1 |
1
객체 행위에 대한 제 1 이벤트 데이터들을 수집하고 상기 제 1 이벤트 데이터들을 이용하여 호스트 단위 이벤트 정보들을 생성하는 다수의 호스트;상기 호스트 단위 이벤트 정보들을 저장하는 추적정보 데이터베이스 서버;상기 호스트 단위 이벤트 정보들로부터 악성코드 행위를 정의하여 행위 이벤트들을 생성하고, 미리 설정되는 입력값을 기준으로 상기 호스트 단위 이벤트 정보들 및 상기 행위 이벤트들을 조회하여 분석 대상을 식별하고, 상기 분석 대상에 해당하는 상기 호스트 단위 이벤트 정보들간의 관계 및 상기 호스트 단위 이벤트들과 상기 행위 이벤트들 간의 관계를 분석하여 상기 악성코드 행위를 식별할 수 있는 제 1 추적 컨텍스트들을 생성하고, 상기 제 1 추적 컨텍스트들간의 연관 관계를 분석하여 상기 다수의 호스트간의 침해 경로 및 행위 이벤트들을 추적할 수 있는 제 2 추적 컨텍스트들을 생성하는 추적정보 분석 서버;를 포함하며,상기 제 1 추적 컨텍스트들은 상기 다수의 호스트 중 적어도 하나의 호스트내 추적 컨텍스트이고, 상기 제 2 추적 컨텍스트들은 상기 다수의 호스트간 추적 컨텍스트인 것을 특징으로 하는 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템
|
2 |
2
제 1 항에 있어서,상기 호스트는, 상기 이벤트 데이터를 추적하는 이벤트 추적기; 및 추적된 이벤트 테이터를 수집하여 단위 이벤트 정보를 생성하는 추적정보 수집 모듈;을 포함하는 것을 특징으로 하는 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템
|
3 |
3
제 2 항에 있어서,상기 추적정보 수집 모듈은,상기 제 1 이벤트 데이터로부터 제 2 이벤트 데이터를 생성하는 데이터 수집기;상기 제 2 이벤트 데이터를 정규화하여 정규화 데이터를 생성하는 데이터 정규화 엔진;상기 정규화 데이터 중 추적에 필요한 데이터를 선별하고, 선별된 데이터로부터 연관되는 부가정보를 획득하여 인포메이션 정보(information data)를 생성하는 인포메이션 생성기; 및 상기 인포메이션 정보에 이벤트가 발생한 호스트 정보를 추가해서 호스트 단위 이벤트를 생성하는 단위 이벤트 생성기;를 포함하는 것을 특징으로 하는 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템
|
4 |
4
제 3 항에 있어서,상기 부가정보는 상위 파일 정보, 프로세스 정보, 파일 해쉬값, IP(Internet Protocol) 정보 및 시간 정보 중 적어도 하나를 포함하고, 상기 호스트 정보는 MAC(Media Access Control)주소 및 호스트 명 중 적어도 하나를 포함하는 것을 특징으로 하는 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템
|
5 |
5
제 1 항에 있어서,상기 악성코드 행위는 악성코드 유입, 악성코드 실행, 악성코드 전파 중 적어도 하나인 것을 특징으로 하는 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템
|
6 |
6
제 1 항에 있어서,상기 분석 대상은 해당 호스트, 악성코드 파일 및 프로세스 중 적어도 하나인 것을 특징으로 하는 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템
|
7 |
7
삭제
|
8 |
8
제 1 항에 있어서,상기 제 2 추적 컨텍스트들은 상기 제 1 추적 컨텍스트들간의 연관 관계를 분석하여 도메인내로의 악성코드의 진입지점, 이동 경로 및 전파 경로 중 적어도 하나를 식별하여 생성되는 것을 특징으로 하는 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템
|
9 |
9
제 1 항에 있어서,상기 호스트 단위 이벤트 정보들은 파일 생성, 파일 삭제, 파일 읽기, 파일 복사, 프로세스 시작, 프로세스 종료, 프로세스 읽기, 레지스트리 데이터 읽기, 레지스트리 쓰기, 레지스트리 삭제, 네트워크 연결 요청, 네트워크 허용, 외부 저장 매체 연결 요청, 외부 저정 매체 연결 허용, MBR(Master Boot Record) 영역 쓰기, 및 (Volume Boot Record) 영역 쓰기 중 적어도 하나 또는 이들의 상위 정보를 포함하는 것을 특징으로 하는 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템
|
10 |
10
제 2 항에 있어서,상기 이벤트 추적기는 ETW(Event Trace for Windows)이고, 상기 호스트 단위 이벤트 정보들은 해당 이벤트가 발생할 때 마다 실시간으로 상기 추적정보 데이터베이스 서버에 저장되는 것을 특징으로 하는 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템
|
11 |
11
제 1 항에 있어서,상기 제 1 추적 컨텍스트들은, 도메인내에서 악성코드 감염 추적 호스트 리스트를 확보하고, 상기 악성코드 감염 추적 호스트 리스트 내의 각 호스트에 대해 확보된 상기 호스트 단위 이벤트 정보들 및 상기 행위 이벤트들 중에서 상기 악성코드 행위와 관련되는 제 1 단위 행위 이벤트를 우선 식별하고, 상기 제 1 단위 행위 이벤트와 연관되는 주요 객체에 대한 단위/행위 이벤트를 기준으로 제 2 단위 행위 이벤트를 식별함으로써 생성되는 것을 특징으로 하는 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템
|
12 |
12
제 11 항에 있어서,상기 주요 객체는 프로세스, 파일을 포함하는 것을 특징으로 하는 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템
|
13 |
13
제 8 항에 있어서,상기 악성코드의 진입지점, 이동 경로 및 전파 경로 중 적어도 하나에 대한 식별은 악성코드 감염 추적 호스트 리스트의 각 호스트에 대한 호스트 내 악성코드의 유입, 실행 및 전파 중 적어도 하나의 식별 결과로 생성되는 IP(Internet Protocol) 주소의 취합을 기반으로 도출되거나 상기 다수의 호스트내에서의 실행 분석 결과를 기반으로 상기 도메인내에서 악성코드의 실행 행위로 도출되는 것을 특징으로 하는 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템
|
14 |
14
제 13 항에 있어서,상기 IP 주소의 취합만으로 상기 도메인내에서의 악성코드의 진입지점, 이동 경로 및 전파 경로 중 적어도 하나에 대한 식별이 완성되지 않은 경우, 분석 결과로 확보되는 상기 악성코드 감염 추정 호스트로의 유입 및 전파 행위 이벤트에 사용되는 파일명으로 상기 도메인내에서 수집되는 행위 이벤트를 검색하여 감염으로 추정되는 다른 악성코드 감영 추정 호스트 리스트를 이용하여 상기 도메인내로의 상기 악성코드 진입지점, 이동 경로 및 전파 경로 중 적어도 하나에 대한 식별이 수행되는 것을 특징으로 하는 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템
|
15 |
15
다수의 호스트가 객체 행위에 대한 제 1 이벤트 데이터들을 수집하고 상기 제 1 이벤트 데이터들을 이용하여 호스트 단위 이벤트 정보들을 생성하는 단계;상기 다수의 호스트가 상기 호스트 단위 이벤트 정보들을 추적정보 데이터베이스 서버에 저장하는 단계;추적정보 분석 서버가 상기 호스트 단위 이벤트 정보들로부터 악성코드 행위를 정의하여 행위 이벤트들을 생성하는 단계;상기 추적정보 분석 서버가 미리 설정되는 입력값을 기준으로 상기 호스트 단위 이벤트 정보들 및 상기 행위 이벤트들을 조회하여 분석 대상을 식별하는 단계;상기 추적정보 분석 서버가 상기 분석 대상에 해당하는 상기 호스트 단위 이벤트 정보들간의 관계 및 상기 호스트 단위 이벤트들과 상기 행위 이벤트들 간의 관계를 분석하여 상기 악성코드 행위를 식별할 수 있는 제 1 추적 컨텍스트들을 생성하는 단계; 및상기 추적정보 분석 서버가 상기 제 1 추적 컨텍스트들간의 연관 관계를 분석하여 상기 다수의 호스트간의 침해 경로 및 행위 이벤트들을 추적할 수 있는 제 2 추적 컨텍스트들을 생성하는 단계;를 포함하며,상기 제 1 추적 컨텍스트들은 상기 다수의 호스트 중 적어도 하나의 호스트내 추적 컨텍스트이고, 상기 제 2 추적 컨텍스트들은 상기 다수의 호스트간 추적 컨텍스트인 것을 특징으로 하는 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 방법
|