KR100578506B1 - Intrusion Detection Method for Inferring Risk Level - Google Patents

Intrusion Detection Method for Inferring Risk Level Download PDF

Info

Publication number
KR100578506B1
KR100578506B1 KR1020010079010A KR20010079010A KR100578506B1 KR 100578506 B1 KR100578506 B1 KR 100578506B1 KR 1020010079010 A KR1020010079010 A KR 1020010079010A KR 20010079010 A KR20010079010 A KR 20010079010A KR 100578506 B1 KR100578506 B1 KR 100578506B1
Authority
KR
South Korea
Prior art keywords
packet
intrusion
destination system
detection method
risk
Prior art date
Application number
KR1020010079010A
Other languages
Korean (ko)
Other versions
KR20030048954A (en
Inventor
이용균
박규형
전법훈
차수길
박현태
주정호
Original Assignee
주식회사 이글루시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=29574788&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=KR100578506(B1) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by 주식회사 이글루시큐리티 filed Critical 주식회사 이글루시큐리티
Priority to KR1020010079010A priority Critical patent/KR100578506B1/en
Publication of KR20030048954A publication Critical patent/KR20030048954A/en
Application granted granted Critical
Publication of KR100578506B1 publication Critical patent/KR100578506B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명에 따른 위험도 추론 침입탐지방법은 패킷수집기가 네트워크 패킷을 수집하는 단계와, 상기 패킷수집기에 의해 수집된 패킷을 분석하여 목적지시스템의 IP와 패킷 데이타(패킷데이타는 해커가 시도하고자 하는 궁극적인 목적을 알 수 있는 정보를 총칭함)를 분리하는 단계와, 각종 침입유형에 대한 정보를 저장하고 있는 침입유형 DB와 상기 패킷 데이타를 비교검색하여 상기 패킷이 소정의 침입유형에 해당하는지 여부를 판단하는 단계와, 상기 패킷이 소정의 침입유형에 해당되면 상기 분리된 목적지시스템의 IP와 상기 목적지시스템 사용용도DB를 검색비교하여 위험도를 추론하여 알려주는 단계로 구성된다. The risk inference detection method according to the present invention comprises the steps of a packet collector collecting a network packet, analyzing the packets collected by the packet collector, IP and packet data of a destination system (packet data is an ultimate attempt by a hacker). General information), and comparing the packet data with the intrusion type DB, which stores information on various intrusion types, to determine whether the packet corresponds to a predetermined intrusion type. And if the packet corresponds to a predetermined intrusion type, inferring a risk by inferring and comparing the separated destination system IP with the destination system usage DB.

침입탐지방법, 패킷, 해킹Intrusion Detection Method, Packet, Hack

Description

위험도 추론 침입탐지방법{Intrusion Detection Method for Inferring Risk Level}Inference Detection Method for Inferring Risk Level

도1은 종래의 침입탐지방법을 구현하는 시스템을 도시하는 블럭도.1 is a block diagram showing a system implementing a conventional intrusion detection method.

도2는 본 발명에 따른 위험도 추론 침입탐지방법을 구현하기 위한 시스템을 도시하는 블럭도.2 is a block diagram illustrating a system for implementing a risk inference intrusion detection method according to the present invention.

도3은 본 발명에 따른 침입탐지방법을 도시하는 흐름도.3 is a flowchart showing an intrusion detection method according to the present invention;

도4는 본 발명에 따른 침입탐지방법을 구현하는 시스템의 해킹패턴DB에 탑재된 데이터베이스의 계층구조를 도시하는 구조도.4 is a structural diagram showing a hierarchical structure of a database mounted on a hacking pattern DB of a system implementing the intrusion detection method according to the present invention;

본 발명은 침입탐지방법에 관한 것으로, 특히 네트워크 패킷을 분석하고 위험도를 추론하여 관리자에게 알려주는 위험도 추론 침입탐지방법에 관한 것이다.The present invention relates to an intrusion detection method, and more particularly, to a risk inference intrusion detection method that analyzes a network packet and infers a risk to inform an administrator.

International이라는 단어와 Network라는 단어의 합성어인 인터넷은 1969년 미국 국방성의 지원으로 미국의 4개의 대학을 연결하기 위해 구축된 알파넷(ARPANET)에서 그 근원을 찾을 수 있다. 처음에는 군사적 목적으로 도입된 것이지만 최근들어 상용화의 물결에 힘입어 전세계의 수많은 사람들이 인터넷을 이 용하고 있고 이를 근거로 전자우편(e-mail), 원격 컴퓨터 연결(telnet), 파일 전송(FTP), 유즈넷 뉴스(Usenet News), 인터넷 정보 검색(Gopher), 인터넷 대화와 토론(IRC), 전자 게시판(BBS), 하이퍼텍스트 정보 열람(WWW:World Wide Web), 온라인 게임, 동화상이나 음성 데이터를 실시간으로 방송하는 서비스나 비디오 회의 등 새로운 서비스가 차례로 개발되어 이용 가능하게 되었다. 이와 같이 인터넷의 상용화가 급속하게 퍼져나감에 따라 전세계가 하나의 인터넷망에 연결되고 인터넷에 의한 현대인들의 생활의 편의도 날로 높아져만 가고 있다. 그러나 이러한 인터넷의 이면에는 현대인들의 편리 이외의 정보 누설 등과 같은 위험요소들이 도사리고 있는데 일명 해커라고 지칭되는 범죄자들에 의한 정보 파괴, 정보 유출, 불법침입에 의한 시스템의 교란 및 파괴 등이 쉽게 이루어질 수 있는 문제점이 발생하게 되었다. 이러한 해킹을 방지하기 위해서 내부자 또는 외부자에 의한 허가되지 않은 침입을 사전에 탐지하여 사용자에게 알려 주는 침입탐지방법이 사용되고 있다.  The Internet, a combination of the word International and the word Network, can be found in the ARPANET, which was established in 1969 with the support of the US Department of Defense to link four universities in the United States. It was initially introduced for military purposes, but recently, due to the wave of commercialization, millions of people around the world are using the Internet and based on it, e-mail, remote computer connection (telnet), and file transfer (FTP). Usenet News, Usenet News, Internet Information Retrieval (Gopher), Internet Conversation and Discussion (IRC), Electronic Bulletin Board (BBS), Hypertext Information Viewing (WWW: World Wide Web), Online Games, Movies or Voice Data New services such as video broadcasting and video conferencing were developed and available in turn. As the commercialization of the Internet spreads rapidly, the whole world is connected to one Internet network, and the convenience of modern people's life by the Internet is increasing day by day. However, there are risk factors such as information leakage other than the convenience of modern people on the other side of the Internet, which can be easily disrupted and destroyed by criminals called hackers, information leakage, and illegal intrusion. Problems have arisen. In order to prevent such hacking, an intrusion detection method that detects and informs a user in advance of unauthorized intrusion by an insider or an outsider is used.

침입탐지방법은 네트워크 환경에서 침입 또는 의심스러운 행위를 탐지하는 시스템으로서 탐지되는 패턴에 따라 위험도를 분류하여 탐지된 결과를 사용자에게 알려준다.Intrusion detection method is a system that detects intrusion or suspicious behavior in network environment and classifies risk according to detected pattern and informs user of detected result.

도1에 도시된 바와 같이, 종래의 침입탐지방법은 패킷수집기(22)가 네트워크 패킷을 수집하는 단계와, 상기 패킷수집기(22)에 의해 수집된 패킷을 패킷분석기(24)가 분석하는 단계와, 상기 패킷 분석기(24)에 의해 분석된 패킷 내용과 각종 침입유형에 대한 정보를 저장하고 있는 상기 침입유형DB에 저장된 침입유형을 비교하여 상기 패킷 분석기(24)에 의해 분석된 패킷 내용이 어떤 침입유형 인지 여부를 관리자에게 알려주는 단계로 구성된다. As shown in FIG. 1, the conventional intrusion detection method includes a step of collecting a network packet by a packet collector 22, a step of analyzing a packet collected by the packet collector 22, and a packet analyzer 24. Compares the packet contents analyzed by the packet analyzer 24 with the intrusion types stored in the intrusion type DB, which stores information on various intrusion types. It consists of informing the administrator whether or not it is a type.

그러나, 이와 같은 종래의 침입탐지방법은 단지 분석된 패킷 내용을 침입유형 DB와 비교하는 과정에서 침입을 시도하는 목적지 시스템이 어떤 용도(예컨대 그 시스템이 파일서버, 웹서버, 메일서버, DB서버인지 여부)로 사용되고 있고 어떤 취약점이 있는지 여부를 비교하지 아니하고 단순히 침입유형DB와 비교하여 수집된 패킷이 DB의 침입유형과 일치할 경우 실제 위험여부와 무관하게 위험경보를 발생시키기 때문에 실제 위험한 패킷임에도 불구하고 위험도를 낮게 평가하거나 반대로 실제 위험한 패킷이 아님에도 불구하고 위험도를 높게 평가하여 알려주는 문제점을 가지고 있다. 게다가 짧은 시간에도 수천개의 패킷이 발생되는 것이 일반적인 상황에서 이와 같은 문제점은 더욱 심각하게 대두된다. However, such a conventional intrusion detection method only uses the destination system which attempts to intrude in the process of comparing the analyzed packet contents with the intrusion type DB (eg, whether the system is a file server, a web server, a mail server, or a DB server). It does not compare whether there are any vulnerabilities, but simply compares the intrusion type DB, and if the collected packet matches the intrusion type of the DB, it generates a risk alarm regardless of the actual risk. And the risk is low, or on the contrary, even though it is not a dangerous packet, it has a problem of high risk. In addition, this problem becomes more serious when it is common to generate thousands of packets in a short time.

본 발명은 상기 종래 탐지방법의 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은 탐지된 패킷의 목적지 시스템의 용도를 고려하여 패킷을 분석하고 그 위험도를 추론한 후 알려줄 수 있는 위험도 추론 침입탐지방법을 제공하는 것이다. The present invention has been made to solve the problems of the conventional detection method, an object of the present invention is to infer the detection of risk inference detection that can inform after analyzing the packet and infer the risk in consideration of the purpose of the destination system of the detected packet To provide a way.

본 발명의 또 다른 목적은 해킹 패턴별로 해킹이 이루어지는 단계를 DB화하여 저장하고 분석된 패킷이 실제 위험도가 높은 경우 해당 패킷이 해킹의 어느 단계에 해당되는지 여부를 알려줌으로서 추후 발생될 해킹을 미연에 방지할 수 있는 위험도 추론 침입탐지방법을 제공하는 것이다. Another object of the present invention is to make a hacking pattern for each hacking pattern by DB, and if the analyzed packet has a high actual risk, the hacking that is to be generated later will be reported by indicating whether the packet corresponds to which stage of the hacking. It is to provide a risk inference detection method that can be prevented.

본 발명은 상기한 목적을 달성하기 위하여 다음과 같은 단계로 구성된다.The present invention consists of the following steps to achieve the above object.

본 발명에 따른 위험도 추론 침입탐지방법은 패킷수집기가 네트워크 패킷을 수집하는 단계와, 상기 패킷수집기에 의해 수집된 패킷을 분석하여 목적지시스템의 IP와 패킷 데이타(패킷데이타는 해커가 시도하고자 하는 궁극적인 목적을 알 수 있는 정보를 총칭함)를 분리하는 단계와, 각종 침입유형에 대한 정보를 저장하고 있는 침입유형 DB와 상기 패킷 데이타를 비교검색하여 상기 패킷이 소정의 침입유형에 해당하는지 여부를 판단하는 단계와, 상기 패킷이 소정의 침입유형에 해당되면 상기 목적지시스템의 IP 및 상기 침입유형DB로부터 파악되는 목적지시스템에 관한 정보(예컨대, 시스템의 OS, 시스템의 용도(Web서버, Mail서버, FTP서버인지 여부), 사용되는 서버프로그램명 등, 이하, '목적지시스템의 특성정보'라 함)와 상기 목적지시스템 사용용도DB를 검색비교하여 위험도를 추론하여 알려주는 단계로 구성된다. The risk inference detection method according to the present invention comprises the steps of a packet collector collecting a network packet, analyzing the packets collected by the packet collector, IP and packet data of a destination system (packet data is an ultimate attempt by a hacker). General information), and comparing the packet data with the intrusion type DB, which stores information on various intrusion types, to determine whether the packet corresponds to a predetermined intrusion type. And information about a destination system obtained from the IP of the destination system and the intrusion type DB (for example, the OS of the system and the purpose of the system (Web server, Mail server, FTP) if the packet corresponds to a predetermined intrusion type. Server, name of the server program used, etc., hereinafter, referred to as 'characteristic information of the destination system') and the destination system use DB. It is composed of the steps of inferring and notifying the risk by comparing the search

또한 본 발명에 따른 위험도 추론 침입탐지방법은 상기 패킷분석기가 해킹이 이루어지는 단계를 패턴화한 계층구조를 적재하고 있는 해킹패턴DB의 계층구조와 상기 분석된 패킷 데이타를 비교하여 해킹 레벨을 알려주는 단계를 추가로 포함할 수도 있다. In addition, the risk reasoning intrusion detection method according to the present invention compares the analyzed packet data with the hierarchical structure of the hacking pattern DB, which loads the hierarchical structure patterning the step that the packet analyzer is hacked to inform the hacking level It may further include.

본 발명에 따른 위험도 추론 침입탐지방법은 패킷수집기가 인터넷상에서 발생되는 패킷을 수집하고, 패킷분석기가 상기 패킷을 패킷데이타와 목적지시스템의 IP로 분리하며, 분리된 상기 패킷데이타와 상기 침입유형 DB를 비교하여 DB상의 침입유형에 해당되는지 여부를 판단하고, 침입유형에 해당되면 분리된 목적지시스템의 IP 및 상기 침입유형DB로부터 파악되는 목적지시스템의 특성정보와 목적지시스템 사용용도DB를 비교하여 실제 위험한 침입시도인지 여부를 판단하여 관리자에게 경보하거나 알려주게 된다. Inference detection intrusion detection method according to the present invention is a packet collector to collect the packets generated on the Internet, the packet analyzer separates the packets into the packet data and the IP of the destination system, the separated packet data and the intrusion type DB By comparison, it is determined whether or not it corresponds to the intrusion type on the DB, and if it is the intrusion type, it compares the IP of the separated destination system and the characteristic information of the destination system identified from the intrusion type DB with the destination system usage DB, and thus the actual dangerous intrusion. It will determine if it is an attempt and alert or inform the administrator.

한걸음 더 나아가 본 발명에 따른 침입탐지방법은 상기 패킷분석기가 패킷이 실제 위험한 침입시도에 해당된다고 판단하면 해킹이 이루어지는 과정을 패턴화한 계층 구조를 탑재한 해킹패턴DB를 이용하여 해당 패킷데이타를 상기 해킹패턴DB와 비교하여 해당 패킷이 해킹단계 중 어느 단계에 해당되는지 여부와 앞으로 발생될 해킹을 경보하거나 알려줌으로써 사전에 해킹을 차단할 수 있도록 한다. Further, the intrusion detection method according to the present invention uses the hacking pattern DB equipped with a hierarchical structure patterning the process of hacking when the packet analyzer determines that the packet corresponds to an actual dangerous intrusion attempt. Compared with the hacking pattern DB, the hacking can be blocked in advance by alerting or notifying which stage of the hacking step the hacking step and the hacking that will occur in the future.

이하 첨부된 도면을 참조하여 본 발명의 실시예를 설명한다. Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings.

도2를 참조하면, 본 발명의 침입탑지방법을 구현하는 침입탐지시스템은 패킷수집기(42), 패킷분석기(44), 상기 패킷분석기(44)와 연동되는 목적지시스템 사용용도 DB(45)와 침입유형 DB(48)와 해킹패턴DB(47)와, 분석된 내용에 대한 경보와 알림을 담당하는 사용자 인터페이스(46)로 구성된다.2, an intrusion detection system implementing the intrusion tower method of the present invention is a packet collector 42, a packet analyzer 44, intrusion with the destination system use DB 45 interoperating with the packet analyzer 44 Type DB (48) and hacking pattern DB (47), and the user interface 46 that is responsible for alarm and notification of the analyzed content.

상기 패킷수집기(42)는 인터넷망이나 네트워크를 통하여 송/수신되는 모든 패킷을 가로채서 수집하는 것으로, 공지된 기술이어서 이에 대한 설명은 생략한다. The packet collector 42 intercepts and collects all packets transmitted / received through an internet network or a network, and thus a description thereof will be omitted.

상기 침입유형 DB(48)는 카테고리별로 침입유형을 분류하여 이에 대한 정보를 저장하고 있으므로, 기존의 침입유형 뿐만 아니라 새로운 침입유형을 수시로 추가할 수 있다. 예컨대 상기 DB(48)에 탑재되는 침입유형에 대한 DB는 아래 표와 같이 대분류, 중분류를 기준으로 개념 정의된 구조를 가질 수도 있다. 물론 그 구조는 이에 제한되지 아니한다. 이와 같이, 상기 침입유형DB(48)에 탑재되는 침입유형은 모두 이미 발생한 침입사례를 분석하여 적재되기 때문에, 상기 패킷분석기(44)는 침입유형을 분석하는 과정에서 해당 침입유형에 취약한 목적지시스템의 특성정보를 자동적으로 파악할 수 있게 된다.Since the intrusion type DB 48 classifies intrusion types by category and stores information on the intrusion types, new intrusion types as well as existing intrusion types may be added at any time. For example, the DB for the intrusion type mounted on the DB 48 may have a structure defined conceptually on the basis of large classification and medium classification as shown in the following table. Of course, the structure is not limited to this. As described above, since all intrusion types mounted on the intrusion type DB 48 are loaded by analyzing intrusion cases that have already occurred, the packet analyzer 44 of the destination system vulnerable to the intrusion type in the process of analyzing the intrusion type. Characteristic information can be grasped automatically.

<표1:대분류>    Table 1: Major Category

대분류 명Major Category 설명Explanation 정보수집 공격Information gathering attack Hacking이 이루어지기 전 단계로 Network 또는 System의 취약점을 수집하는 공격이다. 이 공격을 통하여 System의 OS나 열려진 Port별로 사용하는 Application의 Version을 알 수 있으며 이는 해킹으로 연결될 수 도 있는 공격유형이다.It is an attack that collects network or system vulnerabilities before hacking is performed. Through this attack, you can see the version of the application used by the OS of the system or open ports. This is the type of attack that can lead to hacking. 침입공격Intrusion attack 실제로 공격이 진행중인 공격유형이다. 이러한 유형에는 백도어와 같이 시스템 내부의 정보를 유출또는 불법적인 동작이 이루어지는 경우와 인가되지 않은 접근을 시도하는 경우, 포로토콜을 해석하여 메일이나 사용자 아이디/패스워드를 보고자 시도하는 경우, 버퍼오버플로우의 취약점을 이용하여 침입을 시도하는 경우 등 즉시 조치를 취해야 하는 공격 유형이다.In fact, the type of attack is underway. These types include buffer overflows when leaking or illegal operation of information inside the system such as backdoors, attempting to gain unauthorized access, attempting to interpret the protocol to view mail or user IDs / passwords, and so on. This type of attack requires immediate action, such as attempting an intrusion using a vulnerability. 서비스거부 공격Denial of Service Attack 서비스 거부 공격은 특정 서버의 기능을 정지시킬 목적으로 엄청난 양의 네트워크 트래픽을 유발시키는 공격 유형이며, 내부의 정보가 유출되지는 않으나 기능의 장애로 인하여 업무에 치명적인 피해를 입을 수 있다.A denial of service attack is a type of attack that generates a huge amount of network traffic for the purpose of shutting down a particular server. It does not leak internal information, but it can be fatal to business due to a malfunction. 기타Etc Hacking의 패턴은 아니지만 주의가 요망되는 또는 관리적 통계에 필요한 분류 유형이며, 어플리케이션 (예를 들어 ICQ, IRC 등)에서 사용하는 경우와 업무와 관련없는 유해 사이트 접속 통계에 필요한 패턴 및 WEB 사용에 관련된 내용을 포함한다.Although not a pattern of hacking, this is a classification type that requires attention or is necessary for administrative statistics, and is used for applications (e.g. ICQ, IRC, etc.) It includes.

<표2: 중분류 >Table 2: Mid Category

대분류Main Category 중분류Category 설명Explanation 정보수집 공격Information gathering attack 공격전 탐침Aggression probe 인가받지 않은 접근(공격)을 시도하기 위한 사전 정보를 수집하기 위한 공격유형이며, 사탄을 이용한 스캔이나 포트, IP 스캔 등이 이 유형에 속한다.It is a type of attack that collects proactive information for attempting unauthorized access (attack), and this type includes scans using Satan, ports, and IP scans. 의심스러운 행위Suspicious behavior 일반적으로 공격전 탐침 이후에 이루어지는 행위로 공격전 탐침보다는 좀 더 주의가 요망되는 단계이며, 열려진 포트 등을 이전 단계에서 확인하고 그 포트를 통한 더욱 세밀한 정보를 얻으려는 시도가 이루어진다.In general, the action is performed after the pre-attack probe, which requires more attention than the pre-attack probe, and an attempt is made to check open ports at the previous stage and to obtain more detailed information through the port. 침입공격Intrusion attack 백도어Backdoor 바이러스와 유사한 형태로 시스템 내부에 존재하여 외부로 각종 정보를 유출하는 것 부터 시스템의 통제를 외부에서 불법적으로 장악할 수 있는 것 까지 다양한 종류가 있고, 외부와 연결되는 통신 Port를 감시하여 그 Port를 사용하는 백도어를 삭제하여야 한다.It exists in the form of a virus, and there are various types from leaking various information to the outside to be able to illegally take control of the system from outside and monitor the communication port connected to the outside. The backdoor used must be deleted. 버퍼오버플로우Buffer overflow 시스템 및 응용프로그램 내부 코드에서 사용하는 버퍼가 오버플로우 될때 발생하는 취약점을 이용한 공격이며, 모든 프로그램이 작성될때 이와같은 위험요소를 고려하여 구현되어야 하나 그렇지 못한 경우에 주요 공격대상이 될 수 있다. 시스템 프로그램의 경우 알려진 취약점을 보완한 패치 프로그램을 설치하여 이에 대비하여야 한다.It is an attack that exploits a vulnerability that occurs when the buffer used by the system and application internal code overflows, and it must be implemented considering such risks when all programs are written, but it can be a major target if it does not. In the case of system programs, a patch program that fixes known vulnerabilities should be installed. IP 스푸핑IP spoofing IP Address를 기반으로 접근제어를 하는 방화벽을 속이기 위한 공격유형이며, 해킹을 시도하는 컴퓨터의 IP Address를 접근이 가능한 것으로 위장하여 침입하는 것으로 방화벽의 수동적인 보호방식을 이용한 공격이다. 사후에 로그를 분석하더라도 엉뚱한 결과로 분석될 수 있다.It is an attack type to deceive a firewall that controls access based on an IP address. It is an attack that uses the passive protection method of a firewall to infiltrate the IP address of a computer attempting hacking as accessible. Even after analyzing the log, it may be misleading. 프로토콜 분석시도Protocol analysis attempt 네트워크 패킷을 가로채어 프로토콜을 분석하기 위한 시도이며, 각 패킷이 암호화되어 있지 않을 경우 사용자 아이디와 패스워드와 같은 중요한 정보가 노출될 수 있고, 주고 받는 메일의 내용이 외부로 유출될 수도 있는 공격 유형이다.It is an attempt to analyze a protocol by intercepting a network packet, and if each packet is not encrypted, it is a type of attack that may expose sensitive information such as a user ID and a password, and leak the contents of an exchanged mail. . 인가되지 않은 접근시도Unauthorized access attempt 인가받지 않고 내부 네트워크 또는 시스템에 침입을 시도하거나 내부의 정보가 외부로 유출될 수도 있는 심각한 공격 유형이며, 이경우 즉시 조치가 이루어져야 피해를 최소화 할 수 있다.It is a serious type of attack that attempts to intrude into the internal network or system without authorization or the information inside can be leaked to the outside. In this case, immediate action must be taken to minimize the damage. 서비스 거부공격Denial of Service Attack DOSDOS 서비스 거부 공격은 서버의 기능을 정지시킬 목적으로 엄청난 양의 네트워크 트래픽을 유발시키는 공격 유형이며, 곳에서 공격하거나 분산된 여러 곳에서 동시에 공격하는 패턴이 있다.A denial of service attack is a type of attack that generates a huge amount of network traffic for the purpose of shutting down a server. There are patterns of attacks from one location or from several distributed locations simultaneously. 기타Etc 어플리케이션application 사용되는 어플리케이션 패턴에 대한 정보이며, 이러한 어플리케이션에 대해 알려진 해킹공격에 따라 취약할 수도 있다. 특히 메신저 프로그램에 대한 경우는 주의가 요망된다.Information about the application patterns used, and may be vulnerable to known hacking attacks against these applications. In particular, attention should be paid to the messenger program. 잘못된 사용Misuse 업무와 무관하게 접속되는 잘못된 사용에 대한 정보를 탐지한 경우 로서, 내부 관리의 목적상 필요할 수도 있지만 해킹과는 무관한 정보들이며. 이러한 유형으로는 음란내용, 도박, 스포츠, 증권 등에 관련된 내용들이다.Detects information about misuse that is connected regardless of work, and may be necessary for internal management purposes but is not related to hacking. These types include pornography, gambling, sports, and securities. Web 정보Web information 외부에서 내부의 Web서버로 접속하여 사용되는 정보들에 대한 유형이며, 이중에는 Web Server의 종류와 버젼에 따라 주의가 요망되는 경우도 있다.This is a type of information used to connect to internal web server from outside, and some of them may require attention depending on the type and version of web server. 기타정보Other information 공격의 패턴으로 분류할 수는 없지만 침입탐지에서 감지된 기타 여러가지의 정보들을 나타낸다.Although it cannot be classified as an attack pattern, it shows various other information detected by intrusion detection.

상기 목적지시스템 사용용도 DB(45)는 목적지시스템의 IP, 그 시스템에 사용되는 OS(window NT,Solaris, Linux 등), 그 시스템의 용도(FTP 서버, Web서버, Mail서버, DB서버 등), 그 시스템에서 사용되는 서버프로그램명(예컨대 Web서버는 lls 나 Aparch 등을 사용하고, FTP서버는 wu-ftpd나 proftpd 등을 사용하며, Mail 서버는 Msexchange나 Lotusnotes, DB서버는 Oracle, MsSQL SERVER을 사용함)등 (이하, '목적지시스템 사용용도정보'라 함)을 저장하고 있다. The destination system use DB 45 is the IP of the destination system, the OS (window NT, Solaris, Linux, etc.) used for the system, the purpose of the system (FTP server, Web server, Mail server, DB server, etc.), Server program name used in the system (e.g., Web server uses lls or Aparch, FTP server uses wu-ftpd or proftpd, Mail server uses Msexchange or Lotusnotes, DB server uses Oracle, MsSQL SERVER, etc.) (Hereinafter referred to as 'purpose system usage information').

상기 해킹패턴DB(47)는 도4에 도시된 바와 같이 해킹 유형별로 해킹 단계를 세분화하여 계층적으로 구조화한 해킹패턴 구조 DB를 저장하고 있다. As illustrated in FIG. 4, the hacking pattern DB 47 stores the hacking pattern structure DB hierarchically structured by subdividing the hacking step by hacking type.

도3을 참조하면, 상기 패킷분석기(44)는 수집된 패킷을 목적지 시스템의 IP와 패킷 데이타를 분리하며(52,54), 상기 분석된 패킷 데이타와 상기 침입유형 DB(48)를 비교하여 소정의 침입유형에 해당하는지 여부를 판단하고(56), 소정의 침입유형에 해당하지 아니하면 분석을 종료한다(66). 나아가 상기 패킷 분석기(44)는 수집된 패킷이 소정의 침입유형에 해당하면 앞서 분리된 목적지 시스템의 IP 및 상기 침입유형DB(47)로부터 파악되는 목적지시스템 특성정보와 동일한 목적지시스템 사용용도정보를 가진 목적지시스템이 존재하는지 여부를 확인하기 위하여 상기 목적지시스템 사용용도DB(45)를 검색하고(58), 검색결과, 존재한다면 상기 패킷이 목적지 시스템에 영향을 줄 수 있는 위험한 것이라고 판단하여 사용자에게 경보하거나 알려주고(64) 그렇지 않다면 분석을 종료한다(66). 또한 상기 패킷분석기(44)는 패킷이 시스템에 위해를 가할 침입임을 판단한(60) 후 상기 해킹패턴DB(47)와 연동되어 상기 DB(47)에 탑재된 해킹패턴 구조DB를 검색하고(62) 상기 패킷이 해킹의 어느 단계에 위치하고 있으며 앞으로 어느 방향으로 발전해 나갈 것인지 여부에 대하여 추가로 경보하거나 알려 줄 수도 있다(64).Referring to FIG. 3, the packet analyzer 44 separates the collected packets from the destination system's IP and packet data (52, 54), and compares the analyzed packet data with the intrusion type DB 48. It is determined whether or not the intrusion type of the (56), and if it does not correspond to the predetermined intrusion type is terminated analysis (66). Furthermore, if the collected packet corresponds to a predetermined intrusion type, the packet analyzer 44 has destination system usage information that is the same as the IP of the separated destination system and destination system characteristic information identified from the intrusion type DB 47. Search the destination system usage database 45 to determine whether the destination system exists (58), and if it is present, determine that the packet is dangerous to affect the destination system and alert the user; (64) otherwise end the analysis (66). In addition, the packet analyzer 44 determines that the packet is an intrusion to harm the system (60), and then searches for the hacking pattern structure DB mounted on the DB 47 in association with the hacking pattern DB 47 (62). The packet may be further alerted or notified at which stage of the hack and in which direction it will develop (64).

앞서 본 바와 같은 본 발명의 실시예에 따른 침입탐지방법의 작동에 대하여 다음과 같이 설명한다.The operation of the intrusion detection method according to the embodiment of the present invention as described above will be described as follows.

"코드레드"는 windowNT의 IIS웹서버를 통해 들어와서 매우 짧은 주기로 패킷을 만들어 windowNT의 IIS웹서버를 감염시키는 웜 바이러스의 일종이다. 상기 "코드레드"가 만든 패킷을 IIS가 받게 되면 바로 코드레드에 감염되게 된다. 그러나 "코드레드"는 운영체계가 windowNT이고 서버 프로그램이 IIS인 웹서버만을 감염시키기 때문에 웹서버가 아닌 메일서버나 FTP서버 등에는 아무런 영향을 미치지 아니하며 나아가 웹서버라하더라도 windowNT 운영체계나 IIS서버 프로그램을 사용하지 아니하는 웹서버에는 아무런 영향을 주지 못한다. "Code Red" is a type of worm that enters through windowNT's IIS web server and infects windowNT's IIS web server by making packets in very short cycles. As soon as IIS receives the packet created by "Code Red", it becomes infected with Code Red. However, "Code Red" does not affect mail server or FTP server other than web server because it only infects web server whose window system is windowNT and IIS is IIS. It has no effect on web servers that do not use.

이와 같이 "코드레드"는 windowNT의 IIS웹서버만을 감염시킴에도 불구하고 종래의 침입탐지시스템에서는 "코드레드"가 만든 패킷을 탐지하기만 하면 목적지 시스템의 용도가 웹서버인지 메일서버인지 여부를 검토하지 아니하고 경보를 하기 때문에 목적지시스템이 메일서버인 경우에도 경보를 수행하게 되며, 이러한 문제점으로 인해 사용자는 위험에 대한 경고 메시지에 무감각해질 수 있고 신속한 대처를 할 수 없게 된다. Thus, although "Code Red" only infects the IIS web server of windowNT, the conventional intrusion detection system only detects packets made by "Code Red" and examines whether the destination system is a web server or a mail server. If the destination system is a mail server, the alarm is triggered, and the user may be insensitive to the warning message about the danger and cannot respond quickly.

그러나 본 발명에 따른 침입탐지 방법에 의하면, 상기 패킷 수집기(42)는 "코드레드"가 만든 패킷을 수집한다. 그 후 상기 패킷분석기(54)는 상기 패킷을 목적지 시스템의 IP와 패킷 데이타로 분리하고(52,54), 상기 패킷이 침입유형 DB(48)에 탑재된 소정의 침입유형에 해당하는지 여부를 판단하며(56), 상기 패킷이 소정의 침입유형에 해당하면 상기 목적지시스템 사용용도 DB(45)를 검색하고(58), 그 결과, 상기 패킷에서 분리된 IP 및 상기 침입유형DB(47)로부터 파악되는 목적지시스템의 특성정보(OS가 windowNT, 서버프로그램이 IIS인 웹서버)와 일치하는 목적지시스템 사용용도정보(OS가 windowNT, 서버프로그램이 IIS인 웹서버)를 가진 목적지시스템이 존재한다면, 위험도가 높다는 사실을 경고하거나 알려주고(60,64), 그 이외의 경우(예를 들어, OS가 Solaris, Linux이거나 용도가 FTP서버, Mail서버 또는, 웹서버인 경우에도 서버프로그램이 Aparch인 경우)에는 경고 등을 진행하지 아니하고 분석을 종료한다(66). However, according to the intrusion detection method according to the present invention, the packet collector 42 collects packets made by "Code Red". The packet analyzer 54 then separates the packet into IP and packet data of the destination system (52, 54), and determines whether the packet corresponds to a predetermined intrusion type mounted in the intrusion type DB 48. If the packet corresponds to a predetermined intrusion type (56), the destination system use DB 45 is retrieved (58), and as a result, the IP separated from the packet and the intrusion type DB 47 are identified. If there is a destination system with the destination system usage information (OS is windowNT, the server program is IIS), and the destination system matches the characteristic information of the destination system (OS is windowNT, the server program is IIS), Alerts or informs you that it is high (60, 64), and in other cases (for example, if the server program is Aparch even if the OS is Solaris, Linux, or if the purpose is an FTP server, a mail server, or a web server). Without proceeding And it terminates the analysis (66).

또한 위험도가 높다고 판단한 경우에는, 상기 패킷 분석기(44)는 상기 패킷이 도4에 도시된 바와 같은 계층 구조를 가지는 해킹패턴을 탑재하고 있는 해킹패턴DB(47)의 계층 구조 중 어느 단계에 해당하는지 여부를 판단하여 사용자에게 그 단계를 추가로 알려주거나 경고해 줄 수도 있다(62,64). 도4에 도시된 바와 같이, "코드 레드"에 의한 공격은 바이러스에 의한 서비스 거부 공격의 일종으로, 그로 인한 공격 단계는 서비스 거부 초기 단계, 서비스 거부 중간 단계와 서비스 거부 공격 단계로 구분될 수 있고, 각 단계는 단위 시간당 발생되는 서비스 거부 공격 패킷 수에 의해 구분된다. 상기 해킹패턴DB(47)의 계층 구조는 단위 시간당 "코드레드"에 의해 발생되는 패킷의 수를 기준으로 분류되는데, 예컨대 패킷의 수가 30초 동안 10개이내는 서비스 거부 초기 단계로, 10초 동안 100개 이내는 서비스 거부 중간 단계로, 10초 동안 200개 이내는 서비스 거부 공격 단계로 구조화되어 상기 DB(47)에 탑재된다. 따라서, 상기 패킷 분석기(44)는 상기 해킹 패턴DB(47)와 연동되어 "코드레드"에 의해 발생되는 패킷의 수가 30초당 10개 이내라면 사용자에게 서비스 거부 초기 단계임을 알려주고 추후 해킹 행위가 서비스 중간단계와 서비스 공격 단계로 진행될 가능성이 있음을 경보하며, 10초당 100개 이내라면 서비스 중간단계 임을 알려주며 추후 서비스 공격 단계로 진행될 가능성이 있음을 경보 하고, 10초당 200개 이내라면 서비스 공격 단계임을 경보한다. In addition, when it is determined that the risk is high, the packet analyzer 44 determines which stage of the hierarchical structure of the hacking pattern DB 47 in which the packet is loaded with a hacking pattern having a hierarchical structure as shown in FIG. It may determine whether or not to further inform or warn the user of the steps (62, 64). As shown in Fig. 4, the attack by “code red” is a kind of denial of service attack by a virus, and the attack phase may be divided into an initial denial of service, an intermediate denial of service, and a denial of service attack step. Each stage is distinguished by the number of denial of service attack packets generated per unit time. The hierarchical structure of the hacking pattern DB 47 is classified based on the number of packets generated by " code red " per unit time. For example, the number of packets is less than 10 for 30 seconds. Less than 100 are structured as intermediate denial of service, and less than 200 are denial-of-service attacks during 10 seconds and are mounted on the DB 47. Accordingly, the packet analyzer 44, in conjunction with the hacking pattern DB 47, notifies the user of the initial stage of denial of service if the number of packets generated by "code red" is less than 10 per 30 seconds. Alerts that there is a possibility to proceed to the stage and service attack phase, alerts that the service is in the middle of service if it is within 100 per 10 seconds, alerts that there is a possibility of proceeding to the service attack phase in the future, and alerts to the service attack if it is within 200 per 10 seconds. .

상기한 실시예는 본 발명의 일예에 지나지 않으며, 본 발명은 그 기술적 범위를 초과하지 아니하는 어떠한 변경 및 수정도 가능하다. The above embodiments are merely examples of the present invention, and the present invention may be changed and modified without exceeding its technical scope.

상기 구성에 의해 본 발명은 다음과 같은 효과를 도모할 수 있다 By the above configuration, the present invention can achieve the following effects.

본 발명은 탐지된 패킷의 목적지 시스템의 용도를 고려하여 패킷을 분석하여 그 위험도를 추론하고 알려줄 수 있기 때문에, 잘못된 경보(False Alarm)의 남발로 인한 침입탐지시스템의 무력화를 방지할 수 있는 효과를 도모할 수 있다. Since the present invention can infer and inform the risk by analyzing the packet in consideration of the purpose of the destination system of the detected packet, it is possible to prevent the intrusion detection system from being ineffective due to the false alarm. We can plan.

본 발명은 해킹 패턴별로 해킹이 이루어지는 과정을 DB화하여 저장하고 분석된 패킷이 실제 위험도가 높은 경우 해당 패킷이 해킹의 어느 단계에 해당되는지 여부를 알려줌으로서 추후 발생될 해킹을 미연에 방지할 수 있는 효과를 도모할 수 있다.
According to the present invention, if a hacking pattern is processed by DB, the hacking process is made into a DB, and if the analyzed packet has a high risk, the step of hacking is notified. The effect can be aimed at.

Claims (2)

패킷수집기가 네트워크 패킷을 수집하는 단계와, 패킷분서기가 상기 패킷수집기에 의해 수집된 패킷의 목적지시스템의 IP와 패킷 데이타를 분리하는 단계와, 상기 패킷분석기가 각종 침입유형에 대한 정보를 저장하고 있는 침입유형 DB와 상기 패킷 데이타를 비교검색하여 상기 패킷이 소정의 침입 유형에 해당하는지 여부를 판단하는 단계와, 소정의 침입유형에 해당되면 상기 분리된 목적지시스템의 IP 및 상기 침입유형DB로부터 파악되는 목적지시스템의 특성정보와 상기 목적지시스템 사용용도DB를 검색비교하여 IP 및 특성정보와 일치하는 사용용도정보를 가진 목적지시스템의 존재여부를 판단하여 위험도를 추론하여 알려주는 단계를 포함하는 위험도 추론 침입탐지방법.A packet collector collecting network packets, a packet separator separating IP and packet data of a destination system of a packet collected by the packet collector, and the packet analyzer stores information about various intrusion types Comparing the intrusion type DB with the packet data to determine whether the packet corresponds to a predetermined intrusion type; and if the packet corresponds to a predetermined intrusion type, identifying the IP of the separated destination system and the intrusion type DB. Inferring risk inference including the step of inferring the risk by determining the existence of the destination system having the usage information matching the IP and the characteristic information by searching and comparing the characteristic information of the destination system with the usage system DB. Detection method. 제1항에 있어서, 상기 패킷분석기가 상기 패킷 데이타와, 해킹이 이루어지는 과정을 패턴화한 계층구조를 적재하고 있는 해킹패턴DB의 계층구조를 비교하여 상기 패킷이 속하는 레벨을 알려주는 단계를 추가로 포함하는 위험도 추론 침입탐지방법.The method of claim 1, further comprising the step of the packet analyzer comparing the packet data with the hierarchical structure of the hacking pattern DB that loads the hierarchical structure patterning the hacking process to indicate the level to which the packet belongs. Risk Reasoning Intrusion Detection Method.
KR1020010079010A 2001-12-13 2001-12-13 Intrusion Detection Method for Inferring Risk Level KR100578506B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020010079010A KR100578506B1 (en) 2001-12-13 2001-12-13 Intrusion Detection Method for Inferring Risk Level

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020010079010A KR100578506B1 (en) 2001-12-13 2001-12-13 Intrusion Detection Method for Inferring Risk Level

Publications (2)

Publication Number Publication Date
KR20030048954A KR20030048954A (en) 2003-06-25
KR100578506B1 true KR100578506B1 (en) 2006-05-12

Family

ID=29574788

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020010079010A KR100578506B1 (en) 2001-12-13 2001-12-13 Intrusion Detection Method for Inferring Risk Level

Country Status (1)

Country Link
KR (1) KR100578506B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100447896B1 (en) * 2002-11-12 2004-09-10 학교법인 성균관대학 network security system based on black-board, and method for as the same

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19990062289A (en) * 1997-12-31 1999-07-26 유기범 Satellite Resource Security System in Multimedia Satellite Communication System
KR20000010253A (en) * 1998-07-31 2000-02-15 최종욱 Trespass detection system and module of trespass detection system using arbitrator agent
KR20000054538A (en) * 2000-06-10 2000-09-05 김주영 System and method for intrusion detection in network and it's readable record medium by computer
KR20010105490A (en) * 2000-05-10 2001-11-29 이영아 Hacking detection and chase system
KR100351306B1 (en) * 2001-01-19 2002-09-05 주식회사 정보보호기술 Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof
KR20030020038A (en) * 2001-08-29 2003-03-08 삼성전자주식회사 Method for filtering internet protocol packet in customer premise equipment of digital subscriber line
KR20030048933A (en) * 2001-12-13 2003-06-25 주식회사 이글루시큐리티 Intrusion Detection System for Inferring Risk Level

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19990062289A (en) * 1997-12-31 1999-07-26 유기범 Satellite Resource Security System in Multimedia Satellite Communication System
KR100262310B1 (en) * 1997-12-31 2000-07-15 강병호 Satellite source protection system of multimedia satellite communication system
KR20000010253A (en) * 1998-07-31 2000-02-15 최종욱 Trespass detection system and module of trespass detection system using arbitrator agent
KR20010105490A (en) * 2000-05-10 2001-11-29 이영아 Hacking detection and chase system
KR20000054538A (en) * 2000-06-10 2000-09-05 김주영 System and method for intrusion detection in network and it's readable record medium by computer
KR100351306B1 (en) * 2001-01-19 2002-09-05 주식회사 정보보호기술 Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof
KR20030020038A (en) * 2001-08-29 2003-03-08 삼성전자주식회사 Method for filtering internet protocol packet in customer premise equipment of digital subscriber line
KR20030048933A (en) * 2001-12-13 2003-06-25 주식회사 이글루시큐리티 Intrusion Detection System for Inferring Risk Level

Also Published As

Publication number Publication date
KR20030048954A (en) 2003-06-25

Similar Documents

Publication Publication Date Title
CN111385236B (en) Dynamic defense system based on network spoofing
Kumar Survey of current network intrusion detection techniques
US8635666B2 (en) Anti-phishing system
US7549166B2 (en) Defense mechanism for server farm
US6405318B1 (en) Intrusion detection system
US8640234B2 (en) Method and apparatus for predictive and actual intrusion detection on a network
US20030188189A1 (en) Multi-level and multi-platform intrusion detection and response system
US20060026683A1 (en) Intrusion protection system and method
KR20000072707A (en) The Method of Intrusion Detection and Automatical Hacking Prevention
CN111835694B (en) Network security vulnerability defense system based on dynamic camouflage
JP2002342279A (en) Filtering device, filtering method and program for making computer execute the method
Kizza System intrusion detection and prevention
CN113422779B (en) Active security defense system based on centralized management and control
KR100578503B1 (en) Intrusion Detection System for Inferring Risk Level
KR20030035142A (en) Method for Providing Enterprise Security Management Service
Singh Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis
KR100578506B1 (en) Intrusion Detection Method for Inferring Risk Level
KR20030035143A (en) Enterprise Security Management System
KR100879608B1 (en) A Network Traffic Analysis and Monitoring Method based on Attack Knowledge
Mittal et al. A Study of Different Intrusion Detection and Prevension System
Tan NIDS—Should You Do Without It
Szczepanik et al. Detecting New and Unknown Malwares Using Honeynet
KR20030087583A (en) A system for detecting hacker invasion of personal computer
Lawrence Intrusion Prevention Systems: The Future of Intrusion Detection?
Palekar et al. Complete Study Of Intrusion Detection System

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130503

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140502

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20150504

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20160503

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20180504

Year of fee payment: 13

J204 Request for invalidation trial [patent]
J121 Written withdrawal of request for trial
J204 Request for invalidation trial [patent]
J121 Written withdrawal of request for trial
FPAY Annual fee payment

Payment date: 20200122

Year of fee payment: 15