KR100490729B1 - 보안 게이트웨이 시스템과 이를 이용한 침입 탐지 방법 - Google Patents
보안 게이트웨이 시스템과 이를 이용한 침입 탐지 방법 Download PDFInfo
- Publication number
- KR100490729B1 KR100490729B1 KR10-2003-0031992A KR20030031992A KR100490729B1 KR 100490729 B1 KR100490729 B1 KR 100490729B1 KR 20030031992 A KR20030031992 A KR 20030031992A KR 100490729 B1 KR100490729 B1 KR 100490729B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- intrusion
- header
- pattern
- pattern information
- Prior art date
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 81
- 238000000034 method Methods 0.000 title claims description 28
- 238000007781 pre-processing Methods 0.000 claims description 41
- 238000007726 management method Methods 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 9
- 238000012217 deletion Methods 0.000 claims description 3
- 230000037430 deletion Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 9
- 238000011160 research Methods 0.000 description 4
- 239000000284 extract Substances 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명에 따른 기가급 침입 탐지 기능을 갖는 보안 게이트웨이 시스템은 네트워크 망에서 송수신되는 네트워크 패킷을 수집하고, 보안 게이트웨이 시스템의 하드웨어 영역에서 수집된 패킷의 헤더 부분과 침입 패턴간의 매칭 여부를 판단한 다음 커널 영역에서 헤더 부분이 매칭된 패킷의 데이터 부분과 침입 패턴간의 매칭되는지의 여부를 판단하여 침입을 탐지한다.
Description
본 발명은 네트워크 침입 탐지에 관한 것으로, 특히 기가(giga)급 침입 탐지 기능을 갖는 보안 게이트웨이 시스템과 이를 이용한 침입 탐지 방법에 관한 것이다.
1980년경부터 지금까지 국내외적으로 여러 종류의 침입 탐지 시스템들이 개발되고 있다. 이러한 침입 탐지 시스템을 개발하는 개발자들은 침입을 정보 접근, 정보 조작, 시스템 무기력화 등에 대한 고의적이면서도 불법적인 시도의 잠재 가능성으로 정의하고, 시스템 또는 전산망 침입 탐지 연구에 대한 필요성을 인식하고, 이를 지속적으로 연구 중이다. 이러한 연구는 초기에 단일 호스트 중심의 연구에서 출발하였으나, 인터넷의 발전에 따라 그 영역이 다중 호스트를 포함하는 네트워크로 확대되고 있다.
이와 같은 추세와 함께, 네트워크를 통한 침입에 관심을 갖는 여러 시스템들이 개발되었으며, 그 예로써, 세계적으로 ISS 사의 RealSecure, AXENT사의 Netprowler 등을 대표적인 시스템으로 들 수 있다.
그러나, 기가비트(giga-bit) 이더넷 환경과 같은 네트워크의 고속화 및 이를 바탕으로 한 대용량 데이터의 송수신은 침입 탐지 시스템의 적용 환경에도 점점 많은 영향을 미치게 되었다. 또한, 인터넷의 발전과 더불어 네트워크 상에서의 침입 시도가 갈수록 증가되고 다변화됨으로써, 기존의 저속 침입 탐지 기법에 대한 변화가 요구 되고 있다. 다시 말해서, 갈수록 고속화되고 대용량화되는 네트워크 환경과 보다 다양해지는 침입 시도에 적절히 대응하기 위해서는 보다 빠른 시간 내에 많은 데이터를 분석할 수 있는 기법이 요구된다.
그러나, 기존의 대다수 침입 탐지 시스템들은 일반적으로 단일 시스템 환경이나 협소한 네트워크 영역에 적합하게 설계되고 적용됨으로써, 대규모 네트워크로의 확장에 어려움을 가지게 되었다. 설령, 기존의 침입 탐지 시스템이 그 구조를 확장할 수 있다 하더라도 어플리케이션 영역에서의 침입 탐지 수행은 성능상의 한계를 가지게 되었다. 침입 탐지 시스템의 성능은 패킷 분실율 및 칩입 탐지율로 나타낼 수 있으며, 여러 개발자들에 의해 이러한 성능 지수를 향상하기 위한 노력이 계속되고 있다. 또한, 기가 비트 이더넷 환경과 같은 네트워크 환경의 변화는 이에 대한 중요성을 더욱 증가시키고 있다.
따라서, 침입 탐지 시스템의 탐지 성능에 대한 문제점들을 해결하고 보다 나은 시스템을 개발하기 위해서 국제 표준화 기구의 여러 "Working Group”에서 연구가 진행되고 있으며, 실제로 고속의 침입 탐지 기능을 제공하는 많은 상업 제품들이 개발되었다. 이러한 침입 탐지 시스템의 대부분은 100Mbps이하 환경에서의 탐지 성능을 보증하고 200Mbps까지 동작 가능하며, 일부 핵심 기술을 개발한 업체에선 탐지 기능의 하드웨어 화를 통해서 기가비트 환경까지 지원하고 있다.
그러나, 이와 같은 침입 탐지 시스템들은 기가비트 환경까지 지원하지만, 기가비트 환경에서 고속으로 송수신되는 패킷을 수집하는 속도 향상 또는 침입 탐지 시 속도 향상 기법이 명시되어 있지 않다.
본 발명의 목적은 이와 같은 종래 기술의 문제점을 해결하기 위한 것으로, 네트워크 상에서 송수신되는 패킷의 헤더 부분과 데이터 부분에 대한 침입 여부 검사를 하드웨어 영역과 커널 영역으로 나누어서 수행함으로써, 빠른 패킷 수집 및 침입 탐지가 가능한 기가급 침입 탐지 기능을 갖는 보안 게이트웨이 시스템과 이를 이용한 침입 탐지 방법을 제공하고자 한다.
또한, 본 발명의 다른 목적은, 네트워크 상에서 송수신되는 패킷의 헤더 부분 및 데이터 부분의 매칭에 사용되는 침입 패턴 정보를 실시간으로 추가 및 삭제할 수 있는 보안 게이트웨이 시스템의 침입 패턴 정보 추가 및 삭제 방법을 제공하고자 한다.
상기와 같은 목적을 달성하기 위하여 본 발명은, 네트워크 상에서의 침입 탐지를 위한 보안 게이트웨이 시스템에 있어서, 패킷의 프로토콜별 헤더 정보를 기반으로 구성된 침입 헤더 패턴 정보를 갖는 헤더 패턴 테이블과 상기 침입 헤더 패턴 정보와 연관되며 상기 침입 헤더 패턴 정보를 제외한 데이터 부분을 기반으로 구성된 침입 데이터 패턴 정보를 갖는 데이터 패턴 테이블로 구성된 침입 패턴 테이블; 상기 네트워크 망에서 송수신되는 네트워크 패킷을 수집하고, 상기 수집된 패킷의 헤더 부분과 상기 침입 헤더 패턴 정보 간의 매칭 여부를 판단하는 하드웨어 침입탐지 수행 장치; 및 상기 칩입 헤더 패턴 정보와 매칭된 헤더 부분을 갖는 패킷의 데이터 부분과 상기 침입 데이터 패턴 정보 간의 매칭여부를 판단하여 침입을 탐지하는 커널 침입 탐지 수행 장치를 포함한다.
또한, 본 발명은, 패킷의 헤더 정보를 기반으로 구성된 헤더 패턴 정보와 연관되며 데이터 부분을 기반으로 구성된 데이터 패턴 정보로 이루어진 침입 패턴 테이블을 구비한 보안 게이트웨이 시스템에서 침입을 탐지하는 방법에 있어서, 상기 보안 게이트웨이 시스템은 상기 네트워크 망에서 송수신되는 패킷을 수집하는 제 1 단계; 상기 보안 게이트웨이 시스템의 하드웨어 영역에서 상기 수집된 패킷의 헤더 부분과 상기 헤더 패턴 정보를 비교하여 상기 헤더 부분과 매칭되는 헤더 패턴 정보가 있는지의 여부를 판단하는 제 2 단계; 상기 판단 결과, 상기 헤더 부분과 매칭되는 헤더 패턴 정보가 있는 경우에 상기 헤더 부분이 매칭된 패킷에 매칭 정보를 삽입하여 상기 보안 게이트웨이 시스템의 커널 영역에 제공하는 제 3 단계; 상기 헤더 부분과 매칭된 헤더 패턴 정보와 연관되는 적어도 하나 이상의 데이터 패턴 정보를 추출하는 제 4 단계; 상기 커널 영역에서 상기 헤더 부분이 매칭된 패킷의 데이터 부분과 상기 추출된 데이터 패턴 정보를 비교하여 상기 데이터 부분과 매칭되는 데이터 패턴 정보가 있는지의 여부를 판단하는 제 5 단계; 및 상기 판단 결과, 상기 패킷의 데이터 부분과 매칭되는 데이터 패턴 정보가 있는 경우에 침입 경보를 발생시키는 제 5 단계를 포함한다.
본 발명의 다른 목적을 달성하기 위한 본 발명은, 패킷의 헤더 정보를 기반으로 구성된 헤더 패턴 테이블과 상기 헤더 정보와 연관되며 데이터 부분을 기반으로 구성된 데이터 패턴 테이블로 이루어진 침입 패턴 테이블을 구비한 보안 게이트웨이 시스템과 사이버 순찰 제어 시스템으로 이루어진 네트워크 망에서 상기 침입 패턴 테이블에 침입 패턴 정보를 추가시키는 방법에 있어서, 상기 사이버 순찰 제어 시스템으로부터 상기 침입 패턴 정보를 수신하는 단계; 상기 수신된 침입 패턴 정보를 헤더 패턴 정보와 데이터 패턴 정보로 분류하는 단계; 상기 헤더 패턴 테이블에 상기 분류된 헤더 패턴 정보와 동일한 헤더 패턴 정보가 있는지의 여부를 판단하는 단계; 상기 판단 결과, 상기 헤더 패턴 테이블에 동일한 헤더 패턴 정보가 존재하는 경우에 상기 분류된 데이터 패턴 정보를 이용하여 상기 헤더 패턴 정보와 연결된 데이터 패턴 정보를 상기 데이터 패턴 테이블에 추가시키는 단계; 및 상기 판단 결과, 상기 헤더 패턴 테이블에 동일한 헤더 패턴 정보가 존재하지 않은 경우에 상기 분류된 헤더 패턴 정보를 이용하여 상기 헤더 패턴 테이블 내에 헤더 패턴 정보를 추가시키고, 상기 분류된 데이터 패턴 정보를 이용하여 상기 생성된 헤더 패턴 정보와 연결되는 데이터 패턴 정보를 상기 데이터 패턴 테이블에 추가시키는 단계를 포함한다.
또한, 본 발명은, 패킷의 헤더 정보를 기반으로 구성된 헤더 패턴 테이블과 상기 헤더 정보와 연관되며 데이터 부분을 기반으로 구성된 데이터 패턴 테이블로 이루어진 침입 패턴 테이블을 구비한 보안 게이트웨이 시스템과 사이버 순찰 제어 시스템으로 이루어진 네트워크 망에서 상기 침입 패턴 테이블에 침입 패턴 정보를 삭제시키는 방법에 있어서, 상기 사이버 순찰 제어 시스템으로부터 삭제할 상기 침입 패턴 정보를 수신하는 단계; 상기 수신된 침입 패턴 정보를 헤더 패턴 정보와 데이터 패턴 정보로 분류하는 단계; 상기 데이터 패턴 테이블에 상기 분류된 데이터 패턴 정보와 동일한 데이터 패턴 정보가 있는지의 여부를 판단하는 단계; 상기 판단 결과, 상기 데이터 패턴 테이블에 동일한 데이터 패턴 정보가 존재하지 않은 경우에 패턴 삭제 에러 메시지를 발생시키고, 그렇지 않을 경우에 상기 데이터 패턴 테이블에서 상기 분류된 데이터 패턴 정보에 대응되는 데이터 패턴 정보를 삭제하는 단계; 상기 헤더 패턴 테이블에서 상기 삭제된 데이터 패턴 정보와 연결되는 헤더 패턴 정보를 검색하는 단계; 상기 데이터 패턴 테이블에 상기 검색된 헤더 패턴 정보와 연결되는 데이터 패턴 정보가 있는지의 여부를 판단하는 단계; 및 상기 판단 결과, 상기 데이터 패턴 테이블에 상기 검색된 헤더 패턴 정보와 연결되는 데이터 패턴 정보가 존재하는 경우에 상기 헤더 패턴 정보를 삭제하지 않고, 그렇지 않을 경우에 상기 헤더 패턴 테이블에서 상기 검색된 헤더 패턴 정보를 삭제시키는 단계를 포함한다.
이하, 첨부된 도면을 참조하여 바람직한 실시 예에 대하여 상세히 설명한다.
도 1은 본 발명에 따른 보안 게이트웨이 시스템을 포함한 서비스 망 구성도이다.
도 1에 도시된 바와 같이, 서비스망은 사이버 순찰 제어 시스템(100)과 보안 게이트웨이 시스템(200)으로 구성된다.
사이버 순찰 제어 시스템(100)은 자신이 관리하는 하위 보안 게이트웨이 시스템(200)들로부터 침입 경보 메시지를 수신하고, 이에 대한 대응 정책을 수립하여 전달하는 역할을 수행한다.
보안 게이트웨이 시스템(200)은 전체의 서비스망에 널리 분포되어 네트워크망에서 송수신되는 네트워크 패킷을 수집하고, 수집된 패킷의 헤더 부분과 침입 패턴 정보인 헤더 패턴 정보간의 매칭 여부를 판단한 다음에 커널 영역에서 헤더 부분이 침입 패턴과 매칭된 패킷의 데이터 부분이 침입 패턴의 데이터 패턴과 동일한지의 여부를 판단하여 침입 탐지한다. 그 구성 및 동작은 도 2 내지 도 5을 참조하여 설명한다. 도 2는 본 발명에 따른 보안 게이트웨이 시스템의 전체적인 구조를 도시한 블록도이고, 도 3은 본 발명에 따른 보안 게이트웨이 시스템에서 침입 탐지 테이블의 구조를 도시한 도면이고, 도 4는 본 발명에서 헤더 정보 테이블에서 각 프로토콜별로 요구되는 침입 패턴 테이블 정보를 도시한 구성도이고, 도 5는 본 발명에 따른 보안 게이트웨이 시스템의 세부 블록도이다.
도 2에 도시된 바와 같이, 보안 게이트웨이 시스템(200)은 경보 처리 장치(210), 제어 및 관리 장치(220), 커널 침입 탐지 수행 장치(230), 하드웨어 침입 탐지 수행 장치(240) 및 침입 패턴 테이블(250)을 포함한다.
도 3을 참조하면, 침입 패턴 테이블(250)은 보안 게이트웨이 시스템(200)에서 침입 유무를 판단하기 위한 침입 패턴 정보, 즉 패킷의 프로토콜별 헤더 정보를 기반으로 구성된 헤더 패턴 정보를 갖는 헤더 패턴 테이블(252)과 헤더 정보를 제외한 데이터 부분을 기반으로 구성된 데이터 패턴 정보를 갖는 데이터 패턴 테이블(254)로 구성되며, 이러한 침입 패턴 정보들 중 헤더 패턴 테이블(252)에 저장된 헤더 패턴 정보는 하드웨어 침입 탐지 수행 장치(240)에서 적용되고, 데이터 패턴 테이블(254)에 저장된 데이터 패턴 정보는 커널 침입 탐지 수행 장치(230)에 적용된다.
침입 패턴 테이블(250)을 구성하는 정보들은 크게 TCP 패턴(250/1), UDP 패턴(250/2), ICMP 패턴(250/3) 및 IP 패턴(250/4)으로 이루어지며, 각각의 패턴이 지닌 정보에 따라 헤더 패턴 테이블(252)과 데이터 패턴 테이블(254)을 구성하게 되며, 하나의 헤더 패턴 테이블(252)에는 적어도 하나 이상의 데이터 패턴 테이블(254)을 갖는다. 이러한 구성을 통해 침입 패턴 정보는 동일한 헤더 정보에 여러 개의 다른 데이터 정보를 갖는 침입 유형을 표현할 수 있다.
TCP 패턴(250/1), UDP 패턴(250/2), ICMP 패턴(250/3) 및 IP 패턴(250/4)별로 요구되는 헤더 패턴 테이블(252)의 정보는 도 5에 도시된 바와 같이 빗금 처리되어 있다.
하드웨어 침입 탐지 수행 장치(240)는 기가급 고속 침입 탐지 기능을 수행하기 위해서 실제 네트워크 패킷을 수집하고, 수집된 패킷이 전처리 과정이 필요한 패킷에 전처리 정보를 삽입하며, 수집된 패킷의 헤더 부분과 헤더 패턴 테이블(252)에 저장된 헤더 패턴 정보를 비교하여 헤더 중심의 패턴 매칭을 수행한 후에 헤더 중심의 패턴 매칭된 패킷에 매칭 정보를 삽입한다. 매칭 정보와 전처리 정보가 삽입된 패킷들은 커널 침입 탐지 수행 장치(230)로 전달된다. 이러한 하드웨이 침입 탐지 수행 장치(240)의 구성은, 도 4에 도시된 바와 같이, 패킷 수집기(241), 전처리 필터기(242), 헤더 패턴 매칭 엔진(243) 및 매칭 패킷 송신기(244)로 이루어진다.
이때, 패킷 수집기(241)는 네트워크 트래픽 상에서 패킷을 수집하여 전처리 필터기(242)에 제공하며, 전처리 필터기(242)는 패킷 수집기(241)에서 수집된 패킷이 전처리가 필요한 패킷인지의 여부를 판단하고, 전처리가 필요한 패킷들에 전처리 정보를 삽입시킨다. 전처리 정보가 삽입된 패킷은 전처리 필터기(242)에 의해서 커널 침입 탐지 수행 장치(230)에 송신된다.
헤더 패턴 매칭 엔진(243)은 패킷 수집기(241)에서 수집된 패킷과 헤더 패턴 테이블(252)에 저장된 헤더 패턴 정보들간의 헤더 중심의 패턴 매칭을 수행한 결과 헤더 부분에서 패턴이 매칭된 패킷에 대해서 매칭 정보를 삽입한 후 매칭 정보가 삽입된 패킷을 매칭 패킷 송신기(244)에 제공한다. 매칭 패킷 송신기(244)는 헤더 중심의 패턴 매칭 수행 결과 매칭 정보가 삽입된 패킷을 커널 영역의 커널 침입 탐지 수행 장치(230)에 송신한다. 커널 침입 탐지 수행 장치(230)는 PCI 인터페이스로 연결되어 있으며, 하드웨어 침입 탐지 수행 장치(240)에 의해서 헤더 부분이 매칭된 패킷은 PCI 인터페이스를 통해 커널 침입 탐지 수행 장치(230)로 송신되고, 헤더 패턴 정보를 커널 팀입 탐지 수행 장치(230)로부터 수신한다.
커널 침입 탐지 수행 장치(230)는 하드웨이 침입 탐지 수행 장치(240)로부터 전달받은 패킷에 삽입된 매칭 정보 또는 전처리 정보를 추출하고, 추출된 정보에 따라 패킷에 대한 전처리 과정 또는 데이터 부분의 패턴 매칭 과정을 실시한다.
즉, 커널 침입 탐지 수행 장치(230)는 매칭 정보가 포함된 패킷의 데이터 부분에 데이터 패턴 테이블(254)의 데이터 패턴 정보들과 동일한 데이터가 있는지의 여부를 판단하여 동일한 데이터를 갖는 패킷이 있는 경우에 패킷의 데이터 부분에 대응되는 데이터 패턴 정보를 토대로 침입 경보를 생성하며, 전처리 정보를 포함한 패킷인 경우에 패킷 내의 잡음을 처리하거나 패킷과 기 설정된 특정 패턴을 비교하여 침입 여부를 탐지한 결과 침입이 탐지된 경우에 침입 경보를 생성한다. 이러한 커널 침입 탐지 수행 장치(230)의 구성은, 도 4에 도시된 바와 같이, 침입 패턴 관리기(231), 데이터 패턴 매칭 엔진(232), 경보 전달 소켓 제어기(233), 카드 장치 제어기(234), 전처리기(235), 패킷 정보 처리기(236)로 이루어진다.
여기서, 침입 패턴 관리기(231)는 침입 패턴 테이블(250)에서 검색된 정보 중 헤더 패턴 정보를 하드웨어 침입 탐지 수행 장치(240)에 제공하고, 데이터 패턴 정보를 커날 침입 탐지 수행 장치(230)의 데이터 패턴 매칭 엔진(232)에 제공하며, 제어 및 관리 장치(220)로부터 침입 패턴 정보를 수신하여 침입 패턴 테이블(250)에 저장된 헤더 패턴 테이블(252) 및 데이터 패턴 테이블(254)을 업 데이트 시킨다.
카드 장치 제어기(234)는 매칭 패킷 송신기(244)에서 송신되는 매칭 정보가 포함된 패킷과 전처리 필터기(242)에서 송신된 전처리 정보가 포함된 패킷을 수신 및 제어를 담당하며, 패킷 정보 처리기(236)는 카드 장치 제어기(234)에서 수신한 패킷에서 매칭 정보 또는 전처리 정보를 추출한다. 이때, 전처리 정보가 포함된 패킷은 전처리기(235)에 제공되며, 매칭 정보가 포함된 패킷은 데이터 패턴 매칭 엔진(232)에 제공된다.
전처리기(235)는 전처리 정보가 포함된 패킷이 기 설정된 특정 침입 패턴과 동일한 경우에 침입 경보를 생성하여 제어 및 관리 정치(220)에 송신하거나 패킷 정보 내의 잡음을 제거한다.
데이터 패턴 매칭 엔진(232)은 데이터 패턴 테이블(254)의 데이터 패턴 테이정보와 매칭 정보가 포함된 패킷의 데이터 부분의 비교를 통해 패킷의 데이터 부분과 동일한 데이터 패턴 정보가 있는지의 여부를 검사하여 침입 여부를 판단한다. 즉, 데이터 패턴 매칭 엔진(232)은 데이터 패턴 정보와 동일한 데이터 부분을 갖는 패킷이 있는 경우에 데이터 패턴 정보를 토대로 침입 경보를 생성하여 경보 전달 소켓 제어기(233)에 제공한다.
경보 전달 소켓 제어기(233)는 전처리기(235)에서 생성된 침입 경보와 데이터 패턴 매칭 엔진(232)에서 생성된 침입 경보를 응용 계층 영역의 제어 및 관리 장치(220)에 제공한다.
제어 및 관리 장치(220)는 커널 침입 탐지 수행 장치(230)의 경보 전달 소켓 제어기(233)에서 수신된 침입 정보를 토대로 경보 메시지를 생성하여 경보 처리 장치(210)에 제공하고, 경보 처리 장치(210)로부터 침입 패턴 정보를 수신하여 침입 패턴 관리기(231)에 제공한다.
경보 처리 장치(210)는 제어 및 관리 장치(220)에서 경보 메시지를 수신하여 사이버 순찰 제어 시스템(100)에 제공하고, 사이버 순찰 제어 시스템(100)으로부터 기 설정된 간격으로 추가 또는 삭제될 침입 패턴 정보를 수신하여 제어 및 관리 장치(220)에 제공한다.
이와 같이, 침입 패턴 관리기(231)는 사이버 순찰 제어 시스템(100)으로부터 제공되는 침입 패턴 정보를 경보 처리 장치(210)와 제어 및 관리 장치(220)를 통해 수신하여 침입 패턴 테이블(250)의 헤더 패턴 테이블(252)과 데이터 패턴 테이블(254)을 실시간으로 업 데이트시킬 수 있다.
이상과 같은 구성을 갖는 보안 게이트웨이 시스템(200)의 동작 과정은 도 6을 참조하여 설명한다. 도 6은 본 발명에 따른 보안 게이트웨이 시스템의 침입 탐지 과정을 도시한 흐름도이다.
도 6을 참조하면, 하드웨어 침입 탐지 수행 장치(240)는 패킷 수집기(241)를 통해 네트워크 상에서 송수신되는 패킷을 수집하며(S600), 수집된 패킷에 대해서는 전처리 필터기(242)를 통해 전처리 과정이 필요한지의 여부를 판단한 후에 전처리가 필요한 패킷인 경우 전처리 정보를 삽입하고, 전처리 정보가 삽입된 패킷은 카드 장치 제어기(234)에 제공된다(S602).
만약, 헤더 패턴 매칭 엔진(243)은 수집된 패킷의 헤더 부분과 침입 패턴 관리기(231)에서 제공되는 헤더 패턴 정보들과 매칭되는지의 여부를 판단하는 헤더 중심의 패턴 매칭 과정을 수행하고, 수행 결과 헤더 패턴 정보와 동일한 헤더 정보를 갖는 패킷인 경우에 패킷에 매칭 정보를 삽입한다(S604).
여기서, 하드웨어 침입 탐지 수행 장치(240)는 수집된 패킷이 전처리가 필요하지 않고 헤더 중심의 패턴 매칭 과정에서 헤더 패턴 정보와 동일한 헤더 정보를 갖는 패킷이 아닌 경우에 단계 S600으로 돌아가 패킷을 계속해서 수집한다.
그러나, 수집된 패킷이 전처리 과정이 필요한 패킷이거나 제 1 패턴 매칭 과정에서 헤더 패턴 정보와 동일한 헤더 정보를 갖는 경우에, 하드웨어 침입 탐지 수행 장치(240)는 매칭 패킷 송신기(244) 또는 전처리 필터기(242)를 이용하여 매칭 정보가 삽입된 패킷 또는 전처리 정보가 삽입된 패킷을 커널 침입 탐지 수행 장치(230)의 카드 장치 제어기(234)에 제공한다(S606).
카드 장치 제어기(234)는 매칭 패킷 송신기(244)에서 제공되는 매칭 정보가 삽입된 패킷 또는 전처리 정보가 삽입된 패킷을 패킷 정보 처리기(236)에 제공한다. 패킷 정보 처리기(236)에서는 카드 장치 제어기(234)에서 제공된 패킷들에 포함된 정보를 추출하고(S608), 추출된 정보를 토대로 패킷이 전처리 과정이 필요한지의 여부를 판단한다(S610).
단계 S610의 판단 결과, 추출된 정보가 전처리 정보인 경우에 패킷 정보 처리기(236)에서 정보가 추출된 패킷은 전처리기(235)에 제공되며, 전처리기(235)는 패패킷 정보 처리기(236)에서 제공된 패킷의 잡음을 제거하거나 패킷과 기 설정된 특정 패턴들과 비교하여 침입을 여부를 탐지한다(S612, S614).
단계 S614의 탐지 결과, 침입이 탐지된 경우에, 전처리기(235)는 침입 경보를 생성하여 경보 전달 소켓 제어기(233)에 제공하면, 경보 소켓 제어기(233)는 제공된 침입 경보를 제어 및 관리 장치(220)에 제공하고(S622), 그렇지 않을 경우에 침입 경보를 생성하지 않는다.
이때, 하드웨어 침입 탐지 수행 장치(240)는 전처리가 필요한 패킷의 헤더 부분과 헤더 패턴 정보들간의 매칭 여부를 판단하면(S616), 단계 S616의 판단 결과, 패킷의 헤더 부분과 매칭된 헤더 패턴 정보가 존재하지 않은 경우에 단계 S600으로 돌아가 계속해서 패킷을 수집한다.
단계 S616의 판단 결과, 헤더 패턴 정보들에 패킷의 헤더 부분과 매칭된 헤더 패턴 정보가 존재하는 경우에 하드웨어 침입 탐지 수행 장치(240)는 패킷에 매칭 정보를 삽입하여 매칭 패킷 송신기(244)를 통해 커널 침입 탐지 수행 장치(230)에 제공한다. 이때, 커널 침입 탐지 수행 장치(230)는 패킷의 헤더 부분과 매칭된 헤더 패턴 정보에 연결되는 데이터 패턴 정보들을 검색하고, 검색된 데이터 패턴 정보들에 패킷의 데이터 부분과 매칭된 데이터 패턴 정보가 있는지의 여부를 판단한다(S618, S620).
단계 S620의 판단 결과, 데이터 패턴 정보들 중 패킷의 데이터 부분과 매칭된 데이터 패턴 정보가 존재하는 경우에 커널 침입 탐지 수행 장치(230)는 단계 S622로 진행하여 침입 경보를 생성하여 제어 및 관리 장치(220)에 제공한다. 그렇지 않은 경우에는 단계 S600으로 진행하여 계속해서 패킷을 수집한다.
단계 S610의 판단 결과, 추출된 정보가 매칭 정보인 경우에 패킷 정보 처리기(236)에서 정보가 추출된 패킷은 데이터 패턴 매칭 엔진(232)에 제공된다. 이때 침입 패턴 관리기(231)는 패킷의 헤더 부분과 매칭된 헤더 패턴 정보를 헤더 정보 테이블(252)에서 검색하고, 검색된 헤더 패턴 정보에 연결된 데이터 패턴 정보들을 검색하여 데이터 패턴 매칭 엔진(232)에 제공한다.
데이터 패턴 매칭 엔진(232)은 단계 S620과 동일하게 데이터 패턴 정보들과 패킷의 데이터 부분간의 매칭 여부를 판단한다. 이때 데이터 패턴 정보들 중에 패킷의 데이터 부분과 매칭된 데이터 패턴 정보가 있는 경우에 데이터 패턴 매칭 엔진(232)은 데이터 패턴 정보에 대응되는 침입 경보를 생성하며, 생성된 침입 경보는 경보 전달 소켓 제어기(236)를 통해 제어 및 관리 장치(220)에 전달된다. 그렇지 않을 경우에는 계속해서 패킷을 수집한다.
본 발명의 보안 게이트웨이 시스템이 침입 정보 테이블(250)에 저장된 침입 패턴 정보를 업 데이트하는 과정은 도 7 내지 도 8을 참조하여 설명한다. 도 7은 본 발명에 따른 침입 정보 테이블에 침입 패턴 정보를 추가 및 적용하는 과정을 도시한 흐름도이다.
도 7에 도시된 바와 같이, 침입 패턴 관리기(231)는 사이버 순찰 제어 시스템(100)에서 기 설정된 간격으로 송신되는 침입 패턴 정보를 경보 처리 장치(210) 및제어 및 관리 장치(220)를 통해 수신하고(S700), 수신된 침입 패턴 정보를 헤더 패턴 정보와 데이터 패턴 정보들로 분류한다(S702).
이후, 침입 패턴 관리기(231)는 침입 정보 테이블(250)의 헤더 패턴 테이블(252)을 검색하여 분류된 정보 중에서 헤더 패턴 정보에 대응되는 헤더 패턴 정보가 존재하는지의 여부를 판단한다(S704, S706).
단계 S706의 판단 결과, 헤더 패턴 테이블(252)에 분류된 헤더 패턴 정보와 동일한 패턴이 존재한다면, 침입 패턴 관리기(231)는 분류된 데이터 패턴 정보들을 이용하여 분류된 헤더 패턴 정보에 대응되는 헤더 패턴 정보에 연결되는 데이터 패턴 정보를 생성시킨다(S712). 이렇게 생성된 데이터 패턴 정보는 커널 침입 탐지 수행 장치(230)에 적용된다(S714).
단계 S706의 판단 결과, 헤더 패턴 테이블(252)에 분류된 헤더 패턴 정보와 동일한 패턴이 존재하지 않을 경우에, 침입 패턴 관리기(231)는 분류된 헤더 패턴 정보를 이용하여 헤더 패턴 테이블(252)에 새로운 헤더 패턴 정보를 생성시키고(S708), 분류된 데이터 패턴 정보들을 이용하여 생성된 헤더 패턴 정보의 하부 데이터 패턴 정보를 생성시켜 헤더 패턴 테이블(252)과 데이터 패턴 테이블(254)을 업 데이트 시킨다(S710). 이와 같이 새로 생성된 헤더 패턴 정보는 하드웨어 침입 탐지 수행 장치(240)에 적용되고, 새로 생성된 데이터 패턴 정보는 커널 침입 탐지 수행 장치(230)에 적용된다(S714).
이와 같이, 본 발명은 사이버 순찰 제어 시스템(100)으로부터 실시간으로 침입 패턴 정보를 수신하여 침입 패턴 테이블(250)을 업 데이트시킴으로써, 보다 다양해진 침입 패턴을 탐지할 수 있다.
이하, 첨부된 도 8을 참조하여 보안 게이트웨이 시스템이 침입 패턴을 삭제하는 방법을 설명한다. 도 8은 본 발명에 따른 보안 게이트웨이 시스템이 침입 패턴을 삭제하는 과정을 도시한 흐름도이다.
도 8을 참조하면, 침입 패턴 관리기(231)는 사이버 순찰 제어 시스템(100)으로부터 기 설정된 간격으로 삭제될 침입 패턴 정보를 경보 처리 장치(210) 및 제어 및 관리 장치(220)를 통해 수신하고(S800), 수신된 침입 패턴 정보를 헤더 패턴 정보와 데이터 패턴 정보들로 분류한다(S802).
침입 패턴 관리기(231)는 현재 적용되고 있는 데이터 패턴 정보들을 데이터 패턴 테이블(254)에서 검색하고(S804), 검색된 데이터 패턴 정보들과 분류된 데이터 패턴 정보를 비교하여 데이터 패턴 테이블(254) 내에 동일한 데이터 패턴 정보가 존재하는지를 판단한다(S806).
단계 S806의 판단 결과, 데이터 패턴 테이블(254) 내에 동일한 데이터 패턴 정보가 존재하지 않은 경우에 침입 패턴 관리기(231)는 패턴 삭제 에러 메시지를 발생시키고(S808), 그렇지 않은 경우에 데이터 패턴 테이블(254)에서 검색된 데이터 패턴 정보들 중에서 분류된 데이터 패턴 정보와 동일한 데이터 패턴 정보를 삭제시킨다(S810).
이후, 침입 패턴 관리기(231)는 삭제된 데이터 패턴 정보와 연관된 헤더 패턴정보를 헤더 패턴 테이블(252)에서 검색하고, 삭제된 데이터 패턴 정보를 제외하고 검색된 헤더 패턴 정보와 연관된 데이터 패턴 정보가 데이터 패턴 테이블(254)에 존재하는지를 판단한다(S812).
단계 S812의 판단 결과, 삭제된 데이터 패턴 정보와 연관된 헤더 패턴 정보 내에 다른 데이터 패턴이 존재하는 경우에 침입 패턴 관리기(231)는 삭제된 데이터 패턴 정보와 연관된 헤더 패턴 정보를 삭제하지 않으며(S814), 그렇지 않은 경우에 삭제된 데이터 패턴 정보와 연관된 헤더 패턴 정보를 삭제한다(S816).
이상 설명한 바와 같이, 본 발명은 네트워크 상의 송수신되는 패킷에 대한 침입 탐지 여부를 하드웨어 및 커널 영역으로 나누어 수행한다. 즉, 본 발명은 하드웨어 장치를 통한 일차적인 패턴 매칭을 실시하여 PCI 인터페이스로의 트래픽을 최소화시키고, 커널 영역에서의 패턴 매칭 기능을 최소화시킴으로써 고속의 침입 탐지 기능을 제공하게 된다.
또한, 본 발명은 네트워크 상의 송수신되는 패킷에 대한 침입 탐지 여부를 하드웨어 및 커널 영역으로 나누어 수행하여 고속으로 패킷 수집 및 탐지함으로써, 광역 망에서의 효율적이고 빠른 침입 탐지를 수행할 수 있어 탐지 효율 및 시스템 안정성을 향상시킬 수 있다.
도 1은 본 발명에 따른 보안 게이트웨이 시스템이 위치한 서비스 망 구성도이고,
도 2는 본 발명에 따른 보안 게이트웨이 시스템의 전체적인 구조를 도시한 블록도이고,
도 3은 본 발명에 따른 보안 게이트웨이 시스템에서 침입 탐지 테이블의 구조를 도시한 도면이고,
도 4는 본 발명에서 헤더 정보 테이블에서 각 프로토콜별로 요구되는 침입 패턴 테이블 정보를 도시한 구성도이고,
도 5는 본 발명에 따른 보안 게이트웨이 시스템의 세부 블록도이고,
도 6은 본 발명에 따른 보안 게이트웨이 시스템의 침입 탐지 과정을 도시한 흐름도이고,
도 7은 본 발명에 따른 보안 게이트웨이 시스템에서 침입 패턴 정보를 추가하는 과정을 도시한 흐름도이고,
도 8은 본 발명에 따른 보안 게이트웨이 시스템에서 침입 패턴 정보를 삭제하는 과정을 도시한 흐름도이다.
<도면의 주요부분에 대한 부호의 설명>
100 : 사이버 순찰 제어 시스템
200 : 보안 게이트웨이 시스템
210 : 경보처리장치
220 : 제어 및 관리장치
230 : 커널 침입탐지 수행장치
240 : 하드웨어 침입탐지 수행장치
Claims (10)
- 네트워크 상에서의 침입 탐지를 위한 보안 게이트웨이 시스템에 있어서,패킷의 프로토콜별 헤더 정보를 기반으로 구성된 침입 헤더 패턴 정보를 갖는 헤더 패턴 테이블과 상기 침입 헤더 패턴 정보와 연관되며 상기 침입 헤더 패턴 정보를 제외한 데이터 부분을 기반으로 구성된 침입 데이터 패턴 정보를 갖는 데이터 패턴 테이블로 구성된 침입 패턴 테이블;상기 네트워크 망에서 송수신되는 네트워크 패킷을 수집하고, 상기 수집된 패킷의 헤더 부분과 상기 침입 헤더 패턴 정보 간의 매칭 여부를 판단하는 하드웨어 침입탐지 수행 장치; 및상기 칩입 헤더 패턴 정보와 매칭된 헤더 부분을 갖는 패킷의 데이터 부분과 상기 침입 데이터 패턴 정보 간의 매칭여부를 판단하여 침입을 탐지하는 커널 침입 탐지 수행장치를 포함하는 보안 게이트웨이 시스템.
- 제 1 항에 있어서, 상기 커널 침입 탐지 수행 장치는 상기 패킷의 데이터 부분과 상기 침입 데이터 패턴 정보가 매칭되는 경우에 침입 경보를 발생하며,상기 보안 게이트웨이 시스템은,상기 커널 침입 탐지 수행 장치로부터의 침입 경보를 수신하고, 상기 침입 경보에 대응되는 경보 메시지를 생성하는 제어 및 관리 장치; 및상기 제어 및 관리 장치에서 생성된 경보 메시지를 수신하여 사이버 순찰 제어 시스템에 제공하고, 상기 사이버 순찰 제어 시스템으로부터 상기 경보 메시지에 대응되는 정책을 수신하는 경보 처리 장치를 더 포함하는 보안 게이트웨이 시스템.
- 제 1 항에 있어서, 상기 하드웨어 침입 탐지 수행 장치는, 상기 네트워크 상에서 송수신되는 패킷을 수집하는 패킷 수집기;상기 수집된 패킷 중에서 전처리가 필요한 패킷에 전처리 정보를 삽입하여 상기 커널 침입 탐지 수행 장치에 송신하는 전처리 필터기;상기 헤더 정보 패턴과 상기 수집된 패킷들의 헤더 부분을 비교하여 헤더 부분의 패턴 매칭을 수행한 결과 상기 헤더 부분이 매칭된 패킷에 매칭 정보를 삽입하는 패턴 매칭 엔진; 및상기 매칭 정보가 삽입된 패킷을 상기 커널 침입 탐지 수행 장치에 전달하는 매칭 패킷 송신기를 포함하는 보안 게이트웨이 시스템.
- 제 1 항에 있어서, 상기 커널 침입 탐지 수행 장치는, 상기 하드웨어 침입 탐지 수행 장치로부터 매칭 정보가 삽입된 패킷과 전처리 정보가 삽입된 패킷을 수신하는 카드 장치 제어기;상기 카드 장치 제어기에서 수신된 패킷들에서 매칭 정보와 전처리 정보를 추출하는 패킷 정보 처리기;상기 패킷 정보 처리기에서 추출된 정보를 토대로 상기 전처리 정보가 포함된 패킷을 기 설정된 패턴과 비교하여 침입 여부를 탐지한 결과 침입이 탐지되면 침입 경보를 생성하는 전처리기;상기 매칭 정보가 포함된 패킷의 데이터 부분과 상기 데이터 패턴 정보를 비교하여 동일한 데이터 부분을 갖는 패킷이 있는지의 여부를 판단하여 침입을 탐지하며, 상기 침입이 탐지되면 침입 경보를 생성하는 데이터 패턴 매칭 엔진; 및상기 전처리기에서 생성된 침입 경보와 상기 데이터 패턴 매칭 엔진에서 생성된 침입 경보를 제어 및 관리 장치에 제공하는 경보 전달 소켓 제어기를 포함하는 보안 게이트웨이 시스템.
- 제 4 항에 있어서, 상기 커널 침입 탐지 수행 장치는, 상기 침입 패턴 테이블에서 검색된 정보 중 상기 헤더 패턴 정보를 상기 하드웨어 침입 탐지 수행 장치에 제공하고 상기 데이터 패턴 정보를 상기 커널 침입 탐지 수행 장치에 제공하며, 상기 제어 및 관리 장치로부터 기 설정된 간격으로 침입 패턴 정보를 수신하여 침입 패턴 테이블에 저장된 정보를 업데이트 시키는 침입 패턴 관리기를 포함하는 보안 게이트웨이 시스템.
- 제 1 항에 있어서, 상기 침입 패턴 테이블은, TCP 패턴, UDP 패턴, ICMP 패턴 및 IP 패턴으로 이루어지는 보안 게이트웨이 시스템.
- 패킷의 헤더 정보를 기반으로 구성된 헤더 패턴 정보와 연관되며 데이터 부분을 기반으로 구성된 데이터 패턴 정보로 이루어진 침입 패턴 테이블을 구비한 보안 게이트웨이 시스템에서 침입을 탐지하는 방법에 있어서,상기 보안 게이트웨이 시스템은 상기 네트워크 망에서 송수신되는 패킷을 수집하는 제 1 단계;상기 보안 게이트웨이 시스템의 하드웨어 영역에서 상기 수집된 패킷의 헤더 부분과 상기 헤더 패턴 정보를 비교하여 상기 헤더 부분과 매칭되는 헤더 패턴 정보가 있는지의 여부를 판단하는 제 2 단계;상기 판단 결과, 상기 헤더 부분과 매칭되는 헤더 패턴 정보가 있는 경우에 상기 헤더 부분이 매칭된 패킷에 매칭 정보를 삽입하여 상기 보안 게이트웨이 시스템의 커널 영역에 제공하는 제 3 단계;상기 헤더 부분과 매칭된 헤더 패턴 정보와 연관되는 적어도 하나 이상의 데이터 패턴 정보를 추출하는 제 4 단계;상기 커널 영역에서 상기 헤더 부분이 매칭된 패킷의 데이터 부분과 상기 추출된 데이터 패턴 정보를 비교하여 상기 데이터 부분과 매칭되는 데이터 패턴 정보가 있는지의 여부를 판단하는 제 5 단계; 및상기 판단 결과, 상기 패킷의 데이터 부분과 매칭되는 데이터 패턴 정보가 있는 경우에 침입 경보를 발생시키는 제 5 단계를 포함하는 보안 게이트웨이 시스템의 침입 탐지 방법
- 제 7 항에 있어서, 상기 보안 게이트웨이 시스템의 침입 탐지 방법은, 상기 네트워크 상에서 수집된 패킷이 기 설정된 양식에 부합되는지를 검사하여 전처리가 필요한지의 여부를 판단하는 단계; 및상기 판단 결과, 상기 전처리가 필요한 패킷인 경우에 상기 커널 영역에서 상기 패킷의 잡음을 제거한 다음 상기 잡음이 제거된 패킷과 기 설정된 침입 패턴과 비교하여 침입을 탐지함과 더불어 상기 헤더 패턴 정보와 데이터 패턴 정보를 이용하여 상기 패킷에 대한 헤더 부분 매칭과 데이터 부분 매칭 여부를 판단하는 상기 제 2 단계로 진행하는 단계를 더 포함하는 보안 게이트웨이 시스템의 침입 탐지 방법.
- 패킷의 헤더 정보를 기반으로 구성된 헤더 패턴 테이블과 상기 헤더 정보와 연관되며 데이터 부분을 기반으로 구성된 데이터 패턴 테이블로 이루어진 침입 패턴 테이블을 구비한 보안 게이트웨이 시스템과 사이버 순찰 제어 시스템으로 이루어진 네트워크 망에서 상기 침입 패턴 테이블에 침입 패턴 정보를 추가시키는 방법에 있어서,상기 사이버 순찰 제어 시스템으로부터 상기 침입 패턴 정보를 수신하는 단계;상기 수신된 침입 패턴 정보를 헤더 패턴 정보와 데이터 패턴 정보로 분류하는 단계;상기 헤더 패턴 테이블에 상기 분류된 헤더 패턴 정보와 동일한 헤더 패턴 정보가 있는지의 여부를 판단하는 단계;상기 판단 결과, 상기 헤더 패턴 테이블에 동일한 헤더 패턴 정보가 존재하는 경우에 상기 분류된 데이터 패턴 정보를 이용하여 상기 헤더 패턴 정보와 연결된 데이터 패턴 정보를 상기 데이터 패턴 테이블에 추가시키는 단계; 및상기 판단 결과, 상기 헤더 패턴 테이블에 동일한 헤더 패턴 정보가 존재하지 않은 경우에 상기 분류된 헤더 패턴 정보를 이용하여 상기 헤더 패턴 테이블 내에 헤더 패턴 정보를 추가시키고, 상기 분류된 데이터 패턴 정보를 이용하여 상기 생성된 헤더 패턴 정보와 연결되는 데이터 패턴 정보를 상기 데이터 패턴 테이블에 추가시키는 단계를 포함하는 보안 게이트웨이 시스템에서 침입 패턴 정보 추가 방법.
- 패킷의 헤더 정보를 기반으로 구성된 헤더 패턴 테이블과 상기 헤더 정보와 연관되며 데이터 부분을 기반으로 구성된 데이터 패턴 테이블로 이루어진 침입 패턴 테이블을 구비한 보안 게이트웨이 시스템과 사이버 순찰 제어 시스템으로 이루어진 네트워크 망에서 상기 침입 패턴 테이블에 침입 패턴 정보를 삭제시키는 방법에 있어서,상기 사이버 순찰 제어 시스템으로부터 삭제할 상기 침입 패턴 정보를 수신하는 단계;상기 수신된 침입 패턴 정보를 헤더 패턴 정보와 데이터 패턴 정보로 분류하는 단계;상기 데이터 패턴 테이블에 상기 분류된 데이터 패턴 정보와 동일한 데이터 패턴 정보가 있는지의 여부를 판단하는 단계;상기 판단 결과, 상기 데이터 패턴 테이블에 동일한 데이터 패턴 정보가 존재하지 않은 경우에 패턴 삭제 에러 메시지를 발생시키고, 그렇지 않을 경우에 상기 데이터 패턴 테이블에서 상기 분류된 데이터 패턴 정보에 대응되는 데이터 패턴 정보를 삭제하는 단계;상기 헤더 패턴 테이블에서 상기 삭제된 데이터 패턴 정보와 연결되는 헤더 패턴 정보를 검색하는 단계;상기 데이터 패턴 테이블에 상기 검색된 헤더 패턴 정보와 연결되는 데이터 패턴 정보가 있는지의 여부를 판단하는 단계; 및상기 판단 결과, 상기 데이터 패턴 테이블에 상기 검색된 헤더 패턴 정보와 연결되는 데이터 패턴 정보가 존재하는 경우에 상기 헤더 패턴 정보를 삭제하지 않고, 그렇지 않을 경우에 상기 헤더 패턴 테이블에서 상기 검색된 헤더 패턴 정보를 삭제시키는 단계를 포함하는 보안 게이트웨이 시스템에서 침입 패턴 정보 삭제 방법.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2003-0031992A KR100490729B1 (ko) | 2003-05-20 | 2003-05-20 | 보안 게이트웨이 시스템과 이를 이용한 침입 탐지 방법 |
| US10/737,742 US20040255162A1 (en) | 2003-05-20 | 2003-12-18 | Security gateway system and method for intrusion detection |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2003-0031992A KR100490729B1 (ko) | 2003-05-20 | 2003-05-20 | 보안 게이트웨이 시스템과 이를 이용한 침입 탐지 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20040099864A KR20040099864A (ko) | 2004-12-02 |
| KR100490729B1 true KR100490729B1 (ko) | 2005-05-24 |
Family
ID=33509597
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR10-2003-0031992A KR100490729B1 (ko) | 2003-05-20 | 2003-05-20 | 보안 게이트웨이 시스템과 이를 이용한 침입 탐지 방법 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20040255162A1 (ko) |
| KR (1) | KR100490729B1 (ko) |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1712064A1 (en) * | 2004-01-20 | 2006-10-18 | Intrusic, Inc | Systems and methods for monitoring data transmissions to detect a compromised network |
| US7526804B2 (en) * | 2004-02-02 | 2009-04-28 | Microsoft Corporation | Hardware assist for pattern matches |
| US7885272B2 (en) * | 2004-02-24 | 2011-02-08 | Dialogic Corporation | Remote control of device by telephone or other communication devices |
| US7698730B2 (en) * | 2004-03-16 | 2010-04-13 | Riverbed Technology, Inc. | Service detection |
| US7609625B2 (en) | 2005-07-06 | 2009-10-27 | Fortinet, Inc. | Systems and methods for detecting and preventing flooding attacks in a network environment |
| KR100602920B1 (ko) * | 2005-12-15 | 2006-07-24 | 주식회사 정보보호기술 | 컴퓨터 네트워크상에서 악성 봇과 웜의 탐지에 이용되는탐지척도의 자동 선정 방법 |
| KR101194746B1 (ko) * | 2005-12-30 | 2012-10-25 | 삼성전자주식회사 | 침입코드 인식을 위한 코드 모니터링 방법 및 장치 |
| KR101218698B1 (ko) * | 2006-02-03 | 2013-01-04 | 주식회사 엘지씨엔에스 | 복수의 ip 버전을 지원하는 네트워크 보안솔루션구현방법 |
| JP2008047067A (ja) * | 2006-08-21 | 2008-02-28 | Ricoh Co Ltd | カプセル化文書管理装置、カプセル化文書管理方法及びカプセル化文書管理プログラム |
| US8065729B2 (en) | 2006-12-01 | 2011-11-22 | Electronics And Telecommunications Research Institute | Method and apparatus for generating network attack signature |
| KR100860414B1 (ko) * | 2006-12-01 | 2008-09-26 | 한국전자통신연구원 | 네트워크 공격 시그너처 생성 방법 및 장치 |
| KR100864889B1 (ko) * | 2007-03-13 | 2008-10-22 | 삼성전자주식회사 | Tcp 상태 기반 패킷 필터 장치 및 그 방법 |
| KR100951930B1 (ko) * | 2007-11-19 | 2010-04-09 | (주) 시스메이트 | 부적절한 패킷의 분류 방법 및 장치 |
| US8762515B2 (en) * | 2008-08-20 | 2014-06-24 | The Boeing Company | Methods and systems for collection, tracking, and display of near real time multicast data |
| US8813220B2 (en) | 2008-08-20 | 2014-08-19 | The Boeing Company | Methods and systems for internet protocol (IP) packet header collection and storage |
| US8726382B2 (en) * | 2008-08-20 | 2014-05-13 | The Boeing Company | Methods and systems for automated detection and tracking of network attacks |
| GB2466455A (en) | 2008-12-19 | 2010-06-23 | Qinetiq Ltd | Protection of computer systems |
| KR101221045B1 (ko) * | 2008-12-22 | 2013-01-10 | 한국전자통신연구원 | 패킷 처리 방법 및 이를 이용한 toe 장치 |
| KR101027261B1 (ko) * | 2008-12-26 | 2011-04-06 | 포항공과대학교 산학협력단 | 공정 제어 네트워크에서 정책 기반의 장애 탐지 방법 및 시스템 |
| US8336098B2 (en) | 2009-03-25 | 2012-12-18 | Sysmate Co., Ltd. | Method and apparatus for classifying harmful packet |
| US10445530B1 (en) | 2012-07-23 | 2019-10-15 | National Technology & Engineering Solutions Of Sandia, Llc | Hardware intrusion detection system |
| US20150263953A1 (en) * | 2012-10-15 | 2015-09-17 | Nec Corporation | Communication node, control apparatus, communication system, packet processing method and program |
| CN103067199B (zh) * | 2012-12-19 | 2015-11-25 | 华为技术有限公司 | 深度报文检测结果扩散方法及装置 |
| US9703725B2 (en) | 2014-12-19 | 2017-07-11 | Dell Products, Lp | System and method for providing kernel intrusion prevention and notification |
| KR20170096780A (ko) * | 2016-02-17 | 2017-08-25 | 한국전자통신연구원 | 침해사고 정보 연동 시스템 및 방법 |
| US10762201B2 (en) * | 2017-04-20 | 2020-09-01 | Level Effect LLC | Apparatus and method for conducting endpoint-network-monitoring |
| US20230014040A1 (en) * | 2021-07-13 | 2023-01-19 | Vmware, Inc. | Method and system for enforcing intrusion detection signatures curated for workloads based on contextual attributes in an sddc |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6430182B1 (en) * | 1997-10-16 | 2002-08-06 | Nec Corporation | Fabric system and method for assigning identifier for fabric apparatus therefor |
| US6715084B2 (en) * | 2002-03-26 | 2004-03-30 | Bellsouth Intellectual Property Corporation | Firewall system and method via feedback from broad-scope monitoring for intrusion detection |
| US20040015719A1 (en) * | 2002-07-16 | 2004-01-22 | Dae-Hyung Lee | Intelligent security engine and intelligent and integrated security system using the same |
| US7134143B2 (en) * | 2003-02-04 | 2006-11-07 | Stellenberg Gerald S | Method and apparatus for data packet pattern matching |
-
2003
- 2003-05-20 KR KR10-2003-0031992A patent/KR100490729B1/ko not_active IP Right Cessation
- 2003-12-18 US US10/737,742 patent/US20040255162A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| KR20040099864A (ko) | 2004-12-02 |
| US20040255162A1 (en) | 2004-12-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100490729B1 (ko) | 보안 게이트웨이 시스템과 이를 이용한 침입 탐지 방법 | |
| US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
| US11201882B2 (en) | Detection of malicious network activity | |
| KR100456635B1 (ko) | 분산 서비스 거부 공격 대응 시스템 및 방법 | |
| US8065722B2 (en) | Semantically-aware network intrusion signature generator | |
| US20050108377A1 (en) | Method for detecting abnormal traffic at network level using statistical analysis | |
| Jalili et al. | Detection of distributed denial of service attacks using statistical pre-processor and unsupervised neural networks | |
| CN104426906A (zh) | 识别计算机网络内的恶意设备 | |
| KR20000054538A (ko) | 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체 | |
| US20120090027A1 (en) | Apparatus and method for detecting abnormal host based on session monitoring | |
| KR20010095337A (ko) | 임베디드 하드웨어와 범용 컴퓨터가 결합된 방화벽 시스템 | |
| EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
| CN101741745B (zh) | 识别对等网络应用流量的方法及其系统 | |
| US6639900B1 (en) | Use of generic classifiers to determine physical topology in heterogeneous networking environments | |
| CN114363091A (zh) | 一种基于apisix实现平台应用统一登录的方法及系统 | |
| CN113542311A (zh) | 一种实时检测失陷主机并回溯的方法 | |
| CN110912933B (zh) | 一种基于被动测量的设备识别方法 | |
| CN112235242A (zh) | 一种c&c信道检测方法及系统 | |
| Bhuyan et al. | Towards an unsupervised method for network anomaly detection in large datasets | |
| KR100825257B1 (ko) | 비정상트래픽의 로그데이타 상세 처리 방법 | |
| CN111865951A (zh) | 一种基于数据包特征提取的网络数据流异常检测方法 | |
| KR100501210B1 (ko) | 보안 게이트웨이의 커널 기반 고속 침입탐지 시스템 및 그방법 | |
| US20230034914A1 (en) | Machine Learning Systems and Methods for API Discovery and Protection by URL Clustering With Schema Awareness | |
| CN115314271A (zh) | 一种访问请求的检测方法、系统及计算机存储介质 | |
| CN115514519A (zh) | 一种基于横向微隔离的主动防御方法及插件 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20110511 Year of fee payment: 7 |
|
| LAPS | Lapse due to unpaid annual fee |