KR100578506B1 - Intrusion Detection Method for Inferring Risk Level - Google Patents
Intrusion Detection Method for Inferring Risk Level Download PDFInfo
- Publication number
- KR100578506B1 KR100578506B1 KR1020010079010A KR20010079010A KR100578506B1 KR 100578506 B1 KR100578506 B1 KR 100578506B1 KR 1020010079010 A KR1020010079010 A KR 1020010079010A KR 20010079010 A KR20010079010 A KR 20010079010A KR 100578506 B1 KR100578506 B1 KR 100578506B1
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- intrusion
- destination system
- detection method
- risk
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명에 따른 위험도 추론 침입탐지방법은 패킷수집기가 네트워크 패킷을 수집하는 단계와, 상기 패킷수집기에 의해 수집된 패킷을 분석하여 목적지시스템의 IP와 패킷 데이타(패킷데이타는 해커가 시도하고자 하는 궁극적인 목적을 알 수 있는 정보를 총칭함)를 분리하는 단계와, 각종 침입유형에 대한 정보를 저장하고 있는 침입유형 DB와 상기 패킷 데이타를 비교검색하여 상기 패킷이 소정의 침입유형에 해당하는지 여부를 판단하는 단계와, 상기 패킷이 소정의 침입유형에 해당되면 상기 분리된 목적지시스템의 IP와 상기 목적지시스템 사용용도DB를 검색비교하여 위험도를 추론하여 알려주는 단계로 구성된다. The risk inference detection method according to the present invention comprises the steps of a packet collector collecting a network packet, analyzing the packets collected by the packet collector, IP and packet data of a destination system (packet data is an ultimate attempt by a hacker). General information), and comparing the packet data with the intrusion type DB, which stores information on various intrusion types, to determine whether the packet corresponds to a predetermined intrusion type. And if the packet corresponds to a predetermined intrusion type, inferring a risk by inferring and comparing the separated destination system IP with the destination system usage DB.
침입탐지방법, 패킷, 해킹Intrusion Detection Method, Packet, Hack
Description
도1은 종래의 침입탐지방법을 구현하는 시스템을 도시하는 블럭도.1 is a block diagram showing a system implementing a conventional intrusion detection method.
도2는 본 발명에 따른 위험도 추론 침입탐지방법을 구현하기 위한 시스템을 도시하는 블럭도.2 is a block diagram illustrating a system for implementing a risk inference intrusion detection method according to the present invention.
도3은 본 발명에 따른 침입탐지방법을 도시하는 흐름도.3 is a flowchart showing an intrusion detection method according to the present invention;
도4는 본 발명에 따른 침입탐지방법을 구현하는 시스템의 해킹패턴DB에 탑재된 데이터베이스의 계층구조를 도시하는 구조도.4 is a structural diagram showing a hierarchical structure of a database mounted on a hacking pattern DB of a system implementing the intrusion detection method according to the present invention;
본 발명은 침입탐지방법에 관한 것으로, 특히 네트워크 패킷을 분석하고 위험도를 추론하여 관리자에게 알려주는 위험도 추론 침입탐지방법에 관한 것이다.The present invention relates to an intrusion detection method, and more particularly, to a risk inference intrusion detection method that analyzes a network packet and infers a risk to inform an administrator.
International이라는 단어와 Network라는 단어의 합성어인 인터넷은 1969년 미국 국방성의 지원으로 미국의 4개의 대학을 연결하기 위해 구축된 알파넷(ARPANET)에서 그 근원을 찾을 수 있다. 처음에는 군사적 목적으로 도입된 것이지만 최근들어 상용화의 물결에 힘입어 전세계의 수많은 사람들이 인터넷을 이 용하고 있고 이를 근거로 전자우편(e-mail), 원격 컴퓨터 연결(telnet), 파일 전송(FTP), 유즈넷 뉴스(Usenet News), 인터넷 정보 검색(Gopher), 인터넷 대화와 토론(IRC), 전자 게시판(BBS), 하이퍼텍스트 정보 열람(WWW:World Wide Web), 온라인 게임, 동화상이나 음성 데이터를 실시간으로 방송하는 서비스나 비디오 회의 등 새로운 서비스가 차례로 개발되어 이용 가능하게 되었다. 이와 같이 인터넷의 상용화가 급속하게 퍼져나감에 따라 전세계가 하나의 인터넷망에 연결되고 인터넷에 의한 현대인들의 생활의 편의도 날로 높아져만 가고 있다. 그러나 이러한 인터넷의 이면에는 현대인들의 편리 이외의 정보 누설 등과 같은 위험요소들이 도사리고 있는데 일명 해커라고 지칭되는 범죄자들에 의한 정보 파괴, 정보 유출, 불법침입에 의한 시스템의 교란 및 파괴 등이 쉽게 이루어질 수 있는 문제점이 발생하게 되었다. 이러한 해킹을 방지하기 위해서 내부자 또는 외부자에 의한 허가되지 않은 침입을 사전에 탐지하여 사용자에게 알려 주는 침입탐지방법이 사용되고 있다. The Internet, a combination of the word International and the word Network, can be found in the ARPANET, which was established in 1969 with the support of the US Department of Defense to link four universities in the United States. It was initially introduced for military purposes, but recently, due to the wave of commercialization, millions of people around the world are using the Internet and based on it, e-mail, remote computer connection (telnet), and file transfer (FTP). Usenet News, Usenet News, Internet Information Retrieval (Gopher), Internet Conversation and Discussion (IRC), Electronic Bulletin Board (BBS), Hypertext Information Viewing (WWW: World Wide Web), Online Games, Movies or Voice Data New services such as video broadcasting and video conferencing were developed and available in turn. As the commercialization of the Internet spreads rapidly, the whole world is connected to one Internet network, and the convenience of modern people's life by the Internet is increasing day by day. However, there are risk factors such as information leakage other than the convenience of modern people on the other side of the Internet, which can be easily disrupted and destroyed by criminals called hackers, information leakage, and illegal intrusion. Problems have arisen. In order to prevent such hacking, an intrusion detection method that detects and informs a user in advance of unauthorized intrusion by an insider or an outsider is used.
침입탐지방법은 네트워크 환경에서 침입 또는 의심스러운 행위를 탐지하는 시스템으로서 탐지되는 패턴에 따라 위험도를 분류하여 탐지된 결과를 사용자에게 알려준다.Intrusion detection method is a system that detects intrusion or suspicious behavior in network environment and classifies risk according to detected pattern and informs user of detected result.
도1에 도시된 바와 같이, 종래의 침입탐지방법은 패킷수집기(22)가 네트워크 패킷을 수집하는 단계와, 상기 패킷수집기(22)에 의해 수집된 패킷을 패킷분석기(24)가 분석하는 단계와, 상기 패킷 분석기(24)에 의해 분석된 패킷 내용과 각종 침입유형에 대한 정보를 저장하고 있는 상기 침입유형DB에 저장된 침입유형을 비교하여 상기 패킷 분석기(24)에 의해 분석된 패킷 내용이 어떤 침입유형 인지 여부를 관리자에게 알려주는 단계로 구성된다. As shown in FIG. 1, the conventional intrusion detection method includes a step of collecting a network packet by a packet collector 22, a step of analyzing a packet collected by the packet collector 22, and a packet analyzer 24. Compares the packet contents analyzed by the packet analyzer 24 with the intrusion types stored in the intrusion type DB, which stores information on various intrusion types. It consists of informing the administrator whether or not it is a type.
그러나, 이와 같은 종래의 침입탐지방법은 단지 분석된 패킷 내용을 침입유형 DB와 비교하는 과정에서 침입을 시도하는 목적지 시스템이 어떤 용도(예컨대 그 시스템이 파일서버, 웹서버, 메일서버, DB서버인지 여부)로 사용되고 있고 어떤 취약점이 있는지 여부를 비교하지 아니하고 단순히 침입유형DB와 비교하여 수집된 패킷이 DB의 침입유형과 일치할 경우 실제 위험여부와 무관하게 위험경보를 발생시키기 때문에 실제 위험한 패킷임에도 불구하고 위험도를 낮게 평가하거나 반대로 실제 위험한 패킷이 아님에도 불구하고 위험도를 높게 평가하여 알려주는 문제점을 가지고 있다. 게다가 짧은 시간에도 수천개의 패킷이 발생되는 것이 일반적인 상황에서 이와 같은 문제점은 더욱 심각하게 대두된다. However, such a conventional intrusion detection method only uses the destination system which attempts to intrude in the process of comparing the analyzed packet contents with the intrusion type DB (eg, whether the system is a file server, a web server, a mail server, or a DB server). It does not compare whether there are any vulnerabilities, but simply compares the intrusion type DB, and if the collected packet matches the intrusion type of the DB, it generates a risk alarm regardless of the actual risk. And the risk is low, or on the contrary, even though it is not a dangerous packet, it has a problem of high risk. In addition, this problem becomes more serious when it is common to generate thousands of packets in a short time.
본 발명은 상기 종래 탐지방법의 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은 탐지된 패킷의 목적지 시스템의 용도를 고려하여 패킷을 분석하고 그 위험도를 추론한 후 알려줄 수 있는 위험도 추론 침입탐지방법을 제공하는 것이다. The present invention has been made to solve the problems of the conventional detection method, an object of the present invention is to infer the detection of risk inference detection that can inform after analyzing the packet and infer the risk in consideration of the purpose of the destination system of the detected packet To provide a way.
본 발명의 또 다른 목적은 해킹 패턴별로 해킹이 이루어지는 단계를 DB화하여 저장하고 분석된 패킷이 실제 위험도가 높은 경우 해당 패킷이 해킹의 어느 단계에 해당되는지 여부를 알려줌으로서 추후 발생될 해킹을 미연에 방지할 수 있는 위험도 추론 침입탐지방법을 제공하는 것이다. Another object of the present invention is to make a hacking pattern for each hacking pattern by DB, and if the analyzed packet has a high actual risk, the hacking that is to be generated later will be reported by indicating whether the packet corresponds to which stage of the hacking. It is to provide a risk inference detection method that can be prevented.
본 발명은 상기한 목적을 달성하기 위하여 다음과 같은 단계로 구성된다.The present invention consists of the following steps to achieve the above object.
본 발명에 따른 위험도 추론 침입탐지방법은 패킷수집기가 네트워크 패킷을 수집하는 단계와, 상기 패킷수집기에 의해 수집된 패킷을 분석하여 목적지시스템의 IP와 패킷 데이타(패킷데이타는 해커가 시도하고자 하는 궁극적인 목적을 알 수 있는 정보를 총칭함)를 분리하는 단계와, 각종 침입유형에 대한 정보를 저장하고 있는 침입유형 DB와 상기 패킷 데이타를 비교검색하여 상기 패킷이 소정의 침입유형에 해당하는지 여부를 판단하는 단계와, 상기 패킷이 소정의 침입유형에 해당되면 상기 목적지시스템의 IP 및 상기 침입유형DB로부터 파악되는 목적지시스템에 관한 정보(예컨대, 시스템의 OS, 시스템의 용도(Web서버, Mail서버, FTP서버인지 여부), 사용되는 서버프로그램명 등, 이하, '목적지시스템의 특성정보'라 함)와 상기 목적지시스템 사용용도DB를 검색비교하여 위험도를 추론하여 알려주는 단계로 구성된다. The risk inference detection method according to the present invention comprises the steps of a packet collector collecting a network packet, analyzing the packets collected by the packet collector, IP and packet data of a destination system (packet data is an ultimate attempt by a hacker). General information), and comparing the packet data with the intrusion type DB, which stores information on various intrusion types, to determine whether the packet corresponds to a predetermined intrusion type. And information about a destination system obtained from the IP of the destination system and the intrusion type DB (for example, the OS of the system and the purpose of the system (Web server, Mail server, FTP) if the packet corresponds to a predetermined intrusion type. Server, name of the server program used, etc., hereinafter, referred to as 'characteristic information of the destination system') and the destination system use DB. It is composed of the steps of inferring and notifying the risk by comparing the search
또한 본 발명에 따른 위험도 추론 침입탐지방법은 상기 패킷분석기가 해킹이 이루어지는 단계를 패턴화한 계층구조를 적재하고 있는 해킹패턴DB의 계층구조와 상기 분석된 패킷 데이타를 비교하여 해킹 레벨을 알려주는 단계를 추가로 포함할 수도 있다. In addition, the risk reasoning intrusion detection method according to the present invention compares the analyzed packet data with the hierarchical structure of the hacking pattern DB, which loads the hierarchical structure patterning the step that the packet analyzer is hacked to inform the hacking level It may further include.
본 발명에 따른 위험도 추론 침입탐지방법은 패킷수집기가 인터넷상에서 발생되는 패킷을 수집하고, 패킷분석기가 상기 패킷을 패킷데이타와 목적지시스템의 IP로 분리하며, 분리된 상기 패킷데이타와 상기 침입유형 DB를 비교하여 DB상의 침입유형에 해당되는지 여부를 판단하고, 침입유형에 해당되면 분리된 목적지시스템의 IP 및 상기 침입유형DB로부터 파악되는 목적지시스템의 특성정보와 목적지시스템 사용용도DB를 비교하여 실제 위험한 침입시도인지 여부를 판단하여 관리자에게 경보하거나 알려주게 된다. Inference detection intrusion detection method according to the present invention is a packet collector to collect the packets generated on the Internet, the packet analyzer separates the packets into the packet data and the IP of the destination system, the separated packet data and the intrusion type DB By comparison, it is determined whether or not it corresponds to the intrusion type on the DB, and if it is the intrusion type, it compares the IP of the separated destination system and the characteristic information of the destination system identified from the intrusion type DB with the destination system usage DB, and thus the actual dangerous intrusion. It will determine if it is an attempt and alert or inform the administrator.
한걸음 더 나아가 본 발명에 따른 침입탐지방법은 상기 패킷분석기가 패킷이 실제 위험한 침입시도에 해당된다고 판단하면 해킹이 이루어지는 과정을 패턴화한 계층 구조를 탑재한 해킹패턴DB를 이용하여 해당 패킷데이타를 상기 해킹패턴DB와 비교하여 해당 패킷이 해킹단계 중 어느 단계에 해당되는지 여부와 앞으로 발생될 해킹을 경보하거나 알려줌으로써 사전에 해킹을 차단할 수 있도록 한다. Further, the intrusion detection method according to the present invention uses the hacking pattern DB equipped with a hierarchical structure patterning the process of hacking when the packet analyzer determines that the packet corresponds to an actual dangerous intrusion attempt. Compared with the hacking pattern DB, the hacking can be blocked in advance by alerting or notifying which stage of the hacking step the hacking step and the hacking that will occur in the future.
이하 첨부된 도면을 참조하여 본 발명의 실시예를 설명한다. Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings.
도2를 참조하면, 본 발명의 침입탑지방법을 구현하는 침입탐지시스템은 패킷수집기(42), 패킷분석기(44), 상기 패킷분석기(44)와 연동되는 목적지시스템 사용용도 DB(45)와 침입유형 DB(48)와 해킹패턴DB(47)와, 분석된 내용에 대한 경보와 알림을 담당하는 사용자 인터페이스(46)로 구성된다.2, an intrusion detection system implementing the intrusion tower method of the present invention is a
상기 패킷수집기(42)는 인터넷망이나 네트워크를 통하여 송/수신되는 모든 패킷을 가로채서 수집하는 것으로, 공지된 기술이어서 이에 대한 설명은 생략한다. The
상기 침입유형 DB(48)는 카테고리별로 침입유형을 분류하여 이에 대한 정보를 저장하고 있으므로, 기존의 침입유형 뿐만 아니라 새로운 침입유형을 수시로 추가할 수 있다. 예컨대 상기 DB(48)에 탑재되는 침입유형에 대한 DB는 아래 표와 같이 대분류, 중분류를 기준으로 개념 정의된 구조를 가질 수도 있다. 물론 그 구조는 이에 제한되지 아니한다. 이와 같이, 상기 침입유형DB(48)에 탑재되는 침입유형은 모두 이미 발생한 침입사례를 분석하여 적재되기 때문에, 상기 패킷분석기(44)는 침입유형을 분석하는 과정에서 해당 침입유형에 취약한 목적지시스템의 특성정보를 자동적으로 파악할 수 있게 된다.Since the
<표1:대분류> Table 1: Major Category
<표2: 중분류 >Table 2: Mid Category
상기 목적지시스템 사용용도 DB(45)는 목적지시스템의 IP, 그 시스템에 사용되는 OS(window NT,Solaris, Linux 등), 그 시스템의 용도(FTP 서버, Web서버, Mail서버, DB서버 등), 그 시스템에서 사용되는 서버프로그램명(예컨대 Web서버는 lls 나 Aparch 등을 사용하고, FTP서버는 wu-ftpd나 proftpd 등을 사용하며, Mail 서버는 Msexchange나 Lotusnotes, DB서버는 Oracle, MsSQL SERVER을 사용함)등 (이하, '목적지시스템 사용용도정보'라 함)을 저장하고 있다. The destination
상기 해킹패턴DB(47)는 도4에 도시된 바와 같이 해킹 유형별로 해킹 단계를 세분화하여 계층적으로 구조화한 해킹패턴 구조 DB를 저장하고 있다. As illustrated in FIG. 4, the
도3을 참조하면, 상기 패킷분석기(44)는 수집된 패킷을 목적지 시스템의 IP와 패킷 데이타를 분리하며(52,54), 상기 분석된 패킷 데이타와 상기 침입유형 DB(48)를 비교하여 소정의 침입유형에 해당하는지 여부를 판단하고(56), 소정의 침입유형에 해당하지 아니하면 분석을 종료한다(66). 나아가 상기 패킷 분석기(44)는 수집된 패킷이 소정의 침입유형에 해당하면 앞서 분리된 목적지 시스템의 IP 및 상기 침입유형DB(47)로부터 파악되는 목적지시스템 특성정보와 동일한 목적지시스템 사용용도정보를 가진 목적지시스템이 존재하는지 여부를 확인하기 위하여 상기 목적지시스템 사용용도DB(45)를 검색하고(58), 검색결과, 존재한다면 상기 패킷이 목적지 시스템에 영향을 줄 수 있는 위험한 것이라고 판단하여 사용자에게 경보하거나 알려주고(64) 그렇지 않다면 분석을 종료한다(66). 또한 상기 패킷분석기(44)는 패킷이 시스템에 위해를 가할 침입임을 판단한(60) 후 상기 해킹패턴DB(47)와 연동되어 상기 DB(47)에 탑재된 해킹패턴 구조DB를 검색하고(62) 상기 패킷이 해킹의 어느 단계에 위치하고 있으며 앞으로 어느 방향으로 발전해 나갈 것인지 여부에 대하여 추가로 경보하거나 알려 줄 수도 있다(64).Referring to FIG. 3, the
앞서 본 바와 같은 본 발명의 실시예에 따른 침입탐지방법의 작동에 대하여 다음과 같이 설명한다.The operation of the intrusion detection method according to the embodiment of the present invention as described above will be described as follows.
"코드레드"는 windowNT의 IIS웹서버를 통해 들어와서 매우 짧은 주기로 패킷을 만들어 windowNT의 IIS웹서버를 감염시키는 웜 바이러스의 일종이다. 상기 "코드레드"가 만든 패킷을 IIS가 받게 되면 바로 코드레드에 감염되게 된다. 그러나 "코드레드"는 운영체계가 windowNT이고 서버 프로그램이 IIS인 웹서버만을 감염시키기 때문에 웹서버가 아닌 메일서버나 FTP서버 등에는 아무런 영향을 미치지 아니하며 나아가 웹서버라하더라도 windowNT 운영체계나 IIS서버 프로그램을 사용하지 아니하는 웹서버에는 아무런 영향을 주지 못한다. "Code Red" is a type of worm that enters through windowNT's IIS web server and infects windowNT's IIS web server by making packets in very short cycles. As soon as IIS receives the packet created by "Code Red", it becomes infected with Code Red. However, "Code Red" does not affect mail server or FTP server other than web server because it only infects web server whose window system is windowNT and IIS is IIS. It has no effect on web servers that do not use.
이와 같이 "코드레드"는 windowNT의 IIS웹서버만을 감염시킴에도 불구하고 종래의 침입탐지시스템에서는 "코드레드"가 만든 패킷을 탐지하기만 하면 목적지 시스템의 용도가 웹서버인지 메일서버인지 여부를 검토하지 아니하고 경보를 하기 때문에 목적지시스템이 메일서버인 경우에도 경보를 수행하게 되며, 이러한 문제점으로 인해 사용자는 위험에 대한 경고 메시지에 무감각해질 수 있고 신속한 대처를 할 수 없게 된다. Thus, although "Code Red" only infects the IIS web server of windowNT, the conventional intrusion detection system only detects packets made by "Code Red" and examines whether the destination system is a web server or a mail server. If the destination system is a mail server, the alarm is triggered, and the user may be insensitive to the warning message about the danger and cannot respond quickly.
그러나 본 발명에 따른 침입탐지 방법에 의하면, 상기 패킷 수집기(42)는 "코드레드"가 만든 패킷을 수집한다. 그 후 상기 패킷분석기(54)는 상기 패킷을 목적지 시스템의 IP와 패킷 데이타로 분리하고(52,54), 상기 패킷이 침입유형 DB(48)에 탑재된 소정의 침입유형에 해당하는지 여부를 판단하며(56), 상기 패킷이 소정의 침입유형에 해당하면 상기 목적지시스템 사용용도 DB(45)를 검색하고(58), 그 결과, 상기 패킷에서 분리된 IP 및 상기 침입유형DB(47)로부터 파악되는 목적지시스템의 특성정보(OS가 windowNT, 서버프로그램이 IIS인 웹서버)와 일치하는 목적지시스템 사용용도정보(OS가 windowNT, 서버프로그램이 IIS인 웹서버)를 가진 목적지시스템이 존재한다면, 위험도가 높다는 사실을 경고하거나 알려주고(60,64), 그 이외의 경우(예를 들어, OS가 Solaris, Linux이거나 용도가 FTP서버, Mail서버 또는, 웹서버인 경우에도 서버프로그램이 Aparch인 경우)에는 경고 등을 진행하지 아니하고 분석을 종료한다(66). However, according to the intrusion detection method according to the present invention, the
또한 위험도가 높다고 판단한 경우에는, 상기 패킷 분석기(44)는 상기 패킷이 도4에 도시된 바와 같은 계층 구조를 가지는 해킹패턴을 탑재하고 있는 해킹패턴DB(47)의 계층 구조 중 어느 단계에 해당하는지 여부를 판단하여 사용자에게 그 단계를 추가로 알려주거나 경고해 줄 수도 있다(62,64). 도4에 도시된 바와 같이, "코드 레드"에 의한 공격은 바이러스에 의한 서비스 거부 공격의 일종으로, 그로 인한 공격 단계는 서비스 거부 초기 단계, 서비스 거부 중간 단계와 서비스 거부 공격 단계로 구분될 수 있고, 각 단계는 단위 시간당 발생되는 서비스 거부 공격 패킷 수에 의해 구분된다. 상기 해킹패턴DB(47)의 계층 구조는 단위 시간당 "코드레드"에 의해 발생되는 패킷의 수를 기준으로 분류되는데, 예컨대 패킷의 수가 30초 동안 10개이내는 서비스 거부 초기 단계로, 10초 동안 100개 이내는 서비스 거부 중간 단계로, 10초 동안 200개 이내는 서비스 거부 공격 단계로 구조화되어 상기 DB(47)에 탑재된다. 따라서, 상기 패킷 분석기(44)는 상기 해킹 패턴DB(47)와 연동되어 "코드레드"에 의해 발생되는 패킷의 수가 30초당 10개 이내라면 사용자에게 서비스 거부 초기 단계임을 알려주고 추후 해킹 행위가 서비스 중간단계와 서비스 공격 단계로 진행될 가능성이 있음을 경보하며, 10초당 100개 이내라면 서비스 중간단계 임을 알려주며 추후 서비스 공격 단계로 진행될 가능성이 있음을 경보 하고, 10초당 200개 이내라면 서비스 공격 단계임을 경보한다. In addition, when it is determined that the risk is high, the
상기한 실시예는 본 발명의 일예에 지나지 않으며, 본 발명은 그 기술적 범위를 초과하지 아니하는 어떠한 변경 및 수정도 가능하다. The above embodiments are merely examples of the present invention, and the present invention may be changed and modified without exceeding its technical scope.
상기 구성에 의해 본 발명은 다음과 같은 효과를 도모할 수 있다 By the above configuration, the present invention can achieve the following effects.
본 발명은 탐지된 패킷의 목적지 시스템의 용도를 고려하여 패킷을 분석하여 그 위험도를 추론하고 알려줄 수 있기 때문에, 잘못된 경보(False Alarm)의 남발로 인한 침입탐지시스템의 무력화를 방지할 수 있는 효과를 도모할 수 있다. Since the present invention can infer and inform the risk by analyzing the packet in consideration of the purpose of the destination system of the detected packet, it is possible to prevent the intrusion detection system from being ineffective due to the false alarm. We can plan.
본 발명은 해킹 패턴별로 해킹이 이루어지는 과정을 DB화하여 저장하고 분석된 패킷이 실제 위험도가 높은 경우 해당 패킷이 해킹의 어느 단계에 해당되는지 여부를 알려줌으로서 추후 발생될 해킹을 미연에 방지할 수 있는 효과를 도모할 수 있다.
According to the present invention, if a hacking pattern is processed by DB, the hacking process is made into a DB, and if the analyzed packet has a high risk, the step of hacking is notified. The effect can be aimed at.
Claims (2)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020010079010A KR100578506B1 (en) | 2001-12-13 | 2001-12-13 | Intrusion Detection Method for Inferring Risk Level |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020010079010A KR100578506B1 (en) | 2001-12-13 | 2001-12-13 | Intrusion Detection Method for Inferring Risk Level |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20030048954A KR20030048954A (en) | 2003-06-25 |
KR100578506B1 true KR100578506B1 (en) | 2006-05-12 |
Family
ID=29574788
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020010079010A KR100578506B1 (en) | 2001-12-13 | 2001-12-13 | Intrusion Detection Method for Inferring Risk Level |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100578506B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100447896B1 (en) * | 2002-11-12 | 2004-09-10 | 학교법인 성균관대학 | network security system based on black-board, and method for as the same |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR19990062289A (en) * | 1997-12-31 | 1999-07-26 | 유기범 | Satellite Resource Security System in Multimedia Satellite Communication System |
KR20000010253A (en) * | 1998-07-31 | 2000-02-15 | 최종욱 | Trespass detection system and module of trespass detection system using arbitrator agent |
KR20000054538A (en) * | 2000-06-10 | 2000-09-05 | 김주영 | System and method for intrusion detection in network and it's readable record medium by computer |
KR20010105490A (en) * | 2000-05-10 | 2001-11-29 | 이영아 | Hacking detection and chase system |
KR100351306B1 (en) * | 2001-01-19 | 2002-09-05 | 주식회사 정보보호기술 | Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof |
KR20030020038A (en) * | 2001-08-29 | 2003-03-08 | 삼성전자주식회사 | Method for filtering internet protocol packet in customer premise equipment of digital subscriber line |
KR20030048933A (en) * | 2001-12-13 | 2003-06-25 | 주식회사 이글루시큐리티 | Intrusion Detection System for Inferring Risk Level |
-
2001
- 2001-12-13 KR KR1020010079010A patent/KR100578506B1/en active IP Right Review Request
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR19990062289A (en) * | 1997-12-31 | 1999-07-26 | 유기범 | Satellite Resource Security System in Multimedia Satellite Communication System |
KR100262310B1 (en) * | 1997-12-31 | 2000-07-15 | 강병호 | Satellite source protection system of multimedia satellite communication system |
KR20000010253A (en) * | 1998-07-31 | 2000-02-15 | 최종욱 | Trespass detection system and module of trespass detection system using arbitrator agent |
KR20010105490A (en) * | 2000-05-10 | 2001-11-29 | 이영아 | Hacking detection and chase system |
KR20000054538A (en) * | 2000-06-10 | 2000-09-05 | 김주영 | System and method for intrusion detection in network and it's readable record medium by computer |
KR100351306B1 (en) * | 2001-01-19 | 2002-09-05 | 주식회사 정보보호기술 | Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof |
KR20030020038A (en) * | 2001-08-29 | 2003-03-08 | 삼성전자주식회사 | Method for filtering internet protocol packet in customer premise equipment of digital subscriber line |
KR20030048933A (en) * | 2001-12-13 | 2003-06-25 | 주식회사 이글루시큐리티 | Intrusion Detection System for Inferring Risk Level |
Also Published As
Publication number | Publication date |
---|---|
KR20030048954A (en) | 2003-06-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111385236B (en) | Dynamic defense system based on network spoofing | |
Kumar | Survey of current network intrusion detection techniques | |
US8635666B2 (en) | Anti-phishing system | |
US7549166B2 (en) | Defense mechanism for server farm | |
US6405318B1 (en) | Intrusion detection system | |
US8640234B2 (en) | Method and apparatus for predictive and actual intrusion detection on a network | |
US20030188189A1 (en) | Multi-level and multi-platform intrusion detection and response system | |
US20060026683A1 (en) | Intrusion protection system and method | |
KR20000072707A (en) | The Method of Intrusion Detection and Automatical Hacking Prevention | |
CN111835694B (en) | Network security vulnerability defense system based on dynamic camouflage | |
JP2002342279A (en) | Filtering device, filtering method and program for making computer execute the method | |
Kizza | System intrusion detection and prevention | |
CN113422779B (en) | Active security defense system based on centralized management and control | |
KR100578503B1 (en) | Intrusion Detection System for Inferring Risk Level | |
KR20030035142A (en) | Method for Providing Enterprise Security Management Service | |
Singh | Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis | |
KR100578506B1 (en) | Intrusion Detection Method for Inferring Risk Level | |
KR20030035143A (en) | Enterprise Security Management System | |
KR100879608B1 (en) | A Network Traffic Analysis and Monitoring Method based on Attack Knowledge | |
Mittal et al. | A Study of Different Intrusion Detection and Prevension System | |
Tan | NIDS—Should You Do Without It | |
Szczepanik et al. | Detecting New and Unknown Malwares Using Honeynet | |
KR20030087583A (en) | A system for detecting hacker invasion of personal computer | |
Lawrence | Intrusion Prevention Systems: The Future of Intrusion Detection? | |
Palekar et al. | Complete Study Of Intrusion Detection System |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130503 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20140502 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20150504 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20160503 Year of fee payment: 11 |
|
FPAY | Annual fee payment |
Payment date: 20180504 Year of fee payment: 13 |
|
J204 | Request for invalidation trial [patent] | ||
J121 | Written withdrawal of request for trial | ||
J204 | Request for invalidation trial [patent] | ||
J121 | Written withdrawal of request for trial | ||
FPAY | Annual fee payment |
Payment date: 20200122 Year of fee payment: 15 |