| 1 |
1
외부망과 내부망 사이에 송수신되는 모든 트래픽을 수집하는 단계와,상기 수집된 트래픽에 대한 분석을 통해 해당 트래픽에 대한 세션 정보 및 콘텐츠 정보, 트래픽 정보를 추출하는 단계와,상기 콘텐츠 정보의 존재여부를 확인하는 단계와,상기 콘텐츠 정보가 존재하면 상기 콘텐츠 정보가 수집된 시간 정보를 획득하는 단계와,상기 수집된 시간 정보를 기준으로 점검 기간 내 수집된 트래픽의 콘텐츠 정보 및 트래픽 정보로부터 웹주소(이하, ‘URL’라 함)을 추출하여 점검대상으로 설정하는 단계와,상기 점검대상으로 설정된 URL들을 점검하여 악성 여부를 판단하는 단계를 포함하여 이루어지며,상기 정보추출 단계는,상기 수집된 트래픽이 전송 제어 프로토콜(이하, TCP) 트래픽 또는 하이퍼텍스트 전송 프로토콜(이하, HTTP) 트래픽 인지를 확인하는 단계와,상기 수집된 트래픽이 TCP 트래픽 또는 HTTP 트래픽 이면, 세션 상태를 확인하여 세션 종료가 아니면 트래픽 분석을 통해 해당 트래픽으로부터 상기 세션 정보 및 콘텐츠 정보, 트래픽 정보를 추출하는 단계와,상기 세션 상태가 세션 종료이면 종료된 세션을 통해 전송된 콘텐츠 정보가 존재하는지를 확인하는 단계를 포함하는 것을 특징으로 하는 트래픽 분석을 통한 악성 트래픽 탐지 방법
|
| 2 |
2
삭제
|
| 3 |
3
제1항에 있어서, 상기 정보추출 단계는,상기 해당 세션을 통해 전송된 콘텐츠 정보가 존재하면 상기 세션 정보의 목적지 포트 정보와 함께 기수집된 콘텐츠 정보 및 트래픽 정보를 저장하는 단계를 더 포함하는 것을 특징으로 하는 트래픽 분석을 통한 악성 트래픽 탐지 방법
|
| 4 |
4
제1항에 있어서, 상기 세션 정보는,세션 형성 후 최초로 발생되는 HTTP 요청 트래픽으로부터 추출되는 것을 특징으로 하는 트래픽 분석을 통한 악성 트래픽 탐지 방법
|
| 5 |
5
제1항에 있어서, 상기 콘텐츠 정보는,상기 수집된 트래픽 중 HTTP 응답 트래픽이며 그 트래픽의 콘텐츠 타입이 실행 파일인 트래픽으로부터 추출되는 것을 특징으로 하는 트래픽 분석을 통한 악성 트래픽 탐지 방법
|
| 6 |
6
제1항에 있어서, 상기 트래픽 정보는,상기 수집된 트래픽의 HTTP 요청 방식이 겟(GET) 요청인 트래픽으로부터 추출하는 HTTP 요청 정보인 것을 특징으로 하는 트래픽 분석을 통한 악성 트래픽 탐지 방법
|
| 7 |
7
외부망과 내부망 사이에 송수신되는 모든 트래픽을 수집하는 트래픽 수집장치와,상기 수집된 트래픽을 분석하여 악성으로 의심되는 웹주소(이하, URL)를 선별하여 점검하는 분석서버를 포함하며,상기 분석서버는,상기 트래픽 수집장치로부터 전송되는 상기 수집된 트래픽을 수신하는 통신부와,상기 수집된 트래픽으로부터 세션 정보 및 콘텐츠 정보, 트래픽 정보를 수집하는 정보수집부와,상기 콘텐츠 정보의 존재여부를 확인하고, 그 확인결과 상기 콘텐츠 정보가 존재하면 해당 정보가 수집된 시간 정보를 기준으로 점검 기간 내에 수집된 트래픽에 존재하는 웹주소(이하, ‘URL’라 함)을 점검대상으로 설정하는 점검대상 선별부와,상기 점검대상으로 설정된 URL들을 점검하여 해당 URL의 악성여부를 판단하는 점검부를 포함하여 구성되며,상기 정보 수집부는,상기 수집된 트래픽이 전송 제어 프로토콜(이하, TCP) 트래픽 또는 하이퍼텍스트 전송 프로토콜(이하, HTTP) 트래픽 인지를 확인하고,상기 수집된 트래픽이 TCP 트래픽 또는 HTTP 트래픽이면, 세션 상태를 확인하여 세션 종료가 아니면 트래픽 분석을 통해 해당 트래픽으로부터 상기 세션 정보 및 콘텐츠 정보, 트래픽 정보를 추출하며,상기 세션 상태가 세션 종료이면 종료된 세션을 통해 전송된 콘텐츠 정보가 존재하는지를 확인하는 것을 특징으로 하는 트래픽 분석을 통한 악성 트래픽 탐지 시스템
|
