KR100613904B1 - 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법 - Google Patents
비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법 Download PDFInfo
- Publication number
- KR100613904B1 KR100613904B1 KR1020040089142A KR20040089142A KR100613904B1 KR 100613904 B1 KR100613904 B1 KR 100613904B1 KR 1020040089142 A KR1020040089142 A KR 1020040089142A KR 20040089142 A KR20040089142 A KR 20040089142A KR 100613904 B1 KR100613904 B1 KR 100613904B1
- Authority
- KR
- South Korea
- Prior art keywords
- address
- information
- abnormal
- host
- flow identification
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
1. 청구범위에 기재된 발명이 속한 기술분야
본 발명은 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 장치 및 그 방법에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은 활동중인 호스트의 위치 및 서비스 정보(호스트 정보)를 자동 학습하고 그 학습한 결과를 기반으로 하여 비정상적인 IP 주소를 사용하는 공격 호스트를 원천적으로 차단하는 네트워크 공격 차단 장치 및 그 방법을 제공하는데 그 목적이 있음.
3. 발명의 해결방법의 요지
본 발명은, 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 장치에 있어서, 수신 패킷의 플로우 식별정보를 추출하기 위한 플로우 식별정보 추출 수단; 활동 호스트 정보를 저장하고 있는 활동 호스트 정보(AHI : Active Host Information) 저장 수단; 상기 플로우 식별정보 추출 수단에서 추출한 플로우 식별정보를 상기 활동 호스트 정보(AHI) 저장 수단에 등록하고 상기 활동 호스트 정보(AHI) 저장 수단에 등록된 정보를 검증하여 호스트 정보를 학습하기 위한 호스트 정보 학습 수단; 상기 수신 패킷의 IP 주소 및 포트 정보가 상기 활동 호스트 정보(AHI) 저장 수단에 존재하는지를 상기 플로우 식별정보를 이용하여 검사하여 비정상 IP 주소를 탐지하기 위한 비정상 IP 주소 탐지 수단; 상기 비정상 IP 주소 탐지 수단에서 탐지한 비정상 IP 주소를 갖는 공격 호스트에 대한 대응 여부를 결정하기 위한 공격 대응 결정 수단; 상기 공격 대응 결정 수단에서의 공격 대응 결정에 따라 공격 호스트에 대한 차단을 실행하기 위한 공격 차단 수단; 및 외부와 인터페이스하기 위한 인터페이싱 수단을 포함함.
4. 발명의 중요한 용도
본 발명은 네트워크 공격을 차단하는 보안 분야 등에 이용됨.
위조된 출발지 IP 주소, 비정상적인 목적지 IP 주소, 플로우 식별정보 추출, 정보 학습, 비정상 IP 주소 탐지, 공격 차단, 서비스 거부 공격, 웜 바이러스
Description
도 1은 본 발명에 따른 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 장치의 적용 위치를 도시한 망 구성도,
도 2는 본 발명에 따른 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 장치의 일실시예 구성도,
도 3은 본 발명에 따른 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 방법에 대한 일실시예 전체 흐름도,
도 4는 본 발명에 따른 수신 플로우의 출발지 및 목적지 IP주소에 대한 비정상 유무를 결정하는 탐지 과정에 대한 일실시예 상세 흐름도,
도 5는 본 발명에 따른 탐지한 공격에 대한 대응 결정 및 공격 차단 과정에 대한 일실시예 상세 흐름도,
도 6은 본 발명에 따른 호스트의 위치 및 서비스 정보 학습 과정에 대한 일실시예 상세 흐름도이다.
* 도면의 주요 부분에 대한 부호의 설명
201 : 사용자 인터페이스부 202 : 공격 대응 결정부
203 : 에이징 검사부 204 : AHI 테이블
205 : 호스트 정보 학습부 206 : 비정상 IP 주소 탐지부
207 : 플로우 식별정보 추출부 208 : 공격 차단부
본 발명은 네트워크 공격 차단 장치 및 그 방법에 관한 것으로, 더욱 상세하게는 비정상 IP 주소를 사용하는 네트워크 공격을 원천적으로 차단하는 네트워크 공격 차단 장치 및 그 방법에 관한 것이다.
일반적으로 대부분의 악의있는 사용자는 시스템 또는 네트워크를 공격할 때 의도적으로 또는 자연발생적으로 비정상적인 IP 주소를 사용한다.
예를 들어, 현재 시스템 및 네트워크를 무력화시키기 위하여 사용되고 있는 서비스 거부(Denial of Service, 이하 "DoS"라 함) 공격에서, 그 공격자는 자신의 위치를 속이기 위하여 자신의 출발지 IP 주소를 위조하고 있다. 또한, 보안이 취약한 시스템에 침입하여 감염시키는 웜 바이러스 공격에서, 감염된 공격 시스템은 또 다른 공격 대상 시스템을 찾기 위하여 무작위로 시스템을 스캔하는데, 이때 존재하지 않는 시스템에 접근함으로써 비정상적인 목적지 IP 주소를 사용한다.
따라서 플로우의 IP 주소에 대한 비정상 유무를 검사하는 방식은 공격을 정 확히 차단하고 또한 공격 징후를 조기에 탐지하는데 있어서 매우 유용한 방법이다.
그 일예로서, 출발지 IP 주소의 비정상 유무를 판단하기 위하여 라우터에서 라우팅 테이블을 이용하는 방법이 이미 제시된 바 있다.
이를 좀 더 상세히 살펴보면, 현재 라우터는 수신한 패킷을 어느 망(즉, 라우터)으로 전달할지를 결정하기 위하여 관할 목적지 IP 주소군과 출력 인터페이스 번호간의 매핑 정보를 라우팅 테이블 형태로 관리하고 있다. 이 라우팅 테이블은 라우팅 프로토콜에 의하여 자동 생성된다. 이때, 패킷의 출발지 주소에 대한 입력 인터페이스 번호가 라우팅 테이블에 존재하는지를 검색함으로써, 수신 패킷의 출발지 IP 위조 여부를 판단할 수 있다.
예를 들어, 목적지 IP 주소군 10.10.10.0/24에 대한 출력 인터페이스 번호가 1이라는 정보가 라우팅 테이블에 등록되어 있을 때, 출발지가 10.10.10.20인 패킷이 1번 인터페이스로 입력되었다면 그 출발지 IP 주소에 대한 입력 인터페이스 번호가 라우팅 테이블에 존재하므로 그 출발지 IP 주소를 정상으로 판단한다. 그러나 출발지 IP가 10.10.10.20인 패킷이 3번 인터페이스로 들어왔다면, 이것은 그 출발지 IP 주소에 대한 입력 인터페이스 번호가 라우팅 테이블에 존재하지 않으므로 그 출발지 IP 주소를 위조되었다고 판단한다.
그러나 이러한 방법은 위조된 출발지 IP 주소가 같은 네트워크 주소군에 속하는 경우에는 이를 탐지할 수가 없다. 즉, 10.10.10.10으로 출발지 IP 주소가 위조된 패킷이 1번 인터페이스로 들어왔다면, 이 출발지 IP 주소에 대한 입력 인터페이스 번호가 라우팅 테이블에 존재하므로 그 출발지 주소를 정상으로 판단하는 문제가 발생하게 된다.
한편, 출발지 IP 주소와 마찬가지로 목적지 IP 주소도 공격자에 의하여 비정상적으로 사용된다. 일반적으로 공격자는 공격 대상자를 찾기 위하여 보통 목적지 주소를 다르게 하면서 임의의 시스템에 접속하려고 시도하는데, 모든 시스템이 그 접속요구에 응답하지는 않는다. 즉, 예를 들어 공격자가 스캔하는 과정에서 목적지 주소가 10.10.10.10인 패킷을 생성하였을 때, 10.10.10.10인 시스템이 현재 운용되고 있지 않을 수 있다. 또한 10.10.10.10인 시스템이 운용중일지라도 공격자가 요구하는 특정 응용(예 : 웹 서비스)을 서비스하고 있지 않을 수 있다.
따라서 패킷의 목적지 주소가 운용되고 있지 않거나 요구하고 있는 응용 서비스를 제공하지 않는 경우에는 그 목적지 IP 주소를 비정상으로 판단하고 또한 공격 징후로 의심해야만 한다.
이러한 문제를 해결하기 위하여 관리자가 수동적으로 IP 정보를 관리할 수 있다. 즉, 10.10.10.10을 제외한 10.10.10.0/24는 정상 IP라고 명시적으로 등록할 수 있다. 그러나 이러한 방법은 항상 최신의 IP 정보를 유지하기 위한 관리자의 수고가 필요하고, 즉각적인 업데이트가 어려우며, 호스트의 IP 정보가 누락되거나 잘못된 정보가 등록된 경우에는 공격 호스트를 정상 호스트로 또는 정상 호스트를 공격 호스트로 판단하는 등의 오동작을 일으킬 수 있다. 따라서 대규모 시스템을 관리하는 망에서는 사용하기가 어렵다. 또한, 이러한 방법은 호스트의 IP 정보만 유지하고 제공하는 응용 서비스는 관리하지 않기 때문에 비정상 IP를 완벽하게 탐지하는 데에는 한계가 있다.
결론적으로 종래의 비정상 IP 주소 차단 방법은 부분적인 효과는 있으나 근본적인 비정상 IP 주소 차단 효과를 제공하지 못하고 있다.
본 발명은 상기 문제점을 해결하기 위하여 제안된 것으로, 비정상 IP 주소를 사용하는 네트워크 공격을 원천적으로 차단하는 네트워크 공격 차단 장치 및 그 방법을 제공하는데 그 목적이 있다.
즉, 본 발명은 활동중인 호스트의 위치 및 서비스 정보(호스트 정보)를 자동 학습하고 그 학습한 결과를 기반으로 하여 비정상적인 IP 주소를 사용하는 공격 호스트를 원천적으로 차단하는 네트워크 공격 차단 장치 및 그 방법을 제공하는데 그 목적이 있다.
본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.
상기 목적을 달성하기 위한 본 발명의 장치는, 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 장치에 있어서, 수신 패킷의 플로우 식별정보를 추출하기 위한 플로우 식별정보 추출 수단; 활동 호스트 정보를 저장하고 있는 활동 호스트 정보(AHI : Active Host Information) 저장 수단; 상기 플로우 식별정보 추출 수단에서 추출한 플로우 식별정보를 상기 활동 호스트 정보(AHI) 저장 수단에 등록하고 상기 활동 호스트 정보(AHI) 저장 수단에 등록된 정보를 검증하여 호스트 정보를 학습하기 위한 호스트 정보 학습 수단; 상기 수신 패킷의 IP 주소 및 포트 정보가 상기 활동 호스트 정보(AHI) 저장 수단에 존재하는지를 상기 플로우 식별정보를 이용하여 검사하여 비정상 IP 주소를 탐지하기 위한 비정상 IP 주소 탐지 수단; 상기 비정상 IP 주소 탐지 수단에서 탐지한 비정상 IP 주소를 갖는 공격 호스트에 대한 대응 여부를 결정하기 위한 공격 대응 결정 수단; 상기 공격 대응 결정 수단에서의 공격 대응 결정에 따라 공격 호스트에 대한 차단을 실행하기 위한 공격 차단 수단; 및 외부와 인터페이스하기 위한 인터페이싱 수단을 포함한다.
또한, 상기 본 발명의 장치는, 상기 활동 호스트 정보(AHI) 저장 수단에서 제1 일정시간 동안 접근되지 않은 엔트리를 삭제하거나 수정하기 위한 에이징 검사 수단을 더 포함한다.
한편, 본 발명의 방법은, 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 방법에 있어서, 플로우 식별정보 추출부가 패킷을 수신하여 플로우 식별정보를 추출하는 플로우 식별정보 추출 단계; 호스트 정보 학습부가 상기 추출한 플로우 식별정보를 활동 호스트 정보(AHI) 테이블에 등록 및 검증하여 호스트 정보를 학습하는 호스트 정보 학습 단계; 비정상 IP 주소 탐지부가 상기 플로우 식별정보를 이용하여 상기 활동 호스트 정보(AHI) 테이블을 검색하여 해당 플로우에 대한 비정상 IP 주소를 탐지하는 비정상 IP 주소 탐지 단계; 및 공격 대응 결정부가 상기 탐지한 비정상 IP 주소를 갖는 공격 호스트에 대한 대응 여부를 결정하고, 그에 따른 접근 제어에 따라 공격 차단부가 공격을 차단하는 공격 차단 단계를 포함한다.
또한, 상기 본 발명의 방법은, 에이징 검사부가 상기 활동 호스트 정보(AHI) 테이블에서 제1 일정시간 동안 접근되지 않은 엔트리를 삭제하거나 수정하는 단계를 더 포함한다.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명하기로 한다.
도 1은 본 발명에 따른 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 장치의 적용 위치를 도시한 망 구성도이다.
도 1에 도시된 바와 같이, 본 발명 따른 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 장치(104)는 침입 방지 시스템(102)의 적용 위치와 같다. 여기서, 침입 방지 시스템이란 시스템 및 네트워크를 보호하기 위하여 공격 행위를 실시간으로 탐지하고 차단하는 시스템이다. 본 발명에 따른 장치는 침입 방지 시스템(102)과 마찬가지로 라우팅 프로토콜을 사용할 수 없고, 인터넷(101)과 가입자 망(103) 사이에 위치하며, 또한 수신한 패킷을 다음 라우터에 전달하기 전에 공격 탐 지와 차단을 완료할 수 있는 인라인 모드로 동작한다.
도 2는 본 발명에 따른 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 장치의 일실시예 구성도이다.
도 2에 도시된 바와 같이, 본 발명 따른 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 장치는, 네트워크로부터 수신한 패킷의 플로우 식별정보를 추출하기 위한 플로우 식별정보 추출부(207), 활동중인 호스트/호스트군의 위치 및 서비스 정보를 저장하고 있는 활동 호스트 정보(AHI : Active Host Information) 테이블(204), 상기 플로우 식별정보 추출부(207)에서 추출한 플로우 식별정보를 상기 활동 호스트 정보(AHI) 테이블(204)에 등록하고 상기 활동 호스트 정보(AHI) 테이블에 등록된 정보를 검증하여 호스트 정보를 학습하기 위한 호스트 정보 학습부(205), 상기 활동 호스트 정보(AHI) 테이블(204)에서 일정시간 동안(예 : 24시간 이상) 접근되지 않은 엔트리를 삭제하거나 수정하기 위한 에이징 검사부(203), 상기 네트워크로부터 수신한 패킷의 IP 주소 및 포트 정보가 상기 활동 호스트 정보(AHI) 테이블(204)에 존재하는지를 상기 플로우 식별정보를 이용하여 검사하여 비정상 IP 주소를 탐지하기 위한 비정상 IP 주소 탐지부(206), 상기 비정상 IP 주소 탐지부(206)에서 탐지한 비정상 IP 주소를 갖는 공격 호스트에 대한 대응 여부를 정책에 기반하여 결정하기 위한 공격 대응 결정부(202), 상기 공격 대응 결정부(202)의 공격 대응 결정에 따라 공격 호스트에 대한 차단을 실행하기 위한 공격 차단부(208), 및 상기 공격 대응 결정부(202)에 정책을 설정하고 공격 탐지 및 대응 결과를 보고하기 위한 사용자 인터페이스부(201)를 포함한다.
여기서, 상기 에이징 검사부(203)는 상기 활동 호스트 정보(AHI) 테이블(204)을 좀 더 효율적으로 사용하기 위한 구성요소로서, 본 발명의 부가 구성요소이다.
또한, 상기 사용자 인터페이스부(201)는 사용자와의 인터페이스 기능을 좀 더 효율적으로 제공하기 위한 구성요소로서, 네트워크를 통하여 정책을 설정하는 방식 등을 사용하거나, 네트워크를 통하여 공격 탐지 및 대응 결과를 보고하는 등의 방식을 사용할 수도 있다.
한편, 상기 플로우 식별정보 추출부(207)에서 추출한 플로우 식별정보는 출발지 플로우 식별정보와 목적지 플로우 식별정보로 나누는데, 출발지 플로우 식별정보는 출발지 IP 주소, 출발지 포트 번호, 및 입력 인터페이스 번호를 포함하고, 목적지 플로우 식별정보는 목적지 IP 주소, 목적지 포트 번호, 및 출력 인터페이스 번호를 포함한다.
그리고 상기 활동 호스트 정보(AHI) 테이블(204)은 {호스트의 IP 주소, 입력 인터페이스 번호, 웹 서버 운용 여부,..., ICM 서버 운용 여부,..., DNS 서버 운용 여부,..., 해당되지 않은 TCP 서버의 운용 여부, 해당되지 않은 UDP 서버의 운용 여부}와 같이 호스트/호스트군의 위치 및 서비스 정보를 저장한다.
다음으로, 본 발명에 따른 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 장치의 전체적인 동작을 도 3을 참조하여 상세히 살펴보기로 한다.
도 3은 본 발명에 따른 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 방법에 대한 일실시예 전체 흐름도이다.
먼저, 네트워크로부터 패킷을 수신하면(301) 플로우 식별정보 추출부(207)는 플로우 식별정보를 추출하여(302) 그 플로우 식별정보를 호스트 정보 학습부(205)로 전달한다.
그러면, 호스트 정보 학습부(205)는 상기 플로우 식별정보 추출부(207)로부터 전달받은 플로우 식별정보를 활동 호스트 정보(AHI) 테이블(204)에 등록 및 검증하여 호스트 정보를 학습한다(303).
이후, 기설정된 일정시간 동안(예 : 패킷의 최대 RTT(Round Trip Time) 시간동안) 대기한 후에(304) 상기 플로우 식별정보를 비정상 IP 주소 탐지부(206)로 전달한다.
그러면, 비정상 IP 주소 탐지부(206)는 기설정된 일정시간 후에 상기 호스트 정보 학습부(205)로부터 전달받은 플로우 식별정보를 이용하여 활동 호스트 정보(AHI) 테이블(204)을 검색하여 해당 플로우에 대한 비정상 IP 주소 탐지를 수행한다(305).
이때, 비정상 IP 주소 탐지를 즉시 수행하지 않는 이유는 새로운 플로우 식별정보를 학습하기 전에 먼저 비정상 IP 주소 탐지를 수행하면 폴즈-포지티브(false-positive) 에러가 발생할 수 있기 때문이다. 즉, 학습되지 않는 새로운 IP 주소를 비정상 IP 주소로 판단할 수 있다. 이러한 문제를 막기 위하여 비정상 IP 주소 탐지는 특정 호스트 정보를 학습하는데 걸리는 일정시간 후에 수행한다. 그 대기 시간은 패킷의 RTT(Round Trip Time) 시간과 전체 호스트 학습 양을 고려하여 설정될 수 있다.
이후, 비정상 IP 주소 탐지부(206)는 공격 대응 결정부(202)로 상기 탐지 결과를 전달한다. 그러면, 공격 대응 결정부(202)는 탐지 결과가 비정상 IP 주소인지 또는 정상 IP 주소인지를 판단하여(306) 정상 IP 주소이면 종료하고, 비정상 IP 주소이면 비정상 IP 주소의 비정상 정도(예 : 탐지된 공격 횟수)를 고려하여 수신 플로우가 공격 플로우인지를 판단한다(307).
상기 판단 결과(307), 공격 플로우가 아닌 것으로 판단되면 종료하고, 만약 공격 플로우로 판단되면 공격 차단부(208)를 호출하여 그 공격 플로우를 차단한다(308).
다음으로, 본 발명에 따른 비정상 IP 주소를 사용하는 네트워크 공격의 탐지 과정(305), 공격 차단 과정(306 내지 308), 및 이를 위한 호스트 정보 학습 과정(303)을 도 4 내지 도 6을 통하여 자세히 설명하기로 한다.
도 4는 본 발명에 따른 수신 플로우의 출발지 및 목적지 IP주소에 대한 비정상 유무를 결정하는 탐지 과정(305)에 대한 일실시예 상세 흐름도이다.
전술한 바와 같이, 비정상 IP 주소 탐지에 있어서, 비정상 IP 주소 탐지부(206)는 수신한 플로우 식별정보를 분석하여 출발지 및 목적지 IP 주소의 비정상 유무를 결정한다. 이를 상세히 살펴보면 다음과 같다.
먼저, 비정상 IP 주소 탐지부(206)는 기설정된 일정시간 후에 호스트 정보 학습부(205)로부터 플로우 식별정보를 수신한다(401). 이때, 출발지 플로우 식별정보는 출발지 IP 주소, 출발지 포트 번호, 및 입력 인터페이스 번호를 포함하고, 목적지 플로우 식별정보는 목적지 IP 주소, 목적지 포트 번호, 및 출력 인터페이스 번호를 포함한다.
이후, 출발지 플로우 식별정보가 활동 호스트 정보(AHI) 테이블(204)에 존재하는지를 검색하여(402) 출발지 플로우 식별정보가 활동 호스트 정보(AHI) 테이블(204)에 존재하지 않으면 수신한 플로우의 출발지 IP 주소를 비정상 출발지 IP로 결정하고(405), 출발지 플로우 식별정보가 활동 호스트 정보(AHI) 테이블(204)에 존재하면 활동 호스트 정보(AHI) 테이블(204)에서 검색한 정보가 검증된 정보인지를 확인한다(403).
상기 확인 결과(403), 활동 호스트 정보(AHI) 테이블(204)에서 검색한 정보가 검증된 정보가 아니면 수신한 플로우의 출발지 IP 주소를 비정상 출발지 IP로 결정하고(405), 활동 호스트 정보(AHI) 테이블(204)에서 검색한 정보가 검증된 정보이면 수신한 플로우의 출발지 IP 주소를 정상 출발지 IP로 결정한다(404).
한편, 상기 출발지 플로우 식별정보를 검사하는 방식과 마찬가지로, 목적지 플로우 식별정보가 활동 호스트 정보(AHI) 테이블(204)에 존재하는지를 검색하여(406) 목적지 플로우 식별정보가 활동 호스트 정보(AHI) 테이블(204)에 존재하지 않으면 수신한 플로우의 목적지 IP 주소를 비정상 목적지 IP로 결정하고(409), 목적지 플로우 식별정보가 활동 호스트 정보(AHI) 테이블(204)에 존재하면 활동 호스트 정보(AHI) 테이블(204)에서 검색한 정보가 검증된 정보인지를 확인한다(407).
상기 확인 결과(407), 활동 호스트 정보(AHI) 테이블(204)에서 검색한 정보가 검증된 정보가 아니면 수신한 플로우의 목적지 IP 주소를 비정상 목적지 IP로 결정하고(409), 활동 호스트 정보(AHI) 테이블(204)에서 검색한 정보가 검증된 정보이면 수신한 플로우의 목적지 IP 주소를 정상 목적지 IP로 결정한다(408).
여기서, 상기 활동 호스트 정보(AHI) 테이블(204)에 등록된 정보의 검증(신뢰) 여부는 해당하는 호스트의 응답 여부로 판단한다. 즉, 호스트 A가 호스트 B를 향하여 트래픽을 생성하고 있을 때 활동 호스트 정보(AHI) 테이블(204)에는 목적지 식별 정보인 호스트 B 정보가 등록되는데, 호스트 B가 그 목적지 식별 정보를 사용하여 정말로 응답한다면 호스트 B 정보는 검증되었다고 판단한다. 이와 마찬가지로, 호스트 B가 호스트 A에게 응답한 경우에도 목적지 식별 정보인 호스트 A의 정보가 활동 호스트 정보(AHI) 테이블(204)에 등록되며, 또한 호스트 A가 그 목적지 식별 정보를 사용하여 정말로 응답한다면 호스트 A 정보는 검증되었다고 판단한다.
이와 같이 본 발명에 따른 비정상 IP 주소 탐지 방법은 위조된 출발지 IP 주소가 같은 네트워크 주소군에 속하는 경우에도 그 위조된 출발지 주소에 대한 응용 서비스 정보가 활동 호스트 정보(AHI) 테이블(204)에 존재하는지를 검사함으로써, 출발지 IP 위조 공격을 탐지할 수 있다. 즉, 출발지 IP 주소가 같은 네트워크 주소군에 속하더라도 그 출발지 IP 주소가 운용되고 있지 않거나 또는 요구하는 응용 서비스를 제공하고 있지 않는 호스트의 주소라면 그 출발지 IP는 위조된 IP라고 판단한다.
또한, 수신 플로우의 목적지 주소에 대한 정보가 활동 호스트 정보(AHI) 테이블(204)에 존재하는지를 검사함으로써(즉, 현재 운용하고 있지 않은 시스템 또는 요구하는 응용 서비스를 제공하고 있지 않은 시스템을 접근하는지를 검사함으로써), 비정상 목적지 IP 주소를 사용하는 스캔 공격 등을 탐지할 수 있다.
한편, 상기와 같이 비정상 IP 주소 탐지부(206)에서의 비정상 IP 탐지 결과는 공격 대응 결정부(202)로 보고된다. 그러면, 공격 대응 결정부(202)는 그 탐지 결과와 미리 설정된 정책을 기반으로 하여 네트워크 공격에 대한 대응 여부를 결정하여 공격 차단부(208)를 접근 제어한다. 이를 도 5를 참조하여 좀 더 자세히 설명하면 다음과 같다.
도 5는 본 발명에 따른 탐지한 공격에 대한 대응 결정 및 공격 차단 과정(306 내지 308)에 대한 일실시예 상세 흐름도이다.
먼저, 공격 대응 결정부(202)는 비정상 IP 주소 탐지부(206)로부터 보고받은 비정상 IP 탐지 결과를 확인한다(501).
상기 확인 결과(501), 출발지 IP 주소는 정상이지만 목적지 IP 주소가 비정상인 경우에는 웜의 IP 스캔 공격으로 의심하여(502) 그 출발지 IP 주소를 차단할 출발지 IP 주소로 결정한 후에(503) '508" 과정으로 진행한다.
상기 확인 결과(501), 출발지 IP 주소는 비정상이지만 목적지 IP 주소가 정상인 경우에는 특정 시스템에 대한 DoS 공격으로 의심하여(504) 활동 호스트 정보(AHI) 테이블(204)에 등록되지 않은 출발지 IP 주소를 차단할 출발지 IP 주소로 결정한 후에(505) '508" 과정으로 진행한다.
상기 확인 결과(501), 출발지 및 목적지 IP 주소가 모두 비정상인 경우에는 불특정 시스템(즉, 네트워크)에 대한 DoS 공격으로 의심하여(506) 활동 호스트 정보(AHI) 테이블(204)에 등록되지 않은 출발지 및 목적지 IP 주소를 각각 차단할 출발지 및 목적지 IP 주소로 결정한 후에(507) '508" 과정으로 진행한다.
이후, 해당 공격횟수가 정책에 의하여 설정된 특정 한계점(임계치)(예 : 24시간동안 총 5회)을 넘는지를 확인하여(508) 넘지 않으면 리턴하고, 넘으면 공격으로 결정된 IP 주소를 차단한다(509).
도 6은 본 발명에 따른 호스트의 위치 및 서비스 정보 학습 과정(303)에 대한 일실시예 상세 흐름도이다.
먼저, 호스트 정보 학습부(205)는 플로우 식별정보 추출부(207)로부터 플로우 식별정보를 전달받으면(601) 목적지 플로우 식별정보를 활동 호스트 정보(AHI) 테이블(204)에 등록한다(602). 이때, 목적지 플로우 식별정보에서 목적지 IP 주소와 출력 인터페이스 번호는 신뢰할 수 있는 정보이지만, 목적지 포트 번호는 신뢰할 수 없는 정보이다. 즉, 활동 호스트 정보(AHI) 테이블(204)에 저장된 목적지 IP 주소인 호스트가 정말로 목적지 포트 번호에 해당하는 서비스를 제공하는지에 대한 검증이 필요하다.
이를 위하여 플로우 식별정보 추출부(207)로부터 수신된 출발지 플로우 식별정보가 활동 호스트 정보(AHI) 테이블(204)에 있는 정보와 매칭되는지를(즉, 출발지 플로우 식별정보가 활동 호스트 정보(AHI) 테이블에서 검색되는지를) 확인하여(603) 검색되지 않으면 리턴하고, 검색되면 활동 호스트 정보(AHI) 테이블(204)에서 검색(발견)된 활동 호스트 정보(AHI) 테이블 엔트리 정보를 검증된(신뢰할 수 있는) 정보라고 표시한다(604).
예를 들어, 활동 호스트 정보(AHI) 테이블(204)에 "호스트 10.10.10.10은 웹 서버 운용, 이 정보는 검증되지 않았음"이란 정보가 저장되어 있다고 가정하자. 이때, 출발지 IP의 주소가 10.10.10.10이고 출발지 포트 번호가 80(웹 서버를 의미)인 플로우를 수신한 경우에는 출발지 IP 주소, 10.10.10.10에 대한 포트 정보가 활동 호스트 정보(AHI) 테이블(204)에 존재하므로, 등록 정보는 "호스트 10.10.10.10은 웹 서버 운용, 이 정보는 검증되었음"이라고 변경된다.
한편, 상기와 같이 플로우 식별정보 추출부(207)에서 추출한 플로우 식별정보를 전달받은 호스트 정보 학습부(205)가 호스트 정보를 학습하는데 걸리는 일정시간 후에 플로우 식별정보를 비정상 IP 주소 탐지부(206)로 전송하는 것과 달리, 다른 실시예로서 플로우 식별정보 추출부(207)가 추출한 플로우 식별정보를 호스트 정보 학습부(205)로 전송하면서 동시에 비정상 IP 주소 탐지부(206)로 전송하도록 구현할 수도 있다. 왜냐하면, 도 5에서 전술한 바와 같이 한 번의 공격으로 해당 IP 주소를 차단하는 것이 아니라 일정 횟수(임계치) 이상의 공격이 있을 경우에 해당 IP 주소를 차단하기 때문에 현재 수신되는 플로우(1회)에 대한 학습이 이루어지기 전에 비정상 IP 주소 탐지 과정을 수행하여도 별로 문제가 되지 않기 때문이다. 그리고 이 경우에는 임계치를 전술한 일실시예와 달리 설정(예 : 활동 호스트 정보(AHI) 테이블의 학습율이 높으면 1분에 20회, 그렇지 않으면 24시간동안 총 20회)할 수도 있다.
따라서 상기 일실시예에서 호스트 정보를 학습하는데 걸리는 일정시간 동안 대기하는 과정은 본 발명에서 부가요소이다.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디 스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.
상기와 같은 본 발명은, 활동중인 호스트의 위치 및 서비스 정보(호스트 정보)를 자동 학습하고 그 학습한 결과를 기반으로 하여 비정상적인 IP 주소를 사용하는 공격 호스트를 원천적으로 차단할 수 있는 효과가 있다.
즉, 본 발명은 사용자의 관리 없이 호스트 정보를 자동 학습함으로써 비정상적인 출발지 및 목적지 IP 주소를 사용하는 플로우를 탐지할 수 있으므로, 위조된 출발지 IP 주소를 사용하는 서비스 거부 공격 및 비정상 목적지 IP 주소를 사용하는 웜 바이러스 공격 등을 탐지하고 원천적으로 차단할 수 있는 효과가 있다.
Claims (17)
- 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 장치에 있어서,수신 패킷의 플로우 식별정보를 추출하기 위한 플로우 식별정보 추출 수단;활동 호스트 정보를 저장하고 있는 활동 호스트 정보(AHI : Active Host Information) 저장 수단;상기 플로우 식별정보 추출 수단에서 추출한 플로우 식별정보를 상기 활동 호스트 정보(AHI) 저장 수단에 등록하고 상기 활동 호스트 정보(AHI) 저장 수단에 등록된 정보를 검증하여 호스트 정보를 학습하기 위한 호스트 정보 학습 수단;상기 수신 패킷의 IP 주소 및 포트 정보가 상기 활동 호스트 정보(AHI) 저장 수단에 존재하는지를 상기 플로우 식별정보를 이용하여 검사하여 비정상 IP 주소를 탐지하기 위한 비정상 IP 주소 탐지 수단;상기 비정상 IP 주소 탐지 수단에서 탐지한 비정상 IP 주소를 갖는 공격 호스트에 대한 대응 여부를 결정하기 위한 공격 대응 결정 수단;상기 공격 대응 결정 수단에서의 공격 대응 결정에 따라 공격 호스트에 대한 차단을 실행하기 위한 공격 차단 수단; 및외부와 인터페이스하기 위한 인터페이싱 수단을 포함하는 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 장치.
- 제 1 항에 있어서,상기 활동 호스트 정보(AHI) 저장 수단에서 제1 일정시간 동안 접근되지 않은 엔트리를 삭제하거나 수정하기 위한 에이징 검사 수단을 더 포함하는 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 장치.
- 제 1 항 또는 제 2 항에 있어서,상기 활동 호스트 정보(AHI)는,활동중인 호스트/호스트군의 위치 및 서비스 정보인 것을 특징으로 하는 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 장치.
- 제 1 항 또는 제 2 항에 있어서,상기 플로우 식별정보 추출 수단에서 추출한 플로우 식별정보는,출발지 플로우 식별정보와 목적지 플로우 식별정보를 포함하되,상기 출발지 플로우 식별정보는 출발지 IP 주소, 출발지 포트 번호, 및 입력 인터페이스 번호를 포함하고,상기 목적지 플로우 식별정보는 목적지 IP 주소, 목적지 포트 번호, 및 출력 인터페이스 번호를 포함하는 것을 특징으로 하는 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 장치.
- 제 1 항 또는 제 2 항에 있어서,상기 호스트 정보 학습 수단은,상기 플로우 식별정보 추출 수단에서 추출한 플로우 식별정보를 전달받아 호스트 정보를 학습하는데 걸리는 제2 일정시간 후에 해당 플로우 식별정보를 상기 비정상 IP 주소 탐지 수단으로 전송하는 것을 특징으로 하는 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 장치.
- 제 1 항 또는 제 2 항에 있어서,상기 플로우 식별정보 추출 수단은,상기 수신 패킷의 플로우 식별정보를 추출하여 상기 호스트 정보 학습 수단으로 전송하면서 상기 비정상 IP 주소 탐지 수단으로도 전송하는 것을 특징으로 하는 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 장치.
- 제 1 항 또는 제 2 항에 있어서,상기 인터페이싱 수단은,상기 공격 대응 결정 수단에 정책을 설정하고 공격 탐지 및 대응 결과를 보고하기 위한 사용자 인터페이스를 포함하는 것을 특징으로 하는 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 장치.
- 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 방법에 있어서,플로우 식별정보 추출부가 패킷을 수신하여 플로우 식별정보를 추출하는 플로우 식별정보 추출 단계;호스트 정보 학습부가 상기 추출한 플로우 식별정보를 활동 호스트 정보(AHI) 테이블에 등록 및 검증하여 호스트 정보를 학습하는 호스트 정보 학습 단계;비정상 IP 주소 탐지부가 상기 플로우 식별정보를 이용하여 상기 활동 호스트 정보(AHI) 테이블을 검색하여 해당 플로우에 대한 비정상 IP 주소를 탐지하는 비정상 IP 주소 탐지 단계; 및공격 대응 결정부가 상기 탐지한 비정상 IP 주소를 갖는 공격 호스트에 대한 대응 여부를 결정하고, 그에 따른 접근 제어에 따라 공격 차단부가 공격을 차단하는 공격 차단 단계를 포함하는 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 방법.
- 제 8 항에 있어서,에이징 검사부가 상기 활동 호스트 정보(AHI) 테이블에서 제1 일정시간 동안 접근되지 않은 엔트리를 삭제하거나 수정하는 단계를 더 포함하는 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 방법.
- 제 9 항에 있어서,상기 호스트 정보 학습 단계에서 호스트 정보를 학습하는데 걸리는 제2 일정시간 동안 대기한 후에 상기 비정상 IP 주소 탐지 단계를 수행하는 것을 특징으로 하는 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 방법.
- 제 10 항에 있어서,상기 제2 일정시간은,상기 수신 패킷의 RTT(Round Trip Time) 시간과 전체 호스트 학습 양을 고려하여 설정하는 것을 특징으로 하는 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 방법.
- 제 8 항 내지 제 11 항 중 어느 한 항에 있어서,상기 활동 호스트 정보(AHI) 테이블은,활동중인 호스트/호스트군의 위치 및 서비스 정보를 저장하고 있는 것을 특징으로 하는 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 방법.
- 제 8 항 내지 제 11 항 중 어느 한 항에 있어서,상기 추출한 플로우 식별정보는,출발지 플로우 식별정보와 목적지 플로우 식별정보를 포함하되,상기 출발지 플로우 식별정보는 출발지 IP 주소, 출발지 포트 번호, 및 입력 인터페이스 번호를 포함하고,상기 목적지 플로우 식별정보는 목적지 IP 주소, 목적지 포트 번호, 및 출력 인터페이스 번호를 포함하는 것을 특징으로 하는 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 방법.
- 제 8 항 내지 제 11 항 중 어느 한 항에 있어서,상기 비정상 IP 주소 탐지 단계는,상기 플로우 식별정보를 분석하여 그 분석 결과로 상기 활동 호스트 정보(AHI) 테이블을 검색하여 해당 플로우에 대한 출발지 및 목적지 IP 주소의 비정상 유무를 결정하는 것을 특징으로 하는 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 방법.
- 제 14 항에 있어서,상기 비정상 IP 주소 탐지 단계는,상기 비정상 IP 주소 탐지부가 출발지 플로우 식별정보가 상기 활동 호스트 정보(AHI) 테이블에 존재하는지를 검색하는 제1 검색 단계;상기 제1 검색 단계의 검색 결과, 존재하지 않으면 비정상 출발지 IP로 결정하고, 존재하면 상기 활동 호스트 정보(AHI) 테이블에서 검색한 정보가 검증된 정보인지를 확인하는 제1 확인 단계;상기 제1 확인 단계의 확인 결과, 검증된 정보가 아니면 비정상 출발지 IP로 결정하고, 검증된 정보이면 정상 출발지 IP로 결정하는 단계;상기 비정상 IP 주소 탐지부가 목적지 플로우 식별정보가 상기 활동 호스트 정보(AHI) 테이블에 존재하는지를 검색하는 제2 검색 단계;상기 제2 검색 단계의 검색 결과, 존재하지 않으면 비정상 목적지 IP로 결정하고, 존재하면 상기 활동 호스트 정보(AHI) 테이블에서 검색한 정보가 검증된 정보인지를 확인하는 제2 확인 단계; 및상기 제2 확인 단계의 확인 결과, 검증된 정보가 아니면 비정상 목적지 IP로 결정하고, 검증된 정보이면 정상 목적지 IP로 결정하는 단계를 포함하는 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 방법.
- 제 8 항 내지 제 11 항 중 어느 한 항에 있어서,상기 공격 차단 단계는,상기 공격 대응 결정부가 상기 탐지한 비정상 IP 탐지 결과를 확인하는 제1 확인 단계;상기 제1 확인 단계의 확인 결과, 출발지 IP 주소는 정상이지만 목적지 IP 주소가 비정상이면 웜의 IP 스캔 공격으로 의심하여 그 출발지 IP 주소를 차단할 출발지 IP 주소로 결정하는 단계;상기 제1 확인 단계의 확인 결과, 출발지 IP 주소는 비정상이지만 목적지 IP 주소가 정상이면 특정 시스템에 대한 DoS 공격으로 의심하여 상기 활동 호스트 정보(AHI) 테이블에 등록되지 않은 출발지 IP 주소를 차단할 출발지 IP 주소로 결정하는 단계;상기 제1 확인 단계의 확인 결과, 출발지 및 목적지 IP 주소가 모두 비정상이면 네트워크에 대한 DoS 공격으로 의심하여 상기 활동 호스트 정보(AHI) 테이블에 등록되지 않은 출발지 및 목적지 IP 주소를 각각 차단할 출발지 및 목적지 IP 주소로 결정하는 단계; 및상기 각 공격횟수가 임계치를 초과하여 계속됨에 따라 공격으로 결정된 IP 주소를 상기 공격 차단부가 차단하는 단계를 포함하는 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 방법.
- 제 8 항 내지 제 11 항 중 어느 한 항에 있어서,상기 호스트 정보 학습 단계는,상기 호스트 정보 학습부가 목적지 플로우 식별정보를 상기 활동 호스트 정보(AHI) 테이블에 등록하는 단계;상기 호스트 정보 학습부가 출발지 플로우 식별정보가 상기 활동 호스트 정보(AHI) 테이블에 있는 정보와 매칭되는지를(즉, 출발지 플로우 식별정보가 상기 활동 호스트 정보(AHI) 테이블에서 검색되는지를) 확인하는 단계; 및상기 출발지 플로우 식별정보가 상기 활동 호스트 정보(AHI) 테이블에서 검색됨에 따라 상기 활동 호스트 정보(AHI) 테이블에서 검색한 활동 호스트 정보(AHI) 테이블 엔트리 정보를 검증된(신뢰할 수 있는) 정보로 표시하는 단계를 포함하는 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020040089142A KR100613904B1 (ko) | 2004-11-04 | 2004-11-04 | 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020040089142A KR100613904B1 (ko) | 2004-11-04 | 2004-11-04 | 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20060039984A KR20060039984A (ko) | 2006-05-10 |
| KR100613904B1 true KR100613904B1 (ko) | 2006-08-21 |
Family
ID=37147055
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020040089142A KR100613904B1 (ko) | 2004-11-04 | 2004-11-04 | 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100613904B1 (ko) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101112200B1 (ko) * | 2009-06-26 | 2012-02-24 | (주) 임앤정 | 유해 트래픽 필터링 전용 임베디드 시스템 및 유해 트래픽 필터링 방법 |
| US11218879B2 (en) | 2018-12-05 | 2022-01-04 | At&T Intellectual Property I, L.P. | Providing security through characterizing internet protocol traffic to detect outliers |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101039092B1 (ko) * | 2011-01-21 | 2011-06-07 | (주)넷맨 | IPv6 네트워크 내 호스트 보호 및 격리방법 |
| KR101414959B1 (ko) * | 2012-02-29 | 2014-07-09 | 주식회사 팬택 | 네트워크 공격을 감지하는 이동 통신 단말기 및 그 감지 방법 |
| KR101416523B1 (ko) * | 2012-09-25 | 2014-07-09 | 주식회사 시큐아이 | 보안 시스템 및 그것의 동작 방법 |
| KR102045468B1 (ko) * | 2015-07-27 | 2019-11-15 | 한국전자통신연구원 | 네트워크 데이터 분석에 기반한 비정상 연결 행위 탐지 장치 및 방법 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20000054538A (ko) * | 2000-06-10 | 2000-09-05 | 김주영 | 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체 |
| KR20020062071A (ko) * | 2001-01-19 | 2002-07-25 | 주식회사 정보보호기술 | 접근통제와 연동하는 침입탐지시스템 및 침입대응방법 |
| KR20050063477A (ko) * | 2003-12-22 | 2005-06-28 | 백남균 | 네트워크 정보에 대한 보안 시스템 및 그 방법 |
| KR20050090848A (ko) * | 2004-03-10 | 2005-09-14 | 주식회사 케이티 | 차세대 네트워크 보안 관리 시스템 및 그 방법 |
-
2004
- 2004-11-04 KR KR1020040089142A patent/KR100613904B1/ko not_active IP Right Cessation
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20000054538A (ko) * | 2000-06-10 | 2000-09-05 | 김주영 | 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체 |
| KR20020062071A (ko) * | 2001-01-19 | 2002-07-25 | 주식회사 정보보호기술 | 접근통제와 연동하는 침입탐지시스템 및 침입대응방법 |
| KR20050063477A (ko) * | 2003-12-22 | 2005-06-28 | 백남균 | 네트워크 정보에 대한 보안 시스템 및 그 방법 |
| KR20050090848A (ko) * | 2004-03-10 | 2005-09-14 | 주식회사 케이티 | 차세대 네트워크 보안 관리 시스템 및 그 방법 |
Non-Patent Citations (2)
| Title |
|---|
| 1020000054538 * |
| 1020020062071 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101112200B1 (ko) * | 2009-06-26 | 2012-02-24 | (주) 임앤정 | 유해 트래픽 필터링 전용 임베디드 시스템 및 유해 트래픽 필터링 방법 |
| US11218879B2 (en) | 2018-12-05 | 2022-01-04 | At&T Intellectual Property I, L.P. | Providing security through characterizing internet protocol traffic to detect outliers |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20060039984A (ko) | 2006-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6363489B1 (en) | Method for automatic intrusion detection and deflection in a network | |
| JP4545647B2 (ja) | 攻撃検知・防御システム | |
| KR101270041B1 (ko) | Arp 스푸핑 공격 탐지 시스템 및 방법 | |
| US8776217B2 (en) | Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis | |
| KR101217647B1 (ko) | 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
| US20040073800A1 (en) | Adaptive intrusion detection system | |
| US20040049695A1 (en) | System for providing a real-time attacking connection traceback using a packet watermark insertion technique and method therefor | |
| US20080028073A1 (en) | Method, a Device, and a System for Protecting a Server Against Denial of DNS Service Attacks | |
| US20030196123A1 (en) | Method and system for analyzing and addressing alarms from network intrusion detection systems | |
| US20060140127A1 (en) | Apparatus for displaying network status | |
| KR100745044B1 (ko) | 피싱 사이트 접속 방지 장치 및 방법 | |
| KR20080026122A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
| US20140075537A1 (en) | Method and apparatus for controlling blocking of service attack by using access control list | |
| JP2002007234A (ja) | 不正メッセージ検出装置、不正メッセージ対策システム、不正メッセージ検出方法、不正メッセージ対策方法、及びコンピュータ読み取り可能な記録媒体 | |
| KR100613904B1 (ko) | 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법 | |
| TWI785374B (zh) | 網路惡意行為偵測方法與利用其之交換系統 | |
| KR101268104B1 (ko) | 침입방지시스템 및 그 제어방법 | |
| JP2003283571A (ja) | サービス不能攻撃の防御方法および装置ならびにそのコンピュータプログラム | |
| JP4159814B2 (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
| CN109274638A (zh) | 一种攻击源接入自动识别处理的方法和路由器 | |
| CN111147491B (zh) | 一种漏洞修复方法、装置、设备及存储介质 | |
| AU2003243253B2 (en) | Method and system for analyzing and addressing alarms from network intrusion detection systems | |
| KR101997181B1 (ko) | Dns관리장치 및 그 동작 방법 | |
| US20050147037A1 (en) | Scan detection | |
| CN112491911A (zh) | Dns分布式拒绝服务防御方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20100802 Year of fee payment: 5 |
|
| LAPS | Lapse due to unpaid annual fee |