KR20200109875A - Harmful ip determining method - Google Patents

Harmful ip determining method Download PDF

Info

Publication number
KR20200109875A
KR20200109875A KR1020190029665A KR20190029665A KR20200109875A KR 20200109875 A KR20200109875 A KR 20200109875A KR 1020190029665 A KR1020190029665 A KR 1020190029665A KR 20190029665 A KR20190029665 A KR 20190029665A KR 20200109875 A KR20200109875 A KR 20200109875A
Authority
KR
South Korea
Prior art keywords
harmful
score
increasing
packet
filtering
Prior art date
Application number
KR1020190029665A
Other languages
Korean (ko)
Inventor
임호문
김태균
신명순
배준환
손성훈
우지석
장세미
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020190029665A priority Critical patent/KR20200109875A/en
Publication of KR20200109875A publication Critical patent/KR20200109875A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

The present invention relates to a method for extracting IP from packets collected in a network and collecting and determining IP information related to harmful web page connection. According to the present invention, the method may comprise the steps of: collecting a packet transmitted through the network; detecting IP information of the packet; first filtering; second filtering; assigning a harmful score to an IP after the second filtering and determining the IP as a suspected harmful IP if the harmful score is greater than or equal to a predetermined value; crawling a web page connected through the suspected harmful IP; and determining a harmful confidence IP by analyzing a code of crawled data.

Description

유해 IP 판단 방법 {HARMFUL IP DETERMINING METHOD}How to determine harmful IP {HARMFUL IP DETERMINING METHOD}

본 발명은 유해 IP 판단 방법에 관한 것으로서, 보다 상세하게는 네트워크에서 수집되는 패킷으로부터 IP를 추출하고, 유해한 웹 페이지 연결과 관련된 IP 정보를 수집 및 판단하기 위한 방법에 관한 것이다.The present invention relates to a method for determining a harmful IP, and more particularly, to a method for extracting IP from packets collected in a network, and collecting and determining IP information related to connection to a harmful web page.

통신 기술의 발달과 함께 다양한 장치들이 온라인으로 연결되며 대량의 데이터를 빠른 속도로 전송하게 되었다. 하지만, PC를 포함한 IT 디바이스들은 다양한 장비 및 어플리케이션으로 인해서 보안 홀(hole)이 늘어나고 있는 상황이고, 다양한 형태의 공격으로 인해 정확한 공격을 탐지하기란 매우 어려운 상황이다.With the development of communication technology, various devices are connected online, and a large amount of data is transmitted at high speed. However, in IT devices including PCs, security holes are increasing due to various equipment and applications, and it is very difficult to accurately detect attacks due to various types of attacks.

기존의 네트워크 보안위협 분석은 보안장치 또는 통합보안시스템을 통해 실시되는 것으로서 네트워크 상에서 이벤트 발생시 미리 정의된 보안정책에 매칭된 시그니쳐 또는 임계치에 의한 분석으로 전세계 트래픽이 유통되는 ISP(Internet Service Provider)의 트래픽을 분석하는 방법을 사용한다. The existing network security threat analysis is performed through a security device or an integrated security system. When an event occurs on the network, the traffic of the ISP (Internet Service Provider), which distributes worldwide traffic through analysis by a signature matching a predefined security policy or a threshold. Use the method to analyze.

이러한 경우, 분석 대상이 되는 이벤트 경보의 양과 범위가 지나치게 넓게 되어 전수 분석을 할 수 없을 뿐만 아니라 이중 대부분은 공격성이 없는 일반적인 이벤트로서, 사이버 공격을 빠르게 예측하고 대응하는데 한계가 존재하였다.In this case, the amount and range of event alerts to be analyzed is too wide to perform full analysis, and most of them are general events without aggression, and there is a limit to quickly predicting and responding to cyber attacks.

특히, 악성 코드가 포함된 웹 페이지를 탐지하기 위해선 웹 페이지가 포함되는 IP 주소로부터 웹 크롤링을 수행하여야 하는데, 웹 크롤링의 대상을 효과적으로 필터링하지 못하면 악성 코드 분석이 소요되는 시간과 비용이 커지는 문제점이 있다. In particular, in order to detect a web page containing malicious code, web crawling must be performed from the IP address containing the web page. If the target of web crawling is not effectively filtered, the time and cost for malicious code analysis are increased. have.

또한, 보안성을 높이고자 기존의 해외의 관문 구간에 분산된 보안장비를 활용한 방식은 데이터를 하나의 서버에 수집/저장하지 않고 각각의 보안장비에서 데이터를 분석함으로써, 비대칭적인 트래픽 흐름을 갖는 대규모 네트워크에서는 유해 IP를 판단하는 정확도가 낮은 문제점이 있다.In addition, in order to increase security, the method of using the security equipment distributed in the existing overseas gateway section does not collect/store data in a single server, but analyzes the data in each security equipment, thereby having an asymmetric traffic flow. In a large-scale network, there is a problem that the accuracy of determining a harmful IP is low.

본 발명의 실시예에 따른 유해 IP 판단 방법은 분산되어 있는 보안장비의 데이터를 하나의 저장공간에 수집하여 분석함으로써 데이터 송신과 데이터 수신이 비대칭적인 망 구조에서 단 방향만 분석 가능했던 환경을 양방향 전체 데이터를 분석할 수 있도록 개선하는 것에 그 목적이 있다.The harmful IP determination method according to the embodiment of the present invention collects and analyzes data of distributed security equipment in one storage space, so that the environment in which only one direction analysis was possible in an asymmetrical network structure for data transmission and data reception is analyzed in both directions. Its purpose is to improve the data to be analyzed.

본 발명의 실시예에 따른 유해 IP 판단 방법은 여러 조건을 조합하고 각 조건에 따라 점수를 증가시켜 기존보다 높은 확률로 유해 IP의 주소를 검출하는 것에 다른 목적이 있다.A method for determining harmful IP according to an embodiment of the present invention has another object to detect an address of a harmful IP with a higher probability than before by combining several conditions and increasing a score according to each condition.

본 발명의 실시예에 따른 유해 IP 판단 방법은 유해 IP 주소를 찾아내기 위한 조건마다 다른 점수를 증가시키며, 신규 조건들을 추가할 수 있어 유해 IP 주소의 검출의 정확도를 높이는 것에 또 다른 목적이 있다.Another object of the method for determining a harmful IP according to an embodiment of the present invention is to increase the accuracy of detection of a harmful IP address by increasing a different score for each condition for finding a harmful IP address, and adding new conditions.

본 발명의 실시예에 따른 유해 IP 판단 방법은 필터링을 통해 웹 크롤링과 악성 코드 분석의 대상을 감소시킴으로써 보다 낮은 비용과 시간으로 유해 IP를 판단할 수 있도록 하는 것에 또 다른 목적이 있다.Another object of the method for determining harmful IPs according to an embodiment of the present invention is to reduce the targets of web crawling and malicious code analysis through filtering, so that harmful IPs can be determined at a lower cost and time.

상기한 과제를 해결하기 위해 본 발명의 일 실시예에 따른 유해 IP 판단 방법은 네트워크를 통해 전송되는 패킷을 수집하는 단계; 상기 패킷을 분석하여, 상기 패킷의 IP 정보를 검출하는 단계; 검출된 IP를 기 형성된 데이터베이스의 정상/유해 IP 리스트와 비교하여 상기 IP가 상기 정상/유해 IP 리스트에 매칭되면 제1 필터링하는 단계; 상기 제1 필터링을 거친 상기 IP를 통해 웹 페이지에 접속 가능한지 판단하여, 웹 페이지에 접속되기 위한 패킷이 아닌 경우 제2 필터링하는 단계; 상기 제2 필터링을 거친 IP에 대하여 유해 점수를 부여하며, 상기 유해 점수가 소정 수치 이상이면 상기 IP를 유해 의심 IP로 판단하는 단계; 상기 유해 의심 IP를 통해 연결되는 웹 페이지를 크롤링 하는 단계; 및 크롤링된 데이터의 코드를 분석하여 유해 확신 IP를 판단하는 단계;를 포함할 수 있다.In order to solve the above problems, a method for determining a harmful IP according to an embodiment of the present invention includes the steps of collecting packets transmitted through a network; Analyzing the packet and detecting IP information of the packet; Comparing the detected IP with a list of normal/harmful IPs in a previously formed database, and performing first filtering when the IP matches the list of normal/harmful IPs; Determining whether a web page can be accessed through the IP after the first filtering, and performing second filtering if the packet is not a packet for accessing the web page; Assigning a harmful score to the IP after the second filtering, and determining the IP as a suspected harmful IP if the harmful score is greater than or equal to a predetermined value; Crawling a web page connected through the suspected harmful IP; And determining a harmful confidence IP by analyzing the code of the crawled data.

상기 유해 확신 IP로 분류된 IP를 상기 정상/유해 IP 리스트에 포함시키는 단계; 를 더 포함할 수 있다.Including the IP classified as the harmful certain IP in the normal/hazardous IP list; It may further include.

상기 유해 의심 IP로 판단하는 단계는 상기 제2 필터링을 거친 패킷을 분석하여, 상기 소정의 조건 별로 유해 점수를 증가시키는 단계; 및 상기 유해 점수가 소정 수치 이상이면 유해 의심 IP로 분류 하는 단계; 를 포함할 수 있다.The determining as the suspected harmful IP may include analyzing the packet that has undergone the second filtering, and increasing a harmful score for each of the predetermined conditions; And classifying as a suspected harmful IP if the harmful score is greater than or equal to a predetermined value. It may include.

상기 소정의 조건 별로 유해 점수를 증가시키는 단계는 상기 IP의 서비스 포트가 소정의 포트에 연결되기 위한 것인지 여부에 따라 유해 점수를 증가시키는 단계; 상기 IP에 대한 세션수가 소정 수치를 초과하는 지 여부에 따라 유해 점수를 증가시키는 단계; 상기 IP를 통한 세션 성립이 3 way hand shake를 통해 이루어졌는지 여부에 따라 점수를 증가시키는 단계; 상기 IP에 대한 패킷수가 소정 수치를 초과하는 지 여부에 따라 유해 점수를 증가시키는 단계; 상기 패킷의 저장 용량 크기가 소정 수치 이상인 지 여부에 따라 유해 점수를 증가시키는 단계; 상기 패킷의 플래그에 소정 플래그가 포함되어있는 비율이 소정 수치를 초과하는 지 여부에 따라 유해 점수를 증가시키는 단계; 상기 IP를 통해 접속되는 국가가 소정의 국가에 해당하는 지 여부에 따라 유해 점수를 증가시키는 단계; 및 상기 IP가 유해 의심 IP로 분류된 적이 있는 지 여부에 따라 유해 점수를 증가시키는 단계; 중 적어도 하나 이상의 단계에 따라 상기 IP에 대해 유해 점수를 증가시킬 수 있다.Increasing the harmful score for each predetermined condition may include increasing the harmful score according to whether the service port of the IP is to be connected to a predetermined port; Increasing a harmful score according to whether the number of sessions for the IP exceeds a predetermined value; Increasing a score according to whether or not session establishment through the IP has been made through a 3-way handshake; Increasing a harmful score according to whether the number of packets for the IP exceeds a predetermined value; Increasing the harmful score according to whether the size of the storage capacity of the packet is greater than or equal to a predetermined value; Increasing a harmful score according to whether a ratio in which a predetermined flag is included in the flag of the packet exceeds a predetermined value; Increasing the harmful score according to whether the country accessed through the IP corresponds to a predetermined country; And increasing a harmful score according to whether the IP has been classified as a suspected harmful IP. The harmful score for the IP may be increased according to at least one of the steps.

또한, 상기한 과제를 해결하기 위해 본 발명의 다른 실시예에 따른 유해 IP 판단 시스템은 각각의 통신 선로에서 패킷을 수집하는 보안 장비; 및 수집된 패킷을 분석하여 상기 패킷의 IP 정보를 검출하는 로그 분석 서버를 포함하고, 상기 로그분석 서버는 검출된 IP를 기 형성된 데이터베이스의 정상/유해 IP 리스트와 비교하여 상기 IP가 상기 정상/유해 IP 리스트에 매칭되면 제1 필터링을 수행하는 제1 필터링부; 상기 제1 필터링을 거친 상기 IP를 통해 웹 페이지에 접속 가능한지 판단하여, 웹 페이지에 접속되기 위한 패킷이 아닌 경우 제2 필터링하는 제2 필터링부; 상기 제2 필터링을 거친 IP에 대하여 유해 점수를 부여하며, 상기 유해 점수가 소정 수치 이상이면 상기 IP를 유해 의심 IP로 판단하는 유해 의심 IP 판단부; 상기 유해 의심 IP를 통해 연결되는 웹 페이지를 크롤링 하는 크롤링부; 및 크롤링된 데이터의 코드를 분석하여 유해 확신 IP를 판단하는 유해 확신 IP 판단부;를 포함할 수 있다.In addition, in order to solve the above problems, a harmful IP determination system according to another embodiment of the present invention includes: a security device collecting packets from each communication line; And a log analysis server that analyzes the collected packets to detect IP information of the packets, wherein the log analysis server compares the detected IP with a list of normal/harmful IPs in a previously formed database, and the IP is determined to be the normal/harmful. A first filtering unit that performs first filtering when it matches the IP list; A second filtering unit configured to determine whether a web page can be accessed through the IP after the first filtering, and to perform second filtering when the packet is not a packet for accessing the web page; A suspected harmful IP determination unit that assigns a harmful score to the IP after the second filtering, and determines the IP as a suspected harmful IP when the harmful score is greater than or equal to a predetermined value; A crawler crawling a web page connected through the suspected harmful IP; And a harmful confidence IP determination unit that determines the harmful confidence IP by analyzing the code of the crawled data.

상기 로그 분석 서버는 상기 유해 확신 IP로 분류된 IP를 상기 정상/유해 IP 리스트에 포함시킬 수 있다.The log analysis server may include the IP classified as the harmful certain IP in the normal/hazardous IP list.

상기 유해 의심 IP 판단부는 상기 제2 필터링을 거친 패킷을 분석하여, 상기 소정의 조건 별로 유해 점수를 증가시키고, 상기 유해 점수가 소정 수치 이상이면 유해 의심 IP로 분류할 수 있다.The suspected harmful IP determination unit analyzes the packet that has undergone the second filtering, increases a harmful score according to the predetermined condition, and classifies it as a suspected harmful IP if the harmful score is greater than or equal to a predetermined value.

상기 유해 의심 IP 판단부는 상기 IP의 서비스 포트가 소정의 포트에 연결되기 위한 것인지 여부에 따라 유해 점수를 증가시키는 단계; 상기 IP에 대한 세션수가 소정 수치를 초과하는 지 여부에 따라 유해 점수를 증가시키는 단계; 상기 IP를 통한 세션 성립이 3 way hand shake를 통해 이루어졌는지 여부에 따라 점수를 증가시키는 단계; 상기 IP에 대한 패킷수가 소정 수치를 초과하는 지 여부에 따라 유해 점수를 증가시키는 단계; 상기 패킷의 저장 용량 크기가 소정 수치 이상인 지 여부에 따라 유해 점수를 증가시키는 단계; 상기 패킷의 플래그에 소정 플래그가 포함되어있는 비율이 소정 수치를 초과하는 지 여부에 따라 유해 점수를 증가시키는 단계; 상기 IP를 통해 접속되는 국가가 소정의 국가에 해당하는 지 여부에 따라 유해 점수를 증가시키는 단계; 및 상기 IP가 유해 의심 IP로 분류된 적이 있는 지 여부에 따라 유해 점수를 증가시키는 단계; 중 적어도 하나 이상의 단계에 따라 상기 IP에 대해 유해 점수를 증가시킬 수 있다.The suspicious IP determination unit increasing a harmful score according to whether the service port of the IP is to be connected to a predetermined port; Increasing a harmful score according to whether the number of sessions for the IP exceeds a predetermined value; Increasing a score according to whether or not session establishment through the IP has been made through a 3-way handshake; Increasing a harmful score according to whether the number of packets for the IP exceeds a predetermined value; Increasing the harmful score according to whether the size of the storage capacity of the packet is greater than or equal to a predetermined value; Increasing a harmful score according to whether a ratio in which a predetermined flag is included in the flag of the packet exceeds a predetermined value; Increasing the harmful score according to whether the country accessed through the IP corresponds to a predetermined country; And increasing a harmful score according to whether the IP has been classified as a suspected harmful IP. It is possible to increase the harmful score for the IP according to at least one of the steps.

본 발명의 실시예에 따른 유해 IP 판단 방법은 분산되어 있는 보안장비의 데이터를 하나의 저장공간에 수집하여 분석함으로써 데이터 송신과 데이터 수신이 비대칭적인 망 구조에서 단 방향만 분석 가능했던 환경을 양방향 전체 데이터를 분석할 수 있도록 개선하는 효과가 있다.The harmful IP determination method according to the embodiment of the present invention collects and analyzes data of distributed security equipment in one storage space, so that the environment in which only one direction analysis was possible in an asymmetrical network structure for data transmission and data reception is analyzed in both directions. It has the effect of improving the data so that it can be analyzed.

본 발명의 실시예에 따른 유해 IP 판단 방법은 여러 조건을 조합하고 각 조건에 따라 점수를 증가시켜 기존보다 높은 확률로 유해 IP의 주소를 검출할 수 있다. The harmful IP determination method according to an exemplary embodiment of the present invention may detect an address of a harmful IP with a higher probability than before by combining several conditions and increasing a score according to each condition.

본 발명의 실시예에 따른 유해 IP 판단 방법은 유해 IP 주소를 찾아내기 위한 조건마다 다른 점수를 증가시키며, 신규 조건들을 추가할 수 있어 유해 IP 주소의 검출의 정확도를 높이는 효과가 있다. The method of determining a harmful IP according to an embodiment of the present invention increases a different score for each condition for finding a harmful IP address, and new conditions can be added, thereby increasing the accuracy of detection of the harmful IP address.

본 발명의 실시예에 따른 유해 IP 판단 방법은 필터링을 통해 웹 크롤링과 악성 코드 분석의 대상을 감소시킴으로써 보다 낮은 비용과 시간으로 유해 IP를 판단할 수 있다.The harmful IP determination method according to an embodiment of the present invention can determine the harmful IP at a lower cost and time by reducing the target of web crawling and malicious code analysis through filtering.

도 1은 본 발명의 일 실시예에 따른 유해 IP 판단 시스템을 설명하기 위한 도면이다.
도 2는 본 발명의 일 실시예에 따른 유해 IP 판단 방법을 설명하기 위한 도면이다.
도 3은 도 2의 실시예에서 유해 의심 IP 판단 단계를 보다 상세히 설명하기 위한 도면이다.
도 4A와 도 4B은 도 3의 실시예에서 유해 점수를 증가시키는 단계를 보다 상세히 설명하기 위한 순서도이다.
도 5는 본 발명의 다른 실시예에 따라 점수가 증가된 유해 IP에 대한 등급을 분류하는 것을 예시하기 위한 도면이다.
도 6은 도 1의 유해 IP 판단 시스템을 보다 상세히 설명하기 위한 도면이다1 is a diagram for explaining a harmful IP determination system according to an embodiment of the present invention.
2 is a diagram illustrating a method of determining a harmful IP according to an embodiment of the present invention.
3 is a diagram for explaining in more detail a step of determining a suspected harmful IP in the embodiment of FIG. 2.
4A and 4B are flow charts for explaining in more detail the step of increasing the harmful score in the embodiment of FIG. 3.
5 is a diagram for illustrating classification of a grade for harmful IP with an increased score according to another embodiment of the present invention.
6 is a diagram for describing in more detail the harmful IP determination system of FIG. 1

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고, 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명은 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.In the present invention, various modifications may be made and various embodiments may be provided, and specific embodiments are illustrated in the drawings and will be described in detail through detailed description. However, this is not intended to limit the present invention to specific embodiments, and the present invention should be understood to include all changes, equivalents, and substitutes included in the spirit and scope of the present invention.

본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제 1, 제 2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.In describing the present invention, when it is determined that a detailed description of a related known technology may unnecessarily obscure the subject matter of the present invention, a detailed description thereof will be omitted. In addition, numbers (eg, first, second, etc.) used in the description of the present specification are merely identification symbols for distinguishing one component from other components.

또한, 본 명세서에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.In addition, in the present specification, when one component is referred to as "connected" or "connected" to another component, the one component may be directly connected or directly connected to the other component, but specially It should be understood that as long as there is no opposing substrate, it may be connected or may be connected via another component in the middle.

도 1은 본 발명의 일 실시예에 따른 유해 IP 판단 시스템(10)을 설명하기 위한 도면이다. 1 is a view for explaining a harmful IP determination system 10 according to an embodiment of the present invention.

도 1을 참조하면, 유해 IP 판단 시스템(10)은 보안장비(100) 및 로그 분석 서버(200)를 포함할 수 있다. Referring to FIG. 1, the harmful IP determination system 10 may include a security device 100 and a log analysis server 200.

보안 장비(100)는 국내 단말(20)과 해외 단말(30) 간의 통신이 이루어지는 통신 경로 상에 위치하며, 각 단말 간에 전송되는 패킷을 수신할 수 있다. 이러한 통신 경로는 국내 네트워크(21)와 해외 네트워크(21) 간에 형성될 수 있다. 즉, 단말 간의 패킷은 각 통신 경로에 위치한 복수의 보안 장비(100)를 경유하여 전송될 수 있다. 도 1은 국내 단말(20)과 해외 단말(30) 간에 이루어지는 통신과 그 경로를 예시하여 설명하였으나, 본 발명의 실시예에서 보안 장비(100)는 국내 단말(20) 간의 통신이나 해외 단말(30) 간의 통신 경로 상에서도 위치할 수 있다. The security equipment 100 is located on a communication path through which communication between the domestic terminal 20 and the foreign terminal 30 is performed, and may receive packets transmitted between each terminal. This communication path may be formed between the domestic network 21 and the overseas network 21. That is, a packet between terminals may be transmitted through a plurality of security devices 100 located in each communication path. FIG. 1 illustrates communication between the domestic terminal 20 and the foreign terminal 30 and the path thereof, but in the embodiment of the present invention, the security equipment 100 includes communication between the domestic terminal 20 or the foreign terminal 30. ) Can be located on the communication path.

보안 장비(100)에는 IPS(Intrusion Prevention System), IDS(Intrusion Detection System), UTM(Unified Treat Management), 방화벽(Firewall) 등과 같은 장비들이 예시될 수 있다.The security equipment 100 may include equipment such as an Intrusion Prevention System (IPS), an Intrusion Detection System (IDS), a Unified Treat Management (UTM), and a firewall.

보안 장비(100)는 복수로 구성될 수 있으며, 각각의 통신 선로에 대응하여 구축될 수 있다. 각각의 보안 장비(100)들은 서로 시간동기화되며, 보안 장비(100)에서 수집된 패킷은 순차적으로 데이터베이스에 저장될 수 있다. 보안 장비(100)는 수집된 패킷을 분석하여 패킷 내 IP 주소에 대한 정보와 같은 링크 정보를 추출할 수 있다. The security equipment 100 may be configured in plural, and may be constructed corresponding to each communication line. Each of the security devices 100 is time-synchronized with each other, and packets collected by the security device 100 may be sequentially stored in a database. The security device 100 may analyze the collected packet and extract link information such as information on an IP address in the packet.

패킷에는 해당 패킷을 송신하고 수신하는 단말의 IP 주소에 대한 정보가 포함될 수 있다. 이를 통해, 패킷이 생성되어 송신되는 단말의 IP 주소인 소스 IP와 패킷의 수신 대상이 되는 단말의 IP 주소인 목적지 IP를 알 수 있게 된다. 본 발명에서 패킷이란, 서버 및/또는 클라이언트 간에 전송되는 패킷을 예시할 수 있다. The packet may include information on the IP address of the terminal transmitting and receiving the packet. Through this, it is possible to know the source IP, which is the IP address of the terminal from which the packet is generated and transmitted, and the destination IP, which is the IP address of the terminal to which the packet is received. In the present invention, a packet may exemplify a packet transmitted between a server and/or a client.

상기한 패킷은 보안 장비(100)들로부터 로그 분석 서버(200)로 전달될 수 있다. 보다 상세하게, 로그 분석 서버(200)는 국내 단말(20) 및 해외 단말(30)을 통해 전송되는 다양한 패킷을 각각의 통신 경로에 위치한 보안 장비(100)로부터 수신할 수 있게 된다. 따라서, 국제적으로 패킷이 전송되는 경우, 패킷을 송신하는 통신 경로와 패킷을 수신하는 통신 경로가 서로 다른 비대칭적인 망 구조에서도 로그 분석 서버(200)는 패킷에 대한 분석이 가능해진다. The packet may be transmitted from the security equipment 100 to the log analysis server 200. In more detail, the log analysis server 200 may receive various packets transmitted through the domestic terminal 20 and the overseas terminal 30 from the security equipment 100 located in each communication path. Accordingly, when a packet is transmitted internationally, the log analysis server 200 can analyze the packet even in an asymmetric network structure in which the communication path for transmitting the packet and the communication path for receiving the packet are different from each other.

로그 분석 서버(200)는 전송된 패킷을 분석할 수 있다. 보다 상세하게, 로그 분석 서버(200)는 패킷을 분석하기 위하여 패킷 내 IP 정보를 확인하고, 소정의 조건에 따라 IP에 대해 유해 점수를 증가시키며, 증가된 점수에 따라 유해 IP를 검출할 수 있다.The log analysis server 200 may analyze the transmitted packet. In more detail, the log analysis server 200 checks the IP information in the packet in order to analyze the packet, increases the harmful score for the IP according to a predetermined condition, and detects the harmful IP according to the increased score. .

로그 분석 서버(200)가 패킷을 분석하는 과정에 대한 보다 상세한 설명은 후술하기로 한다. A more detailed description of a process in which the log analysis server 200 analyzes a packet will be described later.

도 2는 본 발명의 다른 실시예에 따른 유해 IP 판단 방법을 설명하기 위한 순서도이다. 도 2를 참조하면, 유해 IP 판단 방법은 패킷 수집 단계(S100), IP 정보 검출 단계(S200), 제1 필터링 단계(S300), 제2 필터링 단계(S400) 및 유해 의심 IP 판단 단계(S500), 크롤링 단계(S600) 및 유해 확신 IP 판단 단계(S700)를 포함할 수 있다.2 is a flowchart illustrating a method for determining a harmful IP according to another embodiment of the present invention. Referring to FIG. 2, the method of determining harmful IP includes a packet collection step (S100), IP information detection step (S200), a first filtering step (S300), a second filtering step (S400), and a harmful IP determination step (S500). , A crawling step (S600) and a harmful confidence IP determination step (S700).

패킷 수집 단계(S100)는 로그 분석 서버가 각각의 통신 경로에 위치한 보안 장비들로부터 패킷을 수집하는 단계일 수 있다. The packet collection step S100 may be a step in which the log analysis server collects packets from security devices located in each communication path.

IP 정보 검출 단계(S200)는 로그 분석 서버가 패킷을 분석하여 소스 IP와 접속 시도되는 목적지 IP를 검출하는 단계일 수 있다. The IP information detection step S200 may be a step in which a log analysis server analyzes a packet to detect a source IP and a destination IP to which access is attempted.

제1 필터링 단계(S300)는 검출된 IP를 기 형성된 데이터베이스의 정상/유해 IP 리스트와 비교하여 상기 IP가 상기 정상/유해 IP 리스트에 매칭되면 필터링하는 단계를 의미할 수 있다.The first filtering step S300 may refer to a step of comparing the detected IP with a list of normal/harmful IPs in a previously formed database, and filtering when the IP matches the list of normal/harmful IPs.

즉, 제1 필터링 단계(S300)는 로그 분석 서버가 수집된 패킷으로부터 검출된 IP를 데이터베이스의 IP리스트와 대조하고, 매칭되는 IP가 있는 경우 해당 IP에 대한 유해 판단을 중지하는 단계를 의미할 수 있다. That is, the first filtering step (S300) may mean a step of comparing the IP detected from the packet collected by the log analysis server with the IP list of the database, and stopping harmful determination of the IP if there is a matching IP. have.

상기 정상/유해 IP 리스트는 로그 분석 서버의 내부 또는 외부에 형성된 데이터베이스에 저장될 수 있으며, 이미 유해 코드의 분석이 끝난 웹 페이지의 IP에 대한 정보를 포함할 수 있다. 악성 코드의 분석을 통해 정상 IP 또는 유해 IP로 이미 분류된 IP에 대해선 추가적으로 유해 판단이 이루어질 필요가 없기 때문에, 검출된 IP가 상기 정상/유해 IP 리스트에 포함되는 IP와 매칭되는 경우 해당 IP에 대해선 추가적인 필터링 단계가 수행되지 않는다.The normal/harmful IP list may be stored in a database formed inside or outside the log analysis server, and may include information on the IP of a web page that has already been analyzed for harmful codes. Since there is no need to additionally determine harmfulness for IPs that have already been classified as normal or harmful IPs through the analysis of malicious code, if the detected IP matches the IP included in the normal/harmful IP list, the corresponding IP No additional filtering steps are performed.

제2 필터링 단계(S400)는 제1 필터링 단계(S300)를 통해 필터링된 IP 중 상기 IP를 통해 웹 페이지에 접속 가능한지 판단하여, 웹 페이지에 접속되기 위한 패킷이 아닌 경우 필터링하는 단계일 수 있다.The second filtering step (S400) may be a step of determining whether a web page can be accessed through the IP among the IPs filtered through the first filtering step (S300), and filtering if it is not a packet for accessing the web page.

즉, 제2 필터링 단계(S400)는 제1 필터링 단계(S300)에서 필터링되지 않은 IP 중, 해당 IP를 통해 웹 페이지에 연결될 수 있는 지 여부를 확인하고, 웹 페이지에 접속되기 위한 IP가 아닌 경우 해당 IP에 대한 유해 여부 판단을 중지하는 단계를 의미할 수 있다.That is, in the second filtering step (S400), among the IPs not filtered in the first filtering step (S300), it is checked whether or not a web page can be connected through the IP, and if it is not an IP for accessing the web page This may mean stopping the determination of whether the IP is harmful.

유해 의심 IP로 판단하는 단계(S500)는 제2 필터링 단계(S400)를 거쳐 필터링 되지 않은 IP에 대하여 유해 점수를 부여하며, 상기 유해 점수가 소정 수치 이상이면 상기 IP를 유해 의심 IP로 판단하는 단계를 의미할 수 있다.In the step of determining a suspected harmful IP (S500), a harmful score is given to an IP that has not been filtered through the second filtering step (S400), and if the harmful score is more than a predetermined value, determining the IP as a suspected harmful IP. Can mean

유해 의심 IP 판단 단계(S500)를 통해 로그 분석 서버는 필터링되지 않은 IP각각에 대하여 유해 점수를 부여할 수 있다. The log analysis server may assign a harmful score to each of the unfiltered IPs through the determination of the suspected harmful IP (S500).

크롤링 단계(S600)는 상기 유해 의심 IP를 통해 연결되는 웹 페이지를 크롤링 하는 단계를 의미할 수 있다. 크롤링은 로그 분석 서버 또는 다른 서버에 설치된 소프트웨어를 통해 수행될 수 있다. 크롤링 단계(S600)는 스파이더(sider), 봇(bot), 지능 에이전트 등에 의하여 유해 의심 IP로 분류된 IP의 웹 페이지에 접속하여 관련된 정보를 다운로드할 수 있다.The crawling step S600 may mean a step of crawling a web page connected through the suspected harmful IP. Crawling can be performed through a log analysis server or software installed on another server. In the crawling step S600, a web page of an IP classified as a suspected harmful IP by a spider, a bot, or an intelligent agent may be accessed and related information may be downloaded.

유해 확신 IP 판단 단계(S700)는 크롤링 단계(S600)를 통해 다운로드된 유해 의심 IP의 웹 페이지 관련 정보로부터 악성 코드를 분석하는 단계를 분석하고, 악성 코드로 분류된 유해 의심 IP를 유해 확신 IP로 판단하는 단계를 의미할 수 있다. 유해 확신 IP 판단 단계(S700)를 통해 유해 의심 IP의 웹 페이지는 평판분석과 가상머신을 통한 동적 분석이나 서드 파티 분석 등을 통해 악성 코드 보유 여부가 확인될 수 있다. In the determination of harmful IPs (S700), analyzing the malicious code from the web page related information of the suspected harmful IPs downloaded through the crawling step (S600) is analyzed, and the suspected harmful IPs classified as malicious codes are converted to harmful IPs. It may mean the step of judging. Through the malicious IP determination step (S700), the web page of the suspected harmful IP may be checked for malicious code through reputation analysis, dynamic analysis through a virtual machine, or third party analysis.

다른 실시예에서, 상기 유해 확신 IP 판단 단계(S700)에 이어서, 유해 확신 IP로 분류된 IP를 정상/유해 IP리스트에 포함시키는 단계(S800)가 더 수행될 수 있다.In another embodiment, following the determination of the unsafe IP (S700), the step (S800) of including the IP classified as the unsafe IP into the normal/unhealthy IP list may be further performed.

정상/유해 IP리스트에 포함시키는 단계(S800)는 유해 확신 IP 판단 단계(S700)를 통해 유해 확신 IP로 분류된 IP를 유해 IP리스트에 포함시키거나, 유해 확신 IP 판단 단계(S700)를 통해 유해 확신 IP로 분류되지 않은 IP를 정상 IP리스트에 포함시키는 단계를 의미할 수 있다.In the step of including in the normal/hazardous IP list (S800), the IP classified as harmful IP is included in the harmful IP list through the harmful confidence IP determination step (S700), or the harmful IP determination step (S700) is performed. It may mean the step of including an IP that is not classified as a certain IP in the normal IP list.

여기서 유해 IP리스트는 DDoS(Denial of Service attack), 파밍/피싱, 스미싱, 랜섬웨어, APT공격 등의 C&C(공격명령 서버), 악성코드 유포지, 경유지, 해커IP, 유해DNS 등 악성행위를 하는 IP를 포함할 수 있다.Here, the list of harmful IPs is DDoS (Denial of Service attack), pharming/phishing, smishing, ransomware, C&C (attack command server) such as APT attacks, malicious code distribution sites, transit sites, hacker IP, malicious DNS, etc. May contain IP.

반면, 정상 IP리스트는 포털 사이트, SNS(Social Network Service), 동영상 방송, P2P(Peer to Peer), 웹하드, 백신사이트 등 정상적인 서비스를 제공하는 IP를 포함할 수 있다.On the other hand, the normal IP list may include IPs that provide normal services, such as a portal site, social network service (SNS), video broadcasting, peer to peer (P2P), web hard, and vaccine sites.

도 3은 도 1의 실시예에서 유해 의심 IP 판단 단계(S500)를 보다 상세히 설명하기 위한 도면이다. FIG. 3 is a diagram for describing in more detail the step S500 of determining a suspected harmful IP in the embodiment of FIG. 1.

유해 의심 IP 판단 단계(S500)는 제2 필터링 단계(S400)를 거친 패킷을 분석하여, 상기 소정의 조건 별로 유해 점수를 증가시키는 단계(S510) 및 유해 점수가 소정 수치 이상이면 유해 의심 IP로 분류 하는 단계(S520)를 포함할 수 있다. In the step of determining the suspected harmful IP (S500), the packet that has passed through the second filtering step (S400) is analyzed, and the harmful score is increased according to the predetermined condition (S510), and if the harmful score is more than a predetermined value, it is classified as a harmful IP. It may include a step (S520).

도 4A와 도 4B는 도 3의 실시예에서 유해 점수를 증가시키는 단계(S510)를 보다 상세히 설명하기 위한 순서도이다.4A and 4B are flow charts for explaining in more detail the step S510 of increasing the harmful score in the embodiment of FIG. 3.

유해 점수를 증가시키는 단계(S510)는 상기 IP의 서비스 포트가 소정의 포트에 연결되기 위한 것인지 여부에 따라 유해 점수를 증가시키는 단계(S511), 상기 IP에 대한 세션수가 소정 수치를 초과하는 지 여부에 따라 유해 점수를 증가시키는 단계(S512), 상기 IP를 통한 세션 성립이 3 way hand shake를 통해 이루어졌는지 여부에 따라 점수를 증가시키는 단계(S513), 상기 IP에 대한 패킷수가 소정 수치를 초과하는 지 여부에 따라 유해 점수를 증가시키는 단계(S514), 상기 패킷의 크기가 소정 수치 이상인 지 여부에 따라 유해 점수를 증가시키는 단계(S515), 상기 패킷의 플래그에 소정 플래그가 포함되어있는 비율을 초과하는 지 여부에 따라 유해 점수를 증가시키는 단계(S516), 상기 IP를 통해 접속되는 국가가 소정의 국가에 해당하는 지 여부에 따라 유해 점수를 증가시키는 단계(S517) 및 상기 IP가 유해 의심 IP로 분류된 적이 있는 지 여부에 따라 유해 점수를 증가시키는 단계(S518)를 포함할 수 있다. The step of increasing the harmful score (S510) is the step of increasing the harmful score according to whether the service port of the IP is to be connected to a predetermined port (S511), whether the number of sessions for the IP exceeds a predetermined value. Increasing the harmful score according to (S512), increasing the score according to whether the session was established through the IP through 3-way handshake (S513), the number of packets for the IP exceeding a predetermined value Increasing the harmful score according to whether or not (S514), increasing the harmful score according to whether the size of the packet is greater than or equal to a predetermined value (S515), exceeding a ratio in which a predetermined flag is included in the flag of the packet Increasing the harmful score according to whether or not (S516), increasing the harmful score according to whether the country accessed through the IP corresponds to a predetermined country (S517), and the IP as a suspected harmful IP It may include a step (S518) of increasing the harmful score depending on whether or not it has been classified.

각각의 단계에서 IP에 대해 부여되는 유해 점수는 설계자의 설정에 따라 다양하게 변경될 수 있다.The harmful score assigned to IP at each step can be changed in various ways according to the designer's setting.

상기 IP의 서비스 포트가 소정의 포트에 연결되기 위한 것인지 여부에 따라 유해 점수를 증가시키는 단계(S511)는 IP를 통해 접속되는 서비스 포트가 80, 443, 8080 인 경우와 같이 악의적 목적의 접속에서 많은 트래픽이 발생하는 포트에 대해서 유해 점수를 높이는 단계일 수 있다. In the step of increasing the harmful score according to whether the service port of the IP is to be connected to a predetermined port (S511), there are many cases in which the service port accessed through the IP is 80, 443, and 8080 for malicious purposes. This may be a step of increasing the harmful score for the port where the traffic is generated.

상기 IP를 통한 세션 성립이 3 way hand shake를 통해 이루어졌는지 여부에 따라 점수를 증가시키는 단계(S513)는 TCP(Transmission Control Protocol) 연결을 통해 세션이 성립되는 지 여부에 따라 유해 점수를 부여하는 단계를 의미할 수 있다. 보다 상세하게, 해당 단계(S513)는 SYN, ACK/SYN, ACK와 같은 신호를 클라이언트와 서버 간의 세션 성립이 안된다면 해당 IP에 대하여 유해 점수를 증가시키는 단계일 수 있다. The step of increasing the score according to whether the session is established through the IP through a 3-way handshake (S513) is a step of assigning a harmful score according to whether the session is established through a Transmission Control Protocol (TCP) connection. Can mean In more detail, the corresponding step (S513) may be a step of increasing a harmful score for a corresponding IP if a session cannot be established between a client and a server through signals such as SYN, ACK/SYN, and ACK.

상기 IP에 대한 패킷수가 소정 수치를 초과하는 지 여부에 따라 유해 점수를 증가시키는 단계(S514)는, 예를 들어 패킷의 수가 300 이상인 경우와 같이 정해진 패킷의 수를 초과하여 데이터가 전송되는 경우 해당 IP에 대한 유해 점수를 증가시키는 단계일 수 있다.The step of increasing the harmful score according to whether the number of packets for the IP exceeds a predetermined value (S514) is, for example, when the number of packets exceeds the predetermined number of packets, such as when the number of packets is 300 or more, when data is transmitted. It may be a step of increasing the adverse score for IP.

상기 패킷의 크기가 소정 수치 이상인 지 여부에 따라 유해 점수를 증가시키는 단계(S515)는, 예를 들어 패킷의 저장 용량 크기가 500킬로 바이트 이상인 경우 유해 해당 IP에 대한 유해 점수를 증가시키는 단계일 수 있다.The step of increasing the harmful score according to whether the size of the packet is greater than or equal to a predetermined value (S515) may be a step of increasing the harmful score for the corresponding IP if the size of the storage capacity of the packet is 500 kilobytes or more. have.

상기 패킷의 플래그에 소정 플래그가 포함되어있는 비율을 초과하는 지 여부에 따라 유해 점수를 증가시키는 단계(S516)는 예를 들어 패킷의 플래그 정보 중 PUSH, PUSH/ACK, ACK 비율이 90%이상이면 유해 점수를 부여하는 단계일 수 있다. The step (S516) of increasing the harmful score according to whether the ratio of the flag included in the flag of the packet is exceeded (S516), for example, if the PUSH, PUSH/ACK, ACK ratio among the flag information of the packet is 90% or more, It may be a step of assigning a harmful score.

상기 IP를 통해 접속되는 국가가 소정의 국가에 해당하는 지 여부에 따라 유해 점수를 증가시키는 단계(S517)는 예를 들어, 중국이나 유럽과 같이 악의적으로 접속하는 사용자가 통계적으로 많이 이용하는 국가에 대한 IP인 경우, 해당 IP에 대한 유해 점수를 증가시키는 단계일 수 있다.The step of increasing the harmful score according to whether the country accessed through the IP corresponds to a predetermined country (S517) is for countries that are statistically used by malicious users such as China or Europe. In the case of IP, it may be a step of increasing the harmful score for the IP.

상기 IP가 유해 의심 IP로 분류된 적이 있는 지 여부에 따라 유해 점수를 증가시키는 단계(S518)는 상기 IP가 이전에도 상기 단계들(S511 내지 S517)을 거쳐 유해 점수가 증가된 적이 있던 IP 라면, 해당 IP에 대한 유해 점수를 증가시키는 단계일 수 있다.In the step of increasing the harmful score according to whether the IP has been classified as a suspected harmful IP (S518), if the IP is an IP whose harmful score has been increased through the steps (S511 to S517) before, It may be a step of increasing the harmful score for the IP.

이후, 패킷에 대한 분석 단계가 종료되고, 각각의 IP에 대해 누적된 유해 점수가 계산되고, 유해 점수가 소정 수치 이상이면 유해 의심 IP로 분류 하는 단계(S520)가 수행될 수 있다. 또한 상기한 바와 같이 유해 점수가 증가되는 단계들(S511 내지 S518)을 통해 증가되는 유해 점수는 각 단계에 해당하는 조건이 유해 IP를 판단하기에 얼마나 유효한 조건인 지에 따라 서로 같거나 다르게 설정될 수 있다.Thereafter, the analysis step for the packet is finished, the accumulated harmful score for each IP is calculated, and if the harmful score is greater than or equal to a predetermined value, a step S520 of classifying it as a suspected harmful IP may be performed. Also, as described above, the harmful score increased through the steps (S511 to S518) in which the harmful score is increased may be set to be the same or different from each other depending on how effective the condition corresponding to each step is for determining the harmful IP. have.

도 4는 본 발명의 실시예에 따라 점수가 증가된 유해 IP에 대한 등급을 분류하는 것을 예시하기 위한 도면이다.FIG. 4 is a diagram for illustrating classifying a grade for harmful IP with an increased score according to an embodiment of the present invention.

도 4를 참조하면, 임의의 IP에 대하여 누적된 유해 점수에 따라 해당 IP의 유해 등급을 나누는 기준이 예시된 것을 알 수 있다. 상기한 도 2 내지 도 4를 통해 수행되는 유해 점수 증가 단계(S510)가 수행됨으로써 각각의 IP 별로 유해 점수가 부여될 수 있다. Referring to FIG. 4, it can be seen that a criterion for dividing a harmful level of a corresponding IP according to an accumulated harmful score for an arbitrary IP is illustrated. A harmful score may be assigned to each IP by performing the harmful score increasing step S510 performed through FIGS. 2 to 4.

그 결과로 IP의 유해 점수가 0 이면 "정상"등급, 유해 점수가 1 내지 3이면 "낮음" 등급, 4 내지 6이면 "다소 낮음" 등급, 7 내지 10이면 "보통" 등급, 11 내지 13이면 "조금 높음" 등급, 14 내지 15면 "높음" 등급으로 구분될 수 있다. 로그 분석 서버는 상기 유해 점수 증가 단계를 통해 IP에 부여된 점수를 계산하고, 해당 IP가 분류된 등급이 "조금 높음" 또는 그 이상의 단계라면 해당 IP를 유해 의심 IP로 판단할 수 있다. 도 5는 예시적으로 설명한 것이며, 유해 IP 판단 환경이나 유해 IP 판단 시스템의 운영자의 설정에 의하여 유해 등급 기준은 달라질 수 있다. As a result, if the IP's adverse score is 0, it is "normal" grade, if it is 1 to 3, it is "low" grade, if it is 4 to 6, it is "slightly low" grade, if it is 7 to 10, it is "normal" grade, and if it is 11 to 13 It can be classified as a "slightly high" grade, and pages 14 to 15 as a "high" grade. The log analysis server calculates a score assigned to an IP through the step of increasing the harmful score, and may determine the IP as a suspected harmful IP if the level at which the corresponding IP is classified is "a little high" or higher. FIG. 5 is an exemplary description, and the level of harmfulness may be changed according to an environment for determining a harmful IP or an operator setting a system for determining a harmful IP.

도 6은 도 1의 로그 분석 서버(200)을 보다 상세힝 설명하기 위한 도면이다. 도 6을 참조하면, 로그 분석 서버(200)는 제1 필터링부(210), 제2 필터링부(220), 유해 의심 IP 판단부(230), 크롤링부(240) 및 유해 확신 IP 판단부(250)를 포함할 수 있다. 6 is a diagram for describing the log analysis server 200 of FIG. 1 in more detail. Referring to FIG. 6, the log analysis server 200 includes a first filtering unit 210, a second filtering unit 220, a suspected harmful IP determination unit 230, a crawling unit 240, and an unsafe IP determination unit ( 250).

도 6에 도시되진 않았으나, 로그 분석 서버(200)는 이외에도 보안 장비(100) 들과 통신하며 데이터를 송수신하기 위한 통신부, 로그 분석 서버(200)의 사용자로부터 각종 명령을 입력 받고 그 결과를 출력하기 위한 인터페이스부 또는 로그 분석 서버의 동작 과정에서 발생하는 데이터를 저장하기 위한 데이터베이스를 더 포함할 수 있다. 로그 분석 서버(200)의 구성 및 동작과 관련하여 앞선 설명과 중복되는 내용은 생략하기로 한다.Although not shown in FIG. 6, the log analysis server 200 receives various commands from the user of the log analysis server 200 and receives various commands from the user of the communication unit, which communicates with the security equipment 100 and transmits and receives data, and outputs the results. A database for storing data generated during the operation of the log analysis server or the interface unit may be further included. Contents overlapping with the preceding description in relation to the configuration and operation of the log analysis server 200 will be omitted.

제1 필터링부(210)는 검출된 IP를 기 형성된 데이터베이스의 정상/유해 IP 리스트와 비교하여 상기 IP가 상기 정상/유해 IP 리스트에 매칭되면 제1 필터링을 수행할 수 있다.The first filtering unit 210 may compare the detected IP with a normal/harmful IP list in a previously formed database, and perform first filtering when the IP matches the normal/hazardous IP list.

제2 필터링부(220)는 상기 제1 필터링을 거친 상기 IP를 통해 웹 페이지에 접속 가능한지 판단하여, 웹 페이지에 접속되기 위한 패킷이 아닌 경우 제2 필터링할 수 있다.The second filtering unit 220 may determine whether a web page can be accessed through the IP that has undergone the first filtering, and may perform second filtering if it is not a packet for accessing the web page.

유해 의심 IP 판단부(230)는 상기 제2 필터링을 거친 IP에 대하여 유해 점수를 부여하며, 상기 유해 점수가 소정 수치 이상이면 상기 IP를 유해 의심 IP로 판단할 수 있다.The suspected harmful IP determination unit 230 assigns a harmful score to the IP that has undergone the second filtering, and may determine the IP as a suspected harmful IP if the harmful score is equal to or greater than a predetermined value.

보다 상세하게, 유해 의심 IP 판단부(230)는 상기 IP의 서비스 포트가 소정의 포트에 연결되기 위한 것인지 여부에 따라 유해 점수를 증가시키는 단계, 상기 IP에 대한 세션수가 소정 수치를 초과하는 지 여부에 따라 유해 점수를 증가시키는 단계, 상기 IP를 통한 세션 성립이 3 way hand shake를 통해 이루어졌는지 여부에 따라 점수를 증가시키는 단계, 상기 IP에 대한 패킷수가 소정 수치를 초과하는 지 여부에 따라 유해 점수를 증가시키는 단계, 상기 패킷의 저장 용량 크기가 소정 수치 이상인 지 여부에 따라 유해 점수를 증가시키는 단계, 상기 패킷의 플래그에 소정 플래그가 포함되어있는 비율이 소정 수치를 초과하는 지 여부에 따라 유해 점수를 증가시키는 단계, 상기 IP를 통해 접속되는 국가가 소정의 국가에 해당하는 지 여부에 따라 유해 점수를 증가시키는 단계 및 상기 IP가 유해 의심 IP로 분류된 적이 있는 지 여부에 따라 유해 점수를 증가시키는 단계 중 적어도 하나 이상의 단계에 따라 상기 IP에 대해 유해 점수를 증가시킬 수 있다.In more detail, the suspicious IP determination unit 230 increases a harmful score according to whether the service port of the IP is to be connected to a predetermined port, and whether the number of sessions for the IP exceeds a predetermined value. Increasing the harmful score according to the method, increasing the score according to whether the session establishment through the IP has been established through a 3-way handshake, and the harmful score according to whether the number of packets for the IP exceeds a predetermined value. Increasing, increasing the harmful score according to whether the storage capacity size of the packet is greater than or equal to a predetermined value, and the harmful score depending on whether the ratio of the flag of the packet containing the predetermined flag exceeds a predetermined value Increasing, increasing the harmful score according to whether the country accessed through the IP corresponds to a predetermined country, and increasing the harmful score according to whether the IP has ever been classified as a suspected harmful IP. The harmful score for the IP may be increased according to at least one of the steps.

크롤링부(240)는 상기 유해 의심 IP를 통해 연결되는 웹 페이지를 크롤링할 수 있다.The crawler 240 may crawl a web page connected through the suspected harmful IP.

유해 확신IP 판단부(250)는 크롤링된 데이터의 코드를 분석하여 유해 확신 IP를 판단할 수 있다. 그리고, 로그 분석 서버(200)는 유해 확신 IP로 분류된 IP를 정상/유해 IP 리스트에 포함시킬 수 있다. The harmful confidence IP determination unit 250 may determine the harmful confidence IP by analyzing the code of the crawled data. In addition, the log analysis server 200 may include IPs classified as harmful IPs in the normal/hazardous IP list.

이상, 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.In the above, embodiments of the present invention have been described with reference to the accompanying drawings, but those of ordinary skill in the art to which the present invention pertains can be implemented in other specific forms without changing the technical spirit or essential features. You can understand that there is. Therefore, it should be understood that the embodiments described above are illustrative in all respects and not limiting.

10: 유해 IP 판단 시스템 20: 국내 단말
30: 해외 단말 100: 보안 장비
200: 로그 분석 서버10: harmful IP determination system 20: domestic terminal
30: overseas terminal 100: security equipment
200: log analysis server

Claims (8)

네트워크를 통해 전송되는 패킷을 수집하는 단계;
상기 패킷을 분석하여, 상기 패킷의 IP 정보를 검출하는 단계;
검출된 IP를 기 형성된 데이터베이스의 정상/유해 IP 리스트와 비교하여 상기 IP가 상기 정상/유해 IP 리스트에 매칭되면 제1 필터링하는 단계;
상기 제1 필터링을 거친 상기 IP를 통해 웹 페이지에 접속 가능한지 판단하여, 웹 페이지에 접속되기 위한 패킷이 아닌 경우 제2 필터링하는 단계;
상기 제2 필터링을 거친 IP에 대하여 유해 점수를 부여하며, 상기 유해 점수가 소정 수치 이상이면 상기 IP를 유해 의심 IP로 판단하는 단계;
상기 유해 의심 IP를 통해 연결되는 웹 페이지를 크롤링 하는 단계; 및
크롤링된 데이터의 코드를 분석하여 유해 확신 IP를 판단하는 단계;를 포함하는 것을 특징으로 하는 유해 IP 분석 방법.Collecting packets transmitted through the network;
Analyzing the packet and detecting IP information of the packet;
Comparing the detected IP with a list of normal/harmful IPs in a previously formed database, and performing first filtering when the IP matches the list of normal/harmful IPs;
Determining whether a web page can be accessed through the IP that has undergone the first filtering, and performing second filtering if the packet is not a packet for accessing the web page;
Assigning a harmful score to the IP after the second filtering, and determining the IP as a suspected harmful IP if the harmful score is greater than or equal to a predetermined value;
Crawling a web page connected through the suspected harmful IP; And
Analyzing a code of the crawled data to determine a harmful IP. 제1 항에 있어서,
상기 유해 확신 IP로 분류된 IP를 상기 정상/유해 IP 리스트에 포함시키는 단계; 를 더 포함하는 것을 특징으로 하는 유해 IP 분석 방법.The method of claim 1,
Including the IP classified as the harmful certain IP in the normal/hazardous IP list; Harmful IP analysis method, characterized in that it further comprises. 제1 항에 있어서, 상기 유해 의심 IP로 판단하는 단계는
상기 제2 필터링을 거친 패킷을 분석하여, 상기 소정의 조건 별로 유해 점수를 증가시키는 단계; 및
상기 유해 점수가 소정 수치 이상이면 유해 의심 IP로 분류 하는 단계; 를 포함하는 것을 특징으로 하는 유해 IP 분석 방법. The method of claim 1, wherein the determining as the suspected harmful IP
Analyzing the packet that has undergone the second filtering and increasing the harmful score for each of the predetermined conditions; And
Classifying as a suspected harmful IP if the harmful score is greater than or equal to a predetermined value; Harmful IP analysis method comprising a. 제3 항에 있어서, 상기 소정의 조건 별로 유해 점수를 증가시키는 단계는
상기 IP의 서비스 포트가 소정의 포트에 연결되기 위한 것인지 여부에 따라 유해 점수를 증가시키는 단계;
상기 IP에 대한 세션수가 소정 수치를 초과하는 지 여부에 따라 유해 점수를 증가시키는 단계;
상기 IP를 통한 세션 성립이 3 way hand shake를 통해 이루어졌는지 여부에 따라 점수를 증가시키는 단계;
상기 IP에 대한 패킷수가 소정 수치를 초과하는 지 여부에 따라 유해 점수를 증가시키는 단계;
상기 패킷의 저장 용량 크기가 소정 수치 이상인 지 여부에 따라 유해 점수를 증가시키는 단계;
상기 패킷의 플래그에 소정 플래그가 포함되어있는 비율이 소정 수치를 초과하는 지 여부에 따라 유해 점수를 증가시키는 단계;
상기 IP를 통해 접속되는 국가가 소정의 국가에 해당하는 지 여부에 따라 유해 점수를 증가시키는 단계; 및
상기 IP가 유해 의심 IP로 분류된 적이 있는 지 여부에 따라 유해 점수를 증가시키는 단계; 중 적어도 하나 이상의 단계에 따라 상기 IP에 대해 유해 점수를 증가시키는 것을 특징으로 하는 유해 IP 판단 방법.The method of claim 3, wherein increasing the harmful score for each predetermined condition
Increasing a harmful score according to whether the service port of the IP is to be connected to a predetermined port;
Increasing a harmful score according to whether the number of sessions for the IP exceeds a predetermined value;
Increasing a score according to whether or not session establishment through the IP has been made through a 3-way handshake;
Increasing a harmful score according to whether the number of packets for the IP exceeds a predetermined value;
Increasing the harmful score according to whether the size of the storage capacity of the packet is greater than or equal to a predetermined value;
Increasing a harmful score according to whether a ratio in which a predetermined flag is included in the flag of the packet exceeds a predetermined value;
Increasing the harmful score according to whether the country accessed through the IP corresponds to a predetermined country; And
Increasing a harmful score according to whether the IP has ever been classified as a suspected harmful IP; A method for determining harmful IP, characterized in that increasing a harmful score for the IP according to at least one step of. 각각의 통신 선로에서 패킷을 수집하는 보안 장비; 및
수집된 패킷을 분석하여 상기 패킷의 IP 정보를 검출하는 로그 분석 서버를 포함하고,
상기 로그분석 서버는
검출된 IP를 기 형성된 데이터베이스의 정상/유해 IP 리스트와 비교하여 상기 IP가 상기 정상/유해 IP 리스트에 매칭되면 제1 필터링을 수행하는 제1 필터링부;
상기 제1 필터링을 거친 상기 IP를 통해 웹 페이지에 접속 가능한지 판단하여, 웹 페이지에 접속되기 위한 패킷이 아닌 경우 제2 필터링하는 제2 필터링부;
상기 제2 필터링을 거친 IP에 대하여 유해 점수를 부여하며, 상기 유해 점수가 소정 수치 이상이면 상기 IP를 유해 의심 IP로 판단하는 유해 의심 IP 판단부;
상기 유해 의심 IP를 통해 연결되는 웹 페이지를 크롤링 하는 크롤링부; 및
크롤링된 데이터의 코드를 분석하여 유해 확신 IP를 판단하는 유해 확신 IP 판단부;를 포함하는 것을 특징으로 하는 유해 IP 판단 시스템. Security equipment for collecting packets from each communication line; And
A log analysis server that analyzes the collected packet and detects IP information of the packet,
The log analysis server
A first filtering unit that compares the detected IP with a list of normal/harmful IPs in a previously formed database and performs first filtering when the IP matches the list of normal/harmful IPs;
A second filtering unit configured to determine whether a web page can be accessed through the IP after the first filtering, and to perform second filtering when the packet is not a packet for accessing the web page;
A suspected harmful IP determination unit that assigns a harmful score to the IP after the second filtering, and determines the IP as a suspected harmful IP when the harmful score is greater than or equal to a predetermined value;
A crawler for crawling a web page connected through the suspected harmful IP; And
A harmful IP determination system, comprising: a harmful IP determination unit that analyzes a code of the crawled data to determine a harmful IP. 제5 항에 있어서, 상기 로그 분석 서버는
상기 유해 확신 IP로 분류된 IP를 상기 정상/유해 IP 리스트에 포함시키는 것을 특징으로 하는 유해 IP 판단 시스템.The method of claim 5, wherein the log analysis server
The harmful IP determination system, characterized in that the IP classified as the harmful IP is included in the normal / harmful IP list. 제5 항에 있어서, 상기 유해 의심 IP 판단부는
상기 제2 필터링을 거친 패킷을 분석하여, 상기 소정의 조건 별로 유해 점수를 증가시키고, 상기 유해 점수가 소정 수치 이상이면 유해 의심 IP로 분류 하는 것을 특징으로 하는 유해 IP 판단 시스템.The method of claim 5, wherein the suspected harmful IP determination unit
The harmful IP determination system, characterized in that by analyzing the packet that has undergone the second filtering, increasing the harmful score according to the predetermined condition, and classifying the harmful score as a suspected harmful IP if the harmful score is greater than or equal to a predetermined value. 제7 항에 있어서, 상기 유해 의심 IP 판단부는
상기 IP의 서비스 포트가 소정의 포트에 연결되기 위한 것인지 여부에 따라 유해 점수를 증가시키는 단계;
상기 IP에 대한 세션수가 소정 수치를 초과하는 지 여부에 따라 유해 점수를 증가시키는 단계;
상기 IP를 통한 세션 성립이 3 way hand shake를 통해 이루어졌는지 여부에 따라 점수를 증가시키는 단계;
상기 IP에 대한 패킷수가 소정 수치를 초과하는 지 여부에 따라 유해 점수를 증가시키는 단계;
상기 패킷의 저장 용량 크기가 소정 수치 이상인 지 여부에 따라 유해 점수를 증가시키는 단계;
상기 패킷의 플래그에 소정 플래그가 포함되어있는 비율이 소정 수치를 초과하는 지 여부에 따라 유해 점수를 증가시키는 단계;
상기 IP를 통해 접속되는 국가가 소정의 국가에 해당하는 지 여부에 따라 유해 점수를 증가시키는 단계; 및
상기 IP가 유해 의심 IP로 분류된 적이 있는 지 여부에 따라 유해 점수를 증가시키는 단계; 중 적어도 하나 이상의 단계에 따라 상기 IP에 대해 유해 점수를 증가시키는 것을 특징으로 하는 유해 IP 판단 시스템.The method of claim 7, wherein the suspected harmful IP determination unit
Increasing a harmful score according to whether the service port of the IP is to be connected to a predetermined port;
Increasing a harmful score according to whether the number of sessions for the IP exceeds a predetermined value;
Increasing a score according to whether or not session establishment through the IP has been made through a 3-way handshake;
Increasing a harmful score according to whether the number of packets for the IP exceeds a predetermined value;
Increasing the harmful score according to whether the size of the storage capacity of the packet is greater than or equal to a predetermined value;
Increasing a harmful score according to whether a ratio in which a predetermined flag is included in the flag of the packet exceeds a predetermined value;
Increasing the harmful score according to whether the country accessed through the IP corresponds to a predetermined country; And
Increasing a harmful score according to whether the IP has ever been classified as a suspected harmful IP; The harmful IP determination system, characterized in that to increase the harmful score for the IP according to at least one step of.
KR1020190029665A 2019-03-15 2019-03-15 Harmful ip determining method KR20200109875A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190029665A KR20200109875A (en) 2019-03-15 2019-03-15 Harmful ip determining method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190029665A KR20200109875A (en) 2019-03-15 2019-03-15 Harmful ip determining method

Publications (1)

Publication Number Publication Date
KR20200109875A true KR20200109875A (en) 2020-09-23

Family

ID=72708636

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190029665A KR20200109875A (en) 2019-03-15 2019-03-15 Harmful ip determining method

Country Status (1)

Country Link
KR (1) KR20200109875A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102341928B1 (en) * 2020-12-31 2021-12-24 (주)에코넷시스템 Harmful IP adress provision system
CN114124525A (en) * 2021-11-22 2022-03-01 秦皇岛泰和安科技有限公司 Malicious IP (Internet protocol) blocking method, device, equipment and computer readable storage medium
CN114499996A (en) * 2021-12-30 2022-05-13 天津市国瑞数码安全***股份有限公司 Suspected harmful gateway discovery method and system based on VoIP behavior characteristics

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102341928B1 (en) * 2020-12-31 2021-12-24 (주)에코넷시스템 Harmful IP adress provision system
CN114124525A (en) * 2021-11-22 2022-03-01 秦皇岛泰和安科技有限公司 Malicious IP (Internet protocol) blocking method, device, equipment and computer readable storage medium
CN114499996A (en) * 2021-12-30 2022-05-13 天津市国瑞数码安全***股份有限公司 Suspected harmful gateway discovery method and system based on VoIP behavior characteristics

Similar Documents

Publication Publication Date Title
CN110445770B (en) Network attack source positioning and protecting method, electronic equipment and computer storage medium
KR101424490B1 (en) Reverse access detecting system and method based on latency
KR101812403B1 (en) Mitigating System for DoS Attacks in SDN
Ganesh Kumar et al. Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT)
US20200137112A1 (en) Detection and mitigation solution using honeypots
US20040054925A1 (en) System and method for detecting and countering a network attack
JP2006512856A (en) System and method for detecting and tracking DoS attacks
KR20140027616A (en) Apparatus and method for detecting http botnet based on the density of web transaction
US20160366171A1 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
KR20200109875A (en) Harmful ip determining method
CN113079185B (en) Industrial firewall control method and equipment for realizing deep data packet detection control
KR101250899B1 (en) Apparatus for detecting and preventing application layer distribute denial of service attack and method
Jeyanthi Internet of things (IoT) as interconnection of threats (IoT)
KR20070079781A (en) Intrusion prevention system using extract of http request information and method url cutoff using the same
KR100950900B1 (en) Protection Method and System for Distributed Denial of Service Attack
KR101593897B1 (en) Network scan method for circumventing firewall, IDS or IPS
JP6592196B2 (en) Malignant event detection apparatus, malignant event detection method, and malignant event detection program
Yamada et al. Using abnormal TTL values to detect malicious IP packets
KR20130009130A (en) Apparatus and method for dealing with zombie pc and ddos
KR100977827B1 (en) Apparatus and method detecting connection mailcious web server system
KR100983549B1 (en) System for defending client distribute denial of service and method therefor
Bojjagani et al. Early DDoS Detection and Prevention with Traced-Back Blocking in SDN Environment.
JP2003309607A (en) Anti-profiling apparatus and its program
CN115208596B (en) Network intrusion prevention method, device and storage medium
Krishna et al. Dominance of hardware firewalls and denial of firewall attacks (case study blacknurse attack)

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]