Nothing Special   »   [go: up one dir, main page]

KR102616603B1 - Supporting Method of Network Security and device using the same - Google Patents

Supporting Method of Network Security and device using the same Download PDF

Info

Publication number
KR102616603B1
KR102616603B1 KR1020210115340A KR20210115340A KR102616603B1 KR 102616603 B1 KR102616603 B1 KR 102616603B1 KR 1020210115340 A KR1020210115340 A KR 1020210115340A KR 20210115340 A KR20210115340 A KR 20210115340A KR 102616603 B1 KR102616603 B1 KR 102616603B1
Authority
KR
South Korea
Prior art keywords
packet
attack
network
security
packets
Prior art date
Application number
KR1020210115340A
Other languages
Korean (ko)
Other versions
KR20230032463A (en
Inventor
최성곤
최원석
박용희
이래엽
Original Assignee
충북대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 충북대학교 산학협력단 filed Critical 충북대학교 산학협력단
Priority to KR1020210115340A priority Critical patent/KR102616603B1/en
Publication of KR20230032463A publication Critical patent/KR20230032463A/en
Application granted granted Critical
Publication of KR102616603B1 publication Critical patent/KR102616603B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크를 서버 장치에 전송되는 적어도 일부 패킷을 포함하는 패킷 리스트를 수집하는 단계, 상기 패킷 리스트에 포함된 패킷이 NIDPS(Network Intrusion Detection and Prevention System) 보안 룰을 위반한 공격 패킷인지 여부를 검사하는 단계, 상기 공격 패킷이 검출되면, 상기 검출된 공격 패킷에 대해 프로세스 단위로 위협 요소를 평가하는 킬체인 룰을 적용하는 단계, 상기 킬체인 룰 적용에 따른 공격 단계에 대한 정보를 적어도 포함하는 패킷 보안 메시지를 생성하는 단계, 상기 생성된 패킷 보안 메시지를 지정된 관리자 장치에 전송하는 단계를 포함하는 특징으로 하는 네트워크 보안 지원 방법 및 이를 이용한 네트워크 보안 지원 장치를 개시한다. The present invention includes collecting a packet list containing at least some packets transmitted to a network server device, and determining whether the packets included in the packet list are attack packets that violate NIDPS (Network Intrusion Detection and Prevention System) security rules. A step of inspecting, when the attack packet is detected, a step of applying a kill chain rule that evaluates threat elements on a process basis to the detected attack packet, and at least including information about the attack stage according to the application of the kill chain rule. Disclosed is a network security support method and a network security support device using the same, comprising the steps of generating a packet security message and transmitting the generated packet security message to a designated administrator device.

Description

네트워크 보안 지원 방법 및 이를 이용하는 보안 지원 장치{Supporting Method of Network Security and device using the same}{Supporting Method of Network Security and device using the same}

본 발명은 네트워크 보안에 관한 것으로, 더욱 상세하게는 공격 패턴을 가지는 패킷의 프로세스별 정의 및 파악하여 보고할 수 있는 네트워크 보안 지원 방법 및 이를 이용하는 보안 지원 장치에 관한 것이다.The present invention relates to network security, and more specifically, to a network security support method that can define, identify, and report packets with attack patterns by process, and a security support device using the same.

인터넷 네트워크를 통하여 다양한 정보를 교환할 수 있는 환경이 제공되고 있다. 그러나 이러한 인터넷 네트워크를 통하여 악의적으로 타인의 컴퓨팅 장치를 공격하는 문제가 있다. 예컨대, 특정 컴퓨팅 시스템의 취약점을 공격하는 제로 데이 공격이 문제가 되고 있다. 이러한 문제 해결을 위하여 종래에는 Packet Capture Appliance (PCA) 장비를 이용하여, 공격 패킷을 저장할 수 있었다. 상기 PCA 장비는 Network Intrusion Detection and Prevention System (NIDPS) 엔진을 이용하며, 상기 NIDPS 엔진은 Intrusion Detection System (IDS), Intrusion Prevention System (IPS) 기능을 수행할 수 있다. NIDPS 엔진에서 통과된 패킷을 PCA 장비에 저장하고, 새로운 공격 패턴에 대한 규칙이 업데이트가 될 경우 이를 저장된 패킷에 적용할 수 있다. An environment in which various information can be exchanged is provided through the Internet network. However, there is a problem of maliciously attacking other people's computing devices through such Internet networks. For example, zero-day attacks that attack vulnerabilities in specific computing systems are becoming a problem. To solve this problem, attack packets could previously be stored using Packet Capture Appliance (PCA) equipment. The PCA equipment uses a Network Intrusion Detection and Prevention System (NIDPS) engine, and the NIDPS engine can perform Intrusion Detection System (IDS) and Intrusion Prevention System (IPS) functions. Packets passed from the NIDPS engine are stored in the PCA device, and when rules for new attack patterns are updated, they can be applied to the stored packets.

상술한 종래 PCA 및 NIDPS 엔진을 이용한 보안 지원 방법은 수집된 패킷을 NIDPS 엔진에 통과시킨 후, 검사 결과를 단순히 DB에 저장 및 출력하는 기능만을 제공하기 때문에, 저장된 검사 결과를 관리자가 개별적으로 확인해야 하는 어려움이 있고, 그에 따라 취약점 공격에 대한 방어가 매우 늦어지는 문제가 있었다. Since the security support method using the conventional PCA and NIDPS engine described above only provides the function of passing the collected packets through the NIDPS engine and then simply storing and outputting the test results to the DB, the administrator must individually check the stored test results. There were difficulties in doing so, and as a result, there was a problem that defense against vulnerability attacks was very delayed.

본 발명은 상술한 종래 문제점들을 해소하기 위한 것으로, 본 발명은 공격 패킷에 대한 검사 결과에 대해 위협 요소별 정의 및 분석을 수행함으로써, 공격 패킷이 가지는 특성을 빠르게 판단할 수 있도록 하는 네트워크 보안 지원 방법 및 이를 지원하는 보안 지원 장치를 제공함에 있다.The present invention is intended to solve the above-described conventional problems. The present invention is a network security support method that allows the characteristics of an attack packet to be quickly determined by defining and analyzing each threat element on the inspection results of the attack packet. and providing security support devices that support this.

본 발명의 실시 예에 따른 네트워크 보안 지원 장치는 네트워크에 접속되어 통신 채널을 형성하는 통신 인터페이스, 상기 통신 인터페이스를 통해 수신되는 적어도 일부 패킷을 저장하는 저장부, 상기 통신 인터페이스 및 상기 저장부와 기능적으로 연결된 개선된 보안 지원 장치를 포함하고, 상기 개선된 보안 지원 장치는 상기 통신 인터페이스가 수신하는 패킷의 적어도 일부를 포함하는 패킷 리스트를 수집하고, 패킷 리스트에 포함된 패킷들에 대한 보안 룰 위반 여부를 검사하는 패킷 검사 엔진, 상기 패킷들 중 보안 룰을 위반한 공격 패킷에 대해 프로세스 단위로 위협 요소를 평가하는 분석 모듈, 상기 평가 결과에 따른 패킷 보안 메시지를 생성하여 보고하는 분석 결과 처리 모듈을 포함하는 것을 특징으로 한다.A network security support device according to an embodiment of the present invention has a communication interface connected to a network to form a communication channel, a storage unit for storing at least some packets received through the communication interface, and a functional combination of the communication interface and the storage unit. and a connected improved security support device, wherein the improved security support device collects a packet list including at least a portion of packets received by the communication interface, and determines whether a security rule is violated for packets included in the packet list. It includes a packet inspection engine that inspects, an analysis module that evaluates threat elements on a per-process basis for attack packets that violate security rules among the packets, and an analysis result processing module that generates and reports a packet security message according to the evaluation results. It is characterized by

한편, 상기 패킷 검사 엔진은 상기 패킷들이 NIDPS(Network Intrusion Detection and Prevention System) 보안 룰을 위반하는지 여부에 따라 공격 패킷 여부를 결정하는 것을 특징으로 한다.Meanwhile, the packet inspection engine determines whether the packets are attack packets based on whether they violate Network Intrusion Detection and Prevention System (NIDPS) security rules.

또한, 상기 분석 모듈은 킬체인 룰에 따라 상기 공격 패킷에 대한 공격 단계를 결정하는 것을 특징으로 한다.In addition, the analysis module is characterized in that it determines the attack stage for the attack packet according to the kill chain rule.

여기서, 상기 분석 모듈은 상기 저장부에 저장된 이전 공격 패킷의 공격 단계를 참조하여 현재 수집된 공격 패킷에 대한 공격 단계를 시계열적으로 분석하는 것을 특징으로 한다.Here, the analysis module is characterized in that it analyzes the attack stage of the currently collected attack packet in time series with reference to the attack stage of the previous attack packet stored in the storage unit.

추가로, 상기 분석 결과 처리 모듈은 상기 공격 패킷이 수신된 시점 정보, 상기 공격 패킷의 출발지 및 목적지 정보, 상기 공격 단계에 대응하는 사전 정의된 대응 방안을 포함하는 상기 패킷 보안 메시지를 생성하는 것을 특징으로 한다.Additionally, the analysis result processing module generates the packet security message including information on when the attack packet was received, source and destination information of the attack packet, and a predefined response plan corresponding to the attack stage. Do it as

특히, 상기 분석 결과 처리 모듈은 상기 대응 방안에 따른 공격 대응 처리를 수행하고, 상기 공격 대응 처리에 대한 결과를 상기 패킷 보안 메시지에 포함시키는 것을 특징으로 한다.In particular, the analysis result processing module performs attack response processing according to the response method and includes the result of the attack response processing in the packet security message.

본 발명의 실시 예에 따른 네트워크 보안 지원 방법은 네트워크를 서버 장치에 전송되는 적어도 일부 패킷을 포함하는 패킷 리스트를 수집하는 단계, 상기 패킷 리스트에 포함된 패킷이 NIDPS(Network Intrusion Detection and Prevention System) 보안 룰을 위반한 공격 패킷인지 여부를 검사하는 단계, 상기 공격 패킷이 검출되면, 상기 검출된 공격 패킷에 대해 프로세스 단위로 위협 요소를 평가하는 킬체인 룰을 적용하는 단계, 상기 킬체인 룰 적용에 따른 공격 단계에 대한 정보를 적어도 포함하는 패킷 보안 메시지를 생성하는 단계, 상기 생성된 패킷 보안 메시지를 지정된 관리자 장치에 전송하는 단계를 포함하는 특징으로 한다.A network security support method according to an embodiment of the present invention includes collecting a packet list containing at least some packets transmitted to a network server device, and packets included in the packet list are NIDPS (Network Intrusion Detection and Prevention System) security. Checking whether an attack packet violates a rule; If the attack packet is detected, applying a kill chain rule that evaluates threat elements on a process basis to the detected attack packet; Following application of the kill chain rule The method includes generating a packet security message containing at least information about the attack stage and transmitting the generated packet security message to a designated administrator device.

상기 방법에서, 상기 킬체인 룰을 적용하는 단계는 저장부에 저장된 이전 공격 패킷의 공격 단계를 참조하여 현재 수집된 공격 패킷에 대한 공격 단계를 시계열적으로 분석하는 단계를 포함하는 것을 특징으로 한다.In the above method, the step of applying the kill chain rule includes the step of analyzing the attack stage of the currently collected attack packet in time series with reference to the attack stage of the previous attack packet stored in the storage unit.

또한, 상기 패킷 보안 메시지를 생성하는 단계는 상기 공격 패킷이 수신된 시점 정보, 상기 공격 패킷의 출발지 및 목적지 정보, 상기 공격 단계에 대응하는 사전 정의된 대응 방안을 포함하는 상기 패킷 보안 메시지를 생성하는 단계를 포함하는 것을 특징으로 한다.In addition, the step of generating the packet security message includes generating the packet security message including information on when the attack packet was received, source and destination information of the attack packet, and a predefined response plan corresponding to the attack step. It is characterized by including steps.

이 경우, 상기 패킷 보안 메시지를 생성하는 단계는 상기 대응 방안에 따른 공격 대응 처리를 수행하고, 상기 공격 대응 처리에 대한 결과를 상기 패킷 보안 메시지에 포함시키는 단계를 더 포함하는 것을 특징으로 한다.In this case, the step of generating the packet security message may further include performing attack response processing according to the response method and including a result of the attack response processing in the packet security message.

본 발명에 따른 네트워크 보안 지원 방법 및 이를 이용하는 보안 지원 장치에 따르면, 본 발명은 공격 패킷의 위협 요소에 대한 보다 빠른 판단을 지원하며, 그에 따라 적절한 대응 전략을 세울 수 있는 시간을 확보할 수 있도록 지원한다. According to the network security support method and the security support device using the same according to the present invention, the present invention supports faster determination of the threat elements of attack packets, thereby securing time to establish an appropriate response strategy. do.

도 1은 본 발명의 실시 예에 따른 네트워크 보안 지원 장치가 적용된 환경의 한 예를 나타낸 도면이다.
도 2는 본 발명의 실시 예에 따른 네트워크 보안 지원 장치 구성의 한 예를 나타낸 도면이다.
도 3은 본 발명의 실시 예에 따른 네트워크 보안 지원 장치의 기간 내 시계열 분석 방법의 한 예를 나타낸 도면이다.Figure 1 is a diagram showing an example of an environment to which a network security support device according to an embodiment of the present invention is applied.
Figure 2 is a diagram showing an example of the configuration of a network security support device according to an embodiment of the present invention.
Figure 3 is a diagram showing an example of a time series analysis method within a period of a network security support device according to an embodiment of the present invention.

하기의 설명에서는 본 발명의 실시 예를 이해하는데 필요한 부분만이 설명되며, 그 이외 부분의 설명은 본 발명의 요지를 흩트리지 않는 범위에서 생략될 것이라는 것을 유의하여야 한다.It should be noted that in the following description, only the parts necessary to understand the embodiments of the present invention will be described, and descriptions of other parts will be omitted to the extent that they do not distract from the gist of the present invention.

이하에서 설명되는 본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니 되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념으로 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 따라서 본 명세서에 기재된 실시 예와 도면에 도시된 구성은 본 발명의 바람직한 실시 예에 불과할 뿐이고, 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.The terms or words used in the specification and claims described below should not be construed as limited to their usual or dictionary meanings, and the inventor should use the concept of terminology appropriately to explain his/her invention in the best way. It must be interpreted as meaning and concept consistent with the technical idea of the present invention based on the principle that it can be defined clearly. Therefore, the embodiments described in this specification and the configurations shown in the drawings are only preferred embodiments of the present invention and do not represent the entire technical idea of the present invention, and therefore various equivalents can be substituted for them at the time of filing the present application. It should be understood that there may be variations.

이하, 첨부된 도면을 참조하여 본 발명의 실시 예를 보다 상세하게 설명하고자 한다.Hereinafter, embodiments of the present invention will be described in more detail with reference to the attached drawings.

도 1은 본 발명의 실시 예에 따른 네트워크 보안 지원 장치가 적용된 환경의 한 예를 나타낸 도면이다.Figure 1 is a diagram showing an example of an environment to which a network security support device according to an embodiment of the present invention is applied.

도 1을 참조하면, 네트워크 보안 지원 환경(10)은 다양한 네트워크 요소 또는 장비나 장치들로 구성된 네트워크(50)와, 상기 네트워크(50)에 연결된 공격자 장치(51) 및 컴퓨팅 장치(53), 상기 컴퓨팅 장치(53)에 전달되는 패킷을 검사하는 네트워크 보안 지원 장치(100)를 포함할 수 있다. Referring to FIG. 1, the network security support environment 10 includes a network 50 composed of various network elements or equipment or devices, an attacker device 51 and a computing device 53 connected to the network 50, It may include a network security support device 100 that inspects packets transmitted to the computing device 53.

상기 네트워크(50)는 상기 네트워크 보안 지원 환경(10)의 에지 단말(예: 공격자 장치(51) 및 컴퓨팅 장치(53))들 간의 통신 채널을 형성할 수 있다. 이러한 네트워크(50)는 다양한 유선 환경 또는 무선 환경을 지원하는 케이블이나, 라우터, 주소 변환기 등뿐만 아니라, 기지국이나 무선 접속 포인트 등을 포함할 수 있다. 상기 네트워크(50)는 예컨대, 수동적으로 패킷을 전달하는 구성으로서, 예컨대, 공격자 장치(51)로부터 출력된 공격 패킷을 컴퓨팅 장치(53)에 전달할 수도 있다. The network 50 may form a communication channel between edge terminals (eg, the attacker device 51 and the computing device 53) of the network security support environment 10. This network 50 may include not only cables, routers, and address converters that support various wired or wireless environments, but also base stations and wireless access points. The network 50 is a configuration that passively transmits packets, for example, and may transmit attack packets output from the attacker device 51 to the computing device 53.

상기 공격자 장치(51)는 상기 네트워크(50)에 통신적으로 연결되고, 컴퓨팅 장치(53)에 공격 패킷을 전송하는 구성을 포함할 수 있다. 상술한 공격자 장치(51)는 컴퓨팅 장치(53)의 취약점을 이용하여 컴퓨팅 장치(53) 사용자의 동의 없이 컴퓨팅 장치(53)에 저장된 데이터를 해킹하거나, 컴퓨팅 장치(53)에 저장된 데이터를 변경하거나, 삭제 하는 등의 사이버 공격을 수행할 수 있다. The attacker device 51 may be communicatively connected to the network 50 and may include a configuration that transmits an attack packet to the computing device 53 . The above-described attacker device 51 uses the vulnerability of the computing device 53 to hack the data stored in the computing device 53 without the consent of the user of the computing device 53, change the data stored in the computing device 53, or , cyber attacks such as deletion can be carried out.

상기 컴퓨팅 장치(53)는 상기 네트워크(50)에 연결되어, 다양한 네트워크(50) 사용자 단말에게 정보를 제공하거나 또는 다양한 네트워크(50) 사용자 단말로부터 정보를 수신하여 저장할 수 있다. 이 과정에서, 공격자 장치(51)가 제공하는 공격 패킷을 수신할 수 있다. The computing device 53 is connected to the network 50 and can provide information to various network 50 user terminals or receive and store information from various network 50 user terminals. In this process, attack packets provided by the attacker device 51 may be received.

상기 네트워크 보안 지원 장치(100)는 상기 컴퓨팅 장치(53) 전단에 배치되어, 컴퓨팅 장치(53)에 전달되는 패킷을 검사하여, 공격 패킷 검사를 수행하고, 검사 결과에 대한 위협 요소를 판별하여 보고할 수 있다. 이러한 네트워크 보안 지원 장치(100)는 상기 컴퓨팅 장치(53)의 일부 구성으로 포함되어 배치될 수도 있다. The network security support device 100 is placed at the front of the computing device 53, inspects packets transmitted to the computing device 53, performs attack packet inspection, determines threats based on the inspection results, and reports them. can do. This network security support device 100 may be included and disposed as a part of the computing device 53.

도 2는 본 발명의 실시 예에 따른 네트워크 보안 지원 장치 구성의 한 예를 나타낸 도면이다.Figure 2 is a diagram showing an example of the configuration of a network security support device according to an embodiment of the present invention.

도 2를 참조하면, 본 발명의 네트워크 보안 지원 장치(100)는 통신 인터페이스(110), 개선된 보안 지원 장치(120) 및 저장부(130)를 포함할 수 있다. Referring to FIG. 2, the network security support device 100 of the present invention may include a communication interface 110, an improved security support device 120, and a storage unit 130.

상기 통신 인터페이스(110)는 네트워크(50)와 통신 채널을 형성하고, 네트워크(50)에서 컴퓨팅 장치(53)로 전송되는 패킷의 적어도 일부를 수신할 수 있다. 상기 통신 인터페이스(110)는 수신된 패킷을 개선된 보안 지원 장치(120)에 전달할 수 있다. The communication interface 110 may form a communication channel with the network 50 and receive at least a portion of packets transmitted from the network 50 to the computing device 53. The communication interface 110 may transfer the received packet to the improved security support device 120.

상기 저장부(130)는 상기 네트워크 보안 지원 장치(100) 운용에 필요한 데이터, 프로그램, 알고리즘 등을 저장할 수 있다. 또한, 상기 저장부(130)는 개선된 보안 지원 장치(120) 운용에 따른 데이터를 저장하거나, 저장된 데이터를 개선된 보안 지원 장치(120)에 제공할 수 있다. 이러한 저장부(130)는 상기 네트워크 보안 지원 장치(100) 운용과 관련한 프로그램들을 저장하는 저장 모듈과, 상기 개선된 보안 지원 장치(120) 운용에 따라 생성된 데이터를 저장하거나 저장된 데이터를 제공하는 데이터베이스를 포함할 수 있다. The storage unit 130 may store data, programs, algorithms, etc. necessary for operating the network security support device 100. Additionally, the storage unit 130 may store data according to the operation of the improved security support device 120 or provide the stored data to the improved security support device 120. This storage unit 130 includes a storage module that stores programs related to the operation of the network security support device 100, and a database that stores data generated according to the operation of the improved security support device 120 or provides the stored data. may include.

상기 개선된 보안 지원 장치(120)는 패킷 검사 엔진(121)(예: NIDPS 엔진), 결과 저장 처리부(123), 분석 모듈(125), 분석 결과 처리 모듈(127)을 포함할 수 있다. The improved security support device 120 may include a packet inspection engine 121 (eg, NIDPS engine), a result storage processor 123, an analysis module 125, and an analysis result processing module 127.

상기 패킷 검사 엔진(121)은 네트워크(50)를 통해 컴퓨팅 장치(53)에 전달된 패킷을 검사할 수 있는 적어도 하나의 엔진을 포함할 수 있다. 이 과정에서, 패킷 검사 엔진(121)은 개선된 보안 지원 장치(예: Advanced PCA 장비)를 통해 캡처된 패킷에 대해 공격 패턴 방어 룰을 적용할 수 있다. 상기 공격 패턴 방어 룰은 상기 저장부(130)에 저장되고, 패킷 검사 엔진(121) 운용 시, 로딩되어 운용될 수 있다. 한 예로서, 상기 패킷 검사 엔진(121)은 앞서 언급한 NIDPS 엔진을 포함할 수 있다. 상기 패킷 검사 엔진(121)은 패킷 검사 결과 및 해당 패킷을 결과 저장 처리부(123)에 전달할 수 있다. 이때, 패킷 검사 엔진(121)은 패킷 검사 시간 정보를 함께 저장할 수 있다. 상기 패킷 검사 엔진(121)은 설정에 따라 또는 컴퓨팅 장치(53) 요청에 따라, 또는 개선된 보안 지원 장치(120)의 정책에 따라, 지정된 기간 동안의 패킷 검사를 위한 패킷 리스트 수집을 수행할 수 있다. 또는, 상기 패킷 검사 엔진(121)은 실시간 패킷 보안 검사를 위한 패킷 리스트를 수집할 수 있다. 또는, 패킷 검사 엔진(121)은 컴퓨팅 장치(53)로 전송되는 패킷의 양이 일정량 이상인 경우 패킷 리스트를 수집하고, 패킷 양이 지정된 량 이하인 경우 패킷 리스트 수집을 중지할 수 있다. 상기 패킷 검사 엔진(121)은 패킷의 보안 룰 위반 검사를 위해 사전 정의된 알고리즘을 저장 및 관리할 수 있다. 상기 패킷 검사 엔진(121)은 패킷에 대한 검사를 수행하고, 패킷이 보안 룰을 위반한 것으로 판단되면, 해당 결과를 분석 모듈(125)에 안내할 수 있다. 이와 함께, 패킷 검사 엔진(121)은 보안 룰 위반 패킷을 분석 모듈(125)에 전달할 수 있다. The packet inspection engine 121 may include at least one engine capable of inspecting packets delivered to the computing device 53 through the network 50. In this process, the packet inspection engine 121 may apply attack pattern defense rules to packets captured through an improved security support device (e.g., Advanced PCA equipment). The attack pattern defense rule is stored in the storage unit 130, and can be loaded and operated when the packet inspection engine 121 is operated. As an example, the packet inspection engine 121 may include the previously mentioned NIDPS engine. The packet inspection engine 121 may transmit the packet inspection result and the corresponding packet to the result storage processor 123. At this time, the packet inspection engine 121 may also store packet inspection time information. The packet inspection engine 121 may perform packet list collection for packet inspection for a specified period of time according to settings, at the request of the computing device 53, or according to the policy of the improved security support device 120. there is. Alternatively, the packet inspection engine 121 may collect a packet list for real-time packet security inspection. Alternatively, the packet inspection engine 121 may collect the packet list when the amount of packets transmitted to the computing device 53 is more than a certain amount, and may stop collecting the packet list when the amount of packets is less than a specified amount. The packet inspection engine 121 can store and manage predefined algorithms to inspect packets for security rule violations. The packet inspection engine 121 performs inspection of the packet, and if it is determined that the packet violates a security rule, it may guide the result to the analysis module 125. In addition, the packet inspection engine 121 may transmit packets that violate security rules to the analysis module 125.

상기 결과 저장 처리부(123)는 패킷 검사 엔진(121)이 전달한 패킷들을 저장부(130)에 저장할 수 있다. 상기 결과 저장 처리부(123)는 패킷 검사 엔진(121)이 전달한 패킷, 패킷에 관한 보안 룰 위반 검사 결과, 패킷 수집 및 검사 시점 등을 함께 저장부(130)의 데이터베이스에 저장할 수 있다. The result storage processing unit 123 may store the packets delivered by the packet inspection engine 121 in the storage unit 130. The result storage processing unit 123 may store the packet delivered by the packet inspection engine 121, security rule violation inspection results for the packet, packet collection and inspection time, etc., in the database of the storage unit 130.

상기 분석 모듈(125)은 패킷 검사 엔진(121)이 전달한 보안 룰 위반 패킷에 대한 공격 단계 분석을 수행할 수 있다. 예를 들어, 상기 분석 모듈(125)은 사이버 공격에 대해 프로세스 단위 분석을 수행하고, 각 프로세스 단계에서의 위협 요소를 정의 및 파악하기 위한 분석 모델(예: 사이버 킬체인)을 운용할 수 있다. 이와 관련하여, 분석 모듈(125)은 패킷의 특성 또는 패킷의 공격 방법에 따라 공격 단계를 결정할 수 있다. 또한, 상기 분석 모듈(125)은 공격 단계별 대응 방안을 결정할 수 있다. 개선된 보안 지원 장치(120)는 공격 방법들에 매핑된 공격 단계들, 공격 단계들에 매핑된 대응 방안들을 정의한 정책 또는 설정 값들을 저장 관리할 수 있다. 한 예로서, 사이버 킬체인 단계는 7단계로 구분될 수 있으며, 정찰, 무기화, 전달, 익스플로잇, 설치, C&C, 행동 개기 단계를 포함할 수 있다. 상기 분석 모듈(125)인 사이버 킬체인 분석 모델을 적용하는 경우, 각 단계별 공격 방법과 대응 방안은 다음 표 1과 같이 정의될 수 있다.The analysis module 125 may perform attack stage analysis on security rule violation packets delivered by the packet inspection engine 121. For example, the analysis module 125 may perform process-level analysis of cyber attacks and operate an analysis model (e.g., cyber kill chain) to define and identify threat elements at each process step. In this regard, the analysis module 125 may determine the attack stage according to the characteristics of the packet or the attack method of the packet. Additionally, the analysis module 125 can determine a response plan for each attack stage. The improved security support device 120 can store and manage policy or setting values that define attack stages mapped to attack methods and response measures mapped to attack stages. As an example, the cyber kill chain stages can be divided into seven stages and may include reconnaissance, weaponization, delivery, exploitation, installation, C&C, and action initiation stages. When applying the cyber kill chain analysis model, which is the analysis module 125, the attack method and response plan at each stage can be defined as shown in Table 1 below.

단계step 공격 방법Attack method 대응 방안Countermeasures 정찰reconnaissance 이메일, 크롤링email, crawling 방화벽 필터링Firewall Filtering 무기화weaponization 악성코드 생성Malicious code generation IDS/IPSIDS/IPS 전달relay Drive by downloadDrive by download Proxy FilterProxy Filter 익스플로잇exploit 사이버무기 작동cyber weapon operation 안티바이러스antivirus 설치installation Trojan 설치Trojan installation Secure OSSecure OS C&CC&C 시스템 권한획득Acquire system permissions Firewall ACLFirewall ACLs 행동 개시take action 데이터 유출data breach 허위 데이터 전송Sending false data

표 1을 참조하면, 이메일이나 크롤링과 관련한 공격 패킷이 검출되면, 분석 모듈(125)은 해당 단계를 정찰 단계로 판단하고, 정찰 단계에 매핑된 대응 방안으로서, 방화벽 필터링을 네트워크 보안 지원 장치(100) 또는 컴퓨팅 장치(53)에 제안하거나, 방화벽 필터링을 자동 수행할 수 있다. 악성코드 생성을 위한 공격 패킷이 검출되면, 분석 모듈(125)은 해당 단계를 무기화 단계로 판단하고, 무기화 단계에 매핑된 대응 방안으로서, IDS/IPS 필터링을 네트워크 보안 지원 장치(100) 또는 컴퓨팅 장치(53)에 제안하거나, 방화벽 필터링을 자동 수행할 수 있다. Drive by download에 대응하는 공격 패킷이 검출되면, 분석 모듈(125)은 해당 단계를 전달 단계로 판단하고, 전달 단계에 매핑된 대응 방안으로서, Proxy 필터링을 네트워크 보안 지원 장치(100) 또는 컴퓨팅 장치(53)에 제안하거나, 방화벽 필터링을 자동 수행할 수 있다. 사이버 무기 작동과 관련한 공격 패킷이 검출되면, 분석 모듈(125)은 해당 단계를 익스플로잇 단계로 판단하고, 익스플로잇 단계에 매핑된 대응 방안으로서, 안티바이러스 적용을 네트워크 보안 지원 장치(100) 또는 컴퓨팅 장치(53)에 제안하거나, 방화벽 필터링을 자동 수행할 수 있다. Trojan 설치와 관련한 공격 패킷이 검출되면, 분석 모듈(125)은 해당 단계를 설치 단계로 판단하고, 설치 단계에 매핑된 대응 방안으로서, Secure OS 작동을 네트워크 보안 지원 장치(100) 또는 컴퓨팅 장치(53)에 제안하거나, 방화벽 필터링을 자동 수행할 수 있다. 시스템 권한 획득을 위한 공격 패킷이 검출되면, 분석 모듈(125)은 해당 단계를 C&C 단계로 판단하고, C&C 단계에 매핑된 대응 방안으로서, Firewall ACL 작동을 네트워크 보안 지원 장치(100) 또는 컴퓨팅 장치(53)에 제안하거나, 방화벽 필터링을 자동 수행할 수 있다. 데이터 유출이 검출되면, 분석 모듈(125)은 해당 단계를 행동 개시 단계로 판단하고, 행동 개시 단계에 매핑된 대응 방안으로서, 허위 데이터 전송을 네트워크 보안 지원 장치(100) 또는 컴퓨팅 장치(53)에 제안하거나, 방화벽 필터링을 자동 수행할 수 있다. Referring to Table 1, when an attack packet related to email or crawling is detected, the analysis module 125 determines the corresponding stage to be a reconnaissance stage, and as a response plan mapped to the reconnaissance stage, firewall filtering is used by the network security support device (100). ) or suggested to the computing device 53, or firewall filtering can be performed automatically. When an attack packet for malicious code creation is detected, the analysis module 125 determines the corresponding step to be a weaponization step, and as a response plan mapped to the weaponization step, IDS/IPS filtering is performed by the network security support device 100 or a computing device. As suggested in (53), firewall filtering can be performed automatically. When an attack packet corresponding to Drive by download is detected, the analysis module 125 determines the corresponding stage as a delivery stage, and as a response plan mapped to the delivery stage, proxy filtering is performed by the network security support device 100 or the computing device ( 53), or firewall filtering can be performed automatically. When an attack packet related to the operation of a cyber weapon is detected, the analysis module 125 determines the corresponding stage as an exploit stage, and as a response plan mapped to the exploit stage, anti-virus application is applied to the network security support device 100 or the computing device ( 53), or firewall filtering can be performed automatically. When an attack packet related to Trojan installation is detected, the analysis module 125 determines that the step is an installation step, and as a response plan mapped to the installation step, Secure OS operation is performed by the network security support device 100 or the computing device 53. ), or firewall filtering can be performed automatically. When an attack packet for obtaining system permissions is detected, the analysis module 125 determines that the step is a C&C step, and as a response plan mapped to the C&C step, firewall ACL operation is performed by the network security support device 100 or computing device ( 53), or firewall filtering can be performed automatically. When a data leak is detected, the analysis module 125 determines the corresponding stage as an action initiation stage and, as a response plan mapped to the action initiation stage, transmits false data to the network security support device 100 or the computing device 53. You can make suggestions or automatically perform firewall filtering.

한편, 위에 제시한 공격 방법에 대한 단계 분석 및 대응 방안은 한 예로서, 개선된 보안 지원 장치(120) 관리자 또는 설계자의 정책 변경이나 컴퓨팅 장치(53) 요청에 따라, 새로운 공격 방법과 단계 및 대응 방안이 추가되거나, 이전 등록된 공격 방법과 단계 및 대응 방안이 변경 또는 삭제될 수 있다. Meanwhile, the step analysis and response plan for the attack method presented above is an example, and according to the policy change of the improved security support device 120 manager or designer or the request of the computing device 53, new attack method, steps, and response Methods may be added, or previously registered attack methods, steps, and response plans may be changed or deleted.

상기 분석 모듈(125)은 상술한 공격 방법에 따른 공격 단계 분석과 관련하여, 패킷 검사 엔진(121)의 검사 결과에 대한 사이버 킬체인 분석을 수행할 수 있다. 이때, 분석 모듈(125)은 저장부(130)의 데이터베이스에 저장된 과거 데이터를 가져오고, 현재 업데이트된 NIDPS 보안 룰과 킬체인 룰을 적용하여 과거 공격 시도를 분석할 수 있다. The analysis module 125 may perform cyber kill chain analysis on the inspection results of the packet inspection engine 121 in relation to the attack stage analysis according to the above-described attack method. At this time, the analysis module 125 can retrieve past data stored in the database of the storage unit 130 and analyze past attack attempts by applying the currently updated NIDPS security rules and kill chain rules.

상기 분석 결과 처리 모듈(127)은 분석 모듈(125) 결과에 따른 리포팅을 위한 패킷 보안 메시지 생성 및 생성된 패킷 보안 메시지의 전달을 처리할 수 있다. 이와 관련하여, 분석 결과 처리 모듈(127)은 보안 메시지 생성 모듈 및 리포트 모듈을 포함할 수 있다. 상기 패킷 보안 메시지는 여러 가지 정보를 가질 수 있지만, 다음 표 2와 같은 정보를 포함할 수 있다.The analysis result processing module 127 may process the generation of a packet security message for reporting according to the results of the analysis module 125 and delivery of the generated packet security message. In this regard, the analysis result processing module 127 may include a security message generation module and a report module. The packet security message may have various types of information, but may include information as shown in Table 2 below.

TimestampTimestamp 출발지IPOrigin IP 목적지IPDestination IP 공격 메시지attack message 대응 방법How to respond ......

표 2를 참조하면, 상기 패킷 보안 메시지는, 공격 패킷으로 간주되는 패킷 수신 시간에 해당하는 Timestamp, 해당 패킷의 출발지 IP와 목적지 IP, 공격 패킷의 용도에 해당하는 공격 메시지, 공격 방식에 따른 대응 방법을 적어도 포함할 수 있다. 추가적으로, 패킷 보안 메시지의 기입 항목은 추가, 삭제 또는 변경될 수 있다. Referring to Table 2, the packet security message includes a Timestamp corresponding to the reception time of the packet considered to be an attack packet, the source IP and destination IP of the packet, an attack message corresponding to the purpose of the attack packet, and a response method according to the attack method. It can include at least. Additionally, entry items in the packet security message may be added, deleted, or changed.

한편, 상기 분석 결과 처리 모듈(127)은 패킷 보안 메시지가 생성되면, 지정된 관리자 장치에 상기 패킷 보안 메시지를 리포트할 수 있다. 상기 관리자 장치는 예컨대, 네트워크 보안 지원 장치(100)를 관리하는 관리자의 전자 장치 또는 상기 공격 패킷이 타겟으로 하는 컴퓨팅 장치(53) 관리자의 전자 장치, 또는 상기 공격 패킷의 검출과 대응 방안에 대한 리포트를 요구한 관리자의 전자 장치로 전송할 수 있다. 이와 관련하여, 분석 결과 처리 모듈(127)은 상기 패킷 보안 메시지를 수신한 관리자 장치의 연결 정보를 저장 관리할 수 있다. Meanwhile, when the analysis result processing module 127 generates a packet security message, it can report the packet security message to a designated manager device. The manager device is, for example, the electronic device of the manager who manages the network security support device 100, the electronic device of the manager of the computing device 53 targeted by the attack packet, or reports on detection and response methods of the attack packet. It can be transmitted to the electronic device of the administrator who requested it. In this regard, the analysis result processing module 127 may store and manage connection information of the manager device that received the packet security message.

한편, 상기 분석 결과 처리 모듈(127)은 패킷 보안 메시지 생성과 관련하여 적응적 대응 처리(예: 모든 공격 단계들 중 적어도 일부 공격 단계들에 대한 리포트 수행)를 수행할 수 있다. 예컨대, 분석 결과 처리 모듈(127)은 설정 또는 정책에 따라 특정 공격 단계 이상(예: 설치 단계 이상)에 대해서만 패킷 보안 메시지를 생성하여 리포트할 수 있다. 상기 분석 결과 처리 모듈(127)은 설치 단계 미만의 공격 단계들에 대해서는 자동으로 공격 대응을 수행하고, 공격 단계 및 그에 따른 대응 처리 결과만을 관리자 장치에 리포트할 수 있다. Meanwhile, the analysis result processing module 127 may perform adaptive response processing (e.g., perform a report on at least some attack steps among all attack steps) in relation to packet security message generation. For example, the analysis result processing module 127 may generate and report a packet security message only for a specific attack stage or higher (e.g., installation stage or higher) according to settings or policies. The analysis result processing module 127 can automatically perform an attack response to attack stages below the installation stage and report only the attack stage and corresponding response processing results to the manager device.

도 3은 본 발명의 실시 예에 따른 네트워크 보안 지원 장치의 기간 내 시계열 분석 방법의 한 예를 나타낸 도면이다.Figure 3 is a diagram showing an example of a time series analysis method within a period of a network security support device according to an embodiment of the present invention.

도 3을 참조하면, 본 발명의 실시 예에 따른 네트워크 보안 지원 방법은, 네트워크 보안 지원 장치(100)가 301 단계에서, 검사를 수행할 패킷 리스트를 수집할 수 있다. 이와 관련하여, 네트워크 보안 지원 장치(100)는 특정 네트워크(50)에 접속하여, 해당 네트워크(50)를 통해 전달되는 패킷들에 대한 감시를 수행할 수 있다. 이 과정에서, 네트워크 보안 지원 장치(100)는 관리자의 설정에 따라, 지정된 기간 또는 특정 이벤트 발생 시 해당 네트워크(50)에 대한 패킷 모니터링 및 패킷 리스트 수집을 수행할 수 있다. Referring to FIG. 3, in the network security support method according to an embodiment of the present invention, the network security support device 100 may collect a list of packets to be inspected in step 301. In this regard, the network security support device 100 may connect to a specific network 50 and monitor packets transmitted through the network 50. In this process, the network security support device 100 may perform packet monitoring and packet list collection for the network 50 during a specified period or when a specific event occurs, according to the administrator's settings.

303 단계에서, 네트워크 보안 지원 장치(100)는 킬체인 룰 데이터를 수집할 수 있다. 상기 킬체인 루 데이터는 패킷 검사 결과에 대한 공격 단계 분석을 프로세스 단위로 처리하기 위한 것으로, 다른 분석 모델로 대체될 수도 있다. In step 303, the network security support device 100 may collect kill chain rule data. The kill chain root data is used to process attack stage analysis of packet inspection results on a process-by-process basis, and may be replaced with another analysis model.

305 단계에서, 네트워크 보안 지원 장치(100)의 패킷 검사 엔진(121)은 검사를 진행하는 패킷이 NIDPS 보안 룰을 위반한 패킷인지 확인할 수 있다. 상기 패킷 검사 엔진(121)은 상기 NIDPS 보안 룰 위반 여부에 대한 결과 및 패킷 관련 정보를 저장부(130)의 데이터베이스에 저장하는 한편, 패킷 검사 결과 및 해당 패킷을 분석 모듈(125)에 전달할 수 있다. In step 305, the packet inspection engine 121 of the network security support device 100 may check whether the packet being inspected violates the NIDPS security rule. The packet inspection engine 121 stores the results of violations of the NIDPS security rules and packet-related information in the database of the storage unit 130, while transmitting the packet inspection results and the corresponding packet to the analysis module 125. .

305 단계에서, 검사 중인 패킷이 NIDPS 보안 룰을 위반한 패킷인 경우, 네트워크 보안 지원 장치(100)의 분석 모듈(125)은 307 단계에서 공격 단계 분석을 수행할 수 있다. 이 과정에서, 분석 모듈(125)은 킬체인 분석 모델을 이용할 수 있다. In step 305, if the packet being inspected is a packet that violates the NIDPS security rule, the analysis module 125 of the network security support device 100 may perform attack stage analysis in step 307. In this process, the analysis module 125 may use a kill chain analysis model.

309 단계에서, 네트워크 보안 지원 장치(100)는 공격 단계 분석 결과가, 킬체인 룰에 등록된 공격 패턴 중 어떠한 공격 패턴에 해당하는지 확인할 수 있다. 킬체인 룰은 앞서 설명한 바와 같이, 단계별로 공격 방법과 대응 방안에 대한 데이터를 적용한 룰이다. 공격 방법은 NIDPS 엔진의 결과 검사와 매칭될 수 있다. In step 309, the network security support device 100 may check which attack pattern among the attack patterns registered in the kill chain rule corresponds to the attack stage analysis result. As explained earlier, the kill chain rule is a rule that applies data on attack methods and response measures in each step. The attack method can be matched with the result inspection of the NIDPS engine.

공격 단계 분석 결과가 킬체인 룰에 등록된 특정 공격 패턴에 해당하는 경우, 311 단계에서, 네트워크 보안 지원 장치(100)는 킬체인 룰에 등록된 공격 패턴에 매핑되는 대응 방안을 탐색할 수 있다.If the attack stage analysis result corresponds to a specific attack pattern registered in the kill chain rule, in step 311, the network security support device 100 may search for a response plan mapped to the attack pattern registered in the kill chain rule.

309 단계에서, 네트워크 보안 지원 장치(100)는 공격 단계 분석 결과가 킬체인 룰에 등록되지 않은 공격 패턴인 경우 313 단계에서 에러 처리를 결정할 수 있다. 상기 에러 처리 내용은 공격 단계 분석 결과가 분석 모델에 포함되지 않은 항목임을 나타내는 정보를 포함할 수 있다. 한편, 305 단계에서, 네트워크 보안 지원 장치(100)는 수집된 패킷이 NIDPS 보안 룰을 위반한 패킷이 아닌 경우, 예컨대 일반 패킷인 경우, 이하 과정 예컨대 307 단계 내지 313 단계를 스킵할 수 있다.In step 309, the network security support device 100 may determine error processing in step 313 if the attack stage analysis result is an attack pattern that is not registered in the kill chain rule. The error processing content may include information indicating that the attack stage analysis result is an item not included in the analysis model. Meanwhile, in step 305, if the collected packet is not a packet that violates the NIDPS security rule, for example, if it is a normal packet, the network security support device 100 may skip the following steps, for example, steps 307 to 313.

다음으로, 네트워크 보안 지원 장치(100)는 315 단계에서 패킷 보안 메시지를 생성할 수 있다. 상기 패킷 보안 메시지는 공격 단계 분석 결과, 공격 단계에 따른 대응 방안(또는 방법), 시간 정보(Timestamp), 패킷의 출발지와 목적지 주소 정보(IP 주소) 등을 포함할 수 있다. 또는, 상기 패킷 보안 메시지는, 공격에 대한 대응 처리를 자동으로 수행하도록 설정된 경우, 공격 단계 분석에 따라 네트워크 보안 지원 장치(100)가 수행한 공격 대응 처리 결과를 포함할 수도 있다.Next, the network security support device 100 may generate a packet security message in step 315. The packet security message may include a result of attack stage analysis, a response plan (or method) according to the attack stage, time information (Timestamp), packet source and destination address information (IP address), etc. Alternatively, when the packet security message is set to automatically perform response processing to attacks, it may include the result of attack response processing performed by the network security support device 100 according to attack stage analysis.

네트워크 보안 지원 장치(100)는 317 단계에서 현재 검사된 패킷은 마지막 패킷인지 확인할 수 있다. 마지막 패킷이면, 네트워크 보안 지원 장치(100)는 네트워크 보안 지원 기능을 종료할 수 있다. 현재 검사된 패킷이 마지막 패킷이 아니면, 네트워크 보안 지원 장치(100)는 305 단계 이전으로 분기하여 이하 과정을 재수행할 수 있다. In step 317, the network security support device 100 may check whether the currently inspected packet is the last packet. If it is the last packet, the network security support device 100 may terminate the network security support function. If the currently inspected packet is not the last packet, the network security support device 100 may branch to step 305 and re-perform the following process.

상술한 바와 같이, 본 발명의 실시 예에 따른 네트워크 보안 지원 방법에 따르면, 본 발명은 특정 컴퓨팅 장치(53)를 공격하는 공격 패킷에 대한 검사 결과에 대해, 프로세스 단위로 위협 요소를 정의하여, 단순히 공격 패킷이 존재하는지 여부 확인을 벗어나, 위협 단계에 대한 인식 및 그에 따른 적응적 처리를 지원할 수 있다. 또한, 상기 네트워크 보안 지원 방법은 현재 검사 중인 공격 패킷에 대한 분석을 수행하는 과정에서, 이전 저장부(130)의 데이터베이스에 저장된 공격 패킷에 대한 분석 결과를 참조함으로써, 현재 시점에서의 공격 패킷 분석 결과에 대한 시계열적 분석을 수행할 수 있다. 즉, 본 발명은 공격의 진행 상황을 판단할 수 있도록 함으로써, 보다 적극적인 진행 상태 확인 및 추정을 통해, 사이버 공격에 대한 동적 대응을 수행할 시간을 확보할 수 있도록 지원한다. As described above, according to the network security support method according to an embodiment of the present invention, the present invention defines threat elements on a process basis for the inspection results of attack packets attacking a specific computing device 53, and simply Beyond checking whether an attack packet exists, it can support recognition of the threat stage and adaptive processing accordingly. In addition, the network security support method refers to the analysis result of the attack packet stored in the database of the previous storage unit 130 in the process of analyzing the attack packet currently being inspected, thereby providing the result of the attack packet analysis at the current time. Time series analysis can be performed. In other words, the present invention supports the ability to determine the progress of an attack, thereby securing time to perform a dynamic response to a cyber attack through more active progress confirmation and estimation.

한편, 본 명세서와 도면에 개시된 실시 예들은 이해를 돕기 위해 특정 예를 제시한 것에 지나지 않으며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형예들이 실시 가능하다는 것은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게는 자명한 것이다.Meanwhile, the embodiments disclosed in the specification and drawings are merely provided as specific examples to aid understanding, and are not intended to limit the scope of the present invention. It is obvious to those skilled in the art that in addition to the embodiments disclosed herein, other modifications based on the technical idea of the present invention can be implemented.

10: 네트워크 보안 지원 환경
50: 네트워크
51: 공격자 장치
53: 컴퓨팅 장치
100: 네트워크 보안 지원 장치
110: 통신 인터페이스
120: 개선된 보안 지원 장치
130: 저장부10: Network security support environment
50: network
51: Attacker device
53: computing device
100: Network security support device
110: communication interface
120: Improved security support device
130: storage unit

Claims (10)

네트워크에 접속되어 통신 채널을 형성하는 통신 인터페이스;
상기 통신 인터페이스를 통해 수신되는 적어도 일부 패킷을 저장하는 저장부;
상기 통신 인터페이스 및 상기 저장부와 기능적으로 연결된 개선된 보안 지원 장치를 포함하고,
상기 개선된 보안 지원 장치는
상기 통신 인터페이스가 수신하는 패킷의 적어도 일부를 포함하는 패킷 리스트를 수집하고, 패킷 리스트에 포함된 패킷들이 NIDPS(Network Intrusion Detection and Prevention System) 보안 룰을 위반하는지 여부에 따라 공격 패킷 여부를 결정하는 패킷 검사 엔진;
상기 패킷들 중 보안 룰을 위반한 공격 패킷에 대해 프로세스 단위로 위협 요소를 평가하여, 킬체인 룰에 따라 상기 공격 패킷에 대한 공격 단계를 결정하는 분석 모듈;
상기 평가 결과에 따른 패킷 보안 메시지를 생성하여 보고하는 분석 결과 처리 모듈;을 포함하고,
상기 분석 결과 처리 모듈은,
설정 또는 정책에 따라 특정 공격 단계 이상에 대해서 상기 패킷 보안 메시지를 생성하여 관리자 장치에 전송하도록 설정되고,
상기 킬체인 룰에 따른 설치 단계 미만의 공격 단계들에 대해서는 자동으로 공격 대응을 수행하고, 상기 공격 대응 처리 결과만을 상기 관리자 장치에 리포트 하도록 설정되고,
상기 패킷 검사 엔진은,
상기 통신 인터페이스가 수신하는 패킷의 양이 일정량 이상인 경우 상기 패킷 리스트를 수집하고, 상기 수신하는 패킷 양이 지정된 량 이하인 경우 패킷 리스트 수집을 중지하도록 설정된 것을 특징으로 하는 네트워크 보안 지원 장치.
a communication interface connected to a network to form a communication channel;
a storage unit that stores at least some packets received through the communication interface;
Comprising an improved security support device functionally connected to the communication interface and the storage unit,
The improved security support device is
A packet that collects a packet list containing at least part of the packets received by the communication interface and determines whether the packet is an attack packet based on whether the packets included in the packet list violate NIDPS (Network Intrusion Detection and Prevention System) security rules. inspection engine;
An analysis module that evaluates threat elements on a process-by-process basis for attack packets that violate security rules among the packets, and determines an attack stage for the attack packets according to kill chain rules;
It includes an analysis result processing module that generates and reports a packet security message according to the evaluation result,
The analysis result processing module is,
It is set to generate the packet security message for a specific attack level or higher according to the settings or policy and transmit it to the administrator device,
It is set to automatically perform attack response to attack stages below the installation stage according to the kill chain rule and report only the result of the attack response processing to the manager device,
The packet inspection engine,
A network security support device, characterized in that the communication interface is set to collect the packet list when the amount of packets received is more than a certain amount, and to stop collecting the packet list when the amount of packets received is less than a specified amount.
 삭제delete 삭제delete 제1항에 있어서,
상기 분석 모듈은
상기 저장부에 저장된 이전 공격 패킷의 공격 단계를 참조하여 현재 수집된 공격 패킷에 대한 공격 단계를 시계열적으로 분석하는 것을 특징으로 하는 네트워크 보안 지원 장치.
According to paragraph 1,
The analysis module is
A network security support device characterized in that the attack stage of the currently collected attack packet is analyzed in time series with reference to the attack stage of the previous attack packet stored in the storage unit.
 제1항에 있어서,
상기 분석 결과 처리 모듈은
상기 공격 패킷이 수신된 시점 정보, 상기 공격 패킷의 출발지 및 목적지 정보, 상기 공격 단계에 대응하는 사전 정의된 대응 방안을 포함하는 상기 패킷 보안 메시지를 생성하는 것을 특징으로 하는 네트워크 보안 지원 장치.
According to paragraph 1,
The analysis result processing module is
A network security support device, characterized in that generating the packet security message including information on when the attack packet was received, source and destination information of the attack packet, and a predefined response plan corresponding to the attack stage.
 제5항에 있어서,
상기 분석 결과 처리 모듈은
상기 대응 방안에 따른 공격 대응 처리를 수행하고, 상기 공격 대응 처리에 대한 결과를 상기 패킷 보안 메시지에 포함시키는 것을 특징으로 하는 네트워크 보안 지원 장치.
According to clause 5,
The analysis result processing module is
A network security support device that performs attack response processing according to the response method and includes a result of the attack response processing in the packet security message.
 네트워크를 서버 장치에 전송되는 적어도 일부 패킷을 포함하는 패킷 리스트를 수집하는 단계;
상기 패킷 리스트에 포함된 패킷이 NIDPS(Network Intrusion Detection and Prevention System) 보안 룰을 위반한 공격 패킷인지 여부를 검사하는 단계;
상기 공격 패킷이 검출되면, 상기 검출된 공격 패킷에 대해 프로세스 단위로 위협 요소를 평가하는 킬체인 룰을 적용하는 단계;
상기 킬체인 룰 적용에 따른 공격 단계에 대한 정보를 적어도 포함하는 패킷 보안 메시지를 생성하는 단계;
상기 생성된 패킷 보안 메시지를 지정된 관리자 장치에 전송하는 단계;를 포함하고,
상기 패킷 보안 메시지를 생성하는 단계는
설정 또는 정책에 따라 특정 공격 단계 이상에 대해서 상기 패킷 보안 메시지를 생성하는 단계;
상기 킬체인 룰에 따른 설치 단계 미만의 공격 단계들에 대해서는 자동으로 공격 대응을 수행하고, 상기 공격 대응 처리 결과만을 상기 관리자 장치에 리포트 하는 단계;를 포함하고,
상기 수집하는 단계는,
통신 인터페이스가 수신하는 패킷의 양이 일정량 이상인 경우 상기 패킷 리스트를 수집하고, 상기 수신하는 패킷 양이 지정된 량 이하인 경우 패킷 리스트 수집을 중지하는 단계;를 포함하는 특징으로 하는 네트워크 보안 지원 방법.
collecting a packet list containing at least some packets transmitted over the network to a server device;
examining whether a packet included in the packet list is an attack packet that violates NIDPS (Network Intrusion Detection and Prevention System) security rules;
When the attack packet is detected, applying a kill chain rule that evaluates threat elements on a process-by-process basis to the detected attack packet;
generating a packet security message containing at least information about an attack stage according to application of the kill chain rule;
A step of transmitting the generated packet security message to a designated administrator device,
The step of generating the packet security message is
Generating the packet security message for a specific attack level or higher according to settings or policies;
Automatically performing an attack response to attack stages below the installation stage according to the kill chain rule, and reporting only the result of the attack response processing to the manager device,
The collecting step is,
A network security support method comprising: collecting the packet list when the amount of packets received by the communication interface is greater than a certain amount, and stopping collection of the packet list when the amount of packets received is less than a specified amount.
 제7항에 있어서,
상기 킬체인 룰을 적용하는 단계는
저장부에 저장된 이전 공격 패킷의 공격 단계를 참조하여 현재 수집된 공격 패킷에 대한 공격 단계를 시계열적으로 분석하는 단계;를 포함하는 것을 특징으로 하는 네트워크 보안 지원 방법.
In clause 7,
The step of applying the kill chain rule is
A network security support method comprising: analyzing the attack stages of the currently collected attack packet in time series with reference to the attack stages of previous attack packets stored in the storage unit.
 제7항에 있어서,
상기 패킷 보안 메시지를 생성하는 단계는
상기 공격 패킷이 수신된 시점 정보, 상기 공격 패킷의 출발지 및 목적지 정보, 상기 공격 단계에 대응하는 사전 정의된 대응 방안을 포함하는 상기 패킷 보안 메시지를 생성하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 지원 방법.
In clause 7,
The step of generating the packet security message is
Network security support, comprising the step of generating the packet security message including information on when the attack packet was received, source and destination information of the attack packet, and a predefined response plan corresponding to the attack stage. method.
 제9항에 있어서,
상기 패킷 보안 메시지를 생성하는 단계는
상기 대응 방안에 따른 공격 대응 처리를 수행하고, 상기 공격 대응 처리에 대한 결과를 상기 패킷 보안 메시지에 포함시키는 단계;를 더 포함하는 것을 특징으로 하는 네트워크 보안 지원 방법.According to clause 9,
The step of generating the packet security message is
A network security support method further comprising: performing attack response processing according to the response method and including a result of the attack response processing in the packet security message.
KR1020210115340A 2021-08-31 2021-08-31 Supporting Method of Network Security and device using the same KR102616603B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210115340A KR102616603B1 (en) 2021-08-31 2021-08-31 Supporting Method of Network Security and device using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210115340A KR102616603B1 (en) 2021-08-31 2021-08-31 Supporting Method of Network Security and device using the same

Publications (2)

Publication Number Publication Date
KR20230032463A KR20230032463A (en) 2023-03-07
KR102616603B1 true KR102616603B1 (en) 2023-12-21

Family

ID=85512876

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210115340A KR102616603B1 (en) 2021-08-31 2021-08-31 Supporting Method of Network Security and device using the same

Country Status (1)

Country Link
KR (1) KR102616603B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160308898A1 (en) * 2015-04-20 2016-10-20 Phirelight Security Solutions Inc. Systems and methods for tracking, analyzing and mitigating security threats in networks via a network traffic analysis platform
JP2019219898A (en) * 2018-06-20 2019-12-26 三菱電機株式会社 Security countermeasures investigation tool

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101308085B1 (en) * 2012-01-26 2013-09-12 주식회사 시큐아이 Intrusion prevention system using correlation attack pattern and method thereof

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160308898A1 (en) * 2015-04-20 2016-10-20 Phirelight Security Solutions Inc. Systems and methods for tracking, analyzing and mitigating security threats in networks via a network traffic analysis platform
JP2019219898A (en) * 2018-06-20 2019-12-26 三菱電機株式会社 Security countermeasures investigation tool

Also Published As

Publication number Publication date
KR20230032463A (en) 2023-03-07

Similar Documents

Publication Publication Date Title
RU2622870C2 (en) System and method for evaluating malicious websites
US9401924B2 (en) Monitoring operational activities in networks and detecting potential network intrusions and misuses
US8375120B2 (en) Domain name system security network
US20160241574A1 (en) Systems and methods for determining trustworthiness of the signaling and data exchange between network systems
CN111245793A (en) Method and device for analyzing abnormity of network data
US11636208B2 (en) Generating models for performing inline malware detection
US11374946B2 (en) Inline malware detection
CA2966605A1 (en) Identifying a potential ddos attack using statistical analysis
CN113992386A (en) Method and device for evaluating defense ability, storage medium and electronic equipment
CN112787985B (en) Vulnerability processing method, management equipment and gateway equipment
KR101271449B1 (en) Method, server, and recording medium for providing service for malicious traffic contol and information leak observation based on network address translation of domain name system
CN117544335A (en) Bait activation method, device, equipment and storage medium
KR102616603B1 (en) Supporting Method of Network Security and device using the same
US12047397B2 (en) Scored threat signature analysis
US12107872B2 (en) Deep learning pipeline to detect malicious command and control traffic
US20220245249A1 (en) Specific file detection baked into machine learning pipelines
CN112202821B (en) Identification defense system and method for CC attack
KR102377784B1 (en) Network security system that provides security optimization function of internal network
EP3999985A1 (en) Inline malware detection
Lu et al. An adaptive real-time intrusion detection system using sequences of system call
US12107826B2 (en) Cobalt Strike Beacon HTTP C2 heuristic detection
US20240039952A1 (en) Cobalt strike beacon https c2 heuristic detection
US20240039951A1 (en) Probing for cobalt strike teamserver detection
US20230082289A1 (en) Automated fuzzy hash based signature collecting system for malware detection
Lejonqvist et al. Improving the precision of an intrusion detection system using indicators of compromise:-a proof of concept

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant