KR100671044B1 - 내부네트워크 상의 유해 트래픽 분석 시스템 및 방법 - Google Patents

내부네트워크 상의 유해 트래픽 분석 시스템 및 방법 Download PDF

Info

Publication number
KR100671044B1
KR100671044B1 KR1020050087493A KR20050087493A KR100671044B1 KR 100671044 B1 KR100671044 B1 KR 100671044B1 KR 1020050087493 A KR1020050087493 A KR 1020050087493A KR 20050087493 A KR20050087493 A KR 20050087493A KR 100671044 B1 KR100671044 B1 KR 100671044B1
Authority
KR
South Korea
Prior art keywords
traffic
incident
traffic data
analysis
internal network
Prior art date
Application number
KR1020050087493A
Other languages
English (en)
Inventor
이승일
Original Assignee
유넷시스템주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 유넷시스템주식회사 filed Critical 유넷시스템주식회사
Priority to KR1020050087493A priority Critical patent/KR100671044B1/ko
Application granted granted Critical
Publication of KR100671044B1 publication Critical patent/KR100671044B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Abstract

본 발명은 내부네트워크 상의 유해 트래픽 분석 시스템 및 그 방법에 관한 것이다.
본 발명에 따르면, 내부네트워크 상의 컴퓨터장치들 간의 트래픽을 연결하며 각 컴퓨터장치들 간에 이루어지는 트래픽에 따른 트래픽데이터를 미러링하는 스위치와 상기 스위치를 통해 미러링된 패킷수준의 트래픽데이터를 세션수준의 트래픽데이터로 가공하여 출력시키는 센서로부터, 트래픽데이터를 실시간 모니터링하여 수집 및 축적시키고, 상기 축적된 트래픽데이터를 기반으로 일괄처리(batch) 작업을 수행하여 새로운 분석룰을 생성 및 업데이트하고, 현재 실시간 수집되는 트래픽데이터가 해당 분석룰을 위반하는사건(이하, '인시던트'라 함)이 발생하면, 상기 인시던트 발생에 따른 정보를 관리자에게 제공함으로써, 내부네트워크 상의 유해 트래픽에 대해 신속히 대처할 수 있도록 지원할 수 있는 기술이 개시된다.
바이러스, 보안 시스템, 웜, 유해 트래픽, 트로이목마

Description

내부네트워크 상의 유해 트래픽 분석 시스템 및 방법{A system and method for analyzing malicious traffic in internal network}
도 1은, 본 발명의 제1실시 예에 따른 내부네트워크 상의 유해 트래픽 분석 시스템에 대한 구성도이다.
도 2는, 본 발명의 제1실시 예에 따른 내부네트워크 상의 유해 트래픽 분석 시스템에 대한 블록도이다.
도 3은, 본 발명의 제1실시 예에 따른 내부네트워크 상의 유해 트래픽 분석 방법에 대한 흐름도이다.
도 4는, 본 발명의 제2실시 예에 따른 내부네트워크 상의 유해 트래픽 분석 시스템에 대한 구성도이다.
도 5는, 본 발명의 제2실시 예에 따른 내부네트워크 상의 유해 트래픽 분석 시스템에 대한 블록도이다.
도 6은, 본 발명의 제2실시 예에 따른 내부네트워크 상의 유해 트래픽 분석 방법에 대한 흐름도이다.
도 7 및 도 8은, 도 1 및 도 4의 시스템에 적용된 관리자단말기에서 출력되는 트래픽 정보에 대한 예이다.
*도면의 주요 부분에 대한 부호의 설명*
100, 500 : 스위치
200, 600 : 센서
300, 700 : 보안서버
31, 71 : 데이터수집수단
32, 72 : 데이터저장수단
33, 73 : 분석룰생성 및 업데이트수단
34, 74 : 트래픽분석수단
35, 75 : 통보수단
36, 76 : 명령통지수단
400 : 관리자단말기
본 발명은 내부네트워크 상의 유해 트래픽 분석 시스템 및 방법에 관한 것으로, 더욱 상세하게는 내부네트워크 상의 컴퓨터장치들 간에 확산될 수 있는 유해 트래픽을 감지, 분석 및 대응하여 상기 내부네트워크 상의 유해 트래픽을 근본적으로 차단할 수 있는 시스템 및 그 방법에 관한 것이다.
일반적으로 유해 트래픽이라 함은, 정상적인 네트워크 사용에 심각한 영향을 미치게 하거나 네트워크상에 존재하는 각종 IT자산에 피해를 입힐 수 있는 패킷(Packet)들을 담고 있는 트래픽으로써, 네트워크 시스템의 파괴, 해킹, 네트워크 마비 등과 같이 부정적인 결과를 초래할 수 있는 트래픽의 모든 것을 말한다고 할 수 있다. 이러한 유해 트래픽에는 전통적인 바이러스로부터 최근의 트로이목마, 웜바이러스나 DDos공격 등이 모두 포함된다.
그 중, 전통적인 바이러스의 경우, 보안장비가 지속적으로 발전 개발됨으로써 현재는 거의 유명무실한 상태에 이르렀지만, 해킹과 악성코드의 통합 형태(백도어+DDos+시스템 해킹) 증가, 취약점을 이용한 자동 감염 기법 등장(인터넷 연결만으로 보안취약점을 통해 악성코드 감염), 관리목적 공유폴더를 이용한 감염 기법 증가(관리의식 부족으로 인한 취약점 노출, 네트워크 트래픽 폭증) 등에 따른 보안사고가 빈번히 발생하고 있는 실정이다. 그러한 예로써는, 1998년에 Back Orifice와 ADM Worm, 1999년에 Melissa 바이러스가 출현하였고, 그 이후에도 이와 유사한 공격도구 및 공격기법이 유행하였으며, 급기야는 웜 바이러스의 공격으로 1.25 대란사태(2003년 1월 25일 웜 바이러스에 의해 세계적으로 인터넷 통신이 마비되었던 사태를 칭한다)를 초래하였던 것 등을 들 수 있다. 이러한 신종 유해 트래픽은 공격대상 자원을 과다 점유 및 파괴하고, 핵심 정보의 유출, 네트워크의 마비, 온라인서비스의 변조 및 마비, 해킹 등과 같은 보안사고를 빈번히 발생시키고 있었다.
그러나, 기존의 IDS(Intrusion Detection system, 침입 탐지 시스템)나 방화벽과 같은 보안장비만으로는 정상적인 접속으로 침입(유용한 프로그램으로 가장하여 침입)하는 신종 유해 트래픽을 발견해내기가 어렵기 때문에, 신종 유해 트래픽 을 초기에 발견하고, 그에 따른 적절한 대응조치할 수 있도록 지원해주는 시스템 및 방법에 대한 필요성이 심각하게 대두되고 있었다.
따라서, 이러한 문제점을 해결하기 위해 본 출원인은, 선특허출원된 출원번호 10-2004-0015813(발명의 명칭 : 유해 트래픽 분석 시스템 및 방법, 이하 '인용기술'이라 함) 등에 제시된 바와 같이, 내부네트워크와 외부 네트워크 간에 유해 트래픽의 교류를 차단하는 시스템 및 그 방법에 관한 기술을 제안하였다.
상기한 인용기술은 내부네트워크와 외부 네트워크 간에 발생하는 유해 트래픽을 초기에 발견하고, 그에 따른 적절한 대응 조치할 수 있도록 지원해주는 시스템 및 방법에 관한 기술로써, 트래픽 증가 시 기 설정된 허용 트래픽 상한치를 소정시간 동안 초과하는 사건이 발생하면 상기 기 설정된 허용 트래픽 상한치를 소정시간 동안 초과하는 사건을 감지 및 분석하여 이에 대응하는 기술에 관한 것이다.
그러나 상기한 인용기술은 내부네트워크와 외부 네트워크 간에 유해 트래픽의 교류를 탐지 및 분석하여 적절히 대응할 수 있게 되어, 내부네트워크와 외부 네크워크 간에 동일 경로로의 유해 트래픽의 교류는 차단할 수 있으나, 내부네트워크 상에 존재하는 유해 트래픽이 내부네트워크 내의 다른 PC나 서버 등의 컴퓨터장치에 침입하여 피해를 입히는 문제에 관해서는 무방비 상태이다. 이렇게 내부 네트워크 간에 유해 트래픽이 발생하게 되면, 유해 트래픽의 원인을 탐지하기가 어려울 뿐만 아니라 만일 탐지하게 되더라도 대응할 방법이 없는 실정이다.
더욱이 이동컴퓨터장치(노트북컴퓨터 등)를 이용하여 외부네트워크에 접근하여 유해트래픽에 감염된 후, 그 상태로 내부 네트워크에 접근해서 사용하는 경우가 빈번함을 상기하여 보면, 내부 네트워크의 유해트래픽 감염은 그 문제의 심각성이 크다고 할 것이다.
본 발명은 상술한 문제점에 의해 안출된 것으로써, 내부네트워크 상에서의 유해 트래픽을 실시간으로 발견하고, 그에 따른 적절한 대응을 수행할 수 있도록 지원하는 시스템 및 그 방법을 제공하는 것을 목적으로 한다.
상기의 목적을 달성하기 위한 본 발명에 따른 내부네트워크 상의 유해 트래픽 분석 시스템은, 내부네트워크 상의 컴퓨터장치들 간의 트래픽을 연결하며, 각 컴퓨터장치들 간에 이루어지는 트래픽에 따른 트래픽데이터를 미러링하는 스위치; 상기 스위치를 통해 미러링된 패킷수준의 트래픽데이터를 세션수준의 트래픽데이터로 가공하여 출력시키는 센서; 상기 센서로부터 출력되어 온 트래픽데이터를 실시간 모니터링하여 수집 및 축적시키고, 축적된 트래픽데이터를 기반으로 분석룰을 생성 및 업데이트한 후, 현재 실시간 수집되는 트래픽데이터가 해당 분석룰을 위반하는 사건(이하, '인시던트'라 함)이 발생하면, 인시던트 발생에 따른 정보를 관리자에게 통보하는 보안서버; 상기 보안서버로부터 통보되어 온 인시던트 발생에 따른 정보 및 관리자의 명령에 따른 트래픽데이터를 출력하며, 관리자의 각종 명령을 입력시킬 수 있는 관리자단말기; 를 포함하는 것을 특징으로 한다.
상기 보안서버는, 상기 센서로부터 트래픽데이터를 실시간 모니터링하여 수집하는 데이터수집수단; 상기 데이터수집수단으로부터 수집된 트래픽데이터를 축적하는 데이터저장수단; 상기 데이터저장수단에 의해 축적된 트래픽데이터를 기반으로 분석룰을 생성 및 업데이트하는 분석룰생성 및 업데이트수단; 상기 데이터수집수단에 의해 수집된 트래픽데이터를 상기 분석룰생성 및 업데이트수단에 의해 업데이트된 분석룰과 비교하여 인시던트가 발생하였는지 여부를 판단하는 트래픽분석수단; 및 상기 트래픽분석수단에 의해 인시던트가 발생되었다고 판단되면 인시던트 발생에 따른 정보를 상기 관리자단말기로 통보하는 통보수단; 을 포함하는 것을 구체적인 특징으로 한다.
상기 보안서버는, 인시던트가 발생된 경우 인시던트를 발생시키는 컴퓨터장치의 트래픽을 제어하도록 상기 스위치에 제어명령을 보내는 명령통지수단; 을 포함하는 것을 구체적인 특징으로 한다.
상기 보안서버는, 인시던트가 발생된 경우 인시던트를 발생시키는 컴퓨터장치의 트래픽을 내부네트워크 상에서 차단시키도록 상기 센서에 제어명령을 보내는 명령통지수단; 을 포함하는 것을 구체적인 특징으로 한다.
또한, 상기의 목적을 달성하기 위한 본 발명에 따른 내부네트워크 상의 유해 트래픽 분석 방법은, 내부네트워크 상의 컴퓨터장치들 간의 트래픽을 연결하는 스위치를 통해 각 컴퓨터장치들 간에 이루어지는 트래픽에 따른 트래픽데이터를 미러링하는 미러링단계; 상기 미러링단계에서 미러링된 패킷수준의 트래픽데이터를 세 션수준의 트래픽데이터로 가공하는 정보가공단계; 상기 정보가공단계에서 가공된 트래픽데이터를 실시간 모니터링하여 수집 및 축적하는 수집 및 축적단계; 상기 수집 및 축적단계에서 축적된 트래픽데이터를 기반으로 분석룰을 생성 및 업데이트하는 분석룰생성 및 업데이트단계; 현재 실시간 수집되는 트래픽데이터를 상기 분석룰생성 및 업데이트단계에서 업데이트된 분석룰과 비교한 후, 현재 실시간 수집되는 트래픽데이터가 분석룰을 위반하는 사건(이하, '인시던트'라 함)이 발생하였는지 판단하는 트래픽분석단계; 상기 트래픽분석단계에서 인시던트의 발생이라고 판단되면 인시던트 발생에 따른 정보를 도출해내는 인시던트도출단계; 및 상기 인시던트도출단계에서 도출된 인시던트 발생에 따른 정보를 관리자단말기로 통보하는 통보단계; 를 포함하는 것을 특징으로 한다.
상기 분석룰생성 및 업데이트단계는, 상기 모니터링단계에서 수집된 트래픽데이터에서 네트워크 프로파일을 도출하는 단계; 및 도출된 네트워크 프로파일을 기준으로 분석룰을 생성 및 업데이트 하는 단계; 를 포함하는 것을 구체적인 특징으로 한다.
상기 내부네트워크 상의 유해 트래픽 분석 방법은, 상기 트래픽분석단계에서 인시던트가 발생되었다고 판단되면, 인시던트를 발생시키는 컴퓨터장치의 트래픽을 제어하는 트래픽제어단계; 를 포함시킴으로써, 분석에 따른 보안의 제어를 실시할 수 있도록 구현되는 것을 또 하나의 특징으로 한다.
상기 내부네트워크 상의 유해 트래픽 분석 방법은, 상기 트래픽분석단계에서 인시던트가 발생되었다고 판단되면, 인시던트를 발생시키는 컴퓨터장치의 트래픽을 내부네트워크 상에서 차단시키는 트래픽차단단계; 를 더 포함하는 것을 또 다른 하나의 특징으로 한다.
이하에서는 본 발명에 따른 실시 예에 대하여 첨부된 도면을 참조하여 보다 상세히 설명하도록 한다.
<제1실시예>
도 1은, 본 발명의 제1실시 예에 따른 내부네트워크 상의 유해 트래픽 분석 시스템에 대한 구성도이고, 도 2는, 본 발명의 제1실시 예에 따른 내부네트워크 상의 유해 트래픽 분석 시스템에 대한 블록도이다. 도 1 및 도2을 참조하면, 본 발명의 제1실시 예에 따른 내부네트워크 상의 유해 트래픽 분석 시스템은, 스위치(100)와, 센서(200)와, 보안서버(300) 및 관리자단말기(400) 등을 포함하여 구성되어 있다. 물론, 상기 보안서버(300)는 단일한 서버장치로 구성될 수도 있지만, 각 기능을 분리하여 수행하는 둘 이상의 서버로 구성될 수도 있을 것이다.
상기한 구성을 더 상세히 설명하면 다음과 같다.
상기 스위치(100)는, 내부네트워크 상의 컴퓨터장치들 간의 통신을 연결한다. 상기 스위치(100)는 다단계 구조의 내부네트워크 중 외부 네트워크와 연결된 주력스위치(backbone switch)로부터 개인 PC나 서버 등 가장 하위의 말단 스위치(100a, 100b, 100c, 100d)까지 모두 포함한다. 또한, 상기 스위치(100)는 대규모의 네트워크의 경우 본 발명의 실시 예보다도 훨씬 복잡한 다단계 구조를 가질 수도 있지만, 더 간단한 구조를 가질 수도 있다.
상기 센서(200)는, 상기 스위치(100)를 통해 미러링된 패킷수준의 트래픽데이터를 세션수준의 트래픽데이터로 가공하여 출력시킨다. 또한, 각 센서(200a, 200b, 200c, 200d)는 본 실시 예에서는 상기 말단 스위치(100a, 100b, 100c, 100d)와 연결되어 있지만, 다단계 구조의 다른 임의의 스위치와 연결될 수도 있다.
상기 보안서버(300)는, 상기 센서들(200a, 200b, 200c, 200d)로부터 출력되어 온 트래픽데이터를 실시간 모니터링하여 수집 및 축적시키고, 축적된 트래픽데이터를 기반으로 분석룰을 생성 및 업데이트한 후, 현재 실시간 수집되는 트래픽데이터가 해당 분석룰을 위반하는 사건(이하, '인시던트'라 함)이 발생하면, 인시던트 발생에 따른 정보를 관리자에게 통보한다. 이러한 역할을 수행하기 위한 상기 보안서버(300)는, 데이터수집수단(31)과, 데이터저장수단(32)과, 분석룰생성 및 업데이트수단(33)과, 트래픽분석수단(34)과, 통보수단(35)과, 명령통지수단(36) 등으로 구성되어 있으며, 각 구성요소들을 더 상세히 설명하면 다음과 같다.
상기 데이터수집수단(31)은, 상기 센서들(200a, 200b, 200c, 200d)로부터 트래픽데이터를 실시간 모니터링하여 수집한다.
상기 데이터저장수단(32)은, 상기 데이터수집수단(31)으로부터 수집된 트래픽데이터를 축적한다.
상기 분석룰생성 및 업데이트수단(33)은, 상기 데이터저장수단(32)에 의해 축적된 트래픽데이터를 기반으로 분석룰을 새롭게 생성하여 기존 분석룰을 업데이트하는 일괄처리(BATCH) 작업을 수행한다.
상기 트래픽분석수단(34)은, 상기 데이터수집수단(31)에 의해 수집된 트래픽데이터를 상기 분석룰생성 및 업데이트수단(33)에 의해 업데이트된 분석룰과 비교하여 인시던트가 발생하였는지 여부를 판단한다. 한편, 분석룰이라 함은 인시던트가 발생하였는지 여부를 판단하는 기준이며, 분석룰은 적어도 하나 이상일 수 있다. 이러한 분석룰의 예로는 통신량을 들 수 있다. 즉, 예를 들어 대량의 트래픽을 유발시키는 웜바이러스에 감염된 특정 컴퓨터장치는 과다한 통신량을 발생시키게 되므로 이러한 웜바이러스에 의한 과다한 통신량을 발생시키는 특정 컴퓨터장치의 통신을 차단해야 될 필요가 있다. 이러한 사안에 적용될 분석룰로는 "한 장비에서 다수의 불특정 장비로 단위시간 동안에 임계치 이상의 트래픽을 발생시키는 트랙픽을 인시던트화 시켜라" 와 같은 것을 들 수 있다. 물론, 임계치는 관리자에 의해 설정되거나 기존의 트래픽양을 기준으로 자동으로 설정되도록 할 수도 있을 것이다. 또한, 분석룰은 유해트래픽의 유형별마다 설정될 수 있으며, 신종 유해트래픽이 발생된 경우 등에는 해당 신종 유해트래픽에 대응하는 분석룰을 생성하도록 하는 것이 바람직하므로, 분석룰 생성에 대한 생성기준을 관리자가 임의적으로 변경, 추가, 삭제할 수 있도록 하는 것이 바람직하다.
상기 통보수단(35)은, 상기 트래픽분석수단(34)에 의해 인시던트가 발생되었다고 판단되면 인시던트 발생에 따른 정보를 상기 관리자단말기(400)로 통보한다.
상기 명령통지수단(36)은, 인시던트가 발생된 경우 인시던트를 발생시키는 컴퓨터장치의 트래픽을 제어하도록 상기 스위치(100)에 제어명령을 보낸다. 또한, 스위치 제어는 인시던트가 발생한 경우 자동제어 하도록 하는 기능이 설정되어 있 는 경우에 상기 스위치(100)를 통해서 인시던트를 발생시키는 컴퓨터장치의 트래픽을 자동으로 제어할 수도 있지만, 자동제어 기능이 설정되어 있지 않은 경우에는 관리자가 상기 관리자단말기(400)를 통하여 제어명령을 내리는 식으로 수동으로 제어할 수도 있다.
상기 관리자단말기(400)는, 시스템 상에 관리자의 각종 명령을 입력시킬 수 있으며, 상기 보안서버(300)로부터 통보되어 온 인시던트 발생에 따른 정보 및 관리자의 명령에 따른 트래픽테이터를 출력할 수 있다.
한편, 상기와 같은 시스템상에서 이루어지는 본 발명에 따른 내부네트워크 상의 유해 트래픽 분석 방법에 대하여 도면을 참조하여 상세히 설명한다.
도 3은, 본 발명의 실시 예에 따른 내부네트워크 상의 유해 트래픽 분석 방법에 대한 흐름도이고, 도 7 및 도 8은, 도 1의 시스템에 적용된 관리자단말기에서 출력되는 트래픽 정보에 대한 예이다.
도 3에 도시된 바와 같이, 상기 스위치(100)는, 내부네트워크 상의 컴퓨터장치들 간에 이루어지는 트래픽에 따른 트래픽데이터를 미러링한다<S301>. 이때 미러링(Mirroring)이라 함은, 상기 스위치(100)에서의 트래픽데이터를 그대로 복사하여 밀어내는 것(push)을 의미한다.
상기 센서(200)는, 상기 단계<S301>에서 미러링된 패킷수준의 트래픽데이터를 세션수준의 트래픽데이터로 가공한다<S302>. 여기서 세션수준의 트래픽데이터는, 출발지/목적지 주소, 출발지 포트, 목적지 서비스(포트,프로토콜), 룰 넘버 (rule number), 접속 방향(Inbound/Outbound), 세션 종료시간 등이 포함된다.
상기 데이터수집수단(31)은, 상기 단계<S302>에서 가공된 트래픽데이터를 실시간 모니터링하여 수집하며, 상기 데이터저장수단(32)는 상기 데이터수집수단(31)에 의해 수집된 트래픽데이트를 일괄처리(BATCH)작업을 수행할 수 있도록 축적한다<S303>.
상기 분석룰 생성 및 업데이트수단(33)은, 시간을 체킹하여 설정된 일정시간에 도달되었는지를 판단하고<S304>, 일정시간에 도달되었다고 판단되면, 상기 단계<S303>에서 축적된 트래픽데이터를 기반으로 분석룰을 생성 및 업데이트한다<S305>. 즉, 이러한 상기 단계<S305>를 더 세분화하여 설명하면, 상기 단계<S303>에서 축적된 트래픽데이터를 기반으로 네트워크 프로파일을 도출하며<S305a>, 도출된 상기 네트워크 프로파일을 기준으로 분석룰을 생성 및 업데이트한다<S305b>.
일반적으로 ftp 방식에 의한 대용량의 파일을 주고받을 경우에는 1회의 트래픽으로도 과다한 트래픽량(traffic量)이 발생할 수 있고, 경우에 따라서는 내부네트워크의 순간적인 마비를 가져올 수도 있지만, 이러한 경우에는 유해 트래픽에 의한 네트워크의 마비가 아닌 정상적인 서비스에 따른 것이기 때문에, 그러한 서비스가 종료되면 통상의 네트워크로 복귀한다. 따라서 유해 트래픽의 탐지를 위해서는 순간적인 트래픽량보다는 기 설정된 분석룰과의 관계성을 특정지어 주는 트래픽의 내용(content)이 보다 중요하다. 이러한 트래픽의 내용(content)에 대한 정보를 확보하기 위한 가장 바람직한 정보는 세션수준의 트래픽데이터라고 할 수 있는데, 이를 기반으로 네트워크 프로파일을 도출해내는 것이다. 즉, 상기 단계<S305>에서는, 상기 단계<S303>에서 수집 및 축적된 세션수준의 트래픽데이터를 통해 네트워크 프로파일을 도출한 후, 새로운 분석룰을 생성 및 업데이트하도록 일괄처리하는 것이다. 이때, 분석룰은 전날 발생한 세션로그를 기반으로 일괄처리 작업을 수행하여 생성 및 업데이트되어 저장된 분석룰인 것이다.
본 발명의 실시예에서는 이렇게 분석룰을 생성 및 업데이트하는 일괄처리(batch) 작업을 하루단위로 수행하도록 하고 있으나, 일정한 주기마다 일괄처리작업을 수행할 수 있도록 하기만 하면 바람직하다.
위에서 설명한 바와 같이, 상기 단계<S305>에서는, 전날 발생한 세션 로그를 기반으로 일괄처리(batch) 작업이 수행되고, 결과적으로 생성된 네트워크 프로파일을 기반으로 생성 및 업데이트된 분석룰은 실시간 작업의 트래픽분석의 기반이 되는 룰인 것이다. 물론, 응용하기에 따라서는 상기 관리자단말기(400)를 통해 관리자가 분석룰을 임의적으로 설정하여 입력할 수도 있을 것이다.
상기 트래픽분석수단(34)은, 현재 실시간 수집되는 트래픽데이터를 상기 단계<S305>에서 업데이트된 분석룰과 비교한 후, 현재 실시간 수집되는 트래픽데이터가 분석룰을 위반하는 사건(이하, '인시던트'라 함)이 발생하였는지를 비교 및 판단하고<S306>, 상기 단계<S306>에서 인시던트의 발생이라고 판단되면 인시던트 발생에 따른 정보를 도출해낸다<S307>.
상기 명령통지수단(36)은, 상기 단계<S307>에서 도출된 인시던트 발생에 따른 정보를 토대로 인시던트를 발생시키는 컴퓨터장치의 트래픽을 스위치를 통해 제어한다<S308>. 즉, 네트워크 스위치의 커맨드 라인 인터페이스(Command Line Interface:CLI,이하 CLI라 한다)와 연동을 통하여 센서에서 스위치에 명령을 보내 특정 컴퓨터장치에서 들어오는 트래픽을 스위치에서 제어하도록 하는 방법이다. 또한, 응용에 따라서는 관리자가 수동으로 문제가 되는 컴퓨터장치의 네트워크 사용을 제어할 수 있도록 구현될 수도 있을 것이다.
상기 통보수단(35)은, 상기 단계<S307>에서 도출된 인시던트 발생에 따른 정보를 관리자단말기(400)로 통보한다<S309>. 여기서 인시던트에 대한 정보에는 인시던트가 발생했음을 경고하는 경고통지와 인시던트가 발생한 특정 트래픽데이터가 포함될 수 있다. 여기서 인시던트 발생에 따른 정보로는 관리자의 주의를 환기시키기 위한 경고성 통지와 특정 센서로부터 제공되는 세션수준의 트래픽데이터가 포함됨으로써, 관리자로 하여금 주의를 환기시키도록 함과 동시에 인시던트가 발생한 특정 센서로부터 제공되는 세션수준의 트래픽데이터를 즉각적으로 파악할 수 있도록 하는 것이 바람직하다. 이 때 경고성 통지로는 E-mail, SMS, Sound, Image 등과 같이 관리자의 주의를 적절히 환기시킬 수 있는 방법이면 어느 것이라도 바람직하다.
본 발명의 실시 예에서는 스위치(100)를 제어한 후, 관리자에게 통보하는 것으로 설명하였지만, 그 순서가 바뀌거나 동시에 이루어지도록 구현하는 것도 얼마든지 바람직하게 고려될 수 있다.
상기한 경고통지 및 인시던트가 발생한 특정 센서로부터 제공되는 세션 수준의 트래픽데이터를 비롯하여, 상기 보안서버(300)에서 제공하는 트래픽 정보들로 는, 서비스 Top 10, 특정 서비스에 대한 소스 컴퓨터장치 Top 10, 상기 분석룰에 위반하는 특정 서비스 또는 소스 컴퓨터장치의 목록, 참조도 도 7에 도시된 바와 같이 유해 트래픽을 유발시키는 특정서비스 추이, 참조도 도 8에 도시된 바와 같이 인시던트가 발생한 특정 센서에서 제공되는 세션수준의 트래픽데이터 등이 있다.
또한, 관리자는 상기 관리자단말기(400)를 통하여 상기와 같은 트래픽 정보를 비롯한 각종 통계 레포트(Reports)를 출력하여 확인 및 점검할 수 있다.
<제 2실시 예>
도 4는, 본 발명의 제2실시 예에 따른 내부네트워크 상의 유해 트래픽 분석 시스템에 대한 구성도이고, 도 5는, 본 발명의 제2실시 예에 따른 내부네트워크 상의 유해 트래픽 분석 시스템에 대한 블록도이다. 도 4 및 도5를 참조하면, 본 발명의 제2실시 예에 따른 내부네트워크 상의 유해 트래픽 분석 시스템은, 스위치(500)와, 센서(600)와, 보안서버(700) 및 관리자단말기(400) 등을 포함하여 구성되어 있다.
상기한 구성을 더 상세히 설명하면 다음과 같다.
상기 스위치(500)는, 내부네트워크 상의 컴퓨터장치들 간의 통신을 연결한다. 상기 스위치(500)는 다단계 구조의 내부네트워크 중 외부 네트워크와 연결된 주력스위치(backbone switch)로부터 개인 PC나 서버 등 가장 하위의 말단 스위치(500a, 500b, 500c, 500d)까지 모두 포함한다.
상기 센서(600)는, 상기 스위치(500)를 통해 미러링된 패킷수준의 트래픽데 이터를 세션수준의 트래픽데이터로 가공하여 출력시킨다. 또한, 각 센서(600a, 600b, 600c, 600d)는 본 실시 예에서는 상기 말단 스위치(500a, 500b, 500c, 500d)와 연결되어 있지만, 다단계 구조의 다른 임의의 스위치와 연결될 수도 있다.
상기 보안서버(700)는, 상기 센서들(600a, 600b, 600c, 600d)로부터 출력되어 온 트래픽데이터를 실시간 모니터링하여 수집 및 축적시키고, 축적된 트래픽데이터를 기반으로 분석룰을 생성 및 업데이트한 후, 인시던트 발생에 따른 정보를 관리자에게 통보한다. 이러한 보안서버(700)는, 데이터수집수단(71)과, 데이터저장수단(72)과, 분석룰생성 및 업데이트수단(73)과, 트래픽분석수단(74)과, 통보수단(75)과, 명령통지수단(76) 등으로 구성되어 있으며, 각 구성을 더 상세히 설명하면 다음과 같다.
상기 데이터수집수단(71)은, 상기 센서들(600a, 600b, 600c, 600d)로부터 트래픽데이터를 실시간 모니터링하여 수집한다.
상기 데이터저장수단(72)은, 상기 데이터수집수단(71)으로부터 수집된 트래픽데이터를 축적한다.
상기 분석룰생성 및 업데이트수단(73)은, 상기 데이터저장수단(72)에 의해 축적된 트래픽데이터를 기반으로 분석룰을 새롭게 생성하여 기존 분석룰을 업데이트하는 일괄처리(BATCH) 작업을 수행한다.
상기 트래픽분석수단(74)은, 상기 데이터수집수단(71)에 의해 수집된 트래픽데이터를 상기 분석룰생성 및 업데이트수단(73)에 의해 업데이트된 분석룰과 비교하여 인시던트가 발생하였는지 여부를 판단한다.
상기 통보수단(75)은, 상기 트래픽분석수단(74)에 의해 인시던트가 발생되었다고 판단되면 인시던트 발생에 따른 정보를 상기 관리자단말기(400)로 통보한다.
상기 명령통지수단(76)은, 인시던트가 발생된 경우 인시던트를 발생시키는 컴퓨터장치의 트래픽을 내부네트워크 상에서 차단시키도록 상기 센서(600)에 제어명령을 보낸다.
상기 관리자단말기(400)는, 시스템 상에 관리자의 각종 명령을 입력시킬 수 있으며, 상기 보안서버(700)로부터 통보되어 온 인시던트 발생에 따른 정보 및 관리자의 명령에 따른 트래픽테이터를 출력할 수 있다.
한편, 상기와 같은 시스템상에서 이루어지는 본 발명에 따른 내부네트워크 상의 유해 트래픽 분석 방법에 대하여 도면을 참조하여 상세히 설명한다.
도 6은, 본 발명의 실시 예에 따른 내부네트워크 상의 유해 트래픽 분석 방법에 대한 흐름도이고, 도 7 및 도 8은, 제1실시예에서와 마찬가지로 도 4의 시스템에 적용된 관리자단말기에서 출력되는 트래픽 정보에 대한 예이다.
도 6에 도시된 바와 같이, 상기 스위치(500)는, 내부네트워크 상의 컴퓨터장치들 간에 이루어지는 트래픽에 따른 트래픽데이터를 미러링한다<S601>.
상기 센서(600)는, 상기 단계<S601>에서 미러링된 패킷수준의 트래픽데이터를 세션수준의 트래픽데이터로 가공한다<S602>.
상기 데이터수집수단(71)은, 상기 단계<S602>에서 가공된 트래픽데이터를 실시간 모니터링하여 수집하며, 상기 데이터저장수단(72)는 상기 데이터수집수단(71) 에 의해 수집된 트래픽데이터를 저장 축적한다<S603>.
상기 분석룰 생성 및 업데이트수단(73)은, 기 설정된 일정시간에 도달되었는지를 판단하고<S604>, 기 설정된 일정시간에 도달되었다고 판단되면, 상기 단계<S603>에서 축적된 트래픽데이터를 기반으로 분석룰을 생성 및 업데이트한다<S605>.
상기 트래픽분석수단(74)은, 현재 실시간 수집되는 트래픽데이터를 상기 단계<S605>에서 업데이트된 분석룰과 비교한 후, 현재 실시간 수집되는 트래픽데이터가 분석룰을 위반하는 사건이 발생하였는지, 즉, 인시던트가 발생하였는지를 비교 및 판단하고<S606>, 상기 단계<S606>에서 인시던트의 발생이라고 판단되면 인시던트 발생에 따른 정보를 도출해낸다<S607>.
상기 명령통지수단(76)은, 상기 단계<S607>에서 도출된 인시던트가 발생에 따른 정보를 바탕으로 인시던트를 발생시키는 컴퓨터장치의 트래픽을 내부네트워크 상에서 차단시키도록 상기 센서(600)로 차단명령을 보낸다<S608>. 상기 센서(600)를 통한 제어는, 상기 인시던트의 발생을 유발한 컴퓨터장치의 트래픽을 차단하는 것이다. 더 상세히 설명하면, 상기 센서(600)는 주소 결정 프로토콜(Address Resolution Protocol:ARP, 이하 ARP라 한다)을 이용하여 유해 트래픽을 발생시키는 컴퓨터장치의 트래픽을 원천적으로 완전 차단시키는 방법을 사용한다. 구체적으로는 유해 트래픽을 발생시키는 해당 컴퓨터장치와 해당 컴퓨터장치가 위치하고 있는 동일 서브네트워크에 있는 모든 컴퓨터장치의 ARP 테이블을 조작하는 방법이다. 즉, 유해 트래픽을 발생시키는 해당 컴퓨터장치의 경우는 ARP 테이블 목록에 있는 모 든 IP의 MAC 주소를 모두 해당 컴퓨터장치의 MAC 주소로 변경하고, 다른 컴퓨터장치의 경우는 차단하려고 하는 컴퓨터장치의 IP가 임의의 존재하지 않는 MAC 주소와 맵핑되도록 ARP 테이블의 목록을 변경시킨다. 이렇게 함으로써, 문제가 되는 컴퓨터장치에서 외부로 나가는 모든 네트워크 트래픽이 해당 컴퓨터장치에 묶이는 결과를 가져오게 된다. 또한, 자동차단 기능이 설정되어 있지 않은 경우에는, 관리자단말기(400)를 통하여 인시던트의 발생을 지각한 관리자가 상기 관리자단말기(400)를 통해 입력한 상기 인시던트의 발생을 유발한 컴퓨터장치의 네트워크 트래픽 차단에 대한 명령에 따라 명령통지수단(76)이 가동되어 특정 센서에 차단명령을 내리도록 구현시킬 수도 있다. 또 응용에 따라서 자동차단 기능이 설정되어 있지 않도록 구현한 경우에는 관리자가 수동으로 문제가 되는 컴퓨터장치의 네트워크 사용을 차단하도록 할 수도 있다. 이 때, 인시던트의 발생을 유발한 컴퓨터장치의 트래픽을 차단하는 시간은 한정될 수 있다. 그러한 경우 한정된 시간 동안 관리자는 유해 트래픽 차단을 위한 근본적인 대응 조치를 취할 수 있을 것이다.
상기 통보수단(75)은, 상기 인시던트도출단계에서 도출된 인시던트 발생에 따른 정보를 관리자단말기로 통보한다<S609>.
물론, 관리자는 상기 관리자단말기(400)를 통하여 상기와 같은 트래픽 정보를 비롯한 각종 통계 레포트(Reports)를 출력하여 확인 및 점검할 수 있다.
이상과 같이, 본 발명에 대한 구체적인 설명은 첨부된 도면을 참조한 실시 예에 의해서 이루어졌지만, 상술한 실시 예는 본 발명의 바람직한 예를 들어 설명 하였을 뿐이며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 사람은 본 발명의 실시 예에 대한 설명만으로도 쉽게 상기 실시 예와 동일 범주내의 다른 형태의 본 발명을 실시할 수 있거나, 본 발명과 균등한 영역의 발명을 실시 할 수 있을 것이다. 따라서, 본 발명이 상기의 실시 예에만 국한되는 것으로 이해되어져서는 아니 되며, 본 발명의 권리범위는 본 발명의 기본적 기술 사상 내에서 응용 및 변형된 모든 범위까지 미치는 것으로 해석되어져야 한다.
이상에서 살펴본 바와 같이 본 발명에 따른 내부네트워크 상의 유해 트래픽 분석 시스템 및 방법에 따르면, 실시간으로 내부네트워크 상의 유해 트래픽을 감지하고 분석할 수 있기 때문에, 내부네트워크 상에서 확산되어 교류되는 유해 트래픽으로 인하여 인시던트가 발생하는 등의 문제발생 시 특정 스위치나 센서를 통해 유해트래픽을 발생시키는 특정 컴퓨터장치의 트래픽을 제어하거나 차단하는 등의 적절한 대응조치를 취하여, 내부네트워크 상의 유해 트래픽을 근본적으로 차단하는 효과가 있다.

Claims (8)

  1. 내부네트워크 상의 컴퓨터장치들 간의 트래픽을 연결하며, 각 컴퓨터장치들 간에 이루어지는 트래픽에 따른 트래픽데이터를 미러링하는 스위치;
    상기 스위치를 통해 미러링된 패킷수준의 트래픽데이터를 세션수준의 트래픽데이터로 가공하여 출력시키는 센서;
    상기 센서로부터 출력되어 온 트래픽데이터를 실시간 모니터링하여 수집 및 축적시키고, 축적된 트래픽데이터를 기반으로 분석룰을 생성 및 업데이트한 후, 현재 실시간 수집되는 트래픽데이터가 해당 분석룰을 위반하는 사건(이하, '인시던트'라 함)이 발생하면, 인시던트 발생에 따른 정보를 관리자에게 통보하는 보안서버; 및
    상기 보안서버로부터 통보되어 온 인시던트 발생에 따른 정보 및 관리자의 명령에 따른 트래픽데이터를 출력하며, 관리자의 각종 명령을 입력시킬 수 있는 관리자단말기; 를 포함하는 것을 특징으로 하는 내부네트워크 상의 유해 트래픽 분석 시스템.
  2. 제 1항에 있어서,
    상기 보안서버는,
    상기 센서로부터 트래픽데이터를 실시간 모니터링하여 수집하는 데이터수집수단;
    상기 데이터수집수단으로부터 수집된 트래픽데이터를 축적하는 데이터저장수단;
    상기 데이터저장수단에 의해 축적된 트래픽데이터를 기반으로 분석룰을 생성 및 업데이트하는 분석룰생성 및 업데이트수단;
    상기 데이터수집수단에 의해 수집된 트래픽데이터를 상기 분석룰생성 및 업데이트수단에 의해 업데이트된 분석룰과 비교하여 인시던트가 발생하였는지 여부를 판단하는 트래픽분석수단; 및
    상기 트래픽분석수단에 의해 인시던트가 발생되었다고 판단되면 인시던트 발생에 따른 정보를 상기 관리자단말기로 통보하는 통보수단; 을 포함하는 것을 특징으로 하는 내부네트워크 상의 유해 트래픽 분석 시스템.
  3. 제1항에 있어서,
    상기 보안서버는, 인시던트가 발생된 경우 인시던트를 발생시키는 컴퓨터장치의 트래픽을 제어하도록 상기 스위치에 제어명령을 보내는 명령통지수단; 을 포함하는 것을 특징으로 하는 내부네트워크상의 유해 트래픽 분석 시스템.
  4. 제1항에 있어서,
    상기 보안서버는, 인시던트가 발생된 경우 인시던트를 발생시키는 컴퓨터장치의 트래픽을 내부네트워크 상에서 차단시키도록 상기 센서에 제어명령을 보내는 명령통지수단; 을 포함하는 것을 특징으로 하는 내부네트워크상의 유해 트래픽 분 석 시스템.
  5. 내부네트워크 상의 컴퓨터장치들 간의 트래픽을 연결하는 스위치를 통해 각 컴퓨터장치들 간에 이루어지는 트래픽에 따른 트래픽데이터를 미러링하는 미러링단계;
    상기 미러링단계에서 미러링된 패킷수준의 트래픽데이터를 세션수준의 트래픽데이터로 가공하는 정보가공단계;
    상기 정보가공단계에서 가공된 트래픽데이터를 실시간 모니터링하여 수집 및 축적하는 수집 및 축적단계;
    상기 수집 및 축적단계에서 축적된 트래픽데이터를 기반으로 분석룰을 생성 및 업데이트하는 분석룰생성 및 업데이트단계;
    현재 실시간 수집되는 트래픽데이터를 상기 분석룰생성 및 업데이트단계에서 업데이트된 분석룰과 비교한 후, 현재 실시간 수집되는 트래픽데이터가 분석룰을 위반하는 사건(이하, '인시던트'라 함)이 발생하였는지 판단하는 트래픽분석단계;
    상기 트래픽분석단계에서 인시던트의 발생이라고 판단되면 인시던트 발생에 따른 정보를 도출해내는 인시던트도출단계; 및
    상기 인시던트도출단계에서 도출된 인시던트 발생에 따른 정보를 관리자단말기로 통보하는 통보단계; 를 포함하는 것을 특징으로 하는 내부네트워크 상의 유해 트래픽 분석 방법.
  6. 제5항에 있어서,
    상기 분석룰생성 및 업데이트단계는,
    상기 모니터링단계에서 수집된 트래픽데이터에서 네트워크 프로파일을 도출하는 단계; 및
    도출된 네트워크 프로파일을 기준으로 분석룰을 생성 및 업데이트 하는 단계; 를 포함하는 것을 특징으로 하는 내부네트워크 상의 유해 트래픽 분석 방법.
  7. 제5항에 있어서,
    상기 트래픽분석단계에서 인시던트가 발생되었다고 판단되면, 인시던트를 발생시키는 컴퓨터장치의 트래픽을 제어하는 트래픽제어단계; 를 포함하는 것을 특징으로 하는 내부네트워크상의 유해 트래픽 분석 시스템.
  8. 제5항에 있어서,
    상기 트래픽분석단계에서 인시던트가 발생되었다고 판단되면, 인시던트를 발생시키는 컴퓨터장치의 트래픽을 내부네트워크 상에서 차단시키는 트래픽차단단계; 를 포함하는 것을 특징으로 하는 내부네트워크상의 유해 트래픽 분석 시스템.
KR1020050087493A 2005-09-21 2005-09-21 내부네트워크 상의 유해 트래픽 분석 시스템 및 방법 KR100671044B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050087493A KR100671044B1 (ko) 2005-09-21 2005-09-21 내부네트워크 상의 유해 트래픽 분석 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050087493A KR100671044B1 (ko) 2005-09-21 2005-09-21 내부네트워크 상의 유해 트래픽 분석 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR100671044B1 true KR100671044B1 (ko) 2007-01-17

Family

ID=38014164

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050087493A KR100671044B1 (ko) 2005-09-21 2005-09-21 내부네트워크 상의 유해 트래픽 분석 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR100671044B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9742699B2 (en) 2013-10-17 2017-08-22 Electronics And Telecommunications Research Institute Network apparatus and selective information monitoring method using the same
KR20180059076A (ko) * 2016-11-25 2018-06-04 충남대학교산학협력단 암호화된 트래픽 분석을 통한 내부 정보 유출 모니터링 시스템 및 방법
KR20200080098A (ko) * 2019-03-22 2020-07-06 국중교 개인 영상 정보의 접속 이력 및 조작 이력을 생성하는 방법 및 장치

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9742699B2 (en) 2013-10-17 2017-08-22 Electronics And Telecommunications Research Institute Network apparatus and selective information monitoring method using the same
KR20180059076A (ko) * 2016-11-25 2018-06-04 충남대학교산학협력단 암호화된 트래픽 분석을 통한 내부 정보 유출 모니터링 시스템 및 방법
KR101893758B1 (ko) * 2016-11-25 2018-08-31 충남대학교산학협력단 암호화된 트래픽 분석을 통한 내부 정보 유출 모니터링 시스템 및 방법
US11153288B2 (en) 2016-11-25 2021-10-19 The Industry & Academic Cooperation In Chungnam National University (Iac) System and method for monitoring leakage of internal information by analyzing encrypted traffic
KR20200080098A (ko) * 2019-03-22 2020-07-06 국중교 개인 영상 정보의 접속 이력 및 조작 이력을 생성하는 방법 및 장치
KR102157747B1 (ko) * 2019-03-22 2020-09-18 국중교 개인 영상 정보의 접속 이력 및 조작 이력을 생성하는 방법 및 장치

Similar Documents

Publication Publication Date Title
US11201883B2 (en) System, method, and apparatus for data loss prevention
US7596807B2 (en) Method and system for reducing scope of self-propagating attack code in network
US7653941B2 (en) System and method for detecting an infective element in a network environment
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
US7617533B1 (en) Self-quarantining network
JP4480422B2 (ja) 不正アクセス阻止方法、装置及びシステム並びにプログラム
US7610624B1 (en) System and method for detecting and preventing attacks to a target computer system
US9143516B1 (en) Protecting a network site during adverse network conditions
JP4684802B2 (ja) セキュリティの脅威に起因してネットワークの通信が制限されている間に仮想ネットワーク内のネットワークデバイスが通信することを可能にすること
GB2427108A (en) Combating network virus attacks, such as DDoS, by automatically instructing a switch to interrupt an attacking computer&#39;s access to the network
US20150256431A1 (en) Selective flow inspection based on endpoint behavior and random sampling
US20060230456A1 (en) Methods and apparatus to maintain telecommunication system integrity
US20160232349A1 (en) Mobile malware detection and user notification
US9253153B2 (en) Anti-cyber hacking defense system
CN113228591B (zh) 用于动态补救安全系统实体的方法、系统和计算机可读介质
KR101042291B1 (ko) 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법
KR20130124692A (ko) 유해 트래픽의 필터링 정보 관리 시스템 및 그 방법
KR100671044B1 (ko) 내부네트워크 상의 유해 트래픽 분석 시스템 및 방법
SHAAR et al. DDoS attacks and impacts on various cloud computing components
KR20050090640A (ko) 유해 트래픽 분석 시스템 및 방법
US20070140121A1 (en) Method of preventing denial of service attacks in a network
KR100607110B1 (ko) 종합 보안 상황 관리 시스템
KR20070079785A (ko) 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법
JP5193362B2 (ja) アクセスレベル保安装置及び保安システム
Karthikeyan et al. Network Intrusion Detection System Based on Packet Filters

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130111

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140110

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150105

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20160111

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20170110

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20180111

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20190110

Year of fee payment: 13