KR100968200B1 - 경량화된 홈네트워크 침입탐지 및 차단 시스템 및 그 방법 - Google Patents

경량화된 홈네트워크 침입탐지 및 차단 시스템 및 그 방법 Download PDF

Info

Publication number
KR100968200B1
KR100968200B1 KR1020080019915A KR20080019915A KR100968200B1 KR 100968200 B1 KR100968200 B1 KR 100968200B1 KR 1020080019915 A KR1020080019915 A KR 1020080019915A KR 20080019915 A KR20080019915 A KR 20080019915A KR 100968200 B1 KR100968200 B1 KR 100968200B1
Authority
KR
South Korea
Prior art keywords
packet
home network
virus
intrusion
information
Prior art date
Application number
KR1020080019915A
Other languages
English (en)
Other versions
KR20090094922A (ko
Inventor
한재호
김영민
문영태
이성규
최광국
Original Assignee
주식회사 조은시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 조은시큐리티 filed Critical 주식회사 조은시큐리티
Priority to KR1020080019915A priority Critical patent/KR100968200B1/ko
Publication of KR20090094922A publication Critical patent/KR20090094922A/ko
Application granted granted Critical
Publication of KR100968200B1 publication Critical patent/KR100968200B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/2823Reporting information sensed by appliance or service execution status of appliance services in a home automation network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Abstract

본 발명은 경량화된 홈네트워크 침입탐지/차단 시스템 및 그 방법에 관한 것으로서, 더욱 자세하게는 홈네트워크로 유입되는 패킷을 분석하여 분석된 정보의 특성에 맞는 분석이 독립적으로 이루어질 수 있도록 함으로써 홈네트워크 운용 시스템의 부하를 감소시키고, 또한 패킷에 대한 이상 여부를 판별하여 대응함으로써 안정적이고 경량화된 네트워크 운용 시스템을 제공할 수 있는 홈네트워크 침입탐지/차단 시스템 및 그 방법에 관한 것이다.
본 발명의 경량화된 홈네트워크 침입탐지 및 차단 시스템은 홈네트워크로의 침입을 탐지하고, 이를 차단하기 위한 시스템에 있어서, 상기 홈네트워크 내외부에서 상기 홈네트워크로 유입되는 패킷을 확보하기 위한 패킷수집부; 확보된 상기 패킷으로부터 패킷의 송수신처정보 및 데이터정보를 추출하기 위한 정보추출부; 상기 정보추출부로부터 수신한 패킷이 침입/공격 패턴을 갖는 패킷인지, 바이러스의 패턴을 갖는 패킷인지, 또는 기기 제어를 위한 제어명령 패턴을 갖는 패킷인지 상기 패킷의 이상 여부를 분석하기 위한 패킷분석부; 및 이상 패킷으로 분석된 패킷을 파기하고, 해당 패킷의 송신처로부터 송신되는 패킷의 홈네트워크 유입을 차단하며, 이상 패킷이 바이러스를 포함하는 경우 해당 바이러스에 대한 치료를 수행하는 패킷차단부를 포함한다.
홈네트워크, 침입탐지, 보안, 슬립모드

Description

경량화된 홈네트워크 침입탐지 및 차단 시스템 및 그 방법{Intrusion detection and management system on home-network and thereof method}
본 발명은 경량화된 홈네트워크 침입탐지/차단 시스템 및 그 방법에 관한 것으로서, 더욱 자세하게는 홈네트워크로 유입되는 패킷을 분석하여 분석된 정보의 특성에 맞는 분석이 독립적으로 이루어질 수 있도록 함으로써 홈네트워크 운용 시스템의 부하를 감소시키고, 또한 패킷에 대한 이상 여부를 판별하여 대응함으로써 안정적이고 경량화된 네트워크 운용 시스템을 제공할 수 있는 홈네트워크 침입탐지/차단 시스템 및 그 방법에 관한 것이다.
일반적으로, 홈네트워크 보안 시스템은 침입탐지를 위한 각종 센서들을 댁내에 설치하고, 설치된 센서들로부터 정보를 수신하여 댁내 물리적 침입을 감지하거나, 네트워크상으로부터의 소프트웨어적 침입을 감지하여 이에 대처하는 시스템을 말한다.
그러나, 이러한 기존의 홈네트워크 보안 시스템은 단지 "수신된 정보들을 분 석한다"라고 하는 일반적인 솔루션만을 제공하고 있으며, 제공되는 솔루션의 경량화 및 효율적 운용에 대해서는 그 개발이 미비한 실정이다. 즉, 얼마나 잘 감지하고, 얼마나 잘 분석하는냐 등의 침입감지분석 기능의 개선 및 개발만이 이루어지고 있을 뿐이다.
본 발명은 홈네트워크로 유입되는 패킷의 이상 여부를 분석하는 복수의 분석모듈들을 각각 독립적으로 운용하여 홈네트워크 운용 시스템에서의 각 분석모듈의 시스템 점유율을 감소시키고, 해당 시스템의 부하를 줄일 수 있는 경량화된 홈네트워크 침입탐지 및 차단 시스템을 제공함에 목적이 있다.
본 발명의 상기 목적은 홈네트워크로의 침입을 탐지하고, 이를 차단하기 위한 시스템에 있어서, 상기 홈네트워크 내외부에서 상기 홈네트워크로 유입되는 패킷을 확보하기 위한 패킷수집부; 확보된 상기 패킷으로부터 패킷의 송수신처정보 및 데이터정보를 추출하기 위한 정보추출부; 상기 정보추출부로부터 수신한 패킷이 침입/공격 패턴을 갖는 패킷인지, 바이러스의 패턴을 갖는 패킷인지, 또는 기기 제어를 위한 제어명령 패턴을 갖는 패킷인지 상기 패킷의 이상 여부를 분석하기 위한 패킷분석부; 및 이상 패킷으로 분석된 패킷을 파기하고, 해당 패킷의 송신처로부터 송신되는 패킷의 홈네트워크 유입을 차단하며, 이상 패킷이 바이러스를 포함하는 경우 해당 바이러스에 대한 치료를 수행하는 패킷차단부를 포함하는 경량화된 홈네트워크 침입탐지 및 차단 시스템에 의해 달성된다.
본 발명의 상기 목적은 홈네트워크로의 외부침입을 탐지하고 이를 차단하기 위한 방법에 있어서, 상기 홈네트워크로 유입되는 패킷을 확보하는 제1단계; 확보 된 패킷의 송수신처정보 및 데이터정보를 추출하는 제2단계; 상기 패킷이 침입/공격 패턴을 갖는 패킷인지, 바이러스의 패턴을 갖는 패킷인지, 또는 기기 제어를 위한 제어명령 패턴을 갖는 패킷인지 상기 패킷의 이상 여부를 분석하는 제3단계; 및 이상 패킷으로 분석된 패킷을 파기하고, 해당 패킷의 송신처로부터 송신되는 패킷의 홈네트워크 유입을 차단하며, 이상 패킷이 바이러스를 포함하는 경우 해당 바이러스에 대한 치료를 수행하는 제4단계를 포함하는 경량화된 홈네트워크 침입탐지 및 차단 방법에 의해서도 달성된다.
본 발명은 홈네트워크로 유입되는 패킷의 이상 유형에 따라 각 분석모듈을 독립적으로 운용함으로써 침입탐지 및 차단 시스템이 구비되는 홈서버 및 홈게이트웨이 등의 홈네트워크 운용 시스템의 부하를 감소시킬 수 있고, 홈네트워크 운용 시스템을 보다 효율적으로 운용할 수 있는 효과가 있다.
또한, 본 발명은 홈네트워크로 유입되는 패킷의 이상 여부 분석을 위한 분석모듈을 독립적으로 운용함으로써 침입탐지 및 차단 시스템을 상대적으로 경량의 네트워크 운용 시스템에 적용할 수 있는 장점이 있다.
본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니되며, 발명자는 그 자신의 발명을 가장 최선의 방법 으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다.
따라서, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일실시예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다.
도 1은 본 발명에 따른 홈네트워크 침입탐지 및 차단 시스템의 일실시예를 나타내는 구성도이다. 도 1을 참조하면, 본 발명의 일실시예에 다른 홈네트워크 침입탐지 및 차단 시스템은 패킷처리부(110), 패킷분석부(120) 및 패킷차단부(130)를 포함한다.
먼저, 패킷처리부(110)는 홈네트워크 내외부에서 생성되어 홈네트워크로 유입되는 패킷을 확보하여 가공하고, 가공된 패킷을 패킷의 이상 여부 분석을 위한 패킷분석부(120)로 전달하기 위한 것이다.
이러한 패킷처리부(110)는 패킷수집부(111)와 정보추출부(112)로 구분된다. 패킷수집부(111)는 홈네트워크 내외부에서 홈네트워크로 유입되는 패킷을 확보하기 위해 홈서버 또는 홈게이트웨이의 네트워크 디바이스를 실시간으로 모니터링하기 위한 것으로서, 홈네트워크를 관리하는 홈서버나 홈게이트웨이에 구비된다.
물론, 패킷을 분석하기 위한 패킷분석부(120)와 분석된 이상 패킷을 차단하 기 위한 패킷차단부(130)도 홈네트워크를 관리하는 홈서버나 홈게이트웨이에 구비됨이 바람직하다. 즉, 패킷처리부(110), 패킷분석부(120) 및 패킷차단부(130)를 포함하는 홈네트워크 침입탐지 및 차단 시스템은 해당 홈네트워크를 관리하는 홈서버나 홈게이트웨이에 구비되어 운용됨이 바람직하다.
정보추출부(112)는 이렇게 확보된 패킷을 분석하고 대응하기 용이하도록 하기 위한 우선작업으로서 패킷의 정보를 추출한다. 즉, 정보추출부(112)는 패킷으로부터 패킷의 송수신처의 IP 및 MAC주소 정보, 프로토콜정보, 데이터정보 등을 추출하고, 추출된 정보들을 패킷단위로 패킷의 분석을 위한 패킷분석부(120)로 전달한다.
패킷분석부(120)는 패킷처리부(110)에서 가공처리된 패킷을 전달받아 패킷의 이상 여부를 분석하기 위한 것으로서, 침입분석부(121), 바이러스분석부(122) 및 이상명령분석부(123)를 포함한다.
이러한 패킷분석부(120)는 수신한 패킷의 패턴을 분석하여 패킷이 침입공격 패턴을 포함하는지, 바이러스 패턴을 포함하는지 또는 제어명령 패턴을 포함하는지 분석하여 구분하고, 구분된 정보에 해당하는 분석부를 활성화시켜 패킷의 특성에 맞는 분석이 이루어질 수 있도록 한다.
즉, 패킷이 침입공격 패턴을 갖는 패킷일 경우, 패킷분석부(120)는 침입분석부(121)를 활성화시켜 운용하고, 바이러스 패턴을 갖는 패킷을 경우에는 바이러스분석부(122)를, 제어명령 패턴일 경우에는 이상명령분석부(123)를 운용한다. 여기서 각 분석부는 상호 독립적으로 운용되는 것으로서, 패킷분석부(120)는 하나의 분 석부가 운용될 때 나머지 분석부들을 슬립모드로 구동되도록 한다.
패킷분석부(120)에 대해 보다 구체적으로 살펴보면 다음과 같다.
먼저, 침입분석부(121)는 패킷의 홈네트워크 침입 및 공격 여부를 분석하기 위한 것으로서, 패킷분석부(120)에 수신된 패킷의 패턴이 홈네트워크에 대한 침입 및 공격에 해당하는 패턴일 경우, 침입분석부(121)는 패킷분석부(120)에 의해 활성화되어 패킷분석부(120)로부터 패킷을 전달받아 이를 분석한다.
일예로, 패킷분석부(120)는 패킷분석부(120)에 수신된 패킷의 IP나 MAC주소가 변경된 것이거나 이상이 있는 경우, 이를 홈네트워크로의 침입이나 공격에 해당하는 패킷의 패턴으로 간주하고, 침입분석부(121)를 활성화시켜 침입분석부(121)에 해당 패킷을 전달한다.
침입분석부(121)는 패킷분석부(120)로부터 해당 패킷을 전달받고, 전달받은 패킷이 구체적으로 어떠한 침입유형이나 공격유형을 갖는지 분석한다. 즉, 침입분석부(121)는 침입 또는 공격에 대한 다양한 유형들을 침입탐지 및 차단 시스템으로부터 로딩하여 전달받은 패킷이 구체적으로 어떠한 유형의 침입/공격 패턴을 갖는 패킷인지 분석한다. 여기서, 패턴 분석을 위한 다양한 침입/공격 패턴의 정보들이 지속적으로 업데이트되어야함은 자명하다.
만일 분석된 패킷이 홈네트워크로의 침입이나 공격을 목적으로 하는 패킷으로 확인될 경우, 패킷분석부(120)는 해당 패킷을 패킷차단부(130)로 전달하여 해당 패킷을 홈네트워크로부터 차단되도록 한다. 즉, 패킷차단부(130)는 패킷분석부(120)로부터 전달받은 패킷을 파기하거나, 패킷의 송신처로부터의 송수신을 제한 하는 등의 조치를 통해 홈네트워크를 보호한다.
이러한 침입분석부(121)는 패킷의 일반적인 침입유형의 분석은 물론, 서비스 중단 목적의 공격, 시스템 마비 목적의 공격 등의 분석을 지원한다. 물론 분석을 위한 정보들은 지속적으로 업데이트되며, 침입분석부(121)는 이러한 정보들을 시스템으로부터 로딩하여 활용할 수 있으며, 또한 이러한 정보들에 직접 엑세스하여 이들을 분석에 활용할 수도 있다.
다음으로 바이러스분석부(122)는 홈네트워크로 유입되는 패킷의 바이러스 감염 여부를 분석하기 위한 것으로서, 패킷분석부(120)에 수신된 패킷의 패턴이 바이러스를 의미하는 패턴일 경우, 바이러스분석부(122)는 패킷분석부(120)에 의해 활성화되어 패킷분석부(120)로부터 해당 패킷을 전달받아 이를 분석한다.
일예로, 패킷분석부(120)는 수신된 패킷의 데이터 패턴이 웜바이러스를 의미하는 패턴일 경우, 해당 패킷을 바이러스 패킷으로 간주하고, 패킷을 분석하기 위해 바이러스분석부(122)를 활성화시켜 바이러스분석부(122)에 해당 패킷을 전달한다.
바이러스분석부(122)는 패킷분석부(120)로부터 해당 패킷을 전달받고, 전달받은 패킷이 구체적으로 어떠한 유형의 바이러스인지 또는 전달받은 패킷에 포함된 바이러스의 무력화방안이 무엇인지 분석한다.
즉, 바이러스분석부(122)는 전달받은 패킷이 홈네트워크 내부로부터 확보된 패킷일 경우, 전달받은 패킷에 포함된 웜바이러스가 어느 디렉토리에 관계된 것인지 또는 어느 파일에 관계된 것인지 분석하고, 분석된 정보를 패킷차단부(130)로 전달하여 해당 디렉토리 또는 해당 파일을 삭제하는 등 해당 바이러스에 대한 대응이 이루어질 수 있도록 대응방안을 확보한다. 또한, 전달받은 패킷이 홈네트워크 외부로부터 확보된 패킷일 경우, 바이러스분석부(122)는 분석된 정보를 패킷차단부(130)로 전달하여 해당 바이러스에 대한 치료 등 예방차원의 대응이 이루어질 수 있도록 한다.
이렇게 분석된 패킷이 바이러스를 포함하는 패킷일 경우, 패킷분석부(120)는 해당 패킷을 패킷차단부(130)로 전달하여 해당 패킷을 홈네트워크로부터 차단되도록 한다. 즉, 패킷차단부(130)는 패킷분석부(120)로부터 전달받은 패킷을 파기하거나, 패킷의 송신처로부터의 송수신을 제한하는 등의 조치를 추가적으로 행하여 홈네트워크를 보호한다.
한편, 패킷차단부(130)는 별도의 바이러스 치료 시스템을 통해 해당 패킷에 대한 바이러스 치료를 수행할 수도 있다. 여기서, 전달받은 패킷의 바이러스 감염 여부 분석시 활용되는 다양한 바이러스 패턴 정보들은 침입탐지 및 차단 시스템으로부터 로딩되어 활용될 수 있고, 이러한 정보들이 지속적으로 업데이트되어야함은 자명하다. 물론 바이러스분석부(122)는 패킷 분석시 바이러스 패턴 정보들의 로딩없이 해당 정보들에 직접 엑세스하여 관련 정보들을 활용하여 패킷을 분석할 수도 있다.
이상명령분석부(123)는 패킷에 포함된 제어명령의 이상여부를 분석하기 위한 것으로서, 패킷분석부(120)에 수신된 패킷의 데이터가 홈네트워크상의 기기를 제어하기 위한 제어명령 패턴을 갖는 경우, 이상명령분석부(123)는 패킷분석부(120)에 의해 활성화되어 패킷분석부(120)로부터 패킷을 전달받아 이를 분석한다.
이상명령분석부(123)는 패킷분석부(120)로부터 해당 패킷을 전달받고, 전달받은 패킷에 포함된 제어명령이 홈네트워크상에 구비된 기기의 제어를 위한 제어명령에 해당하는지 분석한다. 즉, 이상명령분석부(123)는 홈네트워크상에 구비된 기기의 제어를 위한 제어명령들을 침입탐지 및 차단 시스템으로부터 로딩하여 전달받은 패킷에 포함된 제어명령이 홈네트워크상에 구비된 기기의 제어를 위한 제어명령에 해당하는지 분석한다. 여기서, 패킷분석을 위한 제어명령 정보의 경우, 각 기기에 대한 제어명령의 표준화가 이루어지지 않아 각 기기의 종류와 생산업체마다 제어명령이 다르므로, 이렇게 서로 다른 제어명령에 대한 정보의 확보 및 업데이트가 선행되어야 한다.
만일 분석된 패킷이 홈네트워크상에 구비된 기기의 정상동작을 위한 제어명령을 포함하는 것이 아닐 경우, 패킷분석부(120)는 해당 패킷을 패킷차단부(130)로 전달하여 해당 패킷을 홈네트워크로부터 차단되도록 한다. 즉, 패킷차단부(130)는 패킷분석부(120)로부터 전달받은 패킷을 파기하거나, 패킷의 송신처로부터의 송수신을 제한하는 등의 조치를 통해 홈네트워크를 보호한다.
이렇듯 이상명령분석부(123)는 패킷에 포함된 제어명령의 이상 여부를 분석하기 위한 것으로서, 홈네트워크 내외부로부터 패킷전달을 통해 홈네트워크상에 구비된 기기를 제어할 경우, 패킷에 포함된 제어명령을 통해 기기를 오작동시키거나, 패킷에 포함된 제어명령을 변조하여 불순한 목적의 기기작동을 수행하는 것을 방지한다.
한편, 패킷의 분석을 위해 활용되는 정보들은 최신 정보들로 업데이트되어 관리되어야 하며, 정보들의 등록 및 업데이트는 관리자가 침입탐지 및 차단 시스템에 직접 해당 정보들을 입력함으로써 수행되거나, 원격지에서 침입탐지 및 차단 시스템에 접속하여 정보들을 관리함으로써 수행될 수 있다.
또한, 침입분석부(121), 바이러스분석부(122) 및 이상명령분석부(123)는 각각 독립적으로 활성화되어 구동되며, 이들 분석부들은 패킷분석부(120)의 제어 없이 패킷의 이상 유형들 중 그 발생빈도가 높은 이상 유형을 분석하기 위한 분석부 순으로 활성화되어 패킷을 분석할 수 있다. 여기서 이상 유형은 앞서 살펴본 바와 같이, 패킷이 홈네트워크로의 침입공격을 의미하는 것인지, 바이러스를 포함하는 패킷인지 또는 이상 제어명령을 포함하는 패킷인지 등을 의미한다.
패킷의 이상 유형 발생빈도에 따라 해당 분석부를 활성화시키는 것은 패킷차단부(130)가 수행한 이상 유형에 대한 대응을 누적저장관리함으로써 가능하다. 즉, 수행빈도가 높은 대응에 해당하는 이상 유형을 발생빈도가 높은 이상 유형으로 간주하고, 이에 해당하는 분석부를 우선적으로 활성화시킴으로써 가능하다.
패킷차단부(130)는 패킷분석부(120)를 통해 분석된 패킷과 분석정보를 패킷분석부(120)로부터 전달받아 해당 패킷에 대한 적절한 대응을 수행하는 것으로서, 일예로, 패킷이 홈네트워크로의 침입이나 공격을 의미하는 경우이거나 기기의 정상동작을 위한 제어명령을 포함하는 경우가 아닌 경우, 패킷차단부(130)는 해당 패킷을 파기하거나, 패킷의 송신처로부터의 송수신을 제한하는 등의 조치를 통해 홈네트워크를 보호하고, 패킷이 바이러스를 포함하는 경우에는, 해당 바이러스에 대한 치료와 패킷의 송신처에 대한 송수신 제한 등의 조치를 통해 홈네트워크를 보호한다.
이러한 패킷차단부(130)는 앞서 살펴본 바와 같이 패킷의 이상 유형을 누적저장관리하며, 대응에 따른 송수신처를 누적저장관리한다.
도 2는 본 발명에 따른 침입탐지 및 차단 방법의 일실시예를 나타내는 흐름도이다. 도 2를 참조하면, 본 발명의 일실시예에 따른 침입탐지 및 차단 방법은 먼저, 패킷처리부(110)가 홈네트워크 내외부로부터 홈네트워크로 유입되는 패킷을 확보한다(S210).
다음으로 패킷처리부(110)는 확보된 패킷으로부터 송수신처정보와 데이터정보를 추출하고(S220), 추출된 정보를 패킷분석부(120)로 전달한다.
이어, 패킷분석부(120)는 전달받은 패킷의 이상 여부를 분석한다. 즉, 패킷분석부(120)는 전달받은 패킷이 홈네트워크로의 침입이나 공격을 목적으로 하는 패킷인지, 바이러스에 감염된 패킷인지, 또는 이상 제어명령을 포함하는 패킷인지 분석하고(S230), 분석된 결과를 패킷과 함께 패킷차단부(130)로 전달한다.
패킷차단부(130)는 전달받은 이상 패킷을 파기하고, 해당 패킷의 송신처로부터 송신되는 패킷의 홈네트워크 유입을 차단한다. 한편, 이상 패킷이 바이러스를 포함하는 경우에는 해당 바이러스에 대한 치료를 병행한다(S240).
본 발명은 이상에서 살펴본 바와 같이 바람직한 실시예를 들어 도시하고 설명하였으나, 상기한 실시예에 한정되지 아니하며 본 발명의 정신을 벗어나지 않는 범위 내에서 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 본 발명의 기술사상과 아래에 기재될 특허청구범위의 균등범위 내에서 다양한 수정 및 변형이 가능함은 물론이다.
도 1은 본 발명에 따른 홈네트워크 침입탐지 및 차단 시스템의 일실시예를 나타내는 구성도,
도 2는 본 발명에 따른 침입탐지 및 차단 방법의 일실시예를 나타내는 흐름도이다.
<도면의 주요 부분에 대한 부호의 설명>
110: 패킷처리부 111: 패킷수집부 112: 정보추출부
120: 패킷분석부 121: 침입분석부 122: 바이러스분석부
123: 이상명령분석부 130: 패킷차단부

Claims (7)

  1. 홈네트워크로의 침입을 탐지하고, 이를 차단하기 위한 시스템에 있어서,
    상기 홈네트워크 내외부에서 상기 홈네트워크로 유입되는 패킷을 확보하기 위한 패킷수집부; 확보된 상기 패킷으로부터 패킷의 송수신처정보 및 데이터정보를 추출하기 위한 정보추출부; 상기 정보추출부로부터 수신한 패킷이 침입/공격 패턴을 갖는 패킷인지, 바이러스의 패턴을 갖는 패킷인지, 또는 기기 제어를 위한 제어명령 패턴을 갖는 패킷인지 상기 패킷의 이상 여부를 분석하기 위한 패킷분석부; 및 이상 패킷으로 분석된 패킷을 파기하고, 해당 패킷의 송신처로부터 송신되는 패킷의 홈네트워크 유입을 차단하며, 이상 패킷이 바이러스를 포함하는 경우 해당 바이러스에 대한 치료를 수행하는 패킷차단부를 포함하며,
    상기 패킷분석부는, 상기 시스템으로부터 침입/공격 유형 분석을 위한 정보를 로딩하고, 로딩된 정보를 기반으로 상기 패킷의 침입/공격 유형을 분석하기 위한 침입분석부; 상기 시스템으로부터 바이러스 패턴 분석을 위한 정보를 로딩하고, 로딩된 정보를 기반으로 상기 패킷의 바이러스 종류 및 대응방안을 확보하기 위한 바이러스분석부; 및 상기 시스템으로부터 제어명령의 이상 여부 분석을 위한 정보를 로딩하고, 로딩된 정보를 기반으로 상기 패킷이 비정상 제어명령을 포함하는지 분석하기 위한 이상명령분석부를 포함하되,
    상기 침입분석부, 바이러스분석부 및 이상명령분석부는 상기 패킷분석부의 분석에 따른 패킷의 이상 유형에 따라 각각 독립적으로 활성화되어 구동되며, 패킷의 이상 유형에 해당하지 않는 분석부는 슬립모드로 유지되는 것인 경량화된 홈네트워크 침입탐지 및 차단 시스템.
  2. 삭제
  3. 삭제
  4. 제 1항에 있어서,
    상기 침입분석부, 바이러스분석부 및 이상명령분석부는 상기 패킷차단부에 누적관리되는 패킷의 이상 유형 중 발생빈도가 높은 이상 유형에 해당하는 분석부 순으로 활성화되어 상기 패킷분석부에 수신된 패킷을 분석하는 것인 경량화된 홈네트워크 침입탐지 및 차단 시스템.
  5. 홈네트워크로의 외부침입을 탐지하고 이를 차단하기 위한 방법에 있어서,
    상기 홈네트워크로 유입되는 패킷을 확보하는 제1단계; 확보된 패킷의 송수신처정보 및 데이터정보를 추출하는 제2단계; 상기 패킷이 침입/공격 패턴을 갖는 패킷인지, 바이러스의 패턴을 갖는 패킷인지, 또는 기기 제어를 위한 제어명령 패턴을 갖는 패킷인지 상기 패킷의 이상 여부를 분석하는 제3단계; 및 이상 패킷으로 분석된 패킷을 파기하고, 해당 패킷의 송신처로부터 송신되는 패킷의 홈네트워크 유입을 차단하며, 이상 패킷이 바이러스를 포함하는 경우 해당 바이러스에 대한 치료를 수행하는 제4단계를 포함하되,
    상기 제3단계에서 상기 패킷의 이상 여부 분석은, 침입/공격 유형 분석을 위한 정보를 로딩하고, 로딩된 정보를 기반으로 상기 패킷의 침입/공격 유형을 분석하거나, 바이러스 패턴 분석을 위한 정보를 로딩하고, 로딩된 정보를 기반으로 상기 패킷의 바이러스 종류 및 대응방안을 확보하거나, 제어명령의 이상 여부 분석을 위한 정보를 로딩하고, 로딩된 정보를 기반으로 상기 패킷이 비정상 제어명령을 포함하는지 분석하는 침입분석부, 바이러스분석부 및 이상명령분석부는 패킷의 이상 유형에 따라 각각 독립적으로 활성화되어 구동되며, 패킷의 이상 유형에 해당하지 않는 분석부는 슬립모드로 유지되는 것을 특징으로 하는 경량화된 홈네트워크 침입탐지 및 차단 방법.
  6. 삭제
  7. 제 5항에 있어서,
    상기 제3단계에서 상기 패킷의 이상 여부 분석은 패킷의 홈네트워크 침입/공격 여부, 패킷의 바이러스 감염 여부 및 패킷에 포함된 제어명령의 이상 여부 중 발생빈도가 높은 이상 유형 순으로 분석이 이루어지는 경량화된 홈네트워크 침입탐지 및 차단 방법.
KR1020080019915A 2008-03-04 2008-03-04 경량화된 홈네트워크 침입탐지 및 차단 시스템 및 그 방법 KR100968200B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080019915A KR100968200B1 (ko) 2008-03-04 2008-03-04 경량화된 홈네트워크 침입탐지 및 차단 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080019915A KR100968200B1 (ko) 2008-03-04 2008-03-04 경량화된 홈네트워크 침입탐지 및 차단 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20090094922A KR20090094922A (ko) 2009-09-09
KR100968200B1 true KR100968200B1 (ko) 2010-07-06

Family

ID=41295292

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080019915A KR100968200B1 (ko) 2008-03-04 2008-03-04 경량화된 홈네트워크 침입탐지 및 차단 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR100968200B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101744631B1 (ko) * 2015-08-25 2017-06-20 주식회사 아이티스테이션 네트워크 보안 시스템 및 보안 방법
KR101691611B1 (ko) * 2015-12-30 2017-01-03 한국정보보호시스템(주) 메인 보드와 결합 및 분리 가능한 침입 방지 장치 및 그 동작 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010079361A (ko) * 2001-07-09 2001-08-22 김상욱 네트워크 상태 기반의 방화벽 장치 및 그 방법
KR20030087583A (ko) * 2003-05-23 2003-11-14 김성호 개인용 컴퓨터의 침입탐지시스템
KR20040065674A (ko) * 2003-01-15 2004-07-23 권창훈 통합형 호스트 기반의 보안 시스템 및 방법
KR100733387B1 (ko) * 2006-12-20 2007-06-29 주식회사 이세정보 이상 행동 기반 유해 프로그램 검출 시스템 및 그 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010079361A (ko) * 2001-07-09 2001-08-22 김상욱 네트워크 상태 기반의 방화벽 장치 및 그 방법
KR20040065674A (ko) * 2003-01-15 2004-07-23 권창훈 통합형 호스트 기반의 보안 시스템 및 방법
KR20030087583A (ko) * 2003-05-23 2003-11-14 김성호 개인용 컴퓨터의 침입탐지시스템
KR100733387B1 (ko) * 2006-12-20 2007-06-29 주식회사 이세정보 이상 행동 기반 유해 프로그램 검출 시스템 및 그 방법

Also Published As

Publication number Publication date
KR20090094922A (ko) 2009-09-09

Similar Documents

Publication Publication Date Title
US10701103B2 (en) Securing devices using network traffic analysis and software-defined networking (SDN)
US11848947B2 (en) System and method for providing security to in-vehicle network
JP5518594B2 (ja) 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム
US20050182950A1 (en) Network security system and method
US7832010B2 (en) Unauthorized access program monitoring method, unauthorized access program detecting apparatus, and unauthorized access program control apparatus
EP3306868B1 (en) Relay device, network monitoring system, and program
CN108293039B (zh) 处理网络威胁的计算设备、方法和存储介质
JP2006243878A (ja) 不正アクセス検知システム
JP2006350561A (ja) 攻撃検出装置
CN103916288A (zh) 一种基于网关与本地的Botnet检测方法及系统
KR20140044970A (ko) 접근 제어 목록을 이용한 공격 차단 제어 방법 및 그 장치
KR100769221B1 (ko) 제로데이 공격 대응 시스템 및 방법
US11159485B2 (en) Communication system, communication control apparatus, and communication control method using IP addresses for relay server managing connections
KR100968200B1 (ko) 경량화된 홈네트워크 침입탐지 및 차단 시스템 및 그 방법
KR101006372B1 (ko) 유해 트래픽 격리 시스템 및 방법
JP5898024B2 (ja) マルウェア検出装置および方法
JP5531064B2 (ja) 通信装置、通信システム、通信方法、および、通信プログラム
US11159533B2 (en) Relay apparatus
US20200213355A1 (en) Security Network Interface Controller (SNIC) Preprocessor with Cyber Data Threat Detection and Response Capability that Provides Security Protection for a Network Device with Memory or Client Device with Memory or Telecommunication Device with Memory
KR101075234B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 컨텐츠 제공 서버
JP2009005122A (ja) 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム
JP2008011008A (ja) 不正アクセス防止システム
CN114600424A (zh) 用于过滤数据流量的安全系统和方法
KR20080040257A (ko) 네트워크 수준의 웜, 바이러스 조기 탐지 방법 및 장치
JP2006252109A (ja) ネットワークアクセス制御装置、遠隔操作用装置及びシステム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee