KR100632204B1 - Attack detection device on network and method - Google Patents

Attack detection device on network and method Download PDF

Info

Publication number
KR100632204B1
KR100632204B1 KR1020040022414A KR20040022414A KR100632204B1 KR 100632204 B1 KR100632204 B1 KR 100632204B1 KR 1020040022414 A KR1020040022414 A KR 1020040022414A KR 20040022414 A KR20040022414 A KR 20040022414A KR 100632204 B1 KR100632204 B1 KR 100632204B1
Authority
KR
South Korea
Prior art keywords
attack
data
server
server system
type
Prior art date
Application number
KR1020040022414A
Other languages
Korean (ko)
Other versions
KR20050096743A (en
Inventor
최창열
박기진
김성수
Original Assignee
아주대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아주대학교산학협력단 filed Critical 아주대학교산학협력단
Priority to KR1020040022414A priority Critical patent/KR100632204B1/en
Publication of KR20050096743A publication Critical patent/KR20050096743A/en
Application granted granted Critical
Publication of KR100632204B1 publication Critical patent/KR100632204B1/en

Links

Images

Classifications

    • GPHYSICS
    • G02OPTICS
    • G02FOPTICAL DEVICES OR ARRANGEMENTS FOR THE CONTROL OF LIGHT BY MODIFICATION OF THE OPTICAL PROPERTIES OF THE MEDIA OF THE ELEMENTS INVOLVED THEREIN; NON-LINEAR OPTICS; FREQUENCY-CHANGING OF LIGHT; OPTICAL LOGIC ELEMENTS; OPTICAL ANALOGUE/DIGITAL CONVERTERS
    • G02F1/00Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics
    • G02F1/01Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics for the control of the intensity, phase, polarisation or colour 
    • G02F1/13Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics for the control of the intensity, phase, polarisation or colour  based on liquid crystals, e.g. single liquid crystal display cells
    • G02F1/133Constructional arrangements; Operation of liquid crystal cells; Circuit arrangements
    • G02F1/1333Constructional arrangements; Manufacturing methods
    • G02F1/133308Support structures for LCD panels, e.g. frames or bezels
    • GPHYSICS
    • G02OPTICS
    • G02FOPTICAL DEVICES OR ARRANGEMENTS FOR THE CONTROL OF LIGHT BY MODIFICATION OF THE OPTICAL PROPERTIES OF THE MEDIA OF THE ELEMENTS INVOLVED THEREIN; NON-LINEAR OPTICS; FREQUENCY-CHANGING OF LIGHT; OPTICAL LOGIC ELEMENTS; OPTICAL ANALOGUE/DIGITAL CONVERTERS
    • G02F1/00Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics
    • G02F1/01Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics for the control of the intensity, phase, polarisation or colour 
    • G02F1/13Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics for the control of the intensity, phase, polarisation or colour  based on liquid crystals, e.g. single liquid crystal display cells
    • G02F1/133Constructional arrangements; Operation of liquid crystal cells; Circuit arrangements
    • G02F1/1333Constructional arrangements; Manufacturing methods
    • G02F1/133308Support structures for LCD panels, e.g. frames or bezels
    • G02F1/133314Back frames
    • GPHYSICS
    • G02OPTICS
    • G02FOPTICAL DEVICES OR ARRANGEMENTS FOR THE CONTROL OF LIGHT BY MODIFICATION OF THE OPTICAL PROPERTIES OF THE MEDIA OF THE ELEMENTS INVOLVED THEREIN; NON-LINEAR OPTICS; FREQUENCY-CHANGING OF LIGHT; OPTICAL LOGIC ELEMENTS; OPTICAL ANALOGUE/DIGITAL CONVERTERS
    • G02F1/00Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics
    • G02F1/01Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics for the control of the intensity, phase, polarisation or colour 
    • G02F1/13Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics for the control of the intensity, phase, polarisation or colour  based on liquid crystals, e.g. single liquid crystal display cells
    • G02F1/133Constructional arrangements; Operation of liquid crystal cells; Circuit arrangements
    • G02F1/1333Constructional arrangements; Manufacturing methods
    • G02F1/133308Support structures for LCD panels, e.g. frames or bezels
    • G02F1/13332Front frames
    • GPHYSICS
    • G02OPTICS
    • G02FOPTICAL DEVICES OR ARRANGEMENTS FOR THE CONTROL OF LIGHT BY MODIFICATION OF THE OPTICAL PROPERTIES OF THE MEDIA OF THE ELEMENTS INVOLVED THEREIN; NON-LINEAR OPTICS; FREQUENCY-CHANGING OF LIGHT; OPTICAL LOGIC ELEMENTS; OPTICAL ANALOGUE/DIGITAL CONVERTERS
    • G02F1/00Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics
    • G02F1/01Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics for the control of the intensity, phase, polarisation or colour 
    • G02F1/13Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics for the control of the intensity, phase, polarisation or colour  based on liquid crystals, e.g. single liquid crystal display cells
    • G02F1/133Constructional arrangements; Operation of liquid crystal cells; Circuit arrangements
    • G02F1/1333Constructional arrangements; Manufacturing methods
    • G02F1/133308Support structures for LCD panels, e.g. frames or bezels
    • G02F1/133322Mechanical guidance or alignment of LCD panel support components

Landscapes

  • Physics & Mathematics (AREA)
  • Nonlinear Science (AREA)
  • Mathematical Physics (AREA)
  • Chemical & Material Sciences (AREA)
  • Crystallography & Structural Chemistry (AREA)
  • General Physics & Mathematics (AREA)
  • Optics & Photonics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 하나 이상의 서버가 그리드 또는 네트워크로 상호 연결되어 구성된 서버 시스템이 네트워크에 연결된 하나 이상의 클라이언트에 의하여 공격을 받을 때 상기 공격을 탐지하는 장치 및 방법에 관한 것으로서, 데이터의 정량적인 분석으로 네트워크 상에서 서버 시스템에 대한 공격을 신속히 탐지하는 장치 및 방법을 제공함에 그 목적이 있다. 전술된 본 발명의 목적을 달성하기 위한 일태양은, 네트워크 상에서 서버 시스템에 대한 공격을 탐지하는 공격 탐지 장치에 있어서, 알려진 웜바이러스가 서버를 공격할 때에 발생하는 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보를 상기 웜 바이러스의 종류별로 분류하여 공격 유형 데이터로 저장하는 공격 유형 데이터베이스와, 상기 서버 시스템의 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보를 분석하여, 그 분석결과를 상기 공격 유형 데이터베이스에 상기 웜바이러스의 종류별로 분류되어 저장된 상기 공격 유형 데이터와 비교하여 서버 시스템이 공격당하고 있는지의 여부를 판단하는 정량 분석 모듈을 포함하는 것을 특징으로 하는 공격 탐지 장치에 관한 것이다.The present invention relates to an apparatus and method for detecting an attack when a server system configured by interconnecting one or more servers in a grid or a network is attacked by one or more clients connected to the network. It is an object of the present invention to provide an apparatus and method for quickly detecting an attack on a server system. One aspect for achieving the above object of the present invention is an attack detection apparatus for detecting an attack on a server system on a network, wherein the amount of request data or the amount of request data generated when a known worm virus attacks the server An attack type database for classifying information including the same IP address ratio by the type of the worm virus and storing the attack type data, and the same rate as the amount of request data per hour or the IP address of the request data of the server system. And analyzing the information, and comparing the analysis result with the attack type data classified and stored in the attack type database for each type of the worm virus to determine whether a server system is under attack. It relates to an attack detection device.

웜 바이러스, 정성 분석, 정량 분석, 스택 오버플로우, 덮어쓰기.Worm virus, qualitative analysis, quantitative analysis, stack overflow, overwrite.

Description

네트워크 상의 공격 탐지 장치 및 그 방법 {ATTACK DETECTING SYSTEM IN NETWORK AND METHOD THE SAME}Attack detection device on network and its method {ATTACK DETECTING SYSTEM IN NETWORK AND METHOD THE SAME}

도1은 본 발명의 실시예에 따른 서버 시스템을 도시한 개략도.1 is a schematic diagram illustrating a server system according to an embodiment of the present invention.

도2는 본 발명의 실시예에 따른 서버 시스템에서 각 서버에 포함되는 모듈 및 데이터베이스를 시각화한 개략도.2 is a schematic diagram visualizing a module and a database included in each server in a server system according to an embodiment of the present invention;

도3은 본 발명의 실시예에서 서버 시스템이 웜 바이러스에 의해 공격받고 있는 상태를 나타내는 상태도.Figure 3 is a state diagram showing a state in which the server system is attacked by a worm virus in the embodiment of the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

100: 네트워크100: network

200: 단말기200: terminal

300: 서버 시스템300: server system

310: 서버 1310: server 1

311: 시스템 정의 데이터베이스311: System Definition Database

312: 공격 유형 데이터베이스312: Attack Type Database

313: 제1 공격 자료 데이터베이스313: First attack data database

314: 정량 분석 모듈314: Quantitative Analysis Module

315: 제1 정성 분석 모듈315: First qualitative analysis module

316: 제1 공격 복구 모듈316: first attack recovery module

317: 데이터 송수신 모듈317: data transmission / reception module

본 발명은 하나 이상의 서버가 그리드 또는 네트워크로 상호 연결되어 구성된 서버 시스템이 네트워크에 연결된 하나 이상의 클라이언트에 의하여 공격을 받을 때 상기 공격을 탐지하는 장치 및 방법에 관한 것이다. The present invention relates to an apparatus and method for detecting an attack when one or more servers are interconnected by a grid or a network and are attacked by one or more clients connected to the network.

기존의 공격 탐지 방법은 클라이언트로부터 서버로 보내지는 요청(Request) 데이터를 조사하거나, 서버에 유입되는 데이터의 코드를 검사하는 등의 정성적인 분석 방법이 있었다. Conventional attack detection methods include qualitative analysis methods such as examining the request data sent from the client to the server or examining the code of the data flowing into the server.

기존에는 서버 시스템이 공격당할 때에 그 공격의 탐지 및 대응 기술에 있어서, 공격 방법에 대한 원천적인 연구보다는 실제의 공격 경험을 토대로 한 탐지 및 대응 방법의 연구가 많았다. 일반적으로 탐지 및 대응 방법의 대부분은 공격 탐지 및 대응이 공격이 상당히 진행되어 복구가 불가능하게 된 이후에 이루어지게 된다. 여기서 공격 탐지는 단시간 동안의 서버 시스템에 수집된 소량의 요청 데이터의 패킷 정보를 분석하여 공격을 탐지하는 상기의 정성적인 분석 방법을 이용한다. 이러한 정성적인 분석은 네트워크 전체를 분석하는 관점보다는 특정 위치에 국한하여 탐지 및 대응하는 방법이다. In the past, when the server system was attacked, there have been many studies of detection and response methods based on actual attack experience, rather than the original research on attack methods. In general, most of the detection and countermeasures will be detected after the attack has progressed considerably and cannot be recovered. In this case, the attack detection uses the above-mentioned qualitative analysis method that detects an attack by analyzing packet information of a small amount of request data collected in a server system for a short time. This qualitative analysis is a method of detecting and responding to a specific location rather than an entire network.

서버 시스템에 관한 공격의 대응 방법은 크게 세가지로 분류할 수 있다. 첫 번째는 서버 시스템에 대한 공격에 대한 분석이며, 두번째는 경험상으로 체득한 서버 시스템에 대한 공격의 특성에 따른 실제적인 방어 방법이고, 마지막으로 서버 시스템의 개선이다. 특히, 서버 시스템에 대한 공격 연구 초기에는 주로 보안 시스템 아키텍처에 관한 연구 및 공격 여부를 탐지하는데 초점을 맞춘 연구가 이루어졌으나, 최근에는 공격 발생 탐지 자체보다는 공격의 흐름 혹은 공격 데이터 패킷들을 정상 패킷과 구분하는 관점에서의 공격 탐지 및 이에 연계되어 사용될 수 있는 대응 방법에 대한 연구가 주류를 이루고 있다. Countermeasures against server systems can be classified into three categories. The first is the analysis of the attack on the server system, the second is the actual defense method according to the characteristics of the attack on the server system acquired from experience, and the last is the improvement of the server system. In particular, in the early stages of attack research on server systems, researches focused mainly on security system architecture and detection of attacks, but recently, distinguished the flow of attacks or attack data packets from normal packets rather than detection of attack occurrence itself. Research on attack detection and the countermeasures that can be used in connection with these are the mainstream.

그러나, 아직까지 이러한 탐지 및 대응 방법은 공격과 정상적인 데이터 흐름과 구분하기 어려웠고, 특히 공격이 진행되고 있는 중에는 공격을 탐지하기 어려웠다. However, these detection and countermeasures have been difficult to distinguish from attacks and normal data flows. In particular, it is difficult to detect an attack while an attack is in progress.

본 발명의 목적은 전술된 종래 기술의 문제점을 해결하기 위한 것으로, 데이터의 정량적인 분석으로 네트워크 상에서 서버 시스템에 대한 공격을 신속히 탐지하는 장치 및 방법을 제공하는 것이다.SUMMARY OF THE INVENTION An object of the present invention is to solve the above-mentioned problems of the prior art, and to provide an apparatus and method for rapidly detecting an attack on a server system on a network by quantitative analysis of data.

전술된 본 발명의 목적을 달성하기 위한 일태양은, 네트워크 상에서 서버 시스템에 대한 공격을 탐지하는 공격 탐지 장치에 있어서, 알려진 웜 바이러스가 서버를 공격할 때에 발생하는 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보를 상기 웜 바이러스의 종류별로 분류하여 상기 공격 유형 데이터로 저장하는 공격 유형 데이터베이스와, 상기 서버 시스템의 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보를 분석하여, 그 분석결과를 상기 공격 유형 데이터베이스에 상기 웜바이러스의 종류별로 분류되어 저장된 상기 공격 유형 데이터와 비교하여 서버 시스템이 공격당하고 있는지의 여부를 판단하는 정량 분석 모듈을 포함하는 것을 특징으로 하는 공격 탐지 장치에 관한 것이다.
상기 정량 분석 모듈은 상기 시스템 자원 사용율 및 시간당 요청 데이터의 양을 포함하는 정보를 분석하여 상기 서버 시스템이 공격 중에서도 계속 작동할 수 있는 확률 및 그 작동 잔여 시간을 계산할 수 있다.
상기 공격 탐지 장치는 네트워크 상의 클라이언트로부터 서버로 보내지는 요청 데이터를 조사하거나, 서버에 유입되는 데이터의 코드를 검사하는 정성 분석 모듈을 더 포함할 수 있다. One aspect for achieving the above object of the present invention is an attack detection apparatus for detecting an attack on a server system on a network, wherein the amount of request data or the amount of request data generated when a known worm virus attacks the server The attack type database which classifies the information including the same IP address ratio by the type of the worm virus and stores the information as the attack type data, and the ratio of the amount of request data per hour or the IP address of the request data of the server system is the same. And a quantitative analysis module for determining whether a server system is under attack by comparing the analysis result and comparing the analysis result with the attack type data classified and stored in the attack type database for each type of the worm virus. It relates to an attack detection device .
The quantitative analysis module may analyze information including the system resource usage rate and the amount of request data per hour to calculate the probability that the server system can continue to operate during an attack and the remaining time of the operation.
The attack detection apparatus may further include a qualitative analysis module for inspecting request data sent from a client on the network to the server or inspecting a code of data flowing into the server.

삭제delete

상기 정성 분석 모듈은 해당 서버에서의 포트 스캐닝으로 열려 있는 포트를 감지하고 해당 포트에서 데이터가 얼마나 유입되는지 검사하고, 또한 운영체제 내의 상기 해당 포트에서 들어오는 데이터가 스택에 저장되어 처리될 때, 상기 데이터가 다른 데이터를 오버라이트 하는지를 검사하여 웜 바이러스를 탐지할 수 있고, 상기 정성 분석 모듈은 서버 시스템에서 서버의 숫자만큼 공격을 탐지할 수 있는 공격 종류의 수를 나누어, 각 서버마다 소정의 정성 분석 모듈을 배치할 수 있다. The qualitative analysis module detects an open port by scanning a port on the corresponding server and checks how much data is introduced from the corresponding port, and when the data coming from the corresponding port in the operating system is stored and processed in a stack, the data is The qualitative analysis module can detect a worm virus by checking whether it overwrites other data, and the qualitative analysis module divides the number of attack types that can detect the attack by the number of servers in the server system, and provides a predetermined qualitative analysis module for each server. Can be placed.

상기 정성 분석 모듈에서 공격을 특정할 수 없는 경우에는, 공격 데이터라고 의심되는 데이터를 다른 서버로 보내어 공격 데이터인지의 여부를 분석하게 할 수 있다.
전술된 본 발명의 목적을 달성하기 위한 다른 태양은, 네트워크 상에서 서버 시스템에 대한 공격을 탐지하는 공격 탐지 방법에 있어서, 알려진 웜 바이러스가 서버를 공격할 때에 발생하는 시간당 유입되는 데이터의 양 또는 유입되는 데이터의 IP 주소가 같은 비율을 포함하는 정보를 상기 웜 바이러스의 종류별로 분류하여 공격 유형 데이터베이스에 공격 유형 데이터로 저장하는 데이터 저장 단계와, 상기 서버 시스템의 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보를 분석하여, 그 분석결과를 상기 공격 유형 데이터베이스에 상기 웜바이러스의 종류별로 분류되어 저장된 상기 공격 유형 데이터와 비교하여 서버 시스템이 공격당하고 있는지의 여부를 판단하는 공격 판단 단계를 포함하는 것을 특징으로 하는 컴퓨터가 독해 가능한 프로그램이 기록되어 있는 기록매체에 관한 것이다.
상기 공격 판단 단계는 상기 시스템 자원 사용율 및 시간당 요청 데이터의 양을 포함하는 정보를 분석하여 상기 서버 시스템이 공격 중에서도 계속 작동할 수 있는 확률 및 그 작동 잔여 시간을 계산할 수 있다.When the attack cannot be specified in the qualitative analysis module, data suspected of attack data may be sent to another server to analyze whether the attack data is attack data.
Another aspect for achieving the above object of the present invention is an attack detection method for detecting an attack on a server system on a network, wherein the amount or amount of incoming data per hour that occurs when a known worm virus attacks the server A data storage step of classifying information including the same ratio of data IP addresses by types of the worm virus and storing the information as attack type data in an attack type database; and the amount of request data per hour of the server system or the IP address of the request data. Is an attack determination step of determining whether a server system is under attack by analyzing information including the same ratio, and comparing the analysis result with the attack type data classified and stored in the attack type database for each type of the worm virus. Com characterized in that it comprises a Emitter is a recording medium that is recorded reading programs.
In the attack determination step, the information including the system resource usage rate and the amount of request data per hour may be analyzed to calculate a probability that the server system can continue to operate even during an attack and the remaining time of the operation.

상기 프로그램은 상기 공격 탐지 단계에서 공격이라고 판단했을 때에, 네트워크 상의 클라이언트로부터 서버로 보내지는 요청 데이터를 조사하거나, 서버에 유입되는 데이터의 코드를 검사하여 공격을 특정하는 공격 특정 단계를 더 포함할 수 있다. When the program is determined to be an attack in the attack detection step, the program may further include an attack specifying step of specifying an attack by examining request data sent from a client on a network to a server or examining a code of data flowing into the server. have.

삭제delete

상기 공격 특정 단계는, 해당 서버에서의 포트 스캐닝으로 열려 있는 포트를 감지하고 해당 포트에서 데이터가 얼마나 유입되는지 검사하고, 또한 운영체제 내의 상기 해당 포트에서 들어오는 데이터가 스택에 저장되어 처리될 때, 상기 데이터가 다른 데이터를 오버라이트 하는지를 검사하여 웜 바이러스를 탐지할 수 있다. The attack specifying step detects an open port by scanning a port on a corresponding server, examines how much data flows in the corresponding port, and also when data coming from the corresponding port in an operating system is stored and processed on a stack, You can detect worm viruses by checking whether they overwrite other data.

전술된 본 발명의 목적을 달성하기 위한 다른 태양은, 네트워크 상에서 서버 시스템에 대한 공격을 탐지하는 공격 탐지 방법에 있어서, 알려진 웜 바이러스가 서버를 공격할 때에 시간당 유입되는 데이터의 양 또는 유입되는 데이터의 IP 주소가 같은 비율을 포함하는 정보를 상기 웜 바이러스의 종류별로 분류하여 공격 유형 데이터베이스에 저장하는 데이터 저장 단계와, 상기 서버 시스템의 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보를 분석하여 상기 공격 유형 데이터베이스에 저장된 알려진 웜 바이러스에 의하여 공격 당할 때의 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율 등의 정보와 비교하여 서버 시스템이 공격당하고 있는지의 여부를 판단하는 공격 판단 단계를 포함하는 것을 특징으로 하는 컴퓨터가 독해 가능한 프로그램이 기록되어 있는 기록매체에 관한 것이다. Another aspect for achieving the above object of the present invention is an attack detection method for detecting an attack on a server system on a network, wherein the amount of data flowing in per hour or the amount of incoming data is known when a known worm virus attacks the server. A data storage step of classifying the information including the same IP address ratio by the type of the worm virus and storing the information in an attack type database; and the same rate as the amount of request data per hour or the IP address of the request data of the server system. Analyzes the information and determines whether the server system is under attack by comparing the information such as the amount of request data or the IP address of the request data when attacked by a known worm virus stored in the attack type database Characterized in that it comprises a determining step Relates to a recording medium in which computer programs are recorded reading.

상기 공격 판단 단계는 상기 시스템 자원 사용율 및 시간당 요청 데이터의 양을 포함하는 정보를 분석하여 상기 서버 시스템이 공격 중에서도 계속 작동할 수 있는 확률 및 그 작동 잔여 시간을 계산할 수 있고, 공격 탐지 단계에서 공격이라고 판단했을 때에, 네트워크 상의 클라이언트로부터 서버로 보내지는 요청 데이터를 조사하거나, 서버에 유입되는 데이터의 코드를 검사하여 공격을 특정하는 공격 특정 단계를 더 포함할 수 있다. The attack determining step may analyze the information including the system resource utilization rate and the amount of request data per hour to calculate the probability that the server system can continue to operate during the attack and the remaining time of the operation. When determined, the method may further include an attack specifying step of examining the request data sent from the client on the network to the server or checking the code of the data flowing into the server to specify the attack.

상기 공격 특정 단계는, 해당 서버에서의 포트 스캐닝으로 열려 있는 포트를 감지하고 해당 포트에서 데이터가 얼마나 유입되는지 검사하고, 또한 운영체제 내의 상기 해당 포트에서 들어오는 데이터가 스택에 저장되어 처리될 때, 상기 데이터가 다른 데이터를 오버라이트 하는지를 검사하여 웜 바이러스를 탐지할 수 있다. The attack specifying step detects an open port by scanning a port on a corresponding server, examines how much data flows in the corresponding port, and also when data coming from the corresponding port in an operating system is stored and processed on a stack, You can detect worm viruses by checking whether they overwrite other data.

도1은 본 발명의 실시예에 따른 서버 시스템을 도시한 것으로서, 하나 이상의 서버가 그리드 또는 네트워크로 상호 연결되어 구성되어 있다. 상기 서버 시스템(300)은 하나 이상의 서버(310 내지 390)가 물리적으로 서로 연결되어서 단독 혹은 서로 협력하여 임의의 서비스를 수행할 수 있다. 1 illustrates a server system according to an embodiment of the present invention, in which one or more servers are interconnected in a grid or a network. In the server system 300, one or more servers 310 to 390 may be physically connected to each other to perform any service alone or in cooperation with each other.

도2는 본 발명의 실시예에 따른 서버 시스템에서 각 서버에 포함되는 모듈 및 데이터베이스를 시각화한 것이다. Figure 2 is a visualization of the module and database included in each server in the server system according to an embodiment of the present invention.

시스템 정의 데이터베이스(311)는 CPU의 처리 속도, 메모리 크기, 디스크의 용량, 서버의 수 및 서버끼리의 연결 관계 등의 물리적인 정보와, 상기 물리적인 정보를 바탕으로 계산된 시간당 요청 데이터 처리 용량 및 네트워크의 대역폭 등의 서비스 가능 용량에 대한 정보를 저장하는 데이터베이스이다. The system definition database 311 includes physical information such as a processing speed of a CPU, a memory size, a disk capacity, a number of servers, and a connection relationship between servers, and a request data processing capacity per hour calculated based on the physical information. A database that stores information about serviceable capacity, such as network bandwidth.

공격 유형 데이터베이스(312)는 알려진 웜 바이러스가 서버를 공격할 때에 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율 등의 정보 등을 상기 웜 바이러스의 종류별로 분류하여 저장하는 데이터베이스이다. The attack type database 312 is a database that stores information such as the amount of request data per hour or the same IP address of the request data when the known worm virus attacks the server, and stores the information by classifying the worm virus.

제1 공격 자료 데이터베이스(313)는 서버 시스템이 당할 수 있는 여러 가지 공격에 따라, 공격 데이터 및 파일을 분석하여 그 정보를 저장하는 데이터베이스이다. 상기 제1 공격 자료 데이터베이스(313)는 서버 1에 배치되며, 제2 공격 자료 데이터베이스는 서버 2에 배치되며, 제3 공격 자료 데이터베이스는 서버 3에 배치되며, 이러한 방식으로 제1, 제2 등의 명칭을 앞에 붙일 수 있다. 후술할 제1 공격 정성 분석 모듈(315) 및 제1 공격 복구 모듈(316) 역시 이러한 방식으로 명칭이 결정될 수 있다. The first attack data database 313 is a database that analyzes attack data and files and stores the information according to various attacks that the server system may encounter. The first attack data database 313 is disposed on the server 1, the second attack material database is located on the server 2, the third attack data database is located on the server 3, in this way, the first, second, etc. You can prefix it with a name. The first attack qualitative analysis module 315 and the first attack recovery module 316, which will be described later, may also be named in this manner.

정량 분석 모듈(314)은 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율 등의 정보를 분석하여 상기 공격 유형 데이터베이스(312)에 저장된 알려진 웜 바이러스에 의하여 공격 당할 때의 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율 등의 정보와 비교하여 서버 시스템이 공격당하고 있는지에 대한 여부를 판단하는 모듈이다. 상기 정량 분석 모듈(314)에서 공격이라고 판단되면, 다음에 설명할 제1 정성 분석 모듈(315)이 최대한 빠른 빈도로 동작하게 된다. The quantitative analysis module 314 analyzes information such as the amount of request data per hour or the ratio of IP addresses of the request data, such as the amount of request data when attacked by a known worm virus stored in the attack type database 312 or This module determines whether the server system is under attack by comparing the IP address of the request data with the same ratio. If it is determined that the quantitative analysis module 314 is an attack, the first qualitative analysis module 315, which will be described later, operates as quickly as possible.

또한, 상기 시스템 자원 사용율 및 시간당 요청 데이터의 양 등의 정보를 분석하여 상기 서버 시스템(300)이 공격 중에서도 계속 작동할 수 있는 확률 및 그 작동 잔여 시간을 계산하여 시스템 관리자에게 알려준다. In addition, by analyzing the information such as the system resource usage rate and the amount of request data per hour, and calculates the probability that the server system 300 can continue to operate during the attack and the remaining time of the operation to inform the system administrator.

도3은 본 발명의 실시예에서 서버 시스템이 웜 바이러스에 의해 공격받고 있는 상태를 나타내는 상태도로서, 시스템의 상태는 (감염된 서버수, 공격 단계)의 쌍으로 표현되며, 초기 및 정상 상태는 (0,0)이다. λi는 공격율이고, μi는 공격 단계 성공률이며, μr 은 감염된 서버가 치료를 위해 필요한 서비스율이다. 단, 웜 바이러스의 공격 중간 단계에서는 서버가 오동작을 일으키거나 공격자의 의도대로 서버가 동작하지 않으므로 공격 여부에 대한 판단이 불가능한 것으로 가정한다. 도3에서 모든 상태가 안정 상태(steady-state)일 때의 균형 방정식(balance equation)을 구하면 아래와 같다.FIG. 3 is a state diagram showing a state in which a server system is attacked by a worm virus in an embodiment of the present invention. The state of the system is represented by a pair of (number of infected servers, attack stages), and the initial and normal states are (0 , 0). λ i is the attack rate, μ i is the attack stage success rate, and μ r is the service rate that the infected server needs for treatment. However, in the middle stage of the attack of the worm virus, it is assumed that it is impossible to determine whether the server is malfunctioning or the server does not operate as intended by the attacker. In FIG. 3, a balance equation when all states are steady-state is obtained as follows.

Figure 112004013512224-pat00001
Figure 112004013512224-pat00001

위의 균형 방정식과 각 상태에서 머물 확률의 총합이 1이 되는 보존(conservation) 방정식을 결합한 연립 방정식을 풀면, 시스템이 평형일 때, 각 상태에 머물 확률을 다음과 같이 얻을 수 있다. 즉, Pn,i 가 서버 시스템이 계속 작동할 수 있는 확률이다. Solving a system of equations that combines the above equilibrium equation and a conservation equation where the sum of probabilities of staying in each state is 1, we can obtain the probability of staying in each state when the system is equilibrium as: In other words, P n, i is the probability that the server system can continue to operate.

Figure 112004013512224-pat00002
Figure 112004013512224-pat00002

제1 정성 분석 모듈(315)은 클라이언트로부터 서버로 보내지는 요청(Request) 데이터를 조사하거나, 서버에 유입되는 데이터의 코드 등을 검사하는 모듈이다. 즉, 상기 제1 정성 분석 모듈(315)은 제1 공격 자료 데이터베이스(313)에서의 공격 데이터 정보와 상기 데이터 패킷 또는 서버에 유입되는 데이터의 코드 등을 비교하여 공격을 탐지하게 된다. 평상시에도 상기 제1 정 성 분석 모듈(315)은 소정의 빈도로 동작하지만, 상기 정량 분석 모듈(314)에서 서버 시스템이 공격을 받고 있다고 판단되면, 상술한 바와 같이 최대한 빠른 빈도로 제1 정성 분석 모듈(315)이 동작하게 된다. 상기 제1 정성 분석 모듈에서 공격을 특정할 수 없는 경우에는, 공격 데이터라고 의심되는 데이터를 나중에 설명할 데이터 송수신 모듈(317)에 의해 다른 서버의 정성 분석 모듈로 보내어 공격을 특정하게 된다. 역으로 상기 제1 정성 분석 모듈은 다른 서버에서 분석 요청된 데이터를 수신하여 공격 여부를 분석할 수 있다. The first qualitative analysis module 315 is a module for inspecting request data sent from the client to the server, or checking a code of data flowing into the server. That is, the first qualitative analysis module 315 detects an attack by comparing the attack data information in the first attack data database 313 with the code of the data packet or data flowing into the server. Even if the first qualitative analysis module 315 operates at a predetermined frequency at normal times, but if it is determined that the server system is under attack by the quantitative analysis module 314, the first qualitative analysis is performed as quickly as possible as described above. Module 315 is activated. When the attack cannot be specified in the first qualitative analysis module, the data suspected of attack data is sent to the qualitative analysis module of another server by the data transmission / reception module 317 which will be described later. Conversely, the first qualitative analysis module may analyze the attack by receiving data requested for analysis from another server.

또한, 상기 정성 분석 모듈은 웜 바이러스도 탐지할 수 있다. In addition, the qualitative analysis module may detect a worm virus.

웜 바이러스는 일반적으로 공격할 서버에 긴 요청 데이터를 보내어 인계값 스택 오버플로우(Parameter Stack Overflow)를 일으키는 스택 오버플로우 단계와, 해당 요청 데이터에 존재하는 잘못된 코드가 스택 안에 있는 다른 요청 데이터의 코드를 덮어 쓰는 덮어쓰기 단계와, 상기 다른 코드(웜 바이러스)로 바뀐 요청 데이터가 서버 시스템에 의해 실행되는 코드 실행 단계를 거친다. Worm viruses typically send stacks of long request data to the attacking server to cause parameter stack overflows, and invalid code present in the request data can cause the code in other request data in the stack to fail. The overwriting step and the request data changed into the other code (worm virus) are executed by the code execution step executed by the server system.

여기서, 상기 정성 분석 모듈은 스택 오버플로우 단계 또는 덮어쓰기 단계를 체크하여 공격을 탐지한다. 상기 스택 오버플로우 단계의 체크는 해당 서버에서의 포트 스캐닝(Port scanning)으로 열려 있는 포트를 감지하고 해당 포트에서 데이터가 얼마나 유입되는지 검사하고, 또한 운영체제 내의 상기 해당 포트에서 들어오는 데이터가 스택에 저장되어 처리될 때, 상기 데이터가 다른 데이터를 오버라이트(over write) 하는지를 검사함으로서 스택 오버플로우 단계 및 덮어쓰기 단계에서 웜 바이러스를 체크하게 된다.Here, the qualitative analysis module detects an attack by checking a stack overflow step or an overwrite step. The check of the stack overflow step detects an open port by port scanning in the corresponding server, examines how much data flows from the corresponding port, and also stores data coming from the corresponding port in the operating system in the stack. When processed, the worm virus is checked during the stack overflow and overwrite phases by checking whether the data overwrites other data.

상기 정성 분석 모듈은 모듈 전체가 각 서버에 들어가도록 할 수도 있지만, 바람직하게는 서버의 숫자만큼 정성 분석 모듈을 나누어 각 서버마다 다른 정성 분석 모듈을 배치하여 공격 탐지를 분산 처리하도록 할 수 있다. 즉, 본 실시예에서는 서버 1에 배치되는 정성 분석 모듈을 제1 정성 분석 모듈(315)이라 칭하게 된다. The qualitative analysis module may allow the entire module to enter each server, but preferably, the qualitative analysis module may be divided by the number of servers so that the attack detection may be distributed by distributing a different qualitative analysis module for each server. That is, in this embodiment, the qualitative analysis module disposed on the server 1 will be referred to as a first qualitative analysis module 315.

제1 공격 복구 모듈(316)은 제1 정성 분석 모듈(315)에 대응하여, 상기 서버 시스템(300)에 대한 공격이 알려져 있는 공격이라고 판단될 경우 상기 공격을 방어하고 시스템을 복구하는 모듈이다. 즉, 상기 공격이 컴퓨터 바이러스라면, 바이러스 파일의 프로세스를 중지시키고 상기 파일을 치료 또는 삭제할 수 있다. 또한, 상기 공격이 웜 바이러스라면, 데이터가 유입되는 포트를 차단하거나 유입 데이터의 양을 제한하는 등의 방법을 취할 수 있다. In response to the first qualitative analysis module 315, the first attack recovery module 316 is a module that defends the attack and restores the system when it is determined that the attack on the server system 300 is a known attack. In other words, if the attack is a computer virus, the process of the virus file may be stopped and the file may be cleaned or deleted. In addition, if the attack is a worm virus, a method such as blocking a port into which data is introduced or restricting the amount of incoming data may be taken.

또한, 상기 제1 정성 분석 모듈(315)에서 다른 서버에서 분석 요청한 데이터가 공격 데이터라고 판단하였을 때에 상기 제1 공격 복구 모듈(316)은 상기 다른 서버로 전송되어 서버를 복구할 수 있다. In addition, when the first qualitative analysis module 315 determines that the data requested for analysis by another server is attack data, the first attack recovery module 316 may be transmitted to the other server to restore the server.

데이터 송수신 모듈(317)은 상기 제1 정성 분석 모듈(315)에서 상기 공격을 탐지할 수 없을 때에, 소정의 데이터를 다른 서버에 송신하여 상기 서버의 정성 분석 모듈에서 분석하도록 할 수 있고 그 결과를 수신할 수 있다. 또한, 다른 서버에서 분석 요청된 데이터가 제1 정성 분석 모듈(315)에서 공격 데이터라고 판단하였을 때에는, 제1 공격 복구 모듈(316)은 상기 데이터 송수신 모듈(317)에 의해 상기 다른 서버로 전송된다. When the first qualitative analysis module 315 cannot detect the attack, the data transmission / reception module 317 may transmit predetermined data to another server to be analyzed by the qualitative analysis module of the server and analyze the result. Can be received. In addition, when the data requested to be analyzed by another server is determined to be attack data by the first qualitative analysis module 315, the first attack recovery module 316 is transmitted to the other server by the data transmission / reception module 317. .

이러한 구성의 공격 탐지 장치의 공격 탐지는 다음의 세가지 단계를 거친다. The attack detection of the attack detection device of this configuration goes through the following three steps.

첫 번째는 데이터 저장 단계로서, 알려진 웜 바이러스가 서버를 공격할 때에 시간당 유입되는 데이터의 양 또는 유입되는 데이터의 IP 주소가 같은 비율 등의 정보 등을 상기 웜 바이러스의 종류별로 분류하여 공격 유형 데이터베이스(312)에 저장하는 단계이다. The first step is the data storage step, where information such as the amount of incoming data per hour or the same IP address ratio of incoming data when the known worm virus attacks the server is classified by the type of the worm virus and the attack type database ( 312).

두 번째는 공격 판단 단계로, 시간당 유입되는 데이터의 양 또는 유입되는 데이터의 IP 주소가 같은 비율을 포함하는 정보를 분석하여 상기 공격 유형 데이터베이스(312)에 저장된 알려진 웜 바이러스의 공격 특성과 비교하여 서버 시스템(300)이 공격당하고 있는지의 여부를 판단하는 단계이다. The second step is an attack determination step, which analyzes information including the amount of incoming data per hour or the ratio of incoming IP addresses, and compares it with the attack characteristics of known worm viruses stored in the attack type database 312. It is a step of determining whether the system 300 is under attack.

상기 공격 판단 단계에서는 상기 시스템 자원 사용율 및 시간당 요청 데이터의 양 등의 정보를 분석하여 상기 서버 시스템(300)이 공격 중에서도 계속 작동할 수 있는 확률 및 그 작동 잔여 시간을 계산할 수 있다. In the attack determination step, information such as the system resource usage rate and the amount of request data per hour may be analyzed to calculate a probability that the server system 300 can continue to operate during an attack and the remaining time of the operation.

세 번째는 공격 특정 단계로, 상기 공격 탐지 단계에서 공격이라고 판단했을 때에, 네트워크 상의 클라이언트로부터 서버로 보내지는 요청 데이터를 조사하거나, 서버에 유입되는 데이터의 코드를 검사하여 공격을 특정할 수 있다. The third step is an attack specifying step. When it is determined that the attack is detected in the attack detecting step, the attack can be specified by examining the request data sent from the client on the network to the server or by examining the code of the data flowing into the server.

여기서, 상기 공격 특정 단계에서는, 웜 바이러스에 의한 서버 공격에서의 스택 오버플로우 단계 또는 덮어쓰기 단계를 체크하여 공격을 탐지한다. 상기 스택 오버플로우 단계의 체크는 해당 서버에서의 포트 스캐닝(Port scanning)으로 열려 있는 포트를 감지하고 해당 포트에서 데이터가 얼마나 유입되는지 검사하고, 또한 운영체제 내의 상기 해당 포트에서 들어오는 데이터가 스택에 저장되어 처리될 때, 상기 데이터가 다른 데이터를 오버라이트(over write) 하는지를 검사함으로서 스택 오버플로우 단계 및 덮어쓰기 단계를 체크하게 된다.Here, in the attack specifying step, an attack is detected by checking a stack overflow step or an overwrite step in a server attack by a worm virus. The check of the stack overflow step detects an open port by port scanning in the corresponding server, examines how much data flows from the corresponding port, and also stores data coming from the corresponding port in the operating system in the stack. When processed, the stack overflow step and the overwrite step are checked by checking whether the data overwrites other data.

상술한 일련의 처리는, 소프트웨어에 의해 실행할 수도 있다. 그 소프트웨어는 자기디스크(플렉시블 디스크를 포함한다), 광디스크(CD-ROM), DVD, 광자기 디스크(MD) 등의 컴퓨터가 독해 가능한 기록매체에 수록된다. 또한 본 발명의 문자 입력 장치는 조이패드나 컴퓨터 시스템에 내장될 수 있다. The series of processes described above can also be executed by software. The software is stored on a computer-readable recording medium such as a magnetic disk (including a flexible disk), an optical disk (CD-ROM), a DVD, and a magneto-optical disk (MD). In addition, the character input device of the present invention may be embedded in a joy pad or a computer system.

상술한 바와 같이 본 발명에 따르면, 정량적 분석을 이용하여 네트워크 상에서 서버 시스템에 대한 공격을 신속히 탐지할 수 있다. 또한, 상기 서버 시스템에 공격 중에서도 계속 작동할 수 있는 확률 및 그 작동 잔여 시간을 계산할 수 있으므로, 그에 대하여 적절히 대응할 수 있다. As described above, according to the present invention, quantitative analysis can be used to quickly detect an attack on a server system on a network. In addition, since the probability that the server system can continue to operate even during an attack and the remaining time of the operation can be calculated, the server system can respond appropriately.

특히, 웜 바이러스에 의한 서버 공격에서, 기존에는 악성 코드가 실행되는 단계가 되어야 웜 바이러스를 탐지할 수 있었지만, 본 발명에 따르면, 악성 코드가 실행되기 전에 스택 오버플로우 단계 또는 덮어쓰기 단계에서 웜 바이러스를 탐지할 수 있어, 그에 대하여 적절히 대응할 수 있다. In particular, in a server attack by a worm virus, in the past, the worm virus can be detected only when the malicious code is executed, but according to the present invention, the worm virus is executed in the stack overflow phase or the overwrite phase before the malicious code is executed. Can be detected and responded appropriately.

Claims (14)

네트워크 상에서 서버 시스템에 대한 공격을 탐지하는 공격 탐지 장치에 있어서,  In the attack detection device for detecting an attack on the server system on the network, 알려진 웜 바이러스가 서버를 공격할 때에 발생하는 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보를 상기 웜 바이러스의 종류별로 분류하여 공격 유형 데이터로 저장하는 공격 유형 데이터베이스와, An attack type database that stores information including the amount of request data per hour or the same IP address of the request data generated when a known worm virus attacks the server by the type of the worm virus, and stores the information as attack type data; 상기 서버 시스템의 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보를 분석하여, 그 분석결과를 상기 공격 유형 데이터베이스에 상기 웜바이러스의 종류별로 분류되어 저장된 상기 공격 유형 데이터와 비교하여 상기 서버 시스템이 공격당하고 있는지의 여부를 판단하는 정량 분석 모듈을 포함하는 것을 특징으로 하는 공격 탐지 장치. Analyze the information including the same amount of request data per hour or the IP address of the request data of the server system, and compare the analysis result with the attack type data classified and stored in the attack type database by the type of the worm virus And a quantitative analysis module for determining whether the server system is under attack. 청구항 1에 있어서, 상기 정량 분석 모듈은 상기 시스템 자원 사용율 및 시간당 요청 데이터의 양을 포함하는 정보를 분석하여 상기 서버 시스템이 공격 중에서도 계속 작동할 수 있는 확률 및 그 작동 잔여 시간을 계산하는 것을 특징으로 하는 공격 탐지 장치. The method of claim 1, wherein the quantitative analysis module analyzes information including the system resource utilization rate and the amount of request data per hour, and calculates a probability that the server system can continue to operate during an attack and the remaining time of the operation. Attack detection device. 청구항 1에 있어서, 네트워크 상의 클라이언트로부터 서버로 보내지는 요청 데이터를 조사하거나, 서버에 유입되는 데이터의 코드를 검사하는 정성 분석 모듈을 더 포함하는 것을 특징으로 하는 공격 탐지 장치. The attack detection apparatus of claim 1, further comprising a qualitative analysis module that examines request data sent from a client on the network to the server or examines a code of data flowing into the server. 청구항 3에 있어서, 상기 정성 분석 모듈은 해당 서버에서의 포트 스캐닝으로 열려 있는 포트를 감지하고 해당 포트에서 데이터가 얼마나 유입되는지 검사하고, 또한 운영체제 내의 상기 해당 포트에서 들어오는 데이터가 스택에 저장되어 처리될 때, 상기 데이터가 다른 데이터를 오버라이트 하는지를 검사하여 웜 바이러스를 탐지하는 것을 특징으로 하는 공격 탐지 장치.The method of claim 3, wherein the qualitative analysis module detects an open port by scanning a port on a corresponding server and examines how much data is introduced from the corresponding port, and further, data coming from the corresponding port in an operating system is stored and processed on a stack. And when the data overwrites other data, detects a worm virus. 청구항 3에 있어서, 상기 정성 분석 모듈은 서버 시스템에서 서버의 숫자만큼 공격을 탐지할 수 있는 공격 종류의 수를 나누어, 각 서버마다 소정의 정성 분석 모듈을 배치하는 것을 특징으로 하는 공격 탐지 장치. The apparatus of claim 3, wherein the qualitative analysis module divides the number of types of attacks capable of detecting an attack by the number of servers in a server system, and arranges a predetermined qualitative analysis module for each server. 청구항 4 또는 청구항 5에 있어서, 상기 정성 분석 모듈에서 공격을 특정할 수 없는 경우에는, 공격 데이터라고 의심되는 데이터를 다른 서버로 보내어 공격 데이터인지의 여부를 분석하게 하는 것을 특징으로 하는 공격 탐지 장치.The attack detection apparatus according to claim 4 or 5, wherein when the attack cannot be specified in the qualitative analysis module, data suspected of attack data is sent to another server to analyze whether the attack data is attack data. 네트워크 상에서 서버 시스템에 대한 공격을 탐지하는 공격 탐지 방법에 있어서, In the attack detection method for detecting an attack on the server system on the network, 알려진 웜바이러스가 서버를 공격할 때에 발생하는 시간당 유입되는 데이터의 양 또는 유입되는 데이터의 IP 주소가 같은 비율을 포함하는 정보를 상기 웜 바이러스의 종류별로 분류하여 공격 유형 데이터베이스에 공격 유형 데이터로 저장하는 데이터 저장 단계와,When the known worm virus attacks the server, information including the amount of incoming data per hour or the same IP address of the incoming data is classified by the type of the worm virus and stored as attack type data in the attack type database. Data storage steps, 상기 서버 시스템의 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보를 분석하여, 그 분석결과를 상기 공격 유형 데이터베이스에 상기 웜바이러스의 종류별로 분류되어 저장된 상기 공격 유형 데이터와 비교하여 상기 서버 시스템이 공격당하고 있는지의 여부를 판단하는 공격 판단 단계를 포함하는 것을 특징으로 하는 공격 탐지 방법. Analyze the information including the same amount of request data per hour or the IP address of the request data of the server system, and compare the analysis result with the attack type data classified and stored in the attack type database by the type of the worm virus And an attack determination step of determining whether the server system is being attacked. 청구항 7에 있어서, 상기 공격 판단 단계는 상기 시스템 자원 사용율 및 시간당 요청 데이터의 양을 포함하는 정보를 분석하여 상기 서버 시스템이 공격 중에서도 계속 작동할 수 있는 확률 및 그 작동 잔여 시간을 계산하는 것을 특징으로 하는 공격 탐지 방법. The method of claim 7, wherein the determining of the attack comprises analyzing the information including the system resource usage rate and the amount of request data per hour, and calculating a probability that the server system can continue to operate during the attack and the remaining time of the operation. Attack detection method. 청구항 7에 있어서, 공격 탐지 단계에서 공격이라고 판단했을 때에, 네트워크 상의 클라이언트로부터 서버로 보내지는 요청 데이터를 조사하거나, 서버에 유입되는 데이터의 코드를 검사하여 공격을 특정하는 공격 특정 단계를 더 포함하는 것을 특징으로 하는 공격 탐지 방법.The method according to claim 7, further comprising an attack specifying step of specifying the attack by examining the request data sent from the client on the network to the server, or by inspecting the code of the data flowing into the server when it is determined that the attack in the attack detection step; Attack detection method, characterized in that. 청구항 9에 있어서, 상기 공격 특정 단계는, 해당 서버에서의 포트 스캐닝으로 열려 있는 포트를 감지하고 해당 포트에서 데이터가 얼마나 유입되는지 검사하 고, 또한 운영체제 내의 상기 해당 포트에서 들어오는 데이터가 스택에 저장되어 처리될 때, 상기 데이터가 다른 데이터를 오버라이트 하는지를 검사하여 웜 바이러스를 탐지하는 것을 특징으로 하는 공격 탐지 방법.The method of claim 9, wherein the attack specifying step detects an open port by scanning a port on a corresponding server, examines how much data flows from the corresponding port, and further stores data coming from the corresponding port in an operating system on a stack. When processed, attack detection method characterized in that it detects a worm virus by checking whether the data overwrites other data. 네트워크 상에서 서버 시스템에 대한 공격을 탐지하는 공격 탐지 방법에 있어서, In the attack detection method for detecting an attack on the server system on the network, 알려진 웜바이러스가 서버를 공격할 때에 발생하는 시간당 유입되는 데이터의 양 또는 유입되는 데이터의 IP 주소가 같은 비율을 포함하는 정보를 상기 웜 바이러스의 종류별로 분류하여 공격 유형 데이터베이스에 공격 유형 데이터로 저장하는 데이터 저장 단계와,When the known worm virus attacks the server, information including the amount of incoming data per hour or the same IP address of the incoming data is classified by the type of the worm virus and stored as attack type data in the attack type database. Data storage steps, 상기 서버 시스템의 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보를 분석하여, 그 분석결과를 상기 공격 유형 데이터베이스에 상기 웜바이러스의 종류별로 분류되어 저장된 상기 공격 유형 데이터와 비교하여 서버 시스템이 공격당하고 있는지의 여부를 판단하는 공격 판단 단계를 포함하는 것을 특징으로 하는 컴퓨터가 독해 가능한 프로그램이 기록되어 있는 기록매체.Analyze the information including the same amount of request data per hour or the IP address of the request data of the server system, and compare the analysis result with the attack type data classified and stored in the attack type database by the type of the worm virus And an attack determination step of determining whether or not the server system is under attack. 청구항 11에 있어서, 상기 공격 판단 단계는 상기 시스템 자원 사용율 및 시간당 요청 데이터의 양을 포함하는 정보를 분석하여 상기 서버 시스템이 공격 중에서도 계속 작동할 수 있는 확률 및 그 작동 잔여 시간을 계산하는 것을 특징으로 하는 컴퓨터가 독해 가능한 프로그램이 기록되어 있는 기록매체.The method of claim 11, wherein the determining of the attack comprises analyzing the information including the system resource usage rate and the amount of request data per hour to calculate the probability that the server system can continue to operate during the attack and the remaining time of the operation. A recording medium that records a computer readable program. 청구항 11에 있어서, 공격 탐지 단계에서 공격이라고 판단했을 때에, 네트워크 상의 클라이언트로부터 서버로 보내지는 요청 데이터를 조사하거나, 서버에 유입되는 데이터의 코드를 검사하여 공격을 특정하는 공격 특정 단계를 더 포함하는 것을 특징으로 하는 컴퓨터가 독해 가능한 프로그램이 기록되어 있는 기록매체.The method of claim 11, further comprising an attack specifying step of specifying an attack by examining request data sent from a client on a network to a server or examining a code of data flowing into the server when the attack is determined to be an attack. And a recording medium having a computer readable program recorded thereon. 청구항 13에 있어서, 상기 공격 특정 단계는, 해당 서버에서의 포트 스캐닝으로 열려 있는 포트를 감지하고 해당 포트에서 데이터가 얼마나 유입되는지 검사하고, 또한 운영체제 내의 상기 해당 포트에서 들어오는 데이터가 스택에 저장되어 처리될 때, 상기 데이터가 다른 데이터를 오버라이트 하는지를 검사하여 웜 바이러스를 탐지하는 것을 특징으로 하는 컴퓨터가 독해 가능한 프로그램이 기록되어 있는 기록매체.The method of claim 13, wherein the attack specifying step detects an open port by scanning a port on a corresponding server, examines how much data flows from the corresponding port, and also stores and processes data coming from the corresponding port in an operating system on a stack. And a worm virus is detected by checking whether the data overwrites the other data.
KR1020040022414A 2004-03-31 2004-03-31 Attack detection device on network and method KR100632204B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040022414A KR100632204B1 (en) 2004-03-31 2004-03-31 Attack detection device on network and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040022414A KR100632204B1 (en) 2004-03-31 2004-03-31 Attack detection device on network and method

Publications (2)

Publication Number Publication Date
KR20050096743A KR20050096743A (en) 2005-10-06
KR100632204B1 true KR100632204B1 (en) 2006-10-09

Family

ID=37276766

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040022414A KR100632204B1 (en) 2004-03-31 2004-03-31 Attack detection device on network and method

Country Status (1)

Country Link
KR (1) KR100632204B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101061377B1 (en) * 2009-11-18 2011-09-02 한국인터넷진흥원 Distribution based DDoS attack detection and response device
KR102105885B1 (en) * 2018-11-30 2020-05-04 주식회사 심플한 Detection method and system of ransomeware

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100954355B1 (en) * 2008-01-18 2010-04-21 주식회사 안철수연구소 Diagnosis And Cure Apparatus For Malicious Code
KR100908404B1 (en) * 2008-09-04 2009-07-20 (주)이스트소프트 System and method for protecting from distributed denial of service

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6405318B1 (en) 1999-03-12 2002-06-11 Psionic Software, Inc. Intrusion detection system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6405318B1 (en) 1999-03-12 2002-06-11 Psionic Software, Inc. Intrusion detection system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101061377B1 (en) * 2009-11-18 2011-09-02 한국인터넷진흥원 Distribution based DDoS attack detection and response device
KR102105885B1 (en) * 2018-11-30 2020-05-04 주식회사 심플한 Detection method and system of ransomeware

Also Published As

Publication number Publication date
KR20050096743A (en) 2005-10-06

Similar Documents

Publication Publication Date Title
US11562068B2 (en) Performing threat detection by synergistically combining results of static file analysis and behavior analysis
CN103886252B (en) Software Code Malicious Selection Evaluation Executed In Trusted Process Address Space
US8291498B1 (en) Computer virus detection and response in a wide area network
US8266250B2 (en) Communication detection device, method, and program for peer-to-peer communication
JP5920169B2 (en) Unauthorized connection detection method, network monitoring apparatus and program
KR101132197B1 (en) Apparatus and Method for Automatically Discriminating Malicious Code
JP6726706B2 (en) System and method for detecting anomalous events based on the popularity of convolution
CN109586282B (en) Power grid unknown threat detection system and method
US20090133125A1 (en) Method and apparatus for malware detection
US11909761B2 (en) Mitigating malware impact by utilizing sandbox insights
JP4823813B2 (en) Abnormality detection device, abnormality detection program, and recording medium
WO2016121348A1 (en) Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored
CN109948335B (en) System and method for detecting malicious activity in a computer system
CN116389027A (en) Payload process detection method and device in cloud environment based on eBPF
RU2481633C2 (en) System and method for automatic investigation of safety incidents
KR102347525B1 (en) Method for detecting malicious traffic and Apparatus thereof
KR100632204B1 (en) Attack detection device on network and method
CN114785621B (en) Vulnerability detection method and device, electronic equipment and computer readable storage medium
US20230315848A1 (en) Forensic analysis on consistent system footprints
JP4050253B2 (en) Computer virus information collection apparatus, computer virus information collection method, and program
CN113923039A (en) Attack equipment identification method and device, electronic equipment and readable storage medium
CN113704749A (en) Malicious excavation detection processing method and device
EP1751651B1 (en) Method and systems for computer security
CN116346488B (en) Unauthorized access detection method and device
KR101942442B1 (en) System and method for inspecting malicious code

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
N231 Notification of change of applicant
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130710

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140703

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20150619

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20160704

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20170703

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20180704

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20190702

Year of fee payment: 14