1 |
1
제어 네트워크에서 주장치와 단말 장치로부터 네트워크를 통해 시스템 정보를 수집하고, 수집된 시스템 정보를 근거로 상기 주장치와 상기 단말 장치의 이상 행위를 탐지하는 이상행위 탐지 장치로서,상기 주장치에 대한 주장치 시스템 정보, 그리고 상기 단말 장치에 대한 단말 장치 시스템 정보를 수집하는 정보 수집부;상기 주장치 시스템 정보 및 상기 단말 장치 시스템 정보를 포함하는 시스템 정보를 근거로 검토 정보를 추출하고, 상기 검토 정보와 화이트리스트를 비교함으로써, 상기 주장치 및 상기 단말 장치에서 인가되지 않은 파일 및 프로세스 중 적어도 하나의 실행 여부, 및 인가되지 않은 네트워크 연결의 존재 여부 중 적어도 하나를 검토하는 탐지부; 및인가되지 않은 네트워크 연결이 탐지될 시, 상기 주장치 및 상기 단말 장치의 부모 프로세스, 자식 프로세스 및 해쉬값을 포함하는 프로세스 화이트리스트와, 상기 주장치 및 단말 장치에 대한 부모 프로세스 및 자식 프로세스를 비교함으로써 이상 원인을 추적하는 추적부를 포함하고, 상기 화이트리스트는 프로세스 화이트리스트, 파일 화이트리스트 및 네트워크 화이트리스트를 포함하는 것을 특징으로 하는, 이상행위 탐지 장치
|
2 |
2
삭제
|
3 |
3
제1항에 있어서,상기 탐지부는,상기 시스템 정보를 근거로 상태값 정보를 추출하고, 상기 상태값 정보를 근거로 상기 주장치 및 상기 단말 장치에서 실행되는 파일 및 프로세스 중 적어도 하나가 기설정된 리소스 이하로 실행되는지의 여부, 그리고 네트워크의 부하가 기설정된 부하 임계값 이하로 실행되는지의 여부 중 적어도 하나를 판단하는 상태 판단 모듈을 더 포함하는 것을 특징으로 하는, 이상행위 탐지 장치
|
4 |
4
제3항에 있어서,상기 상태값 정보는 상기 주장치 및 상기 단말장치 각각에 대한 프로세스 상태값 정보, 파일 상태값 정보 및 네트워크 상태값 정보를 포함하고, 상기 프로세스 상태값 정보는 상기 주장치 및 상기 단말장치 각각에서 실행되는 프로세스와, 상기 프로세스에 대한 임계 사용량 정보를 포함하고, 상기 파일 상태값 정보는 상기 주장치 및 상기 단말 장치 각각에서 실행되는 파일과 상기 파일의 접근 형태 및 임계 접근량 정보를 포함하며, 상기 네트워크 상태값 정보는 네트워크에 대한 IP 및 포트 정보, 네트워크 접근형태 및 세션 수에 대한 정보를 포함하는 것을 특징으로 하는, 이상행위 탐지 장치
|
5 |
5
제3항에 있어서,상기 상태 판단 모듈은,상기 장치 검토 모듈에서 상기 주장치 및 상기 단말장치에 이상이 없는 것으로 검토된 경우, 상기 판단을 수행하는 것을 특징으로 하는, 이상행위 탐지 장치
|
6 |
6
제3항에 있어서,상기 탐지부는,상기 주장치 및 상기 단말 장치에서 비인가된 네트워크 프로세스 및 서비스 연결이 존재하는지의 여부를 확인하는 네트워크 확인 모듈을 더 포함하는 것을 특징으로 하는, 이상행위 탐지 장치
|
7 |
7
제1항에 있어서,상기 주장치 및 단말장치 중 적어도 하나에서 이상행위가 탐지될 때, 대응 신호를 생성 및 송신하는 대응부를 더 포함하는 것을 특징으로 하는, 이상행위 탐지 장치
|
8 |
8
삭제
|
9 |
9
제1항에 있어서,상기 파일 화이트리스트는 상기 주장치 및 상기 단말 장치의 파일, 파일 접근 프로세스 및 해쉬값을 포함하는 것을 특징으로 하는, 이상행위 탐지 장치
|
10 |
10
제1항에 있어서,상기 네트워크 화이트리스트는 상기 주장치 및 상기 단말 장치의 네트워크에 대한 IP 및 포트, 네트워크 프로세스 및 해쉬값을 포함하는 것을 특징으로 하는, 이상행위 탐지 장치
|
11 |
11
제어 네트워크에서 주장치와 단말 장치로부터 네트워크를 통해 시스템 정보를 수집하고, 수집된 시스템 정보를 근거로 상기 주장치와 상기 단말 장치의 이상 행위를 탐지하는 이상행위 탐지 방법으로서,정보 수집부에 의해, 상기 주장치에 대한 주장치 시스템 정보, 그리고 상기 단말 장치에 대한 단말 장치 시스템 정보를 수집하는 단계;탐지부에 의해, 상기 주장치와 상기 단말 장치의 이상 행위를 탐지하는 단계로서, 상기 탐지부에 의해, 상기 주장치 시스템 정보 및 상기 단말 장치 시스템 정보를 포함하는 시스템 정보를 근거로 검토 정보를 추출하는 단계와,상기 탐지부에 의해, 상기 검토 정보와 화이트리스트를 비교함으로써, 상기 주장치 및 상기 단말 장치에서 인가되지 않은 파일 및 프로세스 중 적어도 하나의 실행 여부, 및 인가되지 않은 네트워크 연결의 존재 여부 중 적어도 하나를 검토하는 단계를 포함하는, 상기 주장치와 상기 단말 장치의 이상 행위를 탐지하는 단계; 및인가되지 않은 네트워크 연결이 탐지될 시, 추적부에 의해, 상기 주장치 및 상기 단말 장치의 부모 프로세스, 자식 프로세스 및 해쉬값을 포함하는 프로세스 화이트리스트와, 상기 주장치 및 단말 장치에 대한 부모 프로세스 및 자식 프로세스를 비교함으로써 이상 원인을 추적하는 단계를 포함하고,상기 화이트리스트는 프로세스 화이트리스트, 파일 화이트리스트 및 네트워크 화이트리스트를 포함하는 것을 특징으로 하는, 이상행위 탐지 방법
|
12 |
12
삭제
|
13 |
13
제11항에 있어서,상기 주장치와 상기 단말 장치의 이상 행위를 탐지하는 단계는,상태 판단 모듈에 의해, 상기 시스템 정보를 근거로 상태값 정보를 추출하고, 상기 상태값 정보를 근거로 상기 주장치 및 상기 단말 장치에서 실행되는 파일 및 프로세스 중 적어도 하나가 기설정된 리소스 이하로 실행되는지의 여부, 그리고 네트워크의 부하가 기설정된 부하 임계값 이하로 실행되는지의 여부 중 적어도 하나를 판단하는 단계를 더 포함하는 것을 특징으로 하는, 이상행위 탐지 방법
|
14 |
14
제13항에 있어서,상기 상태값 정보는 상기 주장치 및 상기 단말장치 각각에 대한 프로세스 상태값 정보, 파일 상태값 정보 및 네트워크 상태값 정보를 포함하고, 상기 프로세스 상태값 정보는 상기 주장치 및 상기 단말장치 각각에서 실행되는 프로세스와, 상기 프로세스에 대한 임계 사용량 정보를 포함하고, 상기 파일 상태값 정보는 상기 주장치 및 상기 단말 장치 각각에서 실행되는 파일과 상기 파일의 접근 형태 및 임계 접근량 정보를 포함하며, 상기 네트워크 상태값 정보는 네트워크에 대한 IP 및 포트 정보, 네트워크 접근형태 및 세션 수에 대한 정보를 포함하는 것을 특징으로 하는, 이상행위 탐지 방법
|
15 |
15
제13항에 있어서,상기 상태값 정보를 근거로 상기 주장치 및 상기 단말 장치에서 실행되는 파일 및 프로세스 중 적어도 하나가 기설정된 리소스 이하로 실행되는지의 여부, 그리고 네트워크의 부하가 기설정된 부하 임계값 이하로 실행되는지의 여부 중 적어도 하나를 판단하는 단계는,상기 주장치 및 상기 단말 장치에서 인가되지 않은 파일 및 프로세스 중 적어도 하나의 실행 여부, 및 인가되지 않은 네트워크 연결의 존재 여부 중 적어도 하나를 검토하는 단계에서 상기 주장치 및 상기 단말장치에 이상이 없는 것으로 검토된 경우 이루어지는 것을 특징으로 하는, 이상행위 탐지 방법
|
16 |
16
제13항에 있어서,상기 주장치와 상기 단말 장치의 이상 행위를 탐지하는 단계는,네트워크 확인 모듈에 의해, 상기 주장치 및 상기 단말 장치에서 비인가된 네트워크 프로세스 및 서비스 연결이 존재하는지의 여부를 확인하는 단계를 더 포함하는 것을 특징으로 하는, 이상행위 탐지 방법
|
17 |
17
제11항에 있어서,대응부에 의해, 상기 주장치 및 단말장치 중 적어도 하나에서 이상행위가 탐지될 때, 대응 신호를 생성 및 송신하는 단계를 더 포함하는 것을 특징으로 하는, 이상행위 탐지 방법
|
18 |
18
삭제
|
19 |
19
제11항에 있어서,상기 파일 화이트리스트는 상기 주장치 및 상기 단말 장치의 파일, 파일 접근 프로세스 및 해쉬값을 포함하는 것을 특징으로 하는, 이상행위 탐지 방법
|
20 |
20
제11항에 있어서,상기 네트워크 화이트리스트는 상기 주장치 및 상기 단말 장치의 네트워크에 대한 IP 및 포트, 네트워크 프로세스 및 해쉬값을 포함하는 것을 특징으로 하는, 이상행위 탐지 방법
|