KR100506889B1 - 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법 - Google Patents

이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법 Download PDF

Info

Publication number
KR100506889B1
KR100506889B1 KR10-2003-0019901A KR20030019901A KR100506889B1 KR 100506889 B1 KR100506889 B1 KR 100506889B1 KR 20030019901 A KR20030019901 A KR 20030019901A KR 100506889 B1 KR100506889 B1 KR 100506889B1
Authority
KR
South Korea
Prior art keywords
detection
packet
attack
buffer
intrusion
Prior art date
Application number
KR10-2003-0019901A
Other languages
English (en)
Other versions
KR20040085266A (ko
Inventor
유연식
표승종
Original Assignee
엘지엔시스(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지엔시스(주) filed Critical 엘지엔시스(주)
Priority to KR10-2003-0019901A priority Critical patent/KR100506889B1/ko
Publication of KR20040085266A publication Critical patent/KR20040085266A/ko
Application granted granted Critical
Publication of KR100506889B1 publication Critical patent/KR100506889B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 과거 침입경력 있는 패킷과 침입경력 없는 패킷을 두 개의 버퍼에 각각 임시 저장한 후 이들 패킷에 대하여 소정의 탐지 비율에 따라 침입공격 여부를 탐지하는 네트웍 침입탐지 시스템과 그 동작 방법에 관한 것이다. 상기의 네트웍 침입탐지 시스템은 수집한 패킷에 대한 전처리 작업을 수행하는 전처리 모듈과, 침입공격 패킷들의 시스템 정보를 저장하는 공격시스템 정보 데이터베이스와, 침입공격을 시도한 경력이 있는 시스템의 패킷을 저장하는 기탐지용 버퍼와, 침입공격을 시도한 경력이 없는 시스템의 패킷을 저장하는 신규용 버퍼와, 상기 신규용 버퍼 또는 기탐지용 버퍼에 패킷을 저장하는 저장모듈과, 기탐지용 버퍼 또는 신규용 버퍼에 저장되어 있는 패킷의 칩입공격여부를 검사하는 탐지모듈을 구비한다. 상기 시스템은 패킷의 전처리를 수행하는 패킷전처리단계와, 기탐지용 버퍼 또는 신규용 버퍼에 패킷을 저장하는 패킷저장단계와, 상기 기탐지용 버퍼 또는 신규용 버퍼에 저장된 패킷의 침입공격 여부를 탐지하는 우선순위탐지단계와, 침입공격을 내부망 관리자에게 경고하는 침입공격 경고단계를 구비한다.

Description

이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그 동작방법{Network Intrusion Detection System with double buffer and the operating method}
본 발명은 과거 침입경력 있는 패킷과 침입경력 없는 패킷을 두 개의 버퍼에 각각 임시 저장한 후 이들 패킷에 대하여 소정의 탐지 비율에 따라 침입공격 여부를 탐지하는 네트웍 침입탐지 시스템과 그 동작 방법에 관한 것이다.
최근 들어 퍼스널 컴퓨터의 급속한 보급과 인터넷의 사용이 일반화되면서 전자상거래, 전자화폐, 전자메일 등 다양한 전자 비즈니스가 생활의 기본 수단으로 발전하고 있고, 이에 따라 해커의 불법침입, 컴퓨터 바이러스의 유포, 프라이버시 침해 등 정보화의 역기능이 사회적 문제점으로 대두되고 있다.
이러한 문제점을 해결하기 위해 전산망 보안기술로서 가상사설망(VPN: Virtual Private Net), 방화벽(Firewall), 침입탐지 시스템(IDS:Intrusion Detection System) 등이 널리 연구되고 있다.
이중 침입탐지 시스템은 네트웍 및 주요 정보서비스가 가동 중인 호스트를 모니터링하고 침입으로 의심되는 행위가 발견될 때 보안 관리자에게 경보하고, 침입자의 행위에 대한 상세 보고서를 제출하며, 해당 행위에 대해 보안 대책을 제공해 주는 시스템이다.
상기한 침입탐지 시스템은 그 대상이 네트워크인지 호스트인지에 따라 NIDS(Network IDS)와 HIDS(Host IDS), 이들을 결합한 Hybrid IDS가 있는데, 특히, 네트웍 침입탐지 시스템(NIDS)은 네트웍 기반의 공격을 탐지하여 네트웍의 기반 구조를 보호하고자 하는 것이 목적인 만큼 네트웍상의 모든 트래픽 즉, 네크웍의 패킷이나 SNMP MIB 등을 실시간 분석을 통해 침입을 탐지한다.
상기의 네트웍 침입탐지 시스템의 상태도를 도 1에 도시하였다. 도 1을 참조하면 내부망(100)이 인터넷에 접속되어 있고, 내부망(100)에는 다수의 호스트(120a,120b,120n)들이 LAN으로 연결되어 있다. 그리고 고속으로 전송되는 패킷들(110a,110b,110k)을 감시하기 위한 침입탐지 시스템(200)이 내부망(100)에 연결되어 있다.
상기의 네트웍 침입탐지 시스템(200)은 네트웍 트래픽을 구성하는 패킷에 포함된 정보로부터 해당 패킷이 다른 호스트를 공격하고자 하는 의도를 갖고 있는지의 여부를 판단하여 시스템 관리자에게 공격과 관련된 경고정보(로그)를 전송하는 역할을 수행한다.
상기와 같은 침입탐지 기능을 하는 종래의 네트웍 침입탐지 시스템의 내부 구성 블록도를 도 2에 도시하였다. 각 모듈 동작을 간단히 살펴보면, 전처리 모듈(220)은 수집한 패킷에 대하여 전처리(preprocessing)를 행하고, 저장모듈(210)은 전처리한 패킷을 버퍼(230)에 저장한다. 탐지모듈(240)은 버퍼(230)에 저장된 패킷을 탐지정보와 비교하는 등의 탐지 알고리즘을 거쳐 해당 패킷이 침입공격을 위한 정보를 포함하고 있는지 판단한다. 침입공격을 포함하고 있다고 판단되는 경우에 시스템 관리자에게 경고 정보를 보낸 후, 버퍼에 있는 다음 패킷/패킷그룹에 대한 침입공격 여부 탐지를 반복 수행한다.
그런데, 상기와 같은 네트웍 침입탐지 시스템의 동작 방법은 침입 공격을 시도하는 패킷과 정상적인 패킷들간에 침입공격 여부 탐지 우선 순위가 부여되지 않고 동일한 우선 순위로 순차적으로 침입공격 여부를 탐지하므로 과다한 네트웍 트래픽 발생 시에 탐지모듈이 입력 패킷양만큼 빠르게 처리되지 못하여 버퍼 오버플로우가 발생될 수가 있다. 이렇게 오버플로우가 발생될 경우에는 다음 패킷을 검사하지 못하고 패킷을 손실할 가능성이 있기 때문에, 이러한 과다한 트랙픽 환경에서는 침입공격 탐지 성능이 저조해지는 문제점이 있다.
상기의 문제점을 해결하고자 본 발명은 제안된 것으로서, 이전에 네트웍망에 침입한 경력이 있는 패킷의 시스템 정보를 이용하여 네트웍 침입탐지 시스템의 부하에 따라 대상 패킷들에 대한 샘플링 검사를 수행함을 목적으로 한다. 또한, 기존 하나의 구조로 된 버퍼를 두 개의 버퍼로 분할 운영하여 과다한 트래픽으로 인한 오버플로우를 예방함을 목적으로 한다.
상기의 목적을 이루기 위하여 본 발명에 의하여 제안되는 네트웍 침입탐지 시스템은, 네트웍의 패킷들을 수집하여 데이터의 가공 및 축약을 통하여 침입판정이 가능하도록 하는 정보로 변환하는 전처리 작업을 수행하는 전처리 모듈과, 침입공격 패킷으로 판단된 패킷들의 시스템 정보를 저장하는 공격시스템정보데이터베이스와, 이미 침입공격을 시도한 경력이 있는 시스템이 전송한 패킷을 저장하는 기탐지용 버퍼와, 침입공격을 시도한 경력이 없는 시스템이 전송한 패킷을 저장하는 신규용 버퍼와, 상기 전처리 모듈에서 전처리된 패킷을 분석하여 패킷의 시스템정보가 상기 공격시스템정보데이터베이스내에 존재할 때는 상기 기탐지용 버퍼에 존재하지 않을 때는 상기 신규용 버퍼에 저장하는 저장모듈과, 기탐지용 버퍼와 신규용 버퍼간에 검사우선순위를 두어서 기탐지용 버퍼를 우선 검사하는 기탐지용 버퍼 우선검사 알고리즘을 채택하여 탐지하며 탐지정보를 이용하여 상기 기 탐지용 버퍼 또는 신규용 버퍼에 저장되어 있는 패킷의 칩입공격여부를 검사하는 탐지모듈을 구비한다.
이하, 본 발명의 가장 바람직한 일 실시 예를 도면을 참조하여 상세히 설명한다.
도 3은 본 발명에 따라 침입공격을 탐지하는 이중버퍼 구조를 가진 네트웍 침입탐지 시스템(이하, 이중버퍼 네트웍 침입탐지 시스템이라 함)의 내부 구성 블록도이다.
전처리 모듈(320,preprocessing module)은 내부망의 패킷을 수집하여 이를 가공 및 축약하는 전처리 작업을 수행하는데, 상기의 전처리(preprocessing) 작업은 탐지 대상이 되는 내부망의 패킷들을 수집하여 데이터 가공 및 축약을 통하여 침입 판정이 가능하도록 의미있는 정보로 변환하는 전처리를 수행하는 것이다. 이러한 전처리는 도 2에 도시한 종래의 네트웍 침입탐지 시스템의 전처리 모듈과 동일한 동작을 수행하기 때문에 이에 대한 자세한 설명은 생략한다.
한편, 상기에서 수집된 패킷은 내부망에서 상호 교환되는 것으로서, 패킷 포맷의 일 예를 도 4에 도시하였다.
수집되는 내부망의 패킷 포맷은, 헤더부(400)와 데이터부(410)로 구성된다. 헤더부(400)는 그 패킷을 직전에 송출한 라우터의 물리 어드레스(하드웨어 어드레스)를 나타내는 송신원 MAC 어드레스(401, SAMAC;Source Address Media Access Control)와, 패킷을 다음에 수신하는 라우터의 물리 어드레스를 나타내는 목적지 MAC 어드레스(402, DAMAC;Destination Address Media AccessControl)와, 패킷의 송신 호스트의 어드레스를 나타내는 송신원 IP 어드레스(403, SIP;Source IP)와, 패킷의 수신 호스트의 어드레스를 나타내는 목적지 IP 어드레스(404, DIP;Destination IP)와, 프로토콜(상위어플리케이션)을 나타내는 송신원 포트(405, SPORT;Source Port) 및 목적지 포트(406, DPORT;Destination Port)와, 네트워크 내에서의 패킷의 우선도를 나타내는 TOS(407, Type of Service)를 포함한다. 또한, 데이터부(410)는 사용자 데이터(411)를 포함한다.
저장모듈(310)은 상기의 전처리 모듈에서 전처리된 패킷을 분석하여 어느 버퍼에 저장할 것인가를 결정하는 기능을 한다.
상술하면, 저장모듈(310)은 내부망의 패킷들의 SIP, SPORT, DIP, DPORT 등의 시스템 정보(이하, 패킷시스템 정보)를 추출한 후, 공격 시스템 정보 데이터베이스내에 저장되어 있는 패킷들의 SIP, SPORT, DIP, DPORT 등의 시스템 정보(이하, 공격시스템 정보)와 비교하여, 추출한 패킷시스템 정보가 공격시스템 정보 데이터베이스내의 공격시스템 정보에 존재하는가를 판단한다. 판단 결과, 패킷시스템 정보가 공격시스템 정보 데이터베이스내에 존재할 때는 기탐지용 버퍼(330)에, 존재하지 않을 때는 신규용 버퍼(340)에 패킷을 저장한다.
기탐지용 버퍼(330)와 신규용 버퍼(340)는 내부망의 패킷들을 임시 저장하는 기록매체로서, 이전에 이미 침입공격을 시도한 경력이 있는 시스템이 전송한 패킷은 기탐지용 버퍼(330)에, 그렇지 않은 패킷의 경우에는 신규용 버퍼(340)에 저장되는데, 이러한 버퍼 구분 저장은 상기에서 설명한 바와 같이 저장모듈에 의해 수행된다.
탐지모듈(350)은 소정의 패턴을 가진 탐지정보를 가지고 있어 이를 통하여 기탐지용 버퍼 또는 신규용 버퍼에 저장되어 있는 패킷의 침입공격 여부를 검사한다. 또한, 탐지모듈(350)은 기탐지용 버퍼(330)와 신규용 버퍼(340)간에 검사 우선 순위를 두어서 기탐지용 버퍼(330)를 우선 검사하는 기탐지용 버퍼 우선 검사 알고리즘을 취한다.
상기와 같이 기탐지용 버퍼 우선 검사 알고리즘을 채택함으로써, 종래의 과다한 네트웍 트래픽 환경에서의 공격탐지 성능 저하의 문제점을 해결할 수 있게 되었다. 예를 들어, 트래픽 폭주 등의 이유로 시스템의 부하(CPU 사용율, 시스템 메모리 사용율 등)가 기준 이상으로 증가하는 경우, 탐지모듈은 기탐지용 버퍼에 대한 검사와 신규용 버퍼에 대한 검사 비율을 조절하여 시스템 부하의 증가 시에도 일정 수준의 탐지 작업이 유지되도록 한다. 이러한 예를 [표 1]에 도시하였다.
[표 1]
시스템 부하 기탐지용 버퍼 신규용 버퍼
CPU:60%이하, 메모리:60%이하 전체 검색 전체 검색
CPU:80%이하, 메모리:80%이하 전체 검색 80%검색(샘플링)
CPU:90%이하, 메모리:90%이하 전체 검색 50%검색(샘플링)
한편, 기탐지용 버퍼(330) 또는 신규용 버퍼(340)에 저장된 패킷에 대한 침입공격 여부 검사 결과, 침입공격 패킷으로 판단된 경우에는 해당 패킷의 시스템 정보를 공격시스템 정보 데이터베이스(360)에 등록된다.
공격시스템 정보 데이터베이스(360)는 침입공격 패킷으로 판단된 패킷들의 SIP, SPORT, DIP, DPORT 등의 시스템 정보(공격시스템 정보)를 저장한 데이터베이스로서, 일정 시간동안 공격시스템 정보를 저장하고 있다가 일정 시간 경과 후에는 해당 공격시스템 정보가 자동적으로 삭제된다. 상기의 보존 시간은 시스템 관리자에 의해 설정된다.
본 발명에 따른 이중버퍼 침입탐지 시스템의 동작 단계는 패킷을 수집하여 가공 후 기탐지용 버퍼 또는 신규용 버퍼에 저장하는 단계(도 5)와, 저장된 패킷의 침입공격 여부를 우선순위에 따라 검사하는 단계(도 6)를 갖는다.
상기 시스템의 동작단계를 좀 더 상술하면 이중버퍼 침입탐지 시스템의 동작 단계는, 네트웍에서 수집된 패킷에 대하여 칩입공격여부의 탐지를 할 수 있도록 가공/축약의 전처리를 수행한 후 상기의 패킷에서 시스템 정보를 추출하는 패킷전처리단계와, 상기 추출된 패킷의 시스템 정보가 공격시스템정보데이터베이스에 존재할 경우에는 기탐지용 버퍼에 저장하고, 존재하지 않는 경우에는 신규용 버퍼에 저장하는 패킷저장단계와, 상기 패킷저장단계에서 추출된 패킷의 시스템 정보를 상기 기탐지용 버퍼에 저장하는 경우에는 우선순위 이벤트 메시지를 발생하며, 상기의 네트웍 침입탐지 시스템에 걸린 시스템 부하량을 파악하여 해당 부하량 범위에 할당된 샘플링 탐지비율로 기탐지용 버퍼 및 신규용 버퍼에 저장된 패킷의 침입공격 여부를 탐지하는 우선순위탐지단계와, 상기 저장된 패킷에 대하여 침입공격 여부를 탐지하여 침입공격 패킷으로 판정된 경우에는 공격시스템정보데이터베이스에 해당 패킷의 시스템 정보를 등록한 후 침입공격에 대한 경고를 내부망 관리자에게 보고하는 침입공격경고단계를 포함한다.
이하, 상기 단계들의 일 실시 예를 도 5와 도 6의 플로우차트와 함께 상세히 설명한다. 이중버퍼 네트웍 침입탐지 시스템은 내부망의 패킷을 수집하여 이를 전처리(preprocessing)한 후 해당 패킷에서 시스템 정보(패킷시스템 정보)를 추출하는 과정(S500)을 갖는다. 즉, 수집된 일련의 패킷들을 데이터 가공 및 축약하여 침입 판정이 가능하도록 전처리를 수행한 후에 이들 패킷에서 시스템 정보를 추출해 낸다. 여기서 시스템 정보란 패킷의 송신 호스트 어드레스를 나타내는 송신원 IP 어드레스(SIP), 패킷의 수신 호스트의 어드레스를 나타내는 목적지 IP 어드레스(DIP), 상위 어플리케이션을 나타내는 송신원 포트(SPORT) 및 목적지 포트(DPORT) 등과 같은 패킷 식별 정보들이다.
상기와 같이 시스템 정보를 추출한 후에는 해당 시스템 정보가 공격시스템 정보 데이터베이스내에 존재하는가를 판단(S502)한다. 공격시스템 정보 데이터베이스는 이전에 침입공격으로 판정된 패킷들에 대한 공격패킷의 시스템 정보를 저장하고 있는 데이터베이스이다. 따라서, 내부망의 패킷에서 추출한 패킷시스템 정보가 공격시스템 정보 데이터베이스에 있지 않은 경우에는 신규용 버퍼에 해당 패킷을 저장(S506)하고, 반면에 추출한 패킷시스템 정보가 공격 시스템 정보 데이터베이스내에 있는 경우에는 이전에 공격을 시도한 경력이 있는 시스템의 패킷으로 간주되어 기탐지용 버퍼에 해당 패킷을 저장(S504)한다.
상기와 같이 기탐지용 버퍼에 추출된 패킷이 저장될 때에는 저장모듈은 우선 순위 이벤트 메시지를 발생(S508)하여 브로드캐스팅한다. 이는 탐지모듈로 하여금 우선 순위 이벤트 메시지를 인식하게 하여 기탐지용 버퍼에 대한 침입공격 여부를 우선적으로 수행하게 하기 위함이다.
상기와 같이 패킷 저장이 있은 후에는 저장된 패킷에 대한 침입공격 여부를 검사하게되는데, 침입공격 여부에 대한 검사는 기본적으로 신규용 버퍼에 저장된 패킷들에 대하여 수행한다. 그러나, 우선 순위 이벤트 메시지가 발생된 경우에는 신규용 버퍼에 앞서 기탐지용 버퍼를 우선적으로 검사하게 된다.
이를 위하여 탐지모듈은 우선, 저장모듈로부터 우선 순위 이벤트 메시지가 발생되었는가를 판단(S600)한다. 단계 S508에서 설명한 바와 같이 기탐지용 버퍼에 새로운 패킷이 저장된 경우에 저장모듈은 우선 순위 이벤트 메시지를 발생하기 때문에, 탐지모듈이 우선 순위 이벤트 메시지를 인식한 경우에는 신규용 버퍼가 아닌 기탐지용 버퍼에 저장된 패킷에 대하여 침입공격 여부를 검사(S604)하게 되고, 우선 순위 이벤트 메시지를 인식하지 못한 경우에는 신규용 버퍼에 저장된 패킷에 대하여 침입공격 여부를 검사(S602)한다. 상기의 침입공격 여부 검사는, 기탐지용 버퍼 또는 신규용 버퍼에 저장되어 있는 패킷을 탐지모듈이 미리 가지고 있던 탐지정보 패턴과 비교하여 패턴 불일치 등의 사항이 있을 시는 침입공격 있음으로 판단한다.
기탐지용 버퍼 또는 신규용 버퍼에 저장되어 있는 각 패킷에 대한 침입공격 여부 검사 결과 침입공격이 탐지 안 된 경우(S606a)에는 다시 새로운 패킷을 검사하기 위하여 처음으로 돌아가 우선 순위 이벤트 메시지 발생 여부를 검사하고, 침입공격이 탐지된 경우(S606b,S606c)에는 공격시스템 정보 데이터베이스에 해당 침입공격한 패킷의 SIP, SPORT, DIP, DPORT 등의 시스템 정보를 공격시스템 정보로서 등록(S608)하고 관리자에게 침입공격 경고를 전송해 준다. 관리자에게 침입공격 경고(S610)를 한 후에는 다시 처음으로 돌아가 기탐지용 버퍼 또는 신규용 버퍼에 저장된 다음(next) 패킷을 반복적으로 검사(S610a)하게 된다. 다만, 상기에서 공격시스템 정보 데이터베이스내에 침입공격한 패킷의 시스템 정보 등록은 모든 경우에 할 필요는 없고 신규용 버퍼 검사결과 공격이 탐지된 경우(S606c)에만 해당 패킷의 시스템 정보를 등록하는 것으로 한다. 이는, 기탐지용 버퍼에 저장된 패킷 검사 결과 공격이 탐지된 경우(S606b)에는, 이미 이전에 공격을 시도한 시스템에 대한 패킷의 시스템 정보가 공격시스템 정보 데이터베이스에 등록되어 있기 때문에 다시 새롭게 저장할 필요가 없기 때문이다.
침입공격 탐지 경고를 받은 관리자는 침입공격한 외부 시스템에 소정의 패킷을 보냄으로써, TCP/IP의 근본적인 취약점을 이용한 '로우 레벨 스캐닝/어택(Low Level Scanning/Attack)'에 대해 방해 동작을 하거나 위험한 행위를 시도하는 TCP 연결을 끊는 세션 킬(Session Kill) 동작 등을 취하여 외부 시스템의 침입공격으로부터 내부 시스템을 보호한다.
한편, 트래픽 폭주 등의 이유로 침입탐지 시스템의 부하(CPU 사용율, 시스템 메모리 사용율 등)가 기준 이상으로 증가하는 경우 신규용 버퍼에 대한 검사비율을 조절하여 시스템 부하의 증가 시에도 일정 수준의 침입공격 탐지작업이 이루어지도록 할 필요가 있다.
이를 위하여 도 6에 도시한 신규용 버퍼 검사 단계에서, 시스템 부하에 따라 신규용 버퍼의 검사 실행 비율을 조절하는데 이러한 과정을 도 7의 플로우차트에 도시하였다. 다만, 본 과정의 이해 용이를 위하여 [표 2]와 같은 시스템 부하의 두 가지 예를 들어 신규용 버퍼의 검사 과정을 설명한다.
[표 2]
시스템 부하 기탐지용 버퍼 신규용 버퍼
시스템부하 60%미만 전체 검색 전체 검색
시스템부하 60%이상 ~ 90%이하 전체 검색 50%검색(샘플링)
버퍼 검사 비율이 상기 [표 2]와 같이 설정되었다고 할 때, 기탐지용 버퍼는 시스템 부하에 상관없이 항상 검사하게 된다. 그러나, 신규용 버퍼에 대한 검사는 시스템 부하에 따라 달라지는데, 시스템 부하가 60%미만(CPU:60%미만, 메모리:60%미만)인 경우에는 신규용 버퍼내의 모든 패킷을 검사하게 되지만 시스템 부하가 60%이상 ~ 90%이하(CPU:60%~90%, 메모리:60%~90%)인 경우에는 신규용 버퍼에 있는 패킷 중 50%만 검사하고 나머지 패킷에 대한 검사를 생략하는 50% 샘플링 검사를 수행한다.
이를 위하여 도 6에 도시한 신규용 버퍼 검사 단계(S602)를 좀더 구체적 단계로 나누어 구성해야하는데, 우선, 순위 이벤트 메시지가 없어 신규 버퍼를 검사할 단계에 있어서 먼저, 침입탐지 시스템 부하량이 얼마인가를 판단(S700)한다. 검사결과, 시스템 부하량이 60% 미만인 경우(S700a) 신규용 버퍼에 저장된 당해 패킷을 검사하고, 시스템 부하량이 60% 이상 90% 이하인 경우(S700b)에는 신규용 버퍼에 저장된 패킷 중에서 50% 샘플링 검사를 수행한다. 상기의 50% 샘플링 검사를 수행하는 방법은 여러 방법이 있겠지만, 본 플로우차트에서는 신규용 버퍼에 저장된 패킷 중에서 홀수번째 패킷(S704a)만 침입탐지 여부 검사를 수행(S706)하고 짝수 번째 패킷에 대해서는 침입탐지 여부검사를 수행하지 않고 다음 단계로 진행(S704b)하게 된다.
[표 3]
시스템 부하 기탐지용 버퍼 신규용 버퍼
시스템부하 60%미만 전체 검색 전체 검색
시스템부하 60%이상 ~ 90%이하 80%검색(샘플링) 50%검색(샘플링)
경우에 따라서는 상기 [표 3]과 같이, 시스템부하 60%이상 ~ 90%이하 범위에서는 기탐지용 버퍼에 대해서도 80% 샘플링 검사를 수행하도록 설정할 수도 있다. 이러한 경우에는 도 6의 기탐지용 버퍼 검사 단계(S604)에 대해서도 도 7의 플로우차트의 단계와 같은 과정을 거쳐 샘플링 검사가 이루어지도록 해야함은 자명한 사실일 것이다.
본 발명의 기술사상은 상기 바람직한 실시 예에 따라 구체적으로 기술되었으나 상기한 실시 예는 그 설명을 위한 것으로서, 본 발명의 기술분야의 통상의 전문가라면 본 발명의 기술사상의 범위에서 다양한 실시 예가 가능함을 이해할 수 있을 것이다.
상기에서 설명한 바와 같이 본 발명은, 네트웍 상에 과다한 트래픽으로 인하여 침입탐지 시스템에 과부하 발생할 시에 모든 공격 패킷을 탐지할 수 없는 단점을 보완하였다. 따라서, 시스템 과부하 시에 시스템 자원을 효율적으로 사용하여 공격패킷 미탐지 가능성을 줄임으로써 탐지 성능 개선 효과가 있으며 정상적인 네트웍 트래픽 환경과 과다한 네트웍 트래픽 환경에서도 일정한 공격 탐지 성능을 발휘할 수 있다.
도 1은 네트웍 침입탐지 시스템의 전체적인 동작 모습을 나타낸 상태도이다.
도 2는 종래의 네트웍 침입탐지 시스템의 내부 구성 블록도이다.
도 3은 본 발명에 따른 이중 버퍼 구조를 가진 네트웍 침입탐지 시스템의 구성 블록도이다.
도 4는 패킷 내부의 구성 블록도이다.
도 5는 본 발명에 따른 이중버퍼 구조를 가진 네트웍 침입탐지 시스템의 저장단계를 도시한 플로우차트이다.
도 6은 본 발명에 따른 이중버퍼 구조를 가진 네트웍 침입탐지 시스템의 탐지단계를 도시한 플로우차트이다.
도 7은 네트웍 침입탐지 시스템 부하량에 따른 신규용 버퍼의 샘플링 검사 과정을 도시한 플로우차트이다.
*도면의 주요 부분에 대한 부호의 설명*
S500: 전처리 후 패킷시스템 정보 추출
S504: 기탐지용 버퍼에 저장 S506: 신규용 버퍼에 저장
S508: 우선 순위 이벤트 메시지 발생
S600: 우선 순위 이벤트 메시지 발생했는가?
S602: 신규용 버퍼 검사 S604: 기탐지용 버퍼 검사
S608: 공격시스템 정보 DB에 해당 패킷의 시스템 정보 등록
S610: 관리자에게 경고 로고 전송

Claims (11)

  1. 네트웍의 패킷들을 수집하여 데이터의 가공 및 축약을 통하여 침입판정이 가능하도록 하는 정보로 변환하는 전처리 작업을 수행하는 전처리 모듈과;
    침입공격 패킷으로 판단된 패킷들의 시스템 정보를 저장하는 공격시스템 정보 데이터베이스와;
    이미 침입공격을 시도한 경력이 있는 시스템이 전송한 패킷을 저장하는 기탐지용 버퍼와;
    침입공격을 시도한 경력이 없는 시스템이 전송한 패킷을 저장하는 신규용 버퍼와;
    상기 전처리 모듈에서 전처리된 패킷을 분석하여, 패킷의 시스템정보가 상기 공격시스템정보데이터베이스내에 존재할 때는 상기 기탐지용 버퍼에, 존재하지 않을 때는 상기 신규용 버퍼에 저장하는 저장모듈과;
    소정의 탐지정보를 이용하여 상기 기탐지용 버퍼 또는 신규용 버퍼에 저장되어 있는 패킷의 칩입공격여부를 검사하고, 특히 신규용 버퍼의 패킷이 침입공격 패킷으로 판단되면 해당 패킷의 시스템 정보를 상기 공격시스템 정보 데이터베이스에 등록하는 탐지모듈;
    을 구비한 것을 특징으로 하는 이중버퍼구조를 가진 네트웍 침입탐지 시스템.
  2. 상기 제1항에 있어서, 상기 탐지모듈은 네트웍 침입탐지 시스템의 부하량을 파악하여 해당 부하량 범위에 할당된 샘플링 탐지비율로 상기 기탐지용 버퍼 및 신규용 버퍼에 대한 침입공격 여부를 탐지하는 것을 특징으로 하는 이중버퍼구조를 가진 네트웍 침입탐지 시스템.
  3. 상기 제1항에 있어서, 상기 탐지모듈은 상기 기탐지용 버퍼 및 신규용 버퍼에 저장되어 있는 패킷을 상기 탐지모듈이 미리 가지고 있던 탐지정보 패턴과 비교하여 패턴불일치 등의 사항이 있는지에 따라 칩입공격여부를 판단하는 것을 특징으로 하는 이중버퍼구조를 가진 네트웍 침입탐지 시스템.
  4. 상기 제1항에 있어서, 상기 공격시스템 정보 데이터베이스는 일정 시간동안만 공격시스템 정보가 저장 보관되고, 일정시간 경과 후에는 저장된 공격시스템 정보가 삭제되는 것을 특징으로 하는 이중버퍼구조를 가진 네트웍 침입탐지 시스템.
  5. 네트웍에서 수집된 패킷에 대하여 칩입공격여부의 탐지를 할 수 있도록 가공, 축약의 전처리를 수행한 후, 상기의 패킷에서 시스템 정보를 추출하는 패킷전처리단계와;
    상기 추출된 패킷의 시스템 정보가 공격시스템정보데이터베이스에 존재할 경우에는 기탐지용 버퍼에 저장하고, 존재하지 않는 경우에는 신규용 버퍼에 저장하는 패킷저장단계와;
    상기 저장된 패킷에 대하여 침입공격 여부를 탐지하는 침입공격탐지단계;
    로 이루어진 것을 특징으로 하는 이중버퍼구조를 가진 네트웍 침입탐지 시스템의 동작방법.
  6. 상기 제5항에 있어서, 상기 패킷저장단계에서 추출된 패킷의 시스템 정보를 상기 기탐지용 버퍼에 저장하는 경우에 우선순위 이벤트 메시지를 발생시키는 단계를 더 포함하여 이루어지는 것을 특징으로 하는 이중버퍼구조를 가진 네트웍 침입탐지 시스템의 동작방법.
  7. 상기 제6항에 있어서, 상기 우선순위 이벤트 메시지가 발생된 경우 기탐지용 버퍼에 저장된 패킷의 침입공격 여부를 우선적으로 탐지하는 우선순위탐지단계를 더 포함하여 이루어지는 것을 특징으로 하는 이중버퍼구조를 가진 네트웍 침입탐지 시스템의 동작방법.
  8. 상기 제5항 내지 제7항 중 어느 일항에 있어서, 저장된 패킷의 침입공격 여부를 탐지하는 경우에 상기의 네트웍 침입탐지 시스템에 걸린 시스템 부하량을 파악하여 해당 부하량 범위에 할당된 샘플링 탐지비율로 기탐지용 버퍼 및 신규용 버퍼에 저장된 패킷의 침입공격 여부를 탐지하는 단계를 더 포함하여 이루어지는 것을 특징으로 하는 이중버퍼구조를 가진 네트웍 침입탐지 시스템의 동작방법.
  9. 상기 제5항 내지 제7항 중 어느 일항에 있어서, 저장된 패킷의 침입공격 여부를 탐지하는 경우에 침입공격 패킷으로 판정된 경우에는 공격시스템 정보 데이터베이스에 해당 패킷의 시스템 정보를 등록한 후, 침입공격에 대한 경고를 내부망 관리자에게 보고하는 침입공격경고단계를 더 포함하여 이루어지는 것을 특징으로 하는 이중버퍼구조를 가진 네트웍 침입탐지 시스템의 동작방법.
  10. 상기 제9항에 있어서, 상기 침입공격경고단계는 상기 기탐지용 버퍼의 패킷에서 침입공격이 탐지된 경우에는 공격시스템 정보 데이터베이스에 해당 패킷의 시스템 정보를 저장하지 않은 채 내부망 관리자에게 침입공격을 경고하는 것을 특징으로 하는 이중버퍼구조를 가진 네트웍 침입탐지 시스템의 동작방법.
  11. 상기 제1항에 있어서, 상기 저장모듈은 상기 기탐지용 버퍼에 추출된 패킷이 저장될 경우 우선 순위 이벤트 메시지를 발생시켜 브로드캐스팅하고, 상기 탐지모듈은 우선 순위 이벤트 메시지를 인식한 경우 상기 기탐지용 버퍼에 대하여 우선적으로 침입공격 여부를 검사하는 것을 특징으로 하는 이중버퍼구조를 가진 네트웍 침입탐지 시스템.
KR10-2003-0019901A 2003-03-31 2003-03-31 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법 KR100506889B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2003-0019901A KR100506889B1 (ko) 2003-03-31 2003-03-31 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2003-0019901A KR100506889B1 (ko) 2003-03-31 2003-03-31 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법

Publications (2)

Publication Number Publication Date
KR20040085266A KR20040085266A (ko) 2004-10-08
KR100506889B1 true KR100506889B1 (ko) 2005-08-08

Family

ID=37368289

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2003-0019901A KR100506889B1 (ko) 2003-03-31 2003-03-31 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법

Country Status (1)

Country Link
KR (1) KR100506889B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150037285A (ko) * 2013-09-30 2015-04-08 한국전력공사 침입 탐지 장치 및 방법

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060094226A (ko) * 2005-02-24 2006-08-29 (주)한넷웨어 알에프아이디 미들웨어에서 무손실 특성을 갖는 대용량 입력 처리 시스템 및 방법
KR100947211B1 (ko) * 2008-02-21 2010-03-11 주식회사 조은시큐리티 능동형 보안 감사 시스템
KR101493076B1 (ko) 2009-04-07 2015-02-12 삼성전자 주식회사 버퍼 오버플로우 관리를 통한 바이러스 코드 실행방지장치 및 그 방법
KR101346330B1 (ko) * 2012-03-07 2014-01-03 주식회사 시큐아이 유해 패킷 검출 방법 및 장치
CN106131050B (zh) * 2016-08-17 2022-12-09 裴志永 数据包快速处理系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150037285A (ko) * 2013-09-30 2015-04-08 한국전력공사 침입 탐지 장치 및 방법
KR102030837B1 (ko) * 2013-09-30 2019-10-10 한국전력공사 침입 탐지 장치 및 방법

Also Published As

Publication number Publication date
KR20040085266A (ko) 2004-10-08

Similar Documents

Publication Publication Date Title
US8042182B2 (en) Method and system for network intrusion detection, related network and computer program product
US7966658B2 (en) Detecting public network attacks using signatures and fast content analysis
US8255996B2 (en) Network threat detection and mitigation
US8112801B2 (en) Method and apparatus for detecting malware
EP1330095B1 (en) Monitoring of data flow for enhancing network security
KR100558658B1 (ko) 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법
US20030084326A1 (en) Method, node and computer readable medium for identifying data in a network exploit
US20030101353A1 (en) Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto
US20050278779A1 (en) System and method for identifying the source of a denial-of-service attack
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
Gao et al. A dos resilient flow-level intrusion detection approach for high-speed networks
US8250645B2 (en) Malware detection methods and systems for multiple users sharing common access switch
US7099940B2 (en) System, method and computer program product for processing network accounting information
KR20090087437A (ko) 트래픽 검출 방법 및 장치
KR20140093060A (ko) 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법
KR100684602B1 (ko) 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법
US11153342B2 (en) Method and system for providing ddos protection by detecting changes in a preferred set of hierarchically structured items in stream data
Manna et al. Review of syn-flooding attack detection mechanism
US20040250158A1 (en) System and method for protecting an IP transmission network against the denial of service attacks
KR102244036B1 (ko) 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법
Vaarandi Detecting anomalous network traffic in organizational private networks
Akiyoshi et al. Detecting emerging large-scale vulnerability scanning activities by correlating low-interaction honeypots with darknet
KR100506889B1 (ko) 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법
Zhenqi et al. Netflow based intrusion detection system
JP2002342276A (ja) ネットワーク侵入検知システムおよびその方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120109

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20130530

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20150717

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20160701

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20170703

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20180703

Year of fee payment: 14

FPAY Annual fee payment

Payment date: 20190708

Year of fee payment: 15