본 기술은 리눅스 플랫폼 상에서 동작하며 사이버 블랙박스(CBS)에서 수집한 패킷, 플로우, 파일 정보를 가지고 사이버 공격의 원인분석을 하는 기술에 관한 것이다.
- 침해사고의 신속한 원인 파악 및 대응을 위해 침해공격 원인분석 기술에 대한 필요성이 증가하고 있다. 3.20 사이버테러 등 주요 침해사고 원인분석에 수개월 이상이 소요되었으며 공격원인분석에 필요한 로그 정보가 남지 않는 한계가 존재하였다. 기존 보안장비를 통해 탐지되지 않는 공격이 대부분이며, 또한 공격 흔적을 남기지 않기 때문에 공격에 대한 원인 규명이 어려웠다. 침해사고를 인지한 이후에도 공격원인을 알 수 없어 보안 관리자가 할 수 있는 일에 한계가 존재하였다.
- 침해공격에 대한 능동적 분석도구 지원이 필요하다. 사이버 공격의 원인분석을 위하여 수많은 네트워크 정보에 대한 고속 검색이 필요하게 되고 기존의 보안 장비들과의 연동이 요구된다. 또한 수집된 파일 및 아이피에 대한 악성여부 분석이 필요하고 침해사고 원인분석을 원활히 하기 위하여 네트워크 정보에 대한 효과적인 시각화 기술이 필요하게 되었다.
- 본 기술은 고속 네트워크 상에서 사이버 블랙박스를 통하여 수집된 네트워크 플로우 정보에 대하여 비트맵 인덱스를 생성함으로써 고속 검색이 가능함
- 본 기술은 VirusTotal과의 연동을 통하여 수집된 파일 및 아이피에 대한 악성분석 정보를 수신할 수 있고, 기존의 IDS 보안장비의 경고메시지를 수신하여 원인분석에 활용할 수 있음
- 본 기술은 네트워크 정보를 공간도메인, 시간도메인, 타임라인 분석 등으로 시각화하여 침입탐지 원인분석을 직관적으로 파악할 수 있음
- 네트워크 플로우를 고속으로 검색하고 다른 보안 시스템과의 연동을 통하여 IP 및 파일의 악성여부를 분석하고 침해사고 원인분석을 시각화 하는 기술
A. 기술명: 사이버 블랙박스 기반의 침해사고 원인분석 도구
- 네트워크 플로우 고속 검색 기술
- 외부 보안 시스템과의 연동 기술
- 침해사고 원인분석 결과의 시각화 기술
A. 기술명 : 사이버 블랙박스 기반의 침해사고 원인분석 도구
- 소스코드: 사이버 블랙박스 원인분석 프로그램
- 문서: 시스템 설계서, 기술문서
- 특허
- 본 기술은 보안담당자가 있는 기관 및 업체에서 사이버 블랙박스와 원인분석 시스템을 활용하여 사이버 공격에 대한 신속한 원인분석이 가능함.
- APT 공격과 같은 복합적이고 장기적인 공격에 신속한 대응 가능함
- 사이버 공격에 대한 증거 수집을 통해 침해사고 과실여부 등 책임 소재 파악 및 법적 증거자료 제공 가능