KR100432168B1 - Multiple Intrusion Detection Objects in Security Gateway System for Network Intrusion Detection - Google Patents

Multiple Intrusion Detection Objects in Security Gateway System for Network Intrusion Detection Download PDF

Info

Publication number
KR100432168B1
KR100432168B1 KR10-2001-0086312A KR20010086312A KR100432168B1 KR 100432168 B1 KR100432168 B1 KR 100432168B1 KR 20010086312 A KR20010086312 A KR 20010086312A KR 100432168 B1 KR100432168 B1 KR 100432168B1
Authority
KR
South Korea
Prior art keywords
intrusion
intrusion detection
pattern
network
audit data
Prior art date
Application number
KR10-2001-0086312A
Other languages
Korean (ko)
Other versions
KR20030056148A (en
Inventor
김병구
정연서
류걸우
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2001-0086312A priority Critical patent/KR100432168B1/en
Publication of KR20030056148A publication Critical patent/KR20030056148A/en
Application granted granted Critical
Publication of KR100432168B1 publication Critical patent/KR100432168B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Abstract

본 발명은 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템에 관한 것으로, 하위 네트워크 계층인 인터페이스로부터 실제 네트워크 패킷을 받아서 축약 감사 데이터를 생성하는 네트워크 패킷정보 추출수단; 상기 네트워크 패킷정보 추출수단에서 생성된 축약 감사 데이터에 대해 다중 침입탐지 객체를 이용하여 침입 유무를 분석하고 그 분석 결과를 사이버 순찰 에이전트로 제공해 주는 네트워크 침입탐지 수행수단; 상기 네트워크 침입탐지 수행수단에서 침입 유무를 판정하기 위해서 요구되는 침입패턴이 저장된 침입패턴 데이터베이스; 보안 게이트웨이 시스템에 대한 전체 관리 및 경보 메시지 생성 및 전달을 담당하는 사이버 순찰 에이전트; 및 상기 사이버 순찰 에이전트로부터의 정책 전달 및 경보 메시지 전달을 담당하는 경보 처리수단;를 포함하며, 이러한 구성에 의하면 네트워크로부터 패킷을 수집하고 다중 침입탐지 객체를 이용함으로써 침입여부를 판단할 수 있다.The present invention relates to a security gateway system using multiple intrusion detection objects, comprising: network packet information extracting means for receiving actual network packets from an interface which is a lower network layer and generating abbreviated audit data; Network intrusion detection performing means for analyzing the presence or absence of intrusion using the multiple intrusion detection objects for the reduced audit data generated by the network packet information extracting means and providing the analysis result to the cyber patrol agent; An intrusion pattern database in which an intrusion pattern required for determining an intrusion in the network intrusion detection performing means is stored; A cyber patrol agent responsible for the overall management and generation and delivery of alert messages for the secure gateway system; And an alert processing unit that is in charge of policy delivery and alert message delivery from the cyber patrol agent. According to this configuration, it is possible to determine whether an intrusion is obtained by collecting packets from a network and using multiple intrusion detection objects.

Description

다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템 및 침입 탐지방법{Multiple Intrusion Detection Objects in Security Gateway System for Network Intrusion Detection}Multiple Intrusion Detection Objects in Security Gateway System for Network Intrusion Detection}

본 발명은 네트워크 침입탐지를 위한 보안 게이트웨이 시스템에 관한 것으로, 상세하게는 네트워크로부터 패킷을 수집하고 이로부터 침입 여부를 판단하도록 된 다중 침입탐지 객체를 이용한 게이트웨이 시스템 및 침입 탐지방법에 관한 것이다.The present invention relates to a security gateway system for network intrusion detection, and more particularly, to a gateway system and an intrusion detection method using multiple intrusion detection objects configured to collect packets from a network and determine whether there is an intrusion therefrom.

인터넷의 발전은 전송 속도의 고속화, 대용량의 데이터 전송 등을 가져와 업무 효율을 향상시키고 생활의 질을 높여주며 국가 경쟁력을 강화시켜주는 긍정적인 효과를 거두고 있는 반면에, 인터넷 확장으로 인한 외부자의 시스템 불법 침입, 중요 정보의 유출 및 변경 훼손 불법적인 사용, 컴퓨터 바이러스 및 서비스 거부 등 부정적인 기능들도 날로 증대하고 있으며, 이로 인한 피해 규모가 심각한 수준에 이르고 있다.While the development of the Internet has a positive effect of speeding up transmission and transmitting large amounts of data, it has a positive effect of improving work efficiency, improving quality of life and strengthening national competitiveness. Intrusion, leakage and tampering with sensitive information, negative functions such as illegal use, computer viruses and denial of service are increasing day by day, and the amount of damage caused is severe.

즉, 네트워크를 통한 침입의 탐지와 차단을 간과할 수 없으며, 침입 탐지를 위한 시스템의 개발은 정보 보호 측면에서 많은 연구 과제를 내포하고 있다.That is, the detection and blocking of intrusion through the network cannot be overlooked, and the development of a system for intrusion detection has many research challenges in terms of information protection.

종래의 침입탐지 기법은 탐지방법을 중심으로 이루어지는 침입탐지 모델 기반의 분류방법과 탐지 영역을 중심으로 분류하는 데이터 소스(Data Source) 기반의 분류방법으로 크게 나눌 수 있다.Conventional intrusion detection techniques can be broadly classified into intrusion detection model-based classification methods based on detection methods and data source-based classification methods based on detection areas.

상기 침입탐지 모델 기반의 분류는 다시 비정상적인 침입탐지 기법과 오용 침입탐지 기법으로 나뉠 수 있으며, 이러한 침입탐지 모델은 침입 탐지 시스템 개발에 있어 요구되는 침입 패턴 분석과 유형별 분류 및 탐지 방법 등을 연구함에 있어 많은 기반 정보들을 제공한다.The intrusion detection model-based classification can be further divided into abnormal intrusion detection techniques and misuse intrusion detection techniques. These intrusion detection models are used to analyze intrusion patterns and classification and detection methods required for intrusion detection system development. It provides a lot of base information.

상기 데이터 소스 기반의 분류는 다시 호스트와 네트워크 기반의 침입탐지 시스템으로 분류될 수 있으며, 이는 데이터 소스에 따라 각기 다른 종류의 침입유형을 탐지하게 된다.The data source-based classification can be further classified into host and network-based intrusion detection systems, which detect different kinds of intrusion types according to data sources.

상기와 같은 침입탐지 기법이 적용되는 종래의 침입탐지 시스템은 호스트나 네트워크로부터 데이터를 수집하며, 수집된 데이터는 특정 침입탐지 모델을 적용하여 분석된다. 즉, 호스트의 로그 정보나 시스템 호출 정보 등과 네트워크 상의 패킷 정보들에 대한 분석 결과에 따라 적절한 대응이 이루어지게 된다.The conventional intrusion detection system to which the intrusion detection technique described above is applied collects data from a host or a network, and the collected data is analyzed by applying a specific intrusion detection model. That is, an appropriate response is made according to the analysis result of the log information of the host, the system call information, and the packet information on the network.

지금까지 국내외적으로 여러 종류의 침입탐지 시스템들이 개발되고 있다. 이러한 시스템들에 대해서는 침입을 정보 접근, 정보 조작, 시스템 무기력화 등에 대한 고의적이면서도 불법적인 시도의 잠재 가능성으로 정의하고 시스템 또는 전산망 침입탐지 연구 필요성의 인식과 함께 지속적인 연구가 진행되어 왔다.Up to now, various types of intrusion detection systems have been developed at home and abroad. For these systems, intrusion is defined as the potential for deliberate and illegal attempts to access information, manipulate information, and system incapacitation, and ongoing research has been conducted with the recognition of the necessity of research on system or computer network intrusion detection.

초기의 침입탐지에 대한 연구는 단일 호스트 중심의 연구에서 출발하였으나, 인터넷의 발전은 이의 영역이 네트워크로 확대될 것을 요구한다.Early research on intrusion detection began with a single host-oriented study, but the development of the Internet requires its scope to be expanded into networks.

SRI 인터내셔널의 CSL(Computer Science Laboratory)에서 시작된 연구 결과인 NIDES(Next-generation Intrusion-Detection System)는 통계 알고리즘을 이용한 비정상적 행위탐지 기법과 알려진 침입 형태에 대한 전문가 시스템을 적용하는 오용 침입탐지 기법 모두를 이용하며, 그 기능성과 성능을 지속적으로 향상시켜왔다.Next-generation Intrusion-Detection System (NIDES), a study initiated by SRI International's Computer Science Laboratory (CSL), uses both statistical algorithms to detect abnormal behavior and misuse intrusion detection techniques that apply expert systems for known intrusion types. It has been continuously improving its functionality and performance.

현재 NIDES 프로토콜 타입은 구성요소의 재사용과 구성을 용이하게 하는 형태를 지닌 시스템으로 평가받고 있으며, 이러한 기술은 시스템 보안 향상에 계속적으로 공헌하고 있다.The NIDES protocol type is currently being evaluated as a system that facilitates component reuse and configuration, and these technologies continue to contribute to system security.

또한, NIDES의 구조는 네트워크 데이터의 수집과 이에 대한 규칙기반과 통계 분석을 통한 네트워크 모니터링과 침입탐지를 수행할 수 있도록 확장될 수 있으며, 여러 NIDES 간의 상호협력이 가능하도록 확장될 수 있다.In addition, the structure of NIDES can be extended to perform network monitoring and intrusion detection through collection of network data, rule-based and statistical analysis, and can be extended to enable cooperation between several NIDES.

그러나, 기존의 대다수 침입탐지 시스템들은 일반적으로 단일 시스템 환경에 적합하게 설계되고 적용됨으로써, 대규모 네트워크로의 확장에 어려움을 가지게 되었다.However, most existing intrusion detection systems are generally designed and applied to a single system environment, which makes it difficult to expand to a large network.

또한, NIDES와 같이 이를 확장할 수 있는 구조를 가졌다 하더라도 대규모의 데이터 처리와 침입탐지 수행에 걸리는 부하 문제, 시스템 안정성 문제 등 시스템 확장에 따른 성능 보장 문제는 큰 문제점으로 인식된다.In addition, even if it has a structure that can be extended like NIDES, performance assurance problems such as large data processing, load incurred by intrusion detection, system stability, etc. are considered to be a big problem.

본 발명은 상기한 종래의 문제점을 해결하기 위한 것으로서, 본 발명의 목적은 대상 보안 게이트웨이 시스템에서의 효율적인 침입탐지 수행을 위해서 객체 지향 모델링을 기반으로 한 다중의 침입탐지 객체들을 생성하고, 각 침입탐지 객체별로 네트워크 패킷에 대한 축약 감사 데이터를 분석함으로써 침입 여부를 판단하도록 된 다중 침입탐지 객체들을 이용한 보안 게이트웨이 시스템 및 침입 탐지방법을 제공하는데 있다.SUMMARY OF THE INVENTION The present invention has been made to solve the above-mentioned problems, and an object of the present invention is to generate multiple intrusion detection objects based on object-oriented modeling for efficient intrusion detection in a target security gateway system, and to detect each intrusion detection. The present invention provides a security gateway system and an intrusion detection method using multiple intrusion detection objects that determine whether an intrusion is made by analyzing abbreviated audit data of a network packet for each object.

상기 목적을 달성하기 위한 본 발명은 하위 네트워크 계층인 인터페이스로부터 실제 네트워크 패킷을 받아서 축약 감사 데이터를 생성하는 네트워크 패킷정보 추출수단; 상기 네트워크 패킷정보 추출수단에서 생성된 축약 감사 데이터에 대해 침입 유무를 분석하고 그 분석 결과를 제공해 주는 네트워크 침입탐지 수행수단; 상기 네트워크 침입탐지 수행수단에서 침입 유무를 판정하기 위해서 요구되는 침입패턴이 저장된 침입패턴 데이터베이스; 보안 게이트웨이 시스템에 대한 전체 관리 및 경보 메시지 생성 및 전달을 담당하는 사이버 순찰 에이전트; 및 상기 사이버 순찰 에이전트로부터의 정책 전달 및 경보 메시지 전달을 담당하는 경보 처리수단;를 포함하는 다중 침입탐지 객체들을 이용한 침입탐지기능을 구비한 보안 게이트웨이 시스템을 제공한다.The present invention for achieving the above object is network packet information extraction means for receiving the actual network packet from the interface of the lower network layer to generate the abbreviated audit data; Network intrusion detection performing means for analyzing the presence or absence of intrusion of the reduced audit data generated by the network packet information extracting means and providing the analysis result; An intrusion pattern database in which an intrusion pattern required for determining an intrusion in the network intrusion detection performing means is stored; A cyber patrol agent responsible for the overall management and generation and delivery of alert messages for the secure gateway system; And an alarm processing means for delivering a policy and an alert message from the cyber patrol agent. The security gateway system includes an intrusion detection function using multiple intrusion detection objects.

본 발명은 단일 매칭에 의해서 탐지 가능한 침입들에 대한 침입을 탐지하기 위한 방법에 있어서, 메시지 큐로부터 축약 감사 데이터를 읽는 단계; 상기 축약 감사 데이터에 대응하기 위해 해당 침입탐지 분석객체를 다중 침입탐지 객체들로부터 선택하는 단계; 선택된 상기 침입탐지 분석객체에 대한 침입 패턴객체를 침입패턴 스택으로부터 읽고 해당 침입패턴들을 검색하는 단계; 및 검색된 침입패턴이 상기 축약 감사 데이터와 매칭할 경우 경보를 전송하는 단계;를 포함하는 루틴을 통해 침입을 탐지하는 보안게이트웨이 시스템에서 다중 침입탐지 객체를 이용한 침입탐지 방법을 제공한다.The present invention provides a method for detecting intrusions for intrusions detectable by a single match, comprising the steps of: reading abbreviated audit data from a message queue; Selecting the intrusion detection analysis object from multiple intrusion detection objects to correspond to the abbreviated audit data; Reading an intrusion pattern object for the selected intrusion detection analysis object from an intrusion pattern stack and searching for corresponding intrusion patterns; And transmitting an alert when the searched intrusion pattern matches the abbreviated audit data. The intrusion detection method using the multiple intrusion detection objects in the security gateway system that detects the intrusion through the routine includes a.

또한 본 발명은 상태변화에 의해서 탐지 가능한 침입들에 대한 침입을 탐지하기 위한 방법에 있어서, 메시지 큐로부터 축약 감사 데이터를 읽는 단계; 상기 축약 감사 데이터에 대응하기 위한 침입탐지 분석객체를 선택하는 단계; 선택된 상기 침입탐지 분석객체에 대한 침입 패턴객를 침입패턴 스택으로부터 읽고 해당 침입패턴들을 검색하는 단계; 및 검색된 침입패턴에 대해 초기 상태인지 마지막 상태인지 구분하고, 초기 상태일 경우 해당 검색패턴을 상기 침입패턴 스택에 삽입하는 단계; 검색된 침입패턴이 마지막 상태일 경우에는 경보를 전송하고, 마지막이 아닐 경우에는 타임 스탬프를 판단하는 단계; 상기 검색된 침입패턴이 타임 스탬프를 초과할 경우 검색패턴 객체에서 삭제하고, 반대로 타임 스탬프를 초과하지 않을 경우 다음 패턴을 검색하거나 새로운 축약 감사 데이터를 읽는 단계;를 포함하는 루틴을 통해 침입을 탐지하는 보안 게이트웨이 시스템에서 다중 침입탐지 객체를 이용한 침입탐지 방법을 제공한다.The present invention also provides a method for detecting intrusions for intrusions detectable by a state change, the method comprising: reading abbreviated audit data from a message queue; Selecting an intrusion detection analysis object corresponding to the reduced audit data; Reading an intrusion pattern object for the selected intrusion detection analysis object from an intrusion pattern stack and searching for intrusion patterns; And distinguishing whether the searched intrusion pattern is in an initial state or a last state, and inserting the search pattern into the intrusion pattern stack in the initial state. If the detected intrusion pattern is in the last state, transmitting an alert; if not, determining a time stamp; If the detected intrusion pattern exceeds the time stamp, delete it from the search pattern object, and conversely, if the time stamp does not exceed the time stamp, searching for the next pattern or reading new abbreviated audit data; Provides an intrusion detection method using multiple intrusion detection objects in the gateway system.

도 1은 보안 게이트웨이 시스템이 위치하는 서비스망 구성도,1 is a diagram illustrating a service network in which a security gateway system is located;

도 2는 본 발명에 따른 다중 침입탐지 객체들을 이용한 침입탐지기능을 구비한 보안 게이트웨이 시스템을 도시한 구성도,2 is a block diagram illustrating a security gateway system having an intrusion detection function using multiple intrusion detection objects according to the present invention;

도 3은 네트워크 패킷 정보추출 및 송신장치로부터의 축약 감사 데이터를 네트워크 침입탐지 수행장치가 수신하는 방식을 도시한 블록도,FIG. 3 is a block diagram showing the manner in which the network intrusion detection performing apparatus receives the abbreviated audit data from the network packet information extraction and transmission apparatus; FIG.

도 4는 단일 매칭에 의해서 탐지 가능한 침입들에 대한 침입탐지 수행 흐름도,4 is a flowchart of performing intrusion detection for intrusions detectable by a single match;

도 5는 상태 변화에 의해서 탐지 가능한 침입들에 대한 침입탐지 수행 흐름도,5 is a flowchart of performing intrusion detection for intrusions detectable by a state change;

도 6은 다중 침입탐지 객체들을 제어하기 위한 스택 제어 방법을 도시한 블록도이다.6 is a block diagram illustrating a stack control method for controlling multiple intrusion detection objects.

*도면의 주요 부분에 대한 부호의 설명** Description of the symbols for the main parts of the drawings *

100: 사이버 순찰 제어 시스템 200: 보안 게이트웨이 시스템100: cyber patrol control system 200: security gateway system

201: 경보처리장치 202: 사이버 순찰 에이전트201: alarm processing device 202: cyber patrol agent

203: 네트워크 침입탐지 수행장치 204: 침입패턴 데이터베이스203: network intrusion detection performing apparatus 204: intrusion pattern database

205: 네트워크 패킷정부 추출장치205: network packet government extractor

이하, 본 발명의 바람직한 실시예를 첨부된 도면을 통해 설명한다. 도 1은 본 발명에 따른 보안 게이트웨이 시스템이 위치하는 서비스망 구성도이다.Hereinafter, preferred embodiments of the present invention will be described with reference to the accompanying drawings. 1 is a diagram illustrating a service network in which a security gateway system according to the present invention is located.

도면을 참조하면, 본 발명은 사이버 순찰 제어시스템(100)을 통해 다수의 보안 게이트웨이 시스템(200)들을 보호하는 서비스망을 형성하고 있다.Referring to the drawings, the present invention forms a service network that protects a plurality of security gateway systems 200 through the cyber patrol control system 100.

상기 사이버 순찰 제어시스템(100)은 하위 보안 게이트웨이 시스템(200)들로부터의 보안 경보를 수신하고, 이에 대한 대응 정책을 수립하여 전달하는 역할을 수행하고, 상기 보안 게이트웨이 시스템(200)은 내부의 주요 장치들을 가지고 독립적으로 동작할 수 있고, 전체 광역망에 널리 분포되어 수행된다.The cyber patrol control system 100 receives security alerts from lower security gateway systems 200, establishes and transmits a corresponding policy, and the security gateway system 200 is a main internal component. It can operate independently with devices and is widely distributed and performed across the wide area network.

도 2는 상기 보안 게이트웨이 시스템(200)을 개략적으로 도시한 블록구성도이다.2 is a block diagram schematically illustrating the security gateway system 200.

도면을 참조하면, 본 발명의 보안 게이트웨이 시스템(200)은 하위 네트워크 계층인 인터페이스로부터 실제 네트워크 패킷을 받아서 축약 감사 데이터를 생성하는 네트워크 패킷정보 추출장치(205), 상기 네트워크 패킷정보 추출수단에서 생성된 축약 감사 데이터에 대해 침입 유무를 분석하고 그 분석 결과를 제공해 주는 네트워크 침입탐지 수행장치(203), 상기 네트워크 침입탐지 수행수단에서 침입 유무를 판정하기 위해서 요구되는 침입패턴이 저장된 침입패턴 데이터베이스(204), 보안 게이트웨이 시스템에 대한 전체 관리 및 경보 메시지 생성 및 전달을 담당하는 사이버 순찰 에이전트(202) 및 상기 사이버 순찰 에이전트로부터의 정책 전달 및 경보 메시지 전달을 담당하는 경보 처리장치(201)을 포함한다.Referring to the drawings, the security gateway system 200 of the present invention receives an actual network packet from an interface, which is a lower network layer, and generates a network packet information extracting apparatus 205 for generating abbreviated audit data. Network intrusion detection execution apparatus 203 for analyzing the presence or absence of intrusion against abbreviated audit data and providing the analysis result, and intrusion pattern database 204 storing intrusion patterns required for determining intrusion presence in the network intrusion detection execution means. And a cyber patrol agent 202 in charge of overall management and generation and delivery of an alert message for the security gateway system, and an alert processing device 201 in charge of policy delivery and alert message delivery from the cyber patrol agent.

또한 상기 네트워크 침입탐지 수행장치(203)는 이벤트 수신 메시지큐 제어기(236), 경보 전달 메시지큐 제어기(231), 시스널 제어기(232) 데이터베이스 제어기(234), 침입탐지 수행엔진(235) 및 경보생성기(233)를 포함하고 있다.In addition, the network intrusion detection execution apparatus 203 may include an event reception message queue controller 236, an alert transmission message queue controller 231, a signal controller 232, a database controller 234, an intrusion detection execution engine 235, and an alarm. The generator 233 is included.

이와 같이 구성된 네트워크 침입탐지 수행장치(203)는 상기 이벤트 수신 메시지 큐 제어기(236)에서 하부의 상기 네트워크 패킷 정보 추출장치(205)로부터 축약 감사 데이터를 수신하게 되며, 경보 전달 메시지 큐 제어기(231)는 침입탐지 수행 결과에 따른 경보 메시지를 상위의 사이버 순찰 에이전트(202)로 전달한다.The network intrusion detection performing apparatus 203 configured as described above receives the abbreviated audit data from the network packet information extracting device 205 below in the event receiving message queue controller 236, and the alert delivery message queue controller 231. The alert message according to the result of the intrusion detection is transmitted to the upper cyber patrol agent 202.

또한 시그널 제어기(232)는 사이버 순찰 시스템(100)에서 전달된 정책을 상기 네트워크 침입탐지 수행장치(203)에 적용하며, 데이터베이스 제어기(234)는 상기 침입패턴 데이터베이스 장치(204)로부터 해당 침입패턴 정보들을 처리한다.In addition, the signal controller 232 applies the policy transmitted from the cyber patrol system 100 to the network intrusion detection performing apparatus 203, the database controller 234 is the intrusion pattern information from the intrusion pattern database device 204 Handle them.

침입탐지 수행 엔진(235)은 상기 제어기들로부터 제공되는 정보를 바탕으로 다중의 침입탐지 객체들을 이용한 침입탐지를 수행하고, 경보 생성기(233)는 상기 축약 감사 데이터에 대한 침입유무에 따른 경보 메시지를 생성한다.The intrusion detection execution engine 235 performs intrusion detection using multiple intrusion detection objects based on the information provided from the controllers, and the alarm generator 233 generates an alarm message according to the presence or absence of the intrusion audit data. Create

또한 본 발명의 네트워크 패킷정보 추출장치(205)는 도 3과 같이 하위 네트워크 계층인 광역망 인터페이스로부터 실제 네트워크 패킷을 받아서 생성된 축약 감사 데이터를 서비스 및 프로토콜 별로 침입을 탐지하기 위한 메시지 큐(301)와 트래픽 측정을 기반으로 침입을 탐지하기 위한 메시지 큐(302)로 분리하여 상위 네트워크 침입탐지 수행장치(203)로 전달한다.In addition, the network packet information extracting apparatus 205 of the present invention is a message queue 301 for detecting intrusion for each service and protocol by using the abbreviated audit data generated by receiving the actual network packet from the wide area network interface as the lower network layer as shown in FIG. Based on the traffic measurement and separated into a message queue (302) for detecting intrusion and delivered to the upper network intrusion detection performing apparatus 203.

그리고 이벤트 수신 메시지 큐 제어기(236)에서는 상기 메시지큐(301)(302)들로부터의 축약 감사 데이터를 침입탐지 수행엔진(235) 내의 적절한 침입탐지 분석 객체로 배분하는 기능을 수행하며, 따라서 본 발명은 두 개의 메시지 큐(301) (302)를 사용함으로써 보다 빠른 데이터 처리가 가능하다.The event reception message queue controller 236 distributes the abbreviated audit data from the message queues 301 and 302 to an appropriate intrusion detection analysis object in the intrusion detection performing engine 235, and thus the present invention. By using two message queues 301 and 302, faster data processing is possible.

도 4는 본 발명에 따른 단일 매칭에 의해서 탐지 가능한 침입들에 대한 침입탐지 수행방법을 설명하기 위한 흐름도이다.4 is a flowchart illustrating a method of performing intrusion detection for intrusions detectable by a single match according to the present invention.

도면을 참조하면, 본 발명은 상기 네트워크 침입탐지 수행장치(203)에서 단일 매칭에 의해서 탐지 가능한 침입들에 대한 침입탐지를 수행하는 것으로, 이 네트워크 침입탐지 수행장치(203)에서는 우선 메시지 큐(301,302)로부터 축약 감사 데이터를 읽고(S401), 해당 축약 감사 데이터에 대한 적절한 침입탐지 분석객체를 선택하게 된다(S402).Referring to the drawings, the present invention performs intrusion detection for intrusions detectable by a single match in the network intrusion detection execution apparatus 203. In the network intrusion detection execution apparatus 203, the message queues 301 and 302 are first used. Read abbreviated audit data from the (S401), and select the appropriate intrusion detection analysis object for the reduced audit data (S402).

즉, DNS 분석객체, WEB 분석객체, FTP 분석객체, RPC 분석객체, TCP 분석객체, UDP 분석개체 및 ICMP 분석객체 등으로 이루어진 다중 침입탐지 객체들로부터 상기 축약 감사 데이터에 대응하는 분석객체를 선택하게 된다.That is, to select an analysis object corresponding to the abbreviated audit data from multiple intrusion detection objects consisting of DNS analysis object, WEB analysis object, FTP analysis object, RPC analysis object, TCP analysis object, UDP analysis object and ICMP analysis object. do.

이후, 선택된 침입탐지 분석객체에 대한 침입 패턴 객체를 침입 패턴스택(403)으로부터 읽고(S404), 해당 침입 패턴들을 검색한다(S405).Thereafter, the intrusion pattern object for the selected intrusion detection analysis object is read from the intrusion pattern stack 403 (S404), and the corresponding intrusion patterns are retrieved (S405).

상기한 방법에 의해 침입 패던들에 검색이 완료되면, 검색된 패턴을 하위로부터의 축약 감사 데이터와 매칭(S406)시킬지 판단하고, 판단 결과 검색 패턴이 축약 감사 데이터와 매칭이 될 경우 경보를 전송(S407)하게 되며. 그렇지 않을 경우 메시지 큐(301,302)로부터 새로운 축약 감사데이터를 읽어 들이는 루틴을 수행하게 된다.When the search is completed on the intrusion paddles by the above method, it is determined whether the searched pattern is matched with the abbreviated audit data from the lower part (S406), and when the search result is matched with the abbreviated audit data, an alert is transmitted (S407). ) Otherwise, a routine for reading new abbreviated audit data from the message queues 301 and 302 is performed.

도 5는 본 발명에서 상태 변화에 의해서 탐지 가능한 침입들에 대해 침입탐지 수행방법을 설명하기 위한 흐름도이다.5 is a flowchart illustrating a method of performing intrusion detection for intrusions detectable by a state change in the present invention.

도면을 참조하면, 본 발명은 상기 네트워크 침입탐지 수행 장치(203)에서 상태 변화에 의해서 탐지 가능한 침입들에 대한 침입탐지를 수행하게 되는데, 이때는 도 4에 도시된 바와 달리 서비스 거부 공격 등의 트래픽 양을 측정함으로써 침입 여부를 판단하게 된다.Referring to the drawings, the present invention performs the intrusion detection for intrusions detectable by the state change in the network intrusion detection performing apparatus 203. In this case, unlike in FIG. It is determined whether the intrusion by measuring the.

먼저, 도 4에 도시된 경우와 동일한 방식으로 네트워크 침입탐지수행장치(203)에서는 우선 메시지 큐(301,302)로부터 축약 감사 데이터를 읽고(S501), 해당 축약 감사 데이터에 대한 적절한 침입탐지 분석객체를 선택하게 된다(S502).First, in the same manner as shown in FIG. 4, the network intrusion detecting apparatus 203 first reads the abbreviated audit data from the message queues 301 and 302 (S501), and selects an appropriate intrusion detection analysis object for the corresponding abbreviated audit data. It is made (S502).

이후, 선택된 침입탐지 분석객체에 대한 침입 패턴 객체를 침입 패턴스택(403)으로부터 읽고(S504), 해당 침입 패턴들을 검색(S505)한 후 검색된 패턴이 초기 상태인지를 판단(S506)하게 된다.Thereafter, the intrusion pattern object for the selected intrusion detection analysis object is read from the intrusion pattern stack 403 (S504), the corresponding intrusion patterns are searched (S505), and it is determined whether the searched pattern is in an initial state (S506).

스텝 506에서 판단결과, 검색된 패턴이 초기 상태라면 해당 검색 패턴을 침입 패턴 스택에 삽입(507)하고, 그렇지 않을 경우 마지막 상태인지를 점검한다(S508).If it is determined in step 506 that the searched pattern is in the initial state, the search pattern is inserted 507 into the intrusion pattern stack, and if not, it is checked whether it is in the last state (S508).

스텝 508에서 판단결과, 검색된 패턴이 마지막 상태라면 경보를 전송하고(S512), 그렇지 않을 경우 타임 스탬프 초과 유무를 점검한다(S509).As a result of the determination in step 508, if the retrieved pattern is in the last state, an alarm is transmitted (S512), and if not, the presence or absence of a time stamp is checked (S509).

스텝 509에서 판단 결과, 타임 스탬프가 초과했다면 검색된 패턴 객체를 침입 패턴 스택(503)에서 삭제하고(S511), 그렇지 않다면 다음 패턴을 검색하거나 새로운 축약 감사 데이터를 읽게 된다.If it is determined in step 509 that the time stamp has been exceeded, the retrieved pattern object is deleted from the intrusion pattern stack 503 (S511). Otherwise, the next pattern is searched or new abbreviated audit data is read.

본 발명에서 상기 검색 패턴 삽입 및 삭제는 개별 패턴 객체에 대해서 수행하며, 개별 패턴이 아니고 해당 분석 객체의 기본적인 전체 패턴들을 나타내는 객체일 때는 수행하지 않는다.In the present invention, the insertion and deletion of the search pattern is performed on the individual pattern object, and is not performed when the object is not an individual pattern but an object representing the basic entire patterns of the analysis object.

도 6은 본 발명에 따른 다중 침입탐지 객체들을 제어하기 위한 스택 제어방법을 설명하기 위한 블록도이다.6 is a block diagram illustrating a stack control method for controlling multiple intrusion detection objects according to the present invention.

도면을 참조하면, 본 발명의 네트워크 침입탐지 수행장치(203)에서는 다중침입탐지 객체들을 제어하기 위하여 침입 패턴 스택을 제어하여 도 5에 도시된 바와 같이 상태 변화에 의해서 탐지 가능한 침입들에 대한 침입탐지를 수행하는데 이용한다.Referring to the figure, the network intrusion detection performing apparatus 203 of the present invention controls the intrusion pattern stack to control the multiple intrusion detection objects to detect intrusions for intrusions detectable by a state change as shown in FIG. 5. Used to perform

침입 패턴 스택(602)은 크게 분류별 패턴 객체(603)와 개별 패턴 객체(604)를 포함하며, 분류별 패턴 객체(603)는 해당 분석 객체의 전체 패턴을 포함하는 패턴 객체를 나타낸다.The intrusion pattern stack 602 largely includes a classification pattern object 603 and an individual pattern object 604, and the classification pattern object 603 represents a pattern object including an entire pattern of a corresponding analysis object.

상기 분류별 패턴 객체(603)와는 달리 개별 패턴 객체(604)는 단일 검색 패턴을 가리키며, 최근에 검색된 패턴을 미리 검색할 수 있도록 하기 위해서 생성된다.Unlike the pattern object 603 according to the classification, the individual pattern object 604 indicates a single search pattern and is created to enable a search for a recently searched pattern in advance.

본 발명의 보안 게이트웨이 시스템(200)은 시스템을 초기화(S601)할 대 침입 패턴 스택(602)이 분류별 패턴 객체(603)만을 지니게 되며, 초기에 해당 축약 감사 데이터에 대한 패턴을 검색하기 위해서 상기 분류별 패턴 객체(603)로부터 검색할 패턴들을 읽고(S605), 이에 대한 패턴을 검색한다(S606).In the security gateway system 200 of the present invention, when the system is initialized (S601), the intrusion pattern stack 602 has only the pattern object 603 for each classification, and the classification for retrieving the pattern for the corresponding abbreviated audit data initially. The patterns to be searched are read from the pattern object 603 (S605), and a pattern thereof is searched (S606).

최초 검색된 패턴(608)은 초기 상태로 설정되어서(S607) 침입 패턴 스택(602)에 개별 패턴 객체(604)로 삽입되며, 이에 따라서 다음 검색 시에 최우선 검색 순위를 차지하게 된다.The first retrieved pattern 608 is set to an initial state (S607) and inserted into the invasive pattern stack 602 as an individual pattern object 604, thus occupying the highest priority in the next retrieval.

마지막으로 해당 검색 패턴이 시간 초과 상태에 있을 시(S609)에는 침입 패턴 스택(602)으로부터 해당 패턴을 파기하게 된다(S610).Finally, when the search pattern is in the timeout state (S609), the pattern is discarded from the intrusion pattern stack 602 (S610).

이상에서 설명한 것은 본 발명에 따른 다중 침입탐지 객체들을 이용한 침입탐지기능을 구비한 보안 게이트웨이 시스템을 실시하기 위한 하나의 실시예에 불과한 것으로서, 본 발명은 상기한 실시예에 한정되지 않고, 이하의 특허청구의 범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변경 실시가 가능한 범위까지 본 발명의 기술적 사상에 포함된다 할 것이다.What has been described above is just one embodiment for implementing a security gateway system having an intrusion detection function using multiple intrusion detection objects according to the present invention, the present invention is not limited to the above embodiment, the following patents Without departing from the gist of the present invention claimed in the claims, anyone of ordinary skill in the art will be included in the technical idea of the present invention to the extent that various modifications can be made.

이상에서 설명한 바와 같이 본 발명은 보안 게이트웨이 시스템에서의 효율적인 침입탐지 수행을 위해서 객체 지향 모델링을 기반으로 한 다중의 침입탐지 객체들을 생성하고, 각 침입탐지 객체 별로 네트워크 패킷에 대한 축약 감사 데이터를 분석함으로써 침입 여부를 판단하도록 되어 있기 때문에, 종래의 침입탐지 시스템보다 월등히 빠른 침입 탐지와 검색을 수행할 수 있는 장점이 있다.As described above, the present invention generates multiple intrusion detection objects based on object-oriented modeling for efficient intrusion detection in the security gateway system, and analyzes the abbreviated audit data for the network packet for each intrusion detection object. Since it is determined to determine whether the intrusion, there is an advantage that can perform intrusion detection and search significantly faster than the conventional intrusion detection system.

또한, 본 발명에 따른 다중 침입탐지 객체들을 이용한 침입탐지기능을 구비한 보안 게이트웨이 시스템은 광역 망에서의 효율적인 침입탐지를 수행할 수 있으며, 여러 개의 침입탐지 객체를 생성함으로써 침입탐지 수행에 대한 부하를 분산하고 이로 인한 시스템 안정성을 보장할 수 있다는 장점이 있다.In addition, the security gateway system having an intrusion detection function using multiple intrusion detection objects according to the present invention can perform efficient intrusion detection in a wide area network, and creates loads of intrusion detection objects by creating several intrusion detection objects. The advantage is that it can be distributed and thereby ensure system stability.

Claims (8)

하위 네트워크 계층인 인터페이스로부터 실제 네트워크 패킷을 받아서 축약 감사 데이터를 생성하는 네트워크 패킷정보 추출수단;Network packet information extracting means for receiving actual network packets from an interface which is a lower network layer and generating abbreviated audit data; 상기 네트워크 패킷정보 추출수단에서 생성된 축약 감사 데이터에 대해 다중 침입탐지 객체를 이용하여 침입 유무를 분석하고 그 분석 결과를 사이버 순찰 에이전트로 제공해 주는 네트워크 침입탐지 수행수단;Network intrusion detection performing means for analyzing the presence or absence of intrusion using the multiple intrusion detection objects for the reduced audit data generated by the network packet information extracting means and providing the analysis result to the cyber patrol agent; 상기 네트워크 침입탐지 수행수단에서 침입 유무를 판정하기 위해서 요구되는 침입패턴이 저장된 침입패턴 데이터베이스;An intrusion pattern database in which an intrusion pattern required for determining an intrusion in the network intrusion detection performing means is stored; 보안 게이트웨이 시스템에 대한 전체 관리 및 경보 메시지 생성 및 전달을 담당하는 사이버 순찰 에이전트; 및A cyber patrol agent responsible for the overall management and generation and delivery of alert messages for the secure gateway system; And 상기 사이버 순찰 에이전트로부터의 정책 전달 및 경보 메시지 전달을 담당하는 경보 처리수단;를 포함하여 구성된 것을 특징으로 하는 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템.Alert processing means for the policy delivery and alert message delivery from the cyber patrol agent; security gateway system using a multiple intrusion detection object comprising a. 제 1항에 있어서, 상기 네트워크 패킷정보 추출수단은The method of claim 1, wherein the network packet information extracting means 상기 축약 감사 데이터를 서비스 및 프로토콜별 침입을 탐지하기 위한 메시지 큐와, 트래픽 측정을 기반으로 침입을 탐지하기 위한 메시지 큐로 분리하여 상기 상위 네트워크 침입탐지 수행수단으로 전달하는 것을 특징으로 하는 다중 침입탐지 객체들을 이용한 침입탐지기능을 구비한 보안 게이트웨이 시스템.The intrusion detection data is divided into a message queue for detecting an intrusion for each service and a protocol, and a message queue for detecting an intrusion based on the traffic measurement, and delivered to the upper network intrusion detection performing means. Gateway system with intrusion detection using 제 1항에 있어서, 상기 네트워크 침입탐지 수행수단은According to claim 1, wherein the network intrusion detection performing means 하부의 상기 네트워크 패킷 정보 추출 및 송신 장치로부터 축약 감사 데이터를 수신하는 이벤트 수신 메시지 큐 제어기;An event reception message queue controller configured to receive abbreviated audit data from the network packet information extraction and transmission device below; 침입탐지 수행 결과에 따른 경보 메시지를 상위의 사이버 순찰 에이전트로 전달하는 경보 전달 메시지 큐 제어기;An alert delivery message queue controller configured to deliver an alert message according to an intrusion detection result to a higher cyber patrol agent; 상위로부터의 정책을 상기 네트워크 침입탐지 수행 장치에 적용하는 시그널 제어기;A signal controller for applying a policy from a higher level to the network intrusion detection performing device; 상기 침입패턴 데이터베이스 장치로부터 해당 침입패턴 정보들을 처리하는 데이터베이스 제어기;A database controller for processing the intrusion pattern information from the intrusion pattern database device; 상기 제어기들로부터 제공되는 정보를 바탕으로 다중의 침입탐지 객체들을 이용한 침입탐지를 수행하는 침입탐지 수행 엔진; 및An intrusion detection execution engine that performs intrusion detection using a plurality of intrusion detection objects based on information provided from the controllers; And 상기 축약 감사 데이터에 대한 침입유무에 따른 경보 메시지를 생성하는 경보 생성기;로 구성되는 것을 특징으로 하는 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템.And an alert generator for generating an alert message according to the presence or absence of the intrusion audit data for the abbreviated audit data. 제 1항 또는 제 3항 중 어느 한 항에 있어서, 상기 네트워크 침입탐지 수행수단은According to any one of claims 1 to 3, wherein the network intrusion detection performing means 해당 축약 감사 데이터가 침입인지의 유무를 판단하기 위해서 적절한 침입탐지 분석객체들로 전달하고 각각의 침입탐지 분석객체 내에 포함된 침입 패턴들을 검색함으로써 침입 유무를 판단하는 것을 특징으로 하는 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템.In order to determine whether the abbreviated audit data is an intrusion, multiple intrusion detection objects are determined by integrating the intrusion detection analysis objects and determining the intrusion by searching for intrusion patterns included in each intrusion detection analysis object. Secure Gateway System. 제 1항 또는 제 3항 중 어느 한 항에 있어서, 상기 네트워크 침입탐지 수행장치는According to any one of claims 1 to 3, wherein the network intrusion detection performing apparatus 메시지 큐로부터 읽은 축약 감사 데이터에 대한 침입 탐지 분석 객체를 선택한 후, 선택된 침입 탐지 분석 객체에 대한 침입 패턴 객체를 침입패턴 스택으로부터 읽고, 분류별 침입패턴 객체와 개별 침입패턴 객체를 상태 전이에 따라 적절하게 삽입하고 제거함으로써 침입 유무를 판단하는 것을 특징으로 하는 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템.After selecting the intrusion detection analysis object for the abbreviated audit data read from the message queue, the intrusion pattern object for the selected intrusion detection analysis object is read from the intrusion pattern stack, and the intrusion pattern object by category and the individual intrusion pattern object are appropriately changed according to the state transition. Security gateway system using multiple intrusion detection object, characterized in that by determining whether the intrusion by inserting and removing. 제 1항 또는 제 3항 중 어느 한 항에 있어서, 상기 네트워크 침입탐지 수행장치는According to any one of claims 1 to 3, wherein the network intrusion detection performing apparatus 해당 축약 감사 데이터의 트래픽 측정을 기반으로 침입 유무를 판단하기 위해서, 침입탐지 분석 객체 내에 포함된 침입 패턴들의 상태를 각각 표시하고, 초기상태, 마지막 상태, 타임스탬프 점검을 통한 상태 전이에 기초하여 침입탐지를 수행하는 것을 특징으로 하는 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템.In order to determine whether there is an intrusion based on traffic measurement of the corresponding abbreviated audit data, the states of intrusion patterns included in the intrusion detection analysis object are respectively displayed, and the intrusion is based on the initial state, the last state, and the state transition through time stamp checking. Security gateway system using multiple intrusion detection object, characterized in that for performing detection. 단일 매칭에 의해서 탐지 가능한 침입들에 대한 침입을 탐지하기 위한 방법에 있어서,A method for detecting intrusions for intrusions detectable by a single match, the method comprising: 메시지 큐로부터 축약 감사 데이터를 읽는 단계;Reading abbreviated audit data from the message queue; 상기 축약 감사 데이터에 대응하기 위해 해당 침입탐지 분석객체를 다중 침입탐지 객체들로부터 선택하는 단계;Selecting the intrusion detection analysis object from multiple intrusion detection objects to correspond to the abbreviated audit data; 선택된 상기 침입탐지 분석객체에 대한 침입 패턴객체를 침입패턴 스택으로부터 읽고 해당 침입패턴들을 검색하는 단계; 및Reading an intrusion pattern object for the selected intrusion detection analysis object from an intrusion pattern stack and searching for corresponding intrusion patterns; And 검색된 침입패턴이 상기 축약 감사 데이터와 매칭할 경우 경보를 전송하는 단계;를 포함하는 루틴을 통해 침입을 탐지하는 것을 특징으로 하는 보안게이트웨이 시스템에서 다중 침입탐지 객체를 이용한 침입탐지 방법.And transmitting an alert when the detected intrusion pattern matches the abbreviated audit data. The intrusion detection method using multiple intrusion detection objects in the security gateway system, characterized in that the intrusion is detected through a routine. 상태변화에 의해서 탐지 가능한 침입들에 대한 침입을 탐지하기 위한 방법에 있어서,A method for detecting intrusions for intrusions detectable by state changes, the method comprising: 메시지 큐로부터 축약 감사 데이터를 읽는 단계;Reading abbreviated audit data from the message queue; 상기 축약 감사 데이터에 대응하기 위한 침입탐지 분석객체를 선택하는 단계;Selecting an intrusion detection analysis object corresponding to the reduced audit data; 선택된 상기 침입탐지 분석객체에 대한 침입 패턴객를 침입패턴 스택으로부터 읽고 해당 침입패턴들을 검색하는 단계; 및Reading an intrusion pattern object for the selected intrusion detection analysis object from an intrusion pattern stack and searching for intrusion patterns; And 검색된 침입패턴에 대해 초기 상태인지 마지막 상태인지 구분하고, 초기 상태일 경우 해당 검색패턴을 상기 침입패턴 스택에 삽입하는 단계;Distinguishing whether the intrusion pattern is found in the initial state or the last state, and inserting the search pattern into the intrusion pattern stack in the initial state; 검색된 침입패턴이 마지막 상태일 경우에는 경보를 전송하고, 마지막이 아닐 경우에는 타임 스탬프를 판단하는 단계;If the detected intrusion pattern is in the last state, transmitting an alert; if not, determining a time stamp; 상기 검색된 침입패턴이 타임 스탬프를 초과할 경우 검색패턴 객체에서 삭제하고, 반대로 타임 스탬프를 초과하지 않을 경우 다음 패턴을 검색하거나 새로운 축약 감사 데이터를 읽는 단계;를 포함하는 루틴을 통해 침입을 탐지하는 것을 특징으로 하는 보안 게이트웨이 시스템에서 다중 침입탐지 객체를 이용한 침입탐지 방법.Detecting an intrusion through a routine comprising the step of deleting from the search pattern object if the searched intrusion pattern exceeds the time stamp, and searching for the next pattern or reading new abbreviated audit data if it does not exceed the time stamp. Intrusion detection method using multiple intrusion detection objects in a security gateway system.
KR10-2001-0086312A 2001-12-27 2001-12-27 Multiple Intrusion Detection Objects in Security Gateway System for Network Intrusion Detection KR100432168B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0086312A KR100432168B1 (en) 2001-12-27 2001-12-27 Multiple Intrusion Detection Objects in Security Gateway System for Network Intrusion Detection

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0086312A KR100432168B1 (en) 2001-12-27 2001-12-27 Multiple Intrusion Detection Objects in Security Gateway System for Network Intrusion Detection

Publications (2)

Publication Number Publication Date
KR20030056148A KR20030056148A (en) 2003-07-04
KR100432168B1 true KR100432168B1 (en) 2004-05-17

Family

ID=32214369

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0086312A KR100432168B1 (en) 2001-12-27 2001-12-27 Multiple Intrusion Detection Objects in Security Gateway System for Network Intrusion Detection

Country Status (1)

Country Link
KR (1) KR100432168B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7640585B2 (en) 2004-12-20 2009-12-29 Electronics And Telecommunications Research Institute Intrusion detection sensor detecting attacks against wireless network and system and method of detecting wireless network intrusion

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100467746B1 (en) * 2002-03-26 2005-01-24 한정보통신 주식회사 Multi-field classification system the address decomposition
KR100604638B1 (en) * 2002-11-01 2006-07-28 한국전자통신연구원 Intrusion detection system and method based on hierarchical analysis
KR20040048468A (en) * 2002-12-03 2004-06-10 노봉남 A method for intrusion detection rate with audit correlation
KR100523980B1 (en) * 2002-12-10 2005-10-26 한국전자통신연구원 Watermark creation/insertion apparatus and method in reply packet for tracebacking the attacks with a connection
KR100734872B1 (en) * 2005-12-12 2007-07-03 한국전자통신연구원 System of access control for RFID application level event service and method thereof
KR100817799B1 (en) * 2006-10-13 2008-03-31 한국정보보호진흥원 System and method for network vulnerability analysis using the multiple heterogeneous scanners
US8307418B2 (en) * 2010-03-16 2012-11-06 Genband Inc. Methods, systems, and computer readable media for providing application layer firewall and integrated deep packet inspection functions for providing early intrusion detection and intrusion prevention at an edge networking device
CN114301739B (en) * 2021-12-29 2023-08-22 北京国家新能源汽车技术创新中心有限公司 Central gateway security architecture, system and storage medium

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5991881A (en) * 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
KR20000010253A (en) * 1998-07-31 2000-02-15 최종욱 Trespass detection system and module of trespass detection system using arbitrator agent
KR20000072707A (en) * 2000-09-20 2000-12-05 홍기융 The Method of Intrusion Detection and Automatical Hacking Prevention
KR100310860B1 (en) * 1998-12-17 2001-11-22 이계철 Method for detecting real-time intrusion using agent structure on real-time intrustion detecting system
KR20010105490A (en) * 2000-05-10 2001-11-29 이영아 Hacking detection and chase system
KR100351306B1 (en) * 2001-01-19 2002-09-05 주식회사 정보보호기술 Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5991881A (en) * 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
KR20000010253A (en) * 1998-07-31 2000-02-15 최종욱 Trespass detection system and module of trespass detection system using arbitrator agent
KR100310860B1 (en) * 1998-12-17 2001-11-22 이계철 Method for detecting real-time intrusion using agent structure on real-time intrustion detecting system
KR20010105490A (en) * 2000-05-10 2001-11-29 이영아 Hacking detection and chase system
KR20000072707A (en) * 2000-09-20 2000-12-05 홍기융 The Method of Intrusion Detection and Automatical Hacking Prevention
KR100351306B1 (en) * 2001-01-19 2002-09-05 주식회사 정보보호기술 Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7640585B2 (en) 2004-12-20 2009-12-29 Electronics And Telecommunications Research Institute Intrusion detection sensor detecting attacks against wireless network and system and method of detecting wireless network intrusion

Also Published As

Publication number Publication date
KR20030056148A (en) 2003-07-04

Similar Documents

Publication Publication Date Title
CN110011999B (en) IPv6 network DDoS attack detection system and method based on deep learning
US7568232B2 (en) Malicious access-detecting apparatus, malicious access-detecting method, malicious access-detecting program, and distributed denial-of-service attack-detecting apparatus
US7941855B2 (en) Computationally intelligent agents for distributed intrusion detection system and method of practicing same
Jalili et al. Detection of distributed denial of service attacks using statistical pre-processor and unsupervised neural networks
KR101391781B1 (en) Apparatus and Method for Detecting HTTP Botnet based on the Density of Web Transaction
US7200866B2 (en) System and method for defending against distributed denial-of-service attack on active network
KR100351306B1 (en) Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof
KR101538709B1 (en) Anomaly detection system and method for industrial control network
CN109167794B (en) Attack detection method for network system security measurement
KR20080066653A (en) Method and apparatus for whole-network anomaly diagnosis and methods to detect and classify network anomalies using traffic feature distributions
CN102257787B (en) Network analysis
JP2001217834A (en) System for tracking access chain, network system, method and recording medium
WO2010114363A1 (en) Method and system for alert classification in a computer network
CN111935172A (en) Network abnormal behavior detection method based on network topology, computer device and computer readable storage medium
CN110769007B (en) Network security situation sensing method and device based on abnormal traffic detection
CN110035062A (en) A kind of network inspection method and apparatus
EP3623983A1 (en) Method and device for identifying security threats, storage medium, processor and terminal
JP4823813B2 (en) Abnormality detection device, abnormality detection program, and recording medium
KR100432168B1 (en) Multiple Intrusion Detection Objects in Security Gateway System for Network Intrusion Detection
CN106302450A (en) A kind of based on the malice detection method of address and device in DDOS attack
KR100950582B1 (en) Method and Apparatus of detecting traffic flooding attack using suppoort vectort data description and Recording medium thereof
KR101488271B1 (en) Apparatus and method for ids false positive detection
RU2531878C1 (en) Method of detection of computer attacks in information and telecommunication network
CN114006719B (en) AI verification method, device and system based on situation awareness
CN115208690A (en) Screening processing system based on data classification and classification

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110429

Year of fee payment: 8

LAPS Lapse due to unpaid annual fee