KR101615587B1 - 전자전에서 사이버 공격 탐지와 분석을 위한 dpi 구현 시스템 및 이의 구현 방법 - Google Patents

전자전에서 사이버 공격 탐지와 분석을 위한 dpi 구현 시스템 및 이의 구현 방법 Download PDF

Info

Publication number
KR101615587B1
KR101615587B1 KR1020150155801A KR20150155801A KR101615587B1 KR 101615587 B1 KR101615587 B1 KR 101615587B1 KR 1020150155801 A KR1020150155801 A KR 1020150155801A KR 20150155801 A KR20150155801 A KR 20150155801A KR 101615587 B1 KR101615587 B1 KR 101615587B1
Authority
KR
South Korea
Prior art keywords
packet
data
packets
meta information
collection
Prior art date
Application number
KR1020150155801A
Other languages
English (en)
Inventor
박무성
한인성
고장혁
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020150155801A priority Critical patent/KR101615587B1/ko
Application granted granted Critical
Publication of KR101615587B1 publication Critical patent/KR101615587B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/142Denial of service attacks against network infrastructure

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 유통되는 대용량 고속패킷들을 효율적으로 수집하고 패킷의 어플리케이션 프로토콜까지 분석하고 원문 데이터(가시화 또는 청취할 수 있는 데이터) 형태로 어플리케이션 데이터를 복원하는 DPI(Deep Packet Inspection) 구현 방법 및 이의 시스템에 관한 것이다.

Description

전자전에서 사이버 공격 탐지와 분석을 위한 DPI 구현 시스템 및 이의 구현 방법{System for implementing Deep Packet Inspection Simulation for detecting and analyzing cyber attack in electronic warfare and Method thereof}
본 발명은 대규모 LAN 환경에서 유통되는 패킷으로부터 바이러스ㆍ악성코드 및/또는 APT(Advanced Persistent Threats) 공격 탐지를 위한 DIP(Deep Packet Inspection) 시스템으로써, 더 상세하게는 실시간으로 유통되는 대용량 고속패킷들을 효율적으로 수집하고 패킷의 어플리케이션 프로토콜까지 분석하고 원문데이터(가시화 또는 청취할 수 있는 데이터) 형태로 어플리케이션 데이터를 복원하는 DPI 구현 방법 및 이의 시스템에 관한 것이다.
DPI(Deep Packet Inspection) 기술은 기본적으로 네트워크 패킷의 어플리케이션 데이터의 내용까지 파악한다는 것에 그 의미를 두고 있다. 이러한 DPI 기술은 실시간으로 유통되는 네트워크 패킷으로부터 바이러스ㆍ악성코드 및 APT 공격탐지를 수행한다. 뿐만 아니라 서버와 클라이언트 간의 패킷 통신의 프로토콜에 대한 정보까지 파악하여 정상적인 프로토콜로 통신이 이루어지고 있는지, 아니면 비정상적인 프로토콜 통신 형태가 이루어지고 있는지 까지도 파악할 수 있다.
또한 DPI 기술을 통해 기존에 NIDS(Network Intrusion Detection System) 우회(Evasion) 기술들과 같이 방화벽이나 NIDS를 무력화 시켰던 방법들을 이용한 공격들을 상당수 탐지할 수 있다. 또한, NIDS나 방화벽에서 탐지할 수 없었던 상위 레벨의 프로토콜들의 취약점을 이용한 공격을 막아내는 것이 가능하다. 이 외에도 상위 응용 계층의 프로그램들에 대한 보안 역시 가능하게 할 수 있으며 웜이나 DDoS(Distributed Denial of Service)에 대한 공격 역시 더 확실하게 막아내는 것이 가능하다. 이와 같이 DPI 기술은 네트워크 보안에 있어 매우 중요한 기반기술로 인식되고 있다. 이러한 DPI 제품 및/또는 기술들이 연구개발을 완료한 상태이거나 진행중이다.
그러나 가장 큰 문제는 구현의 복잡함과 성능이다. 대규모 LAN 환경에서 각 네트워크 구간마다 동시에 발생하는 대용량 패킷들을 수집처리하고, 상위 응용계층에서 지원하는 상당수의 프로토콜(HTTP, FTP, DNS, TELNET, etc.)에 대한 어플리케이션 데이터의 복원 및 분석이 이루어져야 한다. 이러한 어플리케이션 프로토콜은 그 표준에 대한 규약이 매우 복잡하고 양이 많아 구현에 어려움이 따른다. 그리고, 이런 분석이 복잡해지게 되면 대용량 네트워크 패킷을 처리하는데 상당한 오버헤드가 발생하게 된다.
또한, 대규모 LAN 영역에서 대용량의 패킷이 고속으로 유입되는 패킷의 수집, 프로토콜 분석 및 어플리케이션 데이터 복원을 단일 시스템으로 처리하는 기존 외산 DPI 시스템이 경우에도 시스템의 확장 및/또는 구현의 복잡으로 인한 성능의 문제가 발생하고 있다.
1. 한국공개특허번호 제10-2014-0111174호 2. 한국공개특허번호 제10-2014-0093518호
1. 양준호외, "듀얼 프로세서 기반 DPI(Deep Packet Inspection) 엔진을 위한 효율적 패킷 프로세싱 방안 구현 및 성능 분석"정보처리학회논문지C 제16-C권 제4호 통권 제127호 (2009년 8월) pp.417-422
본 발명은 위 배경기술에 따른 문제점을 해소하기 위해 제안된 것으로서, 대용량의 패킷이 고속으로 유입되는 패킷들을 효율적으로 수집하고 어플리케이션 데이터의 내용 분석을 위한 복원을 위해, 처리기능에 따라 패킷 집합 모듈(Packet Aggregator)과 패킷 복원 모듈(Packet Reconstructor)로 이원화된 DPI 구현 방법 및 이의 시스템을 제공하는데 그 목적이 있다.
본 발명은 위에서 제시된 과제를 달성하기 위해, 대용량의 패킷이 고속으로 유입되는 패킷들을 효율적으로 수집하고 어플리케이션 데이터의 내용 분석을 위한 복원을 위해, 처리기능에 따라 패킷 집합 모듈(Packet Aggregator)과 패킷 복원 모듈(Packet Reconstructor)로 이원화된 DPI(Deep Packet Inspection) 시스템 및 이의 구현 방법을 제공한다.
상기 DPI 시스템은,
제 1 패킷들을 전송하는 다중 네트워크 구간으로 분리설치되는 다수의 패킷 전송 장비;
상기 제 1 패킷들을 순차적으로 수집하여 수집메타 정보를 생성하고, 상기 수집메타 정보를 이용하여 수집된 제 2 패킷들을 병합하여 병합 데이터를 생성하고, 상기 수집메타 정보 및 병합 데이터를 이용하여 패킷 덤프 데이터로 생성하는 패킷 집합 모듈; 및
상기 패킷 덤프 데이터를 상기 제 1 패킷들로 복원하는 패킷 복원 모듈;을 포함하는 것을 특징으로 할 수 있다.
이때, 상기 패킷 집합 모듈은 TCP(Transmission Control Protocol) 프로토콜의 일부정보들(예를 들면, IP Version, Source IP, Destination IP, Source Port Number, Destination Port Number 등을 들 수 있음)을 상기 수집메타 정보로 생성하는 것을 특징으로 할 수 있다.
또한, 상기 제 2 패킷들은 TCP 프로토콜 헤더와 페이로드 데이터로 분리되는 것을 특징으로 할 수 있다.
또한, 상기 병합 데이터는 상기 페이로드 데이터가 TCP 프로토콜의 순차번호(Sequence Number)로 정렬된후 병합되어 생성되는 것을 특징으로 할 수 있다.
또한, 상기 패킷 덤프 데이터는 헤더, 수집메타 정보 및 페이로드 데이터로 이루어지는 것을 특징으로 할 수 있다.
또한, 상기 패킷 복원 모듈은 복원 메타 정보를 이용하여 상기 수집메타 정보 및 상기 병합 데이터의 각 데이터를 복원하는 것을 특징으로 할 수 있다.
여기서, 상기 복원 메타 정보는 XML(eXtensible Markup Language) 형식이며, 패킷 복원 모듈 식별자(ID), 패킷 집합 모듈 식별자(ID), 어플리케이션 프로토콜 종류, 복원종료시간, IP(Internet Protocol) 버전, 소스 IP, 목적지 IP,소스 포트, 목적지 포트, 수집 네트워크 식별자, 및 패킷 수집 시작 시간을 포함하는 커멘드 레코더와, 세션 식별자, 호스트, 시퀀스 넘버, 및 파일 레코드를 포함하는 어플리케이션 레코드로 이루어지는 것을 특징으로 할 수 있다.
또한, 상기 TCP 프로토콜의 순차번호 및 페이로드 데이터는 페어로 버퍼에 저장되는 것을 특징으로 할 수 있다.
다른 한편으로, 본 발명의 다른 일실시예는, 다수의 패킷 전송 장비를 제 1 패킷들을 전송하는 단계; 패킷 집합 모듈이 상기 제 1 패킷들을 순차적으로 수집하여 수집메타 정보를 생성하는 단계; 상기 패킷 집합 모듈이 상기 수집메타 정보를 이용하여 수집된 제 2 패킷들을 병합하여 병합 데이터를 생성하는 단계; 상기 패킷 집합 모듈이 상기 패킷 복원 모듈가 상기 수집메타 정보 및 병합 데이터를 이용하여 패킷 덤프 데이터로 생성하는 단계; 및 패킷 복원 모듈가 상기 패킷 덤프 데이터를 상기 제 1 패킷들로 복원하는 단계;를 포함하는 것을 특징으로 하는 전자전에서 사이버 공격 탐지와 분석을 위한 DPI(Deep Packet Inspection) 구현 방법을 제공할 수 있다.
본 발명에 따르면, 패킷수집 처리하는 '패킷 집합 모듈(Packet Aggregator)및 프로토콜 분석과 어플리케이션 데이터 복원을 처리하는 '패킷 복원 모듈(Packet Reconstructor)'를 이원화한 형태로 DIP 시스템을 구현함으로써, 패킷 유통량에 따라 시스템 확장을 유연하게 하여 수집과 어플리케이션 데이터 분석 및 복원 처리 성능을 높일 수 있다.
또한, 본 발명의 다른 효과로서는 IDS(Intrusion Detection System), 방화벽(Firewall), IPS(Intrusion Prevention System) 등과 같은 네트워크 보안장비를 무력화시키는 바이러스ㆍ악성코드 및 APT(Advanced Persistent Threats) 공격을 탐지할 수 있고 APT 공격발생 대응을 위한 분석에 적극 활용될 수 있다는 점을 들 수 있다.
도 1은 본 발명의 일실시예에 따른 패킷 집합 모듈(Packet Aggregator)과 패킷 복원 모듈(Packet Reconstructor)로 이원화된 DPI(Deep Packet Inspection) 시스템(100)의 개념도를 나타낸 것이다.
도 2는 도 1에 도시된 패킷 집합 모듈(120)의 구성 블록도이다.
도 3은 도 2에 도시된 패킷 집합 모듈(120)의 패킷 처리 과정을 보여주는 흐름도이다.
도 4는 도 1에 도시된 패킷 집합 모듈(120)에서 생성한 패킷 덤프 데이터 구조를 나타낸 도면이다.
도 5는 도 1에 도시된 패킷 복원 모듈(130)에서 복원한 결과의 개념구조를 나타낸 도면이다.
도 6은 도 5에 도시된 복원 메타 정보를 XML(extensible Markup Language) 형식으로 저장하는 구조를 나타내는 도면이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는바, 특정 실시예들을 도면에 예시하고 상세한 설명에 구체적으로 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용한다.
제 1, 제 2등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소도 제 1 구성요소로 명명될 수 있다. "및/또는" 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미가 있다.
일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않아야 한다.
이하 첨부된 도면을 참조하여 본 발명의 일실시예에 따른 전자전에서 사이버 공격 탐지와 분석을 위한 DPI(Deep Packet Inspection) 시스템 및 이의 구현 방법을 상세하게 설명하기로 한다.
본 발명의 일실시예는 패킷 집합 모듈(Packet Aggregator)과 패킷 복원 모듈(Packet Reconstructor)로 이원화한다. 따라서, 다중 네트워크 구간으로 분리 설치된 패킷 전송 장비로부터 고속으로 유통되는 대용량 패킷들을 효율적으로 수집처리하고, 어플리케이션 프로토콜 분석과 데이터 복원을 확장하는 구조로 효율적인 DPI (Deep Packet Inspection) 시스템 구성을 통해 바이러스ㆍ악성코드 및 APT(Advanced Persistent Threats) 공격탐지 및 분석할 수 있는 기반을 제공한다.
도 1은 본 발명의 일실시예에 따른 패킷 집합 모듈(Packet Aggregator)과 패킷 복원 모듈(Packet Reconstructor)로 이원화된 DPI(Deep Packet Inspection) 시스템(100)의 개념도를 나타낸 것이다. 도 1을 참조하면, DPI 시스템(100)은 패킷들을 전송하는 제 1 내지 제 n 패킷 전송 장비(110-1 내지 110-n), 이들 패킷 전송 장비(110-1 내지 110-n)로부터 전송되는 고속 패킷들을 수집 처리하여 패킷 덤프 데이터를 생성하는 패킷 집합 모듈(120), 이 패킷 집합 모듈(120)로부터 패킷 덤프 데이터를 전송 받아 원래의 패킷들로 복원하는 패킷 복원 모듈(130) 등을 포함하여 구성된다.
제 1 내지 제 n 패킷 전송 장비(110-1 내지 110-n)는 다중 네트워크 구간으로 분리 설치되며, 고유의 네트워크 식별자(ID)를 갖는다. 또한, 고속으로 유입되는 대용량의 패킷들을 받아 패킷 집합 모듈(120)에 전송한다. 또한, 제 1 내지 제 n 패킷 전송 장비(110-1 내지 110-n) 각각은 1Gbps로 패킷을 패킷 집합 모듈(120)에 전송한다.
패킷 집합 모듈(120)은 제 1 내지 제 n 패킷 전송 장비(110-1 내지 110-n)로부터 전송된 패킷들을 순차적으로 수집하여 수집메타 정보를 생성한다. 또한, 상기 수집메타 정보를 이용하여 수집된 제 2 패킷들을 병합하여 병합 데이터를 생성하고, 상기 수집메타 정보 및 병합 데이터를 이용하여 패킷 덤프 데이터로 생성한다.
이러한 패킷 집합 모듈(120)의 처리 동작 순서를 보면 다음과 같다.
(1) TCP 세션시작신호 확인한다.
(2) 제 1 내지 제 n 패킷 전송 장비(110-1 내지 110-n)로부터 패킷 수집 후 TCP 프로토콜의 일부 정보들을 수집 메타 데이터로 생성한다(일부 정보들이 무엇인지에 대하여 부연설명을 부탁드립니다).
(3) 순차적으로 수집되는 패킷들을 TCP 프로토콜 헤더와 페이로드 데이터로 분리한다.
(4) TCP 프로토콜의 순차번호(Sequence Number)와 페이로드 데이터를 페어(pair)로 버퍼(Buffer)(즉 버퍼 메모리)에 저장한다.
(5) TCP 세션 종료 신호를 확인한다.
(6) 버퍼에 저장된 데이터는 순차번호로 정렬 후 데이터들을 병합(Merge)한다.
(7) 수집 메타 데이터와 병합된 데이터를 패킷 덤프 데이터로 생성한다.
(8) 패킷 집합 모듈(120)이 패킷 덤프 데이터를 패킷 복원 모듈(130)로 전송한다.
도 1을 계속 참조하면, 패킷 복원 모듈(130)은 패킷 집합 모듈(120)로부터 패킷 덤프 데이터를 전송받아 복원하는 기능을 수행한다. 이를 위해, 패킷 복원 모듈(130)은 패킷 집합 모듈(120)로부터 수신된 패킷 덤프 데이터를 전송받아 분배하는 데이터 분배반(131), 및 분배되는 패킷 덤프 데이터를 복원하는 패킷 복원기(132)로 구성된다. 패킷 복원기(132)는 다수개로 확장될 수 있다.
데이터 분배반(131)은 패킷 복원기(132)의 복원 처리상태를 모니터링 하여 유휴 패킷 복원기로 패킷을 분배 한다.
도 2는 도 1에 도시된 패킷 집합 모듈(120)의 구성 블록도이고, 도 3은 도 2에 도시된 패킷 집합 모듈(120)의 패킷 처리 과정을 보여주는 흐름도이다. 일반적으로 대규모 LAN(Local Area Network)에서 각 패킷 수집 포인트마다 다수의 패킷 전송 장비(110-1 내지 110-n)로부터 패킷 집합 모듈(120)로 전송하는 경우 패킷의 중복이 발생한다. 또한, 각 송수신 패킷별 세션을 TCP(Transmission Control Protocol) 세션정보마다 분류하는 기능이 필요하다. 따라서, 내부 패킷 수집 및/또는 분류 처리에 대한 기능이 요구된다. 이를 위해 본 발명의 일실시예에서는 패킷 수신반(210)과 패킷 분류반(220)으로 구성한다.
즉, 패킷 수신반(210)은 제 1 내지 제 n 패킷 전송 장비(110-1 내지 110-n)로부터의 고속의 패킷 데이터(301)를 수집하고, 이에 대하여 오류를 검출하며, 이를 패킷 필터링한다(S310,S311,S313). 이후 필터링된 패킷을 패킷 분류반(220)에 전송한다.
패킷 분류반(220)은 패킷 수신반(210)으로부터 필터링된 패킷을 수집하여 수집된 데이터들 중에 중복을 검출하고, 도 1에서 기술한 플로우에 따라 패킷 덤프 데이터(410)를 생성하고, 이를 전송한다(단계 S320,S321,S323,S325).
여기서, 오류 검출은 네트워크에서 수신한 패킷에 오류가 있는지 판단 및 검출하는 기술이다. 패킷 필터링은 많은 종류의 패킷들 중 불필요한 패킷들을 제거하는 기술이다. 중복 검출은 기 수신한 패킷과 동일한 패킷들을 수신할 경우 제거하는 기술이다.
도 4는 도 1에 도시된 패킷 집합 모듈(120)에서 생성한 패킷 덤프 데이터 구조를 나타낸 도면이다. 도 4를 참조하면, 패킷 덤프 데이터(410)의 구조는 헤더(L2,L3,L4)(411), 수집메타 정보(412) 및 페이로드 데이터(413) 등을 포함하여 구성된다. 특히, 도 4는 패킷 집합 모듈(120)에서 생성되어 TCP 세션별로 수집된 상태를 보여주는 도면이다.
도 5는 도 1에 도시된 패킷 복원 모듈(130)에서 복원한 결과의 개념구조를 나타낸 도면이다. 도 5를 참조하면, 패킷 복원 모듈(130)에서 복원 메타 정보(510)를 이용하여 패킷 덤프 데이터(410)를 복원하는 개념을 보여준다.
여기서, 복원은 네트워크 패킷을 재조립하여 사용자가 가시화 또는 청취할 수 있는 원본 데이터 형태로 재생산 처리작업이다.
도 6은 도 5에 도시된 복원 메타 정보를 XML(extensible Markup Language) 형식으로 저장하는 구조를 나타내는 도면이다. 도 6을 참조하면, 코멘드 레코드와 어플리케이션 레코드로 구성된다. 코멘드 레코드는, 패킷 복원 모듈 식별자(ID), 패킷 집합 모듈 식별자(ID), 어플리케이션 프로토콜 종류, 복원종료시간, IP(Internet Protocol) 버전, 소스 IP, 목적지 IP, 소스 포트, 목적지 포트, 수집 네트워크 식별자, 및 패킷 수집 시작 시간 등으로 구성된다.
어플리케이션 레코드는, 세션 식별자, 호스트, 시퀀스 넘버, 및 파일 레코드등으로 구성된다.
100: DPI(Deep Packet Inspection) 시스템
110-1 내지 110-n: 제 1 내지 제 n 패킷 전송 장비
120: 패킷 집합 모듈
130: 패킷 복원 모듈
131: 데이터 분배반
132: 패킷 복원기
210: 패킷 수신반
220: 패킷 분류반

Claims (8)

  1. 제 1 패킷들을 전송하는 다중 네트워크 구간으로 분리설치되는 다수의 패킷 전송 장비;
    상기 제 1 패킷들을 순차적으로 수집하여 수집메타 정보를 생성하고, 상기 수집메타 정보를 이용하여 수집된 제 2 패킷들을 병합하여 병합 데이터를 생성하고, 상기 수집메타 정보 및 병합 데이터를 이용하여 패킷 덤프 데이터로 생성하는 패킷 집합 모듈; 및
    상기 패킷 덤프 데이터를 상기 제 1 패킷들로 복원하는 패킷 복원 모듈;
    를 포함하는 것을 특징으로 하는 전자전에서 사이버 공격 탐지와 분석을 위한 DPI(Deep Packet Inspection) 시스템.
  2. 제 1 항에 있어서,
    상기 패킷 집합 모듈은 TCP(Transmission Control Protocol) 프로토콜의 일부정보들을 상기 수집메타 정보로 생성하며, 상기 제 2 패킷들은 TCP 프로토콜 헤더와 페이로드 데이터로 분리되는 것을 특징으로 하는 전자전에서 사이버 공격 탐지와 분석을 위한 DPI 시스템.
  3. 제 2 항에 있어서,
    상기 병합 데이터는 상기 페이로드 데이터가 TCP 프로토콜의 순차번호(Sequence Number)로 정렬된후 병합되어 생성되는 것을 특징으로 하는 전자전에서 사이버 공격 탐지와 분석을 위한 DPI 시스템.
  4. 제 1 항에 있어서,
    상기 패킷 덤프 데이터는 헤더, 수집메타 정보 및 페이로드 데이터로 이루어지는 것을 특징으로 하는 전자전에서 사이버 공격 탐지와 분석을 위한 DPI 시스템.
  5. 제 1 항에 있어서,
    상기 패킷 복원 모듈은 복원 메타 정보를 이용하여 상기 수집메타 정보 및 상기 병합 데이터의 각 데이터를 복원하는 것을 특징으로 하는 전자전에서 사이버 공격 탐지와 분석을 위한 DPI 시스템.
  6. 제 5 항에 있어서,
    상기 복원 메타 정보는 XML(eXtensible Markup Language) 형식이며, 패킷 복원 모듈 식별자(ID), 패킷 집합 모듈 식별자(ID), 어플리케이션 프로토콜 종류, 복원종료시간, IP(Internet Protocol) 버전, 소스 IP, 목적지 IP,소스 포트, 목적지 포트, 수집 네트워크 식별자, 및 패킷 수집 시작 시간을 포함하는 커멘드 레코더와, 세션 식별자, 호스트, 시퀀스 넘버, 및 파일 레코드를 포함하는 어플리케이션 레코드로 이루어지는 것을 특징으로 하는 전자전에서 사이버 공격 탐지와 분석을 위한 DPI 시스템.
  7. 제 3 항에 있어서,
    상기 TCP 프로토콜의 순차번호 및 페이로드 데이터는 페어로 버퍼에 저장되는 것을 특징으로 하는 전자전에서 사이버 공격 탐지와 분석을 위한 DPI 시스템.
  8. 다수의 패킷 전송 장비가 제 1 패킷들을 전송하는 단계;
    패킷 집합 모듈이 상기 제 1 패킷들을 순차적으로 수집하여 수집메타 정보를 생성하는 단계;
    상기 패킷 집합 모듈이 상기 수집메타 정보를 이용하여 수집된 제 2 패킷들을 병합하여 병합 데이터를 생성하는 단계;
    상기 패킷 집합 모듈이 상기 수집메타 정보 및 병합 데이터를 이용하여 패킷 덤프 데이터로 생성하는 단계 ; 및
    패킷 복원 모듈이 상기 패킷 덤프 데이터를 상기 제 1 패킷들로 복원하는 단계;
    를 포함하는 것을 특징으로 하는 전자전에서 사이버 공격 탐지와 분석을 위한 DPI(Deep Packet Inspection) 구현 방법.
KR1020150155801A 2015-11-06 2015-11-06 전자전에서 사이버 공격 탐지와 분석을 위한 dpi 구현 시스템 및 이의 구현 방법 KR101615587B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150155801A KR101615587B1 (ko) 2015-11-06 2015-11-06 전자전에서 사이버 공격 탐지와 분석을 위한 dpi 구현 시스템 및 이의 구현 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150155801A KR101615587B1 (ko) 2015-11-06 2015-11-06 전자전에서 사이버 공격 탐지와 분석을 위한 dpi 구현 시스템 및 이의 구현 방법

Publications (1)

Publication Number Publication Date
KR101615587B1 true KR101615587B1 (ko) 2016-05-11

Family

ID=56026319

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150155801A KR101615587B1 (ko) 2015-11-06 2015-11-06 전자전에서 사이버 공격 탐지와 분석을 위한 dpi 구현 시스템 및 이의 구현 방법

Country Status (1)

Country Link
KR (1) KR101615587B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106789878A (zh) * 2016-11-17 2017-05-31 任子行网络技术股份有限公司 一种面向大流量环境的文件还原系统以及方法
CN112769859A (zh) * 2021-01-24 2021-05-07 中国电子科技集团公司第十五研究所 基于马尔可夫链的网络攻击阶段统计和预测方法
KR20240111132A (ko) 2023-01-09 2024-07-16 남서울대학교 산학협력단 고속 패킷 필터링이 가능한 네트워크 보안 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100895102B1 (ko) 2007-05-21 2009-04-28 한국전자통신연구원 파일 탐색 시스템 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100895102B1 (ko) 2007-05-21 2009-04-28 한국전자통신연구원 파일 탐색 시스템 및 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106789878A (zh) * 2016-11-17 2017-05-31 任子行网络技术股份有限公司 一种面向大流量环境的文件还原系统以及方法
CN106789878B (zh) * 2016-11-17 2019-11-22 任子行网络技术股份有限公司 一种面向大流量环境的文件还原系统以及方法
CN112769859A (zh) * 2021-01-24 2021-05-07 中国电子科技集团公司第十五研究所 基于马尔可夫链的网络攻击阶段统计和预测方法
KR20240111132A (ko) 2023-01-09 2024-07-16 남서울대학교 산학협력단 고속 패킷 필터링이 가능한 네트워크 보안 장치

Similar Documents

Publication Publication Date Title
CN108701187B (zh) 用于混合硬件软件分布式威胁分析的设备和方法
US8065722B2 (en) Semantically-aware network intrusion signature generator
US7197762B2 (en) Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits
US20030084326A1 (en) Method, node and computer readable medium for identifying data in a network exploit
US8990938B2 (en) Analyzing response traffic to detect a malicious source
US20030084319A1 (en) Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
JP2016513944A (ja) ネットワーク通信分析のためにメタデータを抽出及び保持するシステム及び方法
EP3221794A1 (en) Method and system for detecting threats using metadata vectors
JP2005229573A (ja) ネットワーク保安システム及びその動作方法
Kshirsagar et al. CPU load analysis & minimization for TCP SYN flood detection
CN115134250B (zh) 一种网络攻击溯源取证方法
KR101615587B1 (ko) 전자전에서 사이버 공격 탐지와 분석을 위한 dpi 구현 시스템 및 이의 구현 방법
CN109474485A (zh) 基于网络流量信息检测僵尸网络的方法、系统及存储介质
Swami et al. DDoS attacks and defense mechanisms using machine learning techniques for SDN
Ahmed et al. A Linux-based IDPS using Snort
Boukhtouta et al. Towards fingerprinting malicious traffic
Hurley et al. ITACA: Flexible, scalable network analysis
CN113810423A (zh) 一种工控蜜罐
KR20020072618A (ko) 네트워크 기반 침입탐지 시스템
Nguyen et al. An approach to detect network attacks applied for network forensics
CN106209867B (zh) 一种高级威胁防御方法及系统
Hategekimana et al. Hardware isolation technique for irc-based botnets detection
US11677668B1 (en) Transparent application-layer/os deeper packet inspector
Han et al. A collaborative botnets suppression system based on overlay network
Abdulla et al. Setting a worm attack warning by using machine learning to classify netflow data

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190402

Year of fee payment: 4