KR101518852B1 - Security system including ips device and ids device and operating method thereof - Google Patents

Security system including ips device and ids device and operating method thereof Download PDF

Info

Publication number
KR101518852B1
KR101518852B1 KR1020130161574A KR20130161574A KR101518852B1 KR 101518852 B1 KR101518852 B1 KR 101518852B1 KR 1020130161574 A KR1020130161574 A KR 1020130161574A KR 20130161574 A KR20130161574 A KR 20130161574A KR 101518852 B1 KR101518852 B1 KR 101518852B1
Authority
KR
South Korea
Prior art keywords
signature
packet
load
signatures
signature group
Prior art date
Application number
KR1020130161574A
Other languages
Korean (ko)
Inventor
한영호
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020130161574A priority Critical patent/KR101518852B1/en
Application granted granted Critical
Publication of KR101518852B1 publication Critical patent/KR101518852B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

According to an embodiment of the present invention, a security system includes: an intrusion prevention system (IPS) device including a first database storing a first signature group; and an intrusion detection system (IDS) device including a second database storing a second signature group. The IPS device includes: a first security unit which determines whether a packet is malicious or not according to signatures of the first signature group and blocks the packet based on the results of determination; a load sensing unit that detects a load signature, which causes overload on the first security unit, among the signatures of the first signature group by using a threshold value; and a first data base managing unit formed to eliminate the load signature from the first signature group. The IDS device updates the second signature group by adding the load signature into the second signature group and executes security inspection according to the updated second signature group.

Description

IPS 장치 및 IDS 장치를 포함하는 보안 시스템 및 그것의 동작 방법{SECURITY SYSTEM INCLUDING IPS DEVICE AND IDS DEVICE AND OPERATING METHOD THEREOF}TECHNICAL FIELD [0001] The present invention relates to a security system including an IPS device and an IDS device, and a security system including the IPS device and the IDS device.

본 발명은 전자 기기에 관한 것으로서, 좀 더 구체적으로는 IPS 장치 및 IDS 장치를 포함하는 보안 시스템 및 그것의 동작 방법에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an electronic device, and more particularly, to a security system including an IPS device and an IDS device and a method of operating the same.

웹 서비스는 인터넷 네트워크 기술의 발전과 더불어 폭발적으로 증가하여 인터넷을 사용하는 거의 모든 사람들이 웹 서비스를 통해 정보를 검색하고 수집하는 정보의 기반 시설이 되었다. 그러나 이러한 폭넓은 사용으로 인해 웹 서비스는 대부분의 공격, 예를 들면 바이러스, 멀웨어 및 취약점 공격 등의 주요 경로가 되고 있다. 특히 대부분의 바이러스, 멀웨어 및 취약점 공격 등은 특정 분류의 사이트를 통해 전파된다. 예를 들면, 사람들의 호기심을 자극하는 도박, 성인 사이트 등을 통해 바이러스, 멀웨어 및 취약점 공격 등이 전파될 수 있다.Web services have exploded with the development of Internet network technology, making it the infrastructure of information that nearly everyone using the Internet searches and collects information through Web services. However, due to this widespread use, Web services are becoming a major path for most attacks, such as viruses, malware, and vulnerability attacks. In particular, most viruses, malware, and vulnerability attacks spread through a particular category of sites. For example, viruses, malware and vulnerability attacks can spread through gambling, adult sites, etc., which stimulate people's curiosity.

이러한 네트워크를 통한 공격에 대응하기 위해 다양한 보안 장치들이 제공되고 있다. 예를 들면 IDS(Intrusion Detection System) 장치, IPS(Intrusion Protection System) 장치, 그리고 통합 기능을 제공하는 UTM(Unified Threat Management) 등 다양한 보안 장치들이 네트워크 상 각 지점의 특성에 맞게 사용될 수 있다.Various security devices are being provided to cope with attacks through such a network. Various security devices such as IDS (Intrusion Detection System) device, IPS (Intrusion Protection System) device, and Unified Threat Management (UTM) providing integration function can be used according to characteristics of each point on the network.

IDS(Intrusion Detection System) 장치는 실제 트래픽에는 영향을 주지 않으면서 공격 탐지를 수행한다. IDS 장치는 시그니처들을 저장하는 데이터 베이스를 보유하고, 패킷 유입 시 시그니처들 각각과 패킷을 비교하여 공격을 탐지한다. IDS 장치는 주로 패킷의 복사본을 그 대상으로 하며, 따라서 실제 트래픽에 영향을 주지는 않는다. IDS 장치가 공격을 탐지하는데 걸리는 시간과 무관하게, 트래픽 상의 패킷은 복사본을 제공하고 바로 전송되므로 서비스 지연이 발생하지 않는다. 하지만 IDS 장치는 공격이 탐지된 경우 해당 패킷을 차단하지 못하고 통과시키는 문제점을 가진다.An IDS (Intrusion Detection System) device performs attack detection without affecting actual traffic. The IDS device has a database for storing signatures, and compares packets with each of the signatures upon packet entry to detect attacks. An IDS device primarily targets a copy of a packet, and therefore does not affect actual traffic. Regardless of the time it takes for the IDS device to detect the attack, the packets on the traffic are delivered immediately, and thus no service delays occur. However, the IDS device has a problem that if an attack is detected, the packet can not be blocked and passed.

IPS(Intrusion Protection System) 장치는 공격을 탐지한 후 탐지 결과에 따라 해당 패킷을 실제로 차단한다. IPS 장치는 시그니처들을 저장하는 데이터 베이스를 보유하고, 패킷과 시그니처를 비교하여 공격을 탐지한다. IPS 장치는 수신된 패킷의 원본을 대상으로 하여 공격 여부를 탐지하고, 실제 공격으로 판단 될 경우 해당 패킷을 차단할 수 있다. 공격 여부를 탐지하기 위한 패턴 매칭이 완료될 때까지 패킷은 IPS 장치에 홀딩되며 패턴 매칭이 종료되어야만 전송된다. 따라서 IPS 장치는 패킷과 시그니처를 비교함에 있어 과도한 부하를 일으키는 시그니처에 취약한 문제를 가진다.The IPS (Intrusion Protection System) device detects the attack and actually blocks the packet according to the detection result. The IPS device has a database that stores signatures, and compares the packets and signatures to detect attacks. The IPS device detects an attack based on the original of the received packet, and blocks the packet when it is determined that the attack is an actual attack. Until the pattern matching for detecting the attack is completed, the packet is held in the IPS device and is sent only after pattern matching is completed. Therefore, IPS devices are vulnerable to signatures that cause excessive load in comparing packets and signatures.

한편, IDS 장치 또는 IPS 장치에 다수의 시그니처들이 탑재된 경우 복수의 시그니처들 각각이 패킷과 비교되어야 하므로 보안 검사의 소요 시간은 길어질 수 있다. 또한 IDS 장치 또는 IPS 장치에 제공되는 각 시그니처가 패킷과의 비효율적으로 기술되어 있는 경우(예를 들면 패턴 매칭에 있어서 장시간 소요될 여지가 있는 문자열 등을 포함하는 경우) 각 시그니처가 패킷과 비교되는 데에 소요되는 시간은 길어질 수 있다. 예를 들면 하나의 시그니처가 패킷과의 패턴 매칭에 있어서 과부하를 가져와서 IDS 장치 및 IPS 장치에 과부하는 유발하고 소요 시간을 지연시키는 경우가 발생할 수 있다.On the other hand, when a plurality of signatures are mounted on the IDS device or the IPS device, the plurality of signatures must be compared with the packets, so that the time required for the security check may be long. In addition, when each signature provided to the IDS device or the IPS device is described inefficiently with respect to the packet (for example, when the pattern includes a character string that is long enough to be used for pattern matching), each signature is compared with the packet The time required can be long. For example, a single signature may cause an overload in pattern matching with a packet, causing an overload in the IDS device and an IPS device, and delaying the time required.

결국 IDS 장치 및 IPS 장치는 그것에 탑재된 시그니처들의 개수, 그리고 탑재된 시그니처들 각각의 최적화 정도에 따라서 성능이 그 좌우된다.Ultimately, the performance of the IDS device and the IPS device depends on the number of signatures mounted on it and the degree of optimization of each of the mounted signatures.

본 발명의 목적은 IDS 장치 및 IPS 장치를 포함하는 보안 시스템의 동작 속도를 향상시기키 위한 것이다.It is an object of the present invention to improve the operation speed of a security system including an IDS device and an IPS device.

본 발명의 실시 예에 따른 보안 시스템은 제 1 시그니처 그룹을 저장하는 제 1 데이터 베이스를 포함하는 IPS(Intrusion Protection System) 장치; 및 제 2 시그니처 그룹을 저장하는 제 2 데이터 베이스를 포함하는 IDS(Intrusion Detection System) 장치를 포함한다. 상기 IPS 장치는, 상기 제 1 시그니처 그룹의 시그니처들에 따라 패킷이 악성인지 여부를 판별하고 판별 결과에 따라 상기 패킷을 차단하도록 구성되는 제 1 보안 유닛; 임계값을 이용하여 상기 제 1 시그니처 그룹의 시그니처들 중 상기 제 1 보안 유닛에 과부하를 유발하는 부하 시그니처를 검출하도록 구성되는 부하 감지 유닛; 및 상기 부하 시그니처를 상기 제 1 시그니처 그룹에서 제외하도록 구성되는 제 1 데이터 베이스 관리 유닛을 더 포함한다. 상기 IDS 장치는, 상기 제 2 시그니처 그룹에 상기 부하 시그니처가 포함되도록 상기 제 2 시그니처 그룹을 업데이트하고, 상기 업데이트된 제 2 시그니처 그룹에 따라 보안 검사를 수행한다.A security system according to an embodiment of the present invention includes an Intrusion Protection System (IPS) device including a first database for storing a first signature group; And an IDS (Intrusion Detection System) device including a second database for storing a second signature group. The IPS device includes a first security unit configured to determine whether a packet is malicious according to the signatures of the first signature group and to block the packet according to the determination result; A load detection unit configured to detect a load signature that causes an overload in the first security unit of the signatures of the first signature group using a threshold value; And a first database management unit configured to exclude the load signature from the first signature group. The IDS device updates the second signature group so that the load signature is included in the second signature group, and performs the security check according to the updated second signature group.

실시 예로서, 상기 IPS 장치는 상기 제 1 보안 유닛의 제어에 따라 상기 패킷을 외부로 전송하도록 구성되는 전송 유닛을 더 포함하고, 상기 제 1 보안 유닛은 상기 패킷이 악성일 때 상기 패킷을 차단하고, 상기 패킷이 악성이 아닐 때 상기 패킷을 상기 전송 유닛을 통해 외부로 전송할 수 있다.In an embodiment, the IPS device further comprises a transmission unit configured to transmit the packet externally under the control of the first security unit, wherein the first security unit blocks the packet when the packet is malicious , And may transmit the packet to the outside through the transmission unit when the packet is not malicious.

실시 예로서, 상기 부하 감지 유닛은 상기 제 1 시그니처 그룹의 시그니처들 각각을 이용하여 상기 패킷이 악성인지 여부를 판별하는 소요 시간을 체크하고, 상기 소요 시간이 상기 임계값보다 길 때 해당 시그니처를 상기 부하 시그니처로서 검출할 수 있다.As an embodiment, the load sensing unit may check the time required to determine whether the packet is malicious using each of the signatures of the first signature group, and if the required time is longer than the threshold, Can be detected as a load signature.

실시 예로서, 상기 부하 감지 유닛은 상기 제 1 시그니처 그룹의 시그니처들 각각을 이용하여 상기 패킷이 악성인지 여부를 판별하는 소요 시간을 체크하고, 상기 소요 시간이 기준값보다 길 때 해당 시그니처에 대응하는 카운트 값을 증가시킬 수 있다.As an embodiment, the load sensing unit may check the time required to determine whether the packet is malicious using each of the signatures of the first signature group, and if the required time is longer than the reference value, Value can be increased.

실시 예로서, 상기 부하 감지 유닛은 상기 카운트 값이 상기 임계값보다 클 때 해당 시그니처를 상기 부하 시그니처로서 검출할 수 있다.In an embodiment, the load sensing unit may detect the signature as the load signature when the count value is greater than the threshold value.

실시 예로서, 상기 제 1 보안 유닛은 상기 부하 시그니처가 제외된 상기 제 1 시그니처 그룹의 시그니처들에 따라 상기 패킷 이후에 수신된 제 2 패킷이 악성인지 여부를 판별하고, 판별 결과에 따라 상기 제 2 패킷을 차단할 수 있다.As an embodiment, the first security unit may determine whether the second packet received after the packet is malicious according to the signatures of the first signature group excluding the load signature, Packets can be blocked.

실시 예로서, 상기 IPS 장치는 상기 패킷을 복사하도록 구성되는 복사 유닛을 더 포함하고, 상기 복사 유닛은 상기 IDS 장치에 전송될 수 있다.In an embodiment, the IPS device further comprises a copying unit configured to copy the packet, and the copying unit may be transmitted to the IDS device.

실시 예로서, 상기 IDS 장치는, 상기 제 2 시그니처 그룹에 상기 부하 시그니처를 포함시켜 상기 제 2 시그니처 그룹을 업데이트하도록 구성되는 제 2 데이터 베이스 관리 유닛; 및 상기 업데이트된 제 2 시그니처 그룹의 시그니처들에 따라 보안 검사를 수행하도록 구성되는 제 2 보안 유닛을 포함할 수 있다.In an embodiment, the IDS device comprises: a second database management unit configured to include the load signature in the second signature group to update the second signature group; And a second security unit configured to perform a security check according to the signatures of the updated second signature group.

본 발명의 다른 일면은 네트워크 상에 연결된 호스트를 관리하기 위한 보안 시스템의 동작 방법에 관한 것이다. 상기 보인 시스템은 제 1 시그니처 그룹을 저장하는 제 1 데이터 베이스를 포함하는 IPS(Intrusion Prevention System) 장치, 그리고 제 2 시그니처 그룹을 저장하는 제 2 데이터 베이스를 포함하는 IDS(Intrusion Detection System) 장치를 포함한다. 본 발명의 실시 예에 따른 보안 시스템의 동작 방법은 상기 IPS 장치에서, 상기 제 1 시그니처 그룹의 시그니처들에 따라 패킷이 악성인지 여부를 판별하고 판별 결과에 따라 상기 패킷을 차단하거나 외부로 전송하는 단계; 임계값을 이용하여, 상기 제 1 시그니처 그룹의 시그니처들 중 상기 판별에 과부하를 유발하는 부하 시그니처를 검출하는 단계; 및 상기 부하 시그니처를 상기 제 1 시그니처 그룹에서 제외하고 상기 제 2 시그니처 그룹에는 포함시켜 상기 제 1 및 제 2 시그니처 그룹들을 업데이트하는 단계를 포함한다.Another aspect of the present invention relates to a method of operating a security system for managing a host connected to a network. The system includes an IDS (Intrusion Detection System) device including an Intrusion Prevention System (IPS) device including a first database storing a first signature group, and a second database storing a second signature group do. The method of operating a security system according to an exemplary embodiment of the present invention is characterized in that the IPS device determines whether a packet is malicious according to the signatures of the first signature group and blocks or blocks the packet according to the determination result ; Detecting, using a threshold value, a load signature that causes an overload in the determination of the signatures of the first signature group; And updating the first and second signature groups by excluding the load signature from the first signature group and including the load signature into the second signature group.

실시 예로서, 상기 IDS 장치는 상기 업데이트된 제 2 시그니처 그룹의 시그니처들에 따라 보안 검사를 수행할 수 있다.In an embodiment, the IDS device may perform a security check according to the signatures of the updated second signature group.

실시 예로서, 상기 IPS 장치는 상기 업데이트된 제 1 시그니처 그룹의 시그니처들에 따라 상기 패킷 이후에 수신되는 제 2 패킷이 악성인지 여부를 판별하고, 상기 IDS 장치는 상기 업데이트된 제 2 시그니처 그룹의 시그니처들에 따라 상기 제 2 패킷에 대한 보안 검사를 수행할 수 있다.As an embodiment, the IPS device determines whether a second packet received after the packet is malicious according to the signatures of the updated first signature group, and the IDS device determines whether the signature of the updated second signature group The second packet may be checked for security.

실시 예로서, 상기 부하 시그니처를 검출하는 단계는, 제 1 시그니처 그룹의 시그니처들 각각을 이용하여 상기 패킷이 악성인지 여부를 판별하는 소요 시간을 체크하는 단계; 및 상기 소요 시간이 상기 임계값보다 길 때 해당 시그니처를 상기 부하 시그니처로서 검출하는 단계를 포함할 수 있다.As an embodiment, the step of detecting the load signature may comprise the steps of: checking the time required to determine whether the packet is malicious using each of the signatures of the first signature group; And detecting the signature as the load signature when the elapsed time is longer than the threshold value.

실시 예로서, 상기 부하 시그니처를 검출하는 단계는, 상기 제 1 시그니처 그룹의 시그니처들 각각을 이용하여 상기 패킷이 악성인지 여부를 판별하는 소요 시간을 체크하는 단계; 상기 소요 시간이 기준값보다 길 때 해당 시그니처에 대응하는 카운트 값을 증가시키는 단계; 및 상기 카운트 값이 상기 임계값보다 클 때 해당 시그니처를 상기 부하 시그니처로서 검출하는 단계를 포함할 수 있다.In an embodiment, the step of detecting the load signature may include: checking a time required to determine whether the packet is malicious using each of the signatures of the first signature group; Increasing the count value corresponding to the signature when the required time is longer than the reference value; And detecting the signature as the load signature when the count value is greater than the threshold value.

본 발명의 실시 예에 따르면 IDS 장치 및 IPS 장치를 포함하는 보안 시스템의 동작 속도가 향상된다.The operation speed of the security system including the IDS device and the IPS device is improved according to the embodiment of the present invention.

도 1은 네트워크 시스템을 보여주는 개념도이다.
도 2는 도 1의 보안 시스템을 보여주는 블록도이다.
도 3은 보안 시스템의 시그니처 관리 방법을 보여주는 순서도이다.
도 4는 도 2의 제 1 보안 유닛의 동작 방법을 보여주는 순서도이다.
도 5는 도 2의 부하 감지 유닛의 동작 방법을 보여주는 순서도이다.
도 6은 도 2의 제 2 데이터 베이스 관리 유닛의 동작 방법을 보여주는 순서도이다.1 is a conceptual diagram showing a network system.
2 is a block diagram illustrating the security system of FIG.
3 is a flowchart showing a signature management method of the security system.
4 is a flowchart showing an operation method of the first security unit of FIG.
5 is a flowchart showing an operation method of the load sensing unit of FIG.
6 is a flowchart showing an operation method of the second database management unit of FIG.

본 발명의 이점 및 특징, 그리고 그것을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 통해 설명될 것이다. 그러나 본 발명은 여기에서 설명되는 실시 예들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 단지, 본 실시 예들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여 제공되는 것이다.BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention, and how to accomplish it, will be described with reference to the embodiments described in detail below with reference to the accompanying drawings. However, the present invention is not limited to the embodiments described herein but may be embodied in other forms. The embodiments are provided so that those skilled in the art can easily carry out the technical idea of the present invention to those skilled in the art.

명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "간접적으로 연결"되어 있는 경우도 포함한다. 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
Throughout the specification, when a part is referred to as being "connected" to another part, it includes not only "directly connected" but also "indirectly connected" . Throughout the specification, when an element is referred to as "comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise.

도 1은 네트워크 시스템(10)을 보여주는 개념도이다.1 is a conceptual diagram showing a network system 10.

도 1을 참조하면, 네트워크 시스템(10)은 제 1 호스트(110), 보안 시스템(120), 네트워크(130) 및 제 2 호스트(140)를 포함한다.Referring to FIG. 1, a network system 10 includes a first host 110, a security system 120, a network 130, and a second host 140.

제 1 호스트(110)는 보안 시스템(120)을 거쳐 네트워크(130)를 통해 제 2 호스트(140)와 연결된다. 제 1 호스트(110)는 제 2 호스트(140)과 데이터 패킷들을 주고받음으로써 다양한 서비스들을 제공하거나 또는 제공받을 수 있다. 제 1 호스트(110)는 제 2 호스트(140)와 패킷들을 주고받으면서 웹 페이지를 제공하거나, 또는 제공 받을 수 있다. 또한 제 1 호스트(110)는 제 2 호스트(140)와 패킷들을 주고받으면서 애플리케이션을 제공하거나 제공받을 수 있다. 예를 들면 제 1 호스트(110)는 제 2 호스트(140)로부터 제공된 애플리케이션을 설치하고, 설치된 애플리케이션으로 제 2 호스트(140)와 통신하여 음악, 동영상과 같은 콘텐츠를 제공받을 수 있다. 또한 설치된 애플리케이션으로 제 2 호스트(140)와 통신하여 애니메이션, 게임 등의 서비스를 제공받을 수 있다.The first host 110 is connected to the second host 140 via the network 130 via the security system 120. [ The first host 110 may provide or receive various services by exchanging data packets with the second host 140. The first host 110 may provide or receive a web page while exchanging packets with the second host 140. Also, the first host 110 may provide or receive an application while exchanging packets with the second host 140. For example, the first host 110 installs an application provided from the second host 140, and communicates with the second host 140 as an installed application to receive content such as music and moving images. In addition, an installed application can communicate with the second host 140 to receive services such as animation and games.

제 2 호스트(140)는 네트워크(130)를 통해 보안 장치(140)를 거쳐 제 1 호스트(110)에 연결되며, 제 1 호스트(110)와 패킷들을 통신하면서 다양한 웹 서비스들을 제공하거나 제공받을 수 있다.The second host 140 is connected to the first host 110 through the security device 140 through the network 130 and can receive or provide various web services while communicating packets with the first host 110 have.

보안 시스템(120)은 제 1 호스트(110)와 제 2 호스트(140) 사이에서 통신되는 패킷들을 처리하도록 구성된다. 보안 시스템(120)은 제 1 호스트(110)로 유입되는 패킷들을 감시하고, 그 결과에 따라 해당 패킷들을 허용, 차단, 또는 유보할 수 있다. 보안 시스템(120)은 제 1 호스트(110)로부터 네트워크(120)로 전송되는 패킷들을 감시하고, 그 결과에 따라 해당 패킷들을 허용, 차단, 또는 유보할 수 있다.
The security system 120 is configured to process packets communicated between the first host 110 and the second host 140. The security system 120 may monitor packets flowing into the first host 110 and may permit, block, or hold the packets according to the result. The security system 120 may monitor packets transmitted from the first host 110 to the network 120 and may permit, block, or hold the packets according to the result.

도 2는 도 1의 보안 시스템(120)을 보여주는 블록도이다.2 is a block diagram illustrating the security system 120 of FIG.

보안 시스템(120)은 수신 유닛(121), IPS(200, Intrusion Protection System) 장치, IDS(300, Intrusion Detection System) 장치 및 전송 유닛(122)을 포함한다.The security system 120 includes a receiving unit 121, an Intrusion Protection System (IPS) device, an Intrusion Detection System (IDS) device, and a transmission unit 122.

수신 유닛(121)은 제 1 호스트(110)로부터 네트워크(130)로 전송되는 패킷, 그리고 네트워크(130)로부터 제 1 호스트(110)로 전송되는 패킷을 수신하도록 구성된다. 수신 유닛(121)은 수신된 패킷을 IPS 장치(200)로 전송한다.The receiving unit 121 is configured to receive packets transmitted from the first host 110 to the network 130 and packets transmitted from the network 130 to the first host 110. [ The receiving unit 121 transmits the received packet to the IPS device 200. [

전송 유닛(122)은 IPS 장치(200)로부터 패킷을 수신하고, 수신된 패킷을 외부로 전송한다. 해당 패킷이 제 1 호스트(110)로부터 전송된 경우 전송 유닛(122)은 해당 패킷을 네트워크(130)로 전송할 것이다. 해당 패킷이 제 2 호스트(140)로부터 네트워크(130)를 통해 수신된 경우 전송 유닛(122)은 해당 패킷을 제 1 호스트(110)로 전송할 것이다.The transmission unit 122 receives the packet from the IPS device 200 and transmits the received packet to the outside. The transmission unit 122 will transmit the packet to the network 130 when the packet is transmitted from the first host 110. [ The transmission unit 122 will send the packet to the first host 110 if the packet is received from the second host 140 over the network 130. [

IPS 장치(200)는 제 1 시그니처 데이터 베이스(210), 제 1 보안 유닛(220), 부하 감지 유닛(230), 제 1 데이터 베이스 관리 유닛(240) 및 복사 유닛(250)을 포함한다.The IPS device 200 includes a first signature database 210, a first security unit 220, a load sensing unit 230, a first database management unit 240 and a copy unit 250.

제 1 시그니처 데이터 베이스(210)는 제 1 시그니처 그룹(SGG1)을 저장한다. 시그니처는 공격 패턴을 기술한 것으로서, 패킷(DP) 유입 시 해당 패킷(DP)과 시그니처에 기술된 공격 패턴의 일치 여부를 판단할 때 사용된다. 예를 들면 하나의 문자열로 기술될 수도 있고, 탐지의 정확성을 높이기 위해서 여러 문자열들로 기술될 수도 있고, 더 나아가 문자열들 사이의 위치, 간격 등이 기술될 수도 있고, 정규표현식(PCRE: Perl Compatible Regular Expressions) 등으로 기술될 수도 있다.The first signature database 210 stores the first signature group SGG1. The signature describes the attack pattern. It is used to determine whether the packet (DP) is consistent with the attack pattern described in the signature when the packet (DP) is input. For example, it may be described as a single character string, or may be described in a plurality of character strings in order to increase the accuracy of detection. Further, the position, interval, etc. between the character strings may be described, and a regular expression (PCRE: Regular Expressions).

제 1 시그니처 그룹(SGG1)은 제 1 내지 제 k 시그니처들(sg1_1~sg1_k)을 포함한다. 제 1 내지 제 k 시그니처들(sg1_1~sg1_k)은 제 1 보안 유닛(220)에 제공되어 보안 검사에 이용된다.The first signature group SGG1 includes first through k-th signatures sg1_1 through sg1_k. The first to k-th signatures sg1_1 to sg1_k are provided to the first security unit 220 and used for security check.

제 1 보안 유닛(220)은 제 1 시그니처 데이터 베이스(210) 및 수신 유닛(121)에 연결된다. 제 1 보안 유닛(220)은 수신 유닛(121)으로부터 패킷(DP)을 수신하고 제 1 시그니처 데이터 베이스(210)로부터 제 1 내지 제 k 시그니처들(sg1_1~sg1_k)을 수신한다.The first security unit 220 is connected to the first signature database 210 and the receiving unit 121. The first security unit 220 receives the packet DP from the receiving unit 121 and receives the first to k-th signatures sg1_1 to sg1_k from the first signature database 210. [

실시 예로서, 도 2에 도시되지는 않으나 수신 유닛(121)을 통해 수신된 패킷(DP)은 별도의 저장 매체에 임시 저장되고, 그러한 제 1 보안 유닛(220)은 그러한 저장 매체로부터 패킷(DP)을 수신할 수 있다. 그러한 저장 매체는, 예를 들면 FIFO(First-In First-Out) 방식으로 패킷들을 저장하며, 전원 공급이 차단되면 저장하고 있던 데이터가 소멸되지만 빠른 동작 속도를 가진 휘발성 메모리일 수 있다. 예를 들면, 저장 매체는 SRAM (Static RAM), DRAM (Dynamic RAM), SDRAM (Synchronous DRAM) 등으로서 구현될 수 있다.2, the packets DP received via the receiving unit 121 are temporarily stored in a separate storage medium, and such a first security unit 220 removes packets DP Can be received. Such a storage medium may store packets in a first-in first-out (FIFO) manner, for example, and may be a volatile memory having a fast operating speed although the stored data is lost when the power supply is interrupted. For example, the storage medium may be implemented as SRAM (Static RAM), DRAM (Dynamic RAM), SDRAM (Synchronous DRAM), or the like.

제 1 보안 유닛(220)은 제 1 내지 제 k 시그니처들(sg1_1~sg1_k)에 따라 패킷(DP)이 악성인지 여부를 판별하고, 판별 결과에 따라 패킷(DP)을 차단 또는 허용하도록 구성된다. 제 1 보안 유닛(220)은 제 1 내지 제 k 시그니처들(sg1_1~sg1_k) 각각과 패킷(DP)에 대한 패턴 매칭을 수행하여, 패킷(DP)이 제 1 내지 제 k 시그니처들(sg1_1~sg1_k) 중 적어도 하나와 매칭되는지 여부를 판별한다.The first security unit 220 is configured to determine whether the packet DP is malicious according to the first to k-th signatures sg1_1 to sg1_k, and to block or allow the packet DP according to the determination result. The first security unit 220 performs pattern matching on each of the first to k-th signatures sg1_1 to sg1_k and the packet DP to determine whether the packet DP includes the first to k-th signatures sg1_1 to sg1_k ≪ / RTI >

만약 패킷(DP)이 제 1 내지 제 k 시그니처들(sg1_1~sg1_k) 중 적어도 하나와 매칭되는 경우 제 1 보안 유닛(220)은 패킷(DP)을 차단한다. 만약 패킷(DP)이 제 1 내지 제 k 시그니처들(sg1_1~sg1_k) 중 어느 하나와도 매칭되지 않는 경우 제 1 보안 유닛(220)은 패킷(DP)을 허용한다. 제 1 보안 유닛(220)은 전송 유닛(122)을 통해 패킷(DP)을 전송할 것이다.If the packet DP matches at least one of the first to k-th signatures sg1_1 to sg1_k, the first security unit 220 blocks the packet DP. The first security unit 220 allows the packet DP if the packet DP does not match any of the first through k-th signatures sg1_1 through sg1_k. The first security unit 220 will transmit the packet DP via the transmission unit 122. [

부하 감지 유닛(230)은 보안 유닛(220)에 연결된다. 본 발명의 실시 예에 따르면, 부하 감지 유닛(230)은 임계값을 이용하여 제 1 내지 제 k 시그니처들(sg1_1~sg1_k) 중 패킷(DP)과의 보안 검사에 과부하를 유발하는 부하 시그니처를 검출하도록 구성된다. 실시 예로서, 부하 감지 유닛(230)은 각 시그니처에 따라 패킷(DP)이 악성인지 여부를 판별하는 데에 소요되는 시간을 체크하고, 소요 시간이 기준값보다 길 때 해당 시그니처에 대응하는 카운트 값을 증가시키고 그러한 카운트 값이 임계값보다 클 때 해당 시그니처를 부하 시그니처로 검출한다. 실시 예로서, 부하 감지 유닛(230)은 제 1 내지 제 k 시그니처들(sg1_1~sg1_k) 각각을 이용하여 패킷(DP)이 악성인지 여부를 판별하는 데에 소요되는 시간을 체크하고, 소요되는 시간이 임계값보다 길 때 해당 시그니처를 부하 시그니처로 검출한다.The load sensing unit 230 is connected to the security unit 220. According to the embodiment of the present invention, the load sensing unit 230 detects a load signature that causes an overload in the security check with the packet DP among the first to k-th signatures sg1_1 to sg1_k using the threshold value . As an embodiment, the load sensing unit 230 checks the time required to determine whether the packet DP is malicious according to each signature, and when the required time is longer than the reference value, the count value corresponding to the signature And when the count value is larger than the threshold value, the corresponding signature is detected as the load signature. As an embodiment, the load sensing unit 230 checks the time required to determine whether the packet DP is malicious using each of the first to k-th signatures sg1_1 to sg1_k, Is greater than the threshold value, the corresponding signature is detected as the load signature.

제 1 데이터 베이스 관리 유닛(240)은 부하 감지 유닛(230)의 감지 결과에 따라 제 1 시그니처 그룹(SGG1) 중 부하 시그니처(예를 들면 sg1_2)를 제외한다. 그리고, 제 1 데이터 베이스 관리 유닛(240)은 부하 시그니처에 대한 정보(sgi)를 IDS 장치(300)에 전송한다.The first database management unit 240 excludes the load signature (e.g., sg1_2) of the first signature group SGG1 according to the detection result of the load detection unit 230. [ Then, the first database management unit 240 transmits information (sgi) about the load signature to the IDS device 300.

제 1 시그니처 그룹(SGG1)에서 부하 시그니처가 제외됨에 따라 제 1 보안 유닛(220)은 이후에 수신되는 패킷에 대한 보안 검시 사에 부하 시그니처(예를 들면 sg1_2)를 제외한 제 1 시그니처 그룹(SGG1)을 패턴 매칭에 이용하게 된다.As the load signature is excluded from the first signature group SGG1, the first security unit 220 sends the first signature group SGG1 excluding the load signature (e.g., sg1_2) Is used for pattern matching.

복사 유닛(250)은 패킷(DP)을 복사하고, 복사된 패킷(RDP)을 IDS 장치(300)에 제공한다. 결국 IDS 장치(300)는 복사된 패킷(RDP)을 이용하여 패킷(DP)에 대한 보안 검사를 수행하게 된다. 도 2에서, 복사 유닛(250)은 제 1 보안 유닛(220)을 통해 패킷(DP)을 수신하는 것으로 도시된다. 즉 복사 유닛(250)은 제 1 보안 유닛(220)에 의해 허용된 패킷(DP)을 수신하고, 복사 패킷(RDP)을 생성하는 것으로 도시된다. 그러나 이는 예시적인 것으로서, 본 발명은 여기에 한정되지 않음이 이해될 것이다. 예를 들면, 복사 패킷(RDP)은 제 1 보안 유닛(220)과 수신 유닛(121) 사이에 연결되고, 수신 유닛(121)을 통해 수신되는 패킷(DP)을 복사하여 복사 패킷(RDP)을 생성하는 한편, 원본 패킷(DP)을 제 1 보안 유닛(220)에 제공할 수 있다.The copying unit 250 copies the packet DP and provides the copied packet RDP to the IDS device 300. As a result, the IDS device 300 performs a security check on the packet DP using the copied packet RDP. In Figure 2, the copy unit 250 is shown receiving a packet DP via the first security unit 220. [ The copy unit 250 is shown as receiving the packet DP granted by the first security unit 220 and generating a copy packet RDP. However, it will be understood that the present invention is not limited thereto. For example, the copy packet RDP is connected between the first security unit 220 and the reception unit 121, and copies the packet DP received through the reception unit 121 to generate a copy packet RDP While providing the original packet DP to the first security unit 220. [

IDS 장치(300)는 제 2 시그니처 데이터 베이스(310), 제 2 보안 유닛(320) 및 제 2 데이터 베이스 관리 유닛(330)을 포함한다. 제 2 시그니처 데이터 베이스(310)는 제 2 시그니처 그룹(SGG2)을 저장한다. 제 2 시그니처 그룹(SGG2)의 시그니처들(sg2_1~sg2_m)은 제 2 보안 유닛(320)에 제공되어 보안 검사에 이용된다.The IDS device 300 includes a second signature database 310, a second security unit 320 and a second database management unit 330. The second signature database 310 stores the second signature group SGG2. The signatures sg2_1 to sg2_m of the second signature group SGG2 are provided to the second security unit 320 and used for security check.

제 2 보안 유닛(320)은 IPS 장치(200)로부터 복사 패킷(RDP)을 수신하고, 제 2 시그니처 데이터 베이스(310)로부터 제 2 시그니처 그룹(SGG2)의 시그니처들(sg2_1~sg2_m)을 수신한다. 제 2 보안 유닛(320)은 제 2 시그니처 그룹(SGG2)의 시그니처들(sg2_1~sg2_m)에 따라 복사 패킷(RDP)에 대한 보안 검사를 수행한다. 실시 예로서, 제 2 보안 유닛(320)은 시그니처들(sg2_1~sg2_m) 각각과 복사 패킷(RDP) 사이의 패턴 매칭을 수행하고, 복사 패킷(RDP)이 시그니처들(sg2_1~sg2_m) 중 적어도 하나와 매칭되는지 여부를 판별한다. 만약 그렇다면, 복사 패킷(RDP)은 악성임을 의미한다. 만악 그렇지 않다면, 복사 패킷(RDP)은 악성이 아님을 나타낸다.The second security unit 320 receives the copy packet RDP from the IPS device 200 and receives the signatures sg2_1 to sg2_m of the second signature group SGG2 from the second signature database 310 . The second security unit 320 performs a security check on the copy packet RDP according to the signatures sg2_1 through sg2_m of the second signature group SGG2. As an embodiment, the second security unit 320 performs pattern matching between each of the signatures sg2_1 through sg2_m and the copy packet RDP, and if the copy packet RDP includes at least one of the signatures sg2_1 through sg2_m Or not. If so, the copy packet (RDP) is malicious. If not, the copy packet (RDP) indicates that it is not malicious.

제 2 보안 유닛(320)은 보안 검사의 결과를 예를 들면 보안 시스템(120)의 관리자에게 리포팅할 것이다. IPS 장치(200)와는 다르게, IDS 장치(300)에서 악성으로 판별된다 하더라도, IDS 장치(300)는 복사 패킷(RDP)을 수신하여 보안 검사를 수행하는 것이므로, 원본 패킷(DP)을 차단할 수 없다. 하지만 다른 일면으로서, 원본 패킷(DP)에 대한 차단 기능이 없으므로, IDS 장치(300)는 원본 패킷(DP)의 트래픽을 방해하지 않고 다양한 시그니처들(sg2_1~sg2_m)에 대한 보안 검사를 수행할 수 있다.The second security unit 320 will report the result of the security check to the administrator of the security system 120, for example. Unlike the IPS device 200, even if the IDS device 300 is determined to be malicious, the IDS device 300 can not block the original packet DP because the IDS device 300 receives the copy packet RDP to perform the security check . However, as another aspect, since there is no blocking function for the original packet DP, the IDS device 300 can perform the security check on the various signatures sg2_1 to sg2_m without interfering with the traffic of the original packet DP have.

본 발명의 실시 예에 따르면, 제 2 데이터 베이스 관리 유닛(330)은 제 1 데이터 베이스 관리 유닛(240)으로부터 부하 시그니처에 대한 정보(sgi)를 수신하고, 이에 따라 부하 시그니처를 제 2 시그니처 그룹(SGG2)에 포함시켜 제 2 시그니처 그룹(SGG2)을 업데이트시킨다. 업데이트된 제 2 시그니처 그룹(SGG2)은 기존의 시그니처들(sg2_1~sg2_m)과 부하 시그니처를 포함하게 된다.According to an embodiment of the present invention, the second database management unit 330 receives the information (sgi) about the load signature from the first database management unit 240, and accordingly stores the load signature in the second signature group SGG2 to update the second signature group SGG2. The updated second signature group SGG2 will contain the existing signatures sg2_1 through sg2_m and the load signature.

제 2 보안 유닛(320)은 이후의 다음 복사 패킷이 수신될 때 업데이트된 제 2 시그니처 그룹(SGG2)의 시그니처들(sg2_1~sg2_m, 부하 시그니처)을 이용하여 보안 검사를 수행할 것이다.The second security unit 320 will perform security checks using the signatures (sg2_1 to sg2_m, load signatures) of the updated second signature group SGG2 when the next copy packet is received.

본 발명의 실시 예에 따르면, 부하 시그니처는 IPS 장치(200)의 시그니처 그룹(SGG1)에서 제외된다. 과부하를 유발하는 시그니처가 삭제되므로 IPS 장치(200)의 보안 검사의 속도가 향상된다. 결국 보안 시스템(120)의 수신 패킷(DP)에 대한 처리 속도는 향상된다.According to an embodiment of the present invention, the load signature is excluded from the signature group SGG1 of the IPS device 200. [ The speed of the security check of the IPS device 200 is improved because the signatures causing the overload are deleted. As a result, the processing speed for the received packet DP of the security system 120 is improved.

또한, 본 발명의 실시 예에 따르면, 부하 시그니처가 IDS 장치(300)의 시그니처 그룹(SGG2)에 포함된다. 이에 따라 IPS 장치(200)의 보안 검사에서 누락된 부하 시그니처와 패킷(DP) 사이의 패턴 검사를 IDS 장치(300)에서 수행할 수 있고, 그 결과가 관리자에게 리포팅된다. 따라서 보안 시스템(120)은 수신 패킷(DP)에 대한 보안 검사의 신뢰성을 유지할 수 있다.
Further, according to an embodiment of the present invention, a load signature is included in the signature group SGG2 of the IDS device 300. [ Accordingly, pattern inspection between the missing load signature and the packet DP in the security check of the IPS device 200 can be performed in the IDS device 300, and the result is reported to the manager. Therefore, the security system 120 can maintain the reliability of the security check on the received packet DP.

도 3은 보안 시스템(120)의 시그니처 관리 방법을 보여주는 순서도이다.FIG. 3 is a flowchart showing a signature management method of the security system 120. FIG.

도 1 내지 도 3을 참조하면, S110단계에서, 제 1 호스트(110)으로부터 또는 제 2 호스트(140로부터 패킷(DP)이 수신된다.1 to 3, in step S110, a packet DP is received from the first host 110 or from the second host 140.

S120단계에서, 보안 시스템(120)은 IPS 장치(200)에서 제 1 시그니처 그룹(SGG1)의 시그니처들(sg1_1~sg1_k)에 따라 패킷(DP)이 악성인지 여부를 판별한다.In step S120, the security system 120 determines whether the packet DP is malicious according to the signatures sg1_1 to sg1_k of the first signature group SGG1 in the IPS device 200. [

S130단계에서, 보안 시스템(120)은 S120단계에서 패킷의 악성 여부를 판별할 때 과부하를 유발하는 부하 시그니처를 검출한다. 실시 예로서, 보안 시스템(120)은 제 1 내지 제 k 시그니처들(sg1_1~sg1_k) 각각을 이용하여 패킷(DP)이 악성인지 여부를 판별하는 데에 소요되는 시간을 체크하고, 소요 시간이 기준값보다 길 때 해당 시그니처에 대응하는 카운트 값을 증가시키고 그러한 카운트 값이 임계값보다 클 때 해당 시그니처를 부하 시그니처로 검출한다. 이때, 임계값은 카운트 값과 비교하기 위한 요소로서 제공된다. 실시 예로서, 보안 시스템(120)은 제 1 내지 제 k 시그니처들(sg1_1~sg1_k) 각각을 이용하여 패킷(DP)이 악성인지 여부를 판별하는 데에 소요되는 시간을 체크하고, 소요되는 시간이 임계값보다 길 때 해당 시그니처를 부하 시그니처로 검출한다. 이때, 임계값은 소요 시간과 비교하기 위한 요소로서 제공된다.In step S130, the security system 120 detects a load signature that causes an overload when determining whether the packet is malicious in step S120. As an embodiment, the security system 120 checks the time required to determine whether the packet DP is malicious by using each of the first to k-th signatures sg1_1 to sg1_k, And when the count value is greater than the threshold value, the signatures are detected as the load signatures. At this time, the threshold value is provided as an element for comparing with the count value. As an embodiment, the security system 120 checks the time required to determine whether the packet DP is malicious using each of the first to k-th signatures sg1_1 to sg1_k, When the signature is longer than the threshold value, the signature is detected as the load signature. At this time, the threshold value is provided as an element for comparing with the required time.

S140단계에서, 보안 시스템(120)은 부하 시그니처를 제 1 시그니처 그룹(SGG1)에서 제외하고, 제 2 시그니처 그룹(SGG2)에 포함시킨다.In step S140, the security system 120 excludes the load signature from the first signature group SGG1 and includes the load signature in the second signature group SGG2.

이후 업데이트된 제 1 및 제 2 시그니처 그룹들(SGG1, SGG2)에 따라 각각 IPS 장치(200) 및 IDS 장치(300)가 동작한다.
The IPS device 200 and the IDS device 300 operate according to the updated first and second signature groups SGG1 and SGG2, respectively.

도 4는 도 2의 제 1 보안 유닛(220)의 동작 방법을 보여주는 순서도이다.4 is a flowchart illustrating an operation method of the first security unit 220 of FIG.

도 2 및 도 4를 참조하면, S210단계에서, 제 1 시그니처 그룹(SGG1)의 시그니처들(sg1_1~sg1_k) 각각과 패킷(DP)이 비교된다. 실시 예로서, 제 1 보안 유닛(220)은 시그니처들(sg1_1~sg1_k) 각각과 패킷(DP)을 병렬적으로 비교할 수 있다. 실시 예로서, 제 1 보안 유닛(220)은 시그니처들(sg1_1~sg1_k) 각각과 패킷(DP)을 순차적으로 비교할 수 있다.Referring to Figs. 2 and 4, in step S210, the signatures sg1_1 to sg1_k of the first signature group SGG1 and the packet DP are compared with each other. As an example, the first security unit 220 may compare each of the signatures sg1_1 through sg1_k and the packet DP in parallel. As an example, the first security unit 220 may sequentially compare each of the signatures sg1_1 through sg1_k and the packet DP.

S220단계에서, 제 1 보안 유닛(220)은 제 1 시그니처 그룹(SGG1)의 적어도 하나의 시그니처(sg1)와 패킷(DP)이 매칭되는지 여부에 따라 S230단계 또는 S240단계가 수행된다.In step S220, the first security unit 220 performs step S230 or step S240 depending on whether at least one signature sg1 of the first signature group SGG1 matches the packet DP.

S230단계에서, 제 1 보안 유닛(220)은 해당 패킷(DP)을 차단한다. S240단계에서, 제 1 보안 유닛(220)은 해당 패킷(DP)을 전송 유닛(122)을 통해 외부로 전송한다.
In step S230, the first security unit 220 blocks the packet DP. In step S240, the first security unit 220 transmits the packet DP through the transmission unit 122 to the outside.

도 5는 도 2의 부하 감지 유닛(230)의 동작 방법을 보여주는 순서도이다.5 is a flowchart showing an operation method of the load sensing unit 230 of FIG.

도 5를 참조하면, S310단계에서, 부하 감지 유닛(230)은 제 1 시그니처 그룹(SGG1)의 시그니처들(sg1_1~sg1_k) 각각과 패킷을 비교하는 데에 소요되는 시간을 체크한다. 부하 감지 유닛(230)은 제 1 보안 유닛(220)에 의해 수행되는 S210단계의 동작을 모니터링하여 위 소요 시간을 체크할 것이다.Referring to FIG. 5, in step S310, the load sensing unit 230 checks the time required to compare packets with each of the signatures sg1_1 through sg1_k of the first signature group SGG1. The load sensing unit 230 will monitor the operation of step S210 performed by the first security unit 220 to check the elapsed time.

S320단계에서, 부하 감지 유닛(230)은 기준값보다 긴 소요 시간이 존재하는지 여부에 따라 S330단계를 수행한다. 예를 들면, 기준값은 보안 시스템(120)의 관리자에 의해 설정되고, 변경될 수 있다. 이러한 기준값은 시그니처의 종류, 보안 시스템(120)의 특성, 네트워크(10)의 특성에 따라 상이하게 정의될 수 있다.In step S320, the load sensing unit 230 performs step S330 according to whether there is a time longer than the reference value. For example, the reference value may be set by the administrator of the security system 120 and changed. These reference values may be defined differently depending on the type of signatures, the characteristics of the security system 120, and the characteristics of the network 10. [

S330단계에서, 부하 감지 유닛(230)은 기준값보다 긴 소요 시간에 해당하는 제 1 시그니처 그룹(SGG1)의 시그니처(sg1)의 카운트 값을 증가시킨다. 실시 예로서, 부하 감지 유닛(230)은 제 1 시그니처 그룹(SGG1)의 각 시그니처에 해당하는 카운트 값을 저장하고, S330단계를 수행할 때마다 해당 시그니처(sg1)의 카운트 값을 증가시킬 것이다.In step S330, the load sensing unit 230 increases the count value of the signature sg1 of the first signature group SGG1 corresponding to the elapsed time longer than the reference value. As an embodiment, the load sensing unit 230 stores a count value corresponding to each signature of the first signature group SGG1, and increments the count value of the corresponding signature sg1 each time the step S330 is performed.

S340단계에서, 부하 감지 유닛(230)은 해당 시그니처(sg1)의 카운트 값이 임계값보다 큰지 여부를 판별한다. 임계값은 보안 시스템(120)의 관리자에 의해 설정되고, 변경될 수 있다. 이러한 임계값은 시그니처의 종류, 보안 시스템(120)의 특성, 네트워크(10)의 특성에 따라 상이하게 정의될 수 있다.In step S340, the load sensing unit 230 determines whether or not the count value of the corresponding signature sg1 is larger than the threshold value. The threshold value is set by the administrator of the security system 120 and can be changed. These thresholds may be defined differently depending on the type of signature, the characteristics of the security system 120, and the characteristics of the network 10. [

S350단계에서, 부하 감지 유닛(230)은 해당 시그니처(sg1)를 부하 시그니처로서 검출한다. 검출된 부하 시그니처에 대한 정보는 제 1 데이터 베이스 관리 유닛(240)에 의해 IDS 장치(300)로 전송될 것이다. 검출된 부하 시그니처는 제 1 시그니처 그룹(SGG1)에서 제거되고, 제 2 시그니처 그룹(SGG2)에 추가될 것이다.In step S350, the load sensing unit 230 detects the corresponding signature sg1 as a load signature. Information on the detected load signature will be transmitted to the IDS device 300 by the first database management unit 240. [ The detected load signature will be removed from the first signature group SGG1 and added to the second signature group SGG2.

본 발명의 실시 예에 따르면, 부하 시그니처는 IPS 장치(200)의 시그니처 그룹(SGG1)에서 제외된다. 과부하를 유발하는 시그니처가 삭제되므로 IPS 장치(200)의 보안 검사의 속도가 향상된다.According to an embodiment of the present invention, the load signature is excluded from the signature group SGG1 of the IPS device 200. [ The speed of the security check of the IPS device 200 is improved because the signatures causing the overload are deleted.

또한, 본 발명의 실시 예에 따르면, 부하 시그니처가 IDS 장치(300)의 시그니처 그룹(SGG2)에 포함된다. 이에 따라 IPS 장치(200)의 보안 검사에서 누락된 부하 시그니처와 패킷(DP) 사이의 패턴 검사는 IDS 장치(300)에서 수행될 수 있다.
Further, according to an embodiment of the present invention, a load signature is included in the signature group SGG2 of the IDS device 300. [ Accordingly, a pattern check between the missing load signature and the packet (DP) in the security check of the IPS device 200 can be performed in the IDS device 300.

도 6은 도 2의 제 2 데이터 베이스 관리 유닛(330)의 동작 방법을 보여주는 순서도이다.FIG. 6 is a flowchart showing an operation method of the second database management unit 330 of FIG.

도 6을 참조하면, S410단계에서, 제 2 데이터 베이스 관리 유닛(330)은 부하 시그니처가 제 1 시그니처 그룹(SGG1)에서 제거 및 제 2 시그니처 그룹(SGG2)에 포함된 시간이 소정의 시간을 경과하였는지 여부를 판별한다. 만약 그렇다면 S420단계가 수행된다.Referring to FIG. 6, in step S410, the second database management unit 330 determines whether the load signature is removed from the first signature group SGG1 and the time included in the second signature group SGG2 elapses after a predetermined time Or not. If so, step S420 is performed.

S420단계에서, 제 2 데이터 베이스 관리 유닛(330)은 제 1 시그니처 그룹(SGG1)에 부하 시그니처를 포함시키도록 제 1 데이터 베이스 관리 유닛(240)에 부하 시그니처 정보(sgi, 도 2 참조)를 전송한다. 실시 예로서, 이때 제 2 데이터 베이스 관리 유닛(330)은 제 2 시그니처 그룹(SGG2)에서 부하 시그니처를 삭제할 수 있다. 다른 실시 예로서, 제 2 데이터 베이스 관리 유닛(330)은 제 1 시그니처 그룹(SGG1)에 부하 시그니처를 계속 유지할 수 있다.In step S420, the second database management unit 330 transmits the load signature information (sgi, see FIG. 2) to the first database management unit 240 so as to include the load signature in the first signature group SGG1 do. As an example, at this point, the second database management unit 330 may delete the load signature in the second signature group SGG2. As another example, the second database management unit 330 may keep the load signature in the first signature group SGG1.

본 실시 예에 따르면, 부하 시그니처가 IPS 장치(200)의 시그니처 그룹(SGG1)에서 삭제되더라도 일정 시간 후에 다시 부하 시그니처를 IPS 장치(200)의 시그니처 그룹(SGG1)에 추가함으로써, 보안 시스템(120)의 관리자가 IPS 장치(200)의 시그니처 그룹(SGG1)으로 지정한 시그니처들(sg1_1~sg1_k)을 복구하는 옵션을 제공한다.
According to the present embodiment, by adding the load signature again to the signature group SGG1 of the IPS device 200 after a certain period of time, even if the load signature is deleted from the signature group SGG1 of the IPS device 200, The administrator of the IPS device 200 provides an option to recover the signatures sg1_1 to sg1_k designated as the signature group SGG1 of the IPS device 200. [

본 발명의 상세한 설명에서는 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위와 기술적 사상에서 벗어나지 않는 한도 내에서 다양한 변경이 가능하다. 그러므로 본 발명의 범위는 상술한 실시 예에 국한되어 정해져서는 안되며 후술하는 특허청구범위뿐만 아니라 이 발명의 특허청구범위와 균등한 것들에 의해 정해져야 한다.
While the invention has been shown and described with reference to certain preferred embodiments thereof, it will be understood by those skilled in the art that various changes and modifications may be made without departing from the spirit and scope of the invention. Therefore, the scope of the present invention should not be limited to the above-described embodiments, but should be determined by the equivalents of the claims of the present invention as well as the claims of the following.

110: 제 1 호스트
120: 보안 시스템
130: 네트워크
140: 제 2 호스트
200: IPS 장치
210: 제 1 시그니처 데이터 베이스
SGG1: 제 1 시그니처 그룹
220: 제 1 보안 유닛
230: 부하 감지 유닛(230)
240: 제 1 데이터 베이스 관리 유닛
300: IDS 장치
310: 제 2 시그니처 데이터 베이스
SGG2: 제 2 시그니처 그룹
320: 제 2 보안 유닛
330: 제 2 데이터 베이스 관리 유닛110: First host
120: Security system
130: Network
140: Second host
200: IPS device
210: first signature database
SGG1: First Signature Group
220: first security unit
230: Load sensing unit 230
240: a first database management unit
300: IDS device
310: second signature database
SGG2: Second Signature Group
320: second security unit
330: second database management unit

Claims (13)

네트워크 상에 연결된 호스트를 관리하기 위한 보안 시스템에 있어서:
제 1 시그니처 그룹을 저장하는 제 1 데이터 베이스를 포함하는 IPS(Intrusion Protection System) 장치; 및
제 2 시그니처 그룹을 저장하는 제 2 데이터 베이스를 포함하는 IDS(Intrusion Detection System) 장치를 포함하되,
상기 IPS 장치는,
상기 제 1 시그니처 그룹의 시그니처들에 따라 패킷이 악성인지 여부를 판별하고 판별 결과에 따라 상기 패킷을 차단하도록 구성되는 제 1 보안 유닛;
임계값을 이용하여 상기 제 1 시그니처 그룹의 시그니처들 중 상기 제 1 보안 유닛에 과부하를 유발하는 부하 시그니처를 검출하도록 구성되는 부하 감지 유닛; 및
상기 부하 시그니처를 상기 제 1 시그니처 그룹에서 제외하도록 구성되는 제 1 데이터 베이스 관리 유닛을 더 포함하고,
상기 IDS 장치는,
상기 제 2 시그니처 그룹에 상기 부하 시그니처가 포함되도록 상기 제 2 시그니처 그룹을 업데이트하고, 상기 업데이트된 제 2 시그니처 그룹에 따라 보안 검사를 수행하고,
상기 부하 감지 유닛은 상기 제 1 시그니처 그룹의 시그니처들 각각을 이용하여 상기 패킷이 악성인지 여부를 판별하는 소요 시간을 체크하고, 상기 소요 시간이 상기 임계값보다 길 때 해당 시그니처를 상기 부하 시그니처로서 검출하는 보안 시스템.A security system for managing a host connected to a network, comprising:
An Intrusion Protection System (IPS) device including a first database for storing a first signature group; And
And an IDS (Intrusion Detection System) device including a second database storing a second signature group,
The IPS device includes:
A first security unit configured to determine whether a packet is malicious according to the signatures of the first signature group and to block the packet according to a determination result;
A load detection unit configured to detect a load signature that causes an overload in the first security unit of the signatures of the first signature group using a threshold value; And
Further comprising a first database management unit configured to exclude the load signature from the first signature group,
The IDS device includes:
Updating the second signature group to include the load signature in the second signature group, performing a security check according to the updated second signature group,
The load detecting unit checks the time required to determine whether the packet is malicious using each of the signatures of the first signature group, and when the required time is longer than the threshold value, detecting the signature as the load signature Security system. 제 1 항에 있어서,
상기 IPS 장치는 상기 제 1 보안 유닛의 제어에 따라 상기 패킷을 외부로 전송하도록 구성되는 전송 유닛을 더 포함하고,
상기 제 1 보안 유닛은 상기 패킷이 악성일 때 상기 패킷을 차단하고, 상기 패킷이 악성이 아닐 때 상기 패킷을 상기 전송 유닛을 통해 외부로 전송하는 보안 시스템.The method according to claim 1,
Wherein the IPS device further comprises a transmission unit configured to transmit the packet to the outside according to a control of the first security unit,
The first security unit blocks the packet when the packet is malicious and transmits the packet to the outside via the transmission unit when the packet is not malicious. 삭제delete 제 1 항에 있어서,
상기 부하 감지 유닛은 상기 제 1 시그니처 그룹의 시그니처들 각각을 이용하여 상기 패킷이 악성인지 여부를 판별하는 소요 시간을 체크하고, 상기 소요 시간이 기준값보다 길 때 해당 시그니처에 대응하는 카운트 값을 증가시키는 보안 시스템.The method according to claim 1,
The load detection unit checks the time required to determine whether the packet is malicious using each of the signatures of the first signature group and increases the count value corresponding to the signature when the required time is longer than the reference value Security system. 제 4 항에 있어서,
상기 부하 감지 유닛은 상기 카운트 값이 상기 임계값보다 클 때 해당 시그니처를 상기 부하 시그니처로서 검출하는 보안 시스템.5. The method of claim 4,
And the load detection unit detects the corresponding signature as the load signature when the count value is greater than the threshold value. 제 1 항에 있어서,
상기 제 1 보안 유닛은 상기 부하 시그니처가 제외된 상기 제 1 시그니처 그룹의 시그니처들에 따라 상기 패킷 이후에 수신된 제 2 패킷이 악성인지 여부를 판별하고, 판별 결과에 따라 상기 제 2 패킷을 차단하는 보안 시스템.The method according to claim 1,
The first security unit determines whether the second packet received after the packet is malicious according to the signatures of the first signature group excluding the load signature, and blocks the second packet according to the determination result Security system. 제 1 항에 있어서,
상기 IPS 장치는 상기 패킷을 복사하도록 구성되는 복사 유닛을 더 포함하고,
상기 복사 유닛은 상기 IDS 장치에 전송되는 보안 시스템.The method according to claim 1,
Wherein the IPS device further comprises a copying unit configured to copy the packet,
Wherein the copying unit is transmitted to the IDS device. 제 7 항에 있어서,
상기 IDS 장치는,
상기 제 2 시그니처 그룹에 상기 부하 시그니처를 포함시켜 상기 제 2 시그니처 그룹을 업데이트하도록 구성되는 제 2 데이터 베이스 관리 유닛; 및
상기 업데이트된 제 2 시그니처 그룹의 시그니처들에 따라 보안 검사를 수행하도록 구성되는 제 2 보안 유닛을 포함하는 보안 시스템.8. The method of claim 7,
The IDS device includes:
A second database management unit configured to update the second signature group by including the load signature in the second signature group; And
And a second security unit configured to perform a security check according to the signatures of the updated second signature group. 네트워크 상에 연결된 호스트를 관리하기 위한 보안 시스템의 동작 방법에 있어서,
상기 보안 시스템은 제 1 시그니처 그룹을 저장하는 제 1 데이터 베이스를 포함하는 IPS(Intrusion Prevention System) 장치, 그리고 제 2 시그니처 그룹을 저장하는 제 2 데이터 베이스를 포함하는 IDS(Intrusion Detection System) 장치를 포함하되,
상기 동작 방법은,
상기 IPS 장치에서, 상기 제 1 시그니처 그룹의 시그니처들에 따라 패킷이 악성인지 여부를 판별하고 판별 결과에 따라 상기 패킷을 차단하거나 외부로 전송하는 단계;
임계값을 이용하여, 상기 제 1 시그니처 그룹의 시그니처들 중 상기 판별에 과부하를 유발하는 부하 시그니처를 검출하는 단계; 및
상기 부하 시그니처를 상기 제 1 시그니처 그룹에서 제외하고 상기 제 2 시그니처 그룹에는 포함시켜 상기 제 1 및 제 2 시그니처 그룹들을 업데이트하는 단계를 포함하고,
상기 부하 시그니처를 검출하는 단계는,
상기 제 1 시그니처 그룹의 시그니처들 각각을 이용하여 상기 패킷이 악성인지 여부를 판별하는 소요 시간을 체크하는 단계;
상기 소요 시간이 기준값보다 길 때 해당 시그니처에 대응하는 카운트 값을 증가시키는 단계; 및
상기 카운트 값이 상기 임계값보다 클 때 해당 시그니처를 상기 부하 시그니처로서 검출하는 단계를 포함하는 동작 방법.A method of operating a security system for managing a host connected to a network,
The security system includes an IDS (Intrusion Detection System) device including an Intrusion Prevention System (IPS) device including a first database for storing a first signature group and a second database for storing a second signature group However,
The operating method comprises:
Determining whether the packet is malicious according to the signatures of the first signature group in the IPS device, blocking the packet or transmitting the packet to the outside according to the determination result;
Detecting, using a threshold value, a load signature that causes an overload in the determination of the signatures of the first signature group; And
Updating the first and second signature groups by excluding the load signature from the first signature group and including the load signature into the second signature group,
Wherein detecting the load signature comprises:
Checking the time required to determine whether the packet is malicious using each of the signatures of the first signature group;
Increasing the count value corresponding to the signature when the required time is longer than the reference value; And
And detecting the signature as the load signature when the count value is greater than the threshold value. 제 9 항에 있어서,
상기 IDS 장치는 상기 업데이트된 제 2 시그니처 그룹의 시그니처들에 따라 보안 검사를 수행하는 동작 방법.10. The method of claim 9,
Wherein the IDS device performs a security check according to the signatures of the updated second signature group. 제 9 항에 있어서,
상기 IPS 장치는 상기 업데이트된 제 1 시그니처 그룹의 시그니처들에 따라 상기 패킷 이후에 수신되는 제 2 패킷이 악성인지 여부를 판별하고,
상기 IDS 장치는 상기 업데이트된 제 2 시그니처 그룹의 시그니처들에 따라 상기 제 2 패킷에 대한 보안 검사를 수행하는 동작 방법.10. The method of claim 9,
The IPS device determines whether the second packet received after the packet is malicious according to the signatures of the updated first signature group,
And the IDS device performs a security check on the second packet according to the signatures of the updated second signature group. 제 9 항에 있어서,
상기 부하 시그니처를 검출하는 단계는,
제 1 시그니처 그룹의 시그니처들 각각을 이용하여 상기 패킷이 악성인지 여부를 판별하는 소요 시간을 체크하는 단계; 및
상기 소요 시간이 상기 임계값보다 길 때 해당 시그니처를 상기 부하 시그니처로서 검출하는 단계를 포함하는 동작 방법.10. The method of claim 9,
Wherein detecting the load signature comprises:
Checking the time required to determine whether the packet is malicious using each of the signatures of the first signature group; And
And detecting the signature as the load signature when the elapsed time is longer than the threshold. 삭제delete
KR1020130161574A 2013-12-23 2013-12-23 Security system including ips device and ids device and operating method thereof KR101518852B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130161574A KR101518852B1 (en) 2013-12-23 2013-12-23 Security system including ips device and ids device and operating method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130161574A KR101518852B1 (en) 2013-12-23 2013-12-23 Security system including ips device and ids device and operating method thereof

Publications (1)

Publication Number Publication Date
KR101518852B1 true KR101518852B1 (en) 2015-05-13

Family

ID=53394273

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130161574A KR101518852B1 (en) 2013-12-23 2013-12-23 Security system including ips device and ids device and operating method thereof

Country Status (1)

Country Link
KR (1) KR101518852B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170040924A (en) 2015-10-06 2017-04-14 주식회사 엘지유플러스 Apparatus and method for processing communication packet
KR20190028596A (en) * 2017-09-08 2019-03-19 (주)피즐리소프트 Matching device of high speed snort rule and yara rule based on fpga

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090076612A (en) * 2008-01-09 2009-07-13 한양대학교 산학협력단 Instrusion detection system and method for cooperative multi-server and instrusion detection control system and method
KR20090116206A (en) * 2008-05-06 2009-11-11 소프트포럼 주식회사 System for defending client distribute denial of service and method therefor

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090076612A (en) * 2008-01-09 2009-07-13 한양대학교 산학협력단 Instrusion detection system and method for cooperative multi-server and instrusion detection control system and method
KR20090116206A (en) * 2008-05-06 2009-11-11 소프트포럼 주식회사 System for defending client distribute denial of service and method therefor

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170040924A (en) 2015-10-06 2017-04-14 주식회사 엘지유플러스 Apparatus and method for processing communication packet
KR20190028596A (en) * 2017-09-08 2019-03-19 (주)피즐리소프트 Matching device of high speed snort rule and yara rule based on fpga
KR102014736B1 (en) * 2017-09-08 2019-08-28 (주)피즐리소프트 Matching device of high speed snort rule and yara rule based on fpga

Similar Documents

Publication Publication Date Title
US11902120B2 (en) Synthetic data for determining health of a network security system
CN109829297B (en) Monitoring device, method and computer storage medium thereof
US11924223B2 (en) Technologies for proving packet transit through uncompromised nodes
US8613088B2 (en) Methods and systems to detect an evasion attack
Zhou et al. Exploiting the Vulnerability of Flow Table Overflow in Software‐Defined Network: Attack Model, Evaluation, and Defense
US10609054B2 (en) Methods, systems, and computer readable media for monitoring, adjusting, and utilizing latency associated with accessing distributed computing resources
WO2016006520A1 (en) Detection device, detection method and detection program
CN101460983A (en) Malicious attack detection system and an associated method of use
CA2545916A1 (en) Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data
Hubballi et al. LAN attack detection using discrete event systems
CN101529862A (en) Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis
KR20120136506A (en) Node apparatus and method that prevent overflow of pending interest table in network system of name base
US20220166779A1 (en) Trustworthiness evaluation of network devices
US20060250954A1 (en) Method and apparatus for controlling connection rate of network hosts
KR20060092832A (en) Containment of worms
CN106209907B (en) Method and device for detecting malicious attack
JP2008052637A (en) Abnormality detector, abnormality detection program, and recording medium
KR101518852B1 (en) Security system including ips device and ids device and operating method thereof
KR101308085B1 (en) Intrusion prevention system using correlation attack pattern and method thereof
US20060095963A1 (en) Collaborative attack detection in networks
JP2023165633A (en) System and method for machine learning based malware detection
JP7172104B2 (en) NETWORK MONITORING DEVICE, NETWORK MONITORING PROGRAM AND NETWORK MONITORING METHOD
CN107395615B (en) Method and device for printer safety protection
JP2010211453A (en) File tampering check method and device
JP5509999B2 (en) Unauthorized connection prevention device and program

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190502

Year of fee payment: 5