KR100745678B1 - 트래픽 패턴 분석에 의한 망 공격 탐지장치 및 방법 - Google Patents
트래픽 패턴 분석에 의한 망 공격 탐지장치 및 방법 Download PDFInfo
- Publication number
- KR100745678B1 KR100745678B1 KR1020050119824A KR20050119824A KR100745678B1 KR 100745678 B1 KR100745678 B1 KR 100745678B1 KR 1020050119824 A KR1020050119824 A KR 1020050119824A KR 20050119824 A KR20050119824 A KR 20050119824A KR 100745678 B1 KR100745678 B1 KR 100745678B1
- Authority
- KR
- South Korea
- Prior art keywords
- traffic
- pattern
- traffic pattern
- packet
- abnormal
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 망으로 유입되는 트래픽에 대해 패킷 플로우의 기반의 트래픽 패턴을 분석함으로써 비정상적인 트래픽에 의한 망 공격을 조기에 탐지하는 망 공격 탐지장치 및 방법에 관한 것이다.
본 발명은 다수의 외부공격에 의한 비정상적인 트래픽 패턴 및 다수의 정상적인 트래픽 패턴을 저장하는 패턴 DB; 망에 입력되는 패킷 플로우에 대한 이상징후를 검사하는 패킷검사부; 이상징후가 있는 패킷 플로우를 수집하고 상기 패킷 플로우에 대한 트래픽 패턴을 추출하는 패턴추출부; 상기 추출된 트래픽 패턴과 상기 패턴 DB에 저장된 트래픽 패턴을 비교하여 상기 트래픽 패턴이 외부공격에 의한 트래픽 패턴인지를 분석하는 트래픽 분석부; 외부공격에 의한 트래픽 패턴인 경우, 상기 트래픽에 대한 대응책을 결정하고 그 대응책에 따라 대응하는 트래픽 대응부; 및 외부 공격에 의한 트래픽 패턴이 아닌 경우 설정된 시간 동안 트래픽 패턴을 모니터링하고 상기 설정시간 경과 후의 트래픽 패턴을 추출하여 상기 트래픽 분석부로 전달하는 트래픽 감시부를 포함한다.
망 공격, 트래픽 패턴, 패킷 플로우, 이상징후, 탐지
Description
도 1은 본 발명의 일 실시 예에 따른 트래픽 패턴 분석에 의한 망 공격 탐지장치의 구성블럭도이다.
도 2는 본 발명의 일 실시 예에 따른 패턴 DB의 구조도이다.
도 3은 본 발명의 일 실시 예에 따른 트래픽 분석에 의한 망 공격 탐지방법을 보이는 흐름도이다.
도 4는 본 발명의 실시 예에 따른 트래픽 패턴 분석 과정을 보이는 흐름도이다.
* 도면의 주요 부분에 대한 부호의 설명 *
10 : 패킷 검사부 20 : 패턴추출부
30 : 트래픽 분석부 40 : 패턴 데이터베이스(DB)
50 : 트래픽 대응부 60 : 트래픽 감시부
본 발명은 망에 대한 공격 탐지에 관한 것으로서, 특히 망 장비로 유입되는 트래픽에 대해 플로우 단위의 트래픽 패턴을 분석하여 비정상적인 트래픽에 의한 망 공격을 조기에 탐지함으로써 망 공격에 대한 조기 대응 및 예방이 가능하도록 하는 트래픽 패턴 분석에 의한 망 공격 탐지장치 및 방법에 관한 것이다.
최근 바이러스나 고의적인 의도로 망에 접근하여 비정상적인 트래픽을 발생시켜 망을 마비시킬 정도의 피해를 입히는 사례들이 늘고 있다. 따라서 이에 대한 피해를 최소화하기 위해 망 보호(Security)에 관한 연구 역시 이들 현상의 분석 및 대응 방안 모색에 관한 내용들을 활발히 연구하고 있다. 그러나 지능적으로 대응하여 이런 상황을 예방할 수 있는 방안은 아직 존재하지 않는 실정이다. 대신 실시간적인 망 감시를 통해 비정상적인 트래픽 발생 확인에 따른 대응의 방법들을 주로 이용한다.
이러한 상황은 시간이 경과하더라도 변화되지 않는 상황으로서, 망 보호는 비정상적인 트래픽 현상 발생의 조기 발견과 신속한 대처 및 같은 유형의 비정상적인 트래픽이 재발생되지 않도록 방지하는 것에 관한 연구가 주류를 이룰 것이다.
이에 대한 방법들의 예로는, 단순히 바이트나 패킷 단위의 트래픽량을 측정하거나 넷플로우(NetFlow) 등 플로우 개념에 기반한 트래픽 측정을 수행하는 방법 등이 있다. 침입의 경우는 1 패킷 플로우를 단시간에 많이 생성함으로써 망의 부하를 증가시켜 망을 마비시키는 경우가 있는데, 이때에는 플로우 기반의 측정을 통하여 실시간으로 트래픽을 모니터링한 결과, 갑작스런 트래픽의 증가가 감지될 경우 이를 침입의 경우로 보고 분석 및 대처하는 방법이다.
그러나, 이러한 방법들은 실제 트래픽을 관찰하여 얻어지는 결과를 그 대상으로 하는 것으로서, 이미 침입이 많이 진행된 상황이거나 공격을 당한 후일 경우가 높다. 이러한 피해 사례를 줄이기 위해서는 조금이라도 빨리 탐지를 하고 조금이라도 빨리 대응을 하는 방법이 효율적이나, 이에 대한 연구는 거의 진행된 바가 없다.
따라서, 본 발명은 상기한 종래의 문제점 해결을 위해 제안된 것으로서, 트래픽 모니터링 결과를 기다리는 대신, 망으로의 트래픽 유입시 플로우 개념을 기반으로 트래픽의 패턴을 분석하여 비정상적인 트래픽에 의한 망 공격을 조기에 탐지하는 트래픽 패턴 분석에 의한 망 공격 탐지장치 및 방법을 제공하는데 그 목적이 있다.
또한, 본 발명의 다른 목적은 효율적인 트래픽 패턴 분석을 통하여 보다 정확하게 비정상적인 트래픽을 판별해 내는 망 공격 탐지장치 및 방법을 제공하는데 있다.
삭제
상기 목적을 달성하기 위한 본 발명의 트래픽 패턴 분석에 의한 망 공격 탐지장치는,
다수의 외부공격에 의한 비정상적인 다수의 트래픽 패턴 및 다수의 정상적인 트래픽 패턴을 저장하는 패턴 DB; 망에 입력되는 패킷 플로우에 대한 이상징후를 검사하는 패킷검사부; 상기 검사결과 이상징후가 있는 패킷 플로우를 수집하고 상기 패킷 플로우에 대한 트래픽 패턴을 추출하는 패턴추출부; 상기 추출된 트래픽 패턴과 상기 패턴 DB에 저장된 트래픽 패턴을 비교하여 상기 트래픽 패턴이 외부공격에 의한 트래픽 패턴인지를 분석하는 트래픽 분석부; 외부공격에 의한 트래픽 패턴인 경우, 상기 트래픽에 대한 대응책을 결정하고 그 대응책에 따라 대응하는 트래픽 대응부; 및 외부 공격에 의한 트래픽 패턴이 아닌 경우 설정된 시간 동안 트래픽 패턴을 모니터링하고 상기 설정시간 경과 후의 트래픽 패턴을 추출하여 상기 트래픽 분석부로 전달하는 트래픽 감시부를 포함한다.
다수의 외부공격에 의한 비정상적인 다수의 트래픽 패턴 및 다수의 정상적인 트래픽 패턴을 저장하는 패턴 DB; 망에 입력되는 패킷 플로우에 대한 이상징후를 검사하는 패킷검사부; 상기 검사결과 이상징후가 있는 패킷 플로우를 수집하고 상기 패킷 플로우에 대한 트래픽 패턴을 추출하는 패턴추출부; 상기 추출된 트래픽 패턴과 상기 패턴 DB에 저장된 트래픽 패턴을 비교하여 상기 트래픽 패턴이 외부공격에 의한 트래픽 패턴인지를 분석하는 트래픽 분석부; 외부공격에 의한 트래픽 패턴인 경우, 상기 트래픽에 대한 대응책을 결정하고 그 대응책에 따라 대응하는 트래픽 대응부; 및 외부 공격에 의한 트래픽 패턴이 아닌 경우 설정된 시간 동안 트래픽 패턴을 모니터링하고 상기 설정시간 경과 후의 트래픽 패턴을 추출하여 상기 트래픽 분석부로 전달하는 트래픽 감시부를 포함한다.
본 발명의 일 실시 예에서, 상기 패킷검사부는 상기 패킷의 송수신지 IP주소, 송수신지 포트번호 및 패킷의 응용 헤더정보 중 적어도 하나를 확인하여 이상징후를 검사한다. 특히, 상기 패킷 검사부는 상기 망에 유입되는 패킷에 대한 패킷 플로우 내 초기의 일부 패킷에 대하여 이상징후를 검사하는 것이 바람직하다.
본 발명의 일 실시 예에서, 상기 트래픽 대응부는 상기 패킷의 폐기 또는 유입 차단을 수행한다.
본 발명의 일 실시 예에서, 상기 트래픽 감시부는 상기 설정시간 경과 후에 정상적인 트래픽 패턴 또는 비정상적인 트래픽 패턴 중 하나를 추출한다.
본 발명의 일 실시 예에서, 상기 패턴추출부는 상기 패킷이 입력된 포트에서의 패킷 플로우를 수집하고 상기 수집된 패킷 플로우의 트래픽 패턴을 추출한다.
본 발명의 일 실시 예에서, 상기 패턴 DB는 해당 트래픽 포트번호를 키값으 로 하고, 트래픽의 시작 바이트 위치, 끝 바이트 위치, 패턴, 상태, 검색 바이트 범위를 포함하는 정보로 구성된 테이블을 포함하며, 바람직하게는 정상적인 트래픽 패턴을 저장하는 제1테이블 및 비정상적인 트래픽 패턴을 저장하는 제2테이블을 포함한다.
본 발명의 일 실시 예에서, 상기 트래픽 분석부는 상기 추출된 트래픽 패턴에 대한 포트번호와 상기 패턴 DB에 저장된 비정상적인 트래픽 패턴에 대한 포트번호를 비교하여 상기 트래픽 패턴이 외부공격에 의한 트래픽 패턴인지를 분석한다.
또한, 상기 목적을 달성하기 위한 본 발명에 따른 트래픽 패턴 분석에 의한 망 공격 탐지방법은,
망에 입력되는 패킷에 대한 패킷 플로우 내 초기의 일부 패킷에 대하여 이상징후를 검사하는 검사단계; 상기 검사결과 이상징후가 있는 패킷 플로우를 수집하고 상기 수집된 패킷 플로우에 대한 트래픽 패턴을 추출하는 추출단계; 상기 추출된 트래픽 패턴과 패턴 DB에 미리 저장된 비정상적인 트래픽 패턴을 비교하여 상기 추출된 트래픽 패턴이 외부공격에 의한 트래픽 패턴인지를 분석하는 분석단계; 외부공격에 의한 트래픽 패턴인 경우 상기 트래픽 패턴을 외부 공격에 의한 비정상적인 트래픽 패턴으로 상기 패턴 DB에 저장하는 저장단계; 및 상기 트래픽 패턴에 대한 대응을 처리하는 대응단계를 포함한다.
망에 입력되는 패킷에 대한 패킷 플로우 내 초기의 일부 패킷에 대하여 이상징후를 검사하는 검사단계; 상기 검사결과 이상징후가 있는 패킷 플로우를 수집하고 상기 수집된 패킷 플로우에 대한 트래픽 패턴을 추출하는 추출단계; 상기 추출된 트래픽 패턴과 패턴 DB에 미리 저장된 비정상적인 트래픽 패턴을 비교하여 상기 추출된 트래픽 패턴이 외부공격에 의한 트래픽 패턴인지를 분석하는 분석단계; 외부공격에 의한 트래픽 패턴인 경우 상기 트래픽 패턴을 외부 공격에 의한 비정상적인 트래픽 패턴으로 상기 패턴 DB에 저장하는 저장단계; 및 상기 트래픽 패턴에 대한 대응을 처리하는 대응단계를 포함한다.
삭제
본 발명의 일 실시 예에서, 본 발명의 망 공격 탐지 방법은, 상기 추출된 트래픽 패턴이 응용 패턴인지를 판단하여 새로운 응용 패턴이면 상기 패턴 DB에 새로운 응용 패턴으로 저장하는 단계를 더 포함할 수 있다.
본 발명의 일 실시 예에서, 상기 분석단계는 상기 추출된 트래픽 패턴과 상기 패턴 DB에 저장된 정상적인 트래픽 패턴을 비교하여 동일한 트래픽 패턴이 있는지 확인하는 제1확인단계; 동일한 패턴이 없으면 상기 트래픽 패턴과 상기 패턴 DB에 저장된 비정상적인 트래픽 패턴을 비교하여 동일한 트래픽 패턴이 있는지 확인하는 제2확인단계; 및 상기 제2확인단계의 확인결과 동일한 패턴이 존재하면 상기 트래픽의 데이터를 수집하여 상세분석을 수행하는 상세분석단계를 포함할 수 있다.
본 발명의 일 실시 예에서, 상기 분석단계 이후에, 상기 외부공격에 의한 트래픽 패턴인지 정상 응용 트래픽 패턴인지 알 수 없는 경우 미리 설정된 시간 동안 트래픽 패턴을 모니터링하고 상기 설정시간 경과 후의 트래픽 패턴을 추출하는 단계를 더 포함할 수 있다.
또한, 본 발명의 일 실시 예에서, 상기 분석단계 이후에, 상기 외부공격에 의한 트래픽 패턴이 아닌 경우 상기 패턴 DB에 정상적인 트래픽 패턴으로 저장하는 단계를 더 포함할 수도 있다.
또한, 본 발명의 일 실시 예에서, 상기 분석단계 이후에, 상기 외부공격에 의한 트래픽 패턴이 아닌 경우 상기 패턴 DB에 정상적인 트래픽 패턴으로 저장하는 단계를 더 포함할 수도 있다.
삭제
본 발명은 망에 대한 공격을 조기에 탐지하는 장치 및 방법을 제공한다. 특히, 본 발명은 패킷이 망으로 유입될 때 그 패킷의 트래픽에 대한 패턴을 분석하여 비정상적인 트래픽인지 아닌지를 조기에 판별함으로써 망에 대한 공격을 조기에 탐지하는 장치 및 방법을 제공한다. 이와 같이, 본 발명에서는 망 공격에 대한 조기 탐지를 실현하기 위해 패킷 플로우 개념에 기반한 트래픽의 패턴을 이용한다. 이러한 본 발명은 실시간 트래픽 감시에 대한 배타적인 대안이 될 수 있는 것은 아니지만, 최소한 망 공격에 대한 징후를 최대한 빨리 탐지하게 함으로써 조기 대응이 가능하게 한다.
이하에서, 본 발명의 바람직한 실시예의 상세한 설명이 첨부된 도면들을 참조하여 설명될 것이다. 하기에서 본 발명을 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 본 발명의 요지를 모호하지 않게 하기 위하여 그에 대한 상세한 설명을 생략할 것이다.
도 1은 본 발명의 바람직한 실시예에 따른 트래픽 패턴 분석에 의한 망 공격 탐지장치의 구성 블럭도이다.
도 1을 참조하면, 본 발명의 망 공격 탐지장치(100)는, 패킷검사부(10), 패턴추출부(20), 트래픽분석부(30), 패턴DB(40), 트래픽대응부(50) 및 트래픽감시부(60)를 포함하여 구성된다. 이러한 구성을 갖는 본 발명의 망 공격 탐지장치(100)는 바람직하게는 망 장비 내 또는 망 장비 앞단에 위치하여 망으로 유입되는 트래픽에 대하여 망 공격을 포함한 비정상적인 트래픽을 조기에 탐지한다.
우선, 상기 패턴DB(40)는 트래픽 패턴을 저장한다. 특히, 상기 패턴DB(40)는 기존에 이미 발견된 트래픽 패턴이나 운용자에 의해 설정된 트래픽 패턴을 저장하고 있다. 바람직하게는 도 2의 예시도에서와 같이, 상기 패턴DB(40)는 바람직하게는 정상적인 트래픽 패턴과 비정상적인 트래픽 패턴을 구분하여 저장할 수 있다. 도 2에 도시된 본 발명의 일 실시 예에 따른 패턴 DB(40)의 구조도를 참조하면, 패턴 DB(40)는 두 종류의 테이블(210)(220)을 포함한다. 즉, 정상적인 트래픽 패턴을 저장하는 정상 트래픽 패턴 테이블(210) 및 비정상적인 트래픽 패턴을 저장하는 비정상 트래픽 패턴 테이블(220)을 포함한다. 특히, 상기 비정상적인 트래픽 패턴은 외부공격에 의한 비정상적인 트래픽 패턴을 포함한다. 각 테이블의 엔트리에 대하여 키(key)값이 되는 것은 해당 트래픽에 대한 포트번호이다. 이와 같이 해당 포트번호를 키값으로 하고, 트래픽의 시작 바이트 위치 필드, 끝 바이트 위치 필드, 트래픽의 패턴정보 필드, 현재 검사중인 트래픽인지를 나타내는 상태정보 필드, 검색해야 할 패킷의 범위를 지정하는 검색 바이트 범위 필드로 구성된다. 이와 같이 구성된 패턴DB(40)는 다양한 트래픽 패턴 정보를 저장하고, 이러한 정보들은 이후에 망 공격을 위한 트래픽 패턴인지를 판단하기 위한 비교대상이 된다.
상기 패킷검사부(10)는 망으로 유입되는 패킷 플로우의 이상징후를 검사한다. 특히 상기 패킷검사부(10)는 상기 망에 유입되는 패킷에 대해 플로우 개념을 적용하고 플로우 내 초기의 일부 패킷의 응용 헤더를 확인하여 패킷의 이상징후를 검사한다. 상기 이상징후는 바람직하게는 해당 패킷의 헤더 정보를 조사하는 것으로서, 바람직하게는 5-튜플(소스 IP주소, 목적지 IP주소, 소스 포트번호, 목적지 포트번호 및 프로토콜)을 기반으로 생성된 플로우 개념을 기반으로 하여 플로우 내 초기의 일부 패킷을 검사하여 이상 트래픽의 가능성이 있는 패킷 플로우를 추출한다. 이러한 이상징후 여부에 대한 판단기준은 운용자에 의해 미리 설정될 수도 있다.
상기 패턴추출부(20)는 상기 패킷검사부(10)에 의해 이상징후가 있는 패킷 플로우를 수집하고, 상기 수집된 패킷 플로우에 대한 트래픽 패턴을 추출한다. 특히, 상기 패턴추출부(20)는 이상징후가 있는 패킷 플로우가 입력된 포트번호를 확인하여 해당 포트에서의 패킷 플로우를 수집하고, 상기 패킷 플로우에 대한 트래픽 패턴을 추출한다.
상기 트래픽분석부(30)는 상기 패턴추출부(20)에 의해 추출된 트래픽 패턴과 상기 패턴 DB(40)에 저장된 트래픽 패턴을 비교하여 상기 트래픽 패턴이 외부공격에 의한 트래픽 패턴인지를 분석한다. 특히 상기 트래픽분석부(30)는 상기 추출된 트래픽 패턴에 대한 포트번호와 상기 패턴 DB에 저장된 비정상적인 트래픽 패턴에 대한 포트번호를 비교하여 상기 추출된 트래픽 패턴이 외부공격에 의한 트래픽 패턴인지를 분석한다. 상기 트래픽분석부(30)는 우선 상기 추출된 트래픽 패턴과 동일한 트래픽 패턴이 상기 패턴DB(40)의 정상 트래픽 패턴 테이블(210)에 존재하는지를 확인하고, 존재하지 않으면 상기 추출된 트래픽 패턴과 동일한 트래픽 패턴이 상기 패턴DB(40)의 비정상 트래픽 패턴 테이블(220)에 존재하는지를 확인한다. 이때, 동일한 트래픽 패턴이 상기 비정상 트래픽 패턴 테이블(220)에 존재하지 않으면 이를 트래픽감시부(60)로 보내어 일정 시간동안 모니터링을 계속하고, 존재하면 상기 트래픽에 대한 데이터를 수집하고 이에 대한 상세 분석을 수행한다.
상기 트래픽대응부(50)는 상기 트래픽분석부(30)에서의 분석결과, 상기 추출된 트래픽 패턴이 외부공격에 의한 트래픽 패턴인 경우에 상기 트래픽에 대한 대응 책을 결정하고 그 대응책에 따라 대응한다. 예를 들어, 상기 트래픽대응부(50)는 상기 유입되는 패킷의 폐기 또는 유입차단 등을 수행함으로써 망을 보호하도록 할 수 있다.
상기 트래픽감시부(60)는 상기 트래픽분석부(30)에서 외부 공격에 의한 트래픽 패턴인지 정상적인 응용 트래픽 패턴인지를 알 수 없는 경우, 미리 설정된 시간 동안 트래픽 패턴을 모니터링하고 상기 설정시간 경과 후 소정의 트래픽 패턴을 추출하여 상기 트래픽분석부(30)로 전달한다. 상기 트래픽감시부(60)는 상기 트래픽분석부(30)에서 특별한 트래픽 패턴을 발견하지 못한 경우에 지속적으로 트래픽 패턴을 모니터링하고 일정한 시간이 경과한 후에는 정상적인 트래픽 패턴이든 비정상적인 트래픽 패턴이든 해당되는 소정의 트래픽 패턴을 추출한다.
이러한 구성을 갖는 본 발명의 망 공격 탐지장치(100)는 유입되는 패킷의 트래픽량을 관측하여 트래픽의 비정상적인 패턴을 감지하는 것에만 의존하지 않고, 이러한 비정상적인 트래픽 패턴들을 사전에 분석하고, 그 분석을 통해 획득된 정보를 이용하여 망의 공격을 미연에 방지할 수 있다는 특성을 가진다.
도 3은 본 발명의 일 실시 예에 따른 트래픽 분석에 의한 망 공격 탐지방법을 보이는 흐름도이다.
도 3을 참조하면, 망으로 패킷 플로우가 유입되면(S300) 상기 패킷 플로우를 임시 테이블에 저장하고 상기 패킷 플로우의 이상징후를 검사한다(S302,S304). 상기 패킷 플로우의 이상징후 검사는 바람직하게는 상기 패킷 플로우의 송수신 IP주소, 송수신 포트번호 및 패킷의 응용 헤더 정보 중 적어도 하나를 확인하여 이상징후를 검사한다.
상기 패킷 플로우의 검사결과 이상징후가 발견되면(S306) 상기 패킷 플로우를 필요한 만큼 수집하고 상기 수집된 패킷 플로우에 대한 트래픽 패턴을 추출한다(S310). 이때, 상기 패킷 플로우의 수집은 바람직하게는 망으로 유입되는 패킷들에 대한 초기의 일부 패킷 플로우를 수집하는 것이다. 이때, 트래픽 패턴을 추출하여 분석할 수 있을 만큼의 초기 패킷 플로우를 수집하면 된다. 상기 추출된 트래픽 패턴과 패턴 DB(40)에 저장된 비정상적인 트래픽 패턴을 비교하여 상기 추출된 트래픽 패턴이 외부 공격에 의한 트래픽 패턴인지를 분석한다(S312). 이때 상기 S312 단계에서의 트래픽 패턴분석은 상기 추출된 트래픽 패턴과 동일 또는 유사한 트래픽 패턴이 패턴 DB(40)에 존재하는지 판단하고 동일 또는 유사한 트래픽 패턴이 있다면, 그 트래픽 패턴이 외부 공격에 의한 트래픽 패턴인지를 분석한다.
삭제
만약, 외부 공격에 의한 트래픽 공격이 아닌지를 알 수 없는 경우, 미리 설정된 시간 동안 상기 패킷 플로우에 대한 트래픽 패턴을 지속적으로 모니터링하고, 상기 설정된 시간이 경과한 후에 소정의 트래픽 패턴을 추출한다(S322,S324,S326).
상기 S314 단계에서의 분석 결과, 상기 추출된 트래픽 패턴이 외부 공격에 의한 트래픽 패턴이면 해당 트래픽 패턴을 패턴 DB(40)에 저장하고, 상기 트래픽 패턴에 대한 대응책을 결정한 후 이에 대한 대응을 처리한다(S316,S318). 이때, 상기 트래픽 패턴은 상기 패턴 DB(40) 내의 비정상 트래픽 패턴 테이블(220)에 저장한다.
삭제
도 4는 본 발명의 실시 예에 따른 트래픽 패턴 분석과정을 보이는 흐름도이다.
도 4를 참조하면, 트래픽 패턴을 분석하기 위하여, 이상징후가 있는 패킷 플로우에서 추출된 트래픽 패턴과 패턴 DB(40) 내 정상 트래픽 패턴 테이블(210)에 저장된 정상적인 트래픽 패턴을 비교한다(S400).
상기 S400 단계에서, 상기 추출된 트래픽 패턴과 동일한 트래픽 패턴이 상기 정상 트래픽 패턴 테이블(210)에 존재하면(S402), 해당 트래픽 패턴이 마지막 트래픽 패턴인지를 확인하여(S410), 마지막이 아니면 다른 트래픽 패턴에 대하여 상기 과정을 반복하여 수행한다. 상기 추출된 트래픽 패턴과 동일한 트래픽 패턴이 상기 정상 트래픽 패턴 테이블(210)에 존재하지 않으면(S402), 다시 상기 트래픽 패턴과 상기 패턴 DB(40) 내 비정상 트래픽 패턴 테이블(220)에 저장된 비정상적인 트래픽 패턴을 비교한다(S404).
상기 S404 단계에서, 상기 추출된 트래픽 패턴과 동일한 트래픽 패턴이 상기 비정상 트래픽 패턴 테이블(220)에 존재하면(S406), 상기 패킷의 데이터를 수집하 고 이에 대한 상세 분석을 수행하고(S408), 상기 추출된 트래픽 패턴과 동일한 트래픽 패턴이 상기 비정상 트래픽 패턴 테이블(220)에 존재하지 않으면(S406), 해당 트래픽 패턴이 마지막 트래픽 패턴인지를 확인하여(S410), 마지막이 아니면 다른 트래픽 패턴에 대하여 상기 과정을 반복하여 수행한다.
본 발명에 따른 트래픽 분석에 의한 망 공격 탐지방법에서는 트래픽 분석을 위한 데이터를 수집하고 이들 데이터를 이용하여 패턴 DB(40)에 저장된 트래픽 패턴과 비교함으로써 해당 트래픽 패턴을 상세하게 분석한다. 이로써 해당 트래픽 패턴이 망 공격성 트래픽 패턴인지를 확인한다. 망 공격성 트래픽 패턴이면 패턴 DB(40)내 비정상 트래픽 패턴 테이블(220)에 저장하고, 비정상 트래픽에 대한 조치를 취한다. 만약, 망 공격성 트래픽 패턴이 아니면 새로운 응용 패턴인지를 검사하여, 새로운 응용 패턴이라면 패턴 DB 내 정상 트래픽 패턴 테이블(210)에 저장한다. 이와 같이 패턴 DB(40)에 저장된 정상적인 트래픽 패턴 및 비정상적인 트래픽 패턴은 이후에 망에 새로 유입되는 패킷에 대한 트래픽 패턴 분석 시 이용된다.
삭제
상기한 도면과 명세서에는 본 발명에 대한 최적 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허 청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허 청구범위의 기술적 사상에 의해 정해져야 할 것이다.
본 발명에 따른 망 공격 탐지장치 및 방법에 따르면, 망에 대한 공격성이나 비정상적인 상황을 보다 적극적인 방법으로 조기에 탐지하여 망 공격을 사전에 방지하거나 공격 행위에 조기에 대응함으로써 망을 보다 효율적으로 운용할 수 있다.
Claims (14)
- 다수의 외부공격에 의한 비정상적인 트래픽 패턴 및 다수의 정상적인 트래픽 패턴을 저장하는 패턴 DB;망에 유입되는 패킷 플로우에 대한 이상징후를 검사하는 패킷검사부;상기 검사결과 이상징후가 있는 패킷 플로우를 수집하고 상기 패킷 플로우에 대한 트래픽 패턴을 추출하는 패턴추출부;상기 추출된 트래픽 패턴과 상기 패턴 DB에 저장된 트래픽 패턴을 비교하여 상기 트래픽 패턴이 외부공격에 의한 트래픽 패턴인지를 분석하는 트래픽 분석부;외부공격에 의한 트래픽 패턴인 경우, 상기 트래픽에 대한 대응책을 결정하고 그 대응책에 따라 대응하는 트래픽 대응부; 및외부 공격에 의한 트래픽 패턴인지 정상적인 트래픽 패턴인지를 알 수 없는 경우 미리 설정된 시간 동안 상기 트래픽 패턴을 모니터링하고 상기 설정시간 경과 후의 트래픽 패턴을 추출하여 상기 트래픽 분석부로 전달하는 트래픽 감시부; 를 포함하는 것을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지장치.
- 제1항에 있어서, 상기 패킷검사부는,상기 패킷의 송수신지 IP주소, 송수신지 포트번호 및 패킷의 응용 헤더정보 중 적어도 하나를 확인하여 이상징후를 검사하는 것을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지장치.
- 제1항에 있어서, 상기 트래픽 대응부는,상기 패킷의 폐기 또는 유입차단을 수행하는 것을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지장치.
- 제1항에 있어서, 상기 트래픽 감시부는,상기 설정시간 경과 후에 정상적인 트래픽 패턴 또는 비정상적인 트래픽 패턴 중 하나를 추출하는 것을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지장치.
- 제1항에 있어서, 상기 패턴추출부는,상기 패킷이 입력된 포트에서의 패킷 플로우에 대한 데이터를 수집하고 상기 수집된 패킷 플로우의 트래픽 패턴을 추출하는 것을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지장치.
- 제1항에 있어서, 상기 패턴 DB는,해당 트래픽 포트번호를 키값으로 하고, 트래픽의 시작 바이트 위치, 끝 바이트 위치, 패턴, 상태, 검색 바이트 범위를 포함하는 정보로 구성된 테이블을 포함함을 특징으로 하는 트래픽 분석에 의한 망 공격 탐지장치.
- 제1항에 있어서, 상기 패킷검사부는,상기 망에 유입되는 패킷에 대한 패킷 플로우 내 초기의 일부 패킷에 대하여 이상징후를 검사하는 것을 특징으로 하는 트래픽 분석에 의한 망 공격 탐지장치.
- 제1항에 있어서, 상기 트래픽 분석부는,상기 추출된 트래픽 패턴에 대한 포트번호와 상기 패턴 DB에 저장된 비정상적인 트래픽 패턴에 대한 포트번호를 비교하여 상기 트래픽 패턴이 외부공격에 의한 트래픽 패턴인지를 분석함을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지장치.
- 망에 입력되는 패킷에 대한 패킷 플로우 내 초기의 일부 패킷에 대하여 이상징후를 검사하는 검사단계;상기 검사결과 이상징후가 있는 패킷 플로우를 수집하고 상기 수집된 패킷 플로우에 대한 트래픽 패턴을 추출하는 추출단계;상기 추출된 트래픽 패턴과 패턴 DB에 미리 저장된 비정상적인 트래픽 패턴을 비교하여 상기 추출된 트래픽 패턴이 외부공격에 의한 트래픽 패턴인지를 분석하는 분석단계;외부공격에 의한 트래픽 패턴인 경우 상기 트래픽 패턴을 외부 공격에 의한 비정상적인 트래픽 패턴으로 상기 패턴 DB에 저장하는 저장단계; 및상기 트래픽 패턴에 대한 대응을 처리하는 대응단계; 를 포함하는 것을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지방법.
- 삭제
- 제9항에 있어서, 상기 분석단계 이후에,상기 외부 공격에 의한 트래픽 패턴인지 정상적인 응용 트래픽 패턴인지를 알 수 없는 경우, 미리 설정된 시간 동안 상기 트래픽 패턴을 모니터링하고 상기 설정시간 경과 후의 트래픽 패턴을 추출하는 단계를 더 포함하는 것을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지방법.
- 제9항에 있어서, 상기 분석단계 이후에,외부공격에 의한 트래픽 패턴이 아닌 경우 상기 패턴 DB에 정상적인 트래픽 패턴으로 저장하는 단계를 더 포함하는 것을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지방법.
- 제12항에 있어서,상기 트래픽 패턴이 새로운 응용 패턴인지를 판단하여 새로운 응용 패턴이면 상기 패턴 DB에 새로운 응용 패턴으로 저장하는 단계를 더 포함하는 것을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지방법.
- 제9항에 있어서, 상기 분석단계는,상기 추출된 트래픽 패턴과 상기 패턴 DB에 저장된 정상적인 트래픽 패턴을 비교하여 동일한 트래픽 패턴이 있는지 확인하는 제1확인단계;동일한 패턴이 없으면 상기 트래픽 패턴과 상기 패턴 DB에 저장된 비정상적인 트래픽 패턴을 비교하여 동일한 트래픽 패턴이 있는지 확인하는 제2확인단계; 및상기 제2확인단계의 확인결과 동일한 패턴이 존재하면 상기 트래픽의 데이터를 수집하여 상세분석을 수행하는 상세분석단계; 를 포함하는 것을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020050119824A KR100745678B1 (ko) | 2005-12-08 | 2005-12-08 | 트래픽 패턴 분석에 의한 망 공격 탐지장치 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020050119824A KR100745678B1 (ko) | 2005-12-08 | 2005-12-08 | 트래픽 패턴 분석에 의한 망 공격 탐지장치 및 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20070060441A KR20070060441A (ko) | 2007-06-13 |
| KR100745678B1 true KR100745678B1 (ko) | 2007-08-02 |
Family
ID=38356464
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020050119824A KR100745678B1 (ko) | 2005-12-08 | 2005-12-08 | 트래픽 패턴 분석에 의한 망 공격 탐지장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100745678B1 (ko) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100825257B1 (ko) | 2007-09-05 | 2008-04-25 | 주식회사 나우콤 | 비정상트래픽의 로그데이타 상세 처리 방법 |
| KR101010703B1 (ko) * | 2008-10-09 | 2011-01-24 | 한국전자통신연구원 | 커널 프로브를 사용한 선별적 패킷 수집방법, 및 장치 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101374009B1 (ko) * | 2007-07-09 | 2014-03-13 | 주식회사 엘지씨엔에스 | 이상 트래픽 차단 장치 및 방법 |
| US8149699B2 (en) | 2008-12-02 | 2012-04-03 | Electronics And Telecommunications Research Institute | Method and apparatus for controlling traffic according to user |
| KR101103744B1 (ko) * | 2010-08-23 | 2012-01-11 | 시큐아이닷컴 주식회사 | 양방향 트래픽 분석을 통한 서비스 거부 공격 탐지 방법 |
| KR102030837B1 (ko) * | 2013-09-30 | 2019-10-10 | 한국전력공사 | 침입 탐지 장치 및 방법 |
| KR102029184B1 (ko) * | 2016-12-06 | 2019-10-07 | 경희대학교 산학협력단 | 무선 트래픽의 패턴 분석 장치 및 방법 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020062070A (ko) * | 2001-01-19 | 2002-07-25 | 주식회사 정보보호기술 | 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법 |
-
2005
- 2005-12-08 KR KR1020050119824A patent/KR100745678B1/ko not_active IP Right Cessation
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020062070A (ko) * | 2001-01-19 | 2002-07-25 | 주식회사 정보보호기술 | 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100825257B1 (ko) | 2007-09-05 | 2008-04-25 | 주식회사 나우콤 | 비정상트래픽의 로그데이타 상세 처리 방법 |
| KR101010703B1 (ko) * | 2008-10-09 | 2011-01-24 | 한국전자통신연구원 | 커널 프로브를 사용한 선별적 패킷 수집방법, 및 장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20070060441A (ko) | 2007-06-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100745678B1 (ko) | 트래픽 패턴 분석에 의한 망 공격 탐지장치 및 방법 | |
| CN108289088B (zh) | 基于业务模型的异常流量检测系统及方法 | |
| JP6001689B2 (ja) | ログ分析装置、情報処理方法及びプログラム | |
| CN109962891B (zh) | 监测云安全的方法、装置、设备和计算机存储介质 | |
| KR100922579B1 (ko) | 네트워크 공격 탐지 장치 및 방법 | |
| US9661008B2 (en) | Network monitoring apparatus, network monitoring method, and network monitoring program | |
| CN1946077B (zh) | 基于及早通知检测异常业务的系统和方法 | |
| US7565693B2 (en) | Network intrusion detection and prevention system and method thereof | |
| CN101001242B (zh) | 网络设备入侵检测的方法 | |
| CN109361673B (zh) | 基于流量数据样本统计和平衡信息熵估计的网络异常检测方法 | |
| US20170034195A1 (en) | Apparatus and method for detecting abnormal connection behavior based on analysis of network data | |
| JP2004318552A (ja) | Idsログ分析支援装置、idsログ分析支援方法及びidsログ分析支援プログラム | |
| JP2007094997A (ja) | Idsのイベント解析及び警告システム | |
| CN107209834B (zh) | 恶意通信模式提取装置及其系统和方法、记录介质 | |
| CN110191004B (zh) | 一种端口检测方法及系统 | |
| CN113285916B (zh) | 智能制造系统异常流量检测方法及检测装置 | |
| CN109768971A (zh) | 一种基于网络流量实时检测工控主机状态的方法 | |
| CN110769007A (zh) | 一种基于异常流量检测的网络安全态势感知方法及装置 | |
| KR100520687B1 (ko) | 네트워크 상태 표시 장치 및 방법 | |
| KR101384618B1 (ko) | 노드 분석 기법을 이용한 위험요소 추출 시스템 | |
| WO2021237739A1 (zh) | 工业控制系统安全性分析方法、装置和计算机可读介质 | |
| KR100651749B1 (ko) | 알려지지 않은 악성 트래픽 탐지 방법 및 그 장치 | |
| JP4883408B2 (ja) | 系列データ間の類似性検査方法及び装置 | |
| KR100832536B1 (ko) | 대규모 네트워크에서의 보안 관리 방법 및 장치 | |
| KR20120006250A (ko) | 디도스 발생 탐지분석 및 표시를 위한 통합보안관리시스템 및 이에 의한 디도스 발생탐지분석 및 표시방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| G170 | Publication of correction | ||
| FPAY | Annual fee payment |
Payment date: 20100701 Year of fee payment: 4 |
|
| LAPS | Lapse due to unpaid annual fee |