KR101648033B1 - 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법 및 그를 위한 장치 - Google Patents

공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법 및 그를 위한 장치 Download PDF

Info

Publication number
KR101648033B1
KR101648033B1 KR1020150059023A KR20150059023A KR101648033B1 KR 101648033 B1 KR101648033 B1 KR 101648033B1 KR 1020150059023 A KR1020150059023 A KR 1020150059023A KR 20150059023 A KR20150059023 A KR 20150059023A KR 101648033 B1 KR101648033 B1 KR 101648033B1
Authority
KR
South Korea
Prior art keywords
attack
detection
information
condition
common
Prior art date
Application number
KR1020150059023A
Other languages
English (en)
Inventor
박경수
남재현
최병권
잠셰드 무함마드
한동수
Original Assignee
한국과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국과학기술원 filed Critical 한국과학기술원
Priority to KR1020150059023A priority Critical patent/KR101648033B1/ko
Application granted granted Critical
Publication of KR101648033B1 publication Critical patent/KR101648033B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법 및 그를 위한 장치를 개시한다.
공격 패턴이 존재하지 않는 복수의 시그니처에 근거하여 공격 탐지 트리를 생성하고, 공격 탐지 트리에 포함된 복수의 노드와 네트워크로부터 수신된 패킷을 비교하여 네트워크 침입 탐지를 수행하는 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법 및 그를 위한 장치에 관한 것이다.

Description

공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법 및 그를 위한 장치{Method for Detecting Intrusion Based on Attack Signature without Attack Pattern and Apparatus Therefor}
본 실시예는 공격 패턴이 존재하지 않는 공격 시그니처 기반으로 침입을 탐지하는 방법 및 그를 위한 장치에 관한 것이다.
이 부분에 기술된 내용은 단순히 본 실시예에 대한 배경 정보를 제공할 뿐 종래기술을 구성하는 것은 아니다.
인터넷 기술의 발달은 사람들에게 정보 시스템을 통해 필요한 정보를 공유할 수 있는 혜택을 주는 반면에, 각종 통신망을 통하여 개인 및 사회의 중요한 정보에 대한 불법적인 침입, 공격 등의 역기능을 일으키는 문제점도 발생하고 있다.
예를 들어, 네트워크 통신 프로토콜(TCP/IP) 취약성을 이용한 트래픽 공격을 완전히 방어하지 못하여 네트워크에 대한 안정성 및 신뢰성에 대한 문제점이 대두되고 있다. 또한 SQL 주입 등과 같이 웹 서비스 상의 보안 취약성을 이용해 안정적인 웹 서비스를 방해하고 주요한 내부 정보를 유출하는 등의 악성 행위로 인하여 공격을 당한 웹 서비스가 특히 전자 상거래 서비스나 개인 정보 관리와 관한 것인 경우에는 경제적 손실 및 개인 정보유출 등의 상당히 큰 문제점을 발생시킬 수 있다.
이에 따른 네트워크의 보안을 강화하기 위해 IT 환경에서 적용하고 있는 방화벽, 침입 탐지시스템을 도입하거나 그와 유사한 방식의 시스템을 개발하고 있다.
기존 침입탐지 시스템들은 공격 패턴(공격 문자열)이 존재하는 시그니처들을 주로 탐지하기 위해 디자인되어 있다. 하지만, 실제 시그니처들 중에는 공격 패턴이 존재하지 않는 시그니처도 매우 많이 존재하며, 이러한 시그니처들을 효과적으로 처리할 수 있는 기법이 존재하지 않아 각각의 시그니처를 패킷과 하나씩 비교해야 한다. 따라서, 공격 패턴이 존재하지 않는 시그니처들에 대한 비교과정이 침입탐지 시스템의 전체적인 성능을 심각하게 저하시키는 요인으로 작용하는 문제점이 있다.
본 실시예는 공격 패턴이 존재하지 않는 복수의 시그니처에 근거하여 공격 탐지 트리를 생성하고, 공격 탐지 트리에 포함된 복수의 노드와 네트워크로부터 수신된 패킷을 비교하여 네트워크 침입 탐지를 수행하는 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법 및 그를 위한 장치를 제공하는 데 주된 목적이 있다.
본 실시예의 일 측면에 의하면, 침입 탐지 장치가 공격 패턴이 존재하지 않는 침입을 탐지하는 방법에 있어서, 공격 패턴이 존재하지 않는 복수의 공격 시그니처를 획득하는 획득과정; 상기 복수의 공격 시그니처 각각에 포함된 기준 조건정보를 검출하고, 상기 기준 조건정보 중 공통되는 공통 탐지조건에 근거하여 복수의 노드를 포함하는 공격 탐지 트리를 생성하는 생성과정; 네트워크를 경유하여 수신된 패킷을 상기 공격 탐지 트리에 포함된 적어도 하나 이상의 노드와 비교하여 비교 결과정보를 생성하는 비교과정; 및 상기 비교 결과정보에 근거하여 공격 탐지정보를 생성하는 결과 처리과정을 포함하는 것을 특징으로 하는 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법을 제공한다.
또한, 본 실시예의 다른 측면에 의하면, 공격 패턴이 존재하지 않는 복수의 공격 시그니처를 획득하는 통신부; 상기 복수의 공격 시그니처 각각에 포함된 기준 조건정보를 검출하고, 상기 기준 조건정보 중 공통되는 공통 탐지조건에 근거하여 복수의 노드를 포함하는 공격 탐지 트리를 생성하는 공격 탐지 트리 생성부; 네트워크를 경유하여 수신된 패킷을 상기 공격 탐지 트리에 포함된 적어도 하나 이상의 노드와 비교하여 비교 결과정보를 생성하는 비교 처리부; 및 상기 비교 결과정보에 근거하여 공격 탐지정보를 생성하는 결과 처리부를 포함하는 것을 특징으로 하는 침입 탐지 장치를 제공한다.
이상에서 설명한 바와 같이 본 실시예에 의하면, 공통 탐지조건들을 기준으로 공격 패턴이 존재하지 않는 시그니처들을 분류함으로써, 한 번의 비교만으로 복수의 시그니처 내 중복되는 탐지조건들을 확인하여 공격 패킷인지 아닌지를 빠르게 판단할 수 있는 효과가 있다.
또한, 공격 탐지 트리를 이용하여 한 번의 비교만으로 복수의 시그니처 내 중복되는 탐지조건들과 비교할 수 있으므로, 공격 탐지를 위한 부하를 감소시킬 수 있는 효과가 있다.
또한, 대부분의 네트워크 트래픽이 공격 패턴(악의적인 행위)을 포함하지 않기에 적은 수의 비교만으로 많은 수의 공격 패턴이 존재하지 않는 시그니처들을 탐지할 수 있는 효과가 있다.
도 1은 본 실시예에 따른 공격 패턴이 존재하지 않는 공격 시그니처를 기반으로 침입을 탐지하는 침입 탐지 시스템을 개략적으로 나타낸 블록 구성도이다.
도 2는 본 실시예에 따른 침입 탐지 장치를 개략적으로 나타낸 블록 구성도이다.
도 3은 본 실시예에 따른 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법을 설명하기 위한 순서도이다.
도 4는 본 실시예에 따른 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입을 탐지하기 위해 침입 탐지 트리를 생성하는 동작을 설명하기 위한 순서도이다.
도 5는 본 실시예에 따른 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입을 탐지하기 위해 패킷을 비교하는 동작을 설명하기 위한 순서도이다.
도 6은 일반적인 침입 탐지 방법 및 본 실시예에 따른 침입 탐지 방법을 설명하기 위한 예시도이다.
도 7은 본 실시예에 따른 침입 탐지 방법에서 기 설정된 룰(Rule)을 기반으로 침입을 탐지하는 동작을 나타낸 예시도이다.
이하, 본 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 실시예에 따른 공격 패턴이 존재하지 않는 공격 시그니처를 기반으로 침입을 탐지하는 침입 탐지 시스템을 개략적으로 나타낸 블록 구성도이다.
본 실시예에 따른 침입 탐지 시스템은 시그니처 전송장치(110), 패킷 전송장치(120) 및 침입 탐지 장치(130)를 포함한다.
시그니처 전송장치(110)는 공격 패턴이 존재하지 않는 복수 개의 시그니처(Signature)를 침입 탐지 장치(130)로 전송한다. 여기서, 시그니처는 공격 패턴이 존재하지 않는 시그니처로서, 공격 문자열, 공격 패턴, 공격 스트링 등의 컨텐트 룰(Content Rule)에 해당하지 않는 공격 시그니처를 의미한다. 예를 들어, 시그니처는 공격 패턴이 존재하지 않으면서, 수신 횟수, 플로우(Flow) 정보, 패킷 주소, 패킷 포트 등을 기초로 네트워크 공격을 수행하는 논-콘텐트 룰(Non-Content Rule)에 해당하는 공격 시그니처일 수 있다.
도 1에 도시된 바와 같이, 시그니처 전송장치(110)는 제1 시그니처(112), 제2 시그니처(114), 제n 시그니처 등과 같은 공격 시그니처들을 침입 탐지 장치(130)로 전송한다.
시그니처 전송장치(110)는 공격 패턴에 대한 침입 탐지가 수행된 후의 시그니처를 획득하여 침입 탐지 장치(130)로 전송할 수 있으나 반드시 이에 한정되는 것은 아니며, 별도로 입력 또는 생성된 시그니처를 침입 탐지 장치(130)로 전송할 수도 있다.
패킷 전송장치(120)는 네트워크로부터 수신된 패킷을 침입 탐지 장치(130)로 전송한다. 패킷 전송장치(120)는 패킷을 침입 탐지 장치(130)로 전송하여, 해당 패킷이 공격 패킷인지 정상 패킷인지 탐지되도록 한다. 여기서, 패킷 전송장치(120)는 네트워크로부터 수신되는 패킷을 실시간으로 침입 탐지 장치(130)로 전송할 수 있으나 반드시 이에 한정되는 것은 아니며, 기 저장된 패킷을 수신하여 침입 탐지 장치(130)로 전송할 수도 있다.
침입 탐지 장치(130)는 시그니처 전송장치(110)로부터 획득한 공격 패턴이 존재하지 않는 복수의 시그니처에 근거하여 공격 탐지 트리를 생성하고, 패킷 전송장치(120)로부터 획득한 패킷과 공격 탐지 트리에 포함된 노드를 비교하여 침입 탐지를 수행한다.
침입 탐지 장치(130)는 공격 패턴이 존재하지 않는 복수의 시그니처 각각에서 프로토콜 정보, IP 주소 정보, 포트 정보, 플로우(Flow) 정보, 기타 탐지정보 등을 포함하는 기준 조건정보를 추출하고, 공격 패턴이 존재하지 않는 복수의 시그니처 중 공통으로 존재하는 기준 조건정보 즉, 공통 탐지조건을 갖는 시그니처들을 하나의 그룹으로 분류한다. 침입 탐지 장치(130)는 공통 탐지조건이 존재하지 않을 때까지 복수의 시그니처를 분류하는 동작을 반복하여 수행한다.
침입 탐지 장치(130)는 복수의 시그니처가 분류된 각각의 그룹에 포함된 시그니처의 수에 근거하여 공격 탐지 트리를 생성한다. 다시 말해, 침입 탐지 장치(130)는 복수의 시그니처가 분류된 각각의 그룹 중 가장 많은 시그니처를 갖는 즉, 최대 공통 탐지조건을 검출하여 루트 노드(Root Node)에 할당하고, 나머지 그룹에서 최대 공통 탐지조건을 검출하는 동작을 반복하여 루트 노드의 하위 노드에 할당하는 동작을 공통 탐지조건이 존재하지 않을 때까지 반복하여 복수의 노드를 포함하는 공격 탐지 트리를 생성한다.
침입 탐지 장치(130)는 패킷 전송장치(120)로부터 획득한 패킷을 공격 탐지 트리의 루트 노드를 기준으로 깊이 우선 탐색(DFS: Deep First Search)을 수행하여 생성된 비교 결과정보를 기초로 공격 탐지정보 및 알림정보를 생성한다.
침입 탐지 장치(130)는 패킷에 대해 루트 노드를 시작으로 깊이 우선 탐색(DFS)을 수행하여, 패킷이 최하위 노드까지 각각의 노드에 포함된 공통 탐지조건에 매칭되는 경우, 해당 패킷이 공격 패킷인 것으로 판단하여 공격 패킷에 대응하는 비교 결과정보를 생성한다. 한편, 침입 탐지 장치(130)는 패킷에 대해 루트 노드를 시작으로 깊이 우선 탐색(DFS)을 수행하여, 패킷이 최하위 노드까지 도달하기 이전의 소정의 노드에 포함된 공통 탐지조건에 매칭되지 않는 경우, 소정의 노드의 하위 노드에 대한 비교를 수행하지 않고, 해당 패킷이 공격 패킷이 아닌 것으로 판단하여 정상 패킷에 대응하는 비교 결과정보를 생성한다.
침입 탐지 장치(130)는 공격 패킷에 대응하는 비교 결과정보가 생성된 경우, 공격 패킷에 대한 제어 또는 기록 저장을 위한 공격 탐지정보를 생성하고, 공격 탐지정보에 근거하여 알림정보를 제공한다. 본 실시예에 따른 침입 탐지 장치(130)에 대한 더 자세한 설명은 도 2에서 하도록 한다.
도 2는 본 실시예에 따른 침입 탐지 장치를 개략적으로 나타낸 블록 구성도이다.
본 실시예에 따른 침입 탐지 장치(130)는 통신부(210), 공격 탐지 트리 생성부(220), 비교 처리부(230) 및 결과 처리부(240)를 포함한다. 도 2에 도시된 침입 탐지 장치(130)는 일 실시예에 따른 것으로서, 도 2에 도시된 모든 블록이 필수 구성요소는 아니며, 다른 실시예에서 침입 탐지 장치(130)에 포함된 일부 블록이 추가, 변경 또는 삭제될 수 있다.
통신부(210)는 침입 탐지 장치(130)와 연결된 장치로부터 패킷 또는 시그니처를 수신한다. 통신부(210)는 패킷 획득부(212) 및 시그니처 획득부(214)를 포함한다.
패킷 획득부(212)는 패킷 전송장치(120)로부터 획득한 패킷을 비교 처리부(230)로 전송하여 해당 패킷의 침입 탐지가 수행되도록 한다. 시그니처 획득부(214)는 시그니처 전송장치(110)로부터 획득한 시그니처를 공격 탐지 트리 생성부(220)로 전송하여 공격 패턴이 존재하지 않는 복수의 시그니처를 이용하여 공격 탐지 트리가 생성되도록 한다.
공격 탐지 트리 생성부(220)는 수신된 복수의 시그니처를 이용하여 공격 탐지 트리를 생성한다. 더 자세히 설명하자면, 공격 탐지 트리 생성부(220)는 복수의 시그니처에서 기준 조건정보를 추출하고, 추출된 기준 조건정보 중 공통되는 정보를 기초로 복수의 시그니처를 분류하여 트리구조의 공격 탐지 트리를 생성한다.
공격 탐지 트리 생성부(220)는 정보 추출부(222), 분류 처리부(224) 및 트리구조 생성부(226)를 포함한다. 이하, 공격 탐지 트리 생성부(220)에 포함된 구성요소에 대해 설명하도록 한다.
정보 추출부(222)는 복수의 시그니처 각각에서 프로토콜 정보, IP 주소 정보, 포트 정보, 플로우(Flow) 정보, 기타 탐지정보 등을 포함하는 기준 조건정보를 추출한다. 여기서, 프로토콜 정보는 TCP(Transmission Control Protocol), UDP(User Datagram Protocol), ICMP(Internet Control Message Protocol), HTTP(Hypertext Transfer Protocol), POP(Post Office Protocol), FTP(File Transfer Protocol), IMAP(Internet Message Access Protocol) 등 중 하나의 프로토콜을 포함하고, IP 주소 정보는 출발지 IP 주소(Source IP Address) 및 도착지 IP 주소(Destination IP Address)를 포함하고, 포트 정보는 출발지 포트 번호(Source Port Number) 및 도착지 포트 번호(Destination Port Number)를 포함한다. 플로우(Flow) 정보는 트래픽을 구성하는 패킷들에 대하여 특정되는 엔드-투-엔드(End-to-End) 트래픽의 단위에 대한 정보를 의미하며, 플로우 정보는 전송량(Total Bytes), 패킷량(Total Packet), 유지 시간(Duration) 등을 포함한다. 기타 탐지정보는 플로우 또는 패킷의 송수신 횟수(Count), 플로우 속성(예: 플로우 End 단 정보), 사용자 입력 조건정보 등을 포함할 수 있다.
분류 처리부(224)는 공격 패턴이 존재하지 않는 복수의 시그니처 중 공통으로 존재하는 기준 조건정보 즉, 공통 탐지조건에 근거하여 복수의 시그니처를 분류한다. 이하, 분류 처리부(224)에서 공격 패턴이 존재하지 않는 복수의 시그니처를 공통 탐지조건에 근거하여 분류하는 동작에 대해 설명하도록 한다.
분류 처리부(224)는 공격 패턴이 존재하지 않는 시그니처 중 가장 많은 공통 탐지조건을 검출하고, 공통 탐지조건을 갖는 시그니처들을 하나의 그룹으로 분류한다. 분류 처리부(224)는 분류되지 못한 나머지 시그니처들에서 다시 해당 시그니처들 중 가장 많은 공통 탐지조건을 검출하고, 공통 탐지조건을 갖는 시그니처들을 하나의 그룹으로 분류한다. 분류 처리부(224)는 나머지 시그니처들에서 다시 앞서 분류된 조건 외 공통 탐지조건을 검출하여 나머지 시그니처들을 하나의 그룹으로 분류한다. 분류 처리부(224)는 더 이상 시그니처들을 분류하지 못할 때까지 공통 탐지조건을 검출하여 각각의 그룹으로 분류하는 동작을 반복한다. 분류 처리부(224)는 공격 패턴이 존재하지 않는 시그니처를 각각의 그룹으로 분류하는 과정을 반복함으로써 모든 시그니처들을 세분화한다.
예를 들어, 분류 처리부(224)는 복수의 시그니처에서 추출된 공통 탐지조건 중 가장 많은 수의 제1 공통 탐지조건을 갖는 시그니처를 제1 그룹으로 분류한다. 분류 처리부(224)는 복수의 시그니처에서 추출된 공통 탐지조건에서 제1 공통 탐지조건을 제외한 나머지 공통 탐지조건 중 2 번째로 많은 수의 제2 공통 탐지조건을 갖는 시그니처를 제2 그룹으로 분류한다. 분류 처리부(224)는 복수의 시그니처를 제1 그룹 및 제2 그룹으로 분류하는 동작과 동일한 방식으로 N 번 반복하여 가장 적은 수의 제n 공통 탐지조건을 갖는 시그니처를 제n 그룹으로 분류한다.
한편, 분류 처리부(224)는 복수의 시그니처에서 공통 탐지조건의 수에 근거하여 시그니처를 분류하는 것으로 기재하고 있으나 반드시 이에 한정되는 것은 아니며, 기 설정된 순서에 근거하여 우선순위를 갖는 공통 탐지조건을 검출하고, 검출된 공통 탐지조건에 근거하여 복수의 시그니처를 분류할 수 있다. 예를 들어, 분류 처리부(224)는 플로우 정보, 프로토콜 정보, IP 주소 정보, 포트 정보 및 기타 탐지정보 순으로 기 설정된 순서에 근거하여 부여된 우선순위에 따라 복수의 시그니처를 분류할 수 있다.
트리구조 생성부(226)는 복수의 시그니처에 대한 분류가 완료되면, 각각의 분류 기준인 공통 탐지조건들의 포함관계에 기반하여 하나의 트리 형태인 공격 탐지 트리를 생성한다.
트리구조 생성부(226)는 복수의 시그니처가 분류된 각각의 그룹에 포함된 시그니처의 수에 근거하여 공격 탐지 트리를 생성한다. 다시 말해, 트리구조 생성부(226)는 복수의 시그니처가 분류된 각각의 그룹 중 가장 많은 시그니처를 갖는 즉, 최대 공통 탐지조건을 검출하여 루트 노드(Root Node)에 할당한다. 여기서, 최대 공통 탐지조건은 공격 탐지 트리의 최상위 노드인 루트 노드에 할당한다. 트리구조 생성부(226)는 최대 공통 탐지조건이 두 개 이상일 경우, 별도의 루트 노드 각각에 최대 공통 탐지조건을 할당하는 것이 바람직하나, 분류 처리부(224)에서 부여된 우선순위가 존재하는 경우, 우선순위에 근거하여 수직 관계의 노드에 할당할 수도 있다.
트리구조 생성부(226)는 최대 공통 탐지조건을 루트 노드에 할당한 후 나머지 그룹 중 가장 많은 시그니처를 갖는 즉, 최대 공통 탐지조건을 검출하여 소정의 노드에 할당한다. 여기서, 소정의 노드는 루트 노드의 자식 노드(Child Node)를 의미하며, 최대 공통 탐지조건의 개수에 근거하여 두 개 이상의 자식 노드를 포함할 수 있다.
트리구조 생성부(226)는 각각의 노드에서 최대 공통 탐지조건을 검출하는 동작을 반복하고, 더 이상 공통 탐지조건을 검출할 수 없을 때까지 즉, 최하위 노드까지 할당을 수행하여 공격 탐지 트리를 생성한다.
한편, 트리구조 생성부(226)는 각각의 노드에 하나의 공통 탐지조건을 할당하는 것으로 기재하고 있으나, 복수 개의 공통 탐지조건을 하나의 노드에 할당할 수도 있다. 예컨대, 트리구조 생성부(226)는 우선순위가 동일하거나, 사용자의 설정 또는 동일 개수의 공통 탐지조건 등의 소정의 기준에 근거하여 복수 개의 공통 탐지조건을 하나의 노드에 할당할 수 있다.
비교 처리부(230)는 트리구조 생성부(226)에서 생성된 공격 탐지 트리를 이용하여 네트워크를 통해 들어오는 패킷과 시그니처를 비교하여 비교 결과정보를 생성한다.
비교 처리부(230)는 네트워크로부터 수신된 패킷을 통신부(210)로부터 획득하고, 해당 패킷을 공격 탐지 트리의 루트 노드를 기준으로 깊이 우선 탐색(DFS: Deep First Search)을 수행하여 비교 결과정보를 생성한다. 다시 말해, 비교 처리부(230)는 패킷에 대해 우선적으로 루트 노드를 기준으로 깊이 우선 탐색(DFS)을 수행하며, 패킷과 각각의 노드에 할당된 공통 탐지조건들을 비교한다. 비교 처리부(230)는 소정의 노드에 할당된 공통 탐지조건과 패킷이 매칭되지 않을 경우, 하위 노드에 대한 비교를 수행하지 않는다.
비교 처리부(230)는 패킷에 대해 루트 노드를 시작으로 깊이 우선 탐색(DFS)을 수행하여, 패킷이 최하위 노드까지 각각의 노드에 포함된 공통 탐지조건에 매칭되는 경우, 해당 패킷이 공격 패킷인 것으로 판단하여 공격 패킷에 대응하는 비교 결과정보를 생성한다.
비교 처리부(230)는 패킷에 대해 루트 노드를 시작으로 깊이 우선 탐색(DFS)을 수행하여, 패킷이 최하위 노드까지 도달하기 이전의 소정의 노드에 포함된 공통 탐지조건에 매칭되지 않는 경우, 소정의 노드의 하위 노드에 대한 비교를 수행하지 않고, 해당 패킷이 공격 패킷이 아닌 것으로 판단하여 정상 패킷에 대응하는 비교 결과정보를 생성한다.
비교 처리부(230)는 하나의 패킷을 공격 탐지 트리와 매칭하여 비교하는 것으로 기재하고 있으나 반드시 이에 한정되는 것은 아니며, 복수 개의 패킷을 동시에 공격 탐지 트리와 매칭하여 각각의 패킷에 대한 비교 결과를 생성할 수도 있다.
결과 처리부(240)는 비교 처리부(230)에서 생성된 비교 결과정보에 근거하여 공격 탐지정보 및 알림정보를 생성한다. 결과 처리부(240)는 공격 패킷에 대응하는 비교 결과정보가 수신된 경우, 공격 패킷에 대한 제어 또는 기록 저장을 위한 공격 탐지정보를 생성한다. 또한, 결과 처리부(240)는 공격 패킷에 대한 알림정보를 사용자 단말기(미도시) 또는 모니터링 장치(미도시)로 제공할 수 있다.
도 3은 본 실시예에 따른 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법을 설명하기 위한 순서도이다.
침입 탐지 장치(130)는 공격 패턴이 존재하지 않는 공격 시그니처를 획득한다(S310). 여기서, 공격 패턴이 존재하지 않는 공격 시그니처는 공격 문자열, 공격 패턴, 공격 스트링 등의 컨텐트 룰(Content Rule)에 해당하지 않는 공격 시그니처를 의미한다. 예를 들어, 공격 패턴이 존재하지 않는 공격 시그니처는 공격 패턴이 존재하지 않으면서, 수신 횟수, 플로우(Flow) 정보, 패킷 주소, 패킷 포트 등을 기초로 네트워크 공격을 수행하는 논-콘텐트 룰(Non-Content Rule)에 해당하는 공격 시그니처일 수 있다.
침입 탐지 장치(130)는 공격 패턴이 존재하지 않는 공격 시그니처를 기반으로 공격 탐지 트리를 생성한다(S320). 침입 탐지 장치(130)는 복수의 시그니처가 분류된 각각의 그룹 중 가장 많은 시그니처를 갖는 즉, 최대 공통 탐지조건을 검출하여 루트 노드(Root Node)에 할당하고, 나머지 그룹에서 최대 공통 탐지조건을 검출하는 동작을 반복하여 루트 노드의 하위 노드에 할당하는 동작을 공통 탐지조건이 존재하지 않을 때까지 반복하여 복수의 노드를 포함하는 공격 탐지 트리를 생성한다.
침입 탐지 장치(130)는 네트워크로부터 수신되는 패킷을 공격 탐지 트리에 매칭하여 비교한다(S330).
침입 탐지 장치(130)는 패킷에 대해 루트 노드를 시작으로 깊이 우선 탐색(DFS)을 수행하여, 패킷이 최하위 노드까지 각각의 노드에 포함된 공통 탐지조건에 매칭되는 경우, 해당 패킷이 공격 패킷인 것으로 판단하여 공격 패킷에 대응하는 비교 결과정보를 생성한다.
한편, 침입 탐지 장치(130)는 패킷에 대해 루트 노드를 시작으로 깊이 우선 탐색(DFS)을 수행하여, 패킷이 최하위 노드까지 도달하기 이전의 소정의 노드에 포함된 공통 탐지조건에 매칭되지 않는 경우, 소정의 노드의 하위 노드에 대한 비교를 수행하지 않고, 해당 패킷이 공격 패킷이 아닌 것으로 판단하여 정상 패킷에 대응하는 비교 결과정보를 생성한다.
침입 탐지 장치(130)는 단계 S330의 비교결과에 근거하여 공격 탐지 정보를 생성하고, 공격 탐지 정보에 따른 알림정보를 출력한다(S340). 침입 탐지 장치(130)는 공격 패킷에 대응하는 비교 결과정보가 생성된 경우, 공격 패킷에 대한 제어 또는 기록 저장을 위한 공격 탐지정보를 생성하고, 공격 탐지정보에 근거하여 알림정보를 제공한다.
전술한 바와 같이, 본 실시예에 따른 침입 탐지 장치(130)의 동작은 프로그램으로 구현되고 컴퓨터로 읽을 수 있는 기록매체에 기록될 수 있다. 본 실시예에 따른 침입 탐지 장치(130)의 동작을 구현하기 위한 프로그램이 기록되고 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 이러한 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수도 있다. 또한, 본 실시예를 구현하기 위한 기능적인(Functional) 프로그램, 코드 및 코드 세그먼트들은 본 실시예가 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있을 것이다.
도 4는 본 실시예에 따른 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입을 탐지하기 위해 침입 탐지 트리를 생성하는 동작을 설명하기 위한 순서도이다.
침입 탐지 장치(130)는 공격 패턴이 존재하지 않는 공격 시그니처 각각에 대한 기준 조건정보를 추출한다(S410). 침입 탐지 장치(130)는 복수의 시그니처 각각에서 프로토콜 정보, IP 주소 정보, 포트 정보, 플로우(Flow) 정보, 기타 탐지정보 등을 포함하는 기준 조건정보를 추출한다.
침입 탐지 장치(130)는 공통 탐지조건이 존재하는 경우(S420), 공통 탐지조건을 갖는 시그니처를 하나의 그룹으로 분류한다(S430). 침입 탐지 장치(130)는 공격 패턴이 존재하지 않는 복수의 시그니처 중 공통으로 존재하는 기준 조건정보 즉, 공통 탐지조건에 근거하여 복수의 시그니처를 하나의 그룹으로 분류한다.
침입 탐지 장치(130)는 분류되지 못한 나머지 시그니처들에서 추가 공통 탐지조건이 존재하는 경우(S440), 추가 공통 탐지조건을 갖는 시그니처를 하나의 그룹으로 분류한다(S450). 여기서, 추가 공통 탐지조건은 분류되지 못한 나머지 시그니처들에서 공통으로 존재하는 기준 조건정보 즉, 공통 탐지조건을 의미한다.
침입 탐지 장치(130)는 공격 패턴이 존재하지 않는 공격 시그니처의 분류에 근거하여 침입 탐지 트리를 생성한다(S460).
침입 탐지 장치(130)는 복수의 시그니처가 분류된 각각의 그룹 중 가장 많은 시그니처를 갖는 즉, 최대 공통 탐지조건을 검출하여 루트 노드(Root Node)에 할당한다. 여기서, 최대 공통 탐지조건은 공격 탐지 트리의 최상위 노드인 루트 노드에 할당한다. 침입 탐지 장치(130)는 최대 공통 탐지조건이 두 개 이상일 경우, 별도의 루트 노드 각각에 최대 공통 탐지조건을 할당하는 것이 바람직하나, 기 설정된 우선순위가 존재하는 경우 우선순위에 근거하여 수직 관계의 노드에 할당할 수도 있다.
침입 탐지 장치(130)는 최대 공통 탐지조건을 루트 노드에 할당한 후 나머지 그룹 중 가장 많은 시그니처를 갖는 즉, 최대 공통 탐지조건을 검출하여 소정의 노드에 할당한다. 여기서, 소정의 노드는 루트 노드의 자식 노드(Child Node)를 의미하며, 최대 공통 탐지조건의 개수에 근거하여 두 개 이상의 자식 노드를 포함할 수 있다.
침입 탐지 장치(130)는 각각의 노드에서 최대 공통 탐지조건을 검출하는 동작을 반복하고, 더 이상 공통 탐지조건을 검출할 수 없을 때까지 즉, 최하위 노드까지 할당을 수행하여 복수의 노드를 포함하는 공격 탐지 트리를 생성한다.
도 5는 본 실시예에 따른 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입을 탐지하기 위해 패킷을 비교하는 동작을 설명하기 위한 순서도이다.
침입 탐지 장치(130)는 참입 탐지 트리의 루트 노드와 네트워크로부터 수신되는 패킷을 비교한다(S510). 단계 S510에서 루트 노드와 패킷이 매칭되는 경우(S520), 침입 탐지 장치(130)는 하위 노드와 패킷을 비교한다(S530).
단계 S530에서 하위 노드와 패킷이 매칭되는 경우, 침입 탐지 장치(130)는 최하위 노드까지 패킷 비교를 진행한다(S540). 침입 탐지 장치(130)는 최하위 노드와 패킷이 매칭되는 경우(S550), 네트워크 공격이 탐지된 것으로 판단한다(S560).
한편, 침입 탐지 장치(130)는 단계 S510 내지 단계 S550에서 패킷이 최하위 노드 이전에 매칭되지 않는 경우, 해당 패킷이 정상 패킷 즉, 네트워크 공격이 탐지되지 않은 것으로 판단한다(S570).
도 6은 일반적인 침입 탐지 방법 및 본 실시예에 따른 침입 탐지 방법을 설명하기 위한 예시도이다.
도 6의 (a)는 공격 패턴이 존재하지 않는 시그니처에 대한 일반적인 침입 탐지 장치의 동작을 나타낸 도면이고, 도 6의 (b)는 공격 패턴이 존재하지 않는 시그니처에 대한 본 실시예에 따른 침입 탐지 장치(130)의 동작을 나타낸 도면이다.
도 6의 (a) 및 (b)에서는 패킷 획득부(212)로부터 전달받은 패킷을 제1 시그니처(R1), 제2 시그니처(R2) 및 제3 시그니처(R3) 내 제1 조건(610) 내지 제7 조건(670)과 비교하여 침입 탐지를 수행하는 것으로 가정하여 설명하도록 한다.
도 6의 (a)에 도시된 바와 같이, 일반적인 침입 탐지 장치는 패킷 획득부(212)로부터 전달 받은 패킷을 제1 시그니처(R1) 내 제1 조건(610), 제3 조건(630) 및 제7 조건(670)과 각각 비교하여 패킷 획득부(212)로부터 전달 받은 패킷이 제1 시그니처(R1)에 만족되는 공격 패킷인지 여부를 확인한다.
일반적인 침입 탐지 장치는 패킷 획득부(212)로부터 전달 받은 패킷을 제2 시그니처(R2) 내 제1 조건(610), 제2 조건(620), 제4 조건(640) 및 제5 조건(650)과 각각 비교하여 패킷 획득부(212)로부터 전달받은 패킷이 제2 시그니처(R2)에 만족되는 공격 패킷인지 여부를 확인한다.
일반적인 침입 탐지 장치는 패킷 획득부(212)로부터 전달 받은 패킷을 제3 시그니처(R3) 내 제1 조건(610), 제2 조건(620), 제4 조건(640) 및 제6 조건(660)과 각각 비교하여 패킷 획득부(212)로부터 전달받은 패킷이 제3 시그니처(R3)에 만족되는 공격 패킷인지 여부를 확인한다.
도 6의 (b)에 도시된 바와 같이, 침입 탐지 장치(130)는 제1 조건(610) 내지 제7 조건(670)을 이용하여 침입 탐지 트리를 생성하고, 패킷획득부(212)로부터 전달받은 패킷을 침입 탐지 트리를 이용하여 제1 시그니처(R1), 제2 시그니처(R2) 및 제3 시그니처(R3)와 동시에 비교를 수행한다.
침입 탐지 장치(130)는 패킷획득부(212)로부터 전달받은 패킷을 제1 시그니처(R1), 제2 시그니처(R2) 및 제3 시그니처(R3)의 공통 탐지조건인 제1 조건(610)에 대해 한 번만 비교하고, 제1 조건(610)을 만족하는 경우, 제1 조건(610)을 기준으로 깊이 우선 탐색(DFS: Deep First Search)을 수행하여 세 개의 패킷이 공격 패킷인지 여부를 확인한다.
침입 탐지 장치(130)에서 도 6의 (b)에 도시된 침입 탐지 트리를 생성하는 과정은 다음과 같다. 우선 공통 탐지조건인 제1 조건(610)으로 시그니처들을 분류하고, 다음으로 분류된 시그니처들 중의 공통 탐지조건인 제2 조건(620)을 기준으로 시그니처들을 분류한다. 분류되지 못한 제3 조건(630)은 다시 분류된다. 제2 조건(620)을 기준으로 다시 공통 요소인 제4 조건(640)이 선택되고 제4 조건(640)을 기준으로 시그니처들이 분류된다. 마지막 노드에는 더 이상 분류할 수 없는 제5 조건(650), 제6 조건(660), 제7 조건(670)들이 분류된다.
도 7은 본 실시예에 따른 침입 탐지 방법에서 기 설정된 룰(Rule)을 기반으로 침입을 탐지하는 동작을 나타낸 예시도이다.
도 7에서는 제1 규칙 내지 제4 규칙이 설정된 것으로 가정한다.
- 제1 규칙: (조건1: Value 11; 조건2: Value 21; 조건4: Value 41;)
- 제2 규칙: (조건1: Value 12; 조건2: Value 22; 조건5: Value 51;)
- 제3 규칙: (조건1: Value 13; 조건2: Value 23; 조건6: Value 61; 조건8: Value 81;)
- 제4 규칙: (조건1: Value 14; 조건3: Value 31; 조건7: Value 71;)
침입 탐지 장치(130)는 제1 규칙 내지 제4 규칙 중 적어도 하나를 모두 만족하는 패킷을 공격 패킷으로 판단한다.
예를 들어, Value 11, Value 21 및 Value 41을 포함하는 소정의 패킷이 수신된 경우, 침입 탐지 장치(130)는 제1 노드(710)의 조건, 제2 노드(720)의 조건 및 제 4 노드(740)의 조건을 만족하는 소정의 패킷을 공격 패킷으로 판단한다. 다시 말해, 침입 탐지 장치(130)는 제1 규칙 내지 제4 규칙 중 적어도 하나를 만족하여 최하위 노드의 조건과 매칭되는 경우, 해당 패킷을 공격 패킷으로 판단한다.
이상의 설명은 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 실시예들은 본 실시예의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 실시예의 기술 사상의 범위가 한정되는 것은 아니다. 본 실시예의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 실시예의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
110: 시그니처 전송장치 120: 패킷 전송장치
130: 침입 탐지 장치
210: 통신부 212: 패킷 획득부
214: 시그니처 획득부 220: 공격 탐지 트리 생성부
222: 정보 추출부 224: 분류 처리부
226: 트리구조 생성부 230: 비교 처리부
240: 결과 처리부

Claims (16)

  1. 침입 탐지 장치가 공격 패턴이 존재하지 않는 침입을 탐지하는 방법에 있어서,
    공격 패턴을 이용한 침입 탐지를 수행한 이후 공격 문자열, 공격 패턴 및 공격 스트링(String)에 대응하는 공격 패턴을 포함하지 않고, 논-콘텐트 룰(Non-Content Rule)에 해당하는 복수의 공격 시그니처를 획득하는 획득과정;
    상기 복수의 공격 시그니처 각각에 포함된 프로토콜 정보, IP 주소 정보, 포트 정보, 플로우(Flow) 정보 및 기타 탐지정보 중 적어도 하나 이상의 기준 조건정보를 검출하고, 상기 기준 조건정보 중 공통되는 공통 탐지조건을 그룹으로 분류하고, 각각의 그룹을 포함하는 복수의 노드를 포함하는 공격 탐지 트리를 생성하는 생성과정;
    네트워크를 경유하여 수신된 패킷을 상기 공격 탐지 트리에 포함된 적어도 하나 이상의 노드와 비교하여 비교 결과정보를 생성하는 비교과정; 및
    상기 비교 결과정보에 근거하여 공격 탐지정보를 생성하는 결과 처리과정
    을 포함하는 것을 특징으로 하는 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 생성과정은,
    상기 복수의 공격 시그니처 각각에서 기준 조건 정보를 추출하는 정보 추출과정;
    상기 기준 조건 정보를 공통으로 갖는 공통 탐지조건에 근거하여 상기 복수의 공격 시그니처를 상기 공통 탐지조건 별 각각의 그룹으로 분류하는 분류 처리과정; 및
    상기 각각의 그룹에 따른 상기 공통 탐지조건을 상기 복수의 노드 각각에 할당하여 상기 공격 탐지 트리를 생성하는 트리구조 생성과정
    을 포함하는 것을 특징으로 하는 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법.
  4. 삭제
  5. 제 3 항에 있어서,
    상기 분류 처리과정은,
    상기 기준 조건 정보를 공통으로 갖는 상기 공통 탐지조건의 수에 근거하여 상기 복수의 공격 시그니처를 분류하며, 상기 공통 탐지조건이 가장 많은 공격 시그니처를 우선적으로 분류하고, 상기 가장 많은 공격 시그니처를 제외한 나머지 공격 시그니처에서 상기 공통 탐지조건이 다음으로 많은 공격 시그니처를 분류하는 동작을 반복하는 것을 특징으로 하는 것을 특징으로 하는 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법.
  6. 제 3 항에 있어서,
    상기 분류 처리과정은,
    상기 기준 조건 정보에 대해 기 설정된 순서에 근거하여 부여된 우선순위를 갖는 상기 공통 탐지조건에 근거하여 상기 복수의 공격 시그니처를 분류하며, 상기 우선순위에 따라 순차적으로 각각의 공통 탐지조건을 갖는 공격 시그니처를 분류하는 것을 특징으로 하는 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법.
  7. 제 3 항에 있어서,
    상기 트리구조 생성과정은,
    상기 각각의 그룹에 포함된 공격 시그니처의 수에 근거하여 상기 공격 탐지 트리를 생성하되,
    상기 공격 시그니처의 수가 가장 많은 최대 공통 탐지조건을 상기 공격 탐지 트리의 루트 노드(Root Node)에 할당하고, 다음으로 많은 최대 공통 탐지조건을 상기 루트 노드의 하위 노드에 할당하며, 최대 공통 탐지조건을 검출할 수 없을 때까지 하위 노드에 할당하는 동작을 반복하는 것을 특징으로 하는 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법.
  8. 제 7 항에 있어서,
    상기 트리구조 생성과정은,
    상기 최대 공통 탐지조건의 수가 동일한 경우, 복수 개의 공통 탐지조건을 상기 공격 탐지 트리에 포함된 하나의 노드에 할당하는 것을 특징으로 하는 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법.
  9. 제 1 항에 있어서,
    상기 비교과정은,
    상기 수신된 패킷을 상기 공격 탐지 트리의 루트 노드를 기준으로 깊이 우선 탐색(DFS: Deep First Search)을 수행하여 비교 결과정보를 생성하는 것을 특징으로 하는 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법.
  10. 제 9 항에 있어서,
    상기 비교과정은,
    상기 루트 노드를 기준으로 상기 깊이 우선 탐색을 수행하며, 상기 수신된 패킷을 상기 공격 탐지 트리의 각각의 노드에 할당된 상기 공통 탐지조건과 비교하며, 상기 수신된 패킷이 각각의 노드에 포함된 공통 탐지조건에 매칭되고, 최하위 노드까지 매칭되는 경우, 상기 수신된 패킷이 공격 패킷인 것으로 판단하여 공격 패킷에 대응하는 비교 결과정보를 생성하는 것을 특징으로 하는 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법.
  11. 제 9 항에 있어서,
    상기 비교과정은,
    상기 루트 노드를 기준으로 상기 깊이 우선 탐색을 수행하며, 상기 수신된 패킷을 상기 공격 탐지 트리의 각각의 노드에 할당된 상기 공통 탐지조건과 비교하며, 상기 복수의 노드 중 소정의 노드에 할당된 공통 탐지조건과 상기 수신된 패킷이 매칭되지 않는 경우, 상기 소정의 노드의 하위 노드와의 비교를 수행하지 않는 것을 특징으로 하는 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법.
  12. 제 11 항에 있어서,
    상기 비교과정은,
    상기 소정의 노드의 하위 노드와의 비교를 수행하지 않아
    상기 수신된 패킷이 상기 공격 탐지 트리의 최하위 노드 이전의 상기 소정의 노드의 공통 탐지조건과 매칭되지 않는 경우, 상기 수신된 패킷이 정상 패킷인 것으로 판단하여 정상 패킷에 대응하는 비교 결과정보를 생성하는 것을 특징으로 하는 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법.
  13. 제 1 항에 있어서,
    상기 비교과정은,
    복수 개의 상기 수신된 패킷을 동시에 상기 공격 탐지 트리에 포함된 각각의 노드와 비교하여 각각의 패킷에 대한 비교 결과정보를 생성하는 것을 특징으로 하는 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법.
  14. 제 1 항에 있어서,
    상기 결과 처리과정은,
    공격 패킷에 대응하는 상기 비교 결과정보인 경우, 공격 패킷에 대한 제어 또는 기록 저장을 위한 상기 공격 탐지정보를 생성하고, 상기 공격 패킷에 대한 알림정보를 외부 장치로 전송하는 것을 특징으로 하는 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법.
  15. 공격 패턴을 이용한 침입 탐지를 수행한 이후 공격 문자열, 공격 패턴 및 공격 스트링(String)에 대응하는 공격 패턴을 포함하지 않고, 논-콘텐트 룰(Non-Content Rule)에 해당하는 복수의 공격 시그니처를 획득하는 통신부;
    상기 복수의 공격 시그니처 각각에 포함된 프로토콜 정보, IP 주소 정보, 포트 정보, 플로우(Flow) 정보 및 기타 탐지정보 중 적어도 하나 이상의 기준 조건정보를 검출하고, 상기 기준 조건정보 중 공통되는 공통 탐지조건을 그룹으로 분류하고, 각각의 그룹을 포함하는 복수의 노드를 포함하는 공격 탐지 트리를 생성하는 공격 탐지 트리 생성부;
    네트워크를 경유하여 수신된 패킷을 상기 공격 탐지 트리에 포함된 적어도 하나 이상의 노드와 비교하여 비교 결과정보를 생성하는 비교 처리부; 및
    상기 비교 결과정보에 근거하여 공격 탐지정보를 생성하는 결과 처리부
    를 포함하는 것을 특징으로 하는 침입 탐지 장치.
  16. 제 15 항에 있어서,
    상기 공격 탐지 트리 생성부는,
    상기 복수의 공격 시그니처 각각에서 기준 조건 정보를 추출하는 정보 추출부;
    상기 기준 조건 정보를 공통으로 갖는 공통 탐지조건에 근거하여 상기 복수의 공격 시그니처를 상기 공통 탐지조건 별 각각의 그룹으로 분류하는 분류 처리부; 및
    상기 각각의 그룹에 따른 상기 공통 탐지조건을 상기 복수의 노드 각각에 할당하여 상기 공격 탐지 트리를 생성하는 트리구조 생성부
    를 포함하는 것을 특징으로 하는 침입 탐지 장치.
KR1020150059023A 2015-04-27 2015-04-27 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법 및 그를 위한 장치 KR101648033B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150059023A KR101648033B1 (ko) 2015-04-27 2015-04-27 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법 및 그를 위한 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150059023A KR101648033B1 (ko) 2015-04-27 2015-04-27 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법 및 그를 위한 장치

Publications (1)

Publication Number Publication Date
KR101648033B1 true KR101648033B1 (ko) 2016-08-16

Family

ID=56854570

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150059023A KR101648033B1 (ko) 2015-04-27 2015-04-27 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법 및 그를 위한 장치

Country Status (1)

Country Link
KR (1) KR101648033B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190020523A (ko) * 2017-08-21 2019-03-04 국방과학연구소 로그 분석을 이용한 공격 탐지 장치 및 방법
KR20200014968A (ko) * 2018-08-02 2020-02-12 주식회사 케이티 비정상 트래픽 탐지 방법 및 그 장치
US11025650B2 (en) 2018-01-03 2021-06-01 Wins Co., Ltd. Multi-pattern policy detection system and method

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060007581A (ko) * 2004-07-20 2006-01-26 한국전자통신연구원 패킷 침입 탐지 규칙 간략화 장치 및 그 방법과 간략화된침입 탐지 규칙을 이용한 패킷 침입 탐지 장치 및 방법
KR100628329B1 (ko) * 2005-07-30 2006-09-27 한국전자통신연구원 네트워크 세션 특성 정보에 대한 공격 행위 탐지규칙 생성장치 및 그 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060007581A (ko) * 2004-07-20 2006-01-26 한국전자통신연구원 패킷 침입 탐지 규칙 간략화 장치 및 그 방법과 간략화된침입 탐지 규칙을 이용한 패킷 침입 탐지 장치 및 방법
KR100628329B1 (ko) * 2005-07-30 2006-09-27 한국전자통신연구원 네트워크 세션 특성 정보에 대한 공격 행위 탐지규칙 생성장치 및 그 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Fang-Yie Leu et al. Journal of Systemics, Cybernetics and Informatics, vol. 6, no. 2 "A Real-Time Intrusion Detection System using Data Mining Technique" (2008.04. 공개) *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190020523A (ko) * 2017-08-21 2019-03-04 국방과학연구소 로그 분석을 이용한 공격 탐지 장치 및 방법
KR102022626B1 (ko) * 2017-08-21 2019-09-19 국방과학연구소 로그 분석을 이용한 공격 탐지 장치 및 방법
US11025650B2 (en) 2018-01-03 2021-06-01 Wins Co., Ltd. Multi-pattern policy detection system and method
KR20200014968A (ko) * 2018-08-02 2020-02-12 주식회사 케이티 비정상 트래픽 탐지 방법 및 그 장치
KR102616173B1 (ko) * 2018-08-02 2023-12-19 주식회사 케이티 비정상 트래픽 탐지 방법 및 그 장치

Similar Documents

Publication Publication Date Title
Meidan et al. ProfilIoT: A machine learning approach for IoT device identification based on network traffic analysis
Shibahara et al. Efficient dynamic malware analysis based on network behavior using deep learning
US8650646B2 (en) System and method for optimization of security traffic monitoring
US10182070B2 (en) System and method for detecting a compromised computing system
Wang et al. Research on DDoS attacks detection based on RDF-SVM
KR20170060280A (ko) 탐지 규칙 자동 생성 장치 및 방법
CN107370752B (zh) 一种高效的远控木马检测方法
JP5832951B2 (ja) 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム
US10225269B2 (en) Method and apparatus for detecting network attacks and generating attack signatures based on signature merging
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
Vidal et al. Alert correlation framework for malware detection by anomaly-based packet payload analysis
Sun et al. Detection and classification of malicious patterns in network traffic using Benford's law
JP6174520B2 (ja) 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム
CN111245784A (zh) 多维度检测恶意域名的方法
CN105635170A (zh) 基于规则对网络数据包进行识别的方法和装置
KR101648033B1 (ko) 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법 및 그를 위한 장치
Shin et al. Unsupervised multi-stage attack detection framework without details on single-stage attacks
CN112583827B (zh) 一种数据泄露检测方法及装置
KR101488271B1 (ko) Ids 오탐 검출 장치 및 방법
US9794274B2 (en) Information processing apparatus, information processing method, and computer readable medium
Chiba et al. Botprofiler: Profiling variability of substrings in http requests to detect malware-infected hosts
Muzammil et al. Comparative analysis of classification algorithms performance for statistical based intrusion detection system
Huang et al. Detect malicious IP addresses using cross-protocol analysis
Nicheporuk et al. A System for Detecting Anomalies and Identifying Smart Home Devices Using Collective Communication.
Tan et al. Web Application Anomaly Detection Based On Converting HTTP Request Parameters To Numeric

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant