KR20140077405A - 사이버 공격 탐지 장치 및 방법 - Google Patents

사이버 공격 탐지 장치 및 방법 Download PDF

Info

Publication number
KR20140077405A
KR20140077405A KR1020120146176A KR20120146176A KR20140077405A KR 20140077405 A KR20140077405 A KR 20140077405A KR 1020120146176 A KR1020120146176 A KR 1020120146176A KR 20120146176 A KR20120146176 A KR 20120146176A KR 20140077405 A KR20140077405 A KR 20140077405A
Authority
KR
South Korea
Prior art keywords
information
genetic information
cyber
attack
time
Prior art date
Application number
KR1020120146176A
Other languages
English (en)
Inventor
김태성
최두호
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020120146176A priority Critical patent/KR20140077405A/ko
Publication of KR20140077405A publication Critical patent/KR20140077405A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

사이버 표적 공격은 알려지지 않은 취약점을 공격하기 때문에 기존 보안 시스템의 시그니처 기반의 탐지로는 방어가 힘들다. 또한, 이상 트래픽을 감지하는 시스템을 무력화하기 위해 장기간 동안 아주 천천히 공격을 시도하므로, 피해 시스템은 피해를 인지하지 못하게 된다. 본 발명에서는 알려지지 않은 취약점을 이용하여 장기간에 걸쳐 공격하는 사이버 표적 공격을 탐지하는 기술을 제공하며, 정보 시스템의 다양한 소스로부터 정보를 입력 받아 보관한 후 이를 기존 저장된 정상적 행위와 유사도를 비교하여 공격의 행위를 탐지하는 기술을 제공한다.

Description

사이버 공격 탐지 장치 및 방법{METHOD AND APPARATUS FOR DETECTING CYBER TARGET ATTACK}
본 발명은 사이버 공격 탐지 기술에 관한 것으로, 특히 기업 또는 공공기관의 주요정보 시스템을 겨냥하여 장기간 공격하는 표적 공격을 탐지하는데 적합한 사이버 공격 탐지 장치 및 방법에 관한 것이다.
사이버 표적 공격은 제조사나 보안 업체가 아직 알고 있지 않은 보안 취약점을 이용하여 시스템을 공격하고, 트래픽 검사 등에 탐지되지 않기 위해 조용히, 그리고 오랜 기간 동안 기업이나 공공기관의 주요 정보 시스템을 공격하는 특징을 갖는다.
이러한 공격은 알려지지 않은 취약점을 공격하기 때문에 기존 보안 시스템의 시그니처 기반의 탐지로는 방어가 힘들다. 또한, 이상 트래픽을 감지하는 시스템을 무력화하기 위해 장기간 동안 아주 천천히 공격을 시도하므로, 피해 시스템은 피해를 인지하지 못하게 된다.
한국공개특허 2009-0084530호, 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지 및 차단 방법, 및 그 장치, 2009.08.05 공개
본 발명은 알려지지 않은 취약점을 이용하여 장기간에 걸쳐 공격하는 사이버 표적 공격을 탐지하는 기술을 제공한다.
구체적으로, 본 발명은 정보 시스템의 다양한 소스로부터 정보를 입력 받아 보관한 후 이를 기존 저장된 정상적 행위와 유사도를 비교하여 공격의 행위를 탐지하는 기술을 제공한다.
본 발명의 실시예에 따르면, 기 설정된 기간 동안 정보 소스를 수집하는 과정과, 수집되는 상기 정보 소스로부터 유전정보를 분류하는 과정과, 분류되는 상기 유전정보와 기 설정된 유전정보를 비교하는 과정과, 분류되는 상기 유전정보와 상기 기 설정된 유전정보가 불일치하는 경우에 이상행위 검출 알람을 발생하는 과정을 포함하는 사이버 공격 탐지 방법을 제공할 수 있다.
본 발명은 알려지지 않은 취약점을 장기간 공격하는 사이버 표적 공격의 탐지를 위해 사이버 유전정보의 개념을 도입하였다. 다양한 소스로부터 장기간 수집된 로그로부터 사이버 유전정보의 프로파일링(profiling)을 통해 이상행위를 검출하여 공격을 탐지해 낼 수 있다. 또한, 유전정보는 진화라는 개념으로 복잡한 형태로 발전하고 이는 좀 더 정교한 탐지를 가능하게 한다.
도 1은 본 발명의 실시예에 따른 사이버 공격 탐지 장치에 대한 블록도,
도 2는 본 발명의 실시예에 따른 사이버 공격 탐지 방법을 예시적으로 설명하는 흐름도,
도 3은 본 발명의 실시예에 적용될 수 있는 사이버 유전 정보의 예시 도면,
도 4는 도 3의 사이버 유전 정보의 진화 형태를 예시한 도면.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 도면부호는 동일 구성 요소를 지칭한다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또한, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
표적 공격은 제로-데이(Zero-day) 취약점이라는 기존 보안 시스템이나 제조사가 인지하지 못하고 있는 취약점을 이용해 공격하므로, 악성코드의 시그니쳐 트래픽 패턴으로 공격을 탐지하는 보안 시스템으로는 방어가 불가능하다. 또한, 이상 트래픽을 발생시키지 않기 위해 장기간 동안 조용히 공격을 실행하여 탐지를 어렵게 하는 특성이 있다.
본 발명에서는 알려지지 않은 취약점을 장기간 공격하는 사이버 표적 공격의 탐지를 위해 사이버 유전정보의 개념을 도입하였으며, 다양한 소스로부터 장기간 수집된 로그로부터 사이버 유전정보의 프로파일링(profiling)을 통해 이상행위를 검출하여 공격을 탐지하고자 하는 것으로, 이러한 기술 사상으로부터 본 발명의 목적으로 하는 바를 용이하게 달성할 수 있을 것이다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예에 대해 상세히 설명하기로 한다.
도 1은 본 발명의 실시예에 따른 사이버 공격 탐지 장치에 대한 개략적인 블록도로서, 정보 소스 수집부(100), 프로파일링부(102), 이상행위 검출부(104) 등을 포함할 수 있다.
도 1에 도시한 바와 같이, 정보 소스 수집부(100)는 장기간 동안 정보 소스를 수집하는 역할을 수행할 수 있다.
이때, 정보 소스는 표적 공격을 탐지하기 위한 다양한 소스들을 포함할 수 있는데, 예컨대 네트워크 라우터 로그(network router log), 데이터베이스 로그(database log), PC 이벤트 정보(Personal Computer event information), 스마트폰 접속 기록 정보, 기업정보 시스템 로그, 이메일(e-mail) 등에서 적어도 하나의 정보를 포함할 수 있다. 이러한 정보 소스들을 이용하여 표적 공격을 탐지하는 기술은 본 발명의 실시예에 따른 특징 중 하나이며, 네트워크 로그만을 이용하여 공격을 인지하는 종래의 기술과 대비될 수 있다.
프로파일링부(102)는 정보 소스 수집부(100)를 통해 수집되는 정보 소스로부터 유전정보를 분류하는 역할을 할 수 있다. 유전정보를 분류하는 것을 프로파일링이라 명명할 수 있다.
본 발명의 실시예에 따른 이상행위 검출부(104)는 프로파일링부(102)에서 분류되는 유전정보와 기 설정된 유전정보를 비교하고, 분류된 유전정보와 기 설정된 유전정보가 서로 일치하지 않을 경우에 이상행위로 검출하는 역할을 할 수 있다. 이상행위가 검출되면 별도의 알람 시스템(도시 생략됨)을 통해 이상행위 검출 사실을 보안 담당자에게 인지시킬 수 있다.
이하, 상술한 구성과 함께, 본 발명의 실시예에 따른 사이버 공격 탐지 방법을 첨부한 도 2의 흐름도를 참조하여 상세히 설명하기로 한다.
도 2에 도시한 바와 같이, 정보 소스 수집부(100)는 일정 기간 동안 네트워크 라우터 로그, 데이터베이스 로그, PC 이벤트 정보, 스마트폰 접속 기록 정보, 기업정보 시스템 로그, 이메일 등과 같은 정보 소스를 수집할 수 있다(S100).
프로파일링부(102)는 이렇게 수집되는 정보 소스로부터 유전정보를 분류할 수 있다(S102). 유전정보를 분류하는 것을 프로파일링이라 명명할 수 있다.
이때, 유전정보는 정상 행위와 공격 행위를 구분하기 위한 사이버 유전정보로서, 하나의 주체가 정보 시스템에서 수행한 일련의 행위로 정의할 수 있다. 예컨대, 임의의 정보 시스템 담당자가 개인 PC를 부팅하여 로긴(log-in)하고, 이메일을 확인하며, 본인에게 상신된 전자 결재를 처리하는 등의 일련의 과정이 하나의 사이버 유전정보라고 할 수 있다.
도 3은 이와 같은 사이버 유전정보를 예시적으로 나타낸 도면으로서, 사이버 유전정보는 요소와 체인으로 구성될 수 있다.
요소는 유전정보 내의 하나의 사이버 행위를 지칭할 수 있으며, 체인은 요소와 요소 간의 관계를 지칭할 수 있다.
다음 [표 1]은 유전정보와 이에 해당하는 프로파일을 예시한 것이다.
유전정보 프로파일
요소: 로긴 09:00 ~ 09:10 hong 사용자 20120928 09:05:43 로긴
요소: 메일 읽기 09:08 ~ 09:30 etri/hong 계정 메일 20120928 09:06:04 read
etri/hong 계정 메일 20120928 09:06:34 read
체인: 동일 아이피(IP) 체인: 129.254.185.131 IP address
[표 1]과 같이, 프로파일리은 주기적으로 이루어지며, 이를 통해 기존 유전정보에 맞지 않는 이상행위를 검출하게 된다.
도 2의 단계(S104)에서, 이상행위 검출부(104)는 프로파일링부(102)를 통해 분류된 유전정보와 기 설정된 유전정보를 비교할 수 있다.
분류된 유전정보와 기 설정된 유전정보를 비교한 결과(S106), 분류된 유전정보와 기 설정된 유전정보가 일치하지 않은 경우에는, 이상행위 검출부(104)는 이상행위 검출 알림을 발생할 수 있다(S108). 이상행위 검출 알림은 별도의 알람 시스템(도시 생략됨)을 통해 이상행위 검출 사실을 보안 담당자에게 인지시키는 과정일 수 있다.
반면, 분류된 유전정보와 기 설정된 유전정보가 서로가 일치하는 경우에는 정상행위로 기록할 수 있다(S112).
한편, 본 발명의 실시예에서는, 이상행위가 반복적으로 수행될 수도 있는데, 이러한 경우는 진화로 받아들여져 정상행위로 기록될 수도 있다. 예컨대, 도 3의 유전정보에 전자결재 항목이 추가될 수도 있고, 이를 세부적으로 알 수 있는 데이터베이스 로그도 포함될 수 있다.
이렇게 진화된 유전정보는 복잡하게 변화되어 도 4와 같은 형태로 예시될 수도 있다.
이상 설명한 바와 같은 본 발명의 실시예에 의하면, 알려지지 않은 취약점을 장기간 공격하는 사이버 표적 공격의 탐지를 위해 사이버 유전정보의 개념을 도입한 것으로, 다양한 소스로부터 장기간 수집된 로그로부터 사이버 유전정보의 프로파일링을 통해 이상행위를 검출하여 공격을 탐지해 낼 수 있으며, 유전정보는 진화라는 개념으로 복잡한 형태로 발전시키고 이를 통해 보다 정교한 탐지가 가능하게 구현한 것이다.
100: 정보 소스 수집부
102: 프로파일링부
104: 이상행위 검출부

Claims (1)

  1. 기 설정된 기간 동안 정보 소스를 수집하는 과정과,
    수집되는 상기 정보 소스로부터 유전정보를 분류하는 과정과,
    분류되는 상기 유전정보와 기 설정된 유전정보를 비교하는 과정과,
    분류되는 상기 유전정보와 상기 기 설정된 유전정보가 불일치하는 경우에 이상행위 검출 알람을 발생하는 과정을 포함하는
    사이버 공격 탐지 방법.
KR1020120146176A 2012-12-14 2012-12-14 사이버 공격 탐지 장치 및 방법 KR20140077405A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120146176A KR20140077405A (ko) 2012-12-14 2012-12-14 사이버 공격 탐지 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120146176A KR20140077405A (ko) 2012-12-14 2012-12-14 사이버 공격 탐지 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20140077405A true KR20140077405A (ko) 2014-06-24

Family

ID=51129347

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120146176A KR20140077405A (ko) 2012-12-14 2012-12-14 사이버 공격 탐지 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20140077405A (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102120214B1 (ko) 2019-11-15 2020-06-08 (주)유엠로직스 앙상블 기계학습 기법을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법
KR102120232B1 (ko) 2019-11-04 2020-06-16 (주)유엠로직스 칼만필터 알고리즘을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법
KR20210064848A (ko) 2019-11-26 2021-06-03 한전케이디엔주식회사 연합 학습을 통한 인공지능 기반 보안관제 시스템 및 방법
KR20220069544A (ko) 2020-11-20 2022-05-27 (주)유엠로직스 다중 기계학습 기법을 이용한 설명 가능한 사이버 표적공격 탐지 시스템 및 그 방법
KR20220072939A (ko) 2020-11-25 2022-06-03 (주)유엠로직스 시계열 학습형 앙상블 인공지능 기법을 이용한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102120232B1 (ko) 2019-11-04 2020-06-16 (주)유엠로직스 칼만필터 알고리즘을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법
KR102120214B1 (ko) 2019-11-15 2020-06-08 (주)유엠로직스 앙상블 기계학습 기법을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법
KR20210064848A (ko) 2019-11-26 2021-06-03 한전케이디엔주식회사 연합 학습을 통한 인공지능 기반 보안관제 시스템 및 방법
KR20220069544A (ko) 2020-11-20 2022-05-27 (주)유엠로직스 다중 기계학습 기법을 이용한 설명 가능한 사이버 표적공격 탐지 시스템 및 그 방법
KR20220072939A (ko) 2020-11-25 2022-06-03 (주)유엠로직스 시계열 학습형 앙상블 인공지능 기법을 이용한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법

Similar Documents

Publication Publication Date Title
US11165815B2 (en) Systems and methods for cyber security alert triage
US11218510B2 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
US20220201042A1 (en) Ai-driven defensive penetration test analysis and recommendation system
US10721245B2 (en) Method and device for automatically verifying security event
CN110602041A (zh) 基于白名单的物联网设备识别方法、装置及网络架构
US20120079598A1 (en) Tiered risk model for event correlation
US20220210202A1 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
Wang et al. Attentional heterogeneous graph neural network: Application to program reidentification
KR20140077405A (ko) 사이버 공격 탐지 장치 및 방법
US11698962B2 (en) Method for detecting intrusions in an audit log
US10193904B2 (en) Data-driven semi-global alignment technique for masquerade detection in stand-alone and cloud computing systems
US11711383B2 (en) Autonomous generation of attack signatures to detect malicious network activity
US20170155683A1 (en) Remedial action for release of threat data
Matsuda et al. Detecting apt attacks against active directory using machine leaning
Abdullayev et al. SQL injection attack: Quick view
CN103268447A (zh) 一种防钓鱼方法及***
CN116319074B (zh) 一种基于多源日志的失陷设备检测方法、装置及电子设备
US8549631B2 (en) Internet site security system and method thereto
Maamar et al. Open challenges in vetting the internet‐of‐things
US20230018096A1 (en) Analysis apparatus, analysis method, and non-transitory computer readable medium storing analysis program
Carrier Detecting obfuscated malware using memory feature engineering
Nicula et al. Technical and Economical Evaluation of IOT Attacks and their Corresponding Vulnerabilities.
Chamiekara et al. Autosoc: A low budget flexible security operations platform for enterprises and organizations
Deepserish et al. PET-Droid: Android Malware Detection Using Static Analysis
KR101754964B1 (ko) 악성 행위 탐지 방법 및 시스템

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination