KR20060103600A - 유해 트래픽 발생 호스트 격리 방법 및 시스템 - Google Patents

유해 트래픽 발생 호스트 격리 방법 및 시스템 Download PDF

Info

Publication number
KR20060103600A
KR20060103600A KR1020050025365A KR20050025365A KR20060103600A KR 20060103600 A KR20060103600 A KR 20060103600A KR 1020050025365 A KR1020050025365 A KR 1020050025365A KR 20050025365 A KR20050025365 A KR 20050025365A KR 20060103600 A KR20060103600 A KR 20060103600A
Authority
KR
South Korea
Prior art keywords
traffic
host
network
quarantine
harmful
Prior art date
Application number
KR1020050025365A
Other languages
English (en)
Other versions
KR101074198B1 (ko
Inventor
유연식
손소라
이상우
표승종
Original Assignee
엘지엔시스(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지엔시스(주) filed Critical 엘지엔시스(주)
Priority to KR1020050025365A priority Critical patent/KR101074198B1/ko
Publication of KR20060103600A publication Critical patent/KR20060103600A/ko
Application granted granted Critical
Publication of KR101074198B1 publication Critical patent/KR101074198B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

내부망에서 외부망으로 또는 내부망에서 내부망으로의 유해 트래픽이 발생하고 이를 보안 에이전트가 탐지한 경우 또는 이를 탐지하지 못한 경우에 있어서, 네트워크 보안장치와 보안 에이전트를 연동하여 해당 유해 트래픽을 차단함과 동시에 해당 유해 트래픽 발생 호스트를 네트워크로부터 격리하기 위한 방법 및 시스템이 제공된다. 이를 위해 보안 에이전트는 호스트 시스템 내의 유해 트래픽을 모니터링하는 탐지모듈과 탐지된 유해 트래픽의 관련정보를 네트워크 보안장치로 전송하는 통신모듈 및 네트워크 보안장치로부터의 격리지시명령에 따라 해당 호스트를 격리시키는 격리수행모듈을 특히 구비하며, 네트워크 보안장치는 상기 트래픽 관련정보에 따라 소정의 격리지시명령을 해당 호스트로 송신하는 격리지시모듈을 특히 구비하며, 선택적으로 상기 트래픽 관련정보를 분석하여 위험도를 산출하여 등급에 따라 차별화된 격리지시명령을 하달하는 위험도 판단모듈을 구비할 수 있다.
내부망, 유해 트래픽, 네트워크 보안장치, 호스트, 에이전트, 격리

Description

유해 트래픽 발생 호스트 격리 방법 및 시스템 {Method and system for isolating the harmful traffic generating host from the network}
도 1은 외부로부터의 유해 트래픽을 차단하기 위한 종래의 보안 시스템의 네트워크 구성도.
도 2는 본 발명에 따른 유해 트래픽 차단 및 유해 트래픽 발생 호스트 격리 시스템의 네트워크 구성도
도 3은 본 발명의 일 실시예에 따른 유해 트래픽 차단 시스템의 주요 구성별 내부 블럭도.
도 4는 본 발명의 일 실시예에 따라 유해 트래픽 발생 호스트를 격리하는 과정을 순차적으로 도시하는 순서도.
도 5는 본 발명의 다른 일 실시예에 따른 유해 트래픽 차단 시스템의 주요 구성별 내부 블럭도.
도 6은 본 발명의 다른 일 실시예에 따라 유해 트래픽 발생 호스트를 격리하는 과정을 순차적으로 도시하는 순서도.
본 발명은 내부망에서 외부망으로 또는 내부망에서 내부망으로의 유해 트래픽이 발생하고 이를 보안 에이전트가 탐지한 경우 또는 이를 탐지하지 못한 경우에 있어서, 네트워크 보안장치와 보안 에이전트를 연동하여 해당 유해 트래픽을 차단함과 동시에 해당 유해 트래픽 발생 호스트를 네트워크로부터 격리하기 위한 방법 및 시스템에 관한 것이다.
종래의 네트워크 보안은 주로 허가된 사용자 외의 접근을 차단하는 방화벽을 라우터나 응용 게이트웨이 등에 설치하여 외부망으로부터의 공격성 유해 트래픽을 차단함으로써 조직 내부의 전용통신망에 외부의 불법 사용자들이 접근하여 내부망의 호스트 또는 컴퓨터 자원을 임의로 사용 또는 교란하거나 중요한 정보들을 불법으로 외부에 유출하는 행위를 방지하는 데에 주안점을 두고 있었다.
도 1은 이와 같이 외부로부터의 유해 트래픽을 차단하기 위한 종래의 보안 시스템에 관한 네트워크 구성을 도시하고 있다.
라우터(110)는 NAT(Network Address Translation) 등의 주소변환 메카니즘을 이용하여 내부망의 사설 주소(Private Address)와 외부망의 공용 주소(Public Address) 간에 상호 변환이 이루어지도록 하고, 내부망으로부터의 패킷을 가장 적절한 경로로 전송되도록 한다. 여기서의 외부망은 본 실시예에 있어서 인터넷 망(100)에 해당하며, 스위치(130)는 동일 네트워크 상에 물려있는 노드들 간에 데이터를 주고 받을 수 있도록 한다.
네트워크 보안장치(120)는 라우터(110) 내에 함께 구현될 수도 있고 IPS(Intrusion Prevention System)이나 VPN(Virtual Private Network)과 같은 별도의 장치로 구현될 수도 있는 바, 이미 알려져 있는 각종 유해 트래픽의 리스트를 구비하고 있으면서 인터넷 망(100)으로부터 유입되는 트래픽의 특징 내지 패턴을 모니터링하고 있다가 상기 유해 트래픽 리스트의 특정 트래픽과 일치하는 트래픽이 탐지되면 이를 즉시 차단하는 역할을 담당한다.
호스트(140, 150, 160)에는 경매 서버, 쇼핑 서버, 채팅 서버, 게시판 서버, 결재 서버 등의 특정 서비스를 제공하는 프로그램이 적재되어 있으며, 외부망으로부터의 공격성 유해 트래픽을 탐색 및 차단하기 위한 호스트 보안 모듈(141, 151, 161)이 특히 구비되어 있다. 이러한 호스트 보안 모듈(141, 151, 161)과 네트워크 보안장치(120)를 연동하여 네트워크 보안장치(120)에서 미처 차단하지 못한 미공개된 유해 트래픽을 탐지 및 차단하는 종래의 메카니즘을 설명하면 다음과 같다.
즉, 외부에서 공격을 수행하였으나 네트워크 보안장치의 유해 패킷 리스트에 등록되지 않아 정상 패킷으로 그대로 호스트로 유입된 경우에 있어서,
1) 호스트의 보안 모듈은 당해 호스트 시스템의 각 프로세스를 모니터링하고 있다가 공격성이 있는 것으로 판단되는 유해 트래픽이 탐지되면 해당 트래픽의 관련정보를 네트워크 보안장치로 전송하고,
2) 네트워크 보안장치는 특정 호스트로부터 유해 트래픽 관련정보가 전송되면 해당 트래픽을 유해 트래픽 리스트에 등록하고 그 이후의 외부망으로부터의 동일한 트래픽을 원천 차단한다.
그러나, 위와 같은 종래의 유해 트래픽 차단 시스템에 의하면 외부망에서 유입되는 트래픽에 대해서만 탐지 및 차단이 가능하다는 점에서 내부망에서 발생한 유해 트래픽에 대해서는 속수무책이었으며, 유해 트래픽의 탐지에 있어서 패킷이나 세션을 주로 검사하여 유해성 여부를 판단하였으므로 근자에 자주 발생하는 호스트 상에서의 공격 행위(이를테면 반복되는 로그인 재시도나 웜 Scan 프로그램의 침투)에 대해서는 탐지가 불가능하였다. 이 경우 내부망에서는 과부하가 발생하여 DoS(Denial of Service) 현상이 발생하고, 해당 유해 트래픽 발생 호스트에서 다른 호스트로 다시 유해 트래픽(공격 프로그램)이 감염되더라도 이를 차단할 수 있는 방법이 없어 결국 전체 호스트가 응답 불능이 되는 문제점이 발생하였다.
본 발명은 위와 같은 문제점을 해결하기 위해 제안된 것으로서, 네트워크 보안장치와 호스트의 에이전트와의 상호 연동을 통하여 내부망에서 내부망으로의 이상 트래픽 및 내부망에서 외부망으로의 유해 트래픽을 탐지하여 이를 차단하며, 특히 외부망에서 내부망의 특정 호스트로 공격을 시도하였음에도 네트워크 보안장치에서 탐지하지 못한 공격 트래픽을 차후에 탐지하여 해당 특정 호스트를 네트워크로부터 격리시킴으로써 네트워크의 안정을 도모하는 데에 그 목적이 있다.
본 발명의 다른 목적은 탐지된 유해 트래픽을 분석하여 이를 네트워크에 미치는 위험도별로 등급화하여 해당 호스트의 격리 방법을 차별화함으로써 효율적인 네트워크 관리가 가능해지도록 하는 데에 있다.
이와 같은 목적을 달성하기 위한 본 발명의 일 실시예에 따른 유해 트래픽 발생 호스트 격리 시스템은, 내부망에서 유해 트래픽이 발생하고 이를 보안 에이전트가 탐지한 경우, 네트워크 보안장치와 보안 에이전트를 연동하여 해당 유해 트래픽 발생 호스트를 네트워크로부터 격리하기 위한 시스템에 관한 것으로서, 호스트의 내부 시스템을 모니터링하여 유해 트래픽을 탐지하는 탐지모듈과, 탐지모듈에서 유해 트래픽이 탐지되면 해당 트래픽을 즉시 차단하는 차단모듈과, 해당 트래픽 관련정보를 네트워크 보안장치로 전송하는 통신모듈과, 네트워크 보안장치로부터의 격리지시명령에 따라 소정의 격리 프로세스를 실행하는 격리수행모듈을 포함하는 보안 에이전트가 구비된 하나 이상의 호스트 및 특정 호스트로부터 전송받은 트래픽 관련정보를 참조하여 해당 특정 호스트로 소정의 격리지시명령을 송신하는 격리지시모듈을 포함하는 네트워크 보안장치를 포함하여 이루어진다.
여기서, 상기 네트워크 보안장치는, 상기 트래픽 관련정보로부터 소정의 기준에 의해 전체 네트워크에 미치는 위험도를 산출하여 이를 등급화하는 위험도 판단모듈을 더 포함할 수 있으며, 이 경우 상기 네트워크 보안장치의 격리지시모듈은, 상기 위험도 판단모듈에서 산정한 등급에 대응하는 특정 격리지시명령을 해당 호스트로 송신하는 것을 특징으로 한다.
이때, 상기 전체 네트워크에 미치는 위험도를 산출하기 위한 소정의 기준은, 유해 트래픽이 해당 호스트에 미치는 보안상의 위험도와 증가된 트래픽으로 인한 네트워크상의 위험도를 포함한다.
또한, 상기 격리 프로세스는, 전체 네트워크에 미치는 위험도에 따라서, 1) 네트워크 전체 차단, 2) 특정 인터넷 서비스 차단 또는 특정 트래픽 차단, 3) 사용자 경고를 포함하여 등급별로 구분될 수 있다.
한편, 위와 같은 목적을 달성하기 위한 본 발명의 다른 일 실시예는, 내부망에서 유해 트래픽이 발생하고 이를 보안 에이전트에서 탐지하지 못한 경우 네트워크 보안장치와 보안 에이전트를 연동하여 해당 트래픽 발생 호스트를 네트워크로부터 격리시키기 위한 시스템에 관한 것으로서, 내부망의 특정 호스트로부터 유입되는 트래픽을 모니터링하여 유해 트래픽을 탐지하는 탐지모듈과, 탐지모듈에서 유해 트래픽이 탐지되면 해당 트래픽을 즉시 차단하는 차단모듈과, 해당 유해 트래픽을 유발한 특정 호스트에 소정의 격리지시명령을 송신하는 격리지시모듈을 포함하는 네트워크 보안장치 및 상기 네트워크 보안장치로부터 소정의 격리지시명령을 수신하는 통신모듈과, 수신된 격리지시명령에 따라 소정의 격리 프로세스를 실행하는 격리수행모듈을 포함하는 보안 에이전트가 구비된 하나 이상의 호스트를 포함하여 이루어진다.
여기서, 상기 네트워크 보안장치는, 상기 탐지된 유해 트래픽을 분석하여 소정의 기준에 의해 전체 네트워크에 미치는 위험도를 산출하고 이를 등급화하는 위험도 판단모듈을 더 포함할 수 있으며, 이 경우 상기 네트워크 보안장치의 격리지시모듈은, 상기 위험도 판단모듈에서 산정한 등급에 대응하는 특정 격리지시명령을 해당 호스트로 송신한다.
이때, 상기 전체 네트워크에 미치는 위험도를 산출하기 위한 소정의 기준은, 유해 트래픽이 해당 호스트에 미치는 보안상의 위험도, 증가된 트래픽으로 인한 네트워크상의 위험도 및 내부망에서 내부망으로의 트래픽인지 여부를 포함하며, 상기 격리 프로세스는, 전체 네트워크에 미치는 위험도에 따라서, 1) 네트워크 전체 차단, 2) 특정 인터넷 서비스 차단 또는 특정 트래픽 차단, 3) 사용자 경고 를 포함하여 등급별로 구분될 수 있다.
상기 두 가지 실시예에 있어서 공히 상기 특정 격리지시명령은 격리 방법 및 격리 시간을 특히 지정할 수 있으며, 상기 보안 에이전트는 해당 호스트에서 탐지되거나 발생된 유해 트래픽의 관련 정보를 사용자에게 통지하는 사용자 알람모듈을 더 포함할 수 있고, 상기 네트워크 보안장치는 외부망으로부터 유입되는 트래픽을 분석하여 미리 등록된 유해 트래픽인지 여부를 검사하고, 유해 트래픽으로 판단되면 해당 트래픽을 차단하는 외부 유해트래픽 차단모듈을 더 포함할 수 있다.
이하, 본 발명의 명세서에 첨부된 도면을 참고하여 바람직한 실시예에 대해 상세하게 살펴보기로 한다.
도 2는 본 발명에 따라 내부망에서 유해 트래픽을 발생시킨 호스트를 격리하기 위한 시스템의 네트워크 구성도이다. 여기서 인터넷 망(200), 라우터(210) 및 스위치(230)의 역할은 도 1의 인터넷 망(100), 라우터(110) 및 스위치(130)와 동일하므로 여기서는 그에 대한 설명은 생략하기로 한다.
내부망의 특정 호스트(240)에서 발생한 유해 트래픽은 스위치(230)를 통해 네트워크 보안장치(220)으로 유입될 수도 있고, 스위치(230)를 통해 내부망의 다른 호스트(250)로 유입될 수도 있다. 이때, 상기 유해 트래픽은 미리 보고된 바 없는 새로운 유형의 트래픽으로서, 해킹 등을 통해 네트워크 보안장치(220)를 무사히 통과한 후 특정 호스트(240)에 잠복하고 있다가 일정 시점이 되어 공격을 개시하는 유형일 수도 있고, 감염된 이동식 저장 매체(플로피 디스크나 CD-ROM, 플래시 메모리 등)를 통해 오프라인으로 호스트에 잠입된 유형일 수도 있다.
이러한 유해 트래픽은 사용자 인증 문제를 일응 해결한 것으로 위장하여 네트워크 보안장치(220)를 통과하였지만, 호스트에서 활동을 개시하면서 호스트 시스템의 정상적인 운영을 방해하여 사용자에 대한 서비스의 제공을 거부하게 만드는 특징이 있으므로 이를 서비스 거부(Denial of service, Dos) 공격이라 부르기도 하며, 트리누(Trinoo) 프로그램이나 웜 스캔(Work Scan) 프로그램을 이용하여 공격하는 사례가 대표적이다.
이제, 이와 같이 내부망에서 발생한 유해 트래픽에 대하여 이를 탐지 및 차단하고 해당 트래픽 발생 호스트를 네트워크에서 격리시키는 메카니즘에 대해 상세하게 살펴보도록 하되, 해당 호스트의 보안 에이전트가 유해 트래픽을 탐지한 경우와 이를 탐지하지 못한 경우를 구분하여 설명하도록 한다.
도 3은 내부망에서 유해 트래픽이 발생하고 이를 호스트의 보안 에이전트가 탐지한 경우에 있어서, 네트워크 보안장치와 보안 에이전트를 연동하여 해당 유해 트래픽 발생 호스트를 네트워크로부터 격리하기 위한 시스템의 주요 구성별 내부 블럭도이며, 도 4는 이러한 시스템에 의한 유해 트래픽 차단 및 해당 호스트 격리 방법을 순차적으로 도해한 순서도이다.
네트워크 보안장치(300)는 격리지시모듈(302)를 특히 구비하고 선택적으로 위험도판단모듈(301)을 더 구비할 수 있다. 각 호스트(350)에는 통신모듈(361), 탐지모듈(362), 차단모듈(363) 및 격리수행모듈(364)를 포함하는 보안 에이전트(360)가 구비되어 있으며, 선택적으로 사용자알람모듈(365)를 더 구비할 수 있다.
호스트(300)의 탐지모듈(361)은 당해 호스트의 내부 시스템을 모니터링하고 있으면서 특정 트래픽이 시스템에 대하여 공격을 시도하는지를 감시한다(S401). 일 예로 웜 스캔(worm scan) 트래픽은 특정 호스트에서 내부망 주소 및 외부망 주소로 순차적 또는 랜덤하게 목적지의 IP 주소를 바꾸어가면서 특정 서비스 포트의 개방(open) 여부를 검사하는데, 이때 과도한 검사 작업으로 인해 해당 호스트에 과부하가 걸리게 되므로 탐지모듈(361)은 이러한 웜 스캔 트래픽이 활동을 개시하는 즉시 이를 탐지해 낸다. 이와 같은 공격을 시도하는 트래픽을 이른바 유해 트래픽으로 분류할 수 있으며 그 공격 유형을 종류별로 분류해보면 다음과 같다.
유해 트래픽의 종류 설명
취약점을 이용한 공격 - 단일 공격으로서 현재의 공격 패킷만을 외부망 또는 내부 망의 다른 호스트로 전송하는 경우 - 복합 공격으로서 현재의 공격 패킷 외에 다른 공격 패킷 들을 외부망 또는 내부망의 다른 호스트로 전송하는 경우 (예 : Port Scan, 취약점 Scan 등)
이상 트래픽의 발생 - 웜(worm)이나 알려지지 않은 공격에 감염되어 다량의 이상 트래픽(다량의 패킷이나 세션 생성)을 발생시키는 경우
차단모듈(363)은 탐지모듈(361)에서 유해 트래픽이 탐지되는 즉시(S403), 해당 트래픽의 외부망으로의 유출을 차단하고(S405), 통신모듈을 통해 해당 트래픽의 관련정보를 네트워크 보안장치로 전송한다(S407). 여기서 해당 트래픽의 관련정보는 트래픽의 소스 IP(Internet Protocol) 주소, 해당 호스트의 MAC(Media Access Control) 주소, 인터넷 서비스 종류(서비스 포트 번호), 사용된 프로토콜 종류 등의 정보를 포함할 수 있다.
네트워크 보안장치(300)의 격리지시모듈(302)은 특정 호스트(350)로부터 유해 트래픽 관련정보를 수신한 경우, 그 수신된 트래픽 관련정보로부터 유해 트래픽을 발생시킨 호스트를 알아낸 후 해당 호스트로 소정의 격리지시명령을 송신한다(S409).
상기 S409 단계는, 네트워크 보안장치(300)가 위험도 판단모듈(301)을 통해 상기 호스트로부터 전송받은 트래픽 관련정보로부터 소정의 정보를 추출하여 이를 소정의 기준에 대입함으로써 전체 네트워크에 미치는 위험도를 산출하고 또한 이를 등급화하는 과정으로 구체화될 수 있으며, 여기서 상기 전체 네트워크에 미치는 위험도를 산출하기 위한 소정의 기준은 다음과 같다.
전체 네트워크에 미치는 위험도 = 유해 트래픽이 해당 호스트에 미치는 보안상의 위험도 + 증가된 트래픽으로 인한 네트워크상의 위험도
한편, 유해 트래픽이 해당 호스트에 미치는 보안상의 위험도를 수준별로 등급화한 사례를 살펴보면 다음과 같다.
위험도에 따른 등급 유해 트래픽의 동작 설명 유해 트래픽의 예
공격에 의해 해당 호스트 시스템의 가동이 중단되는 경우 DoS(Denial of Service), Buffer Overflow
공격에 의해 호스트 시스템 내부의 정보가 유출되는 경우 Port Scan, 취약점 Scan
공격 초기단계로서 해당 호스트 시스템이 구동중인지를 검사하는 경우 Ping Scan, 시스템의 버전 정보 유출
또한, 증가된 트래픽으로 인한 네트워크상의 위험도를 수준별로 등급화한 사례를 살펴보면 다음과 같다.
위험도에 따른 등급 유해 트래픽의 동작 설명 유해 트래픽의 예
다량의 패킷 또는 세션 발생으로 네트워크의 정상적 소통이 불가능한 경우 웜(worm)에 의한 Scan, P2P프로그램의 실행
평소의 소통량을 일정 수준 초과하는 경우 웜에 의한 감염으로 메신저 프로그램을 통해 다량의 패킷 전송
패킷량 및 세션 발생량이 일정 특정 홈페이지에 접속하여 자료를 업/다운
이제, 네트워크 보안장치(300)로부터 격리지시명령을 전송받은 특정 호스트의 보안 에이전트에 구비된 격리수행모듈(364)은 상기 격리지시명령에 따라 소정의 격리 프로세스를 검색하여(S411), 해당 격리 프로세스를 실행함으로써 당해 호스트(350)를 네트워크로부터 격리시킨다. 여기서, 상기 S411 단계는 위험도 판단모듈(301)에서 산정한 등급에 대응하는 특정 격리지시명령을 해당 호스트(350)로 송신하는 것으로 해석될 수 있으며, 이 경우 특정 격리지시명령을 수신한 호스트의 격리수행모듈(364) 역시 해당 격리지시명령에 대응하는 특정 격리 프로세스(네트워크 전체 차단(S411-1)/특정 인터넷 서비스 또는 트래픽 차단(S411-2)/사용자에게 알람(S411-3) 등)를 실행하게 된다. 이와 같은 등급에 따른 격리지시명령에 대한 일 예를 살펴보면 다음과 같다.
위험도별 등급 격리 방법 격리 시간
네트워크 전체 차단 1시간
특정 인터넷 서비스 또는 특정 트래픽 차단 30분
사용자 경고 없음
마지막으로, 특정 격리 프로세스를 실행한 호스트(350)는 사용자 알람모듈(365)을 통해 당해 호스트에서 탐지되거나 발생된 유해 트래픽에 관련된 각종 정보를 팝업창이나 이메일을 포함하는 다양한 방식을 통해 사용자에게 통지한다(S413). 이러한 S413 단계는 반드시 격리 프로세스를 종료한 후에 수행되어야 하는 것은 아니며 상기 S403 단계에서 유해 트래픽을 탐지한 직후나 상기 S411 단계에서 격리지시명령을 수신한 직후에 수행될 수도 있다.
도 5는 내부망에서 유해 트래픽이 발생하고 이를 보안 에이전트에서 탐지하지 못한 경우에 있어서, 네트워크 보안장치와 보안 에이전트를 연동하여 해당 트래픽 발생 호스트를 네트워크로부터 격리시키기 위한 시스템의 주요 구성별 내부 블럭도이고, 도 6은 이러한 시스템에 의한 유해 트래픽 차단 및 해당 호스트 격리 방법을 순차적으로 도해한 순서도이다.
네트워크 보안장치(500)은 탐지모듈(501), 차단모듈(502), 격리지시모듈(504)을 포함하며 선택적으로 위험도 판단모듈(503)을 더 포함할 수 있고, 호스트(550)는 통신모듈(561), 격리수행모듈(562)을 포함하는 보안 에이전트(560)를 특히 구비하며 이러한 보안 에이전트(560)에는 선택적으로 사용자 알람모듈(563)이 더 포함될 수 있다.
네트워크 보안장치(500)로 내부망의 특정 호스트로부터의 트래픽이 유입되면(S601), 네트워크 보안장치(500)의 탐지모듈(501)은 이를 모니터링하면서 공격적 특징을 가지는 트래픽을 탐지하고(S603), 유해 트래픽이 탐지되는 즉시 차단모듈(502)을 통해 해당 트래픽을 차단한 후(S605), 격리지시모듈(504)을 통하여 해당 유해 트래픽을 유발한 특정 호스트에 소정의 격리지시명령을 송신한다(S607). 여기서, 격리지시모듈(504)은 해당 트래픽에 속한 패킷들의 헤더 정보를 분석하여 소스 주소(해당 호스트의 주소)를 파악함으로써 격리지시명령의 수신 주소를 얻을 수 있다. 한편, 특정 트래픽의 유해성을 판단하기 위한 기준은 상기 표 1과 동일 내지 유사하므로 중복되는 설명을 생략한다.
이때, 상기 S607 단계는 네트워크 보안장치(500)에 구비된 위험도 판단모듈(503)이 호스트(550)로부터 유입된 유해 트래픽을 분석하여 얻은 정보를 소정의 기준에 대입함으로써 전체 네트워크에 미치는 위험도를 산출하고 또한 이를 등급화하는 과정으로 구체화될 수 있다. 여기서, 전체 네트워크에 미치는 위험도를 산출하기 위한 소정의 기준은 다음과 같다.
전체 네트워크에 미치는 위험도 = 유해 트래픽이 해당 호스트에 미치는 보안상의 위험도 + 증가된 트래픽으로 인한 네트워크상의 위험도 + 내부망에서 내부망으로의 트래픽인지 여부
여기서, 내부망에서 내부망으로의 트래픽인지 여부는 외부망으로 유출되는 모든 유해 트래픽을 탐지하여 분석하되 특히 트래픽이 제공하는 인터넷 서비스 종류 등의 특징을 통해 내부망에서 내부망으로의 트래픽임을 간접적으로 파악할 수 있으며, 내부망에서 내부망으로의 트래픽인 경우 소정의 옵셋값을 부여하는 방식으로 상기 조건식에 대입할 수 있다. 그 외, 유해 트래픽이 해당 호스트에 미치는 보안상의 위험도 및 증가된 트래픽으로 인한 네트워크상의 위험도의 산출 방식은 상기 표 2 내지 표 3에서 제시된 예와 동일하다.
이어서, 특정 호스트(550)의 통신모듈(561)을 통해 네트워크 보안장치(500)로부터의 격리지시명령이 수신되면, 격리수행모듈(562)은 그 수신된 격리지시명령에 대응하는 격리 프로세스를 검색하여(S609), 해당 프로세스를 실행한다. 여기서, 상기 S607 단계는 위험도 판단모듈(503)을 통해 산정한 등급에 대응하는 특정 격리지시명령을 해당 호스트(550)로 송신하는 것으로 해석될 수 있으며, 이 경우 특정 격리지시명령을 수신한 호스트의 격리수행모듈(562) 역시 해당 격리지시명령에 대응하는 특정 격리 프로세스(네트워크 전체 차단(S609-1)/특정 인터넷 서비스 또는 트래픽 차단(S609-2)/사용자에게 알람(S609-3) 등)를 실행하게 된다. 이와 같은 등급에 따른 격리지시명령에 대한 일 예는 상기 표 4와 대동소이하므로 중복되는 설명은 생략한다.
마지막으로, 특정 격리 프로세스를 실행한 호스트(550)는 사용자 알람모듈(563)을 통해 당해 호스트에서 발생된 유해 트래픽에 관련된 각종 정보를 팝업창이나 이메일을 포함하는 다양한 방식을 통해 사용자에게 통지한다(S611). 이러한 S611 단계는 반드시 격리 프로세스를 종료한 후에 수행되어야 하는 것은 아니며 상기 S603 단계에서 유해 트래픽을 탐지한 직후나 상기 S609 단계에서 격리지시명령을 수신한 직후에 수행될 수도 있다.
이상 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러가지 변형이 가능함은 물론이다. 일 예로 본 발명에 의한 유해 트래픽 발생 호스트 격리 시스템에 있어서, 내부망의 유해 트래픽을 호스트의 보안 에이전트가 탐지한 경우와 탐지하지 못한 경우에 모두 대처할 수 있도록 해당 시스템이 구성을 서로 결합하는 것도 가능하며, 또한 본 발명에 의한 호스트 격리 시스템에 종래의 유해 트래픽 차단 시스템을 결합할 수도 있다. 후자의 경우 구체적으로는 네트워크 보안장치가 외부망으로부터 유입되는 트래픽을 분석하여 미리 등록된 유해 트래픽인지 여부를 검사하고, 유해 트래픽으로 판단되면 해당 트래픽을 차단하는 외부 유해트래픽 차단모듈을 더 포함 하는 방식이 될 것이다.
그러므로 본 발명의 범위는 설명된 실시예에 국한되지 않으며, 후술되는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 할 것이다.
위와 같은 구성을 구비하는 본 발명에 의하면, 네트워크 보안장치와 호스트의 에이전트와의 상호 연동을 통하여 내부망에서 내부망으로의 이상 트래픽 뿐만 아니라 내부망에서 외부망으로의 유해 트래픽까지도 탐지하여 문제의 호스트를 격리함으로써 네트워크 보안을 강화할 수 있으며, 특히 외부망에서 내부망의 특정 호스트로 공격을 시도하였음에도 네트워크 보안장치에서 탐지하지 못한 공격 트래픽을 차단할 수 있는 효과가 있다.
또한, 탐지된 내부망의 유해 트래픽을 분석하고 이를 네트워크에 미치는 위험도별로 등급화하여 해당 호스트의 격리 방법을 차별화함으로써 상황에 적절하게 네트워크를 관리할 수 있도록 한다.
한편, 종래의 외부망으로부터의 유해 트래픽 탐지 시스템과 본 발명을 결합함으로써 외부망 뿐 아니라 내부망까지의 총체적인 유해 트래픽을 탐지 및 방어할 수 있도록 응용 범위를 넓힐 수 있다.

Claims (24)

  1. 내부망에서 유해 트래픽이 발생하고 이를 호스트의 보안 에이전트가 탐지한 경우, 네트워크 보안장치와 보안 에이전트를 연동하여 해당 유해 트래픽 발생 호스트를 네트워크로부터 격리하기 위한 시스템에 있어서,
    호스트의 내부 시스템을 모니터링하여 유해 트래픽을 탐지하는 탐지모듈과, 탐지모듈에서 유해 트래픽이 탐지되면 해당 트래픽을 즉시 차단하는 차단모듈과, 해당 트래픽 관련정보를 네트워크 보안장치로 전송하는 통신모듈과, 네트워크 보안장치로부터의 격리지시명령에 따라 소정의 격리 프로세스를 실행하는 격리수행모듈을 포함하는 보안 에이전트가 구비된 하나 이상의 호스트; 및
    특정 호스트로부터 전송받은 트래픽 관련정보를 참조하여 해당 특정 호스트로 소정의 격리지시명령을 송신하는 격리지시모듈을 포함하는 네트워크 보안장치;
    를 포함하여 이루어지는 유해 트래픽 발생 호스트 격리 시스템.
  2. 제 1 항에 있어서,
    상기 네트워크 보안장치는, 상기 트래픽 관련정보로부터 소정의 기준에 의해 전체 네트워크에 미치는 위험도를 산출하여 이를 등급화하는 위험도 판단모듈을 더 포함하며,
    상기 네트워크 보안장치의 격리지시모듈은, 상기 위험도 판단모듈에서 산정한 등급에 대응하는 특정 격리지시명령을 해당 호스트로 송신하는 것을 특징으로 하는 유해 트래픽 발생 호스트 격리 시스템.
  3. 제 2 항에 있어서,
    상기 특정 격리지시명령은,
    격리 방법 및 격리 시간을 지정하는 것임을 특징으로 하는 유해 트래픽 발생 호스트 격리 시스템.
  4. 제 2 항에 있어서,
    상기 전체 네트워크에 미치는 위험도를 산출하기 위한 소정의 기준은,
    유해 트래픽이 해당 호스트에 미치는 보안상의 위험도와 증가된 트래픽으로 인한 네트워크상의 위험도를 포함하는 것임을 특징으로 하는 유해 트래픽 발생 호스트 격리 시스템.
  5. 제 2 항 내지 제 4 항 중 어느 일항에 있어서,
    상기 격리 프로세스는,
    전체 네트워크에 미치는 위험도에 따라서, 1) 네트워크 전체 차단, 2) 특정 인터넷 서비스 차단 또는 특정 트래픽 차단, 3) 사용자 경고를 포함하여 등급별로 구분되는 것을 특징으로 하는 유해 트래픽 발생 호스트 격리 시스템.
  6. 내부망에서 유해 트래픽이 발생하고 이를 호스트의 보안 에이전트에서 탐지 하지 못한 경우, 네트워크 보안장치와 보안 에이전트를 연동하여 해당 트래픽 발생 호스트를 네트워크로부터 격리시키기 위한 시스템에 있어서,
    내부망의 특정 호스트로부터 유입되는 트래픽을 모니터링하여 유해 트래픽을 탐지하는 탐지모듈과, 탐지모듈에서 유해 트래픽이 탐지되면 해당 트래픽을 즉시 차단하는 차단모듈과, 해당 유해 트래픽을 유발한 특정 호스트에 소정의 격리지시명령을 송신하는 격리지시모듈을 포함하는 네트워크 보안장치; 및
    상기 네트워크 보안장치로부터 소정의 격리지시명령을 수신하는 통신모듈과, 수신된 격리지시명령에 따라 소정의 격리 프로세스를 실행하는 격리수행모듈을 포함하는 보안 에이전트가 구비된 하나 이상의 호스트;
    를 포함하여 이루어지는 유해 트래픽 발생 호스트 격리 시스템.
  7. 제 6 항에 있어서,
    상기 네트워크 보안장치는, 상기 탐지된 유해 트래픽을 분석하여 소정의 기준에 의해 전체 네트워크에 미치는 위험도를 산출하고 이를 등급화하는 위험도 판단모듈을 더 포함하며,
    상기 네트워크 보안장치의 격리지시모듈은, 상기 위험도 판단모듈에서 산정한 등급에 대응하는 특정 격리지시명령을 해당 호스트로 송신하는 것을 특징으로 하는 유해 트래픽 발생 호스트 격리 시스템.
  8. 제 7 항에 있어서,
    상기 특정 격리지시명령은,
    격리 방법 및 격리 시간을 지정하는 것임을 특징으로 하는 유해 트래픽 발생 호스트 격리 시스템.
  9. 제 7 항에 있어서,
    상기 전체 네트워크에 미치는 위험도를 산출하기 위한 소정의 기준은,
    유해 트래픽이 해당 호스트에 미치는 보안상의 위험도, 증가된 트래픽으로 인한 네트워크상의 위험도 및 내부망에서 내부망으로의 트래픽인지 여부를 포함하는 것임을 특징으로 하는 유해 트래픽 발생 호스트 격리 시스템.
  10. 제 7 항 내지 제 9 항 중 어느 일항에 있어서,
    상기 격리 프로세스는,
    전체 네트워크에 미치는 위험도에 따라서, 1) 네트워크 전체 차단, 2) 특정 인터넷 서비스 차단 또는 특정 트래픽 차단, 3) 사용자 경고 를 포함하여 등급별로 구분되는 것을 특징으로 하는 유해 트래픽 발생 호스트 격리 시스템.
  11. 제 1 항 또는 제 6 항에 있어서,
    상기 보안 에이전트는,
    해당 호스트에서 탐지되거나 발생된 유해 트래픽의 관련 정보를 사용자에게 통지하는 사용자 알람모듈을 더 포함하는 것을 특징으로 하는 유해 트래픽 발생 호 스트 격리 시스템.
  12. 제 11 항에 있어서,
    상기 네트워크 보안장치는,
    외부망으로부터 유입되는 트래픽을 분석하여 미리 등록된 유해 트래픽인지 여부를 검사하고, 유해 트래픽으로 판단되면 해당 트래픽을 차단하는 외부 유해트래픽 차단모듈을 더 포함하는 것을 특징으로 하는 유해 트래픽 발생 호스트 격리 시스템.
  13. 내부망에서 유해 트래픽이 발생하고 이를 호스트의 보안 에이전트가 탐지한 경우, 네트워크 보안장치와 보안 에이전트를 연동하여 해당 유해 트래픽 발생 호스트를 네트워크로부터 격리하기 위한 방법에 있어서,
    보안 에이전트가 호스트의 내부 시스템을 모니터링하여 유해 트래픽을 탐지하는 탐지단계;
    상기 탐지단계에서 유해 트래픽이 탐지되면 해당 트래픽을 즉시 차단하는 차단단계;
    해당 트래픽 관련정보를 네트워크 보안장치로 전송하는 통신단계;
    특정 호스트로부터 전송받은 트래픽 관련정보를 참조하여 해당 특정 호스트로 소정의 격리지시명령을 송신하는 격리지시단계; 및
    네트워크 보안장치로부터의 격리지시명령에 따라 소정의 격리 프로세스를 실 행하는 격리수행단계;
    를 포함하여 이루어지는 유해 트래픽 발생 호스트 격리 방법.
  14. 제 13 항에 있어서,
    상기 격리지시단계는,
    상기 트래픽 관련정보로부터 소정의 기준에 의해 전체 네트워크에 미치는 위험도를 산출하여 이를 등급화하는 위험도 판단단계; 및
    상기 상기 위험도 판단단계에서 산정한 등급에 대응하는 특정 격리지시명령을 해당 호스트로 송신하는 명령송신단계;
    를 포함하여 이루어지는 것임을 특징으로 하는 유해 트래픽 발생 호스트 격리 방법.
  15. 제 14 항에 있어서,
    상기 특정 격리지시명령은,
    격리 방법 및 격리 시간을 지정하는 것임을 특징으로 하는 유해 트래픽 발생 호스트 격리 방법.
  16. 제 14 항에 있어서,
    상기 전체 네트워크에 미치는 위험도를 산출하기 위한 소정의 기준은,
    유해 트래픽이 해당 호스트에 미치는 보안상의 위험도와 증가된 트래픽으로 인한 네트워크상의 위험도를 포함하는 것임을 특징으로 하는 유해 트래픽 발생 호스트 격리 방법.
  17. 제 14 항 내지 제 16 항 중 어느 일항에 있어서,
    상기 격리 프로세스는,
    전체 네트워크에 미치는 위험도에 따라서, 1) 네트워크 전체 차단, 2) 특정 인터넷 서비스 차단 또는 특정 트래픽 차단, 3) 사용자 경고를 포함하여 등급별로 구분되는 것을 특징으로 하는 유해 트래픽 발생 호스트 격리 방법.
  18. 내부망에서 유해 트래픽이 발생하고 이를 호스트의 보안 에이전트에서 탐지하지 못한 경우, 네트워크 보안장치와 보안 에이전트를 연동하여 해당 트래픽 발생 호스트를 네트워크로부터 격리시키기 위한 방법에 있어서,
    네트워크 보안장치에서 내부망의 특정 호스트로부터 유입되는 트래픽을 모니터링하여 유해 트래픽을 탐지하는 탐지단계;
    상기 탐지단계에서 유해 트래픽이 탐지되면 해당 트래픽을 즉시 차단하는 차단단계;
    해당 유해 트래픽을 유발한 특정 호스트에 소정의 격리지시명령을 송신하는 격리지시단계;
    특정 호스트의 보안 에이전트가 상기 네트워크 보안장치로부터의 격리지시명령을 수신하는 통신단계; 및
    수신된 격리지시명령에 따라 소정의 격리 프로세스를 실행하는 격리수행단계;
    를 포함하여 이루어지는 유해 트래픽 발생 호스트 격리 방법.
  19. 제 18 항에 있어서,
    상기 격리지시단계는,
    상기 탐지된 유해 트래픽을 분석하여 소정의 기준에 의해 전체 네트워크에 미치는 위험도를 산출하고 이를 등급화하는 위험도 판단단계; 및
    상기 위험도 판단단계에서 산정한 등급에 대응하는 특정 격리지시명령을 해당 호스트로 송신하는 명령송신단계를 포함하여 이루어지는 것임을 특징으로 하는 유해 트래픽 발생 호스트 격리 방법.
  20. 제 19 항에 있어서,
    상기 특정 격리지시명령은,
    격리 방법 및 격리 시간을 지정하는 것임을 특징으로 하는 유해 트래픽 발생 호스트 격리 방법.
  21. 제 19 항에 있어서,
    상기 전체 네트워크에 미치는 위험도를 산출하기 위한 소정의 기준은,
    유해 트래픽이 해당 호스트에 미치는 보안상의 위험도, 증가된 트래픽으로 인한 네트워크상의 위험도 및 내부망에서 내부망으로의 트래픽인지 여부를 포함하는 것임을 특징으로 하는 유해 트래픽 발생 호스트 격리 방법.
  22. 제 19 항 내지 제 21 항 중 어느 일항에 있어서,
    상기 격리 프로세스는,
    전체 네트워크에 미치는 위험도에 따라서, 1) 네트워크 전체 차단, 2) 특정 인터넷 서비스 차단 또는 특정 트래픽 차단, 3) 사용자 경고 를 포함하여 등급별로 구분되는 것을 특징으로 하는 유해 트래픽 발생 호스트 격리 방법.
  23. 제 13 항 또는 제 18 항에 있어서,
    보안 에이전트가, 해당 호스트에서 탐지되거나 발생된 유해 트래픽의 관련 정보를 사용자에게 통지하는 사용자 알람단계가 더 포함되는 것을 특징으로 하는 유해 트래픽 발생 호스트 격리 방법.
  24. 제 23 항에 있어서,
    외부망으로부터 유입되는 트래픽을 분석하여 미리 등록된 유해 트래픽인지 여부를 검사하고, 유해 트래픽으로 판단되면 해당 트래픽을 차단하는 외부 유해트래픽 차단단계가 더 포함되는 것을 특징으로 하는 유해 트래픽 발생 호스트 격리 방법.
KR1020050025365A 2005-03-28 2005-03-28 유해 트래픽 발생 호스트 격리 방법 및 시스템 KR101074198B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050025365A KR101074198B1 (ko) 2005-03-28 2005-03-28 유해 트래픽 발생 호스트 격리 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050025365A KR101074198B1 (ko) 2005-03-28 2005-03-28 유해 트래픽 발생 호스트 격리 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20060103600A true KR20060103600A (ko) 2006-10-04
KR101074198B1 KR101074198B1 (ko) 2011-10-17

Family

ID=37623491

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050025365A KR101074198B1 (ko) 2005-03-28 2005-03-28 유해 트래픽 발생 호스트 격리 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR101074198B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008094779A1 (en) * 2007-01-29 2008-08-07 Microsoft Corporation Master-slave security devices
KR101006372B1 (ko) * 2010-02-11 2011-01-05 어울림엘시스 주식회사 유해 트래픽 격리 시스템 및 방법
KR101048000B1 (ko) * 2009-07-14 2011-07-13 플러스기술주식회사 디도스 공격 감지 및 방어방법
WO2012144723A1 (ko) * 2011-04-21 2012-10-26 이순장 웹서버보호장치

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040093514A1 (en) * 2002-11-08 2004-05-13 International Business Machines Corporation Method for automatically isolating worm and hacker attacks within a local area network

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008094779A1 (en) * 2007-01-29 2008-08-07 Microsoft Corporation Master-slave security devices
US8151118B2 (en) 2007-01-29 2012-04-03 Microsoft Corporation Master-slave security devices
KR101048000B1 (ko) * 2009-07-14 2011-07-13 플러스기술주식회사 디도스 공격 감지 및 방어방법
KR101006372B1 (ko) * 2010-02-11 2011-01-05 어울림엘시스 주식회사 유해 트래픽 격리 시스템 및 방법
WO2012144723A1 (ko) * 2011-04-21 2012-10-26 이순장 웹서버보호장치

Also Published As

Publication number Publication date
KR101074198B1 (ko) 2011-10-17

Similar Documents

Publication Publication Date Title
US7757283B2 (en) System and method for detecting abnormal traffic based on early notification
EP3178216B1 (en) Data center architecture that supports attack detection and mitigation
Alsmadi et al. Security of software defined networks: A survey
US10187422B2 (en) Mitigation of computer network attacks
US8230505B1 (en) Method for cooperative intrusion prevention through collaborative inference
US9049172B2 (en) Method and apparatus for providing security in an intranet network
JP4545647B2 (ja) 攻撃検知・防御システム
US11032315B2 (en) Distributed denial-of-service attack mitigation with reduced latency
Gao et al. A dos resilient flow-level intrusion detection approach for high-speed networks
KR101156005B1 (ko) 네트워크 공격 탐지 및 분석 시스템 및 그 방법
CN113228591B (zh) 用于动态补救安全系统实体的方法、系统和计算机可读介质
KR20010095337A (ko) 임베디드 하드웨어와 범용 컴퓨터가 결합된 방화벽 시스템
KR100479202B1 (ko) 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체
KR20110049282A (ko) 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법
US20090016221A1 (en) Methods and apparatus for many-to-one connection-rate monitoring
KR101074198B1 (ko) 유해 트래픽 발생 호스트 격리 방법 및 시스템
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
Nelle et al. Securing IPv6 neighbor discovery and SLAAC in access networks through SDN
Waichal et al. Router attacks-detection and defense mechanisms
Ohri et al. Software-Defined Networking Security Challenges and Solutions: A Comprehensive Survey
Prabhu et al. Network intrusion detection system
US8341748B2 (en) Method and system to detect breaks in a border of a computer network
Gomathi et al. Identification of Network Intrusion in Network Security by Enabling Antidote Selection
Chieffalo et al. The Internet of Things-An Engineering Approach to Combating a Potential Skynet
Cisar et al. Intrusion detection-one of the security methods

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140820

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150911

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160928

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20191007

Year of fee payment: 9