1 |
1
DNS 트래픽을 분석하여 C0026#C 서버로 의심되는 의심 C0026#C 서버의 도메인 주소를 추출하고, DNS 서버에 송수신되는 DNS 퀴리를 분석하여 상기 의심 C0026#C 서버의 도메인 주소의 IP 주소를 획득하는 DNS 기반 C0026#C 서버 탐지부; 네트워크 트래픽을 분석하고 상기 의심 C0026#C 서버의 도메인 주소와 IP 주소를 이용하여 상기 의심 C0026#C 서버에 접속하는 좀비 PC들의 IP 주소를 검출하고, 상기 의심 C0026#C 서버에 접속하는 상기 좀비 PC들의 접속 유형 또는 접속 횟수를 포함하는 접속 정보를 탐지하고, 상기 접속 정보를 기반으로 상기 의심 C0026#C 서버가 실제 C0026#C 서버인지 여부를 판단하고, 상기 실제 C0026#C 서버로 판단된 C0026#C 서버와 상기 C0026#C 서버에 접속하는 상기 좀비 PC 간의 연관성을 분석하여 상기 좀비 PC들의 네트워크 구조 기반 위협 정보와 행위 기반 위협 정보를 탐지하는 네트워크 기반 비정상 탐지부; 및 상기 네트워크 기반 비정상 탐지부에서 탐지된 상기 좀비 PC들의 네트워크 구조 기반 위협 정보와 행위 기반 위협 정보를 기반으로 정량화된 위협 지수를 산출하고, 상기 정량화된 위협 지수를 이용하여 사이버 위협 상황을 예측하는 사이버 위협 예측부를 포함하는 것을 특징으로 하는 사이버 위협 사전 예측 장치
|
2 |
2
제1항에 있어서,상기 네트워크 기반 비정상 탐지부는 국제 관문망에 설치되는 것을 특징으로 하는 사이버 위협 사전 예측 장치
|
3 |
3
제1항에 있어서, 상기 DNS 기반 C0026#C 서버 탐지부는 도메인 주소 기반, 트래픽 특징 기반, 또는 N-tier 기반으로 DNS 트래픽을 분석하는 것을 특징으로 하고, 상기 도메인 주소 기반으로 DNS 트래픽을 분석하는 경우는, 도메인 주소로 사용되지 않는 비 정상적인 문자들로 조합된 도메인 주소를 추출하여 상기 의심 C0026#C 서버의 도메인 주소를 추출하고, 상기 트래픽 특징 기반으로 DNS 트래픽을 분석하는 경우는, 접속들 간에 일정한 정도 이상의 유사한 패턴을 가지는 접속이나 일정한 시간 내에 미리 정해진 정도 이상의 순간적인 대용량의 접속을 발생시키는 도메인 주소를 추출하여 상기 의심 C0026#C 서버의 도메인 주소를 추출하는 것을 특징으로 하는 사이버 위협 사전 예측 장치
|
4 |
4
제1항에 있어서, 상기 네트워크 구조 기반 위협 정보는, 상기 C0026#C 서버와 상기 좀비 PC 간의 네트워크 구조에 기반한 사이버 위협을 나타내는 정보이고, 상기 C0026#C 서버에 접속하는 모든 ISP 도메인의 상기 좀비 PC의 수인 봇 규모, 상기 C0026#C 서버에 상기 좀비 PC가 접속하는 횟수인 봇들의 접속 횟수를 포함하고, 상기 위협 지수는, 상기 행위 기반 위협 정보에 따른 가중치가 적용된 상기 봇들의 접속 횟수에 대한 가중합으로 산출되는, 위협 정도를 포함하고, 상기 사이버 위협 예측부는 상기 산출된 위협 정도가 미리 정해진 임계값을 초과하는 경우를 사이버 위협 상황으로 예측하는 것을 특징으로 하는, 사이버 위협 사전 예측 장치
|
5 |
5
제1항에 있어서, 상기 네트워크 기반 비정상 탐지부는, 상기 네트워크 트래픽을 수집하는 네트워크 트래픽 수집부; 상기 수집된 네트워크 트래픽으로부터, 상기 DNS 기반 C0026#C 서버 탐지부에서 획득된 상기 의심 C0026#C 서버의 도메인 주소와 IP 주소를 이용하여, 상기 의심 C0026#C 서버에 접속하는 상기 좀비 PC들의 IP 주소를 검출하는 좀비 IP 검출부; 상기 의심 C0026#C 서버에 접속하는 상기 좀비 PC들의 접속 유형 또는 접속 횟수를 포함하는 상기 접속 정보를 탐지하는 네트워크 분석부; 상기 좀비 PC들의 접속 정보를 기반으로 상기 의심 C0026#C 서버가 상기 실제 C0026#C 서버인지 여부를 판단하는 C0026#C 서버 검증부; 상기 실제 C0026#C 서버로 판단된 상기 C0026#C 서버에 대하여 상기 C0026#C 서버와 상기 좀비 PC 간의 연관성에 관한 정보를 분석 및 획득하는 연관성 분석부를 포함하고, 상기 연관성 분석부는 상기 C0026#C 서버가 상기 좀비 PC에게 전송하는 명령 및 제어 패킷을 분석하여 상기 좀비 PC들의 악성 행위에 관한 정보를 분석하는 것을 특징으로 하는, 사이버 위협 사전 예측 장치
|
6 |
6
제5항에 있어서, 상기 네트워크 분석부는 상기 의심 C0026#C 서버에 접속하는 상기 좀비 PC의 통신 유형과, 상기 의심 C0026#C 서버에 접속하는 상기 좀비 PC들 간의 네트워크 행위의 유사성을 더 분석하고, 상기 C0026#C 서버 검증부는 상기 접속 정보와 상기 좀비 PC의 통신 유형과 상기 좀비 PC들 간의 네트워크 행위의 유사성을 기반으로, 상기 의심 C0026#C 서버가 상기 실제 C0026#C 서버인지 여부를 판단하는 것을 특징으로 하는, 사이버 위협 사전 예측 장치
|
7 |
7
제1항에 있어서, 상기 네트워크 구조 기반 위협 정보는, 상기 C0026#C 서버와 상기 좀비 PC 간의 네트워크 구조에 기반한 사이버 위협을 나타내는 정보이고, 상기 C0026#C 서버에 접속하는 모든 ISP 도메인의 상기 좀비 PC의 수인 봇 규모, 상기 C0026#C 서버에 상기 좀비 PC가 접속하는 횟수인 봇들의 접속 횟수, 또는 각 ISP 도메인 당 전파된 좀비 PC의 수인 ISP 도메인에 전파된 봇 수를 포함하는 것을 특징으로 하는 사이버 위협 사전 예측 장치
|
8 |
8
제1항에 있어서, 상기 행위 기반 위협 정보는, 상기 좀비 PC들의 행위에 기반한 사이버 위협을 나타내는 정보이고, 스팸(spam) 공격 행위, 스캔(scan) 공격 행위, 바이너리 다운로드 행위, 또는 exploit 실행 행위를 포함하는 것을 특징으로 하는 사이버 위협 사전 예측 장치
|
9 |
9
제7항에 있어서, 상기 위협 지수는 상기 ISP 도메인에 전파된 봇 수를 상기 봇 규모로 나눈 값으로 산출되는, ISP 도메인의 취약점 정도를 포함하고, 상기 사이버 위협 예측부는 상기 산출된 ISP 도메인의 취약점 정도가 미리 정해진 임계값을 초과하는 경우를 사이버 위협 상황으로 예측하는 것을 특징으로 하는, 사이버 위협 사전 예측 장치
|
10 |
10
제9항에 있어서, 상기 위협 지수 중 상기 위협 정도는 하기 식 1과 같이 산출되고, 상기 ISP 도메인의 취약점 정도는 하기 식 2와 같이 산출되는 것을 특징으로 하는, 사이버 위협 사전 예측 장치
|
11 |
11
DNS 트래픽을 분석하여 C0026#C 서버로 의심되는 의심 C0026#C 서버의 도메인 주소를 추출하고, DNS 서버에 송수신되는 DNS 퀴리를 분석하여 상기 의심 C0026#C 서버의 도메인 주소의 IP 주소를 획득하는, DNS 기반 C0026#C 서버 탐지 단계; 네트워크 트래픽을 분석하고 상기 의심 C0026#C 서버의 도메인 주소와 IP 주소를 이용하여 상기 의심 C0026#C 서버에 접속하는 좀비 PC들의 IP 주소를 검출하고, 상기 의심 C0026#C 서버에 접속하는 상기 좀비 PC들의 접속 유형 또는 접속 횟수를 포함하는 접속 정보를 탐지하고, 상기 접속 정보를 기반으로 상기 의심 C0026#C 서버가 실제 C0026#C 서버인지 여부를 판단하고, 상기 실제 C0026#C 서버로 판단된 C0026#C 서버와 상기 C0026#C 서버에 접속하는 상기 좀비 PC 간의 연관성을 분석하여 상기 좀비 PC들의 네트워크 구조 기반 위협 정보와 행위 기반 위협 정보를 탐지하는, 네트워크 기반 비정상 탐지 단계; 및 상기 네트워크 기반 비정상 탐지 단계에서 탐지된 상기 좀비 PC들의 네트워크 구조 기반 위협 정보와 행위 기반 위협 정보를 기반으로 정량화된 위협 지수를 산출하고, 상기 정량화된 위협 지수를 이용하여 사이버 위협 상황을 예측하는, 사이버 위협 예측 단계를 포함하는 것을 특징으로 하는 사이버 위협 사전 예측 방법
|
12 |
12
제11항에 있어서,상기 좀비 PC들의 정보를 탐지하는 단계는 국제 관문망의 네트워크 트래픽을 분석하는 것을 특징으로 하는 사이버 위협 사전 예측 방법
|
13 |
13
제11항에 있어서, 상기 네트워크 기반 비정상 탐지 단계는, 상기 네트워크 트래픽을 수집하는 네트워크 트래픽 수집 단계; 상기 수집된 네트워크 트래픽으로부터, 상기 DNS 기반 C0026#C 서버 탐지 단계에서 획득된 상기 의심 C0026#C 서버의 도메인 주소와 IP 주소를 이용하여, 상기 의심 C0026#C 서버에 접속하는 상기 좀비 PC들의 IP 주소를 검출하는 좀비 IP 검출 단계; 상기 의심 C0026#C 서버에 접속하는 상기 좀비 PC들의 접속 유형 또는 접속 횟수를 포함하는 상기 접속 정보를 탐지하는 네트워크 분석 단계; 상기 좀비 PC들의 접속 정보를 기반으로 상기 의심 C0026#C 서버가 상기 실제 C0026#C 서버인지 여부를 판단하는 C0026#C 서버 검증 단계; 상기 실제 C0026#C 서버로 판단된 상기 C0026#C 서버에 대하여 상기 C0026#C 서버와 상기 좀비 PC 간의 연관성에 관한 정보를 분석 및 획득하는 연관성 분석 단계를 포함하고, 상기 연관성 분석 단계는 상기 C0026#C 서버가 상기 좀비 PC에게 전송하는 명령 및 제어 패킷을 분석하여 상기 좀비 PC들의 악성 행위에 관한 정보를 분석하는 것을 특징으로 하는, 사이버 위협 사전 예측 방법
|
14 |
14
제11항에 있어서, 상기 네트워크 구조 기반 위협 정보는, 상기 C0026#C 서버와 상기 좀비 PC 간의 네트워크 구조에 기반한 사이버 위협을 나타내는 정보이고, 상기 C0026#C 서버에 접속하는 모든 ISP 도메인의 상기 좀비 PC의 수인 봇 규모, 상기 C0026#C 서버에 상기 좀비 PC가 접속하는 횟수인 봇들의 접속 횟수, 또는 각 ISP 도메인 당 전파된 좀비 PC의 수인 ISP 도메인에 전파된 봇 수를 포함하는 것을 특징으로 하는 사이버 위협 사전 예측 방법
|
15 |
15
제14항에 있어서, 상기 위협 지수는, 상기 행위 기반 위협 정보에 따른 가중치가 적용된 상기 봇들의 접속 횟수에 대한 가중합으로 산출되는, 위협 정도를 포함하고, 상기 사이버 위협 예측 단계는 상기 산출된 위협 정도가 미리 정해진 임계값을 초과하는 경우를 사이버 위협 상황으로 예측하는 것을 특징으로 하는, 사이버 위협 사전 예측 방법
|
16 |
16
제15항에 있어서, 상기 위협 지수는 상기 ISP 도메인에 전파된 봇 수를 상기 봇 규모로 나눈 값으로 산출되는, ISP 도메인의 취약점 정도를 포함하고, 상기 사이버 위협 예측 단계는 상기 산출된 ISP 도메인의 취약점 정도가 미리 정해진 임계값을 초과하는 경우를 사이버 위협 상황으로 예측하는 것을 특징으로 하는, 사이버 위협 사전 예측 방법
|
17 |
17
제16항에 있어서, 상기 위협 지수 중 상기 위협 정도는 하기 식 1과 같이 산출되고, 상기 ISP 도메인의 취약점 정도는 하기 식 2와 같이 산출되는 것을 특징으로 하는, 사이버 위협 사전 예측 방법
|