KR101202212B1 - 통신 네트워크를 위한 침입 방지 방법 및 시스템 - Google Patents

통신 네트워크를 위한 침입 방지 방법 및 시스템 Download PDF

Info

Publication number
KR101202212B1
KR101202212B1 KR1020107029497A KR20107029497A KR101202212B1 KR 101202212 B1 KR101202212 B1 KR 101202212B1 KR 1020107029497 A KR1020107029497 A KR 1020107029497A KR 20107029497 A KR20107029497 A KR 20107029497A KR 101202212 B1 KR101202212 B1 KR 101202212B1
Authority
KR
South Korea
Prior art keywords
component
decision
network elements
network
dmc
Prior art date
Application number
KR1020107029497A
Other languages
English (en)
Other versions
KR20110015024A (ko
Inventor
파스콸레 도나디오
안드레아 파파렐라
로베르토 리글리에티
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20110015024A publication Critical patent/KR20110015024A/ko
Application granted granted Critical
Publication of KR101202212B1 publication Critical patent/KR101202212B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Radar Systems Or Details Thereof (AREA)
  • Burglar Alarm Systems (AREA)

Abstract

복수의 네트워크 요소들을 포함하는 통신 네트워크를 위한 침입-방지 방법이 개시된다. 상기 방법은 다음의 단계들: a) 수동 모니터링 구성요소, 결정 수행 구성요소 및 통신 네트워크와 상호 동작하는 동작 수행 구성요소를 제공하는 단계; b) 상기 수동 모니터링 구성요소에서, 적어도 하나의 네트워크 요소에 대한 공격을 나타내는 관리 정보를 검출하고, 관리 정보를 프로세싱하여 감염 데이터를 생성하고, 감염 데이터를 결정 수행 구성요소로 송신하는 단계; c) 상기 결정 수행 구성요소에서, 감염 데이터를 수신하고, 공격을 차단하도록 수행될 동작에 대한 결정을 행하고, 상기 결정을 동작 수행 구성요소로 송신하는 단계; 및 d) 상기 동작 수행 구성요소에서, 상기 결정에 기초하여, 적어도 하나의 네트워크 요소에 상기 동작을 실행하도록 명령하는 단계를 포함한다.

Description

통신 네트워크를 위한 침입 방지 방법 및 시스템{ANTI-INTRUSION METHOD AND SYSTEM FOR A COMMUNICATION NETWORK}
본 발명은 통신 시스템들의 분야에 관한 것이다. 특히, 본 발명은 통신 네트워크를 위한 침입-방지(anti-intrusion) 방법 및 시스템에 관한 것이다.
공지되어 있는 바와 같이, 통신 네트워크는 세 개의 논리 주 평면(logical main plane)들, 즉, 이용자 데이터를 송신하는데 적합한 평면인 데이터 평면(data plane), 제어 동작들을 수행하는데 적합한 평면인 제어 평면, 및 관리 동작들을 수행하는데 적합한 평면인 관리 평면을 포함한다.
통신 네트워크를 관리하는 것은 예를 들어:
- 네트워크 성능을 모니터링(monitoring)하고;
- 네트워크 요소들 및 이들의 자원들(보드(board)들, 포트(port)들, 교차 접속들 등)을 구성하고;
- 네트워크 내에서 발생하는 에러들을 관리하는 것; 등과 같은 다수의 동작들을 수행하도록 제공된다.
전형적으로, 관리 동작들은, 관리될 네트워크의 각각의 네트워크 요소에 접속되는 "네트워크 관리 스테이션(station) 또는 시스템"(또는 간략하게 NMS(Network management station or system))으로 칭해지는 장치에 의해 수행된다.
특히, NMS에는 "에이전트(agent)"라 칭해지는 소프트웨어 애플리케이션들과 정보를 교환할 수 있는, "관리자(manager)"라 칭해지는 소프트웨어 애플리케이션이 제공되고, 상기 에이전트들은 네트워크 요소들에 배치된다. 관리자 및 에이전트들은 관리 평면에서 실행되고 통신 네트워크의 유형에 좌우되는 관리 프로토콜을 이용함으로써 서로 관리 정보를 교환한다. 관리 프로토콜의 예들은 SNMP(Simple Network Management Protocol), CMIP(Common Management Information Protocol), Q3, 및 TL1이다.
이들의 기능으로 인해, 제어 평면 및 관리 평면은 특히 소위 "해커들"에 의해 공격을 당하게 된다. 다음의 설명 및 청구항들에서, 용어 "공격(attack)"은 승인되지 않은 소프트웨어를 통신 네트워크 내에 도입하고/하거나 통신 네트워크를 관리하고 제어하는 관리 및 제어 소프트웨어를 승인되지 않은 방식으로 조작하려는 해커에 의한 시도를 나타낼 것이다. 가능한 공격들의 유형들은:
- DOS(Denial of Services) 공격들, 이는 실질적으로 비효율을 발생시키셔, 네트워크 요소의 오작동을 발생시키는 것을 목적으로 한다;
- 악성코드 재생들(malware reproductions), 이는 네트워크 요소 내의 소위 "백도어(backdoor)"를 개방함으로써, 승인되지 않은 액세스들을 선호하게 하는 것을 목적으로 한다;
- 트로이 목마들, 웜(worm)들, 키 로거(key logger)들, 및 바이러스의 확산
이 있다.
일반적으로 말해서, 데이터 평면은 네트워크 요소들의 소프트웨어 애플리케이션들과 절대 상호작용하지 않기 때문에, 그만큼 안전하다. 달리 말하면, 이용자 데이터는 데이터 평면에서 투명 방식(transparent way)으로 전송, 즉, 네트워크 요소들의 소프트웨어 애플리케이션들은 이용자 데이터를 프로세싱하지 않는다.
다음의 설명 및 청구항들에서, 표현 "침입-방지 메커니즘-시스템-방법"은 공격을 당하는 하나 이상의 네트워크 요소들을 네트워크의 다른 네트워크 요소들과 분리하는데 적합하고, 통신 네트워크에서 구현되는 메커니즘-시스템-방법을 나타낼 것이다. 공격을 받은 네트워크 요소는 또한 "감염된 네트워크 요소"를 나타낼 것이다(Un elemento di rete soggetto ad un attacco verra anche indicato "elemento di rete infetto).
상기 기술에서는, 예를 들어 비대칭 암호화(asymmetric cryptography), 일방향 해쉬 함수(one-way hash function)들 등과 같은 다수의 침입-방지 메커니즘이 공지되어 있다. 이 공지되어 있는 침입-방지 메커니즘들은 모든 사람에 의해 공지되어 있는 전형적인 공용 코딩/디코딩 키, 및 비밀이 유지되어 있는 사설 코딩/디코딩 키와 같은, 코딩/디코딩 키들을 전형적으로 제공한다. 공용 및 사설 코딩/디코딩 키들은 서로 관련되어 있다. 특히, 공용 코딩 키에 의해 코딩되는 정보는 대응하는 사설 디코딩 키에 의해서만 디코딩될 수 있고, 역으로 사설 코딩 키에 의해 코딩된 정보는 대응하는 공용 디코딩 키에 의해서만 디코딩될 수 있다.
출원인은 통신 네트워크들의 분야에서 웹 기술에 기초하여 관리 시스템들을 제공하는 것이 바람직하다는 것을 인지하였다. 이것은 주로 이 방식으로 동작하는 관리 시스템들이 유용하게도 모질라, 인터넷 익스플로러 등과 같이 웹(흔히 "웹 브라우저들"이라 칭해지는)을 브라우징하기 위한 현재 컴퓨터 프로그램들의 그래픽 인터페이스들과 유사한 관리 그래픽 인터페이스들을 이용하는 것을 가능하게 하기 때문이다.
출원인은 그러므로 관리 시스템이 NMS에 의해 실행되는 브라우저를 통해 구현될 수 있고 웹형 관리 그래픽 인터페이스(web-like management graphical interface)를 지원할 수 있으며, 관리 정보가 웹 인터페이스들, 즉, 원도들, 아이콘들 등을 대표하는 그래픽 오브젝트(graphic object)들로 디스플레이된다는 것을 인지하였다.
"오픈-소스(open-source)" 소프트웨어의 훨씬 더 광범위한 이용과 함께, 웹 기술에 기초한 네트워크 관리 시스템을 이용함으로써 네트워크 요소들의 취약점들이 증가하는 결과가 초래되었다. 그러므로, 한편으로는 웹 기술에 기초한 관리 시스템들의 개발이 통신 네트워크의 액세스 가능성의 측면에서 이점들을 가져오지만, 다른 한편으로는, 상기 개발이 통신 네트워크들을 불리하게 함으로써, 특히 상술한 제어 평면 및 관리 평면이 "해커"들에 의한 공격들에 더욱 취약해진다.
출원인은 공지되어 있는 침입-방지 메커니즘들이 상술한 통신 네트워크의 관리 시스템에 적용될 때 다수의 결점들을 가지는 것을 인지하였다.
우선, 공지되어 있는 침입-방지 메커니즘들은 결정의 관점에서 수동 메커니즘(passive mechanism)들이다. 즉, 이 메커니즘들은 네트워크 내의 비정상 트래픽(anomalous traffic)을 검출하고, 여기서 비정상 트래픽은 일반적으로 통신 네트워크가 공격을 당하고 있음을 나타내고 상기 메커니즘들은 운영자에게 시각 및/또는 청각 알람 신호를 송신한다. 차례로, 운영자는 예를 들어 비정상 트래픽이 통과하여 이동되는 포트들을 폐쇄함으로써 감염된 네트워크 요소를 분리함으로써 트래픽을 중단하고, 상기 운영자는 네트워크를 분석함으로써 이상의 원인을 검출한다. 그러므로, 이 메커니즘들은 공격의 검출 시간 및 감염된 네트워크 요소가 운영자의 개입에 의해 분리되는 시간 사이에 지연을 제공한다. 이때, 불리하게도, 운영자는 피해가 이미 특정하게 퍼져 있을 때 개입할 수 있다.
둘째로, 공지되어 있는 침입-방지 메커니즘들은 이용되는 계산 자원들의 측면에서 부담이 된다.
더욱이, 예를 들어 해커가 통신 네트워크의 관리 평면에 진입하는 경우, 그 해커는 네트워크 요소들의 관리 구성을 변경할 수 있다. 기존 침입-방지 메커니즘들은 전체 네트워크 요소들, 그에 따라 또한 이용자 데이터 프로세싱을 중단시킴으로써 불리하게 동작한다.
그러므로, 출원인은 상술한 결점들 중 적어도 하나를 극복할 수 있는 통신 네트워크를 위한 침입-방지 방법 및 시스템을 제공하는 문제에 직면하였다.
특히, 출원인은 공격의 검출 시간 및 감염된 네트워크 요소가 다른 네트워크 요소들로부터 분리되는 시간 사이의 특히 감소된 지연을 제공하는 통신 네트워크를 위한 침입-방지 방법 및 시스템을 제공하는 문제에 직면하였다.
제 1 양태에 따르면, 본 발명은 복수의 네트워크 요소들을 포함하는 통신 네트워크를 위한 침입-방지 방법을 제공하고, 상기 방법은 다음의 단계들:
a) 수동 모니터링 구성요소, 결정 수행 구성요소 및 통신 네트워크와 상호 동작하는 동작 수행 구성요소를 제공하는 단계;
b) 상기 수동 모니터링 구성요소에서, 복수의 네트워크 요소들 중 적어도 하나의 네트워크 요소에 대한 공격을 나타내는 관리 정보를 검출하고, 관리 정보를 프로세싱하여 감염 데이터를 생성하고, 감염 데이터를 결정 수행 구성요소로 송신하는 단계;
c) 상기 결정 수행 구성요소에서, 감염 데이터를 수신하고, 공격을 차단하도록 수행될 동작에 대한 결정을 행하고, 상기 결정을 동작 수행 구성요소로 송신하는 단계; 및
d) 상기 동작 수행 구성요소에서, 상기 결정에 기초하여, 적어도 하나의 네트워크 요소에 상기 동작을 수행하도록 명령하는 단계를 포함한다.
바람직하게도, 단계 a)는 복수의 네트워크 요소들의 각각에 수동 모니터링 구성요소를 제공하는 단계를 포함한다.
유익하게도, 단계 a)는 결정 수행 구성요소 및 동작 수행 구성요소를 복수의 네트워크 요소들 중 하나에 제공하는 단계를 더 포함한다.
대안으로, 단계 a)는 결정 수행 구성요소 및 동작 수행 구성요소를 복수의 네트워크 요소들의 각각에 제공하는 단계를 더 포함한다.
대안으로, 단계 a)는 결정 수행 구성요소를 복수의 네트워크 요소들 중 하나에 제공하는 단계 및 동작 수행 구성요소를 복수의 네트워크 요소들 중 다른 하나에 제공하는 단계를 포함한다.
대안으로, 단계 a)는 다음 단계들:
- 결정 수행 구성요소를 복수의 네트워크 요소들 중 적어도 두 개에 제공하여, 결정 수행 클러스터(cluster)를 형성하는 단계; 및
- 동작 수행 구성요소를 복수의 네트워크 요소들 중 적어도 다른 두 개에 제공하여, 동작 수행 클러스터를 형성하는 단계 중 적어도 하나를 더 포함한다.
바람직하게도, 단계 c)는 정적 연관 테이블 및 동적 연관 테이블 중 적어도 하나를 이용함으로써 결정을 행하는 단계를 더 포함하고, 정적 연관 테이블 및 동적 연관 테이블의 각각은 복수의 행들을 포함하고, 상기 복수의 행들의 각각은 보안 임계값 및 보안 임계값과 연관되는 가능한 동작을 포함한다.
제 2 양태에 따르면, 본 발명은 복수의 네트워크 요소들을 포함하는 통신 네트워크를 위한 침입-방지 시스템을 제공하고, 상기 시스템은: 수동 모니터링 구성요소, 결정 수행 구성요소, 및 통신 네트워크와 상호 동작하는 동작 수행 구성요소를 포함하고:
- 수동 모니터링 구성요소는 복수의 네트워크 요소들 중 적어도 하나의 네트워크 요소에 대한 공격을 나타내는 관리 정보를 검출하고, 관리 정보를 프로세싱하여 감염 데이터를 생성하고, 감염 데이터를 결정 수행 구성요소에 송신하는데 적합하고;
- 결정 수행 구성요소는 감염 데이터를 수신하고, 공격을 차단하도록 수행될 동작에 대해 결정하고, 상기 결정을 동작 수행 구성요소에 송신하는데 적합하고;
- 동작 수행 구성요소는 상기 결정에 기초하여, 적어도 하나의 네트워크 요소에 상기 동작을 수행하라고 명령하는데 적합하다.
바람직하게도, 수동 모니터링 구성요소는 복수의 네트워크의 각각에 제공된다.
유익하게도, 결정 수행 구성요소 및 동작 수행 구성요소는 복수의 네트워크 요소들 중 하나에 제공된다.
대안으로, 결정 수행 구성요소 및 동작 수행 구성요소는 복수의 네트워크 요소들의 각각에 제공된다.
대안으로, 결정 수행 구성요소는 복수의 네트워크 요소들 중 하나에 제공되고 동작 수행 구성요소는 복수의 네트워크 요소들 중 다른 하나에 제공된다.
대안으로, 결정 수행 구성요소는 복수의 네트워크 요소들 중 적어도 두 개에 제공되고, 따라서 결정 수행 클러스터를 형성하고; 그리고/또는 동작 수행 구성요소는 복수의 네트워크 요소들 중 적어도 다른 두 개에 제공되고, 따라서 동작 수행 클러스터를 형성한다.
바람직하게도, 상기 시스템은 정적 연관 테이블 및 동적 연관 테이블 중 적어도 하나를 더 포함하고, 정적 연관 테이블 및 동적 연관 테이블의 각각은 복수의 행들을 포함하고, 복수의 행들의 각각은 보안 임계값 및 보안 임계값과 연관되는 가능한 동작을 포함하고, 결정 수행 구성요소는 정적 연관 테이블 및 동적 연관 테이블 중 적어도 하나를 이용함으로써 결정을 행하는데 적합하다.
상술한 바와 같이, 본 발명에 의해 통신 네트워크를 위한 침입-방지 방법 및 시스템이 상술한 결점들 중 적어도 하나를 극복할 수 있고, 특히, 공격의 검출 시간 및 감염된 네트워크 요소가 다른 네트워크 요소들과 분리되는 시간 사이의 특히 감소된 지연을 제공한다.
도 1은 본 발명의 제 1 실시예에 따라 침입-방지 시스템이 제공되는 통신 네트워크를 개략적으로 도시한 도면.
도 2 및 도 3은 도 1의 통신 네트워크의 제 1 및 제 2 요소들의 구조를 각각 더 상세하게 도시한 도면.
도 4는 본 발명의 제 2 실시예에 따라 침입-방지 시스템이 제공되는 통신 네트워크를 개략적으로 도시한 도면.
도 5는 본 발명의 제 3 실시예에 따라 침입-방지 시스템이 제공되는 통신 네트워크를 개략적으로 도시한 도면.
도 6 및 도 7은 도 5의 통신 네트워크의 제 1 및 제 2 네트워크 요소들의 구조를 각각 더 상세하게 도시한 도면.
도 8은 본 발명의 제 4 실시예에 따라 침입-방지 시스템이 제공되는 통신 시스템을 개략적으로 도시한 도면.
본 발명은 첨부 도면들을 참조함으로써 판독되는 예를 통해 제공되지만 제한되지 않는, 다음의 상세한 설명을 판독함으로써 더 양호하게 이해될 것이다.
도 1은 본 발명의 제 1 실시예에 따라 침입-방지 시스템이 제공되는 통신 네트워크(CN)를 개략적으로 도시한다.
간소화를 위해, 통신 네트워크(CN)는 단 네 개의 네트워크 요소들(NE1, NE2, NE3', NE4)을 포함하는 것으로 가정된다. 명백하게도, 통신 네트워크(CN)는 임의의 수의 네트워크 요소들을 포함할 수 있으므로, 이는 단지 예시적이다. 각각의 네트워크 요소(NE1, NE2, NE3', NE4)는 각각의 데이터 트래픽을 위한 하나 이상의 입력/출력 포트들을 포함한다. 간소화를 위해, 입력/출력 포트들은 도 1에 도시되지 않는다.
바람직하게도, 네트워크 요소들(NE1, NE2, NE3', NE4)은 동일한 계산 그리드(calculation grid)(G)의 일부를 형성한다. 공지되어 있는 바와 같이, 계산 그리드는 분포된 애플리케이션들을 수행하는 것을 가능하게, 즉, 그리드를 형성하는 모든 컴퓨터들 사이에 제공되는 애플리케이션의 실행을 공유하는 것을 가능하게 한다. 즉, 애플리케이션은 그리드를 형성하는 모든 컴퓨터들 사이에서 공유된다. 바람직하게도 그리드를 형성하는 컴퓨터들은 "미들웨어(middleware)"라 칭해지는 애플리케이션에 의해 웹을 통해 서로 통신한다. 예시적인 계산 그리드는 미들웨어 Globus를 이용하는 Globus Alliance에 의해 제안되는 그리드이다.
이 실시예에 따르면, 통신 네트워크(CN)의 네트워크 요소들(NE1, NE2, NE3', NE4)은 웹을 통해 미들웨어에 의해 하나 대 다른 통신 요소들로 접속된다. 출원인은 상술한 미들웨어 Globus를 이용함으로써 일부 양성 테스트들을 수행하였다.
바람직하게는, 통신 네트워크(CN)는 관리 단말기(MT)와 더 접속되고, 관리 단말기(MT)는 브라우징 모듈(B)을 실행하도록 구성되고 그리드(G)의 네트워크 요소들 중 어느 하나, 예를 들어 네트워크 요소(NE1)와 접속된다. 브라우징 모듈(B)은 웹형 관리 그래픽 인터페이스(GUI)를 지원할 수 있으나, 이는 간소화를 위해 도면들에 도시되지 않는다.
웹형 관리 그래픽 인터페이스(GUI)는 통신 네트워크(CN)의 관리에 대한 관리 정보, 즉: 네트워크 요소들(NE1, NE2, NE3', NE4)의 자원 구성 파라미터들, 네트워크 요소들(NE1, NE2, NE3', NE4)의 자원 성능 파라미터들, 및 네트워크 요소들(NE1, NE2, NE3', NE4)에 의해 생성되는 임의의 알람들을 윈도들 및 아이콘들과 같은 그래픽 오브젝트들로 디스플레이하는데 적합하다.
본 발명의 실시예들에 따르면, 계산 그리드(G)는 침입-방지 모듈(AIM) 및 침입-방지 모니터링 모듈(anti-intrusion monitoring module: AIMM)과 상호 동작한다.
본 발명의 제 1 실시예에 따르고 도 2를 참조하면, 침입-방지 모듈(AIM)은 통신 네트워크(CN)의 하나의 네트워크 요소, 예를 들어 네트워크 요소(NE3')에 인스톨(install)된다.
바람직하게는, 침입-방지 모듈(AIM)은: 수동 모니터링 구성요소(passive monitoring component: PMC), 통신 구성요소(communication component: CC), 결정 수행 구성요소(decision making component: DMC), 및 동작 수행 구성요소(action making component: AMC)를 포함한다.
수동 모니터링 구성요소(PMC)는 바람직하게는:
- 네트워크 요소(NE3')의 포트들을 통과하는 관리 정보 트래픽을 연속 방식으로 국지적으로 모니터링하고;
- 이들 관리 정보를 프로세싱하여 가능한 감염 데이터를 생성하고;
- 가능한 감염 데이터를 결정 수행 구성요소(DMC)에 제공하는데 적합하다.
결정 수행 구성요소(DMC)는 바람직하게는:
- 수동 모니터링 구성요소(PMC)로부터 기원하고, 다른 네트워크 요소들로부터의, 통신 구성요소(CC)를 통과하는 가능한 감염 데이터를 수신하고;
- 가능한 공격을 차단하도록 수행될 가능한 동작들에 대하여 바람직하게도 실시간으로 결정을 행하고;
- 그와 같은 결정을 동작 수행 구성요소(AMC)에 송신하는데 적합하다.
동작 수행 구성요소(AMC)는 결정 수행 구성요소(DMC)로부터 수신되는 결정에 기초하여, 통신 네트워크를 방어하기 위한 가장 양호한 차단 동작을 활성화하도록 구성된다.
바람직하게는, 결정 수행 구성요소(DMC)는 연관 테이블들의 쌍, 즉 정적 연관 테이블 및 동적 연관 테이블에 기초하여 결정한다.
정적 연관 테이블은 침입-방지 모듈(AIM)의 구성 단계 동안 운영자에 의해 컴파일링(compiling)되고, 그것은 일련의 행들을 포함하고, 각각의 행은 보안 임계값을 포함한다. 바람직하게도, 각각의 보안 임계값은 침입-방지 모듈(AIM)의 각각의 작동과 연관된다. 표 1은 정적 연관 테이블의 예를 제공한다.
보안 임계값 AIM 동작
1 DMC는 통신 네트워크로부터 감염된 네트워크 요소를 배제하기로 결정한다.
AMC는 감염된 네트워크 요소의 각각의 포트를 폐쇄함으로써, 통신 네트워크로부터 감염된 네트워크 요소를 배제하려는 결정을 수행한다.
CC는 연속적인 모니터링을 수행함으로써, 실시간으로 임의의 공격 개발들을 결정한다.
2 DMC는 감염된 네트워크 요소에서 "양성(benign)" 코드를 배제하도록 결정함으로써 임의의 감염들을 제거한다.
AMC는 "양성" 코드를 애드 혹(ad hoc)으로 정의된 포트를 통해, 감염된 네트워크 요소로 송신하려는 결정을 수행한다.
CC는 주기적인 모니터링을 수행함으로써 임의의 공격 개발들을 결정한다. 예를 들어, 네트워크 요소는 매 10분마다 모니터링되고, 감염 확산이 검출되면, 더 많은 침입의 개입들이 활성화된다.
3 DMC는 감염된 네트워크 요소를 모니터링하고 위험한 개발들이 검출되는 경우에만, 예를 들어 감염이 네트워크 요소의 구성 파일들 상에서 전파되기 시작하거나, 비정상이 메모리 동작에서 발생하기 시작하는 경우에만, 개입하는 것으로 결정한다.
AMC는 감염된 네트워크 요소들을 모니터링한다는 결정을 수행한다.
CC는 주기적인 모니터링을 수행함으로써, 임의의 공격 개발들을 결정한다. 예를 들어 네트워크 요소가 매 시간마다 모니터링되고, 감염 확산이 검출되는 경우, 더 많은 침입의 개입들이 활성화된다.
반대로, 동적 연관 테이블은 공지되어 있는 자동-인식(auto-learning) 기술을 이용함으로써, 통신 네트워크(CN)의 이전 작동들에 기초하여 동적으로 컴파일링된다. 바람직하게도, 정적 연관 테이블 및 동적 연관 테이블은 하나의 테이블로서 구현되고, 여기서 일부 행들은 정적인 방식으로 컴파일링되고 다른 행들은 동적으로 컴파일링된다.
제 1 실시예에 따르면, 네트워크 요소들(NE1, NE2, NE4)에는 각각의 침입-방지 모니터링 모듈(AIMM)이 제공된다. 도 3은 네트워크 요소들(NE1, NE2, NE4) 중 하나의 구성을 상세하게 도시한다.
도 3에 도시되는 바와 같이, 일반 네트워크 요소(NEi(i=1, 2, 4))의 침입-방지 모니터링 모듈(AIMM)은 수동 모니터링 구성요소(PMC) 및 통신 구성요소(CC)를 포함하고, 이들은 캐스케이드(cascade) 방식으로 접속된다. 수동 모니터링 구성요소(PMC)는:
- 네트워크 요소(NEi(i= 1, 2, 4))의 포트들을 통해 흐르는 관리 정보 트래픽을 연속 방식으로 국지적으로 모니터링하고;
- 이들 관리 정보를 프로세싱하여 가능한 감염 정보를 생성하고;
- 통신 구성요소(CC)에 의해, 가능한 감염 데이터를 네트워크 요소(NE3')의 결정 수행 구성요소로 송신하는데 적합하다.
그러므로 통신 구성요소(CC)는 아마도 계산 그리드(G)의 다른 네트워크 요소들을 통해서, 네트워크 요소(NEi(i= 1, 2, 4))가 네트워크 요소(NE3')와 통신하도록 하는데 적합하다.
제 1 실시예에 따른 침입-방지 시스템 및 이의 구성요소들의 동작은 도 1, 도 2, 및 도 3을 참조하여 이제 상세하게 기술될 것이다.
예를 들어, 네트워크 요소(NE4)는 해커에 의해, 예를 들어 DOS형 공격으로 공격당하는 것으로 가정된다. 이 경우에, 감염된 네트워크 요소(NE4)는 예를 들어 네트워크 요소들 사이의 링크들을 오버로드(overload)하기 위해 관리 정보를 복사해서 이것들을 통신 네트워크(CN) 내에서 브로드캐스팅함으로써, 통신 네트워크(CN)의 다른 네트워크 요소들을 공격하는 경향이 있다.
두 경우들이 발생할 수 있다. 제 1 경우에서, 네트워크 요소(NE4)는 수동 모니터링 구성요소(PMC)에 의해, 자신이 공격당했는지를 검출하고 이를 다른 네트워크 요소들, 특히 네트워크 요소(NE3')로 전달한다. 제 2 경우에, 네트워크 요소(NE4)는 감염되는 것을 인지하게 되지 않는다. 이 후자의 경우, 통신 네트워크(CN)의 다른 네트워크 요소들은 자체의 각각의 수동 모니터링 구성요소들(PMC)에 의해 그리드(G) 상에서 교환되는 관리 정보를 모니터링함으로써, 네트워크 요소(NE4)의 감염을 검출한다.
양 상황들에서, 네트워크 요소(NE4)에서 관리 정보 트래픽의 비정상을 검출했던 네트워크 요소의 수동 모니터링 구성요소(PMC)는 감염 데이터를 생성하고 이를 네트워크 요소(NE3')의 결정 수행 구성요소(DMC)로 송신한다. 특히, 감염이 네트워크 요소(NE3')의 수동 모니터링 구성요소(PMC)에 의해 검출되는 경우, 수동 모니터링 구성요소(PMC)는 감염 데이터를 결정 수행 구성요소(DMC)에 직접 송신한다. 반대로, 감염이 임의의 다른 네트워크 요소의 수동 모니터링 구성요소(PMC)에 의해 검출되는 경우, 수동 모니터링 구성요소(PMC)는 감염 데이터를 자체의 통신 구성요소(CC)를 통해 결정 수행 구성요소(DMC)로 송신한다.
수신된 감염 데이터에 기초하여, 결정 수행 구성요소(DMC)는 결정을 행한다. 특히, 결정 수행 구성요소(DMC)는 내부에 저장되는 보안 임계값을 갖고, 이 보안 임계값은 상기 표 1에 목록화된 것들 중에서 선택된다. 바람직하게도, 보안 임계값은 통신 네트워크를 이용하는 고객의 요구들에 기초하여 통신 네트워크(CN)를 관리하는 책임이 있는 운영자에 의해 셋업(set-up)될 수 있다. 결정 수행 구성요소(DMC)가 네트워크 요소(NE4)의 감염을 나타내는 감염 데이터를 수신할 때, 이는 보안 임계값이 넘어갔는지를 결정하고, 긍정인 경우, 이전에 저장된 정적 연관 테이블 내의 대응하는 동작을 선택한다.
대안으로, 결정 수행 구성요소(DMC)는 새로운 보안 임계값 및 새로운 대응하는 동작을 결정하고 동적 연관 테이블을 갱신한다. 예를 들어, 결정 수행 구성요소(DMC)는 관리 정보 트래픽이 통과하는 네트워크 요소(NE4)의 포트를 폐쇄하고, 따라서 동작 수행 구성요소(AMC)를 지휘하기로 결정할 수 있다. 결과적으로, 동작 수행 구성요소(ACM)는 자체의 통신 구성요소(CC)에 의해 포트 폐쇄를 명령함으로써 감염된 네트워크 요소(NE4)를 통신 네트워크(CN)로부터 분리한다.
그러므로, 유용하게는, 상술한 침입-방지 시스템은 결정의 관점에서 능동이다. 이는 유용하게는 네트워크 요소들 중 하나 이상에 영향을 미침으로써 공격에 의해 발생되는 통신 네트워크(CN)에 대한 손상을 포함하는 임의의 감염의 검출 시에 실질적으로 실시간으로 반응(react)하도록 한다.
그러므로, 유용하게는, 상술한 침입-방지 시스템은 공격의 검출 시간 및 감염된 네트워크 요소가 분리되는 시간 사이의 특히 감소된 지연을 제공하는데, 왜냐하면 통신 네트워크(CN) 자체가 운영자의 개입을 필요로 하지 않고도 외부 공격들에 자동적으로 반응하기 때문이다.
더욱이, 상술한 침입-방지 시스템은 통신 네트워크의 네트워크 요소들에서 구현된다. 이는 유용하게는 침입-방지 메커니즘을 분산화(decentralization)하는 결과를 발생시킴으로써, 관리 단말기(MT)에서 침입-방지 메커니즘의 구현에 전용되는 계산 자원들의 양을 감소시키는 것을 가능하게 한다.
도 4에 도시된 본 발명의 제 2 실시예에 따르면, 각각의 네트워크 요소(NE1', NE2', NE3', NE4')에는 각각 침입-방지 모듈(AIM)이 제공된다. 특히, 네트워크 요소들(NE1', NE2', NE3', NE4')은 모두 도 2에 도시된 네트워크 요소(NE3')의 구조와 유사한 구조를 갖는다.
이때, 이 제 2 실시예에 따르면, 각각의 네트워크 요소(NE1', NE2', NE3', NE4')는 가능한 공격을 독자적으로 관리할 수 있다. 즉, 공격 시도의 경우에, 각각의 네트워크 요소는:
- 독자적으로 그리고 실질적으로 실시간으로, 수행될 동작을 결정하고(결정 수행 구성요소(DMC));
- 결정된 동작을 수행(동작 수행 구성요소(AMC))할 수 있다.
그러므로, 유용하게는, 네트워크 요소들 중 하나의 침입-방지 모듈(AIM)이 동작하기 위해서 중단되는 경우, 통신 네트워크(CN)의 다른 네트워크 요소들은 상술한 침입-방지 시스템으로부터 제공되는 모든 동작들(모니터링, 결정 수행, 동작 수행)을 계속해서 실행하는데 적합하다.
도 5 내지 도 7에 도시된 본 발명의 제 3 실시예에 따르면, 결정 수행 및 동작 수행 기능들은 통신 네트워크(CN)의 각각의 네트워크 요소들에서 개별적으로 구현된다.
예를 들어, 각각의 네트워크 요소(NE1, NE4)는 각각 도 3에 도시된 것과 유사한 침입-방지 모니터링 모듈(AIMM)을 포함한다.
더욱이, 예를 들어 네트워크 요소(NE2")는 수동 모니터링 구성요소(PMC), 통신 구성요소(CC) 및 결정 수행 구성요소(DMC)를 구비한 모듈(AIM')을 포함한다.
수동 모니터링 구성요소(PMC)는 바람직하게는:
- 네트워크 요소(NE2")의 포트들을 통해 흐르는 관리 정보를 연속 방식으로 국지적으로 모니터링하고;
- 이들 관리 정보를 프로세싱함으로써, 가능한 감염 데이터를 생성하고;
- 가능한 감염 데이터를 결정 수행 구성요소(DMC)로 송신하는데 적합하다.
결정 수행 구성요소(DMC)는 바람직하게는:
- 수동 모니터링 구성요소(PMC)로부터 기원하고, 다른 네트워크 요소들로부터, 통신 구성요소(CC)에 의해 감염 데이터를 수신하고;
- 임의의 공격들을 차단하기 위해 행해질 가능한 동작들에 대한 결정을 바람직하게는 실시간으로 행하고;
- 그와 같은 결정을 통신 구성요소(CC)를 통해 네트워크 요소(NE3")로 송신하는데 적합하다.
더욱이, 예를 들어, 네트워크 요소(NE3")는 수동 모니터링 구성요소(PMC), 통신 구성요소(CC) 및 동작 수행 구성요소(AMC)를 구비한 모듈(AIM")을 포함한다.
수동 모니터링 구성요소(PMC)는 바람직하게는:
- 네트워크 요소(NE3")의 포트들을 통해 흐르는 관리 정보 트래픽을 연속 방식으로 국지적으로 모니터링하고;
- 이들 관리 정보를 프로세싱함으로써, 가능한 감염 데이터를 생성하고;
- 통신 구성요소(CC)에 의해 가능한 감염 데이터를 네트워크 요소(NE2")로 송신하는데 적합하다.
동작 수행 구성요소(AMC)는 바람직하게는:
- 네트워크 요소(NE2")로부터 결정을 수신하고;
- 통신 구성요소(CC)를 통해, 대응하는 명령들을 다른 네트워크 요소들에 송신하는데 적합하다.
그러므로, 유용하게도, 결정 수행 기능 및 동작 수행 기능은 예를 들어: 통신 네트워크(CN)의 토폴로지(topology), 감염된 네트워크 요소(들)의 위치 등과 같은 다양한 기준들에 따라 통신 네트워크 내에 개별적으로 위치될 수 있다.
본 발명의 제 4 실시예에 따르면, 결정 수행 기능은 통신 네트워크(CN)의 네트워크 요소들의 제 1 그룹에서 구현되고, 상기 제 1 그룹은 이후에 "결정 수행 클러스터"로 칭해진다. 추가 또는 대안으로, 동작 수행 기능은 네트워크 요소들의 제 2 그룹에서 구현되고, 상기 제 2 그룹은 이후에 "동작 수행 클러스터"로 칭해진다.
예를 들어, 도 8에 도시된 실시예에서, 결정 수행 기능은 네트워크 요소(NE2")에서 구현되고, 네트워크 요소(NE2")의 구조는 바람직하게는 도 6에 도시된 것과 유사하다. 한편, 동작 수행 기능은 네트워크 요소들(NE3", NE4")에 의해 형성되는 동작 수행 클러스터(AC)에서 구현된다. 네트워크 요소들(NE3", NE4")의 구조는 바람직하게는 도 7에서 도시된 것과 유사하다. 최종적으로, 네트워크 요소(NE1)는 다만 모니터링 기능을 수행하고 따라서 네트워크 요소(NE1)는 바람직하게는 도 3에 도시된 것과 유사한 구조를 갖는다.
결정 수행 클러스터 및/또는 동작 수행 클러스터의 구성은, 예를 들어: 이용 가능한 계산 자원들(네트워크 요소들(NE3", NE4")은 최대량의 이용 가능한 계산 자원들을 갖는 네트워크 요소들일 수 있다), 통신 네트워크(CN)의 토폴로지, 감염된 네트워크 요소 및 결정 수행 기능 및 동작 수행 기능을 구현하는 네트워크 요소들 사이의 홉(hop)들의 수와 같은, 여러 기준들에 따라 운영자에 의해 또는 통신 네트워크(CN) 자체에 의해 결정될 수 있다.
더욱이, 유용하게는, 통신 네트워크(CN) 내의 결정 기능 및/또는 동작 기능은 유용하게는, 상기 그룹에 속하는 네트워크 요소들 중 하나가 고장이 나는 경우일지라도 그와 같은 기능들이 계속해서 구현되는 것을 보장하는 것이 가능하다.
상술한 침입-방지 시스템이 제어 평면 및 관리 평면에 대한 공격들에 대비하여 통신 네트워크(CN)를 보호하는데 특히 적합할지라도, 이는 또한 데이터 평면에 대한 공격들에 맞서는데 이용되는 것이 이익이 될 수 있다. 예를 들어, 해커가 네트워크 요소들을 통하여 흐르는 관리 정보에 액세스하는 것뿐만 아니라, 네트워크 요소들의 구성 파라미터들에 잘못된 값을 적용하는 것에 대해 성공한 경우, 이로 인해 데이터 평면에서의 감염, 즉, 지불 트래픽(paying traffic)의 감염의 가능성 있는 위험성이 포함된다. 이 상황은 통신 네트워크 관리자에게 발생할 경제적 손상으로 인해, 방지되어야만 한다.
이 결점을 방지하기 위해, 본 발명의 침입-방지 시스템은 바람직하게는 관리 평면에서 감염되는 네트워크 요소가 지불 트래픽의 송신을 중단함으로써 고장을 시뮬레이션하는 것을 제공한다. 이 방식으로, 통신 네트워크(CN)의 다른 네트워크 요소들은 복구 메커니즘을 활성화하고, 상기 복구 메커니즘은 감염된 네트워크 요소를 포함하지 않는 대안의 경로를 따라 지불 트래픽을 재라우팅(rerouting)한다.
그러므로, 유용하게는, 또한 본 발명의 제 2, 제 3 및 제 4 실시예들에 따르면, 침입-방지 시스템은 결정의 관점에서 능동이다. 이는 유용하게는 네트워크 요소들 중 하나 이상에 대한 공격의 검출 시에 실질적으로 실시간으로 반응하게 함으로써 감염된 네트워크 요소(들)가 "감염"을 다른 네트워크 요소들로 송신하는 것을 방지하는 것을 가능하게 한다.
그러므로, 유용하게는, 상술한 침입-방지 시스템은 공격의 검출 시간 및 감염된 네트워크 요소가 분리되는 시간 사이의 특히 감소된 지연을 제공하는데, 왜냐하면 통신 네트워크(CN) 자체가 운영자의 개입을 필요로 하지 않고도 외부 공격들에 자동적으로 반응하기 때문이다.
CN : 통신 네트워크 NE : 네트워크 요소
MT : 관리 단말기 B : 브라우징 모듈
AIM : 침입-방지 모듈 AIMM : 침입-방지 모니터링 모듈

Claims (12)

  1. 복수의 네트워크 요소들(NE1, NE2, NE3', NE4; NE1', NE2', NE3', NE4'; NE1, NE2", NE3", NE4; NE1, NE2", NE3", NE4")을 포함하는 통신 네트워크(communication network: CN)를 위한 침입-방지 방법에 있어서:
    a) 수동 모니터링 구성요소(passive monitoring component: PMC), 결정 수행 구성요소(decision making component: DMC) 및 상기 통신 네트워크(CN)와 상호 동작하는 동작 수행 구성요소(action making component: AMC)를 제공하는 단계;
    b) 상기 수동 모니터링 구성요소(PMC)에서, 상기 복수의 네트워크 요소들 중 적어도 하나의 네트워크 요소(NE4)에 대한 공격을 나타내는 관리 정보를 검출하고, 상기 관리 정보를 프로세싱하여 감염 데이터를 생성하고, 상기 감염 데이터를 상기 결정 수행 구성요소(DMC)로 송신하는 단계;
    c) 상기 결정 수행 구성요소(DMC)에서, 상기 감염 데이터를 수신하고, 상기 공격을 차단하도록 수행될 동작에 대한 결정을 행하고, 상기 결정을 상기 동작 수행 구성요소(AMC)로 송신하는 단계; 및
    d) 상기 동작 수행 구성요소(AMC)에서, 상기 결정에 기초하여, 상기 적어도 하나의 네트워크 요소(NE4)에 상기 동작을 수행하도록 명령하는 단계를 포함하고,
    상기 방법은,
    상기 단계 a)가 상기 복수의 네트워크 요소들의 각각에 상기 수동 모니터링 구성요소(PMC)를 제공하는 단계를 포함하는 것을 특징으로 하는, 통신 네트워크를 위한 침입-방지 방법.
  2. 제 1 항에 있어서,
    상기 단계 a)는 상기 결정 수행 구성요소(DMC) 및 상기 동작 수행 구성요소(AMC)를 상기 복수의 네트워크 요소들 중 하나(NE3')에 제공하는 단계를 추가로 포함하는, 통신 네트워크를 위한 침입-방지 방법.
  3. 제 1 항에 있어서,
    상기 단계 a)는 상기 결정 수행 구성요소(DMC) 및 상기 동작 수행 구성요소(AMC)를 상기 복수의 네트워크 요소들의 각각(NE1', NE2', NE3', NE4')에 제공하는 단계를 추가로 포함하는, 통신 네트워크를 위한 침입-방지 방법.
  4. 제 1 항에 있어서,
    상기 단계 a)는 상기 결정 수행 구성요소(DMC)를 상기 복수의 네트워크 요소들 중 하나(NE2")에 제공하는 단계 및 상기 동작 수행 구성요소(AMC)를 상기 복수의 네트워크 요소들 중 다른 하나(NE3")에 제공하는 단계를 포함하는, 통신 네트워크를 위한 침입-방지 방법.
  5. 제 1 항에 있어서,
    상기 단계 a)는 다음 단계들:
    - 상기 결정 수행 구성요소(DMC)를 상기 복수의 네트워크 요소들 중 적어도 두 개에 제공하여, 결정 수행 클러스터를 형성하는 단계; 및
    - 상기 동작 수행 구성요소(AMC)를 상기 복수의 네트워크 요소들 중 적어도 다른 두 개(NE3", NE4")에 제공하여, 동작 수행 클러스터(AC)를 형성하는 단계 중 적어도 하나를 추가로 포함하는, 통신 네트워크를 위한 침입-방지 방법.
  6. 제 1 항 내지 제 5 항 중 어느 한 항에 있어서,
    상기 단계 c)는 정적 연관 테이블 및 동적 연관 테이블 중 적어도 하나를 이용함으로써 상기 결정을 행하는 단계를 추가로 포함하고, 상기 정적 연관 테이블 및 상기 동적 연관 테이블의 각각은 복수의 행들을 포함하고, 상기 복수의 행들의 각각은 보안 임계값 및 상기 보안 임계값과 연관되는 가능한 동작을 포함하는, 통신 네트워크를 위한 침입-방지 방법.
  7. 복수의 네트워크 요소들(NE1, NE2, NE3', NE4; NE1', NE2', NE3', NE4'; NE1, NE2", NE3", NE4; NE1, NE2", NE3", NE4")을 포함하는 통신 네트워크(CN)를 위한 침입-방지 시스템에 있어서:
    상기 침입-방지 시스템은, 수동 모니터링 구성요소(PMC), 결정 수행 구성요소(DMC), 및 상기 통신 네트워크(CN)와 상호 동작하는 동작 수행 구성요소(AMC)를 포함하고;
    - 상기 수동 모니터링 구성요소(PMC)는 상기 복수의 네트워크 요소들 중 적어도 하나의 네트워크 요소(NE4)에 대한 공격을 나타내는 관리 정보를 검출하고, 상기 관리 정보를 프로세싱하여 감염 데이터를 생성하고, 상기 감염 데이터를 상기 결정 수행 구성요소(DMC)에 송신하는데 적합하고;
    - 상기 결정 수행 구성요소(DMC)는 상기 감염 데이터를 수신하고, 상기 공격을 차단하도록 수행될 동작에 대해 결정하고, 상기 결정을 상기 동작 수행 구성요소(AMC)에 송신하는데 적합하고;
    - 상기 동작 수행 구성요소(AMC)는 상기 결정에 기초하여, 상기 적어도 하나의 네트워크 요소(NE4)에 상기 동작을 실행하라고 명령하는데 적합하고,
    상기 시스템은,
    상기 수동 모니터링 구성요소(PMC)는 상기 복수의 네트워크 요소들의 각각에 제공되는 것을 특징으로 하는, 통신 네트워크를 위한 침입-방지 시스템.
  8. 제 7 항에 있어서,
    상기 결정 수행 구성요소(DMC) 및 상기 동작 수행 구성요소(AMC)는 상기 복수의 네트워크 요소들 중 하나(NE3')에 제공되는, 통신 네트워크를 위한 침입-방지 시스템.
  9. 제 7 항에 있어서,
    상기 결정 수행 구성요소(DMC) 및 상기 동작 수행 구성요소(AMC)는 상기 복수의 네트워크 요소들의 각각(NE1', NE2', NE3', NE4')에 제공되는, 통신 네트워크를 위한 침입-방지 시스템.
  10. 제 7 항에 있어서,
    상기 결정 수행 구성요소(DMC)는 상기 복수의 네트워크 요소들 중 하나(NE2")에 제공되고 상기 동작 수행 구성요소(AMC)는 상기 복수의 네트워크 요소들 중 다른 하나(NE3")에 제공되는, 통신 네트워크를 위한 침입-방지 시스템.
  11. 제 7 항에 있어서,
    - 상기 결정 수행 구성요소(DMC)는 상기 복수의 네트워크 요소들 중 적어도 두 개에 제공되어, 결정 수행 클러스터를 형성하고;
    - 상기 동작 수행 구성요소(AMC)는 상기 복수의 네트워크 요소들 중 적어도 다른 두 개(NE3", NE4")에 제공되어, 동작 수행 클러스터(AC)를 형성하는, 통신 네트워크를 위한 침입-방지 시스템.
  12. 제 7 항 내지 제 11 항 중 어느 한 항에 있어서,
    상기 침입-방지 시스템은 정적 연관 테이블 및 동적 연관 테이블 중 적어도 하나를 추가로 포함하고, 상기 정적 연관 테이블 및 상기 동적 연관 테이블의 각각은 복수의 행들을 포함하고, 상기 복수의 행들의 각각은 보안 임계값 및 상기 보안 임계값과 연관되는 가능한 동작을 포함하고, 상기 결정 수행 구성요소(DMC)는 상기 정적 연관 테이블 및 상기 동적 연관 테이블 중 적어도 하나를 이용함으로써 상기 결정을 행하는데 적합한, 통신 네트워크를 위한 침입-방지 시스템.
KR1020107029497A 2008-07-04 2009-06-30 통신 네트워크를 위한 침입 방지 방법 및 시스템 KR101202212B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP08425464.8 2008-07-04
EP08425464A EP2141884B1 (en) 2008-07-04 2008-07-04 Anti-intrusion method and system for a communication network
PCT/EP2009/058142 WO2010000712A1 (en) 2008-07-04 2009-06-30 Anti-instrusion method and system for a communicaiton network

Publications (2)

Publication Number Publication Date
KR20110015024A KR20110015024A (ko) 2011-02-14
KR101202212B1 true KR101202212B1 (ko) 2012-11-19

Family

ID=40121216

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020107029497A KR101202212B1 (ko) 2008-07-04 2009-06-30 통신 네트워크를 위한 침입 방지 방법 및 시스템

Country Status (8)

Country Link
US (1) US8321369B2 (ko)
EP (1) EP2141884B1 (ko)
JP (1) JP5307238B2 (ko)
KR (1) KR101202212B1 (ko)
CN (1) CN101621427B (ko)
AT (1) ATE495620T1 (ko)
DE (1) DE602008004491D1 (ko)
WO (1) WO2010000712A1 (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8943200B2 (en) * 2008-08-05 2015-01-27 At&T Intellectual Property I, L.P. Method and apparatus for reducing unwanted traffic between peer networks
EP2547275A4 (en) * 2010-03-19 2014-10-29 Josef Gorek SPINAL FIXING APPARATUS AND METHODS RELATED THERETO
CN102811196B (zh) * 2011-05-30 2016-12-21 中兴通讯股份有限公司 自动交换光网络中的网络安全保护方法、装置和系统
US8693335B2 (en) * 2012-03-22 2014-04-08 Avaya Inc. Method and apparatus for control plane CPU overload protection
CN105812166B (zh) * 2014-12-30 2020-06-12 中兴通讯股份有限公司 连接实现方法及系统、网络服务器和网关网元、管理方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050005017A1 (en) * 2003-07-03 2005-01-06 Arbor Networks, Inc. Method and system for reducing scope of self-propagating attack code in network
WO2006080930A1 (en) 2005-01-24 2006-08-03 The Barrier Group Integrated data traffic monitoring system

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001249866A (ja) * 2000-03-06 2001-09-14 Fujitsu Ltd ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード
US20020107953A1 (en) * 2001-01-16 2002-08-08 Mark Ontiveros Method and device for monitoring data traffic and preventing unauthorized access to a network
JP4088082B2 (ja) * 2002-02-15 2008-05-21 株式会社東芝 未知コンピュータウイルスの感染を防止する装置およびプログラム
JP2004030286A (ja) * 2002-06-26 2004-01-29 Ntt Data Corp 侵入検知システムおよび侵入検知プログラム
JP2005117100A (ja) * 2003-10-02 2005-04-28 Oki Electric Ind Co Ltd 侵入検知システムおよびトラヒック集約装置
JP2006148778A (ja) * 2004-11-24 2006-06-08 Nippon Telegr & Teleph Corp <Ntt> パケット転送制御装置
CN100450012C (zh) * 2005-07-15 2009-01-07 复旦大学 一种基于移动代理的入侵检测系统和方法
JP4380710B2 (ja) * 2007-02-26 2009-12-09 沖電気工業株式会社 トラフィック異常検出システム、トラフィック情報観測装置、及び、トラフィック情報観測プログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050005017A1 (en) * 2003-07-03 2005-01-06 Arbor Networks, Inc. Method and system for reducing scope of self-propagating attack code in network
WO2006080930A1 (en) 2005-01-24 2006-08-03 The Barrier Group Integrated data traffic monitoring system

Also Published As

Publication number Publication date
JP5307238B2 (ja) 2013-10-02
WO2010000712A1 (en) 2010-01-07
DE602008004491D1 (de) 2011-02-24
EP2141884B1 (en) 2011-01-12
US20100017357A1 (en) 2010-01-21
JP2011526751A (ja) 2011-10-13
ATE495620T1 (de) 2011-01-15
KR20110015024A (ko) 2011-02-14
CN101621427A (zh) 2010-01-06
CN101621427B (zh) 2011-12-28
EP2141884A1 (en) 2010-01-06
US8321369B2 (en) 2012-11-27

Similar Documents

Publication Publication Date Title
Janakiraman et al. Indra: A peer-to-peer approach to network intrusion detection and prevention
Akhunzada et al. Secure and dependable software defined networks
US8997236B2 (en) System, method and computer readable medium for evaluating a security characteristic
US8595817B2 (en) Dynamic authenticated perimeter defense
US10681006B2 (en) Application-context-aware firewall
Zargar et al. DCDIDP: A distributed, collaborative, and data-driven intrusion detection and prevention framework for cloud computing environments
US11374964B1 (en) Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints
US9928359B1 (en) System and methods for providing security to an endpoint device
US8782788B2 (en) Systems, methods, and apparatus for improved application security
WO2007124206A2 (en) System and method for securing information in a virtual computing environment
KR101202212B1 (ko) 통신 네트워크를 위한 침입 방지 방법 및 시스템
KR20130034773A (ko) 화이트리스트를 이용한 네트워크 감시 장치 및 방법
CN108183921B (zh) 经由边界网关进行信息安全性威胁中断的系统和方法
Shameli-Sendi et al. A Retroactive‐Burst Framework for Automated Intrusion Response System
Ujcich et al. Causal Analysis for {Software-Defined} Networking Attacks
Zkik et al. Design and Implementation of a New Security Plane for Hybrid Distributed SDNs.
Magkos et al. Toward early warning against Internet worms based on critical‐sized networks
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
US11991204B2 (en) Automatic vulnerability mitigation in cloud environments
KR101343693B1 (ko) 네트워크 보안시스템 및 그 처리방법
Monshizadeh et al. Cloudification and security implications of TaaS
Bezzateev et al. Agent-based zerologon vulnerability detection
TOUMI et al. COOPERATIVE TRUST FRAMEWORK BASED ON HY-IDS, FIREWALLS, AND MOBILE AGENTS TO ENHANCE SECURITY IN A CLOUD ENVIRONMENT
Monshizadeh et al. Mobile virtual network operators (MVNO) security
Ανδρουλακάκης Security in software defined networks

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151030

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161104

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20171103

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee