KR100767803B1 - 네트워크 이상행위 기반의 네트워크 공격 탐지 방법 및장치 - Google Patents

네트워크 이상행위 기반의 네트워크 공격 탐지 방법 및장치 Download PDF

Info

Publication number
KR100767803B1
KR100767803B1 KR1020060027565A KR20060027565A KR100767803B1 KR 100767803 B1 KR100767803 B1 KR 100767803B1 KR 1020060027565 A KR1020060027565 A KR 1020060027565A KR 20060027565 A KR20060027565 A KR 20060027565A KR 100767803 B1 KR100767803 B1 KR 100767803B1
Authority
KR
South Korea
Prior art keywords
packet
port
network
destination port
source
Prior art date
Application number
KR1020060027565A
Other languages
English (en)
Other versions
KR20070096666A (ko
Inventor
전덕조
채문창
Original Assignee
전덕조
채문창
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 전덕조, 채문창 filed Critical 전덕조
Priority to KR1020060027565A priority Critical patent/KR100767803B1/ko
Publication of KR20070096666A publication Critical patent/KR20070096666A/ko
Application granted granted Critical
Publication of KR100767803B1 publication Critical patent/KR100767803B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 기업의 네트워크를 탐지 네트워크로 구현하여 네트워크의 이상 행위 및 악성 코드와 같은 네트워크 공격을 탐지하는 방법 및 장치를 개시한다. 본 발명은 기업에서 실제로 사용되고 있는 IP 주소 공간 전체를 탐지 네트워크로 활용하여, 기업 네트워크 전체에 유입 및 유출되는 전체 트래픽 특징을 분석함으로써, 유휴 IP 를 이용하는 종래 방식에 비하여 네트워크의 이상 행위를 보다 유연하고 완벽하게 탐지할 수 있는 효과가 있다. 또한, 본 발명은 악성 코드 또는 네트워크의 이상 행위에 대해서 전문가의 판단을 요구하는 종래의 시그너쳐 방식 대신에 유입 및 유출되는 패킷들의 서비스 포트를 자동으로 검색함으로써 보다 신속하게 네트워크의 이상 행위 내지 악성 코드를 탐지할 수 있는 효과가 있다.

Description

네트워크 이상행위 기반의 네트워크 공격 탐지 방법 및 장치{Method and apparatus for detecting network attack based on network abnormal behavior}
도 1 은 본 발명의 바람직한 실시예에 따른 네트워크 이상 행위 및 악성 코드 탐지 장치가 연결된 전체 네트워크의 구성을 도시하는 블록도이다.
도 2 는 본 발명의 바람직한 실시예에 따른 네트워크 이상 행위 및 악성 코드 등을 탐지하는 탐지 장치의 상세 구성을 도시하는 블록도이다.
도 3 및 도 4 는 본 발명의 바람직한 실시예에 따른 네트워크 이상 행위 탐지 방법을 설명하는 흐름도로서, 도 3 은 활성 서비스 포트 리스트를 등록하는 과정을 설명하는 흐름도이고, 도 4 는 네트워크 공격을 탐지하는 과정을 설명하는 흐름도이다.
도 5a 는 도 4 의 유입 패킷의 이상 행위 여부 탐지 과정을 상세하게 설명하는 흐름도이며, 도 5b 는 도 4 의 유출 패킷의 이상 행위 여부 탐지 과정을 상세하게 설명하는 흐름도이다.
본 발명은 네트워크 이상행위 기반의 네트워크 공격 탐지 방법 및 장치에 관 한 것이다. 구체적으로 본 발명은 기업의 네트워크를 탐지 네트워크로 구현하여 네트워크의 이상 행위 및 악성 코드와 같은 네트워크 공격을 탐지하는 방법 및 장치에 관한 것이다.
최근 네트워크 공격의 유형 중 웜(Worm) 및 봇(Bot)과 같은 Zero-day 공격에 의한 피해가 가장 자주 발생하고 있으며, 그러한 공격에 의한 피해가 지속적으로 증가하고 있는 추세이다. 그러한 공격들의 특성은 네트워크를 통하여 취약점을 자동으로 찾아 스스로 전파되며, 인터넷으로 연결된 수많은 취약한 컴퓨터들에 의하여 증폭되어 고속으로 확산되므로 피해가 매우 심각하다.
그러나, 종래의 네트워크 보안기술(침입탐지, 침입방지 등)은 대부분 시그니처(Signature)라고 알려진 공격들의 데이터베이스에 기반하여 공격여부를 판단하므로 웜(Worm)과 봇(Bot)과 같은 알려지지 않은 신종의 동적(Dynamic)인 공격을 방어하는 데에는 기술적인 한계가 있다.
오늘날 대부분의 침입탐지 또는 침입방지 시스템에서 사용하고 있는 공격 탐지 또는 방지 규칙의 예를 들면, FTP 서버에 버퍼오버플로(buffer overflow)공격 시도를 탐지 또는 방지하기 위한 공격탐지 규칙은 다음과 같다:
alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"FTP EXPLOIT stat overflow"; flags:A+; dsize:>1000; content:"stat "; nocase;)
이 규칙의 의미는 전송계층(TCP)을 이용한 통신에서 외부 네트워크의 임의의 포트로부터 내부 네트워크의 FTP서버 포트로의 접속시도 중에서, 데이터가 1000 바이트가 넘고 스트링 "stat"을 포함하고 있다면 해당공격으로 판단한다는 의미이다.
이러한 규칙을 작성하여 실제의 보안 수단에 적용하기 위해서는, 해당 공격 트래픽을 수집하여 전문가가 해당 공격을 분석하고, 전문가가 공격 탐지/방지 규칙을 작성하여 해당 공격 탐지/방지 규칙이 합법적인 트래픽에 영향을 미치지 않는 지를 검증하여 해당 침입 탐지/방지 장비에 탑재하여야 한다.
이러한 종래의 침입 탐지 및 방지 방식에 따르면, 공격판단으로부터 규칙 작성까지의 일련의 과정에는 많은 시간과 노력이 필요하다. 그러나 이러한 방식은 최근 네트워크 공격의 많은 부분을 차지하는 Zero-day 악성 자가 전파 코드의 고속 확산 특성을 고려할 때 적용하기 불가능한 문제점이 있다.
이러한 기술들 이외에도 네트워크 이상행위를 자동으로 판단하기 위한 많은 연구가 진행되고 있으며, 일부 기술들은 네트워크 트래픽 분석의 노이즈(noise) 감소, 트래픽 분석의 양, 난이도 및 분석비용을 절감하기 위하여"탐지 네트워크"의 개념을 도입하고 있다. 종래의 기술들이 사용하는"탐지 네트워크"는 기업들이 사용하는 유휴 IP 주소 공간을 이용하거나 그러한 유휴 IP 주소 공간을 이용한 허니팟(Honey Pot- 해커 유인시스템)을 구성하는 방식을 취하고 있다.
이러한 기법들의 단점 및 기술적 한계는 첫째, 반드시 유휴 IP 주소 공간이 있어야 한다는 것, 둘째, 기업들이 확보는 하였으나 사용하지 않는 유휴 IP 공간의 수는 제한적일 수 밖에 없으므로 "탐지 네트워크"의 규모가 작을 수 밖에 없고 따라서 이상행위의 탐지에 사용될 수 있는 트래픽이 제한적이므로 시스템의 탐지성능에 영향을 미치게 된다는 점이다. 즉, 실제 IP 주소공간에서는 이상행위가 발생하여도 "탐지 네트워크"에서는 이상행위가 일어나지 않을 경우 탐지할 수 없다는 문 제점이 있다.
본 발명이 이루고자 하는 기술적 과제는 실제로 사용되고 있는 IP 주소 공간 전체를 탐지 네트워크로 활용하여, 기업 네트워크 전체에 유입 및 유출되는 전체 트래픽 특징을 분석하여, 악성 코드 전파와 같은 네트워크 이상 행위의 발생 유무를 자동으로 신속하게 탐지할 수 있는 탐지 방법 및 장치를 제공하는 것이다.
상술한 기술적 과제를 이루기 위한 본 발명의 네트워크 공격 탐지 장치는, 내부 네트워크로부터 유출되는 서비스 응답 패킷들을 조사하여 내부 네트워크에서 제공되는 서비스에 대응되는 활성 서비스 포트 리스트를 생성하는 활성 서비스 포트 탐지부; 내부 네트워크로 유입되는 데이터 패킷의 목적 포트를 조사하고, 목적 포트가 포트 리스트에 등록되어 있는지 여부를 조사하여 내부 네트워크로의 공격을 탐지하며, 유입 패킷의 소스 IP 및 목적 포트를 태깅하여 저장하는 이상 행위 탐지부; 및 활성 서비스 포트 리스트, 태깅된 소스 IP의 리스트, 및 태깅된 목적 포트의 리스트를 저장하는 데이터 베이스를 포함한다.
또한, 상술한 활성 서비스 포트 탐지부는, 내부 네트워크로부터 외부 통신망으로 유출되는 서비스 응답 패킷의 서비스 포트를 조사하여 포트 리스트를 생성할 수 있다.
또한, 상술한 이상 행위 탐지부는, 목적 포트가 포트 리스트에 등록되지 않은 경우에 유입 패킷을 내부 네트워크에 대한 공격으로 판단할 수 있다.
또한, 상술한 이상 행위 탐지부는, 목적 포트가 포트 리스트에 등록되지 않은 경우에, 유입 패킷의 소스 IP 를 태깅하여 데이터 베이스에 저장하고, 태깅된 소스 IP 로부터, 목적 포트가 포트 리스트에 등록되지 않은 패킷이 다시 유입되는 경우에, 소스 IP로부터 유입된 패킷을 내부 네트워크에 대한 공격으로 판단할 수 있다.
또한, 상술한 이상 행위 탐지부는, 목적 포트가 포트 리스트에 등록되지 않은 경우에, 유입 패킷의 플래그 코드들을 조사하여, 플래그 코드들이 일반적인 통신환경에서 이용되는 방식과 다르게 설정된 경우에, 유입된 패킷을 내부 네트워크에 대한 공격으로 판단할 수 있다.
또한, 상술한 이상 행위 탐지부는, 목적 포트가 포트 리스트에 등록되지 않은 경우에, 유입 패킷의 플래그 코드들이 일반적인 통신환경에서 이용되는 방식과 다르게 설정되었는지 조사하고, 플래그 코드들이 일반적인 방식으로 설정된 경우에, 유입 패킷의 소스 IP 가 사전에 태깅된 소스 IP 인지 조사하며, 소스 IP가 사전에 태깅된 경우에 유입된 패킷을 내부 네트워크에 대한 공격으로 판단하고, 소스 IP 가 사전에 태깅되지 않은 경우에, 유입 패킷의 소스 IP 및 목적 포트를 태깅할 수 있다.
한편, 상술한 기술적 과제를 이루기 본 발명의 다른 네트워크 공격 탐지 장치는, 내부 네트워크로부터 유출되는 서비스 응답 패킷들을 조사하여 내부 네트워크에서 제공되는 서비스에 대응되는 활성 서비스 포트 리스트를 생성하는 활성 서비스 포트 탐지부; 외부 네트워크로부터 내부 네트워크로 유입되는 패킷의 목적 포 트와 포트 리스트를 비교하여 네트워크 공격 패킷을 탐지하고, 공격 패킷의 소스 IP 및 목적 포트를 태깅하여 저장하며, 내부 네트워크로부터 외부 네트워크로 유출되는 데이터 패킷의 목적 포트를 조사하여, 목적 포트가 포트 리스트에 등록되어 있는지 여부 및 유출 패킷에 기록된 데이터를 조사하여 외부 네트워크로의 공격을 탐지하는 이상 행위 탐지부; 및 활성 서비스 포트 리스트, 태깅된 소스 IP의 리스트, 및 태깅된 목적 포트의 리스트를 저장하는 데이터 베이스를 포함한다.
또한, 상술한 이상 행위 탐지부는, 목적 포트가 포트 리스트에 등록되지 않은 경우에, 유출 패킷의 플래그 코드들이 일반적인 통신환경에서 이용되는 방식과 다르게 설정되었는지 조사하여, 플래그 코드들이 일반적인 방식으로 설정되지 않은 경우에, 유출 패킷을 네트워크 공격으로 판단하고, 유출 패킷의 소스 IP 및 목적 포트를 태깅하여 저장할 수 있다.
또한, 상술한 이상 행위 탐지부는, 목적 포트가 포트 리스트에 등록되지 않은 경우에, 목적 포트가 사전에 태깅된 목적 포트 리스트에 등록되었는지 조사하고, 목적 포트가 사전에 태깅된 목적 포트 리스트에 등록된 경우에, 유출 패킷의 소스 IP 및 목적 포트를 카운트하고, 소정의 평균값과 비교하여, 유출 패킷이 네트워크 공격 패킷인지 여부를 판단하며, 유출 패킷이 네트워크 공격 패킷인 경우에, 유출 패킷의 소스 IP 를 태깅하여 저장할 수 있다.
또한, 상술한 이상 행위 탐지부는, 목적 포트가 포트 리스트에 등록되지 않은 경우에, 목적 포트의 범위를 조사하여 유출 패킷이 네트워크 공격 패킷인지 여부를 판단하고, 유출 패킷이 네트워크 공격 패킷인 경우에, 유출 패킷의 소스 IP 를 태깅하여 저장할 수 있다.
한편, 상술한 기술적 과제를 이루기 본 발명의 네트워크 공격 탐지 방법은, (a) 내부 네트워크에서 제공되는 서비스에 대응되는 포트 리스트를 생성하는 단계; (b) 내부 네트워크로 유입되는 데이터 패킷의 목적 포트를 조사하는 단계; 및 (c) 목적 포트가 포트 리스트에 등록되어 있는지 여부를 조사하여 내부 네트워크로의 공격을 탐지하는 단계를 포함한다.
또한, 상술한 (a) 단계는, 내부 네트워크로부터 외부 통신망으로 유출되는 서비스 응답 패킷의 서비스 포트를 조사하여 포트 리스트를 생성할 수 있다.
또한, 상술한 (c) 단계는, 목적 포트가 포트 리스트에 등록되지 않은 경우에 유입 패킷을 내부 네트워크에 대한 공격으로 판단할 수 있다.
또한, 상술한 (c) 단계는, 목적 포트가 포트 리스트에 등록되지 않은 경우에, 유입 패킷의 소스 IP 를 태깅하여 소정의 데이터 베이스에 저장하고, 태깅된 소스 IP 로부터, 목적 포트가 포트 리스트에 등록되지 않은 패킷이 다시 유입되는 경우에, 소스 IP로부터 유입된 패킷을 내부 네트워크에 대한 공격으로 판단할 수 있다.
또한, 상술한 (c) 단계는, 목적 포트가 포트 리스트에 등록되지 않은 경우에, 유입 패킷의 플래그 코드들을 조사하여, 플래그 코드들이 일반적인 통신환경에서 이용되는 방식과 다르게 설정된 경우에, 유입된 패킷을 내부 네트워크에 대한 공격으로 판단할 수 있다.
또한, 상술한 (c) 단계는, (c1) 목적 포트가 포트 리스트에 등록되지 않은 경우에, 유입 패킷의 플래그 코드들이 일반적인 통신환경에서 이용되는 방식과 다르게 설정되었는지 조사하는 단계; (c2) 플래그 코드들이 일반적인 방식으로 설정된 경우에, 유입 패킷의 소스 IP 가 사전에 태깅된 소스 IP 인지 조사하는 단계;
(c3) 소스 IP가 사전에 태깅된 경우에 유입된 패킷을 내부 네트워크에 대한 공격으로 판단하는 단계; 및 (c4) 소스 IP 가 사전에 태깅되지 않은 경우에, 유입 패킷의 소스 IP 및 목적 포트를 태깅하는 단계를 포함할 수 있다.
한편, 상술한 기술적 과제를 이루기 본 발명의 다른 네트워크 공격 탐지 방법은, (a) 내부 네트워크에서 제공되는 서비스에 대응되는 포트 리스트를 생성하는 단계; (b) 외부 네트워크로부터 내부 네트워크로 유입되는 패킷의 목적 포트와 포트 리스트를 비교하여 네트워크 공격 패킷을 탐지하고, 공격 패킷의 소스 IP 및 목적 포트를 태깅하여 저장하는 단계; (c) 내부 네트워크로부터 외부 네트워크로 유출되는 데이터 패킷의 목적 포트를 조사하는 단계; 및 (d) 목적 포트가 포트 리스트에 등록되어 있는지 여부 및 유출 패킷에 기록된 데이터를 조사하여 외부 네트워크로의 공격을 탐지하는 단계를 포함한다.
또한, 상술한 (d) 단계는, 목적 포트가 포트 리스트에 등록되지 않은 경우에, 유출 패킷의 플래그 코드들이 일반적인 통신환경에서 이용되는 방식과 다르게 설정되었는지 조사하는 단계; 및 플래그 코드들이 일반적인 방식으로 설정되지 않은 경우에, 유출 패킷을 네트워크 공격으로 판단하고, 유출 패킷의 소스 IP 및 목적 포트를 태깅하여 저장하는 단계를 포함할 수 있다.
또한, 상술한 네트워크 공격 탐지 방법은, 플래그 코드들이 일반적인 방식으 로 설정된 경우에, 목적 포트가 사전에 태깅된 목적 포트 리스트에 등록되었는지 조사하는 단계; 목적 포트가 사전에 태깅된 목적 포트 리스트에 등록된 경우에, 유출 패킷의 소스 IP 및 목적 포트를 카운트하고, 소정의 평균값과 비교하여, 유출 패킷이 네트워크 공격 패킷인지 여부를 판단하는 단계; 및 유출 패킷이 네트워크 공격 패킷인 경우에, 유출 패킷의 소스 IP 를 태깅하여 저장하는 단계를 더 포함할 수 있다.
또한, 상술한 네트워크 공격 탐지 방법은, 플래그 코드들이 일반적인 방식으로 설정되고 목적 포트가 태깅된 목적 포트 리스트에 등록되지 않은 경우에, 목적 포트의 범위를 조사하여 유출 패킷이 네트워크 공격 패킷인지 여부를 판단하는 단계; 및 유출 패킷이 네트워크 공격 패킷인 경우에, 유출 패킷의 소스 IP 를 태깅하여 저장하는 단계를 더 포함할 수 있다.
또한, 상술한 (d) 단계는, 목적 포트가 포트 리스트에 등록되지 않은 경우에, 목적 포트가 사전에 태깅된 목적 포트 리스트에 등록되었는지 조사하는 단계; 목적 포트가 사전에 태깅된 목적 포트 리스트에 등록된 경우에, 유출 패킷의 소스 IP 및 목적 포트를 카운트하고, 소정의 평균값과 비교하여, 유출 패킷이 네트워크 공격 패킷인지 여부를 판단하는 단계; 및 유출 패킷이 네트워크 공격 패킷인 경우에, 유출 패킷의 소스 IP 를 태깅하여 저장하는 단계를 포함할 수 있다.
또한, 상술한 (d) 단계는, 목적 포트가 포트 리스트에 등록되지 않은 경우에, 목적 포트의 범위를 조사하여 유출 패킷이 네트워크 공격 패킷인지 여부를 판단하는 단계; 및 유출 패킷이 네트워크 공격 패킷인 경우에, 유출 패킷의 소스 IP 를 태깅하여 저장하는 단계를 포함할 수 있다.
본 발명은 기업 네트워크에서 서비스를 제공하는 포트 리스트를 확보하고, 해당 포트 리스트에 등록되지 않은 포트를 목적 포트로 지정하여 유입되는 데이터 패킷의 소스 IP 및 포트 번호를 태깅하여, 외부 네트워크로부터 유입되는 악성 코드 등을 탐지하고, 태깅된 포트 번호와 동일한 포트 번호를 지정하는 패킷이 내부 네트워크로부터 외부 네트워크로 유출되면 해당 패킷은 악성 코드등의 네트워크 공격을 외부로 전파하는 것으로 판단하여 내부 네트워크로부터 외부 네트워크로 전파되는 악성 코드 등을 탐지하는 것을 기본 개념으로 한다.
즉, 기업의 내부 네트워크가 서비스를 제공하지 않는 포트를 지정하여 외부로부터 내부로 유입되는 패킷은 특정 서비스를 요청한다고 보기 어렵고, 이러한 패킷이 2회 이상 유입되는 것은 악성 코드를 전파하려는 의도가 있다고 추정할 수 있다.
따라서, 본 발명은 기업 내부 네트워크에서 제공하는 서비스에 대응되는 포트 번호와 다른 포트를 지정하는 것을 탐지하여 악성 코드 등을 탐지한다. 단, 본 발명에서는 내부 네트워크 전체를 탐지 네트워크로 설정하여 네트워크 이상 행위에 기반한 네트워크 공격 탐지 방법 및 장치를 설명하지만, 이러한 탐지 네트워크는 내부 네크워크의 일부에 대해서만 설정되어 수행될 수도 있음을 주지하여야 한다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예들을 설명한다.
도 1 은 본 발명의 바람직한 실시예에 따른 네트워크 이상 행위 및 악성 코드 탐지 장치가 연결된 전체 네트워크의 구성을 도시하는 블록도이다.
도 1 을 참조하면, 전체 네트워크는 라우터(10), 스위치(30), 스위치(30)와 라우터(10)를 통해서 인터넷망에 접속하여 클라이언트 단말에 소정의 서비스를 제공하는 각각의 서비스 서버들(40), 기업 내부의 네트워크로 유입되는 패킷 및 기업 내부 네트워크로부터 유출되는 패킷들을 조사하여 네트워크 이상 행위 및 악성 코드를 탐지하는 탐지 장치(20), 및 탐지 장치(20)에서 탐지된 이상 행위 등을 관리자에게 표시하는 관리자 단말(50)을 포함한다.
이 때, 탐지 장치(20)는 라우터(10)와 스위치(30) 사이에 설치되어 라우터(10)와 스위치(30) 사이에서 유입/유출되는 패킷을 조사하는 것으로 도시하였으나, 라우터(10)와 외부 인터넷망 사이에 설치되어 라우터(10)로 유입되는 패킷 및 라우터(10)로부터 유출되는 패킷을 조사하도록 구현될 수도 있음을 당업자는 알 수 있을 것이다.
도 2 는 본 발명의 바람직한 실시예에 따른 네트워크 이상 행위 및 악성 코드 등을 탐지하는 탐지 장치(20)의 상세 구성을 도시하는 블록도이다.
도 2 를 참조하면, 본 발명의 바람직한 실시예에 따른 탐지 장치(20)는 활성 서비스 포트 탐지부(22), 이상 행위 탐지부(24), 및 데이터 베이스(26)를 포함하고, 데이터 베이스(26)는 활성 서비스 포트 리스트 저장부(26-1), 태깅 소스 IP 저장부(26-2), 태깅 포트 리스트 저장부(26-3), 및 카운트 저장부(26-4)를 포함한다.
먼저, 활성 서비스 포트 탐지부(22)는 클라이언트로부터의 서비스 요청에 대해서 기업 내부 서비스 서버(40)가 응답하는 패킷들의 서비스 포트를 조사하여 현재 기업 내부 네트워크에 포함된 서비스 서버(40)들이 제공하는 서비스 포트 리스 트를 수집하여 데이터 베이스(26)의 활성 서비스 포트 리스트 저장부(26-1)에 등록한다.
또한, 활성 서비스 포트 탐지부(22)는 서비스 서버(40)가 서비스를 제공할 때마다 서비스 및 포트를 탐지할 수 있으므로, 수행되는 서비스 및 포트에 대한 식별이 능동적으로 이루어질 수 있으며 설정된 보안정책에 따라 불법적인 서비스들, 즉 백도어, 트로이 목마, 비인가된 서비스 등을 식별할 수 있다.
한편, 이상 행위 탐지부(24)는 내부 네트워크로 유입되거나 내부 네트워크로부터 유출되는 네트워크 트래픽의 특성을 분석하여 네트워크 이상 행위 유무를 판별하고, 이상 행위에 대응되는 경우에는 경보를 발생하는 기능을 수행한다.
이상 행위 탐지부(24)의 기능에 대해서 구체적으로 설명하면, 먼저, 이상 행위 탐지부(24)는 외부로부터 내부 네트워크로 유입되는 패킷들 및 내부 네트워크로부터 외부로 유출되는 패킷들의 TCP 헤더로부터 서비스 포트를 조사하여, 서비스 포트 번호가 상술한 활성 서비스 포트 리스트 저장부(26-1)에 저장된 활성 서비스 포트 리스트에 등록되지 않은 패킷들을 수집한다.
그 후, 이상 행위 탐지부(24)는 수집된 패킷이 다음의 표 1 에 기재된 바와 같은 제 1 이상 징후들 중 어느 하나에 해당되는지 여부를 조사한다.
조사 대상 조사 내용
1 Spoofed Src IP TCP, UDP 또는 ICMP 패킷의 Src IP가 Spoofing 되어 있는 경우
2 URG TCP 패킷헤더의 URG Flag 설정된 경우
3 SYN/FIN TCP 패킷헤더의 SYN, FIN Flag 설정된 경우
4 ALL FLAG TCP 패킷헤더의 FLAG들이 모두 설정된 경우
5 NO FLAG TCP 패킷헤더의 FLAG가 설정되지 않은 경우
6 FIN only TCP 패킷헤더의 FIN Flag 설정된 경우
7 ACK only TCP 패킷헤더의 ACK Flag 설정된 경우
1 번의 경우는 해당 패킷을 전송한 소스의 IP 를 숨기기 위해서 소스 IP 를 임의로 변경한 것이 명백한 경우에 해당된다. 예컨대, 소스 IP 가 0.0.0.0 과 같이 명백하게 현실적으로 사용되지 않는 IP 이거나, 서비스를 요청한 클라이언트의 소스 IP 가 멀티캐스트용으로 할당된 D 클래스에 해당되거나, 실험용/연구용으로 할당된 E 클래스에 해당하는 경우 등이다.
2 번의 단일한 패킷이 유입/유출되면서 TCP 패킷 헤더의 Urgent Pionter 가 설정된 경우, 3번의 TCP 패킷 헤더의 Syn 플래그 와 Fin 플래그가 동시에 설정된 경우, 4 번의 TCP 패킷 헤더의 플래그들이 모두 설정된 경우, 5 번의 TCP 패킷 헤더의 플래그 중 어느 하나도 설정되지 않은 경우, 6 번의 단일한 패킷이 유입/유출되면서 TCP 패킷 헤더의 Fin 플래그가 설정된 경우, 및 7 번의 단일한 패킷이 유입/유출되면서 TCP 패킷 헤더의 ACK 플래그가 설정된 경우 등은 모두 정상적인 TCP/IP 통신 패킷으로 볼 수 없으므로, 이러한 경우에 해당되는 패킷에 대해서는 네트워크에 대한 공격으로 판단하고 레벨 2 의 경보를 생성한다.
또한, 이상 행위 탐지부(24)는 상술한 제 1 이상 징후에 해당되지 않는다 하더라도, 일단 제공되지 않는 서비스 포트를 지정하여 내부로 유입된 패킷에 대해서는 주의를 요하므로, 해당 패킷을 전송한 소스 IP 와 해당 패킷에서 지정된 서비스 포트 번호를 태킹하여 각각 태깅 소스 IP 리스트 저장부(26-2) 및 태깅 포트 리스트 저장부(26-3)에 저장하고, 주의를 요하는 레벨 1 의 경보를 생성한다.
그 후, 이상 행위 탐지부(24)는 상술한 바와 같이 표 1 에 기재된 제 1 이상 징후들에 해당되지는 않지만, 내부 네트워크에서 제공되지 않는 서비스 포트를 지정하여 외부로부터 내부로 유입된 패킷에 대해서는, 해당 패킷의 소스 IP 를 태깅 소스 IP 리스트에 조회하여, 현재 패킷이 내부 네트워크로 2회 이상 유입된 것인지 여부를 조사하고, 2회이상 유입된 경우에는 이상 패킷일 가능성이 매우 높으므로 이상 플로우(abnormal flow)로 판단하여 해당 IP 주소 및 목적 포트를 저장하고 레벨 2 의 공격 경보를 생성한다.
한편, 이상 행위 탐지부(24)는 내부 네트워크로부터 외부 네트워크로 유출되는 패킷이 상술한 제 1 이상 징후들 중 어느 하나에 해당되는지 조사하여, 해당되는 경우에는 유입 패킷과 동일한 방식으로 처리한다.
또한, 상술한 제 1 이상 징후들에 해당되지 않는다 하더라도, 내부로부터 외부로 유출되는 패킷의 목적 포트가 태깅 포트 리스트 저장부(26-3)에 등록되었는지 여부를 조사하여, 만약, 등록되었다면, 이는 외부로부터 내부 네트워크로 유입된 악성 코드등에 의해서, 다시금 내부 네트워크로부터 외부 네트워크로 악성 코드와 이상 행위들이 전파되는 것으로 판단할 수 있으므로 이상 행위 탐지부(24)는 경보를 생성한다.
한편, 본 발명의 바람직한 다른 실시예에 따르면, 이상 행위 탐지부(24)는 제 1 이상 징후에 해당되지 않지만, 내부로부터 외부로 유출되는 패킷의 목적 포트가 태깅 포트 리스트 저장부(26-3)에 저장된 포트와 동일한 경우에, 곧 바로 경보를 생성하지 않고, 해당 패킷의 소스 IP 와 목적 포트 각각에 대해서 이러한 상황이 발생한 회수를 소정 시간 주기로 카운트하여 카운트 저장부(26-4)에 저장하고, 카운트된 값을 정상적인 통신 환경하에서 이러한 경우가 소정 시간 주기로 발생하는 평균값과 비교하여, 카운트된 값이 평균값을 초과하는 경우에 한하여 공격 경보를 생성한다.
한편, 이상 행위 탐지부(24)는, 내부로부터 외부로 유출되는 패킷의 목적 포트가 활성 서비스 포트 리스트에 포함되지 않지만, 상술한 제 1 이상 징후에 해당되지 않고, 유출되는 패킷의 목적 포트가 태깅 포트 리스트 저장부(26-3)에 저장된 포트와 동일하지도 않은 경우에는, 외부로 유출되는 패킷이 다음의 표 2 에 기재된 제 2 이상 징후들에 해당되는지 여부를 조사한다.
조사 대상 조사 내용
High Destination Port TCP 또는 UDP 패킷의 Dst. Port가 1024보다 큰 경우
LAN Destination Port TCP 또는 UDP 패킷의 Dst. Port가 135 ~ 139 사이에 해당되는 경우
표 2 의 이상 징후들 중 첫 번째는, 내부 네트워크로부터 외부로 유출되는 패킷의 목적 포트 번호가 1024보다 큰 경우는 의심스러운 패킷으로 간주하는 데, 이는 인터넷상의 대부분의 합법적인 서비스 포트는 1~1024 범위(Well-know Service)에 해당되기 때문이고 1024보다 클 경우에는 사설 또는 불법 서비스이기 때문이다.
한편, 표 2 의 이상 징후 중 두 번째는, 외부로 유출되는 패킷의 목적 포트가 내부 통신망에서 패킷이 교환될 때 이용되는 목적 포트 번호인 135 내지 139 를 지정하고 있는 경우로서, 명백한 오류에 해당되므로 해당 패킷은 이상 행동을 전파하는 악성 패킷에 해당되는 것으로 판단하여 경보를 발생한다.
한편, 다시 도 2 를 참조하면, 본 발명의 데이터 베이스(26)는 활성 서비스 포트 리스트 저장부(26-1), 태깅 소스 IP 리스트 저장부(26-2), 태깅 포트 리스트 저장부(26-3), 및 카운트 저장부(26-4)를 포함한다.
활성 서비스 포트 리스트 저장부(26-1)는 활성 서비스 포트 탐지부(22)에서 등록한 활성 서비스 포트 리스트를 저장한다.
태깅 소스 IP 리스트 저장부(26-2)는 이상 행위 탐지부(24)에서 탐지된, 활성 서비스 포트 리스트에 등록되지 않는 서비스 포트를 목적 포트로 지정하여 외부에서 내부 네트워크로 유입되는 패킷의 소스 IP 를 저장한다.
태깅 포트 리스트 저장부(26-3)는 이상 행위 탐지부(24)에서 탐지된, 활성 서비스 포트 리스트에 등록되지 않는 서비스 포트를 목적 포트로 지정하여 외부에서 내부 네트워크로 유입되는 패킷의 목적 포트를 저장한다.
카운트 저장부(26-4)는 외부로 유출되는 패킷의 목적 포트가 활성 서비스 포트 리스트 저장부(26-1)에 등록되지 않고, 태깅 포트 리스트 저장부(26-3)에 저장된 경우에, 해당 패킷의 소스 IP 및 목적 포트에 대해서 카운트를 수행한 회수를 저장한다.
지금까지 본 발명의 본 발명의 바람직한 실시예에 따른 네트워크 이상 행위 탐지 장치(20)의 구성 및 그 기능에 대해서 설명하였다. 이하에서는, 본 발명의 바람직한 실시예에 따른 네트워크 이상 행위 탐지 방법에 대해서 설명한다. 다만, 상술한 네트워크 이상 행위 탐지 장치(20)의 기능 설명과 중복되는 부분에 대해서는 간략하게 설명한다.
도 3 및 도 4 는 본 발명의 바람직한 실시예에 따른 네트워크 이상 행위 탐지 방법을 설명하는 흐름도로서, 도 3 은 활성 서비스 포트 탐지부(22)에서 활성 서비스 포트 리스트를 등록하는 과정을 설명하는 흐름도이고, 도 4 는 이상 행위 탐지부(24)에서 네트워크 이상 행위 및 악성 코드 전파를 유발하는 패킷들을 탐지하는 과정을 설명하는 흐름도이다.
도 3 을 참조하면, 먼저 활성 서비스 포트 탐지부(22)는 기업 내부 네트워크로부터 외부 네트워크의 클라이언트로 유출되는 서비스 응답 패킷들을 수집한다(S310).
그 후, 활성 서비스 포트 탐지부(22)는 유출 패킷의 TCP 헤더로부터 서비스 포트를 추출하고, 추출된 서비스 포트 번호가 활성 서비스 포트 리스트 저장부(26-1)에 등록되었는지 여부를 조사하여, 기존에 등록된 경우에는 다른 패킷을 조사한다(S310).
한편, 추출된 서비스 포트 번호가 기존에 등록되지 않은 경우에, 활성 서비스 포트 탐지부(22)는 추출된 서비스 포트 번호를 관리자 단말(50)로 출력하여, 시스템 관리자로 하여금, 해당 패킷이 적법한 서비스 응답 패킷인지 여부를 질의한다(S320).
활성 서비스 포트 탐지부(22)는 관리자 단말(50)로부터 적법한 서비스 응답 패킷이라는 신호를 수신하면, 해당 패킷에 포함된 서비스 포트 번호를 활성 서비스 포트 리스트 저장부(26-1)에 등록한다(S330).
상술한 제 S300 단계 내지 제 S330 단계가 반복 수행되면 실시간으로 현재 내부 네트워크에서 서비스가 제공되는 서비스 포트의 리스트가 저장되고, 이와는 별도로 도 4 에 도시된 이상 행위 탐지 과정이 수행된다.
도 4 는 이상 행위 탐지부(24)에서 네트워크 이상 행위 및 악성 코드 전파를 유발하는 패킷들을 탐지하는 과정을 설명하는 흐름도이고, 도 5a 는 도 4 의 유입 패킷의 이상 행위 여부 탐지 과정(S500)을 상세하게 설명하는 흐름도이며, 도 5b 는 도 4 의 유출 패킷의 이상 행위 여부 탐지 과정(S600)을 상세하게 설명하는 흐름도이다.
도 4 내지 도 5b 를 참조하여 이상 행위 및 악성 코드 전파를 유발하는 패킷들을 탐지하는 방법을 설명하면, 이상 행위 탐지부(24)는 내부 네트워크로 유입되는 패킷 및 내부로부터 외부 네트워크로 유출되는 패킷의 TCP 헤더에 포함된 목적 포트를 각각 조사하여, 패킷의 목적 포트가 활성 서비스 포트 리스트에 등록되지 않은 패킷을 수집한다(S400).
이상 행위 탐지부(24)는 수집된 패킷이 내부 네트워크로 유입되는 패킷인지 또는 내부에서 외부 네트워크로 유출되는 패킷인지 여부를 조사한다(S410).
제 S410 단계 조사결과 내부로 유입되는 패킷인 경우에는 외부로부터 내부 네트워크로 네트워크 공격과 같은 이상 행위 전파가 수행되는지 여부를 조사하는 제 S500 단계가 수행되고(S500), 유출 패킷인 경우에는 내부 네트워크로부터 외부 네트워크로 네트워크 공격과 같은 이상 행위 전파가 수행되는지 여부를 조사하는 제 S600 단계가 수행된다(S600).
먼저, 도 5a 를 참조하여 제 S500 단계에 대해서 상세히 설명한다.
이상 행위 탐지부(24)는 목적 포트가 활성 서비스 포트 리스트에 등록되지 않은 유입 패킷에 대해서 상술한 표 1 에 기재된 제 1 이상 징후들에 해당되는지 여부를 조사하여, 제 1 이상 징후에 해당되지 않는 경우에는 제 S520 단계로 진행한다(S510).
유입 패킷이 제 1 이상 징후들에 해당되지 않는 경우에 이상 행위 탐지부(24)는 패킷의 소스 IP 를 추출하고, 추출된 IP 가 태깅 소스 IP 리스트 저장부(26-2)에 이미 등록된 것인지 여부를 조사하여(S520), 이미 등록된 경우에는 제 S540 단계로 진행하여 목적 포트를 태깅한다(S530).
한편, 유입 패킷이 제 1 이상 징후에 해당되거나, 패킷의 소스 IP 가 태깅되지 않은 경우(즉, 최초로 내부 네트워크로 유입된 패킷인 경우)에, 이상 행위 탐지부(24)는 소스 IP 를 태깅하여 태깅 소스 IP 리스트 저장부(26-2)에 등록하고(S530), 목적 포트를 태깅하여 태깅 포트 리스트 저장부(26-3)에 등록한다(S540).
그 후, 이상 행위 탐지부(24)는 유입 패킷이 제 1 이상 징후에 해당되거나, 유입 패킷의 소스 IP 가 이미 등록된 경우, 즉, 2회 이상 네트워크 공격으로 의심되는 패킷이 동일한 소스 IP 로부터 수신된 경우에는, 경보 레벨 2 에 해당되는 경보를 생성하여 관리자 단말(50)로 전송하여 관리자에게 통지하고, 유입 패킷이 제 1 이상 징후에 해당되지 않고, 최초로 유입된 패킷인 경우에는, 관리자로 하여금 주의하게 하는 의미의 경보 레벨 1 에 해당되는 경보를 생성하여 관리자 단말(50)로 전송하여 관리자에게 통지한다(S550).
한편, 도 5b 를 참조하여 제 S600 단계에 대해서 상세히 설명한다.
이상 행위 탐지부(24)는 목적 포트가 활성 서비스 포트 리스트에 등록되지 않은 유출 패킷이 상술한 표 1 에 기재된 제 1 이상 징후들에 적어도 어느 하나에 해당되는지 여부를 조사하고(S610), 제 1 이상 징후들 중 어느 하나에 해당되면, 유출 패킷의 목적 포트를 태깅하여 태깅 포트 리스트 저장부(26-3)에 등록하고(S615), 패킷의 소스 IP를 태깅하여 태깅 소스 IP 리스트 저장부(26-2)에 등록한 후(S660), 실제 네트워크 공격이 내부 네트워크로부터 외부 네트워크로 전파되고 있음을 알리는 경보 레벨 2 에 해당되는 경보를 생성하여 관리자 단말(50)로 전송한다(S670).
한편, 상술한 제 S610 단계에서 유출 패킷이 제 1 이상 징후들에 해당되지 않는 경우에, 이상 행위 탐지부(24)는 유출 패킷의 목적 포트가 이미 태깅 포트 리스트에 등록되어 있는지 여부를 조사하고(S620), 이미 등록된 경우에 해당 유출 패킷의 소스 IP 및 목적 포트를 카운트하여 카운트 저장부(26-4)에 저장한다(S625). 예컨대, 소스 IP A 가 서비스 포트 B 를 지정하는 패킷을 외부 네트워크로 전송하였다면, A 및 B 에 대해서 카운트 값을 1 씩 증가시켜 저장한다.
이상 행위 탐지부(24)는 일상적인 통신 환경에서 상술한 바와 같은 패킷이 외부로 전송될 가능성에 대해서 조사하여 계산된 평균값과 카운트 값을 비교하여(S630), 카운트된 값이 평균값보다 작거나 같으면 해당 패킷의 이상 행위 유무를 판단할 수 없으므로, 패킷을 제거하고(S640), 카운트된 값이 평균값보다 크면 해당 패킷이 네트워크 공격 행위를 수행하고 있다고 판단하여 소스 IP 를 태깅하여 태깅 소스 IP 리스트에 등록하고(S660), 경보 레벨 2 의 경보를 생성하여 관리자 단말(50)로 전송한다(S670).
한편, 유출 패킷이 제 1 이상 징후들 중 어느 하나에도 해당되지 않고, 목적 포트가 태깅 목적 포트 리스트에 등록되지 않은 경우에, 이상 행위 탐지부(24)는 해당 패킷이 상술한 표 2 에 기재된 제 2 이상 징후들 중 어느 하나에 해당되는지 여부를 조사하여(S650), 조사 결과 해당되지 않으면 상술한 제 S640 단계로 진행하여 해당 패킷을 제거하고, 제 2 이상 징후들 중 어느 하나에 해당되면 상술한 제 S660 단계로 진행하여 소스 IP 를 태깅하여 태깅 소스 IP 리스트에 등록하고(S660), 관리자로 하여금 주의하게 하는 경보 레벨 2 의 경보를 생성하여 관리자 단말(50)로 전송한다(S670).
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플라피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
상술한 바와 같이, 본 발명은 기업에서 실제로 사용되고 있는 IP 주소 공간 전체를 탐지 네트워크로 활용하여, 기업 네트워크 전체에 유입 및 유출되는 전체 트래픽 특징을 분석함으로써, 유휴 IP 를 이용하는 종래 방식에 비하여 네트워크의 이상 행위를 보다 완벽하게 탐지할 수 있는 효과가 있다.
또한, 본 발명은 악성 코드 또는 네트워크의 이상 행위에 대해서 전문가의 판단을 요구하는 종래의 시그너쳐 방식 대신에 유입 및 유출되는 패킷들의 서비스 포트를 자동으로 검색함으로써 보다 신속하게 네트워크의 이상 행위 내지 악성 코드를 탐지할 수 있는 효과가 있다.

Claims (23)

  1. (a) 네트워크 공격 탐지 장치가 내부 네트워크에서 제공되는 서비스에 대응되는 포트 리스트를 생성하는 단계;
    (b) 상기 네트워크 공격 탐지 장치가 상기 내부 네트워크로 유입되는 데이터 패킷의 목적 포트를 조사하여 저장하는 단계; 및
    (c) 상기 네트워크 공격 탐지 장치가 상기 목적 포트가 상기 포트 리스트에 등록되어 있는지 여부를 조사하여 상기 내부 네트워크로의 공격을 탐지하는 단계를 포함하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
  2. 제 1 항에 있어서, 상기 (a) 단계는
    상기 내부 네트워크로부터 외부 통신망으로 유출되는 서비스 응답 패킷의 서비스 포트를 조사하여 상기 포트 리스트를 생성하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
  3. 제 1 항에 있어서, 상기 (c) 단계는
    상기 목적 포트가 상기 포트 리스트에 등록되지 않은 경우에 상기 유입 패킷을 상기 내부 네트워크에 대한 공격으로 판단하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
  4. 제 1 항에 있어서, 상기 (c) 단계는
    상기 목적 포트가 상기 포트 리스트에 등록되지 않은 경우에, 상기 유입 패킷의 소스 IP 를 태깅하여 소정의 데이터 베이스에 저장하고,
    상기 태깅된 소스 IP 로부터, 목적 포트가 상기 포트 리스트에 등록되지 않은 패킷이 다시 유입되는 경우에, 상기 소스 IP로부터 유입된 패킷을 상기 내부 네트워크에 대한 공격으로 판단하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
  5. 제 1 항에 있어서, 상기 (c) 단계는
    상기 목적 포트가 상기 포트 리스트에 등록되지 않은 경우에, 상기 유입 패킷의 플래그 코드들을 조사하여, 상기 플래그 코드들이 일반적인 통신환경에서 이용되는 방식과 다르게 설정된 경우에, 상기 유입된 패킷을 상기 내부 네트워크에 대한 공격으로 판단하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
  6. 제 1 항에 있어서, 상기 (c) 단계는
    (c1) 상기 목적 포트가 상기 포트 리스트에 등록되지 않은 경우에, 상기 유입 패킷의 플래그 코드들이 일반적인 통신환경에서 이용되는 방식과 다르게 설정되었는지 조사하는 단계;
    (c2) 상기 플래그 코드들이 일반적인 방식으로 설정된 경우에, 상기 유입 패킷의 소스 IP 가 사전에 태깅된 소스 IP 인지 조사하는 단계;
    (c3) 상기 소스 IP가 사전에 태깅된 경우에 상기 유입된 패킷을 상기 내부 네트워크에 대한 공격으로 판단하는 단계; 및
    (c4) 상기 소스 IP 가 사전에 태깅되지 않은 경우에, 상기 유입 패킷의 소스 IP 및 상기 목적 포트를 태깅하는 단계를 포함하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
  7. (a) 네트워크 공격 탐지 장치가 내부 네트워크에서 제공되는 서비스에 대응되는 포트 리스트를 생성하는 단계;
    (b) 상기 네트워크 공격 탐지 장치가 외부 네트워크로부터 상기 내부 네트워크로 유입되는 패킷의 목적 포트와 상기 포트 리스트를 비교하여 네트워크 공격 패킷을 탐지하고, 상기 공격 패킷의 소스 IP 및 목적 포트를 태깅하여 저장하는 단계;
    (c) 상기 네트워크 공격 탐지 장치가 상기 내부 네트워크로부터 외부 네트워크로 유출되는 데이터 패킷의 목적 포트를 조사하는 단계; 및
    (d) 상기 네트워크 공격 탐지 장치가 상기 목적 포트가 상기 포트 리스트에 등록되어 있는지 여부 및 상기 유출 패킷에 기록된 데이터를 조사하여 상기 외부 네트워크로의 공격을 탐지하는 단계를 포함하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
  8. 제 7 항에 있어서, 상기 (d) 단계는
    상기 목적 포트가 상기 포트 리스트에 등록되지 않은 경우에, 상기 유출 패킷의 플래그 코드들이 일반적인 통신환경에서 이용되는 방식과 다르게 설정되었는지 조사하는 단계; 및
    상기 플래그 코드들이 일반적인 방식으로 설정되지 않은 경우에, 상기 유출 패킷을 네트워크 공격으로 판단하고, 상기 유출 패킷의 소스 IP 및 목적 포트를 태깅하여 저장하는 단계를 포함하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
  9. 제 8 항에 있어서,
    상기 플래그 코드들이 일반적인 방식으로 설정된 경우에, 상기 목적 포트가 사전에 태깅된 목적 포트 리스트에 등록되었는지 조사하는 단계;
    상기 목적 포트가 사전에 태깅된 목적 포트 리스트에 등록된 경우에, 상기 유출 패킷의 소스 IP 및 목적 포트를 카운트하고, 상기 카운트값이, 정상적인 통신환경하에서 소정의 시간 주기 동안 내부 네트워크에서 서비스되지 않는 포트를 목적포트로 하는 패킷이 유출되는 회수를 나타내는 평균값보다 크면, 상기 유출 패킷을 네트워크 공격 패킷으로 판단하는 단계; 및
    상기 유출 패킷이 네트워크 공격 패킷인 경우에, 상기 유출 패킷의 소스 IP 를 태깅하여 저장하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
  10. 제 9 항에 있어서,
    상기 플래그 코드들이 일반적인 방식으로 설정되고 상기 목적 포트가 상기 태깅된 목적 포트 리스트에 등록되지 않은 경우에, 상기 목적 포트의 범위를 조사하여 상기 유출 패킷이 네트워크 공격 패킷인지 여부를 판단하는 단계; 및
    상기 유출 패킷이 네트워크 공격 패킷인 경우에, 상기 유출 패킷의 소스 IP 를 태깅하여 저장하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
  11. 제 7 항에 있어서, 상기 (d) 단계는
    상기 목적 포트가 상기 포트 리스트에 등록되지 않은 경우에, 상기 목적 포트가 사전에 태깅된 목적 포트 리스트에 등록되었는지 조사하는 단계;
    상기 목적 포트가 사전에 태깅된 목적 포트 리스트에 등록된 경우에, 상기 유출 패킷의 소스 IP 및 목적 포트를 카운트하고, 상기 카운트값이, 정상적인 통신환경하에서 소정의 시간 주기 동안 내부 네트워크에서 서비스되지 않는 포트를 목적포트로 하는 패킷이 유출되는 회수를 나타내는 평균값보다 크면, 상기 유출 패킷을 네트워크 공격 패킷으로 판단하는 단계; 및
    상기 유출 패킷이 네트워크 공격 패킷인 경우에, 상기 유출 패킷의 소스 IP 를 태깅하여 저장하는 단계를 포함하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
  12. 제 7 항에 있어서, 상기 (d) 단계는
    상기 목적 포트가 상기 포트 리스트에 등록되지 않은 경우에, 상기 목적 포트의 범위를 조사하여 상기 유출 패킷이 네트워크 공격 패킷인지 여부를 판단하는 단계; 및
    상기 유출 패킷이 네트워크 공격 패킷인 경우에, 상기 유출 패킷의 소스 IP 를 태깅하여 저장하는 단계를 포함하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
  13. 제 1 항 내지 제 12 항 중 어느 한 항의 네트워크 공격 탐지 방법을 컴퓨터에서 판독할 수 있고, 실행 가능한 프로그램 코드로 기록한 기록 매체.
  14. 내부 네트워크로부터 유출되는 서비스 응답 패킷들을 조사하여 상기 내부 네트워크에서 제공되는 서비스에 대응되는 활성 서비스 포트 리스트를 생성하는 활성 서비스 포트 탐지부;
    상기 내부 네트워크로 유입되는 데이터 패킷의 목적 포트를 조사하고, 상기 목적 포트가 상기 포트 리스트에 등록되어 있는지 여부를 조사하여 상기 내부 네트워크로의 공격을 탐지하며, 상기 유입 패킷의 소스 IP 및 목적 포트를 태깅하여 저장하는 이상 행위 탐지부; 및
    상기 활성 서비스 포트 리스트, 상기 태깅된 소스 IP의 리스트, 및 상기 태깅된 목적 포트의 리스트를 저장하는 데이터 베이스를 포함하는 것을 특징으로 하는 네트워크 공격 탐지 장치.
  15. 제 14 항에 있어서, 상기 활성 서비스 포트 탐지부는
    상기 내부 네트워크로부터 외부 통신망으로 유출되는 서비스 응답 패킷의 서비스 포트를 조사하여 상기 포트 리스트를 생성하는 것을 특징으로 하는 네트워크 공격 탐지 장치.
  16. 제 14 항에 있어서, 상기 이상 행위 탐지부는
    상기 목적 포트가 상기 포트 리스트에 등록되지 않은 경우에 상기 유입 패킷을 상기 내부 네트워크에 대한 공격으로 판단하는 것을 특징으로 하는 네트워크 공격 탐지 장치.
  17. 제 14 항에 있어서, 상기 이상 행위 탐지부는
    상기 목적 포트가 상기 포트 리스트에 등록되지 않은 경우에, 상기 유입 패킷의 소스 IP 를 태깅하여 상기 데이터 베이스에 저장하고, 상기 태깅된 소스 IP 로부터, 목적 포트가 상기 포트 리스트에 등록되지 않은 패킷이 다시 유입되는 경우에, 상기 소스 IP로부터 유입된 패킷을 상기 내부 네트워크에 대한 공격으로 판단하는 것을 특징으로 하는 네트워크 공격 탐지 장치.
  18. 제 14 항에 있어서, 상기 이상 행위 탐지부는
    상기 목적 포트가 상기 포트 리스트에 등록되지 않은 경우에, 상기 유입 패킷의 플래그 코드들을 조사하여, 상기 플래그 코드들이 일반적인 통신환경에서 이용되는 방식과 다르게 설정된 경우에, 상기 유입된 패킷을 상기 내부 네트워크에 대한 공격으로 판단하는 것을 특징으로 하는 네트워크 공격 탐지 장치.
  19. 제 14 항에 있어서, 상기 이상 행위 탐지부는
    상기 목적 포트가 상기 포트 리스트에 등록되지 않은 경우에, 상기 유입 패킷의 플래그 코드들이 일반적인 통신환경에서 이용되는 방식과 다르게 설정되었는 지 조사하고, 상기 플래그 코드들이 일반적인 방식으로 설정된 경우에, 상기 유입 패킷의 소스 IP 가 사전에 태깅된 소스 IP 인지 조사하며, 상기 소스 IP가 사전에 태깅된 경우에 상기 유입된 패킷을 상기 내부 네트워크에 대한 공격으로 판단하고, 상기 소스 IP 가 사전에 태깅되지 않은 경우에, 상기 유입 패킷의 소스 IP 및 상기 목적 포트를 태깅하는 것을 특징으로 하는 네트워크 공격 탐지 장치.
  20. 내부 네트워크로부터 유출되는 서비스 응답 패킷들을 조사하여 상기 내부 네트워크에서 제공되는 서비스에 대응되는 활성 서비스 포트 리스트를 생성하는 활성 서비스 포트 탐지부;
    외부 네트워크로부터 상기 내부 네트워크로 유입되는 패킷의 목적 포트와 상기 포트 리스트를 비교하여 네트워크 공격 패킷을 탐지하고, 상기 공격 패킷의 소스 IP 및 목적 포트를 태깅하여 저장하며, 상기 내부 네트워크로부터 외부 네트워크로 유출되는 데이터 패킷의 목적 포트를 조사하여, 상기 목적 포트가 상기 포트 리스트에 등록되어 있는지 여부 및 상기 유출 패킷에 기록된 데이터를 조사하여 상기 외부 네트워크로의 공격을 탐지하는 이상 행위 탐지부; 및
    상기 활성 서비스 포트 리스트, 상기 태깅된 소스 IP의 리스트, 및 상기 태깅된 목적 포트의 리스트를 저장하는 데이터 베이스를 포함하는 것을 특징으로 하는 네트워크 공격 탐지 장치.
  21. 제 20 항에 있어서, 상기 이상 행위 탐지부는
    상기 목적 포트가 상기 포트 리스트에 등록되지 않은 경우에, 상기 유출 패킷의 플래그 코드들이 일반적인 통신환경에서 이용되는 방식과 다르게 설정되었는지 조사하여, 상기 플래그 코드들이 일반적인 방식으로 설정되지 않은 경우에, 상기 유출 패킷을 네트워크 공격으로 판단하고, 상기 유출 패킷의 소스 IP 및 목적 포트를 태깅하여 저장하는 것을 특징으로 하는 네트워크 공격 탐지 장치.
  22. 제 20 항에 있어서, 상기 이상 행위 탐지부는
    상기 목적 포트가 상기 포트 리스트에 등록되지 않은 경우에, 상기 목적 포트가 사전에 태깅된 목적 포트 리스트에 등록되었는지 조사하고, 상기 목적 포트가 사전에 태깅된 목적 포트 리스트에 등록된 경우에, 상기 유출 패킷의 소스 IP 및 목적 포트를 카운트하고, 상기 카운트값이, 정상적인 통신환경하에서 소정의 시간 주기 동안 내부 네트워크에서 서비스되지 않는 포트를 목적포트로 하는 패킷이 유출되는 회수를 나타내는 평균값보다 크면, 상기 유출 패킷을 네트워크 공격 패킷으로 판단하며, 상기 유출 패킷이 네트워크 공격 패킷인 경우에, 상기 유출 패킷의 소스 IP 를 태깅하여 저장하는 것을 특징으로 하는 네트워크 공격 탐지 장치.
  23. 제 20 항에 있어서, 상기 이상 행위 탐지부는
    상기 목적 포트가 상기 포트 리스트에 등록되지 않은 경우에, 상기 목적 포트의 범위를 조사하여 상기 유출 패킷이 네트워크 공격 패킷인지 여부를 판단하고, 상기 유출 패킷이 네트워크 공격 패킷인 경우에, 상기 유출 패킷의 소스 IP 를 태깅하여 저장하는 것을 특징으로 하는 네트워크 공격 탐지 장치.
KR1020060027565A 2006-03-27 2006-03-27 네트워크 이상행위 기반의 네트워크 공격 탐지 방법 및장치 KR100767803B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060027565A KR100767803B1 (ko) 2006-03-27 2006-03-27 네트워크 이상행위 기반의 네트워크 공격 탐지 방법 및장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060027565A KR100767803B1 (ko) 2006-03-27 2006-03-27 네트워크 이상행위 기반의 네트워크 공격 탐지 방법 및장치

Publications (2)

Publication Number Publication Date
KR20070096666A KR20070096666A (ko) 2007-10-02
KR100767803B1 true KR100767803B1 (ko) 2007-10-18

Family

ID=38803475

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060027565A KR100767803B1 (ko) 2006-03-27 2006-03-27 네트워크 이상행위 기반의 네트워크 공격 탐지 방법 및장치

Country Status (1)

Country Link
KR (1) KR100767803B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101924660B (zh) * 2009-06-09 2014-07-02 阿尔卡特朗讯公司 检测网络恶意行为的方法和装置
KR101248601B1 (ko) * 2011-05-17 2013-03-28 류연식 분산서비스거부 공격 보안 장치 및 좀비 단말기의 탐지 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020054052A (ko) * 2000-12-27 2002-07-06 구자홍 에이디에스엘 모뎀의 패킷 검사를 통한 보안장치 및 그 방법
KR20060017109A (ko) * 2004-08-20 2006-02-23 (주)한드림넷 네트워크 보호 장치 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020054052A (ko) * 2000-12-27 2002-07-06 구자홍 에이디에스엘 모뎀의 패킷 검사를 통한 보안장치 및 그 방법
KR20060017109A (ko) * 2004-08-20 2006-02-23 (주)한드림넷 네트워크 보호 장치 및 방법

Also Published As

Publication number Publication date
KR20070096666A (ko) 2007-10-02

Similar Documents

Publication Publication Date Title
Stiawan et al. Investigating brute force attack patterns in IoT network
US8707440B2 (en) System and method for passively identifying encrypted and interactive network sessions
Singh et al. A framework for zero-day vulnerabilities detection and prioritization
KR100611741B1 (ko) 네트워크 침입 탐지 및 방지 시스템 및 그 방법
US9479532B1 (en) Mitigating denial of service attacks
US8230505B1 (en) Method for cooperative intrusion prevention through collaborative inference
US8776217B2 (en) Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis
US20030188190A1 (en) System and method of intrusion detection employing broad-scope monitoring
US20080016208A1 (en) System, method and program product for visually presenting data describing network intrusions
Fung Collaborative Intrusion Detection Networks and Insider Attacks.
US20090178140A1 (en) Network intrusion detection system
KR20220081145A (ko) Ai 기반 이상징후 침입 탐지 및 대응 시스템
KR100767803B1 (ko) 네트워크 이상행위 기반의 네트워크 공격 탐지 방법 및장치
Coulibaly An overview of intrusion detection and prevention systems
US20230156019A1 (en) Method and system for scoring severity of cyber attacks
JP2005005927A (ja) ネットワークシステムと不正アクセス制御方法およびプログラム
Joshi et al. An enhanced framework for identification and risks assessment of zero-day vulnerabilities
JP2004030287A (ja) 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム
Faizal et al. Threshold verification technique for network intrusion detection system
KR100862321B1 (ko) 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치
JP4437410B2 (ja) セキュリティ管理装置及びプログラム
Harale et al. Network based intrusion detection and prevention systems: Attack classification, methodologies and tools
Asaka et al. Local attack detection and intrusion route tracing
KR20060056195A (ko) 비정상 트래픽 정보 분석 장치 및 그 방법
Bou-Harb et al. On detecting and clustering distributed cyber scanning

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20111010

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee