KR101499666B1 - Apparatus and method for detecting network scanning - Google Patents

Apparatus and method for detecting network scanning Download PDF

Info

Publication number
KR101499666B1
KR101499666B1 KR1020130094025A KR20130094025A KR101499666B1 KR 101499666 B1 KR101499666 B1 KR 101499666B1 KR 1020130094025 A KR1020130094025 A KR 1020130094025A KR 20130094025 A KR20130094025 A KR 20130094025A KR 101499666 B1 KR101499666 B1 KR 101499666B1
Authority
KR
South Korea
Prior art keywords
value
attacker
destination
preliminary
candidate node
Prior art date
Application number
KR1020130094025A
Other languages
Korean (ko)
Other versions
KR20150017875A (en
Inventor
이현준
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020130094025A priority Critical patent/KR101499666B1/en
Publication of KR20150017875A publication Critical patent/KR20150017875A/en
Application granted granted Critical
Publication of KR101499666B1 publication Critical patent/KR101499666B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems

Abstract

본 발명은 네트워크 스캔 탐지 방법 및 장치에 관한 것으로, 본 발명의 일 실시예에 따른 네트워크 스캔 탐지 방법은, 출발지 값, 제1 목적지 값 및 제2 목적지 값을 포함하는 예비 공격자 정보를 수신하는 단계, 예비 공격자 정보에 대응하는 공격자 후보 노드를 선택하는 단계, 예비 공격자 정보로부터 제2 목적지 값를 추출하여, 제2 목적지 값과 공격자 후보 노드에 포함된 블룸 필터(Bloom filter) 값을 비교하는 단계, 제2 목적지 값이 블룸 필터에 마킹(marking)되지 않은 새로운 값인 경우, 블룸 필터에 마킹하고 공격자 후보 노드에 포함된 계수기를 증가시키는 단계 및 계수기가 기 설정된 값에 도달하는 경우 출발지 값을 공격자로 결정하는 단계를 포함하는 것을 특징으로 한다.
본 발명에 따르면, 예비 공격자에 의해서 발생하는 네트워크 스캔을 효과적으로 탐지하여 공격을 사전에 예방할 수 있다.The present invention relates to a network scan detection method and apparatus, and a network scan detection method in accordance with an embodiment of the present invention includes receiving preliminary attacker information including a start point value, a first destination value, and a second destination value, Selecting an attacker candidate node corresponding to the preliminary attacker information, extracting a second destination value from the preliminary attacker information, comparing a second destination value with a Bloom filter value included in the attacker candidate node, If the destination value is a new value that is not marked on the Bloom filter, incrementing the counter included in the attacker candidate node by marking the Bloom filter and determining the origin value as the attacker if the counter reaches a predetermined value And a control unit.
According to the present invention, a network scan generated by a preliminary attacker can be effectively detected and an attack can be prevented in advance.

Description

네트워크 스캔 탐지 방법 및 장치 {APPARATUS AND METHOD FOR DETECTING NETWORK SCANNING}[0001] APPARATUS AND METHOD FOR DETECTING NETWORK SCANNING [0002]

본 발명은 네트워크 스캔 탐지 방법 및 장치에 관한 것으로, 보다 상세하게는 블룸 필터를 이용한 네트워크 스캔 탐지 방법 및 장치에 관한 것이다.The present invention relates to a network scan detection method and apparatus, and more particularly, to a network scan detection method and apparatus using a Bloom filter.

네트워크 상에서 공격자가 특정 목표를 정하고 공격 방식을 결정하기 위한 사전 작업으로 공격 목표(희생자 단말장치) 및 공격 방식을 결정하는 작업이 필요하다. 이러한 사전작업에는 주로 네트워크 스캔 기법이 사용되고 있으며 네트워크 스캔 기법은 크게 포트 스캔(Port Scan)과 호스트 스윕(Host sweep) 방식으로 분류 될 수 있다.It is necessary for the attacker to determine the attack target (victim terminal device) and the attack method as a preliminary task for the attacker to set a specific target and determine the attack mode. The network scan technique is mainly used for the preliminary work, and the network scan technique can be roughly divided into port scan and host sweep.

포트 스캔은 특정 대상을 지정하고 취약점이 보고된 서비스 포트가 오픈(open)되어 있는지 여부를 판단하기 위하여, 특정 대상에 대해 다양한 서비스로 소량의 트래픽을 전송하고, 서비스들로부터 돌아오는 응답을 바탕으로 해당 서비스 포트의 오픈여부를 판단하는 방식이다. 이와 비교하여, 호스트 스윕은 취약점이 보고된 서비스를 오픈하고 있는 장치를 찾기 위하여, 네트워크 상에 존재하는 다수의 단말장치를 향해서 특정 서비스에 해당되는 트래픽을 전송한 후, 그 응답을 바탕으로 해당 서비스를 이용하는 단말을 찾아내는 방식이다.Port scans are used to send a small amount of traffic to various destinations for a specific target to determine a specific destination and to determine whether the vulnerable service port is open, And determines whether the corresponding service port is opened or not. In comparison, the host sweep transmits traffic corresponding to a specific service to a plurality of terminal devices existing on the network in order to find a device that opens a service for which a vulnerability is reported, and then, based on the response, Is a method for finding a terminal using a mobile terminal.

네트워크 중간에서 스캔 징후를 탐지 하기 위해서는, 포트 스캔의 경우 특정 대상(단말장치)으로 얼마나 다양한 포트에 대한 접근이 발생했는지 여부를 판단할 수 있어야 하며, 호스트 스윕의 경우 동일한 특정 포트를 이용하여 얼마나 많은 단말장치들에 접근했는지 여부를 판단할 수 있어야 한다. 즉, 스캔 대상이 될 수 있는 모든 주소와 모든 포트에 대해서 정보를 축적하여 임계치 이상의 접근이 있는 경우, 스캔이라고 판단을 하게 된다.In order to detect scan indications in the middle of the network, it is necessary to be able to judge how many ports have been accessed by a specific target (terminal device) in case of port scan, and how many It must be able to determine whether or not the terminal devices have been accessed. That is, if information is accumulated for all addresses and all ports that can be scanned and there is more than a threshold value, it is judged as a scan.

이때, 모든 정보들은 메모리 상에 특정 자료구조 형상으로 관리되는데, 새로운 값이 들어올 때마다, 지속적으로 자료구조가 확장되어 메모리 관리 측면에서 매우 복잡하게 동작을 하게 된다. 로직이 복잡한 만큼 동작 속도는 떨어질 수 밖에 없어 탐지율이 저하된다는 문제점이 있다. At this time, all information is managed in a specific data structure shape in memory. Whenever a new value is entered, the data structure is continuously extended, which causes a complicated operation in terms of memory management. There is a problem that the detection rate is lowered because the operation speed is lowered as the logic is complicated.

본 발명은 이러한 문제를 해결하기 위해 제안된 것으로, 블룸 필터를 이용한 네트워크 스캔 탐지 방법 및 장치를 제공하는데 그 목적이 있다. The present invention has been proposed to solve such a problem, and it is an object of the present invention to provide a network scan detection method and apparatus using a Bloom filter.

본 발명의 일 실시예에 따른 네트워크 스캔 탐지 방법은, 출발지 값, 제1 목적지 값 및 제2 목적지 값을 포함하는 예비 공격자 정보를 수신하는 단계, 예비 공격자 정보에 대응하는 공격자 후보 노드를 선택하는 단계, 예비 공격자 정보로부터 제2 목적지 값을 추출하여, 제2 목적지 값과 공격자 후보 노드에 포함된 블룸 필터(Bloom filter) 값을 비교하는 단계, 제2 목적지 값이 블룸 필터에 마킹(marking)되지 않은 새로운 값인 경우, 블룸 필터에 마킹하고 공격자 후보 노드에 포함된 계수기를 증가시키는 단계 및 계수기가 기 설정된 값에 도달하는 경우 출발지 값을 공격자로 결정하는 단계를 포함하는 것을 특징으로 한다. The network scan detection method according to an embodiment of the present invention includes receiving preliminary attacker information including a source value, a first destination value, and a second destination value, selecting an attacker candidate node corresponding to preliminary attacker information Comparing the second destination value with a Bloom filter value included in the attacker candidate node, extracting a second destination value from the preliminary attacker information, comparing the second destination value with a Bloom filter value included in the attacker candidate node, If the value is a new value, marking the Bloom filter and incrementing the counter included in the attacker candidate node, and determining the origin value as an attacker when the counter reaches a predetermined value.

본 발명의 다른 실시예에 따른 네트워크 스캔 탐지 장치는, 출발지 값, 제1 목적지 값 및 제2 목적지 값을 포함하는 예비 공격자 정보를 수신하는 통신부, 예비 공격자 정보에 대응하는 공격자 후보 노드를 선택하고, 예비 공격자 정보로부터 제2 목적지 값를 추출하여, 제2 목적지 값과 공격자 후보 노드에 포함된 블룸 필터(Bloom filter) 값을 비교하며, 제2 목적지 값이 블룸 필터에 마킹(marking)되지 않은 새로운 값인 경우 블룸 필터에 마킹하고 공격자 후보 노드에 포함된 계수기를 증가시키며, 계수기가 기 설정된 값에 도달하는 경우 출발지 값을 공격자로 결정하는 제어부 및 계수기와 블룸 필터를 포함하는 공격자 후보 노드에 대한 정보를 저장하는 저장부를 포함하는 것을 특징으로 한다.A network scan detection apparatus according to another embodiment of the present invention includes a communication unit for receiving preliminary attacker information including a source value, a first destination value, and a second destination value, an attacker candidate node corresponding to preliminary attacker information, Extracts a second destination value from the preliminary attacker information, compares a second destination value with a Bloom filter value included in the attacker candidate node, and if the second destination value is a new value that is not marked on the Bloom filter A controller for marking the bloom filter and increasing the counters included in the attacker candidate node and for determining the starting point value as an attacker when the counter reaches a predetermined value and for storing the information about the attacker candidate node including the counter and the bloom filter And a storage unit.

본 발명에 따르면, 예비 공격자에 의해서 발생하는 네트워크 스캔을 효과적으로 탐지하여 공격을 사전에 예방할 수 있다.According to the present invention, a network scan generated by a preliminary attacker can be effectively detected and an attack can be prevented in advance.

도 1은 본 발명이 적용되는 네트워크 시스템을 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 네트워크 스캔 탐지 장치의 내부 구성을 나타내는 블록도이다.
도 3은 본 발명의 일 실시예에 따른 네트워크 스캔 탐지 방법을 나타내는 순서도이다.
도 4는 본 발명의 일 실시예에 따른 예비 공격자 후보 노드를 나타내는 도면이다.
도 5은 본 발명의 일 실시예에 따른 예비 공격자 후보 노드를 선택하는 방법을 나타내는 순서도이다.
도 6은 본 발명의 일 실시예에 따른 예비 공격자 후보 노드를 선택하는 방법을 나타내는 도면이다.1 is a diagram illustrating a network system to which the present invention is applied.
2 is a block diagram illustrating an internal configuration of a network scan detection apparatus according to an embodiment of the present invention.
3 is a flowchart illustrating a network scan detection method according to an exemplary embodiment of the present invention.
4 is a diagram illustrating a preliminary attacker candidate node according to an embodiment of the present invention.
5 is a flowchart illustrating a method of selecting a preliminary attacker candidate node according to an exemplary embodiment of the present invention.
6 is a diagram illustrating a method for selecting a preliminary attacker candidate node according to an embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예들을 상세히 설명한다. 이 때, 첨부된 도면에서 동일한 구성 요소는 가능한 동일한 부호로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 흐리게 할 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략할 것이다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. Note that, in the drawings, the same components are denoted by the same reference symbols as possible. Further, the detailed description of well-known functions and constructions that may obscure the gist of the present invention will be omitted.

명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 장치를 사이에 두고 "간접적으로 연결"되어 있는 경우도 포함한다. 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part is referred to as being "connected" to another part, it includes not only "directly connected" but also "indirectly connected" between the devices in the middle. Throughout the specification, when an element is referred to as "comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise.

도 1은 본 발명이 적용되는 네트워크 시스템을 도시한 도면이다. 1 is a diagram illustrating a network system to which the present invention is applied.

도 1을 참조하면, 본 발명이 적용되는 네트워크 시스템은 적어도 하나 이상의 네트워크 장치(110, 111, 112, 113), 접속 차단 목록 생성 장치(120) 및 네트워크(130)를 포함한다. Referring to FIG. 1, a network system to which the present invention is applied includes at least one or more network devices 110, 111, 112, and 113, an access blocking list generating device 120, and a network 130.

본 발명에 있어서 네트워크 장치(110)는 컴퓨터, PC, 노트북, 휴대폰 등 네트워크(130)에 접속할 수 있는 모든 단말 장치를 포함할 수 있다. 또한, 네트워크(130)는 인터넷, 인트라넷 등 네트워크 장치(110)가 접속할 수 있는 모든 네트워크를 포함할 수 있다. In the present invention, the network device 110 may include all terminals capable of connecting to the network 130 such as a computer, a PC, a notebook computer, and a mobile phone. The network 130 may also include any network to which the network device 110, such as the Internet, an intranet, etc., may be connected.

본 발명의 일 실시예에 따른 네트워크 스캔 탐지 장치(120)는 네트워크 장치(110)와 네트워크(130) 사이에 위치한다. 특히, 네트워크 스캔 탐지 장치(120)는 게이트웨이(Gateway)에 위치할 수 있다. 또한, 네트워크 스캔 탐지 장치(120)는 네트워크 스캔 탐지 장치 기능 외에, 예를 들어, 트래픽 제어 기능, 보안 기능, 네트워크 장치 관리 기능 등, 다른 기능들을 함께 수행할 수도 있다. The network scan detection device 120 according to an embodiment of the present invention is located between the network device 110 and the network 130. In particular, the network scan detector 120 may be located at a gateway. In addition, the network scan detector 120 may perform other functions in addition to the network scan detector function, for example, traffic control function, security function, network device management function, and the like.

도 2는 본 발명의 일 실시예에 따른 네트워크 스캔 탐지 장치의 내부 구성을 나타내는 블록도이다. 2 is a block diagram illustrating an internal configuration of a network scan detection apparatus according to an embodiment of the present invention.

도 2를 참조하면, 본 발명의 일 실시예에 따른 네트워크 스캔 탐지 장치(200)는 통신부(210), 저장부(220) 및 제어부(230)를 포함할 수 있다. Referring to FIG. 2, the network scan detection apparatus 200 according to an embodiment of the present invention may include a communication unit 210, a storage unit 220, and a control unit 230.

통신부(210)는 네트워크 스캔 탐지 장치(200)와 네트워크 시스템을 연결하는 역할을 수행한다. 즉, 통신부(210)는 네트워크 스캔 탐지 장치(200)와 네트워크 장치(110) 및 네트워크(130) 간에 통신을 위한 데이터의 송수신 기능을 수행할 수 있다. 또한 본 발명의 실시예에 따르면, 통신부(210)는 출발지 값, 제1 목적지 값 및 제2 목적지 값을 포함하는 예비 공격자 정보를 수신할 수 있다. The communication unit 210 plays a role of connecting the network scan detection device 200 and the network system. That is, the communication unit 210 may perform data transmission / reception between the network scan detection device 200, the network device 110, and the network 130 for communication. Also, according to an embodiment of the present invention, the communication unit 210 may receive preliminary attacker information including a source value, a first destination value, and a second destination value.

저장부(220)는 네트워크 스캔 탐지 장치(200)의 동작에 필요한 프로그램 및 데이터를 저장하는 역할을 수행한다. 저장부(220)는 휘발성(volatile) 저장 매체 또는 비휘발성(nonvolatile) 저장 매체로 구성될 수 있으며, 양 저장 매체의 조합(combination)으로 구성될 수도 있다. 휘발성 저장 매체로는 RAM, DRAM, SRAM과 같은 반도체 메모리(semiconductor memory)가 포함될 수 있으며, 비휘발성 저장 매체로는 하드 디스크(hard disk), 플래시 낸드 메모리(Flash NAND Memory)가 포함될 수 있다. 본 발명의 실시예에 따르면, 저장부(220)는 계수기와 블룸 필터를 포함하는 공격자 후보 노드에 대한 정보를 저장할 수 있다. 또한, 저장부(220)는 해시 테이블을 저장할 수 있다. The storage unit 220 plays a role of storing programs and data necessary for the operation of the network scan detection apparatus 200. The storage unit 220 may be a volatile storage medium or a nonvolatile storage medium and may be a combination of both storage media. The volatile storage medium may include a semiconductor memory such as a RAM, a DRAM, and a SRAM. The nonvolatile storage medium may include a hard disk and a flash NAND memory. According to an embodiment of the present invention, the storage unit 220 may store information about an attacker candidate node including a counter and a Bloom filter. Also, the storage unit 220 may store a hash table.

제어부(230)는 네트워크 스캔 탐지 장치(200)의 전반적인 동작을 제어하는 구성요소이다. 본 발명에서 제어부(230)는 네트워크 스캔 탐지 장치(200)가 네트워크 스캔을 탐지하는 과정의 전반적인 동작을 제어하는 역할을 수행한다. The control unit 230 is a component that controls the overall operation of the network scan detection device 200. In the present invention, the control unit 230 controls the overall operation of the network scan detecting apparatus 200 in detecting a network scan.

제어부(230)는 예비 공격자 정보에 대응하는 공격자 후보 노드를 선택하고, 예비 공격자 정보로부터 제2 목적지 값를 추출하여, 제2 목적지 값과 공격자 후보 노드에 포함된 블룸 필터(Bloom filter) 값을 비교하며, 제2 목적지 값이 블룸 필터에 마킹(marking)되지 않은 새로운 값인 경우 블룸 필터에 마킹하고, 공격자 후보 노드에 포함된 계수기를 증가시키며, 계수기가 기 설정된 값에 도달하는 경우 출발지 값을 공격자로 결정할 수 있다. 이때, 제1 목적지 값은 목적지 주소 값이고 제2 목적지 값은 목적지 포트 값이거나, 제1 목적지 값은 목적지 포트 값이고 제2 목적지 값은 목적지 주소 값일 수 있다. 목적지 주소값은 IP 주소(Internet Protocol Address)일 수 있다. The controller 230 selects the attacker candidate node corresponding to the preliminary attacker information, extracts the second destination value from the preliminary attacker information, compares the second destination value with the Bloom filter value included in the attacker candidate node If the second destination value is a new value that is not marked on the Bloom filter, it is marked on the Bloom filter, the counter included in the attacker candidate node is incremented, and when the counter reaches a predetermined value, the source value is determined to be the attacker . Here, the first destination value may be a destination address value, the second destination value may be a destination port value, the first destination value may be a destination port value, and the second destination value may be a destination address value. The destination address value may be an IP address (Internet Protocol Address).

또한, 제어부(230)는 공격자 후보 노드를 선택 시, 예비 공격자 정보에 포함된 출발지 값과 제1 목적지 값을 기반으로 해시 키(hash key)를 생성하고, 해시 키와 예비 공격자 관리를 위한 해시 테이블을 비교하며, 해시 키가 해시 테이블에 존재하는 경우 예비 공격자 정보에 대응하는 탐지 노드를 공격자 후보 노드로 선택할 수 있다. 제어부(230)는 해시 키가 상기 해시 테이블에 존재하지 않는 경우 예비 공격자 정보에 대응하는 탐지 노드를 생성하고, 생성한 탐지 노드를 상기 공격자 후보 노드로 선택할 수 있다. When the attacker candidate node is selected, the control unit 230 generates a hash key based on the source value and the first destination value included in the preliminary attacker information, and generates a hash key and a hash table And if the hash key exists in the hash table, the attack node corresponding to the preliminary attacker information can be selected as the attacker candidate node. If the hash key does not exist in the hash table, the controller 230 generates a detection node corresponding to the preliminary attacker information and can select the generated detection node as the attacker candidate node.

이러한 네트워크 스캔 탐지 장치(200)의 동작은 아래에서 네트워크 스캔 탐지 방법과 함께 보다 상세히 설명하도록 한다. The operation of this network scan detector 200 will be described in more detail below with a network scan detection method.

도 3은 본 발명의 일 실시예에 따른 네트워크 스캔 탐지 방법을 나타내는 순서도이다. 3 is a flowchart illustrating a network scan detection method according to an exemplary embodiment of the present invention.

먼저 제어부(210)는 310 단계에서, 통신부(210)를 통해 출발지 값, 제1 목적지 값 및 제2 목적지 값을 포함하는 예비 공격자 정보를 수신할 수 있다. 이때, 제1 목적지 값은 목적지 주소 값이고 제2 목적지 값은 목적지 포트 값이거나, 제1 목적지 값은 목적지 포트 값이고 제2 목적지 값은 목적지 주소 값일 수 있다. 보다 상세히 설명하면, 제1 목적지 값이 목적지 주소 값이고 제2 목적지 값은 목적지 포트 값인 경우는 포트 스캔 방식을 탐지하기 위한 것이고, 제1 목적지 값이 목적지 포트 값이고 제2 목적지 값은 목적지 주소 값인 경우는 호스트 스윕 방식을 탐지하기 위한 것이다. 따라서, 본 발명의 일 실시예에 따른 네트워크 스캔 탐지 방법은 포트 스캔 및 호스트 스윕 모두를 탐지 가능한 방법이다. 이때, 목적지 주소값은 IP 주소(Internet Protocol Address)일 수 있다.The controller 210 may receive the preliminary attacker information including the source value, the first destination value, and the second destination value through the communication unit 210 in step 310. Here, the first destination value may be a destination address value, the second destination value may be a destination port value, the first destination value may be a destination port value, and the second destination value may be a destination address value. In more detail, when the first destination value is the destination address value and the second destination value is the destination port value, the port scan method is detected. The first destination value is the destination port value and the second destination value is the destination address value The case is to detect the host sweep scheme. Accordingly, the network scan detection method according to an exemplary embodiment of the present invention is a method capable of detecting both the port scan and the host sweep. At this time, the destination address value may be an IP address (Internet Protocol Address).

제어부(210)는 320 단계에서, 수신한 예비 공격자 정보에 대응하는 공격자 후보 노드를 선택할 수 있다. 본 발명의 일 실시예에 따르면, 예비 공격자들의 정보를 관리하기 위한 정보들이 해시 테이블 상에 노드 형태로 관리될 수 있다. 제어부(210)는 이러한 해시 테이블 상의 노드들 중, 수신한 예비 공격자 정보에 대응하는 공격자 후보 노드를 선택할 수 있다. 도 5 및 도 6을 참조하여 보다 상세히 설명하도록 한다. The controller 210 may select an attacker candidate node corresponding to the received preliminary attacker information in step 320. [ According to an embodiment of the present invention, information for managing information of preliminary attackers can be managed in a node form on a hash table. The control unit 210 can select an attacker candidate node corresponding to the received preliminary attacker information among the nodes on the hash table. This will be described in more detail with reference to FIGS. 5 and 6. FIG.

도 5은 본 발명의 일 실시예에 따른 예비 공격자 후보 노드를 선택하는 방법을 나타내는 순서도이고, 도 6은 본 발명의 일 실시예에 따른 예비 공격자 후보 노드를 선택하는 방법을 나타내는 도면이다.FIG. 5 is a flowchart illustrating a method of selecting a preliminary attacker candidate node according to an embodiment of the present invention, and FIG. 6 illustrates a method of selecting a preliminary attacker candidate node according to an embodiment of the present invention.

도 5 및 도 6을 참조하면, 공격자 후보 노드를 선택하는 과정은 다음과 같다. 먼저, 510 단계에서 제어부(210)는 수신한 예비 공격자 정보에 포함된 출발지 값과 제1 목적지 값을 기반으로 해시 키(hash key)를 생성한다. 이때 해시 키는 출발지 값과 제1 목적지 값을 기반으로 생성되는 바, 동일한 출발지 값과 제1 목적지 값을 갖는 경우 동일한 값으로 생성된다. 5 and 6, a process of selecting an attacker candidate node is as follows. First, in step 510, the control unit 210 generates a hash key based on the source value and the first destination value included in the received preliminary attacker information. At this time, the hash key is generated based on the source value and the first destination value, and is generated to have the same value when the source value and the first destination value are the same.

그 후, 520 단계에서 제어부(210),는 생성된 해시 키를 저장부(220)에 저장되어 있는 해시 키와 예비 공격자 관리를 위한 해시 테이블(610)과 비교한다. 해시 테이블(610)에는 각 값마다 대응하는 공격자 후보 노드(621, 622, 623, 624, 625, 626)가 존재할 수 있다. 또한, 하나의 값에 복수 개의 공격자 후보 노드(620)가 존재할 수도 있다. 도 6에서는 하나의 해시 테이블(610)만이 존재하는 것으로 설명하고 있으나, 복수의 해시 테이블이 존재할 수도 있다. 이 경우, 복수의 해시 테이블을 이용하여 공격자 후보 노드를 보다 정확히 특정할 수 있다. Thereafter, in step 520, the control unit 210 compares the generated hash key with the hash table stored in the storage unit 220 and the hash table 610 for preliminary attacker management. The hash table 610 may have attacker candidate nodes 621, 622, 623, 624, 625, and 626 corresponding to each value. In addition, a plurality of attacker candidate nodes 620 may exist in one value. Although only one hash table 610 exists in FIG. 6, a plurality of hash tables may exist. In this case, the attacker candidate node can be more accurately specified using a plurality of hash tables.

제어부(210)는 530 단계에서 생성된 해시 키가 해시 테이블(610)에 존재하는지 여부를 판단한다. 제어부(210)가 530 단계에서 생성된 해시 키가 해시 테이블(610)에 존재한다고 판단하는 경우, 제어부(210)는 550 단계로 진행하여 예비 공격자 정보에 대응하는 탐지 노드를 공격자 후보 노드로 선택할 수 있다. The control unit 210 determines whether the hash key generated in step 530 exists in the hash table 610. [ If the control unit 210 determines that the hash key generated in step 530 exists in the hash table 610, the control unit 210 proceeds to step 550 and selects a detection node corresponding to the preliminary attacker information as the attacker candidate node have.

제어부(210)가 530 단계에서 생성된 해시 키가 해시 테이블(610)에 존재하지 않는다고 판단하는 경우, 제어부(210)는 540 단계로 진행하여 예비 공격자 정보에 대응하는 탐지 노드를 생성하고, 560 단계에서, 생성한 탐지 노드를 공격자 후보 노드로 선택할 수 있다.If the control unit 210 determines that the hash key generated in step 530 does not exist in the hash table 610, the control unit 210 generates a detection node corresponding to the preliminary attacker information in step 540, , The generated detection node can be selected as the attacker candidate node.

다시 도 3으로 돌아가면, 제어부(210)는 330 단계에서 예비 공격자 정보로부터 제2 목적지 값를 추출하여, 제2 목적지 값과 공격자 후보 노드에 포함된 블룸 필터(Bloom filter) 값을 비교할 수 있다. 3, the control unit 210 may extract the second destination value from the preliminary attacker information and compare the second destination value with the Bloom filter value included in the attacker candidate node.

제어부(210)는 340 단계에서, 제2 목적지 값이 블룸 필터(420)에 마킹(marking)되지 않은 새로운 값인 경우, 350 단계로 진행하여 블룸 필터(420)에 마킹하고 공격자 후보 노드에 포함된 계수기(410)를 증가시킬 수 있다. 도 4를 참조하여 보다 상세히 설명하도록 한다.If the second destination value is a new value that is not marked on the bloom filter 420 in step 340, the controller 210 proceeds to step 350 to mark the bloom filter 420, (410). This will be described in more detail with reference to FIG.

도 4는 본 발명의 일 실시예에 따른 예비 공격자 후보 노드를 나타내는 도면이다. 도 4를 참조하면, 각 예비 공격자 후보 노드(200)는 계수기(410)와 블룸 필터(420)를 포함할 수 있다. 4 is a diagram illustrating a preliminary attacker candidate node according to an embodiment of the present invention. Referring to FIG. 4, each preliminary attacker candidate node 200 may include a counter 410 and a Bloom filter 420.

계수기(410)는 데이터, 즉, 제2 목적지 값이 입력되는 경우, 기존에 같은 데이터가 존재하면 이를 카운팅(counting)하여 계수기 수치를 증가시킬 수 있다. The counter 410 may increase the counter value by counting the same data if the second destination value is input.

블룸 필터(420)는 데이터를 매우 고속으로 처리할 수 있는 필터로, 원소가 집합에 속하는지 여부를 검사하는데 사용되는 확률적 자료 구조이다. 블룸 필터 사용 시, 원소가 집합에 속하지 않으면서 속한다고 판단하는 긍정오류는 발생할 수 있지만, 원소가 집합에 속하면서도 속하지 않는다고 판단하는 부정 오류는 저대로 발생하지 않는 특징이 있다. 따라서, 스캔을 위한 패킷이 수신되었으나 수신되지 않았다는 오류는 발생할 수 없어 정확도가 높고, 긍정오류의 문제 역시 필터의 크기와 해시 함수의 개수에 의해서 극소화 할 수 있다는 장점이 있다. The Bloom filter 420 is a filter capable of processing data at a very high speed and is a probabilistic data structure used for checking whether an element belongs to a set. When using a Bloom filter, a positive error may occur that determines that an element does not belong to a set, but a negative error that determines that an element belongs to a set does not belong to the set. Therefore, the error that the packet for the scan is received but not received can not occur, and the accuracy is high, and the problem of the positive error can be minimized by the size of the filter and the number of hash functions.

이러한 높은 속도와 정확성을 갖는 블룸 필터(420)를 이용하여 스캔 여부를 탐지함으로써 탐지율과 탐지 속도를 향상시킬 수 있다. The detection rate and the detection speed can be improved by detecting the scan using the Bloom filter 420 having such a high speed and accuracy.

제어부(210)는 360 단계에서 계수기(410)가 기 설정된 값에 도달하는지 여부를 판단하여, 계수기(410)가 기 설정된 값에 도달하는 경우, 370 단계로 진행하여, 출발지 값을 공격자로 결정하여 공격을 위한 사전작업에 따른 스캔을 탐지할 수 있다. The controller 210 determines whether the counter 410 has reached a predetermined value in step 360. If the counter 410 has reached a preset value, the controller 210 proceeds to step 370 to determine the starting value as an attacker Scan for pre-work for attack can be detected.

전체적인 스캔 탐지 과정을 구체적으로 다시 한 번 설명하면, 포트 스캔의 경우, 특정 목적지 주소를 기준으로 다양한 서비스 포트를 스캔 하므로, 공격자 후보 노드는 출발지 주소 및 목적지 주소를 기반으로 관리되며, 목적지 포트를 이용하여 블룸 필터(610) 처리를 수행하게 된다. 따라서, 320 단계에서 출발지 주소 및 목적지 주소를 기반으로 공격자 후보 노드를 선택할 수 있으며, 340 단계에서 목적지 포트가 새로운 목적지 값인지 여부를 판단할 수 있다. In the port scan, since the various service ports are scanned based on a specific destination address, the attacker candidate nodes are managed based on the source address and the destination address, and the destination port is used Thereby performing a Bloom filter 610 process. Accordingly, the attacker candidate node can be selected based on the source address and the destination address in step 320. In step 340, it can be determined whether the destination port is a new destination value.

이와 비교하여 호스트 스윕의 경우, 특정 서비스 포트를 기준으로 다양한 목적지 주소를 스캔 하므로, 공격자 후보 노드는 출발지 주소 및 목적지 포트를 기반으로 관리되며 목적지 주소를 이용하여 블룸 필터(610) 처리를 수행하게 된다. 따라서, 320 단계에서 출발지 주소 및 목적지 포트를 기반으로 공격자 후보 노드를 선택할 수 있으며, 340 단계에서 목적지 주소가 새로운 목적지 값인지 여부를 판단할 수 있다. In contrast, in the case of the host sweep, since various destination addresses are scanned based on a specific service port, the attacker candidate node is managed based on the source address and the destination port, and performs processing of the Bloom filter 610 using the destination address . Accordingly, the attacker candidate node may be selected based on the source address and the destination port in step 320, and it may be determined in step 340 whether the destination address is a new destination value.

본 명세서와 도면에 개시된 본 발명의 실시예들은 본 발명의 기술 내용을 쉽게 설명하고 본 발명의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.The embodiments of the present invention disclosed in the present specification and drawings are intended to be illustrative only and not intended to limit the scope of the present invention. It will be apparent to those skilled in the art that other modifications based on the technical idea of the present invention are possible in addition to the embodiments disclosed herein.

210: 통신부
220: 저장부
230: 제어부210:
220:
230:

Claims (12)

네트워크 스캔 탐지 방법에 있어서,
출발지 값, 제1 목적지 값 및 제2 목적지 값을 포함하는 예비 공격자 정보를 수신하는 단계;
상기 예비 공격자 정보에 대응하는 공격자 후보 노드를 선택하는 단계;
상기 예비 공격자 정보로부터 상기 제2 목적지 값를 추출하여, 상기 제2 목적지 값과 상기 공격자 후보 노드에 포함된 블룸 필터(Bloom filter) 값을 비교하는 단계;
상기 제2 목적지 값이 상기 블룸 필터에 마킹(marking)되지 않은 새로운 값인 경우, 상기 블룸 필터에 마킹하고 상기 공격자 후보 노드에 포함된 계수기를 증가시키는 단계; 및
상기 계수기가 기 설정된 값에 도달하는 경우 상기 출발지 값을 공격자로 결정하는 단계를 포함하고,
상기 공격자 후보 노드를 선택하는 단계는,
상기 예비 공격자 정보에 포함된 상기 출발지 값과 상기 제1 목적지 값을 기반으로 해시 키(hash key)를 생성하는 단계;
상기 해시 키와 예비 공격자 관리를 위한 해시 테이블을 비교하는 단계; 및
상기 해시 키가 상기 해시 테이블에 존재하는 경우, 상기 예비 공격자 정보에 대응하는 탐지 노드를 상기 공격자 후보 노드로 선택하는 단계를 포함하는 것을 특징으로 하는 네트워크 스캔 탐지 방법.
A network scan detection method comprising:
Receiving preliminary attacker information including a source value, a first destination value, and a second destination value;
Selecting an attacker candidate node corresponding to the preliminary attacker information;
Extracting the second destination value from the preliminary attacker information and comparing the second destination value with a Bloom filter value included in the attacker candidate node;
Marking the Bloom filter and incrementing a counter included in the attacker candidate node if the second destination value is a new value not marked on the Bloom filter; And
Determining the origin value as an attacker if the counter reaches a predetermined value,
The step of selecting the attacker candidate node comprises:
Generating a hash key based on the source value and the first destination value included in the preliminary attacker information;
Comparing the hash key with a hash table for preliminary attacker management; And
And selecting the detection node corresponding to the preliminary attacker information as the attacker candidate node if the hash key exists in the hash table.
삭제delete 제1항에 있어서,
상기 해시 키가 상기 해시 테이블에 존재하지 않는 경우, 상기 예비 공격자 정보에 대응하는 탐지 노드를 생성하는 단계; 및
상기 생성한 탐지 노드를 상기 공격자 후보 노드로 선택하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 스캔 탐지 방법.
The method according to claim 1,
Generating a detection node corresponding to the preliminary attacker information if the hash key is not present in the hash table; And
And selecting the generated detection node as the attacker candidate node.
제1항에 있어서,
상기 제1 목적지 값은 목적지 주소 값이고, 상기 제2 목적지 값은 목적지 포트 값인 것을 특징으로 하는 네트워크 스캔 탐지 방법.
The method according to claim 1,
Wherein the first destination value is a destination address value and the second destination value is a destination port value.
제1항에 있어서,
상기 제1 목적지 값은 목적지 포트 값이고, 상기 제2 목적지 값은 목적지 주소 값인 것을 특징으로 하는 네트워크 스캔 탐지 방법.
The method according to claim 1,
Wherein the first destination value is a destination port value and the second destination value is a destination address value.
제4항 또는 제5항에 있어서,
상기 목적지 주소값은 IP 주소(Internet Protocol Address)인 것을 특징으로 하는 네트워크 스캔 탐지 방법.
The method according to claim 4 or 5,
Wherein the destination address value is an Internet Protocol address.
네트워크 스캔 탐지 장치에 있어서,
출발지 값, 제1 목적지 값 및 제2 목적지 값을 포함하는 예비 공격자 정보를 수신하는 통신부;
상기 예비 공격자 정보에 대응하는 공격자 후보 노드를 선택하고, 상기 예비 공격자 정보로부터 상기 제2 목적지 값를 추출하여, 상기 제2 목적지 값과 상기 공격자 후보 노드에 포함된 블룸 필터(Bloom filter) 값을 비교하며, 상기 제2 목적지 값이 상기 블룸 필터에 마킹(marking)되지 않은 새로운 값인 경우 상기 블룸 필터에 마킹하고 상기 공격자 후보 노드에 포함된 계수기를 증가시키며, 상기 계수기가 기 설정된 값에 도달하는 경우 상기 출발지 값을 공격자로 결정하는 제어부; 및
상기 계수기와 상기 블룸 필터를 포함하는 상기 공격자 후보 노드에 대한 정보를 저장하는 저장부를 포함하고,
상기 제어부는,
상기 공격자 후보 노드를 선택 시,
상기 예비 공격자 정보에 포함된 상기 출발지 값과 상기 제1 목적지 값을 기반으로 해시 키(hash key)를 생성하고, 상기 해시 키와 예비 공격자 관리를 위한 해시 테이블을 비교하며, 상기 해시 키가 상기 해시 테이블에 존재하는 경우 상기 예비 공격자 정보에 대응하는 탐지 노드를 상기 공격자 후보 노드로 선택하는 것을 특징으로 하고,
상기 저장부는 상기 해시 테이블을 저장하는 것을 특징으로 하는 네트워크 스캔 탐지 장치.
A network scan detection device comprising:
A communication unit for receiving preliminary attacker information including a starting point value, a first destination value, and a second destination value;
Selects an attacker candidate node corresponding to the preliminary attacker information, extracts the second destination value from the preliminary attacker information, compares the second destination value with a Bloom filter value included in the attacker candidate node , And when the second destination value is a new value not marked on the Bloom filter, it marks the Bloom filter and increases a counter included in the attacker candidate node, and when the counter reaches a preset value, A control unit for determining the value as an attacker; And
And a storage unit for storing information on the attacker candidate node including the counter and the Bloom filter,
Wherein,
Upon selecting the attacker candidate node,
Generating a hash key based on the source value and the first destination value included in the preliminary attacker information, comparing the hash key with a hash table for preliminary attacker management, The attacker candidate node selecting a detection node corresponding to the preliminary attacker information if the attacker candidate exists in the table,
And the storage unit stores the hash table.
삭제delete 제7항에 있어서,
상기 제어부는,
상기 해시 키가 상기 해시 테이블에 존재하지 않는 경우 상기 예비 공격자 정보에 대응하는 탐지 노드를 생성하고, 상기 생성한 탐지 노드를 상기 공격자 후보 노드로 선택하는 것을 특징으로 하는 네트워크 스캔 탐지 장치.
8. The method of claim 7,
Wherein,
Generates a detection node corresponding to the preliminary attacker information if the hash key does not exist in the hash table, and selects the generated detection node as the attacker candidate node.
제7항에 있어서,
상기 제1 목적지 값은 목적지 주소 값이고, 상기 제2 목적지 값은 목적지 포트 값인 것을 특징으로 하는 네트워크 스캔 탐지 장치.
8. The method of claim 7,
Wherein the first destination value is a destination address value and the second destination value is a destination port value.
제7항에 있어서,
상기 제1 목적지 값은 목적지 포트 값이고, 상기 제2 목적지 값은 목적지 주소 값인 것을 특징으로 하는 네트워크 스캔 탐지 장치.
8. The method of claim 7,
Wherein the first destination value is a destination port value and the second destination value is a destination address value.
제10항 또는 제11항에 있어서,
상기 목적지 주소값은 IP 주소(Internet Protocol Address)인 것을 특징으로 하는 네트워크 스캔 탐지 장치.The method according to claim 10 or 11,
Wherein the destination address value is an IP address.
KR1020130094025A 2013-08-08 2013-08-08 Apparatus and method for detecting network scanning KR101499666B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130094025A KR101499666B1 (en) 2013-08-08 2013-08-08 Apparatus and method for detecting network scanning

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130094025A KR101499666B1 (en) 2013-08-08 2013-08-08 Apparatus and method for detecting network scanning

Publications (2)

Publication Number Publication Date
KR20150017875A KR20150017875A (en) 2015-02-23
KR101499666B1 true KR101499666B1 (en) 2015-03-06

Family

ID=53046505

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130094025A KR101499666B1 (en) 2013-08-08 2013-08-08 Apparatus and method for detecting network scanning

Country Status (1)

Country Link
KR (1) KR101499666B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101774242B1 (en) * 2017-01-02 2017-09-19 주식회사 파이오링크 Method and apparatus for detecting network scanning
KR102259158B1 (en) * 2019-10-01 2021-06-02 인하대학교 산학협력단 Efficient ransomware detection method and system using bloom-filter

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110034530A (en) * 2009-09-28 2011-04-05 한국인터넷진흥원 Ip filtering method for countering ddos attacks based on history
KR20110040152A (en) * 2009-10-13 2011-04-20 한국전자통신연구원 Method for reverse tracking of attaker packet and system for the same
KR20110075569A (en) * 2009-12-28 2011-07-06 경희대학교 산학협력단 Method for tracebacking packet sensor network
JP4743901B2 (en) * 2004-07-22 2011-08-10 インターナショナル・ビジネス・マシーンズ・コーポレーション Method, system and computer program for detecting unauthorized scanning on a network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4743901B2 (en) * 2004-07-22 2011-08-10 インターナショナル・ビジネス・マシーンズ・コーポレーション Method, system and computer program for detecting unauthorized scanning on a network
KR20110034530A (en) * 2009-09-28 2011-04-05 한국인터넷진흥원 Ip filtering method for countering ddos attacks based on history
KR20110040152A (en) * 2009-10-13 2011-04-20 한국전자통신연구원 Method for reverse tracking of attaker packet and system for the same
KR20110075569A (en) * 2009-12-28 2011-07-06 경희대학교 산학협력단 Method for tracebacking packet sensor network

Also Published As

Publication number Publication date
KR20150017875A (en) 2015-02-23

Similar Documents

Publication Publication Date Title
CN109889547B (en) Abnormal network equipment detection method and device
US10430586B1 (en) Methods of identifying heap spray attacks using memory anomaly detection
US10666672B2 (en) Collecting domain name system traffic
US20130212680A1 (en) Methods and systems for protecting network devices from intrusion
WO2021139643A1 (en) Method and apparatus for detecting encrypted network attack traffic, and electronic device
US11611562B2 (en) Network asset vulnerability detection
US11178114B2 (en) Data processing method, device, and system
US9860272B2 (en) System and method for detection of targeted attack based on information from multiple sources
CN103780430A (en) Method and device for monitoring network equipment
CN107438068B (en) method and device for preventing ARP attack
CN104601557A (en) Method and system for defending malicious websites based on software-defined network
US9398045B2 (en) Network device and method for avoiding address resolution protocol attack
WO2012071992A1 (en) Method and apparatus for high performance, updatable, and deterministic hash table for network equipment
CN107241313B (en) Method and device for preventing MAC flooding attack
KR101499666B1 (en) Apparatus and method for detecting network scanning
CN109617972B (en) Connection establishing method and device, electronic equipment and storage medium
KR100687736B1 (en) Apparatus for recognizing abnormal and destructive traffic in network and Method thereof
JP6534438B2 (en) Network scan detection method and apparatus
CN105635159B (en) Method for blocking and system based on keyword
RU2622788C1 (en) Method for protecting information-computer networks against cyber attacks
CN104917729A (en) Network device and method for preventing address resolution protocol message from being attacked
KR101428004B1 (en) Method and device for detecting malicious processes outflow data
CN107070861B (en) Method and system for discovering worm victim nodes of Internet of things equipment under sampling flow
KR101872072B1 (en) Sharer Security Incident Inspecting Method And System Threof
CN110535844B (en) Malicious software communication activity detection method, system and storage medium

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200302

Year of fee payment: 6