KR101480438B1 - System for detecting an ip sharer - Google Patents
System for detecting an ip sharer Download PDFInfo
- Publication number
- KR101480438B1 KR101480438B1 KR20130100234A KR20130100234A KR101480438B1 KR 101480438 B1 KR101480438 B1 KR 101480438B1 KR 20130100234 A KR20130100234 A KR 20130100234A KR 20130100234 A KR20130100234 A KR 20130100234A KR 101480438 B1 KR101480438 B1 KR 101480438B1
- Authority
- KR
- South Korea
- Prior art keywords
- router
- information
- packet
- module
- analysis module
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 아이피(IP) 공유기 검출 시스템에 관한 것으로, 특히 허가되지 않은 불법 IP 공유기를 검출하는 시스템에 관한 것이다.The present invention relates to IP sharer detection systems, and more particularly to a system for detecting unauthorized illegal IP sharers.
ISP로부터 제공받는 한 개의 초고속 인터넷 회선을 이용하여 다수의 네트워크 장치들이 공유하여 사용하도록 하는 네트워크 주소 변환(NAT) 방식의 공유기 사용이 급증하고 있다. 원래 NAT 방식은 원래 서브 네트워크를 외부 침입으로부터 보호하기 위한 기술로 개발되었다. 즉, 외부에서는 그 컴퓨터에 할당된 실제 IP 주소를 알 수 없어 해킹이나 크래킹이 사실상 불가능하다. 따라서 NAT 방식을 사용하는 IP 공유기 외부에서 내부에 있는 사용자를 알아내는 방법이 사실상 거의 없다.The use of a network address translation (NAT) router in which a plurality of network devices share and use a single high-speed Internet line provided by an ISP is increasing rapidly. The original NAT scheme was originally developed as a technique for protecting subnetworks from external intrusion. In other words, it does not know the actual IP address assigned to the computer from the outside, making it impossible to hack or crack. Therefore, there is virtually no way to find out who is on the inside of an IP sharer using NAT.
그러나 최근에는 NAT 기술을 이용하여 다수의 컴퓨터가 하나의 공인 IP를 이용하여 인터넷을 이용하는 것이 IP 공유기의 주된 사용 목적으로 변질되고 있으며, 그에 따라 IP 공유기의 사용이 과다할 정도로 증가하고 있다.In recent years, however, the use of the Internet by a plurality of computers using the NAT technology has been transformed into a main purpose of the IP sharer, and the use of the IP sharer is increasingly excessive.
IP 공유기의 과다한 사용은 네트워크에 예상치 못한 지속적인 트래픽을 발생시킬 수 있으며, 더욱이 현재 공유기 기술은 매우 일반화되어 있어 그 문제점이 크게 부각되고 있다. 따라서 허용되지 않은 불법 IP 공유기의 검출이 네트워크 자원 관리 측면에서 중요한 이슈로 부각되고 있다.Excessive use of IP sharers can cause unexpected and continuous traffic to the network. Moreover, current router technology is very common, and the problem is getting bigger. Therefore, detection of unauthorized illegal IP sharers is becoming an important issue in terms of network resource management.
불법 IP 공유기를 검출하는 몇 가지 방법을 소개하면, 우선 패시브 핑거프린팅(Passive Fingerprinting)을 이용한 공유기 검출기술이 있다. 이 기술은 각 OS별로 TCP SYN 패킷 내 IP 및 TCP 헤더의 특정 필드값이 일정한 패턴을 갖는 특징을 이용하여 해당 OS를 판단하는 방법으로, 동일 IP 내에서 두 가지 이상의 OS가 검출될 때 이 IP를 IP 공유기로 판단하는 기술이다. 그러나 이러한 기술에서는 공유기 내에 하나의 네트워크 단말이 연결되어 있거나 두 개 이상의 동일한 OS가 탑재된 네트워크 단말이 연결되어 있다면 그 탐지가 불가하다.Some methods for detecting an illegal IP router are described. First, there is a router detection technique using passive fingerprinting. This technique is a method of determining the corresponding OS by using a characteristic that a specific field value of the IP and TCP header in the TCP SYN packet has a certain pattern for each OS. When two or more OSes are detected in the same IP, It is a technology to judge as an IP router. However, in this technology, it is impossible to detect if one network terminal is connected to a router or a network terminal having two or more same OS is connected.
또 하나의 IP 공유기 검출 기술로서 TTL 감소를 통한 공유기 검출기술이 있다. 이 기술은, 라우팅 기능을 수행하는 공유기의 경우 그 공유기에 연결된 PC로부터 발생한 패킷이 공유기를 거치면서 TTL값이 감소되는데 이를 감지하여 공유기로 판단하는 기술이다. 그러나 TTL값을 감소시키지 않도록 예외 처리 구현된 공유기의 경우에는 감지가 불가능하다.Another IP sharer detection technology is Router Detection technology by reducing TTL. In the case of a router that performs a routing function, the technology detects a packet generated from a PC connected to the router through the router to decrease the TTL value, and determines the router as a router. However, in the case of a router that implements an exception processing so as not to reduce the TTL value, detection is impossible.
알려진 또 하나의 IP 공유기 검출 기술로서 유저-에이전트(user-agent)를 통한 공유기 검출 기술이 있다. 이 기술은 웹 브라우저에서 생성하는 HTTP 데이터 헤더 내용 가운데 유저-에이전트에 해당 PC의 OS 종류 및 버전 정보가 삽입되는 특성을 근거로 동일 IP에서 분석된 유저-에이전트 내의 OS가 하나 이상의 OS 또는 동일 OS이나 다른 버전일 경우 이 IP를 IP 공유기로 판단하는 기술이다. 그러나 이러한 기술에서는 웹 브라우저를 사용하지 않을 경우 탐지 불가능하며, 유저-에이전트 값을 위조할 경우에도 탐지 불가하다. 아울러 공유기에 하나의 PC가 연결되어 있거나 둘 이상의 동일한 OS가 탑재된 PC가 연결되어 있을 경우에도 탐지가 불가능하다.Another known IP sharer detection technique is a router detection technique via a user-agent. This technique is based on the fact that the OS-type and version information of the corresponding PC are inserted into the user-agent among the HTTP data header contents generated by the web browser, and the OS in the user-agent analyzed in the same IP is one or more OS or the same OS If it is another version, it is a technology to judge this IP as an IP router. However, these technologies are not detectable without using a web browser and can not be detected even if user-agent values are falsified. In addition, if a single PC is connected to the router or if two or more PCs with the same OS are connected, detection is impossible.
또한 IP-ID 패턴을 통한 공유기 검출기술도 공지되어 있는데, 이 기술은 IP 헤더의 ID 값의 증가를 모니터링, 패턴화하여 하나의 IP에 2개 이상의 증가패턴이 검출될 경우 이를 공유기로 판단하는 기술이다. 그러나 상기 패턴은 MS 윈도우 OS 계열에서만 나타나는 패턴으로서, 공유기에 연결된 윈도우 계열 OS가 2개 이상일 경우에만 검출 가능하고, 단순히 패턴 개수만을 고려하였으므로 하나의 동일 패턴을 두 개의 패턴으로 잘못 판단할 가능성이 높다.Also, a router detection technique based on an IP-ID pattern is also known. This technology monitors and increases the ID value of the IP header to determine if two or more increase patterns are detected in one IP, to be. However, the pattern is a pattern only appearing in the MS Windows OS series, and is detectable only when there are two or more window-based OSs connected to the router. Since only the number of patterns is considered, there is a high possibility that one pattern is mistakenly determined as two patterns .
상술한 바와 같이 이미 알려진 다양한 IP 공유기 검출 기술들은 각각의 제약 사항을 가지고 있으므로 불법 IP 공유기 검출에 한계가 있다. 따라서 이러한 한계를 극복하기 위한 새로운 방안의 불법 IP 공유기 검출기술이 요구되는 바이다.As described above, various IP sharer detection technologies already known have limitations in detection of illegal IP sharer since they have respective restrictions. Therefore, there is a need for an illegal IP sharer detection technology to overcome these limitations.
이에 본 발명은 상술한 필요성에 따라 창안된 것으로서, 이미 알려진 다양한 IP 공유기 검출 기술들을 조합하여 각 기술들에서 나타나는 제약사항들을 상호 보완함으로써, 불법 IP 공유기의 검출률을 높일 수 있는 IP 공유기 검출 시스템을 제공함을 목적으로 하며,SUMMARY OF THE INVENTION Accordingly, the present invention has been made in view of the above-mentioned needs, and provides an IP router detecting system capable of increasing the detection rate of an illegal IP router by complementing various constraints appearing in various technologies by combining various IP router detecting technologies known in the art And,
더 나아가 본 발명의 또 다른 목적은 IP-ID 패턴 분석을 통해 공유기를 검출하되 IP-ID 증가패턴에 시간 흐름의 변화 측면을 고려하여 공유기 검출률을 더 높일 수 있는 IP 공유기 검출 시스템을 제공함에 있다.It is still another object of the present invention to provide an IP router detecting system capable of detecting a router through IP-ID pattern analysis, and further increasing the router detection rate in consideration of a change in time flow in an IP-ID increase pattern.
상기 목적을 달성하기 위한 본 발명의 실시예에 따른 IP 공유기 검출 시스템은,According to an aspect of the present invention, there is provided an IP sharer detection system comprising:
네트워크를 통해 전송되는 이더넷 상의 IP 패킷 중 IP 공유기 검출에 필요한 패킷 데이터를 수집하기 위한 패킷 수집모듈과;A packet collecting module for collecting packet data necessary for detecting an IP router among IP packets on Ethernet transmitted through a network;
TCP 패킷 중 SYN 플래그가 활성화된 패킷 혹은 HTTP 데이터 중 유저-에이전트 정보 혹은 IP 헤더의 IP-ID 정보 중 어느 하나 이상이 상기 패킷 수집모듈에 의해 각각 수집되어 저장되는 하나 이상의 큐 메모리와;One or more queue memories in which at least one of a packet in which a SYN flag of the TCP packet or an IP-ID information of user-agent information or IP header in HTTP data is collected and stored respectively by the packet collecting module;
시간경과에 따라 변화되는 상기 IP 헤더의 IP-ID 정보 증가패턴을 분석하여 임의 시간에 두 개 이상의 IP-ID 증가패턴이 동시에 검출되는가를 분석하는 IP-ID 분석모듈과;An IP-ID analysis module for analyzing an increase pattern of the IP-ID information of the IP header which changes with time and analyzing whether two or more IP-ID increase patterns are simultaneously detected at an arbitrary time;
하나의 IP에 두 개 이상의 IP-ID 증가패턴이 동시에 검출된 경우 IP 공유기로 판단하는 공유기 판단모듈;을 포함함을 특징으로 하며,And a router determining module determining that the IP router is an IP router when two or more IP-ID increase patterns are simultaneously detected in one IP,
또 다른 실시예에 따른 IP 공유기 검출 시스템은 상기 구성에 부가하여 상기 SYN 플래그가 활성화된 패킷을 분석하여 소스 IP가 사용중인 OS정보를 추출하는 패시브 핑거프린팅 분석모듈과, 상기 SYN 플래그가 활성화된 패킷 내의 TTL값을 각 OS별 최초 TTL값과 비교하여 사용중인 OS정보를 추출하는 TTL 패턴 분석모듈과, 상기 유저-에이전트 정보를 분석하여 패킷이 발생한 OS정보를 추출하는 유저-에이전트 데이터 분석모듈 중 하나 이상을 더 포함하되, 상기 공유기 판단모듈은 상기 유저-에이전트 데이터 분석모듈과 상기 TTL 패턴 분석모듈과 상기 패시브 핑거프린팅 분석모듈 및 상기 IP-ID 분석모듈 각각으로부터 입력되는 정보를 통해 IP 공유기를 판단함을 특징으로 한다.In another aspect of the present invention, there is provided an IP sharer detection system comprising: a passive fingerprint analysis module for analyzing a SYN flag activated packet to extract OS information being used by a source IP; A TTL pattern analysis module that compares the TTL value in each OS with the initial TTL value for each OS to extract OS information in use and a user-agent data analysis module that extracts the OS information in which the packet is generated by analyzing the user- Wherein the router determination module determines an IP router based on information input from the user-agent data analysis module, the TTL pattern analysis module, the passive fingerprint analysis module, and the IP-ID analysis module, respectively .
상술한 바와 같은 본 발명의 실시예에 따르면, 본 발명의 시스템은 패시브 핑거프린팅을 이용한 공유기 검출기법, TTL 감소를 통한 공유기 검출기법, 유저-에이전트를 통한 공유기 검출기법, 기존 IP-ID 증가패턴을 개량한 공유기 검출기법을 상호 조합하여 사용한다. 그 결과 각 기술(혹은 기법)들에서 나타나는 제약사항들을 상호 보완함으로써, 불법 IP 공유기의 검출률을 높일 수 있는 효과를 얻을 수 있다.According to the embodiment of the present invention as described above, the system of the present invention can be applied to a router detection method using passive fingerprinting, a router detection method using TTL reduction, a router detection method using a user agent, Improved router detection techniques are used in combination. As a result, it is possible to improve the detection rate of illegal IP sharer by complementing the constraints of each technology (or techniques).
더 나아가 본 발명은 IP-ID 증가패턴 분석을 통해 공유기를 검출하는 기존 방식에 더해 새롭게 시간 흐름의 변화 측면을 고려하여 IP-ID 증가패턴을 분석함으로써, 기존 IP-ID 증가패턴 분석기술에 비해 오탐 가능성을 더 낮출 수 있는 효과가 있다.Furthermore, the present invention analyzes the IP-ID increase pattern in consideration of the change of the time flow in addition to the existing method of detecting the router through the IP-ID increase pattern analysis, There is an effect that the possibility can be further lowered.
도 1은 본 발명의 실시예에 따른 IP 공유기 검출 시스템의 블럭 구성 예시도.
도 2는 본 발명의 실시예에 따른 패킷 수집 모듈(100)에서 수집되어 큐 메모리에 저장되는 패킷 데이터를 설명하기 위한 도면.
도 3은 본 발명의 실시예에 따른 IP-ID 증가 패턴의 분석과정을 설명하기 위한 도면.
도 4는 본 발명의 실시예에 따른 IP 공유기 판단과정을 설명하기 위한 도면.1 is an exemplary block diagram of an IP sharer detection system according to an embodiment of the present invention;
2 is a diagram for describing packet data collected in a
3 is a diagram for explaining a process of analyzing an IP-ID increase pattern according to an embodiment of the present invention.
4 is a diagram for explaining an IP sharer judging process according to an embodiment of the present invention.
이하 본 발명의 바람직한 실시예를 첨부 도면을 참조하여 상세히 설명하기로 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 실시예에 따른 IP 공유기 검출 시스템의 논리적인 블럭 구성도를 도시한 것이다.1 is a logical block diagram of an IP sharer detection system according to an embodiment of the present invention.
도 1을 참조하면, 패킷 수집 모듈(100)은 네트워크를 통해 전송되는 이더넷 상의 IP 패킷 중 IP 공유기 검출에 필요한 패킷 데이터, 예를 들면 TCP 패킷 중 SYN 플래그가 활성화된 패킷, HTTP 데이터 중 유저-에이전트 정보, IP 헤더의 IP-ID 정보를 수집하여 후단에 위치한 TCP SYN 큐(110), 유저-에이전트 큐(120), IP-ID 큐(130)에 삽입 저장한다.Referring to FIG. 1, the
공유기 탐지 엔진(200)은 기본적으로 IP-ID 분석모듈(240)과 공유기 판단모듈(250)을 포함한다. 이들 구성 외에 공유기 탐지 엔진(200)은 구현 실시예에 따라 패시브 핑거프린팅(passive fingerprinting) 분석모듈(210), TTL 패턴 분석모듈(220), 유저-에이전트(user-agent) 데이터 분석모듈(230) 중 하나 이상을 포함할 수 있다.The
공유기 탐지 엔진(200)을 구성할 수 있는 IP-ID 분석모듈(240)은 시간경과에 따라 변화되는 IP 헤더의 IP-ID 증가패턴을 분석하여 임의 시간에 두 개 이상의 IP-ID 증가패턴이 동시에 검출되는가를 분석한다. 이러한 IP-ID 분석모듈(240)의 동작은 도 3을 참조하여 보다 상세히 후술하기로 한다.The IP-ID analysis module 240, which can configure the
한편 공유기 탐지 엔진(200)을 구성할 수 있는 패시브 핑거프린팅 분석모듈(210)은 TCP SYN 큐(110)에 저장된, 즉 SYN 플래그가 활성화된 패킷을 분석하여 소스 IP가 사용중인 OS정보를 추출한다. 즉, 패시브 핑거프린팅 분석모듈(210)은 각 OS별로 TCP SYN 패킷내 IP 및 TCP 헤더의 특정 필드값이 일정한 패턴을 갖는 특징을 이용하여 해당 소스 IP에서 사용중인 OS정보를 추출하고 그 추출된 OS 정보 목록을 소스 IP와 함께 공유기 판단모듈(250)로 전달한다.On the other hand, the passive fingerprint analysis module 210, which can configure the
공유기 탐지 엔진(200)을 구성할 수 있는 또 하나의 TTL 패턴 분석모듈(220)은 TCP SYN 큐(110)에 저장된, 즉 SYN 플래그가 활성화된 패킷 내의 TTL 값을 각 OS별 최초 TTL값과 비교하여 사용중인 OS 정보를 추출하여 공유기 판단모듈(250)로 전달한다.Another TTL pattern analysis module 220 capable of configuring the
참고적으로 라우팅 기능을 수행하는 공유기의 경우 그 공유기에 연결된 단말로부터 발생한 패킷이 공유기를 거치면서 TTL 값이 감소된다. 예를 들면, 윈도우 계열의 OS는 최초 TCP SYN 패킷을 발생시킬 때 TTL 값이 128이 되는데, IP 공유기를 거치게 되면 127로 그 TTL 값이 1 감소한다. 따라서 127로 TTL 값이 검출된 경우 가장 근접한 OS는 윈도우 계열의 OS로 추정할 수 있으며, 128에서 1이 감소하였으므로 하나의 IP 공유기를 통과한 패킷으로 추정할 수 있다. TTL 패턴 분석모듈(220)로부터 공유기 판단모듈(250)로 전달되는 정보는 각 소스 IP 및 해당 소스 IP에서 TTL값으로 판단한 OS 정보 및 TTL값 감소 여부이다.For a router that performs routing functions, the TTL value is reduced as the packet from the terminal connected to the router passes through the router. For example, a Windows-based OS generates a first TCP SYN packet with a TTL value of 128, and when it goes through an IP router, its TTL value is decremented by 127. Therefore, when the TTL value is detected as 127, the OS closest to the OS can be estimated as the OS of the window system, and since 1 is decreased from 128, it can be estimated as a packet passing through one IP router. The information transmitted from the TTL pattern analysis module 220 to the
공유기 탐지 엔진(200)을 구성할 수 있는 또 하나의 모듈인 유저-에이전트 데이터 분석모듈(230)은 유저-에이전트 큐(120)에 저장된 유저-에이전트 정보를 분석하여 패킷이 발생한 소스 IP 장비의 OS정보를 추출하여 공유기 판단모듈(250)로 전달한다.The user-agent data analysis module 230, which is another module capable of configuring the
일반적으로 HTTP 헤더 데이터에는 웹브라우저 제품명 및 OS 정보가 포함된 커멘트가 삽입된다. 따라서 상기 큐(120)에 저장된 유저-에이전트 정보에 포함된 OS 구별 문자열과 각 OS 별 구별 문자열을 비교하면 소스 IP를 사용하는 대상 장비의 OS 정보를 추출할 수 있다.In general, the HTTP header data includes a comment containing the name of the web browser product and OS information. Therefore, OS information of the target device using the source IP can be extracted by comparing the OS distinguishing character string included in the user-agent information stored in the queue 120 with the discrimination string of each OS.
마지막으로 공유기 탐지 엔진(200)을 구성하는 기본 모듈인 공유기 판단모듈(250)은 패시브 핑거프린팅 분석모듈(210), TTL 패턴 분석모듈(220), 유저-에이전트 데이터 분석모듈(230) 및 IP-ID 분석모듈(240) 각각으로부터 입력되는 정보를 통해 IP 공유기를 판단한다. 예를 들면 입력된 정보를 통해 하나의 IP에 두 개 이상의 OS가 존재하거나, TTL 값의 감소가 검출되거나 하나의 IP에 두 개 이상의 IP-ID 패턴이 동시에 검출되면 IP 공유기로 판단하고 그 결과를 출력한다.Lastly, the
이하 상술한 구성을 가지는 IP 공유기 검출 시스템의 동작을 도 2 내지 도 4를 참조하여 보다 구체적으로 설명하기로 한다.Hereinafter, the operation of the IP sharer detection system having the above-described configuration will be described in more detail with reference to FIG. 2 to FIG.
도 2는 본 발명의 실시예에 따른 패킷 수집 모듈(100)에서 수집되어 큐 메모리에 저장되는 패킷 데이터를 설명하기 위한 도면을 도시한 것이며, 도 3은 본 발명의 실시예에 따른 IP-ID 증가 패턴의 분석과정을 설명하기 위한 도면을 도시한 것이다. 그리고 도 4는 본 발명의 실시예에 따른 IP 공유기 판단과정을 설명하기 위한 도면을 도시한 것이다. 참고적으로 하기 설명에서는 공유기 탐지 엔진(200)이 IP-ID 분석모듈(240) 외에 패시브 핑거프린팅 분석모듈(210), TTL 패턴 분석모듈(220) 및 유저-에이전트 데이터 분석모듈(230) 모두를 구비하는 경우를 가정하여 설명하기로 한다.FIG. 2 is a diagram for explaining packet data collected in the
도 2를 참조하면, 우선 패킷 수집모듈(100)은 네트워크를 통해 전송되는 이더넷 상의 IP 패킷을 캡쳐(S10단계)한다. 그리고 캡쳐한 패킷을 분석(S12단계)하여 TCP 패킷 중 SYN 플래그가 활성화된 패킷, HTTP 데이터 중 유저-에이전트 정보, IP 헤더의 IP-ID 정보 각각을 추출하여 후단에 위치한 TCP SYN 큐(110), 유저-에이전트 큐(120), IP-ID 큐(130)에 각각 삽입 저장(S14단계)한다. Referring to FIG. 2, the
이에 패시브 핑거프린팅 분석모듈(210)은 TCP SYN 큐(110)에 저장된, 즉 SYN 플래그가 활성화된 패킷을 분석하여 각 OS별로 TCP SYN 패킷내 IP 및 TCP 헤더의 특정 필드값이 일정한 패턴을 갖는 특징을 이용하여 해당 소스 IP에서 사용중인 OS정보를 추출하고 그 추출된 OS 정보 목록을 소스 IP와 함께 공유기 판단모듈(250)로 전달한다.The passive fingerprinting analysis module 210 analyzes a packet stored in the
아울러 TTL 패턴 분석모듈(220)은 TCP SYN 큐(110)에 저장된, 즉 SYN 플래그가 활성화된 패킷 내의 TTL 값을 각 OS별 최초 TTL값과 비교하여 사용중인 OS 정보를 추출하여 각 소스 IP 및 해당 소스 IP에서 TTL값으로 판단한 OS 정보 및 TTL값 감소 여부와 같은 정보를 공유기 판단모듈(250)로 전달한다.In addition, the TTL pattern analysis module 220 compares the TTL value stored in the
또한 유저-에이전트 데이터 분석모듈(230)은 유저-에이전트 큐(120)에 저장된 유저-에이전트 정보를 분석하여 패킷이 발생한 소스 IP 장비의 OS정보를 추출하여 공유기 판단모듈(250)로 전달한다.Also, the user-agent data analysis module 230 analyzes the user-agent information stored in the user-agent queue 120, extracts OS information of the source IP equipment in which the packet is generated, and transmits the OS information to the
한편 IP-ID 분석모듈(240)은 시간경과에 따라 변화되는 IP 헤더의 IP-ID 증가패턴을 분석하여 임의 시간에 두 개 이상의 IP-ID 증가패턴이 동시에 검출되는가를 분석한다. 이를 도 3을 보다 상세히 설명하면,Meanwhile, the IP-ID analysis module 240 analyzes the IP-ID increase pattern of the IP header that changes with time, and analyzes whether two or more IP-ID increase patterns are detected simultaneously at an arbitrary time. 3,
우선 마이크로소프트 윈도우 OS의 경우, IP-ID가 일정한 간격을 두고 증가하는 패턴을 갖는다. 따라서 동일 IP에서 두 개 이상의 IP-ID 증가패턴이 발견된 경우 이 IP를 공유기로 판단하는 것이 종래의 IP-ID 패턴 분석방법이다. 주목할 점은, 증가하는 IP-ID가 한계(65535 또는 32767)에 도달하면, 다시 초기값(0 또는 그 이상 일정 값)에서 다시 시작하게 되는데 종래의 분석방법에서는 초기값 부터 시작하는 일련의 IP-ID 흐름을 새로운 패턴으로 인식한다는 것이다. 이러한 문제를 해결하기 위해 본 발명에서는 일정 시간 동안 형상화된 패턴에 대해 그 중간시각에 중첩되는 패턴 개수, 즉 생성 및 진행 시각의 전후를 따져 동시에 존재하는 패턴 개수를 근거로 공유기 유무를 판단하는 방법을 채택하여 상술한 바와 같은 오판의 위험요소를 배제하였다.First, in the case of the Microsoft Windows OS, the IP-ID has a pattern that increases at regular intervals. Therefore, when two or more IP-ID increase patterns are found in the same IP, it is a conventional IP-ID pattern analysis method to determine the IP as a router. Note that when the increasing IP-ID reaches the limit (65535 or 32767), it starts again at the initial value (0 or more constant value). In the conventional analysis method, a series of IP- It recognizes the ID flow as a new pattern. In order to solve this problem, a method for determining the presence or absence of a router based on the number of patterns overlapping at an intermediate time with respect to a pattern shaped for a predetermined time, that is, To eliminate the risk factors of false positives as described above.
도 3에서 2a는 측정 시작시간 범위 밖의 패턴으로 측정대상에서 제외된 패턴이며, 실제 측정된 두 개의 패턴은 피탐지장치 1a가 발생시킨 패킷으로부터 추출된 패턴 2b와 피탐지장치 1b가 발생시킨 패킷으로부터 추출된 패턴 2c이다. 도 3의 중앙 시각에서는 서로 다른 패턴 2b와 2c가 중첩되어 동시에 진행되고 있음을 알 수 있다. 즉, IP-ID 분석모듈(240)은 IP-ID 흐름을 분석하여 임의 시간(예를 들면 도 3의 중앙 시각)에 두 개 이상의 IP-ID 증가패턴(2b와 2c)을 형성하는 IP-ID(250,503)가 동시에 검출되는 경우 그 결과를 공유기 판단모듈(250)로 전달한다.In FIG. 3, 2a is a pattern that is excluded from the measurement object in a pattern outside the measurement start time range. The two actually measured patterns are the pattern 2b extracted from the packet generated by the detection device 1a and the packet generated by the
이와 같은 각 분석모듈(210,220,230,240)의 동작에 의해 얻어진 분석 결과값이 공유기 판단모듈(250)로 전달되면, 공유기 판단모듈(250)에서는 도 4에 도시한 바와 같은 흐름도에 따라 IP 공유기의 사용여부를 판단한다.When the analysis result values obtained by the operation of each of the analysis modules 210, 220, 230 and 240 are transmitted to the
즉, 공유기 판단모듈(250)은 하나의 IP에 두 개 이상의 OS가 존재하는지(S30단계), TTL값의 감소가 검출되는지(S32단계), 하나의 IP에 두 개 이상의 IP-ID 증가패턴이 동시에 검출되는지(S34단계)를 체크한다. 각각의 체크 결과 하나의 IP에 두 개 이상의 OS가 존재하거나, TTL값의 감소가 검출되거나, 하나의 IP에 두 개 이상의 IP-ID 증가패턴이 동시에 검출되었다면 IP 공유기로 판단(S36단계)하고 그 결과를 외부 장치로 출력함으로써, 허가받지 않은 IP 공유기의 사용을 정상적으로 검출할 수 있게 되는 것이다.That is, the
이상에서 설명한 바와 같이 공유기 탐지 엔진(200)을 IP-ID 분석모듈(240) 외에 패시브 핑거프린팅 분석모듈(210), TTL 패턴 분석모듈(220), 유저-에이전트 데이터 분석모듈(230)을 포함하여 병렬화 구성하면, IP 공유기 아래에 동일 OS의 PC가 하나 이상 존재할 경우 패시브 핑거프린팅 기법으로는 검출이 되지 않으나 TTL 감소 패턴으로 검출할 수 있고, 설령 TTL 값이 감소되지 않는 특성을 가진 IP 공유기에 PC가 연결되어 있다면 TTL 감소 패턴으로는 검출할 수 없으나 두 가지 이상의 OS 또는 버전이 상이한 윈도우 OS가 두 가지 이상 존재할 때 이를 유저-에이전트 데이터 분석을 통해 검출할 수 있고, 동일한 버전의 윈도우 OS의 PC가 두 개 이상 존재할 경우 이는 IP-ID 증가패턴 분석을 통해 검출할 수 있어, 결과적으로 본 발명은 네 가지 서로 다른 기법의 상호보완을 통해 허가받지 않은 여러 유형의 IP 공유기 사용을 정상적으로 검출할 수 있는 효과를 얻을 수 있다.As described above, the
이상 본 발명의 실시예에서는 네 가지 서로 다른 기법을 사용하는 실시예를 설명하였지만, 이들의 조합을 통해 IP 공유기를 검출할 수도 있을 것이다.Although the embodiment of the present invention has been described with respect to the embodiment using four different techniques, the IP sharer may be detected through a combination of the embodiments.
예를 들면, IP-ID 분석모듈(240)과 패시브 핑거프린팅 분석모듈(210)만으로 공유기 탐지 엔진(200)을 구성한다면, 예를 들어 IP 공유기 아래에 윈도우 OS가 있고 설치된 두 개 이상의 PC가 존재할 경우 이를 IP-ID 증가 패턴 분석에 의해 IP 공유기를 검출할 수 있고, 또 다른 경우로 윈도우 OS 이외의 두 가지 이상의 OS가 존재할 때에는 이를 패시브 핑거프린팅을 통해 IP 공유기로 검출할 수 있다.For example, if the
만약 IP-ID 분석모듈(240)과 TTL 패턴 분석모듈(220)만으로 공유기 탐지 엔진(200)을 구성한다면, 예를 들어 TTL값이 감소되지 않는 특성을 가진 IP 공유기에 윈도우 OS가 설치된 PC가 두 개 이상 존재할 경우 이를 IP-ID 증가패턴 분석으로 검출할 수 있고, 또 다른 경우로 TTL값의 감소 패턴이 나타나는 공유기 내에 윈도우 OS 계열이 아닌 PC가 존재할 때, 이를 TTL 감소를 통해 IP 공유기로 검출할 수 있을 것이다.If the
더 나아가 IP-ID 분석모듈(240)과 유저-에이전트 데이터 분석모듈(230)만으로 공유기 탐지 엔진(200)을 구성한다면, 예를 들어 IP 공유기 아래에 동일한 윈도우 OS가 설치된 두 개 이상이ㅡ PC가 존재할 때 이를 IP-ID 증가패턴 분석에 의해 IP 공유기로 검출할 수 있고, 또 다른 경우로 IP 공유기 아래에 두 가지 이상의 OS 또는 버전이 상이한 윈도우 OS가 두 가지 이상 존재한다면 이를 유저-에이전트 분석을 통해 IP 공유기로 검출할 수 있다.Furthermore, if the
또한 IP-ID 분석모듈(240)과 패시브 핑거프린팅 분석모듈(210) 및 TTL 패턴 분석모듈(220)로 공유기 탐지 엔진(200)을 구성한다면, 예를 들어 IP 공유기 아래에 동일 OS의 PC가 하나 이상 존재할 경우 패시브 핑거프린팅 분석모듈(210)로는 검출이 되지 않으나 TTL 감소 패턴으로 IP 공유기 검출이 가능하며, TTL 감소 패턴이 나타나지 않으면서 윈도우 OS가 설치된 PC가 두 개 이상 존재할 경우에는 IP-ID 증가패턴 분석으로 IP 공유기 검출이 가능하다.If the
IP-ID 분석모듈(240)과 패시브 핑거프린팅 분석모듈(210) 및 유저-에이전트 데이터 분석모듈(230)로 공유기 탐지 엔진(200)을 구성한다면, 예를 들어 IP 공유기 아래에 동일 OS의 PC가 하나 이상 존재할 경우 패시브 핑거프린팅 분석모듈(210)로는 검출할 수 없으나, 버전이 상이한 윈도우 OS가 두 가지 이상 존재한다면 이를 유저-에이전트 분석을 통해 검출할 수 있고, 동일한 버전의 윈도우 OS의 PC가 두 개 이상 존재한다면 이는 IP-ID 증가패턴 분석을 통해 검출할 수 있어, 세 가지 분석모듈이 상호 보완하는 방식으로 IP 공유기를 검출할 수 있다.If the
그리고 IP-ID 분석모듈(240)과 TTL 패턴 분석모듈(220) 및 유저-에이전트 데이터 분석모듈(230)로 공유기 탐지 엔진(200)을 구성한다면, TTL 값이 감소되지 않는 특성을 가진 IP 공유기에 PC가 연결되어 있을 경우 TTL 감소패턴으로는 검출이 되지 않으나, 두 가지 이상의 OS 또는 버전이 상이한 윈도우 OS가 두 가지 이상 존재할 때 이를 유저-에이전트 분석을 통해 IP 공유기 검출할 수 있고, 동일한 버전의 윈도우 OS의 PC가 두 개 이상 존재할 경우 이를 IP-ID 증가패턴 분석을 통해 검출할 수 있다.If the
이상에서 설명한 바와 같이 본 발명은 네 가지 서로 다른 기법을 채용한 분석모듈(210,220,230,240)의 조합을 통해서도 허가받지 않은 여러 유형의 IP 공유기 사용을 정상적으로 검출할 수 있는 효과를 얻을 수 있다.As described above, according to the present invention, it is possible to normally detect the use of various unauthorized IP sharers through a combination of the analysis modules 210, 220, 230 and 240 employing four different techniques.
따라서 본 발명은 패시브 핑거프린팅을 이용한 공유기 검출기법, TTL 감소를 통한 공유기 검출기법, 유저-에이전트를 통한 공유기 검출기법, 기존 IP-ID 증가패턴을 개량한 공유기 검출기법을 상호 조합하여 사용함으로써, 공유기 실탐의 여지를 최소화함은 물론 기존 IP-ID 패턴분석 기술의 오탐 가능성을 낮출 수 있는 유용한 시스템이라 할 수 있다.Accordingly, the present invention uses a router detection method using passive fingerprinting, a router detection method using TTL reduction, a router detection method using a user agent, and a Router detection method improving the existing IP-ID increase pattern, It is a useful system to minimize the possibility of false positives and to reduce the possibility of false positives of existing IP-ID pattern analysis technology.
이상 본 발명은 도면에 도시된 실시예들을 참고로 설명되었으나 이는 예시적인 것에 불과하며, 당해 기술분야에서 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위에 의해서만 정해져야 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, is intended to cover various modifications and equivalent arrangements included within the spirit and scope of the invention. Accordingly, the true scope of the present invention should be determined only by the appended claims.
Claims (8)
TCP 패킷 중 SYN 플래그가 활성화된 패킷 혹은 HTTP 데이터 중 유저-에이전트 정보 혹은 IP 헤더의 IP-ID 정보 중 어느 하나 이상이 상기 패킷 수집모듈에 의해 각각 수집되어 저장되는 하나 이상의 큐 메모리와;
시간경과에 따라 변화되는 상기 IP 헤더의 IP-ID 정보 증가패턴을 분석하여 임의 시간에 두 개 이상의 IP-ID 증가패턴이 동시에 검출되는가를 분석하는 IP-ID 분석모듈과;
하나의 IP에 두 개 이상의 IP-ID 증가패턴이 동시에 검출된 경우 IP 공유기로 판단하는 공유기 판단모듈과;
상기 SYN 플래그가 활성화된 패킷 내의 TTL 값을 각 OS별 최초 TTL값과 비교하여 사용중인 OS정보를 추출하는 TTL 패턴 분석모듈;을 포함하되, 상기 공유기 판단모듈은 상기 TTL 패턴 분석모듈과 상기 IP-ID 분석모듈 각각으로부터 입력되는 정보를 통해 IP 공유기를 판단함을 특징으로 하는 IP 공유기 검출 시스템.A packet collecting module for collecting packet data necessary for detecting an IP router among IP packets on Ethernet transmitted through a network;
One or more queue memories in which at least one of a packet in which a SYN flag of the TCP packet or an IP-ID information of user-agent information or IP header in HTTP data is collected and stored respectively by the packet collecting module;
An IP-ID analysis module for analyzing an increase pattern of the IP-ID information of the IP header which changes with time and analyzing whether two or more IP-ID increase patterns are simultaneously detected at an arbitrary time;
A router determining module that determines that the IP router is an IP router when two or more IP-ID increase patterns are simultaneously detected in one IP;
And a TTL pattern analysis module for comparing the TTL value in the packet in which the SYN flag is activated with the initial TTL value for each OS to extract OS information in use, Wherein the IP sharer determines the IP sharer through the information input from each of the ID analysis modules.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20130100234A KR101480438B1 (en) | 2013-08-23 | 2013-08-23 | System for detecting an ip sharer |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20130100234A KR101480438B1 (en) | 2013-08-23 | 2013-08-23 | System for detecting an ip sharer |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101480438B1 true KR101480438B1 (en) | 2015-01-13 |
Family
ID=52588529
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR20130100234A KR101480438B1 (en) | 2013-08-23 | 2013-08-23 | System for detecting an ip sharer |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101480438B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110493248A (en) * | 2019-08-30 | 2019-11-22 | 苏州浪潮智能科技有限公司 | A kind of method, apparatus that detecting illegal router, server and medium |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100040631A (en) * | 2008-10-10 | 2010-04-20 | 플러스기술주식회사 | A method for allowing and blocking a user pc which can use internet at the same time in a private network thereof a method for analyzing and detecting a judgement about whether nat(network address translation) can be used or not using a traffic data, and the number of terminals sharing nat |
US20120113841A1 (en) | 2009-10-28 | 2012-05-10 | Michael Todd | Methods and apparatus for detection of a nat device |
KR101210622B1 (en) * | 2010-06-24 | 2012-12-11 | 주식회사 케이티 | Method for detecting ip shared router and system thereof |
-
2013
- 2013-08-23 KR KR20130100234A patent/KR101480438B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100040631A (en) * | 2008-10-10 | 2010-04-20 | 플러스기술주식회사 | A method for allowing and blocking a user pc which can use internet at the same time in a private network thereof a method for analyzing and detecting a judgement about whether nat(network address translation) can be used or not using a traffic data, and the number of terminals sharing nat |
US20120113841A1 (en) | 2009-10-28 | 2012-05-10 | Michael Todd | Methods and apparatus for detection of a nat device |
KR101210622B1 (en) * | 2010-06-24 | 2012-12-11 | 주식회사 케이티 | Method for detecting ip shared router and system thereof |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110493248A (en) * | 2019-08-30 | 2019-11-22 | 苏州浪潮智能科技有限公司 | A kind of method, apparatus that detecting illegal router, server and medium |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6001689B2 (en) | Log analysis apparatus, information processing method, and program | |
US9661008B2 (en) | Network monitoring apparatus, network monitoring method, and network monitoring program | |
US10721244B2 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
US8042182B2 (en) | Method and system for network intrusion detection, related network and computer program product | |
CN107968791B (en) | Attack message detection method and device | |
EP3767506A1 (en) | Extracting malicious instructions on a virtual machine in a network environment | |
KR101391781B1 (en) | Apparatus and Method for Detecting HTTP Botnet based on the Density of Web Transaction | |
CN101001242B (en) | Method of network equipment invaded detection | |
US10348751B2 (en) | Device, system and method for extraction of malicious communication pattern to detect traffic caused by malware using traffic logs | |
JP6749956B2 (en) | Traffic characteristic information extraction device, traffic characteristic information extraction method, and traffic characteristic information extraction program | |
JP2018026747A (en) | Aggression detection device, aggression detection system and aggression detection method | |
Karamcheti et al. | Detecting malicious network traffic using inverse distributions of packet contents | |
JP6470201B2 (en) | Attack detection device, attack detection system, and attack detection method | |
KR20100074480A (en) | Method for detecting http botnet based on network | |
KR101480438B1 (en) | System for detecting an ip sharer | |
KR102040371B1 (en) | Apparatus and method for analyzing network attack pattern | |
KR20130093841A (en) | Intrusion prevention system using correlation attack pattern and method thereof | |
US9794274B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
WO2020158896A1 (en) | Communication device | |
US11722493B2 (en) | Access analysis system and access analysis method | |
KR20180101868A (en) | Apparatus and method for detecting of suspected malignant information | |
KR101047118B1 (en) | Network security system and method for detecting exploit code | |
JP7215571B2 (en) | DETECTION DEVICE, DETECTION METHOD AND DETECTION PROGRAM | |
JP7070678B2 (en) | Communication analyzer, communication analysis method, communication environment analyzer, communication environment analysis method, and program | |
JP2007235879A (en) | Apparatus, method and program for evaluating learning ability |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20171220 Year of fee payment: 4 |