KR100728446B1 - Hardware based intruding protection device, system and method - Google Patents

Hardware based intruding protection device, system and method Download PDF

Info

Publication number
KR100728446B1
KR100728446B1 KR1020050066257A KR20050066257A KR100728446B1 KR 100728446 B1 KR100728446 B1 KR 100728446B1 KR 1020050066257 A KR1020050066257 A KR 1020050066257A KR 20050066257 A KR20050066257 A KR 20050066257A KR 100728446 B1 KR100728446 B1 KR 100728446B1
Authority
KR
South Korea
Prior art keywords
packet
intrusion
intrusion prevention
pattern matching
session
Prior art date
Application number
KR1020050066257A
Other languages
Korean (ko)
Other versions
KR20070011736A (en
Inventor
유연식
손소라
이상우
표승종
Original Assignee
엘지엔시스(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지엔시스(주) filed Critical 엘지엔시스(주)
Priority to KR1020050066257A priority Critical patent/KR100728446B1/en
Publication of KR20070011736A publication Critical patent/KR20070011736A/en
Application granted granted Critical
Publication of KR100728446B1 publication Critical patent/KR100728446B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0896Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

지능형복합칩(SoC; System on Chip)을 이용한 하드웨어 기반의 침입방지장치, 시스템 및 방법이 제공된다. 이를 위한 침입방지장치는 입출력 인터페이스를 통해 입력된 패킷으로부터 비정상 세션 또는 유해 트래픽을 감지하는 세션/트래픽 컨트롤러와, 패턴매칭을 대비한 소정의 전처리 프로세스를 수행하는 전처리기와, 전처리된 패킷에 대해 패턴매칭을 수행하는 패턴매칭 엔진과, 침입 탐지된 패킷에 대해 소정의 침입방지조치를 수행하는 대응 엔진 및 정상 패킷으로 판단되더라도 대역폭 기준을 초과하는지 여부를 한 번 더 판단하는 대역폭 관리기를 포함한다. 여기서 특히 상기 세션/트래픽 컨트롤러와 전처리기는 지능형복합칩(SoC)으로 구현된다. 본 발명에 의하면 침입탐지 프로세스를 원칩으로 구현하여 처리 속도를 대폭 향상시킬 수 있을 뿐만 아니라 패턴매칭 외에 대역폭 관리까지 함께 수행하여 침입 방지 효과를 극대화할 수 있다.Provided are a hardware-based intrusion prevention apparatus, system, and method using an intelligent system on chip (SoC). An intrusion prevention device for this purpose includes a session / traffic controller that detects abnormal sessions or harmful traffic from packets input through an input / output interface, a preprocessor that performs a predetermined preprocessing process for pattern matching, and pattern matching on preprocessed packets. And a pattern matching engine for performing the operation, a corresponding engine for performing a predetermined intrusion prevention action on the intrusion-detected packet, and a bandwidth manager for determining once more whether the bandwidth criterion is exceeded even if it is determined to be a normal packet. In particular, the session / traffic controller and the preprocessor are implemented as an intelligent complex chip (SoC). According to the present invention, the intrusion detection process can be implemented in one chip, thereby greatly improving the processing speed, and also performing bandwidth management in addition to pattern matching to maximize the intrusion prevention effect.

침입방지시스템, IPS, IDS, SoC, 패턴매칭, 대역폭, 세션, 트래픽 Intrusion Prevention System, IPS, IDS, SoC, Pattern Matching, Bandwidth, Session, Traffic

Description

하드웨어 기반의 침입방지장치, 시스템 및 방법 {Hardware based intruding protection device, system and method}Hardware based intruding protection device, system and method

도 1은 종래 침입방지시스템의 기능별 내부 블록도.1 is an internal block diagram of a function of a conventional intrusion prevention system.

도 2는 본 발명에 의한 침입탐지장치 및 시스템의 기능별 내부 블록도.Figure 2 is an internal block diagram of the function of the intrusion detection apparatus and system according to the present invention.

도 3은 본 발명에 의한 침입탐지방법의 각 단계를 도시한 플로우챠트.3 is a flowchart showing each step of the intrusion detection method according to the present invention.

본 발명은 지능형복합칩(SoC; System on Chip)을 이용한 하드웨어 기반의 침입방지장치, 시스템 및 방법에 관한 것으로서, 특히 본 발명에 의한 침입방지장치는 입출력 인터페이스를 통해 입력된 패킷으로부터 비정상 세션 또는 유해 트래픽을 감지하는 세션/트래픽 컨트롤러와, 패턴매칭을 대비한 소정의 전처리 프로세스를 수행하는 전처리기와, 전처리된 패킷에 대해 패턴매칭을 수행하는 패턴매칭 엔진 및 침입 탐지된 패킷에 대해 소정의 침입방지조치를 수행하는 대응 엔진을 포함하여 이루어지며 여기에 정상 패킷으로 판단되더라도 대역폭 기준을 초과하는지 여 부를 한 번 더 판단하는 대역폭 관리기를 더 포함할 수 있다.The present invention relates to a hardware-based intrusion prevention apparatus, system and method using an intelligent system on chip (SoC), in particular, the intrusion prevention apparatus according to the present invention is an abnormal session or harmful from a packet input through the input and output interface A session / traffic controller that detects traffic, a preprocessor that performs a predetermined preprocessing process for pattern matching, a pattern matching engine that performs pattern matching on preprocessed packets, and predetermined intrusion prevention measures for intrusion-detected packets. It may further include a bandwidth manager that is made to include a corresponding engine for performing the operation and determines whether or not it exceeds the bandwidth criteria even if it is determined to be a normal packet.

근자에 컴퓨터의 대중화와 인터넷의 꾸준한 보급에 힘입어 전자 상거래, 전자 메일 등 다양한 전자 거래가 활성화되고 있으나, 그에 따라 특정 시스템에 불법으로 침입하여 중요 자료를 도용하거나, 컴퓨터 바이러스 등과 같은 유해 데이터를 유포시켜 전산망을 마비시키는 등과 같은 부작용 또한 무시할 수 없는 상황에 직면하고 있다.In recent years, due to the popularization of computers and the steady spread of the Internet, various electronic transactions such as e-commerce and e-mail have been activated, but accordingly, they illegally invade specific systems to steal important data or distribute harmful data such as computer viruses. Side effects such as paralyzing the network are also faced with a situation that cannot be ignored.

이러한 문제점을 해결하기 위한 대안으로 방화벽이나 침입 탐지/방지 시스템(IDS;Intrusion Detection System/IPS;Intrusion Protection System)이 제안되고 있는바, 이는 외부망 또는 내부망에서의 허가되지 않은 네트워크 침입을 막거나, 침입으로 알려진 각종 패턴을 데이터베이스화하여 그와 동일한 패킷을 차단하는 것을 각각 그 골자로 하고 있다.In order to solve this problem, a firewall or an intrusion detection system (IDS; Intrusion Protection System) has been proposed, which prevents unauthorized network intrusion from the external network or the internal network. In other words, database of various patterns known as intrusion are made by blocking the same packet.

여기서 상기 침입방지시스템의 종래 동작 방식을 알아보고 그에 따른 문제점을 함께 살펴보도록 한다. 참고로, 도 1은 이와 같은 종래의 침입방지시스템의 기능별 내부 블록도를 도시하고 있다.Herein, the conventional operation method of the intrusion prevention system will be described and the problems thereof will be examined together. For reference, Figure 1 shows an internal block diagram for each function of such a conventional intrusion prevention system.

입출력 인터페이스의 입력 PHY(110)를 통해 패킷이 입력되면 제 1 보안모듈로 전달되어 소정의 패턴 정보가 구비된 패턴매칭 엔진(120)을 통해 침입 여부가 1차적으로 탐지된다. 만약 여기서 침입 패킷으로 판단된 경우 대응 엔진(130)을 통해 소정의 침입방지조치가 취해지지만, 정상 패킷으로 판단된 경우라면 PCI 등의 인터페이스(140)를 통해 연결된 제 2 보안모듈로 전송되고 이곳 저장부(160)에 구비되어 있는 후처리 프로그램을 통해 패턴 매칭으로 탐지할 수 없었던 DoS, DDoS 등의 동적 공격이 2차적으로 탐지된다. 이러한 후처리 프로그램은 제 2 보안모듈의 중앙처리장치(150)에 의해 구동된다.When a packet is input through the input PHY 110 of the input / output interface, the packet is transmitted to the first security module, and whether the intrusion is primarily detected through the pattern matching engine 120 provided with the predetermined pattern information. If it is determined that the intrusion packet is a predetermined intrusion prevention action is taken through the response engine 130, but if it is determined that the normal packet is transmitted to the second security module connected through the interface 140 such as PCI and stored here. Through the post-processing program included in the unit 160, dynamic attacks such as DoS and DDoS, which could not be detected by pattern matching, are secondarily detected. This post-processing program is driven by the central processing unit 150 of the second security module.

이와 같은 종래의 침입방지시스템에 의하면 제 2 보안모듈에서의 동적 공격 여부 탐지 절차는 후처리 프로그램에 의해 소프트웨어적으로 처리되므로 그 처리 속도에 한계가 있어 갈수록 대용량화되어 가는 네트워크 환경에 적절치 못하다는 문제점이 있고, 제 1 보안모듈에서의 판단 후에 PCI를 통해 제 2 보안모듈로의 탐지 의뢰를 하고 그에 따른 결과값을 통지받는 데까지 무시할 수 없는 시간적인 갭이 발생하여 더더욱 탐지 프로세스의 효율을 떨어뜨리는 문제점이 있었다.According to the conventional intrusion prevention system, the dynamic attack detection procedure in the second security module is processed by software by a post-processing program, so the processing speed is limited, which is not suitable for a network environment that is getting larger. In addition, there is a time gap that cannot be ignored until the detection request from the first security module to the second security module through PCI is notified and the result value is notified, further reducing the efficiency of the detection process. there was.

또한, 패턴매칭에 의해서는 걸러질 수 없는 다양한 회피 기법이 등장한 시점에서 단순히 패턴매칭 엔진만으로 침입 여부를 탐지하는 데에는 한계가 있을 수밖에 없으나 이에 대한 대비책이 없다는 점에 문제가 있었다.In addition, when various evasion techniques that cannot be filtered out by pattern matching appear, there is a limitation in detecting whether or not an invasion is performed using only the pattern matching engine, but there is a problem in that there is no countermeasure.

또한, 네트워크를 불안정하게 하는 요소로서 공격성 패킷 외에 과도하게 네트워크 자원을 독점하여 네트워크를 폭주하게 하는 이상 트래픽도 고려해야 함에도 이에 대한 대책이 마련되지 않아 불완전한 보안 기기에 머무를 수밖에 없었다.In addition, even though the traffic should be considered as an element that destabilizes the network and excessively monopolizes the network resources in addition to the aggressive packets, no countermeasures have been taken. Therefore, it was necessary to stay in an incomplete security device.

또한, 상기 제 1 보안모듈 및 제 2 보안모듈에 의해서도 탐지되지 않은 침입 패킷이나 유해 트래픽은 그대로 바이패스 되는바, 이에 대해 관리자가 추가적으로 보안 정책을 확장할 수 있는 방법이 없었으므로 나날이 진화해가는 공격 시도에 능동적으로 대처할 수 없다는 문제점이 있었다.In addition, intrusion packets or harmful traffic not detected by the first security module and the second security module are bypassed as they are, and there is no way for the administrator to further extend the security policy. There was a problem that it could not actively cope with the attempt.

본 발명은 위와 같은 문제점을 해결하기 위해 제안된 것으로서, 세션 관리 및 트래픽 관리를 침입탐지장치에 하드웨어로 구현함으로써 대용량 네트워크 환경에 걸맞도록 침입 탐지의 속도를 최대한 향상시키는 데에 그 목적이 있다.The present invention has been proposed to solve the above problems, and the object of the present invention is to improve the speed of intrusion detection to the maximum in accordance with a large-capacity network environment by implementing session management and traffic management in hardware in the intrusion detection apparatus.

본 발명의 다른 목적은 패턴매칭에 앞서 소정의 전처리 과정을 거치도록 함으로써 패턴매칭의 정확도를 극대화하는 데에 있다.Another object of the present invention is to maximize the accuracy of pattern matching by undergoing a predetermined pretreatment process prior to pattern matching.

본 발명의 다른 목적은 정상으로 판정된 경우라도 소정의 정책에 따른 대역폭 기준을 초과하는지 여부를 추가로 검사함으로써 이상 트래픽에 의한 폭주를 방지하는 데에 있다.Another object of the present invention is to prevent congestion caused by abnormal traffic by further checking whether the bandwidth criteria according to a predetermined policy is exceeded even when determined to be normal.

본 발명의 다른 목적은 상기 세션/트래픽 관리 및 전처리 과정을 SoC로 구현함으로써 그 처리 속도를 극대화하는 데에 있다.Another object of the present invention is to maximize the processing speed by implementing the session / traffic management and pre-processing in SoC.

본 발명의 다른 목적은 별도의 보안 정책을 구비하는 외부보안기기를 보조적으로 연결하여 보안 기능을 확장하는 데에 있다.Another object of the present invention is to extend the security function by auxiliary connection of an external security device having a separate security policy.

위와 같은 목적을 달성하기 위한 본 발명의 침입방지장치는, 외부망 또는 내부망으로부터 패킷을 입력받고, 침입탐지절차를 마친 패킷을 각각 내부망 또는 외부망으로 출력하기 위한 입출력 인터페이스와, 상기 입출력 인터페이스에 입력된 패킷으로부터 비정상 세션 또는 유해 트래픽 여부를 판단하는 세션/트래픽 컨트롤러와, 상기 세션/트래픽 컨트롤러로부터 전달받은 패킷에 대해 패턴매칭을 대비한 소정의 전처리 프로세스를 수행하는 전처리기와, 상기 전처리 프로세스를 거친 패 킷에 대해 패턴매칭을 수행하여 침입 여부를 판단하는 패턴매칭 엔진 및 상기 세션/트래픽 컨트롤러 또는 패턴매칭 엔진으로부터 침입 탐지가 통보되면 해당 패킷에 대해 소정의 침입방지조치를 수행하는 대응 엔진을 포함하여 이루어진다.Intrusion prevention apparatus of the present invention for achieving the above object, the input and output interface for receiving a packet from the external network or the internal network, and outputs the packet after the intrusion detection procedure to the internal or external network, respectively, the input and output interface A session / traffic controller that determines whether an abnormal session or harmful traffic is input from a packet input to the packet, a preprocessor that performs a predetermined preprocessing process for pattern matching on the packet received from the session / traffic controller, and the preprocessing process A pattern matching engine that determines whether an intrusion is performed by performing pattern matching on the rough packet, and a corresponding engine that performs a predetermined intrusion prevention action on the packet when intrusion detection is notified from the session / traffic controller or the pattern matching engine. It is done by

여기서, 상기 세션/트래픽 컨트롤러 또는 전처리기 중 하나 이상은 지능형복합칩(SoC; System on Chip)으로 구현될 수 있다.Here, at least one of the session / traffic controller or the preprocessor may be implemented as an intelligent system on chip (SoC).

또한, 상기 패턴매칭 엔진에서 정상으로 판단된 패킷에 대하여 미리 정의된 대역폭 기준의 초과 여부를 판단하고, 해당 기준 초과시 상기 대응 엔진에 소정의 침입방지조치를 요청하는 대역폭 관리기가 더 포함될 수 있다.The apparatus may further include a bandwidth manager for determining whether a predetermined bandwidth criterion is exceeded for a packet determined to be normal in the pattern matching engine, and requesting a predetermined intrusion prevention measure to the corresponding engine when the criterion is exceeded.

또한, 상기 입출력 인터페이스를 통해 입력된 패킷을 외부보안장치로 미러링하고, 해당 외부보안장치로부터 침입 여부 판단 결과를 전달받아 상기 대응 엔진으로 통보하기 위한 보조탐지모듈 및 상기 외부보안장치와 데이터 통신을 하기 위한 통신 포트가 더 포함될 수 있다.In addition, mirror the packet input through the input and output interface to an external security device, and receives data of the intrusion determination result from the external security device to communicate with the auxiliary detection module and the external security device for notifying the corresponding engine. Communication port for may be further included.

한편, 위와 같은 목적을 달성하기 위한 본 발명의 침입방지시스템은, 상기의 침입방지장치와, 상기 침입방지장치와 소정의 인터페이스로 연결되어 있으면서 상기 침입방지장치에 적용할 탐지 정책 및 로그 기록의 관리를 수행하기 위한 관리 호스트를 포함하여 이루어진다.On the other hand, the intrusion prevention system of the present invention for achieving the above object, the intrusion prevention apparatus and the management of the detection policy and log records to be applied to the intrusion prevention apparatus while being connected to the intrusion prevention apparatus and a predetermined interface. It includes a management host to perform the.

이하, 본 발명의 명세서에 첨부된 도면을 참고하여 바람직한 실시예에 대해 상세하게 살펴보도록 한다. 우선 각 도면의 구성요소들에 대해 참조부호를 부가함에 있어서, 동일한 구성요소들에 한해서는 비록 다른 도면상에 표시되더라도 가능 한 한 동일한 부호로 표기되었음에 유의하여야 한다. 그리고 본 발명을 설명함에 있어서, 관련된 공지 기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.Hereinafter, exemplary embodiments will be described in detail with reference to the accompanying drawings. First, in adding reference numerals to the elements of each drawing, it should be noted that the same elements are denoted by the same reference numerals as much as possible even if they are shown in different drawings. In the following description of the present invention, if it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted.

도 2는 본 발명에 의한 침입탐지장치 및 시스템의 기능별 내부 블록도이다.2 is an internal block diagram for each function of the intrusion detection apparatus and system according to the present invention.

입출력 인터페이스(210)는 물리적인 수준에서 입력 PHY(211)를 통해 외부망 또는 내부망으로부터 유입되는 패킷을 입력받는 한편, 본 발명에 따라 각종 침입탐지절차를 마친 패킷은 출력 PHY(212)를 통하여 내부망 또는 외부망으로 출력된다.While the input / output interface 210 receives a packet coming from an external network or an internal network through an input PHY 211 at a physical level, the packet that has completed various intrusion detection procedures according to the present invention is output through an output PHY 212. Output to internal network or external network.

세션/트래픽 컨트롤러(220)는 입출력 인터페이스(210)로 입력된 패킷을 분석하여 비정상 세션이 형성되었는지 여부나 유해 트래픽이 유입되었는지 여부를 판단한다. The session / traffic controller 220 analyzes the packet inputted to the input / output interface 210 to determine whether an abnormal session is formed or whether harmful traffic is introduced.

여기서 세션 제어라 함은 네트워크 트래픽 중 특히 TCP(Transfer Control Protocol) 트래픽에 대한 세션 관리를 의미한다. TCP 프로토콜은 연결 지향(connection-based) 프로토콜로서 데이터의 송수신에 앞서 3-WAY 핸드쉐이킹 과정을 거쳐 연결을 설정함으로써 세션을 형성하는데, 이와 같은 정상적인 세션 형성 과정을 거치지 않은 채 데이터를 송수신하려는 시도 내지 이러한 시도를 구성하는 TCP 패킷들은 침입 의도가 있는 것으로 판단하는 것이다. 또한, 네트워크 트래픽의 많은 부분을 차지하는 TCP 세션에 대하여는 각 패킷 흐름(flow) 당 송수신되는 트래픽의 양이나 IP 주소/포트 번호/IDLE 시간 등을 모니터링하고 있으면서, 위와 같은 비정상 세션이 발생하는 경우에 있어서의 패킷 특성 내지 해당 패킷 정보를 데이터베이스화하고 이를 통해 차후 비정상 세션을 용이하게 판별해 내기 위한 소정 의 기준을 마련하는 기능을 더 담당할 수도 있다. 물론, 기본적으로는 상기 모니터링된 해당 패킷 정보를 관리 호스트(280)에 전송하여 관리 호스트(280)에서 소정의 데이터베이스 및 상기 비정상 세션 판별 기준을 유지 관리토록 한다.Here, session control refers to session management of network traffic, particularly TCP (Transfer Control Protocol) traffic. The TCP protocol is a connection-based protocol, which establishes a session by establishing a connection through a 3-way handshaking process before sending and receiving data, and attempts to transmit and receive data without going through such a normal session establishment process. The TCP packets that make up this attempt are determined to be intrusion. In addition, the TCP sessions that occupy a large portion of the network traffic are monitored for the amount of traffic transmitted and received per packet flow, IP address / port number / IDLE time, and the like. It may further be responsible for the function of preparing a predetermined criterion for easily identifying the abnormal session in the future through the database of the packet characteristics and the packet information of the. Of course, basically, the monitored packet information is transmitted to the management host 280 so that the management host 280 maintains a predetermined database and the abnormal session discrimination criteria.

또한, 트래픽 제어라 함은 소정의 탐지 룰에 의해 유해 트래픽인지 여부를 판단하는 것을 말하며, 이 외에도 네트워크의 부하를 소정의 속도 지수(이를테면 BPS; Bit Per Second, PPS; Packet Per Second)로 파악하고 있으면서 위와 같은 유해 트래픽이 발생하는 경우에 있어서의 해당 패킷 정보를 데이터베이스화하고 이를 통해 차후 유해 트래픽 여부를 용이하게 판별하기 위한 소정의 기준을 마련하는 기능을 더 구비할 수도 있다. 여기서 상기 해당 패킷 정보에는 상기 속도 지수의 분포에서 상위 순위에 드는 서비스 포트, IP 주소 리스트 등을 포함할 수 있으며, 이를 통해 현재 네트워크의 대역폭(bandwidth)을 차지하고 있는 상위 수준의 서비스 포트와 IP 정보를 파악함으로써 유해 트래픽인지 여부를 판단할 수 있게 된다. 물론, 이러한 트래픽 제어의 경우에서도 기본적으로는 상기 파악된 해당 패킷 정보를 관리 호스트(280)에 전송하여 관리 호스트(280)에서 소정의 데이터베이스 및 상기 비정상 세션 판별 기준을 유지 관리토록 한다. 이때, 상기 속도 지수는 내부망/외부망으로의 방향에 따른 트래픽 유입량, 트래픽 차단량 및 유해 트래픽 검출량 등에 대하여 각각 파악될 수 있다.In addition, the traffic control refers to determining whether the traffic is harmful by a predetermined detection rule. In addition, the load of the network is determined by a predetermined speed index (eg, BPS; Bit Per Second, PPS; Packet Per Second). While the above-mentioned harmful traffic occurs, the packet information may be provided in a database, and a function of providing a predetermined criterion for easily determining whether there is harmful traffic thereafter may be further provided. The packet information may include a service port, an IP address list, and the like, which are higher in the distribution of the rate indices, and thus, service level and IP information of a higher level, which currently occupy bandwidth of the network, may be included. By grasping, it is possible to determine whether the traffic is harmful. Of course, in the case of such traffic control, basically, the corresponding packet information is transmitted to the management host 280 so that the management host 280 maintains a predetermined database and the abnormal session discrimination criteria. At this time, the speed index may be identified for the traffic inflow, traffic blocking amount and harmful traffic detection amount according to the direction to the internal network / external network, respectively.

전처리기(230)는 세션/트래픽 컨트롤러(220)로부터 전달받은 패킷에 대해 차후의 패턴매칭을 대비하여 소정의 전처리 프로세스를 수행한다. 이러한 전처리 프로세스에는 IP Fragmentation 전처리, TCP Segmentation 전처리, Web 우회 공격에 대한 전처리가 포함될 수 있으나 효율적인 패턴매칭을 위한 다양한 전처리 프로세스가 더 추가될 수 있음은 당업자에게 자명하다.The preprocessor 230 performs a predetermined preprocessing process in preparation for subsequent pattern matching on the packet received from the session / traffic controller 220. The preprocessing process may include preprocessing of IP fragmentation, preprocessing of TCP segmentation, and web bypass attack, but it is apparent to those skilled in the art that various preprocessing processes for efficient pattern matching may be added.

IP Fragmentation 전처리는 패턴매칭을 수행하기 전에, 입력받은 패킷을 재조합하는 것을 가리킨다. IP 패킷은 소스 IP에서 목적지 IP까지 도달하기까지 중간의 노드들을 거치는 동안, 그 전송되는 데이터가 네트워크 인터페이스의 MTU 보다 큰 경우라면 이를 MTU의 크기에 맞도록 적절한 패킷 크기로 분할(fragmentation)되어 전송되고, 수신단에서는 분할된 패킷을 다시 재조합하여 애플리케이션 레이어로 전달해 준다. 이를 감안하여 공격자는 침입 탐지/방지 시스템을 우회하고자 악의적으로 침입용 데이터(유해 트래픽)를 분할하여 전송하게 되는데, 패킷 단위로 검사를 수행하는 패턴매칭 엔진만으로는 이러한 경우의 침입을 탐지할 수 없게 된다. 따라서, 패턴매칭 엔진으로 패킷을 전달하기 전에 위과 같은 유해 트래픽을 걸러 낼 수 있도록 패킷을 재조합하는 전처리 과정을 거치도록 하는 것이다.IP Fragmentation preprocessing refers to recombination of incoming packets before performing pattern matching. While the IP packet passes through the intermediate nodes from the source IP to the destination IP, if the transmitted data is larger than the MTU of the network interface, the IP packet is transmitted by dividing it into an appropriate packet size to fit the size of the MTU. At the receiving end, the split packet is reassembled and delivered to the application layer. In view of this, an attacker maliciously divides and transmits intrusion data (harmful traffic) in order to bypass the intrusion detection / prevention system. However, the pattern matching engine that performs packet-by-packet inspection cannot detect an intrusion in such a case. . Therefore, before the packet is delivered to the pattern matching engine, a preprocessing process for reassembling the packet to filter the harmful traffic is performed.

TCP Segmentation 전처리 역시 패턴매칭을 수행하기 전에, 입력받은 프레임을 재조합하는 것을 가리킨다. TCP 또한 세션 간에 주고 받는 프레임의 크기가 큰 경우 이를 적절한 크기로 분할(segmentation)하여 전송하고 수신측에서는 이를 다시 재조합하여 애플리케이션 레이어로 전달하게 되는데, 상기 IP 패킷과 동일한 문제점이 발생할 수 있으므로 패턴매칭 엔진으로 전달하기 전에 유해 트래픽을 걸러 낼 수 있도록 프레임을 재조합하는 전처리 과정을 거치도록 하는 것이다.TCP Segmentation preprocessing also refers to recombination of input frames before performing pattern matching. If the size of a frame that is exchanged between sessions is large, TCP transmits it by segmenting it into an appropriate size and transmits it to the application layer by recombining it again to the application layer. The preprocessing process is to reassemble the frame to filter out harmful traffic before delivery.

패턴매칭 엔진(240)은 상기 전처리 프로세스를 거친 패킷에 대해 패턴매칭을 수행하여 침입 여부를 판단하고, 침입 의도가 있는 것으로 판단되는 패킷이 탐지되 면 대응 엔진으로 그 탐지 사실을 통보하여 적절한 조치를 의뢰한다. 이러한 패턴 정보는 관리 호스트(280)에서 유지 관리되는 것으로서 소정의 주기에 따라 또는 새로운 패턴 정보로 갱신될 때마다 관리 호스트(280)로부터 업데이트 된다.The pattern matching engine 240 determines whether an intrusion is performed by performing pattern matching on the packet that has undergone the preprocessing process, and when a packet is determined to be invasive, the pattern matching engine 240 notifies the detection engine of the detection to take an appropriate action. Request. Such pattern information is maintained by the management host 280 and is updated from the management host 280 at predetermined intervals or whenever updated with new pattern information.

대응 엔진(260)은 세션/트래픽 컨트롤러(220) 또는 패턴매칭 엔진(240)으로부터 침입 탐지가 통보되면 해당 패킷에 대해 소정의 침입방지조치를 수행하는데, 이러한 침입방지조치는 침입 종류에 따라 다양하게 설정될 수 있으며, 비정상 세션의 종료, 유해 트래픽의 차단, 침입 패킷의 차단 및 해당 패킷에 대한 로그 정보의 생성 등이 포함될 수 있고, 관리 호스트(280)에서의 보안 정책에 따라 변경될 수도 있다.When the intrusion detection is notified from the session / traffic controller 220 or the pattern matching engine 240, the response engine 260 performs a predetermined intrusion prevention action on the packet, and the intrusion prevention action varies depending on the intrusion type. It may be set, and may include termination of abnormal sessions, blocking of harmful traffic, blocking of intrusion packets, generation of log information about the packets, and the like, and may be changed according to a security policy at the management host 280.

이와 같은 세션/트래픽 컨트롤러(220) 및/또는 전처리기(230)는 지능형복합칩(SoC; System on Chip)으로 구현됨으로써 그와 같은 기능들이 소프트웨어적으로 구현되는 경우 및 단순히 보드 상의 하드웨어로 구현되는 경우에 비해 상대적으로 향상된 동작 속도를 보장한다.The session / traffic controller 220 and / or the preprocessor 230 may be implemented as an intelligent system on chip (SoC) so that such functions are implemented in software and simply implemented in hardware on the board. It guarantees a relatively improved speed of operation.

한편, 위와 같은 구성을 포함하는 침입탐지장치에는 선택적으로 대역폭 관리기(250), 보조탐지모듈(290) 및 외부기기 연결용 통신 포트(295)가 더 구비될 수 있다.Meanwhile, the intrusion detection apparatus including the above configuration may further include a bandwidth manager 250, an auxiliary detection module 290, and a communication port 295 for connecting an external device.

대역폭 관리기(250)는 패턴매칭 엔진(240)으로부터 정상으로 판정된 패킷을 전달받아 미리 정의된 대역폭 기준의 초과 여부를 다시 한 번 판단함으로써, 비록 데이터 자체는 정상일지라도 과도한 트래픽으로 유입되어 네트워크를 폭주시키는 이상 트래픽을 탐지하고, 이상 트래픽의 발견시 대응 엔진(260)에 소정의 침입방지 조치를 요청한다. 또한, 미리 등록된 해당 주소에 대하여는 보장된 대역폭에 맞게 트래픽을 포워딩하고, 미리 등록된 주소라 하더라도 각각에 적용되는 대역폭 관리 기준이 상이할 수 있으므로 그 중 우선 순위가 높게 책정된 기준에 해당하는 주소에 우선적으로 대역폭 사용을 허가하도록 할 수 있다.The bandwidth manager 250 receives the packet determined to be normal from the pattern matching engine 240 to determine whether the predefined bandwidth criterion is exceeded, so that even if the data itself is normal, the bandwidth manager 250 enters the excessive traffic and congests the network. To detect the abnormal traffic, and request an intrusion prevention measure from the response engine 260 upon detection of the abnormal traffic. In addition, for the corresponding address registered in advance, the traffic is forwarded according to the guaranteed bandwidth, and even if the address is registered in advance, the bandwidth management criteria applied to each may be different, and thus the address corresponding to the higher priority among those addresses is assigned. May prefer to allow bandwidth usage.

보조탐지모듈(290)은 입출력 인터페이스(210)를 통해 입력된 패킷을 별도의 보안 정책을 구비하는 외부보안장치로 미러링하고, 외부보안장치로부터 침입 여부의 판단 결과를 통보받아 대응 엔진(260)으로 전달한다. 외부보안장치 연결용 통신 포트(295)는 상기 외부보안장치와 데이터를 주고 받기 위한 전송 통로가 된다.The auxiliary detection module 290 mirrors the packet input through the input / output interface 210 to an external security device having a separate security policy, and receives a determination result of the intrusion from the external security device to the corresponding engine 260. To pass. The communication port 295 for connecting an external security device is a transmission path for exchanging data with the external security device.

이와 같은 침입방지장치는 별도의 관리 호스트(280)와 연결될 수 있으며 이로써 침입방지시스템을 구성할 수 있다.Such an intrusion prevention device may be connected to a separate management host 280, thereby configuring an intrusion prevention system.

관리 호스트(280)는 침입방지장치와 PCI 등과 같은 소정의 인터페이스(270)로 연결되어 있으면서, 상기 침입방지장치에 적용할 탐지 정책 및 로그 기록의 관리를 수행한다. 따라서, 관리 호스트(280)의 저장부(282)에는 탐지 정책 및 로그 기록을 유지 관리하기 위한 소정의 관리 프로그램 및 데이터베이스가 기록되어 있고, 중앙처리장치(281)를 통해 상기 관리 프로그램을 구동시켜 침입방지장치에 이용되는 각종 데이터들을 관리한다.The management host 280 is connected to a predetermined interface 270 such as an intrusion prevention apparatus and a PCI, and manages detection policies and log records to be applied to the intrusion prevention apparatus. Therefore, the storage unit 282 of the management host 280 records a predetermined management program and a database for maintaining detection policies and log records, and intrudes the management program through the central processing unit 281 to intrude. Manage various data used in the prevention device.

이제 위와 같은 침입방지장치 및 침입방지시스템을 통해 침입을 탐지하고 이에 대응하는 각 절차에 대하여 상세히 살펴보기로 한다. 참고로, 도 3은 본 발명에 의한 침입탐지방법의 각 단계를 도시한 플로우챠트이다.Now, let's take a closer look at each procedure to detect and respond to intrusions through the above intrusion prevention devices and intrusion prevention systems. For reference, Figure 3 is a flow chart showing each step of the intrusion detection method according to the present invention.

외부망 또는 내부망으로부터 패킷이 유입되면(S301), 먼저 비정상적으로 세션이 맺어졌는지 여부를 탐지하고(S303), 정상적으로 세션이 형성된 경우라면 이어서 해당 패킷이 유해 트래픽인지 여부를 탐지한다(S305). 여기서 비정상 세션인 경우이거나 유해 트래픽으로 판정된 경우라면 해당 패킷을 차단하고 그에 대한 로그 정보를 기록하는 등과 같은 소정의 침입방지조치가 취해진 다음(S317) 해당 패킷에 관련된 정보를 관리 호스트에 전송하여(S319) 그에 대한 분석이 이루어지도록 하고 그에 따라 향후 적용될 보안정책이 갱신되도록 한다(S321).When a packet is introduced from an external network or an internal network (S301), first, whether a session is abnormally detected is detected (S303), and if a session is normally formed, then it is detected whether the corresponding packet is harmful traffic (S305). Here, if it is an abnormal session or if it is determined that the traffic is harmful, predetermined intrusion prevention measures such as blocking the packet and recording log information thereof are taken (S317), and then information related to the packet is transmitted to the management host (S317). S319) The analysis is performed so that the security policy to be applied in the future is updated (S321).

위와 같은 세션/트래픽 검사 단계를 거친 패킷들은 소정의 전처리 프로세스를 거쳐 변경 및 재조합됨으로써 차후 있을 패턴매칭의 정확도를 높힌다(S307). 이러한 전처리 과정을 거친 패킷들에 대하여 소정의 패턴 정보와 비교하는 방식으로 패턴매칭이 수행되고(S309) 만약 침입 패턴에 해당하는 것으로 판명되면 상기 S317 내지 S321 단계가 수행된다.Packets that have undergone the session / traffic inspection step as described above are modified and recombined through a predetermined preprocessing process to increase the accuracy of subsequent pattern matching (S307). Pattern matching is performed on the packets that have undergone such preprocessing in a manner that is compared with predetermined pattern information (S309). If it is found that the packet corresponds to the intrusion pattern, steps S317 to S321 are performed.

여기서 정상 패킷으로 판정된 경우라도 미리 정의된 대역폭 기준을 초과하는지 여부를 선택적으로 다시 한 번 판단함으로써 이상 트래픽에 의해 네트워크가 폭주하는 것을 방지할 수 있다(S323). 상기 대역폭 기준을 초과하는 경우라면 마찬가지로 상기 S317 내지 S321 단계가 수행되겠지만, 그렇지 않은 경우라면 해당 패킷을 그대로 네트워크 상으로 출력시키고 다음 패킷을 입력받는다.In this case, even if it is determined that the packet is a normal packet, it is possible to prevent the network from congestion due to abnormal traffic by selectively again determining whether or not the predetermined bandwidth criterion is exceeded (S323). If the bandwidth criteria is exceeded, steps S317 to S321 may be performed in the same manner. If not, the corresponding packet is output on the network as it is and the next packet is received.

한편, 침입방지장치로 입력된 패킷의 복사본은 별도의 보안 정책으로 침입 여부를 탐지하는 외부보안장치로 전송되고(S311), 외부보안장치에서의 검사 결과 침입으로 판단된 경우(S313) 이를 침입방지장치로 통보하여(S315)c 소정의 침입방 지조치(S317~S321)가 수행되도록 한다.On the other hand, a copy of the packet input to the intrusion prevention device is transmitted to an external security device that detects the intrusion in a separate security policy (S311), if it is determined that the intrusion as a result of the inspection in the external security device (S313) The device is notified (S315) c such that the predetermined intrusion prevention measures S317 to S321 are performed.

지금까지 살펴본 바와 같이 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되지 않으며, 후술되는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 할 것이다.As described above, in the detailed description of the present invention, specific embodiments have been described. However, various modifications may be made without departing from the scope of the present invention. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be defined not only by the scope of the following claims, but also by those equivalent to the scope of the claims.

위와 같은 구성을 가지는 본 발명에 의하면, 침입탐지장치에 하드웨어로 구현된 세션/트래픽 컨트롤러를 통해 종래에 별도의 호스트에서 소프트웨어로 동작하던 방식에 비해 침입 탐지의 처리 속도가 현저히 증가된다.According to the present invention having the configuration as described above, the processing speed of the intrusion detection is significantly increased compared to the method previously operated by software in a separate host through the session / traffic controller implemented in hardware in the intrusion detection apparatus.

또한, 단순한 패턴매칭에서 벗어나 패턴매칭 전에 패킷 재조합 등에 의한 소정의 전처리 과정을 거치도록 함으로써 패턴매칭의 정확도를 극대화할 수 있다.In addition, it is possible to maximize the accuracy of pattern matching by going through simple pre-processing by packet recombination or the like before the pattern matching.

또한, 정상으로 판정된 패킷이라도 소정의 대역폭 기준을 초과하는지 여부를 추가로 검사하여 패턴매칭에서 파악되지 않은 이상 트래픽까지 파악함으로써 보안성을 한층 강화할 수 있다.In addition, even if the packet is determined to be normal, the security can be further enhanced by additionally checking whether or not the predetermined bandwidth criterion is exceeded and identifying the abnormal traffic not found in the pattern matching.

또한, 위와 같은 세션/트래픽 관리 및 전처리 과정을 SoC로 구현함으로써 그 처리 속도를 극대화할 수 있다.In addition, it is possible to maximize the processing speed by implementing the above session / traffic management and preprocessing process in SoC.

또한, 외부보안기기의 탐지 기능을 활용하기 위한 통신 포트를 구비함으로써 본 침해방지장치의 보안성을 한층 더 강화할 수 있다.In addition, by providing a communication port for utilizing the detection function of the external security device, the security of the intrusion prevention device can be further enhanced.

Claims (10)

외부망 또는 내부망으로부터 패킷을 입력받고, 침입탐지절차를 마친 패킷을 각각 내부망 또는 외부망으로 출력하기 위한 입출력 인터페이스;An input / output interface for receiving a packet from an external network or an internal network and outputting a packet that has completed the intrusion detection procedure to the internal or external network, respectively; 상기 입출력 인터페이스에 입력된 패킷으로부터 비정상 세션 또는 유해 트래픽 여부를 판단하는 세션/트래픽 컨트롤러;A session / traffic controller that determines whether an abnormal session or harmful traffic is received from the packet input to the input / output interface; 상기 세션/트래픽 컨트롤러로부터 전달받은 패킷에 대해 패턴매칭을 대비한 IP 프래그멘테이션(Fragmentation) 전처리 , TCP 세그멘테이션(Segmentation) 전처리, 웹(Web) 우회 공격에 대한 전처리를 포함하는 전처리 프로세스를 수행하는 전처리기;Performing a preprocessing process including pre-processing for IP fragmentation preprocessing, TCP segmentation preprocessing, and web bypass attack against packets received from the session / traffic controller in preparation for pattern matching. Preprocessor; 상기 전처리 프로세스를 거친 패킷에 대해 패턴매칭을 수행하여 침입 여부를 판단하는 패턴매칭 엔진; 및A pattern matching engine that determines whether an intrusion is performed by performing pattern matching on the packet which has passed the preprocessing process; And 상기 세션/트래픽 컨트롤러 또는 패턴매칭 엔진으로부터 침입 탐지가 통보되면 해당 패킷에 대해 비정상 세션의 종료, 유해 트래픽의 차단, 침입 패킷의 차단 및 해당 패킷에 대한 로그 정보의 생성을 포함하는 침입방지조치를 수행하는 대응 엔진;When intrusion detection is notified from the session / traffic controller or pattern matching engine, intrusion prevention measures including termination of abnormal session, blocking of harmful traffic, blocking of intrusion packet, and generation of log information for the packet are performed on the packet. Corresponding engine; 을 포함하여 이루어지는 하드웨어 기반의 칩입방지장치.Hardware-based intrusion prevention device comprising a. 제 1 항에 있어서,The method of claim 1, 상기 패턴매칭 엔진에서 정상으로 판단된 패킷에 대하여 미리 정의된 대역폭 기준의 초과 여부를 판단하고, 해당 기준 초과시 상기 대응 엔진에 소정의 침입방지조치를 요청하는 대역폭 관리기가 더 포함되는 것을 특징으로 하는 하드웨어 기반의 칩입방지장치.The hardware may further include a bandwidth manager that determines whether a predetermined bandwidth criterion is exceeded for a packet determined to be normal in the pattern matching engine, and requests a predetermined intrusion prevention measure from the corresponding engine when the criterion is exceeded. Based intrusion prevention device. 제 1 항에 있어서,The method of claim 1, 상기 세션/트래픽 컨트롤러 또는 전처리기 중 하나 이상은 지능형복합칩(SoC; System on Chip)으로 구현되는 것을 특징으로 하는 하드웨어 기반의 칩입방지장치.At least one of the session / traffic controller or the preprocessor is a hardware-based chip prevention device, characterized in that implemented as an intelligent complex chip (SoC; System on Chip). 제 1 항 내지 제 3 항 중 어느 일 항에 있어서,The method according to any one of claims 1 to 3, 상기 입출력 인터페이스를 통해 입력된 패킷을 외부보안장치로 미러링하고, 해당 외부보안장치로부터 침입 여부 판단 결과를 전달받아 상기 대응 엔진으로 통보하기 위한 보조탐지모듈; 및 An auxiliary detection module for mirroring a packet input through the input / output interface to an external security device and receiving an intrusion determination result from the external security device to notify the corresponding engine; And 상기 외부보안장치와 데이터 통신을 하기 위한 통신 포트;A communication port for data communication with the external security device; 가 더 포함되는 것을 특징으로 하는 하드웨어 기반의 칩입방지장치.Hardware-based intrusion prevention device characterized in that it further comprises. 제 1 항의 침입방지장치; 및Intrusion prevention device of claim 1; And 상기 침입방지장치와 소정의 인터페이스로 연결되어 있으면서, 상기 침입방지장치에 적용할 탐지 정책 및 로그 기록의 관리를 수행하기 위한 관리 호스트;A management host connected to the intrusion prevention device through a predetermined interface and performing management of detection policies and log records to be applied to the intrusion prevention device; 를 포함하여 이루어지는 하드웨어 기반의 침입방지시스템.Hardware-based intrusion prevention system comprising a. 외부망 또는 내부망으로부터 유입된 패킷을 통해 비정상 세션이 형성되었는지 여부를 탐지하는 단계;Detecting whether an abnormal session is formed through a packet introduced from an external network or an internal network; 외부망으로부터 유입된 패킷이 유해 트래픽인지 여부를 탐지하는 단계;Detecting whether a packet introduced from an external network is harmful traffic; 외부망으로부터 유입된 패킷들에 대해 패턴매칭에 대비한 IP 프래그멘테이션(Fragmentation) 전처리 , TCP 세그멘테이션(Segmentation) 전처리, 웹(Web) 우회 공격에 대한 전처리를 포함하는 전처리 프로세스를 수행하는 단계;Performing a preprocessing process including preprocessing for IP fragmentation preprocessing, TCP segmentation preprocessing, and web bypass attack against packets imported from an external network in preparation for pattern matching; 상기 전처리 프로세스를 거친 패킷들에 대해 침입 여부 판단을 위한 패턴매칭을 수행하는 단계; 및Performing pattern matching to determine whether an intrusion is made on packets that have passed through the preprocessing process; And 상기 비정상 세션 탐지, 유해 트래픽 탐지 또는 패턴매칭에 의해 침입으로 판단된 패킷에 대해 해당 패킷에 대한 비정상 세션의 종료, 유해 트래픽의 차단, 침입 패킷의 차단 및 해당 패킷에 대한 로그 정보의 생성을 포함하는 침입방지조치를 수행하는 단계;For the packet determined to be intrusion by the abnormal session detection, harmful traffic detection or pattern matching, including the termination of the abnormal session for the packet, blocking the harmful traffic, blocking the intrusion packet, and generating log information for the packet. Performing an intrusion prevention measure; 를 포함하여 이루어지는 하드웨어 기반의 침입방지방법.Hardware-based intrusion prevention method comprising a. 제 6 항에 있어서,The method of claim 6, 상기 패턴매칭 단계에서 정상으로 판단된 패킷에 대하여 미리 정의된 대역폭 기준의 초과 여부를 판단하는 단계; 및 Determining whether a predetermined bandwidth criterion is exceeded for a packet determined to be normal in the pattern matching step; And 해당 기준 초과시 그에 따른 소정의 침입방지조치를 수행하는 단계;Performing a predetermined intrusion prevention measure accordingly when the criterion is exceeded; 가 더 포함되는 것을 특징으로 하는 하드웨어 기반의 침입방지방법.Hardware-based intrusion prevention method characterized in that it further comprises. 제 6 항에 있어서,The method of claim 6, 상기 비정상 세션 탐지 단계, 유해 트래픽 탐지 단계 또는 전처리 단계 중 어느 하나 이상은 해당 기능을 구현하는 지능형복합칩(SoC; System on Chip)에 의해 수행되는 것을 특징으로 하는 하드웨어 기반의 침입방지방법.Any one or more of the abnormal session detection step, harmful traffic detection step or preprocessing step is performed by an intelligent complex chip (SoC; System on Chip) that implements the function. 제 6 항 내지 제 8 항 중 어느 일 항에 있어서,The method according to any one of claims 6 to 8, 외부보안장치로 유입된 패킷을 미러링하는 단계; 및Mirroring packets introduced to an external security device; And 상기 미러링된 패킷에 대해 침입으로 판단되었음을 통보받은 경우 그에 따른 소정의 침입방지조치를 수행하는 단계;Performing a predetermined intrusion prevention measure according to the notification that the mirrored packet is determined to be intrusion; 가 더 포함되는 것을 특징으로 하는 하드웨어 기반의 침입방지방법.Hardware-based intrusion prevention method characterized in that it further comprises. 제 9 항에 있어서,The method of claim 9, 상기 비정상 세션 탐지 단계, 유해 트래픽 탐지 단계 또는 패턴매칭 단계에서 침입으로 판단된 경우, 관리 호스트로 해당 패킷 정보를 전송하는 단계; 및If it is determined that the intrusion is detected in the abnormal session detection step, the harmful traffic detection step, or the pattern matching step, transmitting corresponding packet information to a management host; And 관리 호스트에서 상기 전송받은 패킷 정보를 바탕으로 해당 단계에서 적용할 탐지 정책 및 로그 기록을 관리하는 단계;Managing detection policies and log records to be applied in a corresponding step based on the received packet information in a management host; 가 더 포함되는 것을 특징으로 하는 하드웨어 기반의 침입방지방법.Hardware-based intrusion prevention method characterized in that it further comprises.
KR1020050066257A 2005-07-21 2005-07-21 Hardware based intruding protection device, system and method KR100728446B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050066257A KR100728446B1 (en) 2005-07-21 2005-07-21 Hardware based intruding protection device, system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050066257A KR100728446B1 (en) 2005-07-21 2005-07-21 Hardware based intruding protection device, system and method

Publications (2)

Publication Number Publication Date
KR20070011736A KR20070011736A (en) 2007-01-25
KR100728446B1 true KR100728446B1 (en) 2007-06-13

Family

ID=38012331

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050066257A KR100728446B1 (en) 2005-07-21 2005-07-21 Hardware based intruding protection device, system and method

Country Status (1)

Country Link
KR (1) KR100728446B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100960119B1 (en) * 2007-12-17 2010-05-27 한국전자통신연구원 Hardware Based Method and System for High Performance Abnormal Traffic Detection
DE102017221889B4 (en) * 2017-12-05 2022-03-17 Audi Ag Data processing device, overall device and method for operating a data processing device or overall device

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020062070A (en) * 2001-01-19 2002-07-25 주식회사 정보보호기술 Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof
KR20020085053A (en) * 2001-05-04 2002-11-16 이재형 Network traffic flow control system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020062070A (en) * 2001-01-19 2002-07-25 주식회사 정보보호기술 Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof
KR20020085053A (en) * 2001-05-04 2002-11-16 이재형 Network traffic flow control system

Also Published As

Publication number Publication date
KR20070011736A (en) 2007-01-25

Similar Documents

Publication Publication Date Title
KR100609170B1 (en) system of network security and working method thereof
US9749340B2 (en) System and method to detect and mitigate TCP window attacks
US7757283B2 (en) System and method for detecting abnormal traffic based on early notification
US7478429B2 (en) Network overload detection and mitigation system and method
US20050283831A1 (en) Security system and method using server security solution and network security solution
KR20110089179A (en) Network intrusion protection
US8201250B2 (en) System and method for controlling abnormal traffic based on fuzzy logic
US20090178140A1 (en) Network intrusion detection system
TWI492090B (en) System and method for guarding against dispersive blocking attacks
Manna et al. Review of syn-flooding attack detection mechanism
KR20110037645A (en) Apparatus and method for protecting ddos
KR20220081145A (en) AI-based mysterious symptom intrusion detection and system
EP1443729B1 (en) Method and device for handling related connections in a firewall
TWM542807U (en) Network information security inspection system
US8763121B2 (en) Mitigating multiple advanced evasion technique attacks
CN101453363A (en) Network intrusion detection system
KR100728446B1 (en) Hardware based intruding protection device, system and method
CN110493230A (en) One kind being based on network flow application layer ddos attack detection method
US20170346844A1 (en) Mitigating Multiple Advanced Evasion Technique Attacks
CN113328976B (en) Security threat event identification method, device and equipment
Gresty et al. Requirements for a general framework for response to distributed denial-of-service
TWI640894B (en) Method of detecting internet information security and its implemented system
KR102671718B1 (en) Weblog new threat detection security system that predicts new intrusions through machine learning
KR20200009366A (en) Apparatus for detecting Slow HTTP POST DoS Attack
US20100157806A1 (en) Method for processing data packet load balancing and network equipment thereof

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130430

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140318

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20160308

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20170403

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20180404

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20190401

Year of fee payment: 13