KR100518844B1 - 네트워크 패킷 검사 방법 - Google Patents

네트워크 패킷 검사 방법 Download PDF

Info

Publication number
KR100518844B1
KR100518844B1 KR10-2003-0009966A KR20030009966A KR100518844B1 KR 100518844 B1 KR100518844 B1 KR 100518844B1 KR 20030009966 A KR20030009966 A KR 20030009966A KR 100518844 B1 KR100518844 B1 KR 100518844B1
Authority
KR
South Korea
Prior art keywords
packet
network
priority
intrusion detection
detection system
Prior art date
Application number
KR10-2003-0009966A
Other languages
English (en)
Other versions
KR20040074367A (ko
Inventor
유연식
Original Assignee
엘지엔시스(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지엔시스(주) filed Critical 엘지엔시스(주)
Priority to KR10-2003-0009966A priority Critical patent/KR100518844B1/ko
Publication of KR20040074367A publication Critical patent/KR20040074367A/ko
Application granted granted Critical
Publication of KR100518844B1 publication Critical patent/KR100518844B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 따른 네트워크 패킷 검사 방법은 네트워크에 연결되어 있는 컴퓨터 시스템에 우선 순위를 부여해 놓고 네트워크 침입 탐지 시스템의 부하가 심한 경우에 상기 우선 순위에 따라 패킷 검사가 이루어지도록 함으로써, 우선 순위가 높은 컴퓨터 시스템의 보호에 만전을 기할 수 있는 장점이 있다.
또한, 이와 같은 방식에 의하면 네트워크 침입 탐지 시스템의 부하가 심한 경우 우선 순위가 부여되어 있지 않거나, 느린 우선 순위가 부여되어 있는 컴퓨터 시스템을 수신자로 하는 패킷의 검사를 통과하게 됨으로써, 네트워크 침입 탐지 시스템의 부하 감소 효과 또한 있다.

Description

네트워크 패킷 검사 방법{Check method of network packet}
본 발명은 네트워크 패킷 검사 방법에 관한 것으로서, 보다 상세하게 설명하면 네트워크 상의 정보 전송 단위인 패킷에 악의적인 내용이 포함되어 있는지의 여부를 판단하는 네트워크 칩입 탐지 시스템에서 보호하고자 하는 대상의 순위를 부여하여 우선 순위의 대상부터 보호하는 방법에 관한 것이다.
네트워크 침입탐지 시스템(NIDS : Network Based Intrusion Detection System)은 네트워크에 흐르는 모든 트래픽(Traffic)을 분석하여 위험하거나, 위험 가능성이 있는 행위들을 탐지하여 이를 차단하고, 관리자에게 알리는 기능을 포함하는 시스템이다.
상기 차단은 크게 두 가지 경우로 나뉘며, 하나는 서스피셔스 네트워크 액티비티(SNA : Suspicious Network Activity)라 부르는 것으로, 취약점 분석, 네트워크 서비스 검색, 운영체제 종류 판단, 서비스 거부 공격 등 TCP/IP의 근본적인 취약점을 이용한 '로우 레벨 스캐닝/어택(Low Level Scanning/Attack)'에 대한 방해를 하는 경우이고, 다른 하나는 세션 킬(Session Kill)이라 부르는 것으로, 위험한 행위를 시도하는 TCP 연결을 강제로 끊는 것이다.
이 두가지는 모두 특정한 작용을 하도록 만들어진 네트워크 패킷(Packet)을 해당 네트워크 또는 호스트(Host)에 보내줌으로써 이루어진다.
따라서, 상기 네트워크 액티비티(SNA) 및 세션 킬(Session Kill) 모두 네트워크 침입탐지 시스템(NIDS)이 해당 네트워크 및 호스트에 패킷을 보낼 수 있어야만 이루어질 수 있다.
도 1 은 포워딩(Forwarding)만이 지원되는 L2 스위치를 사용하여 전통적인 침입탐지 시스템의 연결 양상을 도시한 것이다.
네트워크 침입 탐지 시스템(NIDS)은 네트워크 인터페이스 카드(NIC : Network Interface Card)를 이용하여 네트워크로부터 패킷을 받아들여, 그 내용을 분석하고, 필요한 경우 패킷을 보내 특정 세션(Session)을 강제 종료 시키는 등의 작용을 하게 만들어진다.
도면에 도시한 네트워크 인터페이스 카드(NIC)는 상기 네트워크 침입탐지 시스템(NIDS)에 여러개 있을 수도 있다.
그러나, 네트워크 부분에 있는 장비의 한계 때문에 네트워크 인터페이스카드(NIC)가 네트워크로 패킷을 보낼 수 없는 경우에는 상기 네트워크 액티비티(SNA) 및 세션 킬(Session Kill)을 수행할 수 없다.
이러한 경우로는 네트워크 침입탐지 시스템(NIDS)에서 패킷(Packet) 수집용의 NIC (Monitoring NIC)을 연결한 네트워크 장비의 포트(Port)가 패킷(Packet)을 전달해 주는 방식이 미러링(Mirroring)이 아닌 포워딩(Forwarding)인 경우를 예를 들 수 있다.
이 때, 패킷을 받아들이는 네트워크 인터페이스카드(NIC)와 보내는 네트워크 인터페이스카드(NIC)가 같은 경우, 네트워크 침입탐지 시스템(NIDS)의 네트워크 인터페이스카드(NIC)로부터 네트워크상의 포워딩(Forwarding)이 설정된 포트(Port)로 패킷을 보내게 되고, 그 패킷이 실제로 네트워크에 도달하지 못하여 능동적 대응 방식을 취하지 못한다.
이와 같은 경우 특히, 보고하고자 하는 대상이 여러개 있는 경우 자주 발생되는데, 이에 따라 보호의 필요성이 낮은 대상 뿐만이 아니라 보호 필요성이 높은 모든 대상의 대응이 이루어지지 않게 된다.
본 발명은 상기와 같은 문제점을 개선하기 위하여 창출된 것으로서, 보호하고자 하는 대상이 되는 컴퓨터 시스템들에 대한 정보를 관리하여 보호하고자 하는 우선 우선순위를 부여하여, 패킷을 검사할 때 현재 네트워크의 부하나 시스템 자원의 운영 상태에 따라 검사의 정도를 결정하여, 중요 우선순위의 시스템을 선보호할 수 있는 네트워크 패킷 검사 방법을 제공하는 것을 목적으로 한다.
상기한 목적을 달성하기 위하여 본 발명은 네트워크에 흐르는 모든 트래픽을 분석하여 위험하거나, 위험 가능성이 있는 행위들을 탐지하여 이를 차단하고, 관리자에게 알리는 기능을 포함하는 네트워크 침입 탐지 시스템에서 보호 대상이 되는 네트워크 패킷을 검사하는 방법에 있어서,
보호 대상이 되는 네트워크 패킷의 근원이 되는 컴퓨터 시스템에 우선 순위를 부여하는 단계와; 상기 우선 순위에 근거하여 우선 순위가 빠른 컴퓨터 시스템의 패킷부터 검사하는 단계를 포함하는 것을 특징으로 한다.
여기서, 상기 패킷 검사 단계는 패킷을 접수받는 단계와; 네트워크 침입 탐지 시스템의 부하 정도를 판단하는 단계와; 부하가 적은 경우 접수되는 모든 패킷을 검사하는 단계와; 부하가 많은 경우 접수된 패킷의 우선 순위를 기처리중인 패킷의 우선 순위와 비교하여 보다 빠른 경우 기처리중인 패킷을 대체하여 선검사가 이루어지는 단계와; 부하가 많은 경우 접수된 패킷의 우선 순위가 부여되지 않았거나, 우선 순위가 부여되어있으니 기처리중인 패킷의 우선 순위보다 늦는 경우 패킷 검사를 하지 않고 통과하는 단계를 포함하는 것이 바람직하다.
이와 같이 본 발명에 따른 네트워크 패킷 검사 방법은 보호 대상 시스템에 우선 순위를 부여하고 네트워크 침입 탐지 시스템의 부하 정도가 낮은 경우에는 우선 순위에 상관없이 접수 패킷을 검사하고, 부하 정도가 심한 경우에는 우선 순위에 근거하여 기준 순위보다 높은 순위의 접수 패킷만을 검사하여 네트워크의 능동적인 보호가 가능하다.
이하 첨부된 도면을 참조하면서 본 발명의 바람직한 실시예를 상세히 설명하도록 한다.
도 2는 본 발명의 바람직한 일실시예에 따른 네트워크 패킷 검사 방법을 나타낸 흐름도이다.
도 2를 참조하면, 본 실시예에 따른 네트워크 패킷 검사 방법은 보호 대상이 되는 컴퓨터 시스템에 우선 순위를 부여하고(S 100), 이후 네트워크 침입 탐지 시스템의 부하 정도를 판단하여(S 200), 부하 정도가 적은 경우에는 접수된 순서대로(S 400), 부하 정도가 심한 경우에는 우선 순위가 기준 순위보다 높은 순서대로(S 300) 패킷의 검사가 이루어짐을 알 수 있다.
보다 상세하게 설명하면, 네트워크 패킷 검사가 이루어지는 네트워크 침입 탐지 시스템은 네트워크 상의 패킷을 읽어 들여 그 패킷의 정보를 점검하게 된다. 상기 패킷은 컴퓨터 사이에서 정보 등의 전달을 위해 사용되는 단위로써, 송신자/수신자의 주소(IP address) 정보와 기타 헤더, 데이터 정보를 포함하게 된다.
본 실시예에서는 상기 패킷의 수신자 주소를 참조하여 우선 순위를 파악하는 것으로 하고, 이를 위하여 상기 수신자 주소에 각각 우선 순위를 부여한 후 이를 네트워크 침입 탐지 시스템에 저장하게 된다.
예를 들어, IP_ADDR_1에는 P1, IP_ADDR_2에는 P2, IP_ADDR_3에는 P3...식으로 우선 순위의 부여가 가능하다. 이때 P1이 가장 빠른 우선 순위가 된다. 물론 모든 보호 대상의 컴퓨터 시스템에 우선 순위를 부여할 필요는 없으며 필요에 따라 변경이 가능하도록 함이 바람직하다.
이와 같이 저장되어 있는 우선 순위를 이용하여 우선 순위가 빠른 패킷, 즉 빠른 순위의 컴퓨터 시스템을 목적지로 하는 정보를 먼저 검사하게 되는데, 모든 상황에서 그런 식으로 처리된다면, 우선 순위가 낮은 패킷의 경우에는 패킷 검사가 제대로 이루어지지 않게 된다. 따라서, 본 실시예에서는 네트워크 침입 탐지 시스템의 부하 정도에 따라 능동적인 패킷 검사가 이루어지도록 하고 있다.
살펴보면, 먼저 네트워크 침입 탐지 시스템의 부하가 적은 경우에는 상기 우선 순위에 상관없이, 즉, 우선 순위가 늦거나 아예 우선 순위가 부여 안된 패킷의 경우라 하더라도, 접수되는 순서에 따라 패킷의 검사가 이루어지게 된다.
즉, 종래의 패킷 검사 방식과 동일하게 패킷의 검사가 이루어진다.
다음으로 네트워크 침입 탐지 시스템의 부하가 심한 경우에는 접수된 패킷의 우선 순위 부여 여부를 참조하게 된다. 먼저 우선 순위가 부여되지 않은 경우에는 바로 패킷 검사를 하지 않고 통과하게 되며, 우선 순위가 부여되어 있는 경우에는 기처리되고 있는 패킷과의 우선 순위를 비교하여 우선 순서가 빠르다면 기처리중인 패킷을 대체하여 먼저 패킷 검사가 이루어지며, 느린 경우에는 패킷 검사를 하지 않고 통과한다.
이와 같은 방식의 네트워크 패킷 검사에 있어서, 네트워크 침입 탐지 시스템의 부하 정도(Sidle)의 판단여부가 중요하게 되는데, 이는 다음의 식에 의하여 결정된다.
(단, memoryfree는 잔여 메모리, CPUfreetime은 프로세스의 여유시간, PKTremaind는 네트워크 침입 탐지 시스템에 남아 있는 미처리 패킷, α+β+γ=1)
Sidle은 α+β+γ=1에 의해서 최대값으로 1을 갖고, 최소값으로는 0을 갖는다.
상기 식1을 참조하여 보다 상세하게 네트워크 패킷 검사 방법을 살펴보면, 도 3과 같다.
먼저, 네트워크 침입 탐지 시스템으로 패킷이 접수되면(S 210), 상기 네트워크 침입 탐지 시스템의 부하 정도(Sidle)를 판단하게 되는데(S 220), 이는 상기 Sidle값과의 비교를 위하여 기준값 Sthr을 정해 놓고, 비교하는 방식으로 이루어지게 된다.
비교 결과 Sidle값이 Sthr값보다 큰 경우, 즉 부하 정도가 적은 경우에는 전체 패킷을 검사하게 되며(S 310), 이는 접수된 순서대로 패킷의 검사가 이루어짐을 뜻하게 된다.
이와 반대로 비교 결과 Sidle값이 Sthr값보다 작은 경우, 즉 부하 정도가 심한 경우에는 상기 접수된 패킷의 수신자 주소를 분석하고 상기 수신자 주소가 기설정되어 있는 우선 순위가 부여된 주소인지, 그렇다면 그 우선 순위를 확인하게 된다(S 230)(S 240). 패킷의 주소가 우선 순위가 부여되지 않은 경우나, 부여되어 있으나 기처리되고 있는 패킷의 우선 순위보다 느린 경우에는 검사를 하지 않고 통과하게 된다(S 320). 만약 기처리되고 있는 패킷의 우선 순위보다 빠른 경우에는 기처리되는 패킷을 대체하여 선 검사가 이루어지게 된다. 따라서, 네트워크 침입 탐지 시스템의 부하가 심한 경우에는 우선 순위가 높은 컴퓨터 시스템을 수신지로 하는 패킷의 검사가 우선적으로 이루어지게 된다.
이상에서 설명된 바와 같이 본 발명에 따른 네트워크 패킷 검사 방법은 네트워크에 연결되어 있는 컴퓨터 시스템에 우선 순위를 부여해 놓고 네트워크 침입 탐지 시스템의 부하가 심한 경우에 상기 우선 순위에 따라 패킷 검사가 이루어지도록 함으로써, 우선 순위가 높은 컴퓨터 시스템의 보호에 만전을 기할 수 있는 장점이 있다.
또한, 이와 같은 방식에 의하면 네트워크 침입 탐지 시스템의 부하가 심한 경우 우선 순위가 부여되어 있지 않거나, 느린 우선 순위가 부여되어 있는 컴퓨터 시스템을 수신자로 하는 패킷의 검사를 통과하게 됨으로써, 네트워크 침입 탐지 시스템의 부하 감소 효과 또한 있다.
도 1은 포워딩(Forwarding)만이 지원되는 L2 스위치를 사용하여 전통적인 침입탐지 시스템의 연결 양상을 도시한 개략도.
도 2 및 3은 본 발명의 바람직한 일실시예에 따른 네트워크 패킷 검사 방법을 개략적으로 나타낸 흐름도.

Claims (3)

  1. 네트워크에 흐르는 트래픽을 분석하여 위험하거나, 위험 가능성이 있는 행위들을 탐지하여 이를 차단하고, 관리자에게 알리는 기능을 포함하는 네트워크 침입 탐지 시스템에서 보호 대상이 되는 네트워크 패킷을 검사하는 방법에 있어서,
    네트워크상에서 보호대상이 되는 컴퓨터 시스템의 정보를 저장하는 단계와;
    상기 저장된 컴퓨터 시스템에 우선 순위를 부여하는 단계; 및
    상기 침입탐지시스템의 부하정도에 따라 우선 순위에 근거하여 기준 순위보다 우선 순위가 높은 컴퓨터 시스템의 패킷을 검사하는 단계;를 포함하는 것을 특징으로 하는 네트워크 패킷 검사 방법.
  2. 제 1 항에 있어서,
    네트워크를 통해 침입탐지 시스템에 유입되는 패킷의 검사를 접수받는 단계와;
    상기 침입탐지 시스템의 부하 정도를 판단하는 단계와;
    상기 침입탐지 시스템의 부하를 미리 정한 기준치와 비교하여 상기 접속된 패킷의 검사 또는 상기 접수된 패킷의 수신자 주소가 상기 저장된 컴퓨터 시스템에 해당하는지 여부 판단를 적어도 하나이상 수행하는 단계와;
    상기 접수된 패킷의 수신자 주소가 저장되어 있는 경우, 해당 시스템의 우선 순위와 비교하여, 기준순위보다 높은 경우 패킷 검사를 실시하고, 기준순위보다 낮은 경우 패킷을 통과시키는 단계; 및
    상기 접수된 패킷의 수신자 주소가 저장되어 있지 않은 경우, 패킷을 통과시키는 단계;를 포함하는 것을 특징으로 하는 네트워크 패킷 검사 방법.
  3. 제 2항에 있어서, 상기 침입탐지 시스템의 부하가 기준치보다 적은 경우, 상기 접속된 패킷을 검사하는 단계; 및
    상기 침입탑지 시스템의 부하가 기준치보다 높은경우, 상기 접수된 패킷의 수신자 주소가 상기 저장된 컴퓨터 시스템에 해당하는지 여부를 판단하는 단계;를 더 포함하는 것을 특징으로 하는 네트워크 패킷 검사 방법.
KR10-2003-0009966A 2003-02-18 2003-02-18 네트워크 패킷 검사 방법 KR100518844B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2003-0009966A KR100518844B1 (ko) 2003-02-18 2003-02-18 네트워크 패킷 검사 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2003-0009966A KR100518844B1 (ko) 2003-02-18 2003-02-18 네트워크 패킷 검사 방법

Publications (2)

Publication Number Publication Date
KR20040074367A KR20040074367A (ko) 2004-08-25
KR100518844B1 true KR100518844B1 (ko) 2005-09-30

Family

ID=37361105

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2003-0009966A KR100518844B1 (ko) 2003-02-18 2003-02-18 네트워크 패킷 검사 방법

Country Status (1)

Country Link
KR (1) KR100518844B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101010248B1 (ko) 2009-07-02 2011-01-21 충남대학교산학협력단 패킷검사장치의 부하조절방법 및 장치
CN106375133B (zh) * 2012-09-28 2019-08-16 北京奇虎科技有限公司 一种网络访问速度信息的处理、显示的方法和装置

Also Published As

Publication number Publication date
KR20040074367A (ko) 2004-08-25

Similar Documents

Publication Publication Date Title
US9392002B2 (en) System and method of providing virus protection at a gateway
US7835348B2 (en) Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch
US10432650B2 (en) System and method to protect a webserver against application exploits and attacks
AU2004289001B2 (en) Method and system for addressing intrusion attacks on a computer system
US8997231B2 (en) Preventive intrusion device and method for mobile devices
US7454499B2 (en) Active network defense system and method
US7937761B1 (en) Differential threat detection processing
US7302480B2 (en) Monitoring the flow of a data stream
US7596809B2 (en) System security approaches using multiple processing units
US20040111531A1 (en) Method and system for reducing the rate of infection of a communications network by a software worm
US8966630B2 (en) Generating and distributing a malware countermeasure
US20050229254A1 (en) Detecting public network attacks using signatures and fast content analysis
CA2545916A1 (en) Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data
EP1122932A2 (en) Protection of computer networks against malicious content
US20170353478A1 (en) Packet relay apparatus
CN111526121A (zh) 入侵防御方法、装置、电子设备及计算机可读介质
EP1754348B1 (en) Using address ranges to detect malicious activity
KR100635130B1 (ko) 윈도우 네트워크 감시를 통한 커널 백도어 탐지 시스템 및방법
EP4258147A1 (en) Network vulnerability assessment
KR100518844B1 (ko) 네트워크 패킷 검사 방법
CN101651692B (zh) 网络安全保护方法、安全服务器和转发设备
KR100772177B1 (ko) 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치
KR100734866B1 (ko) 비정상 패킷 탐지 방법 및 장치
CN113783892B (zh) 反射攻击检测方法、系统、设备及计算机可读存储介质
KR100870871B1 (ko) 액세스레벨에서의 유해트래픽 차단장치 및 보안시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120109

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20130530

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20150728

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20160701

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20170703

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20180703

Year of fee payment: 14

FPAY Annual fee payment

Payment date: 20190708

Year of fee payment: 15