KR100628328B1 - 적응적 침해 방지 장치 및 방법 - Google Patents

적응적 침해 방지 장치 및 방법 Download PDF

Info

Publication number
KR100628328B1
KR100628328B1 KR1020050020034A KR20050020034A KR100628328B1 KR 100628328 B1 KR100628328 B1 KR 100628328B1 KR 1020050020034 A KR1020050020034 A KR 1020050020034A KR 20050020034 A KR20050020034 A KR 20050020034A KR 100628328 B1 KR100628328 B1 KR 100628328B1
Authority
KR
South Korea
Prior art keywords
traffic
adaptive
list
attack
unit
Prior art date
Application number
KR1020050020034A
Other languages
English (en)
Other versions
KR20060099050A (ko
Inventor
최병철
서동일
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020050020034A priority Critical patent/KR100628328B1/ko
Priority to US11/187,758 priority patent/US20060206935A1/en
Publication of KR20060099050A publication Critical patent/KR20060099050A/ko
Application granted granted Critical
Publication of KR100628328B1 publication Critical patent/KR100628328B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation

Abstract

본 발명은 네트워크로 유입되는 트래픽에 대한 정상 및 비정상 여부의 판단에 있어서 오경보(false alarm)를 감소시키고 알려지지 않은 공격에 대응할 수 있는 침해 방지 장치 및 방법에 관한 것이다. 이를 위한 장치는 네트워크 트래픽의 행동양식을 분석하여 공격탐지 임계값을 추정하는 행동양식 분석부, 추정된 공격탐지 임계값을 이용하여 상기 네트워크 트래픽의 유형을 분류하는 트래픽 판단부, 분류된 트래픽 유형을 소정의 판단규칙과 비교 분석하는 공격 판단부, 및 비교 분석된 트래픽의 이상 여부에 따라 상기 트래픽을 처리하는 적응적 침해방지부를 포함한다. 이로써, 본 발명에 따르면 네트워크로 유입되는 이상 트래픽 및 알려지지 않은 공격 트래픽에 대해서 오경보율(False Alarm Rate; 오탐지율(False Positive Rate) 및 미탐지율(False Negative Rate)의 합)을 감소시킬 수 있다.

Description

적응적 침해 방지 장치 및 방법{Apparatus and method of adaptive prevention on attack}
도 1은 본 발명에 따른 적응적 침해 방지 장치를 나타내는 개념도이다.
도 2는 본 발명에 따른 적응적 침해 방지 장치를 나타내는 블록도이다.
도 3은 본 발명에 따른 적응적 침해 방지 방법을 나타내는 흐름도이다.
도 4는 행위 기반의 적응적 임계값 추정을 나타내는 도면이다.
<도면의 주요 부분에 대한 부호의 설명>
1...적응적 침해 방지 장치 10...행동양식 분석부
20...트래픽 판단부 30...공격 판단부
40...적응적 침해 방지부 80...보안정책 관리부
90...위협 정보 저장부
본 발명은 네트워크에 관한 것으로, 특히 네트워크로 유입되는 트래픽에 대한 행동양식 분석을 통한 적응적 공격탐지 임계값 및 판단규칙을 사용함으로써 트래픽의 정상 및 비정상 여부의 판단에 있어서 오경보(false alarm)를 감소시키고 알려지지 않은 공격에 대응할 수 있는 적응적 침해 방지 장치 및 방법에 관한 것이다.
종래의 침입 탐지 시스템 또는 침입 방지 시스템은 시그너쳐 기반의 규칙(signature-based rules)을 사용한다. 일부의 침입 탐지 시스템은 행위기반의 공격 탐지를 수행하지만, 여전히 오경보율(FAR: false alarm rate)이 매우 높고, 수퍼 웜(Super Worms; 잘 알려진 서비스 포트를 이용한 네트워크 공격) 및 제로 데이 공격(Zero-day Attacks; 보안 패치가 발표되기 전에 발생하는 네트워크 공격)과 같은 알려지지 않은 공격에 대해서는 대응하지 못하고 있다.
본 발명이 이루고자 하는 기술적 과제는, 상기와 같은 단점들을 해결하기 위하여, 행위 기반의 적응적 공격 판단 임계값을 이용하여 네트워크로 유입되는 이상 트래픽 및 알려지지 않은 공격 트래픽에 대해서 오경보율을 감소시키고 침해를 방지할 수 있는 적응적 침해 방지 장치를 제공하는 데 있다.
본 발명이 이루고자 하는 다른 기술적 과제는, 상기와 같은 단점들을 해결하기 위하여, 행위 기반의 적응적 공격 판단 임계값을 이용하여 네트워크로 유입되는 이상 트래픽 및 알려지지 않은 공격 트래픽에 대해서 오경보율을 감소시키고 침해를 방지할 수 있는 적응적 침해 방지 방법을 제공하는 데 있다.
본 발명은 상기한 기술적 과제를 달성하기 위하여,
네트워크 트래픽의 행동양식을 분석하여 공격탐지 임계값을 추정하는 행동양 식 분석부;
추정된 공격탐지 임계값을 이용하여 상기 네트워크 트래픽의 유형을 분류하는 트래픽 판단부;
분류된 트래픽 유형을 소정의 판단규칙과 비교 분석하는 공격 판단부; 및
비교 분석된 트래픽의 이상 여부에 따라 상기 트래픽을 처리하는 적응적 침해방지부를 포함하는 적응적 침해 방지 장치를 제공한다.
바람직하기로는, 상기 소정의 판단규칙은 그레이 리스트(Gray List), 화이트 리스트(White List), 및 블랙 리스트(Black List)를 포함하고, 상기 그레이 리스트는 이상 판단 기준을 구비하고, 상기 화이트 리스트는 보안적으로 안정적인 시스템/노드/사용자 정보를 구비하며, 상기 블랙 리스트는 보안적으로 취약한 시스템/노드/사용자 정보를 구비한다.
본 발명에 따른 적응적 침해 방지 장치는 정상 사용자의 행동양식 프로파일, 이상 트래픽에 대한 그레이 리스트, 화이트 리스트, 및 블랙 리스트를 자동 생성하고 위협정보 저장부에 저장하여 관리하는 보안정책 관리부를 더 포함하고, 상기 보안정책 관리부는 상기 그레이 리스트, 화이트 리스트, 및 블랙 리스트를 상기 공격 판단부에 제공한다.
바람직하기로는, 상기 적응적 침해 방지부는 트래픽의 이상 여부에 따라 상기 트래픽을 통과(Pass), 차단(Block), 및 제어(Control)로 대응시킬 수 있다.
본 발명은 상기한 다른 기술적 과제를 달성하기 위하여,
네트워크 트래픽의 행동양식을 분석하여 공격탐지 임계값을 추정하는 단계;
상기 추정된 공격탐지 임계값을 이용하여 상기 네트워크 트래픽의 유형을 분류하는 단계;
상기 분류된 트래픽 유형을 소정의 판단규칙과 비교 분석하는 단계; 및
비교 분석된 트래픽의 이상 여부에 따라 상기 트래픽을 통과(Pass), 차단(Block), 및 제어(Control)로 대응시키는 단계를 포함한다.
바람직하기로는, 상기 소정의 판단규칙은 그레이 리스트, 화이트 리스트, 및 블랙 리스트를 포함하고, 상기 그레이 리스트는 이상 판단 기준을 구비하고, 상기 화이트 리스트는 보안적으로 안정적인 시스템/노드/사용자 정보를 구비하며, 상기 블랙 리스트는 보안적으로 취약한 시스템/노드/사용자 정보를 구비한다.
이하, 첨부한 도면을 참조하면서 본 발명에 따른 바람직한 실시예를 상세하게 설명한다. 본 발명을 설명함에 있어서 관련된 공지기술 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략할 것이다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명에 따른 적응적 침해 방지 장치를 나타내는 개념도이다. 본 발명에 따른 적응적 침해 방지 장치는 행위기반의 적응적 공격 분석 및 Gray-White-Black 리스트에 의한 공격 제어를 이용한다.
도 1을 참조하면, 본 발명에 따른 적응적 침해 방지 장치(1)는 적응적 침해 방지 프로세서(110) 및 보안 정책 관리부(120)를 포함한다.
적응적 침해 방지 프로세서(110)는 네트워크 트래픽을 분석하여 행동양식 프로파일을 생성하고, 적응적 임계값 적용을 위해 트래픽을 구별하며, Gray-White-Black 리스트 판단 규칙을 이용하여 다수결의 원칙을 적용하여 적응적 대응 기준을 마련하고, 트래픽에 대해 통과/차단/제어를 대응시키는 기능을 수행한다.
보안 정책 관리부(120)는 행동양식 프로파일, 그레이 리스트(Gray List; 이상 판단 기준), 화이트 리스트(White List; 보안적으로 안정적인 시스템/노드/사용자 정보), 블랙 리스트(Black List; 보안적으로 취약한 시스템/노드/사용자 정보)를 자동 생성하고 위협 정보 저장부(130)에 저장하여 관리한다.
도 2는 본 발명에 따른 적응적 침해 방지 장치를 나타내는 블록도이다.
도 2를 참조하면, 적응적 침해 방지 장치(1)는 행동양식 분석부(10), 트래픽 판단부(20), 공격 판단부(30), 적응적 침해 방지부(40), 보안 정책 관리부(80), 및 위협 정보 저장부(90)를 포함한다.
행동양식 분석부(10)는 네트워크 트래픽의 행동양식을 분석하여 공격탐지 임계값을 추정한다. 트래픽 판단부(20)는 추정된 공격탐지 임계값을 이용하여 상기 네트워크 트래픽의 유형을 분류한다.
공격 판단부(30)는 분류된 트래픽 유형을 소정의 판단규칙과 비교 분석한다. 상기 소정의 판단규칙은 그레이 리스트, 화이트 리스트, 및 블랙 리스트를 포함한다. 상기 그레이 리스트는 이상 판단 기준을 구비하고, 상기 화이트 리스트는 보안적으로 안정적인 시스템/노드/사용자 정보를 구비하며, 상기 블랙 리스트는 보안적 으로 취약한 시스템/노드/사용자 정보를 구비한다.
적응적 침해 방지부(40)는 공격 판단부(30)에서 비교 분석된 트래픽의 이상 여부에 따라 상기 트래픽을 처리한다. 예를 들어, 상기 적응적 침해 방지부(40)는 트래픽의 이상 여부에 따라 상기 트래픽을 통과(Pass)(50), 차단(Block)(60), 및 제어(Control)(70)로 대응시킬 수 있다.
보안 정책 관리부(80)는 위협 정보 저장부(TGIB: Threats Global Information Base)(90)에 규칙 정보를 저장하여 관리한다. 상기 규칙 정보는 정상 사용자의 행동양식 프로파일, 이상 트래픽에 대한 그레이 리스트, 화이트 리스트, 및 블랙 리스트를 포함한다. 상기 보안 정책 관리부(80)는 상기 규칙 정보를 자동 생성하고 관리할 수 있다. 또한, 상기 보안정책 관리부(80)는 상기 규칙 정보를 상기 공격 판단부(30)에 제공하여, 상기 공격 판단부가 상기 그레이 리스트, 화이트 리스트, 및 블랙 리스트를 이용하여 트래픽 유형을 비교 분석할 수 있게 한다.
도 3은 본 발명에 따른 적응적 침해 방지 방법을 나타내는 흐름도이다.
도 3을 참조하면, 네트워크 트래픽의 행동양식을 분석하여 공격탐지 임계값을 추정한다(단계 S10). 상기 추정된 공격탐지 임계값을 이용하여 상기 네트워크 트래픽의 유형을 분류한다(단계 S20). 상기 분류된 트래픽 유형을 소정의 판단규칙과 비교 분석한다(단계 S30).
상기 소정의 판단규칙은 그레이 리스트, 화이트 리스트, 및 블랙 리스트를 포함하고, 상기 그레이 리스트는 이상 판단 기준을 구비하고, 상기 화이트 리스트는 보안적으로 안정적인 시스템/노드/사용자 정보를 구비하며, 상기 블랙 리스트는 보안적으로 취약한 시스템/노드/사용자 정보를 구비한다.
비교 분석된 트래픽의 이상 여부에 따라 상기 트래픽을 통과(Pass), 차단(Block), 및 제어(Control)로 대응시킨다(단계 S40).
본 발명을 이용하면, Gray-White-Black 리스트에 의한 동시 병렬 처리를 통하여 다수결의 원칙(Majority Rules)을 적용하여 통과(Pass), 차단(Block), 제어(Control using rate-limit)를 통해 침해를 방지할 수 있다. 따라서, 네트워크 공격에 대한 오경보율을 감소시킬 수 있을 뿐만 아니라 수퍼 웜(Super Worms) 및 제로 데이 공격(Zero-day Attacks)과 같은 알려지지 않은 공격에 대해서도 적응적으로 탐지/분석/대응을 수행함으로써 침해방지 기능을 수행할 수 있다.
도 4는 행위 기반의 적응적 임계값 추정을 나타내는 도면이다.
도 4를 참조하면, 적응적 공격 판단을 위한 임계값의 조정 양상이 표시되고, 오경보(false alarm; 오탐지(false positive) 및 미탐지(false negative)의 합)이 감소되는 효과를 나타낸다. 즉, 본 발명을 이용하면 오경보율을 최소화할 수 있다.
본 발명에 따른 적응적 침해 방지 장치에서 네트워크 트래픽의 행동양식을 분석하여 공격탐지 임계값을 추정하는 데 있어서, 이진 가설 검증 원리에서 T01에 위치하는 임계값을 적응적으로 T001과 T011에 위치시킴으로써 오탐지(false positive)(여기에서는, 공격이라고 판단했는데 공격이 아닌 경우)의 확률 및 미탐지(false negative)(여기에서는, 공격이 아니라고 판단했는데 공격인 경우)의 확률을 감소시킬 수 있다.
본 발명은 유해 트래픽에 대한 행동양식 프로파일링을 통한 적응적 탐지 임 계값을 설정하여 오경보율을 최소화시키는 침해 방지 기술을 개시한다. 따라서, 정상 및 비정상 트래픽에 대한 판단 효율을 극대화할 수 있다.
본 발명에 따른 적응적 침해 방지 장치는 보안 정책 기반의 침해 방지 기술이며 적응적 탐지 임계값을 설정할 수 있도록 하기 위해서 네트워크의 사용자의 행동양식과 트래픽 특성을 분석, 탐지, 대응할 수 있는 적응적 침해 방지 기술이다. 따라서, 본 발명은 알려지지 않은 공격에 의해 네트워크로 유입되는 트래픽의 정상 여부를 확신할 수 없는 환경에서 네트워크 행동양식 분석을 통한 적응적 탐지 임계값을 설정함으로써 최적의 탐지 및 대응을 수행할 수 있다.
본 발명은 네트워크의 정상 트래픽 및 비정상 트래픽에 대한 판단 효율을 높이고, 유해 트래픽의 적응적 판단을 통해 오경보율을 최소화할 수 있다.
상기한 본 발명에 따른 적응적 침해 방지 방법은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이상 본 발명의 바람직한 실시예에 대해 상세히 기술하였지만, 본 발명이 속하는 기술분야에 있어서 통상의 지식을 가진 사람이라면, 첨부된 청구범위에 정의 된 본 발명의 정신 및 범위를 벗어나지 않으면서 본 발명을 여러 가지로 변형 또는 변경하여 실시할 수 있음을 알 수 있을 것이다. 따라서, 본 발명의 앞으로의 실시예들의 변경은 본 발명의 기술을 벗어날 수 없을 것이다.
상술한 바와 같이, 본 발명을 이용하면 네트워크로 유입되는 이상 트래픽 및 알려지지 않은 공격 트래픽에 대해서 오경보율(False Alarm Rate; 오탐지율(False Positive Rate) 및 미탐지율(False Negative Rate)의 합)을 감소시킬 수 있다.
또한, 네트워크 트래픽의 정상 및 비정상 판단시 발생하는 오경보율을 상당히 감소시킬 수 있을 뿐만 아니라 수퍼 웜(Super Worms) 및 제로 데이 공격(Zero-day Attacks)과 같은 알려지지 않은 공격에 대해서도 적응적으로 탐지/분석/대응을 수행함으로써 침해방지 기능을 수행할 수 있다.

Claims (6)

  1. 네트워크 트래픽의 행동양식을 분석하여 공격탐지 임계값을 추정하는 행동양식 분석부;
    추정된 공격탐지 임계값을 이용하여 상기 네트워크 트래픽의 유형을 분류하는 트래픽 판단부;
    분류된 트래픽 유형을 소정의 판단규칙과 비교 분석하는 공격 판단부; 및
    비교 분석된 트래픽의 이상 여부에 따라 상기 트래픽을 처리하는 적응적 침해방지부를 포함하는 적응적 침해 방지 장치.
  2. 제1항에 있어서,
    상기 소정의 판단규칙은 그레이 리스트(Gray List), 화이트 리스트(White List), 및 블랙 리스트(Black List)를 포함하고,
    상기 그레이 리스트는 이상 판단 기준을 구비하고, 상기 화이트 리스트는 보안적으로 안정적인 시스템/노드/사용자 정보를 구비하며, 상기 블랙 리스트는 보안적으로 취약한 시스템/노드/사용자 정보를 구비하는 것을 특징으로 하는 적응적 침해 방지 장치.
  3. 제2항에 있어서,
    정상 사용자의 행동양식 프로파일, 이상 트래픽에 대한 그레이 리스트, 화이 트 리스트, 및 블랙 리스트를 자동 생성하고 위협정보 저장부에 저장하여 관리하는 보안정책 관리부를 더 포함하고,
    상기 보안정책 관리부는 상기 그레이 리스트, 화이트 리스트, 및 블랙 리스트를 상기 공격 판단부에 제공하는 것을 특징으로 하는 적응적 침해 방지 장치.
  4. 제1항에 있어서,
    상기 적응적 침해 방지부는 트래픽의 이상 여부에 따라 상기 트래픽을 통과(Pass), 차단(Block), 및 제어(Control)로 대응시키는 것을 특징으로 하는 적응적 침해 방지 장치.
  5. 네트워크 트래픽의 행동양식을 분석하여 공격탐지 임계값을 추정하는 단계;
    상기 추정된 공격탐지 임계값을 이용하여 상기 네트워크 트래픽의 유형을 분류하는 단계;
    상기 분류된 트래픽 유형을 소정의 판단규칙과 비교 분석하는 단계; 및
    비교 분석된 트래픽의 이상 여부에 따라 상기 트래픽을 통과(Pass), 차단(Block), 및 제어(Control)로 대응시키는 단계를 포함하는 적응적 침해 방지 방법.
  6. 제1항에 있어서,
    상기 소정의 판단규칙은 그레이 리스트(Gray List), 화이트 리스트(White List), 및 블랙 리스트(Black List)를 포함하고,
    상기 그레이 리스트는 이상 판단 기준을 구비하고, 상기 화이트 리스트는 보안적으로 안정적인 시스템/노드/사용자 정보를 구비하며, 상기 블랙 리스트는 보안적으로 취약한 시스템/노드/사용자 정보를 구비하는 것을 특징으로 하는 적응적 침해 방지 방법.
KR1020050020034A 2005-03-10 2005-03-10 적응적 침해 방지 장치 및 방법 KR100628328B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020050020034A KR100628328B1 (ko) 2005-03-10 2005-03-10 적응적 침해 방지 장치 및 방법
US11/187,758 US20060206935A1 (en) 2005-03-10 2005-07-22 Apparatus and method for adaptively preventing attacks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050020034A KR100628328B1 (ko) 2005-03-10 2005-03-10 적응적 침해 방지 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20060099050A KR20060099050A (ko) 2006-09-19
KR100628328B1 true KR100628328B1 (ko) 2006-09-27

Family

ID=36972533

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050020034A KR100628328B1 (ko) 2005-03-10 2005-03-10 적응적 침해 방지 장치 및 방법

Country Status (2)

Country Link
US (1) US20060206935A1 (ko)
KR (1) KR100628328B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100860414B1 (ko) 2006-12-01 2008-09-26 한국전자통신연구원 네트워크 공격 시그너처 생성 방법 및 장치
KR101271449B1 (ko) 2011-12-08 2013-06-05 (주)나루씨큐리티 Dns 강제우회 기반 악성트래픽 통제 및 정보유출탐지 서비스를 제공하는 방법, 서버 및 기록매체

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8468589B2 (en) 2006-01-13 2013-06-18 Fortinet, Inc. Computerized system and method for advanced network content processing
US8065729B2 (en) 2006-12-01 2011-11-22 Electronics And Telecommunications Research Institute Method and apparatus for generating network attack signature
KR101257057B1 (ko) * 2006-12-18 2013-04-22 주식회사 엘지씨엔에스 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험포트 제한 장치 및 방법
US8839345B2 (en) * 2008-03-17 2014-09-16 International Business Machines Corporation Method for discovering a security policy
EP2112800B1 (en) * 2008-04-25 2017-12-27 Deutsche Telekom AG Method and system for enhanced recognition of attacks to computer systems
US8060707B2 (en) * 2008-05-22 2011-11-15 International Business Machines Corporation Minimization of read response time
US7640589B1 (en) 2009-06-19 2009-12-29 Kaspersky Lab, Zao Detection and minimization of false positives in anti-malware processing
KR101219796B1 (ko) * 2009-10-07 2013-01-09 한국전자통신연구원 분산 서비스 거부 방어 장치 및 그 방법
US8776168B1 (en) * 2009-10-29 2014-07-08 Symantec Corporation Applying security policy based on behaviorally-derived user risk profiles
US9762605B2 (en) * 2011-12-22 2017-09-12 Phillip King-Wilson Apparatus and method for assessing financial loss from cyber threats capable of affecting at least one computer network
EP2676402A4 (en) 2011-02-17 2015-06-03 Sable Networks Inc METHOD AND SYSTEMS FOR DETECTING AND WEAKENING A DISTRIBUTED HIGH FREQUENCY DENIAL OF SERVICE (DDOS) ATTACK
US8151341B1 (en) 2011-05-23 2012-04-03 Kaspersky Lab Zao System and method for reducing false positives during detection of network attacks
KR101360591B1 (ko) * 2011-09-29 2014-02-11 한국전력공사 화이트리스트를 이용한 네트워크 감시 장치 및 방법
WO2013173244A1 (en) 2012-05-14 2013-11-21 Sable Networks, Inc. System and method for ensuring subscriber fairness using outlier detection
KR101928525B1 (ko) * 2012-06-11 2018-12-13 한국전자통신연구원 보안 침해 대응 프로세스 기반의 물리/it 보안장비 제어 장치 및 방법
CN103685150B (zh) * 2012-09-03 2015-08-12 腾讯科技(深圳)有限公司 上传文件的方法和装置
US9705921B2 (en) 2014-04-16 2017-07-11 Cisco Technology, Inc. Automated synchronized domain wide transient policy
US10320823B2 (en) * 2015-05-13 2019-06-11 Cisco Technology, Inc. Discovering yet unknown malicious entities using relational data
US10673870B2 (en) * 2017-01-27 2020-06-02 Splunk Inc. Security monitoring of network connections using metrics data
GB2561177B (en) * 2017-04-03 2021-06-30 Cyan Forensics Ltd Method for identification of digital content

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE374493T1 (de) * 2002-03-29 2007-10-15 Global Dataguard Inc Adaptive verhaltensbezogene eindringdetektion
US7681235B2 (en) * 2003-05-19 2010-03-16 Radware Ltd. Dynamic network protection
KR100561628B1 (ko) * 2003-11-18 2006-03-20 한국전자통신연구원 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽감지 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100860414B1 (ko) 2006-12-01 2008-09-26 한국전자통신연구원 네트워크 공격 시그너처 생성 방법 및 장치
KR101271449B1 (ko) 2011-12-08 2013-06-05 (주)나루씨큐리티 Dns 강제우회 기반 악성트래픽 통제 및 정보유출탐지 서비스를 제공하는 방법, 서버 및 기록매체

Also Published As

Publication number Publication date
US20060206935A1 (en) 2006-09-14
KR20060099050A (ko) 2006-09-19

Similar Documents

Publication Publication Date Title
KR100628328B1 (ko) 적응적 침해 방지 장치 및 방법
US9888024B2 (en) Detection of security incidents with low confidence security events
Inayat et al. Intrusion response systems: Foundations, design, and challenges
CA2543291C (en) Method and system for addressing intrusion attacks on a computer system
JP4961153B2 (ja) コンピュータシステムからナレッジベースをアグリゲートし、コンピュータをマルウェアから事前に保護すること
US10992703B2 (en) Facet whitelisting in anomaly detection
US20190253442A1 (en) Assessing detectability of malware related traffic
KR20060051379A (ko) 사용자 변경가능 파일들의 효과적인 화이트 리스팅
KR100950582B1 (ko) 서포트 벡터 데이터 명세를 이용한 트래픽 폭주 공격 탐지방법, 그 장치 및 이를 기록한 기록 매체
US20180139142A1 (en) Network traffic pattern based machine readable instruction identification
Ippoliti et al. Online adaptive anomaly detection for augmented network flows
CN115758355A (zh) 一种基于细粒度访问控制的勒索软件防御方法及系统
US20210367958A1 (en) Autonomic incident response system
US20210329459A1 (en) System and method for rogue device detection
KR101081875B1 (ko) 정보시스템 위험에 대한 예비경보 시스템 및 그 방법
KR100432420B1 (ko) 침입탐지시스템에서 로그 모니터링을 이용한 공격판단시스템 및 그 방법
El-Taj et al. Intrusion detection and prevention response based on signature-based and anomaly-based: Investigation study
KR102369240B1 (ko) 네트워크 공격 탐지 장치 및 방법
KR100656340B1 (ko) 비정상 트래픽 정보 분석 장치 및 그 방법
AU2021103338A4 (en) A method for determining the individual and mutual relationship among the vulnerabilities of sdn entities
CN116743507B (zh) 一种基于智能门锁的入侵检测方法及系统
Deep et al. Prevention and Detection of Intrusion in Cloud Using Hidden Markov Model
US20230362184A1 (en) Security threat alert analysis and prioritization
Papadaki et al. Informing the decision process in an automated intrusion response system
Victor et al. A bayesian classification on asset vulnerability for real time reduction of false positives in ids

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20100901

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee