KR100728446B1 - Hardware based intruding protection device, system and method - Google Patents
Hardware based intruding protection device, system and method Download PDFInfo
- Publication number
- KR100728446B1 KR100728446B1 KR1020050066257A KR20050066257A KR100728446B1 KR 100728446 B1 KR100728446 B1 KR 100728446B1 KR 1020050066257 A KR1020050066257 A KR 1020050066257A KR 20050066257 A KR20050066257 A KR 20050066257A KR 100728446 B1 KR100728446 B1 KR 100728446B1
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- intrusion
- intrusion prevention
- pattern matching
- session
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 230000002265 prevention Effects 0.000 claims abstract description 52
- 238000001514 detection method Methods 0.000 claims abstract description 42
- 238000007781 pre-processing Methods 0.000 claims abstract description 30
- 230000002159 abnormal effect Effects 0.000 claims abstract description 21
- 230000008569 process Effects 0.000 claims abstract description 21
- 230000000903 blocking effect Effects 0.000 claims description 9
- 238000004891 communication Methods 0.000 claims description 6
- 238000013467 fragmentation Methods 0.000 claims description 4
- 238000006062 fragmentation reaction Methods 0.000 claims description 4
- 230000011218 segmentation Effects 0.000 claims description 4
- 238000002360 preparation method Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 abstract description 7
- 230000009471 action Effects 0.000 abstract description 6
- 230000000694 effects Effects 0.000 abstract description 2
- 238000007726 management method Methods 0.000 description 19
- 238000010586 diagram Methods 0.000 description 4
- 238000007689 inspection Methods 0.000 description 3
- 230000006798 recombination Effects 0.000 description 3
- 238000005215 recombination Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0896—Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
지능형복합칩(SoC; System on Chip)을 이용한 하드웨어 기반의 침입방지장치, 시스템 및 방법이 제공된다. 이를 위한 침입방지장치는 입출력 인터페이스를 통해 입력된 패킷으로부터 비정상 세션 또는 유해 트래픽을 감지하는 세션/트래픽 컨트롤러와, 패턴매칭을 대비한 소정의 전처리 프로세스를 수행하는 전처리기와, 전처리된 패킷에 대해 패턴매칭을 수행하는 패턴매칭 엔진과, 침입 탐지된 패킷에 대해 소정의 침입방지조치를 수행하는 대응 엔진 및 정상 패킷으로 판단되더라도 대역폭 기준을 초과하는지 여부를 한 번 더 판단하는 대역폭 관리기를 포함한다. 여기서 특히 상기 세션/트래픽 컨트롤러와 전처리기는 지능형복합칩(SoC)으로 구현된다. 본 발명에 의하면 침입탐지 프로세스를 원칩으로 구현하여 처리 속도를 대폭 향상시킬 수 있을 뿐만 아니라 패턴매칭 외에 대역폭 관리까지 함께 수행하여 침입 방지 효과를 극대화할 수 있다.Provided are a hardware-based intrusion prevention apparatus, system, and method using an intelligent system on chip (SoC). An intrusion prevention device for this purpose includes a session / traffic controller that detects abnormal sessions or harmful traffic from packets input through an input / output interface, a preprocessor that performs a predetermined preprocessing process for pattern matching, and pattern matching on preprocessed packets. And a pattern matching engine for performing the operation, a corresponding engine for performing a predetermined intrusion prevention action on the intrusion-detected packet, and a bandwidth manager for determining once more whether the bandwidth criterion is exceeded even if it is determined to be a normal packet. In particular, the session / traffic controller and the preprocessor are implemented as an intelligent complex chip (SoC). According to the present invention, the intrusion detection process can be implemented in one chip, thereby greatly improving the processing speed, and also performing bandwidth management in addition to pattern matching to maximize the intrusion prevention effect.
침입방지시스템, IPS, IDS, SoC, 패턴매칭, 대역폭, 세션, 트래픽 Intrusion Prevention System, IPS, IDS, SoC, Pattern Matching, Bandwidth, Session, Traffic
Description
도 1은 종래 침입방지시스템의 기능별 내부 블록도.1 is an internal block diagram of a function of a conventional intrusion prevention system.
도 2는 본 발명에 의한 침입탐지장치 및 시스템의 기능별 내부 블록도.Figure 2 is an internal block diagram of the function of the intrusion detection apparatus and system according to the present invention.
도 3은 본 발명에 의한 침입탐지방법의 각 단계를 도시한 플로우챠트.3 is a flowchart showing each step of the intrusion detection method according to the present invention.
본 발명은 지능형복합칩(SoC; System on Chip)을 이용한 하드웨어 기반의 침입방지장치, 시스템 및 방법에 관한 것으로서, 특히 본 발명에 의한 침입방지장치는 입출력 인터페이스를 통해 입력된 패킷으로부터 비정상 세션 또는 유해 트래픽을 감지하는 세션/트래픽 컨트롤러와, 패턴매칭을 대비한 소정의 전처리 프로세스를 수행하는 전처리기와, 전처리된 패킷에 대해 패턴매칭을 수행하는 패턴매칭 엔진 및 침입 탐지된 패킷에 대해 소정의 침입방지조치를 수행하는 대응 엔진을 포함하여 이루어지며 여기에 정상 패킷으로 판단되더라도 대역폭 기준을 초과하는지 여 부를 한 번 더 판단하는 대역폭 관리기를 더 포함할 수 있다.The present invention relates to a hardware-based intrusion prevention apparatus, system and method using an intelligent system on chip (SoC), in particular, the intrusion prevention apparatus according to the present invention is an abnormal session or harmful from a packet input through the input and output interface A session / traffic controller that detects traffic, a preprocessor that performs a predetermined preprocessing process for pattern matching, a pattern matching engine that performs pattern matching on preprocessed packets, and predetermined intrusion prevention measures for intrusion-detected packets. It may further include a bandwidth manager that is made to include a corresponding engine for performing the operation and determines whether or not it exceeds the bandwidth criteria even if it is determined to be a normal packet.
근자에 컴퓨터의 대중화와 인터넷의 꾸준한 보급에 힘입어 전자 상거래, 전자 메일 등 다양한 전자 거래가 활성화되고 있으나, 그에 따라 특정 시스템에 불법으로 침입하여 중요 자료를 도용하거나, 컴퓨터 바이러스 등과 같은 유해 데이터를 유포시켜 전산망을 마비시키는 등과 같은 부작용 또한 무시할 수 없는 상황에 직면하고 있다.In recent years, due to the popularization of computers and the steady spread of the Internet, various electronic transactions such as e-commerce and e-mail have been activated, but accordingly, they illegally invade specific systems to steal important data or distribute harmful data such as computer viruses. Side effects such as paralyzing the network are also faced with a situation that cannot be ignored.
이러한 문제점을 해결하기 위한 대안으로 방화벽이나 침입 탐지/방지 시스템(IDS;Intrusion Detection System/IPS;Intrusion Protection System)이 제안되고 있는바, 이는 외부망 또는 내부망에서의 허가되지 않은 네트워크 침입을 막거나, 침입으로 알려진 각종 패턴을 데이터베이스화하여 그와 동일한 패킷을 차단하는 것을 각각 그 골자로 하고 있다.In order to solve this problem, a firewall or an intrusion detection system (IDS; Intrusion Protection System) has been proposed, which prevents unauthorized network intrusion from the external network or the internal network. In other words, database of various patterns known as intrusion are made by blocking the same packet.
여기서 상기 침입방지시스템의 종래 동작 방식을 알아보고 그에 따른 문제점을 함께 살펴보도록 한다. 참고로, 도 1은 이와 같은 종래의 침입방지시스템의 기능별 내부 블록도를 도시하고 있다.Herein, the conventional operation method of the intrusion prevention system will be described and the problems thereof will be examined together. For reference, Figure 1 shows an internal block diagram for each function of such a conventional intrusion prevention system.
입출력 인터페이스의 입력 PHY(110)를 통해 패킷이 입력되면 제 1 보안모듈로 전달되어 소정의 패턴 정보가 구비된 패턴매칭 엔진(120)을 통해 침입 여부가 1차적으로 탐지된다. 만약 여기서 침입 패킷으로 판단된 경우 대응 엔진(130)을 통해 소정의 침입방지조치가 취해지지만, 정상 패킷으로 판단된 경우라면 PCI 등의 인터페이스(140)를 통해 연결된 제 2 보안모듈로 전송되고 이곳 저장부(160)에 구비되어 있는 후처리 프로그램을 통해 패턴 매칭으로 탐지할 수 없었던 DoS, DDoS 등의 동적 공격이 2차적으로 탐지된다. 이러한 후처리 프로그램은 제 2 보안모듈의 중앙처리장치(150)에 의해 구동된다.When a packet is input through the
이와 같은 종래의 침입방지시스템에 의하면 제 2 보안모듈에서의 동적 공격 여부 탐지 절차는 후처리 프로그램에 의해 소프트웨어적으로 처리되므로 그 처리 속도에 한계가 있어 갈수록 대용량화되어 가는 네트워크 환경에 적절치 못하다는 문제점이 있고, 제 1 보안모듈에서의 판단 후에 PCI를 통해 제 2 보안모듈로의 탐지 의뢰를 하고 그에 따른 결과값을 통지받는 데까지 무시할 수 없는 시간적인 갭이 발생하여 더더욱 탐지 프로세스의 효율을 떨어뜨리는 문제점이 있었다.According to the conventional intrusion prevention system, the dynamic attack detection procedure in the second security module is processed by software by a post-processing program, so the processing speed is limited, which is not suitable for a network environment that is getting larger. In addition, there is a time gap that cannot be ignored until the detection request from the first security module to the second security module through PCI is notified and the result value is notified, further reducing the efficiency of the detection process. there was.
또한, 패턴매칭에 의해서는 걸러질 수 없는 다양한 회피 기법이 등장한 시점에서 단순히 패턴매칭 엔진만으로 침입 여부를 탐지하는 데에는 한계가 있을 수밖에 없으나 이에 대한 대비책이 없다는 점에 문제가 있었다.In addition, when various evasion techniques that cannot be filtered out by pattern matching appear, there is a limitation in detecting whether or not an invasion is performed using only the pattern matching engine, but there is a problem in that there is no countermeasure.
또한, 네트워크를 불안정하게 하는 요소로서 공격성 패킷 외에 과도하게 네트워크 자원을 독점하여 네트워크를 폭주하게 하는 이상 트래픽도 고려해야 함에도 이에 대한 대책이 마련되지 않아 불완전한 보안 기기에 머무를 수밖에 없었다.In addition, even though the traffic should be considered as an element that destabilizes the network and excessively monopolizes the network resources in addition to the aggressive packets, no countermeasures have been taken. Therefore, it was necessary to stay in an incomplete security device.
또한, 상기 제 1 보안모듈 및 제 2 보안모듈에 의해서도 탐지되지 않은 침입 패킷이나 유해 트래픽은 그대로 바이패스 되는바, 이에 대해 관리자가 추가적으로 보안 정책을 확장할 수 있는 방법이 없었으므로 나날이 진화해가는 공격 시도에 능동적으로 대처할 수 없다는 문제점이 있었다.In addition, intrusion packets or harmful traffic not detected by the first security module and the second security module are bypassed as they are, and there is no way for the administrator to further extend the security policy. There was a problem that it could not actively cope with the attempt.
본 발명은 위와 같은 문제점을 해결하기 위해 제안된 것으로서, 세션 관리 및 트래픽 관리를 침입탐지장치에 하드웨어로 구현함으로써 대용량 네트워크 환경에 걸맞도록 침입 탐지의 속도를 최대한 향상시키는 데에 그 목적이 있다.The present invention has been proposed to solve the above problems, and the object of the present invention is to improve the speed of intrusion detection to the maximum in accordance with a large-capacity network environment by implementing session management and traffic management in hardware in the intrusion detection apparatus.
본 발명의 다른 목적은 패턴매칭에 앞서 소정의 전처리 과정을 거치도록 함으로써 패턴매칭의 정확도를 극대화하는 데에 있다.Another object of the present invention is to maximize the accuracy of pattern matching by undergoing a predetermined pretreatment process prior to pattern matching.
본 발명의 다른 목적은 정상으로 판정된 경우라도 소정의 정책에 따른 대역폭 기준을 초과하는지 여부를 추가로 검사함으로써 이상 트래픽에 의한 폭주를 방지하는 데에 있다.Another object of the present invention is to prevent congestion caused by abnormal traffic by further checking whether the bandwidth criteria according to a predetermined policy is exceeded even when determined to be normal.
본 발명의 다른 목적은 상기 세션/트래픽 관리 및 전처리 과정을 SoC로 구현함으로써 그 처리 속도를 극대화하는 데에 있다.Another object of the present invention is to maximize the processing speed by implementing the session / traffic management and pre-processing in SoC.
본 발명의 다른 목적은 별도의 보안 정책을 구비하는 외부보안기기를 보조적으로 연결하여 보안 기능을 확장하는 데에 있다.Another object of the present invention is to extend the security function by auxiliary connection of an external security device having a separate security policy.
위와 같은 목적을 달성하기 위한 본 발명의 침입방지장치는, 외부망 또는 내부망으로부터 패킷을 입력받고, 침입탐지절차를 마친 패킷을 각각 내부망 또는 외부망으로 출력하기 위한 입출력 인터페이스와, 상기 입출력 인터페이스에 입력된 패킷으로부터 비정상 세션 또는 유해 트래픽 여부를 판단하는 세션/트래픽 컨트롤러와, 상기 세션/트래픽 컨트롤러로부터 전달받은 패킷에 대해 패턴매칭을 대비한 소정의 전처리 프로세스를 수행하는 전처리기와, 상기 전처리 프로세스를 거친 패 킷에 대해 패턴매칭을 수행하여 침입 여부를 판단하는 패턴매칭 엔진 및 상기 세션/트래픽 컨트롤러 또는 패턴매칭 엔진으로부터 침입 탐지가 통보되면 해당 패킷에 대해 소정의 침입방지조치를 수행하는 대응 엔진을 포함하여 이루어진다.Intrusion prevention apparatus of the present invention for achieving the above object, the input and output interface for receiving a packet from the external network or the internal network, and outputs the packet after the intrusion detection procedure to the internal or external network, respectively, the input and output interface A session / traffic controller that determines whether an abnormal session or harmful traffic is input from a packet input to the packet, a preprocessor that performs a predetermined preprocessing process for pattern matching on the packet received from the session / traffic controller, and the preprocessing process A pattern matching engine that determines whether an intrusion is performed by performing pattern matching on the rough packet, and a corresponding engine that performs a predetermined intrusion prevention action on the packet when intrusion detection is notified from the session / traffic controller or the pattern matching engine. It is done by
여기서, 상기 세션/트래픽 컨트롤러 또는 전처리기 중 하나 이상은 지능형복합칩(SoC; System on Chip)으로 구현될 수 있다.Here, at least one of the session / traffic controller or the preprocessor may be implemented as an intelligent system on chip (SoC).
또한, 상기 패턴매칭 엔진에서 정상으로 판단된 패킷에 대하여 미리 정의된 대역폭 기준의 초과 여부를 판단하고, 해당 기준 초과시 상기 대응 엔진에 소정의 침입방지조치를 요청하는 대역폭 관리기가 더 포함될 수 있다.The apparatus may further include a bandwidth manager for determining whether a predetermined bandwidth criterion is exceeded for a packet determined to be normal in the pattern matching engine, and requesting a predetermined intrusion prevention measure to the corresponding engine when the criterion is exceeded.
또한, 상기 입출력 인터페이스를 통해 입력된 패킷을 외부보안장치로 미러링하고, 해당 외부보안장치로부터 침입 여부 판단 결과를 전달받아 상기 대응 엔진으로 통보하기 위한 보조탐지모듈 및 상기 외부보안장치와 데이터 통신을 하기 위한 통신 포트가 더 포함될 수 있다.In addition, mirror the packet input through the input and output interface to an external security device, and receives data of the intrusion determination result from the external security device to communicate with the auxiliary detection module and the external security device for notifying the corresponding engine. Communication port for may be further included.
한편, 위와 같은 목적을 달성하기 위한 본 발명의 침입방지시스템은, 상기의 침입방지장치와, 상기 침입방지장치와 소정의 인터페이스로 연결되어 있으면서 상기 침입방지장치에 적용할 탐지 정책 및 로그 기록의 관리를 수행하기 위한 관리 호스트를 포함하여 이루어진다.On the other hand, the intrusion prevention system of the present invention for achieving the above object, the intrusion prevention apparatus and the management of the detection policy and log records to be applied to the intrusion prevention apparatus while being connected to the intrusion prevention apparatus and a predetermined interface. It includes a management host to perform the.
이하, 본 발명의 명세서에 첨부된 도면을 참고하여 바람직한 실시예에 대해 상세하게 살펴보도록 한다. 우선 각 도면의 구성요소들에 대해 참조부호를 부가함에 있어서, 동일한 구성요소들에 한해서는 비록 다른 도면상에 표시되더라도 가능 한 한 동일한 부호로 표기되었음에 유의하여야 한다. 그리고 본 발명을 설명함에 있어서, 관련된 공지 기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.Hereinafter, exemplary embodiments will be described in detail with reference to the accompanying drawings. First, in adding reference numerals to the elements of each drawing, it should be noted that the same elements are denoted by the same reference numerals as much as possible even if they are shown in different drawings. In the following description of the present invention, if it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted.
도 2는 본 발명에 의한 침입탐지장치 및 시스템의 기능별 내부 블록도이다.2 is an internal block diagram for each function of the intrusion detection apparatus and system according to the present invention.
입출력 인터페이스(210)는 물리적인 수준에서 입력 PHY(211)를 통해 외부망 또는 내부망으로부터 유입되는 패킷을 입력받는 한편, 본 발명에 따라 각종 침입탐지절차를 마친 패킷은 출력 PHY(212)를 통하여 내부망 또는 외부망으로 출력된다.While the input /
세션/트래픽 컨트롤러(220)는 입출력 인터페이스(210)로 입력된 패킷을 분석하여 비정상 세션이 형성되었는지 여부나 유해 트래픽이 유입되었는지 여부를 판단한다. The session /
여기서 세션 제어라 함은 네트워크 트래픽 중 특히 TCP(Transfer Control Protocol) 트래픽에 대한 세션 관리를 의미한다. TCP 프로토콜은 연결 지향(connection-based) 프로토콜로서 데이터의 송수신에 앞서 3-WAY 핸드쉐이킹 과정을 거쳐 연결을 설정함으로써 세션을 형성하는데, 이와 같은 정상적인 세션 형성 과정을 거치지 않은 채 데이터를 송수신하려는 시도 내지 이러한 시도를 구성하는 TCP 패킷들은 침입 의도가 있는 것으로 판단하는 것이다. 또한, 네트워크 트래픽의 많은 부분을 차지하는 TCP 세션에 대하여는 각 패킷 흐름(flow) 당 송수신되는 트래픽의 양이나 IP 주소/포트 번호/IDLE 시간 등을 모니터링하고 있으면서, 위와 같은 비정상 세션이 발생하는 경우에 있어서의 패킷 특성 내지 해당 패킷 정보를 데이터베이스화하고 이를 통해 차후 비정상 세션을 용이하게 판별해 내기 위한 소정 의 기준을 마련하는 기능을 더 담당할 수도 있다. 물론, 기본적으로는 상기 모니터링된 해당 패킷 정보를 관리 호스트(280)에 전송하여 관리 호스트(280)에서 소정의 데이터베이스 및 상기 비정상 세션 판별 기준을 유지 관리토록 한다.Here, session control refers to session management of network traffic, particularly TCP (Transfer Control Protocol) traffic. The TCP protocol is a connection-based protocol, which establishes a session by establishing a connection through a 3-way handshaking process before sending and receiving data, and attempts to transmit and receive data without going through such a normal session establishment process. The TCP packets that make up this attempt are determined to be intrusion. In addition, the TCP sessions that occupy a large portion of the network traffic are monitored for the amount of traffic transmitted and received per packet flow, IP address / port number / IDLE time, and the like. It may further be responsible for the function of preparing a predetermined criterion for easily identifying the abnormal session in the future through the database of the packet characteristics and the packet information of the. Of course, basically, the monitored packet information is transmitted to the
또한, 트래픽 제어라 함은 소정의 탐지 룰에 의해 유해 트래픽인지 여부를 판단하는 것을 말하며, 이 외에도 네트워크의 부하를 소정의 속도 지수(이를테면 BPS; Bit Per Second, PPS; Packet Per Second)로 파악하고 있으면서 위와 같은 유해 트래픽이 발생하는 경우에 있어서의 해당 패킷 정보를 데이터베이스화하고 이를 통해 차후 유해 트래픽 여부를 용이하게 판별하기 위한 소정의 기준을 마련하는 기능을 더 구비할 수도 있다. 여기서 상기 해당 패킷 정보에는 상기 속도 지수의 분포에서 상위 순위에 드는 서비스 포트, IP 주소 리스트 등을 포함할 수 있으며, 이를 통해 현재 네트워크의 대역폭(bandwidth)을 차지하고 있는 상위 수준의 서비스 포트와 IP 정보를 파악함으로써 유해 트래픽인지 여부를 판단할 수 있게 된다. 물론, 이러한 트래픽 제어의 경우에서도 기본적으로는 상기 파악된 해당 패킷 정보를 관리 호스트(280)에 전송하여 관리 호스트(280)에서 소정의 데이터베이스 및 상기 비정상 세션 판별 기준을 유지 관리토록 한다. 이때, 상기 속도 지수는 내부망/외부망으로의 방향에 따른 트래픽 유입량, 트래픽 차단량 및 유해 트래픽 검출량 등에 대하여 각각 파악될 수 있다.In addition, the traffic control refers to determining whether the traffic is harmful by a predetermined detection rule. In addition, the load of the network is determined by a predetermined speed index (eg, BPS; Bit Per Second, PPS; Packet Per Second). While the above-mentioned harmful traffic occurs, the packet information may be provided in a database, and a function of providing a predetermined criterion for easily determining whether there is harmful traffic thereafter may be further provided. The packet information may include a service port, an IP address list, and the like, which are higher in the distribution of the rate indices, and thus, service level and IP information of a higher level, which currently occupy bandwidth of the network, may be included. By grasping, it is possible to determine whether the traffic is harmful. Of course, in the case of such traffic control, basically, the corresponding packet information is transmitted to the
전처리기(230)는 세션/트래픽 컨트롤러(220)로부터 전달받은 패킷에 대해 차후의 패턴매칭을 대비하여 소정의 전처리 프로세스를 수행한다. 이러한 전처리 프로세스에는 IP Fragmentation 전처리, TCP Segmentation 전처리, Web 우회 공격에 대한 전처리가 포함될 수 있으나 효율적인 패턴매칭을 위한 다양한 전처리 프로세스가 더 추가될 수 있음은 당업자에게 자명하다.The
IP Fragmentation 전처리는 패턴매칭을 수행하기 전에, 입력받은 패킷을 재조합하는 것을 가리킨다. IP 패킷은 소스 IP에서 목적지 IP까지 도달하기까지 중간의 노드들을 거치는 동안, 그 전송되는 데이터가 네트워크 인터페이스의 MTU 보다 큰 경우라면 이를 MTU의 크기에 맞도록 적절한 패킷 크기로 분할(fragmentation)되어 전송되고, 수신단에서는 분할된 패킷을 다시 재조합하여 애플리케이션 레이어로 전달해 준다. 이를 감안하여 공격자는 침입 탐지/방지 시스템을 우회하고자 악의적으로 침입용 데이터(유해 트래픽)를 분할하여 전송하게 되는데, 패킷 단위로 검사를 수행하는 패턴매칭 엔진만으로는 이러한 경우의 침입을 탐지할 수 없게 된다. 따라서, 패턴매칭 엔진으로 패킷을 전달하기 전에 위과 같은 유해 트래픽을 걸러 낼 수 있도록 패킷을 재조합하는 전처리 과정을 거치도록 하는 것이다.IP Fragmentation preprocessing refers to recombination of incoming packets before performing pattern matching. While the IP packet passes through the intermediate nodes from the source IP to the destination IP, if the transmitted data is larger than the MTU of the network interface, the IP packet is transmitted by dividing it into an appropriate packet size to fit the size of the MTU. At the receiving end, the split packet is reassembled and delivered to the application layer. In view of this, an attacker maliciously divides and transmits intrusion data (harmful traffic) in order to bypass the intrusion detection / prevention system. However, the pattern matching engine that performs packet-by-packet inspection cannot detect an intrusion in such a case. . Therefore, before the packet is delivered to the pattern matching engine, a preprocessing process for reassembling the packet to filter the harmful traffic is performed.
TCP Segmentation 전처리 역시 패턴매칭을 수행하기 전에, 입력받은 프레임을 재조합하는 것을 가리킨다. TCP 또한 세션 간에 주고 받는 프레임의 크기가 큰 경우 이를 적절한 크기로 분할(segmentation)하여 전송하고 수신측에서는 이를 다시 재조합하여 애플리케이션 레이어로 전달하게 되는데, 상기 IP 패킷과 동일한 문제점이 발생할 수 있으므로 패턴매칭 엔진으로 전달하기 전에 유해 트래픽을 걸러 낼 수 있도록 프레임을 재조합하는 전처리 과정을 거치도록 하는 것이다.TCP Segmentation preprocessing also refers to recombination of input frames before performing pattern matching. If the size of a frame that is exchanged between sessions is large, TCP transmits it by segmenting it into an appropriate size and transmits it to the application layer by recombining it again to the application layer. The preprocessing process is to reassemble the frame to filter out harmful traffic before delivery.
패턴매칭 엔진(240)은 상기 전처리 프로세스를 거친 패킷에 대해 패턴매칭을 수행하여 침입 여부를 판단하고, 침입 의도가 있는 것으로 판단되는 패킷이 탐지되 면 대응 엔진으로 그 탐지 사실을 통보하여 적절한 조치를 의뢰한다. 이러한 패턴 정보는 관리 호스트(280)에서 유지 관리되는 것으로서 소정의 주기에 따라 또는 새로운 패턴 정보로 갱신될 때마다 관리 호스트(280)로부터 업데이트 된다.The
대응 엔진(260)은 세션/트래픽 컨트롤러(220) 또는 패턴매칭 엔진(240)으로부터 침입 탐지가 통보되면 해당 패킷에 대해 소정의 침입방지조치를 수행하는데, 이러한 침입방지조치는 침입 종류에 따라 다양하게 설정될 수 있으며, 비정상 세션의 종료, 유해 트래픽의 차단, 침입 패킷의 차단 및 해당 패킷에 대한 로그 정보의 생성 등이 포함될 수 있고, 관리 호스트(280)에서의 보안 정책에 따라 변경될 수도 있다.When the intrusion detection is notified from the session /
이와 같은 세션/트래픽 컨트롤러(220) 및/또는 전처리기(230)는 지능형복합칩(SoC; System on Chip)으로 구현됨으로써 그와 같은 기능들이 소프트웨어적으로 구현되는 경우 및 단순히 보드 상의 하드웨어로 구현되는 경우에 비해 상대적으로 향상된 동작 속도를 보장한다.The session /
한편, 위와 같은 구성을 포함하는 침입탐지장치에는 선택적으로 대역폭 관리기(250), 보조탐지모듈(290) 및 외부기기 연결용 통신 포트(295)가 더 구비될 수 있다.Meanwhile, the intrusion detection apparatus including the above configuration may further include a
대역폭 관리기(250)는 패턴매칭 엔진(240)으로부터 정상으로 판정된 패킷을 전달받아 미리 정의된 대역폭 기준의 초과 여부를 다시 한 번 판단함으로써, 비록 데이터 자체는 정상일지라도 과도한 트래픽으로 유입되어 네트워크를 폭주시키는 이상 트래픽을 탐지하고, 이상 트래픽의 발견시 대응 엔진(260)에 소정의 침입방지 조치를 요청한다. 또한, 미리 등록된 해당 주소에 대하여는 보장된 대역폭에 맞게 트래픽을 포워딩하고, 미리 등록된 주소라 하더라도 각각에 적용되는 대역폭 관리 기준이 상이할 수 있으므로 그 중 우선 순위가 높게 책정된 기준에 해당하는 주소에 우선적으로 대역폭 사용을 허가하도록 할 수 있다.The
보조탐지모듈(290)은 입출력 인터페이스(210)를 통해 입력된 패킷을 별도의 보안 정책을 구비하는 외부보안장치로 미러링하고, 외부보안장치로부터 침입 여부의 판단 결과를 통보받아 대응 엔진(260)으로 전달한다. 외부보안장치 연결용 통신 포트(295)는 상기 외부보안장치와 데이터를 주고 받기 위한 전송 통로가 된다.The
이와 같은 침입방지장치는 별도의 관리 호스트(280)와 연결될 수 있으며 이로써 침입방지시스템을 구성할 수 있다.Such an intrusion prevention device may be connected to a
관리 호스트(280)는 침입방지장치와 PCI 등과 같은 소정의 인터페이스(270)로 연결되어 있으면서, 상기 침입방지장치에 적용할 탐지 정책 및 로그 기록의 관리를 수행한다. 따라서, 관리 호스트(280)의 저장부(282)에는 탐지 정책 및 로그 기록을 유지 관리하기 위한 소정의 관리 프로그램 및 데이터베이스가 기록되어 있고, 중앙처리장치(281)를 통해 상기 관리 프로그램을 구동시켜 침입방지장치에 이용되는 각종 데이터들을 관리한다.The
이제 위와 같은 침입방지장치 및 침입방지시스템을 통해 침입을 탐지하고 이에 대응하는 각 절차에 대하여 상세히 살펴보기로 한다. 참고로, 도 3은 본 발명에 의한 침입탐지방법의 각 단계를 도시한 플로우챠트이다.Now, let's take a closer look at each procedure to detect and respond to intrusions through the above intrusion prevention devices and intrusion prevention systems. For reference, Figure 3 is a flow chart showing each step of the intrusion detection method according to the present invention.
외부망 또는 내부망으로부터 패킷이 유입되면(S301), 먼저 비정상적으로 세션이 맺어졌는지 여부를 탐지하고(S303), 정상적으로 세션이 형성된 경우라면 이어서 해당 패킷이 유해 트래픽인지 여부를 탐지한다(S305). 여기서 비정상 세션인 경우이거나 유해 트래픽으로 판정된 경우라면 해당 패킷을 차단하고 그에 대한 로그 정보를 기록하는 등과 같은 소정의 침입방지조치가 취해진 다음(S317) 해당 패킷에 관련된 정보를 관리 호스트에 전송하여(S319) 그에 대한 분석이 이루어지도록 하고 그에 따라 향후 적용될 보안정책이 갱신되도록 한다(S321).When a packet is introduced from an external network or an internal network (S301), first, whether a session is abnormally detected is detected (S303), and if a session is normally formed, then it is detected whether the corresponding packet is harmful traffic (S305). Here, if it is an abnormal session or if it is determined that the traffic is harmful, predetermined intrusion prevention measures such as blocking the packet and recording log information thereof are taken (S317), and then information related to the packet is transmitted to the management host (S317). S319) The analysis is performed so that the security policy to be applied in the future is updated (S321).
위와 같은 세션/트래픽 검사 단계를 거친 패킷들은 소정의 전처리 프로세스를 거쳐 변경 및 재조합됨으로써 차후 있을 패턴매칭의 정확도를 높힌다(S307). 이러한 전처리 과정을 거친 패킷들에 대하여 소정의 패턴 정보와 비교하는 방식으로 패턴매칭이 수행되고(S309) 만약 침입 패턴에 해당하는 것으로 판명되면 상기 S317 내지 S321 단계가 수행된다.Packets that have undergone the session / traffic inspection step as described above are modified and recombined through a predetermined preprocessing process to increase the accuracy of subsequent pattern matching (S307). Pattern matching is performed on the packets that have undergone such preprocessing in a manner that is compared with predetermined pattern information (S309). If it is found that the packet corresponds to the intrusion pattern, steps S317 to S321 are performed.
여기서 정상 패킷으로 판정된 경우라도 미리 정의된 대역폭 기준을 초과하는지 여부를 선택적으로 다시 한 번 판단함으로써 이상 트래픽에 의해 네트워크가 폭주하는 것을 방지할 수 있다(S323). 상기 대역폭 기준을 초과하는 경우라면 마찬가지로 상기 S317 내지 S321 단계가 수행되겠지만, 그렇지 않은 경우라면 해당 패킷을 그대로 네트워크 상으로 출력시키고 다음 패킷을 입력받는다.In this case, even if it is determined that the packet is a normal packet, it is possible to prevent the network from congestion due to abnormal traffic by selectively again determining whether or not the predetermined bandwidth criterion is exceeded (S323). If the bandwidth criteria is exceeded, steps S317 to S321 may be performed in the same manner. If not, the corresponding packet is output on the network as it is and the next packet is received.
한편, 침입방지장치로 입력된 패킷의 복사본은 별도의 보안 정책으로 침입 여부를 탐지하는 외부보안장치로 전송되고(S311), 외부보안장치에서의 검사 결과 침입으로 판단된 경우(S313) 이를 침입방지장치로 통보하여(S315)c 소정의 침입방 지조치(S317~S321)가 수행되도록 한다.On the other hand, a copy of the packet input to the intrusion prevention device is transmitted to an external security device that detects the intrusion in a separate security policy (S311), if it is determined that the intrusion as a result of the inspection in the external security device (S313) The device is notified (S315) c such that the predetermined intrusion prevention measures S317 to S321 are performed.
지금까지 살펴본 바와 같이 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되지 않으며, 후술되는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 할 것이다.As described above, in the detailed description of the present invention, specific embodiments have been described. However, various modifications may be made without departing from the scope of the present invention. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be defined not only by the scope of the following claims, but also by those equivalent to the scope of the claims.
위와 같은 구성을 가지는 본 발명에 의하면, 침입탐지장치에 하드웨어로 구현된 세션/트래픽 컨트롤러를 통해 종래에 별도의 호스트에서 소프트웨어로 동작하던 방식에 비해 침입 탐지의 처리 속도가 현저히 증가된다.According to the present invention having the configuration as described above, the processing speed of the intrusion detection is significantly increased compared to the method previously operated by software in a separate host through the session / traffic controller implemented in hardware in the intrusion detection apparatus.
또한, 단순한 패턴매칭에서 벗어나 패턴매칭 전에 패킷 재조합 등에 의한 소정의 전처리 과정을 거치도록 함으로써 패턴매칭의 정확도를 극대화할 수 있다.In addition, it is possible to maximize the accuracy of pattern matching by going through simple pre-processing by packet recombination or the like before the pattern matching.
또한, 정상으로 판정된 패킷이라도 소정의 대역폭 기준을 초과하는지 여부를 추가로 검사하여 패턴매칭에서 파악되지 않은 이상 트래픽까지 파악함으로써 보안성을 한층 강화할 수 있다.In addition, even if the packet is determined to be normal, the security can be further enhanced by additionally checking whether or not the predetermined bandwidth criterion is exceeded and identifying the abnormal traffic not found in the pattern matching.
또한, 위와 같은 세션/트래픽 관리 및 전처리 과정을 SoC로 구현함으로써 그 처리 속도를 극대화할 수 있다.In addition, it is possible to maximize the processing speed by implementing the above session / traffic management and preprocessing process in SoC.
또한, 외부보안기기의 탐지 기능을 활용하기 위한 통신 포트를 구비함으로써 본 침해방지장치의 보안성을 한층 더 강화할 수 있다.In addition, by providing a communication port for utilizing the detection function of the external security device, the security of the intrusion prevention device can be further enhanced.
Claims (10)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020050066257A KR100728446B1 (en) | 2005-07-21 | 2005-07-21 | Hardware based intruding protection device, system and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020050066257A KR100728446B1 (en) | 2005-07-21 | 2005-07-21 | Hardware based intruding protection device, system and method |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20070011736A KR20070011736A (en) | 2007-01-25 |
KR100728446B1 true KR100728446B1 (en) | 2007-06-13 |
Family
ID=38012331
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020050066257A KR100728446B1 (en) | 2005-07-21 | 2005-07-21 | Hardware based intruding protection device, system and method |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100728446B1 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100960119B1 (en) * | 2007-12-17 | 2010-05-27 | 한국전자통신연구원 | Hardware Based Method and System for High Performance Abnormal Traffic Detection |
DE102017221889B4 (en) * | 2017-12-05 | 2022-03-17 | Audi Ag | Data processing device, overall device and method for operating a data processing device or overall device |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20020062070A (en) * | 2001-01-19 | 2002-07-25 | 주식회사 정보보호기술 | Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof |
KR20020085053A (en) * | 2001-05-04 | 2002-11-16 | 이재형 | Network traffic flow control system |
-
2005
- 2005-07-21 KR KR1020050066257A patent/KR100728446B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20020062070A (en) * | 2001-01-19 | 2002-07-25 | 주식회사 정보보호기술 | Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof |
KR20020085053A (en) * | 2001-05-04 | 2002-11-16 | 이재형 | Network traffic flow control system |
Also Published As
Publication number | Publication date |
---|---|
KR20070011736A (en) | 2007-01-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100609170B1 (en) | system of network security and working method thereof | |
US9749340B2 (en) | System and method to detect and mitigate TCP window attacks | |
US7757283B2 (en) | System and method for detecting abnormal traffic based on early notification | |
US7478429B2 (en) | Network overload detection and mitigation system and method | |
US20050283831A1 (en) | Security system and method using server security solution and network security solution | |
KR20110089179A (en) | Network intrusion protection | |
US8201250B2 (en) | System and method for controlling abnormal traffic based on fuzzy logic | |
US20090178140A1 (en) | Network intrusion detection system | |
TWI492090B (en) | System and method for guarding against dispersive blocking attacks | |
Manna et al. | Review of syn-flooding attack detection mechanism | |
KR20110037645A (en) | Apparatus and method for protecting ddos | |
KR20220081145A (en) | AI-based mysterious symptom intrusion detection and system | |
EP1443729B1 (en) | Method and device for handling related connections in a firewall | |
TWM542807U (en) | Network information security inspection system | |
US8763121B2 (en) | Mitigating multiple advanced evasion technique attacks | |
CN101453363A (en) | Network intrusion detection system | |
KR100728446B1 (en) | Hardware based intruding protection device, system and method | |
CN110493230A (en) | One kind being based on network flow application layer ddos attack detection method | |
US20170346844A1 (en) | Mitigating Multiple Advanced Evasion Technique Attacks | |
CN113328976B (en) | Security threat event identification method, device and equipment | |
Gresty et al. | Requirements for a general framework for response to distributed denial-of-service | |
TWI640894B (en) | Method of detecting internet information security and its implemented system | |
KR102671718B1 (en) | Weblog new threat detection security system that predicts new intrusions through machine learning | |
KR20200009366A (en) | Apparatus for detecting Slow HTTP POST DoS Attack | |
US20100157806A1 (en) | Method for processing data packet load balancing and network equipment thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130430 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20140318 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20160308 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20170403 Year of fee payment: 11 |
|
FPAY | Annual fee payment |
Payment date: 20180404 Year of fee payment: 12 |
|
FPAY | Annual fee payment |
Payment date: 20190401 Year of fee payment: 13 |