KR100862187B1 - 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법 - Google Patents
취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법 Download PDFInfo
- Publication number
- KR100862187B1 KR100862187B1 KR1020060105179A KR20060105179A KR100862187B1 KR 100862187 B1 KR100862187 B1 KR 100862187B1 KR 1020060105179 A KR1020060105179 A KR 1020060105179A KR 20060105179 A KR20060105179 A KR 20060105179A KR 100862187 B1 KR100862187 B1 KR 100862187B1
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- information
- vulnerability
- attack
- keyword
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
Abstract
본 발명은 취약점 분석 및 공격방식 모델링(modeling)을 이용한 네트워크(network) 기반의 인터넷 웜(internet worm) 탐지장치 및 탐지방법에 관한 것으로서, 응용 프로그램의 발견된 취약점을 공격하기 위해 사용되는 키워드를 포함한 취약점 공격 탐지에 필요한 취약점 정보를 저장하는 취약점 정보 저장부, 네트워크(network)상에 전송되는 패킷(packet)이 취약점을 갖는 응용 프로그램으로 전송되는 것인지를 판단하는 위협 존재 판단부, 상기 취약점을 갖는 응용 프로그램으로 전송되는 것으로 판단된 패킷에서 상기 취약점 정보를 이용하여 침입 판단에 필요한 정보를 추출하는 패킷 내용 추출부, 및 상기 패킷에서 추출한 정보와 취약점 저장부에 저장된 취약점 정보를 비교/분석하여 공격 패킷인지를 판단하는 공격 판단부로 구성되며, 이에 의해, 응용 프로그램의 취약점 정보를 활용하고 공격 방식을 모델링하여 인터넷 웜을 탐지하고 실제 공격 발생 이전에 대응 방법을 준비할 수 있게 되며, 분할되거나 순서가 바뀌어 도착하는 패킷의 특정 세션에 속하는 정보 중 일부만을 저장함으로써 저장장치 사용의 효율성을 확보하고 패킷 처리에 필요한 자원을 감소시킬 수 있다.
인터넷 웜, 취약점, 침해 탐지
Description
도 1은 본 발명의 일 실시예에 따른 취약점 분석 및 공격방식 모델링을 이용한 인터넷 웜 탐지 장치 및 그 방법을 도시한 블럭도,
도 2는 본 발명의 일 실시예에 따른 인터넷 웜 탐지장치를 네트워크 환경에 적용한 시스템도,
도 3은 본 발명의 일 실시예에 따른 네트워크 기반 인터넷 웜 탐지방법을 나타낸 순서도, 그리고
도 4는 본 발명의 일 실시예에 따른 분할 패킷 관리를 위한 패킷 내 저장 정보를 표현한 개념도이다.
본 발명은 네트워크기반의 인터넷 웜 탐지 장치 및 그 방법에 관한 것으로, 특히 취약점 분석 및 공격 방식 모델링을 통해 인터넷 웜을 탐지하고 실제 공격 발생 이전에 대응 방법을 준비할 수 있게 되며, 분할되거나 순서가 바뀌어 도착하는 패킷의 특정 세션(session)에 속하는 정보 중 일부만을 저장함으로써 저장장치의 효율성을 확보하고 패킷 처리에 필요한 자원을 감소시킬 수 있는, 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의 인터넷 웜 탐지 장치 및 그 방법에 관한 것이다.
일반적으로 고속으로 전파되는 모든 인터넷 웜은 전파 속도의 신속성을 확보하기 위해 인터넷 웜 자체의 복제 및 전파 진행시 외부에서의 간섭을 받지 않도록 설계된다. 즉, 공격자에 의해 최초 1개의 인터넷 웜이 제작/배포되면 해당 인터넷 웜은 이후 추가적인 제어 단계를 거치지 않고 스스로 자기 복제, 감염 대상 선택, 감염의 프로세스를 진행한다.
이때, 모든 고속으로 전파되는 인터넷 웜에 있어서 가장 핵심적인 행위는 특정 감염대상에 자신의 복제된 웜을 전송하여 자동으로 실행되도록 하는 것이다. 즉, 기존의 다양한 인터넷 웜들 중 그 전파속도가 느린 인터넷 웜의 경우에는 이메일 등을 통해 전파되는 경우가 있었는데, 이런 경우, 해당 인터넷 웜이 공격 대상 시스템에서 실행되기 위해서는 사용자가 직접 실행하는 단계가 필요하였다. 예를 들면 이메일로 도착한 특정 파일을 사용자가 호기심 등의 이유로 직접 실행하였기 때문에 해당 인터넷 웜이 공격 대상 시스템에서 실행되고 추가적인 감염 시도를 수행할 수 있었던 것이다.
그러나, 고속으로 전파되는 인터넷 웜은 시스템에서 동작하고 있는 응용 프로그램에 존재하는 취약점을 공격하여 해당 응용 프로그램의 명령수행 위치(인스트럭션 포인터, instruction pointer)를 변조하고, 이를 통해 인터넷 웜이 자동적으 로 실행되도록 함으로써 사용자의 개입이나 추가적인 제어 없이 공격과 동시에 자기복제와 추가 감염시도를 수행할 수 있었고, 매우 빠르게 전파될 수 있었다. 이러한 형태의 웜이 사용하는 공격 방법은 "버퍼오버플로우(buffer overflow) 공격기법"과 "포맷스트링(format string) 공격기법"이다.
버퍼오버플로우(buffer overflow) 공격기법은 특정 응용프로그램의 버퍼 관리 문제점을 이용하여 공격자가 원하는 공격 코드를 메모리 상에 삽입하여, 특정 함수의 복귀주소를 삽입한 코드가 저장된 위치로 변경함으로써 명령 수행위치가 공격자가 삽입한 코드로 이동하도록 하여 원하는 명령 및 코드를 실행하는 공격기법이다. 이러한 공격 기법의 가장 큰 특징은 공격 간 취약한 버퍼에 삽입하는 코드 내에 복귀주소가 기록된다는 것이다. 또한, 이 복귀 주소는 삽입되는 코드 내부에 하드코딩 된다. 여기서 하드코딩이란 메모리상에서 복귀주소가 표현되는 것과 동일한 방식으로 표현된다는 것을 의미하는 것으로 예를 들면 "0xbffff32" 등과 같이 표현되는 것이다. 여기서, 복귀주소의 목적지는 공격자에 의해 삽입된 공격코드이거나, 삽입된 코드를 인자로 읽어들일 수 있는 임의 코드를 실행하는 특정 라이브러리 함수의 위치이다.
또한 포맷스트링(format string) 공격기법은 프로그램을 개발할 때 사용된 프로그래밍 언어의 형식 구성상의 문제로 인해 발생하는 것으로, 일반적으로 C언어를 이용한 프로그램 작성시 발생된다. 포맷스트링 취약점을 갖는 프로그램은 일반적인 사용자 입력에서는 발견되지 않는 포맷스트링을 사용하고 이의 조합을 통해 메모리 상의 원하는 위치에 원하는 값을 삽입할 수 있게 된다. 이러한 포맷스트링 공격기법을 활용하는 대표적인 예는 "%n" 형식 지시자를 사용하여 지정된 문자의 개수를 정수형으로 특정 위치에 삽입하는 것이다.
이와 같은 특징을 추가적인 분석 없이 침입 탐지를 위해 활용하기는 매우 어려운데, 그 이유는 실제 공격 간 사용되는 메모리의 주소가 어느 범위에 속하는지를 네트워크상에서 판단하기가 불가능하기 때문이다.
본 분야의 종래기술로서는 침입탐지시스템, 침입차단시스템, 침입방지시스템 등이 있다. 그런데, 이러한 기술들은 공격 탐지를 수행함에 있어서, 특정 취약점에 대해 다수 존재할 수 있는 공격 형태(exploit code, 공격 코드)에 대한 시그니처를 활용하여 탐지하거나, 단순히 취약한 응용 프로그램에서 사용하는 포트 번호를 사용하는 모든 패킷을 차단하는 수준에 머물고 있다. 취약점을 갖는 응용 프로그램이 사용하는 포트를 이용하는 모든 패킷을 차단하게 되면, 해당 응용 프로그램을 통해 제공되거나 제공받는 모든 서비스는 활용이 불가능해 진다. 이와 같은 문제를 극복하는 근본적인 해결방안은 패치 또는 업데이트를 적용하는 것인데, 일반적으로 취약점이 발견되고 해당 취약점을 제거할 수 있는 패치 및 업데이트가 해당 응용 프로그램의 개발사로부터 제공되기까지는 상당기간이 소요된다. 따라서, 패치가 발표되기까지의 상당기간 동안 해당 응용 프로그램을 활용할 수 없게 되는 것이다.
상기와 같은 문제점을 해결하기 위한 본 발명의 제1 목적은, 응용 프로그램의 취약점 분석 및 공격 방식 모델링을 통해 공격 패킷으로 판단되는 인터넷 웜을 실제 공격 발생 이전에 효율적으로 탐지하여 대응할 수 있도록 하는 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의 인터넷 웜 탐지 장치 및 그 방법을 제공하는 데에 있다.
본 발명의 제2 목적은 인터넷 웜의 탐지에 있어서 분할되거나 순서가 바뀌어 도착하는 패킷의 특정 세션에 속하는 정보 중 일부만을 저장하고 활용함으로써 저장장치의 효율성을 확보하고 분할된 또는 순서대로 도착하지 않는 패킷의 처리에 요구되는 자원 및 처리 시간을 감소시키는 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의 인터넷 웜 탐지 장치 및 그 방법을 제공하는 데에 있다.
상기와 같은 본 발명의 목적을 달성하기 위하여, 본 발명의 인터넷 웜 탐지 장치는, 공격 탐지에 필요한 응용 프로그램의 취약점 정보를 저장하는 취약점 정보 저장부; 네트워크(network)상에 전송되는 패킷(packet)이 취약점을 갖는 응용 프로그램으로 전송되는 것인지를 판단하는 위협 존재 판단부; 상기 취약점을 갖는 응용 프로그램으로 전송되는 것으로 판단된 패킷에서 상기 취약점 정보를 이용하여 공격 패킷인지 여부의 판단에 필요한 정보를 추출하는 패킷 내용 추출부; 및 상기 패킷에서 추출한 정보와 취약점 저장부에 저장된 취약점 정보를 상기 취약점 정보에 할당된 가중치에 따라 비교/분석하여 공격 패킷인지를 판단하는 공격 판단부; 상기 위협 존재 판단부에서 취약점을 갖는 응용 프로그램으로 전송되는 것으로 판단된 패킷이 분할되거나 순서가 변경되어 도착한 경우, 상기 패킷에 대한 정보를 패킷 내용 추출부로 출력하기 전에 과거의 세션 관리 정보 및 패킷 정보를 이용하여 상기 패킷의 분할된 정보를 통합하거나 순서를 바로잡는 분할 패킷 처리부를 포함하는 것을 특징으로 한다.
상기와 같은 본 발명의 목적을 달성하기 위하여, 본 발명의 인터넷 웜 탐지 장치에서, 취약점 분석 및 공격 방식 모델링을 이용하여 네트워크 기반의 인터넷 웜을 탐지하는 방법은, 공격 탐지에 필요한 응용 프로그램의 취약점 정보를 수집/분석하여 저장하는 단계; 네트워크상에 송수신 되는 패킷을 수집하는 단계; 상기 수집된 패킷이 취약점을 갖는 응용 프로그램으로 전송되는 것인지를 판단하는 단계; 상기 취약점을 갖는 응용프로그램으로 전송되는 패킷에 대하여 침입 판단을 위해 필요한 정보를 추출하는 단계; 상기 취약점을 갖는 응용 프로그램으로 전송되는 패킷에 대하여, 상기 패킷이 분할되거나 순서가 변경된 경우, 침입 판단을 위해 필요한 정보를 추출하기 전에 기존 세션의 관리 정보 및 과거 패킷의 정보를 이용해 상기 패킷의 분할된 정보를 통합하거나 순서를 바로잡는 단계; 상기 추출된 패킷 정보 및 상기 저장된 취약점 정보를 상기 취약점 정보에 할당된 가중치에 따라 비교/분석하여 해당 패킷이 공격 패킷인지 판단하는 단계; 및 상기 패킷이 공격 패킷으로 판단한 경우, 상기 패킷의 정보를 관리자 또는 보안장비로 출력하거나 직접 상기 공격 패킷을 삭제하는 단계로 이루어진다.
상기 언급한 바와 같이, 본 발명은 발견된 취약점 분석을 통해 침입 탐지에 활용할 수 있는 정보를 추출한다. 즉, 이미 발견된 취약점을 이용하는 공격에 대한 탐지를 수행하는 것이다. 여기에서 취약점이 발견되었다는 것은 '어떤 운영체제에서 동작하는', '어떤 포트를 사용하는', '어떤 응용프로그램이', '어떤 경우 발생하는', '어떤 취약점을 갖는지' 알 수 있다는 것을 의미한다. 즉, 취약점이 발견되면 특정 응용 프로그램이 어떤 경우 문제를 발생하는지 알 수 있게 되는 것이다. 따라서, 실제 공격이 발생하기 이전에 동일한 운영체제상에서 취약점을 갖는 응용 프로그램을 실행하며 문제가 발생하는 상태를 분석할 수 있게 되는 것이다. 이를 통해 버퍼 오버플로우 취약점을 갖고 있는 함수에서 해당 버퍼를 통해 메모리상에 저장시킬 수 있는 데이터의 대략적인 위치와 공격 간 활용될 수 있는 주요 라이브러리 함수의 메모리상의 위치를 사전에 파악할 수 있다.
여기에서 중요한 사항은 '어떤 취약점이 어떤 경우 발생하는가'하는 점이다. 모든 응용 프로그램은 해당 응용 프로그램을 활용할 수 있도록 하기 위해 응용프로그램 규약(application protocol)을 갖고 있다. 즉, 네트워크를 통한 원격지에서 해당 응용 프로그램을 활용하기 위해 지켜야할 규약이 있는 것이다. 또한, 공격자는 공격을 수행함에 있어서 원격지에서 네트워크를 통해 임의의 데이터를 삽입하기 위해 해당 응용 프로그램에서 사용하는 규약에 맞도록 접속을 시도하고, 특정 키워드(응용 프로그램의 규약에 포함되어 있는 특정 값 또는 문자열), 예를 들어, HTTP의 GET, PUT 또는 SMTP의 SEND, RECV등과 같은 키워드를 사용하여 데이터를 삽입하게 된다. 따라서, 취약점을 갖는 응용 프로그램에 대한 분석을 통해 특정 키워드를 사용하는 경우에 사용할 수 있는 최대 버퍼 크기를 알 수 있으며, 해당 응용 프로그램에서 사용하는 범위 구분자(데이터의 끝을 표현하는 표시자)를 알 수 있다. 따라서, 취약점 분석을 통해 취약한 버퍼의 크기와 그 버퍼에 특정 데이터를 전송하고자 할 때 사용되어야만 하는 키워드를 알 수 있는 것이다. 버퍼오버플로우의 경우 이를 통해, 네트워크를 통해 송신되는 데이터가 취약한 응용 프로그램이 수행되는 시스템 내의 어느 위치에 기록되는지를 좁은 범위 이내로 한정할 수 있다. 또한 유사하게 포맷스트링 공격의 경우에도 데이터의 어느 위치에 공격에 사용되는 주소가 저장되는지를 한정할 수 있다. 즉, 침입탐지에 있어, 상기 오버플로우 공격기법과 포맷스트링 공격기법의 특징을 활용할 수 있다.
이에, 본 발명에서는 다음과 같은 정보(표 1)를 침입탐지를 위한 취약점 정보로 이용한다.
(표 1) 침입탐지를 위해 사용되는 정보
| (1) | 취약한 응용 프로그램이 사용하는 포트 번호 |
| (2) | 취약한 응용 프로그램의 취약점을 공격하기 위해 사용되는 키워드 |
| (3) | 취약한 키워드를 통해 일반적으로 전송되는 데이터의 형태 (숫자, 문자, 바이너리 데이터 등) |
| (4) | 취약한 응용프로그램의 취약한 키워드를 통해 사용자의 입력이 저장되는 메모리상의 버퍼의 크기 |
| (5) | 복귀주소로 활용되는 주소범위 |
| (6) | 해당 키워드가 사용하는 범위 구분자(Boundary Marker) |
| (7) | 해당 키워드가 시작될 수 있는 위치 정보 |
| (8) | 기타 |
이와 같은 정보를 이용하여 침입탐지를 위한 시그니처(signature)를 생성하게 된다. 생성된 시그니처는 취약점 발견과 동시에 배포가 가능한 형태로 작성될 수 있다. 이러한 정보의 활용은 본 발명의 실제 구현 예뿐만 아니라, 기존의 침입탐지시스템, 침입차단시스템 등 다양한 보안장비에 적용 가능한 형태로 제공될 수도 있다.
더하여, 이와 같은 정보가 네트워크기반 침입탐지 장치에서 효과적으로 활용되기 위해서는 네트워크 패킷의 분할 및 패킷 순서의 변경 상황을 극복할 수 있어야 한다. 왜냐하면 네트워크 패킷이 분할되거나 도착하는 패킷의 순서가 변경되는 경우, 실제로는 특정 키워드를 이용한 데이터의 전송이 시도되더라도 키워드가 분할되어 해당 키워드의 인식하지 못하는 경우가 발생할 수 있기 때문이다.
본 발명에서는 이와 같은 상황을 극복하기 위해 기존의 정보보호 시스템에서 활용하던 세션 정보 관리 기법보다 효율적인 방법을 제시한다. 본 방법은 일반적인 세션 관리 기법이 아니라, 본 발명에 적합하도록 개발된 세션 관리 기법이다.
본 발명에서 세션을 관리하는 목적은 패킷의 분할이나 순서의 변경으로 인해 키워드 인식이 되지 않는 경우를 극복하기 위함이다. 이를 위해 본 발명에서는 오직 키워드를 인식할 수 있는 부분만을 저장 관리한다. 즉, 세션 관리를 위해 필요한 패킷 내용 전체를 보유하는 것이 아니라, 키워드 인식에 필요한 부분만을 따로 보유하는 것이다. 이는 일반적으로 수행되는 패킷 전체를 저장하는 것보다 효율적이다. 이를 위해 본 발명에서는 '최대 키워드 크기'값을 사용한다. '최대 키워드 크기'란 취약점을 갖는 응용 프로그램에서 사용하는 모든 키워드들 중 그 크기가 가장 큰 키워드의 크기 값을 의미한다. 이를 이용하면, 확인이 필요한 패킷 전체를 저장하지 않고, 필요한 부분만을 저장함으로써 보다 효율적인 저장장소 자원 활용이 가능하게 된다. 이때, 각 응용프로그램은 해당 응용프로그램 자체적으로 사용하는 헤더 및 테일 부분을 가질 수 있는데, 이와 관련된 정보는 취약점 분석시 해당 응용프로그램에 대한 추가 분석을 통해 획득하고, 앞서의 취약점 정보와 함께 세션 관리 정보로서 저장된다.
본 발명에서는 세션 관리를 위해 다음과 같은 정보(표 2)를 사용한다.
(표 2) 세션 관리를 위해 사용되는 정보
| (1) | 근원지 IP주소 |
| (2) | 목적지 IP주소 |
| (3) | 근원지 포트 번호 |
| (4) | 목적지 포트 번호 |
| (5) | 네트워크 프로토콜 정보 |
| (6) | 최대 키워드 크기 |
| (7) | 특정 패킷내의 최대 키워드 크기만큼의 최초 및 최후 데이터 |
| (8) | 패킷 분할 정보 |
| (9) | 패킷 순서 정보 |
일부 응용 프로그램에서는 특정 키워드를 이용하여 응용 프로그램 수준에서 강제로 패킷 분할을 시도하는 경우가 있다. 이런 경우, 패킷의 IP 및 TCP/UDP 헤더만을 이용하여 패킷이 분할되었는지 알 수 없는 경우가 있다. 이런 경우를 극복하기 위해 본 발명에서는 새로운 세션이 생성되는 경우 해당 세션이 종료될 때까지 상기 세션 관리를 위한 정보를 보유하게 된다.
이하 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있는 바람직한 실시예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시예에 대한 동작 원리를 상세하게 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 하며, 도면 전체에 걸쳐 유사한 기능 및 작용을 하는 부분에 대해서는 동일한 도면 부호를 사용한다.
도 1은 본 발명의 바람직한 일 실시예에 따른 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의 인터넷 웜 탐지장치(220)를 개략적으로 도시한 블럭도이다. 도 1을 참조하면, 상기 인터넷 웜 탐지장치(220)는 위협 존재 판단부(120), 패킷 내용 추출부(140), 공격 판단부(170), 취약점 정보 저장부(150)를 포함한다.
더하여, 분할 패킷 처리부(130), 세션 관리 정보 저장부(160), 공격 대응부(180), 관리자(190) 또는 보안장비(200)를 포함할 수 있다.
미설명된 부호 (110)은 NIC장치(110)(network interface card)로써, 본 발명의 인터넷 웜 탐지장치(220)가 네트워크(100)로 부터 패킷을 수집할 수 있도록 하 는 인터페이스 수단이다.
상기 위협 존재 판단부(120)는, 네트워크(100)상에서 전송되는 패킷을 수집하여, 수집된 패킷이 취약점이 존재하는 응용 프로그램으로 전송되는 패킷인지를 상기 취약점 정보 저장부(150)로부터 얻은 취약점 정보를 활용하여 판단한다. 더 구체적으로 설명하면, 취약점이 발견된 응용 프로그램이 사용하는 포트와 동일한 포트를 사용하는 패킷인지 판단한다. 상기 판단 결과 취약점이 존재하는 응용 프로그램으로 전송되는 패킷이라면, 분할 패킷 처리부(130)이나 패킷 내용 추출부(140)로 출력하는데, 이때 해당 패킷이 분할되거나 순서가 변경되어 도착된 경우, 분할 패킷 처리부(130)로 출력한다.
상기 분할 패킷 처리부(130)는 패킷이 분할되었거나 순서가 변경되어 도착된 경우 키워드 추출이 가능한 형태로 분할된 패킷 통합하거나 순서를 바로잡는다.
상기 패킷 내용 추출부(140)는 패킷 내부로부터 패킷이 공격인지를 판단하기 위해 필요한 정보를 추출한다. 예를 들어, 근원지와 목적지의 IP주소, 사용하는 포트 번호, 네트워크 프로토콜 정보, 키워드 인식에 필요한 최대 키워드 크기 및 특정 패킷내의 최대 키워드 크기만큼의 최초 및 최후 데이터 등의 정보 등을 추출한다.
상기 공격 판단부(170)는 패킷으로부터 추출된 정보와 취약점 정보 저장부(150)에 저장되어있는 취약점 정보를 비교/분석하여 해당 패킷이 공격인지를 판단한다. 예를 들어, 해당 패킷이 사용하는 포트와 취약점을 갖는 응용 프로그램이 사용하는 포트가 일치하는지, 상기 패킷의 헤더 및 테일이 상기 응용 프로그램에서 사용하는 것인지, 상기 패킷의 데이터의 형태 및 범위 구분자가 상기 응용 프로그램에서 일반적으로 사용하는 것인지 등의 정보를 비교/분석하고 가중치를 부여하여 전체 분석 결과가 기 설정된 기준을 초과하는 경우에 공격 패킷으로 판단한다.
상기 공격 대응부(180)은 특정 패킷이 공격으로 판단된 경우 관리자(190)에게 통지하거나 보안장비(200)로 출력하고 또는 직접 해당 패킷을 삭제하는 역할을 한다.
이 과정에서, 상기 분할 패킷 처리부(130)와 공격 판단부(140)는 특정 패킷을 차후 같은 세션에서 활용하여 공격을 판단하고 분할 패킷을 통합 활용할 수 있게 하기 위해 세션 관리 정보 저장부(160)에 세션 관리 정보를 저장한다. 예를 들어, 근원지와 목적지의 IP주소, 근원지와 목적지의 포트 번호, 네트워크 프로토콜 정보, 최대 키워드의 크기, 특정 패킷 내의 최대 키워드 크기 만큼의 최초 및 최후 데이터, 패킷 분할 정보, 패킷 순서 정보 등을 저장하게 된다. 각부의 역할에 대해서는 아래에서 좀 더 상세하게 설명하기로 한다.
도 2는 본 발명의 바람직한 일 실시예에 따른 인터넷 웜 탐지장치(220)를 네트워크 환경에 적용한 시스템도이다. 도 2를 참조하면, 상기 도면의 하단부는 상기 인터넷 웜 탐지장치(220)가 외부 인터넷 네트워크(210)와 내부 인터넷 네트워크(230) 사이에 위치하여 인라인(in-line) 모드로 구현된 형태를 도시하고, 상단부는 상기 외부 인터넷 네트워크(210)와 내부 인터넷 네트워크(230) 사이에 위치한 모니터(moniter)(240)를 경유하여 모니터링(monitering) 모드로 구현된 형태를 도시한다. 각각의 모드에서 상기 인터넷 웜 탐지장치는 공격으로 판단된 패킷에 대해 관리자나 보안장치로 통지하여 대응하게 할 수도 있지만, 직접 공격 패킷을 삭제하는 기능을 수행할 수도 있다.
도 3은 본 발명의 바람직한 일 실시예에 따른 네트워크 기반 인터넷 웜 탐지 방법을 나타낸 순서도이다. 도 3을 참조하면, NIC(110)를 통해 네트워크(100) 상에 송수신 되는 패킷이 도착하면(S311), 위협 존재 판단부(120)는 상기 패킷을 분석해 사용 포트 번호를 추출하고(S313), 이를 취약점 정보 저장부(150)의 취약점 정보와 비교하여 해당 포트를 사용하는 응용 프로그램에 취약점이 존재하는지 판단한다(S315). 이때, 취약점이 존재하지 않으면 상기 패킷을 정상 패킷 처리 과정에 의해 처리하고(S312), 취약점이 존재하는 경우에는 분할되었는지 여부 또는 순서가 변경되어 도착한 패킷인지 여부를 판단한다(S316). 상기 패킷이 분할되지 않은 경우에는 해당 패킷을 패킷 내용 추출부(140)로 출력하고, 만일 상기 패킷이 분할되었거나 순서가 변경되어 도착한 경우에는 해당 패킷을 분할 패킷 처리부(130)로 출력한다.
이때, 상기 정상 패킷 처리 과정(S312)은 다양한 형태로 수행될 수 있는데, 예를 들어, 상기 도 2의 하단부 도식형태와 같이 인라인 모드로 구현되는 경우에는 패킷을 정상 포워딩하는 기능을 수행하게 된다. 그러나, 정상 패킷 처리 과정(S312)은 상기 예에 한정되는 것은 아니며 구현 형태에 따라 요구 사항에 맞게 새로이 정의되어 활용될 수 있음은 본 분야에서 지식을 보유한 자에게 자명할 것이므로 더 이상의 설명은 생략하기로 한다.
상기 패킷이 분할되었거나 순서가 변경되어 도착한 경우 분할 패킷 처리 부(130)에서는 도착된 패킷을 분석하여 해당 패킷과 동일한 세션에 속하는 패킷이 기존에 존재하였는지를 확인하고(S318), 존재한 경우에는 해당 세션의 과거 패킷을 이용해 작성된 세션 관리 정보를 세션 관리 정보 저장부(160)에서 읽어내고 이를 이용하여 현재 도착한 패킷을 순서대로 통합한다(S319). 여기에서 상기 과정(S319)은 패킷의 헤더 분석을 통해 과거 패킷과의 순서를 고려하여 이루어지며, 이렇게 통합된 패킷은 패킷 내용 추출부(140)로 출력된다. 만일 동일 세션이 기존에 존재하지 않았다면, 해당 패킷을 그대로 상기 패킷 내용 추출부(140)로 출력한다.
패킷 내용 추출부(140)는 도착한 패킷 내용으로부터 공격 패킷 판단에 필요한 정보를 추출하고 분석한다(S317). 이때, 응용 프로그램의 취약점마다 활용가능한 정보의 위치 및 특징이 다르기 때문에, 상기 취약점 정보 저장부(150)로부터 해당 취약점 정보를 획득하여 획득된 정보를 바탕으로 필요 정보를 추출한다. 이렇게 추출한 정보는 앞서 설명한 바와 같이 근원지와 목적지의 IP주소, 사용하는 포트 번호, 네트워크 프로토콜 정보, 키워드 인식에 필요한 최대 키워드 크기 및 특정 패킷내의 최대 키워드 크기만큼의 최초 및 최후 데이터 등의 정보가 된다. 이후, 상기 패킷 내용 추출부(140)는 정보 추출을 위해 필요한 취약점 정보를 공격 판단부(170)로 출력한다. 이는 동일한 정보를 다수의 장소에서 반복적으로 접근하는 자원낭비를 제거하기 위함이다. 그러나, 본 발명의 또 다른 구현 예에서는 상기 공격 판단부(170)가, 상기 패킷 내용 추출부(140)를 통해 취약점 정보를 전달받는 것이 아니라, 직접 취약점 정보 저장부(150)로부터 필요한 정보를 획득하도록 구성될 수도 있다.
공격 판단부(170)는 상기 패킷 내용 추출부(140)로부터 전달받은 상기 패킷 정보 및 취약점 정보를 활용하여 해당 패킷이 공격 패킷인지를 판단한다(S322). 이때 인터넷 웜의 특징과 공격 기법의 특징을 이용하여 판단하게 된다. 그런데, 상기 공격 판단부(170)에서 활용할 수 있는 정보가 다수이기 때문에 특정 패킷에 대해서는 모든 정보가 일치되지 않는 경우가 발생할 수 있다. 즉, 공격으로 판단하기 위해 적용되는 기준의 일부는 일치하고 일부는 일치하지 않을 수 있는 것이다. 이러한 경우는 사용하는 취약점 정보에 우선순위와 가중치를 부여하고, 해당 가중치를 포함하여 분석된 결과가 미리 설정된 기준보다 초과하는 경우는 공격으로 그렇지 않은 경우는 일반 패킷으로 분류할 수 있다. 해당 패킷이 공격이 아닌 경우에는(S323) 차후 추가 분석을 위해 관련 정보를 세션 관리 정보 저장부(160)에 저장하고(S325), 해당 패킷은 정상 패킷 처리 과정(S312)을 통해 처리되고, 공격 패킷인 경우에는(S323) 해당 패킷에 대한 판단 결과가 공격 대응부(180)로 출력된다.
공격 대응부(180)에서는 상기 공격 판단부(170)에 의해 공격으로 판단된 패킷에 대해, 설정에 따라 해당 결과를 직접 보안장비(200)로 출력하여 관련 패킷을 차단하거나 관리자(190)에게 공격 여부를 통지하는 등 직접 공격에 대한 대응을 수행할 수 있도록 지원하게 되며(S324), 직접 해당 패킷을 삭제하는 기능을 수행할 수도 있다. 이때, 상기 공격 패킷에 대한 세션 정보를 세션 관리 정보부(160)에 저장하여(S325), 이후 다른 패킷의 처리에 이용될 수 있도록 한다.
도 4는 본 발명의 바람직한 일 실시예에 따른 분할 패킷 관리를 위한 패킷 내 저장 정보를 표현한 개념도이다. 도 4를 참조하면, 보다 효율적으로 세션 관리 정보 저장부(160)를 활용하기 위해, 본 발명에서는 확인이 필요한 패킷 전체(N 바이트)를 저장하지 않고 공격 탐지에 필요한 부분(M + M 바이트)만을 저장한다.즉, 본 발명에서는 세션 관리를 위해 필요한 패킷 내용 전체를 보유하는 것이 아니라, 키워드 인식에 필요한 부분만을 따로 세션 관리 정보 저장부(160)에 저장한다. 이를 통해 패킷 전체를 저장하는 일반적인 방식에 비해 저장장소의 활용 효율을 높일 수 있다.
이를 위해 본 발명에서는 '최대 키워드 크기'값을 사용한다. '최대 키워드 크기'란 취약점을 갖는 응용 프로그램에서 사용하는 모든 키워드들 중 그 크기가 가장 큰 키워드의 크기 값을 의미한다. 즉, 확인이 필요한 패킷 전체를 저장하지 않고, 상기 최대 키워드 크기 이내인 키워드 인식에 필요한 부분만을 저장함으로써 보다 효율적인 저장장소 자원 활용이 가능하게 된다. 또한, 도착된 패킷의 처리에 있어 데이터를 읽어들이거나 처리하는 과정에서 요구되는 자원 또는 시간을 감소시킬 수 있고 특히 분할되었거나 또는 순서대로 도착하지 않는 패킷의 처리과정 또는 기존 세션 관리 정보를 활용하는 과정에서 효율성을 증대할 수 있게 된다.
상기한 바와 같이 본 발명의 취약점 분석 및 공격방식 모델링을 이용한 네트워크 기반의 인터넷 웜 탐지장치 및 그 방법은, 응용 프로그램의 취약점 정보 분석을 통해 칩입 탐지를 위한 정보를 추출하고 해당 취약점을 공격할 수 있는 패킷을 추출함으로써 취약점이 발견된 응용 프로그램에 대한 공격을 실제 공격 발생 이전에 탐지하여 대응할 수 있도록 한다.
또한, 본 발명은 인터넷 웜의 탐지에 있어서 분할되거나 순서가 바뀌어 도착하는 패킷의 전체 정보 중에서 최대 키워드 크기 이내의 데이터만을 저장함으로써 저장장치의 효율성을 확보하고 분할된 또는 순서대로 도착하지 않는 패킷의 처리에 요구되는 자원 및 처리 시간을 감소시킬 수 있게 한다.
또한, 응용 프로그램의 취약점 정보와 세션의 정보를 저장/활용함으로써 인터넷 웜 탐지에 필요한 자원 및 소요시간을 줄이고 네트워크상에서 고속으로 전파되는 인터넷 웜을 효율적으로 탐지할 수 있도록 한다.
Claims (13)
- 삭제
- 공격 탐지에 필요한 응용 프로그램의 취약점 정보를 저장하는 취약점 정보 저장부;네트워크(network)상에 전송되는 패킷(packet)이 취약점을 갖는 응용 프로그램으로 전송되는 것인지를 판단하는 위협 존재 판단부;상기 취약점을 갖는 응용 프로그램으로 전송되는 것으로 판단된 패킷에서 상기 취약점 정보를 이용하여 공격 패킷인지 여부의 판단에 필요한 정보를 추출하는 패킷 내용 추출부; 및상기 패킷에서 추출한 정보와 취약점 저장부에 저장된 취약점 정보를 상기 취약점 정보에 할당된 가중치에 따라 비교/분석하여 공격 패킷인지를 판단하는 공격 판단부;상기 위협 존재 판단부에서 취약점을 갖는 응용 프로그램으로 전송되는 것으로 판단된 패킷이 분할되거나 순서가 변경되어 도착한 경우, 상기 패킷에 대한 정보를 패킷 내용 추출부로 출력하기 전에 과거의 세션 관리 정보 및 패킷 정보를 이용하여 상기 패킷의 분할된 정보를 통합하거나 순서를 바로잡는 분할 패킷 처리부를 포함하는 것을 특징으로 하는 네트워크 기반의 인터넷(internet) 웜(worm) 탐지장치.
- 제 2항에 있어서,상기 공격 판단부는, 공격 여부 판단을 위해 비교/분석되는 취약점 정보별로 우선순위와 가중치를 부여하여, 전체 분석 결과가 기 설정된 일정한 기준을 초과하는 경우에 공격 패킷으로 판단하는 것을 특징으로 하는 인터넷 웜 탐지장치.
- 제 2항에 있어서,상기 취약점 정보 저장부는, 응용 프로그램의 취약점 발견시 상기 취약점을 분석하여, 상기 응용 프로그램이 사용하는 포트(port) 번호, 상기 취약점을 공격하기 위해 사용되는 키워드(keyword), 상기 키워드를 통해 전송되는 데이터(data)의 형태, 상기 키워드의 범위 구분자(boundary marker), 상기 키워드의 시작 위치 정보, 및 복귀 주소의 범위에 관한 정보 중에서 어느 하나 이상을 저장하는 것을 특징으로 하는 인터넷 웜 탐지장치.
- 제 2항에 있어서,상기 공격 판단부로부터 해당 패킷의 근원지 및 목적지의 IP(internet protocol) 주소와 포트 번호, 네트워크 프로토콜(network protocol) 정보, 키워드의 데이터, 분할 정보 및 순서 정보를 전송받아 그 중 어느 하나 이상을 저장하여, 상기 분할 패킷 처리부에서 분할되거나 순서가 변경되어 도착된 패킷을 처리하기 위해 필요한 기존 세션 관리 정보 및 과거 패킷 정보를 제공하는 세션 관리 정보 저장부를 더 포함하는 것을 특징으로 하는 인터넷 웜 탐지장치.
- 제 5항에 있어서,상기 공격 판단부에서 분석한 패킷이 공격 패킷이 아니라고 판단한 경우 상기 세션 관리 정보 저장부에 상기 패킷의 정보를 저장하고, 공격 패킷인 것으로 판단한 경우에는 상기 패킷의 정보를 관리자 또는 보안장비로 출력하거나 직접 상기 공격 패킷을 삭제하는 기능을 수행하는 공격 대응부를 더 포함하는 것을 특징으로 하는 인터넷 웜 탐지장치.
- 제 5항에 있어서,상기 세션 관리 정보 저장부는 키워드의 데이터를 저장하는 경우에, 최대 키워드의 크기, 그리고 키워드 인식에 필요한 상기 최대 키워드 크기 이내의 최초 및 최후 데이터만을 저장하는 것을 특징으로 하는 인터넷 웜 탐지장치.
- 삭제
- 인터넷 웜 탐지 장치에서, 취약점 분석 및 공격 방식 모델링을 이용하여 네트워크 기반의 인터넷 웜을 탐지하는 방법에 있어서,공격 탐지에 필요한 응용 프로그램의 취약점 정보를 수집/분석하여 저장하는 단계;네트워크상에 송수신 되는 패킷을 수집하는 단계;상기 수집된 패킷이 취약점을 갖는 응용 프로그램으로 전송되는 것인지를 판단하는 단계;상기 취약점을 갖는 응용프로그램으로 전송되는 패킷에 대하여 침입 판단을 위해 필요한 정보를 추출하는 단계;상기 취약점을 갖는 응용 프로그램으로 전송되는 패킷에 대하여, 상기 패킷이 분할되거나 순서가 변경된 경우, 침입 판단을 위해 필요한 정보를 추출하기 전에 기존 세션의 관리 정보 및 과거 패킷의 정보를 이용해 상기 패킷의 분할된 정보를 통합하거나 순서를 바로잡는 단계;상기 추출된 패킷 정보 및 상기 저장된 취약점 정보를 상기 취약점 정보에 할당된 가중치에 따라 비교/분석하여 해당 패킷이 공격 패킷인지 판단하는 단계; 및상기 패킷이 공격 패킷으로 판단한 경우, 상기 패킷의 정보를 관리자 또는 보안장비로 출력하거나 직접 상기 공격 패킷을 삭제하는 단계로 이루어지는 네트워크 기반의 인터넷 웜 탐지방법.
- 제 9항에 있어서,상기 해당 패킷이 공격 패킷인지 판단하는 단계는,공격 여부 판단을 위해 사용되는 취약점 정보에 우선순위와 가중치를 부여하고, 그 비교/분석 결과가 기 설정된 일정한 기준을 초과하는 경우에만 공격 패킷으로 분류하는 것을 특징으로 하는 인터넷 웜 탐지방법.
- 제 9항에 있어서,상기 저장된 응용 프로그램의 취약점 정보는, 해당 응용 프로그램이 사용하는 포트 번호, 상기 취약점을 공격하기 위해 사용되는 키워드, 상기 키워드를 통해 전송되는 데이터의 형태, 취약한 응용프로그램의 취약한 키워드를 통해 사용자의 입력이 저장되는 메모리상의 버퍼의 크기, 상기 키워드의 범위 구분자, 상기 키워드의 시작 위치 정보, 및 복귀 주소의 범위에 관한 정보 중에서 어느 하나 이상을 포함하는 것을 특징으로 하는 인터넷 웜 탐지방법.
- 제 9항에 있어서,상기 패킷의 분할된 정보를 통합하거나 순서를 바로잡는 단계에서 이용되는 정보를 제공하기 위해, 상기 수집된 패킷의 근원지 및 목적지의 IP 주소와 포트 번호, 네트워크 프로토콜 정보, 키워드의 데이터, 분할 정보 및 순서 정보 중 어느 하나 이상을 저장하는 단계를 더 포함하는 것을 특징으로 하는 인터넷 웜 탐지방법.
- 제 12항에 있어서,상기 키워드의 데이터는, 최대 키워드의 크기, 그리고 키워드 인식에 필요한 상기 최대 키워드 크기 이내의 최초 및 최후 데이터만을 저장하는 것을 특징으로 하는 인터넷 웜 탐지방법.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020060105179A KR100862187B1 (ko) | 2006-10-27 | 2006-10-27 | 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법 |
| US11/685,940 US20080104702A1 (en) | 2006-10-27 | 2007-03-14 | Network-based internet worm detection apparatus and method using vulnerability analysis and attack modeling |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020060105179A KR100862187B1 (ko) | 2006-10-27 | 2006-10-27 | 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20080037909A KR20080037909A (ko) | 2008-05-02 |
| KR100862187B1 true KR100862187B1 (ko) | 2008-10-09 |
Family
ID=39332002
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020060105179A KR100862187B1 (ko) | 2006-10-27 | 2006-10-27 | 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20080104702A1 (ko) |
| KR (1) | KR100862187B1 (ko) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017019103A1 (en) * | 2015-07-30 | 2017-02-02 | Hewlett Packard Enterprise Development Lp | Network traffic pattern based machine readable instruction identification |
| US10269347B2 (en) | 2016-02-05 | 2019-04-23 | Samsung Electronics Co., Ltd. | Method for detecting voice and electronic device using the same |
| KR20220081145A (ko) | 2020-12-08 | 2022-06-15 | 상명대학교산학협력단 | Ai 기반 이상징후 침입 탐지 및 대응 시스템 |
| KR20230032897A (ko) | 2021-08-30 | 2023-03-07 | 고려대학교 산학협력단 | 블록체인 기술을 이용한 위협 모델링 방법 |
| KR20230045716A (ko) * | 2021-09-28 | 2023-04-05 | 충북대학교 산학협력단 | 압축 패킷의 보안 처리 방법 및 이를 이용하는 보안 지원 장치 |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8984644B2 (en) | 2003-07-01 | 2015-03-17 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
| US9118708B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Multi-path remediation |
| US9118711B2 (en) * | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
| US20070113272A2 (en) | 2003-07-01 | 2007-05-17 | Securityprofiling, Inc. | Real-time vulnerability monitoring |
| US9118709B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
| KR101269552B1 (ko) * | 2009-11-02 | 2013-06-04 | 한국전자통신연구원 | Http를 이용한 통신에서 불완전한 get 요청 메시지에 의한 서비스 거부 공격을 탐지하는 방법 및 그 장치 |
| US8776243B2 (en) | 2012-04-27 | 2014-07-08 | Ixia | Methods, systems, and computer readable media for combining IP fragmentation evasion techniques |
| JP6252254B2 (ja) * | 2014-02-28 | 2017-12-27 | 富士通株式会社 | 監視プログラム、監視方法および監視装置 |
| KR101902654B1 (ko) * | 2016-12-23 | 2018-09-28 | 서울여자대학교 산학협력단 | 지능형 웜 전파 취약점 진단 방법 및 이를 구현한 프로그램 |
| US10581802B2 (en) | 2017-03-16 | 2020-03-03 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Methods, systems, and computer readable media for advertising network security capabilities |
| KR101904911B1 (ko) | 2017-10-13 | 2018-10-08 | 한국인터넷진흥원 | 하이브리드 퍼징 기반 보안 취약점 자동 탐색 방법 및 그 장치 |
| WO2019097382A1 (en) | 2017-11-15 | 2019-05-23 | Xm Cyber Ltd. | Selectively choosing between actual-attack and simulation/evaluation for validating a vulnerability of a network node during execution of a penetration testing campaign |
| US10382473B1 (en) * | 2018-09-12 | 2019-08-13 | Xm Cyber Ltd. | Systems and methods for determining optimal remediation recommendations in penetration testing |
| US11283827B2 (en) | 2019-02-28 | 2022-03-22 | Xm Cyber Ltd. | Lateral movement strategy during penetration testing of a networked system |
| US11206281B2 (en) | 2019-05-08 | 2021-12-21 | Xm Cyber Ltd. | Validating the use of user credentials in a penetration testing campaign |
| US10637883B1 (en) * | 2019-07-04 | 2020-04-28 | Xm Cyber Ltd. | Systems and methods for determining optimal remediation recommendations in penetration testing |
| US10880326B1 (en) | 2019-08-01 | 2020-12-29 | Xm Cyber Ltd. | Systems and methods for determining an opportunity for node poisoning in a penetration testing campaign, based on actual network traffic |
| US11533329B2 (en) | 2019-09-27 | 2022-12-20 | Keysight Technologies, Inc. | Methods, systems and computer readable media for threat simulation and threat mitigation recommendations |
| US11005878B1 (en) | 2019-11-07 | 2021-05-11 | Xm Cyber Ltd. | Cooperation between reconnaissance agents in penetration testing campaigns |
| US11575700B2 (en) | 2020-01-27 | 2023-02-07 | Xm Cyber Ltd. | Systems and methods for displaying an attack vector available to an attacker of a networked system |
| US11582256B2 (en) | 2020-04-06 | 2023-02-14 | Xm Cyber Ltd. | Determining multiple ways for compromising a network node in a penetration testing campaign |
| KR102421150B1 (ko) * | 2020-11-06 | 2022-07-15 | 주식회사 윈스 | 고속 네트워크 보안 장비의 동일 패킷 분산 처리를 위한 장치 및 방법 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040035572A (ko) * | 2002-10-22 | 2004-04-29 | 최운호 | 정보 인프라에서의 종합 침해사고 대응시스템 및 그운영방법 |
| KR20050097170A (ko) * | 2004-03-31 | 2005-10-07 | 이화여자대학교 산학협력단 | 근원지 아이피 주소 변조 패킷의 탐지 및 패킷 근원지지적 방법 |
| KR20060030037A (ko) * | 2004-05-12 | 2006-04-07 | 니폰덴신뎅와 가부시키가이샤 | 네트워크 공격 대책방법, 네트워크 공격 대책장치 및 네트워크 공격 대책 프로그램을 기록한 기록매체 |
| KR20060058745A (ko) * | 2004-11-25 | 2006-05-30 | 한국전자통신연구원 | 인터넷 서버 보안 장치 및 그 방법 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
-
2006
- 2006-10-27 KR KR1020060105179A patent/KR100862187B1/ko not_active IP Right Cessation
-
2007
- 2007-03-14 US US11/685,940 patent/US20080104702A1/en not_active Abandoned
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040035572A (ko) * | 2002-10-22 | 2004-04-29 | 최운호 | 정보 인프라에서의 종합 침해사고 대응시스템 및 그운영방법 |
| KR20050097170A (ko) * | 2004-03-31 | 2005-10-07 | 이화여자대학교 산학협력단 | 근원지 아이피 주소 변조 패킷의 탐지 및 패킷 근원지지적 방법 |
| KR20060030037A (ko) * | 2004-05-12 | 2006-04-07 | 니폰덴신뎅와 가부시키가이샤 | 네트워크 공격 대책방법, 네트워크 공격 대책장치 및 네트워크 공격 대책 프로그램을 기록한 기록매체 |
| KR20060058745A (ko) * | 2004-11-25 | 2006-05-30 | 한국전자통신연구원 | 인터넷 서버 보안 장치 및 그 방법 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017019103A1 (en) * | 2015-07-30 | 2017-02-02 | Hewlett Packard Enterprise Development Lp | Network traffic pattern based machine readable instruction identification |
| US10757029B2 (en) | 2015-07-30 | 2020-08-25 | Trend Micro Incorporated | Network traffic pattern based machine readable instruction identification |
| US10269347B2 (en) | 2016-02-05 | 2019-04-23 | Samsung Electronics Co., Ltd. | Method for detecting voice and electronic device using the same |
| KR20220081145A (ko) | 2020-12-08 | 2022-06-15 | 상명대학교산학협력단 | Ai 기반 이상징후 침입 탐지 및 대응 시스템 |
| KR20230032897A (ko) | 2021-08-30 | 2023-03-07 | 고려대학교 산학협력단 | 블록체인 기술을 이용한 위협 모델링 방법 |
| KR20230045716A (ko) * | 2021-09-28 | 2023-04-05 | 충북대학교 산학협력단 | 압축 패킷의 보안 처리 방법 및 이를 이용하는 보안 지원 장치 |
| KR102607050B1 (ko) * | 2021-09-28 | 2023-11-30 | 충북대학교 산학협력단 | 압축 패킷의 보안 처리 방법 및 이를 이용하는 보안 지원 장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20080037909A (ko) | 2008-05-02 |
| US20080104702A1 (en) | 2008-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100862187B1 (ko) | 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법 | |
| US9537897B2 (en) | Method and apparatus for providing analysis service based on behavior in mobile network environment | |
| US9912691B2 (en) | Fuzzy hash of behavioral results | |
| US10581879B1 (en) | Enhanced malware detection for generated objects | |
| US9781144B1 (en) | Determining duplicate objects for malware analysis using environmental/context information | |
| US10225280B2 (en) | System and method for verifying and detecting malware | |
| RU2613535C1 (ru) | Способ обнаружения вредоносных программ и элементов | |
| US10430586B1 (en) | Methods of identifying heap spray attacks using memory anomaly detection | |
| EP2106085B1 (en) | System and method for securing a network from zero-day vulnerability exploits | |
| EP3258409B1 (en) | Device for detecting terminal infected by malware, system for detecting terminal infected by malware, method for detecting terminal infected by malware, and program for detecting terminal infected by malware | |
| US10218717B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN103634306A (zh) | 网络数据的安全检测方法和安全检测服务器 | |
| CA2545916A1 (en) | Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| WO2018076697A1 (zh) | 僵尸特征的检测方法和装置 | |
| JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| US20190180032A1 (en) | Classification apparatus, classification method, and classification program | |
| CN108182360A (zh) | 一种风险识别方法及其设备、存储介质、电子设备 | |
| CN113965406A (zh) | 网络阻断方法、装置、电子装置和存储介质 | |
| KR20100070623A (ko) | 봇 수집ㆍ분석시스템 및 그 방법 | |
| US10237287B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| US9794274B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| CN114205150B (zh) | 容器环境的入侵防御方法及装置、电子设备、存储介质 | |
| CN110933094A (zh) | 一种网络安全设备及其smb漏洞检测方法、装置和介质 | |
| CN112953957B (zh) | 一种入侵防御方法、系统及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| AMND | Amendment | ||
| E601 | Decision to refuse application | ||
| AMND | Amendment | ||
| J201 | Request for trial against refusal decision | ||
| B701 | Decision to grant | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20120928 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20130923 Year of fee payment: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20140926 Year of fee payment: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20150925 Year of fee payment: 8 |
|
| LAPS | Lapse due to unpaid annual fee |