맞춤기술찾기

홈으로 가기
맞춤기술찾기
이전대상기술
프린트하기

이전대상기술

비정상 행위 탐지 시스템 및 방법(System and Method for Anomaly Detection)

  • 기술번호 : KST2016012463
  • 담당센터 : 대전기술혁신센터
  • 전화번호 : 042-610-2279
상담신청 PDF 받기
요약, Int. CL, CPC, 출원번호/일자, 출원인, 등록번호/일자, 공개번호/일자, 공고번호/일자, 국제출원번호/일자, 국제공개번호/일자, 우선권정보, 법적상태, 심사진행상태, 심판사항, 구분, 원출원번호/일자, 관련 출원번호, 기술이전 희망, 심사청구여부/일자, 심사청구항수의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 서지정보 표입니다.
요약 본 발명은 비정상 행위 탐지 시스템 및 방법에 대하여 개시한다. 본 발명의 일면에 따른 비정상 행위 탐지 시스템은, 사용자 PC에 각기 구비되어, 상기 PC에서 실행되는 모든 프로그램의 프로세스에 관련된 정보를 수집하여 네트워크로 전송하는 적어도 하나의 에이전트; 상기 에이전트에 의해 수집된 정보를 저장소 내에 저장하는 저장/분석 장치; 상기 프로세스와 관련된 정보로부터 기설정된 정상 행위 범위를 벗어나는 확인대상 행위의 존재 여부를 확인하는 탐지 장치를 포함하고, 상기 저장/분석 장치는, 상기 저장소 내 상기 확인대상 행위와 관련된 모든 프로세스와 관련된 정보를 검색하고, 검색된 정보를 이용한 군집화 결과와 기정의된 비정상 프로그램에 대한 군집화 결과를 이용하여 상기 확인대상 행위가 이상 행위인지를 확인하는 것을 특징으로 한다.
Int. CL H04L 12/26 (2006.01)
CPC H04L 43/00(2013.01) H04L 43/00(2013.01) H04L 43/00(2013.01)
출원번호/일자 1020140186019 (2014.12.22)
출원인 한국전자통신연구원
등록번호/일자
공개번호/일자 10-2016-0076167 (2016.06.30) 문서열기
공고번호/일자 문서열기
국제출원번호/일자
국제공개번호/일자
우선권정보
법적상태 등록
심사진행상태 수리
심판사항
구분 신규
원출원번호/일자
관련 출원번호
심사청구여부/일자 Y (2017.08.28)
심사청구항수 9

출원인

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 출원인 표입니다.
번호 이름 국적 주소
1 한국전자통신연구원 대한민국 대전광역시 유성구

발명자

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 발명자 표입니다.
번호 이름 국적 주소
1 한민호 대한민국 대전광역시 유성구
2 김익균 대한민국 대전광역시 유성구
3 이한성 대한민국 대전광역시 유성구

대리인

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 대리인 표입니다.
번호 이름 국적 주소
1 특허법인지명 대한민국 서울특별시 강남구 남부순환로**** 차우빌딩*층

최종권리자

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 최종권리자 표입니다.
번호 이름 국적 주소
1 한국전자통신연구원 대전광역시 유성구
번호, 서류명, 접수/발송일자, 처리상태, 접수/발송일자의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 행정처리 표입니다.
번호 서류명 접수/발송일자 처리상태 접수/발송번호
1 [특허출원]특허출원서
[Patent Application] Patent Application		 2014.12.22 수리 (Accepted) 1-1-2014-1243587-65
2 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2015.02.02 수리 (Accepted) 4-1-2015-0006137-44
3 [심사청구]심사청구(우선심사신청)서
[Request for Examination] Request for Examination (Request for Preferential Examination)		 2017.08.28 수리 (Accepted) 1-1-2017-0830242-12
4 [명세서등 보정]보정서
[Amendment to Description, etc.] Amendment		 2017.08.28 보정승인간주 (Regarded as an acceptance of amendment) 1-1-2017-0830197-55
5 선행기술조사의뢰서
Request for Prior Art Search		 2018.03.12 수리 (Accepted) 9-1-9999-9999999-89
6 선행기술조사보고서
Report of Prior Art Search		 2018.06.19 수리 (Accepted) 9-1-2018-0029170-44
7 의견제출통지서
Notification of reason for refusal		 2018.10.15 발송처리완료 (Completion of Transmission) 9-5-2018-0697696-75
8 [명세서등 보정]보정서
[Amendment to Description, etc.] Amendment		 2018.12.13 보정승인간주 (Regarded as an acceptance of amendment) 1-1-2018-1253401-10
9 [거절이유 등 통지에 따른 의견]의견(답변, 소명)서
[Opinion according to the Notification of Reasons for Refusal] Written Opinion(Written Reply, Written Substantiation)		 2018.12.13 수리 (Accepted) 1-1-2018-1253400-75
10 등록결정서
Decision to grant		 2018.12.31 발송처리완료 (Completion of Transmission) 9-5-2018-0894509-77
번호, 청구항의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 청구항 표입니다.
번호 청구항
1 1
사용자 PC에 각기 구비되어, 상기 PC에서 실행되는 프로그램의 프로세스 및 네트워크 연결 정보를 수집하여 통신망을 통해 하기의 저장/분석 장치로 전송하는 에이전트; 상기 프로세스 및 네트워크 연결 정보로부터 기정의된 정상 행위 범위를 벗어나는 확인대상 행위의 존재 여부를 확인하여 탐지 정보를 통신망을 통해 하기의 저장/분석 장치로 전송하는 탐지 장치; 다수의 비정상 프로그램이 수행될 때 생성되는 프로세스와 네트워크 연결 정보를 입력변수로 사용하여 확인대상 행위에 대한 군집화를 수행하여 저장소에 저장하는 수단; 상기 에이전트로부터 전송된 프로세스 및 네트워크 연결 정보를 저장소에 저장하는 수단; 상기 탐지 장치로부터 전송된 탐지 정보를 수신하여 탐지 정보에 관련된 프로세스 및 네트워크 연결 정보를 저장소에서 검색하는 수단; 검색된 확인대상 행위와 관련된 프로세스 및 네트워크 연결 정보가 군집 내에 존재하는지 확인하는 수단이 포함된 저장/분석 장치를 포함하되, 상기 탐지 장치는 기설정된 시점에 상기 저장소에 저장된 프로세스 및 네트워크 연결 정보를 탐지하고, 이 중에서 기정의된 정상 행위 범위를 벗어나는 확인대상 행위가 있는지를 확인하는 것을 특징으로 하고,상기 저장/분석 장치에서의 상기 군집화를 위한 연결 정보 입력변수는, 비정상 프로그램에 의해 생성된 프로세스 수, 비정상 프로그램에 의해 생성된 프로세스 중 네트워크 연결을 가지는 프로세스 수, 비정상 프로그램에 의해 생성된 프로세스의 총 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스들의 총 로컬 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 플로우의 종류, 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 연결중 타깃 포트가 사전 설정된 개수와 같은 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 연결중 타깃 포트가 사전 설정된 개수와 다른 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스 중 최대 네트워크 연결(Network Connection)을 가지는 프로세스의 최대 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스 중 네트워크 연결(Network Connection)을 가지는 프로세스의 비율, 및 비정상 프로그램에 의해 생성된 프로세스 들이 생성한 네트워크 연결중 로컬(Local) 네트워크 연결의 비율 중에서 선택된 적어도 하나인 것을 특징으로 하는 비정상 행위 탐지 시스템
2 2
다수의 비정상 프로그램이 수행될 때 생성되는 프로세스와 네트워크 연결 정보를 입력변수로 사용하여 확인대상 행위에 대한 군집화를 수행하여 저장소에 저장하는 수단;사용자 PC에 설치되어 PC에서 실행되는 프로그램의 프로세스 및 네트워크 연결 정보를 수집하는 에이전트로부터 통신망을 통해 전송된 프로세스 및 네트워크 연결 정보를 수신하여 저장소에 저장하는 수단;상기 프로세스 및 네트워크 연결 정보로부터 기정의된 정상 행위 범위를 벗어나는 확인대상 행위의 존재 여부를 확인하는 탐지 장치로부터 통신망을 통해 전송된 탐지 정보를 수신하여 탐지 정보에 관련된 프로세스 및 네트워크 연결 정보를 저장소에서 검색하는 수단; 검색된 확인대상 행위와 관련된 프로세스 및 네트워크 연결 정보가 군집 내에 존재하는지 확인하는 수단이 포함된 저장/분석 장치를 포함하되, 상기 탐지 장치는 기설정된 시점에 상기 저장소에 저장된 프로세스 및 네트워크 연결 정보를 탐지하고, 이 중에서 기정의된 정상 행위 범위를 벗어나는 확인대상 행위가 있는지를 확인하는 것을 특징으로 하고,상기 저장/분석 장치에서의 상기 군집화를 위한 연결 정보 입력변수는, 비정상 프로그램에 의해 생성된 프로세스 수, 비정상 프로그램에 의해 생성된 프로세스 중 네트워크 연결을 가지는 프로세스 수, 비정상 프로그램에 의해 생성된 프로세스의 총 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스들의 총 로컬 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 플로우의 종류, 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 연결중 타깃 포트가 사전 설정된 개수와 같은 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 연결중 타깃 포트가 사전 설정된 개수와 다른 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스 중 최대 네트워크 연결(Network Connection)을 가지는 프로세스의 최대 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스 중 네트워크 연결(Network Connection)을 가지는 프로세스의 비율, 및 비정상 프로그램에 의해 생성된 프로세스 들이 생성한 네트워크 연결중 로컬(Local) 네트워크 연결의 비율 중에서 선택된 적어도 하나인 것을 특징으로 하는 비정상 행위 탐지 시스템
3 3
제1항 또는 제2항에 있어서, 상기 저장/분석 장치의 상기 확인대상 행위에 대한 군집화를 수행하여 저장소에 저장하는 수단은 네트워크나 데이터베이스로부터 이미 알고 있는 비정상 프로그램을 수집하는 수단, 수집된 비정상 프로그램을 실행하여 군집화 과정에 사용될, 비정상 프로그램의 실행중 생성된 프로세스와 네트워크 연결에 관련된 입력변수, 즉, 군집화될 변수들을 추출하는 수단, 복수의 군집화 알고리즘 중에서 하나의 군집화 알고리즘을 선택한 후 입력변수를 군집화하는 수단을 포함하는 비정상 행위 탐지 시스템
4 4
제1항 또는 제2항에 있어서, 상기 프로세스 및 네트워크 연결 정보는 프로세스 생성시간, 호스트 ID, 프로세스 ID, 부모 프로세스 ID(Parent Process ID), 및 네트워크 연결을 수반하는 프로세스의 Src
5 5
제1항 또는 제2항에 있어서, 상기 탐지 정보는 확인대상 행위의 탐지 시간 및 확인대상 행위에 대응하는 Src
6 6
제1항 또는 제2항에 있어서, 상기 저장/분석 장치의 검색된 확인대상 행위와 관련된 프로세스 및 네트워크 연결 정보가 군집 내에 존재하는지 확인하는 수단은, 확인대상 행위와 관련된 프로세스 및 네트워크 연결 정보를 입력변수로 하는 군집화를 수행하여 분류 결과를 생성하고, 분류 결과가 기정의된 군집화 집단 내에 존재하는지를 확인하는 것을 특징으로 하는 비정상 행위 탐지 시스템
7 7
1) 다수의 비정상 프로그램이 수행될 때 생성되는 프로세스와 네트워크 연결 정보를 입력변수로 사용하여 확인대상 행위에 대한 군집화를 수행하여 저장소에 저장하는 절차,2) 사용자 PC에 설치되어 PC에서 실행되는 프로그램의 프로세스 및 네트워크 연결 정보를 수집하는 에이전트로부터 통신망을 통해 전송된 프로세스 및 네트워크 연결 정보를 수신하여 저장소에 저장하는 절차,3) 상기 프로세스 및 네트워크 연결 정보로부터 기정의된 정상 행위 범위를 벗어나는 확인대상 행위의 존재 여부를 확인하는 탐지 장치로부터 통신망을 통해 전송된 탐지 정보를 수신하여 탐지 정보에 관련된 프로세스 및 네트워크 연결 정보를 저장소에서 검색하는 절차, 4) 검색된 확인대상 행위와 관련된 프로세스 및 네트워크 연결 정보가 군집 내에 존재하는지 확인하는 절차를 포함하되, 상기 절차 3)의 상기 탐지 장치는 기설정된 시점에 상기 저장소에 저장된 프로세스 및 네트워크 연결 정보를 탐지하고, 이 중에서 기정의된 정상 행위 범위를 벗어나는 확인대상 행위가 있는지를 확인하는 것을 특징으로 하고,상기 절차 1)에서의 상기 군집화를 위한 연결 정보 입력변수는, 비정상 프로그램에 의해 생성된 프로세스 수, 비정상 프로그램에 의해 생성된 프로세스 중 네트워크 연결을 가지는 프로세스 수, 비정상 프로그램에 의해 생성된 프로세스의 총 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스들의 총 로컬 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 플로우의 종류, 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 연결중 타깃 포트가 사전 설정된 개수와 같은 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스들이 생성한 네트워크 연결중 타깃 포트가 사전 설정된 개수와 다른 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스 중 최대 네트워크 연결(Network Connection)을 가지는 프로세스의 최대 네트워크 연결 수, 비정상 프로그램에 의해 생성된 프로세스 중 네트워크 연결(Network Connection)을 가지는 프로세스의 비율, 및 비정상 프로그램에 의해 생성된 프로세스 들이 생성한 네트워크 연결중 로컬(Local) 네트워크 연결의 비율 중에서 선택된 적어도 하나인 것을 특징으로 하는 비정상 행위 탐지 방법
8 8
제7항에 있어서, 상기 절차 1)의 확인대상 행위에 대한 군집화를 수행하여 저장소에 저장하는 절차는 네트워크나 데이터베이스로부터 이미 알고 있는 비정상 프로그램을 수집하는 절차, 수집된 비정상 프로그램을 실행하여 군집화 과정에 사용될, 비정상 프로그램의 실행중 생성된 프로세스와 네트워크 연결에 관련된 입력변수, 즉, 군집화될 변수들을 추출하는 절차, 복수의 군집화 알고리즘 중에서 하나의 군집화 알고리즘을 선택한 후 입력변수를 군집화하는 절차를 포함하는 비정상 행위 탐지 방법
9 9
제7항에 있어서, 상기 절차 4)의 검색된 확인대상 행위와 관련된 프로세스 및 네트워크 연결 정보가 군집 내에 존재하는지 확인하는 절차는, 확인대상 행위와 관련된 프로세스 및 네트워크 연결 정보를 입력변수로 하는 군집화를 수행하여 분류 결과를 생성하고, 분류 결과가 기정의된 군집화 집단 내에 존재하는지를 확인하는 것을 특징으로 하는 비정상 행위 탐지 방법
지정국 정보가 없습니다
패밀리정보가 없습니다
순번, 연구부처, 주관기관, 연구사업, 연구과제의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 국가R&D 연구정보 정보 표입니다.
순번 연구부처 주관기관 연구사업 연구과제
1 미래창조과학부 한국전자통신연구원 ETRI연구개발지원사업 다중소스 데이터의 Long-Term History 분석기반 사이버 표적공격 인지 및 추적기술 개발