KR100506889B1 - 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법 - Google Patents
이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법 Download PDFInfo
- Publication number
- KR100506889B1 KR100506889B1 KR10-2003-0019901A KR20030019901A KR100506889B1 KR 100506889 B1 KR100506889 B1 KR 100506889B1 KR 20030019901 A KR20030019901 A KR 20030019901A KR 100506889 B1 KR100506889 B1 KR 100506889B1
- Authority
- KR
- South Korea
- Prior art keywords
- detection
- packet
- attack
- buffer
- intrusion
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
시스템 부하 | 기탐지용 버퍼 | 신규용 버퍼 |
CPU:60%이하, 메모리:60%이하 | 전체 검색 | 전체 검색 |
CPU:80%이하, 메모리:80%이하 | 전체 검색 | 80%검색(샘플링) |
CPU:90%이하, 메모리:90%이하 | 전체 검색 | 50%검색(샘플링) |
시스템 부하 | 기탐지용 버퍼 | 신규용 버퍼 |
시스템부하 60%미만 | 전체 검색 | 전체 검색 |
시스템부하 60%이상 ~ 90%이하 | 전체 검색 | 50%검색(샘플링) |
시스템 부하 | 기탐지용 버퍼 | 신규용 버퍼 |
시스템부하 60%미만 | 전체 검색 | 전체 검색 |
시스템부하 60%이상 ~ 90%이하 | 80%검색(샘플링) | 50%검색(샘플링) |
Claims (11)
- 네트웍의 패킷들을 수집하여 데이터의 가공 및 축약을 통하여 침입판정이 가능하도록 하는 정보로 변환하는 전처리 작업을 수행하는 전처리 모듈과;침입공격 패킷으로 판단된 패킷들의 시스템 정보를 저장하는 공격시스템 정보 데이터베이스와;이미 침입공격을 시도한 경력이 있는 시스템이 전송한 패킷을 저장하는 기탐지용 버퍼와;침입공격을 시도한 경력이 없는 시스템이 전송한 패킷을 저장하는 신규용 버퍼와;상기 전처리 모듈에서 전처리된 패킷을 분석하여, 패킷의 시스템정보가 상기 공격시스템정보데이터베이스내에 존재할 때는 상기 기탐지용 버퍼에, 존재하지 않을 때는 상기 신규용 버퍼에 저장하는 저장모듈과;소정의 탐지정보를 이용하여 상기 기탐지용 버퍼 또는 신규용 버퍼에 저장되어 있는 패킷의 칩입공격여부를 검사하고, 특히 신규용 버퍼의 패킷이 침입공격 패킷으로 판단되면 해당 패킷의 시스템 정보를 상기 공격시스템 정보 데이터베이스에 등록하는 탐지모듈;을 구비한 것을 특징으로 하는 이중버퍼구조를 가진 네트웍 침입탐지 시스템.
- 상기 제1항에 있어서, 상기 탐지모듈은 네트웍 침입탐지 시스템의 부하량을 파악하여 해당 부하량 범위에 할당된 샘플링 탐지비율로 상기 기탐지용 버퍼 및 신규용 버퍼에 대한 침입공격 여부를 탐지하는 것을 특징으로 하는 이중버퍼구조를 가진 네트웍 침입탐지 시스템.
- 상기 제1항에 있어서, 상기 탐지모듈은 상기 기탐지용 버퍼 및 신규용 버퍼에 저장되어 있는 패킷을 상기 탐지모듈이 미리 가지고 있던 탐지정보 패턴과 비교하여 패턴불일치 등의 사항이 있는지에 따라 칩입공격여부를 판단하는 것을 특징으로 하는 이중버퍼구조를 가진 네트웍 침입탐지 시스템.
- 상기 제1항에 있어서, 상기 공격시스템 정보 데이터베이스는 일정 시간동안만 공격시스템 정보가 저장 보관되고, 일정시간 경과 후에는 저장된 공격시스템 정보가 삭제되는 것을 특징으로 하는 이중버퍼구조를 가진 네트웍 침입탐지 시스템.
- 네트웍에서 수집된 패킷에 대하여 칩입공격여부의 탐지를 할 수 있도록 가공, 축약의 전처리를 수행한 후, 상기의 패킷에서 시스템 정보를 추출하는 패킷전처리단계와;상기 추출된 패킷의 시스템 정보가 공격시스템정보데이터베이스에 존재할 경우에는 기탐지용 버퍼에 저장하고, 존재하지 않는 경우에는 신규용 버퍼에 저장하는 패킷저장단계와;상기 저장된 패킷에 대하여 침입공격 여부를 탐지하는 침입공격탐지단계;로 이루어진 것을 특징으로 하는 이중버퍼구조를 가진 네트웍 침입탐지 시스템의 동작방법.
- 상기 제5항에 있어서, 상기 패킷저장단계에서 추출된 패킷의 시스템 정보를 상기 기탐지용 버퍼에 저장하는 경우에 우선순위 이벤트 메시지를 발생시키는 단계를 더 포함하여 이루어지는 것을 특징으로 하는 이중버퍼구조를 가진 네트웍 침입탐지 시스템의 동작방법.
- 상기 제6항에 있어서, 상기 우선순위 이벤트 메시지가 발생된 경우 기탐지용 버퍼에 저장된 패킷의 침입공격 여부를 우선적으로 탐지하는 우선순위탐지단계를 더 포함하여 이루어지는 것을 특징으로 하는 이중버퍼구조를 가진 네트웍 침입탐지 시스템의 동작방법.
- 상기 제5항 내지 제7항 중 어느 일항에 있어서, 저장된 패킷의 침입공격 여부를 탐지하는 경우에 상기의 네트웍 침입탐지 시스템에 걸린 시스템 부하량을 파악하여 해당 부하량 범위에 할당된 샘플링 탐지비율로 기탐지용 버퍼 및 신규용 버퍼에 저장된 패킷의 침입공격 여부를 탐지하는 단계를 더 포함하여 이루어지는 것을 특징으로 하는 이중버퍼구조를 가진 네트웍 침입탐지 시스템의 동작방법.
- 상기 제5항 내지 제7항 중 어느 일항에 있어서, 저장된 패킷의 침입공격 여부를 탐지하는 경우에 침입공격 패킷으로 판정된 경우에는 공격시스템 정보 데이터베이스에 해당 패킷의 시스템 정보를 등록한 후, 침입공격에 대한 경고를 내부망 관리자에게 보고하는 침입공격경고단계를 더 포함하여 이루어지는 것을 특징으로 하는 이중버퍼구조를 가진 네트웍 침입탐지 시스템의 동작방법.
- 상기 제9항에 있어서, 상기 침입공격경고단계는 상기 기탐지용 버퍼의 패킷에서 침입공격이 탐지된 경우에는 공격시스템 정보 데이터베이스에 해당 패킷의 시스템 정보를 저장하지 않은 채 내부망 관리자에게 침입공격을 경고하는 것을 특징으로 하는 이중버퍼구조를 가진 네트웍 침입탐지 시스템의 동작방법.
- 상기 제1항에 있어서, 상기 저장모듈은 상기 기탐지용 버퍼에 추출된 패킷이 저장될 경우 우선 순위 이벤트 메시지를 발생시켜 브로드캐스팅하고, 상기 탐지모듈은 우선 순위 이벤트 메시지를 인식한 경우 상기 기탐지용 버퍼에 대하여 우선적으로 침입공격 여부를 검사하는 것을 특징으로 하는 이중버퍼구조를 가진 네트웍 침입탐지 시스템.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2003-0019901A KR100506889B1 (ko) | 2003-03-31 | 2003-03-31 | 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2003-0019901A KR100506889B1 (ko) | 2003-03-31 | 2003-03-31 | 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20040085266A KR20040085266A (ko) | 2004-10-08 |
KR100506889B1 true KR100506889B1 (ko) | 2005-08-08 |
Family
ID=37368289
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR10-2003-0019901A KR100506889B1 (ko) | 2003-03-31 | 2003-03-31 | 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100506889B1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20150037285A (ko) * | 2013-09-30 | 2015-04-08 | 한국전력공사 | 침입 탐지 장치 및 방법 |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060094226A (ko) * | 2005-02-24 | 2006-08-29 | (주)한넷웨어 | 알에프아이디 미들웨어에서 무손실 특성을 갖는 대용량 입력 처리 시스템 및 방법 |
KR100947211B1 (ko) * | 2008-02-21 | 2010-03-11 | 주식회사 조은시큐리티 | 능동형 보안 감사 시스템 |
KR101493076B1 (ko) | 2009-04-07 | 2015-02-12 | 삼성전자 주식회사 | 버퍼 오버플로우 관리를 통한 바이러스 코드 실행방지장치 및 그 방법 |
KR101346330B1 (ko) * | 2012-03-07 | 2014-01-03 | 주식회사 시큐아이 | 유해 패킷 검출 방법 및 장치 |
CN106131050B (zh) * | 2016-08-17 | 2022-12-09 | 裴志永 | 数据包快速处理系统 |
-
2003
- 2003-03-31 KR KR10-2003-0019901A patent/KR100506889B1/ko active IP Right Grant
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20150037285A (ko) * | 2013-09-30 | 2015-04-08 | 한국전력공사 | 침입 탐지 장치 및 방법 |
KR102030837B1 (ko) * | 2013-09-30 | 2019-10-10 | 한국전력공사 | 침입 탐지 장치 및 방법 |
Also Published As
Publication number | Publication date |
---|---|
KR20040085266A (ko) | 2004-10-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8042182B2 (en) | Method and system for network intrusion detection, related network and computer program product | |
US7966658B2 (en) | Detecting public network attacks using signatures and fast content analysis | |
US8255996B2 (en) | Network threat detection and mitigation | |
US8112801B2 (en) | Method and apparatus for detecting malware | |
EP1330095B1 (en) | Monitoring of data flow for enhancing network security | |
KR100558658B1 (ko) | 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법 | |
US20030084326A1 (en) | Method, node and computer readable medium for identifying data in a network exploit | |
US20030101353A1 (en) | Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto | |
US20050278779A1 (en) | System and method for identifying the source of a denial-of-service attack | |
US20030097557A1 (en) | Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system | |
Gao et al. | A dos resilient flow-level intrusion detection approach for high-speed networks | |
US8250645B2 (en) | Malware detection methods and systems for multiple users sharing common access switch | |
US7099940B2 (en) | System, method and computer program product for processing network accounting information | |
KR20090087437A (ko) | 트래픽 검출 방법 및 장치 | |
KR20140093060A (ko) | 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법 | |
KR100684602B1 (ko) | 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법 | |
US11153342B2 (en) | Method and system for providing ddos protection by detecting changes in a preferred set of hierarchically structured items in stream data | |
Manna et al. | Review of syn-flooding attack detection mechanism | |
US20040250158A1 (en) | System and method for protecting an IP transmission network against the denial of service attacks | |
KR102244036B1 (ko) | 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법 | |
Vaarandi | Detecting anomalous network traffic in organizational private networks | |
Akiyoshi et al. | Detecting emerging large-scale vulnerability scanning activities by correlating low-interaction honeypots with darknet | |
KR100506889B1 (ko) | 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법 | |
Zhenqi et al. | Netflow based intrusion detection system | |
JP2002342276A (ja) | ネットワーク侵入検知システムおよびその方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20120109 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20130530 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20150717 Year of fee payment: 11 |
|
FPAY | Annual fee payment |
Payment date: 20160701 Year of fee payment: 12 |
|
FPAY | Annual fee payment |
Payment date: 20170703 Year of fee payment: 13 |
|
FPAY | Annual fee payment |
Payment date: 20180703 Year of fee payment: 14 |
|
FPAY | Annual fee payment |
Payment date: 20190708 Year of fee payment: 15 |