(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024023381
(43)【公開日】2024-02-21
(54)【発明の名称】ネットワークフォレンジック方法
(51)【国際特許分類】
H04L 43/04 20220101AFI20240214BHJP
【FI】
H04L43/04
【審査請求】有
【請求項の数】10
【出願形態】OL
(21)【出願番号】P 2023198503
(22)【出願日】2023-11-22
(62)【分割の表示】P 2020530464の分割
【原出願日】2019-07-18
(31)【優先権主張番号】10-2019-0073260
(32)【優先日】2019-06-20
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2019-0073261
(32)【優先日】2019-06-20
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2019-0073262
(32)【優先日】2019-06-20
(33)【優先権主張国・地域又は機関】KR
(71)【出願人】
【識別番号】520179419
【氏名又は名称】クワッド マイナーズ
(74)【代理人】
【識別番号】110001210
【氏名又は名称】弁理士法人YKI国際特許事務所
(72)【発明者】
【氏名】ホン ジェワン
(72)【発明者】
【氏名】パク ヨンジン
(57)【要約】
【課題】超高速大容量のデータに基づいて、ハッキング事故に対する迅速な分析及び対応を行うための高速データ格納技術を持つ高性能パケットストリームの格納システム及びこれを用いた高性能パケットストリームの格納方法を提供する。
【解決手段】高性能パケットストリームの格納システムによる高性能パケットストリームの格納方法は、(a)ネットワークを介して伝送されるデータトラフィックから原パケットデータを収集するステップと、(b)前記収集された原パケットデータをメモリに記録するステップと、(c)前記収集された原パケットデータからメタデータを抽出してメモリに記録するステップと、(d)前記原パケットデータと前記メタデータとを前記メモリから格納部へと格納するステップと、を含む。
【選択図】
図1
【特許請求の範囲】
【請求項1】
パターンに基づく索引の処理システムを用いたパターンに基づく索引の処理方法において、
(a)原パケットデータを組み換えるステップと、
(b)組み換えられた原パケットデータに対してアプリケーション分析を行うステップと、
(c)前記組み換えられた原パケットデータのメタデータを抽出して索引化するステップと、を含むことを特徴とするパターンに基づく索引の処理方法。
【請求項2】
前記ステップ(a)は、TCP(トランスミッションコントロールプロトコル)ヘッダ情報に基づいて原パケットデータを組み換えるステップを含むことを特徴とする請求項1に記載のパターンに基づく索引の処理方法。
【請求項3】
前記ステップ(b)において、
前記組み換えられた原パケットデータに対して、RFC(リクエストフォーコメンツ)規格を基準としてアプリケーションを判断するステップを含むことを特徴とする請求項1に記載のパターンに基づく索引の処理方法。
【請求項4】
前記組み換えられた原パケットデータがRFC規格のアプリケーションにより生成されたデータである場合に、前記ステップ(c)において、
前記組み換えられた原パケットデータから、RFC規格を基準としてメタデータを抽出するステップを含むことを特徴とする請求項3に記載のパターンに基づく索引の処理方法。
【請求項5】
前記ステップ(b)において、
前記組み換えられた原パケットデータに対して、ユーザ定義の規格を基準としてアプリケーションを判断するステップを含むことを特徴とする請求項1に記載のパターンに基づく索引の処理方法。
【請求項6】
前記組み換えられた原パケットデータがユーザ定義の規格のアプリケーションにより生成されたデータである場合に、前記ステップ(c)において、
前記組み換えられた原パケットデータから、ユーザ定義の規格を基準としてメタデータを抽出するステップを含むことを特徴とする請求項5に記載のパターンに基づく索引の処理方法。
【請求項7】
前記パターンに基づく索引の処理方法において、前記ステップ(a)は、
ネットワークを介して伝送されるデータトラフィックから原パケットデータを収集するステップと、
前記収集された原パケットデータを所定の記録周期の間にメモリに記録するステップと、
前記収集された原パケットデータからメタデータを抽出して前記所定の記録周期の間にメモリに記録するステップと、
前記所定の記録周期が経過すると、前記記録された原パケットデータと前記メタデータとを前記メモリから格納部へと格納するステップと、
前記所定の記録周期単位で格納された原パケットデータを組み換えるステップと、を含むことを特徴とする請求項1に記載のパターンに基づく索引の処理方法。
【請求項8】
前記ステップ(a)は、
前記格納部の格納ステップ後に、前記原パケットデータと前記メタデータとが記録されたメモリが返却されるステップを含むことを特徴とする請求項7に記載のパターンに基づく索引の処理方法。
【請求項9】
前記格納部は、ローカルディスクを含み、
前記ステップ(a)は、
ネットワーク速度が所定の基準以下である場合に、前記原パケットデータと前記メタデータとを前記メモリから前記ローカルディスクへと直接的に格納するステップを含むことを特徴とする請求項7に記載のパターンに基づく索引の処理方法。
【請求項10】
前記格納部は、複数の拡張ノードを含み、
前記ステップ(a)は、
ネットワーク速度が所定の基準を超える場合に、前記原パケットデータと前記メタデータとを前記メモリから複数の拡張ノードへと分散格納するステップを含むことを特徴とする請求項7に記載のパターンに基づく索引の処理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークフォレンジックシステム及びこれを用いたネットワークフォレンジック方法に関し、詳しくは、ネットワークフォレンジックシステム及び方法により実現される高性能パケットストリームの格納システム及び方法、パターンに基づく索引の処理システム及び方法、並びにシナリオ中心のリアルタイム攻撃感知システム及び方法に関する。
【背景技術】
【0002】
情報通信(IT)機器だけでなく家、車、都市、工場などすべてのものが超高速ネットワークで接続される時代にハッキングやサイバーテロが起これば、その波及力は想像を超越する。これにより、多くの企業がネットワークのセキュリティ強化に多くの努力を傾けている。
【0003】
しかし、ハッキング攻撃は日々多様化し、攻撃認知の難易度も徐々に高まっているのが現状である。これにより、ハッキング攻撃の全体の流れを把握し、迅速なパケット分析を行ってハッカーの攻撃を迅速に認知できる技術が求められている。
【0004】
99%ハッキングの試みが数日以内に侵害事故を発生させ、このうち85%はデータの流出を引き起こす。この85%のハッキング事故を見つけるまで数週間以上の時間がかかるので、迅速なパケット分析によるハッカーの攻撃認知時間の短縮についての多くの研究がなされてきた。
【0005】
また、超高速大容量トラフィックを格納し分析するためには、高速なI/O性能が必要で、そのために高速ストレージを使用すると、製品のコストが上昇するという問題が発生する。高速ストレージを使用しなくても、超高速大容量トラフィックにおいてデータの損失なしにパケットを収集して格納し、さまざまな攻撃シナリオ及び環境に対応するためのデータを分析できる技術もまた必要とされている。
【先行技術文献】
【特許文献】
【0006】
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明の技術的思想によるネットワークフォレンジックシステム及び方法により実現される高性能パケットストリームの格納システム及び高性能パケットストリームの格納方法が解決しようとする技術的課題は、超高速大容量のデータに基づいて、ハッキング事故に対する迅速な分析及び対応を行うための高速データ格納技術を持つ高性能パケットストリームの格納システム及びこれを用いた高性能パケットストリームの格納方法を提供することである。
【0008】
本発明の技術的思想によるネットワークフォレンジックシステム及び方法により実現されるパターンに基づく索引の処理システム及びパターンに基づく索引の処理方法が解決しようとする技術的課題は、リアルタイムで索引処理できるパターンに基づく索引の処理システム及びパターンに基づく索引の処理方法を提供することである。
【0009】
本発明の技術的思想によるネットワークフォレンジックシステム及び方法により実現されるパターンに基づく索引の処理システム及びパターンに基づく索引の処理方法が解決しようする他の技術的課題は、さまざまな攻撃シナリオ及び環境に対応するためにユーザ定義の索引データを生成できるパターンに基づく索引の処理システム及びパターンに基づく索引の処理方法を提供することである。
【0010】
本発明の技術的思想によるネットワークフォレンジックシステム及び方法により実現されるパターンに基づく索引の処理システム及びパターンに基づく索引の処理方法が解決しようするまた他の技術的課題は、問題となる時点のデータをユーザが指定して再索引できるようにするパターンに基づく索引の処理システム及びパターンに基づく索引の処理方法を提供することである。
【0011】
本発明の技術的思想によるネットワークフォレンジックシステム及び方法により実現されるパターンに基づく索引の処理システム及びパターンに基づく索引の処理方法が解決しようするまた他の技術的課題は、シナリオ分析のためのアプリケーション、メタデータ、ユーザ定義パターンの分類を行えるパターンに基づく索引の処理システム及びパターンに基づく索引の処理方法を提供することである。
【0012】
本発明の技術的思想によるネットワークフォレンジックシステム及び方法により実現されるシナリオ中心のリアルタイム攻撃感知システム及びシナリオ中心のリアルタイム攻撃感知方法が解決しようとする技術的課題は、索引統合の過程によるハッキングのシナリオ別データを分類して迅速にハッキング事故を分析できるシナリオ中心のリアルタイム攻撃感知システム及びシナリオ中心のリアルタイム攻撃感知方法を提供することである。
【0013】
本発明の技術的思想によるネットワークフォレンジックシステム及び方法により実現されるシナリオ中心のリアルタイム攻撃感知システム及びシナリオ中心のリアルタイム攻撃感知方法が解決しようとする他の技術的課題は、シナリオ分析のためのアプリケーション、メタデータ、ユーザ定義パターンの分類を行えるシナリオ中心のリアルタイム攻撃感知システム及びシナリオ中心のリアルタイム攻撃感知方法を提供することである。
【0014】
本発明の技術的思想によるネットワークフォレンジックシステム及びこれを用いたネットワークフォレンジック方法が解決しようとする技術的課題は、上述した技術的課題に何ら制限されるものではなく、未言及の他の技術的課題は、次の記載から当業者にとって明らかに理解できる筈である。
【課題を解決するための手段】
【0015】
本発明の技術的思想による一実施形態に係る、高性能パケットストリームの格納システムによる高性能パケットストリームの格納方法は、(a)ネットワークを介して伝送されるデータトラフィックから原パケットデータを収集するステップと、(b)前記収集された原パケットデータをメモリに記録するステップと、(c)前記収集された原パケットデータからメタデータを抽出してメモリに記録するステップと、(d)前記原パケットデータと前記メタデータとを前記メモリから格納部へと格納するステップと、を含んでもよい。
【0016】
前記高性能パケットストリームの格納方法は、前記収集された原パケットデータから例外情報をフィルタリングしてメモリ記録対象から除外させるステップをさらに含んでもよい。
【0017】
前記格納部は、ローカルディスクを含み、前記ステップ(d)は、ネットワーク速度が所定の基準以下である場合に、前記原パケットデータと前記メタデータとを前記メモリから前記ローカルディスクへと直接的に格納するステップを含んでもよい。
【0018】
前記格納部は、複数の拡張ノードを含み、前記ステップ(d)は、ネットワーク速度が所定の基準を超える場合に、前記原パケットデータと前記メタデータとを前記メモリから複数の拡張ノードへと分散格納するステップを含んでもよい。
【0019】
前記高性能パケットストリームの格納方法は、前記ステップ(d)後に、前記原パケットデータと前記メタデータとが記録されたメモリが返却されるステップをさらに含んでもよい。
【0020】
前記ステップ(a)は、パケットの収集量が収集設定値を超えた場合に、超えた量の原パケットデータのための追加メモリを確保するステップを含んでもよい。
【0021】
前記ステップ(c)は、前記収集された原パケットデータと前記抽出されたメタデータとが所定の記録周期の間に前記メモリに記録された後に、前記メモリから前記格納部へと格納されるステップを含んでもよい。
【0022】
本発明の技術的思想による一実施形態に係る、高性能パケットストリームの格納システムは、ネットワークを介して伝送されるデータトラフィックから原パケットデータを収集し、前記収集された原パケットデータからメタデータを抽出するデータ管理モジュールと、前記原パケットデータと前記メタデータとが記録されるメモリ部と、前記原パケットデータと前記メタデータとが格納されてデータベース化される格納部と、前記原パケットデータと前記メタデータとを前記メモリ部から前記格納部へと格納する格納管理モジュールと、前記原パケットデータと前記メタデータとが前記メモリ部から前記格納部へと格納された後に、前記原パケットデータと前記メタデータとが記録されていた前記メモリ部のメモリ領域を返却するメモリ管理モジュールと、を含んでもよい。
【0023】
前記格納部は、ローカルディスクを含み、格納管理モジュールは、ディスク管理モジュールを含み、ネットワーク速度が所定の基準以下である場合に、前記ディスク管理モジュールは、前記原パケットデータと前記メタデータとを前記メモリ部から前記ローカルディスクへと直接的に格納することができる。
【0024】
前記格納部は、複数の拡張ノードを含み、格納管理モジュールは、データ分散管理モジュールを含み、ネットワーク速度が所定の基準を超える場合に、前記データ分散管理モジュールは、前記原パケットデータと前記メタデータとを前記メモリ部から前記拡張ノードへと分散格納することができる。
【0025】
本発明の技術的思想による一実施形態に係る、パターンに基づく索引の処理システムを用いたパターンに基づく索引の処理方法は、(a)パケットデータを組み換えるステップと、(b)組み換えられたパケットデータに対してアプリケーション分析を行うステップと、(c)前記組み換えられたパケットデータのメタデータを抽出して索引化するステップと、を含んでもよい。
【0026】
前記ステップ(a)は、TCP(トランスミッションコントロールプロトコル)ヘッダ情報に基づいてパケットデータを組み換えるステップを含んでもよい。
【0027】
前記ステップ(b)において、前記組み換えられたパケットデータに対して、RFC(リクエストフォーコメンツ)規格を基準としてアプリケーションを判断するステップを含んでもよい。
【0028】
前記組み換えられたパケットデータがRFC規格のアプリケーションにより生成されたデータである場合に、前記ステップ(c)において、前記組み換えられたパケットデータから、RFC規格を基準としてメタデータを抽出するステップ
を含んでもよい。
【0029】
前記ステップ(b)において、前記組み換えられたパケットデータに対して、ユーザ定義の規格を基準としてアプリケーションを判断するステップを含んでもよい。
【0030】
前記組み換えられたパケットデータがユーザ定義の規格のアプリケーションにより生成されたデータである場合に、前記ステップ(c)において、前記組み換えられたパケットデータから、ユーザ定義の規格を基準としてメタデータを抽出するステップを含んでもよい。
【0031】
前記パターンに基づく索引の処理方法において、前記ステップ(a)は、ネットワークを介して伝送されるデータトラフィックからパケットデータを収集するステップと、前記収集されたパケットデータを所定の記録周期の間にメモリに記録するステップと、前記収集されたパケットデータからメタデータを抽出して前記所定の記録周期の間にメモリに記録するステップと、前記所定の記録周期が経過すると、前記記録されたパケットデータと前記メタデータとを前記メモリから格納部へと格納するステップと、前記所定の記録周期単位で格納されたパケットデータを組み換えるステップと、を含んでもよい。
【0032】
前記ステップ(a)は、前記格納部の格納ステップ後に、前記パケットデータと前記メタデータとが記録されたメモリが返却されるステップを含んでもよい。
【0033】
前記格納部は、ローカルディスクを含み、前記ステップ(a)は、ネットワーク速度が所定の基準以下である場合に、前記パケットデータと前記メタデータとを前記メモリから前記ローカルディスクへと直接的に格納するステップを含んでもよい。
【0034】
前記格納部は、複数の拡張ノードを含み、前記ステップ(a)は、ネットワーク速度が所定の基準を超える場合に、前記パケットデータと前記メタデータとを前記メモリから複数の拡張ノードへと分散格納するステップを含んでもよい。
【0035】
本発明の技術的思想による一実施形態に係る、シナリオ中心のリアルタイム攻撃感知システムを用いたシナリオ中心のリアルタイム攻撃感知方法は、(a)索引化されたメタデータに適用されるシナリオを形成するステップと、(b)パケットデータからメタデータを抽出して索引化するステップと、(c)前記シナリオに対応する索引化されたメタデータを検知するステップと、を含んでもよい。
【0036】
前記ステップ(a)は、索引化されたメタデータに適用される単一検知シナリオを形成するステップと、複数の単一検知シナリオを組み合わせた多重検知シナリオを形成するステップと、を含んでもよい。
【0037】
単一検知シナリオは、1つ以上の成立条件を含み、成立条件がすべて満たされる場合にシナリオが成立したと判断し、成立条件は、索引タイプ及びパターン情報を含んでもよい。
【0038】
多重検知シナリオは、二つ以上の単一検知シナリオがすべて成立し、共通の条件が成立する場合にシナリオが成立したと判断することができる。
【0039】
前記ステップ(b)は、所定の記録周期単位で格納されたパケットデータをTCP(トランスミッションコントロールプロトコル)ヘッダ情報に基づいて組み換えるステップと、前記組み換えられたパケットデータからメタデータを抽出して索引化するステップと、を含んでもよい。
【0040】
前記ステップ(b)は、前記パケットデータを組み換えるステップ前に、ネットワークを介して伝送されるデータトラフィックからパケットデータを収集するステップと、前記収集されたパケットデータを所定の記録周期の間にメモリに記録するステップと、前記収集されたパケットデータからメタデータを抽出して前記所定の記録周期の間にメモリに記録するステップと、前記所定の記録周期が経過すると、前記記録されたパケットデータと前記メタデータとを前記メモリから格納部へと格納するステップと、を含んでもよい。
【0041】
前記ステップ(b)は、前記格納部の格納ステップ後に、前記パケットデータと前記メタデータとが記録されたメモリが返却されるステップを含んでもよい。
【0042】
前記格納部は、ローカルディスクを含み、前記ステップ(b)は、ネットワーク速度が所定の基準以下である場合に、前記パケットデータと前記メタデータとを前記メモリから前記ローカルディスクへと直接的に格納するステップを含んでもよい。
【0043】
前記格納部は、複数の拡張ノードを含み、前記ステップ(b)は、ネットワーク速度が所定の基準を超える場合に、前記パケットデータと前記メタデータとを前記メモリから複数の拡張ノードへと分散格納するステップを含んでもよい。
【0044】
前記シナリオ中心のリアルタイム攻撃感知方法は、前記ステップ(b)前に、パケットデータに対してアプリケーション分析を行うステップをさらに含んでもよい。
【発明の効果】
【0045】
本発明の技術的思想による実施形態に係るネットワークフォレンジックシステム及び方法により実現される高性能パケットストリームの格納システム及び高性能パケットストリームの格納方法は、下記のような効果を有する。
【0046】
(1)ハッキング事故に対する迅速な分析及び対応のための高性能パケットストリームの格納技術として、パーティションキーに基づく順次格納データベースを提供することができる。
【0047】
(2)超高速ネットワーク網においてデータの損失なしにパケットストリームを格納し、これを要約したデータを抽出してデータベース化できる技術を提供することができる。
【0048】
(3)高速ストレージを使用しなくても超高速大容量のトラフィックを格納できるようにする、パケットを分散格納処理する技術を提供することができる。
【0049】
本発明の技術的思想による実施形態に係るネットワークフォレンジックシステム及び方法により実現されるパターンに基づく索引の処理システム及びパターンに基づく索引の処理方法は、下記のような効果を有する。
【0050】
(1)リアルタイムで索引処理できるパターンに基づく索引の処理技術を提供することができる。
【0051】
(2)様々な攻撃シナリオ及び環境に対応するためにユーザ定義の索引データを生成できる技術を提供することができる。
【0052】
(3)問題となる時点のデータをユーザが指定して再索引できるようにする技術を提供することができる。
【0053】
(4)シナリオ分析のためのアプリケーション、メタデータ、ユーザ定義パターンの分類を行える技術を提供することができる。
【0054】
本発明の技術的思想による実施形態に係るネットワークフォレンジックシステム及び方法により実現されるシナリオ中心のリアルタイム攻撃感知システム及びシナリオ中心のリアルタイム攻撃感知方法は、下記のような効果を有する。
【0055】
(1)索引統合の過程によるハッキングのシナリオ別データを分類してハッキング事故を迅速に分析できるシナリオ中心のリアルタイム攻撃の感知技術を提供することができる。
【0056】
(2)シナリオ分析のためのアプリケーション、メタデータ、ユーザ定義パターンの分類を行えるシナリオ中心のリアルタイム攻撃の感知技術を提供することができる。
【0057】
ただし、本発明の一実施形態に係る高性能パケットストリームの格納システム及び高性能パケットストリームの格納方法が達成できる効果は、上述した効果に何ら制限されるものではなく、未言及の他の効果は、次の記載から当業者にとって明らかに理解できる筈である。
【図面の簡単な説明】
【0058】
本明細書で引用される図面をより十分に理解するために、各図面の簡単な説明が提供される。
【0059】
【
図1】本発明の一実施形態に係るネットワークフォレンジックシステム及び方法によるハッキング攻撃認知及び原因分析性能の向上方法の概略的なフローチャートである。
【
図2】本発明の一実施形態に係る高性能パケットストリームの格納方法を、従来のパケットストリームの格納方法と比較して概略的に示す図である。
【
図3】本発明の一実施形態に係る高性能パケットストリームの格納システムを概略的に示す図である。
【
図4】本発明の一実施形態に係る高性能パケットストリームの格納方法を具体的に示す図である。
【
図5】本発明の一実施形態に係るパターンに基づく索引の処理方法を、従来のパターンに基づく索引の処理方法と比較して概略的に示す図である。
【
図6】本発明の一実施形態に係るパターンに基づく索引の処理方法を概略的に示す図である。
【
図7】本発明の一実施形態に係るパターンに基づく索引の処理方法を概略的に示すフローチャートである。
【
図8】本発明の一実施形態に係るシナリオ中心のリアルタイム攻撃感知方法を、従来の攻撃感知方法と比較して概略的に示す図である。
【
図9】本発明の一実施形態に係るシナリオ中心のリアルタイム攻撃感知方法を概略的に示す図である。
【
図10】本発明の一実施形態に係るシナリオ中心のリアルタイム攻撃感知システムにおいて単一検知シナリオが使用されるステップを示す図である。
【
図11】本発明の一実施形態に係るシナリオ中心のリアルタイム攻撃感知システムにおいて多重検知シナリオが使用されるステップを示す図である。
【発明を実施するための形態】
【0060】
本発明は、多様な変更を加えることができ、様々な実施形態を有することができるが、ここでは、特定の実施形態を図示し、これらについて詳述する。しかしながら、これは、本発明を特定の実施形態に限定するためのものではなく、本発明は、本発明の思想及び技術範囲に含まれる全ての変更、均等物ないし代替物を含むものと理解されるべきである。
【0061】
本発明を説明するにあたって、関連する公知の技術についての具体的な説明が本発明の要旨を余計に曖昧にする虞があると判断される場合にその詳細な説明は省く。なお、本明細書において用いられる数字(例えば、第1、第2など)は、ある構成要素を他の構成要素と区別するための識別記号に過ぎない。
【0062】
また、本明細書において、ある構成要素が他の構成要素と「連結される」または「接続される」などと言及されたときには、前記ある構成要素が前記他の構成要素と直接的に連結されてもよく、または、直接的に接続されてもよいが、特に反対の記載がない限り、これらが他の構成要素を介して連結されてもよく、または、接続されてもよいと理解されるべきである。
【0063】
また、本明細書で「~部」として表現される構成要素は、2つ以上の構成要素が一つの構成要素に合わせられるか、または一つの構成要素がさらに細分化された機能別に2つ以上に分化して備えられてもよい。そして、以下で説明する構成要素のそれぞれは、自分の担当する主機能以外にも他の構成要素の担当する機能のうち一部またはすべての機能をさらに行ってもよく、また構成要素のそれぞれが担当する主機能のうち一部の機能が他の構成要素によって行われてもよいということは言うまでもない。
【0064】
以下、本発明の技術的思想による実施形態を順次詳細に説明する。
【0065】
図1は、本発明の一実施形態に係るネットワークフォレンジックシステム及び方法によるハッキング攻撃認知及び原因分析性能の向上方法の概略的なフローチャートである。
【0066】
ハッキングの攻撃方法が多様化・複雑化しており、このため、パケット分析及び認知に多くの時間と費用がかかる。これを解決するための方案として、3つの問題の解決が必要である。
【0067】
第一に、攻撃の複雑さが高まるにつれて、パケット分析の難易度も増大する。第二に、事件発生時のイベントログだけではなく、攻撃のための事前行為から攻撃までの全体的な大容量パケットの分析が必要である。第三に、超高速ネットワーク網の収集及び分析の難しさが解決されるべきである。
【0068】
このため、
図1に示すような高性能パケットストリームの格納技術、パターンに基づく索引の処理技術及びシナリオ中心のリアルタイム攻撃の感知技術が開発された。
【0069】
図2は、本発明の一実施形態に係る高性能パケットストリームの格納方法を、従来のパケットストリームの格納方法と比較して概略的に示す図である。
【0070】
従来のパケット格納方式では、単にリアルタイムでパケットを収集して、ローカルディスクに直接的に格納する技術であって、10Gbpsのような超高速大容量のトラフィックを格納するために、高速なI/O性能が必須となり、高速ストレージを使わざるを得ない。これにより、セキュリティシステムの製品コストが増加するという問題を有する。
【0071】
このような問題を解決するために、本発明の一実施形態に係る高性能パケットストリームの格納システム及びこれを用いた高性能パケットストリームの格納方法では、分散格納処理を行ってデータの損失のない超高速パケット格納及び大容量データ処理を実現する。
【0072】
図3は、本発明の一実施形態に係る高性能パケットストリームの格納システムを概略的に示す図である。
図4は、本発明の一実施形態に係る高性能パケットストリームの格納方法を具体的に示す図である。
【0073】
本発明の一実施形態に係る高性能パケットストリームの格納システム100は、データ管理モジュール(DAM;Data Access Module)110、メモリ部120、格納部130、格納管理モジュール140及びメモリ管理モジュール(DMM;Data Memory Module)150を含んでもよい。
【0074】
格納部130は、ローカルディスク132及び/または遠隔地の複数の拡張ノード134を含んでもよく、格納管理モジュール140は、ディスク管理モジュール(DIM;Disk Interface Module)142及び/またはデータ分散管理モジュール(DDM;Data Distributed Module)144を含んでもよい。
【0075】
ネットワークはイントラネットとインターネットとを接続し、ネットワークを介して大容量のデータが超高速に伝送される。データ管理モジュール110は、ネットワークパケットデータの収集、解析(parsing)及びメモリ記録を行う装置であって、ネットワークを介して伝送されるデータトラフィックから原パケットデータをリアルタイムで収集することができる(S1110)。
【0076】
データ管理モジュール110は、パケットの収集量が収集設定値を超えるかどうかをチェックして(S1120)、パケットの収集量が収集設定値以下である場合には、リアルタイムで収集された原パケットデータをメモリ部120に確保されたメモリ領域に直ぐ記録することができる(S1130)。
【0077】
万一、データ管理モジュール110のパケットの収集量が収集設定値を超える場合には、データ管理モジュール110は、超過した量の原パケットデータのための追加メモリをメモリ部120で先行して確保し、収集設定値を再調整することができる(S1140)。
【0078】
これと共に、データ管理モジュール110は、収集された原パケットデータからメタデータを抽出し、メモリ部120に確保されたメモリ領域に記録することができる。メタデータは、出発地IP、出発地ポート、目的地IP、目的地ポート、プロトコルなどを含んでもよい。
【0079】
データ管理モジュール110は、パケットIP/ポート分析を行い(S1150)、TCP/UDPパケット分析(S1160)を行うことができるが、これに限定されるものではなく、パケットIP/ポート分析及びTCP/UDPパケット分析のうちいずれか一つのみを行ってもよい。
【0080】
データ管理モジュール110は、抽出されたメタデータから例外情報をフィルタリングして、例外情報に対応する原パケットデータをメモリ記録対象から除外することができる(S1170)。ここで、例外情報は、個人情報、特定人が伝送する情報、特定のIPに関する情報などであってもよい。
【0081】
収集された原パケットデータと抽出されたメタデータとは、所定の記録周期の間にメモリ部120のメモリ領域に記録された後に(S1180)、格納管理モジュール140により格納部130に格納されてもよい。例えば、収集された原パケットデータと抽出されたメタデータとは、メモリ部120のメモリに1分間記録されてもよく、このように1分間記録された原パケットデータとメタデータとは取り合わせられて、1分単位で格納部130にデータベース化されて格納される準備ができる(S1190)。格納管理モジュール140は、原パケットデータとメタデータとをメモリ部120から格納部130へと格納してデータベース化することができる。
【0082】
格納管理モジュール140は、原パケットデータとメタデータとをローカルディスク132に格納するか、拡張ノード134に分散格納するかを選択する(S1200)。
【0083】
ネットワーク速度が所定の基準以下である場合に、ディスク管理モジュール142は、原パケットデータとメタデータとをメモリ部120からローカルディスク132へと直接的に格納することができる(S1210)。ディスク管理モジュール142は、OSを経由せずにローカルディスク132に直接アクセスするので、最も急速に原パケットデータとメタデータとをローカルディスク142に格納することができる。原パケットデータとメタデータとは、所定の記録周期単位(例えば、1分単位)でローカルディスク132に記録される。
【0084】
ネットワーク速度が所定の基準を超える場合に、データ分散管理モジュール144は、原パケットデータとメタデータとをメモリ部120から拡張ノード134へと分散格納することができる(S1220)。分散格納方式は、大規模な構造化されたデータを複数の部分に分割した後、分散して格納及び管理する方式であり、公知の分散格納方式が使用されてもよい。
【0085】
このような構成により、ネットワーク速度が超高速になっても、格納部のハードウェアの性能を高めることなくデータの損失なしで全て格納可能になる。
【0086】
図4に示すように、原パケットデータとメタデータとは、データベース化されて格納部130に格納され、メタデータは、パケットデータを要約した情報として、データに対する迅速な情報検索のために使用され、原パケットデータは、ハッキングの有無を調べるための原データとして使用される。
【0087】
メモリ管理モジュール150は、パケットの格納及び分析に使用されたメモリ領域を管理し、原パケットデータとメタデータとがメモリ部120から格納部130へと格納された後に、メモリ管理モジュール150が、原パケットデータとメタデータとが記録されていたメモリ部120のメモリ領域を返却することができる(S1230)。
【0088】
図5は、本発明の一実施形態に係るパターンに基づく索引の処理方法を、従来のパターンに基づく索引の処理方法と比較して概略的に示す図である。
【0089】
従来の索引方式は、大容量のパケットデータに対して、決められた時間に決められたパターンを索引処理する方法であった。すなわち、アプリケーション分析基本モジュールが大容量のパケットデータを分析し、これに基づいて、メタデータ抽出モジュールがメタデータを抽出する構成であった。
【0090】
これに対し、本発明の一実施形態に係るパターンに基づく索引の処理方法によれば、様々な攻撃シナリオ及び環境に対応するために、ユーザ定義の索引データを生成することができ、索引処理は、リアルタイムの索引処理だけでなく、問題となる時点のデータをユーザが指定して再索引する機能を提供することができる。
【0091】
すなわち、本発明の一実施形態に係るパターンに基づく索引の処理方法によれば、パターンに基づくユーザ定義の索引管理インタフェースが、原パケットデータにユーザパターンの索引処理を行うことができ、アプリケーション基本モジュールにアプリケーションのパターンを追加することもでき、メタデータ抽出モジュールにメタデータのパターンを追加することもできる。本発明の一実施形態に係るパターンに基づく索引の処理方法によれば、格納部に格納された原パケットデータを分析するため、従来の決められた時間に決められたパターンを索引処理する方式に加えて、必要な時間に必要なパターンを索引処理することができる。
【0092】
図6は、本発明の一実施形態に係るパターンに基づく索引の処理方法を概略的に示す図である。
図7は、本発明の一実施形態に係るパターンに基づく索引の処理方法を概略的に示すフローチャートである。
【0093】
本発明の一実施形態に係るパターンに基づく索引の処理方法によれば、シナリオに基づく様々なパターンを定義し、セッション(session)に基づくパケットをパターンに合わせて分類及び再定義して様々なハッキングの試みを分析することができる。
【0094】
本発明の一実施形態に係るパターンに基づく索引の処理システムは、データ組み換えモジュール、アプリケーション分析モジュール及びメタデータ抽出モジュールを含んでもよい。
【0095】
格納部130に所定の記録周期単位で格納された原パケットデータは、索引化作業のために、組み換えモジュールにより組み換えられてもよい。組み換えモジュールは、格納部130に格納された原パケットデータのTCP(トランスミッションコントロールプロトコル)ヘッダ情報に基づいて、格納部130に格納されていた原パケットデータを組み換える(S2110)。
【0096】
このように組み換えられた原パケットデータに基づき、アプリケーション分析モジュールは、アプリケーションの分析を開始する(S2120)。アプリケーション分析モジュールは、原パケットデータがどのような種類のアプリケーションにより生成されたデータであるかを判断する。
【0097】
アプリケーション分析モジュールは、組み換えられた原パケットデータに対して、RFC規格を基準としてアプリケーションを判断することができ(S2130)、RFC規格で定義されていないアプリケーションを判断するために、ユーザが定義したルールを使用することができる(S2140)。
【0098】
このような方式により、組み換えられた原パケットデータを生成したアプリケーションが確認されると(S2150)、メタデータ抽出モジュールは、組み換えられた原パケットデータからメタデータを抽出することができる(S2160)。原パケットデータがRFC規格で定義されたアプリケーションにより生成された場合には、RFC標準規格に基づいてメタデータを抽出することができ(S2170)、原パケットデータがRFC規格で定義されていないアプリケーションにより生成された場合には、ユーザが定義したルールに従ってメタデータを抽出することができる(S2180)。
【0099】
アプリケーション分析モジュールがアプリケーションを判断するために使用するユーザ定義ルールと、メタデータ抽出モジュールがメタデータを抽出するために使用するユーザ定義ルールとは、パターンに基づくユーザ定義の索引管理インタフェースにより定義されてもよい。
【0100】
メタデータ抽出モジュールは、このように抽出されたメタデータを索引化作業により最終的に索引化する(S2180)。
【0101】
図6に示すように、メタデータは、アプリケーション別に抽出され、索引化されてもよい。例えば、アプリケーションがHTTPであることが確認されると、抽出されたメタデータは、URL、Web情報、添付ファイルなどとして索引化され、アプリケーションがFTPであることが確認されると、抽出されたメタデータは、ログインID、サーバID、添付ファイルなどとして索引化され、アプリケーションがSMTPであることが確認されると、抽出されたメタデータは、送信者、受信者、添付ファイルなどとして索引化され、アプリケーションがDNSであることが確認されると、抽出されたメタデータは、ドメインのクエリ、サーバのクエリなどとして索引化され、アプリケーションがSSLであることが確認されると、抽出されたメタデータは、サーバ証明書、URL、サービス情報などとして索引化されてもよい。また、アプリケーションがユーザ定義のルールにより定義されたアプリケーションであることが確認されると、抽出されたメタデータは、それに合わせて定義された形態として索引化されてもよい。
【0102】
メタデータ抽出モジュールは、一つのアプリケーションの索引ごとに様々なメタデータの索引を組み合わせることができる。
【0103】
図8は、本発明の一実施形態に係るシナリオ中心のリアルタイム攻撃感知方法を、従来の攻撃感知方法と比較して概略的に示す図である。
【0104】
従来は、状況及び条件別に繰り返し検索を行ってデータ分析を実施した。例えば、出発地/目的地情報は、Webホストアドレス、アプリケーション、出発地/目的地の国、Webメタ-Method、Webメタ-Return code、Webメタ-Path、Webメタ-X forwarded、接続持続時間、アップロード/ダウンロードファイル、パケット数、プロトコルの種類などの108種の条件を繰り返し検索する方法を使用していた。
【0105】
これに対し、本発明の一実施形態に係るシナリオ中心のリアルタイム攻撃感知方法によれば、索引統合過程によりハッキングのシナリオ別データを分類して迅速にハッキング事故を分析することができる。すなわち、パターンに基づく索引データ(例えば、出発地/目的地、国家情報、接続持続時間、添付ファイルの種類、Eメールの差出人など)を統合して、継続的に発生するハッキング事故パターンに対するパターンモデリングを行うことで複数のシナリオを予め作成し、シナリオが成立するようにする原パケットデータのみを確認する方法を使用する。
【0106】
図9は、本発明の一実施形態に係るシナリオ中心のリアルタイム攻撃感知方法を概略的に示す図である。
【0107】
本発明の一実施形態に係るシナリオ中心のリアルタイム攻撃感知システムを用いたシナリオ中心のリアルタイム攻撃感知方法によれば、まず、シナリオ生成モジュールは、索引化されたメタデータに適用されるシナリオを形成するステップを行い、メタデータ抽出モジュールは、原パケットデータからメタデータを抽出して索引化するステップを行い、メタデータ検知モジュールは、シナリオに対応する索引化されたメタデータを検知するステップを行うことができる。
【0108】
ここで、シナリオは、索引化されたメタデータに適用される単一検知シナリオと、複数の単一検知シナリオを組み合わせた多重検知シナリオとを含んでもよい。また、メタデータ抽出モジュールが、パケットデータからメタデータを抽出して索引化するステップにおいて、アプリケーションの分析及びそれに基づいたメタデータの抽出及び索引化について前述したが、必ずしもアプリケーションの分析に基づいてメタデータを抽出及び索引化することが必要であるとは言えず、アプリケーションの分析を行わなくてもよい。
【0109】
単一検知シナリオは1つ以上の成立条件を含み、成立条件がすべて満たされる場合に、当該メタデータ及びこれに対応するパケットデータは、シナリオが成立したと判断する。成立条件は、索引タイプ及びパターン情報を含んでもよい。索引タイプ及びパターン情報の例については、
図10及び
図11を参照して後述する。
【0110】
図9に示すように、シナリオ中心のリアルタイム攻撃感知システムは、生成された索引のメタデータ(例えば、サーバ国家情報、接続持続時間、Web添付ファイルの種類、Web添付ファイルの方向、アプリケーションの種類、Eメールの差出人、Eメールの本文、出発地IP、目的地IP、WebのURLアドレスなど)を統合して単一検知シナリオを生成するために使用することができる。
【0111】
例えば、単一検知シナリオは、データ流出シナリオ、ウイルスダウンロードシナリオ、C&C接続シナリオ、インサイダー情報漏洩シナリオなどを含んでもよい。
【0112】
データ流出シナリオは、Web添付ファイルの種類、Web添付ファイルの方向という索引から構成されてもよい。Web添付ファイルの種類としては、pdf、hwp、docxなどを定義し、Web添付ファイルの方向としては、アップロードを定義してもよい。
【0113】
ウイルスダウンロードシナリオは、Web添付ファイルの種類、Web添付ファイルの方向という索引から構成されてもよい。Web添付ファイルの種類としては、exe、dllなどを定義し、Web添付ファイルの方向としては、ダウンロードを定義してもよい。
【0114】
C&C接続シナリオは、アプリケーションの種類、サーバ国家情報という索引から構成されてもよい。アプリケーションの種類としては、IRC、HTTPなどを定義し、サーバ国家情報としては、中国、ロシアなどを定義してもよい。
【0115】
インサイダー情報漏洩シナリオは、Eメールの差出人、Eメールの本文という索引から構成されてもよい。Eメールの差出人としては、特定のドメインのサーバを定義し、Eメールの本文としては、「機密」、「社外秘」という単語を含む内容を定義してもよい。
【0116】
シナリオ生成モジュールは、このように生成された単一検知シナリオの複数個を組み合わせて多重検知シナリオを生成することができる。たとえば、多重検知シナリオは、APT攻撃シナリオ、機密情報漏洩シナリオなどを含んでもよい。
【0117】
APT攻撃シナリオは、ウイルスダウンロードシナリオ、C&C接続シナリオ及びデータ流出シナリオをすべて成立させた場合に成立し、機密情報漏洩シナリオは、インサイダー情報漏洩シナリ及びデータ流出シナリオの両方を成立させた場合に成立することができる。
【0118】
図10は、本発明の一実施形態に係るシナリオ中心のリアルタイム攻撃感知システムにおいて、単一検知シナリオが使用されるステップを示す図である。
図11は、本発明の一実施形態に係るシナリオ中心のリアルタイム攻撃感知システムにおいて多重検知シナリオが使用されるステップを示す図である。
【0119】
例えば、
図10に示すように、単一検知シナリオのルールID1は、2つの条件を有することができる。条件1の場合、索引タイプ(Index Type)はHTTP URLとして設定され、パターン情報(Rule Pattern)はwww.dropbox.comとして設定されてもよい。条件2の場合、索引タイプはHTTP Upload Typeとして設定され、パターン情報はdocxとして設定されてもよい。このような場合、www.dropbox.comに接続し(条件1満足)、docx拡張子のファイルをアップロードする際(条件2満足)に、Webハードに添付ファイルのアップロード行為が行われたと検知することができる。
【0120】
また、単一検知シナリオのルールID2は、1つの条件だけを有することができる。条件1の場合、索引タイプ(Index Type)はSSL(Secure Sockets Layer)ドメインとして設定され、パターン情報(Rule Pattern)はsaramin.co.krとして設定されてもよい。このような場合、SSL ドメインとしての転職サイトsaramin.co.krに接続する際に、転職サイトに接続する行為が行われたと検知することができる。
【0121】
多重検知シナリオは、二つ以上の単一検知シナリオがすべて成立し、多重検知シナリオの共通条件が成立した場合にシナリオが成立したと判断することができる。
【0122】
例えば、
図11に示すように、多重検知シナリオのルールID3は、単一検知シナリオのルールID1とルールID2とを満足させるが、共通の条件としてルールID1とルールID2とを満足させるパケットデータのソースIP(SIP;Source IP)が同一である場合(
図11では、192.168.10.147)にシナリオが成立したと判断し、この場合、機密情報漏洩行為が行われたと検知することができる。
【0123】
このような方式により、さまざまなシナリオを形成して、ハッキングの疑いのあるデータをより速く、より正確に見つけて分析を行うことができ、攻撃を迅速に感知することができる。
【0124】
以上、本明細書で説明した機能的動作と本主題に関する実施形態は、本明細書で開示された構造及びその構造的等価物を含めて、ディジタル電子回路網で、又はコンピュータソフトウェア、ファームウェア、若しくはハードウェア、或いはこれらのうちの一つ以上の組み合わせで実施可能である。
【0125】
本明細書で述べる主題の実施形態は、1つ以上のコンピュータプログラム製品、すなわち、データ処理装置による実行のために、またはその動作を制御するために有形のプログラム媒体上に符号化されるコンピュータプログラム命令に関する1つ以上のモジュールとして実施されてもよい。有形のプログラム媒体は、電波形信号またはコンピュータ可読媒体であってもよい。電波形信号は、コンピュータによる実行のために適切な受信機装置に伝送するための情報を符号化するために生成される、例えば機械が生成した電気的、光学的、あるいは電磁信号のような人工的に生成された信号である。コンピュータ可読媒体は、機械可読記憶装置、機械可読記憶基板、メモリ装置、機械可読電波形信号に影響を与える物質の組み合わせ、あるいはこれらのうちのいずれか1つ以上の組み合わせであってもよい。
【0126】
コンピュータプログラム(プログラム、ソフトウェア、アプリケーション、ソフトウェアアプリケーション、スクリプト、又はコードとも称する)を、コンパイルされる言語又は解釈される言語や先験的または手続き的言語を含む任意の形のプログラミング言語で記述することができ、独立型プログラムとして、又はモジュール、コンポーネント、サブルーチン、若しくはコンピューティング環境内での使用に適する他のユニットとしてを含めて、任意の形で展開することができる。
【0127】
コンピュータプログラムは、必ずしも、ファイルシステム内のファイルに対応するものであるとは言えない。プログラムを、要求されたプログラムに提供される単一のファイル内に、あるいは多重の相互作用するファイル(例えば、1つ以上のモジュール、サブプログラム、又はコードの一部を格納するファイル)内に、あるいは他のプログラムやデータを保持するファイルの一部(例えば、マークアップ言語文書内に格納される1つ以上のスクリプト)内に格納することができる。
【0128】
コンピュータプログラムは、1つのサイトに配置されるか、または複数のサイトにまたがって分散されて、通信ネットワークにより相互接続される多重コンピュータまたは1つのコンピュータ上で実行されるように展開されてもよい。
【0129】
さらに、本明細書で述べる論理の流れ及び構造的なブロック図は、開示される構造的な手段の支援を受ける対応機能と、ステップの支援を受ける対応行為及び/または特定の方法について述べるものであって、対応ソフトウェア構造とアルゴリズムとその等価物を構築するためにも使用可能である。
【0130】
本明細書で述べるプロセス及び論理の流れは、入力データ上で動作し出力を生成することによって機能を実行するために、一つ以上のコンピュータプログラムを実行する一つ以上のプログラム可能なプロセッサにより実行可能である。
【0131】
コンピュータプログラムの実行に適するプロセッサは、たとえば、汎用と特殊目的との両方のマイクロプロセッサ、並びにすべての種類のディジタルコンピュータの任意の1つ以上のプロセッサを含む。一般に、プロセッサは、読取り専用メモリ又はランダムアクセスメモリ或いはその両方から命令及びデータを受信する。
【0132】
コンピュータの必須の要素は、命令語及びデータを格納するための1つ以上のメモリ装置、及び命令を実行するためのプロセッサである。また、コンピュータは、一般に、データを格納するための1つ以上の大容量記憶装置、たとえば磁気ディスク、光磁気ディスクもしくは光ディスクも含み、当該1つ以上の大容量記憶装置からデータを受信したり、当該1つ以上の大容量記憶装置にデータを送信したり、もしくは当該1つ以上の大容量記憶装置との間でデータを送受信したりするように動作可能に結合される。しかし、コンピュータは、そのような装置を持つ必要がない。
【0133】
本技術の説明では、本発明の最良のモードを提示しており、本発明を説明するための、さらに本発明を製作及び利用するための例を当業者に提供している。このように作成された明細書は、その提示された具体的な用語により本発明を制限するものではない。
【0134】
したがって、上述した例を参照して本発明を詳細に説明したが、当業者であれば、本発明の範囲を逸脱しない限り、本例に対する改造、変更及び変形が可能である。要するに、本発明が意図する効果を得るために図面に示される全ての機能ブロックを別途に含めたり、図面に示されるすべての順序をそのとおりに行ったりするわけではなく、それとは関係なくいかなる方法でも請求項に記載の本発明の技術的範囲に属することができるということを明らかにする。
【符号の説明】
【0135】
110 データ管理モジュール
120 メモリ部
130 格納部
140 格納管理モジュール
150 メモリ管理モジュール