오아시스시큐리티
C2 서버 간 유사도를 판단하는 방법 및 이를 수행하는 장치
METHOD FOR DETERMINING SIMILARITY BETWEEN C2 SERVERS, AND DEVICE FOR PERFORMING THEREOF
특허 요약
본 출원의 일 실시예에 따른 C2(command and control) 서버 간 유사도를 판단하는 방법은, 복수의 C2 서버들의 속성들을 나타내는 속성 정보를 획득하는 단계, 상기 복수의 C2 서버들 각각에 대한 적어도 하나의 속성 정보를 임베딩 모델에 입력하여 상기 복수의 C2 서버들의 속성 벡터들을 생성하는 단계, 생성된 속성 벡터들을 데이터베이스에 저장하는 단계, 상기 데이터베이스에 저장된 속성 벡터들 중 제 1 C2 서버와 제 2 C2 서버의 유사도를 판단하기 위한 속성 벡터들을 추출하는 단계 및 추출된 속성 벡터들에 기반하여 제 1 C2 서버 및 제 2 C2 서버의 유사도를 판단하는 단계를 포함하는 것을 일 특징으로 한다. 본 발명의 일 실시 예에 따르면, 유사한 C2 서버들을 식별함으로써 새로운 공격 시도를 선제적으로 탐지하고 차단할 수 있다.
청구항
번호청구항
1

C2 서버간 유사도를 분석하는 방법을 수행하는 장치가, C2(command and control) 서버 간 유사도를 판단하는 방법에 있어서,네트워크에 연결된 복수의 C2 서버들에게 랜덤하게 요청 메시지를 전송하고, 요청 메시지에 대한 응답 메시지를 수신하여 상기 복수의 C2 서버들의 속성들을 나타내는 속성 정보를 획득하는 단계; 상기 복수의 C2 서버들 각각에 대한 적어도 하나의 속성 정보를 임베딩 모델에 입력하여 상기 복수의 C2 서버들 각각에 대한 적어도 하나의 속성 벡터들을 생성하는 단계;생성된 속성 벡터들을 데이터베이스에 저장하는 단계;상기 데이터베이스에 저장된 속성 벡터들 중 제 1 C2 서버와 제 2 C2 서버의 유사도를 판단하기 위한 속성 벡터들을 추출하는 단계; 및추출된 속성 벡터들에 기반하여 제 1 C2 서버 및 제 2 C2 서버의 유사도를 판단하는 단계;를 포함하는C2 서버 간 유사도 판단 방법.

1

제1항에 있어서,상기 추출된 속성 벡터들에 기반하여 제 1 C2 서버 및 제 2 C2 서버의 유사도를 판단하는 단계는,제 1 C2 서버의 제 1 속성 벡터와 제 2 서버의 제 1 속성 벡터의 제 1 속성 유사도를 판단하는 단계; 제 1 C2 서버의 제 N 속성 벡터와 제 2 서버의 제 N 속성 벡터의 제 N 속성 유사도를 판단하는 단계; 및제 1 속성 유사도 내지 제 N 속성 유사도에 기반하여 제 1 C2 서버 및 제 2 C2 서버의 유사도를 판단하는 단계;를 포함하는C2 서버 간 유사도 판단 방법.

1

제1항에 있어서,상기 속성들의 타입을 나타내는 속성 타입 정보를 임베딩 모델에 입력하여 속성 타입 벡터들을 생성하는 단계; 및생성된 속성 타입 벡터들을 상기 데이터베이스에 저장하는 단계;를 더 포함하는C2 서버간 유사도 판단 방법.

1

제3항에 있어서,상기 추출된 속성 벡터들에 기반하여 제 1 C2 서버 및 제 2 C2 서버의 유사도를 판단하는 단계는,추출된 속성 벡터들의 타입에 대응하는 속성 타입 벡터들을 추출하는 단계; 및추출된 속성 벡터들 및 추출된 속성 타입 벡터들에 기반하여 제 1 C2 서버 및 제 2 C2 서버의 유사도를 판단하는 단계;를 더 포함하는C2 서버간 유사도 판단 방법.

1

제1항에 있어서,상기 데이터베이스에 저장된 속성 벡터들 중 제 1 C2 서버와 제 2 C2 서버의 유사도를 판단하기 위한 속성 벡터들을 추출하는 단계는,추출된 제 1 C2 서버의 복수의 속성 벡터들로 구성된 상기 제 1 C2 서버의 속성 벡터 시퀀스를 생성하는 단계; 및추출된 제 2 C2 서버의 복수의 속성 벡터들로 구성된 상기 제 2 C2 서버의 속성 벡터 시퀀스를 생성하는 단계;를 포함하는C2 서버간 유사도 판단 방법.

1

삭제

1

제1항에 있어서,속성 정보는 C2 서버의 도메인 이름, 도메인 등록처 또는 상기 C2 서버로부터 수신된 응답 메시지에 포함된 상기 C2 서버와 관련된 정보 중 적어도 하나를 나타내는 텍스트인 것을 특징으로 하는C2 서버 간 유사도 판단 방법.

1

제1항에 있어서,상기 복수의 C2 서버들 각각에 대한 적어도 하나의 속성 정보를 임베딩 모델에 입력하여 상기 복수의 C2 서버들의 속성 벡터들을 생성하는 단계는,상기 제 1 C2 서버에 대한 제 1 속성 정보를 제 1 임베딩 모델에 입력하여 제 1 속성 벡터를 생성하는 단계; 및상기 제 1 C2 서버에 대한 제 2 속성 정보를 제 2 임베딩 모델에 입력하여 제 2 속성 벡터를 생성하는 단계;를 포함하는C2 서버간 유사도 판단 방법.

1

제8항에 있어서,제 1 속성 벡터 및 제 2 속성 벡터의 크기(dimension)가 모두 동일한 것을 특징으로 하는C2 서버간 유사도 판단 방법.

1

컴퓨터에 제1항 내지 제5항 및 제 7항 내지 제9항 중 어느 하나의 항에 따른 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록 매체.

1

C2 서버 간 유사도를 분석하는 방법을 실행하는 장치에 있어서,C2 서버와 데이터를 송수신하는 통신부;메모리 및 데이터베이스를 포함하는 저장부; 및 프로세서;를 포함하고,상기 프로세서는,네트워크에 연결된 복수의 C2 서버들에게 랜덤하게 요청 메시지를 전송하고, 요청 메시지에 대한 응답 메시지를 수신하여 상기 복수의 C2 서버들의 속성들을 나타내는 속성 정보를 획득하고,상기 복수의 C2 서버들 각각에 대한 적어도 하나의 속성 정보를 임베딩 모델에 입력하여 상기 복수의 C2 서버들 각각에 대한 적어도 하나의 속성 벡터들을 생성하고,생성된 속성 벡터들을 데이터베이스에 저장하고,상기 데이터베이스에 저장된 속성 벡터들 중 제 1 C2 서버와 제 2 C2 서버의 유사도를 판단하기 위한 속성 벡터들을 추출하고,추출된 속성 벡터들에 기반하여 제 1 C2 서버 및 제 2 C2 서버의 유사도를 판단하는장치.

도면대표도면