KR101236129B1 - 비정상 트래픽 제어 장치 및 방법 - Google Patents
비정상 트래픽 제어 장치 및 방법 Download PDFInfo
- Publication number
- KR101236129B1 KR101236129B1 KR1020110106468A KR20110106468A KR101236129B1 KR 101236129 B1 KR101236129 B1 KR 101236129B1 KR 1020110106468 A KR1020110106468 A KR 1020110106468A KR 20110106468 A KR20110106468 A KR 20110106468A KR 101236129 B1 KR101236129 B1 KR 101236129B1
- Authority
- KR
- South Korea
- Prior art keywords
- traffic
- blocking
- abnormal
- list
- port
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Abstract
본 발명에 따른 비정상 트래픽 차단장치 및 차단방법이 개시된다. 본 발명에 따른 비정상 트래픽 차단장치는 호스트 컴퓨터에서 수행되는 비정상 트래픽 차단장치로, 차단대상 IP 주소 목록과 차단대상 IP 주소에 대한 차단제외 포트 목록이 저장되는 트래픽 차단 정책 저장부, 미리 정의된 기준치를 초과하는 비정상 트래픽을 탐지하는 비정상 트래픽 탐지부 및 차단대상 IP 주소 목록에 포함된 IP 주소를 목적지로 하는 트래픽 중 정상 트래픽이 존재하는 경우, 정상 트래픽이 이용하는 포트를 판별하여, 포트를 차단대상 IP 주소에 대한 차단제외 포트 목록에 추가하는 차단 예외 정책 설정부를 포함하여 구성될 수 있다. 본 발명을 이용하면 호스트 컴퓨터에서 발생하는 비정상 트래픽을 탐지하여, 해당 IP주소를 목적지로 하는 트래픽을 차단하되, 정상 트래픽이 탐지되는 경우, 정상 트래픽이 이용하는 포트를 판별하여 차단제외 포트로 설정함으로써, 해당 포트를 이용하는 트래픽은 차단하지 않음으로써, 공격에 이용되는 트래픽만을 선별적으로 차단할 수 있다
Description
본 발명은 본 발명은 비정상 트래픽 차단 장치 및 방법에 관한 것으로, 더욱 상세하게는 특정 컴퓨터에서 유출되는 비정상 트래픽을 차단하는 장치 및 방법에 관한 것이다.
악성 소프트웨어인 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 봇넷(Botnet)이라고 한다. 즉, 봇들을 자유자재로 통제하는 권한을 가진 봇 마스터에 의해 원격 조종되며 각종 악성행위를 수행할 수 있는 수천에서 수십만 대의 악성 프로그램 봇에 감염된 컴퓨터들이 네트워크로 연결되어 있는 형태를 봇넷이라고 한다.
봇넷은 1993년에 EggDrop으로 처음 나온 이후로 최근 10년간 Forbot, PBot, Toxt 등으로 진화한 봇이 출현하였으며, 최근에는 매일 같이 많은 변종이 출현하면서 대응을 어렵게 하고 있다. 전 세계적으로 봇 좀비들에게 명령을 내리고 제어하기 위한 C&C(Command & Control) 서버와 악성 봇은 광범위하게 분포하고 있다. 특히 초고속 인터넷이 잘 갖추어진 경우 강력한 DDoS(Distributed Denial Of Service)와 같은 공격이 가능하기 때문에 국내는 봇넷 감염에 취약하다.
최근 들어, 봇넷의 심각성의 부각과 함께 봇넷을 차단하기 위한 연구가 활발해지고 있지만, 주로 IRC 봇넷을 중심으로 진행되어 왔으며, HTTP 및 P2P 봇넷에 대해서는 현황 및 특성 정도만 다루어 왔다. IRC 봇넷에 대한 기존 대부분의 연구들은 채널 암호화, 스텔스 스캐닝, 명령/제어 패턴 변경, DNS 스푸핑 등을 통해 회피가 가능하고 오탐발생의 소지가 있으며, 최근 등장하는 HTTP/P2P 신규 봇넷에 대한 대응이 미흡한 문제가 있다.
또한, 봇넷의 공격이나 DDoS(Distributed Denial Of Service) 공격을 막기 위하여 블랙리스트 방식을 취하기도 하는데, 이러한 방식은 공격을 수행하는 서버의 인터넷 주소를 블랙리스트에 등록하여 해당 인터넷 주소를 갖는 호스트의 접속을 차단하는 방식을 사용한다. 그러나 이러한 방식은 블랙리스트에 포함된 인터넷 주소를 갖는 호스트의 모든 트래픽을 차단함으로써 정상적인 트래픽까지도 차단하는 문제점이 있다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 정상 트래픽은 허용하고 비정상 트래픽만을 차단하는 비정상 트래픽 차단장치를 제공하는 데 있다.
상기와 같은 문제점을 해결하기 위한 본 발명의 다른 목적은, 정상 트래픽은 허용하고 비정상 트래픽만을 차단하는 비정상 트래픽 차단방법을 제공하는 데 있다.
상기의 목적을 달성하기 위한 본 발명은 호스트 컴퓨터에서 수행되는 비정상 트래픽 차단장치로, 차단대상 IP 주소 목록과 상기 차단대상 IP 주소에 대한 차단제외 포트 목록이 저장되는 트래픽 차단 정책 저장부. 상기 컴퓨터에서 발생하는 트래픽을 감시하여 미리 정의된 기준치를 초과하는 비정상 트래픽을 탐지하는 비정상 트래픽 탐지부 및 상기 차단대상 IP 주소 목록에 포함된 IP 주소를 목적지로 하는 트래픽 중 상기 미리 정의된 기준치 범위 내의 정상 트래픽이 존재하는 경우, 상기 정상 트래픽이 이용하는 포트를 판별하여, 상기 포트를 상기 차단대상 IP 주소에 대한 차단제외 포트 목록에 추가하는 차단 예외 정책 설정부를 포함하는 트래픽 차단장치를 제공한다.
상기의 다른 목적을 달성하기 위한 본 발명은 호스트 컴퓨터에서 수행되는 비정상 트래픽 차단 방법으로, 상기 컴퓨터에서 발생하는 트래픽을 감시하여 미리 정의된 기준치를 초과하는 비정상 트래픽을 탐지하는 비정상 트래픽 탐지단계, 상기 탐지된 비정상 트래픽과 관련된 목적지 IP 주소를 판별하여 상기 목적지 IP 주소를 차단대상 IP 주소 목록에 추가하는 트래픽 차단 정책 설정단계 및 상기 차단대상 IP 주소 목록에 포함된 IP 주소를 목적지로 하는 트래픽 중 상기 미리 정의된 기준치 범위 내의 정상 트래픽이 존재하는 경우, 상기 정상 트래픽이 이용하는 포트를 판별하여, 상기 포트를 차단대상 IP 주소에 대한 차단제외 포트 목록에 추가하는 예외 정책 설정단계를 포함하는 트래픽 차단방법을 제공한다.
본 발명에 따른 트래기 차단장치 및 방법을 이용할 경우에는 호스트 컴퓨터에서 발생하는 비정상 트래픽을 탐지하여, 해당 트래픽의 목적지 주소를 차단 대상 IP주소로 설정하고 차단하되, 해당 IP주소를 목적지로 하는 트래픽 중 정상 트래픽이 탐지되는 경우, 정상 트래픽이 이용하는 포트를 판별하여 차단제외 포트로 설정함으로써, 해당 포트를 이용하는 트래픽은 차단하지 않음으로써, 공격에 이용되는 트래픽만을 선별적으로 차단할 수 있다.
또한, 차단제외 포트를 이용하는 트래픽이라도 비정상 프로세스와 연관된 트래픽인 경우에는 해당 트래픽을 차단함으로써 상기의 과정에서 걸러지지 않는 공격 트래픽을 차단하는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 비정상 트래픽 차단장치의 구성 및 구성요소간의 연결관계를 보여주는 블록도이다.
도 2는 본 발명의 일 실시예에 따른 트래픽 차단정책에 대한 스키마를 보여주는 개념도이다.
도 3은 본 발명의 일 실시예에 따른 비정상 트래픽 차단정책을 설정하기 위한 과정을 보여주는 시퀀스 차트이다.
도 4는 본 발명의 일 실시예에 따른 비정상 트래픽을 차단정책에 따라 차단하는 과정을 보여주는 시퀀스 차트이다.
도 5는 본 발명의 일 실시예에 따른 좀비행위 차단장치의 구성 및 구성요소간의 연결을 보여주는 블록도이다.
도 6은 본 발명의 일 실시예에 따른 좀비행위를 차단하기 위한 보안정책의 좀 더 상세한 구성의 예를 보여주는 개념도이다.
도 2는 본 발명의 일 실시예에 따른 트래픽 차단정책에 대한 스키마를 보여주는 개념도이다.
도 3은 본 발명의 일 실시예에 따른 비정상 트래픽 차단정책을 설정하기 위한 과정을 보여주는 시퀀스 차트이다.
도 4는 본 발명의 일 실시예에 따른 비정상 트래픽을 차단정책에 따라 차단하는 과정을 보여주는 시퀀스 차트이다.
도 5는 본 발명의 일 실시예에 따른 좀비행위 차단장치의 구성 및 구성요소간의 연결을 보여주는 블록도이다.
도 6은 본 발명의 일 실시예에 따른 좀비행위를 차단하기 위한 보안정책의 좀 더 상세한 구성의 예를 보여주는 개념도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 이용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 이용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 이용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 이용한 용어는 단지 특정한 실시예를 설명하기 위해 이용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 이용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 이용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 본 발명에 따른 바람직한 실시예를 첨부한 도면들을 참조하여 상세하게 설명한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 이용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
먼저 본 발명의 일 실시예에 따른 비정상 트래픽 차단장치의 구성에 대해서 설명하고, 본 발명에 따른 트래픽 차단장치에서 비정상 트래픽을 차단하기 위한 과정에 대해서 설명하기로 한다.
비정상
트래픽
차단 장치의 구성 및 차단 방법
도 1은 본 발명의 일 실시예에 따른 비정상 트래픽 차단장치의 구성 및 구성요소간의 연결관계를 보여주는 블록도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 비정상 트래픽 차단장치는 는 비정상 트래픽 탐지부(110), 트래픽 차단정책 설정부(120), 차단예외정책 설정부(130), 비정상 트래픽 처리부(140) 및 차단정책 저장부(200)를 포함하여 구성될 수 있다.
도 2는 본 발명의 일 실시예에 따른 트래픽 차단정책에 대한 개념적 스키마를 보여주는 개념도이다.
도 2를 참조하면 본 발명의 일 실시예에 따른 차단정책(200)은 차단대상 IP주소 목록(210), 차단제외 포트목록(220), 비정상 프로세스 목록(230) 및 정상 프로세스 목록(240)에 기초하여 수립될 수 있다.
또한, 도 1과 도 2를 참조하면, 본 발명의 일 실시예에 따른 비정상 트래픽 차단장치의 각 구성요소 및 구성요소간의 연결 관계는 다음과 같이 설명될 수 있다.
비정상 트래픽 탐지부(110)는 컴퓨터에서 발생하는 트래픽을 감시하여 미리 정의된 기준치를 초과하는 비정상 트래픽을 탐지하는 부분이다. 본 발명에 따른 트래픽 차단장치는 네트워크 트래픽을 발생시키는 컴퓨터에서 수행되며, 해당 컴퓨터에서 발생하는 트래픽을 탐지하여 기준치 대비 비정상적으로 과도하게 발생된 트래픽을 탐지할 수 있다.
트래픽 차단정책 설정부(120)는 비정상 트래픽 탐지부(110)에서 탐지한 비정상 트래픽과 관련된 목적지의 IP 주소를 판별하여, 해당 목적지 IP 주소를 차단대상 IP 주소 목록(210)에 추가할 수 있다. 즉 예를 들면, 비정상 트래픽을 탐지하는 경우, 탐지된 비정상 트래픽과 관련된 패킷에 포함된 목적지 IP주소를 추출하여 차단대상 IP 주소 목록(210)에 추가할 수 있다. 이와 같이 차단대상 IP 주소목록(210)에 포함된 목적지 IP주소는, 상기 IP주소를 목적지로 하는 패킷을 송신 시 해당 패킷을 차단할 지 여부를 결정하기 위하여 이용될 수 있다.
차단예외정책 설정부(130)는 차단대상 IP 주소 목록(210)에 포함된 IP 주소를 목적지로 하는 트래픽 중 미리 정의된 기준치에 범위 내의 정상 트래픽이 존재하는 경우, 정상 트래픽이 이용하는 포트를 판별하여 상기 차단대상 IP 주소에 대한 차단제외 포트 목록(220)에 추가하는 부분일 수 있다. 이때, 정상 트래픽이 이용하는 포트는 출발지 포트나 목적지 포트 또는 출발지 포트 및 목적지 포트일 수 있다.
정상 트래픽에 대한 판단은 탐지된 트래픽이 미리 정해진 기준치보다 과도하게 발생하는지 여부를 판단하여 정상여부를 판단할 수 도 있지만, 발생한 트래픽이 허용된 프로세스와 관련되어 있는 경우에 정상 트래픽으로 판단할 수 있다. 예를 들면 특정 IP주소로 향하는 트래픽 중 좀비 행위 프로세스와 관련된 트래픽이 있을 수 있고 정상 프로세스(240)와 관련된 트래픽이 있을 수 있다. 이 경우 정상 프로세스의 트래픽과 관련된 포트를 판별하여 상기 차단대상 IP 주소에 대한 차단제외 포트 목록(220)에 추가할 수도 있다.
즉 예를 들면, 컴퓨터가 바이러스 등에 감염되어 공격행위를 하는 비정상 트래픽을 유발하는 경우, 공격대상이 되는 목적지 컴퓨터의 IP 주소를 차단대상 IP 주소목록(210)에 등록하여 해당 목적지로 가는 모든 트래픽을 차단할 수 도 있지만, 동일한 목적지로 향하는 트래픽이라도, 정상 트래픽이 발생하기도 한다면, 예를 들어, 익스플로어, 게임 등과 같은 정상 프로그램의 사용으로 인한 트래픽은 허용하고 좀비 행위로 인한 트래픽을 막을 수 있다. 이를 위하여, 해당 정상 트래픽이 이용하는 포트를 판별하여 해당 포트를 차단제외 포트목록(220)에 추가함으로써 차단예외 정책으로서 활용할 수 있다.
비정상 트래픽 처리부(140)는 차단대상 IP 주소 목록(210)에 포함된 IP 주소를 목적지로 하는 패킷을 탐지하여, 탐지된 패킷이 차단제외 포트 목록(220)에 포함된 포트를 이용하지 않는 경우 상기 패킷을 차단하는 부분일 수 있다.
한편 탐지된 패킷이 차단제외 포트 목록(220)에 포함된 포트를 이용하는 경우라도 해당 패킷을 차단해야 하는 경우가 있을 수 있다. 예를 들면, 탐지된 패킷과 관련된 프로세스가 좀비 행위나 특정 공격행위를 하는 프로세스로 판별된 비정상 프로세스라면 해당 패킷을 차단하도록 차단정책을 설정할 수 도 있다. 이때 비정상 프로세스를 정의하는 비정상 프로세스 목록(230)이 별도로 정의되어 있을 수 있다.
즉 상술한 바와 같이, 본 발명의 일 실시예에 따른 트래픽 차단장치가 수행되는 컴퓨터에서 송신되는 패킷 중에서 패킷에 포함된 목적지 IP주소가 차단대상 IP주소목록(210)에 포함되어 있는 경우, 해당 패킷을 바로 차단하는 것이 아니라, 해당 IP 주소와 관련하여 차단제외 포트목록(220)에 차단제외 포트가 정의되어 있다면, 해당 포트를 이용하지 않는 패킷 만을 차단할 수도 있다. 이때 차단 제외 포트로서 발신포트(221) 또는 수신포트(222)가 포함되어 있을 수 있다.
또한, 차단제외 포트 목록(220)에 포함되어 있는 포트를 이용하는 패킷이라도 비정상 프로세스 목록(230)에 포함된 프로세스와 관련된 패킷이라면 차단할 수 있다.
차단정책 저장부(200)는 상술한 차단대상 IP 주소 목록(210)과 차단대상 IP 주소에 대한 차단제외 포트 목록(220)을 저장하는 부분일 수 있다. 또한 비정상 프로세스 목록(230) 및 트래픽 허용 프로세스가 정의되는 정상 프로세스 목록(240)도 저장할 수 있다.
트래픽을 허용 프로세스는 사용자가 직접 프로세스 목록에서 선택하게 할 수도 있고, 사용자의 프로그램 사용패턴이나 정상 프로세스 탐지 모듈을 사용하여 선택함으로써 정상 프로세스 목록을 작성할 수도 있다.
다음으로 본 발명에 따른 트래픽 차단장치에서 비정상 트래픽을 차단하기 위한 정책을 수립하는 과정과 수립된 정책에 따라서 비정상 트래픽을 차단하는 과정에 대해서 설명하기로 한다.
도 3은 본 발명의 일 실시예에 따른 비정상 트래픽 차단정책을 설정하는 과정을 보여주는 시퀀스 차트이다.
도 3은 본 발명의 일 실시예에 따른 비정상 트래픽 차단정책을 설정하는 과정은 비정상 트래픽 탐지 단계(S310), 트래픽 차단정책 설정단계(S320), 차단예외 정책 설정단계(S330)을 포함하여 구성된다.
도 3을 참조하면, 본 발명의 일 실시예에 따른 비정상 트래픽 차단정책을 설정하는 과정상의 각 단계는 다음과 같이 설명될 수 있다.
비정상 트래픽 탐지 단계(S310)는 컴퓨터에서 발생하는 트래픽을 감시하여 미리 정의된 기준치를 초과하는 비정상 트래픽을 탐지하는 단계일수 있다. 즉 기준치 대비 비정상적으로 과도하게 발생된 트래픽을 탐지할 수 있다.
트래픽 차단정책 설정단계(S320)는 비정상 트래픽 탐지 단계(S310)에서 탐지한 비정상 트래픽과 관련된 목적지 IP 주소를 판별하여 해당 목적지 IP 주소를 차단대상 IP 주소 목록에 추가하는 단계이다. 상술한 바와 같이, 비정상 트래픽을 탐지하는 경우, 해당 비정상 트래픽과 관련된 패킷에 포함된 목적지 IP주소를 추출하여 차단대상 IP 주소 목록에 추가함으로써, 차단대상 IP 주소목록에 포함된 IP주소를 목적지로 하는 패킷을 송신 시 해당 패킷을 차단할 지 여부를 결정시 이용할 수 있다.
차단예외 정책 설정단계(S330)는 차단대상 IP 주소 목록에 포함된 IP 주소로 전송되는 트래픽 중 미리 정의된 기준치 범위 내의 정상 트래픽이 존재하거나 정상 프로세스 목록에 정의된 정상 프로세스와 관련된 트래픽이 존재하는 경우, 정상 트래픽이 이용하는 포트를 판별하여, 판별한 포트를 차단대상 IP 주소에 대한 차단제외 포트 목록에 추가하는 단계이다.
즉 차단대상 IP 주소목록에 포함된 IP주소를 목적지로 하는 트래픽 중 정상 트래픽이 이용하는 포트를 판별하여 해당 포트를 차단제외 포트목록에 추가함으로써 차단예외 정책으로서 활용할 수 있다.
이하. 상기와 같이 설정된 차단정책을 이용하여 비정상 트래픽을 차단하는 방법에 대하여 설명하기로 한다.
도 4는 본 발명의 일 실시예에 따른 비정상 트래픽을 차단정책에 따라 차단하는 과정을 보여주는 시퀀스 차트이다.
도 4를 참조하면 본 발명의 일 실시예에 따른 비정상 트래픽을 차단정책에 따라 차단하는 과정은 차단대상 IP주소를 목적지로 하는 패킷 탐지 단계(S410), 이용포트 판별단계(S420), 프로세스 판별단계(S430), 패킷 처리단계(S440)를 포함하여 구성될 수 있다.
또한 도 4를 참조하면 본 발명의 일 실시예에 따른 비정상 트래픽을 차단정책에 따라 차단하는 과정의 각 단계는 다음과 같이 설명될 수 있다.
차단대상 IP주소를 목적지로 하는 패킷 탐지 단계(S410)는 차단대상 IP 주소 목록을 참조하여, 해당 목록에 포함된 IP 주소를 목적지로 하는 패킷을 탐지하는 단계이다.
이용포트 판별단계(S420)는 차단대상 IP 주소 목록에 포함된 IP 주소를 목적지로 하는 패킷이 차단제외 포트 목록에 포함된 포트를 이용하는 지 여부를 판별하는 단계이다. 즉 패킷에 포함된 발신지 포트나 목적지 포트, 또는 발신지포트/목적지 포트가 차단제외 포트목록에 포함되어 있는지 여부를 판별 하는 단계이다.
프로세스 판별단계(S430)는 상기 탐지된 패킷이 차단제외 포트 목록에 포함된 포트를 이용하는 패킷으로 판별한 경우, 해당 패킷과 관련된 프로세스를 판별하는 단계이다.
패킷 처리단계(S440)는 탐지된 패킷이 이용포트 판별단계(S420)에서 차단제외 포트 목록에 포함된 포트를 이용하지 않는다고 판단한 경우 해당 패킷을 차단하는 단계일 수 있다. 또한, 탐지된 패킷이 차단제외 포트 목록에 포함된 포트를 이용한다고 판단하였더라도 프로세스 판별단계(S430)에서 비정상 프로세스와 관련이 있다고 판단하였다면 해당 패킷을 차단할 수 있다.
이하 비정상 프로세스를 판별하는 방법에 대한 일 실시예를 설명하기로 한다. 상술한 바와 같이 본 발명에 따른 비정상 트래픽 차단 장치 및 방법은 이미 작성된 비정상 프로세스 목록을 이용한다. 비정상 트래픽을 유발하는 비정상 프로세스를 판별하여 비정상 프로세스 목록을 생성하기 위한 일 실시예로서 좀비행위 차단 장치에 대해서 설명하기로 한다.
좀비 행위 차단장치의 구성 및 보안 정책의 구성
도 5는 본 발명의 일 실시예에 따른 좀비행위 차단장치의 구성 및 구성요소간의 연결을 보여주는 블록도이다.
도 5를 참조하면 본 발명에 따른 좀비행위 차단장치는 트래픽 감시부(510), 프로세스 및 트래픽 분석부(520), 비정상 프로세스 처리부(530), 보안정책 저장부(540), 이벤트 로그 저장부(550), 신규 좀비행위 유형 저장부(560)를 포함하여 구성되는 것을 알 수 있다.
이하, 도 5를 참조하여 본 발명의 일 실시예에 따른 좀비 행위 차단장치의 구성요소와 각 구성요소 간의 연결관계 대하여 좀 더 자세하게 설명하기로 한다.
트래픽 감시부(510)은 컴퓨터상에서 수행되는 트래픽들을 감시하여 미리 정의된 기준치를 벗어나는 트래픽과 관련된 프로세스를 탐지하기 위한 부분이다. 특히 기준치를 초과하는 트래픽이 발생하는 경우 이를 상기 프로세스 및 트래픽 분석부(520)로 전달하게 된다.
프로세스 및 트래픽 분석부(520)는 위 트래픽 감시부(510)에서 전달된 비정상 트래픽을 유발하는 비정상 프로세스를 파악하고 트래픽 특성을 분석하는 부분이다. 상기 비정상 프로세스가 유발하는 트래픽 특성을 분석하여 보안정책 저장부(540)에 저장된 좀비 행위 유형별 트래픽 특성과 비교하여, 비정상 프로세스의 비정상 트래픽 특성과 일치하는 좀비행위 유형을 파악하여 비정상 프로세스 처리부(530)로 전달하게 된다. 또한 비정상 프로세스와 관련되어 발생한 이벤트 로그를 수집하여 이벤트 로그 저장부(550)에 저장한다.
한편 상기 비정상 프로세스의 비정상 트래픽 특성과 일치하는 좀비행위 유형을 보안정책 저장부(540)에서 검색하지 못한 경우에는 해당 프로세스의 트래픽 특성을 신규 좀비행위 유형 저장부(560)에 저장하고, 상기 비정상 프로세스를 비정상 프로세스 처리부(530)로 전달하게 된다.
비정상 프로세스 처리부(530)는 프로세스 및 트래픽 분석부(520)로부터 전달받은 비정상 프로세스를 보안정책 저장부(540)의 좀비행위 유형별 보안정책을 참조하여, 해당 보안정책에 따라서 처리한다. 이때 전달받은 비정상 프로세스가 신규 좀비행위에 해당하는 경우에는 기타유형의 좀비행위에 대한 보안정책을 참조하여 처리하게 된다.
보안정책 저장부(540)는 좀비행위 프로세스와 관련된 보안정책이 저장되는 부분으로 좀비행위 유형을 정의하고, 각 좀비행위 유형별 트래픽 특성과 보안정책이 정의되는 부분이다. 예를 들면 DDoS 공격이라는 좀비행위 유형에 대하여, 해당 좀비행위의 트래픽 특성이 정의되고, 해당 좀비행위가 발견된 프로세스에 대한 차단정책이 정의된다. 또한 보안정책 설정 당시 존재하지 않던 좀비행위 유형이 발생하는 경우에 대비하여 신규의 좀비행위 유형을 갖는 프로세스, 즉 기타유형의 좀비행위에 대한 처리방법이 정의될 수 있다.
보안정책 저장부(540)에 저장되는 보안정책에 대한 좀 더 자세한 내용은 이후에 설명하기로 한다.
이벤트 로그 저장부(550)는 좀비행위 프로세스와 관련된 이벤트 로그가 저장되는 부분으로, 트래픽을 많이 발생시키는 프로세스에 대한 분석을 통한 보고서의 발행 또는 보안정책에의 반영을 목적으로 한다.
신규 좀비행위 유형 저장부(560)는 기준치에서 벗어난 트래픽을 발생시키는 비정상 프로세스가 발생하였으나, 새로운 것이어서 보안정책 저장부에 해당 좀비행위 유형이 정의되어 있지 않은 경우, 추후 보안정책에 반영할 수 있도록 새로운 좀비유형에 대한 트래픽 특성이 정의되는 부분이다.
이하 본 발명의 실시예에 따른 본 발명의 좀비행위 차단장치의 보안정책 저장부(540)에 저장되는 보안정책의 구성에 대하여 좀 더 자세하게 설명하기로 한다.
도 6은 본 발명에 따른 좀비 행위를 차단하기 위한 보안정책의 좀 더 상세한 구성의 예를 보여주는 개념도이다.
도 6을 참조하면 본 발명에 따른 좀비 행위를 차단하기 위한 보안정책에는 좀비행위 유형(541), 좀비행위 유형별 트래픽 임계치(543), 트래픽 임계치 초과 허용시간(545) 및 차단정책(547)을 포함하여 구성된다.
이하, 도 6을 참조하여 본 발명에 따른 좀비행위를 차단하기 위한 보안정책및 좀비행위 유형을 탐지하는 방법에 대해서 좀 더 자세하게 설명하기로 한다.
본 발명에서는 기존의 좀비행위 패턴 분석을 통하여 좀비 프로세스를 탐지하던 방식과 달리 좀비행위 유형(541)을 분류하고 해당 유형에 따른 트래픽을 분석하여 정의한다.
좀비행위 유형(541)으로는 DDoS 공격(601), IP 스캐닝(602), 포트 스캐닝(603) 및 스푸핑 공격(604) 등이 포함되어, 해당 좀비행위 유형이 갖는 트래픽 특성이 정의될 수 있다. 또한 미리 정의되지 않은 유형의 좀비행위가 발생하는 경우에 대비하여 기타유형의 좀비행위를 위한 차단정책이 정의될 수 있다.
한편 좀비행위 유형별 트래픽 특성으로는 트래픽 임계치(543)와 트래픽 임계치를 초과허용 시간(545)이 포함될 수 있다. 즉 어떤 프로세스와 관련된 트래픽이 특정 좀비행위 유형의 트래픽 특성과 일치하고, 해당 트래픽이 임계치 초과 허용시간(543)을 초과하여 지속 되는 경우 해당 프로세스 및 트래픽에 대한 차단정책(547)이 적용되도록 작동할 것이다.
예를 들면, 트래픽 감시부에서 비정상 트래픽을 탐지한 경우, 해당 비정상 트래픽을 유발하는 비정상 프로세스와 관련된 좀비행위 유형을 파악하기 위해서, 상기 보안정책 저장부(540)에 저장된 좀비행위 유형별 임계치를 기초로 상기 비정상 프로세스기 유발하는 트래픽 특성에 대응하는 좀비행위 유형(541)을 검색한다. 또한 상기 비정상 프로세스의 트래픽이 상기 검색된 좀비행위 유형에 해당하는 트래픽 임계치 초과허용시간(545)을 초과하여 지속되는 경우, 상기 비정상 프로세스는 상기 검색된 유형의 좀비행위를 하는 것으로 판단하고 이에 따른 차단정책(547)을 적용할 수 있다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
Claims (13)
- 호스트 컴퓨터에 장착되는 비정상 트래픽 차단장치로,
상기 호스트 컴퓨터에서 발생하는 트래픽을 감시하여 미리 정의된 기준치에서 벗어난 비정상 트래픽을 탐지하는 비정상 트래픽 탐지부;
상기 탐지된 비정상 트래픽의 목적지 IP 주소를 판별하여 상기 목적지 IP 주소를 차단대상 IP 주소 목록에 추가하는 트래픽 차단 정책 설정부;
차단대상 IP 주소가 정의된 상기 차단대상 IP 주소 목록과 상기 차단대상 IP 주소에 대한 차단제외 포트 목록이 저장되는 트래픽 차단 정책 저장부; 및
상기 차단대상 IP 주소 목록에 포함된 IP 주소를 목적지로 하는 트래픽 중 미리 정의된 기준에 따른 정상 트래픽이 존재하는 경우, 상기 정상 트래픽이 이용하는 포트를 판별하여, 상기 포트를 상기 차단대상 IP 주소에 대한 차단제외 포트 목록에 추가하는 차단 예외 정책 설정부를 포함하는 트래픽 차단장치. - 제 1항에 있어서,
상기 트래픽 차단 정책 저장부는 정상 프로세스가 정의된 정상 프로세스 목록을 포함하고,
차단 예외 정책 설정부는 상기 트래픽이 상기 정상 프로세스와 관련된 경우에 정상 트래픽으로 판단하는 것을 특징으로 하는 트래픽 차단장치. - 제 1항에 있어서,
상기 차단대상 IP 주소 목록에 포함된 IP 주소를 목적지로 하는 패킷을 탐지하여, 상기 탐지된 패킷이 상기 차단제외 포트 목록에 포함된 포트를 이용하지 않는 경우 상기 패킷을 차단하는 비정상 트래픽 처리부를 더 포함하는 것을 특징으로 하는 트래픽 차단장치. - 제 3항에 있어서,
상기 비정상 트래픽 처리부는
상기 탐지된 패킷이 상기 차단제외 포트 목록에 포함된 포트를 이용하는 경우, 상기 패킷과 관련된 프로세스를 판별하고,
비정상 프로세스가 정의되어 있는 비정상 프로세스 목록을 참조하여, 상기 판별된 프로세스를 비정상 프로세스로 판단한 경우 상기 탐지된 패킷을 차단하는 것을 특징으로 하는 트래픽 차단장치. - 제 4항에 있어서,
상기 비정상 프로세스는 좀비행위를 하는 프로세스를 포함하는 것을 특징으로 하는 트래픽 차단장치. - 제 1항에 있어서,
상기 차단제외 포트는 상기 정상 트래픽과 관련된 패킷에 포함된 출발지 포트 및 목적지 포트 중 적어도 하나를 포함하는 것을 특징으로 하는 트래픽 차단장치. - 삭제
- 호스트 컴퓨터에 장착되는 트래픽 차단장치에서 수행되는 비정상 트래픽 차단 방법으로,
상기 호스트 컴퓨터에서 발생하는 트래픽을 감시하여 미리 정의된 기준치를 벗어난 비정상 트래픽을 탐지하는 비정상 트래픽 탐지단계;
상기 탐지된 비정상 트래픽의 목적지 IP 주소를 판별하여 상기 목적지 IP 주소를 차단대상 IP 주소 목록에 추가하는 트래픽 차단 정책 설정단계; 및
상기 차단대상 IP 주소 목록에 포함된 IP 주소를 목적지로 하는 트래픽 중 미리 정의된 기준에 따른 정상 트래픽이 존재하는 경우, 상기 정상 트래픽이 이용하는 포트를 판별하여, 상기 포트를 차단대상 IP 주소에 대한 차단제외 포트 목록에 추가하는 예외 정책 설정단계를 포함하는 트래픽 차단방법. - 제 8항에 있어서,
상기 예외 정책 설정단계에서 정상 트래픽을 판단하는 기준은 정상 프로세스가 정의된 정상 프로세스 목록을 참조하여 상기 트래픽이 정상 프로세스와 관련된 경우에 정상 트래픽으로 판단하는 것을 특징으로 하는 트래픽 차단방법. - 제 8항에 있어서,
상기 차단대상 IP 주소 목록에 포함된 IP 주소를 목적지로 하는 패킷을 탐지하여, 상기 탐지된 패킷이 상기 차단제외 포트 목록에 포함된 포트를 이용하지 않는 경우 상기 패킷을 차단하는 단계를 더 포함하는 것을 특징으로 하는 트래픽 차단방법. - 제 8항에 있어서,
상기 탐지된 패킷이 상기 차단제외 포트 목록에 포함된 포트를 이용하는 경우, 상기 패킷과 관련된 프로세스를 판별하는 단계; 및
비정상 프로세스가 정의되어 있는 비정상 프로세스 목록을 참조하여, 상기 판별된 프로세스를 비정상 프로세스로 판단한 경우 상기 탐지된 패킷을 차단하는 단계를 더 포함하는 것을 특징으로 하는 트래픽 차단방법. - 제 8항에 있어서,
상기 비정상 프로세스는 좀비 행위를 하는 프로세스를 포함하는 것을 특징으로 하는 트래픽 차단방법. - 제 8항에 있어서,
상기 차단 제외 포트는 상기 정상 트래픽과 관련된 패킷에 포함된 출발지 포트 및 목적지 포트 중 적어도 하나를 포함하는 것을 특징으로 하는 트래픽 차단방법.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20110071415 | 2011-07-19 | ||
| KR1020110071415 | 2011-07-19 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20130010818A KR20130010818A (ko) | 2013-01-29 |
| KR101236129B1 true KR101236129B1 (ko) | 2013-02-28 |
Family
ID=47839957
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020110106468A KR101236129B1 (ko) | 2011-07-19 | 2011-10-18 | 비정상 트래픽 제어 장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101236129B1 (ko) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102040371B1 (ko) * | 2017-09-06 | 2019-11-05 | 전북대학교산학협력단 | 네트워크 공격 패턴 분석 및 방법 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060005719A (ko) * | 2004-07-14 | 2006-01-18 | 엘지엔시스(주) | 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법 |
| KR20110028106A (ko) * | 2009-09-11 | 2011-03-17 | 한국전자통신연구원 | 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법 |
| KR101036750B1 (ko) | 2011-01-04 | 2011-05-23 | 주식회사 엔피코어 | 좀비행위 차단 시스템 및 방법 |
-
2011
- 2011-10-18 KR KR1020110106468A patent/KR101236129B1/ko active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060005719A (ko) * | 2004-07-14 | 2006-01-18 | 엘지엔시스(주) | 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법 |
| KR20110028106A (ko) * | 2009-09-11 | 2011-03-17 | 한국전자통신연구원 | 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법 |
| KR101036750B1 (ko) | 2011-01-04 | 2011-05-23 | 주식회사 엔피코어 | 좀비행위 차단 시스템 및 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20130010818A (ko) | 2013-01-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11924170B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
| EP1905197B1 (en) | System and method for detecting abnormal traffic based on early notification | |
| US7624447B1 (en) | Using threshold lists for worm detection | |
| US9781157B1 (en) | Mitigating denial of service attacks | |
| US8650287B2 (en) | Local reputation to adjust sensitivity of behavioral detection system | |
| KR101045362B1 (ko) | 능동 네트워크 방어 시스템 및 방법 | |
| US8634717B2 (en) | DDoS attack detection and defense apparatus and method using packet data | |
| KR101231975B1 (ko) | 차단서버를 이용한 스푸핑 공격 방어방법 | |
| KR101036750B1 (ko) | 좀비행위 차단 시스템 및 방법 | |
| US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
| RU2480937C2 (ru) | Система и способ уменьшения ложных срабатываний при определении сетевой атаки | |
| KR20130005301A (ko) | 정보 시스템 기반구조의 보안 정책 조정 방법 | |
| KR20140088340A (ko) | 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법 | |
| WO2004095281A2 (en) | System and method for network quality of service protection on security breach detection | |
| JP2005210601A (ja) | 不正侵入検知装置 | |
| JP4161989B2 (ja) | ネットワーク監視システム | |
| JP5531064B2 (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
| Subbulakshmi et al. | A unified approach for detection and prevention of DDoS attacks using enhanced support vector machines and filtering mechanisms | |
| JP7060800B2 (ja) | 感染拡大攻撃検知システム及び方法、並びに、プログラム | |
| KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
| KR101236129B1 (ko) | 비정상 트래픽 제어 장치 및 방법 | |
| KR20170109949A (ko) | 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치 | |
| KR101230919B1 (ko) | 이상 트래픽 자동 차단 시스템 및 방법 | |
| Mane | Detect and deactivate P2P Zeus bot | |
| Ji et al. | Botnet detection and response architecture for offering secure internet services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20171201 Year of fee payment: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20190211 Year of fee payment: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20200210 Year of fee payment: 8 |