KR101343673B1 - 네트워크 보안 장치 및 방법 - Google Patents

네트워크 보안 장치 및 방법 Download PDF

Info

Publication number
KR101343673B1
KR101343673B1 KR1020070011711A KR20070011711A KR101343673B1 KR 101343673 B1 KR101343673 B1 KR 101343673B1 KR 1020070011711 A KR1020070011711 A KR 1020070011711A KR 20070011711 A KR20070011711 A KR 20070011711A KR 101343673 B1 KR101343673 B1 KR 101343673B1
Authority
KR
South Korea
Prior art keywords
traffic data
network traffic
network
header
payload
Prior art date
Application number
KR1020070011711A
Other languages
English (en)
Other versions
KR20080073110A (ko
Inventor
유춘근
유연식
손소라
Original Assignee
주식회사 엘지씨엔에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘지씨엔에스 filed Critical 주식회사 엘지씨엔에스
Priority to KR1020070011711A priority Critical patent/KR101343673B1/ko
Publication of KR20080073110A publication Critical patent/KR20080073110A/ko
Application granted granted Critical
Publication of KR101343673B1 publication Critical patent/KR101343673B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 세션 단위의 네트워크 트래픽 데이터를 파싱(parsing) 및 디코딩(decoding)하여 패턴매칭하는 네트워크 보안 장치 및 방법에 관한 것이다. 본 발명에 따른 제 1 실시예에 적용되는 네트워크 보안장치에서, 탐지/차단 모듈(140)은 패킷(또는 비트) 단위로 수신되는 네트워크 트래픽 데이터(network traffic data)를 세션 단위로 재조합(reassemble)한다. 파싱(parsing)부(141)는, 세션(session) 단위로 재조합된 네트워크 트래픽 데이터를 헤더(header)와 페이로드(payload)로 구분한 뒤, 구분된 네트워크 트래픽 데이터를 스펙(spec.)에 맞게 세부적으로 재구분한다. 디코딩(decoding)부(142)는 상기와 같이 구분된 네트워크 트래픽 데이터 가운데 인코딩 데이터를 인코딩 이전의 상태로 복원한다. 그리고, 디텍팅(detecting)부는 상기 디코딩된 네트워크 트래픽 데이터를 지정된 패턴 즉 <script> 혹은 </script>과 순차적으로 비교하여 패턴매칭함으로써 공격여부를 판단한다. 이에 따라, 본 발명은 L7(network layer 7)에 해당하는 네트워크 트래픽 데이터의 패턴매칭에 따른 탐지동작이 보다 정확하게 수행되도록 한 매우 유용한 발명인 것이다.
네트워크 트래픽 데이터, L7(network layer 7)

Description

네트워크 보안 장치 및 방법{Apparatus and method for network security}
도 1은 종래의 네트워크 보안시스템의 구성블럭도이다.
도 2는 L7(network layer 7)에 해당하는 HTTP requst message를 예시한 것이다.
도 3은 본 발명에 따른 제 1 실시예에 적용되는 네트워크 보안장치 가운데 탐지/차단 모듈(140)의 세부 구성블럭도이다.
도 4는 도 3에 적용되는 네트워크 트래픽 데이터를 각각 예시한 것이다.
도 5는 본 발명에 따른 제 1 실시예에 적용되는 네트워크 보안방법의 흐름도이다.
<도면의 주요부분에 대한 부호의 설명>
10 : 네트워크 보안시스템 11 : 룰 DB
12 : 관리 모듈 13 : 탐지룰 DB
14,140 : 탐지/차단 모듈 141 : 파싱(parsing) 부
142 : 디코딩(decoding) 부 143 : 디텍팅(detecting) 부
본 발명은 네트워크의 안정성을 확보하기 위한 장치 및 방법에 관한 것으로서, 보다 상세하게는, 세션 단위의 네트워크 트래픽 데이터를 파싱(parsing) 및 디코딩(decoding)하여 패턴매칭하는 네트워크 보안 장치 및 방법에 관한 것이다.
도 1은 종래의 네트워크 보안시스템(10)의 구성블럭도이다.
룰(rule) 데이터베이스(DataBase, 이하 'DB'라 함)(11)는 전체 룰을 저장한다. 그리고 관리 모듈(12)은, 상기 룰 DB(11)에 저장된 전체 룰 가운데 관리자에 의해 선택된 룰이 탐지룰 DB(13)에 저장되도록 제어하고, 탐지/차단 모듈(14)에 의한 탐지 및 차단 동작이 개시되도록 제어한다.
그리고 상기 탐지/차단 모듈(14)은, 상기 탐지룰 DB(13)에 저장된 룰을 순차적으로 독출한 후, 상기 독출된 룰과 입력되는 네트워크 트래픽 데이터(network traffic data)를 패킷(또는 세션)단위로 순차 비교하여 패턴매칭하는 탐지 동작과, 탐지 결과 상기 독출된 룰과 일치하는 패킷을 포함하는 네트워크 트래픽 데이터를 유해 트래픽(traffic) 데이터로 판단하고 이를 차단하는 동작을 수행한다.
그런데, 상기와 같이 구성되고 동작하는 종래의 네트워크 보안시스템에서, 정해진 룰(또는 패턴, 이하 '패턴'이라 칭함)이 응용 프로그램에 따라 다양하게 표현되고 각각의 스펙(spec.)에 맞게 다양하게 공격패턴이 위치할 수 있는 L7{(network layer 7, 예를 들면, HTTP(HyperText Transport Protocol), SMTP(Simple Mail Transfer Protocol) 등}의 경우, 정확한 패턴매칭이 어렵다.
이에 대해 HTTP requst message를 예시한 도 2를 참조하여 설명하면 다음과 같다.
만약, 도 2의 <예 1>과 같은 L7에 해당하는 HTTP 네트워크 트래픽 데이터가 입력되어 HTTP 서버에 대한 공격이 이루어졌다면, 탐지/차단 모듈(14)은 패킷(또는 세션) 단위의 네트워크 트래픽 데이터를 탐지룰 DB(13)로부터 독출된 <script> 혹은 </script>과 순차 비교하여 패턴매칭함으로써 <예 1>의 네트워크 트래픽 데이터에 대한 탐지 및 차단 동작을 수행하였다.
그런데, 도 2의 <예 1>은 <예 2>와 동일하게 표현될 수 있으며, <예 1>과 <예 2>를 비교해 보면 '%3c'는 '<', '%3E'는 '>', '%2F'는 '/', 그리고 '%u0073'은 's'를 각각 나타낸다.
따라서, 도 2의 <예 2>와 같이 '<', '>', '/' 등이 인코딩된 형태로 네트워크 트래픽 데이터가 입력되면, <script> 혹은 </script>의 패턴매칭에 따르는 탐지 및 차단이 불가능하였다.
따라서, 본 발명은 상기와 같은 문제점을 해결하기 위해 창작된 것으로서, L7에 해당하는 네트워크 트래픽 데이터의 패턴매칭에 따른 탐지동작이 보다 정확하게 수행되도록 한 네트워크 보안 장치 및 방법을 제공하는 것이다.
상술한 목적을 달성하기 위한 본 발명의 제 1 실시예에 따른 네트워크 보안장치는, 세션(session) 단위의 네트워크 트래픽 데이터(network traffic data)를 헤더(header)와 페이로드(payload)로 구분하는 파싱(parsing)부; 상기 파싱된 네트워크 트래픽 데이터 가운데 인코딩된 데이터를 인코딩 이전의 상태로 복원하는 디코딩(decoding)부; 그리고 상기 디코딩된 네트워크 트래픽 데이터를 지정된 패턴과 비교하여 공격여부를 판단하는 디텍팅(detecting)부를 포함한다.
상기 파싱부는, 상기 네트워크 트래픽 데이터를 헤더(header)와 페이로드(payload)로 구분하고, 상기 구분된 헤더와 페이로드를 물리적 계층의 사양(physical layer specfication)에 맞게 세부적으로 재구분할 수 있다.
상기 네트워크 트래픽 데이터는, L7(network layer 7)에 해당할 수 있다.
상기 L7은, HTTP(HyperText Transport Protocol), SMTP(Simple Mail Transfer Protocol) 가운데 적어도 하나 이상을 포함할 수 있다.
또한, 본 발명의 제 1 실시예에 따른 네트워크 보안방법은, 세션(session) 단위의 네트워크 트래픽 데이터(network traffic data)를 헤더(header)와 페이로드(payload)로 구분하는 파싱(parsing)단계; 상기 파싱된 네트워크 트래픽 데이터 가운데 인코딩된 데이터를 인코딩 이전의 상태로 복원하는 디코딩(decoding)단계; 그리고 상기 디코딩된 네트워크 트래픽 데이터를 지정된 패턴과 비교하여 공격여부 를 판단하는 디텍팅(detecting)단계를 포함한다.
상기 파싱단계는, 상기 네트워크 트래픽 데이터를 헤더(header)와 페이로드(payload)로 구분하고, 상기 구분된 헤더와 페이로드를 물리적 계층의 사양에 맞게 세부적으로 재구분할 수 있다.
상기 네트워크 트래픽 데이터는, L7(network layer 7)에 해당할 수 있다.
상기 L7은, HTTP(HyperText Transport Protocol), SMTP(Simple Mail Transfer Protocol) 가운데 적어도 하나 이상을 포함할 수 있다.
이상과 같은 구성과 흐름에 의해, 본 발명에 따른 네트워크 보안 장치 및 방법은, 세션 단위의 네트워크 트래픽 데이터를 헤더(header)와 페이로드(payload)로 구분하는 파싱(parsing), 인코딩된 데이터를 인코딩 이전의 상태로 복원하는 디코딩(decoding), 그리고 패턴매칭하여 공격여부를 판단하는 디텍팅(detecting) 과정을 수행한다.
이하에서는, 도면을 참조하여 네트워크 보안 장치 및 방법에 대하여 보다 상세히 설명하기로 한다.
도 3은 본 발명에 따른 제 1 실시예에 적용되는 네트워크 보안장치 가운데 탐지/차단 모듈(140)의 세부 구성블럭도이고, 도 4는 도 3에 적용되는 네트워크 트래픽 데이터를 각각 예시한 것이다.
본 발명에 따른 제 1 실시예에 적용되는 네트워크 보안장치에서, 탐지/차단 모듈(140)은 먼저 패킷(또는 비트) 단위로 수신되는 네트워크 트래픽 데이터(network traffic data)를 세션 단위로 재조합(reassemble)한다. 세션 단위로 재조합된 네트워크 트래픽 데이터는 도 4의 ①에 예시된 바와 같다.
아울러, 상기 네트워크 트래픽 데이터는 L7(network layer 7)에 해당한다. 또한, L7은 HTTP(HyperText Transport Protocol), SMTP(Simple Mail Transfer Protocol) 가운데 적어도 하나 이상을 포함할 수 있으며, 이 가운데 본 실시예에서는 HTTP인 것으로 제안한다.
파싱(parsing)부(141)는, 세션(session) 단위로 재조합된 네트워크 트래픽 데이터를 헤더(header)와 페이로드(payload)로 구분한 뒤, 구분된 네트워크 트래픽 데이터를 물리적 계층의 사양(Phsical layer specification)에 맞게 세부적으로 재구분한다. 상기 파싱부(141)에 의해 구분된 네트워크 트래픽 데이터 가운데 헤더 데이터는 도 4의 ②에 예시된 바와 같다.
디코딩(decoding)부(142)는 상기와 같이 구분된 네트워크 트래픽 데이터 가운데 인코딩 데이터를 인코딩 이전의 상태로 복원한다.
즉, 파싱부(141)에 의해 구분된 네트워크 트래픽 데이터 가운데 인코딩 데이터 '%3c', '%u0073', '%3E' 그리고 '%2F' 를 인코딩 이전의 형태로 디코딩한다. 이 와 같이 디코딩되면, '%3c'는 '<', '%u0073'은 's', '%3E'는 '>' 그리고 '%2F'로 변환된다. 그리하여, 상기 디코딩부(142)에 의해 디코딩된 네트워크 트래픽 데이터 가운데 헤더 데이터는 도 4의 ③에 예시된 바와 같다.
그리고, 디텍팅(detecting)부는 상기 디코딩된 네트워크 트래픽 데이터를 지정된 패턴 즉 <script> 혹은 </script>과 순차적으로 비교하여 패턴매칭함으로써 공격여부를 판단한다.
도 5는 본 발명에 따른 제 1 실시예에 적용되는 네트워크 보안방법의 흐름도이다.
이하에서는, 상기와 같이 구성되는 네트워크 보안장치의 동작에 대해, 도 5와 병행하여 상세히 설명하기로 한다.
먼저, 탐지/차단 모듈(140)은 패킷(또는 비트) 단위로 수신되는 L7(network layer 7)에 해당하는 HTTP(HyperText Transport Protocol) 네트워크 트래픽 데이터(network traffic data)를 세션 단위로 재조합(reassemble)한다(도 4의 ①)(S501).
이어, 파싱(parsing)부(141)는, 상기 재조합된 네트워크 트래픽 데이터를 헤더(header)와 페이로드(payload)로 구분한 뒤(S502), 구분된 네트워크 트래픽 데이터를 물리적 계층의 사양에 맞게 세부적으로 재구분한다(S503)(도 4의 ②).
디코딩(decoding)부(142)는, 상기와 같이 구분된 네트워크 트래픽 데이터 가운데 인코딩 데이터를 '%3c', '%u0073', '%3E' 그리고 '%2F' 를 인코딩 이전의 형태로 '%3c'는 '<', '%u0073'은 's', '%3E'는 '>' 그리고 '%2F'는 '/'로 각각 디코딩한다(S504)(도 4의 ③).
마지막으로, 디텍팅(detecting)부는 상기 디코딩된 네트워크 트래픽 데이터를 지정된 패턴 즉 <script> 혹은 </script>과 순차적으로 비교하여 패턴매칭함으로써 공격여부를 판단한다(S505).
상술한 바와 같이, 본 발명이 도면에 도시된 실시예를 참고하여 설명되었으나, 이는 예시적인 것들에 불과하며, 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자라면 본 발명의 요지 및 범위를 벗어나지 않으면서도 다양한 변형, 변경 및 균등한 타 실시예들이 가능하다는 것을 명백하게 알 수 있을 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.
상술한 바와 같이, 본 발명에 따른 네트워크 보안 관련 통계정보 생성 장치 및 방법은, 세션 단위의 네트워크 트래픽 데이터를 헤더(header)와 페이로드(payload)로 구분하는 파싱(parsing), 인코딩된 데이터를 인코딩 이전의 상태로 복원하는 디코딩(decoding), 그리고 패턴매칭하여 공격여부를 판단하는 디텍팅(detecting) 과정을 수행함으로써, L7에 해당하는 네트워크 트래픽 데이터의 패턴매칭에 따른 탐지동작이 보다 정확하게 수행되도록 한 매우 유용한 발명인 것이다.

Claims (8)

  1. 세션(session) 단위의 네트워크 트래픽 데이터(network traffic data)를 헤더(header)와 페이로드(payload)로 구분하는 파싱(parsing)부;
    상기 파싱된 네트워크 트래픽 데이터 가운데 인코딩된 데이터를 인코딩 이전의 상태로 복원하는 디코딩(decoding)부; 그리고
    상기 디코딩된 네트워크 트래픽 데이터를 지정된 패턴과 비교하여 공격여부를 판단하는 디텍팅(detecting)부를 포함하는 네트워크 보안장치.
  2. 제 1항에 있어서, 상기 파싱부는,
    상기 네트워크 트래픽 데이터를 헤더(header)와 페이로드(payload)로 구분하고, 상기 구분된 헤더와 페이로드를 물리적 계층의 사양(physical layer specification)에 맞게 세부적으로 재구분하는 것을 특징으로 하는 네트워크 보안장치.
  3. 제 1항 또는 제 2항에 있어서,
    상기 네트워크 트래픽 데이터는, L7(network layer 7)에 해당하는 것을 특징으로 하는 네트워크 보안장치.
  4. 제 3항에 있어서, 상기 L7은,
    HTTP(HyperText Transport Protocol), SMTP(Simple Mail Transfer Protocol) 가운데 적어도 하나 이상을 포함하는 것을 특징으로 하는 네트워크 보안장치.
  5. 세션(session) 단위의 네트워크 트래픽 데이터(network traffic data)를 헤더(header)와 페이로드(payload)로 구분하는 파싱(parsing)단계;
    상기 파싱된 네트워크 트래픽 데이터 가운데 인코딩된 데이터를 인코딩 이전의 상태로 복원하는 디코딩(decoding)단계; 그리고
    상기 디코딩된 네트워크 트래픽 데이터를 지정된 패턴과 비교하여 공격여부를 판단하는 디텍팅(detecting)단계를 포함하는 네트워크 보안방법.
  6. 제 5항에 있어서, 상기 파싱단계는,
    상기 네트워크 트래픽 데이터를 헤더(header)와 페이로드(payload)로 구분하고, 상기 구분된 헤더와 페이로드를 물리적 계층의 사양에 맞게 세부적으로 재구분하는 것을 특징으로 하는 네트워크 보안방법.
  7. 제 5항 또는 제 6항에 있어서,
    상기 네트워크 트래픽 데이터는, L7(network layer 7)에 해당하는 것을 특징으로 하는 네트워크 보안방법.
  8. 제 7항에 있어서, 상기 L7은,
    HTTP(HyperText Transport Protocol), SMTP(Simple Mail Transfer Protocol) 가운데 적어도 하나 이상을 포함하는 것을 특징으로 하는 네트워크 보안방법.
KR1020070011711A 2007-02-05 2007-02-05 네트워크 보안 장치 및 방법 KR101343673B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070011711A KR101343673B1 (ko) 2007-02-05 2007-02-05 네트워크 보안 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070011711A KR101343673B1 (ko) 2007-02-05 2007-02-05 네트워크 보안 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20080073110A KR20080073110A (ko) 2008-08-08
KR101343673B1 true KR101343673B1 (ko) 2013-12-20

Family

ID=39883035

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070011711A KR101343673B1 (ko) 2007-02-05 2007-02-05 네트워크 보안 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101343673B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101005927B1 (ko) * 2010-07-05 2011-01-07 펜타시큐리티시스템 주식회사 웹 어플리케이션 공격 탐지 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100496767B1 (ko) 2002-08-03 2005-06-23 (주)이월리서치 유알엘 패턴 매칭 방법을 이용한 전자 메일 차단 방법
KR100596395B1 (ko) 2004-12-16 2006-07-04 한국전자통신연구원 IPv4망과 IPv6망이 공존하는 네트워크 상에서암호화된 유해 트래픽에 대응하는 시스템 및 그 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100496767B1 (ko) 2002-08-03 2005-06-23 (주)이월리서치 유알엘 패턴 매칭 방법을 이용한 전자 메일 차단 방법
KR100596395B1 (ko) 2004-12-16 2006-07-04 한국전자통신연구원 IPv4망과 IPv6망이 공존하는 네트워크 상에서암호화된 유해 트래픽에 대응하는 시스템 및 그 방법

Also Published As

Publication number Publication date
KR20080073110A (ko) 2008-08-08

Similar Documents

Publication Publication Date Title
US11902126B2 (en) Method and system for classifying a protocol message in a data communication network
CN110597734B (zh) 一种适用于工控私有协议的模糊测试用例生成方法
US10187401B2 (en) Hierarchical feature extraction for malware classification in network traffic
CN109547409B (zh) 一种用于对工业网络传输协议进行解析的方法及系统
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
JP5053445B2 (ja) アプリケーションアウェアネスを用いて終端間サービス構成を検査するインバウンド機構
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
JP3957712B2 (ja) 通信監視システム
CN110430191A (zh) 调度数据网中基于协议识别的安全预警方法及装置
CN108183917A (zh) 基于软件定义网络的DDoS攻击跨层协同检测方法
CN112769623A (zh) 边缘环境下的物联网设备识别方法
JP2011514066A (ja) アプリケーションアウェアネスを用いてサービスの終端間qoeを監視するインバウンド機構
SG184120A1 (en) Method of identifying a protocol giving rise to a data flow
KR100950079B1 (ko) 은닉마코프 모델을 이용한 확률적인 네트워크 이상징후탐지 장치 및 그 방법
CN108933781A (zh) 用于处理字符串的方法、装置及计算机可读存储介质
KR102069142B1 (ko) 명확한 프로토콜 사양 자동 추출을 위한 장치 및 방법
KR101343673B1 (ko) 네트워크 보안 장치 및 방법
JP2006229701A (ja) Tcpフロー通信品質推定装置およびその方法ならびにそのためのプログラム
Lampesberger et al. An on-line learning statistical model to detect malicious web requests
Siboni et al. Botnet identification via universal anomaly detection
Wiley Blocking-resistant protocol classification using bayesian model selection
Huang et al. Exploiting intra-packet dependency for fine-grained protocol format inference
Karuppanchetty et al. Artificially augmented training for anomaly-based network intrusion detection systems
Shimoni et al. Malicious traffic detection using traffic fingerprint
EP2693715A1 (en) A system and a method for detecting cheating applications

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160928

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20171011

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20181008

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20191007

Year of fee payment: 7