KR102032222B1 - 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법 - Google Patents
매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법 Download PDFInfo
- Publication number
- KR102032222B1 KR102032222B1 KR1020180001596A KR20180001596A KR102032222B1 KR 102032222 B1 KR102032222 B1 KR 102032222B1 KR 1020180001596 A KR1020180001596 A KR 1020180001596A KR 20180001596 A KR20180001596 A KR 20180001596A KR 102032222 B1 KR102032222 B1 KR 102032222B1
- Authority
- KR
- South Korea
- Prior art keywords
- matrix
- whitelist
- unit
- abnormal behavior
- generation
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 특정 네트워크 망 내에서 생성되는 명령 이벤트들을 이벤트 발생 주체, 명령 수행 주체, 두 주체 사이에 존재하는 프로퍼티 조합으로 구성된 매트릭스를 구성하는 단계와 상기 구성된 매트릭스 및 명령 이벤트로부터 이상행위를 탐지하는 단계;를 포함하는 것을 특징으로 하는 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법에 관한 것이다.
Description
본 발명 중소벤처기업부와 부산지방중소기업청의 기술혁신개발사업으로 수행된 연구결과이다.
본 발명은 특정 네트워크 망 내에서 생성되는 명령 이벤트들을 이벤트 발생 주체, 명령 수행 주체, 두 주체 사이에 존재하는 프로퍼티 조합으로 구성된 매트릭스를 구성하는 단계와 상기 구성된 매트릭스 및 명령 이벤트로부터 이상행위를 탐지하는 단계;를 포함하는 것을 특징으로 하는 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법에 관한 것이다.
최근 몇 년간 웹 서버에서 발생하는 비정상 행위를 탐지하기 위한 많은 연구가 진행되어 왔다. 인터넷의 규모가 빠르게 팽창하고 이용률이 증가함에 따라 분석해야 할 대상들이 급격하게 증가하였음에도 불구하고 대용량의 데이터에서 효과적으로 비정상 행위를 분석할 수 있는 방법이 없었기 때문에 단순한 통계적 방법을 이용하여 웹 로그를 분석해 왔다. 또한 기존의 연구는 인위적으로 만들어진 데이터를 대상으로 탐지모델을 제안하고 효용성을 검증하였기 때문에 한계를 가지고 있다.
본 발명은 상기와 같은 종래기술의 문제점을 해결하는 것을 목적으로 한다.
구체적으로, 본 발명의 목적은 매트릭스 기반의 이상행위 탐지를 위한 화이트리스트 생성 방법 및 이를 이용한 공격탐지 방법을 제공하는 것이다.
본 발명이 이루고자 하는 기술적 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
이러한 목적을 달성하기 위한 본 발명에 따른 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법은 특정 네트워크 망 내에서 생성되는 명령 이벤트들을 이벤트 발생 주체, 명령 수행 주체, 두 주체 사이에 존재하는 프로퍼티 조합으로 구성된 매트릭스를 구성하는 단계와 상기 구성된 매트릭스 및 명령 이벤트로부터 이상행위를 탐지하는 단계를 포함하는 것을 특징으로 한다.
매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법이 적용되는 시스템은 행위탐지부, 매트릭스 생성부, 화이트리스트 등록부로 구성되는 생성부; 통신부, 행위정보 데이터베이스, 공격 추론부로 구성되는 탐지부; 를 포함하는 것을 특징으로 한다.
이상과 같이 본 발명은 매트릭스 기반의 이상행위 탐지를 위한 화이트리스트 생성 방법 및 이를 이용한 공격탐지 방법을 제공하는 효과가 있다.
본 발명의 기술적 효과들은 이상에서 언급한 기술적 효과들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 효과들은 청구범위의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일실시 예에 따른 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법이 적용된 시스템을 나타내는 도면이다.
도 2는 기존의 이상행위 탐지 장치를 나타내는 도면이다.
도 2는 기존의 이상행위 탐지 장치를 나타내는 도면이다.
이하, 본 발명의 바람직한 실시 예를 첨부된 도면을 참조하여 상세히 설명한다. 참고로, 본 발명을 설명하는 데 참조하는 도면에 도시된 구성요소의 크기, 선의 두께 등은 이해의 편의상 다소 과장되게 표현되어 있을 수 있다. 또, 본 발명의 설명에 사용되는 용어들은 본 발명에서의 기능을 고려하여 정의한 것이므로 사용자, 운용자 의도, 관례 등에 따라 달라질 수 있다. 따라서, 이 용어에 대한 정의는 본 명세서의 전반에 걸친 내용을 토대로 내리는 것이 마땅하겠다.
또한, 본 발명의 목적이 구체적으로 실현될 수 있는 본 발명의 바람직한 실시 예를 첨부된 도면을 참조하여 설명하지만, 이는 본 발명의 더욱 용이한 이해를 위한 것으로, 본 발명의 범주가 그것에 의해 한정되는 것은 아니다. 아울러, 본 발명의 실시 예를 설명함에 있어서, 동일 구성에 대해서는 동일 명칭 및 동일 부호가 사용되며 이에 따른 부가적인 설명은 생략하기로 한다.
본 발명의 각 구성 단계에 대한 상세한 설명에 앞서, 본 명세서 및 청구 범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 안 되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위하여 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 따라서, 본 명세서에 기재된 실시 예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일실시 예에 불과하며 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원 시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.
명세서 전체에서 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다. 또한, 명세서에 기재된 "...부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다.
"네트워크"는 컴퓨터 시스템들 및/또는 모듈들 간의 전자 데이터를 전송할 수 있게 하는 하나 이상의 데이터 링크로서 정의된다. 정보가 네트워크 또는 다른 (유선, 무선, 또는 유선 또는 무선의 조합인) 통신 접속을 통하여 컴퓨터 시스템에 전송되거나 제공될 때, 이 접속은 컴퓨터-판독가능매체로서 이해될 수 있다.
본 발명은 퍼스널 컴퓨터, 랩탑 컴퓨터, 핸드헬드 장치, 멀티프로세서 시스템, 마이크로프로세서-기반 또는 프로그램 가능한 가전제품(programmable consumer electronics), 네트워크 PC, 미니컴퓨터, 메인프레임 컴퓨터, 모바일 전화, PDA, 페이저(pager) 등을 포함하는 다양한 유형의 컴퓨터 시스템 구성을 가지는 네트워크컴퓨팅 환경에서 실시될 수 있다.
본 발명은 또한 네트워크를 통해 유선 데이터 링크, 무선 데이터 링크, 또는 유선 및 무선 데이터 링크의 조합으로 링크된 로컬 및 원격 컴퓨터 시스템 모두가 태스크를 수행하는 분산형 시스템 환경에서 실행될 수 있다. 분산형 시스템 환경에서, 프로그램 모듈은 로컬 및 원격 메모리 저장 장치에 위치될 수 있다.
본 발명의 일실시 예에 따른 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법은 특정 네트워크 망 내에서 생성되는 명령 이벤트들을 이벤트 발생 주체, 명령 수행 주체, 두 주체 사이에 존재하는 프로퍼티 조합으로 구성된 매트릭스를 구성하는 단계와 상기 구성된 매트릭스 및 명령 이벤트로부터 이상행위를 탐지하는 단계를 포함한다.
본 발명의 일실시 예에 따른 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법이 적용되는 시스템(100)은 생성부(110)와 탐지부(120)로 구성된다. 생성부는 매트릭스 기반 화이트리스트 생성 기능을 하는 것으로, 행위탐지부(111), 매트릭스 생성부(112), 화이트리스트 등록부(113)로 구성된다.
탐지부(120)는 이상행위 탐지가 이루어지는 부분으로, 통신부(121), 행위정보 데이터베이스(122), 공격 추론부(123)로 구성된다.
인가되지 않은 네트워크 연결이 탐지될 시, 상기 주장치 및 상기 단말 장치의 부모 프로세스, 자식 프로세스 및 해쉬값을 포함하는 프로세스 화이트리스트와, 상기 주장치 및 단말 장치에 대한 부모 프로세스 및 자식 프로세스를 비교함으로써 이상 원인을 추적하는 추적부를 포함하고, 상기 화이트리스트는 프로세스 화이트리스트, 파일 화이트리스트 및 네트워크 화이트리스트를 포함한다.
이상 본 발명의 실시 예에 따른 도면을 참조하여 설명하였지만, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면 상기 내용을 바탕으로 본 발명의 범주 내에서 다양한 응용, 변형 및 개작을 행하는 것이 가능할 것이다. 이에, 본 발명의 진정한 보호 범위는 첨부된 청구 범위에 의해서만 정해져야 할 것이다.
110 : 생성부
111 : 행위탐지부
112 : 매트릭스 생성부
113 : 화이트리스트 등록부
120 : 탐지부
121 : 통신부
122 : 행위정보 데이터베이스
123 : 공격 추론부
111 : 행위탐지부
112 : 매트릭스 생성부
113 : 화이트리스트 등록부
120 : 탐지부
121 : 통신부
122 : 행위정보 데이터베이스
123 : 공격 추론부
Claims (2)
- 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법이 적용되는 시스템(100)은 생성부(110)와 탐지부(120)로 구성되며, 상기 생성부(110)는 행위탐지부(111), 매트릭스 생성부(112), 화이트리스트 등록부(113)로 구성되며, 상기 탐지부(120)는 통신부(121), 행위정보 데이터베이스(122), 공격 추론부(123)로 구성된 시스템(100)의 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법에 있어서,
특정 네트워크 망 내에서 생성되는 명령 이벤트들을 이벤트 발생 주체, 명령 수행 주체, 두 주체 사이에 존재하는 프로퍼티 조합으로 구성된 매트릭스를 구성하는 단계와;
상기 구성된 매트릭스 및 명령 이벤트로부터 이상행위를 탐지하는 단계;
상기 시스템(100)에서, 인가되지 않은 네트워크 연결이 탐지될 경우, 매트릭스를 구성하는 단계는 주장치 및 단말 장치의 부모 프로세스, 자식 프로세스 및 해쉬값을 포함하는 프로세스 화이트리스트와, 상기 주장치 및 단말 장치에 대한 부모 프로세스 및 자식 프로세스를 비교함으로써 이상 원인을 추적하는 추적부를 포함하고, 상기 화이트리스트는 프로세스 화이트리스트, 파일 화이트리스트 및 네트워크 화이트리스트로 구성하는 것을 특징으로 하는 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법 - 삭제
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180001596A KR102032222B1 (ko) | 2018-01-05 | 2018-01-05 | 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180001596A KR102032222B1 (ko) | 2018-01-05 | 2018-01-05 | 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20190083764A KR20190083764A (ko) | 2019-07-15 |
KR102032222B1 true KR102032222B1 (ko) | 2019-10-15 |
Family
ID=67257603
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020180001596A KR102032222B1 (ko) | 2018-01-05 | 2018-01-05 | 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102032222B1 (ko) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101767454B1 (ko) * | 2015-11-12 | 2017-08-14 | 주식회사 엔젠소프트 | 다양한 웹 서비스 환경에서 사용자의 행위 패턴 분석을 통한 이상행위 탐지 방법과 그를 위한 장치 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102017756B1 (ko) | 2014-01-13 | 2019-09-03 | 한국전자통신연구원 | 이상행위 탐지 장치 및 방법 |
KR20170081543A (ko) * | 2016-01-04 | 2017-07-12 | 한국전자통신연구원 | 상황 정보 기반 이상징후 탐지 장치 및 방법 |
-
2018
- 2018-01-05 KR KR1020180001596A patent/KR102032222B1/ko active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101767454B1 (ko) * | 2015-11-12 | 2017-08-14 | 주식회사 엔젠소프트 | 다양한 웹 서비스 환경에서 사용자의 행위 패턴 분석을 통한 이상행위 탐지 방법과 그를 위한 장치 |
Also Published As
Publication number | Publication date |
---|---|
KR20190083764A (ko) | 2019-07-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Han et al. | Unicorn: Runtime provenance-based detector for advanced persistent threats | |
Hassan et al. | Nodoze: Combatting threat alert fatigue with automated provenance triage | |
US10248910B2 (en) | Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform | |
US20210092150A1 (en) | Advanced cybersecurity threat mitigation using behavioral and deep analytics | |
Joo et al. | S-Detector: an enhanced security model for detecting Smishing attack for mobile computing | |
US9838419B1 (en) | Detection and remediation of watering hole attacks directed against an enterprise | |
Garitano et al. | A review of SCADA anomaly detection systems | |
JP2020022208A (ja) | 通信ネットワークに接続された作業環境への攻撃を検出する方法 | |
CN107003976A (zh) | 基于可准许活动规则确定可准许活动 | |
Agarwal et al. | Detecting malicious accounts in permissionless blockchains using temporal graph properties | |
US11949719B2 (en) | Systems and methods of information security monitoring with third-party indicators of compromise | |
CN107408176A (zh) | 恶意对象的执行剖析检测 | |
CN103761175A (zh) | 一种Linux***下程序执行路径监测***及其方法 | |
WO2021014208A2 (en) | Detection and prevention of malicious script attacks using behavioral analysis of run-time script execution events | |
US20230252136A1 (en) | Apparatus for processing cyber threat information, method for processing cyber threat information, and medium for storing a program processing cyber threat information | |
WO2021025783A1 (en) | Automatic generation of detection alerts | |
KR102032222B1 (ko) | 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법 | |
US20230252146A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
Fowdur et al. | A real-time machine learning application for browser extension security monitoring | |
US20230254340A1 (en) | Apparatus for processing cyber threat information, method for processing cyber threat information, and medium for storing a program processing cyber threat information | |
Fawaz et al. | Learning process behavioral baselines for anomaly detection | |
Du et al. | Research on a security mechanism for cloud computing based on virtualization | |
Ksibi et al. | IoMT security model based on machine learning and risk assessment techniques | |
US20210067554A1 (en) | Real-time notifications on data breach detected in a computerized environment | |
Armstrong et al. | Complexity science challenges in cybersecurity |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |