1 |
1
탐지규칙 기반 보안장비에 의해 공격으로 탐지된 보안이벤트 및 상기 보안이벤트와 관련된 정보를 입력받는 단계;상기 입력된 보안이벤트의 특성을 추출하는 단계;상기 보안이벤트가 시그니처 기반의 보안이벤트인 경우, 상기 보안이벤트의 공격 유형에 따라 분류하는 단계; 및상기 분류된 보안이벤트가 악성코드 감염 유형인 경우, 상기 악성코드 감염 유형에 대한 자동 검증 알고리즘에 따라 상기 추출된 보안이벤트의 특성과 상기 입력된 보안이벤트와 관련된 정보를 비교하여 상기 탐지된 보안이벤트가 정탐인지 여부를 검증하는 단계; 를 포함하고,상기 입력된 보안이벤트와 관련된 정보는 상기 보안이벤트의 검증을 위해 필수적인 필수 요소 및 상기 보안이벤트의 검증을 위해 부수적인 보조 요소를 포함하고,상기 필수 요소는 공격의 대상이 되는 기관의 IP 주소의 목록을 나타내는 기관 IP 리스트 (Institute IP list) 정보를 포함하고,상기 보조 요소는 공격에 사용되는 악성 IP 주소인 블랙 IP 주소의 목록을 나타내는 블랙 IP 리스트 (Black IP list) 정보를 포함하는, 보안이벤트 자동 검증 방법
|
2 |
2
제 1 항에 있어서,상기 보안이벤트의 특성은 상기 보안이벤트의 검증을 위해 필수적인 정적 요소 및 상기 보안이벤트의 검증을 위해 부수적인 동적 요소를 포함하고,상기 정적 요소는 출발지 IP (source IP) 정보, 목적지 IP (destination IP) 정보, 출발지 포트 (source port) 정보, 목적지 포트 (destination port) 정보, 호스트 (host) 정보, 페이로드 (payload) 정보, HTTP 레퍼러 (hypertext transfer protocol referer) 정보 및 보안이벤트의 개수 정보 중 적어도 하나를 포함하고, 상기 동적 요소는 호스트 및 GET URL 정보, 웹사이트 소스 코드 (Website source code) 정보 및 목적지 포트 (Destination port) 정보 중 적어도 하나를 포함하는 보안이벤트 자동 검증 방법
|
3 |
3
제 1 항에 있어서,상기 입력된 보안이벤트와 관련된 정보의 상기 보조 요소는 정상적인 통신에 사용되는 IP 주소인 화이트 IP 주소의 목록을 나타내는 화이트 IP 리스트 (White IP list) 정보, 공격에 사용되는 호스트의 도메인 네임인 블랙 FQDN (Fully Qualified Domain Name)의 목록을 나타내는 블랙 FQDN 리스트 (Black FQDN list) 정보, 정상적인 통신에 사용되는 호스트의 도메인 네임인 화이트 FQDN의 목록을 나타내는 화이트 FQDN 리스트 (White FQDN list) 정보 및 특정 문자열 리스트 정보 중 적어도 하나를 포함하고,여기서, 상기 특정 문자열 리스트 정보는 올바로 탐지된 보안이벤트임을 나타내는 특정 문자열 정보를 포함하는 보안이벤트 자동 검증 방법
|
4 |
4
제 3 항에 있어서, 상기 자동 검증 알고리즘은상기 보안이벤트의 출발지 IP 정보가 상기 기관 IP 리스트 정보에 포함되어 있는지 여부를 확인하는 단계;상기 보안이벤트의 출발지 IP 정보가 상기 블랙 IP 리스트 정보에 포함되어 있는지 여부를 확인하는 단계; 및상기 보안이벤트의 목적지 IP 정보가 상기 블랙 IP 리스트 정보에 포함되어 있는지 여부를 확인하는 단계;를 포함하는 보안이벤트 자동 검증 방법
|
5 |
5
제 4 항에 있어서, 상기 자동 검증 알고리즘은상기 보안이벤트 내에 상기 보안이벤트가 참조하는 레퍼러 정보가 포함되어 있는지 여부를 확인하는 단계를 포함하는 보안이벤트 자동 검증 방법
|
6 |
6
제 5 항에 있어서, 상기 자동 검증 알고리즘은상기 보안이벤트의 개수 정보를 이용하여 특정 시간 동안 탐지된 보안이벤트의 수가 임계치보다 큰지 여부를 확인하는 단계;상기 보안이벤트가 상기 올바로 탐지된 보안이벤트임을 나타내는 특정 문자열 정보를 포함하는지 여부를 확인하는 단계; 및상기 보안이벤트의 출발지 포트 정보 및 목적지 포트 정보 중 적어도 하나와 메일 전송에 사용되는 포트 정보의 동일 여부를 확인하는 단계;를 포함하는 보안이벤트 자동 검증 방법
|
7 |
7
제 4 항에 있어서, 상기 자동 검증 알고리즘에 따라,상기 보안이벤트의 출발지 IP 정보가 상기 기관 IP 리스트 정보에 포함되어 있고 상기 보안이벤트의 목적지 IP 정보가 상기 블랙 IP 리스트 정보에 포함되어 있으면, 상기 탐지된 보안이벤트는 정탐으로 판별되는 보안이벤트 자동 검증 방법
|
8 |
8
제 4 항에 있어서, 상기 자동 검증 알고리즘에 따라,상기 보안이벤트의 출발지 IP 정보가 상기 기관 IP 리스트 정보에 포함되어 있지 않고 상기 보안이벤트의 출발지 IP 정보가 상기 블랙 IP 리스트 정보에 포함되어 있으면, 상기 탐지된 보안이벤트는 정탐으로 판별되는 보안이벤트 자동 검증 방법
|
9 |
9
제 6 항에 있어서, 상기 자동 검증 알고리즘에 따라,상기 보안이벤트의 출발지 IP 정보가 상기 기관 IP 리스트 정보에 포함되어 있고 상기 보안이벤트의 목적지 IP 정보가 상기 블랙 IP 리스트 정보에 포함되어 있지 않고 특정 시간 동안 탐지된 보안이벤트의 수가 임계치보다 큰 경우, 상기 탐지된 보안이벤트는 정탐으로 판별되는 보안이벤트 자동 검증 방법
|
10 |
10
제 6 항에 있어서, 상기 자동 검증 알고리즘에 따라,상기 보안이벤트의 출발지 IP 정보가 상기 기관 IP 리스트 정보에 포함되어 있지 않고 상기 보안이벤트의 출발지 IP 정보가 상기 블랙 IP 리스트 정보에 포함되어 있지 않고 특정 시간 동안 탐지된 보안이벤트의 수가 임계치보다 큰 경우, 상기 탐지된 보안이벤트는 정탐으로 판별되는 보안이벤트 자동 검증 방법
|
11 |
11
제 6 항에 있어서, 상기 자동 검증 알고리즘에 따라,상기 보안이벤트의 출발지 IP 정보가 상기 기관 IP 리스트 정보에 포함되어 있고 상기 보안이벤트의 목적지 IP 정보가 상기 블랙 IP 리스트 정보에 포함되어 있지 않고 특정 시간 동안 탐지된 보안이벤트의 수가 임계치보다 크지 않고 상기 보안이벤트 내에 상기 보안이벤트가 참조하는 레퍼러 정보가 포함되어 있으면, 상기 탐지된 보안이벤트는 오탐으로 판별되는 보안이벤트 자동 검증 방법
|
12 |
12
제 6 항에 있어서, 상기 자동 검증 알고리즘에 따라,상기 보안이벤트의 출발지 IP 정보가 상기 기관 IP 리스트 정보에 포함되어 있고 상기 보안이벤트의 목적지 IP 정보가 상기 블랙 IP 리스트 정보에 포함되어 있지 않고 특정 시간 동안 탐지된 보안이벤트의 수가 임계치보다 크지 않고 상기 보안이벤트 내에 상기 보안이벤트가 참조하는 레퍼러 정보가 포함되어 있지 않고 상기 보안이벤트가 상기 올바로 탐지된 보안이벤트임을 나타내는 특정 문자열 정보를 포함하면, 상기 탐지된 보안이벤트는 정탐으로 판별되는 보안이벤트 자동 검증 방법
|
13 |
13
제 6 항에 있어서, 상기 자동 검증 알고리즘에 따라,상기 보안이벤트의 출발지 IP 정보가 상기 기관 IP 리스트 정보에 포함되어 있고 상기 보안이벤트의 목적지 IP 정보가 상기 블랙 IP 리스트 정보에 포함되어 있지 않고 특정 시간 동안 탐지된 보안이벤트의 수가 임계치보다 크지 않고 상기 보안이벤트 내에 상기 보안이벤트가 참조하는 레퍼러 정보가 포함되어 있지 않고 상기 보안이벤트가 상기 올바로 탐지된 보안이벤트임을 나타내는 특정 문자열 정보를 포함하지 않고 상기 보안이벤트의 출발지 포트 정보 및 목적지 포트 정보 중 적어도 하나와 메일 전송에 사용되는 포트 정보가 동일하면, 상기 탐지된 보안이벤트는 오탐으로 판별되는 보안이벤트 자동 검증 방법
|
14 |
14
제 6 항에 있어서, 상기 자동 검증 알고리즘에 따라,상기 보안이벤트의 출발지 IP 정보가 상기 기관 IP 리스트 정보에 포함되어 있고 상기 보안이벤트의 목적지 IP 정보가 상기 블랙 IP 리스트 정보에 포함되어 있지 않고 특정 시간 동안 탐지된 보안이벤트의 수가 임계치보다 크지 않고 상기 보안이벤트 내에 상기 보안이벤트가 참조하는 레퍼러 정보가 포함되어 있지 않고 상기 보안이벤트가 상기 올바로 탐지된 보안이벤트임을 나타내는 특정 문자열 정보를 포함하지 않고 상기 보안이벤트의 출발지 포트 정보 및 목적지 포트 정보 모두가 메일 전송에 사용되는 포트 정보와 동일하지 않으면, 상기 탐지된 보안이벤트는 추가 분석이 필요한 것으로 판별되는 보안이벤트 자동 검증 방법
|
15 |
15
탐지규칙 기반 보안장비에 의해 공격으로 탐지된 보안이벤트 및 상기 보안이벤트와 관련된 정보를 입력받는 입력 모듈;상기 입력된 보안이벤트의 특성을 추출하는 특성 추출 모듈;상기 보안이벤트가 시그니처 기반의 보안이벤트인 경우, 상기 보안이벤트의 공격 유형에 따라 분류하는 유형 분류 모듈; 및상기 분류된 보안이벤트가 악성코드 감염 유형인 경우, 상기 악성코드 감염 유형에 대한 자동 검증 알고리즘에 따라 상기 추출된 보안이벤트의 특성과 상기 입력된 보안이벤트와 관련된 정보를 비교하여 상기 탐지된 보안이벤트가 정탐인지 여부를 검증하는 자동 검증 모듈;를 포함하고,상기 입력된 보안이벤트와 관련된 정보는 상기 보안이벤트의 검증을 위해 필수적인 필수 요소 및 상기 보안이벤트의 검증을 위해 부수적인 보조 요소를 포함하고,상기 필수 요소는 공격의 대상이 되는 기관의 IP 주소의 목록을 나타내는 기관 IP 리스트 (Institute IP list) 정보를 포함하고,상기 보조 요소는 공격에 사용되는 악성 IP 주소인 블랙 IP 주소의 목록을 나타내는 블랙 IP 리스트 (Black IP list) 정보를 포함하는, 보안이벤트 자동 검증 장치
|
16 |
16
제 15 항에 있어서,상기 보안이벤트의 특성은 상기 보안이벤트의 검증을 위해 필수적인 정적 요소 및 상기 보안이벤트의 검증을 위해 부수적인 동적 요소를 포함하고,상기 정적 요소는 출발지 IP (source IP) 정보, 목적지 IP (destination IP) 정보, 출발지 포트 (source port) 정보, 목적지 포트 (destination port) 정보, 호스트 (host) 정보, 페이로드 (payload) 정보, HTTP 레퍼러 (hypertext transfer protocol referer) 정보 및 보안이벤트의 개수 정보 중 적어도 하나를 포함하고, 상기 동적 요소는 호스트 및 GET URL 정보, Get URL 정보, 웹사이트 소스 코드 (Website source code) 정보 및 목적지 포트 (Destination port) 정보 중 적어도 하나를 포함하는 보안이벤트 자동 검증 장치
|
17 |
17
제 15 항에 있어서,상기 입력된 보안이벤트와 관련된 정보의 상기 보조 요소는 정상적인 통신에 사용되는 IP 주소인 화이트 IP 주소의 목록을 나타내는 화이트 IP 리스트 (White IP list) 정보, 공격에 사용되는 호스트의 도메인 네임인 블랙 FQDN (Fully Qualified Domain Name)의 목록을 나타내는 블랙 FQDN 리스트 (Black FQDN list) 정보, 정상적인 통신에 사용되는 호스트의 도메인 네임인 화이트 FQDN의 목록을 나타내는 화이트 FQDN 리스트 (White FQDN list) 정보 및 특정 문자열 리스트 정보 중 적어도 하나를 포함하고,여기서, 상기 특정 문자열 리스트 정보는 올바로 탐지된 보안이벤트임을 나타내는 특정 문자열 정보를 포함하는 보안이벤트 자동 검증 장치
|
18 |
18
제 17 항에 있어서, 상기 자동 검증 알고리즘은상기 보안이벤트의 출발지 IP 정보가 상기 기관 IP 리스트 정보에 포함되어 있는지 여부를 확인하는 단계;상기 보안이벤트의 출발지 IP 정보가 상기 블랙 IP 리스트 정보에 포함되어 있는지 여부를 확인하는 단계; 및상기 보안이벤트의 목적지 IP 정보가 상기 블랙 IP 리스트 정보에 포함되어 있는지 여부를 확인하는 단계;를 포함하는 보안이벤트 자동 검증 장치
|
19 |
19
제 18 항에 있어서, 상기 자동 검증 알고리즘은상기 보안이벤트 내에 상기 보안이벤트가 참조하는 레퍼러 정보가 포함되어 있는지 여부를 확인하는 단계를 포함하는 보안이벤트 자동 검증 장치
|
20 |
20
제 19 항에 있어서, 상기 자동 검증 알고리즘은상기 보안이벤트의 개수 정보를 이용하여 특정 시간 동안 탐지된 보안이벤트의 수가 임계치보다 큰지 여부를 확인하는 단계;상기 보안이벤트가 상기 올바로 탐지된 보안이벤트임을 나타내는 특정 문자열 정보를 포함하는지 여부를 확인하는 단계; 및상기 보안이벤트의 출발지 포트 정보 및 목적지 포트 정보 중 적어도 하나와 메일 전송에 사용되는 포트 정보의 동일 여부를 확인하는 단계;를 포함하는 보안이벤트 자동 검증 장치
|