KR100604638B1 - 계층 분석 기반의 침입 탐지 시스템 및 그 방법 - Google Patents

계층 분석 기반의 침입 탐지 시스템 및 그 방법 Download PDF

Info

Publication number
KR100604638B1
KR100604638B1 KR1020020067359A KR20020067359A KR100604638B1 KR 100604638 B1 KR100604638 B1 KR 100604638B1 KR 1020020067359 A KR1020020067359 A KR 1020020067359A KR 20020067359 A KR20020067359 A KR 20020067359A KR 100604638 B1 KR100604638 B1 KR 100604638B1
Authority
KR
South Korea
Prior art keywords
audit data
intrusion detection
packet
network
session
Prior art date
Application number
KR1020020067359A
Other languages
English (en)
Other versions
KR20040039100A (ko
Inventor
지정훈
남택용
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020020067359A priority Critical patent/KR100604638B1/ko
Publication of KR20040039100A publication Critical patent/KR20040039100A/ko
Application granted granted Critical
Publication of KR100604638B1 publication Critical patent/KR100604638B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

각 네트워크에서 수집된 감사 데이터의 교환을 통해 침입 여부를 탐지하는 본 발명에 따른 계층 분석 기반의 침입 탐지 시스템은 백본 네트워크에 설치되어 전달되는 트래픽에 대하여 패킷 정보를 수집하여 패킷 감사 데이터를 생성하는 백본 네트워크 노드와, 가입자 네트워크에 설치되어 전달되는 트래픽에 대한 세션 정보를 수집하여 세션 감사 데이터를 생성하는 가입자 네트워크 노드와, 네트워크 노드들로부터 감사 데이터들을 전달받아 침입을 분석하며 인접한 네트워크간에 감사 데이터를 교환하여 침입 여부를 판단하는 침입 탐지 서버를 포함한다.
상기와 같은 본 발명은 대용량 트래픽을 하나의 시스템에서 처리하지 않고 분산시켜 처리함으로써, 대용량 트래픽에 대한 단일 시스템의 처리에 따른 시스템의 부하를 줄일 수 있다.
또한, 본 발명은 각 네트워크에서 수집된 감사 데이터의 교환을 통해 침입 여부를 탐지하기 때문에 공격자에 의한 IDS 우회 공격을 차단시킬 수 있다.

Description

계층 분석 기반의 침입 탐지 시스템 및 그 방법{INTRUSION DETECTION SYSTEM AND METHOD BASED ON HIERARCHICAL ANALYSIS}
도 1은 본 발명에 따른 계층 분석 기반의 침입 탐지 시스템을 도시한 블록도이고,
도 2는 본 발명에 따른 침입 탐지 시스템에서 가입자 네트워크 노드의 내부를 도시한 블록도이고,
도 3은 본 발명에 따른 침입 탐지 시스템에서 가입자 침입 탐지 서버의 내부를 도시한 블록도이고,
도 4는 본 발명에 따른 침입 탐지 시스템에서 백본 네크워크 노드의 내부를 도시한 블록도이고,
도 5는 본 발명에 따른 침입 탐지 시스템에서 백본 침입 탐지 서버의 내부를 도시한 블록도이다.
<도면의 주요부분에 대한 부호의 설명>
100 : 호스트 110 : 가입자 네트워크 노드
120 : 가입자 네트워크 130 : 가입자 침입 탐지 서버
140 : 백본 네트워크 노드 150 : 백본 네트워크
160 : 백본 침입 탐지 서버
본 발명은 침입 탐지 시스템에 관한 것으로, 특히 각 네트워크에서 수집된 감사 데이터의 교환을 통해 침입 여부를 탐지하는 적합한 계층 분석 기반의 침입 탐지 시스템에 관한 것이다.
침입 탐지 시스템은 호스트 혹은 네트워크 상에서 발생하는 각종 사건들을 종합 및 분석하여 침입자에 의한 침입 활동을 발견하고, 이를 관리자에게 통보하거나 적절하게 대응하는 시스템이다. 이러한 침입 탐지 시스템의 종류에는 호스트 단위에 설치되어 각 호스트에 대한 침입만을 탐지하는 호스트 기반의 침입 탐지 시스템과 서브 네트워크 전체에 대한 감시를 수행하여 해당 서브 네트워크 상의 침입을 발견 및 통보하는 네트워크 기반의 침입 탐지 시스템이 있다[David J. Marchette, Computer Intrusion Detection and Network Monitoring : A Statistical Viewpoint, Springer-Verlag New York, Inc., 2001].
침입 탐지 시스템의 동작 과정은 크게 정보 수집단계, 정보 가동 및 축약 단계, 침입 분석 및 탐지 단계 및 조치 단계의 4단계로 나누어 볼 수 있다.
정보 수집 단계에서 얻어지는 데이터들은 보안 관련 정보들이 아닌 시스템 사용 내역, 컴퓨터 통신에 사용되는 패킷 정보 등이다. 정보 가공 및 축약 단계는 이러한 정보들로부터 침입 여부를 판정하기 위한 정보들만을 선택적으로 수용한다.
이러한 정보 가공 및 축약 단계에 있어서 가장 중요한 것은 침입 탐지 시스 템이 방대한 양의 데이터로부터 실시간으로 침입을 판정하기 위해 필요한 의미 있는 정보를 얼마나 빨리 추출하느냐 하는 것이다.
분석 및 탐지 단계는 정보 가공 및 축약 단계에서 가공된 의미 있는 정보만을 넘겨받아 이를 분석하여 침입 여부를 판단하는 단계이다.
보고 및 조치 단계는 분석 및 탐지 결과 침입이 발견되었을 경우에, 침입 관련 정보를 관리자에게 보고하여 적절한 조치를 취하도록 하는 단계이다.
상기의 구성을 갖는 침입 탐지 시스템에서 네트워크 기반의 침입 탐지 시스템은 단일 시스템의 설치로 네트워크 세그먼트 전체를 효과적으로 감시할 수 있다는 장점이 있어 널리 사용되고 있다.
그러나, 이러한 네트워크 기반의 침입 탐지 시스템은 목적지가 아닌 트래픽에 대하여 네트워크 중간에서 프로미스큐어스(promiscuous) 모드 형식으로 패킷을 수집한 후에 이를 이용하여 침입 여부를 판단하기 때문에 침입 탐지 시스템이 공격자에 의한 인세션(insertion)과 이베이션(evasion) 등의 IDS 우회 공격에 노출되는 문제점이 있다[Tomas H. Ptacek,  Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection, Secure Networks, Inc., 1998].
또한, 네트워크 속도의 증가에 따라서 침입 탐지 시스템은 대용량의 트래픽을 처리하여야 하는데, 이때 시스템의 성능이 대용량의 트래픽을 원활히 지원하지 못할 경우 버퍼 오버플로우(buffer overflow)가 발생하는 등의 문제점이 있다[Next Generation Intrusion Detection in High-Speed Networks,  Network Associates.].
본 발명의 목적은 이와 같은 종래 기술의 문제점을 해결하기 위한 것으로, 대용량 트래픽을 각 네트워크에 설치된 침입 탐지 서버로 분산시켜 처리하여 침입 탐지 시스템의 부하를 줄일 수 있고, 각 네트워크에서 수집된 감사 데이터의 교환을 통해 침입 여부를 종합 판단함으로써 공격자에 의한 IDS 우회 공격을 차단시킬 수 있는 계층 분석 기반의 침입 탐지 시스템 및 그 방법을 제공하는데 있다.
상기 목적을 달성하기 위한 일 관점에 따른 본 발명은, 적어도 하나의 가입자 네트워크와 백본 네트워크를 포함하는 네트워크 상에서 침입을 탐지하는 시스템으로서, 침입 탐지를 위한 호스트 감사 데이터를 발생하여 상기 가입자 네트워크를 통해 전송하는 다수의 호스트와, 상기 가입자 네트워크의 트래픽에 대해 세션 수준의 정보를 수집하여 세션 감사 데이터를 생성하는 가입자 네트워크 노드와, 상기 백본 네트워크의 트래픽에 대해 패킷 수준의 정보를 수집하여 패킷 감사 데이터를 생성하는 백본 네트워크 노드와, 상기 전송된 호스트 감사 데이터와 상기 생성된 세션 감사 데이터 및 패킷 감사 데이터를 분석하여 침입 여부를 판단하는 침입 탐지 서버를 포함하는 계층 분석 기반의 침입 탐지 시스템을 제공한다.
상기 목적을 달성하기 위한 다른 관점에 따른 본 발명은, 적어도 하나의 가입자 네트워크와 백본 네트워크를 포함하는 네트워크 상에서 침입 탐지 서버를 이용하여 침입을 탐지하는 방법으로서, 상기 가입자 네트워크를 통해 연결된 각 호스트로부터 호스트 감사 데이터를 수신하는 과정과, 상기 가입자 네트워크 내 각 가입자 네트워크 노드의 트래픽에 대해 세션 수준의 정보를 각각 수집하여 세션 감사 데이터를 생성하는 과정과, 상기 백본 네트워크 내 백본 네트워크 노드의 트래픽에 대해 패킷 수준의 정보를 수집하여 패킷 감사 데이터를 생성하는 과정과, 상기 수신된 호스트 감사 데이터와 상기 생성된 세션 감사 데이터 및 패킷 감사 데이터를 분석하여 침입 여부를 판단하는 과정을 포함하는 계층 분석 기반의 침입 탐지 방법을 제공한다.
본 발명의 실시 예는 다수개가 존재할 수 있으며, 이하에서 첨부한 도면을 참조하여 바람직한 실시 예에 대하여 상세히 설명하기로 한다. 이 기술 분야의 숙련자라면 이 실시 예를 통해 본 발명의 목적, 특징 및 이점들을 잘 이해할 수 있을 것이다.
도 1은 본 발명에 따른 계층 분석 기반의 침입 탐지 시스템을 도시한 블록도이고, 도 2는 본 발명에 따른 침입 탐지 시스템에서 가입자 네트워크 노드의 내부를 도시한 블록도이고, 도 3은 본 발명에 따른 침입 탐지 시스템에서 가입자 침입 탐지 서버의 내부를 도시한 블록도이고, 도 4는 본 발명에 따른 침입 탐지 시스템에서 백본 네트워크 노드의 내부를 도시한 블록도이고, 도 5는 본 발명에 따른 침입 탐지 시스템에서 백본 침입 탐지 서버의 내부를 도시한 블록도이다.
도 1을 참조하면, 계층 분석 기반의 침입 탐지 시스템은 가입자 네트워크(120)에 호스트 감사 데이터를 송출하는 호스트(100), 호스트(100)에서 송출된 호스트 감사 데이터를 수신하는 가입자 침입 탐지 서버(130), 가입자 네트워크(120)에 포함된 가입자 네트워크 노드(110), 백본 네트워크(150)에 포함된 백본 네트워크 노드(140), 백본 네트워크 노드(140)로부터 패킷 감사 데이터를 수신하는 백본 침입 탐지 서버(160)를 포함한다.
여기서, 다수의 호스트(100)들은 각각 호스트 침입 탐지 센서를 장착하고 있으며, 이러한 호스트 침입 탐지 센서는 호스트 감사 데이터를 가입자 침입 탐지 서버(130)에 전송한다.
가입자 네트워크 노드(110)는 가입자 네트워크(120)에 설치되어 전달되는 트래픽에 대하여 세션 수준의 정보를 수집하고, 수집된 정보를 이용하여 세션 감사 데이터를 생성하여 가입자 침입 탐지 서버(130)에 전달한다. 이러한 가입자 네트워크 노드(110)의 구성은, 도 2에 도시된 바와 같이, 가입자 네트워크(120) 상에서 송신되는 패킷을 수집하는 패킷 수집자(111)와, 수집된 패킷을 응용서비스의 세션별로 분류하는 세션 분류자(112)와, 세션 정보로부터 침입 관련 정보를 분석하는 세션 분석자(113)와, 분석된 세션 정보로부터 침입 관련된 세션 감사 데이터를 생성하는 세션 감사 데이터 생성자(114)와, 세션 감사 데이터를 가입자 침입 탐지 서 버(130)에 전송하는 세션 감사 데이터 송신자(115)를 포함한다.
가입자 네트워크(120)에 설치된 가입자 침입 탐지 서버(130)는 인접한 백본 네트워크에 설치된 침입 탐지 서버와 통신하여 호스트(100)로부터 수신한 호스트 감사 데이터와 가입자 네트워크 노드(110)에서 수신한 세션 감사 데이터를 전송하거나 인접한 백본 네트워크에서 패킷 감사 데이터를 수신한다. 이러한 가입자 침입 탐지 서버(130)의 구성은, 도 3에 도시된 바와 같이, 가입자 네트워크(120)에 존재하는 다수의 가입자 네트워크 노드(110)들의 세션 감사 데이터 송신자(115)로부터 세션 감사 데이터를 수신하는 세션 감사 데이터 수신자(136)와, 가입자 네트워크(120)에 존재하는 다수의 호스트(100)에 설치된 호스트 침입 탐지 센서들로부터 호스트 감사 데이터를 수신하는 호스트 감사 데이터 수신자(138)와, 인접한 백본 네트워크에 설치된 백본 침입 탐지 서버(160)로 세션 감사 데이터를 송신하며 백본 침입 탐지 서버(160)로부터 패킷 감사 데이터를 수신하는 세션 감사 데이터 전달자(132)와, 수신된 세션 감사 데이터, 호스트 감사 데이터 및 패킷 감사 데이터를 이용하여 침입을 분석 및 판단하는 침입 탐지 분석자(134)를 포함한다.
백본 네트워크 노드(140)는 백본 네트워크(150)에 설치되어 백본 네트워크(150)의 트래픽에 대한 패킷 수준의 패킷 감사 데이터를 생성하고, 생성된 패킷 감사 데이터를 백본 침입 탐지 서버(160)에 전송한다. 이러한 백본 네트워크 노드(140)의 구성은, 도 4에 도시된 바와 같이, 백본 네트워크(150) 상에서 패킷을 수집하는 패킷 수집자(142)와, 수집된 패킷으로부터 침입에 관련된 정보를 분석하는 패킷 분석자(144)와, 분석된 패킷 정보에 따라 패킷 수준의 패킷 감사 데이터를 생성하는 패킷 감사 데이터 생성자(146)와, 패킷 감사 데이터를 백본 침입 탐지 서버(160)에 전송하는 패킷 감사 데이터 송신자(148)를 포함한다.
백본 침입 탐지 서버(160)는 백본 네트워크(150)에 설치되어 가입자 침입 탐지 서버(130)와 통신하여 세션 수준의 세션 감사 데이터를 수신하거나 백본 네트워크 노드(140)에서 수신한 패킷 수준의 패킷 감사 데이터를 송신한다. 이러한 백본 침입 탐지 서버(160)는, 도 5에 도시된 바와 같이, 백본 네트워크(150) 상의 여러 백본 네트워크 노드(140)의 패킷 감사 데이터 송신자(148)로부터 패킷 감사 데이터를 수신하는 패킷 감사 데이터 수신자(166)와, 인접한 네트워크에 설치된 침입 탐지 서버들과 패킷 감사 데이터와 세션 감사 데이터를 상호 교환하는 패킷 감사 데이터 전달자(162)와, 패킷 감사 데이터와 패킷 감사 데이터 전달자(162)에서 수신된 세션 감사 데이터를 이용하여 침입을 분석 및 판단하는 침입 탐지 분석자(164)를 포함한다.
패킷 감사 데이터 전달자(162)는 인접한 네트워크가 백본 네트워크인 경우에 패킷 감사 데이터를 상호 교환하며, 인접한 네트워크가 가입자 네트워크인 경우에 패킷 감사 데이터를 가입자 침입 탐지 서버에 송신하고 가입자 침입 탐지 서버로부터 세션 감사 데이터를 수신한다.
상기와 같은 구성을 갖는 침입 탐지 시스템의 백본 네트워크 노드에서 백본 네트워크 노드의 패킷 처리에 따른 백본 침입 탐지 서버에서의 침입 탐지 과정을 설명하면 아래와 같다.
백본 네트워크 노드(140)는 전달되는 트래픽에 대하여 패킷 수집자(142)를 통해 패킷을 수집하고, 여기에서 패킷 수집자(142)에 의해 수집된 패킷은 패킷 분석자(144)에 전송된다.
패킷 분석자(144)에 의해 분석된 패킷 정보는 패킷 감사 데이터 생성자(146)를 통해 패킷 감사 데이터로 저장되며, 패킷 감사 데이터는 패킷 감사 데이터 송신자(148)에 의해 백본 침입 탐지 서버(160)의 패킷 감사 데이터 수신자(166)측으로 전달된다. 패킷 감사 데이터 수신자(166)는 패킷 감사 데이터를 다시 침입 탐지 분석자(164)에 전달한다.
백본 침입 탐지 서버(160)의 패킷 감사 데이터 전달자(162)는 인접한 네트워크의 패킷 감사 데이터 전달자 또는 세션 감사 데이터 전달자로부터 인접 네트워크에서 수집된 패킷(또는 세션) 감사 데이터를 수신하여 침입 탐지 분석자(164)에 전달한다.
침입 탐지 분석자(164)는 패킷 감사 데이터 전달자(162) 및 패킷 감사 데이터 수신자(166)로부터 수신한 감사 데이터를 이용하여 네트워크 침입 여부를 판단한다.
다음은 가입자 네트워크에서 가입자 네트워크 노드의 세션 감사 데이터 처리에 따른 가입자 침입 탐지 서버에서의 침입 탐지 과정을 설명한다.
가입자 네트워크 노드(110)에 임의의 패킷이 도착하면, 패킷 수집자(111)는 이를 수집하여 세션 분류자(112)에 전달한다. 세션 분류자(112)는 각 패킷을 응용 서비스별로 구별하여 세션 분석자(113)로 전달하고, 세션 분석자(113)는 구별된 각 세션별로 분석하여 세션 감사 데이터 생성자(114)에 전달한다.
세션 감사 데이터 생성자(114)는 각 세션별로 분석된 정보를 이용하여 각 세션별 감사 데이터를 생성한 후에 세션 감사 데이터 송신자(115)에 전달하고, 세션 감사 데이터 송신자(115)는 세션 감사 데이터를 네트워크 도메인에 대응되는 가입자 침입 탐지 서버(130)의 세션 감사 데이터 수신자(136)에 전송한다.
이때 가입자 침입 탐지 서버(130)의 세션 감사 데이터 수신자(136)는 가입자 네트워크(120) 상에 존재하는 적어도 하나 이상의 세션 감사 데이터 송신자(115)로부터 세션 감사 데이터를 수신하여 침입 탐지 분석자(134)에 제공한다.
가입자 침입 탐지 서버(130)의 호스트 감사 데이터 수신자(138)는 가입자 네트워크 도메인 상에 있는 적어도 하나 이상의 호스트에 장착된 호스트 침입 탐지 센서들로부터 호스트 감사 데이터를 수신하여 침입 탐지 분석자(134)에 제공한다.
세션 감사 데이터 전달자(132)는 인접한 백본 네트워크에 설치된 백본 침입 탐지 서버의 패킷 감사 데이터 전달자로부터 패킷 감사 데이터를 수신하여 침입 탐지 분석자(134)에 제공한다.
침입 탐지 분석자(134)는 세션 감사 데이터, 패킷 감사 데이터 및 호스트 감사 데이터를 분석하여 침입 여부를 판단하게 된다.
여기서, 각 네트워크에 설치된 침입 탐지 서버의 침입 탐지 분석자는 일차적으로 해당 네트워크에서 전송된 감사 데이터만을 이용하여 침입 여부를 판단하는데, 이때 침입의 징후가 발견이 되지 않거나 인접 네트워크로부터 감사 데이터의 수신이 필요한 경우에 감사 데이터 전달자를 통해 인접한 네트워크에 설치된 침입 탐지 서버로부터 감사 데이터를 수신하고, 인접 네트워크에 설치된 침입 탐지 서버로부터 수신된 감사 데이터를 이용하여 침입 탐지 여부를 판단한다.
이상 설명한 바와 같이, 본 발명은 각 네트워크에 설치된 침입 탐지 서버에서 수집된 감사 데이터의 교환을 통해 침입 탐지 여부를 판단하며, 대용량 트래픽을 하나의 시스템에서 처리하지 않고 분산시켜 처리함으로써, 대용량 트래픽에 대한 단일 시스템의 처리에 따른 시스템의 부하를 줄일 수 있다.
또한, 본 발명은 각 네트워크에서 수집된 감사 데이터의 교환을 통해 침입 여부를 탐지하기 때문에 공격자에 의한 IDS 우회 공격을 차단시킬 수 있다.

Claims (10)

  1. 적어도 하나의 가입자 네트워크와 백본 네트워크를 포함하는 네트워크 상에서 침입을 탐지하는 시스템으로서,
    침입 탐지를 위한 호스트 감사 데이터를 발생하여 상기 가입자 네트워크를 통해 전송하는 다수의 호스트와,
    상기 가입자 네트워크의 트래픽에 대해 세션 수준의 정보를 수집하여 세션 감사 데이터를 생성하는 가입자 네트워크 노드와,
    상기 백본 네트워크의 트래픽에 대해 패킷 수준의 정보를 수집하여 패킷 감사 데이터를 생성하는 백본 네트워크 노드와,
    상기 전송된 호스트 감사 데이터와 상기 생성된 세션 감사 데이터 및 패킷 감사 데이터를 분석하여 침입 여부를 판단하는 침입 탐지 서버
    를 포함하는 계층 분석 기반의 침입 탐지 시스템.
  2. 제 1 항에 있어서,
    상기 백본 네트워크 노드는,
    상기 백본 네트워크 상에서 송수신되는 패킷을 수집하는 패킷 수집자와,
    상기 수집된 패킷으로부터 침입에 관련된 정보를 분석하는 패킷 분석자와,
    상기 분석된 패킷 정보에 따라 패킷 감사 데이터를 생성하는 패킷 감사 데이터 생성자와,
    상기 패킷 감사 데이터를 네트워크 도메인상의 상기 침입 탐지 서버로 송신하는 패킷 감사 데이터 송신자
    를 포함하는 계층 분석 기반의 침입 탐지 시스템.
  3. 제 1 항에 있어서,
    상기 가입자 네트워크 노드는,
    상기 가입자 네트워크 상에서 송수신되는 패킷을 수집하는 패킷 수집자와,
    상기 수집된 패킷를 응용서비스의 세션별로 분류하는 세션 분류자와,
    상기 수집된 세션으로부터 침입 관련 정보를 분석하는 세션 분석자와,
    상기 분석된 세션 정보로부터 세션 감사 데이터를 생성시키는 세션 감사 데이터 생성자와,
    상기 세션 감사 데이터를 네트워크 도메인 상의 침입 탐지 서버로 송신하는 세션 감사 데이터 송신자
    를 포함하는 계층 분석 기반의 침입 탐지 시스템.
  4. 제 1 항에 있어서,
    상기 침입 탐지 서버는,
    상기 백본 네트워크에 설치되어 상기 백본 네트워크 노드들과 인접한 네트워크에 설치된 침입 탐지 서버들로부터 감사 데이터를 송수신하는 백본 침입 탐지 서버와,
    상기 가입자 네트워크에 설치되어, 상기 다수의 호스트들로부터 호스트 감사 데이터를 수신하고, 상기 가입자 네트워크 노드들로부터 세션 감사 데이터를 수신하는 가입자 침입 탐지 서버
    를 포함하는 계층 분석 기반의 침입 탐지 시스템.
  5. 제 4 항에 있어서,
    상기 백본 침입 탐지 서버는,
    상기 백본 네트워크 상에 설치된 적어도 하나 이상의 백본 네트워크 노드들로부터 패킷 감사 데이터를 수신하는 패킷 감사 데이터 수신자와,
    인접한 가입자 네트워크 또는 백본 네트워크에 설치된 침입 탐지 서버와 통신하여 세션 또는 패킷 감사 데이터를 송수신하는 패킷 감사 데이터 전달자와,
    상기 패킷 감사 데이터 전달자에서 수신한 세션 또는 패킷 감사 데이터와 상기 패킷 감사 데이터 수신자에서 수신한 패킷 감사 데이터를 이용하여 침입 탐지 여부를 판단하는 침입 탐지 분석자
    를 포함하는 계층 분석 기반의 침입 탐지 시스템.
  6. 제 5 항에 있어서,
    상기 감사 데이터 전달자는,
    상기 인접한 네트워크가 가입자 네트워크일 때, 해당 가입자 네트워크에 설치된 침입 탐지 서버에 패킷 감사 데이터를 송신하고, 해당 가입자 네트워크에 설치된 침입 탐지 서버로부터 세션 감사 데이터를 수신하는 것을 특징으로 하는 계층 분석 기반의 침입 탐지 시스템.
  7. 제 5 항에 있어서,
    상기 감사 데이터 전달자는,
    상기 인접한 네트워크가 백본 네트워크일 때, 해당 백본 네트워크에 설치된 침입 탐지 서버에 패킷 감사 데이터를 송신하고, 해당 백본 네트워크에 설치된 침입 탐지 서버에서 수집한 패킷 감사 데이터를 수신하는 것을 특징으로 하는 계층 분석 기반의 침입 탐지 시스템.
  8. 제 4 항에 있어서,
    상기 가입자 침입 탐지 서버는,
    상기 가입자 네트워크 상의 적어도 하나 이상의 가입자 네트워크 노드들로부터 세션 감사 데이터를 수신하는 세션 감사 데이터 수신자와,
    상기 가입자 네트워크 상의 적어도 하나 이상의 호스트로부터 호스트 감사 데이터를 수신하는 호스트 감사 데이터 수신자와,
    인접한 가입자 또는 백본 네트워크에 설치된 침입 탐지 서버로부터 세션 또는 패킷 감사 데이터를 수신하고, 상기 인접한 가입자 또는 백본 네트워크의 침입 탐지 서버에 세션 감사 데이터를 송신하는 세션 감사 데이터 전달자와,
    상기 세션 감사 데이터 수신자, 호스트 감사 데이터 수신자 및 세션 감사 데이터 전달자로부터 수신한 감사 데이터들을 이용하여 침입 여부를 판단하는 침입 탐지 분석자
    를 포함하는 계층 분석 기반의 침입 탐지 시스템.
  9. 제 8 항에 있어서,
    상기 호스트 감사 데이터 수신자는,
    상기 호스트에 설치된 호스트 침입 탐지 센서로부터 호스트 감사 데이터를 수신하는 것을 특징으로 하는 계층 분석 기반의 침입 탐지 시스템.
  10. 적어도 하나의 가입자 네트워크와 백본 네트워크를 포함하는 네트워크 상에서 침입 탐지 서버를 이용하여 침입을 탐지하는 방법으로서,
    상기 가입자 네트워크를 통해 연결된 각 호스트로부터 호스트 감사 데이터를 수신하는 과정과,
    상기 가입자 네트워크 내 각 가입자 네트워크 노드의 트래픽에 대해 세션 수준의 정보를 각각 수집하여 세션 감사 데이터를 생성하는 과정과,
    상기 백본 네트워크 내 백본 네트워크 노드의 트래픽에 대해 패킷 수준의 정보를 수집하여 패킷 감사 데이터를 생성하는 과정과,
    상기 수신된 호스트 감사 데이터와 상기 생성된 세션 감사 데이터 및 패킷 감사 데이터를 분석하여 침입 여부를 판단하는 과정
    을 포함하는 계층 분석 기반의 침입 탐지 방법.
KR1020020067359A 2002-11-01 2002-11-01 계층 분석 기반의 침입 탐지 시스템 및 그 방법 KR100604638B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020020067359A KR100604638B1 (ko) 2002-11-01 2002-11-01 계층 분석 기반의 침입 탐지 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020020067359A KR100604638B1 (ko) 2002-11-01 2002-11-01 계층 분석 기반의 침입 탐지 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20040039100A KR20040039100A (ko) 2004-05-10
KR100604638B1 true KR100604638B1 (ko) 2006-07-28

Family

ID=37336944

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020020067359A KR100604638B1 (ko) 2002-11-01 2002-11-01 계층 분석 기반의 침입 탐지 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR100604638B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100788130B1 (ko) * 2004-09-17 2007-12-21 주식회사 케이티 Dns 서버의 cpu 이용율 관리방법 및 그 이용율관리시스템
KR100955282B1 (ko) * 2007-10-12 2010-04-30 한국정보보호진흥원 정보 계층 구조를 이용한 네트워크 위험 분석 방법
US9515934B2 (en) 2012-09-14 2016-12-06 Trend Micro Incorporated Determining a load distribution for data units at a packet inspection device

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000010253A (ko) * 1998-07-31 2000-02-15 최종욱 조정자 에이젼트를 이용한 침입 탐지 시스템 및 침입 탐지 시스템의 침입 탐지 모듈
KR20000065547A (ko) * 1999-04-07 2000-11-15 이종성 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템
JP2002252654A (ja) * 2001-02-23 2002-09-06 Mitsubishi Electric Corp 侵入検出装置およびシステムならびにルータ
KR20030056148A (ko) * 2001-12-27 2003-07-04 한국전자통신연구원 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템 및침입 탐지방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000010253A (ko) * 1998-07-31 2000-02-15 최종욱 조정자 에이젼트를 이용한 침입 탐지 시스템 및 침입 탐지 시스템의 침입 탐지 모듈
KR20000065547A (ko) * 1999-04-07 2000-11-15 이종성 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템
JP2002252654A (ja) * 2001-02-23 2002-09-06 Mitsubishi Electric Corp 侵入検出装置およびシステムならびにルータ
KR20030056148A (ko) * 2001-12-27 2003-07-04 한국전자통신연구원 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템 및침입 탐지방법

Also Published As

Publication number Publication date
KR20040039100A (ko) 2004-05-10

Similar Documents

Publication Publication Date Title
CA2500847C (en) Method and apparatus for providing mobile honeypots
Belenky et al. On IP traceback
US7921462B2 (en) Identifying a distributed denial of service (DDOS) attack within a network and defending against such an attack
CA2499938C (en) Network bandwidth anomaly detector apparatus and method for detecting network attacks using correlation function
US20020032871A1 (en) Method and system for detecting, tracking and blocking denial of service attacks over a computer network
Gao et al. A dos resilient flow-level intrusion detection approach for high-speed networks
US20090319659A1 (en) Source detection device for detecting a source of sending a virus and/or a dns attack linked to an application, method thereof, and program thereof
US20110154492A1 (en) Malicious traffic isolation system and method using botnet information
CN101589595A (zh) 用于潜在被污染端系统的牵制机制
EP1542406B1 (en) Mechanism for detection of attacks based on impersonation in a wireless network
CA2564615A1 (en) Self-propagating program detector apparatus, method, signals and medium
Neu et al. Lightweight IPS for port scan in OpenFlow SDN networks
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
US7540029B1 (en) Methods and systems for reducing the spread of files on a network
KR100604638B1 (ko) 계층 분석 기반의 침입 탐지 시스템 및 그 방법
Siaterlis et al. One step ahead to multisensor data fusion for DDoS detection
KR20030016500A (ko) 정책기반 네트워크 보안 시스템과 그를 이용한 보안 및보안정책 결정 방법
Chen et al. Distributed change-point detection of DDoS attacks over multiple network domains
JP2008135871A (ja) ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム
KR20040085266A (ko) 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법
Deri et al. Practical network security: experiences with ntop
Bou-Harb et al. On detecting and clustering distributed cyber scanning
KR101007262B1 (ko) 네트워크의 활성호스트 탐지장치 및 방법
Kotsokalis et al. Router-based detection of DoS and DDoS attacks
Ramana et al. Analysis & Study of Application Layer Distributed Denial of Service Attacks for Popular Websites

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
B601 Maintenance of original decision after re-examination before a trial
J301 Trial decision

Free format text: TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20050329

Effective date: 20060530

S901 Examination by remand of revocation
GRNO Decision to grant (after opposition)
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee