KR100523483B1 - The system and method of malicious traffic detection and response in network - Google Patents

The system and method of malicious traffic detection and response in network Download PDF

Info

Publication number
KR100523483B1
KR100523483B1 KR10-2002-0065176A KR20020065176A KR100523483B1 KR 100523483 B1 KR100523483 B1 KR 100523483B1 KR 20020065176 A KR20020065176 A KR 20020065176A KR 100523483 B1 KR100523483 B1 KR 100523483B1
Authority
KR
South Korea
Prior art keywords
security
traffic
network
harmful
address
Prior art date
Application number
KR10-2002-0065176A
Other languages
Korean (ko)
Other versions
KR20040036228A (en
Inventor
방효찬
나중찬
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0065176A priority Critical patent/KR100523483B1/en
Publication of KR20040036228A publication Critical patent/KR20040036228A/en
Application granted granted Critical
Publication of KR100523483B1 publication Critical patent/KR100523483B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Abstract

본 발명은 네트워크의 유해트래픽 탐지 및 대응 시스템 및 방법에 관한 것으로서, 그 시스템은 능동 네트워크 보안 프레임 워크에서, 보안노드시스템으로 유입되는 트래픽의 변동을 감시하여 변동이 감지되면 보안관리 시스템으로 송신하는 트래픽모니터링부; 이로부터 유해트래픽 추적 여부를 결정하고, 보안노드시스템으로 전송하는 유해트래픽추적관리부; 및 기준치 초과 트래픽 성분을 갖는 IP 주소를 검출하고 IP 주소가 위치하는 보안노드시스템 상에서 IP 주소에서 송신되는 기준치 초과 트래픽을 검출 및 차단하고 그 결과를 보안관리 시스템으로 전달하는 유해트래픽추적부를 포함함을 특징으로 한다. 본 발명에 의하면, 대역폭 소모형 분산 서비스 거부 공격과 같은 유해 트래픽을 조기에 탐지하고, 그 근원지를 추적하여 원천봉쇄하는 할 수 있다.The present invention relates to a system and method for detecting and responding to harmful traffic in a network. The system monitors a change in traffic flowing into a security node system in an active network security framework, and transmits a traffic to a security management system when a change is detected. Monitoring unit; Hazardous traffic tracking to determine whether or not to track harmful traffic, and transmits to the security node system; And a harmful traffic tracking unit that detects an IP address having an out-of-reference traffic component, detects and blocks the out-of-reference traffic transmitted from the IP address on the security node system where the IP address is located, and delivers the result to the security management system. It features. According to the present invention, harmful traffic such as bandwidth-consuming distributed denial of service attacks can be detected early, and the source thereof can be traced to block the source.

Description

네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법 {The system and method of malicious traffic detection and response in network}{The system and method of malicious traffic detection and response in network}

본 발명은 네트워크 보안에 관한 것으로서, 더욱 상세하게는 액티브 네트워크를 이용한 보안 프레임 워크 상에서 네트워크의 트래픽 혼잡을 유발시키는 유해 트래픽을 탐지하고 대응하는 네트워크의 유해트래픽 탐지 및 대응 시스템 및 방법에 관한 것이다.The present invention relates to network security, and more particularly, to a harmful traffic detection and response system and method for detecting and responding to harmful traffic that causes traffic congestion of a network on a security framework using an active network.

최근 들어 인터넷을 통한 사이버 공격의 형태가 다양해지고 복잡해지면서 단일 보안 시스템만으로는 이에 대한 효과적인 탐지 및 대응이 어려워지고 있다. 따라서 단일 보안 시스템들을 유기적으로 연관시키고 자동적으로 통합관리하기 위한 통합보안 관리 기술 및 통합 관제 시스템들이 제안되고 있다. 그러나 제한된 단일보안 관리 영역만을 중앙 집중적으로 관리하는 수동적인 보안 관리 체계로는 인터넷이라는 전 세계적인 광역 망을 통해 가해지는 사이버 공격을 막기에는 어려움이 있다. Recently, as the cyber attack through the Internet becomes more diverse and complicated, it is difficult to detect and respond effectively to a single security system. Therefore, integrated security management technology and integrated control systems have been proposed to organically associate and automatically manage single security systems. However, the passive security management system that centrally manages only a limited single security management area has difficulty in preventing cyber attacks through the global wide area network of the Internet.

더구나 분산서비스거부(Distributed Denied Of Service: 이하 'DDoS'라 한다) 공격은 매우 심각한 네트워크 보안 문제로 인식되고 있다. DDoS 공격은 정상적인 트래픽과 구별하기가 힘들어 사전에 예측하기가 곤란하며, 피해 규모가 네트워크 전역에 걸쳐 매우 크다. 또한 DDoS 공격의 대부분이 다량의 유해 트래픽을 네트워크에 유입시켜 망 전체의 자원을 고갈시키는 대역폭 소모형 공격 추세로 발전되고 있어 네트워크 보안 측면 뿐 만이 아니라 기존의 네트워크 자원 관리 측면에서도 매우 심각한 문제를 유발시키고 있다. 특히 이러한 DDos 공격은 피공격자 도메인(Domain)에서 해당 유해 패킷을 차단하더라도 전달 망에는 그대로 유해 트래픽이 유입되기 때문에 망 전체의 혼잡 및 자원 고갈은 해결되지 않는다. 따라서 기존의 국지적인 보안 구조로는 해결 할 수 없는 심각한 문제점들이 도출되고 있다. 이러한 상황으로 비추어 볼 때, 현실적으로 모든 DDoS 공격을 완전히 예측하고 대응할 수 있는 방안은 없지만, DDoS 공격으로 인한 네트워크 자원 및 서비스의 손실을 최소화 할 수 있는 탐지/대응 기술이 필요하다.Moreover, Distributed Denied Of Service (DDoS) attacks are considered a very serious network security problem. DDoS attacks are difficult to distinguish from normal traffic, making it difficult to predict in advance, and the magnitude of damage is very large across the network. In addition, the majority of DDoS attacks are evolving into a bandwidth-consuming attack that depletes resources of the entire network by introducing a large amount of harmful traffic into the network, causing serious problems not only in terms of network security but also in managing existing network resources. have. In particular, even if the DDos attack blocks the harmful packet in the attacker's domain, since the harmful traffic flows into the delivery network, congestion and resource depletion of the entire network are not solved. Therefore, serious problems are emerging that cannot be solved by existing local security structures. In light of this situation, there is no practical way to fully predict and respond to all DDoS attacks, but a detection / response technique is needed to minimize the loss of network resources and services due to DDoS attacks.

이를 위해서는 유해 트래픽을 사전에 감지해 내고, 유해 트래픽을 전송하는 해커 도메인 또는 보안관리 영역의 최초 유입점에서 유해 트래픽을 차단할 수 있는 능동적이고 지능적인 대응 기술이 필요하다. 이러한 기능을 실현하기 위해서는 수동적이고 정적인 기존의 통합 관리 방식 보다 유연하고 동적이며 분산적이고 협업적인 능동 보안 관리 메카니즘이 필요하다.This requires an active and intelligent response technology that can detect harmful traffic in advance and block harmful traffic at the first entry point of the hacker domain or security management area that transmits harmful traffic. This functionality requires a flexible, dynamic, decentralized and collaborative active security management mechanism rather than the traditional passive and static integrated management approach.

본 발명이 이루고자 하는 기술적 과제는 액티브 네트워크를 이용한 보안 프레임 워크 상에서 분산 서비스 거부공격과 같이 네트워크의 트래픽 혼잡을 유발시키는 유해 트래픽을 탐지하여 대응할 수 있게 하는, 네트워크에서의 유해트래픽 탐지/대응 시스템을 제공하는 데 있다. 즉 본 발명은 액티브 네트워크를 이용한 네트워크 보안 프레임워크 상에서 네트워크의 트래픽 혼잡을 유발시키는 유해 패킷을 실시간으로 탐지하고 추적하여 유해 패킷이 유입되는 최초 접속점에서 해당하는 유해 트래픽을 차단함을 목적으로 한다. The technical problem to be achieved by the present invention is to provide a harmful traffic detection / response system in the network to detect and respond to harmful traffic causing traffic congestion in the network, such as distributed denial of service attacks on a security framework using an active network There is. That is, an object of the present invention is to detect and track harmful packets causing traffic congestion of a network in real time on a network security framework using an active network to block corresponding harmful traffic at an initial access point to which harmful packets flow.

본 발명이 이루고자 하는 다른 기술적 과제는 액티브 네트워크를 이용한 보안 프레임 워크 상에서 분산 서비스 거부공격과 같이 네트워크의 트래픽 혼잡을 유발시키는 유해 트래픽을 탐지하여 대응할 수 있게 하는, 네트워크에서의 유해트래픽 탐지/대응 방법을 제공하는 데 있다.Another technical problem to be solved by the present invention is to detect and respond to harmful traffic in a network that enables detection and response of harmful traffic causing traffic congestion in a network such as distributed denial of service attacks on a security framework using an active network. To provide.

상기 기술적 과제를 달성하기 위하여 본 발명에 따른 네트워크에서의 유해트래픽 탐지/대응 시스템은, 분산된 적어도 둘 이상의 보안관리 영역을 포함하는 능동 네트워크 보안 프레임 워크에 있어서, 상기 보안관리 영역은 광역 망의 접속점에 위치하여 보안기능을 수행하는 보안노드 시스템 및 보안관리 영역에서 발생한 보안위배 행위에 대해 대응하고 보안상태를 제어하는 보안관리 시스템을 포함할 때, 상기 보안노드 시스템으로 유입되는 트래픽의 변동을 감시하고, 소정의 기준치를 초과하는 트래픽 변동이 감지되면 이에 대한 이벤트 정보를 당해 보안관리 영역의 보안관리 시스템으로 송신하는 트래픽모니터링부; 상기 보안관리 시스템으로 전달된 이벤트 정보로부터 유해 트래픽 추적 여부를 결정하고, 이를 당해 보안노드 시스템으로 전송하는 유해트래픽추적관리부; 및 소정의 기준치를 초과하는 트래픽 성분을 갖는 근원지 IP 주소와 목적지 IP 주소를 검출하고, 근원지 IP 주소가 위치하는 보안관리 영역에 위치하는 보안노드 시스템 상에서, 상기 근원지 IP 주소에서 송신되는 트래픽을 분석한 후 소정의 기준치를 초과하는 트래픽을 검출하여 차단하고 유해 트래픽 탐지 및 대응 결과를 해당 보안 관리 영역 내의 보안관리 시스템으로 전달하는 유해트래픽추적부를 포함함을 특징으로 한다. 또한 상기 네트워크에서의 유해트래픽 탐지 및 대응 시스템은 유해 트래픽 탐지 및 대응 결과를 최초에 유해 트래픽 추적을 요구한 능동보안관리 시스템에게 통보하는 유해 트래픽 차단 보고부를 더 구비함이 바람직하다.In order to achieve the above technical problem, a harmful traffic detection / response system in a network according to the present invention includes an active network security framework including at least two distributed security management areas, wherein the security management area is an access point of a wide area network. Security node system which is located at and performs security function, and includes security management system that responds to security violations occurred in security management area and controls security status, and monitors the change of traffic flowing into the security node system. A traffic monitoring unit for transmitting event information about the traffic change exceeding a predetermined reference value to a security management system of the security management area; A harmful traffic tracking management unit for determining whether to track harmful traffic from the event information delivered to the security management system and transmitting the harmful traffic to the security node system; And detecting a source IP address and a destination IP address having a traffic component exceeding a predetermined reference value, and analyzing the traffic transmitted from the source IP address on a security node system located in a security management area where the source IP address is located. And a harmful traffic tracking unit that detects and blocks traffic exceeding a predetermined reference value and delivers harmful traffic detection and response results to the security management system in the corresponding security management area. In addition, it is preferable that the harmful traffic detection and response system in the network further includes a harmful traffic blocking report unit for notifying the active security management system that initially requested harmful traffic tracking of harmful traffic detection and response results.

상기 다른 기술적 과제를 달성하기 위하여 본 발명에 따른 네트워크에서의 유해트래픽 탐지 및 대응 방법은, 네트워크의 트래픽의 변동을 감시하여 소정이 기준치를 초과하는 트래픽 변동이 감지되면 이에 대한 이벤트정보를 송신하는 제1단계; 상기 이벤트정보를 수신하여 유해 트래픽 추적 여부를 결정하는 제2단계; 및 추적이 필요하다고 판단되면, 상기 소정의 기준치를 초과하는 트래픽의 근원지 주소를 검출하고, 상기 근원지 주소에서 송신되는 트래픽을 분석한 후 소정의 기준치를 초과하는 트래픽을 차단하는 제3단계를 포함함을 특징으로 한다.In order to achieve the above another technical problem, harmful traffic detection and response method in a network according to the present invention includes monitoring the change in the traffic of the network and transmitting event information on the detected traffic change exceeding a predetermined value. Stage 1; A second step of determining whether to track harmful traffic by receiving the event information; And a third step of detecting a source address of the traffic exceeding the predetermined reference value if it is determined that tracking is necessary, analyzing the traffic transmitted from the source address, and then blocking the traffic exceeding the predetermined reference value. It is characterized by.

상기 제2단계는 소정의 기준치를 초과하는 트래픽의 근원지 IP 주소 및 목적지 IP 주소를 검출하고, 상기 근원지 IP주소가 위치하는 네트워크 상의 소정의 시스템에서 상기 근원지 IP 주소로부터 송신되는 트래픽을 서비스 포트 별로 분석한 후 소정의 기준치를 초과하는 트래픽을 차단하는 단계임이 바람직하다.The second step detects the source IP address and the destination IP address of the traffic exceeding a predetermined threshold, and analyzes the traffic transmitted from the source IP address for each service port in a predetermined system on the network where the source IP address is located. After that, it is preferable to block traffic exceeding a predetermined threshold.

상기 네트워크에서의 유해트래픽 탐지 및 대응 방법은 상기 제3단계의 유해 트래픽 탐지 및 대응 결과를 유해 트래픽 추적을 요구한 시스템에 통보하는 단계를 더 구비함이 바람직하다.The harmful traffic detection and response method in the network may further include notifying the system that requested the harmful traffic tracking of the harmful traffic detection and response result of the third step.

상기 다른 기술적 과제를 달성하기 위하여 본 발명에 따른 네트워크에서의 유해트래픽 탐지 및 대응 방법은, 분산된 적어도 둘 이상의 보안관리 영역을 포함하는 능동 네트워크 보안 프레임 워크에 있어서, 상기 보안관리 영역은 광역망의 접속점에 위치하여 보안기능을 수행하는 보안노드 시스템 및 보안관리 영역에서 발생한 보안위배 행위에 대해 대응하고 보안상태를 제어하는 보안관리 시스템을 포함할 때, 상기 보안노드 시스템으로 유입되는 트래픽의 변동을 감시하고, 소정의 기준치를 초과하는 트래픽 변동이 감지되면 이에 대한 이벤트 정보를 상기 보안관리 시스템으로 송신하는 제1단계; 보안관리 시스템으로 전달된 이벤트 정보로부터 유해 트래픽 추적 여부를 결정하고, 유해 트래픽 추적 센서를 생성하여 관리 도메인에 위치하는 보안노드 시스템으로 전송하는 제2단계; 및 소정의 기준치를 초과하는 트래픽 성분을 갖는 근원지 IP 주소와 목적지 IP 주소를 검출하고, 근원지 IP 주소가 위치하는 로컬 네트워크 상의 보안노드 시스템들에게 자신을 복제하여 전송하며, 해당 능동보안노드 시스템으로 이주한 후에는 해당 근원지 IP 주소에서 송신되는 트래픽을 서비스 포트 별로 분석한 후 소정의 기준치를 초과하는 트래픽을 검출하여 차단하는 제3단계를 포함함을 특징으로 한다.In order to achieve the above another technical problem, a method for detecting and responding to harmful traffic in a network according to the present invention includes an active network security framework including at least two distributed security management areas, wherein the security management area includes a wide area network. When a security node system including a security node system located at an access point and a security management system that responds to a security breach occurring in a security management area and controls a security state is monitored, changes in traffic flowing into the security node system are monitored. A first step of transmitting event information on the security management system when a traffic variation exceeding a predetermined reference value is detected; Determining whether harmful traffic is tracked from the event information delivered to the security management system, and generating a harmful traffic tracking sensor and transmitting the harmful traffic tracking sensor to a security node system located in the management domain; And detecting a source IP address and a destination IP address having a traffic component exceeding a predetermined threshold value, replicating and transmitting itself to the security node systems on the local network where the source IP address is located, and migrating to the corresponding active security node system. Afterwards, a third step of analyzing traffic transmitted from the corresponding source IP address for each service port and detecting and blocking traffic exceeding a predetermined reference value may be included.

상기 제2단계는 보안관리 시스템으로 전달된 이벤트 정보로부터 유해 트래픽 추적 여부를 결정하고, 유해 트래픽 추적 센서를 생성하여 관리 도메인에 위치하는 보안노드 시스템으로 전송하고 유해 트래픽 탐지 및 대응 결과를 해당 보안 관리 영역 내의 보안관리시스템으로 전달하는 단계이고, 유해 트래픽 탐지 및 대응 결과를 최초에 유해 트래픽 추적을 요구한 보안관리 시스템에게 전달하는 단계를 더 구비함이 바람직하다. 그리고 상기 이벤트 정보는 트래픽 감사 센서를 통해 보안관리 시스템으로 송신함이 바람직하다.The second step is to determine whether or not to track harmful traffic from the event information delivered to the security management system, create a harmful traffic tracking sensor and transmit it to the security node system located in the management domain, and the harmful traffic detection and response results to the corresponding security management It is preferable to further include the step of delivering to the security management system in the area, and the result of harmful traffic detection and response to the security management system that initially requested the harmful traffic tracking. The event information is preferably transmitted to the security management system through the traffic audit sensor.

그리고 상기 기재된 발명을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.A computer readable recording medium having recorded thereon a program for executing the invention described above is provided.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 들어 상세히 설명한다. 본 발명의 바람직한 실시예는 액티브 네트워크를 이용한 네트워크 보안 프레임 워크 상에서 동작된다. 따라서 액티브 네트워크를 이용한 네트워크 보안 프레임 워크에 대한 설명을 먼저 하기로 한다.Hereinafter, with reference to the accompanying drawings will be described in detail a preferred embodiment of the present invention. A preferred embodiment of the present invention operates on a network security framework using an active network. Therefore, the network security framework using the active network will be described first.

상술한 종래 기술의 문제점을 극복하기 위해 향후의 보안 기반 구조는 분산된 다수의 보안관리 영역간에 상호 협력적이고 결합적인 보안관리가 가능해야 하며, 새로운 보안 메커니즘 및 프로토콜을 쉽게 수용할 수 있는 유연하고 개방적인 보안 매커니즘을 제공할 수 있어야 한다. 이러한 보안환경의 변화에 따르는 요구사항을 반영할 수 있는 보안 기반 구조로서 액티브 네트워크를 이용한 능동보안 관리 프레임워크가 요청되고 있다. 즉 향후의 네트워크 보안 기반 구조는 단일 네트워크 내에서의 방어적인 보안 기능을 제공하는 현재의 보안 기반 구조를 광역 망에서 기능할 수 있도록 확장하고 새로운 보안 메커니즘을 보다 유연하고 동적으로 적용할 수 있는 능동적인 보안 기능을 제공할 수 있어야 하며, 네트워크 보안 환경 변화에 보다 민감하고 신속하게 대응할 수 있는 지능적인 보안 기능을 제공할 필요가 있다. In order to overcome the problems of the prior art described above, the future security infrastructure should be able to cooperatively and cooperatively manage security between multiple distributed security management areas, and be flexible and open to easily accommodate new security mechanisms and protocols. It should be able to provide security mechanisms. Active security management framework using active network is required as a security infrastructure that can reflect the requirements of the change of security environment. In other words, future network security infrastructures will proactively extend the current security infrastructure to provide wide-area networks that provide defensive security within a single network, and will be able to apply new security mechanisms more flexibly and dynamically. You need to be able to provide security, and you need to provide intelligent security that can respond more quickly and sensitively to changes in your network security environment.

먼저, 능동보안 기술에 대해 설명하기로 한다. 능동보안 기술에서의 요구조건을 만족시키기 위해 필요한 요소기술은 다음과 같다. 첫째로는, 제한적인 특정 내부망의 보안 관리에서 인터넷과 같은 광역 네트워크에서 동작하는 보안 관리 기능이다. 둘째로는, 보안관리영역(도메인) 간의 상호 결합적 협업 기능이다. 셋째로는, 새로운 공격에 대한 탐지 및 대응 메커니즘을 시스템의 변경 없이 동적으로 수용할 수 있으며, 실행이 가능한 유연한 보안 기반 구조이다. 네째로는, 네트워크 공격을 감행한 침입자를 파악하고 감시하며, 보안정책에 의해 네트워크로부터 고립화시키는 능동적인 대응 기술이다. 다섯째로는, 네트워크의 보안 상태를 적극적으로 감시하고, 보안환경 변화에 민감하게 반응하는 기능이다. 상기의 요구 조건을 만족하는 보안 메커니즘 및 프레임워크를 실현하기 위한 기술을 능동 보안 기술이라 말한다. 도 1은 능동보안관리 프레임워크 및 메카니즘을 도시한 것이다. First, the active security technology will be described. The necessary element technologies to satisfy the requirements of active security technology are as follows. The first is the security management function, which operates in wide area networks such as the Internet, in the security management of certain limited internal networks. Secondly, it is a mutually collaborative function between security management domains (domains). Third, it is a flexible security infrastructure that can dynamically adopt detection and response mechanisms for new attacks without changing the system. Fourth, it is an active response technology that identifies and monitors intruders who have executed network attacks and isolates them from the network by security policy. Fifth, it actively monitors the security status of the network and is sensitive to changes in the security environment. A technique for realizing a security mechanism and a framework that satisfies the above requirements is called an active security technique. 1 illustrates an active security management framework and mechanism.

다음으로 능동보안관리 프레임워크를 설명하기로 한다. 액티브 네트워크를 이용한 능동보안관리 프레임워크는 도 1에 도시한 바와 같이 가입자 네트워크 상에 액티브 네트워킹 기능을 제공하는 능동보안노드(100)와 이들을 제어하는 능동보안관리시스템(110)으로 구성되며, 논리적인 하나의 보안관리 도메인을 형성한다. 또한 각 보안 관리 도메인은 전체 네트워크 상에 분산적으로 배치되며 상호간의 연동 및 협업을 위한 별도의 관리 계층은 갖지 않는다. 즉, 모든 능동 보안 제어는 액티브 패킷을 통해 이루어지며 보안 도메인 간의 상호 연동과 협업 역시 액티브 패킷에 의해 수행된다. Next, the active security management framework will be described. An active security management framework using an active network is composed of an active security node 100 that provides an active networking function on a subscriber network as shown in FIG. 1 and an active security management system 110 that controls them. Form one security management domain. In addition, each security management domain is distributed across the entire network and does not have a separate management layer for interworking and collaboration. That is, all active security control is performed through active packets, and interworking and collaboration between security domains are also performed by active packets.

도 2는 능동보안 시스템 플랫폼(Platform) 구조를 도시한 것이다. 능동보안노드에는 도 2와 같이 이동 보안 센서를 수신하고 실행시킬 수 있는 능동센서(active sensor) 처리엔진이 탑재되며, 능동보안관리시스템에는 능동보안관리를 위한 응용프로그램(application)이 추가적으로 탑재된다. 능동보안관리 프레임워크의 각 구성요소에 대해 기술하고, 각각에 대한 주요 기능을 설명하면 다음과 같다.2 illustrates an active security system platform structure. The active security node is equipped with an active sensor processing engine capable of receiving and executing a mobile security sensor as shown in FIG. 2, and an active security management system is additionally equipped with an application for active security management. Each component of the active security management framework is described and the major functions for each are as follows.

먼저, 액티브 네트워킹(active networking)을 설명하기로 한다. 컴퓨터의 고성능화, 인터넷의 보급 및 WWW(World Wide Web)등의 새로운 네트워크 어플리케이션의 등장에 의해 네트워크 컴퓨팅이 비약적으로 발전하는 것에 반해 네트워크 상에서 노드 간의 통신 기반이 되는 네트워크 프로토콜의 발전은 매우 늦은 편이다. 이는 네트워크 간의 상호 운용성을 확보하기 위한 프로토콜 표준화가 새로운 기술 개발에 비해 매우 늦은 속도로 진행되기 때문이다. IETF, ISO 등 표준화 단체에 의한 표준화 작업에는 많은 노력과 시간이 소요되며 프로토콜이 규정되어도 실제 네트워크 상에 적용되어 운용되기까지는 더욱 많은 기간이 필요하다. 이러한 인터넷 상에서의 문제를 해결하기 위하여 DARPA(Defense Advanced Research Project Agency)에서는 유연하고 고기능을 제공하는 네트워크를 실현하기 위한 기술로 액티브 네트워크 개념을 제안했다.First, active networking will be described. The development of network protocols, which are the basis of communication between nodes on a network, is very slow, while the advances in computer computing, the spread of the Internet, and the emergence of new network applications, such as the World Wide Web. This is because protocol standardization to secure interoperability between networks is very slow compared to new technology development. Standardization work by standardization organizations such as IETF, ISO, etc. takes a lot of effort and time, and even if a protocol is specified, it takes more time to apply and operate on the actual network. In order to solve this problem on the Internet, Defense Advanced Research Project Agency (DARPA) proposed the concept of active network as a technology to realize a flexible and high-performance network.

액티브 네트워크란 패킷 스위칭 네트워크를 통해 전송되는 이동 프로그램을 실행할 수 있는 라우터나 스위치를 배치하여, 전송된 액티브 패킷에 포함되어 있는 이동 프로그램을 서비스 특성이나 사용자 요구에 따라 적합하게 연산, 처리할 수 있는 네트워크이다. 즉, 사용자에게 네트워크를 프로그래밍하는 능력을 부여하는 네트워크 아키텍처를 액티브 네트워크라고 한다. 능동보안관리 프레임워크의 네트워크 인프라(Infra)는 액티브 네트워크로 구성된다. 액티브 네트워크를 이용할 경우 네트워크 보안이 능동적으로 발전할 수 있는 이유는 크게 다음과 같다. 첫째, 네트워크 상의 라우터(Router)나 스위치들은 자신에게 전송된 보안 대응 프로그램을 특별한 프로토콜이 없이도 네트워크 처리 단계에서 인식하고 수행할 수 있다. 둘째, 보안 관리자는 각각의 노드에서 필요한 보안대응 부를 프로그래밍에 의해 제어 할 수 있다. 즉 네트워크 상에서의 보안 메커니즘을 보다 유동적이고 유연하게 배치하고 삭제할 수 있으며 다수의 네트워크 장비 및 보안장비를 분산 관리할 수 있다. An active network is a network in which a router or a switch capable of executing a mobile program transmitted through a packet switching network is arranged so that the mobile program included in the transmitted active packet can be appropriately calculated and processed according to service characteristics or user requirements. to be. In other words, the network architecture that gives the user the ability to program the network is called an active network. The network infrastructure (Infra) of the active security management framework consists of an active network. When using an active network, network security can be actively developed for the following reasons. First, routers or switches on a network can recognize and execute security response programs sent to them in a network processing step without a special protocol. Second, the security manager can programmatically control the security counterpart required in each node. In other words, security mechanisms on the network can be deployed and removed more flexibly and flexibly, and distributed network devices and security devices can be managed.

이는 제품 개발시 탑재된 보안 기능을 정해진 프로토콜에 의해 상호 연동시키며, 제한된 범위에서의 보안 기능만을 제공할 수 있었던 기존의 정적인 보안 메커니즘의 문제들을 해결할 수 있는 새로운 개념의 보안 메커니즘이다. 광역 네트워크 상에 분산적으로 설치되어있는 다수의 보안 노드에 대한 보안 제어 기능과 노드간의 협업 기능을 제공하는 능동적인 네트워크 보안 프레임워크를 제공하기 위해서는 보안 기능의 복잡한 계층 구조화와 이들간의 통신을 위한 다수의 프로토콜이 제공되어야 한다. 액티브 네트워크를 이용한 네트워크 보안 프레임워크에서는 프로토콜 대신 액티브 패킷을 이용하며, 보안 기능 자체를 액티브 패킷 내의 보안 대응 프로그램으로 전송하고 실행함으로써 보안 구조를 단순화시키고 네트워크 자원을 절약한다.It is a new concept of security mechanism that can solve the problems of the existing static security mechanism that can interlock the security functions installed in the product development by the specified protocol and provide only the limited security functions. In order to provide an active network security framework that provides security control and collaboration between nodes deployed in a wide-area network, a complex hierarchy of security functions and multiple communications for communication between them are required. Protocol should be provided. The network security framework using an active network uses active packets instead of protocols, which simplifies the security structure and saves network resources by transmitting and executing the security functions themselves to security counterparts in the active packets.

능동보안관리 실행 환경에 대해 설명한다. 액티브 네트워크에서 이동 보안 센서를 이용하여 네트워크의 보안상태를 관리하기 위해서는 보안관리 도메인 내의 각 보안 시스템에 네트워크 계층에서 이동 보안 센서를 인지하고 실행시킬 수 있는 기능이 탑재되어 있어야 한다. 또한 능동보안관리시스템에는 보안관리 기능을 수행하기 위한 능동보안관리 엔진이 탑재되어야 한다. 이처럼 능동보안관리 실행 환경은 이동 보안 센서 처리 블록과 능동보안관리 블록으로 구성된다.Describes the active security management execution environment. In order to manage the security status of the network by using the mobile security sensor in the active network, each security system in the security management domain must be equipped with a function for recognizing and executing the mobile security sensor at the network layer. In addition, the active security management system should be equipped with an active security management engine for performing security management functions. As such, the active security management execution environment consists of a mobile security sensor processing block and an active security management block.

이동보안센서 처리엔진을 설명하기로 한다. 도 3은 이동보안센서 처리 엔진 및 능동보안관리 엔진의 기능 블록을 도시한 것이며 각 블록의 기능은 다음과 같다. 능동패킷처리부(Active Packet Processing, 300)는 액티브 패킷 형태로 전송되는 이동 보안 센서를 네트워크 계층에서 인식하고 수신하여 이동 보안 센서 실행부로 전달하는 기능 및 새로이 생성된 이동 보안 센서를 능동 패킷으로 캡슐화하여 네트워크에 전송하는 기능을 수행한다. The mobile security sensor processing engine will be described. 3 illustrates functional blocks of a mobile security sensor processing engine and an active security management engine, and the functions of each block are as follows. The active packet processing unit 300 recognizes and receives the mobile security sensor transmitted in the form of an active packet at the network layer, passes it to the mobile security sensor execution unit, and encapsulates the newly created mobile security sensor into an active packet. Perform the function of sending to.

보안대응센서 실행부(Security Sensor Execution Enviornment, 320)는 능동패킷 처리부로부터 이동 보안 센서를 수신하여 제한된 컴퓨팅 자원 내에서 실행시키는 기능을 수행한다. 이때 실행되는 코드가 센서 내에 포함되어 있지 않은 경우에는 코드 서버에서 다운로드 받아 실행한다. 이동 보안 센서의 수행에 필요한 자원 할당과 새로이 생성된 이동 보안 센서를 네트워크에 전송 하는 기능은 하위 계층의 능동패킷 처리부에 요구한다. 이동보안센서(Mobile Security Sensor, 340)는 액티브 네트워크 내의 보안 노드에서 실제 수행되어야 하는 보안대응 정책 정보 또는 실행 프로그램이 저장되어 있는 실행 가능한 이동성 어플리케이션을 제공한다.The Security Sensor Execution Enviornment 320 performs a function of receiving a mobile security sensor from an active packet processor and executing the same within a limited computing resource. If the code to be executed is not included in the sensor, it is downloaded from the code server and executed. Resource allocation required for the execution of the mobile security sensor and the function of transmitting the newly created mobile security sensor to the network are required for the active packet processing unit of the lower layer. The mobile security sensor 340 provides an executable mobility application that stores security response policy information or an execution program that should be actually executed at a security node in an active network.

보안대응수행 인터페이스부(Security Enforcement Interface, 310)는 이동 보안 센서가 여러 이기종 노드의 보안 대응 기능을 일원적으로 제어하기 위한 추상화된 인터페이스를 제공하는 기능을 수행한다. 즉, 이동 보안 센서가 패킷 필터링 또는 블록킹과 같은 네트워크 노드에서 실질적으로 실행되는 보안 대응 기능을 제어하기 위한 통일적인 인터페이스들을 제공한다. 보안 대응 수행 인터페이스부는 각 네트워크 노드에서 제공되는 보안 대응 기능의 차이를 흡수하고, 공통된 본질적인 기능만을 추상화함으로써 통일된 이동 보안 센서 개발 방법을 제공한다.The Security Enforcement Interface 310 performs a function of providing an abstracted interface for the mobile security sensor to collectively control security response functions of various heterogeneous nodes. In other words, the mobile security sensor provides unified interfaces for controlling the security countermeasures that are substantially implemented at the network node, such as packet filtering or blocking. The security response performing interface unit absorbs the difference in security response functions provided by each network node and provides a unified mobile security sensor development method by abstracting only common essential functions.

능동보안관리엔진(330)은 능동보안관리시스템(Active Security Management System)에 탑재되는 어플리케이션 엔진이며, 보안 도메인 내의 각 보안 시스템으로부터 보고된 보안 위배 행위에 대해 능동 보안 대응을 수행함으로써 네트워크의 보안 상태를 자동적으로 제어하는 기능을 제공하는 소프트웨어 엔진이다. The active security management engine 330 is an application engine mounted in an active security management system. The active security management engine 330 performs an active security response to security violations reported from each security system in the security domain to monitor the security state of the network. It is a software engine that provides automatic control.

능동보안관리 기능은 이동 보안 센서를 생성하여 네트워크에 송신하거나 수신된 이동 보안 센서를 실행함으로써 발생하는 보안 대응 행위에 대한 모든 정보를 관리한다. 또한 네트워크에 전송한 보안 대응 센서로부터 수집되는 네트워크 보안 상태 정보를 관리하고 이에 대한 보안 대응 부(이동 보안 센서)을 네트워크에 제공함으로써 네트워크 차원의 보안 상태를 동적으로 제어하고 관리한다. 도 4는 능동보안관리 센서의 기능구조를 도시한 것이며 각 기능은 다음과 같다. The active security management function manages all the information on the security response behavior generated by generating the mobile security sensor and transmitting it to the network or executing the received mobile security sensor. In addition, the network security status information collected from the security response sensor transmitted to the network is managed and a security response unit (mobile security sensor) is provided to the network to dynamically control and manage the network-level security status. 4 shows a functional structure of an active security management sensor, and each function is as follows.

보안 위배 이벤트 정합부(Security Alert I/F, 400)는 보안 관리 도메인에 설치되어 있는 침입탐지 시스템 또는 방화벽과 같은 보안 시스템으로부터 송신되는 경보 데이터를 실시간으로 수집하는 기능을 수행한다. COPS, IAP, SNMP 등 개발사 별로 다양한 프로토콜을 통해 전송되는 경보 데이터를 수집하기 위해 각 프로토콜을 정합하기 위한 다중 프로토콜 정합 기능을 제공한다.The security violation event matching unit (Security Alert I / F) 400 collects in real time the alert data transmitted from a security system such as an intrusion detection system or a firewall installed in the security management domain. Multi-protocol matching is provided to match each protocol to collect alarm data transmitted through various protocols such as COPS, IAP, and SNMP.

보안 정책 결정부(Security Policy Decision, 410)는 탐지된 보안 위반 행위에 대해 어떠한 대응 부를 실행할 것인가를 판단하는 기능을 수행한다. 보안대응실행부(Security Response, 420)는 침입자 역 추적, 침입자 고립화, 패킷 블록킹 등과 같은 실질적인 대응을 실행하기 위한 센서를 생성하여 결정된 보안정책을 네트워크에 배포하는 기능을 수행한다. 센서 관리부(Sensor Manager, 430)는 네트워크에 송수신되는 모든 센서의 정보 및 수행 상태를 데이터베이스시스템에 저장하고 관리하는 기능을 수행한다. 센서 정보를 관리함으로써 타 도메인에 요청한 보안 대응 상태를 파악할 수 있다. 이벤트 관리부(Event Manager, 440)는 이동 보안 센서 처리 엔진과 송수신 센서에 대한 정보를 교환하기 위한 메시지 처리 및 관리 기능을 수행한다. 즉, 보안정책결정에 의해 전송하여야 하는 센서에 재한 정보 및 타 도메인으로부터 수신된 센서에 대한 정보를 이동 보안 센서 처리 엔진과 교환하기 위한 기능 모듈이다. 관리자정합부(Security Manager GUI I/F, 450)는 보안관리자에게 보안 관리 상태를 보고하고, 관리자의 수동적인 개입을 수용하여 보안 메커니즘에 적용시키는 기능을 수행한다.The security policy decision unit 410 performs a function of determining which counterpart to execute in response to the detected security violation. The security response execution unit 420 performs a function of distributing the determined security policy to the network by generating a sensor for executing a substantial response such as intruder tracking, intruder isolation, packet blocking, and the like. The sensor manager 430 stores and manages information and execution states of all sensors transmitted and received on the network in a database system. By managing sensor information, it is possible to grasp the security response status requested from other domains. The event manager 440 performs a message processing and management function for exchanging information about a transmission / reception sensor with a mobile security sensor processing engine. That is, it is a functional module for exchanging information on the sensor to be transmitted by security policy decision and information on the sensor received from another domain with the mobile security sensor processing engine. The manager matching unit (Security Manager GUI I / F, 450) reports the security management status to the security manager and accepts the administrator's manual intervention and applies it to the security mechanism.

능동보안관리 시나리오에 관해 설명하기로 한다. 액티브 네트워크를 이용한 능동보안 프레임워크 상에서 동작하는 능동 보안 기능의 한 예인 위조된 IP 역추적(Spoofed IP Trace back)에 대해 기술한다. Spoofed IP 공격은 대다수의 DDoS 공격에서 이용되는 수법으로 패킷 내의 근원지 IP 주소를 위조하여 침입 근원지를 속이는 공격 방법이다. 제안하는 시나리오에서는 이러한 한 공격에 실제 패킷의 송신자를 추적하여 네트워크로부터 고립화 시키기기 위한 역추적 메카니즘이다. An active security management scenario will be described. It describes a spoofed IP trace back, which is an example of an active security function operating on an active security framework using an active network. Spoofed IP attacks are a technique used in most DDoS attacks to deceive the intrusion source by forging the source IP address in the packet. The proposed scenario is a traceback mechanism for tracking the sender of the actual packet and isolating it from the network.

이를 실현하기 위해 각 보안영역(Secure Domain)의 망 접속 점(Edge Point)에 설치된 능동보안노드(MoSE : Mobile Security Engine)에서는 Ingress Filtering 기능을 수행하여 해커에 의한 타 도메인의 IP 주소 위조 및 조작을 사전에 방지하도록 하여 IP Spoofing 가능 범위를 하나의 보안 도메인 내부로 한정시킨다. 도 5는 액티브 네트워크를 이용한 능동보안관리 프레임워크에서의 Spoofed IP 역 추적 메커니즘 및 기능절차를 도시한 것이다.In order to realize this, Active Security Node (MoSE: Mobile Security Engine) installed in Edge Point of each Secure Domain performs Ingress Filtering function to prevent forgery and manipulation of IP addresses of other domains by hackers. Prevent it in advance to limit the scope of IP spoofing to one security domain. FIG. 5 illustrates a spoofed IP reverse tracking mechanism and functional procedure in an active security management framework using an active network.

상기 시나리오에 대한 일련의 절차는 다음과 같다. 제1단계는 IP 주소 위장단계로서, 보안영역(Secure Domain) A에 위치한 해커(Hacker) A는 같은 도메인에 위치하는 호스트A의 IP주소를 자신의 IP 주소로 위조한다. 제2단계는 타 도메인에 있는 서버 공격단계로서, 보안영역(Secure Domain) B에 위치하는 서버 B에게 flood 계열의 DoS(Denial of Service) 공격을 시도한다. 제3단계는 침입탐지 경보 전달로서, 보안영역 B에 존재하는 SGS_IDS는 공격을 감지하여 침입탐지 경보를 능동보안관리시스템 B(ASMS-B)로 송신하며, 여기서 침입탐지 경보에는 탐지된 유해 패킷에 대한 축약정보 및 탐지 정보가 포함되어 있다. 제4단계는 패킷 차단(block) 센서 전송단계로서, 능동보안관리시스템 B(ASMS-B)는 수신된 침입탐지 경보로부터 유해 패킷의 송신 근원지 IP주소(위조당한 호스트A의 IP 주소)를 검출하고, 해당 IP 주소로부터의 유해 패킷 유입을 차단하기 위해 패킷 차단 센서를 생성한 후 자신의 도메인 접속 점에 위치하는 MoSE-B로 패킷 차단 센서를 전송한다. 제5단계는 패킷 차단 센서 실행단계로서, 패킷 차단 센서를 수신한 MoSE-B는 수행환경을 통해 수신된 블록킹 센서를 실행하여 유해 패킷의 유입을 차단하도록 한다. 따라서 MoSE-B는 해커의 위조 패킷은 물론 IP 주소를 위조 당한 호스트A의 정상적인 패킷까지 차단된다. 제6단계는 역추적 센서 전송단계로서, 능동보안관리시스템 B(ASMS-B)는 (단계 3)에 의해 수신된 침입탐지 경보 데이터를 참조하여 유해 패킷을 송신한 근원지 IP 주소를(보안영역 A의 호스트A 근원지 IP주소) 목적지 주소로 하여 역추적 센서를 생성하여 전송한다. 제7단계는 역추적 센서 실행단계로서 상기 제6단계에서 송신한 역추적 센서는 보안영역 A의 접속 점에 위치하는 MoSE-A에서 수신되어 실행된다. 역추적 센서는 로깅 센서에 의해 기록된 Outgoing 이더넷 프레임 축약 정보를 검색하여 유해 패킷 정보와 일치하는 로그 정보를 추출한 후, 로그 정보에 기록된 Mac 근원지 주소와 ARP 테이블에 저장된 IP 주소를 비교하여 위조 여부 및 실제 근원지 IP 주소를 파악한다. 제8단계는 역추적 센서 실행 결과 보고 단계로서, 역추적 의뢰 정보, 성공 여부,파악된 근원지 주소 등의 정보를 해당 도메인에 위치하는 ASMS-A로 송신한다. 제9단계는 침입자 고립을 위한 패킷 차단 센서 전송 단계로서, 역추적 센서 실행 결과를 수신한 ASMS-A는 파악된 근원지 주소로부터의 패킷 송신을 원천 봉쇄하기 위해서 탐지된 부정 사용자의 MAC 근원지 주소로부터의 패킷 포워딩을 차단하는 패킷 블록킹 센서를 MoSE-A에게 전송한다. 제10단계는 침입자 원천봉쇄 결과 보고 단계로서, 능동보안관리시스템 A(ASMS-A)는 역추적을 의뢰한 능동보안관리시스템 B(ASMS-B)로 최종 역추적 결과 및 대응 정보를 전송한다. 제11단계는 정상적인 패킷에 대한 세션 복구를 위한 차단 해제 센서를 전송하는 단계로서, ASMS-B는 단계 5에서 IP 주소를 위조 당한 호스트A의 정상적인 패킷까지 차단한 세션을 복구하기 위해 차단 해제 센서를 생성하여, MoSE-B로 차단 해제 센서를 전송한다. 제12단계는 정상적인 패킷에 대한 세션 복구를 위한 차단 해제 센서 실행하는 단계로서, 차단 해제 센서를 수신한 MoSE-B는 단계 5에서 IP 주소를 위조를 당한 호스트A의 정상적인 패킷을 차단한 세션을 복구한 후, 복구된 결과를 ASMS-B로 통보한다. 따라서 MoSE-B는 해커의 위조 패킷 및 해커의 근원지 IP 주소로부터의 패킷 유입은 검출되지 않고 위조 당한 호스트 IP 주소로부터의 정당한 패킷 유입은 허락된다. 제13단계는 보안관리자에 통보하는 단계로서, ASMS-B는 제10단계 및 제12단계에서 수신된 역추적 보고센서의 정보를 보안관리자에게 통보한다.The set of procedures for the scenario is as follows. The first step is an IP address masquerading step. Hacker A located in Secure Domain A falsifies the IP address of Host A located in the same domain as its IP address. The second step is a server attack step in another domain, and attempts a flood series DoS (Denial of Service) attack to server B located in a secure domain B. The third step is intrusion detection alert transmission. SGS_IDS in security zone B detects an attack and sends an intrusion detection alert to the active security management system B (ASMS-B), where the intrusion detection alert is sent to the detected harmful packet. It contains abbreviated information and detection information about the system. In the fourth step, the packet block sensor is transmitted. The active security management system B (ASMS-B) detects the source IP address (the IP address of the forged host A) of the harmful packet from the received intrusion detection alert. In order to block harmful packets from the IP address, it creates a packet blocking sensor and sends the packet blocking sensor to MoSE-B located at its domain access point. In the fifth step, the packet blocking sensor is executed, and the MoSE-B receiving the packet blocking sensor executes the blocking sensor received through the execution environment to block the inflow of harmful packets. Therefore, MoSE-B blocks not only the hacker's counterfeit packet, but also the normal packet of Host A forged IP address. The sixth step is a traceback sensor transmission step, where the active security management system B (ASMS-B) refers to the source IP address that transmitted the harmful packet by referring to the intrusion detection alert data received by (step 3) (security area A). Host A source IP address of) Creates and sends the backtracking sensor as the destination address. The seventh step is a backtracking sensor execution step. The backtracking sensor transmitted in the sixth step is received and executed by MoSE-A located at the access point of the secure area A. The traceback sensor retrieves outgoing Ethernet frame reduction information recorded by the logging sensor, extracts log information that matches harmful packet information, and compares the MAC origin address recorded in the log information with the IP address stored in the ARP table. And the actual source IP address. The eighth step is to report the execution result of the traceback sensor, and transmits the traceback request information, the success or failure, and the obtained source address to the ASMS-A located in the corresponding domain. The ninth step is the transmission of packet blocking sensor for intruder isolation. The ASMS-A receiving the traceback sensor execution result from the MAC source address of the detected fraudulent user to block the transmission of the packet from the identified source address. Send a packet blocking sensor that blocks packet forwarding to MoSE-A. The tenth step is to report the result of infiltrating the intruder, and the active security management system A (ASMS-A) transmits the final traceback result and the corresponding information to the active security management system B (ASMS-B) that requested backtracking. The eleventh step is to transmit an unblocking sensor for session recovery for a normal packet. In step 5, ASMS-B uses an unblocking sensor to recover a session that blocked a normal packet of a host A forged with an IP address. Create and send an unblocking sensor to MoSE-B. The twelfth step is to execute an unblocking sensor for session recovery for a normal packet, and the MoSE-B receiving the unblocking sensor recovers a session that blocks a normal packet of the host A that has been forged an IP address in step 5. After that, notify the ASMS-B of the recovered result. Therefore, MoSE-B does not detect hacker's forged packet and packet inflow from hacker's source IP address, and allows for just packet inflow from forged host IP address. The thirteenth step is a step of notifying the security manager. The ASMS-B notifies the security manager of information of the traceback report sensor received in the tenth and twelfth steps.

한편, 본 발명에 따른 유해트래픽 탐지 및 대응 시스템 및 그 방법을 상세히 설명하기로 한다. 도 6은 본 발명에 따른 유해 트래픽 탐지 및 대응 시스템이 기능하기 위한 액티브 네트워크를 이용한 네트워크 보안 프레임워크와 망 구성을 도시한 것이다. 상기 액티브 네트워크를 이용한 네트워크 보안 프레임워크 및 망은 적어도 둘 이상의 보안관리 영역을 포함하며 분산되어 있다. 도 6에서는 상기 보안관리 영역은 3개 도시되어 있으며, 광역 망의 접속점에 위치하여 보안기능을 수행하는 능동보안노드시스템(600, 620, 630) 및 보안관리 영역에서 발생한 보안위배 행위에 대해 대응하고 보안상태를 제어하는 능동보안관리 시스템(610, 640, 650)을 포함한다.Meanwhile, a harmful traffic detection and response system and a method thereof according to the present invention will be described in detail. 6 illustrates a network security framework and a network configuration using an active network for functioning a harmful traffic detection and response system according to the present invention. The network security framework and network using the active network include at least two security management areas and are distributed. In FIG. 6, three security management areas are shown, corresponding to active security node systems 600, 620, and 630 that perform security functions located at access points of a wide area network, and respond to security violations occurring in the security management area. Active security management system (610, 640, 650) for controlling the security status.

도 7은 본 발명에 따른 유해 트래픽 탐지 및 대응 시스템을 블록도로 도시한 것으로서, 트래픽 모니터링부(700), 유해 트래픽 추적관리부(710), 유해트래픽 추적부(720) 및 유해트래픽 차단보고부(730)로 이루어진다. 7 is a block diagram illustrating a harmful traffic detection and response system according to the present invention, and includes a traffic monitoring unit 700, a harmful traffic tracking management unit 710, a harmful traffic tracking unit 720, and a harmful traffic blocking report unit 730. )

상기 트래픽 모니터링부(700)는 네트워크의 접속점에 위치하는 능동보안노드 시스템(600, 620, 630)에서 실행되며, 광역 망의 접속 점에 위치하는 능동보안노드 시스템(600, 620, 630)으로 유입되는 트래픽의 변동을 주기적으로 감시하고, 사전에 설정한 기준치를 초과하는 트래픽 변동이 감지되면 이에 대한 이벤트 정보를 트래픽 감사 센서를 통해 능동보안관리 시스템(610, 640, 650)으로 송신한다. 상기 기준치는 월별, 일별, 시간대 별로 구성된 트래픽 임계수치(threshold)가 될 수 있으며, 상기 임계수치와 비교 분석한다.The traffic monitoring unit 700 is executed in the active security node system 600, 620, 630 located at the access point of the network, and flows into the active security node system 600, 620, 630 located at the access point of the wide area network. It periodically monitors the change in traffic, and if the traffic change exceeding a preset threshold is detected, event information about the traffic is transmitted to the active security management system 610, 640, 650 through the traffic audit sensor. The reference value may be a traffic threshold configured for monthly, daily, and time zones, and is compared with the threshold.

상기 유해트래픽 추적관리부(710)는 능동보안관리시스템(610, 640, 650)에서 실행되며, 상기 능동보안관리시스템으로 전달된 트래픽 감사 센서의 이벤트 정보로부터 유해 트래픽 추적 여부를 결정하고, 유해트래픽 추적부(720)를 생성하여 관리 도메인에 위치하는 능동보안노드시스템(600)으로 전송한다.The harmful traffic tracking management unit 710 is executed in the active security management system (610, 640, 650), and determines whether to track harmful traffic from the event information of the traffic audit sensor delivered to the active security management system, harmful traffic tracking The unit 720 is generated and transmitted to the active security node system 600 located in the management domain.

상기 유해트래픽 추적부(720)는 고정형 및 이동형으로 구현될 수 있으며, 이동형일 경우 능동보안관리시스템(610, 640, 650) 및 능동보안노드 시스템(600, 620, 630) 간에 이동한다. 상기 유해트래픽 추적부(720)는 사전에 설정한 기준치를 초과하는 트래픽 성분을 갖는 IP 주소(근원지 IP 주소와 목적지 IP 주소의 쌍)를 검출하고, 근원지 IP 주소가 위치하는 네트워크에 위치하는 능동보안노드 시스템(620)으로 이주하여, 해당 근원지 IP 주소에서 송신되는 트래픽을 세션별로 분석한 후 사전에 설정한 기준치를 초과하는 세션 트래픽을 검출하여 차단하고 유해 트래픽 탐지 및 대응 결과를 해당 보안 관리 영역 내의 능동보안관리 시스템(640)으로 전달한다.The harmful traffic tracking unit 720 may be implemented in a fixed type and a mobile type, and moves between the active security management systems 610, 640, and 650 and the active security node systems 600, 620, and 630 in the mobile type. The harmful traffic tracking unit 720 detects an IP address (a pair of a source IP address and a destination IP address) having a traffic component exceeding a preset reference value, and active security located in a network where the source IP address is located. After migrating to the node system 620, the traffic transmitted from the corresponding source IP address is analyzed for each session, and the session traffic exceeding the preset threshold is detected and blocked, and the harmful traffic detection and response results are stored in the security management area. Transfer to the active security management system 640.

상기 유해트래픽 차단보고부(730)는 유해트래픽 탐지 및 대응 결과를 최초에 유해트래픽 추적을 요구한 능동보안관리 시스템(610)에게 통보한다.The harmful traffic blocking report unit 730 notifies the active security management system 610 that initially requested harmful traffic tracking of harmful traffic detection and response results.

다음으로 도 8은 본 발명에 따른 유해트래픽 탐지 및 대응 시스템의 동작을 설명하기 위한 절차를 도시한 것으로서, 도 8을 참조하여 그 동작을 설명하기로 한다. 도 8에 도시한 바와 같이 네트워크의 접속점에 위치하는 능동보안노드 시스템(800)에서 실행되고 있는 트래픽 모니터링부(700)는 능동보안노드 시스템(800)으로 유입되는 트래픽의 변동을 주기적으로 감시하고, 월별, 일별, 시간대 별로 구성된 트래픽 임계수치(threshold)와 비교 분석한 결과 기준치를 초과하는 트래픽 변동이 감지되면 이에 대한 이벤트 정보를 트래픽 감사 센서를 통해 능동보안관리 시스템으로 송신한다.(1단계) 능동보안관리 시스템에서 실행되고 있는 유해트래픽 추적관리부(710)는 전달된 트래픽 감사 센서의 이벤트 정보로부터 근원지 주소와 네트워크 침입탐지 경보 및 블랙리스트 조회 등을 통해 유해 트래픽 추적 여부를 결정하고, 유해 트래픽 추적부(720)를 생성하여 트래픽 감사 센서를 전달한 능동보안노드 시스템(800)으로 송신한다.(2단계) Next, FIG. 8 illustrates a procedure for explaining the operation of the harmful traffic detection and response system according to the present invention, and the operation thereof will be described with reference to FIG. 8. As illustrated in FIG. 8, the traffic monitoring unit 700 executed in the active security node system 800 located at an access point of the network periodically monitors the traffic flowing into the active security node system 800. As a result of comparing and analyzing the traffic threshold configured by monthly, daily and time zone, if the traffic variation exceeding the threshold is detected, event information about this is transmitted to the active security management system through the traffic audit sensor. The harmful traffic tracking management unit 710 running in the security management system determines whether to track harmful traffic through source address, network intrusion detection alert, and blacklist inquiry from the event information of the transmitted traffic audit sensor. 720 generated and transmitted to the active security node system 800 that delivered the traffic audit sensor (Step 2)

능동보안노드 시스템(800)으로 전달된 유해트래픽 추적부(710)는 능동보안노드 시스템(800)으로 유입되는 트래픽을 IP 주소 단위(근원지 IP 주소와 목적지 IP 주소의 쌍)로 분석하고, 보안관리자에 의해 설정된 IP 트래픽 임계수치를 초과하는 유해 IP 주소들을 검출한다. 또한 검출된 유해 IP 주소들을 참조하여 해당 유해 IP 주소의 네트워크에 위치하는 각 능동보안노드 시스템(820)으로 자신을 복제하여 이동한다. 상기 기능 절차에 의해 각 능동보안노드 시스템으로 전달되어 수행되는 유해 트래픽 추적부(710)는 해당 유해 IP 주소로부터의 트래픽을 세션 단위로 분석한 후 보안관리자가 설정한 기준치를 초과하는 세션 트래픽을 검출하여 해당 세션 트래픽을 차단한다. 또한 유해 트래픽 탐지 및 대응 결과를 능동보안관리 시스템으로 통보하기 위해 능동보안관리 시스템(830)으로 이동한다.(3단계) 능동보안관리 시스템에서 실행되고 있는 유해트래픽 추적관리부(710)가 상기 유해트래픽 추적부(720)를 통해 유해 트래픽 탐지 및 대응 결과를 수신하면 센서의 정보를 참조하여 최초에 유해 트래픽 추적을 요구한 능동보안관리 시스템(810)으로 유해 트래픽 차단 보고부(730)를 생성하여 전달한다.(4단계) The harmful traffic tracking unit 710 transmitted to the active security node system 800 analyzes the traffic flowing into the active security node system 800 in IP address units (pair of source IP address and destination IP address), and the security manager. Detects harmful IP addresses exceeding the IP traffic threshold set by the PDU. In addition, by copying itself to each active security node system 820 located in the network of the harmful IP address with reference to the detected harmful IP address. The harmful traffic tracking unit 710, which is delivered to each active security node system by the function procedure, analyzes traffic from the corresponding harmful IP address in units of sessions, and then detects session traffic that exceeds a threshold set by the security manager. To block the corresponding session traffic. In addition, to notify the active security management system of the harmful traffic detection and response results, it moves to the active security management system 830. (3) The harmful traffic tracking management unit 710 running in the active security management system is the harmful traffic. When the harmful traffic detection and response result is received through the tracking unit 720, the harmful traffic blocking report unit 730 is generated and forwarded to the active security management system 810 that initially requested the harmful traffic tracking by referring to the sensor information. (Step 4)

한편, 상기 트래픽 모니터링부(700), 유해 트래픽 추적관리부(710), 유해트래픽 추적부(720) 및 유해트래픽 차단보고부(730)는 소프트웨어적으로 구현하고자 할 수 있으며, 예를 들어 객체지향 프로그래밍 언어인 자바(Java)로 구현할 때에는 트래픽 모니터링 센서(700), 유해 트래픽 추적관리 센서(710), 유해트래픽 추적 센서(720) 및 유해트래픽 차단보고 센서(730)로 명명하기도 한다. On the other hand, the traffic monitoring unit 700, harmful traffic tracking management unit 710, harmful traffic tracking unit 720 and harmful traffic blocking report unit 730 may be implemented in software, for example, object-oriented programming When the language is implemented in Java, the traffic monitoring sensor 700, the harmful traffic tracking management sensor 710, the harmful traffic tracking sensor 720, and harmful traffic blocking report sensor 730 may be called.

상술한 바와 같이 본 발명은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록시스템을 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장시스템 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. As described above, the present invention can be embodied as computer readable codes on a computer readable recording medium. Computer-readable recording media include all types of recording systems in which data is stored that can be read by a computer system. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage system, and the like, and may also be implemented in the form of a carrier wave (for example, transmission over the Internet). Include. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

따라서 상술한 본 발명에 따르면, 네트워크 자원 및 서비스를 고갈시키는 대역폭 소모형 분산 서비스 거부 공격과 같은 유해 트래픽을 조기에 탐지하고, 유해 트래픽 근원지를 추적하여 원천봉쇄하는 기능을 제공함으로써 시스템 보호 및 네트워크 자원 보호의 기능을 제공할 수 있다.Therefore, according to the present invention described above, system protection and network resources by providing a function to detect harmful traffic early, such as bandwidth-consuming distributed denial-of-service attacks that deplete network resources and services, and trace the source of harmful traffic. It can provide a function of protection.

도 1은 능동보안관리 프레임워크 및 메카니즘을 도시한 것이다. 1 illustrates an active security management framework and mechanism.

도 2는 능동보안 시스템 플랫폼(Platform) 구조를 도시한 것이다. 2 illustrates an active security system platform structure.

도 3은 이동보안센서 처리 엔진 및 능동보안관리 엔진의 기능 블록을 도시한 것이다.3 illustrates functional blocks of a mobile security sensor processing engine and an active security management engine.

도 4는 능동보안관리 센서의 기능구조를 도시한 것이다.4 illustrates a functional structure of an active security management sensor.

도 5는 액티브 네트워크를 이용한 능동보안관리 프레임워크에서의 위장된(Spoofed) IP 역 추적 메커니즘 및 기능절차를 도시한 것이다.5 illustrates a spoofed IP reverse tracking mechanism and functional procedure in an active security management framework using an active network.

도 6은 본 발명에 따른 유해 트래픽 탐지/대응 시스템이 기능하기 위한 액티브 네트워크를 이용한 네트워크 보안 프레임워크와 망 구성을 도시한 것이다.6 illustrates a network security framework and a network configuration using an active network for functioning a harmful traffic detection / response system according to the present invention.

도 7은 본 발명에 따른 유해 트래픽 탐지 및 대응 시스템을 블록도로 도시한 것이다.7 is a block diagram illustrating a harmful traffic detection and response system according to the present invention.

도 8은 본 발명에 따른 유해트래픽 탐지 및 대응 시스템의 동작을 설명하기 위한 절차를 도시한 것이다.8 shows a procedure for explaining the operation of the harmful traffic detection and response system according to the present invention.

Claims (9)

분산된 적어도 둘 이상의 보안관리 영역을 포함하는 능동 네트워크 보안 프레임 워크에 있어서,In the active network security framework comprising at least two security management areas distributed, 상기 보안관리 영역은 광역 망의 접속점에 위치하여 보안기능을 수행하는 보안노드 시스템 및 보안관리 영역에서 발생한 보안위배 행위에 대해 대응하고 보안상태를 제어하는 보안관리 시스템을 포함할 때,The security management area includes a security node system located at an access point of a wide area network to perform a security function, and a security management system for responding to a security violation act occurring in the security management area and controlling a security state. 상기 보안노드 시스템으로 유입되는 트래픽의 변동을 감시하고, 소정의 기준치를 초과하는 트래픽 변동이 감지되면 이에 대한 이벤트 정보를 당해 보안관리 영역의 보안관리 시스템으로 송신하는 트래픽 모니터링부;A traffic monitoring unit that monitors a change in traffic flowing into the security node system and transmits event information about the traffic change exceeding a predetermined reference value to a security management system of the security management area; 상기 보안관리 시스템으로 전달된 이벤트 정보로부터 유해 트래픽 추적 여부를 결정하고, 이를 당해 보안노드 시스템으로 전송하는 유해트래픽 추적관리부; 및A harmful traffic tracking management unit for determining whether to track harmful traffic from the event information transmitted to the security management system and transmitting the harmful traffic to the security node system; And 소정의 기준치를 초과하는 트래픽 성분을 갖는 근원지 IP 주소와 목적지 IP 주소를 검출하고, 근원지 IP 주소가 위치하는 보안관리 영역에 위치하는 보안노드 시스템 상에서, 상기 근원지 IP 주소에서 송신되는 트래픽을 분석한 후 소정의 기준치를 초과하는 트래픽을 검출하여 차단하고 유해 트래픽 탐지 및 대응 결과를 해당 보안 관리 영역 내의 보안관리 시스템으로 전달하는 유해트래픽 추적부를 포함함을 특징으로 하는 네트워크에서의 유해패킷 탐지 및 대응 시스템.Detect the source IP address and the destination IP address having a traffic component exceeding a predetermined threshold, and analyze the traffic transmitted from the source IP address on the security node system located in the security management area where the source IP address is located. And a harmful traffic tracking unit for detecting and blocking traffic exceeding a predetermined threshold and transmitting harmful traffic detection and response results to a security management system in a corresponding security management area. 제1항에 있어서, The method of claim 1, 유해 트래픽 탐지 및 대응 결과를 최초에 유해 트래픽 추적을 요구한 능동보안관리 시스템에게 통보하는 유해트래픽 차단보고부를 더 구비함을 특징으로 하는 네트워크에서의 유해트래픽 탐지 대응 시스템.A harmful traffic detection response system in the network, further comprising: a harmful traffic blocking report unit for notifying the active security management system that initially requested harmful traffic tracking results of harmful traffic detection and response. 네트워크의 트래픽의 변동을 감시하여 소정이 기준치를 초과하는 트래픽 변동이 감지되면 이에 대한 이벤트정보를 송신하는 제1단계; A first step of monitoring a change in traffic of the network and transmitting event information on a change in traffic exceeding a predetermined value; 상기 이벤트정보를 수신하여 유해 트래픽 추적 여부를 결정하는 제2단계; 및A second step of determining whether to track harmful traffic by receiving the event information; And 추적이 필요하다고 판단되면, 상기 소정의 기준치를 초과하는 트래픽의 근원지 주소를 검출하고, 상기 근원지 주소에서 송신되는 트래픽을 분석한 후 소정의 기준치를 초과하는 트래픽을 차단하는 제3단계를 포함함을 특징으로 하는 네트워크에서의 유해패킷 탐지 및 대응 방법.If it is determined that tracking is necessary, detecting the source address of the traffic exceeding the predetermined threshold, analyzing the traffic transmitted from the source address, and blocking the traffic exceeding the predetermined threshold. A method for detecting and responding to harmful packets in a network. 제3항에 있어서, 상기 제2단계는The method of claim 3, wherein the second step 소정의 기준치를 초과하는 트래픽의 근원지 IP 주소 및 목적지 IP 주소를 검출하고, 상기 근원지 IP주소가 위치하는 네트워크 상의 소정의 시스템에서 상기 근원지 IP 주소로부터 송신되는 트래픽을 분석한 후 소정의 기준치를 초과하는 트래픽을 차단하는 단계임을 특징으로 하는 네트워크에서의 유해패킷 탐지 및 대응 방법.Detects the source IP address and the destination IP address of the traffic that exceeds a predetermined threshold, analyzes the traffic transmitted from the source IP address in a predetermined system on the network where the source IP address is located, and then exceeds the predetermined threshold. A harmful packet detection and response method for a network, characterized in that the step of blocking traffic. 제4항에 있어서, The method of claim 4, wherein 상기 제3단계의 유해 트래픽 탐지 및 대응 결과를 유해 트래픽 추적을 요구한 시스템에 통보하는 단계를 더 구비함을 특징으로 하는 네트워크에서의 유해패킷 탐지 및 대응 방법.And notifying the system that requested the harmful traffic tracking of the harmful traffic detection and response result of the third step. 분산된 적어도 둘 이상의 보안관리 영역을 포함하는 능동 네트워크 보안 프레임 워크에 있어서,In the active network security framework comprising at least two security management areas distributed, 상기 보안관리 영역은 광역망의 접속점에 위치하여 보안기능을 수행하는 보안노드 시스템 및 보안관리 영역에서 발생한 보안위배 행위에 대해 대응하고 보안상태를 제어하는 보안관리 시스템을 포함할 때,When the security management area includes a security node system located at an access point of a wide area network to perform a security function, and a security management system that responds to security violations occurring in the security management area and controls the security state, 상기 보안노드 시스템으로 유입되는 트래픽의 변동을 감시하고, 소정의 기준치를 초과하는 트래픽 변동이 감지되면 이에 대한 이벤트 정보를 상기 보안관리 시스템으로 송신하는 제1단계;Monitoring a change in traffic flowing into the security node system and transmitting event information on the change to the security management system when a change in traffic exceeding a predetermined threshold is detected; 보안관리 시스템으로 전달된 이벤트 정보로부터 유해 트래픽 추적 여부를 결정하고, 유해 트래픽 추적 센서를 생성하여 관리 도메인에 위치하는 보안노드 시스템으로 전송하는 제2단계; 및Determining whether harmful traffic is tracked from the event information delivered to the security management system, and generating a harmful traffic tracking sensor and transmitting the harmful traffic tracking sensor to a security node system located in the management domain; And 소정의 기준치를 초과하는 트래픽 성분을 갖는 근원지 IP 주소와 목적지 IP 주소를 검출하고, 근원지 IP 주소가 위치하는 로컬 네트워크 상의 보안노드 시스템들에게 자신을 복제하여 전송하며, 해당 능동보안노드 시스템으로 이주한 후에는 해당 근원지 IP 주소에서 송신되는 트래픽을 서비스 포트 별로 분석한 후 소정의 기준치를 초과하는 트래픽을 검출하여 차단하는 제3단계를 포함함을 특징으로 하는 네트워크에서의 유해트래픽 탐지 및 대응 방법.After detecting the source IP address and the destination IP address having the traffic component exceeding the predetermined threshold value, and replicating itself to the security node systems on the local network where the source IP address is located, and migrating to the corresponding active security node system And a third step of analyzing traffic transmitted from the corresponding source IP address for each service port and detecting and blocking traffic exceeding a predetermined reference value. 제6항에 있어서, 상기 제2단계는The method of claim 6, wherein the second step 보안관리 시스템으로 전달된 이벤트 정보로부터 유해 트래픽 추적 여부를 결정하고, 유해 트래픽 추적 센서를 생성하여 관리 도메인에 위치하는 보안노드 시스템으로 전송하고 유해 트래픽 탐지 및 대응 결과를 해당 보안 관리 영역 내의 보안관리시스템으로 전달하는 단계이고,Determines whether to track harmful traffic from event information delivered to security management system, creates harmful traffic tracking sensor and sends it to the security node system located in the management domain and sends the result of harmful traffic detection and response to security management system within the relevant security management area. To pass to 유해 트래픽 탐지 및 대응 결과를 최초에 유해 트래픽 추적을 요구한 보안관리 시스템에게 전달하는 단계를 더 구비함을 특징으로 하는 네트워크에서의 유해트래픽 탐지 및 대응 방법.And transmitting the results of the harmful traffic detection and response to the security management system that initially requested the harmful traffic tracking. 제7항에 있어서, 상기 이벤트 정보는 The method of claim 7, wherein the event information is 트래픽 감사 센서를 통해 보안관리 시스템으로 송신함을 특징으로 하는 네트워크에서의 유해트래픽 탐지 및 대응 방법.A method for detecting and responding to harmful traffic in a network, characterized by transmitting to a security management system through a traffic audit sensor. 제3항 내지 제8항 중 어느 한 항에 기재된 발명을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.A computer-readable recording medium having recorded thereon a program for executing the invention according to any one of claims 3 to 8.
KR10-2002-0065176A 2002-10-24 2002-10-24 The system and method of malicious traffic detection and response in network KR100523483B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0065176A KR100523483B1 (en) 2002-10-24 2002-10-24 The system and method of malicious traffic detection and response in network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0065176A KR100523483B1 (en) 2002-10-24 2002-10-24 The system and method of malicious traffic detection and response in network

Publications (2)

Publication Number Publication Date
KR20040036228A KR20040036228A (en) 2004-04-30
KR100523483B1 true KR100523483B1 (en) 2005-10-24

Family

ID=37334822

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0065176A KR100523483B1 (en) 2002-10-24 2002-10-24 The system and method of malicious traffic detection and response in network

Country Status (1)

Country Link
KR (1) KR100523483B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101025604B1 (en) * 2007-12-28 2011-03-28 (주)아이엠아이 Access relay system and method thereof, terminal managing packet transmission and recoding medium thereof
KR101240163B1 (en) * 2010-06-04 2013-03-11 한양대학교 산학협력단 System and method to deal with denial of service attack with respect to web server
KR101336458B1 (en) * 2007-01-03 2013-12-04 주식회사 케이티 System for Anomaly Detection of DNS Sever with Real Time in Internet and Method thereof

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100456635B1 (en) * 2002-11-14 2004-11-10 한국전자통신연구원 Method and system for defensing distributed denial of service
CN100370757C (en) * 2004-07-09 2008-02-20 国际商业机器公司 Method and system for dentifying a distributed denial of service (DDOS) attack within a network and defending against such an attack
KR100788130B1 (en) * 2004-09-17 2007-12-21 주식회사 케이티 Method and system for CPU utilization management in DNS server
EP1806888B1 (en) 2004-10-28 2012-04-25 Nippon Telegraph And Telephone Corporation Denial-of-service attack detecting system, and denial-of-service attack detecting method
KR100656340B1 (en) * 2004-11-20 2006-12-11 한국전자통신연구원 Apparatus for analyzing the information of abnormal traffic and Method thereof
US7889735B2 (en) * 2005-08-05 2011-02-15 Alcatel-Lucent Usa Inc. Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs
KR100734866B1 (en) * 2005-12-09 2007-07-03 한국전자통신연구원 Method and apparatus for detecting of abnormal packet
KR100785446B1 (en) * 2006-09-28 2007-12-13 (주)호이드연구소 Policy control method of network system and network policy control system
KR100885293B1 (en) * 2006-12-04 2009-02-23 한국전자통신연구원 Method and Apparatus for visualizing network security state
KR100785444B1 (en) * 2007-01-18 2007-12-13 (주)호이드연구소 Policy based network management method and system
KR101374009B1 (en) * 2007-07-09 2014-03-13 주식회사 엘지씨엔에스 Apparatus and method for preventing abnormal traffic
US7894350B2 (en) * 2008-07-24 2011-02-22 Zscaler, Inc. Global network monitoring
KR100904557B1 (en) * 2008-11-20 2009-06-25 주식회사 이글루시큐리티 Unification management system for different types of firewalls and method therof
KR101066209B1 (en) * 2009-09-21 2011-09-20 주식회사 안철수연구소 Packet monitering apparatus and its method, recording medium having computer program recorded, and forgery data management apparatus and its method
KR101036750B1 (en) * 2011-01-04 2011-05-23 주식회사 엔피코어 System for blocking zombie behavior and method for the same
KR101627769B1 (en) * 2015-12-17 2016-06-08 주식회사 유디엠텍 Apparatus and method of transforming text type of plc control program into common type of plc control program

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10210033A (en) * 1997-01-28 1998-08-07 Hitachi Ltd Network management system and method and device for security management
KR20010085056A (en) * 2001-07-27 2001-09-07 김상욱 Apparatus and Method for managing software-network security based on shadowing mechanism
KR20010090014A (en) * 2000-05-09 2001-10-18 김대연 system for protecting against network intrusion
KR100332891B1 (en) * 1999-04-07 2002-04-17 이종성 Intelligent Intrusion Detection System based on distributed intrusion detecting agents
KR20030021338A (en) * 2001-09-05 2003-03-15 한국전자통신연구원 Security System against intrusion among networks and the method
KR20030069240A (en) * 2002-02-19 2003-08-27 한국전자통신연구원 Network-based Attack Tracing System and Method Using Distributed Agent and Manager Systems

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10210033A (en) * 1997-01-28 1998-08-07 Hitachi Ltd Network management system and method and device for security management
KR100332891B1 (en) * 1999-04-07 2002-04-17 이종성 Intelligent Intrusion Detection System based on distributed intrusion detecting agents
KR20010090014A (en) * 2000-05-09 2001-10-18 김대연 system for protecting against network intrusion
KR20010085056A (en) * 2001-07-27 2001-09-07 김상욱 Apparatus and Method for managing software-network security based on shadowing mechanism
KR20030021338A (en) * 2001-09-05 2003-03-15 한국전자통신연구원 Security System against intrusion among networks and the method
KR20030069240A (en) * 2002-02-19 2003-08-27 한국전자통신연구원 Network-based Attack Tracing System and Method Using Distributed Agent and Manager Systems

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101336458B1 (en) * 2007-01-03 2013-12-04 주식회사 케이티 System for Anomaly Detection of DNS Sever with Real Time in Internet and Method thereof
KR101025604B1 (en) * 2007-12-28 2011-03-28 (주)아이엠아이 Access relay system and method thereof, terminal managing packet transmission and recoding medium thereof
KR101240163B1 (en) * 2010-06-04 2013-03-11 한양대학교 산학협력단 System and method to deal with denial of service attack with respect to web server

Also Published As

Publication number Publication date
KR20040036228A (en) 2004-04-30

Similar Documents

Publication Publication Date Title
KR100523483B1 (en) The system and method of malicious traffic detection and response in network
EP1905197B1 (en) System and method for detecting abnormal traffic based on early notification
US7757285B2 (en) Intrusion detection and prevention system
CN100435513C (en) Method of linking network equipment and invading detection system
Chang et al. Deciduous: Decentralized source identification for network-based intrusions
KR20060116741A (en) Method and apparatus for identifying and disabling worms in communication networks
Agrawal et al. An SDN-assisted defense mechanism for the shrew DDoS attack in a cloud computing environment
KR20010079361A (en) Apparatus for firewall of network status based Method thereof
Bera et al. Denial of service attack in software defined network
KR20020072618A (en) Network based intrusion detection system
KR20020075319A (en) Intelligent Security Engine and Intelligent and Integrated Security System Employing the Same
Chen et al. Policy management for network-based intrusion detection and prevention
Hariri et al. Quality-of-protection (QoP)-an online monitoring and self-protection mechanism
Vokorokos et al. Network security on the intrusion detection system level
Patil et al. Analysis of distributed intrusion detection systems using mobile agents
Eid A new mobile agent-based intrusion detection system using distributed sensors
KR100617314B1 (en) Security policy management method and apparatus of secure router system
Raju et al. Network Intrusion Detection System Using KMP Pattern Matching Algorithm
Zaheer et al. Intrusion detection and mitigation framework for SDN controlled IoTs network
Ergenç et al. Tsnzeek: An open-source intrusion detection system for ieee 802.1 time-sensitive networking
KR100422807B1 (en) Security gateway apparatus for controlling of policy-based network security and its proceeding method
Chae et al. A study of defense ddos attacks using ip traceback
Ghafoor et al. Software-defined networking security threats, solutions, and real-world applications: A survey
Veena et al. Detection and mitigation of security attacks using real time SDN analytics
Nisa et al. Conceptual review of DoS attacks in software defined networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20081001

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee