[go: up one dir, main page]

KR102239759B1 - Method of detecting unknown threats using correlation of external threat intelligence with the packet information detected by IDSP for internal networks - Google Patents

Method of detecting unknown threats using correlation of external threat intelligence with the packet information detected by IDSP for internal networks Download PDF

Info

Publication number
KR102239759B1
KR102239759B1 KR1020190150245A KR20190150245A KR102239759B1 KR 102239759 B1 KR102239759 B1 KR 102239759B1 KR 1020190150245 A KR1020190150245 A KR 1020190150245A KR 20190150245 A KR20190150245 A KR 20190150245A KR 102239759 B1 KR102239759 B1 KR 102239759B1
Authority
KR
South Korea
Prior art keywords
yara
idps
threat
ioc
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
KR1020190150245A
Other languages
Korean (ko)
Inventor
강병완
박석영
Original Assignee
(주)피즐리소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)피즐리소프트 filed Critical (주)피즐리소프트
Priority to KR1020190150245A priority Critical patent/KR102239759B1/en
Application granted granted Critical
Publication of KR102239759B1 publication Critical patent/KR102239759B1/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention can detect threats unknown to an internal intrusion detection and prevention system by generating threat data using together event of internal intrusion detection and prevention system and information from external threat intelligence, thereby substantially improving the security of a network. The method comprises a step of parsing the event of the internal threat detection and prevention system, generating detection rule ID, and generating IDPS event data including detection rule ID and IDPS packet data identified by detection rule ID.

Description

내부 침입탐지 및 방지 시스템의 이벤트를 외부 위협 인텔리전스를 이용하여 분석하는 내부에 알려지지 않은 위협의 탐지방법{Method of detecting unknown threats using correlation of external threat intelligence with the packet information detected by IDSP for internal networks}{Method of detecting unknown threats using correlation of external threat intelligence with the packet information detected by IDSP for internal networks}

본 발명은 컴퓨터 네트워크의 보안에 관한 것으로서, 특히 알려지지 않은 네트워크에 대한 위협을 탐지할 수 있는 방법에 관한 것이다. The present invention relates to the security of computer networks, and in particular to a method for detecting threats to unknown networks.

4차 산업혁명을 맞이하여 컴퓨터 네트워크의 중요성은 더욱 더 높아지고 있다. 사람들은 손쉽게 데스크톱, 노트북, 테블릿, 또는 스마트폰을 이용하여 인터넷이나 인트라넷 등의 네트워크에 접속하여 정보를 얻거나 제공한다. In the face of the 4th industrial revolution, the importance of computer networks is increasing more and more. People easily use desktops, laptops, tablets, or smartphones to access networks such as the Internet or intranet to obtain or provide information.

인터넷이나 인트라넷 같은 네트워크는 사회 문화 경제 등 다양한 분야에서 인프라로 폭 넓게 이용되고 있으나, 반대로 인터넷의 보안 취약점으로 인해 사이버 문화의 마비와 온라인 신뢰 기반의 저하 등 새로운 사회 혼란 요인을 야기시키고 있다 Networks such as the Internet and Intranet are widely used as infrastructure in various fields such as socio-cultural economy, but on the contrary, the security vulnerability of the Internet causes new social confusion factors such as paralysis of cyber culture and deterioration of the online trust base

악의적인 사용자에 의한 위협을 방지하기 위하여 여러가지 기술들이 개발되고 있다. 그 중 하나는 내부 보안 솔루션인 내부 침입탐지/방지시스템(IDPS: Intrusion Detection/Prevention System)이다. 내부 침입탐지/방지시스템은 이미 정해져있는 규칙(Rule)을 기반으로 위협을 탐지 및 차단한다. 다른 하나는 외부 위협 인텔리전스(external Threat intelligence)이다. 외부 위협 인텔리전스란 다양한 출처로부터의 위협 정보를 취합하여 공유 및 제공하는 서비스를 의미한다. 즉, 조직 내부의 인력 또는 시스템에서 발생한 것이 아닌 외부에서 발생하는 사이버 위협에 관한 정보(IP, URL, Domain, Hash, YARA)를 제공받아 그 위협에 대응하는 것을 말한다. Various technologies are being developed to prevent threats by malicious users. One of them is the Intrusion Detection/Prevention System (IDPS), an internal security solution. The internal intrusion detection/prevention system detects and blocks threats based on already established rules. The other is external threat intelligence. External threat intelligence refers to a service that collects, shares, and provides threat information from various sources. In other words, it means responding to the threat by receiving information (IP, URL, Domain, Hash, YARA) about cyber threats that occur outside the organization, not from personnel or systems inside the organization.

내부 침입탐지/방지시스템과 외부 위협 인텔리전스를 함께 이용하는 것은 일견 매우 합리적이고 높은 보안성을 제공할 것처럼 보인다. 하지만 실제로는 외부 위협 인텔리전스에서 제공하는 사이버 위협에 관한 정보(IP, URL, Domain, Hash, YARA)와 내부 침입탐지/방지시스템의 이벤트를 단순히 매칭하는 것은 양자가 정확하게 일치하지 않는 경우가 많이 실질적으로 보안성 향상에 기여하는바가 없다. Using an internal intrusion detection/prevention system and external threat intelligence together seems to provide very reasonable and high security at a glance. However, in reality, simply matching the cyber threat information (IP, URL, Domain, Hash, YARA) provided by the external threat intelligence with the events of the internal intrusion detection/prevention system is often not exactly the same. There is no contribution to security improvement.

본 발명의 발명자들은 이러한 문제점에 대해 깊이 고민한 끝에 내부 침입탐지/방지시스템 및 외부 위협 인텔리전스를 함께 이용함으로써 보안성이 향상된 알려지지 않는 위협의 탐지 장치 및 방법에 관한 본 발명을 완성하기에 이르렀다. The inventors of the present invention came to complete the present invention regarding an apparatus and method for detecting an unknown threat with improved security by using both an internal intrusion detection/prevention system and an external threat intelligence after deep consideration of this problem.

침입탐지/방지시스템의 이벤트와 외부 위협 인텔리전스의 정보를 단순히 매칭하는 것은 양자가 정확하게 일치하지 않는 경우가 많아 실질적으로 보안성 향상에 기여하는 바가 없다. 따라서 본 발명의 목적은 내부 침입탐지/방지시스템의 이벤트의 패킷정보를 YARA 기반의 외부 위협 인텔리전스의 정보에 포함된 야라 시그니처를 이용하여 YARA 탐지엔진으로 분석함으로써 실질적으로 보안성을 향상시킬 수 있는 방법을 제공하는 것에 있다. The simple matching of the event of the intrusion detection/prevention system and the information of the external threat intelligence does not actually contribute to the improvement of security because the two do not match accurately. Accordingly, an object of the present invention is a method that can substantially improve security by analyzing packet information of an event of an internal intrusion detection/prevention system with a YARA detection engine using YARA signature included in information of external threat intelligence based on YARA. To provide.

한편, 본 발명의 명시되지 않은 또 다른 목적들은 하기의 상세한 설명 및 그 효과로부터 용이하게 추론할 수 있는 범위 내에서 추가적으로 고려될 것이다.Meanwhile, other objects that are not specified of the present invention will be additionally considered within a range that can be easily deduced from the detailed description and effects thereof below.

위와 같은 과제를 달성하기 위해 본 발명의 내부에 알려지지 않은 위협의 탐지방법은 내부 위협탐지 및 방지시스템(IDPS)과 외부 위협 인텔리전스를 이용하며, 구체적으로는 내부 위협탐지 및 방지시스템의 이벤트를 파싱하되, 탐지룰 ID를 생성하여 탐지를 ID를 포함하는 IDPS 이벤트데이터와 탐지룰 ID에 의해 식별되는 IDPS 패킷데이터를 생성하는 단계; 외부 위협 인텔리전스로부터 전송받은 외부 위협 인텔리전스를 파싱하여 YARA 시그니처를 구비하는 YARA IoC(Indicator of Compromise)를 포함하는 외부 위협 인텔리전스 IoC를 생성하는 단계; 및 위험성을 평가하는 단계;를 포함하고, 상기 위험성을 평가하는 단계는 YARA 탐지 엔진을 이용하여 IDPS 패킷데이터와 YARA 시그니처를 매칭하는 단계를 포함하여 수행되고, IDPS 패킷데이터와 YARA 시그니처의 매칭 결과가 파지티브(Positive)인 경우 위험도가 있는 것으로 결정하며 ,매칭된 IDPS 패킷데이터의 탐지룰 ID에 해당하는 IDPS 이벤트데이터와 매칭된 YARA 시그니처의 YARA IoC를 이용하여 위협 데이터를 생성한다.In order to achieve the above task, the detection method of an unknown threat inside the present invention uses an internal threat detection and prevention system (IDPS) and external threat intelligence, and specifically parses the events of the internal threat detection and prevention system. And generating a detection rule ID to generate IDPS event data including a detection ID and IDPS packet data identified by the detection rule ID; Parsing the external threat intelligence transmitted from the external threat intelligence and generating an external threat intelligence IoC including a YARA Indicator of Compromise (IoC) having a YARA signature; And evaluating the risk, wherein the step of evaluating the risk is performed including matching the IDPS packet data and the YARA signature using a YARA detection engine, and the matching result of the IDPS packet data and the YARA signature is In the case of positive, it is determined that there is a risk, and threat data is generated by using the YARA IoC of the YARA signature matched with the IDPS event data corresponding to the detection rule ID of the matched IDPS packet data.

일 실시예에 있어서, IDPS 이벤트데이터는 Remote IP 및 취약점표준코드(CVE) 심각성를 구비하여 생성되며, 외부 위협 인텔리전스 IoC는 IP IoC를 구비하여 생성되며, YARA IoC는 YARA 심각도를 더 구비하여 생성되고, 상기 위협 데이터에는 IDPS 이벤트데이터의 Remote IP 및 CVE 심각성에 관한 정보와 YARA IoC의 YARA 심각도에 관한 정보를 포함하고 있으며, 상기 위험성을 평가하는 단계는, (a) IDPS 패킷데이터와 YARA 시그니처를 매칭하는 단계; (b) 위협 데이터의 Remote IP와 IP IoC를 매칭하는 단계; (c) 위협 데이터의 YARA 심각도가 높음인지 확인하는 단계; 및 (d) 위협 데이터의 CVE 심각도가 높은인지 확인하는 단계;를 수행하고, 상기 (a) ~ (d) 단계에 파지티브(positive)인 단계가 많을수록 위험도가 높은 것으로 결정한다. In one embodiment, IDPS event data is generated with Remote IP and Vulnerability Standard Code (CVE) severity, external threat intelligence IoC is generated with IP IoC, and YARA IoC is generated with YARA severity further, The threat data includes information on remote IP and CVE severity of IDPS event data and information on YARA severity of YARA IoC, and the step of evaluating the risk includes: (a) matching IDPS packet data and YARA signature. step; (b) matching the remote IP and IP IoC of the threat data; (c) checking whether the YARA severity of the threat data is high; And (d) determining whether the threat data has a high CVE severity; and it is determined that the risk is higher as the number of positive steps in steps (a) to (d) increases.

일 실시예에 있어서, 상기 위험성을 평가하는 단계를 수행한 후 위험 데이터와 화이트리스트를 매칭하여, 상기 화이트리스트에 해당하는 위험 데이터는 위험도가 있는 것에서 제외한다. In an embodiment, after performing the step of evaluating the risk, the risk data and the white list are matched, and the risk data corresponding to the white list is excluded from those having a risk.

위와 같은 본 발명의 과제해결수단에 의해서 본 발명은 내부 침입탐지 및 방지시스템의 이벤트와 외부 위협 인텔리전스의 정보를 함께 이용하여 위협 데이터베이스를 생성함으로써 내부 침입탐지/방지시스템이 내부에 알려지지 않은 위협을 탐지할 수 있으며, 이에 따라 네트워크의 보안성이 실질적으로 향상된다.By using the problem solving means of the present invention as described above, the present invention creates a threat database by using the events of the internal intrusion detection and prevention system and information of external threat intelligence together, so that the internal intrusion detection/prevention system detects unknown threats inside It can, and accordingly, the security of the network is substantially improved.

또한, 생성된 위협 데이터베이스에서 화이트리스트와 관련된 위협데이터는 제거함으로써 보다 신뢰성 있게 네트워크의 보안성을 향상시킬 수 있다. In addition, by removing the threat data related to the white list from the created threat database, the security of the network can be improved more reliably.

한편, 여기에서 명시적으로 언급되지 않은 효과라 하더라도, 본 발명의 기술적 특징에 의해 기대되는 이하의 명세서에서 기재된 효과 및 그 잠정적인 효과는 본 발명의 명세서에 기재된 것과 같이 취급됨을 첨언한다.On the other hand, even if it is an effect not explicitly mentioned herein, it is added that the effect described in the following specification and its provisional effect expected by the technical features of the present invention are treated as described in the specification of the present invention.

도 1은 본 발명의 일 실시예에 따른 알려지 않은 위협의 탐지장치의 개략적인 구조도이다.
도 2는 본 발명의 다른 실시예에 따른 내부에 알려지지 않은 위협의 탐지방법의 개략적 흐름도이다.
첨부된 도면은 본 발명의 기술사상에 대한 이해를 위하여 참조로서 예시된 것임을 밝히며, 그것에 의해 본 발명의 권리범위가 제한되지는 아니한다.
1 is a schematic structural diagram of an unknown threat detection apparatus according to an embodiment of the present invention.
FIG. 2 is a schematic flowchart of a method for detecting an unknown threat within according to another embodiment of the present invention.
The accompanying drawings are exemplified by reference for an understanding of the technical idea of the present invention, and the scope of the present invention is not limited thereto.

본 발명을 설명함에 있어서 관련된 공지기능에 대하여 이 분야의 기술자에게 자명한 사항으로서 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 상세한 설명을 생략한다. In describing the present invention, when it is determined that the subject matter of the present invention may be unnecessarily obscured as matters that are apparent to those skilled in the art for related known functions, detailed descriptions will be omitted.

도 1은 본 발명의 일 실시예에 따른 알려지 않은 위협의 탐지장치(100)의 개략적인 구조도이다. 본 문서에서 내부에 알려지지 않은 위협이라 함은 네트워크의 내부 침입탐지/방지시스템(IDPS: Intrusion Detection/Prevention System)에 알려지지 않은 위협으로서, 내부 침입탐지/방지시스템만으로는 탐지 및 방지할 수 없는 위협을 의미한다. 1 is a schematic structural diagram of an unknown threat detection apparatus 100 according to an embodiment of the present invention. In this document, an unknown threat is a threat that is unknown to the network's internal intrusion detection/prevention system (IDPS: Intrusion Detection/Prevention System), which cannot be detected and prevented by the internal intrusion detection/prevention system alone. do.

본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 다양한 형태로 구현될 수 있다.The apparatus 100 for detecting an unknown threat inside according to an embodiment of the present invention may be implemented in various forms.

컴퓨터 기반의 장치를 이용하여 소프트웨어적으로 구현할 수도 있고, 전용의 하드웨어를 구성하여 구현할 수 잇다. 본 발명의 위협탐지장치(100)는 FPGA(Field Programmable Gate Array)를 이용하여 구현할 수 있다. FPGA는 프로그램가능한 반도체로 한번 제작하면 수정이 불가능한 주문형 반도체(Application Specific Integrated Circuit, ASIC)와 달린 사용자가 필요에 따라 설계한 하드웨어를 구현할 수 있는 특징이 있다. 논리소자에 의해 하드웨어 반도체로 구현하기 때문에 소프트웨어적인 구현보다 훨씬 속도가 빠른 장점이 있다. 한편, 본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 빅데이터 엔진을 기초로 제작될 수 있다. It can be implemented in software using a computer-based device, or it can be implemented by configuring dedicated hardware. The threat detection device 100 of the present invention can be implemented using a Field Programmable Gate Array (FPGA). FPGAs are programmable semiconductors, and have a feature that allows users to implement hardware designed as needed with application specific integrated circuits (ASICs) that cannot be modified once they are manufactured. Since it is implemented as a hardware semiconductor by a logic device, it has the advantage of being much faster than software implementation. Meanwhile, the apparatus 100 for detecting an unknown threat inside according to an embodiment of the present invention may be manufactured based on a big data engine.

본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 IDPS 파서(10), 외부 위협 인텔리전스 파서(20), 파일 위협 분석기(30)로 구성된다. 또한, IoC(Indicator of Compromise) 위협 분석기(40)와 위험도 평가기(50)를 더 포함하여 구성될 수 있다. 본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)의 동작 과정과 결과를 디스플레이 장치 등의 유저 인터페이스(60)를 통해 제공할 수 있다. The apparatus 100 for detecting an unknown threat inside according to an embodiment of the present invention includes an IDPS parser 10, an external threat intelligence parser 20, and a file threat analyzer 30. In addition, it may be configured to further include an Indicator of Compromise (IoC) threat analyzer 40 and a risk evaluator 50. An operation process and result of the detection device 100 for an unknown threat according to an embodiment of the present invention may be provided through a user interface 60 such as a display device.

IDPS 파서(10)는 내부 위협탐지 및 방지시스템(1)을 소스로 하여 전송받은 내부 위협탐지 및 방지시스템의 이벤트(또는 로그)를 파싱(parsing)하여 IDPS 데이터(11)를 생성한다. IDPS 데이터(11)는 IDPS 이벤트데이터(12)와 IDPS 패킷데이터(13)으로 구성된다. IDPS 파서(10)가 IDPS 이벤트데이터(12)를 생성할 때 IDPS 이벤트데이터(12)들을 식별할 수 있도록 탐지룰 ID를 생성하고, IDPS 이벤트데이터(12)를 탐지룰 ID와 해당 이벤트에 관한 정보를 IDPS 이벤트데이터(12)로 생성한다. 해당 이벤트에 관한 정보란 Host IP(HIP), Remote IP(RIS), Ruld Identifier(RID), IDPS Rule category[Type](RT), IDPS rule 심각도(RS), number of count(#C), protocol 및 Common Vulnerability Exposure(CVE)에서 선택되는 적어도 어느 하나를 의미한다. 한편, 생성된 탐지룰 ID를 기준으로 하는 IDPS 패킷데이터(13)를 생성한다. 즉, IDPS 패킷데이터(13)에서는 특정 이벤트에 대한 탐지룰 ID와 그 특정 이벤트의 패킷데이터(detected packet)를 포함한다. The IDPS parser 10 generates IDPS data 11 by parsing an event (or log) of an internal threat detection and prevention system transmitted from the internal threat detection and prevention system 1 as a source. The IDPS data 11 is composed of IDPS event data 12 and IDPS packet data 13. When the IDPS parser 10 generates the IDPS event data 12, a detection rule ID is generated so that the IDPS event data 12 can be identified, and the IDPS event data 12 is detected by the ID and information on the event. Is generated as IDPS event data (12). Information about the event includes Host IP(HIP), Remote IP(RIS), Ruld Identifier(RID), IDPS Rule category[Type](RT), IDPS rule severity(RS), number of count(#C), protocol And it means at least any one selected from Common Vulnerability Exposure (CVE). Meanwhile, IDPS packet data 13 based on the generated detection rule ID is generated. That is, the IDPS packet data 13 includes a detection rule ID for a specific event and packet data of the specific event.

내부 칩입탐지 및 방지시스템(10)은 기저장되어 있던 위협에 관한 규칙(Rule)을 기반으로 위협을 탐지하거나 차단하는 기능을 가지는 것이므로 내부 침입탐지 및 방지시스템(10)에 알려지지 않은 위협은 탐지하거나 차단할 수 없다. 본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 외부 위협 인텔리전스 소스(2)를 이용하여 이 문제를 해결하였다. 외부 위협 인텔리전스 소스(2)란 외부 위협 인텔리전스 공유 체계를 의미하며, 예를 들어 STIX, CybOX, MEAC, YARA, OpenIoC 등이 있다. Since the internal intrusion detection and prevention system 10 has a function of detecting or blocking a threat based on a previously stored threat-related rule, the internal intrusion detection and prevention system 10 detects or blocks unknown threats. Cannot be blocked. The apparatus 100 for detecting an unknown threat inside according to an embodiment of the present invention solves this problem by using the external threat intelligence source 2. External threat intelligence source (2) refers to an external threat intelligence sharing system, for example, STIX, CybOX, MEAC, YARA, OpenIoC, etc.

외부 위협 인텔리전스 파서(20)는 외부 위협 인텔리전스 소스(2)로부터 전송받은 외부 위협 인텔리전스를 파싱하여 외부 위협 인텔리전스 IoC(21)를 생성한다. 특히, 본 발명의 내부에 알려지지 않은 위협의 탐지장치(100)는 외부 위협 인텔리전스 중에서 YARA 기반의 외부 위협 인텔리전스를 이용할 수 있는데, 이 경우 외부 위협 인텔리전스 파서(20)는 외부 위협 인텔리전스 소스(2)로부터 전송받은 외부 위협 인텔리전스를 파싱하여 생성되는 외부 위협 인텔리전스 IoC(21)가 YARA 시그니처 및 YARA 심각도를 포함하는 YARA IoC(22)를 구비하도록 할 수 있다. 한편, YARA IoC(22)를 생성할 때 생성되는 YARA IoC(22)는 룰 정규화를 통하여 1개의 YARA 룰을 8 byte 이내로 구성하되, YARA 룰이 8 byte 이상인 경우에는 YARA 룰을 추가로 생성하고 CYID(Child YARA Identifier) 필드값을 구성할 수 있다. 이는 IDPS 패킷데이터(13)가 8 byte를 기준으로 생성되는 것을 고려한 것이다. 즉, 생성되는 YARA 룰의 byte가 IDPS 패킷데이터의 byte보다 작은 것이 바람직하다. YARA IoC(22)는 YARA 시그니쳐[byte string](SIG) 및 YARA 심각도(YS)를 포함하고, 나아가 YARA Identifier(YID), Child YARA Identifier(CYID), YARA category[type](YT) 중 적어도 하나 이상을 더 포함할 수 있다. 또한, 외부 위협 인텔리전스 파서(20)는 외부 위협 인텔리전스 소스(2)로부터 YARA IoC(22) 외에도 IP IoC(23) 및 파일 IoC(24)을 생성한다. IP IoC(23)는 Remote IP(RIP) 및 Protocol을 포함하고, 파일 IoC(24)는 Hash(MD5)를 포함한다. The external threat intelligence parser 20 generates an external threat intelligence IoC 21 by parsing the external threat intelligence transmitted from the external threat intelligence source 2. In particular, the detection device 100 of an unknown threat inside of the present invention may use YARA-based external threat intelligence among external threat intelligence. In this case, the external threat intelligence parser 20 is from the external threat intelligence source 2 The external threat intelligence IoC 21 generated by parsing the transmitted external threat intelligence may have a YARA IoC 22 including a YARA signature and a YARA severity. Meanwhile, YARA IoC(22), which is generated when generating YARA IoC(22), consists of one YARA rule within 8 bytes through rule normalization. (Child YARA Identifier) field value can be configured. This takes into account that the IDPS packet data 13 is generated based on 8 bytes. That is, it is preferable that the byte of the generated YARA rule is smaller than the byte of the IDPS packet data. YARA IoC (22) includes YARA signature [byte string] (SIG) and YARA severity (YS), and furthermore, at least one of YARA Identifier (YID), Child YARA Identifier (CYID), and YARA category[type] (YT) It may further include more. In addition, the external threat intelligence parser 20 generates an IP IoC 23 and a file IoC 24 in addition to the YARA IoC 22 from the external threat intelligence source 2. The IP IoC 23 includes Remote IP (RIP) and Protocol, and the file IoC 24 includes Hash (MD5).

파일 위협 분석기(30)는 IDPS 패킷데이터(13)와 YARA IoC(22)를 이용하여 위협 데이터(31)를 생성한다. 파일 위협 분석기(30)는 YARA 탐지 엔진을 구비하고 있다. YARA 탐지 엔진을 이용하여 IDPS 패킷데이터(13)와 YARA IoC(22)의 YARA 시그니처를 매칭한다. 매칭한 결과가 파지티브(Positve)일 경우 매칭된 IDPS 패킷데이터(13)의 탐지룰 ID에 해당하는 IDPS 이벤트데이터(12)와 매칭된 YARA 시그니처의 YARA IoC(22)를 이용하여 위협 데이터(31)를 생성한다. 이와 같이 IDPS 이벤트데이터(12)와 YARA IoC(22)를 이용함으로써 위협 데이터(31)는 Host IP[Internal](HIP), Remote IP(RIP), YARA category[Type](YT), IDPS Rule category[Type](RT), YARA severity(YS), IDPS Rule severity(RS), Final Severity(FS) 및 Common Vulnerability Exposure(CVE)를 포함할 수 있다. 이로써 본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 내부 위협탐지 및 방지시스템(IDPS)에 규칙으로 저장되어 있지 않은 위협의 경우에도 외부 위협 인텔리전스 소스(2)로부터 제공받은 YARA IoC(22)를 이용하여 침입탐지 및 방지가 가능하다.The file threat analyzer 30 generates the threat data 31 using the IDPS packet data 13 and the YARA IoC 22. The file threat analyzer 30 is equipped with a YARA detection engine. Using the YARA detection engine, the IDPS packet data 13 and the YARA signature of the YARA IoC 22 are matched. If the matched result is positive, the threat data 31 using the IDPS event data 12 corresponding to the detection rule ID of the matched IDPS packet data 13 and the YARA IoC 22 of the matched YARA signature. ). By using IDPS event data (12) and YARA IoC (22) in this way, the threat data (31) is Host IP [Internal] (HIP), Remote IP (RIP), YARA category [Type] (YT), IDPS Rule category. [Type] (RT), YARA severity (YS), IDPS Rule severity (RS), Final Severity (FS), and Common Vulnerability Exposure (CVE). Accordingly, the detection device 100 for an unknown threat inside according to an embodiment of the present invention is provided from the external threat intelligence source 2 even in the case of a threat that is not stored as a rule in the internal threat detection and prevention system (IDPS). Intrusion detection and prevention is possible using the received YARA IoC (22).

본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 IoC 위협 분석기(40)를 이용하여 위협에 대한 보안성을 더욱 향상시킬 수 있다. 이를 위해 IoC 위협 분석기(40)는 위협 데이터(31)와 외부 위협 인텔리전스 IoC(21)의 IP IoC(23)와 파일 IoC(24)를 매칭한다. IoC 위협 분석기(40)는 위협 데이터(31)와 외부 위협 인텔리전스 IoC(21)의 IP IoC(23)와 파일 IoC(24)를 매칭한 결과가 파지티브(Positive)일 경우 위험성 평가기(50)로 그 정보를 전송한다. The apparatus 100 for detecting an unknown threat inside according to an embodiment of the present invention may further improve security against a threat by using the IoC threat analyzer 40. To this end, the IoC threat analyzer 40 matches the threat data 31 with the IP IoC 23 of the external threat intelligence IoC 21 and the file IoC 24. The IoC threat analyzer (40) is a risk evaluator (50) if the result of matching the IP IoC (23) of the threat data (31) and the external threat intelligence IoC (21) with the file IoC (24) is positive. And transmit the information.

한편, 본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 화이트리스트(41)를 이용하여 위협이 없는 것으로 미리 판단된 트래픽은 위협 데이터(31)에서 제거한다. 화이트리스트란 안전한 IoC 리스트를 의미한다. 화이트리스트(41)는 IP 화이티리스트(42)와 파일 화이트리스트(43)로 구성되어 있으며, 화이트리스트(41)와 위협 데이터(31)를 매칭하여, 매칭한 결과가 파지티브(Positive)일 경우 매칭된 IP 또는 파일에 대응하는 데이터를 위협 데이터(31)에서 제거한다. Meanwhile, the apparatus 100 for detecting an unknown threat inside according to an embodiment of the present invention uses the white list 41 to remove traffic determined in advance as having no threat from the threat data 31. Whitelist means a safe IoC list. The white list 41 is composed of the IP white list 42 and the file white list 43, and the white list 41 and the threat data 31 are matched, and the matched result is positive. Data corresponding to the matched IP or file is removed from the threat data 31.

위험도 평가기(50)에서는 최종적으로 평가된 트래픽의 위험도를 여러단계의 등급으로 나누어 유저인터페이스(60)를 통해 사용자에게 제공한다. 이때 여러단계?? 등급에 대해서는 후술하는 본 발명의 내부에 알려지지 않은 위협의 탐지방법에서 구체적으로 살펴본다.The risk evaluator 50 divides the risk of the finally evaluated traffic into several levels and provides it to the user through the user interface 60. At this time, several steps?? The grade will be described in detail in the method for detecting unknown threats in the present invention, which will be described later.

본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 YARA 기반의 외부 위협 인텔리전스과 내부 위협탐지 및 방지시스템을 함께 이용하여 내부에 알려지지 않은 위협에 대한 실질적인 보안성 향상에 기여할 수 있다. The detection device 100 for an unknown threat inside according to an embodiment of the present invention can contribute to substantial security improvement against unknown threats inside by using YARA-based external threat intelligence and an internal threat detection and prevention system together. have.

도 2는 본 발명의 다른 실시예에 따른 내부에 알려지지 않은 위협의 탐지방법의 개략적 흐름도이다. 본 발명의 다른 실시예에 따른 내부에 알려지지 않은 위협의 탐지방법은 상술한 본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치에 의해 구동될 수 있다.FIG. 2 is a schematic flowchart of a method for detecting an unknown threat inside according to another embodiment of the present invention. A method for detecting an unknown threat inside according to another embodiment of the present invention may be driven by the detection device for an unknown threat inside according to the embodiment of the present invention.

우선 내부 위협탐지 및 방지시스템의 이벤트를 파싱하는 단계(S10)가 수행된다. 이 단계에서는 내부 위협탐지 및 방지시스템의 이벤트를 파싱하여 IDPS 이벤트데이터 및 IDPS 패킷데이터를 생성한다. IDPS 이벤트데이터를 생성할 때에는 해당 이벤트에 대한 탐지룰 ID를 생성하고, 그 외 해당 이벤트에 관한 정보를 함께 저장한다. IDPS 패킷데이터는 생성된 탐지룰 ID에 의해 식별가능하도록 해당 이벤트의 패킷데이터와 생성된 탐지룰 ID가 함께 저장한다. IDPS 이벤트 데이터에는 탐지룰 ID와 Host IP(HIP), Remote IP(RIS), Ruld Identifier(RID), IDPS Rule category[Type](RT), IDPS rule 심각도(RS), number of count(#C), protocol 및 Common Vulnerability Exposure(CVE)에서 선택되는 적어도 어느 하나를 구비한다.First, a step (S10) of parsing an event of an internal threat detection and prevention system is performed. In this step, IDPS event data and IDPS packet data are generated by parsing the events of the internal threat detection and prevention system. When generating IDPS event data, a detection rule ID for the event is generated, and other information about the event is stored together. The IDPS packet data is stored together with the packet data of the event and the generated detection rule ID so as to be identifiable by the generated detection rule ID. IDPS event data includes detection rule ID, Host IP(HIP), Remote IP(RIS), Ruld Identifier(RID), IDPS Rule category[Type](RT), IDPS rule severity(RS), number of count(#C) , protocol and at least one selected from Common Vulnerability Exposure (CVE).

다음으로, 혹은 S10 단계와 함께 외부 위협 인텔리전스를 파싱하는 단계(S20)가 수행된다. 이 단계에서는 외부 위협 인텔리전스를 파싱하여 YARA IoC와, IP IoC, 파일 IoC를 포함하는 외부 위협 인텔리전스 IoC를 생성한다. 이때 YARA IoC는 룰 정규화를 통하여 1개의 YARA 룰을 8 byte 이내로 구성하되, YARA 룰이 8 byte 초과할 경우에는 YARA 룰을 추가로 생성하고 CYID(Child YARA Identifier) 필드값을 구성할 수 있다. YARA IoC는 YARA 시그니쳐[byte string](SIG) 및 YARA 심각도(YS)를 포함하고, 나아가 YARA Identifier(YID), Child YARA Identifier(CYID), YARA category[type](YT) 중 적어도 하나 이상을 더 포함할 수 있다. 한편, IP IoC는 Remote IP(RIP) 및 Protocol을 포함하고, 파일 IoC는 Hash(MD5)를 포함한다. Next, a step (S20) of parsing the external threat intelligence is performed together with step S10. In this step, external threat intelligence is parsed to generate external threat intelligence IoC including YARA IoC, IP IoC, and file IoC. At this time, YARA IoC consists of one YARA rule within 8 bytes through rule normalization, but if the YARA rule exceeds 8 bytes, it can additionally create a YARA rule and configure the CYID (Child YARA Identifier) field value. YARA IoC includes YARA signature [byte string] (SIG) and YARA severity (YS), and further includes at least one of YARA Identifier (YID), Child YARA Identifier (CYID), and YARA category[type] (YT). Can include. Meanwhile, IP IoC includes Remote IP (RIP) and Protocol, and file IoC includes Hash (MD5).

다음으로, 위험성을 평가하는 단계(S30)를 수행한다. 위험성을 평가하는 단계(S30)는 적어도 하나 이상의 하위 단계로 구성될 수 있으며, 복수의 단계로 구성함으로써 위험도를 정량적으로 평가할 수 있다. Next, a step (S30) of evaluating the risk is performed. The step of evaluating the risk (S30) may be composed of at least one sub-step, and the risk may be quantitatively evaluated by having a plurality of steps.

먼저, IDPS 패킷데이터와 YARA 시그니처를 매칭하는 단계(S31)가 수행될 수 있다. IDPS 패킷데이터와 YARA 시그니처를 매칭하는 단계는 YARA 탐지 엔진을 이용할 수 있다. IDPS 패킷데이터와 YARA 시그니처의 매칭 결과가 파지티브(Positive)인 경우 위험도가 있는 것으로 결정된다. 한편, 매칭된 IDPS 패킷데이터의 탐지룰 ID에 해당하는 IDPS 이벤트데이터와 매칭된 YARA 시그니처의 YARA IoC를 이용하여 위협 데이터를 생성한다. 만약 매칭되지 않는다면 위험도가 없기 때문에 다른 위협을 탐지한다. First, the step (S31) of matching the IDPS packet data and the YARA signature may be performed. The YARA detection engine may be used to match the IDPS packet data and the YARA signature. If the result of matching IDPS packet data and YARA signature is positive, it is determined that there is a risk. Meanwhile, the threat data is generated by using the IDPS event data corresponding to the detection rule ID of the matched IDPS packet data and the YARA IoC of the matched YARA signature. If it doesn't match, it detects other threats because there is no risk.

만약 YARA IoC의 YARA 룰이 8 byte를 초과할 경우 CYID를 필드값으로 구성되는데, 그 경우 IDPS 패킷데이터와 YARA 시그니처(CYID)를 매칭하는 단계(S32)가 수행된다. If the YARA rule of the YARA IoC exceeds 8 bytes, the CYID is configured as a field value. In that case, a step (S32) of matching the IDPS packet data and the YARA signature (CYID) is performed.

탐지룰 ID와 해당 이벤트에 관한 정보를 포함하는 IDPS 이벤트데이터 및 상기 탐지룰 ID를 기준으로 하는 IDPS 패킷데이터를 IDPS 패킷데이터와 YARA 시그니처(CYID)의 매칭 결과가 파지티브(Positive)인 경우 위험도가 증가하며, 네거티브(negative)인 경우 위험성을 평가하는 단계(S30)를 종료한다. If the result of matching IDPS packet data and YARA signature (CYID) with IDPS event data including detection rule ID and information on the event and IDPS packet data based on the detection rule ID is positive, the risk is It increases, and if it is negative, the step of evaluating the risk (S30) is terminated.

다음으로 IP IoC와 위협대이터의 Remote IP를 매칭하는 단계(S33), 위협데이터의 YARA 심각도가 높음(High)인지 확인하는 단계(S34), 위험데이터의 CVE 심각도가 높음(High)인지 확인하는 단계(S35)가 수행된다. 각 단계가 파지티브(Positive)인 경우 위험도가 증가하며, 네거티브(negative)인 경우 위험성을 평가하는 단계(S30)를 종료한다. 상술한 단계 S31 ~ S35에서 파지티브(positive)인 단계가 많을수록 위험도가 높은 것으로 결정된다. Next, the step of matching the IP IoC and the remote IP of the threat agent (S33), confirming whether the YARA severity of the threat data is high (S34), and confirming whether the CVE severity of the risk data is high (High). Step S35 is performed. If each step is positive, the risk increases, and if the step is negative, the step S30 of evaluating the risk is terminated. In the above-described steps S31 to S35, the greater the number of positive steps, the higher the risk is determined.

위험성을 평가하는 단계(S30)를 수행한 후 위험 데이터와 화이트리스트를 매칭하는 단계(S40)를 수행한다. 이 단계에서 화이트리스트에 해당하는 위험 데이터는 위험도가 있는 것에서 제외한다. After performing the step S30 of evaluating the risk, the step S40 of matching the risk data and the white list is performed. At this stage, the whitelisted risk data is excluded from those with risk.

화이트리스트에서 제외되지 아니한 위협데이터에 대해서는 위험성을 산출한다(S50). 이때, 위험성을 평가하는 단계(S30)를 구성하는 각 하위 단계에 파지티브(positve)인 단계가 많을수록 높은 위험성의 점수를 부여한다. For threat data not excluded from the white list, the risk is calculated (S50). At this time, a higher risk score is given as there are more positive steps in each sub-step constituting the risk evaluation step S30.

이상과 같이 본 발명은 내부 침입탐지 및 방지시스템의 이벤트와 외부 위협 인텔리전스의 정보를 함께 이용하여 위협 데이터를 생성함으로써 내부 침입탐지 및 방지시스템에 알려지지 않은 위협을 탐지할 수 있으며, 이에 따라 네트워크의 보안성이 실질적으로 향상된다.As described above, the present invention can detect unknown threats in the internal intrusion detection and prevention system by generating threat data by using the event of the internal intrusion detection and prevention system together with information of the external threat intelligence, and thus the security of the network. The performance is substantially improved.

참고로, 본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독가능매체에 기록될 수 있다. 상기 컴퓨터 판독가능매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. For reference, the method for detecting an unknown threat inside according to an embodiment of the present invention may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be specially designed and configured for the present invention, or may be known and usable to those skilled in computer software.

컴퓨터 판독가능매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체, 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함될 수 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급언어코드를 포함한다. 상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tapes, optical recording media such as CD-ROMs and DVDs, magnetic-optical media such as floptical disks, and ROM, RAM, A hardware device specially configured to store and execute program instructions such as flash memory or the like may be included. Examples of program instructions include not only machine language codes such as those produced by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like. The above-described hardware device may be configured to operate as one or more software modules to perform the operation of the present invention, and vice versa.

발명의 보호범위가 이상에서 명시적으로 설명한 실시예의 기재와 표현에 제한되는 것은 아니다. 또한, 본 발명이 속하는 기술분야에서 자명한 변경이나 치환으로 말미암아 본 발명이 보호범위가 제한될 수도 없음을 다시 한 번 첨언한다.The scope of protection of the invention is not limited to the description and expression of the embodiments explicitly described above. In addition, it is added once again that the scope of protection of the present invention may not be limited due to obvious changes or substitutions in the technical field to which the present invention pertains.

Claims (4)

내부 위협탐지 및 방지시스템(IDPS)과 외부 위협 인텔리전스를 이용하는 내부 위협탐지 및 방지시스템에 알려지지 않은 위협의 탐지방법으로서:
내부 위협탐지 및 방지시스템의 이벤트를 파싱하되, 탐지룰 ID를 생성하여 탐지룰 ID를 포함하는 IDPS 이벤트데이터와 탐지룰 ID에 의해 식별되는 IDPS 패킷데이터를 생성하는 단계;
외부 위협 인텔리전스로부터 전송받은 외부 위협 인텔리전스를 파싱하여 YARA 시그니처를 구비하는 YARA IoC(Indicator of Compromise)를 포함하는 외부 위협 인텔리전스 IoC를 생성하는 단계; 및
위험성을 평가하는 단계;를 포함하고,
상기 위험성을 평가하는 단계는 YARA 탐지 엔진을 이용하여 IDPS 패킷데이터와 YARA 시그니처를 매칭하는 단계를 포함하여 수행되고, IDPS 패킷데이터와 YARA 시그니처의 매칭 결과가 파지티브(Positive)인 경우 위험도가 있는 것으로 결정하며,
매칭된 IDPS 패킷데이터의 탐지룰 ID에 해당하는 IDPS 이벤트데이터와 매칭된 YARA 시그니처의 YARA IoC를 이용하여 위협 데이터를 생성하고,
상기 외부 위협 인텔리전스 IoC를 생성하는 단계에 있어서, 상기 YARA IoC는 룰 정규화를 통하여 YARA 룰을 생성하되, 생성되는 YARA 룰의 byte가 상기 IDPS 패킷 데이터의 byte보다 같거나 작은 것을 특징으로 하는 내부에 알려지지 않은 위협의 탐지방법.
As a detection method of unknown threats in the internal threat detection and prevention system using the internal threat detection and prevention system (IDPS) and external threat intelligence:
Parsing an event of an internal threat detection and prevention system, generating a detection rule ID to generate IDPS event data including a detection rule ID and IDPS packet data identified by the detection rule ID;
Generating an external threat intelligence IoC including a YARA indicator of compromise (YARA IoC) having a YARA signature by parsing the external threat intelligence transmitted from the external threat intelligence; And
Including; evaluating the risk,
The step of evaluating the risk is performed including the step of matching the IDPS packet data and the YARA signature using a YARA detection engine, and if the matching result of the IDPS packet data and the YARA signature is positive, there is a risk. Decide,
Threat data is generated by using the IDPS event data corresponding to the detection rule ID of the matched IDPS packet data and the YARA IoC of the matched YARA signature,
In the step of generating the external threat intelligence IoC, the YARA IoC generates a YARA rule through rule normalization, but the byte of the generated YARA rule is equal to or smaller than the byte of the IDPS packet data. How to detect unknown threats.
제1항에 있어서,
IDPS 이벤트데이터는 Remote IP 및 취약점표준코드(CVE) 심각성를 구비하여 생성되며, 외부 위협 인텔리전스 IoC는 IP IoC를 구비하여 생성되며, YARA IoC는 YARA 심각도를 더 구비하여 생성되고,
상기 위협 데이터에는 IDPS 이벤트데이터의 Remote IP 및 CVE 심각성에 관한 정보와 YARA IoC의 YARA 심각도에 관한 정보를 포함하고 있으며,
상기 위험성을 평가하는 단계는,
(a) IDPS 패킷데이터와 YARA 시그니처를 매칭하는 단계;
(b) 위협 데이터의 Remote IP와 IP IoC를 매칭하는 단계;
(c) 위협 데이터의 YARA 심각도가 높음인지 확인하는 단계; 및
(d) 위협 데이터의 CVE 심각도가 높은인지 확인하는 단계;를 수행하고,
상기 (a) ~ (d) 단계에 파지티브(positive)인 단계가 많을수록 위험도가 높은 것으로 결정하는 내부에 알려지지 않은 위협의 탐지방법.
The method of claim 1,
IDPS event data is generated with Remote IP and Vulnerability Standard Code (CVE) severity, and external threat intelligence IoC is created with IP IoC, and YARA IoC is created with YARA severity.
The threat data includes information on remote IP and CVE severity of IDPS event data and information on YARA severity of YARA IoC,
The step of evaluating the risk,
(a) matching IDPS packet data and YARA signature;
(b) matching the remote IP and IP IoC of the threat data;
(c) determining whether the YARA severity of the threat data is high; And
(d) confirming whether the threat data has a high CVE severity; and
A method for detecting an unknown internal threat in which it is determined that the greater the number of positive steps in the steps (a) to (d), the higher the risk.
제1항에 있어서,
상기 위험성을 평가하는 단계를 수행한 후 위험 데이터와 화이트리스트를 매칭하여, 상기 화이트리스트에 해당하는 위험 데이터는 위험도가 있는 것에서 제외하는 내부에 알려지지 않은 위협의 탐지방법.
The method of claim 1,
After performing the step of evaluating the risk, the risk data and the white list are matched, and the risk data corresponding to the white list is excluded from the risk level.
제1항에 있어서,
생성되는 YARA 룰의 byte가 상기 IDPS 패킷 데이터의 byte를 초과할 경우 YARA 룰을 추가로 생성하고 CYID(Child YARA Identifier) 필드값을 구성하고,
상기 위험성을 평가하는 단계에서, IDPS 패킷데이터와 YARA 시그니처(CYID)를 매칭하는 것을 특징으로 하는 내부에 알려지지 않은 위협의 탐지방법.
The method of claim 1,
If the byte of the generated YARA rule exceeds the byte of the IDPS packet data, additionally create a YARA rule and configure the CYID (Child YARA Identifier) field value,
In the step of evaluating the risk, IDPS packet data and YARA signature (CYID) are matched.
KR1020190150245A 2019-11-21 2019-11-21 Method of detecting unknown threats using correlation of external threat intelligence with the packet information detected by IDSP for internal networks Expired - Fee Related KR102239759B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190150245A KR102239759B1 (en) 2019-11-21 2019-11-21 Method of detecting unknown threats using correlation of external threat intelligence with the packet information detected by IDSP for internal networks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190150245A KR102239759B1 (en) 2019-11-21 2019-11-21 Method of detecting unknown threats using correlation of external threat intelligence with the packet information detected by IDSP for internal networks

Publications (1)

Publication Number Publication Date
KR102239759B1 true KR102239759B1 (en) 2021-04-13

Family

ID=75482606

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190150245A Expired - Fee Related KR102239759B1 (en) 2019-11-21 2019-11-21 Method of detecting unknown threats using correlation of external threat intelligence with the packet information detected by IDSP for internal networks

Country Status (1)

Country Link
KR (1) KR102239759B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117792745A (en) * 2023-12-28 2024-03-29 北京江民新科技术有限公司 APT attack detection method and system based on ATT&CK model

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180191747A1 (en) * 2016-12-29 2018-07-05 X Development Llc Gathering indicators of compromise for security threat detection
KR101931525B1 (en) * 2018-05-02 2018-12-21 박정권 Management operation system for information security
KR101964592B1 (en) * 2018-04-25 2019-04-02 한국전자통신연구원 Apparatus and method for sharing security threats information

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180191747A1 (en) * 2016-12-29 2018-07-05 X Development Llc Gathering indicators of compromise for security threat detection
KR101964592B1 (en) * 2018-04-25 2019-04-02 한국전자통신연구원 Apparatus and method for sharing security threats information
KR101931525B1 (en) * 2018-05-02 2018-12-21 박정권 Management operation system for information security

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117792745A (en) * 2023-12-28 2024-03-29 北京江民新科技术有限公司 APT attack detection method and system based on ATT&CK model

Similar Documents

Publication Publication Date Title
US11675904B1 (en) Systems and methods for protecting against malware attacks using signature-less endpoint protection
US11102223B2 (en) Multi-host threat tracking
JP6334069B2 (en) System and method for accuracy assurance of detection of malicious code
US11122061B2 (en) Method and server for determining malicious files in network traffic
US8769692B1 (en) System and method for detecting malware by transforming objects and analyzing different views of objects
JP2018530066A (en) Security incident detection due to unreliable security events
WO2017152742A1 (en) Risk assessment method and apparatus for network security device
KR101768079B1 (en) System and method for improvement invasion detection
AlYousef et al. Dynamically detecting security threats and updating a signature-based intrusion detection system’s database
CA2996966A1 (en) Process launch, monitoring and execution control
US20170155683A1 (en) Remedial action for release of threat data
KR20170091989A (en) System and method for managing and evaluating security in industry control network
WO2016121348A1 (en) Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored
CN116451215A (en) Correlation analysis method and related equipment
Suthar et al. A signature-based botnet (emotet) detection mechanism
KR102446642B1 (en) An internally unknown threat detection device that analyzes the events of the internal intrusion detection and prevention system using external threat intelligence
CN114238279B (en) Database security protection method, device, system, storage medium and electronic device
KR102239759B1 (en) Method of detecting unknown threats using correlation of external threat intelligence with the packet information detected by IDSP for internal networks
KR101767591B1 (en) System and method for improvement invasion detection
CN106919844B (en) A kind of android system vulnerability of application program detection method
Sundareswaran et al. XSS-Dec: A hybrid solution to mitigate cross-site scripting attacks
KR102152317B1 (en) Method of deriving TTPS from IoC related with malware
KR102446645B1 (en) Device of deriving TTPS of suspicious malware from IoC related with malware
Mathews et al. Detecting botnets using a collaborative situational-aware idps
CN113328976B (en) A security threat event identification method, device and equipment

Legal Events

Date Code Title Description
PA0109 Patent application

St.27 status event code: A-0-1-A10-A12-nap-PA0109

PA0201 Request for examination

St.27 status event code: A-1-2-D10-D11-exm-PA0201

PA0302 Request for accelerated examination

St.27 status event code: A-1-2-D10-D17-exm-PA0302

St.27 status event code: A-1-2-D10-D16-exm-PA0302

D13-X000 Search requested

St.27 status event code: A-1-2-D10-D13-srh-X000

D14-X000 Search report completed

St.27 status event code: A-1-2-D10-D14-srh-X000

PE0902 Notice of grounds for rejection

St.27 status event code: A-1-2-D10-D21-exm-PE0902

T11-X000 Administrative time limit extension requested

St.27 status event code: U-3-3-T10-T11-oth-X000

T11-X000 Administrative time limit extension requested

St.27 status event code: U-3-3-T10-T11-oth-X000

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

PE0701 Decision of registration

St.27 status event code: A-1-2-D10-D22-exm-PE0701

PR0701 Registration of establishment

St.27 status event code: A-2-4-F10-F11-exm-PR0701

PR1002 Payment of registration fee

St.27 status event code: A-2-2-U10-U11-oth-PR1002

Fee payment year number: 1

PG1601 Publication of registration

St.27 status event code: A-4-4-Q10-Q13-nap-PG1601

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000

PC1903 Unpaid annual fee

St.27 status event code: A-4-4-U10-U13-oth-PC1903

Not in force date: 20240408

Payment event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

PC1903 Unpaid annual fee

St.27 status event code: N-4-6-H10-H13-oth-PC1903

Ip right cessation event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

Not in force date: 20240408