KR100587612B1 - 침입 탐지 시스템에서 중복 이벤트 제거 방법 - Google Patents

침입 탐지 시스템에서 중복 이벤트 제거 방법 Download PDF

Info

Publication number
KR100587612B1
KR100587612B1 KR1020030080622A KR20030080622A KR100587612B1 KR 100587612 B1 KR100587612 B1 KR 100587612B1 KR 1020030080622 A KR1020030080622 A KR 1020030080622A KR 20030080622 A KR20030080622 A KR 20030080622A KR 100587612 B1 KR100587612 B1 KR 100587612B1
Authority
KR
South Korea
Prior art keywords
event
intrusion
packet
file
duplicate
Prior art date
Application number
KR1020030080622A
Other languages
English (en)
Other versions
KR20050046372A (ko
Inventor
이해진
Original Assignee
엘지엔시스(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지엔시스(주) filed Critical 엘지엔시스(주)
Priority to KR1020030080622A priority Critical patent/KR100587612B1/ko
Publication of KR20050046372A publication Critical patent/KR20050046372A/ko
Application granted granted Critical
Publication of KR100587612B1 publication Critical patent/KR100587612B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 이벤트가 수신되면, 침입을 감시하기 위한 시스템에서 발생하는 이벤트가 수신되면, 상기 이벤트가 침입을 나타낸 이벤트인지의 여부를 판단하고, 상기 판단결과 상기 이벤트가 침입을 나타낸 이벤트이면, 미리 정의된 신호가 저장되어 있는 테이블에 상기 이벤트와 상응하는 이벤트가 존재하는지의 여부를 판단하며, 상기 판단결과 상기 테이블에 상기 이벤트와 상응하는 이벤트가 존재하면, 해당 이벤트를 드랍시키고, 존재하지 않으면, 해당 이벤트를 침입 정보와 함께 상기 시스템으로 전송하여 침입을 알리는 것으로서, 중복된 이벤트를 삭제함으로써 침입을 탐지하는 시스템 엔진의 이벤트 처리량을 줄여서 프로세서 사용율을 줄일 뿐만 아니라 전송할 이벤트 수가 줄어들어 전송 모듈 및 전체 시스템의 부하를 줄일 수 있
침입탐지, 중복이벤트

Description

침입 탐지 시스템에서 중복 이벤트 제거 방법{Method for eliminating overlapped event in invasion detection system}
도 1은 일반적인 호스트 침입 탐지 시스템의 구성을 개략적으로 나타낸 블럭도.
도 2는 종래의 침입 탐지 서버의 구성을 개략적으로 나타낸 블럭도.
도 3은 종래의 파일/레지스트리 모니터의 동작을 나타낸 흐름도.
도 4는 종래의 네트워크 엔진의 동작을 나타낸 흐름도.
도 5는 본 발명의 바람직한 일실시예에 따른 침입 탐지 서버의 구성을 개략적으로 나타낸 블럭도.
도 6은 본 발명의 바람직한 일 실시예에 따른 파일/레지스트리 모니터의 동작을 나타낸 흐름도.
도 7은 본 발명의 바람직한 일 실시예에 따른 해쉬 테이블을 나타낸 도면.
도 8은 본 발명의 바람직한 일 실시예에 따른 네트워크 엔진의 동작을 나타낸 흐름도.
<도면의 주요 부분에 대한 부호의 설명>
100 : 침입 탐지 서버 110 : 관리서버
200, 500 : 파일 모니터 210, 510 : 레지스트리 모니터
220, 520 : 네트워크 모니터 230, 530 : 커널 인터페이스
240, 540 : 시스템 엔진 250, 550 : 로그 저장 모듈
260, 560 : 네트워크 엔진 270, 570 : 전송 모듈
505, 515, 565 : 중복 이벤트 제거 모듈
본 발명은 동일한 이벤트가 발생한 경우 중복 이벤트를 삭제하여 전송 모듈로 보내는 침입 로그를 줄이는 침입 탐지 시스템에서 중복 이벤트 제거 방법에 관한 것이다.
지식 정보화 사회가 고도화될수록 네트워크 및 정보 시스템에 대한 주요 업무의 의존도가 높아지고 있으며, 네트워크를 통한 정보 서비스 영역은 급증하고 있다. 반면 정보화 역기능 사례 역시 날이 갈수록 급증하고 있는데, 대표적인 정보화 역기능이 인터넷을 통한 기업/기관 네트워크상의 주요 정보 시스템에 대한 침입 및 공격 행위, 이른바 해킹이다.
이러한 침입 및 공격 행위에 대비하여 네트워크 및 주요 정보 시스템을 보호하기 위한 다양한 네트워크 및 시스템 보안 기법과 장치들이 개발되고 있다. 침입 탐지 시스템은 네트워크 및 시스템 보안 장치의 하나로 네트워크 및 주요 정보 서비스가 가동중인 호스트를 모니터링하고 침입으로 의심되는 행위가 발견될때 보안 관리자에게 경보하고 침입자의 행위에 대한 상세 보고서를 제출하며 해당 행위에 대해 보안 대책을 제공해주는 시스템이다.
상기한 침입 탐지 시스템은 그 대상이 네트워크인지 호스트인지에 따라 NIDS와 HIDS로 나뉘어지고 이러한 NIDS와 HIDS를 결합한 시스템인 하이브리드 IDS가 있다.
이하 도면을 참조하여 상기와 같은 호스트 침입 탐지 시스템에 대하여 설명하기로 한다.
도 1은 일반적인 호스트 침입 탐지 시스템의 구성을 개략적으로 나타낸 블럭도이다.
도 1을 참조하면, 호스트 침입 탐지 시스템은 호스트 침입 탐지 서버(100), 관리 서버(110)를 포함한다.
상기 호스트 침입 탐지 서버(100)는 외부의 공격으로부터 보호되어야 할 서버에 침입 탐지 전용 프로그램이 설치된 서버로서, 데이터베이스 서버, 웹서버., 파일 서버등을 말한다. 상기 호스트 침입 탐지 서버(100)에 대한 상세한 설명은 도 2를 참조한다.
상기 관리서버(110)는 호스트 침입 탐지 시스템을 운영하기 위한 관리 서버이며, 상기 호스트 침입 탐지 서버(100)의 침입 탐지에 대한 로그와 정책을 관리한다.
상기와 같이 구성된 호스트 침입 탐지 시스템은 기본적으로 보호 대상이 되는 서버의 네트워크 침입 탐지, 파일 접근, 레지스트리 접근, 사용자 로그인, 파일 무결성 검사 등의 기능을 수행한다.
도 2는 종래의 침입 탐지 서버의 구성을 개략적으로 나타낸 블럭도이다.
도 2를 참조하면, 침입 탐지 서버는 크게 시스템 관련 이벤트를 탐지하는 부분과 네트워크 패킷 관련 이벤트를 탐지하는 부분으로 구성된다.
즉, 상기 침입 탐지 서버는 파일 모니터(200), 레지스트리 모니터(210), 네트워크 모니터(220), 커널 인터페이스(230), 시스템 엔진(240), 로그 저장 모듈(250), 네트워크 엔진(260), 전송모듈(270)을 포함한다.
상기 파일 모니터(200)는 시스템에서 발생하는 파일 동작에 대한 이벤트를 수집하고, 상기 레지스트리 모니터(210)는 시스템에서 발생하는 레지스트리 동작에 대한 이벤트를 수집한다.
상기 네트워크 모니터(220)는 해당 시스템으로 들어오고 나가는 네트워크 패킷을 수집한다.
상기 시스템 엔진(240)은 시스템 관련 이벤트에 대한 침입을 탐지하는 역할을 수행한다. 즉, 상기 시스템 엔진(240)은 상기 파일 모니터(200) 또는 레지스트리 모니터(210)로부터 전송된 이벤트에 대하여 침입여부를 판단한다. 상기 판단결과 해당 이벤트가 침입으로 판단되면, 상기 시스템 엔진(240)은 전송모듈(270)로 침입 정보를 전송한다.
상기 네트워크 엔진(260)은 네트워크 패킷에 대한 침입을 탐지하는 역할을 수행한다. 즉, 상기 네트워크 엔진(260)은 미리 정의된 신호를 이용하여 해당 패킷에 대한 침입여부를 판단하여 전송모듈(270)로 침입 정보를 전송한다.
상기 전송모듈(270)은 시스템 엔진(240)과 네트워크 엔진(260)으로부터 전송된 침입 정보를 관리 서버로 전송하는 역할을 한다.
이하 상기와 같이 구성된 침입 탐지 서버의 동작에 대하여 설명하기로 한다.
파일/레지스트리 모니터(200, 210)는 파일 시스템 관련 이벤트가 수신되면, 상기 수신된 이벤트를 미리 정의된 신호와 비교하여 상기 신호에 해당되는 이벤트인지의 여부를 판단한다. 상기 판단결과 상기 이벤트가 상기 신호에 해당되는 이벤트이면, 상기 파일/레지스트리 모니터(200, 210)는 이벤트 구조체를 만들어 커널 인터페이스(230)를 통해 시스템 엔진(240)으로 전송한다.
상기 시스템 엔진(240)은 상기 전송된 이벤트에 대하여 침입인지 아닌지를 판단하여 침입 정보를 상기 전송모듈(270)로 전송한다.
네트워크의 경우, 네트워크 모니터(220)는 해당 시스템에 대한 네트워크 패킷을 캡쳐해서 커널 인터페이스(230)를 통해 네트워크 엔진(260)으로 전송한다.
상기 네트워크 엔진(260)은 상기 네트워크 모니터(220)로부터 전송된 네트워크 패킷을 검사하여 미리 정의된 신호와 비교하여 공격이 탐지되면 해당 이벤트를 전송 모듈(270)로 전송한다.
도 3은 종래의 파일/레지스트리 모니터의 동작을 나타낸 흐름도이다.
도 3을 참조하면, 파일/레지스트리 모니터는 이벤트를 수집하여(S300), 각 이벤트를 미리 정의된 신호와 비교하여(S302), 이벤트가 상기 신호에 해당되는 이 벤트인지의 여부를 판단한다(S304). 여기서, 상기 미리 정의된 신호는 바이러스 정보등과 같이 침입정보를 나타낸 신호이다.
단계 304의 판단결과 상기 이벤트가 상기 신호에 해당되는 이벤트이면, 상기 파일/레지스트리 모니터는 해당 이벤트를 시스템 엔진에 전송한다(S306). 그러면, 상기 시스템 엔진는 상기 전송된 이벤트에 대하여 침입 여부를 다시 판단하게 된다.
만약, 단계 304의 판단결과 상기 이벤트가 상기 신호에 해당되지 않으면,상기 파일/레지스트리 모니터는 해당 이벤트를 삭제한다(S308).
도 4는 종래의 네트워크 엔진의 동작을 나타낸 흐름도이다.
도 4를 참조하면, 네트워크 엔진은 네트워크 패킷을 수신한 후(S400), 상기 수신된 패킷이 유효한지의 여부를 판단한다(S402).
단계 402의 판단결과 상기 패킷이 유효하면, 상기 네트워크 엔진은 해당 패킷에 대하여 미리 정의된 신호와 비교하여(S404), 해당 패킷이 침입을 나타낸 패킷인지의 여부를 판단한다(S406). 여기서, 상기 미리 정의된 신호는 바이러스 정보와 같은 침입 여부를 나타낸 신호이다.
단계 406의 판단결과 해당 패킷이 침입을 나타낸 패킷이면, 상기 네트워크 엔진은 해당 패킷을 전송모듈로 전송한다(S408). 그러면, 상기 전송모듀을 상기 침입정보를 포함하는 패킷을 관리 서버에 전송한다.
만약, 단계 402의 판단결과 상기 패킷이 유효하지 않으면, 상기 네트워크 엔진은 해당 패킷을 삭제한다(S410).
만약, 단계 406의 판단결과 해당 패킷이 침입을 나타낸 패킷이 아니면,상기 네트워크 엔진은 상기 패킷을 삭제한다(S412).
그러나 상기와 같은 종래에는 파일 이벤트의 경우 동일한 이벤트가 발생하면, 이를 모두 처리하여 시스템 엔진으로 전송하므로 로그가 많이 발생하여 시스템 뿐만아니라 시스템 엔진의 부하를 주게 되고 이를 전송하기 위한 전송 모듈에도 부하를 주게 되는 문제점이 있다.
또한, 전송모듈을 통해 서버로 동일한 침입 로그가 전송되는 경우, 서버에 부하를 주게되는 문제점이 있다.
따라서, 본 발명의 목적은 동일한 이벤트가 발생한 경우 중복 이벤트를 삭제함으로써 전송 모듈로 보내는 침입 로그를 줄여 시스템 부하를 줄일 수 있는 침입 탐지 시스템에서 중복 이벤트 제거 방법을 제공하는데 있다.
상기 목적들을 달성하기 위하여 본 발명의 일 측면에 따르면, 침입을 감시하기 위한 시스템에서 발생하는 이벤트가 수신되면, 상기 이벤트가 침입을 나타낸 이벤트인지의 여부를 판단하고, 상기 판단결과 상기 이벤트가 침입을 나타낸 이벤트이면, 미리 정의된 신호가 저장되어 있는 테이블에 상기 이벤트와 상응하는 이벤트가 존재하는지의 여부를 판단하며, 상기 판단결과 상기 테이블에 상기 이벤트와 상응하는 이벤트가 존재하면, 해당 이벤트를 드랍시키고, 존재하지 않으면, 해당 이벤트를 침입 정보와 함께 상기 시스템으로 전송하여 침입을 알리는 것을 특징으로 하는 침입 탐지 시스템에서 중복 이벤트 제거 방법이 제공된다.
본 발명의 다른 측면에 따르면, 시스템의 침입여부를 감시하기 위한 침입 감시 시스템이 상기 시스템의 파일 이벤트의 중복 이벤트를 제거하는 방법에 있어서, 상기 시스템에 파일 이벤트가 발생하여, 해당 파일 이벤트가 수신되면, 상기 이벤트가 미리 정의된 신호에 해당하는지의 여부를 판단하고, 상기 판단결과 상기 이벤트가 미리 정의된 신호에 해당하면 상기 침입 탐지 시스템에 저장되어 있는 해쉬 테이블에 해당 파일 이벤트의 프로세서가 존재하는지의 여부를 판단하며, 상기 판단결과 상기 해쉬 테이블에 해당 프로세서가 존재하면, 상기 해쉬 테이블에 상기 프로세서와 동일한 레코드가 존재하는지의 여부를 판단하여, 상기 판단결과 상기 해쉬 테이블에 상기 프로세서와 동일한 레코드가 존재하면, 해당 이벤트를 삭제하는 것을 특징으로 하는 침입 탐지 시스템에서 중복 이벤트 제거 방법이 제공된다.
상기 해쉬 테이블에 해당 프로세스가 존재하지 않으면, 해당 프로세스에 대한 테이블을 생성한다.
상기 해쉬 테이블에 동일 레코드가 존재하지 않으면, 상기 해쉬 테이블에 해당 이벤트에 대한 레코드를 추가하여 해당 이벤트를 전송한다.
상기 미리 정의된 신호는 침입을 나타내는 신호이다.
상기 해당 이벤트가 미리 정의된 신호에 해당하지 않으면 해당 이벤트를 삭제한다.
상기 해쉬 테이블은 현재 동작중인 프로세스 ID를 포함하는 1단계 테이블과 이전에 실행된 파일 이름과 동작을 포함하는 2단계 테이블로 구성된다.
본 발명의 또다른 측면에 따르면, 시스템의 침입여부를 감시하기 위한 침입 감시 시스템이 상기 시스템에 입출력되는 네트워크 패킷의 중복 이벤트를 제거하는 방법에 있어서, 상기 시스템에 수신되는 패킷을 수집하고, 상기 패킷이 미리 정의된 신호에 해당하는지의 여부를 판단하고, 상기 판단결과 상기 패킷이 미리 정의된 신호에 해당하면, 상기 패킷을 미리 저장되어 있는 패킷정보와 비교하며, 상기 패킷 정보에 상기 패킷의 엔트리와 상응하는 패킷이 존재하면, 상기 패킷을 드랍시키는 것을 특징으로 하는 침입 탐지 시스템에서 중복 이벤트 제거 방법이 제공된다.
상기 패킷 정보에 상기 패킷의 엔트리와 상응하는 패킷이 존재하지 않으면, 상기 패킷을 침입 정보와 함께 전송한다.
상기 미리 정의된 신호는 침입을 나타내는 신호이다.
상기 패킷의 엔트리는 프로토콜, 소스IP, 목적지 IP, SID, 소스 포트, 목적지 포트이다.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다.
도 5는 본 발명의 바람직한 일실시예에 따른 침입 탐지 서버의 구성을 개략적으로 나타낸 블럭도이다.
도 5를 참조하면, 침입 탐지 서버는 파일 모니터(500), 레지스트리 모니터(510), 네트워크 모니터(520), 커널 인터페이스(530), 시스템 엔진(540), 로그 저장 모듈(550), 네트워크 엔진(560), 전송모듈(570)을 포함한다.
상기 파일 모니터(500)는 시스템에서 발생하는 파일 동작에 대한 이벤트를 수집하는 역할을 한다. 또한, 상기 파일 모니터(500)는 중복 이벤트 삭제 모듈(505)을 포함하고 있어서, 중복 이벤트를 삭제한다.
상기 레지스트리 모듈(510)은 시스템에서 발생하는 레지스트리 동작에 대한 이벤트를 수집하는 역할을 한다. 또한, 상기 레지스트리 모듈(510)은 중복 이벤트 삭제 모듈(515)을 포함하고 있어서, 중복 이벤트를 삭제한다.
상기 네트워크 모니터(520)는 해당 시스템으로 들어오고 나가는 네트워크 패킷을 수집하는 역할을 한다.
상기 시스템 엔진(540)은 상기 파일 모니터(500)와 레지스트리 모니터(510)로부터 전송된 이벤트에 대하여 침입을 탐지하는 역할을 한다.
상기 네트워크 엔진(560)은 상기 네트워크 모니터(520)로부터 전송된 네트워크 패킷에 대하여 침입을 탐지하는 역할을 한다. 즉, 상기 네트워크 엔진(560)은 미리 정의된 신호에 따라 침입 여부를 판단하여 전송모듈(570)로 침입 로그를 전송한다.
또한, 상기 네트워크 엔진(560)은 중복 이벤트 삭제 모듈(565)을 포함하고 있어서, 중복 이벤트를 삭제한다.
상기 전송모듈(570)은 시스템 엔진(540)과 네트워크 엔진(560)으로부터 전송된 침입 로그를 관리 서버로 전송하는 역할을 한다.
도 6은 본 발명의 바람직한 일 실시예에 따른 파일/레지스트리 모니터의 동작을 나타낸 흐름도, 도 7은 본 발명의 바람직한 일 실시예에 따른 해쉬 테이블을 나타낸 도면이다.
도 6을 참조하면, 파일/레지스트리 모니터는 이벤트가 수집되면(S600), 해당 이벤트에 대하여 미리 정의된 신호와 비교하여(S602), 해당 이벤트가 상기 신호에 해당하는 이벤트인지의 여부를 판단한다(S604). 여기서, 상기 미리 정의된 신호는 바이러스 정보와 같은 침입 정보로서, 사용자에 의해 미리 설정될 수 있다.
단계 604의 판단결과 해당 이벤트가 상기 미리 정의된 신호에 해당하는 이벤트이면, 상기 파일/레지스트리 모니터는 해쉬 테이블에 해당 프로세서가 존재하는지의 여부를 판단한다(S606). 상기 해쉬 테이블에 대한 상세한 설명은 도 7을 참조한다.
도 7을 참조하면, 해쉬테이블은 1단계 테이블과 2단계 테이블로 구성된다.
상기 1단계 테이블은 프로세스 테이블로 현재 동작중인 프로세스 ID와 프로세스 핸들을 포함한다. 상기 2단계 테이블은 해쉬 ID와 동작으로 구성된다. 여기서, 상기 해쉬 ID는 이전에 실행된 파일 이름과 SID를 포함한다.
따라서, 상기 파일/레지스트리 모니터는 상기 1단계 테이블에 상기 이벤트에 해당하는 프로세서가 존재하는지의 여부를 판단한다.
단계 606의 판단결과 상기 1단계 테이블에 상기 이벤트에 해당하는 프로세서가 존재하면, 상기 파일/레지스트리 모니터는 2단계 테이블에 상기 이벤트와 동일한 레코드가 존재하는지의 여부를 판단한다(S608). 즉, 상기 파일/레지스트리 모니터는 상기 이벤트에 해당하는 프로세서 ID와 동작이 상기 2단계 테이블에 저장된 레코드에 존재하는지의 여부를 판단한다.
단계 608의 판단결과 2단계 테이블에 상기 이벤트와 동일한 레코드가 존재하면, 상기 파일/레지스트리 모니터는 해당 이벤트를 삭제한다(S610).
만약, 단계 608의 판단결과 2단계 테이블에 상기 이벤트와 동일한 레코드가 존재하지 않으면, 상기 파일/레지스트리 모니터는 상기 2단계 테이블에 상기 이벤트에 대한 레코드를 추가한 후(S616), 해당 이벤트를 시스템 엔진으로 전송한다(S618)
만약, 단계 604의 판단결과 해당 이벤트가 상기 미리 정의된 신호에 해당하는 이벤트가 아니면, 상기 파일/레지스트리 모니터는 해당 이벤트를 삭제한다(S612).
만약, 단계 606의 판단결과 1단계 테이블에 상기 이벤트에 해당하는 프로세스가 존재하지 않으면, 상기 파일/레지스트리 모니터는 상기 1단계 테이블에 해당 프로세스에 대한 테이블을 생성한다(S614).
상기와 같이 중복된 파일/레지스트리 이벤트 검사는 1단계 테이블에서 현재 동작중인 프로세서 ID를 확인한 후, 상기 확인된 프로세서 ID가 상기 2단계 테이블에 저장된 이전에 실행된 프로세서 목록에 존재하는지의 여부를 판단한다. 상기 판단결과 상기 프로세서 ID가 이전에 실행된 프로세서 목록에 존재하면, 상기 제2 테이블에 상기 이벤트와 동일한 레코드가 존재하는지의 여부를 판단한다. 상기 판단결과 상기 제2 테이블에 상기 이벤트와 동일한 레코드가 존재하면 해당 이벤트를 삭제한다.
상기와 같은 해쉬 테이블은 동적으로 새로운 이벤트가 처리되거나 프로세스가 종료할 때마다 갱신된다.
도 8은 본 발명의 바람직한 일 실시예에 따른 네트워크 엔진의 동작을 나타 낸 흐름도이다.
도 8을 참조하면, 네트워크 엔진은 패킷을 수신하여(S800), 상기 패킷이 유효한지의 여부를 판단한다(S802).
단계 802의 판단결과 해당 패킷이 유효하면, 상기 네트워크 엔진은 해당 패킷에 대하여 미리 정의된 신호와 비교하여(S804) 상기 패킷이 침입을 나타낸 패킷인지의 여부를 판단한다(S806). 여기서, 상기 미리 정의된 신호는 바이러스와 같은 침입 정보로서, 사용자에 의해 미리 설정될 수 있다.
따라서, 상기 네트워크 엔진은 해당 패킷이 상기 미리 정의된 신호에 해당하는 패킷이면, 침입으로 판단한다.
상기 판단결과 상기 패킷이 침입을 나타낸 패킷이면, 상기 패킷을 미리 정의된 신호의 패킷 정보와 비교하여(S808), 상기 패킷 정보에 상기 패킷의 엔트리와 상응하는 것이 존재하는지의 여부를 판단한다(S810). 여기서 상기 엔트리는 프로토콜, 소스IP, 목적지 IP, SID, 소스 포트, 목적지 포트를 말한다.
상기 판단결과 상기 패킷 정보에 상기 패킷의 엔트리와 상응하는것이 존재하면, 상기 네트워크 엔진은 해당 패킷을 드랍시킨다(S812).
만약, 단계 810의 판단결과 상기 패킷 정보에 상기 패킷의 엔트리와 상응하는 것이 존재하지 않으면, 상기 네트워크 엔진은 상기 패킷을 침입 정보와 함께 전송 모듈에 전송한다(S816).
만약, 단계 802의 판단결과 상기 패킷이 유효하지 않으면, 상기 네트워크 엔진은 해당 패킷을 드랍시킨다(S814).
만약, 단계 806의 판단결과 해당 패킷이 침입을 나타낸 패킷이면, 상기 네트워크 엔진은 해당 패킷을 드랍시킨다(S812).
본 발명은 상기 실시예에 한정되지 않으며, 많은 변형이 본 발명의 사상 내에서 당 분야에서 통상의 지식을 가진 자에 의하여 가능함은 물론이다.
상술한 바와 같이 본 발명에 따르면, 호스트 침입 탐지 시스템에서 중복된 파일/레지스트리 이벤트를 삭제함으로써 침입을 탐지하는 시스템 엔진의 이벤트 처리량을 줄여서 프로세서 사용율을 줄일 뿐만 아니라 전송할 이벤트 수가 줄어들어 전송 모듈 및 전체 시스템의 부하를 줄일 수 있는 침입 탐지 시스템에서 중복 이벤트 제거 방법을 제공할 수 있다.
또한, 본 발명에 따르면, 네트워크 엔진의 경우도 전송할 침입 로그를 줄임으로써 전송모듈 및 전체 시스템의 부하를 줄일 수 있고, 이로 인해 침입로그를 저장하는 서버의 부하를 줄일 수 있는 침입 탐지 시스템에서 중복 이벤트 제거 방법을 제공할 수 있다.

Claims (11)

  1. 침입을 감시하기 위한 시스템에서 발생하는 이벤트가 수신되면, 상기 이벤트가 침입을 나타낸 이벤트인지의 여부를 판단하는 단계;
    상기 판단결과 상기 이벤트가 침입을 나타낸 이벤트이면, 미리 정의된 신호가 저장되어 있는 테이블에 상기 이벤트와 상응하는 이벤트가 존재하는지의 여부를 판단하는 단계;
    상기 판단결과 상기 테이블에 상기 이벤트와 상응하는 이벤트가 존재하면, 해당 이벤트를 드랍시키고, 존재하지 않으면, 해당 이벤트를 침입 정보와 함께 상기 시스템으로 전송하여 침입을 알리는 단계
    를 포함하는 것을 특징으로 하는 침입 탐지 시스템에서 중복 이벤트 제거 방법.
  2. 시스템의 침입여부를 감시하기 위한 침입 감시 시스템이 상기 시스템의 파일 이벤트의 중복 이벤트를 제거하는 방법에 있어서,
    상기 시스템에 파일 이벤트가 발생하여, 해당 파일 이벤트가 수신되면, 상기 이벤트가 미리 정의된 신호에 해당하는지의 여부를 판단하는 단계;
    상기 판단결과 상기 이벤트가 미리 정의된 신호에 해당하면 상기 침입 탐지 시스템에 저장되어 있는 해쉬 테이블에 해당 파일 이벤트의 프로세서가 존재하는지의 여부를 판단하는 단계;
    상기 판단결과 상기 해쉬 테이블에 해당 프로세서가 존재하면, 상기 해쉬 테이블에 상기 프로세서와 동일한 레코드가 존재하는지의 여부를 판단하는 단계;
    상기 판단결과 상기 해쉬 테이블에 상기 프로세서와 동일한 레코드가 존재하면, 해당 이벤트를 삭제하는 단계
    를 포함하는 것을 특징으로 하는 침입 탐지 시스템에서 중복 이벤트 제거 방법.
  3. 제2항에 있어서,
    상기 해쉬 테이블에 해당 프로세스가 존재하지 않으면, 해당 프로세스에 대한 테이블을 생성하는 단계를 더 포함하는 것을 특징으로 하는 침입 탐지 시스템에서 중복 이벤트 제거 방법.
  4. 제2항에 있어서,
    상기 해쉬 테이블에 동일 레코드가 존재하지 않으면, 상기 해쉬 테이블에 해당 이벤트에 대한 레코드를 추가하여 해당 이벤트를 전송하는 것을 특징으로 하는 침입 탐지 시스템에서 중복 이벤트 제거 방법.
  5. 제2항에 있어서,
    상기 미리 정의된 신호는 침입을 표시하는 신호인 것을 특징으로 하는 침입 탐지 시스템에서 중복 이벤트 제거 방법.
  6. 제2항에 있어서,
    상기 해당 이벤트가 미리 정의된 신호에 해당하지 않으면 해당 이벤트를 삭제하는 것을 특징으로 하는 침입 탐지 시스템에서 중복 이벤트 제거 방법.
  7. 제2항에 있어서,
    상기 해쉬 테이블은 현재 동작중인 프로세스 ID를 포함하는 1단계 테이블과 이전에 실행된 파일 이름과 동작을 포함하는 2단계 테이블로 구성된 것을 특징으로 하는 침입 탐지 시스템에서 중복 이벤트 제거 방법.
  8. 시스템의 침입여부를 감시하기 위한 침입 감시 시스템이 상기 시스템에 입출력되는 네트워크 패킷의 중복 이벤트를 제거하는 방법에 있어서,
    상기 시스템에 수신되는 패킷을 수집하고, 상기 패킷이 미리 정의된 신호에 해당하는지의 여부를 판단하는 단계;
    상기 판단결과 상기 패킷이 미리 정의된 신호에 해당하면, 상기 패킷을 미리 저장되어 있는 패킷정보와 비교하는 단계;
    상기 패킷 정보에 상기 패킷의 엔트리와 상응하는 패킷이 존재하면, 상기 패킷을 드랍시키는 단계
    를 포함하는 것을 특징으로 하는 침입 탐지 시스템에서 중복 이벤트 제거 방법.
  9. 제8항에 있어서,
    상기 패킷 정보에 상기 패킷의 엔트리와 상응하는 패킷이 존재하지 않으면, 상기 패킷을 침입 정보와 함께 전송하는 단계를 더 포함하는 것을 특징으로 하는 침입 탐지 시스템에서 중복 이벤트 제거 방법.
  10. 제8항에 있어서,
    상기 미리 정의된 신호는 침입을 표시하는 신호인 것을 특징으로 하는 침입 탐지 시스템에서 중복 이벤트 제거 방법.
  11. 제8항에 있어서,
    상기 패킷의 엔트리는 프로토콜, 소스IP, 목적지 IP, SID, 소스 포트, 목적지 포트인 것을 특징으로 하는 침입 탐지 시스템에서 중복 이벤트 제거 방법.
KR1020030080622A 2003-11-14 2003-11-14 침입 탐지 시스템에서 중복 이벤트 제거 방법 KR100587612B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030080622A KR100587612B1 (ko) 2003-11-14 2003-11-14 침입 탐지 시스템에서 중복 이벤트 제거 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030080622A KR100587612B1 (ko) 2003-11-14 2003-11-14 침입 탐지 시스템에서 중복 이벤트 제거 방법

Publications (2)

Publication Number Publication Date
KR20050046372A KR20050046372A (ko) 2005-05-18
KR100587612B1 true KR100587612B1 (ko) 2006-06-07

Family

ID=37245770

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030080622A KR100587612B1 (ko) 2003-11-14 2003-11-14 침입 탐지 시스템에서 중복 이벤트 제거 방법

Country Status (1)

Country Link
KR (1) KR100587612B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101855265B1 (ko) * 2016-04-11 2018-06-25 한국과학기술원 감시 조건을 효율적으로 저장하는 통신 감시 장치, 통신 감시 방법 및 이를 구현하는 미들박스 운영체제 프로그램을 기록한 저장 매체

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101855265B1 (ko) * 2016-04-11 2018-06-25 한국과학기술원 감시 조건을 효율적으로 저장하는 통신 감시 장치, 통신 감시 방법 및 이를 구현하는 미들박스 운영체제 프로그램을 기록한 저장 매체

Also Published As

Publication number Publication date
KR20050046372A (ko) 2005-05-18

Similar Documents

Publication Publication Date Title
CN1291568C (zh) 用于保护服务器场免受入侵的方法以及服务器场
US6775657B1 (en) Multilayered intrusion detection system and method
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
US7574740B1 (en) Method and system for intrusion detection in a computer network
JP4742144B2 (ja) Tcp/ipプロトコル・ベースのネットワーク内への侵入を試行するデバイスを識別する方法およびコンピュータ・プログラム
US8291498B1 (en) Computer virus detection and response in a wide area network
EP3410336B1 (en) Forensic analysis
US7752668B2 (en) Network virus activity detecting system, method, and program, and storage medium storing said program
US7596807B2 (en) Method and system for reducing scope of self-propagating attack code in network
EP1330095B1 (en) Monitoring of data flow for enhancing network security
US7418733B2 (en) Determining threat level associated with network activity
US7564837B2 (en) Recording medium recording a network shutdown control program, and network shutdown device
JP4196989B2 (ja) ウィルスの感染を阻止する方法およびシステム
US20060230456A1 (en) Methods and apparatus to maintain telecommunication system integrity
US7610624B1 (en) System and method for detecting and preventing attacks to a target computer system
JP2002342279A (ja) フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
JP2008152791A (ja) フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
CN108270722A (zh) 一种攻击行为检测方法和装置
KR20030039149A (ko) 바이러스 탐지 엔진을 갖는 침입 탐지 시스템
KR100587612B1 (ko) 침입 탐지 시스템에서 중복 이벤트 제거 방법
JP2004266483A (ja) 不正アクセス防止方法、装置、プログラム
JP2006330926A (ja) ウィルス感染検知装置
KR100503772B1 (ko) 유틸리티 방식으로 데이터베이스 서버에 접속하여 수행되는작업을 감시하는 모니터링 시스템 및 방법
KR100506889B1 (ko) 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법
CN111541644A (zh) 基于动态主机配置协议实现的防止非法ip扫描技术

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee