KR101951730B1 - 지능형 지속위협 환경에서의 통합 보안 시스템 - Google Patents

지능형 지속위협 환경에서의 통합 보안 시스템 Download PDF

Info

Publication number
KR101951730B1
KR101951730B1 KR1020160144841A KR20160144841A KR101951730B1 KR 101951730 B1 KR101951730 B1 KR 101951730B1 KR 1020160144841 A KR1020160144841 A KR 1020160144841A KR 20160144841 A KR20160144841 A KR 20160144841A KR 101951730 B1 KR101951730 B1 KR 101951730B1
Authority
KR
South Korea
Prior art keywords
malicious software
monitoring
unit
user terminal
server
Prior art date
Application number
KR1020160144841A
Other languages
English (en)
Other versions
KR20180047935A (ko
Inventor
소준영
전석기
Original Assignee
주식회사 아이티스테이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 아이티스테이션 filed Critical 주식회사 아이티스테이션
Priority to KR1020160144841A priority Critical patent/KR101951730B1/ko
Publication of KR20180047935A publication Critical patent/KR20180047935A/ko
Application granted granted Critical
Publication of KR101951730B1 publication Critical patent/KR101951730B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 유해 사이트를 통제하고, 악성 소프트웨어를 차단하고, 관리자 모드 접근에 대한 보안을 강화하며 네트워크 외 사용에 대한 통제를 강화할 수 있는 보안 시스템을 제공하고자 한다.
이를 위해 본 발명의 실시예에 따른 보안 시스템은, 서버와 사용자 단말 및 상기 서버와 사용자 단말 사이에서 보안을 수행하는 보안 장치를 포함하는 보안 시스템에 있어서, 서버는, 보안 장치의 차단 로그 정보를 수집하는 로그 수집부, 시스템 사용자의 인터넷 프로토콜(IP)을 수집하고 통신망 주소 변환기(NAT)를 통해 변환된 IP에서 실제 사용자 IP를 추출하여 수집하는 IP 수집부, 차단 로그 정보의 IP 수집부의 IP별 발생 횟수가 소정의 임계값인 제1 임계값을 초과하는지 판단하고 해당 로그 및 해당 IP(감시 IP)를 추출하는 제1 판단부, 제1 판단부가 제1 임계값을 초과하는 것으로 판단한 경우 상기 사용자 단말이 상기 감시 IP와 통신하는지 여부를 감지하는 감시부, 감시부를 통해 감시 IP와 사용자 단말이 통신하는 경우 차단 로그의 악성소프트웨어(MalWare)의 해쉬(hash)값을 기준 해쉬값과 비교한 후 1차적 악성소프트웨어 여부를 판단하는 제2 판단부, 제2 판단부를 통해 1차적 악성소프트웨어라고 판단한 경우에는 사용자 단말이 다운로드한 파일 및 URL을 기초로 최종적으로 악성소프트웨어 여부를 판단하는 제3 판단부, 제2 판단부를 통해 1차적 악성소프트웨어가 아니라고 판단된 경우에는 차단 로그의 악성소프트웨어를 기저장된 악성소프트웨어 데이터베이스와 비교하여 판단하는 악성소프트웨어 감시 서버, 제3 판단부 및 악성소프트웨어 감시 서버를 통해 나온 악성소프트웨어가 적용된 연관 IP 정보 및 사용자 단말이 다운로드한 파일과 URL을 미러링 데이터로 저장하는 미러링 데이터베이스부를 포함하는 것을 특징으로 한다.
이를 통해 기존 보안 장비에서 활용되지 못한 NAT IP 및 공유기 IP로 사용자 별로 IP를 검출하여 보다 체계적인 보안 시스템을 구축할 수 있다.

Description

지능형 지속위협 환경에서의 통합 보안 시스템{TOTAL SECURITY SYSTEM IN ADVANCED PERSISTENT THREAT}
본 발명은 보안 시스템에 관한 것으로, 보다 자세하게는 유해 사이트를 통제하고, 악성 소프트웨어를 차단하고, 관리자 모드 접근에 대한 보안을 강화하며 네트워크 외 사용에 대한 통제를 강화할 수 있는 보안 시스템에 관한 것이다.
요즘 PC를 포함한 IT 디바이스들은 다양한 장비 및 어플리케이션으로 인해서 보안 홀(hole)이 늘어나고 있는 상황이고, 다양한 형태의 공격으로 인해 정확한 공격을 탐지하기란 매우 어려운 상황이다.
일반적으로 신종 또는 변종 바이러스를 치료하기 위해서 사용자가 자신의 컴퓨터에 이상 징후를 발견한 후 문제를 유발시킨 해당 프로그램을 찾아 백신 업체에 신고하게 되고, 백신 업체는 신고 접수된 파일을 컴퓨터 바이러스 또는 해킹 기능이 포함되어 있는지 분석 후 해당 악성코드에 대한 진단 및 차단 백신을 제작하고 배포하여 더 이상의 다른 컴퓨터 사용자의 컴퓨터 시스템에 유입되지 않도록 악성 프로그램을 차단한다.
현재 발견된 수많은 종류의 컴퓨터 바이러스는 누군가 먼저 해당 바이러스에 감염되어 피해를 본 후 신고된 것이 대부분이다. 그런데 최근 알려진 컴퓨터 바이러스와 해킹 프로그램들은 고도의 은닉 기법을 사용하고 있기 때문에, 컴퓨터 사용자가 직접 악성 코드를 찾기가 어렵고, 심지어 자신의 컴퓨터에 컴퓨터 바이러스에 의해 감염되어 있는지 조차 모르는 경우가 많다.
따라서 백신 업체로 바이러스 감염에 대한 신고가 늦어지고, 백신 제작이 늦어져서 바이러스로 인한 피해가 커질 뿐만 아니라, 그 피해가 다른 컴퓨터로 더 크게 확산되기도 한다. 한편, 이를 극복하고자, 백신업체들은 사용자 신고에만 의존하지 않고 신종 및 변조 바이러스를 조기에 확보하기 위한 방안이 제시되고 있다. 일례로 사용자 컴퓨터 단말(PC)에 새로 유입되는 실행 프로그램을 실시간으로 감지하여 해당 프로세스의 기능이 컴퓨터 바이러스의 특성과 유사할 경우 이를 샘플로 수집한다. 백신업체는 수집된 샘플을 분석하여 악성코드로 판정되면 바이러스 백신을 만들어 업데이트를 배포한다.
상기와 같이 실행되는 프로그램(또는 프로세스)을 검사하여 악성프로세스를 검출하는 종래 기술로, 한국특허공개 제2009-0080220호(2009.7.24 공개)의 "유해 프로세스 검출/차단 재발방지 방법"이 개시되어 있다.
이 종래 기술은 실행프로세스의 종류를 데이터베이스화하여 문제가 되는 악성프로세스를 찾아 제거하거나 실행을 하지 못하도록 차단(blocking)시키는 유해 프로세스 검출/차단 방법에 관한 것이다.
그러나 상기 종래 기술은 이미 실행되고 있는 프로그램을 검사한다는 것에 한계점이 존재한다. 즉, 새로 유입되는 실행 프로그램을 감시한다는 것도 이미 악성코드가 설치되어 실행되었다는 것을 의미한다. 따라서 악성코드가 유입되어 설치되는 순간을 알지 못하기 때문에, 악성코드의 모든 설치 정보(신규 파일 생성, 기존 파일 변경 등)를 확보하지 못한다. 이로 인해, 백신업체의 실행프로그램 실시간 감시 기술은 실행 프로그램 자체만을 분석하여 실행 중 관련 파일만을 수집하는 단점이 있다.
또한, 종래의 백신업체의 실행프로그램 실시간 감시 기술은 샘플을 수집하여 악성코드를 분석하였더라도 백신이 제작되어 배포된 후에야 대응이 가능하므로 악성코드 분석과 동시에 대응할 수 없는 단점도 있다.
한편, 상기와 같은 실행프로그램 실시간 감시 기술의 문제점을 극복하기 위하여, 시스템 커널에서 발생하는 특정 이벤트들, 예를 들어, 특정 파일의 쓰기, 특정 프로그램의 실행 등이 발생할 때, 프로세스(또는 프로그램)를 검사하는 기술들이 제시되고 있다.
이와 같은 기술의 일예인 종래 기술 한국특허공개 제2007-0121195호(2007.12.27 공개)의 "시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템 및 방법" 발명은, 커널 계층에서 실시간 시스템 자원 접근시 제공되는 시스템 이벤트 정보를 이용하여 프로세스 리스트를 추출하여 응용 계층에서 사용자에게 제공되는 프로세스 리스트와의 비교를 통해 커널 계층에만 제공되는 프로세스를 은닉 프로세스로 검출하고 제거하여 실시간으로 시스템에 존재하는 은닉 프로세스를 탐지하는 기술을 개시하고 있다.
그러나 상기 종래 기술은 시스템 이벤트가 발생되는 커널 계층에서 프로세스를 검사하므로 시스템에 부하가 가중될 수 있는 문제점이 있다.
또한, 상기 종래 기술은 응용 레벨에서 실행 프로그램을 검사하고 커널 레벨에서 시스템 이벤트를 검사하는 차이는 있지만 신종 또는 변종 악성코드를 찾아내기 위해 컴퓨터 단말 자체의 정보에만 의존하고 있어 침입탐지시스템, 침입차단시스템, DDoS 전용 장비, 보안관제시스템 등 다른 보안시스템에서 먼저 침입을 탐지하였을 경우 탐지 정보를 활용할 수 없어 대응이 늦어질 수 있다.
따라서, 상기 종래 기술들의 문제점을 효과적으로 해결하고 보완할 수 있는 기술의 개발이 절실히 요구되고 있는 상태라 할 것이다.
본 발명은 유해 사이트를 통제하고, 악성 소프트웨어를 차단하고, 관리자 모드 접근에 대한 보안을 강화하며 네트워크 외 사용에 대한 통제를 강화할 수 있는 보안 시스템을 제공하고자 한다.
본 발명이 해결하고자 하는 과제는 이상에서 언급된 과제로 제한되지 않는다. 언급되지 않은 다른 기술적 과제들은 이하의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명의 실시예에 따른 보안 시스템은, 서버와 사용자 단말 및 상기 서버와 사용자 단말 사이에서 보안을 수행하는 보안 장치를 포함하는 보안 시스템에 있어서, 상기 서버는, 상기 보안 장치의 차단 로그 정보를 수집하는 로그 수집부, 상기 시스템 사용자의 인터넷 프로토콜(IP)을 수집하고 통신망 주소 변환기(NAT)를 통해 변환된 IP에서 실제 사용자 IP를 추출하여 수집하는 IP 수집부, 상기 차단 로그 정보의 상기 IP 수집부의 IP별 발생 횟수가 소정의 임계값인 제1 임계값을 초과하는지 판단하고 해당 로그 및 해당 IP(감시 IP)를 추출하는 제1 판단부, 상기 제1 판단부가 상기 제1 임계값을 초과하는 것으로 판단한 경우 상기 사용자 단말이 상기 감시 IP와 통신하는지 여부를 감지하는 감시부, 상기 감시부를 통해 상기 감시 IP와 상기 사용자 단말이 통신하는 경우 상기 차단 로그의 악성소프트웨어(MalWare)의 해쉬(hash)값을 기준 해쉬값과 비교한 후 1차적 악성소프트웨어 여부를 판단하는 제2 판단부, 상기 제2 판단부를 통해 1차적 악성소프트웨어라고 판단한 경우에는 상기 사용자 단말이 다운로드한 파일 및 URL을 기초로 최종적으로 악성소프트웨어 여부를 판단하는 제3 판단부, 상기 제2 판단부를 통해 1차적 악성소프트웨어가 아니라고 판단된 경우에는 상기 차단 로그의 악성소프트웨어를 기저장된 악성소프트웨어 데이터베이스와 비교하여 판단하는 악성소프트웨어 감시 서버, 상기 제3 판단부 및 악성소프트웨어 감시 서버를 통해 나온 악성소프트웨어가 적용된 연관 IP 정보 및 상기 사용자 단말이 다운로드한 파일과 URL을 미러링 데이터로 저장하는 미러링 데이터베이스부를 포함하는 것을 특징으로 한다.
또한, 상기 서버는, 관리자 모드로의 접근을 감지하여 접속 차단 여부를 결정하는 제4 판단부를 더 포함하고, 상기 제4 판단부는, 상기 미러링 데이터에 기초하여 관리자 모드로의 접근이 감지되면 작업 허용 시간 내에서 이루어지는지 판단하고, 허용 시간 초과의 경우에는 상기 사용자 단말에 관리자 응답 요청 신호를 전송하고, 상기 요청 신호에 상응하는 응답 신호를 전송받으면 패스워드 입력 일치 여부를 판단한 후 불일치하면 불일치 횟수 또는 불일치 시간으로 이루어지는 불일치 임계값 초과 여부를 통해 다시 상기 작업 허용 시간 내에 있는지 판단하거나(불일치 임계값 이하) 상기 감시부를 통해 상기 감시 IP와 상기 사용자 단말이 통신하는지 여부를 감지하는(불일치 임계값 초과) 것을 특징으로 한다.
또한, 상기 서버는, 상기 차단 로그 정보의 위장 공격을 탐지하기 위해 상기 제1 임계값을 소정 시간 동안 감소시키는 위장 공격 탐지부를 더 포함하는 것을 특징으로 한다.
또한, 상기 서버는, 상기 미러링 데이터를 기초로 위험도가 낮은 정보로 이루어지는 화이트리스트를 결정하고 저장하는 화이트리스트 모듈과 상기 사용자 단말의 네트워크에서 파밍, 피싱, 악성코드 및 정보유출 중 하나 이상인 감시 대상을 감시하기 위해 IP SCAN 모듈, Port SCAN 모듈, 화이트리스트 외 세션 감지 모듈, 내부 네트워크 연결 감지 모듈로 이루어지는 네트워크 감시부를 더 포함하는 것을 특징으로 한다.
또한, 상기 네트워크 감시부는, 상기 감시 대상의 발생 횟수가 소정 임계값인 제2 임계값을 초과하면 해당 소프트웨어의 악성 여부를 판단하기 위한 정보를 상기 제2 판단부로 전송하는 것을 특징으로 한다.
또한, 상기 서버는, 통계 분석부를 더 포함하고, 상기 통계 분석부는, 상기 화이트리스트 외 세션의 일별 네트워크 통계와 상기 사용자 단말 별 일일 통계 평균 데이터를 소정 기준 범위와 비교하여 상기 기준 범위를 초과하는 경우에 소정 기간 동안 이루어진 소프트웨어 다운로드 정보를 획득한 후 상기 다운로드 정보를 상기 제2 판단부로 전송하는 것을 특징으로 한다.
본 발명의 실시예에 의하면, 기존 보안 장비에서 활용되지 못한 NAT IP 및 공유기 IP로 사용자 별로 IP를 검출하여 보다 체계적인 보안 시스템을 구축할 수 있다.
또한, 관리자와 일반 사용자를 구별하여 실제 중요 서버에 접근하는 패턴에 대해 능동적인 대처 효과를 달성할 수 있다.
또한, 판별된 실제 공격 패턴을 해쉬(hash)화하여 같은 방식의 공격 패턴을 빠르게 탐지할 수 있는 효과가 있다.
또한, 탐지된 공격 패턴이 가지는 해쉬값을 타 사이트와 공유하여 보다 정밀한 보안 탐지가 가능하도록 할 수 있다.
도 1은 종래 보안 시스템의 구조 및 문제점을 도시한 개략도이다.
도 2는 본 발명의 실시예에 따른 보안 시스템의 구성을 도시한 블록도이다.
도 3은 본 발명의 실시예에 따른 보안 시스템의 서버 구성을 도시한 블록도이다.
도 4는 본 발명의 실시예에 따른 보안 시스템의 네트워크 감시부 구성을 도시한 블록도이다.
도 5는 본 발명의 실시예에 따른 보안 시스템의 MalWare 판단 과정을 도시한 순서도이다.
도 6은 본 발명의 실시예에 따른 보안 시스템의 관리자 모드 접근에 따른 보안 프로세스를 도시한 순서도이다.
도 7은 본 발명의 실시예에 따른 보안 시스템의 내부 네트워크 감시 과정을 도시한 순서도이다.
도 8은 본 발명의 실시예에 따른 보안 시스템의 통계 정보를 이용한 보안 프로세스에 대한 순서도이다.
본 발명의 다른 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되는 실시 예를 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예는 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
만일 정의되지 않더라도, 여기서 사용되는 모든 용어들(기술 혹은 과학 용어들을 포함)은 이 발명이 속한 종래 기술에서 보편적 기술에 의해 일반적으로 수용되는 것과 동일한 의미를 가진다. 일반적인 사전들에 의해 정의된 용어들은 관련된 기술 그리고/혹은 본 출원의 본문에 의미하는 것과 동일한 의미를 갖는 것으로 해석될 수 있고, 그리고 여기서 명확하게 정의된 표현이 아니더라도 개념화되거나 혹은 과도하게 형식적으로 해석되지 않을 것이다.
본 명세서에서 사용된 용어는 실시 예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 본 명세서에서 사용되는 '포함한다' 및/또는 이 동사의 다양한 활용형들은 언급된 구성요소, 동작 및/또는 소자 외의 하나 이상의 다른 구성요소, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다. 공지된 구성에 대한 일반적인 설명은 본 발명의 요지를 흐리지 않기 위해 생략될 수 있다. 본 발명의 도면에서 동일하거나 상응하는 구성에 대하여는 가급적 동일한 도면부호가 사용된다.
이하, 도면을 참조하여 본 발명의 실시예에 따른 보안 시스템에 대하여 상세히 설명한다.
먼저, 본 발명의 실시예에 따른 보안 시스템의 장점에 대해 종래 기술과 비교하여 설명하기 위해 도 1을 기초로 이하에서 설명한다.
도 1은 종래 보안 시스템의 구조 및 문제점을 도시한 개략도이다.
종래 보안 시스템의 경우 도 1에 도시된 바와 같이 해당 서버의 관리가 이루어지는 시스템은 인터넷과의 접속이 처음 라우터를 통해 이루어진다. 종래 보안 시스템의 경우 보안 장치로 서버존 방화벽, 웹 방화벽, 내부 방화벽 등을 구비하고 있는데 최근에는 이러한 보안 장치를 무력화시킬 수 있는 방법들이 나타나고 있어서 이에 대한 해결책 개발이 요구되고 있다.
종래 보안 시스템의 문제점을 좀 더 살펴보면, 도 1에 도시된 바와 같이 보안 이벤트 중 NAT(IP 주소 변환기, 사설 IP 주소를 공인 IP 주소로 변환)를 통해 변환된 IP에 대한 방어가 효과적으로 이루어지고 있지 않다. 즉, 보안 장치에서 전송받은 NAT IP로 내부 사용자 추적이 불가능한 것이 주된 문제점이다.
또한, 방화벽에서 관리자 PC의 중요 서버로 접속하는 이벤트가 발생할 경우에, 비정상적인 관리자 PC의 중요 서버 접속 상황을 모니터링할 수 없는 문제점이 있다.
이와 같은 문제점들을 효과적으로 해결하기 위해 본 발명의 실시예에 따른 보안 시스템을 제안하고자 한다.
본 발명의 실시예에 따른 보안 시스템의 구성에 대해 도 2 내지 도 4를 기초로 이하에서 상세히 설명한다. 도 2는 본 발명의 실시예에 따른 보안 시스템의 구성을 도시한 블록도이고, 도 3은 본 발명의 실시예에 따른 보안 시스템의 서버 구성을 도시한 블록도이며, 도 4는 본 발명의 실시예에 따른 보안 시스템의 네트워크 감시부 구성을 도시한 블록도이다.
도 2에 도시된 바와 같이 본 발명의 실시예에 따른 보안 시스템은, 보안 장치(10), 서버(100) 및 사용자 단말(200)로 이루어질 수 있다. 보안 장치(10)는 일반적으로 현재 사용되고 있는 보안 장치로 이루어질 수 있다. 즉, 인터넷을 통해 외부에서 특정 시스템에 접속이 이루어지는 경우 비정상적인 이벤트가 발생하거나 차단이 필요한 프로그램이라고 판단되는 경우 차단을 수행하는 보안 장치가 적용될 수 있다.
또한, 서버(100)는 보장 장치(10)로부터 전송 받은 다양한 접속 정보를 처리하고 사용자 단말(200)로 상기 접속 정보를 전송하며 다시 사용자 단말로부터 정보를 수신하여 다시 인터넷을 통해 외부로 보내는 역할을 수행한다. 효과적인 보안 작동을 수행하기 위한 서버(100)의 세부 동작 과정은 아래에서 상술한다.
또한, 사용자 단말(200)은 서버(100)에 연결되어 인터넷 망에 접속하는 사용자가 사용하는 단말로 PC 또는 기타 통신 단말을 포함할 수 있다. 도 2에 도시된 바와 같이 사용자 단말(200)은 하나 이상이 구비될 수 있다.
다음으로 본 발명의 실시예에 따른 보안 시스템의 서버(100) 세부 구성을 도 3 내지 도 4를 보면 다음과 같다. 서버(100)는 로그 수집부(101), IP 수집부(102), 제1 판단부(103), 감시부(104), 제2 판단부(105), 제3 판단부(106), MalWare 감시 서버(107), 미러링 DB부(108), 제4 판단부(109), 위장 공격 탐지부(110), 화이트리스트 모듈(111), 네트워크 감시부(112) 및 통계 분석부(113)를 포함한다.
로그 수집부(101)는 보안 장치(10)의 차단 로그 정보를 수집한다.
또한, IP 수집부(102)는 시스템 사용자의 인터넷 프로토콜(IP)을 수집하고 또한 통신망 주소 변환기(NAT)를 통해 변환된 IP에서 실제 사용자 IP를 추출하여 수집한다. 즉, 표면적으로 파악이 가능한 사용자 IP는 물론 NAT를 통해 변환된 IP의 실제 사용자 IP를 추출하여 수집하는 기능을 수행한다.
또한, 제1 판단부(103)는 로그 수집부(10)를 통해 수집한 차단 로그 정보의 IP 수집부(102)의 IP별 발생 횟수가 소정의 임계값인 제1 임계값을 초과하는지 판단한다. 그리고, 최종적으로 해당 로그 및 해당 IP(감시 IP)를 추출한다. 즉, 제1 판단부(103)는 차단 로그 정보가 시스템 내에서 자주 발생하거나 한꺼번에 많이 발생하거나 또는 주기적으로 발생하는 상태를 통계적으로 파악하여 제1 임계값을 결정할 수 있고 이러한 제1 임계값을 기준으로 차단 로그 정보를 필터링하여 감시 대상이 되는 감시 IP 및 해당 로그를 추출한다.
또한, 감시부(104)는 제1 판단부(103)가 제1 임계값을 초과하는 것으로 판단한 경우 사용자 단말(200)이 감시 IP와 통신하는지 여부를 감지하는 기능을 수행한다. 즉, 감시 대상이 되는 감시 IP와 사용자 단말(200)이 직접적인 접속이 이루어지는지 여부를 감지한다.
또한, 제2 판단부(105)는 감시부(104)를 통해 감시 IP와 사용자 단말(200)이 통신하는 것으로 판단된 경우, 차단 로그에 해당하는 악성소프트웨어(MalWare)의 해쉬(hash)값을 기준 해쉬값과 비교한 후 1차적 MalWare 여부를 판단한다. 즉, 제2 판단부(105)는 감시 대상이 되는 감시 IP와 사용자 단말(200) 사이에 접속이 발생하면 이 둘 사이의 차단 로그에 해당하는 MalWare 에 대해 1차적으로으로 진짜 MalWare인지 여부를 판단한다. 해쉬값이 기준 해쉬값과 같은 경우라면 진짜 MalWare에 해당할 것이고, 다르다면 MalWare가 아니거나 해쉬값으로 파악이 안되는 별도의 MalWare에 해당할 수도 있다.
또한, 제3 판단부(106)는 제2 판단부(105)를 통해 1차적 MalWare라고 판단된 경우, 사용자 단말(200)이 다운로드한 파일 및 URL(Uniform Resource Locator)을 기초로 최종적으로 MalWare 여부를 판단한다. 즉, 해쉬값만을 가지고 판단하는 간단한 과정을 통해 판단하는 과정인 제2 판단부(105)와 달리 사용자 단말(200)이 직접적으로 다운로드한 파일 및 URL 정보를 직접 분석하여 최종적인 MalWare 여부를 판단한다.
또한, MalWare 감시 서버(악성소프트웨어 감시 서버, 107)는 제2 판단부(105)를 통해 1차적 MalWare가 아니라고 판단된 경우에도 추가적으로 차단 로그의 MalWare를 기저장된 MalWare 데이터베이스와 비교하여 MalWare 여부를 판단한다. 즉, 별도의 MalWare 데이터베이스를 구비하여 추가적으로 MalWare 여부를 판단하는 과정을 수행한다.
이상에서 설명한 제1 판단부(103) 내지 MalWare 감시 서버(107)를 통해 본 발명의 실시예에 따른 보안 시스템은 체계적이면서도 누락이 거의 발생하지 않는 MalWare 감지를 효과적으로 수행할 수 있다.
또한, 미러링 DB부(미러링 데이터베이스부, 108)는 제3 판단부(106) 및 MalWare 감시 서버(107)를 통해 나온 MalWare가 적용된 연관 IP 정보 및 사용자 단말(200)이 다운로드한 파일과 URL을 미러링 데이터로 저장한다. 즉, MalWare에 관련된 IP 정보 및 다운로드 파일 등을 데이터베이스화하여 향후 같은 이벤트나 유사한 이벤트가 발생했을 때 조회 자료로 이용하기 위함이다. 이와 같은 DB화를 통해 본 발명에 따른 보안 시스템은 보다 빠른 MalWare 판단 과정을 수행할 수 있고 변화되는 외부 침입에 대해 효과적으로 대응할 수 있다.
이상에서는 본 보안 시스템의 기본이 되는 차단 로그에 기초한 MalWare 판단 과정(기능 1)에 대해 설명하였고, 아래에서는 외부에서 본 시스템에 관리자 모드로 접근하는 경우에 대해 설명한다.
본 발명의 실시예에 따른 보안 시스템의 서버(100)의 제4 판단부(109)는, 미러링 DB부(108)에 저장된 미러링 데이터를 이용하여 관리자 모드로의 접근이 감지되는지 판단한다. 즉, 제4 판단부(109)는 관리자 모드로의 접근을 감지하여 시스템에 대한 접속 차단 여부를 결정한다.
만약 접근이 감지되면 제4 판단부(109)는 작업 허용 시간 내에 접근이 이루어지는지 판단한다. 즉, 제4 판단부(109)는 접근 과정이 허용 시간을 초과하는지 여부를 기준으로 정상적인 접속인지 아니면 비정상적인 접근인지 판단한다.
만약 허용 시간 초과의 경우, 제4 판단부(109)는 사용자 단말(200)에 관리자 응답 요청 신호를 전송하고, 요청 신호에 상응하는 응답 신호를 사용자 단말(200)로부터 전송 받으면 패스워드 입력 일치 여부를 판단한다. 즉, 1차적으로 사용자 단말(200)로부터 관리자 접속이 맞다는 신호를 수신하면 2차적으로 패스워드 입력을 요구하는 과정을 수행하게 된다.
이에 따라 제4 판단부(109)는 만약 입력 패스워드가 불일치하면 추가적으로 불일치 횟수 또는 불일치 시간으로 이루어지는 불일치 임계값의 초과 여부를 판단한다.
즉, 다시 작업 허용 시간 내에 있는 것으로 판단(불일치 임계값 이하의 경우)하는 경우에는 정상적인 접속으로 판단한다. 그리고, 불일치 임계값이 초과되는 경우에는 감시부(104)를 통해 감시 IP와 사용자 단말(200)이 통신하는지 여부를 감지하는 과정으로 복귀하게 된다. 즉, 후자의 경우에는 관리자 접근이 유효하지 않다고 판단한 경우로 이에 대한 알림을 사용자 단말(200)에게 제공하면서 상기에서 설명한 감시부(104)를 통한 감지 과정을 수행하여 구체적인
MalWare 판단 과정을 거치게 된다.
이상에서는 본 보안 시스템의 두 번째 기능인 외부에서 본 시스템에 관리자 모드로 접근하는 경우의 보안 과정을 설명하였고 아래에서는 본 시스템의 세 번째 기능인 내부 네트워크 감시 과정을 설명한다.
본 발명의 실시예에 따른 보안 시스템의 서버(100)는 위장 공격 탐지부(110)를 포함하고, 위장 공격 탐지부(110)는 차단 로그 정보의 위장 공격을 탐지하기 위해 제1 임계값을 소정 시간 동안 감소시킨다. 즉, 네트워크 내부에서 발생하는 여러 이벤트 중에서 위장술에 해당하는 과정(일시적으로 작동이나 접속이 불규칙화되거나 느려지는 과정)이 발생할 수 있는데 이에 대비하기 위해 본 시스템의 위장 공격 탐지부(110)는 제1 임계치를 일시적으로 낮추는 과정을 수행한다.
그리고, 화이트리스트 모듈(111)는 미러링 데이터를 기초로 위험도가 낮은 정보로 이루어지는 화이트리스트를 결정하고 저장한다. 즉, 안정도가 높은 정보를 미러링 데이터를 기초로 선별하여 별도로 저장한다.
또한, 네트워크 감시부(112)는 사용자 단말의 네트워크에서 파밍, 피싱, 악성코드 및 정보유출 중 하나 이상인 감시 대상을 감시한다.
구체적으로 네트워크 감시부(112)는 도 4에 도시된 바와 같이 IP SCAN 모듈(112-1), Port SCAN 모듈(112-2), 화이트리스트 외 세션 감지 모듈(112-3), 내부 네트워크 연결 감지 모듈(112-4)로 이루어질 수 있다. IP SCAN 모듈(112-1)은 내부 네트워크의 IP를 감시하고, Port SCAN 모듈(112-2)은 포트를 감지하고, 화이트리스트 외 세션 감지 모듈(112-3)은 화이트리스트 외의 세션을 감시하며, 내부 네트워크 연결 감지 모듈(112-4)은 내부 네트워크의 연결 여부를 감지한다.
네트워크 감시부(112)는 감시 대상의 발생 횟수가 소정 임계값인 제2 임계값을 초과하면 해당 소프트웨어의 악성 여부를 판단하기 위한 정보를 제2 판단부(105)로 전송한다. 즉, 네트워크 감시부(112)는 내부 네트워크에서 감시 대상의 이벤트 발생 횟수가 제2 임계값을 초과하면 제2 판단부(105)의 MalWare 판단 과정인 해쉬값 비교 단계로 관련 정보를 전송하는 기능을 수행한다.
또한, 서버(100)는 통계 분석부(113)를 포함하고, 통계 분석부(113)는 화이트리스트 외 세션의 일별 네트워크 통계와 사용자 단말 별 일일 통계 평균 데이터를 산출한다.
통계 분석부(113)는 이렇게 산출한 통계 및 데이터를 소정 기준 범위와 비교하여 기준 범위를 초과하는 경우에 소정 기간 동안 이루어진 소프트웨어 다운로드 정보를 획득한 후 다운로드 정보를 제2 판단부(105)로 전송한다. 여기서 소정 기준 범위는 각 통계 및 데이터의 오차율이 될 수 있고 이러한 오차율을 초과하게 되면, 오차율 발생일 기준으로 7일 전후의 기간 동안의 다운로드 내역을 검색한 후 다운로드하고 이 정보를 제2 판단부(105)로 전송한다. 상기 7일이라는 기간은 일 예이고 정보의 종류 및 해당 시스템의 특성에 따라 변경될 수 있음은 물론이다.
다음으로 본 발명의 실시예에 따른 보안 시스템의 MalWare 판단 과정에 대해 도 5를 기초로 이하에서 상세히 살펴본다. 도 5에 도시된 과정은 본 발명의 실시예에 따른 보안 시스템의 첫 번째 기능에 대한 것이다. 도 5는 본 발명의 실시예에 따른 보안 시스템의 MalWare 판단 과정을 도시한 순서도이다.
도 5에 도시된 바와 같이, 본 발명의 실시예에 따른 보안 시스템은 먼저 차단 로그를 수집하고(S10), IP 수집 및 NAT을 통해 변화되는 실제 사용자 IP를 수집한다(S11). 그런 뒤 차단 로그 횟수와 제1 임계값을 비교하는데, 구체적으로 차단 로그 횟수가 제1 임계값을 초과하는지 여부를 판단한다(S12). 만약 차단 로그 횟수가 제1 임계값 이하인 경우에는 계속 차단 로그 수집 과정을 수행하도록 하고(S10으로 복귀), 차단 로그 횟수가 제1 임계값 초과인 경우에는 사용자 단말(200)과 감시 IP가 통신하는지 여부를 체크한다(S13). 사용자 단말(200)과 감시 IP가 통신하면 차단 로그 MalWare 해쉬값과 기준 해쉬값의 동일성 여부를 판단한다(S14). 만약 두 값이 같은 경우에는 감시 IP를 통해 다운로드한 파일 및 URL로 MalWare에 해당하는지 여부를 최종적으로 판단한다(S15). 만약 두 값이 다른 경우에는 차단 로그 MalWare와 DB(MalWare 데이터베이스)와 비교하여 다시 한 번 MalWare 여부를 판단한다. 마지막으로 상기 두 가지 판단을 한 후 각 정보(다운로드 파일 및 URL 정보)를 미러링 데이터로 하여 미러링 DB(미러링 데이터베이스)에 저장한다(S17).
다음으로 본 발명의 실시예에 따른 보안 시스템의 관리자 모드 접근에 따른 보안 프로세스에 대해 도 6을 기초로 설명한다. 도 6에 도시된 보안 프로세스는 본 발명의 실시예에 따른 보안 시스템의 두 번째 기능에 대한 것이다. 도 6은 본 발명의 실시예에 따른 보안 시스템의 관리자 모드 접근에 따른 보안 프로세스를 도시한 순서도이다.
도 6에 도시된 바와 같이, 본 발명의 실시예에 따른 보안 시스템은 관리자 모드 접근에 따른 보안 프로세스를 수행하기 위해 먼저 관리자 모드 접근 이벤트의 발생을 감지한다(S20). 감지가 되면 해당 접근 과정이 기설정 또는 기저장된 작업 허용 시간을 초과하는지를 판단한다(S21).
만약 해당 접근 과정이 작업 허용 시간 이하인 경우에는, 정상적인 접근으로 판단하고(S22) 종료한다.
만약 해당 접근 과정이 작업 허용 시간을 초과하는 것으로 판단되면 사용자 단말(200)에 관리자 응답 요청 신호를 전송한다(S23). 즉, 해당 접근 과정이 작업 허용 시간을 초과하는 경우에는 1차적으로 부적절한 관리자 모드 접근이 있는 것으로 판단하여 서버(100)는 사용자 단말(200)에 적절한 관리자 접속인지 여부를 확인 받기 위해 관리자 응답 요청 신호를 전송한다.
그리고 서버(100)가 사용자 단말(200)로부터 응답 신호를 수신하면 다시 패스워드 입력을 요구한다(S24). 서버(100)가 요구한 패스워드 입력에 대해 사용자 단말(200)을 통한 패스워드가 입력되면 기준 패스워드와 입력 패스워드를 비교하여 불일치 여부를 판단한다(S25). 만약 두 패스워드가 일치하면 정상적인 접근으로 판단하고(S22) 종료한다.
만약 두 패스워드가 불일치하면 예비적으로 비정상적 접근으로 판단하고 다시 패스워드 입력을 요구하면서 불일치 횟수 또는 불일치가 발생하는 패스워드 입력 시간으로 이루어지는 불일치 임계값을 초과하는지 여부를 판단한다(S26).
만약 불일치 임계값을 초과하지 않는 상태이면 정상적인 접근으로 판단하고(S22) 종료한다.
만약 불일치 임계값을 초과하는 경우이면 감시 IP와 사용자 단말(200)이 통신하는지 여부를 감지하는 S13 단계로 이동하여 계속 진행하게 된다.
다음으로 본 발명의 실시예에 따른 보안 시스템의 내부 네트워크 감시 과정에 대해 도 7 내지 도 8을 기초로 이하에서 설명한다. 상기 내부 네트워크 감시 과정은 발명의 실시예에 따른 보안 시스템의 세 번째 기능에 해당한다. 도 7은 본 발명의 실시예에 따른 보안 시스템의 내부 네트워크 감시 과정을 도시한 순서도이고, 도 8은 본 발명의 실시예에 따른 보안 시스템의 통계 정보를 이용한 보안 프로세스에 대한 순서도이다.
도 7에 도시된 바와 같이, 본 발명의 실시예에 따른 보안 시스템의 내부 네트워크 감시 과정 중 하나는 내부 네트워크를 감시하는 과정이다. 즉, 먼저 내부 네트워크를 감시한다(S30). 내부 네트워크 감시는 사용자 단말(200)의 네트워크에서 파밍, 피싱, 악성코드 및 정보유출 중 하나 이상으로 이루어지는 감시 대상을 감시한다. 이러한 감시를 통해 감시 대상이 되는 이벤트의 발생 횟수가 기설정된 제2 임계값을 초과하는지 판단한다(S31). 즉, 상기 감시 대상과 연관된 해당 소프트웨어의 악성 여부를 판단하는 과정이다.
만약 감시 대상의 발생 횟수가 제2 임계값을 초과하지 않으면 다시 내부 네트워크를 감시하는 단계(S30)로 돌아가고, 제2 임계값을 초과하면 도 5의 S14 단계로 이동하여 본 시스템의 첫 번째 기능에서 차단 로그 MalWare 해쉬값을 비교하는 과정을 수행하게 된다.
또한, 도 8의 도시 내용은 본 발명의 실시예에 따라 내부 네트워크 상의 일별 네트워크 통계 및 사용자 단말 별 일일 통계 평균 데이터를 수집하여 내부 네트워크를 감시하는 과정을 나타낸다.
먼저 일별 네트워크 통계(A)를 수집하고(S40), 사용자 단말 별 일일 통계 평균 데이터(B)를 수집한 후(S41), 통계(A)와 평균 데이터(B)를 모두 고려한 통계 수치를 산출한 후 소정 기준 범위를 초과하는지 판단한다(S42). 만약 통계 수치가 소정 기준 범위를 초과하지 않으며 다시 통계 정보를 수집하는 S40 단계로 복귀하고, 소정 기준 범위를 초과하면 도 5의 S14 단계로 이동하여 본 시스템의 첫 번째 기능에서 차단 로그 MalWare 해쉬값을 비교하는 과정을 수행하게 된다. 여기서 소정의 기준 범위는 통계 비교를 통한 오차율로 할 수 있으며, 소정 기준 범위 초과가 있으면 S14 단계로 이동하기 전에 해당 이벤트 발생일을 기준으로 7일 전후 기간 동안 다운로드한 내용을 검색한 후 해당 파일 발견 시에 S14 단계로 이동한다.
또한, 일별 네트워크 통계는 화이트리스트 외의 일별 네트워크 통계로 프로토콜 별 통계, 포트별 통계, 80,443을 제외한 통계, 국가별 통계를 포함할 수 있다.
또한, 해당 파일 발견이 되지 않으면 MalWare 유입 경로 탐색을 위한 사이트 별 프로세스를 실행한다.
이상의 실시예들은 본 발명의 이해를 돕기 위하여 제시된 것으로, 본 발명의 범위를 제한하지 않으며, 이로부터 다양한 변형 가능한 실시예들도 본 발명의 범위에 속할 수 있음을 이해하여야 한다. 따라서, 본 발명의 기술적 보호범위는 특허청구범위의 기술적 사상에 의해 정해져야 할 것이며, 본 발명의 기술적 보호범위는 특허청구범위의 문언적 기재 그 자체로 한정되는 것이 아니라 실질적으로는 기술적 가치가 균등한 범주의 발명에 대하여까지 미치는 것임을 이해하여야 한다.
10: 보안 장치 100: 서버
101: 로그 수집부 102: IP 수집부
103: 제1 판단부 104: 감시부
105: 제2 판단부 106: 제3 판단부
107: MalWare 감시 서버 108: 미러링 DB부
109: 제4 판단부 110: 위장 공격 탐지부
111: 화이트리스트 모듈 112: 네트워크 감시부
112-1: IP SCAN 모듈 112-2: Port SCAN 모듈
112-3: 화이트리스트 외 세션 감지 모듈
112-4: 내부 네트워크 연결 감지 모듈
113: 통계 분석부

Claims (6)

  1. 서버와 사용자 단말 및 상기 서버와 사용자 단말 사이에서 보안을 수행하는 보안 장치를 포함하는 보안 시스템에 있어서,
    상기 서버는,
    상기 보안 장치의 차단 로그 정보를 수집하는 로그 수집부,
    상기 시스템 사용자의 인터넷 프로토콜(IP)을 수집하고 통신망 주소 변환기(NAT)를 통해 변환된 IP에서 실제 사용자 IP를 추출하여 수집하는 IP 수집부,
    상기 차단 로그 정보의 상기 IP 수집부의 IP별 발생 횟수가 소정의 임계값인 제1 임계값을 초과하는지 판단하고 해당 로그 및 해당 IP(감시 IP)를 추출하는 제1 판단부,
    상기 제1 판단부가 상기 제1 임계값을 초과하는 것으로 판단한 경우 상기 사용자 단말이 상기 감시 IP와 통신하는지 여부를 감지하는 감시부,
    상기 감시부를 통해 상기 감시 IP와 상기 사용자 단말이 통신하는 경우 상기 차단 로그의 악성소프트웨어(MalWare)의 해쉬(hash)값을 기준 해쉬값과 비교한 후 1차적 악성소프트웨어 여부를 판단하는 제2 판단부,
    상기 제2 판단부를 통해 1차적 악성소프트웨어라고 판단한 경우에는 상기 사용자 단말이 다운로드한 파일 및 URL을 기초로 최종적으로 악성소프트웨어 여부를 판단하는 제3 판단부,
    상기 제2 판단부를 통해 1차적 악성소프트웨어가 아니라고 판단된 경우에는 상기 차단 로그의 악성소프트웨어를 기저장된 악성소프트웨어 데이터베이스와 비교하여 판단하는 악성소프트웨어 감시 서버,
    상기 제3 판단부 및 악성소프트웨어 감시 서버를 통해 나온 악성소프트웨어가 적용된 연관 IP 정보 및 상기 사용자 단말이 다운로드한 파일과 URL을 미러링 데이터로 저장하는 미러링 데이터베이스부를 포함하고,
    상기 서버는, 관리자 모드로의 접근을 감지하여 접속 차단 여부를 결정하는 제4 판단부를 더 포함하고,
    상기 제4 판단부는, 상기 미러링 데이터에 기초하여 관리자 모드로의 접근이 감지되면 작업 허용 시간 내에서 이루어지는지 판단하고, 허용 시간 초과의 경우에는 상기 사용자 단말에 관리자 응답 요청 신호를 전송하고, 상기 요청 신호에 상응하는 응답 신호를 전송받으면 패스워드 입력 일치 여부를 판단한 후 1차적으로 사용자 단말(200)로부터 관리자 접속이 맞다는 신호를 수신하면 2차적으로 패스워드 입력을 요구하는 과정을 수행하되, 불일치하면 불일치 횟수 또는 불일치 시간으로 이루어지는 불일치 임계값 초과 여부를 통해 다시 상기 작업 허용 시간 내에 있는지 판단하거나(불일치 임계값 이하) 상기 감시부를 통해 상기 감시 IP와 상기 사용자 단말이 통신하는지 여부를 감지하는(불일치 임계값 초과) 것을 특징으로 하는 보안 시스템.
  2. 삭제
  3. 제1 항에 있어서,
    상기 서버는,
    상기 차단 로그 정보의 위장 공격을 탐지하기 위해 상기 제1 임계값을 소정 시간 동안 감소시키는 위장 공격 탐지부를 더 포함하는 것을 특징으로 하는 보안 시스템.
  4. 제1 항에 있어서,
    상기 서버는,
    상기 미러링 데이터를 기초로 위험도가 낮은 정보로 이루어지는 화이트리스트를 결정하고 저장하는 화이트리스트 모듈과
    상기 사용자 단말의 네트워크에서 파밍, 피싱, 악성코드 및 정보유출 중 하나 이상인 감시 대상을 감시하기 위해 IP SCAN 모듈, Port SCAN 모듈, 화이트리스트 외 세션 감지 모듈, 내부 네트워크 연결 감지 모듈로 이루어지는 네트워크 감시부를 더 포함하는 것을 특징으로 하는 보안 시스템.
  5. 제4 항에 있어서,
    상기 네트워크 감시부는, 상기 감시 대상의 발생 횟수가 소정 임계값인 제2 임계값을 초과하면 해당 소프트웨어의 악성 여부를 판단하기 위한 정보를 상기 제2 판단부로 전송하는 것을 특징으로 하는 보안 시스템.
  6. 제4 항에 있어서,
    상기 서버는, 통계 분석부를 더 포함하고,
    상기 통계 분석부는, 상기 화이트리스트 외 세션의 일별 네트워크 통계와 상기 사용자 단말 별 일일 통계 평균 데이터를 소정 기준 범위와 비교하여 상기 기준 범위를 초과하는 경우에 소정 기간 동안 이루어진 소프트웨어 다운로드 정보를 획득한 후 상기 다운로드 정보를 상기 제2 판단부로 전송하는 것을 특징으로 하는 보안 시스템.
KR1020160144841A 2016-11-02 2016-11-02 지능형 지속위협 환경에서의 통합 보안 시스템 KR101951730B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160144841A KR101951730B1 (ko) 2016-11-02 2016-11-02 지능형 지속위협 환경에서의 통합 보안 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160144841A KR101951730B1 (ko) 2016-11-02 2016-11-02 지능형 지속위협 환경에서의 통합 보안 시스템

Publications (2)

Publication Number Publication Date
KR20180047935A KR20180047935A (ko) 2018-05-10
KR101951730B1 true KR101951730B1 (ko) 2019-02-25

Family

ID=62185046

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160144841A KR101951730B1 (ko) 2016-11-02 2016-11-02 지능형 지속위협 환경에서의 통합 보안 시스템

Country Status (1)

Country Link
KR (1) KR101951730B1 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102478984B1 (ko) * 2021-01-06 2022-12-19 주식회사 아이티스테이션 사용자 단말 이벤트 연동 악성파일 판단방법 및 이를 이용한 시스템
KR20220170770A (ko) * 2021-06-23 2022-12-30 주식회사맥데이타 단말의 보안 패킷에 기반한 네트워크 보안 모니터링 장치 및 방법
KR102354783B1 (ko) * 2021-10-21 2022-01-24 주식회사 모노커뮤니케이션즈 보안이 향상된 공유기 관리 시스템
CN114553494B (zh) * 2022-01-26 2024-02-13 深圳市风云实业有限公司 一种基于数据报文的轻量级染色与检测方法及装置
CN114666001B (zh) * 2022-02-23 2024-04-02 中国电子科技集团公司第三十研究所 一种时间同步***及其多级安全监测方法、设备及介质
CN116821910B (zh) * 2023-08-30 2023-11-17 北京安天网络安全技术有限公司 一种安全防护***

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101414084B1 (ko) * 2013-03-28 2014-07-04 한신대학교 산학협력단 모바일 단말의 악성 어플리케이션 탐지 시스템 및 방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040193918A1 (en) * 2003-03-28 2004-09-30 Kenneth Green Apparatus and method for network vulnerability detection and compliance assessment
KR100729794B1 (ko) * 2005-10-25 2007-06-20 주식회사 아라기술 유해 소프트웨어 자동 치료 시스템 및 방법
US8341740B2 (en) * 2008-05-21 2012-12-25 Alcatel Lucent Method and system for identifying enterprise network hosts infected with slow and/or distributed scanning malware

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101414084B1 (ko) * 2013-03-28 2014-07-04 한신대학교 산학협력단 모바일 단말의 악성 어플리케이션 탐지 시스템 및 방법

Also Published As

Publication number Publication date
KR20180047935A (ko) 2018-05-10

Similar Documents

Publication Publication Date Title
KR101951730B1 (ko) 지능형 지속위협 환경에서의 통합 보안 시스템
US11775622B2 (en) Account monitoring
JP6894003B2 (ja) Apt攻撃に対する防御
EP3264720B1 (en) Using dns communications to filter domain names
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
US7779468B1 (en) Intrusion detection and vulnerability assessment system, method and computer program product
US9628508B2 (en) Discovery of suspect IP addresses
TWI294726B (ko)
CN110493195B (zh) 一种网络准入控制方法及***
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
US20100071065A1 (en) Infiltration of malware communications
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
CN111131176B (zh) 资源访问控制方法、装置、设备及存储介质
US9444830B2 (en) Web server/web application server security management apparatus and method
JP2006252256A (ja) ネットワーク管理システム、方法およびプログラム
KR100989347B1 (ko) 보안규칙 기반의 웹공격 탐지 방법
US8862730B1 (en) Enabling NAC reassessment based on fingerprint change
CN111131168A (zh) 基于Web应用的自适应防护方法
JP6106861B1 (ja) ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム
CN112583841B (zh) 虚拟机安全防护方法及***、电子设备和存储介质
KR100959274B1 (ko) 네트워크 모니터링 정보를 이용한 악성 코드 조기방역 시스템 및 그 방법
Sobola et al. Experimental study of modsecurity web application firewalls
CN112671781A (zh) 基于rasp的防火墙***
CN110417578B (zh) 一种异常ftp连接告警处理方法
KR20170052779A (ko) 복수의 로그 수집 서버를 기반으로 한 보안 강화 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant