WO2023158071A1 - Malicious code infection detecting system and method through network communication log analysis - Google Patents

Malicious code infection detecting system and method through network communication log analysis Download PDF

Info

Publication number
WO2023158071A1
WO2023158071A1 PCT/KR2022/019311 KR2022019311W WO2023158071A1 WO 2023158071 A1 WO2023158071 A1 WO 2023158071A1 KR 2022019311 W KR2022019311 W KR 2022019311W WO 2023158071 A1 WO2023158071 A1 WO 2023158071A1
Authority
WO
WIPO (PCT)
Prior art keywords
malicious code
characteristic information
source
destination domain
malicious
Prior art date
Application number
PCT/KR2022/019311
Other languages
French (fr)
Korean (ko)
Inventor
한승연
김유태
Original Assignee
주식회사 리니어리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 리니어리티 filed Critical 주식회사 리니어리티
Publication of WO2023158071A1 publication Critical patent/WO2023158071A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Definitions

  • the present invention relates to a system and method for detecting a malicious code infection, and more particularly, to a system and method for detecting a malicious code infection through network communication log analysis.
  • a method of detecting malicious code is detected by matching a specific code section of the malicious code. That is, the conventional malicious code detection method detects malicious code using pattern information (eg, antivirus) of a specific code section for a file suspected of being malicious code.
  • pattern information eg, antivirus
  • the conventional antivirus detection method detects malicious codes based on the bytes of a specific code section used by malicious codes, or various log information and file structure information generated while the malicious codes are operating. It determines whether it is malicious by measuring the risk level with the presence or absence of suspicious DLLs and API functions created by .
  • these methods have difficulties in detecting new malicious codes and variant malicious codes.
  • VM virtual machine
  • anti-VM anti-virtual machine
  • Patent Registration No. 10-1880686 (Title of Invention: Malicious Code Detection System Based on AI Deep Learning, Registration Date: July 16, 2018) has been disclosed.
  • An object of the present invention is to provide a system and method for detecting malicious code infection through network communication log analysis, which can quickly and accurately identify a host infected with malicious code among user devices attempting to access an external network.
  • a malicious code infection detection system through network communication log analysis according to the features of the present invention for achieving the above object is,
  • Identify user devices infected with malicious code by recognizing that user devices infected with malicious code periodically access the attack command server (C&C server, Command and Control Server),
  • a log collection module for collecting log data from a network device connected to the user device
  • a feature extraction module extracting feature information consisting of a communication date and time, a source IP, and a destination domain from the log data collected by the log collection module;
  • It is characterized in that it includes an analysis module that analyzes the characteristic information extracted from the characteristic extraction module and identifies the IP of the user device estimated to have accessed the attack command server.
  • the log collection module Preferably, the log collection module,
  • the destination domain constituting the characteristic information may be the destination IP or access URL.
  • the feature extraction module Preferably, the feature extraction module, the feature extraction module, and
  • the characteristic information may be extracted and refined from the log data by performing a step of refining by removing duplicates from the characteristic information separated and stored in units of the reference time.
  • the analysis module More preferably, the analysis module,
  • (3-1) calculating the total number of connections accessing the destination domain and the number of source IPs based on the destination domain from the characteristic information stored in units of the reference time;
  • the risk is,
  • a malicious code infection detection method in which each step is performed in a malicious code infection detection system
  • Identify user devices infected with malicious code by recognizing that user devices infected with malicious code periodically access the attack command server (C&C server, Command and Control Server),
  • step (3) Analyzing the characteristic information extracted in step (2) to identify the IP of the user device that is presumed to have accessed the attack command server.
  • the step (2) is,
  • (2-3) may include a step of refining by removing redundancy from the characteristic information separated and stored in units of the reference time.
  • step (3) is,
  • (3-1) calculating the total number of connections accessing the destination domain and the number of source IPs based on the destination domain from the characteristic information stored in units of the reference time;
  • FIG. 1 is a diagram showing the configuration of a malicious code infection detection system through network communication log analysis according to an embodiment of the present invention.
  • FIG. 2 is a flowchart illustrating a method for detecting a malicious code infection through network communication log analysis according to an embodiment of the present invention.
  • FIG. 3 is a diagram showing, for example, log data collected in step S100 of a method for detecting a malicious code infection through network communication log analysis according to an embodiment of the present invention.
  • step S200 is a diagram showing a detailed flow of step S200 in the method for detecting malicious code infection through network communication log analysis according to an embodiment of the present invention.
  • FIG. 5 is a diagram showing, for example, characteristic information separated on a daily basis in step S220 of the malicious code infection detection method through network communication log analysis according to an embodiment of the present invention.
  • FIG. 6 is a diagram showing, for example, characteristic information refined by removing redundancy in step S230 of the method for detecting malicious code infection through network communication log analysis according to an embodiment of the present invention.
  • step S300 is a diagram showing a detailed flow of step S300 in the method for detecting malicious code infection through network communication log analysis according to an embodiment of the present invention.
  • FIG. 8 is a diagram showing, for example, the total number of connections to the destination domain and the number of source IPs calculated in step S310 of the malicious code infection detection method through network communication log analysis according to an embodiment of the present invention.
  • step S320 of the malicious code infection detection method through network communication log analysis according to an embodiment of the present invention.
  • S220 Step of extracting characteristic information from the searched log data, dividing it into standard time units and storing it
  • S310 Calculating the total number of connections accessed to the destination domain and the number of source IPs on the basis of the destination domain from characteristic information stored in units of standard time
  • S320 Counting the number of days accessing the destination domain for each source IP within a preset period, and identifying source IPs accessing the destination domain over a threshold date
  • S330 step of calculating the risk level, determining whether it is malicious, and identifying the source IP determined to be malicious
  • a user device infected with malicious code is an attack command server (C & C server, C2 server, Command a log collection module 110 that identifies a user device infected with malicious code by identifying periodic access to the user device and collects log data from a network device connected to the user device; a characteristic extraction module 120 for extracting characteristic information consisting of a communication date and time, a source IP, and a destination domain from log data collected by the log collection module 110; and an analysis module 130 that analyzes the characteristic information extracted from the characteristic extraction module 120 and identifies the IP of the user device estimated to have accessed the attack command server.
  • C & C server C2 server
  • Command a log collection module 110 that identifies a user device infected with malicious code by identifying periodic access to the user device and collects log data from a network device connected to the user device
  • a characteristic extraction module 120 for extracting characteristic information consisting of a communication date and time, a source IP, and a destination domain from log data collected by the log collection module 110
  • a user PC user device
  • it periodically attempts to access the C2 server to notify the attacker of the infection or to transmit information stored in the user device to the attacker;
  • communication information of internal and external networks is recorded in the form of logs on network equipment such as firewalls in a corporate environment.
  • network equipment such as firewalls in a corporate environment.
  • Only a small number of PCs infected with malicious codes access the C2 server, and many users access It focuses on the fact that it is different from general sites such as Internet portals. It applies an analysis technique developed in-house to network log data collected from network devices such as firewalls to detect malicious code among user PCs that periodically try to access external networks. Infected hosts can be quickly and accurately identified.
  • the method for detecting malicious code infection through network communication log analysis is a method for detecting malicious code infection in which each step is performed in the malicious code infection detection system 100, Identifying user devices infected with malicious codes by recognizing periodic access to attack command servers (C&C servers, Command and Control Servers) by user devices infected with malicious codes, and collecting log data from network devices (S100); It can be implemented including extracting characteristic information from data (S200) and identifying the IP of a user device that is estimated to have accessed the attack command server (S300).
  • C&C servers, Command and Control Servers attack command servers
  • the log collection module 110 may collect log data from a network device connected to the user device. More specifically, the log collection module 110 may collect log data from at least one network device of a firewall including a source IP and a destination IP, a web proxy including a source IP and access URL, and a packet forensic solution. .
  • step S100 of the malicious code infection detection method through network communication log analysis is a diagram showing, for example, log data collected in step S100 of the malicious code infection detection method through network communication log analysis according to an embodiment of the present invention.
  • the log collection module 110 collects log data necessary for analysis from the network device, , At this time, the log data may include information such as source IP, access date and time, and destination domain (destination IP or access URL).
  • the feature extraction module 120 may extract feature information consisting of a communication date and time, a source IP, and a destination domain from the log data collected in step S100.
  • the destination domain constituting the characteristic information may be a destination IP or access URL.
  • step S200 of the malicious code infection detection method through network communication log analysis is performed in the feature extraction module 120, and for a preset period Searching log data (S210), extracting characteristic information from the searched log data, separating and storing it in units of standard time (S220), and removing redundancy from the stored characteristic information in units of standard time and refining it. It may be implemented including (S230).
  • log data can be inquired for a preset period.
  • real-time monitoring is enabled by inquiring log data of a preset period from the most recent date and time, and the preset period may be a recent period of one week or more.
  • characteristic information may be extracted from the searched log data, separated into reference time units, and stored.
  • the reference time may be 1 hour or 1 day.
  • FIG. 5 is a diagram showing, for example, characteristic information separated on a daily basis in step S220 of the malicious code infection detection method through network communication log analysis according to an embodiment of the present invention.
  • step S220 of the malicious code infection detection method through network communication log analysis the communication date and time, the source IP, in the log data inquired about for a week (preset period) Characteristic information composed of and destination domains may be extracted, and the extracted characteristic information may be separated in units of one day (standard time) and stored for each access date.
  • the access URL even files excluding parameters can be extracted. That is, the detailed address can be deleted from the access URL, and only the main address such as “www.attackter.com”, “www.naver.com”, and “normal_update.com” can be extracted as the destination domain.
  • redundancy may be removed and refined from the separated and stored characteristic information in units of reference time. More specifically, as shown in FIG. 5 , redundant data may be removed based on (access date, source IP, destination domain) for characteristic information separated by access date.
  • step S230 of the malicious code infection detection method through network communication log analysis according to an embodiment of the present invention duplicate data is removed from the characteristic information for each access date as shown in FIG. can be refined.
  • log data collected from network devices to which a total of five user devices (source IPs 1.1.1.1 to 5.5.5.5) are connected are queried for a week from January 1, 2021 to January 7, 2021, and the characteristic information After extraction, they were separated on a daily basis to remove duplicates.
  • step S300 the analysis module 130 analyzes the characteristic information extracted in step S200 to identify the IP of the user device estimated to have accessed the attack command server. That is, as shown in FIG. 6 , the analysis module 130 may identify a user device infected with malicious code through analysis of the purified data.
  • a self-developed analysis technique is applied to quickly and quickly detect hosts infected with malicious code among user PCs that periodically try to access external networks. can be accurately identified.
  • step S300 of the malicious code infection detection method through network communication log analysis is performed in the analysis module 130, and the characteristics stored in units of reference time Based on the destination domain in the information, calculating the total number of connections to the destination domain and the number of source IPs (S310), counting the days of access to the destination domain in a preset period for each source IP, and reaching the destination beyond the threshold date It can be implemented by including the step of identifying the source IP accessing the domain (S320), calculating the degree of risk, determining whether or not it is malicious, and identifying the source IP determined to be malicious (S330).
  • step S310 the total number of connections accessing the destination domain and the number of source IPs may be calculated based on the destination domain from characteristic information stored in units of reference time.
  • step S310 of the malicious code infection detection method through network communication log analysis is a diagram showing, for example, the total number of connections to the destination domain and the number of source IPs calculated in step S310 of the method for detecting malicious code infection through network communication log analysis according to an embodiment of the present invention.
  • step S310 of the malicious code infection detection method through network communication log analysis the total number of accesses for each destination domain per day, which is a reference time, and the corresponding destination domain
  • the number of connected source IPs can be calculated.
  • step S320 the number of days accessing the destination domain for each source IP within a preset period may be counted, and source IPs accessing the destination domain for more than a threshold number of days may be identified.
  • step S320 of the malicious code infection detection method through network communication log analysis is a diagram showing, for example, the number of access days counted in step S320 of the method for detecting malicious code infection through network communication log analysis according to an embodiment of the present invention.
  • each source IP accesses the destination domain for the last 7 days (preset period). It is possible to count the number of times (“total by date” in FIG. 9) and identify the source IP that accessed the corresponding destination domain for more than 5 days (critical date).
  • a risk level is calculated using the results calculated in steps S310 and S320, whether or not malicious is determined, and a source IP determined to be malicious can be identified. More specifically, the risk calculated in step S330 is calculated for each destination domain, the number of source IPs accessed to the destination domain within the set period, the date of access to the destination domain within the set period, and all destination domains within the set period. It can be calculated as the product of the average total number of connections accessed to all destination domains by the average access date.
  • cnc_risk_score (avg_date_cnt / total_src_cnt) * (avg_src_cnt/total_avg_date_cnt).
  • cnc_risk_score is the risk level
  • avg_date_cnt is the average access date based on the destination domain
  • total_src_cnt is the total number of source IPs based on the destination domain
  • avg_src_cnt is the average number of access attempts from the source IP based on all sites
  • total_avg_date_cnt is the average access date based on all sites.
  • a threshold value that is a criterion for determining infection with malicious code is set in advance, and if the threshold value is exceeded, it can be determined that there is a risk of infection with malicious code.
  • the risk levels may be 24.29 for “www.attacker.com”, 4.81 for “www.naver.com”, and the like, respectively.
  • the destination domain with the highest risk or the threshold value is 20
  • the IP “1.1.1.1” of the user device accessing “www.attacker.com” the destination domain for which the risk exceeding the threshold value was calculated, can be identified.
  • the administrator or user can be notified of the possibility of being infected with malicious code, and measures such as restricting network use can be taken.
  • log data collected from network devices is analyzed, and user devices infected with malicious codes are sent to the attack command server.
  • By identifying periodic access it is possible to quickly and accurately identify a host infected with malicious code among user devices periodically attempting to access an external network.
  • the present invention may include a computer-readable medium including program instructions for performing operations implemented in various communication terminals.
  • computer-readable media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD_ROMs and DVDs, and floptical disks. It may include hardware devices specially configured to store and execute program instructions, such as magneto-optical media and ROM, RAM, flash memory, and the like.
  • Such computer-readable media may include program instructions, data files, data structures, etc. alone or in combination.
  • program instructions recorded on a computer-readable medium may be specially designed and configured to implement the present invention, or may be known and usable to those skilled in computer software.
  • it may include high-level language codes that can be executed by a computer using an interpreter, as well as machine language codes generated by a compiler.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Virology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)
  • Computer And Data Communications (AREA)

Abstract

According to a malicious code infection detecting system and method through a network communication log analysis, presented in the present invention, log data collected from a network device is analyzed so as to identify periodic access, to an attack command server, of user devices infected with malicious code, and thus a host infected with malicious code in user devices that periodically attempt to access an external network can be quickly and accurately identified.

Description

네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 시스템 및 방법Malicious code infection detection system and method through network communication log analysis
본 발명은 악성코드 감염 탐지 시스템 및 방법에 관한 것으로서, 보다 구체적으로는 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 시스템 및 방법에 관한 것이다.The present invention relates to a system and method for detecting a malicious code infection, and more particularly, to a system and method for detecting a malicious code infection through network communication log analysis.
일반적으로, 악성코드를 탐지하는 방법은 악성코드의 특정 코드 섹션을 매칭하여 탐지한다. 즉, 종래의 악성코드 탐지 방법은 악성코드로 의심되는 파일에 대하여 특정 코드 섹션의 패턴 정보(예, Antivirus)를 이용하여 악성코드를 탐지한다.In general, a method of detecting malicious code is detected by matching a specific code section of the malicious code. That is, the conventional malicious code detection method detects malicious code using pattern information (eg, antivirus) of a specific code section for a file suspected of being malicious code.
특히, 종래의 안티바이러스 탐지 방법은 악성코드가 사용하는 특정 코드 섹션(section)의 바이트(byte)를 가지고 탐지하거나, 악성코드가 동작하며 발생하는 각종 로그 정보 및 파일의 구조 정보를 바탕으로 악성코드가 생성하는 의심스러운 DLL, API 함수의 존재 여부를 가지고 위험 수준을 측정하여 악성 여부를 판단하고 있다. 그러나 이러한 방법은 신종 악성코드 및 변종 악성코드를 탐지하는 데 어려움이 있다.In particular, the conventional antivirus detection method detects malicious codes based on the bytes of a specific code section used by malicious codes, or various log information and file structure information generated while the malicious codes are operating. It determines whether it is malicious by measuring the risk level with the presence or absence of suspicious DLLs and API functions created by . However, these methods have difficulties in detecting new malicious codes and variant malicious codes.
또한, 일반적인 가상 머신(VM) 기반 악성 파일 분석 시스템의 경우, 악성코드는 다양한 안티 가상 머신(Anti-VM) 기술 및 안티-디버깅(Anti-디버깅) 기술을 통해 분석 시스템 내에서 실행된다고 판단할 경우, 악성코드 자체가 멈추거나, 악성코드는 실행되고 있으나 악성 행위를 발생시키지 않는다. 따라서 분석 시스템에서 분석이 되지 않기 때문에, 분석에 어려움이 발생할 수 있다.In addition, in the case of a general virtual machine (VM)-based malicious file analysis system, when it is determined that malicious code is executed within the analysis system through various anti-virtual machine (anti-VM) technologies and anti-debugging technologies , the malicious code itself is stopped, or the malicious code is running but does not cause any malicious behavior. Therefore, since it is not analyzed in the analysis system, difficulties may arise in analysis.
최근에는 딥러닝 등 인공지능 기술을 이용해 악성코드를 탐지하는 기술의 연구가 활발하게 시도되기도 했다. 이와 관련된 선행기술로, 등록특허 제10-1880686호(발명의 명칭: AI 딥러닝 기반의 악성코드 탐지 시스템, 등록일자: 2018년 07월 16일) 등이 개시된 바 있다.Recently, research on technology for detecting malicious codes using artificial intelligence technologies such as deep learning has been actively attempted. As a related prior art, Patent Registration No. 10-1880686 (Title of Invention: Malicious Code Detection System Based on AI Deep Learning, Registration Date: July 16, 2018) has been disclosed.
이같이 악성코드를 이용한 공격이 트렌드로 자리 잡았고, 악성코드를 탐지하기 위한 기술도 다양하게 개발되고 있으나, 악성코드 변종 및 탐지 우회 기법 등으로 인해 Anti-Virus, Network APT 탐지 솔루션이 우회되는 등 완벽한 탐지에 어려움이 있다. 따라서 이를 해결할 수 있는 기술의 개발이 필요하다.As such, attacks using malicious codes have become a trend, and various technologies for detecting malicious codes are being developed. have difficulties with Therefore, it is necessary to develop a technology that can solve this problem.
본 발명은 기존에 제안된 방법들의 상기와 같은 문제점들을 해결하기 위해 제안된 것으로서, 네트워크 장치에서 수집한 로그 데이터를 분석해 악성코드에 감염된 사용자 장치가 공격명령 서버에 주기적으로 접속하는 것을 파악함으로써, 주기적으로 외부 네트워크에 접속을 시도하는 사용자 장치 중 악성코드에 감염된 호스트를 빠르고 정확하게 식별할 수 있는, 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 시스템 및 방법을 제공하는 것을 그 목적으로 한다.The present invention is proposed to solve the above problems of the previously proposed methods, by analyzing log data collected from network devices and identifying that user devices infected with malicious code periodically access the attack command server, An object of the present invention is to provide a system and method for detecting malicious code infection through network communication log analysis, which can quickly and accurately identify a host infected with malicious code among user devices attempting to access an external network.
상기한 목적을 달성하기 위한 본 발명의 특징에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 시스템은,A malicious code infection detection system through network communication log analysis according to the features of the present invention for achieving the above object is,
악성코드 감염 탐지 시스템으로서,As a malware infection detection system,
악성코드에 감염된 사용자 장치가 공격명령 서버(C&C 서버, Command and Control Server)에 주기적으로 접속하는 것을 파악해 악성코드에 감염된 사용자 장치를 식별하며,Identify user devices infected with malicious code by recognizing that user devices infected with malicious code periodically access the attack command server (C&C server, Command and Control Server),
사용자 장치와 연결된 네트워크 장치에서 로그 데이터를 수집하는 로그 수집 모듈;A log collection module for collecting log data from a network device connected to the user device;
상기 로그 수집 모듈에서 수집한 로그 데이터에서 통신일시, 출발지 IP 및 도착지 도메인으로 구성되는 특성 정보를 추출하는 특성 추출 모듈; 및a feature extraction module extracting feature information consisting of a communication date and time, a source IP, and a destination domain from the log data collected by the log collection module; and
상기 특성 추출 모듈에서 추출한 특성 정보를 분석해 상기 공격명령 서버에 접속한 것으로 추정되는 사용자 장치의 IP를 식별하는 분석 모듈을 포함하는 것을 그 구성상의 특징으로 한다.It is characterized in that it includes an analysis module that analyzes the characteristic information extracted from the characteristic extraction module and identifies the IP of the user device estimated to have accessed the attack command server.
바람직하게는, 상기 로그 수집 모듈은,Preferably, the log collection module,
출발지 IP 및 도착지 IP를 포함하는 방화벽, 출발지 IP와 접속 URL이 포함되는 웹 프록시, 패킷 포렌식 솔루션 중 적어도 하나 이상의 네트워크 장치로부터 상기 로그 데이터를 수집하며,Collecting the log data from at least one network device of a firewall including a source IP and a destination IP, a web proxy including a source IP and a connection URL, and a packet forensic solution;
상기 특성 정보를 구성하는 상기 도착지 도메인은, 상기 도착지 IP 또는 접속 URL일 수 있다.The destination domain constituting the characteristic information may be the destination IP or access URL.
바람직하게는, 상기 특성 추출 모듈은,Preferably, the feature extraction module,
(2-1) 미리 설정된 기간에 대해 상기 로그 데이터를 조회하는 단계;(2-1) querying the log data for a preset period of time;
(2-2) 조회한 상기 로그 데이터에서 상기 특성 정보를 추출하고, 기준 시간 단위로 분리하여 저장하는 단계; 및(2-2) extracting the characteristic information from the searched log data, separating and storing the characteristic information in units of reference time; and
(2-3) 상기 기준 시간 단위로 분리 저장된 상기 특성 정보에서 중복을 제거하여 정제하는 단계를 수행하여, 상기 로그 데이터에서 특성 정보를 추출하고 정제할 수 있다.(2-3) The characteristic information may be extracted and refined from the log data by performing a step of refining by removing duplicates from the characteristic information separated and stored in units of the reference time.
더욱 바람직하게는, 상기 분석 모듈은,More preferably, the analysis module,
(3-1) 상기 기준 시간 단위로 저장된 특성 정보에서 상기 도착지 도메인을 기준으로, 상기 도착지 도메인에 접속한 총 접속수와 출발지 IP의 수를 계산하는 단계;(3-1) calculating the total number of connections accessing the destination domain and the number of source IPs based on the destination domain from the characteristic information stored in units of the reference time;
(3-2) 상기 출발지 IP별로 상기 미리 설정된 기간에 상기 도착지 도메인에 접속한 일자를 카운트하고, 임계 일자 이상 상기 도착지 도메인에 접속한 출발지 IP를 식별하는 단계; 및(3-2) counting the number of access days to the destination domain for each source IP within the preset period, and identifying the source IP that accesses the destination domain for more than a threshold number of days; and
(3-3) 상기 단계 (3-1) 및 단계 (3-2)에서 산출한 결과를 사용해 위험도를 산출하고 악성 여부를 판단하며, 악성으로 판단되는 출발지 IP를 식별하는 단계를 수행하여, 악성코드에 감염된 사용자 장치를 식별할 수 있다.(3-3) Calculate the risk level using the results calculated in steps (3-1) and (3-2), determine whether or not it is malicious, and perform the step of identifying the source IP that is determined to be malicious. It can identify user devices infected with the code.
더더욱 바람직하게는, 상기 위험도는,Even more preferably, the risk is,
상기 도착지 도메인별로 산출하며, 상기 도착지 도메인에 상기 설정 기간 내에 접속한 출발지 IP의 수에 대한 상기 도착지 도메인에 상기 설정 기간 내에 접속한 일자와, 전체 도착지 도메인에 상기 설정 기간 내에 접속한 평균 접속 일자에 대한 전체 도착지 도메인에 접속한 평균 총 접속수의 곱으로 산출할 수 있다.Calculated for each destination domain, the date of access to the destination domain within the set period for the number of source IPs accessing the destination domain within the set period, and the average access date of access to all destination domains within the set period It can be calculated as the product of the average total number of connections made to all destination domains.
상기한 목적을 달성하기 위한 본 발명의 특징에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법은,In order to achieve the above object, a malicious code infection detection method through network communication log analysis according to the features of the present invention,
악성코드 감염 탐지 시스템에서 각 단계가 수행되는 악성코드 감염 탐지 방법으로서,A malicious code infection detection method in which each step is performed in a malicious code infection detection system,
악성코드에 감염된 사용자 장치가 공격명령 서버(C&C 서버, Command and Control Server)에 주기적으로 접속하는 것을 파악해 악성코드에 감염된 사용자 장치를 식별하며,Identify user devices infected with malicious code by recognizing that user devices infected with malicious code periodically access the attack command server (C&C server, Command and Control Server),
(1) 사용자 장치와 연결된 네트워크 장치에서 로그 데이터를 수집하는 단계;(1) collecting log data from a network device connected to the user device;
(2) 상기 단계 (1)에서 수집한 로그 데이터에서 통신일시, 출발지 IP 및 도착지 도메인으로 구성되는 특성 정보를 추출하는 단계; 및(2) extracting characteristic information consisting of communication date and time, source IP, and destination domain from the log data collected in step (1); and
(3) 상기 단계 (2)에서 추출한 특성 정보를 분석해 상기 공격명령 서버에 접속한 것으로 추정되는 사용자 장치의 IP를 식별하는 단계를 포함하는 것을 그 구성상의 특징으로 한다.(3) Analyzing the characteristic information extracted in step (2) to identify the IP of the user device that is presumed to have accessed the attack command server.
바람직하게는, 상기 단계 (2)는,Preferably, the step (2) is,
(2-1) 미리 설정된 기간에 대해 상기 로그 데이터를 조회하는 단계;(2-1) querying the log data for a preset period of time;
(2-2) 조회한 상기 로그 데이터에서 상기 특성 정보를 추출하고, 기준 시간 단위로 분리하여 저장하는 단계; 및(2-2) extracting the characteristic information from the searched log data, separating and storing the characteristic information in units of reference time; and
(2-3) 상기 기준 시간 단위로 분리 저장된 상기 특성 정보에서 중복을 제거하여 정제하는 단계를 포함할 수 있다.(2-3) may include a step of refining by removing redundancy from the characteristic information separated and stored in units of the reference time.
더욱 바람직하게는, 상기 단계 (3)은,More preferably, the step (3) is,
(3-1) 상기 기준 시간 단위로 저장된 특성 정보에서 상기 도착지 도메인을 기준으로, 상기 도착지 도메인에 접속한 총 접속수와 출발지 IP의 수를 계산하는 단계;(3-1) calculating the total number of connections accessing the destination domain and the number of source IPs based on the destination domain from the characteristic information stored in units of the reference time;
(3-2) 상기 출발지 IP별로 상기 미리 설정된 기간에 상기 도착지 도메인에 접속한 일자를 카운트하고, 임계 일자 이상 상기 도착지 도메인에 접속한 출발지 IP를 식별하는 단계; 및(3-2) counting the number of access days to the destination domain for each source IP within the preset period, and identifying the source IP that accesses the destination domain for more than a threshold number of days; and
(3-3) 상기 단계 (3-1) 및 단계 (3-2)에서 산출한 결과를 사용해 위험도를 산출하고 악성 여부를 판단하며, 악성으로 판단되는 출발지 IP를 식별하는 단계를 포함할 수 있다.(3-3) Calculate the risk level using the results calculated in steps (3-1) and (3-2), determine whether or not it is malicious, and identify the source IP that is determined to be malicious. .
본 발명에서 제안하고 있는 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 시스템 및 방법에 따르면, 네트워크 장치에서 수집한 로그 데이터를 분석해 악성코드에 감염된 사용자 장치가 공격명령 서버에 주기적으로 접속하는 것을 파악함으로써, 주기적으로 외부 네트워크에 접속을 시도하는 사용자 장치 중 악성코드에 감염된 호스트를 빠르고 정확하게 식별할 수 있다.According to the system and method for detecting malicious code infection through network communication log analysis proposed in the present invention, by analyzing log data collected from network devices and identifying that user devices infected with malicious code periodically access an attack command server, It is possible to quickly and accurately identify hosts infected with malicious codes among user devices that periodically try to access external networks.
도 1은 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 시스템의 구성을 도시한 도면.1 is a diagram showing the configuration of a malicious code infection detection system through network communication log analysis according to an embodiment of the present invention.
도 2는 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법의 흐름을 도시한 도면.2 is a flowchart illustrating a method for detecting a malicious code infection through network communication log analysis according to an embodiment of the present invention.
도 3은 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법의 단계 S100에서 수집되는 로그 데이터를 예를 들어 도시한 도면.FIG. 3 is a diagram showing, for example, log data collected in step S100 of a method for detecting a malicious code infection through network communication log analysis according to an embodiment of the present invention.
도 4는 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법에서, 단계 S200의 세부적인 흐름을 도시한 도면.4 is a diagram showing a detailed flow of step S200 in the method for detecting malicious code infection through network communication log analysis according to an embodiment of the present invention.
도 5는 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법의 단계 S220에서 일 단위로 분리한 특성 정보를 예를 들어 도시한 도면.FIG. 5 is a diagram showing, for example, characteristic information separated on a daily basis in step S220 of the malicious code infection detection method through network communication log analysis according to an embodiment of the present invention.
도 6은 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법의 단계 S230에서 중복을 제거해 정제한 특성 정보를 예를 들어 도시한 도면.6 is a diagram showing, for example, characteristic information refined by removing redundancy in step S230 of the method for detecting malicious code infection through network communication log analysis according to an embodiment of the present invention.
도 7은 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법에서, 단계 S300의 세부적인 흐름을 도시한 도면.7 is a diagram showing a detailed flow of step S300 in the method for detecting malicious code infection through network communication log analysis according to an embodiment of the present invention.
도 8은 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법의 단계 S310에서 계산된 도착지 도메인에 총 접속수 및 출발지 IP의 수를 예를 들어 도시한 도면.FIG. 8 is a diagram showing, for example, the total number of connections to the destination domain and the number of source IPs calculated in step S310 of the malicious code infection detection method through network communication log analysis according to an embodiment of the present invention.
도 9는 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법의 단계 S320에서 카운트 한 접속일 수를 예를 들어 도시한 도면.9 is a diagram showing, for example, the number of access days counted in step S320 of the malicious code infection detection method through network communication log analysis according to an embodiment of the present invention.
<부호의 설명><Description of codes>
100: 악성코드 감염 탐지 시스템100: Malicious code infection detection system
110: 로그 수집 모듈110: log collection module
120: 특성 추출 모듈120: feature extraction module
130: 분석 모듈130: analysis module
S100: 네트워크 장치에서 로그 데이터를 수집하는 단계S100: Collecting log data from network devices
S200: 로그 데이터에서 특성 정보를 추출하는 단계S200: Extracting characteristic information from log data
S210: 미리 설정된 기간에 대해 로그 데이터를 조회하는 단계S210: Step of querying log data for a preset period
S220: 조회한 로그 데이터에서 특성 정보를 추출하고, 기준 시간 단위로 분리하여 저장하는 단계S220: Step of extracting characteristic information from the searched log data, dividing it into standard time units and storing it
S230: 기준 시간 단위로 분리 저장된 특성 정보에서 중복을 제거하여 정제하는 단계S230: step of refining by removing redundancy from the separated and stored characteristic information in units of reference time
S300: 공격명령 서버에 접속한 것으로 추정되는 사용자 장치의 IP를 식별하는 단계S300: Identifying the IP of the user device that is presumed to have accessed the attack command server
S310: 기준 시간 단위로 저장된 특성 정보에서 도착지 도메인을 기준으로, 도착지 도메인에 접속한 총 접속수와 출발지 IP의 수를 계산하는 단계S310: Calculating the total number of connections accessed to the destination domain and the number of source IPs on the basis of the destination domain from characteristic information stored in units of standard time
S320: 출발지 IP별로 미리 설정된 기간에 도착지 도메인에 접속한 일자를 카운트하고, 임계일자 이상 도착지 도메인에 접속한 출발지 IP를 식별하는 단계S320: Counting the number of days accessing the destination domain for each source IP within a preset period, and identifying source IPs accessing the destination domain over a threshold date
S330: 위험도를 산출하고 악성 여부를 판단하며, 악성으로 판단되는 출발지 IP를 식별하는 단계S330: step of calculating the risk level, determining whether it is malicious, and identifying the source IP determined to be malicious
이하, 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 바람직한 실시예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시예를 상세하게 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다. 또한, 유사한 기능 및 작용을 하는 부분에 대해서는 도면 전체에 걸쳐 동일한 부호를 사용한다.Hereinafter, preferred embodiments will be described in detail so that those skilled in the art can easily practice the present invention with reference to the accompanying drawings. However, in describing a preferred embodiment of the present invention in detail, if it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the gist of the present invention, the detailed description will be omitted. In addition, the same reference numerals are used throughout the drawings for parts having similar functions and actions.
덧붙여, 명세서 전체에서, 어떤 부분이 다른 부분과 ‘연결’ 되어 있다고 할 때, 이는 ‘직접적으로 연결’ 되어 있는 경우뿐만 아니라, 그 중간에 다른 소자를 사이에 두고 ‘간접적으로 연결’ 되어 있는 경우도 포함한다. 또한, 어떤 구성요소를 ‘포함’ 한다는 것은, 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있다는 것을 의미한다.In addition, throughout the specification, when a part is said to be 'connected' to another part, this is not only the case where it is 'directly connected', but also the case where it is 'indirectly connected' with another element in between. include In addition, 'including' a certain component means that other components may be further included, rather than excluding other components unless otherwise specified.
도 1은 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 시스템(100)의 구성을 도시한 도면이다. 도 1에 도시된 바와 같이, 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 시스템(100)은, 악성코드에 감염된 사용자 장치가 공격명령 서버(C&C 서버, C2 서버, Command and Control Server)에 주기적으로 접속하는 것을 파악해 악성코드에 감염된 사용자 장치를 식별하며, 사용자 장치와 연결된 네트워크 장치에서 로그 데이터를 수집하는 로그 수집 모듈(110); 로그 수집 모듈(110)에서 수집한 로그 데이터에서 통신일시, 출발지 IP 및 도착지 도메인으로 구성되는 특성 정보를 추출하는 특성 추출 모듈(120); 및 특성 추출 모듈(120)에서 추출한 특성 정보를 분석해 공격명령 서버에 접속한 것으로 추정되는 사용자 장치의 IP를 식별하는 분석 모듈(130)을 포함하여 구성될 수 있다.1 is a diagram showing the configuration of a malicious code infection detection system 100 through network communication log analysis according to an embodiment of the present invention. As shown in FIG. 1, in the malicious code infection detection system 100 through network communication log analysis according to an embodiment of the present invention, a user device infected with malicious code is an attack command server (C & C server, C2 server, Command a log collection module 110 that identifies a user device infected with malicious code by identifying periodic access to the user device and collects log data from a network device connected to the user device; a characteristic extraction module 120 for extracting characteristic information consisting of a communication date and time, a source IP, and a destination domain from log data collected by the log collection module 110; and an analysis module 130 that analyzes the characteristic information extracted from the characteristic extraction module 120 and identifies the IP of the user device estimated to have accessed the attack command server.
최근 악성코드 변종 및 탐지 우회 기법 등으로 인한 탐지 어려움을 해소하기 위해, 악성코드에 감염된 PC가 C2 서버에 주기적 접근한다는 점에 착안하여 방화벽 로그 등 네트워크 로그 분석을 통해 악성코드 감염 여부를 탐지하고자 하는 시도가 있다. 그러나 정상적인 사용자의 트래픽 로그가 하루에 10GB 이상에 달할 정도로 많아 분석에 많은 시간이 소요되며 Windows 업데이트 등 정상적인 프로그램 또한 주기적으로 업데이트 서버에 접근하는 등 C2 서버에 붙는 행위만을 특정하여 정확하게 식별하기 어렵다.In order to solve the difficulty of detection due to recent malware variants and detection bypass techniques, based on the fact that PCs infected with malware periodically access the C2 server, a network log analysis such as firewall logs is used to detect malware infection. there is a try However, the traffic log of normal users is so large that it reaches more than 10GB per day, so it takes a lot of time to analyze, and normal programs such as Windows update also periodically access the update server.
본 발명은, (1) 사용자 PC(사용자 장치)가 악성코드에 감염될 경우, 감염된 사실을 공격자에게 통보하거나 사용자 장치에 저장된 정보를 공격자에게 전송하기 위해 주기적으로 C2 서버에 접속을 시도한다는 점, (2) 일반적으로 기업 환경에서 방화벽 등의 네트워크 장비에 내외부 네트워크의 통신 정보가 로그 형태로 기록된다는 점, (3) C2 서버에는 악성코드에 감염된 소수의 PC만 접근하며, 다수의 사용자가 접속하는 인터넷 포털 등 일반적인 사이트와는 다르다는 점에 착안한 것으로, 방화벽 등의 네트워크 장비에서 수집된 네트워크 로그 데이터에 자체 개발한 분석기법을 적용하여, 주기적으로 외부 네트워크에 접속을 시도하는 사용자 PC 중 악성코드에 감염된 호스트를 빠르고 정확하게 식별할 수 있다.According to the present invention, (1) when a user PC (user device) is infected with malicious code, it periodically attempts to access the C2 server to notify the attacker of the infection or to transmit information stored in the user device to the attacker; (2) In general, communication information of internal and external networks is recorded in the form of logs on network equipment such as firewalls in a corporate environment. (3) Only a small number of PCs infected with malicious codes access the C2 server, and many users access It focuses on the fact that it is different from general sites such as Internet portals. It applies an analysis technique developed in-house to network log data collected from network devices such as firewalls to detect malicious code among user PCs that periodically try to access external networks. Infected hosts can be quickly and accurately identified.
도 2는 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법의 흐름을 도시한 도면이다. 도 2에 도시된 바와 같이, 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법은, 악성코드 감염 탐지 시스템(100)에서 각 단계가 수행되는 악성코드 감염 탐지 방법으로서, 악성코드에 감염된 사용자 장치가 공격명령 서버(C&C 서버, Command and Control Server)에 주기적으로 접속하는 것을 파악해 악성코드에 감염된 사용자 장치를 식별하며, 네트워크 장치에서 로그 데이터를 수집하는 단계(S100), 로그 데이터에서 특성 정보를 추출하는 단계(S200) 및 공격명령 서버에 접속한 것으로 추정되는 사용자 장치의 IP를 식별하는 단계(S300)를 포함하여 구현될 수 있다.2 is a flow diagram illustrating a method for detecting a malicious code infection through network communication log analysis according to an embodiment of the present invention. As shown in FIG. 2, the method for detecting malicious code infection through network communication log analysis according to an embodiment of the present invention is a method for detecting malicious code infection in which each step is performed in the malicious code infection detection system 100, Identifying user devices infected with malicious codes by recognizing periodic access to attack command servers (C&C servers, Command and Control Servers) by user devices infected with malicious codes, and collecting log data from network devices (S100); It can be implemented including extracting characteristic information from data (S200) and identifying the IP of a user device that is estimated to have accessed the attack command server (S300).
단계 S100에서는, 로그 수집 모듈(110)이 사용자 장치와 연결된 네트워크 장치에서 로그 데이터를 수집할 수 있다. 보다 구체적으로, 로그 수집 모듈(110)은, 출발지 IP 및 도착지 IP를 포함하는 방화벽, 출발지 IP와 접속 URL이 포함되는 웹 프록시, 패킷 포렌식 솔루션 중 적어도 하나 이상의 네트워크 장치로부터 로그 데이터를 수집할 수 있다.In step S100, the log collection module 110 may collect log data from a network device connected to the user device. More specifically, the log collection module 110 may collect log data from at least one network device of a firewall including a source IP and a destination IP, a web proxy including a source IP and access URL, and a packet forensic solution. .
도 3은 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법의 단계 S100에서 수집되는 로그 데이터를 예를 들어 도시한 도면이다. 도 3에 도시된 바와 같이, 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법의 단계 S100에서는, 로그 수집 모듈(110)이 네트워크 장치에서 분석에 필요한 로그 데이터를 수집하며, 이때 로그 데이터는 출발지 IP, 접속일시 및 도착지 도메인(도착지 IP 또는 접속 URL) 등의 정보를 포함할 수 있다.3 is a diagram showing, for example, log data collected in step S100 of the malicious code infection detection method through network communication log analysis according to an embodiment of the present invention. As shown in FIG. 3, in step S100 of the malicious code infection detection method through network communication log analysis according to an embodiment of the present invention, the log collection module 110 collects log data necessary for analysis from the network device, , At this time, the log data may include information such as source IP, access date and time, and destination domain (destination IP or access URL).
단계 S200에서는, 특성 추출 모듈(120)이 단계 S100에서 수집한 로그 데이터에서 통신일시, 출발지 IP 및 도착지 도메인으로 구성되는 특성 정보를 추출할 수 있다. 여기서, 특성 정보를 구성하는 도착지 도메인은, 도착지 IP 또는 접속 URL일 수 있다.In step S200, the feature extraction module 120 may extract feature information consisting of a communication date and time, a source IP, and a destination domain from the log data collected in step S100. Here, the destination domain constituting the characteristic information may be a destination IP or access URL.
도 4는 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법에서, 단계 S200의 세부적인 흐름을 도시한 도면이다. 도 4에 도시된 바와 같이, 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법의 단계 S200은, 특성 추출 모듈(120)에서 각 단계가 수행되며, 미리 설정된 기간에 대해 로그 데이터를 조회하는 단계(S210), 조회한 로그 데이터에서 특성 정보를 추출하고, 기준 시간 단위로 분리하여 저장하는 단계(S220) 및 기준 시간 단위로 분리 저장된 특성 정보에서 중복을 제거하여 정제하는 단계(S230)를 포함하여 구현될 수 있다.4 is a diagram showing a detailed flow of step S200 in the method for detecting malicious code infection through network communication log analysis according to an embodiment of the present invention. As shown in FIG. 4, in step S200 of the malicious code infection detection method through network communication log analysis according to an embodiment of the present invention, each step is performed in the feature extraction module 120, and for a preset period Searching log data (S210), extracting characteristic information from the searched log data, separating and storing it in units of standard time (S220), and removing redundancy from the stored characteristic information in units of standard time and refining it. It may be implemented including (S230).
단계 S210에서는, 미리 설정된 기간에 대해 로그 데이터를 조회할 수 있다. 단계 S210에서는, 가장 최신의 일시부터 미리 설정된 기간의 로그 데이터를 조회해 실시간 감시가 가능하도록 하며, 미리 설정된 기간은 최근 1주일 또는 그 이상의 기간일 수 있다.In step S210, log data can be inquired for a preset period. In step S210, real-time monitoring is enabled by inquiring log data of a preset period from the most recent date and time, and the preset period may be a recent period of one week or more.
단계 S220에서는, 조회한 로그 데이터에서 특성 정보를 추출하고, 기준 시간 단위로 분리하여 저장할 수 있다. 여기서, 기준 시간은 1시간 또는 1일 등일 수 있다.In step S220, characteristic information may be extracted from the searched log data, separated into reference time units, and stored. Here, the reference time may be 1 hour or 1 day.
도 5는 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법의 단계 S220에서 일 단위로 분리한 특성 정보를 예를 들어 도시한 도면이다. 도 5에 도시된 바와 같이, 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법의 단계 S220에서는, 일주일(미리 설정된 기간)에 대해 조회한 로그 데이터에서 통신일시, 출발지 IP 및 도착지 도메인으로 구성되는 특성 정보를 추출하고, 추출한 특성 정보를 1일(기준 시간) 단위로 분리해 접속 일자별로 저장할 수 있다. 이때, 접속 URL에서는 파라미터를 제외한 파일까지를 추출 대상으로 할 수 있다. 즉, 접속 URL에서 세부 주소는 삭제하고, “www.attackter.com”, “www.naver.com”, “normal_update.com” 등과 같이 메인 주소만을 남겨서 도착지 도메인으로 추출할 수 있다.FIG. 5 is a diagram showing, for example, characteristic information separated on a daily basis in step S220 of the malicious code infection detection method through network communication log analysis according to an embodiment of the present invention. As shown in FIG. 5, in step S220 of the malicious code infection detection method through network communication log analysis according to an embodiment of the present invention, the communication date and time, the source IP, in the log data inquired about for a week (preset period) Characteristic information composed of and destination domains may be extracted, and the extracted characteristic information may be separated in units of one day (standard time) and stored for each access date. At this time, in the access URL, even files excluding parameters can be extracted. That is, the detailed address can be deleted from the access URL, and only the main address such as “www.attackter.com”, “www.naver.com”, and “normal_update.com” can be extracted as the destination domain.
단계 S230에서는, 기준 시간 단위로 분리 저장된 특성 정보에서 중복을 제거하여 정제할 수 있다. 보다 구체적으로, 도 5에 도시된 바와 같이 접속 일자별로 분리된 특성 정보에 대해 (접속일자, 출발지 IP, 도착지 도메인)을 기준으로 중복되는 데이터를 제거할 수 있다.In step S230, redundancy may be removed and refined from the separated and stored characteristic information in units of reference time. More specifically, as shown in FIG. 5 , redundant data may be removed based on (access date, source IP, destination domain) for characteristic information separated by access date.
도 6은 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법의 단계 S230에서 중복을 제거해 정제한 특성 정보를 예를 들어 도시한 도면이다. 즉, 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법의 단계 S230에서는, 도 5에 도시된 바와 같은 접속 일자별 특성 정보에서 중복 데이터를 제거하여 도 6에 도시된 바와 같이 정제할 수 있다. 여기서는, 총 5개의 사용자 장치(출발지 IP 1.1.1.1 내지 5.5.5.5)가 연결된 네트워크 장치에서 수집된 로그 데이터를 2021년 1월 1일부터 2021년 1월 7일까지 일주일에 대해 조회하고 특성 정보를 추출한 다음, 1일 단위로 분리해 중복을 제거하였다.6 is a diagram showing, for example, characteristic information refined by removing redundancy in step S230 of the method for detecting malicious code infection through network communication log analysis according to an embodiment of the present invention. That is, in step S230 of the malicious code infection detection method through network communication log analysis according to an embodiment of the present invention, duplicate data is removed from the characteristic information for each access date as shown in FIG. can be refined. Here, log data collected from network devices to which a total of five user devices (source IPs 1.1.1.1 to 5.5.5.5) are connected are queried for a week from January 1, 2021 to January 7, 2021, and the characteristic information After extraction, they were separated on a daily basis to remove duplicates.
단계 S300에서는, 분석 모듈(130)이 단계 S200에서 추출한 특성 정보를 분석해 공격명령 서버에 접속한 것으로 추정되는 사용자 장치의 IP를 식별할 수 있다. 즉, 분석 모듈(130)은 도 6에 도시된 바와 같이 정제된 데이터에 대한 분석을 통해, 악성코드에 감염된 사용자 장치를 식별할 수 있다. 특히, 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법에서는, 자체 개발한 분석기법을 적용해 주기적으로 외부 네트워크에 접속을 시도하는 사용자 PC 중 악성코드에 감염된 호스트를 빠르고 정확하게 식별할 수 있다.In step S300, the analysis module 130 analyzes the characteristic information extracted in step S200 to identify the IP of the user device estimated to have accessed the attack command server. That is, as shown in FIG. 6 , the analysis module 130 may identify a user device infected with malicious code through analysis of the purified data. In particular, in the method for detecting malicious code infection through network communication log analysis according to an embodiment of the present invention, a self-developed analysis technique is applied to quickly and quickly detect hosts infected with malicious code among user PCs that periodically try to access external networks. can be accurately identified.
도 7은 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법에서, 단계 S300의 세부적인 흐름을 도시한 도면이다. 도 7에 도시된 바와 같이, 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법의 단계 S300은, 분석 모듈(130)에서 각 단계가 수행되며, 기준 시간 단위로 저장된 특성 정보에서 도착지 도메인을 기준으로, 도착지 도메인에 접속한 총 접속수와 출발지 IP의 수를 계산하는 단계(S310), 출발지 IP별로 미리 설정된 기간에 도착지 도메인에 접속한 일자를 카운트하고, 임계일자 이상 도착지 도메인에 접속한 출발지 IP를 식별하는 단계(S320) 및 위험도를 산출하고 악성 여부를 판단하며, 악성으로 판단되는 출발지 IP를 식별하는 단계(S330)를 포함하여 구현될 수 있다.7 is a diagram showing a detailed flow of step S300 in the method for detecting malicious code infection through network communication log analysis according to an embodiment of the present invention. As shown in FIG. 7 , in step S300 of the malicious code infection detection method through network communication log analysis according to an embodiment of the present invention, each step is performed in the analysis module 130, and the characteristics stored in units of reference time Based on the destination domain in the information, calculating the total number of connections to the destination domain and the number of source IPs (S310), counting the days of access to the destination domain in a preset period for each source IP, and reaching the destination beyond the threshold date It can be implemented by including the step of identifying the source IP accessing the domain (S320), calculating the degree of risk, determining whether or not it is malicious, and identifying the source IP determined to be malicious (S330).
단계 S310에서는, 기준 시간 단위로 저장된 특성 정보에서 도착지 도메인을 기준으로, 도착지 도메인에 접속한 총 접속수와 출발지 IP의 수를 계산할 수 있다.In step S310, the total number of connections accessing the destination domain and the number of source IPs may be calculated based on the destination domain from characteristic information stored in units of reference time.
도 8은 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법의 단계 S310에서 계산된 도착지 도메인에 총 접속수 및 출발지 IP의 수를 예를 들어 도시한 도면이다. 도 8에 도시된 바와 같이, 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법의 단계 S310에서는, 기준 시간인 1일 단위로 도착지 도메인별로 총 접속 횟수와 해당 도착지 도메인에 접속한 출발지 IP의 개수를 계산할 수 있다.8 is a diagram showing, for example, the total number of connections to the destination domain and the number of source IPs calculated in step S310 of the method for detecting malicious code infection through network communication log analysis according to an embodiment of the present invention. As shown in FIG. 8 , in step S310 of the malicious code infection detection method through network communication log analysis according to an embodiment of the present invention, the total number of accesses for each destination domain per day, which is a reference time, and the corresponding destination domain The number of connected source IPs can be calculated.
단계 S320에서는, 출발지 IP별로 미리 설정된 기간에 도착지 도메인에 접속한 일자를 카운트하고, 임계 일자 이상 도착지 도메인에 접속한 출발지 IP를 식별할 수 있다.In step S320, the number of days accessing the destination domain for each source IP within a preset period may be counted, and source IPs accessing the destination domain for more than a threshold number of days may be identified.
도 9는 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법의 단계 S320에서 카운트 한 접속일 수를 예를 들어 도시한 도면이다. 도 9에 도시된 바와 같이, 본 발명의 일실시예에 따른 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법의 단계 S320에서는, 각 출발지 IP가 최근 7일(미리 설정된 기간) 동안에 도착지 도메인에 접속한 횟수를 카운트하고(도 9의 “일자별 계”), 5일(임계 일자) 이상 해당 도착지 도메인에 접속한 출발지 IP를 식별할 수 있다.9 is a diagram showing, for example, the number of access days counted in step S320 of the method for detecting malicious code infection through network communication log analysis according to an embodiment of the present invention. As shown in FIG. 9, in step S320 of the malicious code infection detection method through network communication log analysis according to an embodiment of the present invention, each source IP accesses the destination domain for the last 7 days (preset period). It is possible to count the number of times (“total by date” in FIG. 9) and identify the source IP that accessed the corresponding destination domain for more than 5 days (critical date).
단계 S330에서는, 단계 S310 및 단계 S320에서 산출한 결과를 사용해 위험도를 산출하고 악성 여부를 판단하며, 악성으로 판단되는 출발지 IP를 식별할 수 있다. 보다 구체적으로, 단계 S330에서 산출하는 위험도는, 도착지 도메인별로 산출하며, 도착지 도메인에 설정 기간 내에 접속한 출발지 IP의 수에 대한 도착지 도메인에 설정 기간 내에 접속한 일자와, 전체 도착지 도메인에 설정 기간 내에 접속한 평균 접속 일자에 대한 전체 도착지 도메인에 접속한 평균 총 접속수의 곱으로 산출할 수 있다.In step S330, a risk level is calculated using the results calculated in steps S310 and S320, whether or not malicious is determined, and a source IP determined to be malicious can be identified. More specifically, the risk calculated in step S330 is calculated for each destination domain, the number of source IPs accessed to the destination domain within the set period, the date of access to the destination domain within the set period, and all destination domains within the set period. It can be calculated as the product of the average total number of connections accessed to all destination domains by the average access date.
이를 수식으로 표현하면 cnc_risk_score = (avg_date_cnt / total_src_cnt)*(avg_src_cnt/total_avg_date_cnt)와 같다. 여기서, cnc_risk_score는 위험도, avg_date_cnt는 도착지 도메인 기준 평균 접속 일자, total_src_cnt는 도착지 도메인 기준 출발지 IP 총 개수, avg_src_cnt는 전체 사이트 기준 출발지 IP 평균 접근 시도 개수, total_avg_date_cnt는 전체 사이트 기준 평균 접속 일자이다.Expressing this as a formula, it is equal to cnc_risk_score = (avg_date_cnt / total_src_cnt) * (avg_src_cnt/total_avg_date_cnt). Here, cnc_risk_score is the risk level, avg_date_cnt is the average access date based on the destination domain, total_src_cnt is the total number of source IPs based on the destination domain, avg_src_cnt is the average number of access attempts from the source IP based on all sites, and total_avg_date_cnt is the average access date based on all sites.
단계 S330에서 산출한 위험도 값이 클수록 악성코드에 감염되었을 가능성이 크며, 악성코드 감염의 판단 기준이 되는 임계값을 미리 설정해 임계값을 초과하면 악성코드 감염 위험이 있는 것으로 판단할 수 있다. 도 9에 도시된 바와 같은 예에서, 위험도는 각각 “www.attacker.com”에 대해 24.29이고, “www.naver.com”에 대해 4.81 등일 수 있다. 가장 위험도가 높은 도착지 도메인 또는 임계값이 20일 때 임계값을 초과한 위험도가 산출된 도착지 도메인인 “www.attacker.com”에 접속한 사용자 장치의 IP “1.1.1.1”을 식별할 수 있다. 식별된 IP “1.1.1.1”에 해당하는 사용자 장치에 대해서는 악성코드 감염 가능성을 관리자 또는 사용자에게 통지하고, 네트워크 이용을 제한하는 등의 조치를 할 수 있다.The higher the risk value calculated in step S330, the higher the possibility of being infected with malicious code. A threshold value that is a criterion for determining infection with malicious code is set in advance, and if the threshold value is exceeded, it can be determined that there is a risk of infection with malicious code. In the example shown in FIG. 9 , the risk levels may be 24.29 for “www.attacker.com”, 4.81 for “www.naver.com”, and the like, respectively. When the destination domain with the highest risk or the threshold value is 20, the IP “1.1.1.1” of the user device accessing “www.attacker.com”, the destination domain for which the risk exceeding the threshold value was calculated, can be identified. For user devices corresponding to the identified IP “1.1.1.1”, the administrator or user can be notified of the possibility of being infected with malicious code, and measures such as restricting network use can be taken.
전술한 바와 같이, 본 발명에서 제안하고 있는 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 시스템(100) 및 방법에 따르면, 네트워크 장치에서 수집한 로그 데이터를 분석해 악성코드에 감염된 사용자 장치가 공격명령 서버에 주기적으로 접속하는 것을 파악함으로써, 주기적으로 외부 네트워크에 접속을 시도하는 사용자 장치 중 악성코드에 감염된 호스트를 빠르고 정확하게 식별할 수 있다.As described above, according to the malicious code infection detection system 100 and method through network communication log analysis proposed in the present invention, log data collected from network devices is analyzed, and user devices infected with malicious codes are sent to the attack command server. By identifying periodic access, it is possible to quickly and accurately identify a host infected with malicious code among user devices periodically attempting to access an external network.
한편, 본 발명은 다양한 통신 단말기로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터에서 판독 가능한 매체를 포함할 수 있다. 예를 들어, 컴퓨터에서 판독 가능한 매체는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD_ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치를 포함할 수 있다.Meanwhile, the present invention may include a computer-readable medium including program instructions for performing operations implemented in various communication terminals. For example, computer-readable media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD_ROMs and DVDs, and floptical disks. It may include hardware devices specially configured to store and execute program instructions, such as magneto-optical media and ROM, RAM, flash memory, and the like.
이와 같은 컴퓨터에서 판독 가능한 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 이때, 컴퓨터에서 판독 가능한 매체에 기록되는 프로그램 명령은 본 발명을 구현하기 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 예를 들어, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함할 수 있다.Such computer-readable media may include program instructions, data files, data structures, etc. alone or in combination. At this time, program instructions recorded on a computer-readable medium may be specially designed and configured to implement the present invention, or may be known and usable to those skilled in computer software. For example, it may include high-level language codes that can be executed by a computer using an interpreter, as well as machine language codes generated by a compiler.
이상 설명한 본 발명은 본 발명이 속한 기술분야에서 통상의 지식을 가진 자에 의하여 다양한 변형이나 응용이 가능하며, 본 발명에 따른 기술적 사상의 범위는 아래의 특허청구범위에 의하여 정해져야 할 것이다.The present invention described above can be variously modified or applied by those skilled in the art to which the present invention belongs, and the scope of the technical idea according to the present invention should be defined by the claims below.

Claims (8)

  1. 악성코드 감염 탐지 시스템(100)으로서,As a malicious code infection detection system 100,
    악성코드에 감염된 사용자 장치가 공격명령 서버(C&C 서버, Command and Control Server)에 주기적으로 접속하는 것을 파악해 악성코드에 감염된 사용자 장치를 식별하며,Identify user devices infected with malicious code by recognizing that user devices infected with malicious code periodically access the attack command server (C&C server, Command and Control Server),
    사용자 장치와 연결된 네트워크 장치에서 로그 데이터를 수집하는 로그 수집 모듈(110);a log collection module 110 that collects log data from a network device connected to the user device;
    상기 로그 수집 모듈(110)에서 수집한 로그 데이터에서 통신일시, 출발지 IP 및 도착지 도메인으로 구성되는 특성 정보를 추출하는 특성 추출 모듈(120); 및a feature extraction module 120 for extracting feature information consisting of a communication date and time, a source IP, and a destination domain from the log data collected by the log collection module 110; and
    상기 특성 추출 모듈(120)에서 추출한 특성 정보를 분석해 상기 공격명령 서버에 접속한 것으로 추정되는 사용자 장치의 IP를 식별하는 분석 모듈(130)을 포함하는 것을 특징으로 하는, 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 시스템(100).An analysis module 130 analyzing the characteristic information extracted from the characteristic extraction module 120 to identify the IP of the user device estimated to have accessed the attack command server, Code infection detection system (100).
  2. 제1항에 있어서, 상기 로그 수집 모듈(110)은,The method of claim 1, wherein the log collection module 110,
    출발지 IP 및 도착지 IP를 포함하는 방화벽, 출발지 IP와 접속 URL이 포함되는 웹 프록시, 패킷 포렌식 솔루션 중 적어도 하나 이상의 네트워크 장치로부터 상기 로그 데이터를 수집하며,Collecting the log data from at least one network device of a firewall including a source IP and a destination IP, a web proxy including a source IP and a connection URL, and a packet forensic solution;
    상기 특성 정보를 구성하는 상기 도착지 도메인은, 상기 도착지 IP 또는 접속 URL인 것을 특징으로 하는, 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 시스템(100).The destination domain constituting the characteristic information is the destination IP or access URL, characterized in that, the malicious code infection detection system (100) through network communication log analysis.
  3. 제1항에 있어서, 상기 특성 추출 모듈(120)은,The method of claim 1, wherein the feature extraction module 120,
    (2-1) 미리 설정된 기간에 대해 상기 로그 데이터를 조회하는 단계;(2-1) querying the log data for a preset period of time;
    (2-2) 조회한 상기 로그 데이터에서 상기 특성 정보를 추출하고, 기준 시간 단위로 분리하여 저장하는 단계; 및(2-2) extracting the characteristic information from the searched log data, separating and storing the characteristic information in units of reference time; and
    (2-3) 상기 기준 시간 단위로 분리 저장된 상기 특성 정보에서 중복을 제거하여 정제하는 단계를 수행하여, 상기 로그 데이터에서 특성 정보를 추출하고 정제하는 것을 특징으로 하는, 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 시스템(100).(2-3) extracting and refining the characteristic information from the log data by removing redundancy from the characteristic information stored separately in the reference time unit and refining the malicious data through network communication log analysis; Code infection detection system (100).
  4. 제3항에 있어서, 상기 분석 모듈(130)은,The method of claim 3, wherein the analysis module 130,
    (3-1) 상기 기준 시간 단위로 저장된 특성 정보에서 상기 도착지 도메인을 기준으로, 상기 도착지 도메인에 접속한 총 접속수와 출발지 IP의 수를 계산하는 단계;(3-1) calculating the total number of connections accessing the destination domain and the number of source IPs based on the destination domain from the characteristic information stored in units of the reference time;
    (3-2) 상기 출발지 IP별로 상기 미리 설정된 기간에 상기 도착지 도메인에 접속한 일자를 카운트하고, 임계 일자 이상 상기 도착지 도메인에 접속한 출발지 IP를 식별하는 단계; 및(3-2) counting the number of access days to the destination domain for each source IP within the preset period, and identifying the source IP that accesses the destination domain for more than a threshold number of days; and
    (3-3) 상기 단계 (3-1) 및 단계 (3-2)에서 산출한 결과를 사용해 위험도를 산출하고 악성 여부를 판단하며, 악성으로 판단되는 출발지 IP를 식별하는 단계를 수행하여, 악성코드에 감염된 사용자 장치를 식별하는 것을 특징으로 하는, 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 시스템(100).(3-3) Calculate the risk level using the results calculated in steps (3-1) and (3-2), determine whether or not it is malicious, and perform the step of identifying the source IP that is determined to be malicious. A malicious code infection detection system (100) through network communication log analysis, characterized in that a user device infected with code is identified.
  5. 제4항에 있어서, 상기 위험도는,The method of claim 4, wherein the risk is,
    상기 도착지 도메인별로 산출하며, 상기 도착지 도메인에 상기 설정 기간 내에 접속한 출발지 IP의 수에 대한 상기 도착지 도메인에 상기 설정 기간 내에 접속한 일자와, 전체 도착지 도메인에 상기 설정 기간 내에 접속한 평균 접속 일자에 대한 전체 도착지 도메인에 접속한 평균 총 접속수의 곱으로 산출하는 것을 특징으로 하는, 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 시스템(100).Calculated for each destination domain, the date of access to the destination domain within the set period for the number of source IPs accessing the destination domain within the set period, and the average access date of access to all destination domains within the set period A malicious code infection detection system (100) through network communication log analysis, characterized in that the product is calculated as the product of the average total number of connections accessed to all destination domains.
  6. 악성코드 감염 탐지 시스템(100)에서 각 단계가 수행되는 악성코드 감염 탐지 방법으로서,A malicious code infection detection method in which each step is performed in the malicious code infection detection system 100,
    악성코드에 감염된 사용자 장치가 공격명령 서버(C&C 서버, Command and Control Server)에 주기적으로 접속하는 것을 파악해 악성코드에 감염된 사용자 장치를 식별하며,Identify user devices infected with malicious code by recognizing that user devices infected with malicious code periodically access the attack command server (C&C server, Command and Control Server),
    (1) 사용자 장치와 연결된 네트워크 장치에서 로그 데이터를 수집하는 단계;(1) collecting log data from a network device connected to the user device;
    (2) 상기 단계 (1)에서 수집한 로그 데이터에서 통신일시, 출발지 IP 및 도착지 도메인으로 구성되는 특성 정보를 추출하는 단계; 및(2) extracting characteristic information consisting of communication date and time, source IP, and destination domain from the log data collected in step (1); and
    (3) 상기 단계 (2)에서 추출한 특성 정보를 분석해 상기 공격명령 서버에 접속한 것으로 추정되는 사용자 장치의 IP를 식별하는 단계를 포함하는 것을 특징으로 하는, 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법.(3) Analyzing the characteristic information extracted in step (2) to identify the IP of the user device that is presumed to have accessed the attack command server, detecting malware infection through network communication log analysis method.
  7. 제6항에 있어서, 상기 단계 (2)는,The method of claim 6, wherein the step (2),
    (2-1) 미리 설정된 기간에 대해 상기 로그 데이터를 조회하는 단계;(2-1) querying the log data for a preset period of time;
    (2-2) 조회한 상기 로그 데이터에서 상기 특성 정보를 추출하고, 기준 시간 단위로 분리하여 저장하는 단계; 및(2-2) extracting the characteristic information from the searched log data, separating and storing the characteristic information in units of reference time; and
    (2-3) 상기 기준 시간 단위로 분리 저장된 상기 특성 정보에서 중복을 제거하여 정제하는 단계를 포함하는 것을 특징으로 하는, 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법.(2-3) a method for detecting malicious code infection through network communication log analysis, characterized in that it includes a step of removing and refining duplicates from the characteristic information separated and stored in units of the reference time.
  8. 제7항에 있어서, 상기 단계 (3)은,The method of claim 7, wherein the step (3),
    (3-1) 상기 기준 시간 단위로 저장된 특성 정보에서 상기 도착지 도메인을 기준으로, 상기 도착지 도메인에 접속한 총 접속수와 출발지 IP의 수를 계산하는 단계;(3-1) calculating the total number of connections accessing the destination domain and the number of source IPs based on the destination domain from the characteristic information stored in units of the reference time;
    (3-2) 상기 출발지 IP별로 상기 미리 설정된 기간에 상기 도착지 도메인에 접속한 일자를 카운트하고, 임계 일자 이상 상기 도착지 도메인에 접속한 출발지 IP를 식별하는 단계; 및(3-2) counting the number of access days to the destination domain for each source IP within the preset period, and identifying the source IP that accesses the destination domain for more than a threshold number of days; and
    (3-3) 상기 단계 (3-1) 및 단계 (3-2)에서 산출한 결과를 사용해 위험도를 산출하고 악성 여부를 판단하며, 악성으로 판단되는 출발지 IP를 식별하는 단계를 포함하는 것을 특징으로 하는, 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 방법.(3-3) Calculate the risk level using the results calculated in steps (3-1) and (3-2), determine whether or not it is malicious, and identify the source IP that is determined to be malicious. A malicious code infection detection method through network communication log analysis.
PCT/KR2022/019311 2022-02-21 2022-12-01 Malicious code infection detecting system and method through network communication log analysis WO2023158071A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2022-0022589 2022-02-21
KR1020220022589A KR102623681B1 (en) 2022-02-21 2022-02-21 Malicious code infection detecting system and method through network communication log analysis

Publications (1)

Publication Number Publication Date
WO2023158071A1 true WO2023158071A1 (en) 2023-08-24

Family

ID=87578774

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2022/019311 WO2023158071A1 (en) 2022-02-21 2022-12-01 Malicious code infection detecting system and method through network communication log analysis

Country Status (2)

Country Link
KR (1) KR102623681B1 (en)
WO (1) WO2023158071A1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130014300A (en) * 2011-07-29 2013-02-07 한국전자통신연구원 Cyber threat prior prediction apparatus and method
KR20130132261A (en) * 2012-05-25 2013-12-04 한국전자통신연구원 Method and apparatus for quantifying threat status for recognizing network threat
KR20170024428A (en) * 2015-08-25 2017-03-07 주식회사 아이티스테이션 Network security system and a method thereof
KR20170046103A (en) * 2016-10-28 2017-04-28 에스케이플래닛 주식회사 Web address extraction system for checking malicious code and method thereof
US20190173897A1 (en) * 2016-06-20 2019-06-06 Nippon Telegraph And Telephone Corporation Malicious communication log detection device, malicious communication log detection method, and malicious communication log detection program

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130014300A (en) * 2011-07-29 2013-02-07 한국전자통신연구원 Cyber threat prior prediction apparatus and method
KR20130132261A (en) * 2012-05-25 2013-12-04 한국전자통신연구원 Method and apparatus for quantifying threat status for recognizing network threat
KR20170024428A (en) * 2015-08-25 2017-03-07 주식회사 아이티스테이션 Network security system and a method thereof
US20190173897A1 (en) * 2016-06-20 2019-06-06 Nippon Telegraph And Telephone Corporation Malicious communication log detection device, malicious communication log detection method, and malicious communication log detection program
KR20170046103A (en) * 2016-10-28 2017-04-28 에스케이플래닛 주식회사 Web address extraction system for checking malicious code and method thereof

Also Published As

Publication number Publication date
KR20230125683A (en) 2023-08-29
KR102623681B1 (en) 2024-01-11

Similar Documents

Publication Publication Date Title
WO2019245107A1 (en) Malicious code detection device and method
CN107251037B (en) Blacklist generation device, blacklist generation system, blacklist generation method, and recording medium
WO2017069348A1 (en) Method and device for automatically verifying security event
WO2011010823A2 (en) Method for detecting and preventing a ddos attack using cloud computing, and server
JP5557623B2 (en) Infection inspection system, infection inspection method, recording medium, and program
WO2012108687A2 (en) Method of detecting arp spoofing attacks using arp locking and computer-readable recording medium storing program for executing the method
US7334264B2 (en) Computer virus generation detection apparatus and method
WO2011105659A1 (en) System, method, program, and recording medium for real-time detection and blocking of harmful programs through behavioral analysis of a process
WO2015178578A1 (en) System and method for analyzing patch file
WO2019160195A1 (en) Apparatus and method for detecting malicious threats contained in file, and recording medium therefor
WO2018107811A1 (en) Joint defence method and apparatus for network security, and server and storage medium
WO2014054854A1 (en) Log analysis system and log analyis method for security system
WO2013168913A1 (en) Apparatus and method for checking non-executable files
WO2013044748A1 (en) Method and system for monitoring webpage malicious attributes
US20120005743A1 (en) Internal network management system, internal network management method, and program
WO2012015171A2 (en) Hacker virus security-integrated control device
WO2013168951A1 (en) Apparatus and method for checking malicious file
US20200304521A1 (en) Bot Characteristic Detection Method and Apparatus
WO2017171188A1 (en) Security device using transaction information collected from web application server or web server
WO2012023657A1 (en) Network-based harmful-program detection method using a virtual machine, and a system comprising the same
WO2017034072A1 (en) Network security system and security method
JP5752642B2 (en) Monitoring device and monitoring method
WO2017026840A1 (en) Internet connection device, central management server, and internet connection method
WO2014077615A1 (en) Anti-malware system, method of processing packet in the same, and computing device
WO2023158071A1 (en) Malicious code infection detecting system and method through network communication log analysis

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22927467

Country of ref document: EP

Kind code of ref document: A1