KR100543664B1 - system for protecting of network and operation method thereof - Google Patents

system for protecting of network and operation method thereof Download PDF

Info

Publication number
KR100543664B1
KR100543664B1 KR1020010080182A KR20010080182A KR100543664B1 KR 100543664 B1 KR100543664 B1 KR 100543664B1 KR 1020010080182 A KR1020010080182 A KR 1020010080182A KR 20010080182 A KR20010080182 A KR 20010080182A KR 100543664 B1 KR100543664 B1 KR 100543664B1
Authority
KR
South Korea
Prior art keywords
data packet
processor
data
kernel
memory database
Prior art date
Application number
KR1020010080182A
Other languages
Korean (ko)
Other versions
KR20030049853A (en
Inventor
한대성
신명철
Original Assignee
주식회사 윈스테크넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스테크넷 filed Critical 주식회사 윈스테크넷
Priority to KR1020010080182A priority Critical patent/KR100543664B1/en
Publication of KR20030049853A publication Critical patent/KR20030049853A/en
Application granted granted Critical
Publication of KR100543664B1 publication Critical patent/KR100543664B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Abstract

본 발명은 온라인 상의 서비스 시스템 장치 및 이의 운영 방법에 관한 것으로써, 특히, 각종 비정상적인 네트워크 접근의 탐지 및 차단을 위한 과정이 원활히 이루어질 수 있도록 함과 더불어 그 운영에 따른 패킷 전달시의 손실을 최소화하고, 전체적인 시스템의 구축이 간편하게 이루어질 수 있으며, 속도와 안정성의 향상을 이룰 수 있도록 한 침입 탐지 시스템(IDS)을 제공하고자 한 것이다.The present invention relates to an online service system device and a method of operating the same, and in particular, to facilitate the process of detecting and blocking various abnormal network accesses, and to minimize the loss of the packet transmission according to the operation. The goal is to provide an intrusion detection system (IDS) that can simplify the construction of the entire system and improve speed and stability.

이를 위해 본 발명의 네트워크 보호 장치를 이용한 네트워크 보호 방법은 인터럽트부를 이용한 인터럽트 신호의 수신을 통해 각 컴퓨터 시스템간 세션 연결의 요청 여부를 지속적으로 확인하는 제1단계; 상기 과정에서 특정 컴퓨터 시스템으로부터 다른 한 컴퓨터 시스템으로의 세션 연결을 위한 요청 신호가 발생될 경우 이 세션을 통해 전송되는 데이터 패킷을 커널로 전달하도록 제어하는 제2단계; 상기 커널을 메모리 데이터 베이스와 연동시켜 수신된 데이터 패킷의 이상 유무를 판독함과 더불어 그 판독 결과에 따라 전송 대상 컴퓨터 시스템으로의 해당 데이터 패킷 전송 혹은, 차단을 결정하며, 상기 결정에 따른 제어를 수행하는 제3단계:와 같은 일련의 과정이 진행되어 수행됨을 제시한다.To this end, the network protection method using the network protection device of the present invention comprises the steps of: continuously checking whether the request for a session connection between each computer system by receiving an interrupt signal using the interrupt unit; A second step of controlling to transmit a data packet transmitted through the session to the kernel when a request signal for a session connection from one computer system to another computer system is generated in the process; The kernel interlocks with the memory database to read whether there is an abnormality in the received data packet, and determines whether to transmit or block the corresponding data packet to the transmission target computer system according to the read result, and performs control according to the determination. The third step, which is presented below, is a series of processes presented and performed.

침입 탐지 시스템, IDS 커널, 메모리 데이터 베이스(MDB)Intrusion Detection System, IDS Kernel, Memory Database (MDB)

Description

네트워크 보호 장치 및 이의 운영 방법{system for protecting of network and operation method thereof}System for protecting of network and operation method

도 1 은 종래 침입 탐지 시스템이 구축된 네트워크를 개략적으로 나타낸 구성도1 is a block diagram schematically illustrating a network in which a conventional intrusion detection system is constructed.

도 2 는 본 발명에 따른 침입 탐지 시스템이 구축된 네트워크 보호 장치를 개략적으로 나타낸 구성도2 is a block diagram schematically illustrating a network protection device in which an intrusion detection system according to the present invention is constructed.

도 3 은 본 발명에 따른 침입 탐지 시스템의 IDS 커널과 메모리 데이터 베이스 상호간 연동 구성을 개략적으로 나타낸 구성도Figure 3 is a schematic diagram showing the interworking configuration between the IDS kernel and the memory database of the intrusion detection system according to the present invention

도 4 는 본 발명에 따른 침입 탐지 시스템이 구축된 네트워크 보호 장치의 운영 과정을 개략적으로 나타낸 순서도4 is a flowchart schematically illustrating an operation process of a network protection device in which an intrusion detection system according to the present invention is constructed.

도 5 는 본 발명에 따른 침입 탐지 시스템의 IDS 커널과 메모리 데이터 베이스 상호간 연동에 따른 침입 탐지 및 방어를 수행하는 과정에 대하여 간략히 나타낸 순서도5 is a flow chart briefly illustrating a process of performing intrusion detection and defense according to interworking between an IDS kernel and a memory database of an intrusion detection system according to the present invention.

도 6 은 도 5의 운영 과정 중 IDS 커널의 분석 프로세서가 운영되는 과정을 간략히 나타낸 순서도FIG. 6 is a flowchart briefly illustrating a process of operating an analysis processor of an IDS kernel among operating processes of FIG. 5;

도 7 은 도 5의 운영 과정 중 IDS 커널의 방어 프로세서가 운영되는 과정을 간략히 나타낸 순서도FIG. 7 is a flowchart briefly illustrating a process of operating a defense processor of an IDS kernel during the operation of FIG. 5.

도 8 은 도 5의 운영 과정 중 IDS 커널의 추적 프로세서가 운영되는 과정을 간략히 나타낸 순서도8 is a flowchart briefly illustrating a process of operating a tracking processor of an IDS kernel during an operation of FIG. 5;

도 9 는 도 5의 운영 과정 중 IDS 커널의 경고 프로세서가 운영되는 과정을 간략히 나타낸 순서도FIG. 9 is a flowchart briefly illustrating a process of operating an alert processor of an IDS kernel during an operation of FIG. 5; FIG.

도 10 는 도 5의 운영 과정 중 IDS 커널의 로깅 프로세서가 운영되는 과정을 간략히 나타낸 순서도FIG. 10 is a flowchart schematically illustrating a process of operating a logging processor of an IDS kernel during an operation of FIG. 5.

도면의 주요부분에 대한 부호의 설명Explanation of symbols for main parts of the drawings

100, 침입 탐지 시스템(IDS) 120. 인터럽트부100, Intrusion Detection System (IDS) 120. Interrupt Section

130. IDS 커널 131. 패킷 수집 프로세서130. IDS Kernel 131. Packet Acquisition Processor

132. 분석 프로세서 133. 방어 프로세서132. Analysis Processor 133. Defense Processor

134. 관리 프로세서 135. 경고 프로세서134. Management processor 135. Alert processor

136. 추적 프로세서 137. 로깅 프로세서136. Trace Processor 137. Logging Processor

138. 패킷 전송 프로세서138. Packet Transfer Processor

160. 메모리 데이터 베이스(MDB) 170. 데이터 버스160. Memory Database (MDB) 170. Data Bus

180. HDD 190. 유저 인터페이스(UI)180.HDD 190.User Interface (UI)

200, 허브200, hub

본 발명은 온라인 상에서 특정 네트워크 내부로의 비정상적인 침입을 방지할 수 있도록 함과 더불어 해당 네트워크 내부의 컴퓨터 시스템을 이용한 비정상적인 사용, 오용, 남용 등을 방지할 수 있도록 한 장치 및 이의 운영 방법에 관한 것이다.The present invention relates to an apparatus and a method of operating the same to prevent abnormal intrusion into a specific network online and to prevent abnormal use, misuse, abuse, etc. using a computer system inside the network.

현재, 인터넷(internet) 환경의 급격한 발달로 인해 각 개인은 필요로하는 정보를 인터넷 환경 내에서 자유롭게 취득하거나 전송할 수 있게 되었고, 각 기업체에서도 원거리 상에 위치되어 있다 하더라도 상기한 인터넷을 통해 각종 자료의 공유가 가능하게 되었다.At present, due to the rapid development of the Internet environment, each individual can freely acquire or transmit the necessary information within the Internet environment, and even if each enterprise is located at a long distance, the various data can be obtained through the Internet. Sharing is now possible.

하지만, 상기한 바와 같이 각종 정보가 인터넷 환경 내에서 자유롭게 전달 및 취득이 가능함에 따라 각 개인 정보의 오용 및 남용이 급증하게 되었을 뿐 아니라 특히, 각 기업체에서는 중요한 정보 데이터의 유출이 증가됨에 따라 보안의 중요성이 점차 대두되고 있다.However, as described above, as various information can be freely transmitted and acquired within the Internet environment, not only misuse and abuse of each personal information have soared, but in particular, as the leakage of important information data increases in each enterprise, Importance is growing.

이에 최근에는 IDS(Intrusion Detection System)와 같이 인가되지 않은 시스템으로부터의 접속을 차단하기 위한 침입 방지 시스템을 각 네트워크 상에 설치함으로써 정보의 유출을 최대한 방지할 수 있도록 하고 있다.Recently, an intrusion prevention system for blocking access from an unauthorized system such as an intrusion detection system (IDS) has been installed on each network to prevent the leakage of information as much as possible.

이 때, 상기 IDS는 각 네트워크간의 통신에 직접 관여하는 것이 아니라 특정 네트워크간 통신 세션의 발생시 이 세션을 모니터링하는 패시브(passive) 방식을 채택하고 있다.At this time, the IDS is not directly involved in the communication between the networks, but adopts a passive method of monitoring the session when a communication session occurs between specific networks.

즉, 상기 IDS는 별도의 서버로 네트워크에 포함되어 구축된 상태로써 인터넷을 통해 외부 네트워크와 접속한 네트워크 내부의 각 시스템간 세션을 지속적으로 모니터링 하여 상기 세션을 통해 통신되는 각 데이터의 이상 발생 유무를 확인하여 이상이 있을 경우 해당 세션을 강제 차단하도록 운영되기 때문이다.In other words, the IDS is built as a separate server included in the network and continuously monitors sessions between systems within a network connected to an external network through the Internet to check whether there is an error in each data communicated through the session. This is because it operates to forcibly block the session if there is a problem by checking.

하지만, 상기와 같은 기존의 IDS는 특정 시스템의 OS(Operating System) 상에 설치되는 응용 프로그램(Application Program)임을 고려할 때 전체적인 처리 속도가 늦고, 침입 탐지 과정 중의 패킷 손실이 많았던 문제점이 있다.However, considering that the existing IDS as described above is an application program installed on an operating system (OS) of a specific system, the overall processing speed is slow and there are a lot of packet loss during the intrusion detection process.

예컨대, 도시한 도 1과 같이 IDS 애플리캐이션(11)이 설치된 시스템(10)은 인터럽트부(12)를 이용하여 각 허브(20)에 연결되어 있는 각 컴퓨터 시스템의 인터럽트 신호를 감시하는 도중 특정 컴퓨터 시스템간 세션 접속이 이루어질 경우 상기 접속된 세션간의 전송 데이터 패킷을 확인하여 커널(13)을 통해 네트워크 드라이버(driver)(14)로 전달하고, 상기 네트워크 드라이버(14)는 상기 IDS 애플리케이션(11)을 통해 해당 데이터 패킷의 이상 발생 여부를 판독하게 된다.For example, as shown in FIG. 1, the system 10 in which the IDS application 11 is installed may use the interrupt unit 12 to monitor an interrupt signal of each computer system connected to each hub 20. When the session connection between computer systems is established, the transmission data packet between the connected sessions is checked and transmitted to the network driver 14 through the kernel 13, and the network driver 14 transmits the IDS application 11. Through this, whether the data packet is abnormal or not is read.

이의 과정에서 네트워크 인터페이스 카드(Network Interface Card)(15)와 같은 디바이스를 통해 데이터 패킷을 전달받은 커널(13)이 네트워크 드라이버로(14)의 데이터 패킷을 전송하는 도중 및 네트워크 드라이버(14)가 IDS 애플리캐이션(11)으로의 데이터 패킷을 전송하는 도중 처리 속도의 저하와 함께 상당수의 패킷 손실이 발생하게 었다.During this process, the kernel 13 receiving the data packet through a device such as a network interface card 15 is transmitting the data packet of the network driver 14 to the network driver 14 and the network driver 14 receives the IDS. During the transmission of the data packet to the application 11, a large amount of packet loss occurred with a decrease in the processing speed.

즉, IDS에 의한 침입 탐지의 전반적인 과정이 데이터의 이동이 많음에 따라 커널(kernel)(13)에 의한 데이터 전달 과정에서의 병목현상이 발생하는 등 처리 속도의 한계를 가질 수 밖에 없었을 뿐 아니라 패킷 전달 과정에서의 많은 손실이 발생하여 해당 데이터를 검사하지 못하는 가장 큰 문제점이 있다.That is, as the overall process of intrusion detection by IDS has a lot of data movement, it has no choice but to limit the processing speed, such as bottlenecks in the data transfer process by the kernel (13). The biggest problem is that a lot of loss occurs in the transmission process and the data cannot be inspected.

또한, 상기와 같은 통상적인 IDS는 그 동작 중 특정 시스템간의 비정상적인 세션 연결을 확인하게 될 경우 상기 세션 연결된 각 시스템에 방어 패킷을 동시에 보냄으로써 상호간의 세션을 차단하게 되는데, 이의 과정이 상당한 정확도를 가져야만 하였던 기술적인 어려움이 있었다.In addition, when the normal IDS checks an abnormal session connection between specific systems during its operation, it blocks the mutual sessions by simultaneously sending a defensive packet to each of the session connected systems. There was a technical difficulty.

특히, 기존의 IDS는 여타 네트워크와의 세션 접속이 이루어진 상태로 그 모니터링이 수행되고, 상기 모니터링 과정에서 이상이 발견될 경우 상호간의 세션을 차단하도록 제어됨에 따라 서비스 거부 공격(DOS;Denial Of Service) 및 분산 서비스 거부 공격(DDOS;Distributed Denial Of Service)과 UDP(User Datagram Protocol)를 이용한 해커의 공격에 취약하였던 문제점이 있다.In particular, the existing IDS has a session connection with the other network and its monitoring is performed, and when an abnormality is found in the monitoring process, the denial of service (DOS) attack is controlled to block the mutual sessions. And vulnerabilities that are exploited by hackers using Distributed Denial Of Service (DDOS) and User Datagram Protocol (UDP).

본 발명은 전술한 바와 같은 종래 문제점을 해결하기 위해 안출한 것으로써, 본 발명의 목적은 각종 비정상적인 네트워크 접근의 탐지 및 차단을 위한 과정이 원활히 이루어질 수 있도록 함과 더불어 그 운영에 따른 패킷 전달시의 손실을 최소화하고, 전체적인 시스템의 구축이 간편하게 이루어질 수 있으며, 속도와 안정성의 향상을 이룰 수 있도록 한 침입 탐지 시스템(IDS)을 구비한 네트워크 보호 장치 및 이의 운영 방법을 제공하고자 한 것이다.The present invention has been made to solve the conventional problems as described above, the object of the present invention is to facilitate the process for the detection and blocking of various abnormal network access and at the time of packet delivery according to its operation It is to provide a network protection device having an intrusion detection system (IDS) and a method of operating the same to minimize losses, to simplify the construction of the entire system, and to improve speed and stability.

상기한 목적을 달성하기 위한 본 발명의 형태는 인터넷 망을 통해 연결된 특정 영역 외부에 구축된 네트워크의 컴퓨터 시스템 및 특정 영역 내부에 구축된 네트워크의 특정 컴퓨터 시스템간 혹은, 특정 영역 내부에 구축된 네트워크의 각 컴퓨터 시스템간 데이터 전달을 위해 설치된 최소 하나 이상의 허브; 상기 특정 영역 내부에 구축된 네트워크망을 이루며, 각 허브에 접속된 상태로써 네트워킹 가능하게 연결된 다수의 서버 컴퓨터 시스템 및 개인용 컴퓨터 시스템; 상기 각 허브 중 어느 한 허브와 이 허브에 연결된 다른 한 허브 혹은, 컴퓨터 시스템과의 데이터 전달 경로 사이에 최소 하나 이상 설치되며, 상기 데이터 전달 경로 사이의 데이터 전달에 대한 인터럽트 신호를 수신받아 침입 탐지 및 방어를 수행하도록 침입 탐지 엔진이 모듈화되어 이루어진 커널(kernel)을 가지는 침입 탐지 시스템(IDS;Instrusion Detection System):을 포함하여 구축된 네트워크 보호 장치를 제시한다.In accordance with an aspect of the present invention, a computer system of a network built outside a specific area connected through an internet network and a specific computer system of a network built inside a specific area, or a network built inside a specific area. At least one hub installed for data transfer between each computer system; A plurality of server computer systems and personal computer systems that form a network constructed inside the specific area and are connected to each hub so as to be networkable; At least one is installed between any one of the hubs and the other hub connected to the hub, or a data transfer path between the computer system, receiving an interrupt signal for data transfer between the data transfer paths and intrusion detection and An intrusion detection system (IDS) having a kernel in which an intrusion detection engine is modularized to perform a defense is provided.

그리고, 상기한 형태에 따른 본 발명의 네트워크 보호 방법으로 인터럽트부를 이용한 인터럽트 신호의 수신을 통해 각 컴퓨터 시스템간 세션 연결의 요청 여부를 지속적으로 확인하는 제1단계; 상기 과정에서 특정 컴퓨터 시스템으로부터 다른 한 컴퓨터 시스템으로의 세션 연결을 위한 요청 신호가 발생될 경우 이 세션을 통해 전송되는 데이터 패킷을 커널로 전달하도록 제어하는 제2단계; 상기 커널을 메모리 데이터 베이스와 연동시켜 수신된 데이터 패킷의 이상 유무를 판독함과 더불어 그 판독 결과에 따라 전송 대상 컴퓨터 시스템으로의 해당 데이터 패킷 전송 혹은, 차단을 결정하며, 상기 결정에 따른 제어를 수행하는 제3단계:가 포함되어 진행되는 방법을 제시한다.A first step of continuously checking whether a request for a session connection between each computer system is performed through the reception of an interrupt signal using an interrupt unit in the network protection method of the present invention according to the above aspect; A second step of controlling to transmit a data packet transmitted through the session to the kernel when a request signal for a session connection from one computer system to another computer system is generated in the process; The kernel interlocks with the memory database to read whether there is an abnormality in the received data packet, and determines whether to transmit or block the corresponding data packet to the transmission target computer system according to the read result, and performs control according to the determination. The third step is to include: how to proceed.

이하, 첨부된 도면을 참조하여 본 발명의 네트워크 보호를 위한 장치 및 그 운영 방법에 관한 실시예를 도시한 도 2 내지 도 10을 참고로 하여 보다 상세히 설명하면 다음과 같다.Hereinafter, with reference to the accompanying drawings, an embodiment of an apparatus for a network protection and an operating method thereof of the present invention will be described in more detail with reference to FIGS.

우선, 첨부된 도 2는 본 발명의 네트워크 보호를 위한 장치를 개략적으로 나타내고 있다.First, FIG. 2 is a schematic diagram of an apparatus for network protection of the present invention.

즉, 본 발명의 네트워크 보호 장치는 크게 네트워크에 연결된 다수의 컴퓨터 시스템(300)과, 상기 각 컴퓨터 시스템간의 데이터 전달을 위한 최소 하나 이상의 허브(200)와, 각 컴퓨터 시스템간에 전달되는 데이터의 이상 유무를 판독하여 이상이 있는 데이터는 차단하고, 이상이 없는 데이터 만을 전송 대상 컴퓨터 시스템으로 전달하도록 구축된 침입 탐지 시스템(IDS;Intrusion Detection System)(100)을 포함하여 구축된다.That is, the network protection device of the present invention includes a large number of computer systems 300 connected to a network, at least one hub 200 for data transfer between the respective computer systems, and abnormality of data transmitted between the computer systems. It is constructed to include an intrusion detection system (IDS) 100 that is configured to read and block abnormal data and deliver only the abnormal data to the transmission target computer system.

상기에서 네트워크 보호 장치를 구성하는 각 컴퓨터 시스템(300)은 특정 영역 내부에 구축된 네트워크 망을 이루며, 각 허브(200)에 접속된 상태로써 네트워킹 가능하게 연결되고, 각 컴퓨터 시스템(300) 간의 제어나 메일과 같은 여타의 작업을 수행하기 위한 다수의 서버 컴퓨터 시스템과 각각의 개인이 사용하는 개인용 컴퓨터 시스템으로 구성된다.Each computer system 300 constituting the network protection device forms a network constructed inside a specific area, is connected to each hub 200 in a networkable connection, and controls between each computer system 300. It consists of a number of server computer systems for performing other tasks such as e-mail and a personal computer system used by each individual.

그리고, 상기 허브(200)는 특정 컴퓨터 시스템으로부터 인터넷 망이나 인트라넷 망을 통해 전송되는 데이터를 입수하여 상기 데이터의 전송 대상 컴퓨터 시스템(300)으로 전달하는 역할을 수행하게 되며, 라우터의 기능을 포함할 수도 있고 그렇지 않을 수도 있다.The hub 200 acquires data transmitted from a specific computer system through an internet network or an intranet network, and transfers the data to the transmission target computer system 300, and may include a router function. It may or may not be.

이 때, 상기 허브(200)가 라우터 기능을 포함하지 않을 경우에는 도시된 바와 같이 상기 허브(200)와 인터넷망 사이에 별도의 라우터(400)를 구비하여야 함은 당연하다.In this case, when the hub 200 does not include a router function, it is a matter of course that a separate router 400 is provided between the hub 200 and the internet network.

그리고, 상기 네트워크 보호 장치를 구성하는 허브(200)는 인터넷 망을 통해 연결된 상태로써 특정 영역 외부에 구축된 네트워크의 컴퓨터 시스템(예컨대, 개인용 PC 등) 및 특정 영역 내부에 구축된 네트워크의 특정 컴퓨터 시스템간 혹은, 특정 영역 내부에 구축된 네트워크의 각 컴퓨터 시스템간 데이터 전달을 위해 설치된다.In addition, the hub 200 constituting the network protection device is connected to a computer network (for example, a personal PC, etc.) of a network built outside a specific area in a state connected through an internet network, and a specific computer system of a network built inside a specific area. It is installed for data transmission between computers or between computer systems in a network built inside a specific area.

그리고, 상기 네트워크 보호 장치를 구성하는 침입 탐지 시스템(100)은 네트워크를 이루는 각각의 허브(200) 중 어느 한 허브와 이 허브에 연결된 다른 한 허브 혹은, 컴퓨터 시스템(300)과의 데이터 전달 경로 사이에 최소 하나 이상 설치된다.The intrusion detection system 100 constituting the network protection device includes a data transmission path between any one hub of each hub 200 constituting the network and another hub connected to the hub or the computer system 300. At least one is installed on.

이 때, 상기 침입 탐지 시스템(100)은 상기 데이터 전달 경로 사이의 데이터 전달에 대한 인터럽트 신호를 수신받아 침입 탐지 및 방어를 수행하도록 침입 탐지 엔진이 모듈(module)화된 커널(Kernel 이하, “IDS 커널”이라 한다)(130)과, 네트워크 망에 접속된 상태로써 데이터의 송수신을 위한 네트워크 인터페이스 카드(NIC:Network Interface Card, 이하, NIC라 한다)(150)와, 상기 NIC를 통한 데이터의 수신 여부에 따른 인터럽트(Interrupt) 신호를 판독하는 인터럽트부(120)와, 상기 IDS 커널(130)을 통해 수신되는 각 데이터 패킷을 임시 저장하고, 각 패킷의 이상 현상에 대한 정보 및 각 패킷의 이상 상태별 대응 방법에 대한 제어 정보가 각각 저장되는 메모리 데이터 베이스(MDB:Memery Data Base, 이하, MDB라 한다)(160)와, 상기 각 구성 부분간의 데이터 전송이 이루어지도록 연결된 데이터 버스(Data Bus)(170)를 포함하여 구성된다.At this time, the intrusion detection system 100 receives an interrupt signal for data transmission between the data transmission paths and performs an intrusion detection and defense in which the intrusion detection engine is modularized. 130, a network interface card (NIC) for transmitting and receiving data in a state of being connected to a network, and whether or not data is received through the NIC. Interrupt unit 120 that reads the interrupt signal according to the intermittent, and temporarily stores each data packet received through the IDS kernel 130, information about the abnormality of each packet and the abnormal state of each packet A memory database (MDB), each of which stores control information on a corresponding method, is referred to as an MDB (160), and is connected to perform data transmission between the components. And a data bus 170.

즉, 본 발명은 침입 탐지 시스템의 침입 탐지 및 방어를 위한 엔진을 모듈화 된 IDS 커널(130)로써 구현한 것이다.That is, the present invention implements the engine for the intrusion detection and defense of the intrusion detection system as a modular IDS kernel 130.

그리고, 상기 IDS 커널(130)은 크게 패킷 수집 프로세서(Gathering Processor)(131)와 분석 프로세서(Analyze Processor)(132), 방어 프로세서(Defense Processor)(133), 관리 프로세서(Manager Processor)(134)로 이루어진다.In addition, the IDS kernel 130 includes a packet collecting processor 131, an analysis processor 132, a defense processor 133, and a manager processor 134. Is done.

이 때, 상기 패킷 수집 프로세서(131)는 인터럽트부(120)를 통해 데이터의 수신 여부가 확인될 경우 해당 데이터 패킷을 지속적으로 받아들여 MDB(160)에 저장하는 역할을 수행한다.At this time, the packet collection processor 131 continuously receives the corresponding data packet and stores the data packet in the MDB 160 when it is determined whether the data is received through the interrupter 120.

그리고, 상기 분석 프로세서(132)는 상기 MDB(160)에 저장되어 있는 각 데이터 패킷을 분석하여 그 이상 유무를 판독하고, 그 결과 정보를 상기 MDB(160)에 재 저장하는 역할을 수행한다.In addition, the analysis processor 132 analyzes each data packet stored in the MDB 160, reads whether there is more than that, and stores the information in the MDB 160 again.

그리고, 상기 방어 프로세서(133)는 상기 MDB(160)에 저장된 각 데이터 패킷의 이상 유무에 따른 정보를 토대로 선택적으로 방어하는 역할을 수행한다.In addition, the defense processor 133 performs a role of selectively defending based on information according to whether there is an error of each data packet stored in the MDB 160.

그리고, 상기 관리 프로세서(134)는 상기와 같은 각 프로세서가 각각의 고유 작업을 동시 다발적으로 수행될 수 있도록 관리하고 운영하는 역할을 수행한다.In addition, the management processor 134 manages and operates each processor such that each unique task can be performed simultaneously.

이와 함께, 본 발명에서는 전술한 바와 같은 IDS 커널(130)이 MDB(160)에 저장된 각 패킷의 이상 유무에 따른 정보를 토대로 선택적인 경고를 발생시키도록 프로세싱되는 경고 프로세서(Alert Processor)(135)와, 상기 MDB(160)에 저장된 각 데이터 패킷의 이상 유무에 따른 정보를 토대로 침입된 경로를 역추적하는 추적 프로세서(Chase Processor)(136), 상기 MDB(160)의 저장 공간을 지속적으로 확인하 고, 상기 저장 공간이 기 설정된 저장 공간에 비해 부족할 경우 추가되는 데이터 패킷 혹은, 처리 완료된 데이터 패킷을 별도의 하드웨어 저장 공간에 저장하는 로깅 프로세서(Loging Processor)(137) 그리고, 정상적인 패킷으로 판단된 데이터 패킷만을 전송 대상 컴퓨터 시스템으로 전송하는 패킷 전송 프로세서(Gateway Processor)(138)를 더 포함하여 모듈화됨을 제시한다.In addition, in the present invention, the IDS kernel 130 as described above is processed to generate a selective alert based on the information according to the presence or absence of each packet stored in the MDB 160 (Alert Processor 135) And continuously checking the storage space of the trace processor 136 and the MDB 160 that trace back the invaded path based on the information according to the abnormality of each data packet stored in the MDB 160. When the storage space is insufficient compared to the preset storage space, a logging processor 137 for storing an additional data packet or a processed data packet in a separate hardware storage space, and the data determined to be a normal packet. It is proposed to further include a packet processor 138 for transmitting only the packet to the transmission target computer system.

이 때, 상기 별도의 하드웨어 저장 공간이라 함은 통상적인 HDD(180)가 될 수 있다.In this case, the separate hardware storage space may be a conventional HDD 180.

도시한 도 3은 전술한 바와 같은 IDS 커널과 메모리 데이터 베이스간 연동을 위해 설정된 상태에 따른 구성도를 나타내고 있다.3 illustrates a configuration diagram according to a state set for interworking between the IDS kernel and the memory database as described above.

뿐만 아니라 본 발명에 따른 네트워크 보호 장치를 구성하는 침입 탐지 시스템(100)에는 각 데이터 패킷의 비정상적인 동작 발생에 대응하여 상기 시스템을 관리하는 관리자가 수동 조작할 수 있도록 하기 위한 유저 인터페이스(UI:User Interface)(190)가 더 포함되어 구축됨을 제시한다.In addition, the intrusion detection system 100 constituting the network protection device according to the present invention has a user interface (UI: User Interface) for the administrator to manage the system in response to the occurrence of abnormal operation of each data packet for manual operation ) 190 is further included to show that it is built.

이 때, 상기 UI는 IDS 커널(130)의 동작 상태를 디스플레이하고, 관리자로부터의 조작 신호를 수신 받기 위한 응용 프로그램이 된다.In this case, the UI displays an operation state of the IDS kernel 130 and becomes an application program for receiving an operation signal from an administrator.

이하, 전술한 바와 같은 본 발명의 네트워크 보호 방법을 네트워크 보호 장치의 운영 과정을 토대로 첨부된 도 4의 내지 도 8의 순서도를 참조하여 보다 구체적으로 설명하기로 한다.Hereinafter, the network protection method of the present invention as described above will be described in more detail with reference to the flowcharts of FIGS. 4 to 8 that are attached on the basis of an operation process of the network protection device.

우선, 본 발명의 네트워크 보호 장치를 구성하는 허브(200)는 인터넷망 혹은, 인트라넷 망을 통해 특정 컴퓨터 시스템으로부터의 접속 요청 데이터 신호, 혹은 데이터 전송에 따른 신호를 입수 받음과 함께 상기 신호의 수신 대상 컴퓨터 시스템(300)을 확인하여 해당 컴퓨터 시스템이 포함되어 구축된 네트워크로 상기 입수된 데이터 신호를 전달한다.First, the hub 200 constituting the network protection device of the present invention receives a connection request data signal from a specific computer system or a signal according to data transmission through an internet network or an intranet network, and receives the signal. The computer system 300 checks and transmits the obtained data signal to the network in which the computer system is included.

이와 함께, 본 발명의 침입 탐지 시스템(100)은 상기 허브(200)와 네트워크 사이의 데이터 전달 경로 상에 설치된 상태로써 NIC(150)를 통해 상기 데이터가 전달되는 경로와의 세션 연결을 이룬다.(S110)In addition, the intrusion detection system 100 of the present invention is installed on the data transmission path between the hub 200 and the network to form a session connection with the path through which the data is transmitted through the NIC 150. S110)

이후, 상기 침입 탐지 시스템(100)은 상기 세션을 통해 전달되는 데이터 패킷을 수신하게 된다.(S120)Thereafter, the intrusion detection system 100 receives a data packet transmitted through the session (S120).

이 때, 침입 탐지 시스템(100)을 구성하는 인터럽트부(120)는 상기 NIC(150)를 통한 데이터 수신 여부에 따른 인터럽트 신호를 계속하여 판독하고 있는 상태임에 따라 상기 NIC(150)를 통해 데이터가 수신될 경우 이의 인터럽트 신호를 판독한 후 IDS 커널(130)로 상기 수신되는 데이터 패킷을 전달한다.(S130)At this time, the interrupt unit 120 constituting the intrusion detection system 100 is continuously reading the interrupt signal according to whether or not the data is received through the NIC 150, and thus the data through the NIC 150. If is received, reads the interrupt signal thereof and delivers the received data packet to the IDS kernel 130 (S130).

그리고, 상기 IDS 커널(130)은 상기 수신되는 데이터 패킷을 MDB(160)에 저장함과 더불어 상기 MDB(160)와 연동하면서 해당 데이터 패킷의 이상 여부에 따른 확인 및 그 방어를 수행한다.(S140)In addition, the IDS kernel 130 stores the received data packet in the MDB 160 and performs interworking with the MDB 160 to check and defend the data packet according to an abnormality.

이 과정에서 IDS 커널(130)은 상기 수신되는 데이터 패킷에 이상이 있을 경우 전송 대상 컴퓨터 시스템(300)으로의 전달됨을 불허함과 동시에 그 내역을 저장(S150)해 둔 후 세션 연결을 해제(S160)하여 더 이상의 데이터 패킷 전송을 차단한다.In this process, when there is an error in the received data packet, the IDS kernel 130 disables the transfer to the transmission target computer system 300 and simultaneously stores the details (S150) and then releases the session connection (S160). Block further data packet transmission.

반면, 상기 수신되는 데이터 패킷에 이상이 없을 경우 해당 데이터 패킷의 전송을 허용함과 동시에 그 내역을 저장(S170)하고, 상기 전송 대상 컴퓨터 시스템(300)으로의 전달을 수행한다.(S180)On the other hand, if there is no abnormality in the received data packet, the transmission of the data packet is allowed and the details are stored (S170), and the transfer is performed to the transmission target computer system 300 (S180).

이 때, 상기한 IDS 커널(130)과 MDB 상호간 연동에 의한 침입 탐지 및 대응 과정을 도시한 도 5 내지 도 10의 순서도를 참고하여 보다 구체적으로 설명하도록 한다.In this case, the IDS kernel 130 and the intrusion detection and the corresponding process by interworking with the MDBs will be described in more detail with reference to the flowcharts of FIGS. 5 to 10.

우선, 도시한 도 5의 순서도와 같이 NIC(150) 및 인터럽트부(120)를 통해 IDS 커널(130)로의 데이터 패킷이 수신되면 상기 IDS 커널(130)은 패킷 수집 프로세서(131)를 통해 데이터 패킷을 지속적으로 수집하여 MDB(160)로 전달함으로써 상기 MDB(160)에 해당 데이터 패킷의 저장이 이루어지도록 한다.(S141)First, when the data packet to the IDS kernel 130 is received through the NIC 150 and the interrupter 120 as shown in the flowchart of FIG. 5, the IDS kernel 130 transmits the data packet to the packet collection processor 131. By continuously collecting and delivering the data packet to the MDB 160, the corresponding data packet is stored in the MDB 160 (S141).

이 때, 상기 패킷 수집 프로세서는 수신된 데이터를 프로토클(Protocol), 세션(Session), 서버(Server), 클라이언트(Client) 등과 같은 각종 정보로써 각각 분리한 후 MDB(160)에 저장하게 된다.At this time, the packet collection processor separates the received data into various types of information such as protocol, session, server, client, and the like, and stores them in the MDB 160.

이와 동시에 상기 IDS 커널(130)은 관리 프로세서(134)를 통해 분석 프로세서(132), 방어 프로세서(133), 추적 프로세서(136), 로깅 프로세서(137), 경고 프로세서(135) 그리고, 패킷 전송 프로세서(138)를 동시 다발적으로 수행시켜 상기 MDB(160)에 저장된 각 데이터 패킷의 이상 유무 확인 및 그에 따른 처리를 수행한다.At the same time, the IDS kernel 130 uses the management processor 134 to analyze the analysis processor 132, defense processor 133, tracking processor 136, logging processor 137, alert processor 135, and packet transfer processor. At step 138, a plurality of data packets are simultaneously executed to confirm whether there is an abnormality in each data packet stored in the MDB 160, and to thereby process the same.

이 때, 상기 분석 프로세서(132)를 통해서는 도시한 도 6의 순서도와 같이 MDB(160)에 저장되어 있는 각 데이터 패킷을 분석하여 그 이상 유무를 판독하고, 그 결과 정보를 상기 MDB(160)에 재저장한다.At this time, the analysis processor 132 analyzes each data packet stored in the MDB 160 as shown in the flowchart of FIG. 6 and reads whether there are any more errors, and the result information is read by the MDB 160. Resave to.

상기에서 분석 프로세서에 의한 데이터 패킷의 이상 유무 확인은 상기 MDB에 이미 등록되어 있는 정상적인 데이터 패킷의 유형에 대한 정보 혹은, 비정상적인 데이터 패킷의 유형에 대한 정보를 토대로 수행하게 된다.The abnormality check of the data packet by the analysis processor is performed based on the information on the type of the normal data packet already registered in the MDB or the information on the type of the abnormal data packet.

이 때, 상기 비정상적인 데이터 패킷의 유형에 대한 정보의 예로는 각종 바이러스 감염 여부, 사용자 데이터그램 프로토콜을 이용한 동일 데이터의 반복적인 전송 여부(UDP Floding 공격 여부), 핑(Ping) 명령어가 기 설정된 소정 횟수(예컨대, 30회) 이상 수신되는지에 대한 여부(Ping Floding 공격 여부), 프로그램을 이용한 대량 메일이 전송 되어지는지에 대한 여부(Mail Bomb 공격 여부), 파일전송프로토콜(FTP) 데이터 패킷이 1024번 아래의 포트를 오픈하도록 설정되어 있는지에 대한 여부(FTP Port Bound 공격 여부), 권한 밖의 명령어(Write, Delete 등)를 실행하도록 이루어져 있는지에 대한 여부(FTP Violation 공격 여부), 웹 서비스(Web service)나 텔넷 서비스(Telnet service)나 파일전송프로토콜 서비스(FTP service) 등과 같은 서비스 프로그램에서 처리할 수 있는 문자열 보다 많은 문자열이 포함되어 있는지에 대한 여부(Buffer Overflow 공격 여부), 기 등록된 라우터의 하드웨어 주소(MAC Address)와 전송되는 TCP/IP의 하드웨어 주소간 동일성 여부(IP Spoofing 공격 여부), 핑거 명령어(Finger)의 포함 여부(Finger 공격 여부) 등이 있을 수 있는데, 반드시 이로만 한정되지 않으며 보다 다양하게 있을 수 있다.In this case, examples of the information about the abnormal data packet type include whether various viruses are infected, whether the same data is repeatedly transmitted using a user datagram protocol (UDP floating attack), or a predetermined number of times a ping command is preset. (E.g., 30 times) or more (Ping Floding attack), whether the program is sending a large amount of mail (mail bomb attack), File Transfer Protocol (FTP) data packet below 1024 times Whether the port is set to open (FTP Port Bound attack), whether it is configured to execute unauthorized commands (Write, Delete, etc.) (FTP Violation attack), Web service or More statements than strings that can be handled by a service program, such as the Telnet service or the File Transfer Protocol service. Whether the string is included (whether a buffer overflow attack), whether the hardware address of the registered router (MAC address) and the transmitted hardware address of TCP / IP (IP spoofing attack), finger command (Finger) It may be included or not (Finger attack), etc., but is not limited to this may be more diverse.

그리고, 상기한 내역을 토대로한 분석 프로세서(132)에 의한 데이터 패킷의 이상 유무에 따른 확인 결과는 MDB(160)에 저장한다.In addition, the result of confirming whether or not the data packet is abnormal by the analysis processor 132 based on the above details is stored in the MDB 160.

즉, 정상적인 유형의 데이터 패킷으로 판단될 경우 그 결과 정보를 MDB(160) 에 저장하게 되고, 비 정상적인 유형의 데이터 패킷으로 판단될 경우 그 결과 정보 및 해당 유형을 상기 MDB(160)에 저장하는 것이다. 이와 함께 상기 분석 프로세서는 계속해서 상기 MDB(160)에 저장되어 있는 또 다른 데이터 패킷의 이상 유무에 대한 확인을 수행하게 된다.That is, when it is determined that the data packet is a normal type, the result information is stored in the MDB 160, and when it is determined that the data packet is an abnormal type, the result information and the corresponding type are stored in the MDB 160. . In addition, the analysis processor continues to check whether there is an error of another data packet stored in the MDB 160.

또한, 방어 프로세서(133)를 통해서는 도시한 도 7의 순서도와 같이 상기 MDB(160)에 저장되어 있는 각 이상 발생 데이터 패킷의 이상 발생 유형에 따른 처리를 수행하게 된다.In addition, the defense processor 133 performs processing according to an error occurrence type of each error occurrence data packet stored in the MDB 160 as shown in the flowchart of FIG. 7.

예컨대, 각종 바이러스를 가지는 데이터 패킷일 경우 바이러스 백신 소프트웨어를 구동하여 그 치료를 수행하고, 상기 치료 완료된 데이터 패킷은 정상적인 데이터 패킷으로 재 설정하여 MDB(160)에 저장한다. 이 때, 상기 백신 소프트웨어에 의한 치료 수행이 불가능할 경우 해당 데이터 패킷의 삭제를 수행함과 더불어 더 이상의 전송됨을 차단한다.For example, in the case of a data packet having various viruses, antivirus software is executed to perform the treatment, and the treated data packet is reset to a normal data packet and stored in the MDB 160. At this time, if it is impossible to perform the treatment by the antivirus software, the data packet is deleted and further transmission is blocked.

하지만 반드시 이의 방법에 의해 수행됨으로 한정하지는 않으며, 치료의 수행 없이 해당 데이터 패킷의 삭제 및 더 이상의 전송됨을 차단하도록 설정할 수도 있다.However, the method is not necessarily limited to that performed by the method, and may be set to block deletion of the data packet and further transmission without performing the treatment.

만일, 이상 발생 유형이 각종 해커에 의한 공격일 경우 MDB(160)에 기 등록되어 있는 각종 해킹 유형별 대응 방법에 따라 그 대처(예컨대, 해당 데이터 패킷의 삭제 및 해당 세션 차단)를 수행하고, 바이러스 및 해커 침입이 아닌 통상적인 오류 데이터일 경우 설정된 대처 방법(예컨대, 반송 등)에 따른 대처를 수행한다.If the type of anomaly is an attack by various hackers, the countermeasure (eg, deletion of the corresponding data packet and blocking of the corresponding session) is performed according to the corresponding hacking method for each hacking type registered in the MDB 160, and a virus and If normal error data is not a hacker intrusion, a countermeasure according to a set countermeasure (for example, return) is performed.

또한, 상기의 과정이 진행되는 도중 IDS 커널(130)의 추적 프로세서(136)는 도시한 도 8의 순서도와 같이 MDB(160)에 저장되는 각 데이터 패킷의 이상 발생 여부를 지속적으로 확인하다가 해커의 침입에 따른 데이터 패킷의 이상 발생이 확인될 경우 해당 데이터 패킷의 침입 경로 및 최초 송신지에 대한 추적을 수행하게 된다.In addition, while the above process is in progress, the tracking processor 136 of the IDS kernel 130 continuously checks whether or not an error occurs in each data packet stored in the MDB 160 as shown in the flowchart of FIG. When an abnormal occurrence of a data packet due to an invasion is confirmed, the trace of the intrusion path and the original destination of the data packet is performed.

이 때, 상기 추적 프로세서(136)의 의한 침입 경로의 추적은 해당 데이터 패킷의 분석 정보가 저장된 MDB(160)를 통해 송신 컴퓨터 시스템에 대한 IP(Internet Protocol)를 확인한 후 최근 상기 IP에 세션 연결되었던 각 컴퓨터 시스템 중 이상이 발생된 데이터 패킷과 동일한 데이터 패킷을 수신한 컴퓨터 시스템의 IP를 확인한다.At this time, tracing of the intrusion path by the tracking processor 136 confirms the IP (Internet Protocol) for the sending computer system through the MDB 160 in which the analysis information of the corresponding data packet is stored, and has recently connected the session to the IP. Check the IP of the computer system that received the same data packet as the data packet in which the abnormality occurred in each computer system.

이의 과정은 해당 데이터 패킷의 수신이 이루어지지 않았지만 그 송신은 이루어졌었던 컴퓨터 시스템의 IP가 확인될 때까지 반복적으로 수행함과 동시에 상기 이상 발생 데이터 패킷의 발생 확인 시간으로부터 인접한 시각의 범위 내에 각 데이터 패킷을 송수신하였던 각 컴퓨터 시스템을 확인함으로써 수행된다.This process is performed repeatedly until the IP of the computer system where the corresponding data packet has not been received but the transmission has been performed, and at the same time, each data packet within a range of time adjacent to the occurrence confirmation time of the abnormal data packet. This is done by identifying each computer system that has received and transmitted the data.

그리고, 상기한 과정에 의해 확인된 IP가 해킹 시도한 IP로 판단하여 그 내역을 저장함과 동시에 현재 상기 IP에 세션 연결된 여타 컴퓨터 시스템과의 세션 차단을 수행한다.Then, the IP identified by the above process is determined to be an hacked IP and the details are stored, and at the same time, the session is blocked with other computer systems currently connected to the IP.

이 때, 본 발명에서는 상기한 과정이 가능할 수 있도록 각 컴퓨터 시스템간 세션 연결을 통해 수행된 데이터 패킷의 전송 내역이 시간대 별로 소팅(sorting)하여 저장함을 추가로 제시한다.At this time, the present invention further proposes that the transmission details of data packets performed through session connection between each computer system are sorted and stored for each time zone so that the above-described process can be performed.

그리고, 상기의 과정을 통해 확인된 최종 컴퓨터 시스템이 해당 이상 발생 데이터 패킷의 전송 시발점으로 판단함과 더불어 그 IP를 취득하여 침입 경로와 함께 MDB(160)에 저장한다.In addition, the final computer system identified through the above process determines the start point of the transmission of the abnormal data packet, acquires the IP, and stores the IP in the MDB 160 along with the intrusion path.

또한, 상기한 과정에서 IDS 커널(130)의 경고 프로세서(135)는 도시한 도 9의 순서도와 같이 상기 각 프로세서(131, 132, 133, 134, 136, 137)의 동작됨과 동시에 MDB(160)에 저장되는 각 데이터 패킷의 이상 발생 여부를 지속적으로 확인하게 되며, 이의 과정 중 특정 데이터 패킷의 이상 발생이 확인될 경우 해당 네트워크를 관리하는 관리자에게 상기 이상 발생에 따른 내역을 통보함으로써 관리자에 의한 직접적인 관리가 가능하도록 한다.Also, in the above process, the alert processor 135 of the IDS kernel 130 is operated at the same time as the processor 131, 132, 133, 134, 136, and 137 as shown in the flowchart of FIG. 9. If abnormality of specific data packet is confirmed during the process, the administrator who manages the network is notified to the administrator according to the abnormality to directly check by the administrator. Make it manageable.

이 때, 상기 관리자로의 통보는 IDS 커널(130)의 경고 프로세서(135)가 MDB(160)에 저장된 이상 발생 데이터 패킷에 대한 내역, 침입한 컴퓨터 시스템의 정보, 침입 유형 등과 같은 각종 정보를 유저 인터페이스(User Interface)(190)로 송신하고, 상기 UI(190)에서는 상기 수신된 정보를 해당 관리자의 컴퓨터 시스템 화면상에 디스플레이함으로써 가능하다.At this time, the notification is sent to the administrator by the alert processor 135 of the IDS kernel 130 to provide various information such as the details of the abnormal data packet stored in the MDB 160, the information of the intruded computer system, the intrusion type, and the like. It is possible to transmit to the interface (User Interface) 190, the UI 190 by displaying the received information on the computer system screen of the administrator.

상기에서 UI(190)는 상술한 바와 같이 IDS 커널(130)의 경고 프로세서(135)를 통해 확인된 이상 발생 데이터 패킷의 내역만을 해당 관리자에게 통보하는 역할을 수행하는 것은 아니다. 각종 데이터 패킷의 전송 현황이나 이상 발생 데이터 패킷의 유형 및 그 처리 결과 등에 대한 정보도 함께 통보할 수 있도록 MDB(160) 및 IDS 커널(130)로부터 해당 정보를 전달받도록 설정함이 보다 바람직하다.As described above, the UI 190 does not play a role of notifying only the details of the abnormal data packet confirmed through the alert processor 135 of the IDS kernel 130. More preferably, the MDB 160 and the IDS kernel 130 are configured to receive the corresponding information so as to notify the information on the transmission status of the various data packets, the type of the abnormal data packet, and the result of the processing.

또한, 전술한 바와 같은 각 과정이 진행되는 도중 IDS 커널(130)의 로깅 프로세서(137)는 도시한 도 10과 같이 MDB(160)의 저장 상태를 지속적으로 확인함과 더불어 상기 MDB(160)가 기 설정된 허용 저장 용량을 초과하였을 경우 상기 MDB(160)로 저장되는 각종 데이터 패킷을 별도의 하드웨어 저장 공간인 HDD(180)에 분산 저장하는 역할을 수행한다.In addition, the logging processor 137 of the IDS kernel 130 continuously checks the storage state of the MDB 160 as shown in FIG. When exceeding a predetermined allowable storage capacity it serves to distribute and store various data packets stored in the MDB (160) in the HDD 180, which is a separate hardware storage space.

이 때, 상기 별도의 하드웨어 저장 공간에는 IDS 커널(130)의 각 프로세서(131, 132, 133, 134, 135, 136, 137)와 MDB(160) 상호간의 연동에 따른 침입 탐지 결과에 대한 각종 내역 정보가 지속적으로 등록될 수 있도록 한다.At this time, in the separate hardware storage space, various details of the intrusion detection result according to interworking between the processors 131, 132, 133, 134, 135, 136, and 137 of the IDS kernel 130 and the MDB 160. Ensure that information is continuously registered.

이는, 상기 MDB(160)가 가지는 저장 공간 상의 한계를 고려함과 더불어 침입 탐지를 위해 IDS 커널(130)과 연동하면서 계속적인 동작을 수행하는 MDB(160)의 부하에 따른 부담을 저감시킬 수 있도록 하기 위함이다.This is to consider the limitations on the storage space of the MDB (160) and to reduce the load due to the load of the MDB (160) to perform the continuous operation in conjunction with the IDS kernel 130 for intrusion detection For sake.

즉, 해당 네트워크의 관리자가 유저 인터페이스(190)를 통한 각종 침입 탐지 동작 내역에 대한 조회를 수행할 경우 별도의 데이터 저장을 위한 하드웨어를 통해 해당 정보가 취득될 수 있도록 함으로써 MDB(160)에 대한 저장 공간 상의 부담 및 부하 증가에 따른 부담이 해소될 수 있도록 함을 제시하는 것이다. 물론, MDB에 상기 침입 탐지의 결과 내역을 저장할 수도 있음은 당연하다.That is, when the administrator of the network performs an inquiry on various intrusion detection operation details through the user interface 190, the corresponding information may be acquired through hardware for storing data separately, thereby storing the information for the MDB 160. It suggests that the burden of space and the increase of load can be eliminated. Of course, the results of the intrusion detection may be stored in the MDB.

또한, 전술한 바와 같은 각 과정이 진행되는 도중 IDS 커널(130)의 패킷 전송 프로세서(138)는 전술한 바와 같은 IDS 커널(130)의 각 프로세서(131, 132, 133, 134, 135, 136, 137) 및 MDB(160) 상호간 연동을 통해 수신되는 데이터 패킷에 대한 이상 여부 확인 결과 이상이 없음으로 확인된 데이터 패킷 만을 인터럽트부(120) 및 NIC(150)를 각각 통과하여 해당 데이터의 전송 대상 컴퓨터 시스템(300)으로 전달된다.In addition, the packet transfer processor 138 of the IDS kernel 130 may perform the processes 131, 132, 133, 134, 135, 136 of the IDS kernel 130 as described above. 137) and the computer to which the data is transmitted, passing through the interrupt unit 120 and the NIC 150 only through the data packet confirmed as abnormal as a result of the data packet received through the interworking between the MDB 160 and each other. Delivered to system 300.

이 때, 상기 이상이 없는 데이터 패킷의 전달은 최초 IDS 커널(130)로의 데이터 패킷 전달 과정에 대하여 역순으로 이루어진다.At this time, the delivery of the data packet without abnormality is performed in the reverse order with respect to the data packet delivery process to the first IDS kernel 130.

즉, IDS 커널(130)로부터 이상이 없는 데이터 패킷이 인터럽트부(120) 및 NIC(150)로 순차적인 전달이 이루어짐과 더불어 상기 NIC(150)를 통해 전송 대상 컴퓨터 시스템(300)이 구축된 네트워크의 허브(혹은, 전송 대상 컴퓨터 시스템)(200)로 전달되는 것이다.That is, a network in which a data packet having no abnormality from the IDS kernel 130 is sequentially transmitted to the interrupter 120 and the NIC 150, and the transmission target computer system 300 is established through the NIC 150. It is delivered to the hub (or transmission target computer system) 200 of.

물론, 해당 데이터 패킷에 이상이 있음으로 확인되었을 경우에는 기 전술한 바와 같이 방어 프로세서(133)와 연동하여 해당 데이터 패킷을 송신한 송신측 컴퓨터 시스템과의 접속 세션을 차단함으로써 더 이상의 데이터 패킷 전송이 이루어지지 않도록 조치된다.Of course, when it is confirmed that there is an error in the data packet, as described above, the data transmission is further performed by blocking the connection session with the transmitting computer system which has transmitted the data packet in cooperation with the defense processor 133. Measures are taken to prevent this from happening.

결국, 전술한 각 과정의 순차적이고 반복적인 수행에 의해 소정의 네트워크를 이루는 컴퓨터 시스템은 바이러스 및 해킹 등으로부터 보호됨이 가능해진다.As a result, computer systems forming a predetermined network can be protected from viruses, hacking, and the like by the sequential and repetitive execution of the above-described processes.

이상에서 설명한 바와 같이 본 발명에 따른 네트워크 보호 장치 및 이를 이용한 네트워크 보호 방법은 침입 탐지를 위한 엔진을 모듈화된 커널로써 구현함에 따라 그 처리를 위한 경로가 단축되어 보다 우수한 처리 시간의 단축을 이룰 수 있게 된 효과가 있다.As described above, the network protection device and the network protection method using the same according to the present invention implement an engine for intrusion detection as a modular kernel, thereby shortening a path for the processing, thereby achieving a better processing time. Has become effective.

뿐만 아니라, 상기와 같은 데이터 패킷의 흐름 경로가 단축됨에 따른 데이터 손실이 저감되어 해당 데이터의 훼손을 방지할 수 있게 된 효과 역시 있다.In addition, the data loss is reduced as the flow path of the data packet is shortened, thereby preventing the corruption of the data.

또한, 커널을 침입 탐지 엔진으로 구현함과 더불어 각 데이터의 흐름 경로상 에 설치함으로써 전송 대상 컴퓨터 시스템으로의 해당 이상 발생 데이터의 전송이 이루어지기 전에 상기 이상 발생 데이터의 차단 수행이 가능해 짐에 따라 각종 해킹 공격에 대한 방어가 보다 완전하게 수행될 수 있는 효과가 있다.In addition, by implementing the kernel as an intrusion detection engine and installing it on the flow path of each data, it is possible to block the abnormal data before the corresponding abnormal data is transmitted to the computer system to be transmitted. There is an effect that the defense against hacking attacks can be carried out more completely.

Claims (23)

인터넷 망을 통해 연결된 특정 영역 외부에 구축된 네트워크의 컴퓨터 시스템 및 특정 영역 내부에 구축된 네트워크의 특정 컴퓨터 시스템간 혹은, 특정 영역 내부에 구축된 네트워크의 각 컴퓨터 시스템간 데이터 전달을 위해 설치된 최소 하나 이상의 허브;At least one installed for data transfer between computer systems in a network built outside a specific area connected through the Internet network and between specific computer systems in a network built inside a specific area or between each computer system in a network built inside a particular area. Herb; 상기 특정 영역 내부에 구축된 네트워크망을 이루며, 각 허브에 접속된 상태로써 네트워킹 가능하게 연결된 다수의 서버 컴퓨터 시스템 및 개인용 컴퓨터 시스템;A plurality of server computer systems and personal computer systems that form a network constructed inside the specific area and are connected to each hub so as to be networkable; 상기 각 허브 중 어느 한 허브와 이 허브에 연결된 다른 한 허브 혹은, 컴퓨터 시스템과의 데이터 전달 경로 사이에 최소 하나 이상 설치되며, 상기 데이터 전달 경로 사이의 데이터 전달에 대한 인터럽트 신호를 수신받아 침입 탐지 및 방어를 수행하도록 침입 탐지 엔진이 모듈화되어 이루어진 커널(kernel)과, 데이터 송수신을 위한 네트워크 인터페이스 카드(NIC;Network Interface Card)와, 상기 네트워크 인터페이스 카드를 통한 데이터의 수신 여부에 따른 인터럽트 신호를 판독하기 위한 인터럽트부와, 상기 모듈화된 커널을 통해 수신되는 각 데이터 패킷을 임시 저장하고, 각 패킷의 이상 현상에 대한 정보 및 각 패킷의 이상 상태별 대응 방법에 대한 제어 정보가 각각 저장되는 메모리 데이터 베이스(Memory Data Base)와, 상기 각 구성 부분간의 데이터 전송이 이루어지도록 연결된 데이터 버스(Data Bus)가 구비되어 이루어진 침입 탐지 시스템(IDS;Instrusion Detection System):을 포함하여 구축된 네트워크 보호 장치.At least one is installed between any one of the hubs and the other hub connected to the hub, or a data transfer path between the computer system, receiving an interrupt signal for data transfer between the data transfer paths and intrusion detection and To read the interrupt signal according to whether the intrusion detection engine is modularized to perform the defense, a network interface card (NIC) for data transmission and reception, and whether data is received through the network interface card. A memory database for temporarily storing an interrupt unit and a data packet received through the modular kernel, and storing information on an abnormality of each packet and control information on a corresponding method for each abnormal state of each packet ( Memory Data Base) and data transfer between the components Luer so the associated data bus (Data Bus) is provided with an intrusion detection system comprising (IDS; Instrusion Detection System): The network protection device deployment, including. 삭제delete 제 1 항에 있어서,The method of claim 1, 모듈화된 커널은The modular kernel 인터럽트부를 통해 데이터의 수신 여부가 확인될 경우 해당 데이터 패킷을 지속적으로 받아들여 메모리 데이터 베이스에 저장하는 패킷 수집 프로세서(Gathering Processor)와,Gathering Processor (Gathering Processor) that continuously receives the data packet when the data is received through the interrupt unit and stores in the memory database, 상기 메모리 데이터 베이스에 저장되어 있는 각 데이터 패킷을 분석하여 그 이상 유무를 판독하고, 그 결과 정보를 상기 메모리 데이터 베이스에 저장하는 분석 프로세서(Analyze Processor)와,An analysis processor (Analyze Processor) for analyzing each data packet stored in the memory database to read whether there is more than that, and stores the information in the memory database; 상기 메모리 데이터 베이스에 저장된 각 패킷의 이상 유무에 따른 정보를 토대로 선택적인 방어를 수행하는 방어 프로세서(Defense Processor)와,A defense processor for performing a selective defense based on information according to whether or not each packet is stored in the memory database; 상기한 각 프로세서의 다중 제어(Multi processor)를 관리하기 위한 관리 프로세서(Manager Processor)와,A manager processor for managing the multi-processor of each processor; 상기 메모리 데이터 베이스에 저장되는 각 패킷 중 그 이상이 없음으로 확인되었거나 치유가 완료된 데이터 패킷을 전송 대상 컴퓨터 시스템으로 전달하기 위한 패킷 전송 프로세서(Gateway Processor)를 포함하여 설정됨을 특징으로 하는 네트워크 보호 장치.And a packet transfer processor configured to deliver a data packet, which has been identified as none or more than one of the packets stored in the memory database, to the transmission target computer system. 제 3 항에 있어서,The method of claim 3, wherein 모듈화된 커널에는The modular kernel 메모리 데이터 베이스에 저장된 각 패킷의 이상 유무에 따른 정보를 토대로 선택적인 경고를 발생시키는 경고 프로세서(Alert Processor)가 더 포함되어 설정됨을 특징으로 하는 네트워크 보호 장치.And a warning processor (Alert Processor) for generating a selective alert based on the information according to the abnormality of each packet stored in the memory database. 제 3 항에 있어서,The method of claim 3, wherein 모듈화된 커널에는The modular kernel 메모리 데이터 베이스에 저장된 각 패킷의 이상 유무에 따른 정보를 토대로 침입 경로를 추적하는 추적 프로세서(Chase Processor)가 더 포함되어 설정됨을 특징으로 하는 네트워크 보호 장치.And a trace processor (Case Processor) for tracking the intrusion path based on the information according to the abnormality of each packet stored in the memory database. 제 3 항에 있어서,The method of claim 3, wherein 모듈화된 커널에는The modular kernel 메모리 데이터 베이스의 저장 공간을 지속적으로 확인하고, 상기 저장 공간이 기 설정된 저장 공간에 비해 부족할 경우 추가되는 데이터 패킷 혹은, 처리 완료된 데이터 패킷을 별도의 하드웨어 저장 공간에 저장하는 로깅 프로세서(Loging Processor)가 더 포함되어 설정됨을 특징으로 하는 네트워크 보호 장치.A logging processor that continuously checks the storage space of the memory database and stores additional data packets or processed data packets in a separate hardware storage space when the storage space is insufficient compared to a preset storage space. Network protection device characterized in that it is further included. 제 1 항에 있어서,The method of claim 1, 침입 탐지 시스템에는Intrusion Detection System 각 데이터 패킷의 비정상적인 동작 발생에 대응하여 관리자가 수동 조작할 수 있도록 하기 위한 유저 인터페이스(User Interface)가 더 포함되어 구축됨을 특징으로 하는 네트워크 보호 장치.And a user interface for allowing an administrator to manually operate in response to abnormal operation of each data packet. 인터럽트부를 이용한 인터럽트 신호의 수신을 통해 각 컴퓨터 시스템간 세션 연결의 요청 여부를 지속적으로 확인하는 제1단계;A first step of continuously checking whether a session connection between each computer system is requested by receiving an interrupt signal using an interrupt unit; 상기 과정에서 특정 컴퓨터 시스템으로부터 다른 한 컴퓨터 시스템으로의 세션 연결을 위한 요청 신호가 발생될 경우 이 세션을 통해 전송되는 데이터 패킷을 커널로 전달하도록 제어하는 제2단계;A second step of controlling to transmit a data packet transmitted through the session to the kernel when a request signal for a session connection from one computer system to another computer system is generated in the process; 상기 커널을 메모리 데이터 베이스와 연동시켜 수신된 데이터 패킷의 이상 유무를 판독함과 더불어 그 판독 결과에 따라 전송 대상 컴퓨터 시스템으로의 해당 데이터 패킷 전송 혹은, 차단을 결정하며, 상기 결정에 따른 제어를 수행하는 제3단계:가 포함되어 진행됨을 특징으로 하는 네트워크 보호 장치의 운영 방법.The kernel interlocks with the memory database to read whether there is an abnormality in the received data packet, and determines whether to transmit or block the corresponding data packet to the transmission target computer system according to the read result, and performs control according to the determination. The third step: the operation of the network protection device, characterized in that proceeds. 제 8 항에 있어서,The method of claim 8, 상기 데이터 패킷을 커널로 전달하는 제2단계는The second step of delivering the data packet to the kernel 세션 연결을 요청한 특정 컴퓨터 시스템과 침입 탐지 시스템을 구성하는 네트워크 인터페이스 카드 상호간의 세션을 연결하는 단계;Connecting a session between a specific computer system requesting a session connection and a network interface card constituting the intrusion detection system; 상기 연결된 세션을 통해 데이터 패킷을 수신 받는 단계;Receiving a data packet through the connected session; 상기 네트워크 인터페이스 카드를 통해 수신된 데이터 패킷을 커널로 연속하여 전달하는 단계:가 순차적으로 수행되어 이루어짐을 특징으로 하는 네트워크 보호 장치의 운영 방법.And continuously transmitting the data packet received through the network interface card to a kernel, wherein the operation of the network protection device is performed sequentially. 제 8 항에 있어서,The method of claim 8, 제3단계의 운영 과정은The third stage of operation 커널의 패킷 수집 프로세서를 구동하여 데이터 패킷을 지속적으로 수신함과 더불어 이 수신한 데이터 패킷을 메모리 데이터 베이스에 저장하는 단계;Driving a packet collection processor of the kernel to continuously receive the data packet and to store the received data packet in a memory database; 상기 커널의 분석 프로세서를 구동하여 메모리 데이터 베이스에 저장되는 각 데이터 패킷을 분석함으로써 그 이상 유무를 판독하고, 그 결과 정보를 메모리 데이터 베이스에 재저장하는 단계;Driving an analysis processor of the kernel to read each data packet stored in a memory database to read whether there is an error, and to store the result information in the memory database; 상기 메모리 데이터 베이스에 저장된 특정 데이터 패킷의 이상 발생이 확인될 경우 상기 커널의 방어 프로세서를 구동하여 해당 데이터 패킷의 전달 취소를 수행하고, 상기 메모리 데이터 베이스에 저장된 특정 데이터 패킷의 이상 발생이 확인되지 않을 경우에는 패킷 전송 프로세서를 통해 해당 데이터 패킷을 전송 대상 컴퓨터 시스템으로 전달하는 단계:가 각각 포함되어 운영됨으로써 수행됨을 특징으로 하는 네트워크 보호 장치의 운영 방법.When the occurrence of abnormality of the specific data packet stored in the memory database is confirmed, the defensive forwarding of the corresponding data packet is performed by running the defensive processor of the kernel, and the abnormal occurrence of the specific data packet stored in the memory database may not be confirmed. In some cases, the step of delivering the corresponding data packet to the transmission target computer system through a packet transmission processor, the operation is performed by including each operation. 제 10 항에 있어서,The method of claim 10, 프로세서 구동은 관리 프로세서를 통해 동시적인 작업이 수행될 수 있도록 제어됨을 특징으로 하는 네트워크 보호 장치의 운영 방법.Processor operation is controlled such that simultaneous operations can be performed by a management processor. 제 10 항에 있어서,The method of claim 10, 데이터 패킷을 메모리 데이터 베이스에 저장하기 전 상기 데이터 패킷을 프로토콜(Protocol), 세션(Session), 서버(Server), 클라이언트(Client) 등의 정보로 각각 분리하는 단계가 더 포함되어 운영됨을 특징으로 하는 네트워크 보호 장치의 운영 방법.And separating the data packet into information such as protocol, session, server, client, etc. before storing the data packet in the memory database. How to operate a network protection device. 제 10 항에 있어서,The method of claim 10, 데이터 패킷의 분석 과정 중 그 이상 유무를 판독하기 위해To read if there is any further analysis of the data packet 해당 데이터 패킷이 메모리 데이터 베이스에 기 등록되어 있는 각종 바이러스에 감염된 데이터 유형인지를 비교 검색하는 단계;Comparing and searching whether the data packet is a data type infected with various viruses previously registered in the memory database; 상기 비교 검색 결과 해당 데이터 패킷이 바이러스에 감염된 데이터 유형임으로 확인될 경우 해당 데이터 패킷에 이상이 있음으로 판독하는 단계:가 더 포함되어 진행됨을 특징으로 하는 네트워크 보호 장치의 운영 방법.And if it is determined that the corresponding data packet is a data type infected with a virus as a result of the comparison search, reading out that the data packet has an error: the operation of the network protection device further comprises. 제 10 항에 있어서,The method of claim 10, 데이터 패킷의 분석 과정 중 그 이상 유무를 판독하기 위해To read if there is any further analysis of the data packet 해당 데이터 패킷이 메모리 데이터 베이스에 설정되어 있는 각 해킹 패턴에 따른 데이터 유형인지를 비교 검색하는 단계;Comparing and searching whether the corresponding data packet is a data type according to each hacking pattern set in the memory database; 상기 비교 검색 결과 해당 데이터 패킷이 기 설정된 최소 어느 하나의 해킹 패턴에 따른 데이터 유형임으로 확인될 경우 해당 데이터 패킷에 이상이 있음으로 판독하는 단계:가 더 포함되어 진행됨을 특징으로 하는 네트워크 보호 장치의 운영 방법.If it is determined that the corresponding data packet is a data type according to at least one predetermined hacking pattern, the step of reading out that the corresponding data packet is abnormal: operating the network protection device further comprising: Way. 제 10 항에 있어서,The method of claim 10, 데이터 패킷의 분석 과정 중 그 이상 유무를 판독하기 위해To read if there is any further analysis of the data packet 해당 데이터 패킷이 메모리 데이터 베이스에 설정되어 있는 차단 대상 데이터 유형인지를 비교 검색하는 단계;Comparing and searching whether the corresponding data packet is a type of blocking target data set in the memory database; 상기 비교 검색 결과 해당 데이터 패킷이 기 설정된 최소 어느 하나의 차단 대상 데이터 유형임으로 확인될 경우 해당 데이터 패킷에 이상이 있음으로 판독하는 단계:가 더 포함되어 진행됨을 특징으로 하는 네트워크 보호 장치의 운영 방법. And if it is determined that the corresponding data packet is at least one block type data to be blocked as a result of the comparison search, reading out that the corresponding data packet has an error: further comprising the step of operating the network protection device. 제 15 항에 있어서,The method of claim 15, 차단 대상 데이터 유형은Blocked data types are 비인가된 사이트로의 접속을 위한 데이터, 권한을 가지고 있지 않은 어느 한 컴퓨터 시스템으로의 접속을 위한 데이터 중 어느 하나를 포함하는 유형임을 특징으로 하는 네트워크 보호 장치의 운영 방법.A method for operating a network protection device comprising any one of data for access to an unauthorized site and data for access to a computer system that does not have a right. 제 10 항에 있어서,The method of claim 10, 메모리 데이터 베이스에 저장된 특정 데이터 패킷의 이상 발생이 확인될 경우When abnormality of specific data packet stored in memory database is confirmed 커널의 경고 프로세서를 통해 침입 탐지 시스템의 유저 인터페이스로 상기 이상 발생 내역을 전송함으로써 해당 시스템의 관리자에게 통보될 수 있도록 하는 단계가 더 포함되어 진행됨을 특징으로 하는 네트워크 보호 장치의 운영 방법.And transmitting the details of the abnormality to the user interface of the intrusion detection system through a warning processor of the kernel so that the administrator of the system can be notified. 제 10 항에 있어서,The method of claim 10, 메모리 데이터 베이스에 저장된 특정 데이터 패킷의 이상 발생이 확인될 경우When abnormality of specific data packet stored in memory database is confirmed 커널의 방어 프로세서를 통해 상기 패킷의 이상 유무에 따른 정보를 토대로 선택적인 방어를 수행하는 단계가 더 포함되어 진행됨을 특징으로 하는 네트워크 보호 장치의 운영 방법.And performing a selective defense based on information according to whether there is an abnormality of the packet through a defense processor of a kernel. 제 18 항에 있어서,The method of claim 18, 상기 선택적인 방어를 수행하는 단계는Performing the selective defense 이상 발생 데이터 패킷의 송신측 컴퓨터 시스템과의 연결 세션을 차단하여 더 이상의 전송됨을 방지함과 더불어 메모리 데이터 베이스에 저장된 해당 데이터 패킷의 삭제를 수행함으로써 진행됨을 특징으로 하는 네트워크 보호 장치의 운영 방법.A method for operating a network protection device, characterized by blocking a connection session with a sending computer system of an abnormal data packet to prevent further transmission and deleting the corresponding data packet stored in a memory database. 제 10 항에 있어서,The method of claim 10, 메모리 데이터 베이스에 저장된 특정 데이터 패킷의 이상 발생이 확인될 경우When abnormality of specific data packet stored in memory database is confirmed 커널의 추적 프로세서를 통해 침입 경로를 추적하는 단계가 더 포함되어 진행됨을 특징으로 하는 네트워크 보호 장치의 운영 방법.The method of operating a network protection device further comprises the step of tracking the intrusion path through the trace processor of the kernel. 제 20 항에 있어서,The method of claim 20, 상기 침입 경로를 추적하는 단계는Tracking the intrusion path 데이터 패킷의 송신 컴퓨터 시스템에 대한 IP(Internet Protocol)를 확인하는 단계;Identifying an Internet Protocol (IP) for the sending computer system of the data packet; 최근 상기 확인된 컴퓨터 시스템의 IP에 세션 연결되었던 각 컴퓨터 시스템 중 이상이 발생된 데이터 패킷과 동일한 데이터 패킷을 전송하였던 컴퓨터 시스템의 IP를 확인하는 과정을 반복 수행하여 해당 데이터 페킷의 전송 시발점 IP를 확인하는 단계:가 포함되어 진행됨으로써 수행됨을 특징으로 하는 네트워크 보호 장치의 운영 방법.The process of confirming the IP of the computer system that has transmitted the same data packet as the data packet in which an abnormality has occurred among the computer systems that have been connected to the IP of the recently identified computer system is repeated to confirm the starting point IP of the data packet transmission. The operation method of a network protection device, characterized in that performed by including. 제 21 항에 있어서,The method of claim 21, 이상 발생 데이터 패킷과 동일한 데이터 패킷을 전송하였던 컴퓨터 시스템의 IP를 확인하기 위해To check the IP of the computer system that sent the same data packet as the abnormal data packet 각 컴퓨터 시스템간 세션 연결을 통해 수행된 데이터 패킷의 전송 내역을 그 시간별로 지속적인 저장을 수행하는 단계가 더 포함되어 운영됨을 특징으로 하는 네트워크 보호 장치의 운영 방법.And continuously storing the transmission history of the data packet performed through the session connection between each computer system according to the time. 제 10 항에 있어서,The method of claim 10, 상기 제3단계는The third step is 커널의 로깅 프로세서(Loging Processor)가 메모리 데이터 베이스의 저장 공간을 지속적으로 확인하는 단계; 그리고,Continuously checking the storage space of the memory database by a logging processor of the kernel; And, 상기 단계의 확인 결과 그 저장 공간이 기 설정된 저장 공간에 비해 부족함으로 판단될 경우 상기 로깅 프로세서가 추가되는 데이터 패킷 혹은, 처리 완료된 데이터 패킷을 별도의 하드웨어 저장 공간에 저장하는 단계:를 더 포함하여 운영됨을 특징으로 하는 네트워크 보호 장치의 운영 방법.If it is determined that the storage space is insufficient compared to the preset storage space, the step of storing the data packet to which the logging processor is added or the processed data packet in a separate hardware storage space. Method of operating a network protection device characterized in that.
KR1020010080182A 2001-12-17 2001-12-17 system for protecting of network and operation method thereof KR100543664B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020010080182A KR100543664B1 (en) 2001-12-17 2001-12-17 system for protecting of network and operation method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020010080182A KR100543664B1 (en) 2001-12-17 2001-12-17 system for protecting of network and operation method thereof

Publications (2)

Publication Number Publication Date
KR20030049853A KR20030049853A (en) 2003-06-25
KR100543664B1 true KR100543664B1 (en) 2006-01-20

Family

ID=29575638

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020010080182A KR100543664B1 (en) 2001-12-17 2001-12-17 system for protecting of network and operation method thereof

Country Status (1)

Country Link
KR (1) KR100543664B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101006113B1 (en) * 2007-12-17 2011-01-07 한국전자통신연구원 Method and apparatus for checking firewall policy
KR102220774B1 (en) * 2020-11-11 2021-02-26 한화시스템(주) System and method for encryption processing in terminal
KR102220775B1 (en) * 2020-11-11 2021-02-26 한화시스템(주) System and method for encryption processing in terminal

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030080412A (en) * 2002-04-08 2003-10-17 (주)이카디아 method of preventing intrusion from an exterior network and interior network
KR100471636B1 (en) * 2002-04-08 2005-03-08 씨에이치케이한강 주식회사 system for processing a packet on a network of computer systems using a multi-bridge mode
KR20040009225A (en) * 2002-07-23 2004-01-31 엘지엔시스(주) Method of network packet checking by kernel hooking
KR100544674B1 (en) 2003-11-11 2006-01-23 한국전자통신연구원 Dynamic Changing Method of Intrusion Detection Rule In Kernel Level Intrusion Detection System
KR101042291B1 (en) * 2009-11-04 2011-06-17 주식회사 컴트루테크놀로지 System and method for detecting and blocking to distributed denial of service attack
CN114124644B (en) * 2021-11-17 2023-10-03 烽火通信科技股份有限公司 Ethernet OAM alarm method and device based on Linux kernel mode

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11205388A (en) * 1998-01-19 1999-07-30 Hitachi Ltd Packet filter, authentication server, packet filtering method and storage medium
KR20010090014A (en) * 2000-05-09 2001-10-18 김대연 system for protecting against network intrusion
KR20010105116A (en) * 2000-05-19 2001-11-28 김강호 Linux-Based Integrated Security System for Network and Method thereof, and Semiconductor Device Having These Solutions
KR20020041004A (en) * 2000-11-25 2002-05-31 구자홍 Client authentification method and integration security system of local network
KR20030010263A (en) * 2001-07-26 2003-02-05 펜타시큐리티시스템 주식회사 Multi-layered intrusion detection engine
KR20030057929A (en) * 2001-12-29 2003-07-07 (주)대정아이앤씨 Public network and private network combination security system and method thereof

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11205388A (en) * 1998-01-19 1999-07-30 Hitachi Ltd Packet filter, authentication server, packet filtering method and storage medium
KR20010090014A (en) * 2000-05-09 2001-10-18 김대연 system for protecting against network intrusion
KR20010105116A (en) * 2000-05-19 2001-11-28 김강호 Linux-Based Integrated Security System for Network and Method thereof, and Semiconductor Device Having These Solutions
KR20020041004A (en) * 2000-11-25 2002-05-31 구자홍 Client authentification method and integration security system of local network
KR20030010263A (en) * 2001-07-26 2003-02-05 펜타시큐리티시스템 주식회사 Multi-layered intrusion detection engine
KR20030057929A (en) * 2001-12-29 2003-07-07 (주)대정아이앤씨 Public network and private network combination security system and method thereof

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101006113B1 (en) * 2007-12-17 2011-01-07 한국전자통신연구원 Method and apparatus for checking firewall policy
KR102220774B1 (en) * 2020-11-11 2021-02-26 한화시스템(주) System and method for encryption processing in terminal
KR102220775B1 (en) * 2020-11-11 2021-02-26 한화시스템(주) System and method for encryption processing in terminal

Also Published As

Publication number Publication date
KR20030049853A (en) 2003-06-25

Similar Documents

Publication Publication Date Title
JP6894003B2 (en) Defense against APT attacks
AU2016234999B2 (en) Path scanning for the detection of anomalous subgraphs and use of dns requests and host agents for anomaly/change detection and network situational awareness
US9325725B2 (en) Automated deployment of protection agents to devices connected to a distributed computer network
Zou et al. Honeypot-aware advanced botnet construction and maintenance
EP1817685B1 (en) Intrusion detection in a data center environment
EP2599026B1 (en) System and method for local protection against malicious software
US7039950B2 (en) System and method for network quality of service protection on security breach detection
US20030084322A1 (en) System and method of an OS-integrated intrusion detection and anti-virus system
US20060282893A1 (en) Network information security zone joint defense system
US20050278779A1 (en) System and method for identifying the source of a denial-of-service attack
KR101553264B1 (en) System and method for preventing network intrusion
KR100973076B1 (en) System for depending against distributed denial of service attack and method therefor
KR100543664B1 (en) system for protecting of network and operation method thereof
Song et al. Cooperation of intelligent honeypots to detect unknown malicious codes
GB2381722A (en) intrusion detection (id) system which uses signature and squelch values to prevent bandwidth (flood) attacks on a server
KR101006372B1 (en) System and method for sifting out the malicious traffic
CN114172881B (en) Network security verification method, device and system based on prediction
JP2008011008A (en) Unauthorized access prevention system
Cisco Working with Sensor Signatures
US20080215721A1 (en) Communication monitoring system, communication monitoring apparatus and communication control apparatus
EP1751651B1 (en) Method and systems for computer security
EP2103073B1 (en) Method and system for controlling a computer application program
CN114189360B (en) Situation-aware network vulnerability defense method, device and system
Selvaraj et al. Enhancing intrusion detection system performance using firecol protection services based honeypot system
CN117955675A (en) Network attack defending method and device, electronic equipment and storage medium

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130110

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140123

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20150106

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20160114

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20170106

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20180110

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20190110

Year of fee payment: 14