KR100439950B1 - Network Based Intrusion Detection System - Google Patents

Network Based Intrusion Detection System Download PDF

Info

Publication number
KR100439950B1
KR100439950B1 KR10-2001-0028052A KR20010028052A KR100439950B1 KR 100439950 B1 KR100439950 B1 KR 100439950B1 KR 20010028052 A KR20010028052 A KR 20010028052A KR 100439950 B1 KR100439950 B1 KR 100439950B1
Authority
KR
South Korea
Prior art keywords
network
nic
response
intrusion detection
detection system
Prior art date
Application number
KR10-2001-0028052A
Other languages
Korean (ko)
Other versions
KR20020088956A (en
Inventor
한동훈
Original Assignee
(주)인젠
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)인젠 filed Critical (주)인젠
Priority to KR10-2001-0028052A priority Critical patent/KR100439950B1/en
Priority to PCT/KR2002/000891 priority patent/WO2002096028A1/en
Publication of KR20020088956A publication Critical patent/KR20020088956A/en
Application granted granted Critical
Publication of KR100439950B1 publication Critical patent/KR100439950B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 침입탐지 시스템에 관한 것으로, 네트워크로부터 분석대상 트래픽의 패킷을 수집하는 모니터링(MN : Monitoring) NIC , 네트워크로 서스피셔스 네트워크 액티비티(SNA : Suspcious Network Activity)에 대한 대응 및 세션 킬(Session Kill)을 수행하기 위한 패킷을 보내는 응답(RN : Response) NIC을 구비하고, 더 나아가 여러개의 모니터링 NIC이 트래픽(Traffic) 분석을 수행하고 있을 경우, 여러개의 모니터링 NIC이 각각 응답 NIC을 하나씩 가지도록 상기 응답 NIC을 각각 따로 사용하거나 공유하도록 하며, 응답 NIC가 네트워크로 직접 패킷(Packet)을 보내지 못하는 상황인 경우, RN이 보내는 패킷에 대해 라우팅(Routing)을 수행 해 주는 응답 게이트웨이 (Response Gateway)도 사용할 수 있도록 함으로써 해킹이나 서비스 공격, 스캐닝 등의 네트워크 침입을 감지했을 때, 네트워크의 구성이 어떻게 되어 있는지에 상관없이 유연하게 해킹 시도에 대해 능동적으로 대처할 수 있어 해킹에 대해 적절히 조치하지 못하는 일을 최소화 할 수 있으며, 여러개의 네트워크를 감시해야하는 상황하에서도 모든 기능이 정확하게 작동하도록 한 것이다.The present invention relates to a network intrusion detection system, comprising: a monitoring (NN) NIC that collects packets of analyte traffic from a network, a response to a suscious network activity (SNA) and a session kill (SNA) If you have a response NIC that sends packets to perform a session kill (RN), and if multiple monitoring NICs are performing traffic analysis, then each monitoring NIC has one response NIC. Response gateway that uses or shares each of the response NICs separately, and performs routing for packets sent by the RN when the response NICs cannot send packets directly to the network. It can also be used to detect network intrusions such as hacking, service attacks or scanning. Regardless of how the work is configured, it can flexibly respond to hacking attempts, minimizing the inability to properly handle hacking, and ensure that all functions work correctly even when multiple networks need to be monitored. It is.

Description

네트워크 침입탐지 시스템 {Network Based Intrusion Detection System}Network Intrusion Detection System

본 발명은 네트워크 침입탐지 시스템에 관한 것으로, 특히, 네트워크에 흐르는 모든 트래픽(Traffic)을 분석하여 위험하거나, 위험 가능성이 있는 행위들을 탐지하여 이를 차단하도록 하는 네트워크 침입탐지 시스템(NIDS : Network Based Intrusion Detection System)에 있어서의 네트워크 인터페이스 카드 구성에 관련되는 것이다.The present invention relates to a network intrusion detection system, and more particularly, a network intrusion detection system (NIDS) that analyzes all traffic flowing through a network to detect and block dangerous or potentially dangerous activities. System interface).

네트워크 침입탐지 시스템(NIDS : Network Based Intrusion Detection System)은 네트워크에 흐르는 모든 트래픽(Traffic)을 분석하여 위험하거나, 위험 가능성이 있는 행위들을 탐지하여 이를 차단하고, 관리자에게 알리는 기능을 포함하는 시스템이다.The Network Based Intrusion Detection System (NIDS) is a system that analyzes all traffic flowing through the network, detects dangerous or potentially dangerous activities, blocks them, and informs the administrator.

상기 차단은 크게 두 가지 경우로 나뉘며, 하나는 서스피셔스 네트워크 액티비티(SNA : Suspicious Network Activity)라 부르는 것으로, 취약점 분석, 네트워크 서비스 검색, 운영체제 종류 판단, 서비스 거부 공격 등 TCP/IP의 근본적인 취약점을 이용한 "로우 레벨 스캐닝/어택(Low Level Scanning/Attack)"에 대한 방해를 하는 경우이고, 다른 하나는 세션 킬(Session Kill)이라 부르는 것으로, 위험한 행위를 시도하는 TCP 연결을 강제로 끊는 것이다.The blocking is largely divided into two cases. One is called Suspicious Network Activity (SNA), which is used to identify fundamental vulnerabilities of TCP / IP such as vulnerability analysis, network service search, operating system type determination, denial of service attack, etc. It is a case of interfering with the "Low Level Scanning / Attack" used. The other is called a session kill, and forcibly disconnects a TCP connection that attempts a dangerous action.

이 두가지는 모두 특정한 작용을 하도록 만들어진 네트워크 패킷(Packet)을 해당 네트워크 또는 호스트(Host)에 보내줌으로써 이루어진다.Both of these are accomplished by sending a network packet that is intended to perform a specific action to the network or host.

따라서, 상기 네트워크 액티비티(SNA) 및 세션 킬(Session Kill) 모두 네트워크 침입탐지 시스템(NIDS)이 해당 네트워크 및 호스트에 패킷을 보낼 수 있어야만 이루어질 수 있다.Therefore, both the network activity (SNA) and the session kill can be achieved only when the network intrusion detection system (NIDS) can send a packet to the network and the host.

도 1 은 포워딩(Forwarding)만이 지원되는 L2 스위치를 사용하여 전통적인침입탐지 시스템의 연결 양상을 도시한 것이다.Figure 1 illustrates the connection aspect of a traditional intrusion detection system using an L2 switch with only forwarding supported.

네트워크 침입탐지 시스템(NIDS)은 네트워크 인터페이스 카드(NIC : Network Interface Card)를 이용하여 네트워크로부터 패킷을 받아들여, 그 내용을 분석하고, 필요한 경우 패킷을 보내 특정 세션(Session)을 강제 종료 시키는 등의 작용을 하게 만들어진다.A network intrusion detection system (NIDS) uses a network interface card (NIC) to receive a packet from the network, analyze its contents, send a packet if necessary, and forcibly terminate a particular session. It is made to work.

도면에 도시한 네트워크 인터페이스 카드(NIC)는 상기 네트워크 침입탐지 시스템(NIDS)에 여러개 있을 수도 있다.The network interface card NIC shown in the figure may be multiple in the network intrusion detection system NIDS.

그러나, 네트워크 부분에 있는 장비의 한계 때문에 네트워크 인터페이스카드(NIC)가 네트워크로 패킷을 보낼 수 없는 경우에는 상기 네트워크 액티비티(SNA) 및 세션 킬(Session Kill)을 수행할 수 없다.However, if the network interface card (NIC) is unable to send a packet to the network due to the limitation of the equipment in the network portion, the network activity (SNA) and the session kill may not be performed.

이러한 경우로는 네트워크 침입탐지 시스템(NIDS)에서 패킷(Packet) 수집용의 NIC (Monitoring NIC)을 연결한 네트워크 장비의 포트(Port)가 패킷(Packet)을 전달해 주는 방식이 미러링(Mirroring)이 아닌 포워딩(Forwarding)인 경우를 예를 들 수 있다.In this case, the network intrusion detection system (NIDS) that connects the monitoring device (NIC) for packet collection to deliver the packet is not mirroring. For example, the case of forwarding.

이 때, 패킷을 받아들이는 네트워크 인터페이스카드(NIC)와 보내는 네트워크 인터페이스카드(NIC)가 같은 경우, 네트워크 침입탐지 시스템(NIDS)의 네트워크 인터페이스카드(NIC)로부터 네트워크상의 포워딩(Forwarding)이 설정된 포트(Port)로 패킷을 보내게 되고, 그 패킷이 실제로 네트워크에 도달하지 못하여 능동적 대응 방식을 취하지 못한다.At this time, if the network interface card (NIC) that accepts a packet and the sending network interface card (NIC) are the same, the port for which forwarding is set up from the network interface card (NIC) of the network intrusion detection system (NIDS). A packet is sent to a port, and the packet does not actually reach the network and thus does not take an active response.

본 발명은 상기와 같은 문제점을 해결하기 위하여 발명된 것으로, 네트워크 관련 하드웨어의 한계를 극복하여 해킹이나 서비스 공격, 스캐닝 등의 네트워크 침입을 감지했을 때, 네트워크의 구성이 어떻게 되어 있는지에 상관없이 해킹 시도에 대한 차단 및 방해를 능동적으로 할 수 있는 네트워크 침입탐지 시스템(NIDS)을 제공함을 그 목적으로 한다.The present invention has been invented to solve the above problems, and when attempting to detect network intrusions such as hacking, service attack, scanning by overcoming the limitations of network-related hardware, attempting hacking regardless of how the network is configured Its purpose is to provide a network intrusion detection system (NIDS) that can proactively block and interrupt the network.

본 발명의 또 다른 목적은 여러 개의 패킷(Packet) 수집용 NIC이 존재하더라도, 각각의 NIC이 적절한 응답 NIC를 가지며, 그 작용이 보장되도록 할 수 있는 네트워크 침입탐지 시스템(NIDS)을 제공하는 것이다.It is still another object of the present invention to provide a network intrusion detection system (NIDS) which can ensure that each NIC has an appropriate response NIC and its operation is guaranteed even if there are several packet collection NICs.

도 1 은 포워딩만이 지원되는 L2 스위치를 사용한 전통적인 침입탐지 시스템의 구성도1 is a block diagram of a conventional intrusion detection system using an L2 switch that supports only forwarding.

도 2 는 본 발명에 따른 네트워크 침입탐지 시스템의 일 실시예를 도시한 구성도Figure 2 is a block diagram showing an embodiment of a network intrusion detection system according to the present invention

도 3 은 본 발명에 따른 네트워크 침입탐지 시스템의 또 다른 실시예를 도시한 구성도Figure 3 is a block diagram showing another embodiment of a network intrusion detection system according to the present invention

도 4 는 본 발명에 따른 네트워크 침입감시 시스템의 설정 프로그램 개요도Figure 4 is a schematic diagram of the configuration program of the network intrusion monitoring system according to the present invention

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

100 : 네트워크 침입탐지 시스템 110 : 인터페이스카드100: network intrusion detection system 110: interface card

120a, 130a : 모니터링 NIC 120b : 응답 NIC120a, 130a: monitoring NIC 120b: response NIC

200a : 네트워크1 200b : 네트워크2200a: network 1 200b: network 2

200c : 네트워크3 300 : 응답 게이트웨이200c: network 3 300: response gateway

상기와 같은 목적을 달성하기 위한 본 발명에 따른 네트워크 침입탐지 시스템의 일 양상에 따르면, 본 발명에 따른 네트워크 침입탐지 시스템은 네트워크에 흐르는 모든 트래픽(Traffic)을 분석하여 위험하거나, 위험 가능성이 있는 행위들을 탐지하여 이를 네트워크 액티비티(SNA) 및 세션 킬(Session Kill)을 수행하여 해킹을 차단 및 방지하는 네트워크 침입탐지 시스템(NIDS : Network Based Intrusion Detection System)에 있어서, 상기 네트워크 침입탐지 시스템(NIDS)이 네트워크로부터 분석대상 트래픽의 패킷을 수집하는 모니터링 NIC과; 네트워크로 네트워크 액티비티(SNA) 및 세션 킬(Session Kill)을 수행하기 위한 패킷을 보내는 응답 NIC을; 포함하는 적어도 하나 이상의 제 1 형의 네트워크 인터페이스 카드를 포함하는 것을 특징으로 한다.According to an aspect of the network intrusion detection system according to the present invention for achieving the above object, the network intrusion detection system according to the present invention analyzes all traffic flowing through the network dangerous or potentially dangerous behavior In a network based intrusion detection system (NIDS) that detects and performs a network activity (SNA) and a session kill to block and prevent hacking, the network intrusion detection system (NIDS) A monitoring NIC for collecting a packet of traffic to be analyzed from the network; A response NIC for sending packets for performing network activity (SNA) and session kills to the network; And at least one network interface card of at least one first type.

본 발명에 따른 네트워크 침입탐지 시스템의 부가적인 양상에 따르면, 본 발명에 따른 네트워크 침입탐지 시스템은 네트워크로부터 분석대상 트래픽의 패킷을 수집하는 모니터링 NIC 만으로 이루어진 적어도 하나 이상의 제 2 형의 네트워크 인터페이스 카드를 더 포함하는 것을 특징으로 한다.According to an additional aspect of the network intrusion detection system according to the present invention, the network intrusion detection system according to the present invention further comprises at least one network interface card of at least one second type comprising only a monitoring NIC for collecting packets of the traffic to be analyzed from the network. It is characterized by including.

본 발명에 따른 네트워크 침입탐지 시스템의 부가적인 양상에 따르면, 본 발명에 따른 네트워크 침입탐지 시스템의 상기 제 2 형의 네트워크 인터페이스 카드는 상기 제 1 형의 네트워크 인터페이스 카드의 응답 NIC 중 어느 하나를 공유하되, 해당 응답 NIC은 공유된 제 2 형의 네트워크 인터페이스 카드의 네트워크로의 응답에 대한 환경정보를 포함함에 의해 상기 제 2 형의 네트워크 인터페이스 카드의 모니터링 NIC이 수집한 패킷에 대한 응답 패킷을 상기 공유된 응답 NIC을 통해 네트워크로 보내는 것을 특징으로 한다.According to an additional aspect of the network intrusion detection system according to the present invention, the network interface card of the second type of the network intrusion detection system according to the present invention may share any one of the response NICs of the network interface card of the first type. The response NIC includes the environment information for the response of the shared network interface card of the second type to the network, thereby sending the response packet to the packet collected by the monitoring NIC of the network interface card of the second type. Send to the network via the answering NIC.

본 발명에 따른 네트워크 침입탐지 시스템의 부가적인 양상에 따르면, 본 발명에 따른 네트워크 침입탐지 시스템은 상기 적어도 하나 이상의 응답 NIC으로부터 네트워크로 전송되는 네트워크 액티비티(SNA) 및 세션 킬(Session Kill)을 수행하기 위한 패킷들을 라우팅(Routing)하는 응답 게이트웨이(Gateway)를 더 포함하는 것을 특징으로 한다.According to an additional aspect of the network intrusion detection system according to the present invention, the network intrusion detection system according to the present invention performs a network activity (SNA) and a session kill transmitted from the at least one or more responding NICs to the network. It further comprises a response gateway (Gateway) for routing the packets for (Routing).

본 발명에 따른 네트워크 침입탐지 시스템의 부가적인 양상에 따르면, 본 발명에 따른 네트워크 침입탐지 시스템은 상기 제 1 형의 네트워크 인터페이스카드의 모니터링 NIC과 응답 NIC이 일체인 것을 특징으로 한다.According to an additional aspect of the network intrusion detection system according to the present invention, the network intrusion detection system according to the present invention is characterized in that the monitoring NIC and the response NIC of the network interface card of the first type are integrated.

본 발명에 따른 네트워크 침입탐지 시스템의 부가적인 양상에 따르면, 본 발명에 따른 네트워크 침입탐지 시스템은 상기 제 1 형의 네트워크 인터페이스카드의 모니터링 NIC과 응답 NIC이 각각 분리되어 구성된 것을 특징으로 한다.According to an additional aspect of the network intrusion detection system according to the present invention, the network intrusion detection system according to the present invention is characterized in that the monitoring NIC and the response NIC of the network interface card of the first type are separately configured.

이하, 첨부된 도면을 참조하여 기술되는 본 발명의 바람직한 실시예를 통해 본 발명을 당업자가 용이하게 이해하고 재현할 수 있도록 상세히 설명한다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily understand and reproduce the present invention.

도 2 는 본 발명에 따른 네트워크 침입탐지 시스템(NIDS)의 일 실시예를 도시한 것이다.Figure 2 illustrates one embodiment of a network intrusion detection system (NIDS) in accordance with the present invention.

도면에 도시한 바와같이 이 실시예에서는 네트워크 침입탐지 시스템(100)은 3개의 침입탐지 모듈을 구비하고 있다.As shown in the figure, in this embodiment, the network intrusion detection system 100 is provided with three intrusion detection modules.

이하, 네트워크로부터 분석대상 트래픽의 패킷을 수집하는 네트워크 인터페이스카드를 모니터링(MN : Monitoring) NIC , 네트워크로 네트워크 액티비티(SNA) 및 세션 킬(Session Kill)을 수행하기 위한 패킷을 보내는 네트워크 인터페이스카드를 응답 NIC (RN : Response NIC)이라 한다.The network interface card collects packets of the traffic to be analyzed from the network (MN), and responds to the network interface card sending packets for performing network activity (SNA) and session kill to the network. It is called NIC (RN: Response NIC).

첫번째 모듈은 네트워크1(200a)로부터 분석대상 트래픽의 패킷을 수집하는 모니터링 NIC과, 네트워크1(200a)로 네트워크 액티비티(SNA) 및 세션 킬(Session Kill)을 수행하기 위한 패킷을 보내는 응답 NIC을 일체로 구성하여 하나의 인터페이스카드(110)를 통해 모니터링 NIC과 응답 NIC 역할을 겸비하도록 한 것이다.The first module includes a monitoring NIC that collects packets of the traffic to be analyzed from Network 1 (200a), and a response NIC that sends packets for performing network activities (SNA) and session kills to Network 1 (200a). It is configured to combine the role of the monitoring NIC and the response NIC through a single interface card (110).

즉, 이 모듈은 상기 네트워크1(200a)로부터 동일한 네트워크 인터페이스카드를 통해 분석대상 트래픽의 패킷을 수집하고, 동일한 네트워크 인터페이스 카드(110)를 통해 상기 네트워크1(200a)로 네트워크 액티비티(SNA) 및 세션 킬(Session Kill)을 수행하기 위한 패킷을 보낸다.In other words, the module collects packets of the traffic to be analyzed from the network 1 (200a) through the same network interface card, and the network activity (SNA) and session to the network 1 (200a) through the same network interface card 110. Send a packet to perform a session kill.

두번째 모듈은 네트워크2(200b)로부터 분석대상 트래픽의 패킷을 수집하는 모니터링 NIC(120a)과, 네트워크2(200b)로 네트워크 액티비티(SNA) 및 세션 킬(Session Kill)을 수행하기 위한 패킷을 보내는 응답 NIC(120b)을 별도로 구성한 것이다.The second module is a monitoring NIC 120a that collects packets of the traffic to be analyzed from network 2 200b, and a response that sends packets to network 2 200b to perform network activity (SNA) and session kill. NIC 120b is configured separately.

즉, 이 모듈은 상기 네트워크2(200b)로부터 모니터링 NIC(120a)을 통해 분석대상 트래픽의 패킷을 수집하고, 상기 모니터링 NIC(120a)과 별도로 구성한 응답 NIC(120b)를 통해 상기 네트워크2(200b)로 네트워크 액티비티(SNA) 및 세션 킬(Session Kill)을 수행하기 위한 패킷을 보낸다.That is, the module collects the packet of the traffic to be analyzed from the network 2 (200b) through the monitoring NIC (120a) and the network 2 (200b) through the response NIC (120b) configured separately from the monitoring NIC (120a). Send packets to perform network activity (SNA) and session kill.

세번째 모듈은 네트워크3(200c)으로부터 분석대상 트래픽의 패킷을 수집하는 모니터링 NIC(130a)으로만 구성되고, 네트워크3(200c)로 네트워크 액티비티(SNA) 및 세션 킬(Session Kill)을 수행하기 위한 패킷을 보내는 응답 NIC(120b)을 상기 두번째 모듈과 공유하도록 구성한 것이다.The third module consists only of the monitoring NIC 130a which collects packets of the analysis target traffic from network 3 (200c), and the packet for performing network activity (SNA) and session kill with network 3 (200c). It is configured to share the reply NIC (120b) with the second module.

즉, 이 모듈은 상기 네트워크3(200c)으로부터 모니터링 NIC(130a)을 통해 분석대상 트래픽의 패킷을 수집하고, 상기 두번째 모듈의 응답 NIC(120b)를 통해 네트워크3(200c)으로 네트워크 액티비티(SNA) 및 세션 킬(Session Kill)을 수행하기 위한 패킷을 보낸다.That is, the module collects packets of the traffic to be analyzed from the network 3 (200c) through the monitoring NIC (130a), and the network activity (SNA) to the network 3 (200c) through the response NIC (120b) of the second module. And a packet for performing a session kill.

이 때, 상기 공유되는 응답 NIC(120b)은 상기 모니터링 NIC(130a)의 응답 방법에 대한 정보를 가지고 있어야 적절한 방법으로 패킷을 전송할 수 있다.At this time, the shared response NIC (120b) must have information about the response method of the monitoring NIC (130a) to transmit the packet in an appropriate way.

도 3 은 본 발명에 따른 네트워크 침입탐지 시스템(NIDS)의 또 다른 실시예를 도시한 것이다.Figure 3 shows another embodiment of a network intrusion detection system (NIDS) according to the present invention.

이 실시예에서는 응답 게이트웨이(300)를 사용하여 응답 패킷에 대한 라우팅(Routing)이 가능하도록 한 것이다.In this embodiment, the response gateway 300 is used to enable routing of response packets.

즉, 이 경우에는 네트워크 침입탐지 시스템(100)의 응답 NIC으로부터 송출되는 네트워크 액티비티(SNA) 및 세션 킬(Session Kill)을 수행하기 위한 패킷을 응답 게이트웨이(300)를 통해 라우팅하여 네트워크로 전송함으로써 중간 단계의 네트워크에 NIC를 연결할 수 없는 상황이거나, 네트워크 상황이 좋지 않더라도, 라우터(Router)의 능력에 따라 응답이 가능하도록 한 것이다.That is, in this case, the network activity (SNA) and the session kill (Session Kill) transmitted from the response NIC of the network intrusion detection system 100 through the response gateway 300 to transmit the network to the intermediate by routing Even if the network cannot be connected to the network at the stage or the network is not good, the router can respond according to the capability of the router.

한편, 상기 네트워크 침입감지 시스템은 상기 각 모듈에 대해 모니터링 NIC과 응답 NIC을 짝지어 어떠한 방식으로 패킷을 보낼지를 결정하고, 결정된 방식에 따라 패킷을 보내기 위하여 필요한 정보들 예를들어, 패킷을 보내고자하는 곳의 공유되는 매체에 연결된 장치의 하드웨어 주소인 목적지의 MAC(Media Access Control) 어드레스를 수집한다.Meanwhile, the network intrusion detection system decides how to send a packet by pairing a monitoring NIC and a responding NIC for each module, and sends information, for example, to send a packet according to the determined method. It collects the Media Access Control (MAC) address of the destination, which is the hardware address of the device connected to the shared medium.

설정 내용에 따라 어떤 응답 NIC을 통해 패킷을 보내게되는지를 결정하여 해당 목적지의 MAC 어드레스로 패킷을 보낸다.Based on the configuration, it determines which response NIC sends the packet and sends the packet to the MAC address of the corresponding destination.

이더넷(Ethernet) 환경하에서 패킷을 네트워크 침입감지 시스템으로부터 특정 호스트(Host)에 도달하게 하기 위해서는 목적지의 MAC 어드레스(Media Access Control Address)를 알아야만 한다.In order to reach a specific host from a network intrusion detection system in an Ethernet environment, the destination MAC address (Media Access Control Address) must be known.

이 맥(MAC) 어드레스는 다른 네트워크로 패킷을 보내기 위한 게이트웨이일 수도 있고, 같은 이더넷의 서브넷(Subnet)에 연결되어 있는 호스트의 MAC 어드레스 일 수도 있다.This MAC address may be a gateway for sending a packet to another network or may be a MAC address of a host connected to a subnet of the same Ethernet.

또한, 응답 NIC이 보내는 패킷의 MAC 어드레스를 지정할 때도 비슷하게 IP 주소와 맞는 특정 호스트의 MAC 어드레스를 사용할 수 도 있고, 응답 NIC 자체의 MAC 어드레스일 수도 있다.Similarly, when specifying the MAC address of a packet sent by the responding NIC, the MAC address of a specific host matching the IP address may be similarly used, or may be the MAC address of the responding NIC itself.

이 모든 것은 네트워크와 연결되어 있는 상태를 기준으로 판명해야 하기 때문에, 수동으로 네트워크 구성을 참고하여 설정하게 된다.All of this has to be determined based on the connection with the network, so you can set it up manually by referring to the network configuration.

MAC 어드레스가 사용되는 유형을 나누어 보면, 출발지 MAC 어드레스(Source MAC Address)와 목적지 MAC 어드레스(Destination MAC Address)로 크게 나눌 수 있다. 출발지 MAC 어드레스는 패킷(Packet)을 보내는 NIC의 MAC 주소이고, 목적지 MAC 어드레스는 패킷(Packet)을 받는 NIC의 MAC 주소이다.Dividing the type of MAC address can be largely divided into a source MAC address (Destination MAC Address) and a destination MAC address (Destination MAC Address). The source MAC address is the MAC address of the NIC sending the packet, and the destination MAC address is the MAC address of the NIC receiving the packet.

RN이 패킷(Packet)을 보낼 때 사용하는 출발지 MAC 어드레스는 3 가지로 나뉠 수 있다. 첫째는 원래의 MAC 어드레스를 사용하는 경우로, 이 경우는 (예를 들어) 더미 허브(Dummy Hub)에 연결되어 있는 경우이다. 더미 허브는 MAC 어드레스에 의해 아무런 영향을 받지 않기 때문에, IP 주소에 대응하는 MAC 어드레스를 사용하여도 상관이 없다. 따라서, 부작용이 전혀 없도록 원래의 MAC 어드레스를 사용하는 것이 가장 좋은 방법이다.The source MAC address used by the RN to send a packet can be divided into three types. The first is to use the original MAC address, which in this case is connected to a dummy hub (for example). Since the dummy hub is not influenced by the MAC address, it does not matter if the MAC address corresponding to the IP address is used. Therefore, it is best to use the original MAC address to avoid any side effects.

둘째는 자기 자신의 MAC 어드레스를 사용하는 경우로, 이 경우는 (예를 들어) L2 스위치에 연결되어 있을 경우이다. L2 스위치의 경우 MAC 어드레스에 따라 스위칭하기 때문에 다른 컴퓨터의 MAC 어드레스를 사용할 경우 문제가 생길 소지가 있다. 그러나, MAC 어드레스의 변화를 감지하는 호스트 또는 침입감지시스템(IDS)이나 방화벽(Firewall) 등이 존재할 경우에는 이렇게 자기 자신의 MAC 어드레스를사용할 수 없을 경우도 있으나, 이 때에는 해당 NIDS나 방화벽(Firewall)에서 그 기능을 제거하고 사용할 수 있다.The second is to use your own MAC address, which in this case is (for example) connected to an L2 switch. The L2 switch switches according to the MAC address, so there is a problem when using another computer's MAC address. However, if there is a host that detects a change in MAC address, or an intrusion detection system (IDS) or a firewall, it may not be possible to use its own MAC address.In this case, the NIDS or firewall You can remove and use that feature in.

셋째는 임의의 MAC 어드레스를 사용하는 경우로, 특수한 목적 또는 필요에 의해 특정한 MAC 어드레스를 사용해야만 하는 경우이다. 이 때는 사용할 MAC 어드레스를 지정해 주어야 한다.Third is the case of using an arbitrary MAC address, in which case a specific MAC address must be used for a specific purpose or need. In this case, the MAC address to be used must be specified.

RN이 패킷(Packet)을 보낼 때 사용하는 목적지 MAC주소는 크게 세 가지 이다. 첫째는 원래의 MAC 어드레스를 사용하는 경우로, 이 경우는 더미 허브(Dummy Hub)에 연결되어 있는 경우이다. 더미 허브는 MAC 어드레스에 의해 아무런 영향을 받지 않기 때문에, IP 주소에 대응하는 MAC 어드레스를 사용하여도 상관이 없다. 따라서, 부작용이 전혀 없도록 원래의 MAC 어드레스를 사용하는 것이 가장 좋은 방법이다.There are three main destination MAC addresses that RNs use to send packets. The first is to use the original MAC address, in which case it is connected to a dummy hub. Since the dummy hub is not influenced by the MAC address, it does not matter if the MAC address corresponding to the IP address is used. Therefore, it is best to use the original MAC address to avoid any side effects.

둘째는 응답 게이트웨이(Response Gateway)의 MAC 어드레스를 사용하는 경우로, 응답 게이트웨이를 설정할 경우 IP 주소를 이더넷 주소로 변환하기 위한 사상(Mapping)을 처리하는 ARP(Address Resolution Protocol) 정보를 처리하도록 해야하며, 여기서 얻어진 게이트웨이의 MAC 어드레스를 목적지 MAC 어드레스로 사용하여 패킷을 전송하게 된다.The second is to use the response gateway's MAC address.If you set up the response gateway, you need to handle Address Resolution Protocol (ARP) information that handles mapping to translate IP addresses to Ethernet addresses. Then, the packet is transmitted using the MAC address of the gateway obtained as the destination MAC address.

셋째는 임의의 MAC 어드레스를 사용하는 경우로, 특수한 목적 또는 필요에 의해 특정한 MAC 어드레스를 사용해야만 하는 경우이다. 이 때는 사용할 MAC 어드레스를 지정해 주어야 한다.Third is the case of using an arbitrary MAC address, in which case a specific MAC address must be used for a specific purpose or need. In this case, the MAC address to be used must be specified.

본 발명에서 여러개의 모니터링 NIC이 트래픽(Traffic) 분석을 수행하고 있을 경우, 여러 개의 모니터링 NIC이 각각 응답 NIC을 하나씩 가지게 된다. 이 경우에 하나의 응답 NIC이 여러개의 모니터링 NIC에 대해 설정될 수 있으므로, 각각의 응답 NIC은 한개 이상의 모니터링 NIC에 대해 응답 MAC 어드레스를 결정하는 설정정보를 가지고 있어야 한다.In the present invention, when several monitoring NICs are performing traffic analysis, the plurality of monitoring NICs each have one response NIC. In this case, since one responding NIC may be configured for several monitoring NICs, each responding NIC should have configuration information for determining the responding MAC address for one or more monitoring NICs.

응답을 다루는 모듈은 그에 관련된 모든 모니터링 NIC에 대한 MAC 어드레스 선택 모드를 가지며, 응답 요청이 들어왔을 때, 해당 응답이 어떤 MAC 어드레스를 사용해야 하는지를 결정하게 된다. 이는 어떤 모니터링 NIC을 경유하여 들어온 트래픽(Traffic) 인지를 같이 넘겨줌으로써 MAC 어드레스를 결정하게 된다.The module handling the response has a MAC address selection mode for all monitoring NICs associated with it, and when a response request comes in, it determines which MAC address the response should use. It determines the MAC address by passing along which traffic it came through which monitoring NIC.

도 4 는 본 발명에 따른 네트워크 침입감시 시스템의 설정 프로그램 개요도이다.4 is a schematic diagram of a configuration program of a network intrusion monitoring system according to the present invention.

모듈(n) 매니저를 초기화 할때 각자의 세팅(Setting)을 설정 파일(File) 또는 레지스트리(Registry)로부터 읽어들여서 사용할 NIC(n) 인스턴스(Instance)를 초기화 시킬 때, 그 값들에 따라 필요한 정보들을 기록한다. 이 기록된 정보들에 의하여 모듈(n) 매니저로부터 패킷을 보내겠다는 요청이 있을 시, 해당하는 NIC(n) 인스턴스가 어떠한 하드웨어 주소를 사용하여 패킷을 보낼 수 있는지를 판단하고 요청된 응답을 수행하게 된다.When initializing the module (n) manager, it reads its settings from the configuration file or registry and initializes the NIC (n) instance to be used. Record it. Based on the recorded information, when a request is made to send a packet from the module (n) manager, the corresponding NIC (n) instance can determine which hardware address can be used to send the packet and perform the requested response. do.

따라서, 상기와 같이 함에 의해 네트워크 장비의 제한 때문에 해킹에 대해 적절히 조치하지 못하는 일을 최소화 할 수 있으며, 동시에 여러개의 네트워크를 감시해야하는 상황하에서도 정확하게 감시 작업할 수 있는 등의 본 발명의 목적을 달성할 수 있게 된다.Therefore, the above-described problems can be minimized due to the limitations of the network equipment, thereby minimizing hacking, and at the same time, it is possible to accurately monitor a network even in a situation where multiple networks must be monitored. You can do it.

이상에서 설명한 바와같은 본 발명에 따른 네트워크 침입감시 시스템은 네트워크 관련 하드웨어의 한계를 극복하여 해킹이나 서비스 공격, 스캐닝 등의 네트워크 침입을 감지했을 때, 네트워크의 구성이 어떻게 되어 있는지에 상관없이 해킹 시도에 대해 능동적으로 대처할 수 있어 해킹에 대해 적절히 조치하지 못하는 일을 최소화 할 수 있으며, 동시에 여러개의 네트워크를 감시해야하는 상황하에서도 정확하게 감시할 수 있는 유용한 효과를 가진다.As described above, the network intrusion surveillance system according to the present invention overcomes the limitations of network-related hardware and detects network intrusions such as hacking, service attack, and scanning, regardless of how the network is configured. It can be proactively dealt with, thus minimizing inadequate response to hacking, and at the same time, it has a useful effect of accurately monitoring even in situations where multiple networks need to be monitored.

본 발명은 첨부된 도면을 참조하여 바람직한 실시예를 중심으로 기술되었지만 당업자라면 이러한 기재로부터 후술하는 특허청구범위에 의해 포괄되는 본 발명의 범주를 벗어남이 없이 다양한 변형이 가능하다는 것은 명백하다.Although the present invention has been described with reference to the accompanying drawings, it will be apparent to those skilled in the art that various modifications may be made therein without departing from the scope of the invention, which is covered by the following claims.

Claims (6)

네트워크에 흐르는 모든 트래픽(Traffic)을 분석하여 위험하거나, 위험 가능성이 있는 행위들을 탐지하여 이를 네트워크 액티비티(SNA) 및 세션 킬(Session Kill)을 수행하여 해킹을 차단 및 방지하는 네트워크 침입탐지 시스템(NIDS : Network Based Intrusion Detection System)에 있어서,Network Intrusion Detection System (NIDS) that analyzes all traffic flowing through the network, detects dangerous or potentially dangerous activities, and performs network activities (SNA) and session kills to block and prevent hacking In Network Based Intrusion Detection System, 상기 네트워크 침입탐지 시스템(NIDS)이:The network intrusion detection system (NIDS): 네트워크로부터 분석대상 트래픽의 패킷을 수집하는 모니터링 NIC과;A monitoring NIC for collecting a packet of traffic to be analyzed from the network; 네트워크로 네트워크 액티비티(SNA) 및 세션 킬(Session Kill)을 수행하기 위한 패킷을 보내는 응답 NIC을;A response NIC for sending packets for performing network activity (SNA) and session kills to the network; 포함하는 적어도 하나 이상의 제 1 형의 네트워크 인터페이스 카드를 포함하는 것을 특징으로 하는 네트워크 침입탐지 시스템.A network intrusion detection system comprising at least one network interface card of at least one first type. 제 1 항에 있어서,The method of claim 1, 상기 네트워크 침입탐지 시스템(NIDS)이:The network intrusion detection system (NIDS): 네트워크로부터 분석대상 트래픽의 패킷을 수집하는 모니터링 NIC 만으로 이루어진 적어도 하나 이상의 제 2 형의 네트워크 인터페이스 카드를 더 포함하는 것을 특징으로 하는 네트워크 침입탐지 시스템.And at least one network interface card of at least one second type comprising only a monitoring NIC for collecting packets of the analysis target traffic from the network. 제 2 항에 있어서,The method of claim 2, 상기 제 2 형의 네트워크 인터페이스 카드는:The second type of network interface card is: 상기 제 1 형의 네트워크 인터페이스 카드의 응답 NIC 중 어느 하나를 공유하되, 해당 응답 NIC은 공유된 제 2 형의 네트워크 인터페이스 카드의 네트워크로의 응답에 대한 환경정보를 포함함에 의해 상기 제 2 형의 네트워크 인터페이스 카드의 모니터링 NIC이 수집한 패킷에 대한 응답 패킷을 상기 공유된 응답 NIC을 통해 네트워크로 보내는 것을 특징으로 하는 네트워크 침입탐지 시스템.Share one of the response NICs of the network interface card of the first type, and the response NIC includes the environment information for the response of the shared network interface card of the second type to the network; And a response packet for a packet collected by the monitoring NIC of the interface card to the network through the shared response NIC. 제 1 항 내지 제 3 항 중의 어느 한 항에 있어서,The method according to any one of claims 1 to 3, 상기 네트워크 침입탐지 시스템이:The network intrusion detection system is: 상기 적어도 하나 이상의 응답 NIC으로부터 네트워크로 전송되는 네트워크 액티비티(SNA) 및 세션 킬(Session Kill)을 수행하기 위한 패킷들을 라우팅(Routing)하는 응답 게이트웨이(Gateway)를 더 포함하는 것을 특징으로 하는 네트워크 침입탐지 시스템Network intrusion detection further comprises a response gateway for routing the network activity (SNA) and session kill (Session Kill) transmitted from the at least one response NIC to the network; system 제 1 항 내지 제 3 항 중의 어느 한 항에 있어서,The method according to any one of claims 1 to 3, 상기 제 1 형의 네트워크 인터페이스카드의 모니터링 NIC과 응답 NIC이 일체인 것을 특징으로 하는 네트워크 침입탐지 시스템.And a monitoring NIC and a responding NIC of the network interface card of the first type. 제 1 항 내지 제 3 항 중의 어느 한 항에 있어서,The method according to any one of claims 1 to 3, 상기 제 1 형의 네트워크 인터페이스카드의 모니터링 NIC과 응답 NIC이 각각 분리되어 구성된 것을 특징으로 하는 네트워크 침입탐지 시스템.And a monitoring NIC and a response NIC of the network interface card of the first type are separately configured.
KR10-2001-0028052A 2001-05-22 2001-05-22 Network Based Intrusion Detection System KR100439950B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR10-2001-0028052A KR100439950B1 (en) 2001-05-22 2001-05-22 Network Based Intrusion Detection System
PCT/KR2002/000891 WO2002096028A1 (en) 2001-05-22 2002-05-14 Network based intrusion detection system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0028052A KR100439950B1 (en) 2001-05-22 2001-05-22 Network Based Intrusion Detection System

Publications (2)

Publication Number Publication Date
KR20020088956A KR20020088956A (en) 2002-11-29
KR100439950B1 true KR100439950B1 (en) 2004-07-12

Family

ID=19709780

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0028052A KR100439950B1 (en) 2001-05-22 2001-05-22 Network Based Intrusion Detection System

Country Status (2)

Country Link
KR (1) KR100439950B1 (en)
WO (1) WO2002096028A1 (en)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030033383A (en) * 2001-10-22 2003-05-01 주식회사 윈스테크넷 service system for security and method thereof
KR100427448B1 (en) * 2001-12-18 2004-04-14 한국전자통신연구원 The mechanism of security policy stores and detection alert generation in Ladon-SGS
KR100456634B1 (en) * 2002-10-31 2004-11-10 한국전자통신연구원 Alert transmission apparatus and method for policy-based intrusion detection & response
US8296847B2 (en) * 2003-07-25 2012-10-23 Hewlett-Packard Development Company, L.P. Method of managing utilization of network intrusion detection systems in a dynamic data center
US20050066193A1 (en) * 2003-09-22 2005-03-24 Overby Linwood Hugh Selectively responding to intrusions by computers evaluating intrusion notices based on local intrusion detection system policy
KR100558658B1 (en) 2003-10-02 2006-03-14 한국전자통신연구원 In-line mode network intrusion detection/prevention system and method therefor
US7577707B2 (en) * 2004-04-21 2009-08-18 International Business Machines Corporation Method, system, and program for executing data transfer requests
KR100596395B1 (en) 2004-12-16 2006-07-04 한국전자통신연구원 System for handling encrypted abnormal traffic in IPv4/IPv6 network and method thereof
EP2090065A2 (en) * 2006-11-14 2009-08-19 Fmr Llc Detecting and interdicting fraudulent activity on a network
US8145560B2 (en) 2006-11-14 2012-03-27 Fmr Llc Detecting fraudulent activity on a network
US8180873B2 (en) 2006-11-14 2012-05-15 Fmr Llc Detecting fraudulent activity
US7856494B2 (en) 2006-11-14 2010-12-21 Fmr Llc Detecting and interdicting fraudulent activity on a network
KR100850629B1 (en) * 2007-02-01 2008-08-05 에스케이 텔레콤주식회사 A network interface card for filtering transmitted data packet in a network and a method for filtering

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000001931A (en) * 1998-06-15 2000-01-15 신승영 Lan card
KR200179331Y1 (en) * 1999-11-16 2000-04-15 이종렬 Computer system having a network secure function
KR20010085057A (en) * 2001-07-27 2001-09-07 김상욱 Apparatus for detecting invasion with network stream analysis
KR20020025408A (en) * 2000-09-29 2002-04-04 심재윤 Internet security card with internal hub
KR20020096194A (en) * 2001-06-18 2002-12-31 아이에스솔루션(주) Network security method and system for integration security network card

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5414833A (en) * 1993-10-27 1995-05-09 International Business Machines Corporation Network security system and method using a parallel finite state machine adaptive active monitor and responder
US5991881A (en) * 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
DE69817176T2 (en) * 1998-09-09 2004-06-24 International Business Machines Corp. Method and device for intrusion detection in computers and computer networks

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000001931A (en) * 1998-06-15 2000-01-15 신승영 Lan card
KR200179331Y1 (en) * 1999-11-16 2000-04-15 이종렬 Computer system having a network secure function
KR20020025408A (en) * 2000-09-29 2002-04-04 심재윤 Internet security card with internal hub
KR20020096194A (en) * 2001-06-18 2002-12-31 아이에스솔루션(주) Network security method and system for integration security network card
KR20010085057A (en) * 2001-07-27 2001-09-07 김상욱 Apparatus for detecting invasion with network stream analysis

Also Published As

Publication number Publication date
KR20020088956A (en) 2002-11-29
WO2002096028A1 (en) 2002-11-28

Similar Documents

Publication Publication Date Title
US7467408B1 (en) Method and apparatus for capturing and filtering datagrams for network security monitoring
US7356689B2 (en) Method and apparatus for tracing packets in a communications network
US6895432B2 (en) IP network system having unauthorized intrusion safeguard function
US7440434B2 (en) Method and system for detecting wireless access devices operably coupled to computer local area networks and related methods
US6513122B1 (en) Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
US8112801B2 (en) Method and apparatus for detecting malware
US20180091547A1 (en) Ddos mitigation black/white listing based on target feedback
US7596097B1 (en) Methods and apparatus to prevent network mapping
US7474655B2 (en) Restricting communication service
KR100439950B1 (en) Network Based Intrusion Detection System
US20120023552A1 (en) Method for detection of a rogue wireless access point
US8732296B1 (en) System, method, and computer program product for redirecting IRC traffic identified utilizing a port-independent algorithm and controlling IRC based malware
EP2713581A1 (en) Virtual honeypot
US20120311664A1 (en) Network threat detection and mitigation
US20080270606A1 (en) Remote client remediation
US20060256729A1 (en) Method and apparatus for identifying and disabling worms in communication networks
US20060282893A1 (en) Network information security zone joint defense system
US20080196103A1 (en) Method for analyzing abnormal network behaviors and isolating computer virus attacks
US20100157839A1 (en) Network service monitoring
US8250645B2 (en) Malware detection methods and systems for multiple users sharing common access switch
US7596808B1 (en) Zero hop algorithm for network threat identification and mitigation
CN113612784A (en) Dynamic service handling using honeypots
US20040250158A1 (en) System and method for protecting an IP transmission network against the denial of service attacks
WO2005026872A2 (en) Internal lan perimeter security appliance composed of a pci card and complementary software
KR20170109949A (en) Method and apparatus for enhancing network security in dynamic network environment

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130701

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20140630

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20160630

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20180731

Year of fee payment: 15