KR100772523B1 - 패턴을 이용하는 침입 탐지 장치 및 그 방법 - Google Patents
패턴을 이용하는 침입 탐지 장치 및 그 방법 Download PDFInfo
- Publication number
- KR100772523B1 KR100772523B1 KR1020060072649A KR20060072649A KR100772523B1 KR 100772523 B1 KR100772523 B1 KR 100772523B1 KR 1020060072649 A KR1020060072649 A KR 1020060072649A KR 20060072649 A KR20060072649 A KR 20060072649A KR 100772523 B1 KR100772523 B1 KR 100772523B1
- Authority
- KR
- South Korea
- Prior art keywords
- intrusion detection
- pattern
- rule
- content
- unit
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Abstract
본 발명에 의한 패턴을 이용하는 침입 탐지 장치 및 그 방법은 패킷의 페이로드부분에 대한 매칭과 패킷의 IP 주소부분에 대한 매칭 결과인 매칭된 침입 탐지 규칙의 인덱스를 입력받아 침입 탐지를 수행하는 장치에 있어서, 침입탐지규칙들을 컨텐츠 검사 부분을 가지는 규칙과 컨텐츠 검사 부분을 가지지 않는 규칙으로 분류하고, 각 규칙에 인덱스를 부여한 후 상기 매칭을 수행하는 장치로 출력함과 동시에 저장하는 규칙생성부; 상기 패킷의 페이로드와 주소부분을 추출하여 상기 장치로 출력하는 추출부; 및 상기 인덱스를 기초로 해당하는 규칙에 대하여 검사하는 검사부;를 포함하는 것을 특징으로 하며, 패킷이 입력될 때마다 모든 규칙에 대해 패킷의 유해 여부를 검사해야하는 과부하를 상당 부분 줄여주어 처리속도를 높일 수 있게 되므로, 고비용의 고사용 하드웨어 전용 시스템을 대체할 수 있는 비교적 저가의 효율적인 성능을 가지는 시스템의 구현이 가능해진다.
침입 탐지
Description
도 1은 본 발명에 의한 패턴을 이용하는 침입 탐지 장치의 구성을 보여주는 블록도이다.
도 2는 본 발명에 의한 패턴을 이용하는 침입 탐지 방법의 과정을 보여주는 흐름도이다.
도 3은 컨텐츠 보드를 이용하여 침입 탐지 규칙을 적용하는 과정을 개념적으로 설명한 도면이다.
도 4는 침입 탐지 규칙을 정렬하고 이를 이용하여 패턴을 구성하는 방법을 개념적으로 설명한 도면이다.
도 5는 패턴 정보로부터 검사 결과를 얻어내는 과정을 보여주는 도면이다.
도 6은 IP 주소 매칭에 사용할 IP 주소 패턴을 구성하는 일 예를 보여주는 도면이다.
본 발명은 저가 및 저사양의 침입 탐지 시스템에서 하드웨어 기반의 컨텐츠 보드를 이용하여 침입탐지 성능을 개선하는 장치 및 그 방법에 관한 것으로서, 보다 상세하게는 저가의 표준 인터페이스(예를 들면, PCI)를 가지는 상용 하드웨어 기반의 컨텐츠 보드를 이용하여 저비용으로 페이로드 매칭과 IP 주소 매칭을 수행하는 패턴 매칭을 통하여 침입 탐지를 수행하는 장치 및 방법에 관한 것이다.
침입 탐지 시스템을 구성하는데 있어서, 고가 및 고사용의 시스템에서는 침입 탐지 알고리즘이나 그 외의 기능을 ASIC 이나 마이크로 코딩등을 통해 하드웨어화하여 성능을 극대화할 수 있다. 하지만, 이런 시스템의 사용을 위해서는 매우 많은 비용을 요구하고 있어 중소기업이나 소호(SOHO) 업체등이 수용하기에는 무리가 있다.
현재 침입 탐지 시스템의 경향은 라인 스피드 성능을 요구하고 있고, 실제로 이런 성능을 가지는 제품들이 소개되고 있지만, 중소기업이나 소호 환경에서 구입하여 사용하기에는 비용적인 부담이 너무 크다. 실제로 이런 시스템은 패킷 디코딩 및 매칭 알고리즘등을 AISC 에 구현하고, 좀 더 빠른 매칭을 위해 고가의 TCAM 같은 메모리를 사용한다. 반면 소프트웨어 기반의 침입 탐지 시스템이 중저가 시장을 위해 소개되고 있지만 성능이 만족스럽지 못한 문제점이 있다.
본 발명이 이루고자 하는 기술적 과제는 상기의 문제점을 해결하기 위하여 안출된 것으로서, 저가의 표준 인터페이스를 가지는 상용 하드웨어 기반의 컨텐츠 보드를 이용하여, 그 컨텐츠 보드가 제공하는 정규 표현식을 이용하여 컨텐츠 매칭 범위를 패키의 페이로드에 한정하지 않고, IP 주소까지 확대하여 그 매칭 결과를 이용하여 보다 빠르고 정확하게 침입여부를 탐지할 수 있는 장치 및 방법을 제공하는데 있다.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 패턴을 이용하는 침입 탐지 장치는 패킷의 페이로드부분에 대한 매칭과 패킷의 IP 주소부분에 대한 매칭 결과인 매칭된 침입 탐지 규칙의 인덱스를 입력받아 침입 탐지를 수행하는 장치에 있어서, 침입탐지규칙들을 컨텐츠 검사 부분을 가지는 규칙과 컨텐츠 검사 부분을 가지지 않는 규칙으로 분류하고, 각 규칙에 인덱스를 부여한 후 상기 매칭을 수행하는 장치로 출력함과 동시에 저장하는 규칙생성부; 상기 패킷의 페이로드와 주소부분을 추출하여 상기 장치로 출력하는 추출부; 및 상기 인덱스를 기초로 해당하는 규칙에 대하여 검사하는 검사부;를 포함하는 것을 특징으로 한다.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 패턴을 이용하는 침입 탐지 장치는 적어도 하나 이상의 표준 인터페이스를 가지면서 시스템에 입력되는 패킷의 패턴 검사를 시행하는 컨텐츠부; 및 침입탐지 규칙들에서 상기 컨텐츠 보드가 상기 패턴 검사를 시행할 수 있도록 적어도 하나 이상의 패턴과 그 패턴에 해당하는 규칙에 대한 인덱스를 각각 생성하여 제공하고, 상기 패턴 검사 결과를 입력받아 소정의 규칙 검사를 시행하여 시스템에 대한 침입 여부를 판단하는 침입탐지부;를 포함하는 것을 특징으로 한다.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 패턴을 이용하는 침입 탐지 방법은 패턴을 이용하는 침입탐지 장치에서 침입을 탐지하는 방법에 있어서, 침입탐지 규칙들에서 적어도 하나 이상의 패턴과 그 패턴에 해당하는 규칙에 대한 인덱스를 각각 생성하고 입력 패킷을 수신하여 페이로드 부분과 IP 주소부분을 분리하는 단계; 상기 입력 패킷의 페이로드와 IP 주소부분에 대하여 상기 패턴에 기초하여 패턴 검사를 시행하는 단계; 및 상기 패턴 검사 결과를 입력받아 소정의 규칙 검사를 시행하여 시스템에 대한 침입 여부를 판단하는 단계;를 포함하는 것을 특징으로 한다.
첨부한 도면을 참조하여 본 발명의 바람직한 일 실시예를 상세하게 설명하도록 한다. 도 1은 본 발명에 의한 패턴을 이용하는 침입 탐지 장치의 구성을 보여주는 블록도이고, 도 2는 본 발명에 의한 패턴을 이용하는 침입 탐지 방법의 과정을 보여주는 흐름도이다. 한편 도 3은 컨텐츠 보드를 이용하여 침입 탐지 규칙을 적용하는 과정을 개념적으로 설명한 도면이고, 도 4는 침입 탐지 규칙을 정렬하고 이를 이용하여 패턴을 구성하는 방법을 개념적으로 설명한 도면이며, 도 5는 패턴 정보로부터 검사 결과를 얻어내는 과정을 보여주는 도면이다. 마지막으로 도 6은 IP 주소 매칭에 사용할 IP 주소 패턴을 구성하는 일 예를 보여주는 도면이다.
도 1을 참조하면, 페이로드 패턴과 IP 주소 패턴을 검사하는 컨텐츠부(110)와 그 외의 상세 필드를 검사하는 침입탐지부(100)로 이루어짐을 알 수 있다. 이하에서 컨텐츠 보드는 컨텐츠부와 동일한 의미로 사용한다.
컨텐츠부(110)는 PCI 혹은 API를 포함하는 표준 인터페이스를 침입탐지부(100)와 접속하기 위한 인터페이스 규격으로 가지면서, 시스템에 입력되는 패킷의 패턴 검사를 시행한다. 컨텐츠부(110)는 입력되는 패킷의 페이로드부분에 대한 매칭과 패킷의 IP 주소부분에 대한 매칭을 수행하게 되는데, 이 판단을 위한 자료는 침입탐지부(100)로부터 제공받는데, 이는 후술한다. 그 판단 결과 즉 페이로드가 매칭되거나 IP 주소부분이 매칭되면, 매칭된 규칙의 인덱스를 상기 침입탐지부(100)로 출력하여, 최종적으로 침입탐지부(100)가 결정하도록 한다.
침입탐지부(100)는 침입탐지 규칙들에서 상기 컨텐츠 보드(110)가 상기 패턴 검사를 시행할 수 있도록 적어도 하나 이상의 패턴과 그 패턴에 해당하는 규칙에 대한 인덱스를 각각 생성하여 제공하고, 상기 패턴 검사 결과를 입력받아 소정의 규칙 검사를 시행하여 시스템에 대한 침입 여부를 판단한다. 구체적으로 살펴보면, 규칙생성부(103)는 상기 침입탐지규칙들을 패턴을 가지는 규칙과 패턴을 가지지 않는 규칙으로 분류하고, 각 규칙에 인덱스를 부여한 후 상기 컨텐츠부로 출력함과 동시에 저장한다. 이 때 규칙생성부(103)는 상기 침입탐지 규칙들중에서 패턴을 가지지 않는 규칙은 IP 주소부분을 패턴화한다. 추출부(103)는 상기 패킷의 페이로드와 주소부분을 추출하여 상기 컨텐츠부로 출력한다. 그리고 검사부(105)는 상기 컨텐츠부(110)의 패턴 검사 결과를 입력받아 해당하는 규칙에 대한 검사를 시행하여 최종적으로 침입 여부를 결정한다. 이 경우 검사부(105)는 기 컨텐츠부가 제공하는 지정된 인덱스를 가지는 침입탐지 규칙에 대하여만 프로토콜과 옵션을 포함하는 세부 필드를 검사함으로써 부하가 줄어들게 된다.
이제 도 2를 참조하면서, 본 발명에 의한 침입 탐지 방법에 대하여 살펴본다. 침입탐지 규칙들에서 적어도 하나 이상의 패턴과 그 패턴에 해당하는 규칙에 대한 인덱스를 각각 생성한다. 이를 위하여 침입탐지규칙들을 패턴을 가지는 규칙, 즉 컨텐츠 검사 항목을 가지는 규칙과 패턴을 가지지 않는 규칙, 즉 컨텐츠 검사 항목을 가지지 않는 규칙으로 분류한 후 각각 분류된 규칙에 인덱스를 부여한다. 이 때, 침입탐지 규칙들 중에서 패턴을 가지지 않는 규칙은 IP 주소부분을 패턴화하되, IP 주소가 IPv4체계를 따르는 경우에는 출발지와 목적지 주소를 포함하는 64비트로 패턴화하되 넷마스크(netmask)를 적용한 형태로 하고, 상기 IP 주소가 IPv6체계를 따르는 경우에는 출발지와 목적지 주소를 포함하는 256비트로 패턴화하되, 프리픽스(prefix)가 적용된 형태로 하며, 이는 도 6을 참조하면서 설명하도록 한다(이상 S210).
그리고 입력되는 패킷을 수신하여 페이로드 부분와 IP 주소부분을 분리한다(S220). 컨텐츠부(110)는 상기 입력 패킷의 페이로드와 IP 주소부분에 대하여 상기 패턴에 기초하여 패턴 검사를 시행하여 그 결과를 상기 인덱스로 하여 생성한다(S230). 왜냐하면, 패턴 검사는 모든 패킷에 대하여 페이로드 패턴 검사와 주소 패턴 검사 양자에 대하여 수행되기 때문이다. 마지막으로 침입탐지부(100)는 상기 패턴 검사 결과를 입력받아 소정의 규칙 검사를 시행하여 시스템에 대한 침입 여부를 판단하되, 상기 패턴 결과 검사에 해당하는 침입탐지 규칙만을 대상으로 하여 프로토콜과 옵션을 포함하는 세부 필드를 검사한다(S240).
이와 같은 본 발명의 실시예를 종래 기술과 비교한 특징을 다시 한번 정리한다. 일반적인 침입 탐지 시스템은 모든 기능이 침입 탐지 모듈에서 이루어지지만 본 발명에서는 침입 탐지 시스템의 기능 중 패킷의 페이로드 부분의 패턴 매칭과 IP 주소에 대한 검사를 컨텐츠 보드를 이용하여 처리한다. 침입 탐지 기능 중 대부분의 부 하는 패턴 매칭 부분에서 발생하므로, 이들 매칭 기능을 별도의 하드웨어 기반의 컨텐츠 보드를 사용하여 처리할 경우 침입 탐지 기능의 부하를 상당 부분 줄여주어 성능 개선을 할 수 있다. 즉 패킷이 침입 탐지 장치에 들어오면, 패킷의 페이로드와 주소부분을 컨텐츠부로 전달하여 매칭되는 결과를 얻어오고, 침입탐지부는 이 결과에 해당하는 규칙만을 대상으로 프로토콜과 각 옵션등의 세부 필드를 검사하여 최종 검사를 수행한다.
도 3을 참조하면, 본 발명에 의한 침입 탐지 과정이 간략하게 표현되어 있다. 컨텐츠부(110)를 이용한 1차 검사 과정과 그 과정에서 나온 결과에 해당하는 규칙에 대해서만 프로토콜 및 각 프로토콜에 해당하는 세부 옵션 필드를 검사하는 2차 검사 과정이 있다. 대부분의 침입탐지 시스템의 경우 수천 혹은 수만 개의 침입탐지 규칙을 가지고 있다, 대부분 소프트웨어적으로 모든 패킷에 대해 이들 규칙들을 매번 적용한다는 것은 시스템에 많은 부하를 준다. 최적화 검색 알고리즘등을 통해 어느 정도 성능을 개선하기는 하지만 소프트웨어적인 적용에는 한계가 있다.이를 저렴하게 극복하는 방법이 패턴 매칭을 전용으로 제공하는 컨텐츠 보드를 이용하는 것이다. 컨텐츠 보드를 이용한 패턴 매칭 시간은 거의 실시간적이며 결정적(deterministic)으로 이루어지므로, 이를 이용하면 좀 더 빠른 검색 결과를 얻을 수 있으며, 비교적 안정적인 성능을 가질 수 있다. 1차 검사과정(310)은 검사할 침입탐지 규칙의 개수를 획기적으로 줄여 주는 기능을 하며 이 기능을 통해 성능을 개선하는 것이다. 패턴을 가지는 규칙에서 페이로드 패턴 매칭으로 걸러지는 규칙과 패턴을 가지지 않는 규칙에서 주소를 패턴화하여 주소까지 컨텐츠부를 이용하여 검사할 규칙을 1차로 선별한다. 이 과정에서 결과는 실시간으로 얻어지며, 이 과정에서 구체적으로 검사할 규칙의 수가 상당수 줄어들게 된다. 이제 줄어든 1차 검사 과정으로 나온 규칙에 대해서만 나머지 세부 옵션 필드를 검사하여 최종 검사 결과를 얻는다(320).
도 4는 본 발명에 의한 침입 탐지 방법을 적용하기 위하여 침입 탐지 규칙을 정렬하는 방법과 이들을 패턴화하는 방법을 보여준다. 보통 침입 탐지 규칙들은 파일 형태로 기술(401)되어 있고, 침입 탐지 시스템이 동작할 때, 이들 규칙 파일로부터 규칙을 읽어 들여 패턴 검사에 활용한다. 이때 본 발명에서는 침입 탐지 규칙들을 패턴을 가지는 규칙과 패턴을 가지지 않는 규칙으로 분류하여 내부적으로 보관하고 있는다(402). 이때 패턴을 가지는 규칙에서 패턴들만 골라내어 컨텐츠 보드에서 활용할 수 있도록 패턴화(403)하여 컨텐츠 보드에 입력한다.
컨텐츠부에 입력된 패턴이 매칭되었을 때, 어느 규칙에 해당하는 패턴이 매칭되었는지 알 수 있도록 규칙에 대한 인덱스 정보를 같이 입력해준다. 예를 들면, 침입 탐지 규칙이 정렬되어있는 순서를 인덱스로 할 경우 그 순서에 해당하는 위치와 그 규칙의 패턴 모두를 컨텐츠 보드에 입력한다. 이렇게 입력하여야만 컨텐츠 보드에서 매칭되었을 경우 매칭된 패턴에 대한 완전한 침입 탐지 규칙을 참조할 수 있다. 패턴을 가지지 않는 규칙의 경우에는 IP주소 부분을 패턴화(404)하여 앞의 경우와 마찬가지로 컨텐츠 보드에 입력한다. 이 과정을 통해 컨텐츠 보드는 침입 탐지 규칙에서 자기가 매칭할 정보를 설정하게 된다. 주소를 패턴화하는 과정은 도 5를 참조하면서 설명한다.
도 5는 실제 패킷이 입력되었을때, 컨텐츠부에서 검사하여 결과를 생성하는 과정을 보여준다. 패킷이 입력되면 침입탐지부(100)는 패킷의 페이로드 부분을 컨텐츠부(110)로 전달하여 페이로드에 대한 패턴 매칭을 수행한다(501). 컨텐츠부는 입력된 페이로드와 설정된 패턴정보를 바탕으로 매칭되는 정보를 출력한다(502). 이때 여러 개가 매칭될 수도 있다. 침입 탐지 규칙의 완전한 형태는 달라도 패턴이 같은 경우가 있을 수 있기 때문이다. 최종적인 검사 결과는 도 3의 2차 검사과정(320)에서 결정된다.
페이로드 매칭이 끝났으면 침입탐지부(100)는 패킷의 IP 주소 부분을 컨텐츠 보드에 전달한다. 컨텐츠부는 입력된 IP 주소와 설정된 IP 조소 패턴 정보를 바탕으로 매칭 검사를 수행(503)하여 매칭되는 정보를 출력한다(504). 이때도 마찬가지로 여러 개의 매칭 결과가 발생할 수도 있다. 침입 탐지 규칙에서 주소 정보는 주IPv4의 경우 넷마스크로, IPv6의 경우 프리픽스를 통해 주로 범위(range)로 설정될 수 있고, 해당 주소 영역에서 서로 다른 옵션들로 설정될 수 있으므로 여러 개의 매칭 결과가 발생한다. 따라서, 2차 검사 과정이 필요하다. 두 검사로 발생한 검사 결과는 완전한 침입 탐지 규칙에 대한 참조 정보이다. 따라서 이 과정 검사 후 도 3의 2차 검사 과정에서 이 결과에 해당하는 규칙에 대해서만 최종 검사를 수행하면 된다. 도 5의 과정으로 발생하는 매칭 정보는 전적으로 소프트웨어적으로 처리할 때 검사해야할 규칙의 수에 비해 상당히 줄어 있어, 침입탐지부가 검사해야 하는 부담이 상당히 감소하며, 이는 시스템의 성능 개선과 직결된다.
도 6은 IP 주소를 패턴화하는 과정을 보여주는 도면이다. IPv4 주소와 IPv6 주소는 생성되는 패턴의 크기만 다를뿐 패턴화 과정은 동일하다. 침입 탐지 규칙중에서 패턴이 없는 규칙들이 정렬될 때, 주소 부분만 골라내어 출발지 주소와 목적지 주소를 붙여 패턴화한다. 입려되는 주소값이 헥사(16진수)값이므로 헥사값으로 패턴을 구성한다. 주소는 주로 범위로 설정되는 경우가 많다. IPv4 주소는 넷마스크(netmask), IPv6 주소는 프레픽스(prefix)로 표현되며, 여기에 해당하는 값이 어떤 값이 와도 상관없도록 해 주어야 한다. 도 6에서는 한 바이트를 의미하면서 어떤 문자가 와도 상관없다는 의미로 “*”기호를 사용하였으나, 컨텐츠 보드마다 제공되는 이에 해당하는 기호를 사용하면 된다. 결국 도 6에 도시된 것처럼, IPv4주소는 64비트, IPv6주소는 256비트 크기의 패턴을 구성할 수 있다.
본 명세서에서 개시된 장치 및 방법에서 사용되는 기능은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.
이상에서와 같이 도면과 명세서에서 최적 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
이상에서 설명한 바와 같이, 본 발명에 의한 패턴을 이용하는 침입 탐지 장치 및 그 방법은 패킷이 입력될 때마다 모든 규칙에 대해 패킷의 유해 여부를 검사해야하는 과부하를 상당 부분 줄여주어 처리속도를 높일 수 있게 되므로, 고비용의 고사용 하드웨어 전용 시스템을 대체할 수 있는 비교적 저가의 효율적인 성능을 가지는 시스템의 구현이 가능해진다.
그리고 고사양의 하드웨어 전용 시스템에 비해 상당히 저비용으로 안정된 성능의 침입 탐지 시스템을 구현할 수 있다. 추가적인 비용은 PCI등과 같은 표준 인터페이스를 가지는 하드웨어 기반의 컨텐츠 보드 장착에 드는 비용뿐이며, 개발 환경 또한 컨텐츠 보드에서 제공하는 하이 레벨 및 로우 레벨 API를 이용하여 손쉬운 개발이 가능하게 된다.
특히 본 발명에서 제공하는 빠른 규칙 검색 방법을 통해 개선된 규칙 검색 시간으로 비용 대비 효율적인 시스템의 개발이 가능해진다.
Claims (18)
- 패킷의 페이로드부분에 대한 매칭과 패킷의 IP 주소부분에 대한 매칭 결과인 매칭된 침입 탐지 규칙의 인덱스를 입력받아 침입 탐지를 수행하는 장치에 있어서,침입탐지규칙들을 컨텐츠 검사 부분을 가지는 규칙과 컨텐츠 검사 부분을 가지지 않는 규칙으로 분류하고, 각 규칙에 인덱스를 부여한 후 상기 매칭을 수행하는 장치로 출력함과 동시에 저장하는 규칙생성부;상기 패킷의 페이로드와 주소부분을 추출하여 상기 장치로 출력하는 추출부; 및상기 인덱스를 기초로 해당하는 규칙에 대하여 검사하는 검사부;를 포함하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
- 제1항에 있어서, 상기 규칙생성부는상기 침입탐지 규칙들중에서 컨텐츠 검사 부분을 가지지 않는 규칙은 IP 주소부분을 패턴화하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
- 제1항에 있어서, 상기 검사부는상기 장치가 제공하는 지정된 인덱스에 해당하는 침입탐지 규칙에 대하여만 프로토콜과 옵션을 포함하는 세부 필드를 검사하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
- 적어도 하나 이상의 표준 인터페이스를 가지면서 시스템에 입력되는 패킷의 패턴 검사를 시행하는 컨텐츠부; 및침입탐지 규칙들에서 상기 컨텐츠부가 상기 패턴 검사를 시행할 수 있도록 적어도 하나 이상의 패턴과 그 패턴에 해당하는 규칙에 대한 인덱스를 각각 생성하여 제공하고, 상기 패턴 검사 결과를 입력받아 소정의 규칙 검사를 시행하여 시스템에 대한 침입 여부를 판단하는 침입탐지부;를 포함하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
- 제4항에 있어서, 상기 컨텐츠부는상기 패킷의 페이로드부분에 대한 매칭과 패킷의 IP 주소부분에 대한 매칭을 수행함으로써 상기 패턴 검사를 시행하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
- 제5항에 있어서, 상기 컨텐츠부는상기 페이로드가 매칭되거나 IP 주소부분이 매칭되면, 매칭된 규칙의 인덱스를 상기 침입탐지부로 출력하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
- 제4항에 있어서, 상기 컨텐츠부는PCI 혹은 API를 포함하는 표준 인터페이스를 인터페이스 규격으로 가지며 패턴 매칭을 수행하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
- 제4항에 있어서, 상기 침입탐지부는상기 침입탐지규칙들을 컨텐츠 검사 부분을 가지는 규칙과 컨텐츠 검사 부분을 가지지 않는 규칙으로 분류하고, 각 규칙에 인덱스를 부여한 후 상기 컨텐츠부로 출력함과 동시에 저장하는 규칙생성부;상기 패킷의 페이로드와 주소부분을 추출하여 상기 컨텐츠부로 출력하는 추출부; 및상기 컨텐츠부의 패턴 검사 결과를 입력받아 해당하는 규칙에 대하여 검사하는 검사부;를 포함하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
- 제8항에 있어서, 상기 규칙생성부는상기 침입탐지 규칙들중에서 컨텐츠 검사 부분을 가지지 않는 규칙은 IP 주소부분을 패턴화하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
- 제8항에 있어서, 상기 검사부는상기 컨텐츠부가 제공하는 지정된 인덱스에 해당하는 침입탐지 규칙에 대하여만 프로토콜과 옵션을 포함하는 세부 필드를 검사하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
- 제5항, 제6항, 또는 제9항 중 어느 한 항에 있어서,상기 IP 주소부분에 대한 패턴은 상기 IP 주소가 IPv4체계를 따르는 경우에는 출발지와 목적지 주소 그리고 넷마스크(netmask)가 적용된 형태의 64비트인 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
- 제5항, 제6항, 또는 제9항 중 어느 한 항에 있어서,상기 IP 주소부분에 대한 패턴은 상기 IP 주소가 IPv6체계를 따르는 경우에는 출발지와 목적지 주소 그리고 프레픽스(prefix)가 적용된 형태의 256비트인 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
- 패턴을 이용하는 침입탐지 장치에서 침입을 탐지하는 방법에 있어서,(a) 침입탐지 규칙들에서 적어도 하나 이상의 패턴과 그 패턴에 해당하는 규칙에 대한 인덱스를 각각 생성하고 입력 패킷을 수신하여 페이로드 부분과 IP 주소부분을 분리하는 단계;(b) 상기 입력 패킷의 페이로드와 IP 주소부분에 대하여 상기 패턴에 기초하여 패턴 검사를 시행하는 단계; 및(c) 상기 패턴 검사 결과를 입력받아 소정의 규칙 검사를 시행하여 시스템에 대한 침입 여부를 판단하는 단계;를 포함하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 방법.
- 제13항에 있어서, 상기 (a)단계는(a1) 상기 침입탐지규칙들을 컨텐츠 검사 부분을 가지는 규칙과 컨텐츠 검사 부분을 가지지 않는 규칙으로 분류하여 각각의 패턴을 구성하는 단계;(a2) 상기 분류된 규칙에 인덱스를 부여하는 단계; 및(a3) 입력 패킷에 대하여 페이로드와 IP 주소부분을 추출하는 단계;를 포함하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 방법.
- 제14항에 있어서, 상기 (a1)단계는(a11) 상기 침입탐지 규칙들중에서 컨텐츠 검사 부분을 가지지 않는 규칙은 IP 주소부분을 패턴화하는 단계;를 포함하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 방법.
- 제15항에 있어서, 상기 (a11)단계는(a111) 상기 IP 주소가 IPv4체계를 따르는 경우에는 출발지와 목적지 주소 그리고 넷마스크(netmask)를 적용하여 64비트로 패턴화하는 단계; 및(a112) 상기 IP 주소가 IPv6체계를 따르는 경우에는 출발지와 목적지 주소 그리고 프레픽스(prefix)를 적용하여 256비트로 패턴화하는 단계;를 포함하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 방법.
- 제13항에 있어서, 상기 (b)단계는상기 패턴 검사 결과를 상기 인덱스로 하여 생성하는 단계;를 포함하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 방법.
- 제13항에 있어서, 상기 (c)단계는상기 패턴 결과 검사에 해당하는 침입탐지 규칙만을 대상으로 하여 프로토콜과 옵션을 포함하는 세부 필드를 검사하여 침입 여부를 판단하는 단계;를 포함하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 방법.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060072649A KR100772523B1 (ko) | 2006-08-01 | 2006-08-01 | 패턴을 이용하는 침입 탐지 장치 및 그 방법 |
US11/829,935 US8015610B2 (en) | 2006-08-01 | 2007-07-29 | Intrusion detection apparatus and method using patterns |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060072649A KR100772523B1 (ko) | 2006-08-01 | 2006-08-01 | 패턴을 이용하는 침입 탐지 장치 및 그 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR100772523B1 true KR100772523B1 (ko) | 2007-11-01 |
Family
ID=39030783
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060072649A KR100772523B1 (ko) | 2006-08-01 | 2006-08-01 | 패턴을 이용하는 침입 탐지 장치 및 그 방법 |
Country Status (2)
Country | Link |
---|---|
US (1) | US8015610B2 (ko) |
KR (1) | KR100772523B1 (ko) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101270402B1 (ko) * | 2011-12-28 | 2013-06-07 | 한양대학교 산학협력단 | 인덱스를 생성하여 효율적인 고속 매칭 메커니즘을 제공하는 침입 탐지 시스템의 동작 방법 |
KR101287592B1 (ko) * | 2012-01-06 | 2014-03-19 | 한남대학교 산학협력단 | 패턴 매칭을 통한 네트워크 침입 탐지 장치 |
US9275224B2 (en) | 2013-10-18 | 2016-03-01 | Electronics And Telecommunications Research Institute | Apparatus and method for improving detection performance of intrusion detection system |
WO2016039491A1 (ko) * | 2014-09-11 | 2016-03-17 | 주식회사 코닉글로리 | 패킷과 시그니처 기반의 침입 탐지 장치 및 침입 탐지 방법 |
US9444828B2 (en) | 2012-11-01 | 2016-09-13 | Electronics And Telecommunications Reserach Institute | Network intrusion detection apparatus and method using Perl compatible regular expressions-based pattern matching technique |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101572691B (zh) * | 2008-04-30 | 2013-10-02 | 华为技术有限公司 | 一种入侵检测方法、系统和装置 |
KR101034389B1 (ko) * | 2009-04-22 | 2011-05-16 | (주) 시스메이트 | 패킷 내 시그니처 위치에 따른 시그니처 검색 방법 |
KR101414061B1 (ko) * | 2013-08-26 | 2014-07-04 | 한국전자통신연구원 | 침입탐지규칙 간의 유사도 측정 장치 및 그 방법 |
CN103731433A (zh) * | 2014-01-14 | 2014-04-16 | 上海交通大学 | 一种物联网攻击检测系统和攻击检测方法 |
US10380367B2 (en) * | 2017-07-27 | 2019-08-13 | Red Hat, Inc. | Dynamic access control of resources in a computing environment |
US10812507B2 (en) | 2018-12-15 | 2020-10-20 | KnowBe4, Inc. | System and methods for efficient combining of malware detection rules |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20020072618A (ko) * | 2001-03-12 | 2002-09-18 | (주)세보아 | 네트워크 기반 침입탐지 시스템 |
KR20060007581A (ko) * | 2004-07-20 | 2006-01-26 | 한국전자통신연구원 | 패킷 침입 탐지 규칙 간략화 장치 및 그 방법과 간략화된침입 탐지 규칙을 이용한 패킷 침입 탐지 장치 및 방법 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6279113B1 (en) * | 1998-03-16 | 2001-08-21 | Internet Tools, Inc. | Dynamic signature inspection-based network intrusion detection |
US20070192863A1 (en) * | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
US7424744B1 (en) * | 2002-03-05 | 2008-09-09 | Mcafee, Inc. | Signature based network intrusion detection system and method |
US6959297B2 (en) * | 2002-04-25 | 2005-10-25 | Winnow Technology, Llc | System and process for searching within a data stream using a pointer matrix and a trap matrix |
US7359962B2 (en) * | 2002-04-30 | 2008-04-15 | 3Com Corporation | Network security system integration |
US20040193943A1 (en) * | 2003-02-13 | 2004-09-30 | Robert Angelino | Multiparameter network fault detection system using probabilistic and aggregation analysis |
US7681235B2 (en) * | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
EP1828919A2 (en) * | 2004-11-30 | 2007-09-05 | Sensoy Networks Inc. | Apparatus and method for acceleration of security applications through pre-filtering |
US7602731B2 (en) * | 2004-12-22 | 2009-10-13 | Intruguard Devices, Inc. | System and method for integrated header, state, rate and content anomaly prevention with policy enforcement |
US7703138B2 (en) * | 2004-12-29 | 2010-04-20 | Intel Corporation | Use of application signature to identify trusted traffic |
US7499412B2 (en) * | 2005-07-01 | 2009-03-03 | Net Optics, Inc. | Active packet content analyzer for communications network |
US8015605B2 (en) * | 2005-08-29 | 2011-09-06 | Wisconsin Alumni Research Foundation | Scalable monitor of malicious network traffic |
KR100738567B1 (ko) * | 2006-02-01 | 2007-07-11 | 삼성전자주식회사 | 동적 네트워크 보안 시스템 및 그 제어방법 |
WO2007103397A2 (en) * | 2006-03-07 | 2007-09-13 | The Regents Of The University Of California | Pattern matching technique for high throughput network processing |
US20070289013A1 (en) * | 2006-06-08 | 2007-12-13 | Keng Leng Albert Lim | Method and system for anomaly detection using a collective set of unsupervised machine-learning algorithms |
-
2006
- 2006-08-01 KR KR1020060072649A patent/KR100772523B1/ko not_active IP Right Cessation
-
2007
- 2007-07-29 US US11/829,935 patent/US8015610B2/en not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20020072618A (ko) * | 2001-03-12 | 2002-09-18 | (주)세보아 | 네트워크 기반 침입탐지 시스템 |
KR20060007581A (ko) * | 2004-07-20 | 2006-01-26 | 한국전자통신연구원 | 패킷 침입 탐지 규칙 간략화 장치 및 그 방법과 간략화된침입 탐지 규칙을 이용한 패킷 침입 탐지 장치 및 방법 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101270402B1 (ko) * | 2011-12-28 | 2013-06-07 | 한양대학교 산학협력단 | 인덱스를 생성하여 효율적인 고속 매칭 메커니즘을 제공하는 침입 탐지 시스템의 동작 방법 |
KR101287592B1 (ko) * | 2012-01-06 | 2014-03-19 | 한남대학교 산학협력단 | 패턴 매칭을 통한 네트워크 침입 탐지 장치 |
US9444828B2 (en) | 2012-11-01 | 2016-09-13 | Electronics And Telecommunications Reserach Institute | Network intrusion detection apparatus and method using Perl compatible regular expressions-based pattern matching technique |
US9275224B2 (en) | 2013-10-18 | 2016-03-01 | Electronics And Telecommunications Research Institute | Apparatus and method for improving detection performance of intrusion detection system |
WO2016039491A1 (ko) * | 2014-09-11 | 2016-03-17 | 주식회사 코닉글로리 | 패킷과 시그니처 기반의 침입 탐지 장치 및 침입 탐지 방법 |
Also Published As
Publication number | Publication date |
---|---|
US8015610B2 (en) | 2011-09-06 |
US20080034433A1 (en) | 2008-02-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100772523B1 (ko) | 패턴을 이용하는 침입 탐지 장치 및 그 방법 | |
US7685637B2 (en) | System security approaches using sub-expression automata | |
CN109800258B (zh) | 数据文件部署方法、装置、计算机设备及存储介质 | |
CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
US11418485B2 (en) | Pattern-based malicious URL detection | |
US11212297B2 (en) | Access classification device, access classification method, and recording medium | |
EP3287909B1 (en) | Access classification device, access classification method, and access classification program | |
US8543528B2 (en) | Exploitation of transition rule sharing based on short state tags to improve the storage efficiency | |
CN106384048A (zh) | 一种威胁信息处理方法与装置 | |
CN113961919B (zh) | 恶意软件检测方法和装置 | |
US7216364B2 (en) | System security approaches using state tables | |
US20180121544A1 (en) | Apparatus and method for enhancing regular expression search performance through cost-based optimization technique | |
CN115695031A (zh) | 主机失陷检测方法、装置及设备 | |
CN105187439A (zh) | 钓鱼网站检测方法及装置 | |
CN111026455A (zh) | 插件生成方法、电子设备及存储介质 | |
US20100205411A1 (en) | Handling complex regex patterns storage-efficiently using the local result processor | |
CN112583827A (zh) | 一种数据泄露检测方法及装置 | |
CN115357513B (zh) | 程序模糊测试方法、装置、设备及存储介质 | |
JP6750674B2 (ja) | プログラム分析システム、プログラム分析方法、及び、コンピュータ・プログラム | |
US11748476B2 (en) | Conversion device and conversion program | |
US20120110207A1 (en) | Embedding zone identifiers in ip addresses | |
CN114816895A (zh) | 处理告警日志的方法、装置及存储介质 | |
KR102229554B1 (ko) | 해시 키 생성 방법 및 그 장치 | |
CN113794692B (zh) | 攻击溯源装置、方法与系统及代理链路表学习装置和方法 | |
US20230269269A1 (en) | System and method for detecting patterns in structured fields of network traffic packets |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20121011 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20130923 Year of fee payment: 7 |
|
LAPS | Lapse due to unpaid annual fee |