KR100956498B1 - 상호 협력적인 다중 서버를 통한 침입 탐지 시스템 및 방법그리고 침입 탐지 통제 시스템 및 방법 - Google Patents

상호 협력적인 다중 서버를 통한 침입 탐지 시스템 및 방법그리고 침입 탐지 통제 시스템 및 방법 Download PDF

Info

Publication number
KR100956498B1
KR100956498B1 KR1020080002658A KR20080002658A KR100956498B1 KR 100956498 B1 KR100956498 B1 KR 100956498B1 KR 1020080002658 A KR1020080002658 A KR 1020080002658A KR 20080002658 A KR20080002658 A KR 20080002658A KR 100956498 B1 KR100956498 B1 KR 100956498B1
Authority
KR
South Korea
Prior art keywords
intrusion detection
data
detection system
load
control signal
Prior art date
Application number
KR1020080002658A
Other languages
English (en)
Other versions
KR20090076612A (ko
Inventor
장현준
임을규
Original Assignee
한양대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한양대학교 산학협력단 filed Critical 한양대학교 산학협력단
Priority to KR1020080002658A priority Critical patent/KR100956498B1/ko
Publication of KR20090076612A publication Critical patent/KR20090076612A/ko
Application granted granted Critical
Publication of KR100956498B1 publication Critical patent/KR100956498B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation

Abstract

상호 협력하는 침입 탐지 시스템 및 방법 그리고 침입 탐지 통제 시스템 및 방법을 개시한다. 침입 탐지 시스템은 네트워크를 통해 수신된 데이터에 대한 부하(load)를 계산하는 부하 계산부, 상기 부하에 따라 주변 침입 탐지 시스템으로 상기 수신된 데이터 중 적어도 일부의 데이터를 전송하는 데이터 분산부 및 상기 수신된 데이터 중 상기 적어도 일부의 데이터를 제외한 나머지 데이터에 대해 담당 서비스에 대한 침입 탐지 및 차단을 처리하는 침입 처리부를 포함한다.
침입 탐지 시스템(intrusion detection system), 부하(load), 패킷, 서비스 거부(denial of service, DoS)

Description

상호 협력적인 다중 서버를 통한 침입 탐지 시스템 및 방법 그리고 침입 탐지 통제 시스템 및 방법{INSTRUSION DETECTION SYSTEM AND METHOD FOR COOPERATIVE MULTI-SERVER AND INSTRUSION DETECTION CONTROL SYSTEM AND METHOD}
본 발명은 상호 협력하는 침입 탐지 시스템 및 방법 그리고 침입 탐지 통제 시스템 및 방법에 관한 것이다.
최근 들어, 인터넷 망이 발달함에 따라 많은 서비스 들이 발생하고 이에 따라 공격자가 호스트(host)에 악의적인 패킷(packet)를 보내어 호스트가 원하지 않는 동작을 수행하는 것을 목적으로 한 공격 또한 증가하고 있다. IDS(Intrusion Detection System) 는 이러한 공격을 방지하는 시스템으로서 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템이다.
기존에 제시된 IDS의 구조는 일반적으로 한 개의 IDS에서 대용량의 패킷을 처리하였는데, 모든 공격을 탐지하기 위해 성능이 저하되는 문제가 있었다. 이에 따라, 분산 IDS 방식이 소개되었으며, 이는 각 원격 센서를 두어 공격을 탐지하는 방법을 이용하는 방식이다. 그러나, 원격 센서를 두어 공격을 탐지하여도 실제 공격 패킷을 처리 하더라도 만약 공격자가 대용량의 패킷을 이용하여 공격을 시도하 면 해당 부분의 센서에 부하가 집중되어 해당 센서의 성능이 저하될 수 있다는 문제점이 있다.
본 발명은 네트워크를 통해 수신되는 데이터에 대해 계산된 부하가 기선정된 값 이상인 경우, 상기 네트워크를 통해 연결된 주변 침입 탐지 시스템으로 상기 데이터를 분산하고, 상기 주변 침입 탐지 시스템과 상호 협력을 통해 침입을 탐지 및 차단함으로써, 대용량의 데이터를 처리할 수 있는 침입 탐지 시스템 및 방법을 제공한다.
본 발명은 패킷과 같은 데이터에 대한 침입 탐지 이전에 상기 데이터의 부하를 계산하고, 상기 부하에 기초하여 상기 데이터를 분산함으로써, 실제 단말 시스템에 대한 서비스 거부(Denial of Service, DoS) 등의 공격이 발생하기 전에 상기 공격을 예방할 수 있는 침입 탐지 시스템 및 방법을 제공한다.
본 발명은 침입 탐지 시스템들간의 부하 정보에 기초하여 부하가 큰 침입 탐지 시스템으로 수신되는 데이터를 부하가 작은 침입 탐지 시스템으로 분산하도록 제어하는 침입 탐지 통제 시스템 및 방법을 제공한다.
본 발명의 일실시예에 따른 침입 탐지 시스템은 네트워크를 통해 수신된 데이터에 대한 부하(load)를 계산하는 부하 계산부, 상기 부하에 따라 주변 침입 탐지 시스템으로 상기 수신된 데이터 중 적어도 일부의 데이터를 전송하는 데이터 분산부 및 상기 수신된 데이터 중 상기 적어도 일부의 데이터를 제외한 나머지 데이터에 대해 담당 서비스에 대한 침입 탐지 및 차단을 처리하는 침입 처리부를 포함 한다.
본 발명의 일측면에 따르면, 침입 탐지 통제 시스템으로부터 제어 신호를 수신하는 제어 신호 수신부를 더 포함할 수 있고, 상기 데이터 분산부는 상기 제어 신호에 해당하는 주변 침입 탐지 시스템으로 상기 적어도 일부의 데이터를 전송할 수 있다. 이때, 상기 제어 신호는 침입 탐지 시스템 각각의 부하 정보에 기초하여 상기 침입 탐지 통제 시스템에서 생성될 수 있다.
본 발명의 일측면에 따르면, 상기 데이터 분산부는 상기 부하가 기선정된 값 이상인 경우, 상기 주변 침입 탐지 시스템으로 상기 적어도 일부의 데이터를 전송할 수 있다.
본 발명의 일실시예에 따른 침입 탐지 방법은 네트워크를 통해 수신된 데이터에 대한 부하를 계산하는 단계, 상기 부하에 따라 주변 침입 탐지 시스템으로 상기 수신된 데이터 중 적어도 일부의 데이터를 전송하는 단계 및 상기 수신된 데이터 중 상기 적어도 일부의 데이터를 제외한 나머지 데이터에 대해 담당 서비스에 대한 침입 탐지 및 차단을 처리하는 단계를 포함한다.
본 발명의 일실시예에 따른 침입 탐지 통제 시스템은 네트워크를 통해 침입 탐지 시스템 각각의 부하 정보를 수신 및 유지하는 부하 정보 처리부 및 상기 부하 정보에 기초하여 부하가 기선정된 값 이상인 침입 탐지 시스템으로 제어 신호를 전송하는 제어 신호 전송부를 포함한다.
본 발명의 일실시예에 따른 침입 탐지 통제 방법은 네트워크를 통해 침입 탐지 시스템 각각의 부하 정보를 수신 및 유지하는 단계 및 상기 부하 정보에 기초하 여 부하가 기선정된 값 이상인 침입 탐지 시스템으로 제어 신호를 전송하는 단계를 포함한다.
본 발명에 따르면, 네트워크를 통해 수신되는 데이터에 대해 계산된 부하가 기선정된 값 이상인 경우, 상기 네트워크를 통해 연결된 주변 침입 탐지 시스템으로 상기 데이터를 분산하고, 상기 주변 침입 탐지 시스템과 상호 협력을 통해 침입을 탐지 및 차단함으로써, 대용량의 데이터를 처리할 수 있다.
본 발명에 따르면, 패킷과 같은 데이터에 대한 침입 탐지 이전에 상기 데이터의 부하를 계산하고, 상기 부하에 기초하여 상기 데이터를 분산함으로써, 실제 단말 시스템에 대한 서비스 거부(Denial of Service, DoS) 등의 공격이 발생하기 전에 상기 공격을 예방할 수 있다.
본 발명에 따르면, 침입 탐지 시스템들간의 부하 정보에 기초하여 부하가 큰 침입 탐지 시스템으로 수신되는 데이터를 부하가 작은 침입 탐지 시스템으로 분산하도록 제어할 수 있다.
이하 첨부된 도면을 참조하여 본 발명에 따른 다양한 실시예를 상세히 설명하기로 한다.
도 1은 본 발명의 일실시예에 있어서, 침입 탐지 방법을 도시한 흐름도이다.
단계(S101)에서 침입 탐지 및 차단을 수행하는 침입 탐지 시스템은 네트워크를 통해 수신된 데이터에 대한 부하(load)를 계산한다. 이때, 상기 부하는 네트워 크의 환경에 따른 대역폭 또는 상기 침입 탐지 시스템의 리소스 점유율 등 침입 탐지 시스템에서 계산될 수 있는 모든 부하를 고려하여 계산될 수 있다.
단계(S102)에서 상기 침입 탐지 시스템은 상기 부하에 따라 주변 침입 탐지 시스템으로 상기 수신된 데이터 중 적어도 일부의 데이터를 전송한다. 이때, 상기 침입 탐지 시스템은 상기 부하가 기선정된 값 이상인 경우, 상기 주변 침입 탐지 시스템으로 상기 적어도 일부의 데이터를 전송할 수 있다. 일례로, 상기 침입 탐지 시스템은 상기 기선정된 값으로서 관리자가 입력한 한계 부하값 't'를 기준으로 하여, 상기 부하가 상기 한계 부하값 't' 이상인 경우, 상기 적어도 일부의 데이터를 상기 주변 침입 탐지 시스템으로 전송할 수 있다.
즉, 일반적인 경우 상기 침입 탐지 시스템에서의 부하는 상기 기선정된 값인 상기 한계 부하값 't' 미만일 수 있고, 해당하는 서비스에 대해 서비스 거부(Denial of Service, DoS)와 같은 공격이 발생하는 경우에는 상기 침입 탐지 시스템에서의 부하가 상기 한계 부하값 't'보다 높아질 수 있다.
단계(S103)에서 상기 침입 탐지 시스템은 상기 수신된 데이터 중 상기 적어도 일부의 데이터를 제외한 나머지 데이터에 대해 담당 서비스에 대한 침입 탐지 및 차단을 처리한다. 즉, 상기 침입 탐지 시스템의 부하가 상기 한계 부하값 't' 미만인 경우, 상기 침입 탐지 시스템은 상기 담당 서비스에 대한 침입 탐지를 수행하여 상기 수신된 데이터의 공격 패킷 여부를 판단할 수 있다. 이때, 상기 수신된 데이터가 공격 패킷이 아니라면 상기 수신된 데이터를 목적된 호스트 단말기로 전송하고 공격 패킷이라면 상기 수신된 데이터를 차단한다.
반면에 상기 침입 탐지 시스템의 부하가 상기 한계 부하값 't' 이상인 경우에는 침입 탐지 통제 시스템으로 자신이 담당하는 서비스에 대한 정보를 전송한 뒤 이후 상기 수신된 데이터를 모두 처리하지 않고 상기 주변 침입 탐지 시스템으로 상기 수신된 데이터를 분산한다. 일례로, 상기 침입 탐지 시스템은 상기 침입 탐지 통제 시스템으로부터 제어 신호를 수신하고, 상기 제어 신호에 해당하는 주변 침입 탐지 시스템으로 상기 적어도 일부의 데이터를 전송함으로써 상기 수신된 데이터를 분산할 수 있다.
여기서, 상기 침입 탐지 시스템은 많은 수의 침입 탐지 시스템이 이용되는 경우, 상기 침입 탐지 시스템들간의 데이터 분산을 효율적으로 통제하기 위해 이용 가능한 시스템으로서 이러한 상기 침입 탐지 통제 시스템에 대해서는 이후 도 5 내지 도 7을 통해 더욱 자세히 설명한다.
이와 같이, 상기 수신된 데이터를 상기 주변 침입 탐지 시스템으로 분산한 후 상기 침입 탐지 시스템은 상기 나머지 데이터에 대해서만 상기 담당 서비스에 대한 침입 탐지 및 차단을 처리할 수 있다. 따라서, 상기 침입 탐지 시스템은 상기 주변 침입 탐지 시스템과 상호 협력을 통해 침입을 탐지 및 차단함으로써, 대용량의 데이터를 처리할 수 있을 뿐만 아니라, 상기 부하에 기초하여 상기 데이터를 분산함으로써 실제 단말 시스템에 대한 서비스 거부 등의 공격이 발생하기 전에 상기 공격을 예방할 수 있다.
도 2는 본 발명의 일실시예에 있어서, 침입 탐지 시스템의 내부 구성을 설명하기 위한 블록도이다. 도 2에 도시된 바와 같이 침입 탐지 시스템(200)은 부하 계산부(201), 데이터 분산부(202), 침입 처리부(203) 및 제어 신호 수신부(204)를 포함할 수 있다.
부하 계산부(201)는 네트워크를 통해 수신된 데이터에 대한 부하를 계산한다. 이때, 상기 부하는 이때, 상기 부하는 네트워크의 환경에 따른 대역폭 또는 상기 침입 탐지 시스템의 리소스 점유율 등 침입 탐지 시스템에서 계산될 수 있는 모든 부하를 고려하여 계산될 수 있다.
데이터 분산부(202)는 상기 부하에 따라 주변 침입 탐지 시스템으로 상기 수신된 데이터 중 적어도 일부의 데이터를 전송한다. 이때, 데이터 분산부(202)는 상기 부하가 기선정된 값 이상인 경우, 상기 주변 침입 탐지 시스템으로 상기 적어도 일부의 데이터를 전송할 수 있다. 일례로, 데이터 분산부(202)는 상기 기선정된 값으로서 관리자가 입력한 한계 부하값 't'를 기준으로 하여, 상기 부하가 상기 한계 부하값 't' 이상인 경우, 상기 적어도 일부의 데이터를 상기 주변 침입 탐지 시스템으로 전송할 수 있다.
즉, 일반적인 경우 침입 탐지 시스템(200)에서의 부하는 상기 기선정된 값인 상기 한계 부하값 't' 미만일 수 있고, 해당하는 서비스에 대해 서비스 거부(Denial of Service, DoS)와 같은 공격이 발생하는 경우에는 상기 침입 탐지 시스템에서의 부하가 상기 한계 부하값 't'보다 높아질 수 있다.
침입 처리부(203)는 상기 수신된 데이터 중 상기 적어도 일부의 데이터를 제외한 나머지 데이터에 대해 담당 서비스에 대한 침입 탐지 및 차단을 처리한다. 즉, 침입 탐지 시스템(200)의 부하가 상기 한계 부하값 't' 미만인 경우 침입 처리 부(203)는 상기 담당 서비스에 대한 침입 탐지를 수행하여 상기 수신된 데이터의 공격 패킷 여부를 판단할 수 있다. 이때, 상기 수신된 데이터가 공격 패킷이 아니라면 상기 수신된 데이터를 목적된 호스트 단말기로 전송하고 공격 패킷이라면 상기 수신된 데이터를 차단한다.
반면에, 침입 탐지 시스템(200)의 부하가 상기 한계 부하값 't' 이상인 경우에는 침입 탐지 통제 시스템(210)으로 침입 탐지 시스템(200)이 담당하는 서비스에 대한 정보를 전송한 뒤 이후 상기 수신된 데이터를 모두 처리하지 않고 상술한 바와 같이 상기 주변 침입 탐지 시스템으로 상기 수신된 데이터를 분산한다. 상기 수신된 데이터를 상기 주변 침입 탐지 시스템으로 분산한 후 침입 처리부(203)는 상기 나머지 데이터에 대해서만 상기 담당 서비스에 대한 침입 탐지 및 차단을 처리할 수 있다.
제어 신호 수신부(204)는 침입 탐지 통제 시스템(210)으로부터 제어 신호를 수신한다. 일례로, 제어 신호 수신부(204)는 침입 탐지 통제 시스템(210)으로부터 제어 신호를 수신하고, 침입 탐지 시스템(200)은 데이터 분산부(202)를 통해 상기 제어 신호에 해당하는 주변 침입 탐지 시스템으로 상기 적어도 일부의 데이터를 전송함으로써 상기 수신된 데이터를 분산할 수 있다.
여기서, 침입 탐지 통제 시스템(210)은 많은 수의 침입 탐지 시스템이 침해 탐지 및 차단에 이용되는 경우, 침입 탐지 시스템들간의 데이터 분산을 효율적으로 통제하기 위해 이용 가능한 시스템으로서, 이러한 침입 탐지 통제 시스템(210)에 대해서는 이후 도 5 내지 도 7을 통해 더욱 자세히 설명한다.
이와 같이, 본 발명의 일실시예에 따른 침입 탐지 시스템을 이용하면, 상기 주변 침입 탐지 시스템과 상호 협력을 통해 침입을 탐지 및 차단함으로써 대용량의 데이터를 처리할 수 있을 뿐만 아니라, 상기 부하에 기초하여 상기 데이터를 분산함으로써 실제 단말 시스템에 대한 서비스 거부 등의 공격이 발생하기 전에 상기 공격을 예방할 수 있다.
도 3은 침입 탐지 시스템의 개괄적인 모습을 도시한 도면이다. 복수의 서비스에 대한 침입 탐지를 위해 HTTP 서비스 침입 탐지 시스템, FTP 서비스 침입 탐지 시스템 및 Telnet 서비스 침입 탐지 시스템 등과 같이 각각의 서비스에 대해 할당되어 담당 서비스를 처리하는 복수의 침입 탐지 시스템으로 하나의 침입 탐지 시스템 풀(301)을 구성할 수 있다.
이때, 네트워크(302)를 통해 일반 단말기(303)에서 각각의 서비스에 대해 전송되는 패킷 등의 데이터는 침입 탐지 과정을 통해 호스트 풀(304)의 목적하는 호스트로 전송되지만, 공격자 단말기(305)에서 발송될 수 있는 공격 패킷 등의 데이터는 해당 서비스에 할당된 침입 탐지 시스템의 침입 탐지 과정에서 차단된다.
하나의 서비스에 대해 많은 량의 데이터가 전송되는 경우, 하나의 침입 탐지 시스템이 모든 데이터에 대해 전부 침입 탐지 및 차단을 수행하는 데는 많은 부하가 발생한다. 따라서, 본 발명의 일실시예에 따른 침입 탐지 시스템에서는 침입 탐지 시스템간의 상호 협력을 통해 하나의 서비스에 대해 수신되는 데이터를 처리할 수 있다. 도 4는 과부하 시 침입 탐지 시스템에서 공격을 탐지 및 차단하는 방법을 설명하기 위한 일례이다. 침입 탐지 시스템 풀(401)에 포함된 침입 탐지 시 스템들은 하나의 침입 탐지 시스템에서 수신된 데이터의 부하를 계산하고, 상기 부하가 기선정된 값 이상인 경우, 주변 침입 탐지 시스템의 지원을 받아 함께 상기 수신된 데이터를 처리함으로써, 대용량의 데이터를 효율적으로 처리할 수 있다.
예를 들어, 공격자 단말기(402)에서 서비스 거부 공격 등을 시행하는 경우, 해당 서비스의 침입 탐지 시스템에는 많은 양의 데이터가 수신되고, 과부하가 발생할 수 있다. 이때, 상기 침입 탐지 시스템은 발생하는 부하가 기선정된 값 이상인 경우, 침입 탐지를 수행하기 전에 상기 수신된 데이터를 주변 침입 탐지 시스템으로 분산시킴으로써, 상기 서비스 거부 공격을 예방할 수 있다. 이때, 일반 단말기(403)를 통해 수신되는 데이터 또한 상기 부하에 따라 상기 주변 침입 탐지 시스템으로 분산되어 처리되거나 또는 상기 부하에 따라 직접 처리되어 호스트 풀(404)에 포함된 목적하는 호스트로 전송될 수 있다.
또한, 이러한 상기 데이터의 분산의 효율성을 위해 침입 탐지 시스템 풀(401)은 침입 탐지 시스템간의 통제를 수행하는 침입 탐지 통제 시스템을 포함할 수 있다.
도 5는 침입 탐지 통제 시스템과 연계된 침입 탐지 시스템의 일례이다. 즉, 침입 탐지 시스템 풀(501)은 침입 탐지 통제 시스템(502)를 더 포함할 수 있다. 이러한 침입 탐지 통제 시스템(502)은 침입 탐지 시스템 각각과 통신할 수 있고, 상기 침입 탐지 시스템 각각의 부하 정보 및 제어 신호 등을 이용하여 데이터의 분산을 통제하여 정상적인 데이터만이 호스트 풀(503)로 전달되도록 할 수 있다.
도 6은 본 발명의 일실시예에 있어서, 침입 탐지 통제 방법을 도시한 흐름도 이다.
단계(S601)에서 침입 탐지 통제 시스템은 네트워크를 통해 침입 탐지 시스템 각각의 부하 정보를 수신 및 유지한다. 상기 부하 정보는 과부하가 발생하는 침입 탐지 시스템의 데이터를 분산하기 위한 제어 신호의 생성에 이용될 수 있다. 예를 들어, 상기 제어 신호는 상기 과부하가 발생하는 침입 탐지 시스템에 부하가 가장 적은 주변 침입 탐지 시스템을 알려주기 위한 정보를 포함할 수 있고, 이때, 상기 부하가 가장 적은 주변 침입 탐지 시스템은 상기 부하 정보에 기초하여 파악될 수 있다.
단계(S602)에서 상기 침입 탐지 통제 시스템은 상기 부하 정보에 기초하여 부하가 기선정된 값 이상인 침입 탐지 시스템으로 제어 신호를 전송한다. 여기서, 상기 제어 신호는 상기 부하를 분산하기 위한 주변 침입 탐지 시스템에 대한 정보를 포함할 수 있고, 상기 부하가 기선정된 값 이상인 침입 탐지 시스템은 상기 제어 신호에 따라 상기 주변 침입 탐지 시스템으로 네트워크를 통해 수신된 데이터 중 적어도 일부의 데이터를 전송할 수 있다. 여기서, 상기 침입 탐지 시스템 각각은 적어도 하나의 담당 서비스를 포함하고, 기선정된 값 이상의 부하를 갖는 경우, 상기 제어 신호에 따라 주변 침입 탐지 시스템으로 상기 담당 서비스에 대한 정보 및 네트워크를 통해 수신된 데이터 중 적어도 일부의 데이터를 전송할 수 있다.
일례로, 상기 침입 탐지 시스템은 부하가 상기 기선정된 값 이상인 경우, 상기 침입 탐지 통제 시스템으로 데이터의 분산을 위한 요청을 전달할 수 있고, 상기 요청에 따라 상기 침입 탐지 통제 시스템은 상기 부하 정보에 기초하여 상기 침입 탐지 시스템이 부하가 가장 적은 주변 침입 탐지 시스템으로 상기 데이터를 분산하도록 유도할 수 있다.
도 7은 본 발명의 일실시예에 있어서, 침입 탐지 통제 시스템의 내부 구성을 설명하기 위한 블록도이다. 도 7에 도시된 바와 같이 침입 탐지 통제 시스템(700)은 부하 정보 처리부(701) 및 제어 신호 전송부(702)를 포함할 수 있다.
부하 정보 처리부(701)는 네트워크를 통해 침입 탐지 시스템 각각의 부하 정보를 수신 및 유지한다. 상기 부하 정보는 과부하가 발생하는 침입 탐지 시스템의 데이터를 분산하기 위한 제어 신호의 생성에 이용될 수 있다. 예를 들어, 상기 제어 신호는 상기 과부하가 발생하는 침입 탐지 시스템에 부하가 가장 적은 주변 침입 탐지 시스템을 알려주기 위한 정보를 포함할 수 있고, 이때, 상기 부하가 가장 적은 주변 침입 탐지 시스템은 상기 부하 정보에 기초하여 파악될 수 있다.
제어 신호 전송부(702)는 상기 부하 정보에 기초하여 부하가 기선정된 값 이상인 침입 탐지 시스템으로 제어 신호를 전송한다. 여기서, 상기 제어 신호는 상기 부하를 분산하기 위한 주변 침입 탐지 시스템에 대한 정보를 포함할 수 있고, 상기 부하가 기선정된 값 이상인 침입 탐지 시스템은 상기 제어 신호에 따라 상기 주변 침입 탐지 시스템으로 네트워크를 통해 수신된 데이터 중 적어도 일부의 데이터를 전송할 수 있다.
상기 침입 탐지 시스템 각각은 적어도 하나의 담당 서비스를 포함하고, 기선정된 값 이상의 부하를 갖는 경우, 상기 제어 신호에 따라 주변 침입 탐지 시스템으로 상기 담당 서비스에 대한 정보 및 네트워크를 통해 수신된 데이터 중 적어도 일부의 데이터를 전송할 수 있다.
일례로, 상기 침입 탐지 시스템은 부하가 상기 기선정된 값 이상인 경우, 상기 침입 탐지 통제 시스템으로 데이터의 분산을 위한 요청을 전달할 수 있고, 상기 요청에 따라 상기 침입 탐지 통제 시스템은 상기 부하 정보에 기초하여 상기 침입 탐지 시스템이 부하가 가장 적은 주변 침입 탐지 시스템으로 상기 데이터를 분산하도록 유도할 수 있다.
이와 같이, 본 발명의 일실시예에 따른 침입 탐지 통제 시스템 및 방법을 이용하면, 침입 탐지 시스템들간의 부하 정보에 기초하여 부하가 큰 침입 탐지 시스템으로 수신되는 데이터를 부하가 작은 침입 탐지 시스템으로 분산하도록 제어할 수 있다.
본 발명에 따른 실시예들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 파일 데이터, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(Floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된 다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
도 1은 본 발명의 일실시예에 있어서, 침입 탐지 방법을 도시한 흐름도이다.
도 2는 본 발명의 일실시예에 있어서, 침입 탐지 시스템의 내부 구성을 설명하기 위한 블록도이다.
도 3은 침입 탐지 시스템의 개괄적인 모습을 도시한 도면이다.
도 4는 과부하 시 침입 탐지 시스템에서 공격을 탐지 및 차단하는 방법을 설명하기 위한 일례이다.
도 5는 침입 탐지 통제 시스템과 연계된 침입 탐지 시스템의 일례이다.
도 6은 본 발명의 일실시예에 있어서, 침입 탐지 통제 방법을 도시한 흐름도이다.
도 7은 본 발명의 일실시예에 있어서, 침입 탐지 통제 시스템의 내부 구성을 설명하기 위한 블록도이다.
<도면의 주요 부분에 대한 부호의 설명>
200: 침입 탐지 시스템
201: 부하 계산부
202: 데이터 분산부
203: 침입 처리부
210: 침입 탐지 통제 시스템

Claims (15)

  1. 네트워크를 통해 수신된 데이터에 대한 부하(load)를 계산하는 부하 계산부;
    상기 부하에 따라 주변 침입 탐지 시스템으로 상기 수신된 데이터 중 적어도 일부의 데이터를 전송하는 데이터 분산부; 및
    상기 수신된 데이터 중 상기 적어도 일부의 데이터를 제외한 나머지 데이터에 대해 담당 서비스에 대한 침입 탐지 및 차단을 처리하는 침입 처리부
    를 포함하고,
    상기 데이터 분산부는,
    상기 부하가 기선정된 값 이상인 경우, 상기 주변 침입 탐지 시스템으로 상기 적어도 일부의 데이터를 전송하는 것을 특징으로 하는 침입 탐지 시스템.
  2. 제1항에 있어서,
    침입 탐지 통제 시스템으로부터 제어 신호를 수신하는 제어 신호 수신부
    를 더 포함하고,
    상기 데이터 분산부는,
    상기 제어 신호에 해당하는 주변 침입 탐지 시스템으로 상기 적어도 일부의 데이터를 전송하는 것을 특징으로 하는 침입 탐지 시스템.
  3. 제2항에 있어서,
    상기 제어 신호는 침입 탐지 시스템 각각의 부하 정보에 기초하여 상기 침입 탐지 통제 시스템에서 생성되는 것을 특징으로 하는 침입 탐지 시스템.
  4. 삭제
  5. 제1항에 있어서,
    상기 데이터 분산부는,
    상기 침입 탐지 통제 시스템으로 상기 담당 서비스에 대한 정보를 더 전송하는 것을 특징으로 하는 침입 탐지 시스템.
  6. 네트워크를 통해 침입 탐지 시스템 각각의 부하 정보를 수신 및 유지하는 부하 정보 처리부; 및
    상기 부하 정보에 기초하여 부하가 기선정된 값 이상인 침입 탐지 시스템으로 제어 신호를 전송하는 제어 신호 전송부
    를 포함하고,
    상기 제어 신호는 상기 부하를 분산하기 위한 주변 침입 탐지 시스템에 대한 정보를 포함하고,
    상기 부하가 기선정된 값 이상인 침입 탐지 시스템은,
    상기 제어 신호에 따라 상기 주변 침입 탐지 시스템으로 네트워크를 통해 수신된 데이터 중 적어도 일부의 데이터를 전송하는 것을 특징으로 하는 침입 탐지 통제 시스템.
  7. 삭제
  8. 제6항에 있어서,
    상기 침입 탐지 시스템 각각은 적어도 하나의 담당 서비스를 포함하고, 기선정된 값 이상의 부하를 갖는 경우, 상기 제어 신호에 따라 주변 침입 탐지 시스템으로 상기 담당 서비스에 대한 정보 및 네트워크를 통해 수신된 데이터 중 적어도 일부의 데이터를 전송하는 것을 특징으로 하는 침입 탐지 통제 시스템.
  9. 네트워크를 통해 수신된 데이터에 대한 부하를 계산하는 단계;
    상기 부하에 따라 주변 침입 탐지 시스템으로 상기 수신된 데이터 중 적어도 일부의 데이터를 전송하는 단계; 및
    상기 수신된 데이터 중 상기 적어도 일부의 데이터를 제외한 나머지 데이터에 대해 담당 서비스에 대한 침입 탐지 및 차단을 처리하는 단계
    를 포함하고,
    상기 부하에 따라 주변 침입 탐지 시스템으로 상기 수신된 데이터 중 적어도 일부의 데이터를 전송하는 상기 단계는,
    상기 부하가 기선정된 값 이상인 경우, 상기 주변 침입 탐지 시스템으로 상기 적어도 일부의 데이터를 전송하는 단계를 포함하는 것을 특징으로 하는 침입 탐지 방법.
  10. 제9항에 있어서,
    침입 탐지 통제 시스템으로부터 제어 신호를 수신하는 단계
    를 더 포함하고,
    상기 부하에 따라 주변 침입 탐지 시스템으로 상기 수신된 데이터 중 적어도 일부의 데이터를 전송하는 상기 단계는,
    상기 제어 신호에 해당하는 주변 침입 탐지 시스템으로 상기 적어도 일부의 데이터를 전송하는 단계를 포함하는 것을 특징으로 하는 침입 탐지 방법.
  11. 삭제
  12. 네트워크를 통해 침입 탐지 시스템 각각의 부하 정보를 수신 및 유지하는 단계; 및
    상기 부하 정보에 기초하여 부하가 기선정된 값 이상인 침입 탐지 시스템으로 제어 신호를 전송하는 단계
    를 포함하고,
    상기 제어 신호는 상기 부하를 분산하기 위한 주변 침입 탐지 시스템에 대한 정보를 포함하고,
    상기 부하가 기선정된 값 이상인 침입 탐지 시스템은 상기 제어 신호에 따라 상기 주변 침입 탐지 시스템으로 네트워크를 통해 수신된 데이터 중 적어도 일부의 데이터를 전송하는 것을 특징으로 하는 침입 탐지 통제 방법.
  13. 삭제
  14. 제12항에 있어서,
    상기 침입 탐지 시스템 각각은 적어도 하나의 담당 서비스를 포함하고, 기선정된 값 이상의 부하를 갖는 경우, 상기 제어 신호에 따라 주변 침입 탐지 시스템으로 상기 담당 서비스에 대한 정보 및 네트워크를 통해 수신된 데이터 중 적어도 일부의 데이터를 전송하는 것을 특징으로 하는 침입 탐지 통제 방법.
  15. 제9항, 제10항, 제12항 또는 제14항 중 어느 한 항의 방법을 실행하기 위한 프로그램이 기록되어 있는 것을 특징으로 하는 컴퓨터에서 판독 가능한 기록 매체.
KR1020080002658A 2008-01-09 2008-01-09 상호 협력적인 다중 서버를 통한 침입 탐지 시스템 및 방법그리고 침입 탐지 통제 시스템 및 방법 KR100956498B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080002658A KR100956498B1 (ko) 2008-01-09 2008-01-09 상호 협력적인 다중 서버를 통한 침입 탐지 시스템 및 방법그리고 침입 탐지 통제 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080002658A KR100956498B1 (ko) 2008-01-09 2008-01-09 상호 협력적인 다중 서버를 통한 침입 탐지 시스템 및 방법그리고 침입 탐지 통제 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20090076612A KR20090076612A (ko) 2009-07-13
KR100956498B1 true KR100956498B1 (ko) 2010-05-07

Family

ID=41333685

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080002658A KR100956498B1 (ko) 2008-01-09 2008-01-09 상호 협력적인 다중 서버를 통한 침입 탐지 시스템 및 방법그리고 침입 탐지 통제 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR100956498B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11544469B2 (en) 2018-02-22 2023-01-03 Samsung Electronics Co., Ltd. Electronic apparatus and control method thereof

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101280910B1 (ko) 2011-12-15 2013-07-02 한국전자통신연구원 고속 패킷 처리를 위한 네트워크 프로세서 기반 2단계 침입탐지장치 및 방법
KR101518852B1 (ko) * 2013-12-23 2015-05-13 주식회사 시큐아이 Ips 장치 및 ids 장치를 포함하는 보안 시스템 및 그것의 동작 방법
WO2018097344A1 (ko) 2016-11-23 2018-05-31 라인 가부시키가이샤 탐지 결과의 유효성을 검증하는 방법 및 시스템

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020085053A (ko) * 2001-05-04 2002-11-16 이재형 네트워크 트래픽 흐름 제어 시스템
KR20030059204A (ko) * 2000-10-17 2003-07-07 왠월 인코포레이티드 분산 네트워크의 노드상의 과부하 조건으로부터 보호하기위한 방법 및 장치
EP1705863A1 (en) 2005-03-25 2006-09-27 AT&T Corp. Method and apparatus for traffic control of dynamic denial of service attacks within a communications network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030059204A (ko) * 2000-10-17 2003-07-07 왠월 인코포레이티드 분산 네트워크의 노드상의 과부하 조건으로부터 보호하기위한 방법 및 장치
KR20020085053A (ko) * 2001-05-04 2002-11-16 이재형 네트워크 트래픽 흐름 제어 시스템
EP1705863A1 (en) 2005-03-25 2006-09-27 AT&T Corp. Method and apparatus for traffic control of dynamic denial of service attacks within a communications network

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11544469B2 (en) 2018-02-22 2023-01-03 Samsung Electronics Co., Ltd. Electronic apparatus and control method thereof

Also Published As

Publication number Publication date
KR20090076612A (ko) 2009-07-13

Similar Documents

Publication Publication Date Title
US10097520B2 (en) Method and apparatus for causing delay in processing requests for internet resources received from client devices
US9843590B1 (en) Method and apparatus for causing a delay in processing requests for internet resources received from client devices
US20170012978A1 (en) Secure communication method and apparatus
US8359648B2 (en) Method and system for defending DDoS attack
US8387144B2 (en) Network amplification attack mitigation
US20110072515A1 (en) Method and apparatus for collaboratively protecting against distributed denial of service attack
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
KR101972110B1 (ko) 블록체인 기술을 활용한 포그 컴퓨터의 보안 및 디바이스 제어 방법
KR100858271B1 (ko) 분산서비스거부공격 차단장치 및 그 방법
EP3337129A1 (en) Dynamic allocation of a signal receiver for dissemination of threat information
KR100956498B1 (ko) 상호 협력적인 다중 서버를 통한 침입 탐지 시스템 및 방법그리고 침입 탐지 통제 시스템 및 방법
US9680950B1 (en) Method and apparatus for causing delay in processing requests for internet resources received from client devices
US10305931B2 (en) Inter-domain distributed denial of service threat signaling
CN106656912B (zh) 一种检测拒绝服务攻击的方法及装置
KR101065800B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
KR20130009130A (ko) 좀비 피씨 및 디도스 대응 장치 및 방법
KR101375840B1 (ko) 악성코드 침입 방지시스템 및 악성코드 침입 방지시스템의 동작 방법
Nanda et al. A self enforcing and flexible security protocol for preventing Denial of Service attacks in wireless sensor networks
EP3618395A1 (en) Method and device for protecting against http flood attack
KR101137828B1 (ko) 서비스 거부 공격을 방어하기 위한 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체
KR101440419B1 (ko) 전자금융서비스 상호 모니터링 시스템 및 방법
JP4005047B2 (ja) サーバ計算機保護装置
KR102058888B1 (ko) Tfo 쿠키 값을 이용하는 보안 방법 및 장치, 그리고 이를 이용한 통신 방법 및 장치
KR101078407B1 (ko) 디도스 방어를 위한 망 구축 방법 및 시스템
KR20140102399A (ko) 비정상 세션 탐지 방법 및 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130410

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140312

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee