[go: up one dir, main page]

KR102280845B1 - 네트워크 내의 비정상 행위 탐지 방법 및 그 장치 - Google Patents

네트워크 내의 비정상 행위 탐지 방법 및 그 장치 Download PDF

Info

Publication number
KR102280845B1
KR102280845B1 KR1020200158678A KR20200158678A KR102280845B1 KR 102280845 B1 KR102280845 B1 KR 102280845B1 KR 1020200158678 A KR1020200158678 A KR 1020200158678A KR 20200158678 A KR20200158678 A KR 20200158678A KR 102280845 B1 KR102280845 B1 KR 102280845B1
Authority
KR
South Korea
Prior art keywords
rule
rules
network
association
extracting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020200158678A
Other languages
English (en)
Inventor
오성택
고웅
김홍근
이재혁
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020200158678A priority Critical patent/KR102280845B1/ko
Priority to US17/200,622 priority patent/US11206277B1/en
Application granted granted Critical
Publication of KR102280845B1 publication Critical patent/KR102280845B1/ko
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 내의 비정상 행위를 탐지하는 방법 및 그 장치에 관한 것이다. 본 발명의 일 실시예에 따른 네트워크 내의 비정상 행위 탐지 방법은, 컴퓨팅 장치에 의해 수행되는 방법에 있어서, 복수의 개별 룰을 획득하되, 상기 개별 룰은 복수의 입력 데이터 세트들 중 적어도 하나의 입력 데이터 세트로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰인, 단계, 복수의 연관 룰을 획득하되, 상기 연관 룰은 상기 복수의 입력 데이터 세트들 및 상기 개별 룰에 의한 출력 데이터 중 적어도 하나로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰인, 단계 및 상기 복수의 개별 룰 및 상기 복수의 연관 룰 중 어느 하나에 의한 출력 데이터에 기초하여, 네트워크 내의 비정상 행위를 탐지하는 단계를 포함할 수 있다.

Description

네트워크 내의 비정상 행위 탐지 방법 및 그 장치{METHOD AND APPARATUS FOR DETECTING ABNORMAL BEHAVIOR IN NETWORK}
본 발명은 네트워크 내의 비정상 행위를 탐지하는 방법 및 그 장치에 관한 것이다. 보다 구체적으로, 본 발명은 복수의 개별 룰 및 복수의 연관 룰 중 어느 하나에 의한 출력 데이터에 기초하여, 네트워크 내의 비정상 행위를 탐지하는 방법 및 그 장치에 관한 것이다.
통상적으로 네트워크 내의 비정상 행위를 탐지하는 방법은, 오용 탐지(Misuse Detection) 방법과 이상 행위 탐지(Anomaly detection) 방법으로 나뉘어진다.
우선, 오용 탐지 방법은 사전에 이미 알려진 수백 가지 이상의 공격 패턴을 적용해 침입 탐지를 하는 것으로, 이미 알려진 공격 패턴에 대한 시그니처(Signature)나 룰 데이터베이스(Rule Database)를 생성하고, 이와 일치하는 패턴을 탐지하는 기술이다. 다음으로, 이상 행위 탐지 방법은 통계적인 자료를 기반으로 하여, 통계에서 벗어나는 알려지지 않은 각종 행위를 탐지하는 기술이다. 이러한, 이상 행위 탐지 방법은 통계 자료를 기반으로 하여 정상 또는 비정상을 구분하기 위한 학습 과정을 위해서 많은 학습 데이터가 요구된다는 문제가 있다.
네트워크 관련 기술 발전에 따라, 네트워크 내의 비정상 행위 또한, 복잡 다변화되고 있다. 따라서, 다양한 분석 시나리오에 기초하여 네트워크 내의 비정상 행위를 탐지하는 기술이 요구된다.
한국 공개특허 제 2015-0091775 호 "비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템"
본 발명의 몇몇 실시예들이 해결하고자 하는 기술적 과제는, 다양한 분석 시나리오에 기초하여 네트워크 내의 비정상 행위를 탐지하는 방법 및 장치를 제공하는 것이다.
본 발명의 몇몇 실시예들이 해결하고자 하는 다른 기술적 과제는, 개별 룰과 관련성을 가진 연관 룰에 기초하여 네트워크 내의 비정상 행위를 탐지하는 방법 및 장치를 제공하는 것이다.
본 발명의 몇몇 실시예들이 해결하고자 하는 또 다른 기술적 과제는, 다수의 계층 관계를 가진 연관 룰에 기초하여 네트워크 내의 비정상 행위를 탐지하는 방법 및 장치를 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명의 기술분야에서의 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상기 기술적 과제를 해결하기 위한 본 발명의 일 실시예에 따른 네트워크 내의 비정상 행위 탐지 방법은, 컴퓨팅 장치에 의해 수행되는 방법에 있어서, 복수의 개별 룰을 획득하되, 상기 개별 룰은 복수의 입력 데이터 세트들 중 적어도 하나의 입력 데이터 세트로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰인, 단계, 복수의 연관 룰을 획득하되, 상기 연관 룰은 상기 복수의 입력 데이터 세트들 및 상기 개별 룰에 의한 출력 데이터 중 적어도 하나로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰인, 단계 및 상기 복수의 개별 룰 및 상기 복수의 연관 룰 중 어느 하나에 의한 출력 데이터에 기초하여, 네트워크 내의 비정상 행위를 탐지하는 단계를 포함할 수 있다.
일 실시예에서, 상기 추출 조건은, 적어도 하나의 조건을 포함하는 조건일 수 있다.
일 실시예에서, 상기 복수의 연관 룰을 획득하는 단계는, 상기 복수의 연관 룰 중 어느 하나에 의한 출력 데이터로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 연관 룰을 획득하는 단계를 포함할 수 있다.
일 실시예에서, 상기 네트워크 내의 비정상 행위를 탐지하는 단계는, 상기 추출 조건에 기초하여 추출된 상기 출력 데이터의 속성 값이 임계치 이상인지 판정하는 단계를 포함할 수 있다. 여기서, 상기 속성 값은, 상기 출력 데이터의 개수, 상기 출력 데이터에 포함된 그룹의 개수 및 상기 출력 데이터에 포함된 대상 그룹의 데이터의 개수를 포함할 수 있다. 또한, 상기 네트워크 내의 비정상 행위를 탐지하는 단계는, 상기 추출 조건에 기초하여 추출된 상기 출력 데이터의 추출 시간 간격이 임계치 이하인지 판정하는 단계를 포함할 수도 있다.
일 실시예에서, 상기 네트워크 내의 비정상 행위는, AI 스피커의 무단 도청 행위이고, 상기 복수의 개별 룰 중 하나는, 상기 AI 스피커에서 실행 중인 프로세스들의 ID들 중에서 마이크 입력을 획득하는 프로세스 ID를 추출하는 룰이고, 상기 복수의 연관 룰 중 제1 연관 룰은, 상기 AI 스피커에 존재하는 파일들 중, 상기 마이크 입력을 획득하는 프로세스 ID에 의해 생성된 파일 ID를 추출하는 룰이고, 상기 복수의 연관 룰 중 제2 연관 룰은, 상기 AI 스피커에서 실행 중인 프로세스들의 ID들 중에서 상기 파일 ID에 액세스하는 프로세스 ID 목록을 추출하는 룰이고, 상기 복수의 연관 룰 중 제3 연관 룰은, 상기 프로세스 ID 목록에 포함된 각각의 프로세스 ID에 대응되는 네트워크 세션 목록을 추출하는 룰이고, 상기 복수의 연관 룰 중 제4 연관 룰은, 상기 네트워크 세션 목록에 포함된 네트워크 세션 데이터 중 미리 결정된 블랙리스트 목록에 포함된 네트워크 세션 데이터를 추출하는 룰일 수 있다.
일 실시예에서, 상기 네트워크 내의 비정상 행위는, 공유기의 호스트 파일 변경 행위이고, 상기 복수의 개별 룰 중 하나는, 상기 호스트 파일의 변경 데이터를 추출하는 룰이고, 상기 복수의 연관 룰 중 제1 연관 룰은, 상기 변경 데이터에 기초하여 상기 호스트 파일이 연결하는 도메인 중 미리 결정된 블랙리스트 목록에 포함된 도메인을 추출하는 룰일 수 있다.
일 실시예에서, 상기 네트워크 내의 비정상 행위는, 취약점이 알려진 펌웨어 사용 기기에 대한 공격 행위이고, 상기 복수의 개별 룰 중 하나는, 네트워크에 연결된 복수의 IoT 기기 중 적어도 하나의 펌웨어 데이터를 추출하는 룰이고, 상기 복수의 연관 룰 중 제1 연관 룰은, 상기 펌웨어 데이터에 알려진 취약점 데이터를 추출하는 룰이고, 상기 복수의 연관 룰 중 제2 연관 룰은, 상기 취약점 데이터에 대응되는 공격 행위에 대한 탐지 결과를 추출하는 룰일 수 있다. 여기서, 상기 복수의 연관 룰 중 제3 연관 룰은, 상기 탐지 결과에 기초하여 상기 복수의 IoT 기기 중 적어도 하나에 대한 상기 공격 행위 횟수를 추출하는 룰일 수도 있다.
일 실시예에서, 상기 네트워크 내의 비정상 행위는, 스텔스 스캐닝(Stealth Scanning) 행위이고, 상기 복수의 개별 룰 중 하나는, 수집되는 트래픽 데이터로부터 미리 결정된 블랙리스트 목록에 포함된 도메인에 방문한 디바이스 ID를 추출하는 룰이고, 상기 복수의 연관 룰 중 제1 연관 룰은, 상기 디바이스 ID에 대응되는 디바이스의 IP 대역에서 FIN 패킷 송신 횟수를 추출하는 룰일 수 있다. 여기서, 상기 복수의 연관 룰 중 제2 연관 룰은, 상기 디바이스 ID에 대응되는 디바이스의 IP 대역에서 SYN 패킷 송신 횟수를 추출하는 룰이고, 상기 네트워크 내의 비정상 행위를 탐지하는 단계는, 상기 FIN 패킷 송신 횟수가 제1 임계치 이상이나, 상기 SYN 패킷 송신 횟수가 제2 임계치 이하이면 경고 메시지를 출력하는 단계를 포함할 수 있다.
일 실시예에서, 상기 네트워크 내의 비정상 행위는, 미리 결정된 블랙리스트 대상과의 통신 행위이고, 상기 복수의 개별 룰 중 하나는, 네트워크에 연결된 복수의 IoT 기기들의 리슨 포트 목록을 추출하는 룰이고, 상기 복수의 연관 룰 중 제1 연관 룰은, 상기 리슨 포트 목록에서 새로 생성된 리슨 포트를 추출하는 룰이고, 상기 복수의 연관 룰 중 제2 연관 룰은, 상기 새로 생성된 리슨 포트에 접속한 네트워크 세션 목록을 추출하는 룰이고, 상기 복수의 연관 룰 중 제3 연관 룰은, 상기 네트워크 세션 목록에 포함된 네트워크 세션 데이터 중 미리 결정된 블랙리스트 목록에 포함된 네트워크 세션 데이터를 추출하는 룰일 수 있다.
본 발명의 다른 실시예에 따른 네트워크 내의 비정상 행위 탐지 방법은, 프로세서, 네트워크 인터페이스, 메모리 및 상기 메모리에 로드(load)되고, 상기 프로세서에 의해 실행되는 컴퓨터 프로그램을 포함하되, 상기 컴퓨터 프로그램은, 복수의 개별 룰을 획득하되, 상기 개별 룰은 복수의 입력 데이터 세트들 중 적어도 하나의 입력 데이터 세트로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰인, 인스트럭션(instruction), 복수의 연관 룰을 획득하되, 상기 연관 룰은 상기 복수의 입력 데이터 세트들 및 상기 개별 룰에 의한 출력 데이터 중 적어도 하나로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰인, 인스트럭션 및 상기 복수의 개별 룰 및 상기 복수의 연관 룰 중 어느 하나에 의한 출력 데이터에 기초하여, 네트워크 내의 비정상 행위를 탐지하는 인스트럭션을 포함할 수 있다.
본 발명의 또 다른 실시예에 따른 컴퓨터 판독 가능한 기록 매체는, 프로세서에 의해 실행 가능한 컴퓨터 프로그램 명령어들을 포함하는, 네트워크 내의 비정상 행위를 탐지하기 위한 컴퓨터 프로그램으로서, 상기 컴퓨터 프로그램 명령어들이 컴퓨팅 디바이스의 프로세서에 의해 실행되는 경우에, 복수의 개별 룰을 획득하되, 상기 개별 룰은 복수의 입력 데이터 세트들 중 적어도 하나의 입력 데이터 세트로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰인, 단계, 복수의 연관 룰을 획득하되, 상기 연관 룰은 상기 복수의 입력 데이터 세트들 및 상기 개별 룰에 의한 출력 데이터 중 적어도 하나로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰인, 단계 및 상기 복수의 개별 룰 및 상기 복수의 연관 룰 중 어느 하나에 의한 출력 데이터에 기초하여, 네트워크 내의 비정상 행위를 탐지하는 단계를 포함하는, 동작들을 수행하는 컴퓨터 프로그램이 기록될 수 있다.
도 1은 본 발명의 일 실시예에 따른 네트워크 내의 비정상 행위 탐지 시스템을 설명하기 위한 도면이다.
도 2는 본 발명의 다른 실시예에 따른 네트워크 내의 비정상 행위 탐지 방법을 설명하기 위한 도면이다.
도 3은 본 발명의 몇몇 실시예에서 참조될 수 있는 출력 데이터 저장부를 보다 구체적으로 설명하기 위한 도면이다.
도 4는 도 2를 참조하여 설명된 네트워크 내의 비정상 행위 탐지 방법이 적용되어, 신규한 공격 패턴 유형을 탐지하는 동작을 설명하기 위한 예시 도면이다.
도 5는 도 2를 참조하여 설명된 네트워크 내의 비정상 행위 탐지 방법이 적용되어, AI 스피커의 무단 도청 행위를 탐지하는 동작을 설명하기 위한 예시 도면이다.
도 6은 도 2를 참조하여 설명된 네트워크 내의 비정상 행위 탐지 방법이 적용되어, 공유기의 호스트 파일 변경 행위를 탐지하는 동작을 설명하기 위한 예시 도면이다.
도 7은 도 2를 참조하여 설명된 네트워크 내의 비정상 행위 탐지 방법이 적용되어, 취약점이 알려진 펌웨어 사용 기기에 대한 공격 행위를 탐지하는 동작을 설명하기 위한 예시 도면이다.
도 8은 도 2를 참조하여 설명된 네트워크 내의 비정상 행위 탐지 방법이 적용되어, 스텔스 스캐닝 행위를 탐지하는 동작을 설명하기 위한 예시 도면이다.
도 9는 도 2를 참조하여 설명된 네트워크 내의 비정상 행위 탐지 방법이 적용되어, 블랙리스트 대상과의 통신 행위를 탐지하는 동작을 설명하기 위한 예시 도면이다.
도 10은 본 발명의 또 다른 실시예에 따른 네트워크 내의 비정상 행위 탐지 장치의 하드웨어 구성도이다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예들을 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명의 기술적 사상은 이하의 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 이하의 실시예들은 본 발명의 기술적 사상을 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 본 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명의 기술적 사상은 청구항의 범주에 의해 정의될 뿐이다.
각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다.
또한, 본 발명의 구성 요소를 설명하는 데 있어서, 제1, 제2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 어떤 구성 요소가 다른 구성요소에 "연결", "결합" 또는 "접속"된다고 기재된 경우, 그 구성 요소는 그 다른 구성요소에 직접적으로 연결되거나 또는 접속될 수 있지만, 각 구성 요소 사이에 또 다른 구성 요소가 "연결", "결합" 또는 "접속"될 수도 있다고 이해되어야 할 것이다.
이하, 본 발명의 몇몇 실시예들에 대하여 첨부된 도면에 따라 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 네트워크 내의 비정상 행위 탐지 시스템을 설명하기 위한 도면이다. 도 1을 참조하면, 네트워크 내의 비정상 행위 탐지 시스템은 사용자 단말(10) 및 네트워크 내의 비정상 행위 탐지 장치(1000)를 포함할 수 있다. 도 1에 개시된 네트워크 내의 비정상 행위 탐지 시스템 각각의 구성 요소들은 기능적으로 구분되는 기능 요소들을 나타낸 것으로서, 어느 하나 이상의 구성 요소가 실제 물리적 환경에서는 서로 통합되어 구현될 수 있다. 이하, 네트워크 내의 비정상 행위 탐지 시스템의 구성 요소에 대해 보다 구체적으로 설명하기로 한다.
도 1에는 네트워크에 접속된 복수의 사용자 단말이 도시된다. 구체적으로, 제1 사용자 단말(10a), 제2 사용자 단말(10b) 및 제3 사용자 단말(10c)이 도시된다. 도 1은 네트워크에 연결되는 복수의 사용자 단말을 예시하는 것일 뿐, 도 1에 도시된 사용자 단말(100)의 개수에 본 발명이 한정되는 것은 아님을 유의해야 한다.
이러한, 사용자 단말(100)은 네트워크 내의 비정상 행위 탐지 장치(1000)로부터 탐지되고 전송된 네트워크 내의 비정상 행위에 대한 경고 메시지를 수신한다. 예를 들어, 네트워크 내의 비정상 행위는, AI 스피커의 무단 도청 행위, 공유기의 호스트 파일 변경 행위, 취약점이 알려진 펌웨어 사용 기기에 대한 공격 행위, 스텔스 스캐닝 행위, 블랙리스트 대상과의 통신 행위 등을 포함할 수 있다. 다만, 본 발명에서 탐지되는 네트워크 내의 비정상 행위 유형이 본 예시들에 한정되는 것은 아니다.
사용자 단말(10)은 네트워크 내의 비정상 행위에 대한 경고 메시지를 수신하기 위해 웹 브라우저(Web browser) 또는 전용 애플리케이션이 설치되어 있을 수 있다.
본 발명의 몇몇 실시예에서 참조될 수 있는 사용자 단말(10)은 네트워크를 통하여 네트워크 내의 비정상 행위 탐지 장치(1000)로부터 전송된 네트워크 내의 비정상 행위에 대한 경고 메시지를 수신할 수 있는 장치라면, 어떠한 장치라도 허용될 수 있다. 예를 들어, 본 발명의 몇몇 실시예에서 참조될 수 있는 사용자 단말(10)은 데스크탑(Desktop), 워크스테이션(Workstation), 서버(Server), 랩탑(Laptop), 태블릿(Tablet), 스마트폰(Smart Phone) 또는 패블릿(Phablet) 중 어느 하나가 될 수 있으나, 이에 한정되지 않고, 휴대용 멀티미디어 플레이어(Portable Multimedia Player, PMP), 개인용 휴대 단말기(Personal Digital Assistants, PDA) 또는 전자책 단말기(E-Book Reader) 등과 같은 형태의 장치가 될 수도 있다.
다음으로, 네트워크 내의 비정상 행위 탐지 장치(1000)는, 입력 데이터 세트 수집부(100), 데이터베이스(200) 및 비정상 행위 탐지부(300)를 포함할 수 있다. 이하, 네트워크 내의 비정상 행위 탐지 장치(1000)의 구성 요소에 대해 보다 구체적으로 설명하기로 한다.
입력 데이터 세트 수집부(100)는 복수의 입력 데이터 세트를 수집한다. 여기서, 입력 데이터 세트는 네트워크 내의 비정상 행위를 탐지하기 위한 데이터를 의미한다. 구체적인 예를 들어, 네트워크에 연결된 기기에서 실행되는 프로세스 데이터, 네트워크에 연결된 기기에서 생성한 파일 데이터, 네트워크에 연결된 기기에 액세스를 시도하는 대상 기기의 네트워크 세션 데이터, 네트워크에 연결된 기기가 송수신하는 트래픽 데이터 및 네트워크에 연결된 기기의 포트 데이터 등이 입력 데이터 세트일 수 있다. 본 발명에서 수집되는 입력 데이터 세트는 앞서 설명된 예시들에 한정되는 것은 아니고, 네트워크 내의 비정상 행위를 탐지하기 위한 모든 데이터가 입력 데이터 세트에 포함될 수 있음을 유의해야 한다.
또한, 입력 데이터 세트 수집부(100)는 수집된 입력 데이터 세트를 전 처리한다. 여기서, 입력 데이터 세트를 전 처리하는 동작은, 수집된 입력 데이터 세트를 의미 있는 데이터로 추출하여 가공하는 것을 의미한다. 입력 데이터 세트를 수집하여 파싱하는 모든 공지 기술이 여기에 적용될 수 있다.
또한, 입력 데이터 세트 수집부(100)는 수집된 입력 데이터 세트를 데이터 베이스(200)에 저장한다. 보다 구체적으로, 입력 데이터 세트 수집부(100)는 수집된 입력 데이터 세트를 입력 데이터 세트 저장부(210)에 저장한다.
또한, 입력 데이터 세트 수집부(100)는 전 처리된 입력 데이터 세트를 비정상 행위 탐지부(300)에 메시지 큐의 형태로 전송한다. 이와 관련된 몇몇 실시예에서, 입력 데이터 세트 수집부(100)가 비정상 행위 탐지부(300)에 전송하는 메시지 큐의 시간 간격을 설정함으로써, 사용자가 미리 설정한 주기로 비정상 행위 탐지 주기가 결정될 수 있다. 다른 몇몇 실시예에서, 입력 데이터 세트 수집부(100)가 비정상 행위 탐지부(300)에 실시간으로 입력 데이터 세트를 전송하여, 실시간으로 네트워크 내의 비정상 행위가 탐지될 수도 있다.
다음으로, 비정상 행위 탐지부(300)는 입력 데이터 세트 수집부(100)로부터 수신된 입력 데이터 세트에 기초하여 네트워크 내의 비정상 행위를 탐지한다. 보다 구체적으로, 비정상 행위 탐지부(300)는 데이터베이스(200)의 룰 저장부(220)에 저장된 룰을 획득한다. 다음으로, 수집된 입력 데이터 세트로부터, 룰의 추출 조건을 만족시키는 출력 데이터를 추출한다. 다음으로, 출력 데이터에 기초하여, 네트워크 내의 비정상 행위를 탐지한다. 이러한, 비정상 행위 탐지부(300)의 보다 구체적인 동작은 추후 명세서의 기재를 통해 보다 구체화될 것이다.
또한, 비정상 행위 탐지부(300)는 추출된 출력 데이터를 데이터베이스(200)의 출력 데이터 저장부(230)에 저장한다. 이때, 출력 데이터 저장부(230)는 각각의 룰 별로 각각의 룰에 의해 추출된 출력 데이터를 근거 데이터로 저장한다. 또한, 각각의 룰 별로 각각의 룰에 대응되는 공격 유형이 탐지될 때, 출력되는 경고 메시지에 관한 데이터를 경보 정보로 근거 데이터와 함께 저장한다.
또한, 비정상 행위 탐지부(300)는 룰의 추출 조건에 의해 입력 데이터 세트로부터 추출된 출력 데이터에 기초하여 경고 메시지를 사용자 단말(10)에 전송한다.
이상, 도 1을 참조하여 본 발명의 일 실시예에 따른 네트워크 내의 비정상 행위 탐지 시스템에 대해 구체적으로 설명하였다. 도 1을 참조하여 설명된 본 실시예에 따르면, 네트워크 내의 비정상 행위 탐지 장치(1000)에 의해 비정상 행위가 탐지됨으로써, 네트워크에 연결된 기기들을 보호할 수 있다. 특히, 추후 명세서의 기재에 의해 구체화될 연관 룰에 의해 네트워크 내의 비정상 행위가 탐지됨으로써, 다양한 분석 시나리오에 기초하여 네트워크 내의 비정상 행위를 탐지할 수 있다.
이하, 도 2 내지 도 9를 참조하여 본 발명의 다른 실시예에 따른 네트워크 내의 비정상 행위 탐지 방법에 대해 구체적으로 설명하기로 한다.
도 2는 본 발명의 다른 실시예에 따른 네트워크 내의 비정상 행위 탐지 방법을 설명하기 위한 도면이다. 본 실시예에 따른 네트워크 내의 비정상 행위 탐지 방법은 컴퓨팅 장치에 의하여 수행될 수 있다. 예컨대, 본 실시예에 따른 네트워크 내의 비정상 행위 탐지 방법은 도 1에 도시된 네트워크 내의 비정상 행위 탐지 장치에 의하여 수행될 수 있다. 또한, 본 실시예에 따른 방법은 제1 컴퓨팅 장치와 제2 컴퓨팅 장치에 의하여 나뉘어 수행될 수 있다. 이하, 본 실시예에 따른 방법의 각 동작을 수행함에 있어서, 그 주체의 기재가 생략되면, 그 주체는 상기 컴퓨팅 장치인 것으로 해석될 수 있을 것이다.
도 2를 참조하면 단계 S100에서, 복수의 개별 룰이 획득된다. 여기서, 개별 룰은 복수의 입력 데이터 세트들 중 적어도 하나의 입력 데이터 세트로부터, 추출 조건을 추출 조건을 만족시키는 출력 데이터를 추출하는 룰이다. 이때, 추출 조건은 적어도 하나의 조건을 포함하는 조건일 수 있다. 예를 들어 추출 조건으로, 제1 조건인 데이터 유형(Data Type) 및 제2 조건인 파일 이름(File Name)이 조건으로 고려될 수 있다. 다만, 본 예시와 같이 조건의 개수가 2개인 것에 추출 조건이 한정되는 것은 아님을 유의해야 한다.
다음으로 단계 S200에서, 복수의 연관 룰이 획득된다. 여기서, 연관 룰은 복수의 입력 데이터 세트들 및 개별 룰에 의한 출력 데이터 중 적어도 하나로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰이다. 즉, 연관 룰은 개별 룰에 의한 제1 출력 데이터를 기초로 추출 조건을 만족시키는 제1 출력 데이터와 다른 제2 출력 데이터를 추출함으로써, 복수의 룰 사이의 관련성에 기초한 다양한 분석 시나리오에 의해 네트워크 내의 비정상 행위를 탐지할 수 있다. 개별 룰과 연관 룰의 관계를 보다 구체적으로 설명하면, 연관 룰은 개별 룰에 의해 추출된 제1 출력 데이터가 연관 룰의 대상 데이터로 사용되거나 제1 출력 데이터가 연관 룰의 추출 조건으로 사용된다. 개별 룰과 연관 룰의 관계에 대한 구체적인 내용은, 추후 도 4 내지 도 9를 참조하면 이해될 수 있을 것이다.
단계 S200과 관련된 몇몇 실시예에서, 복수의 연관 룰을 획득하는 단계는, 복수의 연관 룰 중 어느 하나에 의한 출력 데이터로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 연관 룰을 획득하는 단계를 포함할 수 있다. 연관 룰은 복수의 연관 룰에 포함된 어느 하나의 연관 룰에 의한 제3 출력 데이터를 기초로 추출 조건을 만족시키는 제3 출력 데이터와 다른 제4 출력 데이터를 추출함으로써, 복수의 룰 사이의 관련성에 기초한 다양한 분석 시나리오에 의해 네트워크 내의 비정상 행위를 탐지할 수도 있다. 즉, 연관 룰에 다른 연관 룰을 연관시킴으로써, 보다 다양한 분석 시나리오에 의해 네트워크 내의 비정상 행위를 탐지할 수도 있다. 이와 관련된 구체적인 내용 또한, 추후 도 4 내지 도 9를 참조하면 이해될 수 있을 것이다.
다음으로 단계 S300에서, 복수의 개별 룰 및 복수의 연관 룰 중 어느 하나에 의한 출력 데이터에 기초하여, 네트워크 내의 비정상 행위가 탐지된다.
단계 S300에서, 출력 데이터를 추출한 룰이, 추출 시간 간격을 카운팅하여 임계치와 비교하는 룰인 경우, 추출된 출력 데이터의 추출 시간 간격이 임계치 이하 또는 이상일 때 경고 메시지가 출력될 수 있다. 보다 구체적인 예를 들어 설명하면, 미리 결정된 임계치가 1분인 경우, 출력 데이터의 추출 시간 간격이 1분 이하이면 경고 메시지가 출력된다. 여기서, 임계치는 탐지하고자 하는 공격 유형에 대응하여 자유롭게 변경될 수 있음을 유의해야 한다. 본 실시예에 따르면, 출력 데이터의 추출 시간 간격에 기초하여 네트워크 내의 비정상 행위를 탐지할 수 있다.
단계 S300에서, 출력 데이터를 추출한 룰이, 추출된 출력 데이터의 속성 값과 임계치를 비교하는 룰인 경우, 추출된 출력 데이터의 속성 값이 임계치 이하 또는 이상일 때 경고 메시지가 출력될 수 있다. 여기서, 속성 값은 출력 데이터의 개수, 출력 데이터에 포함된 그룹의 개수 및 출력 데이터에 포함된 대상 그룹의 데이터 개수를 포함할 수 있다. 구체적인 예를 들어 설명하면, 출력 데이터의 그룹이 대상 파일에 액세스하는 프로세스 ID 목록인 경우, 동일한 프로세스 ID마다 그룹화된 그룹의 개수가 미리 결정된 임계치 이상인 경우, 경고 메시지가 출력된다. 다른 예를 들어 설명하면, 출력 데이터가 대상 디바이스 IP 대역에서 송신하는 FIN 파일 개수가 미리 결정된 임계치 이상인 경우, 경고 메시지가 출력된다. 본 실시예에 따르면, 출력 데이터의 속성 값에 기초하여 네트워크 내의 비정상 행위를 탐지할 수 있다.
앞서 설명된 것처럼, 출력 데이터에 기초하여 네트워크 내의 비정상 행위가 탐지되면, 탐지의 근거가 된 출력 데이터 및 경보 정보를 함께 저장한다. 이와 관련된 보다 구체적인 설명을 위해 도 3을 참조하기로 한다. 도 3은 본 발명의 몇몇 실시예에서 참조될 수 있는 출력 데이터 저장부를 보다 구체적으로 설명하기 위한 도면이다.
도 3의 (a)를 참조하면, 제1 개별 룰(11)이 도시되고, 도 3의 (b)를 참조하면, 제1 연관 룰(21)이 도시되고, 도 3의 (c)를 참조하면, 출력 데이터 저장부(230)에 저장된 제1 개별 룰(11), 제2 개별 룰(12), 제3 개별 룰(13), 제4 개별 룰(14), 제1 연관 룰(21) 및 제2 연관 룰(22)이 도시된다. 앞서 설명된 것처럼, 출력 데이터에 기초하여 네트워크 내의 비정상 행위가 탐지되면, 탐지의 근거가 된 출력 데이터 및 경보 정보를 함께 출력 데이터 저장부(230)에 저장한다. 본 실시예에 따르면, 경보 정보 및 근거 데이터가 함께 저장됨으로써, 경고 메시지의 발생 원인에 대응하는 출력 데이터 및 경고 메시지의 이력을 사용자가 파악할 수 있다.
이상, 도 2 내지 도 3을 참조하여 설명된 본 발명의 다른 실시예에 따른 네트워크 내의 비정상 행위 탐지 방법에 따르면, 복수의 룰 사이의 관련성에 기초한 다양한 분석 시나리오에 의해 네트워크 내의 비정상 행위를 탐지할 수 있다. 이하, 도 4 내지 도 9를 참조하여 본 발명의 다른 실시예에 따른 네트워크 내의 비정상 행위 탐지 방법이 적용되어, 개별 공격 유형을 탐지하는 동작을 보다 구체적으로 설명하기로 한다.
도 4는 도 2를 참조하여 설명된 네트워크 내의 비정상 행위 탐지 방법이 적용되어, 신규한 공격 패턴 유형을 탐지하는 동작을 설명하기 위한 예시 도면이다.
도 4를 참조하면 단계 S11에서, 딥 러닝을 이용하여 공격 데이터가 탐지된다. 본 단계는 복수의 개별 룰 중 어느 하나에 의해 수행될 수 있다. 또한, 본 단계는 제1 조건 및 제2 조건을 포함한다. 여기서, 제1 조건은 수집된 데이터 중 최근 1분간의 딥 러닝에 기초한 추론 데이터를 추출하는 조건이고, 제2 조건은 추출된 추론 데이터 중에서 비정상 데이터를 추출하는 조건이다.
다음으로 단계 S12에서, 자산에 대한 공격 데이터가 추출된다. 본 단계는 복수의 연관 룰 중 어느 하나에 의해 수행될 수 있다. 본 단계는, 단계 S11에 의한 출력 데이터 중 목적지 IP(Destination IP)가 네트워크에 연결된 자산인 데이터를 추출하는, 제1 조건을 포함한다.
다음으로 단계 S13에서, 중국 발 공격 데이터가 추출된다. 본 단계는 복수의 연관 룰 중 어느 하나에 의해 수행될 수 있다. 본 단계는, 단계 S12에 의한 출력 데이터 중 소스 IP(Source IP)가 중국 대역인 데이터를 추출하는, 제1 조건을 포함한다.
다음으로 단계 S14에서, Suricata 데이터가 추출된다. 본 단계는 복수의 개별 룰 중 어느 하나에 의해 수행될 수 있다. 본 단계는, 수집된 데이터 중 최근 1분간 Suricata 데이터를 추출하는, 제1 조건을 포함한다.
다음으로 단계 S15에서, 알려진 공격 패턴 데이터가 제외된다. 본 단계는 복수의 연관 룰 중 어느 하나에 의해 수행될 수 있다. 본 단계는 단계 S13의 출력 데이터의 소스 IP 및 목적지 IP 조합과 단계 S14의 출력 데이터의 소스 IP와 목적지 IP 조합이 동일한 데이터를 제외하는, 제1 조건을 포함한다.
앞서 설명된 단계들에 따르면, 딥 러닝에 의해 추출된 공격 데이터 중에 이미 알려진 공격 데이터를 제외한 신규한 공격 데이터가 단계 S15의 출력 데이터로 추출된다. 구체적인 예를 들어, 출력 데이터의 개수가 임계치인 1 이상이면, 경고 메시지를 출력하는 경우, 단계 S15의 출력 데이터 개수가 1 이상이면 경고 메시지를 출력함으로써, 사용자에게 신규한 공격 패턴 유형에 대한 경고 메시지가 전송될 수 있다.
도 5는 도 2를 참조하여 설명된 네트워크 내의 비정상 행위 탐지 방법이 적용되어, AI 스피커의 무단 도청 행위를 탐지하는 동작을 설명하기 위한 예시 도면이다.
도 5를 참조하면 단계 S21에서, AI 스피커에서 실행 중인 프로세스들의 ID 중에서 마이크 입력을 획득하는 프로세스 ID가 추출된다. 본 단계는 복수의 개별 룰 중 어느 하나에 의해 수행될 수 있다.
다음으로 단계 S22에서, AI 스피커에 존재하는 파일들 중 마이크 입력을 획득하는 프로세스 ID에 의해 생성된 파일 ID가 추출된다. 본 단계는 복수의 연관 룰 중 어느 하나에 의해 수행될 수 있다.
다음으로 단계 S23에서, 파일 ID에 액세스하는 프로세스 ID 목록이 추출된다. 본 단계는 복수의 연관 룰 중 어느 하나에 의해 수행될 수 있다.
다음으로 단계 S24에서, 파일 ID에 액세스하는 프로세스 ID 목록에 포함된 각각의 프로세스 ID에 대응되는 네트워크 세션 목록이 추출되고, 네트워크 세션 목록에 포함된 네트워크 세션 데이터 중 미리 결정된 블랙리스트 목록에 포함된 네트워크 세션 데이터가 추출된다. 본 단계는 복수의 연관 룰 중 어느 하나에 의해 수행될 수 있다.
앞서 설명된 단계들에 따르면, AI 스피커를 무단 도청하는 블랙리스트 목록에 포함된 네트워크 세션 데이터가 추출된다. 구체적인 예를 들어, 출력 데이터의 개수가 임계치인 1 이상이면, 경고 메시지를 출력하는 경우, 단계 S24의 출력 데이터 개수가 1 이상이면 경고 메시지를 출력함으로써, 사용자에게 AI 스피커 무단 도청에 대한 경고 메시지가 전송될 수 있다.
도 6은 도 2를 참조하여 설명된 네트워크 내의 비정상 행위 탐지 방법이 적용되어, 공유기의 호스트 파일 변경 행위를 탐지하는 동작을 설명하기 위한 예시 도면이다.
도 6을 참조하면 단계 S31에서, 호스트 파일의 변경 데이터가 추출된다. 본 단계는 복수의 개별 룰 중 어느 하나에 의해 수행될 수 있다.
다음으로 단계 S32에서, 변경 데이터에 기초하여 호스트 파일이 연결하는 도메인 중 미리 결정된 블랙리스트 목록에 포함된 도메인이 추출된다. 본 단계는 복수의 연관 룰 중 어느 하나에 의해 수행될 수 있다.
앞서 설명된 단계들에 따르면, 변경된 호스트 파일이 호스팅하는 블랙리스트 목록에 포함된 도메인이 추출된다. 구체적인 예를 들어, 출력 데이터의 개수가 임계치인 1 이상이면 경고 메시지를 출력하는 경우, 단계 S32의 출력 데이터 개수가 1 이상이면 경고 메시지를 출력함으로써, 공유기의 호스트 파일을 변경하여 블랙리스트 목록에 포함된 도메인에 무단 호스팅하는 비정상 행위에 대한 경고 메시지가 사용자에게 전송될 수 있다.
도 7은 도 2를 참조하여 설명된 네트워크 내의 비정상 행위 탐지 방법이 적용되어, 취약점이 알려진 펌웨어 사용 기기에 대한 공격 행위를 탐지하는 동작을 설명하기 위한 예시 도면이다.
도 7을 참조하면 단계 S41에서, 취약점 데이터가 존재하는 펌웨어 데이터가 추출된다. 본 단계는 복수의 개별 룰 중 어느 하나에 의해 수행될 수 있다.
다음으로 단계 S42에서, 네트워크에 연결된 복수의 IoT 기기 중 취약점 데이터가 존재하는 펌웨어 데이터에 의해 실행되는 디바이스 ID가 추출된다. 본 단계는 복수의 연관 룰 중 어느 하나에 의해 수행될 수 있다.
다음으로 단계 S43에서, 디바이스 ID에 대응되는 기기에 대한 공격 행위를 탐지한 결과가 추출된다. 본 단계는 복수의 연관 룰 중 어느 하나에 의해 수행될 수 있다.
앞서 설명된 단계들에 따르면, 취약점을 갖는 기기에 대한 공격 행위를 탐지한 결과가 추출된다. 구체적인 예를 들어, 출력 데이터의 개수가 임계치인 1 이상이면 경고 메시지를 출력하는 경우, 단계 S43의 출력 데이터 개수가 1 이상이면 경고 메시지를 출력함으로써, 취약점이 알려진 펌웨어 사용 기기에 대한 공격 행위를 탐지하여 경고 메시지가 사용자에게 전송될 수 있다.
단계 S43과 관련된 몇몇 실시예에서, 취약점을 갖는 펌웨어 사용 기기에 대한 공격 행위를 탐지한 결과에 기초하여 취약점을 갖는 펌웨어 사용 기기에 대한 공격 행위 횟수가 추출될 수도 있다. 이때, 공격 횟수가 임계치 이상이면, 사용자에게 경고 메시지가 전송될 수도 있다. 본 단계는 복수의 연관 룰 중 어느 하나에 의해 수행될 수 있다.
도 8은 도 2를 참조하여 설명된 네트워크 내의 비정상 행위 탐지 방법이 적용되어, 스텔스 스캐닝 행위를 탐지하는 동작을 설명하기 위한 예시 도면이다.
도 8을 참조하면 단계 S51에서, 수집되는 트래픽 데이터로부터 미리 결정된 블랙리스트 목록에 포함된 도메인에 방문한 디바이스 ID가 추출된다. 본 단계는 복수의 개별 룰 중 어느 하나에 의해 수행될 수 있다.
다음으로 단계 S52에서, 디바이스 ID에 대응되는 기기의 IP 대역에서 송신하는 FIN 패킷 개수가 추출된다. 본 단계는 복수의 연관 룰 중 어느 하나에 의해 수행될 수 있다.
앞서 설명된 단계들에 따르면, 블랙리스트 목록에 포함된 도메인에 방문한 기기의 IP 대역에서 송신하는 FIN 패킷 개수가 추출된다. 구체적인 예를 들어, 출력 데이터의 개수가 임계치 이상이면 경고 메시지를 출력하는 경우, 단계 S52의 출력 데이터 개수가 임계치 이상이면 경고 메시지를 출력함으로써, 스텔스 스캐닝 행위를 탐지한 경고 메시지가 사용자에게 전송될 수 있다.
단계 S52와 관련된 몇몇 실시예에서, 디바이스 ID에 대응되는 기기의 IP 대역에서 송신하는 SYN 패킷 개수가 추출된다. 본 단계는 복수의 연관 룰 중 어느 하나에 의해 수행될 수 있다. 본 실시예에 따르면, 블랙리스트 목록에 포함된 도메인에 방문한 기기의 IP 대역에서 송신하는 FIN 패킷 개수가 제1 임계치 이상이고, SYN 패킷 개수가 제2 임계치 이하이면 경고 메시지를 출력할 수 있다. 구체적인 예를 들어, FIN 패킷 개수가 제1 임계치 이상이고, SYN 패킷 개수가 제2 임계치인 0 이하이면 경고 메시지를 출력하는 경우, 단계 S52의 출력 데이터인 SYN 패킷 개수가 0 이고, FIN 패킷 개수가 제1 임계치 이상일 때 경고 메시지가 출력된다.
도 9는 도 2를 참조하여 설명된 네트워크 내의 비정상 행위 탐지 방법이 적용되어, 블랙리스트 대상과의 통신 행위를 탐지하는 동작을 설명하기 위한 예시 도면이다.
도 9를 참조하면 단계 S61에서, 네트워크에 연결된 복수의 IoT 기기들의 리슨 포트 목록이 추출되고, 리슨 포트 목록에서 새로 생성된 리슨 포트가 추출된다. 본 단계는 복수의 개별 룰 중 어느 하나에 의해 수행될 수 있다. 또한, 복수의 연관 룰 중 어느 하나에 의해 수행될 수도 있다.
다음으로 단계 S62에서, 새로 생성된 리슨 포트에 접속한 네트워크 세션 목록이 추출된다. 본 단계는 복수의 연관 룰 중 어느 하나에 의해 수행될 수 있다.
다음으로 단계 S63에서, 네트워크 세션 목록에 포함된 네트워크 세션 데이터 중 미리 결정된 블랙리스트 목록에 포함된 네트워크 세션 데이터가 추출된다. 본 단계는 복수의 연관 룰 중 어느 하나에 의해 수행될 수 있다.
앞서 설명된 단계들에 따르면, 새로 생성된 리슨 포트에 액세스한 네트워크 세션 데이터 중 블랙리스트 목록에 포함된 네트워크 세션 데이터가 추출된다. 구체적인 예를 들어, 출력 데이터의 개수가 임계치인 1 이상이면 경고 메시지를 출력하는 경우, 단계 S63의 출력 데이터 개수가 1 이상이면 경고 메시지를 출력함으로써, 블랙리스트 대상과의 통신 행위에 대한 경고 메시지가 사용자에게 전송될 수 있다.
지금까지 도 2 내지 도 9를 참조하여, 본 발명의 다른 실시예에 따른 네트워크 내의 비정상 행위 탐지 방법 및 그 응용분야에 대해서 설명하였다. 본 실시예에 따르면, 복수의 룰 사이의 관련성에 기초한 다양한 분석 시나리오에 의해 네트워크 내의 비정상 행위를 탐지할 수 있다. 또한, 연관 룰에 다른 연관 룰을 연관시킴으로써, 보다 다양한 분석 시나리오에 의해 네트워크 내의 비정상 행위를 탐지할 수도 있다.
이하, 도 10을 참조하여 본 발명의 또 다른 실시예에 따른 네트워크 내의 비정상 행위 탐지 장치에 대하여 설명하도록 한다. 도 10은 네트워크 내의 비정상 행위 탐지 장치를 구현할 수 있는 예시적인 컴퓨팅 장치(1500)에 대한 도면이다.
다음으로 도 10을 참조하면, 컴퓨팅 장치(1500)는 하나 이상의 프로세서(1510), 버스(1550), 통신 인터페이스(1570), 프로세서(1510)에 의하여 수행되는 컴퓨터 프로그램(1591)을 로드(load)하는 메모리(1530)와, 컴퓨터 프로그램(1591)을 저장하는 스토리지(1590)를 포함할 수 있다. 다만, 도 10에는 본 발명의 실시예와 관련 있는 구성 요소들 만이 도시되어 있다. 따라서, 본 발명이 속한 기술분야의 통상의 기술자라면 도 10에 도시된 구성요소들 외에 다른 범용적인 구성 요소들이 더 포함될 수 있음을 알 수 있다.
프로세서(1510)는 컴퓨팅 장치(1500)의 각 구성의 전반적인 동작을 제어한다. 프로세서(1510)는 CPU(Central Processing Unit), MPU(Micro Processor Unit), MCU(Micro Controller Unit), GPU(Graphic Processing Unit) 또는 본 발명의 기술 분야에 잘 알려진 임의의 형태의 프로세서를 포함하여 구성될 수 있다. 또한, 프로세서(1510)는 본 발명의 실시예들에 따른 방법을 실행하기 위한 적어도 하나의 애플리케이션 또는 프로그램에 대한 연산을 수행할 수 있다. 컴퓨팅 장치(1500)는 하나 이상의 프로세서를 구비할 수 있다.
메모리(1530)는 각종 데이터, 명령 및/또는 정보를 저장한다. 메모리(1530)는 본 발명의 실시예들에 따른 방법을 실행하기 위하여 스토리지(1590)로부터 하나 이상의 프로그램(1591)을 로드 할 수 있다. 메모리(1530)는 RAM과 같은 휘발성 메모리로 구현될 수 있을 것이나, 본 발명의 기술적 범위가 이에 한정되는 것은 아니다.
버스(1550)는 컴퓨팅 장치(1500)의 구성 요소 간 통신 기능을 제공한다. 버스(1550)는 주소 버스(Address Bus), 데이터 버스(Data Bus) 및 제어 버스(Control Bus) 등 다양한 형태의 버스로 구현될 수 있다.
통신 인터페이스(1570)는 컴퓨팅 장치(1500)의 유무선 인터넷 통신을 지원한다. 또한, 통신 인터페이스(1570)는 인터넷 통신 외의 다양한 통신 방식을 지원할 수도 있다. 이를 위해, 통신 인터페이스(1570)는 본 발명의 기술 분야에 잘 알려진 통신 모듈을 포함하여 구성될 수 있다.
몇몇 실시예들에 따르면, 통신 인터페이스(1570)는 생략될 수도 있다.
스토리지(1590)는 상기 하나 이상의 프로그램(1591)과 각종 데이터를 비임시적으로 저장할 수 있다.
스토리지(1590)는 ROM(Read Only Memory), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM), 플래시 메모리 등과 같은 비휘발성 메모리, 하드 디스크, 착탈형 디스크, 또는 본 발명이 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체를 포함하여 구성될 수 있다.
컴퓨터 프로그램(1591)은 메모리(1530)에 로드 될 때 프로세서(1510)로 하여금 본 발명의 다양한 실시예에 따른 방법/동작을 수행하도록 하는 하나 이상의 인스트럭션들을 포함할 수 있다. 즉, 프로세서(1510)는 상기 하나 이상의 인스트럭션들을 실행함으로써, 본 발명의 다양한 실시예에 따른 방법/동작들을 수행할 수 있다.
위와 같은 경우, 컴퓨팅 장치(1500)를 통해 본 발명의 또 다른 실시예에 따른 네트워크 내의 비정상 행위 탐지 장치가 구현될 수 있다.
지금까지 도 1 내지 도 10을 참조하여 본 발명의 다양한 실시예들 및 그 실시예들에 따른 효과들을 언급하였다. 본 발명의 기술적 사상에 따른 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
지금까지 도 1 내지 도 10을 참조하여 설명된 본 발명의 기술적 사상은 컴퓨터가 읽을 수 있는 매체 상에 컴퓨터가 읽을 수 있는 코드로 구현될 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체는, 예를 들어 이동형 기록 매체(CD, DVD, 블루레이 디스크, USB 저장 장치, 이동식 하드 디스크)이거나, 고정식 기록 매체(ROM, RAM, 컴퓨터 구비 형 하드 디스크)일 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체에 기록된 상기 컴퓨터 프로그램은 인터넷 등의 네트워크를 통하여 다른 컴퓨팅 장치에 전송되어 상기 다른 컴퓨팅 장치에 설치될 수 있고, 이로써 상기 다른 컴퓨팅 장치에서 사용될 수 있다.
이상에서, 본 발명의 실시예를 구성하는 모든 구성 요소들이 하나로 결합되거나 결합되어 동작하는 것으로 설명되었다고 해서, 본 발명의 기술적 사상이 반드시 이러한 실시예에 한정되는 것은 아니다. 즉, 본 발명의 목적 범위 안에서라면, 그 모든 구성요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다.
도면에서 동작들이 특정한 순서로 도시되어 있지만, 반드시 동작들이 도시된 특정한 순서로 또는 순차적 순서로 실행 되어야만 하거나 또는 모든 도시 된 동작들이 실행 되어야만 원하는 결과를 얻을 수 있는 것으로 이해되어서는 안 된다. 특정 상황에서는, 멀티태스킹 및 병렬 처리가 유리할 수도 있다. 더욱이, 위에 설명한 실시예들에서 다양한 구성들의 분리는 그러한 분리가 반드시 필요한 것으로 이해되어서는 안 되고, 설명된 프로그램 컴포넌트들 및 시스템들은 일반적으로 단일 소프트웨어 제품으로 함께 통합되거나 다수의 소프트웨어 제품으로 패키지 될 수 있음을 이해하여야 한다.
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 본 발명이 다른 구체적인 형태로도 실시될 수 있다는 것을 이해할 수 있다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로 이해해야만 한다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명에 의해 정의되는 기술적 사상의 권리범위에 포함되는 것으로 해석되어야 할 것이다.

Claims (15)

  1. 컴퓨팅 장치에 의해 수행되는 방법에 있어서,
    복수의 개별 룰을 획득하되, 상기 개별 룰은 복수의 입력 데이터 세트들 중 적어도 하나의 입력 데이터 세트로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰인, 단계;
    복수의 연관 룰을 획득하되, 상기 연관 룰은 상기 복수의 입력 데이터 세트들 및 상기 개별 룰에 의한 출력 데이터 중 적어도 하나로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰인, 단계; 및
    상기 복수의 개별 룰 및 상기 복수의 연관 룰 중 어느 하나에 의한 출력 데이터에 기초하여, 네트워크 내의 비정상 행위를 탐지하는 단계를 포함하되,
    상기 네트워크 내의 비정상 행위는, AI 스피커의 무단 도청 행위이고,
    상기 복수의 개별 룰 중 하나는, 상기 AI 스피커에서 실행 중인 프로세스들의 ID들 중에서 마이크 입력을 획득하는 프로세스 ID를 추출하는 룰이고,
    상기 복수의 연관 룰 중 제1 연관 룰은, 상기 AI 스피커에 존재하는 파일들 중, 상기 마이크 입력을 획득하는 프로세스 ID에 의해 생성된 파일 ID를 추출하는 룰이고,
    상기 복수의 연관 룰 중 제2 연관 룰은, 상기 AI 스피커에서 실행 중인 프로세스들의 ID들 중에서 상기 파일 ID에 액세스하는 프로세스 ID 목록을 추출하는 룰이고,
    상기 복수의 연관 룰 중 제3 연관 룰은, 상기 프로세스 ID 목록에 포함된 각각의 프로세스 ID에 대응되는 네트워크 세션 목록을 추출하는 룰이고,
    상기 복수의 연관 룰 중 제4 연관 룰은, 상기 네트워크 세션 목록에 포함된 네트워크 세션 데이터 중 미리 결정된 블랙리스트 목록에 포함된 네트워크 세션 데이터를 추출하는 룰인,
    네트워크 내의 비정상 행위 탐지 방법.
  2. 제1 항에 있어서,
    상기 추출 조건은,
    적어도 하나의 조건을 포함하는 조건인,
    네트워크 내의 비정상 행위 탐지 방법.
  3. 제1 항에 있어서,
    상기 복수의 연관 룰을 획득하는 단계는,
    상기 복수의 연관 룰 중 어느 하나에 의한 출력 데이터로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 연관 룰을 획득하는 단계를 포함하는,
    네트워크 내의 비정상 행위 탐지 방법.
  4. 제1 항에 있어서,
    상기 네트워크 내의 비정상 행위를 탐지하는 단계는,
    상기 추출 조건에 기초하여 추출된 상기 출력 데이터의 속성 값이 임계치 이상인지 판정하는 단계를 포함하는,
    네트워크 내의 비정상 행위 탐지 방법.
  5. 제4 항에 있어서,
    상기 속성 값은,
    상기 출력 데이터의 개수, 상기 출력 데이터에 포함된 그룹의 개수 및 상기 출력 데이터에 포함된 대상 그룹의 데이터의 개수를 포함하는,
    네트워크 내의 비정상 행위 탐지 방법.
  6. 제1 항에 있어서,
    상기 네트워크 내의 비정상 행위를 탐지하는 단계는,
    상기 추출 조건에 기초하여 추출된 상기 출력 데이터의 추출 시간 간격이 임계치 이하인지 판정하는 단계를 포함하는,
    네트워크 내의 비정상 행위 탐지 방법.
  7. 삭제
  8. 컴퓨팅 장치에 의해 수행되는 방법에 있어서,
    복수의 개별 룰을 획득하되, 상기 개별 룰은 복수의 입력 데이터 세트들 중 적어도 하나의 입력 데이터 세트로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰인, 단계;
    복수의 연관 룰을 획득하되, 상기 연관 룰은 상기 복수의 입력 데이터 세트들 및 상기 개별 룰에 의한 출력 데이터 중 적어도 하나로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰인, 단계; 및
    상기 복수의 개별 룰 및 상기 복수의 연관 룰 중 어느 하나에 의한 출력 데이터에 기초하여, 네트워크 내의 비정상 행위를 탐지하는 단계를 포함하되,
    상기 네트워크 내의 비정상 행위는, 공유기의 호스트 파일 변경 행위이고,
    상기 복수의 개별 룰 중 하나는, 상기 호스트 파일의 변경 데이터를 추출하는 룰이고,
    상기 복수의 연관 룰 중 제1 연관 룰은, 상기 변경 데이터에 기초하여 상기 호스트 파일이 연결하는 도메인 중 미리 결정된 블랙리스트 목록에 포함된 도메인을 추출하는 룰인,
    네트워크 내의 비정상 행위 탐지 방법.
  9. 컴퓨팅 장치에 의해 수행되는 방법에 있어서,
    복수의 개별 룰을 획득하되, 상기 개별 룰은 복수의 입력 데이터 세트들 중 적어도 하나의 입력 데이터 세트로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰인, 단계;
    복수의 연관 룰을 획득하되, 상기 연관 룰은 상기 복수의 입력 데이터 세트들 및 상기 개별 룰에 의한 출력 데이터 중 적어도 하나로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰인, 단계; 및
    상기 복수의 개별 룰 및 상기 복수의 연관 룰 중 어느 하나에 의한 출력 데이터에 기초하여, 네트워크 내의 비정상 행위를 탐지하는 단계를 포함하되,
    상기 네트워크 내의 비정상 행위는, 취약점이 알려진 펌웨어 사용 기기에 대한 공격 행위이고,
    상기 복수의 개별 룰 중 하나는, 네트워크에 연결된 복수의 IoT 기기 중 적어도 하나의 펌웨어 데이터를 추출하는 룰이고,
    상기 복수의 연관 룰 중 제1 연관 룰은, 상기 펌웨어 데이터에 알려진 취약점 데이터를 추출하는 룰이고,
    상기 복수의 연관 룰 중 제2 연관 룰은, 상기 취약점 데이터에 대응되는 공격 행위에 대한 탐지 결과를 추출하는 룰인,
    네트워크 내의 비정상 행위 탐지 방법.
  10. 제9 항에 있어서,
    상기 복수의 연관 룰 중 제3 연관 룰은, 상기 탐지 결과에 기초하여 상기 복수의 IoT 기기 중 적어도 하나에 대한 상기 공격 행위 횟수를 추출하는 룰인,
    네트워크 내의 비정상 행위 탐지 방법.
  11. 컴퓨팅 장치에 의해 수행되는 방법에 있어서,
    복수의 개별 룰을 획득하되, 상기 개별 룰은 복수의 입력 데이터 세트들 중 적어도 하나의 입력 데이터 세트로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰인, 단계;
    복수의 연관 룰을 획득하되, 상기 연관 룰은 상기 복수의 입력 데이터 세트들 및 상기 개별 룰에 의한 출력 데이터 중 적어도 하나로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰인, 단계; 및
    상기 복수의 개별 룰 및 상기 복수의 연관 룰 중 어느 하나에 의한 출력 데이터에 기초하여, 네트워크 내의 비정상 행위를 탐지하는 단계를 포함하되,
    상기 네트워크 내의 비정상 행위는, 스텔스 스캐닝(Stealth Scanning) 행위이고,
    상기 복수의 개별 룰 중 하나는, 수집되는 트래픽 데이터로부터 미리 결정된 블랙리스트 목록에 포함된 도메인에 방문한 기기의 디바이스 ID를 추출하는 룰이고,
    상기 복수의 연관 룰 중 제1 연관 룰은, 상기 디바이스 ID에 대응되는 기기의 IP 대역에서 송신하는 FIN 패킷 개수를 추출하는 룰인,
    네트워크 내의 비정상 행위 탐지 방법.
  12. 제11 항에 있어서,
    상기 복수의 연관 룰 중 제2 연관 룰은, 상기 디바이스 ID에 대응되는 기기의 IP 대역에서 송신하는 SYN 패킷 개수를 추출하는 룰이고,
    상기 네트워크 내의 비정상 행위를 탐지하는 단계는,
    상기 FIN 패킷 개수가 제1 임계치 이상이나, 상기 SYN 패킷 개수가 제2 임계치 이하이면 경고 메시지를 출력하는 단계를 포함하는,
    네트워크 내의 비정상 행위 탐지 방법.
  13. 컴퓨팅 장치에 의해 수행되는 방법에 있어서,
    복수의 개별 룰을 획득하되, 상기 개별 룰은 복수의 입력 데이터 세트들 중 적어도 하나의 입력 데이터 세트로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰인, 단계;
    복수의 연관 룰을 획득하되, 상기 연관 룰은 상기 복수의 입력 데이터 세트들 및 상기 개별 룰에 의한 출력 데이터 중 적어도 하나로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰인, 단계; 및
    상기 복수의 개별 룰 및 상기 복수의 연관 룰 중 어느 하나에 의한 출력 데이터에 기초하여, 네트워크 내의 비정상 행위를 탐지하는 단계를 포함하되,
    상기 네트워크 내의 비정상 행위는, 미리 결정된 블랙리스트 대상과의 통신 행위이고,
    상기 복수의 개별 룰 중 하나는, 네트워크에 연결된 복수의 IoT 기기들의 리슨 포트 목록을 추출하는 룰이고,
    상기 복수의 연관 룰 중 제1 연관 룰은, 상기 리슨 포트 목록에서 새로 생성된 리슨 포트를 추출하는 룰이고,
    상기 복수의 연관 룰 중 제2 연관 룰은, 상기 새로 생성된 리슨 포트에 접속한 네트워크 세션 목록을 추출하는 룰이고,
    상기 복수의 연관 룰 중 제3 연관 룰은, 상기 네트워크 세션 목록에 포함된 네트워크 세션 데이터 중 미리 결정된 블랙리스트 목록에 포함된 네트워크 세션 데이터를 추출하는 룰인,
    네트워크 내의 비정상 행위 탐지 방법.
  14. 프로세서;
    네트워크 인터페이스;
    메모리; 및
    상기 메모리에 로드(load)되고, 상기 프로세서에 의해 실행되는 컴퓨터 프로그램을 포함하되,
    상기 컴퓨터 프로그램은,
    복수의 개별 룰을 획득하되, 상기 개별 룰은 복수의 입력 데이터 세트들 중 적어도 하나의 입력 데이터 세트로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰인, 인스트럭션(instruction);
    복수의 연관 룰을 획득하되, 상기 연관 룰은 상기 복수의 입력 데이터 세트들 및 상기 개별 룰에 의한 출력 데이터 중 적어도 하나로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰인, 인스트럭션; 및
    상기 복수의 개별 룰 및 상기 복수의 연관 룰 중 어느 하나에 의한 출력 데이터에 기초하여, 네트워크 내의 비정상 행위를 탐지하는 인스트럭션을 포함하되,
    상기 네트워크 내의 비정상 행위는, 취약점이 알려진 펌웨어 사용 기기에 대한 공격 행위이고,
    상기 복수의 개별 룰 중 하나는, 네트워크에 연결된 복수의 IoT 기기 중 적어도 하나의 펌웨어 데이터를 추출하는 룰이고,
    상기 복수의 연관 룰 중 제1 연관 룰은, 상기 펌웨어 데이터에 알려진 취약점 데이터를 추출하는 룰이고,
    상기 복수의 연관 룰 중 제2 연관 룰은, 상기 취약점 데이터에 대응되는 공격 행위에 대한 탐지 결과를 추출하는 룰인,
    네트워크 내의 비정상 행위 탐지 장치.
  15. 프로세서에 의해 실행 가능한 컴퓨터 프로그램 명령어들을 포함하는, 네트워크 내의 비정상 행위를 탐지하기 위한 컴퓨터 프로그램으로서, 상기 컴퓨터 프로그램 명령어들이 컴퓨팅 디바이스의 프로세서에 의해 실행되는 경우에,
    복수의 개별 룰을 획득하되, 상기 개별 룰은 복수의 입력 데이터 세트들 중 적어도 하나의 입력 데이터 세트로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰인, 단계;
    복수의 연관 룰을 획득하되, 상기 연관 룰은 상기 복수의 입력 데이터 세트들 및 상기 개별 룰에 의한 출력 데이터 중 적어도 하나로부터, 추출 조건을 만족시키는 출력 데이터를 추출하는 룰인, 단계; 및
    상기 복수의 개별 룰 및 상기 복수의 연관 룰 중 어느 하나에 의한 출력 데이터에 기초하여, 네트워크 내의 비정상 행위를 탐지하는 단계를 포함하는, 동작들을 수행하는 컴퓨터 프로그램이 기록되고,
    상기 네트워크 내의 비정상 행위는, 취약점이 알려진 펌웨어 사용 기기에 대한 공격 행위이고,
    상기 복수의 개별 룰 중 하나는, 네트워크에 연결된 복수의 IoT 기기 중 적어도 하나의 펌웨어 데이터를 추출하는 룰이고,
    상기 복수의 연관 룰 중 제1 연관 룰은, 상기 펌웨어 데이터에 알려진 취약점 데이터를 추출하는 룰이고,
    상기 복수의 연관 룰 중 제2 연관 룰은, 상기 취약점 데이터에 대응되는 공격 행위에 대한 탐지 결과를 추출하는 룰인,
    컴퓨터 판독 가능한 기록 매체.
KR1020200158678A 2020-11-24 2020-11-24 네트워크 내의 비정상 행위 탐지 방법 및 그 장치 Active KR102280845B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020200158678A KR102280845B1 (ko) 2020-11-24 2020-11-24 네트워크 내의 비정상 행위 탐지 방법 및 그 장치
US17/200,622 US11206277B1 (en) 2020-11-24 2021-03-12 Method and apparatus for detecting abnormal behavior in network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200158678A KR102280845B1 (ko) 2020-11-24 2020-11-24 네트워크 내의 비정상 행위 탐지 방법 및 그 장치

Publications (1)

Publication Number Publication Date
KR102280845B1 true KR102280845B1 (ko) 2021-07-22

Family

ID=77157917

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200158678A Active KR102280845B1 (ko) 2020-11-24 2020-11-24 네트워크 내의 비정상 행위 탐지 방법 및 그 장치

Country Status (2)

Country Link
US (1) US11206277B1 (ko)
KR (1) KR102280845B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114205126A (zh) * 2021-11-25 2022-03-18 北京国泰网信科技有限公司 一种工业系统中攻击检测的方法、设备及介质
KR20240039958A (ko) * 2022-09-20 2024-03-27 국방과학연구소 연관규칙 기반 네트워크 공격 탐지방법 및 장치

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115840844B (zh) * 2022-12-17 2023-08-15 深圳市新联鑫网络科技有限公司 一种基于大数据的互联网络平台用户行为分析系统
CN117009961B (zh) * 2023-09-28 2023-12-08 北京安天网络安全技术有限公司 一种行为检测规则的确定方法及装置、设备及介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150091775A (ko) 2014-02-04 2015-08-12 한국전자통신연구원 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템
KR20200025043A (ko) * 2018-08-29 2020-03-10 한국과학기술원 인공 지능 기반의 통합 로그 관리 방법 및 그 시스템
KR20200066428A (ko) * 2018-11-30 2020-06-10 주식회사 리얼타임테크 행위 기반 룰 처리 장치 및 그 처리 방법

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2500838A1 (en) 2011-03-16 2012-09-19 Samsung SDS Co. Ltd. SOC-based device for packet filtering and packet filtering method thereof
US9563771B2 (en) * 2014-01-22 2017-02-07 Object Security LTD Automated and adaptive model-driven security system and method for operating the same
CN103825888A (zh) * 2014-02-17 2014-05-28 北京奇虎科技有限公司 网络威胁处理方法及设备
US10104124B2 (en) * 2014-03-19 2018-10-16 Nippon Telegraph And Telephone Corporation Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program
US9565203B2 (en) * 2014-11-13 2017-02-07 Cyber-Ark Software Ltd. Systems and methods for detection of anomalous network behavior
KR101634295B1 (ko) * 2014-12-16 2016-06-30 주식회사 윈스 IoT 보안을 위한 인증 서비스 제공 시스템 및 방법
SG11201806117TA (en) 2016-01-24 2018-08-30 Syed Hasan Computer security based on artificial intelligence
KR101874815B1 (ko) 2016-07-06 2018-07-06 네이버 주식회사 Dns 주소의 변조 진단 방법 및 이를 위한 단말 장치
KR102088308B1 (ko) 2017-01-24 2020-03-12 한국전자통신연구원 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법
KR102152403B1 (ko) * 2018-12-24 2020-09-04 아주대학교산학협력단 데이터 패턴 분석을 이용한 비정상행위 탐지 장치 및 방법
KR102559568B1 (ko) 2019-03-11 2023-07-26 한국전자통신연구원 사물인터넷 인프라 환경에서의 보안통제 장치 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150091775A (ko) 2014-02-04 2015-08-12 한국전자통신연구원 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템
KR20200025043A (ko) * 2018-08-29 2020-03-10 한국과학기술원 인공 지능 기반의 통합 로그 관리 방법 및 그 시스템
KR20200066428A (ko) * 2018-11-30 2020-06-10 주식회사 리얼타임테크 행위 기반 룰 처리 장치 및 그 처리 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114205126A (zh) * 2021-11-25 2022-03-18 北京国泰网信科技有限公司 一种工业系统中攻击检测的方法、设备及介质
KR20240039958A (ko) * 2022-09-20 2024-03-27 국방과학연구소 연관규칙 기반 네트워크 공격 탐지방법 및 장치
KR102765559B1 (ko) * 2022-09-20 2025-02-11 국방과학연구소 연관규칙 기반 네트워크 공격 탐지방법 및 장치

Also Published As

Publication number Publication date
US11206277B1 (en) 2021-12-21

Similar Documents

Publication Publication Date Title
KR102280845B1 (ko) 네트워크 내의 비정상 행위 탐지 방법 및 그 장치
US9369479B2 (en) Detection of malware beaconing activities
CN107426242B (zh) 网络安全防护方法、装置及存储介质
US10771500B2 (en) System and method of determining DDOS attacks
EP2863611B1 (en) Device for detecting cyber attack based on event analysis and method thereof
JP6401424B2 (ja) ログ分析装置、ログ分析方法およびログ分析プログラム
EP3258409A1 (en) Device for detecting terminal infected by malware, system for detecting terminal infected by malware, method for detecting terminal infected by malware, and program for detecting terminal infected by malware
US20180034837A1 (en) Identifying compromised computing devices in a network
US11258812B2 (en) Automatic characterization of malicious data flows
JPWO2014112185A1 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
WO2018191089A1 (en) System and method for detecting creation of malicious new user accounts by an attacker
EP3486809A1 (en) Classification device, classification method, and classification program
CN113810408B (zh) 网络攻击组织的探测方法、装置、设备及可读存储介质
EP2854362B1 (en) Software network behavior analysis and identification system
CN108600270A (zh) 一种基于网络日志的异常用户检测方法及系统
JPWO2017094377A1 (ja) 分類方法、分類装置および分類プログラム
EP3799367B1 (en) Generation device, generation method, and generation program
JP6708575B2 (ja) 分類装置、分類方法および分類プログラム
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
WO2017019103A1 (en) Network traffic pattern based machine readable instruction identification
JPWO2019043804A1 (ja) ログ分析装置、ログ分析方法及びプログラム
JP2005316779A (ja) 不正アクセス検出装置ならびに検知ルール生成装置、検知ルール生成方法および検知ルール生成プログラム
CN111541687B (zh) 一种网络攻击检测方法及装置
EP3432544B1 (en) System and method of determining ddos attacks
Kamal et al. Android botnet detection based on network analysis using machine learning algorithm

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20201124

PA0201 Request for examination
PA0302 Request for accelerated examination

Patent event date: 20201124

Patent event code: PA03022R01D

Comment text: Request for Accelerated Examination

PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20210325

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20210716

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20210719

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20210719

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20240619

Start annual number: 4

End annual number: 4