KR101060733B1 - 어플리케이션 프로토콜인식을 이용한 네트워크 침입탐지 방법 및 장치 - Google Patents

어플리케이션 프로토콜인식을 이용한 네트워크 침입탐지 방법 및 장치 Download PDF

Info

Publication number
KR101060733B1
KR101060733B1 KR1020080131726A KR20080131726A KR101060733B1 KR 101060733 B1 KR101060733 B1 KR 101060733B1 KR 1020080131726 A KR1020080131726 A KR 1020080131726A KR 20080131726 A KR20080131726 A KR 20080131726A KR 101060733 B1 KR101060733 B1 KR 101060733B1
Authority
KR
South Korea
Prior art keywords
keyword
packet
protocol
intrusion detection
network
Prior art date
Application number
KR1020080131726A
Other languages
English (en)
Other versions
KR20100073135A (ko
Inventor
이성원
문화신
오진태
장종수
조현숙
박상길
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020080131726A priority Critical patent/KR101060733B1/ko
Publication of KR20100073135A publication Critical patent/KR20100073135A/ko
Application granted granted Critical
Publication of KR101060733B1 publication Critical patent/KR101060733B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 어플리케이션 프로토콜인식을 이용한 네트워크 침입탐지 방법 및 장치에 관한 것으로, 네트워크 상에서 보호 대상 서비스에 대하여 어플리케이션 프로토콜의 모델을 자동으로 생성하고 이를 적용하여 서비스와 시스템을 보호함으로써, 대상 서비스에 대한 사전 지식 없이도 프로토콜 모델을 생성할 수 있어, 대상에 대한 사전 조사에 소요되는 자원 및 시간의 낭비를 방지하고, 지나치게 복잡하지 않으면서 단순하지 않은 모델을 생성하므로 오탐 및 미탐의 확률을 크게 감소시켜 정확성이 향상되고, 복수의 서버에 대한 보안 서비스의 동시 제공이 가능하므로 확장성이 크게 향상되는 효과가 있다.
침입탐지, 키워드, 키워드리스트, 프로토콜모델, PTA, DFA

Description

어플리케이션 프로토콜인식을 이용한 네트워크 침입탐지 방법 및 장치 {Intrusion Detection method and Apparatus using application protocol inference}
본 발명은 어플리케이션 프로토콜인식을 이용한 네트워크 침입탐지 방법 및 장치에 관한 것으로, 네트워크 보안 기술 중, 보호의 대상이 되는 서비스에 대한 특성을 탐지 및 학습하고 이를 이용하여 네트워크 침입을 탐지하는 어플리케이션 프로토콜인식을 이용한 네트워크 침입탐지 방법 및 장치에 관한 것이다.
본 발명은 지식경제부 및 정보통신연구진흥원의 IT성장동력기술개발의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2006-S-042-03, 과제명: Network 위협의 Zero-Day Attack 대응을 위한 실시간 공격 Signature 생성 및 관리 기술개발].
최근 네트워크 및 시스템에 대한 악의적인 공격이 증가하고 있어 공격을 탐지하고 방어하는 기술에 대한 관심이 증가하고 있다.
일반적으로 서비스 보호를 위한 보안장치 및 기술은, 보호대상이 되는 서버에서 어플리케이션의 특성을 추출하고, 추출된 특성을 이용하여 서버에 접속하는 사용자에 적용함으로써, 비정상 사용자를 탐지하는 기술로 특징 지을 수 있다.
이때, 어플리케이션의 특성으로 어플리케이션 프로토콜(Application Protocol)이 사용되는데, 이를 추출하기 위해서 해당 프로토콜에서 사용되는 키워드(keyword)가 사용된다.
키워드(keyword)를 추출하고, 이를 이용하여 프로토콜 모델을 생성함으로써 어플리케이션의 프로토콜에 대한 모델을 생성하게 된다. 추출된 키워드(Keyword)들을 이용한 프로토콜 모델 생성에는 DFA(Deterministic Finite Automata)가 주로 사용된다.
이렇게 생성된 프로토콜 모델은 사용자가 서버에 접속해서 전송하는 모든 메시지의 유효성 검증에 사용되어 대상 시스템에 대한 공격을 탐지하고, 차단하는데 사용된다.
그러나, 서비스 보호를 위한 상기와 같은 보안기술은 다음과 같은 문제점을 포함하고 있다.
첫째, 서비스 보호를 위한 기술은 보호 대상이 되는 시스템에서 실행되는데, 공격자가 서비스 보호 기술 자체에 대하여 공격하는 경우, 시스템을 보호하기 위한 서비스의 제공이 원활히 이루어 지지 않을 수 있다.
또한 네트워크 내에 유사한 서비스를 제공하는 여러 대의 서버가 존재하는 경우, 상기와 같은 방어기술이 각각의 서버에 설치되어 각각 실행되어야 함으로 확장성(scalability)이 제한되는 문제가 있다.
둘째, 프로토콜 모델을 생성하기 위해서는 프로토콜에 대한 키워드(keyword) 추출을 위해, 프로토콜 분석을 수행해야 하는데, 이러한 분석은 수작업으로 진행되므로 프로토콜의 변경이나 보호 대상 시스템이 제공하는 서비스, 구축환경이 변화될 경우, 매번 새로운 분석을 수행해야 한다.
또한, 어플리케이션 레벨의 보안을 제공하는 기존의 기술은 보호 대상 서버에서 특정 어플리케이션에 대하여 사용되고 이를 위하여는 사용되는 어플리케이션 프로토콜에 대한 상세한 정보를 필요로 하므로 모르는 대상에 대한 보안이 어렵고, 상기와 같이 대상을 분석하는 과정에 따른 부하가 증가한다.
그에 따라 인적 자원의 낭비를 초래하고, 프로토콜 분석 및 새로운 모델 형성까지 소정 시간이 소모되므로 서비스 구축 완료 시까지 방어 기술에 허점이 생기는 문제가 있다.
마지막으로, 추출된 키워드(keyword)를 이용하여 프로토콜 모델을 생성해야 하는데, 프로토콜 모델을 생성하는 방법에 따라 침입탐지 및 방어에 따른 정확도가 크게 변화된다.
일반적으로 프로토콜 모델을 생성하기 위해, 통계학적 방법을 이용하거나, DFA를 이용하여 state 수를 줄이는 방식이 사용된다. 통계학적 방법의 경우, 대부분 문법적으로 오류가 없는 예(positive example)과 오류의 예(negative example) 두가지 예를 모두 이용한다. 특정 서비스에 대한 프로토콜을 추출하는 경우 가능한 모든 경우의 오류의 예(negative example)를 확보하는 일은 쉽지 않다.
그에 따라 통계학적인 방법을 이용하는 경우의 가장 일반적인 경우는 Hidden Markov Model을 이용하는 경우이다. 그러나, 이 방법은 계산량이 매우 많고 복잡하 며, 또한 계산의 결과로 얻어지는 확률은 해당 문법이 사용될 확률을 의미하므로 본 발명에서와 같이 침입의 탐지 및 차단에 사용되기 어려우므로 통계학적인 방법을 이용하는 데에는 한계가 있다.
그에 따라 일반적으로 사용되는 DFA기반 모델 생성 기술의 경우, 불필요하게 복잡하거나 너무 단순화하여 적절한 수준의 프로토콜 모델을 생성하기 어렵고 이는 오탐 및 미탐의 원인이 될 수 있다.
본 발명의 목적은, 네트워크 상에서 보호 대상 서비스에 대하여 어플리케이션 프로토콜의 모델을 자동으로 생성하고 이를 적용하여 서비스와 시스템을 보호하기 위한 어플리케이션 프로토콜인식을 이용한 네트워크 침입탐지 방법 및 장치를 제공하는데 있다.
상기한 과제를 해결하기 위한 본 발명에 따른 네트워크 침입탐지 방법은 수신된 패킷으로부터 문자열을 추출하여 키워드를 추출하고, 상기 키워드의 빈도 분포에 대응하여 키워드 리스트를 생성하는 단계, 상기 패킷에 대하여 상기 키워드 리스트에 포함된 키워드에 해당하는 문자열의 시퀀스(sequence)를 추출하여 프로토콜의 사용예를 추출하는 단계, 상기 프로토콜 사용예에 대하여 각 노드(state)와 트랜지션(transition)이 가지는 돗수를 이용하여 프로토콜 모델을 생성하는 단계 및 상기 프로토콜 모델을 네트워크 보안기술에 적용하여 네트워크로 전송되는 패킷에 대하여 침입을 탐지하는 단계를 포함한다.
또한, 본 발명에 따른 네트워크 침입탐지 장치는 패킷으로부터 문자열을 추출하여 키워드를 추출하고, 상기 키워드의 빈도 분석을 통한 분포가 이전 주기의 분포와 유사하지 않은 경우 새로운 키워드 리스트를 생성하는 키워드추출부, 상기 키워드 리스트에 포함된 키워드에 해당하는 문자열의 시퀀스(sequence)를 추출하여 프로토콜을 추출하는 프로토콜 추출부, 상기 프로토콜 추출결과에 대응하여 등가인 노드(state)를 병합하여 프로토콜 모델을 생성하는 모델생성부, 상기 프로토콜 모델을 적용하여 네트워크로 전송되는 패킷의 패턴을 분석하고, 패턴 미탐지 시 위험 트래픽으로 분류하여 침입을 탐지하는 침입탐지부를 포함한다.
본 발명에 따르면, 어플리케이션 프로토콜인식을 이용한 네트워크 침입탐지 방법 및 장치는, 대상 서비스에 대한 사전 지식 없이도 프로토콜 모델을 생성할 수 있어, 대상에 대한 사전 조사에 소요되는 자원 및 시간의 낭비를 방지하고, 지나치게 복잡하지 않으면서 단순하지 않은 모델을 생성하므로 오탐 및 미탐의 확률을 크게 감소시켜 정확성이 향상되는 효과가 있다.
또한, 본 발명은 서비스를 제공하는 서버에서 작동하는 것이 아니라, 네트워크 상에서 작동하므로 복수의 서버에서 방어를 위한 기술이 각각 실행되지 않아도, 복수의 서버에 대한 보안 서비스의 동시 제공이 가능하므로 확장성이 크게 향상되는 효과가 있다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예를 설명하면 다음과 같다.
도 1 은 본 발명의 일실시예에 따른 프로토콜(Protocol) 추출을 이용한 네트워크 침입탐지에 따른 구조가 도시된 도이다.
도 1 에 도시된 바와 같이, 본 발명의 네트워크 침입탐지 장치는, 하나의 네트워크 내에서 보호 대상 시스템 및 서비스에서 사용되는 프로토콜(protocol)을 자동으로 생성하고 이를 이용한 침입탐지 및 차단을 구현한다.
이때, 네트워크 침입탐지 장치는 네트워크 침입탐지를 위해서는 네트워크 침입탐지 장치는 키워드를 추출하고(10), 추출된 키워드를 이용하여 프로토콜을 추출한다(20).
이후, 추출된 데이터에 근거하여 프로토콜 모델을 생성하고(30), 프로토콜을 시스템 또는 네트워크에 적용함으로써, 네트워크 침입을 탐지하고 그에 대한 침입차단을 수행한다(40).
여기서, 네트워크 침입탐지 장치는 사용되는 어플리케이션 프로토콜에 대한 상세한 정보 없이도, 어플리케이션 프로토콜에 대한 자동 분석을 수행하므로, 동일 네트워크상에 있는 시스템의 주소와 유사한 서비스군(포트) 정보만으로 키워드 추출 및 프로토콜 추출(10, 20)을 수행한다.
또한, 네트워크 침입탐지 장치는 추출된 키워드 및 프로토콜을 이용하여 보안 서비스를 위한 프로토콜 모델을 자동으로 생성함으로써, 침입을 탐하고 공격 트래픽을 차단하게 된다(30, 40).
도 2 는 본 발명의 일실시예에 따른 네트워크 침입탐지장치의 구성에 대한 설명에 참조되는 블록도이다.
도 2를 참조하면, 네트워크 침입탐지 장치는 패킷송수신부(120), 데이터부(130), 키워드추출부(140), 프로토콜추출부(150), 모델생성부(160), 침입탐지부(170) 그리고 각 부의 동작 전반을 제어하는 메인제어부(110)를 포함한다,.
패킷송수신부(120)는 메인제어부(110)의 제어명령에 대응하여, 소정의 통신모듈을 포함하여 네트워크를 통한 패킷의 송수신을 제어하고, 수신되는 데이터를 메인제어부(110)로 인가한다.
또한, 패킷송수신부(120)는 키워드추출부(140) 및 침입탐지부(160)의 요청에 따라, 각 부의 요청 사항에 따른 트래픽 또는 패킷을 감지하여 각 부로 인가한다.
데이터부(130)는 키워드추출부(140), 모델생성부(150), 침입탐지부(160)의 동작에 따른 제어데이터, 각 부에서 생성되는 데이터가 저장되고, 패킷송수신부(120)를 통해 입출력되는 데이터가 저장된다. 또한, 데이터부(130)는 메인제어부(110)의 동작에 따른 제어데이터가 저장된다. 특히, 데이터부(130)는 키워드리스트(131), PTA(132), 트래픽정보(133)가 저장된다.
메인제어부(110)는 패킷송수신부(120)를 제어하고, 데이터부(130)에 저장되는 데이터의 입출력을 제어한다.
또한, 메인제어부(110)는 및 침입탐지 및 차단을 위한 프로토콜모델 생성이 요청되는 경우 또는 서비스 대상에 대한 구성이 변경되는 경우 이를 감지하고, 키워드추출부(140) 및 모델생성부(150)를 제어하여 서비스 대상에 대한 새로운 프로토콜 모델이 구축되도록 한다.
이때, 메인제어부(110)는 하나의 네트워크 내에서 유사한 서비스 별로 상기와 같은 작업을 수행 하고, 복수개의 서비스에 대하여 시행할 시는 각 서비스 별로 순차적으로 수행하게 된다. 메인제어부(110)는 하나의 서비스가 정해지면 키워드추출부(140)를 제어하여, 해당 서비스의 프로토콜에 사용되는 키워드(keyword)를 추출되도록 한다.
이때, 메인제어부(110)는 키워드추출이 완료되면, 모델생성부(150)로 키워드 추출에 대한 정보를 알리고, 모델생성부(150)가 프로토콜 추출 및 모델 생성을 시작하도록 제어한다.
메인제어부(110)는 새로운 프로토콜 모델이 생성되면, 생성된 새로운 프로토콜 모델을 침입탐지부(160)에 적용하여, 새로운 프로토콜 모델을 이용한 네트워크 침입탐지가 수행되도록 하고, 침입탐지부(170)의 탐지결과에 따라 위험 트래픽으로 분류된 트래픽이 차단되도록 제어한다.
키워드추출부(140)는 메인제어부(110)의 제어명령에 대응하여 키워드를 추출한다. 키워드추출부(140)는 추출된 키워드에 대한 리스트를 생성하여 데이터부(130)에 저장하고, 메인제어부(110) 키워드 추출 결과를 보고한다.
키워드추출부(140)는 패킷분석부(141), 문자열 추출부(142), 빈도분석부(143), 키워드 리스트 생성부(144)를 포함한다.
키워드추출부(140)는 대상의 언어, 암호 등의 키워드(Keyword)를 추출하는 방식 중 하나인 빈도 분석법을 사용하여 키워드를 추출한다. 여기서, 빈도 분석법은 대상 언어나 암호 등에서 빈번히 쓰이는 문자열(string)을 키워드(keyword)로 추출하는 방식이다.
키워드추출부(140)는 어플리케이션 프로토콜에 적용하기 위해, 프로토콜 내에서 키워드(keyword)의 시작점에 관계없이 키워드(keyword)를 추출 하며, 추출을 위한 키워드(keyword)를 사전에 정의한 후 키워드 추출을 수행한다.
패킷분석부(141)는 패킷송수신부(120)로 부터 입력되는 패킷을 분해하여 분석하는데, 입력된 패킷이 지정된 대상 서버와 대상 포트를 이용하는 패킷인지 여부 를 검사한다.
패킷분석부(141)는 패킷이 대상 서버 또는 대상 포트를 이용하는 패킷인 경우, 패킷의 3 투플(tuple)인 소스IP(Soruce IP), 목적지IP(Destination IP), 목적지 포트(Destination Port) 정보를 이용하여 플로우 수를 측정한다.
이때, 패킷분석부(141)는 플로우 수 측정 시, 플로우 수를 실측하는 방법과 비트맵(bitmap)과 같은 방식을 통해 예측하는 방식이 모두 사용될 수 있다.
이때, 문자열추출부(142)는 입력된 패킷이, 대상 패킷인 경우 패킷의 페이로드(payload) 부분에서 바이트(byte)단위의 소정 크기의 연속적인 문자열을 추출한다.
문자열추출부(142)는 슬라이딩 윈도우(sliding window) 방식으로 문자열 추출을 수행하며, 문자열(keyword)의 시작위치에 관계없이 추출한다.
예를 들어서, 문자열 추출부(142)는 문자열의 크기가 3 인 경우, 페이로드(payload)의 1, 2, 3 바이트를 처음으로 추출하고, 다음에 2, 3, 4 바이트의 문자열을 추출한다.
이때, 문자열 추출 시, 문자열의 크기가 너무 클 경우 빈도분석부(143)에 의해 빈도분석을 수행하는 경우, 많은 리소스를 사용해야 하고, 문자열의 크기가 너무 작으면 빈도분석 자체의 의미가 모호해 질 수 있으므로 상황에 따라 적절한 문자열의 크기를 지정하는 것이 바람직하다. 본 발명은 3 바이트를 기준으로 하여 문자열을 추출하는 것을 예로 하여 설명하나, 이는 구현되는 시스템의 리소스와 네트워크 상황에 따라 변경 될 수 있다.
빈도분석부(143)는 상기와 같이 문자열추출부(142)에 의해 추출된 문자열을 이용하여 각 문자열의 빈도 분석을 수행한다. 이때, 빈도분석부(143)는 사용되는 리소스의 양을 최소화 하기 위하여 복수개의 블룸필터(bloom filter)와 같은 구조가 사용될 수 있다.
예를 들면, 빈도분석부(143)는 각각의 문자열을 해쉬하고 해쉬한 값을 2개 이상의 필터(filter)에 갱신(update)한다. 이때, 빈도분석부(143)는 하나의 패킷 또는 플로우에서 반복적으로 발생하는 문자열은 한번만 카운트(count)한다.
키워드 리스트 생성부(144)는 빈도분석부(143)에 의한 빈도 분석 시, 키워드(Keyword)의 분포가 일정 주기 동안 이루어 지므로, 주기가 끝나면 키워드(keyword) 분포로부터 키워드 리스트(keyword list)를 추출한다.
이때, 키워드 리스트 생성부(144)는 키워드의 분포가 이전 주기의 분포와 유사하지 않은 경우만 새로운 키워드 리스트(keyword list)를 추출한다. 키워드 리스트 생성부(144)는 마할라노비스의 거리(mahalanobis distance) 또는 유클리디안 거리(euclidean distance) 등의 벡터값의 거리(distance)를 이용하여 키워드 리스트(Keyword list)의 유사성을 연산한다.
유클리디안 거리(euclidean distance)의 경우, 키워드 리스트(keyword list)를 키워드(keyword)의 아스키 값을 오름차순으로 정렬하고, 정렬된 리스트의 값을 벡터로 표시하여 다음 수학식 1과 같이 두 벡터의 유사성을 판단한다.
Figure 112008088108287-pat00001
단, x = (x1, x2, … xp)이고, y = (y1, y2, … yp)이고, d(x,y)는 유사성(거리)이다.
키워드 리스트 생성부(144)는 계산된 거리(유사성)가 특정 값 이상이 되면 데이터부(130)에 저장된 키워드리스트(131)를 갱신한다.
이때, 키워드 리스트 생성부(144)는 전체 빈도분석 대상인 문자열에서 키워드 리스트(keyword list)를 추출하기 위해서 문자열의 빈도를 그 기준으로 하는데, 패킷분석부(141)에 의해 측정된 플로우 수를 그 기준으로 하는 것을 예로 한다.
예를 들어, 추출 기준값은 측정된 플로우 수와 상수 α의 곱으로 산출한다. 이때. 상수 α는 네트워크 특성에 따라 조절될 수 있는 값으로 범위는 0 이상의 실수로 한다. 이때, 복수개의 블룸(bloom filter) 를 이용하여 빈도를 비교할 경우는 가장 작은 빈도를 사용한다.
프로토콜추출부(150)는 추출된 키워드(Keyword)를 이용하여 프로토콜의 사용 예를 추출한다. 이때, 패킷 기반 방식과 플로우 기반 방식이 사용될 수 있다.
프로토콜추출부(150)는 키워드 리스트 생성부(144)에 의해 키워드 리스트(Keyword list)가 생성되면, 메인제어부(110)의 제어명령에 따라, 키워드 리스트를 기준으로 사용되는 어플리케이션의 사용 예를 추출하는데, 이때, 플로우 기반과 패킷 기반으로 어플리케이션의 사용예를 추출한다.
여기서, 플로우 기반 방식의 경우, 하나의 IP 가 특정 서버에 요청하는 요청 메시지 전체를 추출하고, 패킷 기반의 경우에는 각각의 패킷에서 프로토콜을 추출한다. 플로우 기반의 경우 생성되는 프로토콜이 보다 정확할 수 있으나 플로우 측정관련 리소스를 많이 필요로 하므로 플로우의 시작에서 특정 길이 만을 분석 대상으로 할 수 있다.
시퀀스 추출부(151)는 어플리케이션의 사용예를 추출하기 위해, 각 패킷 또는 플로우에서 키워드 리스트(keyword list)에 있는 문자열의 시퀀스(sequence)를 추출한다.
이때, 시퀀스추출부(151)는 프로토콜 추출 시, 특정 IP의 특정 포트로 접속하는 모든 트래픽 중에서 키워드(keyword)에 해당하는 문자열들의 시퀀스(sequence)를 해당 어플리케이션의 사용 예로 추출해 낸다.
프로토콜추출부(150)는 시퀀스추출부(151)를 통해 추출된 문자열의 시퀀스(sequence)를 데이터부(130)의 PTA(prefix tree acceptor)에 저장한다.
모델생성부(160)는 시퀀스 추출부(151)에 의해 추출된 프로토콜 사용 예로부터 프로토콜 모델을 생성하는 데는 여러 가지 기술의 적용이 가능하나, 본 발명에서는 비교적 구현이 쉽고, 계산량이 적으며 사용 오류의 예(negative example) 없이도 모델 생성이 가능한 Alergia 기법을 이용하는 것을 예로 하여 설명한다.
모델생성부(160)는 프로토콜 모델 생성에 있어서, 저장된 PTA를 기준으로 하여 생성한다. 모델생성부(160)는 등가연산부(161), 노드병합부(162), DTA생성부(163)를 포함한다.
등가연산부(161)는 우선 PTA를 문자열의 값의 순서에 따라 정렬하고 (Lexicographic Order), 각 노드(state)가 정렬된 순서에 따라 등가(equivalent)의 정도를 연산한다.
이때, 노드병합부(162)는 등가연산부(161)의 연산결과에 대응하여, 두 노드(state)가 동일한 입력에 대하여 동일한 상대빈도의 외부천이(outgoing transition)를 가지는 경우, 두 노드(state)는 등가인 것으로 판단한다.
노드병합부(162)는 두 노드(state)가 등가(equivalent)인 경우, 이를 병합한다(merge). 노드병합부(162)는 복수의 노드에 대하여 상기와 같은 병합과정을 반복하여 수행한다.
DFA생성부(163)는 노드병합부(162)에 의해 노드들이 병합됨에 따라 그 변화정도에 따라 변경된 DFA를 데이터의 PTA에 저장하고, 노드 병합부(162)의 노드 병합이 완료되면, 최종 축약된 DFA를 저장한 후 메인제어부(110)로 축약된 DFA 생성을 알린다.
침입탐지부(170)는 메인제어부(110)의 제어명령에 의해 새로운 프로토콜 모델을 이용한 네트워크 침입탐지를 수행한다. 이때, 침입탐지부(170)는 DFA 또는 NFA형태의 패턴들을 지원하는 패턴탐지 기술에 새로운 프로토콜 모델의 데이터가 입력되면, 이를 네트워크 상의 패킷에 적용하여 침입탐지를 수행한다.
침입탐지부(170)는 네트워크 탐색부(171), 패턴탐지부(172), 트래픽분류부(173)을 포함한다.
네트워크탐색부(171)는 패킷송수신부(120)를 통해, 네트워크에서 전송되는 패킷에 대하여 분석하고 패킷의 길이가 기 설정된 소정 크기 이상인 패킷에 대하여 패턴 탐지가 수행되도록 한다. 이때, 패킷의 길이는 시스템 및 네트워크의 특성에 따라 변경될 수 있다.
패턴탐지부(172)는 네트워크 탐색부(171)로부터 인가되는 패킷을 분석하여 패턴을 탐지한다. 이때, 패턴탐지부(172)는 새로운 프로토콜 모델을 이용하여 패턴을 분석한다.
이때, 패킷분류뷰(173)는 패턴탐지부(172)에 의해 패턴이 탐지되는 경우, 정상 트래픽으로 분류하고, 패턴이 탐지되지 않는 경우에는 비정상의 위험한 트래픽으로 분류한다. 패킷분류부(173)는 분류된트래픽에 대한 정보를 데이터부(130)의 트래픽정보(133)로 저장하고, 메인제어부(110)로 통보한다.
따라서, 본 발명의 네트워크 침입탐지 장치는 비교적 적은 연산량으로 알지 못하는 대상에 대하여 사전 지식 없이 프로토콜 모델을 생성할 수 있고, 블랙리스트를 생성하여 블랙리스트에 포함된 대상에 대한 트래픽을 차단하는 것이 아니라, 화이트리스트를 생성하여 화이트 리스트 이외의 트래픽을 차단하게 되므로 알지 못하는 대상에 대한 네트워크 침입탐지 및 그에 따른 트래픽 차단이 가능하게 된다.
도 3 은 본 발명의 일실시예에 따른 네트워크 침입탐지장치에 의해 생성되는 PTA (Prefix Tree Acceptor)에 대한 설명에 참조되는 예시도 이다.
프로토콜추출부(150)에 의해 저장되는 PTA(prefix tree acceptor)는 도 3에 도시된 바와 같다. 이때, 도 3은 입력이 {BBA, 0, 0, 0, A, 0, AA, AA, 0, 0, 0, BABBA, 0, 0, BAA}일 경우 생성되는 PTA의 예를 나타낸 것이다. 여기서, 도 3 은 Learning Stochastic Regular Grammars by Means of a State Merging Method, Rafael C. Carrasco, Jose Oncina 를 참조한 것이다.
PTA는 각각의 노드(state)와, 트랜지션(transition)에 대한 예들의 돗수를 갖는다. 이때, 각 노드(state)에서 앞의 숫자는 해당 노드(state)으로 전환되는 돗수이고, 뒷자리의 숫자는 해당 노드(state)에 끝나는 입력의 수이다.
입력이 {BBA, 0, 0, 0, A, 0, AA, AA, 0, 0, 0, BABBA, 0, 0, BAA}인 경우, 생성된 PTA의 경우 문자열의 크기는 1바이트이고 0은 문자열을 포함하지 않는 패킷으로 볼 수 있다. 이때, 사용하는 프로토콜 예의 수는 생성되는 PTA의 입력분포, 수 등을 고려하여 조절할 수 있다.
여기서, PTA/DFA (Deterministic Finite Automata)를 이용한 문법 추론(grammar inference)은 언어학의 범주에서 많이 연구되어 왔으며, 크게 두 부류로 대별된다. 하나는 통계학적 방법을 이용하는 것이고 다른 하나는 DFA를 이용하여 노드(state)의 수를 줄이는 방식이다.
DFA를 이용하는 방식은 대부분 positive example(문법적으로 오류가 없는 예)과 negative example (오류의 예) 두가지 예를 모두 이용하므로, 본 발명에서와 같이 특정 서비스에 대한 프로토콜을 추출하는 경우 가능한 모든 경우의 negative example 확보하는 일은 쉽지 않고, 통계학적인 방법을 이용하는 경우의 가장 일반적으로 사용되는 히든 마르코브모델(Hidden Markov Model)을 이용하는 경우, 방법은 계산량이 매우 많고 복잡하며, 계산의 결과로 얻어지는 확률은 해당 문법이 사용될 확률을 의미하므로 본 발명에서와 같이 침입의 탐지 및 차단에 사용되기 어렵 다.
그에 따라, 본 발명은 각 노드(state)와 트랜지션(transition)이 가지는 돗수만을 이용하여 일반적이고 축약된 형태의 DFA를 생성하는 Alergia라는 방식을 사용하는 것으로 예로 한다.
도 4 는 본 발명의 일실시예에 네트워크 침입탐지장치에 의한 프로토콜 모델 생성 과정에서 축약된 DFA/ PTA에 대한 설명에 참조되는 예시도 이다.
도 4를 참조하면, 모델생성부(160)는 Alergia 기법에 따라 프로토콜 모델을 생성하는데, 각 노드(state)간의 등가 연산 및, 비교를 통해 등가인 노드에 대하여 병합을 수행함으로써, 전술한 도 3의 PTA에서 도 4와 같이 등가인 노드를 병합한 축약된 형태의 DFA를 생성한다.
이때, Alergia를 통해 축약되는 DFA는 노드(state)의 수를 줄일 수 있으나, 도 4에서와 같이 많은 수의 루프(Loop)을 포함할 수 있다. DFA 상에서 루프는 이후 사용될 네트워크 침입탐지장치의 구현에 있어 복잡도를 증가시키고 탐지성능의 저하를 가져올 수 있는 요소가 된다.
그에 따라, 본 발명의 네트워크 침입탐지장치는 Alergia 실행 시, 등가 연산의 대상이 되는 노드들을 제한 함으로써 상기와 같이 많은 루프가 형성되는 것을 방지한다.
이때, 모델생성부(160)는 모든 노드에 대하여 등가 연산을 수행하는 대신 두 노드가 PTA의 루트(root)에서 출발한 하나의 패스(Path)에 있는 경우에만 등가 연산을 수행한다. 모델생성부(160)는 상기와 같이 제한된 등가연산을 수행함으로써, 노드의 수는 증가하나 생성되는 문법은 모다 간단한 DFA를 생성한다.
따라서, 네트워크 침입탐지장치는 Algergia를 통한 DFA 축약 시, 사용할 침입탐지/패턴탐지 장치의 성능과 지원되는 패턴의 형태에 따라 생성할 DFA의 복잡도를 조절할 수 있다.
도 5 은 본 발명의 일실시예에 따른 네트워크 침입탐지장치의 키워드 추출방법에 따른 동작설명에 참조되는 순서도이다.
도 5 를 참조하면, 패킷송수신부(120)로부터 패킷이 수신되면(S210), 키워드추출부(140)는 메인제어부(110)의 제어명령에 대응하여 패킷에 대한 키워드를 추출을 수행하는데, 패킷분석부(141)는 수신된 패킷의 포트정보 및 서버 정보를 확인한다(S220).
패킷분석부(141)는 수신된 패킷이 대성 서버를 사용하는지 여부를 판단하고(S230), 대상 포트를 이용하는 패킷인지 여부를 판단한다(S240). 대상 포트 또는 대상 서버를 사용하는 패킷이 아닌 경우 패킷분석부(141)는 다음 패킷에 대하여 상기와 같이 대상 패킷 인지 여부를 판단한다.
패킷분석부(141)는 대상 패킷인 경우, 패킷을 분석하여 플로우 수를 측정한다(S250). 이때, 패킷분석부(141)는 패킷의 3 투플(tuple)인 소스IP(Soruce IP), 목적지IP(Destination IP), 목적지 포트(Destination Port) 정보를 이용하여 플로우 수를 측정한다. 패킷분석부(141)는 패킷에 대한 분석 결과 및 측정된 플로우 수를 데이터부(130)에 저장한다. 이때, 패킷분석부(141)는 플로우 수 측정 시, 플로우 수를 실측하는 방법과 비트맵(bitmap)과 같은 방식을 통해 예측하는 방식을 모 두 사용 할 수 있다.
문자열추출부(142)는 입력된 패킷이, 대상 패킷인 경우 추출하여 키워드를 추출한다(S260). 이때, 문자열추출부(142)는 빈도 분석법을 사용하여, 패킷의 페이로드(payload) 부분에서 바이트(byte)단위의 소정 크기의 연속적인 문자열을 추출하는데, 슬라이딩 윈도우(sliding window) 방식으로 문자열 추출을 수행하며, 문자열(keyword)의 시작위치에 관계없이 추출한다.
문자열추출부(142)는 문자열 추출 시, 문자열의 크기에 따라 리소스 사용량에 영향을 주며, 빈도분석의 모호성에 관련되므로 시스템의 리소스와 네트워크 상황에 따라 문자열의 크기를 미리 정의한 후, 문자열 추출을 수행한다.
문자열이 추출되면, 빈도분석부(143)는 추출된 문자열을 이용하여 각 문자열의 빈도 분석을 수행한다(S270). 이때, 빈도분석부(143)는 사용되는 리소스의 양을 최소화 하기 위하여 복수개의 블룸필터(bloom filter)와 같은 구조가 사용될 수 있다.
빈도 분석 시, 빈도분석부(143)은 산출되는 빈도 분석에 따른 결과는 갱신한다(S280). 이때, 빈도 분석의 결과가 기 저장된 빈도와 상이한 경우 갱신한다.
키워드(Keyword)의 분포는 일정 주기 동안 이루어 지므로, 주기 내에서(S290) 상기와 같은 키워드 추출 및 빈도 분석을 수행한다(S210 내지 S290).
주기가 끝나면 키워드(keyword) 분포로부터 키워드 리스트(keyword list)를 추출하고 키워드 리스트 생성부(144)는 빈도 분석 결과에 따른 키워드 리스트(keyword list)의 분포가 이전 주기의 분포와 유사하지 않은 경우만 새로운 키워 드 리스트(keyword list)를 추출한다.
이때, 키워드 리스트 생성부(144)는 마하라노비의 거리(mahalanobis distance)또는 유클리디안 거리(euclidean distance) 등의 벡터값의 거리(distance)를 이용하여 키워드 리스트(Keyword list)의 유사성을 연산하여 분석하고(S300), 유사성이 특정 값 이상이 되면, 즉 분포에 변화가 있는 경우(S310), 데이터부(130)에 저장된 키워드리스트(131)를 갱신한다(S320).
도 6 는 본 발명의 일실시예에 따른 네트워크 침입탐지장치의 프로토콜 추출방법에 따른 동작설명에 참조되는 순서도이다.
도 6을 참조하면, 네트워크 침입탐지 장치는 상기와 같이 추출된 키워드를 이용하여 프로토콜의 사용예를 추출한다. 프로토콜의 사용예를 패킷 기반 방식과 플로우 기반 방식이 사용될 수 있다.
프로토콜추출부(150)는 소정의 IP에서 특정 서버에 요청하는 요청 메시지 전체를 추출하고, 또는 각 패킷 별로 프로토콜을 추출한다(S350). 이는 플로우 기반 방식을 사용하는지 패킷 기반 방식으로 사용하는지에 따라 변경될 수 있다.
프로토콜추출부(150)는 저장된 키워드 리스트를 데이터부(130)로부터 호출하여(S360) 시퀀스추출부(151)로 인가하고, 시퀀스추출부(151)는 각 패킷 또는 플로우에서 키워드 리스트(keyword list)에 있는 문자열의 시퀀스(sequence)를 추출한다(S370).
시퀀스추출부(151)를 통해 문자열의 시퀀스(sequence)가 추출되면, 프로토콜추출부(150)는 그 결과는 데이터부(130)의 PTA(prefix tree acceptor)에 저장한 다(S380). 저장된 PTA는 일 예로 도 3과 같다.
도 7 은 본 발명의 일실시예에 따른 네트워크 침입탐지장치의 프로토콜 모델 생성방법에 따른 동작설명에 참조되는 순서도이다.
도 7과 같이, 네트워크 침입탐지 장치는 PTA를 이용하여 프로토콜 모델을 생성한다. 이하, 각 state와 transition이 가지는 돗수만을 이용하여 일반적이고 축약된 형태의 DFA를 생성하므로 비교적 구현이 쉽고, 계산량이 적으며 사용 오류의 예(negative example) 없이도 모델 생성이 가능한 Alergia 기법을 이용하는 것을 예로 하여 설명한다.
모델생성부(160)의 등가연산부(161)는 저장된 PTA를 호출하여 PTA를 문자열의 값의 순서에 따라 정렬한다(S450). 이때, 등가연산부(161)는 각 노드(state)가 정열된 순서에 따라 등가(equivalent)의 정도를 연산한다(S460).
두개의 노드를 비교할 때, 제 1 노드의 입력과, 제 2 노드의 입력이 동일한지 여부를 판단하고(S470), 제 1 노드의 외부천이 상대빈도와 제 2 노드의 외부천이 상대빈도가 동일한 경우를 판단하여(S480), 두 조건을 모두 만족하는 경우, 두개의 노드는 등가인 것으로 설정한다(S490). 둘 중 어느 하나라도 만족하지 않는 경우에는 등가가 아닌 것으로 판단하고 다음노드를 비교한다(S530).
두개의 노드가 등가(equivalent)인 경우, 노드병합부(162)는 두개의 노드를 병합한다(merge)(S500).
병합된 노드에 대하여 DFA를 저장하고(S510), 노드병합부(162)는 모든 노드에 대한 비교가 완료될 때 까지(S520), 복수의 노드에 대하여 상기와 같은 병합과정을 반복하여 수행한다(S460 내지 S510).
DFA생성부(163)는 노드 병합부(163)의 노드 병합이 완료되면, 최종 축약된 DFA를 저장한 후 메인제어부(110)로 축약된 DFA 생성을 알린다(S540). 축약된 DFA는 전술한 도 4에 도시된 예시와 같다.
도 8 은 본 발명의 일실시예에 따른 네트워크 침입탐지장치의 프로토콜 모델 적용 및 네트워크 침입탐지방법에 따른 동작설명에 참조되는 순서도이다.
도 8에 도시된 바와 같이, 네트워크 침입탐지 장치는 축약된 DFA에 따른 새로운 프로토콜 모델을 DFA 또는 NFA형태의 패턴들을 지원하는 패턴탐지 기술에 입력 및 적용하여 네트워크 상의 패킷에 적용하여 침입탐지를 수행한다(S550).
네트워크에서 전송되는 패킷을 탐색하여(S560), 패킷의 길이가 기 설정된 소정 크기(n) 이상인지 여부를 판단한다(S570). 이때, 패킷의 길이는 시스템 및 네트워크의 특성에 따라 그 값이 변경될 수 있다.
패킷의 길이가 소정 크기(n) 이상인 경우, 패턴탐지부(172)는 새로운 프로토콜 모델을 이용하여, 패킷을 분석하고 그 패턴을 탐지한다(S580, S590).
이때, 패킷분류뷰(173)는 패턴이 탐지되는 경우, 정상 트래픽으로 분류하고(S600), 패턴이 탐지되지 않는 경우에는 비정상의 위험한 트래픽으로 분류한다(S610).
그에 따라 침입탐지부(170)는 위험한 트래픽에 대한 정보를 메인제어부로 인가하여 위험 트래픽이 차단되도록 한다.
따라서, 본 발명은 패턴이 탐지되지 않는 트래픽에 대하여 위험 트래픽으로 분류하도록 구성됨으로써, 대상 서비스에 대한 사전 지식 없이도 프로토콜 모델을 생성이 가능하고, 알지 못하는 대상에 대한 네트워크 침입탐지 및 그에 따른 트래픽 차단이 가능하게 된다.
또한, 본 발명은 서비스를 제공하는 서버에서 작동하는 방어기술이 아니라 네트워크 상에서 작동하므로 여러 서버에 대해 보안 서비스를 동시에 제공 할 수 있다.
이상과 같이 본 발명에 의한 어플리케이션 프로토콜인식을 이용한 네트워크 침입탐지 방법 및 장치는 예시된 도면을 참조로 설명하였으나, 본 명세서에 개시된 실시예와 도면에 의해 본 발명은 이에 한정되지 않고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 응용될 수 있다.
도 1 은 본 발명의 일실시예에 따른 프로토콜(Protocol) 추출을 이용한 네트워크 침입탐지에 따른 구조에 대한 설명에 참조되는 도,
도 2 는 본 발명의 일실시예에 따른 네트워크 침입탐지장치의 구성에 대한 설명에 참조되는 블록도,
도 3 은 본 발명의 일실시예에 따른 네트워크 침입탐지장치에 의해 생성되는 PTA에 대한 설명에 참조되는 예시도,
도 4 는 본 발명의 일실시예에 네트워크 침입탐지장치에 의한 프로토콜 모델 생성 과정에서 축약된 DFA/ PTA에 대한 설명에 참조되는 예시도,
도 5 은 본 발명의 일실시예에 따른 네트워크 침입탐지장치의 키워드 추출방법에 따른 동작설명에 참조되는 순서도,
도 6 는 본 발명의 일실시예에 따른 네트워크 침입탐지장치의 프로토콜 추출방법에 따른 동작설명에 참조되는 순서도,
도 7 은 본 발명의 일실시예에 따른 네트워크 침입탐지장치의 프로토콜 모델 생성방법에 따른 동작설명에 참조되는 순서도,
도 8 은 본 발명의 일실시예에 따른 네트워크 침입탐지장치의 프로토콜 모델 적용 및 네트워크 침입탐지방법에 따른 동작설명에 참조되는 순서도이다.
<도면의 주요 부분에 관한 부호의 설명>
110: 메인제어부 120: 패킷송수신부
130: 데이터부 140: 키워드추출부
150: 프로토콜추출부 160: 모델생성부
170: 침입탐지부
410, 411,412,421 내지 429: 노드

Claims (10)

  1. 수신된 패킷으로부터 연속적인 문자열을 키워드로써 추출하고, 상기 키워드의 빈도 분포에 따른 키워드 리스트를 생성하는 단계;
    상기 패킷 또는 상기 패킷에 대한 플로우로부터 상기 키워드 리스트에 포함된 키워드에 해당하는 문자열의 시퀀스(Sequence)를 추출하여 피티에이(PTA, Prefix tree acceptor)를 저장하여 프로토콜을 추출하는 단계;
    상기 PTA의 노드(State)와 트랜지션(Transition)의 돗수를 이용하여 상기 프로토콜에 대한 프로토콜 모델을 생성하는 단계; 및
    상기 프로토콜 모델을 네트워크 보안기술에 적용하여 네트워크로 전송되는 패킷에 대하여 침입을 탐지하는 단계를 포함하는 네트워크 침입탐지 방법.
  2. 제 1 항에 있어서,
    상기 키워드 리스트 생성단계는 추출할 키워드(Keyword)의 크기를 사전에 정의한 후, 프로토콜 내에서 키워드의 시작점에 관계없이 문자열을 키워드로 추출하는 것을 특징으로 하는 네트워크 침입탐지 방법.
  3. 제 2 항에 있어서,
    상기 키워드 리스트 생성단계는 슬라이딩 윈도우(Sliding window) 방식으로, 시작점에 관계없이 패킷의 페이로드(Payload) 부분에서 바이트(Byte)단위의 소정 크기의 연속적인 문자열을 추출하는 것을 특징으로 하는 네트워크 침입탐지 방법.
  4. 제 2 항에 있어서,
    상기 키워드 리스트 생성단계는 측정되는 상기 패킷의 플로우 수를 기준으로, 일정 주기 동안, 상기 문자열에 대하여 키워드의 빈도를 분석하고,
    벡터거리를 이용한 유사성 분석을 통해, 키워드 분포가 이전 주기의 키워드 분포와 유사하지 않은 경우, 상기 키워드 분포로부터 새로운 키워드 리스트를 생성하는 것을 특징으로 하는 네트워크 침입탐지 방법.
  5. 제 4 항에 있어서,
    상기 키워드 리스트 생성단계는 상기 패킷이, 지정된 대상서버 또는 대상포트를 이용하는 경우, 소스IP(Soruce IP), 목적지IP(Destination IP) 및 목적지 포트(Destination Port) 정보를 포함하는 3투플(tuple)을 이용하여 상기 플로우 수를 측정하는 것을 특징으로 하는 네트워크 침입탐지 방법.
  6. 삭제
  7. 제 1 항에 있어서,
    상기 프로토콜 모델 생성단계는 상기 피티에이(PTA)를 문자열의 값의 순서에 따라 정렬하고, 정렬된 순서에 따라 상기 노드(State)와 상기 트랜지션(Transition)이 가지는 돗수를 이용하여, 각 노드(State)에 대한 등가(Equivalent)의 정도를 연산하며, 등가인 두 노드(State)가 존재하는 경우 상기 두 노드를 병합하여 축약된 디에프에이(DFA, Deterministic Finite Automata)를 저장하며 상기 디에프에이(DFA)에 따른 상기 프로토콜 모델을 생성하는 것을 특징으로 하는 네트워크 침입탐지 방법.
  8. 제 7 항에 있어서,
    상기 프로토콜 모델 생성단계는 앨러지(Alergia) 기법을 이용하여, 상기 두 노드(state)가 동일한 입력에 대하여 동일한 상대빈도의 외부천이(outgoing transition)를 갖는 경우 상기 두 노드(state)가 등가인 것으로 판단하는 것을 특징으로 하는 네트워크 침입탐지 방법.
  9. 제 1 항에 있어서,
    상기 침입탐지 단계는 상기 프로토콜 모델을 기준으로, 소정 길이 이상의 패킷에 대한 패턴을 탐지하여, 패턴이 탐지된 패킷은 정상 트래픽으로 분류하고, 패턴이 탐지되지 않은 패킷은 비정상의 위험한 트래픽으로 분류하여, 네트워트 침입을 탐지하는 것을 특징으로 하는 네트워크 침입탐지 방법.
  10. 패킷으로부터 키워드로써 문자열을 추출하고, 상기 키워드의 빈도 분석을 통한 분포가 이전 주기의 분포와 유사하지 않은 경우 새로운 키워드 리스트를 생성하는 키워드추출부;
    상기 패킷 또는 상기 패킷에 대한 플로우로부터 상기 키워드 리스트에 포함된 키워드에 해당하는 문자열의 시퀀스(Sequence)를 추출하여 피티에이(PTA, Prefix tree acceptor)를 저장하여 프로토콜을 추출하는 프로토콜 추출부;
    프로토콜 추출결과에 대응하여 상기 PTA에서 등가인 노드(State)를 병합하여 프로토콜 모델을 생성하는 모델생성부; 및
    상기 프로토콜 모델을 적용하여 네트워크로 전송되는 패킷의 패턴을 분석하고, 패턴 미탐지 시 위험 트래픽으로 분류하여 침입을 탐지하는 침입탐지부를 포함하는 네트워크 침입탐지 장치.
KR1020080131726A 2008-12-22 2008-12-22 어플리케이션 프로토콜인식을 이용한 네트워크 침입탐지 방법 및 장치 KR101060733B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080131726A KR101060733B1 (ko) 2008-12-22 2008-12-22 어플리케이션 프로토콜인식을 이용한 네트워크 침입탐지 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080131726A KR101060733B1 (ko) 2008-12-22 2008-12-22 어플리케이션 프로토콜인식을 이용한 네트워크 침입탐지 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20100073135A KR20100073135A (ko) 2010-07-01
KR101060733B1 true KR101060733B1 (ko) 2011-08-31

Family

ID=42636150

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080131726A KR101060733B1 (ko) 2008-12-22 2008-12-22 어플리케이션 프로토콜인식을 이용한 네트워크 침입탐지 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101060733B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200080591A (ko) * 2018-12-27 2020-07-07 한국과학기술원 동작 모델링 및 비교 분석을 이용한 이동통신네트워크의 이상 진단 장치 및 그 방법

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101982308B1 (ko) * 2017-04-25 2019-08-28 고려대학교 산학협력단 프로토콜 모델 생성 장치 및 모델링 방법
KR102513837B1 (ko) * 2021-01-07 2023-03-24 국민대학교산학협력단 패킷 페이로드의 인공지능 학습을 통한 보안관제 장치 및 방법
KR102651655B1 (ko) * 2021-12-31 2024-03-29 (주)너울리 네트워크에 대한 침해 공격을 탐지하는 장치, 방법 및 컴퓨터 프로그램

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080047012A1 (en) 2006-08-21 2008-02-21 Shai Aharon Rubin Network intrusion detector with combined protocol analyses, normalization and matching
KR100818306B1 (ko) 2006-11-22 2008-04-01 한국전자통신연구원 공격 패킷 시그너처 후보 추출 장치 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080047012A1 (en) 2006-08-21 2008-02-21 Shai Aharon Rubin Network intrusion detector with combined protocol analyses, normalization and matching
KR100818306B1 (ko) 2006-11-22 2008-04-01 한국전자통신연구원 공격 패킷 시그너처 후보 추출 장치 및 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200080591A (ko) * 2018-12-27 2020-07-07 한국과학기술원 동작 모델링 및 비교 분석을 이용한 이동통신네트워크의 이상 진단 장치 및 그 방법
KR102162024B1 (ko) 2018-12-27 2020-10-06 한국과학기술원 동작 모델링 및 비교 분석을 이용한 이동통신네트워크의 이상 진단 장치 및 그 방법

Also Published As

Publication number Publication date
KR20100073135A (ko) 2010-07-01

Similar Documents

Publication Publication Date Title
Yang et al. MTH-IDS: A multitiered hybrid intrusion detection system for internet of vehicles
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
WO2021227322A1 (zh) 一种SDN环境DDoS攻击检测防御方法
US9514246B2 (en) Anchored patterns
Boero et al. Support vector machine meets software defined networking in ids domain
US9858051B2 (en) Regex compiler
US20180063168A1 (en) Automatic detection of network threats based on modeling sequential behavior in network traffic
WO2021139641A1 (zh) 一种web攻击检测方法、装置及电子设备和存储介质
Khan et al. A hybrid technique to detect botnets, based on P2P traffic similarity
Kheddar et al. Deep transfer learning for intrusion detection in industrial control networks: A comprehensive review
Chkirbene et al. A combined decision for secure cloud computing based on machine learning and past information
Alashhab et al. Low-rate DDoS attack detection using deep learning for SDN-enabled IoT networks
Ahuja et al. Ascertain the efficient machine learning approach to detect different ARP attacks
KR101060733B1 (ko) 어플리케이션 프로토콜인식을 이용한 네트워크 침입탐지 방법 및 장치
US11770380B1 (en) Systems and methods for enhanced network detection
CN110213280A (zh) 一种SDN环境下基于LDMDBF的DDoS攻击检测方法
Xu et al. [Retracted] DDoS Detection Using a Cloud‐Edge Collaboration Method Based on Entropy‐Measuring SOM and KD‐Tree in SDN
Kheddar et al. Deep transfer learning applications in intrusion detection systems: A comprehensive review
US11848959B2 (en) Method for detecting and defending DDoS attack in SDN environment
Ren et al. Captar: Causal-polytree-based anomaly reasoning for scada networks
Ige et al. Deep Learning-Based Speech and Vision Synthesis to Improve Phishing Attack Detection through a Multi-layer Adaptive Framework
KR101079815B1 (ko) 해싱결과값의 비트-벡터를 이용한 공격 시그니처 분류에 기반한 시그니처 클러스터링 방법
KR101648033B1 (ko) 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법 및 그를 위한 장치
Yang et al. IoT botnet detection with feature reconstruction and interval optimization
CN116318975A (zh) 一种基于多会话和多协议的恶意流量检测方法与系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140728

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150728

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160726

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20171023

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee