KR101628101B1 - 시그니처 탐지를 위한 침입 차단 시스템 장비 - Google Patents

시그니처 탐지를 위한 침입 차단 시스템 장비 Download PDF

Info

Publication number
KR101628101B1
KR101628101B1 KR1020140195023A KR20140195023A KR101628101B1 KR 101628101 B1 KR101628101 B1 KR 101628101B1 KR 1020140195023 A KR1020140195023 A KR 1020140195023A KR 20140195023 A KR20140195023 A KR 20140195023A KR 101628101 B1 KR101628101 B1 KR 101628101B1
Authority
KR
South Korea
Prior art keywords
signature
function unit
script language
pattern matching
ips
Prior art date
Application number
KR1020140195023A
Other languages
English (en)
Inventor
권혜진
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020140195023A priority Critical patent/KR101628101B1/ko
Application granted granted Critical
Publication of KR101628101B1 publication Critical patent/KR101628101B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Devices For Executing Special Programs (AREA)

Abstract

본 발명은 시그니처 탐지를 위한 침입 차단 시스템 장비에 관한 것이다. 본 발명의 침입 차단 시스템 장비는 네트워크로부터의 침입을 식별하기 위한 시그니처들을 탐지하는 시그니처 탐지 모듈을 포함하고, 시그니처 탐지 모듈은 패턴 매칭 함수 유닛, 및 스크립트 언어를 이용하여 생성된 시그니처 정책을 이용하여 시그니처 탐지를 하는 응용 프로그래밍 인터페이스(API) 함수 유닛을 포함한다.

Description

시그니처 탐지를 위한 침입 차단 시스템 장비{IPS APPARATUS FOR DETECTING SIGNATURE}
본 발명은 네트워크 시스템에서 시그니처 탐지에 관한 것으로서, 특히 컴파일 없이 필요에 따라 로직을 바꿀 수 있는 유연한 시그니처 탐지를 위한 침입 차단 시스템 장비에 관한 것이다.
침입 차단 시스템(IPS: Intrusion Detection System) 장비는 시그니처(signature) 탐지에 필요한 로직을 수정하게 되면 컴파일을 수행하여야 한다. 이로 인해, 긴급한 대응이 필요한 시그니처 탐지를 위해서 컴파일을 수행해야 함에 따라 로직의 수정된 내용을 바로 적용하기 어려운 문제점이 있었다.
본 발명의 목적은 컴파일 없이 필요에 따라 로직을 바꾸어 시그니처를 탐지하는 침입 차단 시스템 장비를 제공함에 있다.
본 발명에 따른 시그니처 탐지를 위한 침입 차단 시스템 장비는 네트워크로부터의 침입을 식별하기 위한 시그니처들을 탐지하는 시그니처 탐지 모듈을 포함하고, 상기 시그니처 탐지 모듈은 패턴 매칭 함수 유닛, 및 스크립트 언어를 이용하여 생성된 시그니처 정책을 이용하여 상기 시그니처 탐지를 하는 응용 프로그래밍 인터페이스 함수 유닛을 포함한다.
이 실시예에 있어서, 상기 응용 프로그래밍 인터페이스 함수 유닛은 상기 시그니처의 검출을 위해 상기 시그니처 정책을 스크립트 언어를 사용하여 플러그인 형태로 확장하는 것을 특징으로 한다.
이 실시예에 있어서, 상기 스크립트 언어는 파이썬(Python), 자바스크립트(JavaScript), 펄(Perl), 루비(Ruby), 피에치피(PHP), 루아(Lua), 배쉬(Bash) 중 적어도 하나를 포함하는 것을 특징으로 한다.
본 발명의 침입 차단 시스템 장비는 응용 프로그래밍 인터페이스(API: Application Programming Interface) 함수 유닛을 통해 시그니처 정책을 스크립트 언어를 이용함에 따라, 컴파일 없이 필요에 따라 로직을 바꾸어 시그니처를 탐지할 수 있다.
도 1은 본 발명의 실시예에 따른 침입 차단 시스템 장비를 도시한 도면, 및
도 2는 본 발명의 실시예에 따른 패턴 매칭 함수 유닛과 API 함수 유닛 간의 시그니처 정책 생성 동작을 도시한 도면이다.
이하, 본 발명에 따른 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 하기의 설명에서는 본 발명에 따른 동작을 이해하는데 필요한 부분만이 설명되며 그 이외 부분의 설명은 본 발명의 요지를 모호하지 않도록 하기 위해 생략될 것이라는 것을 유의하여야 한다.
본 발명은 컴파일 없이 필요에 따라 로직을 바꿀 수 있는 유연한 시그니처(signature) 탐지를 위한 침입 차단 시스템(Intrusion Detection System, 이하 'IPS'라 칭하기로 함) 장비를 제공한다.
도 1은 본 발명의 실시예에 따른 IPS 장비를 도시한 도면이다.
도 1을 참조하면, IPS 장비(100)는 시그니처 탐지 모듈(110)을 포함한다.
시그니처 탐지 모듈(110)은 시그니처 탐지를 위한 것이다. 여기서, 시그니처는 침입을 식별하기 위해 정의된 규칙(rule)으로, 정책 위반, 취약 상태, 침입과 관련된 동작을 수행하는 작업 상태 또는 패턴을 나타낸다.
시그니처 탐지 모듈(100)은 IPS 장비(100)의 메모리(미도시) 등의 라이브러리 형태로 저장된 시그니처를 대상으로 패턴 일치를 수행함으로써, 네트워크로부터의 공격을 식별할 수 있다. 예를 들면, 시그니처 탐지 모듈(100)은 미리 설정된 시그니처 정책 기반의 스노트(Snort)를 통해 구현될 수 있으며, 미리 설정된 시그니처 정책(일예로, signature rule) 기반으로 패턴을 적용한 후에 탐지되는 공격에 대해 로그 작성 또는 침입 경보(또는 침입 경고)를 수행한다. 이를 통해, 시그니처 탐지 모듈(100)은 입력된 패킷에 대해 작성된 로그 정보 또는 침입 경보를 출력한다.
시그니처 탐지 모듈(100)은 패턴 매칭 함수 유닛(111)과 API 함수 유닛(112)을 포함한다.
패턴 매칭 함수 유닛(111)은 패턴 매칭 함수를 통해 시그니처 탐지를 한다. 이때, 패턴 매칭 함수 유닛(111)은 미리 결정된 시그니처 정책을 패턴 매칭 함수를 통해 구현한다. 패턴 매칭 함수 유닛을 적용된 시그니처 정책은 컴파일러를 이용하여 구현된다.
API 함수 유닛(112)은 API 함수를 이용하여 스크립트(script) 언어로 작성된 사용자 정의 시그니처 정책을 이용하여 시그니처 탐지를 한다. 여기서, 스크립트 언어는 소스 코드를 컴파일(compile) 하지 않고, 실행이 가능한 프로그래밍 언어이다. 따라서, 스크립트 언어는 컴파일러를 사용할 필요가 없으므로, 시그니처 탐지에 컴파일없이 적용될 수 있는 시그니처 정책을 생성한다.
이를 통해, 본 발명에서 제안된 IPS 장비(100)의 시그니처 탐지 모듈(110)은 스노트와 같은 형태의 미리 결정된 시그니처 정책은 패턴 매칭 함수 유닛(111)을 통해 시그니처 탐지에 이용되며, 스크립트 언어로 작성된 시그니처 정책은 API 함수 유닛(112)을 통해 시그니처 탐지에 이용된다. 따라서, 시그니처 탐지 모듈(110)은 API 함수 유닛(112)을 포함함으로써, 스크립트로 작성된 시그니처 정책을 실행하도록 하는 기능을 갖는다. 이로 인해, 본 발명의 IPS 장비(100)는 별도의 컴파일 동작을 수행하지 않고도, 스크립트 언어로 시그니처 탐지를 위한 규칙을 작성할 수 있음으로, 컴파일 없이 필요에 따라 로직을 바꾸어 시그니처를 탐지할 수 있다.
도 2는 본 발명의 실시예에 따른 패턴 매칭 함수 유닛과 API 함수 유닛 간의 시그니처 정책 생성 동작을 도시한 도면이다.
도 2를 참조하면, 도 1의 패턴 매칭 함수 유닛(111)에 적용되는 제 1 시그니처 정책과, 도 1의 API 함수 유닛(112)에 적용되는 제 2 시그니처 정책의 생성 모듈들(210, 220)을 개념적으로 도시한 도면이다.
제 1 시그니처 정책은 비스크립트 언어(일예로, C언어, 자바(java), 비주얼 베이직(visual basic) 등)을 이용하여 생성되고, 제 1 시그니처 정책 생성 모듈(210)은 내부에 컴파일러를 포함함에 따라 컴파일을 통해 수행된다.
제 2 시그니처 정책은 스크립트 언어들(일예로, 파이썬(Python), 자바스크립트(JavaScript), 펄(Perl), 루비(Ruby), 피에치피(PHP), 루아(Lua), 배쉬(Bash))을 이용하여 생성되고, 제 2 시그니처 정책 생성 모듈(220)은 내부에 컴파일러를 포함할 필요가 없다. 이를 통해, 제 2 시그니처 정책 생성 모듈(220)에서 시그니처들 각각에 대해 API 함수 유닛(112)을 통해 플러그 인(plug-in) 형태로 확장할 수 있다. 이때, 제 2 시그니처 정책은 컴파일러에 의해 복잡도가 상대적으로 낮은 간단한 번역기(또는, 번역 과정)을 통해 생성될 수 있다.
이로 인해, API 함수 유닛(112)은 스크립트 언어는 문법이 서로 다른 C에서 스크립트 언어와의 연동을 위해 각 스크립트 언어에서 제공되는 API를 이용하여 구현될 수 있다. 이러한 API는 스크립트 언어를 통해 프로그래밍한 함수와 기능을 C에서 제어할 수 있도록 하는 인터페이스이다.
이를 통해, 본 발명에서 제안된 IPS 장비(100)은 스크립트 언어를 이용하여 시그니처 탐지를 위한 시그니처 정책을 생성함으로써, 스노트 룰 옵션을 이용할 필요가 없다. IPS 장비(100)는 컴파일을 수행할 필요가 없음으로, 시그니처 탐지의 중간 결과를 파일로 출력하도록 하는 기능을 제공할 수 있으며, 시그니처 레벨에서 디코딩을 가능하게 한다. IPS 장비(100)는 시그니처들 각각에 대해 플러그 인 형태로 확장할 수 있음으로 유연한 시그니처 탐지를 할 수 있다. IPS 장비(100)는 시그니처 정책에 대한 정식 패치 전과 같은 긴급 상황에서 긴급 대응을 위한 시그니처 정책의 추가를 가능하게 한다.
한편, 본 발명의 상세한 설명에서는 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 상술한 실시 예에 국한되어 정해져서는 안되며 후술하는 특허청구범위뿐만 아니라 이 발명의 특허청구범위와 균등한 것들에 의해 정해져야 한다.
100: 침입 탐지 시스템(IPS) 장비 110: 시그니처 탐지 모듈
111: 패턴 매칭 함수 유닛
112: 응용 어플리케이션 인터페이스(API) 함수 유닛
210, 220: 시그니처 정책 생성 모듈들

Claims (5)

  1. 시그니처 탐지를 위한 침입 차단 시스템(IPS) 장비에 있어서,
    네트워크로부터의 침입을 식별하기 위해 악성 시그니처들을 탐지하는 시그니처 탐지 모듈을 포함하고,
    상기 시그니처 탐지 모듈은
    비스크립트 언어로 생성된 시그니처 정책을 이용하여 상기 악성 시그니처들을 탐지하는 패턴 매칭 함수 유닛; 및
    스크립트 언어로 생성된 시그니처 정책을 이용하여 상기 악성 시그니처들을 탐지하는 응용 프로그래밍 인터페이스(API) 함수 유닛을 포함하는 침입 차단 시스템 장비.
  2. 제 1 항에 있어서,
    상기 응용 프로그래밍 인터페이스 함수 유닛은 상기 악성 시그니처들을 탐지하기 위해 상기 시그니처 정책을 상기 스크립트 언어를 사용하여 플러그인 형태로 확장하는 것을 특징으로 하는 침입 차단 시스템 장비.
  3. 제 1 항에 있어서,
    상기 스크립트 언어는 파이썬(Python), 자바스크립트(JavaScript), 펄(Perl), 루비(Ruby), 피에치피(PHP), 루아(Lua), 배쉬(Bash) 중 적어도 하나를 포함하는 것을 특징으로 하는 침입 차단 시스템 장비.
  4. 제 1 항에 있어서,
    상기 패턴 매칭 함수 유닛은 상기 비스크립트 언어로 생성된 시그니처 정책을 컴파일하여 실행하기 위한 컴파일러를 포함하는 것을 특징으로 하는 침입 차단 시스템 장비.
  5. 제 4 항에 있어서,
    상기 응용 프로그래밍 인터페이스 함수 유닛은 상기 스크립트 언어로 생성된 시그니처 정책을 상기 컴파일 없이 실행하는 것을 특징으로 하는 침입 차단 시스템 장비.
KR1020140195023A 2014-12-31 2014-12-31 시그니처 탐지를 위한 침입 차단 시스템 장비 KR101628101B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140195023A KR101628101B1 (ko) 2014-12-31 2014-12-31 시그니처 탐지를 위한 침입 차단 시스템 장비

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140195023A KR101628101B1 (ko) 2014-12-31 2014-12-31 시그니처 탐지를 위한 침입 차단 시스템 장비

Publications (1)

Publication Number Publication Date
KR101628101B1 true KR101628101B1 (ko) 2016-06-09

Family

ID=56139028

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140195023A KR101628101B1 (ko) 2014-12-31 2014-12-31 시그니처 탐지를 위한 침입 차단 시스템 장비

Country Status (1)

Country Link
KR (1) KR101628101B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090084530A (ko) * 2008-02-01 2009-08-05 주식회사 안철수연구소 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지및 차단 방법, 및 그 장치

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090084530A (ko) * 2008-02-01 2009-08-05 주식회사 안철수연구소 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지및 차단 방법, 및 그 장치

Similar Documents

Publication Publication Date Title
US9876816B2 (en) Detecting stored cross-site scripting vulnerabilities in web applications
US10055585B2 (en) Hardware and software execution profiling
EP3779745B1 (en) Code pointer authentication for hardware flow control
US10223528B2 (en) Technologies for deterministic code flow integrity protection
US20150363598A1 (en) Detection of malicious scripting language code in a network environment
CA3023939C (en) Method and apparatus for dynamic executable verification
US20170024230A1 (en) Method, apparatus, and computer-readable medium for ofuscating execution of an application on a virtual machine
US11144642B2 (en) Deactivating evasive malware
GB2527323A (en) Runtime protection of web services
US20190370106A1 (en) Unexpected event detection during execution of an application
EP3104292B1 (en) Device and method for protection of ios software modules
JP6435834B2 (ja) 命令実行制御装置、命令実行制御方法
Chekole et al. Cima: Compiler-enforced resilience against memory safety attacks in cyber-physical systems
CN110717181B (zh) 基于新型程序依赖图的非控制数据攻击检测方法及装置
US10120987B2 (en) Device and method for executing protected iOS software modules
EP3522488B1 (en) Automatic decoy derivation through patch transformation
KR101628101B1 (ko) 시그니처 탐지를 위한 침입 차단 시스템 장비
US9881155B2 (en) System and method for automatic use-after-free exploit detection
KR102458075B1 (ko) 사이버물리시스템의 고가용성 보장을 위한 악성코드 대응 방법
JP7483927B2 (ja) 応用プログラムの実行流れ変更を通じた非実行ファイルの悪性探知方法及び装置
US20160197955A1 (en) System and Method for Automatic Detection of Attempted Virtual Function Table or Virtual Function Table Pointer Overwrite Attack
US20160042182A1 (en) Dynamic verification of a computer sofware application execution path
US9654498B2 (en) Detecting deviation from a data packet send-protocol in a computer system
Röpke SDN Ro2tkits: A Case Study of Subverting A Closed Source SDN Controller
CN105608374A (zh) 虚拟机逃逸的检测方法及装置

Legal Events

Date Code Title Description
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190604

Year of fee payment: 4