1 |
1
외부의 에이전트와 연동하여 상기 에이전트로부터 호스트에서 실행 중인 프로세스의 정보와 상기 호스트가 연결하고 있는 세션 정보를 수집하는 호스트 정보 수집부와,네트워크 트래픽 정보를 수집하는 네트워크 트래픽 감시부와,상기 수집된 세션 정보를 기반으로 호스트별 엔트로피를 계산하고, 상기 계산된 호스트별 엔트로피와 상기 네트워크 트래픽 정보를 비교하여 상관 관계를 분석하는 분석부와,상기 상관 관계를 기반으로 비정상 호스트를 탐지하고, 상기 비정상 호스트에서 유해한 트래픽을 발생시키는 프로세스를 이용하여 유해 프로세스 및 유해 호스트 목록이 저장된 블랙리스트를 업데이트하는 탐지부를 포함하는세션 모니터링 기반의 비정상 호스트 탐지 장치
|
2 |
2
제 1 항에 있어서,상기 호스트 정보 수집부는,상기 수집된 세션의 목적지 호스트가 상기 블랙리스트에 포함되는 경우 상기 세션의 근원지 호스트 및 상기 근원지 호스트가 이용하는 프로세스의 정보를 이용하여 상기 블랙리스트를 업데이트하는 것을 특징으로 하는세션 모니터링 기반의 비정상 호스트 탐지 장치
|
3 |
3
제 1 항에 있어서,상기 네트워크 트래픽 감시부는,상기 네트워크 트래픽 정보를 호스트, 프로토콜 또는 서비스별로 분류하여 상기 네트워크 트래픽을 감시하는 것을 특징으로 하는 세션 모니터링 기반의 비정상 호스트 탐지 장치
|
4 |
4
제 1 항에 있어서,상기 분석부는,상기 호스트별 엔트로피를 비교하여 엔트로피가 기 설정된 임계값 이상을 갖는 호스트를 추출하고, 상기 추출된 호스트가 상기 블랙리스트의 유해 프로세스 목록에 포함된 프로세스와 세션을 연결하고 있는 경우 상기 추출한 호스트에 대한 네트워크 트래픽과 상기 호스트별 엔트로피간의 비교를 통해 상관 관계를 분석하는 것을 특징으로 하는 세션 모니터링 기반의 비정상 호스트 탐지 장치
|
5 |
5
외부의 에이전트와 연동하여 상기 에이전트로부터 호스트에서 실행 중인 프로세스의 정보와 상기 호스트가 연결하고 있는 세션 정보를 수집하는 단계와,상기 수집된 세션 정보의 목적지 호스트가 상기 유해 프로세스 및 유해 호스트 목록이 저장된 블랙리스트에 포함되는 경우 상기 세션의 근원지 호스트 및 상기 근원지 호스트가 이용하는 프로세스의 정보를 이용하여 상기 블랙리스트를 업데이트하는 단계와,상기 수집된 세션 정보를 기반으로 호스트별 엔트로피를 계산하고, 상기 계산된 호스트별 엔트로피와 상기 호스트별 네트워크 트래픽 정보를 비교하여 호스트간 상관 관계를 분석하는 단계와,상기 상관 관계를 기반으로 비정상 호스트를 탐지하는 단계와,상기 비정상 호스트에서 유해한 트래픽을 발생시키는 프로세스를 이용하여 상기 블랙리스트를 업데이트하는 단계를 포함하는 세션 모니터링 기반의 비정상 호스트 탐지 방법
|
6 |
6
제 1 항에 있어서,상기 분석하는 단계는,상기 호스트별 엔트로피를 비교하여 엔트로피가 기 설정된 임계값 이상을 갖는 호스트를 추출하는 단계와,상기 추출한 호스트가 상기 블랙리스트의 유해 프로세스 목록에 포함된 프로세스와 세션을 연결하고 있는 경우 상기 추출한 호스트에 대한 네트워크 트래픽과 상기 호스트별 엔트로피간의 비교를 통해 상관 관계를 분석하는 단계를 포함하는 것을 특징으로 하는세션 모니터링 기반의 비정상 호스트 탐지 방법
|