KR101206542B1 - 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는네트워크 보안 장치 및 방법 - Google Patents

하드웨어 기반의 동적공격 탐지 및 차단을 지원하는네트워크 보안 장치 및 방법 Download PDF

Info

Publication number
KR101206542B1
KR101206542B1 KR1020060129587A KR20060129587A KR101206542B1 KR 101206542 B1 KR101206542 B1 KR 101206542B1 KR 1020060129587 A KR1020060129587 A KR 1020060129587A KR 20060129587 A KR20060129587 A KR 20060129587A KR 101206542 B1 KR101206542 B1 KR 101206542B1
Authority
KR
South Korea
Prior art keywords
attack
dynamic
filtering
dynamic attack
scan
Prior art date
Application number
KR1020060129587A
Other languages
English (en)
Other versions
KR20080056548A (ko
Inventor
김원집
유연식
손소라
Original Assignee
주식회사 엘지씨엔에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘지씨엔에스 filed Critical 주식회사 엘지씨엔에스
Priority to KR1020060129587A priority Critical patent/KR101206542B1/ko
Priority to CN2007101621199A priority patent/CN101252467B/zh
Priority to US11/959,129 priority patent/US8122494B2/en
Publication of KR20080056548A publication Critical patent/KR20080056548A/ko
Application granted granted Critical
Publication of KR101206542B1 publication Critical patent/KR101206542B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크 보안 장치 및 방법에 관한 것이다. 본 발명에 따른 제 1 실시예에 적용되는 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안장치에서, 제 1 보안모듈에 해당하는 패턴매칭엔진(210)은 IF부(100)를 통해 입력되는 네트워크 패킷의 정적공격에 대한 하드웨어 기반의 필터링을 일차적으로 수행하고, 필터링 결과 정상판단된 정상패킷을 PL3 인터페이스를 통해 제 2 보안모듈에 해당하는 동적공격 탐지엔진(230)으로 전송한다. 동적공격 탐지엔진(230)은 상기 패턴매칭엔진(210)으로부터 전송된 정상패킷의 동적공격에 대한 하드웨어 기반의 필터링을 수행하게 된다. 동적공격 탐지엔진(230)은 상기 동적공격에 대한 필터링이 종료되면 필터링 수행결과를 PCI(300)를 통해 메인 CPU(400)에 전송하고, 메인 CPU(400)는 상기 전송된 필터링 수행결과에 근거한 대응정책을 PCI(300) 및 동적공격 탐지엔진(230)을 통해 대응엔진(220)에 전송함으로써 이상 패킷이 차단되도록 제어한다. 이에 따라 본 발명은, 탐지의 정확성을 도모하고 실시간성 요구에 부응하여 네트워크 보안솔루션에 대한 처리속도 및 성능의 취약점을 보완한 매우 유용한 발명인 것이다.
Figure R1020060129587
정적공격, 동적공격, 필터링

Description

하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안 장치 및 방법{Apparatus and method of securing network of supporting detection and interception of dynamic attack based hardware}
도 1은 종래의 네트워크 보안장치의 구성블럭도이다.
도 2는 본 발명에 따른 제 1 실시예에 적용되는 네트워크 보안장치의 구성블럭도이다.
도 3은 도 2의 동적공격 탐지엔진의 세부 구성블럭도이다.
도 4는 동적공격의 유형별 분류를 예시한 표이다.
도 5는 본 발명에 따른 제 1 실시예에 적용되는 네트워크 보안방법의 흐름도이다.
<도면의 주요부분에 대한 부호의 설명>
10,100 : I/F부 21,210 : 패턴매칭엔진
22,220 : 대응엔진
30,300 : PCI(Peripheral Component Interconnect)
40,400 : 메인 CPU 230 : 동적공격 탐지엔진
231 : 제어부 232-1, ... ,232-4 : SRAM
233 : ACL(Access Control List) SRAM
본 발명은 네트워크 보안 장치 및 방법에 관한 것으로서, 보다 상세하게는, 하드웨어 로직을 이용하여 네트워크 패킷에 대한 동적공격 탐지 및 차단을 수행함으로써, 탐지의 정확성을 도모하고 실시간성 요구에 부응하는 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안 장치 및 방법에 관한 것이다.
도 1은 종래의 네트워크 보안장치의 구성블럭도이다.
도 1을 참조하면, 제 1 보안모듈에 해당하는 패턴매칭엔진(21)은 IF부(10)를 통해 입력되는 네트워크 패킷의 정적공격에 대한 하드웨어 기반의 필터링을 일차적으로 수행하고, 필터링 결과 정상판단된 정상패킷과 상기 필터링 수행결과를 PCI(Peripheral Component Interconnect, 이하 'PCI'라 칭함)(30)를 통해 제 2 보안모듈에 해당하는 메인 CPU(40)로 전송한다.
제 2 보안모듈에 해당하는 메인 CPU(40)는, 상기 패턴매칭엔진(21)으로부터 전송된 정상패킷을 프로토콜별로 분류하여 IP 패킷을 재조합한 후 각 프로토콜에 대해 미리 정의된 동적공격을 탐지하는 '동적공격 탐지모듈' 즉 동적공격에 대한 소프트웨어 기반의 필터링을 수행한다. 또한, 메인 CPU(40)는 상기 패턴매칭엔진(21) 및 메인 CPU(40)에 의해 정적 및 동적동격에 대한 필터링이 수행되고 나면, 각각의 필터링 수행결과에 근거한 대응정책을 대응엔진(22)에 전송함으로써 이상 패킷이 차단되도록 제어한다.
전술한 바와 같이, 종래에는 네트워크 패킷의 정적공격에 대한 탐지만이 하드웨어에 기반하여 수행되고 동적공격에 대한 탐지는 메인 CPU(40)의 소프트웨어 에 기반하여 수행되었다.
따라서, 동적공격에 대한 탐지 필터가 증가할 경우 메인 CPU(40)의 처리 성능 저하로 인해 타 공격 탐지 기능이 저하되며, 이에 따른 패킷 손실로 인해 동적공격 탐지의 정확성이 떨어지는 문제점이 발생되었다.
아울러, 제 1 보안모듈에 해당하는 패턴매칭엔진(21)이 정상패킷과 상기 필터링 수행결과를 제 2 보안모듈에 해당하는 메인 CPU(40)로 전송시 지연이 발생할 경우, 후속하여 전송되는 필터링 수행결과와 정상패킷의 손실이 발생하였다.
따라서, 본 발명은 상기와 같은 문제점을 해결하기 위해 창작된 것으로서, 하드웨어 로직을 이용하여 네트워크 패킷에 대한 동적공격 탐지 및 차단을 수행하는 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안 장치 및 방법을 제공하는 것이다.
상술한 목적을 달성하기 위한 본 발명의 제 1 실시예에 따른 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안장치는, 네트워크 패킷(packet)의 정적공격에 대한 하드웨어 기반의 필터링을 수행하는 정적공격 필터링수단; 상기 네트워크 패킷의 동적공격에 대한 하드웨어 기반의 필터링을 수행하는 동적공격 필터링수단; 그리고 상기 정적 및 동적공격에 대한 필터링 수행결과에 근거한 대응정책을 수행하는 대응엔진을 포함한다.
또한 본 발명의 제 1 실시예에 따른 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안장치는, 상기 정적 및 동적공격에 대한 필터링 수행결과를 저장하는 저장수단을 더 포함할 수 있다.
상기 동적공격 필터링수단은, 현장 프로그램 가능 게이트 배열(Field-Programmable Gate Array :FPGA) 기반의 고속 패킷 프로세서일 수 있다.
상기 동적공격 필터링수단은, 동적공격의 유형에 따라 각각의 유형에 일대일 대응되는 적어도 하나 이상의 메모리를 포함할 수 있다.
상기 동적공격 유형은, DoS, Fragment DoS, IP Scan, Scan 가운데 적어도 하나 이상을 포함할 수 있다.
상기 동적공격 필터링수단은, 각각의 동적공격명에 일대일 대응되는 적어도 하나 이상의 임계값을 저장하고, 소정 시간동안 상기 네트워크 패킷의 동적공격 탐지횟수를 카운트하고 카운트된 탐지횟수가 해당 임계값을 초과하면 이상 패킷으로 판단할 수 있다.
상기 동적공격명은, SYN Flood, UDP Flood, DoS Echo (TCP & UDP), Ping Flood, Sun kill, Sol Syslogd, DoS Chargen, Fraggle, Smurf, Land Attack, Winnuke, Syn Fin Attack, TCP No Flag Attack, ARP Attack, ICMP Large Packet Attack, FTP Bounce, IP Scan, Address Sweep Attack, SYN Scan, Non SYN Scan, Xmas Scan, Tiny Scan, UDP Port Scan, FIN Scan 가운데 적어도 하나 이상을 포함할 수 있다.
또한, 본 발명의 제 1 실시예에 따른 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안방법은, 네트워크 패킷(packet)의 정적공격에 대한 하드웨어 기반의 필터링을 수행하는 정적공격 필터링단계; 상기 정적공격에 대한 필터링 수행결과 정상판단된 정상패킷의 동적공격에 대한 하드웨어 기반의 필터링을 수행하는 동적공격 필터링단계; 그리고 상기 정적 및 동적공격에 대한 필터링 수행결과에 근거한 대응정책을 수행하는 대응단계를 포함한다.
또한, 본 발명의 제 1 실시예에 따른 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안방법은, 상기 정적 및 동적공격에 대한 필터링 수행결과를 저장하는 저장단계를 더 포함할 수 있다.
상기 동적공격 필터링단계는, 현장 프로그램 가능 게이트 배열(Field-Programmable Gate Array :FPGA) 기반의 고속 패킷 프로세서에 의해 구현될 수 있다.
상기 동적공격 필터링단계는, 상기 정상패킷을 탐지하고자 하는 동적공격의 유형에 각각 대응되는 해당 메모리 영역에서 분석될 수 있다.
상기 동적공격 유형은, DoS, Fragment DoS, IP Scan, Scan 가운데 적어도 하나 이상을 포함할 수 있다.
상기 동적공격 필터링단계는, 각각의 동적공격명에 일대일 대응되는 적어도 하나 이상의 임계값을 저장하고, 소정 시간동안 상기 네트워크 패킷의 동적공격 탐지횟수를 카운트하고 카운트된 탐지횟수가 해당 임계값을 초과하면 이상 패킷으로 판단할 수 있다.
상기 동적공격명은, SYN Flood, UDP Flood, DoS Echo (TCP & UDP), Ping Flood, Sun kill, Sol Syslogd, DoS Chargen, Fraggle, Smurf, Land Attack, Winnuke, Syn Fin Attack, TCP No Flag Attack, ARP Attack, ICMP Large Packet Attack, FTP Bounce, IP Scan, Address Sweep Attack, SYN Scan, Non SYN Scan, Xmas Scan, Tiny Scan, UDP Port Scan, FIN Scan 가운데 적어도 하나 이상을 포함할 수 있다.
이상과 같은 구성과 흐름에 의해, 본 발명에 따른 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안 장치 및 방법은, 하드웨어 로직을 이용하여 네트워크 패킷에 대한 동적공격 탐지 및 차단을 수행하는 것이다.
이하에서는, 도면을 참조하여 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안 장치 및 방법에 대하여 보다 상세히 설명하기로 한다.
도 2는 본 발명에 따른 제 1 실시예에 적용되는 네트워크 보안장치의 구성블럭도이고, 도 3은 도 2의 동적공격 탐지엔진의 세부 구성블럭도이고, 도 4는 동적공격의 유형별 분류를 예시한 표이다.
본 발명에 따른 제 1 실시예에 적용되는 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안장치에서, 제 1 보안모듈에 해당하는 패턴매칭엔진(210)은 IF부(100)를 통해 입력되는 네트워크 패킷의 정적공격에 대한 하드웨어 기반의 필터링을 일차적으로 수행하고, 필터링 결과 정상판단된 정상패킷을 PL3 인터페이스를 통해 제 2 보안모듈에 해당하는 동적공격 탐지엔진(230)으로 전송한다. 아울러, 패턴매칭엔진(210)은 정적공격에 대한 필터링 수행결과에 근거한 대응정책을 대응엔진(220)에 전송함으로써 이상 패킷이 차단되도록 제어한다.
한편, 동적공격 탐지엔진(230)은 상기 패턴매칭엔진(210)으로부터 전송된 정상패킷의 동적공격에 대한 하드웨어 기반의 필터링을 수행하게 된다.
동적공격 탐지엔진(230)의 세부 구성블럭도인 도 3을 참조하면, 제어부(231)는, 메인 CPU(400)로부터 PCI(300)를 통해 입력되는 보안정책을 ACL(Access Control List, 이하 'ACL'이라 칭함) SRAM(233)에 저장하고, 패턴매칭엔진(210)으로부터 PL3 인터페이스를 통해 정상패킷이 전송되면, ACL SRAM(233)에 기 저장된 보안정책에 응하여, 상기 전송된 정상패킷의 동적공격에 대한 하드웨어 기반의 필터링을 수행하게 된다.
즉, 제어부(231)는, 상기 전송된 정상패킷을 프로토콜별로 분류하여 IP 패킷 을 재조합한 후 각 프로토콜에 대해 ACL SRAM(233)에 기 저장된 보안정책에 응하여 동적공격을 탐지하게 되는데, 탐지하고자 하는 동적공격의 유형(도 4 참조)에 따라 각각의 유형에 일대일 대응되는 SRAM1(232-1)~SRAM4(232-4)과, 동적공격명(도 4 참조)에 따른 적어도 하나 이상의 임계값을 선택적으로 이용하게 된다.
또한, 동적공격 탐지엔진(230)은 상기 동적공격에 대한 필터링이 종료되면 필터링 수행결과를 PCI(300)를 통해 메인 CPU(400)에 전송하고, 메인 CPU(400)는 상기 전송된 필터링 수행결과에 근거한 대응정책을 PCI(300) 및 동적공격 탐지엔진(230)을 통해 대응엔진(220)에 전송함으로써 이상 패킷이 차단되도록 제어한다.
아울러, 동적공격 탐지엔진(230)은 현장 프로그램 가능 게이트 배열(Field-Programmable Gate Array, 이하 'FPGA'라 칭함) 기반의 고속 패킷 프로세서인 것을 제안한다.
도 5는 본 발명에 따른 제 1 실시예에 적용되는 네트워크 보안방법의 흐름도로서, 이하에서는, 상기와 같이 구성되는 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안장치의 동작에 대해, 첨부된 도면과 병행하여 상세히 설명하기로 한다.
먼저, I/F부(100)를 통해 네트워크 패킷이 입력되면(S501의 "예"), 제 1 보안모듈에 해당하는 패턴매칭엔진(210)은 상기 입력되는 네트워크 패킷의 정적공격에 대한 하드웨어 기반의 필터링을 일차적으로 수행한다(S502). 패턴매칭엔진(210)은, 상기 필터링 결과 정상이면(S503의 "예") 해당 정상패킷을 PL3 인터페이스를 통해 제 2 보안모듈에 해당하는 동적공격 탐지엔진(230)으로 전송하고, 상기 필터링 결과 정상패킷이 아니면(S503의 "아니오") 해당 이상 패킷의 패킷정보를 대응엔진(220)에 전송함으로써 차단하게 된다(S507).
한편, 동적공격 탐지엔진(230)은 패턴매칭엔진(210)으로부터 PL3 인터페이스를 통해 전송된 정상패킷의 동적공격에 대한 하드웨어 기반의 필터링을 수행하게 되는데(S504), 첨부된 도면을 참조하여 제 504단계에 대해 상세히 설명하면 다음과 같다.
도 3을 참조하면, 동적공격 탐지엔진(230)내의 제어부(231)는, 상기 패턴매칭엔진(210)으로부터 전송된 정상패킷을 프로토콜별로 분류하여 IP 패킷을 재조합한 후 ACL SRAM(233)에 기 저장된 보안정책에 응하여 동적공격을 탐지하게 된다. 즉, 제어부(231)는 상기 재조합된 네트워크 패킷을, 탐지하고자 하는 동적공격의 유형('DoS류', 'Fragment DoS류', 'IP Scan류', 'Scan류')(도 4 참조)에 각각 대응되는 해당 SRAM1(232-1)~SRAM4(232-4) 영역에서 분석하여 소정 시간동안 동적공격의 탐지횟수를 카운트하고 카운트된 탐지횟수를, 동적공격명(도 4 참조)에 각각 대응되는 적어도 하나 이상의 임계값과 비교함으로써 해당 네트워크 패킷의 공격여부를 판단하게 된다.
이와 같이 하여 제어부(231)는, 동적공격명에 따르는 각각의 탐지횟수가 해당 임계값을 초과하지 않으면 공격되지 않은 정상패킷으로(S505의 "예"), 동적공격명에 따르는 각각의 탐지횟수가 해당 임계값을 초과하면 공격받은 이상 패킷으로(S505의 "아니오") 판단하고, 상기 판단된 필터링 수행결과를 PCI(300)를 통해 메인 CPU(400)에 전송함으로써, 메인 CPU(400)는 상기 전송된 필터링 수행결과에 근거한 대응정책을 PCI(300) 및 동적공격 탐지엔진(230)을 통해 대응엔진(220)에 다시 전송함으로써 해당 패킷이 통과(S506) 또는 차단(S507)되도록 제어한다.
아울러, 메인 CPU(400)는 상기 패턴매칭엔진(210) 및 동적공격 탐지엔진(230)내의 제어부(231)로부터 각각 전송된 정적공격 및 동적공격에 대한 필터링 수행결과를 저장한다(S508).
상술한 바와 같이, 본 발명이 도면에 도시된 실시예를 참고하여 설명되었으나, 이는 예시적인 것들에 불과하며, 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자라면 본 발명의 요지 및 범위를 벗어나지 않으면서도 다양한 변형, 변경 및 균등한 타 실시예들이 가능하다는 것을 명백하게 알 수 있을 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.
상술한 바와 같이, 본 발명에 따른 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안 장치 및 방법은, 하드웨어 로직을 이용하여 네트워크 패킷에 대한 동적공격 탐지 및 차단을 수행함으로써, 탐지의 정확성을 도모하고 실시간성 요구에 부응하여 네트워크 보안솔루션에 대한 처리속도 및 성능의 취약점을 보완한 매우 유용한 발명인 것이다.

Claims (14)

  1. 네트워크 패킷(packet)의 정적공격에 대한 하드웨어 기반의 필터링을 수행하는 정적공격 필터링수단;
    상기 정적공격 필터링수단에서 정상으로 판단된 정상패킷을 프로토콜 별로 분류하여 재조합하고, 상기 프로토콜 별로 동적공격의 유형에 따라 필터링을 수행하는 하드웨어 필터링 수단을 통해 상기 재조합한 네트워크 패킷에 의한 동적공격 수행 여부를 판단하여 하드웨어 기반의 필터링을 수행하는 동적공격 필터링수단; 그리고
    상기 정적 및 동적공격에 대한 필터링 수행결과에 근거한 대응정책을 수행하는 대응엔진을 포함하는 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안장치.
  2. 제 1항에 있어서,
    상기 정적 및 동적공격에 대한 필터링 수행결과를 저장하는 저장수단을 더 포함하는 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안장치.
  3. 제 1항 또는 제 2항에 있어서,
    상기 동적공격 필터링수단은, 현장 프로그램 가능 게이트 배열(Field-Programmable Gate Array :FPGA) 기반의 고속 패킷 프로세서인 것을 특징으로 하는 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안장치.
  4. 제 1항 또는 제 2항에 있어서, 상기 하드웨어 필터링 수단은
    상기 동적공격의 유형에 따라 각각의 유형에 일대일 대응되는 적어도 하나 이상의 메모리를 포함하는 것을 특징으로 하는 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안장치.
  5. 제 4항에 있어서, 상기 동적공격 유형은,
    DoS, Fragment DoS, IP Scan, Scan 가운데 적어도 하나 이상을 포함하는 것을 특징으로 하는 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안장치.
  6. 제 1항 또는 제 2항에 있어서, 상기 동적공격 필터링수단은,
    각각의 동적공격명에 일대일 대응되는 적어도 하나 이상의 임계값을 저장하고,
    소정 시간동안 상기 네트워크 패킷의 동적공격 탐지횟수를 카운트하고 카운트된 탐지횟수가 해당 임계값을 초과하면 이상 패킷으로 판단하는 것을 특징으로 하는 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안장치.
  7. 제 6항에 있어서, 상기 동적공격명은,
    SYN Flood, UDP Flood, DoS Echo (TCP & UDP), Ping Flood, Sun kill, Sol Syslogd, DoS Chargen, Fraggle, Smurf, Land Attack, Winnuke, Syn Fin Attack, TCP No Flag Attack, ARP Attack, ICMP Large Packet Attack, FTP Bounce, IP Scan, Address Sweep Attack, SYN Scan, Non SYN Scan, Xmas Scan, Tiny Scan, UDP Port Scan, FIN Scan 가운데 적어도 하나 이상을 포함하는 것을 특징으로 하는 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안장치.
  8. 네트워크 패킷(packet)의 정적공격에 대한 하드웨어 기반의 필터링을 수행하는 정적공격 필터링단계;
    상기 정적공격에 대한 필터링 수행결과 정상으로 판단된 정상패킷을 프로토콜 별로 분류하여 재조합하고, 상기 프로토콜 별로 동적공격의 유형에 따라 필터링을 수행하는 하드웨어 필터링 수단을 통해 상기 재조합한 네트워크 패킷에 의한 동적공격 수행 여부를 판단하여 하드웨어 기반의 필터링을 수행하는 동적공격 필터링단계; 그리고
    상기 정적 및 동적공격에 대한 필터링 수행결과에 근거한 대응정책을 수행하는 대응단계를 포함하는 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안방법.
  9. 제 8항에 있어서,
    상기 정적 및 동적공격에 대한 필터링 수행결과를 저장하는 저장단계를 더 포함하는 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안방법.
  10. 제 8항 또는 제 9항에 있어서,
    상기 동적공격 필터링단계는, 현장 프로그램 가능 게이트 배열(Field-Programmable Gate Array :FPGA) 기반의 고속 패킷 프로세서에 의해 구현되는 것을 특징으로 하는 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안방법.
  11. 제 8항 또는 제 9항에 있어서, 상기 동적공격 필터링단계는,
    상기 정상패킷을 탐지하고자 하는 동적공격의 유형에 각각 대응되는 해당 하드웨어 필터링 수단에서 분석되는 것을 특징으로 하는 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안방법.
  12. 제 11항에 있어서, 상기 동적공격 유형은,
    DoS, Fragment DoS, IP Scan, Scan 가운데 적어도 하나 이상을 포함하는 것 을 특징으로 하는 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안방법.
  13. 제 8항 또는 제 9항에 있어서, 상기 동적공격 필터링단계는,
    각각의 동적공격명에 일대일 대응되는 적어도 하나 이상의 임계값을 저장하고,
    소정 시간동안 상기 네트워크 패킷의 동적공격 탐지횟수를 카운트하고 카운트된 탐지횟수가 해당 임계값을 초과하면 이상 패킷으로 판단하는 것을 특징으로 하는 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안방법.
  14. 제 13항에 있어서, 상기 동적공격명은,
    SYN Flood, UDP Flood, DoS Echo (TCP & UDP), Ping Flood, Sun kill, Sol Syslogd, DoS Chargen, Fraggle, Smurf, Land Attack, Winnuke, Syn Fin Attack, TCP No Flag Attack, ARP Attack, ICMP Large Packet Attack, FTP Bounce, IP Scan, Address Sweep Attack, SYN Scan, Non SYN Scan, Xmas Scan, Tiny Scan, UDP Port Scan, FIN Scan 가운데 적어도 하나 이상을 포함하는 것을 특징으로 하는 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는 네트워크 보안방법.
KR1020060129587A 2006-12-18 2006-12-18 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는네트워크 보안 장치 및 방법 KR101206542B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020060129587A KR101206542B1 (ko) 2006-12-18 2006-12-18 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는네트워크 보안 장치 및 방법
CN2007101621199A CN101252467B (zh) 2006-12-18 2007-12-18 用于保护网络的装置和方法
US11/959,129 US8122494B2 (en) 2006-12-18 2007-12-18 Apparatus and method of securing network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060129587A KR101206542B1 (ko) 2006-12-18 2006-12-18 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는네트워크 보안 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20080056548A KR20080056548A (ko) 2008-06-23
KR101206542B1 true KR101206542B1 (ko) 2012-11-30

Family

ID=39586012

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060129587A KR101206542B1 (ko) 2006-12-18 2006-12-18 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는네트워크 보안 장치 및 방법

Country Status (3)

Country Link
US (1) US8122494B2 (ko)
KR (1) KR101206542B1 (ko)
CN (1) CN101252467B (ko)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101202756B (zh) * 2007-12-20 2011-02-02 杭州华三通信技术有限公司 一种报文处理方法和设备
US8856926B2 (en) * 2008-06-27 2014-10-07 Juniper Networks, Inc. Dynamic policy provisioning within network security devices
KR101042733B1 (ko) * 2009-04-09 2011-06-20 삼성에스디에스 주식회사 휴대단말기에서의 시스템온칩 기반의 악성코드 검출 장치
KR101058301B1 (ko) * 2009-04-09 2011-08-22 삼성에스디에스 주식회사 휴대단말기에서의 시스템온칩 기반의 악성코드 검출 장치
KR101042729B1 (ko) 2009-04-09 2011-06-20 삼성에스디에스 주식회사 휴대단말기에서의 시스템온칩 및 주문형반도체 기반의 악성코드 검출 장치
KR101042794B1 (ko) * 2009-04-09 2011-06-20 삼성에스디에스 주식회사 휴대단말기에서의 시스템온칩 및 주문형반도체 기반의 악성코드 검출 장치
KR101048510B1 (ko) * 2009-05-06 2011-07-11 부산대학교 산학협력단 지그비 무선 통신 프로토콜상에서의 보안성 강화 방법 및 장치
CN101599963B (zh) * 2009-06-10 2012-07-04 电子科技大学 网络疑似威胁信息筛选器及筛选处理方法
KR101292615B1 (ko) * 2009-12-21 2013-08-02 한국전자통신연구원 고위험 비행자료 패킷 역추적 및 차단 방법 및 이를 위한 장치
KR101083311B1 (ko) * 2010-03-29 2011-11-15 한국전자통신연구원 악성 스크립트 분석 시스템 및 그를 이용한 악성 스크립트 분석 방법
CN102289614B (zh) 2010-06-18 2015-07-29 三星Sds株式会社 反恶意软件系统及其操作方法
KR101279213B1 (ko) 2010-07-21 2013-06-26 삼성에스디에스 주식회사 시스템 온 칩 기반의 안티-멀웨어 서비스를 제공할 수 있는 디바이스 및 그 방법과 인터페이스 방법
EP2500838A1 (en) 2011-03-16 2012-09-19 Samsung SDS Co. Ltd. SOC-based device for packet filtering and packet filtering method thereof
US20150358350A1 (en) * 2011-12-26 2015-12-10 Laiseca Technologies S.L. Protection method and device
US9152825B2 (en) * 2012-02-29 2015-10-06 Apple Inc. Using storage controller bus interfaces to secure data transfer between storage devices and hosts
US9628507B2 (en) * 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US9900342B2 (en) * 2014-07-23 2018-02-20 Cisco Technology, Inc. Behavioral white labeling
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
CN104506559B (zh) * 2015-01-09 2018-01-23 重庆蓝岸通讯技术有限公司 一种基于Android系统的DDoS防御系统和方法
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
CN106842915B (zh) * 2016-12-22 2020-02-18 首都师范大学 一种用于机器人分布式控制系统的形式建模方法及装置
DE102017214624A1 (de) * 2017-08-22 2019-02-28 Audi Ag Verfahren zum Filtern von über eine Kommunikationsverbindung eingehenden Kommunikationsdaten in einer Datenverarbeitungseinrichtung, Datenverarbeitungseinrichtung und Kraftfahrzeug
KR102348630B1 (ko) * 2020-04-03 2022-01-07 (주)쏠그리드 망 분리 udp 서비스 연동장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050182950A1 (en) * 2004-02-13 2005-08-18 Lg N-Sys Inc. Network security system and method

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1160899C (zh) * 2002-06-11 2004-08-04 华中科技大学 分布式网络动态安全保护系统
US7769873B1 (en) * 2002-10-25 2010-08-03 Juniper Networks, Inc. Dynamically inserting filters into forwarding paths of a network device
CN1578227A (zh) * 2003-07-29 2005-02-09 上海聚友宽频网络投资有限公司 一种动态ip数据包过滤方法
KR100558658B1 (ko) * 2003-10-02 2006-03-14 한국전자통신연구원 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050182950A1 (en) * 2004-02-13 2005-08-18 Lg N-Sys Inc. Network security system and method

Also Published As

Publication number Publication date
CN101252467A (zh) 2008-08-27
CN101252467B (zh) 2013-03-13
US20080163356A1 (en) 2008-07-03
KR20080056548A (ko) 2008-06-23
US8122494B2 (en) 2012-02-21

Similar Documents

Publication Publication Date Title
KR101206542B1 (ko) 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는네트워크 보안 장치 및 방법
US7624447B1 (en) Using threshold lists for worm detection
US10097578B2 (en) Anti-cyber hacking defense system
Deshmukh et al. Understanding DDoS attack & its effect in cloud environment
US10110627B2 (en) Adaptive self-optimzing DDoS mitigation
US7797749B2 (en) Defending against worm or virus attacks on networks
US7832009B2 (en) Techniques for preventing attacks on computer systems and networks
JP2006352669A (ja) 攻撃検知・防御システム
US9032524B2 (en) Line-rate packet filtering technique for general purpose operating systems
US11888878B2 (en) Network security
Acharya et al. Survey of DDoS attacks based on TCP/IP protocol vulnerabilities
US9455953B2 (en) Router chip and method of selectively blocking network traffic in a router chip
KR20180085157A (ko) 네트워크 공격 탐지 장치, 네트워크 공격 탐지 방법 및 네트워크 공격 탐지 시스템
JP3652661B2 (ja) サービス不能攻撃の防御方法および装置ならびにそのコンピュータプログラム
US8510833B2 (en) Connection-rate filtering using ARP requests
Liljenstam et al. Comparing passive and active worm defenses
US20180191744A1 (en) System and method to implement cloud-based threat mitigation for identified targets
US20050147037A1 (en) Scan detection
Kassing et al. Order P4-66: Characterizing and mitigating surreptitious programmable network device exploitation
Shetty Detection of DDoS attack in SDN network using Entropy in Pox controller
Xi Research and application of ARP protocol vulnerability attack and defense technology based on trusted network
Kuldeep et al. Enhancing Network Security by implementing preventive mechanism using GNS3
Nakashima et al. Performance estimation of TCP under SYN flood attacks
Glăvan et al. Detecting the DDoS attack for SDN Controller
Anand et al. A scalable network port scan detection system on FPGA

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150911

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160928

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20171011

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20181008

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20191007

Year of fee payment: 8