KR101280910B1

KR101280910B1 - 고속 패킷 처리를 위한 네트워크 프로세서 기반 2단계 침입탐지장치 및 방법

Info

Publication number: KR101280910B1
Application number: KR1020110135926A
Authority: KR
Inventors: 최영한; 김덕진; 이성렬; 이만희; 배병철; 박상우; 윤이중
Original assignee: 한국전자통신연구원
Priority date: 2011-12-15
Filing date: 2011-12-15
Publication date: 2013-07-02
Also published as: US20130160122A1; KR20130068631A; US8732833B2

Abstract

본 발명은 네트워크 프로세서를 이용하여, 네트워크 침입을 탐지하는 장치 및 침입탐지 방법에 대한 발명이다. 더욱 상세하게는, 제1 네트워크 프로세서를 이용하여, 침입탐지장치에 전송된 패킷의 패킷 헤더(packet header)에 포함된 정보 중, 레이어3(layer3)과 레이어4(layer4)의 프로토콜 필드에 대하여 침입탐지를 수행하고, 상기 침입이 탐지되지 않는 경우, 상기 패킷을 플로우(flow)에 따라 분류하여 제2 침입탐지기에 전송하는 제1 침입탐지기, 및 제2 네트워크 프로세서를 이용하여 상기 제1 침입탐지기에서 전송된 패킷의 패킷 페이로드(packet payload)에 대하여 심층 패킷 조사(Deep Packet Inspection: DPI)를 통한 침입탐지를 수행하는 제2 침입탐지기를 포함하는 침입탐지장치를 통하여, 네트워크 환경에서 고속 패킷에 대한 침입탐지를 처리할 수 있게 된다.

Description

고속 패킷 처리를 위한 네트워크 프로세서 기반 2단계 침입탐지장치 및 방법{TWO-STAGE INTRUSION DETECTION SYSTEM FOR HIGH SPEED PACKET PROCESS USING NETWORK PROCESSOR AND METHOD THEREOF}

본 발명은 네트워크 프로세서를 이용하여, 네트워크 침입을 탐지하는 장치 및 침입탐지 방법에 대한 발명이다. 더욱 상세하게는, 네트워크를 통하여 입력되는 패킷의 패킷 헤더(packet header)와 패킷 페이로드(packet payload)에 대한 처리를 2단계로 나누어서 침입탐지를 수행함으로써, 고속 패킷 처리가 가능하게 하는 기술에 관한 것이다.

네트워크를 통하여 데이터를 송수신하는 경우, 네트워크에 연결된 소정의 디바이스에 대하여, 서비스 거부 공격(Dos공격), 포트 스캔, 컴퓨터 크랙 시도 등과 같은 네트워크 침입(intrusion) 동작을 막기 위하여, 네트워크 트래픽을 감시하는 침입탐지장치가 이용되고 있다.

상기 침입탐지장치는, 수신되는 모든 수신 패킷을 읽고(read), 의심스러운 패턴을 검색한다. 즉, 예를 들어, 매우 많은 수의 TCP연결 요청이 다양한 다른 포트들을 사용하여 연결하려는 패턴을 발견한 경우, 제3자에 의한 포트 스캔이 시도되고 있음을 탐지할 수 있다.

다만, 기존에는 네트워크를 통하여 전송된 고속 패킷을 처리하는 경우 패킷 누수가 발생하여 모든 패킷을 포함하는 트래픽에 대한 침입탐지를 수행하지 못하는 문제점이 있었다. 또한, 이를 극복하기 위하여 네트워크 트래픽을 분산시키는 방법(국내특허출원번호: 10-2009-0076612, ‘상호 협력적인 다중 서버를 통한 침입탐지장치 및 방법 그리고 침입탐지 통제 장치 및 방법’)이 제시되었으나 상기 분산 방법도 처리되어야 할 트래픽 자체를 줄이지는 못하는 문제점이 존재하고 있다.

이에 따라서, 본 발명은 상기와 같은 문제점을 해결하기 위하여 제안된 것으로, 고속 패킷 처리를 위해 패킷을 패킷 헤더와 패킷 페이로드로 구분한 후 네트워크 프로세서를 이용하여 침입탐지를 수행하는 2단계 침입탐지장치 및 그 방법을 제시하는 것을 목적으로 한다.

또한, 부하가 많이 요구되는 패킷 페이로드 대상 침입탐지의 경우, 복수개의 네트워크 프로세서를 통하여 병렬로 침입탐지를 수행할 수 있다. 따라서, 본 발명은 백본(backbone)과 같은 고속 네트워크 환경에서 패킷의 누수 없이 네트워크 침입을 판단할 수 있는 장치를 제공하는데 목적이 있다.

본 발명의 목적을 달성하기 위하여, 본 발명의 실시 예에 따른 침입탐지장치는, 제1 네트워크 프로세서를 이용하여, 침입탐지장치에 전송된 패킷의 패킷 헤더(packet header)에 포함된 정보 중, 레이어3(layer3)과 레이어4(layer4)의 프로토콜 필드에 대하여 침입탐지를 수행하고, 상기 침입이 탐지되지 않는 경우, 상기 패킷을 플로우(flow)에 따라 분류하여 제2 침입탐지기에 전송하는 제1 침입탐지기; 및 제2 네트워크 프로세서를 이용하여 상기 제1 침입탐지기에서 전송된 패킷의 패킷 페이로드(packet payload)에 대하여 심층 패킷 조사(Deep Packet Inspection: DPI)를 통한 침입탐지를 수행하는 제2 침입탐지기를 포함하는 것을 특징으로 한다.

또한, 본 발명의 다른 실시 예에 따른 침입탐지방법은, 제1 침입탐지기가 제1 네트워크 프로세서를 이용하여, 상기 침입탐지장치에 전송된 패킷의 패킷 헤더(packet header)에 포함된 정보 중, 레이어3(layer3)과 레이어4(layer4)의 프로토콜 필드에 대하여 침입탐지를 수행하는 단계, 상기 침입탐지 수행 결과, 침입이 탐지되지 않는 경우, 상기 제1 침입탐지기가 상기 패킷을 플로우(flow)에 따라 분류하여 상기 제2 침입탐지기에 전송하는 단계, 및 상기 제2 침입탐지기가 제2 네트워크 프로세서를 이용하여 상기 제1 침입탐지기에서 전송된 패킷의 패킷 페이로드(packet payload)에 대하여 심층 패킷 조사(Deep Packet Inspection: DPI)를 통한 침입탐지를 수행하는 단계를 포함하는 것을 특징으로 한다.

본 발명에 의한 침입탐지장치 및 방법을 이용하면, 패킷을 패킷 헤더와 패킷 페이로드로 나누어 상이한 특성을 가지는 네트워크 프로세서에서 침입탐지를 수행함으로써 백본과 같은 네트워크 환경에서 고속 패킷을 처리할 수 있게 되는 효과가 있다.

도 1은 본 발명의 실시 예에 따른 침입탐지가 수행되는 구성을 도시한 도면이다.
도 2는 본 발명의 실시 예에 따른 침입탐지장치를 도시한 도면이다.
도 3은 본 발명의 실시 예에 따른 침입탐지방법을 도시한 순서도이다.

이하에서는 첨부된 도면을 참조하여 본 발명의 여러 가지 실시 예들을 보다 상세히 설명하도록 하겠다. 나아가, 이하의 설명에서 사용되는 구성요소에 대한 접미사 "부", “기” 및 "장치"는 단순히 본 명세서 작성의 용이함을 고려하여 부여되는 것으로서, 상기 "부", “기” 및 "장치"는 서로 혼용되어 사용될 수 있으며, 하드웨어 또는 소프트웨어로 설계 가능하다.

나아가, 이하 첨부 도면들 및 첨부 도면들에 기재된 내용들을 참조하여 본 발명의 실시 예를 상세하게 설명하지만, 본 발명이 실시 예들에 의해 제한되거나 한정되는 것은 아니다.

도 1은 본 발명의 실시 예에 따른 침입탐지가 수행되는 개략적인 구성을 도시한 도면이다.

실시 예에 따라, 고속 패킷(101)의 처리를 위하여 전송된 패킷에 대한 침입탐지를 패킷 헤더(packet header)와 패킷 페이로드(packet payload)를 나누어 처리하기 위하여 제1 침입탐지기(102) 및 제2 침입탐지기(104)을 구비하여 2단계의 침입탐지를 수행할 수 있다.

침입탐지장치는 네트워크 인터페이스를 통하여 침입탐지장치에 패킷(packet)을 포함하는 데이터를 송수신할 수 있다. 또한, 상기 네트워크는, 인트라넷(intranet) 네트워크, 인터넷(internet) 네트워크 등을 포함할 수 있고, 상기 네트워크 인터페이스는, 유, 무선 네트워크 연결을 지원할 수 있다.

따라서, 고속 패킷(101)이 네트워크를 통하여 침입탐지장치에 전송되면, 침입탐지장치는, 먼저 제1 침입탐지기(102)를 통하여 상기 전송된 패킷의 패킷 헤더(packet header)에 대한 침입탐지를 수행하고, 침입이 탐지되지 않는 경우 상기 패킷을 플로우(flow)에 따라 분류하고(103), 상기 분류된 패킷을 제2 침입탐지기(104)로 전송한다.

다음으로, 제2 침입탐지기(104)는, 상기 전송된 패킷의 패킷 페이로드(packet payload)에 대한 침입탐지를 수행한다.

또한, 제1 침입탐지기(102)의 패킷 헤더에 대한 침입탐지 결과(105), 및 제2 침입탐지기(104)의 패킷 페이로드에 대한 침입탐지 결과(107)을 침입탐지 결과 수집기(106)에 저장함으로써, 침입이 존재하는 패킷 또는 침입이 존재하지 않는 패킷에 대한 데이터를 수집할 수 있고, 상기 수집된 데이터를 추후 침입탐지에 활용할 수 있다.

즉, 도 1에 도시된 바와 같이, 수신되는 패킷의 헤더와 페이로드를 구분하여 처리함으로써, 효율적인 침인 탐지 동작을 수행할 수 있다. 상기 침입탐지 동작을 수행하기 위한 상세한 구성에 관하여는 이하 도 2에서 설명한다.

도 2는 본 발명의 실시 예에 따른 침입탐지장치를 도시한 도면이다.

실시 예에 따라, 침입탐지장치는, 제1 침입탐지기(201), 및 제2 침입탐지기(202)를 포함할 수 있다.

제1 침입탐지기는, 제1 네트워크 프로세서(204) 및 패킷 헤더 침입조건(205)를 포함할 수 있다.

제1 네트워크 프로세서(204)는, 네트워크를 통하여 전송되는 패킷을 처리하는 하드웨어를 내장한 프로세서를 지칭한다. 또한, 본 발명의 실시 예와 관련하여, 침입탐지장치는, 마이크로 코드를 통해 상기 패킷 헤더에 대한 고속 처리를 수행할 수 있는 네트워크 프로세서를 제1 네트워크 프로세서로 포함할 수 있다.

제1 침입탐지기(201)는, 침입탐지장치에 수신되는 패킷(packet)의 패킷 헤더(packet header)에 대하여, 제1 침입 탐지기에 저장된 패킷 헤더 침입 조건(205)을 통하여 침입(intrusion)을 탐지하기 위한 동작을 수행할 수 있다.

즉, 제1 침입탐지기(201)는, 제1 네트워크 프로세서(204)를 이용하여, 침입탐지장치에 전송된 패킷의 패킷 헤더(packet header)에 대한 침입탐지를 수행하고, 침입이 탐지되지 않는 경우, 상기 패킷을 플로우(flow)에 따라 분류하여 제2 침입탐지기(202)에 전송할 수 있다.

또한, 실시 예에 따라, 제1 침입탐지기(201)는, 상기 패킷 헤더를 분석하여 레이어3(Layer3)과 레이어4(Layer4)의 프로토콜 필드를 대상으로 침입에 대한 패턴이 있는지 검사함으로써, 상기 패킷 헤더에 대한 침입탐지를 수행할 수 있다.

따라서, 패킷 헤더 침입 조건(205)는, 침입에 대한 패턴에 대한 정보를 저장할 수 있다.

본 발명의 상세한 설명에서 언급하는 레이어(layer)는, OSI(Open System Interconnection) 모델 7 계층 분류에 따른 레이어 계층을 의미할 수 있다. 즉, 예를 들어 레이어3(layer3)은 OSI모델 7계층에 따른 3번째 계층을 의미할 수 있으며, 레이어4(layer4)는 OSI모델 7계층에 따른 4번째 계층을 의미할 수 있다.

또한, 제1 침입탐지기(201)는, 상기 레이어3 및 레이어4에 기초한 패킷 헤더에 대한 침입탐지가 완료되면, 상기 패킷의 패킷 헤더 정보에 기초하여 5터플(5-tuple)에 따른 플로우(flow)를 생성하여 상기 각각의 생성된 플로우에 대한 침입탐지를 다시 수행하고, 상기 각각의 생성된 플로우에 대한 침입이 탐지되지 않는 경우, 상기 패킷의 패킷 헤더 정보에 기초하여 다시 2터플(2-tuple)에 따른 플로우를 생성하여 상기 플로우에 따른 분류를 수행할 수 있다.

즉, 실시 예에 따라, 제1 침입탐지기(201)는, 소스IP(Source IP), 목적지IP(Destination IP), 소스포트(Source Port), 목적지 포트(Destination Port), 및 프로토콜(Protocol)를 포함하는 5터플에 따른 플로우를 생성하고, 상기 생성된 플로우를 대상으로 정상적인 네트워크 트래픽과 다른 플로우를 탐지할 수 있다.

따라서, 패킷 헤더 침입 조건(205)는, 정상적인 네트워크 트래픽의 플로우에 대한 정보를 저장할 수 있다.

또한, 제1 침입탐지기(201)는, 상기 5터플(5-tuple)에 따라 생성된 플로우의 소스 IP(Source IP)에 대하여 레이어4 디도스(Layer4 DDoS)와 레이어7 디도스(Layer7 DDoS)를 탐지함으로써 상기 침입탐지를 다시 수행할 수 있다.

또한, 플로우에 대한 침입탐지 결과, 침입탐지가 되지 않는 경우, 패킷은 다시 소스IP(Source IP)와 목적지IP(Destination IP)를 포함하는 2터플(2-tuple)로 생성되어 분류될 수 있다.

또한, 실시 예에 따라, 2터플(2-tuple)에 따라 생성된 플로우의 소스IP(Source IP)주소의 마지막 자리와 목적지IP(Destination IP)의 마지막 자리를 더한 후, 모듈러(mod)연산을 수행함으로써 상기 플로우에 따른 분류를 수행할 수 있다. 즉, 하기 [수학식1], 및 [수학식2]를 통한 연산을 수행할 수 있다(X는 소스IP의 마지막 자리 값으로 0에서 255 사이의 양의 정수 값을 가지고, Y는 목적지IP의 마지막 자리 값으로 0에서 255 사이의 양의 정수 값을 가진다. 또한, n은, 제2 침입탐지기의 개수를 나타낸다.).

즉, 상기 연산을 통하여, 양방향 통신에서 소스IP와 목적지IP가 서로 달라지는 요소를 희석시킴으로써 동일한 클라이언트와 서버인 경우는 항상 같은 제2 침입탐지기에서 수행되도록 하여 효율성을 향상시킬 수 있다.

또한, 제2 침입탐지기(202)는, 제2 네트워크 프로세서(206)를 이용하여 상기 제1 침입탐지기에서 전송된 패킷의 패킷 페이로드(packet payload)에 대한 침입탐지를 수행할 수 있다.

실시 예에 따라, 상기 제2 네트워크 프로세서는, 심층 패킷 조사(Deep Packet Inspection; DPI)의 수행이 가능한 네트워크 프로세서일 수 있다.

또한, 제2 침입탐지기는 페이로더 침입조건(207)을 저장하여, 심층 패킷 조사에 필요한 정보를 제2 내트워크 프로세서(206)에 제공할 수 있다.

또한, 실시 예에 따라, 침입탐지장치는, 병렬로 연결된 복수 개의 제2 침입탐지기(202, 203)을 포함할 수 있다. 따라서, 제1 침입탐지기(201)는 분류된 패킷을, 상기 분류에 따라 서로 다른 제2 침입탐지기로 전송할 수 있고, 상기 각각의 제2 침입탐지장치에 포함된 제2 네트워크 프로세서(206)를 통하여, 상기 복수 개의 제2 침입탐지기가 서로 다른 네트워크 프로세서를 이용하여 상기 패킷 페이로드에 대한 침입탐지를 병렬로 수행할 수 있다.

즉, 처리 부하가 많이 요구되는 패킷 페이로드의 처리과정을 병렬로 처리함으로써 고속 패킷 처리가 가능하도록 할 수 있다.

또한, 제2 침입탐지기(204)는, 제1 침입탐지기(203)에서 분류되어 전송된 패킷의 패킷 페이로드(packet payload)에 대하여 DPI(Deep Packet Inspection)를 수행하여 침입탐지를 수행할 수 있다.

또한, 본 발명의 실시 예에 따른 침입탐지장치는, 복수 개의 마이크로 프로세서(206)을 포함하고, 상기 복수 개의 네트워크 프로세서 중, 제1 침입탐지기(203)은, 마이크로 코드를 통해 고속 처리를 수행하는 네트워크 프로세서를 이용하고, 제2 침입탐지기(204)은, DPI(Deep Packet Inspection)을 적용할 수 있는 네트워크 프로세서를 이용하도록 하여, 제1 침입탐지기는 패킷의 헤더에 대한 침입탐지를 수행하기에 효율적인 네트워크 프로세서를 이용하고, 제2 침입탐지기는 패킷의 페이로드에 대한 침입탐지를 수행함에 있어서 효율적인 네트워크 프로세서를 이용하도록 할 수 있다.

도 3은 본 발명의 실시 예에 따른 침입탐지 방법을 도시한 순서도이다.

실시 예에 따라, 본 발명에 따른 침입탐지장치의 제1 침입탐지기는, 도 3에 도시된 바와 같은 단계들을 통하여 침입탐지를 위한 동작을 수행할 수 있다.

즉, 먼저 침입탐지장치에 고속 패킷이 수신된다(S301).

상기 수신은 침입탐지장치의 네트워크 인터페이스를 통하여 수행될 수 있고, 네트워크는 인터넷 네트워크, 인트라넷 네트워크를 모두 포함할 수 있으며, 유, 무선 네트워크를 통하여 상기 패킷을 수신할 수 있다.

다음으로, 침입탐지장치의 제1 침입탐지기는, 상기 수신된 패킷의 패킷 헤더(packet header)를 분석한다(S302).

다음으로, 제1 침입탐지기는 상기 패킷이 제1 탐지 조건에 해당하는지 여부를 판단한다(S303).

실시 예에 따라, 제1 탐지 조건은, 수신된 패킷의 패킷 헤더를 분석하여 레이어3(Layer3)과 레이어4(Layer4)의 프로토콜 필드를 대상으로 침입에 대한 패턴이 있는지 검사하는 조건을 포함할 수 있다.

다음으로, 상기 판단(S303)결과, 상기 제1 탐지 조건에 해당하는 경우, 탐지 결과를 침입탐지장치의 침입탐지 결과 수집기에 전송하고(S307), 상기 제1 탐지 조건에 해당하는 패킷을 드롭(drop)한다(S308).

즉, 패킷 드롭을 통하여 제2침입탐지기가 침입탐지에 대한 처리 부하를 감소 시킬 수 있도록 한다.

반면에, 상기 판단(S303)결과, 상기 제1 탐지 조건에 해당하지 않는 경우, 패킷을 플로우(flow) 별로 분류한다(S304).

즉, 실시 예에 따라, 제1 침입탐지기는, 소스IP(Source IP), 목적지IP(Destination IP), 소스포트(Source Port), 목적지 포트(Destination Port), 및 프로토콜(Protocol)를 포함하는 5터플에 따른 플로우를 생성하여 분류할 수 있다.

다음으로, 제1 침입탐지기는 상기 패킷이 제2 탐지 조건에 해당하는지 여부를 판단한다(S305).

즉, 분류된 플로우는 플로우 별로 네트워크 프로세서 내에서 관리가 되며 정상적인 네트워크 트래픽이 아니면 탐지된다

실시 예에 따라, 제1 침입탐지기는, 5터플에 따라 생성된 플로우를 대상으로 정상적인 네트워크 트래픽과 다른 플로우를 탐지하는 제2 탐지 조건을 설정할 수 있다.

따라서, 제1 침입탐지기는, 상기 5터플(5-tuple)에 따라 생성된 플로우의 소스 IP(Source IP)에 대하여 레이어4 디도스(Layer4 DDoS)와 레이어7 디도스(Layer7 DDoS)를 탐지하는 제2 탐지 조건을 판단할 수 있다.

또한, 제2 탐지 조건은, 플로우 별 정상적인 네트워크 트래픽의 양을 나타내는 임계치 값을 포함할 수 있다.

따라서, 제2 탐지 조건은 소스IP(Source IP)에 대하여, 수용할 수 있는 패킷 수에 대한 임계치를 포함한다. 제2 탐지 조건은 레이어4(Layer4)와 레이어7(Layer7)의 디도스(DDoS)를 대상으로 탐지를 수행할 수 있다. 레이어4 디도스 탐지는 단위 시간 내에 소스IP 에 접속하는 단일 프로토콜 기반 패킷의 수를 대상으로 수행될 수 있다. 즉, 예를 들어 TCP의 SYN, ICMP, UDP과 같이 동일 프로토콜에 대해 과도한 패킷을 탐지할 수 있다. 레이어7 디도스 는 TCP 기반 통신을 대상으로 하며 일정 시간 동안 맺어진 세션의 수를 기반으로 탐지가 이루어질 수 있다. 즉, 제1 침입탐지기는 플로우에 대하여 SYN, SYN-ACK, ACK이 전송되면 세션이 하나 성립된 것으로 카운팅하고, FIN이 전송되면 세션의 수를 하나 감소시킨다. 이렇게 함으로써 목적지IP(Destination IP)에 대한 세션의 수를 측정하며 과도한 세션의 수가 유지되는 경우 레이어7 디도스로 판단할 수 있다. 세션에 대한 임계치는 소스 IP에 설치된 웹서버의 처리용량에 따라 정해질 수 있다.

다음으로, 상기 판단(S305)결과, 상기 제2 탐지 조건에 해당하는 경우, 탐지 결과를 침입탐지장치의 침입탐지 결과 수집기에 전송하고(S309), 상기 제2 탐지 조건에 해당하는 플로우를 드롭(drop)한다(S310).

반면에, 상기 판단(S305)결과, 상기 제2 탐지 조건에 해당하지 않는 경우, 패킷을 제2 침입탐지기로 전송한다(S306).

또한, 상기 패킷은 다시 소스IP(Source IP)와 목적지IP(Destination IP)를 포함하는 2터플(2-tuple)로 생성되어 분류될 수 있다.

즉, 각각의 생성된 플로우에 대한 침입이 탐지되지 않는 경우, 상기 패킷의 패킷 헤더 정보에 기초하여 다시 2터플(2-tuple)에 따른 플로우를 생성하여 상기 플로우에 따른 분류를 수행하고, 제2 침입탐지기로 패킷을 전송할 수 있다.

따라서, 도 3에 도시된 제1 침입탐지기에서 수행되는 단계들이 완료되면, 제2 침입탐지기에서는, 패킷의 패킷 페이로드(packet payload)에 대한 침입탐지가 수행될 수 있다. 또한, 상기 제2 침입탐지기의 침입탐지는, DPI(Deep Packet Inspection)를 수행하는 침입탐지를 포함할 수 있다.

또한, 실시 예에 따라, 침입탐지장치가, 복수 개의 제2 침입탐지기를 포함하는 경우, 상기 2터플에 따라 분류된 패킷을, 상기 분류에 따라 서로 다른 제2 침입탐지기로 전송할 수 있고, 상기 침입탐지장치가 복수 개의 네트워크 프로세서를 포함하는 경우, 상기 복수 개의 제2 침입탐지기가 서로 다른 네트워크 프로세서를 이용하여 상기 패킷 페이로드에 대한 침입탐지를 수행하도록 할 수 있다.

또한, 상기 복수 개의 제2 침입탐지기를 포함하는 경우, 상기 도 2에서 설명된 바와 같이, 상기 2터플(2-tuple)에 따라 생성된 플로우의 소스IP(Source IP)주소의 마지막 자리와 목적지IP(Destination IP)의 마지막 자리를 더한 후, 모듈러(mod)연산을 수행하여 상기 플로우에 따른 분류를 수행함으로써, 침입탐지에 대한 효율성을 향상시킬 수 있다.

또한, 실시 예에 따라, 상기 제1 침입탐지기를 통하여 상기 패킷 헤더에 대한 침입탐지를 수행하는 단계는, 상기 침입탐지장치에 포함된 복수 개의 네트워크 프로세서 중, 마이크로 코드를 통해 고속 처리를 수행하는 네트워크 프로세서를 이용하여 상기 패킷 헤더에 대한 침입탐지를 수행하고, 상기 제2 침입탐지기를 통하여 상기 패킷로드에 대한 침입탐지를 수행하는 단계는, 상기 침입탐지장치에 포함된 복수 개의 네트워크 프로세서 중, DPI(Deep Packet Inspection)을 적용할 수 있는 네트워크 프로세서를 이용하여 상기 패킷로드에 대한 침입탐지를 수행함으로써, 침입탐지 속도를 향상시킬 수 있다.

또한, 이상에서는 본 발명의 바람직한 실시 예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시 예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해돼서는 안 될 것이다.

201: 제1 침입탐지기
202, 203: 제2 침입탐지기
204: 제1 네트워크 프로세서
205: 패킷헤더 침입조건
206: 제2 네트워크 프로세서
207: 페이로더 침입조건

Claims

제1 네트워크 프로세서를 이용하여, 침입탐지장치에 전송된 패킷의 패킷 헤더(packet header)에 포함된 정보 중, 레이어3(layer3)과 레이어4(layer4)의 프로토콜 필드에 대하여 침입탐지를 수행하고, 상기 침입이 탐지되지 않는 경우, 상기 패킷을 플로우(flow)에 따라 분류하여 제2 침입탐지기에 전송하는 제1 침입탐지기; 및
제2 네트워크 프로세서를 이용하여 상기 제1 침입탐지기에서 전송된 패킷의 패킷 페이로드(packet payload)에 대하여 심층 패킷 조사(Deep Packet Inspection: DPI)를 통한 침입탐지를 수행하는 제2 침입탐지기를 포함하는 것을 특징으로 하는 침입탐지장치.
청구항 1에 있어서,
상기 제1 침입탐지기는,
상기 패킷 헤더의 레이어3(layer3)과 레이어4(layer4)의 프로토콜 필드에서 침입이 탐지 되는 경우, 상기 전송된 패킷을 드롭(drop)하여 상기 제2 침입탐지기의 심층 패킷 조사가 수행되지 않도록 하는 것을 특징으로 하는 침입탐지장치.
청구항 1에 있어서,
상기 침입탐지장치는,
병렬로 연결된 복수 개의 상기 제2 침입탐지기를 포함하고,
상기 제1 침입탐지기는,
상기 심층 패킷 조사가 병렬로 수행되도록 상기 플로우에 따른 패킷의 분류에 대응하여 서로 다른 제2 침입탐지기로 상기 패킷을 전송하는 것을 특징으로 하는 침입탐지장치.
청구항 3에 있어서,
상기 복수 개의 상기 제2 침입탐지기는,
상기 심층 패킷 조사를 통한 침입탐지를 수행하기 위한 제2 네트워크 프로세서를 각각 포함하는 것을 특징으로 하는 침입탐지장치.
청구항 1에 있어서,
상기 제1 침입탐지기는,
상기 패킷 헤더에 대한 침입탐지가 완료되면, 상기 패킷의 패킷 헤더 정보에 기초하여 5터플(5-tuple)에 따른 플로우를 생성하여 상기 각각의 생성된 플로우에 대한 침입탐지를 다시 수행하고, 상기 각각의 생성된 플로우에 대한 침입이 탐지되지 않는 경우, 상기 패킷의 패킷 헤더 정보에 기초하여 다시 2터플(2-tuple)에 따른 플로우를 생성하여 상기 플로우에 따른 분류를 수행하는 것을 특징으로 하는 침입탐지장치.
청구항 1에 있어서,
상기 제1 네트워크 프로세서는,
마이크로 코드를 통해 상기 패킷 헤더에 대한 고속 처리를 수행할 수 있는 네트워크 프로세서를 포함하고,
상기 제2 네트워크 프로세서는,
상기 패킷 로더에 대한 심층 패킷 조사를 적용할 수 있는 네트워크 프로세서를 포함하는 것을 특징으로 하는 침입탐지장치.
청구항 5에 있어서,
상기 제1 침입탐지기는,
상기 5터플(5-tuple)에 따라 생성된 플로우의 소스 IP(Source IP)에 대하여 레이어4 디도스(Layer4 DDoS)와 레이어7 디도스(Layer7 DDoS)를 탐지함으로써 상기 침입탐지를 다시 수행하는 것을 특징으로 하는 침입탐지장치.
청구항 5에 있어서,
상기 제1 침입탐지기는,
상기 2터플(2-tuple)에 따라 생성된 플로우의 소스IP(Source IP)주소의 마지막 자리와 목적지IP(Destination IP)의 마지막 자리를 더한 후, 모듈러(mod)연산을 수행함으로써 상기 플로우에 따른 분류를 수행하여 상기 제2 침입탐지기에 전송하는 것을 특징으로 하는 침입탐지장치.
제1 침입탐지기 및 제2 침입탐지기를 포함하는 침입탐지장치의 침입탐지 방법에 있어서,
상기 제1 침입탐지기가 제1 네트워크 프로세서를 이용하여, 상기 침입탐지장치에 전송된 패킷의 패킷 헤더(packet header)에 포함된 정보 중, 레이어3(layer3)과 레이어4(layer4)의 프로토콜 필드에 대하여 침입탐지를 수행하는 단계;
상기 침입탐지 수행 결과, 침입이 탐지되지 않는 경우, 상기 제1 침입탐지기가 상기 패킷을 플로우(flow)에 따라 분류하여 상기 제2 침입탐지기에 전송하는 단계; 및
상기 제2 침입탐지기가 제2 네트워크 프로세서를 이용하여 상기 제1 침입탐지기에서 전송된 패킷의 패킷 페이로드(packet payload)에 대하여 심층 패킷 조사(Deep Packet Inspection: DPI)를 통한 침입탐지를 수행하는 단계를 포함하는 것을 특징으로 하는 침입탐지방법.
청구항 9에 있어서,
상기 패킷을 상기 제2 침입탐지기에 전송하는 단계는,
상기 패킷 헤더의 레이어3(layer3)과 레이어4(layer4)의 프로토콜 필드에서 침입이 탐지 되는 경우, 상기 전송된 패킷을 드롭(drop)하여 상기 제2 침입탐지기의 심층 패킷 조사가 수행되지 않도록 하는 단계를 포함하는 것을 특징으로 하는 침입탐지방법.
청구항 9에 있어서,
상기 패킷을 상기 제2 침입탐지기에 전송하는 단계는,
상기 제1 침입탐지기는, 상기 플로우에 따른 패킷의 분류에 대응하여, 상기 침입탐지장치에 포함된, 복수 개의 상기 제2 침입탐지기 중, 어느 하나의 제2 침입탐지기로 상기 패킷을 전송하는 단계를 포함하고,
상기 심층 패킷 조사를 통한 침입탐지가 수행되는 단계는,
상기 복수 개의 제2 침입탐지기가 상기 심층 패킷 조사를 통한 침입탐지를 병렬로 수행하는 단계를 포함하는 것을 특징으로 하는 침입탐지방법.
청구항 9에 있어서,
상기 심층 패킷 조사를 통한 침입탐지가 수행되는 단계는,
상기 복수 개의 제2 침입탐지기가, 각각의 제2 침입탐지기에 포함된 제2 네트워크 프로세서를 이용하여, 상기 심층 패킷 조사를 통한 침입탐지를 병렬로 수행하는 단계를 포함하는 것을 특징으로 하는 침입탐지방법.
청구항 9에 있어서,
상기 패킷을 상기 제2 침입탐지기에 전송하는 단계는,
상기 패킷 헤더에 대한 침입탐지가 완료되면, 상기 제1 침입탐지기가 상기 패킷의 패킷 헤더 정보에 기초하여 5터플(5-tuple)에 따른 플로우를 생성하고, 상기 5터플에 따라 생성된 각각의 플로우에 대한 침입탐지를 다시 수행하는 단계;
상기 각각의 생성된 플로우에 대한 침입이 탐지되지 않는 경우, 상기 제1 침입탐지기가 상기 패킷의 패킷 헤더 정보에 기초하여 다시 2터플(2-tuple)에 따른 플로우를 생성하는 단계; 및
상기 제1 침입탐지기가 상기 2터플에 따라 생성된 각각의 플로우에 따라 상기 패킷을 분류하여 상기 제2 침입탐지기에 전송하는 단계를 포함하는 것을 특징으로 하는 침입탐지방법.
청구항 9에 있어서,
상기 프로토콜 필드에 대하여 침입탐지를 수행하는 단계는,
마이크로 코드를 통해 고속 처리를 수행하는 상기 제1 네트워크 프로세서를 이용하여 상기 침입탐지장치에 전송된 패킷의 패킷 헤더에 포함된 정보 중, 레이어3과 레이어4의 프로토콜 필드에 대하여 침입탐지를 수행하는 단계를 포함하고,
상기 심층 패킷 조사를 통한 침입탐지를 수행하는 단계는,
상기 제2 침입탐지기가 상기 심층 패킷 조사를 적용할 수 있는 상기 제2 네트워크 프로세서를 이용하여 상기 제1 침입탐지기에서 전송된 패킷의 패킷 페이로드에 대하여 심층 패킷 조사를 통한 침입탐지를 수행하는 단계를 포함하는 것을 특징으로 하는 침입탐지방법.
청구항 13에 있어서,
상기 5터플에 따라 생성된 각각의 플로우에 대한 침입탐지를 다시 수행하는 단계는,
상기 5터플(5-tuple)에 따라 생성된 플로우의 소스 IP(Source IP)에 대하여 레이어4 디도스(Layer4 DDoS)와 레이어7 디도스(Layer7 DDoS)를 탐지함으로써 상기 침입탐지를 다시 수행하는 단계를 포함하는 것을 특징으로 하는 침입탐지방법.
청구항 13에 있어서,
상기 제2 침입탐지기에 전송하는 단계는,
상기 2터플(2-tuple)에 따라 생성된 플로우의 소스IP(Source IP)주소의 마지막 자리와 목적지IP(Destination IP)의 마지막 자리를 더한 후, 모듈러(mod)연산을 수행함으로써 상기 플로우에 따른 분류를 수행하여 상기 제2 침입탐지기에 전송하는 단계를 포함하는 것을 특징으로 하는 침입탐지방법.