, 트리거 룰을 기초로 수신된 입력 데이터 내에 비정상 데이터가 포함된 경우, 비정상 데이터를 나타내는 하나 이상의 초기 시그널을 생성함으로써 개시될 수 있다(S1010).

프로세서는 생성된 하나 이상의 초기 시그널을 수신하고, 피드 룰을 기초로 수신된 하나 이상의 초기 시그널에 대한 논리 연산을 수행하여 결과 시그널을 생성할 수 있다(S1020). 여기서, 결과 시그널은 논리 연산의 대상이 된 초기 시그널들과 연관된 데이터로서, 해당 초기 시그널들의 시간 범위를 모두 포함하는 데이터를 지칭할 수 있다.

프로세서는 생성된 결과 시그널을 수신하고, 디텍터 룰을 기초로, 수신된 결과 시그널로부터 비정상 데이터에 대응하는 공격 탐지 정보를 검출할 수 있다(S1030). 예를 들어, 공격 탐지 정보는 탐지를 수행한 디텍터 모듈의 명칭, 탐지 이력 등을 포함할 수 있다. 여기서, 하나 이상의 디텍터 모듈의 각각은 디텍터 모듈의 의존도를 기초로 복수의 레벨 중 하나의 레벨에 대응할 수 있다. 또한, 이전 레벨의 디텍터 모듈의 공격 탐지 정보는 다음 레벨의 디텍터 모듈에 의해 이용될 수 있다.

도 11은 본 발명의 일 실시예에 따른 초기 시그널 생성 방법(1100)의 예시를 나타내는 흐름도이다. 일 실시예에 따르면, 초기 시그널 생성 방법(1100)은 프로세서(예를 들어, 컴퓨팅 장치의 적어도 하나의 프로세서)에 의해 수행될 수 있다. 도시된 바와 같이, 초기 시그널 생성 방법(1100)은 프로세서가 조건 정보와 연관된 논리 연산 및 인덴테이션 수준을 이용하여, 비정상 데이터를 판정하기 위한 비정상 평가 함수를 생성함으로써 개시될 수 있다(S1110).

프로세서는 입력 데이터를 비정상 평가 함수에 입력하여 입력 데이터 내에 비정상 데이터가 포함되었는지 여부를 판정할 수 있다(S1120). 여기서, 비정상 평가 함수는 조건 정보와 연관된 논리 연산 및 인덴테이션 수준을 이용하여 생성될 수 있다. 또한, 프로세서는 비정상 데이터가 포함된 것으로 판정된 경우, 출력 정보를 기초로 결정된 타입의, 하나 이상의 초기 시그널을 생성할 수 있다(S1130). 여기서, 출력 정보는 생성되는 초기 시그널의 타입과 연관될 수 있다.

도 12는 본 발명의 일 실시예에 따른 결과 시그널 생성 방법(1200)의 예시를 나타내는 흐름도이다. 일 실시예에 따르면, 결과 시그널 생성 방법(1200)은 프로세서(예를 들어, 컴퓨팅 장치의 적어도 하나의 프로세서)에 의해 수행될 수 있다. 도시된 바와 같이, 결과 시그널 생성 방법(1200)은 프로세서가 관련성 정보와 연관된 논리 연산 및 인덴테이션 수준을 이용하여, 하나 이상의 초기 시그널을 기초로 결과 시그널을 생성하기 위한 시그널 연산 함수를 생성함으로써 개시될 수 있다(S1210). 여기서, 관련성 정보는 하나 이상의 트리거 모듈 사이의 논리 관계를 결정하기 위한 정보를 포함할 수 있다.

프로세서는 하나 이상의 초기 시그널을 시그널 연산 함수에 입력하여 결과 시그널을 생성할 수 있다(S1220). 또한, 프로세서는 디텍터 모듈에 대한 정보를 기초로 결정된 하나 이상의 디텍터 모듈로 생성된 결과 시그널을 전송할 수 있다(S1230). 여기서, 디텍터 모듈에 대한 정보는 생성된 결과 시그널을 전달받는 디텍터 모듈을 결정하기 위한 임의의 정보를 포함할 수 있다.

일 실시예에 따르면, 프로세서는 초기 시그널을 수신하고, 하나 이상의 초기 시그널 중 중복되는 초기 시그널을 제거할 수 있다. 예를 들어, 프로세서는 하나 이상의 트리거 모듈 중 동일한 트리거 모듈에서 생성된 초기 시그널들을 중복되는 초기 시그널로 판정하고 제거할 수 있다. 다른 예에서, 프로세서는 비정상 범위가 미리 정해진 비율 이상 중복되는 초기 시그널들을 중복되는 초기 시그널로 판정하고 제거할 수 있다.

도 13은 본 발명의 일 실시예에 따른 공격 탐지 방법(1300)의 예시를 나타내는 흐름도이다. 일 실시예에 따르면, 공격 탐지 방법(1300)은 프로세서(예를 들어, 컴퓨팅 장치의 적어도 하나의 프로세서)에 의해 수행될 수 있다. 도시된 바와 같이, 공격 탐지 방법(1300)은 프로세서가 탐지 규칙에 대한 정보와 연관된 논리 연산 및 인덴테이션 수준을 이용하여, 공격 정보를 추출하기 위한 공격 탐지 함수를 생성함으로써 개시될 수 있다(S1310).

프로세서는 입력 데이터를 공격 탐지 함수에 입력하여, 결과 시그널에 대한 공격 탐지를 수행할 수 있다(S1320). 다시 말해, 프로세서는 공격 탐지 함수를 이용하여 결과 시그널과 연관된 입력 데이터에 대한 공격 탐지 정보를 생성할 수 있다. 이와 같이 생성된 공격 탐지 정보는 공격의 속성 및/또는 절차를 판정하기 위해 사용되거나 추가적인 공격 탐지를 위해 사용될 수도 있다.

상술된 방법 및/또는 다양한 실시예들은, 디지털 전자 회로, 컴퓨터 하드웨어, 펌웨어, 소프트웨어 및/또는 이들의 조합으로 실현될 수 있다. 본 발명의 다양한 실시예들은 데이터 처리 장치, 예를 들어, 프로그래밍 가능한 하나 이상의 프로세서 및/또는 하나 이상의 컴퓨팅 장치에 의해 실행되거나, 컴퓨터 판독 가능한 기록 매체 및/또는 컴퓨터 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램으로 구현될 수 있다. 상술된 컴퓨터 프로그램은 컴파일된 언어 또는 해석된 언어를 포함하여 임의의 형태의 프로그래밍 언어로 작성될 수 있으며, 독립 실행형 프로그램, 모듈, 서브 루틴 등의 임의의 형태로 배포될 수 있다. 컴퓨터 프로그램은 하나의 컴퓨팅 장치, 동일한 네트워크를 통해 연결된 복수의 컴퓨팅 장치 및/또는 복수의 상이한 네트워크를 통해 연결되도록 분산된 복수의 컴퓨팅 장치를 통해 배포될 수 있다.

상술된 방법 및/또는 다양한 실시예들은, 입력 데이터를 기초로 동작하거나 출력 데이터를 생성함으로써, 임의의 기능, 함수 등을 처리, 저장 및/또는 관리하는 하나 이상의 컴퓨터 프로그램을 실행하도록 구성된 하나 이상의 프로세서에 의해 수행될 수 있다. 예를 들어, 본 발명의 방법 및/또는 다양한 실시예는 FPGA(Field Programmable Gate Array) 또는 ASIC(Application Specific Integrated Circuit)과 같은 특수 목적 논리 회로에 의해 수행될 수 있으며, 본 발명의 방법 및/또는 실시예들을 수행하기 위한 장치 및/또는 시스템은 FPGA 또는 ASIC와 같은 특수 목적 논리 회로로서 구현될 수 있다.

컴퓨터 프로그램을 실행하는 하나 이상의 프로세서는, 범용 목적 또는 특수 목적의 마이크로 프로세서 및/또는 임의의 종류의 디지털 컴퓨팅 장치의 하나 이상의 프로세서를 포함할 수 있다. 프로세서는 읽기 전용 메모리, 랜덤 액세스 메모리의 각각으로부터 명령 및/또는 데이터를 수신하거나, 읽기 전용 메모리와 랜덤 액세스 메모리로부터 명령 및/또는 데이터를 수신할 수 있다. 본 발명에서, 방법 및/또는 실시예들을 수행하는 컴퓨팅 장치의 구성 요소들은 명령어들을 실행하기 위한 하나 이상의 프로세서, 명령어들 및/또는 데이터를 저장하기 위한 하나 이상의 메모리 디바이스를 포함할 수 있다.

일 실시예에 따르면, 컴퓨팅 장치는 데이터를 저장하기 위한 하나 이상의 대용량 저장 장치와 데이터를 주고받을 수 있다. 예를 들어, 컴퓨팅 장치는 자기 디스크(magnetic disc) 또는 광 디스크(optical disc)로부터 데이터를 수신하거나/수신하고, 자기 디스크 또는 광 디스크로 데이터를 전송할 수 있다. 컴퓨터 프로그램과 연관된 명령어들 및/또는 데이터를 저장하기에 적합한 컴퓨터 판독 가능한 저장 매체(기록 매체)는, EPROM(Erasable Programmable Read-Only Memory), EEPROM(Electrically Erasable PROM), 플래시 메모리 장치 등의 반도체 메모리 장치를 포함하는 임의의 형태의 비 휘발성 메모리를 포함할 수 있으나, 이에 한정되지 않는다. 예를 들어, 컴퓨터 판독 가능한 저장 매체는 내부 하드 디스크 또는 이동식 디스크와 같은 자기 디스크, 광 자기 디스크, CD-ROM 및 DVD-ROM 디스크를 포함할 수 있다.

사용자와의 상호 작용을 제공하기 위해, 컴퓨팅 장치는 정보를 사용자에게 제공하거나 디스플레이하기 위한 디스플레이 장치(예를 들어, CRT (Cathode Ray Tube), LCD(Liquid Crystal Display) 등) 및 사용자가 컴퓨팅 장치 상에 입력 및/또는 명령 등을 제공할 수 있는 포인팅 장치(예를 들어, 키보드, 마우스, 트랙볼 등)를 포함할 수 있으나, 이에 한정되지 않는다. 즉, 컴퓨팅 장치는 사용자와의 상호 작용을 제공하기 위한 임의의 다른 종류의 장치들을 더 포함할 수 있다. 예를 들어, 컴퓨팅 장치는 사용자와의 상호 작용을 위해, 시각적 피드백, 청각 피드백 및/또는 촉각 피드백 등을 포함하는 임의의 형태의 감각 피트백을 사용자에게 제공할 수 있다. 이에 대해, 사용자는 시각, 음성, 동작 등의 다양한 제스처를 통해 컴퓨팅 장치로 입력을 제공할 수 있다.

본 발명에서, 다양한 실시예들은 백엔드 구성 요소(예: 데이터 서버), 미들웨어 구성 요소(예: 애플리케이션 서버) 및/또는 프론트 엔드 구성 요소를 포함하는 컴퓨팅 장치에서 구현될 수 있다. 이 경우, 구성 요소들은 통신 네트워크와 같은 디지털 데이터 통신의 임의의 형태 또는 매체에 의해 상호 연결될 수 있다. 예를 들어, 통신 네트워크는 LAN(Local Area Network), WAN(Wide Area Network) 등을 포함할 수 있다.

본 명세서에서 기술된 예시적인 실시예들에 기반한 컴퓨팅 장치는, 사용자 디바이스, 사용자 인터페이스(UI) 디바이스, 사용자 단말 또는 클라이언트 디바이스를 포함하여 사용자와 상호 작용하도록 구성된 하드웨어 및/또는 소프트웨어를 사용하여 구현될 수 있다. 예를 들어, 컴퓨팅 장치는 랩톱(laptop) 컴퓨터와 같은 휴대용 컴퓨팅 장치를 포함할 수 있다. 추가적으로 또는 대안적으로, 컴퓨팅 장치는, PDA(Personal Digital Assistants), 태블릿 PC, 게임 콘솔(game console), 웨어러블 디바이스(wearable device), IoT(internet of things) 디바이스, VR(virtual reality) 디바이스, AR(augmented reality) 디바이스 등을 포함할 수 있으나, 이에 한정되지 않는다. 컴퓨팅 장치는 사용자와 상호 작용하도록 구성된 다른 유형의 장치를 더 포함할 수 있다. 또한, 컴퓨팅 장치는 이동 통신 네트워크 등의 네트워크를 통한 무선 통신에 적합한 휴대용 통신 디바이스(예를 들어, 이동 전화, 스마트 전화, 무선 셀룰러 전화 등) 등을 포함할 수 있다. 컴퓨팅 장치는, 무선 주파수(RF; Radio Frequency), 마이크로파 주파수(MWF; Microwave Frequency) 및/또는 적외선 주파수(IRF; Infrared Ray Frequency)와 같은 무선 통신 기술들 및/또는 프로토콜들을 사용하여 네트워크 서버와 무선으로 통신하도록 구성될 수 있다.

본 발명에서, 달리 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함하여 본 명세서에서 사용되는 모든 용어는 이러한 개념이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 갖는다. 또한, 사전에 정의된 용어와 같이 일반적으로 사용되는 용어들은 관련 기술의 맥락에서의 의미와 일치하는 의미를 갖는 것으로 해석되어야 한다.

본 명세서에서는 본 발명이 일부 실시예들과 관련하여 설명되었지만, 본 발명의 발명이 속하는 기술분야의 통상의 기술자가 이해할 수 있는 본 발명의 범위를 벗어나지 않는 범위에서 다양한 변형 및 변경이 이루어질 수 있다. 또한, 그러한 변형 및 변경은 본 명세서에 첨부된 특허청구의 범위 내에 속하는 것으로 생각되어야 한다.

Claims

비정상 데이터 탐지 시스템으로서,

입력 데이터를 수신하고, 트리거 룰(trigger rule)을 기초로 상기 수신된 입력 데이터 내에 비정상 데이터가 포함된 경우, 상기 비정상 데이터를 나타내는 하나 이상의 초기 시그널(signal)을 생성하는 하나 이상의 트리거 모듈;

상기 하나 이상의 트리거 모듈로부터 상기 생성된 하나 이상의 초기 시그널을 수신하고, 피드 룰(feed rule)을 기초로 상기 수신된 하나 이상의 초기 시그널에 대한 논리 연산을 수행하여 결과 시그널을 생성하는 시그널 허브(signal hub); 및

상기 시그널 허브로부터 상기 생성된 결과 시그널을 수신하고, 디텍터(detector) 룰을 기초로, 상기 수신된 결과 시그널로부터 상기 비정상 데이터에 대응하는 공격 탐지 정보를 검출하는 하나 이상의 디텍터 모듈

을 포함하는, 비정상 데이터 탐지 시스템.
제1항에 있어서,

상기 트리거 룰은, 특정 데이터를 비정상 데이터로 결정하기 위한 조건(condition) 정보를 포함하고,

상기 하나 이상의 트리거 모듈은,

상기 조건 정보와 연관된 논리 연산 및 인덴테이션(indentation) 수준을 이용하여, 비정상 데이터를 판정하기 위한 비정상 평가 함수를 생성하는 비정상 평가 함수 생성 모듈을 포함하는, 비정상 데이터 탐지 시스템.
제2항에 있어서,

상기 하나 이상의 트리거 모듈은,

상기 비정상 평가 함수 생성 모듈로부터 상기 생성된 비정상 평가 함수를 수신하고, 상기 입력 데이터를 상기 비정상 평가 함수에 입력하여 상기 입력 데이터 내에 비정상 데이터가 포함된 경우, 초기 시그널 생성 요청을 전송하는 비정상 체커(checker) 모듈을 더 포함하는, 비정상 데이터 탐지 시스템.
제3항에 있어서,

상기 트리거 룰은, 생성되는 초기 시그널의 타입(type)과 연관된 출력 정보를 더 포함하고,

상기 하나 이상의 트리거 모듈은,

상기 비정상 체커 모듈로부터 상기 초기 시그널 생성 요청을 수신하는 경우, 상기 출력 정보를 기초로 결정된 타입의, 하나 이상의 초기 시그널을 생성하는 시그널 생성 모듈을 더 포함하는, 비정상 데이터 탐지 시스템.
제1항에 있어서,

상기 트리거 룰은, 상기 입력 데이터의 특성과 연관된 입력 정보를 포함하고,

상기 하나 이상의 트리거 모듈은,

상기 입력 정보를 기초로 결정된 데이터베이스의 특정 위치로부터, 대상 프로토콜을 이용하여 상기 입력 데이터를 수신하는 데이터 수신 모듈을 포함하는, 비정상 데이터 탐지 시스템.
제1항에 있어서,

상기 피드 룰은, 상기 하나 이상의 트리거 모듈 사이의 논리 관계를 결정하기 위한 관련성(relevance) 정보를 포함하고,

상기 시그널 허브는,

상기 관련성 정보와 연관된 논리 연산 및 인덴테이션 수준을 이용하여, 상기 하나 이상의 초기 시그널을 기초로 상기 결과 시그널을 생성하기 위한 시그널 연산 함수를 생성하는 시그널 연산 함수 생성 모듈을 포함하는, 비정상 데이터 탐지 시스템.
제6항에 있어서,

상기 시그널 허브는,

상기 시그널 연산 함수 생성 모듈로부터 상기 생성된 시그널 연산 함수를 수신하고, 상기 하나 이상의 초기 시그널을 상기 시그널 연산 함수에 입력하여 상기 결과 시그널을 생성하는 시그널 연산 모듈을 더 포함하는, 비정상 데이터 탐지 시스템.
제1항에 있어서,

상기 시그널 허브는,

상기 하나 이상의 초기 시그널 중 중복되는 초기 시그널을 제거하기 위한 시그널 리듀서(reducer)를 포함하는, 비정상 데이터 탐지 시스템.
제7항에 있어서,

상기 시그널 리듀서는, 상기 하나 이상의 트리거 모듈 중 동일한 트리거 모듈에서 생성된 초기 시그널들을 중복되는 초기 시그널로 판정하는, 비정상 데이터 탐지 시스템.
제7항에 있어서,

상기 시그널 리듀서는, 비정상 범위가 미리 정해진 비율 이상 중복되는 초기 시그널들을 중복되는 초기 시그널로 판정하는, 비정상 데이터 탐지 시스템.
제1항에 있어서,

상기 피드 룰은, 상기 생성된 결과 시그널을 전달받는 디텍터 모듈을 결정하기 위한 디텍터 모듈에 대한 정보를 포함하고,

상기 시그널 허브는,

상기 디텍터 모듈에 대한 정보를 기초로 결정된 상기 하나 이상의 디텍터 모듈로 상기 생성된 결과 시그널을 전송하는 시그널 전송 모듈을 포함하는, 비정상 데이터 탐지 시스템.
제1항에 있어서,

상기 디텍터 룰은, 상기 비정상 데이터와 연관된 공격 정보를 추출하기 위한 탐지 규칙에 대한 정보를 포함하고,

상기 하나 이상의 디텍터 모듈은,

상기 탐지 규칙에 대한 정보와 연관된 논리 연산 및 인덴테이션 수준을 이용하여, 공격 정보를 추출하기 위한 공격 탐지 함수를 생성하는 공격 탐지 함수 생성 모듈을 포함하는, 비정상 데이터 탐지 시스템.
제12항에 있어서,

상기 하나 이상의 디텍터 모듈은,

상기 공격 탐지 함수 생성 모듈로부터 상기 생성된 공격 탐지 함수를 수신하고, 상기 결과 시그널과 연관된 입력 데이터를 상기 공격 탐지 함수에 입력하여, 상기 결과 시그널에 대한 공격 탐지를 수행하는 공격 탐지 모듈을 더 포함하는, 비정상 데이터 탐지 시스템.
제1항에 있어서,

상기 디텍터 룰은, 상기 공격 탐지 정보의 처리 여부를 결정하기 위한 상기 하나 이상의 디텍터 모듈 사이의 관련성 정보를 포함하고,

상기 하나 이상의 디텍터 모듈은,

상기 관련성 정보와 연관된 논리 연산 및 인덴테이션 수준을 이용하여, 상기 공격 탐지 정보의 처리 여부를 결정하기 위한 평가 함수를 생성하는 평가 함수 생성 모듈을 포함하는, 비정상 데이터 탐지 시스템.
제14항에 있어서,

상기 하나 이상의 디텍터 모듈의 각각은 디텍터 모듈의 의존도를 기초로 복수의 레벨(level) 중 하나의 레벨에 대응하고,

이전 레벨의 디텍터 모듈의 공격 탐지 정보는 다음 레벨의 디텍터 모듈에 의해 이용되고,

상기 생성된 평가 함수 생성 모듈로부터 상기 생성된 평가 함수를 수신하고, 상기 수신된 평가 함수를 기초로 상기 공격 탐지 정보를 다음 레벨의 디텍터 모듈 또는 백트래커(backtracker) 모듈로 전송하는 평가 모듈을 더 포함하는, 비정상 데이터 탐지 시스템.
제15항에 있어서,

상기 평가 모듈은,

상기 다음 레벨의 디텍터 모듈이 존재하는 경우, 상기 평가 함수를 기초로 상기 공격 탐지 정보를 상기 다음 레벨의 디텍터 모듈로 전송하는, 비정상 데이터 탐지 시스템.
제15항에 있어서,

상기 평가 모듈은,

상기 다음 레벨의 디텍터 모듈이 존재하지 않는 경우, 상기 공격 탐지 정보를 상기 백트래커 모듈로 전송하는, 비정상 데이터 탐지 시스템.
제1항에 있어서,

상기 비정상 데이터 탐지 시스템은,

상기 하나 이상의 디텍터 모듈의 공격 탐지 정보를 이용하여, 상기 비정상 데이터와 연관된 공격의 속성 및 공격의 절차를 결정하는 백트래커 모듈을 더 포함하는, 비정상 데이터 탐지 시스템.
적어도 하나의 프로세서에 의해 수행되는 비정상 데이터 탐지 방법으로서,

입력 데이터를 수신하고, 트리거 룰을 기초로 상기 수신된 입력 데이터 내에 비정상 데이터가 포함된 경우, 상기 비정상 데이터를 나타내는 하나 이상의 초기 시그널을 생성하는 단계;

상기 생성된 하나 이상의 초기 시그널을 수신하고, 피드 룰을 기초로 상기 수신된 하나 이상의 초기 시그널에 대한 논리 연산을 수행하여 결과 시그널을 생성하는 단계; 및

상기 생성된 결과 시그널을 수신하고, 디텍터 룰을 기초로, 상기 수신된 결과 시그널로부터 상기 비정상 데이터에 대응하는 공격 탐지 정보를 검출하는 단계

를 포함하는, 비정상 데이터 탐지 방법.
제19항에 따른 비정상 데이터 탐지 방법을 컴퓨터에서 실행하기 위해 컴퓨터 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램.