KR100351306B1 - Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof - Google Patents

Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof Download PDF

Info

Publication number
KR100351306B1
KR100351306B1 KR20010003295A KR20010003295A KR100351306B1 KR 100351306 B1 KR100351306 B1 KR 100351306B1 KR 20010003295 A KR20010003295 A KR 20010003295A KR 20010003295 A KR20010003295 A KR 20010003295A KR 100351306 B1 KR100351306 B1 KR 100351306B1
Authority
KR
Grant status
Grant
Patent type
Prior art keywords
step
intrusion
detection
data
unit
Prior art date
Application number
KR20010003295A
Other languages
Korean (ko)
Other versions
KR20020062070A (en )
Inventor
김기현
김동욱
양승호
Original Assignee
주식회사 정보보호기술
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Grant date

Links

Images

Abstract

본 발명은 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법에 관한 것으로, 보다 상세하게는 종래의 오용탐지와 비정상행위탐지로만 구성되는 침입탐지기능에 보안정책위반 탐지 기능과 재분석 기능을 추가하여 침입탐지율을 높이고, 오판율을 줄이며 빠른 침입탐지와 대응 기능을 제공할 수 있도록 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법에 관한 것이다. The present invention further provides an intrusion detection system, and relates to its method, and more particularly to a security policy violation detection and re-analyze features in the intrusion detection function comprising only conventional misuse detection, anomaly detection using different intrusion detection model intrusion detection rates increase, the present invention relates to an intrusion detection system and method for using a variety of intrusion detection model reduces the rate of false positives to deliver the fast intrusion detection and response capabilities.

Description

다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법{Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof} An intrusion detection system and method for intrusion detection using a variety of models {Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof}

본 발명은 침입탐지시스템에 관한 것으로, 보다 상세하게는 종래의 오용탐지와 비정상행위탐지로만 구성되는 침입탐지기능에 침입차단시스템(Firewall)등에서 사용하는 접근통제 개념을 침입탐지시스템에 도입하여 기관의 시스템/네트워크별 보안정책을 침입탐지시스템에 수용하고, 위반사항을 탐지할 수 있는 기능을 제공하며, 중복 알람 방지와 복합 공격 분석을 위한 재분석 기능을 부가하여 다중 침입시스템을 구성함으로써, 침입탐지 및 대응시간을 단축시키고 시스템의 부하를 줄이면서 정확한 침입분석 능력을 갖도록 하는 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법에 관한 것이다. The present invention intrusion-detection relates to a system, and more particularly the introduction of access control concept for use in the firewall (Firewall) to the intrusion detection is composed of only the conventional misuse detection, anomaly detection in the intrusion detection system of the engine by accepting the system / network-specific security policies, intrusion detection systems, and provides the ability to detect violations, configure multiple intrusion systems, in addition to the re-analysis capability for redundant alarm and prevent complex attacks analysis, intrusion detection and shortening the response time and intrusion using a variety of intrusion detection model for reducing the load on the system to have an accurate analysis of intrusion detection systems and capabilities related to the method.

초기에 컴퓨터 시스템 관리자들은 막대한 양의 감사 기록(audit record) 정보들로부터 보안 관리에 필요한 정보들만을 선택적으로 수용하고 분석하기 위해서 일일이 저장된 로그 파일들을 수작업으로 처리해야 했다. Initially a computer system administrator had to manually process them individually stored in log files in order to selectively receive and analyze only the information needed to manage security from huge amounts of audit records (audit record) information. 이에 따라, 이를 신속하게 처리하기 위한 자동화된 감사 도구의 개발이 요구되었으며, 그 동안에 축적된 감사 기록 분석 기술을 이용하여 감사기록을 자동으로 분석하여 시스템에 불법적으로 침입하거나 해를 끼친 행위들을 찾아내려는 시도를 하게 되었다. As a result, it was required for the development of an automated auditing tool to expedite the process, and using the audit trail analysis technologies accumulated during Automatically analyze audit records trying to find the actions kkichin illegal intrusion or harm to the system It was an attempt. 하지만 사후에 발견되는 침입행위는 늦은 감이 없지 않았고, 해커들의 감사 기록 삭제 시도로 인해 사고 분석 및 발견이 용이하지 않다는 문제점이 존재하였다. But the intrusion is found in post did not without late, and there is a problem is not easy to find because of the accident analysis and audit records deleted attempts by hackers.

또한, 분산 환경과 개방 환경으로 컴퓨팅 환경이 전환되면서 고도화되고 분산된 공격형태를 취하고 있는 침입 기법으로부터 시스템을 보호하기 위해서는 실시간으로 침입을 탐지하고 대응할 수 있는 실시간 침입탐지시스템을 필요로 하게 되었다. In addition, in order to protect the system against intrusion techniques that take a sophisticated, distributed computing environments while switching to a distributed environment and open environment, forms of attack was to require a real-time intrusion detection system that can detect and respond to intrusions in real time.

1980년 초 Anderson은 침입(Intrusion)을 컴퓨터가 사용하는 자원의 무결성(integrity), 비밀성(confidentiality), 가용성(availability)을 저해하는 일련의 행위들의 집합을 의미하며, 컴퓨터 시스템의 보안정책을 파괴하는 행위로 정의하였으며, 1987년 침입탐지시스템의 일반적 모델을 정의한 Dorothy E. Denning은 침입탐지시스템을 대상시스템에서 허가되지 않거나 비정상적인 행위에 대하여 탐지, 식별하고 보고하는 기능의 소프트웨어로 정의하고 있다. Early 1980, Anderson refers to a set of a series of acts to inhibit the intrusion (Intrusion) Integrity (integrity), confidentiality (confidentiality), availability (availability) of resources used by the computer to, and destruction of the security policy of a computer system It was defined as an act that, in 1987 Dorothy E. Denning defined a general model of intrusion detection systems are defined as features of the software to detect, identify and report on unauthorized or an intrusion detection system on the target system, abnormal behavior.

이러한 침입탐지시스템을 크게 다음의 두 가지 분류 기준으로 나누고 있다. These intrusion detection systems are largely divided into the following two classification criteria.

하나는 데이터 소스(Source)를 기반으로 하는 분류 방법이며 다른 하나는 침입탐지 모델을 기반으로 하는 분류 방법이다. One is the classification method based on the data source (Source) the other is a classification scheme based on an intrusion detection model.

데이터 소스(Source)를 기반으로 침입탐지시스템을 분류하면 호스트 기반(Host Based)과 네트워크 기반(Network Based)을 분류된다. If you classify intrusion detection system based on the data source (Source) it is classified host-based (Host Based) and network based (Network Based). 호스트 기반 침입탐지시스템은 호스트로부터 생성되고 수집된 감사(audit) 데이터를 침입 여부 판정에 사용하며, 하나의 호스트를 탐지영역으로 한다. Host-based intrusion detection system is used to determine whether the intrusion thanks generated from a host and collection (audit) data, and one of the host to the detection area. 네트워크 기반 침입탐지시스템은 네트워크의 패킷 데이터를 수집하여 침입 여부 판정에 사용하며, 침입탐지시스템이 설치된 네트워크 영역 전체를 탐지 대상으로 한다. Network-based intrusion detection system uses the intrusion determination collects packet data from a network, and the entire network area, the intrusion detection system provided with detection target.

침입탐지 모델을 기반으로 분류하면 오용 탐지(Misuse Detection)와 비정상행위 탐지(Anomaly Detection) 기술로 분류된다. If you classify intrusion detection model based it is classified as misuse detection (Misuse Detection) and Anomaly Detection (Anomaly Detection) technology. 오용탐지는 시스템의 알려진 취약점들을 이용하여 공격하는 행위들을 사전에 공격에 대한 특징 정보를 가지고 있다가 탐지하는 방법으로, 시스템 감사기록 정보에 대한 의존도가 높고 상대적으로 구현 비용이 저렴하나, 알려진 공격기법에 대한 탐지능력만을 가지고 있기 때문에 최신 공격기법에 대한 계속적인 연구가 필요하며, 침입 시나리오를 추가시켜주어야 하는 어려움이 있다. Misuse detection is a method of detecting a has a characteristic information about attack actions attacks using known vulnerabilities in the system in advance, a high dependence on the system audit records one cheaper relative cost of implementation, known attack techniques the ongoing study of the latest attack techniques needed because we have only the ability to detect, and it is difficult to give by adding intrusion scenarios. 비정상행위 탐지는 정상적인 시스템 사용에 관한 프로파일과 시스템 상태를 유지하고 있다가, 이 프로파일에서 벗어나는 행위들을 탐지하는 방법으로, 정상적인 프로파일을 생성하는 데 있어 기존의 많은 데이터를 분석하여야 하기 때문에 상대적으로 구현 비용이 크다. Anomaly Detection is a can and maintain the profile and the state of the system on the normal system use, as the method for detecting out of action in this profile, it is to generate a normal profile due to be analyzed existing number of data of the relatively cost of implementation It is greater.

일반적으로 침입탐지시스템(Intrusion Detection System ; IDS)이라 함은 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 가능하면 실시간으로 탐지하는 시스템을 말한다. In general, intrusion detection systems; as (Intrusion Detection System IDS) means a system for detecting in real time, if possible, the abnormal use, misuse and abuse of computer systems. 이러한 침입탐지시스템에서의 기술적 관건은 컴퓨터 시스템의 침입 여부를 판단하기 위한 근거를 어디에서, 얼마나 정확하게, 그리고 신속하게 찾을 수 있느냐에 달려있다. Technical key in this intrusion detection system depends on where the basis for determining whether or not the intrusion of computer systems, how accurately and quickly whether you can find. 그리고 침입 판정시 오판율을 줄이는 문제도 기술적으로 지속적인 성능향상을 통해 해결해야 할 큰 과제이다. And the problem of reducing the rate of false positives when breaking decision also is a big technical challenge through continuous performance improvement.

도 1은 종래의 침입탐지시스템의 구성을 설명하기 위한 블록구성도이다. Figure 1 is a block diagram illustrating a configuration of a conventional intrusion detection systems.

여기에 도시된 바와 같이, 데이터수집부(120), 데이터필터링 및 축약부(130), 침입탐지부(140), 경고 및 보고부(150), 침입대응부(160)로 구성이 되어있다. Here, the is configured as a data acquisition unit 120, a data filtering and contraction section 130, intrusion-detection unit 140, a warning and reporting unit 150, an intrusion response unit 160 as shown in Fig.

외부 또는 내부 네트워크(100)에서 감시대상 서버(110)가 있는 네트워크로 패킷이 발생하면, 데이터수집부(120)는 모든 트래픽을 수집하여 데이터 필터링 및 축약부(130)로 이를 전달한다. If the packet generated by an external or internal network with the network monitoring target server 110 at 100, the data collection unit 120 collects all traffic passes it to data filtering and short section 130. The

데이터 필터링 및 축약부(130)는 방대한 양의 패킷(Row Data)들로부터 감시대상 서버(110)로 트래픽 만을 필터링하고, 침입탐지가 가능할 수 있도록 의미 있는 정보로의 전환 및 축약하고 침입탐지부(140)로 전달된다. Data filtering and contraction section 130 is converted into meaningful information to, and filters only traffic to the monitored server 110, from the large amount of packets (Row Data), can be an intrusion detection and short and intrusion detection section ( It is passed to 140).

상기 침입탐지부(140)는 오용탐지부(141)와 비정상행위탐지부(142)로 구성된다. Wherein the intrusion detection section 140 is composed of misuse detection unit 141 and the anomaly detection section 142. 상기 오용탐지부(141)는 시스템의 알려진 공격행위에 대한 특징 정보가 저장된 침입패턴 데이터베이스를 가지고 있으며, 발생한 이벤트(event)가 침입패턴 데이터베이스의 내용과 같으면, 침입으로 판정한다. The misuse detection unit 141 may have the attack pattern database is stored in the characteristic information for known attack behavior of the system, an event occurred (event) the same as the content of the attack pattern database, it is checked by the intrusion. 상기 비정상행위탐지부(142)는 정상적인 시스템 사용에 관한 프로파일과 시스템 상태를 저장한 프로파일 데이터베이스를 가지고 있으며, 발생한 이벤트가 프로파일 데이터베이스에 저장된 상태를 한계치 이상 벗어날 경우, 비정상행위로 판정한다. If the anomaly detection unit 142 has a profile database that stores the profile and the state of the system on the normal system use, the event that occurred is outside the state stored in the profile database at least limit, it is determined as anomaly.

발생한 이벤트가 침입탐지부(140)에서 침입으로 판정되면, 경고 및 보고부(150)에서 알람 등을 발생하여 관리자에게 알리고 관련 감사기록을 저장한다. If the occurred event is judged as intrusion from the intrusion detection unit 140, to generate an alarm in such warning and reporting unit 150 notifies the manager and stores the related audit records. 또한, 침입으로 판정된 이벤트에 대하여 침입대응부(160)에서는 관리자가 설정한 대응 행위에 따라 접속해제, 접근통제시스템의 환경 재설정 등 침입대응 기능을 수행한다. Further, in respect to the event is determined as a breaking intrusion response unit 160 performs a corresponding function such as intrusion disconnected according to the corresponding behavior set by the administrator, to reset the environment of the access control system.

이와 같이 구성된 종래의 침입탐지시스템에서 상기 오용탐지부(141)는 시스템 감사기록 정보에 대한 의존도가 높고, 상대적으로 구현 비용이 저렴하나 알려진 공격기법에 대한 탐지능력만을 가지고 있기 때문에, 최신 공격기법에 대한 계속적인 연구가 필요하며, 침입 시나리오를 추가시켜주어야 하는 어려움이 있다. Since the conventional intrusion detection system constructed in this manner it has only the detection capabilities for the misuse detection unit 141 has a high dependency on a system audit trail information, low-known one is relatively implementation cost attack technique, the most recent attack techniques and the need for continued research, it is difficult to give by adding intrusion scenarios. 오용탐지를 위하여 여러 방법들이 연구되어 왔는데 즉, 조건부 확률, 전문가시스템, 상태전이 분석, 패턴 매칭, CPN(Colored Petri-Net) 분석 등이 제안되었고, 복잡하고 다양한 침입을 어떻게 쉽게 표현할 것이며 이러한 방식을 사용하여 침입탐지율을 얼마나 높이느냐에 중점을 두고 있다. Picked are many ways to study for misuse detection that is, the conditional probability, expert systems, state transition analysis, pattern matching, CPN (Colored Petri-Net) analysis, this was proposed, will complicate, and how easily express a variety of intrusion in these ways It focuses neunyae how high the intrusion detection rate using. 대부분의 상용 침입탐지시스템들은 감사 이벤트(Audit Event)를 감사 데이터(Audit Trail)에서 감사 데이터의 순서, 데이터 패턴 등과 직접 찾을 수 있는 정보로 변환하여 해킹 데이터베이스와 비교하는 방식을 사용하고 있어 이를 통틀어 시그너쳐 분석(Signature Analysis)으로 부르기도 한다. Most commercial intrusion detection system will have to convert the audit events (Audit Event) in the order, information that can be directly found as a data pattern of audit data from the audit data (Audit Trail) using the method of comparison with the hacked database signature across it It is also known to analyze (Signature analysis).

또한, 상기 비정상행위탐지부(142)는 정상적인 프로파일을 생성하는데 있어서 기존의 많은 데이터를 분석하여야 하기 때문에, 상대적으로 구현 비용이 크다. In addition, the anomaly detection unit 142 to be analyzed because the existing number of data in generating a normal profile, a relatively greater cost of implementation. 비정상행위 탐지를 위하여 여러 방법들이 연구되어 왔는데 즉, 통계적 기법, 전문가 시스템, 데이터 마이닝(Data Mining), 은닉 마코브 모델(Hidden Markov Model), 컴퓨터 면역학, 신경망 등이 제안되었으며, 사용자들의 정상행위를 어떻게 표현하고 현재 발생되는 이벤트가 정상행위와 얼마나 차이가 나는지를 추론하는데 중점을 두고 있다. The anomaly came several methods have been studied for detection that is, statistical methods, expert systems, data mining (Data Mining), concealed Markov models (Hidden Markov Model), a computer immunology, neural networks has been proposed, the normal behavior of users How to express and events that are generated are focused on the reasoning naneunji how much difference with the normal activity. 이러한 비정상행위 탐지 기술은 오늘날 많은 연구의 주제가 되고 있으나 구현 비용이 너무 크고 오판율이 높아 상용에서는 사용하지 않는다. This anomaly detection technology is not used in this theme are high, but the rate of false positives is too large implementation costs of commercial studies today. 상용제품에서 사용하는 비정상행위 탐지기술은 빈도수(frequencies), 분산(covariance), 평균(means) 등 통계치 프로파일을 유지하고 현재 발생되는 이벤트가 이들 한계치를 넘을 경우 침입으로 판정한다. Anomaly detection technology used by the commercial product is the frequency (frequencies), maintaining the statistic profile, distributed (covariance), mean (means) determines the event that caused the current intrusion, if more than these limits.

지금까지 많은 연구들은 오용탐지 방법이나 비정상행위 방법을 개선함으로써, 침입탐지율을 높이고 오판율을 줄이기 위하여 다양한 방법들이 연구되어 왔다. So far, many studies have been studied by a variety of methods to improve the misuse and anomaly detection methods, methods to increase intrusion detection rates in order to reduce the rate of false positives. 오용탐지 기술과 비정상행위 기술의 혼합된 사용은 오용탐지는 알려진 공격으로 구성된 해킹 데이터베이스에 없는 침입은 탐지하지 못하며, 비정상행위는 정상행위를 벗어난 비정상 정도만을 표현할 뿐 침입을 정확히 지적하지 못한다는 문제점 때문에 두 방식간의 단점을 보완하기 위하여 병행 사용되고 있으나 두 방식을 혼합 사용하여 다른 형태의 침입을 분석하는 방식은 연구되고 있지 않다. Mixed use of misuse detection technology and anomaly technology Misuse Detection mothamyeo not detect intrusion without hacking database of known attacks, the aberrant behavior does not pinpoint as to express the abnormal only outside the normal act of intrusion problems it is used in parallel in order to overcome the disadvantages between the two methods, but by mixing using a two way analysis of how the different types of intrusion is not being studied.

이처럼 침입탐지시스템에서 오용탐지와 비정상행위 탐지 기술을 중심으로 탐지 방법들이 연구되고 있으나, 오용 및 비정상행위탐지 이외의 다른 개념의 도입이나 다양한 침입탐지 방법들의 혼합된 사용으로 탐지율을 높이고 오판율을 줄이는 시도는 거의 이루어지지 않고 있다. Such intrusion in a system misuse detection and mainly Anomaly Detection technology detection methods are however being studied, misuse and anomaly increase detection rates in the mixed use of different intrusion detection introduces the different concepts and the methods other than detection to reduce false positives rate try not have hardly done. 이러한 종래의 침입탐지시스템은 다음과 같은 문제점이 있다. Such conventional intrusion detection system has the following problems.

첫째, 기존의 침입탐지시스템은 오용탐지와 비정상행위탐지부 만으로 구성되어 있어서 기관의 보안 정책을 반영하기 힘들다. First, the existing intrusion detection system consists only in part Misuse Detection and Anomaly Detection is difficult to reflect the security policy of the organization. 대부분의 침입탐지시스템은 발생한 이벤트가 오용탐지부의 해킹 데이터베이스의 특정 내용과 같거나 비정상행위탐지부에서 정의한 한계치를 넘을 경우 침입임을 경고한다. Most of the intrusion detection system warns that if such an event occurred and the specific content of the misuse detection unit hacked database or exceed the defined limit on the anomaly detection unit invasion. 관리자는 단지 보안위반사건 데이터베이스와 일치성을 검사할 것인지 아닌지를 On/Off로 결정할 수 있으며, 한계치를 재조정할 수 있다. The administrator can only be decided with the On / Off to examine whether the security breach incidents database and consistency, you can readjust the limit. 종래의 침입탐지시스템은 기관의 보안정책과 관계없이 일률적인 적용만 가능하므로 기관이나 조직의 특성에 상관없이 동일한 동작형태를 갖는다. Conventional intrusion detection system, because only uniform application despite the security policy of the organization has the same operation mode, regardless of the characteristics of the organ or tissue.

둘째, 종래의 침입탐지시스템은 보안위반사건 데이터베이스에서 정의한 시그너쳐(Signature)와 일치하여야만 침입임을 판정한다. Second, conventional intrusion detection system determines that the intrusion hayeoyaman match the signature (Signature) defined by the security breach incidents database. 시그너쳐의 연속으로 침입이 표현될 경우 일정 시간 진행되기 전까지는 침입으로 판정하지 않는다. A series of signatures when breaking the expression is not determined to be in progress until a predetermined time breaking. 이로 인하여 침입이 시작되었음에도 불구하고 침입탐지시스템은 이벤트를 관찰 만하고 있으며 일정 시간이 경과한 후에야 침입임을 알아차림으로써 대응에 늦게된다. Due to this, despite the invasion started, and intrusion detection systems manhago observe the event and only after a certain period of time is late by a corresponding figure out that attack.

셋째, 종래의 침입탐지시스템은 트래픽 중 감시대상으로의 트래픽만을 필터링하여 오용탐지부와 비정상행위탐지부로 전달된다. Third, conventional intrusion detection system to filter only the traffic to the destination of the traffic is delivered to the monitor unit misuse detection and anomaly detection. 전달된 패킷은 오용탐지부와 비정상행위탐지부에 해당 분석 모듈이 있을 경우 이를 모두 분석한다. The packet is forwarded to analyze all of this, if there is such a analysis module unit misuse detection and anomaly detection unit. 모든 해킹 데이터베이스의 검색을 방지하기 위하여 시스템 특성별 해킹 데이터베이스를 분리하거나 서비스별 해킹 데이터베이스를 분리하여 분산처리하며 어떤 시스템은 침입탐지시스템 설치시 필요한 데이터베이스만을 설치하여 시스템 부하를 줄일려고 한다. To prevent hacking database search of all the distributed processing by separating the system characteristics by hacking database or disconnect the service by hacking database, which system is installed when you install only the required database intrusion detection system should try to reduce system load. 그러나 해당 시스템과 서비스의 특성을 모두 고려하여 해킹 데이터베이스를 구성할 경우 설계의 어려움이 따르며, 불필요한 데이터베이스를 제거하였을 경우는 시스템의 서비스가 변동에 따라 다시 설치해야 하는 문제가 발생한다. However, the subject of design challenges when configuring the database by hacking into account both the characteristics of its systems and services, in the case was removed unnecessary database is a problem that the system service must be installed in accordance with the changes again.

넷째, 종래의 침입탐지시스템은 서로 다른 공격으로 판단될 때 이를 각각 경고한다. Fourth, the conventional intrusion detection systems warn each other when each judge another attack. 공격의 판정에 있어 여러 가지 시그너쳐들의 연관성을 보고 특정 공격으로 판정하고 있느나 판정된 공격들간의 연관성을 분석하여 새로운 공격으로 정의하지는 않음으로써 유사한 공격이 발생할 경우 불필요한 많은 알람을 발생시킨다. If you're determined to attack several reports analyzing the signature of an association or relationship between the determined attack itneu to determine a specific attack it does not define a new attack by a similar attack occurs and generates a lot of unnecessary alarms.

본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서 본 발명의 목적은 시스템 보안의 전통적 개념인 접근통제 기술을 침입탐지시스템에 도입하여 해킹 행위나 비정상행위는 아니지만 기관에서 정해놓은 보안정책을 위반할 경우에도 이를 탐지할 수 있는 침입탐지시스템을 제공하는데 있다. The present invention is in violation of security policy've set in, but institutions hacking behavior or abnormal behavior is an object of the present invention by introducing the traditional concept of access control technology, system security, intrusion detection system, as conceived in order to solve the above problems even if there is provided an intrusion detection system that can detect it.

본 발명의 다른 목적은 보안정책의 선적용 및 분산된 후공격탐지의 구조로 오용탐지부와 비정상행위 탐지부로 전달되는 감사데이터를 보안정책에서 필터링함으로써, 시스템의 부하를 줄이며 보안정책에 기반한 필터링 결과로 감시대상별 최적의 침입탐지 모듈만을 구성하여 효율적이고 빠른 침입탐지를 할 수 있는 침입탐지시스템을 제공하는데 있다. It is another object of the present invention by filtering the audit data to be delivered to the misuse detection portion and the anomaly detection to the structure after the shipping and distribution of security policy attack detected by the security policy, reduce the load on the system filtering results based on the security policy to configure only the best target-intrusion monitoring module as to provide an intrusion detection system that can be efficient and rapid intrusion detection.

본 발명의 또 다른 목적은 보안정책에 기반한 선탐지 기능과 즉각적인 대응 기능을 수행하고 재분석 기능을 통하여 세부 침입 정보를 후분석함으로써, 빠른 침입탐지 및 대응과 정확한 침입분석을 할 수 있는 침입탐지방법을 제공하는데 있다. It is another object of the present invention an intrusion detection method can be a line detection and by performing an immediate response capability, and after analyzing the detailed break information through the re-analysis capabilities, rapid intrusion detection and response and accurate intrusion analysis based on security policy to provide.

본 발명의 또 다른 목적은 오용분석부와 비정상행위탐지부에서 침입으로 판정된 침입데이터에 대하여 재분석하여 같은 공격형태에 대한 중복알람을 방지하고 연관성 있는 공격들을 하나의 공격형태로 표현함으로써, 불필요한 알람을 방지하는침입탐지방법을 제공하는데 있다. By still another object of the present invention prevents the redundant alarms for forms of attack such as by re-analysis with respect to the break data determined as a break in the misuse analysis portion and the anomaly detection unit and representing correlation attacks as a form of attack, unnecessary alarms there is provided a method for preventing the intrusion.

도 1은 종래의 침입탐지시스템의 구성을 설명하기 위한 블록구성도이고, Diagram 1 is a block diagram illustrating a configuration of a conventional intrusion detection systems,

도 2는 본 발명에 따른 침입탐지시스템의 구성을 설명하기 위한 블록구성도이고, 2 is a block diagram illustrating a configuration of the intrusion detection system according to the invention,

도 3은 본 발명에 따른 침입탐지시스템의 상호동작을 설명하기 위한 상호동작도이고, And Figure 3 is a cross-operation illustrating the interaction of the intrusion detection system according to the invention,

도 4는 본 발명에 따른 데이터 필터링 및 축약부와 보안정책위반탐지부를 설명하기 위한 흐름도이고, 4 is a flowchart for explaining a security violation and data filtering and short detection portion policy in accordance with the invention,

도 5는 본 발명에 따른 오용탐지부를 설명하기 위한 흐름도이고, Figure 5 is a flow chart for explaining a misuse detection in accordance with the invention,

도 6은 본 발명에 따른 비정상행위탐지부를 설명하기 위한 흐름도이고, 6 is a flow chart for explaining a detected anomaly in accordance with the invention,

도 7은 본 발명에 따른 결과조정 및 감사데이터 생성부를 설명하기 위한 흐름도이고, 7 is a flow chart for explaining a result of adjustment, and audit data generated in accordance with the invention,

도 8은 본 발명에 따른 재분석부를 설명하기 위한 흐름도이고, 8 is a flow chart for explaining a re-analyzed according to the invention,

도 9는 본 발명의 다른 실시예에 따른 침입탐지시스템의 상호동작을 설명하기 위한 상호동작도이다. 9 is an interaction diagram illustrating the interaction of the intrusion detection system according to another embodiment of the present invention.

* 도면의 주요 부분에 대한 부호 설명 * * Code Description of the Related Art *

200 : 내/외부 네트워크 210 : 감시대상서버 200: internal / external network 210: monitoring target server

220 : 데이터수집부 230 : 데이터 필터링 및 축약부 220: Data collection unit 230: data filtering and short portion

240 : 침입탐지부 241 : 보안정책위반탐지부 240: intrusion detection unit 241: Security policy violation detection unit

242 : 오용탐지부 243 : 비정상행위탐지부 242: misuse detection unit 243: anomaly detection unit

244 : 재분석부 250 : 경고 및 보고부 244: re-analysis unit 250: Warning and Reporting section

260 : 침입대응부 260: intrusion counterpart

상기와 같은 목적을 달성하기 위하여 본 발명은 외부 또는 내부 네트워크에서 감시대상인 서버가 있는 네트워크 패킷이 발생하면 모든 트래픽을 수집하는 데이터수집부와; When the present invention to accomplish the above object, a network packet is generated with the server monitoring the subject in an external or internal network, and a data collecting unit that collects all traffic; 상기 데이터 수집부에서 수집된 데이터들을 침입탐지에 필요한 데이터만을 필터링하며 침입탐지가 가능할 수 있도록 의미 있는 정보로 전환 및 축약하는 데이터 필터링 및 축약부와; The data collection unit of the collected data and only the data necessary for the filtering in the switch to the intrusion detection means, so that information can be an intrusion detection and reduced data filtering and reduced to unit; 상기 데이터 필터링 및 축약부에서 걸러진 데이터의 위반사항을 탐지 및 분석하는 침입탐지부와; Intrusion detection section for detecting and analyzing the violation of the filtered data points in the data filtering and short unit; 상기 침입탐지부에서 침입으로 분석되면 이에 대한 경고와 관련 감사기록을 남기는 경고 및 보고부와; If the intrusion detection unit in the analysis for this intrusion alerts and warnings to leave the relevant audit records and reporting unit; 또한, 상기 침입탐지부에서 침입으로 분석되면 접속해재, 접근통제시스템의 환경 재설정 등의 정의된 대응행위를 수행하는 칩입대응부를 포함하여 이루어진 것을 특징으로 한다. Further, it characterized in that made in comprising an intrusion corresponding to perform defined corresponding actions, such as the intrusion detection unit when the analysis by the intrusion connected in material, environment reset of the access control system.

또한, 상기 침입탐지부는 IP주소와 서비스 포트를 기반으로 감시대상 서버별 허용정책과 비허용정책 데이터베이스를 가지고 상기 데이터 필터링 및 축약부에서 수집된 데이터의 위반사항을 탐지하는 보안정책 위반탐지부와; In addition, the intrusion detection unit IP address and service port-based with a specific monitored server allows policy and non-acceptance policy database security policy violations to detect a breach of the data collected in the data filtering and reduced parts information detection unit; 시스템의 알려진 공격 행위에 대한 특징 정보 데이터베이스를 가지고 있다가 해킹 데이터베이스와 같은 내용의 이벤트가 발생하면 침입을 알리는 오용탐지부와; If you have a feature information database for known attack behavior of the system is the contents of the event, such as a database hacking occurred misuse detection unit notifies the intrusion and; 정상적인 시스템 사용에 관한 프로파일과 시스템 상태를 유지하고 있다가 이 프로파일에서 벗어나는 행위들을 탐지하는 비정상행위 탐지부와; That maintains a profile and the state of the system on the normal system use the anomaly detection unit for detecting that deviate from the profile; 상기 보안정책 위반탐지부에서 위반된 패킷과 상기 오용탐지부 및 비정상행위 탐지부에서 침입으로 판정된 데이터에 대해 재분석하는 재분석부를 포함하여 이루어진 것을 특징으로 한다. Characterized in that made in comprising a re-analysis of re-analysis for the packet and the misuse detection unit and the data determined to be in the intrusion anomaly detection unit breach in the security policy violation detection unit.

이하 본 발명의 바람직한 실시예를 첨부된 도면을 참조하여 상세히 설명한다. Reference to the accompanying drawings, the following preferred embodiment of the present invention will be described in detail.

도 2는 본 발명에 따른 보안정책에 기반한 다중 침입탐지시스템의 구성을 설명하기 위한 블록구성도이다. 2 is a block diagram illustrating a configuration of a multi-intrusion detection system based on the security policy in accordance with the present invention.

여기에 도시된 바와 같이, 본 발명에 의한 침입탐지시스템은 데이터수집부(220), 데이터 필터링 및 축약부(230), 침입탐지부(240), 경고 및 보고부(250), 침입대응부(260)로 구성된다. Here, as shown in, the intrusion detection system according to the present invention comprises data acquisition unit 220, a data filtering and contraction section 230, the intrusion detection section 240, alerting and reporting unit 250, an intrusion counterpart ( It consists of 260).

상기 데이터 수집부(220)는 외부 또는 내부 네트워크(200)에서 감시대상 서버(210)가 있는 네트워크로 모든 트래픽을 수집하고, 데이터 필터링 및 축약부(230)로 전달한다. The data collection unit 220 collects all traffic to a network with a monitored server 210 from an external or internal network 200, and transmitted to the data filter and reduced portion 230. The

상기 데이터 필터링 및 축약부(230)는 감시대상 시스템으로 트래픽 만을 필터링하고 침입탐지에 필요한 데이터만을 추출하여 침입탐지가 가능할 수 있도록 의미 있는 정보로의 전환 및 축약한다. The data is filtered and contraction unit 230 is converted into a meaningful filter only traffic monitored system and extracts only data necessary for intrusion detection to be reduced, and the intrusion-detection information.

상기 침입탐지부(240)은 보안정책위반탐지부(241), 오용탐지부(242), 비정상행위탐지부(243), 재분석부(244)로 구성된다. Wherein the intrusion detection section 240 is composed of a security policy violation detection unit 241, misuse detection unit 242, anomaly detection unit 243, a re-analysis 244. 상기 보안정책위반탐지부(241)는 접근통제 정책을 기반으로 감시대상 서버(210)별 허용정책과 거부정책를 가지고 위반사항을 탐지한다. With the security policy violation detection unit 241 is a policy-based monitoring target server 210 permitted by policy and deny access control policies to detect violations. 위반된 패킷은 재분석부(244)에서 후분석 기능을 수행하며, 허가된 패킷은 오용탐지부(242)와 비정상행위탐지부(243)에서 분석된다. The violation of the packet, and then perform analysis on the re-analysis section 244, an authorized packet is analyzed in misuse detection portion 242 and anomaly detection unit 243. 상기 오용탐지부 (242)는 시스템의 알려진 공격행위에 대한 특징 정보가 저장된 침입패턴 데이터베이스를 가지고 있으며, 발생한 이벤트가 침입패턴 데이터베이스의 내용과 같으면 침입으로 판정한다. The misuse detection unit 242 has a database intrusion pattern is characterized by information stored on known attack behavior of the system, the event is the same as the content of the attack pattern database generated is checked by the intrusion. 상기 비정상행위탐지부(243)는 정상적인 시스템 사용에 관한 프로파일과 시스템 상태를 저장한 프로파일 데이터베이스를 가지고 있으며 발생한 이벤트가 프로파일 데이터베이스에 저장된 상태를 한계치 이상 벗어날 경우 비정상행위로 판정한다. If the anomaly detection unit 243 has a profile with a profile database storing the system state and events that have occurred on the normal system use it is outside the state stored in the profile database at least threshold value is determined as anomaly. 상기 재분석부(244)에서는 침입으로 판정된 데이터에 대하여 재분석하여 같은 공격형태에 대한 중복알람을 방지하고 연관성 있는 공격들을 하나의 공격형태로 표현함으로써, 불필요한 알람을 방지하는데 있다 By the re-analysis unit 244, the re-analysis for the data determined by the intrusion alarm avoid duplication of the same type of attack and to attack that express relevant to one type of attack, and to prevent unnecessary alarms

상기 침입탐지부(240)에서 침입으로 판정되면 경고 및 보고부(250)에서 이에 대한 경고와 관련 감사기록을 남기고, 침입대응부(260)에서는 접속해제, 접근통제시스템의 환경 재설정 등 정의된 대응행위를 수행한다. The breaking when it is determined as a break in the detection unit 240, alerting and reporting like to alert the associated audit record for this in 250, breaking the corresponding section 260 in the corresponding defined environmental reset of the connection release, the access control system perform the actions.

상기와 같이 구성된 본 발명의 상호동작은 도 3에 도시된 바와 같이, 외부 또는 내부 네트워크(300)에서 감시대상 서버(301)가 있는 네트워크로 패킷이 발생하면 데이터 수집부(302)는 모든 트래픽을 수집하여 데이터 필터링 및 축약부(303)로 이를 전달한다. As interaction of the present invention constructed as described above is shown in Figure 3, when the packet generated by an external or internal network 300 is a network that is monitored server 301 from the data acquisition unit 302 all traffic collected and passes it to data filtering and short section 303. the

상기 데이터 필터링 및 축약부(303)는 방대한 양의 패킷(Row Data)들로부터 감시대상 목록 저장부(312)의 감시대상 목록에 기반하여 트래픽을 필터링하고, 침입탐지가 가능할 수 있도록 의미 있는 정보로의 전환 및 축약하고 보안정책위반탐지부(304)로 전달한다. The data filtering and short unit 303 into meaningful information to filter the monitoring of traffic based on the destination list of the monitored list storage unit 312 from the large amount of packets (Row Data), can be an intrusion detection transition and short of it is passed to the security policy violation detection portion 304.

상기 보안정책위반탐지부(304)는 감시대상별 보안정책 저장부(313)의 감시대상별 보안정책 목록에 기반하여 기관의 보안 정책을 위반하였는지 판정한다. The security policy violation detecting section 304 based on the monitoring target-specific security policy list of the monitoring target-specific security policy storage unit 313, it is determined whether violation of a security policy of the organization. 허용된 패킷은 오용탐지부(305)와 비정상행위탐지부(306)로 전달되며, 위반된 패킷은 결과 조정 및 감사데이터 생성부(308)를 거쳐 재분석부(307)에서 분석되고 즉각적인 대응과 보고를 위하여 침입대응부(309)와 경고 및 보고부(310)로 전달된다. Allowed packet misuse detection unit 305 and the anomaly is transmitted to the detection unit 306, a violation packet results and adjustment via the audit data generation unit 308 and analyzed in the re-analysis unit 307 reports the immediate response in order to be transmitted to the intrusion counterpart 309 and alerting and reporting 310.

상기 오용탐지부(305)는 보안정책위반탐지부(304)에서 허용된 패킷만을 분석하며 침입패턴 저장부(314)의 침입패턴 데이터베이스와 비교하여 일치하는 것이 있으면 침입으로 판정한다. The misuse detection unit 305 determines if a break to analyze only the packet allowed by the security policy violation detection unit 304 matches as compared with the attack pattern database for attack pattern storage unit (314). 침입으로 판정된 데이터는 결과 조정 및 감사데이터 생성부(308)를 거쳐 재분석부(307)에서 분석되고 즉각적인 대응과 보고를 위하여 침입대응부(309)와 경고 및 보고부(310)로 전달된다. The data determined to be breaking is transmitted to the result adjustment and audit data generation unit 308, a through re-analysis unit 307 and analyzed in the immediate response and for reporting intrusion counterpart 309 and alerting and reporting 310.

상기 비정상행위탐지부(306)는 보안정책위반탐지부(304)에서 허용된 패킷만을 분석하며 프로파일 저장부(315)의 프로파일 데이터베이스와 비교하여 한계치를 넘으면 비정상행위로 판정한다. The anomaly detection unit 306 analyzes only the packet allowed by the security policy violation detection unit 304, and compared with the profile database of a profile storage unit (315) exceeds a threshold value is determined as anomaly. 침입으로 판정된 데이터는 결과 조정 및 감사데이터 생성부(308)를 거쳐 재분석부(307)에서 분석되고, 즉각적인 대응과 보고를 위하여 침입대응부(309)와 경고 및 보고부(310)로 전달된다. The data determined to be breaking is transmitted to the result adjustment and audit data generation unit 308 through being analyzed in re-analysis unit 307 a, an immediate response and report intrusion counterpart 309 for the warning and reporting 310 .

상기 결과 조정 및 감사데이터 생성부(308)는 보안정책위반탐지부(304), 오용탐지부(305), 비정상행위탐지부(306)로부터 침입탐지 결과를 전달받고 재분석부(307), 침입대응부(309), 경고 및 보고부(310) 등에서 처리하기 알맞은 형태로 데이터를 변형하고 축약된 감사데이터를 생성하며, 처음 발견된 공격에 대하여 빠른 대응을 위한 침입대응부(309), 경고 및 보고부(310)로 우선 전달하며 연속적인 공격 등에 대하여 재분석부(307)로 전달하여 결과를 침입대응부(309), 경고 및 보고부(310)로 다시 전달한다. The resulting adjustments and audit data generation unit 308 security policy violation detection unit 304, misuse detection unit 305, the anomaly detection section 306 informed of the intrusion detection result reanalysis unit from 307, intrusion response section 309, alerting, and reporting unit intrusion response unit 309 for quick response against the modified data to the appropriate processing, etc. 310 forms and generates an abbreviated audit data, first discovered attacks, alerting, and reporting first transmitted to the unit 310, and passed back to the re-analysis unit 307 corresponds breaking section 309 results in delivery to, alerting and reporting unit 310 or the like for subsequent attack.

상기 재분석부(306)는 보안정책위반탐지부(304)에서 거부으로 판정된 이벤트에 대하여 재분석패턴 데이터베이스와 비교하여 세부 침입 정보를 분석하고, 상기 오용탐지부(305)와 비정상행위탐지부(306)에서 침입으로 판정된 이벤트에 대하여 같은 공격일 경우 중복알람으로 인식하고, 일정 시간 간격 또는 끝난 시간과 회수 등의 정보를 제공하며, 상기 오용탐지부(305)와 비정상행위탐지부(306)에서 여러 이벤트가 침입으로 판정되고 서로 다른 정보일 경우, 연관성 있는 공격에 대하여 재분석 패턴 데이터베이스와 비교하여 하나의 공격형태로 표현하거나 다중 공격을 탐지한다. The reanalysis 306 Security policy violation detection unit 304 analyzes the details intrusion information in comparison with reanalysis pattern database for the event determined in a denial, and the misuse detection unit 305 and the anomaly detection unit (306, ) in the recognized in redundant alarm if such attack with respect to the event is determined as a break, and provides information such as a predetermined time interval or the time and number of times over, in the misuse detection unit 305 and the anomaly detection unit 306 If various events are determined by breaking one different information, as compared to re-analyze the pattern database for association with attack and detecting expression or multiple attacks in a single form of attack.

상기 침입대응부(309)는 결과조정 및 감사데이터 생성부(308)로부터 침입 행위를 전달받으면, 침입 대응 규칙 저장부(317)의 침입대응 규칙에 기반하여 해당되는 대응 행위를 수행한다. It performs the intrusion response unit 309 is adjusted results, and audit data generated When delivering intrusion from the unit 308, which is the basis for intrusion response rules in intrusion corresponding rule storage unit 317 corresponding actions.

상기 경고 및 보고부(310)는 결과조정 및 감사데이터 생성부(308)로부터 침입 행위를 전달받으면, 관리자에게 이를 통보하기 위하여 알람을 발생시키고 보안관리부(311)로 보고한다. The warning and reporting unit 310 receives the transmission result from the intrusion adjustment and audit data generation unit 308, generates an alarm to inform the administrator and to report to the security managing unit 311.

상기 보안관리부(311)는 침입탐지시스템에서 사용되는 모든 데이터를 관리한다. And the security managing unit 311 manages all data used by intrusion detection systems.

도 4는 본 발명에 따른 데이터 필터링 및 축약부와 보안정책위반탐지부를 설명하기 위한 흐름도이다. Figure 4 is a flowchart for explaining a security violation and data filtering and short detection portion policy in accordance with the present invention.

여기에 도시된 바와 같이, 데이터 수집부(S400)에서 수집된 패킷은 데이터 필터링 및 축약부(S410)에서 감시대상 목록(S413)을 참조하여 감시대상 트래픽인지 비교한다(S412). As shown here, the packet of the data acquisition unit (S400) compares whether with reference to the monitored list (S413) on the data filtering and short section (S410) the observed traffic (S412). 만약, 감시대상 트래픽이 아니면, 패킷을 드롭(drop)시키고(S411), 그렇지 않고, 감시대상 트래픽이면, 이를 보안정책위반탐지부(S420)로 전달한다. If not the monitored traffic, if the packet drop (drop) and (S411), otherwise, the observed traffic, and delivers it to the security policy violation detection unit (S420).

상기 보안정책위반탐지부(S420)는 먼저, 감시대상에 대한 보안정책 검색 데이터베이스를 검색(S421)하고, 보안정책이 허용정책인지 거부정책인지 비교한다(S422). The security policy violation detection unit (S420), first, monitor the search (S421) the security policy database search for the target, and comparing whether deny that the security policies are allowed Policies Policies (S422). 상기 감시대상별 보안정책은 허용목록(S425)과 거부목록(S426)으로 구성되어 있다. The monitoring target-specific security policies are configured to allow list (S425) and the rejection list (S426).

만약, 허용정책일 경우 허용목록(S425)을 참조하여 허용된 서비스인지 검사한다(S423). If accepted policy to check whether the services allowed by reference to the whitelist (S425), if one (S423). 허용된 서비스이면, 오용탐지부(S440)와 비정상행위탐지부(S450)로 패킷을 전달하고, 그렇지 않고 허용된 서비스가 아니면, 결과조정 및 감사데이터 생성부(S430)를 통하여 침입대응부(S432)와 재분석부(S434)로 전달된다. If the allowed service, misuse detection unit (S440) and the anomaly detection unit (S450) forwards the packet to, and if not break through, or are allowed service, the result adjustment and audit data generation unit (S430) corresponding to part (S432 ) and it is passed to the re-analysis unit (S434).

만약, 거부정책일 경우 거부목록(S426)를 참조하여 거부된 서비스인지 검사한다(S424). If checks whether the denial of service to see the rejected list (S426), if one rejects the policy (S424). 거부된 서비스가 아니면, 오용탐지부(S440)와 비정상행위탐지부(S450)로 패킷을 전달하고, 거부된 서비스이면, 결과조정 및 감사데이터 생성부(S430)를 통하여 침입대응부(S432)와 재분석부(S434)로 전달된다. Or a denial of service, if the transmission packets to the abuse detection device (S440) and the anomaly detection unit (S450), and denial-of-service, the result adjustment and audit data generator intrusion counterpart (S432) through (S430) and It is transmitted to the re-analysis unit (S434).

도 5는 본 발명에 따른 오용탐지부를 설명하기 위한 흐름도이다. 5 is a flow chart for explaining a misuse detection in accordance with the present invention.

여기에 도시된 바와 같이, 상기 보안정책위반탐지부(S420)에서 허용된 데이터만이 오용탐지부(S510)로 전달되며, 상기 오용탐지부(S510)에서는 먼저, 네트워크 프로토콜 관련 시그너쳐(Signature)를 추출한다(S511). As shown herein, the data only allowed in the security policy violation detection unit (S420) This is delivered to misuse detection unit (S510), the above misuse detection unit (S510), first, a network protocol-specific signature (Signature) It is extracted (S511). 다음으로, 침입패턴 데이터베이스(S518)와 비교하여 네트워크 프로토콜 공격인지 판단한다(S512). And then it determines whether a network protocol attacks compared with the attack pattern database (S518) (S512). 만약, 네트워크 프로토콜 공격이면, 결과조정 및 감사데이터 생성부(S430)를 통하여 침입대응부(S432)와 재분석부(S434)로 전달된다. If, when the network protocol attacks, is transmitted to the adjustment results, and audit data generator intrusion counterpart (S432) and the re-analysis unit (S434) through (S430). 그렇지 않고 네트워크 프로토콜 공격 이 아니면, 응용 서비스를 식별하고 해당 탐지모듈로 데이터를 전달한다(S513). Otherwise it is not a network protocol attacks, identify the applications and services deliver data to the appropriate detection module (S513). 개별 응용서비스 탐지모듈에서는 먼저, 응용서비스별 시그너쳐를 추출(S514)하고, 침입탐지 범위를 설정한다(S515). In the individual application services first detection module, it sets a service-specific application extracts the signature (S514), and intrusion detection range (S515). 침입패턴 데이터베이스(S518)와 비교하여 응용서비스 공격인지를 판단한다(S516). It is determined whether the application service attacks compared with the attack pattern database (S518) (S516). 만약, 응용서비스 공격이면, 결과조정 및 감사데이터 생성부(S430)를 통하여 침입대응부(S432)와 재분석부(S434)로 전달되고, 그렇지 않고 응용서비스 공격이 아니면, 종료한다(S517). If, when the application service attacks, the result of adjustment, and audit data generated by the unit (S430) is transmitted to the intrusion counterpart (S432) and the re-analysis unit (S434), otherwise it is not a application service attacks, the end (S517).

도 6은 본 발명에 따른 비정상행위탐지부를 설명하기 위한 흐름도이다. 6 is a flow chart for explaining a detected anomaly in accordance with the present invention.

여기에 도시된 바와 같이, 상기 보안정책 위반탐지부(S420)에서 허용된 데이터만이 비정상행위탐지부(S450)로 전달되며, 상기 비정상행위탐지부(S450)에서는 먼저, 패킷 데이터로부터 필요한 상태값을 추출(S611)하고, 전체 네트워크에 대한 상태값을 계산한다(S612). As shown here, the security policy violation is transmitted to the detection unit (S420) the data only and the anomaly detection unit (S450) allowed in, in the anomaly detection unit (S450), first, necessary condition value from the packet data the extracts (S611), and calculates a state value of the network (S612). 전체 네트워크에 대한 상태값과 프로파일 데이터베이스(S617)를 비교하여 비정상인지 판단한다(S613). Determines whether the status value in comparison with the profile database (S617) for the network abnormality (S613). 만약, 비정상 트래픽일 경우, 결과조정 및 감사데이터 생성부(S430)를 통하여 침입대응부(S432)와 재분석부(S434)로 이를 전달되고, 정상 트래픽일 경우, 감시대상별/서비스별 네트워크 상태값을 계산한다(S614). If the case of the abnormal traffic, result adjustment and auditing if the data generated by the unit (S430), and passes it to the intrusion counterpart (S432) and the re-analysis unit (S434), the normal traffic, the monitoring target-specific / service-specific network state value calculates (S614). 상기 감시대상별/서비스별 네트워크 상태값과 프로파일데이터베이스(S617)를 비교하여 비정상인지 비교한다(S615). Compares whether the abnormality by comparing the target-specific monitoring / service-specific network state value and the profile database (S617) (S615). 비정상 트래픽일 경우, 결과조정 및 감사데이터 생성부(S430)를 통하여 침입대응부(S432)와 재분석부(S434)로 전달되고 정상일 경우, 종료한다(S616). If when the abnormal traffic is transmitted to the adjustment results, and audit data generator intrusion counterpart (S432) and the re-analysis unit (S434) through (S430) it is normal, and finishes (S616).

도 7은 본 발명에 따른 결과조정 및 감사데이터 생성부를 설명하기 위한 흐름도이다. 7 is a flow chart for explaining a result of adjustment, and audit data generated in accordance with the present invention.

여기에 도시된 바와 같이, 보안정책위반탐지부(S420), 오용탐지부(S440), 비정상행위탐지부(S450)에서 침입으로 판정된 데이터나 재분석부(S740)에서 재분석된 결과는 결과조정 및 감사데이터 생성부(S630)로 전달된다. As shown here, the security policy violation detection unit (S420), misuse detection unit (S440), the re-analysis results resulting adjustment in anomaly detection unit (S450) the data or re-analysis unit (S740) is determined from the breaking and audit data is transmitted to the generation unit (S630). 상기 결과조정 및 감사데이터 생성부(S630)에서는 침입으로 판정된 데이터로부터 재분석부(S740), 경고 및 보고부(S650) 및 침입대응부(S432)에서 필요한 정보로 구성하여 감사데이터를 생성한다(S631). Generates audit data composed of the results and adjustment of audit data generation unit (S630) the re-analysis unit (S740) from the data determined to break, alerting and reporting sub-information required (S650), and intrusion counterpart (S432) ( S631). 다음으로 공격형태 및 탐지부를 식별(S632)하고, 재분석된 결과인지 다른 침입탐지부에서 침입으로 판정된 결과인지 판단한다(S633). Determines whether the next attack by the form identification and detection unit (S632), and the re-analysis that the determination result in breaking in other intrusion detection unit result (S633). 만약, 재분석된 결과이면, 침입대응이 필요한지를 식별(S635)하고, 대응이 필요 없으면 경고 및 보고부(S650)로 전달되고, 대응이 필요하면 경고 및 보고부(S650)와 침입대응부(S432)로 전달된다. If, if the re-analysis result, intrusion response is identified (S635) the required and, if required response is transmitted to the warning and the reporting unit (S650), if corresponding to the required warning and reporting unit (S650) and the intrusion counterpart (S432 ) it is transmitted to the.

그렇지 않고, 재분석 결과가 아니면, 첫번째 탐지된 공격인지를 판단한다(S634). Otherwise, it is determined whether or not a re-analysis results, first detected attacks (S634). 첫번째 탐지된 공격이면, 침입대응이 필요한지를 식별(S635)하는 단계로 전달되고, 재분석을 위하여 재분석부(S740)로도 전달된다. If the first detected attack, is passed to the step of breaking the corresponding identification is required (S635), it is transferred to as re-analysis portion (S740) for re-analysis. 공격의 주체 및 객체 정보가 유사하고 첫번째 공격이 아닐 경우 중복알람방지, 유사 공격 및 다중 공격을 분석하기 위하여 재분석부(S740)로 전달된다. If the subject and object information of attack similar to the first and not the attack is transmitted to the re-analysis portion (S740) to analyze the redundant alarm prevention, similar attacks and multiple attacks.

도 8은 본 발명에 따른 재분석부를 설명하기 위한 흐름도이다. 8 is a flow chart for explaining a re-analyzed in accordance with the present invention.

여기에 도시된 바와 같이, 보안정책위반탐지부(S420), 오용탐지부(S44) 및 비정상행위탐지부(S450)에서 침입으로 판정된 데이터는 결과조정 및 감사데이터 생성부(S630)를 거쳐 재분석부(S740)로 전달된다. Here, as shown in, the security policy violation detection unit (S420), misuse detection unit (S44), and abnormal behavior data determined by intrusion detection unit (S450) is re-analyzed through the results and adjustment of audit data generation unit (S630) It is transmitted to the unit (S740). 상기 재분석부(S740)에서는 공격 정보를 추출(S711)하고, 주체와 객체의 유사성을 비교한다(S712). In the re-analysis unit (S740) extracting (S711) the attack information, and compares the similarity of the subject and the object (S712). 만약, 유사한 주체 또는 객체 정보가 없으면, 첫번째 공격으로 인식하고 탐지정보 임시저장소(S716)에 이를 저장한다. If there is no information about a similar subject or object, and recognizes and stores it in a temporary store detection information (S716) in the first attack. 그렇지 않고, 유사한 주체 및 객체 정보가 있으면, 같은 공격인지 비교한다(S713). Otherwise, if you should have a similar subject and object information, whether such attacks compared (S713). 만약, 같은 공격일 경우, 탐지정보 임시저장소(S716)에 관련 정보를 수정한다. If, in case of such an attack, modify the information in the detection information temporary storage (S716). 같은 공격이 아닐 경우, 재분석 패턴 데이터베이스(S717)와 비교하여 유사공격, 다중공격 등 새로운 공격 형태를 지정할 수 있는지 비교한다(S714). If not the same attack, comparing that pattern can be compared with the reanalysis database (S717) to specify a new form of attack or similar attack, multiple attacks (S714). 새로 정의할 수 없는 공격이면, 결과 조정 및 감사데이터 생성부(S630)로 전달되고, 재분석 패턴 데이터베이스(S717)와 같은 패턴이 있을 경우 새로운 형태의 공격을 보고(S715)하고, 결과조정 및 감사데이터 생성부(S630)에 전달한다. If the attack can not be newly defined, the resulting adjustments and audit data generated is transferred to the unit (S630), if there is a pattern, such as reanalysis pattern database (S717) reported a new type of attack (S715), and the resulting adjustments and audit data It conveys the generator (S630). 상기 탐지정보임시저장소(S716)는 새로운 정보를 받아들이고 사용되지 않는 오래된 정보를 삭제하기 위해 주기적으로 탐지정보 검사하고 관리한다(S718). The detection information temporary storage (S716) periodically checks the information detected and managed to delete old information that is not used to accept new information (S718). 타임아웃(Timeout) 또는 관리자가 정의한 일정 시간 간격을 점검(S719)하고 수정된 데이터를 결과조정 및 감사데이터 생성부(S630)에 전달한다. A timeout (Timeout) or a predetermined time interval check defined by the administrator (S719), and the correction data is transmitted to the adjustment results, and audit data generation unit (S630).

도 9는 본 발명에 따른 다른 실시예로서, 결과조정 및 감사데이터 생성부를 사용하지 않고 보안정책위반탐지부, 오용탐지부 및 비정상행위탐지부와 재분석부에서 이 기능을 부분적으로 나누어 수행하는 것을 나타내는 도면이다. 9 is indicating that the performing part, divided by the feature in an alternative embodiment according to the present invention, the resulting adjustments and violation detection unit, without using parts of the audit data generated security policy, misuse detection portion and the anomaly detection unit and the re-analysis unit diagram.

여기에 도시된 바와 같이, 외부 또는 내부 네트워크(900)에서 감시대상인 서버(901)가 있는 네트워크로 패킷이 발생하면 데이터 수집부(902)는 모든 트래픽을 수집하여 데이터 필터링 및 축약부(903)로 이를 전달한다. As shown here, the external or the internal network 900. When a packet to the network in which the monitoring target server 901 occurs in the data acquisition unit 902 may filter data and reduced portion 903 to collect all of the traffic it delivers.

데이터 필터링 및 축약부(903)는 방대한 양의 패킷(Row Data)들로부터 감시대상 목록 저장부(911)의 감시대상 목록에 기반하여 트래픽을 필터링하고, 침입탐지가 가능할 수 있도록 의미 있는 정보로의 전환 및 축약하고 보안정책탐지부(904)로 전달한다. Data filtering and contraction unit 903 is large amounts of packets (Row Data) s based on the monitored list, the observed list storage section 911, filter traffic from, and intrusion detection can sense information to that to be conversion and reduced and transferred to the security policies detection unit 904.

상기 보안정책위반탐지부(904)는 감시대상별 보안정책 저장부(312)의 감시대상별 보안정책 목록에 기반하여 기관의 보안 정책을 위반하였는지 판정한다. The security policy violation detection unit 904 based on the monitoring target-specific security policy list of the monitoring target-specific security policy storage unit 312, it is determined whether violation of a security policy of the organization. 허용된 패킷은 오용탐지부(905)와 비정상행위탐지부(906)로 전달되고, 위반된 패킷은 즉각적인 대응과 보고를 위하여 침입대응부(908)과 경고 및 보고부(909)로 전달되며 세부 침입 정보를 분석하기 위하여 재분석부(907)로 전달된다. Allowed packet misuse is transmitted to the detection unit 905 and the anomaly detection unit 906, the violation of the packet is transmitted to the intrusion counterpart 908, and alerting and reporting unit 909 to the immediate response and report detailed in order to analyze the intrusion information is transmitted to the re-analysis unit 907.

상기 오용탐지부(905)는 보안정책위반탐지부(904)에서 허용된 패킷만을 분석하며 침입패턴 저장부(913)의 침입패턴 데이터베이스와 비교하여 일치하는 것이 있으면 침입으로 판정한다. The misuse detection unit 905 determines if a break to analyze only the packet allowed by the security policy violation detection unit 904 matches as compared with the attack pattern database for attack pattern storage unit (913). 침입으로 판정된 즉각적인 대응과 보고를 위하여 침입대응부(908)과 경고 및 보고부(909)로 전달되며, 중복알람 방지, 유사 공격 및 다중 공격을 분석하기 위하여 재분석부(907)로 전달된다. For immediate response and report the determined intrusion is transmitted to break the corresponding portions 908, and alerting and reporting unit 909, it is transmitted to the re-analysis unit 907 to analyze the redundant alarm protection, similar to attacks, and multiple attacks.

상기 비정상행위탐지부(906)는 보안정책위반탐지부(304)에서 허용된 패킷만을 분석하며 프로파일 저장부(914)의 프로파일 데이터베이스와 비교하여 한계치를 넘으면 비정상행위로 판정한다. The anomaly detection unit 906 analyzes only the packet allowed by the security policy violation detection unit 304, and compared with the profile database of a profile storage unit (914) exceeds a threshold value is determined as anomaly. 침입으로 판정된 데이터는 즉각적인 대응과 보고를위하여 침입대응부(908)과 경고 및 보고부(909)로 전달되며, 중복알람 방지, 유사 공격 및 다중 공격을 분석하기 위하여 재분석부(907)로 전달된다. The data determined to be breaking is passed to break the corresponding portions 908, and alerting and reporting unit 909 to the immediate response as reported, transmitted to the re-analysis unit 907 to analyze the redundant alarm protection, similar to attacks, and multiple attacks do.

상기 재분석부(907)는 보안정책위반탐지부(904)에서 거부으로 판정된 이벤트에 대하여 재분석패턴 데이터베이스와 비교하여 세부 침입 정보를 분석하고, 오용탐지부(905)와 비정상행위탐지부(906)에서 침입으로 판정된 이벤트에 대하여 같은 공격일 경우 중복알람으로 인식하고 일정 시간 간격 또는 끝난 시간과 회수 등의 정보를 제공하며, 오용탐지부(905)와 비정상행위탐지부(906)에서 여러 이벤트가 침입으로 판정되고 서로 다른 정보일 경우, 연관성 있는 공격에 대하여 재분석 패턴데이터베이스와 비교하여 하나의 공격형태로 표현하거나 다중 공격을 탐지한다. The re-analysis unit 907 security violations with respect to the events judged to be rejected by the detection unit 904 compared with the reanalysis pattern database to analyze detailed break information, and misuse detection unit 905 and the anomaly detection unit (906) recognized by the redundant alarm if such attack with respect to the event is determined as a breaking and providing information such as a predetermined time interval or the time and number of times ends, and several events misuse detection unit 905 and the anomaly detection unit 906 is If intrusion is determined to be one different information, as compared to re-analyze the pattern database for association with attack and detecting expression or multiple attacks in a single form of attack.

상기 침입대응부(908)는 각 침입탐지부에서 침입 행위를 전달받으면 침입 대응 규칙 저장부(916)의 침입대응 규칙에 기반하여 해당되는 대응 행위를 수행한다. The intrusion response unit 908 performs the corresponding action applicable on the basis of invasion of the corresponding rule When delivering intrusion in each intrusion detection unit invasion corresponding rule storage unit (916).

상기 경고 및 보고부(909)는 각 침입탐지부에서 침입 행위를 전달받으면 관리자에게 이를 통보하기 위하여 알람을 발생시키고 보안관리부(910)로 보고한다. The alerting and reporting unit 909 receives the delivery intrusion intrusion detection on each unit generates an alarm to notify administrators and security reports to the manager 910.

상기 보안관리부(910)는 침입탐지시스템에서 사용되는 모든 데이터를 관리한다. And the security managing unit 910 manages all data used by intrusion detection systems.

또 다른 실시예로서 다음과 같이 재분석부를 사용하지 않는 경우와 보안정책위반탐지부를 사용하지 않는 경우도 있을 수 있다. If yet another embodiment that does not use parts when reanalyzed unused parts of the security policy violations detected as follows may be.

먼저, 재석부를 사용하지 않고 오용탐지부 및 비정상행위탐지부가 보안정책위반탐지부와 결합한 예로 상기 보안정책위반탐지부의 독립적 사용 즉, 보안정책위반탐지부, 오용탐지부, 비정상행위탐지부를 병렬로 사용할 수도 있다. First, jaeseok without parts of misuse detection portion and the anomaly detection portion security policy violation detection unit and combines example the security policy violation detected independently using parts that is, the security policy violation detection unit, misuse detection unit, anomaly detection portion used in parallel may.

또한, 보안정책위반탐지부를 사용하지 않고, 오용탐지부 및 비정상행위탐지부가 재분석부와 결합하여 이용할 수도 있다. In addition, without using the security policy violation detection unit may add misuse detection and anomaly detection unit used in conjunction with a re-analysis unit.

따라서, 상기한 바와 같이 본 발명은 침입차단시스템 등에서 사용하는 접근통제 기술을 침입탐지시스템에 적용한 것으로, 시스템이나 네트워크에 대하여 기관의 보안정책 수립하고 침입탐지시스템에 반영하도록 함으로써, 오용탐지부나 비정상행위 탐지부에서 탐지하지 못하는 다양한 보안위반 사항들을 탐지할 수 있고, 최근 해킹 도구들이 패킷을 암호화하는 반면 기존 침입탐지시스템은 암호화된 패킷을 분석하지 못한다. Thus, by ensuring that the present invention is to be applied to the access control techniques for use in the firewall for intrusion detection systems, establishing the security policy of the organization for the computers and networks, and reflected in the intrusion detection system as described above, misuse detection portion and Anomaly it is possible to detect a variety of security violations can not be detected in the detection unit requirements, while the recent hacking tools encrypt the packets existing intrusion detection systems do not analyze the encrypted packets. 그러나 대부분의 백도어가 기관에서 허용하지 않는 서비스를 사용하므로 패킷을 분석하지 않더라도 허가되지 않은 패킷임을 탐지할 수 있는 이점이 있다. However, most of the back doors that do not allow the use of services in institutions because there is an advantage in that it can detect unauthorized without analyzing a packet.

또한, 본 발명은 보안정책 위반탐지부에서 위반으로 탐지된 이벤트에 대하여 재분석 기능을 수행함으로써, 선탐지 및 대응, 후분석을 가능하게 하며 오판율을 줄여줄 수 있는 이점이 있다??예를 들면, 포트 스캔의 경우 기존 침입탐지시스템에서는 한계 포트 이상에 대하여 접속 요구를 하였을 경우 이를 포트 스캔으로 탐지하고 대응 행동을 수행한다. The invention also has the advantage that can by performing a re-analysis functions with respect to a detected a violation in the violation of the security policy, the event detection unit, the line detection, and reduces the rate of false positives correspond, then enables the analysis ?? e.g. when the port scan is hayeoteul if the connection request with respect to at least limit port in the existing intrusion detection systems detect the port scan, and performs the action. 그러나, 정당한 시스템 관리자가 네트워크를 점검하기 위하여 여러 포트를 점검하였을 경우 이 또한 침입으로 판정한다. However, when the legitimate hayeoteul system administrator checks the port number in order to check the network it is also checked by the intrusion. 본 발명에서는 허가된 관리자가 허가된 포트를 점검하였을 경우 이를 침입으로 판정하지 않으며 허가되지 않은 사용자가 서비스의 이용을 시도할 때 침입으로 간주한다. In the present invention, if the check hayeoteul an authorized administrator permission port it does not determine it to break user unauthorized intrusion is considered to be when trying to use the service. 허가되지않은 사용자가 하나의 서비스 포트에 접근할 때 보안정책 위반임을 탐지하고 대응 행동을 수행하므로 여러 개의 포트가 진행되는 동안 관찰만 하는 기존 침입탐지시스템보다 빠른 동작 구조를 갖는다. When an unauthorized user to access a service port, so that the detected violation of security policy and perform the corresponding action has an existing intrusion detection systems that only rapid movement structure than that observed for several ports in progress. 기존 침입탐지 시스템과 같이 보다 세부적인 침입 관련 정보를 관리자에게 제공하기 위하여 재분석부에서 대응 행동 수행 동안 패킷을 분석하여 포트 스캔임을 알려준다. Analyze packets for performing actions on the re-analysis unit in order to provide more detailed information to the administrator invasion, as the existing intrusion detection system indicates that the port scan.

또한, 본 발명은 보안정책 위반탐지부에서 허용된 패킷만이 오용탐지부와 비정상행위 탐지부로 전달되므로 많은 패킷이 필터링되며 보안정책에서 허용된 분석 모듈만이 오용탐지부와 비정상행위탐지부에서 동작하므로 침입탐지시스템의 부하를 줄여준다. In addition, the present invention operate in a security policy violation detection unit allowed only packets misuse in the detection portion and the anomaly is a lot of packet filtering, they are passed detecting portion, only the analysis module allowed by the security policy is misuse detection portion and the anomaly detection unit therefore reduces the load on the intrusion detection system. 그러므로 오용탐지부와 비정상행위 탐지부는 기존 침입탐지시스템 보다 빠르게 동작할 수 있는 이점이 있다. Therefore, misuse detection and anomaly detection sub-unit has the advantage that you can run faster than traditional intrusion detection systems.

또한, 본 발명은 오용분석부와 비정상행위탐지부에서 침입으로 판정된 데이터에 대하여 재분석함으로써, 같은 공격형태에 대한 중복알람을 방지하고 연관성 있는 다른 공격형태에 대한 새로운 공격형태의 표현으로 불필요한 알람을 방지할 수 있는 이점이 있다. The invention also unnecessary alarm to misuse analysis portion and the anomaly by re-analysis with respect to the data determined as intrusion detection device, the representation of the new forms of attack to other forms of attack that prevent duplication alarm for the same type of attack and associated there is an advantage that can be prevented.

Claims (8)

  1. 외부 또는 내부 네트워크에서 감시 대상이 있는 네트워크간의 트래픽을 분석하고 침입을 탐지하는 침입탐지시스템에 있어서, In the intrusion detection system that analyzes traffic between two networks that monitored from external or internal network intrusion detection,
    감시대상 서버가 제공하는 시스템 사용내역 또는 감시대상 서버로부터 네트워크 패킷 등의 데이터를 수집하는 데이터수집부와; From the system usage or monitored by the monitoring server and the destination server offers data collection unit that collects data, such as a network packet;
    침입탐지에 필요한 데이터만을 필터링하고 침입탐지가 가능할 수 있도록 의미 있는 정보로 전환 및 축약하는 데이터 필터링 및 축약부와; Filter only the data needed for intrusion detection and intrusion-detection switch to meaningful information so that data can be reduced and filtered, and reduced to unit;
    상기 데이터 필터링 및 축약부에서 수집된 데이터의 위반사항을 탐지 및 분석하는 IP주소와 서비스 포트를 기반으로 감시대상 서버별 허용정책과 비허용정책 데이터베이스를 가지고 상기 데이터 수집 및 축약부에서 수집된 데이터의 위반사항을 탐지하는 보안정책위반탐지부와, 시스템의 알려진 공격 행위에 대한 특징 정보 데이터베이스를 가지고 있다가 해킹 데이터베이스와 같은 내용의 이벤트가 발생하면 침입을 알리는 오용탐지부와, 정상적인 시스템 사용에 관한 프로파일과 시스템 상태를 유지하고 있다가 이 프로파일에서 벗어나는 행위들을 탐지하는 비정상행위 탐지부와, 상기 보안정책위반탐지부에서 위반된 패킷과 상기 오용탐지부 및 비정상행위 탐지부에서 침입으로 판정된 데이터에 대해 재분석하는 재분석부를 포함하여 구성되어진 With the data filtering and detecting violations of data collected in short the details and analysis of the IP address and the service based on the port monitored server-specific acceptance policy and unacceptable policy database of the data collected in the data collection and reduced unit and misuse detection unit and the violation of security policy violations to detect information detection unit, if it has a characteristic information database for known attack behavior of the system is the contents of the event, such as the hacked database generated informing the intrusion, the profile of the normal system use about and the anomaly detection section to maintain the system state is to detect that deviate from those profiles, the packet with the abuse detection device and the data determined by breaking in anomaly detection unit breach in the security policy violation detection unit It has been configured to include a re-analysis of re-analysis 침입탐지부와; Intrusion detection unit;
    상기 침입탐지부에서 침입으로 분석되면 이에 대한 경고와 관련 감사기록을 남기는 경고 및 보고부와; If the intrusion detection unit in the analysis for this intrusion alerts and warnings to leave the relevant audit records and reporting unit;
    상기 침입탐지부에서 침입으로 분석되면 접속해재, 접근통제시스템의 환경 재설정 등의 정의된 대응행위를 수행하는 칩입대응부를 포함하여 이루어진 것을 특징으로 하는 다양한 침입탐지모델을 사용하는 침입탐지시스템. Intrusion detection system using a different intrusion detection model, characterized in that made in comprising an intrusion corresponding to perform defined corresponding actions, such as the intrusion detection unit when the analysis by the intrusion connected in material, environment reset of the access control system.
  2. 제 1항에 있어서, 상기 보안정책위반탐지부, 오용탐지부, 비정상행위탐지부로부터 침입탐지 결과를 전달받고, 상기 재분석부, 침입대응부, 경고 및 보고부 등에서 처리하기 알맞은 형태로 데이터를 변형하고 축약된 감사데이터를 생성하는 결과 조정 및 감사데이터 생성부를 더 포함하여 이루어진 것을 특징으로 하는 다양한 침입탐지모델을 사용하는 침입탐지시스템. The method of claim 1 wherein the security policy violation detection unit, misuse detection unit, Anomaly informed of the intrusion detection result from the detection unit, transforming the data to the appropriate processing, etc. The re-analysis portion, intrusion counterpart, alerting and reporting unit form intrusion detection system using a different intrusion detection model, characterized in that made in further comprising a result of generating an abbreviated audit data handling and audit data generation.
  3. 외부 또는 내부 네트워크에서 감시 대상이 있는 네트워크간의 트래픽을 분석하고 침입을 탐지하는 침입탐지방법에 있어서, In the intrusion detection methods to analyze the traffic between the networks that are monitored from external or internal network intrusion detection,
    데이터 수집부에서 수집된 패킷은 데이터 필터링 및 축약부에서 감시대상 목록을 참조하여 감시대상 트래픽인지 비교하는 제 1판단 단계와, And a first determining step of the packet of the data collection unit, see the monitored list in the section data filtering and short compared to if the observed traffic,
    상기 제 1판단 단계에서 감시대상 트래픽이 아니면, 패킷을 드롭시키는 단계와, And the step of the first or the monitored traffic in the first determination step, drop a packet,
    상기 제 1판단 단계에서 감시대상 트래픽이면, 감시대상에 대한 보안정책 검색 데이터베이스를 검색하는 검색단계와, And a search step that is monitored traffic in the first determining step, search, retrieve the security policy database for the monitoring target,
    상기 검색단계에서 검색된 데이터가 허용정책인지 거부정책인지 비교하는 제 2판단 단계와, And a second determination step of comparing whether the data retrieved in said retrieving step is accepted that the policy denial policy,
    상기 제 2판단 단계에서 허용정책일 경우 허용목록을 참조하여 허용된 서비스인지 검사하는 제 3판단 단계와, And a third determining step of the first check whether the permitted with reference to the whitelist when the policy allows the service in the second determining step,
    상기 제 3판단 단계에서 허용된 서비스이면, 오용탐지부와 비정상행위탐지부로 패킷을 전달하는 단계와, The method comprising: when the service accepted by the third determination step, forwarding the packet portion misuse detection portion and the anomaly detection,
    상기 제 3판단 단계에서 허용된 서비스가 아니면, 결과조정 및 감사데이터 생성부를 통하여 침입대응부와 재분석부로 전달되는 단계와, And a step in which the third or the service permitted by the determination step, the resulting adjustments and passed through an audit data generation portion intrusion counterpart and re-analyzed,
    상기 제 2판단 단계에서 거부정책일 경우 거부목록를 참조하여 거부된 서비스인지 검사하는 제 4판단 단계와, And a fourth judgment step of checking whether the rejection with reference if the second rejected by the policy determining step rejected mokrokreul service,
    상기 제 4판단 단계에서 거부된 서비스가 아니면, 오용탐지부와 비정상행위탐지부로 패킷을 전달하는 단계와, The method comprising: the first or the denial of service at the decision step 4, the transmission packet portion misuse detection portion and the anomaly detection,
    상기 제 4판단 단계에서 거부된 서비스이면, 결과조정 및 감사데이터 생성부를 통하여 침입대응부와 재분석부로 전달되는 단계를 포함하는 것을 특징으로 하는 다양한 침입탐지모델을 사용하는 침입탐지방법. Intrusion detection method for intrusion detection using a variety of models, characterized in that it comprises a step in which the fourth is a denial of service in the determination step, the resulting adjustments and audit data generated through an intrusion counterpart and delivered to the re-analysis.
  4. 제 3항에 있어서, 상기 오용탐지부에서는 먼저, 네트워크 프로토콜 관련 시그너쳐를 추출하는 제 1추출단계와, The method of claim 3, further comprising: a first extraction step of the above misuse detection unit first extracts the network protocol-specific signature,
    상기 제 1추출단계에서 추출된 시그너쳐와 침입패턴 데이터베이스를 비교하여 네트워크 프로토콜 공격인지를 판단하는 제 5판단 단계와, And a fifth determination step by the second comparing the signature and the attack pattern database extracted from the first extraction step which determines whether the network protocol attack,
    상기 제 5판단 단계에서 네트워크 프로토콜 공격이면, 결과조정 및 감사데이터 생성부를 통하여 침입대응부와 재분석부로 전달되는 단계와, And a step in which the network is a fifth protocol attack in the determination step, the resulting adjustments and passed through an audit data generation portion intrusion counterpart and re-analyzed,
    상기 제 5판단 단계에서 네트워크 프로토콜 공격이 아니면, 응용 서비스를 식별하고 해당 탐지모듈로 데이터를 분배하는 분배단계와, And a distribution step of said first protocol or a network attack is determined in step 5, identify and distribute the data to the detection module, an application service,
    상기 분배단계에서 분배된 데이터를 응용서비스별로 시그너쳐를 추출하는 제 2추출단계와, And a second extracting step of extracting the signature data that have been distributed in said distributing step for each application service,
    상기 제 2추출단계에서 추출된 데이터로 침입탐지 범위를 설정하는 설정단계와, And a setting step of setting the intrusion detection range of the first to the data extracted in the second extraction step,
    상기 설정단계에서 설정된 데이터와 침입패턴 데이터베이스와 비교하여 응용서비스 공격인가를 판단하는 제 6판단 단계와, And a sixth judgment step for judging the application service attack is compared to the data and attack pattern database set in the setting step,
    상기 제 6판단 단계에서 응용서비스 공격이면, 결과조정 및 감사데이터 생성부를 통하여 침입대응부와 재분석부로 전달되는 단계와, And a step in which the sixth is the application of service attack in the determination step, the resulting adjustments and passed through an audit data generation portion intrusion counterpart and re-analyzed,
    상기 제 6판단 단계에서 응용서비스 공격이 아니면, 종료하는 단계를 포함하는 것을 특징으로 하는 다양한 침입탐지모델을 사용하는 침입탐지방법. Intrusion detection method of the first or the application service attack in the determining step 6, using a variety of intrusion detection model comprising the step of termination.
  5. 제 3항에 있어서, 상기 비정상행위탐지부에서는 먼저, 패킷 데이터로부터 필요한 상태값을 추출하는 변환단계와, And the transformation method of claim 3, wherein, in the anomaly detection unit first extracts a state value required from the packet data,
    상기 변환단계에서 변환된 데이터로 전체 네트워크에 대한 상태값을 계산하는 제 1계산단계와, And a first calculation step of calculating a state value of the entire network with the converted data in the conversion step,
    상기 전체 네트워크에 대한 상태값과 프로파일 데이터베이스를 비교하여 비정상인지 비교하는 제 7판단 단계와, And a seventh step of comparing determines that the abnormal state by comparing the value and the profile database for the entire network,
    상기 제 7판단 단계에서 비정상 트래픽일 경우, 결과조정 및 감사데이터 생성부를 통하여 침입대응부와 재분석부로 전달되는 단계와, And a step in which the seventh determining when an abnormal traffic on the step, and the adjustment result through an audit data generation intrusion counterpart and delivered to the re-analysis,
    상기 제 7판단 단계에서 정상 트래픽일 경우, 감시대상별/서비스별 네트워크 상태값을 계산하는 제 2계산단계와, And a second calculation step of when the normal traffic in the seventh determining step, calculating a target-specific monitoring / service-specific network state value,
    상기 감시대상별/서비스별 네트워크 상태값과 프로파일 데이터베이스를 비교하여 비정상인지 비교하는 제 8판단 단계와, And an eighth step of comparing determines that the abnormality by comparing the target-specific monitoring / service-specific network state value and the profile database,
    상기 제 8판단 단계에서 비정상 트래픽일 경우, 결과조정 및 감사데이터 생성부를 통하여 침입대응부와 재분석부로 전달되는 단계와, And a step in which the eighth judgment when the abnormal traffic, in step, the resulting adjustments and passed through an audit data generation portion intrusion counterpart and re-analyzed,
    상기 제 8판단 단계에서 정상 트래픽일 경우, 종료하는 단계를 포함하는 것을 특징으로 하는 다양한 침입탐지모델을 사용하는 침입탐지방법. Intrusion detection method for intrusion detection using a variety of models comprising the steps of: if the normal traffic in the eighth judgment steps, end.
  6. 제 3항에 있어서, 상기 결과조정 및 감사데이터 생성부에서는 침입으로 판정된 데이터로부터 재분석부, 경고 및 보고부 및 침입대응부에서 필요한 정보로 구성하여 감사데이터를 생성하는 생성단계와, And the generating step according to 3, wherein the adjustment results, and audit data generation section in the configuration from the data determined to be breaking with the information required by the re-analysis unit, alerting and reporting unit and intrusion response unit for generating audit data,
    상기 생성단계에서 생성된 감사데이터를 공격형태 및 탐지부로 식별하는 식별단계와, And identifying step of identifying the audit data generated in the generating step portion forms of attack and detection,
    상기 식별단계에서 식별된 데이터를 재분석된 결과인지 다른 침입탐지부에서 침입으로 판정된 결과인지 판단하는 제 9판단 단계와, A ninth judgment step for judging whether the re-analyze the data identified in the identification step that the results determined by penetration in other intrusion detection unit results,
    상기 제 9판단 단계에서 재분석된 결과가 아니면, 첫번째 탐지된 공격인지를 판단하는 제 10판단 단계와, And a tenth step of determining the first or the re-analysis results from the determination step 9, judge whether the first detected attack,
    상기 제 10판단 단계에서 첫번째 탐지된 공격이면, 침입대응이 필요한지를 식별하는 제 11단계와, And the step 11 that identifies the first is detected attacks in the tenth judgment step, the required intrusion response,
    상기 제 11판단 단계에서 침입대응이 필요하면 경고 및 보고부와 침입대응부로 전달되는 단계와, And a step in which the corresponding claim 11 When the invasion is required in the determination step, and a warning report portion and penetration delivered to the correspondence,
    상기 제 11판단 단계에서 침입대응이 필요 없으면 경고 및 보고부로 전달되는 단계와, If the method is required intrusion response in the eleventh judgment step that is delivered to the warning and reporting,
    상기 제 10판단 단계에서 첫번째 탐지된 공격이 아니면, 중복알람방지, 유사 공격 및 다중 공격을 분석하기 위하여 재분석부로 전달되는 단계와, And a step in which not the first detected attacks in the tenth judgment step, redundant alarm protection, similar to an attack, and analyzes the multiple attacks delivered to the re-analysis in order,
    상기 제 9판단 단계에서 재분석된 결과이면, 침입대응이 필요한지를 식별하는 제 11판단 단계로 이동하는 단계를 포함하는 것을 특징으로 하는 다양한 침입탐지모델을 사용하는 침입탐지방법. Intrusion detection method for intrusion detection using a variety of models comprising the step of moving to the eleventh judgment step of identifying if said second re-analyzed at decision step 9 a result, the required intrusion response.
  7. 제 3항에 있어서, 상기 재분석부에서는 공격 정보를 추출하는 제 3추출단계와, 4. The method of claim 3, and a third extraction step of extracting the attack information in the re-analysis portion,
    상기 제 3추출단계에서 추출된 데이터의 주체와 객체의 유사성을 비교하는제 12판단 단계와, And the twelfth judgment step of comparing the similarity of the subject and the object of the data extracted in the third extraction stage,
    상기 제 12판단 단계에서 유사한 주체 또는 객체 정보가 없으면, 첫번째 공격으로 인식하고 탐지정보 임시저장소에 이를 저장하는 단계와, Comprising the steps of: if there is no subject or object in the information that is similar to the twelfth judgment step, recognized as the first attack detection information and stores it in temporary storage,
    상기 제 12판단 단계에서 유사한 주체 및 객체 정보가 있으면, 같은 공격인지 비교하는 제 13판단 단계와, And a thirteenth step of determining if there is a similar subject and object information in the twelfth judgment step, that the comparison of attack,
    상기 제13판단 단계에서 같은 공격일 경우, 탐지정보 임시저장소에 관련 정보를 수정하는 단계와, Comprising the steps of: when the attack, such as in the first determination step 13, the modification detection information to the related information temporary storage,
    상기 제 13판단 단계에서 같은 공격이 아닐 경우, 재분석 패턴 데이터베이스와 비교하여 유사공격, 다중공격 등 새로운 공격 형태를 지정할 수 있는지 비교하는 제 14판단 단계와, And a fourteenth step of comparing determines that can specify the new forms of attack such as an attack similar, multi-attack as compared with the case not be the same attack in the first determination step 13, re-analysis pattern database,
    상기 제 14판단 단계에서 새로 정의할 수 없는 공격이면, 결과 조정 및 감사데이터 생성부로 전달되는 단계와, And a step in which the first is an attack that can not be newly defined in the determining step 14, delivered to the adjustment results, and audit data generation,
    상기 제 14판단 단계에서 재분석 패턴 데이터베이스와 같은 패턴이 있을 경우, 새로운 형태의 공격을 보고하고, 결과조정 및 감사데이터 생성부에 전달하는 단계를 포함하는 것을 특징으로 하는 다양한 침입탐지모델을 사용하는 침입탐지방법. If the above-mentioned fourteenth determining step there is a pattern, such as a re-analysis pattern database, looking for new forms of attack, and the resulting adjustment and audit data generation intrusion using different intrusion detection model comprising the step of delivering the portion detection methods.
  8. 제 7항에 있어서, 상기 탐지정보임시저장소는 새로운 정보를 받아들이고 사용되지 않는 오래된 정보를 삭제하기 위해 주기적으로 탐지정보 검사하고 관리하는관리단계와, Article as claimed in 7, wherein the detection information is a temporary storage management step of periodically checking to detect and manage information in order to delete the old information that is not used to accept the new information,
    상기 관리단계에서 검사한 데이터를 타임아웃 또는 관리자가 정의한 일정 시간 간격을 점검하고 수정된 데이터를 결과조정 및 감사데이터 생성부에 전달하는 단계를 포함하는 것을 특징으로 하는 다양한 침입탐지모델을 사용하는 침입탐지방법. Intrusion using different intrusion detection model comprising the steps of: passing a data check for a predetermined time interval the data defined by the time-out, or the administrator checking and corrected in the management step to the result adjustment and audit data generation section detection methods.
KR20010003295A 2001-01-19 2001-01-19 Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof KR100351306B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20010003295A KR100351306B1 (en) 2001-01-19 2001-01-19 Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20010003295A KR100351306B1 (en) 2001-01-19 2001-01-19 Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof

Publications (2)

Publication Number Publication Date
KR20020062070A true KR20020062070A (en) 2002-07-25
KR100351306B1 true KR100351306B1 (en) 2002-09-05

Family

ID=27692283

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20010003295A KR100351306B1 (en) 2001-01-19 2001-01-19 Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof

Country Status (1)

Country Link
KR (1) KR100351306B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101010095B1 (en) 2005-11-21 2011-01-24 모토로라 모빌리티, 인크. Method and system for processing incoming packets in a communication network
KR101022167B1 (en) * 2004-01-19 2011-03-17 주식회사 케이티 Apparatus for optimizing log of intrusion detection system with consideration of the vulnerability of the network devices
KR101388319B1 (en) * 2009-12-26 2014-04-22 인텔 코오퍼레이션 Method and device for managing security events

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100898241B1 (en) * 2002-09-30 2009-05-18 주식회사 케이티 System of dynamic security service for intrusion detection and prevention from cyber attack by using path configuration and method thereof
KR100787703B1 (en) * 2002-11-12 2007-12-21 엘지노텔 주식회사 Method of Protecting Hacking in the Router/Switch System
KR100558658B1 (en) 2003-10-02 2006-03-14 한국전자통신연구원 In-line mode network intrusion detection/prevention system and method therefor
KR100758796B1 (en) * 2004-08-02 2007-09-14 주식회사 케이티 Realtime service management system for enterprise and a method thereof
KR100732854B1 (en) * 2004-09-09 2007-06-27 주식회사 케이티 Anomaly traffic detection system for enterprise network and method thereof
KR101143847B1 (en) * 2005-04-14 2012-05-10 (주) 모두스원 Network security apparatus and method thereof
KR100736205B1 (en) * 2005-05-06 2007-07-06 (주)모니터랩 Security system through internet for web application service and providing method the same on internet
US8229879B2 (en) 2005-07-08 2012-07-24 Brainlike, Inc. System and method for auto-adaptive network
KR100728446B1 (en) * 2005-07-21 2007-06-13 엘지엔시스(주) Hardware based intruding protection device, system and method
KR100745678B1 (en) * 2005-12-08 2007-08-02 한국전자통신연구원 Effective Intrusion Detection Device and the Method by Analyzing Traffic Patterns
KR100707940B1 (en) * 2006-02-27 2007-04-09 전남대학교산학협력단 Security method for supporting various access control policies in operating system or application
KR100706338B1 (en) * 2006-02-27 2007-04-04 전남대학교산학협력단 Virtual access control security system for supporting various access control policies in operating system or application
KR100862321B1 (en) * 2006-10-20 2008-10-13 이충한 Method and apparatus for detecting and blocking network attack without attack signature
US8099786B2 (en) 2006-12-29 2012-01-17 Intel Corporation Embedded mechanism for platform vulnerability assessment
KR100901696B1 (en) 2007-07-04 2009-06-08 한국전자통신연구원 Apparatus of content-based Sampling for Security events and method thereof
KR100825257B1 (en) * 2007-09-05 2008-04-25 주식회사 나우콤 Detail processing method of abnormal traffic data
WO2009121019A3 (en) * 2008-03-28 2010-03-18 Brainlike Surveillance Research, Inc. System and method for auto-adaptive network
US20110196964A1 (en) * 2008-10-14 2011-08-11 Srikanth Natarajan Managing event traffic in a network system
KR100977827B1 (en) * 2008-10-14 2010-08-25 한국전자통신연구원 Apparatus and method detecting connection mailcious web server system
KR101033510B1 (en) * 2008-11-17 2011-05-09 (주)소만사 Method for preventing leakage of internal information using messenger and network contents security system thereof
KR101011223B1 (en) * 2008-12-03 2011-01-28 한국인터넷진흥원 SIP-based Enterprise Security Management System
KR101501669B1 (en) * 2013-12-24 2015-03-12 한국인터넷진흥원 Behavior detection system for detecting abnormal behavior
KR101535529B1 (en) * 2013-12-27 2015-07-09 호서대학교 산학협력단 Method for collecting the suspicious file and trace information to analysis the ATP attack

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101022167B1 (en) * 2004-01-19 2011-03-17 주식회사 케이티 Apparatus for optimizing log of intrusion detection system with consideration of the vulnerability of the network devices
KR101010095B1 (en) 2005-11-21 2011-01-24 모토로라 모빌리티, 인크. Method and system for processing incoming packets in a communication network
KR101388319B1 (en) * 2009-12-26 2014-04-22 인텔 코오퍼레이션 Method and device for managing security events
US8806620B2 (en) 2009-12-26 2014-08-12 Intel Corporation Method and device for managing security events

Also Published As

Publication number Publication date Type
KR20020062070A (en) 2002-07-25 application

Similar Documents

Publication Publication Date Title
Kumar Survey of current network intrusion detection techniques
Mukherjee et al. Network intrusion detection
Debar et al. A revised taxonomy for intrusion-detection systems
US7454792B2 (en) Active network defense system and method
US7607170B2 (en) Stateful attack protection
US20060026682A1 (en) System and method of characterizing and managing electronic traffic
US20040111636A1 (en) Defense mechanism for server farm
US20060031938A1 (en) Integrated emergency response system in information infrastructure and operating method therefor
US20030084328A1 (en) Method and computer-readable medium for integrating a decode engine with an intrusion detection system
US20040015719A1 (en) Intelligent security engine and intelligent and integrated security system using the same
Schnackengerg et al. Cooperative intrusion traceback and response architecture (CITRA)
US7603709B2 (en) Method and apparatus for predicting and preventing attacks in communications networks
US20040117478A1 (en) Monitoring network activity
US20080040801A1 (en) Method and System for Managing Denial of Service Situations
US20030037258A1 (en) Information security system and method`
US20110173699A1 (en) Network intrusion detection with distributed correlation
US20040098618A1 (en) System and method for defending against distributed denial-of-service attack on active network
US6816973B1 (en) Method and system for adaptive network security using intelligent packet analysis
US20120151585A1 (en) Method and System for Identifying Malicious Messages in Mobile Communication Networks, Related Network and Computer Program Product Therefor
US7028338B1 (en) System, computer program, and method of cooperative response to threat to domain security
US7308714B2 (en) Limiting the output of alerts generated by an intrusion detection sensor during a denial of service attack
Kruegel et al. Alert Verification Determining the Success of Intrusion Attempts.
US20120297489A1 (en) Computer network intrusion detection
US7197563B2 (en) Systems and methods for distributed network protection
US5991881A (en) Network surveillance system

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130816

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20140703

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20150909

Year of fee payment: 14

FPAY Annual fee payment

Payment date: 20160817

Year of fee payment: 15

FPAY Annual fee payment

Payment date: 20170711

Year of fee payment: 16

FPAY Annual fee payment

Payment date: 20180920

Year of fee payment: 17