KR100614775B1 - System and method of protecting network - Google Patents
System and method of protecting network Download PDFInfo
- Publication number
- KR100614775B1 KR100614775B1 KR1020040065652A KR20040065652A KR100614775B1 KR 100614775 B1 KR100614775 B1 KR 100614775B1 KR 1020040065652 A KR1020040065652 A KR 1020040065652A KR 20040065652 A KR20040065652 A KR 20040065652A KR 100614775 B1 KR100614775 B1 KR 100614775B1
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- traffic
- network
- pattern
- present
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
본 발명은 네트워크 보호 장치 및 방법에 관한 것으로서, 특히 내부 네트워크 사용자의 맥 어드레스를 기반으로 폭주하는 유해 트래픽 및 바이러스 등의 공격을 감지 차단하고, 유효한 트래픽에 대한 서비스 품질 정책을 구현하여, 네트워크 가용성을 향상시킬 수 있는 네트워크 보안 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for protecting a network, and particularly, detects and blocks attacks such as harmful traffic and viruses that are congested based on the MAC address of an internal network user, implements a quality of service policy for valid traffic, and improves network availability. A network security device and method that can be improved.
본 발명은 L2 ∼ L7 기반의 유해 트래픽을 원천적으로 차단하고, 사용자 맥 어드레스 기반의 근본적 차단 정책을 제공함으로써, 서브 네트워크간의 유해 트래픽 확산을 차단하고, 공격 패턴 인식을 통한 공격에 대응하는 것이 가능하게 된다. 더욱이, 본 발명에 따른 시그너쳐 필터를 최상위에 배치함으로써 내부에서 올라오는 공격성 트래픽을 효율적으로 차단할 수 있으며, 정상적 트래픽은 이상적으로 통과시킬 수 있다. 또한, 본 발명은 실시간 QoS 모니터를 통해 트래픽 현황을 파악하고 제어함으로써 특정 사용자 및 애플리케이션에 전용 대역폭을 할당하고, 특정 트래픽의 대역폭 독점을 방지할 수 있다. The present invention blocks L2 to L7 based harmful traffic and provides a fundamental blocking policy based on user MAC address, thereby preventing the spread of harmful traffic between sub-networks and responding to attacks through attack pattern recognition. do. Moreover, by placing the signature filter according to the present invention at the top, it is possible to effectively block the aggressive traffic coming from inside, and the normal traffic can be ideally passed. In addition, the present invention can identify and control the traffic state through a real-time QoS monitor to allocate dedicated bandwidth to specific users and applications, and prevent bandwidth monopoly of specific traffic.
유해 트래픽, 방화벽, IDS, 필터링, 바이러스.Harmful Traffic, Firewall, IDS, Filtering, Virus.
Description
도1은 종래 기술에 따른 외부 해커 침입 차단 시스템의 문제점을 나타낸 도면.1 is a view showing a problem of the external hacker intrusion prevention system according to the prior art.
도2는 본 발명에 따른 네트워크 보안 장치의 구성을 나타낸 도면.2 is a diagram showing the configuration of a network security device according to the present invention;
도3은 본 발명에 따른 네트워크 보안 장치를 구성하는 커널을 나타낸 도면.Figure 3 illustrates a kernel constituting a network security device according to the present invention.
도4는 본 발명에 따른 네트워크 보안장치를 구성하는 패턴 엔진의 일처리 흐름을 나타낸 도면.4 is a diagram illustrating a work flow of a pattern engine configuring a network security device according to the present invention.
도5는 본 발명에 따른 네트워크 보안 장치를 구성하는 시그너쳐 센서의 일처리 흐름을 나타낸 도면.5 is a flow chart showing the processing flow of the signature sensor constituting the network security device according to the present invention.
도5a 내지 도5f는 본 발명에 따른 네트워크 보안 장치가 제공하는 시스템 화면을 나타낸 도면.5A to 5F illustrate system screens provided by a network security device according to the present invention.
도5g는 본 발명에 따른 보안 장치의 QoS 정책 수립을 나타내는 도면.5G illustrates QoS policy establishment of a security device in accordance with the present invention.
<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>
10 : 방화벽10: firewall
20 : IDS/IPS 시스템20: IDS / IPS system
30 : 이동성 매체30: removable media
40 : 백본 스위치40: backbone switch
50 : 세그먼트50: segment
86 : 내부 네트워크86: internal network
100 : 애플리케이션 영역100: application area
110 : 사용자 영역110: user area
111 : http 프로세스111: http process
112 : 텔넷 프로세스112: Telnet process
113 : 서브게이트 모듈113: subgate module
114 : QoS 모듈114: QoS module
115 : 트래픽 모듈115: traffic module
120 : 대몬 영역120: daemon area
121 : 시그너쳐 센서121: signature sensor
122 : QoS 로그 센서122: QoS log sensor
123 : IP 어카운트 센서123: IP Account Sensor
124 : 네트 캡124: Net Cap
200 : 커널 영역200: kernel area
212 : 패턴 엔진212: pattern engine
213: QoS 엔진213: QoS engine
250 : 하드웨어250: hardware
본 발명은 네트워크 보호 장치 및 방법에 관한 것으로서, 특히 내부 네트워크 사용자의 맥 어드레스(MAC address)를 기반으로 폭주하는 유해 트래픽 및 바이러스 등의 공격을 감지 차단하고, 유효한 트래픽에 대한 서비스 품질(Quality of Service; QoS) 정책을 구현하여, 네트워크 가용성을 향상시킬 수 있는 네트워크 보안 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for protecting a network, and in particular, detects and blocks attacks such as harmful traffic and viruses that are congested based on MAC addresses of internal network users, and provides a quality of service for valid traffic. And a network security apparatus and method for implementing network (QoS) policies to improve network availability.
최근 들어, 네트워크 통신 환경이 발전함에 따라서 해커의 네트워크 불법 침입, 컴퓨터 바이러스의 유포 등 유해 트래픽이 폭증하는 경우가 빈번히 발생하고 있으며, 이와 같은 유해 트래픽의 폭발적 증가는 내부 네트워크를 구성하는 라우터 또는 백본 스위치 등을 마비시켜서 네트워크를 마비시키게 된다.Recently, as the network communication environment develops, harmful traffic such as hackers illegally invading the network and disseminating computer viruses frequently occurs, and the explosive increase of such harmful traffic is a router or a backbone switch constituting an internal network. It paralyzes the back and paralyzes the network.
그런데, 해킹 기술이 교묘해지고 바이러스의 확산이 내부 네트워크의 노드에서 발생될 수도 있으므로 네트워크 관리자는 이와같은 네트워크의 마비 상태가 왜, 언제부터, 어디서부터, 무엇 때문에 발생하였는지 조차 파악하기 쉽지 않다.However, as hacking techniques are sophisticated and virus spreads can occur at nodes in the internal network, it is not easy for network administrators to understand why, when, where, and why such a network is paralyzed.
더욱이, 최근 들어 컴퓨터의 성능이 향상되고 네트워크 전송 속도가 수십 기가 BPS 이상으로 고속화되어짐에 따라, 외부 침입을 탐지하는 방화벽이 설치되어 있다 하더라도 내부 네트워크에서 발생하는 유해 트래픽이 초당 수백 메가 BPS 이상 발생될 수 있으며, 그 결과 네트워크를 마비시키게 된다.Moreover, with the recent increase in computer performance and the speed of network transfers of more than a few tens of BPS, even if a firewall is installed to detect external intrusions, harmful traffic from the internal network can generate hundreds of mega BPS or more per second. Can result in paralyzing the network.
더욱이, 유해 트래픽 발생이 더욱 지능화됨에 따라서, 방화벽이 설치되었다 하더라도 방화벽이 허용하는 포트를 이용한 유해 트래픽이 현저히 증가하고 있으며, 더욱 심각한 것은 외부로부터의 침투뿐 아니라 내부 노드에서의 유해 트래픽 발생이 빈번해지고 있다는 점이다.Moreover, as the generation of harmful traffic becomes more intelligent, even if a firewall is installed, the harmful traffic using the ports allowed by the firewall is increasing significantly, and more seriously, harmful traffic is generated from internal nodes as well as from outside. Is that there is.
상기 문제점을 해결하기 위해서 침입 탐지 시스템(IDS; Intrusion Detection System) 또는 바이러스 방화벽 등이 사용하여 패킷을 필터링 하는 기술이 사용되고 있으나 상기 방화벽 시스템은 경계선 상에 설치되는 수단이므로, 패킷의 데이터 영역을 패턴 매칭함으로써 여과하고자 하는 종래 기술은 유해 트래픽 발생 소스가 있는 노트북 등을 모바일 사용자가 내부 네트워크 노드에 자신도 모른 채 연결하면 유해 트래픽을 차단할 방법이 전혀 없다.In order to solve the problem, a technique for filtering a packet using an intrusion detection system (IDS) or a virus firewall is used, but since the firewall system is a means installed on a boundary line, pattern matching of a data area of a packet is performed. The conventional technique to filter by means that there is no way to block harmful traffic when a mobile user connects a laptop having a source of harmful traffic to an internal network node without knowing it.
따라서, 본 발명의 제1 목적은 종래 기술과 달리 불법 침입으로부터 내부 네트워크를 보호하는 것뿐 아니라, 일단 내부 네트워크에 유해 트래픽 발생 소스가 존재한다는 가정 하에 유해 트래픽을 차단하여 네트워크를 보호할 수 있는 네트워크 보호 기술을 제공하는데 있다.Accordingly, the first object of the present invention is not only to protect the internal network from illegal intrusion, but also to protect the network by blocking harmful traffic under the assumption that harmful traffic sources exist in the internal network. To provide protection technology.
본 발명의 제2 목적은 상기 제1 목적에 부가하여, 모바일 사용자, 메모리 스틱 또는 웹하드 디스크 사용자가 증대함에 따라 궁극적으로 네트워크는 감염되어 있다는 전제하에 대규모 트래픽이 네트워크에 발생하였을 경우 이의 확산 및 주변 세그먼트로의 감염 등을 방지 보호할 수 있는 네트워크 보호 방법 및 장치를 제공하는데 있다.The second object of the present invention is, in addition to the first object, that when a large amount of traffic occurs in the network under the premise that the network is infected as mobile users, memory sticks or web hard disk users increase, its spread and surroundings The present invention provides a network protection method and apparatus that can prevent and protect an infection into a segment.
본 발명의 제3 목적은 상기 제1 및 제2 목적에 부가하여, 네트워크의 가용성 분석 및 정책 기반의 QoS 방법을 제공하는 네트워크 기술을 제공하는데 있다.A third object of the present invention is to provide a network technology in addition to the first and second objects, which provides an availability analysis of a network and a policy-based QoS method.
본 발명의 제4 목적은 상기 목적에 부가하여, 단위 네트워크를 보안하고, 유 해 트래픽 발생 시의 확산을 최소화하며 정책 기반의 트래픽 제어를 도모할 수 있는 네트워크 보안 기술을 제공하는데 있다.In addition to the above object, a fourth object of the present invention is to provide a network security technology capable of securing a unit network, minimizing the spreading of harmful traffic and promoting policy-based traffic control.
상기 목적을 달성하기 위하여, 본 발명은 네트워크 세그먼트 사이에 공격(attack) 또는 바이러스에 의한 유해 트래픽의 확산을 차단하고 밴드 폭 보장을 통해 중요 트래픽을 보호하는 네트워크 보안 장치에 있어서, 상기 네트워크 보안 장치가 구현하는 프로세스는 애플리케이션 영역과 커널 영역으로 구분되고, 상기 애플리케이션 영역은 http 프로세스와 telnet 프로세스를 포함하고, 사용자 또는 관리자가 접근하여 관리, 유지 보수 및 모니터 할 수 있도록 통계 및 자료를 제공하는 사용자 영역과; 상기 사용자 영역과 커널 영역 사이에 위치해서 실시간 패킷을 수집 분석, 명령, 기록, 인터페이스하는 대몬 영역으로 구성되고, 상기 커널 영역은 모든 네트워크 패킷을 분석하여 패킷의 헤더 정보를 버퍼에 누적하여 기록하는 패킷 디코드 엔진과; 패킷 헤더 정보를 기준으로 하여 유해 트래픽 여부를 판단하는 다이내믹 필터, 소스 IP를 기준으로 등록되지 않은 내부 네트워크 대역일 경우 해당 패킷을 폐기하는 IP 스푸핑 필터, 데이터베이스화된 윔(WORM) 및 바이러스 패턴을 기준으로 패턴 매칭하여 차단하는 스태틱 필터를 구비하여 유해 트래픽으로 정의된 패킷을 검사하여 폐기하는 패턴 엔진과; 사용자에 의해 정의된 QoS 정책에 따라 대역폭 조절을 수행하는 QoS 엔진과; 시그너쳐 데이터 베이스에 등록된 ATTACK, DoS/DDoS, SCAN, MAC 기준 IP 스푸핑 감시하여 패킷의 헤더 정보를 감시하고, 유해 트래픽 여부를 상기 패턴 엔진에 통보하고, 상기 시그너쳐 데이터 베이스에 등록된 해제 시간을 기준으로 더 이상 공격이 없는 경우 해제 명령을 상기 패턴 엔진에 통보하는 시그너쳐 센서와; 상기 패턴 엔진의 차단 및 해제에 관한 정보를 기록하고, 통과하는 트래픽의 내부 IP, 목적지 IP 등을 기록하며, 현재 연결된 세션 정보를 기록하는 로그 데이터 베이스를 포함하는 네트워크 보안 장치를 제공한다.In order to achieve the above object, the present invention provides a network security device that blocks the spread of harmful traffic by an attack or virus between network segments and protects important traffic through bandwidth guarantee. The process to implement is divided into application area and kernel area, and the application area includes http process and telnet process, and user area that provides statistics and data for the user or administrator to access, manage, maintain and monitor. ; It is located between the user area and the kernel area, and consists of a daemon area for collecting, analyzing, commanding, recording, and interfacing real-time packets. A decode engine; Dynamic filter to determine whether there is harmful traffic based on packet header information, IP spoofing filter to discard the packet if not registered based on source IP, database based WORM and virus pattern A pattern engine for inspecting and discarding packets defined as harmful traffic, including a static filter for blocking by pattern matching; A QoS engine for performing bandwidth adjustment according to a QoS policy defined by a user; ATTACK, DoS / DDoS, SCAN, MAC standard IP spoofing registered in the signature database to monitor packet header information, notify the pattern engine of harmful traffic, and determine the release time registered in the signature database. A signature sensor for notifying the pattern engine of a release command when there is no more attack; It provides a network security device including a log database for recording information on the blocking and release of the pattern engine, the internal IP of the traffic passing through, the destination IP, and the like, and the currently connected session information.
이하에서는, 첨부 도면 도1 내지 도5를 참조하여 본 발명에 따른 네트워크 보안 기술을 양호한 실시예를 상세히 설명한다.DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, preferred embodiments of a network security technology according to the present invention will be described in detail with reference to the accompanying drawings.
도1은 종래 기술에 따른 외부 해커 침입 차단 시스템의 문제점을 나타낸 도면이다. 도1을 참조하면, 내부 네트워크를 보호하기 위하여 방화벽(10) 또는 IDS/IPS 시스템(20)을 설치한다 하더라도, 전술한 종래 기술은 접근 제어에 기반한 보안 기술이므로 위장 트래픽에 의한 공격 또는 내부자에 의한 공격에는 노출될 수밖에 없다. 이는 모바일 사용자가 증가하고 플래시 메모리, 메모리 스틱, 포터블 컴퓨터 등과 같은 이동성 매체(30)의 사용이 증가함에 따라서, 단 하나의 웜 바이러스 감염으로 백본 스위치(40)를 비롯한 내부 네트워크 세그먼트(50) 등 전체 네트워크를 마비시킬 수 있다.1 is a view showing a problem of the external hacker intrusion prevention system according to the prior art. Referring to FIG. 1, even if the
따라서, 본 발명은 내부 네트워크가 이미 바이러스 또는 유해 트래픽에 감염되었다는 가정 하에 피해 확산의 최소화, 업무 연속성 보장, 문제 발생과 동시에 차단할 수 있는 수단을 제공한다.Accordingly, the present invention provides a means for minimizing the spread of damage, ensuring business continuity, and blocking problems at the same time, assuming that the internal network is already infected with a virus or harmful traffic.
본 발명에 따른 네트워크 보안 장치는 네트워크 장애 및 공격의 원인이 되는 패킷만을 선별적으로 차단하여 업무의 연속성을 보장하여, 상위의 백본 스위치 및 라우터, 서버 등의 장비를 보호한다. 더욱이, 본 발명에 따른 네트워크 보안 장치는 L2 - L7 기반의 유해 트래픽 및 바이러스를 차단하고 사용자의 맥 어드레스(MAC address) 기반의 원천적 차단 정책을 적용한다.The network security apparatus according to the present invention selectively blocks only packets that cause network failures and attacks, thereby ensuring continuity of work, and protects the upper backbone switches, routers, and servers. Moreover, the network security device according to the present invention blocks L2-L7 based harmful traffic and viruses and applies the original blocking policy based on the MAC address of the user.
예를 들어, 80 포트가 감염된 경우 본 발명에 따른 네트워크 보안 장치는 인터넷 익스플로러(Internet Explorer) 사용을 불가하게 하고, 80 포트로 들어오는 패킷을 차단한다. 반면에, 80 포트를 사용하지 않는 이메일, ERP 업무 등은 지속적으로 사용하도록 하여 업무의 연속성을 유지시킨다.For example, if port 80 is infected, the network security device according to the present invention disables the use of Internet Explorer, and blocks the packet entering port 80. On the other hand, e-mail and ERP tasks that do not use port 80 are continuously used to maintain business continuity.
도2는 본 발명에 따른 네트워크 보안 장치의 구성을 나타낸 도면이다. 도2를 참조하면, 본 발명에 따른 네트워크 보안 장치가 구현하는 프로세스는 애플리케이션(application) 영역(100)과 커널(kernel) 영역(200)으로 구분될 수 있으며, 애 플리케이션 영역은 다시 사용자(user) 영역(110)과 대몬(daemon) 영역(120)으로 구분될 수 있다.2 is a diagram showing the configuration of a network security device according to the present invention. Referring to FIG. 2, a process implemented by the network security apparatus according to the present invention may be divided into an
또한, 커널 영역(200)은 하드웨어(250)를 포함한 모든 네트워크 패킷을 통제 및 관할한다. 본 발명에 따른 네트워크 장치는 구동 OS의 양호한 실시예로서 리눅스 시스템이 이용될 수 있으며, 사용자 영역(110)은 관리자 또는 사용자가 접근하여 관리 및 유지보수와 모니터할 수 있는 http 프로세스(111)와 텔넷(telnet) 프로세스(112)로 구분될 수 있으며, http 프로세스(111)는 서브게이트 모듈(113), QoS 모듈(114), 트래픽 모듈(115)로 구분될 수 있다.
본 발명에 따른 네트워크 보안 장치가 구현하는 프로세스의 대몬 영역(120)은 사용자(110)나 커널 사이(200)에 위치하며, 실시간 패킷(packet)을 수집하고 분석, 명령, 기록 및 인터페이스 하는 업무를 수행한다.The
또한, 커널 영역(200)은 네트워크 랜 카드에서 받은 물리적 패킷 신호를 분석하여 대몬 영역(120)에서 분석하기 쉽도록 가공하여 패킷을 버퍼링하여 유해 트래픽 처리에 대한 폐기 결정권을 지니고 있다. 또한, 커널(200)은 최종까지 통과한 패킷에 대하여 등록된 QoS 정책을 적용하는 기능을 수행한다.In addition, the
도3은 본 발명에 따른 네트워크 보안 장치를 구성하는 커널의 구성을 나타낸 도면이다. 도3을 참조하면, 본 발명에 따른 패킷 디코드 엔진(packet decode engine; 211)은 네트워크 카드에서 들어오는 모든 패킷의 헤더 정보를 버퍼에 누적하여 기록한다. 한편, 유해 트래픽으로 정의된 모든 패킷은 패턴 엔진(pattern engine; 212)에서 검사되어지고 유해 트래픽으로 판정된 경우 곧바로 폐기된다.3 is a diagram showing the configuration of a kernel constituting the network security device according to the present invention. Referring to Fig. 3, a
본 발명의 양호한 실시예로서, 본 발명에 따른 패턴 엔진(212)은 다이내믹 필터(dynamic filter), IP 스푸핑 필터(spoofing filter) 및 스태틱 필터(static filter) 등을 구비할 수 있으며, 각각의 기능은 다음과 같다. 즉, 다이내믹 필터는 패킷 헤더(packet header) 정보를 기준으로 하여 계속적으로 흐르는 유해 트래픽을 차단하는 기능을 수행하고, 이 때에 차단 기준은 시그너쳐 센서(121)에서 판정된 명령을 기반으로 차단한다.As a preferred embodiment of the present invention, the
한편, IP 스푸핑 필터는 내부 네트워크(86)에서 들어오는 통로 C1 통과 패킷을 감시한다. 본 발명의 바람직한 실시예로서 소스 IP를 기준으로 등록되지 않은 내부 네트워크 대역일 경우 해당 패킷을 폐기한다. 이 때에, DHCP 프로토콜 운영 중인 경우에는 0.0.0.0 IP 는 통과시킬 수 있다.On the other hand, the IP spoofing filter monitors the incoming passage C1 passing packets from the
또한, 스태틱 필터(static filter)는 데이터베이스화 된 웜(WORM) 및 바이러스 패턴을 기준으로 상기 다이내믹 필터 스푸핑 필터를 통과한 패킷을 매칭하여 차단하는 필터이다. 예를 들어서, 트래픽 데이터 안에 숨겨진 해킹과 웜 바이러스의 패턴 매칭을 통해 차단할 수 있다.In addition, the static filter is a filter that matches and blocks packets passing through the dynamic filter spoofing filter based on a database-based worm and virus pattern. For example, it can be blocked by hacking hidden in traffic data and pattern matching of worm viruses.
다시 도3을 참조하면, QoS 엔진(213)은 사용자에 의해 정의된 QoS 클래스 정책에 따라 대역폭을 조절하는 기능을 수행한다. 또한, 도3에 도시된 네트캡(124) 모듈은 패킷 디코드 엔진(211)에서 분석되어진 패킷의 헤더 정보를 커널로부터 받아서 버퍼링하며, 버퍼링된 패킷을 시그너쳐 센서(121), QoS 로그 센서(122) 및 IP 어카운트 센서(123)에게 전달하는 역할을 수행한다.Referring back to FIG. 3, the
본 발명의 양호한 실시예로서, 시그너쳐 센서(121)는 계속적으로 흐르는 패 킷의 헤더 정보를 실시간으로 감시하여 유해 트래픽을 판정하고 차단 명령 및 해제 명령을 패턴 엔진(212)에게 전송하고, 해당 패킷 정보를 로그 데이터베이스(129)에 기록한다.In a preferred embodiment of the present invention, the
본 발명의 양호한 실시에로서, 시그너쳐 데이터베이스에 등록된 Attacks, DoS/DDoS, SCAN, MAC 기준 IP 스푸핑 감시하며 패턴 엔진(212)에게 차단 명령을 내릴 수 있다. 본 발명의 또 다른 양호한 실시예로서, 시그너쳐 데이터베이스에 등록된 해제 시간을 기준으로 더 이상 공격이 없을 경우 해제 명령을 패턴 엔진(212)에게 보낸다.In a preferred embodiment of the present invention, Attacks, DoS / DDoS, SCAN, MAC reference IP spoofing registered in the signature database can be monitored and a block command can be issued to the
한편, 차단 및 해제에 관한 모든 정보는 로그 데이터베이스에 기록된다. 본 발명의 양호한 실시예로서, 통과되는 모든 트래픽에 대한 내부 IP, 목적지 IP 기준으로 로그 데이터베이스에 기록할 수 있다. 본 발명의 또 다른 실시예로서, 현재 연결되어 있는 모든 세션 정보를 로그 데이터베이스에 기록할 수 있다.On the other hand, all information about blocking and release is recorded in the log database. As a preferred embodiment of the present invention, it is possible to record in the log database on the basis of the internal IP and the destination IP for all traffic passing through. As still another embodiment of the present invention, all currently connected session information may be recorded in a log database.
다시 도3을 참조하여, 본 발명에 따른 네트워크 보호 장치에서의 패킷 흐름을 설명하기로 한다. 먼저 내부 패킷 흐름(C1)을 살펴보면 다음과 같다. 사용자 영역에서 패킷 발생되면 내부 NIC(86)를 통해서 C1 통로를 거쳐, 패킷 디코드 엔진(211)이 유입된 패킷을 쉽고 빠르게 분석할 수 있도록 분해해서 커널 버터에 누적한 후 통로 C2로 내보낸다. 그리고 나면, 다음 단계인 패턴 엔진(212)이 패킷의 운명을 결정하게 되고, 시그너쳐 필터, 아이피 스푸핑 필터, 스태틱 필터 등 각각의 필터에 의해 차단 또는 통과된다.3, packet flow in the network protection device according to the present invention will be described. First, the internal packet flow C1 is as follows. When the packet is generated in the user area, the
본 발명의 양호한 실시예에 따라, 차단된 패킷은 더 이상의 필터 없이 바로 폐기되고, 통과된 패킷은 통로 C3을 지나 QoS 엔진(213)으로 전달되어 큐잉(queuing)되어지고, 마지막에는 통로 C4를 지나 외부 NIC(262)에 전달된다.According to a preferred embodiment of the present invention, the blocked packet is immediately discarded without further filters, and the passed packet is passed through passage C3 to the
한편, 외부 네크워크의 패킷 흐름의 양호한 실시예는 다음과 같다. 즉, 외부 NIC(87)에서 패킷 발생되면, 통로 C5를 거쳐 패킷 디코드 엔진(211)이 유입된 패킷을 쉽고 빠르게 분석하도록 분해하여 커널 버퍼에 누적한 후 통로 C6으로 보낸다.On the other hand, a preferred embodiment of the packet flow of the external network is as follows. That is, when a packet is generated in the
다음 단계인 패턴 엔진(212)이 패킷 운명을 결정하게 되는데, 여기서는 시그너쳐 필터, 아이피 스푸핑 필터, 스태틱 필터 등 각각의 필터에 의해 차단되거나 통과된다. 이어서, 차단된 패킷은 더 이상의 필터링 없이 곧바로 폐기되며, 통과된 패킷은 통로 C7을 지나서 QoS 엔진(213)으로 전달되어 큐잉(queuing)되어지고, 마지막으로 통로 C8을 지나 내부 NIC(261)에 전달된다. The next step, the
도4는 본 발명에 따른 네트워크 보안장치를 구성하는 패턴 엔진의 일처리 흐름을 나타낸 도면이다. 도4를 참조하면, 패킷이 유입되면 형태에 따라 프로토콜(protocol), 출발지 MAC, 목적지 MAC, 출발지 IP, 목적지 IP, TCP 또는 UDP 소켓의 경우 출발지 PORT 및 목적지 PORT, 패킷 길이에 대한 정보를 메모리에 적재한다(단계 S410).4 is a diagram illustrating a work flow of a pattern engine constituting the network security apparatus according to the present invention. Referring to FIG. 4, when a packet is introduced, information about a source port, a destination port, and a packet length in the case of a protocol, a source MAC, a destination MAC, a source IP, a destination IP, a TCP, or a UDP socket may be stored in a memory. It loads (step S410).
이어서, 본 발명에 따른 패턴 엔진은 폴리시(policy)에 등록된 패턴 자료를 참조하여 패킷의 무결점 오류를 검증한다. 본 발명의 양호한 실시예로서, 무결점 오류 검증 단계(단계 S411)는 CRC 오류 검사, LAND ATTACK, 브로드캐스트 체크, 소스 아이피 범위 오류 검사 등을 포함할 수 있다. Subsequently, the pattern engine according to the present invention refers to the pattern data registered in the policy and verifies the defect of the packet. As a preferred embodiment of the present invention, the flawless error verification step (step S411) may include CRC error check, LAND ATTACK, broadcast check, source IP range error check, and the like.
여기서, 오류 검사 단계(단계 S411)에서 해당되는 패킷은 폐기된다. 한편, 시그너쳐 센서에서 전달받은 다양한 형태의 패킷 정보를 기준으로 각각의 패킷에 대입하여 시그너쳐 필터 매칭 여부를 검사하며(단계 S412), 일치하는 경우 해당 패킷은 폐기된다.Here, the corresponding packet is discarded in the error checking step (step S411). On the other hand, by checking the signature filter match by inserting each packet on the basis of various types of packet information received from the signature sensor (step S412), if the match, the packet is discarded.
이어서, 패킷의 이동 방향을 검사하게 되는데, 패킷의 랜 인터페이스 태그(LAN interface TAG)를 검사해서, 내부(사용자) 네트워크에서 올라오는 패킷의 경우는 IP 대역의 검사 단계를 거치고, 외부에서 내부로 유입되는 패킷의 경우는 단계 S415로 이동한다.Subsequently, the direction of movement of the packet is examined, and the LAN interface tag of the packet is examined, and the packet coming from the internal (user) network goes through the inspection of the IP band and flows in from the outside. In the case of a packet, the process moves to step S415.
전술한 단계 S413에서 내부에서 들어오는 패킷으로 판명된 경우, 출발지 IP를 기준으로 해서, 내부 IP 밴드 데이터베이스에 등록된 자료를 참조하여 검사하고, 출발지 IP가 등록된 IP인 경우에는 다음 검사를 진행하고, 내부 IP가 아닌 경우에는 바로 폐기시킨다(단계 S414). 이어서, L7 기반의 정적 유해 트래픽을 검사하게 되는데(단계 S415), 해당 패킷은 즉시 폐기된다. When it is determined that the packet is received from the inside in step S413 described above, based on the source IP, the packet is examined by referring to the data registered in the internal IP band database, and when the source IP is the registered IP, the next test is performed. If it is not an internal IP, it is immediately discarded (step S414). Then, the L7 based static harmful traffic is checked (step S415), and the packet is discarded immediately.
스태틱 필터 패턴은 출발지 포트, 목적지 포트, 패킷이 담고 있는 데이터 영역의 문자열 조합으로 검사되어질 수 있다. 본 발명의 양호한 실시예로서, 고속 검사 기법을 적용한 원패스 스캔(one pass scan)이라는 자료 구조 형태를 이용한 알고리즘이 적용될 수 있다.The static filter pattern may be examined by a combination of a source port, a destination port, and a string of data areas containing a packet. As a preferred embodiment of the present invention, an algorithm using a data structure form called a one pass scan using a fast inspection technique may be applied.
전술한 단계 S410 내지 단계 S415의 검사 항목을 모두 통과한 패킷에 대해서는 정상 패킷의 정보를 임시 메모리 데이터베이스 버퍼에 기록하고(단계 S416), 해당 패킷은 다음 모듈에 인계된다.About the packet which passed all the inspection items of step S410-step S415 mentioned above, the information of a normal packet is recorded in the temporary memory database buffer (step S416), and this packet is handed over to a next module.
본 발명의 양호한 실시예로서, 폐기(drop)하도록 처분된 패킷은 차단된 패킷 정보를 임시 메모리 데이터베이스 버터에 기록한 후 해당 패킷은 폐기되어질 수 있다. In a preferred embodiment of the present invention, a packet discarded to drop writes blocked packet information to a temporary memory database butter and then the packet can be discarded.
도5는 본 발명에 따른 네트워크 보안 장치를 구성하는 시그너쳐 센서의 일처리 흐름을 나타낸 도면이다. 도5를 참조하면, 단위 시간(1초) 당 분석 가능한 패킷을 네트 캡(124)으로부터 블록하면서 버퍼링한다(단계 S521). 이어서, 등록된 시그너쳐 패턴(signature pattern)을 모두 대입하면서 아래와 같이 반복 실행한다. 5 is a flowchart illustrating a work flow of the signature sensor constituting the network security device according to the present invention. Referring to Fig. 5, packets that can be analyzed per unit time (1 second) are buffered while being blocked from the net cap 124 (step S521). Subsequently, the procedure is repeated as follows while all the registered signature patterns are substituted.
우선, 등록된 패턴과 일치하는 패킷 정보가 있는지 확인하고(단계 S522), 출발지 IP를 기준으로 프로토콜(TCP, UDP, ICAM) 유형별 해당 시그너쳐 패킷이 들어 있는지를 검사하고, 해당 패킷이 있을 경우 단계 S523으로 진행하고, 해당 패킷이 없는 경우 다음 시그너쳐를 검사한다.First, check whether there is packet information that matches the registered pattern (step S522), and check whether there is a corresponding signature packet for each protocol (TCP, UDP, ICAM) type based on the source IP, and if there is a corresponding packet, step S523 If the packet does not exist, the next signature is checked.
본 발명의 양호한 실시예로서, 이미 같은 시그너쳐 패턴으로 탐지 및 차단되고 있는 동일한 시그너쳐가 이미 존재하고 있다면 단계 S522로 진행하고, 존재하지 않는다면 단계 S524로 진행한다.In a preferred embodiment of the present invention, if there is already the same signature that is already being detected and blocked with the same signature pattern, the flow proceeds to step S522, and if not, the flow goes to step S524.
이어서, 시그너쳐에 탐지된 모든 패킷을 데이터베이스에 기록한다(단계 S524). 환경 설정 변수 중에서 패킷 탐지가 아닌 차단 모드인 경우에는 단계 S526(차단 명령)을 실행하고, 탐지 모드인 경우에는 단계 S522로 이동한다. 한편, 단계 S526에서 본 발명의 양호한 실시예로서 차단할 최적의 명령을 패턴 엔진(212)에 전송한다(단계 S526). 차단된 모든 패턴 정보를 대입하게 되는데, 현재 차단되거나 탐지되고 있는 모든 시그너쳐의 해저 시점을 판단하고, 현재 차단된 패턴 정 보를 읽어 온다(단계 S527).Then, all packets detected by the signature are recorded in the database (step S524). In the blocking mode other than the packet detection among the environment setting parameters, step S526 (blocking instruction) is executed, and in the detection mode, the flow moves to step S522. On the other hand, in step S526, the best command to be blocked as the preferred embodiment of the present invention is transmitted to the pattern engine 212 (step S526). Substituting all blocked pattern information, the bottom point of all signatures that are currently blocked or detected is determined, and the currently blocked pattern information is read (step S527).
한편, 현재 차단된 패킷 카운트와 해제 시간을 기준으로 판단하여 차단된 패킷 룰 셋을 해제할 것인가를 판단하여(단계 S528), 해제할 패킷 룰 셋이라면 단계 S529로 이동하고 다음 패턴 정보를 독촉한다.On the other hand, it is determined based on the current blocked packet count and release time to determine whether to release the blocked packet rule set (step S528). If the packet rule set to be released is moved to step S529, the next pattern information is prompted.
본 발명의 양호한 실시예로서, 해제 시점에서 총 차단되거나 탐지된 패킷 카운트와 차단된 시간 정보를 기록할 수 있다(단계 S529). 이어서, 차단된 룻 셋의 해제 정보를 패턴 엔진(212)에 명령하고, 분석 작업을 계속할지 여부를 판단하여 시그너쳐 패던 분석 작업 시에 필요하면 단계 S521로 되돌아가 시그너쳐 분석을 계속한다. As a preferred embodiment of the present invention, the total blocked or detected packet count and blocked time information can be recorded at the release time (step S529). Subsequently, the release engine of the blocked root set is instructed to the
도5a 내지 도5f는 본 발명에 따른 네트워크 보안 장치가 제공하는 시스템 화면을 나타낸 도면이다. 도5a를 참조하면, 본 발명에 따른 네트워크 보안 장치의 사용 현황을 나타낸 도면으로서, 서비스 모듈 상태 유해 트래픽 차단정보, 시스템 사용량 등을 제공한다. 5A to 5F are diagrams illustrating a system screen provided by a network security device according to the present invention. Referring to FIG. 5A, it is a diagram showing the usage status of the network security apparatus according to the present invention, and provides the service module state harmful traffic blocking information, system usage, and the like.
도5b는 본 발명의 양호한 실시예로서, 유해 트래픽 정책 리스트를 나타내고 있다. 본 발명은 유해 트래픽 차단 패턴을 제공하며 Layer 2-7 기반으로 Attack 및 바이러스를 완벽히 차단할 수 있다. 도5c는 본 발명의 바람직한 실시예로서 유해 트래픽 실시간 차단 내역을 나타낸 도면이다. 본 발명은 실시간 주요 패킷 분석을 통하여 자동 탐지, 차단 및 해제를 반복적으로 수행하며, MAC 및 IP 주소 기반으로 서비스 포트 및 프로토콜별로 세부 차단을 적용할 수 있다. 도5d를 참조하면, 본 발명에 따른 네트워크 보안 장치는 일일, 주간, 월간, 특정 시간대별 유해 트래픽 차단 로그를 제공할 수 있으며, 위험도 등을 고려하여 해당 서비스 포트에 대한 보안 정책을 설정한다.Fig. 5B shows a harmful traffic policy list as a preferred embodiment of the present invention. The present invention provides a harmful traffic blocking pattern and can completely block attacks and viruses based on Layer 2-7. Figure 5c is a diagram showing the harmful traffic real-time blocking history as a preferred embodiment of the present invention. The present invention repeatedly performs automatic detection, blocking, and releasing through real-time major packet analysis, and can apply detailed blocking for each service port and protocol based on MAC and IP addresses. Referring to FIG. 5D, the network security apparatus according to the present invention may provide a harmful traffic blocking log for daily, weekly, monthly, and specific time zones, and sets a security policy for a corresponding service port in consideration of risk.
도5e는 본 발명의 양호한 실시예로서, QoS 실시간 트래픽 모니터링을 통해 네트워크 자원 현황을 제공한다. 도5f를 참조하면, 본 발명은 QoS 트래픽 분석을 통해 네트워크 능력을 향상시킨다. 도5g는 본 발명에 따른 보안 장치의 QoS 정책 수립을 나타내는 도면으로, 클래스별 컨텐츠 서비스를 정의하고 시간별 스케쥴링을 제공한다. 5E is a preferred embodiment of the present invention, which provides network resource status through QoS real-time traffic monitoring. Referring to FIG. 5F, the present invention improves network capability through QoS traffic analysis. 5G is a diagram illustrating QoS policy establishment of a security device according to the present invention, which defines a class-specific content service and provides time-based scheduling.
전술한 내용은 후술할 발명의 특허 청구 범위를 보다 잘 이해할 수 있도록 본 발명의 특징과 기술적 장점을 다소 폭넓게 개설하였다. 본 발명의 특허 청구 범위를 구성하는 부가적인 특징과 장점들은 이하에서 상술될 것이다. 개시된 본 발명의 개념과 특정 실시예는 본 발명과 유사 목적을 수행하기 위한 다른 구조의 설계나 수정의 기본으로 즉시 사용될 수 있음이 당해 기술 분야의 숙련된 사람들에 의해 인식되어야 한다.The foregoing has outlined rather broadly the features and technical advantages of the present invention to better understand the claims of the invention which will be described later. Additional features and advantages that make up the claims of the present invention will be described below. It should be appreciated by those skilled in the art that the conception and specific embodiments of the invention disclosed can be readily used as a basis for designing or modifying other structures for carrying out similar purposes to the invention.
또한, 본 발명에서 개시된 발명 개념과 실시예가 본 발명의 동일 목적을 수행하기 위하여 다른 구조로 수정하거나 설계하기 위한 기초로서 당해 기술 분야의 숙련된 사람들에 의해 사용되어질 수 있을 것이다. 또한, 당해 기술 분야의 숙련된 사람에 의한 그와 같은 수정 또는 변경된 등가 구조는 특허 청구 범위에서 기술한 발명의 사상이나 범위를 벗어나지 않는 한도 내에서 다양한 변화, 치환 및 변경이 가능하다.In addition, the inventive concepts and embodiments disclosed herein may be used by those skilled in the art as a basis for modifying or designing other structures for carrying out the same purposes of the present invention. In addition, such modifications or altered equivalent structures by those skilled in the art may be variously changed, substituted, and changed without departing from the spirit or scope of the invention described in the claims.
이상과 같이, 본 발명의 L2-L7 기반의 유해 트래픽을 원천적으로 차단하고, 사용자 맥 어드레스 기반의 근본적 차단 정책을 제공함으로써, 서브 네트워크간의 유해 트래픽 확산을 차단하고, 공격 패턴 인식을 통한 공격에 대응하는 것이 가능하게 된다. 더욱이, 본 발명에 따른 시그너쳐 필터를 최상위에 배치함으로써 내부에서 올라오는 공격성 트래픽을 효율적으로 차단할 수 있으며, 정상적 트래픽은 이상적으로 통과시킬 수 있다. As described above, by blocking the L2-L7-based harmful traffic based on the present invention, and by providing a fundamental blocking policy based on the user MAC address, it prevents the spread of harmful traffic between sub-networks, and responds to attacks by attack pattern recognition It becomes possible. Moreover, by placing the signature filter according to the present invention at the top, it is possible to effectively block the aggressive traffic coming from inside, and the normal traffic can be ideally passed.
또한, 본 발명은 실시간 QoS 모니터를 통해 트래픽 현황을 파악하고 제어함으로써 특정 사용자 및 애플리케이션에 전용 대역폭을 할당하고, 특정 트래픽의 대역폭 독점을 방지할 수 있다.In addition, the present invention can identify and control the traffic state through a real-time QoS monitor to allocate dedicated bandwidth to specific users and applications, and prevent bandwidth monopoly of specific traffic.
Claims (9)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020040065652A KR100614775B1 (en) | 2004-08-20 | 2004-08-20 | System and method of protecting network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020040065652A KR100614775B1 (en) | 2004-08-20 | 2004-08-20 | System and method of protecting network |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20060017109A KR20060017109A (en) | 2006-02-23 |
KR100614775B1 true KR100614775B1 (en) | 2006-08-22 |
Family
ID=37125234
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020040065652A KR100614775B1 (en) | 2004-08-20 | 2004-08-20 | System and method of protecting network |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100614775B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014025225A1 (en) * | 2012-08-10 | 2014-02-13 | 주식회사 아이디어웨어 | Apparatus for detecting application packet data pattern |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100767803B1 (en) * | 2006-03-27 | 2007-10-18 | 전덕조 | Method and apparatus for detecting network attack based on network abnormal behavior |
KR100841737B1 (en) * | 2006-03-27 | 2008-06-27 | 주식회사 아라기술 | Method and system for managing transmission of internet contents |
KR100809416B1 (en) * | 2006-07-28 | 2008-03-05 | 한국전자통신연구원 | Appatus and method of automatically generating signatures at network security systems |
KR100851509B1 (en) * | 2007-01-24 | 2008-08-11 | (주) 시스메이트 | Real time packet classification apparatus and method through scattered signature matching |
KR100863313B1 (en) * | 2007-02-09 | 2008-10-15 | 주식회사 코어세스 | Apparatus and Method for automatically blocking spoofing by address resolution protocol |
KR100770357B1 (en) * | 2007-06-04 | 2007-10-25 | 펌킨네트웍스코리아 (주) | A high performance intrusion prevention system of reducing the number of signature matching using signature hashing and the method thereof |
KR101289956B1 (en) * | 2007-09-12 | 2013-07-26 | 주식회사 엘지씨엔에스 | Apparatus and method of stabilizing service of network security system |
KR100870871B1 (en) * | 2008-05-29 | 2008-11-27 | (주)한드림넷 | Access level network securing device and securing system thereof |
US9032478B2 (en) | 2009-01-29 | 2015-05-12 | Hewlett-Packard Development Company, L.P. | Managing security in a network |
KR101042291B1 (en) * | 2009-11-04 | 2011-06-17 | 주식회사 컴트루테크놀로지 | System and method for detecting and blocking to distributed denial of service attack |
KR101116745B1 (en) * | 2010-12-06 | 2012-02-22 | 플러스기술주식회사 | A blocking method of connectionless traffic |
KR101359692B1 (en) * | 2013-01-09 | 2014-02-07 | 주식회사 유아이넷 | Signature search system using memory space storaging partial information on substring of input signature |
KR101504936B1 (en) * | 2013-12-30 | 2015-03-23 | 주식회사 시큐아이 | Proxy device and packet transmission method thereof |
KR101835315B1 (en) | 2016-03-07 | 2018-03-08 | 주식회사 윈스 | IPS Switch System and Processing Method |
-
2004
- 2004-08-20 KR KR1020040065652A patent/KR100614775B1/en active IP Right Grant
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014025225A1 (en) * | 2012-08-10 | 2014-02-13 | 주식회사 아이디어웨어 | Apparatus for detecting application packet data pattern |
Also Published As
Publication number | Publication date |
---|---|
KR20060017109A (en) | 2006-02-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9917857B2 (en) | Logging attack context data | |
KR100614775B1 (en) | System and method of protecting network | |
Artail et al. | A hybrid honeypot framework for improving intrusion detection systems in protecting organizational networks | |
US7757283B2 (en) | System and method for detecting abnormal traffic based on early notification | |
US7561515B2 (en) | Role-based network traffic-flow rate control | |
US7596807B2 (en) | Method and system for reducing scope of self-propagating attack code in network | |
US9060020B2 (en) | Adjusting DDoS protection based on traffic type | |
Giroire et al. | Exploiting temporal persistence to detect covert botnet channels | |
US9491185B2 (en) | Proactive containment of network security attacks | |
US20050216956A1 (en) | Method and system for authentication event security policy generation | |
US20050071650A1 (en) | Method and apparatus for security engine management in network nodes | |
US10469528B2 (en) | Algorithmically detecting malicious packets in DDoS attacks | |
Mcdaniel et al. | Enterprise Security: A Community of Interest Based Approach. | |
KR20100132079A (en) | Active network defense system and method | |
Scarfone et al. | Intrusion detection and prevention systems | |
Tariq et al. | A comprehensive categorization of DDoS attack and DDoS defense techniques | |
CN116055163A (en) | Login information acquisition and blocking method based on eBPF XDP | |
Schehlmann et al. | COFFEE: a Concept based on OpenFlow to Filter and Erase Events of botnet activity at high-speed nodes | |
KR100769221B1 (en) | Confrontation system preparing for zeroday attack and confrontation method thereof | |
Carlinet et al. | Analysis of computer infection risk factors based on customer network usage | |
KR20020072618A (en) | Network based intrusion detection system | |
US11330011B2 (en) | Avoidance of over-mitigation during automated DDOS filtering | |
Liljenstam et al. | Comparing passive and active worm defenses | |
Xia et al. | Effective worm detection for various scan techniques | |
Rodrigues et al. | Design and implementation of a low-cost low interaction IDS/IPS system using virtual honeypot approach |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20120810 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20130814 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20150810 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20161110 Year of fee payment: 11 |
|
FPAY | Annual fee payment |
Payment date: 20170810 Year of fee payment: 12 |
|
FPAY | Annual fee payment |
Payment date: 20190812 Year of fee payment: 14 |