KR101410233B1 - 네트워크 세션 행위 패턴 모델링 탐지방법 및 모델링탐지시스템 - Google Patents
네트워크 세션 행위 패턴 모델링 탐지방법 및 모델링탐지시스템 Download PDFInfo
- Publication number
- KR101410233B1 KR101410233B1 KR1020120123043A KR20120123043A KR101410233B1 KR 101410233 B1 KR101410233 B1 KR 101410233B1 KR 1020120123043 A KR1020120123043 A KR 1020120123043A KR 20120123043 A KR20120123043 A KR 20120123043A KR 101410233 B1 KR101410233 B1 KR 101410233B1
- Authority
- KR
- South Korea
- Prior art keywords
- behavior
- information
- session
- packet
- pattern information
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 네트워크 트래픽의 패킷에 대해서 세션 행위 패턴의 모델링탐지방법 및 탐지시스템에 관한 것으로, 보다 상세하게는 네트워크 트래픽 환경에서 행위에 대한 이상징후를 감시하기 위해 행위를 기반하여 탐지하는 엔진에 대한 것이며, 또한 멀티 프로세스 또는 멀티 쓰래딩 환경에서 세션 기반으로 특정 행위를 추출하고 행위에 대해 수치화한 후 패턴화하여 등록하며 세션기반으로 등록된 행위에 대해 검사하여 이상징후를 탐지하는 세션 행위패턴 모델링 탐지방법 및 시스템에 관한 것이다.
이와 같은 본 발명의 특징은 네트워크 트래픽 환경에서의 세션기반 행위에 대한 소정의 수치화로 패턴화한 행위패턴정보를 생성하며, 수치화로 패턴화한 행위패턴정보를 이용하여 유입되는 패킷의 행위패턴이 등록되었는지 여부를 판별하여 이상징후를 탐지하는 것을 특징으로 한다.
이와 같은 본 발명의 특징은 네트워크 트래픽 환경에서의 세션기반 행위에 대한 소정의 수치화로 패턴화한 행위패턴정보를 생성하며, 수치화로 패턴화한 행위패턴정보를 이용하여 유입되는 패킷의 행위패턴이 등록되었는지 여부를 판별하여 이상징후를 탐지하는 것을 특징으로 한다.
Description
본 발명은 네트워크 트래픽의 패킷에 대해서 세션 행위 패턴의 모델링탐지방법 및 탐지시스템에 관한 것으로, 보다 상세하게는 네트워크 트래픽 환경에서 행위에 대한 이상징후를 감시하기 위해 행위를 기반하여 탐지하는 엔진에 대한 것이며, 또한 멀티 프로세스 또는 멀티 쓰래딩 환경에서 세션 기반으로 특정 행위를 추출하고 행위에 대해 수치화한 후 패턴화하여 등록하며 세션기반으로 등록된 행위에 대해 검사하여 이상징후를 탐지하는 세션 행위패턴 모델링 탐지방법 및 시스템에 관한 것이다.
일반적으로 네트워크는 정보를 얻거나 올리고자 하는 사용자와 정보를 제공하는 서버 사이에 접속이 이루어지게 하며, 수많은 사용자와 서버들이 네트워크망에 의해 서로 연결되어 있다. 특히 근래에는 하나의 서버에는 단일 지역의 사용자만 접속하는 것에 더하여 전 세계 사용자를 접속 대상자로 하기 때문에 네트워크 트래픽이 상당하게 된다.
이러한 네트워크 트래픽의 증가에 더하여 악성코드, 해킹 등의 공격형 접속도 상대적으로 증가하며 이러한 공격형 접속을 차단하기에는 너무 많은 접속량에 대한 처리의 한계가 있는 것이다. 특히 서버에 불법으로 접속하거나, 정보를 불법으로 탈취하거나, 또는 서버를 감염시키기 위한 것뿐만 아니라 DDOS공격과 같이 서버 운영을 저해하는 방법이 지능화하고 있다.
이에 대응하여 서버로 접속하는 네트워크망을 단속하기 위한 기술이 제안되고 있고, 특히 DDOS 공격의 경우 트래픽의 증가를 감지하거나 응답요청에 응답하지 않는 접속을 차단하는 등의 차단방법이 제시되고 있다. 하지만 증가되는 트래픽의 모든 패킷 정보에 대해 일일이 분석하면서 대응하기에는 단속을 하는 장비의 용량이 한계가 있다. 따라서 네트워크 트래픽이 증가하여도 충분히 위해 접속을 차단하거나 이상징후를 탐지하기 위한 기술이 절실하게 요구되는 것이다.
상기와 같은 문제점을 해소하기 위한 본 발명은 네트워크 트래픽 환경에서 유입되는 패킷의 세션 행위패턴을 조합한 행위패턴정보를 이용하여 이상징후를 감시하는 탐지엔진을 구현하는 것을 목적으로 한다.
특히 본 발명의 목적은, 유입되는 패킷의 세션별로 행위정보를 분석하여 행위정보를 수치화하여 조합함으로써 행위패턴정보를 생성하여 이용하므로, 증가되는 네트워크 트래픽에 대해서도 수치화로 조합된 행위패턴정보를 대상으로 판별하기 때문에 더욱 효과적으로 이상징후를 탐지하는 것이다.
그리고 본 발명의 다른 목적은, 행위추출에 대해서 멀티 프로세스 또는 멀티 쓰래딩이 지원되어 다양한 유입 패킷에 대한 탐지가 가능한 것이다.
또한 본 발명의 다른 목적은, 네트워크 트래픽의 패킷에 대해 세션기반으로 행위패턴정보를 구축하는 엔진과 행위패턴정보를 이용하여 이상징후를 탐지하는 엔진이 별도로 마련되게 하여 행위패턴정보의 구축 및 탐지의 효율이 향상되게 한다.
상기와 같은 목적을 달성하기 위한 본 발명은, 네트워크 트래픽 환경에서의 세션기반 행위에 대한 소정의 수치화로 패턴화한 행위패턴정보를 생성하며, 수치화로 패턴화한 행위패턴정보를 이용하여 유입되는 패킷의 행위패턴이 등록되었는지 여부를 판별하여 이상징후를 탐지하는 것을 특징으로 하는 네트워크 세션 행위 패턴 모델링 탐지방법을 제공한다.
그리고 본 발명의 바람직한 실시예에 있어서, 네트워크 트래픽의 패킷에 대해 IP정보를 포함한 KEY 데이터를 생성하고, 트래픽의 패킷을 처리할 프로세스 또는 쓰래드에 대한 개별 세션 테이블(Session Table)을 생성하고, 패킷 세션의 행위정보별로 소정의 수치화된 정보 및 행위정보와 KEY 데이터를 포함한 행위 패턴정보를 생성하며, 유입되는 패킷의 행위패턴정보가 등록되어 있는지 판별하여 새로운 행위패턴정보는 추가하여 등록하며, 상기 단계들을 유입되는 소정의 패킷들에 대해 수행하여 행위패턴정보가 포함된 탐지기초모델을 형성하고, 탐지기초모델을 이용하여 유입되는 패킷에 대해 행위 패턴정보를 검사하는 것을 특징으로 하는 네트워크 세션 행위 패턴 모델링 탐지방법을 제공한다.
또한 본 발명의 바람직한 실시예에 있어서, 네트워크 트래픽의 패킷에 대해 IP정보를 포함한 KEY 데이터를 생성하는 패킷 키 생성단계(S01); 네트워크 트래픽의 패킷에 대해 생성된 KEY 데이터별로 트래픽의 패킷을 처리할 프로세스 또는 쓰래드를 할당하는 프로세스 또는 쓰래드 할당단계(S02); 패킷에 대해 할당된 프로세스 또는 쓰래드에 대한 개별 세션 테이블(Session Table)을 생성하는 세션 테이블 생성단계(S03); 세션테이블이 생성된 이후 유입되는 패킷에 포함된 행위들의 규칙성을 산출하여 세션을 구분하고 구분된 세션별로 포함되는 세션의 행위정보들을 추출하는 세션행위정보 추출단계(S04); 세션별로 추출된 행위정보에 대하여 소정의 수치로 수치화하는 행위정보 수치화단계(S05); 세션별로 수치화된 정보 및 행위정보를 포함한 네트워크 트래픽의 패킷정보에 대해 생성되었던 상기 KEY 데이터를 추가하여 조합된 패턴정보를 생성하는 패턴조합된 행위패턴정보 생성단계(S06); 행위분석엔진에 행위패턴정보를 전달하고, 행위분석엔진에서 행위패턴정보가 기존에 존재하는 패턴정보인지 판별하는 행위패턴 분석단계(S07); 상기 행위패턴 분석단계에 의하여 새로 등록되는 행위패턴정보로 판별한 경우 행위분석엔진에 추가하여 등록하는 행위패턴정보 등록단계(S08); 소정의 유입되는 패킷들을 이용하여 상기 패킷 키 생성단계(S01)부터 행위패턴정보 등록단계(S08)까지 소정 패킷들에 대해 반복 수행하여 행위분석엔진에 행위패턴정보를 등록하여 탐지기초모델을 형성하는 탐지기초모델 형성단계(S09); 상기 탐지기초모델 형성단계(S09)에 의해 행위분석엔진에 행위패턴정보를 등록하여 탐지기초모델을 형성한 이후 유입되는 패킷에 대해 행위 패턴정보를 검사하는 행위검사 탐지단계(S10)를 포함하는 것을 특징으로 하는 네트워크 세션 행위 패턴 모델링 탐지방법을 제공한다.
본 발명은, 상기 행위정보는 세션에 대해서 패킷과 패킷 간의 시간, 흐름, 프로토콜별 특징, 명령어, 데이터 타입, 응답속도, 요청 횟수를 포함하고, 네트워크 트래픽 환경에서의 세션기반 행위정보, 행위유형에 대한 소정의 수치화로 패턴화한 행위패턴정보를 생성하며, 상기 행위유형은 행위정보를 기반으로 규칙성 또는 사용자가 정의한 규칙에 해당하는 행위정보에 대하여 유형으로 분류하는 것을 특징으로 하는 네트워크 세션 행위 패턴 모델링 탐지방법을 제공한다.
본 발명은, 상기 행위정보는 세션에 대해서 패킷과 패킷 간의 시간, 흐름, 프로토콜별 특징, 명령어, 데이터 타입, 응답속도, 요청 횟수를 포함하고, 네트워크 트래픽 환경에서의 세션기반 행위정보, 행위유형에 대한 소정의 수치화로 패턴화한 행위패턴정보를 생성하며, 상기 행위유형은 행위정보를 기반으로 규칙성 또는 사용자가 정의한 규칙에 해당하는 행위정보에 대하여 유형으로 분류하는 것을 특징으로 하는 네트워크 세션 행위 패턴 모델링 탐지방법을 제공한다.
아울러 본 발명의 바람직한 실시예에 있어서, 네트워크 트래픽의 패킷을 처리할 프로세스 또는 쓰래드에 대한 개별 세션 테이블(Session Table)을 생성하는데, 멀티 프로세스 또는 멀티 쓰래드에 대한 세션테이블을 생성하는 것을 특징으로 한다.
나아가 본 발명의 바람직한 실시예에 있어서, 네트워크 트래픽의 패킷을 처리할 프로세스 또는 쓰래드에 대한 개별 세션 테이블(Session Table)을 생성하는 세션처리엔진; 패킷의 세션 행위정보들을 추출하고, 세션별로 추출된 행위정보들이 조합된 행위패턴정보를 생성하는 행위패턴처리엔진; 행위패턴정보를 등록하여 행위패턴정보를 포함하여 탐지기초모델을 형성하고 탐지기초모델을 이용하여 유입되는 패킷에 대해 행위 패턴정보를 검사하는 행위분석엔진을 포함하는 것을 특징으로 하는 네트워크 세션 행위패턴기반 모델링탐지시스템을 제공한다.
이에 본 발명의 바람직한 실시예에 있어서, 상기 세션처리엔진은, 네트워크 트래픽의 패킷에 대해 IP정보를 포함한 KEY 데이터를 생성하고, 네트워크 트래픽의 패킷에 대해 생성된 KEY 데이터별로 트래픽의 패킷을 처리할 프로세스 또는 쓰래드를 할당하며, 패킷에 대해 할당된 프로세스 또는 쓰래드에 대한 개별 세션 테이블(Session Table)을 생성하고, 상기 행위패턴처리엔진은, 세션테이블이 생성된 이후 유입되는 패킷에 포함된 행위들의 규칙성을 산출하여 세션을 구분하고 구분된 세션별로 포함되는 세션의 행위정보들을 추출하고, 세션별로 추출된 행위정보에 대하여 소정의 수치로 수치화하며, 세션별로 수치화된 정보 및 행위정보를 포함한 네트워크 트래픽의 패킷정보에 대해 생성되었던 상기 KEY 데이터를 추가하여 조합된 패턴정보를 생성하며, 상기 행위분석엔진은, 행위패턴정보를 전달받아 등록하고, 소정의 유입되는 패킷들을 이용하여 KEY 데이터 생성부터 행위패턴정보를 등록하는 단계까지 소정 패킷들에 대해 반복 수행으로 등록된 행위패턴정보를 포함하여 탐지기초모델을 형성하고 탐지기초모델을 이용하여 유입되는 패킷에 대해 행위 패턴정보를 검사하는 것을 특징으로 한다.
상기와 같이 구성되는 본 발명은 네트워크 트래픽 환경에서 유입되는 패킷의 세션 행위패턴을 조합한 행위패턴정보를 이용하여 이상징후를 감시하는 탐지엔진을 구현하는 것으로, 유입되는 패킷의 세션별로 행위정보를 분석하여 행위정보를 수치화하여 조합해서 행위패턴정보를 생성하여 탐지하는 것이며, 특히 증가되는 네트워크 트래픽에 대해서도 수치화로 조합된 행위패턴정보를 대상으로 판별하기 때문에 더욱 효과적으로 이상징후를 탐지하는 탁월한 효과가 있다.
그리고 본 발명의 다른 효과는 행위추출에 대해서 멀티 프로세스 또는 멀티 쓰래딩이 지원되어 다양한 유입 패킷에 대한 탐지가 가능한 것이다.
또한 본 발명의 다른 효과는 네트워크 트래픽의 패킷에 대해 세션기반으로 행위패턴정보를 구축하는 엔진과 행위패턴정보를 이용하여 이상징후를 탐지하는 엔진이 별도로 마련되게 하여 행위패턴정보의 구축 및 탐지의 효율이 향상되게 한다.
도 1은 본 발명에 따른 모델링 탐지방법 중에서 KEY 데이터 추출과정에 대한 개략적인 예시도이다.
도 2는 본 발명에 따른 모델링 탐지방법 중에서 KEY 데이터 추출과정에 대한 예시도이다.
도 3은 본 발명에 따른 모델링 탐지방법 중에서 프로세스 또는 쓰래드를 할당하는 과정에 대한 예시도이다.
도 4는 본 발명에 따른 모델링 탐지방법 중에서 세션테이블을 생성하는 과정에 대한 예시도이다.
도 5는 본 발명에 따른 모델링 탐지방법 중에서 세션행위정보를 추출하는 과정에 대한 예시도이다.
도 6은 본 발명에 따른 모델링 탐지방법 중에서 세션행위 정보 추출 중에 행위 규칙성 분석과정에 대한 예시도이다.
도 7은 본 발명에 따른 모델링 탐지방법 중에서 행위 정보에 대한 규칙성을 추출하여 수치로 환산하는 과정에 대한 예시도이다.
도 8은 본 발명에 따른 모델링 탐지방법 중에서 행위정보와 수치화된 데이터의 예를 보인 예시도이다.
도 9는 본 발명에 따른 모델링 탐지방법 중에서 KEY 데이터가 추가된 행위패턴정보 생성과정에 대한 예시도이다.
도 10은 본 발명에 따른 모델링 탐지방법 중에서 생성된 행위패턴정보가 행위분석엔진에 등록되는 과정에 대한 예시도이다.
도 11은 본 발명에 따른 모델링 탐지방법 중에서 행위분석엔진에 등록된 행위패턴정보의 예시를 보인 도면이다.
도 12는 본 발명에 따른 모델링 탐지방법 중에서 등록된 행위패턴정보를 기초로 하여 유입되는 패턴의 행위패턴정보가 등록된 정보인지 판별하는 과정에 대한 예시도이다.
도 13은 본 발명에 따른 모델링 탐지방법에 대한 전체적인 흐름도이다.
도 14는 본 발명에 따른 모델링탐지시스템에 대한 개략적인 구성도이다.
도 15는 본 발명에 따른 모델링 탐지방법에 대한 순서도이다.
도 2는 본 발명에 따른 모델링 탐지방법 중에서 KEY 데이터 추출과정에 대한 예시도이다.
도 3은 본 발명에 따른 모델링 탐지방법 중에서 프로세스 또는 쓰래드를 할당하는 과정에 대한 예시도이다.
도 4는 본 발명에 따른 모델링 탐지방법 중에서 세션테이블을 생성하는 과정에 대한 예시도이다.
도 5는 본 발명에 따른 모델링 탐지방법 중에서 세션행위정보를 추출하는 과정에 대한 예시도이다.
도 6은 본 발명에 따른 모델링 탐지방법 중에서 세션행위 정보 추출 중에 행위 규칙성 분석과정에 대한 예시도이다.
도 7은 본 발명에 따른 모델링 탐지방법 중에서 행위 정보에 대한 규칙성을 추출하여 수치로 환산하는 과정에 대한 예시도이다.
도 8은 본 발명에 따른 모델링 탐지방법 중에서 행위정보와 수치화된 데이터의 예를 보인 예시도이다.
도 9는 본 발명에 따른 모델링 탐지방법 중에서 KEY 데이터가 추가된 행위패턴정보 생성과정에 대한 예시도이다.
도 10은 본 발명에 따른 모델링 탐지방법 중에서 생성된 행위패턴정보가 행위분석엔진에 등록되는 과정에 대한 예시도이다.
도 11은 본 발명에 따른 모델링 탐지방법 중에서 행위분석엔진에 등록된 행위패턴정보의 예시를 보인 도면이다.
도 12는 본 발명에 따른 모델링 탐지방법 중에서 등록된 행위패턴정보를 기초로 하여 유입되는 패턴의 행위패턴정보가 등록된 정보인지 판별하는 과정에 대한 예시도이다.
도 13은 본 발명에 따른 모델링 탐지방법에 대한 전체적인 흐름도이다.
도 14는 본 발명에 따른 모델링탐지시스템에 대한 개략적인 구성도이다.
도 15는 본 발명에 따른 모델링 탐지방법에 대한 순서도이다.
이하 첨부되는 도면을 참조하여 상세히 설명한다.
즉 본 발명에 따른 네트워크 세션 행위패턴 모델링 탐지방법 및 모델링탐지시스템(10)은 첨부된 도 1 내지 도 15 등에서와 같이, 네트워크 트래픽 환경에서의 세션기반 행위(행위정보, 행위유형 등)에 대한 소정의 수치화로 패턴화한 행위패턴정보를 생성하며, 수치화로 패턴화한 행위패턴정보를 이용하여 유입되는 패킷의 행위패턴이 등록되었는지 여부를 판별하여 이상징후를 탐지하는 것을 특징으로 하는 것이다.
후술되는 본 발명에 따른 네트워크 세션 행위패턴 모델링 탐지방법의 상세 단계들은 네트워크 세션 행위패턴 모델링탐지시스템(10)에 의해 수행되도록 마련될 수 있고, 이러한 모델링탐지시스템(10)은 아래의 세부 구성들로 이루어질 것이다.
우선 네트워크 트래픽의 패킷에 대해 IP정보를 포함한 KEY 데이터를 생성하고, 네트워크 트래픽의 패킷에 대해 생성된 KEY 데이터별로 트래픽의 패킷을 처리할 프로세스 또는 쓰래드를 할당하며, 패킷에 대해 할당된 프로세스 또는 쓰래드에 대한 개별 세션 테이블(Session Table)을 생성하는 세션처리엔진(20)이 마련된다.
이러한 세션처리엔진(20)에 의하여 후술되는 패킷 키 생성단계(S01), 프로세스 또는 쓰래드 할당단계(S02), 세션 테이블 생성단계(S03) 등이 수행될 것이다.
그리고 세션테이블이 생성된 이후 유입되는 패킷에 포함된 행위들의 규칙성을 산출하여 세션을 구분하고 구분된 세션별로 포함되는 세션의 행위정보들, 행위유형들의 정보를 추출하고, 세션별로 추출된 행위정보, 행위유형에 대하여 소정의 수치로 수치화하며, 세션별로 수치화된 정보 및 행위정보, 행위유형 등의 정보를 포함한 네트워크 트래픽의 패킷정보에 대해 생성되었던 상기 KEY 데이터를 추가하여 조합된 패턴정보를 생성하는 행위패턴처리엔진(30)이 마련된다.
이러한 행위패턴처리엔진(30)에 의하여 후술되는 세션행위정보 추출단계(S04), 행위정보 수치화단계(S05), 패턴조합된 행위패턴정보 생성단계(S06) 등이 수행될 것이다.
아울러 행위패턴정보를 전달받아 등록하고, 소정의 유입되는 패킷들을 이용하여 KEY 데이터 생성부터 행위패턴정보를 등록하는 단계까지 소정 패킷들에 대해 반복 수행으로 등록된 행위패턴정보를 포함하여 탐지기초모델을 형성하고 탐지기초모델을 이용하여 유입되는 패킷에 대해 행위 패턴정보를 검사하는 행위분석엔진(40)(Behavior analysis Engine)이 마련된다.
이러한 행위분석엔진(40)에 의하여 후술되는 행위패턴 분석단계(S07), 행위패턴정보 등록단계(S08), 탐지기초모델 형성단계(S09), 행위검사 탐지단계(S10) 등이 수행될 것이다.
그리하여 세션처리엔진(20), 행위패턴처리엔진(30), 행위분석엔진(40) 등을 포함한 모델링탐지시스템(10)에 의하면, 네트워크 트래픽의 패킷에 대해 IP정보를 포함한 KEY 데이터를 생성하고, 트래픽의 패킷을 처리할 프로세스 또는 쓰래드에 대한 개별 세션 테이블(Session Table)을 생성하고, 패킷 세션의 행위정보별로 소정의 수치화된 정보 및 행위정보와 KEY 데이터를 포함한 행위 패턴정보를 생성하며, 유입되는 패킷의 행위패턴정보가 등록되어 있는지 판별하여 새로운 행위패턴정보는 추가하여 등록하며, 상기 단계들을 유입되는 소정의 패킷들에 대해 수행하여 행위패턴정보가 포함된 탐지기초모델을 형성하고, 탐지기초모델을 이용하여 유입되는 패킷에 대해 행위 패턴정보를 검사하는 것이다.
참고로 본 발명에서 기술되는 용어들로, 세션은 네트워크 망 환경에서 사용자 간 또는 컴퓨터 간의 대화를 위한 논리적 연결하는 것이고, 패킷은 데이터 전송에서 사용되는 데이터의 묶음으로도 볼 것이며, 행위정보는 세션에 대해서 패킷과 패킷 간의 시간, 흐름, 프로토콜별 특징, 명령어, 데이터 타입, 응답속도, 요청 횟수 등을 포함하는 정보를 의미하며, 현재 기술된 정보 이외에 세션이 생성되면서 종료되기까지의 모든 행위정보를 의미한다. 그리고 행위유형은 행위정보를 기반으로 규칙성이 있는 정보에 대하여 이를 유형으로 분류하는 것으로, 즉 규칙성 또는 사용자가 정의한 규칙에 해당하는 행위정보의 묶음을 의미한다. 또한 프로세서는 데이터 또는 기능을 처리하기 위한 단위로, 일반적으로 자원을 공유하고 별도로 동작하여 처리하며, 쓰래드는 데이터 또는 기능을 처리하기 위한 단위로, 일반적으로 자원을 공유하여 동작하여 처리한다.
다음으로 이러한 모델링탐지시스템(10)을 이용하여 네트워크 세션 행위패턴 모델링 탐지방법의 상세단계들을 첨부된 도면들을 참조하여 설명하기로 한다.
(1) 패킷 키 생성단계 (Packet Key Generator)(S01)
네트워크 트래픽에 대해 IP버전 별로 특정 정보를 추출하여 Key를 생성한다.
패킷이 유입된 후에 해당 패킷에 대하여 ETHERNET/IP/TCP/UDP 프로토콜의 헤더 정보를 파싱(decode)하고 Playload 부분의 정보를 파싱(decode)하며, 파싱된 정보에서 KEY를 생성하기 위한 요소를 추출한다.
즉 네트워크 트래픽의 패킷에 대해 IP정보를 포함한 KEY 데이터를 생성하는 패킷 키 생성단계(S01)를 수행할 것이다. 기타 KEY 데이터의 생성에는 IP 정보를 이용하는 방법 이외에도 네트워크 환경이라던가 송수신되는 DATA의 유형, 전송방식 등 다양한 환경요소를 적용하여 운영할 수 있으며, 이러한 KEY 데이터의 생성 방법은 사용자의 소정의 설정방식에 의하여 실시되는 양태에 따라 알맞게 정하여질 수 있을 것이다.
도 2를 참조하여 보면, 유입된 ETHERNET, IP, TCP, UDP 프로트콜 등의 정보들을 대상으로 할 수 있으며, TCP의 경우를 예를 들어보면 TCP 패킷이 유입되면, IP헤더 정보와 TCP 헤더정보를 파싱하여 헤더정보와 데이터(Payload)정보를 분류하고, 도 2에서처럼 헤더정보를 통해 IP 버전, 출발지 IP, 목적지 IP, 프로토콜 정보, 출발지 포트, 목적지 포트 등의 정보를 추출하며, 이러한 정보들을 이용하여 KEY 생성 알고리즘에 적용하여 해당 패킷에 대한 KEY를 생성한다.
(2) 프로세스 또는 쓰래드 할당단계 (Process Assign)(S02)
네트워크 트래픽에 대해 생성된 KEY를 기준으로 프로세스 또는 쓰래드를 할당한다. 파싱된 정보에서 KEY를 생성하기 위한 요소를 추출하여 KEY를 생성한 후에 생성된 KEY를 기준으로 쓰래드(Thread) 또는 프로세스(Process)를 할당한다.
즉 네트워크 트래픽의 패킷에 대해 생성된 KEY 데이터별로 트래픽의 패킷을 처리할 프로세스 또는 쓰래드를 할당하는 프로세스 또는 쓰래드 할당단계(S02)를 수행할 것이다.
도 3을 참조하여 보면, 생성된 KEY를 이용하여 해당 패킷을 처리할 프로세스 또는 쓰래드를 지정하고, 이후 동일한 KEY로 생성되는 패킷에 대해서는 지정된 프로세스 또는 쓰래드가 처리하게 된다.
(3) 세션 테이블 생성단계 (Session table)(S03)
할당된 프로세스(Process) 또는 쓰래드(Thread)는 개별 세션 테이블(Session Table)을 생성한다. 해당 패킷이 KEY를 기준으로 쓰래드 또는 프로세스가 분류되고, 분류된 쓰래드 또는 프로세스에서 해당 패킷을 처리하며, 세션 생성 여부를 검사한 후, 세션 테이블을 생성한다.
즉 패킷에 대해 할당된 프로세스 또는 쓰래드에 대한 개별 세션 테이블(Session Table)을 생성하는 세션 테이블 생성단계(S03)를 수행할 것이다.
도 4를 예로 하여 보면, 매번 유입되는 패킷마다 생성된 KEY를 이용하여 지정된 프로세스 또는 쓰래드에 해당하는 패킷을 처리한다.
해당 패킷이 세션 테이블을 생성하기 위한 조건을 만족하는 경우에는 세션 테이블을 생성하고, 이미 세션 테이블이 생성된 상태라면 다음 단계를 수행한다. 해당 패킷이 세션테이블 생성조건에 맞지 않는 경우에는 세션 테이블을 생성하지 않고 해당 패킷은 더 이상 처리하지 않을 수 있다.
(4) 세션행위정보 추출단계 (Packet analysis)(S04)
세션별로 해당 세션에 대한 행위를 추출한다.
세션테이블이 생성된 후, 이후 유입되는 해당 세션의 패킷에 대해서 세션행위 정보를 추출한다.
즉 세션테이블이 생성된 이후 유입되는 패킷에 포함된 행위들의 규칙성을 산출하여 세션을 구분하고 구분된 세션별로 포함되는 세션의 행위정보들을 추출하는 세션행위정보 추출단계(S04)를 수행할 것이다.
도 5를 예로 하여 보면, 유입된 패킷에 대해서 세션테이블이 생성된 상태라면 유입된 패킷의 규칙성을 분석하여 행위정보를 추출한다. 예를 들어보면 도 6에 제시된 바와 같이 패킷에서 포함될 수 있는 행위들을 대상으로 하여 행위의 규칙성을 산출할 수 있을 것이다.
(5) 행위정보 수치화단계 (Compute analysis information)(S05)
세션별로 추출된 행위 정보에 대하여 수치화한다.
세션에 대한 행위 정보가 추출되면 이러한 행위 정보에 대한 규칙성을 추출하여 수치로 환산하여 수치화한다.
즉 세션별로 추출된 행위정보, 행위유형 등 행위에 대하여 소정의 수치로 수치화하는 행위정보 수치화단계(S05)를 수행할 것이다.
이러한 수치화단계에서의 수치환산 방법은 네트워크 환경, 송수신되는 DATA의 유형, 전송방식 등 실시되는 양태에 따라 알맞은 소정의 수치 환산방식으로 알맞게 정하여져 실시될 수 있을 것이다.
도 7을 참조하여 보면, 유입된 패킷에 대하여 동일한 세션인 경우 행위 정보의 규칙성이 산출되면 이를 각 행위정보의 유형에 따라 수치화를 도 8에서와 같이 수행한다. 즉 도 5와 도 6 등의 행위 정보에 대응하여 행위 정보의 유형에 따라 수치화하여 도 7, 도 8 등에서와 같은 데이터를 산출한다.
(6) 패턴조합된 행위패턴정보 생성단계(Pattern Combination)(S06)
세션별로 수치화된 행위 정보에 네트워크 트래픽에 대해 생성된 KEY를 추가하여 패턴 조합을 생성(패턴정보)한다.
이는 기존에 세션테이블 처리하는 프로세스 또는 쓰래드 엔진과 독립적으로 별도의 엔진에서 처리할 수 있도록 구성이 가능하며, 독립된 엔진으로 하여 패턴 행위 분석이 가능하다.
즉 세션별로 수치화된 정보 및 행위정보를 포함한 네트워크 트래픽의 패킷정보에 대해 생성되었던 상기 KEY 데이터를 추가하여 조합된 패턴정보를 생성하는 패턴조합된 행위패턴정보 생성단계(S06)를 수행할 것이다.
도 9를 예로 하여 보면, 유입된 패킷에 대하여 동일한 세션인 경우 산출된 수치화된 정보에 KEY 생성 알고리즘에 적용하여 생성된 KEY 정보를 추가하여 행위 분석 엔진에서 처리할 수 있는 데이터 형태로 가공(패턴정보)한다.
(7) 행위패턴 분석단계 (S07)
행위 분석 엔진에 행위 패턴 정보를 전달한다.
조합된 패턴 정보를 세션테이블과는 독립적으로 처리할 수 있는 행위분석엔진에 전달을 하고, 행위분석엔진에서는 조합된 패턴정보를 판단하여 새로 등록할 것인지 아니면 기존에 존재하는 것인지를 판단하여 행위분석엔진의 정보를 갱신한다.
즉 행위분석엔진에 행위패턴정보를 전달하고, 행위분석엔진에서 행위패턴정보가 기존에 존재하는 패턴정보인지 판별하는 행위패턴 분석단계(S07)를 수행할 것이다.
도 10을 참조하여 살펴보면, 행위분석엔진에서 처리할 수 있는 데이터형태로 가공된 정보(패턴정보)를 행위분석엔진에 전달을 하면, 행위분석엔진은 이 가공된 정보(패턴정보)가 새로운 정보인지 기존에 등록된 정보인지를 판단한다.
(8) 행위패턴정보 등록단계(Behavior Add)(S08)
행위분석엔진에 해당 행위패턴 정보를 등록한다.
앞선 행위패턴 분석단계에서 조합된 패턴정보를 분석하여 판단하는 단계에서, 새로 등록되는 정보로 판단한 경우에는 행위기반 패턴 알고리즘(Behavior Pattern Algorithm)을 적용하여 패턴조합된 행위패턴정보를 행위분석엔진에 추가하여 등록한다.
즉 상기 행위패턴 분석단계에 의하여 새로 등록되는 행위패턴정보로 판별한 경우 행위분석엔진에 추가하여 등록하는 행위패턴정보 등록단계(S08)를 수행할 것이다.
도 11을 예로 하여 살펴보면, 행위분석엔진에서 가공된 정보(패턴정보)가 새로운 정보인 경우 행위기반 패턴알고리즘(Behavior Pattern Algorithm)을 이용하여 가공된 정보(패턴정보)를 행위분석엔진에 등록을 한다. 행위분석엔진에서 가공된 정보(패턴정보)가 기존에 등록된 정보인 경우 행위분석엔진에 등록된 정보(패턴정보)를 갱신하게 될 것이다.
(9) 탐지기초모델 형성단계(Check Behavior)(S09)
패턴 행위를 검사하여 위반되지 않은 경우에는 다른 패킷에 대하여 앞선 패킷 키 생성단계(S01)부터 행위패턴정보 등록단계(S08)를 반복하여 수행한다.
제1단계인 패킷 키 생성단계(S01)부터 행위패턴정보 등록단계(S08)까지 소정 패킷들에 대해 반복 수행하여 행위분석엔진에 등록된 패턴정보를 추가하고 갱신한다.
즉 소정의 유입되는 패킷들을 이용하여 상기 패킷 키 생성단계(S01)부터 행위패턴정보 등록단계(S08)까지 소정 패킷들에 대해 반복 수행하여 행위분석엔진에 행위패턴정보를 등록하여 탐지기초모델을 형성하는 탐지기초모델 형성단계(S09)를 수행할 것이다.
만약 유입되는 패킷이 10개라고 가정하고 예로 5개의 패킷을 처리한다 할 경우, 첫 번째 패킷만으로 제1단계인 패킷 키 생성단계(S01)부터 제3단계인 세션 테이블 생성단계(S03)까지 수행하여 세션테이블 생성을 수행하고, 이후 나머지 제4단계인 세션행위정보추출단계(S04)부터 제8단계인 행위패턴정보 등록단계(S08)까지 수행하여 행위패턴정보를 등록하게 된다. 이후 두 번째 패킷을 비롯하여 세 번째, 네 번째, 다섯 번째 패킷들에 대해서는 제1단계인 패킷 키 생성단계(S01)부터 제8단계인 행위패턴정보 등록단계(S08)까지 수행하는데, 이처럼 두 번째 패킷 이후 다섯 번째 패킷에 대한 처리에서는, 기존 앞선 패킷의 처리에서 생성된 세션테이블 및 행위패턴정보 등의 생성과정을 수행하고, 이후 행위분석엔진에서는 이들 패킷들에 대해 행위패턴정보를 분석하고 새로운 행위패턴정보를 등록하여 이상징후 탐지의 기초모델을 형성하게 된다.
(10) 행위검사 탐지단계(S10)
유입되는 트래픽에 대하여 패턴 행위검사(행위 패턴매칭)를 수행하여 위반이 되는 경우 탐지한다.
앞선 제9단계인 탐지기초모델 형성단계(S09)에 의하여 행위분석이 완료된 이후 유입되는 트래픽(패킷)에 대하여 패턴행위검사(행위 패턴매칭)를 수행하여 위반되는 경우를 탐지한다.
즉 상기 탐지기초모델 형성단계(S09)에 의해 행위분석엔진에 행위패턴정보를 등록하여 탐지기초모델을 형성한 이후 유입되는 패킷에 대해 행위 패턴정보를 검사하는 행위검사 탐지단계(S10)를 수행할 것이다.
도 12를 참조하여 설명하면, 앞선 제1단계인 패킷 키 생성단계(S01)부터 제8단계인 행위패턴정보 등록단계(S08)까지, 유입된 소정의 패킷에 대해 반복 수행하여 세션테이블 및 조합된 행위패턴정보의 생성 및 등록을 완료한 후, 이후 유입된 패킷들은 제1단계인 패킷 키 생성단계(S01)부터 제8단계인 행위패턴정보 등록단계(S08)에서 세션테이블, 행위정보추출, 행위정보 수치화, 패턴조합된 행위패턴정보 분석 등의 과정을 수행한다. 그리고 행위분석엔진에서 유입된 패킷의 행위패턴정보와 등록된 행위패턴정보를 검사하여 위반여부를 판별하는 행위검사 탐지단계를 수행하는 것이다. 이로써 유입되어 가공된 정보(패턴정보)가 행위분석엔진에 등록된 규칙이 아닌 경우로 해당되는 경우 이상징후로 판단하여 알람을 발생하는 탐지단계가 수행된다.
그리고 행위분석엔진에서 위반여부를 판단하는데 이상징후라고 판단하지 않은 가공된 정보(패턴정보)는 행위분석엔진의 패턴정보의 등록정보를 갱신한다.
즉 앞선 제9단계인 탐지기초모델 형성단계(S09)에서와 같이 유입된 패킷이 10개라고 하고 우선 앞서 5개의 패킷에 대해 탐지기초모델을 형성하는 기초단계인 제1단계 패킷 키 생성단계(S01)부터 제8단계 행위패턴정보 등록단계(S08)까지 수행한 후, 이후 유입되는 여섯 번째 패킷부터는 행위분석엔진에서 위반여부를 판단하고, 이상징후로 판단하면 알람을 발생하며, 이상징후가 아닌 경우 행위분석엔진의 패턴정보를 갱신한다.
아울러 본 발명에 유입되는 패킷들에 대해 행위기반 탐지를 수행하되, 멀티 프로세스 또는 멀티 쓰래드에 대한 탐지도 이루어지도록 하는 것이다. 그리고 이러한 본 발명에 따른 행위패턴 탐지방법 및 시스템은 네트워크 보안장비인 DDOS 장비, 이상징후감시시스템, IPS/IDS 등의 장비에 적용이 가능한 장점이 있는 것이다.
이상에서와 같이 마련되는 본 발명에서의 행위분석에 따른 위반의 예를 보면, 예를 들어 A key를 가지는 세션에 대하여, 정상적인 상황(기준이 되는 대상으로 등록된 행위패턴정보로 등록된 이후로써, 패킷 키 생성단계, 프로세스 또는 쓰래드 할당단계, 세션 테이블 생성단계, 세션행위정보추출단계, 행위정보 수치화단계, 패턴조합된 행위패턴정보 생성단계, 행위패턴 분석단계, 행위패턴 정보등록단계 그리고 탐지기초모델 형성단계 등에 의해 기 등록된 행위패턴정보라 할 것이다)의 request 패킷이 TCP 프로토콜을 사용하며 TCP flags가 PUS/ACK 64byte가 흐르고 이후 0.1초후 72byte 흐른다는 행위정보에 대해 수치화가 640172로 하여 등록된 것으로 예로 할 수 있을 것이다. 이후의 패킷의 이상징후 판단의 대상으로 수치화한 경우, PUS/ACK 64byte가 흐르고 이후 0.2초후 72byte로 하여 640272로 수치화되거나, PUS/ACK 64byte가 흐르고 이후 0.1초후 71byte로 하여 640171로 수치화된 것을 판별하도록 예를 들 수 있을 것이다. 이에 기 등록된 정보인 640172에 대해, 이후 유입된 패킷의 수치화정보가 동일하면 정상으로 판별하나 앞선 예에서처럼 640272, 640171 등으로 각각 다른 경우에는 이상징후로 판별하여 알람을 발생하게 될 것이다. 물론 이러한 상기 예는 행위패턴, 행위정보, 수치화 등의 일 예를 들은 것일뿐 이에 한정되는 것이 아니며, 그러나 이와 같은 방식으로 기 등록된 수치화된 행위패턴정보를 기준으로 하여 유입되는 패킷의 정보와 비교판별하여 이상징후를 판별하게 될 것이다.
이상으로 본 발명의 실시예에 대하여 상세히 설명하였으나, 이는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 일실시예를 기재한 것이므로, 상기 실시예의 기재에 의하여 본 발명의 기술적 사상이 제한적으로 해석되어서는 아니 된다.
10 : 모델링탐지시스템 20 : 세션처리엔진
30 : 행위패턴처리엔진 40 : 행위분석엔진
30 : 행위패턴처리엔진 40 : 행위분석엔진
Claims (6)
- 네트워크 트래픽의 패킷에 대해 IP정보를 포함한 KEY 데이터를 생성하는 패킷 키 생성단계(S01);
패킷에 대해 할당된 프로세스 또는 쓰래드에 대한 개별 세션 테이블(Session Table)을 생성하는 세션 테이블 생성단계(S03);
세션별로 추출된 행위정보에 대하여 소정의 수치로 수치화하는 행위정보 수치화단계(S05);
세션별로 수치화된 정보 및 행위정보를 포함한 네트워크 트래픽의 패킷정보에 대해 생성되었던 상기 KEY 데이터를 추가하여 조합된 패턴정보를 생성하는 패턴조합된 행위패턴정보 생성단계(S06);
행위분석엔진에 행위패턴정보를 전달하고, 행위분석엔진에서 행위패턴정보가 기존에 존재하는 패턴정보인지 판별하는 행위패턴 분석단계(S07); 및
유입되는 패킷에 대해 행위 패턴정보를 검사하는 행위검사 탐지단계(S10)를 포함하는 탐지방법에 있어서,
상기 패킷 키 생성단계(S01) 이후, 네트워크 트래픽의 패킷에 대해 생성된 KEY 데이터별로 트래픽의 패킷을 처리할 프로세스 또는 쓰래드를 할당하는 프로세스 또는 쓰래드 할당단계(S02);
상기 세션 테이블 생성단계(S03)에서 세션테이블이 생성된 이후, 유입되는 패킷에 포함된 행위들의 규칙성을 산출하여 세션을 구분하고 구분된 세션별로 포함되는 세션의 행위정보들을 추출하는 세션행위정보 추출단계(S04);
상기 행위패턴 분석단계(S07) 이후, 상기 행위패턴 분석단계에 의하여 새로 등록되는 행위패턴정보로 판별한 경우 행위분석엔진에 추가하여 등록하는 행위패턴정보 등록단계(S08); 및
상기 행위패턴정보 등록단계(S08) 이후, 소정의 유입되는 패킷들을 이용하여 상기 패킷 키 생성단계(S01)부터 행위패턴정보 등록단계(S08)까지 소정 패킷들에 대해 반복 수행하여 행위분석엔진에 행위패턴정보를 등록하여 탐지기초모델을 형성하는 탐지기초모델 형성단계(S09)를 포함하고,
상기 행위검사 탐지단계(S10)는, 상기 탐지기초모델 형성단계(S09)에 의해 행위분석엔진에 행위패턴정보를 등록하여 탐지기초모델을 형성한 이후 유입되는 패킷에 대해 행위 패턴정보를 검사하며,
상기 세션 테이블 생성단계(S03)는, 네트워크 트래픽의 패킷을 처리할 프로세스 또는 쓰래드에 대한 개별 세션 테이블(Session Table)을 생성하는데, 멀티 프로세스 또는 멀티 쓰래드에 대한 세션테이블을 생성하는 것을 특징으로 하는 네트워크 세션 행위 패턴 모델링 탐지방법.
- 제 1항에 있어서,
상기 행위정보는 세션에 대해서 패킷과 패킷 간의 시간, 흐름, 프로토콜별 특징, 명령어, 데이터 타입, 응답속도, 요청 횟수를 포함하고,
네트워크 트래픽 환경에서의 세션기반 행위정보, 행위유형에 대한 소정의 수치화로 패턴화한 행위패턴정보를 생성하며,
상기 행위유형은 행위정보를 기반으로 규칙성 또는 사용자가 정의한 규칙에 해당하는 행위정보에 대하여 유형으로 분류하는 것을 특징으로 하는 네트워크 세션 행위 패턴 모델링 탐지방법.
- 삭제
- 삭제
- 네트워크 트래픽의 패킷을 처리할 프로세스 또는 쓰래드에 대한 개별 세션 테이블(Session Table)을 생성하는 세션처리엔진;
패킷의 세션 행위정보들을 추출하고, 세션별로 추출된 행위정보들이 조합된 행위패턴정보를 생성하는 행위패턴처리엔진;
행위패턴정보를 등록하여 행위패턴정보를 포함하여 탐지기초모델을 형성하고 탐지기초모델을 이용하여 유입되는 패킷에 대해 행위 패턴정보를 검사하는 행위분석엔진;
을 포함하고,
상기 세션처리엔진은, 네트워크 트래픽의 패킷에 대해 IP정보를 포함한 KEY 데이터를 생성하고, 네트워크 트래픽의 패킷에 대해 생성된 KEY 데이터별로 트래픽의 패킷을 처리할 프로세스 또는 쓰래드를 할당하며, 패킷에 대해 할당된 프로세스 또는 쓰래드에 대한 개별 세션 테이블(Session Table)을 생성하고,
상기 행위패턴처리엔진은, 세션테이블이 생성된 이후 유입되는 패킷에 포함된 행위들의 규칙성을 산출하여 세션을 구분하고 구분된 세션별로 포함되는 세션의 행위정보들을 추출하고, 세션별로 추출된 행위정보에 대하여 소정의 수치로 수치화하며, 세션별로 수치화된 정보 및 행위정보를 포함한 네트워크 트래픽의 패킷정보에 대해 생성되었던 상기 KEY 데이터를 추가하여 조합된 패턴정보를 생성하며,
상기 행위분석엔진은, 행위패턴정보를 전달받아 등록하고, 소정의 유입되는 패킷들을 이용하여 KEY 데이터 생성부터 행위패턴정보를 등록하는 단계까지 소정 패킷들에 대해 반복 수행으로 등록된 행위패턴정보를 포함하여 탐지기초모델을 형성하고 탐지기초모델을 이용하여 유입되는 패킷에 대해 행위 패턴정보를 검사하는 것을 특징으로 하는 네트워크 세션 행위패턴기반 모델링탐지시스템.
- 제 5항에 있어서,
상기 행위정보는 세션에 대해서 패킷과 패킷 간의 시간, 흐름, 프로토콜별 특징, 명령어, 데이터 타입, 응답속도, 요청 횟수를 포함하고,
네트워크 트래픽 환경에서의 세션기반 행위정보, 행위유형에 대한 소정의 수치화로 패턴화한 행위패턴정보를 생성하며,
상기 행위유형은 행위정보를 기반으로 규칙성 또는 사용자가 정의한 규칙에 해당하는 행위정보에 대하여 유형으로 분류하는 것을 특징으로 하는 네트워크 세션 행위패턴기반 모델링탐지시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120123043A KR101410233B1 (ko) | 2012-11-01 | 2012-11-01 | 네트워크 세션 행위 패턴 모델링 탐지방법 및 모델링탐지시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120123043A KR101410233B1 (ko) | 2012-11-01 | 2012-11-01 | 네트워크 세션 행위 패턴 모델링 탐지방법 및 모델링탐지시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20140055762A KR20140055762A (ko) | 2014-05-09 |
| KR101410233B1 true KR101410233B1 (ko) | 2014-06-20 |
Family
ID=50887355
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020120123043A KR101410233B1 (ko) | 2012-11-01 | 2012-11-01 | 네트워크 세션 행위 패턴 모델링 탐지방법 및 모델링탐지시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101410233B1 (ko) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102045772B1 (ko) * | 2015-02-11 | 2019-11-19 | 한국전자통신연구원 | 악성 코드를 탐지하기 위한 전자 시스템 및 방법 |
| KR101796205B1 (ko) * | 2017-04-17 | 2017-11-13 | 주식회사 넷앤드 | 보안 강화를 위해 입력된 명령어 학습 기반 이상 사용자를 탐지하는 서버 접근 통제 시스템 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100656483B1 (ko) * | 2006-02-09 | 2006-12-11 | 삼성전자주식회사 | IPv4-IPv6 네트워크에서의 보안 장치 및 방법 |
| US20100284283A1 (en) * | 2007-12-31 | 2010-11-11 | Telecom Italia S.P.A. | Method of detecting anomalies in a communication system using numerical packet features |
-
2012
- 2012-11-01 KR KR1020120123043A patent/KR101410233B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100656483B1 (ko) * | 2006-02-09 | 2006-12-11 | 삼성전자주식회사 | IPv4-IPv6 네트워크에서의 보안 장치 및 방법 |
| US20100284283A1 (en) * | 2007-12-31 | 2010-11-11 | Telecom Italia S.P.A. | Method of detecting anomalies in a communication system using numerical packet features |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20140055762A (ko) | 2014-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| US10104124B2 (en) | Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program | |
| CN107135093B (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
| US10721244B2 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
| KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
| JP6001689B2 (ja) | ログ分析装置、情報処理方法及びプログラム | |
| CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
| KR101143097B1 (ko) | 패킷 기반 네트워크 보호 방법, 보호 유닛, 보안 경계 노드 및 패킷 기반 네트워크 | |
| Xu et al. | An SDNFV-based DDoS defense technology for smart cities | |
| CN103997489B (zh) | 一种识别DDoS僵尸网络通信协议的方法及装置 | |
| CN104426906A (zh) | 识别计算机网络内的恶意设备 | |
| CN106357685A (zh) | 一种防御分布式拒绝服务攻击的方法及装置 | |
| EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
| CN111600863A (zh) | 网络入侵检测方法、装置、系统和存储介质 | |
| CN108270722A (zh) | 一种攻击行为检测方法和装置 | |
| CN106650425B (zh) | 一种安全沙箱的控制方法及装置 | |
| CN106357660A (zh) | 一种ddos防御系统中检测伪造源ip的方法和装置 | |
| KR20110022141A (ko) | 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법 | |
| KR101210622B1 (ko) | Ip 공유기를 검출하는 방법 및 이를 수행하는 시스템 | |
| KR101410233B1 (ko) | 네트워크 세션 행위 패턴 모델링 탐지방법 및 모델링탐지시스템 | |
| KR102044181B1 (ko) | 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법 | |
| KR102040371B1 (ko) | 네트워크 공격 패턴 분석 및 방법 | |
| CN112422486B (zh) | 一种基于sdk的安全防护方法及设备 | |
| Ogino | Evaluation of machine learning method for intrusion detection system on Jubatus | |
| CN111107035B (zh) | 基于行为辨识的安全态势感知与防护方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E90F | Notification of reason for final refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20180618 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20190617 Year of fee payment: 6 |