KR100351305B1 - Intrusion detection system to interact with access control and method for intrusion confrontation - Google Patents

Intrusion detection system to interact with access control and method for intrusion confrontation Download PDF

Info

Publication number
KR100351305B1
KR100351305B1 KR1020010003296A KR20010003296A KR100351305B1 KR 100351305 B1 KR100351305 B1 KR 100351305B1 KR 1020010003296 A KR1020010003296 A KR 1020010003296A KR 20010003296 A KR20010003296 A KR 20010003296A KR 100351305 B1 KR100351305 B1 KR 100351305B1
Authority
KR
South Korea
Prior art keywords
filtering rule
intrusion
access control
unit
control system
Prior art date
Application number
KR1020010003296A
Other languages
Korean (ko)
Other versions
KR20020062071A (en
Inventor
김기현
김동욱
박병욱
Original Assignee
주식회사 정보보호기술
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 정보보호기술 filed Critical 주식회사 정보보호기술
Priority to KR1020010003296A priority Critical patent/KR100351305B1/en
Publication of KR20020062071A publication Critical patent/KR20020062071A/en
Application granted granted Critical
Publication of KR100351305B1 publication Critical patent/KR100351305B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Abstract

본 발명은 혼합된 침입탐지모델을 사용하는 침입탐지시스템에서 침입차단시스템, 필터링 라우터 등 접근통제시스템들과 연동하는 침입탐지시스템 및 침입대응방법에 관한 것으로, 보다 상세하게는 오용탐지부 및 비정상행위탐지부에서 공격 형태에 따라 분류하는 대응방법과는 달리 보안정책위반탐지부, 보안정책위반탐지부와 오용탐지부, 보안정책위반탐지부와 비정상행위탐지부, 보안정책위반탐지부, 오용탐지부, 비정상행위탐지부 및 재분석부 기능이 혼합되어 있을 경우 등 침입탐지모델의 사용형태에 따른 침입탐지시스템 및 침입대응방법에 관한 것이다.The present invention relates to an intrusion detection system and an intrusion response method that interoperate with access control systems such as an intrusion blocking system and a filtering router in an intrusion detection system using a mixed intrusion detection model. More specifically, the misuse detection unit and abnormal behavior Unlike the countermeasures classified by the type of attack by the detection unit, the security policy violation detection unit, security policy violation detection unit and misuse detection unit, security policy violation detection unit and abnormal behavior detection unit, security policy violation detection unit, and misuse detection unit The present invention relates to an intrusion detection system and an intrusion countermeasure method according to the use of an intrusion detection model, such as when an abnormal behavior detection unit and a reanalysis unit are mixed.

Description

접근통제와 연동하는 침입탐지시스템 및 침입대응방법{Intrusion detection system to interact with access control and method for intrusion confrontation }Intrusion detection system to interact with access control and method for intrusion confrontation}

본 발명은 혼합된 침입탐지모델을 사용하는 침입탐지시스템에서 침입차단시스템, 필터링 라우터 등 접근통제시스템들과 연동하는 침입탐지시스템 및 침입대응방법에 관한 것으로, 보다 상세하게는 오용탐지부 및 비정상행위탐지부에서 공격 형태에 따라 분류하는 대응방법과는 달리 보안정책위반탐지부, 보안정책위반탐지부와 오용탐지부, 보안정책위반탐지부와 비정상행위탐지부, 보안정책위반탐지부, 오용탐지부, 비정상행위탐지부 및 재분석부 기능이 혼합되어 있을 경우 등 침입탐지모델의 사용형태에 따른 침입탐지시스템 및 침입대응방법에 관한 것이다.The present invention relates to an intrusion detection system and an intrusion response method that interoperate with access control systems such as an intrusion blocking system and a filtering router in an intrusion detection system using a mixed intrusion detection model. More specifically, the misuse detection unit and abnormal behavior Unlike the countermeasures classified by the type of attack by the detection unit, the security policy violation detection unit, security policy violation detection unit and misuse detection unit, security policy violation detection unit and abnormal behavior detection unit, security policy violation detection unit, and misuse detection unit The present invention relates to an intrusion detection system and an intrusion countermeasure method according to the use of an intrusion detection model, such as when an abnormal behavior detection unit and a reanalysis unit are mixed.

종래의 침입탐지시스템과 침입차단시스템(접근통제시스템)과의 연동에서 차단 기능을 공격의 형태에 따라 미리 정의하거나 관리자가 정의하게 한다. 이는 모든 공격 형태의 분석이나 이에 대한 대응 행동의 세밀한 설정이 필요하다.In the linkage between a conventional intrusion detection system and an intrusion blocking system (access control system), the blocking function is defined in advance according to the type of attack or the administrator is defined. This requires a detailed analysis of all attack types or the response behaviors to them.

또한, 위장된 많은 호스트에서 공격하는 다중 공격일 경우, 침입 차단 규칙의 생성이 매우 힘들어 공격에 대응하지 못하고 시스템 또는 네트워크가 마비되는 경우가 발생한다.In addition, in the case of multiple attacks attacked by a large number of disguised hosts, it is very difficult to create an intrusion prevention rule, and thus the system or network may be paralyzed without responding to the attack.

종래의 접근통제시스템과의 연동 기능은 침입차단시스템 또는 필터링 기능을 수행하는 라우터 및 스위치와의 연동에만 초점을 맞추고 있다. 여기서 침입탐지시스템과 연동하는 시스템은 침입차단시스템(Firewall), 라우터(Router) 또는 스위치(Switch)들로 모두 네트워크 레벨 접근통제시스템이다. 이 경우 내부에서 내부로 공격할 경우 접속을 끊는 행위 이외에 대한 대책은 전무한 실정이다.The interworking function with the conventional access control system focuses only on the interworking with routers and switches that perform intrusion blocking systems or filtering functions. The system interworking with the intrusion detection system is a network level access control system as a firewall, a router, or a switch. In this case, there is no countermeasure except for disconnection when attacking from the inside to the inside.

본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서 본 발명의 목적은 침입탐지시스템과 접근통제시스템과의 연동에 있어 공격 형태나 사용자 정의에 따른 침입 차단 기능을 수행하지 않고 침입탐지방법의 사용형태에 따른 차단 기능을 제공함으로써, 침입 대응 기능 설정의 어려움을 해결할 수 있는 침입차단시스템을 제공하는데 있다.SUMMARY OF THE INVENTION The present invention has been made to solve the above problems, and an object of the present invention is to use an intrusion detection method without performing an intrusion blocking function according to an attack type or user definition in interworking with an intrusion detection system and an access control system. By providing a blocking function according to the form, to provide an intrusion blocking system that can solve the difficulty of setting the intrusion response function.

본 발명의 다른 목적은 기존의 침입탐지시스템이 연동하는 침입차단시스템, 필터링 라우터, 필터링 스위치 등 네트워크 레벨의 접근통제시스템 뿐만 아니라 호스트 레벨의 필터링 기능을 갖는 접근통제시스템과의 연동으로 이를 확장할 수 있는 침입대응방법을 제공하는데 있다.Another object of the present invention can be extended by interworking with an access control system having a host-level filtering function as well as an access control system of a network level such as an intrusion blocking system, a filtering router, a filtering switch, and the like that the existing intrusion detection system works with. To provide an intrusion countermeasure.

본 발명은 또 다른 목적은 최소 허용 도메인의 개념을 도입하여 분산 서비스 공격에도 시스템 및 네트워크가 마비되지 않고 서버가 가지는 최소한의 서비스를 유지시켜주는 침입대응방법을 제공하는데 있다.It is still another object of the present invention to provide an intrusion countermeasure that maintains a minimum service of a server without incurring paralysis of a system and a network even by introducing a concept of a minimum allowed domain.

도 1은 본 발명에 따른 접근통제와 연동하는 침입탐지시스템을 설명하기 위한 블록구성도이고,1 is a block diagram illustrating an intrusion detection system interoperating with an access control according to the present invention;

도 2는 본 발명에 따른 접근통제와 연동하는 침입탐지시스템의 상호동작을 설명하기 위한 상호동작도이고,Figure 2 is an interaction diagram for explaining the interaction of the intrusion detection system in conjunction with the access control according to the present invention,

도 3은 본 발명에 따른 보안정책탐지부에서 탐지된 이벤트에 대한 필터링 규칙 생성부를 설명하기 위한 흐름도이고,3 is a flowchart illustrating a filtering rule generator for an event detected by a security policy detector according to the present invention;

도 4는 본 발명에 따른 오용탐지부에서 탐지된 이벤트에 대한 필터링 규칙 생성부를 설명하기 위한 흐름도이고,4 is a flowchart illustrating a filtering rule generator for an event detected by an abuse detector according to the present invention;

도 5는 본 발명에 따른 비정상행위탐지부에서 탐지된 이벤트에 대한 필터링 규칙 생성부를 설명하기 위한 흐름도이고,5 is a flowchart illustrating a filtering rule generator for an event detected by an abnormal behavior detector according to the present invention;

도 6은 본 발명에 따른 재분석부에서 탐지된 이벤트에 대한 필터링 규칙 생성부를 설명하기 위한 흐름도이고,6 is a flowchart illustrating a filtering rule generator for an event detected by a reanalyzer according to the present invention;

도 7은 본 발명의 다른 실시예에 따른 접근통제와 연동하는 침입탐지시스템을 설명하기 위한 블록구성도이다.7 is a block diagram illustrating an intrusion detection system that works with access control according to another embodiment of the present invention.

* 도면의 주요 부분에 대한 부호 설명 *Explanation of symbols on the main parts of the drawings

160 : 침입대응부 161 : 일반침입대응 수행부160: intrusion response unit 161: general intrusion response unit

162 : 접근통제시스템 연동부 163 : 필터링 규칙 생성부162: access control system interworking unit 163: filtering rule generation unit

164 : 포트기반 필터링 규칙 생성부 165 : IP기반 필터링 규칙 생성부164: port-based filtering rule generator 165: IP-based filtering rule generator

166 : 허용도메인 목록기반 필터링 규칙 생성부166: allowed domain list based filtering rule generator

167: 필터링 규칙 생성부167: filtering rule generator

168 : 접근통제시스템 필터링 규칙 전송부168: access control system filtering rule transmission unit

상기와 같은 목적을 달성하기 위하여 본 발명은 침입탐지부에서 침입으로 판단된 사건에 대하여 알람, 로깅, 접속해제 등 일반적인 대응기능을 수행하는 일반침입대응수행부와, 접근통제시스템과 연동하여 침입을 차단하는 접근통제시스템 연동부를 포함하여 구성되는 것을 특징으로 한다.In order to achieve the above object, the present invention provides a general intrusion countermeasure unit that performs general countermeasure functions such as alarming, logging, and disconnection for an event determined to be an intrusion in the intrusion detecting unit, and performs intrusion in conjunction with an access control system. It characterized in that it is configured to include an access control system interlock to block.

상기 접근통제시스템 연동부는 특성에 따라 접근통제 규칙을 생성하는 필터링 규칙 생성부와, 네트워크용 접근통제시스템 또는 호스트용 접근통제시스템으로 필터링 규칙을 전송하는 필터링 규칙 전송부를 포함하여 구성되는 것을 특징으로 한다.The access control system interworking unit may be configured to include a filtering rule generation unit for generating an access control rule according to a characteristic, and a filtering rule transmission unit for transmitting the filtering rule to an access control system for a network or an access control system for a host. .

상기 필터링 규칙 생성부는 침입 포트(Port)를 차단하기 위한 포트 기반 필터링 규칙 생성부와, 침입자의 IP를 차단하기 위한 IP 기반 필터링 규칙 생성부와, 기관의 최소 서비스 유지를 위하여 최소 허용 도메인 이외의 모든 트래픽을 차단하는 허용 도메인 목록 기반 필터링 규칙 생성부와, 이전에 적용한 규칙을 변경하기 위한 필터링 규칙 수정부를 포함하여 구성되는 것을 특징으로 한다.The filtering rule generator includes a port-based filtering rule generator for blocking an intrusion port, an IP-based filtering rule generator for blocking an intruder's IP, and all other than the minimum allowed domain to maintain minimum service of an organization. And a filtering rule generator for blocking a traffic and generating a filtering rule list-based filtering rule for changing a previously applied rule.

이하 본 발명의 바람직한 실시예를 첨부된 도면을 참조하여 상세히 설명한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 따른 접근통제와 연동하는 침입탐지시스템을 설명하기 위한 블록구성도이다.1 is a block diagram illustrating an intrusion detection system that works with access control according to the present invention.

여기에 도시된 바와 같이, 외부 또는 내부 네트워크(100)에서 감시대상 서버(110)가 있는 네트워크로 모든 트래픽은 침입탐지시스템의 데이터수집부(120)에서 수집되고, 데이터 필터링 및 축약부(130)에서 필터링한 후 침입탐지부(140)에서 침입으로 분석되면 경고 및 보고부(150)로 보고되고, 침입대응부(160)에서 대응 행위를 수행한다.As shown here, all traffic from the external or internal network 100 to the network where the monitored server 110 is located is collected at the data collection unit 120 of the intrusion detection system, and the data filtering and abbreviation unit 130. After filtering from the intrusion detection unit 140 is analyzed as an intrusion is reported to the warning and reporting unit 150, the intrusion response unit 160 performs a corresponding action.

상기 침입탐지부(140)는 보안정책위반탐지부(141), 오용탐지부(142), 비정상행위탐지부(143), 재분석부(144)로 구성된다. 각각의 침입탐지모델은 탐지모듈이 IP 및 Port에 기반하여 보안정책위반 또는 백도어를 탐지, 알려진 해킹 공격 탐지, 비정상 트래픽 또는 서비스거부공격을 탐지, 침입으로 판정된 이벤트에 대하여 재분석 기능 등을 수행한다.The intrusion detection unit 140 is composed of a security policy violation detection unit 141, misuse detection unit 142, abnormal behavior detection unit 143, re-analysis unit 144. Each intrusion detection model detects security policy violations or backdoors based on IP and port, detects known hacking attacks, detects abnormal traffic or denial of service attacks, and re-analyzes events determined to be intrusions. .

상기 침입탐지부(140)에서 침입으로 판정된 사건에 대하여 침입대응부(160)는 알람, 로깅, 접속 해제 등 일반적인 대응 기능을 수행하는 일반 침입대응 수행부(161)와 접근통제시스템과 연동하여 침입을 차단하는 접근통제시스템 연동부(162)에서 대응 행위를 수행한다.In response to the event determined to be intrusion in the intrusion detection unit 140, the intrusion response unit 160 is interlocked with the general intrusion response execution unit 161 and the access control system to perform a general response function such as alarm, logging, disconnection The access control system interworking unit 162 to block the intrusion performs a corresponding action.

상기 접근통제시스템 연동부(162)는 필터링 규칙 생성부(163)에서 특성에 따라 접근통제 규칙을 생성하고, 접근통제시스템 필터링 규칙 전송부(168)를 통하여네트워크용 접근통제시스템(170) 또는 호스트용 접근통제시스템(180)으로 필터링 규칙을 전송한다.The access control system interworking unit 162 generates an access control rule according to the characteristics of the filtering rule generating unit 163, and access control system 170 or host for the network through the access control system filtering rule transmission unit 168. The filtering rule is transmitted to the access control system 180 for use.

상기 필터링 규칙 생성부(162)는 침입 포트(Port)를 차단하기 위한 Port 기반 필터링 규칙 생성부(164)와, 침입자의 IP를 차단하기 위한 IP 기반 필터링 규칙 생성부(165)와, 기관의 최소 서비스 유지를 위하여 최소 허용 도메인 이외의 모든 트래픽을 차단하는 허용 도메인 목록 기반 필터링 규칙 생성부(616)와, 이전에 적용한 규칙을 변경하기 위한 필터링 규칙 수정부(167)를 포함하여 구성된다.The filtering rule generator 162 includes a port-based filtering rule generator 164 for blocking an intrusion port, an IP-based filtering rule generator 165 for blocking an intruder's IP, and a minimum number of institutions. It includes a permitted domain list-based filtering rule generator 616 for blocking all traffic other than the minimum allowed domain for service maintenance, and a filtering rule correction unit 167 for changing a previously applied rule.

도 2는 본 발명의 침입탐지부(140)의 침입판정 결과에 따른 필터링 규칙 생성부(163)의 Port 기반 필터링 규칙 생성부(164), IP 기반 필터링 규칙 생성부(165), 최소 허용 도메인 목록 기반 필터링 규칙 생성부(166), 필터링 규칙 수정부(167) 등의 상호동작을 설명하기 위한 상호동작도이다.2 is a port-based filtering rule generator 164, an IP-based filtering rule generator 165, and a minimum allowed domain list of the filtering rule generator 163 according to the intrusion determination result of the intrusion detection unit 140 of the present invention. It is an interaction diagram for explaining the interaction of the based filtering rule generation unit 166, filtering rule correction unit 167 and the like.

여기에 도시된 바와 같이, 상기 보안정책위반탐지부(141)에서 IP와 Port에 기반한 접근통제정책 위반 또는 백도어로 탐지된 이벤트는 필터링 규칙 생성부(163)의 Port 기반 필터링 규칙 생성부(164)와 IP 기반 필터링 규칙 생성부(165)에서 처리되며, 상기 오용탐지부(142)에서 알려진 해킹 행위로 탐지된 이벤트는 필터링 규칙 생성부(163)의 IP 기반 필터링 규칙 생성부(165)에서 처리된다.As shown here, the event detected by the access control policy violation or the backdoor based on the IP and the port in the security policy violation detection unit 141 is the port-based filtering rule generator 164 of the filtering rule generator 163. And the IP-based filtering rule generator 165 are processed in the IP-based filtering rule generator 165, the event detected as a hacking behavior known by the misuse detection unit 142 is processed by the IP-based filtering rule generator 165 of the filtering rule generator 163. .

또한, 상기 비정상행위탐지부(143)에서 비정상 트래픽 또는 서비스거부공격으로 탐지된 이벤트는 IP 기반 필터링 규칙 생성부(165)와 최소 허용 도메인 목록 기반 필터링 규칙 생성부(166)에서 처리되고, 상기 재분석부(144)에서 침입으로 판정된 이벤트를 재분석한 결과는 필터링 규칙 생성부(163)의 필터링 규칙 수정부(167)에서 처리된다.In addition, an event detected as abnormal traffic or a denial of service attack by the abnormal behavior detection unit 143 is processed by the IP-based filtering rule generation unit 165 and the minimum allowed domain list based filtering rule generation unit 166, and the re-analysis. The result of re-analyzing the event determined to be intrusion by the unit 144 is processed by the filtering rule correction unit 167 of the filtering rule generator 163.

상기 필터링 규칙 생성부(163)에서 생성된 접근통제시스템의 필터링 규칙은 접근통제시스템 필터링 규칙 전송부(168)에서 네트워크용 접근통제시스템(170)과 호스트용 접근통제시스템(180)으로 전달되어 외부 및 내부 네트워크(100)으로부터 감시대상 서버(110)으로 공격을 차단한다.The filtering rule of the access control system generated by the filtering rule generation unit 163 is transferred from the access control system filtering rule transmission unit 168 to the network access control system 170 and the host access control system 180 to be external. And blocks the attack from the internal network 100 to the monitored server 110.

도 3은 IP와 Port에 기반한 접근통제정책 위반 또는 백도어를 탐지하는 보안정책위반탐지부에서 탐지된 이벤트에 대한 필터링 규칙 생성부를 설명하기 위한 흐름도이다.3 is a flowchart illustrating a filtering rule generator for an event detected by a security policy violation detector that detects an access control policy violation or a backdoor based on an IP and a port.

여기에 도시된 바와 같이, 보안정책위반탐지부(141)에서 IP와 Port에 기반한 접근통제정책 위반 또는 백도어가 탐지되면 침입대응을 위하여 필터링 규칙 생성부(163)로 전달된다. 상기 필터링 규칙 생성부(163)는 먼저, 공격자가 내부인지 외부인지 판단한다(S200). 만약, 외부 공격자일 경우, 트래픽이 인바운드(Inbound) 인지 아웃바운드(Outbound) 인지 판단(S210)하여 트래픽이 인바운드이면, 네트워크 레벨 접근통제시스템과 연동하여 IP를 기반으로 필터링 규칙을 생성(S211)하고, 트래픽이 아웃바운드이면, 네트워크 레벨 접근통제시스템과 연동하여 포트를 기반으로 필터링 규칙을 생성한다(S212).As shown here, if the security policy violation detection unit 141 detects an access control policy violation or a back door based on IP and port, it is transmitted to the filtering rule generator 163 for intrusion response. The filtering rule generator 163 first determines whether an attacker is internal or external (S200). If the external attacker, if the traffic is inbound (Inbound) or outbound (Outbound) is determined (S210), if the traffic is inbound, in conjunction with the network level access control system to generate a filtering rule based on the IP (S211) and If the traffic is outbound, in conjunction with the network level access control system to generate a filtering rule based on the port (S212).

그렇지 않고, 내부 공격자일 경우, 트래픽이 인바운드 인지 아웃바운드 인지 판단(S213)하여 트래픽이 인바운드 이면, 호스트 레벨에서 접근통제시스템과 연동하여 IP를 기반으로 필터링 규칙을 생성(S214)하고, 트래픽이 아웃바운드 이면, 호스트 레벨에서 접근통제시스템과 연동하여 포트를 기반으로 필터링 규칙을 생성한다(S215).Otherwise, if the attacker is an internal attacker, it is determined whether the traffic is inbound or outbound (S213). If the traffic is inbound, the filtering rule is generated based on the IP in association with the access control system at the host level (S214), and the traffic is out. If bound, it creates a filtering rule based on the port in association with the access control system at the host level (S215).

상기 필터링 규칙 생성부(163)에서 생성된 필터링 규칙(S211, S212, S214, S215)들은 접근통제시스템 필터링 규칙 전송부(168)로 전달된다.The filtering rules S211, S212, S214, and S215 generated by the filtering rule generator 163 are transferred to the access control system filtering rule transmitter 168.

도 4는 알려진 해킹을 탐지하는 오용탐지부(142)에서 탐지된 이벤트에 대한 필터링 규칙 생성부(163)를 설명하기 위한 흐름도이다.4 is a flowchart illustrating a filtering rule generator 163 for an event detected by the misuse detection unit 142 for detecting a known hack.

여기에 도시된 바와 같이, 상기 오용탐지부(142)에서 알려진 해킹 공격이 탐지되면 침입대응을 위하여 필터링 규칙 생성부(163)로 전달된다. 상기 필터링 규칙 생성부(163)는 먼저, 공격자가 내부인지 외부인지 판단한다(S300). 만약, 외부 공격자일 경우, 네트워크 레벨 접근통제시스템과 연동하는 IP를 기반으로 필터링 규칙을 생성(S310)하고, 그렇지 않고, 내부 공격자일 경우, 호스트 레벨에서 접근통제시스템과 연동하는 IP를 기반으로 필터링 규칙을 생성한다(S320). 상기 필터링 규칙 생성부(163)에서 생성된 필터링 규칙(S310,S320)들은 접근통제시스템 필터링 규칙 전송부(168)로 전달된다. 상기 오용탐지부(142)는 보안정책위반탐지부(141)에서 허용된 이벤트만을 상기 오용탐지부(142)에서 처리할 경우 가장 효율적이다.As shown here, if a known hacking attack is detected in the misuse detection unit 142, it is delivered to the filtering rule generator 163 for intrusion response. The filtering rule generator 163 first determines whether an attacker is internal or external (S300). If the attacker is an external attacker, the filtering rule is generated based on the IP interworking with the network level access control system (S310). Otherwise, if the attacker is an internal attacker, the filtering is performed based on the IP interworking with the access control system at the host level. Create a rule (S320). The filtering rules S310 and S320 generated by the filtering rule generator 163 are transferred to the access control system filtering rule transmitter 168. The misuse detection unit 142 is most efficient when the misuse detection unit 142 processes only the events allowed by the security policy violation detection unit 141.

도 5는 비정상 트래픽 또는 서비스 거부 공격을 탐지하는 비정상행위탐지부(143)에서 탐지된 이벤트에 대한 필터링 규칙 생성부(163)을 설명하기 위한 흐름도이다.5 is a flowchart illustrating a filtering rule generator 163 for an event detected by an abnormal behavior detection unit 143 for detecting abnormal traffic or a denial of service attack.

여기에 도시된 바와 같이, 상기 비정상행위탐지부(143)에서 비정상 트래픽 또는 서비스 거부 공격이 탐지되면, 침입대응을 위하여 필터링 규칙 생성부(163)로전달된다. 상기 필터링 규칙 생성부(163)는 먼저, 공격이 단일 공격인지 다중 공격인지 판단한다(S400). 만약, 단일 공격일 경우, 공격자가 외부인지 내부인지 판단한다(S410). 외부 공격자이면, 네트워크 레벨 접근통제시스템과 연동하는 IP를 기반으로 필터링 규칙을 생성(S420)하고, 내부 공격자이면, 호스트 레벨에서 접근통제시스템과 연동하는 IP를 기반으로 필터링 규칙을 생성한다(S430).As shown here, if an abnormal traffic or a denial of service attack is detected in the abnormal behavior detection unit 143, it is transmitted to the filtering rule generator 163 for intrusion response. The filtering rule generator 163 first determines whether the attack is a single attack or multiple attacks (S400). If it is a single attack, it is determined whether the attacker is external or internal (S410). If the external attacker, create a filtering rule based on the IP interworking with the network level access control system (S420), and if the internal attacker, create a filtering rule based on the IP interworking with the access control system at the host level (S430). .

그렇지 않고, 분산 서비스 공격과 같은 다중 공격일 경우, 관리자가 미리 설정한 최소 허용 도메인 목록(450)을 참조하여 최소 허용 도메인 목록 기반 필터링 규칙을 생성한다(S440). 여기서, 상기 최소 허용 도메인 목록(450)은 기관내 IP 주소, 국내 IP 주소, 국가별 또는 지역별 IP 주소로 설정되며 관리자는 이를 정의할 수 있다.Otherwise, in the case of multiple attacks such as a distributed service attack, the minimum allowed domain list based filtering rule is generated with reference to the minimum allowed domain list 450 preset by the administrator (S440). Here, the minimum allowed domain list 450 is set to an institutional IP address, a domestic IP address, a country or region IP address, and the administrator may define it.

상기 필터링 규칙 생성부(163)에서 생성된 필터링 규칙(S420,S430,S440)들은 접근통제시스템 필터링 규칙 전송부(168)로 전달된다.The filtering rules S420, S430, and S440 generated by the filtering rule generator 163 are transferred to the access control system filtering rule transmitter 168.

상기 비정상행위탐지부(143)는 보안정책위반탐지부(141)에서 허용된 이벤트만을 비정상행위탐지부(143)에서 처리하고 판정된 결과가 서비스 거부 공격일 경우 가장 효율적이다.The abnormal behavior detection unit 143 is most efficient when the abnormal behavior detection unit 143 processes only the events allowed by the security policy violation detection unit 141 and the determined result is a denial of service attack.

도 6은 재분석부(144)에서 침입으로 판정된 이벤트를 재분석한 결과에 대한 필터링 규칙 생성부(163)을 설명하기 위한 흐름도이다.6 is a flowchart illustrating a filtering rule generator 163 for a result of reanalyzing an event determined to be an intrusion by the reanalyzer 144.

여기에 도시된 바와 같이, 상기 재분석부(144)에서 침입으로 판정된 이벤트를 재분석한 결과는 무대응 또는 필터링 규칙의 수정을 위하여 필터링 규칙 생성부(163)로 전달된다. 먼저, 침입별 대응목록(510)을 참조하여 이전 대응행위로재분석된 결과를 비교하여 대응행위의 수정이 필요한가를 판단한다(S500). 만약, 대응행위의 수정이 필요 없을 경우, 종료(S520)하고, 그렇지 않고, 수정이 필요할 경우, 해당 대응행위에 따라 필터링 규칙을 수정한다(S530). 상기 필터링 규칙 생성부(163)에서 생성된 필터링 규칙(S530)은 접근통제시스템 필터링 규칙 전송부(168)로 전달된다.As shown here, the result of re-analyzing the event determined to be an intrusion in the re-analyzer 144 is transmitted to the filtering rule generator 163 to modify the stage response or the filtering rule. First, by comparing the results re-analyzed by the previous response behavior with reference to the intrusion-specific correspondence list 510 to determine whether the modification of the response behavior is necessary (S500). If the modification of the response is not necessary, the process is terminated (S520). Otherwise, if the modification is necessary, the filtering rule is modified according to the response (S530). The filtering rule S530 generated by the filtering rule generator 163 is transferred to the access control system filtering rule transmitter 168.

도 7은 본 발명에 따른 다른 실시예로서, 보안정책위반탐지부(141), 오용탐지부(142) 및 비정상행위탐지부(143)와 재분석부(144)의 침입탐지모델을 사용하지 않고 보안정책위반 또는 백도어 탐지부(601), 알려진 해킹 공격탐지부(602), 비정상 트래픽 또는 서비스거부공격 탐지부(603), 탐지된 이벤트에 대한 재분석하는 재분석부(604)를 포함하여 침입탐지부(600)가 구성될 경우, 필터링 규칙 생성부(610)의 구성 및 동작을 설명하기 위한 도면이다.7 is another embodiment according to the present invention, without using the security policy violation detection unit 141, misuse detection unit 142 and abnormal behavior detection unit 143 and re-analysis unit 144 intrusion detection model Intrusion detection unit (including a policy violation or backdoor detection unit 601, a known hacking attack detection unit 602, abnormal traffic or denial of service attack detection unit 603, a re-analysis unit 604 for re-analyzing the detected event ( When 600 is configured, the configuration and operation of the filtering rule generator 610 are described.

여기에 도시된 바와 같이, 상기 보안정책 위반 또는 백도어 탐지부(601)에서 탐지된 이벤트는 필터링 규칙 생성부(610)의 Port 기반 필터링 규칙 생성부(611)와 IP 기반 필터링 규칙 생성부(612)에서 처리되고, 상기 알려진 해킹 공격 탐지부(602)에서 탐지된 이벤트는 필터링 규칙 생성부(610)의 IP 기반 필터링 규칙 생성부(612)에서 처리된다.As shown here, the event detected by the security policy violation or the backdoor detection unit 601 is a Port-based filtering rule generator 611 and an IP-based filtering rule generator 612 of the filtering rule generator 610. The event detected by the known hacking attack detector 602 is processed by the IP-based filtering rule generator 612 of the filtering rule generator 610.

또한, 비정상 트래픽 또는 서비스거부공격 탐지부(603)에서 탐지된 이벤트는 IP 기반 필터링 규칙 생성부(612)와 최소 허용 도메인 목록 기반 필터링 규칙 생성부(613)에서 처리되고. 상기 재분석부(604)에서 침입으로 판정된 이벤트를 재분석한 결과는 필터링 규칙 생성부(610)의 필터링 규칙 수정부(614)에서 처리된다.In addition, the event detected by the abnormal traffic or the denial of service attack detection unit 603 is processed by the IP-based filtering rule generator 612 and the minimum allowed domain list-based filtering rule generator 613. The result of re-analyzing the event determined to be intrusion by the reanalyzer 604 is processed by the filtering rule corrector 614 of the filtering rule generator 610.

상기 필터링 규칙 생성부(610)에서 생성된 접근통제시스템의 필터링 규칙(611,612,613,614)들은 접근통제시스템 필터링 규칙 전송부(620)에서 네트워크용 접근통제시스템(630)과 호스트용 접근통제시스템(640)으로 전달되어 외부 및 내부 네트워크(650)으로부터 감시대상 서버(660)로 공격을 차단한다.The filtering rules 611, 612, 613, and 614 of the access control system generated by the filtering rule generator 610 are transferred from the access control system filtering rule transmitter 620 to the network access control system 630 and the host access control system 640. It is forwarded to block the attack from the external and internal network 650 to the monitored server 660.

또한, 호스트 레벨의 접근통제시스템이 없을 경우, 내부 네트워크로의 접근을 통제하는 필터링 라우터, 스위치 등 내부용 접근통제시스템으로 대체할 수도 있다.In addition, when there is no host level access control system, it may be replaced by an internal access control system such as a filtering router and a switch that controls access to the internal network.

따라서, 상기한 바와 같이 본 발명은 침입탐지시스템과 접근통제시스템(침입차단시스템 등)의 연동시 접근통제 정책의 대응방법에 관한 것으로, 침입탐지시스템과 접근통제시스템의 연동에 있어 공격 형태나 사용자 정의에 따른 침입 차단 기능을 수행하지 않고, 침입탐지방법의 사용형태에 따른 차단 기능을 제공함으로써, 관리자가 해킹 및 대응에 대한 별다른 지식이 없어도 침입탐지시스템이 침입 행위에 적합한 대응 기능을 자동적으로 수행할 수 있는 이점이 있다.Therefore, as described above, the present invention relates to a method of coping with an access control policy when interworking an intrusion detection system and an access control system (such as an intrusion blocking system). By not providing intrusion prevention function according to the definition and providing the blocking function according to the usage method of the intrusion detection method, the intrusion detection system automatically performs the appropriate response function for intrusion behavior without the administrator having any knowledge about hacking and response. There is an advantage to this.

또한, 본 발명은 기존의 침입탐지시스템이 연동하는 침입차단시스템, 필터링 라우터, 필터링 스위치 등 네트워크 레벨의 접근통제시스템 뿐만 아니라 호스트 레벨의 필터링 기능을 갖는 접근통제시스템을 연동함으로써, 외부에서의 공격 뿐만 아니라 내부에서의 공격도 능동적으로 차단할 수 있는 이점이 있다.In addition, the present invention provides a network-level access control system such as an intrusion blocking system, a filtering router, a filtering switch, etc. to which the existing intrusion detection system works, as well as an access control system having a host-level filtering function. In addition, there is an advantage that can actively block internal attacks.

또한, 본 발명은 기관내 IP 주소, 국내 IP 주소, 국가별 IP 주소, 관리자 정의 등으로 구성된 최소 허용 도메인의 개념을 도입하여 분산 서비스 공격에도 시스템 및 네트워크가 마비되지 않고 서버가 가지는 최소한의 서비스를 유지시켜주는 이점이 있다.In addition, the present invention introduces the concept of the minimum allowed domain composed of the internal IP address, domestic IP address, country-specific IP address, administrator definition, etc. to minimize the system and network in spite of distributed service attack There is an advantage to maintain.

Claims (7)

보안정책위반탐지부, 오용탐지부, 비정상행위탐지부 및 재분석부를 포함하여 구성된 침입탐지부와, 상기 침입탐지부에서 침입으로 판정된 사건을 관리자가 설정한 대응행위에 따라 접속해제, 접근통제시스템의 환경 재설정 등의 침입대응 기능을 수행하는 침입대응부를 포함하여 구성된 침입탐지시스템에 있어서,Intrusion detection unit including security policy violation detection unit, misuse detection unit, abnormal behavior detection unit, and re-analysis unit, and the event of intrusion detection in the intrusion detection unit according to the response set by the administrator In the intrusion detection system comprising an intrusion response unit for performing intrusion response functions such as resetting the environment, 상기 침입대응부는 침입탐지부에서 침입으로 판정된 사건에 대하여 알람, 로깅, 접속해제 등의 일반적인 대응기능을 수행하는 일반 침입대응 수행부와,The intrusion response unit is a general intrusion response performing unit for performing a general response function, such as alarm, logging, disconnection for the event determined to be intrusion in the intrusion detection unit; 접근통제시스템과 연동하여 침입을 차단하는 접근통제시스템 연동부를 포함하여 구성되는 것을 특징으로 하는 접근통제와 연동하는 침입탐지시스템.Intrusion detection system in conjunction with the access control, characterized in that it comprises an access control system interlocking unit interlocking with the access control system to block intrusion. 제 1항에 있어서, 상기 접근통제시스템 연동부는 특성에 따라 접근통제 규칙을 생성하는 필터링 규칙 생성부와,The apparatus of claim 1, wherein the access control system interworking unit comprises: a filtering rule generating unit generating an access control rule according to a characteristic; 네트워크용 접근통제시스템 또는 호스트용 접근통제시스템으로 필터링 규칙을 전송하는 필터링 규칙 전송부를 포함하여 구성되는 것을 특징으로 하는 접근통제와 연동하는 침입탐지시스템.Intrusion detection system in conjunction with the access control, characterized in that it comprises a filtering rule transmission unit for transmitting the filtering rule to the network access control system or the host access control system. 제 1항에 있어서, 상기 필터링 규칙 생성부는 침입 포트를 차단하기 위한 토트 기반 필터링 규칙 생성부와, 침입자의 IP를 차단하기 위한 IP 기반 필터링 규칙 생성부와, 기관의 최소 서비스 유지를 위하여 최소 허용 도메인 이외의 모든 트래픽을 차단하는 허용 도메인 목록 기반 필터링 규칙 생성부와, 이전에 적용한 규칙을 변경하기 위한 필터링 규칙 수정부를 포함하여 구성되는 것을 특징으로 하는 접근통제와 연동하는 침입탐지시스템.The apparatus of claim 1, wherein the filtering rule generator comprises a tote-based filtering rule generator for blocking an intrusion port, an IP-based filtering rule generator for blocking an intruder's IP, and a minimum allowed domain for maintaining a minimum service of an organization. Intrusion detection system in conjunction with the access control, characterized in that configured to include a filtering domain rule-based filtering rule generation unit for blocking all other traffic, and a filtering rule modification for changing a previously applied rule. 보안정책위반탐지부, 오용탐지부, 비정상행위탐지부 및 재분석부를 포함하여 구성된 침입탐지시스템의 침입대응방법에 있어서,In the intrusion response method of the intrusion detection system comprising a security policy violation detection unit, misuse detection unit, abnormal behavior detection unit and re-analysis unit, 상기 보안정책위반탐지부에서는 침입으로 판정된 이벤트일 경우, 필터링 규칙 생성부로 전달되는 단계와,In the security policy violation detector, if the event is determined to be an intrusion, the security policy violation detection unit passes to the filtering rule generator; 상기 필터링 규칙 생성부에서는 먼저, 내부 공격자인지 외부 공격자인 판단하는 제 1판단 단계와,In the filtering rule generation unit, first, determining whether it is an internal attacker or an external attacker; 상기 제 1판단 단계에서 외부 공격자이면, 트래픽이 인바운드 인지 아웃바운드 인지 판단하는 제 2판단 단계와,A second determination step of determining whether the traffic is inbound or outbound if the external attacker is the first determination step; 상기 제 2판단 단계에서 인바운드 트래픽이면, 네트워크 레벨 접근통제시스템과 연동하여 IP를 기반으로 필터링 규칙을 생성하는 단계와,If the inbound traffic in the second determination step, generating a filtering rule based on IP in association with a network level access control system; 상기 제 2판단 단계에서 아웃바운드 트래픽이면, 네트워크 레벨 접근통제시스템과 연동하여 포트를 기반으로 필터링 규칙을 생성하는 단계와,If the outbound traffic in the second determination step, generating a filtering rule based on a port in association with a network level access control system; 상기 제 1판단 단계에서 내부 공격자이면, 트래픽이 인바운드 인지 아웃바운드 인지 판단하는 제 3판단 단계와,A third determination step of determining whether the traffic is inbound or outbound if the internal attacker is the first determination step; 상기 제 3판단 단계에서 트래픽이 인바운드 이면, 호스트 레벨에서 접근통제시스템과 연동하여 IP를 기반으로 필터링 규칙을 생성하는 단계와,If the traffic is inbound in the third determination step, generating a filtering rule based on the IP by interworking with the access control system at the host level; 상기 제 3판단 단계에서 트래픽이 아웃바운드 이면, 호스트 레벨에서 접근통제시스템과 연동하여 포트를 기반으로 필터링 규칙을 생성하는 단계와,If the traffic is outbound in the third determination step, generating a filtering rule based on a port in association with an access control system at a host level; 상기 필터링 규칙 생성부에서 생성된 필터링 규칙들은 접근통제시스템 필터링 규칙 전송부로 전달되는 단계를 포함하는 것을 특징으로 하는 침입대응방법.The filtering rules generated by the filtering rule generating unit may include a step of passing the access control system filtering rule transmitting unit. 제 4항에 있어서, 상기 오용탐지부에서 침입으로 판정된 이벤트일 경우, 필터링 규칙 생성부로 전달되는 단계와,5. The method of claim 4, further comprising: passing the event to the filtering rule generator when the event is determined to be an intrusion by the misuse detection unit. 상기 필터링 규칙 생성부에서는 먼저, 내부 공격자인지 외부 공격자인지를 판단하는 제 4판단 단계와,In the filtering rule generator, first, a fourth determination step of determining whether the attacker is an internal attacker or an external attacker; 상기 제 4판단 단계에서 외부 공격자이면, 네트워크 레벨 접근통제시스템과 연동하는 IP를 기반으로 필터링 규칙을 생성하는 단계와,Creating a filtering rule based on an IP interworking with a network level access control system if the attacker is an external attacker in the fourth determination step; 상기 제 4판단 단계에서 내부 공격자이면, 호스트 레벨에서 접근통제시스템과 연동하는 IP를 기반으로 필터링 규칙을 생성하는 단계와,Creating a filtering rule based on an IP interworking with the access control system at the host level if the attacker is an internal attacker in the fourth determination step; 상기 필터링 규칙 생성부에서 생성된 필터링 규칙들은 접근통제시스템 필터링 규칙 전송부로 전달되는 단계를 포함하는 것을 특징으로 하는 침입대응방법.The filtering rules generated by the filtering rule generating unit may include a step of passing the access control system filtering rule transmitting unit. 제 4항에 있어서, 상기 비정상행위탐지부에서 침입으로 판정된 이벤트일 경우, 필터링 규칙 생성부로 전달되는 단계와,The method as claimed in claim 4, further comprising: when the event is determined to be an intrusion in the abnormal behavior detection unit, passing to the filtering rule generator; 상기 필터링 규칙 생성부에서는 먼저, 단일 공격인지 다중 공격인지 판단하는 제 5판단 단계와,In the filtering rule generator, first, a fifth determination step of determining whether a single attack or multiple attacks is performed; 상기 제 5판단 단계에서 단일 공격이면, 내부 공격자인지 외부 공격자인지 판단하는 제 6판단 단계와,A sixth judgment step of determining whether the attacker is an internal attacker or an external attacker if the single attack in the fifth determination step is performed; 상기 제 6판단 단계에서 외부 공격자이면, 네트워크 레벨 접근통제시스템과 연동하는 IP를 기반으로 필터링 규칙을 생성하는 단계와,Creating a filtering rule based on an IP interworking with a network level access control system if the attacker is an external attacker in the sixth judging step; 상기 제 6판단 단계에서 내부 공격자이면, 호스트 레벨에서 접근통제시스템과 연동하는 IP를 기반으로 필터링 규칙을 생성하는 단계와,Creating a filtering rule based on an IP interworking with the access control system at the host level if the attacker is an internal attacker in the sixth judging step; 상기 제 5판단 단계에서 분산 서비스 공격과 같은 다중 공격일 경우, 관리자가 미리 설정한 최소 허용 도메인 목록을 참조하여 최소 허용 도메인 목록 기반 필터링 규칙을 생성하는 단계와,Creating a minimum allowed domain list based filtering rule with reference to a minimum allowed domain list preset by an administrator in the case of multiple attacks such as a distributed service attack in the fifth determination step; 상기 필터링 규칙 생성부에서 생성된 필터링 규칙들은 접근통제시스템 필터링 규칙 전송부로 전달되는 단계를 포함하는 것을 특징으로 하는 침입대응방법.The filtering rules generated by the filtering rule generating unit may include a step of passing the access control system filtering rule transmitting unit. 제 4항에 있어서, 재분석부에서 침입으로 판단된 이벤트일 경우, 필터링 규칙 생성부로 전달되는 단계와,5. The method of claim 4, further comprising: passing the event to the filtering rule generator when the event is determined to be an intrusion by the reanalyzer. 상기 필터링 규칙 생성부에서는 먼저, 침입별 대응목록을 참조하여 이전 대응행위로 재분석된 결과를 비교하여 대응행위의 수정이 필요한가를 판단하는 제 7판단 단계와,In the filtering rule generator, first, a seventh judging step of determining whether a corrective action is required by comparing the result of re-analyzing the previous response action with reference to the intrusion-specific correspondence list, 상기 제 7판단 단계에서 대응행위의 수정이 필요 없을 경우, 종료하는 단계와,If it is not necessary to correct the corresponding act in the seventh judging step, ending; 상기 제 7판단 단계에서 수정이 필요할 경우, 해당 대응행위에 따라 필터링 규칙을 수정하는 단계와,Modifying the filtering rule according to the corresponding action when the seventh determination step requires modification; 상기 필터링 규칙 생성부에서 생성된 필터링 규칙은 접근통제시스템 필터링 규칙 전송부로 전달되는 단계를 포함하는 것을 특징으로 하는 침입대응방법.The filtering rule generated by the filtering rule generating unit includes the step of passing to the access control system filtering rule transmission unit.
KR1020010003296A 2001-01-19 2001-01-19 Intrusion detection system to interact with access control and method for intrusion confrontation KR100351305B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020010003296A KR100351305B1 (en) 2001-01-19 2001-01-19 Intrusion detection system to interact with access control and method for intrusion confrontation

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020010003296A KR100351305B1 (en) 2001-01-19 2001-01-19 Intrusion detection system to interact with access control and method for intrusion confrontation

Publications (2)

Publication Number Publication Date
KR20020062071A KR20020062071A (en) 2002-07-25
KR100351305B1 true KR100351305B1 (en) 2002-09-05

Family

ID=27692284

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020010003296A KR100351305B1 (en) 2001-01-19 2001-01-19 Intrusion detection system to interact with access control and method for intrusion confrontation

Country Status (1)

Country Link
KR (1) KR100351305B1 (en)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100422807B1 (en) * 2001-09-05 2004-03-12 한국전자통신연구원 Security gateway apparatus for controlling of policy-based network security and its proceeding method
KR100456634B1 (en) * 2002-10-31 2004-11-10 한국전자통신연구원 Alert transmission apparatus and method for policy-based intrusion detection & response
KR100613904B1 (en) * 2004-11-04 2006-08-21 한국전자통신연구원 Apparatus and method for defeating network attacks with abnormal IP address
KR100688604B1 (en) * 2004-11-18 2007-03-02 고려대학교 산학협력단 Apparatus and method for intercepting malicious executable code in the network
KR100685050B1 (en) * 2005-12-26 2007-02-22 주식회사 포스코 Method of intrusion response for control and instrumentation system network
KR100833973B1 (en) * 2006-08-14 2008-05-30 전남대학교산학협력단 Meta access control system
KR101011223B1 (en) * 2008-12-03 2011-01-28 한국인터넷진흥원 SIP-based Enterprise Security Management System
KR101394383B1 (en) * 2012-06-15 2014-05-13 건국대학교 산학협력단 Router deploying system in the AS for DDoS Attack defense
CN108540473A (en) * 2018-04-09 2018-09-14 华北理工大学 A kind of data analysing method and data analysis set-up

Also Published As

Publication number Publication date
KR20020062071A (en) 2002-07-25

Similar Documents

Publication Publication Date Title
US7089303B2 (en) Systems and methods for distributed network protection
US7197563B2 (en) Systems and methods for distributed network protection
US6405318B1 (en) Intrusion detection system
US20170257339A1 (en) Logical / physical address state lifecycle management
AU2003222180B2 (en) System and method for detecting an infective element in a network environment
US20030188190A1 (en) System and method of intrusion detection employing broad-scope monitoring
US7039950B2 (en) System and method for network quality of service protection on security breach detection
US20050216956A1 (en) Method and system for authentication event security policy generation
US20050005017A1 (en) Method and system for reducing scope of self-propagating attack code in network
WO2003083659A1 (en) Firewall system and method via feedback from broad-scope monitoring for intrusion detection
CN112995187B (en) Network cooperative defense system and method based on community structure
KR100351305B1 (en) Intrusion detection system to interact with access control and method for intrusion confrontation
JP2004302538A (en) Network security system and network security management method
US8819285B1 (en) System and method for managing network communications
EP2141884B1 (en) Anti-intrusion method and system for a communication network
WO2001093531A2 (en) Systems and methods for distributed network protection
KR20130033161A (en) Intrusion detection system for cloud computing service
JP3822588B2 (en) Unauthorized access detection device, unauthorized access detection method, and management terminal
KR20030042318A (en) Attacker isolation method and system using packet filtering at the border router of ISP
JP3309961B2 (en) Network attack defense system by traffic shaping
JP2003186763A (en) Detection and prevention method of breaking into computer system
CN114584341B (en) Zero-boundary trusted network architecture system, data processing method and device
Hooper Intelligent autonomic strategy to attacks in network infrastructure protection: Feedback methods to IDS, using policies, alert filters and firewall packet filters for multiple protocols
KR20080029426A (en) System and method for protecting web
Hooper An intelligent detection and response strategy to false positives and network attacks: operation of network quarantine channels and feedback methods to IDS

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130816

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20140703

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20150909

Year of fee payment: 14

FPAY Annual fee payment

Payment date: 20160817

Year of fee payment: 15

FPAY Annual fee payment

Payment date: 20170711

Year of fee payment: 16

FPAY Annual fee payment

Payment date: 20180920

Year of fee payment: 17

FPAY Annual fee payment

Payment date: 20190620

Year of fee payment: 18