KR101111433B1

KR101111433B1 - 능동 네트워크 방어 시스템 및 방법

Info

Publication number: KR101111433B1
Application number: KR1020107026179A
Authority: KR
Inventors: 크래이그 칸트렐; 마크스 윌레빅-르매어; 데니스 콕스; 존 맥해일; 브라이언 스미스; 도노반 콜블라이
Original assignee: 팁핑포인트 테크놀러지스 인코포레이티드
Priority date: 2002-11-07
Filing date: 2003-11-07
Publication date: 2012-02-17
Also published as: EP1558937B1; CN100443910C; EP1558937A2; JP2010268483A; US7451489B2; KR20050086441A; AU2003290674A1; EP1558937A4; KR101045362B1; WO2004045126A2; US20050044422A1; KR20100132079A; AR042020A1; CN1720459A; WO2004045126A3; US7454792B2; AU2003290674A8; US20050028013A1; US20040093513A1; JP2006506853A

Abstract

능동 네트워크 방어 시스템은, 자동화된 방식으로 트래픽을 모니터하고 차단할 수 있도록 제공된다. 상기 능동 네트워크 방어 시스템은, 네트워크 기반구조의 일부분으로서 패킷 트래픽 데이터 플로우에 관해 인-라인으로 배치된다. 이러한 구성으로, 모든 통과 패킷의 검사 및 조작이 가능하다. 알고리즘 필터링 동작은 복수 세션들에 걸쳐 존재하는 위협들을 식별하기 위하여 통계적인 스레스홀드 필터링을 데이터 플로우에 적용한다. 트리거 필터링 동작은 개별 세션들 내에 존재하는 위협들을 식별하기 위하여 헤더 및 컨텐츠 매칭 필터링을 데이터 플로우에 적용한다. 위협적인 패킷 트래픽은 차단되고, 위협적인 세션들이 중단된다. 의심스러운 트래픽은 추가적 검사를 위해 자산 위험 분석뿐만 아니라 더 포괄적인 컨텐츠 매칭을 사용하여 데이터 플로우로부터 추출된다.

Description

능동 네트워크 방어 시스템 및 방법{ACTIVE NETWORK DEFENSE SYSTEM AND METHOD}

[관련출원]

본 출원은 2002년 4월 30일 출원된 출원 계속 중인 미국 특허출원 번호 10/136,889의 제목 "NETWORK SECURITY SYSTEM INTEGRATION"에 관한 것으로, 이 출원은 참고문헌으로서 여기에 인용된다.

본 출원은 2002년 8월 12일에 출원된 출원 계속 중인 미국 특허출원 번호 10/217,862의 제목 "MULT-LEVEL PACKET SCREENING WITH DYNAMICALLY SELECTED FILTERING CRITERIA"에 관한 것으로, 이 출원은 참고문헌으로서 여기에 인용된다.

본 발명은 네트워크 침입의 검출 및 억제에 관한 것이다.

기업들이 사업을 경영하기 위하여 점점 더 인터넷을 사용함에 따라, 인터넷을 통해 전달되고 액세스 가능한 기밀 정보 및 민감한 정보의 양 또한 증가하고 있다. 개인들과 달리, 외부 침입자에 대해 보안이 유지되는 기업들이 지난 수십년 동안 사업을 위해 사용했던 전용 통신 네트워크들, 인터넷 및 기업에 연결된 네트워크들은, 그들의 개방성 및 액세스의 용이함 때문에 보안 위협들 및 악의적인 도청에 취약하다. 최근, 이러한 기밀 정보에 접근하고자 하거나 네트워크 통신들에 간섭할 목적으로 시도되는 네트워크 보안 위반 또는 해커 공격의 빈도가 증가해왔다.

네트워크 공격들은, 어떻게 이러한 공격들을 수행하는지에 관한 툴(tool)들 및 정보의 이용가능성, 해커 정교함의 향상, 공격에 취약한 네트워크 액세스 포인트들 개수의 증가, 및 인터넷을 통해 전달되고 액세스 가능한 전체 기밀 정보량 증가로부터 부분적으로 기인하여, 점점 더 성행할 뿐만 아니라 더욱 정교하고 심각해지고 있다. 이러한 공격들은, 공격자가 웹 사이트에 다수의 패킷들 또는 웹 사이트를 압도하는 요청들이 쇄도하게 하여 정당한 사용자들이 웹 사이트에 액세스하는 것을 방해하는, 분산 서비스 거부(distributed denial of service)를 포함한다. 다른 타입의 공격들은 웹 사이트로의 액세스를 방해할 뿐만 아니라, 웹 사이트의 보안을 뚫고 해커들이 서버를 제어하게 하고 웹 사이트를 손상시키거나, 민감한 정보를 훔치게 한다. 다른 공격들은, 해커들이 인터넷을 통해 전송된 기밀 통신을 남용하게 하는 악의적인 도청을 포함한다. 기밀 통신이 서툴게 수행된다면, 기업의 사업에 대한 손실, 또는 적어도 기업 명성의 손실이 증가할 것이다. 상당한 비용 및, 서비스 거부 공격들로부터 야기되는 부정적인 평판도 존재한다. 이러한 모든 타입의 공격에 대응하기 위한 시도로서, 기업들은 높아진 네트워크 취약성 우려에 대처하기 위해 그들의 보안 예산을 증가시키고 있다.

침입 검출 시스템은 일반적으로 네트워크 방어의 하나의 조치로서 사용된다. 그러한 시스템들은 일반적으로, 트래픽을 모니터하고, 의심스런 트래픽의 부분들을 식별하고, 이어서 그러한 트래픽이 검출될 때 경보 또는 알람을 발생시키도록 된 수동 시스템이다. 그러한 검출 시스템들이 아무리 지능적이고 정확하다 하더라도, 일반적으로 예상되는 공격에 대응하여 어떠한 능동적인 조치를 취하도록 대비되어 있지않다. 경보는 각각의 의심스러운 동작의 경우에 대해 발생될 수 있으나, 네트워크 보안 관리자에게는 편리하지 않을 수 있다. 그 이유는, 많은 경우에 경보가 발생되고 인식될 무렵에는, 어떠한 의미있는 대응을 제공하기에 너무 늦다는 것이다. 손상은 이미 발생되었다. 단순히, 보안 위반 또는 잠재적인 위반에 대해 인식하는 것은 돌파에 의한 손상이 발생하지 않게 하는 것과는 동일하지 않다.

따라서, 본 기술분야에서의 현재의 침임 검출 시스템은 비록 몇몇 이로운 서비스들을 제공하기는 하지만은, 네트워크 공격에 대한 불충분한 방어 메카니즘인 것으로 인식된다. 설계자들은 예상되는 침입에 몇몇 자동 응답 수단을 제공할 필요를 더 인식한다. 그러한 응답 메카니즘들은, 종래 수동 탐지 모드에서 진보된 공격 억제 모드로 침임 검출 시스템 기능을 확장하도록 의도되어있다. 예를 들어, 침입 검출 시스템에 의해 구현되는 두 개의 알려진 능동 응답 메카니즘들은 (a) (TCP 세션 엔드 포인트에 TCP 리셋 요청을 전송하는) 세션 스나이핑(sniping); (b) (정책 구성 요청을 방화벽(firewall) 또는 라우터에 전송하는) 방화벽 업데이트이다. 그러나, 이러한 능동 메카니즘들은 일반적으로 비효과적이며, TCP/IP가 어떻게 동작하는 지에 대한 기본적인 지식을 가지는 해커에게는 쉽게 바이패스(bypass)된다. 사실, 이러한 응답 메카니즘들은, 공격에 의해 자신의 주소를 속은 무고한 서버들에 대해 서비스 거부 응답 공격을 발족하거나, 잘못하여 합당한 서버로의 액세스를 거부함으로써, 희생 네트워크에 의해 배척될 수 있다.

그러한 네트워크 보호를 제공하는 것에 관한 종래 기술의 현상태는, 범용 프로세서에서 구현되는 소프트웨어-기반 침입 검출 시스템을 이용한다. 그러한 구현의 어려움은, 소프트웨어가 네트워크를 적절히 보호하기 위해 요구되는 패킷 검사, 비교 및 분석을 행하기에 충분히 신속하게 수행될 수 없다는 것이다. 게다가, 소프트웨어-기반 솔루션은 매우 느리기 때문에, 이러한 구현들은 위험한 트래픽이 피보호 네트워크에 진입하는 것을 효과적으로 차단하기 위한 방식으로 동작할 수 없다.

따라서, 종래 침입 검출 시스템들은, 응답 메카니즘을 구비한 때에도, 그들의 수동적인 리스닝 구성 때문에 적절한 네트워크 방어 전략을 더 이상 표시할 수 없다. 강화된 능동 응답 침입 검출 시스템들은, 충분한 능동 방어 수단을 제공하지 않는것으로 인식된다. 따라서, 향상된 동작 능동 네트워크 방어 시스템 및 방법은, 점점 정교해지고 더욱 위험한 네트워크 공격들로부터 네트워크들을 보호할 필요가 있다.

본 발명의 일 실시예에 따르면, 네트워크 방어 시스템은 패킷의 데이터 플로우에 관하여 인-라인(in-line)으로 연결된 상태 관리기 기능(functionality)을 포함한다. 상태 관리기 기능은 데이터 플로우에 현재 존재하는 세션들을 추적하고, 이력(historical)의 패킷 관련 데이터를 저장한다. 상기 시스템은, 복수의 세션들에 걸친 데이터 플로우의 패킷들이 보호 네트워크에 위협을 나타내는지 결정하기 위하여, 추적된 세션들과 이력의 패킷 관련 데이터의 통계적 분석을 수행하도록 된 알고리즘 필터를 더 포함한다.

상기 시스템은 패킷들의 데이터 플로우에 관하여 인-라인으로 연결된 패킷 핸들러를 더 포함한다. 상기 패킷 핸들러는 위협의 존재에 응답하여 위협적인 패킷들을 차단하는 동작을 한다.

상기 시스템은 패킷들의 데이터 플로우에 관하여 역시 인-라인으로 연결된 트리거 필터를 더 포함한다. 상기 트리거 필터는 개별 세션들에서 위협적인 패킷들을 검출하기 위해 설계된 기준들에 대해 데이터 플로우의 패킷들을 필터링한다. 트리거 필터는, 복수의 세션들에 걸친 위협적인 패킷들을 검출하기 위하여 설계된 기준들과 비교하고, 알고리즘 필터의 의심 결정에 응답하여 데이터 플로우의 의심스러운 패킷들을 필터링한다.

상기 시스템은 또한, 패킷들의 데이터 플로우에 관하여 인-라인으로 연결된 플로우 제어기를 더 포함한다. 플로우 제어기는 데이터 플로우에 따라 패킷들의 통과 속도를 조정하도록 된다.

패킷들이 의심스러운 것으로 식별되는 경우에, 상기 시스템은 위협 검증기를 더 포함한다. 의심스러운 것으로 식별된 패킷들은 데이터 플로우로부터 추출되고, 이어서 인-라인 트리커 필터에 의해 사용되는 것보다 더 포괄적인 필터링 기준을 사용하는 위협 검증기에 의해 필터링된다. 더 포괄적인 분석은, 의심스러운 것으로서 추출된 패킷들이 실제 위협적인지 여부를 밝히도록 설계된다.

의심스러운 패킷들은 위험 평가기에 의해 분석될 수도 있다. 상기 위험 평가기는 의심스러운 추출된 패킷들을 검사하고, 그것들이 네트워크 내에 있는 식별가능한 자산들에 위협이 되는지를 검사한다.

본 발명은, 라인 속도에서 의심스러운/위험한 컨텐츠에 대해 세밀한(deep) 패킷 검사를 수행할 수 있기 때문에, 종래 기술의 소프트웨어-기반 침입 검출 시스템과 대비해 상당한 향상을 제공하는 장점을 지니다. 빠른 경로 패턴 매칭의 수행은, 고속 패킷 핸들링의 핵심이며, 아울러 공격에 대해 네트워크 보호를 제공한다. 패턴 매칭을 위해 필요한 속도를 지원하고 그에 따라 세밀한 패킷 검사를 달성하기 위하여, 패턴 매칭 동작은 바람직하게는 복수의 병행 패턴 매칭 동작을 사용하여 수행된다. 이러한 방식으로 구현된 시스템은, 장래의 필요성에 대처하도록 쉽게 확장가능하다.

게다가, 몇몇 패킷들은 더욱 주의 깊은 검사를 요구할 것으로 인식된다. 이를 위해, 본 발명은 더욱 분석되어야 하는 패킷들을 식별하기 위해 초기 스크리닝을 수행하는 장점을 갖는다. 이들 패킷들은 데이터 플로우로부터 추출되고, 이후 개별의 프로세스 플로우에서 더욱 주위 깊게 스크리닝된다.

본 발명의 바람직한 실시예에서, 상기 시스템은 패킷 처리 속도를 유지하면서 패킷 스크리닝의 적절한 레벨을 제공하기 위하여 혼합 하드웨어/소프트웨어 솔루션을 이용하는 장점을 갖는다. 인-라인 요소들이 하드웨어로 바람직하게 구현된다. 예를 들어, 패킷 매칭 동작은, 종래 소프트웨어-기반 침입 검출 솔루션보다 훨씬 더 신속하게 동작하는 하드웨어 설계를 사용하여 수행된다. 제어 및 구성은 시스템에 유연성 레벨을 부여하기 위하여 소프트웨어로 핸들링될 수 있다. 더욱이, 시스템이 그러한 패킷들에 의해 존재하는 위험을 더 신중히 고려하도록 데이터 플로우로부터 추출된 패킷들의 라인밖에서의 처리는 소프트웨어로 수행하는 것이 바람직하다. 이러한 아키텍춰는 상기 시스템이 데이터 속도의 증가에 따라 확장될 수 있게 해준다.

본 발명의 방법 및 장치는 첨부된 도면을 참조로 한 하기의 발명의 상세한 설명에 의해 더욱 완전하게 이해될 수 있다.

도 1은 본 발명에 따르는 능동 네트워크 방어 시스템의 블록도이다.
도 2는 도 1의 시스템의 보다 상세한 블록도이다.

본 발명은 자동으로 트래픽을 모니터하고 차단하도록 된 능동 네트워크 방어 시스템을 제공한다. 상기 능동 네트워크 방어 시스템은 모든 통과 패킷들을 검사하고 가능하다면 조작하기 위하여 네트워크 기반구조의 일부분으로서 인라인으로 (즉, 패킷 트래픽 데이터 플로우에) 배치된다. 상기 네트워크 방어 솔루션은, 종래 기술의 수동적인 침입 검출 시스템과 차별화되는 극적인 기술전환을 제공한다.

중요하게, 이 능동 네트워크 방어 시스템은 라인 속도로 신뢰할 수 있게 동작할 수 있다. 이 시스템이 악의적인 패킷들을 검출할 때, 그 패킷들을 드롭(drop)하기 위한 동작이 즉시 취해지고, 그에 따라 손상 받을 수도 있는 네트워크에 그 패킷이 진입되는 것을 방지한다. 따라서, 패킷을 드롭하는 경우 공격은 즉시 차단되어, 어떠한 손상도 복구할 필요가 없고 어떠한 경보도 처리될 필요가 없는 추가적인 이점들이 제공된다.

능동 네트워크 방어 시스템은 몇몇 추가적인 이점들을 제공한다. 능동 네트워크 방어 시스템은 패킷들을 단지 차단하는 것을 넘어서 수정할 수 있는 능력을 갖는다. 몇몇 중요한 것 중 하나의 패킷 수정 개념은 정규화 개념이다. 정규화는 프로토콜 또는 표준의 특정 이행(implementation)의 준수를 강제하는 프로세스이다. 예를 들어, 일반적인 침입 검출 시스템 도피 기술은, 타겟 시스템들이 프래그먼트(fragment)를 핸들링하는 방식이 제각각이다. 몇몇 시스템들은 오버래핑 프래그먼트를 처음의 오버래핑 패킷의 데이터와 재조합(reassembly)하고, 다른 시스템들은 마지막 패킷의 데이터와 재조합한다. 침입 검출 시스템은 타겟이 어떻게 재조합할지를 추측하거나 혹은 모든 가능성을 고려할 필요가 있다. 타겟이 어떻게 동작할 것인지 예측하는 것에 실패함으로써, 공격들이 검출되지 않거나 잘못된 경보가 발생될 수 있다. 반대로, 본 발명의 능동 네트워크 방어 시스템은 인-라인으로 배치하고 모든 패킷들을 차단함으로써, 세트 알고리즘을 사용하여 프래그먼트를 재조합하고 재조합된 패킷들을 전송하는 것에 의해 정규화를 수행할 수 있다. 플로우를 정규화하는 것은, 패킷 또는 플로우가 서로 다른 타겟 시스템들에서 어떻게 핸들링될 것인지를 추측할 필요성을 제거하고, 검출 회피 기법들을 저지시킨다.

능동 네트워크 방어 시스템은 패킷 플로우(단위 시간당 처리량)를 능동적으로 관리할 수도 있다. 플로우를 감속시키는 이러한 개념은, 능동 네트워크 방어 시스템이 알려진 "양호(good)" 트래픽을 우선시 하도록 함과 아울러, 의심스러운 트래픽의 통과를 제한하거나 늦춘다. 이러한 관점에서, 많은 서비스 거부 공격들은 정당한 트래픽과 구분할 수 없는 트래픽을 생산하는 것으로 인식된다. 특정한 속성을 가지는 것으로 검출된 트래픽을 감속시킴으로써, 서비스 거부 공격이 적어도 타겟 리소스에 쇄도하는 것을 저지할 수 있다 (더 나아가 중단시키는 것이 가능하다). 추가적인 이점들로서, 감속 제어를 가능하게 함으로써, 능동 네트워크 방어 시스템을 통해 거기에 더 높은 우선 순위를 할당하고, 그에 따라 네트워크 생산성을 향상시킴으로써 임무 기준 트래픽 처리량이 증가될 수 있다.

성공적인 능동 네트워크 방어 시스템을 위하여, 라인 속도 및 짧은 대기시간으로 패킷 트래픽의 상태 검사를 수행할 수 있어야 한다. 예를 들어, WAN/LAN 액세스 속도는 멀티-기가비트 범위 내에 있고, 그에 따라 능동 네트워크 방어 시스템은, 스위치들 및 라우터들에 전형적인 밀리초 대기시간을 갖는 기가비트 속도의 하드웨어 성능들을 가져야 한다. 여기서의 목적은 세밀한 패턴 매칭(deep pattern matching)을 수행하는 것이다. 능동 네트워크 방어 시스템은, 유용한 트래픽을 폐기하는 것을 방지하는 신뢰 수단을 가져야한다. 또한, 능동 네트워크 방어 시스템이 네트워크 기반 구조의 일부분으로서 구현되기 때문에, 높은 이용가능성을 전달할 수 있어야 한다.

이러한 배경을 고려하여 이제, 본 발명에 따른 능동 네트워크 방어 시스템 및 방법의 더 상세한 고찰이 제시된다.

도 1 및 2는 본 발명에 따른 능동 네트워크 방어 시스템(10)의 블록 다이어그램을 보인 것이다. 시스템(10)은 기업의 네트워크 기반구조(12)의 일부분으로서 구성된다. 바람직하게 상기 구성은 상기 시스템(10)이 모니터될 데이터 플로우(14)에 관해 인-라인으로 배치되도록 한다. 그러한 인-라인 배치는, 데이터 플로우(14) 내에서 각각의 그리고 모든 패킷(16)의 검사와, 가능하다면 조작을 용이하게 한다. 따라서, 이 시스템은 (비록 라인 속도를 초과하지는 않더라도) 데이터 플로우(14)의 라인 속도에 근접한 속도로 동작하는 것이 필수적인다. 인-라인 프로세싱을 통해, 상기 시스템은 각각의 통과 패킷들에 관하여 세밀한 패킷 검사를 수행한다.

다수의 인-라인 기능들은 시스템(10)에 의해 제공된다. 상기 기능들 중 첫번째는 상태 관리기 기능(20)을 포함한다. 상태 관리기(20)는 데이터 플로우(14)의 능동 모니터링과 관련된 두 개의 핵심 동작을 수행한다. 먼저, 상태 관리기(20)는 세션 관리 동작(22)을 구현한다. 이 세션 관리 동작(22)은 데이터 플로우(14)를 통해 전달될 패킷 트래픽에 관한 각 세션의 상태를 모니터하고 관리한다. 특히, 세션 관리 동작(22)은 테이블 또는 다른 메카니즘을 사용하여 세션이 현재 데이터 플로우(14)에 존재하는지 추적하고, 검사를 위해 이력의 패킷 관련 데이터를 저장한다. 예를 들어, 연결 테이블은 (TCP SYN, SYN ACK 등과 같은) 각 연결 상태에 관한 데이터를 유지하는데 사용될 수 있다. 보유될 수 있는 이력의 패킷 관련 데이터의 예시적인 타입들은 다음의 것들을 포함한다:

- 프래그먼트 패킷들의 재조합;

- TCP 세션 플로우들의 재조합;

- 협의 절충된 단명(ephemeral) 포트들의 유지(예를 들어, FTP는 데이터를 교환할 동적 포트를 형성한다);

- 연결 확립 상태(예컨대, 연결을 확립하는데 있어 TCP에 대한 잘 정의된 교환과 같은 통신 호스트들 간의 적절한 핸드쉐이크); 그리고

- (애플리케이션들 또는 프로토콜들이 상기 애플리케이션들 또는 프로토콜들의 사양들을 위반하지 않거나, 상기 애플리케이션들 또는 프로토콜에서 알려진 취약성을 사용하지 않는 잘 정의된 상태로 변환하는 것을 보증하는) 프로토콜 및 애플리케이션 레벨 상태 정보.

데이터 플로우(14)에서 각 패킷(16)은, 각 패킷들이 인식된 세션들과 관련된다는 보증 목적을 위해 세션 관리 동작(22)에 의해 인-라인으로 검사된다. 그 경우에, 세션과 관련되지 않는 패킷(16)이 검사되고, 불량 패킷(16)은 의심스럽거나 위협적인 것으로 식별되어, 시스템(10)에 의해 차단된다. 게다가, 시스템이 위협적인 또는 의심스런 패킷들을 발견할 때, 패킷들과 세션들 사이의 관계 기록은 검출된 패킷을 포함하는 세션 내의 모든 패킷들을 (드롭하거나 추가적으로 시험하는 것에 의해) 시스템(10)이 유사하게 핸들링하도록 선택하기 위해 유지된다. 상기 개념은 "세션 방향 변경"으로 언급된다.

둘째로, 상태 관리기(20)는 패킷 및 플로우 재조합 동작(24)을 구현한다. 상기 동작과 관련하여, 네트워크의 공격들은 복수의 패킷들로 분할되는 것으로 간주된다. 이러한 방식으로, 공격자는 여러개의 패킷들에 대한 공격을 은폐하려 하는 바, 이들 패킷들을 개별적으로 보아서는 공격받지 않는 양호한 패킷으로 잘못 인지된다. 상기 공격으로부터 보호하기 위하여, 상기 패킷 및 플로우 재조합 동작(24)은, 공격의 존재를 시험하고 검출하기 위해 (상기 참조된 이력의 데이터를 사용하여) 시간에 걸쳐 확립된 연결들에 관하여 데이터 플로우(14)를 모니터하고, 다수의 패킷들 및 그들의 컨텐츠들을 검사한다. 이러한 방식으로, 패킷 플로우 및 재조합 동작은 패킷들 및 그들의 패이로드들을 추적하고, 패킷들 간의 관계를 식별하며, 잠재적인 위협에 대해 분석된 재조합된 패킷 데이터와 함께 패킷 패이로드들을 재조합한다. 이 경우, 공통 플로우에 대해 한 무리의 패킷(16)이 검사되고, 재조합시 위협이 되는 것으로 결정될 때, 상기 패킷들(및 동일한 플로우 또는 세션내의 관련 패킷들)은 상기 시스템(10)에 의해 차단될 수 있고/거나, 상기 위협적인 패킷들과 관련된 플로우/세션은 상기 시스템(10)에 의해 중단될 수 있다. 따라서, 이 기능들은 패킷 바운더리들에 걸친 패턴 매칭의 추적을 가능하게 한다.

정규화 프로세스는 특정 표준들의 준수를 강제하도록 설계된 다수의 서로 다른 패킷 핸들링 절차를 수반할 수 있다. 상기 프로세스는 상태 관리기가 데이터 플로우를 통과하는 각 패킷을 "접촉"하기 때문에 본 발명과 관련되어 수행된다. 예를 들어, 정규화는 보호 네트워크에 관해 상기 시스템이 특정한 재조합 정책을 정의하게 한다. 프래그먼트 패킷들의 위협을 인식할 시, 이 정책은 순서를 벗어나 도달하는 패킷들을 무조건적으로 차단할 것을 지시하며, 그에 따라 전송측 엔티티로 하여금 패킷들을 피보호 네트워크에 의해 수신되기 이전에 정호가한 순서로 재전송하게한다. 정규화는 또한, 상기 시스템(10)이 IP 옵션들에 관한 특정 해석 규칙을 이행하게 한다. 게다가, 정규화는 모든 코드화된 (예컨대, 헥스 또는 유니코드) 패킷들이 피보호 네트워크로 통과되기 이전에 먼저 복호화되어야 함을 요구할 수 있다. 따라서, 이러한 동작들은 특정 규칙들 또는 정규화 제약들에 대한 준수를 강제하고, 공격으로부터 네트워크를 더 잘 보호한다.

상태 관리기는, 최대 가능 속도로 (바람직하게는 데이터 플로우에 대한 라인 속도를 초과하는 속도로) 필요한 작업들을 실행할 수 있는 능력을 갖도록 애플리케이션 커스터마이징 하드웨어 부분으로서 구현된다.

상태 관리기(20)의 동작을 보조하기 위하여, 통과 패킷 트래픽의 특성에 관한 데이터가 상태 관리기(20)에 의해 수집된다. 예를 들어, 이 데이터는 전술한 연결 테이블에서 컴파일되거나 수집될 수 있다. 이 데이터는 개별 세션들의 패킷 트래픽들에 대한 정보뿐만 아니라, 서로 다른 복수의 세션들에 걸친 패킷 트래픽에 관한 정보도 포함한다.

상태 관리기와 알고리즘 필터링 동작 간의 데이터 관계의 두 개의 구현이 가능하다. 제 1 구현으로서, 상기 데이터는 오직 상태 관리기에서 수집되어, 알고리즘 필터링 동작에 보고된다. 제2 구현으로서, 상기 데이터는 상태 관리기에서 수집되어 요약되고, 이어서 상기 요약이 알고리즘 필터링 동작에 보고된다. 제2 구현이 바람직한바, 그 이유는 필터가 필터링 동작을 수행하기 이전에 이러한 요약을 수행할 필요를 없게 해주며, 이에 따라 처리 속도가 증가되기 때문이다. 그러나, 이러한 제2 구현은 더 복잡한 하드웨어 상태 관리 구현을 요하는 바, 이는 설계비용의 추가를 수반하게된다.

수집된 데이터는 알고리즘 필터링 동작(28)에 보고된다(26). 상기 알고리즘 필터링 동작(28)은, 보고된 데이터가 잠재적인 문제(즉, 의심스러움) 또는 위협을 표시하는지를 결정하기 위해 이 데이터에 대해 통계적인 분석을 수행한다. 상기 알고리즘 필터링 동작(28)에 의해 수행되는 통계적인 분석은 (복수의 서로 다른 세션들에 걸친 데이터 플로우에서의 패킷 트래픽의 특성에 관하여 보고되는 데이터에 의해 밝혀지는) 주소 스윕(sweep) 공격들, 포트 스캔 공격들 및 서비스 거부 공격들의 인스턴스들(instances)을 포착하도록 설계된다. 상기 목적을 성취하기 위하여, 일련의 알고리즘 필터들(30)은 복수의 세션들에 걸쳐 발생하는 인식된 네트워크 위협들을 식별, 검출 및 차단하도록 설계 및 구성된다. 이어서, 이 알고리즘 필터들(30)은 일 세트의 검출 엔진들(32)에 제공되는 바, 복수의 인식된 세션 공격 시나리오들 (예컨대 주소 스윕, 포트 스캔, 및 서비스 거부) 각각에 대해 하나의 엔진이 채용된다. 각 검출 엔진(32)은 또한, 개별 세션들의 패킷 트래픽에 관한 상태 관리기(20)에 의해 수집 및 보고되는(26) 데이터(또는 이것의 서브셋) 뿐만 아니라 서로 다른 복수의 세션들에 걸친 패킷 트래픽에 대한 정보를 수신한다. 알고리즘 필터들(30)에 대해 통계적인 방식으로 상기 보고(26) 데이터를 평가함으로써, 각각의 검출 엔진(32)은 네트워크가 현재 복수-세션 공격하에 있는지에 관한 결론에 이를 수 있다. 이어서, 알고리즘 필터링 동작(28) 내의 관리 기능(34)이, 상태 관리기(20)에 적절한 피드백(36)을 제공함으로써 검출 엔진들(32)의 결론에 따라 동작한다. 데이터 플로우에서 복수의 세션 패킷들로부터의 위협이 검출되는 상황에서, 이 위험한 패킷들은 상기 시스템(10)에 의해 차단될 수 있고/있거나, 그러한 패킷들과 관련된 세션들은 상기 시스템(10)에 의해 중단될 수 있다.

이 알고리즘 필터링 동작은, 그 동작의 지속적인 유연성 및 보안 위험들에 맞춰지고 조정될 수 있도록 커스터마이징 가능한 (하드웨어 상태 관리기와 인터페이스하는) 소프트웨어 애플리케이션으로 바람직하게 구현된다. 이러한 방식으로, 상기 위협 검출 성능이 필요에 따라 확장될 수도 있다. 부가적으로, 알고리즘 필터링 동작에 의해 수행되는 기능을 제한함과 아울러 하드웨어에서 효율적이고 빠르게 실행될 수 있는 상태 관리기에 (위협 검출 동작은 물론) 많은 기능들을 부여함으로써, 전반적인 패킷 처리 속도가 빠르게 유지될 수 있으며, 상기 동작이 라인 속도로 실행되게 할 수 있다.

상기 시스템(10)에 의해 제공되는 인-라인 기능 중 두 번째는, 세밀한 패킷 검사를 용이하게 하는 상태 패턴 매칭(stateful pattern matching)의 형태를 구현하는 트리거 필터 기능(50)을 포함한다. 트리거 필터(50)는 데이터 플로우(14)의 능동 모니터링과 관련하여 두 개의 필터링 동작을 수행한다. 먼저, 패킷 헤더 매칭 동작(52)은 각 패킷들을 조사하고, 헤더 필드 값이 위험한 트래픽의 의심을 야기하는지를 결정한다. 이러한 동작은 공격을 표시하는 정보의 존재에 대해 (예컨대, 수신 및 발신 IP 주소, 수신 및 발신 포트들 등과 같은) 고정된 헤더 필드들을 검사하는 것을 포함한다. 예를 들어, 패킷들은 자신의 헤더 정보에 기초하여 분류될 수 있다. 이어서, 이러한 분류는 단지 필터링에 사용될 수 있거나 혹은 하기에 논의하는 바와 같이 다른 필터링 동작을 수행하는 것과 관련하여 제공되도록 사용될 수 있다. 두 번째로, 패킷 컨텐츠 매칭 동작(54)이 각 패킷들을 조사하고, 컨텐츠(캐릭터) 스트링들 및/또는 정규 표현 값이 위험한 트래픽의 의심을 야기하는지를 결정한다. 이러한 동작은, 패킷 패이로드 요소들을 공격과 관련된 것으로 식별되는 스트링들 및 표현들에 매칭시키는 것을 포함한다. 검출된 헤더 필드 값들 및 컨텐츠 스트링들/정규 표현 값들의 검출된 조합에 기초하여 의심스러운 패킷들을 검출하기 위하여, 상기 패킷 헤더 매칭 동작(52) 및 패킷 컨텐츠 매칭 동작(54)이 서로 연계하여 동작하는 것이 이점이 있음을 인식할 수 있을 것이다. 위협이 검출되는 상황에서, 위험한 패킷들은 상기 시스템(10)에 의해 차단될 수 있고/있거나, 상기 패킷들과 관련된 세션들은 상기 시스템(10)에 의해 중단될 수 있다.

비록 상기 설명이 위험하거나 의심스러운 트래픽을 찾는 (그리고 이어서 그 트래픽을 차단하는) 트리거 동작에 초점을 두고 있으나, 몇몇 경우에 "양호(good))" 트래픽의 품질들 및 특성들을 찾도록 상기 트리거들을 구현 및 필터들을 설계하는 것이 가능하다. 이러한 경우에, "양호" 기준을 충족하는 것으로 식별되지 않은 모든 패킷들은 시스템(10)에 의해 차단되고 양호 특래픽으로 식별된 트래픽은 통과가 허용된다.

트리거 필터 기능은, 최대 가능 속도로 (바람직하게 데이터 플로우에 대한 라인 속도를 초과하여) 필요한 작업들을 수행할 수 있는 능력을 갖도록 하드웨어의 애플리케이션 커스터마이징 부분으로서 구현된다. 보다 구체적으로, 빠른 경로 패턴 매칭을 위한 처리가 병행 처리 아키텍춰로 다수의, 하드웨어로 구현되는 패턴 매칭 컴포넌트의 사용을 통해 수행된다. 이러한 구성은 상기 시스템이 라인 속도로 동작하도록 하며, 미래의 확장성을 제공한다.

트리거 필터의 기능(50)의 동작을 보조하기 위하여, 필터링 기준(또는 규칙)(54)이 패킷 헤더 매칭 동작(52) 및 패킷 컨텐츠 매칭 동작(54) 모두에 제공된다. 이러한 규칙들(54)는 검출 트리거들(56)는 물론 검출 예외들(58)를 포함한다. 검출 트리거(56)는 하나 이상의 헤더 필드 값들, 컨텐츠 스트링들 및/또는 정규 표현 값들 각각 또는 이들의 조합을 식별하는 것이며, 단일 세션 패킷의 페이로드 요소에서 검출 트리거의 매칭 존재는 네트워크로에 대한 위협을 나타낸다. 검출 예외(58)는 하나 이상의 헤더 필드 값들, 컨텐츠 스트링들 및/또는 정규 표현 값들 각각 또는 이들의 조합을 식별하는 것이며, 단일 세션의 패킷의 페이로드 요소들에서의 이들의 존재는 비록 의심이 간다하더라도 네트워크에 대한 위협을 표시하는 것으로 판단되지 않아야 한다. 변환 기능(6)이 검출 트리거(56) 및 검출 예외들(58)을 필터링 기준(또는 규칙들)(54)으로 변환하기 위해 제공되며, 이들은 트리거 필터 기능(50)의 패킷 헤더 매칭 동작(52) 및 패킷 컨텐츠 매칭 동작(54)에 제공되어 활용된다. 예를 들어, 상기 변환은 패킷 헤더 매칭 동작(52) 및 패킷 컨텐츠 매칭 동작(54)에 의한 구현을 위하여 더 낮은 레벨의 머신 코드로의 데이터 변환을 포함할 수 있다.

상기 검출 트리거들(56) 및 검출 예외들(58)은, 인식된 단일 세션 타입 네트워크 위협들의 식별, 검출 및 억제를 위해 특별히 설계되고 맞춰진 검출 시그네춰(62) 세트로부터 파생된다. 예를 들어, (예컨대, 보안 규칙들, 정책들 및 알고리즘들을 포함하는) 검출 시그네춰(62)는 검출된 취약성으로인한 네트워크 손상을 완화 또는 회피하도록 설계될 수 있다. 이러한 시그네춰들(62)은, 예컨대 머신 (호스트) 제조자들, 서비스 공급자들, 인터넷 등을 포함하는 잘 알려진 다수의 소스들 중 어느 하나로부터 얻어질 수 있다. 게다가, 시그네춰들(62)은 보호 네트워크의 관리기에 의해 생성될 수 있다. 더욱이, 시그네춰들(62)은 시그네춰를 생성하는 비지니스 엔티티에 의해 공급될 수 있으며, 여기서 상기 엔티티는 전세계로부터의 위협 정보(예를 들어, 웜, 바이러스, 트로이, 서비스 거부, Access, Failure, Reconnaissance, 다른 의심스러운 트래픽 등)를 수집하고, 수집된 위협들로부터 네트워크 손상을 완화 또는 회피하기 위해 다른 사람들에 의해 사용될 수 있는 정보 및 설계 검출 시그네춰(62)를 분석한다.

검출 시그네춰들(62)은 일반적으로 말해서, 검사 트래픽에 의해 취해진 네트워크로의 잠재적인 위협을 검출하기 위하여, 하나 이상의 추출된 패킷 특성들에 의해 충족되어야 하는 객체 정의 기준(예를 들어, TPC, HTTP 및 URI 관련 기준)을 포함한다. 예로서, 각 검출 시그네춰는 다음의 객체들을 포함할 수 있다:

- 메타 데이터: 시그네춰의 명칭, 식별자, 카테고리 및 등급을 설명한다;

- 동작 세트: 위협이 검출되는 경우 시스템(10)에 의해 수행될 동작 또는 동작들(허가, 거부, 로그, 차단, 종료 등)의 정의;

- 질의: 위협받으며, 시그네춰가 적용되는 특정 네트워크 요소(들)(머신 세트)의 정의(또는 식별자); 그리고

- 시그네춰 정의: 고려되어야 하는 임의의 관련 파라미터들과 함께 위협이 식별되도록 매칭되어야 하는 기준의 세트.

상기 논의된 필터 기준 관리와 관련된 동작들은, 보안 위험들에 맞춰지고 조정될 연속적인 유연성 및 능력을 보장하기 위하여, (하드웨어 트리거 필터 기능과 인터페이싱하는) 커스터마이징 가능한 소프트웨어 애플리케이션으로 바람직하게 구현된다. 이러한 방식으로, 상기 시스템의 위협 검출 성능들은 필요에 따라 확장될 수 있다.

바람직하게, 트리거 필터 기능(50)에 의해 수행되는 필터링 비교 동작은, 패킷 레벨 및/또는 세션 레벨에서 구현된다. 패킷 레벨에서, 검사 및 필터링 동작은 검출 시그네춰들의 규칙을 적용할 때 개별적으로 각 패킷을 고려한다. 세션 레벨에서, 검사 및 필터링 동작은, 검출 시그네춰들의 규칙을 적용할 때 다수의 관련 패킷들을 함께 고려한다. 세션 레벨 비교를 보조하기 위하여, 상기 시스템(10)은 저장된 이력의 패킷 관련 데이터에 관한 상태 정보에 의존한다. 세션 레벨 비교에 있어, 상기 비교 및 필터링은 검사 하의 현재 패킷에 대한 추출된 패킷 특성들 (헤더 또는 패이로드)뿐만 아니라 이력의 패킷 관련 데이터를 고려한다. 시그네춰(62) 기준과 그리고 추출된 패킷 특성들 및 이력의 패킷 관련 데이터의 결합과의 사이에 매칭이 이루어지는 경우, 네트워크(14)로의 잠재적인 위협이 검출된다.

상기 시스템(10)에 의해 제공되는 세 번째 인-라인 기능은 패킷 핸들러 기능(70)을 포함한다. 패킷 핸들러 기능(70)은 상태 관리기 기능(20) 및 트리거 필터 기능(50)이 행한 평가 및 결론에 응답하여 게이트키퍼(gatekeeper)로서 동작하며, 패킷들 및/또는 세션들이 어떻게 핸들링될 지를 결정한다. 보다 구체적으로, 패킷 핸들러 기능은 패킷이 어떤 임의의 요주의(要注意) 대상인지를 결정하기 위해, 상태 관리기(20) 및 트리거 필터 기능(50)의 분석 및 검사 결과를 컴파일하고, 이어서 그 패킷에 대해 적절히 조치한다. 세 개의 핸들링 옵션들은 요주의 대상이 되는 것으로 결정된 패킷들에 대해 이용가능하다. 먼저, 상태 관리기 기능(20) 및 트리거 필터 기능(50) 모두 특정 패킷 또는 세션에 관하여 어떠한 위협, 위험 또는 의심을 검출하지 않는 경우, 상기 패킷 트래픽은 통과(72)가 허용되어 계속 데이터 플로우(14)를 따라 흐르게된다. 둘째로, 상태 관리기 기능(20) 또는 트리거 필터 기능(50) 중 어느 하나가 특정 패킷 또는 세션에 관해 명백한 위협 또는 위헙을 검출하는 경우, 이 패킷 트래픽은 데이터 플로우(14)로부터 차단 및 드롭(74)된다. 세 번째로, 상태 관리기 기능(20) 또는 트리거 필터 기능(50) 중 어느 하나가 특정 패킷 또는 세션에 관한 의심스러운 위협 또는 위험을 검출하는 경우, 이 패킷 트래픽은 이하에서 더 상세히 논의되는 바와 같이 더욱 세밀한 검사를 위하여 데이터 플로우(14)로부터 추출된다(76).

상기 패킷 핸들러 기능은 바람직하게는 데이터 플로우의 통과 패킷들에 관하여 정렬(sorting)을 결정을 하는데 있어서 신속하게 동작할 수 있는 성능을 지니도록 하드웨어로 구현된다.

시스템(10)에 의해 제공되는 네 번째 인-라인 기능들은 플로우 제어 기능(80)을 포함한다. 플로우 제어 기능(80)은 특정한 프로그래밍 가능하거나 형성가능한 우선순위에 기초하여 데이터 경로(140)에 따라 트래픽 플로우 출력을 형성한다. 트래픽 형성은, 특정 패킷 트래픽이 데이터 경로(14)에 따라 통과되도록 허용되는 속도를 증가시킴으로써 (또는 역으로 낮춤으로써) 우선적으로 수행된다. 예를 들어, 알려지고 확인된 양호한 트래픽은 데이터 경로(14)에 전송을 위하여 우선시될 수 있다. 유사하게, 알려진 임무 임계 애플리케이션에 관한 패킷 트래픽에는 다른 더 적은 임계 트래픽보다 높은 우선순위가 주어질 수 있다. 더 일반적으로, 특정 타입의 트래픽은, 그 트래픽이 특정 드레시홀드(threshold)양을 초과하지 않도록 제한될 수 있다. 이는 다운스트림 리소소의 과도한 실행과, 더 높은 우선순위 트래픽과의 간섭을 방지하기 위하여 제공된다.

상기 플로우 제어 기능은, 데이터 플로우의 통과 패킷들에 관한 핸들링을 결정하는데 신속하게 동작할 상기 플로우 제어 기능의 능력을 보존하기 위해 하드웨어로 바람직하게 구현된다.

의심스러운 것으로 식별되어 패킷 핸들러 기능(70)에 의해 데이터 플로우(14)로부터 추출되는(76) 패킷 트래픽에 관하여, 더 신중하고 철저한 검사가 최종 핸들링 결정 이전의 트래픽에 대해 행해진다. 이러한 추가적인 검사는 아웃-오브-라인 위협 검증 기능(100)을 사용하여 수행된다. "아웃-오브-라인(out-of-line)"란, 패킷 트래픽이 메인 데이터 플로우(14)로부터 떨어져 핸들링된다는 것을 의미한다. 위협 검증 기능(100)은 이전에 상세히 논의된 인-라인 트리거 필터 기능(50)과 유사한 방식으로 동작한다. 그러나, 주요 동작 차이가, 수행되는 상세한 검사 레벨과 관련하여 존재한다. 트리거 필터 기능(50)은 인-라인으로 동작해야 하기 때문에, 필터링 기준(또는 규칙들)(54)은 (바람직하게는 상기 논의된 커스터마이징 하드웨어 솔루션을 사용하여) 필수 라인 속도로 구현하도록 설계되어야 한다. 상기 설계 기준은, 트리거 필터 기능(50)으로 하여금 의심스럽고 명백하게 위험하거나 위협적인 패킷 트래픽을 빠르게 식별하도록 설계된 덜 철저한 검사 및 평가에서의 검출 노력에 초점을 맞추게 한다. 상기 검사의 특성은, 더 상세한 분석을 사용하여, 양호한 트래픽이 되는 것으로 결정될 수 있는 의심스러운 특정 양으로서 반드시 식별될 것이다. 그러나, 아웃-오브-라인 위협 검증 기능(100)의 목적은, 의심스러운 트래픽의 양호한 부분을 분리하고 데이터 플로우(14)에 리턴(102)하기 위하여 상기 의심스러운 트래픽을 더 철저하게 평가하는 것이다. 마지막으로, 보안 위험들의 더 철저하고 신중한 평가에 맞춰지거나 조정될 연속적인 유연성 및 능력을 보증하기 위하여 커스터마이징 소프트웨어 애플리케이션으로서 바람직하게 구현될 수 있다.

부분적으로 소프트웨어-기반 구현 때문에, 위협 검증 기능(100)은 트리거 필터 기능(50)과 약간 다른 평가 프로세스를 구현한다. 특히, 위협 검증 기능(100)은 프로토콜 복호기 및 정규 표현 매칭을 사용하여 세밀한 위협 분석을 수행한다. 상기 평가는 트리거 필터링 평가보다 더 많은 시간과 리소스가 소요되나, 훨씬 더 정확한 위협 결정이 얻어진다. 상기 동작을 구현하기 위하여, 위협 검증 기능(100)에 제공되는 필터링 기준(또는 규칙들)(108)은 인-라인 트리거 필터 기능(50)에 적용되는 규칙들(54)보다 더 포괄적이고 분별적이다. 추출(76)된 의심스러운 트래픽의 평가가 아웃-오브-라인으로 수행되기 때문에, 검사될 트래픽 양은 상당히 감소되며, 추가적인 시간은, 각 패킷이 실제로 네트워크에 위협 또는 위험을 나타내는지 여부를 더 신중히 고려하기 위하여, 위협 검증 기능(100)에서 이용가능하다. 관심있는 프로토콜들 및 정규 표현에 관한 검출 검증들(110)이 제공된다. 이어서, 변환 기능(112)이 검출 검증들(110)을 필터링 기준(또는 규칙들)(100)으로 변환하며, 이들은 위협 검증 기능(100)에 제공되어 처리된다. 상기 검출 검증(110)은, 인식된 단일 세션 타입 네트워크 위협들의 식별, 검출 및 억제를 위해 특별히 설계되거나 맞춰진 상기 설명된 바와 같은 동일한 검출 시그네춰(62)세트로부터 얻어진다.

위협 검증 기능(100)은, 세 개의 핸들링 옵션들 중 하나를 선택하여 의심스러운 트래픽의 더 신중한 분석에 응답한다. 첫째, 위협 검증 기능이 패킷 트래픽이 양호하다고 확인하는 경우, 그 패킷 트래픽은 데이터 플로우(14)로 리턴된다. 둘째, 위협 검증 기능이 명백한 위협 또는 위험을 확인하는 경우, 패킷 트래픽은 차단되고 드롭된다(114). 셋째, 명백한 결정(양호하거나 위협적이거나)을 할 수 없는 경우, 패킷 트래픽은 데이터 플로우로 리턴되나(102), 트래픽의 사본은 경보를 발생할 필요가 있는지 결정하기 위한 추가적인 판단 및 핸들링을 위하여 통과된다(116).

트리거 필터 기능(50)에 의해 수행되는 분석과, 위협 검증 기능(100)에 의해 수행되는 분석 간의 차이가 하기의 논의로부터 더 정확히 이해된다. 트리거 필터 기능(50)에 의해 이용되는 필터링 기준은, 수신된 패킷 트래픽의 상대적으로 빠른 검사를 허용하기 위해 하드웨어-기반 트리거링 메카니즘으로서 구현되는 바, 여기에서는 제한된 프로세싱 성능 필터링이 모든 의심스러운 트래픽을 실질적으로 발견하기 위한 설계와 함께 사용되며, 그에 따라 상기 필터는 위험한 트래픽과 함께 잘못하여 불가피하게 부가된 몇몇 양호한 트래픽(즉, 정확성이 상대적으로 낮고, 다수의 거짓 긍정(false positive)들이 존재하는 트래픽)을 잡아내는 것임을 이해해야 한다. 예를 들어, 상기 스크리닝 레벨은, 에러를 포함하기 더 쉬운 스크린 출력을 사용하여 덜 복잡한 알고리즘들 및 프로세스들을 사용하여 더 빠른 속도에서 수행될 수 있는 헤더 필드 비교들 및 트리거 컨텐츠 검색들(즉, 짧은 스트링 비교)을 함축한다. 반면, 위협 검증 기능(100)에 의해 이용되는 필터링 기준은 의심스러운 패킷 트래픽 부분의 더 낮은 속도의 검사를 허용하기 위하여 소프트웨어-기반 확인 메카니즘으로서 구현되는 바, 여기에서는 더 복잡한 프로세싱 성능 필터링과 의심스러운 트래픽을 더 신중히 검사하고 가장 위협적이거나 위험한 트래픽을 식별하기 위한 설계가 함께 사용되며, 그에 따라 상기 위협 검증 기능(100)은 몇몇 양호한 트래픽(즉, 비록 거짓 긍정은 최소가 될 수 있으나, 정확성은 상대적으로 높은 트래픽)을 실수로 잡아낼 수도 있으나 이러한 발생 가능성은, 트리거 필터 기능(50)에 의한 것보다 상당히 더 적을 것이다. 예를 들어, 제2 스크리닝 레벨은 프로토콜 복호기 및, 더 복잡한 알고리즘을 사용하는 더 낮은 속도의 정규 표현 매칭(즉, 긴 스트링 비교)을 함축하며, 에러들을 덜 포함하기 쉬운 스크린된 출력으로 처리된다.

위협 검증 기능(100)에 의해 통과되는(116), (여전히 의심스러운) 패킷 트래픽의 사본에대해서, 다수의 가능한 동작들이 취해질 수 있다. 예를 들어, 경보(120)가 발생될 수 있고, 추가적인 검사를 위하여 의심스러운 패킷 트래픽의 사본이 네트워크 관리기에 전달될 수 있다. 대안적으로, 상기 의심스러운 패킷 트래픽은 아웃-오브-라인 위험 평가 기능(130)에 의해 평가될 수 있다. 상기 위험 평가 기능(130)은, 의심스러운 패킷 트래픽이 네트워크 내에 존재하는 머신들 및 장치들에 대해 식별가능하고 구체적인 위험을 표시하는지를 평가하도록 동작한다. 상기 결정을 보조하기 위해, 자산 데이터베이스(132)는 보호 네트워크 내에 존재하는 각 머신들 및 장치 각각의 정보뿐만 아니라, 이들 간의 내부 연결 및 동작 관계의 정보도 포함하는 시스템(10)에 의해 보유된다. 예를 들어, 상기 자산 데이터베이스(132)는, 네트워크 내의 머신들(호스트들), 호스트들에 의해 제공되는 서비스들, 및 네트워크 구성과 관련된 상기 머신들 및 서비스들에 관한 잠재적인 컴퓨터 시스템 및 네트워크 디바이스의 취약성을 식별하는 기업(즉, 보호 네트워크) 특정 데이터를 바람직하게 포함한다. 상기 데이터는, 아마도 종래 기술의 종래 방식으로 보호 네트워크를 평가하는 분리된 취약성 평가 스캐너 디바이스의 사용을 포함하는 잘 알려진 다수의 방법들 중 어느 하나로 수집될 수 있다. 이어서, 상기 위험 평가 기능은, 자산들이 상기 네트워크 내에 있는 경우, 어떤 타입의 네트워크 자산들이 검출 시그네춰의 애플리케이션을 통해 의심스럽다고 검출된 패킷 트래픽에 의해 위협받는지 결정하기 위하여, 트리거된 의심스러운 검출 시그네춰(특히, 상기 시그네춰의 위협받는 네트워크 구성요소(들) (머신 세트))을 평가한다. 상기 경우, 데이터베이스(132) 내에 포함된 정보에 의해 결정되므로, 상기 보호 네트워크는 그 어떤 위협받은 머신들 또는 디바이스들도 포함하지 않으며, 따라서 의심스러운 트래픽은 네트워크에 전혀 관련되지 않거나 거의 관련되지 않으므로 무시될 수 있다. 그러나, 보호 네트워크가 의심스러운 트래픽에 의해 위협받을 수도 있는 자산을 포함하는 경우, 손상의 위험을 감소시키거나 제어하기 위하여, 트래픽은 잠재적인 위협의 네트워크/보안 관리기에게 통보하는 것에 대해 차단되고 드롭되거나, 경보되어야 한다. 이러한 상황에서, 경보(120)가 발생될 수 있고, 의심스러운 패킷 트래픽이 추가적인 검사를 위하여 네트워크 관리기에게 전달될 수 있다.

알고리즘 필터링 동작(28)을 다시 한번 참조한다. 특히, 검출 엔진(32)은 보고(26) 데이터를 알고리즘 필터(30)에 대해 통계적인 방식으로 평가하고, 네트워크가 현재 복수-세션 공격 하에 있는지에 관해 결정한다는 것을 기억해야 할 것이다. 상기 평가는, 공격이 존재 유무를 결론적으로 확립하는데 실패할 수도 있다. 그러한 상황에서, 의심스러운 공격이 발생한다. 상기 의심을 처리하기 위하여, 검출 엔진은, 의심 경보(170)를 발생시키도록 구성되며, 상기 의심 경보는 변환 기능(60)에 전송된다. 이에 응답하여, 변환 기능(60)은 트리거 필터 기능(50)의 패킷 헤더 매칭 동작(52) 및/또는 패킷 컨텐츠 매칭 동작(54)이, 존재할 수도 있는 복수-세션 공격에 더 민감하게 되도록, 검출 트리거(56) 및 검출 예외(58) 변환을 필터링 기준(또는 규칙들)(54)에 맞추기 위해 변환 동작을 대체하거나 조정할 수 있다. 이러한 방식으로, 패킷 헤더 매칭 동작(52) 및/또는 패킷 컨텐츠 매칭 동작(54)에 대해 일부 제어가 실행되는 바, 이는 알고리즘 필터링 동작(28)에 의해 수행되는 통계적인 분석에 기초하여 그 존재가 예상되는 복수-세션 공격을 검색하기 위한 것이다.

상기 시스템(10)은 보호 네트워크 내의 네트워크 요소로서 바람직하게 구성된다. 따라서, 상기 시스템(10)은 외부 환경(즉, 보호 네트워크 외부의 신뢰되지 않는 환경)과의 연결을 허용하는 다수의 물리적인 외부 인터페이스를 포함할 것이다. 예를 들어, 신뢰되지 않는 환경은, 광역 통신망(WAN), 가상 사설 통신망(VPN) 서버, 근거리 통신망(LAN) 클라이언트, 무선 또는 원격 액세스 서버, 및 (인터넷과 같은) 신뢰되지 않는 네트워크 중 하나 이상을 포함할 수 있다. 또한, 보호(신뢰) 네트워크의 요소들과의 연결을 허용하도록 다수의 물리적인 내부 인터페이스가 시스템(10)에 포함될 수 있다. 예를 들어, 보호 네트워크의 요소들은 라우터, 특별 서버 타입들(예를 들어, HTTP, SMTP, FTP, DNA 등), 인트라넷, 개인용 컴퓨터, 및 네트워크 영역을 포함할 수 있다. 물리적인 내부 및 외부 인터페이스들은, 신뢰 네트워크 및 비신뢰 네트워크의 내부연결을 형성하는데 바람직하게 연결될 수 있다.

상기 시스템(10)은, 시스템의 동작을 지원하는 적절한 물리적인 플랫폼에서 바람직하게 구현된다. 상기 플랫폼은, 상기 시스템이 보안 애플리케이션을 위한 적절한 실행 환경을 제공하게 하는데 필수적인 기반 하드웨어, 동작 시스템 및 코어 기반구조 설비를 포함한다. 상기 실행 환경은 (샤시, 전원, 확장 성능들, 회로 카드 지원 등과 같은) 동작들, 관리, 유지 및 공급 장치들, 보안 애플리케이션들의 실행을 지원하는 기반 동작 시스템, 및 하드웨어를 포함한다. 비록 바람직한 구현들이 상기에서 논의되어 왔으나, 시스템(10)의 기능은 하드웨어 단독, 소프트웨어 단독으로 구현되거나, 또는 하드웨어 및 소프트웨어 조합의 플랫폼으로 구현될 수 있다.

트리거 필터 기능(50) 또는 위협 검증 기능(100)에서 상기 시스템에 의해 수행되는 비교 및 필터링 동작에 관하여, 다수의 프로세싱 기능들이 필터링 기준에서 사용할 목적으로, 또는 필터링 기준과 관련하여 고려되고 평가될 수 있다. OSI 레이어 1에서, 패킷 통신을 위한 물리적인 하드웨어 인터페이스가 고려될 수 있다. OSI 레이어 2에서, 후술할 데이터 링크 관련 코딩, 처리 및 송신 정보가 고려될 수 있다: 이더넷 발신/착신 주소, VLAN PRI/CFI, VLAN 식별자 및 이더넷 타입, 및 MPLS 레이블들. OSI 레이어 3에서, 후술할 네트워크 관련 전송 라우트, 메시지 핸들링 및 전송 정보가 고려될 수 있다: IP 필드들(예를 들어, 발신/수신 주소, 패이로드 길이, 프래그비트, 헤더 길이, ID 필드, 오프셋 필드, 옵션들, 프로토콜 필드, 서비스 필드 타입, 유지시간 필드, 및 버전 필드), 및 ARP 필드들(전송자 및 타겟 MAC 또는 프로토콜 주소, 프로토콜 또는 하드웨어 타입 또는 사이즈). 게다가, OSI 레이어 4에서, 후술할 전송 관련 전달 서비스 및 품질 정보가 고려될 수 있다: TCP 필드들(발신/수신 포트, 데이터 길이, 헤더 길이, 인식 숫자, 플래그들, 시퀀스 숫자, 긴급 포인터, 윈도우, 및 체크섬), ICMP(타입, 코드, 시퀀스, ID, 데이터 길이, 체크섬, icmp.code), 및 UDP(발신/수신 포트). 프로세싱 기능들은 다음과 같이 프로토콜 복호화 정보를 부가적으로 평가할 수 있다: HTTP(요청 라인, 방법, URI, 프로토콜, 호스트, 컨텐츠 길이, 바디를 포함하는 모든 헤더 필드들), DNS, SMTP, SNMP, SMP, FTP 등. 더욱이, 프로세싱 기능들은 다음의 것들을 평가할 수 있다: 고정된 스트링-고정 오프셋, 고정된 스트링-가변 오프셋, 정규 표현-고정 오프셋, 정규 표현-가변 오프셋, 이벤트들의 수집, 이벤트들의 시퀀스들, 프래그먼트, 연결 상태, 플로우 재조합, 정규화 기술들(오버래핑 프래그먼트들 검출 및 제거, 회피 기술들), 헥스 및 유니코드 복호화.

비록 본 발명의 방법 및 장치의 바람직한 실시 예들이 첨부된 도면에서 도시되었고 상기 발명의 상세한 설명에서 설명되었으나, 본 발명은 공개된 실시예에 제한되지 않지만 후술하는 청구항들에 의해 언급되고 정의된 바와 같은 본 발명의 사상으로부터 분리됨 없이 재배치되고, 수정되며, 대체될 수 있다.

Claims

삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
네트워크 방어 시스템으로서,
데이터 플로우에서 수신된 복수의 서로 다른 세션들에 걸친 모든 패킷들의 성질에 관한 데이터를 수집하는 상태 관리기와;
복수의 세션 공격의 의심이 존재하는지 여부를 결정하기 위해 상기 수집된 데이터에 대해 통계적 분석을 수행하는 알고리즘 필터와;
의심을 받는 복수의 세션 공격과 관련된 패킷들이 상기 데이터 플로우에 남게 되는 것을 차단하는 패킷 핸들러와;
양호 패킷들, 악성 패킷들 및 의심스러운 패킷들을 식별하기 위해, 상기 데이터 플로우에서의 모든 잔존하는 패킷들의 통과에 대한 세밀한 패킷 검사(deep packet inspection)를 수행하는 트리거 필터를 포함하며,
상기 패킷들 각각은 헤더 부분(header portion)과 페이로드 부분(payload portion)을 포함하고, 상기 트리거 필터에 의한 세밀한 패킷 검사는 페이로드 콘텐츠 기반의 위협 기준을 정의하는 특정의 스트링(string)들 및 표현(expression)들에 대비하여 상기 패킷의 상기 페이로드 부분에서의 비헤더 캐릭터 스트링(non-header character string)들 및 표현 값들을 비교하며;
피보호 네트워크로 상기 양호 패킷들이 보내질 수 있도록 하고;
상기 피보호 네트워크에 상기 악성 패킷들이 진입하는 것을 차단하고; 그리고
추가적인 조사를 위해 상기 데이터 플로우로부터 상기 의심스러운 패킷들을 추출하는 것을 포함하는 것을 특징으로 하는 네트워크 방어 시스템.
제40항에 있어서,
상기 트리거 필터에 의한 세밀한 패킷 검사의 수행은 단일 세션(single session)의 콘텍스트(context)내에서의 복수의 패킷들의 검사를 통해 상기 식별을 행하는 것을 포함하는 것을 특징으로 하는 네트워크 방어 시스템.
제41항에 있어서,
상기 트리거 필터에 의한 세밀한 패킷 검사의 수행은 상기 단일 세션에 걸쳐 상기 악성 패킷들을 검출하도록 설계된 위협 기준에 응답하여 상기 데이터 플로우에서의 패킷들을 필터링하는 것을 포함하는 것을 특징으로 하는 네트워크 방어 시스템.
제41항에 있어서,
상기 트리거 필터는 상기 단일 세션에 걸쳐 상기 양호 패킷들을 검출하도록 설계된 기준에 응답하여 상기 데이터 플로우에서의 패킷들을 필터링하는 것을 특징으로 하는 네트워크 방어 시스템.
제43항에 있어서,
상기 트리거 필터는 상기 기준을 충족하는 것으로 식별되는 않은 상기 데이터 플로우에서의 각각의 패킷을 차단하는 것을 특징으로 하는 네트워크 방어 시스템.
제40항에 있어서,
상기 트리거 필터에 의한 세밀한 패킷 검사의 수행은 복수의 세션들의 콘텍스트에서의 복수의 패킷들의 검사를 통해 상기 식별을 행하는 것을 포함하는 것을 특징으로 하는 네트워크 방어 시스템.
제45항에 있어서,
상기 트리거 필터에 의한 세밀한 패킷 검사의 수행은 상기 복수의 세션들에 걸쳐 상기 악성 패킷들을 검출하도록 설계된 위협 기준에 응답하여 상기 데이터 플로우에서의 패킷들을 필터링하는 것을 포함하는 것을 특징으로 하는 네트워크 방어 시스템.
제46항에 있어서,
상기 트리거 필터는 패킷 콘텐츠 매칭(packet content matching) 동작과 패킷 헤더 매칭(packet header matching) 동작을 서로 연계하여 수행하는 것을 특징으로 하는 네트워크 방어 시스템.
제45항에 있어서,
상기 트리거 필터는 상기 복수의 세션들에 걸쳐 상기 양호 패킷들을 검출하도록 설계된 기준에 응답하여 상기 데이터 플로우에서의 패킷들을 필터링하는 것을 특징으로 하는 네트워크 방어 시스템.
제48항에 있어서,
상기 트리거 필터는 상기 기준을 충족하는 것으로 식별되는 않은 상기 데이터 플로우에서의 각각의 패킷을 차단하는 것을 특징으로 하는 네트워크 방어 시스템.
제40항에 있어서,
상기 추출된 의심스러운 패킷들에 대해 위협 평가 분석을 수행하는 위협 평가기를 더 포함하는 것을 특징으로 하는 네트워크 방어 시스템.
제40항에 있어서,
상기 트리거 필터에 의한 세밀한 패킷 검사의 수행은 상기 페이로드 콘텐츠 기반의 위협 기준과 대비하여 모든 통과하는 패킷들의 페이로드 부분 콘텐츠를 패턴 매칭시키는 것을 포함하는 것을 특징으로 하는 네트워크 방어 시스템.
제51항에 있어서,
상기 패턴 매칭은 복수의 병행 패턴 매칭 동작으로 수행되는 것을 특징으로 하는 네트워크 방어 시스템.
제40항에 있어서,
상기 트리거 필터는 패킷 헤더 부분에서의 헤더 필드 값들이 헤더 필드 관련 위협 기준과 매칭하는지 여부를 결정함으로써, 통과하는 패킷들에 대해 패킷 헤더 매칭 동작을 수행하는 것을 특징으로 하는 네트워크 방어 시스템.
제53항에 있어서,
상기 패킷 헤더 매칭은 공격을 표시하는 헤더 필드 관련 정보의 존재에 대해 상기 헤더 필드 값들을 검사하는 것을 더 포함하는 것을 특징으로 하는 네트워크 방어 시스템.
제54항에 있어서,
상기 헤더 필드 값들은 수신 및 발신 IP 어드레스를 포함하는 것을 특징으로 하는 네트워크 방어 시스템.
제54항에 있어서,
상기 헤더 필드 값들은 수신 및 발신 포트들을 포함하는 것을 특징으로 하는 네트워크 방어 시스템.
제53항에 있어서,
상기 트리거 필터는 패킷 페이로드 부분 콘텐츠 비교 동작과 패킷 헤더 부분 매칭 동작을 서로 연계하여 수행하는 것을 특징으로 하는 네트워크 방어 시스템.
제40항에 있어서,
상기 트리거 필터에 의한 세밀한 패킷 검사의 수행은 상기 페이로드 부분에서의 패킷 페이로드 요소들을 위협이 되는 패킷들의 특성인 캐릭터 스트링들 및 정규 표현 값들과 매칭시키는 것을 포함하는 것을 특징으로 하는 네트워크 방어 시스템.
제40항에 있어서,
상기 트리거 필터는 복수의 패킷들의 패킷 헤더 부분들에서의 헤더 필드 값들이 헤더 필드 관련 위협 기준에 매칭하는지 여부를 결정함으로써, 통과하는 패킷들에 대해 패킷 헤더 매칭 동작을 수행하는 것을 특징으로 하는 네트워크 방어 시스템.
제59항에 있어서,
상기 패킷 헤더 매칭은 공격을 표시하는 헤더 필드 관련 정보의 존재에 대해 상기 헤더 필드 값들을 검사하는 것을 더 포함하는 것을 특징으로 하는 네트워크 방어 시스템.
제60항에 있어서,
상기 헤더 필드 값들은 수신 및 발신 IP 어드레스를 포함하는 것을 특징으로 하는 네트워크 방어 시스템.
제60항에 있어서,
상기 헤더 필드 값들은 수신 및 발신 포트들을 포함하는 것을 특징으로 하는 네트워크 방어 시스템.
제40항에 있어서,
상기 트리거 필터에 의한 세밀한 패킷 검사의 수행은 복수의 패킷들의 패킷 페이로드 부분들의 캐릭터 스트링들 및 정규 표현 값들이 패킷 페이로드 위협 기준에 매칭하는지 여부를 결정함으로써, 통과하는 패킷들에 대해 패킷 콘텐츠 매칭 동작을 수행하는 것을 포함하는 것을 특징으로 하는 네트워크 방어 시스템.