맞춤기술찾기

홈으로 가기
맞춤기술찾기
이전대상기술
프린트하기

이전대상기술

APT 공격 분석을 위한 의심파일 및 추적정보 수집 방법

  • 기술번호 : KST2014060508
  • 담당센터 : 대전기술혁신센터
  • 전화번호 : 042-610-2279
상담신청 PDF 받기
요약, Int. CL, CPC, 출원번호/일자, 출원인, 등록번호/일자, 공개번호/일자, 공고번호/일자, 국제출원번호/일자, 국제공개번호/일자, 우선권정보, 법적상태, 심사진행상태, 심판사항, 구분, 원출원번호/일자, 관련 출원번호, 기술이전 희망, 심사청구여부/일자, 심사청구항수의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 서지정보 표입니다.
요약 본 발명은 사용자 PC에서 경유/ 유포 사이트에 접속하여 악성코드에 감염된 후, 원격 제어명령(C0026#C) 서버에 접속하여 공격명령을 받아 지속적인 공격을 수행하는 APT 공격을 분석하기 위해, 네트워크 모니터링을 통해 수집한 트래픽에서 파일을 추출하고, 그 중에서 의심 파일을 분석하여 APT 공격 추적 정보를 수집하는 APT 공격 분석을 위한 의심파일 및 추적정보 수집 방법에 관한 것이다.이를 위하여 APT 공격 분석을 위한 의심파일 및 추적정보 수집 방법은, 상기 추출된 모든 파일을 기반으로 유포 사이트 리스트, 원격 제어명령(C0026#C) 리스트, 침입탐지 정보 및 악성코드 정보로 구성된 블랙리스트와 일치하는지 또는 어느 정도 유사한지에 따라 유포 사이트 위험도 지수, 원격 제어명령(C0026#C) 위험도 지수, 프로토콜 인코딩 및 침입탐지 위험도 지수 및 악성코드 유사도 지수로 구분하여 프로토콜의 위험성을 분석하여 침입탐지를 수행하고 악성코드와의 유사도를 분석하는 제 1단계; 상기 의심파일에 대한 추가 정보를 수집하고, 상기 의심파일에 대하여 유포 사이트 위험도 지수, 원격 제어명령(C0026#C) 위험도 지수, 프로토콜 인코딩 및 침입탐지 위험도 지수, 악성코드 유사도 지수를 기반으로 분석 우선순위를 결정하고 판단하여 장기 저장 정보로 저장하며, 상기 장기 저장 정보에서 상기 분석 우선순위에 따라 상기 의심파일을 분석하는 제 2단계; 신규 악성코드 판단에 따라 상기 장기 저장 정보에서 기존 의심파일 및 의심파일 관련 정보를 추적하여 상기 의심파일을 재분석하고, 유포 의심 사이트 및 원격 제어 명령(C0026#C) 의심 사이트를 재분석하는 제 3단계; 신규 악성코드, 신규 유포 사이트 및 신규 원격제어 명령(C0026#C) 사이트 정보를 업데이트하고, 감염 PC에 대응하는 제 4단계를 포함한다. 이로써, APT 공격 분석을 위한 의심파일 및 추적정보 수집 방법은 신규 악성코드, 유포 사이트, 원격 제어명령(C0026#C) 사이트에 대응할 수 있으며, 종전에 악성코드에 감염된 PC로 유입된 악성코드가 있는지 여부를 분석하여 APT 공격의 진행여부 판단하고, 종래에도 유사한 공격이 수행되어 APT 공격이 진행되었는지 여부를 분석하여 향후 공격에 대비할 수 있도록 한다.
Int. CL G06F 21/56 (2013.01) G06F 21/55 (2013.01)
CPC G06F 21/55(2013.01)
출원번호/일자 1020130165030 (2013.12.27)
출원인 호서대학교 산학협력단
등록번호/일자 10-1535529-0000 (2015.07.03)
공개번호/일자 10-2015-0076613 (2015.07.07) 문서열기
공고번호/일자 (20150709) 문서열기
국제출원번호/일자
국제공개번호/일자
우선권정보
법적상태 등록
심사진행상태 수리
심판사항
구분 신규
원출원번호/일자
관련 출원번호
심사청구여부/일자 Y (2013.12.27)
심사청구항수 8

출원인

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 출원인 표입니다.
번호 이름 국적 주소
1 호서대학교 산학협력단 대한민국 충청남도 아산시

발명자

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 발명자 표입니다.
번호 이름 국적 주소
1 하재철 대한민국 충청남도 천안시 동남구
2 김기현 대한민국 경기도 용인시 수지구

대리인

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 대리인 표입니다.
번호 이름 국적 주소
1 장수현 대한민국 서울특별시 서초구 바우뫼로 ***, *층(양재동, 영진빌딩)(두리암특허법률사무소)

최종권리자

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 최종권리자 표입니다.
번호 이름 국적 주소
1 호서대학교 산학협력단 대한민국 충청남도 아산시
번호, 서류명, 접수/발송일자, 처리상태, 접수/발송일자의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 행정처리 표입니다.
번호 서류명 접수/발송일자 처리상태 접수/발송번호
1 [특허출원]특허출원서
[Patent Application] Patent Application		 2013.12.27 수리 (Accepted) 1-1-2013-1194957-82
2 선행기술조사의뢰서
Request for Prior Art Search		 2014.09.25 수리 (Accepted) 9-1-9999-9999999-89
3 선행기술조사보고서
Report of Prior Art Search		 2014.10.14 수리 (Accepted) 9-1-2014-0079828-45
4 의견제출통지서
Notification of reason for refusal		 2014.12.30 발송처리완료 (Completion of Transmission) 9-5-2014-0896205-01
5 [명세서등 보정]보정서
[Amendment to Description, etc.] Amendment		 2015.02.27 보정승인간주 (Regarded as an acceptance of amendment) 1-1-2015-0195890-35
6 [거절이유 등 통지에 따른 의견]의견(답변, 소명)서
[Opinion according to the Notification of Reasons for Refusal] Written Opinion(Written Reply, Written Substantiation)		 2015.02.27 수리 (Accepted) 1-1-2015-0195891-81
7 등록결정서
Decision to grant		 2015.06.26 발송처리완료 (Completion of Transmission) 9-5-2015-0429222-81
8 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2019.08.30 수리 (Accepted) 4-1-2019-0045360-16
번호, 청구항의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 청구항 표입니다.
번호 청구항
1 1
사용자 PC에서 APT 공격을 분석하기 위해 수집한 트래픽에서 파일을 추출하여 의심파일을 분석하고 APT 공격 추적 정보를 수집하는 방법에 있어서,상기 추출된 모든 파일을 기반으로 유포 사이트 리스트, 원격 제어명령(C0026#C) 리스트, 침입탐지 정보 및 악성코드 정보로 구성된 블랙리스트와 일치하는지 또는 어느 정도 유사한지에 따라 유포 사이트 위험도 지수, 원격 제어명령(C0026#C) 위험도 지수, 프로토콜 인코딩 및 침입탐지 위험도 지수 및 악성코드 유사도 지수로 구분하여 프로토콜의 위험성을 분석하여 침입탐지를 수행하고 악성코드와의 유사도를 분석하는 제 1단계;상기 의심파일에 대한 추가 정보를 수집하고, 상기 의심파일에 대하여 유포 사이트 위험도 지수, 원격 제어명령(C0026#C) 위험도 지수, 프로토콜 인코딩 및 침입탐지 위험도 지수, 악성코드 유사도 지수를 기반으로 분석 우선순위를 결정하고 판단하여 장기 저장 정보로 저장하며, 상기 장기 저장 정보에서 상기 분석 우선순위에 따라 상기 의심파일을 분석하는 제 2단계;신규 악성코드 판단에 따라 상기 장기 저장 정보에서 기존 의심파일 및 의심파일 관련 정보를 추적하여 상기 의심파일을 재분석하고, 유포 의심 사이트 및 원격 제어명령(C0026#C) 의심 사이트를 재분석하는 제 3단계; 및신규 악성코드, 신규 유포 사이트, 신규 원격 제어명령 (C0026#C) 사이트 정보를 업데이트 하고, 악성코드 감염 PC에 대응하는 제 4단계;를 포함하는 것을 특징으로 하는 APT 공격 분석을 위한 의심파일 및 추적정보 수집 방법
2 2
삭제
3 3
삭제
4 4
청구항 1에 있어서,상기 제 2단계에서 상기 장기 저장 정보는, 기존 악성코드와 의심파일 간의 유사도 정보, 의심파일 연관 정보, 악성코드 연관 정보로 구성되는 것을 특징으로 하는 APT 공격 분석을 위한 의심파일 및 추적정보 수집 방법
5 5
청구항 4에 있어서,상기 기존 악성코드와 의심파일 간의 유사도 정보는, 악성코드별 인덱스와 해당 악성코드와 유사한 의심파일 중 유사도가 높은 의심파일의 파일 해쉬값(의심파일 인덱스)과의 유사도의 리스트로 구성되는 것을 특징으로 하는 APT 공격 분석을 위한 의심파일 및 추적정보 수집 방법
6 6
청구항 4에 있어서,상기 의심파일 연관 정보는, 수집 의심파일, 파일 해쉬값(의심파일 인덱스), 분석 우선순위와 같은 공통된 정보는 하나로 두고, 각 감염의심 PC를 바탕으로 감염의심 PC IP, 유포 의심 IP/URL, C0026#C 의심 IP/URL 리스트로 구분하여 구성되는 것을 특징으로 하는 APT 공격 분석을 위한 의심파일 및 추적정보 수집 방법
7 7
청구항 4에 있어서,상기 악성코드 연관 정보는, 악성코드별 인덱스를 기반으로 구성되며, 각 감염의심 PC를 기준으로 유포 IP/URL, C0026#C IP/URL 리스트로 구분되는 것을 특징으로 하는 APT 공격 분석을 위한 의심파일 및 추적정보 수집 방법
8 8
청구항 1에 있어서,상기 제 3단계는, 분석된 악성파일이 신규 악성파일인 경우, 파일이 유입된 PC를 감염 PC로 판단하고 상기 감염 PC의 IP를 기준으로 상기 장기 저장 정보에서 의심파일을 검색하며, 상기 검색된 의심파일의 분석 우선순위를 변경하는 것을 특징으로 하는 APT 공격 분석을 위한 의심파일 및 추적정보 수집 방법
9 9
청구항 1에 있어서,상기 제 3단계는,상기 신규 악성코드와 상기 장기 저장 정보에 저장되어 있는 상기 기존 악성코드와의 유사성을 비교하여 상기 기존의 악성코드 중 유사도가 높은 악성코드를 선택하고, 상기 선택된 기존의 악성코드에 대하여 유사도가 높은 의심파일 정보를 추적하여 분석 우선순위를 변경하는 것을 특징으로 하는 APT 공격 분석을 위한 의심파일 및 추적정보 수집 방법
10 10
청구항 1에 있어서,상기 제 4단계는, 상기 분석된 악성코드가 상기 신규 악성코드 또는 상기 기존의 악성코드 중 어느 하나에 해당하는 경우에도, 상기 유포 의심 사이트 및 상기 원격 제어명령(C0026#C) 의심 사이트를 분석하여 상기 악성코드 유포 사이트 또는 상기 원격 제어명령(C0026#C) 사이트로 등록하는 것을 특징으로 하는 APT 공격 분석을 위한 의심파일 및 추적정보 수집 방법
지정국 정보가 없습니다
패밀리정보가 없습니다
순번, 연구부처, 주관기관, 연구사업, 연구과제의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 국가R&D 연구정보 정보 표입니다.
순번 연구부처 주관기관 연구사업 연구과제
1 교육부 호서대학교 LINC 사업단 산학협력 선도대학 육성사업 유·무선 통신융합 환경에서 악성코드 유입 및 위협 탐지 센서 개발