KR101268104B1 - Intrusion prevention system and controlling method - Google Patents
Intrusion prevention system and controlling method Download PDFInfo
- Publication number
- KR101268104B1 KR101268104B1 KR1020060053964A KR20060053964A KR101268104B1 KR 101268104 B1 KR101268104 B1 KR 101268104B1 KR 1020060053964 A KR1020060053964 A KR 1020060053964A KR 20060053964 A KR20060053964 A KR 20060053964A KR 101268104 B1 KR101268104 B1 KR 101268104B1
- Authority
- KR
- South Korea
- Prior art keywords
- attack
- packet
- rule
- information
- detection
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 정상 패킷을 공격 패킷으로 오탐지하는 가능성을 최소화시키는 침입방지시스템 및 그 제어방법에 관한 것이다. 본 발명은 공격 패킷을 탐지하기 위한 공격룰이 미리 설정된다. 상기 공격룰은 오탐지수준, 룰 적용수준, 컨텐츠분석레벨, 그리고 오탐수준별 대응모드 정보를 포함한다. 상기 공격룰 설정중에서 탐지 후 자동대응모드가 설정된 경우에 한하여 네트워크로부터 유입된 트래픽에 대한 공격 패킷을 소프트웨어적으로 다시 탐지하도록 하고, 탐지된 공격 패킷에 대한 공격룰 발생정보를 누적관리한다. 상기 공격룰 발생정보는 대응모듈에 의해 지속적으로 누적 관리되며, 관리자에 의해 미리 설정된 임계값과 계속 비교되도록 한다. 상기 비교 결과에 따라 임의의 공격룰 발생정보가 임계값을 초과하는 경우 해당 공격 패킷을 자동 차단하게 된다. 이에 따라 본 발명은 공격 패킷이 탐지되더라도 이를 바로 차단하지 않고 임계값과의 비교결과에 따라서 공격 패킷을 탐지 후 자동대응모드에 따라 선택적으로 차단하기 때문에 오탐에 의해 정상 서비스가 제공되지 못하는 것을 최소화할 수 있는 잇점이 있다. 또한 공격룰 정보를 계속 누적 관리하기 때문에 유해 트래픽의 발생 가능성을 미리 인지하여 방지할 수도 있다.
침입방지시스템, 오탐지, 공격룰, 탐지룰, 소프트웨어/하드웨어 필터링
The present invention relates to an intrusion prevention system and a control method thereof that minimize the possibility of false detection of a normal packet as an attack packet. In the present invention, an attack rule for detecting an attack packet is preset. The attack rule includes false detection level, rule application level, content analysis level, and corresponding mode information for each false detection level. Only when the automatic response mode is set during the detection of the attack rule, the attack packet for the traffic flowing from the network is detected again by software, and the attack rule generation information for the detected attack packet is accumulated and managed. The attack rule generation information is continuously accumulated and managed by the corresponding module, and is continuously compared with a threshold set by the administrator. According to the comparison result, if any attack rule generation information exceeds the threshold, the attack packet is automatically blocked. Accordingly, the present invention does not immediately block the attack packet even if it is detected, and selectively blocks the attack packet according to the automatic response mode after detecting the attack packet according to the comparison result with the threshold value, thereby minimizing the inability to provide normal service by false positives. There is an advantage to this. In addition, since attack rule information is continuously managed, the possibility of harmful traffic can be recognized in advance and prevented.
Intrusion Prevention System, False Detection, Attack Rule, Detection Rule, Software / Hardware Filtering
Description
도 1은 일반적인 침입방지시스템의 구성도.1 is a block diagram of a general intrusion prevention system.
도 2는 본 발명의 바람직한 실시 예에 따른 침입방지시스템 구성도.Figure 2 is a block diagram of an intrusion prevention system according to a preferred embodiment of the present invention.
도 3은 본 발명의 바람직한 실시 예에 따라 공격패킷을 소프트웨어적으로 탐지하고 미리 정의된 대응정책을 적용하는 처리흐름도.3 is a flowchart illustrating a software detection of an attack packet and applying a predefined response policy according to an exemplary embodiment of the present invention.
*도면의 주요 부분에 대한 부호의 설명*Description of the Related Art [0002]
100 : 패킷전용처리부 102 : 탐지/차단모듈100: dedicated packet processing unit 102: detection / blocking module
104 : 메모리 120 : 소프트웨어엔진부104: memory 120: software engine
122 : 패킷처리부 124 : S/W탐지부122: packet processing unit 124: S / W detection unit
126 : 대응분석부 128 : 관리맵126: response analysis unit 128: management map
130 : 운영모듈부130: operation module
본 발명은 침입방지시스템에 관한 것으로서, 특히 네트워크로 유입되는 정상 패킷정보에 대한 오탐지(False Positive) 확률을 최소화하도록 하기 위한 침입방지시스템 및 그 제어방법에 관한 것이다.The present invention relates to an intrusion prevention system, and more particularly, to an intrusion prevention system and its control method for minimizing the probability of false positive for normal packet information flowing into the network.
컴퓨터의 급속한 보급과 인터넷의 사용이 일반화되면서, 인터넷을 통한 서비스 확산에 따라 보안 문제의 중요성이 높아지고 있다. 이러한 보안문제를 해결하기 위해 유해 트래픽에 대한 침입방지 시스템 또는 침입차단 시스템이 개발되었다. 상기 침입방지/침입차단 시스템은 효과적으로 전자적 침해행위를 방지하고 차단할 수 있는 것으로서, 가입자 네트워크와 공중망 네트워크와의 접속점, 또는 가입자 네트워크 내부에 설치하여 입/출력되는 트래픽의 이상 여부를 검출하여 유해 트래픽을 차단하고 있다.With the rapid spread of computers and the general use of the Internet, the importance of security issues is increasing with the spread of services through the Internet. In order to solve this security problem, an intrusion prevention system or intrusion prevention system for harmful traffic has been developed. The intrusion prevention / intrusion blocking system effectively prevents and blocks electronic infringement, and detects an abnormality of traffic that is input / output by installing an access point between a subscriber network and a public network or inside a subscriber network to detect harmful traffic. Blocking
상기 침입방지시스템은 네트워크 관리자가 설정해 놓은 일련의 규칙(보안정책)에 기반을 두고 즉각적인 행동을 취할 수 있는 능력을 가지도록 설계된다. 이를 위하여 대다수의 침입방지시스템은 어떤 한 패킷을 검사하여 그것이 부당한 패킷이라고 판단되면, 해당 아이피(IP)주소 또는 유입 트래픽을 봉쇄하는 한편, 합법적인 트래픽에 대해서는 아무런 방해나 서비스 지연 없이 수신측에 전달하도록 구성된다.The intrusion prevention system is designed to have the ability to take immediate action based on a set of rules (security policy) set by the network administrator. To this end, most intrusion prevention systems inspect a packet and, if determined to be an invalid packet, block the IP address or incoming traffic while forwarding it to the receiving party without any interruption or service delay for legitimate traffic. It is configured to.
이와 더불어, 상기 부당한 패킷에 대한 처리뿐만 아니라 정상 패킷이 공격 패킷으로 잘못 탐지되었을때 이를 다시 탐지하여 서비스 성능을 향상시키기 위한 구성이 제안되고 있다.In addition, a configuration has been proposed to improve the service performance by detecting the invalid packet as well as detecting a normal packet as an attack packet again.
즉, 네트워크 트래픽에 대하여 하드웨어적으로 필터링을 일차 수행하고 다시 소프트웨어적으로 필터링을 이차 수행하는 침입방지시스템(보안시스템)이 제공되어 보다 안전하게 내부 네트워크 망을 보호하고 있다.That is, an intrusion prevention system (security system) that performs filtering on network traffic first and secondly on software again is provided to protect the internal network more safely.
도 1은 이와 같이 다단계로 공격 패킷을 필터링하는 일반적인 침입방지시스템의 구성도이다.1 is a block diagram of a general intrusion prevention system for filtering an attack packet in a multi-step as described above.
도시된 바에 따르면, 침입방지시스템은 공격 패킷에 대한 보안정책(공격룰)을 로딩하기 위한 메모리(SRAM)(1) 및 상기 보안정책을 적용하여 공격 패킷을 필터링하기 위한 탐지/차단 모듈(3)이 구비된 ASIC기반의 패킷전용처리부(5)가 구비된다. 상기 패킷전용처리부(5)는 정적 공격, 즉 단위 패킷만으로 공격 특성을 판단할 수 있는 공격 여부를 일차 필터링한다.As shown, the intrusion prevention system includes a memory (SRAM) 1 for loading a security policy (attack rule) for an attack packet and a detection /
상기 패킷전용처리부(5)에서 처리된 결과를 선별하여 제공받고 일정 시간동안 발생되는 패킷 스트림을 분석하여 이차적으로 공격 패킷을 필터링하는 소프트웨어엔진부(7)가 제공된다. 상기 소프트웨어엔진부(7)에는 상기 처리된 결과로서 유입된 패킷에 대한 차단결과정보, 일차 필터링된 패킷정보, 상기 패킷전용처리부(5)에서 유입된 패킷(즉 전체패킷, 정상패킷, 임의의 조건에 따른 패킷의 일부 정보-헤더정보 등)을 사용자 설정에 의해 선택적으로 전달받으며, 관리자 경보기능(Alert)을 수행하는 패킷처리부(9)와, 상기 유입된 패킷정보 중에서 정상패킷에 대해 패턴 매칭을 다시 수행하여 공격탐지를 탐지하는 S/W탐지부(11)가 제공된다.Provided is a
그리고, 상기 공격 패킷에 대한 탐지결과 정보를 제공받으며 공격룰을 생성하며 상기 공격룰을 공격 패킷의 탐지에 적용하도록 제공하는 운영모듈부(13)가 구성된다. 상기 운영모듈부(13)은 상기 공격룰를 상기 패킷전용처리부(5)와 소프트웨어엔진부(7)에 온라인으로 전송한다.In addition, the
이러한 구성에 따르면, 상기 패킷전용처리부(5)가 일차적으로 패킷정보의 공격여부를 판단하여 대응정책을 적용하고, 상기 패킷전용처리부(5)로부터의 유입된 패킷 정보중에서 아이피(IP) 및 티씨피(TCP) 단으로 쪼개져서 전달되는 패킷 모두에 대해 패턴 매칭을 수행하여 누락될 수 있는 탐지를 소프트웨어엔진부(7)가 이차적으로 다시 수행한다. 따라서 상기 소프트웨어엔진부(7)는 패킷 정보가 공격 패킷으로 판단하면 다시 패킷전용처리부(5)로 대응정책을 전송하고 상기 패킷전용처리부(5)는 상기 대응정책에 따라 정의된 일정 시간동안 상기 패킷 IP(공격자 IP)로부터 유입되는 모든 패킷정보를 차단하게 된다. 이때 상기 패킷 접속과 차단에 대한 탐지결과는 관리자가 확인가능하도록 실시간으로 화면 표시된다.According to this configuration, the packet-
그러나, 종래 침입방지시스템에서 공격 패킷에 대한 필터링을 수행하는데 있어서 다음과 같은 문제점이 있었다.However, there have been the following problems in performing filtering on attack packets in the conventional intrusion prevention system.
종래에는 패킷에 대한 공격여부를 탐지하는데 있어, 다음 [표 1]에 정의된 공격룰을 근거로 판단하고 있다. Conventionally, in detecting the attack on the packet, it is determined based on the attack rules defined in the following [Table 1].
[표 1][Table 1]
하지만, 상기 [표 1]에 정의된 공격룰에는 패킷정보를 탐지하고 그 탐지결과에 따라 차단/접속과 같은 대응정책 정보만을 포함한다.However, the attack rule defined in [Table 1] detects packet information and includes only corresponding policy information such as blocking / access according to the detection result.
따라서 상기 공격룰이 종래 침입방지시스템에 전송되어 적용되면, 상기 공격룰에 의해서만 공격 패킷을 탐지하고 탐지된 이후에는 차단/접속/경고 등의 일반 대응정책만을 수행하게 된다. 이 경우, 정상적인 패킷이 공격 패킷으로 탐지되는 오탐이 발생된 경우에는, 이미 상기 오탐과 대응되는 패킷에 대한 대응정책이 차단으로 설정되어 처리된 상태이기 때문에, 정상 패킷일지라도 네트워크 서비스에서 정상적인 웹 접속 서비스가 차단되거나 또는 정상적인 메일의 송수신이 차단되는 것과 같은 서비스 장애를 발생시키게 된다.Therefore, when the attack rule is transmitted to the conventional intrusion prevention system and applied, the attack packet is detected only by the attack rule, and after the detection, only general response policies such as blocking / access / warning are performed. In this case, when a false positive that a normal packet is detected as an attack packet is generated, since the response policy for the packet corresponding to the false positive has already been set and processed, even if the normal packet is a normal web access service in the network service. May cause a service failure such as blocking or normal mail transmission and reception.
그리고, 설명한 바와 같이 정상 패킷을 잘못 탐지하는 경우에 대비하여 공격룰의 대응정책에서 공격 패킷에 대해 탐지모드로만 설정하게 되면 탐지모드에서 탐지한 실제 공격 패킷에 대해 적극적으로 대처할 수 없다. 다시 말해, 종래 침입방지시스템에서는 오탐에 대한 대응정책이 탐지 후 차단/접속 상태만이 제공되고 있어 공격 패킷에 대한 침입방지를 제대로 적용할 수 없었다.As described above, in case of detecting a normal packet incorrectly, if the attack policy is set to the detection mode only in the response policy of the attack rule, it cannot actively cope with the actual attack packet detected in the detection mode. In other words, in the conventional intrusion prevention system, the response policy for false positives is provided only after the detection / blocking / connection state, so that the intrusion prevention for the attack packet could not be properly applied.
이에 본 발명은 상기한 문제점을 해결하기 위하여 안출된 것으로서, 이차적으로 탐지된 공격에 적용되는 공격룰 정보를 별도 관리하고, 그 공격룰의 누적된 정보 결과를 참조하여 유해 트래픽 발생 예측과 함께 정상 패킷에 대한 오탐을 최소화하도록 제어하는 침입방지시스템 및 그 제어방법을 제공함에 그 목적이 있는 것이다.Accordingly, the present invention has been made to solve the above problems, and separately manages the attack rule information applied to the secondary detected attack, and referring to the cumulative information result of the attack rule, the normal packet together with the prediction of harmful traffic occurrence It is an object of the present invention to provide an intrusion prevention system and a control method thereof to minimize false positives.
상기한 목적을 달성하기 위하여 본 발명에 의한 침입방지시스템은, 침입방지 시스템에 있어서, 소정 공격룰 적용에 따라 패킷정보를 소프트웨어적으로 탐지하는 탐지부, 상기 탐지결과 상기 공격룰의 특성에 따라 탐지된 공격패킷에 대한 공격룰 발생정보를 저장하는 저장부, 그리고 상기 공격룰 발생정보를 미리 설정한 임계값과 비교하고 임계값 초과시에 상기 공격패킷을 선택적으로 차단하도록 대응모드를 제공하는 분석대응모듈을 포함하는 것을 특징으로 한다.In order to achieve the above object, intrusion prevention system according to the present invention, the intrusion prevention system, a detection unit for detecting the packet information by software according to the application of a predetermined attack rule, the detection result detected according to the characteristics of the attack rule A storage unit for storing attack rule generation information for the attack packet, and an analysis response module for comparing the attack rule generation information with a preset threshold and providing a response mode to selectively block the attack packet when the threshold is exceeded. Characterized in that it comprises a.
본 발명은 상기 탐지부의 탐지결과를 제공받아 분석하며, 상기 탐지부에 적용되는 상기 공격룰을 생성하여 제공하는 운영모듈부를 더 포함하여 구성된다.The present invention further comprises an operation module unit for receiving and analyzing the detection result of the detection unit and generating and providing the attack rule applied to the detection unit.
본 발명은 하드웨어적인 필터링을 수행하는 패킷처리모듈로부터 패킷정보를 전달받아 관리자 경보기능을 수행하며, 상기 패킷정보를 상기 공격룰 특성에 따라 상기 탐지부로 전송하는 패킷처리부를 더 포함하여 구성된다.The present invention is configured to receive the packet information from the packet processing module for performing the hardware filtering to perform an administrator alert function, and further comprises a packet processing unit for transmitting the packet information to the detection unit according to the attack rule characteristics.
본 발명의 상기 패킷처리부는 상기 패킷처리모듈이 네트워크로 유입되는 패킷정보에 대한 공격 탐지에 제한이 있는 경우 일부를 상기 탐지부로 분산 제공한다.The packet processing unit of the present invention distributes a part of the packet processing module to the detection unit when there is a limitation in detecting an attack on packet information flowing into the network.
또한, 상기한 목적을 달성하기 위하여 본 발명에 다른 실시 예에 의한 침입방지시스템은, 침입방지시스템에 있어서, 패킷정보에 대한 하드웨어적인 필터링을 일차 수행하는 패킷전용처리모듈, 그리고 상기 패킷전용처리모듈로부터 전달된 패킷정보에 대한 소프트웨어적인 필터링을 이차 수행하고 탐지된 공격 패킷에 대한 공격룰 정보를 관리한 후 대응정책을 적용하는 소프트웨어탐지모듈을 포함하는 것을 특징으로 한다.In addition, in order to achieve the above object, the intrusion prevention system according to another embodiment of the present invention, in the intrusion prevention system, a packet-only processing module for performing hardware filtering on the packet information first, and the packet-only processing module And a software detection module which performs software filtering on the packet information transmitted from the second hand, manages attack rule information on the detected attack packet, and applies a response policy.
본 발명의 상기 소프트웨어탐지모듈은, 상기 패킷전용처리모듈로부터 패킷정 보를 전달받고 상기 공격룰 특성에 따라 패킷정보를 분류하는 패킷처리부, 상기 패킷처리부로부터 패킷정보를 전달받고 소프트웨어적으로 탐지하는 탐지부, 상기 탐지결과 상기 공격룰의 특성에 따라 탐지된 공격패킷에 대한 공격룰 발생정보를 저장하는 저장부, 그리고 상기 공격룰 발생정보를 임계값과 비교하고 임계값 초과시에 상기 공격패킷을 선택적으로 차단하는 대응모듈을 포함하여 구성된다.The software detection module of the present invention includes: a packet processing unit for receiving packet information from the packet dedicated processing module and classifying packet information according to the attack rule characteristics, and a detection unit receiving packet information from the packet processing unit and software-detecting the packet information. A storage unit for storing attack rule generation information on the attack packet detected according to the characteristics of the attack result, and comparing the attack rule generation information with a threshold value and selectively blocking the attack packet when the threshold value is exceeded. It is configured to include a corresponding module.
본 발명에서 상기 공격룰은, 오탐지수준, 룰 적용수준, 컨텐츠분석레벨, 그리고 오탐수준별 대응모드 정보를 포함하여 구성된다.In the present invention, the attack rule includes a false detection level, rule application level, content analysis level, and corresponding mode information for each false detection level.
본 발명에서 상기 오탐지수준은 정상 패킷의 오탐 가능성에 따라 임의로 설정할 수 있다.In the present invention, the false positive detection level can be arbitrarily set according to the false positive probability of the normal packet.
본 발명의 상기 룰 적용수준은, 상기 오탐지수준에 따라 하드웨어 또는/ 및 소프트웨어 방식에 의해 공격룰이 적용된다.In the rule application level of the present invention, an attack rule is applied by hardware or / and software according to the false detection level.
본 발명의 상기 컨텐츠 분석레벨은, 패킷기반, 세션기반, AP기반 중 어느 하나에 의해 탐지할 것인지를 결정하도록 한다.The content analysis level of the present invention allows to determine whether to detect by packet-based, session-based, AP-based.
본 발명의 상기 오탐 수준별 대응모드는, 차단, 탐지, 및 탐지 후 자동분석대응모드가 제공된다.Corresponding mode for each false level of the present invention, the automatic analysis corresponding mode is provided after blocking, detecting, and detecting.
본 발명의 상기 대응모듈은 상기 공격룰 발생정보를 카운팅하여 누적관리하고 있다.The corresponding module of the present invention counts and manages the attack rule generation information.
본 발명의 상기 공격룰 특성은 패킷 정보에 대하여 탐지 후 자동분석대응모드인 것이 바람직하다. 그리고 상기 공격룰 발생정보는 공격룰 식별번호, 누적건수, 발생간격이다. It is preferable that the attack rule characteristic of the present invention is an automatic analysis response mode after detection for packet information. The attack rule occurrence information is an attack rule identification number, a cumulative number, and an occurrence interval.
또한, 본 발명에 의한 침입방지시스템의 제어방법은, 하드웨어적 필터링이 수행된 패킷정보를 전달받는 단계, 상기 패킷정보에 대하여 소프트웨어적으로 공격 탐지를 수행하는 단계, 상기 공격 탐지된 경우 해당 공격룰에 대한 발생 정보를 등록하는 단계, 상기 등록된 발생 정보의 누적 횟수와 임계값을 비교하고, 비교 결과에 따라 임계값을 초과하면 공격패킷을 차단하는 단계를 포함하는 것을 특징으로 한다.In addition, the control method of the intrusion prevention system according to the present invention, the step of receiving the packet information, the hardware filtering is performed, the step of performing an attack detection in software on the packet information, if the attack is detected the attack rule Registering the occurrence information for the; comparing the accumulated number of occurrences of the registered occurrence information with a threshold value; and blocking the attack packet when the threshold value is exceeded according to the comparison result.
본 발명에서 상기 패킷정보 전달은 상기 공격룰이 소프트웨어적 필터링에 적용된 경우에 수행된다.In the present invention, the packet information transmission is performed when the attack rule is applied to software filtering.
본 발명에서 상기 공격 탐지에 의해 공격 패킷이 탐지되면 자동분석대응모드를 수행하도록 하는 것이 바람직하다.In the present invention, when an attack packet is detected by the attack detection, it is preferable to perform an automatic analysis response mode.
본 발명에서 상기 공격룰의 발생 정보는 탐지된 공격 패킷에 대한 공격룰 식별번호, 누적건수, 발생간격이다.In the present invention, the occurrence information of the attack rule is an attack rule identification number, cumulative number, occurrence interval for the detected attack packet.
본 발명에서 제공하는 상기 임계값은 상기 공격패킷을 탐지한 공격룰의 발생정보에 따라 공격패킷을 차단하도록 미리 설정되는 것이다.The threshold value provided by the present invention is set in advance to block the attack packet according to the occurrence information of the attack rule detecting the attack packet.
본 발명의 상기 공격룰은, 오탐지수준, 룰 적용수준, 컨텐츠분석레벨, 그리고 오탐수준별 대응모드 정보를 포함하여 이루어진다.The attack rule of the present invention includes a false detection level, a rule application level, a content analysis level, and corresponding mode information for each false detection level.
본 발명에서 상기 오탐지수준은 정상 패킷의 오탐 가능성에 따라 임의로 설정하고, 상기 룰 적용수준은 상기 오탐지수준에 따라 하드웨어 또는/ 및 소프트웨어 방식에 의해 공격룰을 적용하고, 상기 컨텐츠 분석레벨은, 패킷기반, 세션기반, AP기반을 선택적으로 분석하도록 하고, 상기 오탐 수준별 대응모드는, 차단, 탐지, 및 탐지 후 자동분석대응모드가 적용되도록 한다.In the present invention, the false detection level is arbitrarily set according to the probability of false detection of a normal packet, and the rule application level applies an attack rule by hardware or / and software method according to the false detection level, and the content analysis level is: The packet-based, session-based, and AP-based analysis can be selectively performed. The false-correspondence mode corresponding to the false detection level allows the automatic analysis response mode to be applied after blocking, detecting, and detecting.
본 발명은 상기 공격룰의 오탐지수준에 따라 상기 오탐 수준별 대응모드를 선택적으로 적용하게 된다.The present invention selectively applies the corresponding mode for each false detection level according to the false detection level of the attack rule.
본 발명은 상기 등록된 정보의 누적 횟수에 의하여 유해트래픽 발생을 인지하고 상기 자동분석대응모드를 적용하게 된다.The present invention recognizes harmful traffic based on the accumulated number of registered information and applies the automatic analysis response mode.
또한, 본 발명에 의한 다른 기술적 특징은, 네트워크로부터 트래픽이 발생하는 단계와, 상기 발생된 트랙픽의 패킷 정보에 대하여 하드웨어적 필터링을 수행하는 단계와, 상기 하드웨어적 필터링에 의해 필터링된 패킷 정보 또는 상기 하드웨어적 필터링이 수행되지 않은 패킷 정보를 소프트웨어적으로 탐지하도록 분산 제공하는 단계를 포함하게 된다.In addition, another technical feature according to the present invention is the step of generating traffic from the network, performing hardware filtering on the packet information of the generated traffic, packet information filtered by the hardware filtering or the And distributedly providing software to detect packet information for which hardware filtering has not been performed.
이와 같은 구성을 갖는 본 발명에 따르면, 유입된 트래픽에서 공격 패킷을 탐지하는 경우에 그 공격에 대한 공격룰을 별도 관리하고 누적된 결과를 기반으로 공격 패킷을 차단 적용함을 알 수 있으며, 유해트래픽 발생 여부를 예측할 수 있다.According to the present invention having such a configuration, when detecting an attack packet in the inflowed traffic, it can be seen that the attack rule for the attack is separately managed and the attack packet is blocked based on the accumulated result. You can predict whether it will happen.
이하, 본 발명에 의한 침입방지시스템 및 그 제어방법을 첨부된 도면에 도시된 바람직한 실시 예를 참조하여 상세하게 설명한다.Hereinafter, an intrusion prevention system and a control method thereof according to the present invention will be described in detail with reference to a preferred embodiment shown in the accompanying drawings.
도 2에는 본 발명의 바람직한 실시 예에 따른 침입방지시스템 구성도가 도시되어 있다.2 is a block diagram of an intrusion prevention system according to a preferred embodiment of the present invention.
본 발명의 침입방지시스템의 구성은 종래 침입방지시스템 구성과 유사하며, 이에 상이한 구성을 중점적으로 설명하기로 한다.The configuration of the intrusion prevention system of the present invention is similar to that of the conventional intrusion prevention system, and the different configuration will be mainly described.
도면을 참조하면, 외부 네트워크에서 유입되는 트래픽 공격을 차단하기 위하여 하드웨어적인 필터링을 수행하는 패킷전용처리부(100)와 소프트웨어적인 필터링을 수행하는 소프트웨어엔진부(120)가 구비된다. 그리고 공격 패킷에 대한 대응방안으로서의 공격룰을 생성하고 이를 상기 패킷전용처리부(100)와 소프트웨어엔진부(120)에 전달하는 운영모듈부(130)가 구비된다. 통상 상기 공격룰은 상기 운영모듈부(130)로부터 온라인 방식으로 전송된다.Referring to the drawings, a packet-
상기 소프트웨어엔진부(120)는, 상기 패킷전용처리부(100)에서 처리된 결과로서 유입된 패킷에 대한 차단결과정보, 일차로 필터링된 패킷정보, 상기 패킷전용처리부에서 유입된 패킷(즉 전체패킷, 정상패킷, 임의의 조건에 따른 패킷의 일부 정보-헤더정보등)을 사용자 설정에 의해 선택적으로 전달받으며, 관리자 경보기능을 수행하는 패킷처리부(122)와, 상기 패킷처리부(122)에 전달된 공격 패킷을 다시 탐지하는 S/W탐지부(124)가 제공된다. 그리고 상기 S/W탐지부(124)에 의해 공격 패킷으로 탐지되면 해당 공격 패킷에 대한 공격룰 발생정보를 누적 관리하여 재분석하도록 상기 탐지된 공격에 대한 상기 발생정보를 저장하는 관리맵(128)이 구비된다. 상기 관리맵(128)을 참조하고 미리 설정된 임계치와의 비교에 따라 대응정책을 상기 패킷처리부(122)로 전송하여 탐지된 패킷IP이 차단되도록 하는 분석대응부(126)가 구비된다. 상기 관리맵(128)은 단위 시간별로 클리어(clear)된다.The
그리고 상기 재분석은 상기 공격룰의 대응모드별로 모두 적용되는 것이 아니고, 공격룰 특성이 자동분석대응대상이며 탐지 모드인 경우로 한정된다.In addition, the reanalysis is not applied to every response mode of the attack rule, but is limited to a case in which the attack rule characteristic is an automatic analysis response target and a detection mode.
한편, 본 발명에 적용되는 공격룰은 다음 [표 2]와 같이 정의된다. 공격룰은 앞서 종래기술에서 설명한 보안정책정보에 오탐지수준/룰 적용수준/컨텐츠분석레벨/오탐수준별대응 정보가 추가되는 정보이다. 이러한 공격룰도 미리 설정되며 침입방지시스템의 로딩시점에 운영모듈부(130)로부터 제공되어 패킷정보에 대한 탐지모드를 제공한다. 상기 추가된 공격룰은 다음 [표 2]와 같이 정의한다.On the other hand, the attack rule applied to the present invention is defined as follows [Table 2]. The attack rule is information to which the corresponding detection information for false detection level / rule application level / content analysis level / error level is added to the security policy information described in the prior art. These attack rules are also preset and provided from the
[표 2][Table 2]
2: 오탐가능성5%이상
3: 오탐가능성 50%이상 1: 5% or less false positive
2: 5% or more false positive probability
3: 50% false positive probability
1 : S/W만 적용
3 : H/W, S/W모두 적용0: H / W only
1: S / W only
3: Apply to both H / W and S / W
1 : 세션
2 : AP 분석0: packet
1: Session
2: AP analysis
탐지후 자동분석
탐지block
Automatic analysis after detection
Detection
여기서, 상기 오탐지 수준은, 정상 패킷에 대한 오탐 가능성에 따라 복수 단계로 구분할 수 있다. 본 발명에서는 이를 3단계로 정의한다. 제 1단계는 오탐 가능성이 5%이하인 경우, 제 2단계는 오탐 가능성이 5% 이상인 경우, 제 3단계는 오탐 가능성이 50%이상인 경우이다. 상기 제 2단계는 오탐지 발생가능성을 모니터링 한 후에 유입되는 패킷을 차단해야 하는 경우이고, 상기 제 3단계는 상기 패킷정보의 공격룰의 속성자체인 아이피(IP), 포트(Port) 등의 헤더 및 컨텐츠 정보를 탐지모드로만 운영되어야 할 수준이다. 물론, 상기 오탐 가능성의 각각의 %는 각 사이트에 따른 요구에 의해 조정 가능하다.Here, the false detection level may be divided into a plurality of stages according to the possibility of false positive for normal packets. In the present invention, this is defined as three steps. In the first stage, the probability of false positives is 5% or less, in the second stage, the probability of false positives is 5% or more, and in the third stage, the probability of false positives is 50% or more. The second step is to block incoming packets after monitoring the likelihood of false positive detection, and the third step is to include headers such as IP and port, which are attributes of the attack rule of the packet information. And content information should be operated only in the detection mode. Of course, each% of the false positives can be adjusted to the requirements according to each site.
이러한 오탐지 수준에 의해 공격룰의 적용수준이 결정된다. 상기 적용수준은 상기 오탐수준에 따라 상기 패킷전용처리부(100)만 적용할지, 또는 상기 소프트웨어엔진부(120)만 적용할지, 또는 상기 패킷전용처리부(100)와 소프트웨어엔진부(120)에 모두 적용할지가 결정된다.The level of false positive detection determines the level of application of the attack rule. The application level applies only the packet-only
또한, 컨텐츠 분석레벨은 패킷기반, 세션기반, AP분석기반 중 어느 하나의 방식으로 탐지할 수 있도록 한다. In addition, the content analysis level may be detected by any one of packet-based, session-based, and AP-based analysis.
또한, 오탐 수준별 대응을 결정한다. 상기 오탐 수준별 대응에는 공격 패킷으로 탐지된 경우에 차단/접속으로만 설정되지 않고, 탐지 이후에 그 공격 패킷에 대해 자동분석대응모드가 실시되도록 제공한다. 상기 자동분석대응모드는 오탐 가능성이 높은 공격룰에 대해 별도 관리하여 분석하도록 하고, 그 분석결과에 따라 미리 설정된 대응모드를 적용하도록 한다.It also determines the response by false positive level. In response to the false detection level, it is provided that the automatic analysis response mode is performed on the attack packet after the detection, instead of being set only as blocking / connection when it is detected as an attack packet. The automatic analysis response mode allows to separately manage and analyze an attack rule having a high probability of false detection, and apply a preset response mode according to the analysis result.
이어 상기한 바와 같은 구성을 가지는 본 발명에 의한 침입방지시스템의 제어방법을 도 2 및 도 3을 참고하여 상세하게 설명한다.Next, the control method of the intrusion prevention system according to the present invention having the configuration as described above will be described in detail with reference to FIGS. 2 and 3.
먼저, 본 발명의 침입방지시스템으로 유입되는 패킷 정보에 대하여 공격룰을 어떤 방식으로 적용할 것인지를 결정한다(제 200 단계). 상기 공격룰은 종래 제공되는 보안정책(표 1) 이외에 오탐지수준, 룰 적용수준, 컨텐츠 분석레벨, 오탐수준별 대응모드가 포함된다. 이에 본 발명의 실시 예에서는 상기 패킷전용처리부(100)로부터 유입되는 패킷정보를 탐지함에 있어 룰 적용수준이 하드웨어적/소프트웨어적으로 모두 탐지할 수 있도록 설정된다. 아울러 상기 소프트웨어엔진부(120)에서 공격패킷을 탐지한 경우 대응모드로서 탐지후 자동분석대응모드가 실행되도록 설정된다. 물론, 상기 오탐지수준 및 컨텐츠 분석레벨도 사용자 설정에 의해 결정된다. 이와 같이 결정된 공격룰은 침입방지시스템이 구동될 때 로딩 시점에 운영모듈부(130)로부터 전송되어 탐지 동작에 적용되도록 한다.First, it is determined how to apply an attack rule to the packet information flowing into the intrusion prevention system of the present invention (step 200). The attack rule includes a misdetection level, a rule application level, a content analysis level, and a correspondence mode for each misdetection level in addition to the security policy (Table 1) provided in the related art. Accordingly, in the embodiment of the present invention, the rule application level is set to detect both hardware and software in detecting packet information flowing from the packet dedicated
다음, 상기 공격룰이 적용된 상태에서 다량의 트래픽이 발생되어 패킷전용처 리부(100)로 유입된다. 그러면 제 202 단계에서 상기 패킷전용처리부(100)는 패킷정보의 공격여부를 탐지하고 그 탐지결과에 따라 대응정책을 적용한다. 즉 정상패킷인 경우 서비스가 정상적으로 이루어지도록 한다. 또한, 제 204 단계와 같이 상기 패킷처리부(122)는 상기 패킷전용처리부(100)에서 상기 탐지결과 정보와 함께 유입된 패킷(즉 전체패킷, 정상패킷, 임의의 조건에 따른 패킷의 일부 정보-헤더정보 등)을 사용자 설정에 의해 선택적으로 전달받고, 상기 탐지결과 정보를 운영모듈부(130)로 전달하거나, 또는 상기 운영모듈부(130)로부터 전송받은 공격룰 특성에 따라 상기 유입된 패킷을 S/W탐지부(124)로 전달한다. 이는 상기 공격룰 특성이 상기 유입되는 패킷에 대해 하드웨어 및 소프트웨어를 모두 적용하여 공격패킷을 탐지하도록 설정된 경우이다. 만일 하드웨어로만 탐지모드가 설정된 경우에는 상기 패킷에 대한 공격여부를 판단하고 대응정책에 따라 차단/접속하게 된다.Next, a large amount of traffic is generated in the state that the attack rule is applied to the packet-only
다음으로, 상기 S/W탐지부(124)는 상기 유입된 패킷들에 대하여 공격룰에 의해 공격 탐지를 이차적으로 수행한다(제 206 단계, 제 208 단계). 그리고 제 210 단계와 같이 상기 공격 탐지 수행에 따라 탐지가 되지 않는 경우 즉 정상 패킷으로 판단된 경우에는 그 패킷이 요구하는 서비스를 제공하도록 한다(제 222 단계). 물론 탐지가 되어 공격 패킷으로 판단된 경우에는 패킷 접속을 차단하게 된다.Next, the S /
그러나, 본 발명에서는 탐지가 된 공격 패킷을 바로 차단하지 않고 제 212 단계와 같이 이를 후술하는 자동분석대응모드에 의해 별도 관리하도록 한다. 이는 정상 패킷을 공격 패킷으로 잘못 탐지할 수 있으며, 이러한 오탐에 따라 대응정책으로서의 서비스 차단을 바로 적용하는 경우에는 서비스 제공에 문제가 발생할 수 있기 때문이다.However, in the present invention, instead of blocking the detected attack packet immediately, it is separately managed by the automatic analysis response mode described later as in
따라서, 상기 S/W탐지부(124)의 탐지결과에 따라 공격 패킷이 탐지가 되었을 때 그에 대한 대응모드가 자동분석대응모드인 경우이면, 우선 상기 S/W탐지부(124)는 상기 탐지된 공격 패킷에 대한 공격룰의 발생정보로서의 룰 식별번호(ID), 누적건수, 발생간격 등을 관리맵(128)에 등록하도록 한다(제 214 단계).Therefore, when an attack packet is detected according to the detection result of the S /
상기 관리맵(128)에는 소프트웨어에 의해 공격 패킷으로 판단된 패킷 정보에 대한 공격룰 발생정보가 누적되어 등록된다. 즉 임의의 서비스 요청에 대한 패킷정보가 공격 패킷일지라도 이를 바로 차단하지 않고 이를 탐지한 공격룰을 별도로 관리하고 있다.The
다음, 상기 분석대응부(126)는 상기 S/W탐지부(124)로부터 전달되는 공격룰 발생정보를 관리맵(128)에서 카운트한다. 상기 공격룰 발생정보가 관리맵(128)에 이미 등록된 경우에는 그 공격룰 발생정보를 카운팅하여 누적시키고, 최초 공격룰 정보인 경우에는 이를 등록하면서 카운팅 과정을 수행하도록 한다.Next, the
이후, 제 216 단계에서 상기 분석대응부(126)는 상기 공격룰 발생정보가 카운팅되는 횟수를 일정한 임계값과 비교한다. 상기 임계값은 상기 공격패킷을 탐지한 공격룰의 발생정보에 따른 차단모드의 적용여부를 판단하도록 미리 설정되어 있는 값이다. 그와 같이 상기 분석대응부(126)가 카운팅을 하면서 임계값과 비교한 후, 상기 비교결과 임계값에 도달되지 않는 경우에는 상기 분석대응부(126)는 상기 공격룰에 대한 발생정보를 운영모듈부(130)로 통보하기만 한다(제 217 단계). In
그러나 만일 상기 임계값을 초과하게 되면 정해진 시간내에 상기 분석대응 부(126)는 상기 패킷처리부(122)를 통해 해당되는 패킷IP를 차단하도록 차단모드를 자동으로 적용하거나 또는 운영모듈부(130)로 통보하여 공격룰 변경을 할 수 있도록 한다(제 218 단계, 제 220 단계). 여기서 상기 공격룰 발생정보를 저장하는 관리맵(128)는 단위 시간별로 상기 누적된 카운터가 클리어된다(제 219 단계).However, if the threshold value is exceeded, the
한편, 본 발명은 공격 패킷에 대한 공격룰이 적용되어 탐지를 하는 경우에 그 탐지결과를 근거로 유해 트래픽의 발생 가능성을 예측할 수도 있다. 임의의 패킷이 계속 발생되고 이에 대해 공격룰은 공격 패킷으로 판단하면서 그 공격룰의 발생정보를 누적관리하기 때문에, 어느 패킷이 공격적으로 발생되고 있음을 알 수 있는 것이다.Meanwhile, the present invention may predict the possibility of harmful traffic based on the detection result when the detection rule is applied and applied to the attack packet. Since random packets continue to be generated and the attack rule determines that the attack packet is an attack packet, the occurrence information of the attack rule is accumulated and managed.
이상과 같이, 본 발명의 도시된 실시 예를 참고하여 설명하고 있으나, 이는 예시적인 것들에 불과하며, 본 발명이 속하는 기술 분야의 통상 지식을 가진 자라면 본 발명의 요지 및 범위에 벗어나지 않으면서도 다양한 변형, 변경 및 균등한 타 실시 예들이 가능하다는 것을 명백하게 알 수 있을 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 청구범위의 기술적인 사상에 의해 정해져야 할 것이다.As described above, it has been described with reference to the illustrated embodiment of the present invention, which is merely exemplary, those skilled in the art to which the present invention pertains without departing from the spirit and scope of the invention It will be apparent that other variations, modifications and equivalents are possible. Therefore, the true scope of the present invention should be determined by the technical idea of the appended claims.
이상에서 설명한 바와 같이 본 발명의 침입방지시스템 및 그 제어방법에 따르면, 정상 패킷을 공격 패킷으로 잘못 탐지하게 되는 가능성이 있는 공격룰을 별도로 누적 관리하고, 그 누적된 공격룰 정보를 미리 설정한 임계값과 비교한 후 임 계값을 초과하는 경우에 한하여 공격 패킷을 차단적용하기 때문에, 오탐지로 인하여 정상 패킷이 요구하는 서비스를 바로 차단하는 경우를 최소화할 수 있어 네트워크 서비스를 효율적으로 제공하는 효과가 있다.As described above, according to the intrusion prevention system of the present invention and the control method thereof, a threshold that separately accumulates and manages an attack rule that may incorrectly detect a normal packet as an attack packet, and sets the accumulated attack rule information in advance. Since the attack packet is blocked only when the threshold value is exceeded after comparing with the value, it is possible to minimize the case in which the normal packet directly blocks the service due to false detection, thus providing an effective network service. have.
또한, 본 발명은 공격룰 정보에 따라 유해 트래픽의 발생 가능성을 예측하여 방어할 수 있다.In addition, the present invention can predict and defend the possibility of harmful traffic according to the attack rule information.
또한, 본 발명은 유입되는 트래픽에 대하여 공격룰을 하드웨어적 또는 소프트웨어적으로 분산 처리할 수 있어 서비스 속도를 향상시킬 수 있다.In addition, the present invention can distribute the attack rules to the incoming traffic in hardware or software can improve the service speed.
Claims (24)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060053964A KR101268104B1 (en) | 2006-06-15 | 2006-06-15 | Intrusion prevention system and controlling method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060053964A KR101268104B1 (en) | 2006-06-15 | 2006-06-15 | Intrusion prevention system and controlling method |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20070119382A KR20070119382A (en) | 2007-12-20 |
KR101268104B1 true KR101268104B1 (en) | 2013-05-29 |
Family
ID=39137718
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060053964A KR101268104B1 (en) | 2006-06-15 | 2006-06-15 | Intrusion prevention system and controlling method |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101268104B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102014044B1 (en) | 2019-02-18 | 2019-10-21 | 한국남동발전 주식회사 | Intrusion prevention system and method capable of blocking l2 packet |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101275709B1 (en) * | 2011-12-22 | 2013-07-30 | (주)소만사 | Packet processing system for network based data loss prevention capable of distributed processing depending on application protocol and method thereof |
EP2880819A4 (en) * | 2012-07-31 | 2016-03-09 | Hewlett Packard Development Co | Network traffic processing system |
KR102152309B1 (en) * | 2018-10-05 | 2020-09-04 | (주)피즐리소프트 | The packet-based threats detection method of providing encrypt traffic visiblity with yara detection |
CN114285624B (en) * | 2021-12-21 | 2024-05-24 | 天翼云科技有限公司 | Attack message identification method, device, network equipment and storage medium |
-
2006
- 2006-06-15 KR KR1020060053964A patent/KR101268104B1/en active IP Right Grant
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102014044B1 (en) | 2019-02-18 | 2019-10-21 | 한국남동발전 주식회사 | Intrusion prevention system and method capable of blocking l2 packet |
Also Published As
Publication number | Publication date |
---|---|
KR20070119382A (en) | 2007-12-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101404352B1 (en) | Method for adapting security policies of an information system infrastructure | |
CN101136922B (en) | Service stream recognizing method, device and distributed refusal service attack defending method, system | |
KR100609170B1 (en) | system of network security and working method thereof | |
CN100443910C (en) | Active network defense system and method | |
US7832009B2 (en) | Techniques for preventing attacks on computer systems and networks | |
US7889735B2 (en) | Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs | |
US20100251370A1 (en) | Network intrusion detection system | |
US20090031422A1 (en) | Methods and systems that selectively resurrect blocked communications between devices | |
EP1911241B1 (en) | Method for defending against denial of service attacks in ip networks by target victim self-identification and control | |
JP2007094997A (en) | Event analysis of ids and warning system | |
CN101064597B (en) | Network security device and method for processing packet data using the same | |
US7854000B2 (en) | Method and system for addressing attacks on a computer connected to a network | |
WO2020176174A1 (en) | Methods, systems, and computer readable media for dynamically remediating a security system entity | |
US8839406B2 (en) | Method and apparatus for controlling blocking of service attack by using access control list | |
KR101268104B1 (en) | Intrusion prevention system and controlling method | |
KR100756462B1 (en) | Method for management a self-learning data in Intrusion prevention system and Method for handling a malicious traffic using the same | |
JP2005134972A (en) | Firewall device | |
JP2004030287A (en) | Bi-directional network intrusion detection system and bi-directional intrusion detection program | |
KR100613904B1 (en) | Apparatus and method for defeating network attacks with abnormal IP address | |
KR101400127B1 (en) | Method and apparatus for detecting abnormal data packet | |
KR100439174B1 (en) | Method for managing alert database and policy propagation in ladon-security gateway system | |
CN115913693A (en) | Network security protection method and device, electronic equipment and storage medium | |
CN115277173A (en) | Network security monitoring management system and method | |
CN115865517A (en) | Attack detection method and system for big data application | |
Choudhary et al. | A secure lightweight algorithm for protecting network from DoS attack |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
N231 | Notification of change of applicant | ||
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E90F | Notification of reason for final refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20160308 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20170403 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20180404 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20190401 Year of fee payment: 7 |