1 |
1
다수개의 호스트들로 구성된 네트워크 상에서 송/수신되는 네트워크 데이터를 수집하고, 상기 네트워크 데이터 중 비정상 연결 행위를 탐지하기 위한 데이터를 추출하는 데이터 추출부;상기 추출된 데이터를 저장하고, 실제의 악성 행위로부터 수집된 데이터를 저장하는 데이터 저장부; 및상기 저장된 데이터에 상응하는 제 1 특징 인자들 및 상기 악성 행위에 상응하는 제 2 특징 인자들에 기반하여 비정상 연결 행위를 탐지하는 탐지부를 포함하고,상기 제 1 및 제 2 특징 인자들의 각각은 사용하는 서비스의 개수, 인 바운드 플로우, 아웃 바운드 플로우, 커넥션 지속 시간, 인 바운드 패킷 수, 아웃 바운드 패킷 수, 커넥션 개수 중에서 어느 하나 이상을 포함하고,상기 탐지부는상기 제 1 및 제 2 특징 인자들의 값들의 유사성에 기반하여 비정상 연결 행위를 탐지하고,상기 제 1 및 제 2 특징 인자들의 사용하는 서비스의 개수, 인 바운드 플로우, 아웃 바운드 플로우, 커넥션 지속 시간, 인 바운드 패킷 수, 아웃 바운드 패킷 수, 커넥션 개수를 각각 비교하고, 기설정된 차이값 이하로 유사한 값을 가지는 인자들의 개수가 기설정된 개수 이상인 경우, 비정상 연결 행위로 판단하는 것을 특징으로 하는 비정상 연결 행위 탐지 장치
|
2 |
2
삭제
|
3 |
3
청구항 1에 있어서,상기 데이터 추출부는,상기 수집된 네트워크 데이터 중 특정 시간 이상이 지난 네트워크 데이터를추출하는 RAW 데이터 추출부;상기 수집된 네트워크 데이터 중 연결 정보에 상응하는 데이터를 추출하는 연결 정보 데이터 추출부;상기 수집된 네트워크 데이터 중 서비스 정보에 상응하는 데이터를 추출하는서비스 정보 데이터 추출부; 및상기 악성 행위로 인하여 발생하는 네트워크 데이터를 추출하는 악성 행위 데이터 추출부를 포함하는 것을 특징으로 하는 비정상 연결 행위 탐지 장치
|
4 |
4
청구항 3에 있어서,상기 탐지부는,상기 연결 정보에 상응하는 데이터에 포함된 IP 주소의 정보에 기반하여 외부 IP 주소를 추출하는 외부 IP 주소 추출부;상기 데이터 저장부에 저장된 외부 IP 주소와 상기 외부 IP 주소와 비교하여 기존에 연결된 적이 있었는지 여부를 조회하고, 기존에 연결된 적이 없는 상기 네트워크 데이터를 비정상 행위 의심 데이터로 추출하는 비정상 의심 데이터 추출부; 및상기 비정상 행위 의심 데이터에 상응하는 상기 제 1 특징 인자들과 상기 악성 행위에 상응하는 상기 제 2 특징 인자들에 기반하여 비정상 행위를 탐지하는 비정상 연결 탐지부를 포함하는 것을 특징으로 하는 비정상 연결 행위 탐지 장치
|
5 |
5
삭제
|
6 |
6
청구항 3에 있어서,상기 탐지부는,상기 서비스 정보에 포함된 서비스 네임(Service Name)을 추출하는 서비스 네임 추출부;상기 데이터 저장부에 저장된 네트워크 데이터 중 상기 서비스 네임과 동일한 서비스 네임을 가진 네트워크 데이터를 추출하고, 상기 네트워크 데이터에 상응하는 데스티네이션 IP를 추출하는 데스티네이션 IP 추출부;상기 데이터 저장부에 저장된 네트워크 데이터에 상응하는 데스티네이션 IP와 상기 데스티네이션 IP를 비교하여, 일치하지 않는 경우, 상기 네트워크 데이터를 비정상 연결 의심 데이터로 추출하는 비정상 의심 행위 추출부; 및상기 비정상 연결 의심 데이터에 상응하는 상기 제 1 특징 인자들과 상기 악성 행위에 상응하는 상기 제 2 특징 인자들에 기반하여 비정상 연결을 탐지하는 비정상 연결 탐지부를 포함하는 것을 특징으로 하는 비정상 연결 행위 탐지 장치
|
7 |
7
청구항 6에 있어서,상기 비정상 의심 행위 추출부는,상기 서비스 네임을 추출할 수 없는 네트워크 데이터의 경우, 상기 데스티네이션 IP와 상기 데이터 저장부에 저장된 IP를 맵핑하고, 상기 데스티네이션 IP가 상기 데이터 저장부에 저장된 IP인지 여부를 판단하고, 저장되어 있지 않은 IP인 경우, 비정상 연결 의심 데이터로 추출하는 것을 특징으로 하는 비정상 연결 행위 탐지 장치
|
8 |
8
삭제
|
9 |
9
청구항 1에 있어서,특징 인자들로 표현된 상기 네트워크 데이터 및 상기 악성 행위에 상응하는 데이터를 그래프로 출력하는 그래프 출력부를 더 포함하는 것을 특징으로 하는 비정상 연결 행위 탐지 장치
|
10 |
10
다수개의 호스트들로 구성된 네트워크 상에서 송/수신되는 네트워크 데이터를 수집하고, 상기 네트워크 데이터 중 비정상 연결을 탐지하기 위한 데이터를 추출하는 단계;상기 추출된 데이터 및 실제의 악성 행위로부터 수집된 데이터를 저장하는 단계; 및상기 저장된 데이터에 상응하는 제 1 특징 인자들 및 상기 악성 행위에 상응하는 제 2 특징 인자들에 기반하여 비정상 연결 행위를 탐지하는 단계를 포함하고,상기 제 1 및 제 2 특징 인자들의 각각은 사용하는 서비스의 개수, 인 바운드 플로우, 아웃 바운드 플로우, 커넥션 지속 시간, 인 바운드 패킷 수, 아웃 바운드 패킷 수, 커넥션 개수 중에서 어느 하나 이상을 포함하고,상기 비정상 연결 행위를 탐지하는 단계는상기 제 1 및 제 2 특징 인자들의 값들의 유사성에 기반하여 비정상 연결 행위를 탐지하고,상기 제 1 및 제 2 특징 인자들의 사용하는 서비스의 개수, 인 바운드 플로우, 아웃 바운드 플로우, 커넥션 지속 시간, 인 바운드 패킷 수, 아웃 바운드 패킷 수, 커넥션 개수를 각각 비교하고, 기설정된 차이값 이하로 유사한 값을 가지는 인자들의 개수가 기설정된 개수 이상인 경우, 비정상 연결 행위로 판단하는 것을 특징으로 하는 비정상 연결 행위 탐지 방법
|
11 |
11
삭제
|
12 |
12
청구항 10에 있어서,상기 데이터를 추출하는 단계는,상기 수집된 네트워크 데이터 중 특정 시간 이상이 지난 네트워크 데이터를추출하는 단계;상기 수집된 네트워크 데이터 중 연결 정보에 상응하는 데이터를 추출하는 단계;상기 수집된 네트워크 데이터 중 서비스 정보에 상응하는 데이터를 추출하는단계; 및상기 악성 행위로 인하여 발생하는 네트워크 데이터를 추출하는 단계를 포함하는 것을 특징으로 하는 비정상 연결 행위 탐지 방법
|
13 |
13
청구항 12에 있어서,상기 비정상 연결 행위를 탐지하는 단계는,상기 연결 정보에 상응하는 데이터에 포함된 IP 주소의 정보에 기반하여 외부 IP 주소를 추출하는 단계;데이터 저장부에 저장된 외부 IP 주소와 상기 외부 IP 주소와 비교하여 기존에 연결된 적이 있었는지 여부를 조회하고, 기존에 연결된 적이 없는 상기 네트워크 데이터를 비정상 연결 의심 데이터로 판단 및 추출하는 단계; 및상기 비정상 연결 의심 데이터에 상응하는 상기 제 1 특징 인자들과 상기 악성 행위에 상응하는 상기 제 2 특징 인자들에 기반하여 비정상 연결을 탐지하는 단계를 포함하는 것을 특징으로 하는 비정상 연결 행위 탐지 방법
|
14 |
14
삭제
|
15 |
15
청구항 12에 있어서,상기 비정상 연결 행위를 탐지하는 단계는,상기 서비스 정보에 포함된 서비스 네임(Service Name)을 추출하는 단계;데이터 저장부에 저장된 네트워크 데이터 중 상기 서비스 네임과 동일한 서비스 네임을 가진 네트워크 데이터를 추출하고, 상기 네트워크 데이터에 상응하는 데스티네이션 IP를 추출하는 단계;상기 데이터 저장부에 저장된 네트워크 데이터에 상응하는 데스티네이션 IP와 상기 데스티네이션 IP를 비교하여, 일치하지 않는 경우, 상기 네트워크 데이터를 비정상 연결 의심 데이터로 판단하고, 추출하는 단계; 및상기 비정상 연결 의심 데이터에 상응하는 상기 제 1 특징 인자들과 상기 악성 행위에 상응하는 상기 제 2 특징 인자들에 기반하여 비정상 연결을 탐지하는 단계를 포함하는 것을 특징으로 하는 비정상 연결 행위 탐지 방법
|
16 |
16
청구항 15에 있어서,상기 비정상 연결 의심 데이터로 판단 및 추출하는 단계는,상기 서비스 네임을 추출할 수 없는 네트워크 데이터의 경우, 상기 데스티네이션 IP와 상기 데이터 저장부에 저장된 IP를 맵핑하고, 상기 데스티네이션 IP가 상기 데이터 저장부에 저장된 IP인지 여부를 판단하고, 저장되어 있지 않은 IP인 경우, 비정상 연결 의심 데이터로 추출하는 단계를 포함하는 것을 특징으로 하는 비정상 연결 행위 탐지 방법
|
17 |
17
삭제
|
18 |
18
청구항 10에 있어서,특징 인자들로 표현된 상기 네트워크 데이터 및 상기 악성 행위에 상응하는 데이터를 그래프로 출력하는 단계를 더 포함하는 것을 특징으로 하는 비정상 연결 행위 탐지 방법
|