WO2015129934A1

WO2015129934A1 - 명령제어채널 탐지장치 및 방법

Info

Publication number: WO2015129934A1
Application number: PCT/KR2014/001551
Authority: WO
Inventors: 김혁준
Original assignee: NARU SECURITY Inc
Current assignee: NARU SECURITY Inc
Priority date: 2014-02-25
Filing date: 2014-02-26
Publication date: 2015-09-03
Anticipated expiration: 2016-08-25
Also published as: US20170013004A1; US10218725B2; KR20150100383A; WO2015129934A8; KR102137089B1

Abstract

명령제어채널 탐지장치는 제1망의 적어도 하나의 통신장치와 제2망의 적어도 하나의 통신장치 사이에 생성되는 세션들의 로그 정보를 수집하는 세션 로그 수집부, 상기 로그 정보를 기초로 세션별 검사 데이터를 생성하고, 상기 세션들의 검사 데이터를 기초로 검사 데이터 분포를 계산하는 분석부, 그리고 비정상 분포 판단 기준을 기초로 상기 검사 데이터 분포에서 비정상 분포에 해당하는 검사 데이터 값을 추출하고, 추출한 검사 데이터값에 관계된 세션들을 명령제어채널로 추정하는 판단부를 포함한다.

Description

명령제어채널 탐지장치 및 방법

본 발명은 명령제어채널 탐지장치 및 방법에 관한 것이다.

최근 분산서비스거부공격을 기점으로 하여 서비스거부공격, 개인정보 해킹사건, 금융 기관 해킹사건, 그리고 사이버테러 등의 다양한 타겟 공격이 증가하고 있다. 이러한 공격을 수행한 주체 및 공격 방법은 다양하나, 공격대상 네트워크 외부와 공격대상 네트워크 내부가 명령제어채널로 연결되어 공격을 수행하는 공통점이 있다.

명령제어채널을 통한 공격은 지능형지속공격(Advanced Persistent attacks) 이다. 공격자는 수개월에 걸쳐 공격대상 네트워크에 머무르며 정보수집, 내부망공격, 시스템파괴, 정보유출 등의 행위를 수행한다. 공격대상 네트워크는 대부분 방화벽이나 침입탐지장치로 보호되므로, 공격자는 악성코드가 첨부된 메일을 공격대상 시스템으로 발송하거나, 인터넷서핑 중 악성파일을 공격대상 시스템으로 설치하여, 공격대상 시스템으로 침입하는 초기침입 경로를 확보한다.

특히, 최근에는 지속적으로 명령제어채널을 유지하는 것이 아니라, 공격자에 의해 감염된 내부망 장치가 외부에 위치한 공격자에게 접속을 주기적으로 시도하여 명령제어채널을 생성한다.

지금까지의 침입탐지장치는 명령제어채널의 기술적 특성을 기초로 명령제어채널을 탐지한다. 즉, 지금까지의 침입탐지장치는 특정 시그니처나 악성 인터넷 주소와 같이 이미 알려진 정보를 사용하여 명령제어채널을 탐지한다. 그러나, 이러한 탐지 방법은 이미 알려진 악성행위를 탐지하므로, 이미 사용된 공격방법을 모사하는 낮은 수준의 공격만 탐지할 수 있을 뿐, 새로운 기법의 명령제어채널을 사용하는 공격을 탐지하기 어렵다. 따라서, 최근의 공격 방법에 대응할 수 있는 새로운 탐지방법이 요구된다.

본 발명이 해결하고자 하는 과제는 내부망과 외부망 사이에 연결된 세션들의 접속 정보를 기초로 명령제어채널을 탐지하는 명령제어채널 탐지장치 및 방법을 제공하는 것이다.

본 발명의 한 실시예에 따라 제1망의 통신장치와 제2망의 공격자 장치 사이에 연결된 명령제어채널을 탐지하는 장치로서, 상기 제1망의 적어도 하나의 통신장치와 상기 제2망의 적어도 하나의 통신장치 사이에 생성되는 세션들의 로그 정보를 수집하는 세션 로그 수집부, 상기 로그 정보를 기초로 세션별 검사 데이터를 생성하고, 상기 세션들의 검사 데이터를 기초로 검사 데이터 분포를 계산하는 분석부, 그리고 비정상 분포 판단 기준을 기초로 상기 검사 데이터 분포에서 비정상 분포에 해당하는 검사 데이터 값을 추출하고, 추출한 검사 데이터값에 관계된 세션들을 명령제어채널로 추정하는 판단부를 포함한다.

상기 검사 데이터는 접속 주기, 접속 유지 시간, 그리고 송수신 데이터 크기 중 적어도 어느 하나를 포함할 수 있다.

상기 검사 데이터 분포는 접속 주기별 세션수를 포함하는 접속 주기 분포, 접속 유지 시간별 세션수를 포함하는 접속 유지 시간 분포, 송수신 데이터 크기별 세션수를 포함하는 데이터 크기 분포 중 어느 하나를 포함할 수 있다.

상기 판단부는 상기 접속 주기 분포에서 일정 기준 이상의 세션수를 가지는 검사 데이터 값을 비정상 분포로 판단할 수 있다.

상기 판단부는 상기 접속 유지 시간 분포에서 일정 기준 이상의 세션수를 가지는 검사 데이터 값을 비정상 분포로 판단할 수 있다.

상기 판단부는 상기 데이터 크기 분포에서 일정 기준 이상의 세션수를 가지는 검사 데이터 값을 비정상 분포로 판단할 수 있다.

상기 판단부는 상기 접속 주기 분포, 상기 접속 유지 시간 분포, 그리고 상기 데이터 크기 분포 중 적어도 두 개의 분포에서 비정상 분포에 해당하는 세션들을 명령제어채널로 추정할 수 있다.

상기 로그 정보는 각 세션의 출발지 정보, 목적지 정보, 타임스탬프, 접속 유지 시간, 송수신 데이터 크기 중 적어도 하나를 포함할 수 있다.

본 발명의 다른 실시예에 따른 명령제어채널 탐지장치가 제1망의 통신장치와 제2망의 공격자 장치 사이에 연결된 명령제어채널을 탐지하는 방법으로써, 상기 제1망의 적어도 하나의 통신장치와 상기 제2망의 적어도 하나의 통신장치 사이에 생성되는 세션들의 로그 정보를 기초로 세션별 검사 데이터를 생성하는 단계, 상기 세션들의 검사 데이터를 기초로 검사 데이터 분포를 계산하는 단계, 비정상 분포 판단 기준을 기초로 상기 검사 데이터 분포에서 비정상 분포에 해당하는 검사 데이터 값을 추출하는 단계, 그리고 추출한 검사 데이터값에 관계된 세션들을 명령제어채널로 추정하는 단계를 포함한다.

상기 비정상 분포 판단 기준은 세션수에 관계된 기준값이고, 상기 비정상 분포에 해당하는 검사 데이터 값들을 추출하는 단계는 상기 검사 데이터 분포에서 상기 기준값 이상의 세션수를 가지는 검사 데이터값을 비정상 분포로 판단할 수 있다.

상기 비정상 분포에 해당하는 검사 데이터 값들을 추출하는 단계는 상기 접속 주기 분포, 상기 접속 유지 시간 분포, 그리고 상기 데이터 크기 분포 중 적어도 두 개의 분포 각각에서 비정상 분포에 해당하는 검사 데이터 값들을 추출하고, 상기 명령제어채널로 추정하는 단계는 추출한 검사 데이터 값들을 기초로 상기 적어도 두 개의 분포 모두에서 비정상 분포에 해당하는 세션들을 명령제어로 추정 할 수 있다.

본 발명의 또 다른 실시예에 따른 명령제어채널 탐지장치가 제1 통신장치와 제2 통신장치 사이에 연결된 명령제어채널을 탐지하는 방법으로써, 상기 제1 통신장치가 상기 제2 통신장치에 접속하여 생성된 세션들의 로그 정보를 수집하는 단계, 상기 로그 정보를 기초로 세션별 검사 데이터를 생성하는 단계, 상기 세션들의 검사 데이터를 기초로 검사 데이터별 세션수에 관계된 검사 데이터 분포를 획득하는 단계, 상기 검사 데이터 분포에서 일정 기준 이상의 세션수를 가지는 검사 데이터 값이 존재하는지 판단하는 단계, 그리고 상기 일정 기준 이상의 세션수를 가지는 검사 데이터 값이 존재하는 경우, 상기 제2 통신장치를 공격자 장치로 추정하는 단계를 포함한다.

본 발명의 실시예에 따르면 명령제어채널을 위해 반드시 생성되는 통신 세션을 분석하여 정상 접속과 악의적 접속을 구분할 수 있다. 따라서, 본 발명의 실시예에 따르면 시그니처가 없는 공격이라도 명령제어채널에 의한 공격을 탐지할 수 있다. 본 발명의 실시예에 따르면 점점 정교하게 진화하고 있는 내부망 공격에 대해서도 효과적으로 대응할 수 있다. 본 발명의 실시예에 따르면 변형된 공격이나 암호화된 트래픽에 대해서도 탐지할 수 있으므로, 공격 방법에 관계없이 내부망공격을 탐지할 수 있다.

도 1은 본 발명의 한 실시예에 따른 명령제어채널 탐지장치에 관계된 네트워크를 개략적으로 설명하는 도면이다.

도 2는 명령제어채널의 주기적 접속 특성을 예시적으로 나타내는 그래프이다.

도 3은 본 발명의 한 실시예에 따른 접속 주기 분포를 예시적으로 나타내는 그래프이다.

도 4는 정상적인 접속 유지 시간 특성을 예시적으로 나타내는 그래프이다.

도 5는 본 발명의 한 실시예에 따른 접속 유지 시간 분포를 예시적으로 나타내는 그래프이다.

도 6은 본 발명의 한 실시예에 따른 데이터 크기 분포를 예시적으로 나타내는 그래프이다.

도 7은 본 발명의 한 실시예에 따른 명령제어채널 탐지장치의 블록도이다.

도 8은 본 발명의 한 실시예에 따른 명령제어채널 탐지 방법의 흐름도이다.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.

이제 도면을 참고하여 본 발명의 실시예에 따른 명령제어채널 탐지장치 및 방법에 대해 설명한다.

도 1을 참고하면, 네트워크는 네트워크 장치(10), 외부망(20), 내부망(30), 그리고 명령제어채널 탐지장치(앞으로 "탐지장치"라고 한다)(100)로 구성된다. 여기서, 공격자 장치(200)는 외부망(20)에 위치한다고 가정한다. 따라서, 공격자가 공격 대상망(30)의 외부에서 공격 대상망(30)에 접속하기 때문에 외부망(20)과 내부망(30)으로 구분한 것이며, 외부망(20)과 내부망(30)은 네트워크 장치(10)에 의해 구분된다.

네트워크 장치(10)는 내부망(30)으로 통하는 관문으로서, 외부망(20)과 내부망(30)을 분리한다. 네트워크 장치(10)는 게이트웨이나 스위치 등일 수 있다. 탐지장치(100)는 외부망(20)과 내부망(30) 사이에 위치한다. 탐지장치(100)는 네트워크 장치(10)에 구현되거나, 네트워크 장치(10)와 별도로 구현될 수 있다.

내부망(30)은 복수의 통신장치(300, 400, 500, 600)를 포함한다.

만약, 네트워크 장치(10)가 방화벽 등을 통해 외부에서 내부자산으로 직접 접속하는 것을 차단하는 경우, 공격자 장치(200)는 다양한 방법으로 내부망(30)에 접근하여, 내부망(30)의 통신장치를 공격 수행 장치로 만든다. 예를 들면, 공격자 장치(200)는 악성코드가 첨부된 메일이나 프로그램을 통해 내부망 통신장치들을 감염시킬 수 있다. 감염된 장치는 공격자 장치(200)와 주기적으로 접속하여 명령을 수신하고, 명령에 따른 동작을 수행하는 공격 수행 장치가 된다. 여기서, 공격 수행 장치는 통신장치(300)로 가정한다.

공격 수행 장치(300)는 주기적으로 공격자 장치(200)에 접속한다. 그러면, 공격자 장치(200)와 공격 수행 장치(300)는 명령제어채널로 연결된다. 공격자 장치(200)는 명령제어채널을 통해 공격 수행 장치(300)에게 명령을 전달하고, 정보를 수신한다. 즉, 외부에 존재하는 공격자는 내부의 자산에 지속으로 접근하기 위해 반드시 내부망의 통신장치와 명령제어채널을 연결해야 한다.

탐지장치(100)는 세션 정보를 분석하여 명령제어채널을 탐지한다. 탐지장치(100)는 외부망(20)과 내부망(30) 사이에 연결되는 세션들을 모니터링하여 세션 정보를 수집한다. 여기서 세션은 두 통신 장치 사이의 데이터 교환을 위해 생성된 연결(connection)을 의미한다. 세션 정보는 세션에 관계된 각종 로그로서, 세션의 출발지 정보, 목적지 정보, 타임스탬프, 접속 유지 시간, 송수신 데이터 크기 등을 포함한다. 출발지 정보는 출발지 주소, 출발지 포트 등을 포함한다. 목적지 정보는 목적지 주소, 목적지 포트 등을 포함한다.

탐지장치(100)는 세션 정보를 기초로 세션별 검사 데이터를 생성한다. 검사 데이터는 접속 주기, 접속 유지 시간, 그리고 송수신 데이터 크기 중 적어도 하나를 포함한다.

탐지장치(100)는 모니터링한 세션들의 검사 데이터 분포를 계산한다. 즉, 탐지장치(100)는 접속 주기별 세션수(빈도)(frequency)를 포함하는 접속 주기 분포, 접속 유지 시간별 세션수를 포함하는 접속 유지 시간 분포, 데이터 크기별 세션수를 포함하는 데이터 크기 분포를 계산한다.

탐지장치(100)는 검사 데이터 분포에서 일정 기준 이상의 빈도를 보이는 검사 데이터값이 있는 경우, 해당 검사 데이터값을 가진 세션들을 명령제어채널로 추정한다. 이때, 탐지장치(100)는 복수의 검사 데이터 분포를 종합하여 명령제어채널을 결정할 수 있다.

도 2는 명령제어채널의 주기적 접속 특성을 예시적으로 나타내는 그래프이고, 도 3은 본 발명의 한 실시예에 따른 접속 주기 분포를 예시적으로 나타내는 그래프이다.

도 2를 참고하면, 명령제어채널은 주기적으로 연결된다. 정상 통신 장치 사이의 통신은 주기성을 가지고 있지 않지만, 공격 수행 장치(300)는 내부에 설치된 악성코드에 따라 도 2와 같이 주기적으로 특정 서버에 접속한다.

그러나, 사람은 도 2와 같은 시간 영역(Time Domain) 그래프를 보고 직관적으로 주기적 접속을 알 수 있으나, 탐지장치(100)는 주기적 접속을 판단하기 어렵다.

따라서, 탐지장치(100)는 시간 영역 그래프 대신, 검사 데이터 분포를 기초로 명령제어채널을 탐지한다. 이를 주파수 영역(Frequency Domain) 그래프를 통한 분석이라고 부를 수 있다.

도 3을 참고하면, 탐지장치(100)는 세션들의 접속 주기 분포를 계산한다. 접속 주기 분포는 가로축이 접속 주기값이고, 세로축이 접속 주기값에 해당하는 누적 세션 수로 표시될 수 있다.

도 3의 접속 주기 분포를 보면, 접속 주기가 520초 근처인 세션이 일정 기준 이상 존재한다. 이를 통해 탐지장치(100)는 접속 주기가 520초 근처인 세션들을 명령제어채널로 추정할 수 있고, 명령제어채널로 추정한 세션에 관계된 외부망 장치를 공격자 장치로 추정할 수 있다. 이러한 접속 주기 분포를 통해, 탐지장치(100)는 공격자가 짧은 주기로 통신할 때 발생하는 탐지가능성을 낮추기 위해 비교적 긴 주기(약 9분)의 은밀한 명령제어채널을 유지하는 것으로 판단할 수 있다.

접속 주기 분포는 통계적 정보이므로, 탐지장치(100)는 세션 정보들을 기초로 다양하게 세션들을 필터링하고, 필터링한 세션들을 이용하여 접속 주기 분포 그래프를 만들 수 있다. 예를 들어, 접속 주기 분포 그래프는 하나의 목적지 주소, 또는 하나의 출발지 주소에 관계된 세션들의 접속 주기 분포만을 포함할 수 있다. 또는 접속 주기 분포 그래프는 전체 세션들의 접속 주기 분포를 모두 포함할 수 있다.

예를 들어, 탐지장치(100)는 통신 장치(200)에 관계된 세션들의 접속 주기 분포를 추출할 수 있다. 탐지장치(100)는 접속 주기가 특정 값 근처인 세션 수가 일정 기준 이상이면, 통신 장치(200)를 공격 수행 장치로 추정할 수 있다.

도 4는 정상적인 접속 유지 시간 특성을 예시적으로 나타내는 그래프이고, 도 5은 본 발명의 한 실시예에 따른 접속 유지 시간 분포를 예시적으로 나타내는 그래프이다.

도 4를 참고하면, 정상 사용자가 개별적인 목적을 위해 특정 서버에 접속하는 경우, 대부분 접속 유지 시간이 일정 기준 이하이고, 접속 유지 시간이 일정 기준 이상인 연결이 약간 존재한다. 즉, 정상 세션의 접속 유지 시간은 롱테일 패턴을 가진다. 또한, 접속 유지 시간은 접속 목적에 따라 다양할 수 있다.

그러나, 프로그램되어 기계적으로 생성되는 명령제어채널은 접속 유지 시간이 고정될 수 있다. 또한, 명령제어채널은 장기간 유지되어 공격자가 명령제어채널을 통해 역방향 접속(Reverse Channel)을 하도록 할 수 있다.

도 5를 참고하면, 탐지장치(100)는 세션들의 접속 유지 시간 분포를 계산한다. 접속 유지 시간 분포는 가로축이 접속 유지 시간값이고, 세로축이 접속 유지 시간값에 해당하는 누적 세션 수로 표시될 수 있다.

도 5의 접속 유지 시간 분포를 보면, 접속 유지 시간이 20초 근처인 세션이 일정 기준 이상 존재한다. 이를 통해 탐지장치(100)는 접속 유지 시간이 20초 근처인 세션들을 명령제어채널로 추정할 수 있고, 명령제어채널로 추정한 세션에 관계된 외부망 장치를 공격자 장치로 추정할 수 있다.

접속 유지 시간 분포는 통계적 정보이므로, 탐지장치(100)는 세션 정보들을 기초로 다양하게 필터링된 세션들을 이용하여 접속 유지 시간 분포 그래프를 만들 수 있다. 예를 들어, 접속 유지 시간 분포 그래프는 하나의 목적지 주소, 또는 하나의 출발지 주소에 관계된 세션들의 접속 유지 시간 분포만을 포함할 수 있다. 또는 접속 유지 시간 분포 그래프는 전체 세션들의 접속 유지 시간 분포를 모두 포함할 수 있다.

접속 유지 시간 분포에서 비정상 여부를 판단하는 방법은 다양할 수 있고, 비정상 여부를 판단하는 기준은 탐지장치(100)에 미리 설정된다. 예를 들면, 정상 세션에 의한 접속 유지 시간 분포를 기준 분포로 설정하고, 기준 분포와 모양이 일정 기준 이상 차이가 나는 경우 분포를 비정상 분포로 판단할 수 있다. 또는 도 5와 같이, 일정 기준 이상의 접속 유지 시간을 가진 세션 수가 일정 기준 이상 존재하는 경우 이 분포를 비정상 분포로 판단할 수 있다.

도 6을 참고하면, 탐지장치(100)는 세션들의 송수신 데이터 크기 분포를 계산한다. 송수신 데이터 크기 분포는 가로축이 데이터 크기값이고, 세로축이 데이터 크기값에 해당하는 누적 세션 수로 표시될 수 있다. 송수신 데이터 크기는 내부망에서 외부망으로 나가는(outbound) 데이터 크기와 외부망에서 내부망으로 들어오는(inbound) 데이터 크기를 포함할 수 있다.

공격자에 의해 설치된 악성코드는 공격자가 언제라도 접속할 수 있도록 지속적으로 공격자 장치로 통신 연결을 시도한다. 이때, 지속적인 세션을 생성하더라도 실제 공격자가 명령제어채널을 통해 공격을 수행한 세션은 상대적으로 적다. 즉, 공격 수행 장치와 공격 장치 사이의 통신은 주로 세션을 맺기 위한 목적으로 수행된다. 따라서, 세션을 맺기 위해 주고 받는 데이터는 거의 고정적이므로, 전달되는 데이터 크기(데이터량)는 큰 변화가 없다.

이러한 명령제어채널의 특징에 따라, 공격 수행 장치와 공격 장치 사이에 연결된 세션은 도 7과 같이 일정한 데이터 크기에서 지배적인 세션수를 가진 데이터 크기 분포를 보일 수 있다. 반면, 공격자에 의해 프로그램된 연결이 아니라, 일반적인 사용자가 인터넷에 접속하거나 다운로드를 받는 경우, 송수신 데이터 크기가 제각각이다.

도 7을 참고하면, 탐지장치(100)는 세션 로그 수집부(110), 분석부(130), 그리고 판단부(150)를 포함한다.

세션 로그 수집부(110)는 내부망 통신장치들과 외부망 통신장치들 사이에 생성되는 세션들의 로그 정보를 수집한다.

분석부(130)는 로그 정보를 기초로 세션별 검사 데이터를 생성한다. 검사 데이터는 접속 주기, 접속 유지 시간, 그리고 송수신 데이터 크기 중 적어도 하나를 포함한다.

분석부(130)는 각 세션의 검사 데이터를 이용하여 검사 데이터 분포를 계산한다. 분석부(130)는 접속 주기별 세션수를 포함하는 접속 주기 분포, 접속 유지 시간별 세션수를 포함하는 접속 유지 시간 분포, 데이터 크기별 세션수를 포함하는 데이터 크기 분포 중 적어도 하나를 계산한다.

판단부(150)는 비정상 분포 판단 기준을 기초로 검사 데이터 분포에서 비정상 분포에 해당하는 검사 데이터 값들을 추출한다. 판단부(150)는 검사 데이터 분포에서 일정 기준 이상의 빈도 또는 빈도율을 가지는 검사 데이터 값을 비정상으로 판단할 수 있다. 판단부(150)는 검사 데이터 분포에서 기준 분포와 일정 기준 이상 차이가 나는 검사 데이터 값을 비정상으로 판단할 수 있다.

판단부(150)는 추출한 검사 데이터값에 관계된 세션들을 명령제어채널로 추정한다. 판단부(150)는 복수의 검사 데이터 분포를 종합하여 명령제어채널을 탐지할 수 있다.

도 8을 참고하면, 탐지장치(100)는 외부망(20)과 내부망(30) 사이에 연결되는 세션들의 정보를 수집한다(S110). 세션 정보는 세션에 관계된 각종 로그로서, 세션의 출발지 정보, 목적지 정보, 타임스탬프, 접속 유지 시간, 송수신 데이터 크기 등을 포함한다.

탐지장치(100)는 세션 정보를 기초로 세션별 검사 데이터를 생성한다(S120). 검사 데이터는 접속 주기, 접속 유지 시간, 그리고 송수신 데이터 크기 중 적어도 하나를 포함한다.

탐지장치(100)는 각 세션의 검사 데이터를 이용하여 검사 데이터 분포를 계산한다(S130). 탐지장치(100)는 접속 주기별 세션수를 포함하는 접속 주기 분포, 접속 유지 시간별 세션수를 포함하는 접속 유지 시간 분포, 데이터 크기별 세션수를 포함하는 데이터 크기 분포 중 적어도 하나를 계산한다.

탐지장치(100)는 비정상 분포 판단 기준을 기초로 검사 데이터 분포에서 비정상 분포에 해당하는 검사 데이터 값들을 추출한다(S140).

탐지장치(100)는 추출한 검사 데이터값에 관계된 세션들을 명령제어채널로 추정한다(S150). 탐지장치(100)는 복수의 검사 데이터 분포를 종합하여 명령제어채널을 탐지할 수 있다.

이와 같이, 본 발명의 실시예에 따르면 내부망 공격을 위해 반드시 생성되는 명령제어채널의 통신 특성을 분석하여 정상 접속과 악의적 접속을 구분한다. 따라서, 본 발명의 실시예에 따르면 시그니처가 없는 공격이라도 명령제어채널에 의한 공격을 탐지할 수 있다. 본 발명의 실시예에 따르면 점점 정교하게 진화하고 있는 내부망 공격 형태에 대해서도 효과적으로 대응할 수 있다. 본 발명의 실시예에 따르면 변형된 공격이나 암호화된 트래픽에 대해서도 탐지할 수 있으므로, 공격 방법에 관계없이 내부망공격을 탐지할 수 있다.

이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다.

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.

Claims

제1망의 통신장치와 제2망의 공격자 장치 사이에 연결된 명령제어채널을 탐지하는 장치로서,

상기 제1망의 적어도 하나의 통신장치와 상기 제2망의 적어도 하나의 통신장치 사이에 생성되는 세션들의 로그 정보를 수집하는 세션 로그 수집부,

상기 로그 정보를 기초로 세션별 검사 데이터를 생성하고, 상기 세션들의 검사 데이터를 기초로 검사 데이터 분포를 계산하는 분석부, 그리고

비정상 분포 판단 기준을 기초로 상기 검사 데이터 분포에서 비정상 분포에 해당하는 검사 데이터 값을 추출하고, 추출한 검사 데이터값에 관계된 세션들을 명령제어채널로 추정하는 판단부

를 포함하는 명령제어채널 탐지장치.
제1항에서,

상기 검사 데이터는

접속 주기, 접속 유지 시간, 그리고 송수신 데이터 크기 중 적어도 어느 하나를 포함하는 명령제어채널 탐지장치.
제2항에서,

상기 검사 데이터 분포는

접속 주기별 세션수를 포함하는 접속 주기 분포, 접속 유지 시간별 세션수를 포함하는 접속 유지 시간 분포, 송수신 데이터 크기별 세션수를 포함하는 데이터 크기 분포 중 어느 하나를 포함하는 명령제어채널 탐지장치.
제3항에서,

상기 판단부는

상기 접속 주기 분포에서 일정 기준 이상의 세션수를 가지는 검사 데이터 값을 비정상 분포로 판단하는 명령제어채널 탐지장치.
제3항에서,

상기 판단부는

상기 접속 유지 시간 분포에서 일정 기준 이상의 세션수를 가지는 검사 데이터 값을 비정상 분포로 판단하는 명령제어채널 탐지장치.
제3항에서,

상기 판단부는

상기 데이터 크기 분포에서 일정 기준 이상의 세션수를 가지는 검사 데이터 값을 비정상 분포로 판단하는 명령제어채널 탐지장치.
제3항에서,

상기 판단부는

상기 접속 주기 분포, 상기 접속 유지 시간 분포, 그리고 상기 데이터 크기 분포 중 적어도 두 개의 분포에서 비정상 분포에 해당하는 세션들을 명령제어채널로 추정하는 명령제어채널 탐지장치.
제1항에서,

상기 로그 정보는

각 세션의 출발지 정보, 목적지 정보, 타임스탬프, 접속 유지 시간, 송수신 데이터 크기 중 적어도 하나를 포함하는 명령제어채널 탐지장치.
명령제어채널 탐지장치가 제1망의 통신장치와 제2망의 공격자 장치 사이에 연결된 명령제어채널을 탐지하는 방법으로써,

상기 제1망의 적어도 하나의 통신장치와 상기 제2망의 적어도 하나의 통신장치 사이에 생성되는 세션들의 로그 정보를 기초로 세션별 검사 데이터를 생성하는 단계,

상기 세션들의 검사 데이터를 기초로 검사 데이터 분포를 계산하는 단계,

비정상 분포 판단 기준을 기초로 상기 검사 데이터 분포에서 비정상 분포에 해당하는 검사 데이터 값을 추출하는 단계, 그리고

추출한 검사 데이터값에 관계된 세션들을 명령제어채널로 추정하는 단계

를 포함하는 명령제어채널 탐지방법.
제9항에서,

상기 검사 데이터는

접속 주기, 접속 유지 시간, 그리고 송수신 데이터 크기 중 적어도 어느 하나를 포함하는 명령제어채널 탐지방법.
제10항에서,

상기 검사 데이터 분포는

접속 주기별 세션수를 포함하는 접속 주기 분포, 접속 유지 시간별 세션수를 포함하는 접속 유지 시간 분포, 송수신 데이터 크기별 세션수를 포함하는 데이터 크기 분포 중 어느 하나를 포함하는 명령제어채널 탐지방법.
제11항에서,

상기 비정상 분포 판단 기준은 세션수에 관계된 기준값이고,

상기 비정상 분포에 해당하는 검사 데이터 값들을 추출하는 단계는

상기 검사 데이터 분포에서 상기 기준값 이상의 세션수를 가지는 검사 데이터값을 비정상 분포로 판단하는 명령제어채널 탐지방법.
제11항에서,

상기 비정상 분포에 해당하는 검사 데이터 값들을 추출하는 단계는

상기 접속 주기 분포, 상기 접속 유지 시간 분포, 그리고 상기 데이터 크기 분포 중 적어도 두 개의 분포 각각에서 비정상 분포에 해당하는 검사 데이터 값들을 추출하고,

상기 명령제어채널로 추정하는 단계는

추출한 검사 데이터 값들을 기초로 상기 적어도 두 개의 분포 모두에서 비정상 분포에 해당하는 세션들을 명령제어로 추정하는 명령제어채널 탐지방법.
명령제어채널 탐지장치가 제1 통신장치와 제2 통신장치 사이에 연결된 명령제어채널을 탐지하는 방법으로써,

상기 제1 통신장치가 상기 제2 통신장치에 접속하여 생성된 세션들의 로그 정보를 수집하는 단계,

상기 로그 정보를 기초로 세션별 검사 데이터를 생성하는 단계,

상기 세션들의 검사 데이터를 기초로 검사 데이터별 세션수에 관계된 검사 데이터 분포를 획득하는 단계,

상기 검사 데이터 분포에서 일정 기준 이상의 세션수를 가지는 검사 데이터 값이 존재하는지 판단하는 단계, 그리고

상기 일정 기준 이상의 세션수를 가지는 검사 데이터 값이 존재하는 경우, 상기 제2 통신장치를 공격자 장치로 추정하는 단계

를 포함하는 명령제어채널 탐지방법.
제14항에서,

상기 검사 데이터는

접속 주기, 접속 유지 시간, 그리고 송수신 데이터 크기 중 적어도 어느 하나를 포함하는 명령제어채널 탐지방법.
제15항에서,

상기 검사 데이터 분포는

접속 주기별 세션수를 포함하는 접속 주기 분포, 접속 유지 시간별 세션수를 포함하는 접속 유지 시간 분포, 송수신 데이터 크기별 세션수를 포함하는 데이터 크기 분포 중 어느 하나를 포함하는 명령제어채널 탐지방법.