KR100862321B1 - 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치 - Google Patents

시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치 Download PDF

Info

Publication number
KR100862321B1
KR100862321B1 KR1020060102112A KR20060102112A KR100862321B1 KR 100862321 B1 KR100862321 B1 KR 100862321B1 KR 1020060102112 A KR1020060102112 A KR 1020060102112A KR 20060102112 A KR20060102112 A KR 20060102112A KR 100862321 B1 KR100862321 B1 KR 100862321B1
Authority
KR
South Korea
Prior art keywords
packet
network
service
attack
internal network
Prior art date
Application number
KR1020060102112A
Other languages
English (en)
Other versions
KR20080035724A (ko
Inventor
전덕조
채문창
이충한
Original Assignee
전덕조
채문창
이충한
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 전덕조, 채문창, 이충한 filed Critical 전덕조
Priority to KR1020060102112A priority Critical patent/KR100862321B1/ko
Publication of KR20080035724A publication Critical patent/KR20080035724A/ko
Application granted granted Critical
Publication of KR100862321B1 publication Critical patent/KR100862321B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 시그니처(Signature)를 이용하지 않는 네트워크 공격 탐지 및 차단 방법 및 장치를 개시한다. 본 발명은 사전에 내부 네트워크에서 제공되는 서비스를 파악하고, 해당 서비스와 상관없는 서비스를 요청하는 정찰 패킷에 대한 허위로 조작된 응답 패킷을 생성하여 전송한 후, 상대방의 응답을 확인하여, 상대방의 공격 의도를 검증함으로써, 사전에 시그너처가 형성되지 않은 신종 네트워크 공격 및 시그니처로 탐지가 불가능한 다양한 해킹 공격을 탐지하고 차단할 수 있는 효과가 있다.

Description

시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단 방법 및 장치{Method and apparatus for detecting and blocking network attack without attack signature}
도 1 은 본 발명의 바람직한 실시예에 따른 네트워크 공격 탐지 및 차단 장치가 연결된 전체 네트워크의 구성을 도시하는 블록도이다.
도 2 는 본 발명의 바람직한 실시예에 따른 네트워크 공격 탐지 장치의 상세 구성을 도시하는 상세 블록도이다.
도 3 은 본 발명의 바람직한 실시예에 따른 네트워크 공격 탐지 및 차단 방법을 설명하는 흐름도이다.
도 4a 내지 도 4c 는 도 3 의 각 단계를 상세하게 설명하는 상세 흐름도이다.
본 발명은 시그니처를 이용하지 않는 네트워크 공격 탐지 및 차단 방법 및 장치에 관한 것이다. 구체적으로 본 발명은 네트워크 정찰행위에 이용되는 패킷들을 조사하고 해당 패킷의 공격 의도를 검증함으로써 네트워크에 대한 공격을 탐 지하고 차단하는 방법 및 장치에 관한 것이다.
최근 네트워크 공격의 유형 중 웜(Worm) 및 봇(Bot)과 같은 Zero-day 공격에 의한 피해가 가장 자주 발생하고 있으며, 그러한 공격에 의한 피해가 지속적으로 증가하고 있는 추세이다. 그러한 공격들의 특성은 네트워크를 통하여 취약점을 자동으로 찾아 스스로 전파되며, 인터넷으로 연결된 수많은 취약한 컴퓨터들에 의하여 증폭되어 고속으로 확산되므로 피해가 매우 심각하다.
이러한 네트워크 공격을 탐지하고 방어하기 위한 기존의 네트워크 보안 기술로서 대표적인 것이 방화벽을 설치하는 것이다. 이러한 방화벽 기술은 보안 정책에 기반하여 불법 패킷을 필터링하기 위한 기술로서, 이를 위해서는 기업에서 사용하는 포트/서비스를 개방하여야 하는데, 해커 또는 웜과 같은 악성 코드는 이러한 개방된 포트를 통하여 기업 내부 네트워크를 공격할 수 있는 문제점이 있다.
또한, 일부 기업에서는 방화벽에 부가하여 침입탐지 또는 방지기술을 적용하고 있으나 이들 기술들은 시그니처(Signature)로 불리는 사전에 인지된 공격패턴에 기반하여 네트워크 불법 접근을 탐지하거나 차단한다.
따라서, 이러한 기술에서 사용하는 불법 네트워크 접근 여부에 대한 판단을 위해서는 사전에 시그니처(Signature)가 이미 연구되어 탑재되어 있어야 하므로, 시그니처(Signature)가 만들어지기 이전의 최초 공격 또는 신종 공격에 대해서는 그 탐지 및 방지가 불가능하다.
즉, 시그니처(Signature)를 작성하고 활용하기 위해서는, 먼저 해당 네트워크 공격 트래픽을 수집하고, 이를 전문가에게 의뢰하여 해당 공격을 분석하고, 전 문가에 의하여 공격 탐지/방지 규칙을 작성한다. 그 후, 해당 공격 탐지/방지 규칙이 합법적인 트래픽에 영향을 미치지 않는 지를 검증하여 해당 침입 탐지/방지 장비에 탑재하여야 한다.
이러한 공격판단으로부터 규칙 작성까지의 일련의 과정에는 많은 시간과 노력이 필요하므로, 이러한 방식으로는 이전에 발생하지 않았던 신종 공격을 탐지할 수 없을 뿐만 아니라, 최근 네트워크 공격의 많은 부분을 차지하는 Zero-day 악성 자가 전파 코드의 고속 확산 특성을 고려할 때 적용하기 불가능한 문제점이 있다.
한편, 이러한 기존의 보안 기술 이외에도 최근에 부각되고 있는 방법으로서, 네트워크 이상행위를 판단하는 기법들이 있는데, 이들 기법들 중 대표적인 기법은 네트워크로 유입되고 유출되는 트래픽이 정상 트래픽의 범주에서 벗어난 정도를 이용하여 네트워크 이상행위를 판단하는 방식을 취하고 있다. 그러나, 이러한 기법들은 공격을 정확하게 탐지하는 것이 아니라 단지 사람이 감시해야 할 네트워크 이상행위에 대한 정보만을 제공할 뿐이므로 공격의 정확한 자동 판단이 불가능한 문제점이 존재한다.
본 발명이 이루고자 하는 기술적 과제는, 이전에 한번도 발생한 사례가 없는 네트워크에 대한 신종 공격 및 다양한 해킹공격을 자동으로 탐지하고 차단하는 방법 및 장치를 제공하는 것이다.
본 발명을 설명하기에 앞서, 본 발명의 구현 개념을 간략하게 설명한다. 본 발명의 네트워크 공격 탐지 및 차단 방법은, 악의를 가진 사람에 의한 네트워크 해킹이든 또는 웜과 같은 악성 코드에 의한 공격이든, 모든 종류의 네트워크 공격에는 반드시 공격이 이루어지기 전에 네트워크 정찰(Reconnaissance)을 통해서 공격 대상 네트워크에 대한 사전 정보 수집단계를 거치게 된다는 점에 착안하여, 내부 네트워크에서 외부 네트워크로 서비스되고 있는 서비스를 파악하고, 이 정보를 이용하여 외부에서 유입되는 패킷과 내부 네트워크에서 제공하고 있는 서비스와의 연관성을 파악하고, 연관성이 없는 패킷일 경우, 해당 패킷에 대한 응답 패킷을 조작하여 응답하고 이에 대한 상대방의 반응을 확인하여 유입된 패킷의 공격의도 여부를 판단함으로써, 이전에는 한번도 발생한 적이 없는 신종공격들을 시그니처(Signature)없이도 자동으로 탐지하고 차단하는 기법을 제공한다.
상술한 기술적 과제를 이루기 위한 본 발명의 네트워크 공격 탐지 및 차단 장치는, 내부 네트워크에서 제공되는 서비스를 파악하고, 서비스 목록을 생성하는 서비스 탐지부; 서비스 목록을 저장하는 서비스 목록 저장부; 내부 네트워크로 유입되는 유입 패킷이 요청하는 서비스를 서비스 목록과 비교하여 유입 패킷이 네트워크 공격을 위한 정찰 패킷인지 여부를 판별하는 패킷 판별부; 및 정찰 패킷으로 판별되어 패킷 판별부로부터 입력된 유입 패킷에 따라서 응답 패킷을 조작하여 전송하는 패킷 검증부를 포함한다.
또한, 상술한 네트워크 공격 탐지 및 차단 장치의 패킷 검증부는, 조작된 응답 패킷에 따라서 내부 네트워크에 대한 재접근 시도가 탐지되면, 접근을 내부 네트워크에 대한 공격으로 판단하여 차단하고, 내부 네트워크의 관리자에게 통지할 수 있다.
한편, 상술한 기술적 과제를 이루기 위한 네트워크 공격 탐지 및 차단 방법은, (a) 내부 네트워크에서 제공되는 서비스 목록을 생성하여 저장하는 단계; (b) 내부 네트워크로 유입되는 유입 패킷이 요청하는 서비스를 서비스 목록과 비교하여 유입 패킷이 네트워크 공격을 위한 정찰 패킷인지 여부를 판별하는 단계; 및 (c) 유입 패킷이 정찰 패킷으로 판별되면, 정찰 패킷에 따라서 응답 패킷을 조작하여 전송하는 단계를 포함한다.
또한, 상술한 네트워크 공격 탐지 및 차단 방법은, (d) 조작된 응답 패킷에 따라서 내부 네트워크에 대한 재접근 시도가 탐지되면, 접근을 내부 네트워크에 대한 공격으로 판단하여 차단하고, 내부 네트워크의 관리자에게 통지하는 단계를 더 포함할 수 있다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예들을 설명한다.
도 1 은 본 발명의 바람직한 실시예에 따른 네트워크 공격 탐지 및 차단 장치가 연결된 전체 네트워크의 구성을 도시하는 블록도이다.
도 1 을 참조하면, 전체 네트워크는 라우터(10), 스위치(30), 스위치(30)와 라우터(10)를 통해서 인터넷망에 접속하여 클라이언트 단말에 소정의 서비스를 제공하는 각각의 서비스 서버들(40), 기업 내부의 네트워크로 유입되는 패킷 및 기업 내부 네트워크로부터 유출되는 패킷들을 조사하여 네트워크 공격을 탐지하고 차단하는 탐지 장치(20), 및 탐지 장치(20)에서 탐지된 이상 행위 등을 관리자에게 표시하는 관리자 단말(50)을 포함한다.
이 때, 탐지 장치(20)는 라우터(10)와 스위치(30) 사이에 설치되어 라우터(10)와 스위치(30) 사이에서 유입/유출되는 패킷을 조사하는 것으로 도시하였으나, 라우터(10)와 외부 인터넷망 사이에 설치되어 라우터(10)로 유입되는 패킷 및 라우터(10)로부터 유출되는 패킷을 조사하도록 구현될 수도 있음을 당업자는 알 수 있을 것이다.
도 2 는 본 발명의 바람직한 실시예에 따른 네트워크 공격 탐지 장치(20)의 상세 구성을 도시하는 상세 블록도이다.
도 2 를 참조하면, 본 발명의 바람직한 실시예에 따른 탐지 장치(20)는 서비스 탐지부(22), 서비스 목록 저장부(24), 패킷 판별부(26), 패킷 검증부(28), 및 공격 패킷 정보 저장부(29)를 포함한다.
먼저, 서비스 탐지부(22)는 임의의 클라이언트와 기업 내부 서비스 서버(40)간의 트래픽을 조사하여 현재 기업 내부 네트워크에 포함된 서비스 서버(40)들이 제공하는 서비스 목록을 수집하여 서비스 목록 저장부(24)에 저장한다.
패킷 판별부(26)는 기업 내부 네트워크로 유입되는 패킷을 조사하여 네트워크 공격을 위한 정찰 패킷을 판별한다. 정찰 패킷을 판별하는 방법은 후술하는 바와 같이, 내부 네트워크로 입력되는 패킷을 조사하여 해당 패킷이 요청하는 서비스를 서비스 목록 저장부(24)에 저장된 서비스 목록과 비교하고, 유입 패킷이 내부 네트워크에서 외부로 제공하는 서비스와 관련된 경우에는 정상적인 패킷으로 판단하고, 유입 패킷이 내부 네트워크가 제공하는 서비스와 관련이 없는 경우에는 정찰 패킷을 판단하여 패킷 검증부(28)로 출력한다.
패킷 검증부(28)는 정찰 패킷으로 판별되어 패킷 판별부(26)로부터 입력된 패킷에 대해서, 응답 패킷을 조작하여 생성하고, 생성된 응답 패킷을 정찰 패킷을 전송한 상대방에게 전송한다. 또한, 조작된 응답 패킷에 응답하여 내부 네트워크로 접근을 시도하는 트래픽을 네트워크 공격으로 판단하여 차단하고, 공격 패킷에 관한 정보를 공격 패킷 정보 저장부(29)에 저장한다. 이 때, 공격 패킷 정보 저장부(29)에 저장되는 정보는 공격 패킷을 전송한 상대방의 IP 정보 등과 같은 상대방에 관한 정보와 탐지 패킷 및 공격 패킷에 포함된 정보들과 같은 패킷 정보들을 포함한다.
도 3 은 본 발명의 바람직한 실시예에 따른 네트워크 공격 탐지 및 차단 방법을 설명하는 흐름도이고, 도 4a 내지 도 4c 는 도 3 의 각 단계를 상세하게 설명하는 상세 흐름도이다. 도 3 내지 도 4c 를 참조하여 본 발명의 바람직한 실시예에 따른 네트워크 공격 탐지 방법을 설명한다.
먼저, 서비스 탐지부(22)는 소정 기간동안 기업 내부 네트워크와 외부 네트워크간에 상호 교환되는 트래픽을 조사하여 내부 네트워크로부터 외부 네트워크로 제공되는 서비스를 탐지하여, 서비스 목록을 생성하여 서비스 목록 저장부(24)에 저장한다(S310).
내부 네트워크에서 외부 네트워크로 제공되는 서비스는 TCP/IP환경에서는 크게 4 가지로 구분될 수 있다. 각각은 TCP, UDP, ICMP, ARP 서비스로 나눌 수 있으며, 그 중 TCP는 연결지향 프로토콜로서 헤더 필드의 Flag로서 서비스를 탐지할 수 있다.
TCP 연결을 확립하기 위해서는 3-way 핸드세이킹 과정을 거치므로 이 과정을 감시하여 제공되는 서비스를 판단한다. 즉, 외부에서 SYN flag가 설정된 연결요청 패킷이 유입되면 내부에서는 ACK/SYN flag가 설정된 패킷으로 연결요청에 대한 응답을 하게 되고, 마지막 단계로서 ACK flag가 설정된 패킷이 다시 유입된다.
외부에서 SYN flag가 설정된 연결요청 패킷이 유입되면 소정의 시간(T) 이내에 유출되는 ACK/SYN flag가 설정된 연결 요청 응답 패킷의 헤더에서 포트 번호를 확인함으로써 해당 연결요청에 대한 서비스가 제공되는지 여부를 판별할 수 있다.
나머지 UDP, ICMP, ARP 프로토콜은 모두 비연결 지향 프로토콜들로서 외부 네트워크로부터 해당 서비스에 대한 요청이 있고, 내부 네트워크에서 요청된 서비스를 제공하기 위해서는, 반드시 소정 시간(T) 이내에 해당 서비스 요청에 대한 응답을 하여야 하므로, 소정 시간(T)에 이러한 응답이 있는 경우, 해당 서비스가 제공되는 것으로 판단하며, 그렇지 않을 경우에는 해당 서비스를 외부로 제공하지 않는 것으로 판단한다. 이들 중 UDP 프로토콜은 헤더에 포트번호를 가지고 응답하므로 TCP와 유사한 방법으로 해당 UDP 포트에 대한 서비스가 제공되는 것으로 판단할 수 있다.
도 4a 는 서비스 탐지부(22)에서 서비스를 탐지하는 과정의 일예를 설명하는, 도 3의 제 S310 단계의 상세 흐름도이다. 도 4a 를 참조하면, 먼저, 외부 네트워크로부터 내부 네트워크로 패킷이 입력되면, 서비스 탐지부(22)는 내부 네트워크로 유입되는 패킷을 조사하고(S311), 유입 패킷이 TCP 프로토콜에 따른 패킷인지 여부 및 TCP 패킷인 경우에 SYN flag 가 설정되었는지 여부를 조사한다(S312).
패킷이 TCP 패킷이고 SYN flag 가 설정된 경우에, ACK flag 가 설정된 응답 패킷이 내부 네트워크로부터 외부 네트워크로 유출되는지 여부를 조사하여(S313), ACK/SYN flag 가 설정된 응답 패킷이 유출되는 경우에는 해당 프로토콜 및 서비스 포트 번호를 포함하는 서비스 목록을 생성하여 서비스 목록 저장부(24)에 저장하고(S314), ACK/SYN flag 가 설정된 응답 패킷이 유출되지 않는 경우에는 해당 유입 패킷을 유기(폐기)한다(S315).
한편, 제 S312 단계 조사결과, 유입된 패킷이 SYN flag 가 설정된 TCP 프로토콜에 따른 패킷이 아닌 경우에, 서비스 탐지부(22)는 소정의 시간(T) 동안 내부 네트워크로부터 외부 네트워크로 응답 패킷이 유출되는지 여부를 조사하여(S316), 응답 패킷이 유출되지 않는다면 유입 패킷을 유기한다(S317).
만약, 소정의 시간(T) 내에 내부 네트워크로부터 외부 네트워크로 응답 패킷이 유출된다면, 서비스 탐지부(22)는 응답 패킷이 UDP 프로토콜에 따른 패킷인지 여부를 조사하여 UDP 프로토콜에 따른 응답 패킷인 경우에는 제 S314 단계로 진행하여 서비스 목록을 생성하여 서비스 목록 저장부(24)에 저장한다(S318).
또한, 유출되는 응답 패킷이 UDP 프로토콜에 따른 패킷이 아닌 경우에, 서비스 탐지부(22)는 프로토콜 타입 및 코드를 포함하는 서비스 목록을 생성하여 서비스 목록 저장부(24)에 저장한다(S319).
상술한 제 S311 단계 내지 제 S318 단계는 내부 네트워크에서 제공되는 서비스 목록을 생성하기에 충분한 시간동안 반복적으로 수행된다.
한편, 제 S318 단계 조사 결과 응답 패킷이 UDP 프로토콜에 따른 패킷이 아 닌 경우에, 서비스 탐지부(22)는 해당 패킷의 프로토콜 타입 및 코드를 기록하여 서비스 목록을 생성하여 서비스 목록 저장부(24)에 저장한다(S319).
도 4b 는 본 발명의 바람직한 실시예에 따라서 네트워크 정찰 패킷을 판별하는 도 3 의 제 S320 단계를 상세하게 설명하는 흐름도이다. 도 4b를 참조하여 설명하면, 서비스 탐지부(22)가 제 S310 단계를 수행하여 서비스 목록 저장부(24)에 내부 네트워크로부터 외부 네트워크로 제공되는 서비스 목록이 저장되면, 패킷 판별부(26)는 외부로부터 내부 네트워크로 입력되는 유입 패킷이 요청하는 서비스와 서비스 목록 저장부(24)에 저장된 서비스 목록을 비교한다(S321).
비교 결과, 유입 패킷이 요청하는 서비스가 서비스 목록에 포함되는지 여부를 조사하고(S322), 조사 결과 유입 패킷이 요청하는 서비스가 서비스 목록에 포함된 경우에, 유입 패킷은 내부 네트워크에서 제공되는 서비스를 요청하는 정상적인 패킷이므로, 해당 패킷은 유기된다.
한편, 조사 결과 유입 패킷이 요청하는 서비스가 서비스 목록에 포함되지 않은 경우에는, 유입 패킷을 네트워크 정찰 패킷으로 판단하고, 해당 패킷을 패킷 검증부(28)로 출력한다(S324).
도 4c 는 본 발명의 바람직한 실시예에 따른 도 3의 S330 단계를 상세하게 설명하는 흐름도이다. 도 4c 를 참조하면, 먼저, 패킷 검증부(28)는 정찰 패킷이 패킷 판별부(26)로부터 입력되면, 정찰 패킷의 정보를 이용하여 응답 패킷을 조작하여 생성한다(S331).
응답 패킷을 조작하여 생성하는 방식은 정찰 패킷이 기반한 프로토콜에 따라 서 다양하게 구현될 수 있다. 예컨대, ICMP에서 제공하는 서비스중에 echo 서비스는 존재하지 않는데, 유입된 정찰 패킷이 내부에 타입과 코드 정보로서 Echo request type 8 및 no code 를 포함하는 경우, 패킷 검증부(28)는 유입 패킷의 소오스 IP 및 목적지 IP 를 각각 조작 응답 패킷의 목적지 IP 및 소스 IP 로 바꾸고, Echo reply type 0, no code 을 설정하여 조작 응답 패킷을 생성하여 상대방에게 전송한다.
또한, ARP의 경우에는, 사용하고 있지 않은 IP 주소로의 접근이 이루어진 경우, IP주소에 대한 MAC주소를 가진 호스트를 찾기 위해 브로드캐스팅 되는데, 이때 공격 탐지 장치로 도달한 ARP요청에 대해 패킷 검증부(28)가 MAC주소를 조작하여 ICMP와 유사하게 응답할 수 있다.
이 경우, 조작된 패킷을 수신한 네트워크 공격자는 패킷 검증부(28)가 조작한 패킷이 정상적인 응답 패킷인지 또는 조작된 패킷인지 여부를 판별할 수 없으므로, 네크워크 공격을 의도한 공격자의 경우에는 조작된 응답 패킷에 따라서 다시 네트워크 접근을 시도하게 된다.
패킷 검증부(28)는 상대방이 조작된 응답 패킷에 따라서 다시 네트워크 접근을 시도하는지 여부를 조사하여(S332), 재접근이 탐지되지 않는 경우에는 유입된 정찰 패킷을 무시한다(S333).
한편, 네트워크 공격자가 조작된 패킷에 따라서 다시 네트워크 접근을 시도하는 경우에, 패킷 검증부(28)는 네트워크 접근을 시도하는 상대방을 공격자로 판단하고, 공격자의 접근을 차단하고, 이러한 사실을 내부 네트워크를 관리하는 관리 자에게 일정한 방식으로 통지하여 필요한 조치를 취하게 한다(S334).
또한, 패킷 검증부(28)는 정찰 패킷 및 재접속을 시도한 패킷 등을 포함하는 네트워크 공격 정보를 공격 패킷 정보 저장부(29)에 저장하여, 해당 정보들을 네트워크 공격 분석에 활용할 수 있도록 한다(S335).
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플라피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
상술한 바와 같이, 본 발명은 사전에 내부 네트워크에서 제공되는 서비스를 파악하고, 해당 서비스와 상관없는 서비스를 요청하는 유입 패킷을 네트워크 공격에 앞서 네트워크의 정보를 탐지하는 정찰 패킷으로 판단한 후, 정찰 패킷에 대한 응답 패킷을 조작하고 전송하여 상대방의 공격 의도를 검증함으로써, 사전에 시그너쳐가 형성되지 않은 신종 네트워크 공격 및 다양한 해킹 공격에 대해서도, 자동으로 해당 공격을 탐지하고 차단할 수 있는 효과가 있다.

Claims (5)

  1. 삭제
  2. (a) 내부 네트워크에서 제공되는 서비스 목록을 생성하여 저장하는 단계;
    (b) 상기 내부 네트워크로 유입되는 유입 패킷이 요청하는 서비스를 상기 서비스 목록과 비교하여 상기 유입 패킷이 네트워크 공격을 위한 정찰 패킷인지 여부를 판별하는 단계;
    (c) 상기 유입 패킷이 정찰 패킷으로 판별되면, 상기 정찰 패킷에 따라서 응답 패킷을 조작하여 전송하는 단계; 및
    (d) 상기 조작된 응답 패킷에 따라서 상기 내부 네트워크에 대한 재접근 시도가 탐지되면, 상기 접근을 상기 내부 네트워크에 대한 공격으로 판단하여 차단하고, 상기 내부 네트워크의 관리자에게 통지하는 단계를 포함하는 것을 특징으로 하는 네트워크 공격 탐지 및 차단 방법.
  3. 제 2 항의 네트워크 공격 탐지 및 차단 방법을 컴퓨터에서 판독할 수 있고, 실행 가능한 프로그램 코드로 기록한 기록 매체.
  4. 삭제
  5. 내부 네트워크에서 제공되는 서비스를 파악하고, 상기 서비스 목록을 생성하는 서비스 탐지부;
    상기 서비스 목록을 저장하는 서비스 목록 저장부;
    상기 내부 네트워크로 유입되는 유입 패킷이 요청하는 서비스를 상기 서비스 목록과 비교하여 상기 유입 패킷이 네트워크 공격을 위한 정찰 패킷인지 여부를 판별하는 패킷 판별부; 및
    정찰 패킷으로 판별되어 상기 패킷 판별부로부터 입력된 상기 유입 패킷에 따라서 응답 패킷을 조작하여 전송하는 패킷 검증부를 포함하고,
    상기 패킷 검증부는
    상기 조작된 응답 패킷에 따라서 상기 내부 네트워크에 대한 재접근 시도가 탐지되면, 상기 접근을 상기 내부 네트워크에 대한 공격으로 판단하여 차단하고, 상기 내부 네트워크의 관리자에게 통지하는 것을 특징으로 하는 네트워크 공격 탐지 및 차단 장치.
KR1020060102112A 2006-10-20 2006-10-20 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치 KR100862321B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060102112A KR100862321B1 (ko) 2006-10-20 2006-10-20 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060102112A KR100862321B1 (ko) 2006-10-20 2006-10-20 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치

Publications (2)

Publication Number Publication Date
KR20080035724A KR20080035724A (ko) 2008-04-24
KR100862321B1 true KR100862321B1 (ko) 2008-10-13

Family

ID=39574473

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060102112A KR100862321B1 (ko) 2006-10-20 2006-10-20 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치

Country Status (1)

Country Link
KR (1) KR100862321B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101429111B1 (ko) 2013-01-11 2014-08-13 주식회사 시큐아이 애노니마이저 서버를 이용한 우회 접속을 차단하는 보안 장치 및 그것의 동작 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102321683B1 (ko) * 2020-07-10 2021-11-04 (주)노르마 비인가 블루투스 기기를 선별적으로 차단할수 있는 방법 및 장치

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020062070A (ko) * 2001-01-19 2002-07-25 주식회사 정보보호기술 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법
KR20050028187A (ko) * 2003-09-17 2005-03-22 한국전자통신연구원 연결 재설정 기법을 이용한 실시간 연결 역추적 장치 및그 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020062070A (ko) * 2001-01-19 2002-07-25 주식회사 정보보호기술 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법
KR20050028187A (ko) * 2003-09-17 2005-03-22 한국전자통신연구원 연결 재설정 기법을 이용한 실시간 연결 역추적 장치 및그 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101429111B1 (ko) 2013-01-11 2014-08-13 주식회사 시큐아이 애노니마이저 서버를 이용한 우회 접속을 차단하는 보안 장치 및 그것의 동작 방법

Also Published As

Publication number Publication date
KR20080035724A (ko) 2008-04-24

Similar Documents

Publication Publication Date Title
US7823204B2 (en) Method and apparatus for detecting intrusions on a computer system
CN1656731B (zh) 基于多方法网关的网络安全系统和方法
KR100611741B1 (ko) 네트워크 침입 탐지 및 방지 시스템 및 그 방법
US8707440B2 (en) System and method for passively identifying encrypted and interactive network sessions
KR101038387B1 (ko) 원치 않는 트래픽 검출 방법 및 장치
KR20140022975A (ko) 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법
KR100947211B1 (ko) 능동형 보안 감사 시스템
Seo et al. A study on efficient detection of network-based IP spoofing DDoS and malware-infected Systems
KR100862321B1 (ko) 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치
WO2005026872A2 (en) Internal lan perimeter security appliance composed of a pci card and complementary software
Seo et al. Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling
US10419480B1 (en) System, method, and computer program for real-time cyber intrusion detection and intruder identity analysis
Whyte et al. Tracking darkports for network defense
CN113411296B (zh) 态势感知虚拟链路防御方法、装置及系统
JP2004030287A (ja) 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム
Resmi et al. Intrusion detection system techniques and tools: A survey
Balogh et al. LAN security analysis and design
Nigam et al. Man-in-the-middle-attack and proposed algorithm for detection
KR100767803B1 (ko) 네트워크 이상행위 기반의 네트워크 공격 탐지 방법 및장치
Nasser et al. An Effective Approach to Detect and Prevent ARP Spoofing Attacks on WLAN.
US11451584B2 (en) Detecting a remote exploitation attack
KR20070073293A (ko) 다중 포트를 지원하는 침입 방지 시스템 및 그 침입 방지 방법
Gheorghe et al. Attack evaluation and mitigation framework
Misbahuddin et al. Dynamic IDP Signature processing by fast elimination using DFA
Karaarslan et al. Does network awareness make difference in intrusion detection of web attacks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20111004

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee