KR101388090B1 - 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법 - Google Patents

이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법 Download PDF

Info

Publication number
KR101388090B1
KR101388090B1 KR20130122343A KR20130122343A KR101388090B1 KR 101388090 B1 KR101388090 B1 KR 101388090B1 KR 20130122343 A KR20130122343 A KR 20130122343A KR 20130122343 A KR20130122343 A KR 20130122343A KR 101388090 B1 KR101388090 B1 KR 101388090B1
Authority
KR
South Korea
Prior art keywords
event
user terminal
web
model
access
Prior art date
Application number
KR20130122343A
Other languages
English (en)
Inventor
이석우
심상규
김덕수
Original Assignee
펜타시큐리티시스템 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 펜타시큐리티시스템 주식회사 filed Critical 펜타시큐리티시스템 주식회사
Priority to KR20130122343A priority Critical patent/KR101388090B1/ko
Application granted granted Critical
Publication of KR101388090B1 publication Critical patent/KR101388090B1/ko
Priority to JP2014211238A priority patent/JP5970041B2/ja
Priority to EP14188953.5A priority patent/EP2863611B1/en
Priority to US14/514,516 priority patent/US9817969B2/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

사이버 공격 탐지 장치 및 방법이 개시된다. 사이버 공격 탐지 장치는 웹 서버에 접속하여 웹 페이지에서 제공하는 웹 서비스를 이용하는 사용자의 동작에 따라 적어도 하나의 사용자 단말에서 발생되는 이벤트를 수신하는 이벤트 수신부, 수신한 이벤트를 기반으로 사용자의 동작에 상응하는 이벤트 패턴을 추출하여 이벤트 모델을 생성하는 모델 생성부 및 이벤트 모델을 특정 사용자 단말로부터 수신한 이벤트와 비교하여 특정 사용자 단말의 웹 서버에 대한 접근이 공격인지를 탐지하는 공격 탐지부를 포함한다. 따라서, 다양한 형태의 사이버 공격을 신속하고 정확하게 탐지함으로써 가용성 및 신뢰성 높은 보안 서비스를 제공할 수 있다.

Description

이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법{APPARATUS FOR DETECTING CYBER ATTACK BASED ON ANALYSIS OF EVENT AND METHOD THEREOF}
본 발명은 사이버 보안 기술에 관한 것으로, 더욱 상세하게는, 웹 서비스를 이용하는 사용자의 동작에 따라 사용자 단말에서 발생하는 이벤트를 분석하여 사이버 공격을 탐지하는 장치 및 방법에 관한 것이다.
네트워크 기술이 발달함에 따라 사용자는 다양한 정보 통신 기기를 이용하여 예약, 은행 업무, 물건 주문 및 대금 결재와 같은 다양한 서비스를 인터넷 상에서 자유롭게 이용할 수 있게 되었다. 그러나, 현대 사회에서의 인터넷에 대한 영향력이 증가함에 따라 사이버 공격으로 인한 피해가 확산되고 있는 추세이다.
최근 농협의 전산 시스템을 공격하여 전산 장애를 발생시킨 사이버 공격은 APT(Advanced Persistent Threat) 공격으로써 공격 대상의 호기심을 자극하는 사회 공학적 기법을 이용하여 공격 대상의 시스템에 악성 코드를 감염시키고 서서히 접속 권한을 상승시켜 보안 사고를 유발하는 신종 사이버 공격 방법이다.
APT 공격은 주로 정부나 기업의 주요 정보 시설을 겨냥하여 산업 기밀, 군사 기밀 및 고객 정보와 같이 보안이 유지되어야 할 정보를 탈취하는 것을 목적으로 하고 있다.
이와 같이, 최근 들어 발생하고 있는 사이버 공격은 조직적인 해커 그룹이 특정 표적을 치밀하고 계획적으로 해킹하여 기업의 정보를 탈취하고 제어 시스템을 공격하여 국가 안보를 위협하는 수준에까지 이르고 있다.
이와 같이 점점 지능화되는 사이버 공격에 대처하고자 정부나 기업에서는 해커로부터의 사이버 공격을 탐지하고 공격으로 탐지된 접근을 차단하는 공격 탐지 기술 및 침입 탐지 기술을 시스템에 적용하여 보안을 강화하고자 한다.
예를 들어, 방화벽(firewall)은 네트워크 사이에 위치하여 허가되지 않은 침입에 대해 접속을 차단하는 보안 기술로써 네트워크를 물리적으로 분리시킨다는 장점을 가지고 있으나 사이버 공격을 탐지하기 위해 네트워크 트래픽의 흐름을 막기 때문에 트래픽의 속도를 지연시킬 수 있으며 접근이 허용된 IP(Internet Protocol)를 이용하는 해커로부터의 공격을 탐지하지 못한다는 점에서 한계가 있다.
또한, 시스템에 대한 취약성 정보와 네트워크 트래픽 분석 정보를 기반으로 사이버 위협을 사전에 감지하는 보안 기술은 예측 가능한 사이버 공격에 대해서는 보안 정책 설정을 통하여 대처할 수 있으나 예측하지 못한 공격에 대해서는 무방비로 노출될 수 있다는 문제가 있다.
특히, 악성 코드에 감염된 다수의 시스템, 즉 좀비 PC에 의해 이루어지는 사이버 공격을 사전에 인지하기 어렵다는 점에서 접근이 허용된 사용자에 의한 정상적인 이벤트인 것처럼 위장하는 비정상 접근에 대한 공격을 탐지할 수 있는 기술이 요구되고 있는 실정이다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 사용자 단말에서 발생되는 이벤트를 실시간으로 모니터링하여 분석함으로써 다양한 형태의 사이버 공격을 신속하고 정확하게 탐지할 수 있는 사이버 공격 탐지 장치를 제공하는데 있다.
또한, 본 발명의 다른 목적은, 사이버 공격을 탐지하는 과정에서 발생할 수 있는 시스템의 부하 및 시간을 최소화함으로써 사용자에게 제공되는 웹 서비스의 속도에 영향을 미치지 않고도 가용성 및 신뢰성 높은 보안 서비스를 제공할 수 있는 사이버 공격 탐지 방법을 제공하는데 있다.
상기 목적을 달성하기 위한 본 발명의 일 측면에 따른 사이버 공격 탐지 장치는, 웹 페이지를 관리하는 웹 서버와 웹 페이지를 이용하는 적어도 하나의 사용자에 의해 운용되는 적어도 하나의 사용자 단말이 네트워크로 연결된 정보 통신 시스템에 구현되며, 웹 서버에 접속하여 웹 페이지에서 제공하는 웹 서비스를 이용하는 적어도 하나의 사용자의 동작에 따라 적어도 하나의 사용자 단말에서 발생되는 이벤트를 수신하는 이벤트 수신부, 수신한 이벤트를 기반으로 웹 서비스를 이용하는 적어도 하나의 사용자의 동작에 상응하는 이벤트 패턴을 추출하여 이벤트 모델을 생성하는 모델 생성부 및 생성된 이벤트 모델과 특정 사용자 단말로부터 수신한 이벤트를 비교하여 특정 사용자 단말의 웹 서버에 대한 접근이 공격인지를 탐지하는 공격 탐지부를 포함한다.
여기서, 모델 생성부는 웹 서비스를 이용하는 적어도 하나의 사용자의 요청에 의해 발생되는 웹 페이지 간의 이동 경로에 따라 이벤트 수신부에서 수신한 이벤트의 순서를 조합하여 적어도 하나의 이벤트 패턴을 추출하는 패턴 추출 모듈을 포함할 수 있다.
여기서, 모델 생성부는 적어도 하나의 이벤트 패턴을 수집하고 수집한 이벤트 패턴을 기반으로 웹 서비스를 이용하는 적어도 하나의 사용자의 동작에 상응하는 이벤트의 흐름을 통계적으로 분석함으로써 이벤트 모델을 생성하는 모델 생성 모듈을 포함할 수 있다.
여기서, 이벤트 모델은 미리 설정된 접근 빈도 임계치보다 높은 빈도로 발생되는 이벤트 패턴을 포함하여 생성될 수 있다.
여기서, 접근 빈도 임계치는 통계적으로 분석된 이벤트 모델에서 상대적으로 낮은 빈도로 발생되는 이벤트 흐름의 빈도 수를 기준으로 미리 설정될 수 있다.
여기서, 공격 탐지부는 이벤트 모델과 특정 사용자 단말로부터 수신한 이벤트의 흐름을 비교하여 특정 사용자 단말로부터 수신한 이벤트 흐름이 이벤트 모델의 범위를 벗어나는 경우에 대하여 특정 사용자 단말의 웹 서버에 대한 접근을 공격으로 탐지할 수 있다.
여기서, 특정 사용자 단말의 웹 서버에 대한 접근이 공격으로 탐지됨에 따라 특정 사용자 단말의 웹 서버에 대한 접근을 차단하는 접근 제어부를 더 포함할 수 있다.
여기서, 웹 페이지는 웹 페이지를 식별하는 페이지 식별 주소를 기반으로 적어도 하나의 사용자 단말에서 발생되는 이벤트에 상응하는 웹 페이지가 제공되도록 이동 경로를 나타냄으로써 추상화될 수 있다.
또한, 상기 다른 목적을 달성하기 위한 본 발명의 일 측면에 따른 사이버 공격 탐지 방법은, 웹 페이지를 관리하는 웹 서버와 웹 페이지를 이용하는 적어도 하나의 사용자에 의해 운용되는 적어도 하나의 사용자 단말이 네트워크로 연결된 정보 통신 시스템의 사이버 공격 탐지 장치에 의해 수행되며, 웹 서버에 접속하여 웹 페이지에서 제공하는 웹 서비스를 이용하는 적어도 하나의 사용자의 동작에 따라 적어도 하나의 사용자 단말에서 발생되는 이벤트를 수신하는 단계, 수신한 이벤트를 기반으로 웹 서비스를 이용하는 적어도 하나의 사용자의 동작에 상응하는 이벤트 패턴을 추출하여 이벤트 모델을 생성하는 단계 및 생성된 이벤트 모델과 특정 사용자 단말로부터 수신한 이벤트를 비교하여 특정 사용자 단말의 웹 서버에 대한 접근이 공격인지를 탐지하는 단계를 포함한다.
여기서, 특정 사용자 단말을 이용한 웹 서버의 접근이 공격으로 탐지됨에 따라 특정 사용자 단말의 웹 서버에 대한 접근을 차단하는 단계를 더 포함할 수 있다.
상술한 바와 같은 본 발명의 실시예에 따른 사이버 공격 탐지 장치 및 방법에 따르면, 사용자 단말에서 발생되는 이벤트를 실시간으로 모니터링하여 분석함으로써 다양한 형태의 사이버 공격을 신속하고 정확하게 탐지할 수 있다.
또한, 사이버 공격을 탐지하는 과정에서 발생할 수 있는 시스템의 부하 및 시간을 최소화함으로써 사용자에게 제공되는 웹 서비스의 속도에 영향을 미치지 않고도 가용성 및 신뢰성 높은 보안 서비스를 제공할 수 있다.
도 1은 본 발명의 일 실시예에 따른 사이버 공격 탐지 장치 및 방법의 동작 환경을 나타내는 예시도이다.
도 2는 본 발명의 일 실시예에 따른 사이버 공격 탐지 장치를 나타내는 블록도이다.
도 3은 본 발명의 일 실시예에 따른 웹 페이지의 구조를 나타내는 예시도이다.
도 4는 본 발명의 일 실시예에 따른 사용자의 동작에 상응하는 이벤트의 흐름을 나타내는 예시도이다.
도 5는 본 발명의 일 실시예에 따른 사이버 공격 탐지 방법을 설명하는 흐름도이다.
도 6은 본 발명의 일 실시예에 따른 이벤트 모델을 생성하는 것을 설명하는 흐름도이다.
도 7은 본 발명의 일 실시예에 따른 사용자 단말의 웹 서버에 대한 접근이 공격인지를 탐지하는 방법을 설명하는 흐름도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 사이버 공격 탐지 장치 및 방법의 동작 환경을 나타내는 예시도이다.
도 1을 참조하면, 사이버 공격 탐지 장치 및 방법은 웹 페이지를 관리하는 웹 서버(200)와 웹 페이지를 이용하는 적어도 하나의 사용자에 의해 운용되는 적어도 하나의 사용자 단말(300)에 네트워크로 연결된 정보 통신 시스템에서 수행될 수 있다.
구체적으로, 사이버 공격 탐지 장치 및 방법은 웹 서버(200)와 적어도 하나의 사용자 단말(300) 사이에 위치하여 정상적인 접근으로 위장한 사용자 단말(300)에서의 사이버 공격을 탐지하고 공격으로 탐지된 사용자 단말(300)에 의한 웹 서버(200)로의 접근을 제어할 수 있다.
이 때, 사이버 공격 탐지 장치 및 방법은 웹 서버(200)와 적어도 하나의 사용자 단말(300)로 구성된 서버-클라이언트 시스템뿐만 아니라, 복수의 사용자 단말(300)이 유무선 네트워크로 연결된 P2P(Peer-to-Peer network) 시스템의 사용자 단말(300) 사이에도 구현될 수 있으나 이에 한정되지 않고 장치 간 정보 통신이 필요한 모든 통신 시스템에 확대 적용할 수 있다.
여기서, 웹 서버(200)는 인터넷 상의 텍스트, 이미지, 동영상과 같은 멀티미디어 정보로 구성된 웹 페이지를 저장하고 있으며 복수의 웹 페이지는 하이퍼링크(hyperlink)로 연결되어 웹 사이트를 구성할 수 있다.
그리하여, 웹 사이트를 이용하는 사용자에 의해 운용되는 사용자 단말(300)로부터 웹 서비스를 제공받기 위한 HTTP 요청(HyperText Transfer Protocol request)이 웹 서버(200)에 수신되면, 웹 서버(200)는 HTTP 요청에 상응하는 웹 서비스를 사용자 단말(300)에 제공할 수 있다.
사용자 단말(300)은 웹 서버(200)에서 제공하는 웹 사이트 및 웹 페이지를 출력할 수 있는 출력 장치 및 웹 서비스를 요청할 수 있는 입력 장치를 구비하며 웹 서버(200) 또는 다른 사용자 단말(300)과 유무선 네트워크로 연결되어 정보를 교환할 수 있는 서버, 컴퓨터, 노트북, 스마트폰, 태블릿 PC 및 PDA와 같은 정보 처리 장치를 의미할 수 있으나 이에 한정되는 것은 아니다.
여기서, 사이버 공격 탐지 장치 및 방법은 웹 서버(200) 및 적어도 하나의 사용자 단말(300)과 USB(Universal Serial Bus), 블루투스(bluetooth), 와이파이(Wireless Fidelity), 3G(3Generation), LTE(Long Term Evolution)와 같은 유무선 네트워크로 연결될 수 있다.
도 2는 본 발명의 일 실시예에 따른 사이버 공격 탐지 장치를 나타내는 블록도이다.
도 2를 참조하면, 사이버 공격 탐지 장치(100)는 이벤트 수신부(110), 모델 생성부(120) 및 공격 탐지부(130)를 포함하여 구현될 수 있다. 또한, 접근 제어부(140)를 더 포함할 수 있다.
여기서, 사이버 공격 탐지 장치(100)는 사용자 단말(300)로부터의 이벤트를 수신할 수 있는 통신 장치와, 이벤트가 사이버 공격임을 판단할 수 있도록 정보 처리 장치를 구비하는 서버 및 컴퓨터, 노트북, 스마트폰, 태블릿 PC 및 PDA와 같은 정보 처리 장치에 의해 구현될 수 있다.
이벤트 수신부(110)는 웹 서버(200)에 접속하여 웹 페이지에서 제공하는 웹 서비스를 이용하는 적어도 하나의 사용자의 동작에 따라 적어도 하나의 사용자 단말(300)에서 발생되는 이벤트를 수신할 수 있다.
여기서, 이벤트(event)란 웹 페이지에서 제공하는 웹 서비스를 이용하기 위해 사용자가 사용자 단말(300)의 입력 장치를 통해 발생시키는 일련의 프로그램 동작 명령을 의미할 수 있다.
예를 들어, 웹 서버(200)에서 제공하는 웹 페이지를 이용 중인 사용자가 하이퍼링크(hyperlink)로 표현된 텍스트를 사용자 단말(300)의 마우스를 이용하여 클릭(click)하는 이벤트를 발생시키면, 사용자 단말(300)에서는 관련된 웹 페이지로 이동을 요청하는 HTTP request 이벤트를 생성하여 웹 서버(200)로 전송하고, HTTP request 이벤트를 수신한 웹 서버(200)는 관련된 웹 페이지로 이동을 수행할 수 있다.
이 때, 이벤트 수신부(110)에서 사용자 단말(300)에서 발생되는 이벤트를 수신하는 이유는 최근 들어 발생하고 있는 사이버 범죄가 악성 코드에 감염된 좀비 PC에 의해 DDoS(Distributed Denial of Service) 공격, 스팸 전송, APT(Advanced Persistent Threat) 공격의 형태로 지능화되었기 때문이다.
그리하여, 사용자 단말(300)에서 웹 서버(200)로 유입되는 모든 이벤트를 수신하여 좀비 PC가 접근 권한을 가지고 있는 사용자로부터의 정상적인 접근인 척 위장하여 웹 서버(200)를 공격하는 것을 감시할 수 있다.
모델 생성부(120)는 이벤트 수신부(110)로부터 수신한 이벤트를 기반으로 웹 서비스를 이용하는 적어도 하나의 사용자의 동작에 상응하는 이벤트 패턴을 추출하여 이벤트 모델을 생성할 수 있다.
여기서, 모델 생성부(120)는 패턴 추출 모듈(121) 및 모델 생성 모듈(123)을 포함할 수 있다.
패턴 추출 모듈(121)은 웹 서비스를 이용하는 적어도 하나의 사용자의 요청에 의해 발생되는 웹 페이지 간의 이동 경로에 따라 이벤트 수신부(110)에서 수신한 이벤트의 순서를 조합하여 적어도 하나의 이벤트 패턴을 추출할 수 있다.
예를 들어, 전자 우편 서비스를 제공하는 웹 페이지에서 사용자 단말(300)은 로그인(login)을 위해 ID와 비밀번호를 입력하는 이벤트를 발생시킬 수 있다. 로그인 후 웹 서버(200)로부터 제공받은 초기 페이지에서 사용자의 요청에 따라 편지 쓰기 페이지로 이동하기 위한 이벤트가 발생되고, 편지 쓰기 페이지에서 보낼 메시지의 입력과 관련된 이벤트가 발생된 후 편지 쓰기 페이지 상의 전송과 관련된 이벤트가 발생할 수 있다.
그리하여, 전자 우편 서비스를 이용하는 사용자의 동작에 의한 웹 페이지 간의 이동 경로에 상응하는 이벤트를 발생 순서에 맞게 조합하면 메일 전송과 관련된 이벤트 패턴을 추출할 수 있다.
이와 같이, 이벤트 패턴은 웹 페이지에서 제공하는 웹 서비스를 이용하는 사용자의 동작에 상응하는 이벤트에 의해 추출될 수 있으므로 사용자에 따른 웹 서비스 이용 패턴에 따라 다양한 형태로 추출될 수 있다.
모델 생성 모듈(123)은 패턴 추출 모듈(121)에서 추출된 적어도 하나의 이벤트 패턴을 수집하고 수집한 이벤트 패턴을 기반으로 웹 서비스를 이용하는 적어도 하나의 사용자의 동작에 상응하는 이벤트의 흐름을 통계적으로 분석함으로써 이벤트 모델을 생성할 수 있다.
여기서, 이벤트 모델은 유사한 이벤트 패턴을 모으는 군집화(Clustering) 방법 또는 이벤트 패턴에 대한 수치적 통계를 기반으로한 밀도 추정(density estimation) 방법을 통해 생성할 수 있다.
특히, 이벤트 모델은 미리 설정된 접근 빈도 임계치보다 높은 빈도로 발생되는 이벤트 패턴을 포함할 수 있으며 여기서, 접근 빈도 임계치란 통계적으로 분석된 이벤트 모델에서 상대적으로 낮은 빈도로 발생되는 이벤트 흐름의 빈도 수를 기준으로 미리 설정될 수 있다.
공격 탐지부(130)는 모델 생성 모듈(123)에 의해 생성된 이벤트 모델과 이벤트 수신부(110)에 의해 수신한 특정 사용자 단말(300)로부터의 이벤트를 비교하여 특정 사용자 단말(300)의 웹 서버(200)에 대한 접근이 공격인지를 탐지할 수 있다.
구체적으로, 공격 탐지부(130)는 이벤트 모델과 특정 사용자 단말(300)로부터 수신한 이벤트의 흐름을 비교하여, 특정 사용자 단말(300)로부터 수신한 이벤트 흐름이 이벤트 모델의 범위를 벗어나는 경우에 대하여 특정 사용자 단말(300)의 웹 서버(200)에 대한 접근을 공격으로 탐지할 수 있다.
예를 들어, 특정 사용자 단말(300)에 의한 이벤트의 흐름이 이벤트 모델에 포함되어 있는 경우, 특정 사용자 단말(300)의 웹 서버(200)에 대한 접근을 정상적인 접근으로 탐지할 수 있다.
반면, 특정 사용자 단말(300)에 의한 이벤트의 흐름이 이벤트 모델에 포함되어 있지 않거나 범위를 벗어나는 경우, 특정 사용자 단말(300)의 웹 서버(200)에 대한 접근을 공격으로 탐지할 수 있다.
접근 제어부(140)는 공격 탐지부(130)에 의해 특정 사용자 단말(300)의 웹 서버(200)에 대한 접근이 정상적인 접근인지 공격인지 탐지한 후, 보안 정책에 기반하여 특정 사용자 단말(300)의 웹 서버(200)에 대한 접근을 제어할 수 있다.
그리하여, 특정 사용자 단말(300)의 웹 서버(200)에 대한 접근이 정상적인 접근으로 판별되는 경우에 특정 사용자 단말(300)의 웹 서버(200)에 대한 접근을 허용할 수 있다.
반면, 특정 사용자 단말(300)의 웹 서버(200)에 대한 접근이 공격으로 탐지되는 경우에는 특정 사용자 단말(300)의 웹 서버(200)에 대한 접근을 차단할 수 있다.
도 3은 본 발명의 일 실시예에 따른 웹 페이지의 구조를 나타내는 예시도이고, 도 4는 본 발명의 일 실시예에 따른 사용자의 동작에 상응하는 이벤트의 흐름을 나타내는 예시도이다.
도 3 및 도 4를 참조하면, 웹 페이지는 텍스트, 이미지, 소리, 영상뿐만 아니라 인터넷 상의 복수의 다른 웹 페이지와 연결될 수 있다.
특히, 웹 페이지는 웹 페이지를 식별하는 페이지 식별 주소를 기반으로 사용자 단말에서 발생되는 이벤트에 상응하는 웹 페이지가 사용자에게 제공되도록 이동 경로를 나타냄으로써 추상화될 수 있다.
보다 구체적으로, 웹 페이지는 웹 페이지를 식별할 수 있는 하나의 URL(Uniform Resource Locator)과 대응될 수 있다. 이 때, 웹 페이지는 인터넷 상의 복수의 웹 페이지와 연결될 수 있으므로 웹 페이지의 URL을 기반으로 웹 페이지와 연결된 복수의 웹 페이지에 대한 URL을 동적으로 할당할 수 있다.
즉, 웹 페이지의 URL의 뒤에 복수의 웹 페이지에서 제공하는 웹 서비스에 대한 키워드(keyword) 또는 이벤트와 같은 URL 변수(URL parameter)를 추가 구성하여 웹 페이지와 연결된 복수의 웹 페이지 각각에 대응시킬 수 있다.
이와 같이, 동적 URL(dynamic URL) 방식을 이용하여 추상화된 웹 페이지를 통해 웹 페이지와 연결된 복수의 웹 페이지 중에서 사용자 단말에서 발생되는 이벤트에 상응하는 웹 페이지가 사용자에게 제공될 수 있다.
예를 들어, 도 3에 도시된 바와 같이 Folder 1은 Page A, Page B와 Page C로 구성된 Folder 2, Page D, Page E 및 Folder 4로 구성된 Folder 3, Page H, Page I 및 Folder 6으로 구성된 Folder 5와 연결되어 구성될 수 있다. 이 때, Folder 4는 Page F와 Page G로 구성될 수 있고, Folder 6은 Page J로 구성될 수 있다.
여기서, Page A 내지 Page J는 텍스트, 이미지, 소리, 영상과 같은 멀티미디어 정보뿐만 아니라 인터넷 상의 복수의 웹 페이지가 포함되어 있는 웹 페이지를 의미할 수 있고, Folder 1 내지 Folder 6은 Page A 내지 Page J와 같은 복수의 웹 페이지를 포함하는 웹 사이트를 의미할 수 있으나 이에 한정되는 것은 아니다. 또한, Page A 내지 Page J 및 Folder 2 내지 Folder 6은 Folder 1이 저장된 웹 서버(200)와 상이한 서버에 저장될 수 있다.
Folder 1은 하이퍼링크(hyperlink)를 통해 Page A, Folder 2, Folder 3 및 Folder 5와 연결될 수 있다. 하이퍼링크란 웹 페이지 내의 내용 중 다른 웹 페이지와 연결되어 있는 텍스트 요소를 밑줄(underline)로 강조하거나 상이한 색으로 표시한 태그로써 사용자로부터 클릭 이벤트가 입력되면 관련 웹 페이지로 이동이 수행될 수 있다.
구체적으로 예를 들어, Folder 1을 전자 우편 서비스를 제공하는 웹 사이트라고 할 때, Folder 1과 연결된 Page A, Folder 2, Folder 3 및 Folder 5는 받은 전자 우편을 표시하는 기능, 전자 우편을 전송하는 기능, 전송된 전자 우편의 수신 여부를 확인하는 기능 및 삭제한 전자 우편을 표시하는 기능 중 적어도 하나의 기능을 수행할 수 있는 웹 페이지를 의미할 수 있으나 이에 한정되는 것은 아니다.
여기서, 사이버 공격 탐지 장치(100)는 Folder 1과 연결된 Page A, Folder 2, Folder 3 및 Folder 5 사이에 위치하여 사용자로부터의 발생하는 이벤트를 실시간으로 모니터링하고 이를 이용하여 사이버 공격을 탐지할 수 있다.
사이버 공격 탐지 장치(100)는 사용자의 동작에 의한 웹 페이지 간의 이동 경로에 상응하는 이벤트를 발생 순서에 맞게 조합하여 웹 서비스 이용 패턴에 따른 이벤트 패턴을 추출할 수 있다.
또한, 추출된 이벤트 패턴을 기반으로 웹 서비스를 이용하는 적어도 하나의 사용자의 동작에 상응하는 이벤트의 흐름을 통계적으로 분석함으로써 이벤트 모델을 생성할 수 있다.
구체적으로 도 4를 참조하면, 선이 굵은 화살표는 웹 페이지 간의 이동 가능한 연결을 나타내며 점선으로 표시된 화살표는 웹 페이지 간의 이동이 불가능한 연결을 나타낼 수 있다.
여기서, 웹 페이지를 이용하는 사용자는 웹 페이지 간의 이동을 요청하기 위하여 사용자 단말(300)을 이용하여 이벤트를 발생시키는데 이 때 발생되는 이벤트는 웹 페이지를 관리하는 웹 서버(200)에 웹 페이지의 이동을 요청하기 위한 HTTP request를 의미할 수 있으나 이에 한정되는 것은 아니다.
예를 들어, Page A를 이용하는 사용자에 의해 Page A에서 Page B로 접근한 후 Page C로 이동하는 이벤트가 발생하면 사용자의 동작에 의한 웹 페이지 간의 이동 경로에 상응하는 이벤트를 발생 순서에 맞게 조합함으로써 이벤트 패턴을 추출할 수 있다.
그리하여, 추출된 이벤트 패턴에 대한 통계적으로 분석하여 Page A에서 Page B를 통해 Page C로 이동하는 이벤트의 흐름이 미리 설정된 접근 빈도 임계치보다 높은 빈도로 발생되면 이를 이벤트 모델로써 생성할 수 있다.
그리하여, 사이버 공격 탐지 장치(100)에서 특정 사용자 단말(300)에 의해 Page A에서 Page B로 이동하거나 또는 Page B에서 Page C로 이동하는 이벤트가 발생하였을 경우, 발생한 이벤트 흐름이 이벤트 모델에 포함되므로, 정상적인 접근으로 판별하여 특정 사용자 단말(300)에 대한 웹 서버(200)로의 접근을 허용할 수 있다.
반면, 특정 사용자 단말(300)이 Page A에서 Page B를 통해 Page E로 이동하거나 Page A에서 Page B를 통해 Page C로 이동한 후 다시 Page D로 이동하는 이벤트를 발생시킨 경우, 이벤트 모델에 포함하지 않으므로 공격으로 탐지하여 특정 사용자 단말(300)에서 웹 서버(200)로의 접근을 차단할 수 있다.
도 5는 본 발명의 일 실시예에 따른 사이버 공격 탐지 방법을 설명하는 흐름도이고, 도 6은 본 발명의 일 실시예에 따른 이벤트 모델을 생성하는 것을 설명하는 흐름도이다.
또한, 도 7은 본 발명의 일 실시예에 따른 사용자 단말의 웹 서버에 대한 접근이 공격인지를 탐지하는 방법을 설명하는 흐름도이다.
도 5 내지 도 7을 참조하면, 사이버 공격 탐지 방법은 적어도 하나의 사용자 단말(300)에서 발생되는 이벤트를 수신하는 단계(S100), 수신한 이벤트를 기반으로 이벤트 모델을 생성하는 단계(S200) 및 특정 사용자 단말(300)의 웹 서버(200)에 대한 접근이 공격인지 탐지하는 단계(S300)를 포함할 수 있다. 또한, 특정 사용자 단말(300)의 웹 서버(200)에 대한 접근이 공격인지 탐지한 후 특정 사용자 단말(300)의 웹 서버(200)에 대한 접근을 제어하는 단계(S400)를 더 포함할 수 있다.
여기서, 사이버 공격 탐지 방법은 웹 페이지를 관리하는 웹 서버(200)와 웹 페이지를 이용하는 적어도 하나의 사용자에 의해 운용되는 적어도 하나의 사용자 단말(300)이 네트워크로 연결된 정보 통신 시스템의 사이버 공격 탐지 장치(100)에 의해 수행될 수 있다.
사이버 공격 탐지 장치(100)는 사용자 단말(300)로부터의 이벤트를 수신할 수 있는 통신 장치와, 이벤트가 사이버 공격임을 판단할 수 있도록 정보 처리 장치를 구비하는 서버 및 컴퓨터, 노트북, 스마트폰, 태블릿 PC 및 PDA와 같은 정보 처리 장치에 의해 구현될 수 있다.
웹 서버(200)에 접속하여 웹 페이지에서 제공하는 웹 서비스를 이용하는 적어도 하나의 사용자의 동작에 따라 적어도 하나의 사용자 단말(300)에서 발생되는 이벤트를 수신할 수 있다(S100).
여기서, 이벤트(event)란 웹 페이지에서 제공하는 웹 서비스를 이용하기 위해 사용자가 사용자 단말(300)의 입력 장치를 통해 발생시키는 일련의 프로그램 동작 명령을 의미할 수 있다.
이 때, 사용자 단말(300)에서 발생되는 이벤트를 수신하는 이유는 최근 들어 발생하고 있는 사이버 범죄가 악성 코드에 감염된 좀비 PC에 의해 DDoS(Distributed Denial of Service) 공격, 스팸 전송, APT(Advanced Persistent Threat) 공격의 형태로 지능화되어 이에 대처하기 위해서이다.
즉, 사용자 단말(300)에서 웹 서버(200)로 유입되는 모든 이벤트를 수신함으로써 좀비 PC가 접근 권한을 가지고 있는 사용자로부터의 정상적인 접근인 척 위장하여 웹 서버(200)를 공격하는지를 감시할 수 있다.
수신한 이벤트를 기반으로 웹 서비스를 이용하는 적어도 하나의 사용자의 동작에 상응하는 이벤트 패턴을 추출하여 이벤트 모델을 생성할 수 있다(S200).
보다 구체적으로 도 6에 도시된 바와 같이 이벤트 모델을 생성하기 위해서는 웹 서비스를 이용하는 적어도 하나의 사용자의 요청에 의해 발생되는 웹 페이지 간의 이동 경로에 따라 수신한 이벤트의 순서를 조합하여 적어도 하나의 이벤트 패턴을 추출할 수 있다(S210). 여기서, 이벤트 패턴은 사용자에 따른 웹 서비스 이용 패턴에 따라 다양한 형태로 추출될 수 있다.
그리하여, 추출된 이벤트 패턴을 수집하고 수집된 이벤트 패턴을 기반으로 웹 서비스를 이용하는 적어도 하나의 사용자의 동작에 상응하는 이벤트의 흐름을 통계적으로 분석할 수 있다(S220).
이 때, 이벤트 패턴이 미리 설정된 접근 빈도 임계치보다 높은 빈도로 발생되는지를 분석하여(S230) 접근 빈도 임계치보다 높은 빈도로 발생되는 경우 상기 추출된 이벤트 패턴을 포함하여 이벤트 모델을 생성할 수 있다(S240).
반면, 접근 빈도 임계치보다 낮은 빈도로 발생되는 경우에는 이벤트 모델을 생성함에 있어 상기 추출된 이벤트 패턴을 제외할 수 있다(S250).
여기서, 접근 빈도 임계치란 일정 기간 동안 사용자들의 이벤트들을 통계적으로 분석하여 생성된 이벤트 모델에서 상대적으로 낮은 빈도로 발생되는 이벤트 흐름의 빈도 수를 기준으로 미리 설정될 수 있다.
생성된 이벤트 모델과 특정 사용자 단말(300)로부터 수신한 이벤트를 비교하여 특정 사용자 단말(300)의 웹 서버(200)에 대한 접근이 공격인지를 탐지할 수 있다(S300).
도 7에 도시된 바와 같이 사용자 단말의 웹 서버(200)에 대한 접근이 공격인지를 탐지하기 위하여 특정 사용자 단말로부터 이벤트의 흐름을 수신하고(S310) 생성된 이벤트 모델과 특정 사용자 단말로부터 수신한 이벤트의 흐름을 비교할 수 있다(S320).
그리하여, 특정 사용자 단말(300)에 의한 이벤트의 흐름이 이벤트 모델에 포함되어 있는지를 확인하여(S330) 특정 사용자 단말(300)에 의한 이벤트의 흐름이 이벤트 모델에 포함되어 있는 경우, 특정 사용자 단말(300)의 웹 서버(200)에 대한 접근을 정상적인 접근으로 탐지할 수 있다(S340).
반면, 특정 사용자 단말(300)에 의한 이벤트의 흐름이 이벤트 모델에 포함되어 있지 않거나 범위를 벗어나는 경우, 특정 사용자 단말(300)의 웹 서버(200)에 대한 접근을 공격으로 탐지할 수 있다(S350).
이와 같이, 특정 사용자 단말(300)의 웹 서버(200)에 대한 접근이 정상적인 접근인지 공격인지 탐지한 후(S300), 보안 정책에 기반하여 특정 사용자 단말(300)의 웹 서버(200)에 대한 접근을 제어할 수 있다(S400).
즉, 특정 사용자 단말(300)의 웹 서버(200)에 대한 접근이 정상적인 접근으로 판별되는 경우에 특정 사용자 단말(300)의 웹 서버(200)에 대한 접근을 허용할 수 있다.
반면, 특정 사용자 단말(300)의 웹 서버(200)에 대한 접근이 공격으로 탐지되는 경우에는 특정 사용자 단말(300)의 웹 서버(200)에 대한 접근을 차단할 수 있다.
상술한 바와 같은 본 발명의 실시예에 따른 사이버 공격 탐지 장치 및 방법에 따르면, 사용자 단말에서 발생되는 이벤트를 실시간으로 모니터링하여 분석함으로써 다양한 형태의 사이버 공격을 신속하고 정확하게 탐지할 수 있다.
또한, 사이버 공격을 탐지하는 과정에서 발생할 수 있는 시스템의 부하 및 시간을 최소화함으로써 사용자에게 제공되는 웹 서비스의 속도에 영향을 미치지 않고도 가용성 및 신뢰성 높은 보안 서비스를 제공할 수 있다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100: 사이버 공격 탐지 장치 110: 이벤트 수신부
120: 모델 생성부 121: 패턴 추출 모듈
123: 모델 생성 모듈 130: 공격 탐지부
140: 접근 제어부 200: 웹 서버
300: 사용자 단말

Claims (16)

  1. 웹 페이지를 관리하는 웹 서버와 상기 웹 페이지를 이용하는 적어도 하나의 사용자에 의해 운용되는 적어도 하나의 사용자 단말이 네트워크로 연결된 정보 통신 시스템에 있어서,
    상기 웹 서버에 접속하여 상기 웹 페이지에서 제공하는 웹 서비스를 이용하는 적어도 하나의 사용자의 동작에 따라 상기 적어도 하나의 사용자 단말에서 발생되는 이벤트를 수신하는 이벤트 수신부;
    상기 수신한 이벤트를 기반으로 상기 웹 서비스를 이용하는 적어도 하나의 사용자의 동작에 상응하는 이벤트 패턴(pattern)을 추출하여 이벤트 모델을 생성하는 모델 생성부; 및
    상기 생성된 이벤트 모델과 특정 사용자 단말로부터 수신한 이벤트를 비교하여 상기 특정 사용자 단말의 상기 웹 서버에 대한 접근이 공격인지를 탐지하는 공격 탐지부를 포함하는 사이버 공격 탐지 장치.
  2. 청구항 1에 있어서,
    상기 모델 생성부는,
    상기 웹 서비스를 이용하는 적어도 하나의 사용자의 요청에 의해 발생되는 상기 웹 페이지 간의 이동 경로에 따라 상기 이벤트 수신부에서 수신한 이벤트의 순서를 조합하여 적어도 하나의 이벤트 패턴을 추출하는 패턴 추출 모듈을 포함하는 것을 특징으로 하는 사이버 공격 탐지 장치.
  3. 청구항 2에 있어서,
    상기 모델 생성부는,
    상기 적어도 하나의 이벤트 패턴을 수집하고 상기 수집한 이벤트 패턴을 기반으로 상기 웹 서비스를 이용하는 적어도 하나의 사용자의 동작에 상응하는 이벤트의 흐름을 통계적으로 분석함으로써 이벤트 모델을 생성하는 모델 생성 모듈을 포함하는 것을 특징으로 하는 사이버 공격 탐지 장치.
  4. 청구항 3에 있어서,
    상기 이벤트 모델은,
    미리 설정된 접근 빈도 임계치보다 높은 빈도로 발생되는 상기 이벤트 패턴을 포함하여 생성되는 것을 특징으로 하는 사이버 공격 탐지 장치.
  5. 청구항 4에 있어서,
    상기 접근 빈도 임계치는,
    상기 통계적으로 분석된 이벤트 모델에서 상대적으로 낮은 빈도로 발생되는 이벤트 흐름의 빈도 수를 기준으로 미리 설정되는 것을 특징으로 하는 사이버 공격 탐지 장치.
  6. 청구항 4에 있어서,
    상기 공격 탐지부는,
    상기 이벤트 모델과 상기 특정 사용자 단말로부터 수신한 이벤트의 흐름을 비교하여 상기 특정 사용자 단말로부터 수신한 이벤트 흐름이 상기 이벤트 모델의 범위를 벗어나는 경우에 대하여 상기 특정 사용자 단말의 상기 웹 서버에 대한 접근을 공격으로 탐지하는 것을 특징으로 하는 사이버 공격 탐지 장치.
  7. 청구항 6에 있어서,
    상기 특정 사용자 단말의 상기 웹 서버에 대한 접근이 공격으로 탐지됨에 따라 상기 특정 사용자 단말의 상기 웹 서버에 대한 접근을 차단하는 접근 제어부를 더 포함하는 것을 특징으로 하는 사이버 공격 탐지 장치.
  8. 청구항 1에 있어서,
    상기 웹 페이지는,
    상기 웹 페이지를 식별하는 페이지 식별 주소를 기반으로 상기 적어도 하나의 사용자 단말에서 발생되는 이벤트에 상응하는 웹 페이지가 제공되도록 이동 경로를 나타냄으로써 추상화되는 것을 특징으로 하는 사이버 공격 탐지 장치.
  9. 웹 페이지를 관리하는 웹 서버와 상기 웹 페이지를 이용하는 적어도 하나의 사용자에 의해 운용되는 적어도 하나의 사용자 단말이 네트워크로 연결된 정보 통신 시스템의 사이버 공격 탐지 장치에 의해 수행되는 방법에 있어서,
    상기 웹 서버에 접속하여 상기 웹 페이지에서 제공하는 웹 서비스를 이용하는 적어도 하나의 사용자의 동작에 따라 상기 적어도 하나의 사용자 단말에서 발생되는 이벤트를 수신하는 단계;
    상기 수신한 이벤트를 기반으로 상기 웹 서비스를 이용하는 적어도 하나의 사용자의 동작에 상응하는 이벤트 패턴(pattern)을 추출하여 이벤트 모델을 생성하는 단계; 및
    상기 생성된 이벤트 모델과 특정 사용자 단말로부터 수신한 이벤트를 비교하여 상기 특정 사용자 단말의 상기 웹 서버에 대한 접근이 공격인지를 탐지하는 단계를 포함하는 사이버 공격 탐지 방법.
  10. 청구항 9에 있어서,
    상기 이벤트 모델을 생성하는 단계는,
    상기 웹 서비스를 이용하는 적어도 하나의 사용자의 요청에 의해 발생되는 상기 웹 페이지 간의 이동 경로에 따라 상기 이벤트 수신부에서 수신한 이벤트의 순서를 조합하여 적어도 하나의 이벤트 패턴을 추출하는 것을 특징으로 하는 사이버 공격 탐지 방법.
  11. 청구항 10에 있어서,
    상기 이벤트 모델을 생성하는 단계는,
    상기 적어도 하나의 이벤트 패턴을 수집하고 상기 수집한 이벤트 패턴을 기반으로 상기 웹 서비스를 이용하는 적어도 하나의 사용자의 동작에 상응하는 이벤트의 흐름을 통계적으로 분석함으로써 이벤트 모델을 생성하는 것을 특징으로 하는 사이버 공격 탐지 방법.
  12. 청구항 11에 있어서,
    상기 이벤트 모델은,
    미리 설정된 접근 빈도 임계치보다 높은 빈도로 발생되는 상기 이벤트 패턴을 포함하여 생성되는 것을 특징으로 하는 사이버 공격 탐지 방법.
  13. 청구항 12에 있어서,
    상기 접근 빈도 임계치는,
    상기 통계적으로 분석된 이벤트 모델에서 상대적으로 낮은 빈도로 발생되는 이벤트 흐름의 빈도 수를 기준으로 미리 설정되는 것을 특징으로 하는 사이버 공격 탐지 방법.
  14. 청구항 12에 있어서,
    상기 공격인지를 탐지하는 단계는,
    상기 이벤트 모델과 상기 특정 사용자 단말로부터 수신한 이벤트의 흐름을 비교하여 상기 특정 사용자 단말로부터 수신한 이벤트 흐름이 상기 이벤트 모델의 범위를 벗어나는 경우에 대하여 상기 특정 사용자 단말의 상기 웹 서버에 대한 접근을 공격으로 탐지하는 것을 특징으로 하는 사이버 공격 탐지 방법.
  15. 청구항 14에 있어서,
    상기 특정 사용자 단말을 이용한 상기 웹 서버의 접근이 공격으로 탐지됨에 따라 상기 특정 사용자 단말의 상기 웹 서버에 대한 접근을 차단하는 단계를 더 포함하는 것을 특징으로 하는 사이버 공격 탐지 방법.
  16. 청구항 9에 있어서,
    상기 웹 페이지는,
    상기 웹 페이지를 식별하는 페이지 식별 주소를 기반으로 상기 적어도 하나의 사용자 단말에서 발생되는 이벤트에 상응하는 웹 페이지가 제공되도록 이동 경로를 나타냄으로써 추상화되는 것을 특징으로 하는 사이버 공격 탐지 방법.
KR20130122343A 2013-10-15 2013-10-15 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법 KR101388090B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR20130122343A KR101388090B1 (ko) 2013-10-15 2013-10-15 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법
JP2014211238A JP5970041B2 (ja) 2013-10-15 2014-10-15 イベント分析に基づくサイバー攻撃探知装置及び方法
EP14188953.5A EP2863611B1 (en) 2013-10-15 2014-10-15 Device for detecting cyber attack based on event analysis and method thereof
US14/514,516 US9817969B2 (en) 2013-10-15 2014-10-15 Device for detecting cyber attack based on event analysis and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20130122343A KR101388090B1 (ko) 2013-10-15 2013-10-15 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법

Publications (1)

Publication Number Publication Date
KR101388090B1 true KR101388090B1 (ko) 2014-04-22

Family

ID=50658418

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20130122343A KR101388090B1 (ko) 2013-10-15 2013-10-15 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법

Country Status (4)

Country Link
US (1) US9817969B2 (ko)
EP (1) EP2863611B1 (ko)
JP (1) JP5970041B2 (ko)
KR (1) KR101388090B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101796205B1 (ko) * 2017-04-17 2017-11-13 주식회사 넷앤드 보안 강화를 위해 입력된 명령어 학습 기반 이상 사용자를 탐지하는 서버 접근 통제 시스템
KR102331931B1 (ko) 2020-05-28 2021-11-26 국방과학연구소 사이버 공격에 따른 피해 평가 장치, 방법, 컴퓨터 판독 가능한 기록매체 및 컴퓨터 프로그램
KR20230051951A (ko) 2021-10-12 2023-04-19 한전케이디엔주식회사 사내용 모바일 보안 에이전트 사이버공격 대응 방법 및 장치

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9712549B2 (en) * 2015-01-08 2017-07-18 Imam Abdulrahman Bin Faisal University System, apparatus, and method for detecting home anomalies
US9680646B2 (en) * 2015-02-05 2017-06-13 Apple Inc. Relay service for communication between controllers and accessories
CN106257886B (zh) * 2015-06-17 2020-06-23 腾讯科技(深圳)有限公司 一种信息处理方法、装置、终端及服务器
US11848940B2 (en) * 2015-08-28 2023-12-19 The Boeing Company Cumulative trajectory of cyber reconnaissance indicators
JP6827266B2 (ja) * 2016-01-15 2021-02-10 富士通株式会社 検知プログラム、検知方法および検知装置
SG11201808358WA (en) * 2016-03-29 2018-10-30 Univ Singapore Technology & Design Method of detecting cyber attacks on a cyber physical system which includes at least one computing device coupled to at least one sensor and/or actuator for controlling a physical process
US10496460B2 (en) 2017-11-15 2019-12-03 Bank Of America Corporation System for technology anomaly detection, triage and response using solution data modeling
US10749791B2 (en) 2017-11-15 2020-08-18 Bank Of America Corporation System for rerouting electronic data transmissions based on generated solution data models
US10713224B2 (en) 2017-11-15 2020-07-14 Bank Of America Corporation Implementing a continuity plan generated using solution data modeling based on predicted future event simulation testing
US10977283B2 (en) 2018-05-08 2021-04-13 Bank Of America Corporation System for mitigating intentional and unintentional exposure using solution data modelling
US10970406B2 (en) 2018-05-08 2021-04-06 Bank Of America Corporation System for mitigating exposure associated with identified unmanaged devices in a network using solution data modelling
US11023835B2 (en) 2018-05-08 2021-06-01 Bank Of America Corporation System for decommissioning information technology assets using solution data modelling
US10936984B2 (en) 2018-05-08 2021-03-02 Bank Of America Corporation System for mitigating exposure associated with identified impacts of technological system changes based on solution data modelling
US10956566B2 (en) * 2018-10-12 2021-03-23 International Business Machines Corporation Multi-point causality tracking in cyber incident reasoning
US11301496B2 (en) * 2018-12-26 2022-04-12 Imperva, Inc. Using access logs for network entities type classification
US11675910B2 (en) 2020-01-22 2023-06-13 Forcepoint Llc Using an entity behavior catalog when performing security operations

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080029426A (ko) * 2006-09-29 2008-04-03 구본현 웹 보안 시스템 및 방법
KR20080044145A (ko) * 2006-11-15 2008-05-20 한국전자통신연구원 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7370357B2 (en) 2002-11-18 2008-05-06 Research Foundation Of The State University Of New York Specification-based anomaly detection
KR100851521B1 (ko) 2007-01-31 2008-08-11 성균관대학교산학협력단 취약점 분석을 위한 사이버 공격 시스템 및 그 공격 방법
US9712560B2 (en) * 2007-11-05 2017-07-18 Cabara Software Ltd. Web page and web browser protection against malicious injections
US8949990B1 (en) * 2007-12-21 2015-02-03 Trend Micro Inc. Script-based XSS vulnerability detection
US9123027B2 (en) 2010-10-19 2015-09-01 QinetiQ North America, Inc. Social engineering protection appliance
US8347103B2 (en) * 2009-01-13 2013-01-01 Nic, Inc. System and method for authenticating a user using a graphical password
US8356001B2 (en) * 2009-05-19 2013-01-15 Xybersecure, Inc. Systems and methods for application-level security
KR101219538B1 (ko) 2009-07-29 2013-01-08 한국전자통신연구원 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법
US8549641B2 (en) * 2009-09-03 2013-10-01 Palo Alto Research Center Incorporated Pattern-based application classification
US8205258B1 (en) * 2009-11-30 2012-06-19 Trend Micro Incorporated Methods and apparatus for detecting web threat infection chains
KR101156005B1 (ko) 2009-12-16 2012-06-18 한전케이디엔주식회사 네트워크 공격 탐지 및 분석 시스템 및 그 방법
CA2787933C (en) * 2010-01-26 2016-09-13 Silver Tail Systems, Inc. System and method for network security including detection of man-in-the-browser attacks
CN101924762B (zh) * 2010-08-18 2013-02-27 北京奇虎科技有限公司 一种基于云安全的主动防御方法
US8521667B2 (en) * 2010-12-15 2013-08-27 Microsoft Corporation Detection and categorization of malicious URLs
US8838992B1 (en) * 2011-04-28 2014-09-16 Trend Micro Incorporated Identification of normal scripts in computer systems
KR20130085570A (ko) 2011-12-22 2013-07-30 한국전자통신연구원 단말 중심 사이버 공격 방지 방법 및 그에 따른 단말 장치
US9215248B1 (en) * 2012-08-31 2015-12-15 Fastly Inc. User access rate limiting among content delivery nodes

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080029426A (ko) * 2006-09-29 2008-04-03 구본현 웹 보안 시스템 및 방법
KR20080044145A (ko) * 2006-11-15 2008-05-20 한국전자통신연구원 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101796205B1 (ko) * 2017-04-17 2017-11-13 주식회사 넷앤드 보안 강화를 위해 입력된 명령어 학습 기반 이상 사용자를 탐지하는 서버 접근 통제 시스템
WO2018194282A1 (ko) * 2017-04-17 2018-10-25 주식회사 넷앤드 보안 강화를 위해 입력된 명령어 학습 기반 이상 사용자를 탐지하는 서버 접근 통제 시스템
KR102331931B1 (ko) 2020-05-28 2021-11-26 국방과학연구소 사이버 공격에 따른 피해 평가 장치, 방법, 컴퓨터 판독 가능한 기록매체 및 컴퓨터 프로그램
KR20230051951A (ko) 2021-10-12 2023-04-19 한전케이디엔주식회사 사내용 모바일 보안 에이전트 사이버공격 대응 방법 및 장치

Also Published As

Publication number Publication date
US20150106933A1 (en) 2015-04-16
EP2863611A1 (en) 2015-04-22
EP2863611B1 (en) 2018-02-07
JP5970041B2 (ja) 2016-08-17
US9817969B2 (en) 2017-11-14
JP2015079512A (ja) 2015-04-23

Similar Documents

Publication Publication Date Title
KR101388090B1 (ko) 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법
Koroniotis et al. Forensics and deep learning mechanisms for botnets in internet of things: A survey of challenges and solutions
Wani et al. SDN‐based intrusion detection system for IoT using deep learning classifier (IDSIoT‐SDL)
Choi et al. A method of DDoS attack detection using HTTP packet pattern and rule engine in cloud computing environment
KR101689298B1 (ko) 보안이벤트 자동 검증 방법 및 장치
CN111786966A (zh) 浏览网页的方法和装置
US11258812B2 (en) Automatic characterization of malicious data flows
CN105915532A (zh) 一种失陷主机的识别方法及装置
Irfan et al. A framework for cloud forensics evidence collection and analysis using security information and event management
Singh et al. An approach of ddos attack detection using classifiers
Sangeetha et al. Signature based semantic intrusion detection system on cloud
Mangrulkar et al. Network attacks and their detection mechanisms: A review
Xue et al. Design and implementation of a malware detection system based on network behavior
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及***
CN113411295A (zh) 基于角色的访问控制态势感知防御方法及***
KR20110022141A (ko) 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법
CN113660222A (zh) 基于强制访问控制的态势感知防御方法及***
Oo et al. Enhancement of preventing application layer based on DDoS attacks by using hidden semi-Markov model
Arul et al. Supervised deep learning vector quantization to detect MemCached DDOS malware attack on cloud
Seo et al. Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling
KR20130033161A (ko) 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템
Guarda et al. Botnets the cat-mouse hunting
Nakahara et al. Malware detection for IoT devices using hybrid system of whitelist and machine learning based on lightweight flow data
Goyal et al. Application of Deep Learning in Honeypot Network for Cloud Intrusion Detection
Niu et al. HTTP‐Based APT Malware Infection Detection Using URL Correlation Analysis

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180326

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190329

Year of fee payment: 6