KR100432167B1 - 은닉형 침입 탐지 및 차단 제어 시스템 및 그 제어방법 - Google Patents

은닉형 침입 탐지 및 차단 제어 시스템 및 그 제어방법 Download PDF

Info

Publication number
KR100432167B1
KR100432167B1 KR10-2001-0084868A KR20010084868A KR100432167B1 KR 100432167 B1 KR100432167 B1 KR 100432167B1 KR 20010084868 A KR20010084868 A KR 20010084868A KR 100432167 B1 KR100432167 B1 KR 100432167B1
Authority
KR
South Korea
Prior art keywords
packet
security policy
blocking
memory
access controller
Prior art date
Application number
KR10-2001-0084868A
Other languages
English (en)
Other versions
KR20030054659A (ko
Inventor
김익균
류걸우
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2001-0084868A priority Critical patent/KR100432167B1/ko
Publication of KR20030054659A publication Critical patent/KR20030054659A/ko
Application granted granted Critical
Publication of KR100432167B1 publication Critical patent/KR100432167B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Abstract

본 발명은 네트워크를 통하여 해커들의 불법적인 침입행위를 선로속도로 탐지하여 불법행위의 패킷을 사전에 차단하는 은닉형 침입 탐지 및 차단 제어 시스템 및 그 제어 방법에 관한 것이다. 본 발명의 은닉형 침입 탐지 및 차단 제어 시스템은 외부망 접속장치(200)와 내부망 접속장치(300) 사이에 위치하여 이더넷으로 연결되고, 네트워크 상에서 특정 IP 주소를 가지지 않고 은닉하여 모든 패킷의 흐름을 모니터링하는데, 이는 RISC 프로세서(110)와 외부 매체접근 제어기(150)와 외부 매체접근 제어기(150)와 내부 매체접근 제어기(160)와 패킷 메모리(120)와 패킷 제어 엔진(130)과 콘텐츠 주소 메모리(140)와 통계치 메모리(170)를 포함한다.

Description

은닉형 침입 탐지 및 차단 제어 시스템 및 그 제어방법 {Hidden-type intrusion detection and blocking control system and control method thereof}
본 발명은 정보통신망의 고속 네트워크 보안 시스템에 관한 것으로서, 네트워크를 통하여 해커들의 불법적인 침입행위를 선로속도로 탐지하여 불법행위의 패킷을 사전에 차단하는 은닉형 침입 탐지 및 차단 제어 시스템 및 그 제어 방법에 관한 것이다.
이와 관련된 종래의 기술로는, 침입 탐지 및 차단에 관한 모든 기능을 호스트 기반의 소프트웨어 모듈을 이용하여 구현하는 방법들이 제시되었고, 또한 라우터 시스템의 부가기능으로 방법들로서도 제시되어 왔다. 이런 방식으로는 날로 증가되는 네트워크 선로기술로 인해 발생되는 네트워크 트래픽의 증가에 따라 데이터 전달 및 탐지 능력이 성능상의 문제로 대두되었다. 특히 대부분의 침입 탐지 및 차단 시스템은 외부 네트워크와 내부 네트워크의 경계지점에 위치하게 되는데, 이 경계지점은 내부의 모든 트래픽이 집중되어 병목점이 발생하는 곳으로서 기존의 침입 탐지 방법을 적용할 경우 또 하나의 트래픽 병목점이 증가하게 되거나, 고속의 탐지기술이 지원되지 않을 경우 전체 트래픽을 감시하지 못한다는 문제점을 가지게 되었다. 또한 침입 탐지 및 차단 시스템에 대한 자체 보안에 대해서는 현재 고려되지 않고 있기 때문에 현재 증가하고 있는 네트워크 장치에 대한 보안성과 더불어 자체 시스템에 대한 침입 대응에 취약성을 가지고 있다는 문제점이 있었다.
상기와 같은 문제점을 해결하기 위해 본 발명은 침입 탐지 및 차단 시스템을 네트워크 상에서 은닉함으로써 선로속도로 동작하게 하는 데에 그 목적이 있다.
도 1은 본 발명에 따른 은닉형 침입 탐지 및 차단 제어 시스템의 구성도.
도 2는 본 발명에 따른 패킷 제어 엔진의 기능 블록도.
도 3은 본 발명에 따른 보안정책 수정방법의 흐름도.
도 4는 본 발명에 따른 패킷 제어방법의 흐름도.
* 도면의 주요부분에 대한 부호의 설명
100: 은닉형 침입 탐지 및 차단 제어 시스템
110: RISC(Reduced Instruction Set Computer) 프로세서
120: 패킷 메모리 130: 패킷 제어 엔진
131: 프로세서 인터페이스 132: 보안정책 전처리부
133: 통계치 메모리 인터페이스 134: 패킷 통계 카운터
135:패킷 디코더 136: 패킷 메모리 인터페이스
137: 패킷 제어부 138: 콘텐츠 주소 메모리 인터페이스
139a: 외부 MAC 인터페이스 139b: 내부 MAC 인터페이스
140: 콘텐츠 주소 메모리(CAM: Contents Address Memory)
150: 외부 매체접근 제어기(MAC: Media Access Controller)
160: 내부 매체접근 제어기(MAC: Media Access Controller)
170: 통계치 메모리
제1 관점에 따른 본 발명의 은닉형 침입 탐지 및 차단 제어 시스템은 외부망 접속장치(200)와 내부망 접속장치(300) 사이에 위치하여 이더넷으로 연결되고, 네트워크 상에서 특정 IP 주소를 가지지 않고 은닉하여 모든 패킷의 흐름을 모니터링하는데, 관리 기능을 가지며 보안정책을 지시하는 RISC 프로세서(110)와, 그 외부망 접속장치(200)와 접속되어 그 패킷을 송수신하는 외부 매체접근 제어기(150)와, 그 내부망 접속장치(300)와 접속되어 그 패킷을 송수신하는 내부 매체접근 제어기(160)와, 그 외부 매체접근 제어기(150)를 통해 수신된 그 패킷과 그 내부 매체접근 제어기(160)를 통해 수신된 그 패킷을 임시적으로 저장하기 위한 패킷 메모리(120)와, 그 외부 매체접근 제어기(150)를 통해 수신된 그 패킷과 그 내부 매체접근 제어기(160)를 통해 수신된 그 패킷을 필요에 따라 임시적으로 그 패킷 메모리(120)에 저장하기도 하며 그 패킷이 유해 패킷인지 판단하여 정상 패킷이면 그 내부 매체접근 제어기(160)와 그 외부 매체접근 제어기(150)를 통하여 그 내부망 접속장치(300)와 그 외부망 접속장치(200)에 단순히 전달하거나 필요에 따라 그 RISC 프로세서(110)에 패킷을 보내고 유해 패킷이면 차단하거나 그 RISC 프로세서(110)에 경보를 발생하는 패킷 제어 엔진(130)과, 메모리의 주소 대신에 내용을 이용하여 저장된 내용을 끄집어낼 수 있게 하는 콘텐츠 주소 메모리(140)와, 통계치를 저장하기 위한 통계치 메모리(170)를 포함한다.
그 패킷 제어 엔진(130)은, 그 RISC 프로세서(110)로부터 전달되는 그 보안정책을 수신하기 위한 프로세서 인터페이스(131)와, 그 프로세서 인터페이스(131)를 통해 그 보안정책을 수신하여 준비처리를 수행하는 보안정책 전처리부(132)와, 그 보안정책을 그 콘텐츠 주소 메모리(140)에 저장하기 위한 콘텐츠 주소 메모리 인터페이스(138)와, 그 외부 매체접근 제어기(150)를 통하여 그 패킷을 수신하기 위한 외부 매체접근 제어기 인터페이스(139a)와, 그 내부 매체접근 제어기(160)를 통하여 그 패킷을 수신하기 위한 내부 매체접근 제어기 인터페이스(139b)와, 그 통계치들을 그 통계치 메모리(170)에 저장하기 위한 통계치 메모리 인터페이스(133)와, 패킷을 그 패킷 메모리(120)에 저장하기 위한 패킷 메모리 인터페이스(136)와, 그 패킷 메모리(120)에 저장된 패킷을 패킷 단위로 페치하여 MAC 프레임과 IP 헤더 및 페이로더로 디코딩하는 패킷 디코더(135)와, 그 패킷 디코더로부터 디코드된 패킷을 수신하고 그 보안정책 전처리부(132)로부터 준비처리된 그 보안정책을 수신하고 그 보안정책에 따라 그 패킷이 유해 패킷인지를 판단하여 정상 패킷은 단순히전달하거나 필요에 따라 그 RISC 프로세서(110)에 패킷을 보내고 유해 패킷은 차단하거나 그 프로세서 인터페이스(131)를 통하여 그 RISC 프로세서(110)에 경보를 발생하는 패킷 제어부(137)와, 그 패킷 제어부(137)에서 처리되는 패킷에 대하여 통계치를 추출하여 그 통계치 메모리 인터페이스(133)를 통하여 그 통계치 메모리(170)에 저장하고 그 통계치를 그 RISC 프로세서(110)에 전송하는 패킷 통계 카운터(134)를 포함한다.
그 보안정책들은 위험 사용자 관리 혹은 차단 연결 세션 등의 정보 및 침입 유형들에 대한 정보를 포함한다. 그 통계치는 패킷의 각 세션의 통계정보와 유입 트래픽의 특성들을 포함하며, 그 RISC 프로세서(110)에서 높은 수준의 침입 분석을 위한 기본 정보로 활용된다. 그 외부 매체접근 제어기(150)는 물리적으로 10/100 Mbps의 속도로 그 외부망 접속 장치(200)와 그 패킷을 송수신하고, 그 내부 매체접근 제어기(160)는 물리적으로 10/100 Mbps의 속도로 그 내부망 접속 장치(300)와 그 패킷을 송수신한다.
제2 관점에 따른 본 발명의 보안정책 수정방법은 보안정책의 수정요구를 받는 제1 단계와, 그 보안정책의 수정요구가 추가인지 삭제인지를 판단하는 제2 단계와, 그 보안정책의 수정요구가 추가이면 그 보안정책의 범주에 따라 내용을 추가하는 제3 단계와, 그 보안정책의 수정요구가 삭제이면 그 보안정책의 범주에 따라 내용을 삭제하는 제4 단계를 포함한다.
그 제3 단계는, 그 보안정책의 범주를 판단하는 제1 과정과, 그 보안정책의 범주가 블랙리스트이면 블랙리스트를 추가하는 제2 과정과, 그 보안정책의 범주가차단세션이면 차단세션을 추가하는 제2 과정과, 그 보안정책의 범주가 침입유형이면 침입유형을 추가하는 제3 과정을 포함한다. 그 제4 단계는 그 보안정책의 범주를 판단하는 제1 과정과, 그 보안정책의 범주가 블랙리스트이면 블랙리스트를 삭제하는 제2 과정과, 그 보안정책의 범주가 차단세션이면 차단세션을 삭제하는 제2 과정과, 그 보안정책의 범주가 침입유형이면 침입유형을 삭제하는 제3 과정을 포함한다.
제3 관점에 따른 본 발명의 패킷 제어방법은 패킷을 수신하는 제1 단계와, 그 패킷을 임시로 패킷 메모리에 저장하는 제2 단계와, 그 패킷을 패킷 디코더를 이용하여 이더넷 프레임 구조, IP 헤더 구조 및 IP 패이로더로 디코딩하는 제3 단계와, 보안정책을 페치하는 제4 단계와, 디코딩 결과를 바탕으로 유해 패킷인지 판단하는 제5 단계와, 그 패킷이 유해 패킷이면 그 패킷을 폐기하고 통계치를 수정하는 제6 단계와, 그 패킷이 정상 패킷이면 그 패킷을 포워딩하고 통계치를 수정하고 필요에 따라 그 패킷을 프로세서에 전송하는 제7 단계를 포함한다. 그 제6 단계는 그 패킷이 불량 사용자 리스트에 등록되어 있는지 검사하는 제1 과정과, 그 패킷이 그 불량 사용자 리스트에 등록되어 있지 않으면 그 패킷이 차단 세션으로 등록되어 있는지 검사하는 제2 과정과, 그 패킷이 그 불량 사용자 리스트에 등록되어 있거나 그 패킷이 그 차단 세션으로 등록되어 있으면 그 패킷을 폐기하고 그 결과를 통계치로서 보관하는 제3 과정을 포함한다. 제7 단계는 패킷을 포워딩하는 제1 과정과, 그 패킷이 침입 유형에 해당하는지 검사하는 제2 과정과, 그 패킷이 그 침입 유형에 해당하면 그 프로세서에 경보를 알리고 통계치를 갱신하는 제3 과정과, 그 패킷이 그 침입 유형에 해당하지 않으면 그 패킷이 더 높은 수준의 분석이 필요한 패킷인지 판단하는 제4 과정과, 그 패킷이 더 높은 수준의 분석이 필요한 패킷이면 그 패킷의 디코딩 정보를 그 프로세서에 통보하여 후처리 분석에 기본 정보로 사용할 수 있게 하는 제5 과정을 포함한다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예를 상세히 설명한다.
도 1은 본 발명에 따른 은닉형 침입 탐지 및 차단 제어 시스템의 구성도이다.
본 발명의 은닉형 침입 탐지 및 차단 제어 시스템은 외부 망 접속 장치(200)와 내부 망 접속 장치 (300) 사이에 위치하여 10/100 Mbps의 이더넷으로 연결된다. 또한 이 시스템은 네트워크 상에서 특정 IP 주소를 가지지 않는 은닉 시스템으로서 모든 패킷 흐름을 선로속도와 같은 속도를 유지하면서 모니터링한다. 외부망 접속 장치(200)와 내부망 접속 장치(300)는 네트워크 구성상 라우터와 같은 것이다. 이 은닉형 침입 탐지 및 차단 제어 시스템은 RISC 프로세서(110)와 패킷 메모리(120)와 패킷 제어 엔진(130)과 콘텐츠 주소 메모리(140)와 외부 매체접근 제어기(MAC: Media Access Controller)(150)와 내부 매체접근 제어기(MAC)(160)와 통계치 메모리(170)로 구성된다. RISC 프로세서(110)는 관리 기능을 가지며 패킷 제어 엔진(130)에게 보안정책을 지시한다. 통계치 메모리(170)는 통계치를 저장한다. 패킷 제어 엔진(130)은 물리적으로 10/100 Mbps의 두 개의 MAC 칩(150, 160)을 통해 패킷을 송수신한다. 패킷 제어 엔진(130)은 MAC 칩(150, 160)을 통해 수신된 패킷을 필요에 따라 패킷 메모리(120)에 임시적으로 저장하였다가 유해 패킷인지 판단하여 외부 매체접근 제어기(150)를 통해 수신된 패킷과 내부 매체접근 제어기(160)를 통해 수신된 패킷을 필요에 따라 임시적으로 패킷 메모리(120)에 저장하기도 하며, 패킷이 유해 패킷인지 판단하여 정상 패킷이면 내부 매체접근 제어기(160)와 외부 매체접근 제어기(150)를 통하여 내부망 접속장치(300)와 외부망 접속장치(200)에 단순히 전달하거나 필요에 따라 RISC 프로세서(110)에 패킷을 보내고, 유해 패킷이면 차단하거나 RISC 프로세서(110)에 경보를 발생할 수도 있다. 패킷 제어 엔진(130)은 10/100 Mbps의 선로속도로 패킷을 전달, 탐지 및 차단하기 위해서 내용주소 메모리(CAM: Contents Address Memory)(140)이라는 연상 기억 장치를 사용한다. CAM(140)은 메모리의 주소 대신에 내용을 이용하여 저장된 내용을 끄집어낼 수 있게 하는 기억장치이다. 패킷 제어 엔진(130)은 자신의 초기화 시점이나 보안정책의 변경 요구가 있을 때마다 RISC 프로세서(110)로부터 보안정책을 내려받게 되는데, 이는 패킷 제어의 필수적인 통제 수단이 된다.
기존의 침입 탐지 시스템은 범용 프로세서의 네트워크 프로토콜 스택을 거쳐 소프트웨어 태스크 구조로 운용되기 때문에 네트워크 병목점에 위치하는 트래픽에 대하여는 과부하시에 침입 탐지 및 차단 기능이 정상 동작하기 어렵다. 그러나, 본원 발명의 은닉형 침입 탐지 및 차단 제어 시스템은 네트워크 상에서 특정 IP 주소를 가지지 않고 은닉하여 모든 패킷 흐름을 선로속도와 같은 속도를 유지하면서 모니터링하므로 네트워크 병목점에 위치하는 트래픽에 대하여 과부하시에도 침입 탐지 및 차단 기능이 정상적으로 동작하는 데에는 거의 지장이 없다.
도 2는 본 발명에 따른 패킷 제어 엔진의 기능 블록도이다. 도 1과 도 2를참조하여 본 발명에 따른 패킷 제어 엔진을 상세히 설명한다.
보안정책은 RISC 프로세서(110)로부터 전달되는데 이 보안정책은 프로세서 인터페이스(131)를 통해 보안정책 전처리부(132)에 들어온다. 보안정책 전처리부(132)는 이 보안정책을 준비처리한다. 이 보안정책은 콘텐츠 주소 메모리 인터페이스(138)를 통하여 콘텐츠 주소 메모리(140)에 저장된다. 이 보안정책들은 위험 사용자 관리 혹은 차단 연결 세션 등의 정보 그리고 침입 유형들에 대한 정보를 포함하고 있다. 패킷 제어 엔진(130)은 이렇게 미리 정의된 보안정책을 바탕으로 구동된다. 외부 MAC 인터페이스(139a)는 패킷 제어부(137)와 외부 MAC(150) 사이를 인터페이싱하고, 내부 MAC 인터페이스(139b)는 패킷 제어부(137)와 내부 MAC(160) 사이를 인터페이싱한다. 즉, 이더넷 프레임은 MAC 칩(150, 160)과 MAC 인터페이스(139a, 139b)를 통해 10/100Mbps의 속도로 수신된다. 그리고, 패킷은 패킷 메모리 인터페이스(136)를 통하여 10/100Mbps의 속도로 패킷 메모리(120)에 저장된다. 패킷 디코더(135)는 패킷 메모리(120)에 저장된 패킷을 패킷 단위로 패치하여 MAC 프레임과 IP 헤더 및 페이로더로 디코딩한다. 패킷 디코딩이 완료되면, 패킷 제어부(137)는 패킷 디코더로부터 디코드된 패킷을 수신하고 보안정책 전처리부(132)로부터 준비처리된 보안정책을 수신하다. 그런 후, 패킷 제어부(137)는 보안정책에 따라 패킷이 유해 패킷인지를 판단하여, 정상 패킷은 단순히 전달하거나 필요에 따라 RISC 프로세서(110)에 패킷을 보내고, 유해 패킷은 차단하거나 프로세서 인터페이스(131)를 통하여 RISC 프로세서(110)에 경보를 발생한다. RISC 프로세서(110)에서 높은 수준의 패킷 분석을 필요로 할 경우에는 수신 패킷이 RISC프로세서(110)로 전송된다. 패킷 통계 카운터(134)는 패킷 제어부(137)에서 처리되는 패킷에 대하여 통계치를 추출하여 통계치 메모리 인터페이스(133)를 통하여 그 추출된 통계치를 통계치 메모리(170)에 저장하고, 한 편으로는 그 통계치를 RISC 프로세서(110)에 전송한다. 통계치는 패킷의 각 세션의 통계정보와 유입 트래픽의 특성들을 포함하며, 또한 RISC 프로세서(110)에서 높은 수준의 침입 분석을 위한 기본 정보로 활용된다.
이런 일련의 과정들은 적어도 10/100 Mbps의 선로 속도로 진행이 되어서 망의 병목점이 될 가능성을 제거한다. 또한 네트워크 상에서 은닉형 기능을 제공하기 위해 각 MAC 칩(150, 160)은 특정한 MAC 주소를 가지지 않고 단지 네트워크 상의 모든 패킷을 수신하는 프로미스큐어스 (Promiscuous) 모드로만 동작되고, 각 네트워크 인터페이스에 IP주소를 할당하지 않으며 네트워크 상의 하나의 노드로 보이지 않게 운용된다. 이렇게 각 인터페이스를 운용함으로써 시스템 자체 보안을 근본적으로 해결할 수 있다.
도 3은 본 발명에 따른 보안정책 수정방법의 흐름도이다.
S101에서는 보안정책의 수정요구를 받는다. S102에서는 보안정책의 수정요구가 추가인지 삭제인지를 판단한다. 보안정책의 수정요구가 추가이면, S103∼S106에서 CAM 인터페이스가 보안정책의 범주에 따라 내용을 추가하고, 보안정책의 수정요구가 삭제이면, S107∼S110에서 CAM 인터페이스가 보안정책의 범주에 따라 내용을 삭제한다.
보안정책의 범주에 따라 내용을 추가하는 경우에는 S103에서 보안정책의 범주를 판단한다. S103에서 보안정책의 범주가 블랙리스트라고 판단되면, S104에서는 블랙리스트를 추가한다. S103에서 보안정책의 범주가 차단세션이라고 판단되면, S105에서는 차단세션을 추가한다. S103에서 보안정책의 범주가 침입유형이라고 판단되면, S106에서는 침입유형을 추가한다.
보안정책의 범주에 따라 내용을 삭제하는 경우에는 S107에서는 보안정책의 범주를 판단한다. S107에서 보안정책의 범주가 블랙리스트라고 판단되면, S108에서는 블랙리스트를 삭제한다. S103에서 보안정책의 범주가 차단세션이라고 판단되면, S109에서는 차단세션을 삭제한다. S103에서 보안정책의 범주가 침입유형이라고 판단되면, S110에서는 침입유형을 삭제한다.
도 4는 본 발명에 따른 패킷 제어방법의 흐름도이다.
S201에서는 패킷을 수신한다. S202에서는 패킷을 임시로 패킷 메모리에 저장한다. S203에서는 패킷을 패킷 디코더를 이용하여 이더넷 프레임 구조, IP 헤더 구조 및 IP 패이로더로 디코딩한다. S204에서는 보안정책을 페치한다. S205에서는 S203에서의 디코딩을 통해 얻어진 결과를 바탕으로 CAM에서 패킷이 불량 사용자 리스트에 등록되어 있는지 검사한다. 패킷이 불량 사용자 리스트에 등록되어 있지 않으면, S206에서는 S203에서의 디코딩을 통해 얻어진 결과를 바탕으로 CAM에서 패킷이 차단 세션으로 등록되어 있는지 검사한다. S205에서 패킷이 불량 사용자 리스트에 등록되어 있다고 판단되거나 S206에서 패킷이 차단 세션으로 등록되어 있다고 판단되면, S207에서는 패킷을 폐기하고 그 결과를 통계치로서 보관한다. 여기에서 차단 유무가 결정된다. 그 다음으로, S208에서는 패킷을 포워딩한다. 패킷이 차단세션으로 등록되어 있지 않으면, S209에서는 패킷이 침입 유형에 해당하는지 검사한다. 패킷이 침입 유형에 해당하면, S210에서는 프로세서에 경보를 알리고 통계치를 갱신한다. 패킷이 침입 유형에 해당하지 않으면, S211에서는 더 높은 수준의 분석이 필요한 패킷인지 판단한다. 패킷이 선로 속도로는 침입 판정이 불가능하여 더 높은 수준의 분석이 필요한 패킷이면, S212에서는 패킷의 디코딩 정보를 프로세서에 통보하여 후처리 분석에 기본 정보로 사용할 수 있게 한다. S209 이전에 패킷 포워딩(S208)이 수행되므로 선로속도를 유지할 수 있게 된다.
본 발명은 자체 시스템에 대한 보안성을 근본적으로 해결하는 효과가 있다. 본 발명은 네트워크상에 노드로서 드러나지 않는 은닉성을 보장하여 자체 보안 대응이 근본적으로 해결할 수 있다. 또한 본 발명은 네트워크 트래픽의 성능 저하 없이 선로 속도를 유지하면서 침입 탐지/차단 및 전달 기능을 제공한다.

Claims (11)

  1. 외부망 접속장치(200)와 내부망 접속장치(300) 사이에 위치하여 이더넷으로 연결되고, 네트워크 상에서 특정 IP 주소를 가지지 않고 은닉하여 모든 패킷의 흐름을 모니터링하는 은닉형 침입 탐지 및 차단 제어 시스템에 있어서,
    관리 기능을 가지며 보안정책을 지시하는 RISC 프로세서(110)와,
    상기 외부망 접속장치(200)와 접속되어 상기 패킷을 송수신하는 외부 매체접근 제어기(150)와,
    상기 내부망 접속장치(300)와 접속되어 상기 패킷을 송수신하는 내부 매체접근 제어기(160)와,
    상기 외부 매체접근 제어기(150)를 통해 수신된 상기 패킷과 상기 내부 매체접근 제어기(160)를 통해 수신된 상기 패킷을 임시적으로 저장하기 위한 패킷 메모리(120)와,
    상기 외부 매체접근 제어기(150)를 통해 수신된 상기 패킷과 상기 내부 매체접근 제어기(160)를 통해 수신된 상기 패킷을 필요에 따라 임시적으로 상기 패킷 메모리(120)에 저장하기도 하며, 상기 패킷이 유해 패킷인지 판단하여 정상 패킷이면 상기 내부 매체접근 제어기(160)와 상기 외부 매체접근 제어기(150)를 통하여 상기 내부망 접속장치(300)와 상기 외부망 접속장치(200)에 단순히 전달하거나 필요에 따라 상기 RISC 프로세서(110)에 패킷을 보내고, 유해 패킷이면 차단하거나 상기 RISC 프로세서(110)에 경보를 발생하는 패킷 제어 엔진(130)과,
    메모리의 주소 대신에 내용을 이용하여 저장된 내용을 끄집어낼 수 있게 하는 콘텐츠 주소 메모리(140)와,
    통계치를 저장하기 위한 통계치 메모리(170)를 포함하는 것을 특징으로 하는 은닉형 침입 탐지 및 차단 제어 시스템.
  2. 제1 항에 있어서,
    상기 패킷 제어 엔진(130)은,
    상기 RISC 프로세서(110)로부터 전달되는 상기 보안정책을 수신하기 위한 프로세서 인터페이스(131)와,
    상기 프로세서 인터페이스(131)를 통해 상기 보안정책을 수신하여 준비처리를 수행하는 보안정책 전처리부(132)와,
    상기 보안정책을 상기 콘텐츠 주소 메모리(140)에 저장하기 위한 콘텐츠 주소 메모리 인터페이스(138)와,
    상기 외부 매체접근 제어기(150)를 통하여 상기 패킷을 수신하기 위한 외부 매체접근 제어기 인터페이스(139a)와,
    상기 내부 매체접근 제어기(160)를 통하여 상기 패킷을 수신하기 위한 내부 매체접근 제어기 인터페이스(139b)와,
    상기 통계치들을 상기 통계치 메모리(170)에 저장하기 위한 통계치 메모리 인터페이스(133)와,
    패킷을 상기 패킷 메모리(120)에 저장하기 위한 패킷 메모리 인터페이스(136)와,
    상기 패킷 메모리(120)에 저장된 패킷을 패킷 단위로 패치하여 MAC 프레임과 IP 헤더 및 페이로더로 디코딩하는 패킷 디코더(135)와,
    상기 패킷 디코더로부터 디코드된 패킷을 수신하고 상기 보안정책 전처리부(132)로부터 준비처리된 상기 보안정책을 수신하고, 상기 보안정책에 따라 상기 패킷이 유해 패킷인지를 판단하여, 정상 패킷은 단순히 전달하거나 필요에 따라 상기 RISC 프로세서(110)에 패킷을 보내고, 유해 패킷은 차단하거나 상기 프로세서 인터페이스(131)를 통하여 상기 RISC 프로세서(110)에 경보를 발생하는 패킷 제어부(137)와,
    상기 패킷 제어부(137)에서 처리되는 패킷에 대하여 통계치를 추출하여 상기 통계치 메모리 인터페이스(133)를 통하여 상기 통계치 메모리(170)에 저장하고, 상기 통계치를 상기 RISC 프로세서(110)에 전송하는 패킷 통계 카운터(134)를 포함하는 것을 특징으로 하는 은닉형 침입 탐지 및 차단 제어 시스템.
  3. 제1 항 또는 제2 항에 있어서,
    상기 보안정책들은 위험 사용자 관리 혹은 차단 연결 세션 등의 정보 및 침입 유형들에 대한 정보를 포함하는 것을 특징으로 하는 은닉형 침입 탐지 및 차단 제어 시스템.
  4. 제1 항 또는 제2 항에 있어서,
    상기 통계치는 패킷의 각 세션의 통계정보와 유입 트래픽의 특성들을 포함하며, 상기 RISC 프로세서(110)에서 높은 수준의 침입 분석을 위한 기본 정보로 활용되는 것을 특징으로 하는 은닉형 침입 탐지 및 차단 제어 시스템.
  5. 제1 항 또는 제2 항에 있어서,
    상기 외부 매체접근 제어기(150)는 물리적으로 10/100 Mbps의 속도로 상기 외부망 접속 장치(200)와 상기 패킷을 송수신하고,
    상기 내부 매체접근 제어기(160)는 물리적으로 10/100 Mbps의 속도로 상기 내부망 접속 장치(300)와 상기 패킷을 송수신하는 것을 특징으로 하는 은닉형 침입 탐지 및 차단 제어 시스템.
  6. 보안정책의 수정요구를 받는 제1 단계와,
    상기 보안정책의 수정요구가 추가인지 삭제인지를 판단하는 제2 단계와,
    상기 보안정책의 수정요구가 추가이면, 상기 보안정책의 범주에 따라 내용을 추가하는 제3 단계와,
    상기 보안정책의 수정요구가 삭제이면, 상기 보안정책의 범주에 따라 내용을 삭제하는 제4 단계를 포함하는 것을 특징으로 하는 보안정책 수정방법.
  7. 제6 항에 있어서,
    상기 제3 단계가,
    상기 보안정책의 범주를 판단하는 제1 과정과,
    상기 보안정책의 범주가 블랙리스트이면, 블랙리스트를 추가하는 제2 과정과,
    상기 보안정책의 범주가 차단세션이면, 차단세션을 추가하는 제2 과정과,
    상기 보안정책의 범주가 침입유형이면, 침입유형을 추가하는 제3 과정을 포함하는 것을 특징으로 하는 보안정책 수정방법.
  8. 제6 항에 있어서,
    상기 제4 단계가,
    상기 보안정책의 범주를 판단하는 제1 과정과,
    상기 보안정책의 범주가 블랙리스트이면, 블랙리스트를 삭제하는 제2 과정과,
    상기 보안정책의 범주가 차단세션이면, 차단세션을 삭제하는 제2 과정과,
    상기 보안정책의 범주가 침입유형이면, 침입유형을 삭제하는 제3 과정을 포함하는 것을 특징으로 하는 보안정책 수정방법.
  9. 패킷을 수신하는 제1 단계와,
    상기 패킷을 임시로 패킷 메모리에 저장하는 제2 단계와,
    상기 패킷을 패킷 디코더를 이용하여 이더넷 프레임 구조, IP 헤더 구조 및 IP 패이로더로 디코딩하는 제3 단계와,
    보안정책을 페치하는 제4 단계와,
    디코딩 결과를 바탕으로 유해 패킷인지 판단하는 제5 단계와,
    상기 패킷이 유해 패킷이면, 상기 패킷을 폐기하고 통계치를 수정하는 제6 단계와,
    상기 패킷이 정상 패킷이면, 상기 패킷을 포워딩하고 통계치를 수정하고 필요에 따라 상기 패킷을 프로세서에 전송하는 제7 단계를 포함하는 것을 특징으로 하는 패킷 제어방법.
  10. 제9 항에 있어서,
    상기 제6 단계는,
    상기 패킷이 불량 사용자 리스트에 등록되어 있는지 검사하는 제1 과정과,
    상기 패킷이 상기 불량 사용자 리스트에 등록되어 있지 않으면, 상기 패킷이 차단 세션으로 등록되어 있는지 검사하는 제2 과정과,
    상기 패킷이 상기 불량 사용자 리스트에 등록되어 있거나 상기 패킷이 상기 차단 세션으로 등록되어 있으면, 상기 패킷을 폐기하고 그 결과를 통계치로서 보관하는 제3 과정을 포함하는 것을 특징으로 하는 패킷 제어방법.
  11. 제9 항에 있어서,
    제7 단계는,
    패킷을 포워딩하는 제1 과정과,
    상기 패킷이 침입 유형에 해당하는지 검사하는 제2 과정과,
    상기 패킷이 상기 침입 유형에 해당하면, 상기 프로세서에 경보를 알리고 통계치를 갱신하는 제3 과정과,
    상기 패킷이 상기 침입 유형에 해당하지 않으면, 상기 패킷이 더 높은 수준의 분석이 필요한 패킷인지 판단하는 제4 과정과,
    상기 패킷이 더 높은 수준의 분석이 필요한 패킷이면, 상기 패킷의 디코딩 정보를 상기 프로세서에 통보하여 후처리 분석에 기본 정보로 사용할 수 있게 하는 제5 과정을 포함하는 것을 특징으로 하는 패킷 제어방법.
KR10-2001-0084868A 2001-12-26 2001-12-26 은닉형 침입 탐지 및 차단 제어 시스템 및 그 제어방법 KR100432167B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0084868A KR100432167B1 (ko) 2001-12-26 2001-12-26 은닉형 침입 탐지 및 차단 제어 시스템 및 그 제어방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0084868A KR100432167B1 (ko) 2001-12-26 2001-12-26 은닉형 침입 탐지 및 차단 제어 시스템 및 그 제어방법

Publications (2)

Publication Number Publication Date
KR20030054659A KR20030054659A (ko) 2003-07-02
KR100432167B1 true KR100432167B1 (ko) 2004-05-17

Family

ID=32213291

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0084868A KR100432167B1 (ko) 2001-12-26 2001-12-26 은닉형 침입 탐지 및 차단 제어 시스템 및 그 제어방법

Country Status (1)

Country Link
KR (1) KR100432167B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100870871B1 (ko) 2008-05-29 2008-11-27 (주)한드림넷 액세스레벨에서의 유해트래픽 차단장치 및 보안시스템

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030056652A (ko) * 2001-12-28 2003-07-04 한국전자통신연구원 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법
KR100609700B1 (ko) * 2004-07-20 2006-08-08 한국전자통신연구원 패킷 침입 탐지 규칙 간략화 장치 및 그 방법과 간략화된침입 탐지 규칙을 이용한 패킷 침입 탐지 장치 및 방법
KR100702581B1 (ko) * 2005-09-21 2007-04-04 주식회사 미리텍 네트워크 프로세서를 이용한 패킷 고속 전달 시스템 및방법
KR20240049567A (ko) * 2021-09-08 2024-04-16 엘지전자 주식회사 무선 전력 전송 시스템에서 불법 패킷의 처리 및 유효성 검증에 대한 방법 및 장치

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000054521A (ko) * 2000-06-09 2000-09-05 김상돈 해킹 로봇 프로그램의 공격 차단 시스템 및 그 방법
KR20010103201A (ko) * 2000-05-06 2001-11-23 조용학 해킹 및 바이러스의 침투방지 시스템
KR20010112633A (ko) * 2000-06-12 2001-12-20 김광택 통합형 보안 장치 및 그 동작 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010103201A (ko) * 2000-05-06 2001-11-23 조용학 해킹 및 바이러스의 침투방지 시스템
KR20000054521A (ko) * 2000-06-09 2000-09-05 김상돈 해킹 로봇 프로그램의 공격 차단 시스템 및 그 방법
KR20010112633A (ko) * 2000-06-12 2001-12-20 김광택 통합형 보안 장치 및 그 동작 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100870871B1 (ko) 2008-05-29 2008-11-27 (주)한드림넷 액세스레벨에서의 유해트래픽 차단장치 및 보안시스템

Also Published As

Publication number Publication date
KR20030054659A (ko) 2003-07-02

Similar Documents

Publication Publication Date Title
US8245300B2 (en) System and method for ARP anti-spoofing security
US7725936B2 (en) Host-based network intrusion detection systems
US7808897B1 (en) Fast network security utilizing intrusion prevention systems
US7328349B2 (en) Hash-based systems and methods for detecting, preventing, and tracing network worms and viruses
US8001244B2 (en) Deep packet scan hacker identification
WO2021139643A1 (zh) 加密攻击网络流量检测方法,其装置及电子设备
US20030182580A1 (en) Network traffic flow control system
US20070245417A1 (en) Malicious Attack Detection System and An Associated Method of Use
US20090158435A1 (en) Hash-based systems and methods for detecting, preventing, and tracing network worms and viruses
US20080270601A1 (en) System method and apparatus for service attack detection on a network
US7475420B1 (en) Detecting network proxies through observation of symmetric relationships
US7854000B2 (en) Method and system for addressing attacks on a computer connected to a network
US20080151887A1 (en) Method and Apparatus For Inter-Layer Binding Inspection
JP2005518764A (ja) データ転送ネットワークにおけるipスプーフィングの検知・削除システムおよび方法
KR20050032765A (ko) 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법
EP2009864A1 (en) Method and apparatus for attack prevention
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
US8159948B2 (en) Methods and apparatus for many-to-one connection-rate monitoring
KR100432167B1 (ko) 은닉형 침입 탐지 및 차단 제어 시스템 및 그 제어방법
US20050111447A1 (en) Technique for tracing source addresses of packets
WO2019096104A1 (zh) 攻击防范
US20070101429A1 (en) Connection-rate filtering using ARP requests
KR20070119382A (ko) 침입방지시스템 및 그 제어방법
CN213693762U (zh) 一种网络入侵防御系统
JP2003264595A (ja) パケット中継装置、パケット中継システムおよびオトリ誘導システム

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130424

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20140430

Year of fee payment: 11

LAPS Lapse due to unpaid annual fee