KR100304116B1 - 오용침입탐지시스템에서의오용침입탐지장치및그방법 - Google Patents
오용침입탐지시스템에서의오용침입탐지장치및그방법 Download PDFInfo
- Publication number
- KR100304116B1 KR100304116B1 KR1019980054208A KR19980054208A KR100304116B1 KR 100304116 B1 KR100304116 B1 KR 100304116B1 KR 1019980054208 A KR1019980054208 A KR 1019980054208A KR 19980054208 A KR19980054208 A KR 19980054208A KR 100304116 B1 KR100304116 B1 KR 100304116B1
- Authority
- KR
- South Korea
- Prior art keywords
- pattern
- intrusion
- misuse
- progress
- index value
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
- Storage Device Security (AREA)
Abstract
1. 청구범위에 기재된 발명이 속한 기술분야
본 발명은 오용 침입 탐지 시스템에서의 오용 침입 탐지 장치 및 그 방법에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은, 오용 침입 탐지 시스템에서 현재 처리되는 패턴이 침입 시나리오에 속하는 패턴인 경우 침입 시나리오의 어느 부분인지를 인지하고 추적을 수행하도록 한 오용 침입 탐지 장치 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하고자 함.
3. 본 발명의 해결 방법의 요지
본 발명은, 외부로부터 감사 데이터 또는 패킷을 입력받아 패턴 진행 기록수단에 기록된 패턴 진행 기록 파일을 이용하여 침입 여부를 판정하기 위한 침입 판정수단; 상기 침입 판정수단을 통해 판정된 패턴 진행 기록 파일에 따라, 오용 침입 시나리오의 각 패턴(pattern)을 하나의 레코드로 구성하고, 각 시나리오의 패턴의 순서와 총 개수에 따라 현재 인덱스값(current_index) 및 전체 인덱스값(total_index)을 저장하기 위한 오용 침입 패턴 저장수단; 및 침입 시나리오별로 별도의 패턴 진행 기록 파일을 관리하여 현재의 패턴이 어느 침입 시나리오의 소정 번째 패턴인지를 검사하여 각 패턴의 진행 과정을 기록하기 위한 상기 패턴 진행 기록수단을 포함함.
4. 발명의 중요한 용도
본 발명은 오용 침입 탐지 시스템 등에 이용됨.
Description
본 발명은 오용 침입 탐지 시스템에서의 오용 침입 탐지 장치 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.
종래의 오용 침입 탐지 시스템은 여러 개의 침입 패턴들이 있는 하나의 침입 시나리오를 파일로 표현하거나 여러 개의 필드로 구성된 하나의 레코드로 표현하였다. 침입 시나리오를 파일로 표현하는 경우에는 침입 시나리오의 패턴과 입력되는 패턴들을 비교할 때 침입 시나리오의 수가 증가할수록 성능이 떨어지는 문제점이 있었다.
또한, 종래에는 데이터베이스로 침입 시나리오를 나타내는 경우에도 하나의 침입 시나리오의 여러 패턴들을 하나의 레코드안에 여러개의 필드들로 표현하는 경우 패턴의 수가 고정되어 있지 않기 때문에 많은 기억장소가 낭비되고 매칭되는 패턴을 검색하는데 많은 시간이 소요되는 문제점이 있었다.
본 발명은, 상기한 바와 같은 문제점을 해결하기 위하여 제안된 것으로, 오용 침입 탐지 시스템에서 현재 처리되는 패턴이 침입 시나리오에 속하는 패턴인 경우 침입 시나리오의 어느 부분인지를 인지하고 추적을 수행하도록 한 오용 침입 탐지 장치 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는 데 그 목적이 있다.
도 1 은 본 발명에 따른 오용 침입 탐지 장치의 일실시예 구성도.
도 2 는 본 발명에 이용되는 침입 시나리오에 관한 설명도.
도 3 은 본 발명에 이용되는 오용 침입 패턴 데이터베이스 및 패턴 진행 기록 파일에 관한 설명도.
도 4 는 본 발명에 따른 오용 침입 탐지 방법의 일실시예 흐름도.
* 도면의 주요 부분에 대한 부호의 설명
101 : 감사 데이터 또는 패킷 102 : 침입 판정기
103 : 오용 침입 패턴 데이터베이스 104 : 패턴 진행 기록기
상기 목적을 달성하기 위한 본 발명은, 오용 침입 탐지 시스템에서의 오용 침입 탐지 장치에 있어서, 외부로부터 감사 데이터나 패킷을 입력받아 패턴 진행 기록수단에 기록된 패턴 진행 기록 파일을 이용하여 침입 여부를 판정하기 위한 침입 판정수단; 상기 침입 판정수단을 통해 판정된 패턴 진행 기록 파일에 따라, 오용 침입 시나리오의 각 패턴(pattern)을 하나의 레코드로 구성하고, 각 시나리오의 패턴의 순서와 총 개수에 따라 현재 인덱스값(current_index) 및 전체 인덱스값(total_index)을 저장하기 위한 오용 침입 패턴 저장수단; 및 침입 시나리오별로 별도의 패턴 진행 기록 파일을 관리하여 현재의 패턴이 어느 침입 시나리오의 소정 번째 패턴인지를 검사하여 각 패턴의 진행 과정을 기록하기 위한 상기 패턴 진행 기록수단을 포함하여 이루어진 것을 특징으로 한다.
또한, 본 발명은, 오용 침입 탐지 시스템에 적용되는 오용 침입 탐지 방법에 있어서, 침입 판정기가 외부로부터 감사 데이터나 패킷을 입력받아 오용 침입 패턴 데이터베이스를 바탕으로 입력된 이벤트와 매칭되는 패턴을 탐색하여 매칭되는 패턴의 존재 여부를 확인하는 제 1 단계; 상기 제 1 단계의 확인결과, 매칭되는 패턴의 진행 파일이 존재하지 않으면 패턴의 진행 파일을 생성하는 제 2 단계; 상기 제 1 단계의 확인결과, 매칭되는 패턴의 진행 파일이 존재하면 입력 패턴의 현재 인덱스 및 전체 인덱스에 상기 오용 침입 패턴 데이터베이스의 현재 인덱스값 및 전체 인덱스값을 저장하는 제 3 단계; 및 상기 저장된 현재 인덱스값과 전체 인덱스값이 동일한지를 확인하고, 확인한 결과에 따라 침입 여부를 판정하는 제 4 단계를 포함하여 이루어진 것을 특징으로 한다.
또한, 본 발명은, 프로세서를 구비한 오용 침입 탐지 시스템에, 침입 판정기가 외부로부터 감사 데이터나 패킷을 입력받아 오용 침입 패턴 데이터베이스를 바탕으로 입력된 이벤트와 매칭되는 패턴을 탐색하여 매칭되는 패턴의 존재 여부를 확인하는 제 1 기능; 상기 제 1 기능의 확인결과, 매칭되는 패턴의 진행 파일이 존재하지 않으면 패턴의 진행 파일을 생성하는 제 2 기능; 상기 제 1 기능의 확인결과, 매칭되는 패턴의 진행 파일이 존재하면 입력 패턴의 현재 인덱스 및 전체 인덱스에 상기 오용 침입 패턴 데이터베이스의 현재 인덱스값 및 전체 인덱스값을 저장하는 제 3 기능; 및 상기 저장된 현재 인덱스값과 전체 인덱스값이 동일한지를 확인하고, 확인한 결과에 따라 침입 여부를 판정하는 제 4 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해질 것이다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.
도 1 은 본 발명에 따른 오용 침입 탐지 장치의 일실시예 구성도이다.
도 1에 도시된 바와 같이, 오용 침입 탐지 시스템은, 외부로부터 감사 데이터 또는 패킷을 입력받아 패턴 진행 기록기(104)에 기록된 패턴 진행 기록 파일을 이용하여 침입 여부를 판정하기 위한 침입 판정기(102)와, 침입 판정기(102)를 통해 판정된 패턴 진행 기록 파일에 따라 오용 침입 시나리오의 각 패턴(pattern)을 하나의 레코드로 구성하고, 각 시나리오의 패턴의 순서와 총 개수에 따라 현재 인덱스값(current_index) 및 전체 인덱스값(total_index)을 저장하기 위한 오용 침입 패턴 데이터베이스(103) 및 침입 시나리오별로 별도의 패턴 진행 기록 파일을 관리하여 현재의 패턴이 어느 침입 시나리오의 몇 번째 패턴인지를 검사하여 진행 과정을 기록하기 위한 패턴 진행 기록기(104)를 구비한다.
도 2 는 본 발명에 이용되는 침입 시나리오에 관한 설명도이다.
도 2에 도시된 바와 같이, 오용 침입 시스템은 침입 시나리오가 5개의 패턴으로 이루어진 경우 각 패턴들이 침입 판정기에 입력될 때마다 침입 시나리오의 각 패턴의 순서를 인지하여 전체 패턴의 개수와 현재의 인덱스값을 이용하여 침입 행위의 현재 상황을 파악할 수 있다.
예를 들어, 전술한 바와 같은 침입 시나리오의 5개의 패턴이 순서적으로 write(하드 디스크에 데이터 저장 패턴), chmod(소유자, 그룹 또는 기타 사용자들이 읽거나 쓰고 실행할 수 있는 권한 변경 패턴), stat(파일 상태 패턴), utime(파일 접속 상태 및 수정 시간 설정 패턴) 및 exec(쉘 기반 함수나 명령어 실행 패턴)인 경우, 도 2에서 write 및 chmod 이외에 현재 stat 패턴이 입력되며, 침입 시나리오의 패턴의 전체 인덱스(total_index)는 '5'이고, 현재 인덱스(current_index)값은 '3'이므로 침입 행위가 중반 정도 진행되었음을 알 수 있다.
도 3 은 본 발명에 이용되는 오용 침입 패턴 데이터베이스 및 패턴 진행 기록 파일에 관한 설명도이다.
도 3에 도시된 바와 같이, 오용 침입 패턴 데이터베이스의 필드는 pattern_id, current_index, total_index 및 pattern으로 이루어져 있으며, 여기서, pattern_id는 침입 시나리오의 종류를 나타내고, current_index는 침입 시나리오에서 패턴의 순서를 나타내며, pattern은 실제의 매칭할 패턴을 나타낸다.
예를 들어, write, chmod, stat, utime 및 exec 패턴들은 하나의 침입 시나리오를 구성하는데 순서는 전술한 바와 같은 순서를 갖는다. 이 패턴들은 하나의 침입 시나리오를 구성하기 때문에 동일한 pattern_id를 갖고 순서에 따라 current_index에 일련의 숫자들이 들어가고 전체 패턴의 수와 실제 패턴이 들어간다.
즉, 오용 침입 패턴 'write, chmod, stat, utime 및 exec'의 탐지 예에서 write 패턴이 침입 판정기에 들어오면 패턴 진행 기록기가 침입 패턴 데이터베이스에서 매칭되는 값을 패턴 진행 기록 파일에 저장한다.
이때, 패턴 진행 기록기가 침입 패턴 데이터베이스의 pattern_id에 따라 각각의 패턴 진행 기록 파일을 생성하여 관리하며, 패턴 진행 기록 파일에 현재 패턴이 3번째 stat 패턴까지 진행되었다는 것을 알 수 있다.
도 4 는 본 발명에 따른 오용 침입 탐지 방법의 일실시예 흐름도이다.
도 4에 도시된 바와 같이, 오용 침입 탐지 시스템에서 오용 침입 탐지를 수행하기 위하여, 침입 판정기는 외부로부터 감사 데이터 또는 패킷을 입력받아(401) 오용 침입 패턴 데이터베이스에서 입력된 이벤트와 매칭되는 패턴을 탐색하여(402) 매칭되는 패턴이 존재하는지를 확인한다(403).
확인결과(403), 매칭되는 패턴이 존재하지 않으면 오용 침입 패턴 데이터베이스에서 입력된 이벤트와 매칭되는 패턴을 탐색하는 과정(402)으로 진행하고, 매칭되는 패턴이 존재하면 매칭되는 패턴의 진행 파일이 존재하는지를 확인한다(404).
확인결과(404), 매칭되는 패턴의 진행 파일이 존재하지 않으면 매칭되는 패턴의 진행 파일을 생성한 후(405), 입력 패턴의 현재 인덱스에 오용 침입 패턴 데이터베이스의 현재 인덱스값을 저장하고(406), 매칭되는 패턴의 진행 파일이 존재하면 바로 입력 패턴의 현재 인덱스에 오용 침입 패턴 데이터베이스의 현재 인덱스값을 저장하는 과정(406)을 진행한다.
이후, 입력 패턴의 전체 인덱스에 오용 침입 패턴 데이터베이스의 전체 인덱스값을 저장한다(407).
이어서, 현재 인덱스값과 전체 인덱스값이 동일한지를 확인하여(408) 현재 인덱스값과 전체 인덱스값이 동일하면 침입으로 판정하고(409), 동일하지 않으면 오용 침입 패턴 데이터베이스에서 입력된 이벤트와 매칭되는 패턴을 탐색하는 과정(402)부터 반복 수행한다.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다.
이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백할 것이다.
상기한 바와 같은 본 발명은, 오용 침입 탐지 시스템에서 하나의 침입 시나리오를 하나의 패턴으로 표현하지 않고, 침입 시나리오의 각 패턴들을 하나의 레코드로 표현함으로써 침입 시나리오안의 가변적인 수에 의한 기억장소 공간의 낭비를 해결할 수 있으며, 침입 시나리오의 패턴들의 인덱스값과 전체 인덱스값의 기록을 유지함으로써 효율적인 오용 침입을 탐지할 수 있는 효과가 있다.
Claims (3)
- 오용 침입 탐지 시스템에서의 오용 침입 탐지 장치에 있어서,외부로부터 감사 데이터나 패킷을 입력받아 패턴 진행 기록수단에 기록된 패턴 진행 기록 파일을 이용하여 침입 여부를 판정하기 위한 침입 판정수단;상기 침입 판정수단을 통해 판정된 패턴 진행 기록 파일에 따라, 오용 침입 시나리오의 각 패턴(pattern)을 하나의 레코드로 구성하고, 각 시나리오의 패턴의 순서와 총 개수에 따라 현재 인덱스값(current_index) 및 전체 인덱스값(total_index)을 저장하기 위한 오용 침입 패턴 저장수단; 및침입 시나리오별로 별도의 패턴 진행 기록 파일을 관리하여 현재의 패턴이 어느 침입 시나리오의 소정 번째 패턴인지를 검사하여 각 패턴의 진행 과정을 기록하기 위한 상기 패턴 진행 기록수단을 포함하는 오용 침입 탐지 장치.
- 오용 침입 탐지 시스템에 적용되는 오용 침입 탐지 방법에 있어서,침입 판정기가 외부로부터 감사 데이터나 패킷을 입력받아 오용 침입 패턴 데이터베이스를 바탕으로 입력된 이벤트와 매칭되는 패턴을 탐색하여 매칭되는 패턴의 존재 여부를 확인하는 제 1 단계;상기 제 1 단계의 확인결과, 매칭되는 패턴의 진행 파일이 존재하지 않으면패턴의 진행 파일을 생성하는 제 2 단계;상기 제 1 단계의 확인결과, 매칭되는 패턴의 진행 파일이 존재하면 입력 패턴의 현재 인덱스 및 전체 인덱스에 상기 오용 침입 패턴 데이터베이스의 현재 인덱스값 및 전체 인덱스값을 저장하는 제 3 단계; 및상기 저장된 현재 인덱스값과 전체 인덱스값이 동일한지를 확인하고, 확인한 결과에 따라 침입 여부를 판정하는 제 4 단계를 포함하는 오용 침입 탐지 시스템에서의 오용 침입 탐지 방법.
- 프로세서를 구비한 오용 침입 탐지 시스템에,침입 판정기가 외부로부터 감사 데이터나 패킷을 입력받아 오용 침입 패턴 데이터베이스를 바탕으로 입력된 이벤트와 매칭되는 패턴을 탐색하여 매칭되는 패턴의 존재 여부를 확인하는 제 1 기능;상기 제 1 기능의 확인결과, 매칭되는 패턴의 진행 파일이 존재하지 않으면 패턴의 진행 파일을 생성하는 제 2 기능;상기 제 1 기능의 확인결과, 매칭되는 패턴의 진행 파일이 존재하면 입력 패턴의 현재 인덱스 및 전체 인덱스에 상기 오용 침입 패턴 데이터베이스의 현재 인덱스값 및 전체 인덱스값을 저장하는 제 3 기능; 및상기 저장된 현재 인덱스값과 전체 인덱스값이 동일한지를 확인하고, 확인한 결과에 따라 침입 여부를 판정하는 제 4 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1019980054208A KR100304116B1 (ko) | 1998-12-10 | 1998-12-10 | 오용침입탐지시스템에서의오용침입탐지장치및그방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1019980054208A KR100304116B1 (ko) | 1998-12-10 | 1998-12-10 | 오용침입탐지시스템에서의오용침입탐지장치및그방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20000039014A KR20000039014A (ko) | 2000-07-05 |
KR100304116B1 true KR100304116B1 (ko) | 2001-09-24 |
Family
ID=19562230
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1019980054208A KR100304116B1 (ko) | 1998-12-10 | 1998-12-10 | 오용침입탐지시스템에서의오용침입탐지장치및그방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100304116B1 (ko) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100829258B1 (ko) * | 2001-11-03 | 2008-05-14 | 주식회사 비즈모델라인 | 웜 바이러스의 전파 경로 추출 방법 |
KR101194746B1 (ko) | 2005-12-30 | 2012-10-25 | 삼성전자주식회사 | 침입코드 인식을 위한 코드 모니터링 방법 및 장치 |
KR100930907B1 (ko) * | 2007-10-25 | 2009-12-10 | 국방과학연구소 | 무선통신소 인식 장치 및 방법 |
-
1998
- 1998-12-10 KR KR1019980054208A patent/KR100304116B1/ko not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
KR20000039014A (ko) | 2000-07-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US5278901A (en) | Pattern-oriented intrusion-detection system and method | |
JP4828199B2 (ja) | アンチウィルスソフトウェアアプリケーションの知識基盤を統合するシステムおよび方法 | |
US5822517A (en) | Method for detecting infection of software programs by memory resident software viruses | |
US5572590A (en) | Discrimination of malicious changes to digital information using multiple signatures | |
US8107627B2 (en) | Temporal proximity to verify physical proximity | |
KR960011884A (ko) | 광 디스크와 정보 관리 시스템에 대한 방법 및 장치 | |
CN101751452B (zh) | 信息处理装置和信息处理方法 | |
CN101313310A (zh) | 监视和控制计算机可读介质上的数据的访问的装置和方法 | |
Liu et al. | Intrusion confinement by isolation in information systems | |
US20120159628A1 (en) | Malware detection apparatus, malware detection method and computer program product thereof | |
EP1582964A1 (en) | Detection and identification methods for software | |
KR101937325B1 (ko) | 악성코드 감지 및 차단방법 및 그 장치 | |
JP2010182019A (ja) | 異常検知装置およびプログラム | |
CN113890762B (zh) | 一种基于流量数据的网络爬虫行为检测方法及系统 | |
KR100304116B1 (ko) | 오용침입탐지시스템에서의오용침입탐지장치및그방법 | |
CN112351002B (zh) | 一种报文检测方法、装置及设备 | |
KR100310860B1 (ko) | 실시간침입탐지시스템에서의에이전트구조를이용한실시간침입탐지방법 | |
KR102607875B1 (ko) | 액세스 제어를 위한 블록체인 네트워크의 노드 장치 및 이의 동작방법 | |
CN115174185B (zh) | 一种访问控制方法及装置 | |
KR20030081175A (ko) | 원본 데이터의 무허가 판독/실행을 방지하기 위해 변형데이터를 마련하기 위한 장치 및 방법 | |
JP2010506275A (ja) | 仮想ストレージボリューム及びデータキャリアを検出する方法、制御ロジック及びシステム | |
JP2005099982A (ja) | ファイル監視装置 | |
CN117473501A (zh) | 基于eBPF的隐藏进程检测方法、装置、设备及介质 | |
CN115587360A (zh) | 一种勒索病毒识别方法、装置、电子设备及存储介质 | |
JP2747009B2 (ja) | 索引順編成ファイルのレコード追加方式 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20120706 Year of fee payment: 12 |
|
FPAY | Annual fee payment |
Payment date: 20130705 Year of fee payment: 13 |
|
LAPS | Lapse due to unpaid annual fee |