KR101444908B1 - Security device storing signature and operating method thereof - Google Patents

Security device storing signature and operating method thereof Download PDF

Info

Publication number
KR101444908B1
KR101444908B1 KR1020130001965A KR20130001965A KR101444908B1 KR 101444908 B1 KR101444908 B1 KR 101444908B1 KR 1020130001965 A KR1020130001965 A KR 1020130001965A KR 20130001965 A KR20130001965 A KR 20130001965A KR 101444908 B1 KR101444908 B1 KR 101444908B1
Authority
KR
South Korea
Prior art keywords
signatures
data packet
data packets
hot
signature
Prior art date
Application number
KR1020130001965A
Other languages
Korean (ko)
Other versions
KR20140089911A (en
Inventor
전수원
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020130001965A priority Critical patent/KR101444908B1/en
Publication of KR20140089911A publication Critical patent/KR20140089911A/en
Application granted granted Critical
Publication of KR101444908B1 publication Critical patent/KR101444908B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Abstract

본 발명은 보안 장치 및 그것의 동작 방법에 관한 것이다. 본 발명의 실시 예에 따른 보안 장치의 동작 방법은 관리 대상의 복수의 애플리케이션들에 각각 대응하는 복수의 시그니처들을 저장하는 단계, 소정의 시간 동안에 호스트 컴퓨터와 인터넷 망 사이에서 통신되는 제 1 데이터 패킷들을 모니터링하여 제 1 데이터 패킷들에 대응하는 시그니처들을 검출하는 단계, 그리고 검출된 시그니처들을 핫(hot) 시그니처들로서 정의하는 단계를 포함한다. 핫 시그니처들이 정의된 이후에 호스트 컴퓨터와 인터넷 망 사이에서 통신되는 제 2 데이터 패킷은 핫 시그니처들에 대응하는지 여부에 따라 처리된다.The present invention relates to a security device and a method of operation thereof. A method of operating a security device in accordance with an embodiment of the present invention includes storing a plurality of signatures each corresponding to a plurality of applications to be managed, generating first data packets communicated between the host computer and the Internet network for a predetermined time Monitoring and detecting signatures corresponding to the first data packets, and defining the detected signatures as hot signatures. After the hot signatures are defined, the second data packet communicated between the host computer and the Internet network is processed according to whether it corresponds to hot signatures.

Description

시그니처를 저장하는 보안 장치 및 그것의 동작 방법{SECURITY DEVICE STORING SIGNATURE AND OPERATING METHOD THEREOF}TECHNICAL FIELD [0001] The present invention relates to a security device for storing signatures,

본 발명은 전자 기기에 관한 것으로서, 좀 더 구체적으로는 보안 장치 및 그것의 동작 방법에 관한 것이다.The present invention relates to an electronic apparatus, and more particularly, to a security apparatus and a method of operating the same.

현재 컴퓨터에서 사용하는 거의 모든 애플리케이션은 인터넷 망 등의 네트워크 자원을 사용하며, 수많은 애플리케이션들의 트래픽들이 인터넷 망을 통해 흐르면서 의도에 의해 또는 의도치 않게 여러 가지 문제를 야기한다. 따라서, 컴퓨터와 인터넷 망 사이의 트래픽을 관리하는 관리자는 해당 트래픽이 어떤 애플리케이션에 의해 발생되는 것인지 판단하여, 애플리케이션들 각각이 인터넷 망에 어떠한 영향을 끼치고 있으며 이러한 애플리케이션들에 의해 인터넷 망이 사용되는 것을 차단해야하는지 또는 허용해야하는지에 대한 결정을 요구받게 되었다.Nearly every application on a computer currently uses network resources, such as the Internet network, and the traffic of a large number of applications flows through the Internet, causing intentional or unintentional problems. Therefore, the administrator managing the traffic between the computer and the Internet network determines which application is generating the traffic, and how each of the applications has an impact on the Internet network and the Internet network is used by these applications It was asked to decide whether to block or allow it.

한편, 데이터 패킷을 발생시키는 애플리케이션을 식별하기 위하여, 시그니처에 기반을 둔 식별 기술이 있다. 이는 사전에 각 애플리케이션에 대한 시그니처를 저장하고, 데이터 패킷이 발생되면 미리 저장된 시그니처와 데이터 패킷을 비교하여 매칭되는 경우 해당 애플리케이션을 식별하는 방법이다. 이때, 애플리케이션을 식별하는 것을 미리 저장된 시그니처에 기반하므로, 미리 저장된 시그니처들이 많으면 비교 연산에 상대적으로 많은 부하가 발생하지만 더 많은 애플리케이션을 식별할 수 있다. 반면, 미리 저장된 시그니처들이 적으면 상대적으로 비교 연산에 적은 부하가 발생하지만 적은 애플리케이션만을 식별할 수 있다. 예를 들면, N개의 애플리케이션들에 대해 N개의 시그니처들이 저장되는 경우, 데이터 패킷이 발생되면 최대 N 번의 비교 연산들을 수행해야 하며, 시그니처들의 개수가 증가하면 수행되는 비교 연산들의 횟수도 증가할 것이다.On the other hand, in order to identify the application that generates the data packet, there is a signature based identification technique. This is a method of storing a signature for each application in advance, comparing a previously stored signature with a data packet when a data packet is generated, and identifying the corresponding application when matching. At this time, since the identification of the application is based on the pre-stored signature, if there are a large number of pre-stored signatures, comparatively large load is applied to the comparison operation, but more applications can be identified. On the other hand, if there are few pre-stored signatures, relatively few applications can be identified but relatively few applications can be identified. For example, if N signatures are stored for N applications, a maximum of N comparison operations must be performed when a data packet is generated, and the number of comparison operations performed when the number of signatures is increased will also increase.

본 발명의 실시 예는 데이터 패킷과 시그니처들 사이의 비교 연산들의 횟수를 감소시키면서도 애플리케이션 식별에 대한 신뢰성은 유지하기 위한 것이다.Embodiments of the present invention are intended to maintain reliability for application identification while reducing the number of comparison operations between data packets and signatures.

본 발명의 실시 예에 따른 보안 장치의 동작 방법은 관리 대상의 복수의 애플리케이션들에 각각 대응하는 복수의 시그니처들을 저장하는 단계; 소정의 시간 동안에 호스트 컴퓨터와 인터넷 망 사이에서 통신되는 제 1 데이터 패킷들을 모니터링하여, 상기 복수의 시그니처들 중에서 상기 제 1 데이터 패킷들에 대응하는 시그니처들을 검출하는 단계; 및 상기 소정의 시간이 경과할 때, 상기 검출된 시그니처들을 핫(hot) 시그니처들로서 정의하는 단계를 포함한다. 상기 핫 시그니처들이 정의된 이후에 상기 호스트 컴퓨터와 상기 인터넷 망 사이에서 통신되는 제 2 데이터 패킷은 상기 핫 시그니처들에 대응하는지 여부에 따라 처리된다.A method of operating a security device according to an embodiment of the present invention includes: storing a plurality of signatures each corresponding to a plurality of applications to be managed; Monitoring first data packets communicated between the host computer and the Internet network for a predetermined period of time to detect signatures corresponding to the first data packets from the plurality of signatures; And defining the detected signatures as hot signatures when the predetermined time has elapsed. After the hot signatures are defined, a second data packet communicated between the host computer and the Internet network is processed according to whether it corresponds to the hot signatures.

실시 예로서, 상기 정의하는 단계는 상기 복수의 시그니처들 중 상기 검출된 시그니처들을 핫 시그니처들로 정의하고, 나머지 시그니처들을 콜드(cold) 시그니처들로 정의하는 단계를 포함한다. 상기 제 2 데이터 패킷이 상기 콜드 시그니처들에 대응하는지 여부에 대한 판단은 생략될 것이다.In an embodiment, the defining step includes defining the detected signatures of the plurality of signatures as hot signatures and the remaining signatures as cold signatures. The determination as to whether or not the second data packet corresponds to the cold signatures will be omitted.

실시 예로서, 상기 제 2 데이터 패킷이 상기 핫 시그니처들 중 어느 하나에 대응할 때 상기 제 2 데이터 패킷은 차단되고, 상기 제 2 데이터 패킷이 상기 핫 시그니처들에 대응하지 않을 때 상기 제 2 데이터 패킷은 허용될 수 있다.As an embodiment, the second data packet is blocked when the second data packet corresponds to one of the hot signatures, and the second data packet is not sent when the second data packet does not correspond to the hot signatures Can be allowed.

실시 예로서, 상기 소정의 시간 동안에 상기 호스트 컴퓨터는 상기 인터넷 망의 하나의 세션(session)을 통해 제 3 데이터 패킷들을 통신하고, 상기 제 3 데이터 패킷들은 상기 제 1 데이터 패킷들에 포함될 수 있다. 상기 시그니처들을 검출하는 단계는 상기 제 3 데이터 패킷들 각각이 순차적으로 수신될 때마다 상기 복수의 시그니처들 중 해당 데이터 패킷에 대응하는 시그니처가 존재하는지 판별하는 판별 단계; 상기 판별 단계가 수행될 때마다 카운트 값을 증가시키는 단계를 포함할 것이다. 이때, 상기 카운트 값이 소정의 임계값보다 커질 때, 상기 제 3 데이터 패킷들 중 아직 수신되지 않은 나머지 데이터 패킷들에 대한 상기 판별 단계는 생략되고 상기 복수의 시그니처들 중 상기 제 3 데이터 패킷들에 대응하는 시그니처는 존재하지 않는 것으로 취급된다.As an embodiment, during the predetermined time, the host computer may communicate third data packets over one session of the Internet network, and the third data packets may be included in the first data packets. Wherein the detecting of the signatures comprises: discriminating whether there is a signature corresponding to the corresponding data packet among the plurality of signatures each time the respective third data packets are sequentially received; And incrementing the count value each time the discrimination step is performed. At this time, when the count value becomes larger than a predetermined threshold value, the discriminating step for the remaining data packets not yet received among the third data packets is omitted and the third data packets of the plurality of signatures The corresponding signature is treated as nonexistent.

본 발명의 다른 일면은 보안 장치에 관한 것이다. 본 발명의 실시 예에 따른 보안 장치는 관리 대상의 복수의 애플리케이션들에 각각 대응하는 복수의 시그니처들을 저장하도록 구성되는 저장 유닛; 소정의 시간 동안에 상기 호스트 컴퓨터와 상기 인터넷 망 사이에서 통신되는 제 1 데이터 패킷들을 모니터링하여 상기 복수의 시그니처들 중에서 상기 제 1 데이터 패킷들에 대응하는 시그니처들을 검출하고, 상기 소정의 시간이 경과할 때 상기 검출된 시그니처들을 핫(hot) 시그니처들로서 설정하도록 구성되는 시그니처 관리 유닛; 및 상기 호스트 컴퓨터와 상기 인터넷 망 사이에서 통신되는 제 2 데이터 패킷이 상기 저장 유닛 내의 상기 핫 시그니처들에 대응하는지 여부를 판별하고, 판별 결과에 따라 상기 제 2 데이터 패킷을 처리하도록 구성되는 데이터 패킷 처리 유닛을 포함한다.Another aspect of the present invention relates to a security device. A security device according to an embodiment of the present invention includes a storage unit configured to store a plurality of signatures respectively corresponding to a plurality of applications to be managed; Monitoring the first data packets communicated between the host computer and the Internet network for a predetermined time to detect signatures corresponding to the first data packets from the plurality of signatures, A signature management unit configured to set the detected signatures as hot signatures; And a data packet processing unit configured to determine whether a second data packet communicated between the host computer and the Internet network corresponds to the hot signatures in the storage unit and to process the second data packet according to the determination result Unit.

실시 예로서, 상기 시그니처 관리 유닛은 상기 복수의 시그니처들 중 상기 검출된 시그니처들을 핫 시그니처들로 설정하고, 나머지 시그니처들을 콜드(cold) 시그니처들로 설정한다. 이때, 상기 시그니처 관리 유닛은 상기 제 2 데이터 패킷이 상기 콜드 시그니처들에 대응하는지 여부에 대한 판단을 생략한다.In an embodiment, the signature management unit sets the detected ones of the plurality of signatures to hot signatures and sets the remaining signatures to cold signatures. At this time, the signature management unit skips the determination as to whether or not the second data packet corresponds to the cold signatures.

실시 예로서, 상기 시그니처 관리 유닛은 상기 제 2 데이터 패킷이 상기 핫 시그니처들 중 어느 하나에 대응할 때 상기 제 2 데이터 패킷을 차단하고, 상기 제 2 데이터 패킷이 상기 핫 시그니처들에 대응하지 않을 때 상기 제 2 데이터 패킷을 허용할 수 있다.In an embodiment, the signature management unit blocks the second data packet when the second data packet corresponds to one of the hot signatures, and when the second data packet does not correspond to the hot signatures, The second data packet can be accepted.

실시 예로서, 상기 소정의 시간 동안에 상기 호스트 컴퓨터는 상기 인터넷 망의 하나의 세션(session)을 통해 제 3 데이터 패킷들을 통신하고, 상기 제 3 데이터 패킷들은 상기 제 1 데이터 패킷들에 포함될 수 있다. 이때, 상기 시그니처 관리 유닛은 상기 제 3 데이터 패킷들 각각이 순차적으로 수신될 때마다 상기 복수의 시그니처들 중 해당 데이터 패킷에 대응하는 시그니처가 존재하는지 판별하고, 상기 판별 단계가 수행될 때마다 카운트 값을 증가시킬 수 있다. 그리고, 상기 카운트 값이 소정의 임계값보다 커질 때, 상기 제 3 데이터 패킷들 중 아직 수신되지 않은 나머지 데이터 패킷들에 대한 상기 판별 동작은 생략된다.As an embodiment, during the predetermined time, the host computer may communicate third data packets over one session of the Internet network, and the third data packets may be included in the first data packets. At this time, the signature management unit determines whether there is a signature corresponding to the corresponding data packet among the plurality of signatures each time the third data packets are sequentially received, and when the determination step is performed, Can be increased. And, when the count value becomes larger than a predetermined threshold value, the discriminating operation for remaining data packets not yet received among the third data packets is omitted.

본 발명의 실시 예에 따르면, 데이터 패킷과 시그니처들 사이의 비교 연산들의 횟수를 감소시키면서도 애플리케이션 식별에 대한 신뢰성은 유지된다.According to an embodiment of the present invention, reliability of application identification is maintained while reducing the number of comparison operations between data packets and signatures.

도 1은 본 발명의 실시 예에 따른 보안 장치를 포함하는 네트워크를 보여주는 블록도이다.
도 2는 본 발명의 실시 예에 따른 보안 장치를 보여주는 블록도이다.
도 3은 본 발명의 실시 예에 따른 시그니처 관리 유닛의 동작 방법을 보여주는 순서도이다.
도 4는 저장 유닛에 저장된 시그니처들을 개념적으로 보여주는 도면이다.
도 5는 도 2의 데이터 패킷 처리 유닛의 동작 방법을 보여주는 순서도이다.
도 6은 시그니처 관리 유닛의 동작 방법의 실시 예를 보여주는 순서도이다.1 is a block diagram illustrating a network including a security device according to an embodiment of the present invention.
2 is a block diagram illustrating a security device according to an embodiment of the present invention.
3 is a flowchart showing an operation method of a signature management unit according to an embodiment of the present invention.
4 is a conceptual illustration of the signatures stored in the storage unit.
5 is a flow chart showing a method of operation of the data packet processing unit of FIG.
6 is a flowchart showing an embodiment of an operation method of the signature management unit.

본 발명의 이점 및 특징, 그리고 그것을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 통해 설명될 것이다. 그러나 본 발명은 여기에서 설명되는 실시 예들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 단지, 본 실시 예들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여 제공되는 것이다.BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention, and how to accomplish it, will be described with reference to the embodiments described in detail below with reference to the accompanying drawings. However, the present invention is not limited to the embodiments described herein but may be embodied in other forms. The embodiments are provided so that those skilled in the art can easily carry out the technical idea of the present invention to those skilled in the art.

명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "간접적으로 연결"되어 있는 경우도 포함한다. 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
Throughout the specification, when a part is referred to as being "connected" to another part, it includes not only "directly connected" but also "indirectly connected" . Throughout the specification, when an element is referred to as "comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise.

도 1은 본 발명의 실시 예에 따른 보안 장치(110)를 포함하는 네트워크(100)를 보여주는 블록도이다.1 is a block diagram illustrating a network 100 including a security device 110 in accordance with an embodiment of the present invention.

도 1을 참조하면, 네트워크(100)는 호스트 컴퓨터(PC), 보안 장치(110), 인터넷 망(120) 및 복수의 서버 컴퓨터들(141~14n)을 포함한다.Referring to FIG. 1, a network 100 includes a host computer (PC), a security device 110, an Internet network 120, and a plurality of server computers 141 to 14n.

호스트 컴퓨터(PC)는 보안 장치(110)를 통해 인터넷 망(120)에 연결된다. 호스트 컴퓨터(PC)는 복수의 애플리케이션들을 이용하여 통신할 수 있다. 이때, 애플리케이션은 호스트 컴퓨터(PC)에서 구동되며 인터넷 망(120)에 트래픽을 발생시키는 프로그램을 의미하는 것으로서, 호스트 컴퓨터(PC) 상에서 구동되는 소프트웨어이다. 호스트 컴퓨터(PC) 상에서 애플리케이션이 구동될 때, 애플리케이션은 인터넷 망(120)으로 데이터 패킷들을 발생시키는 한편 인터넷 망(120)을 통하여 전송되는 데이터 패킷들을 제공받아 해당 서버 컴퓨터와 접속할 것이다.The host computer (PC) is connected to the Internet network 120 via the security device 110. The host computer (PC) can communicate using a plurality of applications. In this case, the application is a program that is driven by a host computer (PC) and generates traffic in the Internet network 120, and is software running on a host computer (PC). When an application is run on a host computer (PC), an application generates data packets to the Internet network 120 and receives data packets transmitted through the Internet network 120 to access the server computer.

한편, 서로 다른 애플리케이션들이 발생하는 데이터 패킷들은 서로 다른 시그니처들에 대응할 수 있다. 시그니처는 데이터 패킷이 어떤 애플리케이션에 의해 발생되었는지 여부를 식별할 수 있는 특징, 예를 들면 일정한 데이터 패턴을 의미한다.On the other hand, data packets generated by different applications may correspond to different signatures. A signature means a characteristic, e.g., a constant data pattern, that can identify whether a data packet has been generated by an application.

보안 장치(110)는 호스트 컴퓨터(PC)에 송수신되는 데이터 패킷들을 관리하도록 구성된다. 보안 장치(110)에는, 사전에 복수의 시그니처들이 저장되어 있다. 복수의 시그니처들은 관리 대상이 되는 복수의 애플리케이션들에 각각 대응한다. 즉, 각 시그니처는 해당 애플리케이션에 의해 생성되는 일정한 데이터 패턴을 포함하며, 그러므로 해당 데이터 패킷이 어떤 애플리케이션에 의해 발생되었는지 판별하는 데에 이용될 수 있다. 보안 장치(110)는 호스트 컴퓨터(PC)와 인터넷 망(120) 사이에서 데이터 패킷이 통신될 때 해당 데이터 패킷을 시그니처와 비교함으로써 관리 대상이 되는 애플리케이션에 의해 호스트 컴퓨터(PC)가 해당 서버 컴퓨터에 접속하고 있는지 여부를 판별할 수 있다. 보안 장치(110)의 구성에 대해서는, 도 2를 참조하여 더 상세히 설명된다.The security device 110 is configured to manage data packets transmitted to and received from a host computer (PC). In the security device 110, a plurality of signatures are stored in advance. The plurality of signatures correspond to a plurality of applications to be managed, respectively. That is, each signature contains a certain data pattern generated by the application, and thus can be used to determine which application the data packet was generated by. When the data packet is communicated between the host computer (PC) and the Internet network 120, the security device 110 compares the data packet with the signature, so that the host computer (PC) It is possible to determine whether or not the connection is established. The configuration of the security device 110 will be described in more detail with reference to FIG.

제 1 내지 제 n 서버 컴퓨터들(141~14n)은 인터넷 망(120) 및 보안 장치(110)를 통하여 호스트 컴퓨터(PC)에 연결된다. 제 1 내지 제 n 서버 컴퓨터들(141~14n)은, 예를 들면 각각 호스트 컴퓨터(PC)에서 구동되는 복수의 애플리케이션들에 대응할 수 있다. 즉, 호스트 컴퓨터(PC)에서 구동되는 각 애플리케이션은 서로 다른 서버 컴퓨터와 데이터 패킷들을 교환함으로써 해당 서버 컴퓨터에 접속할 수 있다.
The first to nth server computers 141 to 14n are connected to the host computer PC through the Internet network 120 and the security device 110. [ The first to nth server computers 141 to 14n may correspond to a plurality of applications, for example, each of which is driven by a host computer (PC). That is, each application running on the host computer (PC) can access the server computer by exchanging data packets with different server computers.

도 2는 본 발명의 실시 예에 따른 보안 장치(110)를 보여주는 블록도이다.2 is a block diagram illustrating a security device 110 in accordance with an embodiment of the present invention.

도 2를 참조하면, 보안 장치(110)는 전처리기(210), 시그니처 관리 유닛(220), 저장 유닛(230), 데이터 패킷 처리 유닛(240) 및 분석기(250)를 포함한다.Referring to FIG. 2, the security device 110 includes a preprocessor 210, a signature management unit 220, a storage unit 230, a data packet processing unit 240, and an analyzer 250.

전처리기(210)는 데이터 패킷들(DP)을 수신한다. 이때, 각 데이터 패킷은 인터넷 망(120)을 통해 호스트 컴퓨터(PC)로 전송되는 하향 데이터 패킷일 수도 있고, 호스트 컴퓨터(PC)로부터 인터넷 망(120)을 통해 전송되는 상향 데이터 패킷일 수도 있다. 전처리기(210)는 특정 프로토콜에 해당하는 데이터 패킷들(DP)만을 통과시킬 수 있다. 실시 예로서, 전처리기(210)는 HTTP(hypertext transfer protocol) 통신 규약에 해당하는 데이터 패킷들(DP)만을 통과시킬 수 있다. 전처리기(210)는 데이터 패킷들(DP)을 시그니처 관리 유닛(220) 및 데이터 패킷 처리 유닛(240)에 전송한다.The preprocessor 210 receives the data packets DP. In this case, each data packet may be a downlink data packet transmitted to the host computer (PC) through the Internet network 120 or an uplink data packet transmitted from the host computer (PC) through the Internet network 120. The preprocessor 210 may pass only data packets DP corresponding to a specific protocol. As an embodiment, the preprocessor 210 may pass only data packets DP corresponding to a hypertext transfer protocol (HTTP) communication protocol. The preprocessor 210 sends the data packets DP to the signature management unit 220 and the data packet processing unit 240.

시그니처 관리 유닛(220)은 데이터 패킷들(DP)을 수신하고, 시그니처 테이블(T) 내의 복수의 시그니처들(sg1~sgN) 중 데이터 패킷들(DP)에 대응하는 시그니처들을 검출한다. 예를 들면, 각 데이터 패킷이 수신될 때마다 해당 데이터 패킷과 복수의 시그니처들(sg1~sgN) 사이에 문자열 비교를 수행함으로써 데이터 패킷들(DP)에 대응하는 시그니처들이 검출될 수 있다.The signature management unit 220 receives the data packets DP and detects signatures corresponding to the data packets DP among the plurality of signatures sg1 to sgN in the signature table T. [ Signatures corresponding to the data packets DP can be detected, for example, by performing a string comparison between the data packet and the plurality of signatures sg1 through sgN each time a data packet is received.

데이터 패킷들(DP)은 소정의 시간 동안에 수신되는 패킷들일 것이다. 즉, 검출 동작은 소정의 시간 단위로 수신되는 데이터 패킷들(DP)에 대해 수행된다. 실시 예로서, 이러한 소정의 시간은 보안 장치(110)의 사용자에 의해, 예를 들면 일주일 또는 한달과 같이 설정될 수 있다.The data packets DP will be packets received for a predetermined time. That is, the detection operation is performed on data packets DP received on a predetermined time basis. By way of example, this predetermined time may be set by the user of the security device 110, such as a week or a month.

소정의 시간이 경과하면, 시그니처 관리 유닛(220)은 검출된 시그니처들이 핫 시그니처들로 설정되도록 저장 유닛(230)을 제어한다. 시그니처 테이블(T) 내의 시그니처들(sg1~sgN) 중 핫 시그니처들이 아닌 시그니처들은 콜드 시그니처들로서 정의될 수 있다.When a predetermined time has elapsed, the signature management unit 220 controls the storage unit 230 so that the detected signatures are set to the hot signatures. Signatures that are not hot signatures in the signatures (sg1 to sgN) in the signature table (T) can be defined as cold signatures.

시그니처들을 검출하는 동작 및 검출된 시그니처들을 핫 시그니처들로 설정하는 동작은, 상술한 바와 같이 소정의 시간 단위로 반복될 것이다.The operation of detecting signatures and the operation of setting detected signatures to hot signatures will be repeated in a predetermined time unit as described above.

저장 유닛(230)은 시그니처 관리 유닛(220) 및 데이터 패킷 처리 유닛(240)에 연결된다. 저장 유닛(230)은 시그니처 테이블(230)을 저장하도록 구성된다. 시그니처 테이블(230)에는 복수의 애플리케이션들에 각각 대응하는 복수의 시그니처들(sg1~sgN)이 저장된다. 실시 예로서, 저장 유닛(230)은 SRAM (Static RAM), DRAM (Dynamic RAM), SDRAM (Synchronous DRAM) 등 다양한 저장 매체들 중 적어도 하나일 수 있다.The storage unit 230 is connected to the signature management unit 220 and the data packet processing unit 240. The storage unit 230 is configured to store the signature table 230. The signature table 230 stores a plurality of signatures sg1 to sgN corresponding to a plurality of applications, respectively. As an example, the storage unit 230 may be at least one of various storage media such as SRAM (Static RAM), DRAM (Dynamic RAM), SDRAM (Synchronous DRAM) and the like.

데이터 패킷 처리 유닛(240)은 데이터 패킷들(DP)을 수신한다. 또한, 데이터 패킷 처리 유닛(240)은 저장 유닛(230)으로부터 시그니처 테이블(T) 중 핫 시그니처들을 수신한다. 데이터 패킷들(DP) 각각이 수신될 때마다, 데이터 패킷 처리 유닛(240)은 해당 데이터 패킷이 각각의 핫 시그니처에 대응하는지 판별한다. 이때, 데이터 패킷 처리 유닛(240)은 해당 데이터 패킷을 콜드 시그니처들과 비교하지 않는다. 즉, 콜드 시그니처들과의 비교는 생략된다. 이에 따라, 데이터 패킷 처리 유닛(240)의 비교 연산에 수행되는 시간은 단축되고, 결과적으로 데이터 패킷들(DP)에 대한 처리 시간은 단축된다.The data packet processing unit 240 receives the data packets DP. The data packet processing unit 240 also receives hot signatures from the signature table T from the storage unit 230. [ Each time data packets DP are received, the data packet processing unit 240 determines whether the corresponding data packet corresponds to each hot signature. At this time, the data packet processing unit 240 does not compare the data packet with the cold signatures. That is, the comparison with the cold signatures is omitted. Thus, the time taken for the comparison operation of the data packet processing unit 240 is shortened, and as a result, the processing time for the data packets DP is shortened.

실시 예로서, 해당 데이터 패킷이 임의의 핫 시그니처에 대응하는 경우, 해당 데이터 패킷은 예를 들면 차단될 것이다. 해당 데이터 패킷이 어떤 핫 시그니처에도 대응하지 않는 경우, 해당 데이터 패킷은 예를 들면 허용될 것이다. 허용되는 경우, 데이터 패킷 처리 유닛(240)은 해당 데이터 패킷을 외부로 전송할 것이다.As an example, if the data packet corresponds to any hot signature, the data packet will be blocked, for example. If the data packet does not correspond to any hot signature, the data packet will be allowed, for example. If allowed, the data packet processing unit 240 will send the data packet out.

분석기(250)는 데이터 패킷 처리 유닛(240)의 처리 결과를 로그 정보로 생성한다. 이러한 로그 정보는 보안 장치(110)의 사용자에게, 예를 들면 디스플레이(display) 장치를 통해 알려질 수 있다. 또는, 이러한 로그 정보는 저장 유닛(230) 또는 별도의 저장 매체(미도시)에 저장될 수 있다.The analyzer 250 generates the processing result of the data packet processing unit 240 as log information. Such log information may be known to a user of the security device 110, for example, via a display device. Alternatively, such log information may be stored in the storage unit 230 or a separate storage medium (not shown).

도 1에서, 전처리기(210), 시그니처 관리 유닛(220), 데이터 패킷 처리 유닛(240) 및 분석기(250)는 복수의 물리적 장치들에 의해 구현될 수도 있고, 하나의 물리적 장치에 의해 구현될 수도 있음이 이해될 것이다. 예를 들면, 전처리기(210), 시그니처 관리 유닛(220), 데이터 패킷 처리 유닛(240) 및 분석기(250) 각각은 소프트웨어(software) 또는 펌웨어(firmware)를 이용하는 등 다양한 방식들을 이용하여 구현될 수 있다.1, the preprocessor 210, the signature management unit 220, the data packet processing unit 240 and the analyzer 250 may be implemented by a plurality of physical devices and may be implemented by one physical device It will be understood that it is possible. For example, each of the preprocessor 210, the signature management unit 220, the data packet processing unit 240, and the analyzer 250 may be implemented using various methods, such as using software or firmware .

본 발명의 실시 예에 따르면, 다수의 시그니처들(sg1~sgN)이 저장되는 한편, 데이터 패킷들(DP)이 콜드 시그니처들과 비교되지 않고 핫 시그니처들과만 비교되므로, 비교 연산에 수행되는 시간이 단축되어 데이터 패킷의 처리 시간이 단축되면서도, 애플리케이션 식별에 대한 신뢰성은 유지된다.
According to the embodiment of the present invention, since the plurality of signatures sg1 to sgN are stored while the data packets DP are compared with the hot signatures without being compared with the cold signatures, Is shortened and the processing time of the data packet is shortened, the reliability of the application identification is maintained.

도 3은 본 발명의 실시 예에 따른 시그니처 관리 유닛(220)의 동작 방법을 보여주는 순서도이다.3 is a flowchart showing an operation method of the signature management unit 220 according to an embodiment of the present invention.

도 2 및 도 3을 참조하면, S110단계에서, 시그니처 관리 유닛(220)에 데이터 패킷이 수신된다. S120단계에서, 시그니처 관리 유닛(220)은 시그니처 테이블(T) 내에 해당 데이터 패킷에 대응하는 시그니처가 존재하는지 여부를 판별한다. S130단계에서, 시그니처 관리 유닛(220)은 판별 결과에 따라 시그니처를 검출한다. 검출된 시그니처에 대한 정보는, 예를 들면 저장 유닛(230)에 임시 저장될 수 있다.Referring to FIGS. 2 and 3, in step S110, a data packet is received in the signature management unit 220. FIG. In step S120, the signature management unit 220 determines whether or not there is a signature corresponding to the data packet in the signature table (T). In step S130, the signature management unit 220 detects the signature according to the determination result. Information on the detected signature can be temporarily stored in the storage unit 230, for example.

S140단계에서, 시그니처 관리 유닛(220)은 소정의 시간이 경과되었는지 여부를 판별한다. 소정의 시간이 경과된 경우, S150단계가 수행된다. 아직 소정의 시간이 경과되지 않은 경우, S110단계가 수행된다. 즉, S110단계 내지 S140단계는 소정의 시간 동안에 데이터 패킷이 수신될 때마다 반복적으로 수행된다.In step S140, the signature management unit 220 determines whether or not a predetermined time has elapsed. If the predetermined time has elapsed, step S150 is performed. If the predetermined time has not elapsed yet, step S110 is performed. That is, steps S110 to S140 are repeatedly performed each time a data packet is received for a predetermined time.

S150단계에서, 시그니처 관리 유닛(220)은 소정의 시간 동안에 검출된 시그니처들을 핫 시그니처들로 설정한다. 실시 예로서, 시그니처 관리 유닛(220)은 검출된 시그니처들에 대응하는 플래그 값들을 저장함으로써 검출된 시그니처들을 핫 시그니처들로 설정할 수 있다. 예를 들면, 시그니처 관리 유닛(220)은 핫 시그니처들의 플래그 값들을 "1"로 저장하고, 콜드 시그니처들의 플래그 값들을 "0"으로 저장할 수 있다. 이 밖에도, 시그니처 관리 유닛(220)은 다양한 방법들을 통해 저장 유닛(230)에 저장된 시그니처들(sg1~sgN)을 핫 시그니처들과 콜드 시그니처들로 구분할 것이다.
In step S150, the signature management unit 220 sets the signatures detected during the predetermined time to the hot signatures. As an example, the signature management unit 220 may set the detected signatures to hot signatures by storing flag values corresponding to the detected signatures. For example, the signature management unit 220 may store the flag values of the hot signatures as "1 " and the flag values of the cold signatures as" 0 ". In addition, the signature management unit 220 may divide the signatures sg1 through sgN stored in the storage unit 230 into hot signatures and cold signatures through various methods.

도 4는 저장 유닛(220)에 저장된 시그니처들(sg1~sg100)을 개념적으로 보여주는 도면이다.4 is a diagram conceptually showing the signatures sg1 to sg100 stored in the storage unit 220. As shown in Fig.

도 4를 참조하면, 저장 유닛(220)에는 제 1 내지 제 100 시그니처들(sg1~sg100)이 저장되어 있다. 시그니처 관리 유닛(220)에 의해 제 1 내지 제 100 시그니처들(sg1~sg100)은 핫 시그니처들(hsg)과 콜드 시그니처들(csg)로 구분될 수 있다.Referring to FIG. 4, the storage unit 220 stores first through 100th signatures sg1 through sg100. The signature management unit 220 divides the first to the hundredth signatures sg1 to sg100 into the hot signatures hsg and the cold signatures csg.

본 발명의 실시 예에 따르면, 저장 유닛(220)에는 다수의 시그니처들(sg1~sg100)이 저장되면서도, 그 중 일부인 핫 시그니처들(hsg)만 데이터 패킷과 비교된다.
According to the embodiment of the present invention, a plurality of signatures sg1 to sg100 are stored in the storage unit 220, and only hot signatures hsg, which are a part thereof, are compared with the data packet.

도 5는 도 2의 데이터 패킷 처리 유닛(240)의 동작 방법을 보여주는 순서도이다.5 is a flowchart showing a method of operating the data packet processing unit 240 of FIG.

도 2, 도 4 및 도 5를 참조하면, S210단계에서, 데이터 패킷 처리 유닛(240)에 데이터 패킷이 수신된다. S220단계에서, 데이터 패킷 처리 유닛(240)은 해당 데이터 패킷이 적어도 하나의 핫 시그니처에 대응하는지 여부를 판별한다. 여기에서, 콜드 시그니처에 대한 판별 동작은 생략된다.Referring to FIGS. 2, 4 and 5, in step S210, a data packet is received in the data packet processing unit 240. FIG. In step S220, the data packet processing unit 240 determines whether or not the corresponding data packet corresponds to at least one hot signature. Here, the discriminating operation for the cold signature is omitted.

해당 데이터 패킷과 대응하는 핫 시그니처가 존재하는 경우, S230단계가 수행된다. 그렇지 않은 경우, S240단계가 수행된다.If there is a hot signature corresponding to the data packet, step S230 is performed. Otherwise, step S240 is performed.

S230단계에서, 데이터 패킷 처리 유닛(240)은 해당 데이터 패킷을 차단한다. S240단계에서, 데이터 패킷 처리 유닛(240)은 해당 데이터 패킷을 허용한다.In step S230, the data packet processing unit 240 blocks the corresponding data packet. In step S240, the data packet processing unit 240 allows the corresponding data packet.

도 5에 도시된 바와 다르게, 해당 데이터 패킷과 대응하는 핫 시그니처가 존재하는지 여부에 따라, 다양한 방법들로 해당 데이터 패킷이 처리될 수 있음이 이해될 것이다. 예를 들면, 해당 데이터 패킷에 대응하는 핫 시그니처가 존재하는 경우, 보안 장치(110)의 사용자에게 해당 사실을 알리고, 사용자의 선택에 따라 해당 데이터 패킷이 차단될 수 있다.
It will be appreciated that, unlike that shown in FIG. 5, the data packet may be processed in a variety of ways depending on whether there is a corresponding hot signature with the data packet. For example, if there is a hot signature corresponding to the data packet, the security device 110 informs the user of the fact that the corresponding data packet is blocked according to the user's selection.

도 6은 시그니처 관리 유닛(220)의 동작 방법의 실시 예를 보여주는 순서도이다.6 is a flowchart showing an embodiment of a method of operation of the signature management unit 220. FIG.

도 6을 참조하면, 시그니처 관리 유닛(220)의 핫 시그니처를 검출하는 동작은 각 세션(session) 별로 수행될 수 있다.Referring to FIG. 6, the operation of detecting the hot signature of the signature managing unit 220 may be performed for each session.

S310단계에서, 하나의 세션 상의 데이터 패킷이 수신된다. 이때, 세션은 해당 애플리케이션이 사용되기 시작한 후부터 사용이 끝나기까지 호스트 컴퓨터(PC, 도 1 참조)와 해당 서버 컴퓨터(예를 들면, 141) 사이의 물리적 및 논리적 연결 경로를 의미한다. 예를 들면, 해당 애플리케이션 상에서 특정한 사용자에 의해 로그인 및 로그아웃이 발생될 때 로그인된 시점부터 로그아웃된 시점까지의 호스트 컴퓨터(PC)와 해당 서버 컴퓨터 사이의 물리적 및 논리적 연결 경로를 의미한다.In step S310, a data packet on one session is received. At this time, the session means a physical and logical connection path between the host computer (PC, see FIG. 1) and the server computer (for example, 141) from when the application starts to be used until its use ends. For example, it means a physical and logical connection path between a host computer (PC) and a corresponding server computer from the time of login to the time of logout when a login or logout occurs by a specific user in the application.

S320단계에서, 시그니처 관리 유닛(220)은 카운트 값을 증가시킨다. 즉, 시그니처 관리 유닛(220)은 카운트 값을 저장하고, 해당 세션을 통해 데이터 패킷이 수신될 때마다 카운트 값을 증가시킬 것이다.In step S320, the signature management unit 220 increments the count value. That is, the signature management unit 220 stores the count value and increases the count value each time a data packet is received through the session.

S330단계에서, 시그니처 관리 유닛(220)은 시그니처 테이블 내의 시그니처들(sg1~sgN, 도 2 참조) 중 해당 데이터 패킷에 대응하는 시그니처가 존재하는지 판별한다. 만약 그렇지 않은 경우, S340단계가 수행된다. 만약 그러한 경우, S350단계가 수행된다. S350단계에서는, 해당 시그니처를 검출한다. 시그니처가 검출되면, 동작은 종료된다.In step S330, the signature management unit 220 determines whether there is a signature corresponding to the corresponding data packet among the signatures (sg1 to sgN, see FIG. 2) in the signature table. If not, step S340 is performed. If so, step S350 is performed. In step S350, the corresponding signature is detected. If a signature is detected, the operation is terminated.

S340단계에서, 시그니처 관리 유닛(220)은 카운트 값이 임계값보다 큰지 여부를 판단한다. 카운트 값이 임계값보다 작거나 같은 경우, S310단계가 수행된다. 카운트 값이 임계값보다 큰 경우 동작은 종료된다. 즉, 해당 세션을 통해 많은 수의 데이터 패킷들이 통신되더라도, 임계 값보다 큰 수의 데이터 패킷들이 통신되는 경우 임계 값을 넘어설 때의 데이터 패킷들은 시그니처들(sg1~sgN)과 비교되지 않는다. 즉, 임계 값을 넘어설 때의 데이터 패킷들과 시그니처들(sg1~sgN) 사이의 비교는 생략되고, 해당 세션 상에서 통신되는 데이터 패킷들에 대응하는 시그니처는 존재하지 않는 것으로 취급될 것이다.In step S340, the signature management unit 220 determines whether the count value is greater than the threshold value. If the count value is less than or equal to the threshold value, step S310 is performed. If the count value is greater than the threshold value, the operation ends. That is, even though a large number of data packets are communicated through the session, when the number of data packets larger than the threshold value is communicated, the data packets at the time of exceeding the threshold value are not compared with the signatures sg1 to sgN. That is, the comparison between the data packets and the signatures sg1 to sgN when crossing the threshold will be skipped and no signatures corresponding to the data packets communicated on that session will be treated as nonexistent.

호스트 컴퓨터(PC)의 애플리케이션이 발생하는 데이터 패킷들 모두가 그 애플리케이션에 해당하는 해당 시그니처를 포함하지 않을 수 있다. 따라서, 해당 애플리케이션을 식별하기 위해서는 적어도 소정의 개수의 데이터 패킷들은 시그니처들(sg1~sgN)과 비교되어야 한다. 그러나, 상대적으로 많은 수의 데이터 패킷들이 통신되는 경우 그 중 먼저 발생되는 일부의 데이터 패킷들만 시그니처들(sg1~sgN)과 비교하더라도 신뢰성이 크게 저하되지 않는다. 따라서, 본 발명의 실시 예에 따르면, 임계 값을 넘어설 때의 데이터 패킷들과 시그니처들(sg1~sgN) 사이의 비교는 생략된다.All of the data packets generated by the application of the host computer (PC) may not include the corresponding signature corresponding to the application. Therefore, in order to identify the application, at least a predetermined number of data packets should be compared with the signatures sg1 to sgN. However, even when a relatively large number of data packets are communicated, only a part of the data packets generated earlier among them are compared with the signatures sg1 to sgN, the reliability is not significantly degraded. Thus, according to an embodiment of the present invention, the comparison between the data packets and the signatures sg1 to sgN when exceeding the threshold is omitted.

이 이후에, 소정의 시간(도 3 참조)이 경과하면 S350단계에서 검출된 시그니처는 시그니처 테이블(T) 내에서 핫 시그니처로 설정될 것이다. 다른 세션에 대해서도, 도 6을 참조하여 설명된 바와 마찬가지로 시그니처가 검출되고, 시그니처 테이블(T) 내에서 핫 시그니처로 설정될 것이다.Thereafter, when the predetermined time (see FIG. 3) has elapsed, the signature detected in step S350 will be set as a hot signature in the signature table T. For another session, a signature will be detected and set to a hot signature in the signature table T as described with reference to Fig.

본 발명의 상세한 설명에서는 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위와 기술적 사상에서 벗어나지 않는 한도 내에서 다양한 변경이 가능하다. 그러므로 본 발명의 범위는 상술한 실시 예에 국한되어 정해져서는 안되며 후술하는 특허청구범위뿐만 아니라 이 발명의 특허청구범위와 균등한 것들에 의해 정해져야 한다.While the invention has been shown and described with reference to certain preferred embodiments thereof, it will be understood by those skilled in the art that various changes and modifications may be made without departing from the spirit and scope of the invention. Therefore, the scope of the present invention should not be limited to the above-described embodiments, but should be determined by the claims equivalent to the claims of the present invention as well as the claims of the following.

PC: 호스트 컴퓨터
110: 보안 장치
120: 인터넷 망
141~14n: 제 1 내지 제 n 서버 컴퓨터들
210: 전처리기
220: 시그니처 관리 유닛
230: 저장 유닛
240: 데이터 패킷 처리 유닛
250: 분석기PC: Host computer
110: Security device
120: Internet network
141 to 14n: first to nth server computers
210: preprocessor
220: Signature management unit
230: storage unit
240: Data packet processing unit
250: Analyzer

Claims (13)

호스트 컴퓨터와 인터넷 망 사이에 제공되는 보안 장치의 동작 방법에 있어서:
관리 대상의 복수의 애플리케이션들에 각각 대응하는 복수의 시그니처들을 저장하는 단계;
소정의 시간 동안에 상기 호스트 컴퓨터와 상기 인터넷 망 사이에서 통신되는 제 1 데이터 패킷들을 모니터링하여, 상기 복수의 시그니처들 중에서 상기 제 1 데이터 패킷들에 대응하는 시그니처들을 검출하는 단계; 및
상기 소정의 시간이 경과할 때, 상기 검출된 시그니처들을 핫(hot) 시그니처들로서 정의하고, 나머지 시그니처들을 콜드(cold) 시그니처들로 정의하는 단계를 포함하며,
상기 핫 시그니처들이 정의된 이후에, 상기 호스트 컴퓨터와 상기 인터넷 망 사이에서 통신되는 제 2 데이터 패킷은 상기 핫 시그니처들에 대응하는지 여부에 따라 처리되고 상기 제 2 데이터 패킷이 상기 콜드 시그니처들에 대응하는지 여부에 대한 판단은 생략되는 동작 방법.A method of operating a security device provided between a host computer and an Internet network, the method comprising:
Storing a plurality of signatures each corresponding to a plurality of applications to be managed;
Monitoring first data packets communicated between the host computer and the Internet network during a predetermined time period to detect signatures corresponding to the first data packets from the plurality of signatures; And
Defining the detected signatures as hot signatures and defining the remaining signatures as cold signatures when the predetermined time has elapsed,
After the hot signatures are defined, a second data packet communicated between the host computer and the Internet network is processed according to whether it corresponds to the hot signatures and whether the second data packet corresponds to the cold signatures The judgment as to whether or not it is omitted is omitted. 삭제delete 삭제delete 제 1 항에 있어서,
상기 제 2 데이터 패킷이 상기 핫 시그니처들 중 어느 하나에 대응할 때 상기 제 2 데이터 패킷은 차단되고,
상기 제 2 데이터 패킷이 상기 핫 시그니처들에 대응하지 않을 때 상기 제 2 데이터 패킷은 허용되는 동작 방법.The method according to claim 1,
The second data packet is blocked when the second data packet corresponds to one of the hot signatures,
Wherein the second data packet is allowed when the second data packet does not correspond to the hot signatures. 제 1 항에 있어서,
상기 소정의 시간 동안에 상기 호스트 컴퓨터는 상기 인터넷 망의 하나의 세션(session)을 통해 제 3 데이터 패킷들을 통신하고,
상기 제 3 데이터 패킷들은 상기 제 1 데이터 패킷들에 포함되는 동작 방법.The method according to claim 1,
Wherein the host computer communicates third data packets over one session of the Internet network during the predetermined time,
Wherein the third data packets are included in the first data packets. 제 5 항에 있어서,
상기 시그니처들을 검출하는 단계는 상기 제 3 데이터 패킷들 각각이 순차적으로 수신될 때마다 상기 복수의 시그니처들 중 해당 데이터 패킷에 대응하는 시그니처가 존재하는지 판별하는 판별 단계;
상기 판별 단계가 수행될 때마다 카운트 값을 증가시키는 단계를 포함하되,
상기 카운트 값이 소정의 임계값보다 커질 때, 상기 제 3 데이터 패킷들 중 아직 수신되지 않은 나머지 데이터 패킷들에 대한 상기 판별 단계는 생략되고 상기 복수의 시그니처들 중 상기 제 3 데이터 패킷들에 대응하는 시그니처는 존재하지 않는 것으로 취급되는 동작 방법.6. The method of claim 5,
Wherein the detecting of the signatures comprises: discriminating whether there is a signature corresponding to the corresponding data packet among the plurality of signatures each time the respective third data packets are sequentially received;
And incrementing the count value each time the determining step is performed,
When the count value is greater than a predetermined threshold value, the discriminating step for remaining data packets not yet received among the third data packets is omitted and the corresponding one of the plurality of signatures corresponding to the third data packets Wherein the signature is treated as nonexistent. 제 1 항에 있어서,
상기 제 1 데이터 패킷들 각각은 HTTP(hypertext transfer protocol) 통신 규약에 기반하여 구성된 동작 방법.The method according to claim 1,
Wherein each of the first data packets is configured based on a hypertext transfer protocol (HTTP) communication protocol. 호스트 컴퓨터와 인터넷 망 사이에 제공되는 보안 장치에 있어서:
관리 대상의 복수의 애플리케이션들에 각각 대응하는 복수의 시그니처들을 저장하도록 구성되는 저장 유닛;
소정의 시간 동안에 상기 호스트 컴퓨터와 상기 인터넷 망 사이에서 통신되는 제 1 데이터 패킷들을 모니터링하여 상기 복수의 시그니처들 중에서 상기 제 1 데이터 패킷들에 대응하는 시그니처들을 검출하고, 상기 소정의 시간이 경과할 때 상기 검출된 시그니처들을 핫(hot) 시그니처들로서 설정하고 나머지 시그니처들을 콜드(cold) 시그니처들로 설정하도록 구성되는 시그니처 관리 유닛; 및
상기 호스트 컴퓨터와 상기 인터넷 망 사이에서 통신되는 제 2 데이터 패킷이 상기 저장 유닛 내의 상기 핫 시그니처들에 대응하는지 여부를 판별하고, 판별 결과에 따라 상기 제 2 데이터 패킷을 처리하도록 구성되는 데이터 패킷 처리 유닛을 포함하되,
상기 데이터 패킷 처리 유닛은 상기 제 2 데이터 패킷이 상기 콜드 시그니처들에 대응하는지 여부에 대한 판단을 생략하는 보안 장치.A security device provided between a host computer and an Internet network, comprising:
A storage unit configured to store a plurality of signatures each corresponding to a plurality of applications to be managed;
Monitoring the first data packets communicated between the host computer and the Internet network for a predetermined time to detect signatures corresponding to the first data packets from the plurality of signatures, A signature management unit configured to set the detected signatures as hot signatures and to set the remaining signatures as cold signatures; And
A data packet processing unit configured to determine whether a second data packet communicated between the host computer and the Internet network corresponds to the hot signatures in the storage unit and to process the second data packet according to the determination result, ≪ / RTI >
The data packet processing unit skipping the determination as to whether the second data packet corresponds to the cold signatures. 삭제delete 삭제delete 제 8 항에 있어서,
상기 시그니처 관리 유닛은 상기 제 2 데이터 패킷이 상기 핫 시그니처들 중 어느 하나에 대응할 때 상기 제 2 데이터 패킷을 차단하고, 상기 제 2 데이터 패킷이 상기 핫 시그니처들에 대응하지 않을 때 상기 제 2 데이터 패킷을 허용하는 보안 장치.9. The method of claim 8,
Wherein the signature management unit blocks the second data packet when the second data packet corresponds to one of the hot signatures, and when the second data packet does not correspond to the hot signatures, . 제 8 항에 있어서,
상기 소정의 시간 동안에 상기 호스트 컴퓨터는 상기 인터넷 망의 하나의 세션(session)을 통해 제 3 데이터 패킷들을 통신하고,
상기 제 3 데이터 패킷들은 상기 제 1 데이터 패킷들에 포함되는 보안 장치.9. The method of claim 8,
Wherein the host computer communicates third data packets over one session of the Internet network during the predetermined time,
Wherein the third data packets are included in the first data packets. 제 12 항에 있어서,
상기 시그니처 관리 유닛은 상기 제 3 데이터 패킷들 각각이 순차적으로 수신될 때마다 상기 복수의 시그니처들 중 해당 데이터 패킷에 대응하는 시그니처가 존재하는지 판별하고, 상기 판별 단계가 수행될 때마다 카운트 값을 증가시키되,
상기 카운트 값이 소정의 임계값보다 커질 때, 상기 제 3 데이터 패킷들 중 아직 수신되지 않은 나머지 데이터 패킷들에 대한 상기 판별 동작은 생략되는 보안 장치.
13. The method of claim 12,
The signature management unit determines whether there is a signature corresponding to the corresponding data packet among the plurality of signatures each time the third data packets are sequentially received, and increments the count value each time the determination step is performed However,
Wherein when the count value is greater than a predetermined threshold value, the discriminating operation for remaining data packets not yet received among the third data packets is omitted.
KR1020130001965A 2013-01-08 2013-01-08 Security device storing signature and operating method thereof KR101444908B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130001965A KR101444908B1 (en) 2013-01-08 2013-01-08 Security device storing signature and operating method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130001965A KR101444908B1 (en) 2013-01-08 2013-01-08 Security device storing signature and operating method thereof

Publications (2)

Publication Number Publication Date
KR20140089911A KR20140089911A (en) 2014-07-16
KR101444908B1 true KR101444908B1 (en) 2014-09-26

Family

ID=51737800

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130001965A KR101444908B1 (en) 2013-01-08 2013-01-08 Security device storing signature and operating method thereof

Country Status (1)

Country Link
KR (1) KR101444908B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060060671A (en) * 2004-10-12 2006-06-05 니폰덴신뎅와 가부시키가이샤 Repeater device, relaying method, relaying program, and network attack protection system
KR100809416B1 (en) * 2006-07-28 2008-03-05 한국전자통신연구원 Appatus and method of automatically generating signatures at network security systems
KR101148705B1 (en) * 2009-05-26 2012-05-23 포항공과대학교 산학협력단 Signature generation apparatus for network behavior of applications, collection server, detection system for network behavior, and signature generation method for network behavior

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060060671A (en) * 2004-10-12 2006-06-05 니폰덴신뎅와 가부시키가이샤 Repeater device, relaying method, relaying program, and network attack protection system
KR100809416B1 (en) * 2006-07-28 2008-03-05 한국전자통신연구원 Appatus and method of automatically generating signatures at network security systems
KR101148705B1 (en) * 2009-05-26 2012-05-23 포항공과대학교 산학협력단 Signature generation apparatus for network behavior of applications, collection server, detection system for network behavior, and signature generation method for network behavior

Also Published As

Publication number Publication date
KR20140089911A (en) 2014-07-16

Similar Documents

Publication Publication Date Title
JP7157222B2 (en) Session security split and application profiler
US11122067B2 (en) Methods for detecting and mitigating malicious network behavior and devices thereof
US10291630B2 (en) Monitoring apparatus and method
US9800594B2 (en) Method and system for detecting unauthorized access attack
US9813451B2 (en) Apparatus and method for detecting cyber attacks from communication sources
CN105577608B (en) Network attack behavior detection method and device
US9596248B2 (en) Trojan detection method and device
US11184387B2 (en) Network attack defense system and method
US20200244676A1 (en) Detecting outlier pairs of scanned ports
JPWO2016006520A1 (en) Detection device, detection method, and detection program
US20190089734A1 (en) Identifying a potential ddos attack using statistical analysis
CN103067199A (en) Depth message detection result diffusion method and device
US11184376B2 (en) Port scan detection using destination profiles
US20170171188A1 (en) Non-transitory computer-readable recording medium, access monitoring method, and access monitoring apparatus
CN107426136B (en) Network attack identification method and device
CN108600145B (en) Method and device for determining DDoS attack equipment
CN109413022B (en) Method and device for detecting HTTP FLOOD attack based on user behavior
KR101308085B1 (en) Intrusion prevention system using correlation attack pattern and method thereof
KR101444908B1 (en) Security device storing signature and operating method thereof
CN107360196B (en) Attack detection method and device and terminal equipment
CN116527389A (en) Port scan detection
CN105635159B (en) Method for blocking and system based on keyword
CN107819739B (en) Method and server for determining whether long-link connection exists in terminal
US11176011B2 (en) Apparatus and method for transmitting fuzzing data for one-way protocol software fuzzing
CN109787969B (en) Host identity validity detection method and device and identity detection equipment

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180904

Year of fee payment: 5