KR100687736B1 - 네트워크 상에서 이상 유해 트래픽 감지 장치 및 그 방법 - Google Patents

네트워크 상에서 이상 유해 트래픽 감지 장치 및 그 방법 Download PDF

Info

Publication number
KR100687736B1
KR100687736B1 KR1020050022197A KR20050022197A KR100687736B1 KR 100687736 B1 KR100687736 B1 KR 100687736B1 KR 1020050022197 A KR1020050022197 A KR 1020050022197A KR 20050022197 A KR20050022197 A KR 20050022197A KR 100687736 B1 KR100687736 B1 KR 100687736B1
Authority
KR
South Korea
Prior art keywords
traffic
address
information
reference pattern
incoming
Prior art date
Application number
KR1020050022197A
Other languages
English (en)
Other versions
KR20060067077A (ko
Inventor
김병구
오진태
김기영
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Publication of KR20060067077A publication Critical patent/KR20060067077A/ko
Application granted granted Critical
Publication of KR100687736B1 publication Critical patent/KR100687736B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 기가(Giga)급의 고속 네트워크 환경에서 서비스 거부 공격 트래픽 또는 포트 스캔 공격 트래픽과 같은 이상 유해 트래픽을 실시간으로 감지하는데 이를 휴리스틱 분석 기법에 기반하여 이상 유해 트래픽을 감지하는 장치 및 그 방법에 관한 것이다.
본 명세서에서 개시하는 이상 유해 트래픽 감지 장치는 파싱된 유입 트래픽의 양의 기 설정된 트래픽 양 임계치의 초과 여부와 시간 임계치의 초과 여부를 체크하여 상기 유입 트래픽에 이상 유해 트래픽이 있는지를 감지하는 이상 유해 트래픽 감지부; 및 상기 이상 유해 트래픽의 유무를 판단하기 위한 레퍼런스 패턴을 상기 이상 유해 트래픽 감지부에 제공하는 레퍼런스 패턴 제공부를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.

Description

네트워크 상에서 이상 유해 트래픽 감지 장치 및 그 방법{Apparatus for recognizing abnormal and destructive traffic in network and Method thereof}
도 1은 트래픽 양과 시간 임계치에 기반한 휴리스틱 분석 기법을 이용한 이상 유해 트래픽의 감지 방안의 개념을 제시하기 위한 도면이다.
도 2는 본 장치 발명의 바람직한 일실시예의 구성을 제시한 도면이다.
도 3a는 도 2에 제시된 이상 유해 트래픽 감지부에 의한 서비스 거부 공격 트래픽의 감지 기능의 구현 절차를 제시한 도면으로 본 방법발명의 바람직한 일실시예의 흐름을 제시한 도면이다.
도 3b는 도 2에 제시된 이상 유해 트래픽 감지부에 의한 포트 스캔 공격 트래픽 감지 기능의 구현 절차를 제시한 도면으로 본 방법발명의 바람직한 또 다른 일실시예의 흐름을 제시한 도면이다.
도 4는 도 2에 제시된 이상 유해 트래픽 감지부의 시간 임계치 체크부에서 카운트 값 초기화를 위한 절차를 제시한 도면이다.
도 5는 도 2에 제시된 이상 유해 트래픽 감지부의 IP 엔트리 관리부에 의한 IP 엔트리 관리를 효율적으로 수행하기 위한 기법을 설명하기 위해 제시한 도면이다.
도 6은 도 2에 제시된 이상 유해 트래픽 감지부에서 이상 유해 트래픽 감지 기능을 실시간으로 제공하기 위한 각 테이블의 구성 방식을 설명하기 위한 도면이다.
본 발명은 네트워크 상에서의 이상 유해 트래픽 감지 장치 및 그 방법에 관한 것으로, 보다 상세하게는 기가(Giga)급의 고속 네트워크 환경에서 서비스 거부 공격 트래픽 또는 및 포트 스캔 공격 트래픽과 같은 이상 유해 트래픽을 실시간으로 감지하는데 이를 휴리스틱 분석 기법에 기반하여 이상 유해 트래픽을 감지하는 장치 및 그 방법에 관한 것이다.
1990년대 말 서비스 거부 공격(Denial of Service : DoS)이 등장하면서 네트워크는 사이버 공격의 토대는 물론, 심지어 공격을 증식시키는 매개체가 되고 있는 게 현실이다. 그 결과 보안 공격 건수가 크게 증가했으며, 공격의 복잡성도 갈수록 심화되고 있다.
서비스 거부 공격이라 함은 시스템의 정상적인 서비스를 방해할 목적으로 대량의 데이터를 보내 대상 네트워크나 시스템의 성능을 급격히 저하시켜 대상 시스템에서 제공하는 서비스들을 사용하지 못하게 하는 공격으로 해킹 수법중 가장 일반적인 방법이다. 인터넷 사용자가 많지 않았던 초기의 서비스 거부 공격은 단일 시스템이나 서비스를 목표로 하는 공격자에 대한 피해자의 1:1 유형이 주류를 이루고 있었다.
그러나 최근에는 DDoS(Distributed Denial of Service) 공격이란 이름으로 N개의 불특정 시스템이 단일 네트워크를 대상으로 공격을 시도하는 N:1 유형이 주류를 이루고 있다. 이러한 공격은 포트 스캔과 같은 사전 작업을 통해서 불특정 다수의 시스템을 감염시켜 이루어지며, 감염된 시스템들로부터 동시에 공격을 시도함으로써 단일 시스템뿐만 아니라 전체 네트워크까지 마비시킬 수 있는 파괴력을 가지고 있다.
이와 같은 N:1 유형의 공격방법은 수작업으로는 많은 시간이 소요되기 때문에 자동화된 공격도구가 사용되는 경우가 많다. 따라서 공격도구의 특성을 제대로 파악하면 이에 대한 대응방법도 마련될 수 있기 때문에, 이에 대한 대응방안의 강구가 활발하게 진행되고 있다. 대응방안뿐만 아니라 더욱 중요한 것은 공격 징후의 발견이다. 이러한 공격은 대규모 네트워크를 이용하기 때문에 비정상적인 네트워크 흐름을 유발하므로, 공격 징후의 조기 탐지는 공격에 대한 빠른 대응을 가능하게 된다.
이러한 추세와 함께, 네트워크를 통한 침입에 관심을 갖는 여러 시스템들이 개발되었으나, 기가비트 이더넷 환경과 같은 네트워크의 고속화 및 이를 바탕으로 한 대용량 데이터의 송수신은 기존의 저속 침입탐지 기법에 대한 변화를 요구하고 있다. 다시 말해서, 갈수록 고속화되고 대용량화하는 네트워크 환경과 보다 다양해지는 침입 시도에 적절히 대응하기 위해서는, 보다 빠른 시간 내에 많은 데이터를 분석할 수 있는 기법이 요구된다.
즉, 이를 고려한 새로운 형태의 침입(공격) 탐지 시스템이 요구된다. 그러 나, 기존의 대다수 침입탐지 시스템들은 일반적으로 단일 시스템 환경이나 협소한 영역에 적합하게 설계되고 적용됨으로써, 대규모 네트워크로의 확장에 어려움을 가지게 되었다. 설령, 이를 확장할 수 있는 구조를 가졌다 하더라도 어플리케이션 영역에서의 탐지 수행은 성능상의 한계를 가지게 되었다.
기존의 침입 탐지 시스템이 지니고 있는 기술적 한계는 무엇보다도 패킷 분실율 및 침입 감지율과 같은 침입 탐지 시스템의 성능 문제라 할 수 있다. 성능은 꾸준히 여러 개발자들에 의해서 개선되고는 있으나, 이는 돈과 시간이 많이 소요되는 작업이다. 그럼에도 불구하고 성능 개선은 무엇보다도 중요한 해결 과제이다. 또한, 기가비트 이더넷 환경과 같은 네트워크 환경의 변화는 이에 대한 중요성을 더욱 증가시키고 있다.
네트워크 침입 탐지 시스템에서 상기의 DoS나 포트 스캔 공격과 같은 이상 유해 트래픽을 탐지하기 위한 여러 방안들이 적용되고 있으나, 가장 정확하게 감지하는 방안은 네트워크로 입력되는 패킷과 기 알려진 침해 패턴들을 비교 검사하고 이에 대한 빈도를 검사하는 것이다.
기존의 침입 탐지 시스템들은 대부분 소프트웨어를 바탕으로 한 방법을 사용하고 있으나, 이러한 탐지 엔진들은 속도의 제한성이 존재한다. 즉, 침입 탐지 시스템이 갖는 성능의 제약성을 극복하지 못한다면 고속의 침해 탐지 기능의 제공은 거의 불가능하다. 따라서, 기 알려진 서비스 거부 공격이나 포트 스캔 공격 유형에 대한 실시간 탐색은 매우 중요하며, 이러한 침해 유형들을 실시간으로 점검할 수 있도록 하는 기법이 요구된다.
본 발명은 상기와 같은 문제를 해결하고 상기와 같은 요구사항에 부응하기 위해 창안된 것으로, 본 발명의 목적 및 이루고자 하는 기술적 과제는 기가급의 네트워크 환경에서 이상 유해 트래픽을 감지하기 위해서, 휴리스틱 분석 기반으로 이상 유해 트래픽의 감지 및 분석 기능이 가능하도록 하는 이상 유해 트래픽 감지 장치 및 그 방법을 제공함에 있다.
상기와 같은 목적 및 기술적 과제를 달성하기 위하여 본 명세서에서 개시하는 이상 유해 트래픽 감지 장치는
파싱된 유입 트래픽의 양의 기 설정된 트래픽 양 임계치의 초과 여부와 시간 임계치의 초과 여부를 체크하여 상기 유입 트래픽에 이상 유해 트래픽이 있는지를 감지하는 이상 유해 트래픽 감지부; 및
상기 이상 유해 트래픽의 유무를 판단하기 위한 레퍼런스 패턴을 상기 이상 유해 트래픽 감지부에 제공하는 레퍼런스 패턴 제공부를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.
상기와 같은 목적 및 기술적 과제를 달성하기 위하여 본 명세서에서 개시하는 이상 유해 트래픽 감지 방법은
(a)파싱된 유입 트래픽의 패턴과 상기 레퍼런스 패턴을 비교하여 상기 유입 트래픽에 이상 유해 트래픽이 있는지를 판단하는 단계;
(b)상기 두 패턴이 일치한다고 판단하는 경우, 상기 유입 트래픽의 IP 어드 레스에 해당하는 기 설정된 IP 어드레스를 검색하는 단계;
(c)상기 해당되는 IP 어드레스가 검색된 경우, 상기 유입 트래픽의 패턴과 일치하는 레퍼런스 패턴의 카운트 값을 증가시켜 상기 증가된 카운트 값이 상기 레퍼런스 패턴의 카운트 임계치에 도달하였는지를 체크하는 단계;
(d)상기 시간 임계치를 체크하는 단계; 및
(e)상기 카운트 임계치와 상기 시간 임계치를 초과하는 경우, 상기 유입 트래픽에 대한 경로 정보를 생성하는 단계를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.
상기와 같은 목적 및 기술적 과제를 달성하기 위하여 본 명세서에서 개시하는 이상 유해 트래픽 감지의 또 다른 방법은
(a)파싱된 유입 트래픽의 패턴과 상기 레퍼런스 패턴을 비교하여 상기 유입 트래픽에 이상 유해 트래픽이 있는지를 판단하는 단계;
(b)상기 두 패턴이 일치하는 경우, 상기 유입 트래픽의 IP 어드레스에 해당하는 기 설정된 IP 어드레스를 검색하는 단계;
(c)상기 해당되는 IP 어드레스가 검색된 경우, 기 설정된 포트 값과 상기 유입 트래픽의 포트 값을 비교하는 단계;
(d)상기 두 포트 값이 일치하지 아니하는 경우, 상기 유입 트래픽의 패턴과 일치하는 레퍼런스 패턴의 카운트 값을 증가시켜 상기 증가된 카운트 값이 상기 레퍼런스 패턴의 카운트 임계치에 도달하였는지를 체크하는 단계;
(e)상기 시간 임계치를 체크하는 단계; 및
(f)상기 카운트 임계치와 상기 시간 임계치를 넘은 경우, 상기 유입 트래픽에 대한 경로 정보를 생성하는 단계를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.
본 발명에 관한 이해 및 설명의 편의를 위해 본 발명이 제공하는 기술적 사상의 핵심을 우선 제시하면, 본 발명이 제공하는 기술적 사상의 핵심은 유입되는 트래픽에 대하여 트래픽 양과 시간 임계치에 기반한 휴리스틱(heuristic) 분석 기반으로 이상 유해 트래픽을 포함하고 있는지에 대한 분석을 수행하는 것이다.
유입 트래픽에 대한 고속의 분석 기능을 수행할 수 있게 하여, 네트워크 상의 서비스 거부 공격 및 포트 스캔 공격과 같은 이상 유해 트래픽(이하 공격 트래픽 또는 침입 트래픽도 이와 동일 개념으로 사용되었음을 미리 밝힌다)을 정확하고 빠르게 감지하도록 하는 것이다.
이하, 본 발명의 기술적 사상을 명확화하기 위해, 본 발명의 실시예에 근거하여 그 구성 및 동작을 첨부 도면을 참조하여 상세히 설명하되 도면의 구성요소들에 참조번호를 부여함에 있어서 동일 구성요소에 대해서는 비록 다른 도면상에 있더라도 동일 참조번호를 부여하였으며 당해 도면에 대한 설명시 필요한 경우 다른 도면의 구성요소를 인용할 수 있음을 미리 밝혀둔다.
도 1은 트래픽 양과 시간 임계치에 기반한 휴리스틱 분석 기법을 이용한 이상 유해 트래픽의 감지 방안의 개념을 제시하기 위한 도면이다.
패킷 양에 의한 이상 유해 트래픽 감지의 상태 전이도 및 타이머를 이용한 시간 임계치를 제시한 도면이 제시되어 있다. 일반적으로 서비스 거부 공격이나 포 트 스캔 공격과 같은 네트워크 상의 이상 유해 트래픽은 다량의 트래픽(패킷, 이하 패킷과 트래픽은 동일 개념임을 전제로 모두 트래픽으로 표현한다) 발생을 특징으로 하기 때문에, 하나의 트래픽이 공격 트래픽과 일치하더라도 이를 바로 공격 트래픽(침입 트래픽)으로 판정하기는 어렵다.
따라서, 동일한 패턴의 트래픽이 다량으로 유입되었을 때, 공격 트래픽으로판정함이 보다 높은 정확도 및 신뢰성을 제공하게 된다. 그러므로, 공격 트래픽과 일치하는 트래픽이 최초 유입되면, 초기 상태(110)에서 트래픽 양에 대한 카운트(count)가 증가되면서(count++) 진행 상태(111)로 전이되며, 공격 트래픽에 일치하는 트래픽이 계속적으로 유입되어 카운트가 소정의 임계치(count_threshold)에 도달하면, 최종 상태(112)로 전이되어 경보 메시지(alert message)가 발생한다. 경보 메시지 발생 후 초기 상태(110)로 상태가 재 전이된다(114).
그러나, 트래픽 양에만 의존한 상태 전이는 유입 트래픽이 소량일 경우에도 카운트의 장기화에 의한 잘못된 경보 발생 가능성이 있기 때문에, 이를 방지하기 위해 본 발명에서는 시간 임계치를 고려한 상태 전이 개념이 도입된다. 여기서, 시간 임계치란 최초 공격 트래픽이 유입된 시점부터 최종 상태까지 도달하는데 소요되는 최대 시간에 대한 예측 설정 임계치를 의미한다.
따라서, 시간 임계치를 미리 설정하고, 상태 전이 진행 중에 타이머에 의한 시간 임계치를 측정하여 시간 임계치(time_threshold)에 도달한 경우에는 시간 종료 신호(time_over)를 보내, 진행 상태(111)를 초기 상태(110)로 재 전이시킨다(113). 이와 같은 상태 전이 방식은 서비스 거부 공격 및 포트 스캔 공격과 같은 네트워크 상의 이상 유해 트래픽에 대한 감지의 정확도를 높일 수 있도록 한다.
도 2는 본 장치 발명의 바람직한 일실시예의 구성을 제시한 도면이다.
도 2를 참고하면, 본 명세서에서 개시하는 장치 발명의 일실시예는 크게 이상 유해 트래픽 감지 기능을 수행하기 위해서 네트워크 트래픽을 수집하여 파싱(parsing)하고 제어하는 유입 트래픽 제어부(20), 파싱된 정보를 바탕으로 휴리스틱 분석을 통해 수신 트래픽에 이상 유해 트래픽이 있는지를 판단하는 이상 유해 트래픽 감지부(22) 및 이상 유해 트래픽 감지부(22)가 이상 유해 트래픽의 유무를 판단하기 위한 레퍼런스(reference) 패턴을 이상 유해 트래픽 감지부(22)에 제공하는 레퍼런스 패턴 제공부(24)로 이루어진다.
유입 트래픽 제어부(20)는 3개의 외부 인터페이스 부(201,207, 208)와 5개의 제어부(202, 203, 204, 205, 206)로 구성된다. 3개의 외부 인터페이스 부는 외부로부터 트래픽을 유입하기 위한 트래픽 유입 인터페이스 부(201), 유입된 트래픽을 외부로 송신하는 트래픽 송신 인터페이스 부(207)와 도 1에 제시된 경보 메시지를 외부로 전달하는 경보 메시지 전달 인터페이스 부(208)로 이루어진다.
5개의 제어부는 유입 트래픽에 대한 전송 프로토콜을 체크하는 전송 프로토콜 체크부(202), 유입 트래픽을 버퍼링(buffering)하는 유입 트래픽 버퍼(203), 외부로 송신하는 트래픽을 버퍼링하는 송신 트래픽 버퍼(205), 유입 트래픽의 정보와 레퍼런스 패턴 정보와의 비교를 위해 유입 트래픽의 각 필드 정보들을 파싱(parsing)하여 이상 유해 트래픽 감지부(22)로 전달하는 유입 트래픽 파싱부(204)와 이상 유해 트래픽 감지부(22)로부터의 경보 정보와 송신 트래픽 버퍼(205)의 트 래픽 정보를 조합하여 경보 메시지를 생성하는 경보 메시지 생성부(206)로 이루어진다.
5개의 제어부와 3개의 외부 인터페이스 부를 통해, 실시간 트래픽 제어가 가능하며, 이상 유해 트래픽에 대한 실시간 대응(유해 트래픽에 대한 외부 송신 방지 등)을 가능하게 한다.
이상 유해 트래픽 감지부(22)는 유입 트래픽 제어부(20)의 파싱부(204)로부터 파싱된 유입 트래픽 정보를 전달받아 침입 트래픽 유무의 판단을 위한 레퍼런스 패턴과 비교하는 패턴 비교부(221), 레퍼런스 패턴과 일치하는 트래픽의 IP 어드레스를 검색하는 CAM(Content Addressable Memory의 약자로 기억된 내용 일부를 이용하여 데이터에 직접 접근할 수 있는 메모리를 나타내며, 하드웨어 구현상에서 빠른 데이터 검색을 위해서 사용한다) IP 검색부(222), 유입 트래픽의 IP 어드레스의 정보를 관리하는 IP 어드레스 정보 관리부(223)와 IP 어드레스 정보 저장 테이블(224), 유입 트래픽에 포함된 이상 유해 트래픽이 포트 스캔 공격 패턴과 일치하는 트래픽인 경우에 기존 포트 값과 비교하는 포트 값 비교부(225)와 포트 값 저장 테이블(226), 레퍼런스 패턴과 일치하는 이상 유해 트래픽을 카운트하는 카운터(227)와 카운터 테이블(228), 시간 임계치를 체크하는 시간 임계치 체크부(229), 시간 임계치 저장 테이블(2210) 및 시간 임계치 내에 카운터 임계치를 넘은 트래픽에 대한 경로 정보를 생성하는 경보 정보 생성부(2211)로 이루어진다.
레퍼런스 패턴 제공부(24)는 이상 유해 트래픽 감지부(22)가 이상 유해 트래픽의 유무를 판단하기 위한 레퍼런스 패턴(침입 패턴)을 어플리케이션으로부터 입 력받아 이상 유해 트래픽 감지부(22)에 전달하는 기능을 수행하여, 침입 패턴들을 실시간으로(지속적으로) 추가하거나 삭제, 적용하는 등 갱신한다. 여기서 어플리케이션은 레퍼런스 패턴을 관리, 제어하기 위한 것으로, 하드웨어 로직에 적용되는 레퍼런스 패턴에 대한 추가, 수정, 삭제를 수행한다.
도 3a는 도 2에 제시된 이상 유해 트래픽 감지부(22)에 의한 서비스 거부 공격 트래픽의 감지 기능의 구현 절차를 제시한 도면으로 본 방법발명의 바람직한 일실시예의 흐름을 제시한 도면이다.
일반적으로, 서비스 거부 공격 및 분산 서비스 거부 공격은 소수의 목적 시스템들을 목표로 시도되는 공격 형태이므로, 이에 대한 침입 트래픽의 감지는 목적지 IP 어드레스(침입 트래픽이 유입된 곳의 IP 어드레스)를 기반으로 수행된다. 따라서, 개개의 IP 어드레스를 기준으로, 레퍼런스 패턴 제공부(24)에 의해 제공된 레퍼런스 패턴(침입 패턴)의 수만큼 카운터가 설정되고 관리되는 구조 하에서 침입 트래픽의 감지 및 분석을 수행한다.
패턴 비교부(221)는 유입 트래픽 제어부(20)의 유입 트래픽 파싱부(204)로부터 파싱된 유입 트래픽의 정보를 수신하여, 유입 트래픽의 패턴과 레퍼런스 패턴을 비교한다(S301). 비교 결과(S302), 유입 트래픽의 패턴이 레퍼런스 패턴과 일치하면 CAM IP 검색부(222)는 IP 어드레스 정보 저장 테이블(224)에 저장되어 있는 기존의 IP 어드레스를 검색한다(S303). 두 패턴이 일치하지 아니하면 패턴 비교부(221)는 다음으로 유입되는 트래픽의 패턴에 대하여 레퍼런스 패턴과 비교한다(S301).
IP 어드레스 정보 관리부(223)는 CAM IP 검색부(222)에 의해 검색된 기존의 IP 어드레스와 유입 트래픽의 IP 어드레스를 비교하여(S304) 일치하지 않을 경우에는 유입 트래픽에 대한 새로운 IP 어드레스 정보(IP 엔트리 정보)를 생성하여(S305) IP 어드레스 정보 저장 테이블(224)에 신규 저장하고, 생성된 새로운 IP 어드레스와 연관된 모든 카운트 값을 초기화함과 동시에 S301 단계로 회귀한다.
이와 달리, 유입 트래픽의 IP 어드레스가 기존의 IP 어드레스와 일치한다면, IP 어드레스 정보 관리부(223)는 IP 어드레스 정보를 갱신하고(S306), 카운터(227)는 갱신된 IP 어드레스 정보와 연관된 레퍼런스 패턴의 카운트 값을 증가시킨다(S307). 카운터(227)는 증가된 카운트 값과 레퍼런스 패턴의 기 설정된 카운트 임계치를 비교하여(S308), 카운트 임계치에 도달하였다면 경로 정보 생성부(2211)에 유입 트래픽 대한 경보 정보 생성을 요구하고, 카운트 값을 초기화(S309)시키고 S301 단계로 회귀하여 새로운 유입 트래픽에 대한 처리를 한다. 경로 정보 생성부(2211)는 상기 요구를 받아 경로 정보를 생성한다(S310).
카운트 임계치에 도달하지 않았으면, 새로운 유입 트래픽에 대해 S301 단계부터 상기의 절차를 반복하게 된다. 이와 같은 절차를 통해서, 서비스 거부 공격 및 분산 서비스 거부 공격과 같은 이상 유해 트래픽을 실시간으로 감지하게 된다.
도 3b는 도 2에 제시된 이상 유해 트래픽 감지부(22)에 의한 포트 스캔 공격 트래픽 감지 기능의 구현 절차를 제시한 도면으로 본 방법발명의 바람직한 또 다른 일실시예의 흐름을 제시한 도면이다.
일반적으로, 포트 스캔 공격도 서비스 거부 공격과 마찬가지로 소수의 목적 시스템들을 목표로 시도되는 공격 형태이므로 이에 대한 침입 트래픽의 감지 또한 목적지 IP 주소를 기반으로 수행된다. 따라서, 상기 도 3a에 제시된 감지 절차가 그대로 적용될 수 있으나, 포트 스캔 공격의 형태가 목적 시스템의 포트 정보를 얻기 위해서 포트 값을 변화시키면서 수행되는 형태를 갖기 때문에 이전 트래픽들에서 추출된 포트 값과의 비교를 통해서 레퍼런스 패턴의 카운트 값을 증가시키는 절차가 더 요구된다.
즉, IP 어드레스 정보가 갱신(S306)된 후, 포트값 비교부(225)는 포트값 저장 테이블(226)에 있는 포트값과 유입 트래픽의 포트값을 비교하게 된다(S3061). 비교 결과(S3062) 유입 트래픽의 포트값이 포트값 저장 테이블(226)에 존재하는 포트값과 일치한다면, 카운트의 증가 없이 새로운 트래픽 정보를 수신하게 된다(S31). 일치하지 않으면, 포트 값 저장 테이블(226)은 새로운 포트 값이 포함되도록 갱신되고(S3063) 카운터(227)는 레퍼런스 패턴의 카운트 값을 증가시키게 된다(S307). 이외의 절차는 도 3a에서 기술한 내용과 동일하다. 이와 같은 절차를 통해 포트 스캔 공격과 같은 이상 트래픽을 실시간으로 감지하게 된다.
도 4는 이상 유해 트래픽 감지부(22)의 시간 임계치 체크부(229)에서 카운트 값 초기화 기능을 위한 절차를 제시한 도면이다.
도 3a와 도 3b에 언급된 카운트 값 초기화는 시간 임계치 체크부(229)에 의해서도 이루어지는데, 시간 임계치 체크부(229)는, 위에서 언급한 바와 같이, 서비스 거부 공격 및 포트 스캔 공격과 같은 이상 유해 트래픽의 감지 시에 소량의 트래픽에 대한 장기간의 카운트에 의한 잘못된 경보 발생 가능성을 없애기 위해, 레 퍼런스 패턴의 카운터 테이블(228)을 소정의 시간 임계치에 따라 초기화하는 기능을 수행한다. 다시 말하면 유입 트래픽의 패턴이 레퍼런스 패턴과 일치하더라도 유입 트래픽이 소량인 경우에는 이를 카운트하는 데 장기간의 시간이 소요되므로 도 3a와 도 3b에 제시된 침입 트래픽 감지 절차는 소정의 시간내(시간 임계치내)에 이루어지게 한다는 것이다.
초기화 기능을 수행하기 위해서 시간 임계치 체크부(229)는 우선, 레퍼런스 패턴과 연결된 타이머의 시간 값을 초기화(S401)하고, 타이머 작동 후의 시간 값을 각 레퍼런스 패턴의 시간 임계치들과 비교한다(S402). 비교 결과, 시간 값이 특정 레퍼런스 패턴의 시간 임계치 값을 초과하면, 해당 레퍼런스 패턴의 카운트를 초기화(S403)함과 동시에 시간 값도 초기화한다(S401).
시간 값이 특정 레퍼런스 패턴의 시간 임계치 값에 도달하지 않았다면, 타이머의 시간 값 증가에 따른 시간 임계치 값과의 비교를 반복 수행한다. 이와 같은 초기화 절차는 도 3a와 도 3b에 제시된 절차에 공통적으로 적용됨으로써, 카운트 기반의 이상 유해 트래픽 감지 기능의 정확도를 높일 수 있다.
도 5는 이상 유해 트래픽 감지부(22)의 IP 어드레스 관리부(223)에 의한 IP 어드레스 정보 관리를 효율적으로 수행하기 위한 기법을 설명하기 위해 제시한 도면으로 제한된 메모리 자원의 효율적인 사용을 통한 IP 어드레스 정보를 관리하기 위한 기법을 보여준다.
예를 들어, CAM IP 검색부(222)로부터 유입 트래픽의 IP 어드레스에 대한 검색 결과가 7비트인 CAM을 사용한다면, CAM 메모리는 128개의 IP 주소 정보만을 담 을 수 있다. 따라서, 이에 대한 IP 어드레스 정보 저장 테이블(224)의 구성이 128개로 되어야 하며, IP 어드레스 정보 저장 테이블(224)이 IP 어드레스로 모두 채워져 있는 경우에는 유입 트래픽의 IP 어드레스에 대한 유입(출현) 빈도 수와 유지 시간 관리를 통해서 새로운 IP 어드레스의 저장 위치를 지정할 수 있도록 한다.
즉, 128개의 IP 어드레스 정보 저장 테이블(224)이 IP 어드레스로 모두 채워져 있고, 유입 트래픽의 IP 어드레스가 IP 어드레스 저장 테이블(224)에 존재하지 않는 새로운 IP 어드레스라면, 기존 저장된 IP 어드레스 중 하나를 선택하여 재배치할 필요가 있다.
이를 위해, IP 어드레스 정보 저장 테이블(224)은, 도 5에 제시된 바와 같이, 유입 트래픽의 IP 어드레스에 대한 유입 빈도 수에 따라 빈도 수 1 링크(link_0)에서 빈도 수 4 링크(link_3)의 4개의 링크로 구성되며, IP 어드레스 정보 관리부(223)는 각 링크를 유입 트래픽의 IP 어드레스의 유입 빈도 수에 따라 재구성한다. 즉, 처음에는 link_0만 존재하나, link_0에 속한 IP 어드레스 정보의 빈도 수가 2가 된다면, 그 IP 어드레스 정보는 link_1으로 전이된다. 이와 같은 원리로 link_2, link_3까지 전이될 수 있으며, link_3에서는 빈도 수가 증가할 때마다 링크의 순서를 재배치하는 것으로 IP 어드레스를 관리하게 된다. 여기서 링크의 수는 예를 들기 위한 것이며, 트래픽 특성에 따라 조정되어질 수 있는 값이다.
여기에서, 각 링크에서의 IP 어드레스 정보는 유입되는 순서에 따라 배치하여, 각 링크의 시작점에는 해당 링크에서 가장 오래전에 유입된 IP 어드레스 정보가 위치하게 하며 끝으로 갈수록 최근에 유입된 IP 어드레스 정보가 위치하게 한 다. 예를 들어, 유입 트래픽의 IP 어드레스 검색 결과, link_0에 위치한 IP_n(501) 어드레스 정보에 해당하는 어드레스가 CAM IP 검색부(222)에 의한 검색 결과 값으로 된다면, IP_n(501) 어드레스 정보는 빈도 수 증가에 따라서 link_1의 link up(503) 위치에 연결된다.
즉, 이와 같은 절차를 통해, 128개의 엔트리 정보가 모두 사용된다면, 그리고 새로운 IP 어드레스에 대한 주소가 요구된다면, 빈도 수가 가장 적고 가장 오래된 IP 어드레스 정보인 IP_0(500)의 주소가 반환되어, 해당 어드레스에 속하는 CAM 메모리를 유입 트래픽의 IP 어드레스가 포함되도록 갱신하게 되며, 갱신된 IP 어드레스에 대한 IP 어드레스 정보는 New tail(502)로써 해당 링크의 끝 부분에 위치하게 된다.
그러나, 유입 빈도 수 증가에 의해서 상위 빈도 수 링크로 IP 어드레스 정보가 전이되는 경우에는 해당 IP 어드레스에 대한 트래픽의 유입이 더 이상 없을지라도 계속 존재하게 되므로, 각 링크의 시작 위치에 존재하는 IP 어드레스 정보를 유지 시간에 따라 갱신되어야 하는 IP 어드레스 정보로 지정해 줄 필요가 있다.
예를 들어, 도 5에 제시된 바와 같이, link_0(link_1, link_2, link_3)의 시작점에 존재하는 IP 엔트리 정보가 2초(10초, 50초, 100초) 동안 변화하지 않는다면, 새로운 IP 어드레스의 정보를 요구할 시에 이에 대한 IP 어드레스의 정보를 반환하고 새로운 링크 구성을 수행해야 한다. 이와 같은 유지 시간은 예를 들기 위한 것이며, 트래픽 특성에 따라 조정되어질 수 있는 값이다. 이와 같은 IP 어드레스 정보 관리를 통해서, 제한된 메모리 상에서의 IP 어드레스에 대한 관리가 가능해 진다.
도 6은 이상 유해 트래픽 감지부(22)에서 이상 유해 트래픽 감지 기능을 실시간으로 제공하기 위한 각 테이블의 구성 방식을 설명하기 위한 도면이다.
도 6에 제시된 각 테이블(224, 226, 228)을 구성하는 메모리는 9 비트 크기의 어드레스로 검색되는 32 비트 데이터 테이블로, 32 비트 데이터에 대한 512개의 엔트리 저장이 가능하다. 우선, 패턴 비교부(221)는 서비스 거부 공격 패턴이나 포트 스캔 공격 패턴에 대해 레퍼런스 패턴과 비교한 각각의 16 비트의 패턴 비교 결과 값(16 bit detection result)과 해당 패턴을 갖는 유입 트래픽의 32 비트 IP 어드레스(32 bit IP value), 그리고 포트 스캔 공격 패턴인 경우에 유입 트래픽의 16 비트 포트 값(16 bit Port value)을 출력한다.
여기에서 16 비트의 결과 값들은 레퍼런스 패턴이 최대 16개임을 의미하며, 유입 트래픽과 일치되는 레퍼런스 패턴이 존재할 경우 그 레퍼런스 패턴에 해당하는 순서 비트를 1로 설정한 결과 값을 나타낸다. 가령, 유입 트래픽의 패턴이 첫 번째 레퍼런스 패턴과 일치한다면, 결과 값으로 0x0001의 값을 전달하게 된다. 따라서, 이는 존재하는 패턴들에 대한 다중 매칭을 지원할 수 있다.
이와 같은 결과를 바탕으로, CAM IP 검색부(222)는 CAM 메모리의 IP 어드레스를 유입 트래픽의 IP 어드레스와 비교하여, 7 비트의 검색 결과값(7 bit search result)을 출력한다. 도 5에 제시된 바와 같이 이는 128개의 IP 엔트리 저장 테이블(224)에 대한 주소 인덱스(index)를 의미한다. 여기에서, IP 엔트리 저장 테이블(224)은 9 비트 크기의 주소를 가져야 하나, 128개의 엔트리 관리를 위해서 8번째 와 9번째 비트는 0으로 채운 주소를 사용한다.
이를 바탕으로 IP 어드레스 정보 저장 테이블(224)이 갱신되며, 이와 연결된 포트 값 저장 테이블(226) 및 카운터 테이블(228)의 정보도 갱신된다. 여기에서 포트 값 저장 테이블(226)은 포트 스캔 공격 감지 시에만 사용되며, 해당 주소 값에 해당하는 메모리 위치에 이전 포트 값을 4 개정도 보관하면서 유입 트래픽의 포트 값과 비교하면서 포트 값을 갱신한다. 포트 값은 16 비트이므로, 2개의 메모리를 사용하여 한번에 4 개의 포트 값을 읽고 쓸 수 있는 구조를 갖는다.
카운터 테이블(228)은 16개의 레퍼런스 패턴에 대한 카운터를 모두 관리해야 하므로, 16비트 카운트 값을 16개 생성한다. 이를 위해서, 2개의 메모리를 사용하며 메모리 주소의 8번째와 9번째 비트를 조절함으로써, 각 패턴에 대한 카운트 값을 관리하게 된다. 즉, 위의 비트 값이 00인 메모리 주소 값에는 첫 번째부터 네 번째까지의 패턴 카운트 값이 저장되며, 01인 메모리 주소 값에는 다섯 번째부터 여덟 번째까지의 패턴 카운트 값이 저장된다. 나머지 7비트의 주소 값은 CAM IP 검색부(222)의 결과를 사용한다. 이와 같은 구조를 통해서, 특정 IP 어드레스에 대한 패턴들의 카운트 값을 관리하게 된다.
CAM IP 검색부(222)의 검색 실행 결과, 존재하지 않는 IP 어드레스일 경우에는 IP 어드레스 정보 저장 테이블(224)로부터 반환되는 갱신된 IP 어드레스 정보에 따라 CAM 메모리, 포트 값 저장 테이블(226), 카운터 테이블(228) 등을 초기화하게 된다. 이와 같은 메모리 구성을 통해서, 네트워크 상의 이상 유해 트래픽의 감지를 수행하게 된다.
이처럼 본 발명은 실제 네트워크 공격 트래픽을 받아서 그 트래픽 양을 측정하고 이에 대한 트래픽 양 임계치 및 시간 임계치에 따른 이상 유해 트래픽을 휴리스틱 분석 기반으로 감지하는 장치 및 방법을 제공하는 것이다.
본 방법발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다.
컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이제까지 본 발명에 대하여 그 바람직한 실시예를 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다.
그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 균등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
상술한 바와 같이, 본 발명에서는 기가급의 고속 네트워크 환경에서의 이상 트래픽을 실시간으로 감지하고 대응하도록 하기 위해서, 휴리스틱 분석 기반으로 이상 유해 트래픽을 감지하는 방안을 제시한다. 즉, 트래픽 양과 시간 임계치에 기반한 휴리스틱 분석 기법을 적용함으로써, 서비스 거부 공격 및 포트 스캔 공격과 같은 네트워크 상의 이상 트래픽을 보다 효율적으로 정확하게 감지해 내는 기법을 제공한다.
따라서, 본 발명은 보다 빠르고 정확한 이상 트래픽 감지 기능을 수행하게 함으로써, 이상 트래픽에 대한 광역 망에서의 효율적인 대응이 가능케 하며, 이로 인한 네트워크 상의 피해를 최소화하는 것을 도와준다.

Claims (11)

  1. 파싱된 유입 트래픽의 트래픽 정보를 전달받아 상기 유입 트래픽의 패턴과 레퍼런스 패턴을 비교하여 상기 유입 트래픽의 패턴과 일치하는 레퍼런스 패턴의 카운트 값을 증가시켜 상기 증가된 카운트 값이 상기 레퍼런스 패턴의 카운트 임계치 및 시간 임계치에 해당하는지 여부를 체크하여 상기 유입 트래픽에 이상 유해 트래픽이 있는지를 감지하는 이상 유해 트래픽 감지부; 및
    상기 이상 유해 트래픽의 유무를 판단하기 위한 레퍼런스 패턴을 상기 이상 유해 트래픽 감지부에 제공하는 레퍼런스 패턴 제공부를 포함하는 것을 특징으로 하는 네트워크 상에서의 이상 유해 트래픽 감지 장치.
  2. 제 1 항에 있어서, 상기 이상 유해 트래픽 감지부는
    상기 파싱된 유입 트래픽의 정보를 전달받아 상기 유입 트래픽의 패턴과 상기 레퍼런스 패턴을 비교하여 상기 유입 트래픽에 서비스 거부 공격 또는 분산 서비스 거부 공격 트래픽이 있는지를 판단하는 패턴 비교부;
    상기 두 패턴이 일치하는 경우, 상기 유입 트래픽의 IP 어드레스에 해당하는 상기 감지부에 기 설정된 IP 어드레스를 검색하는 CAM IP 검색부;
    상기 해당되는 IP 어드레스가 검색된 경우, 상기 유입 트래픽의 패턴과 일치하는 레퍼런스 패턴의 카운트 값을 증가시켜 상기 증가된 카운트 값이 상기 레퍼런스 패턴의 카운트 임계치에 도달하였는지를 체크하는 카운터;
    상기 시간 임계치를 체크하는 시간 임계치 체크부; 및
    상기 카운트 임계치와 상기 시간 임계치를 넘은 경우, 상기 유입 트래픽에 대한 경로 정보를 생성하는 경보 정보 생성부를 포함하여, 서비스 거부 공격 트래픽 또는 분산 서비스 거부 공격 트래픽을 감지하는 것을 특징으로 하는 네트워크 상에서의 이상 유해 트래픽 감지 장치.
  3. 제 1 항에 있어서, 상기 이상 유해 트래픽 감지부는
    상기 파싱된 유입 트래픽의 정보를 전달받아 상기 유입 트래픽의 패턴과 상기 레퍼런스 패턴을 비교하여 상기 유입 트래픽에 상기 거부 공격 트래픽이 있는지를 판단하는 패턴 비교부;
    상기 두 패턴이 일치하는 경우, 상기 유입 트래픽의 IP 어드레스에 해당하는 상기 감지부에 기 설정된 IP 어드레스를 검색하는 CAM IP 검색부;
    상기 해당되는 IP 어드레스가 검색된 경우, 기 설정된 포트 값과 상기 유입 트래픽의 포트 값을 비교하는 포트값 비교부;
    상기 두 포트 값이 일치하지 아니하는 경우, 상기 유입 트래픽의 패턴과 일치하는 레퍼런스 패턴의 카운트 값을 증가시켜 상기 증가된 카운트 값이 상기 레퍼런스 패턴의 카운트 임계치에 도달하였는지를 체크하는 카운터;
    상기 시간 임계치를 체크하는 시간 임계치 체크부; 및
    상기 카운트 임계치와 상기 시간 임계치를 넘은 경우, 상기 유입 트래픽에 대한 경로 정보를 생성하는 경보 정보 생성부를 포함하여, 포트 스캔 공격 트래픽을 감지하는 것을 특징으로 하는 네트워크 상에서의 이상 유해 트래픽 감지 장치.
  4. 제 2 항에 있어서,
    상기 검색 결과, 상기 유입 트래픽의 IP 어드레스와 상기 기 설정된 IP 어드레스가 일치하지 않는다고 경우에는 새로운 IP 어드레스의 정보를 생성하며, 일치하는 경우에는 상기 기 설정된 IP 어드레스의 정보를 갱신하는 IP 어드레스 관리부; 및
    상기 IP 어드레스의 정보를 저장하는 IP 어드레스 정보 저장 테이블을 더 포함하고, 상기 IP 어드레스 관리부가 상기 유입 트래픽의 IP 어드레스의 정보에 대한 유입 빈도 수 와 상기 기 설정된 IP 어드레스의 정보의 유지 시간 관리를 통해 신규 유입되는 IP 어드레스의 상기 저장 테이블에서의 저장 위치를 지정할 수 있도록 하는 것을 특징으로 하는 네트워크 상에서의 이상 유해 트래픽 감지 장치.
  5. 제 4 항에 있어서, 상기 IP 어드레스 저장 테이블은 상기 유입 빈도 수에 따른 링크로 구현되고, 상기 유입 트래픽의 IP 어드레스의 정보는 자신의 유입 빈도 수가 증가하는 경우 자신이 속해있는 빈도 수 링크보다 상위 빈도 수 링크로 전이되며, 상기 유지 시간은 상기 각 링크마다 지정되는 것을 특징으로 하는 네트워크 상에서의 이상 유해 트래픽 감지 장치.
  6. 제 5 항에 있어서, 상기 각 링크에 있는 IP 어드레스의 정보 중 가장 오래된 정보는 자신과 일치하는 정보가 상기 유지 시간내에 유입되지 아니하면 삭제되는 것을 특징으로 하는 네트워크 상에서의 이상 유해 트래픽 감지 장치.
  7. 제 3 항에 있어서,
    상기 검색 결과, 상기 유입 트래픽의 IP 어드레스와 상기 기 설정된 IP 어드레스가 일치하지 않는다고 경우에는 새로운 IP 어드레스의 정보를 생성하며, 일치하는 경우에는 상기 기 설정된 IP 어드레스의 정보를 갱신하는 IP 어드레스 관리부; 및
    상기 IP 어드레스의 정보를 저장하는 IP 어드레스 정보 저장 테이블을 더 포함하고, 상기 IP 어드레스 관리부가 상기 유입 트래픽의 IP 어드레스의 정보에 대한 유입 빈도 수 와 상기 기 설정된 IP 어드레스의 정보의 유지 시간 관리를 통해 신규 유입되는 IP 어드레스의 상기 저장 테이블에서의 저장 위치를 지정할 수 있도록 하는 것을 특징으로 하는 네트워크 상에서의 이상 유해 트래픽 감지 장치.
  8. 제 7 항에 있어서, 상기 IP 어드레스 저장 테이블은 상기 유입 빈도 수에 따른 링크로 구현되고, 상기 유입 트래픽의 IP 어드레스의 정보는 자신의 유입 빈도 수가 증가하는 경우 자신이 속해있는 빈도 수 링크보다 상위 빈도 수 링크로 전이되며, 상기 유지 시간은 상기 각 링크마다 지정되는 것을 특징으로 하는 네트워크 상에서의 이상 유해 트래픽 감지 장치.
  9. 제 8 항에 있어서, 상기 각 링크에 있는 IP 어드레스의 정보 중 가장 오래된 정보는 자신과 일치하는 정보가 상기 유지 시간내에 유입되지 아니하면 삭제되는 것을 특징으로 하는 네트워크 상에서의 이상 유해 트래픽 감지 장치.
  10. (a)파싱된 유입 트래픽의 패턴과 상기 레퍼런스 패턴을 비교하여 상기 유입 트래픽에 이상 유해 트래픽이 있는지를 판단하는 단계;
    (b)상기 두 패턴이 일치한다고 판단하는 경우, 상기 유입 트래픽의 IP 어드레스에 해당하는 기 설정된 IP 어드레스를 검색하는 단계;
    (c)상기 해당되는 IP 어드레스가 검색된 경우, 상기 유입 트래픽의 패턴과 일치하는 레퍼런스 패턴의 카운트 값을 증가시켜 상기 증가된 카운트 값이 상기 레퍼런스 패턴의 카운트 임계치에 도달하였는지를 체크하는 단계;
    (d)상기 시간 임계치를 체크하는 단계; 및
    (e)상기 카운트 임계치와 상기 시간 임계치를 초과하는 경우, 상기 유입 트래픽에 대한 경로 정보를 생성하는 단계를 포함하는 것을 특징으로 하는 네트워크 상에서의 이상 유해 트래픽 감지 방법.
  11. (a)파싱된 유입 트래픽의 패턴과 상기 레퍼런스 패턴을 비교하여 상기 유입 트래픽에 이상 유해 트래픽이 있는지를 판단하는 단계;
    (b)상기 두 패턴이 일치하는 경우, 상기 유입 트래픽의 IP 어드레스에 해당하는 기 설정된 IP 어드레스를 검색하는 단계;
    (c)상기 해당되는 IP 어드레스가 검색된 경우, 기 설정된 포트 값과 상기 유입 트래픽의 포트 값을 비교하는 단계;
    (d)상기 두 포트 값이 일치하지 아니하는 경우, 상기 유입 트래픽의 패턴과 일치하는 레퍼런스 패턴의 카운트 값을 증가시켜 상기 증가된 카운트 값이 상기 레퍼런스 패턴의 카운트 임계치에 도달하였는지를 체크하는 단계;
    (e)상기 시간 임계치를 체크하는 단계; 및
    (f)상기 카운트 임계치와 상기 시간 임계치를 넘은 경우, 상기 유입 트래픽에 대한 경로 정보를 생성하는 단계를 포함하는 것을 특징으로 하는 네트워크 상에서의 이상 유해 트래픽 감지 방법.
KR1020050022197A 2004-12-14 2005-03-17 네트워크 상에서 이상 유해 트래픽 감지 장치 및 그 방법 KR100687736B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020040105425 2004-12-14
KR20040105425 2004-12-14

Publications (2)

Publication Number Publication Date
KR20060067077A KR20060067077A (ko) 2006-06-19
KR100687736B1 true KR100687736B1 (ko) 2007-02-27

Family

ID=37161698

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050022197A KR100687736B1 (ko) 2004-12-14 2005-03-17 네트워크 상에서 이상 유해 트래픽 감지 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR100687736B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230050795A (ko) * 2021-10-08 2023-04-17 한국전자통신연구원 NDN 네트워크에서 DDoS 공격 대응 방법 및 장치

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101290042B1 (ko) * 2007-09-03 2013-07-30 주식회사 엘지씨엔에스 웜 스캔 탐지 장치 및 방법
KR101380292B1 (ko) * 2011-04-08 2014-04-14 주식회사 케이티 링크 절체를 이용한 경제적인 시분할 DDoS 탐지 방법 및 시스템
KR101139537B1 (ko) * 2011-10-31 2012-05-02 한국인터넷진흥원 이동통신망의 스캐닝 트래픽 탐지방법
KR102380259B1 (ko) * 2020-11-20 2022-03-30 주식회사 윈스 모바일 코어망에서의 사용자 위치 정보 탈취를 위한 다이어미터 공격 탐지 방법 및 장치

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
KR20030052511A (ko) * 2001-12-21 2003-06-27 한국전자통신연구원 가변적인 보안 상황을 반영하는 보안 등급 설정방법 및이를 위한 기록 매체

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
KR20030052511A (ko) * 2001-12-21 2003-06-27 한국전자통신연구원 가변적인 보안 상황을 반영하는 보안 등급 설정방법 및이를 위한 기록 매체

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
1020000072707 *
1020030052511 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230050795A (ko) * 2021-10-08 2023-04-17 한국전자통신연구원 NDN 네트워크에서 DDoS 공격 대응 방법 및 장치
KR102651987B1 (ko) * 2021-10-08 2024-03-27 한국전자통신연구원 NDN 네트워크에서 DDoS 공격 대응 방법 및 장치

Also Published As

Publication number Publication date
KR20060067077A (ko) 2006-06-19

Similar Documents

Publication Publication Date Title
US11509534B2 (en) Collection of error packet information for network policy enforcement
US7320142B1 (en) Method and system for configurable network intrusion detection
KR101038387B1 (ko) 원치 않는 트래픽 검출 방법 및 장치
KR101010465B1 (ko) 엔드포인트 리소스를 사용하는 네트워크 보안 요소
US7703138B2 (en) Use of application signature to identify trusted traffic
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
US8326881B2 (en) Detection of network security breaches based on analysis of network record logs
KR100622670B1 (ko) 알려지지 않은 네트워크 공격에 대한 실시간 공격 패턴 검출 시스템 및 그 방법
CN101123492B (zh) 检测扫描攻击的方法和设备
Zhou et al. Exploiting the Vulnerability of Flow Table Overflow in Software‐Defined Network: Attack Model, Evaluation, and Defense
US20060198375A1 (en) Method and apparatus for pattern matching based on packet reassembly
US20070245417A1 (en) Malicious Attack Detection System and An Associated Method of Use
US20030115485A1 (en) Hash-based systems and methods for detecting, preventing, and tracing network worms and viruses
US8336098B2 (en) Method and apparatus for classifying harmful packet
KR100687736B1 (ko) 네트워크 상에서 이상 유해 트래픽 감지 장치 및 그 방법
Joëlle et al. Strategies for detecting and mitigating DDoS attacks in SDN: A survey
US20170257398A1 (en) Ips switch system and processing method
KR100554172B1 (ko) 네트워크 보안성을 강화한 무결성 관리 시스템, 이를구비한 무결성 네트워크 시스템 및 그 방법
CN112600844A (zh) 一种数据的安全检测方法、装置、存储介质及电子设备
US20060018262A1 (en) Method, system and program for automatically detecting distributed port scans in computer networks
JP7172104B2 (ja) ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法
Shan-Shan et al. The APT detection method based on attack tree for SDN
US7900255B1 (en) Pattern matching system, method and computer program product
KR100656340B1 (ko) 비정상 트래픽 정보 분석 장치 및 그 방법
KR100951930B1 (ko) 부적절한 패킷의 분류 방법 및 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110131

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20111208

Year of fee payment: 20