KR100772523B1 - 패턴을 이용하는 침입 탐지 장치 및 그 방법 - Google Patents

패턴을 이용하는 침입 탐지 장치 및 그 방법 Download PDF

Info

Publication number
KR100772523B1
KR100772523B1 KR1020060072649A KR20060072649A KR100772523B1 KR 100772523 B1 KR100772523 B1 KR 100772523B1 KR 1020060072649 A KR1020060072649 A KR 1020060072649A KR 20060072649 A KR20060072649 A KR 20060072649A KR 100772523 B1 KR100772523 B1 KR 100772523B1
Authority
KR
South Korea
Prior art keywords
intrusion detection
pattern
rule
content
unit
Prior art date
Application number
KR1020060072649A
Other languages
English (en)
Inventor
임재덕
김영호
류승호
정보흥
김기영
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020060072649A priority Critical patent/KR100772523B1/ko
Priority to US11/829,935 priority patent/US8015610B2/en
Application granted granted Critical
Publication of KR100772523B1 publication Critical patent/KR100772523B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Abstract

본 발명에 의한 패턴을 이용하는 침입 탐지 장치 및 그 방법은 패킷의 페이로드부분에 대한 매칭과 패킷의 IP 주소부분에 대한 매칭 결과인 매칭된 침입 탐지 규칙의 인덱스를 입력받아 침입 탐지를 수행하는 장치에 있어서, 침입탐지규칙들을 컨텐츠 검사 부분을 가지는 규칙과 컨텐츠 검사 부분을 가지지 않는 규칙으로 분류하고, 각 규칙에 인덱스를 부여한 후 상기 매칭을 수행하는 장치로 출력함과 동시에 저장하는 규칙생성부; 상기 패킷의 페이로드와 주소부분을 추출하여 상기 장치로 출력하는 추출부; 및 상기 인덱스를 기초로 해당하는 규칙에 대하여 검사하는 검사부;를 포함하는 것을 특징으로 하며, 패킷이 입력될 때마다 모든 규칙에 대해 패킷의 유해 여부를 검사해야하는 과부하를 상당 부분 줄여주어 처리속도를 높일 수 있게 되므로, 고비용의 고사용 하드웨어 전용 시스템을 대체할 수 있는 비교적 저가의 효율적인 성능을 가지는 시스템의 구현이 가능해진다.
침입 탐지

Description

패턴을 이용하는 침입 탐지 장치 및 그 방법{Apparatus for detecting intrusion using pattern and method thereof}
도 1은 본 발명에 의한 패턴을 이용하는 침입 탐지 장치의 구성을 보여주는 블록도이다.
도 2는 본 발명에 의한 패턴을 이용하는 침입 탐지 방법의 과정을 보여주는 흐름도이다.
도 3은 컨텐츠 보드를 이용하여 침입 탐지 규칙을 적용하는 과정을 개념적으로 설명한 도면이다.
도 4는 침입 탐지 규칙을 정렬하고 이를 이용하여 패턴을 구성하는 방법을 개념적으로 설명한 도면이다.
도 5는 패턴 정보로부터 검사 결과를 얻어내는 과정을 보여주는 도면이다.
도 6은 IP 주소 매칭에 사용할 IP 주소 패턴을 구성하는 일 예를 보여주는 도면이다.
본 발명은 저가 및 저사양의 침입 탐지 시스템에서 하드웨어 기반의 컨텐츠 보드를 이용하여 침입탐지 성능을 개선하는 장치 및 그 방법에 관한 것으로서, 보다 상세하게는 저가의 표준 인터페이스(예를 들면, PCI)를 가지는 상용 하드웨어 기반의 컨텐츠 보드를 이용하여 저비용으로 페이로드 매칭과 IP 주소 매칭을 수행하는 패턴 매칭을 통하여 침입 탐지를 수행하는 장치 및 방법에 관한 것이다.
침입 탐지 시스템을 구성하는데 있어서, 고가 및 고사용의 시스템에서는 침입 탐지 알고리즘이나 그 외의 기능을 ASIC 이나 마이크로 코딩등을 통해 하드웨어화하여 성능을 극대화할 수 있다. 하지만, 이런 시스템의 사용을 위해서는 매우 많은 비용을 요구하고 있어 중소기업이나 소호(SOHO) 업체등이 수용하기에는 무리가 있다.
현재 침입 탐지 시스템의 경향은 라인 스피드 성능을 요구하고 있고, 실제로 이런 성능을 가지는 제품들이 소개되고 있지만, 중소기업이나 소호 환경에서 구입하여 사용하기에는 비용적인 부담이 너무 크다. 실제로 이런 시스템은 패킷 디코딩 및 매칭 알고리즘등을 AISC 에 구현하고, 좀 더 빠른 매칭을 위해 고가의 TCAM 같은 메모리를 사용한다. 반면 소프트웨어 기반의 침입 탐지 시스템이 중저가 시장을 위해 소개되고 있지만 성능이 만족스럽지 못한 문제점이 있다.
본 발명이 이루고자 하는 기술적 과제는 상기의 문제점을 해결하기 위하여 안출된 것으로서, 저가의 표준 인터페이스를 가지는 상용 하드웨어 기반의 컨텐츠 보드를 이용하여, 그 컨텐츠 보드가 제공하는 정규 표현식을 이용하여 컨텐츠 매칭 범위를 패키의 페이로드에 한정하지 않고, IP 주소까지 확대하여 그 매칭 결과를 이용하여 보다 빠르고 정확하게 침입여부를 탐지할 수 있는 장치 및 방법을 제공하는데 있다.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 패턴을 이용하는 침입 탐지 장치는 패킷의 페이로드부분에 대한 매칭과 패킷의 IP 주소부분에 대한 매칭 결과인 매칭된 침입 탐지 규칙의 인덱스를 입력받아 침입 탐지를 수행하는 장치에 있어서, 침입탐지규칙들을 컨텐츠 검사 부분을 가지는 규칙과 컨텐츠 검사 부분을 가지지 않는 규칙으로 분류하고, 각 규칙에 인덱스를 부여한 후 상기 매칭을 수행하는 장치로 출력함과 동시에 저장하는 규칙생성부; 상기 패킷의 페이로드와 주소부분을 추출하여 상기 장치로 출력하는 추출부; 및 상기 인덱스를 기초로 해당하는 규칙에 대하여 검사하는 검사부;를 포함하는 것을 특징으로 한다.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 패턴을 이용하는 침입 탐지 장치는 적어도 하나 이상의 표준 인터페이스를 가지면서 시스템에 입력되는 패킷의 패턴 검사를 시행하는 컨텐츠부; 및 침입탐지 규칙들에서 상기 컨텐츠 보드가 상기 패턴 검사를 시행할 수 있도록 적어도 하나 이상의 패턴과 그 패턴에 해당하는 규칙에 대한 인덱스를 각각 생성하여 제공하고, 상기 패턴 검사 결과를 입력받아 소정의 규칙 검사를 시행하여 시스템에 대한 침입 여부를 판단하는 침입탐지부;를 포함하는 것을 특징으로 한다.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 패턴을 이용하는 침입 탐지 방법은 패턴을 이용하는 침입탐지 장치에서 침입을 탐지하는 방법에 있어서, 침입탐지 규칙들에서 적어도 하나 이상의 패턴과 그 패턴에 해당하는 규칙에 대한 인덱스를 각각 생성하고 입력 패킷을 수신하여 페이로드 부분과 IP 주소부분을 분리하는 단계; 상기 입력 패킷의 페이로드와 IP 주소부분에 대하여 상기 패턴에 기초하여 패턴 검사를 시행하는 단계; 및 상기 패턴 검사 결과를 입력받아 소정의 규칙 검사를 시행하여 시스템에 대한 침입 여부를 판단하는 단계;를 포함하는 것을 특징으로 한다.
첨부한 도면을 참조하여 본 발명의 바람직한 일 실시예를 상세하게 설명하도록 한다. 도 1은 본 발명에 의한 패턴을 이용하는 침입 탐지 장치의 구성을 보여주는 블록도이고, 도 2는 본 발명에 의한 패턴을 이용하는 침입 탐지 방법의 과정을 보여주는 흐름도이다. 한편 도 3은 컨텐츠 보드를 이용하여 침입 탐지 규칙을 적용하는 과정을 개념적으로 설명한 도면이고, 도 4는 침입 탐지 규칙을 정렬하고 이를 이용하여 패턴을 구성하는 방법을 개념적으로 설명한 도면이며, 도 5는 패턴 정보로부터 검사 결과를 얻어내는 과정을 보여주는 도면이다. 마지막으로 도 6은 IP 주소 매칭에 사용할 IP 주소 패턴을 구성하는 일 예를 보여주는 도면이다.
도 1을 참조하면, 페이로드 패턴과 IP 주소 패턴을 검사하는 컨텐츠부(110)와 그 외의 상세 필드를 검사하는 침입탐지부(100)로 이루어짐을 알 수 있다. 이하에서 컨텐츠 보드는 컨텐츠부와 동일한 의미로 사용한다.
컨텐츠부(110)는 PCI 혹은 API를 포함하는 표준 인터페이스를 침입탐지부(100)와 접속하기 위한 인터페이스 규격으로 가지면서, 시스템에 입력되는 패킷의 패턴 검사를 시행한다. 컨텐츠부(110)는 입력되는 패킷의 페이로드부분에 대한 매칭과 패킷의 IP 주소부분에 대한 매칭을 수행하게 되는데, 이 판단을 위한 자료는 침입탐지부(100)로부터 제공받는데, 이는 후술한다. 그 판단 결과 즉 페이로드가 매칭되거나 IP 주소부분이 매칭되면, 매칭된 규칙의 인덱스를 상기 침입탐지부(100)로 출력하여, 최종적으로 침입탐지부(100)가 결정하도록 한다.
침입탐지부(100)는 침입탐지 규칙들에서 상기 컨텐츠 보드(110)가 상기 패턴 검사를 시행할 수 있도록 적어도 하나 이상의 패턴과 그 패턴에 해당하는 규칙에 대한 인덱스를 각각 생성하여 제공하고, 상기 패턴 검사 결과를 입력받아 소정의 규칙 검사를 시행하여 시스템에 대한 침입 여부를 판단한다. 구체적으로 살펴보면, 규칙생성부(103)는 상기 침입탐지규칙들을 패턴을 가지는 규칙과 패턴을 가지지 않는 규칙으로 분류하고, 각 규칙에 인덱스를 부여한 후 상기 컨텐츠부로 출력함과 동시에 저장한다. 이 때 규칙생성부(103)는 상기 침입탐지 규칙들중에서 패턴을 가지지 않는 규칙은 IP 주소부분을 패턴화한다. 추출부(103)는 상기 패킷의 페이로드와 주소부분을 추출하여 상기 컨텐츠부로 출력한다. 그리고 검사부(105)는 상기 컨텐츠부(110)의 패턴 검사 결과를 입력받아 해당하는 규칙에 대한 검사를 시행하여 최종적으로 침입 여부를 결정한다. 이 경우 검사부(105)는 기 컨텐츠부가 제공하는 지정된 인덱스를 가지는 침입탐지 규칙에 대하여만 프로토콜과 옵션을 포함하는 세부 필드를 검사함으로써 부하가 줄어들게 된다.
이제 도 2를 참조하면서, 본 발명에 의한 침입 탐지 방법에 대하여 살펴본다. 침입탐지 규칙들에서 적어도 하나 이상의 패턴과 그 패턴에 해당하는 규칙에 대한 인덱스를 각각 생성한다. 이를 위하여 침입탐지규칙들을 패턴을 가지는 규칙, 즉 컨텐츠 검사 항목을 가지는 규칙과 패턴을 가지지 않는 규칙, 즉 컨텐츠 검사 항목을 가지지 않는 규칙으로 분류한 후 각각 분류된 규칙에 인덱스를 부여한다. 이 때, 침입탐지 규칙들 중에서 패턴을 가지지 않는 규칙은 IP 주소부분을 패턴화하되, IP 주소가 IPv4체계를 따르는 경우에는 출발지와 목적지 주소를 포함하는 64비트로 패턴화하되 넷마스크(netmask)를 적용한 형태로 하고, 상기 IP 주소가 IPv6체계를 따르는 경우에는 출발지와 목적지 주소를 포함하는 256비트로 패턴화하되, 프리픽스(prefix)가 적용된 형태로 하며, 이는 도 6을 참조하면서 설명하도록 한다(이상 S210).
그리고 입력되는 패킷을 수신하여 페이로드 부분와 IP 주소부분을 분리한다(S220). 컨텐츠부(110)는 상기 입력 패킷의 페이로드와 IP 주소부분에 대하여 상기 패턴에 기초하여 패턴 검사를 시행하여 그 결과를 상기 인덱스로 하여 생성한다(S230). 왜냐하면, 패턴 검사는 모든 패킷에 대하여 페이로드 패턴 검사와 주소 패턴 검사 양자에 대하여 수행되기 때문이다. 마지막으로 침입탐지부(100)는 상기 패턴 검사 결과를 입력받아 소정의 규칙 검사를 시행하여 시스템에 대한 침입 여부를 판단하되, 상기 패턴 결과 검사에 해당하는 침입탐지 규칙만을 대상으로 하여 프로토콜과 옵션을 포함하는 세부 필드를 검사한다(S240).
이와 같은 본 발명의 실시예를 종래 기술과 비교한 특징을 다시 한번 정리한다. 일반적인 침입 탐지 시스템은 모든 기능이 침입 탐지 모듈에서 이루어지지만 본 발명에서는 침입 탐지 시스템의 기능 중 패킷의 페이로드 부분의 패턴 매칭과 IP 주소에 대한 검사를 컨텐츠 보드를 이용하여 처리한다. 침입 탐지 기능 중 대부분의 부 하는 패턴 매칭 부분에서 발생하므로, 이들 매칭 기능을 별도의 하드웨어 기반의 컨텐츠 보드를 사용하여 처리할 경우 침입 탐지 기능의 부하를 상당 부분 줄여주어 성능 개선을 할 수 있다. 즉 패킷이 침입 탐지 장치에 들어오면, 패킷의 페이로드와 주소부분을 컨텐츠부로 전달하여 매칭되는 결과를 얻어오고, 침입탐지부는 이 결과에 해당하는 규칙만을 대상으로 프로토콜과 각 옵션등의 세부 필드를 검사하여 최종 검사를 수행한다.
도 3을 참조하면, 본 발명에 의한 침입 탐지 과정이 간략하게 표현되어 있다. 컨텐츠부(110)를 이용한 1차 검사 과정과 그 과정에서 나온 결과에 해당하는 규칙에 대해서만 프로토콜 및 각 프로토콜에 해당하는 세부 옵션 필드를 검사하는 2차 검사 과정이 있다. 대부분의 침입탐지 시스템의 경우 수천 혹은 수만 개의 침입탐지 규칙을 가지고 있다, 대부분 소프트웨어적으로 모든 패킷에 대해 이들 규칙들을 매번 적용한다는 것은 시스템에 많은 부하를 준다. 최적화 검색 알고리즘등을 통해 어느 정도 성능을 개선하기는 하지만 소프트웨어적인 적용에는 한계가 있다.이를 저렴하게 극복하는 방법이 패턴 매칭을 전용으로 제공하는 컨텐츠 보드를 이용하는 것이다. 컨텐츠 보드를 이용한 패턴 매칭 시간은 거의 실시간적이며 결정적(deterministic)으로 이루어지므로, 이를 이용하면 좀 더 빠른 검색 결과를 얻을 수 있으며, 비교적 안정적인 성능을 가질 수 있다. 1차 검사과정(310)은 검사할 침입탐지 규칙의 개수를 획기적으로 줄여 주는 기능을 하며 이 기능을 통해 성능을 개선하는 것이다. 패턴을 가지는 규칙에서 페이로드 패턴 매칭으로 걸러지는 규칙과 패턴을 가지지 않는 규칙에서 주소를 패턴화하여 주소까지 컨텐츠부를 이용하여 검사할 규칙을 1차로 선별한다. 이 과정에서 결과는 실시간으로 얻어지며, 이 과정에서 구체적으로 검사할 규칙의 수가 상당수 줄어들게 된다. 이제 줄어든 1차 검사 과정으로 나온 규칙에 대해서만 나머지 세부 옵션 필드를 검사하여 최종 검사 결과를 얻는다(320).
도 4는 본 발명에 의한 침입 탐지 방법을 적용하기 위하여 침입 탐지 규칙을 정렬하는 방법과 이들을 패턴화하는 방법을 보여준다. 보통 침입 탐지 규칙들은 파일 형태로 기술(401)되어 있고, 침입 탐지 시스템이 동작할 때, 이들 규칙 파일로부터 규칙을 읽어 들여 패턴 검사에 활용한다. 이때 본 발명에서는 침입 탐지 규칙들을 패턴을 가지는 규칙과 패턴을 가지지 않는 규칙으로 분류하여 내부적으로 보관하고 있는다(402). 이때 패턴을 가지는 규칙에서 패턴들만 골라내어 컨텐츠 보드에서 활용할 수 있도록 패턴화(403)하여 컨텐츠 보드에 입력한다.
컨텐츠부에 입력된 패턴이 매칭되었을 때, 어느 규칙에 해당하는 패턴이 매칭되었는지 알 수 있도록 규칙에 대한 인덱스 정보를 같이 입력해준다. 예를 들면, 침입 탐지 규칙이 정렬되어있는 순서를 인덱스로 할 경우 그 순서에 해당하는 위치와 그 규칙의 패턴 모두를 컨텐츠 보드에 입력한다. 이렇게 입력하여야만 컨텐츠 보드에서 매칭되었을 경우 매칭된 패턴에 대한 완전한 침입 탐지 규칙을 참조할 수 있다. 패턴을 가지지 않는 규칙의 경우에는 IP주소 부분을 패턴화(404)하여 앞의 경우와 마찬가지로 컨텐츠 보드에 입력한다. 이 과정을 통해 컨텐츠 보드는 침입 탐지 규칙에서 자기가 매칭할 정보를 설정하게 된다. 주소를 패턴화하는 과정은 도 5를 참조하면서 설명한다.
도 5는 실제 패킷이 입력되었을때, 컨텐츠부에서 검사하여 결과를 생성하는 과정을 보여준다. 패킷이 입력되면 침입탐지부(100)는 패킷의 페이로드 부분을 컨텐츠부(110)로 전달하여 페이로드에 대한 패턴 매칭을 수행한다(501). 컨텐츠부는 입력된 페이로드와 설정된 패턴정보를 바탕으로 매칭되는 정보를 출력한다(502). 이때 여러 개가 매칭될 수도 있다. 침입 탐지 규칙의 완전한 형태는 달라도 패턴이 같은 경우가 있을 수 있기 때문이다. 최종적인 검사 결과는 도 3의 2차 검사과정(320)에서 결정된다.
페이로드 매칭이 끝났으면 침입탐지부(100)는 패킷의 IP 주소 부분을 컨텐츠 보드에 전달한다. 컨텐츠부는 입력된 IP 주소와 설정된 IP 조소 패턴 정보를 바탕으로 매칭 검사를 수행(503)하여 매칭되는 정보를 출력한다(504). 이때도 마찬가지로 여러 개의 매칭 결과가 발생할 수도 있다. 침입 탐지 규칙에서 주소 정보는 주IPv4의 경우 넷마스크로, IPv6의 경우 프리픽스를 통해 주로 범위(range)로 설정될 수 있고, 해당 주소 영역에서 서로 다른 옵션들로 설정될 수 있으므로 여러 개의 매칭 결과가 발생한다. 따라서, 2차 검사 과정이 필요하다. 두 검사로 발생한 검사 결과는 완전한 침입 탐지 규칙에 대한 참조 정보이다. 따라서 이 과정 검사 후 도 3의 2차 검사 과정에서 이 결과에 해당하는 규칙에 대해서만 최종 검사를 수행하면 된다. 도 5의 과정으로 발생하는 매칭 정보는 전적으로 소프트웨어적으로 처리할 때 검사해야할 규칙의 수에 비해 상당히 줄어 있어, 침입탐지부가 검사해야 하는 부담이 상당히 감소하며, 이는 시스템의 성능 개선과 직결된다.
도 6은 IP 주소를 패턴화하는 과정을 보여주는 도면이다. IPv4 주소와 IPv6 주소는 생성되는 패턴의 크기만 다를뿐 패턴화 과정은 동일하다. 침입 탐지 규칙중에서 패턴이 없는 규칙들이 정렬될 때, 주소 부분만 골라내어 출발지 주소와 목적지 주소를 붙여 패턴화한다. 입려되는 주소값이 헥사(16진수)값이므로 헥사값으로 패턴을 구성한다. 주소는 주로 범위로 설정되는 경우가 많다. IPv4 주소는 넷마스크(netmask), IPv6 주소는 프레픽스(prefix)로 표현되며, 여기에 해당하는 값이 어떤 값이 와도 상관없도록 해 주어야 한다. 도 6에서는 한 바이트를 의미하면서 어떤 문자가 와도 상관없다는 의미로 “*”기호를 사용하였으나, 컨텐츠 보드마다 제공되는 이에 해당하는 기호를 사용하면 된다. 결국 도 6에 도시된 것처럼, IPv4주소는 64비트, IPv6주소는 256비트 크기의 패턴을 구성할 수 있다.
본 명세서에서 개시된 장치 및 방법에서 사용되는 기능은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.
이상에서와 같이 도면과 명세서에서 최적 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
이상에서 설명한 바와 같이, 본 발명에 의한 패턴을 이용하는 침입 탐지 장치 및 그 방법은 패킷이 입력될 때마다 모든 규칙에 대해 패킷의 유해 여부를 검사해야하는 과부하를 상당 부분 줄여주어 처리속도를 높일 수 있게 되므로, 고비용의 고사용 하드웨어 전용 시스템을 대체할 수 있는 비교적 저가의 효율적인 성능을 가지는 시스템의 구현이 가능해진다.
그리고 고사양의 하드웨어 전용 시스템에 비해 상당히 저비용으로 안정된 성능의 침입 탐지 시스템을 구현할 수 있다. 추가적인 비용은 PCI등과 같은 표준 인터페이스를 가지는 하드웨어 기반의 컨텐츠 보드 장착에 드는 비용뿐이며, 개발 환경 또한 컨텐츠 보드에서 제공하는 하이 레벨 및 로우 레벨 API를 이용하여 손쉬운 개발이 가능하게 된다.
특히 본 발명에서 제공하는 빠른 규칙 검색 방법을 통해 개선된 규칙 검색 시간으로 비용 대비 효율적인 시스템의 개발이 가능해진다.

Claims (18)

  1. 패킷의 페이로드부분에 대한 매칭과 패킷의 IP 주소부분에 대한 매칭 결과인 매칭된 침입 탐지 규칙의 인덱스를 입력받아 침입 탐지를 수행하는 장치에 있어서,
    침입탐지규칙들을 컨텐츠 검사 부분을 가지는 규칙과 컨텐츠 검사 부분을 가지지 않는 규칙으로 분류하고, 각 규칙에 인덱스를 부여한 후 상기 매칭을 수행하는 장치로 출력함과 동시에 저장하는 규칙생성부;
    상기 패킷의 페이로드와 주소부분을 추출하여 상기 장치로 출력하는 추출부; 및
    상기 인덱스를 기초로 해당하는 규칙에 대하여 검사하는 검사부;를 포함하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
  2. 제1항에 있어서, 상기 규칙생성부는
    상기 침입탐지 규칙들중에서 컨텐츠 검사 부분을 가지지 않는 규칙은 IP 주소부분을 패턴화하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
  3. 제1항에 있어서, 상기 검사부는
    상기 장치가 제공하는 지정된 인덱스에 해당하는 침입탐지 규칙에 대하여만 프로토콜과 옵션을 포함하는 세부 필드를 검사하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
  4. 적어도 하나 이상의 표준 인터페이스를 가지면서 시스템에 입력되는 패킷의 패턴 검사를 시행하는 컨텐츠부; 및
    침입탐지 규칙들에서 상기 컨텐츠부가 상기 패턴 검사를 시행할 수 있도록 적어도 하나 이상의 패턴과 그 패턴에 해당하는 규칙에 대한 인덱스를 각각 생성하여 제공하고, 상기 패턴 검사 결과를 입력받아 소정의 규칙 검사를 시행하여 시스템에 대한 침입 여부를 판단하는 침입탐지부;를 포함하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
  5. 제4항에 있어서, 상기 컨텐츠부는
    상기 패킷의 페이로드부분에 대한 매칭과 패킷의 IP 주소부분에 대한 매칭을 수행함으로써 상기 패턴 검사를 시행하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
  6. 제5항에 있어서, 상기 컨텐츠부는
    상기 페이로드가 매칭되거나 IP 주소부분이 매칭되면, 매칭된 규칙의 인덱스를 상기 침입탐지부로 출력하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
  7. 제4항에 있어서, 상기 컨텐츠부는
    PCI 혹은 API를 포함하는 표준 인터페이스를 인터페이스 규격으로 가지며 패턴 매칭을 수행하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
  8. 제4항에 있어서, 상기 침입탐지부는
    상기 침입탐지규칙들을 컨텐츠 검사 부분을 가지는 규칙과 컨텐츠 검사 부분을 가지지 않는 규칙으로 분류하고, 각 규칙에 인덱스를 부여한 후 상기 컨텐츠부로 출력함과 동시에 저장하는 규칙생성부;
    상기 패킷의 페이로드와 주소부분을 추출하여 상기 컨텐츠부로 출력하는 추출부; 및
    상기 컨텐츠부의 패턴 검사 결과를 입력받아 해당하는 규칙에 대하여 검사하는 검사부;를 포함하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
  9. 제8항에 있어서, 상기 규칙생성부는
    상기 침입탐지 규칙들중에서 컨텐츠 검사 부분을 가지지 않는 규칙은 IP 주소부분을 패턴화하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
  10. 제8항에 있어서, 상기 검사부는
    상기 컨텐츠부가 제공하는 지정된 인덱스에 해당하는 침입탐지 규칙에 대하여만 프로토콜과 옵션을 포함하는 세부 필드를 검사하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
  11. 제5항, 제6항, 또는 제9항 중 어느 한 항에 있어서,
    상기 IP 주소부분에 대한 패턴은 상기 IP 주소가 IPv4체계를 따르는 경우에는 출발지와 목적지 주소 그리고 넷마스크(netmask)가 적용된 형태의 64비트인 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
  12. 제5항, 제6항, 또는 제9항 중 어느 한 항에 있어서,
    상기 IP 주소부분에 대한 패턴은 상기 IP 주소가 IPv6체계를 따르는 경우에는 출발지와 목적지 주소 그리고 프레픽스(prefix)가 적용된 형태의 256비트인 것을 특징으로 하는 패턴을 이용하는 침입탐지 장치.
  13. 패턴을 이용하는 침입탐지 장치에서 침입을 탐지하는 방법에 있어서,
    (a) 침입탐지 규칙들에서 적어도 하나 이상의 패턴과 그 패턴에 해당하는 규칙에 대한 인덱스를 각각 생성하고 입력 패킷을 수신하여 페이로드 부분과 IP 주소부분을 분리하는 단계;
    (b) 상기 입력 패킷의 페이로드와 IP 주소부분에 대하여 상기 패턴에 기초하여 패턴 검사를 시행하는 단계; 및
    (c) 상기 패턴 검사 결과를 입력받아 소정의 규칙 검사를 시행하여 시스템에 대한 침입 여부를 판단하는 단계;를 포함하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 방법.
  14. 제13항에 있어서, 상기 (a)단계는
    (a1) 상기 침입탐지규칙들을 컨텐츠 검사 부분을 가지는 규칙과 컨텐츠 검사 부분을 가지지 않는 규칙으로 분류하여 각각의 패턴을 구성하는 단계;
    (a2) 상기 분류된 규칙에 인덱스를 부여하는 단계; 및
    (a3) 입력 패킷에 대하여 페이로드와 IP 주소부분을 추출하는 단계;를 포함하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 방법.
  15. 제14항에 있어서, 상기 (a1)단계는
    (a11) 상기 침입탐지 규칙들중에서 컨텐츠 검사 부분을 가지지 않는 규칙은 IP 주소부분을 패턴화하는 단계;를 포함하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 방법.
  16. 제15항에 있어서, 상기 (a11)단계는
    (a111) 상기 IP 주소가 IPv4체계를 따르는 경우에는 출발지와 목적지 주소 그리고 넷마스크(netmask)를 적용하여 64비트로 패턴화하는 단계; 및
    (a112) 상기 IP 주소가 IPv6체계를 따르는 경우에는 출발지와 목적지 주소 그리고 프레픽스(prefix)를 적용하여 256비트로 패턴화하는 단계;를 포함하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 방법.
  17. 제13항에 있어서, 상기 (b)단계는
    상기 패턴 검사 결과를 상기 인덱스로 하여 생성하는 단계;를 포함하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 방법.
  18. 제13항에 있어서, 상기 (c)단계는
    상기 패턴 결과 검사에 해당하는 침입탐지 규칙만을 대상으로 하여 프로토콜과 옵션을 포함하는 세부 필드를 검사하여 침입 여부를 판단하는 단계;를 포함하는 것을 특징으로 하는 패턴을 이용하는 침입탐지 방법.
KR1020060072649A 2006-08-01 2006-08-01 패턴을 이용하는 침입 탐지 장치 및 그 방법 KR100772523B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020060072649A KR100772523B1 (ko) 2006-08-01 2006-08-01 패턴을 이용하는 침입 탐지 장치 및 그 방법
US11/829,935 US8015610B2 (en) 2006-08-01 2007-07-29 Intrusion detection apparatus and method using patterns

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060072649A KR100772523B1 (ko) 2006-08-01 2006-08-01 패턴을 이용하는 침입 탐지 장치 및 그 방법

Publications (1)

Publication Number Publication Date
KR100772523B1 true KR100772523B1 (ko) 2007-11-01

Family

ID=39030783

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060072649A KR100772523B1 (ko) 2006-08-01 2006-08-01 패턴을 이용하는 침입 탐지 장치 및 그 방법

Country Status (2)

Country Link
US (1) US8015610B2 (ko)
KR (1) KR100772523B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101270402B1 (ko) * 2011-12-28 2013-06-07 한양대학교 산학협력단 인덱스를 생성하여 효율적인 고속 매칭 메커니즘을 제공하는 침입 탐지 시스템의 동작 방법
KR101287592B1 (ko) * 2012-01-06 2014-03-19 한남대학교 산학협력단 패턴 매칭을 통한 네트워크 침입 탐지 장치
US9275224B2 (en) 2013-10-18 2016-03-01 Electronics And Telecommunications Research Institute Apparatus and method for improving detection performance of intrusion detection system
WO2016039491A1 (ko) * 2014-09-11 2016-03-17 주식회사 코닉글로리 패킷과 시그니처 기반의 침입 탐지 장치 및 침입 탐지 방법
US9444828B2 (en) 2012-11-01 2016-09-13 Electronics And Telecommunications Reserach Institute Network intrusion detection apparatus and method using Perl compatible regular expressions-based pattern matching technique

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572691B (zh) * 2008-04-30 2013-10-02 华为技术有限公司 一种入侵检测方法、系统和装置
KR101034389B1 (ko) * 2009-04-22 2011-05-16 (주) 시스메이트 패킷 내 시그니처 위치에 따른 시그니처 검색 방법
KR101414061B1 (ko) * 2013-08-26 2014-07-04 한국전자통신연구원 침입탐지규칙 간의 유사도 측정 장치 및 그 방법
CN103731433A (zh) * 2014-01-14 2014-04-16 上海交通大学 一种物联网攻击检测系统和攻击检测方法
US10380367B2 (en) * 2017-07-27 2019-08-13 Red Hat, Inc. Dynamic access control of resources in a computing environment
US10812507B2 (en) 2018-12-15 2020-10-20 KnowBe4, Inc. System and methods for efficient combining of malware detection rules

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020072618A (ko) * 2001-03-12 2002-09-18 (주)세보아 네트워크 기반 침입탐지 시스템
KR20060007581A (ko) * 2004-07-20 2006-01-26 한국전자통신연구원 패킷 침입 탐지 규칙 간략화 장치 및 그 방법과 간략화된침입 탐지 규칙을 이용한 패킷 침입 탐지 장치 및 방법

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6279113B1 (en) * 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US20070192863A1 (en) * 2005-07-01 2007-08-16 Harsh Kapoor Systems and methods for processing data flows
US7424744B1 (en) * 2002-03-05 2008-09-09 Mcafee, Inc. Signature based network intrusion detection system and method
US6959297B2 (en) * 2002-04-25 2005-10-25 Winnow Technology, Llc System and process for searching within a data stream using a pointer matrix and a trap matrix
US7359962B2 (en) * 2002-04-30 2008-04-15 3Com Corporation Network security system integration
US20040193943A1 (en) * 2003-02-13 2004-09-30 Robert Angelino Multiparameter network fault detection system using probabilistic and aggregation analysis
US7681235B2 (en) * 2003-05-19 2010-03-16 Radware Ltd. Dynamic network protection
EP1828919A2 (en) * 2004-11-30 2007-09-05 Sensoy Networks Inc. Apparatus and method for acceleration of security applications through pre-filtering
US7602731B2 (en) * 2004-12-22 2009-10-13 Intruguard Devices, Inc. System and method for integrated header, state, rate and content anomaly prevention with policy enforcement
US7703138B2 (en) * 2004-12-29 2010-04-20 Intel Corporation Use of application signature to identify trusted traffic
US7499412B2 (en) * 2005-07-01 2009-03-03 Net Optics, Inc. Active packet content analyzer for communications network
US8015605B2 (en) * 2005-08-29 2011-09-06 Wisconsin Alumni Research Foundation Scalable monitor of malicious network traffic
KR100738567B1 (ko) * 2006-02-01 2007-07-11 삼성전자주식회사 동적 네트워크 보안 시스템 및 그 제어방법
WO2007103397A2 (en) * 2006-03-07 2007-09-13 The Regents Of The University Of California Pattern matching technique for high throughput network processing
US20070289013A1 (en) * 2006-06-08 2007-12-13 Keng Leng Albert Lim Method and system for anomaly detection using a collective set of unsupervised machine-learning algorithms

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020072618A (ko) * 2001-03-12 2002-09-18 (주)세보아 네트워크 기반 침입탐지 시스템
KR20060007581A (ko) * 2004-07-20 2006-01-26 한국전자통신연구원 패킷 침입 탐지 규칙 간략화 장치 및 그 방법과 간략화된침입 탐지 규칙을 이용한 패킷 침입 탐지 장치 및 방법

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101270402B1 (ko) * 2011-12-28 2013-06-07 한양대학교 산학협력단 인덱스를 생성하여 효율적인 고속 매칭 메커니즘을 제공하는 침입 탐지 시스템의 동작 방법
KR101287592B1 (ko) * 2012-01-06 2014-03-19 한남대학교 산학협력단 패턴 매칭을 통한 네트워크 침입 탐지 장치
US9444828B2 (en) 2012-11-01 2016-09-13 Electronics And Telecommunications Reserach Institute Network intrusion detection apparatus and method using Perl compatible regular expressions-based pattern matching technique
US9275224B2 (en) 2013-10-18 2016-03-01 Electronics And Telecommunications Research Institute Apparatus and method for improving detection performance of intrusion detection system
WO2016039491A1 (ko) * 2014-09-11 2016-03-17 주식회사 코닉글로리 패킷과 시그니처 기반의 침입 탐지 장치 및 침입 탐지 방법

Also Published As

Publication number Publication date
US8015610B2 (en) 2011-09-06
US20080034433A1 (en) 2008-02-07

Similar Documents

Publication Publication Date Title
KR100772523B1 (ko) 패턴을 이용하는 침입 탐지 장치 및 그 방법
US7685637B2 (en) System security approaches using sub-expression automata
CN109800258B (zh) 数据文件部署方法、装置、计算机设备及存储介质
CN112866023B (zh) 网络检测、模型训练方法、装置、设备及存储介质
US11418485B2 (en) Pattern-based malicious URL detection
US11212297B2 (en) Access classification device, access classification method, and recording medium
EP3287909B1 (en) Access classification device, access classification method, and access classification program
US8543528B2 (en) Exploitation of transition rule sharing based on short state tags to improve the storage efficiency
CN106384048A (zh) 一种威胁信息处理方法与装置
CN113961919B (zh) 恶意软件检测方法和装置
US7216364B2 (en) System security approaches using state tables
US20180121544A1 (en) Apparatus and method for enhancing regular expression search performance through cost-based optimization technique
CN115695031A (zh) 主机失陷检测方法、装置及设备
CN105187439A (zh) 钓鱼网站检测方法及装置
CN111026455A (zh) 插件生成方法、电子设备及存储介质
US20100205411A1 (en) Handling complex regex patterns storage-efficiently using the local result processor
CN112583827A (zh) 一种数据泄露检测方法及装置
CN115357513B (zh) 程序模糊测试方法、装置、设备及存储介质
JP6750674B2 (ja) プログラム分析システム、プログラム分析方法、及び、コンピュータ・プログラム
US11748476B2 (en) Conversion device and conversion program
US20120110207A1 (en) Embedding zone identifiers in ip addresses
CN114816895A (zh) 处理告警日志的方法、装置及存储介质
KR102229554B1 (ko) 해시 키 생성 방법 및 그 장치
CN113794692B (zh) 攻击溯源装置、方法与系统及代理链路表学习装置和方法
US20230269269A1 (en) System and method for detecting patterns in structured fields of network traffic packets

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121011

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20130923

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee