KR100879608B1 - 공격지식기반의 네트워크 트래픽 분석 및 감시 방법 - Google Patents

공격지식기반의 네트워크 트래픽 분석 및 감시 방법 Download PDF

Info

Publication number
KR100879608B1
KR100879608B1 KR1020070006879A KR20070006879A KR100879608B1 KR 100879608 B1 KR100879608 B1 KR 100879608B1 KR 1020070006879 A KR1020070006879 A KR 1020070006879A KR 20070006879 A KR20070006879 A KR 20070006879A KR 100879608 B1 KR100879608 B1 KR 100879608B1
Authority
KR
South Korea
Prior art keywords
attack
traffic
host
network
analysis
Prior art date
Application number
KR1020070006879A
Other languages
English (en)
Other versions
KR20080069322A (ko
Inventor
이극
한인규
Original Assignee
한남대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한남대학교 산학협력단 filed Critical 한남대학교 산학협력단
Priority to KR1020070006879A priority Critical patent/KR100879608B1/ko
Publication of KR20080069322A publication Critical patent/KR20080069322A/ko
Application granted granted Critical
Publication of KR100879608B1 publication Critical patent/KR100879608B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

본 발명은 네트워크 공격에 대한 침입 탐지 방법에 있어서, 종래의 시스템은 바이러스나 해킹을 감지하고 방어하는 기능은 수행할 수 있지만, 전역적인 공격에 대해서 네트워크 망 자체를 완벽하게 보호하는 기능을 가진 시스템들은 존재하지 않기 때문에 이러한 전역적인 공격이나 네트워크 망을 보호하기 위한 일련의 스트림을 감시하여 공격유무를 판단할 수 있는 방법에 관한 것이다.
본 발명에 따르면 공격지식을 이용한 상황 분석을 통해 전역적 공격에 대한 탐지 및 경보가 가능하고, 기존의 침입 탐지 시스템과 연동이 가능하며, 기존 침입 탐지 시스템에서 사용되는 규칙 기반 네트워크 트래픽 분석도 같이 시행할 수 있고, 단일 보안경보로는 판단할 수 없는 공격상황에 대한 탐지를 공격지식을 이용한 상황 분석을 통해서 네트워크에서 특징적으로 발생하는 공격 상황을 판별해 낼 수 있으며, 보안경보의 플러딩 현상으로부터 가치 있는 공격 정보를 산출할 수 있어서 전역적 공격에 대한 분석과 감시가 가능할 수 있다.
호스트, 침입탐지, 방화벽

Description

공격지식기반의 네트워크 트래픽 분석 및 감시 방법{ A Network Traffic Analysis and Monitoring Method based on Attack Knowledge}
도 1은 본 발명에 따른 네트워크 트래픽을 분석하고 감시하는 시스템의 구성도.
도 2는 본 발명에 의한 네트워크 트래픽을 분석하고 감시하는 시스템의 흐름도.
도 3은 본 발명에 따른 시스템의 성능을 비교한 실험결과 그래프.
도 4a는 특정 컴퓨터가 다른 특정된 컴퓨터를 공격하는 경우.
도 4b는 여러 개의 컴퓨터가 특정된 하나의 컴퓨터를 공격하는 경우.
** 도면의 주요 부분에 대한 부호의 설명 **
100, 101, 102...호스트
200...데이터베이스 서버
300...관리자 호스트
본 발명은 네트워크 트래픽을 분석하고 감시하는 방법에 있어서, 종래에 쓰이던 규칙 기반의 네트워크 트래픽 분석과 감시의 한계를 극복하기 위해 공격지식(Attack Knowledge)기반의 트래픽을 분석(Analysis)하고 감시(Monitoring)하는 방법에 관한 것이다.
방화벽(Firewall)은 외부 네트워크와의 격리를 위해서 만들어 졌다.
방화벽은 Host/Network 망의 침입을 원천 봉쇄하는 것으로, 네트워크의 입구에 설치되어 외부의 패킷이 내부 네트워크로 침입 밀려들어 오는 것을 막는다.
병목점의 관점에서 방화벽은 외부 네트워크와 내부 네트워크의 경계선에 위치하여 내부에서 외부로, 또는 외부에서 내부로 들어오는 패킷을 일괄적으로 처리한다. 적어도 내-외부간의 통신이 방화벽을 거쳐야만 하는 것이라면, 방화벽은 적절한 병목점 역할을 하게 되는 것이다. 그러면 이 위치에서 적당한 룰을 도입하여 지나다니는 패킷을 감시하면 그만큼 내부 네트워크는 안전할 수 있다.
취약부분의 관점에서 볼 때 방화벽은 외부와 내부 네트워크를 격리하여 내부 네트워크로의 접속 자체를 방어하기 때문에 일단 내부 네트워크에서의 취약부분을 피할 수 있다. 먼저 방화벽을 통과해야만 내부 네트워크에 들어오게 되므로, 방화벽을 뚫지 못하는 한은 내부 네트워크 내의 취약부분은 눈에 띄지 않게 된다.
현재 이러한 방화벽에 대한 버그(Bug)가 예전에 비해 자주 발표되고 있으며 또한 일괄적으로 버그정리를 하기가 힘든 상황에 방화벽은 이 문제점들을 해결할 수 있는 좋은 특성을 지니고 있다.
방화벽을 설치하지 않는 성은 담을 쌓아놓지 않은 마을이라고도 볼 수 있는 것이다.
내부 네트워크에서 외부 네트워크로 나가는 곳이 방화벽이 설치된 곳 이외에 다른 것이 존재한다면 문제가 생긴다. 이러한 시스템의 구성은 PPP등의 서비스를 하는 경우는 방화벽을 통하지 않고 내부로 연결할 길을 만들어 준 것이 된다.
침입 탐지 시스템이란 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템이다. 여기서 오용(Misuse)이란 기업 및 개인 기밀 데이터를 훔치는 것처럼 중대한 것부터 개인 메일 시스템을 악용하는 등 사소한 일까지 넓은 범위를 포함 할 수 있는데, 이러한 불법적인 행위로부터 시스템 자원 및 정보를 보호하기 위해 감시하고 그에 대해 대응하는 일련의 행위를 뜻한다.
일반적으로 공격 형태는 정찰(Reconnaissance), 악용(Exploits), 서비스 거부(DoS: denial-of-service)와 같이 세 가지가 있다.
정찰은 ping, DNS(Domain Name Server) zone 전송, e-mail 정찰, TCP(Transmission Control Protocol)나 UDP(User Datagram Protocol) 포트 스캔, 그리고 CGI 결함을 찾기 위해 어떻게든지 공개 웹 서버 인덱싱(Indexing) 등이 있으며, 악용은 시스템 접근 권한을 얻기 위해 숨겨진 기능이나 버그들(Bugs)을 이용한다. 서비스 거부 공격은 공격 침입자가 네트워크 링크(Links)들에 과부하를 일으키고, CPU에도 과부하를 일으켜, 디스크를 꽉 채워 어떤 서비스도 지원하지 못하도록 마비시키는 것을 말한다.
침입자의 목적은 개인의 정보보다는 시스템 자원에 대한 서비스를 중단시키기 위해 공격한다. 침입 탐지 시스템은 방화벽만으로 내부 사용자의 불법적인 행동(기밀유출 등)과 외부 해킹에 대처할 수 없으므로 모든 내 · 외부 정보의 흐름을 실시간으로 차단하기 위해 해커 침입 패턴에 대한 추적과 유해 정보를 감시한다.
종래의 침입 탐지 시스템은 규칙기반 침입탐지 시스템으로 센서를 통해 네트워크 트래픽 데이터를 수집해 침입규칙과 비교를 통해 공격유무를 판단하였다.
현재 네트워크 사용자와 망의 확산되어짐에 따라서 사이버 공격의 형태가 변화되고 있다.
네트워크 공격이라는 새로운 공격 형태를 보인 님다 웜과 인터넷 대란을 일으킨 슬래머 웜, 블래스터 웜에 이르기까지 사이버 공격의 형태는 점점 조직적이고 광범위해지고 있다.
이러한 방화벽 시스템은 바이러스나 해킹을 감지하고 방어하는 기능을 수행할 수 있으나, 하나의 네트워크에서 다른 네트워크로 또는 감염된 컴퓨터가 다른 컴퓨터를 공격하는 인터넷 망 전체에서 발생되는 공격, 즉 전역(전체영역)에서 발생하는 공격에 대해서 네트워크 망 자체를 완벽하게 보호하는 기능을 가진 시스템들은 존재하지 않는다.
이에 반해 전역적인 공격에 대하여 네트워크 관리자들의 개별적인 대처 능력에는 한계가 있으며, 전역적인 공격이나 네트워크 망을 보호하기 위해서는 일련의 스트림을 감시하여 공격유무를 판단할 수 있는 시스템이 필요하다.
본 발명은 상기 종래의 침입 탐지 시스템의 문제점을 해결하기 위하여 안출된 것으로, 네트워크 트래픽을 분석하고 감시하는 시스템에 있어서, 종래에 이용되던 규칙 기반의 네트워크 트래픽의 분석과 감시의 한계를 극복하기 위한 공격지식 기반의 네트워크 트래픽을 분석하고 감시하는 시스템을 제공하여 전역적인 공격에 대응할 수 있는 방법을 제공하는데 그 목적이 있다.
본 발명은 침입 탐지 방법에 있어서, 종래의 시스템은 바이러스나 해킹을 감지하고 방어하는 기능은 수행할 수 있지만, 전역적인 공격에 대해서 네트워크 망 자체를 완벽하게 보호하는 기능을 가진 시스템들은 존재하지 않기 때문에 이러한 전역적인 공격이나 네트워크 망을 보호하기 위한 일련의 스트림을 감시하여 공격유무를 판단할 수 있는 방법에 관한 것이다.
현재까지의 침입탐지 시스템은 규칙 기반의 네트워크 트래픽 분석과 감시를 한다.
규칙 기반 시스템의 대표적인 Snort는 패킷 스니퍼(Packet sniffer)/패킷 로더(Packet Logger)/네트워크IDS(Network IDS)이다.
Snort의 구조는 스니퍼, 전처리기, 탐지엔진, 경고/로깅으로 구성되며, 전처리기와, 탐지엔진, 경고/로깅부분은 플러그인 형태로 되어 있다.
플러그인은 Snort의 플러그인 API를 따르는 프로그램이다. 이들은 Snort의 핵심 코드들이지만 좀 더 읽기 쉽고 다양한 기능을 제공하기 위해 별도로 분리되어 있다.
패킷 스니퍼는 네트워크의 패킷을 읽어 들이는데 사용되며, 다양한 네트워크 프로토콜을 분석하여 사람이 읽기 편한 형태로 패킷을 해석한다. 패킷 스니퍼는 네트워크 분석과 문제 해결, 성능, 분석과 벤치마킹, 데이터 수집에 사용된다.
전 처리기(Preprocessor)는 원본 패킷을 받아들여서 특정한 플러그인으로 그 패킷을 보낸다. 상기 플러그인은 패킷에서 특정한 종류의 행위를 찾는다. 패킷에서 특정한 종류의 행위를 찾으면 그 패킷은 탐지 엔진으로 전송된다.
탐지 엔진은 Snort IDS의 핵심적인 역할을 수행한다.
탐지 엔진은 공격성향 판단 처리기와 플러그인으로부터 오는 데이터를 받아서 여러 규칙과 비교한다. 만약 패킷과 일치하는 규칙이 있으면 그 패킷을 경고로그 부분으로 전달된다. Snort의 규칙은 나름대로의 규칙 문법을 가지고 있으며, 프로토콜의 종류, 길이, 헤더, 그밖에 여러 요소를 포함한다. 탐지엔진에서 데이터가 규칙과 일치했다면 경고가 발생된다.
경고는 로그파일, 네트워크 연결, UNIX 소켓, 윈도우 팝업(SMB), 또는 SNMP 트랩으로 전달될 수 있다. 경고 기능은 Mysql과 Postgres와 같은 SQL 데이터베이스에 저장 될 수 있다. 또한 상기의 로그들은 웹 인터페이스로 보여주기 위한 Perl, PHP 플러그인이 있으며, 로그는 텍스트 파일(기본적으로 /var/log/snort/)로 저장된다.
이하, 첨부된 도면을 참조하여 본 발명에 의한 공격지식기반의 네트워크 트래픽 분석 및 감시 시스템의 구성을 상세하게 설명한다.
도 1은 본 발명에 따른 네트워크 트래픽을 분석하고 감시하는 시스템의 구성도를 나타낸 것이다.
각각의 호스트(100, 101, 102)와 데이터베이스 서버(200, DB Server) 및 관리자 호스트(300, Admin Host)는 네트워크 망에 연결되어 있으며, 상기 호스트(100, 101, 102)는 winpcap을 이용하여 네트워크 트래픽의 정보를 수집하고 수집된 정보의 공격성향을 판별한다. 상기 수집된 정보는 데이터베이스 서버(200)로 보낸다. 상기 데이터베이스 서버(200)는 호스트들(100, 101, 102)로부터 받은 정보들은 저장하고 관리자 호스트(300)에게 저장된 정보를 보내준다. 관리자 호스트(300)는 데이터베이스 서버(200)로부터 정보를 전송받고, 상기 정보를 가지고 네트워크 공격 상황 분석을 한다.
상기 시스템에서 관리자 호스트(300)의 자원을 보다 더 효율적으로 사용하기 위해 호스트(100, 101, 102)는 각각 네트워크 공격 상황 분석에 필요한 정보만을 데이터베이스 서버(200)에 보낸다. 또한 전송에 대한 오버헤드를 줄이기 위해서 리얼타임방식 보다는 배치방식으로 정보를 전송하고 전송받는 것이 바람직하다.
상기의 시스템에 대해서 흐름도로 살펴본다.
도 2는 본 발명에 의한 네트워크 트래픽을 분석하고 감시하는 시스템의 흐름도를 나타낸 것이다.
첨부된 흐름도에 따라 설명한다.
각각의 호스트(100, 101, 102)는 상기 호스트를 지나가는 모든 트래픽들을 캡쳐하는 단계(S_10);
상기에서 캡쳐된 트래픽을 분석하여 공격성향을 판단하는 단계(S_20);
상기의 과정에서 공격성향이 아닌 것으로 판단된 트래픽은 삭제하고, 공격성향으로 판단된 트래픽은 호스트에 저장하고 데이터베이스 서버(200)에 전송하는 단계(S_30);
상기의 데이터베이스 서버(200)는 각각의 호스트(100, 101, 102)로부터 전송되는 트래픽을 이용하여 테이블을 생성하고 관리자 호스트(300)에게 상기 트래픽 테이블을 전송하는 단계(S_40);
상기 관리자 호스트(300)는 데이터베이스 서버(200)에서 전송된 트래픽 테이블을 수신하는 단계(S_50);
상기 수신된 트래픽 테이블 중에서 설정된 시간의 이전 트래픽은 삭제하는 단계(S_60);
상기에서 설정된 시간 이후의 트래픽에 대해서 이전에 저장된 트래픽 테이블과 결합하는 단계(S_70);
상기의 비교에 따라 상황 분석하고 상기 분석된 트래픽 중에서 탐지엔진의 데이터와 규칙이 일치하면 경고하는 단계(S_80);
로 이루어진다.
상기에서 설정된 시간 이후의 트래픽에 대해서 이전에 저장된 트래픽 테이블과 결합하는 단계(S_70)는 이전에 생성된 트래픽 테이블에 새로이 수신된 트래픽 테이블과 결합하되 가장 오래된 트래픽 테이블은 삭제하는 것을 의미한다.
상기에서 각각의 호스트(100, 101, 102)가 지나가는 트래픽의 캡쳐를 직접적으로 담당하는 것은 winpcap library로서 다양한 옵션을 설정하여 사용자가 원하는 트래픽을 받을 수 있다.
상기의 데이터베이스 서버(200)는 다수개의 호스트로부터 많은 양의 정보를 처리해야하기 때문에 테이블의 구성을 패킷의 모든 정보를 저장하기 보다는 host-number, time-slot, attack-name, service-pattern들과 같은 네트워크 공격상황 분석에 필요한 정보들로만 구성됨이 바람직하다.
상기의 관리자 호스트(300)는 호스트들로부터 받은 정보들을 가지고 공격상황분석을 실질적으로 하는 것으로 관리자의 설정 시간보다 이전에 생성된 트래픽은 삭제되고, 상기에서 삭제되지 아니한 트래픽은 관리자 호스트(300)에 저장된 이전의 트래픽과 병합하여 네트워크 공격 상황 분석을 한다. 상기의 과정에서도 데이터베이스 서버(200)와 관리자 호스트(300)의 통신은 배치방법을 사용함이 바람직하다.
네트워크 공격 상황을 분석할 때에 시간이 지난 정보는 불필요한 경우가 많다. 따라서 본 발명에서는 일정 시간이 경과된 트래픽은 삭제되고 사용자의 설정 시간 이후에 트래픽에 대해서만 네트워크 공격 상황을 분석한다.
상기에서 데이터베이스 서버의 유무가 시스템의 전체적인 속도에 어떤 영향을 미치는지에 대해서 살펴본다.
도 3은 본 발명에 따른 시스템의 성능을 비교한 실험결과를 그래프로 나타낸 것으로 호스트의 트래픽 공격성향 판단 유무와 서버의 유무에 따른 CPU의 점유율을 비교하여 나타낸 것이다.
트래픽 공격성향 판단은 공격성향과 같은 네트워크 공격 상황 분석을 위해서 필요한 정보를 호스트에서 생성하는 것이다. 상기와 같이 구성함으로써 관리자 호스트의 CPU 점유율을 줄일 수 있다. 데이터베이스 서버는 호스트들이 전송하는 정보들을 저장하고 한번에 관리자 프로그램에게 전송한다.
실험은 1대의 서버와 1대의 관리자 호스트 컴퓨터, 3대의 호스트 컴퓨터를 가지고 실시하였으며, 결과값은 10분단위의 평균치를 사용했다.
도 3에서 situation 1은 트래픽 공격성향 판단의 호스트(100)와 데이터베이스 서버(200) 및 관리자 호스트(300)가 있는 경우이며, situation 2는 트래픽 공격성향 판단의 호스트(100)와 관리자 호스트(300)만 있는 경우이고, 마지막 situation 3은 트래픽 공격성향 판단을 하지 않고 데이터베이스 서버도 없이 호스트와 관리자 호스트(300)가 직접 통신하는 경우이다.
즉, 상기의 situation 3은 관리자 호스트(300)가 공격성향을 판단하고 분석하는 경우이다.
도 3의 실험에서 볼 수 있듯이 situation 3의 경우가 cpu 점유율이 가장 높게 나타났다. 데이터베이스 서버(200)의 유무도 미약하긴 하지만 영향을 끼치는 것을 알 수 있다.
상기의 실험에서는 아주 작은 규모의 네트워크에서 실험한 것으로 관리자 호스트(300)의 CPU 점유율이 큰 차이를 보이고 있지는 않다. 그러나 네트워크가 방대할 경우 공격성향 판단하는 호스트들이 존재하는 경우와 존재하지 않는 경우의 관리자 호스트(300) CPU 점유율은 큰 차이를 보일 것은 자명한 일이다.
다음으로 네트워크 공격에 대한 상황을 특징적으로 살펴본다.
침입 트래픽의 상황 분석을 위해 보안경보의 세 가지 속성 즉, 소스 IP (Source IP), 목적지 IP(Dest IP), 공격 클래스 이름(Attack Name)을 이용하였으며, 상기를 조합하여 표 1과 같이 총 7 가지의 특징적 상황으로 분류하였다.
상기의 세가지 속성(소스 IP 주소, 목적지 IP 주소, 공격 클래스 이름)이 모두 같은 경우를 S1로 정의하였으며, 두가지 속성이 같은 세 가지 경우에 대해 각각 S2-1, S2-2, S2-3 으로 정의하였다. 끝으로 단일 속성만이 같은 세 가지 경우에 대해 각각 S3-1, S3-2, S3-3 으로 정의하였다.
상기의 내용을 표-1로 나타내면 다음과 같다.
표-1
Situation Class Source IP Dest. IP Attack Name 설 명
S1 Match Match Match 단일공격자로부터 특정호스트로의 특정 공격이 진행되는 상황. 예) TCP ACK flooding 등
S2-1 Match Match 단일공격자로부터 특정호스트로 공격이 진행되는 상황. 예) Smurf, Fraggle 등
S2-2 Match Match 특정호스트로 특정 공격이 진행되고 있는 상황, 예) 대부분의 분산서비스거부공격 등
S2-3 Match Match 단일공격자가 특정 공격을 진행하고 있는 상황, 예) 대부분의 스캐닝 공격 등
S3-1 Match 단일공격자로부터 무작위 공격이 진행되는 상황, 예) 가미가제 공격등
S3-2 Match 특정호스트에 대해 공격이 진행되고 있는 상황, 예) DRDoS attack 등
S3-3 Match 특정 공격이 네트워크에 만연하는 상황, 예) 대부분의 인터넷 웜 공격 등
도 4a와 4b는 본 별명에 의한 공격 성향 판별을 위한 상황을 나타낸 도면이다.
상기의 도면 4a는 보안경보로부터 소스 IP 주소와 목적지 IP 주소가 특징화 되므로 S2-1, 2-2, 2-3 중의 하나가 된다. 즉 도 4a는 특정 컴퓨터가 다른 특정된 컴퓨터를 공격하는 경우이다.
상기의 도면 4b는 특정 목적지 IP 주소의 속성이 특징화 되므로, S3-1, S3-2, S3-3 중에 하나가 된다. 즉 도 4b는 여러 개의 컴퓨터가 특정된 하나의 컴퓨터를 공격하는 경우이다.
특정 컴퓨터가 다른 컴퓨터를 공격하는 경우에, 특정 컴퓨터 주소로부터 대상 주소로 진행되는 보안경보가 반복적으로 발생할 가능성이 크고, 다수의 컴퓨터가 특정된 하나의 컴퓨터를 공격하는 경우, 특정 단일 주소를 목적지로 갖는 보안경보가 다수 발생하게 된다. 이 두 경우 모두, 단일 보안경보로는 그 진위가 모호하더라도, 공격이 특징화됨으로써 그 진위와 의지가 보다 명확하게 된다.
상기에서 데이터베이스 서버(200)에는 각각의 호스트로부터 전송되어지는 많은 량의 트래픽 정보를 저장해야 한다. 따라서 모든 정보를 저장하는 것은 의미가 없으며 많은 량의 저장 공간을 차지하여 시스템에 부하를 가져올 수 있다. 따라서 공격 성향에 따른 공격 성향 분석에 필요한 정보만을 저장할 필요성이 있다.
아래의 표-2는 이러한 트래픽을 저장함에 있어서 필요한 정보를 나타낸 것으로 트래픽 테이블의 구성을 나타낸 것이다.
표-2
table name real name 설명
H_name 호스트네임 정보를 보낸 호스트명
S_ip 소스 어드레스 소스의 주소
D_ip 목적지 어드래스 목적지의 주소
T_slot 타임슬롯 만들어진 시간
A_name 공격이름 공격방법에 대한 정보
A_cnt 공격횟수 공격이 행해진 횟수
SV_pattern 공격패턴 특징적 상황 분석에 의한 공격패턴
상기의 표에 나타난 것과 같이 트래픽 테이블의 구성은 정보를 보낸 호스트명, 정보 발생지의 소스의 주소, 공격 대상 목적지의 주소, 소스가 생성된 시간, 공격 방법에 대한 정보, 공격이 행하여진 횟수, 특징적 상황 분석에 의한 공격패턴이 저장된다.
네트워크 공격 상황 분석의 구현 방법으로는 그래픽을 이용하는 시각화 방법과 동일 속성의 보안경보를 집단화하는 방법 등이 가능하다.
그래픽을 이용하는 시각화 방법의 경우는 시각적 요소를 이용하여 동일속성을 같은 보안경보 발생시에 해당 특징이 그래프상에서 선이나 면 등의 특징적 요소로 표현된다. 즉, 특정한 패턴이 그래프 상에서 형상화되는 것이 바로 동일 속성을 갖는 보안경보에 의해 특징적으로 나타나게 되는 것이다.
반면에, 동일속성의 보안경보를 집단화 하는 방법은 각 속성을 추출하고 이를 조합하여 동일속성의 발생 횟수를 카운팅(counting)하고, 상기의 값이 임의의 제한 시간 이내에 특정 횟수 이상이 발생하게 되면 이를 공격 상황으로 판별해 낸다.
네트워크 공격 상황 분석은 다음의 두 가지 측면에서 유리하다.
하나는 포지티브 오탐에 의한 보안경보 플러딩으로 인해 적절한 분석과 대응이 어려워지는 현실을 감안할 때 동일속성을 갖는 보안경보의 특징적 요소를 추출해 냄으로써 보다 가치 있는 정보를 제시할 수 있다는 것이다.
또 하나는 단일 보안경보에 의해서는 침해 여부에 대한 판단이 어려운 부분에 있어서, 서비스거부공격이나 스캐닝 등과 같은 특징적인 패턴을 보이는 공격에 대해서는 높은 수준의 인지율을 제공하는 것을 들 수 있다.
상기한 바와 같은 구성 및 작용은 실시예로서 본 발명의 청구범위를 제한하는 것은 아니며, 본 발명의 기술적 사상을 변경하지 아니하는 범위 내에서 다양한 변경과 수정이 가능함은 본 발명이 속하는 분야에 종사하는 자에게는 자명한 것이다.
이상과 같이 본 발명에 따른 공격지식기반의 네트워크 트래픽 분석 및 감시 시스템은, 공격지식을 이용한 상황성분석을 통해 전역적 공격에 대한 탐지 및 경보가 가능하고, 기존의 침입 탐지 시스템과 연동이 가능하며, 기존 침입 탐지 시스템에서 사용되는 규칙 기반 네트워크 트래픽 분석도 같이 시행할 수 있다.
또한 단일 보안경보로는 판단할 수 없는 공격상황에 대한 탐지를 공격지식을 이용한 상황성 분석을 통해서 네트워크에서 특징적으로 발생하는 공격 상황을 판별해 낼 수 있으며, 보안경보의 플러딩 현상으로부터 가치 있는 공격 정보를 산출할 수 있어서, 전역적 공격에 대한 분석과 감시가 가능할 수 있다.

Claims (3)

  1. 네트워크 트래픽을 분석하고 감시하는 방법에 있어서,
    각각의 호스트(100, 101, 102)와 데이터베이스 서버(200, DB Server) 및 관리자 호스트(300, Admin Host)는 네트워크 망에 연결되어 있고,
    각각의 호스트(100, 101, 102)는 상기 각각의 호스트(100, 101, 102)를 지나가는 모든 트래픽들을 캡쳐하는 단계(S_10);
    상기에서 캡쳐된 트래픽을 분석하여 공격성향을 판단하는 단계(S_20);
    상기의 과정에서 공격성향이 아닌 것으로 판단된 트래픽은 삭제하고, 공격성향으로 판단된 트래픽은 호스트에 저장하고 데이터베이스 서버(200)에 전송하는 단계(S_30);
    상기의 데이터베이스 서버(200)는 각각의 호스트(100, 101, 102)로부터 전송되는 트래픽을 이용하여 테이블을 생성하고 관리자 호스트(300)에게 상기 트래픽 테이블을 전송하는 단계(S_40);
    상기 관리자 호스트(300)는 데이터베이스 서버(200)에서 전송된 트래픽 테이블을 수신하는 단계(S_50);
    상기 수신된 트래픽 테이블 중에서 설정된 시간의 이전 트래픽은 삭제하는 단계(S_60);
    상기에서 설정된 시간 이후의 트래픽에 대해서 이전에 저장된 트래픽 테이블과 결합하는 단계(S_70);
    상기의 비교에 따라 상황 분석하고 상기 분석된 트래픽 중에서 탐지엔진의 데이터와 규칙이 일치하면 경고하는 단계(S_80);
    로 이루어짐을 특징으로 하는 공격지식기반의 네트워크 트래픽 분석 및 감시 방법.
  2. 청구항 제 1항에 있어서,
    상기의 공격 성향 판단에 대한 속성은,
    소스 IP, 목적지 IP, 공격 클래스 이름을 이용하여 조합하는 것을 특징으로 하는 공격지식기반의 네트워크 트래픽 분석 및 감시 방법.
  3. 청구항 제 1항에 있어서,
    상기에서 트래픽 테이블의 구성은,
    정보를 보낸 호스트명, 정보 발생지의 소스의 주소, 공격 대상 목적지의 주소, 소스가 생성된 시간, 공격 방법에 대한 정보, 공격이 행하여진 횟수, 특징적 상황 분석에 의한 공격패턴으로 이루어짐을 특징으로 하는 공격지식기반의 네트워크 트래픽 분석 및 감시 방법.
KR1020070006879A 2007-01-23 2007-01-23 공격지식기반의 네트워크 트래픽 분석 및 감시 방법 KR100879608B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070006879A KR100879608B1 (ko) 2007-01-23 2007-01-23 공격지식기반의 네트워크 트래픽 분석 및 감시 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070006879A KR100879608B1 (ko) 2007-01-23 2007-01-23 공격지식기반의 네트워크 트래픽 분석 및 감시 방법

Publications (2)

Publication Number Publication Date
KR20080069322A KR20080069322A (ko) 2008-07-28
KR100879608B1 true KR100879608B1 (ko) 2009-01-21

Family

ID=39822582

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070006879A KR100879608B1 (ko) 2007-01-23 2007-01-23 공격지식기반의 네트워크 트래픽 분석 및 감시 방법

Country Status (1)

Country Link
KR (1) KR100879608B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101047152B1 (ko) * 2009-11-11 2011-07-07 (주)비아이엔솔루션 데이터 기반의 트래픽 관리 시스템 및 트래픽 관리 방법
KR101544322B1 (ko) * 2014-08-18 2015-08-21 명지대학교 산학협력단 시각화를 이용한 악성 코드 탐지 시스템과 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
KR20060063610A (ko) * 2004-12-07 2006-06-12 한국전자통신연구원 패킷 재조합을 이용한 패턴 매칭 방법 및 그 장치

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
KR20060063610A (ko) * 2004-12-07 2006-06-12 한국전자통신연구원 패킷 재조합을 이용한 패턴 매칭 방법 및 그 장치

Also Published As

Publication number Publication date
KR20080069322A (ko) 2008-07-28

Similar Documents

Publication Publication Date Title
Kumar Survey of current network intrusion detection techniques
US10230761B1 (en) Method and system for detecting network compromise
EP2555486B1 (en) Multi-method gateway-based network security systems and methods
US7596807B2 (en) Method and system for reducing scope of self-propagating attack code in network
KR et al. Intrusion detection tools and techniques–a survey
US20050216956A1 (en) Method and system for authentication event security policy generation
Kazienko et al. Intrusion Detection Systems (IDS) Part I-(network intrusions; attack symptoms; IDS tasks; and IDS architecture)
Prabha et al. A survey on IPS methods and techniques
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
KR100879608B1 (ko) 공격지식기반의 네트워크 트래픽 분석 및 감시 방법
Coulibaly An overview of intrusion detection and prevention systems
Li-Juan Honeypot-based defense system research and design
Resmi et al. Intrusion detection system techniques and tools: A survey
Sulieman et al. Detecting zero-day polymorphic worm: A review
Singh et al. Intrusion detection using network monitoring tools
Harale et al. Network based intrusion detection and prevention systems: Attack classification, methodologies and tools
Praptodiyono et al. Development of hybrid intrusion detection system based on Suricata with pfSense method for high reduction of DDoS attacks on IPv6 networks.
Abdulrezzak et al. Enhancing Intrusion Prevention in Snort System
Nehinbe Concurrent reduction of false positives and redundant alerts
Pir Intrusion detection techniques and open source intrusion detection (IDS) tools
Karthikeyan et al. Network Intrusion Detection System Based on Packet Filters
Selvaraj et al. Enhancing intrusion detection system performance using firecol protection services based honeypot system
Pannu et al. Systematic Approach Towards Analysis and Mitigation of Advanced Evasion Techniques
Singh Intrusion detection system (IDS) and intrusion prevention system (IPS) for network security: a critical analysis
Patel Efficient string matching algorithm for intrusion detection

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
N231 Notification of change of applicant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130111

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140107

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee