KR101287592B1 - 패턴 매칭을 통한 네트워크 침입 탐지 장치 - Google Patents

패턴 매칭을 통한 네트워크 침입 탐지 장치 Download PDF

Info

Publication number
KR101287592B1
KR101287592B1 KR1020120002146A KR20120002146A KR101287592B1 KR 101287592 B1 KR101287592 B1 KR 101287592B1 KR 1020120002146 A KR1020120002146 A KR 1020120002146A KR 20120002146 A KR20120002146 A KR 20120002146A KR 101287592 B1 KR101287592 B1 KR 101287592B1
Authority
KR
South Korea
Prior art keywords
pattern matching
intrusion detection
rule
port
network
Prior art date
Application number
KR1020120002146A
Other languages
English (en)
Other versions
KR20130081140A (ko
Inventor
이극
Original Assignee
한남대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한남대학교 산학협력단 filed Critical 한남대학교 산학협력단
Priority to KR1020120002146A priority Critical patent/KR101287592B1/ko
Publication of KR20130081140A publication Critical patent/KR20130081140A/ko
Application granted granted Critical
Publication of KR101287592B1 publication Critical patent/KR101287592B1/ko

Links

Images

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F25REFRIGERATION OR COOLING; COMBINED HEATING AND REFRIGERATION SYSTEMS; HEAT PUMP SYSTEMS; MANUFACTURE OR STORAGE OF ICE; LIQUEFACTION SOLIDIFICATION OF GASES
    • F25DREFRIGERATORS; COLD ROOMS; ICE-BOXES; COOLING OR FREEZING APPARATUS NOT OTHERWISE PROVIDED FOR
    • F25D31/00Other cooling or freezing apparatus
    • F25D31/005Combined cooling and heating devices
    • AHUMAN NECESSITIES
    • A23FOODS OR FOODSTUFFS; TREATMENT THEREOF, NOT COVERED BY OTHER CLASSES
    • A23BPRESERVING, e.g. BY CANNING, MEAT, FISH, EGGS, FRUIT, VEGETABLES, EDIBLE SEEDS; CHEMICAL RIPENING OF FRUIT OR VEGETABLES; THE PRESERVED, RIPENED, OR CANNED PRODUCTS
    • A23B7/00Preservation or chemical ripening of fruit or vegetables
    • A23B7/10Preserving with acids; Acid fermentation
    • AHUMAN NECESSITIES
    • A47FURNITURE; DOMESTIC ARTICLES OR APPLIANCES; COFFEE MILLS; SPICE MILLS; SUCTION CLEANERS IN GENERAL
    • A47JKITCHEN EQUIPMENT; COFFEE MILLS; SPICE MILLS; APPARATUS FOR MAKING BEVERAGES
    • A47J41/00Thermally-insulated vessels, e.g. flasks, jugs, jars
    • A47J41/0038Thermally-insulated vessels, e.g. flasks, jugs, jars comprising additional heating or cooling means, i.e. use of thermal energy in addition to stored material
    • A47J41/005Thermally-insulated vessels, e.g. flasks, jugs, jars comprising additional heating or cooling means, i.e. use of thermal energy in addition to stored material comprising heat or cold producing means, i.e. energy transfer from outside the vessel
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F25REFRIGERATION OR COOLING; COMBINED HEATING AND REFRIGERATION SYSTEMS; HEAT PUMP SYSTEMS; MANUFACTURE OR STORAGE OF ICE; LIQUEFACTION SOLIDIFICATION OF GASES
    • F25BREFRIGERATION MACHINES, PLANTS OR SYSTEMS; COMBINED HEATING AND REFRIGERATION SYSTEMS; HEAT PUMP SYSTEMS
    • F25B21/00Machines, plants or systems, using electric or magnetic effects
    • F25B21/02Machines, plants or systems, using electric or magnetic effects using Peltier effect; using Nernst-Ettinghausen effect
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F25REFRIGERATION OR COOLING; COMBINED HEATING AND REFRIGERATION SYSTEMS; HEAT PUMP SYSTEMS; MANUFACTURE OR STORAGE OF ICE; LIQUEFACTION SOLIDIFICATION OF GASES
    • F25DREFRIGERATORS; COLD ROOMS; ICE-BOXES; COOLING OR FREEZING APPARATUS NOT OTHERWISE PROVIDED FOR
    • F25D11/00Self-contained movable devices, e.g. domestic refrigerators
    • F25D11/003Transport containers
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F25REFRIGERATION OR COOLING; COMBINED HEATING AND REFRIGERATION SYSTEMS; HEAT PUMP SYSTEMS; MANUFACTURE OR STORAGE OF ICE; LIQUEFACTION SOLIDIFICATION OF GASES
    • F25DREFRIGERATORS; COLD ROOMS; ICE-BOXES; COOLING OR FREEZING APPARATUS NOT OTHERWISE PROVIDED FOR
    • F25D23/00General constructional features
    • F25D23/006General constructional features for mounting refrigerating machinery components
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F25REFRIGERATION OR COOLING; COMBINED HEATING AND REFRIGERATION SYSTEMS; HEAT PUMP SYSTEMS; MANUFACTURE OR STORAGE OF ICE; LIQUEFACTION SOLIDIFICATION OF GASES
    • F25BREFRIGERATION MACHINES, PLANTS OR SYSTEMS; COMBINED HEATING AND REFRIGERATION SYSTEMS; HEAT PUMP SYSTEMS
    • F25B2321/00Details of machines, plants or systems, using electric or magnetic effects
    • F25B2321/02Details of machines, plants or systems, using electric or magnetic effects using Peltier effects; using Nernst-Ettinghausen effects
    • F25B2321/023Mounting details thereof
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F25REFRIGERATION OR COOLING; COMBINED HEATING AND REFRIGERATION SYSTEMS; HEAT PUMP SYSTEMS; MANUFACTURE OR STORAGE OF ICE; LIQUEFACTION SOLIDIFICATION OF GASES
    • F25DREFRIGERATORS; COLD ROOMS; ICE-BOXES; COOLING OR FREEZING APPARATUS NOT OTHERWISE PROVIDED FOR
    • F25D2400/00General features of, or devices for refrigerators, cold rooms, ice-boxes, or for cooling or freezing apparatus not covered by any other subclass
    • F25D2400/38Refrigerating devices characterised by wheels

Landscapes

  • Engineering & Computer Science (AREA)
  • Thermal Sciences (AREA)
  • Chemical & Material Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Combustion & Propulsion (AREA)
  • Food Science & Technology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Chemical Kinetics & Catalysis (AREA)
  • General Chemical & Material Sciences (AREA)
  • Wood Science & Technology (AREA)
  • Zoology (AREA)
  • Polymers & Plastics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 침입 탐지 시스템에 관한 것으로, 더 상세하게는 입력된 패턴을 2진수로 변환하여 저장하여 소프트웨어 기반 침입 탐지 시스템의 빠른 업데이트와 하드웨어 기반 침입 탐지 시스템의 빠른 패턴 매칭 속도를 향상시키는 패턴 매칭을 통한 네트워크 침입 탐지 장치에 관한 것으로, 본 발명에 따른 패턴 매칭을 통한 네트워크 침입 탐지 장치 규칙들을 입력받아 정의된 포트 분류 방식에 따라 분류하고 그 분류된 규칙들을 2진수로 변환하여 저장하는 전처리부와, 네트워크를 통해 입력되는 패킷과 상기 규칙의 패턴 매칭을 통해 침입을 탐지하는 침입 탐지부를 포함한다.

Description

패턴 매칭을 통한 네트워크 침입 탐지 장치{A Network Intrusion Detection Apparatus using Pattern Matching}
본 발명은 네트워크 침입 탐지 시스템에 관한 것으로, 더 상세하게는 입력된 패턴을 2진수로 변환하여 저장하여 소프트웨어 기반 침입 탐지 시스템의 빠른 업데이트와 하드웨어 기반 침입 탐지 시스템의 빠른 패턴 매칭 속도를 향상시키는 패턴 매칭을 통한 네트워크 침입 탐지 장치에 관한 것이다.
인터넷 사용자의 수가 증가하고 인터넷의 속도와 용량이 증대됨에 따라 네트워크를 통한 해킹 시도가 증가하고 있으며 그로 인한 피해 역시 날로 심각해지고 있다. 그 결과 네트워크 보안의 중요성이 더욱 증가 하고 있으며, 네트워크를 통한 해킹 시도를 탐지하고 그에 대응하기 위한 네트워크 침입 탐지 시스템(Network Intrusion Detection System)에 대한 연구가 매우 활발히 진행되고 있다.
네트워크 침입 탐지 시스템은 악의적인 공격을 감지해내고, 인터넷 시스템을 보호하기 위해 사용된다. 네트워크 침입 시도나 공격은 패턴이나 서브패턴의 조합으로 표현될 수 있으므로, 패턴 매칭이 네트워크 침입 탐지 시스템에서의 가장 중요한 이슈이며, 사용하는 패턴 매칭 알고리즘에 따라 네트워크 침입 탐지 시스템의 성능이 결정된다. 현재 네트워크 침입 탐지 시스템의 패턴 데이터베이스에는 수 천개의 패턴들이 등록되어 있으며, 패턴의 수는 더욱 늘어날 전망이므로, 소프트 웨어 기반 패턴 매칭에서의 패턴 매칭시에 병목 현상이 더욱 심해질 것으로 예상된다. 그러나 Snort(sniffer and more)나 OSSEC(Open Source Host-based Intrusion Detection System)와 같이 침입 탐지 시스템들은 소프트웨어 기반의 패턴 매칭시스템이 많다. 소프트웨어 패턴 매칭 시스템은 네트워크의 속도가 빨라지면 모든 패킷을 검사하지 못하는 현상이 발생하게 된다. 따라서 소프트웨어 기반 침입 탐지 시스템의 성능 향상을 위한 연구로 패턴/스트링 매칭 알고리즘을 다중 컴퓨터를 사용한 부하분산(Load Balancing), 트래픽 센서 앞단에 스플리터(Splitter)를 사용하는 방법들이 연구되고 있다. 패턴 매칭 시 소모되는 시간을 줄이기 위해 하드웨어를 이용한 패턴 매칭 시스템에 대한 연구가 진행되었다. 하드웨어 기반 침입 탐지 시스템의 성능 향상을 위해 브루트포스(Brute force), Deterministic finite automata(DFA), Non-deterministic finite automate(NFA) 방법들이 연구되었다.
패턴 매칭에서의 성능 향상을 위해 하드웨어 기반으로 한 침입 탐지 시스템도 많은 연구가 진행되었다. 하드웨어 기반 침입 탐지 시스템은 패턴 매칭부를 FPGA(Field Programmable Gate Array)로 구현하므로 패킷을 고속으로 처리 할 수 있는 장점을 가진 반면에 패턴이 업데이트 될 때마다 FPGA에 새로 적용해야 하므로 업데이트 시간이 오래 걸린다는 단점이 있다.
본 발명은 상기한 종래기술의 문제점을 해결하기 위해 안출된 것으로서, 패턴 매칭에 사용되는 규칙들을 2진수로 변환하여 메모리에 저장하므로 네트워크 침입 탐지를 위한 패턴 매칭 속도를 향상시키는 패턴 매칭을 통한 네트워크 침입 탐지 장치를 제공하기 위한 것이다.
상술한 목적을 달성하기 위한 본 발명에 따른 패턴 매칭을 통한 네트워크 침입 탐지 장치는 규칙들을 입력받아 정의된 포트 분류 방식에 따라 분류하고 그 분류된 규칙들을 2진수로 변환하여 저장하는 전처리부와, 네트워크를 통해 입력되는 패킷과 상기 규칙의 패턴 매칭을 통해 침입을 탐지하는 침입 탐지부를 포함한다.
상술한 바와 같이 본 발명에 따른 패턴 매칭을 통한 네트워크 침입 탐지 장치는 패턴 매칭에 사용되는 규칙들을 2진수로 변환하여 메모리에 저장함으로써 소프트웨어 기반 침입 탐지 시스템의 빠른 업데이트와 하드웨어 기반 침입 탐지 시스템의 빠른 패턴 매칭 속도를 향상시킬 수 있다.
도 1은 본 발명에 따른 패턴 매칭을 통한 네트워크 침입 탐지 장치를 도시한 블록구성도.
도 2는 본 발명과 관련된 규칙 포트 분류를 나타낸 예시도.
도 3은 본 발명과 관련된 규칙의 2진수 변환을 나타낸 예시도.
도 4는 본 발명과 관련된 Boyer Moore 알고리즘을 나타낸 개념도.
도 5는 본 발명과 관련된 전비교기의 연결을 나타낸 예시도.
도 6은 본 발명과 관련된 4비트 비교기의 함수 테이블을 나타낸 예시도.
이하, 첨부된 도면들을 참조하여 본 발명과 관련된 실시예를 상세하게 설명한다.
도 1은 본 발명과 관련된 패턴 매칭을 통한 네트워크 침입 탐지 장치를 도시한 블록구성도이고, 도 2는 본 발명과 관련된 규칙 포트 분류를 나타낸 예시도이며, 도 3은 본 발명과 관련된 규칙의 2진수 변환을 나타낸 예시도이고, 도 4는 본 발명과 관련된 Boyer Moore 알고리즘을 나타낸 개념도이며, 도 5는 본 발명과 관련된 전비교기의 연결을 나타낸 예시도이고, 도 6은 본 발명과 관련된 4비트 비교기의 함수 테이블을 나타낸 예시도이다.
도 1을 참조하면, 네트워크 침입 탐지 시스템을 위한 하드웨어 기반 침입 탐지 장치(100)는 전처리부(110) 및 침입 탐지부(120) 등을 포함한다.
전처리부(110)는 침해 탐지를 위한 패턴 매칭에 이용되는 규칙에 대한 전처리를 수행하는 것으로, 규칙 분류부(111)과 메모리부(112)를 포함한다.
상기 규칙 분류부(111)는 규칙들을 기정의된 포트 분류 방식에 따라 복수 개의 포트그룹으로 분류하고, 그 분류된 규칙들에서 패턴 매칭에 필요한 정보(출발지 포트, 목적지 포트, 해당 패킷의 행동(action) 등 snort에서 제공해주는 규칙 정보)만 2진수로 변환한다. 여기서, 규칙은 스노트(sniffer and more, Snort) 규칙이 사용되며, 스노트 규칙은 규칙액션, 프로토콜, 출발지, 목적지, 규칙본문으로 구성된다. 상기 규칙액션은 액티베이션(activation), 다이나믹(Dynamic), 경고(Alert), 패스(Pass), 로그(Log)와 같은 5 가지 옵션을 가지고 있다. 그리고, 스노트 규칙은 ICMP, RCP, IP, UDP와 같은 4가지 프로토콜을 지원하며, 한 규칙에 오직 하나의 프로토콜만 지정할 수 있다. 상기 규칙의 출발지에는 출발지 IP 주소와 포트번호, 목적지에는 목적지 IP 주소와 포트 번호가 들어간다. 상기 규칙본문에는 복잡한 공격을 파악하기 위해 필요한 옵션 값들이 들어간다. 규칙 옵션은 규칙 본문에서 세미콜론(;)으로 구분된다.
상기 규칙 분류부(111)는 규칙파일을 입력받으면 규칙파일로부터 규칙부분과 규칙이 아닌 부분을 분류한다. 상기 규칙 분류부(111)는 상기 규칙파일로부터 분류된 규칙들을 도 2에 도시된 바와 같이 목적지 포트와 출발지 포트가 모두 있는 것, 출발지 포트만 있는 것, 목적지 포트만 있는 것, 출발지 포트와 목적지 포트가 모두 없는 것으로 분류하여 포트그룹을 생성한다. 따라서, 포트의 중복을 제거할 수 있으며, 세부적으로 나눌수록 패턴의 수가 적어지므로, 문자열 패턴 매칭 속도를 향상시킬 수 있다. 또한, 상기 규칙 분류부(111)는 규칙을 포트 분류할 때 기존의 스노트에서 모든 규칙들을 프로토콜별 RTN(Rule Tree Node)으로 분류하는 과정을 배제한다.
상기 규칙 분류부(111)는 포트 분류된 규칙들을 도 3과 같이 2진수로 변환한다.
상기 메모리부(112)에는 상기 규칙 분류부(111)에 의해 2진수로 변환된 규칙들이 저장된다. 상기 메모리부(112)는 RAM(Random Access Memory)으로 구현된다. 또한, 상기 메모리부(112)에는 문자열 매칭 알고리즘이 저장된다.
본 발명에서는 규칙들을 입력받아 전처리 과정을 거친 후 램(RAM)에 저장하므로, 규칙이 업데이트될 때마다 기존의 하드웨어 기반 패턴 매칭 장치와 같이 FPGA를 새로 구성하지 않고 램에 저장된 규칙을 액세스하여 이용하므로, 규칙 업데이트를 빠르고 손쉽게 수행할 수 있다.
상기 침입 탐지부(120)는 외부망 또는 내부망을 통해 입력되는 네트워크 패킷에 대해 매칭되는 규칙을 찾아 문자열 매칭 알고리즘을 사용하여 패킷을 검사한다. 본 발명에서는 보이어무어(Boyer Moore) 알고리즘을 이용하여 찾고자 하는 패턴(규칙)을 미리 입력해 두고 여러가지 패턴이 들어왔을 때 일치하는 패턴을 찾아주는 것을 예로 들어 설명하고 있으나, 이에 한정되지 않고 공지된 다른 문자열 매칭 알고리즘을 이용하도록 설계변경할 수도 있다.
본 발명에서 사용되는 Boyer Moore 알고리즘은 패턴의 시작이 아니라 끝에서부터 비교하는 Right-to-left 방식으로 패턴을 매치시킨다. 패턴이 매칭되지 않았거나 또는 부분적으로 매칭된 경우에 전처리 단계에서 미리 계산된 두 가지 함수를 이용하여 텍스트의 오른쪽으로 패턴을 시프트한다. 이 두 가지 함수는 bad-character shift와 goodsuffix shift이다.
예를 들어, 도 4를 참조하면, T를 텍스트 P를 패턴이라고 할 때, e를 P의 엔드 포인터라고 가정하자, P의 길이가 m이면 e의 초기값은 m이 된다. Boyer Moore 알고리즘은 Right-to-left 방식으로 패턴을 비교하므로 j=0 … (m-1)에 대해 Te=j 문자와 Pm=j 문자를 비교하여 모두 일치될 때, 패턴이 매칭된다. 이때 매칭되지 않은 문자가 발견되면 E를 증가시켜 오른쪽으로 시프트할 수 있다.
상기 침입 탐지부(120)는 상기 메모리부(112)에 분류된 규칙(포트그룹)에 각각 접근할 수 있는 복수의 패턴 매칭부(미도시)가 존재하며, 각각 개별적으로 패턴 매칭을 수행하므로, 패턴 매칭 성능을 향상시킬 수 있다.
패턴 매칭부는 배타적 부정 논리합(exclusive-NOR, 이하, EXNOR)를 이용한 2입력 불일치 회로를 이용한 비교기로 구현된다. 예를 들어, 패턴 매칭부는 도 5에 도시된 바와 같이 전비교기를 직렬로 연결한다. 이때, 최하위 비트의 입력은 [LG_IN]=’0’, [EQ_IN]=’1’, [SM_IN]=’0’으로 고정하여 구현되었다. 이러한 패턴 매칭부를 구성하는 비교기는 다음과 같이 동작한다.
- 비교기의 LG(large)가 ‘1’이면 하위 비트의 입력과 무관하게 LG_OUT은 ‘1’, EQ_OUT은 ‘0’, SM_OUT은 ‘0’이 된다.
- 비교기의 SM(small)이 ‘1’이면 하위 비트의 입력과 무관하게 SM_OUT은 ‘1’, LG_OUT은 ‘0’, EQ_OUT은 ‘0’이 된다.
- EQ(equal)가 ‘1’이면 하위 비트의 입력과 관계가 있으므로 LG_IN이 ‘1’이면 LG_OUT은 ‘1’, EQ_OUT 및 SM_OUT은 모두 ‘0’이 되고, SM_IN이 ‘1’이면 SM_OUT은 ‘1’, LG_OUT 및 EQ_OUT은 모두 ‘0’이 되며, EQ_IN이 ‘1’이면 EQ_OUT은 ‘1’, LG_OUT 및 SM_OUT은 모두 ‘0’이 된다.
상기 비교기는 비교 단계가 각각 ‘and’로 묶여 비교를 더 효율적으로 할 수 있다. 예컨대, 도 6에 도시된 바와 같이, A3와 B3를 비교하였을 때 같지 않으면 나머지 A2, A2, A0, B2, B1, B0를 비교하지 않고 건너 뛸 수 있다.
또한, 상기 침입 탐지부(120)는 분류 규칙 포트그룹 개수만큼 패턴 매칭부를 구비하며 각각의 패턴 매칭부가 패턴 매칭을 수행하므로, 한번에 8비트(bits)씩 패턴 매칭을 하여 입력되는 패킷의 일부 패턴과 일치하는 부분이 있으면 결과를 출력한다. 즉, 상기 침입 탐지부(120)는 패턴 매칭을 수행한 결과에 따라 네트워크 침입여부를 결정하고, 네트워크 침입이 탐지되면 침입을 알리는 경고 및/또는 공격패턴에 대한 로그를 출력한다.
한편, 입력되는 패킷에 대한 패턴 매칭을 많이 해야하는 경우, 패턴 매칭부를 추가로 배치하여 병렬로 처리하게 구현할 수도 있다.
상기 침입 탐지부(120)는 네트워크를 통해 입력되는 패킷에 출발지 및 목적지 포트가 포함되어 있는지를 확인하고, 그 확인된 결과에 따라 출발지 포트와 목적지 포트가 모두 있는 제1포트그룹, 출발지 포트만 있는 제2포트그룹, 목적지 포트만 있는 제3포트그룹, 출발지 포트와 목적지 포트가 모두 없는 제4포트그룹 중 어느 하나의 포트그룹을 선택한다. 그리고, 상기 침입 탐지부(120)는 상기 선택된 포트그룹의 규칙을 적용하여 패턴 매칭을 수행한다. 다시 말해서, 상기 침입 탐지부(120)는 상기 선택된 포트그룹에 포함된 공격 패턴과 일치하는 패턴이 네트워크 패킷에 있는지를 검사한다. 이때, 상기 침입 탐지부(120)는 문자열 패턴 매칭 알고리즘을 통하여 네트워크 패킷과 규칙에 정의된 공격 패턴을 비교한다.
상기와 같이 설명된 실시예의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예는 다양한 변형이 이루어질 수 있도록 실시예의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
100: 침입 탐지 장치
110: 전처리부
111: 규칙 분류부
112: 메모리부
120: 침입 탐지부

Claims (9)

  1. 규칙들을 입력받아 정의된 포트 분류 방식에 따라 분류하고 그 분류된 규칙들을 2진수로 변환하여 저장하는 전처리부와,
    네트워크를 통해 입력되는 패킷과 상기 규칙의 패턴 매칭을 통해 침입을 탐지하는 침입 탐지부를 포함하고,
    상기 침입 탐지부는, 상기 분류된 규칙에 각각 접근할 수 있는 복수의 패턴 매칭부를 포함하고,
    상기 패턴 매칭부는, 배타적 부정논리합(EXNOR)를 이용한 2입력 불일치 회로로 구현된 전비교기가 직렬로 연결되어 구현되는 것을 특징으로 하는 패턴 매칭을 통한 네트워크 침입 탐지 장치.
  2. 제1항에 있어서, 상기 전처리부는,
    상기 규칙들을 정의된 포트 분류 방식에 따라 분류하여 복수의 포트그룹을 생성하고, 그 분류된 규칙에서 패턴 매칭에 필요한 정보만 2진수로 변환하는 규칙 분류부와,
    상기 규칙 분류부에 의해 2진수로 변환된 규칙들이 저장되는 메모리부를 포함하는 것을 특징으로 하는 패턴 매칭을 통한 네트워크 침입 탐지 장치.
  3. 제2항에 있어서, 상기 규칙 분류부는,
    상기 규칙을 출발지 포트와 목적지 포트가 모두 있는 것, 출발지 포트만 있는 것, 목적지 포트만 있는 것, 출발지 포트와 목적지 포트가 모두 없는 것으로 분류하는 것을 특징으로 하는 패턴 매칭을 통한 네트워크 침입 탐지 장치.
  4. 제1항에 있어서, 상기 규칙은,
    Snort(sniffer and more) 규칙을 이용하는 것을 특징으로 하는 패턴 매칭을 통한 네트워크 침입 탐지 장치.
  5. 삭제
  6. 삭제
  7. 제1항에 있어서, 상기 복수의 패턴 매칭부는,
    각각 개별적으로 패턴 매칭을 수행하는 것을 특징으로 하는 패턴 매칭을 통한 네트워크 침입 탐지 장치.
  8. 제1항에 있어서, 상기 침입 탐지부는,
    네트워크 패킷에 출발지 포트 및 목적지 포트가 포함되었는지를 확인하여 분류된 복수의 규칙 포트그룹 중 어느 하나의 규칙 포트그룹을 선택하는 것을 특징으로 하는 패턴 매칭을 통한 네트워크 침입 탐지 장치.
  9. 제8항에 있어서, 상기 침입 탐지부는,
    상기 네트워크 패킷에 선택된 포트그룹에 포함된 공격 패턴과 일치하는 패턴이 있는지를 소정 문자열 매칭 알고리즘을 이용하여 검사하는 것을 특징으로 하는 패턴 매칭을 통한 네트워크 침입 탐지 장치.
KR1020120002146A 2012-01-06 2012-01-06 패턴 매칭을 통한 네트워크 침입 탐지 장치 KR101287592B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120002146A KR101287592B1 (ko) 2012-01-06 2012-01-06 패턴 매칭을 통한 네트워크 침입 탐지 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120002146A KR101287592B1 (ko) 2012-01-06 2012-01-06 패턴 매칭을 통한 네트워크 침입 탐지 장치

Publications (2)

Publication Number Publication Date
KR20130081140A KR20130081140A (ko) 2013-07-16
KR101287592B1 true KR101287592B1 (ko) 2014-03-19

Family

ID=48992968

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120002146A KR101287592B1 (ko) 2012-01-06 2012-01-06 패턴 매칭을 통한 네트워크 침입 탐지 장치

Country Status (1)

Country Link
KR (1) KR101287592B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019139295A1 (ko) * 2018-01-12 2019-07-18 주식회사 로그인어스 캐릭터 분산형 메모리 액세스 기반의 네트워크 침입 탐색 시스템 및 그 방법

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9342366B2 (en) 2012-10-17 2016-05-17 Electronics And Telecommunications Research Institute Intrusion detection apparatus and method using load balancer responsive to traffic conditions between central processing unit and graphics processing unit
KR101537996B1 (ko) * 2012-10-17 2015-07-23 한국전자통신연구원 트래픽 상황에 따른 cpu와 gpu간의 로드 밸런스를 가지는 침입 탐지 장치 및 방법
KR101414061B1 (ko) * 2013-08-26 2014-07-04 한국전자통신연구원 침입탐지규칙 간의 유사도 측정 장치 및 그 방법
KR101630383B1 (ko) * 2015-04-02 2016-06-27 한국과학기술원 다중 패턴 매칭 알고리즘 및 이를 이용한 처리장치
KR102213368B1 (ko) * 2019-10-10 2021-02-08 엔시큐어 주식회사 멀티 키워드 고속 검색 시스템 및 방법
KR102418917B1 (ko) 2021-01-26 2022-07-08 충북대학교 산학협력단 이종의 네트워크 침입 탐지 및 방지 시스템 간의 룰 변환을 위한 장치 및 이를 위한 방법
KR102418910B1 (ko) 2021-01-26 2022-07-08 충북대학교 산학협력단 서로 다른 네트워크 침입 탐지 및 방지 시스템 엔진 간의 룰 변환을 위한 장치 및 이를 위한 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050032765A (ko) * 2003-10-02 2005-04-08 한국전자통신연구원 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법
KR20060030821A (ko) * 2004-10-06 2006-04-11 삼성전자주식회사 네트워크에서의 차등 침입탐지 장치 및 방법
KR20060087090A (ko) * 2005-01-28 2006-08-02 소우영 스노트 룰을 이용한 공격 패킷 데이터베이스
KR100772523B1 (ko) * 2006-08-01 2007-11-01 한국전자통신연구원 패턴을 이용하는 침입 탐지 장치 및 그 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050032765A (ko) * 2003-10-02 2005-04-08 한국전자통신연구원 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법
KR20060030821A (ko) * 2004-10-06 2006-04-11 삼성전자주식회사 네트워크에서의 차등 침입탐지 장치 및 방법
KR20060087090A (ko) * 2005-01-28 2006-08-02 소우영 스노트 룰을 이용한 공격 패킷 데이터베이스
KR100772523B1 (ko) * 2006-08-01 2007-11-01 한국전자통신연구원 패턴을 이용하는 침입 탐지 장치 및 그 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019139295A1 (ko) * 2018-01-12 2019-07-18 주식회사 로그인어스 캐릭터 분산형 메모리 액세스 기반의 네트워크 침입 탐색 시스템 및 그 방법

Also Published As

Publication number Publication date
KR20130081140A (ko) 2013-07-16

Similar Documents

Publication Publication Date Title
KR101287592B1 (ko) 패턴 매칭을 통한 네트워크 침입 탐지 장치
US9560063B2 (en) Apparatus and method for detecting malicious domain cluster
US7519995B2 (en) Programmable hardware for deep packet filtering
US9191398B2 (en) Method and system for alert classification in a computer network
US10320812B2 (en) Methods and systems for full pattern matching in hardware
US10176187B2 (en) Method and apparatus for generating a plurality of indexed data fields
Thinh et al. A FPGA-based deep packet inspection engine for network intrusion detection system
US20180375884A1 (en) Detecting user behavior activities of interest in a network
US7904433B2 (en) Apparatus and methods for performing a rule matching
JP2008507222A5 (ko)
Nguyen et al. An approach to detect network attacks applied for network forensics
Fide et al. A survey of string matching approaches in hardware
Tharaka et al. Runtime rule-reconfigurable high throughput NIPS on FPGA
Raja et al. Two-level packet inspection using sequential differentiate method
Yoshioka et al. Rule hashing for efficient packet classification in network intrusion detection
Nourani et al. Bloom filter accelerator for string matching
Haghighat et al. Toward fast regex pattern matching using simple patterns
KR101448869B1 (ko) 패턴매칭 장치 및 그것의 동작방법
JP2006041969A (ja) ネットワーク監視装置及びネットワーク監視方法及びプログラム
Chasaki et al. Fast regular expression matching in hardware using nfa-bdd combination
Hadi et al. A Scalable Pattern Matching Implementation on Hardware using Data Level Parallelism
CN117640258A (zh) 网络资产测绘的防护方法、装置、设备和存储介质
Edmonds et al. Efficient tuning methodologies for a network payload anomaly inspection scheme
Keerthana et al. IMPLEMENTATION OF AHO CORASICK ALGORITHM IN INTRUSION DETECTION SYSTEM USING TCAM FOR MULTIPLE PATTERN MATCHING
Salim et al. Design and development of network intrusion detection system detection scheme on network processing unit

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160623

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170623

Year of fee payment: 5