KR100387396B1 - 해커 침입 탐지 기능을 가지는 네트워크 접속장치 - Google Patents
해커 침입 탐지 기능을 가지는 네트워크 접속장치 Download PDFInfo
- Publication number
- KR100387396B1 KR100387396B1 KR10-2001-0010145A KR20010010145A KR100387396B1 KR 100387396 B1 KR100387396 B1 KR 100387396B1 KR 20010010145 A KR20010010145 A KR 20010010145A KR 100387396 B1 KR100387396 B1 KR 100387396B1
- Authority
- KR
- South Korea
- Prior art keywords
- unit
- protocol
- intrusion
- physical layer
- network
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Abstract
본 발명은 해커 침입을 탐지하기 위한 네트워크 접속장치에 관한 것으로, 매체 접속부로부터 전송된 고속 이더넷 데이터 프레임을 MII(Media Independent Interface) 형태에 따른 데이터 프레임으로 변환 출력하는 물리층 디바이스와; 상기 물리층 디바이스와 버스 인터페이스부 사이에서 데이터의 송수신을 제어하기 위한 매체 액세스 제어부와; 상기 MII 형태에 따른 데이터 프레임을 입력하여 매 패킷단위의 프로토콜 정보와 송신자 IP 주소를 식별하여 출력하는 프로토콜 및 IP 주소 식별부와; 데이터베이스화된 프로토콜별 침입패턴 형태들과 상기 프로토콜 정보를 비교하여 그 결과를 출력하는 침입패턴 비교부와; 상기 프로토콜 및 IP 주소 식별부와 침입패턴 비교부를 디바이스 드라이버와 데이터 버스를 통해 데이터베이스와 연결시키고, 상기 비교결과를 디바이스 드라이버를 통해 응용 프로그램에 전송하는 프로세스 제어부;를 포함함을 특징으로 한다.
Description
본 발명은 네트워크 보안 시스템에 관한 것으로, 특히 해커 침입을 탐지하기 위한 네트워크 접속장치에 관한 것이다.
인터넷망과 네트워크 기술의 발달로 멀리 떨어진 컴퓨터도 LAN(Local Area Network)과 WAN(Wide Area Network)으로 연결해 바로 옆에 있는 컴퓨터처럼 사용할 수 있게 되었으며, 필요로 하는 데이터도 쉽게 전송할 수 있게 되었다. 그러나 이와 반대로 보안이 유지되어야 하는 정보의 유출, 해커의 불법침입에 의한 정보의 손상 또한 쉽게 이루어질 수 있는 문제점이 발생하게 되었다. 이러한 해킹을 차단하기 위해서는 보안유지가 필요한 컴퓨터는 네트워크로의 연결을 하지 않는 것이 최선이 방법이나, 네트워크로의 연결은 필요불가결한 것이므로 허가되지 않은 내부자 또는 외부자에 의한 침입을 사전에 차단하여 네트워크의 보안유지와 안정성을 확보할 수 있는 보안 솔루션이 한층 요구되고 있다.
이러한 보안 솔루션으로서 침입 탐지 시스템(Intrusion Detection System:IDS)이 보편적으로 사용되고 있다. 침입 탐지 시스템에서는 이미 알려진 공격 방법을 패턴화하여 DB에 저장해 놓고, 네트워크상의 통신내용이 패턴화된 공격 방법과 일치할 경우 침입으로 판정하는 탐지 알고리즘을 일반적으로 사용하고 있다.
그러나 상술한 탐지 알고리즘을 채용하는 일반적인 침입 탐지 시스템은 침입 패턴의 적용에 대한 유용성은 좋지만, 초고속망에서는 침입 탐지 연산속도가 망을 지나가는 데이터(패킷)들의 속도보다 느리기 때문에 패킷 유실에 따라 올바르게 해커 침입여부를 탐지할 수 없는 문제점이 발생한다. 이러한 문제점을 해결하기 위하여 제안된 것이 하드웨어적인 구성을 통해 해커의 침입을 탐지하는 침입 탐지 시스템이다. 그러나 하드웨어적인 구성을 통해 해커의 침입을 탐지하는 시스템 역시 새롭게 등장하는 침입패턴에는 대응할 수 없는 문제점이 있다.
따라서 본 발명의 목적은 소프트웨어적인 방법만을 통해 해커의 침입을 탐지하는 침입 탐지 시스템과, 하드웨어적인 구성만으로 해커의 침입을 탐지하는 침입 탐지 시스템의 단점 모두를 극복할 수 있는 해커침입 탐지용 네트워크 접속장치를 제공함에 있다.
본 발명의 또 다른 목적은 새롭게 등장하는 해커의 침입패턴에 대응하면서도신속하게 해커의 침입 여부를 하드웨어적인 구성으로 탐지할 수 있는 네트워크 접속장치를 제공함에 있다.
도 1은 본 발명의 바람직한 실시예에 따른 네트워크 접속장치의 블록구성도.
도 2는 본 발명의 바람직한 실시예에 따른 네트워크 패킷 헤더의 구조를 간략히 예시한 도면.
상기 목적을 달성하기 위한 본 발명의 일 양상에 따른 네트워크 접속장치는;
전송매체에 접속하기 위한 매체 접속부와;
상기 매체 접속부로부터 전송된 고속 이더넷 데이터 프레임을 MII(Media Independent Interface) 형태에 따른 데이터 프레임으로 변환 출력하는 물리층 디바이스와;
상기 물리층 디바이스와 버스 인터페이스부 사이에서 데이터의 송수신을 제어하기 위한 매체 액세스 제어부와;
상기 MII 형태에 따른 데이터 프레임을 입력하여 매 패킷단위의 프로토콜 정보와 송신자 IP 주소를 식별하여 출력하는 프로토콜 및 IP 주소 식별부와;
데이터베이스화된 프로토콜별 침입패턴 형태들과 상기 프로토콜 정보를 비교하여 그 결과를 출력하는 침입패턴 비교부와;
상기 프로토콜 및 IP 주소 식별부와 침입패턴 비교부를 디바이스 드라이버와 데이터 버스를 통해 데이터베이스와 연결시키고, 상기 비교결과를 디바이스 드라이버를 통해 응용 프로그램에 전송하는 프로세스 제어부를 포함함을 특징으로 한다.
이하 본 발명의 바람직한 실시예들을 첨부한 도면을 참조하여 상세히 설명하기로 한다. 본 발명을 설명함에 있어, 관련된 공지 기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그에 대한상세한 설명은 생략하기로 한다.
우선 도 1은 본 발명의 바람직한 실시예에 따른 네트워크 접속장치의 블록구성도를 도시한 것으로, 외부망 혹은 내부망으로부터 데이터를 전송받는 경우를 가정하여 도시한 것이다. 도 2는 본 발명의 바람직한 실시예에 따른 네트워크 패킷 헤더의 구조를 간략히 예시한 도면이다.
도 1을 참조하면, 본 발명의 실시예에 따른 네트워크 접속장치로서의 랜(LAN) 카드는 크게 매체 접속부(100), 물리층 디바이스(PHYTER)(110), MAC 제어부(120), 프로토콜 및 IP 주소 식별부(130), 침입 패턴 비교부(140), 프로세스 제어부(150) 및 PCI 버스 인터페이스부(160)로 구성된다.
상기 매체 접속부(100)는 네트워크 접속장치인 랜 카드(170)를 전송매체에 접속하는 역할을 수행한다. 이러한 매체 접속부(100)는 이미 공지된 바와 같이 자기 절연체(Magnetic Isolator)와 MDI(Medium Dependent Interface)커넥터(RJ45)로 구성된다. 그리고 상기 전송매체는 일예로서 IEEE 802.3 표준 '100BASE-T'의 규격에 따라 2쌍의 UTP(Unshielded Twisted Pair Cable)/STP(Shielded Twisted Pair Cable)를 사용하거나 2심의 광파이버를 사용할 수 있다.
한편 물리층 디바이스(110)는 상기 매체 접속부(100)로부터 전송된 고속 이더넷 데이터 프레임을 MII(Media Independent Interface) 형태에 따른 데이터 프레임으로 변환 출력하는 역할을 수행한다. 이러한 물리층 디바이스(100)로서는 National Semiconductor DP83843 PHYTER를 사용할 수 있다. 이러한 PHYTER 역시 이미 공지된 기술이므로 그에 대한 상세 구성 및 동작은 생략하기로 한다.
MAC(Media Access Control) 제어부(120)는 상기 물리층 디바이스(110)와 PCI버스 인터페이스부(160) 사이에서 데이터의 송수신을 제어한다. 즉, MAC 제어부(120)는 패킷 구조, 토큰 제어, 송수신 프레임 체크 등을 수행한다.
프로토콜 및 IP 주소 식별부(130)는 상기 MII 형태에 따른 데이터 프레임을 실시간으로 분석하여 매 패킷단위의 프로토콜 정보와 송신자 IP 주소를 식별하여 각각 침입 패턴 비교부(140)와 프로세스 제어부(150)로 출력한다.
침입 패턴 비교부(140)는 프로세스 제어부(150)의 제어에 의해 프로토콜별 네트워크 침입 패턴 형태들을 기록해 둔 프로토콜별 침입 패턴 데이터베이스와 연결되어 프로토콜별 침입패턴 형태들과 상기 프로토콜 정보를 비교하여 그 결과를 출력한다.
프로세스 제어부(150)는 상기 프로토콜 및 IP 주소 식별부(130)와 침입패턴 비교부(140)를 디바이스 드라이버와 PCI 버스를 통해 프로토콜별 침입패턴 데이터베이스와 연결시키고, 침입패턴 비교결과를 디바이스 드라이버를 통해 응용 프로그램에 전송한다.
PCI 버스 인터페이스부(160)는 PCI 버스와 MAC 제어부(120) 및 프로세스 제어부(150) 사이에 송수신되는 데이터를 인터페이싱하여 준다.
참고적으로 네트워크 패킷 헤더에는 도 2에 도시한 바와 같이 송신자 IP주소, 수신자 IP 주소, 송신측 포트, 수신측 포트 및 데이터정보가 포함되어 있기 때문에, 프로토콜 및 IP 주소 식별부(130)에서는 상기 패킷 헤더로부터 프로토콜 정보와 IP주소를 식별할 수 있다. 또한 상기 프로토콜 및 IP 주소 식별부(130)와, 침입패턴 비교부(140) 및 프로세스 제어부(150)는 원칩 IC로 집적화시킬 수 있다.
이하 본 발명의 실시예에 따른 네트워크 접속장치의 동작을 설명하면;
우선 전송매체를 통해 고속 이더넷 데이터가 물리층 디바이스(PHYTER)(110)에 입력되면, 물리층 디바이스(PHYTER)(110)에서는 이를 MII 형태에 따른 데이터 프레임으로 실시간 변환하여 출력한다. 이러한 MII 형태에 따른 데이터 프레임은 MAC 제어부(120)와 프로토콜 및 IP 주소 식별부(130)로 동시 입력된다. 그러면 프로토콜 및 IP 주소 식별부(130)에서는 입력되는 데이터 프레임의 패킷 헤더정보를 실시간으로 분석하여 매 패킷단위의 프로토콜 정보와 송신자 IP 주소를 식별하여 각각 침입 패턴 비교부(140)와 프로세스 제어부(150)로 출력한다.
그러면 침입 패턴 비교부(140)에서는 프로세서 제어부(150)에 의해 연결된 프로토콜별 침입 패턴 데이터베이스에 기록된 프로토콜별 침입패턴 형태들과 입력된 프로토콜 정보가 매칭되는가를 비교한다. 만약 비교결과 침입패턴 형태들중 어느 하나와 프로토콜 정보가 매칭되면 해커 침입을 지시하는 신호를 발생시켜 프로세스 제어부(150)로 출력한다. 이러한 경우 프로세스 제어부(150)에서는 해커 침입 탐지결과를 디바이스 드라이버를 통해 응용 프로그램에 전송하는 한편, 송신자 IP 주소를 데이터베이스화시키도록 송신자 IP 주소를 상기 응용 프로그램으로 전송한다.
상술한 네트워크 접속장치의 동작에 의해 시스템 사용자 혹은 관리자는 해커 침입여부를 감지할 수 있고, 해커 침입을 시도한 단말기의 IP 주소를 DB를 통해 확인할 수 있다.
따라서 본 발명은 랜(LAN) 카드와 같은 네트워크 접속장치를 실장하는 모든 단말기에서 해커의 침입을 탐지할 수 있게 되는 것이다.
상술한 바와 같이 본 발명은 일정한 침입 패턴을 데이터베이스화 하고 이를 갱신해 나감은 물론, 초고속망을 통해 전송되는 데이터패킷들을 일련의 하드웨어 구성을 경유케 하여 침입패턴여부를 판단함으로써,
하드웨어적인 구성만으로 해커의 침입을 탐지하는 시스템에 비해 새로운 침입패턴에 대응할 수 있는 장점이 있으며,
소프트웨어적인 방법만으로 해커의 침입을 탐지하는 시스템에 비해 데이터 패킷의 유실을 막아 정확하게 해커 침입을 탐지할 수 있는 장점이 있다.
또한 본 발명은 네트워크 접속을 시도하기 위한 랜 카드만으로 해커의 침입을 탐지할 수 있기 때문에, 해커 침입을 탐지하기 위한 별도의 보안 시스템이 필요치 않은 장점이 있다.
본 발명은 도면에 도시된 실시예들을 참고로 설명되었으나 이는 예시적인 것에 불과하며, 당해 기술분야에 통상의 지식을 지닌자라면 이로부터 다양한 변형 및 균등한 타실시예가 가능하다는 점을 이해할 것이다. 따라서, 본발명의 진정한 기술적 보호범위는 첨부된 특허청구범위에 의해서만 정해져야 할 것이다.
Claims (5)
- 네트워크 구성을 위한 전송매체에 접속 가능한 네트워크 접속장치에 있어서,상기 전송매체에 접속하기 위한 매체 접속부와;상기 매체 접속부로부터 전송된 고속 이더넷 데이터 프레임을 MII(Media Independent Interface) 형태에 따른 데이터 프레임으로 변환 출력하는 물리층 디바이스와;상기 물리층 디바이스와 버스 인터페이스부 사이에서 데이터의 송수신을 제어하기 위한 매체 액세스 제어부와;상기 MII 형태에 따른 데이터 프레임을 입력하여 매 패킷단위의 프로토콜 정보와 송신자 IP 주소를 식별하여 출력하는 프로토콜 및 IP 주소 식별부와;데이터베이스화된 프로토콜별 침입패턴 형태들과 상기 프로토콜 정보를 비교하여 그 결과를 출력하는 침입패턴 비교부와;상기 프로토콜 및 IP 주소 식별부와 침입패턴 비교부를 디바이스 드라이버와 데이터 버스를 통해 데이터베이스와 연결시키고, 상기 비교결과를 디바이스 드라이버를 통해 응용 프로그램에 전송하는 프로세스 제어부;를 포함함을 특징으로 하는 해커 침입 탐지 기능을 가지는 네트워크 접속장치.
- 청구항 1에 있어서, 상기 물리층 디바이스는 물리층 매체 의존부(PMD)를 적어도 포함함을 특징으로 하는 해커 침입 탐지 기능을 가지는 네트워크 접속장치.
- 청구항 1에 있어서, 상기 프로세스 제어부는;상기 식별된 송신자 IP 주소를 데이터베이스화시킴을 특징으로 하는 해커 침입 탐지 기능을 가지는 네트워크 접속장치.
- 청구항 1에 있어서, 상기 버스 인터페이스부는 PCI 버스 인터페이스부임을 특징으로 하는 해커 침입 탐지 기능을 가지는 네트워크 접속장치.
- 청구항 1에 있어서, 상기 프로토콜 및 IP 주소 식별부와, 침입패턴 비교부와, 프로세스 제어부는 원칩 IC로 집적화됨을 특징으로 하는 해커 침입 탐지 기능을 가지는 네트워크 접속장치.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2001-0010145A KR100387396B1 (ko) | 2001-02-27 | 2001-02-27 | 해커 침입 탐지 기능을 가지는 네트워크 접속장치 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2001-0010145A KR100387396B1 (ko) | 2001-02-27 | 2001-02-27 | 해커 침입 탐지 기능을 가지는 네트워크 접속장치 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20020069760A KR20020069760A (ko) | 2002-09-05 |
| KR100387396B1 true KR100387396B1 (ko) | 2003-06-18 |
Family
ID=27695792
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR10-2001-0010145A KR100387396B1 (ko) | 2001-02-27 | 2001-02-27 | 해커 침입 탐지 기능을 가지는 네트워크 접속장치 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100387396B1 (ko) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100578503B1 (ko) * | 2001-12-13 | 2006-05-12 | 주식회사 이글루시큐리티 | 위험도 추론 침입탐지시스템 |
| KR100577829B1 (ko) * | 2005-03-11 | 2006-05-12 | (주)아이넷캅 | 웹 접속자 위치 추적 시스템 및 그 추적 방법 |
-
2001
- 2001-02-27 KR KR10-2001-0010145A patent/KR100387396B1/ko active IP Right Grant
Also Published As
| Publication number | Publication date |
|---|---|
| KR20020069760A (ko) | 2002-09-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3148154B1 (en) | Controller area network (can) device and method for controlling can traffic | |
| US7100201B2 (en) | Undetectable firewall | |
| KR100952350B1 (ko) | 지능망 인터페이스 컨트롤러 | |
| US20050114697A1 (en) | Secure point to point network pairs | |
| CA2480455A1 (en) | System and method for detecting an infective element in a network environment | |
| US20040098482A1 (en) | Hub unit for preventing the spread of viruses, method and program therefor | |
| JP2020092417A (ja) | ノードデバイスが、許可できないメッセージをcanバス上に送信することを防止する方法及び装置 | |
| Kwon et al. | Mitigation mechanism against in-vehicle network intrusion by reconfiguring ECU and disabling attack packet | |
| US6363071B1 (en) | Hardware address adaptation | |
| US7840698B2 (en) | Detection of hidden wireless routers | |
| KR100387396B1 (ko) | 해커 침입 탐지 기능을 가지는 네트워크 접속장치 | |
| US20040233849A1 (en) | Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture | |
| KR100687736B1 (ko) | 네트워크 상에서 이상 유해 트래픽 감지 장치 및 그 방법 | |
| WO2005026872A2 (en) | Internal lan perimeter security appliance composed of a pci card and complementary software | |
| CN110247924A (zh) | 基于物理传输的双向传输及控制系统和数据传输方法 | |
| US20110216770A1 (en) | Method and apparatus for routing network packets and related packet processing circuit | |
| CN110995586A (zh) | 一种bgp报文的处理方法、装置、电子设备及存储介质 | |
| CN114124473B (zh) | 基于端口镜像的网络准入认证系统及认证方法 | |
| JP2003264595A (ja) | パケット中継装置、パケット中継システムおよびオトリ誘導システム | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| KR100728446B1 (ko) | 하드웨어 기반의 침입방지장치, 시스템 및 방법 | |
| US10992644B2 (en) | Network security system and method thereof | |
| KR20090081619A (ko) | 파일 전송 보안 방법 및 장치 | |
| KR101639428B1 (ko) | 보드기반 단방향 통신제어 시스템 | |
| KR102658384B1 (ko) | 사내용 모바일 보안 에이전트 사이버공격 대응 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E701 | Decision to grant or registration of patent right | ||
| N231 | Notification of change of applicant | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20130603 Year of fee payment: 11 |
|
| FPAY | Annual fee payment |
Payment date: 20140602 Year of fee payment: 12 |
|
| FPAY | Annual fee payment |
Payment date: 20150602 Year of fee payment: 13 |
|
| FPAY | Annual fee payment |
Payment date: 20160602 Year of fee payment: 14 |
|
| FPAY | Annual fee payment |
Payment date: 20170602 Year of fee payment: 15 |
|
| FPAY | Annual fee payment |
Payment date: 20180607 Year of fee payment: 16 |
|
| FPAY | Annual fee payment |
Payment date: 20190603 Year of fee payment: 17 |