KR101143097B1 - 패킷 기반 네트워크 보호 방법, 보호 유닛, 보안 경계 노드 및 패킷 기반 네트워크 - Google Patents
패킷 기반 네트워크 보호 방법, 보호 유닛, 보안 경계 노드 및 패킷 기반 네트워크 Download PDFInfo
- Publication number
- KR101143097B1 KR101143097B1 KR1020107023580A KR20107023580A KR101143097B1 KR 101143097 B1 KR101143097 B1 KR 101143097B1 KR 1020107023580 A KR1020107023580 A KR 1020107023580A KR 20107023580 A KR20107023580 A KR 20107023580A KR 101143097 B1 KR101143097 B1 KR 101143097B1
- Authority
- KR
- South Korea
- Prior art keywords
- signature
- security
- packet
- attack
- unit
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 공격으로부터 패킷 기반 네트워크를 보호하는 보호 유닛(15)에 관한 것으로, 보호 유닛은, 패킷 기반 네트워크(1)의 보안 경계 노드(2a)에서 수신된 패킷 스트림(6)을 분석하고, 패킷 스트림(6)의 서명과 이전에 확인된 공격의 서명의 세트를 비교하여 공격을 검출하는 서명 분석기(5)와, 패킷 스트림(6)에서의 이상을 검출하는 이상 검출기, 특히 통계 분석기(7)와, 패킷 스트림(6)에서의 이상이 검출되는 경우에 서명의 세트를 업데이트하는 서명 간섭 유닛(9)을 구비하며, 업데이트된 서명의 세트(12)는 이후에 서명 분석에 이용된다. 분배 유닛(13)은 업데이트된 서명의 세트(12)를, 패킷 기반 네트워크(1)의 다른 보안 경계 노드의 적어도 하나, 바람직하게는 다른 보안 경계 노드 각각에 분배한다. 또한, 본 발명은 이러한 보호 유닛을 구비하는 보안 경계 노드, 이러한 보호 유닛을 적어도 2개 구비하는 네트워크, 및 그 보호 방법에 관한 것이다.
Description
본 발명은, 패킷 기반 네트워크를 공격으로부터 보호하기 위한 방법 및 보호 유닛, 그 보호 유닛을 구비하는 패킷 기반 네트워크의 보안 경계 노드(security border node), 및 그 보호 유닛을 적어도 2개 구비하는 패킷 기반 네트워크에 관한 것이다.
본 발명은 어떠한 공격으로부터, 통신/컴퓨터 네트워크와 같은 패킷 기반 네트워크(packet-based networks), 특히 코어 네트워크(core networks)를 보호하는 것에 관한 것이다. 코어 네트워크는, 1명 이상의 참여자(participants)와의 세션(sessions)을 생성하고 수정하고 종료하기 위한 SIP(Session Initiation Protocol)와 같은 애플리케이션 계층 제어 (시그널링) 프로토콜(application layer control (signalling) protocols)을 이용하는 IMS(IP multimedia subsystem)와 함께 NGN(next generation network) 아키텍쳐(architecture), TISPAN(Telecoms & Internet converged Services & Protocols for Advanced Networks)을 이용하여 제각기 구현될 수 있다. 그러한 코어 네트워크에서는, 상이한 레이어들(IP, 전송, 애플리케이션 계층까지)에서 공격(attacks)이 있을 수 있고, 공격 전략이 달라질 수 있다. 특히, 코어 네트워크의 경계 노드(border nodes)에서의 응용 프로토콜 스택(application protocol stakcs)은 매우 취약하므로, 특히 정당한(well behaving) 사용자/디바이스에 대한, 전체 시스템에 요청되는 높은 가용율이 얻어지도록 보호 메커니즘이 필요하다. 본 발명은, SIP 시그널링을 갖는 NGN/IMS/TISPAN에 한정되지 않고, 다른 타입의 시그널링 프로토콜, 예컨대 SOAP(Simple Object Access Protocol)을 이용하는 모든 타입의 IP 네트워크에 연관된다.
도 1에 전술한 타입의 코어 네트워크(1)를 도시한다. 코어 네트워크(1)는 최종 사용자 기기(end user equipment)(4)에 직접 접속되는 네트워크(3)를 액세스하도록, 코어 네트워크(1)를 접속하기 위한 복수의 (보안) 경계 노드(2a~2f)를 갖고 있다. 몇몇 경계 노드(2a~2f)는 또한 코어 네트워크(1)를 다른 코어 네트워크(도시하지 않음)에 접속하는데에도 이용될 수 있다. 경계 노드(2a~2f)에서는, 잠재적인 유해 트래픽(potentially dangerous traffic)에 대해 즉시 유효성을 식별하는 보안 정책(security policy)이 적용될 필요가 있다. 식별된 부정 트래픽(identified fraud traffic)은 (데이터의 식별 시퀀스 또는 다른 식별 서명 패턴(another identifying signature pattern)을 제공함으로써) 차단되어야 하며, 이하에서는 서명으로도 지칭된다.
현재의 보안 솔루션은 고속이지만 새로운 공격 패턴에 적응되지 않는 서명 검출(signature detection) 또는/및 적응적이지만 높은 처리 부하를 야기하는 사용 분류 기반 검출 알고리즘(use classification based detection algorithms)에 근거한 것이다. 또한, 보안 전략들은 현재 단일적이고 개별적인 SBC(Session Border Controller) 또는 보안 경계 노드에 각각 집중되어 있다.
발명의 목적
본 발명의 목적은, 공격으로부터 패킷 기반 네트워크를 보호하는 방법 및 보호 유닛과, 그 보호 유닛을 구비하는 보안 경계 노드와, 공격으로부터 패킷 기반 네트워크를 효율적으로 보호할 수 있는 보호 유닛을 적어도 2개 구비하는 네트워크를 제공하는 것이다.
발명의 요약
이 목적은, 전술한 바와 같은 방법에 의해 달성되며, 이 방법은, 패킷 스트림의 서명과 이전에 확인된 공격의 서명의 세트를 비교하여 공격을 검출하는 네트워크의 보안 경계 노드에서 수신된 패킷 스트림 상의 서명 분석을 행하는 단계와, 패킷 스트림에서의 이상(anomalies)을 검출하는 패킷 스트림의 적어도 일부상에서 이상 검출(anomaly detection), 특히 통계적 분석을 행하는 단계와, 패킷 스트림에서의 이상이 검출되면 서명의 세트를 업데이트하는 단계를 구비하며, 업데이트된 서명의 세트는 이후에 서명 분석에 이용되고, 업데이트된 서명의 세트의 서명 각각은 네트워크의 다른 보안 경계 노드의 적어도 하나, 바람직하게는 다른 보안 경계 노드 각각에 분배된다.
본 발명은, 이상 검출을 방화벽 및 서명 기반 보호 로직으로 확대하는 것을 제안하며, 이는 통상 데이터 스트림(데이터 신호)의 블록의 분석, 또는 예컨대 기계 학습 알고리즘에 근거하는 다른 타입의 정밀도 분석(granularity analysis)을 행하는 분류 기반 통계적 분석으로서 구현될 수 있다. 일반적으로, 바이트 또는 멀티-바이트 분석기는 이상을 검출하기 위한 통계적 분석을 행하는데 이용될 수 있다. 그 후, 검출된 이상들은 통계적 분석의 분류 결과를 새로운 서명의 세트에 전달함으로써 서명 또는 검출 로직 업데이트를 유도하는 서명 간섭 엔진에 보고된다. 그러한 방식으로, 새로운 공격을 검출하는 처리 부담(processing burden)은 방화벽 및 서명 검출로 시프트되어 처리 부하를 줄일 수 있다.
하나 또는 복수의 새로운 서명 및 검출 로직이 어떤 검증 테스트를 통과한 후에, 생성된 구성 파일(generated configuration file)은 다른 보안 경계 노드로 보내질 수 있고, 다른 보안 경계 노드의 보안 기능에 적용되어, 새롭게 유도된 공격 블록킹 전략을 패킷 기반 네트워크의 보안 경계 노드간에 자동적으로 배포할 것이다.
더욱 바람직한 변형예에서는, 당해 방법은, 애플리케이션 계층 제어 메시지, 특히 패킷 스트림의 세션 개시 프로토콜(session initiation protocol, 즉 SIP) 패킷 스트림의 메시지상의 이상 검출을 행하는 단계를 더 구비하며, 서명의 세트는 이상 검출의 결과를 고려하여 업데이트된다. 애플리케이션 계층에서만 검출될 수 있는 공격에 대해, 애플리케이션 계층 제어 스택, 특히 SIP 스택은 또한 모든 이상을 보고하기 위한 인터페이스를 가질 수 있다. 이들 이상은 서명 간섭 엔진(signature interference engine)에서 조사되어, 적절한 서명인지를 판정함으로써, 이들 메시지를 보호 로직의 최초 및 초고속의 스테이지("FW", "서명")에서 검출할 수 있다.
바람직하게는, 당해 방법은 공격의 검출 및/또는 이상의 검출을 위한 보안 임계값을 이용하여 서명 분석 및/또는 이상 검출의 감도를 제어하며, 이 보안 임계값은 공격의 적어도 하나의 특성, 특히 단위 시간당 검출된 공격의 수에 따라 조정되는 것이 바람직하다. 특히, 적절한 제어 소프트웨어에 의해 설정될 수 있는 공격 명령을 생성하는 임계 레벨은 컴퓨터 네트워크의 이력 및/또는 현재 상황에 근거하여 제어될 수 있다.
본 변형예의 바람직한 개선에 있어서, 통계적 분석은 병렬 멀티-시퀀스 바이트 분석(parallel multi-sequence byte analysis)으로서 수행되며, 바이트 시퀀스 분석의 가중치는 현재의 공격 상황에 근거하여 보안 인스턴스(security instance)에 의한 보안 임계값에 따라 제어된다. 바이트 분석의 형태의 통계적 분석은, 분석의 각 사이클 동안에 단지 1바이트만 시프트되는 슬라이딩 윈도우(sliding window)을 이용하여, 소위 n-gram, 즉 주어진 시퀀스(통상적으로 스트링)의 n 아이템(items)(통상적으로 바이트)의 시퀀스로 수행된다. 병렬 멀티-시퀀스 바이트 분석에 있어서, 복수의 병렬 분석기는 예컨대 유니그램(unigrams)(크기 1), 바이그램(bigrams)(크기 2) 등의 상이한 크기의 n-그램의 분석을 행하는데 이용된다. 병렬 분석기의 분석 결과는 보안 임계값에 따라 그 결과를 가중 처리하는 판정기에 제공된다.
전술한 방법은 전술한 단계를 수행하는 코드 수단을 구비하는 컴퓨터 프로그램 제품으로 구현되는 것이 바람직하다. 특히, 당해 방법은 소프트웨어로서 또는 적당한 하드웨어 요소(ASIC 등)로 구현될 수 있다.
본 발명의 제 2 관점은 패킷 기반 네트워크를 공격으로부터 보호하는 보호 유닛으로 구현되며, 이 보호 유닛은, 네트워크의 보안 경계 노드에서 수신된 패킷 스트림을 분석하여, 패킷 스트림의 서명과 이전에 확인된 공격의 서명의 세트를 비교하여 공격을 검출하는 서명 분석기와, 패킷 스트림의 이상을 검출하는 이상 검출기, 특히 통계 분석기와, 패킷 스트림의 이상이 검출되면 서명의 세트를 업데이트하되, 이후에 서명 분석을 수행하기 위한 서명 분석기는 업데이트된 서명의 세트를 이용하는 서명 간섭 유닛과, 업데이트된 서명의 세트를, 네트워크의 다른 경계 노드의 적어도 하나, 바람직하게는 다른 경계 노드 각각에 분배하는 분배 유닛을 구비한다.
전용 서명은 서명 파일 크기를 제한할 수 있는 유효 시간 표시(time of live indication)를 가진다. 서명 간섭 유닛은 바이트 분석으로부터의 공격 보고의 정보 투플(information tuple), 및 보호 로직을 즉시 업데이트할 수 대응 서명을 저장할 수 있다. 이러한 방식으로, 패킷 기반 네트워크의 하나 또는 한정된 수의 네트워크 포트에서 검출되는 공격에 대응하여 네트워크를 보호하는 서명은 모든 네트워크 포트에 고속으로 분배되어, 복수의 노드에 걸쳐 보호 성능 및 보호 품질을 향상시킬 수 있다. 특히, 인터넷과 같은 글로벌 네트워크에서 검출된 서명을 위한 데이터베이스를 인스톨할 수 있고, 이 데이터베이스는 복수의 네트워크 제공자에 의해 액세스 가능하여, 다른 네트워크 제공자에 의해 조작되는 네트워크의 보안 경계 노드에도 새로운 서명을 분배할 수 있다. 폐쇄적 시간 상관성을 갖고 또한 그들의 콘텐츠에 상관 관계가 있는 2개 이상의 이상을 검출하는 경우 서명의 세트의 업데이트를 더욱 신뢰성 있게 할 수 있음을 이해할 것이다.
더욱 바람직한 실시예에서는, 보호 유닛은 패킷 스트림에 포함되는 애플리케이션 계층 제어 메시지, 특히 SIP 메시지에서 이상 검출을 수행하는 시그널링 스택, 바람직하게는 SIP 스택을 더 구비하며, 서명 간섭 유닛에서의 서명의 세트의 업데이트는 이상 검출의 결과를 고려하여 이루어진다. 따라서, 애플리케이션 계층에서만 검출될 수 있는 이들 공격도 또한 서명의 세트의 업데이트를 고려하여 이루어질 수 있다.
더욱 바람직한 다른 실시예에서는, 보호 유닛은, 공격의 검출 및/또는 이상의 검출을 위해 보안 임계값을 이용하여 서명 분석기 및/또는 이상 검출기의 감도를 제어하는 제어 유닛을 더 구비하며, 이 보안 임계값은 공격의 적어도 하나의 특성, 특히 사전 정의된 시간 간격 동안에 검출된 공격 횟수에 따라 조정되는 것이 바람직하다. 이러한 방식으로, 공격 이력 및 공격에 관한 현재 상황에 근거하여 보안 감도가 제어될 수 있다. 공격의 다른 특성은 특정 타입의 공격이 네트워크에서 초래하는 손상일 수 있으며, 특히 하나 이상의 유해한 공격이 검출되면 보안 레벨이 높아진다.
다른 바람직한 실시예에서는, 통계 분석기는 멀티-시퀀스 바이트 분석기이며, 바이트 시퀀스 분석의 가중치는 보안 임계값에 따라 제어된다. 일반적으로, 큰 크기를 갖는 n-gram의 분석 결과에는, 허위 경보를 줄이기 위해서, 작은 크기를 갖는 n-gram의 분석 결과와 비교하면, 높은 가중치가 제공된다.
더욱 바람직한 다른 실시예에서는, 보호 유닛은 데이터 스트림에 포함되는 애플리케이션 계층 제어 메시지를 처리하기 위한 보안 시그널링 스택, 특히 보안 SIP 스택을 더 구비하며, 보안 시그널링 스택에서 처리될 메시지에 대한 판정은 보안 임계값에 따라 이루어지는 것이 바람직하다. 이상이 검출된 경우에 서비스 장애를 방지하기 위해, 보안 경계 노드는 비정상 메시지, 통상적으로 SIP 메시지를, 소위 "샌드박스(sandbox)" 환경에서 보안되는 낮은 우선도의 SIP 스택에 보낼 수 있다. 보안 SIP 스택에서의 처리는, SIP 메시지가 어떠한 인식 가능한 공격을 내포하고 있는 경우를 철저히 체크하기 위한 충분한 시간이 제공되기 위해서, 통상적으로 회선 속도로 수행되지 않는다.
다른 유효한 실시예에서는, 보호 유닛은 메시지, 특히 이상 검출이 수행되는 데이터 스트림에 포함되는 SIP 메시지에 대해 판정하는 판정 유닛과, 이상 검출이 행해지는 메시지를 줄세우는(queuing up) 세션 큐잉 유닛(session queuing unit)을 더 구비하며, 줄세워진 메시지는 이상 검출의 결과에 따라 드롭(drop)되거나 처리되는 것이 바람직하다. 판정 유닛은 이상 검출기로 메시지를 추가적으로 분석하여야 하는지, 또는 서명 분석에만 의존해도 충분한지를 판정한다. 판정 유닛으로의 입력은 메시지(리퀘스트/리스폰스)의 타입, SIP 방법, 메시지가 향하는 네트워크의 네트워크 ID, 호출 ID와 같은 SIP 헤더, 하나 이상의 이전 SIP 메시지 또는 방법에 대한 SIP 스택으로부터의 피드백, 또는 트랜잭션 ID일 수 있다.
다른 실시예에서는, 보호 유닛은 데이터 스트림으로부터 메시지를 드롭하기 위한 핀홀을 더 구비하며, 이 핀홀은 통계 분석기 및/또는 서명 분석기에 의해 피드백 루프로 제어된다. 핀홀은 전용 5-투플에 의해 확인된 메시지/패킷을 필터링하도록 하며, 필터링된 트래픽의 양은 통계 분석기 및/또는 서명 분석기에 적용되는 보안 임계값에 의존한다.
본 발명의 제 3 관점은 전술한 타입의 보호 유닛을 구비하는 패킷 기반 네트워크의 보안 경계 노드로 구현된다. 복수의 분배된 보안/경계 노드에서 실행되는 검출 알고리즘은 전체 검출 정확성를 향상시키기 위해서 기계 학습 정보 또는 흐름 지향 패턴(oriented pattern)을 배포하여, 이에 따라 보안 정보의 교차 노드 상관 관계를 실현할 수 있다. 그러한 교차 노드 상관 관계를 실현하는 하나의 방법은 보안 경계 노드간의 P2P(peer-to-peer) 정보 교환이며, 이는 각 보안 경계 노드 자체가 자신의 보호 유닛을 구비하는 경우에 가능하다.
본 발명의 제 4 관점은, 전술한 타입의 보호 유닛을 적어도 2개 구비하는 패킷 기반 네트워크로 구현되며, 이 보호 유닛은 바람직하게는 컴퓨터 네트워크의 집중화된 네트워크 보안 인스턴스에 배치되는 공통 서명 간섭 유닛을 가진다. 이러한 방식으로, 크로스 오퍼레이터 도메인 보안 엔티티(cross operator security entity)(네트워크 보안 인스턴스)를 사용함으로써 현재의 방화벽 아키텍쳐를 개선시킬 수 있다. 이러한 마스터 제어 엔티티는 다수 사이트(multiple sites)의 보안-관련 정보를 수집하고, 처리하고 재분배시키게 할 수 있다. 또한, 모든 유용한 정보의 상관 관계를 위해 기계 학습 알고리즘이 실현될 수 있다.
다른 특징 및 장점은, 중요한 상세한 것을 나타내는 이하의 예시적 실시예에서, 도면을 참조하여 설명하며, 특허청구범위에 의해 규정된다. 개개의 특징들은 그 자체에 의해 개별적으로 구현될 수 있거나, 또는 그들 중 몇개는 임의의 원하는 조합으로 구현될 수 있다.
예시적 실시예는 도해적인 도면에서 나타내어지며, 이하의 상세한 설명에서 설명된다.
도 1은 몇 개의 보안 경계 노드를 갖는 본 발명에 따른 패킷 기반 네트워크의 실시예를 나타내는 개략 블럭도,
도 2는 적응 분배 보안-루프형 아키텍쳐(adaptive distributed security-loop architecture)를 갖는 보호 유닛으로서 기능하는, 본 발명에 따른 보안 경계 노드의 실시예를 나타내는 도면,
도 3은 집중화된 서명 간섭 유닛(centralized signature interference unit) 및 보안 경계 노드를 갖고, 적응 분배 보안-루프 아키텍쳐를 함께 구현하는 보호 유닛의 실시예를 나타내는 도면,
도 4는 추가 애플리케이션 계층 보안 루프를 갖는, 도 2에 도시된 타입의 보안 경계 노드의 실시예를 나타내는 도면,
도 5는 추가 애플리케이션 계층 보안 루프를 갖는, 도 3에 도시한 타입의 보호 유닛의 실시예를 나타내는 도면,
도 6은 패킷 스트림에 포함된 어떤 메시지가 보안 SIP 스택에서 처리될 것인지를 판정하기 위한 조정 가능한 임계값을 갖는 바이트 분석기(byte analyzer)를 나타내는 도면,
도 7은 패킷 스트림에 포함된 어떤 메시지가 보안 SIP 스택에서 처리될 것인지를 판정하기 위한 조정 가능한 보안 임계값을 갖는 서명 분석기를 나타내는 도면,
도 8(a)는 데이터 경로 내에서 수행되는 바이트 시퀀스 분석을, 도 8(b)는 데이터 경로 밖에서 선택된 메시지에서 수행되는 바이트 시퀀스 분석을 나타내는 도면,
도 9는 바이트 시퀀스 분석의 조정 가능한 가중치를 갖는 병렬식 다중 바이트 시퀀스 분석기(parallel multi-byte sequence analyzer)를 나타내는 도면,
도 10은 바이트 분석기, 서명 분석기, 핀홀(pinhole)간의 피드백 링크(feedback links)를 나타내는 도면,
도 11은 복수의 전략 보안 아키텍쳐, 신호 경로에서 수행되는 바이트 분석을 구현하는 보호 유닛의 실시예를 나타내는 도면,
도 12는 복수의 전략 보안 아키텍쳐, 신호 경로 이외에서 수행되는 바이트 분석을 구현하는 보호 유닛의 다른 실시예를 나타내는 도면이다.
도 2는 적응 분배 보안-루프형 아키텍쳐(adaptive distributed security-loop architecture)를 갖는 보호 유닛으로서 기능하는, 본 발명에 따른 보안 경계 노드의 실시예를 나타내는 도면,
도 3은 집중화된 서명 간섭 유닛(centralized signature interference unit) 및 보안 경계 노드를 갖고, 적응 분배 보안-루프 아키텍쳐를 함께 구현하는 보호 유닛의 실시예를 나타내는 도면,
도 4는 추가 애플리케이션 계층 보안 루프를 갖는, 도 2에 도시된 타입의 보안 경계 노드의 실시예를 나타내는 도면,
도 5는 추가 애플리케이션 계층 보안 루프를 갖는, 도 3에 도시한 타입의 보호 유닛의 실시예를 나타내는 도면,
도 6은 패킷 스트림에 포함된 어떤 메시지가 보안 SIP 스택에서 처리될 것인지를 판정하기 위한 조정 가능한 임계값을 갖는 바이트 분석기(byte analyzer)를 나타내는 도면,
도 7은 패킷 스트림에 포함된 어떤 메시지가 보안 SIP 스택에서 처리될 것인지를 판정하기 위한 조정 가능한 보안 임계값을 갖는 서명 분석기를 나타내는 도면,
도 8(a)는 데이터 경로 내에서 수행되는 바이트 시퀀스 분석을, 도 8(b)는 데이터 경로 밖에서 선택된 메시지에서 수행되는 바이트 시퀀스 분석을 나타내는 도면,
도 9는 바이트 시퀀스 분석의 조정 가능한 가중치를 갖는 병렬식 다중 바이트 시퀀스 분석기(parallel multi-byte sequence analyzer)를 나타내는 도면,
도 10은 바이트 분석기, 서명 분석기, 핀홀(pinhole)간의 피드백 링크(feedback links)를 나타내는 도면,
도 11은 복수의 전략 보안 아키텍쳐, 신호 경로에서 수행되는 바이트 분석을 구현하는 보호 유닛의 실시예를 나타내는 도면,
도 12는 복수의 전략 보안 아키텍쳐, 신호 경로 이외에서 수행되는 바이트 분석을 구현하는 보호 유닛의 다른 실시예를 나타내는 도면이다.
도 2는 도 1의 패킷 기반 네트워크(1)의 보안 경계 노드(2a)를 더 상세히 나타내는 도면이다. 보안 경계 노드(2a)는 보안 경계 노드(2a)로의 입력에서 수신되는 패킷 스트림(6)을 분석하기 위한 서명 분석기(5)를 구비한다. 서명 분석기(5)는 패킷 스트림(6)의 서명과 이전에 확인된 공격의 서명의 세트를 비교하는 것에 의해 공격을 검출한다. 패킷 스트림(6)의 신호 경로(8)에는 서명 분석기(5) 다음으로 통계 분석기의 형태의 이상 검출기(anomaly detector)가 위치하며, 이것은 바이트 분석기(7)로서 구현된다. 바이트 분석기(7)는 패킷 스트림(6)의 이상(anomalies)을 검출하기 위해서, 패킷 스트림(6)의 가변 길이의 바이트 시퀀스의 통계적 분석(n-바이트 분석)을 행한다.
모든 이상은 서명 간섭 유닛(9)에 보고되어, 검출된 이상을 고려하여 새로운 서명의 세트가 산정된다. 보안 경계 노드(2a)는 테스트 유닛(11)에 저장된 교정 테스트 패턴 및 공격 테스트 패턴(도시하지 않음)의 세트에 대항하여 변형된 서명 세트를 테스트하기 위한 자동 검증 유닛(10)을 더 구비한다. 성공적인 검증 후에는, 업데이트된 서명의 세트(12)가 서명 분석기(5)에 제공되고, 그 후에 업데이트된 서명의 세트(12)에 근거해서 서명 분석을 행한다. 전술한 방식으로, 보호 유닛(15)이 보안 경계 노드(2a)에서 구현된다.
업데이트된 서명의 세트(12)는 또한 보안 경계 노드(2a)의 분배 유닛(13)에도 제공되어, 업데이트된 서명의 세트(12)를 코어 네트워크(1)의 다른 보안 경계 노드(2b~2f)로 분배한다. 보안 경계 노드(2a)의 분배 유닛(13)이 업데이트된 서명의 세트를 다른 보안 경계 유닛(2b~2f)으로부터도 수신할 수 있기 때문에, 서명 분석기(5)는 보안 경계 노드(2a) 자체 내에서 또는 다른 보안 노드(2b~2f)의 어느 하나에서 이전에 확인된 어떠한 종류의 공격도 확인할 수 있다. 이러한 방식에 있어서, 모든 보안 경계 노드(2a~2f)는 P2P(peer-to-peer) 정보 교환에 근거하는 분배 적응 보안 루프(distributed adaptive security loop)의 일부이다.
서명 분석기(5) 및 바이트 분석기(7)가 신호 경로(8)에 배치되므로, 서명 기반 공격 분석은 회선 속도/실시간으로 수행된다. 따라서, 전술한 방법론은 보안 경계 노드(2a~2f) 각각 및 인그레스 포트(ingress port) 각각에서 공격을 자율적으로 분석하고, 서명의 세트를 업데이트하여, 이에 따라 공격에 대항하여 모든 다른 보안 경계 노드(2a~2f)를 견고하게 한다.
도 3에 도 2의 아키텍쳐의 변형예를 도시하며, 여기서 서명 간섭 유닛(9), 검증 유닛(10), 테스트 유닛(11) 및 분배 유닛(13)이 중앙 네트워크 보안 인스턴스(central network security instance)(14) 내에 배치된다. 따라서, 도 1의 코어 네트워크(1)를 보호하는 분배 보호 유닛(15)은 네트워크 보안 인스턴스(14), 및 보안 경계 노드(2a)의 서명 분석기(5) 및 바이트 분석기(7)로 구성된다. 보안 경계 노드(2a)뿐만 아니라, 다른 보안 경계 노드(2b~2f)도 그들의 바이트 분석의 결과를 중앙 서명 간섭 유닛(9)에 보고하는 것을 이해할 수 있을 것이다. 당해 네트워크(1)의 단일 위치에서 서명의 업데이트를 행하면, 서명의 일관성(consistency)이 더 용이하게 보증되고 더욱 적은 리소스가 필요하게 된다.
전술한 바와 같은 전략은 또한 경계 노드 도메인으로 확장될 수 있다. 이것은, 모든 적용된 경계 노드(월드-와이드)가 그들의 보고를 상위 계층 레벨로 보낼 수 있어, 월드와이드, 크로스-프로덕트(cross-product) 및 가능한 크로스-프로바이더(cross-provider) 서명 간섭 유닛은 새로운 서명 세트를 생성할 수 있고, 이는 모든 보안 경계 노드들 또는, 서명 분석을 적용하는 특정 회사의 제품으로 다운로드될 수 있음을 의미한다. 각 도메인 또는 제품에 대한 서명 간섭 유닛의 적용이 다양하게 구현될 수 있으며, 새로운 서명이 유도되면 구현 공차는 이 서명이 세계적으로 배포된다.
보안 경계 노드(2a)의 보호 유닛(14) 및 분배 보호 유닛(15) 각각에서의 다른 피드백 루프의 구현예를 도 4 및 도 5에 도시한다. 제 2 피드백 루프는 데이터 스트림(6)에 포함되는 SIP 메시지의 애플리케이션 계층 분석에 근거한 것이며, 이 분석은 SIP 스택(16)에서 수행된다. 이 제 2 피드백 루프는 바이트 분석기(7)에 의해 확인될 수 없지만 애플리케이션 계층의 처리시에만 확인되는 제 1 출현 공격(first appearing attacks)을 위해 설계된다. SIP 스택(16)은 SIP 메시지의 특징적 (non-semantic) 콘텐츠를 서명 간섭 유닛(9)에 보고하여, 전술한 방식으로 새로운 서명의 세트를 생성한다. 이것은, SIP 스택(16)이 의미상 맞지 않는 SIP 메시지를 확인하는 경우, 해당 오류가 복수의 헤더 필드간의 콘텐츠에서만 드러남을 의미한다. SIP 스택(16)이 이들의 비일관성을 발견했으면, 관련 헤더 콘텐츠를 포함하는 보고를 생성하여, 그 보고를 서명 간섭 유닛(9)에 보낸다.
추가 피드백 루프를 갖는 보호 유닛(15)의 2개의 아키텍쳐 변형예를 도 4 및 도 5에서 나타낸다. 제 1 아키텍쳐에서는, 보호 유닛(15)이 보안 경계 노드(2a)에서 구현되고, 제 2 아키텍쳐에서는, 보호 유닛(15)은 분배된 보안 경계 노드 중 하나이며, 집중화된 네트워크 보안 인스턴스(14)를 가진다(도 2 및 도 3과도 비교). 이들 변형에서는, 애플리케이션 계층 레벨 상에서 공격을 확인하기 위한 과정은 다음과 같다. 공격의 제 1 출현은 서명 분석기(5) 또는 바이트 분석기(7)에 의해 확인되지 않는다. 그 후, SIP 스택(16)에서의 SIP 응용 레벨에서 시맨틱 처리(semantic processing)가 공격을 확인하여, SIP 메시지로부터 일부를 추출해서, 이 시퀀스(및 가능한 다른 레이어 3/레이어 4 정보)를 서명 간섭 유닛(9)에 보고한다. 이러한 방식으로 서명의 세트가 업데이트된 후에, 서명 분석 유닛(5)이 유사 메시지의 2차 공격을 검출할 수 있다.
도 2 내지 도 5에 도시한 예에서는, 서명 분석기(5) 및 바이트 분석기(5)는 바이트 분석 및/또는 서명 분석의 감도(sensitivity)를 제어하는 제어 유닛(17)(도 6 및 도 7 참조)에 의해 설정되는 조정 가능한 보안 임계값(17a)을 제공받을 수 있다. 제어 유닛(17)은 공격의 양 및/또는 공격의 특성 예컨대 공격의 타입에 따라 조정 가능한 임계값을 제어하는 제어 소프트웨어로서 구현될 수 있다. 이를 위해, 제어 유닛(17)은 서명 분석기(5), 바이트 분석기(7) 및 SIP 스택(16) 각각의 보고에 포함되는 정보를 수집한다. 제어 유닛(17)은 보안 경계 노드(2a)에서 구현되고, 그 후, 보안 경계 노드(2a)에 의해 수신되는 데이터 스트림(6)만에 따라 보안 레벨을 조정하거나, 또는, 제어 유닛(17)은 집중화된 네트워크 보안 인스턴스(14)의 일부일 수 있어, 보안 임계값의 조정에 대해 상이한 보안 경계 노드(2a~2f)로부터의 보고를 고려하고 있다. 어떠한 경우에는, 공격 표시를 생성하기 위한 임계 레벨은 이력(history) 및 현재 공격 상황에 근거하여 제어될 수 있다.
또한, 도 6 및 도 7에 도시한 바와 같이, 바이트 분석기(7) 및 서명 분석기(5) 각각에 대해, 임계값을 초과하는 경우, SIP 메시지는 통상과 같이 처리되지 않고, 보안된 SIP 스택으로 포워드될 수 있으며, 이는 낮은 처리 우선도로 "샌드박스(sandbox)" 환경하에서 시행된다. SIP 메시지가 어떠한 인식 가능한 공격을 포함하지 않으면, 보안된 SIP 스택(18)은 당해 메시지를 어떤 다른 정당한 메시지로서 처리한다. 보안된 SIP 스택(18)의 처리 피드백(포지티브/네가티브)은 예컨대 제어 유닛(17)에 보고되고, 보안 임계값을 적용하기 위한 보안 감도 결정 레벨을 변형하도록 결정할 수 있다.
도 8(a) 및 도 8(b)에서는, 바이트 분석을 수행하는 2개의 방법이 도시된다. 도 8(a)에서 나타낸 제 1 방식에서는, 바이트 분석기(7)는 데이터 경로(8)에서 인라인 요소(in-line element)로서 제공되며, 이 데이터 경로(8)는 토큰나이저(tokenizer)(19) 및 세션 큐잉 유닛(session queuing unit)(20)을 추가적으로 구비하고 있다. 이 경우, 바이트 분석에 의해 스루풋(throughput)이 줄지 않기 때문에, 처리 활동 및 처리 성능 요구(processing effort and processing performance requirements)가 높다. 따라서, 서명 분석기(5), 바이트 분석기(7) 및 토큰나이저(19)의 체인은 최대 예상 메시지 레이트로 구동될 수 있어야 한다. 바이트 분석기(7)는 "이상(strange)" 메시지를 지시할 수 있어, 세션 큐잉 유닛(20)에게 알려서, 이들 메시지를, 샌드박스에서 구동되는 보안된 SIP 스택(18)에 보낸다. 보안된 SIP 스택(18)은 공격 또는 크래쉬(crashes)라도 확인하는 경우, 이 세션의 메시지가 걸려져 세션 큐(queue)가 폐지된다. 선택적으로, 다른 SIP 스택(도시하지 않음)은 정규 방식으로 세션 또는 클라이언트를 폐쇄하기 위해서, 당해 메시지를 레지스트라(registrar) 또는 S-CSCF(Serving Call Session Control Function)에 보내도록 트리거된다.
도 8(b)에서 도시한 예에서는, 바이트 분석기(7)는 메시지 경로(8) 밖에 배치되고, 바이트 분석은 다른 판정 유닛(21)이 포지티브 결과를 줄 경우에만 제공되어, 판정 유닛(21)의 결과에 따라, 바이트 분석기(7)가 단지 특정 SIP 메시지만을 분석한다. 이들 SIP 메시지는 다른 조사가 수행될 때까지 이들 메시지를 큐잉해야 함을 세션 큐잉 유닛(20)이 알도록 마킹된다. 바이트 분석기(7)는 또한 보안된 SIP 스택(18)의 메시지의 다른 분석을 수행할 것을 판정할 수 있다. 어떤 경우에는, 테스트 결과는 세션 큐잉 유닛(20)에 제공되고, 이 테스트 결과는 바이트 분석기(7)에 의해 처리된 메시지를 드롭(drop) 또는 처리할 것을 지시한다. 바이트 분석기(7)가 메시지가 처리되어야 함을 지시하는 경우에, 어떤 다른 중요하지 않은 메시지로서 처리가 이루어진다. 이러한 솔루션은 전체 처리 활동을 줄이고, 스루풋을 증가시키는 장점이 있지만, 이러한 솔루션의 성공은, 판정 유닛(21)이 서명 분석기(5)의 일부인 경우에, 보안 임계값이 당해 판정에 고려될 수 있기 때문에, 서명 분석의 품질 및 조정 가능한 보안 임계값에 의존한다. 판정 유닛(21)으로의 입력은 또한 메시지의 타입(리퀘스트/리스폰스), SIP 방법, 메시지를 보내는 네트워크의 네트워크 ID, 호출 ID와 같은 SIP 헤더, 하나 이상의 이전 SIP 메시지 또는 방법에 대한 SIP 스택으로부터의 피드백, 또는 트랜잭션 ID(transaction ID)를 포함할 수 있다.
도 9는 바이트 분석기(7)에서 보안 임계값(17a)이 어떻게 유리하게 이용될 수 있는지를 나타내며, 바이트 분석기는 병렬 멀티-바이트 시퀀스 분석기로서 구현되고, 디스패칭/카핑 유닛(22) 및 상이한 길이를 갖는 스트링을 분석하는 다수의 스트링 분석 유닛(도 9에서는 3개의 스트링 유닛(23a~23c)으로 나타내어져 있음), 및 제어 유닛(17)에 의해 바이트 분석기(7)로 제공되는 보안 임계값(17a)에 따라 스트링 분석 유닛(23a~23c)의 결과를 가중 처리하는 가중 처리 판정기(24)를 가지며, 이에 따라 현재의 공격 상황에 근거하여 바이트 분석을 적응하고 있다.
도 2 내지 도 8에 도시된 예 중 어느 한 예에서는, 바이트 분석기(7)와, 서명 분석기(5) 및 핀홀(pinhole)(25)간의 피드백은 예컨대 도 10에 나타낸 방식으로 수행될 수 있다. 즉, 서명 분석기(5)는 핀홀 블록(25)을 제어하여 전용 5-투플(dedicated 5-tuple)로부터 수신되는 메시지를 필터링하고, 서명 분석기의 임의의 보안 임계값(도시하지 않음)이 초과되면 서명 분석기(5)가 이 전용 블록킹만을 수행한다. 서명 분석기(5) 및 바이트 시퀀스 분석기(7)가 영구적인 잘못된 메시지를 나타내는 경우에는, 핀홀 모듈(25)은 (주어진 시간 동안) 핀홀을 폐쇄하도록 제어될 수 있다.
또한 바이트 분석기(7)로부터 이전 기능 모듈까지 유사한 피드백이 존재한다. 서명 분석기(5)로의 피드백은 서명 분석기(5)로부터의 "메시지 체크(check message" 요청의 변조(falsification) 또는 검증의 일종이다. 이것은 전용 세션에 대한 임계값을 증가시키거나 감소시키게 하며, 이 경우 서명 분석기(5)는 판정 유닛으로서 이용될 수 있다. 예컨대 동일한 세션에 대해 바이트 분석기(7)로의 몇몇 메시지 체크 요청이 항상 "확인된 공격 없음"의 결과를 낳으면, 서명 분석기(5)는 이 세션에 대해 추가 체크를 수행하게 되는 임계값을 증가시킬 수 있다.
마지막으로, 도 11 및 도 12에 있어서, 도 2 내지 도 10에 도시한 빌딩 블록(building blocks)은 크로스-레이어(cross-layer) 및 멀티-전략 보안 아키텍쳐를 구현하는 보호 유닛(14)의 2가지 유리한 예를 구현하기 위해 조합된다.
도 11에서 나타낸 예에서는, 도 8(a)에 대해 설명한 방식으로 바이트 분석이 데이터 경로(8)에서 행해지고, 세션 큐잉 유닛(20)은 "이상(strange)"으로 판정되어 처리를 위해 보안 SIP 스택(18)에 보내지는 SIP 메시지에 낮은 순위를 부여하는 우선 순위 스케줄러(priority scheduler)(20a)를 구비한다. SIP 메시지는 바이트 분석기(7)에 의해 "이상"으로 판정되지 않으면, 보호되지 않는 SIP 스택(16)에 보내지고, 상위 우선도로 처리된다.
도 12의 예시적 실시예에서는, 바이트 분석기(7)는 데이터 경로(8)를 이탈하여 배치되며, 서명 분석기(5)는 데이터 스트림(6)에 포함되는 어떤 SIP 메시지가 바이트 분석기(7)에 의해 체크될 것인지를 판정하기 위한 판정 유닛(도시하지 않음)을 구비한다. 이 경우, 세션 큐잉 유닛(20)은 바이트 분석이 수행되는 SIP 메시지를 줄세우고, 줄세워진 메시지는 도 8b를 참조하여 더 상세히 설명한 바와 같이 바이트 분석의 결과에 따라 드롭되거나 처리된다.
이들 두가지 경우에, 서명 분석기(5) 및 바이트 분석기(7)의 보안 임계값은 설명의 간략화를 위해 도 11 및 도 12에 도시하지 않은 제어 유닛에 의해 제어될 수 있다.
당업자라면, 보안 경계 노드의 진입 포트에 최고 라인의 속도 처리 모듈을 배치하는데 유리하기 때문에, 도 11 및 도 12의 기능 블록이 도 11 및 도 12에 도시한 바와 같이 보안 경계 노드(2a)에 국부적으로 위치할 필요가 없음을 알 수 있을 것이다. 특히, 토큰나이저(19), 세션 큐잉 유닛(20), 우선 순위 스케줄러(20a) 및 특히 SIP 스택(16) 및 보안 SIP 스택(18)은 (보안 경계 노드)에 더 집중화되어 배치되거나 집중화된 네트워크 보안 인스턴스(14)와 같은 집중화된 네트워크 요소에서 균등하게 배치될 수 있다. 또한, 도 11 및 도 12에 도시한 보호 유닛(15)의 분배 아키텍쳐를 이용하는 대신에, 도 2 및 도 4를 참조하여 설명한 바와 같이, 보안 경계 노드(2a)에 전체 보호 유닛(15)을 통합시킬 수도 있음을 이해할 것이다.
요컨대, 전술한 바와 같은 종류의 보호 유닛을 제공함으로써, 하나 또는 제한된 수의 코어 네트워크 포트에서 검출되는 네트워크 공격에 대향하여 컴퓨터 네트워크를 효율적으로 보호하고, 또한 다른 네트워크 포트로 서명을 빠르게 분배할 수 있다. 보호 유닛은, 네트워크 내부의 임의의 노드에서 보호 유닛을 구현하는 것이 유리한 경우도 있으므로, 네트워크의 보안 경계 노드에서 반드시 구현될 필요는 없음을 이해할 것이다. 마지막으로, 당업자라면, 전술한 예에서는 SIP 메시지의 처리가 설명되었지만, 전술한 개념이 애플리케이션 계층의 시그널링에 이용되는 다른 종류의 애플리케이션 계층 제어 메시지에 적용될 수 있음을 이해할 것이다. 또한, 바이트 분석을 참조하여 이상 검출을 설명하였지만, 다른 타입의 통계적 분석 또는 기계 학습(machine learning) 등과 같은 다른 이상 검출 방법에 근거하는, 이상 검출을 수행하는 다른 방식도 존재함을 이해할 것이다.
전술한 바람직한 실시예들은 예로서 설명되었다. 상기 개시 내용으로부터, 당업자라면, 본 발명 및 그에 따른 효과를 이해할 수 있을 뿐만 아니라, 개시된 구성 및 방법에 대해 다양한 변형 및 변경을 명확하게 찾아낼 것이다. 따라서, 본 출원인은, 첨부한 특허청구범위 및 그의 동가물에 의해 규정되는 바와 같이, 본 발명의 사상 및 범위를 벗어나지 않는 범위 내에서의 그러한 모든 변형 및 변경을 포함한다.
Claims (11)
- 공격으로부터 패킷 기반 네트워크(1)를 보호하는 방법으로서,
공격을 검출하기 위해 상기 네트워크(1)의 보안 경계 노드(security border node)(2a)에서 수신되는 패킷 스트림(6)의 서명과 이전에 확인된 공격의 서명 세트를 비교함으로써 상기 패킷 스트림(6)에 대한 서명 분석(signature analysis)을 수행하는 단계와,
상기 패킷 스트림(6)에서의 이상(anomalies)을 검출하기 위해 상기 패킷 스트림(6)의 적어도 일부에 대한 이상 검출을 수행하는 단계와,
상기 패킷 스트림에서의 이상이 검출되면 상기 서명 세트를 업데이트하는 단계 - 상기 업데이트된 서명 세트(12)는 이후에 상기 서명 분석의 수행에 이용됨 - 와,
상기 업데이트된 서명 세트(12)의 적어도 하나의 서명을 상기 네트워크(1)의 적어도 하나의 다른 보안 경계 노드(2b~2f)에 분배하는 단계와,
상기 패킷 스트림(6)의 애플리케이션 계층 제어 메시지의 시맨틱 처리(semantic processing)에 의해 이상 검출을 수행하는 단계와,
의미상 맞지 않는 애플리케이션 계층 제어 메시지를 확인하고, 상기 확인된 의미상 맞지 않는 애플리케이션 계층 제어 메시지의 특성 콘텐츠(characteristic content)로부터 새로운 서명 패턴을 생성함으로써 상기 서명 세트를 업데이트하는 단계를 포함하는
패킷 기반 네트워크 보호 방법.
- 제 1 항에 있어서,
상기 공격의 검출 및 상기 이상 검출 중 적어도 하나를 위한 보안 임계값(17a)을 이용하여 상기 서명 분석 및 상기 이상 검출 중 적어도 하나의 감도를 제어하는 단계를 더 포함하고,
상기 보안 임계값(17a)은 상기 공격의 횟수를 포함한 상기 공격의 적어도 하나의 특성에 따라 조정되는
패킷 기반 네트워크 보호 방법.
- 제 2 항에 있어서,
상기 이상 검출은 병렬 멀티-시퀀스 바이트 분석(parallel multi-sequence byte analysis)으로서 수행되고,
상기 바이트 시퀀스 분석의 가중치(weights)는 상기 보안 임계값(17a)에 따라 제어되는
패킷 기반 네트워크 보호 방법.
- 공격으로부터 패킷 기반 네트워크(1)를 보호하는 보호 유닛(15)으로서,
상기 네트워크(1)의 보안 경계 노드(2a)에서 수신된 패킷 스트림(6)을 분석하고, 상기 패킷 스트림(6)의 서명과 이전에 확인된 공격의 서명 세트를 비교함으로써 공격을 검출하는 서명 분석기(5)와,
상기 패킷 스트림(6)에서의 이상을 검출하기 위한 통계 분석기(7)를 포함한 이상 검출기와,
상기 패킷 스트림(6)에서의 이상이 검출되면 상기 서명 세트를 업데이트하는 서명 간섭 유닛(9) - 상기 업데이트된 서명 세트(12)는 이후에 상기 서명 분석기(5)가 서명 분석을 수행하는 데에 이용됨 - 와,
상기 업데이트된 서명 세트(12)의 적어도 하나의 서명을, 상기 패킷 기반 네트워크(1)의 적어도 하나의 다른 보안 경계 노드(2b~2f)에 분배하는 분배 유닛(13)과,
상기 패킷 스트림(6)에 포함되는 애플리케이션 계층 제어 메시지의 시맨틱 처리에 의해 이상 검출을 수행하고, 의미상 맞지 않는 애플리케이션 계층 제어 메시지를 확인하는 시그널링 스택(16)을 포함하고,
상기 서명 간섭 유닛(9)은 상기 확인된 의미상 맞지 않는 애플리케이션 계층 제어 메시지의 특성 콘텐츠로부터 새로운 서명 패턴을 생성하도록 구성된
보호 유닛.
- 제 4 항에 있어서,
상기 공격의 검출 및 상기 이상 검출 중 적어도 하나를 위한 보안 임계값(17a)을 이용하여 상기 서명 분석기(5) 및 상기 이상 검출기 중 적어도 하나의 감도를 제어하는 제어 유닛(17)을 더 포함하고,
상기 보안 임계값(17a)은 상기 공격의 횟수를 포함한 상기 공격의 적어도 하나의 특성에 따라 조정되는
보호 유닛.
- 제 5 항에 있어서,
상기 이상 검출기는 병렬 멀티-시퀀스 바이트 분석기(7)이고,
바이트 시퀀스 분석의 가중치는 상기 보안 임계값(17a)에 따라 제어되는
보호 유닛.
- 제 5 항에 있어서,
상기 패킷 스트림(6)에 포함되는 애플리케이션 계층 제어 메시지를 처리하기 위한 보안 SIP 스택(18)을 포함한 보안 시그널링 스택을 더 포함하고,
상기 보안 시그널링 스택에서 처리되어야 하는 메시지에 대한 판정은 상기 보안 임계값(17a)에 따라 이루어지는
보호 유닛.
- 제 4 항에 있어서,
상기 이상 검출이 행해져야 하는 상기 패킷 스트림(6)에 포함되는 SIP 메시지를 포함한 상기 메시지에 대한 판정을 행하는 판정 유닛(21)과,
상기 이상 검출이 수행되는 메시지를 줄세우는(queuing up) 세션 큐잉 유닛(session queuing unit)(20)을 더 포함하고,
상기 줄세워진 메시지는 상기 이상 검출의 결과에 따라 드롭(drop)되거나 처리되는
보호 유닛.
- 제 4 항에 있어서,
상기 패킷 스트림(6)으로부터 메시지를 드롭하기 위한 핀홀(pinhole)(25)을 더 포함하고,
상기 핀홀(25)은 상기 이상 검출기(7) 및 상기 서명 분석기(5) 중 어느 하나에 의해 피드백 루프 내에서 제어되는
보호 유닛.
- 패킷 기반 네트워크(1)를 위한 보안 경계 노드(2a)로서,
제 4 항의 보호 유닛(15)을 포함하는
보안 경계 노드.
- 패킷 기반 네트워크(1)로서,
제 4 항의 보호 유닛(15)을 적어도 2개 포함하고,
상기 보호 유닛(15)은 상기 네트워크(1)의 중앙 네트워크 보안 인스턴스(centralized network security instance)(14) 내에 배치되는 공통 서명 간섭 유닛(9)을 갖는
패킷 기반 네트워크.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP08290395.6A EP2112803B1 (en) | 2008-04-22 | 2008-04-22 | Attack protection for a packet-based network |
EP08290395.6 | 2008-04-22 | ||
PCT/EP2009/054718 WO2009130203A1 (en) | 2008-04-22 | 2009-04-21 | Attack protection for a packet-based network |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20110013370A KR20110013370A (ko) | 2011-02-09 |
KR101143097B1 true KR101143097B1 (ko) | 2012-05-08 |
Family
ID=40011300
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020107023580A KR101143097B1 (ko) | 2008-04-22 | 2009-04-21 | 패킷 기반 네트워크 보호 방법, 보호 유닛, 보안 경계 노드 및 패킷 기반 네트워크 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8601564B2 (ko) |
EP (1) | EP2112803B1 (ko) |
JP (1) | JP5320458B2 (ko) |
KR (1) | KR101143097B1 (ko) |
CN (1) | CN101582905B (ko) |
WO (1) | WO2009130203A1 (ko) |
Families Citing this family (42)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
NL2002694C2 (en) * | 2009-04-01 | 2010-10-04 | Univ Twente | Method and system for alert classification in a computer network. |
US8489534B2 (en) * | 2009-12-15 | 2013-07-16 | Paul D. Dlugosch | Adaptive content inspection |
FI20096394A0 (fi) | 2009-12-23 | 2009-12-23 | Valtion Teknillinen | Tunkeutumisen havaitseminen viestintäverkoissa |
EP2369529A1 (en) * | 2010-03-24 | 2011-09-28 | Alcatel Lucent | A method of detecting anomalies in a message exchange, corresponding computer program product, and data storage device therefor |
US9455892B2 (en) * | 2010-10-29 | 2016-09-27 | Symantec Corporation | Data loss monitoring of partial data streams |
US8862522B1 (en) | 2010-12-14 | 2014-10-14 | Symantec Corporation | Incremental machine learning for data loss prevention |
US9015082B1 (en) | 2010-12-14 | 2015-04-21 | Symantec Corporation | Data quality assessment for vector machine learning |
US8682814B2 (en) * | 2010-12-14 | 2014-03-25 | Symantec Corporation | User interface and workflow for performing machine learning |
US9094291B1 (en) | 2010-12-14 | 2015-07-28 | Symantec Corporation | Partial risk score calculation for a data object |
US8984627B2 (en) * | 2010-12-30 | 2015-03-17 | Verizon Patent And Licensing Inc. | Network security management |
US9813449B1 (en) * | 2012-08-10 | 2017-11-07 | Lookwise S.L. | Systems and methods for providing a security information and event management system in a distributed architecture |
US9392003B2 (en) | 2012-08-23 | 2016-07-12 | Raytheon Foreground Security, Inc. | Internet security cyber threat reporting system and method |
US9692771B2 (en) * | 2013-02-12 | 2017-06-27 | Symantec Corporation | System and method for estimating typicality of names and textual data |
EP2819365A1 (en) * | 2013-06-24 | 2014-12-31 | Alcatel Lucent | Network traffic inspection |
US9628507B2 (en) * | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
US10601654B2 (en) | 2013-10-21 | 2020-03-24 | Nyansa, Inc. | System and method for observing and controlling a programmable network using a remote network manager |
US9485262B1 (en) * | 2014-03-28 | 2016-11-01 | Juniper Networks, Inc. | Detecting past intrusions and attacks based on historical network traffic information |
CN111835708A (zh) * | 2014-12-30 | 2020-10-27 | 华为技术有限公司 | 一种特征信息分析方法及装置 |
US10756929B2 (en) * | 2015-04-07 | 2020-08-25 | Umbra Technologies Ltd. | Systems and methods for providing a global virtual network (GVN) |
US10320813B1 (en) * | 2015-04-30 | 2019-06-11 | Amazon Technologies, Inc. | Threat detection and mitigation in a virtualized computing environment |
CN106302318A (zh) | 2015-05-15 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种网站攻击防御方法及装置 |
US10154053B2 (en) * | 2015-06-04 | 2018-12-11 | Cisco Technology, Inc. | Method and apparatus for grouping features into bins with selected bin boundaries for use in anomaly detection |
US10326793B2 (en) * | 2015-06-10 | 2019-06-18 | RunSafe Security, Inc. | System and method for guarding a controller area network |
US10193741B2 (en) | 2016-04-18 | 2019-01-29 | Nyansa, Inc. | System and method for network incident identification and analysis |
US10230609B2 (en) | 2016-04-18 | 2019-03-12 | Nyansa, Inc. | System and method for using real-time packet data to detect and manage network issues |
US10200267B2 (en) | 2016-04-18 | 2019-02-05 | Nyansa, Inc. | System and method for client network congestion detection, analysis, and management |
US10200259B1 (en) * | 2016-09-21 | 2019-02-05 | Symantec Corporation | Systems and methods for detecting obscure cyclic application-layer message sequences in transport-layer message sequences |
US10348650B2 (en) | 2017-04-17 | 2019-07-09 | At&T Intellectual Property I, L.P. | Augmentation of pattern matching with divergence histograms |
RU2649789C1 (ru) * | 2017-07-17 | 2018-04-04 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Способ защиты вычислительных сетей |
US10666494B2 (en) | 2017-11-10 | 2020-05-26 | Nyansa, Inc. | System and method for network incident remediation recommendations |
US10931696B2 (en) | 2018-07-13 | 2021-02-23 | Ribbon Communications Operating Company, Inc. | Communications methods and apparatus for dynamic detection and/or mitigation of threats and/or anomalies |
US10659484B2 (en) * | 2018-02-19 | 2020-05-19 | Cisco Technology, Inc. | Hierarchical activation of behavioral modules on a data plane for behavioral analytics |
US10949749B2 (en) * | 2018-07-13 | 2021-03-16 | Ribbon Communications Operating Company, Inc. | Methods, systems and apparatus for using session, device and/or user signatures |
US10944776B2 (en) | 2018-07-13 | 2021-03-09 | Ribbon Communications Operating Company, Inc. | Key performance indicator anomaly detection in telephony networks |
US10949750B2 (en) * | 2018-07-13 | 2021-03-16 | Ribbon Communications Operating Company, Inc. | Methods, systems and apparatus for using session, device and/or user signatures |
CN108965336B (zh) * | 2018-09-10 | 2021-03-23 | 杭州迪普科技股份有限公司 | 一种攻击检测方法及装置 |
CN111414370A (zh) * | 2019-01-07 | 2020-07-14 | 北京智融网络科技有限公司 | 一种特征库更新方法和系统 |
CN110650134B (zh) * | 2019-09-20 | 2021-09-28 | 腾讯科技(深圳)有限公司 | 一种信号处理方法、装置、电子设备以及存储介质 |
US11792213B2 (en) | 2021-05-18 | 2023-10-17 | Bank Of America Corporation | Temporal-based anomaly detection for network security |
US11799879B2 (en) | 2021-05-18 | 2023-10-24 | Bank Of America Corporation | Real-time anomaly detection for network security |
US11588835B2 (en) | 2021-05-18 | 2023-02-21 | Bank Of America Corporation | Dynamic network security monitoring system |
CN115408574A (zh) * | 2021-05-28 | 2022-11-29 | 南宁富联富桂精密工业有限公司 | 数据分析方法、装置及计算机可读存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003029934A1 (en) * | 2001-09-28 | 2003-04-10 | British Telecommunications Public Limited Company | Agent-based intrusion detection system |
KR20060067124A (ko) * | 2004-12-14 | 2006-06-19 | 한국전자통신연구원 | 가입자 네트워크 정보 보호 수준 평가를 위한 방법 및 그장치 |
KR100615080B1 (ko) | 2005-12-15 | 2006-08-25 | 주식회사 정보보호기술 | 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3731111B2 (ja) * | 2001-02-23 | 2006-01-05 | 三菱電機株式会社 | 侵入検出装置およびシステムならびにルータ |
US7444679B2 (en) * | 2001-10-31 | 2008-10-28 | Hewlett-Packard Development Company, L.P. | Network, method and computer readable medium for distributing security updates to select nodes on a network |
JP3928866B2 (ja) * | 2003-04-18 | 2007-06-13 | 日本電信電話株式会社 | DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体 |
US7603716B2 (en) * | 2004-02-13 | 2009-10-13 | Microsoft Corporation | Distributed network security service |
DE602004002198T2 (de) * | 2004-06-07 | 2007-07-19 | Alcatel Lucent | Verfahren und Vorrichtung zur Verhinderung von Angriffen auf einen Call-Server |
US8065722B2 (en) * | 2005-03-21 | 2011-11-22 | Wisconsin Alumni Research Foundation | Semantically-aware network intrusion signature generator |
JP2006352831A (ja) * | 2005-05-20 | 2006-12-28 | Alaxala Networks Corp | ネットワーク制御装置およびその制御方法 |
WO2007019583A2 (en) | 2005-08-09 | 2007-02-15 | Sipera Systems, Inc. | System and method for providing network level and nodal level vulnerability protection in voip networks |
DE102005055148B4 (de) * | 2005-11-18 | 2008-04-10 | Siemens Ag | Verfahren, Detektionseinrichtung und Servereinrichtung zur Auswertung einer eingehenden Kommunikation an einer Kommunikationseinrichtung |
US8141156B1 (en) * | 2005-12-28 | 2012-03-20 | At&T Intellectual Property Ii, L.P. | Method and apparatus for mitigating routing misbehavior in a network |
WO2008023423A1 (fr) * | 2006-08-24 | 2008-02-28 | Duaxes Corporation | Système de gestion de communication et procédé de gestion de communication associé |
FR2909823B1 (fr) * | 2006-12-06 | 2012-12-14 | Soc Fr Du Radiotelephone Sfr | Procede et systeme de gestion de sessions multimedia, permettant de controler l'etablissement de canaux de communication |
-
2008
- 2008-04-22 EP EP08290395.6A patent/EP2112803B1/en active Active
-
2009
- 2009-04-21 WO PCT/EP2009/054718 patent/WO2009130203A1/en active Application Filing
- 2009-04-21 JP JP2011505484A patent/JP5320458B2/ja active Active
- 2009-04-21 KR KR1020107023580A patent/KR101143097B1/ko active IP Right Grant
- 2009-04-22 CN CN2009101497186A patent/CN101582905B/zh active Active
- 2009-04-28 US US12/387,121 patent/US8601564B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003029934A1 (en) * | 2001-09-28 | 2003-04-10 | British Telecommunications Public Limited Company | Agent-based intrusion detection system |
KR20060067124A (ko) * | 2004-12-14 | 2006-06-19 | 한국전자통신연구원 | 가입자 네트워크 정보 보호 수준 평가를 위한 방법 및 그장치 |
KR100615080B1 (ko) | 2005-12-15 | 2006-08-25 | 주식회사 정보보호기술 | 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법 |
Also Published As
Publication number | Publication date |
---|---|
JP5320458B2 (ja) | 2013-10-23 |
KR20110013370A (ko) | 2011-02-09 |
CN101582905A (zh) | 2009-11-18 |
WO2009130203A1 (en) | 2009-10-29 |
EP2112803A1 (en) | 2009-10-28 |
US20090265778A1 (en) | 2009-10-22 |
US8601564B2 (en) | 2013-12-03 |
CN101582905B (zh) | 2012-10-17 |
JP2011519533A (ja) | 2011-07-07 |
EP2112803B1 (en) | 2013-12-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101143097B1 (ko) | 패킷 기반 네트워크 보호 방법, 보호 유닛, 보안 경계 노드 및 패킷 기반 네트워크 | |
EP2619958B1 (en) | Ip prioritization and scoring method and system for ddos detection and mitigation | |
Sahay et al. | ArOMA: An SDN based autonomic DDoS mitigation framework | |
US9130977B2 (en) | Techniques for separating the processing of clients' traffic to different zones | |
US9432389B1 (en) | System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object | |
US9800608B2 (en) | Processing data flows with a data flow processor | |
US20110231564A1 (en) | Processing data flows with a data flow processor | |
US20110238855A1 (en) | Processing data flows with a data flow processor | |
US20110213869A1 (en) | Processing data flows with a data flow processor | |
WO2016191232A1 (en) | Mitigation of computer network attacks | |
Ageyev et al. | Method of self-similar load balancing in network intrusion detection system | |
Krishnan et al. | OpenStackDP: a scalable network security framework for SDN-based OpenStack cloud infrastructure | |
KR101042291B1 (ko) | 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법 | |
KR101250899B1 (ko) | 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법 | |
Volkov et al. | Network attacks classification using Long Short-term memory based neural networks in Software-Defined Networks | |
KR20100072975A (ko) | 플로우 및 세션 기반의 네트워크 트래픽 관리 장치 및 그 방법 | |
Sree et al. | Detection of http flooding attacks in cloud using dynamic entropy method | |
EP2112800B1 (en) | Method and system for enhanced recognition of attacks to computer systems | |
Karnani et al. | A comprehensive survey on low-rate and high-rate DDoS defense approaches in SDN: taxonomy, research challenges, and opportunities | |
Hariri et al. | Quality-of-protection (QoP)-an online monitoring and self-protection mechanism | |
Jansky et al. | Hunting sip authentication attacks efficiently | |
Rezaei et al. | A Novel Framework for DDoS Detectionin Huge Scale Networks, Thanksto QoS Features | |
Rezaei et al. | A heterogeneous defense method using fuzzy decision making | |
Fugkeaw et al. | A Resilient Cloud-based DDoS Attack Detection and Prevention System | |
Moorthy et al. | Intrusion detection in cloud computing implementation of (saas & iaas) using grid environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20150422 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20180420 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20190328 Year of fee payment: 8 |