KR101268104B1 - Intrusion prevention system and controlling method - Google Patents

Intrusion prevention system and controlling method Download PDF

Info

Publication number
KR101268104B1
KR101268104B1 KR1020060053964A KR20060053964A KR101268104B1 KR 101268104 B1 KR101268104 B1 KR 101268104B1 KR 1020060053964 A KR1020060053964 A KR 1020060053964A KR 20060053964 A KR20060053964 A KR 20060053964A KR 101268104 B1 KR101268104 B1 KR 101268104B1
Authority
KR
South Korea
Prior art keywords
attack
packet
rule
information
detection
Prior art date
Application number
KR1020060053964A
Other languages
Korean (ko)
Other versions
KR20070119382A (en
Inventor
손소라
표승종
유연식
Original Assignee
주식회사 엘지씨엔에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘지씨엔에스 filed Critical 주식회사 엘지씨엔에스
Priority to KR1020060053964A priority Critical patent/KR101268104B1/en
Publication of KR20070119382A publication Critical patent/KR20070119382A/en
Application granted granted Critical
Publication of KR101268104B1 publication Critical patent/KR101268104B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 정상 패킷을 공격 패킷으로 오탐지하는 가능성을 최소화시키는 침입방지시스템 및 그 제어방법에 관한 것이다. 본 발명은 공격 패킷을 탐지하기 위한 공격룰이 미리 설정된다. 상기 공격룰은 오탐지수준, 룰 적용수준, 컨텐츠분석레벨, 그리고 오탐수준별 대응모드 정보를 포함한다. 상기 공격룰 설정중에서 탐지 후 자동대응모드가 설정된 경우에 한하여 네트워크로부터 유입된 트래픽에 대한 공격 패킷을 소프트웨어적으로 다시 탐지하도록 하고, 탐지된 공격 패킷에 대한 공격룰 발생정보를 누적관리한다. 상기 공격룰 발생정보는 대응모듈에 의해 지속적으로 누적 관리되며, 관리자에 의해 미리 설정된 임계값과 계속 비교되도록 한다. 상기 비교 결과에 따라 임의의 공격룰 발생정보가 임계값을 초과하는 경우 해당 공격 패킷을 자동 차단하게 된다. 이에 따라 본 발명은 공격 패킷이 탐지되더라도 이를 바로 차단하지 않고 임계값과의 비교결과에 따라서 공격 패킷을 탐지 후 자동대응모드에 따라 선택적으로 차단하기 때문에 오탐에 의해 정상 서비스가 제공되지 못하는 것을 최소화할 수 있는 잇점이 있다. 또한 공격룰 정보를 계속 누적 관리하기 때문에 유해 트래픽의 발생 가능성을 미리 인지하여 방지할 수도 있다.

Figure R1020060053964

침입방지시스템, 오탐지, 공격룰, 탐지룰, 소프트웨어/하드웨어 필터링

The present invention relates to an intrusion prevention system and a control method thereof that minimize the possibility of false detection of a normal packet as an attack packet. In the present invention, an attack rule for detecting an attack packet is preset. The attack rule includes false detection level, rule application level, content analysis level, and corresponding mode information for each false detection level. Only when the automatic response mode is set during the detection of the attack rule, the attack packet for the traffic flowing from the network is detected again by software, and the attack rule generation information for the detected attack packet is accumulated and managed. The attack rule generation information is continuously accumulated and managed by the corresponding module, and is continuously compared with a threshold set by the administrator. According to the comparison result, if any attack rule generation information exceeds the threshold, the attack packet is automatically blocked. Accordingly, the present invention does not immediately block the attack packet even if it is detected, and selectively blocks the attack packet according to the automatic response mode after detecting the attack packet according to the comparison result with the threshold value, thereby minimizing the inability to provide normal service by false positives. There is an advantage to this. In addition, since attack rule information is continuously managed, the possibility of harmful traffic can be recognized in advance and prevented.

Figure R1020060053964

Intrusion Prevention System, False Detection, Attack Rule, Detection Rule, Software / Hardware Filtering

Description

침입방지시스템 및 그 제어방법{INTRUSION PREVENTION SYSTEM AND CONTROLLING METHOD} Intrusion Prevention System and Control Method {INTRUSION PREVENTION SYSTEM AND CONTROLLING METHOD}

도 1은 일반적인 침입방지시스템의 구성도.1 is a block diagram of a general intrusion prevention system.

도 2는 본 발명의 바람직한 실시 예에 따른 침입방지시스템 구성도.Figure 2 is a block diagram of an intrusion prevention system according to a preferred embodiment of the present invention.

도 3은 본 발명의 바람직한 실시 예에 따라 공격패킷을 소프트웨어적으로 탐지하고 미리 정의된 대응정책을 적용하는 처리흐름도.3 is a flowchart illustrating a software detection of an attack packet and applying a predefined response policy according to an exemplary embodiment of the present invention.

*도면의 주요 부분에 대한 부호의 설명*Description of the Related Art [0002]

100 : 패킷전용처리부 102 : 탐지/차단모듈100: dedicated packet processing unit 102: detection / blocking module

104 : 메모리 120 : 소프트웨어엔진부104: memory 120: software engine

122 : 패킷처리부 124 : S/W탐지부122: packet processing unit 124: S / W detection unit

126 : 대응분석부 128 : 관리맵126: response analysis unit 128: management map

130 : 운영모듈부130: operation module

본 발명은 침입방지시스템에 관한 것으로서, 특히 네트워크로 유입되는 정상 패킷정보에 대한 오탐지(False Positive) 확률을 최소화하도록 하기 위한 침입방지시스템 및 그 제어방법에 관한 것이다.The present invention relates to an intrusion prevention system, and more particularly, to an intrusion prevention system and its control method for minimizing the probability of false positive for normal packet information flowing into the network.

컴퓨터의 급속한 보급과 인터넷의 사용이 일반화되면서, 인터넷을 통한 서비스 확산에 따라 보안 문제의 중요성이 높아지고 있다. 이러한 보안문제를 해결하기 위해 유해 트래픽에 대한 침입방지 시스템 또는 침입차단 시스템이 개발되었다. 상기 침입방지/침입차단 시스템은 효과적으로 전자적 침해행위를 방지하고 차단할 수 있는 것으로서, 가입자 네트워크와 공중망 네트워크와의 접속점, 또는 가입자 네트워크 내부에 설치하여 입/출력되는 트래픽의 이상 여부를 검출하여 유해 트래픽을 차단하고 있다.With the rapid spread of computers and the general use of the Internet, the importance of security issues is increasing with the spread of services through the Internet. In order to solve this security problem, an intrusion prevention system or intrusion prevention system for harmful traffic has been developed. The intrusion prevention / intrusion blocking system effectively prevents and blocks electronic infringement, and detects an abnormality of traffic that is input / output by installing an access point between a subscriber network and a public network or inside a subscriber network to detect harmful traffic. Blocking

상기 침입방지시스템은 네트워크 관리자가 설정해 놓은 일련의 규칙(보안정책)에 기반을 두고 즉각적인 행동을 취할 수 있는 능력을 가지도록 설계된다. 이를 위하여 대다수의 침입방지시스템은 어떤 한 패킷을 검사하여 그것이 부당한 패킷이라고 판단되면, 해당 아이피(IP)주소 또는 유입 트래픽을 봉쇄하는 한편, 합법적인 트래픽에 대해서는 아무런 방해나 서비스 지연 없이 수신측에 전달하도록 구성된다.The intrusion prevention system is designed to have the ability to take immediate action based on a set of rules (security policy) set by the network administrator. To this end, most intrusion prevention systems inspect a packet and, if determined to be an invalid packet, block the IP address or incoming traffic while forwarding it to the receiving party without any interruption or service delay for legitimate traffic. It is configured to.

이와 더불어, 상기 부당한 패킷에 대한 처리뿐만 아니라 정상 패킷이 공격 패킷으로 잘못 탐지되었을때 이를 다시 탐지하여 서비스 성능을 향상시키기 위한 구성이 제안되고 있다.In addition, a configuration has been proposed to improve the service performance by detecting the invalid packet as well as detecting a normal packet as an attack packet again.

즉, 네트워크 트래픽에 대하여 하드웨어적으로 필터링을 일차 수행하고 다시 소프트웨어적으로 필터링을 이차 수행하는 침입방지시스템(보안시스템)이 제공되어 보다 안전하게 내부 네트워크 망을 보호하고 있다.That is, an intrusion prevention system (security system) that performs filtering on network traffic first and secondly on software again is provided to protect the internal network more safely.

도 1은 이와 같이 다단계로 공격 패킷을 필터링하는 일반적인 침입방지시스템의 구성도이다.1 is a block diagram of a general intrusion prevention system for filtering an attack packet in a multi-step as described above.

도시된 바에 따르면, 침입방지시스템은 공격 패킷에 대한 보안정책(공격룰)을 로딩하기 위한 메모리(SRAM)(1) 및 상기 보안정책을 적용하여 공격 패킷을 필터링하기 위한 탐지/차단 모듈(3)이 구비된 ASIC기반의 패킷전용처리부(5)가 구비된다. 상기 패킷전용처리부(5)는 정적 공격, 즉 단위 패킷만으로 공격 특성을 판단할 수 있는 공격 여부를 일차 필터링한다.As shown, the intrusion prevention system includes a memory (SRAM) 1 for loading a security policy (attack rule) for an attack packet and a detection / blocking module 3 for filtering the attack packet by applying the security policy. The provided ASIC-based packet dedicated processing unit 5 is provided. The packet-dedicated processor 5 primarily filters whether the attack is a static attack, that is, an attack capable of determining an attack characteristic based on only a unit packet.

상기 패킷전용처리부(5)에서 처리된 결과를 선별하여 제공받고 일정 시간동안 발생되는 패킷 스트림을 분석하여 이차적으로 공격 패킷을 필터링하는 소프트웨어엔진부(7)가 제공된다. 상기 소프트웨어엔진부(7)에는 상기 처리된 결과로서 유입된 패킷에 대한 차단결과정보, 일차 필터링된 패킷정보, 상기 패킷전용처리부(5)에서 유입된 패킷(즉 전체패킷, 정상패킷, 임의의 조건에 따른 패킷의 일부 정보-헤더정보 등)을 사용자 설정에 의해 선택적으로 전달받으며, 관리자 경보기능(Alert)을 수행하는 패킷처리부(9)와, 상기 유입된 패킷정보 중에서 정상패킷에 대해 패턴 매칭을 다시 수행하여 공격탐지를 탐지하는 S/W탐지부(11)가 제공된다.Provided is a software engine 7 for selectively filtering the attack packets by analyzing the packet streams generated for a predetermined time and receiving the results processed by the packet-only processing unit 5. The software engine 7 includes blocking result information for the packet introduced as a result of the processing, primary filtered packet information, and a packet introduced from the packet-only processing unit 5 (ie, all packets, normal packets, and arbitrary conditions). Packet information (header information, etc.) selectively received by user setting, and the packet processing unit 9 performs an administrator alert function, and pattern matching is performed for normal packets among the incoming packet information. S / W detection unit 11 for performing attack detection is provided again.

그리고, 상기 공격 패킷에 대한 탐지결과 정보를 제공받으며 공격룰을 생성하며 상기 공격룰을 공격 패킷의 탐지에 적용하도록 제공하는 운영모듈부(13)가 구성된다. 상기 운영모듈부(13)은 상기 공격룰를 상기 패킷전용처리부(5)와 소프트웨어엔진부(7)에 온라인으로 전송한다.In addition, the operation module unit 13 is configured to receive the detection result information on the attack packet, generate an attack rule, and apply the attack rule to detection of the attack packet. The operation module unit 13 transmits the attack rule online to the packet dedicated processor 5 and the software engine 7.

이러한 구성에 따르면, 상기 패킷전용처리부(5)가 일차적으로 패킷정보의 공격여부를 판단하여 대응정책을 적용하고, 상기 패킷전용처리부(5)로부터의 유입된 패킷 정보중에서 아이피(IP) 및 티씨피(TCP) 단으로 쪼개져서 전달되는 패킷 모두에 대해 패턴 매칭을 수행하여 누락될 수 있는 탐지를 소프트웨어엔진부(7)가 이차적으로 다시 수행한다. 따라서 상기 소프트웨어엔진부(7)는 패킷 정보가 공격 패킷으로 판단하면 다시 패킷전용처리부(5)로 대응정책을 전송하고 상기 패킷전용처리부(5)는 상기 대응정책에 따라 정의된 일정 시간동안 상기 패킷 IP(공격자 IP)로부터 유입되는 모든 패킷정보를 차단하게 된다. 이때 상기 패킷 접속과 차단에 대한 탐지결과는 관리자가 확인가능하도록 실시간으로 화면 표시된다.According to this configuration, the packet-dedicated processor 5 first determines whether the packet information is attacked and applies a corresponding policy, and IP and TPC among the packet information flowed from the packet-dedicated processor 5. The software engine 7 performs second detection again by performing pattern matching on all packets transmitted by splitting into the (TCP) stage. Therefore, if the software engine 7 determines that the packet information is an attack packet, the software engine 7 transmits the response policy to the packet-only processing unit 5 again. It blocks all packet information coming from IP (attack IP). At this time, the detection result for the packet access and blocking is displayed in real time so that the administrator can check.

그러나, 종래 침입방지시스템에서 공격 패킷에 대한 필터링을 수행하는데 있어서 다음과 같은 문제점이 있었다.However, there have been the following problems in performing filtering on attack packets in the conventional intrusion prevention system.

종래에는 패킷에 대한 공격여부를 탐지하는데 있어, 다음 [표 1]에 정의된 공격룰을 근거로 판단하고 있다. Conventionally, in detecting the attack on the packet, it is determined based on the attack rules defined in the following [Table 1].

[표 1][Table 1]

적용여부Applicability 룰식별자Rule Identifier SRC IPSRC IP SRC PORTSRC PORT DST IPDST IP DST PORTDST PORT 패킷헤더 상세정보(예: TCP Flag, IP Totlen 등)Packet header details (e.g. TCP Flag, IP Totlen, etc.) 패킷 Payload 정보(공격컨텐츠정보)Packet Payload Information (Attack Content Information) 대응정책(차단/접속/경고 등)Response Policy (Block / Access / Warning, etc.)

하지만, 상기 [표 1]에 정의된 공격룰에는 패킷정보를 탐지하고 그 탐지결과에 따라 차단/접속과 같은 대응정책 정보만을 포함한다.However, the attack rule defined in [Table 1] detects packet information and includes only corresponding policy information such as blocking / access according to the detection result.

따라서 상기 공격룰이 종래 침입방지시스템에 전송되어 적용되면, 상기 공격룰에 의해서만 공격 패킷을 탐지하고 탐지된 이후에는 차단/접속/경고 등의 일반 대응정책만을 수행하게 된다. 이 경우, 정상적인 패킷이 공격 패킷으로 탐지되는 오탐이 발생된 경우에는, 이미 상기 오탐과 대응되는 패킷에 대한 대응정책이 차단으로 설정되어 처리된 상태이기 때문에, 정상 패킷일지라도 네트워크 서비스에서 정상적인 웹 접속 서비스가 차단되거나 또는 정상적인 메일의 송수신이 차단되는 것과 같은 서비스 장애를 발생시키게 된다.Therefore, when the attack rule is transmitted to the conventional intrusion prevention system and applied, the attack packet is detected only by the attack rule, and after the detection, only general response policies such as blocking / access / warning are performed. In this case, when a false positive that a normal packet is detected as an attack packet is generated, since the response policy for the packet corresponding to the false positive has already been set and processed, even if the normal packet is a normal web access service in the network service. May cause a service failure such as blocking or normal mail transmission and reception.

그리고, 설명한 바와 같이 정상 패킷을 잘못 탐지하는 경우에 대비하여 공격룰의 대응정책에서 공격 패킷에 대해 탐지모드로만 설정하게 되면 탐지모드에서 탐지한 실제 공격 패킷에 대해 적극적으로 대처할 수 없다. 다시 말해, 종래 침입방지시스템에서는 오탐에 대한 대응정책이 탐지 후 차단/접속 상태만이 제공되고 있어 공격 패킷에 대한 침입방지를 제대로 적용할 수 없었다.As described above, in case of detecting a normal packet incorrectly, if the attack policy is set to the detection mode only in the response policy of the attack rule, it cannot actively cope with the actual attack packet detected in the detection mode. In other words, in the conventional intrusion prevention system, the response policy for false positives is provided only after the detection / blocking / connection state, so that the intrusion prevention for the attack packet could not be properly applied.

이에 본 발명은 상기한 문제점을 해결하기 위하여 안출된 것으로서, 이차적으로 탐지된 공격에 적용되는 공격룰 정보를 별도 관리하고, 그 공격룰의 누적된 정보 결과를 참조하여 유해 트래픽 발생 예측과 함께 정상 패킷에 대한 오탐을 최소화하도록 제어하는 침입방지시스템 및 그 제어방법을 제공함에 그 목적이 있는 것이다.Accordingly, the present invention has been made to solve the above problems, and separately manages the attack rule information applied to the secondary detected attack, and referring to the cumulative information result of the attack rule, the normal packet together with the prediction of harmful traffic occurrence It is an object of the present invention to provide an intrusion prevention system and a control method thereof to minimize false positives.

상기한 목적을 달성하기 위하여 본 발명에 의한 침입방지시스템은, 침입방지 시스템에 있어서, 소정 공격룰 적용에 따라 패킷정보를 소프트웨어적으로 탐지하는 탐지부, 상기 탐지결과 상기 공격룰의 특성에 따라 탐지된 공격패킷에 대한 공격룰 발생정보를 저장하는 저장부, 그리고 상기 공격룰 발생정보를 미리 설정한 임계값과 비교하고 임계값 초과시에 상기 공격패킷을 선택적으로 차단하도록 대응모드를 제공하는 분석대응모듈을 포함하는 것을 특징으로 한다.In order to achieve the above object, intrusion prevention system according to the present invention, the intrusion prevention system, a detection unit for detecting the packet information by software according to the application of a predetermined attack rule, the detection result detected according to the characteristics of the attack rule A storage unit for storing attack rule generation information for the attack packet, and an analysis response module for comparing the attack rule generation information with a preset threshold and providing a response mode to selectively block the attack packet when the threshold is exceeded. Characterized in that it comprises a.

본 발명은 상기 탐지부의 탐지결과를 제공받아 분석하며, 상기 탐지부에 적용되는 상기 공격룰을 생성하여 제공하는 운영모듈부를 더 포함하여 구성된다.The present invention further comprises an operation module unit for receiving and analyzing the detection result of the detection unit and generating and providing the attack rule applied to the detection unit.

본 발명은 하드웨어적인 필터링을 수행하는 패킷처리모듈로부터 패킷정보를 전달받아 관리자 경보기능을 수행하며, 상기 패킷정보를 상기 공격룰 특성에 따라 상기 탐지부로 전송하는 패킷처리부를 더 포함하여 구성된다.The present invention is configured to receive the packet information from the packet processing module for performing the hardware filtering to perform an administrator alert function, and further comprises a packet processing unit for transmitting the packet information to the detection unit according to the attack rule characteristics.

본 발명의 상기 패킷처리부는 상기 패킷처리모듈이 네트워크로 유입되는 패킷정보에 대한 공격 탐지에 제한이 있는 경우 일부를 상기 탐지부로 분산 제공한다.The packet processing unit of the present invention distributes a part of the packet processing module to the detection unit when there is a limitation in detecting an attack on packet information flowing into the network.

또한, 상기한 목적을 달성하기 위하여 본 발명에 다른 실시 예에 의한 침입방지시스템은, 침입방지시스템에 있어서, 패킷정보에 대한 하드웨어적인 필터링을 일차 수행하는 패킷전용처리모듈, 그리고 상기 패킷전용처리모듈로부터 전달된 패킷정보에 대한 소프트웨어적인 필터링을 이차 수행하고 탐지된 공격 패킷에 대한 공격룰 정보를 관리한 후 대응정책을 적용하는 소프트웨어탐지모듈을 포함하는 것을 특징으로 한다.In addition, in order to achieve the above object, the intrusion prevention system according to another embodiment of the present invention, in the intrusion prevention system, a packet-only processing module for performing hardware filtering on the packet information first, and the packet-only processing module And a software detection module which performs software filtering on the packet information transmitted from the second hand, manages attack rule information on the detected attack packet, and applies a response policy.

본 발명의 상기 소프트웨어탐지모듈은, 상기 패킷전용처리모듈로부터 패킷정 보를 전달받고 상기 공격룰 특성에 따라 패킷정보를 분류하는 패킷처리부, 상기 패킷처리부로부터 패킷정보를 전달받고 소프트웨어적으로 탐지하는 탐지부, 상기 탐지결과 상기 공격룰의 특성에 따라 탐지된 공격패킷에 대한 공격룰 발생정보를 저장하는 저장부, 그리고 상기 공격룰 발생정보를 임계값과 비교하고 임계값 초과시에 상기 공격패킷을 선택적으로 차단하는 대응모듈을 포함하여 구성된다.The software detection module of the present invention includes: a packet processing unit for receiving packet information from the packet dedicated processing module and classifying packet information according to the attack rule characteristics, and a detection unit receiving packet information from the packet processing unit and software-detecting the packet information. A storage unit for storing attack rule generation information on the attack packet detected according to the characteristics of the attack result, and comparing the attack rule generation information with a threshold value and selectively blocking the attack packet when the threshold value is exceeded. It is configured to include a corresponding module.

본 발명에서 상기 공격룰은, 오탐지수준, 룰 적용수준, 컨텐츠분석레벨, 그리고 오탐수준별 대응모드 정보를 포함하여 구성된다.In the present invention, the attack rule includes a false detection level, rule application level, content analysis level, and corresponding mode information for each false detection level.

본 발명에서 상기 오탐지수준은 정상 패킷의 오탐 가능성에 따라 임의로 설정할 수 있다.In the present invention, the false positive detection level can be arbitrarily set according to the false positive probability of the normal packet.

본 발명의 상기 룰 적용수준은, 상기 오탐지수준에 따라 하드웨어 또는/ 및 소프트웨어 방식에 의해 공격룰이 적용된다.In the rule application level of the present invention, an attack rule is applied by hardware or / and software according to the false detection level.

본 발명의 상기 컨텐츠 분석레벨은, 패킷기반, 세션기반, AP기반 중 어느 하나에 의해 탐지할 것인지를 결정하도록 한다.The content analysis level of the present invention allows to determine whether to detect by packet-based, session-based, AP-based.

본 발명의 상기 오탐 수준별 대응모드는, 차단, 탐지, 및 탐지 후 자동분석대응모드가 제공된다.Corresponding mode for each false level of the present invention, the automatic analysis corresponding mode is provided after blocking, detecting, and detecting.

본 발명의 상기 대응모듈은 상기 공격룰 발생정보를 카운팅하여 누적관리하고 있다.The corresponding module of the present invention counts and manages the attack rule generation information.

본 발명의 상기 공격룰 특성은 패킷 정보에 대하여 탐지 후 자동분석대응모드인 것이 바람직하다. 그리고 상기 공격룰 발생정보는 공격룰 식별번호, 누적건수, 발생간격이다. It is preferable that the attack rule characteristic of the present invention is an automatic analysis response mode after detection for packet information. The attack rule occurrence information is an attack rule identification number, a cumulative number, and an occurrence interval.

또한, 본 발명에 의한 침입방지시스템의 제어방법은, 하드웨어적 필터링이 수행된 패킷정보를 전달받는 단계, 상기 패킷정보에 대하여 소프트웨어적으로 공격 탐지를 수행하는 단계, 상기 공격 탐지된 경우 해당 공격룰에 대한 발생 정보를 등록하는 단계, 상기 등록된 발생 정보의 누적 횟수와 임계값을 비교하고, 비교 결과에 따라 임계값을 초과하면 공격패킷을 차단하는 단계를 포함하는 것을 특징으로 한다.In addition, the control method of the intrusion prevention system according to the present invention, the step of receiving the packet information, the hardware filtering is performed, the step of performing an attack detection in software on the packet information, if the attack is detected the attack rule Registering the occurrence information for the; comparing the accumulated number of occurrences of the registered occurrence information with a threshold value; and blocking the attack packet when the threshold value is exceeded according to the comparison result.

본 발명에서 상기 패킷정보 전달은 상기 공격룰이 소프트웨어적 필터링에 적용된 경우에 수행된다.In the present invention, the packet information transmission is performed when the attack rule is applied to software filtering.

본 발명에서 상기 공격 탐지에 의해 공격 패킷이 탐지되면 자동분석대응모드를 수행하도록 하는 것이 바람직하다.In the present invention, when an attack packet is detected by the attack detection, it is preferable to perform an automatic analysis response mode.

본 발명에서 상기 공격룰의 발생 정보는 탐지된 공격 패킷에 대한 공격룰 식별번호, 누적건수, 발생간격이다.In the present invention, the occurrence information of the attack rule is an attack rule identification number, cumulative number, occurrence interval for the detected attack packet.

본 발명에서 제공하는 상기 임계값은 상기 공격패킷을 탐지한 공격룰의 발생정보에 따라 공격패킷을 차단하도록 미리 설정되는 것이다.The threshold value provided by the present invention is set in advance to block the attack packet according to the occurrence information of the attack rule detecting the attack packet.

본 발명의 상기 공격룰은, 오탐지수준, 룰 적용수준, 컨텐츠분석레벨, 그리고 오탐수준별 대응모드 정보를 포함하여 이루어진다.The attack rule of the present invention includes a false detection level, a rule application level, a content analysis level, and corresponding mode information for each false detection level.

본 발명에서 상기 오탐지수준은 정상 패킷의 오탐 가능성에 따라 임의로 설정하고, 상기 룰 적용수준은 상기 오탐지수준에 따라 하드웨어 또는/ 및 소프트웨어 방식에 의해 공격룰을 적용하고, 상기 컨텐츠 분석레벨은, 패킷기반, 세션기반, AP기반을 선택적으로 분석하도록 하고, 상기 오탐 수준별 대응모드는, 차단, 탐지, 및 탐지 후 자동분석대응모드가 적용되도록 한다.In the present invention, the false detection level is arbitrarily set according to the probability of false detection of a normal packet, and the rule application level applies an attack rule by hardware or / and software method according to the false detection level, and the content analysis level is: The packet-based, session-based, and AP-based analysis can be selectively performed. The false-correspondence mode corresponding to the false detection level allows the automatic analysis response mode to be applied after blocking, detecting, and detecting.

본 발명은 상기 공격룰의 오탐지수준에 따라 상기 오탐 수준별 대응모드를 선택적으로 적용하게 된다.The present invention selectively applies the corresponding mode for each false detection level according to the false detection level of the attack rule.

본 발명은 상기 등록된 정보의 누적 횟수에 의하여 유해트래픽 발생을 인지하고 상기 자동분석대응모드를 적용하게 된다.The present invention recognizes harmful traffic based on the accumulated number of registered information and applies the automatic analysis response mode.

또한, 본 발명에 의한 다른 기술적 특징은, 네트워크로부터 트래픽이 발생하는 단계와, 상기 발생된 트랙픽의 패킷 정보에 대하여 하드웨어적 필터링을 수행하는 단계와, 상기 하드웨어적 필터링에 의해 필터링된 패킷 정보 또는 상기 하드웨어적 필터링이 수행되지 않은 패킷 정보를 소프트웨어적으로 탐지하도록 분산 제공하는 단계를 포함하게 된다.In addition, another technical feature according to the present invention is the step of generating traffic from the network, performing hardware filtering on the packet information of the generated traffic, packet information filtered by the hardware filtering or the And distributedly providing software to detect packet information for which hardware filtering has not been performed.

이와 같은 구성을 갖는 본 발명에 따르면, 유입된 트래픽에서 공격 패킷을 탐지하는 경우에 그 공격에 대한 공격룰을 별도 관리하고 누적된 결과를 기반으로 공격 패킷을 차단 적용함을 알 수 있으며, 유해트래픽 발생 여부를 예측할 수 있다.According to the present invention having such a configuration, when detecting an attack packet in the inflowed traffic, it can be seen that the attack rule for the attack is separately managed and the attack packet is blocked based on the accumulated result. You can predict whether it will happen.

이하, 본 발명에 의한 침입방지시스템 및 그 제어방법을 첨부된 도면에 도시된 바람직한 실시 예를 참조하여 상세하게 설명한다.Hereinafter, an intrusion prevention system and a control method thereof according to the present invention will be described in detail with reference to a preferred embodiment shown in the accompanying drawings.

도 2에는 본 발명의 바람직한 실시 예에 따른 침입방지시스템 구성도가 도시되어 있다.2 is a block diagram of an intrusion prevention system according to a preferred embodiment of the present invention.

본 발명의 침입방지시스템의 구성은 종래 침입방지시스템 구성과 유사하며, 이에 상이한 구성을 중점적으로 설명하기로 한다.The configuration of the intrusion prevention system of the present invention is similar to that of the conventional intrusion prevention system, and the different configuration will be mainly described.

도면을 참조하면, 외부 네트워크에서 유입되는 트래픽 공격을 차단하기 위하여 하드웨어적인 필터링을 수행하는 패킷전용처리부(100)와 소프트웨어적인 필터링을 수행하는 소프트웨어엔진부(120)가 구비된다. 그리고 공격 패킷에 대한 대응방안으로서의 공격룰을 생성하고 이를 상기 패킷전용처리부(100)와 소프트웨어엔진부(120)에 전달하는 운영모듈부(130)가 구비된다. 통상 상기 공격룰은 상기 운영모듈부(130)로부터 온라인 방식으로 전송된다.Referring to the drawings, a packet-only processing unit 100 that performs hardware filtering to block traffic attacks coming from an external network and a software engine unit 120 that performs software filtering are provided. In addition, an operation module 130 for generating an attack rule as a countermeasure against the attack packet and transmitting the attack rule to the packet dedicated processing unit 100 and the software engine unit 120 is provided. In general, the attack rule is transmitted from the operation module unit 130 in an online manner.

상기 소프트웨어엔진부(120)는, 상기 패킷전용처리부(100)에서 처리된 결과로서 유입된 패킷에 대한 차단결과정보, 일차로 필터링된 패킷정보, 상기 패킷전용처리부에서 유입된 패킷(즉 전체패킷, 정상패킷, 임의의 조건에 따른 패킷의 일부 정보-헤더정보등)을 사용자 설정에 의해 선택적으로 전달받으며, 관리자 경보기능을 수행하는 패킷처리부(122)와, 상기 패킷처리부(122)에 전달된 공격 패킷을 다시 탐지하는 S/W탐지부(124)가 제공된다. 그리고 상기 S/W탐지부(124)에 의해 공격 패킷으로 탐지되면 해당 공격 패킷에 대한 공격룰 발생정보를 누적 관리하여 재분석하도록 상기 탐지된 공격에 대한 상기 발생정보를 저장하는 관리맵(128)이 구비된다. 상기 관리맵(128)을 참조하고 미리 설정된 임계치와의 비교에 따라 대응정책을 상기 패킷처리부(122)로 전송하여 탐지된 패킷IP이 차단되도록 하는 분석대응부(126)가 구비된다. 상기 관리맵(128)은 단위 시간별로 클리어(clear)된다.The software engine unit 120 may include blocking result information about packets introduced as a result of processing by the packet-only processing unit 100, packet information primarily filtered, and packets introduced from the packet-only processing unit (ie, entire packets, Normal packet, part information of the packet according to an arbitrary condition-header information, etc.) is selectively received by the user setting, and the packet processor 122 performs an administrator alert function, and the attack transmitted to the packet processor 122. The S / W detector 124 is provided to detect the packet again. When the S / W detection unit 124 detects an attack packet, the management map 128 stores the occurrence information on the detected attack to accumulate and reanalyze attack rule occurrence information on the attack packet. It is provided. An analysis response unit 126 is provided to refer to the management map 128 and transmit a response policy to the packet processing unit 122 according to a comparison with a preset threshold to block the detected packet IP. The management map 128 is cleared by unit time.

그리고 상기 재분석은 상기 공격룰의 대응모드별로 모두 적용되는 것이 아니고, 공격룰 특성이 자동분석대응대상이며 탐지 모드인 경우로 한정된다.In addition, the reanalysis is not applied to every response mode of the attack rule, but is limited to a case in which the attack rule characteristic is an automatic analysis response target and a detection mode.

한편, 본 발명에 적용되는 공격룰은 다음 [표 2]와 같이 정의된다. 공격룰은 앞서 종래기술에서 설명한 보안정책정보에 오탐지수준/룰 적용수준/컨텐츠분석레벨/오탐수준별대응 정보가 추가되는 정보이다. 이러한 공격룰도 미리 설정되며 침입방지시스템의 로딩시점에 운영모듈부(130)로부터 제공되어 패킷정보에 대한 탐지모드를 제공한다. 상기 추가된 공격룰은 다음 [표 2]와 같이 정의한다.On the other hand, the attack rule applied to the present invention is defined as follows [Table 2]. The attack rule is information to which the corresponding detection information for false detection level / rule application level / content analysis level / error level is added to the security policy information described in the prior art. These attack rules are also preset and provided from the operation module unit 130 at the time of loading the intrusion prevention system to provide a detection mode for packet information. The added attack rule is defined as shown in the following [Table 2].

[표 2][Table 2]

기존 룰 정보Existing Rule Information 오탐지 수준False positive level 룰 적용수준Rule application level 컨텐츠 분석레벨Content Analysis Level 오탐수준별 대응모드Correspondence mode by false positive level -표 1-Table 1 1: 오탐가능성5%이하
2: 오탐가능성5%이상
3: 오탐가능성 50%이상 1: 5% or less false positive
2: 5% or more false positive probability
3: 50% false positive probability 0 : H/W만 적용
1 : S/W만 적용
3 : H/W, S/W모두 적용0: H / W only
1: S / W only
3: Apply to both H / W and S / W 0: 패킷
1 : 세션
2 : AP 분석0: packet
1: Session
2: AP analysis 차단
탐지후 자동분석
탐지block
Automatic analysis after detection
Detection

여기서, 상기 오탐지 수준은, 정상 패킷에 대한 오탐 가능성에 따라 복수 단계로 구분할 수 있다. 본 발명에서는 이를 3단계로 정의한다. 제 1단계는 오탐 가능성이 5%이하인 경우, 제 2단계는 오탐 가능성이 5% 이상인 경우, 제 3단계는 오탐 가능성이 50%이상인 경우이다. 상기 제 2단계는 오탐지 발생가능성을 모니터링 한 후에 유입되는 패킷을 차단해야 하는 경우이고, 상기 제 3단계는 상기 패킷정보의 공격룰의 속성자체인 아이피(IP), 포트(Port) 등의 헤더 및 컨텐츠 정보를 탐지모드로만 운영되어야 할 수준이다. 물론, 상기 오탐 가능성의 각각의 %는 각 사이트에 따른 요구에 의해 조정 가능하다.Here, the false detection level may be divided into a plurality of stages according to the possibility of false positive for normal packets. In the present invention, this is defined as three steps. In the first stage, the probability of false positives is 5% or less, in the second stage, the probability of false positives is 5% or more, and in the third stage, the probability of false positives is 50% or more. The second step is to block incoming packets after monitoring the likelihood of false positive detection, and the third step is to include headers such as IP and port, which are attributes of the attack rule of the packet information. And content information should be operated only in the detection mode. Of course, each% of the false positives can be adjusted to the requirements according to each site.

이러한 오탐지 수준에 의해 공격룰의 적용수준이 결정된다. 상기 적용수준은 상기 오탐수준에 따라 상기 패킷전용처리부(100)만 적용할지, 또는 상기 소프트웨어엔진부(120)만 적용할지, 또는 상기 패킷전용처리부(100)와 소프트웨어엔진부(120)에 모두 적용할지가 결정된다.The level of false positive detection determines the level of application of the attack rule. The application level applies only the packet-only processing unit 100 or only the software engine unit 120 or the packet-only processing unit 100 and the software engine unit 120 according to the false positive level. The decision is made.

또한, 컨텐츠 분석레벨은 패킷기반, 세션기반, AP분석기반 중 어느 하나의 방식으로 탐지할 수 있도록 한다. In addition, the content analysis level may be detected by any one of packet-based, session-based, and AP-based analysis.

또한, 오탐 수준별 대응을 결정한다. 상기 오탐 수준별 대응에는 공격 패킷으로 탐지된 경우에 차단/접속으로만 설정되지 않고, 탐지 이후에 그 공격 패킷에 대해 자동분석대응모드가 실시되도록 제공한다. 상기 자동분석대응모드는 오탐 가능성이 높은 공격룰에 대해 별도 관리하여 분석하도록 하고, 그 분석결과에 따라 미리 설정된 대응모드를 적용하도록 한다.It also determines the response by false positive level. In response to the false detection level, it is provided that the automatic analysis response mode is performed on the attack packet after the detection, instead of being set only as blocking / connection when it is detected as an attack packet. The automatic analysis response mode allows to separately manage and analyze an attack rule having a high probability of false detection, and apply a preset response mode according to the analysis result.

이어 상기한 바와 같은 구성을 가지는 본 발명에 의한 침입방지시스템의 제어방법을 도 2 및 도 3을 참고하여 상세하게 설명한다.Next, the control method of the intrusion prevention system according to the present invention having the configuration as described above will be described in detail with reference to FIGS. 2 and 3.

먼저, 본 발명의 침입방지시스템으로 유입되는 패킷 정보에 대하여 공격룰을 어떤 방식으로 적용할 것인지를 결정한다(제 200 단계). 상기 공격룰은 종래 제공되는 보안정책(표 1) 이외에 오탐지수준, 룰 적용수준, 컨텐츠 분석레벨, 오탐수준별 대응모드가 포함된다. 이에 본 발명의 실시 예에서는 상기 패킷전용처리부(100)로부터 유입되는 패킷정보를 탐지함에 있어 룰 적용수준이 하드웨어적/소프트웨어적으로 모두 탐지할 수 있도록 설정된다. 아울러 상기 소프트웨어엔진부(120)에서 공격패킷을 탐지한 경우 대응모드로서 탐지후 자동분석대응모드가 실행되도록 설정된다. 물론, 상기 오탐지수준 및 컨텐츠 분석레벨도 사용자 설정에 의해 결정된다. 이와 같이 결정된 공격룰은 침입방지시스템이 구동될 때 로딩 시점에 운영모듈부(130)로부터 전송되어 탐지 동작에 적용되도록 한다.First, it is determined how to apply an attack rule to the packet information flowing into the intrusion prevention system of the present invention (step 200). The attack rule includes a misdetection level, a rule application level, a content analysis level, and a correspondence mode for each misdetection level in addition to the security policy (Table 1) provided in the related art. Accordingly, in the embodiment of the present invention, the rule application level is set to detect both hardware and software in detecting packet information flowing from the packet dedicated processing unit 100. In addition, when the attack packet is detected by the software engine unit 120, an automatic analysis response mode after detection is set as a response mode. Of course, the false detection level and content analysis level are also determined by user setting. The attack rule determined as described above is transmitted from the operation module unit 130 at the time of loading when the intrusion prevention system is driven to be applied to the detection operation.

다음, 상기 공격룰이 적용된 상태에서 다량의 트래픽이 발생되어 패킷전용처 리부(100)로 유입된다. 그러면 제 202 단계에서 상기 패킷전용처리부(100)는 패킷정보의 공격여부를 탐지하고 그 탐지결과에 따라 대응정책을 적용한다. 즉 정상패킷인 경우 서비스가 정상적으로 이루어지도록 한다. 또한, 제 204 단계와 같이 상기 패킷처리부(122)는 상기 패킷전용처리부(100)에서 상기 탐지결과 정보와 함께 유입된 패킷(즉 전체패킷, 정상패킷, 임의의 조건에 따른 패킷의 일부 정보-헤더정보 등)을 사용자 설정에 의해 선택적으로 전달받고, 상기 탐지결과 정보를 운영모듈부(130)로 전달하거나, 또는 상기 운영모듈부(130)로부터 전송받은 공격룰 특성에 따라 상기 유입된 패킷을 S/W탐지부(124)로 전달한다. 이는 상기 공격룰 특성이 상기 유입되는 패킷에 대해 하드웨어 및 소프트웨어를 모두 적용하여 공격패킷을 탐지하도록 설정된 경우이다. 만일 하드웨어로만 탐지모드가 설정된 경우에는 상기 패킷에 대한 공격여부를 판단하고 대응정책에 따라 차단/접속하게 된다.Next, a large amount of traffic is generated in the state that the attack rule is applied to the packet-only processing unit 100. Then, in step 202, the packet-only processing unit 100 detects whether the packet information is attacked and applies a response policy according to the detection result. That is, in case of a normal packet, the service is normally performed. In addition, as in step 204, the packet processing unit 122 includes the packet (i.e., all packets, normal packets, and partial information of headers according to a certain condition) introduced into the packet dedicated processing unit 100 together with the detection result information. Information, etc.) is selectively received by a user setting, the detection result information is transmitted to the operation module unit 130, or the incoming packet according to the attack rule characteristics received from the operation module unit 130 S / W delivers to the detection unit 124. This is a case where the attack rule characteristic is set to detect an attack packet by applying both hardware and software to the incoming packet. If the detection mode is set only by hardware, it is determined whether the packet is attacked and blocked / connected according to the response policy.

다음으로, 상기 S/W탐지부(124)는 상기 유입된 패킷들에 대하여 공격룰에 의해 공격 탐지를 이차적으로 수행한다(제 206 단계, 제 208 단계). 그리고 제 210 단계와 같이 상기 공격 탐지 수행에 따라 탐지가 되지 않는 경우 즉 정상 패킷으로 판단된 경우에는 그 패킷이 요구하는 서비스를 제공하도록 한다(제 222 단계). 물론 탐지가 되어 공격 패킷으로 판단된 경우에는 패킷 접속을 차단하게 된다.Next, the S / W detection unit 124 secondly performs attack detection on the incoming packets by an attack rule (steps 206 and 208). If it is determined that the packet is not detected according to the detection of the attack as in step 210, that is, the packet is provided as the normal packet (step 222). Of course, if detected and determined to be an attack packet, the packet connection is blocked.

그러나, 본 발명에서는 탐지가 된 공격 패킷을 바로 차단하지 않고 제 212 단계와 같이 이를 후술하는 자동분석대응모드에 의해 별도 관리하도록 한다. 이는 정상 패킷을 공격 패킷으로 잘못 탐지할 수 있으며, 이러한 오탐에 따라 대응정책으로서의 서비스 차단을 바로 적용하는 경우에는 서비스 제공에 문제가 발생할 수 있기 때문이다.However, in the present invention, instead of blocking the detected attack packet immediately, it is separately managed by the automatic analysis response mode described later as in step 212. This is because a normal packet may be incorrectly detected as an attack packet, and a problem may occur in providing a service if a service block as a response policy is immediately applied according to such a false positive.

따라서, 상기 S/W탐지부(124)의 탐지결과에 따라 공격 패킷이 탐지가 되었을 때 그에 대한 대응모드가 자동분석대응모드인 경우이면, 우선 상기 S/W탐지부(124)는 상기 탐지된 공격 패킷에 대한 공격룰의 발생정보로서의 룰 식별번호(ID), 누적건수, 발생간격 등을 관리맵(128)에 등록하도록 한다(제 214 단계).Therefore, when an attack packet is detected according to the detection result of the S / W detector 124, when the corresponding mode is an automatic analysis response mode, the S / W detector 124 first detects the detected packet. The rule identification number (ID), the cumulative number, the occurrence interval, and the like, as occurrence information of the attack rule for the attack packet, are registered in the management map 128 (step 214).

상기 관리맵(128)에는 소프트웨어에 의해 공격 패킷으로 판단된 패킷 정보에 대한 공격룰 발생정보가 누적되어 등록된다. 즉 임의의 서비스 요청에 대한 패킷정보가 공격 패킷일지라도 이를 바로 차단하지 않고 이를 탐지한 공격룰을 별도로 관리하고 있다.The management map 128 accumulates and registers attack rule generation information for packet information determined as an attack packet by software. In other words, even if the packet information of any service request is an attack packet, the attack rule that detects the packet is separately managed without blocking the packet immediately.

다음, 상기 분석대응부(126)는 상기 S/W탐지부(124)로부터 전달되는 공격룰 발생정보를 관리맵(128)에서 카운트한다. 상기 공격룰 발생정보가 관리맵(128)에 이미 등록된 경우에는 그 공격룰 발생정보를 카운팅하여 누적시키고, 최초 공격룰 정보인 경우에는 이를 등록하면서 카운팅 과정을 수행하도록 한다.Next, the analysis response unit 126 counts the attack rule generation information transmitted from the S / W detection unit 124 in the management map (128). If the attack rule occurrence information is already registered in the management map 128, the attack rule occurrence information is counted and accumulated, and in the case of the initial attack rule information, the counting process is performed while registering it.

이후, 제 216 단계에서 상기 분석대응부(126)는 상기 공격룰 발생정보가 카운팅되는 횟수를 일정한 임계값과 비교한다. 상기 임계값은 상기 공격패킷을 탐지한 공격룰의 발생정보에 따른 차단모드의 적용여부를 판단하도록 미리 설정되어 있는 값이다. 그와 같이 상기 분석대응부(126)가 카운팅을 하면서 임계값과 비교한 후, 상기 비교결과 임계값에 도달되지 않는 경우에는 상기 분석대응부(126)는 상기 공격룰에 대한 발생정보를 운영모듈부(130)로 통보하기만 한다(제 217 단계). In step 216, the analysis response unit 126 compares the number of times the attack rule generation information is counted with a predetermined threshold. The threshold value is set in advance to determine whether to apply the blocking mode according to the occurrence information of the attack rule detecting the attack packet. As such, when the analysis response unit 126 compares with the threshold while counting, if the comparison result does not reach the threshold value, the analysis response unit 126 generates the operation information on the attack rule. Only the unit 130 is notified (step 217).

그러나 만일 상기 임계값을 초과하게 되면 정해진 시간내에 상기 분석대응 부(126)는 상기 패킷처리부(122)를 통해 해당되는 패킷IP를 차단하도록 차단모드를 자동으로 적용하거나 또는 운영모듈부(130)로 통보하여 공격룰 변경을 할 수 있도록 한다(제 218 단계, 제 220 단계). 여기서 상기 공격룰 발생정보를 저장하는 관리맵(128)는 단위 시간별로 상기 누적된 카운터가 클리어된다(제 219 단계).However, if the threshold value is exceeded, the analysis response unit 126 automatically applies the blocking mode to block the corresponding packet IP through the packet processing unit 122 or to the operation module unit 130 within a predetermined time. The notification may be made to change the attack rule (steps 218 and 220). Here, in the management map 128 storing the attack rule generation information, the accumulated counter is cleared for each unit time (step 219).

한편, 본 발명은 공격 패킷에 대한 공격룰이 적용되어 탐지를 하는 경우에 그 탐지결과를 근거로 유해 트래픽의 발생 가능성을 예측할 수도 있다. 임의의 패킷이 계속 발생되고 이에 대해 공격룰은 공격 패킷으로 판단하면서 그 공격룰의 발생정보를 누적관리하기 때문에, 어느 패킷이 공격적으로 발생되고 있음을 알 수 있는 것이다.Meanwhile, the present invention may predict the possibility of harmful traffic based on the detection result when the detection rule is applied and applied to the attack packet. Since random packets continue to be generated and the attack rule determines that the attack packet is an attack packet, the occurrence information of the attack rule is accumulated and managed.

이상과 같이, 본 발명의 도시된 실시 예를 참고하여 설명하고 있으나, 이는 예시적인 것들에 불과하며, 본 발명이 속하는 기술 분야의 통상 지식을 가진 자라면 본 발명의 요지 및 범위에 벗어나지 않으면서도 다양한 변형, 변경 및 균등한 타 실시 예들이 가능하다는 것을 명백하게 알 수 있을 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 청구범위의 기술적인 사상에 의해 정해져야 할 것이다.As described above, it has been described with reference to the illustrated embodiment of the present invention, which is merely exemplary, those skilled in the art to which the present invention pertains without departing from the spirit and scope of the invention It will be apparent that other variations, modifications and equivalents are possible. Therefore, the true scope of the present invention should be determined by the technical idea of the appended claims.

이상에서 설명한 바와 같이 본 발명의 침입방지시스템 및 그 제어방법에 따르면, 정상 패킷을 공격 패킷으로 잘못 탐지하게 되는 가능성이 있는 공격룰을 별도로 누적 관리하고, 그 누적된 공격룰 정보를 미리 설정한 임계값과 비교한 후 임 계값을 초과하는 경우에 한하여 공격 패킷을 차단적용하기 때문에, 오탐지로 인하여 정상 패킷이 요구하는 서비스를 바로 차단하는 경우를 최소화할 수 있어 네트워크 서비스를 효율적으로 제공하는 효과가 있다.As described above, according to the intrusion prevention system of the present invention and the control method thereof, a threshold that separately accumulates and manages an attack rule that may incorrectly detect a normal packet as an attack packet, and sets the accumulated attack rule information in advance. Since the attack packet is blocked only when the threshold value is exceeded after comparing with the value, it is possible to minimize the case in which the normal packet directly blocks the service due to false detection, thus providing an effective network service. have.

또한, 본 발명은 공격룰 정보에 따라 유해 트래픽의 발생 가능성을 예측하여 방어할 수 있다.In addition, the present invention can predict and defend the possibility of harmful traffic according to the attack rule information.

또한, 본 발명은 유입되는 트래픽에 대하여 공격룰을 하드웨어적 또는 소프트웨어적으로 분산 처리할 수 있어 서비스 속도를 향상시킬 수 있다.In addition, the present invention can distribute the attack rules to the incoming traffic in hardware or software can improve the service speed.

Claims (24)

침입방지시스템에 있어서,In intrusion prevention system, 소정 공격룰 적용에 따라 패킷정보를 소프트웨어적으로 탐지하는 탐지부,Detecting unit for detecting packet information in accordance with the application of a predetermined attack rule, 상기 탐지결과 상기 공격룰의 특성에 따라 탐지된 공격패킷에 대한 공격룰 발생정보를 저장하는 저장부, 그리고A storage unit for storing attack rule generation information on the attack packet detected according to the characteristic of the attack result; 상기 공격룰 발생정보를 미리 설정한 임계값과 비교하고 임계값 초과시에 상기 공격패킷을 선택적으로 차단하도록 대응모드를 제공하는 분석대응모듈; 및 An analysis response module for comparing the attack rule generation information with a preset threshold value and providing a corresponding mode to selectively block the attack packet when the threshold value is exceeded; And 하드웨어적인 필터링을 수행하는 패킷처리모듈이 네트워크로 유입되는 패킷정보에 대한 공격 탐지에 제한이 있는 경우 일부를 상기 탐지부로 분산 제공하는 패킷처리부를 포함하는 것을 특징으로 하는 침입방지시스템.Intrusion prevention system, characterized in that the packet processing module for performing a hardware filtering includes a packet processing unit for providing a distributed portion to the detection unit when there is a limit to the detection of the attack on the packet information flowing into the network. 제 1항에 있어서,The method of claim 1, 상기 탐지부의 탐지결과를 제공받아 분석하며, 상기 탐지부에 적용되는 상기 공격룰을 생성하여 제공하는 운영모듈부를 더 포함하는 것을 특징으로 하는 침입방지시스템.Intrusion prevention system characterized in that it further comprises the operation module unit for receiving and analyzing the detection result of the detection unit, generating and providing the attack rule applied to the detection unit. 제 1항에 있어서, 상기 패킷처리부는The method of claim 1, wherein the packet processing unit 상기 패킷처리모듈로부터 패킷정보를 전달받아 관리자 경보기능을 수행하며, 상기 패킷정보를 상기 공격룰 특성에 따라 상기 탐지부로 전송하는 것을 특징으로 하는 침입방지시스템.Intrusion prevention system, characterized in that for receiving the packet information from the packet processing module to perform an administrator alarm function, and transmits the packet information to the detection unit according to the attack rule characteristics. 삭제delete 침입방지시스템에 있어서,In intrusion prevention system, 패킷정보에 대한 하드웨어적인 필터링을 일차 수행하는 패킷전용처리모듈, 그리고A packet dedicated processing module for performing hardware filtering on packet information first, and 상기 패킷전용처리모듈로부터 전달된 패킷정보에 대한 소프트웨어적인 필터링을 이차 수행하고 탐지된 공격 패킷에 대한 공격룰 정보를 관리한 후 대응정책을 적용하는 소프트웨어탐지모듈을 포함하고,And a software detection module for performing software filtering on the packet information delivered from the packet dedicated processing module, managing attack rule information on the detected attack packet, and applying a corresponding policy. 상기 공격룰은 오탐지수준, 룰 적용수준, 컨텐츠분석레벨 및 오탐수준별 대응모드 정보 중 적어도 하나를 포함하는 것을 특징으로 하는 침입방지시스템.The attack rule includes at least one of a misdetection level, a rule application level, a content analysis level, and corresponding mode information for each misdetection level. 제 5항에 있어서,6. The method of claim 5, 상기 소프트웨어탐지모듈은,The software detection module, 상기 패킷전용처리모듈로부터 패킷정보를 전달받고 상기 공격룰 특성에 따라 패킷정보를 분류하는 패킷처리부, A packet processor which receives the packet information from the packet dedicated processing module and classifies the packet information according to the characteristic of the attack rule; 상기 패킷처리부로부터 패킷정보를 전달받고 소프트웨어적으로 탐지하는 탐지부,Detecting unit for receiving the packet information from the packet processing unit for software detection, 상기 탐지결과 상기 공격룰의 특성에 따라 탐지된 공격패킷에 대한 공격룰 발생정보를 저장하는 저장부, 그리고A storage unit for storing attack rule generation information on the attack packet detected according to the characteristic of the attack result; 상기 공격룰 발생정보를 임계값과 비교하고 임계값 초과시에 상기 공격패킷을 선택적으로 차단하는 분석대응모듈을 포함하는 것을 특징으로 하는 침입방지시스템.And an analysis response module for comparing the attack rule generation information with a threshold value and selectively blocking the attack packet when the threshold value is exceeded. 삭제delete 제 5항에 있어서,6. The method of claim 5, 상기 오탐지수준은 정상 패킷의 오탐 가능성에 따라 임의로 설정하는 것을 특징으로 하는 침입방지시스템.The false positive detection level is arbitrarily set according to the probability of false detection of the normal packet. 제 5항에 있어서, 6. The method of claim 5, 상기 룰 적용수준은, 상기 오탐지수준에 따라 하드웨어 및 소프트웨어 방식중 적어도 하나에 의해 공격룰이 적용되는 것을 특징으로 하는 침입방지시스템.The rule application level, intrusion prevention system, characterized in that the attack rule is applied by at least one of the hardware and software methods according to the false detection level. 제 5항에 있어서,6. The method of claim 5, 상기 컨텐츠 분석레벨은, The content analysis level is, 패킷기반, 세션기반, AP기반 중 어느 하나의 방식인 것을 특징으로 하는 침입방지시스템.Intrusion prevention system, characterized in that any one of a packet-based, session-based, AP-based method. 제 5항에 있어서,6. The method of claim 5, 상기 오탐 수준별 대응모드는,Corresponding mode for each false positive level is, 차단, 탐지, 및 탐지 후 자동분석대응모드인 것을 특징으로 하는 침입방지시스템.Intrusion prevention system, characterized in that the blocking, detection and automatic detection after detection mode. 제 1항 또는 제 6항에 있어서,7. The method according to claim 1 or 6, 상기 분석대응모듈은 상기 공격룰 발생정보를 카운팅하여 누적관리하는 것을 특징으로 하는 침입방지시스템.The analysis response module is an intrusion prevention system, characterized in that the cumulative management by counting the attack rule generation information. 제 6항에 있어서,The method according to claim 6, 상기 공격룰 특성은 패킷 정보에 대하여 탐지 후 자동분석대응모드인 것을 특징으로 하는 침입방지시스템.The attack rule characteristic is an intrusion prevention system, characterized in that the automatic analysis corresponding mode after detecting the packet information. 제 12항에 있어서,13. The method of claim 12, 상기 공격룰 발생정보는 공격룰 식별번호, 누적건수, 발생간격인 것을 특징으로 하는 침입방지시스템.The attack rule generation information is an attack rule identification number, cumulative number, occurrence intrusion prevention system characterized in that the interval. 하드웨어적 필터링이 수행된 패킷정보를 전달받는 단계,Receiving packet information on which hardware filtering is performed; 상기 패킷정보에 대하여 소프트웨어적으로 공격 탐지를 수행하는 단계,Performing attack detection in software on the packet information; 상기 공격 탐지된 경우 해당 공격룰에 대한 발생 정보를 등록하는 단계, 그리고Registering the occurrence information on the attack rule when the attack is detected; and 상기 등록된 발생 정보의 누적 횟수와 임계값을 비교하고, 비교 결과에 따라 임계값을 초과하면 공격패킷을 차단하는 단계를 포함하고,Comparing the accumulated number of occurrences of the registered occurrence information with a threshold value and blocking an attack packet when the threshold value is exceeded according to a comparison result; 상기 공격룰은, 오탐지수준, 룰 적용수준, 컨텐츠분석레벨 및 오탐수준별 대응모드 정보 중 적어도 하나를 포함하여 이루어지는 것을 특징으로 하는 침입방지시스템의 제어방법.The attack rule is a control method of the intrusion prevention system, characterized in that it comprises at least one of the error detection level, rule application level, content analysis level and corresponding mode information for each false detection level. 제 15항에 있어서,16. The method of claim 15, 상기 패킷정보 전달은 상기 공격룰이 소프트웨어적 필터링에 적용된 경우에 실행되는 것을 특징으로 하는 침입방지시스템의 제어방법.The packet information transmission is executed when the attack rule is applied to software filtering. 제 15항에 있어서,16. The method of claim 15, 상기 공격 탐지에 의해 공격 패킷이 탐지되면 자동분석대응모드를 수행하는 것을 특징으로 하는 침입방지시스템의 제어방법.If the attack packet is detected by the attack detection control method of the intrusion prevention system, characterized in that to perform an automatic analysis response mode. 제 15항에 있어서,16. The method of claim 15, 상기 공격룰의 발생 정보는 탐지된 공격 패킷에 대한 공격룰 식별번호, 누적건수, 발생간격인 것을 특징으로 하는 침입방지시스템의 제어방법.The occurrence information of the attack rule is an attack rule identification number, cumulative number, occurrence interval for the detected attack packet control method of the intrusion prevention system. 제 15항에 있어서,16. The method of claim 15, 상기 임계값은 상기 공격패킷을 탐지한 공격룰의 발생정보에 따라 공격패킷을 차단하도록 미리 설정되어 제공하는 것을 특징으로 하는 침입방지시스템의 제어방법.The threshold value is a control method of the intrusion prevention system, characterized in that provided in advance to block the attack packet in accordance with the occurrence information of the attack rule for detecting the attack packet. 제 15항에 있어서,16. The method of claim 15, 상기 공격룰은, The attack rule, 오탐지수준, 룰 적용수준, 컨텐츠분석레벨, 그리고 오탐수준별 대응모드 정보를 포함하여 이루어지는 것을 특징으로 하는 침입방지시스템의 제어방법.Control method of the intrusion prevention system, characterized in that comprises a false detection level, rule application level, content analysis level, and corresponding mode information for each false detection level. 제 20항에 있어서,21. The method of claim 20, 상기 오탐지수준은 정상 패킷의 오탐 가능성에 따라 임의로 설정하고, The false detection level is arbitrarily set according to the probability of false detection of a normal packet, 상기 룰 적용수준은 상기 오탐지수준에 따라 하드웨어 및 소프트웨어 방식 중 적어도 하나에 의해 공격룰을 적용하고, The rule application level applies an attack rule by at least one of hardware and software methods according to the false detection level, 상기 컨텐츠 분석레벨은, 패킷기반, 세션기반, AP기반 중 어느 하나를 선택하도록 하고, The content analysis level is to select any one of the packet-based, session-based, AP-based, 상기 오탐 수준별 대응모드는, 차단, 탐지, 및 탐지 후 자동분석대응모드가 적용되는 것을 특징으로 하는 침입방지시스템의 제어방법.Corresponding mode for each of the false detection level, the method of controlling the intrusion prevention system, characterized in that the automatic analysis response mode is applied after blocking, detection, and detection. 제 20항 또는 제 21항에 있어서,The method of claim 20 or 21, 상기 공격룰의 오탐지 수준에 따라 상기 오탐 수준별 대응모드를 대응되게 적용하는 것을 특징으로 하는 침입방지시스템의 제어방법.Control method of the intrusion prevention system, characterized in that for applying the corresponding mode for each false detection level according to the false detection level of the attack rule. 제 15항 또는 제 21항에 있어서,The method of claim 15 or 21, 상기 등록된 정보의 누적 횟수에 의하여 유해트래픽 발생을 인지하고 상기 자동분석대응모드를 적용하는 것을 특징으로 하는 침입방지시스템의 제어방법.Recognizing the occurrence of harmful traffic based on the accumulated number of registered information and applying the automatic analysis response mode, characterized in that for controlling the intrusion prevention system. 네트워크로부터 트래픽이 발생하는 단계와,Generating traffic from the network, 상기 발생된 트랙픽의 패킷 정보에 대하여 하드웨어적 필터링을 수행하는 단계와,Performing hardware filtering on the packet information of the generated traffic; 상기 하드웨어적 필터링에 의해 네트워크로 유입되는 패킷정보에 대한 공격 탐지에 제한이 있는 경우 일부를 소프트웨어적으로 탐지하도록 분산 제공하는 단계를 포함하는 것을 특징으로 하는 침입방지시스템의 제어방법.And providing distributed distribution of software to detect a part of the attack on the packet information flowing into the network by the hardware filtering.
KR1020060053964A 2006-06-15 2006-06-15 Intrusion prevention system and controlling method KR101268104B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060053964A KR101268104B1 (en) 2006-06-15 2006-06-15 Intrusion prevention system and controlling method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060053964A KR101268104B1 (en) 2006-06-15 2006-06-15 Intrusion prevention system and controlling method

Publications (2)

Publication Number Publication Date
KR20070119382A KR20070119382A (en) 2007-12-20
KR101268104B1 true KR101268104B1 (en) 2013-05-29

Family

ID=39137718

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060053964A KR101268104B1 (en) 2006-06-15 2006-06-15 Intrusion prevention system and controlling method

Country Status (1)

Country Link
KR (1) KR101268104B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102014044B1 (en) 2019-02-18 2019-10-21 한국남동발전 주식회사 Intrusion prevention system and method capable of blocking l2 packet

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101275709B1 (en) * 2011-12-22 2013-07-30 (주)소만사 Packet processing system for network based data loss prevention capable of distributed processing depending on application protocol and method thereof
EP2880819A4 (en) * 2012-07-31 2016-03-09 Hewlett Packard Development Co Network traffic processing system
KR102152309B1 (en) * 2018-10-05 2020-09-04 (주)피즐리소프트 The packet-based threats detection method of providing encrypt traffic visiblity with yara detection
CN114285624B (en) * 2021-12-21 2024-05-24 天翼云科技有限公司 Attack message identification method, device, network equipment and storage medium

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102014044B1 (en) 2019-02-18 2019-10-21 한국남동발전 주식회사 Intrusion prevention system and method capable of blocking l2 packet

Also Published As

Publication number Publication date
KR20070119382A (en) 2007-12-20

Similar Documents

Publication Publication Date Title
KR101404352B1 (en) Method for adapting security policies of an information system infrastructure
CN101136922B (en) Service stream recognizing method, device and distributed refusal service attack defending method, system
KR100609170B1 (en) system of network security and working method thereof
CN100443910C (en) Active network defense system and method
US7832009B2 (en) Techniques for preventing attacks on computer systems and networks
US7889735B2 (en) Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs
US20100251370A1 (en) Network intrusion detection system
US20090031422A1 (en) Methods and systems that selectively resurrect blocked communications between devices
EP1911241B1 (en) Method for defending against denial of service attacks in ip networks by target victim self-identification and control
JP2007094997A (en) Event analysis of ids and warning system
CN101064597B (en) Network security device and method for processing packet data using the same
US7854000B2 (en) Method and system for addressing attacks on a computer connected to a network
WO2020176174A1 (en) Methods, systems, and computer readable media for dynamically remediating a security system entity
US8839406B2 (en) Method and apparatus for controlling blocking of service attack by using access control list
KR101268104B1 (en) Intrusion prevention system and controlling method
KR100756462B1 (en) Method for management a self-learning data in Intrusion prevention system and Method for handling a malicious traffic using the same
JP2005134972A (en) Firewall device
JP2004030287A (en) Bi-directional network intrusion detection system and bi-directional intrusion detection program
KR100613904B1 (en) Apparatus and method for defeating network attacks with abnormal IP address
KR101400127B1 (en) Method and apparatus for detecting abnormal data packet
KR100439174B1 (en) Method for managing alert database and policy propagation in ladon-security gateway system
CN115913693A (en) Network security protection method and device, electronic equipment and storage medium
CN115277173A (en) Network security monitoring management system and method
CN115865517A (en) Attack detection method and system for big data application
Choudhary et al. A secure lightweight algorithm for protecting network from DoS attack

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160308

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170403

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180404

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190401

Year of fee payment: 7