KR100756462B1 - 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법 - Google Patents

침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법 Download PDF

Info

Publication number
KR100756462B1
KR100756462B1 KR1020060010744A KR20060010744A KR100756462B1 KR 100756462 B1 KR100756462 B1 KR 100756462B1 KR 1020060010744 A KR1020060010744 A KR 1020060010744A KR 20060010744 A KR20060010744 A KR 20060010744A KR 100756462 B1 KR100756462 B1 KR 100756462B1
Authority
KR
South Korea
Prior art keywords
traffic
traffic information
port
port number
blocking policy
Prior art date
Application number
KR1020060010744A
Other languages
English (en)
Other versions
KR20070079785A (ko
Inventor
손소라
표승종
유연식
Original Assignee
엘지엔시스(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지엔시스(주) filed Critical 엘지엔시스(주)
Priority to KR1020060010744A priority Critical patent/KR100756462B1/ko
Publication of KR20070079785A publication Critical patent/KR20070079785A/ko
Application granted granted Critical
Publication of KR100756462B1 publication Critical patent/KR100756462B1/ko

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B31MAKING ARTICLES OF PAPER, CARDBOARD OR MATERIAL WORKED IN A MANNER ANALOGOUS TO PAPER; WORKING PAPER, CARDBOARD OR MATERIAL WORKED IN A MANNER ANALOGOUS TO PAPER
    • B31BMAKING CONTAINERS OF PAPER, CARDBOARD OR MATERIAL WORKED IN A MANNER ANALOGOUS TO PAPER
    • B31B70/00Making flexible containers, e.g. envelopes or bags
    • B31B70/74Auxiliary operations
    • B31B70/81Forming or attaching accessories, e.g. opening devices, closures or tear strings
    • B31B70/813Applying closures
    • B31B70/8134Applying strings; Making string-closed bags

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를 이용한 이상 트래픽 대응방법에 관한 것이다. 본 발명은 일정 기간 동안에 유입되는 트래픽에 대한 패킷 정보를 분석하여 방향별/서비스별로 분류하고 각 포트별로 한계치를 계산한다. 상기 한계치가 계산된 각 트래픽 정보는 기 설정된 허용 모니터링 포트 갯수 이내로 제한되어 네트워크 관리자에게 송신되고 차단정책을 수립하도록 한다. 또한, 상기 차단정책을 근거로 유입되는 트래픽 정보가 차단정책에 등록되어 있으면, 상기 트래픽의 초당유입패킷수를 비교하여 서비스를 선택적으로 제공하고, 만일 차단정책에 미 등록된 트래픽인 경우에는 그 트래픽 포트들의 초당유입패킷수와 별도 관리되는 서비스 포트의 한계치를 상호 비교하고, 상기 트래픽 포트들의 초당유입패킷수가 더 큰 경우에는 이를 네트워크 관리자에게 송신하여 새롭게 차단정책을 수립할 수 있도록 한다. 이에 따라, 본 발명은 소정 기간 동안에 이상 트래픽 등에 의하여 발생되는 트래픽 정보를 효율적으로 처리할 수 있으며, 차단 정책에서 제외된 서비스 포트들에 대해서 이상 트래픽 증후를 판단할 수 있는 잇점이 있다.
침입방지시스템, 이상 트래픽, 자기 학습, 차단정책.

Description

침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를 이용한 이상 트래픽 대응방법{Method for management a self-learning data in Intrusion prevention system and Method for handling a malicious traffic using the same}
도 1은 일반적으로 자기 학습기능을 실시하여 차단 데이터를 관리하는 침입방지 시스템의 실시 예 구성도.
도 2는 본 발명에 따른 자기 학습 데이터 관리방법의 순서도로서, 유입 트래픽을 수집 처리하는 과정을 설명하기 위한 도면.
도 3은 본 발명에 따라 학습 기간 중에 수집된 차단 정책에 의하여 이상 트래픽에 대한 대응방법 순서도.
<도면의 주요 부분에 대한 부호의 설명>
100 : 운영관리모듈부 102 : 차단정책DB
120 : 이상트래픽탐지모듈부 122 : 이상트래픽처리부
124 : 메모리 126 : 한계치 계산부
128 : 송신제어부
본 발명은 침입방지시스템에서의 이상 트래픽 대응에 관한 것으로서, 특히 정해진 일정 기간 동안내에 발생된 트래픽의 데이터 양을 최적화하고, 이상 트래픽 발생 가능시에 트래픽 차단정책을 재 설정하거나 자기 학습을 수행하는 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를 이용한 이상 트래픽 대응방법에 관한 것이다.
컴퓨터의 급속한 보급과 인터넷의 사용이 일반화되면서, 인터넷을 통한 전자상거래 등의 서비스 확산에 따라 보안 문제의 중요성이 높아지고 있다. 이러한 보안문제를 해결하기 위해 이상 트래픽에 대한 침입방지 시스템 또는 침입차단 시스템이 개발되었다. 상기 침입방지/침입차단 시스템은 효과적으로 전자적 침해행위를 방지하고 차단할 수 있는 것으로서, 가입자 네트워크와 공중망 네트워크와의 접속점, 또는 가입자 네트워크 내부에 설치하여 입/출력되는 트래픽의 이상 여부를 검출하여 이상 트래픽을 차단하였다.
구체적으로 이미 발표된 공격(exploit) 코드를 분석하거나, 공개용 소스를 이용해 시그너쳐(signature)를 업데이트하며, 플러딩(flooding) 공격과 같은 특정 조건에 맞는 트래픽 데이터의 발생양에 대한 한계치 제어를 통해 이상 트래픽에 대응을 해오고 있다. 예를 들어 상기 플러딩 공격은 사용자가 특정 서버를 오버로딩(overloading)시켜서 시스템 다운시킬 의도로 비교적 짧은 시간동안 상기 서버로 다수의 요청(request)을 전송하는 경우에 발생한다. 상기 플러딩 공격에 대해서도 적법한 트래픽 여부임을 판단하고 오버로딩에 따라 작업이 중단되는 것을 방지하도 록 침입 방지 시스템이 제공되고 있다.
다시 말해, 대다수의 침입 방지 시스템은 네트워크 관리자가 설정해 놓은 일련의 규칙에 기반을 두고 즉각적인 행동을 취할 수 있는 능력을 가지도록 설계된다. 이를 위하여 대다수의 침입 방지 시스템은 어떤 한 패킷을 검사하여 그것이 부당한 패킷이라고 판단되면, 해당 IP주소 또는 유입 트래픽을 봉쇄하는 한편, 합법적인 트래픽에 대해서는 아무런 방해나 서비스 지연 없이 수신측에 전달한다.
도 1은 일반적으로 자기 학습기능을 실시하여 차단 데이터를 관리하는 침입방지 시스템의 실시 예 구성도이다.
도시된 바에 따르면, 침입차단 시스템은 차단정책 정보를 수립하고 이를 적용시키는 운영관리모듈부(100)와, 상기 운영관리모듈부(100)의 차단정책에 따라서 이상 트래픽을 탐지하고 차단하는 이상트래픽 탐지모듈부(120)를 포함하여 구성된다.
상기 이상트래픽 탐지모듈부(120)는, 트래픽의 헤더정보를 이용하여 트래픽 발생방향(내부->외부 또는 외부->내부)를 추출하고 포트번호를 통해 서비스 유형을 분석하는 이상트래픽처리부(122)와, 상기 이상트래픽처리부(122)에 의해 분석된 트래픽에 대한 패킷량정보(최대/최소/평균패킷량)를 맵테이블 형태로 저장하는 메모리(124)를 구비한다. 그리고, 상기 트래픽의 방향별 또는 서비스별 유입 한계치를 계산하는 한계치 계산부(126)를 구비한다. 이외에도 상기 운영관리모듈부(100)의 송신요청에 따라 상기 방향별 또는 서비스별 유입 한계치를 송신하는 송신제어부(128)를 구비한다.
상기 운영관리모듈부(100)에는, 상기 송신제어부(128)로부터 제공받은 트래픽의 방향별 또는 서비스별 유입 한계치를 기초로 수립된 차단정책을 저장하는 차단정책DB(102)가 제공된다. 통상 상기 차단정책에는 현재 정상적으로 운영되는 서비스 및 감시 제외 서비스(방향정보 포함)가 제외되거나 특정 서비스(방향정보 포함)의 한계치 정보가 수정되어 제공된다.
이와 같이 구성되는 침입차단 시스템에서의 자기 학습 기능에 따라 차단정책을 수립하고 이상 트래픽 유무를 탐지하여 이를 차단하는 종래 방법을 다음과 같이 설명한다.
우선, 네트워크 관리자는 운영관리모듈부(100)를 제어하여 이상트래픽처리부(122)가 일정 학습 기간 동안에 트래픽 정보를 수집하도록 명령한다. 그러면, 상기 이상트래픽처리부(122)는 발생된 상기 트래픽의 패킷데이터를 분석하여 프로토콜별/발생방향별/포트번호별로 분류하고, 다시 각 포트별로 패킷량을 계산하여 맵테이블 형태로 상기 메모리(124)에 저장한다.
여기서, 상기한 맵테이블 형태로 저장되는 패킷량 정보를 다음 [표 1]에 나타내고 있다.
[표 1]
프로토콜 포트번호 최대패킷량 (5초당) 평균패킷량 (5초당) 최소패킷량 (5초당)
TCP 1 1000 200 20
2 220 100 30
3 2000 1400 200
4 10000 5000 300
. . .
상기 [표 1]은 TCP 프로토콜의 각 서비스 포트번호별로 5초 간격으로 계산된 유입 트래픽의 패킷량을 나타내고 있는 것이다. 예를 들어, 포트번호 '3번'인 경우에 동일한 서비스 요구를 위하여 초당 최대 2000번의 패킷 데이터가 발생되고 최소 200번의 패킷 데이터가 발생되며, 평균적으로 1400번의 패킷 데이터가 발생되고 있음을 의미한다.
일단, 상기 트래픽에 대해 상기 프로토콜/발생방향/포트번호와 같이 분류되면, 상기 한계치 계산부(126)는 상기 서버가 처리할 수 있는 트래픽의 발생방향과 서비스별로 유입될 수 있는 한계치를 계산한다. 상기 한계치는 네트워크 관리자에 의해 설정될 수 있으며, 상기 서버가 최적의 서비스 환경을 제공하도록 최대 트래픽 또는 평균 트래픽 양을 기준으로 설정한다. 즉, 상기 최대 트래픽보다 많은 트래픽이 발생하면 서버 기능이 중단될 수 있기 때문이다.
상기 운영관리모듈부(100)는 상기 한계치 계산부(126)에서 제공받는 한계치 정보를 차단 정책으로 수립하여 상기 이상트래픽처리부(122)가 이상 트래픽을 탐지하고 차단하도록 한다. 상기 탐지 및 차단과정은, 트래픽이 유입되더라도 상기 한계치 이상 요구되는 특정 트래픽이 발생되지 않으면 상기 이상트래픽처리부(122)는 정상적으로 서비스를 제공하도록 한다. 그러나 특정 서비스에 대한 트래픽이 한계치 이상 발생되면 이를 탐지하고, 관리자가 설정한 일정시간 동안 허용횟수 이상 연속하여 발생하면 상기 이상트래픽처리부(122)는 그 트래픽을 이상 트래픽으로 간주하여 차단한다.
그러나, 종래 학습기능에 따라 차단정책을 수립하며, 그 차단정책에 따라 이상트래픽을 차단하는 방법에는 다음과 같은 문제점이 있다.
먼저, 상기와 같이 유입된 트래픽에 대하여 방향별 및 서비스별로 맵 테이블화하고 이를 메모리(124)에 저장하여야 하는데, 만일 트래픽 수집기간 중에 이상 트래픽이 발생하여 많은 포트수가 활성화가 되면 최대 65535(TCP/UDP 패킷헤더내의 포트정보의 최대값)개의 맵 정보를 유지해야하는 경우가 발생된다. 이 경우 상기 운영관리모듈부(100)에게 전송되는 패킷의 개수가 많아짐에 따라 처리해야 하는 부하 및 계속 유입되는 트래픽에 대한 맵 테이블 관리를 수행해야하는 부하로 인하여 전반적으로 시스템에 걸리는 부하가 늘어나게 되어 성능(throughput) 저하 등의 문제를 초래하게 된다.
그리고, 상기 차단 정책에 따라 유입된 적이 있는 트래픽의 방향별/서비스별로 최대 또는 평균 트래픽양을 기준으로 한계치를 설정하고 있지만, 학습 기간중에 유입된 적이 없는 트래픽의 포트 정보에 대해서는 한계치를 설정하지 못하였다. 이는 상기 한계치 미설정된 포트에 대한 해당 트래픽이 초당 유입되는 패킷수(PPS)가 쪼개진 상태로 유입되면 이상 트래픽을 방어할 수 없었다.
이와 같이 종래 이상 트래픽의 대응방법으로 일정 학습 기간 동안 유입되는 트래픽에 대한 모든 정보를 맵 테이블화하여 수행하기 때문에 오버로드로 인한 시스템 성능이 저하되고, 또한, 특정 패턴을 벗어나서 초당 유입 패킷수가 분리되어 유입되는 경우에는 이상트래픽인 경우에도 이를 방어할 수 없는 문제점이 있었다.
이에 본 발명의 목적은, 네트워크상에서 발생되는 모든 유입 트래픽을 미리 설정된 허용 모니터링 포트 갯수 이내로 제한하여 처리하여 시스템 부하를 최소화하는 침입방지시스템에서의 자기 학습 데이터 관리방법을 제공함에 있다.
또한, 본 발명의 다른 목적은 자기 학습 데이터에 의해 설정된 차단 정책을 적용하여 특정 패턴을 벗어나서 유입되는 이상 트래픽 발생 가능성을 인지하고 상기 차단 정책을 재 설정하도록 하는 침입방지시스템에서의 자기 학습 데이터를 이용한 이상 트래픽 대응방법을 제공함에 있다.
상기한 바와 같은 목적을 달성하기 위한 본 발명의 실시 예에 따른 침입방지시스템에서의 자기 학습 데이터 관리방법은, 정해진 자기 학습 기간 동안에 네트워크를 통해 유입되는 트래픽을 수집하는 트래픽 정보 수집단계 및, 이상 트래픽 차단정책 정보로 제공되도록 상기 수집된 트래픽 정보를 미리 설정된 허용 모니터링 포트 갯수이내로 제한하여 생성하고, 그 생성된 트래픽 정보를 운영관리모듈부로 송신하는 트래픽 정보 송신단계를 포함하여 구성되는 것을 기술적 특징으로 한다.
상기 트래픽 정보 수집단계는, 상기 유입 트래픽의 패킷 데이터 분석단계와,상기 분석된 패킷 데이터의 포트 번호가 미리 설정된 차단정책에 등록되었는가를 판단하는 판단단계와, 상기 판단단계로부터 상기 포트 번호와 기준 포트 번호를 비교하는 비교단계와, 상기 비교단계로부터 상기 포트 번호에 따라 해당 트래픽 정보를 상이한 맵 테이블에 각각 갱신 저장하는 단계, 및 상기 저장된 트래픽 정보의 한계치를 계산하는 단계를 포함하여 구성되는 것이 바람직하다.
상기 판단단계로부터, 상기 포트 번호가 등록되어 있으면, 상기 기준 포트 번호와의 비교에 따라 해당 맵 테이블에 트래픽 정보를 갱신 저장하고, 상기 포트 번호가 미 등록되어 있으면, 오픈 포트 카운터를 증가시켜 오픈 포트 갯수를 증가시키고 상기 기준 포트 번호와의 비교에 따라 해당 맵 테이블에 트래픽 정보를 갱신 저장하도록 한다.
상기 기준 포트 번호는 1024 포트 번호인 것이 바람직하다.
상기 트래픽 정보 송신단계는, 상기 허용 모니터링 포트 갯수를 설정하는 단계와, 상기 트래픽 정보 송신 요청에 따라 등록된 모든 포트 번호 갯수에서 0∼1024 포트까지의 등록 포트 번호 갯수를 차감하고 그 차감된 값과 상기 허용 모니터링 포트 갯수를 비교하는 단계와, 상기 허용 모니터링 포트 갯수가 큰 경우 상기 등록된 모든 포트 번호에 대한 트래픽 정보를 송신하고, 상기 허용 모니터링 포트 갯수가 작은 경우 상기 트래픽 정보를 한계치를 기준으로 상기 허용 모니터링 포트 갯수 이내로 정렬한 후 트래픽 정보를 송신하는 단계를 포함하여 구성된다.
상기 허용 모니터링 포트 갯수는 1024개 이상으로 설정 가능한 것이 바람직 하다.
또한, 상기한 바와 같은 목적을 달성하기 위한 본 발명의 실시 예에 따른침입방지시스템에서의 자기 학습 데이터를 이용한 이상 트래픽 대응방법은, 허용 모니터링 포트 갯수내로 제한되어 제공되는 트래픽 정보를 차단 정책으로 설정한 상태에서 이상 트래픽에 대응하는 방법에 있어서, 유입 트래픽의 포트 번호가 상기 차단 정책에 등록되었는지를 판단하는 단계와, 상기 포트 번호가 등록된 경우 상기 트래픽의 초당 유입 패킷수와 미리 등록된 포트 정보의 한계치를 비교하고, 미 등록된 경우 이상 트래픽 발생가능성을 감지하고 상기 차단 정책을 재 설정하는 단계를 포함하여 구성되는 것을 기술적 특징으로 한다.
상기 초당 유입 패킷수가 상기 한계치보다 큰 경우 해당 트래픽을 차단하는 것이 바람직하다.
상기 차단 정책 재 설정단계는, 포트 번호별로 발생된 상기 유입 트래픽 정보를 저장하는 단계와, 상기 포트 번호의 초당 유입 패킷수와 별도 관리되는 서비스 포트별로 차단정책에 설정되어 있는 한계치를 비교하는 단계와, 상기 포트 번호의 초당 유입 패킷수가 많은 경우 상기 포트별 유입 트래픽 정보를 송신하는 단계와, 상기 송신된 트래픽 정보에 의해 이상 트래픽 발생 가능성을 감지하는 단계,및 상기 감지된 트래픽 정보를 상기 차단 정책에 갱신 설정하는 단계를 포함하여 구성된다.
상기한 바와 같은 구성으로 이루어진 본 발명은, 유입 트래픽의 패킷 데이터를 미리 설정되는 허용 모니터링 포트 갯수이내로 제한하여 처리함으로써 시스템 부하를 경감시키고, 또한 특정 패턴을 벗어나서 최초 접속하는 트래픽에 대해서도 초당 유입 패킷수의 한계치와 비교하고 그 결과에 따라 이상 트래픽 발생 가능성을 감지하여 차단정책을 새롭게 정립할 수 있어, 이상 트래픽에 대한 능동적인 대처가 가능하다.
이하, 본 발명에 의한 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를 이용한 이상 트래픽 대응방법의 바람직한 실시 예를 첨부된 도면을 참고하여 상세하게 설명한다.
여기서, 본 발명의 실시 예를 설명함에 있어서 도 1에 도시된 침입방지시스템을 적용하여 설명하기로 한다. 그리고, 본 발명은 네트워크 관리자가 이상 트래픽의 효과적인 대응을 위하여 일정 학습 기간을 지정하고, 그 기간 동안에 유입 트래픽을 분석하여 차단 정책을 수립하기 위한 것이다.
도 2에는 본 발명에 따른 자기 학습 데이터 관리방법의 순서도로서, 유입 트래픽을 수집 처리하는 과정을 설명하기 위한 도면이다.
제 200 단계에서, 정해진 학습기간 중에 네트워크를 통해 다량의 트래픽이 유입되면, 제 202 단계에서 상기 이상트래픽처리부(122)는 상기 유입 트래픽에 대한 패킷데이터의 헤더를 분석한다. 상기 헤더에는 IP번호와 포트 번호가 구비되어 있으며, 상기 이상트래픽처리부(122)는 상기 트래픽의 포트 번호가 차단정책DB(102)에 등록되어 있는지를 판단한다(제 204 단계).
상기 판단 결과에 따라서 상기 포트 번호에 대한 트래픽 정보를 갱신하는 과정이 수행된다. 상기 제 204 단계에서 상기 포트 번호가 신규 서비스와 관련된 경 우에는 유입 트래픽의 맵 테이블에 등록시키기 위하여 오픈 포트 카운터를 증가시킨다(제 206 단계).
그리고 나서 상기 증가된 포트 번호 및 상기 차단정책DB(102)에 등록된 포트 번호에 따라 해당 포트의 맵 테이블을 갱신하게 된다. 이때, 상기 포트 번호는 '1024'포트 번호를 기준으로 구분되고, 포트 번호에 따라서 트래픽 정보를 메모리(124)의 '0∼1024포트'(제 1레지스터라 함) 또는 '1025∼65535포트'(제 2레지스터라 함)에 각각 갱신/저장한다. 예를 들어, 현재 유입된 패킷데이터의 포트 번호가 신규 서비스를 요구하는 포트 번호인 경우에 제 206 단계로 진행되어 오픈 포트 카운터를 증가한다. 그리고, 제 208 단계에서 그 증가된 포트 번호가 1024 포트 번호 이하이면 제 210 단계로 진행되어 상기 제 1레지스터에 트래픽 정보를 갱신 저장한다. 그러나, 제 212 단계와 같이 1024 포트 번호를 초과하면 제 2레지스터에 트래픽 정보를 갱신 저장한다. 상기 제 204 단계에서 신규 포트번호가 아닌 경우에도 상기 포트 번호를 비교하여 제 1레지스터 또는 제 2레지스터에 해당 트래픽 정보를 갱신 저장한다.
이와 같이 유입된 트래픽 정보가 포트 번호를 근거로 맵 테이블에 갱신 저장되면서, 한편으로 상기 한계치 계산부(126)가 상기 포트 번호별로 최대패킷량 또는 평균패킷량을 계산하여 한계치를 갱신/설정한다(제 214 단계).
다음으로, 상기 운영관리모듈부(100)가 차단정책을 수립하기 위하여 상기 갱신 저장된 맵 테이블의 트래픽 정보를 요청하면, 상기 이상트래픽 탐지모듈부(120)의 송신제어부(128)는 상기 트래픽 정보를 송신하게 된다. 이때 상기 송신제어부 (128)는 상기 맵 테이블에 있는 모든 트래픽 정보를 그대로 송신하는 것이 아니고 상기 설정된 한계치를 기준으로 처리 능률을 향상시키기 위하여 제한된 트래픽 정보만을 송신하게 된다. 이를 위하여, 관리자는 상기 운영관리모듈부(100)를 통해 허용 모니터링 포트 갯수를 미리 설정한다. 이는 미도시하고 있는 중앙처리유닛이 오버로드 되는것을 방지하기 위하여 미리 설정한 허용 모니터링 갯수이내의 범위내에서 송신되도록 하기 위함이다. 상기 허용 모니터링 포트 갯수는 1024개 이상 설정 가능하다.
상기와 같이 허용 모니터링 포트 갯수가 설정된 상태로부터 전술한 바와 같이 트래픽 정보 요청이 발생되면(제 216 단계), 상기 송신제어부(128)는 상기 맵 테이블에 등록된 모든 개방 포트 갯수(C)에서 상기 제 1레지스터의 맵 테이블에 등록된 포트 갯수(A)를 차감한 값과 상기 허용 모니터링 갯수(B)를 비교한다(제 218 단계).
제 220 단계에서, 상기 비교 결과에 따라 만약 차감한 값(C-A)이 상기 허용모니터링 포트 갯수(A)보다 큰 경우에는 송신할 수 없기 때문에 상기 제 2레지스터에 있는 1025∼65535포트에 대한 트래픽 정보를 상기 한계치를 기준으로 다시 정렬시킨다(제 222 단계). 그리고 제 224 단계와 같이, 상기 정렬과정에 따라 송신하고자 하는 트래픽 정보가 상기 허용모니터링 포트 갯수 이내로 정렬되면, 상기 송신제어부(128)는 상기 정렬된 트래픽 정보를 상기 운영관리모듈부(100)로 송신한다(제 228 단계). 그러나 상기 정렬 과정에도 불구하고 상기 허용모니터링 포트갯수보다 계속 많은 경우에는 상기 허용모니터링 포트갯수이내로 정렬하는 작업이 계속 수행되게 된다.
하지만, 상기 제 220 단계에서 상기 등록된 모든 오픈 포트 갯수(C)에서 제 1레지스터의 오픈 포트갯수(A)를 차감한 값이 상기 허용모니터링 포트 갯수(B)보다 적은 경우에는, 해당되는 오픈 포트에 대한 트래픽 정보를 송신한다(제 226 단계)(제 228 단계).
이와 같이 트래픽 정보를 허용 범위로 제한하여 송신하면, 유입되는 모든 트래픽 정보를 지속적으로 관리하는 것에 따른 부하 증가로 인하여 시스템이 다운되는 문제를 방지할 수 있으며, 트래픽이 다량 발생되더라도 미처리되는 데이터를 감소시킬 수 있다.
한편, 본 발명은 도 2에서 송신된 트래픽 정보를 차단정책 DB(102)에 등록하여 이상 트래픽 발생 가능성을 감지할 수 있다. 이와 같은 처리과정이 도 3에 도시되어 있다.
도 3에는 본 발명에 따라 학습 기간 중에 수집된 차단 정책에 의하여 이상 트래픽에 대한 대응방법의 순서도가 도시되어 있다.
상기 차단 정책은 상기 운영관리모듈부(100)에서 상기 이상트래픽처리부(122)에 제공된다. 상기 이상트래픽처리부(122)는 상기 차단 정책을 기초로 트래픽이 발생하면(제 230 단계), 그 트래픽의 패킷데이터를 분석하여 트래픽 정보에 포함되어 있는 포트 번호가 상기 차단정책DB(102)에 등록되어있는지를 판단한다(제 232 단계).
상기 판단 결과에 따라 상기 포트 번호가 차단정책DB(102)에 등록되어 있으 면, 제 234 단계로 진행되어 상기 이상트래픽처리부(122)는 상기 트래픽의 초당유입패킷수(PPS)가 상기 포트별에 미리 설정된 한계치를 초과하는지를 비교한다. 즉, 상기 포트번호에 대하여 한계치를 평균패킷량으로 설정하고 그 평균패킷량이 초당 1000회라고 되어 있다면, 상기 유입 트래픽의 초당유입패킷수가 1000회를 초과하는지를 판단하는 것이다.
이에, 제 236 단계에서 상기 유입 트래픽의 초당유입패킷수가 한계치를 초과한 경우에는, 상기 이상트래픽처리부(122)는 상기 트래픽에 대한 서비스를 차단한다(제 238 단계). 그러나 상기 유입 트래픽의 초당유입패킷수가 한계치 이내인 경우에는 정상적으로 서비스를 제공한다(제 240 단계). 즉 갑자기 짧은 시간 동안에 허용 한계치 이상으로 트래픽 요구가 발생되면, 이상트래픽처리부(122)는 그 요구 발생된 트래픽 정보를 차단시키게 된다.
반면, 상기 제 232 단계에서 상기 트래픽의 포트 번호가 상기 차단정책에 등록되지 않는 경우에는, 제 242 단계로 진행되어 상기 이상트래픽처리부(122)는 도 2에서와 같이 해당 트래픽정보에 대하여 프로토콜별 및 패킷 데이터의 서비스별로 다시 분류하여 별도의 맵 테이블을 작성한다. 상기 작성된 맵 테이블은 상기 포트 번호에 대하여 초당유입 패킷수를 계속해서 갱신한다.
이후, 제 244 단계에서 유입된 적이 없는 트래픽의 포트별 초당유입패킷수의 합과 별도 관리되는 서비스 포트별로 차단정책에 설정되어 있는 한계치를 비교한다. 상기 비교결과에 따라 만일 새로 유입된 트래픽의 초당유입패킷수가 상기 설정된 한계치보다 더 크게 되면, 상기 송신제어부(128)는 포트별로 상기 유입된 트래 픽 정보를 운영관리모듈부(100)에게로 송신한다(제 246 단계). 그러면 상기 운영관리모듈부(100)는 이상 트래픽이 발생될 수 있는 가능성을 인지하고, 상기 트래픽 정보를 기준으로 차단정책DB(102)에 제공하여 다시 갱신 저장하도록 한다(제 248 단계).
상기와 같은 도 3의 과정은 유입되는 트래픽의 포트 번호별로 발생되는 초당유입패킷수와 기 설정된 한계치를 비교하여 초과시에는 트래픽을 차단하게 되며, 또한 차단정책에 정의되지 않은 트래픽의 포트 번호에 대해서도 별도 관리되는 한계치와의 비교에 따라 이상 트래픽 발생 가능성을 알 수 있게 된다.
위에서 상세히 설명한 바와 같이, 본 발명의 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를 이용한 이상 트래픽 대응방법에 따르면, 일정 기간 동안에 발생할 수 있는 이상 트래픽에 의하여 트래픽이 무의미하게 발생하는 것을 방지할 수 있고, 트래픽 수집 분석에 따라서 설정되는 차단 정책에 미 등록된 서비스 포트 이외의 것에 의해 발생되는 이상 트래픽도 식별할 수 있어 그 서비스 포트 들에 대한 이상 트래픽 증후를 판단하여 차단 정책을 미리 갱신할 수 있는 효과가 있다.

Claims (9)

  1. 정해진 자기 학습 기간 동안에 네트워크를 통해 유입되는 트래픽을 수집하는 트래픽 정보 수집단계 및,
    이상 트래픽 차단정책 정보로 제공되도록 상기 수집된 트래픽 정보를 미리 설정된 허용 모니터링 포트 갯수이내로 제한하여 생성하고, 그 생성된 트래픽 정보를 운영관리모듈부로 송신하는 트래픽 정보 송신단계를 포함하여 구성되는 침입방지시스템에서의 자기 학습 데이터 관리방법.
  2. 제 1항에 있어서,
    상기 트래픽 정보 수집단계는,
    상기 유입 트래픽의 패킷 데이터 분석단계와,
    상기 분석된 패킷 데이터의 포트 번호가 미리 설정된 차단정책에 등록되었는가를 판단하는 판단단계와,
    상기 판단단계로부터 상기 포트 번호와 기준 포트 번호를 비교하는 비교단계와,
    상기 비교단계로부터 상기 포트 번호에 따라 해당 트래픽 정보를 상이한 맵 테이블에 각각 갱신 저장하는 단계, 및
    상기 저장된 트래픽 정보의 한계치를 계산하는 단계를 포함하여 구성되는 것을 특징으로 하는 침입방지시스템에서의 자기 학습 데이터 관리방법.
  3. 제 2항에 있어서,
    상기 판단단계로부터,
    상기 포트 번호가 등록되어 있으면, 상기 기준 포트 번호와의 비교에 따라 해당 맵 테이블에 트래픽 정보를 갱신 저장하고,
    상기 포트 번호가 미 등록되어 있으면, 오픈 포트 카운터를 증가시켜 오픈 포트 갯수를 증가시키고 상기 기준 포트 번호와의 비교에 따라 해당 맵 테이블에 트래픽 정보를 갱신 저장하는 것을 특징으로 하는 침입방지시스템에서의 자기 학습 데이터 관리방법.
  4. 제 2항에 있어서,
    상기 기준 포트 번호는 1024 포트 번호인 것을 특징으로 하는 침입방지시스템에서의 자기 학습 데이터 관리방법.
  5. 제 1항에 있어서,
    상기 트래픽 정보 송신단계는,
    상기 허용 모니터링 포트 갯수를 설정하는 단계와,
    상기 트래픽 정보 송신 요청에 따라 등록된 모든 포트 번호 갯수에서 0∼1024 포트까지의 등록 포트 번호 갯수를 차감하고 그 차감된 값과 상기 허용 모니터링 포트 갯수를 비교하는 단계와,
    상기 허용 모니터링 포트 갯수가 큰 경우 상기 등록된 모든 포트 번호에 대한 트래픽 정보를 송신하고, 상기 허용 모니터링 포트 갯수가 작은 경우 상기 트래픽 정보를 한계치를 기준으로 상기 허용 모니터링 포트 갯수 이내로 정렬한 후 트래픽 정보를 송신하는 단계를 포함하여 구성되는 것을 특징으로 하는 침입방지시스템에서의 자기 학습 데이터 관리방법.
  6. 제 5항에 있어서,
    상기 허용 모니터링 포트 갯수는 1024개 이상으로 설정 가능한 것을 특징으로 하는 침입방지시스템에서의 자기 학습 데이터 관리방법.
  7. 허용 모니터링 포트 갯수내로 제한되어 제공되는 트래픽 정보를 차단 정책으로 설정한 상태에서 이상 트래픽에 대응하는 방법에 있어서,
    유입 트래픽의 포트 번호가 상기 차단 정책에 등록되었는지를 판단하는 단계와,
    상기 포트 번호가 등록된 경우 상기 트래픽의 초당 유입 패킷수와 미리 등록된 포트 정보의 한계치를 비교하고, 미 등록된 경우 이상 트래픽 발생가능성을 감지하고 상기 차단 정책을 재 설정하는 단계를 포함하여 구성되는 침입방지시스템에서의 자기 학습 데이터를 이용한 이상 트래픽 대응방법.
  8. 제 7항에 있어서,
    상기 초당 유입 패킷수가 상기 한계치보다 큰 경우 해당 트래픽을 차단하는 것을 특징으로 하는 침입방지시스템에서의 자기 학습 데이터를 이용한 이상 트래픽 대응방법.
  9. 제 7항에 있어서,
    상기 차단 정책 재 설정단계는,
    포트 번호별로 발생된 상기 유입 트래픽 정보를 저장하는 단계와,
    상기 포트 번호의 초당 유입 패킷수와 별도 관리되는 서비스 포트별로 차단정책에 설정되어 있는 한계치를 비교하는 단계와,
    상기 포트 번호의 초당 유입 패킷수가 많은 경우 상기 포트별 유입 트래픽 정보를 송신하는 단계와,
    상기 송신된 트래픽 정보에 의해 이상 트래픽 발생 가능성을 감지하는 단계,및
    상기 감지된 트래픽 정보를 상기 차단 정책에 갱신 설정하는 단계를 포함하여 구성되는 것을 특징으로 하는 침입방지시스템에서의 자기 학습 데이터를 이용하 이상 트래픽 대응방법.
KR1020060010744A 2006-02-03 2006-02-03 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법 KR100756462B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060010744A KR100756462B1 (ko) 2006-02-03 2006-02-03 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060010744A KR100756462B1 (ko) 2006-02-03 2006-02-03 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법

Publications (2)

Publication Number Publication Date
KR20070079785A KR20070079785A (ko) 2007-08-08
KR100756462B1 true KR100756462B1 (ko) 2007-09-07

Family

ID=38600333

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060010744A KR100756462B1 (ko) 2006-02-03 2006-02-03 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법

Country Status (1)

Country Link
KR (1) KR100756462B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102014044B1 (ko) 2019-02-18 2019-10-21 한국남동발전 주식회사 L2 패킷 차단이 가능한 침입 방지 시스템 및 방법

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112654047A (zh) * 2019-09-25 2021-04-13 中兴通讯股份有限公司 识别异常终端的方法、装置、基站及存储介质
KR102638271B1 (ko) * 2022-01-28 2024-02-16 주식회사 케이티 네트워크 장비의 추가 트래픽 수용량 및 물량 산출 방법 및 장치
KR102472844B1 (ko) * 2022-02-09 2022-12-01 주식회사 에스투더블유 온라인 상에서 이상거래를 자동 탐지하기 위한 방법

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010085057A (ko) * 2001-07-27 2001-09-07 김상욱 네트워크 흐름 분석에 의한 침입 탐지 장치
JP2004312083A (ja) 2003-04-02 2004-11-04 Kddi Corp 学習データ作成装置、侵入検知システムおよびプログラム
JP2005130121A (ja) 2003-10-22 2005-05-19 Japan Telecom Co Ltd ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム
JP2005175714A (ja) 2003-12-09 2005-06-30 Kenji Ishida ネットワークにおけるアクセスの悪意度の評価装置、方法及びシステム
JP2005202589A (ja) 2004-01-14 2005-07-28 Kddi Corp P2pネットワークのトラヒック制御システム
JP2005210601A (ja) 2004-01-26 2005-08-04 Nippon Telegr & Teleph Corp <Ntt> 不正侵入検知装置
KR20060005719A (ko) * 2004-07-14 2006-01-18 엘지엔시스(주) 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법
JP2006025190A (ja) 2004-07-08 2006-01-26 Nippon Telegr & Teleph Corp <Ntt> アプリケーション型サービス拒絶防御方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010085057A (ko) * 2001-07-27 2001-09-07 김상욱 네트워크 흐름 분석에 의한 침입 탐지 장치
JP2004312083A (ja) 2003-04-02 2004-11-04 Kddi Corp 学習データ作成装置、侵入検知システムおよびプログラム
JP2005130121A (ja) 2003-10-22 2005-05-19 Japan Telecom Co Ltd ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム
JP2005175714A (ja) 2003-12-09 2005-06-30 Kenji Ishida ネットワークにおけるアクセスの悪意度の評価装置、方法及びシステム
JP2005202589A (ja) 2004-01-14 2005-07-28 Kddi Corp P2pネットワークのトラヒック制御システム
JP2005210601A (ja) 2004-01-26 2005-08-04 Nippon Telegr & Teleph Corp <Ntt> 不正侵入検知装置
JP2006025190A (ja) 2004-07-08 2006-01-26 Nippon Telegr & Teleph Corp <Ntt> アプリケーション型サービス拒絶防御方法
KR20060005719A (ko) * 2004-07-14 2006-01-18 엘지엔시스(주) 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102014044B1 (ko) 2019-02-18 2019-10-21 한국남동발전 주식회사 L2 패킷 차단이 가능한 침입 방지 시스템 및 방법

Also Published As

Publication number Publication date
KR20070079785A (ko) 2007-08-08

Similar Documents

Publication Publication Date Title
US20210112091A1 (en) Denial-of-service detection and mitigation solution
US9043912B2 (en) Method for thwarting application layer hypertext transport protocol flood attacks focused on consecutively similar application-specific data packets
US9288218B2 (en) Securing an accessible computer system
US11005865B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
US10911473B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
US7768921B2 (en) Identification of potential network threats using a distributed threshold random walk
US10187422B2 (en) Mitigation of computer network attacks
US20110138463A1 (en) Method and system for ddos traffic detection and traffic mitigation using flow statistics
US11032315B2 (en) Distributed denial-of-service attack mitigation with reduced latency
RU2480937C2 (ru) Система и способ уменьшения ложных срабатываний при определении сетевой атаки
US7854000B2 (en) Method and system for addressing attacks on a computer connected to a network
US20030037141A1 (en) Heuristic profiler software features
KR20140088340A (ko) 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법
US20190149573A1 (en) System of defending against http ddos attack based on sdn and method thereof
CA2540802A1 (en) Method and apparatus for traffic control of dynamic denial of service attacks within a communications network
KR101042291B1 (ko) 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
KR100756462B1 (ko) 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법
JP6834768B2 (ja) 攻撃検知方法、攻撃検知プログラムおよび中継装置
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
KR100950900B1 (ko) 분산서비스거부 공격 방어방법 및 방어시스템
US20070140121A1 (en) Method of preventing denial of service attacks in a network
US8286244B2 (en) Method and system for protecting a computer network against packet floods
KR101268104B1 (ko) 침입방지시스템 및 그 제어방법
KR20030009887A (ko) 서비스거부 공격 차단시스템 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee