KR102032222B1 - 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법 - Google Patents

매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법 Download PDF

Info

Publication number
KR102032222B1
KR102032222B1 KR1020180001596A KR20180001596A KR102032222B1 KR 102032222 B1 KR102032222 B1 KR 102032222B1 KR 1020180001596 A KR1020180001596 A KR 1020180001596A KR 20180001596 A KR20180001596 A KR 20180001596A KR 102032222 B1 KR102032222 B1 KR 102032222B1
Authority
KR
South Korea
Prior art keywords
matrix
whitelist
unit
abnormal behavior
generation
Prior art date
Application number
KR1020180001596A
Other languages
English (en)
Other versions
KR20190083764A (ko
Inventor
이진흥
정충교
Original Assignee
다운정보통신(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 다운정보통신(주) filed Critical 다운정보통신(주)
Priority to KR1020180001596A priority Critical patent/KR102032222B1/ko
Publication of KR20190083764A publication Critical patent/KR20190083764A/ko
Application granted granted Critical
Publication of KR102032222B1 publication Critical patent/KR102032222B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 특정 네트워크 망 내에서 생성되는 명령 이벤트들을 이벤트 발생 주체, 명령 수행 주체, 두 주체 사이에 존재하는 프로퍼티 조합으로 구성된 매트릭스를 구성하는 단계와 상기 구성된 매트릭스 및 명령 이벤트로부터 이상행위를 탐지하는 단계;를 포함하는 것을 특징으로 하는 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법에 관한 것이다.

Description

매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법{Method for Generating Whitelist and Detecting Abnormal Behavior Based on Matrix}
본 발명 중소벤처기업부와 부산지방중소기업청의 기술혁신개발사업으로 수행된 연구결과이다.
본 발명은 특정 네트워크 망 내에서 생성되는 명령 이벤트들을 이벤트 발생 주체, 명령 수행 주체, 두 주체 사이에 존재하는 프로퍼티 조합으로 구성된 매트릭스를 구성하는 단계와 상기 구성된 매트릭스 및 명령 이벤트로부터 이상행위를 탐지하는 단계;를 포함하는 것을 특징으로 하는 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법에 관한 것이다.
최근 몇 년간 웹 서버에서 발생하는 비정상 행위를 탐지하기 위한 많은 연구가 진행되어 왔다. 인터넷의 규모가 빠르게 팽창하고 이용률이 증가함에 따라 분석해야 할 대상들이 급격하게 증가하였음에도 불구하고 대용량의 데이터에서 효과적으로 비정상 행위를 분석할 수 있는 방법이 없었기 때문에 단순한 통계적 방법을 이용하여 웹 로그를 분석해 왔다. 또한 기존의 연구는 인위적으로 만들어진 데이터를 대상으로 탐지모델을 제안하고 효용성을 검증하였기 때문에 한계를 가지고 있다.
대한민국 공개특허번호 : 제10-2015-0084123호 대한민국 공개특허번호 : 제10-2017-0056045호
본 발명은 상기와 같은 종래기술의 문제점을 해결하는 것을 목적으로 한다.
구체적으로, 본 발명의 목적은 매트릭스 기반의 이상행위 탐지를 위한 화이트리스트 생성 방법 및 이를 이용한 공격탐지 방법을 제공하는 것이다.
본 발명이 이루고자 하는 기술적 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
이러한 목적을 달성하기 위한 본 발명에 따른 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법은 특정 네트워크 망 내에서 생성되는 명령 이벤트들을 이벤트 발생 주체, 명령 수행 주체, 두 주체 사이에 존재하는 프로퍼티 조합으로 구성된 매트릭스를 구성하는 단계와 상기 구성된 매트릭스 및 명령 이벤트로부터 이상행위를 탐지하는 단계를 포함하는 것을 특징으로 한다.
매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법이 적용되는 시스템은 행위탐지부, 매트릭스 생성부, 화이트리스트 등록부로 구성되는 생성부; 통신부, 행위정보 데이터베이스, 공격 추론부로 구성되는 탐지부; 를 포함하는 것을 특징으로 한다.
이상과 같이 본 발명은 매트릭스 기반의 이상행위 탐지를 위한 화이트리스트 생성 방법 및 이를 이용한 공격탐지 방법을 제공하는 효과가 있다.
본 발명의 기술적 효과들은 이상에서 언급한 기술적 효과들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 효과들은 청구범위의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일실시 예에 따른 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법이 적용된 시스템을 나타내는 도면이다.
도 2는 기존의 이상행위 탐지 장치를 나타내는 도면이다.
이하, 본 발명의 바람직한 실시 예를 첨부된 도면을 참조하여 상세히 설명한다. 참고로, 본 발명을 설명하는 데 참조하는 도면에 도시된 구성요소의 크기, 선의 두께 등은 이해의 편의상 다소 과장되게 표현되어 있을 수 있다. 또, 본 발명의 설명에 사용되는 용어들은 본 발명에서의 기능을 고려하여 정의한 것이므로 사용자, 운용자 의도, 관례 등에 따라 달라질 수 있다. 따라서, 이 용어에 대한 정의는 본 명세서의 전반에 걸친 내용을 토대로 내리는 것이 마땅하겠다.
또한, 본 발명의 목적이 구체적으로 실현될 수 있는 본 발명의 바람직한 실시 예를 첨부된 도면을 참조하여 설명하지만, 이는 본 발명의 더욱 용이한 이해를 위한 것으로, 본 발명의 범주가 그것에 의해 한정되는 것은 아니다. 아울러, 본 발명의 실시 예를 설명함에 있어서, 동일 구성에 대해서는 동일 명칭 및 동일 부호가 사용되며 이에 따른 부가적인 설명은 생략하기로 한다.
본 발명의 각 구성 단계에 대한 상세한 설명에 앞서, 본 명세서 및 청구 범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 안 되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위하여 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 따라서, 본 명세서에 기재된 실시 예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일실시 예에 불과하며 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원 시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.
명세서 전체에서 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다. 또한, 명세서에 기재된 "...부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다.
"네트워크"는 컴퓨터 시스템들 및/또는 모듈들 간의 전자 데이터를 전송할 수 있게 하는 하나 이상의 데이터 링크로서 정의된다. 정보가 네트워크 또는 다른 (유선, 무선, 또는 유선 또는 무선의 조합인) 통신 접속을 통하여 컴퓨터 시스템에 전송되거나 제공될 때, 이 접속은 컴퓨터-판독가능매체로서 이해될 수 있다.
본 발명은 퍼스널 컴퓨터, 랩탑 컴퓨터, 핸드헬드 장치, 멀티프로세서 시스템, 마이크로프로세서-기반 또는 프로그램 가능한 가전제품(programmable consumer electronics), 네트워크 PC, 미니컴퓨터, 메인프레임 컴퓨터, 모바일 전화, PDA, 페이저(pager) 등을 포함하는 다양한 유형의 컴퓨터 시스템 구성을 가지는 네트워크컴퓨팅 환경에서 실시될 수 있다.
본 발명은 또한 네트워크를 통해 유선 데이터 링크, 무선 데이터 링크, 또는 유선 및 무선 데이터 링크의 조합으로 링크된 로컬 및 원격 컴퓨터 시스템 모두가 태스크를 수행하는 분산형 시스템 환경에서 실행될 수 있다. 분산형 시스템 환경에서, 프로그램 모듈은 로컬 및 원격 메모리 저장 장치에 위치될 수 있다.
본 발명의 일실시 예에 따른 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법은 특정 네트워크 망 내에서 생성되는 명령 이벤트들을 이벤트 발생 주체, 명령 수행 주체, 두 주체 사이에 존재하는 프로퍼티 조합으로 구성된 매트릭스를 구성하는 단계와 상기 구성된 매트릭스 및 명령 이벤트로부터 이상행위를 탐지하는 단계를 포함한다.
본 발명의 일실시 예에 따른 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법이 적용되는 시스템(100)은 생성부(110)와 탐지부(120)로 구성된다. 생성부는 매트릭스 기반 화이트리스트 생성 기능을 하는 것으로, 행위탐지부(111), 매트릭스 생성부(112), 화이트리스트 등록부(113)로 구성된다.
탐지부(120)는 이상행위 탐지가 이루어지는 부분으로, 통신부(121), 행위정보 데이터베이스(122), 공격 추론부(123)로 구성된다.
인가되지 않은 네트워크 연결이 탐지될 시, 상기 주장치 및 상기 단말 장치의 부모 프로세스, 자식 프로세스 및 해쉬값을 포함하는 프로세스 화이트리스트와, 상기 주장치 및 단말 장치에 대한 부모 프로세스 및 자식 프로세스를 비교함으로써 이상 원인을 추적하는 추적부를 포함하고, 상기 화이트리스트는 프로세스 화이트리스트, 파일 화이트리스트 및 네트워크 화이트리스트를 포함한다.
이상 본 발명의 실시 예에 따른 도면을 참조하여 설명하였지만, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면 상기 내용을 바탕으로 본 발명의 범주 내에서 다양한 응용, 변형 및 개작을 행하는 것이 가능할 것이다. 이에, 본 발명의 진정한 보호 범위는 첨부된 청구 범위에 의해서만 정해져야 할 것이다.
110 : 생성부
111 : 행위탐지부
112 : 매트릭스 생성부
113 : 화이트리스트 등록부
120 : 탐지부
121 : 통신부
122 : 행위정보 데이터베이스
123 : 공격 추론부

Claims (2)

  1. 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법이 적용되는 시스템(100)은 생성부(110)와 탐지부(120)로 구성되며, 상기 생성부(110)는 행위탐지부(111), 매트릭스 생성부(112), 화이트리스트 등록부(113)로 구성되며, 상기 탐지부(120)는 통신부(121), 행위정보 데이터베이스(122), 공격 추론부(123)로 구성된 시스템(100)의 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법에 있어서,

    특정 네트워크 망 내에서 생성되는 명령 이벤트들을 이벤트 발생 주체, 명령 수행 주체, 두 주체 사이에 존재하는 프로퍼티 조합으로 구성된 매트릭스를 구성하는 단계와;
    상기 구성된 매트릭스 및 명령 이벤트로부터 이상행위를 탐지하는 단계;
    상기 시스템(100)에서, 인가되지 않은 네트워크 연결이 탐지될 경우, 매트릭스를 구성하는 단계는 주장치 및 단말 장치의 부모 프로세스, 자식 프로세스 및 해쉬값을 포함하는 프로세스 화이트리스트와, 상기 주장치 및 단말 장치에 대한 부모 프로세스 및 자식 프로세스를 비교함으로써 이상 원인을 추적하는 추적부를 포함하고, 상기 화이트리스트는 프로세스 화이트리스트, 파일 화이트리스트 및 네트워크 화이트리스트로 구성하는 것을 특징으로 하는 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법
  2. 삭제
KR1020180001596A 2018-01-05 2018-01-05 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법 KR102032222B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180001596A KR102032222B1 (ko) 2018-01-05 2018-01-05 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180001596A KR102032222B1 (ko) 2018-01-05 2018-01-05 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법

Publications (2)

Publication Number Publication Date
KR20190083764A KR20190083764A (ko) 2019-07-15
KR102032222B1 true KR102032222B1 (ko) 2019-10-15

Family

ID=67257603

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180001596A KR102032222B1 (ko) 2018-01-05 2018-01-05 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법

Country Status (1)

Country Link
KR (1) KR102032222B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101767454B1 (ko) * 2015-11-12 2017-08-14 주식회사 엔젠소프트 다양한 웹 서비스 환경에서 사용자의 행위 패턴 분석을 통한 이상행위 탐지 방법과 그를 위한 장치

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102017756B1 (ko) 2014-01-13 2019-09-03 한국전자통신연구원 이상행위 탐지 장치 및 방법
KR20170081543A (ko) * 2016-01-04 2017-07-12 한국전자통신연구원 상황 정보 기반 이상징후 탐지 장치 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101767454B1 (ko) * 2015-11-12 2017-08-14 주식회사 엔젠소프트 다양한 웹 서비스 환경에서 사용자의 행위 패턴 분석을 통한 이상행위 탐지 방법과 그를 위한 장치

Also Published As

Publication number Publication date
KR20190083764A (ko) 2019-07-15

Similar Documents

Publication Publication Date Title
Han et al. Unicorn: Runtime provenance-based detector for advanced persistent threats
Hassan et al. Nodoze: Combatting threat alert fatigue with automated provenance triage
US10248910B2 (en) Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform
US20210092150A1 (en) Advanced cybersecurity threat mitigation using behavioral and deep analytics
Joo et al. S-Detector: an enhanced security model for detecting Smishing attack for mobile computing
US9838419B1 (en) Detection and remediation of watering hole attacks directed against an enterprise
Garitano et al. A review of SCADA anomaly detection systems
JP2020022208A (ja) 通信ネットワークに接続された作業環境への攻撃を検出する方法
CN107003976A (zh) 基于可准许活动规则确定可准许活动
Agarwal et al. Detecting malicious accounts in permissionless blockchains using temporal graph properties
US11949719B2 (en) Systems and methods of information security monitoring with third-party indicators of compromise
CN107408176A (zh) 恶意对象的执行剖析检测
CN103761175A (zh) 一种Linux***下程序执行路径监测***及其方法
WO2021014208A2 (en) Detection and prevention of malicious script attacks using behavioral analysis of run-time script execution events
US20230252136A1 (en) Apparatus for processing cyber threat information, method for processing cyber threat information, and medium for storing a program processing cyber threat information
WO2021025783A1 (en) Automatic generation of detection alerts
KR102032222B1 (ko) 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법
US20230252146A1 (en) Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program
Fowdur et al. A real-time machine learning application for browser extension security monitoring
US20230254340A1 (en) Apparatus for processing cyber threat information, method for processing cyber threat information, and medium for storing a program processing cyber threat information
Fawaz et al. Learning process behavioral baselines for anomaly detection
Du et al. Research on a security mechanism for cloud computing based on virtualization
Ksibi et al. IoMT security model based on machine learning and risk assessment techniques
US20210067554A1 (en) Real-time notifications on data breach detected in a computerized environment
Armstrong et al. Complexity science challenges in cybersecurity

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant