KR100951930B1 - Method and Apparatus for classificating Harmful Packet - Google Patents

Method and Apparatus for classificating Harmful Packet Download PDF

Info

Publication number
KR100951930B1
KR100951930B1 KR1020070117825A KR20070117825A KR100951930B1 KR 100951930 B1 KR100951930 B1 KR 100951930B1 KR 1020070117825 A KR1020070117825 A KR 1020070117825A KR 20070117825 A KR20070117825 A KR 20070117825A KR 100951930 B1 KR100951930 B1 KR 100951930B1
Authority
KR
South Korea
Prior art keywords
signature
code
packet
payload
information
Prior art date
Application number
KR1020070117825A
Other languages
Korean (ko)
Other versions
KR20090051436A (en
Inventor
이호석
Original Assignee
(주) 시스메이트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 시스메이트 filed Critical (주) 시스메이트
Priority to KR1020070117825A priority Critical patent/KR100951930B1/en
Publication of KR20090051436A publication Critical patent/KR20090051436A/en
Application granted granted Critical
Publication of KR100951930B1 publication Critical patent/KR100951930B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 장치에 관한 것으로, 특히 수신된 패킷을 설정된 기준에 따라 분류하는 네트워크 장치에 관한 것이다. The present invention relates to a network device, and more particularly to a network device for classifying received packets according to set criteria.

전술한 기술적 과제는 a)수신되는 패킷을 파싱(parsing)하여 페이로드(payload)를 분리하는 단계; b)기 저장된 시그니처 코드가 상기 페이로드에 포함되었는지 스캐닝하는 단계; c)상기 스캐닝 결과 상기 페이로드에 시그니처 코드가 포함되었으면, 상기 시그니처 코드에 포함된 정보에 기초하여 추정(Presumption) 시그니처를 생성하는 단계; 및 d)상기 생성된 추정 시그니처를 상기 시그니처 코드와 대응되는 시그니처와 일치하는지 판단하고, 판단 결과에 따라 상기 수신된 패킷에 분류 아이디를 할당하는 단계를 포함하되, 상기 시그니처 코드는 분류되도록 설정된 시그니처들 각각에 대응되게 시그니처의 일부로 형성되는 것을 특징으로 하는 패킷 분류 방법에 의해 달성되며, 이에 따라 고속으로 공격형 패킷과 같은 수신 차단되어야 할 패킷을 분류하여 수신을 차단할 수 있는 효과가 있다. The above technical problem includes the steps of: a) separating a payload by parsing a received packet; b) scanning whether a pre-stored signature code is included in the payload; c) generating a signature based on information included in the signature code if the payload includes a signature code as a result of the scanning; And d) determining whether the generated estimated signature matches the signature corresponding to the signature code, and assigning a classification ID to the received packet according to a determination result, wherein the signature code is set to be classified. It is achieved by a packet classification method characterized in that it is formed as part of the signature corresponding to each, accordingly, there is an effect that can block the reception by classifying the packet to be blocked such as the attack packet at high speed.

시그니처, 패킷, 페이로드, 보안 Signature, packet, payload, security

Description

부적절한 패킷의 분류 방법 및 장치{Method and Apparatus for classificating Harmful Packet}Method and apparatus for classifying inappropriate packet {Method and Apparatus for classificating Harmful Packet}

본 발명은 네트워크 장치에 관한 것으로, 특히 수신된 패킷을 설정된 기준에 따라 분류하는 네트워크 장치에 관한 것이다. The present invention relates to a network device, and more particularly to a network device for classifying received packets according to set criteria.

인터넷과 네트워크 환경은 새로운 프로토콜이나 애플리케이션의 출현과 서비스의 도입으로 인해 이전과는 비교할 수 없을 정도로 광범위해지고 다양화되고 있다. 전 세계적으로 네트워크 환경의 급격한 발전과 팽창은 내/외부적으로 다양한 보안 위협에 노출되게 되었으며, 정보 시스템에 대한 침해와 공격은 점점 더 복잡해지고 있다. 이러한 시스템에 대한 침해는 불법적인 목적으로 시스템에 접근하여 정보의 조작, 변경, 유출 및 시스템 다운 등을 시도하며 문제점을 야기시키고 있다. The Internet and network environments are becoming more widespread and diversified than ever before, with the advent of new protocols and applications and the introduction of services. The rapid development and expansion of the network environment around the world has exposed various security threats both internally and externally, and breaches and attacks on information systems are becoming increasingly complex. Infringement of such a system causes problems by accessing the system for illegal purposes, attempting to manipulate, change, leak, and down the information.

정보 시스템에 대한 공격 대상은 특정 정보 시스템에서 불특정 다수의 시스템으로 확장되고 있으며, 네트워크 전체로 확대되면서 네트워크 무력화를 통해 네트워크 서비스 전체를 중단시키는 등의 광범위한 공격으로 점점 지능화되고 있다. 또한, 인터넷 환경에서는 전세계 누구나 공개된 자료를 공유할 수 있고, 일일이 검 열이 불가능할 정도로 많은 전자 게시판과 온라인 정보 교환을 위한 방법들이 제공되고 있어 해킹 공격에 대한 새로운 침입 방법이 손쉽게 전파될 수 있고, 이에 따라 비슷한 유형의 침입자들을 양산해 내고 있다. Targets for information systems are expanding from specific information systems to a number of unspecified systems, and are being increasingly intelligent as a wide range of attacks such as stopping entire network services through network neutralization. In addition, in the Internet environment, anyone in the world can share the open data, and many electronic bulletin boards and online information exchange methods are provided so that they cannot be inspected one by one, and new intrusion methods for hacking attacks can be easily spread. As a result, similar types of intruders are being produced.

이렇게 점점 지능화되는 네트워크에 대한 공격과 침입을 보호하기 위해 다양한 연구가 진행되고 있으며, 많은 보안장비의 개발이 시도되고 있다. 이러한 보안 솔루션 중에서 가장 기본적인 보안 시스템으로 사용되고 있는 것이 파이어월(Firewall), IDS(Intrusion Detection System), IPS(Intrusion Prevention System)등이다. 이러한 보안 시스템들은 설정된 보안 정책에 따라 송수신 트래픽을 감시하고, 부적절한 접근이나 트래픽을 차단하며, 트래픽 모니터링 및 공격 유형 분석을 통해 침입시도나 인가되지 않은 행위와 같은 유해 트래픽을 탐지 분석하고 처리하여 그 결과를 관리자에게 통보한다. Various researches are being conducted to protect the attacks and intrusions on the network that is becoming more intelligent, and the development of many security devices has been attempted. Among these security solutions, the most basic security systems are used as firewalls, intrusion detection systems (IDS), and intrusion prevention systems (IPS). These security systems monitor incoming and outgoing traffic in accordance with established security policies, block inappropriate access or traffic, and detect and analyze harmful traffic such as intrusion attempts or unauthorized actions through traffic monitoring and attack type analysis. Notify the administrator.

이 같은 보안 시스템들은 강력한 프로세서를 기반으로 소프트웨어적인 방법을 통해 기능이 구현되며, 다양하고 지능적인 공격의 변화에 대응해 왔다. 그러나 네트워크 환경의 발전과 팽창은 네트워크 속도를 증가시키게 되었고, 이에 따라 보안 시스템 역시 고속의 성능과 정밀성을 요구받게 되었다. These security systems are based on powerful processors, implemented in software, and have responded to a variety of intelligent attacks. However, the development and expansion of the network environment has increased the speed of the network, so that the security system is also required for high performance and precision.

소프트웨어적인 방법에 기반을 둔 장비들은 네트워크 발전 속도에 맞는 성능과 정밀성 향상에 어려움을 겪고 있으며, 이 같은 문제점을 해결하기 위해서 성능과 정밀성에 많은 영향을 미치는 하드웨어로 오프로드(offload) 시키는 방법에 대한 많은 논의가 진행되고 있다. Devices based on software methods are struggling to improve performance and precision at the speed of network development. To solve this problem, the method of offloading to hardware that has a large impact on performance and precision is solved. There is much discussion going on.

보안 시스템의 성능 향상 및 침해 탐지 기술의 정밀화를 위해서는 실시간 라 인 스피드로 공격에 대해 패킷을 분석하고 처리하는 기술이 네트워크 보안 시스템의 필수 기능이 되고 있다. 많은 네트워크 보안 시스템에서는 공격 탐지를 위해서 시그니처 기반의 패킷 탐지 기법을 사용하고 있다. 시그니처 기반의 공격 패킷 기법은 이미 알려진 공격을 분석하고 이를 기반으로 하여 공격용 패킷을 분별할 수 있는 시그니처를 생성하고, 네트워크에 입력되는 패킷을 생성된 모든 시그니처와 비교하여 공격과 침입 여부를 판단하는 방법이다. In order to improve the performance of security system and refine the intrusion detection technology, the technology that analyzes and processes the packet against the attack at the real-time line speed is becoming an essential function of the network security system. Many network security systems use signature-based packet detection for attack detection. The signature-based attack packet technique analyzes known attacks and generates signatures that can distinguish the attack packets based on them, and compares the incoming packet to all the generated signatures to determine whether the attack or intrusion occurs. .

시그니처 기반 공격 탐지 기법의 핵심 기능은 각 패킷 페이로드(Packet payload)에 대한 시그니처 검색 기능의 수행이다. 이러한 시그니처 검색 기능은 모든 패킷을 기 저장된 다수의 시그니처들과 비교하여 검색하여야 하기 때문에 많은 시스템 성능을 사용하게 되며 시그니처의 개수와 사이즈에 따라서 전체적인 시스템 성능이 좌우된다. 이 같은 한계를 극복하기 위해서 시그니처 검색 기능에 대한 새로운 연구와 개발이 더 필요하다. The key function of signature-based attack detection is to perform signature retrieval for each packet payload. The signature search function uses a lot of system performance because all packets must be searched compared to a plurality of stored signatures, and the overall system performance depends on the number and size of signatures. To overcome these limitations, new research and development on signature search function is needed.

시그니처 검색을 위한 기존의 하드웨어적인 방법들로는 입력된 페이로드를 시그니처 테이블에 있는 모든 시그니처들과 일대일로 비교하는 방법, 해쉬(Hash)를 이용하여 비교하는 방법, 시그니처를 일정 길이로 분리하여 비교하는 방법,등이 있으며 이들의 기능들을 혼합하여 구현하기도 한다. Conventional hardware methods for signature retrieval include one-to-one comparison of the input payload with all signatures in the signature table, a method using hash, and a comparison of signatures separated by a certain length. Etc., and a mixture of these functions.

그러나 입력된 페이로드를 시그니처 테이블에 있는 모든 시그니처들과 일대일로 비교하는 방법은 시그니처의 길이가 길어지면 비교 시간이 길어지고, 성능이 저하된다. 해쉬를 이용하여 비교하는 방법은 해쉬키 충돌의 문제가 있다. 또한, 시그니처를 일정 길이로 분리하여 비교하는 방법은 분리하여 비교한 검색 결과가 모두 매칭되게 나와도 분리하여 검색한 결과들이 한 시그니처의 비교 결과가 아닐 우려가 있어 정확성이 떨어진다. 뿐만 아니라 분리된 특정 영역의 비교 데이터가 여러 시그니처에 속할 수도 있어 검색된 결과들을 다시 비교 검색해야 하기 때문에 검색 과정이 복잡하고, 시그니처 길이가 증가하면 그만큼 비교할 데이터 양이 함께 증가하기 때문에 성능이 저하되는 문제가 있다. However, when the input payload is compared one-to-one with all the signatures in the signature table, the longer the signature, the longer the comparison time and the lower the performance. The comparison method using hashes has a problem of hash key collision. In addition, the method of separating and comparing the signatures to a predetermined length compares the search results that are separated and compared, but the results of the separated search may not be the comparison results of one signature, and thus the accuracy is low. In addition, the comparison process of a specific separated region may belong to several signatures, and thus the search process is complicated because the search results are compared and searched again, and the performance decreases because the amount of data to be compared increases as the signature length increases. There is.

본 발명은 이 같은 배경에서 도출된 것으로, 하드웨어적으로 시그니처 검색을 수행함으로써 수신된 패킷을 분류하는 패킷 분류 방법 및 장치를 제공하는 것을 목적으로 한다. SUMMARY OF THE INVENTION The present invention is derived from this background, and an object of the present invention is to provide a packet classification method and apparatus for classifying a received packet by performing a signature search in hardware.

나아가 본 발명은 고속의 정밀한 패킷 분류 방법 및 장치를 제공하는 것을 목적으로 한다. Furthermore, an object of the present invention is to provide a fast and accurate packet classification method and apparatus.

전술한 기술적 과제는 a)수신되는 패킷을 파싱(parsing)하여 페이로드(payload)를 분리하는 단계; b)기 저장된 시그니처 코드가 상기 페이로드에 포함되었는지 스캐닝하는 단계; c)상기 스캐닝 결과 상기 페이로드에 시그니처 코드가 포함되었으면, 상기 시그니처 코드에 포함된 정보에 기초하여 추정(Presumption) 시그니처를 생성하는 단계; 및 d)상기 생성된 추정 시그니처를 상기 시그니처 코드와 대응되는 시그니처와 일치하는지 판단하고, 판단 결과에 따라 상기 수신된 패킷에 분류 아이디를 할당하는 단계를 포함하되, 상기 시그니처 코드는 분류되도록 설정된 시그니처들 각각에 대응되게 시그니처의 일부로 형성되는 것을 특징으로 하는 패킷 분류 방법에 의해 달성된다. The above technical problem includes the steps of: a) separating a payload by parsing a received packet; b) scanning whether a pre-stored signature code is included in the payload; c) generating a signature based on information included in the signature code if the payload includes a signature code as a result of the scanning; And d) determining whether the generated estimated signature matches the signature corresponding to the signature code, and assigning a classification ID to the received packet according to a determination result, wherein the signature code is set to be classified. It is achieved by the packet classification method, characterized in that formed as part of the signature corresponding to each.

상기 패킷 분류 방법은 e)각각의 시그니처에 대해서 다른 시그니처들과 구분될 수 있는 시그니처 일부를 추출하는 단계; 및 f)상기 추출된 시그니처 일부를 해당 시그니처의 시그니처 코드로 설정하여 저장하는 시그니처 코드 등록 단계를 더 포함하는 것을 특징으로 한다. The packet classification method comprises the steps of: e) extracting a portion of the signature that can be distinguished from other signatures for each signature; And f) a signature code registration step of setting and extracting the extracted signature part as a signature code of the corresponding signature.

나아가 상기 시그니처 코드는 각각에 대응되는 식별정보가 설정되고, 상기 단계 c)는 c1) 기 저장된 정보로부터 그 시그니처 코드의 식별 정보에 따라 시그니처 코드에 대응되는 시그니처의 형태 정보 및 사이즈 정보를 파악하는 단계; 및 c2) 상기 파악되는 정보에 기초하여 페이로드로부터 데이터들을 추출함으로써 추정 시그니처를 생성하는 단계;를 포함한다. Further, the signature code is set with identification information corresponding to each, and the step c) is to identify the form information and size information of the signature corresponding to the signature code according to the identification information of the signature code from c1) previously stored information. ; And c2) generating an estimated signature by extracting data from a payload based on the identified information.

한편, 전술한 기술적 과제는 패킷을 수신하는 패킷 수신부; 상기 수신한 패킷을 파싱하여 페이로드 부분을 추출하는 패킷 파싱부; 기 설정된 시그니처들이 저장되는 시그니처 저장부; 시그니처의 일부로 형성되고, 각각의 시그니처마다 다르게 설정되는 시그니처 코드들을 저장하는 시그니처 코드 저장부; 상기 저장된 시그니처 코드들이 상기 파싱된 페이로드에 포함되었는지 페이로드를 스캐닝하는 스캐닝부; 상기 스캐닝결과에 따라 상기 페이로드에 포함된 시그니처 코드에 기초하여 추정 시그니처를 생성하는 추정 시그니처 생성부; 및 상기 생성된 추정 시그니처를 상기 시그니처 코드에 대응되는 시그니처와 비교하여 그 결과를 패킷 입력 장치로 전송하는 제어부를 포함하는 것을 특징으로 하는 패킷 분류 장치에 의해서도 달성된다. On the other hand, the above technical problem is a packet receiving unit for receiving a packet; A packet parser configured to parse the received packet and extract a payload portion; A signature storage unit configured to store preset signatures; A signature code storage unit which is formed as part of a signature and stores signature codes that are set differently for each signature; A scanning unit scanning a payload whether the stored signature codes are included in the parsed payload; An estimated signature generator configured to generate an estimated signature based on the signature code included in the payload according to the scanning result; And a control unit which compares the generated estimated signature with a signature corresponding to the signature code and transmits the result to a packet input device.

본 발명은 시그니처 기반의 패킷 탐지를 위한 시그니처 검색을 단순 메모리 참조에 의한 비교를 통해 구현함으로써, 시그니처의 길이와 양의 증가에 따른 구현 복잡성과 비교 검색 횟수의 증가로 인한 성능의 저하를 없앨 수 있어, 고속으로 수 신된 패킷들을 분류할 수 있고, 공격형 패킷과 같은 수신 차단되어야 할 패킷의 분류를 신속하고 정확하게 수행할 수 있는 효과가 있다. The present invention implements a signature search for signature-based packet detection through comparison by a simple memory reference, thereby eliminating performance degradation due to an increase in the implementation complexity and the number of comparison searches by increasing the length and quantity of signatures. Therefore, it is possible to classify packets received at high speed and to classify packets to be blocked such as attack packets quickly and accurately.

전술한, 그리고 추가적인 본 발명의 양상들은 첨부된 도면을 참조하여 설명되는 바람직한 실시예들을 통하여 더욱 명백해질 것이다. 이하에서는 본 발명을 이러한 실시예를 통해 당업자가 용이하게 이해하고 재현할 수 있도록 상세히 설명하기로 한다.The foregoing and further aspects of the present invention will become more apparent through the preferred embodiments described with reference to the accompanying drawings. Hereinafter, the present invention will be described in detail to enable those skilled in the art to easily understand and reproduce the present invention.

도 1 은 본 발명의 바람직한 일 실시예에 따른 패킷 분류 방법을 도시한 플로우차트이다. 1 is a flowchart illustrating a packet classification method according to an exemplary embodiment of the present invention.

먼저, 패킷이 수신되면(S100), 수신된 패킷을 파싱하여 페이로드를 분리한다(S110). 패킷을 수신하면 그 패킷의 헤더를 참조하여 패킷의 프로토콜을 파싱하고 프로토콜에 따라 페이로드 시작부분을 검출함으로써 시그니처 검색을 위한 페이로드를 분리할 수 있다. 이 후에 기 저장된 시그니처 코드가 그 페이로드에 포함되었는지를 판단하기 위해서 분리된 페이로드를 스캐닝한다(S120). First, when a packet is received (S100), the payload is separated by parsing the received packet (S110). Upon receiving a packet, the payload for signature retrieval can be separated by parsing the protocol of the packet with reference to the header of the packet and detecting the beginning of the payload according to the protocol. Thereafter, the separated payload is scanned to determine whether the pre-stored signature code is included in the payload (S120).

도 2는 시그니처별 시그니처 코드를 도시한 테이블의 일 실시예이다. 2 is an embodiment of a table illustrating signature codes for each signature.

도 2에 도시된 바와 같이 시그니처 코드는 패킷을 분류하기 위해 설정된 시그니처의 일부로 생성되며, 각각의 시그니처간에 구분이 가능하도록 시그니처마다 서로 다르게 설정되어야 한다. 일 실시예에 있어서 도 2 에 도시된 바와 같이 'Subject: Re: Incoming Fax'의 시그니처에 대한 시그니처 코드가 'ing Fax'로 설정될 수 있다. 그러나 이에 한정되지 않고, 예를 들어 'Incom'으로 설정되는 것도 가능하다. 즉, 시그니처 코드는 시그니처의 중간 위치에서 설정될 수도 있고, 시그니처의 시작 부분 혹은 마지막 부분에서 설정될 수도 있다. 시그니처 코드는 내용이나 길이, 형태나 형식에 한정되지 않는다. As shown in FIG. 2, the signature code is generated as part of a signature set for classifying packets, and must be set differently for each signature so as to distinguish between the signatures. In an embodiment, as shown in FIG. 2, the signature code for the signature of 'Subject: Re: Incoming Fax' may be set to 'ing Fax'. However, the present invention is not limited thereto and may be set to 'Incom', for example. That is, the signature code may be set at an intermediate position of the signature, or may be set at the beginning or the end of the signature. Signature codes are not limited to content, length, type or format.

일 실시예에 있어서 페이로드를 스캐닝함에 있어서, 브루트-포스(Brute-force) 알고리즘으로 스캐닝을 수행한다. 브루트-포스 알고리즘은 분리된 페이로드의 모든 위치에서 시그니처 코드가 시작되는지 하나씩 맞춰보는 방식이다. 즉, 페이로드의 처음부터 시작하여 시그니처 코드의 각 문자와 비교하여 일치하는 문자를 찾는 것이다. 이에 따라 페이로드 시그니처 코드가 포함되었는지 페이로드를 스캐닝하는 것은 하드웨어적으로 간단하게 구현될 수 있다. 스캐닝 결과(S120) 페이로드 내에 시그니처 코드가 포함되었으면(S130), 추정 시그니처를 생성한다. In one embodiment, in scanning the payload, scanning is performed by a brute-force algorithm. The brute-force algorithm matches the signature code to see if it starts at every location in the separate payload. In other words, starting at the beginning of the payload, each character in the signature code is compared to find a matching character. Accordingly, scanning the payload whether the payload signature code is included can be simply implemented in hardware. If the signature code is included in the scanning result (S120) payload (S130), an estimated signature is generated.

도 3은 본 발명의 바람직한 실시예에 따른 추정 시그니처의 생성 단계를 상세하게 도시한 플로우차트이다. 3 is a flowchart showing in detail a step of generating an estimated signature according to a preferred embodiment of the present invention.

먼저, 페이로드에 포함된 시그니처 코드에 대응되는 시그니처의 정보를 파악한다(S300). First, the signature information corresponding to the signature code included in the payload is identified (S300).

도 4는 시그니처 구성 테이블의 일 실시예이다. 도시된 바와 같이, 시그니처 구성 테이블은 시그니처에 대응되는 시그니처 코드에 대한 식별번호를 인덱스로 하여 그 시그니처의 구성에 대한 정보를 포함한다. 일 실시예에 있어서 시그니처 구성 테이블은 해당 시그니처의 길이정보, 시그니처 내에서 시그니처 코드의 위치정보를 포함한다. 추가적으로 도 4에 도시된 바와 같이, 시그니처 구성 테이블(400)은 시그니처 내에서 시그니처 코드의 시작점 정보, 시그니처 코드의 길이, 선행 데이터의 길이, 후행 데이터의 길이를 더 포함한다. 4 is an embodiment of a signature configuration table. As shown, the signature configuration table includes information on the configuration of the signature using an identification number of the signature code corresponding to the signature as an index. In one embodiment, the signature configuration table includes length information of the signature and location information of the signature code within the signature. In addition, as shown in FIG. 4, the signature configuration table 400 further includes the start point information of the signature code, the length of the signature code, the length of the preceding data, and the length of the following data in the signature.

분리된 페이로드 내에서 시그니처 코드의 시작점의 위치는 분리된 페이로드를 스캐닝하는 단계(S120)에서 파악될 수 있다. 그리고 시그니처 구성 테이블에 기초하여 페이로드(410) 내에서 시그니처 코드를 기준으로 선행 데이터 길이 정보에 기초하여 선행 데이터를 추출한다(S320). 또한, 페이로드 (410)내에서 시그니처 코드를 기준으로 후행 데이터 길이 정보에 기초하여 후행 데이터를 추출한다(S330). 추출된 선행 데이터와 후행 데이터와 시그니처 코드를 결합함으로써 추정 시그니처(420)를 생성할 수 있다(S340).The position of the start point of the signature code in the separated payload may be determined in step S120 of scanning the separated payload. Based on the signature configuration table, the preceding data is extracted based on the preceding data length information based on the signature code in the payload 410 (S320). Further, the trailing data is extracted based on the trailing data length information based on the signature code in the payload 410 (S330). The estimated signature 420 may be generated by combining the extracted preceding data, the following data, and the signature code (S340).

이 후에 기 저장된 데이터베이스로부터 그 시그니처 코드에 대응되는 실제 시그니처를 추출한다(S150). Thereafter, the actual signature corresponding to the signature code is extracted from the previously stored database (S150).

도 5는 시그니처 코드와 매칭되게 식별정보가 할당된 테이블의 일 실시예이다. 도 6은 시그니처와 매칭되게 식별정보가 할당된 테이블의 일 실시예이다. 시그니처 코드와 그 시그니처 코드에 대응되는 시그니처에는 동일한 식별정보가 부가된다. 즉, 도 5에 도시된 시그니처 코드 테이블(500)로부터 페이로드에 포함된 시그니처 코드의 식별정보를 파악한다. 그리고 그 식별정보를 인덱스로 이용하여 도 6에 도시된 시그니처 테이블(600)로부터 실제 시그니처를 추출하는 것이 가능하다. 이에 따라서 일일이 길이가 긴 시그니처들을 비교해야 하는 번거로움을 없앨 수 있고, 시간을 절약할 수 있는 효과가 있다. 5 is an embodiment of a table to which identification information is allocated to match a signature code. 6 is an embodiment of a table to which identification information is assigned to match a signature. The same identification information is added to the signature code and the signature corresponding to the signature code. That is, the identification information of the signature code included in the payload is determined from the signature code table 500 shown in FIG. 5. In addition, it is possible to extract the actual signature from the signature table 600 shown in FIG. 6 using the identification information as an index. This eliminates the hassle of having to compare long signatures and saves time.

그리고 생성된 추정 시그니처와 추출된 실제 시그니처가 동일한지를 판단한다.(S160). 그리고 패킷에 분류 아이디를 할당한다(S170). 분류 아이디는 분류되 도록 기 설정된 시그니처를 포함하는 패킷에 할당하기 위한 것으로, 이후에 분류 아이디에 따라 할당된 패킷에 필요한 처리를 수행할 수 있다. 예를 들어 분류 아이디에 따라 패킷의 수신을 차단하거나, 해당 패킷을 특정 주소로 포워딩하거나, 그 네트워크 세션을 죽이고 관리자에게 이메일을 보내며 그 외에도 다른 정의된 행동을 수행하도록 구현될 수 있다. In operation S160, it is determined whether the generated estimated signature and the extracted actual signature are the same. Then, a classification ID is assigned to the packet (S170). The classification ID is for allocating to a packet including a signature that is pre-set to be classified. After that, the classification ID may perform necessary processing on the packet allocated according to the classification ID. For example, it can be implemented to block the receipt of a packet, forward the packet to a specific address, kill the network session, send an email to an administrator, and perform other defined actions based on the classification ID.

도 7은 본 발명의 바람직한 일 실시예에 따른 패킷 분류 장치의 구성을 도시한 블록도이다. 7 is a block diagram showing the configuration of a packet classification apparatus according to an embodiment of the present invention.

도시된 바와 같이 본 발명에 따른 패킷 분류 장치는 패킷 수신부(700), 패킷 파싱부(710), 시그니처 저장부(774), 시그니처 코드 저장부(770), 스캐닝부(720), 시그니처 생성부(730) 및 제어부(740)를 포함한다. As shown, the packet classification apparatus according to the present invention includes a packet receiver 700, a packet parser 710, a signature storage unit 774, a signature code storage unit 770, a scanning unit 720, and a signature generation unit ( 730 and the control unit 740.

패킷 수신부(700)는 네트워크를 통해 패킷을 수신한다. The packet receiver 700 receives a packet through a network.

패킷 파싱부(710)는 패킷 수신부(700)로 수신되는 패킷을 파싱하여 페이로드를 분리한다. 수신된 패킷의 헤더를 참조하여 패킷의 프로토콜을 파싱하고 프로토콜에 따라 페이로드 시작 부분을 찾아내어 시그니처 검색을 위한 페이로드를 구성한다. The packet parser 710 parses the packet received by the packet receiver 700 and separates the payload. The protocol of the packet is parsed by referring to the header of the received packet, and the payload is found according to the protocol to construct a payload for signature search.

시그니처 저장부(774)는 메모리로 구현될 수 있다. 본 실시예에 있어서 시그니처 저장부(774)는 따로 분류되도록 설정된 패킷에 포함되는 시그니처들의 테이블로 구현될 수 있다. 이는 보안 업체 등으로부터 설정된 내용일 수 있다. The signature storage unit 774 may be implemented as a memory. In the present embodiment, the signature storage unit 774 may be implemented as a table of signatures included in a packet set to be separately classified. This may be content set by a security company.

시그니처 코드 저장부(770)는 수신 차단등을 위해서 분류되어야하는 패킷에 포함되는 시그니처의 일부로 구성되는 시그니처 코드의 테이블을 저장한다. 일 실 시예에 있어서, 시그니처 코드 저장부는 TCAM (Ternary Content Addressable Memory)로 구현될 수 있다. TCAM은 고속 라우터나 3 계층 스위치에서 IP 주소 검색의 라우팅 테이블을 저장하기 위해 제작된 메모리이다. 입력된 패킷의 목적지 주소와, TCAM에 저장된 모든 엔트리의 프리픽스들이 동시에 비교되어, 일치하는 엔트리 중 가장 길게 일치하는 엔트리의 주소가 선택되도록 구성된다. 그리고 이 주소가 가르키는 포워딩 메모리에서 출력 포트 정보와 홈 주소 정보를 얻을 수 있다.The signature code storage unit 770 stores a table of signature codes configured as part of signatures included in a packet to be classified for reception blocking. In one embodiment, the signature code storage unit may be implemented as TCAM (Ternary Content Addressable Memory). TCAM is a memory designed to store a routing table of IP address lookups in high-speed routers or layer 3 switches. The destination address of the input packet and the prefixes of all entries stored in the TCAM are compared at the same time so that the address of the longest matching entry among the matching entries is selected. The output port information and home address information can be obtained from the forwarding memory pointed to by this address.

스캐닝부(720)는 패킷 파싱부(710)로부터 분리된 페이로드를 입력받아 이를 시그니처 코드 저장부의 시그니처 코드 테이블의 윈도우 사이즈 단위로 조각내어 시그니처 코드 저장부(770)에 저장된 시그니처 코드들 중 하나와 일치하는지 여부를 판단한다. 이 때 스캐닝부(720)는 브루트-포스(Brute-force) 알고리즘으로 스캐닝을 수행한다. 브루트-포스 알고리즘은 분리된 페이로드의 모든 위치에서 시그니처 코드가 시작되는지 하나씩 맞춰 보는 방식이다. 즉, 페이로드의 처음부터 시작하여 시그니처 코드의 각 문자와 비교하여 일치하는 문자를 찾는 것이다. 이에 따라 하드웨어적으로 간단하게 구현될 수 있다. The scanning unit 720 receives the payload separated from the packet parsing unit 710 and fragments it in units of the window size of the signature code table of the signature code storage unit to store one of the signature codes stored in the signature code storage unit 770. Determine if it matches. In this case, the scanning unit 720 performs scanning by a brute-force algorithm. The brute-force algorithm matches the signature code to see if it starts at every location in the separate payload. In other words, starting at the beginning of the payload, each character in the signature code is compared to find a matching character. Accordingly, it can be simply implemented in hardware.

시그니처 생성부(730)는 스캐닝 결과에 따라 상기 페이로드에 포함된 시그니처 코드에 기초하여 추정 시그니처를 생성한다. 시그니처 생성부(730)는 페이로드에 포함된 시그니처 코드에 대응되는 시그니처의 정보를 파악한다. 추가적으로 본 발명에 따른 패킷 분류 장치는 시그니처 구성 저장부(772)를 더 포함한다. 시그니처 구성 저장부(772)는 시그니처 구성 테이블을 저장한다. 즉, 시그니처 생성부(730)는 페이로드에 포함된 시그니처 코드에 따라 시그니처 구성 저장부(772)에 저장된 시그니처 구성 정보를 참조하여 추정 시그니처를 생성한다. The signature generator 730 generates an estimated signature based on the signature code included in the payload according to the scanning result. The signature generator 730 grasps information of the signature corresponding to the signature code included in the payload. Additionally, the packet classification apparatus according to the present invention further includes a signature configuration storage unit 772. The signature configuration storage unit 772 stores the signature configuration table. That is, the signature generator 730 generates an estimated signature by referring to the signature configuration information stored in the signature configuration storage unit 772 according to the signature code included in the payload.

도 4는 시그니처 구성 테이블의 일 실시예이다. 도시된 바와 같이, 시그니처 구성 테이블은 시그니처에 대응되는 시그니처 코드에 대한 식별번호를 인덱스로 하여 그 시그니처의 구성에 대한 정보를 포함한다. 일 실시예에 있어서 시그니처 구성 테이블은 해당 시그니처의 길이정보, 시그니처 내에서 시그니처 코드의 위치정보를 포함한다. 추가적으로 도 4에 도시된 바와 같이, 시그니처 구성 테이블(400)은 시그니처 내에서 시그니처 코드의 시작점 정보, 시그니처 코드의 길이, 선행 데이터의 길이, 후행 데이터의 길이를 더 포함한다. 4 is an embodiment of a signature configuration table. As shown, the signature configuration table includes information on the configuration of the signature using an identification number of the signature code corresponding to the signature as an index. In one embodiment, the signature configuration table includes length information of the signature and location information of the signature code within the signature. In addition, as shown in FIG. 4, the signature configuration table 400 further includes the start point information of the signature code, the length of the signature code, the length of the preceding data, and the length of the following data in the signature.

시그니처 구성 테이블에 기초하여 시그니처 내에서 시그니처 코드의 시작점 위치를 파악하고, 분리된 페이로드 내에서 시그니처 코드의 위치를 파악한다. 그리고 페이로드(410) 내에서 시그니처 코드를 기준으로 선행 데이터 길이 정보에 기초하여 선행 데이터를 추출한다. 또한, 페이로드(410) 내에서 시그니처 코드를 기준으로 후행 데이터 길이 정보에 기초하여 후행 데이터를 추출한다. 추출된 선행 데이터와 후행 데이터와 시그니처 코드를 결합함으로써 추정 시그니처(420)를 생성할 수 있다.Based on the signature configuration table, the location of the starting point of the signature code within the signature and the location of the signature code within the separate payload are determined. In the payload 410, the preceding data is extracted based on the preceding data length information based on the signature code. In the payload 410, the trailing data is extracted based on the trailing data length information based on the signature code. The estimated signature 420 may be generated by combining the extracted preceding data with the following data with the signature code.

제어부(740)는 마이크로 프로세서로 구현될 수 있다. 본 실시예에 있어서 제어부(740)는 생성된 추정 시그니처를 시그니처 코드에 대응되는 실제 시그니처와 비교하여 그 결과를 패킷 입력 장치로 전송한다. The controller 740 may be implemented as a microprocessor. In the present embodiment, the control unit 740 compares the generated estimated signature with the actual signature corresponding to the signature code and transmits the result to the packet input device.

제어부(740)는 시그니처 저장부(774)로부터 그 시그니처 코드에 대응되는 실제 시그니처를 추출한다. 도 5는 시그니처 코드와 매칭되게 식별정보가 할당된 테 이블의 일 실시예이다. 도 6은 시그니처와 매칭되게 식별정보가 할당된 테이블의 일 실시예이다. 시그니처 코드와 그 시그니처 코드에 대응되는 시그니처에는 동일한 식별정보가 부가된다. 즉, 도 5에 도시된 시그니처 코드 테이블(500)로부터 페이로드에 포함된 시그니처 코드의 식별정보를 파악한다. 그리고 그 식별정보를 인덱스로 이용하여 도 6에 도시된 시그니처 테이블(600)로부터 실제 시그니처를 추출하는 것이 가능하다. The controller 740 extracts an actual signature corresponding to the signature code from the signature storage unit 774. 5 is an embodiment of a table to which identification information is assigned to match a signature code. 6 is an embodiment of a table to which identification information is assigned to match a signature. The same identification information is added to the signature code and the signature corresponding to the signature code. That is, the identification information of the signature code included in the payload is determined from the signature code table 500 shown in FIG. 5. In addition, it is possible to extract the actual signature from the signature table 600 shown in FIG. 6 using the identification information as an index.

그리고 제어부(740)는 생성된 추정 시그니처와 추출된 실제 시그니처가 동일한지를 비교한다. 비교 결과는 결과 전송부(760)를 통해 패킷 입력장치로 전송함으로써, 그 패킷의 수신을 차단할 수 있고, 이 외에 추가적으로 설정된 동작을 수행할 수 있다. The controller 740 compares whether the generated estimated signature and the extracted actual signature are the same. The comparison result may be transmitted to the packet input device through the result transmitter 760 to block the reception of the packet, and may additionally set an operation.

추가적으로 본 발명에 따른 패킷 분류 장치는 시그니처 갱신부(750)를 더 포함한다. 시그니처 갱신부(750)는 수신이 차단되는 패킷에 포함되는 시그니처가 추가되면, 그 시그니처에 대응되는 시그니처 코드 추출하여 시그니처 코드 저장부(770)에 추가 저장한다. 이때 시그니처 코드는 분류 되도록 기 설정된 패킷에 포함되는 시그니처의 일부로 설정되며, 각각의 시그니처가 구분되도록 서로 다르게 설정되는 것이 바람직하다. Additionally, the packet classification apparatus according to the present invention further includes a signature update unit 750. When a signature included in a packet blocked reception is added, the signature updater 750 extracts a signature code corresponding to the signature and stores the signature code in the signature code storage 770. At this time, the signature code is set as a part of the signature included in the packet which is preset to be classified, and it is preferable that the signature code is set differently so that each signature is distinguished.

한편, 전술한 패킷 분류 방법은 컴퓨터 프로그램으로 작성 가능하다. 상기 프로그램을 구성하는 코드들 및 코드 세그먼트들은 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 또한, 상기 프로그램은 컴퓨터가 읽을 수 있 는 정보저장매체(computer readable media)에 저장되고, 컴퓨터에 의하여 읽혀지고 실행됨으로써 네트워크 패킷 저장 방법을 구현한다. 상기 정보저장매체는 자기 기록매체, 광 기록매체, 및 캐리어 웨이브 매체를 포함한다.On the other hand, the packet classification method described above can be created by a computer program. The codes and code segments that make up the program can be easily deduced by a computer programmer in the field. In addition, the program is stored in a computer readable media (computer readable media), and read and executed by a computer to implement a network packet storage method. The information storage medium includes a magnetic recording medium, an optical recording medium, and a carrier wave medium.

이제까지 본 발명에 대하여 그 바람직한 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in descriptive sense only and not for purposes of limitation. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.

본 발명에 따른 패킷 분류 장치 및 방법은 네트워크 환경에서 위험한 패킷을 분류하고, 패킷 관리를 통해 보안 장비 등 여러 어플리케이션에 이용될 수 있다. The apparatus and method for classifying packets according to the present invention classifies dangerous packets in a network environment and can be used for various applications such as security equipment through packet management.

도 1 은 본 발명의 바람직한 일 실시예에 따른 패킷 분류 방법을 도시한 플로우차트,1 is a flowchart illustrating a packet classification method according to an embodiment of the present invention;

도 2는 시그니처별 시그니처 코드를 도시한 테이블의 일 실시예,FIG. 2 is an embodiment of a table illustrating signature codes for each signature; FIG.

도 3은 본 발명의 바람직한 실시예에 따른 추정 시그니처의 생성 단계를 상세하게 도시한 플로우차트,3 is a flowchart showing in detail a step of generating an estimated signature according to a preferred embodiment of the present invention;

도 4는 시그니처 구성 테이블의 일 실시예,4 illustrates one embodiment of a signature configuration table;

도 5는 시그니처 코드와 매칭되게 식별정보가 할당된 테이블의 일 실시예,5 illustrates an embodiment of a table to which identification information is assigned to match a signature code,

도 6은 시그니처와 매칭되게 식별정보가 할당된 테이블의 일 실시예,6 illustrates an embodiment of a table to which identification information is assigned to match a signature;

도 7은 본 발명의 바람직한 일 실시예에 따른 패킷 분류 장치의 구성을 도시한 블록도이다.7 is a block diagram showing the configuration of a packet classification apparatus according to an embodiment of the present invention.

Claims (15)

보안 장비에서 수신된 패킷의 분류 방법에 있어서, In the classification method of the packet received from the security equipment, a)수신되는 패킷을 파싱(parsing)하여 페이로드(payload)를 분리하는 단계;a) parsing received packets to separate payloads; b)기 저장된 시그니처 코드가 상기 페이로드에 포함되었는지 스캐닝하는 단b) scanning whether previously stored signature code is included in the payload. 계;system; c)상기 스캐닝 결과 상기 페이로드에 시그니처 코드가 포함되었으면, 상기 c) if the scanning result includes a signature code in the payload, 시그니처 코드에 포함된 정보에 기초하여 추정(Presumption) 시그니처를 생성하는 단계;Generating a presumption signature based on information included in the signature code; d)상기 생성된 추정 시그니처를 상기 시그니처 코드와 대응되는 시그니처와 일치하는지 판단하고, 판단 결과에 따라 상기 수신된 패킷에 분류 아이디를 할당하는 단계;d) determining whether the generated estimated signature matches the signature corresponding to the signature code, and assigning a classification ID to the received packet according to a determination result; e)각각의 시그니처에 대해서 다른 시그니처들과 구분될 수 있는 시그니처 일부를 추출하는 단계; 및e) extracting a portion of the signature that can be distinguished from other signatures for each signature; And f)상기 추출된 시그니처 일부를 해당 시그니처의 시그니처 코드로 설정하여 저장하는 코드 등록 단계를 포함하되, 상기 시그니처 코드는 분류되도록 설정된 시그니처들 각각에 대응되게 시그니처의 일부로 형성되는 것을 특징으로 하는 패킷 분류 방법.f) including a code registration step of setting and storing a part of the extracted signature as a signature code of a corresponding signature, wherein the signature code is formed as part of a signature corresponding to each of the signatures set to be classified. . 삭제delete 제 1항에 있어서, The method of claim 1, 상기 단계 a)는 수신되는 패킷의 헤더 파일에 포함되는 프로토콜을 참조하여 패킷의 페이로드를 파싱하는 것을 특징으로 하는 패킷 분류 방법.Step a), the packet classification method, characterized in that for parsing the payload of the packet with reference to the protocol included in the header file of the received packet. 제 1항에 있어서, The method of claim 1, 상기 시그니처 코드는 각각에 대응되는 식별정보가 설정되고, 상기 단계 c)는 The signature code is set with identification information corresponding to each, and step c) c1) 기 저장된 정보로부터 그 시그니처 코드의 식별 정보에 따라 시그니처 코드에 대응되는 시그니처의 형태 정보 및 사이즈 정보를 파악하는 단계; 및c1) identifying form information and size information of the signature corresponding to the signature code according to the identification information of the signature code from previously stored information; And c2) 상기 파악되는 정보에 기초하여 페이로드로부터 데이터들을 추출함으로써 추정 시그니처를 생성하는 단계;를 포함하는 것을 특징으로 하는 패킷 분류 방법. c2) generating an estimated signature by extracting data from a payload based on the identified information. 제 4 항에 있어서, The method of claim 4, wherein 상기 시그니처의 형태 정보는 해당 시그니처 내에서 시그니처 코드의 시작점 위치, 시그니처 코드의 길이, 상기 시그니처 코드를 기준으로 선행 데이터 길이 및 상기 시그니처 코드를 기준으로 후행 데이터 길이 정보를 포함하는 것을 특징으로 하는 패킷 분류 방법.The form information of the signature includes packet classification, which includes a start point position of a signature code, a length of a signature code, a preceding data length based on the signature code, and a trailing data length information based on the signature code within the signature. Way. 제5항에 있어서, 상기 단계 c2)가The method of claim 5, wherein step c2) c21)상기 시그니처 코드의 시작점 위치를 기준으로 상기 선행 데이터 길이 정보에 기초하여 상기 페이로드로부터 선행 데이터를 추출하는 단계;c21) extracting preceding data from the payload based on the preceding data length information based on a start point position of the signature code; c22)상기 후행 데이터 길이 정보에 기초하여 상기 페이로드로부터 후행 데이터를 추출하는 단계; 및c22) extracting trailing data from the payload based on the trailing data length information; And c23)상기 추출된 선행 데이터, 상기 시그니처 코드 및 상기 후행 데이터를 결합하는 단계를 포함하는 것을 특징으로 하는 패킷 분류 방법.c23) combining the extracted preceding data, the signature code and the trailing data. 제 1 항에 있어서, The method of claim 1, 상기 단계 d)는 기 저장된 다수의 시그니처들 중에서 상기 시그니처 코드에 할당되는 식별정보를 인덱스로 이용하여 상기 시그니처 코드에 대응되는 시그니처를 검출하는 것을 특징으로 하는 패킷 분류 방법.In step d), the signature corresponding to the signature code is detected by using identification information allocated to the signature code among a plurality of previously stored signatures as an index. 제 1 항에 있어서,The method of claim 1, 상기 단계 b)는 브루트 포스(brute-force)알고리즘에 따라 스캐닝을 수행하는 것을 특징으로 하는 패킷 분류 방법.Step b) is a packet classification method, characterized in that for performing scanning according to the brute-force algorithm. 수신된 패킷을 분류하기 위한 패킷 분류 장치에 있어서, In the packet classification apparatus for classifying a received packet, 패킷을 수신하는 패킷 수신부;A packet receiver for receiving a packet; 상기 수신한 패킷을 파싱하여 페이로드 부분을 추출하는 패킷 파싱부;A packet parser configured to parse the received packet and extract a payload portion; 기 설정된 시그니처들이 저장되는 시그니처 저장부;A signature storage unit configured to store preset signatures; 상기 시그니처의 일부로 형성되고, 각각의 시그니처마다 다르게 설정되는 시그니처 코드들을 저장하는 시그니처 코드 저장부;A signature code storage unit formed as part of the signature and storing signature codes that are set differently for each signature; 상기 저장된 시그니처 코드들이 상기 파싱된 페이로드에 포함되었는지 페이로드를 스캐닝하는 스캐닝부;A scanning unit scanning a payload whether the stored signature codes are included in the parsed payload; 상기 스캐닝결과에 따라 상기 페이로드에 포함된 시그니처 코드에 기초하여 추정 시그니처를 생성하는 추정 시그니처 생성부;An estimated signature generator configured to generate an estimated signature based on the signature code included in the payload according to the scanning result; 상기 생성된 추정 시그니처를 상기 시그니처 코드에 대응되는 시그니처와 비교하여 그 결과를 패킷 입력 장치로 전송하는 제어부; 및A controller which compares the generated estimated signature with a signature corresponding to the signature code and transmits the result to a packet input device; And 상기 시그니처 저장부에 저장된 시그니처 정보들을 갱신하는 시그니처 갱신부를 포함하되, 상기 시그니처 갱신부는 분류되어야 할 패킷에 포함되는 시그니처가 추가되면, 그 시그니처에 대응되는 시그니처 코드 추출하여 상기 시그니처 코드 저장부에 추가 저장하는 것을 특징으로 하는 패킷 분류 장치.A signature updating unit for updating signature information stored in the signature storage unit, wherein the signature updating unit extracts a signature code corresponding to the signature when the signature included in a packet to be classified is added and stores the signature information in the signature code storage unit. Packet classification apparatus, characterized in that. 삭제delete 제 9항에 있어서, The method of claim 9, 상기 패킷 파싱부는 수신되는 패킷의 헤더 파일을 참조하여 패킷의 프로토콜(Protocal)을 파싱하고, 패킷 내에서 페이로드의 시작점을 파악하는 것을 특징으 로 하는 패킷 분류 장치.The packet parsing unit parses a protocol of a packet by referring to a header file of the received packet, and identifies a starting point of a payload in the packet. 제 9항에 있어서, The method of claim 9, 상기 시그니처 코드와 대응되는 시그니처의 형태 정보 및 사이즈 정보를 상기 시그니처 코드 식별정보를 매칭하여 저장하는 시그니처 구성 저장부;를 더 포함하고, And a signature configuration storage unit configured to store the signature code identification information and the shape information and size information of the signature corresponding to the signature code. 상기 추정 시그니처 생성부는 상기 시그니처 구성 저장부로부터 상기 페이로드에 포함되는 시그니처 코드에 대응되는 시그니처의 형태 정보 및 사이즈 정보를 파악하여 추정 시그니처를 생성하는 것을 특징으로 하는 패킷 분류 장치.And the estimated signature generator generates the estimated signature by identifying the type information and the size information of the signature corresponding to the signature code included in the payload from the signature configuration storage unit. 제 12항에 있어서, 상기 시그니처의 형태 정보는 해당 시그니처 내에서 시그니처 코드가 포함된 위치, 상기 시그니처 코드를 기준으로 선행 데이터 길이 및 상기 시그니처 코드를 기준으로 후행 데이터 길이 정보를 포함하는 것을 특징으로 하는 패킷 분류 장치.The method of claim 12, wherein the shape information of the signature includes a location including a signature code within the signature, a preceding data length based on the signature code, and trailing data length information based on the signature code. Packet classifier. 제 9항에 있어서, The method of claim 9, 상기 제어부는 상기 시그니처 저장부로부터 상기 시그니처 코드에 할당되는 식별정보를 인덱스로 이용하여 상기 시그니처 코드에 대응되는 시그니처를 추출하는 것을 특징으로 하는 패킷 분류 장치.The controller is configured to extract a signature corresponding to the signature code by using identification information allocated to the signature code as an index from the signature storage unit. 제 9 항에 있어서, The method of claim 9, 상기 스캐닝부는 브루트 포스(brute-force)알고리즘에 따라 스캐닝을 수행하는 것을 특징으로 하는 패킷 분류 장치.And the scanning unit performs scanning according to a brute-force algorithm.
KR1020070117825A 2007-11-19 2007-11-19 Method and Apparatus for classificating Harmful Packet KR100951930B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070117825A KR100951930B1 (en) 2007-11-19 2007-11-19 Method and Apparatus for classificating Harmful Packet

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070117825A KR100951930B1 (en) 2007-11-19 2007-11-19 Method and Apparatus for classificating Harmful Packet

Publications (2)

Publication Number Publication Date
KR20090051436A KR20090051436A (en) 2009-05-22
KR100951930B1 true KR100951930B1 (en) 2010-04-09

Family

ID=40859502

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070117825A KR100951930B1 (en) 2007-11-19 2007-11-19 Method and Apparatus for classificating Harmful Packet

Country Status (1)

Country Link
KR (1) KR100951930B1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101005927B1 (en) * 2010-07-05 2011-01-07 펜타시큐리티시스템 주식회사 Method for detecting a web application attack
KR101631242B1 (en) * 2015-01-27 2016-06-16 한국전자통신연구원 Method and apparatus for automated identification of sifnature of malicious traffic signature using latent dirichlet allocation
KR101888831B1 (en) * 2017-11-07 2018-08-16 한국인터넷진흥원 Apparatus for collecting device information and method thereof

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040099864A (en) * 2003-05-20 2004-12-02 한국전자통신연구원 Security gateway system and method for intrusion detection
KR20060034581A (en) * 2004-10-19 2006-04-24 한국전자통신연구원 Intrusion detection and prevention system and method thereof
KR20060063564A (en) * 2004-12-06 2006-06-12 한국전자통신연구원 An apparatus for capturing internet protocol(ip) packet with sampling and signature searching function, and a method thereof
KR100770357B1 (en) 2007-06-04 2007-10-25 펌킨네트웍스코리아 (주) A high performance intrusion prevention system of reducing the number of signature matching using signature hashing and the method thereof

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040099864A (en) * 2003-05-20 2004-12-02 한국전자통신연구원 Security gateway system and method for intrusion detection
KR20060034581A (en) * 2004-10-19 2006-04-24 한국전자통신연구원 Intrusion detection and prevention system and method thereof
KR20060063564A (en) * 2004-12-06 2006-06-12 한국전자통신연구원 An apparatus for capturing internet protocol(ip) packet with sampling and signature searching function, and a method thereof
KR100770357B1 (en) 2007-06-04 2007-10-25 펌킨네트웍스코리아 (주) A high performance intrusion prevention system of reducing the number of signature matching using signature hashing and the method thereof

Also Published As

Publication number Publication date
KR20090051436A (en) 2009-05-22

Similar Documents

Publication Publication Date Title
US8336098B2 (en) Method and apparatus for classifying harmful packet
US8326881B2 (en) Detection of network security breaches based on analysis of network record logs
Kumar Survey of current network intrusion detection techniques
US9001661B2 (en) Packet classification in a network security device
US7669240B2 (en) Apparatus, method and program to detect and control deleterious code (virus) in computer network
KR101038387B1 (en) Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis
US8042182B2 (en) Method and system for network intrusion detection, related network and computer program product
US7873998B1 (en) Rapidly propagating threat detection
KR20000054538A (en) System and method for intrusion detection in network and it's readable record medium by computer
US20080313708A1 (en) Data content matching
US10291632B2 (en) Filtering of metadata signatures
JP4743901B2 (en) Method, system and computer program for detecting unauthorized scanning on a network
KR101045330B1 (en) Method for detecting http botnet based on network
US20220191223A1 (en) System and Method for Intrusion Detection of Malware Traffic based on Feature Information
KR100951930B1 (en) Method and Apparatus for classificating Harmful Packet
Giacinto et al. Alarm clustering for intrusion detection systems in computer networks
CN115022034B (en) Attack message identification method, device, equipment and medium
KR101045556B1 (en) Method for detecting irc botnet based on network
Mohammed et al. An automated signature generation approach for polymorphic worms using principal component analysis
US8516588B1 (en) String detection system and method of detecting a string
CN114301689B (en) Campus network security protection method and device, computing equipment and storage medium
Mohammed et al. An Automated Signature Generation Approach for Polymorphic Worms Using Factor Analysis
CN117439798A (en) Method, device, equipment and storage medium for determining network attack type
Ryu et al. Design of packet detection system for high-speed network environment

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment
FPAY Annual fee payment

Payment date: 20170403

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180402

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190502

Year of fee payment: 10