KR100734866B1 - 비정상 패킷 탐지 방법 및 장치 - Google Patents

비정상 패킷 탐지 방법 및 장치 Download PDF

Info

Publication number
KR100734866B1
KR100734866B1 KR1020050121004A KR20050121004A KR100734866B1 KR 100734866 B1 KR100734866 B1 KR 100734866B1 KR 1020050121004 A KR1020050121004 A KR 1020050121004A KR 20050121004 A KR20050121004 A KR 20050121004A KR 100734866 B1 KR100734866 B1 KR 100734866B1
Authority
KR
South Korea
Prior art keywords
packet
predetermined field
determined
abnormal
security policy
Prior art date
Application number
KR1020050121004A
Other languages
English (en)
Other versions
KR20070060869A (ko
Inventor
강동호
오진태
김기영
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020050121004A priority Critical patent/KR100734866B1/ko
Publication of KR20070060869A publication Critical patent/KR20070060869A/ko
Application granted granted Critical
Publication of KR100734866B1 publication Critical patent/KR100734866B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 비정상 패킷 탐지 방법 및 장치에 관한 것으로, 비정상 패킷 탐지 장치는, 송신 서버로부터 수신 서버로 전송하고자 하는 패킷을 송신 서버로부터 전송받아 비정상 패킷임을 탐지하는 장치에 있어서, 패킷이 송신 서버와 수신 서버에서 세션이 성립된 이후 첫 번째 패킷인지 여부를 판단하는 세션 관리부, 세션 관리부에서 패킷이 첫 번째 패킷이라고 판단되는 경우에, 패킷이 보안 정책을 만족하는지 탐지하는 비정상 패킷 탐지부, 및 비정상 패킷 탐지부에서 패킷이 보안 정책을 만족하지 못한다고 판단되는 경우에, 상기 패킷이 비정상 패킷임을 알리는 알림부;로 구성되어, 기가급의 네트워크 환경에서 비정상 패킷을 실시간으로 탐지할 수 있다.

Description

비정상 패킷 탐지 방법 및 장치{Method and apparatus for detecting of abnormal packet}
도 1은 본 발명의 바람직한 일 실시예에 따른 비정상 패킷 탐지 장치에 대한 블록도,
도 2는 도 1의 비정상 패킷 탐지부를 보다 구체적으로 나타낸 블럭도,
도 3은 본 발명의 바람직한 일 실시예에 따른 비정상 패킷 탐지 방법에 대한 흐름도,
도 4는 도 3에서 검사하고자 하는 필드에 포함된 문자 개수를 카운팅하여 비정상 패킷을 탐지하는 방법에 대한 흐름도,
도 5는 도 3에서 검사하고자 하는 필드에서 동일하게 연속되는 동일 문자열의 개수를 카운팅하여 비정상 패킷을 탐지하는 방법에 대한 흐름도, 및
도 6은 도 1과 도 3에 적용되는 보안 정책에 대한 일 예이다.
본 발명은 비정상 패킷 탐지 방법 및 장치에 관한 것으로, 더욱 상세하게는 기가급의 네트워크 환경의 침입 탐지 시스템에서 응용계층 프로토콜을 기반으로 하 여 비정상 패킷을 실시간으로 탐지할 수 있는 방법 및 장치에 관한 것이다.
현재 대부분의 네트워크 침입 탐지 시스템은 공격 패킷에 대한 헤더(Header)의 특정 필드들과 내용(Contents)의 특정 문자열에 대한 특징적 요소를 추출하여 패킷 대 패킷으로 비교하는 오용 탐지(Misuse Detection) 기술을 주로 사용하고 있다.
이와 같은 오용 탐지 기술은 사전에 침입 유형이 존재하고, 해당 유형의 공격에 대한 특징적 요소를 침입 탐지 시스템이 알아야 탐지가 가능 한 사후 탐지 기술이다.
따라서, 버퍼 오버플로우(Buffer Overflow) 공격을 탐지하기 위해서는 공격 패킷에 대한 내용의 특정 문자열을 추출하여 모든 패킷에 대해서 해당 문자열 존재 여부를 파악한다. 이를 회피하기 위해서 변형된 형태로 자가 복제하는 Polymorphic 바이러스나 공격 코드에 의미 없는 값을 삽입하여 오용 탐지 기술을 회피하는 방법을 이용하고 있다.
여기에서, 버퍼 오버플로우(buffer overflow) 공격은 일반적으로 공격 대상 시스템의 특정 권한을 취득하거나, 특정 악성 실행 코드를 실행시키기 위해 사용되는 공격으로 웜(Worm) 전파 및 바이러스 감염에 많이 이용되는 공격 기술이다. 이러한 버퍼 오버플로우의 공격은 일반적으로 오용 탐지 기술로 탐지 가능하지만, 이를 회피하기 위해서 웜의 내용을 자체적으로 변형하거나, 공격자에 의해 변형되어 공격이 이루어진다. 변경된 코드를 가진 웜은 변형되지 않은 원본의 웜과 동일한 위해 행위를 일으키지만 오용 탐지 기술로 탐지할 수 없는 문제가 발생된다.
상기와 같이 변형된 형태의 공격을 오용 탐지 기술로 탐지하기 위해서는 변형된 형태의 공격을 확인해야만 가능하다. 하지만, 비정상 행위 탐지(Anomaly Detection) 기술은 공격 패킷의 내용에 대한 특징적 요소를 이용한 탐지 기술이 아니기 때문에 사전에 침입 유형이 존재하지 않더라도 공격에 대한 탐지가 가능한 사전 탐지 기술이다.
비정상 행위 탐지 기술은 공격 패킷의 내용에 대한 특징적 요소를 이용한 탐지기술이 아니기 때문에 알려지지 않은 공격은 탐지할 수 있는 장점이 있지만, 정상과 비정상 행위를 구분하는데 어려움이 있으며, 오용 탐지 기술보다 정상적인 행위를 침입으로 간주할 수 있는 확률이 높은 편이다. 따라서, 보다 확률 높은 탐지를 위해서 정상 또는 비정상 패킷을 구분할 수 있는 기술이 필요하게 된다.
본 발명은 전송받은 패킷 중에서 소정 필드의 필드 크기를 카운팅하여 보안 정책에 의해 정의된 임계치를 초과하거나 또는 소정 필드에 포함된 동일하게 연속되는 동일 문자열 개수가 보안 정책에 의해 정의된 임계치를 초과하는지 여부를 통하여 비정상 패킷을 탐지하는 비정상 패킷 탐지 방법 및 장치를 제공한다.
상기 기술적 과제를 해결하기 위한 본 발명의 비정상 패킷 탐지 방법은, (a) 수신된 패킷 중에서 검사하고자 하는 소정 필드를 검출하는 단계; (b) 상기 검출된 소정 필드에 포함되어 있는 문자 개수를 카운팅하는 단계; (c) 상기 카운팅된 문자 개수가 기 설정된 임계치 이상인지 판단하는 단계; 및 (d) 상기 (c)단계에서 기 설 정된 임계치 이상이라고 판단된 경우에, 상기 수신된 패킷이 비정상 패킷임을 알리는 단계;를 포함하는 것을 특징으로 가진다.
또한, 상기 기술적 과제를 해결하기 위한 본 발명의 비정상 패킷 탐지 방법은, (a) 수신된 패킷 중에서 검사하고자 하는 소정 필드를 검출하는 단계; (b) 상기 검출된 소정 필드에 포함되어 있는 동일하게 연속되는 동일 문자열 개수를 카운팅하는 단계; (c) 상기 카운팅된 동일 문자열 개수가 기 설정된 임계치 이상인지 판단하는 단계; 및 (d) 상기 (c)단계에서 기 설정된 임계치 이상이라고 판단된 경우에, 상기 수신된 패킷이 비정상 패킷임을 알리는 단계;를 포함하는 것을 특징으로 가진다.
또한, 상기 기술적 과제를 해결하기 위한 본 발명의 비정상 패킷 탐지 방법은, (a) 송신 서버로부터 수신 서버로 전송하고자 하는 패킷을 상기 송신 서버로부터 수신하는 단계; (b) 상기 패킷이 상기 송신 서버와 상기 수신 서버에서 세션이 성립된 이후 첫 번째 패킷인지 판단하는 단계; (c) 상기 패킷이 첫 번째 패킷이라고 판단되는 경우에, 상기 패킷이 보안 정책을 만족하는지 판단하는 단계; 및 (d) 상기 보안 정책을 만족하지 못한다고 판단되는 경우에, 상기 패킷이 비정상 패킷임을 알리는 단계;를 포함하는 것을 특징으로 가진다.
상기 기술적 과제를 해결하기 위한 본 발명의 비정상 패킷 탐지 장치는, 송신 서버로부터 수신 서버로 전송하고자 하는 패킷을 상기 송신 서버로부터 전송받아 상기 패킷이 비정상 패킷임을 탐지하는 장치에 있어서, 상기 패킷이 상기 송신 서버와 상기 수신 서버에서 세션이 성립된 이후 첫 번째 패킷인지 여부를 판단하는 세션 관리부; 상기 세션 관리부에서 상기 패킷이 첫 번째 패킷이라고 판단되는 경우에, 상기 패킷이 보안 정책을 만족하는지 탐지하는 비정상 패킷 탐지부; 및 상기 비정상 패킷 탐지부에서 상기 패킷이 보안 정책을 만족하지 못한다고 판단되는 경우에, 상기 패킷이 비정상 패킷임을 알리는 알림부;를 포함하는 것을 특징으로 가진다.
이하에서, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 상세히 설명한다.
도 1은 본 발명의 바람직한 일 실시예에 따른 비정상 패킷 탐지 장치(100)에 대한 블록도이다. 도 1을 참조하면, 비정상 패킷 탐지 장치(100)는 수신부(110), 세션 관리부(120), 비정상 패킷 탐지부(130), 제어부(140), 저장부(150), 알림부(160) 및 송신부(170)를 포함하여 이루어진다.
수신부(110)는 송신 서버(10)로부터 네트워크망(20)을 통하여 패킷을 전송받아 세션 관리부(120)로 출력한다. 여기에서, 송신 서버(10)로부터 수신한 패킷은 송신 서버(10)로부터 수신 서버(30)로 전송하고자 하는 패킷이다.
세션 관리부(120)는 수신부(110)를 통하여 입력받은 패킷이 송신 서버(10)와 수신 서버(20)의 양 서버 간에 세션이 성립된 이후에 전송되는 첫 번째 패킷인지 여부를 판단한다.
세션 관리부(120)는 수신부(110)를 통하여 입력받은 패킷이 송신 서버(10)와 수신 서버(20)의 양 서버 간에 세션이 성립된 이후에 전송되는 첫 번째 패킷이라고 판단되는 경우에는 수신부(110)로부터 입력받은 패킷의 사본을 생성하여 비정 상 패킷 탐지부(130)로 출력한다.
한편, 세션 관리부(120)는 수신부(110)를 통하여 입력받은 패킷이 송신 서버(10)로부터 수신 서버(20) 양 서버 간에 세션이 성립된 이후에 전송되는 첫 번째 패킷이 아니라고 판단되는 경우에는 수신부(110)로부터 입력받은 패킷을 송신부(170)로 출력한다.
송신부(170)는 세션 관리부(120)로부터 입력받은 패킷을 네트워크망(20)을 통하여 수신 서버(30)로 전송한다.
상기와 같이 세션 관리부(120)는 각 패킷 별로 세션을 관리하면서양 서버 간에 세션이 성립되고, 세션이 성립된 이후에 송신 서버에서 수신 서버로 전송하고자 하는 첫 번째 패킷만을 대상으로 하여 비정상 패킷 탐지부(130)로 출력한다. 이와 같이 첫 번째 패킷만을 대상으로 하는 것은 모든 패킷에 대해서 상황에 맞게 패킷의 데이터 영역을 파 싱하는 것이 어렵고, 또한 대부분의 공격이 세션 성립 후 첫 번째 패킷을 통해 공격을 한다는 공격 특성 때문이다.
비정상 패킷 탐지부(130)는 세션 관리부(120)로부터 입력받은 패킷 사본이 저장부(150)에 저장되어 있는 보안 정책을 만족하는지 여부를 판단한다. 비정상 패킷 탐지부(130)는 세션 관리부(120)로부터 입력받은 패킷이 보안 정책을 만족하지 않는 비정상 패킷이라고 판단되는 경우에는 제어부(140)로 비정상 패킷 알림 메시지를 출력하고, 세션 관리부(120)로부터 입력받은 패킷이 보안 정책을 만족하는 정상 패킷이라고 판단되는 경우에는 제어부(140)로 정상 패킷 알림 메시지를 출력한다.
보다 구체적으로, 비정상 패킷 탐지부(130)는 필드 길이 및/또는 동일하게 연속되는 동일 문자열의 개수를 탐지하는 방법을 통하여 세션 관리부(120)로부터 입력받은 패킷이 비정상 패킷인지 여부를 판단하게 된다. 비정상 패킷 탐지부(130)의 보다 구체적인 동작에 대하여는 도 2에서 살펴보기로 한다.
제어부(140)는 비정상 패킷 탐지부(130)로부터 비정상 패킷 알림 메시지를 전송받은 경우에 알림부(160)로 비정상 패킷 알림 메시지를 출력한다. 한편, 제어부(140)는 비정상 패킷 탐지부(130)로부터 정상 패킷 알림 메시지를 전송받은 경우에 세션 관리부(120)를 제어하여 세션 관리부(120)로부터 송신부(170)로 패킷을 출력하도록 한다.
저장부(150)는 보안 정책이 저장되어 있다. 보다 구체적으로, 보안 정책은 패킷 중에서 어떠한 필드에 대하여 검사를 수행할 것인지 여부를 나타내는 필드 정보, 해당 필드를 검사할 것인지 그냥 통과시킬 것인지를 판단하기 위해 사용되는 검사 정보, 정보 패킷을 차단할 것인지 또는 어떠한 방식으로 알릴 것인지와 같은 대응 정보 및 해당하는 필드의 필드값 길이에 대한 임계치와 해당하는 필드에 대한 동일 문자열 개수에 대한 임계치와 같은 임계치 정보가 포함되어 있다.
알림부(160)는 제어부(140)로부터 비정상 패킷 알림 메시지를 입력받아 저장부(150)에 기 저장되어 있는 보안 정책에 따라 이를 사용자에게 알리게 된다.
보다 구체적으로, 알림부(160)는 보안 정책 중에서 대응 방안에 따라 이를 사용자에게 알린다. 나아가, 대응 방안 중에서 패킷을 차단하도록 설정되어 있는 경우에 알림부(160)는 제어부(140)로 패킷 차단 메시지를 출력한다.
제어부(140)는 알림부(160)로부터 패킷 차단 메시지를 전송받는 경우에 세션 관리부(120)를 제어하여 패킷이 네트워크망(20)을 통하여 수신 서버(30)로 전송되는 것을 차단하도록 제어한다.
송신부(170)는 세션 관리부(120)로부터 패킷 원본을 입력받고 제어부(140)의 제어에 따라 패킷을 네트워크망(20)을 통하여 수신 서버(30)로 전송한다.
도 2는 도 1의 비정상 패킷 탐지부(130)를 보다 구체적으로 나타낸 블럭도이다. 도 2를 참조하면, 비정상 패킷 탐지부(130)는 파싱부(132), 필드 크기 탐지부(134) 및 동일 문자열 탐지부(136)로 이루어진다.
파싱부(132)는 세션 관리부(120)로부터 입력받은 패킷 중에서 보안 정책에 따라 검사하고자 하는 소정 필드를 검출하는 역할을 수행한다.
파싱부(132)는 검출된 소정 필드를 필드 크기 탐지부(134)와 동일 문자열 탐지부(136)로 출력한다.
필드 크기 탐지부(134)는 파싱부(132)에서 검출된 소정 필드에 포함되어 있는 문자 개수를 카운팅하고, 카운팅된 문자 개수가 보안 정책에 따라서 기 설정된 임계치 이상인지 판단하며, 기 설정된 임계치 이상이라고 판단되는 경우에 필드 크기 탐지부(134)는 파싱부(132)로 비정상 패킷 탐지 알림 메시지를 출력한다.
동일 문자열 탐지부(136)는 검출된 소정 필드에 포함되어 있는 동일하게 연속되는 동일 문자열 개수를 카운팅하고, 카운팅된 동일 문자열 개수가 기 설정된 임계치 이상인지 판단하며, 기 설정된 임계치 이상이라고 판단되는 경우에 동일 문자열 탐지부(136)는 파싱부(132)로 비정상 패킷 탐지 알림 메시지를 출력한다.
파싱부(132)는 필드 크기 탐지부(134) 및 동일 문자열 탐지부(136) 중 적어도 어느 하나로부터 비정상 패킷 탐지 알림 메시지를 전송받은 경우에 비정상 패킷 탐지 알림 메시지를 제어부(140)로 출력한다. 한편, 파싱부(132)는 필드 크기 탐지부(134) 및 동일 문자열 탐지부(136)로부터 비정상 패킷 탐지 알림 메시지를 전송받지 못하는 경우에 정상 패킷 알림 메시지를 제어부(140)로 출력한다.
도 3은 본 발명의 바람직한 일 실시예에 따른 비정상 패킷 탐지 방법에 대한 흐름도이다. 도 3을 참조하면, 먼저, 비정상 패킷 탐지 장치(도 1의 참조번호 100)는 송신 서버(도 1의 참조번호 10)로부터 패킷을 수신한다(S300). 여기에서, 송신 서버(10)로부터 수신한 패킷은 송신 서버(10)로부터 수신 서버(도 1의 참조번호 30)로 전송하고자 하는 패킷이다.
다음으로, 비정상 패킷 탐지 장치(100)는 단계S300에서 수신한 패킷이 송신 서버(10)와 수신 서버(30)에서 세션이 성립된 이후에 첫 번째 패킷인지 여부를 판단한다(S310).
단계S310에서의 판단결과, 첫 번째 패킷이 아니라고 판단되는 경우에는 단계S345로 진행하여 패킷을 수신 서버(30)로 전송한다. 한편, 단계S310에서의 판단결과, 첫 번째 패킷이라고 판단되는 경우에는 단계S320으로 진행하여 기 저장되어 있는 보안 정책을 로딩한다. 이와 같이, 비정상 패킷 탐지 장치(100)는 송신 서버(10)와 수신 서버(30)에서 세션이 성립된 이후에 첫 번째 패킷에 대하여 비정상 패킷인지 여부를 탐지하게 된다.
단계S320 이후로는, 단계S300에서 수신한 패킷이 단계S320에서 로딩한 보안 정책을 만족하는지 여부를 판단한다(S330).
단계S330에서의 판단결과, 단계S300에서 수신한 패킷이 단계S320에서 로딩한 보안 정책을 만족한다고 판단되는 경우에는 단계S345로 진행하여 패킷을 수신 서버(30)로 전송한다. 한편, 단계S330에서의 판단결과, 단계S300에서 수신한 패킷이 단계S320에서 로딩한 보안 정책을 만족하지 않는다고 판단되는 경우에는 단계S350으로 진행하여 단계S300에서 수신한 패킷이 비정상 패킷임을 알림부(도 1의 참조번호 160)을 통하여 알리게 된다.
도 3의 단계S350에서는 단계S300에서 수신한 패킷이 비정상 패킷임을 알리는 것으로만 설명되어 있다. 여기에서 송신 서버(10)로부터 전송된 패킷을 수신 서버(30)로 전송하지 않고 차단할 수도 있고, 나아가 송신 서버(10)로부터 전송된 패킷을 수신 서버(30)로 전송할 수도 있다.
단계S345와 단계S350 다음으로 종료한다.
도 3에서 미 설명된 부분은 도 1과 도 2를 참조하기로 한다.
도 4는 도 3에서 검사하고자 하는 필드에 포함된 문자 개수를 카운팅하여 비정상 패킷을 탐지하는 방법에 대한 흐름도이다. 도 4를 참조하면, 비정상 패킷 탐지 장치(100)의 비정상 패킷 탐지부(130)가 동작의 주체가 된다. 도 4는 패킷에서 소정 필드의 크기가 기 설정된 임계치 이상이라고 판단되는 경우, 즉 필드 크기가 너무 큰 경우에 패킷을 비정상 패킷으로 탐지하기 위한 방법이다.
먼저, 비정상 패킷 탐지부(130)는 송신 서버(10)로부터 전송받은 패킷 중에서 보안 정책에 따라서 탐지하고자 하는 소정 필드를 검출한다(S400).
다음으로, 필드 시작 구분자인지 여부를 판단한다(S410).
단계S410에서의 판단결과, 필드 시작 구분자가 아니라고 판단되는 경우에는 단계S400으로 복귀한다. 한편, 단계S410에서의 판단결과, 필드 시작 구분자라고 판단되는 경우에는 단계S420으로 진행하여 소정 필드의 최초 문자를 읽는다.
단계S420 다음으로, 필드 끝 구분자인지 여부를 판단한다(S430).
단계S430에서의 판단결과, 필드 끝 구분자라고 판단되는 경우에는 단계S480으로 진행하여 정상 패킷 알림 메시지를 생성하여 제어부(도 1의 참조번호 140)로 출력한다. 한편, 단계S430에서의 판단결과, 필드 끝 구분자가 아니라고 판단되는 경우에는 단계S440으로 진행하여 문자 개수를 카운팅한다. 여기에서, 문자 개수 카운팅은 최초 문자이면 1회로 카운팅되며, 단계S440이 반복적으로 수행되면 순차적으로 1회씩 증가하며 카운팅된다.
다음으로, 단계S440에서 카운팅된 문자 개수가 보안 정책에서 기 설정된 임계치를 초과하였는지 여부를 판단한다(S450). 보다 구체적으로 예를 들면, 보안 정책에서 기 설정된 임계치가 10이라고 설정되어 있고, 단계S440을 반복하여 문자 개수 카운팅이 11이 된 경우에 단계S450에서는 기 설정된 임계치를 초과하였다고 판단한다.
단계S450에서의 판단결과, 단계S440에서 카운팅된 문자 개수가 보안 정책에서 기 설정된 임계치를 초과하였다고 판단되는 경우에는 단계S470으로 진행하여 비정상 패킷 알림 메시지를 생성하여 제어부(140)로 출력한다.
한편, 단계S450에서의 판단결과, 단계S440에서 카운팅된 문자 개수가 보안 정책에서 기 설정된 임계치를 초과하지 않았다고 판단되는 경우에는 단계S460으로 진행하여 다음 문자를 읽고, 단계S430으로 복귀한다.
도 4에서 동작이 종료되기 위해서는 단계S430에서 필드 끝 구분자가 나타난다고 판단되어 단계S480을 거쳐서 종료하거나, 단계S450에서 소정 필드의 문자 개수가 기 설정된 임계치를 초과한다고 판단되어 단계S470을 거쳐 종료하는 것이다. 이와 같이, 소정 필드에 포함되어 있는 문자 개수를 카운팅하다고 보안 정책에서 기 설정된 임계치를 초과한 경우에 비정상 패킷 알림 메시지를 생성하여 출력하거나, 소정 필드에 포함되어 있는 문자의 개수를 카운팅하다가 필드 끝 구분자를 만나는 경우 즉 필드에 포함된 모든 문자를 카운팅하였으나 임계치를 초과하지 않는 경우에는 정상 패킷 알림 메시지를 생성하여 출력하는 것이다.
도 5는 도 3에서 검사하고자 하는 필드에서 동일하게 연속되는 동일 문자열의 개수를 카운팅하여 비정상 패킷을 탐지하는 방법에 대한 흐름도이다. 도 5를 참조하면, 비정상 패킷 탐지 장치(100)의 비정상 패킷 탐지부(130)가 동작의 주체가 된다. 도 5는 패킷에서 소정 필드에서 동일하게 연속되는 동일 문자열의 개수가 기 설정된 임계치 이상이라고 판단되는 경우, 즉 동일 문자열의 개수가 너무 많은 경우에 패킷을 비정상 패킷으로 탐지하기 위한 방법이다.
먼저, 비정상 패킷 탐지부(130)는 송신 서버(10)로부터 전송받은 패킷 중에서 보안 정책에 따라서 탐지하고자 하는 소정 필드를 검출한다(S500).
다음으로, 필드 시작 구분자인지 여부를 판단한다(S510).
단계S510에서의 판단결과, 필드 시작 구분자가 아니라고 판단되는 경우에는 단계S500으로 복귀한다. 한편, 단계S510에서의 판단결과, 필드 시작 구분자라고 판단되는 경우에는 단계S520으로 진행하여 소정 필드의 최초 문자를 읽는다.
단계S520 다음으로, 필드 끝 구분자인지 여부를 판단한다(S530).
단계S530에서의 판단결과, 필드 끝 구분자라고 판단되는 경우에는 단계S585로 진행하여 정상 패킷 알림 메시지를 생성하여 제어부(140)로 출력한다. 한편, 단계S530에서의 판단결과, 필드 끝 구분자가 아니라고 판단되는 경우에는 단계S540으로 진행하여 현재 문자를 저장한다.
다음으로, 이전 문자와 현재 문자가 동일한 동일 문자열인지 여부를 판단한다(S550). 여기에서, 이전 문자가 저장되어 있지 않는 경우 즉 소정 필드의 최초 문자를 읽는 경우에는 단계S550에서는 동일 문자열이 아니라고 판단된다.
단계S550에서 동일 문자열이라고 판단되는 경우에는 단계S560으로 진행하여 동일 문자열 개수를 카운팅한다.
단계S560 다음으로, 동일 문자열 개수가 보안 정책에서 기 설정된 임계치를 초과하는지 여부를 판단한다(S570).
단계S570에서의 판단결과, 단계S560에서 카운팅된 동일 문자열 개수가 보안 정책에서 기 설정된 임계치를 초과하지 않는다고 판단되는 경우에는 단계S554로 진행하여 현재 문자를 이전 문자로 저장하고, 단계S556으로 진행하여 다음 문자를 읽으며, 단계S530으로 복귀한다.
한편, 단계S570에서의 판단결과, 단계S560에서 카운팅된 문자 개수가 보안 정책에서 기 설정된 임계치를 초과한다고 판단되는 경우에는 단계S580으로 진행하 여 비정상 패킷 알림 메시지를 생성하여 출력한다.
한편, 단계S550에서 동일 문자열이 아니라고 판단되는 경우에는 단계S552로 진행하여 동일 문자열 카운팅 개수를 초기화하고, 단계S554로 진행하여 현재 문자를 이전 문자로 저장하고, 단계S556으로 진행하여 다음 문자를 읽으며, 단계S530으로 복귀한다.
도 5에서 동작이 종료되기 위해서는 단계S530에서 필드 끝 구분자가 나타난다고 판단되어 단계S585를 거쳐서 종료하거나, 단계S570에서 소정 필드의 문자 개수가 보안 정책에서 기 설정된 임계치를 초과한다고 판단되어 단계S580을 거쳐서 종료하는 것이다. 이와 같이, 소정 필드에 포함되어 있는 문자 개수를 카운팅하다고 보안 정책에서 기 설정된 임계치를 초과한 경우에 비정상 패킷 알림 메시지를 생성하여 출력하거나, 소정 필드에 포함되어 있는 문자의 개수를 카운팅하다가 필드 끝 구분자를 만나는 경우 즉 필드에 포함된 모든 문자들의 동일 문자열들을 카운팅하였으나 동일 문자열들 각각이 임계치를 초과하지 않는 경우에는 정상 패킷 알림 메시지를 생성하여 출력하는 것이다.
도 6은 도 1과 도 3에 적용되는 보안 정책의 일 예이다. 도 6을 참조하면, 보안 정책은 저장부(160)에 저장되어 있다. 여기에서 보안 정책은 사용자의 요구사항을 반영한 것으로, 보안 정책(600)으로는 필드 정보(610), 검사 정보(620), 대응 정보(630) 및 임계치 정보(640)를 포함하여 이루어진다.
필드 정보(610)는 패킷 중에서 어떠한 필드에 대하여 검사를 수행할 것인지 여부를 나타내는 정보이다.
검사 정보(620)는 해당 필드를 검사할 것인지 그냥 통과시킬 것인지를 판단하기 위해 사용되는 정보이다.
대응 정보(630)은 필드 정보, 패킷을 차단할 것인지 또는 어떠한 방식으로 알릴 것인지와 같은 정보이다.
임계치 정보(640)는 해당하는 필드의 필드 크기에 대한 임계치와 해당하는 필드에 대한 동일 문자열 개수에 대한 임계치와 같은 정보이다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD_ROM, 자기테이프, 플로피디스크 및 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다.
이상에서와 같이 도면과 명세서에서 최적 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정 해져야 할 것이다.
본 발명은 비정상 패킷 탐지 방법 및 장치에 관한 것으로 다음과 같은 효과가 있다.
본 발명은, 기가급의 고속 네트워크 환경에서의 비정상 패킷을 실시간으로 감지하고 대응하도록 하기 위하여 하드웨어 기반의 비정상 행위 분석 방법 및 장치를 제공할 수 있다.
그리고, 본 발명은 종래 오용 탐지 기술의 문제점을 극복하기 위한 것으로 필드 크기에 대한 임계치와 필드에서 특정 문자가 연속되는 동일 문자열에 대한 임계치를 판단하여 버퍼 오버 플로우성 공격을 탐지함으로써 원본의 웜 및 변형된 형태의 웜도 탐지할 수 있다.
또한, 하드웨어 기반으로 제공하기 때문에 보다 빠르게 광역 망에서도 탐지를 가능하게 할 수 있어, 버퍼 오버 플로우성 공격에 대한 네트워크상의 피해를 최소화할 수 있다.

Claims (17)

  1. (a) 수신된 패킷 중에서 검사하고자 하는 소정 필드를 검출하는 단계;
    (b) 상기 검출된 소정 필드에 포함되어 있는 문자 개수를 카운팅하는 단계;
    (c) 상기 카운팅된 문자 개수가 기 설정된 임계치 이상인지 판단하는 단계; 및
    (d) 상기 (c)단계에서 기 설정된 임계치 이상이라고 판단된 경우에, 상기 수신된 패킷이 비정상 패킷임을 알리는 단계;를 포함하는 것을 특징으로 하는 비정상 패킷 탐지 방법.
  2. 제 1 항에 있어서,
    (d') 상기 (c)단계에서 기 설정된 임계치 이상이 아니라고 판단된 경우에, 상기 수신된 패킷이 비정상 패킷이 아님을 알리는 단계;를 더 포함하는 것을 특징으로 하는 비정상 패킷 탐지 방법.
  3. 제 1 항에 있어서, 상기 (b)단계는
    (b1) 상기 소정 필드의 시작 구분자를 입력받아 상기 소정 필드의 문자 개수 카운팅을 시작하는 단계;
    (b2) 상기 소정 필드의 끝 구분자인지 여부를 판단하는 단계; 및
    (b3) 상기 (b2)단계에서 소정 필드의 끝 구분자라고 판단되지 않는 경우에, 상기 소정 필드의 문자 개수 카운팅을 수행하고 상기 (b2)단계로 복귀하는 단계;를 더 포함하되,
    상기 (b2)단계에서 소정 필드의 끝 구분자라고 판단된 경우에, 상기 (c)단계로 진행하는 것을 특징으로 하는 비정상 패킷 탐지 방법.
  4. (a) 수신된 패킷 중에서 검사하고자 하는 소정 필드를 검출하는 단계;
    (b) 상기 검출된 소정 필드에 포함되어 있는 동일하게 연속되는 동일 문자열 개수를 카운팅하는 단계;
    (c) 상기 카운팅된 동일 문자열 개수가 기 설정된 임계치 이상인지 판단하는 단계; 및
    (d) 상기 (c)단계에서 기 설정된 임계치 이상이라고 판단된 경우에, 상기 수신된 패킷이 비정상 패킷임을 알리는 단계;를 포함하는 것을 특징으로 하는 비정상 패킷 탐지 방법.
  5. 제 4 항에 있어서,
    (d') 상기 (c)단계에서 기 설정된 임계치 이상이 아니라고 판단된 경우에, 상기 수신된 패킷이 비정상 패킷이 아님을 알리는 단계;를 더 포함하는 것을 특징으로 하는 비정상 패킷 탐지 방법.
  6. 제 4 항에 있어서, 상기 (b)단계는
    (b1) 상기 소정 필드의 문자 중에서 상위 문자와 하위 문자가 동일하게 연속되는 동일 문자열이 존재하는지 판단하는 단계;
    (b2) 상기 동일 문자열이 존재한다고 판단되는 경우에, 상기 동일 문자열 개수를 카운팅하는 단계;
    (b3) 상기 소정 필드의 끝 구분자인지 여부를 판단하는 단계; 및
    (b4) 상기 (b3)단계에서 소정 필드의 끝 구분자라고 판단되지 않는 경우에, 상기 동일 문자열 개수 카운팅을 수행하고 상기 (b2)단계로 복귀하는 단계;를 더 포함하되,
    상기 (b3)단계에서 소정 필드의 끝 구분자라고 판단된 경우에, 상기 (c)단계로 진행하는 것을 특징으로 하는 비정상 패킷 탐지 방법.
  7. (a) 송신 서버로부터 수신 서버로 전송하고자 하는 패킷을 상기 송신 서버로부터 수신하는 단계;
    (b) 상기 패킷이 상기 송신 서버와 상기 수신 서버에서 세션이 성립된 이후 첫 번째 패킷인지 판단하는 단계;
    (c) 상기 패킷이 첫 번째 패킷이라고 판단되는 경우에, 상기 패킷이 보안 정책을 만족하는지 판단하는 단계; 및
    (d) 상기 보안 정책을 만족하지 못한다고 판단되는 경우에, 상기 패킷이 비정상 패킷임을 알리는 단계;를 포함하는 것을 특징으로 하는 비정상 패킷 탐지 방법.
  8. 제 7 항에 있어서, 상기 (c)단계는
    (c1) 상기 패킷 중에서 상기 보안 정책에 따라서 검사하고자 하는 소정 필드를 검출하는 단계;
    (c2) 상기 검출된 소정 필드에 포함되어 있는 문자 개수를 카운팅하는 단계;
    (c3) 상기 카운팅된 문자 개수가 상기 보안 정책에 따라서 기 설정된 임계치 이상인지 판단하는 단계; 및
    (c4) 상기 (c3)단계에서 기 설정된 임계치 이상이라고 판단된 경우에, 상기 패킷이 보안 정책을 만족하지 못한다고 판단하는 단계;를 포함하는 것을 특징으로 하는 비정상 패킷 탐지 방법.
  9. 제 8 항에 있어서, 상기 (c2)단계는
    (c21) 상기 소정 필드의 시작 구분자를 입력받아 상기 소정 필드의 문자 개수 카운팅을 시작하는 단계;
    (c22) 상기 소정 필드의 끝 구분자인지 여부를 판단하는 단계; 및
    (c23) 상기 (c22)단계에서 소정 필드의 끝 구분자라고 판단되지 않는 경우에, 상기 소정 필드의 문자 개수 카운팅을 수행하고 상기 (c22)단계로 복귀하는 단계;를 더 포함하되,
    상기 (c22)단계에서 소정 필드의 끝 구분자라고 판단된 경우에, 상기 (c3)단계로 진행하는 것을 특징으로 하는 비정상 패킷 탐지 방법.
  10. 제 7 항에 있어서, 상기 (c)단계는
    (c1) 상기 패킷 중에서 검사하고자 하는 소정 필드를 검출하는 단계;
    (c2) 상기 검출된 소정 필드에 포함되어 있는 동일하게 연속되는 동일 문자열 개수를 카운팅하는 단계;
    (c3) 상기 카운팅된 동일 문자열 개수가 기 설정된 임계치 이상인지 판단하는 단계; 및
    (c4) 상기 (c3)단계에서 기 설정된 임계치 이상이라고 판단된 경우에, 상기 수신된 패킷이 보안 정책을 만족하지 못한다고 판단하는 단계;를 포함하는 것을 특징으로 하는 비정상 패킷 탐지 방법.
  11. 제 10 항에 있어서, 상기 (c2)단계는
    (c21) 상기 소정 필드의 문자 중에서 상위 문자와 하위 문자가 동일하게 연속되는 동일 문자열이 존재하는지 판단하는 단계;
    (c22) 상기 동일 문자열이 존재한다고 판단되는 경우에, 상기 동일 문자열 개수를 카운팅하는 단계;
    (c23) 상기 소정 필드의 끝 구분자인지 여부를 판단하는 단계; 및
    (c24) 상기 (c23)단계에서 소정 필드의 끝 구분자라고 판단되지 않는 경우에, 상기 소정 필드의 동일 문자열 개수 카운팅을 수행하고 상기 (c22)단계로 복귀하는 단계;를 더 포함하되,
    상기 (c23)단계에서 소정 필드의 끝 구분자라고 판단된 경우에, 상기 (c3)단계로 진행하는 것을 특징으로 하는 비정상 패킷 탐지 방법.
  12. 제 7 항에 있어서,
    (c') 상기 패킷이 첫 번째 패킷이 아니라고 판단되는 경우에, 상기 패킷을 상기 수신 서버로 전송하는 단계;를 더 포함하되,
    상기 (d)단계를 수행하지 않는 것을 특징으로 하는 비정상 패킷 탐지 방법.
  13. 송신 서버로부터 수신 서버로 전송하고자 하는 패킷을 상기 송신 서버로부터 전송받아 상기 패킷이 비정상 패킷임을 탐지하는 장치에 있어서,
    상기 패킷이 상기 송신 서버와 상기 수신 서버에서 세션이 성립된 이후 첫 번째 패킷인지 여부를 판단하는 세션 관리부;
    상기 세션 관리부에서 상기 패킷이 첫 번째 패킷이라고 판단되는 경우에, 상기 패킷이 보안 정책을 만족하는지 탐지하는 비정상 패킷 탐지부; 및
    상기 비정상 패킷 탐지부에서 상기 패킷이 보안 정책을 만족하지 못한다고 판단되는 경우에, 상기 패킷이 비정상 패킷임을 알리는 알림부;를 포함하는 것을 특징으로 하는 비정상 패킷 탐지 장치.
  14. 제 13 항에 있어서, 상기 비정상 패킷 탐지부는
    상기 패킷 중에서 검사하고자 하는 소정 필드를 검출하는 파싱부; 및
    상기 검출된 소정 필드에 포함되어 있는 문자 개수를 카운팅하고, 상기 카운팅된 문자 개수가 상기 보안 정책에 따라서 기 설정된 임계치 이상인지 여부를 판단하며, 기 설정된 임계치 이상이라고 판단되는 경우에 상기 패킷이 보안 정책을 만족하지 못한다고 탐지하는 필드 크기 탐지부;를 포함하는 것을 특징으로 하는 비정상 패킷 탐지 장치.
  15. 제 13 항에 있어서, 상기 비정상 패킷 탐지부는
    상기 패킷 중에서 검사하고자 하는 소정 필드를 검출하는 파싱부; 및
    상기 검출된 소정 필드에 포함되어 있는 동일하게 연속되는 동일 문자열 개수를 카운팅하고, 상기 카운팅된 동일 문자열 개수가 기 설정된 임계치 이상인지 판단하며, 기 설정된 임계치 이상이라고 판단되는 경우에 상기 패킷이 보안 정책을 만족하지 못한다고 탐지하는 동일 문자열 탐지부;를 포함하는 것을 특징으로 하는 비정상 패킷 탐지 장치.
  16. 제 13 항에 있어서, 상기 비정상 패킷 탐지부는
    상기 패킷 중에서 검사하고자 하는 소정 필드를 검출하는 파싱부;
    상기 검출된 소정 필드에 포함되어 있는 문자 개수를 카운팅하고, 상기 카운팅된 문자 개수가 상기 보안 정책에 따라서 기 설정된 임계치 이상인지 판단하며, 기 설정된 임계치 이상이라고 판단되는 경우에 상기 수신된 패킷이 보안 정책을 만족하지 못한다고 탐지하는 필드 크기 탐지부; 및
    상기 검출된 소정 필드에 포함되어 있는 동일하게 연속되는 동일 문자열 개수를 카운팅하고, 상기 카운팅된 동일 문자열 개수가 기 설정된 임계치 이상인지 판단하며, 기 설정된 임계치 이상이라고 판단되는 경우에 상기 수신된 패킷이 보안 정책을 만족하지 못한다고 탐지하는 동일 문자열 탐지부;를 포함하는 것을 특징으로 하는 비정상 패킷 탐지 장치.
  17. 제 13 항에 있어서,
    상기 비정상 패킷 탐지부에서 상기 패킷이 보안 정책을 만족한다고 탐지되는 경우에, 상기 패킷이 상기 수신 서버로 전송되도록 제어하는 제어부;를 더 포함하는 것을 특징으로 하는 비정상 패킷 탐지 장치.
KR1020050121004A 2005-12-09 2005-12-09 비정상 패킷 탐지 방법 및 장치 KR100734866B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050121004A KR100734866B1 (ko) 2005-12-09 2005-12-09 비정상 패킷 탐지 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050121004A KR100734866B1 (ko) 2005-12-09 2005-12-09 비정상 패킷 탐지 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20070060869A KR20070060869A (ko) 2007-06-13
KR100734866B1 true KR100734866B1 (ko) 2007-07-03

Family

ID=38356831

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050121004A KR100734866B1 (ko) 2005-12-09 2005-12-09 비정상 패킷 탐지 방법 및 장치

Country Status (1)

Country Link
KR (1) KR100734866B1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100894908B1 (ko) * 2007-05-15 2009-04-30 고려대학교 산학협력단 인터넷 기반 음성 서비스에서 비정상 패킷을 탐지하는 방법및 컴퓨터로 읽을 수 있는 매체
KR102372329B1 (ko) * 2016-01-26 2022-03-08 에스케이텔레콤 주식회사 시스템 이상 탐지 장치 및 방법
CN106230863B (zh) * 2016-09-19 2019-05-07 成都知道创宇信息技术有限公司 一种基于WAF的ReDoS攻击检测方法
KR102269652B1 (ko) * 2019-09-24 2021-06-25 국민대학교산학협력단 보안관제 데이터 분석을 위한 머신러닝 기반의 학습 벡터 생성 장치 및 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030057929A (ko) * 2001-12-29 2003-07-07 (주)대정아이앤씨 내·외부망 통합 보안 시스템 및 방법
KR20040036228A (ko) * 2002-10-24 2004-04-30 한국전자통신연구원 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030057929A (ko) * 2001-12-29 2003-07-07 (주)대정아이앤씨 내·외부망 통합 보안 시스템 및 방법
KR20040036228A (ko) * 2002-10-24 2004-04-30 한국전자통신연구원 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법

Also Published As

Publication number Publication date
KR20070060869A (ko) 2007-06-13

Similar Documents

Publication Publication Date Title
EP2618538B1 (en) Apparatus, Method and Medium for Detecting Payload Anomaly using N-Gram Distribution of Normal Data
US8032937B2 (en) Method, apparatus, and computer program product for detecting computer worms in a network
US7328349B2 (en) Hash-based systems and methods for detecting, preventing, and tracing network worms and viruses
US8375445B2 (en) Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method
EP2095604B1 (en) Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis
US20090158435A1 (en) Hash-based systems and methods for detecting, preventing, and tracing network worms and viruses
JP2010152773A (ja) 攻撃判定装置及び攻撃判定方法及びプログラム
US20090178140A1 (en) Network intrusion detection system
US20130167219A1 (en) Apparatus and method for cyber-attack prevention
KR102119718B1 (ko) 의심스러운 전자 메시지를 검출하기 위한 기술
US20170353478A1 (en) Packet relay apparatus
JP2009017269A (ja) ネットワーク制御装置、ネットワーク制御方法、およびプログラム
KR100734866B1 (ko) 비정상 패킷 탐지 방법 및 장치
JP2007323428A (ja) ボット検出装置、ボット検出方法、およびプログラム
CN112583850A (zh) 网络攻击防护方法、装置及系统
JP2007074339A (ja) 拡散型不正アクセス検出方法および拡散型不正アクセス検出システム
CN113660251B (zh) 减少waf误报方法、系统、存储介质及终端设备
KR100862321B1 (ko) 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치
KR100767803B1 (ko) 네트워크 이상행위 기반의 네트워크 공격 탐지 방법 및장치
KR100518844B1 (ko) 네트워크 패킷 검사 방법
KR101262845B1 (ko) Uri컨텐츠 식별을 이용한 웹 부하 공격 차단 장치 및 공격 차단 방법
CN115086068B (zh) 一种网络入侵检测方法和装置
US8806211B2 (en) Method and systems for computer security
CN109684831B (zh) 一种检测计算机网络病毒的方法和装置
JP2005228230A (ja) ワーム検出方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
G170 Publication of correction
FPAY Annual fee payment

Payment date: 20130527

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140529

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150527

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee