방화벽 로그 기반 객체 이상 행위 탐지 기술
o 기존의 CTI 기반 보안 솔루션에 추가적인 보안 이벤트 및 내부정보기반 위협모델 연관성 분석을 통해 네트워크 및 시스템에 대한 공격 탐지 및 대응하는 보안관제 기술 개발이 필요하며. AI 기술을 적용하여 사용자 및 객체의 이상행위 자동 분석을 통해 알려지지 않은 사이버 위협 행위에 대한 판별도 가능하며, 사이버 위협에 대해 탐지 정확성 및 신속한 대응이 가능한 기술 개발이 필요함.
o 본 방화벽 로그 기반 객체 이상 행위 탐지 기술은 공격의 3단계인 초기 접속(Initial Access) 단계, 통신채널 구축(Establish C2) 단계, 데이터 유출(Data Exfiltration) 단계에서의 이상 행위 탐지 기술로 구성하여, 공격자의 우회 공격을 포함한 다양한 공격 시나리오 대한 이상 행위를 효과적으로 탐지하고자 함
방화벽 로그 기반의 네트워크 이상 행위를 탐지할 수 있는 기술이며, 사이버 위협 3단계인 초기 접속(Initial Access)단계, 통신채널 구축(Establish C2) 단계, 데이터 유출(Data Exfiltration) 단계에서 각각 이상행위 탐지를 수행하여 공격자가 우회를 하더라도 다음 단계에서 탐지될 가능성이 높은 장점이 있으며, 실제 방화벽 로그 데이터 기반으로 개발되어 실제 운영 환경에 적용가능한 수준임
A. 세부기술1: 방화벽 로그 기반 객체 이상 행위 탐지 기술(초기 접속 탐지)
o 공격의 시작 단계인 초기 접속(Initial Access)에 대한 객체 이상 행위 탐지 기능
B. 세부기술2: 방화벽 로그 기반 객체 이상 행위 탐지 기술(통신채널 탐지)
o 공격자가 감염된 시스템과 지속적으로 통신하기 위한 C2(Command & Control) 채널 구축에 대한 객체 이상 행위 탐지 기능
C. 세부기술3: 방화벽 로그 기반 객체 이상 행위 탐지 기술(서버접속 기반 정보유출 탐지)
o 공격자가 감염된 시스템과 구축된 통신채널을 통한 데이터 전송 시, 사용자의 서버 접속 횟수 기반 이상 행위 탐지 기능
D. 세부기술4: 방화벽 로그 기반 객체 이상 행위 탐지 기술(통신량 기반 정보유출 탐지)
o 공격자가 감염된 시스템과 구축된 통신채널을 통한 데이터 전송 시, 사용자와 서버의 통신량 기반 이상 행위 탐지 기능
A. 세부기술 1: 방화벽 로그 기반 객체 이상 행위 탐지 기술(초기 접속 탐지)
- 특 허: 1건
- 기술문서: 2건
- 프로그램: 1건 (소스코드 제공)
B. 세부기술 2: 방화벽 로그 기반 객체 이상 행위 탐지 기술(통신채널 탐지)
- 특 허: 1건
- 기술문서: 2건
- 프로그램: 1건 (소스코드 제공)
C. 세부기술 3: 방화벽 로그 기반 객체 이상 행위 탐지 기술(서버접속 기반 정보유출 탐지)
- 특 허: 1건
- 기술문서: 2건
- 프로그램: 1건 (소스코드 제공)
D. 세부기술 4: 방화벽 로그 기반 객체 이상 행위 탐지 기술(통신량 기반 정보유출 탐지)
- 특 허: 1건
- 기술문서: 2건
- 프로그램: 1건 (소스코드 제공)
o 본 기술은 다음 분야에 적용될 수 있음
- 인공지능 기반 UEBA(User and Entity Behavior Analytics) 분야
- 방화벽 로그 등 로그 관리 분야
- 네트워크 보안관제 분야
o 기대 효과
- 본 기술은 방화벽 로그 기반의 네트워크 사이버 위협에 대한 탐지 정확성 및 신속적 대응이 가능함
- 본 기술은 공격의 초기 접속(Initial Access(Exploit)), 통신채널 구축(Establish C2), 데이터 유출(Data Exfiltration) 단계에서 이상 행위를 탐지하는 기술로 실시간뿐 아니라, 알려지지 않은 사이버 위협 등 잠재적 위협까지 탐지가 가능함
- 본 기술을 통해 사이버 보안 공격으로부터 사용자가 안전하게 사용할 수 있으므로 보안관제 시장의 활성화가 기대됨