KR101287592B1 - 패턴 매칭을 통한 네트워크 침입 탐지 장치 - Google Patents
패턴 매칭을 통한 네트워크 침입 탐지 장치 Download PDFInfo
- Publication number
- KR101287592B1 KR101287592B1 KR1020120002146A KR20120002146A KR101287592B1 KR 101287592 B1 KR101287592 B1 KR 101287592B1 KR 1020120002146 A KR1020120002146 A KR 1020120002146A KR 20120002146 A KR20120002146 A KR 20120002146A KR 101287592 B1 KR101287592 B1 KR 101287592B1
- Authority
- KR
- South Korea
- Prior art keywords
- pattern matching
- intrusion detection
- rule
- port
- network
- Prior art date
Links
Images
Classifications
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F25—REFRIGERATION OR COOLING; COMBINED HEATING AND REFRIGERATION SYSTEMS; HEAT PUMP SYSTEMS; MANUFACTURE OR STORAGE OF ICE; LIQUEFACTION SOLIDIFICATION OF GASES
- F25D—REFRIGERATORS; COLD ROOMS; ICE-BOXES; COOLING OR FREEZING APPARATUS NOT OTHERWISE PROVIDED FOR
- F25D31/00—Other cooling or freezing apparatus
- F25D31/005—Combined cooling and heating devices
-
- A—HUMAN NECESSITIES
- A23—FOODS OR FOODSTUFFS; TREATMENT THEREOF, NOT COVERED BY OTHER CLASSES
- A23B—PRESERVING, e.g. BY CANNING, MEAT, FISH, EGGS, FRUIT, VEGETABLES, EDIBLE SEEDS; CHEMICAL RIPENING OF FRUIT OR VEGETABLES; THE PRESERVED, RIPENED, OR CANNED PRODUCTS
- A23B7/00—Preservation or chemical ripening of fruit or vegetables
- A23B7/10—Preserving with acids; Acid fermentation
-
- A—HUMAN NECESSITIES
- A47—FURNITURE; DOMESTIC ARTICLES OR APPLIANCES; COFFEE MILLS; SPICE MILLS; SUCTION CLEANERS IN GENERAL
- A47J—KITCHEN EQUIPMENT; COFFEE MILLS; SPICE MILLS; APPARATUS FOR MAKING BEVERAGES
- A47J41/00—Thermally-insulated vessels, e.g. flasks, jugs, jars
- A47J41/0038—Thermally-insulated vessels, e.g. flasks, jugs, jars comprising additional heating or cooling means, i.e. use of thermal energy in addition to stored material
- A47J41/005—Thermally-insulated vessels, e.g. flasks, jugs, jars comprising additional heating or cooling means, i.e. use of thermal energy in addition to stored material comprising heat or cold producing means, i.e. energy transfer from outside the vessel
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F25—REFRIGERATION OR COOLING; COMBINED HEATING AND REFRIGERATION SYSTEMS; HEAT PUMP SYSTEMS; MANUFACTURE OR STORAGE OF ICE; LIQUEFACTION SOLIDIFICATION OF GASES
- F25B—REFRIGERATION MACHINES, PLANTS OR SYSTEMS; COMBINED HEATING AND REFRIGERATION SYSTEMS; HEAT PUMP SYSTEMS
- F25B21/00—Machines, plants or systems, using electric or magnetic effects
- F25B21/02—Machines, plants or systems, using electric or magnetic effects using Peltier effect; using Nernst-Ettinghausen effect
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F25—REFRIGERATION OR COOLING; COMBINED HEATING AND REFRIGERATION SYSTEMS; HEAT PUMP SYSTEMS; MANUFACTURE OR STORAGE OF ICE; LIQUEFACTION SOLIDIFICATION OF GASES
- F25D—REFRIGERATORS; COLD ROOMS; ICE-BOXES; COOLING OR FREEZING APPARATUS NOT OTHERWISE PROVIDED FOR
- F25D11/00—Self-contained movable devices, e.g. domestic refrigerators
- F25D11/003—Transport containers
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F25—REFRIGERATION OR COOLING; COMBINED HEATING AND REFRIGERATION SYSTEMS; HEAT PUMP SYSTEMS; MANUFACTURE OR STORAGE OF ICE; LIQUEFACTION SOLIDIFICATION OF GASES
- F25D—REFRIGERATORS; COLD ROOMS; ICE-BOXES; COOLING OR FREEZING APPARATUS NOT OTHERWISE PROVIDED FOR
- F25D23/00—General constructional features
- F25D23/006—General constructional features for mounting refrigerating machinery components
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F25—REFRIGERATION OR COOLING; COMBINED HEATING AND REFRIGERATION SYSTEMS; HEAT PUMP SYSTEMS; MANUFACTURE OR STORAGE OF ICE; LIQUEFACTION SOLIDIFICATION OF GASES
- F25B—REFRIGERATION MACHINES, PLANTS OR SYSTEMS; COMBINED HEATING AND REFRIGERATION SYSTEMS; HEAT PUMP SYSTEMS
- F25B2321/00—Details of machines, plants or systems, using electric or magnetic effects
- F25B2321/02—Details of machines, plants or systems, using electric or magnetic effects using Peltier effects; using Nernst-Ettinghausen effects
- F25B2321/023—Mounting details thereof
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F25—REFRIGERATION OR COOLING; COMBINED HEATING AND REFRIGERATION SYSTEMS; HEAT PUMP SYSTEMS; MANUFACTURE OR STORAGE OF ICE; LIQUEFACTION SOLIDIFICATION OF GASES
- F25D—REFRIGERATORS; COLD ROOMS; ICE-BOXES; COOLING OR FREEZING APPARATUS NOT OTHERWISE PROVIDED FOR
- F25D2400/00—General features of, or devices for refrigerators, cold rooms, ice-boxes, or for cooling or freezing apparatus not covered by any other subclass
- F25D2400/38—Refrigerating devices characterised by wheels
Landscapes
- Engineering & Computer Science (AREA)
- Thermal Sciences (AREA)
- Chemical & Material Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Combustion & Propulsion (AREA)
- Food Science & Technology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Chemical Kinetics & Catalysis (AREA)
- General Chemical & Material Sciences (AREA)
- Wood Science & Technology (AREA)
- Zoology (AREA)
- Polymers & Plastics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 네트워크 침입 탐지 시스템에 관한 것으로, 더 상세하게는 입력된 패턴을 2진수로 변환하여 저장하여 소프트웨어 기반 침입 탐지 시스템의 빠른 업데이트와 하드웨어 기반 침입 탐지 시스템의 빠른 패턴 매칭 속도를 향상시키는 패턴 매칭을 통한 네트워크 침입 탐지 장치에 관한 것으로, 본 발명에 따른 패턴 매칭을 통한 네트워크 침입 탐지 장치 규칙들을 입력받아 정의된 포트 분류 방식에 따라 분류하고 그 분류된 규칙들을 2진수로 변환하여 저장하는 전처리부와, 네트워크를 통해 입력되는 패킷과 상기 규칙의 패턴 매칭을 통해 침입을 탐지하는 침입 탐지부를 포함한다.
Description
본 발명은 네트워크 침입 탐지 시스템에 관한 것으로, 더 상세하게는 입력된 패턴을 2진수로 변환하여 저장하여 소프트웨어 기반 침입 탐지 시스템의 빠른 업데이트와 하드웨어 기반 침입 탐지 시스템의 빠른 패턴 매칭 속도를 향상시키는 패턴 매칭을 통한 네트워크 침입 탐지 장치에 관한 것이다.
인터넷 사용자의 수가 증가하고 인터넷의 속도와 용량이 증대됨에 따라 네트워크를 통한 해킹 시도가 증가하고 있으며 그로 인한 피해 역시 날로 심각해지고 있다. 그 결과 네트워크 보안의 중요성이 더욱 증가 하고 있으며, 네트워크를 통한 해킹 시도를 탐지하고 그에 대응하기 위한 네트워크 침입 탐지 시스템(Network Intrusion Detection System)에 대한 연구가 매우 활발히 진행되고 있다.
네트워크 침입 탐지 시스템은 악의적인 공격을 감지해내고, 인터넷 시스템을 보호하기 위해 사용된다. 네트워크 침입 시도나 공격은 패턴이나 서브패턴의 조합으로 표현될 수 있으므로, 패턴 매칭이 네트워크 침입 탐지 시스템에서의 가장 중요한 이슈이며, 사용하는 패턴 매칭 알고리즘에 따라 네트워크 침입 탐지 시스템의 성능이 결정된다. 현재 네트워크 침입 탐지 시스템의 패턴 데이터베이스에는 수 천개의 패턴들이 등록되어 있으며, 패턴의 수는 더욱 늘어날 전망이므로, 소프트 웨어 기반 패턴 매칭에서의 패턴 매칭시에 병목 현상이 더욱 심해질 것으로 예상된다. 그러나 Snort(sniffer and more)나 OSSEC(Open Source Host-based Intrusion Detection System)와 같이 침입 탐지 시스템들은 소프트웨어 기반의 패턴 매칭시스템이 많다. 소프트웨어 패턴 매칭 시스템은 네트워크의 속도가 빨라지면 모든 패킷을 검사하지 못하는 현상이 발생하게 된다. 따라서 소프트웨어 기반 침입 탐지 시스템의 성능 향상을 위한 연구로 패턴/스트링 매칭 알고리즘을 다중 컴퓨터를 사용한 부하분산(Load Balancing), 트래픽 센서 앞단에 스플리터(Splitter)를 사용하는 방법들이 연구되고 있다. 패턴 매칭 시 소모되는 시간을 줄이기 위해 하드웨어를 이용한 패턴 매칭 시스템에 대한 연구가 진행되었다. 하드웨어 기반 침입 탐지 시스템의 성능 향상을 위해 브루트포스(Brute force), Deterministic finite automata(DFA), Non-deterministic finite automate(NFA) 방법들이 연구되었다.
패턴 매칭에서의 성능 향상을 위해 하드웨어 기반으로 한 침입 탐지 시스템도 많은 연구가 진행되었다. 하드웨어 기반 침입 탐지 시스템은 패턴 매칭부를 FPGA(Field Programmable Gate Array)로 구현하므로 패킷을 고속으로 처리 할 수 있는 장점을 가진 반면에 패턴이 업데이트 될 때마다 FPGA에 새로 적용해야 하므로 업데이트 시간이 오래 걸린다는 단점이 있다.
본 발명은 상기한 종래기술의 문제점을 해결하기 위해 안출된 것으로서, 패턴 매칭에 사용되는 규칙들을 2진수로 변환하여 메모리에 저장하므로 네트워크 침입 탐지를 위한 패턴 매칭 속도를 향상시키는 패턴 매칭을 통한 네트워크 침입 탐지 장치를 제공하기 위한 것이다.
상술한 목적을 달성하기 위한 본 발명에 따른 패턴 매칭을 통한 네트워크 침입 탐지 장치는 규칙들을 입력받아 정의된 포트 분류 방식에 따라 분류하고 그 분류된 규칙들을 2진수로 변환하여 저장하는 전처리부와, 네트워크를 통해 입력되는 패킷과 상기 규칙의 패턴 매칭을 통해 침입을 탐지하는 침입 탐지부를 포함한다.
상술한 바와 같이 본 발명에 따른 패턴 매칭을 통한 네트워크 침입 탐지 장치는 패턴 매칭에 사용되는 규칙들을 2진수로 변환하여 메모리에 저장함으로써 소프트웨어 기반 침입 탐지 시스템의 빠른 업데이트와 하드웨어 기반 침입 탐지 시스템의 빠른 패턴 매칭 속도를 향상시킬 수 있다.
도 1은 본 발명에 따른 패턴 매칭을 통한 네트워크 침입 탐지 장치를 도시한 블록구성도.
도 2는 본 발명과 관련된 규칙 포트 분류를 나타낸 예시도.
도 3은 본 발명과 관련된 규칙의 2진수 변환을 나타낸 예시도.
도 4는 본 발명과 관련된 Boyer Moore 알고리즘을 나타낸 개념도.
도 5는 본 발명과 관련된 전비교기의 연결을 나타낸 예시도.
도 6은 본 발명과 관련된 4비트 비교기의 함수 테이블을 나타낸 예시도.
도 2는 본 발명과 관련된 규칙 포트 분류를 나타낸 예시도.
도 3은 본 발명과 관련된 규칙의 2진수 변환을 나타낸 예시도.
도 4는 본 발명과 관련된 Boyer Moore 알고리즘을 나타낸 개념도.
도 5는 본 발명과 관련된 전비교기의 연결을 나타낸 예시도.
도 6은 본 발명과 관련된 4비트 비교기의 함수 테이블을 나타낸 예시도.
이하, 첨부된 도면들을 참조하여 본 발명과 관련된 실시예를 상세하게 설명한다.
도 1은 본 발명과 관련된 패턴 매칭을 통한 네트워크 침입 탐지 장치를 도시한 블록구성도이고, 도 2는 본 발명과 관련된 규칙 포트 분류를 나타낸 예시도이며, 도 3은 본 발명과 관련된 규칙의 2진수 변환을 나타낸 예시도이고, 도 4는 본 발명과 관련된 Boyer Moore 알고리즘을 나타낸 개념도이며, 도 5는 본 발명과 관련된 전비교기의 연결을 나타낸 예시도이고, 도 6은 본 발명과 관련된 4비트 비교기의 함수 테이블을 나타낸 예시도이다.
도 1을 참조하면, 네트워크 침입 탐지 시스템을 위한 하드웨어 기반 침입 탐지 장치(100)는 전처리부(110) 및 침입 탐지부(120) 등을 포함한다.
전처리부(110)는 침해 탐지를 위한 패턴 매칭에 이용되는 규칙에 대한 전처리를 수행하는 것으로, 규칙 분류부(111)과 메모리부(112)를 포함한다.
상기 규칙 분류부(111)는 규칙들을 기정의된 포트 분류 방식에 따라 복수 개의 포트그룹으로 분류하고, 그 분류된 규칙들에서 패턴 매칭에 필요한 정보(출발지 포트, 목적지 포트, 해당 패킷의 행동(action) 등 snort에서 제공해주는 규칙 정보)만 2진수로 변환한다. 여기서, 규칙은 스노트(sniffer and more, Snort) 규칙이 사용되며, 스노트 규칙은 규칙액션, 프로토콜, 출발지, 목적지, 규칙본문으로 구성된다. 상기 규칙액션은 액티베이션(activation), 다이나믹(Dynamic), 경고(Alert), 패스(Pass), 로그(Log)와 같은 5 가지 옵션을 가지고 있다. 그리고, 스노트 규칙은 ICMP, RCP, IP, UDP와 같은 4가지 프로토콜을 지원하며, 한 규칙에 오직 하나의 프로토콜만 지정할 수 있다. 상기 규칙의 출발지에는 출발지 IP 주소와 포트번호, 목적지에는 목적지 IP 주소와 포트 번호가 들어간다. 상기 규칙본문에는 복잡한 공격을 파악하기 위해 필요한 옵션 값들이 들어간다. 규칙 옵션은 규칙 본문에서 세미콜론(;)으로 구분된다.
상기 규칙 분류부(111)는 규칙파일을 입력받으면 규칙파일로부터 규칙부분과 규칙이 아닌 부분을 분류한다. 상기 규칙 분류부(111)는 상기 규칙파일로부터 분류된 규칙들을 도 2에 도시된 바와 같이 목적지 포트와 출발지 포트가 모두 있는 것, 출발지 포트만 있는 것, 목적지 포트만 있는 것, 출발지 포트와 목적지 포트가 모두 없는 것으로 분류하여 포트그룹을 생성한다. 따라서, 포트의 중복을 제거할 수 있으며, 세부적으로 나눌수록 패턴의 수가 적어지므로, 문자열 패턴 매칭 속도를 향상시킬 수 있다. 또한, 상기 규칙 분류부(111)는 규칙을 포트 분류할 때 기존의 스노트에서 모든 규칙들을 프로토콜별 RTN(Rule Tree Node)으로 분류하는 과정을 배제한다.
상기 규칙 분류부(111)는 포트 분류된 규칙들을 도 3과 같이 2진수로 변환한다.
상기 메모리부(112)에는 상기 규칙 분류부(111)에 의해 2진수로 변환된 규칙들이 저장된다. 상기 메모리부(112)는 RAM(Random Access Memory)으로 구현된다. 또한, 상기 메모리부(112)에는 문자열 매칭 알고리즘이 저장된다.
본 발명에서는 규칙들을 입력받아 전처리 과정을 거친 후 램(RAM)에 저장하므로, 규칙이 업데이트될 때마다 기존의 하드웨어 기반 패턴 매칭 장치와 같이 FPGA를 새로 구성하지 않고 램에 저장된 규칙을 액세스하여 이용하므로, 규칙 업데이트를 빠르고 손쉽게 수행할 수 있다.
상기 침입 탐지부(120)는 외부망 또는 내부망을 통해 입력되는 네트워크 패킷에 대해 매칭되는 규칙을 찾아 문자열 매칭 알고리즘을 사용하여 패킷을 검사한다. 본 발명에서는 보이어무어(Boyer Moore) 알고리즘을 이용하여 찾고자 하는 패턴(규칙)을 미리 입력해 두고 여러가지 패턴이 들어왔을 때 일치하는 패턴을 찾아주는 것을 예로 들어 설명하고 있으나, 이에 한정되지 않고 공지된 다른 문자열 매칭 알고리즘을 이용하도록 설계변경할 수도 있다.
본 발명에서 사용되는 Boyer Moore 알고리즘은 패턴의 시작이 아니라 끝에서부터 비교하는 Right-to-left 방식으로 패턴을 매치시킨다. 패턴이 매칭되지 않았거나 또는 부분적으로 매칭된 경우에 전처리 단계에서 미리 계산된 두 가지 함수를 이용하여 텍스트의 오른쪽으로 패턴을 시프트한다. 이 두 가지 함수는 bad-character shift와 goodsuffix shift이다.
예를 들어, 도 4를 참조하면, T를 텍스트 P를 패턴이라고 할 때, e를 P의 엔드 포인터라고 가정하자, P의 길이가 m이면 e의 초기값은 m이 된다. Boyer Moore 알고리즘은 Right-to-left 방식으로 패턴을 비교하므로 j=0 … (m-1)에 대해 Te=j 문자와 Pm=j 문자를 비교하여 모두 일치될 때, 패턴이 매칭된다. 이때 매칭되지 않은 문자가 발견되면 E를 증가시켜 오른쪽으로 시프트할 수 있다.
상기 침입 탐지부(120)는 상기 메모리부(112)에 분류된 규칙(포트그룹)에 각각 접근할 수 있는 복수의 패턴 매칭부(미도시)가 존재하며, 각각 개별적으로 패턴 매칭을 수행하므로, 패턴 매칭 성능을 향상시킬 수 있다.
패턴 매칭부는 배타적 부정 논리합(exclusive-NOR, 이하, EXNOR)를 이용한 2입력 불일치 회로를 이용한 비교기로 구현된다. 예를 들어, 패턴 매칭부는 도 5에 도시된 바와 같이 전비교기를 직렬로 연결한다. 이때, 최하위 비트의 입력은 [LG_IN]=’0’, [EQ_IN]=’1’, [SM_IN]=’0’으로 고정하여 구현되었다. 이러한 패턴 매칭부를 구성하는 비교기는 다음과 같이 동작한다.
- 비교기의 LG(large)가 ‘1’이면 하위 비트의 입력과 무관하게 LG_OUT은 ‘1’, EQ_OUT은 ‘0’, SM_OUT은 ‘0’이 된다.
- 비교기의 SM(small)이 ‘1’이면 하위 비트의 입력과 무관하게 SM_OUT은 ‘1’, LG_OUT은 ‘0’, EQ_OUT은 ‘0’이 된다.
- EQ(equal)가 ‘1’이면 하위 비트의 입력과 관계가 있으므로 LG_IN이 ‘1’이면 LG_OUT은 ‘1’, EQ_OUT 및 SM_OUT은 모두 ‘0’이 되고, SM_IN이 ‘1’이면 SM_OUT은 ‘1’, LG_OUT 및 EQ_OUT은 모두 ‘0’이 되며, EQ_IN이 ‘1’이면 EQ_OUT은 ‘1’, LG_OUT 및 SM_OUT은 모두 ‘0’이 된다.
상기 비교기는 비교 단계가 각각 ‘and’로 묶여 비교를 더 효율적으로 할 수 있다. 예컨대, 도 6에 도시된 바와 같이, A3와 B3를 비교하였을 때 같지 않으면 나머지 A2, A2, A0, B2, B1, B0를 비교하지 않고 건너 뛸 수 있다.
또한, 상기 침입 탐지부(120)는 분류 규칙 포트그룹 개수만큼 패턴 매칭부를 구비하며 각각의 패턴 매칭부가 패턴 매칭을 수행하므로, 한번에 8비트(bits)씩 패턴 매칭을 하여 입력되는 패킷의 일부 패턴과 일치하는 부분이 있으면 결과를 출력한다. 즉, 상기 침입 탐지부(120)는 패턴 매칭을 수행한 결과에 따라 네트워크 침입여부를 결정하고, 네트워크 침입이 탐지되면 침입을 알리는 경고 및/또는 공격패턴에 대한 로그를 출력한다.
한편, 입력되는 패킷에 대한 패턴 매칭을 많이 해야하는 경우, 패턴 매칭부를 추가로 배치하여 병렬로 처리하게 구현할 수도 있다.
상기 침입 탐지부(120)는 네트워크를 통해 입력되는 패킷에 출발지 및 목적지 포트가 포함되어 있는지를 확인하고, 그 확인된 결과에 따라 출발지 포트와 목적지 포트가 모두 있는 제1포트그룹, 출발지 포트만 있는 제2포트그룹, 목적지 포트만 있는 제3포트그룹, 출발지 포트와 목적지 포트가 모두 없는 제4포트그룹 중 어느 하나의 포트그룹을 선택한다. 그리고, 상기 침입 탐지부(120)는 상기 선택된 포트그룹의 규칙을 적용하여 패턴 매칭을 수행한다. 다시 말해서, 상기 침입 탐지부(120)는 상기 선택된 포트그룹에 포함된 공격 패턴과 일치하는 패턴이 네트워크 패킷에 있는지를 검사한다. 이때, 상기 침입 탐지부(120)는 문자열 패턴 매칭 알고리즘을 통하여 네트워크 패킷과 규칙에 정의된 공격 패턴을 비교한다.
상기와 같이 설명된 실시예의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예는 다양한 변형이 이루어질 수 있도록 실시예의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
100: 침입 탐지 장치
110: 전처리부
111: 규칙 분류부
112: 메모리부
120: 침입 탐지부
110: 전처리부
111: 규칙 분류부
112: 메모리부
120: 침입 탐지부
Claims (9)
- 규칙들을 입력받아 정의된 포트 분류 방식에 따라 분류하고 그 분류된 규칙들을 2진수로 변환하여 저장하는 전처리부와,
네트워크를 통해 입력되는 패킷과 상기 규칙의 패턴 매칭을 통해 침입을 탐지하는 침입 탐지부를 포함하고,
상기 침입 탐지부는, 상기 분류된 규칙에 각각 접근할 수 있는 복수의 패턴 매칭부를 포함하고,
상기 패턴 매칭부는, 배타적 부정논리합(EXNOR)를 이용한 2입력 불일치 회로로 구현된 전비교기가 직렬로 연결되어 구현되는 것을 특징으로 하는 패턴 매칭을 통한 네트워크 침입 탐지 장치. - 제1항에 있어서, 상기 전처리부는,
상기 규칙들을 정의된 포트 분류 방식에 따라 분류하여 복수의 포트그룹을 생성하고, 그 분류된 규칙에서 패턴 매칭에 필요한 정보만 2진수로 변환하는 규칙 분류부와,
상기 규칙 분류부에 의해 2진수로 변환된 규칙들이 저장되는 메모리부를 포함하는 것을 특징으로 하는 패턴 매칭을 통한 네트워크 침입 탐지 장치. - 제2항에 있어서, 상기 규칙 분류부는,
상기 규칙을 출발지 포트와 목적지 포트가 모두 있는 것, 출발지 포트만 있는 것, 목적지 포트만 있는 것, 출발지 포트와 목적지 포트가 모두 없는 것으로 분류하는 것을 특징으로 하는 패턴 매칭을 통한 네트워크 침입 탐지 장치. - 제1항에 있어서, 상기 규칙은,
Snort(sniffer and more) 규칙을 이용하는 것을 특징으로 하는 패턴 매칭을 통한 네트워크 침입 탐지 장치. - 삭제
- 삭제
- 제1항에 있어서, 상기 복수의 패턴 매칭부는,
각각 개별적으로 패턴 매칭을 수행하는 것을 특징으로 하는 패턴 매칭을 통한 네트워크 침입 탐지 장치. - 제1항에 있어서, 상기 침입 탐지부는,
네트워크 패킷에 출발지 포트 및 목적지 포트가 포함되었는지를 확인하여 분류된 복수의 규칙 포트그룹 중 어느 하나의 규칙 포트그룹을 선택하는 것을 특징으로 하는 패턴 매칭을 통한 네트워크 침입 탐지 장치. - 제8항에 있어서, 상기 침입 탐지부는,
상기 네트워크 패킷에 선택된 포트그룹에 포함된 공격 패턴과 일치하는 패턴이 있는지를 소정 문자열 매칭 알고리즘을 이용하여 검사하는 것을 특징으로 하는 패턴 매칭을 통한 네트워크 침입 탐지 장치.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120002146A KR101287592B1 (ko) | 2012-01-06 | 2012-01-06 | 패턴 매칭을 통한 네트워크 침입 탐지 장치 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120002146A KR101287592B1 (ko) | 2012-01-06 | 2012-01-06 | 패턴 매칭을 통한 네트워크 침입 탐지 장치 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20130081140A KR20130081140A (ko) | 2013-07-16 |
KR101287592B1 true KR101287592B1 (ko) | 2014-03-19 |
Family
ID=48992968
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020120002146A KR101287592B1 (ko) | 2012-01-06 | 2012-01-06 | 패턴 매칭을 통한 네트워크 침입 탐지 장치 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101287592B1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019139295A1 (ko) * | 2018-01-12 | 2019-07-18 | 주식회사 로그인어스 | 캐릭터 분산형 메모리 액세스 기반의 네트워크 침입 탐색 시스템 및 그 방법 |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9342366B2 (en) | 2012-10-17 | 2016-05-17 | Electronics And Telecommunications Research Institute | Intrusion detection apparatus and method using load balancer responsive to traffic conditions between central processing unit and graphics processing unit |
KR101537996B1 (ko) * | 2012-10-17 | 2015-07-23 | 한국전자통신연구원 | 트래픽 상황에 따른 cpu와 gpu간의 로드 밸런스를 가지는 침입 탐지 장치 및 방법 |
KR101414061B1 (ko) * | 2013-08-26 | 2014-07-04 | 한국전자통신연구원 | 침입탐지규칙 간의 유사도 측정 장치 및 그 방법 |
KR101630383B1 (ko) * | 2015-04-02 | 2016-06-27 | 한국과학기술원 | 다중 패턴 매칭 알고리즘 및 이를 이용한 처리장치 |
KR102213368B1 (ko) * | 2019-10-10 | 2021-02-08 | 엔시큐어 주식회사 | 멀티 키워드 고속 검색 시스템 및 방법 |
KR102418917B1 (ko) | 2021-01-26 | 2022-07-08 | 충북대학교 산학협력단 | 이종의 네트워크 침입 탐지 및 방지 시스템 간의 룰 변환을 위한 장치 및 이를 위한 방법 |
KR102418910B1 (ko) | 2021-01-26 | 2022-07-08 | 충북대학교 산학협력단 | 서로 다른 네트워크 침입 탐지 및 방지 시스템 엔진 간의 룰 변환을 위한 장치 및 이를 위한 방법 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050032765A (ko) * | 2003-10-02 | 2005-04-08 | 한국전자통신연구원 | 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법 |
KR20060030821A (ko) * | 2004-10-06 | 2006-04-11 | 삼성전자주식회사 | 네트워크에서의 차등 침입탐지 장치 및 방법 |
KR20060087090A (ko) * | 2005-01-28 | 2006-08-02 | 소우영 | 스노트 룰을 이용한 공격 패킷 데이터베이스 |
KR100772523B1 (ko) * | 2006-08-01 | 2007-11-01 | 한국전자통신연구원 | 패턴을 이용하는 침입 탐지 장치 및 그 방법 |
-
2012
- 2012-01-06 KR KR1020120002146A patent/KR101287592B1/ko active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050032765A (ko) * | 2003-10-02 | 2005-04-08 | 한국전자통신연구원 | 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법 |
KR20060030821A (ko) * | 2004-10-06 | 2006-04-11 | 삼성전자주식회사 | 네트워크에서의 차등 침입탐지 장치 및 방법 |
KR20060087090A (ko) * | 2005-01-28 | 2006-08-02 | 소우영 | 스노트 룰을 이용한 공격 패킷 데이터베이스 |
KR100772523B1 (ko) * | 2006-08-01 | 2007-11-01 | 한국전자통신연구원 | 패턴을 이용하는 침입 탐지 장치 및 그 방법 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019139295A1 (ko) * | 2018-01-12 | 2019-07-18 | 주식회사 로그인어스 | 캐릭터 분산형 메모리 액세스 기반의 네트워크 침입 탐색 시스템 및 그 방법 |
Also Published As
Publication number | Publication date |
---|---|
KR20130081140A (ko) | 2013-07-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101287592B1 (ko) | 패턴 매칭을 통한 네트워크 침입 탐지 장치 | |
US9560063B2 (en) | Apparatus and method for detecting malicious domain cluster | |
US7519995B2 (en) | Programmable hardware for deep packet filtering | |
US9191398B2 (en) | Method and system for alert classification in a computer network | |
US10320812B2 (en) | Methods and systems for full pattern matching in hardware | |
US10176187B2 (en) | Method and apparatus for generating a plurality of indexed data fields | |
Thinh et al. | A FPGA-based deep packet inspection engine for network intrusion detection system | |
US20180375884A1 (en) | Detecting user behavior activities of interest in a network | |
US7904433B2 (en) | Apparatus and methods for performing a rule matching | |
JP2008507222A5 (ko) | ||
Nguyen et al. | An approach to detect network attacks applied for network forensics | |
Fide et al. | A survey of string matching approaches in hardware | |
Tharaka et al. | Runtime rule-reconfigurable high throughput NIPS on FPGA | |
Raja et al. | Two-level packet inspection using sequential differentiate method | |
Yoshioka et al. | Rule hashing for efficient packet classification in network intrusion detection | |
Nourani et al. | Bloom filter accelerator for string matching | |
Haghighat et al. | Toward fast regex pattern matching using simple patterns | |
KR101448869B1 (ko) | 패턴매칭 장치 및 그것의 동작방법 | |
JP2006041969A (ja) | ネットワーク監視装置及びネットワーク監視方法及びプログラム | |
Chasaki et al. | Fast regular expression matching in hardware using nfa-bdd combination | |
Hadi et al. | A Scalable Pattern Matching Implementation on Hardware using Data Level Parallelism | |
CN117640258A (zh) | 网络资产测绘的防护方法、装置、设备和存储介质 | |
Edmonds et al. | Efficient tuning methodologies for a network payload anomaly inspection scheme | |
Keerthana et al. | IMPLEMENTATION OF AHO CORASICK ALGORITHM IN INTRUSION DETECTION SYSTEM USING TCAM FOR MULTIPLE PATTERN MATCHING | |
Salim et al. | Design and development of network intrusion detection system detection scheme on network processing unit |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20160623 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20170623 Year of fee payment: 5 |