KR100798923B1 - 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를수행하는 프로그램을 기록한 기록 매체 - Google Patents

컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를수행하는 프로그램을 기록한 기록 매체 Download PDF

Info

Publication number
KR100798923B1
KR100798923B1 KR1020060096425A KR20060096425A KR100798923B1 KR 100798923 B1 KR100798923 B1 KR 100798923B1 KR 1020060096425 A KR1020060096425 A KR 1020060096425A KR 20060096425 A KR20060096425 A KR 20060096425A KR 100798923 B1 KR100798923 B1 KR 100798923B1
Authority
KR
South Korea
Prior art keywords
attack
classification
network
vulnerability
target
Prior art date
Application number
KR1020060096425A
Other languages
English (en)
Inventor
김대원
최양서
김익균
오진태
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020060096425A priority Critical patent/KR100798923B1/ko
Priority to US11/757,701 priority patent/US20080083034A1/en
Application granted granted Critical
Publication of KR100798923B1 publication Critical patent/KR100798923B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 새로운 공격을 포함한 모든 공격을 분류할 수 있는 컴퓨터 및 네트워크 보안을 위한 통합된 분류 체계를 제공할 수 있는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를 수행하는 프로그램을 기록한 기록 매체에 관한 것으로, 공격을, 공격이 악용하는 취약성, 공격이 전파되는 방식, 공격 의도에 따라서 각각 분류하고, 상기 분류 결과를 공격이 악용하는 취약성, 전파 방식, 공격 의도 순으로 배치하여, 'A라는 공격이 B라는 취약성을 이용해서 C의 방식으로 전파되며, D라는 공격 목적을 달성하기 위해 E라는 공격 대상에 F라는 공격 기법으로 사용한다'는 공격 흐름을 쉽게 인식할 수 있도록 한 것이다.
공격(attack), 보안, 컴퓨터, 네트워크, 분류 체계,

Description

컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를 수행하는 프로그램을 기록한 기록 매체{An attack taxonomy for computer and network security and storage media for recording program using the same}
도 1은 본 발명에 의한 공격 분류 방법의 전체 과정을 나타낸 흐름도,
도 2는 본 발명에 의한 공격 분류 방법에 있어서, 3 가지 분류 형태를 나타낸 흐름도,
도 3은 본 발명에 의한 공격 분류 방법에 있어서, 상기 3 가지 분류 결과의 배치 상태를 나타낸 흐름도,
도 4는 본 발명에 의한 공격 분류 방법에 있어서, 취약점에 의한 분류 단계의 상세 흐름도,
도 5는 본 발명에 의한 공격 분류 방법에서, 상기 취약점에 의한 분류 단계에서의 세부 항목을 나열한 예시도,
도 6은 본 발명에 의한 공격 분류 방법에서, 전파방식에 따른 분류 단계의 상세 흐름도,
도 7은 본 발명에 의한 공격 분류 방법에서, 상기 전파 방식에 따른 분류 단계의 세부 항목을 나타낸 흐름도,
도 8은 본 발명에 의한 공격 분류 방법에서, 공격 의도에 따른 분류 단계의 상세 흐름도,
도 9는 본 발명에 의한 공격 분류 방법에서, 상기 공격 의도에 따른 분류 단계의 세부 항목을 나타낸 흐름도,
도 10은 본 발명의 공격 분류 방법에 따라서, 혼합된 형태의 공격을 분류한 결과를 나타낸 도면, 그리고
도 11은 본 발명의 공격 분류 방법에 따라서, 스파이웨어를 분류한 결과를 보인 공격 흐름도이다.
본 발명은 컴퓨터 및 네트워크 보안 기술에 관한 것으로, 특히 모든 공격들에 대한 특징 및 전체적인 흐름을 쉽게 파악할 수 있으며 그로부터 공격의 차단 시점 및 방법을 쉽게 도출할 수 있도록 하는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를 수행하는 프로그램을 기록한 기록매체에 관한 것이다.
컴퓨터 및 네트워크 공격들은 오늘날 점점 그 영향력의 범위를 넓혀 가고 있다. 컴퓨터와 관련된 혹은 네트워크에 연결된 어떤 단말기(terminal)들도 바이러스(Virus), 웜(Worm) 그리고 해커(Hacker)들의 공격을 받을 수 있다. 이러한 공격 은 비즈니스(business)에 관련된 시스템뿐만 아니라 개인이 사용하는 시스템에서도 이루어질 수 있다. 따라서, 피해 범위를 넓혀가는 관련 공격들과 싸우기 위해서 이 공격들에 대한 심도 있는 연구가 절실히 요구된다.
더하여, 지난 수년 동안 컴퓨터 및 네트워크와 관련된 공격(attack)들은 양적인 면에서 폭발적인 증가를 보였으며, 질적인 면에서도 단순한 방어 수단(defense method)으로서는 차단하기 힘든 복잡하고 혼합된 형태(blended type)로 진화하고 있다.
따라서 새롭게 나타나는 공격들을 효과적으로 방어하기 위해서는 공격의 특성을 파악하여 그에 맞는 방어수단을 신속하게 마련할 수 있어야 한다. 이러한 신속한 방어수단의 마련을 위해서는, 상술한 바와 같이 복잡하고 혼합된 형태로 진화하는 공격들뿐만 아니라 알려지지 않은 새로운 공격들에 대한 특성 및 흐름을 쉽게 파악할 수 있는 체계적인 공격 분류 방법이 요구된다.
이러한 공격들에 대한 구조적인 분류 체계(structural classification system)를 제안함으로써 알려지지 않은 전혀 새로운 공격들에도 같은 분류 기준(classification scheme)을 적용시킬 수 있으며, 요즘처럼 보안이란 분야에서 관련 기관과의 협동이 중요시되는 시점에서, 보안 관련 기관이나 보안 담당자(security manager)들이 같은 공격을 같은 의미로서 이해할 수 있는 기준을 제시할 수도 있다.
이와 관련하여 기존에 여러 가지 방식의 공격 분류 방법들이 제안되어 왔으 나, 하나의 공격이 이루어지는 흐름(flow)을 파악하기에는 논리적으로나 내용적으로 부족한 정보가 제공되어, 실제 공격에 대한 대응 방법의 개발에는 도움을 줄 수 없거나, 직관적으로 알려진 공격들이나 기존의 유명한 분류 방법과의 호환성에 집중한 나머지, 분류 목적 및 세부 분류 기준들이 모호한 것들이 대부분이다.
더하여 상술한 문제점들이 보완된, 대응 방법 개발에 유용하며 분류 목적 및 체계가 명확한 방법들도 제안되어 있기는 하나, 이런 방법들은 도스 공격(DoS Attack; Denial of Service Attack), 웜(Worm) 등의 특정 공격만을 대상으로 한 분류법이기 때문에, 컴퓨터 및 네트워크 공격 전반에 관한 하나의 분류법을 제공하지는 못하고 있다.
예를 들면, Howard가 제안한 광범위한 공격들을 포함할 수 있는 공격 프로세스 기반의 분류법은, 공격자, 도구, 접근, 결과, 목적의 다섯 개의 카테고리로 이루어져, 공격의 전체 프로세서를 관찰하기에는 적절하지만 구체적인 공격 특성이 나타나 있지 않아서, Code Red 웜과 같은 공격을 분류하기에는 적합하지 않다. 다른 방법으로 Lough가 제안한 공격의 특성에 기반을 둔 VERDICT(Validation Exposure Randomness De-allocation Improper Conditions Taxonomy)는, 공격의 특성에 기반하여 새로운 공격이나 혼합형 공격 등을 적절히 분류할 수는 있으나, 공격에 사용된 구체적인 기법이나 해당 공격이 웜에 속하는지 바이러스에 속하는지에 대한 분류가 모호하여 모든 공격을 분류할 수는 없다. 이와 달리, Somon이 제안한 분류법은, 공격 벡터, 공격 대상, 취약성과 취약성에 대한 공격 기법, 혼합형 공격의 특징 설명으로 이루어진 4 개의 차원(dimension)으로 공격을 분류하는데, 공격 들을 자세하게 나타낼 수 있다는 장점이 있는 반면에 그 특징이 너무 자세하게 분류되기 때문에, 알려져 있지 않은 새로운 공격이 발생할 경우, 기존에 알려져 있는 공격들과 유사하게 분류되기가 힘들다는 단점이 있다.
이와 같이, 알려져 있지 않은 새로운 공격을 포함한 컴퓨터 및 네트워크의 모든 공격을 분류할 수 있으면서 하나의 공격이 이루어지는 흐름(flow)을 파악할 수 있는 정보를 제공할 수 있는 분류법이 존재하지 않는다는 것은, 보안 시스템 개발의 출발점이 되는, 공격들에 대한 해당 보안 시스템의 방어 범위도 결정할 수 없다는 것을 의미한다. 결국, 개발자의 입장에선 해당 보안 시스템이 바이러스(Virus), 웜(Worm), 도스 공격(DoS attack), 스파이웨어(Spyware), 애드웨어(Adware) 등과 같은 수 많은 공격들 중 어떤 것들을 차단하려는 목적으로 설계되어야 할지 조차 불명확해지게 된다.
상기와 같은 문제점을 해결하기 위한, 본 발명의 제1 목적은, 새로운 공격을 포함한 모든 공격을 분류할 수 있는 컴퓨터 및 네트워크 보안을 위한 통합된 분류 체계를 제공할 수 있는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를 수행하는 프로그램을 기록한 기록 매체를 제공하는 것이다.
본 발명의 제2 목적은 컴퓨터 및 네트워크 보안을 위한 통합된 분류 체계를 제공하고, 그 분류 결과로부터 공격이 진행되는 흐름(flow)에 대한 정보를 제공할 수 있는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를 수행하는 프로그램을 기록한 기록 매체를 제공하는 것이다.
본 발명의 제3 목적은 컴퓨터 및 네트워크 공격들을 분류하고, 분류된 결과로부터 목적 및 용도별로 같은 특징이 있는 공격들을 그룹화할 수 있는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를 수행하는 프로그램을 기록한 기록 매체를 제공하는 것이다.
본 발명의 제4 목적은, 새로운 공격을 포함한 모든 공격을 분류하고, 분류된 결과로부터, 그 공격에 대한 대응 시점 및 대응 방법을 쉽게 파악할 수 있도록 하는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를 수행하는 프로그램을 기록한 기록 매체를 제공하는 것이다.
본 발명의 제5 목적은, 컴퓨터 및 네트워크 보안을 위한 통합된 분류 체계를 이용하여 보안 시스템의 용도에 맞추어 방어할 수 있는 공격의 범위를 정할 수 있도록 하는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를 수행하는 프로그램을 기록한 기록 매체를 제공하는 것이다.
상기와 같은 본 발명의 목적을 달성하기 위하여, 본 발명의 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법은,
공격으로 판단된 데이터를 입력받는 입력 단계;
공격이 악용하는 취약성에 따라서 상기 입력된 공격을 분류하는 제1 분류 단 계;
공격이 전파되는 방식에 따라서 상기 입력된 공격을 분류하는 제2 분류 단계;
공격 의도에 따라서 상기 입력된 공격을 분류하는 제3 분류 단계;
상기 제1,2,3 분류 단계에서 분류된 결과를, 공격이 악용하는 취약성, 전파 방식, 공격 의도 순으로 배치하는 배치 단계; 및
상기 배치된 분류 결과를 출력하는 출력 단계를 포함하여 이루어진다.
이하 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있는 바람직한 실시 예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시 예에 대한 동작 원리를 상세하게 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다.
또한, 도면 전체에 걸쳐 유사한 기능 및 작용을 하는 부분에 대해서는 동일한 도면 부호를 사용한다.
도 1은 본 발명의 바람직한 일 실시 예에 따른 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법의 전체 과정을 개략적으로 나타낸 흐름도이다.
도 1을 참조하면, 본 발명에 의한 공격 분류 방법은, 공격으로 의심되는 데이터(수집된 트래픽 또는 파일로서, 이하에서 설명의 편의를 위해 '공격'이라고 기 술한다)가 입력되면(S100), 상기 공격의 특징을 파악하여 공격에 대한 전체적인 현상을 설명할 수 있도록 분류하는데, 이때, 분류 단계는 총 3개의 영역(domain)으로 이루어진다.
첫 번째 영역은 공격자가 악용하는 취약점(Vulnerability)에 따른 분류 단계(S200)이고, 두 번째 영역은 공격이 전파(propagation)되는 상황에 대한 분류 단계(S300)이고, 세 번째 영역은 공격자의 공격 의도(intention) 분류 단계(S400)이다. 상기 세 영역은 상호 독립적으로 수행되며, 혼합형 공격의 경우, 각 영역별로 둘 이상의 분류 결과를 가질 수 있다.
상기에서 첫 번째 영역의 취약점에 따른 분류에서, 취약점은 크게 실제 구현상의 취약성, 잘못된 설정에 의한 취약성, 애플리케이션의 설계상의 보안 취약성, 네트워크 프로토콜의 취약성, 사용자의 보안 인식 부족으로 발생하는 취약성을 포함할 수 있으며, 이러한 취약성에 따른 분류 정보를 바탕으로 같은 취약성을 이용하는 공격들을 그룹화하고, 이 그룹화된 공격들에 대한 차단 방법을 모색할 수 있다.
상기 두 번째 영역의 전파 상황에 따른 분류는, 공격의 자동화 여부를 설명한다. 상기 자동화 여부는 특정 공격 대상의 선택 및 침투 방법, 악의적인 행위가 시작되는 방법, 추가 공격이 발생되는 방법들을 알려주게 되며, 이로부터 공격의 확산 방식을 유추할 수 있고, 공격이 전파될 때의 차단 시점 및 방법을 파악할 수 있도록 한다.
상기 세 번째 영역의 공격 의도에 따른 분류에서, 공격 의도는 목적, 공격 대상, 공격 기법이 포함된 것으로서, 상기 분류에서는, 실제로 악의적인 행위가 일어나는 현상을 분류할 수 있어 공격의 세부적인 특징을 파악하는데 결정적인 정보를 제공하기 위한 것으로서, 악의적인 행위가 일어나는 지점과 널리 알려진 악의적인 결과들을 구체적으로 나열한다.
도 1은 본 발명에 의한 공격 분류 방법의 기본 개념을 보인 것으로서, 공격 A 에 대해서, 해당 공격 A가 악용하는 취약점 B를 파악하여 취약점에 따른 분류를 수행하고, 상기 공격 A가 진행하는 전파 방식 C를 파악하여 공격이 전파되는 상황별 분류를 수행하고, 공격 A의 목적 D와 공격 대상 E와 공격 기법 F를 파악하여 공격 의도에 따른 분류를 수행한다.
상기와 같이, 공격에 대한 세 가지 영역에서의 분류가 수행되면, 공격의 전체 흐름을 알 수 있도록 상기 분류 결과를 차례로 배치한다(S500). 이때 동일 영역내에서 동시에 분류된 결과들을 병렬로 배치한다.
이때 분류 결과의 배치의 기준은, '공격A는 B라는 취약점을 이용해서 C의 방식으로 전파가 되며, D라는 공격 목적을 달성하기 위해 E라는 공격 대상에 F라는 공격 기법들을 사용한다'란 결론을 알 수 있도록 하는 것이다. 도 3은 상기 단계S500에서의 분류 결과의 배치 상태를 나타낸 것으로서, '공격 A → 취약점 B → 전파 C → 목적 D → 공격 대상 E → 공격 기법 F '순으로 배치되며, 화살표로 공격의 흐름을 표현하며, 한눈에 공격의 흐름을 인식하고 방어 시점 및 방어 방법을 파악할 수 있도록 한다.
이에 상술한 분류 결과로부터 공격의 특성을 파악할 수 있다(S600).
즉, 상기와 같이 배치된 분류 결과의 흐름을 따라감으로써, 'B라는 취약점을 이용해서 C의 방식으로 전파가 되며, D라는 공격 목적을 달성하기 위해 E라는 공격 대상에 F라는 공격 기법들을 사용한다'라는 공격 A의 특징 및 공격 형태를 파악할 수 있다.
상술한 공격 분류 방법에 있어서, 상기 각 분류 단계(S200, S300, S400)는 세부 분류 기준이 존재하게 되며, 상기 세부 분류 기준은 공격의 특성을 자연스럽게 설명할 수 있는 하나의 흐름과 같은 것이다. 이때, 해당 공격이 단일의 공격 기법을 사용한다면 해당 공격에 대한 흐름은 하나가 되며, 혼합된 형태의 공격은 둘 이상의 흐름을 가지게 된다.
이하에서 상기 분류 단계(S200, S300, S400)에서의 세부 분류 기준 및 분류 과정을 설명한다.
도 4는 본 발명에 의한 공격 분류 방법에 있어서, 취약점에 따른 분류 단계(S200)에 대한 상세 흐름도이다.
상기 단계(S200)는 공격을 수행하기 위해 공격자들이 이용하게 되는 대상 시스템의 취약성을 나타내기 위한 것으로서, 일반적으로 공격이란 것 자체가 취약성이 없이는 존재할 수 없으며, 보안의 특성상 한 부분이라도 취약한 점이 있다면 이를 통해 전체 시스템이 공격받게 되는 결과를 가져오므로, 본 발명에서는 상기 단계(S200)에서 공격이 이용하는 대상 시스템의 취약성을 기준으로 공격을 분류함으로써, 사후에라도 대상 시스템의 취약성을 보안할 수 있도록 하고, 또한 같은 취약 성을 가진 공격들을 그룹화함으로써 같은 공격 그룹에 같은 보안 정책을 적용할 수 있는 지와 보안 시스템이 방어할 수 있는 공격의 범위를 결정하는데 도움을 준다.
도 4를 참조하면, 상기 취약점에 따른 분류 단계(S200)는, 취약점을 취약성이 발생한 원인 B1과, 원인 B1에 의해 생기는 결과 B2로 분류한다(S210, S220)
더하여, 본 발명은, 현재까지 알려져 있는 또는 시스템에서 나타날 수 있는 다양한 취약점들을 5 가지의 레벨로 분류하며, 상기 5 가지의 대표적인 취약점 분류 레벨을 도 5에 나타낸다. 상기 세부 분류 레벨은 기본적인 공격의 특성들을 표현하는 것으로서, 새로운 패턴의 공격이 나타나면 확장될 수 있다.
도 5를 참조하면, 임의의 공격이 악용하는 대상 시스템의 취약점은, 그 원인 분류 단계(S210)에서, 코드(code), 설정(configuration), 애플리케이션 설계(Application Design), 네트워크 프로토콜 설계(Network Protocol Design), 사용자 의식 부족(End-user Unconsciousness)으로 분류된다.
상기 코드는, 개발자의 의식 부족이나 실수로 인해 보안상 취약한 코드를 사용하여 개발하는 경우 발생하는 취약성이며, 상기 코드 취약성으로 인해 나타나는 결과(S220)는 대표적으로 버퍼 오버플로우가 있다.
상기 설정은, 대상 시스템에서의 OS(Operation System), 애플리케이션, 네트워크 구성 등에 대한 잘못된 설정으로 인해 발생하는 취약성으로, 그 결과로 잘못된 인증, 잘못된 네트워크 구조등이 나타날 수 있다.
상기 애플리케이션 설계는, 의도적으로 개발된 기능인지의 여부를 떠나서 응용 프로그램의 수행 결과가 보안적으로 문제를 야기시킬 수 있는 취약성으로서, 그 결과(S220)로서, 사용자의 승인 없이 쉴(shell) 명령 등을 임의로 수행할 수 있게 하는 임의 명령 실행(Arbitrary Commands Execution), 사용자의 승인 없이 파일이나 시스템정보에 접근할 수 있는 임의 정보 접근(Arbitrary Information Access), 프로그램 설계상의 문제로 중요 정보가 유출되는 부주의한 정보 유출(Careless Information Leakage), 그리고 사용자의 동의 없이 프로그램이 실행될 수 있는 실행인증 취약(Lack of execution authentication)등이 나타난다.
상기 네트워크 프로토콜 설계는, 네트워크상에서 이용되는 프로토콜 자체의 설계상의 문제로 인해 발생되는 취약성으로서, 상기 네트워크 프로토콜 설계의 취약성에 의한 결과로서, 암호화되지 않는 정보로 인해 정보가 유출되는 기밀성 취약(Lack of Confidentiality)와, 정상적인 정보가 공격자에 의해 임의로 변경되었는 지의 여부를 확인할 수 없는 무결성 취약(Lack of Integrity)과, 통신 상대방을 신뢰하기 위한 인증 방법이 없으므로 인해 발생하는 인증 취약(Lack of Authentication)이 나타난다.
상기 사용자의 의식 부족은, 사용자의 보안 의식부족으로 인해 발생되는 취약성으로서, 그 결과로서 트로이 목마 형태나 액티브 X와 같이 사용자의 주의가 필요한 프로그램에 대한 의식이 부족하여 발생하는 악의적인 프로그램 수행(Malware Execution)과, 암호를 설정하지 않거나 쉬운 암호를 설정함으로 인한 취약한 패스워드(Vulnerable Password)가 나타난다.
일반적으로 잘 알려져 있는 블래스터 웜(Blaster Worm)의 예를 들면, 블래스터는 취약한 공격 대상을 찾기 위해 스캔을 수행한 후, 블래스터가 악용할 수 있는 취약점을 가진 공격 대상을 찾으면, 침투하는데, 이때, 침투는 윈도우(Widows) 운영체제(Operating System)에서 일반적으로 항상 동작하고 있는 RPC DCOM 프로그램의 스택을 버퍼 오버플로우(Stack Buffer Overflow)시키는 결과로 달성된다. 이때, 버퍼 오버플로우는 RPC DCOM 개발자가 취약한 코딩을 하는 것이 원인이 된다.
따라서, 상기 블래스터 웜이라는 공격에 대하여, 상기 단계(S200)에서 취약성을 분류하면, 취약한 코드가 원인이 되어 스택 버퍼 오버플로우라는 결과로 나타나는 공격으로 분류된다.
다음으로, 도 6은 상기 공격 전파 상황에 따른 분류 단계(S300)의 상세 흐름도이다. 일반적으로, 컴퓨터 또는 네트워크상에서의 한 공격은 감염된 대상에서 다른 대상으로 계속적으로 전파되는 특성이 있다.
이에 본 발명은 상기 공격 전파 상황에 따른 분류 단계(S300)에서, 상기 공격 전파 과정을, 공격 대상의 취약점을 악용하여 그 대상을 감염시키는 침투(penetration)(S310), 침투된 대상에서 실제 악의적인 일의 수행(operation)(S320), 다음 공격 대상을 선택하여 그 대상으로 침투(next attack)(S330)하는 순서로 규정하고, 상기 규정된 각 단계가, 정상적인 사용자(normal user)나 공격자(attacker)의 개입(intervention)을 필요로 하는 수동(manual)으로 진행되는지, 사용자 또는 공격자의 개입이 없이 자동(auto)으로 진행되는 지로 해당 공격을 분류한다.
도 7은 상기 도 6에 도시된 공격의 전파 상황에 따른 분류 단계(S300)의 전 파 과정별 세부 분류 항목을 나타낸 것으로서, 침투 과정(S310), 수행 과정(S320), 다음 공격 대상으로의 침투 과정(S330) 각각에 대해서 자동 또는 수동 여부를 표현한다.
예를 들어, 블래스터 웜은, 공격자가 블래스터 웜 프로그램을 실행하면, 상기 실행된 블래스터 웜 프로그램은 윈도우 환경에서 취약한 RPC DCOM을 사용하는 공격 대상을 찾고, 스택 버퍼 오버플로우를 수행하는 데이터를 RPC DCOM 프로그램에 주입하여, 그 대상을 감염시키고, 블래스터 코드를 그 대상에 전송한다.
따라서, 상기 블래스터 웜은 프로그램 자체적으로 침투된 후, 자동적으로 실행되어 불필요한 네트워크 트래픽을 유발하고, 인터넷 익스플로러 시작 페이지를 특정 사이트로 변경하는 악의적인 일을 수행하면서, 다른 공격 대상을 찾아 자동적으로 침투를 수행한다. 따라서, 블래스터 웜을 상기 공격 전파 상황에 따라서 분류하면, 침투(S310), 수행(S320), 다음 공격대상으로의 침투(S330)가 모두 자동적으로 이루어지는 공격으로 분류된다.
도 8은 본 발명에 의한 공격 분류 방법에 있어서, 상기 공격 의도에 따른 분류 단계(S400)의 상세 흐름도이다.
일반적으로 공격은 공격자가 원하는 목적(purpose)을 달성하기 위해 발생하는 것으로, 그 목적을 알기 위해서는 공격자의 공격 의도를 파악하는 것이 중요하다. 따라서, 본 발명에 있어서, 상기 단계(S400)에서의 공격 의도는, 'D 라는 공격 목적을 달성하기 위해 E라는 공격 대상(target)에 F라는 공격 기법(skill)들을 사 용한다.'로 정의된다. 상기에서 목적은, 공격자의 공격으로 발생하는 악의적인 결과를 의미하는 것으로서, 예를 들면, 시스템상의 정보를 빼온다거나 시스템을 다운시켜버리는 등이 해당된다. 상기 공격 대상은, 그런 악의적인 결과들이 어떤 곳에서 발생하는 것인가 혹은 목적에서 표현하지 못한 좀더 구체적인 악의적인 결과를 의미하는 것으로서, 네트워크상의 정보를 획득한다거나, 호스트의 애플리케이션 서비스를 방해한다는 등으로 해석될 수 있다. 그리고, 상기 공격 기법은, 목적을 달성하기 위한 공격 방법을 의미한다.
따라서, 상기 공격 의도에 따른 분류 단계(S400)는, 공격 목적 D를 파악하는 단계(S410)와, 공격 대상 E를 파악하는 단계(S420)와, 공격 기법 F를 파악하는 단계(S430)로 이루어진다. 상기에서 공격 기법 F는 더 세부적으로 확장될 수 있다. 예를 들면, 네트워크 프로토콜(network protocol), 포트 번호(port number) 등이 될 수 있다.
도 9는 상기 도 8에 보인 공격 의도에 따른 분류 단계(S400)의 각 분류 단계(S410, S420, S430)별 세부 항목들을 나타낸다. 여기서, 세부 항목은 공격자의 공격 의도를 기준으로 구성되며, 새로운 목적, 대상, 기법이 나타나면 쉽게 확장이 가능한 구조를 가지고 있다.
먼저, 상기 공격 목적 D는, 4 개의 세부 항목을 포함한다.
1) 서비스 방해 공격(Service Disturbance Attack): 여기서의 서비스 방해 공격은 네트워크에 연결된 호스트에서 수행되고 있는 모든 서비스 혹은 자원 활용에 방해가 되는 모든 공격들을 의미한다.
2) 네트워크 전송 공격(Network Transportation Attack): 네트워크 상에서 정보를 전송하는 과정 중에 필요한 시스템 및 자원 사용을 방해하는 공격들이 여기에 속한다.
3) 정보 수집/악용을 위한 공격(Information Gathering/Abusing Attack): 네트워크 상으로 전송되는 실제 정보를 수집하거나 악용하는 공격들이 이 범주에 속한다.
4) 시스템 제어 공격(System Control Attack): 공격받은 시스템을 공격자가 임의로 제어할 수 있게 만드는 공격이 이 범주에 속한다.
다음으로, 상기 공격 대상 E는 네트워크 상에서 악의적인 결과들이 발생하는 곳을 나타내는 것으로서, 네트워크 상에서의 모든 요소가 이에 해당될 수 있으며, 예를 들면, 도 9에 도시된 바와 같이, 호스트, 네트워크, 대역폭, 노드 등이 존재한다. 상기에서 노드는 네트워크를 통한 전송을 서비스해주는 시스템을 말하는 것으로서, DNS 서버, 라우터, 스위치 등이 포함된다.
특히 상기 서비스 방해를 목적으로 발생하는 공격은 네트워크 혹은 호스트에서 발생할 수 있으며, 네트워크 전송 공격은 대역폭 혹은 노드를 대상으로 발생할 수 있으며, 정보 수집/악용 공격과 시스템 제어 공격의 공격 대상은 호스트 혹은 네트워크가 될 수 있다.
그리고, 상기 공격 대상 E에게 악의적인 일을 수행하기 위한 공격 기법 F는, 공격 목적 및 대상에 따라서 다양한 기법들이 존재할 수 있으며, 둘 이상의 공격 기법이 동시에 이용될 수 있다. 상기 도 9를 참조하면, 호스트를 공격 대상으로 하는 서비스 방해 공격에 사용되는 공격 기법으로는, 호스트의 정보, 자원을 악용하고, 파일 등에 대해 호스트의 사용자가 원치 않는 방향으로 수정, 삭제하는 정보 방해(Information Disruption) 기법과, 실행중인 중요 프로그램들을 강제로 종료시키는 서비스 종료(Service Kill) 기법과, 하드 디스크를 포맷하는 등의 행위로 시스템을 재시작하지 못할 정도로 만드는 시스템 파괴(System Crash) 기법 등이 있을 수 있으며, 네트워크를 공격 대상으로 하는 서비스 방해 공격을 수행하기 위한 공격 기법으로는, 네트워크 상에 전송되는 정보 및 자원을 악용하거나 수정, 삭제하는 정보 방해 기법과, 네트워크상에 과다한 요청을 발생시켜 정상적인 서비스가 이루어지지 못하도록 하는 요청 플로딩(Request Flooding)이 포함된다.
블래스터 웜을 예로 들면, 상기 블래스터 웜은 앞서 설명한 바와 같이, 135번 포트로 불필요한 트래픽을 전송하여 네트워크 전송 시스템들의 정상적인 트래픽 전송 능력을 떨어뜨리고, 감염된 호스트(host)의 인터넷 익스플로러 시작 페이지를 임의로 변경하여, 호스트 사용자가 기대하는 서비스를 방해하는 것이므로, 이를 상기 공격 의도에 따른 분류 단계(S400)에서 분류하면, 네트워크 전송 방해 목적을 달성하기 위해 대역폭을 소모시키고 호스트(host)의 일부 서비스를 방해하는 공격(Service Disturbance Attack)으로 분류된다. 이때, 상기 목적을 달성하기 위해 공격 대상(네트워크 및 호스트)에 사용한 공격 기법으로, 과다 트래픽 발생(Excessive Traffic Generation) 및 인터넷 익스플로러 정보의 임의 변경(Information Disruption)이 해당된다.
도 10은 혼합형 공격에 대하여 본 발명에 따른 분류 결과의 예를 보인 것이다.
일반적으로, 최근의 공격은 다수의 취약점을 악용하고, 다수의 공격 의도를 포함하는 혼합형태(Blended type)로 발생한다. 본 발명에 의한 공격 분류 방법은 이러한 혼합 형태의 공격을 아주 효과적으로 표현할 수 있다.
즉, 본 발명에 의한 공격 분류 방법은, 하나의 공격을, 취약성의 원인 및 결과, 전파(침투-수행-다음 공격)의 진행방식, 공격이 의도하는 목적 및 대상과 이때 사용하는 공격 기법에 따라서 각각 분류하고, 상기 분류 결과를, 취약성의 원인 B1, 원인에 의해 나타나는 결과 B2, 전파의 침투 방식 C1, 침투후 수행 방식 C2, 다음 공격 대상으로의 침투 방식 C3, 공격의 목적 D, 공격 대상 E, 공격 기법 순으로 표시한다.
이때, 혼합형 공격인 경우, 상기 취약성의 원인 및 결과, 전파(침투-수행-다음 공격)의 진행방식, 공격이 의도하는 목적 및 대상과 이때 사용하는 공격 기법에 따른 분류시, 대응되는 특징들이 둘 이상 존재할 수 있다.
본 발명에서는, 같은 분류 단계에서 분류된 여러 특징들은 해당 단계에서 병렬로 나열한다.
즉, 도 10에 나타난 바와 같이, 하나의 공격에 해당하는 특징들이, 취약성의 원인, 결과, 전파 방식, 목적, 대상, 공격 기법별로 병렬로 표시되며, 원인, 결과, 전파 방식, 목적, 대상, 공격 기법 순으로 상호 연관되는 특징들이 화살표로 연결됨으로써, 해당 공격이 이루어지는 전체 흐름을 직관적으로 알 수 있도록 한다.
따라서, 상기 분류 결과로부터 공격을 방어하기 위한 시점과 방법을 직관적으로 알 수 있다. 여기서 공격을 방어하기 위한 시점은, 공격의 진행 과정에서 다음 단계로 넘어가는 부분(즉, 화살표 부분)이 되며, 공격의 방어 방법은, 해당 화살표의 앞 단계에서 분류된 공격 특징에 따른 방어 방법을 의미한다.
도 11은 본 발명에 의한 공격 분류 방법을 적용하여 스파이웨어(Spyware)를 분류한 결과를 나타낸 것이다.
스파이웨어는 혼합형 공격의 전형으로서 성공하기 위한 경로도 다양하여 차단하기가 극히 어렵다. 도 11에서는 알려져 있는 스파이웨어중에서 Win-Spyware/Look2Me를 분류하여 보았다.
상기 Win-Spyware/Look2Me는 다음과 같은 특징들을 갖는다.
1) 불특정 웹 사이트에서 사용자가 ActiveX 프로그램의 설치를 확인하는 것으로 배포되고, 사용자가 설치를 승인하는 것과 동시에 실행된다.
2) 다른 스파이웨어에 의해 자동설치/실행되기도 하며, 호스트 결정에서부터 코드 실행, 다음 감염될 호스트의 선까지 모두 자동으로 이루어진다.
2) 익스플로러의 시작 페이지를 변경한다.
3) 윈도우의 호스트 파일을 변경하여, 경쟁 업체로의 접속을 차단한다.
4) 특정 사이트에서 다운로드한 팝업 광고를 5분마다 자동 실행한다.
5) 일부 보안 관련 시스템 모니터링 프로세스들을 종료시킨다.
상술한 스파이웨어 Win-Spyware/Look2Me의 공격 특징을 본 발명의 공격 분류 방법의 단계 S200 ~ S400을 통해서 분류하면, 표 1과 같은 특징을 갖는 공격으로 분류된다.
취약성에 따른 분류 전파 방식에 따른 분류 공격 의도에 따른 분류
원인 B1 결과 B2 침투 C1 수행 C2 다음 공격C3 목적 D 공격 대상 E 공격 기법 F
사용자 의식 부족 악의적인 프로그램 수행 수동 자동 수동 서비스 거부 공격 호스트 정보 방해
서비스 종료
응용프로그램 설계문제 설치 인증 취약 자동 자동 네트워크 정보 방해
상기 표 1과 같이 분류된 결과를 공격 흐름에 따라서, 취약성, 전파 방식, 공격 의도 순으로 배치하면 도 11과 같이 된다.
상기 도 11의 화살표를 따라가면, Win-Spyware/Look2Me의 공격 흐름을 파악할 수 있다.
이상에서 설명한 본 발명은 전술한 실시 예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 당업자에게 있어 명백할 것이다.
상술한 바에 의하면, 본 발명은 컴퓨터 및 네트워크와 관련된 모든 공격들에 대해, 그 특징들을 쉽게 파악할 수 있는 분류 방법(taxonomy)을 제공할 수 있으며, 더하여, 본 발명에 의하여 공격들을 분류함으로써 '공격 A는 B라는 취약점(vulnerability)을 이용해서 C의 방식으로 전파(propagation)가 되며, D라는 공격 목적(purpose)을 달성하기 위해 E라는 공격 대상(target)에 F라는 공격 기법(skill)들을 사용한다.'라는 공격의 특징을 파악할 수 있는 정보를 얻을 수 있으며, 공격의 전체적인 흐름을 쉽게 알 수 있어, 이로부터 공격의 방어 시점 및 방법을 도출하기가 용이하다.
더하여, 본 발명에 의한 공격 분류 방법을 적용하여 보안 시스템을 개발함으로써, 해당 보안 시스템이 방어할 수 있는 공격의 범위 및 특징을 명확하게 정의해줄 수 있다.
더하여, 본 발명은 기본 분류 체계를 유지하면서 세부 분류 항목들을 쉽게 확장할 수 있으며, 혼합된 형태의 공격까지 쉽게 분류할 수 있으며, 또한, 알려지지 않은 전혀 새로운 형태의 공격에 대해서도 분류할 수 있다.
뿐만 아니라, 본 발명은 모든 공격들을 체계적으로 분류할 수 있는 방법을 제시함으로써, 컴퓨터 보안 분야에서 관련자들이 공격의 특징 및 흐름에 대해 공통적인 의미로 사용할 수 있는 용어를 제공할 수 있다.

Claims (18)

  1. 공격으로 판단된 데이터를 입력받는 입력 단계;
    공격이 악용하는 취약성에 따라서 상기 입력된 공격을 분류하는 제1 분류 단계;
    공격이 전파되는 방식에 따라서 상기 입력된 공격을 분류하는 제2 분류 단계;
    공격 의도에 따라서 상기 입력된 공격을 분류하는 제3 분류 단계;
    상기 제1,2,3 분류 단계에서 분류된 결과를, 공격이 악용하는 취약성, 전파 방식, 공격 의도 순으로 배치하는 배치 단계; 및
    상기 배치된 분류 결과를 출력하는 출력 단계를 포함하는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법.
  2. 제1항에 있어서, 상기 배치 단계는
    동일한 분류 단계에서 둘 이상의 분류 결과가 존재할 경우, 상기 동일 분류 단계의 분류 결과들을 해당 단계에서 병렬로 배치하는 것을 특징으로 하는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법.
  3. 제2항에 있어서, 제3 분류 단계는
    해당 공격에 대한 공격자의 공격 목적을 분류하는 과정과,
    상기 공격이 공격하고자 하는 공격 대상을 분류하는 과정과,
    상기 분류된 공격 대상에서 상기 공격 목적을 이루기 위해서 사용되는 공격 기법을 분류하는 과정을 포함하는 것을 특징으로 하는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법.
  4. 제3항에 있어서, 상기 배치 단계는
    A라는 공격이 B라는 취약성을 이용해서 C의 방식으로 전파되며, D라는 공격 목적을 달성하기 위해 E 라는 공격 대상에 F라는 공격 기법으로 사용한다는 공격 흐름을 알 수 있도록, 취약점 B, 전파 방식 C, 공격 목적 D, 공격 대상 E, 공격 기법 F 순으로 배치하고, 상기 배치된 분류 결과를 순서대로 화살표로 연결하는 것을 특징으로 하는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법.
  5. 제4항에 있어서,
    상기 공격 목적은,
    네트워크가 연결된 호스트에서 제공되는 서비스 혹은 자원 활용을 방해하는 서비스 방해, 네트워크 상에서 정보를 전송하는 과정 중에 필요한 시스템 및 자원 사용을 방해하는 네트워크 전송 방해, 네트워크상으로 전송되는 정보를 수집하거나 악용하는 정보 수집/악용, 공격받는 대상을 공격자가 임의로 제어할 수 있게 하는 시스템 제어 중에서 하나 이상을 포함하는 것을 특징으로 하는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법.
  6. 제5항에 있어서,
    상기 서비스 방해를 목적으로 하는 공격의 공격 대상은, 네트워크에 연결된 호스트의 애플리케이션 서비스, 네트워크 호스트가 제공하는 네트워크 서비스 중에서 하나 이상을 포함하는 것을 특징으로 하는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법.
  7. 제5항에 있어서,
    상기 네트워크 전송 방해를 목적으로 하는 공격의 공격 대상은,
    네트워크 전송 시스템이 사용하는 경로들 사이의 대역폭, 네트워크를 통한 전송을 서비스하는 네트워크 전송 경로 상의 노드, 네트워크 통한 전송에 필요한 정보 중에서 하나 이상을 포함하는 것을 특징으로 하는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법.
  8. 제5항에 있어서,
    상기 정보 수집/악용을 목적으로 하는 공격의 공격 대상은, 네트워크에 연결되는 호스트 시스템 상의 정보, 네트워크 상에서 전송되는 정보 중에서 하나 이상을 포함하는 것을 특징으로 하는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법.
  9. 제5항에 있어서,
    상기 시스템 제어를 목적으로 하는 공격의 공격 대상은, 호스트와 네트워크에 연결된 시스템 중에서 하나 이상을 포함하는 것을 특징으로 하는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법.
  10. 제4항에 있어서,
    상기 제1 분류 단계는, 취약성이 발생한 원인에 따라서 해당 공격을 분류하는 과정과, 상기 분류된 원인에 의하여 생기는 취약한 결과에 따라서 해당 공격을 분류하는 과정을 포함하고,
    상기 배치 단계에서, 취약성의 분류 결과를 원인, 결과 순으로 배치하는 것을 특징으로 하는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법.
  11. 제10항에 있어서, 상기 취약성이 발생한 원인은
    개발자의 의식 부족이나 실수로 보안상 취약한 코드를 사용한 시스템에서 발생하는 코드 취약;
    OS, 애플리케이션, 네트워크 구성에서 설정이 잘못된 경우에 발생하는 설정 취약;
    의도적인지의 여부에 관계없이 응용 프로그램의 수행 결과가 보안적으로 문제를 야기시킬 수 있는 경우에 발생하는 애플리케이션 설계 취약;
    네트워크상에서 이용되는 프로토콜 자체의 설계문제로 인해 발생하는 네트워크 프로토콜 설계 취약; 및
    사용자의 보안 의식 부족으로 인해 발생하는 사용자 의식 부족을 포함하는 것을 특징으로 하는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법.
  12. 제11항에 있어서,
    상기 코드 취약이 원인인 경우에 발생할 수 있는 취약한 결과는, 버퍼 오버플로우와 포맷 스트링(format string)을 포함하는 것을 특징으로 하는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법.
  13. 제11항에 있어서,
    상기 설정 취약이 원인인 경우에 발생할 수 있는 취약한 결과는, 잘못된 승인 및 잘못된 네트워크 설정을 포함하는 것을 특징으로 하는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법.
  14. 제11항에 있어서,
    상기 애플리케이션 설계 취약이 원인인 경우에 발생할 수 있는 취약한 결과는, 사용자의 승인없이 명령이 임의로 실행되는 임의 명령 실행, 사용자의 승인없이 파일이나 시스템 정보에 접근하는 임의 정보 접근, 프로그램 설계상의 문제로 정보가 유출되는 부주의한 정보 유출, 사용자의 동의없이 프로그램이 실행될 수 있는 실행 인증 취약 중에서 하나 이상을 포함하는 것을 특징으로 하는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법.
  15. 제11항에 있어서,
    상기 네트워크 프로토콜 설계 취약이 공격 원인이 된 경우의, 그 원인에 의해 발생할 수 있는 취약한 결과는, 암호화되지 않은 정보가 유출되는 기밀성 취약, 정상적인 정보가 공격자에 의해 임의로 변경되었는지의 여부를 확인할 수 없는 무결성 취약, 통신 상대방을 신뢰하기 위한 인증 방법이 없는 인증 취약 중에서 하나 이상을 포함하는 것을 특징으로 하는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법.
  16. 제11항에 있어서,
    상기 사용자 의식 부족이 원인이 되어 발생하는 취약한 결과는, 악의적인 프로그램의 수행과, 취약한 패스워드 설정 중에서 하나 이상을 포함하는 것을 특징으로 하는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법.
  17. 제4항에 있어서,
    상기 제2 분류 단계는, 공격의 전파 형태가 사용자 혹은 공격자의 개입 없이 자동적으로 이루어지는 것인지, 사용자 혹은 공격자의 개입에 의해서 수동적으로 이루어지는 것인지에 따라서 공격을 분류하는 단계인 것을 특징으로 하는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법.
  18. 제17항에 있어서,
    상기 제2 분류 단계는,
    공격 대상의 취약점을 이용하여 그 대상을 감염시키는 침투 과정의 자동화 여부를 판별하는 과정과,
    침투한 대상에서 악의적인 일을 수행하는 과정의 자동화 여부를 판별하는 과정과,
    다음 공격 대상을 선택하고 선택된 공격 대상으로 침투하는 다음 공격 과정의 자동화 여부를 판별하는 과정을 포함하고,
    상기 배치 단계는, 상기 전파 방식에 의한 분류 결과를 침투의 자동화 여부, 수행의 자동화 여부, 다음 공격의 자동화 여부 순으로 배치하는 것을 특징으로 하는 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법.
KR1020060096425A 2006-09-29 2006-09-29 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를수행하는 프로그램을 기록한 기록 매체 KR100798923B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020060096425A KR100798923B1 (ko) 2006-09-29 2006-09-29 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를수행하는 프로그램을 기록한 기록 매체
US11/757,701 US20080083034A1 (en) 2006-09-29 2007-06-04 Attack classification method for computer network security

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060096425A KR100798923B1 (ko) 2006-09-29 2006-09-29 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를수행하는 프로그램을 기록한 기록 매체

Publications (1)

Publication Number Publication Date
KR100798923B1 true KR100798923B1 (ko) 2008-01-29

Family

ID=39219611

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060096425A KR100798923B1 (ko) 2006-09-29 2006-09-29 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를수행하는 프로그램을 기록한 기록 매체

Country Status (2)

Country Link
US (1) US20080083034A1 (ko)
KR (1) KR100798923B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190135836A (ko) * 2018-05-29 2019-12-09 국방과학연구소 공격 주체 분류 장치 및 방법
KR102287394B1 (ko) * 2020-12-21 2021-08-06 한국인터넷진흥원 익스플로잇 공격 유형 분류 방법 및 그 장치

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6957348B1 (en) * 2000-01-10 2005-10-18 Ncircle Network Security, Inc. Interoperability of vulnerability and intrusion detection systems
US7181769B1 (en) * 2000-08-25 2007-02-20 Ncircle Network Security, Inc. Network security system having a device profiler communicatively coupled to a traffic monitor
US8504504B2 (en) * 2008-09-26 2013-08-06 Oracle America, Inc. System and method for distributed denial of service identification and prevention
US11126720B2 (en) * 2012-09-26 2021-09-21 Bluvector, Inc. System and method for automated machine-learning, zero-day malware detection
US10069862B2 (en) * 2013-03-15 2018-09-04 Symantec Corporation Techniques for predicting and protecting spearphishing targets
KR101732889B1 (ko) * 2013-11-04 2017-05-08 한국전자통신연구원 임베디드 시스템에서 쉘 커맨드의 안전 실행 보장 장치 및 방법
JP6149741B2 (ja) * 2014-01-24 2017-06-21 富士ゼロックス株式会社 情報処理装置及びプログラム
US11507663B2 (en) 2014-08-11 2022-11-22 Sentinel Labs Israel Ltd. Method of remediating operations performed by a program and system thereof
US9710648B2 (en) 2014-08-11 2017-07-18 Sentinel Labs Israel Ltd. Method of malware detection and system thereof
US10542044B2 (en) 2016-04-29 2020-01-21 Attivo Networks Inc. Authentication incident detection and management
US11616812B2 (en) 2016-12-19 2023-03-28 Attivo Networks Inc. Deceiving attackers accessing active directory data
US11695800B2 (en) 2016-12-19 2023-07-04 SentinelOne, Inc. Deceiving attackers accessing network data
JP7005936B2 (ja) * 2017-05-19 2022-02-10 富士通株式会社 評価プログラム、評価方法および情報処理装置
JP2020530922A (ja) 2017-08-08 2020-10-29 センチネル ラボ, インコーポレイテッドSentinel Labs, Inc. エッジネットワーキングのエンドポイントを動的にモデリングおよびグループ化する方法、システム、およびデバイス
US11470115B2 (en) 2018-02-09 2022-10-11 Attivo Networks, Inc. Implementing decoys in a network environment
CN108537041B (zh) * 2018-04-04 2021-07-13 贵州师范学院 一种Linux病毒检测方法
CN111447168B (zh) * 2019-01-16 2022-05-24 河南信安通信技术股份有限公司 一种多维的网络安全预测方法
EP3973427A4 (en) 2019-05-20 2023-06-21 Sentinel Labs Israel Ltd. SYSTEMS AND METHODS FOR EXECUTABLE CODE DETECTION, AUTOMATIC FEATURE EXTRACTION, AND POSITION-INDEPENDENT CODE DETECTION
US20220100766A1 (en) * 2020-09-28 2022-03-31 Red Hat, Inc. Platform and service disruption avoidance using deployment metadata
US11579857B2 (en) 2020-12-16 2023-02-14 Sentinel Labs Israel Ltd. Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach
US11899782B1 (en) 2021-07-13 2024-02-13 SentinelOne, Inc. Preserving DLL hooks

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030052511A (ko) * 2001-12-21 2003-06-27 한국전자통신연구원 가변적인 보안 상황을 반영하는 보안 등급 설정방법 및이를 위한 기록 매체
KR20030052512A (ko) * 2001-12-21 2003-06-27 한국전자통신연구원 공격에 대한 연관성 분석방법 및 이를 위한 기록매체
KR20050068052A (ko) * 2003-12-29 2005-07-05 한국정보보호진흥원 자동침입대응시스템에서의 위험수준 분석 방법
JP2006000605A (ja) * 2004-06-17 2006-01-05 Tetsuo Higashikura 花器

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6952779B1 (en) * 2002-10-01 2005-10-04 Gideon Cohen System and method for risk detection and analysis in a computer network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030052511A (ko) * 2001-12-21 2003-06-27 한국전자통신연구원 가변적인 보안 상황을 반영하는 보안 등급 설정방법 및이를 위한 기록 매체
KR20030052512A (ko) * 2001-12-21 2003-06-27 한국전자통신연구원 공격에 대한 연관성 분석방법 및 이를 위한 기록매체
KR20050068052A (ko) * 2003-12-29 2005-07-05 한국정보보호진흥원 자동침입대응시스템에서의 위험수준 분석 방법
JP2006000605A (ja) * 2004-06-17 2006-01-05 Tetsuo Higashikura 花器

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
논문(2006.06.05)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190135836A (ko) * 2018-05-29 2019-12-09 국방과학연구소 공격 주체 분류 장치 및 방법
KR102075715B1 (ko) 2018-05-29 2020-02-10 국방과학연구소 공격 주체 분류 장치 및 방법
KR102287394B1 (ko) * 2020-12-21 2021-08-06 한국인터넷진흥원 익스플로잇 공격 유형 분류 방법 및 그 장치

Also Published As

Publication number Publication date
US20080083034A1 (en) 2008-04-03

Similar Documents

Publication Publication Date Title
KR100798923B1 (ko) 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를수행하는 프로그램을 기록한 기록 매체
CN109583193B (zh) 目标攻击的云检测、调查以及消除的***和方法
US8997236B2 (en) System, method and computer readable medium for evaluating a security characteristic
EP2008188B1 (en) Software vulnerability exploitation shield
EP3127301B1 (en) Using trust profiles for network breach detection
JP5809084B2 (ja) ネットワーク・セキュリティ・システムおよび方法
US8789171B2 (en) Mining user behavior data for IP address space intelligence
JP5396051B2 (ja) 承認済みファイルと信頼されたドメインのデータベースを作成及び更新する方法及びシステム
US20060259967A1 (en) Proactively protecting computers in a networking environment from malware
JP6001781B2 (ja) 不正アクセス検知システム及び不正アクセス検知方法
RU2634181C1 (ru) Система и способ обнаружения вредоносных компьютерных систем
RU2750628C2 (ru) Система и способ определения уровня доверия файла
Davanian et al. MalNet: A binary-centric network-level profiling of IoT malware
Collins et al. A Model for Opportunistic Network Exploits: The Case of P2P Worms.
Lukatsky et al. Protect your information with intrusion detection
Kumar et al. A review on 0-day vulnerability testing in web application
Reti et al. Deep down the rabbit hole: On references in networks of decoy elements
RU2813239C1 (ru) Способ фильтрации событий для передачи на удаленное устройство
EP4395259A1 (en) System and method for filtering events for transmission to remote devices
Howard et al. Using a “common language” for computer security incident information
US20240214399A1 (en) System and method for filtering events for transmission to remote devices
US8806211B2 (en) Method and systems for computer security
Pham Foundations of Adaptive Cyber Defense against Advanced Persistent Threats
畑田充弘 Toward Efficient Incident Handling Triage: Automated Threats Classification and Data-centric Talent Development
Lee et al. Triaging Android Systems Using Bayesian Attack Graphs

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121206

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20131209

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20141229

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20160122

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20170613

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20180222

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20190122

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20200122

Year of fee payment: 13