KR101270402B1 - 인덱스를 생성하여 효율적인 고속 매칭 메커니즘을 제공하는 침입 탐지 시스템의 동작 방법 - Google Patents
인덱스를 생성하여 효율적인 고속 매칭 메커니즘을 제공하는 침입 탐지 시스템의 동작 방법 Download PDFInfo
- Publication number
- KR101270402B1 KR101270402B1 KR1020110144789A KR20110144789A KR101270402B1 KR 101270402 B1 KR101270402 B1 KR 101270402B1 KR 1020110144789 A KR1020110144789 A KR 1020110144789A KR 20110144789 A KR20110144789 A KR 20110144789A KR 101270402 B1 KR101270402 B1 KR 101270402B1
- Authority
- KR
- South Korea
- Prior art keywords
- index
- candidate
- signatures
- detection system
- sub
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 인덱스를 생성하여 효율적인 고속 매칭 메커니즘을 제공하는 침입 탐지 시스템의 동작 방법에 관한 것으로서, 적어도 하나 이상의 서브 시그내쳐에 대해 인덱스를 공유하는 집합으로 분류하고, 분류된 집합을 후보 인디시즈로 재구성하는 단계, 및 상기 재구성된 후보 인디시즈에 기초하여, 입력되는 패킷에 상기 인덱스가 포함된 경우, 상기 인덱스와 연관된 상기 적어도 하나 이상의 서브 시그내쳐를 이용하여 상기 입력되는 패킷을 검사하는 단계를 포함할 수 있다.
Description
본 발명은 입력되는 패킷에서 악성 프로그램을 탐지하기 위해, 인덱스를 생성하여 효율적인 고속 매칭 메커니즘을 제공하는 침입 탐지 시스템의 동작 방법을 제공하는 기술적 사상에 관한 것이다.
인터넷이 출현한 이후 인터넷 사용은 꾸준히 증가하였다. 오늘 날에는 웹 서핑을 즐기고 영상을 다운받고 p2p로 파일을 공유하며 이메일을 교환하는 다양한 서비스가 제공되고 있다. 이에 따라 네트워크 트래픽은 폭발적으로 늘어났다.
그리고 덩달아 공격자가 자신을 숨기고 악성행위를 할 수 있는 기회도 같이 커졌다. 악성 행위로는 네트워크를 통하여 악성 프로그램을 퍼트리고 스팸 메일들을 보내고 특정 서버를 공격하여 막대한 피해를 입히거나 중요 정보들을 탈취하는 방법들이 있다. 그런데 엄청난 네트워크 트래픽에 비해 악성 트래픽은 극히 일부이어서 탐지하기 어렵다.
이 때문에 네트워크를 저해하지 않는 신속하고 정확한 탐지가 필요하다.
이러한 악성 트래픽을 탐지하는 시스템으로 대표적으로 침입 탐지 시스템(IDS)이 있다. IDS는 네트워크 패킷들의 헤더나 페이로드를 시그내쳐 기반으로 검사하는데, 늘어나는 트래픽에 맞추어 고속 시그내쳐 매칭 방법이 지속적으로 필요하다.
이러한 IDS는 악성 트래픽의 특정 시그내쳐 정보들을 파일 형태로 저장한다. 현재 시그내쳐들은 약 8000개 이상으로서, 악성 프로그램이 기하급수적으로 많아짐에 따라 시그내쳐 수도 지속적으로 늘어나고 있다.
근래에는 이러한 시그내쳐 정보를 바탕으로 IDS에서 네트워크(LAN)를 지나는 패킷들에서 부합되는 시그내쳐 정보가 있는지 모든 시그내쳐들을 대조한다.
IDS 목적은 백본(Backbone)에서 오고가는 트래픽의 속도에 영향을 미치지 않고 악성 트래픽을 즉각적으로 신속하게 탐지하는 데에 있으나 현재의 대량 트래픽을 시그내쳐 정보와 일일이 검열하는 것은 트래픽의 속도를 저하시키는 요인이 된다.
본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 적어도 하나 이상의 서브 시그내쳐(subSignature)에 대해 인덱스(index)를 공유하는 집합으로 분류하고, 상기 분류된 집합을 후보 인디시즈(indices)로 재구성하는 단계, 및 상기 재구성된 후보 인디시즈에 기초하여, 입력되는 패킷에 상기 인덱스가 포함된 경우, 상기 인덱스와 연관된 상기 적어도 하나 이상의 서브 시그내쳐를 이용하여 상기 입력되는 패킷을 검사하는 단계를 포함할 수 있다.
본 발명의 일실시예에 따른 상기 분류된 집합을 후보 인디시즈로 재구성하는 상기 단계는, 데이터베이스로부터 시그내쳐들을 추출하고, 상기 추출된 시그내쳐들 중에서 랜덤하게 특정 시그내쳐를 선택하는 단계, 및 상기 선택된 특정 시그내쳐에서 랜덤하게 L 길이의 서브스트링을 후보 인덱스로서 추출하는 단계를 포함할 수 있다.
본 발명의 일실시예에 따른 상기 분류된 집합을 후보 인디시즈로 재구성하는 상기 단계는, 상기 추출된 후보 인덱스와, 상기 추출된 후보 인덱스를 포함하는 적어도 하나 이상의 서브 시그내쳐를 연결리스트로 정리하여 후보 인디시즈로 결정하는 단계를 더 포함할 수 있다.
본 발명의 일실시예에 따른 상기 분류된 집합을 후보 인디시즈로 재구성하는 상기 단계는, 상기 결정된 후보 인디시즈에 포함되는 상기 서브 시그내쳐의 개수가 선정된 최소값과 최대값 사이인지 여부를 판단하는 단계, 및 상기 서브 시그내쳐의 개수가 상기 최소값과 최대값 사이인 경우에 데이터베이스에 상기 후보 인디시즈를 저장하는 단계를 더 포함할 수 있다.
본 발명의 일실시예에 따른 상기 입력되는 패킷을 검사하는 상기 단계는, 상기 입력되는 패킷을 조사하여, 상기 인덱스에 부합되는 정보가 존재하는지 확인하는 단계, 및 상기 입력되는 패킷에 상기 인덱스에 부합되는 정보가 존재하지 않는 경우, 상기 인덱스와 연결리스트로 정리된 상기 서브 시그내쳐들을 검사대상에서 제외하는 단계를 포함할 수 있다.
본 발명의 일실시예에 따른 상기 실제 패킷들을 검사하는 단계는, 상기 입력되는 패킷에 상기 인덱스에 부합되는 정보가 존재하는 경우, 상기 인덱스와 연결리스트로 정리된 상기 서브 시그내쳐들을 이용하여 상기 입력되는 패킷을 검사하는 단계를 더 포함할 수 있다.
본 발명의 일실시예에 따르면, IDS의 시그내쳐를 고속으로 검사하기 위하여 양질의 인덱스를 추출하고 이를 이용한 매치 메커니즘을 제시할 수 있다.
본 발명의 일실시예에 따르면, 입력되는 패킷에 대해서 모든 시그내쳐들을 대조하지 않고, 추출된 인덱스에 대응되는 서브 시그내쳐들만 대조함으로써, 백본(Backbone)에서 오고가는 트래픽의 속도에 영향을 미치지 않고 악성 트래픽을 즉각적으로 신속하고 정확하게 탐지할 수 있다.
도 1은 본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법을 설명하는 도면이다.
도 2는 본 발명의 일실시예에 따른 후보 인디시즈로 재구성하는 과정을 설명하는 흐름도이다.
도 3은 본 발명의 일실시예에 따른 후보 인디시즈의 구성을 설명하는 도면이다.
도 4는 본 발명의 일실시예에 따른 인덱스를 추출하는 실시예를 설명하는 도면이다.
도 5는 본 발명의 일실시예에 따른 추출된 인덱스로 구성된 후보 인디시즈의 실시예를 설명하는 도면이다.
도 6은 본 발명의 일실시예에 따른 재구성된 후보 인디시즈에 기초하여, 입력되는 패킷을 검사하는 과정을 설명하는 흐름도이다.
도 2는 본 발명의 일실시예에 따른 후보 인디시즈로 재구성하는 과정을 설명하는 흐름도이다.
도 3은 본 발명의 일실시예에 따른 후보 인디시즈의 구성을 설명하는 도면이다.
도 4는 본 발명의 일실시예에 따른 인덱스를 추출하는 실시예를 설명하는 도면이다.
도 5는 본 발명의 일실시예에 따른 추출된 인덱스로 구성된 후보 인디시즈의 실시예를 설명하는 도면이다.
도 6은 본 발명의 일실시예에 따른 재구성된 후보 인디시즈에 기초하여, 입력되는 패킷을 검사하는 과정을 설명하는 흐름도이다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
본 발명을 설명함에 있어서, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고, 본 명세서에서 사용되는 용어(terminology)들은 본 발명의 바람직한 실시예를 적절히 표현하기 위해 사용된 용어들로서, 이는 사용자, 운용자의 의도 또는 본 발명이 속하는 분야의 관례 등에 따라 달라질 수 있다. 따라서, 본 용어들에 대한 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.
도 1은 본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법을 설명하는 도면이다.
본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 적어도 하나 이상의 서브 시그내쳐에 대해 인덱스를 공유하는 집합으로 분류하고, 상기 분류된 집합을 후보 인디시즈로 재구성할 수 있다(단계 101).
다시 말해, 본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 기존에 악성코드와 연관된 시그내쳐들에서, 특정 시그내쳐를 무작위로 선택하고, 상기 선택된 특정 시그내쳐에서 인덱스를 추출할 수 있다. 또한, 상기 추출된 인덱스를 기준으로, 상기 악성코드와 연관된 시그내쳐들 중에서 상기 인덱스가 포함되는 시그내쳐들을 집합으로 분류할 수 있다.
이때, 상기 인덱스가 포함되는 시그내쳐들은 서브 시그내쳐로 정의할 수 있다.
또한, 상기 인덱스 및 상기 시그내쳐들을 상기 후보 인디시즈로 정의할 수 있다.
상기 분류된 집합을 후보 인디시즈로 재구성하는 과정은 도 2에서 상세히 설명한다.
다음으로, 본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 상기 재구성된 후보 인디시즈에 기초하여, 입력되는 패킷에 상기 인덱스가 포함된 경우, 상기 인덱스와 연관된 상기 적어도 하나 이상의 서브 시그내쳐를 이용하여 상기 입력되는 패킷을 검사할 수 있다(단계 102).
본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 상기 입력되는 패킷과, 상기 악성코드와 연관된 시그내쳐들을 모두 대조하여 검사하지 않는다.
본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 상기 입력되는 패킷에 대해서 상기 추출된 인덱스에 대해서 우선 대조하고, 상기 인덱스와 상기 패킷이 연관관계가 있는 경우에, 비로소 상기 인덱스와 관련있는 상기 적어도 하나 이상의 서브 시그내쳐와 상기 입력되는 패킷을 대조한다.
이 과정에서, 입력되는 패킷과 서로 연관관계가 없는 인덱스가 존재하며, 이러한 연관관계가 없는 인덱스에 대응되는 많은 서브 시그내쳐들은 상기 입력되는 패킷과 대조할 필요가 없어진다.
따라서, 불필요한 시그내쳐의 대조를 예방하기 때문에 본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 종래에 비해서 현저하게 빠른 속도로 입력되는 패킷을 검사할 수 있다.
이러한, 입력되는 패킷을 검사하는 단계는 도 6을 통해서 구체적으로 설명한다.
도 2는 본 발명의 일실시예에 따른 후보 인디시즈로 재구성하는 과정을 설명하는 흐름도이다.
본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 데이터베이스로부터 시그내쳐들을 추출하고, 상기 추출된 시그내쳐들 중에서 랜덤하게 특정 시그내쳐를 선택할 수 있다.
다시 말해, 본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 기존의 모든 시그내쳐들을 데이터베이스(201)에서 가져와서 그 중 하나의 시그내쳐를 랜덤하게 선택할 수 있다(단계 204).
이 과정에서, 본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 가져온 모든 시그내쳐들이 후보 인디시즈로 저장되었는지를 판단하고(단계 202), 저장되었다면 프로세스를 종료한다(단계 203).
본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 랜덤하게 선택된 하나의 시그내쳐에서 다시 랜덤하게 서브스트링(substring)을 L 길이만큼 추출한다(단계 205).
이때, 상기 L 길이의 서브 스트링을 후보 인덱스로 정의할 수 있다.
여기서 후보 인덱스의 길이(L)를 다양하게 값을 지정할 수 있다.
다음으로, 본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 상기 선택된 후보 인덱스를 나머지 모든 시그내쳐들의 서브스트링(substring)으로 존재하는지 검색할 수 있다(단계 206).
이에, 본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 상기 후보 인덱스를 포함하고 있는 모든 서브 시그내쳐들은 후보 인덱스와 연결 리스트로 정리할 수 있다. 즉, 본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 상기 후보 인덱스와 상기 서브 시그내쳐를 연관지을 수 있다.
본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 상기 후보 인덱스 및 상기 후보 인덱스와 연결된 모든 서브 시그내쳐 집합을 하나의 후보 인디시즈로 정의할 수 있다.
이에, 본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 상기 후보 인디시즈에 속하는 서브 시그내쳐의 개수가 최소값 이상이고 최대값 이내인지 여부를 판단할 수 있다(단계 207).
만약, 상기 서브 시그내쳐의 개수가 상기 최소값과 최대값 사이인 경우 본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 인디시즈 데이터베이스(Database)에 상기 후보 인디시즈를 저장할 수 있다(단계 208).
본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 후보 인디시즈에 속하여, 인디시즈 데이터베이스에 기록된 서브 시그내쳐들은 기존의 시그내쳐 목록에서 삭제한다.
이러한 작업은 시그내쳐 목록이 비어서 인디시즈 안에 시그내쳐들이 모두 속할 때까지 진행될 수 있다.
하나의 후보 인덱스에 연관된 서브 시그내쳐들의 개수에 최대, 최소 제한을 두는 이유는 인덱스를 사용하는 효율을 높이고자 함이다. 만약 하나의 인덱스에 너무 많은 서브 시그내쳐들이 속한다면, 첫 번째 단계에서 인덱스 매칭을 하고 맞으면 두 번째 단계에서 이 인덱스를 포함하는 서브 시그내쳐들을 자세히 검사해야 하는데 이 개수가 너무 많거나 하나의 인덱스에 쏠린다면 만족할 만한 성능 향상을 가져오지 못할 수도 있다. 또한, 반대로 만약 하나의 인덱스에 너무 적은 서브 시그내쳐들이 속한다면 인덱스의 수가 증가하므로 인덱스 방법의 효율성이 무의미해진다. 따라서 최대 최소 제한을 두어 양질의 인덱스를 추출한다.
도 3은 본 발명의 일실시예에 따른 후보 인디시즈의 구성을 설명하는 도면이다.
본 발명의 일실시예에 따른 후보 인디시즈(300)는 추출된 적어도 하나 이상의 인덱스(310)와, 상기 추출된 적어도 하나 이상의 인덱스(310) 각각에 대응되는 시그내쳐들의 집합(서브 시그내쳐)을 나타낸다.
도 3에서 보는 바와 같이, 후보 인디시즈(300)는 인덱스(310) 중에서도, index 1(311)의 후보 인덱스와 도면부호 312로 식별되는 서브 시그내쳐들을 연관지어 저장한다.
도 4는 본 발명의 일실시예에 따른 인덱스를 추출하는 실시예를 설명하는 도면이다.
예를 들어, 기존의 시그내쳐 9개에 대하여 인덱스 길이가 4, 후보 인덱스의 서브 시그내쳐 수의 제한은 Max = 4 Min=1 로 설정하여 실시하면 다음과 같다.
도 4에서 보는 바와 같이, 기존의 시그내쳐들이 (1)~(9)이라 하면, 이 중에서 무작위로 하나를 선택한다. 도 4에서는 (4)째 시그내쳐(410)를 무작위로 고른 후, 무작위로 후보 인덱스(420) ".pht"를 추출한 것을 나타낸 것이다. 이렇게 추출된 후보 인덱스(420)는 전체 시그내쳐(430) 중에 이를 포함한 것이 있는지 확인하고 이 개수가 Min, Max 사이인지 분석한다.
전체 시그내쳐(430) 중에서, (3) 및 (4)에 해당하는 시그내쳐들이 도면부호 431과 같이 후보 인덱스(420) ".pht"를 포함한다.
도 5는 본 발명의 일실시예에 따른 추출된 인덱스로 구성된 후보 인디시즈의 실시예를 설명하는 도면이다.
기존의 시그내쳐가 모두 후보 인디시즈에 포함될 때까지 도 4의 과정을 반복하여 진행할 수 있다.
도 5는 9개 시그내쳐(510)에 대하여 길이가 4이고 4개의 인덱스(520)로 구성된 후보 인디시즈를 나타낸 그림이다.
이렇게 완성된 후보 인디시즈를 이용하여 실제 패킷들을 검사할 수 있다.
기존의 방법을 사용하여 검사한다면 총 9개의 시그내쳐(510)를 모두 확인해야 한다.
하지만 본 발명에서는 후보 인디시즈를 사용하여 지나가는 패킷들 중에 "ssus"가 포함된 패킷이 있다면 "ssus"의 서브 시그내쳐(530)인 ①, ②에 해당하는 시그내쳐 만 확인하면 된다.
이 때, 나머지 ③~⑨의 시그내쳐들은 검사하지 않고 넘어갈 수 있으므로 시스템 처리속도를 현저하게 향상시킬 수 있다.
도 6은 본 발명의 일실시예에 따른 재구성된 후보 인디시즈에 기초하여, 입력되는 패킷을 검사하는 과정을 설명하는 흐름도이다.
본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 상기 입력되는 패킷을 검사하기 위해서, 상기 입력되는 패킷을 조사하여, 상기 인덱스에 부합되는 정보가 존재하는지 확인할 수 있다.
구체적으로, 본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 인디시즈 데이터베이스(601)에 기록된 후보 인디시즈를 입력되는 패킷에 매칭할 수 있다(단계 602).
본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 단계 602의 매칭 결과, 상기 입력되는 패킷에 상기 인덱스에 부합되는 정보가 존재하지 않는 경우, 상기 인덱스와 연결리스트로 정리된 상기 서브 시그내쳐들을 검사대상에서 제외할 수 있다.
또한, 본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 상기 입력되는 패킷에 상기 인덱스에 부합되는 정보가 존재하는 경우, 상기 인덱스와 연결리스트로 정리된 상기 서브 시그내쳐들을 이용하여 상기 입력되는 패킷을 검사하여, 상기 서브 시그내쳐와 상기 입력되는 패킷을 매칭시킬 수 있다(단계 603).
만약, 상기 입력되는 패킷과 상기 서브 시그내쳐가 매칭된다면, 다시 말해, 상기 입력되는 패킷과 상기 서브 시그내쳐에 연관관계가 존재한다면, 본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 침입을 탐지할 수 있다(단계 604).
다시 말해, 상기 입력되는 패킷에 상기 인덱스가 부합한다면 상기 인덱스에 속하는 모든 서브 시그내쳐들에 대하여 더 자세한 검사를 할 수 있다.
즉, 상기 인덱스를 먼저 매칭하므로 매칭되지 않은 인덱스에 속하는 서브 시그내쳐들을 더 자세히 검사하지 않고 제외할 수 있다. 따라서 본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 기존의 방법보다 효율적인 검사를 진행할 수 있다.
본 발명의 일실시예에 따른 침입 탐지 시스템의 동작 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
101: Index를 생성하는 방법
102: Index를 이용하여 실제 패킷들과 매칭(matching)하는 방법
102: Index를 이용하여 실제 패킷들과 매칭(matching)하는 방법
Claims (7)
- 적어도 하나 이상의 서브 시그내쳐에 대해 인덱스를 공유하는 집합으로 분류하고, 상기 분류된 집합을 후보 인디시즈로 재구성하는 단계; 및
상기 재구성된 후보 인디시즈에 기초하여, 입력되는 패킷에 상기 인덱스가 포함된 경우, 상기 인덱스와 연관된 상기 적어도 하나 이상의 서브 시그내쳐를 이용하여 상기 입력되는 패킷을 검사하는 단계
를 포함하고,
상기 분류된 집합을 후보 인디시즈로 재구성하는 상기 단계는,
데이터베이스로부터 시그내쳐들을 추출하고, 상기 추출된 시그내쳐들 중에서 랜덤하게 특정 시그내쳐를 선택하는 단계; 및
상기 선택된 특정 시그내쳐에서 랜덤하게 L 길이의 서브스트링을 후보 인덱스로서 추출하는 단계
를 포함하는 침입 탐지 시스템의 동작 방법. - 삭제
- 제1항에 있어서,
상기 분류된 집합을 후보 인디시즈로 재구성하는 상기 단계는,
상기 추출된 후보 인덱스와, 상기 추출된 후보 인덱스를 포함하는 적어도 하나 이상의 서브 시그내쳐를 연결리스트로 정리하여 후보 인디시즈로 결정하는 단계
를 더 포함하는 침입 탐지 시스템의 동작 방법. - 제3항에 있어서,
상기 분류된 집합을 후보 인디시즈로 재구성하는 상기 단계는,
상기 결정된 후보 인디시즈에 포함되는 상기 서브 시그내쳐의 개수가 선정된 최소값과 최대값 사이인지 여부를 판단하는 단계; 및
상기 서브 시그내쳐의 개수가 상기 최소값과 최대값 사이인 경우에 데이터베이스에 상기 후보 인디시즈를 저장하는 단계
를 더 포함하는 침입 탐지 시스템의 동작 방법. - 제1항에 있어서,
상기 입력되는 패킷을 검사하는 상기 단계는,
상기 입력되는 패킷을 조사하여, 상기 인덱스에 부합되는 정보가 존재하는지 확인하는 단계; 및
상기 입력되는 패킷에 상기 인덱스에 부합되는 정보가 존재하지 않는 경우, 상기 인덱스와 연결리스트로 정리된 상기 서브 시그내쳐들을 검사대상에서 제외하는 단계
를 포함하는 침입 탐지 시스템의 동작 방법. - 제5항에 있어서,
상기 입력되는 패킷을 검사하는 상기 단계는,
상기 입력되는 패킷에 상기 인덱스에 부합되는 정보가 존재하는 경우, 상기 인덱스와 연결리스트로 정리된 상기 서브 시그내쳐들을 이용하여 상기 입력되는 패킷을 검사하는 단계
를 더 포함하는 침입 탐지 시스템의 동작 방법. - 제1항 및 제3항 내지 제6항 중 어느 한 항의 방법을 수행하기 위한 프로그램이 기록된 컴퓨터로 판독 가능한 기록 매체.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020110144789A KR101270402B1 (ko) | 2011-12-28 | 2011-12-28 | 인덱스를 생성하여 효율적인 고속 매칭 메커니즘을 제공하는 침입 탐지 시스템의 동작 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020110144789A KR101270402B1 (ko) | 2011-12-28 | 2011-12-28 | 인덱스를 생성하여 효율적인 고속 매칭 메커니즘을 제공하는 침입 탐지 시스템의 동작 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101270402B1 true KR101270402B1 (ko) | 2013-06-07 |
Family
ID=48866026
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020110144789A KR101270402B1 (ko) | 2011-12-28 | 2011-12-28 | 인덱스를 생성하여 효율적인 고속 매칭 메커니즘을 제공하는 침입 탐지 시스템의 동작 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101270402B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016039491A1 (ko) * | 2014-09-11 | 2016-03-17 | 주식회사 코닉글로리 | 패킷과 시그니처 기반의 침입 탐지 장치 및 침입 탐지 방법 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100772523B1 (ko) * | 2006-08-01 | 2007-11-01 | 한국전자통신연구원 | 패턴을 이용하는 침입 탐지 장치 및 그 방법 |
| KR100809416B1 (ko) * | 2006-07-28 | 2008-03-05 | 한국전자통신연구원 | 보안 시스템을 위한 최적 시그니처 자동 생성 장치 및 방법 |
| KR20090065306A (ko) * | 2007-12-17 | 2009-06-22 | 한국전자통신연구원 | 시그니처 패턴 매칭방법과 그 시스템 및 시그니처 패턴이기록된 기록매체 |
-
2011
- 2011-12-28 KR KR1020110144789A patent/KR101270402B1/ko not_active IP Right Cessation
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100809416B1 (ko) * | 2006-07-28 | 2008-03-05 | 한국전자통신연구원 | 보안 시스템을 위한 최적 시그니처 자동 생성 장치 및 방법 |
| KR100772523B1 (ko) * | 2006-08-01 | 2007-11-01 | 한국전자통신연구원 | 패턴을 이용하는 침입 탐지 장치 및 그 방법 |
| KR20090065306A (ko) * | 2007-12-17 | 2009-06-22 | 한국전자통신연구원 | 시그니처 패턴 매칭방법과 그 시스템 및 시그니처 패턴이기록된 기록매체 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016039491A1 (ko) * | 2014-09-11 | 2016-03-17 | 주식회사 코닉글로리 | 패킷과 시그니처 기반의 침입 탐지 장치 및 침입 탐지 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107180192B (zh) | 基于多特征融合的安卓恶意应用程序检测方法和系统 | |
| US10218740B1 (en) | Fuzzy hash of behavioral results | |
| WO2015120752A1 (zh) | 网络威胁处理方法及设备 | |
| US8010685B2 (en) | Method and apparatus for content classification | |
| CN108920954B (zh) | 一种恶意代码自动化检测平台及方法 | |
| CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
| KR100620313B1 (ko) | 마이크로소프트 실행파일의 구조적 특성을 이용한 악성프로그램 검출 시스템 및 방법 | |
| US20150281260A1 (en) | Integrated network threat analysis | |
| WO2017152877A1 (zh) | 网络威胁事件评估方法及装置 | |
| US11888874B2 (en) | Label guided unsupervised learning based network-level application signature generation | |
| CN111988341B (zh) | 数据处理方法、装置、计算机系统和存储介质 | |
| Lovanshi et al. | Comparative study of digital forensic tools | |
| EP3905084A1 (en) | Method and device for detecting malware | |
| WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
| US20170230388A1 (en) | Identifying malicious executables by analyzing proxy logs | |
| US11886587B2 (en) | Malware detection by distributed telemetry data analysis | |
| CN105407096A (zh) | 基于流管理的报文数据检测方法 | |
| Aldwairi et al. | Exscind: Fast pattern matching for intrusion detection using exclusion and inclusion filters | |
| KR101322037B1 (ko) | N-그램 모델에 기반한 인덱스를 생성하여 효율적인 고속 매칭 메커니즘을 제공하는 침입 탐지 시스템의 동작 방법 | |
| White et al. | A method for the automated detection phishing websites through both site characteristics and image analysis | |
| CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
| CN108768934A (zh) | 恶意程序发布检测方法、装置以及介质 | |
| Özdel et al. | Payload-based network traffic analysis for application classification and intrusion detection | |
| JP6523799B2 (ja) | 情報分析システム、情報分析方法 | |
| KR101270402B1 (ko) | 인덱스를 생성하여 효율적인 고속 매칭 메커니즘을 제공하는 침입 탐지 시스템의 동작 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20160418 Year of fee payment: 4 |
|
| LAPS | Lapse due to unpaid annual fee |