KR100994746B1 - 패턴 매칭부를 이용한 유해 트래픽 탐지 방법 및 시스템 - Google Patents
패턴 매칭부를 이용한 유해 트래픽 탐지 방법 및 시스템 Download PDFInfo
- Publication number
- KR100994746B1 KR100994746B1 KR1020080075513A KR20080075513A KR100994746B1 KR 100994746 B1 KR100994746 B1 KR 100994746B1 KR 1020080075513 A KR1020080075513 A KR 1020080075513A KR 20080075513 A KR20080075513 A KR 20080075513A KR 100994746 B1 KR100994746 B1 KR 100994746B1
- Authority
- KR
- South Korea
- Prior art keywords
- pattern
- signature
- matching
- packet information
- packet
- Prior art date
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 46
- 231100001261 hazardous Toxicity 0.000 title 1
- 238000000034 method Methods 0.000 claims abstract description 21
- 239000000284 extract Substances 0.000 claims description 2
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000003111 delayed effect Effects 0.000 description 1
- 230000006866 deterioration Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 유해 트래픽의 탐지 방법 및 시스템에 관한 것이다. 본 발명에 따른 유해 트래픽 탐지 방법은 유입되는 패킷 정보를 수집하는 단계, 수집된 패킷 정보와 미리 저장된 패턴을 매칭하는 단계, 패턴 매칭 결과 패킷 정보와 패턴이 일치되면 미리 정의된 하나 이상의 시그니처와 매칭하는 단계 및 시그니처 매칭 결과 패킷 정보와 시그니처가 일치하면 유해 트래픽 탐지의 로그를 남기는 단계를 포함한다.
본 발명은 시그니처의 개수와 무관하게 패턴 매칭 작업 시간을 일정하게 유지할 수 있으며, 시스템의 처리 속도에 영향을 미치는 패턴 매칭 작업을 패턴 매칭부 또는 패턴 매칭을 위한 컴퓨터 카드를 이용함으로써 시스템의 성능을 유지할 수 있다.
유해 트래픽, 시그니처, 패턴, 패킷, 네트워크, 패턴 매칭, 컴퓨터 카드
Description
본 발명은 유해 트래픽을 탐지 방법 및 시스템에 관한 것으로, 보다 구체적으로는 패턴 매칭부 또는 패턴 매칭을 위한 컴퓨터 카드를 이용하여 의심되는 유해 트래픽의 패턴을 예비적으로 매칭하고 매칭 결과에 따라 시그니처 매칭 또는 비 패턴 시그니처 매칭을 하여 유해 트래픽을 탐지하는 것이다.
유해 트래픽이라 함은 수신자 측에서 해당 트래픽을 수신할 경우 시스템이 이상 작동하게 되는 공격적 트래픽, 혹은 공격 정보나 정상적인 네트워크 흐름에 있어서 필요치 않은 트래픽, 혹은 데이터 흐름 또는 정상 패킷이지만 해당 패킷을 과도하게 발생하여 수신자의 정상적인 네트워크 소통의 흐름을 방해하거나 네트워크 연결을 중단시키는 행위를 하기 위한 트래픽을 말한다. 유해 트래픽이 네트워크 망을 통해 사용자의 컴퓨터로 유입될 경우 컴퓨터 성능 저하 등의 문제점이 발생하게 된다. 따라서 유해 트래픽을 차단하기 위한 시도가 계속되어왔다.
일반적으로 유해 트래픽을 탐지하기 위해서는 시그니처 탐지 엔진 즉, 소프트웨어만을 사용하였다. 네트워크를 지나는 모든 패킷에 대하여 시그니처와 매칭을 하는 경우 시그니처의 개수가 증가하게 되면 유해 트래픽 탐지에 소요되는 시간이 증가하고 탐지 성능이 저하되며, CPU 사용율의 증가로 시스템 전체의 성능이 떨어지는 문제점이 있다.
본 발명의 목적은 네트워크 상의 유해 트래픽을 탐지하기 위하여 소프트웨어만을 이용했을 때의 문제점을 해결하기 위한 것으로, 시그니처의 개수가 증가해도 시그니처 매칭 시간이 지연되지 않으며, 시스템 전체의 성능이 저하되지 않고 일정하게 유지함으로써 안정적인 시스템의 운영을 보장하면서 유해 트래픽 탐지의 성능은 높일 수 있는 방법 및 시스템을 제공하는 것이다.
본 발명의 실시 예에 따른 패턴 매칭부를 이용한 유해 트래픽 탐지 방법은 유입되는 패킷 정보를 수집하는 단계, 수집된 패킷 정보를 분석하는 단계, 분석된 패킷 정보와 미리 저장된 패턴을 매칭하는 단계, 패턴 매칭 결과 패킷 정보와 패턴이 일치되면 패킷 정보에 식별 코드가 부여되고 미리 정의된 하나 이상의 시그니처와 매칭하는 단계 및 시그니처 매칭 결과 패킷 정보와 시그니처가 일치하면 유해 트래픽 탐지의 로그를 남기는 단계를 포함하고, 패킷 정보 분석 결과 패이로드 사이즈가 0인 경우 패킷 정보와 패턴을 매칭하지 않고 비 패턴 시그니처를 매칭하는 것을 특징으로 한다.
본 발명의 다른 실시 예에 따른 유해 트래픽 탐지 방법은 패턴을 매칭하는 단계가 컴퓨터 카드에서 실행될 수 있다.
본 발명의 다른 실시 예에 따른 유해 트래픽 탐지 방법은 시그니처 매칭 결과 패킷 정보와 시그니처가 일치되지 않으면 패킷 정보와 비 패턴 시그니처를 매칭 하는 단계를 더 포함한다.
본 발명의 다른 실시 예에 따른 유해 트래픽 탐지 방법은 수집된 패킷 정보와 미리 저장된 패턴의 매칭 결과 일치 되지 않으면 패킷 정보에 식별 코드가 부여되지 않고 패킷 정보와 비 패턴 시그니처를 매칭하는 단계를 더 포함한다.
본 발명의 실시 예에 따른 패턴 매칭부를 이용한 유해 트래픽 탐지 시스템은 패킷 캡쳐 모듈, 패킷 분석부, 패턴 매칭부 및 시그니처 탐지부를 포함한다. 패킷 캡쳐 모듈은 유입되는 패킷을 수집한다. 패킷 분석부는 패킷 캡처 모듈에서 수집된 패킷을 전달받아서 저장 및 분석한다. 패턴 매칭부는 패킷 분석부로부터 전달받은 패킷에 미리 정의된 패턴을 매칭하여 일치하는지 여부를 판별한다. 시그니처 탐지부는 패턴 매칭부의 매칭 결과 일치하면 패킷을 전달받아 시그니처를 매칭하여 유해 트래픽인지 여부를 판별하고, 일치하지 않으면 비 패턴 시그니처를 매칭하여 유해 트래픽인지 여부를 판별한다.시그니처 탐지부는 패킷과 시그니처의 매칭 결과 일치하지 않으면 비 패턴 시그니처를 매칭하여 유해 트래픽인지 여부를 판단할 수 있다.
본 발명의 다른 실시 예에 따른 유해 트래픽 탐지 시스템은 패턴 매칭부가 컴퓨터 카드일 수 있다.
본 발명에 따르면 시그니처의 개수와 무관하게 패턴 매칭 작업이 별도로 이루어지므로 시그니처의 매칭 시간이 단축될 수 있다.
또한 시스템의 성능 즉, CPU 사용율의 많은 부분을 차지하는 패턴 매칭 작업 이 패턴 매칭부에서 이루어짐으로써 시스템의 성능은 유지하면서 유해 트래픽의 탐지 성능은 높일 수 있다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다. 이 때, 첨부된 도면에서 동일한 구성 요소는 가능한 동일한 부호로 나타내고 있음에 유의한다. 또한, 본 발명의 요지를 흐리게 할 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략할 것이다. 마찬가지 이유로 첨부 도면에 있어서 일부 구성요소는 과장되거나 생략되거나 개략적으로 도시되었다.
본 명세서에서 시그니처는 유해 트래픽을 탐지하기 위해 정의된 프로토콜(Protocol), IP, 포트, 패이로드(Payload)의 사이즈, 패턴 등의 요소를 의미하고 비 패턴 시그니처는 상기 정의된 요소 중 패턴이 제외된 시그니처를 의미한다.
도 1은 본 발명에 따른 유해 트래픽 탐지 시스템의 블럭도이다.
도 1에 도시된 바와 같이, 유해 트래픽 탐지 시스템은 패킷 캡처 모듈(110), 패킷 분석부(120), 패턴 매칭부(130) 및 시그니처 탐지부(240)을 포함한다. 패킷 캡처 모듈(110)은 모니터링 대상 네트워크 망 등을 통하여 사용자 컴퓨터 등의 시스템으로 패킷이 유입되면 패킷 정보를 수집한다. 패킷 임시 저장부(121)에는 패킷 캡처 모듈(110)에서 수집되는 패킷 정보가 순차로 저장될 수 있다. 패킷 분석부(120)의 패킷 분석 모듈(122)은 패킷 캡처 모듈(110)로부터 패킷 정보를 전달 받아 패킷의 프로토콜, 패이로드 등을 분석한다. 패이로드란 패킷 등에서 각종 운용 및 제어 등을 위한 헤더 등을 뺀 실제 정보가 들어있는 부분을 의미한다. 패킷 분석부(120)의 패킷 분석에 관해서는 아래 도 2에서 구체적으로 설명된다.
패턴 매칭부(130)에는 분석이 끝난 패킷 정보가 전달된다. 패턴 매칭부(130)는 패턴 데이터베이스(131) 및 패턴 매칭 모듈(132)을 포함한다. 패턴 데이터베이스(131)에는 유해 트래픽을 탐지하기 위한 시그니처에서 추출된 수개의 패턴이 저장된다. 패턴 매칭 모듈(132)은 전달된 패킷 정보와 저장된 패턴을 매칭하여 일치여부를 판단한다. 패턴 매칭부(130)의 패턴 매칭 과정에 관해서는 아래 도 3에서 구체적으로 설명된다.
시그니처 탐지부(140)에는 패턴 매칭이 끝난 패킷 정보가 전달된다. 시그니처 탐지부(140)는 시그니처 데이터베이스(141), 시그니처 탐지 모듈(142), 비 패턴 시그니처 데이터베이스(143) 및 비 패턴 시그니처 탐지 모듈(144)을 포함한다. 시그니처 데이터베이스(141)는 유해 트래픽과 관련된 미리 정의된 시그니처를 저장하고 있다. 시그니처 탐지 모듈(142)은 전달받은 패킷 정보와 시그니처를 매칭하여 일치여부를 판단한다. 비 패턴 시그니처 데이터베이스(143)는 유해 트래픽과 관련된 패턴을 제외한 시그니처를 저장하고 있다. 비 패턴 시그니처 탐지 모듈(144)은 전달받은 패킷 정보와 비 패턴 시그니처를 매칭하여 일치여부를 판단한다.
패턴 매칭부(130)의 매칭 결과 패킷 정보와 패턴이 일치하는 경우 패킷 정보에 식별 코드가 부여되고, 패킷 정보는 시그니처 탐지부(140)의 시그니처 탐지 모듈(142)로 전달된다. 패턴 매칭부(130)의 매칭 결과 패킷 정보와 패턴이 일치하지 않는 경우 패킷 정보에 식별 코드는 부여되지 않으며, 패킷 정보는 시그니처 탐지 부(140)의 비 패턴 시그니처 탐지 모듈(144)로 전달된다. 시그니처 탐지부(140)로 전달된 패킷 정보가 미리 저장된 시그니처 또는 비 패턴 시그니처와 매칭되는 경우 유해 트래픽을 탐지했다는 로그를 남기게 된다. 시그니처 탐지 모듈(144)로 전잘된 패킷 정보가 미리 저장된 시그니처와 매칭되지 않는 경우 패킷 정보는 비 패턴 시그니처 탐지 모듈(144)로 전달된다. 비 패턴 시그니처 탐지 모듈(144)로 전달된 패킷 정보와 비 패턴 시그니처를 매칭하여 일치하는 경우에는 유해 트래픽을 탐지했다는 로그를 남기고 일치하지 않는 경우에는 과정이 종료된다.
시그니처 탐지부(140)에서 시그니처 및 비 패턴 시그니처를 매칭하는 과정에 관해서는 아래 도 4에서 구체적으로 설명된다.
시그니처 탐지부(140)는 특정 패킷 정보가 유해 트래픽으로 일정 횟수 이상 반복해서 탐지될 경우 패킷 정보의 반복되는 특정 패턴을 추출하여 패턴 매칭부(130)의 패턴 데이터베이스(131)에 피드백 될 수 있다. 따라서 기존에 미리 정의되지 않은 패턴을 새로 추출 및 저장하여 패턴 데이터베이스(131)는 계속적으로 업데이트될 수 있다.
도 2는 패킷 분석부의 분석을 통해 패킷 정보가 패턴 매칭부 또는 시그니처 탐지부로 전달되는 과정을 나타낸 흐름도이다.
도 2에 도시된 바와 같이, 패킷 분석부로 패킷 정보가 전달되면 프로토콜, 서비스(Service), 패이로드, 플래그(Flags) 등을 분석한다(S210). 구체적으로, 패킷 정보 중 플래그(Flags)가 SYN(Synchronization), SYN(Synchronization)|ACK(Acknowledgement), FIN(Finish)|ACK(Acknowledgement), RST(Reset)로 구성되어 있는지 여부를 분석한다(S220). 분석 결과 플래그가 SYN, SYN|ACK, FIN|ACK, RST로 구성된 경우 유해 트래픽 탐지 과정은 종료된다(S220). 그러나 패킷 정보 중 플래그가 SYN, SYN|ACK, FIN|ACK, RST로 구성되지 않은 경우에는 패킷 정보의 패이로드 사이즈를 분석한다(S250). 분석 결과 패이로드 사이즈가 0인 패킷은 시그니처 탐지부로 전달되어 패킷 정보와 시그니처를 매칭한다(S240). 사이즈가 0이 아닌 패킷은 패턴 매칭부로 전달되어 패킷 정보와 패턴을 매칭한다(S260).
도 3은 패턴 매칭부에서 패턴 매칭이 이루어지는 과정을 나타낸 흐름도이다.
도 3에 도시된 바와 같이, 패턴 매칭부의 패킷 임시 저장부에 유입된 패킷 정보가 순차적으로 임시 저장된다(S310). 패턴 매칭부의 패턴 매칭 모듈은 임시 저장부로부터 패킷 정보를 전달받아, 패킷 정보와 미리 저장된 패턴을 매칭한다(S320). 패턴 매칭 모듈은 패킷 정보와 패턴이 일치하는지 여부를 판단하여(S330), 일치하면 패턴 매칭 식별 코드를 패킷에 삽입한다(S340). 패턴 매칭 식별 코드가 삽입된 패킷 정보는 시그니처 탐지부의 임시 저장부에 저장된다(S350). 그러나 패킷 정보와 패턴이 일치하지 않으면 패턴 매칭 식별 코드의 삽입 없이 시그니처 탐지부의 임시 저장부에 패킷 정보가 저장된다(S350).
도 4는 시그니처 탐지부로 전달된 패킷 정보가 시그니처와 매칭되는 과정을 나타낸 흐름도이다.
도 4에 도시된 바와 같이, 시그니처 탐지부의 임시 저장부에 패턴 탐지부로부터 전달받은 패킷 정보가 순차적으로 임시 저장된다(S410). 시그니처 탐지부에서는 저장된 패킷 정보에 대해 프로토콜 취약성 공격에 대한 분석 및 서비스에 대한 처리(S420)와 플루딩(Flooding) 공격에 대한 검사(S430)가 수행된다. 그리고 시그니처 탐지부는 도 3에서 설명된 패턴 매칭 식별 코드가 패킷 정보에 삽입되었는지 여부를 판단한다(S440). 판단 결과 패턴 매칭 식별 코드가 삽입되었으면 패킷 정보에 시그니처를 매칭(S450)하여 일치 여부를 판단한다. 판단 결과 패턴 매칭 식별 코드가 삽입되지 않았으면 패킷 정보에 비 패턴 시그니처를 매칭하여(S460) 일치 여부를 판단하게 된다. 그리고 시그니처 탐지부는 패킷 정보와 시그니처 또는 비 패턴 시그니처를 매칭하여 일치하는 경우 유해 트래픽이 탐지되었다는 로그를 남기고, 일치하지 않는 경우 과정은 종료된다.
도 5는 본 발명에 따른 패턴 매칭부를 이용한 유해 트래픽 탐지 방법의 흐름도이다.
도 5에 도시된 바와 같이, 네트워크 망을 통해 패킷이 유입되면 패킷 정보가 수집된다(S510). 수집된 패킷은 임시 저장부 또는 데이터베이스 등에 저장 될 수 있다. 수집된 패킷 정보는 프로토콜, 서비스, 패이로드, 플래그 등이 분석된다(S520). 분석을 통해 패킷 정보 중 플래그가 SYN, SYN|ACK, FIN|ACK, RST로 구성되어 있는지 여부가 판단된다(S530). SYN, SYN|ACK, FIN|ACK, RST로 구성되어 있다 면 유해 트래픽 탐지 과정은 종료된다. SYN, SYN|ACK, FIN|ACK, RST로 구성되어 있지 않으면 패이로드의 사이즈가 0인지 여부가 판단된다(S540). 패이로드의 사이즈가 0이라면 패킷 정보와 비 패턴 시그니처를 매칭하여(S560) 일치 여부가 판단되고(S600) 일치하면 유해 트래픽 탐지의 로그가 남겨진다(S610). 패이로드의 사이즈가 0이 아니라면 미리 저장된 패턴들과 매칭(S550)하여, 일치하는지 여부가 판단된다(S570). 유입되는 패킷 정보가 많을 경우 임시 저장부에 순차적으로 대기(Pattern Matching Queue)하게 된다. 패킷 정보와 미리 저장된 패턴의 매칭 결과 일치하는 경우, 의심되는 유해 트래픽으로 간주하고 시그니처를 매칭(S580)하여 일치하는지 여부가 판단된다(S590). 시그니처 매칭을 위한 패킷 정보가 많을 경우 역시 임시 저장부에 순차적으로 대기(Signature Detector Queue)하게 된다. 의심되는 유해 트래픽으로 간주된 패킷 정보에 대한 시그니처 매칭 결과 패킷 정보와 시그니처가 일치하는 경우에는 유해 트래픽 탐지의 로그를 남기고(S610) 사용자에게 유해 트래픽의 정보가 출력된다.
수집된 패킷 정보와 미리 저장된 패턴들을 매칭하여 일치하는지 여부를 비교(S570)한 결과, 일치하지 않는 경우에는 패킷 정보와 비 패턴 시그니처를 매칭(S560)하여, 일치여부가 비교된다(S600). 매칭할 패킷 정보가 많을 경우 임시 저장부에 순차적으로 대기(No Pattern Matching Queue)하게 된다. 패킷 정보와 비 패턴 시그니처를 매칭한 결과, 패킷 정보와 비 패턴 시그니처가 일치하는 경우에는 유해 트래픽 탐지의 로그가 남겨지고(S610) 사용자에게 유해 트래픽의 정보가 출력된다. 일치하지 않는 경우에는 모든 단계가 종료된다.
수집된 패킷 정보와 미리 저장된 패턴들을 매칭하여 일치하는지 여부를 비교(S570)한 결과 일치하면 수집된 패킷은 의심되는 유해 트래픽으로 간주된다. 이후 시그니처를 매칭(S580)하여 비교한 결과(S590) 일치되지 않은 경우에는 패킷 정보와 비 패턴 시그니처를 매칭하게된다(S560). 패킷 정보와 비 패턴 시그니처를 매칭(S560)한 결과 패킷 정보와 비 패턴 시그니처가 일치하는 경우(S600)에는 유해 트래픽 탐지의 로그를 남기고(S6100) 사용자에게 유해 트래픽의 정보가 출력된다. 일치하지 않는 경우에는 모든 단계가 종료된다. 이하 일예를 들어 설명한다.
IP가 10.100.100.1이고 패이로드가 abc인 패킷이 유입된 경우를 예로 들면, 패이로드의 abc가 미리 저장된 패턴 abc에 매칭될 경우 더욱 상세한 탐지를 위해 시그니처를 매칭하는 단계(S580)로 넘어간다. 만약 시그니처에서는 IP가 10.0.0.1 패턴이 abc로 정의되었다면, 전달 받은 패킷은 IP가 10.100.100.1이고 패이로드가 abc이므로 시그니처에 정의된 IP인 10.0.0.1과 매칭이 되지 않으므로 비 패턴 시그니처 검사로 패킷이 전달된다. 비 패턴 시그니처에서는 IP가 10.100.100.1로 정의되었다면, 전달 받은 패킷은 IP가 10.100.100.1이고 패이로드가 abc이므로 비 패턴 시그니처에 정의된 IP인 10.100.100.1과 매칭이 되어 유해 트래픽이 탐지되므로 유해 트래픽 탐지의 로그를 남기고 종료된다.
본 발명이 실시 예를 이용하여 상세하게 설명이 되었지만 제시된 실시 예는 예시적인 것으로 이 분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상을 벗어나지 않는 다양한 형태의 변형 및 수정 형태를 발명할 수 있을 것이다. 본 발 명의 범위는 이러한 변형 및 수정 발명에 의하여 제한되지 않는다.
도 1은 본 발명에 따른 패턴 매칭부를 이용한 유해 트래픽 탐지 시스템의 블럭도이다.
도 2는 패킷 분석부의 분석을 통해 패킷 정보가 패턴 매칭부 또는 시그니처 탐지부로 전달되는 과정을 나타낸 흐름도이다.
도 3은 패턴 매칭부에서 패턴 매칭이 이루어지는 과정을 나타낸 흐름도이다.
도 4는 시그니처 탐지부로 전달된 패킷 정보가 시그니처와 매칭되는 과정을 나타낸 흐름도이다.
도 5는 본 발명에 따른 패턴 매칭부를 이용한 유해 트래픽 탐지 방법을 나타내는 흐름도이다.
Claims (7)
- 유해 트래픽 탐지 시스템에서 유해 트래픽을 탐지하는 방법에 있어서,유입되는 패킷 정보를 수집하는 단계;상기 수집된 패킷 정보를 분석하는 단계;상기 분석된 패킷 정보와 유해 트래픽 탐지를 위해 시그니처에서 추출되어 미리 저장된 패턴을 매칭하는 단계;상기 패턴 매칭 결과 패킷 정보와 패턴이 일치되면 패킷 정보에 식별 코드가 부여되고 미리 정의된 하나 이상의 시그니처와 매칭하는 단계; 및상기 시그니처 매칭 결과 패킷 정보와 시그니처가 일치하면 유해 트래픽 탐지의 로그를 남기는 단계; 를 포함하고,상기 패킷 정보 분석 결과 패이로드 사이즈가 0인 경우 패킷 정보와 패턴을 매칭하지 않고 비 패턴 시그니처를 매칭하고, 상기 비 패턴 시그니처 매칭 시에 유해 트래픽으로 반복 탐지되는 패킷 정보의 반복되는 패턴을 추출하여 상기 패턴 매칭 단계에 업데이트하는 것을 특징으로 하는 패턴 매칭부를 이용한 유해 트래픽 탐지 방법.
- 청구항 1에 있어서,상기 패턴을 매칭하는 단계는 컴퓨터 카드에서 실행되는 것을 특징으로 하는 패턴 매칭부를 이용한 유해 트래픽 탐지 방법.
- 청구항 1에 있어서,상기 시그니처 매칭 결과 패킷 정보와 시그니처가 일치되지 않으면 패킷 정 보와 비 패턴 시그니처를 매칭하는 단계를 더 포함하는 패턴 매칭 부를 이용한 유해 트래픽 탐지 방법.
- 청구항 1에 있어서,상기 수집된 패킷 정보와 미리 저장된 패턴의 매칭 결과 일치되지 않으면 패킷 정보에 식별 코드가 부여되지 않고 패킷 정보와 비 패턴 시그니처를 매칭하는 단계를 더 포함하는 패턴 매칭부를 이용한 유해 트래픽 탐지 방법.
- 유입되는 패킷을 수집하는 패킷 캡쳐 모듈;상기 패킷 캡처 모듈에서 수집된 패킷을 전달받아서 저장 및 분석하는 패킷 분석부;상기 패킷 분석부로부터 전달받은 패킷에 유해 트래픽 탐지를 위해 시그니처에서 추출되어 미리 저장된 패턴을 매칭하여 일치하는지 여부를 판별하는 패턴 매칭부; 및상기 패턴 매칭부의 매칭 결과 일치하면 패킷을 전달받아 시그니처를 매칭하여 유해 트래픽인지 여부를 판별하고, 일치하지 않으면 비 패턴 시그니처를 매칭하여 유해 트래픽인지 여부를 판별하는 시그니처 탐지부; 를 포함하며,상기 시그니처 탐지부는 유해 트래픽으로 반복 탐지되는 패킷 정보의 반복되는 패턴을 추출하여 상기 패턴 매칭부로 업데이트하는 패턴 매칭부를 이용한 유해 트래픽 탐지 시스템.
- 청구항 5에 있어서,상기 시그니처 탐지부는 상기 패킷과 시그니처의 매칭 결과 일치하지 않으면 비 패턴 시그니처를 매칭하여 유해 트래픽인지 여부를 판단하는 것을 특징으로 하는 패턴 매칭부를 이용한 유해 트래픽 탐지 시스템.
- 청구항 5에 있어서,상기 패턴 매칭부는 컴퓨터 카드인 것을 특징으로 하는 패턴 매칭부를 이용한 유해 트래픽 탐지 시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020080075513A KR100994746B1 (ko) | 2008-08-01 | 2008-08-01 | 패턴 매칭부를 이용한 유해 트래픽 탐지 방법 및 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020080075513A KR100994746B1 (ko) | 2008-08-01 | 2008-08-01 | 패턴 매칭부를 이용한 유해 트래픽 탐지 방법 및 시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20100013815A KR20100013815A (ko) | 2010-02-10 |
| KR100994746B1 true KR100994746B1 (ko) | 2010-11-16 |
Family
ID=42087764
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020080075513A KR100994746B1 (ko) | 2008-08-01 | 2008-08-01 | 패턴 매칭부를 이용한 유해 트래픽 탐지 방법 및 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100994746B1 (ko) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101268510B1 (ko) * | 2011-12-29 | 2013-06-07 | 주식회사 시큐아이 | 시그니처 탐지 장치 및 방법 |
| KR101229012B1 (ko) * | 2011-12-29 | 2013-02-15 | 시큐아이닷컴 주식회사 | 시그니처 탐지 장치 및 방법 |
| KR101346330B1 (ko) * | 2012-03-07 | 2014-01-03 | 주식회사 시큐아이 | 유해 패킷 검출 방법 및 장치 |
| US9342366B2 (en) | 2012-10-17 | 2016-05-17 | Electronics And Telecommunications Research Institute | Intrusion detection apparatus and method using load balancer responsive to traffic conditions between central processing unit and graphics processing unit |
| KR101434388B1 (ko) | 2013-01-04 | 2014-08-26 | 주식회사 윈스 | 네트워크 보안 장비의 패턴 매칭 시스템 및 그 패턴 매칭 방법 |
| KR101448869B1 (ko) * | 2013-02-22 | 2014-10-13 | 주식회사 시큐아이 | 패턴매칭 장치 및 그것의 동작방법 |
| KR101498696B1 (ko) * | 2013-04-26 | 2015-03-12 | 주식회사 넷커스터마이즈 | 유해 트래픽 탐지 시스템 및 방법 |
| SG11201704254XA (en) | 2014-12-22 | 2017-07-28 | Smith & Nephew | Negative pressure wound therapy apparatus and methods |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070056038A1 (en) * | 2005-09-06 | 2007-03-08 | Lok Technology, Inc. | Fusion instrusion protection system |
| US20070192861A1 (en) * | 2006-02-03 | 2007-08-16 | George Varghese | Methods and systems to detect an evasion attack |
-
2008
- 2008-08-01 KR KR1020080075513A patent/KR100994746B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070056038A1 (en) * | 2005-09-06 | 2007-03-08 | Lok Technology, Inc. | Fusion instrusion protection system |
| US20070192861A1 (en) * | 2006-02-03 | 2007-08-16 | George Varghese | Methods and systems to detect an evasion attack |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20100013815A (ko) | 2010-02-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100994746B1 (ko) | 패턴 매칭부를 이용한 유해 트래픽 탐지 방법 및 시스템 | |
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| CN108289088B (zh) | 基于业务模型的异常流量检测系统及方法 | |
| JP6001689B2 (ja) | ログ分析装置、情報処理方法及びプログラム | |
| US8650646B2 (en) | System and method for optimization of security traffic monitoring | |
| KR100862187B1 (ko) | 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법 | |
| CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
| CN106330944B (zh) | 恶意系统漏洞扫描器的识别方法和装置 | |
| CN101640594B (zh) | 一种在网络设备上提取流量攻击报文特征的方法和单元 | |
| US20060161983A1 (en) | Inline intrusion detection | |
| CN109818970B (zh) | 一种数据处理方法及装置 | |
| US8336098B2 (en) | Method and apparatus for classifying harmful packet | |
| US20120090027A1 (en) | Apparatus and method for detecting abnormal host based on session monitoring | |
| US20080291912A1 (en) | System and method for detecting file | |
| CN106534068B (zh) | 一种ddos防御系统中清洗伪造源ip的方法和装置 | |
| CN105592044B (zh) | 报文攻击检测方法以及装置 | |
| JP2006148686A (ja) | 通信監視システム | |
| CN107209834B (zh) | 恶意通信模式提取装置及其系统和方法、记录介质 | |
| US11895146B2 (en) | Infection-spreading attack detection system and method, and program | |
| CN114021135A (zh) | 一种基于R-SAX的LDoS攻击检测与防御方法 | |
| CN108566384B (zh) | 一种流量攻击防护方法、装置、防护服务器及存储介质 | |
| US9794274B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| KR101488271B1 (ko) | Ids 오탐 검출 장치 및 방법 | |
| JP2010250607A (ja) | 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム | |
| KR20090059781A (ko) | 시그니처 최적화 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20080801 |
|
| PA0201 | Request for examination | ||
| PG1501 | Laying open of application | ||
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20100429 Patent event code: PE09021S01D |
|
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration |
Patent event code: PE07011S01D Comment text: Decision to Grant Registration Patent event date: 20101029 |
|
| GRNT | Written decision to grant | ||
| PR0701 | Registration of establishment |
Comment text: Registration of Establishment Patent event date: 20101110 Patent event code: PR07011E01D |
|
| PR1002 | Payment of registration fee |
Payment date: 20101111 End annual number: 3 Start annual number: 1 |
|
| PG1601 | Publication of registration | ||
| FPAY | Annual fee payment |
Payment date: 20131104 Year of fee payment: 4 |
|
| PR1001 | Payment of annual fee |
Payment date: 20131104 Start annual number: 4 End annual number: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20150914 Year of fee payment: 6 |
|
| PR1001 | Payment of annual fee |
Payment date: 20150914 Start annual number: 6 End annual number: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20160923 Year of fee payment: 7 |
|
| PR1001 | Payment of annual fee |
Payment date: 20160923 Start annual number: 7 End annual number: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20180927 Year of fee payment: 9 |
|
| PR1001 | Payment of annual fee |
Payment date: 20180927 Start annual number: 9 End annual number: 9 |
|
| FPAY | Annual fee payment |
Payment date: 20190620 Year of fee payment: 10 |
|
| PR1001 | Payment of annual fee |
Payment date: 20190620 Start annual number: 10 End annual number: 10 |
|
| PR1001 | Payment of annual fee |
Payment date: 20200622 Start annual number: 11 End annual number: 11 |
|
| PR1001 | Payment of annual fee |
Payment date: 20210621 Start annual number: 12 End annual number: 12 |
|
| PR1001 | Payment of annual fee |
Payment date: 20220714 Start annual number: 13 End annual number: 13 |
|
| PR1001 | Payment of annual fee |
Payment date: 20230918 Start annual number: 14 End annual number: 14 |
|
| PR1001 | Payment of annual fee |
Payment date: 20241010 Start annual number: 15 End annual number: 15 |