| 1 |
1
(a) 네트워크를 통한 침입을 탐지한 경보 데이터, 관리 대상인 네트워크의 자산 정보와 취약성 정보, 상기 네트워크에 설치된 장비로부터의 트래픽 플로우 데이터로부터 주기적으로 분석 대상 데이터를 수집하는 단계;(b) 상기 침입탐지 경보 데이터 내에 포함된 목적지 주소 및 목적지 포트 정보와 상기 자산 정보 내의 주소 및 상기 취약성 정보 내의 시스템 취약성 정보간의 연관성에 따라 실제 위협이 되는 침입 탐지 경보 데이터를 추출하는 단계; 및(c) 상기 실제 위협이 있는 것으로 추출된 침입탐지 경보 데이터 목적지 주소의 접속 현황, 트래픽 플로우의 방향성 및 파일 전송 트래픽 플로우 현황 그리고 감염 시스템의 트래픽 발생 현황을 감지하여 트래픽 이상 상태를 추출하는 단계;를 포함하는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 방법
|
| 2 |
2
제1항에 있어서,상기 (b) 단계에서, 상기 목적지 주소는 상기 목적지를 지정하는 IP 주소이며, 상기 자산의 주소는 그 자산을 지정하는 IP 주소임을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 방법
|
| 3 |
3
제1항 또는 제2항에 있어서, 상기 (b) 단계에서, 상기 수집한 침입탐지 경보 데이터 내의 목적지 IP 주소와 그 목적지에 대응되는 상기 자산 정보 내의 자산의 IP 주소가 일치하며 동시에 상기 목적지 IP 주소의 포트 정보에 일치하는 정보가 상기 취약성 정보에 포함되어 있는 침입탐지 경보 데이터를 실제 위협이 되는 경보 데이터로 추출하는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 방법
|
| 4 |
4
제1항에 있어서,상기 (c) 단계의 침입탐지 경보 데이터 목적지 주소는 그 목적지를 지정하는 IP 주소이며, 그 주소의 접속 현황은 그 주소로의 TCP 접속을 포함하는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 방법
|
| 5 |
5
제1항 또는 제4항에 있어서, 상기 (c) 단계에서, 상기 추출된 목적지 주소로의 TCP 접속에 대한 트래픽 플로우 정보, 트래픽의 방향성(inbound or outbound) 정보, FTP, TFTP를 포함하는 프로토콜에 의한 상기 목적지 주소로부터의 파일 전송에 대한 트래픽 플로우 정보, 상기 추출된 목적지 주소의 트래픽 플로우 정보간의 연관성을 분석하여 트래픽 이상 상태를 추출해 내는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 방법
|
| 6 |
6
제1항에 있어서,(d) 상기 (b) 단계 및 (c) 단계에서 추출되고 분석한 정보를 그래픽을 포함하여 표시하는 단계;를 더 포함하는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 방법
|
| 7 |
7
제6항에 있어서,상기 (d) 단계에서, 상기 실제 위협이 있는 것으로 추출된 침입탐지 경보 데이터 목적지 IP 주소, 그 IP 주소로의 TCP 접속 현황 정보, 그 IP 주소에서 시도한 FTP, TFTP 접속 현황 정보, 그 IP 주소의 취약성 포트에 대한 트래픽 플로우 발생 현황 정보 및 각 트래픽 플로우의 방향성 정보간의 관계성을 표시하는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 방법
|
| 8 |
8
네트워크를 통한 침입을 탐지한 경보 데이터, 관리 대상인 네트워크의 자산 정보와 취약성 정보, 상기 네트워크에 설치된 장비로부터의 트래픽 플로우 데이터로부터 주기적으로 분석 대상 데이터를 수집하는 보안 이벤트 수집부; 및상기 침입탐지 경보 데이터와 자산 정보 및 취약성 정보를 연관 분석하여 실제 위협이 되는 경보 데이터만을 추출하며, 상기 실제 위협이 있는 것으로 추출된 침입탐지 경보 데이터 목적지 주소의 접속 현황, 트래픽 플로우의 방향성 및 파일 전송 트래픽 플로우 현황 그리고 감염 시스템의 트래픽 발생 현황을 감지하여 트래픽 이상 상태를 추출하는 보안 이벤트 연관성 분석부;를 포함하는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 장치
|
| 9 |
9
제8항에 있어서,상기 보안 이벤트 연관성 분석부는, 상기 수집한 침입탐지 경보 데이터 내의 목적지 IP 주소와 그 목적지에 대응되는 상기 자산 정보 내의 자산의 IP 주소가 일치하며 동시에 상기 목적지 IP 주소의 포트 정보에 일치하는 정보가 상기 취약성 정보에 포함되어 있는 침입탐지 경보 데이터를 실제 위협이 되는 경보 데이터로 추출하는 취약성 연관 분석 모듈; 및상기 취약성 연관 분석 모듈에 의해 실제 위협이 있는 것으로 추출된 목적지 IP 주소로의 TCP 접속에 대한 트래픽 플로우 정보, 트래픽의 방향성(inbound or outbound) 정보, FTP, TFTP를 포함하는 프로토콜에 의한 상기 목적지 주소 IP로부터의 파일 전송에 대한 트래픽 플로우 정보, 상기 추출된 목적지 주소 IP의 트래픽 플로우 정보간의 연관성을 분석하여 트래픽 이상 상태를 추출해 내는 트래픽 연관 분석 모듈;을 포함하는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 장치
|
| 10 |
10
제9항에 있어서,상기 트래픽 연관 분석 모듈은,악성 트래픽에 의해 취약성을 공격받은 관리 대상인 목적지 주소 IP에 대해 상기 공격을 가한 공격자가 외부로부터의 접속을 유도하거나 외부로의 접속을 시도한 흔적이 있는가를 분석하는 TCP 접속 현황 분석 모듈;상기 TCP 접속 현황 분석 모듈의 분석에 의해 탐지된 TCP 접속 플로우에 기인하여 외부 또는 내부로의 FTP 또는 TFTP 접속을 수행한 흔적이 있는가를 분석하여 상기 공격으로 인한 유해 파일의 다운로드 현황을 판정하는 파일 전송 현황 분석 모듈; 및상기 공격받은 관리 대상이 공격받은 포트와 동일한 포트를 통해 상기 다운로드된 유해 파일로 인한 다른 대상으로의 공격으로 발생할 수 있는 이상 트래픽 플로우를 감시하여 다른 대상으로의 취약성 공격을 탐지하는 이상 트래픽 분석 모듈;을 포함하는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 장치
|
| 11 |
11
제8항 내지 제10항 중의 한 항에 있어서,상기 보안 이벤트 연관성 분석부가 추출하고 분석한 유해 정보를 그래픽을 포함하여 표시하는 유해 트래픽 상태 표시부;를 더 포함하는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 장치
|
| 12 |
12
제11항에 있어서,상기 유해 트랙픽 상태 표시부는 상기 실제 위협이 있는 것으로 추출된 침입탐지 경보 데이터 목적지 IP 주소, 그 IP 주소로의 TCP 접속 현황 정보, 그 IP 주소에서 시도한 FTP, TFTP 접속 현황 정보, 그 IP 주소의 취약성 포트에 대한 트래픽 플로우 발생 현황 정보 및 각 트래픽 플로우의 방향성 정보간의 관계를 표시하는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 장치
|
| 13 |
13
제12항에 있어서,상기 유해 트랙픽 상태 표시부는, 정보들간의 관계를 표시할 때에 복수개의 축을 포함하여 표시하며, 상기 복수축들의, 제1축에는 상기 보안 이벤트 연관성 분석부에 의하여 추출된 실제 위협이 있는 경보 데이터의 목적지 IP 주소를 표시하며,제2축에는 다른 시스템으로부터 상기 실제 위협이 있는 목적지 IP 주소에 대한 TCP 접속 현황을 표시하며,제3축은 상기 실제 위협이 있는 목적지 IP 주소로부터 시도한 FTP, TFTP 접속 현황을 표시하며,제4축은 상기 실제 위협이 있는 목적지가 포함된 내부 네트워크의 영역을 표시하고,제5축은 상기 내부 네트워크에 포함되지 않은 외부 네트워크 영역을 표시하는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 장치
|
