KR100351305B1 - Intrusion detection system to interact with access control and method for intrusion confrontation - Google Patents
Intrusion detection system to interact with access control and method for intrusion confrontation Download PDFInfo
- Publication number
- KR100351305B1 KR100351305B1 KR1020010003296A KR20010003296A KR100351305B1 KR 100351305 B1 KR100351305 B1 KR 100351305B1 KR 1020010003296 A KR1020010003296 A KR 1020010003296A KR 20010003296 A KR20010003296 A KR 20010003296A KR 100351305 B1 KR100351305 B1 KR 100351305B1
- Authority
- KR
- South Korea
- Prior art keywords
- filtering rule
- intrusion
- access control
- unit
- control system
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
본 발명은 혼합된 침입탐지모델을 사용하는 침입탐지시스템에서 침입차단시스템, 필터링 라우터 등 접근통제시스템들과 연동하는 침입탐지시스템 및 침입대응방법에 관한 것으로, 보다 상세하게는 오용탐지부 및 비정상행위탐지부에서 공격 형태에 따라 분류하는 대응방법과는 달리 보안정책위반탐지부, 보안정책위반탐지부와 오용탐지부, 보안정책위반탐지부와 비정상행위탐지부, 보안정책위반탐지부, 오용탐지부, 비정상행위탐지부 및 재분석부 기능이 혼합되어 있을 경우 등 침입탐지모델의 사용형태에 따른 침입탐지시스템 및 침입대응방법에 관한 것이다.The present invention relates to an intrusion detection system and an intrusion response method that interoperate with access control systems such as an intrusion blocking system and a filtering router in an intrusion detection system using a mixed intrusion detection model. More specifically, the misuse detection unit and abnormal behavior Unlike the countermeasures classified by the type of attack by the detection unit, the security policy violation detection unit, security policy violation detection unit and misuse detection unit, security policy violation detection unit and abnormal behavior detection unit, security policy violation detection unit, and misuse detection unit The present invention relates to an intrusion detection system and an intrusion countermeasure method according to the use of an intrusion detection model, such as when an abnormal behavior detection unit and a reanalysis unit are mixed.
Description
본 발명은 혼합된 침입탐지모델을 사용하는 침입탐지시스템에서 침입차단시스템, 필터링 라우터 등 접근통제시스템들과 연동하는 침입탐지시스템 및 침입대응방법에 관한 것으로, 보다 상세하게는 오용탐지부 및 비정상행위탐지부에서 공격 형태에 따라 분류하는 대응방법과는 달리 보안정책위반탐지부, 보안정책위반탐지부와 오용탐지부, 보안정책위반탐지부와 비정상행위탐지부, 보안정책위반탐지부, 오용탐지부, 비정상행위탐지부 및 재분석부 기능이 혼합되어 있을 경우 등 침입탐지모델의 사용형태에 따른 침입탐지시스템 및 침입대응방법에 관한 것이다.The present invention relates to an intrusion detection system and an intrusion response method that interoperate with access control systems such as an intrusion blocking system and a filtering router in an intrusion detection system using a mixed intrusion detection model. More specifically, the misuse detection unit and abnormal behavior Unlike the countermeasures classified by the type of attack by the detection unit, the security policy violation detection unit, security policy violation detection unit and misuse detection unit, security policy violation detection unit and abnormal behavior detection unit, security policy violation detection unit, and misuse detection unit The present invention relates to an intrusion detection system and an intrusion countermeasure method according to the use of an intrusion detection model, such as when an abnormal behavior detection unit and a reanalysis unit are mixed.
종래의 침입탐지시스템과 침입차단시스템(접근통제시스템)과의 연동에서 차단 기능을 공격의 형태에 따라 미리 정의하거나 관리자가 정의하게 한다. 이는 모든 공격 형태의 분석이나 이에 대한 대응 행동의 세밀한 설정이 필요하다.In the linkage between a conventional intrusion detection system and an intrusion blocking system (access control system), the blocking function is defined in advance according to the type of attack or the administrator is defined. This requires a detailed analysis of all attack types or the response behaviors to them.
또한, 위장된 많은 호스트에서 공격하는 다중 공격일 경우, 침입 차단 규칙의 생성이 매우 힘들어 공격에 대응하지 못하고 시스템 또는 네트워크가 마비되는 경우가 발생한다.In addition, in the case of multiple attacks attacked by a large number of disguised hosts, it is very difficult to create an intrusion prevention rule, and thus the system or network may be paralyzed without responding to the attack.
종래의 접근통제시스템과의 연동 기능은 침입차단시스템 또는 필터링 기능을 수행하는 라우터 및 스위치와의 연동에만 초점을 맞추고 있다. 여기서 침입탐지시스템과 연동하는 시스템은 침입차단시스템(Firewall), 라우터(Router) 또는 스위치(Switch)들로 모두 네트워크 레벨 접근통제시스템이다. 이 경우 내부에서 내부로 공격할 경우 접속을 끊는 행위 이외에 대한 대책은 전무한 실정이다.The interworking function with the conventional access control system focuses only on the interworking with routers and switches that perform intrusion blocking systems or filtering functions. The system interworking with the intrusion detection system is a network level access control system as a firewall, a router, or a switch. In this case, there is no countermeasure except for disconnection when attacking from the inside to the inside.
본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서 본 발명의 목적은 침입탐지시스템과 접근통제시스템과의 연동에 있어 공격 형태나 사용자 정의에 따른 침입 차단 기능을 수행하지 않고 침입탐지방법의 사용형태에 따른 차단 기능을 제공함으로써, 침입 대응 기능 설정의 어려움을 해결할 수 있는 침입차단시스템을 제공하는데 있다.SUMMARY OF THE INVENTION The present invention has been made to solve the above problems, and an object of the present invention is to use an intrusion detection method without performing an intrusion blocking function according to an attack type or user definition in interworking with an intrusion detection system and an access control system. By providing a blocking function according to the form, to provide an intrusion blocking system that can solve the difficulty of setting the intrusion response function.
본 발명의 다른 목적은 기존의 침입탐지시스템이 연동하는 침입차단시스템, 필터링 라우터, 필터링 스위치 등 네트워크 레벨의 접근통제시스템 뿐만 아니라 호스트 레벨의 필터링 기능을 갖는 접근통제시스템과의 연동으로 이를 확장할 수 있는 침입대응방법을 제공하는데 있다.Another object of the present invention can be extended by interworking with an access control system having a host-level filtering function as well as an access control system of a network level such as an intrusion blocking system, a filtering router, a filtering switch, and the like that the existing intrusion detection system works with. To provide an intrusion countermeasure.
본 발명은 또 다른 목적은 최소 허용 도메인의 개념을 도입하여 분산 서비스 공격에도 시스템 및 네트워크가 마비되지 않고 서버가 가지는 최소한의 서비스를 유지시켜주는 침입대응방법을 제공하는데 있다.It is still another object of the present invention to provide an intrusion countermeasure that maintains a minimum service of a server without incurring paralysis of a system and a network even by introducing a concept of a minimum allowed domain.
도 1은 본 발명에 따른 접근통제와 연동하는 침입탐지시스템을 설명하기 위한 블록구성도이고,1 is a block diagram illustrating an intrusion detection system interoperating with an access control according to the present invention;
도 2는 본 발명에 따른 접근통제와 연동하는 침입탐지시스템의 상호동작을 설명하기 위한 상호동작도이고,Figure 2 is an interaction diagram for explaining the interaction of the intrusion detection system in conjunction with the access control according to the present invention,
도 3은 본 발명에 따른 보안정책탐지부에서 탐지된 이벤트에 대한 필터링 규칙 생성부를 설명하기 위한 흐름도이고,3 is a flowchart illustrating a filtering rule generator for an event detected by a security policy detector according to the present invention;
도 4는 본 발명에 따른 오용탐지부에서 탐지된 이벤트에 대한 필터링 규칙 생성부를 설명하기 위한 흐름도이고,4 is a flowchart illustrating a filtering rule generator for an event detected by an abuse detector according to the present invention;
도 5는 본 발명에 따른 비정상행위탐지부에서 탐지된 이벤트에 대한 필터링 규칙 생성부를 설명하기 위한 흐름도이고,5 is a flowchart illustrating a filtering rule generator for an event detected by an abnormal behavior detector according to the present invention;
도 6은 본 발명에 따른 재분석부에서 탐지된 이벤트에 대한 필터링 규칙 생성부를 설명하기 위한 흐름도이고,6 is a flowchart illustrating a filtering rule generator for an event detected by a reanalyzer according to the present invention;
도 7은 본 발명의 다른 실시예에 따른 접근통제와 연동하는 침입탐지시스템을 설명하기 위한 블록구성도이다.7 is a block diagram illustrating an intrusion detection system that works with access control according to another embodiment of the present invention.
* 도면의 주요 부분에 대한 부호 설명 *Explanation of symbols on the main parts of the drawings
160 : 침입대응부 161 : 일반침입대응 수행부160: intrusion response unit 161: general intrusion response unit
162 : 접근통제시스템 연동부 163 : 필터링 규칙 생성부162: access control system interworking unit 163: filtering rule generation unit
164 : 포트기반 필터링 규칙 생성부 165 : IP기반 필터링 규칙 생성부164: port-based filtering rule generator 165: IP-based filtering rule generator
166 : 허용도메인 목록기반 필터링 규칙 생성부166: allowed domain list based filtering rule generator
167: 필터링 규칙 생성부167: filtering rule generator
168 : 접근통제시스템 필터링 규칙 전송부168: access control system filtering rule transmission unit
상기와 같은 목적을 달성하기 위하여 본 발명은 침입탐지부에서 침입으로 판단된 사건에 대하여 알람, 로깅, 접속해제 등 일반적인 대응기능을 수행하는 일반침입대응수행부와, 접근통제시스템과 연동하여 침입을 차단하는 접근통제시스템 연동부를 포함하여 구성되는 것을 특징으로 한다.In order to achieve the above object, the present invention provides a general intrusion countermeasure unit that performs general countermeasure functions such as alarming, logging, and disconnection for an event determined to be an intrusion in the intrusion detecting unit, and performs intrusion in conjunction with an access control system. It characterized in that it is configured to include an access control system interlock to block.
상기 접근통제시스템 연동부는 특성에 따라 접근통제 규칙을 생성하는 필터링 규칙 생성부와, 네트워크용 접근통제시스템 또는 호스트용 접근통제시스템으로 필터링 규칙을 전송하는 필터링 규칙 전송부를 포함하여 구성되는 것을 특징으로 한다.The access control system interworking unit may be configured to include a filtering rule generation unit for generating an access control rule according to a characteristic, and a filtering rule transmission unit for transmitting the filtering rule to an access control system for a network or an access control system for a host. .
상기 필터링 규칙 생성부는 침입 포트(Port)를 차단하기 위한 포트 기반 필터링 규칙 생성부와, 침입자의 IP를 차단하기 위한 IP 기반 필터링 규칙 생성부와, 기관의 최소 서비스 유지를 위하여 최소 허용 도메인 이외의 모든 트래픽을 차단하는 허용 도메인 목록 기반 필터링 규칙 생성부와, 이전에 적용한 규칙을 변경하기 위한 필터링 규칙 수정부를 포함하여 구성되는 것을 특징으로 한다.The filtering rule generator includes a port-based filtering rule generator for blocking an intrusion port, an IP-based filtering rule generator for blocking an intruder's IP, and all other than the minimum allowed domain to maintain minimum service of an organization. And a filtering rule generator for blocking a traffic and generating a filtering rule list-based filtering rule for changing a previously applied rule.
이하 본 발명의 바람직한 실시예를 첨부된 도면을 참조하여 상세히 설명한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명에 따른 접근통제와 연동하는 침입탐지시스템을 설명하기 위한 블록구성도이다.1 is a block diagram illustrating an intrusion detection system that works with access control according to the present invention.
여기에 도시된 바와 같이, 외부 또는 내부 네트워크(100)에서 감시대상 서버(110)가 있는 네트워크로 모든 트래픽은 침입탐지시스템의 데이터수집부(120)에서 수집되고, 데이터 필터링 및 축약부(130)에서 필터링한 후 침입탐지부(140)에서 침입으로 분석되면 경고 및 보고부(150)로 보고되고, 침입대응부(160)에서 대응 행위를 수행한다.As shown here, all traffic from the external or internal network 100 to the network where the monitored server 110 is located is collected at the data collection unit 120 of the intrusion detection system, and the data filtering and abbreviation unit 130. After filtering from the intrusion detection unit 140 is analyzed as an intrusion is reported to the warning and reporting unit 150, the intrusion response unit 160 performs a corresponding action.
상기 침입탐지부(140)는 보안정책위반탐지부(141), 오용탐지부(142), 비정상행위탐지부(143), 재분석부(144)로 구성된다. 각각의 침입탐지모델은 탐지모듈이 IP 및 Port에 기반하여 보안정책위반 또는 백도어를 탐지, 알려진 해킹 공격 탐지, 비정상 트래픽 또는 서비스거부공격을 탐지, 침입으로 판정된 이벤트에 대하여 재분석 기능 등을 수행한다.The intrusion detection unit 140 is composed of a security policy violation detection unit 141, misuse detection unit 142, abnormal behavior detection unit 143, re-analysis unit 144. Each intrusion detection model detects security policy violations or backdoors based on IP and port, detects known hacking attacks, detects abnormal traffic or denial of service attacks, and re-analyzes events determined to be intrusions. .
상기 침입탐지부(140)에서 침입으로 판정된 사건에 대하여 침입대응부(160)는 알람, 로깅, 접속 해제 등 일반적인 대응 기능을 수행하는 일반 침입대응 수행부(161)와 접근통제시스템과 연동하여 침입을 차단하는 접근통제시스템 연동부(162)에서 대응 행위를 수행한다.In response to the event determined to be intrusion in the intrusion detection unit 140, the intrusion response unit 160 is interlocked with the general intrusion response execution unit 161 and the access control system to perform a general response function such as alarm, logging, disconnection The access control system interworking unit 162 to block the intrusion performs a corresponding action.
상기 접근통제시스템 연동부(162)는 필터링 규칙 생성부(163)에서 특성에 따라 접근통제 규칙을 생성하고, 접근통제시스템 필터링 규칙 전송부(168)를 통하여네트워크용 접근통제시스템(170) 또는 호스트용 접근통제시스템(180)으로 필터링 규칙을 전송한다.The access control system interworking unit 162 generates an access control rule according to the characteristics of the filtering rule generating unit 163, and access control system 170 or host for the network through the access control system filtering rule transmission unit 168. The filtering rule is transmitted to the access control system 180 for use.
상기 필터링 규칙 생성부(162)는 침입 포트(Port)를 차단하기 위한 Port 기반 필터링 규칙 생성부(164)와, 침입자의 IP를 차단하기 위한 IP 기반 필터링 규칙 생성부(165)와, 기관의 최소 서비스 유지를 위하여 최소 허용 도메인 이외의 모든 트래픽을 차단하는 허용 도메인 목록 기반 필터링 규칙 생성부(616)와, 이전에 적용한 규칙을 변경하기 위한 필터링 규칙 수정부(167)를 포함하여 구성된다.The filtering rule generator 162 includes a port-based filtering rule generator 164 for blocking an intrusion port, an IP-based filtering rule generator 165 for blocking an intruder's IP, and a minimum number of institutions. It includes a permitted domain list-based filtering rule generator 616 for blocking all traffic other than the minimum allowed domain for service maintenance, and a filtering rule correction unit 167 for changing a previously applied rule.
도 2는 본 발명의 침입탐지부(140)의 침입판정 결과에 따른 필터링 규칙 생성부(163)의 Port 기반 필터링 규칙 생성부(164), IP 기반 필터링 규칙 생성부(165), 최소 허용 도메인 목록 기반 필터링 규칙 생성부(166), 필터링 규칙 수정부(167) 등의 상호동작을 설명하기 위한 상호동작도이다.2 is a port-based filtering rule generator 164, an IP-based filtering rule generator 165, and a minimum allowed domain list of the filtering rule generator 163 according to the intrusion determination result of the intrusion detection unit 140 of the present invention. It is an interaction diagram for explaining the interaction of the based filtering rule generation unit 166, filtering rule correction unit 167 and the like.
여기에 도시된 바와 같이, 상기 보안정책위반탐지부(141)에서 IP와 Port에 기반한 접근통제정책 위반 또는 백도어로 탐지된 이벤트는 필터링 규칙 생성부(163)의 Port 기반 필터링 규칙 생성부(164)와 IP 기반 필터링 규칙 생성부(165)에서 처리되며, 상기 오용탐지부(142)에서 알려진 해킹 행위로 탐지된 이벤트는 필터링 규칙 생성부(163)의 IP 기반 필터링 규칙 생성부(165)에서 처리된다.As shown here, the event detected by the access control policy violation or the backdoor based on the IP and the port in the security policy violation detection unit 141 is the port-based filtering rule generator 164 of the filtering rule generator 163. And the IP-based filtering rule generator 165 are processed in the IP-based filtering rule generator 165, the event detected as a hacking behavior known by the misuse detection unit 142 is processed by the IP-based filtering rule generator 165 of the filtering rule generator 163. .
또한, 상기 비정상행위탐지부(143)에서 비정상 트래픽 또는 서비스거부공격으로 탐지된 이벤트는 IP 기반 필터링 규칙 생성부(165)와 최소 허용 도메인 목록 기반 필터링 규칙 생성부(166)에서 처리되고, 상기 재분석부(144)에서 침입으로 판정된 이벤트를 재분석한 결과는 필터링 규칙 생성부(163)의 필터링 규칙 수정부(167)에서 처리된다.In addition, an event detected as abnormal traffic or a denial of service attack by the abnormal behavior detection unit 143 is processed by the IP-based filtering rule generation unit 165 and the minimum allowed domain list based filtering rule generation unit 166, and the re-analysis. The result of re-analyzing the event determined to be intrusion by the unit 144 is processed by the filtering rule correction unit 167 of the filtering rule generator 163.
상기 필터링 규칙 생성부(163)에서 생성된 접근통제시스템의 필터링 규칙은 접근통제시스템 필터링 규칙 전송부(168)에서 네트워크용 접근통제시스템(170)과 호스트용 접근통제시스템(180)으로 전달되어 외부 및 내부 네트워크(100)으로부터 감시대상 서버(110)으로 공격을 차단한다.The filtering rule of the access control system generated by the filtering rule generation unit 163 is transferred from the access control system filtering rule transmission unit 168 to the network access control system 170 and the host access control system 180 to be external. And blocks the attack from the internal network 100 to the monitored server 110.
도 3은 IP와 Port에 기반한 접근통제정책 위반 또는 백도어를 탐지하는 보안정책위반탐지부에서 탐지된 이벤트에 대한 필터링 규칙 생성부를 설명하기 위한 흐름도이다.3 is a flowchart illustrating a filtering rule generator for an event detected by a security policy violation detector that detects an access control policy violation or a backdoor based on an IP and a port.
여기에 도시된 바와 같이, 보안정책위반탐지부(141)에서 IP와 Port에 기반한 접근통제정책 위반 또는 백도어가 탐지되면 침입대응을 위하여 필터링 규칙 생성부(163)로 전달된다. 상기 필터링 규칙 생성부(163)는 먼저, 공격자가 내부인지 외부인지 판단한다(S200). 만약, 외부 공격자일 경우, 트래픽이 인바운드(Inbound) 인지 아웃바운드(Outbound) 인지 판단(S210)하여 트래픽이 인바운드이면, 네트워크 레벨 접근통제시스템과 연동하여 IP를 기반으로 필터링 규칙을 생성(S211)하고, 트래픽이 아웃바운드이면, 네트워크 레벨 접근통제시스템과 연동하여 포트를 기반으로 필터링 규칙을 생성한다(S212).As shown here, if the security policy violation detection unit 141 detects an access control policy violation or a back door based on IP and port, it is transmitted to the filtering rule generator 163 for intrusion response. The filtering rule generator 163 first determines whether an attacker is internal or external (S200). If the external attacker, if the traffic is inbound (Inbound) or outbound (Outbound) is determined (S210), if the traffic is inbound, in conjunction with the network level access control system to generate a filtering rule based on the IP (S211) and If the traffic is outbound, in conjunction with the network level access control system to generate a filtering rule based on the port (S212).
그렇지 않고, 내부 공격자일 경우, 트래픽이 인바운드 인지 아웃바운드 인지 판단(S213)하여 트래픽이 인바운드 이면, 호스트 레벨에서 접근통제시스템과 연동하여 IP를 기반으로 필터링 규칙을 생성(S214)하고, 트래픽이 아웃바운드 이면, 호스트 레벨에서 접근통제시스템과 연동하여 포트를 기반으로 필터링 규칙을 생성한다(S215).Otherwise, if the attacker is an internal attacker, it is determined whether the traffic is inbound or outbound (S213). If the traffic is inbound, the filtering rule is generated based on the IP in association with the access control system at the host level (S214), and the traffic is out. If bound, it creates a filtering rule based on the port in association with the access control system at the host level (S215).
상기 필터링 규칙 생성부(163)에서 생성된 필터링 규칙(S211, S212, S214, S215)들은 접근통제시스템 필터링 규칙 전송부(168)로 전달된다.The filtering rules S211, S212, S214, and S215 generated by the filtering rule generator 163 are transferred to the access control system filtering rule transmitter 168.
도 4는 알려진 해킹을 탐지하는 오용탐지부(142)에서 탐지된 이벤트에 대한 필터링 규칙 생성부(163)를 설명하기 위한 흐름도이다.4 is a flowchart illustrating a filtering rule generator 163 for an event detected by the misuse detection unit 142 for detecting a known hack.
여기에 도시된 바와 같이, 상기 오용탐지부(142)에서 알려진 해킹 공격이 탐지되면 침입대응을 위하여 필터링 규칙 생성부(163)로 전달된다. 상기 필터링 규칙 생성부(163)는 먼저, 공격자가 내부인지 외부인지 판단한다(S300). 만약, 외부 공격자일 경우, 네트워크 레벨 접근통제시스템과 연동하는 IP를 기반으로 필터링 규칙을 생성(S310)하고, 그렇지 않고, 내부 공격자일 경우, 호스트 레벨에서 접근통제시스템과 연동하는 IP를 기반으로 필터링 규칙을 생성한다(S320). 상기 필터링 규칙 생성부(163)에서 생성된 필터링 규칙(S310,S320)들은 접근통제시스템 필터링 규칙 전송부(168)로 전달된다. 상기 오용탐지부(142)는 보안정책위반탐지부(141)에서 허용된 이벤트만을 상기 오용탐지부(142)에서 처리할 경우 가장 효율적이다.As shown here, if a known hacking attack is detected in the misuse detection unit 142, it is delivered to the filtering rule generator 163 for intrusion response. The filtering rule generator 163 first determines whether an attacker is internal or external (S300). If the attacker is an external attacker, the filtering rule is generated based on the IP interworking with the network level access control system (S310). Otherwise, if the attacker is an internal attacker, the filtering is performed based on the IP interworking with the access control system at the host level. Create a rule (S320). The filtering rules S310 and S320 generated by the filtering rule generator 163 are transferred to the access control system filtering rule transmitter 168. The misuse detection unit 142 is most efficient when the misuse detection unit 142 processes only the events allowed by the security policy violation detection unit 141.
도 5는 비정상 트래픽 또는 서비스 거부 공격을 탐지하는 비정상행위탐지부(143)에서 탐지된 이벤트에 대한 필터링 규칙 생성부(163)을 설명하기 위한 흐름도이다.5 is a flowchart illustrating a filtering rule generator 163 for an event detected by an abnormal behavior detection unit 143 for detecting abnormal traffic or a denial of service attack.
여기에 도시된 바와 같이, 상기 비정상행위탐지부(143)에서 비정상 트래픽 또는 서비스 거부 공격이 탐지되면, 침입대응을 위하여 필터링 규칙 생성부(163)로전달된다. 상기 필터링 규칙 생성부(163)는 먼저, 공격이 단일 공격인지 다중 공격인지 판단한다(S400). 만약, 단일 공격일 경우, 공격자가 외부인지 내부인지 판단한다(S410). 외부 공격자이면, 네트워크 레벨 접근통제시스템과 연동하는 IP를 기반으로 필터링 규칙을 생성(S420)하고, 내부 공격자이면, 호스트 레벨에서 접근통제시스템과 연동하는 IP를 기반으로 필터링 규칙을 생성한다(S430).As shown here, if an abnormal traffic or a denial of service attack is detected in the abnormal behavior detection unit 143, it is transmitted to the filtering rule generator 163 for intrusion response. The filtering rule generator 163 first determines whether the attack is a single attack or multiple attacks (S400). If it is a single attack, it is determined whether the attacker is external or internal (S410). If the external attacker, create a filtering rule based on the IP interworking with the network level access control system (S420), and if the internal attacker, create a filtering rule based on the IP interworking with the access control system at the host level (S430). .
그렇지 않고, 분산 서비스 공격과 같은 다중 공격일 경우, 관리자가 미리 설정한 최소 허용 도메인 목록(450)을 참조하여 최소 허용 도메인 목록 기반 필터링 규칙을 생성한다(S440). 여기서, 상기 최소 허용 도메인 목록(450)은 기관내 IP 주소, 국내 IP 주소, 국가별 또는 지역별 IP 주소로 설정되며 관리자는 이를 정의할 수 있다.Otherwise, in the case of multiple attacks such as a distributed service attack, the minimum allowed domain list based filtering rule is generated with reference to the minimum allowed domain list 450 preset by the administrator (S440). Here, the minimum allowed domain list 450 is set to an institutional IP address, a domestic IP address, a country or region IP address, and the administrator may define it.
상기 필터링 규칙 생성부(163)에서 생성된 필터링 규칙(S420,S430,S440)들은 접근통제시스템 필터링 규칙 전송부(168)로 전달된다.The filtering rules S420, S430, and S440 generated by the filtering rule generator 163 are transferred to the access control system filtering rule transmitter 168.
상기 비정상행위탐지부(143)는 보안정책위반탐지부(141)에서 허용된 이벤트만을 비정상행위탐지부(143)에서 처리하고 판정된 결과가 서비스 거부 공격일 경우 가장 효율적이다.The abnormal behavior detection unit 143 is most efficient when the abnormal behavior detection unit 143 processes only the events allowed by the security policy violation detection unit 141 and the determined result is a denial of service attack.
도 6은 재분석부(144)에서 침입으로 판정된 이벤트를 재분석한 결과에 대한 필터링 규칙 생성부(163)을 설명하기 위한 흐름도이다.6 is a flowchart illustrating a filtering rule generator 163 for a result of reanalyzing an event determined to be an intrusion by the reanalyzer 144.
여기에 도시된 바와 같이, 상기 재분석부(144)에서 침입으로 판정된 이벤트를 재분석한 결과는 무대응 또는 필터링 규칙의 수정을 위하여 필터링 규칙 생성부(163)로 전달된다. 먼저, 침입별 대응목록(510)을 참조하여 이전 대응행위로재분석된 결과를 비교하여 대응행위의 수정이 필요한가를 판단한다(S500). 만약, 대응행위의 수정이 필요 없을 경우, 종료(S520)하고, 그렇지 않고, 수정이 필요할 경우, 해당 대응행위에 따라 필터링 규칙을 수정한다(S530). 상기 필터링 규칙 생성부(163)에서 생성된 필터링 규칙(S530)은 접근통제시스템 필터링 규칙 전송부(168)로 전달된다.As shown here, the result of re-analyzing the event determined to be an intrusion in the re-analyzer 144 is transmitted to the filtering rule generator 163 to modify the stage response or the filtering rule. First, by comparing the results re-analyzed by the previous response behavior with reference to the intrusion-specific correspondence list 510 to determine whether the modification of the response behavior is necessary (S500). If the modification of the response is not necessary, the process is terminated (S520). Otherwise, if the modification is necessary, the filtering rule is modified according to the response (S530). The filtering rule S530 generated by the filtering rule generator 163 is transferred to the access control system filtering rule transmitter 168.
도 7은 본 발명에 따른 다른 실시예로서, 보안정책위반탐지부(141), 오용탐지부(142) 및 비정상행위탐지부(143)와 재분석부(144)의 침입탐지모델을 사용하지 않고 보안정책위반 또는 백도어 탐지부(601), 알려진 해킹 공격탐지부(602), 비정상 트래픽 또는 서비스거부공격 탐지부(603), 탐지된 이벤트에 대한 재분석하는 재분석부(604)를 포함하여 침입탐지부(600)가 구성될 경우, 필터링 규칙 생성부(610)의 구성 및 동작을 설명하기 위한 도면이다.7 is another embodiment according to the present invention, without using the security policy violation detection unit 141, misuse detection unit 142 and abnormal behavior detection unit 143 and re-analysis unit 144 intrusion detection model Intrusion detection unit (including a policy violation or backdoor detection unit 601, a known hacking attack detection unit 602, abnormal traffic or denial of service attack detection unit 603, a re-analysis unit 604 for re-analyzing the detected event ( When 600 is configured, the configuration and operation of the filtering rule generator 610 are described.
여기에 도시된 바와 같이, 상기 보안정책 위반 또는 백도어 탐지부(601)에서 탐지된 이벤트는 필터링 규칙 생성부(610)의 Port 기반 필터링 규칙 생성부(611)와 IP 기반 필터링 규칙 생성부(612)에서 처리되고, 상기 알려진 해킹 공격 탐지부(602)에서 탐지된 이벤트는 필터링 규칙 생성부(610)의 IP 기반 필터링 규칙 생성부(612)에서 처리된다.As shown here, the event detected by the security policy violation or the backdoor detection unit 601 is a Port-based filtering rule generator 611 and an IP-based filtering rule generator 612 of the filtering rule generator 610. The event detected by the known hacking attack detector 602 is processed by the IP-based filtering rule generator 612 of the filtering rule generator 610.
또한, 비정상 트래픽 또는 서비스거부공격 탐지부(603)에서 탐지된 이벤트는 IP 기반 필터링 규칙 생성부(612)와 최소 허용 도메인 목록 기반 필터링 규칙 생성부(613)에서 처리되고. 상기 재분석부(604)에서 침입으로 판정된 이벤트를 재분석한 결과는 필터링 규칙 생성부(610)의 필터링 규칙 수정부(614)에서 처리된다.In addition, the event detected by the abnormal traffic or the denial of service attack detection unit 603 is processed by the IP-based filtering rule generator 612 and the minimum allowed domain list-based filtering rule generator 613. The result of re-analyzing the event determined to be intrusion by the reanalyzer 604 is processed by the filtering rule corrector 614 of the filtering rule generator 610.
상기 필터링 규칙 생성부(610)에서 생성된 접근통제시스템의 필터링 규칙(611,612,613,614)들은 접근통제시스템 필터링 규칙 전송부(620)에서 네트워크용 접근통제시스템(630)과 호스트용 접근통제시스템(640)으로 전달되어 외부 및 내부 네트워크(650)으로부터 감시대상 서버(660)로 공격을 차단한다.The filtering rules 611, 612, 613, and 614 of the access control system generated by the filtering rule generator 610 are transferred from the access control system filtering rule transmitter 620 to the network access control system 630 and the host access control system 640. It is forwarded to block the attack from the external and internal network 650 to the monitored server 660.
또한, 호스트 레벨의 접근통제시스템이 없을 경우, 내부 네트워크로의 접근을 통제하는 필터링 라우터, 스위치 등 내부용 접근통제시스템으로 대체할 수도 있다.In addition, when there is no host level access control system, it may be replaced by an internal access control system such as a filtering router and a switch that controls access to the internal network.
따라서, 상기한 바와 같이 본 발명은 침입탐지시스템과 접근통제시스템(침입차단시스템 등)의 연동시 접근통제 정책의 대응방법에 관한 것으로, 침입탐지시스템과 접근통제시스템의 연동에 있어 공격 형태나 사용자 정의에 따른 침입 차단 기능을 수행하지 않고, 침입탐지방법의 사용형태에 따른 차단 기능을 제공함으로써, 관리자가 해킹 및 대응에 대한 별다른 지식이 없어도 침입탐지시스템이 침입 행위에 적합한 대응 기능을 자동적으로 수행할 수 있는 이점이 있다.Therefore, as described above, the present invention relates to a method of coping with an access control policy when interworking an intrusion detection system and an access control system (such as an intrusion blocking system). By not providing intrusion prevention function according to the definition and providing the blocking function according to the usage method of the intrusion detection method, the intrusion detection system automatically performs the appropriate response function for intrusion behavior without the administrator having any knowledge about hacking and response. There is an advantage to this.
또한, 본 발명은 기존의 침입탐지시스템이 연동하는 침입차단시스템, 필터링 라우터, 필터링 스위치 등 네트워크 레벨의 접근통제시스템 뿐만 아니라 호스트 레벨의 필터링 기능을 갖는 접근통제시스템을 연동함으로써, 외부에서의 공격 뿐만 아니라 내부에서의 공격도 능동적으로 차단할 수 있는 이점이 있다.In addition, the present invention provides a network-level access control system such as an intrusion blocking system, a filtering router, a filtering switch, etc. to which the existing intrusion detection system works, as well as an access control system having a host-level filtering function. In addition, there is an advantage that can actively block internal attacks.
또한, 본 발명은 기관내 IP 주소, 국내 IP 주소, 국가별 IP 주소, 관리자 정의 등으로 구성된 최소 허용 도메인의 개념을 도입하여 분산 서비스 공격에도 시스템 및 네트워크가 마비되지 않고 서버가 가지는 최소한의 서비스를 유지시켜주는 이점이 있다.In addition, the present invention introduces the concept of the minimum allowed domain composed of the internal IP address, domestic IP address, country-specific IP address, administrator definition, etc. to minimize the system and network in spite of distributed service attack There is an advantage to maintain.
Claims (7)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020010003296A KR100351305B1 (en) | 2001-01-19 | 2001-01-19 | Intrusion detection system to interact with access control and method for intrusion confrontation |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020010003296A KR100351305B1 (en) | 2001-01-19 | 2001-01-19 | Intrusion detection system to interact with access control and method for intrusion confrontation |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20020062071A KR20020062071A (en) | 2002-07-25 |
KR100351305B1 true KR100351305B1 (en) | 2002-09-05 |
Family
ID=27692284
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020010003296A KR100351305B1 (en) | 2001-01-19 | 2001-01-19 | Intrusion detection system to interact with access control and method for intrusion confrontation |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100351305B1 (en) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100422807B1 (en) * | 2001-09-05 | 2004-03-12 | 한국전자통신연구원 | Security gateway apparatus for controlling of policy-based network security and its proceeding method |
KR100456634B1 (en) * | 2002-10-31 | 2004-11-10 | 한국전자통신연구원 | Alert transmission apparatus and method for policy-based intrusion detection & response |
KR100613904B1 (en) * | 2004-11-04 | 2006-08-21 | 한국전자통신연구원 | Apparatus and method for defeating network attacks with abnormal IP address |
KR100688604B1 (en) * | 2004-11-18 | 2007-03-02 | 고려대학교 산학협력단 | Apparatus and method for intercepting malicious executable code in the network |
KR100685050B1 (en) * | 2005-12-26 | 2007-02-22 | 주식회사 포스코 | Method of intrusion response for control and instrumentation system network |
KR100833973B1 (en) * | 2006-08-14 | 2008-05-30 | 전남대학교산학협력단 | Meta access control system |
KR101011223B1 (en) * | 2008-12-03 | 2011-01-28 | 한국인터넷진흥원 | SIP-based Enterprise Security Management System |
KR101394383B1 (en) * | 2012-06-15 | 2014-05-13 | 건국대학교 산학협력단 | Router deploying system in the AS for DDoS Attack defense |
CN108540473A (en) * | 2018-04-09 | 2018-09-14 | 华北理工大学 | A kind of data analysing method and data analysis set-up |
-
2001
- 2001-01-19 KR KR1020010003296A patent/KR100351305B1/en active IP Right Grant
Also Published As
Publication number | Publication date |
---|---|
KR20020062071A (en) | 2002-07-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7089303B2 (en) | Systems and methods for distributed network protection | |
US7197563B2 (en) | Systems and methods for distributed network protection | |
US6405318B1 (en) | Intrusion detection system | |
US20170257339A1 (en) | Logical / physical address state lifecycle management | |
AU2003222180B2 (en) | System and method for detecting an infective element in a network environment | |
US20030188190A1 (en) | System and method of intrusion detection employing broad-scope monitoring | |
US7039950B2 (en) | System and method for network quality of service protection on security breach detection | |
US20050216956A1 (en) | Method and system for authentication event security policy generation | |
US20050005017A1 (en) | Method and system for reducing scope of self-propagating attack code in network | |
WO2003083659A1 (en) | Firewall system and method via feedback from broad-scope monitoring for intrusion detection | |
CN112995187B (en) | Network cooperative defense system and method based on community structure | |
KR100351305B1 (en) | Intrusion detection system to interact with access control and method for intrusion confrontation | |
JP2004302538A (en) | Network security system and network security management method | |
US8819285B1 (en) | System and method for managing network communications | |
EP2141884B1 (en) | Anti-intrusion method and system for a communication network | |
WO2001093531A2 (en) | Systems and methods for distributed network protection | |
KR20130033161A (en) | Intrusion detection system for cloud computing service | |
JP3822588B2 (en) | Unauthorized access detection device, unauthorized access detection method, and management terminal | |
KR20030042318A (en) | Attacker isolation method and system using packet filtering at the border router of ISP | |
JP3309961B2 (en) | Network attack defense system by traffic shaping | |
JP2003186763A (en) | Detection and prevention method of breaking into computer system | |
CN114584341B (en) | Zero-boundary trusted network architecture system, data processing method and device | |
Hooper | Intelligent autonomic strategy to attacks in network infrastructure protection: Feedback methods to IDS, using policies, alert filters and firewall packet filters for multiple protocols | |
KR20080029426A (en) | System and method for protecting web | |
Hooper | An intelligent detection and response strategy to false positives and network attacks: operation of network quarantine channels and feedback methods to IDS |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130816 Year of fee payment: 12 |
|
FPAY | Annual fee payment |
Payment date: 20140703 Year of fee payment: 13 |
|
FPAY | Annual fee payment |
Payment date: 20150909 Year of fee payment: 14 |
|
FPAY | Annual fee payment |
Payment date: 20160817 Year of fee payment: 15 |
|
FPAY | Annual fee payment |
Payment date: 20170711 Year of fee payment: 16 |
|
FPAY | Annual fee payment |
Payment date: 20180920 Year of fee payment: 17 |
|
FPAY | Annual fee payment |
Payment date: 20190620 Year of fee payment: 18 |