KR100818307B1 - IPv6 공격 패킷 탐지장치 및 방법 - Google Patents

IPv6 공격 패킷 탐지장치 및 방법 Download PDF

Info

Publication number
KR100818307B1
KR100818307B1 KR1020060121834A KR20060121834A KR100818307B1 KR 100818307 B1 KR100818307 B1 KR 100818307B1 KR 1020060121834 A KR1020060121834 A KR 1020060121834A KR 20060121834 A KR20060121834 A KR 20060121834A KR 100818307 B1 KR100818307 B1 KR 100818307B1
Authority
KR
South Korea
Prior art keywords
packet
attack
ipv6
header
protocol
Prior art date
Application number
KR1020060121834A
Other languages
English (en)
Inventor
김환국
정보흥
임재덕
김영호
류승호
김기영
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020060121834A priority Critical patent/KR100818307B1/ko
Priority to US11/944,479 priority patent/US20080134339A1/en
Application granted granted Critical
Publication of KR100818307B1 publication Critical patent/KR100818307B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 IPv6 공격 패킷 탐지장치 및 방법에 관한 것으로서, 공격판단 규칙 및 공격 패킷의 처리 규칙을 설정하는 제어부; IPv6(internet protocol version 6) 패킷 및 터널링 패킷을 디코딩하고 상기 디코딩한 패킷을 구조별로 분류하는 전처리부; 상기 전처리부에서 분류된 패킷의 정보를 이용하여 상기 제어부에서 설정된 공격판단 규칙에 따라 해당 패킷의 공격 가능성을 판단하는 공격판단부; 및 상기 공격판단부에서의 판단 결과 및 상기 제어부에서 설정된 공격 패킷의 처리 규칙에 따라 해당 패킷의 차단, 삭제, 포워딩, 및 침입 탐지 경보 생성 중 하나 이상의 기능을 수행하는 패킷처리부를 포함하여 구성되며, 이에 의해, IPv6 패킷의 공격을 탐지하고 대응할 수 있다.
IPv6, 침입탐지, 네트워크보안, IPS, IPv6 네트워크보안

Description

IPv6 공격 패킷 탐지장치 및 방법{Apparatus and method for detecting attacking packets in IPv6}
도 1은 본 발명의 일 실시예에 따른 IPv6 공격 패킷 탐지장치의 기본적인 구성도,
도 2는 본 발명의 일 실시예에 따른 IPv6 공격 패킷 탐지방법의 흐름도,
도 3은 본 발명의 일 실시예에 따른 IPv6 공격 패킷 탐지장치의 전처리부의 구성도,
도 4는 본 발명의 일 실시예에 따른 IPv6 공격 패킷 탐지장치의 공격판단부의 구성도, 그리고
도 5는 본 발명의 일 실시예에 따른 IPv6 공격 패킷 탐지장치의 제어부의 구성도이다.
본 발명은 공격 패킷 탐지장치 및 방법에 관한 것으로, 특히 인터넷 프로토콜 버전 6(internet protocol version 6: 이하 IPv6라 칭함) 패킷의 공격이나 칩입 을 탐지하고 이에 대응할 수 있는 IPv6 공격 패킷 탐지장치 및 방법에 관한 것이다.
IPv6는 IP 주소 공간의 확대, 단순화된 기본헤더 형식과 향상된 확장헤더 구조, 인터넷 제어 메시지 프로토콜 버전 6(internet control message protocol version 6, 이하 ICMPv6라 칭함) 프로토콜 강화, 이웃 탐색 프로토콜(neighbor discovery protocol: 이하 NDP라 칭함), 자동 주소 설정 등의 새로운 특징을 포함하고 있는 차세대 인터넷 프로토콜이다. 최근 들어 이런 IPv6 환경을 지원하는 라우터, 스위치등의 네트워크 장비들이 등장하고 있어 IPv6 공격 패킷을 탐지하고 대응할 수 있는 기술의 필요성이 증가하고 있다. 그러나 현재까지의 침입탐지 및 대응 기술은 IPv4 환경에 적합하도록 설계된 기술이어서 IPv6 표준 프로토콜 규격 에 따른 패킷의 네트워크 공격을 탐지하고 대응하기 어려웠다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, IPv6 표준 프로토콜 규격에 따른 패킷 및 IPv4/IPv6 터널링 패킷의 특성에 따라 침입탐지 및 대응을 할 수 있는 IPv6 공격 패킷 탐지장치 및 방법을 제공하는데 있다.
상기와 같은 본 발명의 목적을 달성하기 위하여, 본 발명의 IPv6 공격 패킷 탐지장치는, 공격판단 규칙 및 공격 패킷의 처리 규칙을 설정하는 제어부; IPv6(internet protocol version 6) 패킷 및 터널링 패킷을 디코딩하고 상기 디코딩한 패킷을 페이로드 및 헤더 구조별로 분류하는 전처리부; 상기 전처리부에서 분류된 패킷의 정보를 이용하여 상기 제어부에서 설정된 공격판단 규칙에 따라 해당 패킷의 공격 가능성을 판단하고, IPv6 프로토콜 취약성을 이용한 공격 탐지를 수행하는 공격판단부; 및 상기 공격판단부에서의 판단 결과 및 상기 제어부에서 설정된 공격 패킷의 처리 규칙에 따라 해당 패킷의 차단, 삭제, 포워딩, 및 침입 탐지 경보 생성 중 하나 이상의 기능을 수행하는 패킷처리부를 포함하여 구성한다.
또한, 본 발명의 IPv6 공격 패킷 탐지장치는, 상기 제어부에서 상기 공격판단부 및 상기 패킷처리부의 동작을 제어하는데 참조할 수 있도록, 공격 패킷으로 판단된 경우 해당 트래픽 정보를 저장하는 트래픽 정보 저장부를 더 포함하는 것을 특징으로 한다.
상기와 같은 본 발명의 목적을 달성하기 위하여, 본 발명의 IPv6 공격 패킷 탐지방법은, 공격판단 규칙 및 공격 패킷의 처리 규칙을 설정하는 제1단계; IPv6 패킷 및 터널링 패킷을 디코딩하는 제2단계; 상기 디코딩된 패킷을 페이로드와 헤더 구조별로 분류하는 제3단계; 상기 분류된 패킷의 정보를 이용하여 IPv6 프로토콜의 취약성을 이용한 공격 및 프로토콜 무결성을 검사하고, 상기 제1단계에서 설정된 공격판단 규칙에 따라 해당 패킷의 공격 가능성을 판단하는 단계는 제4단계; 및 상기 공격 판단 결과 및 제1단계에서 설정된 공격 패킷의 처리 규칙에 따라 해당 패킷의 차단, 삭제, 포워딩, 및 침입 탐지 경보 생성 중 하나 이상의 기능을 수행하는 제5단계로 이루어진다.
또한, 본 발명의 IPv6 공격 패킷 탐지장치 방법은, 상기 제4단계에서 해당 패킷에 공격 가능성이 있다고 판단된 경우, 상기 제1단계에서 상기 공격판단 규칙 및 공격 패킷의 처리 규칙을 설정하는데 참조할 수 있도록, 해당 트래픽 정보를 저장하는 단계를 더 포함하는 것을 특징으로 한다.
이하 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있는 바람직한 실시예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시예에 대한 동작 원리를 상세하게 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다. 또한, 도면 전체에 걸쳐 유사한 기능 및 작용을 하는 부분에 대해서는 동일한 도면 부호를 사용한다.
도 1은 본 발명의 일 실시예에 따른 IPv6 공격 패킷 탐지장치의 기본적인 구성도이다. 도 1을 참조하면, 본 발명의 IPv6 공격 패킷 탐지장치는 기본적으로 전처리부(100), 공격판단부(200), 패킷처리부(300) 및 제어부(400)를 포함하여 구성되며, 공격 패킷에 대한 정보 저장을 위해 트래픽 정보 저장부(500)를 더 포함하여 구성될 수 있다.
상기 전처리부(100)는 IPv6 패킷과 터널링 패킷을 수집하여 디코딩하고 상기 디코딩된 IPv6 패킷을 페이로드 및 헤더 구조별로 분류한다. 이후, 상기 분류된 패킷은 공격판단부(200)로 전달된다.
상기 공격판단부(200)는 상기 전처리부(100)로부터 전달받은 페이로드 및 헤더 구조별로 분류된 패킷에 대해서 공격 패킷의 특성을 갖고 있는지 판단한다.
상기 패킷처리부(300)는 상기 공격판단부(200)에서의 판단 결과 공격 패킷으로 판단된 경우 해당 패킷을 차단 및/또는 삭제한다. 더하여, 같은 특성을 갖는 패킷에 대해 신속한 탐지와 대응을 할 수 있도록 해당 트래픽 정보를 전송하여 트래픽 정보 저장부(500)에 저장할 수 있도록 하는 것이 바람직하다. 또한 공격 패킷에 대해 보다 적절한 대처가 이루어 질 수 있도록 침입 탐지 경보를 생성하여 본 발명을 이용하는 보안시스템이나 관리자에게 통지한다. 반대로, 공격 패킷이 아닌 것으로 판단되는 경우에는 해당 패킷을 포워딩한다.
상기 제어부(400)는 상기 공격판단부(200) 또는 패킷처리부(300)에서의 동작을 제어한다. 즉, 어떠한 경우에 공격 가능성이 있는 패킷으로 분류할 것인지, 또는 공격 가능성이 있는 패킷이나 그렇지 않은 패킷의 처리 방법을 정한다. 이때, 상기 트래픽 정보 저장부(500)에 저장된 공격 패킷의 트래픽 정보를 활용하여 상기 공격판단부(200)와 패킷처리부(300)의 동작을 제어할 수 있다.
각 부의 동작에 대해서는 아래에서 좀 더 자세하게 설명하기로 한다.
도 2는 본 발명의 일 실시예에 따른 IPv6 공격 패킷 탐지방법의 흐름도이다. 도 2를 참조하면, 먼저 IPv6 패킷 및/또는 터널링 패킷이 수신되면(S210), 해당 패킷을 디코딩한다(S220). 상기 디코딩은, 예를 들어, RFC 표준 규격에 따라 분해하는 방식으로 이루어 질 수 있다. 그 후, 상기 디코딩된 패킷을 페이로드와 헤더별로 분류한다(S230). 그리고 상기 디코딩된 터널링 패킷과 분류된 IPv6 패킷에 대하여 공격가능성이 있는지 판단한다(S240). 만일 공격가능성이 없다고 판단되는 경 우(S250), 패킷을 포워딩하고(S260), 만일 공격가능성이 있다고 판단되는 경우에는(S250), 해당 패킷을 차단하거나 삭제한다(S270). 그리고 본 발명을 이용하는 보안 시스템이나 관리자가 적절한 조치를 취할 수 있도록 공격에 대한 경보를 생성하고 알린다(S280). 마지막으로 공격가능성이 있다고 판단된 패킷의 트래픽 정보를 저장하여 다음 패킷의 침입 탐지에 활용할 수 있도록 한다(S290).
도 3은 본 발명의 일 실시예에 따른 IPv6 공격 패킷 탐지장치의 전처리부(100)의 구성도이다. 도 3을 참조하면, 상기 전처리부(100)는 IPv6 패킷 디코더(310), 터널링 패킷 디코더(320), 및 패킷 분류부(330)으로 구성된다.
상기 IPv6 패킷 디코더(310) 및 터널링 패킷 디코더(320)는, 예를 들어, RFC 표준 규격에 따라서 분해하는 방식으로 해당 패킷을 디코딩한다.
상기 패킷 분류부(330)는 해당 디코딩된 IPv6 패킷을 기본헤더, 확장헤더, 상위 L4(layer 4) 프로토콜헤더, 및 페이로드 등의 정보로 분류하고, 해당 디코딩된 터널링 패킷을 IPv6 헤더와 IPv4 헤더로 분류한다. 상기 디코딩과 분류는 각 정보에 대하여 동시에 공격 가능성을 판단할 수 있게 하기 위함이다. 상기 분류된 패킷은 공격 가능성의 판단을 위해 공격판단부(200)로 전달된다.
도 4는 본 발명의 일 실시예에 따른 IPv6 공격 패킷 탐지장치의 공격판단부(200)의 구성도이다. 도 4를 참조하면, 상기 공격판단부(200)는 기본헤더 검사부(410), 확장헤더 검사부(420), 페이로드 검사부(430), L4 프로토콜 검사부(440), IPv6 프로토콜 취약성 검사부(450), 터널링 패킷의 IPv6 헤더 검사부(460), 및 터널링 패킷의 IPv4 헤더 검사부(470) 중에서 하나 이상을 포함한다. 이때, 각 검사부는 분류된 패킷의 공격 가능성에 대해, 제어부(400)에서 설정된 공격 판단 규칙에 따라 패턴 매칭 방법으로 판단한다.
상기 기본헤더 검사부(410)는 전처리부(100)에서 전달받은 기본헤더 구조 필드에서 근원지주소, 목적지주소, 버전정보, 넥스트헤더정보, 및 페이로드길이 정보 등을 추출하고 그 중 하나 이상의 정보를 활용하여 해당 패킷에 공격 가능성이 있는지를 판단한다. 상기 확장헤더 검사부(420)는 전처리부(100)에서 전달받은 기본헤더 구조 필드에서 hop-by-hop 확장헤더, 라우팅 확장헤더, 단편(fragment) 확장헤더, 목적지 확장헤더, IPSec(internet protocol security protocol) 확장헤더, 및 인증 확장헤더 정보 등을 추출하고 그 중 하나 이상의 정보를 활용하여 공격 패킷 여부를 판단한다.
상기 페이로드 검사부(430)는 전처리부(100)에서 전달받은 페이로드 구조 필드에 공격가능성이 있는지 판단하고, 상기 L4 프로토콜 검사부(440)는 해당 패킷의 상위 L4 프로토콜에 대해 전송 제어 프로토콜(transmission control protocol, 이하 TCP라 칭함) 및/또는 사용자 데이터그램 프로토콜(user datagram protocol, 이하 UDP라 칭함)을 검사하여 공격 가능성을 판단한다.
상기 IPv6 프로토콜 취약성 검사부(450)는 프로토콜 자체의 구조에서 발생하는 NDP, 주소 중복 감지(duplicate address detection, 이하 DAD라 칭함), 및 ICMPv6의 취약성을 이용한 공격을 탐지한다.
상기 터널링 패킷의 IPv6 헤더 검사부(460) 및 터널링 패킷의 IPv4 헤더 검사부(470)는 각각의 헤더에 대하여 설정 터널(Configured tunnel), 6to4, 6over4, ISATAP(intra-site automatic tunnel addressing protocol), Teredo, 및 IPv6 over MPLS(dual stack transition mechanism) 등의 IPv4(internet protocol version 4)와 IPv6간 전환 기술을 이용한 공격 가능성을 판단한다. 일반적으로 IPv6 환경에서 터널링 패킷은 IPv6 헤더 필드와 IPv4 헤더 필드를 동시에 갖고 있으므로 각각의 공격 판단을 분리해서 하기 위함이다.
도 5는 본 발명의 일 실시예에 따른 IPv6 공격 패킷 탐지장치의 제어부(400)의 구성도이다. 도 5를 참조하면, 상기 제어부(400)는 공격판단 설정부(510) 및 패킷처리 설정부(520)로 구성된다.
상기 공격판단 설정부(510)은 공격 패킷을 탐지하기 위한 규칙을 설정하여 해당 규칙에 대한 정보를 공격판단부(200)로 전송한다. 상기 공격 패킷을 탐지하기 위한 규칙은 관리자의 설정이나 본 발명을 사용하는 보안 시스템에서 상황에 맞게 조정할 수 있을 것이다. 또한 기존에 공격 패킷으로 판단되어 저장된 트래픽 정보 저장부(500)의 정보를 이용하여 공격 패킷의 판단에 사용되는 규칙을 설정할 수 있을 것이며, 이렇게 하여 유사한 특성을 갖는 공격 패킷의 탐지와 대응이 더 빨라질 수 있다.
상기 패킷처리 설정부(520)는 공격 패킷을 처리하기 위한 규칙을 설정하여 해당 규칙에 대한 정보를 상기 패킷처리부(300)로 전송한다. 예를 들면, 공격 패킷 으로 판단된 패킷을 차단 및/또는 삭제하고, 트래픽 정보 저장부(500)에 해당 정보를 전송하여 다음 패킷의 판단에 활용할 수 있도록 한다. 또한 공격 패킷의 탐지시 침입 탐지 경보를 생성하여 본 발명을 이용하는 보안 시스템이나 관리자가 적절한 대응을 할 수 있도록 한다. 상기 규칙의 설정에 있어 기존 공격 패킷에 대한 트래픽 정보 저장부의 정보를 참조하여, 특정 패킷에 대한 처리를 조정할 수 있을 것이다.
이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 당업자에게 있어 명백할 것이다.
상기와 같은 본 발명의 IPv6 공격 패킷 탐지장치 및 방법은 IPv6 패킷 및 터널링 패킷에 대해 공격가능성을 판단하고 공격 가능성이 있는 패킷에 대해 차단 및/또는 삭제함으로써, IPv6 패킷의 공격을 탐지하고 및 대응할 수 있다.

Claims (20)

  1. 공격판단 규칙 및 공격 패킷의 처리 규칙을 설정하는 제어부;
    IPv6(internet protocol version 6) 패킷 및 터널링 패킷을 디코딩하고 상기 디코딩한 패킷을 페이로드 및 헤더 구조별로 분류하는 전처리부;
    상기 전처리부에서 분류된 패킷의 정보를 이용하여 상기 제어부에서 설정된 공격판단 규칙에 따라 해당 패킷의 공격 가능성을 판단하고, IPv6 프로토콜 취약성을 이용한 공격 탐지를 수행하는 공격판단부; 및
    상기 공격판단부에서의 판단 결과 및 상기 제어부에서 설정된 공격 패킷의 처리 규칙에 따라 해당 패킷의 차단, 삭제, 포워딩, 및 침입 탐지 경보 생성 중 하나 이상의 기능을 수행하는 패킷처리부를 포함하여 구성되는 IPv6 공격 패킷 탐지장치.
  2. 제1항에 있어서,
    상기 제어부에서 상기 공격판단부 및 상기 패킷처리부의 동작을 제어하는데 참조할 수 있도록, 공격 패킷으로 판단된 경우 해당 트래픽 정보를 저장하는 트래픽 정보 저장부를 더 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지장치.
  3. 제1항에 있어서, 상기 전처리부는
    IPv6 패킷을 디코딩하는 IPv6 패킷 디코더;
    터널링 패킷을 디코딩하는 터널링 패킷 디코더; 및
    상기 디코딩된 패킷을 페이로드와 헤더 구조별로 분류하는 패킷 분류부를 포함하여 구성되는 것을 특징으로 하는 IPv6 공격 패킷 탐지장치.
  4. 제3항에 있어서,
    상기 IPv6 패킷 디코더 및 상기 터널링 패킷 디코더는 해당 패킷을 RFC(request for comments) 표준 프로토콜 구조에 따라 분해하는 방식으로 디코딩하는 것을 특징으로 하는 IPv6 공격 패킷 탐지장치.
  5. 제3항에 있어서,
    상기 패킷 분류부는 상기 디코딩된 IPv6 패킷을 기본헤더, 확장헤더, 상위 L4(layer 4) 프로토콜헤더, 및 페이로드로 분류하고, 상기 디코딩된 터널링 패킷을 IPv6 헤더와 IPv4 헤더로 분류하는 것을 특징으로 하는 IPv6 공격 패킷 탐지장치.
  6. 제5항에 있어서, 상기 공격판단부는
    기본헤더의 근원지주소, 목적지주소, 버전정보, 넥스트헤더정보, 및 페이로 드길이 정보 중 하나 이상의 정보를 활용하여 공격 패킷 여부를 판단하는 기본헤더 검사부를 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지장치.
  7. 제5항에 있어서, 상기 공격판단부는
    hop-by-hop 확장헤더, 라우팅 확장헤더, 단편(fragment) 확장헤더, 목적지 확장헤더, IPSec(internet protocol security protocol) 확장헤더, 및 인증 확장헤더 중 하나 이상의 정보를 활용하여 공격 패킷 여부를 판단하는 확장헤더 검사부를 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지장치.
  8. 제5항에 있어서, 상기 공격판단부는
    TCP(transmission control protocol) 및 UDP(user datagram protocol)을 검사하여 공격 패킷 여부를 판단하는 L4 프로토콜 검사부를 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지장치.
  9. 제5항에 있어서, 상기 공격판단부는
    NDP(Neighbor Discovery Protocol), DAD(duplicate address detection), 및 ICMPv6(internet control message protocol version 6)의 취약성을 이용하여 공격을 탐지하는 IPv6 프로토콜 취약성 검사부를 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지장치.
  10. 제5항에 있어서, 상기 공격판단부는
    상기 분류된 터널링 패킷의 IPv6 헤더와 IPv4 헤더에 대하여, 설정 터널(Configured tunnel), 6to4, 6over4, ISATAP(intra-site automatic tunnel addressing protocol), Teredo, 및 IPv6 over MPLS(dual stack transition mechanism)의 IPv4(internet protocol version 4)와 IPv6간 전환 기술 중 해당 패킷에 사용된 기술에 대해 이를 이용한 공격을 검사하고 탐지하는 터널링 패킷의 IPv6 헤더 검사부와 터널링 패킷의 IPv4 헤더 검사부를 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지장치.
  11. 제1항에 있어서, 상기 제어부는
    상기 공격 패킷을 탐지하기 위한 규칙을 설정하여 해당 규칙에 대한 정보를 상기 공격판단부로 전송하는 공격판단 설정부; 및
    상기 공격 패킷을 처리하기 위한 규칙을 설정하여 해당 규칙에 대한 정보를 상기 패킷처리부로 전송하는 패킷처리 설정부를 포함하여 구성되는 것을 특징으로 하는 IPv6 공격 패킷 탐지장치.
  12. 공격판단 규칙 및 공격 패킷의 처리 규칙을 설정하는 제1단계;
    IPv6 패킷 및 터널링 패킷을 디코딩하는 제2단계;
    상기 디코딩된 패킷을 페이로드와 헤더 구조별로 분류하는 제3단계;
    상기 분류된 패킷의 정보를 이용하여 IPv6 프로토콜의 취약성을 이용한 공격 및 프로토콜 무결성을 검사하고, 상기 제1단계에서 설정된 공격판단 규칙에 따라 해당 패킷의 공격 가능성을 판단하는 단계는 제4단계; 및
    상기 공격 판단 결과 및 제1단계에서 설정된 공격 패킷의 처리 규칙에 따라 해당 패킷의 차단, 삭제, 포워딩, 및 침입 탐지 경보 생성 중 하나 이상의 기능을 수행하는 제5단계로 이루어지는 IPv6 공격 패킷 탐지방법.
  13. 제12항에 있어서,
    상기 제4단계에서 해당 패킷에 공격 가능성이 있다고 판단된 경우, 상기 제1단계에서 상기 공격판단 규칙 및 공격 패킷의 처리 규칙을 설정하는데 참조할 수 있도록, 해당 트래픽 정보를 저장하는 단계를 더 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지방법.
  14. 제12항에 있어서,
    상기 제2단계는 해당 패킷을 RFC 표준 프로토콜 구조에 따라 분해하는 방식으로 디코딩하는 것을 특징으로 하는 IPv6 공격 패킷 탐지방법.
  15. 제12항에 있어서,
    상기 제3단계는 상기 디코딩된 IPv6 패킷을 기본헤더, 확장헤더, 상위 L4 프로토콜헤더, 및 페이로드로 분류하고, 상기 디코딩된 터널링 패킷을 IPv6 헤더와 IPv4 헤더로 분류하는 것을 특징으로 하는 IPv6 공격 패킷 탐지방법.
  16. 제15항에 있어서, 상기 제4단계는
    기본헤더의 근원지주소, 목적지주소, 버전정보, 넥스트헤더정보, 및 페이로드길이 정보 중 하나 이상의 정보를 활용하여 공격 패킷 여부를 판단하는 기본헤더 구조 필드 검사단계를 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지방법.
  17. 제15항에 있어서, 상기 제4단계는
    hop-by-hop 확장헤더, 라우팅 확장헤더, 단편 확장헤더, 목적지 확장헤더, IPSec 확장헤더, 및 인증 확장헤더 중 하나 이상의 정보를 활용하여 공격 패킷 여부를 판단하는 확장헤더 구조 필드 검사 단계를 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지방법.
  18. 제15항에 있어서, 상기 제4단계는
    TCP 및 UDP를 검사하여 공격 패킷 여부를 판단하는 상위 L4 프로토콜 헤더 검사 단계를 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지방법.
  19. 제15항에 있어서, 상기 제4단계는
    NDP, DAD, 및 ICMPv6의 취약성을 이용하여 공격을 탐지하는, 상기 IPv6 프로토콜의 취약성을 이용한 공격 및 상기 프로토콜 무결성을 검사하는 단계를 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지방법.
  20. 제15항에 있어서, 상기 제4단계는
    상기 분류된 터널링 패킷의 IPv6 헤더와 IPv4 헤더에 대하여, 설정 터널, 6to4, 6over4, ISATAP, Teredo, 및 IPv6 over MPLS의 IPv4와 IPv6간 전환 기술 중 해당 패킷에 사용된 기술에 대해 이를 이용한 공격을 검사하고 탐지하는 터널링 패킷 검사 단계를 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지방법.
KR1020060121834A 2006-12-04 2006-12-04 IPv6 공격 패킷 탐지장치 및 방법 KR100818307B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020060121834A KR100818307B1 (ko) 2006-12-04 2006-12-04 IPv6 공격 패킷 탐지장치 및 방법
US11/944,479 US20080134339A1 (en) 2006-12-04 2007-11-23 APPARATUS AND METHOD FOR DETECTING ATTACK PACKET IN IPv6

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060121834A KR100818307B1 (ko) 2006-12-04 2006-12-04 IPv6 공격 패킷 탐지장치 및 방법

Publications (1)

Publication Number Publication Date
KR100818307B1 true KR100818307B1 (ko) 2008-04-01

Family

ID=39477471

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060121834A KR100818307B1 (ko) 2006-12-04 2006-12-04 IPv6 공격 패킷 탐지장치 및 방법

Country Status (2)

Country Link
US (1) US20080134339A1 (ko)
KR (1) KR100818307B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101530020B1 (ko) * 2013-12-10 2015-06-18 (주)소만사 대용량 초고속 NDLP 어플라이언스에서의 IPv4 및 IPv6 듀얼 패킷분석 및 처리기능을 내장한 NDLP용 고성능 패킷처리 시스템 및 방법

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4905395B2 (ja) * 2008-03-21 2012-03-28 富士通株式会社 通信監視装置、通信監視プログラム、および通信監視方法
US8874693B2 (en) * 2009-02-20 2014-10-28 Microsoft Corporation Service access using a service address
CN101888370B (zh) * 2009-05-11 2013-01-09 中兴通讯股份有限公司 防止IPv6地址被欺骗性攻击的装置与方法
US9843488B2 (en) 2011-11-07 2017-12-12 Netflow Logic Corporation Method and system for confident anomaly detection in computer network traffic
US9954876B2 (en) * 2015-12-10 2018-04-24 Sonicwall Us Holdings Inc. Automatic tunnels routing loop attack defense
JP6280662B2 (ja) * 2016-07-05 2018-02-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正制御抑止方法、不正制御抑止装置及び車載ネットワークシステム

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH02511A (ja) * 1987-10-12 1990-01-05 Ricoh Co Ltd 液体噴射記録方法
US20050160183A1 (en) 2002-03-27 2005-07-21 British Telecommunications Public Limited Company Tunnel broker management
KR20060079782A (ko) * 2006-06-14 2006-07-06 문영성 아이피버젼포와 아이피버젼식스 혼재 망에서의 상호 운용성향상을 위한 보안 시스템
KR100656405B1 (ko) 2005-11-29 2006-12-11 한국전자통신연구원 IPv4/IPv6 연동 네트워크에서의 공격차단 방법 및그 장치
KR100656483B1 (ko) 2006-02-09 2006-12-11 삼성전자주식회사 IPv4-IPv6 네트워크에서의 보안 장치 및 방법

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6728241B2 (en) * 2002-02-27 2004-04-27 Nokia Corporation Boolean protocol filtering
EP1420559A1 (en) * 2002-11-13 2004-05-19 Thomson Licensing S.A. Method and device for supporting a 6to4 tunneling protocol across a network address translation mechanism
ATE495609T1 (de) * 2002-11-29 2011-01-15 Freebit Co Ltd Server für routingverbindung mit einem clientgerät
KR100803272B1 (ko) * 2004-01-29 2008-02-13 삼성전자주식회사 아이피 브이 식스 네트워크에서 인증을 처리하는 방법 및그 장치
US20050268331A1 (en) * 2004-05-25 2005-12-01 Franck Le Extension to the firewall configuration protocols and features
CN100571196C (zh) * 2005-03-22 2009-12-16 华为技术有限公司 移动IPv6报文穿越防火墙的实现方法
US9455953B2 (en) * 2006-10-11 2016-09-27 Lantiq Beteiligungs-GmbH & Co. KG Router chip and method of selectively blocking network traffic in a router chip

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH02511A (ja) * 1987-10-12 1990-01-05 Ricoh Co Ltd 液体噴射記録方法
US20050160183A1 (en) 2002-03-27 2005-07-21 British Telecommunications Public Limited Company Tunnel broker management
KR100656405B1 (ko) 2005-11-29 2006-12-11 한국전자통신연구원 IPv4/IPv6 연동 네트워크에서의 공격차단 방법 및그 장치
KR100656483B1 (ko) 2006-02-09 2006-12-11 삼성전자주식회사 IPv4-IPv6 네트워크에서의 보안 장치 및 방법
KR20060079782A (ko) * 2006-06-14 2006-07-06 문영성 아이피버젼포와 아이피버젼식스 혼재 망에서의 상호 운용성향상을 위한 보안 시스템

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
논문 (2005.11)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101530020B1 (ko) * 2013-12-10 2015-06-18 (주)소만사 대용량 초고속 NDLP 어플라이언스에서의 IPv4 및 IPv6 듀얼 패킷분석 및 처리기능을 내장한 NDLP용 고성능 패킷처리 시스템 및 방법

Also Published As

Publication number Publication date
US20080134339A1 (en) 2008-06-05

Similar Documents

Publication Publication Date Title
US20210112091A1 (en) Denial-of-service detection and mitigation solution
KR100818307B1 (ko) IPv6 공격 패킷 탐지장치 및 방법
US9392002B2 (en) System and method of providing virus protection at a gateway
KR101010465B1 (ko) 엔드포인트 리소스를 사용하는 네트워크 보안 요소
KR100610287B1 (ko) 패킷 네트워크의 라우터에 노드 보안을 제공하기 위한방법 및 장치
US12069092B2 (en) Network security attack detection and mitigation solution using honeypots
JP4490994B2 (ja) ネットワークセキュリティデバイスにおけるパケット分類
CN105991655B (zh) 用于缓解基于邻居发现的拒绝服务攻击的方法和装置
WO2019179375A1 (zh) 一种防御网络攻击的方法及装置
US11483339B1 (en) Detecting attacks and quarantining malware infected devices
US20180191525A1 (en) Network device using ip address and method thereof
JP2006135963A (ja) 悪性コード検出装置及び検出方法
JP2009534001A (ja) 悪質な攻撃の検出システム及びそれに関連する使用方法
WO2023040303A1 (zh) 网络流量控制方法以及相关系统
Song et al. Novel duplicate address detection with hash function
WO2009064114A2 (en) Protection method and system for distributed denial of service attack
Nicol et al. Multiscale modeling and simulation of worm effects on the internet routing infrastructure
WO2017078715A1 (en) Policy enforcement based on host value classification
KR101774242B1 (ko) 네트워크 스캔 탐지 방법 및 장치
TW201132055A (en) Routing device and related packet processing circuit
JP6476530B2 (ja) 情報処理装置、方法およびプログラム
CN114785876A (zh) 报文检测方法及装置
JP2009005122A (ja) 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム
Prabadevi et al. Security solution for ARP cache poisoning attacks in large data centre networks
Yoganguina et al. Proposition of a model for securing the neighbor discovery protocol (NDP) in IPv6 environment

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130304

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20130730

Year of fee payment: 19