KR100769221B1 - 제로데이 공격 대응 시스템 및 방법 - Google Patents

제로데이 공격 대응 시스템 및 방법 Download PDF

Info

Publication number
KR100769221B1
KR100769221B1 KR1020060073576A KR20060073576A KR100769221B1 KR 100769221 B1 KR100769221 B1 KR 100769221B1 KR 1020060073576 A KR1020060073576 A KR 1020060073576A KR 20060073576 A KR20060073576 A KR 20060073576A KR 100769221 B1 KR100769221 B1 KR 100769221B1
Authority
KR
South Korea
Prior art keywords
attack
zero
signature
day
packets
Prior art date
Application number
KR1020060073576A
Other languages
English (en)
Inventor
조범래
심원태
Original Assignee
한국정보보호진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국정보보호진흥원 filed Critical 한국정보보호진흥원
Priority to KR1020060073576A priority Critical patent/KR100769221B1/ko
Application granted granted Critical
Publication of KR100769221B1 publication Critical patent/KR100769221B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Abstract

본 발명은 네트워크상에서 제로데이 공격을 탐지 및 대응할 수 있는 시스템 및 방법에 관한 것으로, 네트워크상의 송신패킷들 및 수신패킷들의 통신경로를 설정하며 통신망을 관리하는 라우터; 외부 네트워크로부터 내부 네트워크를 보호하기 위해 상기 송신패킷들 또는 상기 수신패킷들을 감시하거나 차단하는 방화벽; 패킷헤드 정보를 이용하여 상기 수신패킷들에서 상기 공격패킷들을 분류하는 제로데이 공격패킷 수집정책에 따라 상기 공격패킷들로부터 인터넷 프로토콜 정보를 추출하는 제로데이 공격 탐지부; 상기 인터넷 프로토콜 정보를 전달받아 상기 공격패킷들로 부터 패이로드정보를 추출 및 비교하여 제로데이 공격 의심 시그니쳐를 생성하는 제로데이 공격 시그니쳐 생성부; 기존의 공격 시그니쳐들 및 이들의 리스트가 포함된 시그니쳐정보를 저장하는 시그니쳐 데이터베이스; 상기 제로데이 공격 의심 시그니쳐와 상기 시그니쳐정보를 비교하여 신규공격여부를 판단하는 제로데이 공격 시그니쳐 관리부; 및 상기 제로데이 공격 의심 시그니쳐가 신규공격일 경우 상기 제로데이 공격 의심 시그니쳐와 상기 수신패킷들을 비교하여 일정한 횟수이상 일치하면 상기 제로데이 공격 의심 시그니쳐를 제로데이 공격 시그니쳐로 간주하고 상기 방화벽과 상기 라우터를 이용하여 상기 제로데이 공격 의심 시그니쳐가 포함된 상기 공격패킷을 차단하는 침입방지부;를 포함하여 구성하는 것을 특징으로 한다.
제로데이 공격, 패이로드(PayLoad), 시그니쳐(Signature), 침입 탐지 시스템(Intrusion Detection System), 침입 방지 시스템(Intrusion Prevention System)

Description

제로데이 공격 대응 시스템 및 방법{CONFRONTATION SYSTEM PREPARING FOR ZERODAY ATTACK AND CONFRONTATION METHOD THEREOF}
도 1은 본 발명의 실시예에 따른 제로데이 공격 대응 시스템이 적용된 네트워크 개념도.
도 2는 도 1의 제로데이 공격 대응 시스템의 구성을 나타낸 네트워크 구성도.
도 3은 본 발명의 실시예에 따른 제로데이 공격 대응 시스템의 제로데이 공격 탐지부 구성도.
도 4는 본 발명의 실시예에 따른 제로데이 공격 대응 시스템의 제로데이 공격 시그니쳐 생성부 구성도.
도 5는 본 발명의 실시예에 따른 제로데이 공격 대응 시스템의 제로데이 공격 시그니쳐 관리부 및 침입방지부 구성도.
도 6은 본 발명의 실시예에 따른 제로데이 공격 대응방법을 도시한 순서도.
< 도면의 주요 부분에 대한 부호의 설명 >
100 : 제로데이 공격 대응 시스템 110 : 제로데이 공격 탐지부
112 : 패킷수집 모듈 115 : IP정보 추출 모듈
130 : 제로데이 공격 시그니쳐 생성부 131 : 공격패킷 검출 모듈
132 : 패이로드 수집 모듈 133 : 시그니쳐 생성 모듈
135 : 시그니쳐 데이터베이스 150 : 제로데이 공격 시그니쳐 관리부
155 : 신규공격 판단 모듈 157 : 신규공격 적용 모듈
159 : 시그니쳐 검색 모듈 160 : 침입방지부
200 : 방화벽 300 : 라우터
400 : 인터넷 500 : 로컬 네트워크
본 발명은 네트워크상에서 악성프로그램 공격을 탐지 및 대응할 수 있는 시스템 및 방법에 관한 것으로, 특히 제로데이 공격을 실시간 자동탐지하여 이에 대응할 수 있는 시스템 및 대응방법에 관한 것이다.
최근 급증하고 있는 인터넷의 물결에 편승하여 통신망을 통한 악성 소프트웨어(Malicious Software)의 전염경로가 다양해지고 있으며, 이로 인한 피해 정도가 매년 증가하고 있다. 악성소프트웨어에는 컴퓨터 바이러스와 악성코드 즉 트로이 목마(Trojan Horse), 웜(Worm), 논리폭탄(Logic Bomb), 트랩도어(Trap Door), 스파이웨어(Spyware) 등이 있다. 이들은 자기복제나 자동번식 기능을 구비한 채, 사용 자 ID와 암호 등의 개인정보 유출, 대상 시스템 통제, 파일 삭제변경/시스템 파괴, 응용프로그램/시스템의 서비스 거부, 핵심자료 유출, 다른 해킹 프로그램 설치 등의 문제를 일으켜 그 피해가 매우 다양하고 심각하다.
제로데이(Zero Day)공격은 취약점이 공개된 후 이를 방어하기 위한 대응 수단인 보안패치가 제작되어 발표되기 전에 출현하는 자동 확산형 악성 프로그램을 말한다. 즉 보안 취약점이 발견되었을 때 그 문제의 존재 자체가 널리 공표되기도 전에 해당 취약점을 악용하여 이루어지는 보안 공격 또는 공격의 신속성을 의미하는 것으로, 일반적으로 컴퓨터에서 취약점이 발견되면 제작자나 개발자가 취약점을 보완하는 패치를 배포하고 사용자가 이를 내려받아 대처하는 것이 관례이나, 제로데이 공격은 대응책이 공표되기도 전에 공격이 이루어 지기 때문에 대처 방법이 없다.
현존하는 컴퓨터 네트워크 공격탐지 및 대응시스템은 이미 알려진 공격에 대한 탐지 및 대응에 제한적으로 사용되므로 보안패치 발표 이전에 발생하는 제로데이 공격에 효과적으로 대응할 수 없다. 이를 위해 공격에 이용된 패킷의 특징을 분석해서 아직 발견되지 않은 취약점을 이용한 공격을 차단하는 연구가 진행되고 있으나 확실한 해결방안이 제시되지 않고 있다. 따라서 네트워크 보안 시스템은 악성프로그램으로부터 공격을 받더라도 네트워크 통신장애와 시스템감염에 대한 적절한 대책을 마련하지 못하고 있는 실정이다.
본 발명의 목적은 상기의 문제를 해결하기 위한 것으로 제로데이 공격으로추정되는 출발지 IP를 탐지하고, 상기 출발지 IP로부터 전송되는 패킷을 이용하여 제로데이 공격 의심 시그니쳐를 생성한다. 아울러 상기 제로데이 공격 의심 시그니쳐와 데이터베이스의 시그니쳐정보를 비교하여 기존공격 또는 신규공격 여부를 판별하며, 만약 신규공격으로 판단될 경우 침입 탐지 시스템, 침입 방지 시스템 및 기업 보안관리 시스템에 상기 제로데이 공격 의심 시그니쳐를 적용하고 일정횟수이상 검출될 때에는 상기 데이터베이스에 저장함과 아울러 해당공격을 차단할 수 있는 제로데이 공격 대응 시스템 및 방법을 제공하는 데 있다.
또한 본 발명의 다른 목적은 하나 또는 적어도 하나의 제로데이 공격 시그니쳐 관리부가 각 로컬 네트워크별로 분산되어 있는 다수의 침입방지부에 제로데이 공격 의심 시그니쳐를 적용함으로써 자원의 낭비없이 효율적으로 제로데이 공격의 검출 및 차단을 수행할 수 있는 제로데이 공격 대응 시스템 및 방법을 제공하는 데 있다.
상기한 목적을 달성하기 위하여, 본 발명의 실시예에 따른 제로데이 공격 대응 시스템은, 네트워크상의 송신패킷들 및 수신패킷들의 통신경로를 설정하며 통신망을 관리하는 라우터; 외부 네트워크로부터 내부 네트워크를 보호하기 위해 상기 송신패킷들 또는 상기 수신패킷들을 감시하거나 차단하는 방화벽; 패킷헤드 정보를 이용하여 상기 수신패킷들에서 상기 공격패킷을 분류하는 제로데이 공격패킷 수집 정책에 따라 상기 공격패킷들로부터 인터넷 프로토콜 정보를 추출하는 제로데이 공격 탐지부; 상기 인터넷 프로토콜 정보를 전달받아 상기 공격패킷들로 부터 패이로드정보를 추출 및 비교하여 제로데이 공격 의심 시그니쳐를 생성하는 제로데이 공격 시그니쳐 생성부; 기존의 공격 시그니쳐들 및 이들의 리스트가 포함된 시그니쳐정보를 저장하는 시그니쳐 데이터베이스; 상기 제로데이 공격 의심 시그니쳐와 상기 시그니쳐정보를 비교하여 신규공격여부를 판단하는 제로데이 공격 시그니쳐 관리부; 및 상기 제로데이 공격 의심 시그니쳐가 신규공격일 경우 상기 제로데이 공격 의심 시그니쳐와 상기 수신패킷들을 비교하여 일정한 횟수이상 일치하면 상기 제로데이 공격 의심 시그니쳐를 제로데이 공격으로 간주하고 상기 방화벽과 상기 라우터를 이용하여 상기 제로데이 공격 의심 시그니쳐가 포함된 상기 공격패킷들을 차단하는 침입방지부;를 포함하여 구성하는 것을 특징으로 한다.
상기 제로데이 공격패킷 수집정책은 상기 수신패킷들로부터 패킷헤드 정보를 분석하여 동일한 출발지 인터넷 프로토콜 주소와 N개 이상의 서로 다른 도착지 인터넷 프로토콜 주소를 가지는 상기 수신패킷들을 공격패킷으로 간주하는 것을 특징으로 한다.
상기 패킷헤드 정보는 출발지 인터넷 프로토콜 주소, 도착지 인터넷 프로토콜 주소, 출발지 포트번호 및 도착지 포트번호인 것을 특징으로 한다.
상기 인터넷 프로토콜 정보는 출발지 인터넷 프로토콜 주소, 도착지 포트번호인 것을 특징으로 한다.
또한 본 발명의 실시예에 따른 제로데이 공격 대응방법은 네트워크상의 수신 패킷들로부터 패킷헤드 정보를 이용하여 상기 수신패킷들에서 공격패킷들을 분류하는 제로데이 공격패킷 수집정책에 따라 상기 공격패킷들로부터 인터넷 프로토콜 정보를 추출하는 제 1 단계;
상기 인터넷 프로토콜 정보가 포함된 패킷들로부터 패이로드 정보를 추출하여 제로데이 공격 의심 시그니쳐를 생성하는 제 2 단계;
상기 제로데이 공격 의심 시그니쳐와 시그니쳐 데이터베이스에 저장된 기존의 공격 시그니쳐들 및 이들의 리스트가 포함된 시그니쳐정보를 비교하여 신규공격인지 판단하여 침입방지부에 적용하는 제 3 단계;
신규공격이라고 판단될 때 상기 침입방지부가 상기 제로데이 공격 의심 시그니쳐와 입력되는 상기 수신패킷들을 패턴매칭하여 소정횟수이상 일치하면 상기 제로데이 공격 의심 시그니쳐가 포함된 상기 공격패킷들을 차단하도록 하는 제 4 단계;를 포함하는 것을 특징으로 한다.
본 발명의 실시예에 따른 제로데이 공격 대응 시스템 및 방법을 개략적으로 살펴보면, 제로데이 공격 탐지부가 제로데이 공격으로 추정되는 출발지 IP(Internet Protocol)를 탐지하고, 곧이어 제로데이 공격 시그니쳐 생성부는 상기 출발지 IP가 포함된 패킷들의 패이로드에서 데이터 패턴을 분석하여 시그니쳐를 생성하게 된다. 생성된 시그니쳐는 제로데이 공격 시그니쳐 관리부에 전송되어 신규 공격여부를 확인한 후 신규공격이라고 판단하면 해당 시그니쳐를 관리 네트워크내의 보안장비들로 구성된 침입방지부에 적용하여 네트워크 내 확산을 탐지하고, 이후 일정 횟수이상 상기 시그니쳐가 침입방지부를 통해 탐지되면 상기 시그니쳐를 제로데이 공격 시그니쳐로 간주하고 제로데이 공격 시그니쳐가 포함된 패킷을 방화벽과 라우터를 이용하여 차단함으로써 제로데이 공격에 대응한다.
한편 각 도면의 구성을 설명함에 있어 같은 기능을 가진 구성요소는 도면이 다르다 하더라도 같은 도면번호를 사용하기로 한다.
상술한 목적 및 기타의 목적과 본 발명의 특징 및 이점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여보다 분명해 질 것이다. 이하, 첨부된 도면을 참조하여 본 발명의 실시예를 상세히 설명하면 다음과 같다.
도 1은 본 발명의 본 발명의 실시예에 따른 제로데이 공격 대응 시스템이 적용된 네트워크 개념도이고, 도 2는 도 1의 제로데이 공격 대응 시스템의 구성을 나타낸 네트워크 구성도이다.
도 1 및 도 2를 참조하면, 본 발명의 실시예에 따른 제로데이 공격 대응 시스템(100)은 크게 제로데이 공격 탐지부(110), 제로데이 공격 시그니쳐 생성부(130), 제로데이 공격 시그니쳐 관리부(150), 침입방지부(160), 라우터(300) 및 방화벽(200) 등을 포함하여 구성된다.
제로데이 공격 탐지부(110)는 게이트웨이(190)들 사이 즉 라우터(Router)와 라우터 사이에 위치하여, 라우터(300) 간에 설정된 경로를 통해 전송되는 트래픽에서 일정시간별로 샘플링한 패킷 또는 트래픽의 전체패킷을 분석하여 공격패킷이라고 판단되는 패킷의 헤드정보(출발지 IP, 도착지IP , 도착지 포트번호)를 제로데이 공격 시그니쳐 생성부(130)에 전달한다. 즉 제로데이 공격 탐지부(110)는 네트워크 상의 트래픽으로부터 공격패킷들을 수집하고 수집된 패킷들 중 패킷헤더 부분에 서 IP정보를 추출하여 동일한 출발지 IP를 가지며 소정 갯수 이상의 서로 다른 목적지 IP를 가진 패킷들을 선별함으로써 상기 선별된 패킷들을 네트워크 스캔 공격 패킷들로 간주한다.
이를 자세히 하면, 일단 악성프로그램의 공격은 네트워크 스캔공격 서버 즉 악성프로그램을 보유하고 있는 서버에서 수많은 호스트의 시스템에 접속해서 시스템 자체버그(Bug), 시스템 구성상의 문제점 등 해킹 가능한 시스템의 보안 취약점을 파악한 후 특정시스템의 취약점이 드러나면 이를 공격하게 된다. 즉 공격서버에서 전송되는 패킷들을 일정시간(Time Window)동안 샘플링하여 분석해보면 동일한 출발지 IP들에 비해 각기 다른 수많은 도착지 IP를 포함하는 것을 알 수 있다. 이점을 감안하여 제로데이 공격 탐지부(110)는 부정패킷의 출발지 IP(Src_IP) 및 도착지 포트번호(Dst_port)를 제로데이 공격 시그니쳐 생성부(130)에 전송한다.
제로데이 공격 시그니쳐 생성부(130)는 제로데이 공격 탐지부(110)에서 공격이라고 의심되는 패킷들의 출발지 IP(Src_IP) 및 도착지 포트번호(Dst_Port)를 전달받아 패킷의 패이로드 부분을 추출 및 결합하여 반복데이터패턴 즉 시그니쳐(Signature)를 생성한다. 시그니쳐 생성기법으로는 예컨데 Context 패킷 매칭기법 즉 패이로드 부분을 문맥검사하여 패킷의 공통 데이터 출현패턴을 검출하는 방법을 이용함으로써 최종적으로 침입방지부(160)에 적용하기 위한 시그니쳐(공격데이터패턴)를 생성할 수 있다. 한편 데이터 패턴인식 도구로써 WEKA, XM-Tool/Miner등의 데이터 마이닝 소프트웨어(Data Mining Software)에서 사용되는 다양한 패턴인식기법인 K Nearest Neighbor방법 등을 이용하여 해당 트래픽으로부터 반복출현 데이터 패턴인 시그니쳐를 생성할 수 있을 것이다. 이렇게 생성된 시그니쳐 즉 제로데이 공격 의심 시그니쳐(Zeroday_attack?_signature)는 제로데이 공격 시그니쳐 관리부(150)에 전달된다. 또한 상기 제로데이 공격 시그니쳐 생성부(130)는 제로데이 공격이라고 의심되는 상기 제로데이 공격 의심 시그니쳐(Zeroday_attack?_signature)를 별도의 시그니쳐 데이터베이스에 저장할 수 있다.
상기 시그니쳐 데이터베이스(135)는 기존의 공격 시그니쳐들 및 이들의 리스트를 포함하는 시그니쳐정보를 저장하며, 수신되는 패킷과 제로데이 공격 의심 시그니쳐(Zeroday_attack?_signature) 간의 패턴매칭 및 시그니쳐정보의 갱신을 위해 제로데이 공격 시그니쳐 관리부(150) 및 침입방지부(160)와 시그니쳐정보(attack_patten_info)를 주고 받을 수 있다.
제로데이 공격 시그니쳐 관리부(150)는 제로데이 공격 시그니쳐 생성부(130)에서 생성된 제로데이 공격 의심 시그니쳐(Zeroday_attack?_signature)를 전달받아 상기 시그니쳐 데이터베이스(135)에 저장된 시그니쳐정보(attack_patten_info)와 비교하여 제로데이 공격 의심 시그니쳐(Zeroday_attack?_signature)가 신규공격 시그니쳐인지 기존공격시그니쳐의 변종 또는 아류인지를 판단하여 신규공격일때 상기 제로데이 공격 의심 시그니쳐(Zeroday_attack?_signature)를 침입방지부(160)에 적용하고 이를 감시케 한다.
침입방지부(160)는 제로데이 공격 시그니쳐 관리부(150)로부터 제로데이 공격 의심 시그니쳐(Zeroday_attack?_signature)를 전달받아 수신되는 패킷의 데이터 그램과 비교하는 패턴매칭(Patten Matching)을 수행한다. 침입방지부(160)는 상기 패턴매칭을 통하여 제로데이 공격 의심 시그니쳐(Zeroday_attack?_signature)와 수신패킷 간의 패턴일치 횟수가 일정이상 검출되면 해당 제로데이 공격의심 시그니쳐(Zeroday_attack?_signature)를 신규공격패턴 즉 제로데이 공격 시그니쳐(Zeroday_attack_signature')로 간주한다. 아울러 침입방지부(160)는 상기 시그니쳐 데이터베이스(135)에 제로데이 공격 시그니쳐(Zeroday_attack_signature')를 추가하고 방화벽(200)과 라우터(300)를 통해 네트워크 연결을 위한 포트를 열거나 차단함으로써 상기 제로데이 공격의심 시그니쳐가 포함된 패킷들을 차단하여 네트워크 내의 확산을 막는다. 한편 상기 침입방지부(160)로써 인터넷 등 외부 망과의 접속 시 일정 요건을 갖추지 않은 사람의 침입을 사전에 방지하기 위해서 각종 해킹수법을 자체적으로 내장하여 침입행동을 실시간으로 감지/제어할 수 있는 침입 탐지 시스템(Intrusion Detection system) 및 상기 침입 탐지 시스템의 기능 외에도 OS레벨에서의 실시간 방어와 탐지기능을 제공할 수 있는 인 침입 방지 시스템(Intrusion Prevention System)등이 사용될 수 있다.
라우터(300)는 송신정보(패킷:packet)에 담긴 IP 주소를 읽고 가장 적절한 통신경로를 이용하여 다른 통신망으로 전송하는 장치이다. 라우터(300)는 인터넷을 접속할 때 반드시 필요한 네트워크계층의 장비로써, 단순히 통신망을 연결해주는 브리지(Bridge) 기능뿐만 아니라 경로 배정표에 따라 다른 통신망을 인식하며, 경로를 배정한다. 아울러 라우터(300)는 수신된 패킷에 의하여 다른 통신망 또는 자신이 연결되어 있는 통신망 내의 수신처(노드)를 결정하여 여러 경로 중 가장 효 율적인 경로를 선택하여 패킷을 보낸다. 또한 라우터(300)는 통신 흐름을 제어하며 통신망 내부에 여러 보조 통신망을 구성하는 등의 다양한 통신망 관리기능을 수행한다.
방화벽(200)은 내부네트워크(인트라넷)를 외부네트워크(인터넷)로부터 보호하기 위해 출입하는 패킷을 감시하고 정해진 룰을 바탕으로 파괴시커거나 파기시킴으로써 침입방지부(160)로부터 제로데이 공격 패킷 차단요청을 받아 해당 패킷을 차단한다.
이하에서는 본 발명의 실시예에 따른 제로데이 공격 대응 시스템의 핵심구성요소인 제로데이 공격 탐지부(110), 제로데이 공격 시그니쳐 생성부(130), 제로데이 공격 시그니쳐 관리부(150)의 구체적인 구성요소와 이들 간의 동작관계에 대해 설명하기로 한다.
도 3은 본 발명의 실시예에 따른 제로데이 공격 대응 시스템의 제로데이 공격 탐지부 구성도이다.
도 3을 참조하면, 본 발명의 실시예에 따른 제로데이 공격 탐지부(110)는 패킷 수집 모듈(112), IP정보 추출 모듈(115)을 구비한다.
패킷 수집 모듈(112)은 인터넷상의 트래픽에서 패킷을 소정의 시간 즉 타임윈도우 범위 내에서 샘플링하거나 트래픽의 전체패킷을 수집하여 IP정보 추출 모듈(115)로 전송한다.
IP정보 추출 모듈(115)은 수집된 복수 개의 패킷들의 IP정보를 추출하여 동일한 출발지 IP를 가진 패킷들 중에서 소정 개수 이상의 도착지 IP를 가진 패킷들 을 선별한다. 이는 앞서 언급한 바와 같이 네트워크 스캔공격이 갖는 IP특성을 이용하여 제로데이 공격 의심패킷을 구분하는 것이다. 예컨대 샘플링한 패킷들의 헤드부분에서 IP를 추출 및 비교하여 1000개의 동일한 출발지 IP와 1000개의 서로 다른 도착지 IP가 검출되었다면 이는 네트워크 스캔공격일 가능성이 높다. 따라서 이들 의심패킷의 출발지 IP(Src_IP) 및 도착지포트(Dst_port)를 파라메타로하여 제로데이 공격 시그니쳐 생성부(130)에 전송한다. 한편 상기 패킷 수집 모듈(112)이 트래픽으로부터 패킷을 수집함에 있어 프로세서의 데이터처리효율 및 네트워크 트래픽의 흐름을 감안하여 기 설정된 시간 범위 즉 타임윈도우내에서 샘플링하여 패킷을 추출하는 것이 바람직할 것이다.
도 4는 본 발명의 실시예에 따른 제로데이 공격 대응 시스템의 제로데이 공격 시그니쳐 생성부 구성도이다.
도 4를 참조하면, 본 발명의 실시예에 따른 제로데이 공격 시그니쳐 생성부(130)는 공격패킷 검출 모듈(131), 패이로드 수집 모듈(132), 시그니쳐 생성 모듈(133), 시그니쳐 데이터베이스(135)를 구비한다.
제로데이 공격 탐지부(110)로부터 출발지 IP(Src_IP) 및 도착지 포트번호(Dst_port)정보가 입력되면 공격패킷 검출 모듈(131)은 이를 이용하여 해당 트패픽으로 부터 공격패킷을 검출하여 패이로드 수집 모듈(132)로 전송한다. 패이로드 수집 모듈(132)은 전달된 공격패킷들로부터 패이로드들을 추출하여 시그니쳐 생성 모듈(133)로 전송한다. 아울러 시그니쳐 생성 모듈(133)은 패이로드들을 문맥비교 함으로써 공통적으로 반복되는 데이터패턴을 인식하여 제로데이 공격 의심 시그니 쳐(Zeroday_attck?_signature)를 생성한다. 이렇게 생성된 제로데이 공격 의심 시그니쳐(Zeroday_attck?_signature)는 제로데이 공격 시그니쳐 관리부(150)에 전달하게 된다.
한편 상기 시그니쳐 생성 모듈(133)이 제로데이 공격 의심 시그니쳐(Zeroday_attck?_signature)를 생성하기 위해 공격패킷들의 패이로드들을 문맥비교하는 방법을 간략히 설명하기로 한다. 우선 공격패킷들로부터 추출된 패이로드들에서 유사 데이터 패턴을 찾는 알고리즘을 이용해서 공통 데이터 패턴을 찾아내게 되는데, 이때 Rabin Fingerprint 알고리즘을 이용하게 된다. 이 알고리즘은 간단한 모듈러 연산을 이용해서 공통 데이터 부분을 찾아내게 되는데, 실제 구현 역시 매우 쉽고 동작 또한 빠르기 때문에 많은 곳에서 활용되고 있다. 상기 Rabin Fingerprint 알고리즘을 이용하여 패이로드들로부터 컨텐츠블럭(Contents Block)들을 생성한다. 이러한 컨텐츠블럭들 중 빈도수가 가장높은 것 즉 컨텐츠블럭의 비교를 통해 가장 많이 검출된 컨텐츠블럭를 선별하고 이들의 조합으로 시그니쳐를 생성한다.
시그니쳐 데이터베이스(135)에는 기존의 공격 시그니쳐들 및 이들의 리스트가 시그니쳐정보(signature_info)로써 저장되며 상기 제로데이 시그니쳐 관리부(150)의 검색요청에 따라 제로데이 공격 의심 시그니쳐(Zeroday_attck?_signature)와 일치하거나 일치율이 높은 시그니쳐정보(signature_info)를 검색하여 제로데이 시그니쳐 관리부(150)에 결과값을 전달한다.
도 5는 본 발명의 실시예에 따른 제로데이 공격 대응 시스템의 제로데이 공격 시그니쳐 관리부와 침입방지부의 구성도이다.
도 5를 참조하면, 본 발명의 실시예에 따른 제로데이 공격 시그니쳐 관리부(150)는 신규공격 판단 모듈(155), 시그니쳐 검색 모듈(159) 및 신규공격 적용 모듈(157)을 구비한다.
제로데이 공격 시그니쳐 생성부(130)로부터 제로데이 공격 의심 시그니쳐(Zeroday_attck?_signature)가 입력되면 신규공격 판단 모듈(155)은 시그니쳐 데이터베이스(135)로부터 상기 제로데이 공격 의심 시그니쳐(Zeroday_attck?_signature)와 일치하는 시그니쳐정보(signature_info)가 있는지 검색하도록 시그니쳐 검색 모듈(159)에 요청하고, 시그니쳐 검색 모듈(159)은 시그니쳐 데이터베이스(135)에 일치하는 시그니쳐정보(signature_info)가 있는지 조사하여 결과를 신규공격 판단 모듈(155)에 통보한다. 만약 제로데이 공격 의심 시그니쳐(Zeroday_attck?_signature)와 일치하는 시그니쳐정보(signature_info)가 있으면 신규공격 판단 모듈(155)은 기존공격으로 간주하여 이를 신규공격 적용 모듈(157)에 통보한다. 아울러 신규공격 적용 모듈(157)은 제로데이 공격 의심 시그니쳐(Zeroday_attck?_signature)를 침입방지부(160)에 적용하여 이를 차단하도록 한다.
또한 제로데이 공격 의심 시그니쳐(Zeroday_attck?_signature)와 일치하는 시그니쳐정보(signature_info)가 없는 경우 신규공격 판단 모듈(155)은 상기 제로데이 공격 의심 시그니쳐(Zeroday_attck?_signature)를 신규공격이라 판단하고 신 규공격 적용 모듈(157)에 이를 통보하며 신규공격 적용 모듈(157)은 침입방지부(160)에 이를 적용하되 차단하지 않도록 한다. 한편 침입방지부(160)는 제로데이 공격 의심 시그니쳐(Zeroday_attck?_signature)가 소정의 횟수이상 검출되면 신규 공격패턴 즉 제로데이 공격 시그니쳐(Zeroday_attack_signature')로 간주하고 이를 방화벽과 라우터를 통해 차단하도록 한다. 아울러 제로데이 공격 시그니쳐(Zeroday_attack_signature')를 시그니쳐 데이터베이스(135)에 저장한다.
이하에서는 본발명의 실시예에 따른 제로데이 공격 대응방법에 대해 설명하기로 한다.
도 6은 본 발명의 실시예에 따른 제로데이 공격 대응방법을 도시한 순서도이다.
도 6을 참조하면, 처음으로 동일한 출발지 IP와 복수 개의 서로 다른 도착지 IP를 가진 패킷들로부터 IP정보를 추출한다(S101).
S101단계에서, 제로데이 공격 탐지부(110)는 네트워크상에서 수집된 패킷들의 헤더 부분을 추출하여 동일한 출발지 IP를 가진 패킷들 중에서 소정 개수 이상의 도착지 IP를 가진 패킷들을 선별하고 이들의 IP정보(출발지 IP, 도착지 포트번호)를 추출하여 제로데이 공격 시그니쳐 생성부(130)에 전송한다.
다음으로 추출한 IP정보(출발지 IP, 도착지 포트번호)가 포함된 패킷들로부터 패이로드 정보를 추출한다(S102).
S102단계에서, 제로데이 공격 시그니쳐 생성부(130)는 입력된 출발지 IP, 도착지 포트번호를 가진 패킷들로부터 패이로드 부분을 추출한다.
다음으로 패이로드 정보를 이용하여 시그니쳐를 생성한다(S103).
S103단계에서, 제로데이 공격 시그니쳐 생성부(130)는 추출된 패이로드 정보를 이용하여 데이터 간의 문맥비교를 통해 공통된 데이터 패턴 즉 시그니쳐(또는 제로데이 공격 의심 시그니쳐)을 생성한다.
다음으로 생성된 시그니쳐를 데이터베이스 내의 시그니쳐정보와 비교하여 시그니쳐의 신규여부를 판단한다(S104).
S104단계에서, 제로데이 공격 시그니쳐 생성부(130)으로부터 시그니쳐가 입력되면 제로데이 공격 시그니쳐 관리부(150)는 시그니쳐 데이터베이스(135)내의 시그니쳐정보와 비교하여 신규공격인지 판단한다. 만일 상기 시그니쳐가 시그니쳐 데이터베이스(135)내에 저장된 시그니쳐정보와 일치하여 기존공격이라 판단될 경우에는 방화벽(200)과 라우터(300)에 적용하여 공격을 차단하고, 신규공격이라 판단될 경우에는 상기 시그니쳐의 검출횟수를 체크한다.
다음으로 시그니쳐의 검출횟수가 N번 일 때까지 반복한다(S105).
S105단계에서, 신규공격이라 판단되면 제로데이 공격 시그니쳐 관리부(150)는 침입방지부(160)에 상기 시그니쳐를 적용한다. 이후 침입방지부(160)는 상기 시그니쳐가 포함된 패킷의 활동을 감시하고 수신되는 패킷과 비교하여 패턴매칭(Patten Matching)을 수행함으로써 상기 시그니쳐의 적발횟수를 체크한다. 이후 침입방지부(160)는 상기 시그니쳐와 수신패킷 간의 패턴일치 횟수가 일정이상 검출되면 상기 시그니쳐를 신규시그니쳐(또는 제로데이 공격 시그니쳐)로 간주한다.
다음으로 신규 시그니쳐가 데이터베이스에 저장된다(S106).
S106단계에서, 신규 시그니쳐가 시그니쳐 데이터베이스(135)에 저장됨으로써 시그니쳐 데이터베이스(135)는 항상 새로운 시그니쳐정보를 유지하게 된다.
다음으로 신규 시그니쳐가 포함된 패킷을 차단한다(S107).
S107단계에서, 침입방지부(160)는 신규 시그니쳐가 포함된 패킷을 라우터(300)와 방화벽(200)을 이용하여 파기하거나 도착지 포트를 막음으로써 제로데이 공격을 효과적으로 차단할 수 있다.
한편 본 발명의 실시예에서는 제로데이 공격 탐지부, 제로데이 공격 시그니쳐 생성부 및 제로데이 공격 시그니쳐 관리부의 구성을 도 1에서와 같이 별도로 분리된 시스템 장치로써 도시되고 있지만 이에 한정되는 것이 아니라 시스템 구성의 특성상 하나의 통합된 장치로써 제공될 수 있다.
또한 본 발명의 실시예에서는 패이로드들로 부터 공격패턴을 생성하는 방법으로써 문맥검사방식을 위주로 설명하였으나 이에 한정되는 것이 아니라 공지된 다양한 데이터 패턴 인식기법이 사용될 수 있다.
또한 본 발명의 실시예에 따른 제로데이 공격 대응시스템에 제로데이 공격패킷을 수집하여 시그니쳐를 생성하고 수신패킷들과 비교하여 상기 시그니쳐가 소정의 횟수이상 검출되거나 부정행위가 적발되면 이를 제로데이 공격 시그니쳐라 판단하는 메커니즘을 적용하는데 있어서, 본 발명의 실시예에 따른 침입방지부는 침입 탐지 시스템 또는 침입 방지 시스템을 주로 설명하고 있지만, 이에 한정되는 것이 아니라 방화벽, 침입 탐지 시스템, 가상 사설망 등이 통합된 솔루션으로써 시스템 자원 관리, 망 관리 등의 통합 보안 관리 개념이 적용된 기업 보안 관리 시스 템(Enterprise Security Management System) 등의 보안 관리 시스템에도 적용할 수 있을 것이다.
또한 본 발명의 실시예에 따라 도 2에 도시된 하나의 제로데이 공격 시그니쳐 관리부는 각 로컬네트워크별로 분산되어 있는 다수의 침입방지부에 제로데이 공격 의심 시그니쳐를 적용함으로써 효율적인 자원할당 및 데이터 분산처리 등의 시스템운용을 제공할 수 있을 것이다.
마지막으로 본 발명의 실시예에서는 시그니쳐 데이터베이스를 제로데이 공격 시그니쳐 생성부에 포함된 구성요소로 설명하고 있으나 이에 한정되는 것이라 시스템의 구성특성상 별도의 독립된 구성요소일 수 있고 제로데이 공격 시그니쳐 관리부 또는 침입방지부에 포함된 구성요소일 수 있을 것이다.
이상에서 설명한 바와 같이, 본 발명의 실시예에 따른 제로데이 공격 대응 시스템 및 방법은 취약점이 발표되고 보안패치가 발표되기 전에 발생하는 제로데이 공격을 효과적으로 탐지하고 이에 대비할 수 있다.
본 발명의 실시예에 따른 제로데이 공격 대응 시스템 및 방법은 네트워크상의 수신패킷들에 제로데이 공격패킷 수집정책을 적용하여 제로데이 공격패턴을 효율적으로 검출하고 이를 통제함으로써 제로데이 공격의 네트워크 확산을 미연에 방지할 수 있다.
또한 본 발명의 실시예 따른 제로데이 공격 대응 시스템 및 방법은 하나 또 는 적은수의 제로데이 공격 시그니쳐 관리부가 각 로컬 네트워크별로 분산되어 있는 다수의 침입방지부에 제로데이 공격 의심 시그니쳐를 적용함으로써 자원의 낭비없이 효율적으로 제로데이 공격의 검출 및 차단을 수행할 수 있다.
아울러 본 발명의 바람직한 실시예들은 예시의 목적을 위해 개시된 것이며, 당업자라면 본 발명의 사상과 범위 안에서 다양한 수정, 변경, 부가 등이 가능할 것이며, 이러한 수정 변경 등은 이하의 특허청구의 범위에 속하는 것으로 보아야 할 것이다.

Claims (16)

  1. 네트워크상의 송신패킷들 및 수신패킷들의 통신경로를 설정하며 통신망을 관리하는 라우터;
    외부 네트워크로부터 내부 네트워크를 보호하기 위해 상기 송신패킷들 또는 상기 수신패킷들을 감시하거나 차단하는 방화벽;
    패킷헤드 정보를 이용하여 상기 수신패킷들에서 상기 공격패킷들을 분류하는 제로데이 공격패킷 수집정책에 따라 상기 공격패킷들로부터 인터넷 프로토콜 정보를 추출하는 제로데이 공격 탐지부;
    상기 인터넷 프로토콜 정보를 전달받아 상기 공격패킷들로부터 패이로드정보를 추출 및 비교하여 제로데이 공격 의심 시그니쳐를 생성하는 제로데이 공격 시그니쳐 생성부;
    기존의 공격 시그니쳐들 및 이들의 리스트가 포함된 시그니쳐정보를 저장하는 시그니쳐 데이터베이스;
    상기 제로데이 공격 의심 시그니쳐와 상기 시그니쳐정보를 비교하여 신규공격여부를 판단하는 제로데이 공격 시그니쳐 관리부; 및
    상기 제로데이 공격 의심 시그니쳐가 신규공격일 경우 상기 제로데이 공격 의심 시그니쳐와 상기 수신패킷들을 비교하여 일정한 횟수이상 일치하면 상기 제로데이 공격 의심 시그니쳐를 제로데이 공격 시그니쳐로 간주하고 상기 방화벽과 상기 라우터를 이용하여 상기 제로데이 공격 의심 시그니쳐가 포함된 상기 공격패킷 들을 차단하는 침입방지부;를 포함하여 구성하는 것을 특징으로 하는 제로데이 공격 대응 시스템.
  2. 제 1 항에 있어서, 상기 제로데이 공격패킷 수집정책은
    상기 수신패킷들로부터 패킷헤드 정보를 분석하여 동일한 출발지 인터넷 프로토콜 주소와 N개 이상의 서로 다른 도착지 인터넷 프로토콜 주소를 가지는 상기 수신패킷들을 공격패킷으로 간주하는 것을 특징으로 하는 제로데이 공격 대응 시스템.
  3. 제 2 항에 있어서 상기 패킷헤드 정보는
    출발지 인터넷 프로토콜 주소, 도착지 인터넷 프로토콜 주소, 출발지 포트번호 및 도착지 포트번호인 것을 특징으로 하는 제로데이 공격 대응 시스템.
  4. 제 1 항에 있어서, 상기 인터넷 프로토콜 정보는
    출발지 인터넷 프로토콜 주소, 도착지 포트번호인 것을 특징으로 하는 제로데이 공격 대응 시스템.
  5. 제 2 항 또는 제 4 항에 있어서, 상기 제로데이 공격 탐지부는
    상기 제로데이 공격패킷 수집정책에 따라 상기 수신패킷들로부터 공격패킷을 검출하는 패킷수집모듈; 및
    상기 공격패킷들로부터 상기 인터넷 프로토콜 주소, 상기 도착지 포트번호를 추출하여 상기 제로데이 공격 시그니쳐 생성부로 전달하는 인터넷 프로토콜 정보 추출모듈;을 구비하는 것을 특징으로 하는 제로데이 공격 대응 시스템.
  6. 제 5 항에 있어서, 상기 제로데이 공격 시그니쳐 생성부는
    상기 인터넷 프로토콜 정보 추출모듈로부터 상기 인터넷 프로토콜 주소 및 상기 도착지 포트번호를 전달받아 상기 네트워크의 트래픽에서 상기 공격패킷들을 수집하는 공격패킷 검출 모듈;
    상기 공격패킷들로부터 상기 패이로드 정보를 수집하는 패이로드 수집 모듈; 및
    상기 패이로드 정보에서 반복 데이터 패턴을 찾아 상기 제로데이 공격 의심 시그니쳐을 생성하는 시그니쳐 생성 모듈;을 포함하여 구성되는 것을 특징으로 하는 제로데이 공격 대응 시스템.
  7. 제 6 항에 있어서, 상기 제로데이 공격 시그니쳐 관리부는
    상기 시그니쳐 생성 모듈로부터 상기 제로데이 공격 의심 시그니쳐을 전달받아 상기 시그니쳐 데이터베이스의 시그니쳐정보와 비교하여 상기 제로데이 공격 의심 시그니쳐가 상기 시그니쳐정보와 일치할 경우 기존공격으로 판단하고, 불일치할 경우 신규공격으로 판단하는 신규공격 판단 모듈;
    상기 시그니쳐 데이터베이스에 상기 제로데이 공격 의심 시그니쳐과 일치하 는 상기 시그니쳐정보의 검색을 요청하는 시그니쳐 검색 모듈; 및
    상기 제로데이 공격 의심 시그니쳐을 상기 기존공격 또는 상기 신규공격으로 구분하여 상기 침입방지부에 적용하는 신규공격 적용 모듈;을 포함하여 구성되는 것을 특징으로 하는 제로데이 공격 대응 시스템.
  8. 제 1 항 또는 제 2 항에 있어서,
    상기 제로데이 공격 탐지부 및 상기 제로데이 공격 시그니쳐 생성부 및 상기 제로데이 공격 시그니쳐 관리부는 각각 분리된 별도의 시스템이거나 하나의 통합된 시스템인 것을 특징으로 하는 제로데이 공격 대응 시스템.
  9. 제 1 항 또는 제 2 항에 있어서, 상기 침입방지부는
    침입 방지 시스템, 침입 탐지 시스템 및 기업 보안관리 시스템 중 적어도 어느 하나인 것을 특징으로 하는 제로데이 공격 대응시스템.
  10. 제 1 항 또는 제 2 항에 있어서,
    하나의 상기 제로데이 공격 시그니쳐 관리부는,
    적어도 하나의 서로 다른 상기 침입방지부에 상기 제로데이 공격 의심 시그니쳐를 적용하는 것을 특징으로 하는 제로데이 공격 대응 시스템.
  11. 네트워크상의 수신패킷들로부터 패킷헤드 정보를 이용하여 상기 수신패킷 들 에서 공격패킷들을 분류하는 제로데이 공격패킷 수집정책에 따라 상기 공격패킷들로부터 인터넷 프로토콜 정보를 추출하는 제 1 단계;
    상기 인터넷 프로토콜 정보가 포함된 상기 공격패킷들로부터 패이로드 정보를 추출하여 제로데이 공격 의심 시그니쳐를 생성하는 제 2 단계;
    상기 제로데이 공격 의심 시그니쳐와 시그니쳐 데이터베이스에 저장된 기존의 공격 시그니쳐들 및 이들의 리스트가 포함된 시그니쳐정보를 비교하여 신규공격인지 판단하여 침입방지부에 적용하는 제 3 단계;
    신규공격이라고 판단될 때 상기 침입방지부가 상기 제로데이 공격 의심 시그니쳐와 입력되는 상기 수신패킷들을 패턴매칭하여 소정횟수이상 일치하면 상기 제로데이 공격 의심 시그니쳐가 포함된 상기 공격패킷들을 차단하도록 하는 제 4 단계;를 포함하는 것을 특징으로 하는 제로데이 공격 대응방법.
  12. 제 11 항에 있어서, 상기 제로데이 공격패킷 수집정책은
    상기 수신패킷들로부터 패킷헤드 정보를 분석하여 동일한 출발지 인터넷 프로토콜 주소와 N개 이상의 서로 다른 도착지 인터넷 프로토콜 주소를 가지는 상기 수신패킷들을 공격패킷으로 간주하는 것을 특징으로 하는 제로데이 공격 대응방법.
  13. 제 12 항에 있어서 상기 패킷헤드 정보는
    출발지 인터넷 프로토콜 주소, 도착지 인터넷 프로토콜 주소, 출발지 포트번호 및 도착지 포트번호인 것을 특징으로 하는 제로데이 공격 대응방법.
  14. 제 11 항에 있어서, 상기 인터넷 프로토콜 정보는
    출발지 인터넷 프로토콜 주소, 도착지 포트번호인 것을 특징으로 하는 제로데이 공격 대응방법.
  15. 제 11 항에 있어서, 제 4 단계 이후에
    상기 제로데이 공격 의심 시그니쳐을 제로데이 공격 시그니쳐라고 간주하고 상기 시그니쳐 데이터베이스에 저장하는 제 5 단계를 더 포함하는 것을 특징으로 하는 제로데이 공격 대응방법.
  16. 제 11 항에 있어서, 상기 침입방지부는
    침입 방지 시스템, 침입 탐지 시스템 및 기업 보안관리 시스템 중 적어도 어느 하나인 것을 특징으로 하는 제로데이 공격 대응방법.
KR1020060073576A 2006-08-04 2006-08-04 제로데이 공격 대응 시스템 및 방법 KR100769221B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060073576A KR100769221B1 (ko) 2006-08-04 2006-08-04 제로데이 공격 대응 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060073576A KR100769221B1 (ko) 2006-08-04 2006-08-04 제로데이 공격 대응 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR100769221B1 true KR100769221B1 (ko) 2007-10-29

Family

ID=38815479

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060073576A KR100769221B1 (ko) 2006-08-04 2006-08-04 제로데이 공격 대응 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR100769221B1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100937217B1 (ko) * 2007-12-07 2010-01-20 한국전자통신연구원 시그니처 최적화 시스템 및 방법
KR102353131B1 (ko) * 2020-07-21 2022-01-18 충북대학교 산학협력단 제로데이 공격에 대한 방어 시스템 및 방법
KR102353130B1 (ko) * 2020-07-21 2022-01-18 충북대학교 산학협력단 Nidps 기반 대용량 트래픽 제로데이 공격을 방어하기 위한 방어 시스템 및 방법
KR20220044047A (ko) * 2020-09-29 2022-04-06 충북대학교 산학협력단 제로데이 공격 패킷 하이라이트 시스템 및 방법
KR20220094093A (ko) * 2020-12-28 2022-07-05 엑사비스 주식회사 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템 및 그 방법
WO2022145501A1 (ko) * 2020-12-29 2022-07-07 (주)기원테크 메일 보안 기반의 제로데이 url 공격 방어 서비스 제공 장치 및 그 동작 방법
WO2022145838A1 (ko) * 2020-12-28 2022-07-07 엑사비스 주식회사 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템 및 그 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000054538A (ko) * 2000-06-10 2000-09-05 김주영 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체
KR20030021338A (ko) * 2001-09-05 2003-03-15 한국전자통신연구원 네트워크간의 침입에 대응하기 위한 보안 시스템 및 그 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000054538A (ko) * 2000-06-10 2000-09-05 김주영 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체
KR20030021338A (ko) * 2001-09-05 2003-03-15 한국전자통신연구원 네트워크간의 침입에 대응하기 위한 보안 시스템 및 그 방법

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100937217B1 (ko) * 2007-12-07 2010-01-20 한국전자통신연구원 시그니처 최적화 시스템 및 방법
KR102353131B1 (ko) * 2020-07-21 2022-01-18 충북대학교 산학협력단 제로데이 공격에 대한 방어 시스템 및 방법
KR102353130B1 (ko) * 2020-07-21 2022-01-18 충북대학교 산학협력단 Nidps 기반 대용량 트래픽 제로데이 공격을 방어하기 위한 방어 시스템 및 방법
KR20220044047A (ko) * 2020-09-29 2022-04-06 충북대학교 산학협력단 제로데이 공격 패킷 하이라이트 시스템 및 방법
KR102427405B1 (ko) * 2020-09-29 2022-08-01 충북대학교 산학협력단 제로데이 공격 패킷 하이라이트 시스템 및 방법
KR20220094093A (ko) * 2020-12-28 2022-07-05 엑사비스 주식회사 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템 및 그 방법
WO2022145838A1 (ko) * 2020-12-28 2022-07-07 엑사비스 주식회사 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템 및 그 방법
KR102584775B1 (ko) * 2020-12-28 2023-10-05 엑사비스 주식회사 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템 및 그 방법
WO2022145501A1 (ko) * 2020-12-29 2022-07-07 (주)기원테크 메일 보안 기반의 제로데이 url 공격 방어 서비스 제공 장치 및 그 동작 방법

Similar Documents

Publication Publication Date Title
Wang et al. Intrusion prevention system design
US10095866B2 (en) System and method for threat risk scoring of security threats
US9628508B2 (en) Discovery of suspect IP addresses
Modi et al. A survey of intrusion detection techniques in cloud
EP1817685B1 (en) Intrusion detection in a data center environment
US7454499B2 (en) Active network defense system and method
WO2017139489A1 (en) Automated honeypot provisioning system
Chiba et al. A survey of intrusion detection systems for cloud computing environment
KR100769221B1 (ko) 제로데이 공격 대응 시스템 및 방법
KR101156005B1 (ko) 네트워크 공격 탐지 및 분석 시스템 및 그 방법
Aldabbas et al. A novel mechanism to handle address spoofing attacks in SDN based IoT
US20160088001A1 (en) Collaborative deep packet inspection systems and methods
US20070289014A1 (en) Network security device and method for processing packet data using the same
EP3374870A1 (en) System and method for threat risk scoring of security threats
CN111295640A (zh) 使用会话app id和端点进程id相关性的精细粒度防火墙策略实施
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
KR101006372B1 (ko) 유해 트래픽 격리 시스템 및 방법
KR20020072618A (ko) 네트워크 기반 침입탐지 시스템
Al Makdi et al. Trusted security model for IDS using deep learning
Sulieman et al. Detecting zero-day polymorphic worm: A review
Yan et al. Anti‐virus in‐the‐cloud service: are we ready for the security evolution?
JP2022541250A (ja) インラインマルウェア検出
CN115277173B (zh) 一种网络安全监测管理系统及方法
von Eye et al. Detecting stealthy backdoors and port knocking sequences through flow analysis
Sourour et al. Collaboration between security devices toward improving network defense

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121031

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20130830

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20141016

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20151002

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee