KR101671268B1 - 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법 및 장치 - Google Patents

시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법 및 장치 Download PDF

Info

Publication number
KR101671268B1
KR101671268B1 KR1020150002787A KR20150002787A KR101671268B1 KR 101671268 B1 KR101671268 B1 KR 101671268B1 KR 1020150002787 A KR1020150002787 A KR 1020150002787A KR 20150002787 A KR20150002787 A KR 20150002787A KR 101671268 B1 KR101671268 B1 KR 101671268B1
Authority
KR
South Korea
Prior art keywords
service
signature
rule
traffic
rule set
Prior art date
Application number
KR1020150002787A
Other languages
English (en)
Other versions
KR20160085593A (ko
Inventor
조학수
진용식
황지윤
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020150002787A priority Critical patent/KR101671268B1/ko
Publication of KR20160085593A publication Critical patent/KR20160085593A/ko
Application granted granted Critical
Publication of KR101671268B1 publication Critical patent/KR101671268B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 공격 탐지 여부를 판단하기 위한 룰셋(ruleset) 기반 복수의 룰 파일을 관리하는 룰 DB에서 상기 룰셋을 로드하는 과정과, 상기 룰 DB를 통해 사용자로부터 상기 룰셋 기반 추가하고자 하는 소정 공격 패턴의 룰을 입력받는 과정과, 상기 룰 DB를 포함하는 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치에서 제공되는 네트워크 서비스 타입 중 사용자로부터 선택된 네트워크 서비스에 대응하는 서비스 정보를 서비스 템플릿을 통해 입력받는 과정과, 입력된 서비스 템플릿에 대응하는 룰을 선별하여 최적화 알고리즘을 이용하여 최적화된 룰셋을 생성하는 과정과, 사용자로부터 선택된 네트워크 서비스를 기반으로 상기 최적화된 룰셋을 기설정된 성능 측정 타입별로 시뮬레이션을 수행하는 과정과, 상기 시뮬레이션 결과를 기설정된 성능 측정 타입별로 레포팅(reporting)하는 과정을 포함함을 특징으로 한다.

Description

시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법 및 장치{METHOD AND APPARATUS FOR PROFILING SERVICE OF NETWORK SECURITY ELEMENT BASED SIGNATURE}
본 발명은 스노트 룰을 이용한 시그니처(Signature) 기반 탐지를 수행하는 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스에 관한 것이다.
기존의 시그니처 룰셋 기반 탐지 네트워크 장비에서는 공공기관으로부터 배부받거나 또는 사용자가 패턴을 기반으로 직접 제작한 시그니처 룰셋을 장비에 입력하였다. 장비는 해당 룰셋을 입력 받아 시그니처의 문법 적합성 여부를 검사하고, 해당 패턴을 기준으로 탐지를 수행한다.
사용자가 룰셋을 구성함으로써 원하는 패턴을 탐지 및 차단할 수 있는 자율성이 매우 높으며 신뢰성 있는 기관으로부터 룰셋을 지속적으로 업데이트 받음으로써 급변하는 네트워크 환경에서의 다양한 공격에 빠르게 대응할 수 있다.
그러나 이러한 방식에서 탐지 장비는 문법 검사 이외의 주도권이 없다. 반복적이거나 광범위한 대상으로 매칭하는 부하를 야기하는 룰과 장비 설치 환경에 해당하지 않은 룰이 다수 포함되어있어 불필요한 탐지 검사가 이루어질 경우 장비의 성능 저하가 발생할 수 있다. 시그니처 룰셋으로 인한 성능 저하는 사용자가 원인을 인지하기 어렵고, 인지하더라도 다수의 룰의 부하 여부를 판단하여 운영 초기 단계에 적용하기란 용이하지 않은 문제점이 있다.
한국공개특허 제2013-0096033호
따라서 본 발명은 사전에 자체 기능을 제공하여 사용자로부터 설치 환경에 대한 입력을 받아 룰셋을 커스터마이징하고 룰셋에 대한 검증을 실시하여 성능 영향도 및 부하 정도에 대한 권고를 주는 프로파일링 시스템을 통하여 이러한 한계를 극복할 수 있는 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 기술을 제공하고자 한다.
본 발명의 일 견지에 따르면, 공격 탐지 여부를 판단하기 위한 룰셋(ruleset) 기반 복수의 룰 파일을 관리하는 룰 DB에서 상기 룰셋을 로드하는 과정과, 상기 룰 DB를 통해 사용자로부터 상기 룰셋 기반 추가하고자 하는 소정 공격 패턴의 룰을 입력받는 과정과, 상기 룰 DB를 포함하는 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치에서 제공되는 네트워크 서비스 타입 중 사용자로부터 선택된 네트워크 서비스에 대응하는 서비스 정보를 서비스 템플릿을 통해 입력받는 과정과, 입력된 서비스 템플릿에 대응하는 룰을 선별하여 최적화 알고리즘을 이용하여 최적화된 룰셋을 생성하는 과정과, 사용자로부터 선택된 네트워크 서비스를 기반으로 상기 최적화된 룰셋을 기설정된 성능 측정 타입별로 시뮬레이션을 수행하는 과정과, 상기 시뮬레이션 결과를 기설정된 성능 측정 타입별로 레포팅(reporting)하는 과정을 포함함을 특징으로 한다.
본 발명의 다른 견지에 따르면, 공격 탐지 여부를 판단하기 위한 룰셋(ruleset) 기반 복수의 룰 파일을 관리하는 룰 DB에서 상기 룰셋이 로드되어 상기 룰 DB를 통해 사용자로부터 상기 룰셋 기반 추가하고자 하는 소정 공격 패턴의 룰을 입력받고, 네트워크 서비스 타입 중 사용자로부터 선택된 네트워크 서비스에 대응하는 서비스 정보를 서비스 템플릿을 통해 입력받아 입력된 서비스 템플릿에 대응하는 룰을 선별하여 최적화 알고리즘을 이용하여 최적화된 룰셋을 생성하는 시그니처 룰셋 생성부와, 사용자로부터 선택된 네트워크 서비스를 기반으로 상기 최적화된 룰셋을 기설정된 성능 측정 타입별 시뮬레이션을 수행하고, 상기 시뮬레이션 결과를 기설정된 성능 측정 타입별로 레포팅(reporting)하는 시그니처 룰셋 측정부를 포함함을 특징으로 한다.
본 발명은 네트워크 서비스 특성에 따라 특화된 룰셋 구성으로 리소스 절약 및 처리 시간 단축이 가능할 뿐만 아니라, 룰셋 생성 서비스를 사용자에게 개방, 공유 및 참여의 과정을 통해 네트워크 서비스 환경별 최초 룰셋으로부터 점진적으로 진화하도록 함으로써 사용자와 네트워크 공격 탐지 정보 제공자 간의 양방향 커스터마이징 가능한 효과가 있다.
또한, 본 발명은 최적화 알고리즘을 통해 키워드별 구조적, 기능적, 리소스적 특성이 고려된 비용을 산정하여 사용자에게 시그니처의 부하 요소를 제공하는 데에 근거 자료로 제공함으로써 최적의 조건을 판단하여 패턴 매칭을 수행하는 효과가 있다.
도 1은 본 발명의 일 실시 예에 따른 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법에 관한 개략적인 구성도.
도 2는 본 발명의 일 실시 예에 따른 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법에 관한 전체 흐름도.
도 3은 본 발명의 일 실시 예에 따른 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법에 있어서, 프로파일링 서비스 동작을 수행하는 대표 구성 간의 동작 흐름을 개략적으로 보인 예시도.
도 4는 본 발명의 일 실시 예에 따른 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치에 대한 전체 구성도.
도 5는 본 발명의 일 실시 예에 따른 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 관련 최적화 알고리즘에 대한 블록도.
도 6은 본 발명의 일 실시 예에 따른 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 관련 최적화 알고리즘 관련 각 모듈별 최적화 과정을 보인 예시도.
이하 본 발명에 따른 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 하기 설명에서는 구체적인 구성 소자 등과 같은 특정 사항들이 나타나고 있는데 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐 이러한 특정 사항들이 본 발명의 범위 내에서 소정의 변형이나 혹은 변경이 이루어질 수 있음은 이 기술 분야에서 통상의 지식을 가진 자에게는 자명하다 할 것이다.
본 발명은 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스를 수행하는 네트워크 장치에서 설정된 시그니처 룰셋을 기반으로 네트워크 환경 특성에 따라 사용자가 원하는 룰을 선별하여 룰셋을 생성한 후 트래픽 생성을 통해 생성된 룰셋의 가용 성능과 부하정보를 측정하고, 측정된 결과를 레포팅하여 제공함으로써 네트워크 서비스 특성에 따라 특화된 룰셋 구성으로 리소스 절약 및 처리 시간 단축이 가능할 뿐만 아니라, 룰셋 생성 서비스를 사용자에게 개방, 공유 및 참여의 과정을 통해 네트워크 서비스 환경별 최초 룰셋으로부터 점진적으로 진화하도록 함으로써 사용자와 네트워크 공격 탐지 정보 제공자 간의 양방향 커스터마이징 가능한 기술을 제공하고자 한다.
이하, 본 발명의 일 실시 예에 따른 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법에 관해 도 1 내지 도 3을 참조하여 자세히 살펴보기로 한다.
먼저, 도 1은 본 발명의 일 실시 예에 따른 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법에 관한 개략적인 구성도이다.
도 1을 참조하면, 본 발명의 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법은 하기와 같은 순서로 시그니처에 대한 생성, 진단 시뮬레이션을 실행하여 네트워크 공격에 대한 탐지 시 보다 유연하게 네트워크 서비스 환경별로 특화된 시그니처 룰셋 기반 탐지를 수행한다.
1) 사용자가 시그니처 스노트(Snort) 룰 기반 추가하고자 하는 룰을 입력; 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치 내 구비된 룰 DB에 추가하고자 하는 시그니처 룰셋 기반의 룰이라는 형식으로 룰을 추가함.
이때, 상기 룰은 각각의 공격 방법을 룰이라는 형식으로 저장된 것을 의미하며, 각각의 룰 파일에는 해당 공격 방법의 다양한 패턴이 등록되어 있다.
상기 룰 DB는 공격별 패턴이 등록된 다수의 룰 파일이 스노트(Snort) 룰 포맷으로 데이터 베이스화되어 저장된다.
2) 사용자로부터 네트워크 서비스 범주에서 현재 제공중인 서비스(HTTP, Web Service, Mobile Service, FTP Service...)를 입력; 다수의 네트워크 환경으로 서비스를 구분하고 룰셋 적용 시에 사용자가 운영중인 혹은 필요로 하는 네트워크 환경(상기 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치가 설치된)을 선택하여 해당 영역 내의 룰셋이 선별적으로 적용될 수 있도록 함.
3) 공격 탐지에 대한 취약성을 식별하여 관리하는 취약성 DB에서 서비스 패킷 추출; 추출된 패킷를 분류/조합한 후 롤셋에 입력하여 매칭을 수행.
4) 룰셋 최적화(Optimization); 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치에서 제공되는 네트워크 서비스 타입 중 사용자로부터 선택된 네트워크 서비스에 대응하는 서비스 정보를 서비스 템플릿을 통해 입력받아 입력된 서비스 템플릿에 대응하는 룰을 선별하여 최적화 알고리즘을 이용.
5) 룰 시뮬레이션; 선택된 네트워크 서비스를 기반으로 최적화된 룰셋을 기설정된 성능 측정 타입(탐지 성능, 부하 성능, 트래픽 성능)별로 시뮬레이션을 수행.
6) 룰 시뮬레이션 결과 모니터링
7) 룰셋 시뮬레이션 모니터링 결과 레포팅: 부하를 유발하는 시그니처 룰이 룰셋에 포함되었는지, 어떠한 룰이 부하를 유발하는지에 대한 레포팅을 통해 사용자 단계에서 선별작업을 수행.
더욱 상세하게는, 도 2를 참조하여 설명하면, 도 2는 본 발명의 일 실시 예에 따른 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법에 관한 전체 흐름도이다.
도 2를 참조하면, 210 과정에서는 공격 탐지 여부를 판단하기 위한 룰셋 기반 복수의 룰 파일을 관리하는 룰 DB에서 상기 룰셋을 시스템으로 로드한다. 상기 시스템은, 상기 룰 DB가 구비되어 본 발명의 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 동작을 수행하는 장치로서 설치된 네트워크 환경(예컨대, HTTP, DNS, FTP, SMTP, GTP) 서비스별 서비스 템플릿이 제공된다.
또한, 본 발명이 적용된 룰셋은 시그니처를 기반으로 한 스노트(Snort)의 룰을 기반으로 한다.
상기 스노트는 각각의 공격 방법을 룰이라는 형식으로 저장하고 각각의 룰 파일에는 해당 공격 방법의 다양한 패턴이 등록되어 있으며, 침입이 일어나게 되면 이벤트가 생성되고 해당 침입 정보를 상기 룰 DB에 저장할 수 있다.
상기 스노트는 패킷스니퍼/패킷 로거/네트워크 침입 탐지 시스템으로 다양한 운영체제에서 동작하며, 서로 다른 네트워크 패킷을 동일한 방법으로 출력한다.
더불어, 상기 스노트는 자체적으로 공격에 대한 룰을 가지고 있으며, 이를 이용하여 공격을 탐지하게 된다. 이러한 스노트는 침입이 일어나게 되면 이벤트가 생성되고, 해당 침입 정보가 상기 롤 DB에 저장되도록 한다.
계속해서, 212 과정에서는 상기 룰 DB를 통해 사용자로부터 상기 룰셋 기반 추가하고자 하는 소정 공격 패턴의 룰을 입력받는다.
즉, 특화된 네트워크 서비스 환경에 따른 서비스 룰셋을 생성하고자 하는 사용자는 룰 DB에 추가하고자 하는 소정 룰을 룰셋에 입력한다.
214 과정에서는 상기 룰 DB를 포함하는 시스템 즉, 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치에서 제공되는 네트워크 서비스 타입 중 사용자로부터 선택된 네트워크 서비스에 대응하는 서비스 정보를 서비스 템플릿을 통해 입력받는다.
상기 214 과정에서는 사용자는 시스템이 제공하는 서비스 템플릿에서 현재 제공하고 있는 서비스 정보를 입력할 수 있다.
이후, 216 과정은 시스템에서 제공되는 서비스 정보를 가지고 서비스에 해당하는 룰을 선별하여 새로운 룰셋 구성을 위한 동작으로, 이를 통해 218 과정에서는 입력된 서비스 템플릿에 대응하는 룰을 선별하여 최적화 알고리즘을 이용하여 최적화된 룰셋을 생성한다.
상기 최적화 알고리즘은 상기 네트워크 서비스에 대응하는 서비스 정보 관련 서비스 템플릿을 통해 룰을 선별하여 시그니처를 생성하고, 생성된 시그니처 룰셋을 기반으로 유입된 패킷에 대한 매칭 수행을 위한 것으로, 이하 후술되는 최적화된 룰셋의 성능을 측정하기 위한 복수의 기설정된 측정 동작별 커스터마이징(customazing) 작업을 통해 최적화 알고리즘은 유입된 패킷이 반복적으로 불필요한 룰과 매칭을 시도하는 행위를 사전에 방지하여 네트워크 장비 운영시간을 단축할 수 있으며 과도한 리소스 점유를 방지할 수 있다.
본 발명에 따른 최적화 알고리즘은, 시그니처 생성 시, 키워드별 기설정된 항목들에 대한 특성이 고려된 비용을 산정하여 각 항목별 테이블로 구조화하고, 상기 항목별 구조화된 테이블의 산출 비용 정보를 기반으로 룰셋의 부하 성능 측정 관련 최적 조건을 판단하여 패턴 매칭을 수행하도록 한다.
이때, 상기 산출 비용 정보는, 상기 시그니처에서 추출된 키워드별 기정의된 명세를 분석하여 분석 결과에 따른 키워드별 처리를 통해 각 키워드별 최적화를 수행하고, 서비스 템플릿에서 사용자가 정의한 서비스를 기반으로 해당 시그니처가 해당 서비스 존(zone) 내의 패킷에 존재할 확률 및 기설정된 시그니처의 문법적 구조, 고유성 및 하드웨어적 리소스의 점유에 가중치를 부여하여 산출된다.
다시 말해, 본 발명에 적용된 최적화 알고리즘은, 시그니처(패턴)를 매치에 필요한 키워드로 불리는 요소별로 분리하고, 키워드별 기설정된 항목 즉, 구조적, 기능적, 리소스(resource)적 특성을 고려하여 비용을 산정하고, 이를 테이블로 구조화한다. 테이블의 산출된 비용 정보는 사용자에게 시그니처의 부하 요소를 제공하는 근거 자료로 제공하기 위한 목적과 동시에 이를 토대로 최적의 조건을 판단하여 패턴 매칭을 수행한다.
이를 통해 본 발명에 따른 최적화 룰셋이 생성되며, 220 과정에서 시뮬레이션 동작을 수행한다.
즉, 220 과정에서는 사용자로부터 선택된 네트워크 서비스를 기반으로 상기 최적화된 룰셋을 기설정된 성능 측정 타입별로 시뮬레이션을 수행한다.
이때, 상기 기설정된 성능 측정 타입별 시뮬레이션 수행은, 탐지 성능 측정, 부하 측정, 트래픽 처리 성능 측정을 포함한다.
상기 탐지 성능 측정은, 시스템에서 제공되는 트래픽 제너레이터(generator)로부터 제공된 서비스 템플릿의 서비스 타입 중 선택된 네트워크 서비스에 대응하는 서비스 템플릿에 대한 정보를 기반으로 상기 트래픽 제너레이터가 트래픽 DB로부터 생성된 트래픽을 최적화된 룰셋에 적용하여 수행되는 것으로, 이를 통해 최적화된 룰셋이 전체 룰셋에서 얼만큼의 룰이 탐지가 가능한지, 탐지의 정확도 및 탐지 성능 측정이 가능하여, 이로 인해 일반적으로 취약성 DB에서 서비스 템플릿 정보를 통해 제공되는 서비스별로 생성되는 기존 네트워크 장비에 비해 운영 시간 단축 가능할 뿐만 아니라 과도한 리소스 점유를 방지할 수 있다.
상기 부하 측정은, 소정 패킷에 대한 시그니처 탐지 시 기설정된 부하 정보를 초과하는 부하를 유발하는 시그니처 룰이 최적화된 룰셋에 포함되는지 여부를 판단하고, 판단결과 기반 기설정된 부하 정보를 초과하는 해당 룰을 선별하고, 선별된 룰들에 대한 레포팅을 위해 수행되는 것으로, 시그니처 룰셋은 단순 문자열 매칭이 아닌 문자열을 구성하는 패턴을 룰셋으로 지정하여 사용하기 때문에 다수의 케이스에 매칭되도록 구성하고자 하는 경우 반복문 또는 숫자 매칭, 문자 매칭 등의 패턴이 사용될 가능성이 높으며, 하나의 패킷이 하나의 룰에 매칭 여부를 판단하기까지 여러 번의 조건 비교가 필요하다. 이러한 행위는 곧 처리시간 지연으로 인한 부하로 이어지게 된다.
상기 부하 측정을 통해 사용자는 부하를 유발하는 시그니처 룰이 룰셋에 포함되었는지, 어떠한 룰이 부하를 유발하는지에 대한 레포팅을 통하여 사용자 단계에서의 선별작업을 수행할 수 있다.
상기 트래픽 처리 성능 측정은, 네트워크 서비스 타입별 네트워크 서비스 특성에 따라 상이한 트래픽 생성에 따라 분류되는 시뮬레이션 모드가 실행되면, 선택된 모드에 해당하는 네트워크 서비스 환경에 적용된 룰셋에 대응하는 트래픽 스루풋(throughput)을 통해 트래픽 처리 상태 항목별 정보 확인을 통해 수행된다.
룰셋이 적용된 시스템의 트래픽 스루풋을 통하여 네트워크 공격 탐지 시 연산 및 리소스 제약에 따른 트래픽 처리 한계 성능을 측정한다.
이때, 상기 시뮬레이션 모드는, 해당 네트워크 서비스에 대응하는 서비스 템플릿 정보를 기반으로 취약성 DB에서 생성한 트래픽을 사용하는 네트워크 공격 탐지 제공 서비스 장치 단독 가상 시뮬레이션 모드와, 미러링(mirroring) 방식을 이용하여 실망 트래픽을 복제한 실망 모드를 포함한다.
이후, 222 과정에서는 상기 시뮬레이션 결과를 기설정된 성능 측정 타입별로 레포팅한다.
이와 같이, 상술한 210~222 동작 과정은 룰 DB를 통한 사용자의 룰 입력 이후 룰셋 최적화 및 트래픽을 사용한 시뮬레이션이 자동화되어 네트워크 공격 탐지 제공 서비스 장치에서 처리되며, 사용자는 제공받은 정보를 토대로 커스터마이징을 재수행하거나 또는 장비 운영을 위한 판단 근거로써 해당 정보를 사용할 수 있다.
한편, 도 3은 본 발명의 일 실시 예에 따른 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법에 있어서, 네트워크 공격 탐지 제공 서비스 동작을 수행하는 대표 구성 간의 동작 흐름을 개략적으로 보인 것으로, 도 3을 참조하여 상술한 도 2의 전체 흐름을 정리하여 하기와 같다.
1) 사용자는 필요에 따라 추가하고자 하는 룰을 룰 DB(312)에 입력한다(S310).
2) 사용자는 서비스 템플릿(314)에서 제공되는 서비스 범주에서 현재 제공중인 서비스(Web Service, Mobile Service, FTP Service...)를 선택한다.
3) Rule optimizer(316)는 룰 DB(312)에 입력된 룰셋을 입력받는다.
4) Rule optimizer(316)는 서비스 템플릿(314) 범주 중 선택된 서비스에 대한 정보를 제공받고, 3)에서 제공받은 룰셋에서 제공받은 서비스에 해당하는 룰셋을 추린다.
5) Rule optimizer(316)는 4)에서 제공받은 룰셋을 최적화 알고리즘(318)을 거쳐 최적화한다.
6) 트래픽 생성부(322)는 서비스 템플릿(314)의 서비스 범주 중 선택된 서비스에 대한 정보를 제공받는다.
7) 트래픽 생성부(322)는 모의 테스트 트래픽 시뮬레이션을 통해 트래픽 DB(324)로부터 서비스에 해당하는 테스트 트래픽을 생성한다.
8) 트래픽 제너레이터(322)는 실망 트래픽 시뮬레이션을 위해 실망 트래픽(326)을 준비한다.
9) 7) 혹은 8)의 동작에서 생성된 테스트 트래픽을 시뮬레이터(simulator, 328)로 전달한다.
10) 시뮬레이터(328)은 Rule optimizer(316)로부터 전달받은 최적화 룰셋을 적용하고, 트래픽 제너레이터(322)에서 받은 테스트 트래픽을 인가하여 성능을 측정한다.
11) 테스트가 종료된 후 결과를 레포트 작성기(330)에 전달하고, 상기 레포트 작성기(330)은 결과를 토대로 사용자에게 전달하기 위한 보고서를 작성한다.
이상에서는, 본 발명의 일 실시 예에 따른 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법에 관해 살펴보았다.
이하, 본 발명의 일 실시 예에 따른 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치에 대해 도 4를 참조하여 자세히 살펴보기로 한다.
도 4는 본 발명의 일 실시 예에 따른 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치에 대한 전체 구성도이다.
도 4를 참조하면, 본 발명의 일 실시 예에 따른 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치(400)은 시그니처 룰셋 생성부(420), 시그니처 룰셋 측정부(434) 및 레포트 작성부(433)를 포함한다.
본 발명이 적용된 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치(400)은 네트워크 공격 탐지 서비스 전반적인 동작을 제어하며, 상기 시그니처 룰셋 생성부(414)와 시그니처 룰셋 측정부(424) 간 동작을 연동하여 시그니처 룰셋을 기반으로 네트워크 환경 특성에 따라 사용자가 원하는 룰로 선별된 룰셋의 가용 성능과 부하정보를 측정하고, 측정된 결과를 레포팅하도록 제어한다.
더욱 상세하게는, 상기 시그니처 룰셋 생성부(420)은 룰 DB(412), 서비스 템플릿(414), 최적화 알고리즘(416) 및 룰셋 생성부(418)를 포함하고, 공격 탐지 여부를 판단하기 위한 룰셋(ruleset) 기반 복수의 룰 파일을 관리하는 룰 DB(412)에서 상기 룰셋이 로드되어 상기 룰 DB(412)를 통해 사용자로부터 상기 룰셋 기반 추가하고자 하는 소정 공격 패턴의 룰을 입력받고, 네트워크 서비스 타입 중 사용자로부터 선택된 네트워크 서비스에 대응하는 서비스 정보를 서비스 템플릿(414)을 통해 입력받아 입력된 서비스 템플릿에 대응하는 룰을 선별하여 최적화 알고리즘(416)을 이용하여 룰셋 생성부(418)을 통해 최적화된 룰셋을 생성한다.
이때, 상기 최적화 알고리즘은, 시그니처 생성 시, 옵티마이저(optimizer)를 통해 키워드별 기설정된 항목들에 대한 특성이 고려된 비용을 산정하여 각 항목별 테이블로 구조화하고, 상기 항목별 구조화된 테이블의 산출 비용 정보를 기반으로 룰셋의 부하 성능 측정 관련 최적 조건을 판단하여 패턴 매칭을 수행하도록 하는 것으로, 도 5에서는 이러한 최적화 알고리즘에 대한 블록도를 도시하였다.
도 5를 참조하면, 본 발명에 따른 최적화 알고리즘(500)은, 트랜스포머(transformer, 512) 및 에스터메이터(estimator, 514)를 포함한다.
상기 트랜스포머(512)는 파서(510)에서 추출된 키워드에 대하여 각 키워드별 기정의된 명세를 분석하여 분석 결과에 따른 키워드별 처리를 통해 각 키워드별 최적화를 수행하는 트랜스포머(transformer, 512)를 포함한다.
이때, 최적화 전 후의 매칭 결과는 동일함을 보장한다.
상기 에스터메이터(514)는 서비스 템플릿에서 사용자가 정의한 서비스를 기반으로 해당 시그니처가 해당 서비스 존(zone) 내의 패킷에 존재할 확률 및 기설정된 시그니처의 문법적 구조, 고유성 및 하드웨어적 리소스의 점유에 가중치를 부여하여 키워드별 비용을 산정하고, 산정된 비용을 저장한다.
이때, 비용 산정 시 사용되는 항목은 키워드의 문법적 기능, 키워드의 구조, 하드웨어적 리소스(CPU, Memory 포함) 사용 및 반환 시간 관련 키워드 연산 비용 과, 해당 패턴이 패킷 내에 존재할 확률을 포함한다.
상기 에스터메이터(514)에서 가중치 부여를 통한 비용을 산출하기 위해 첫째, 상기 서비스 템플릿에서 사용자 정의한 서비스를 기반으로 해당 패턴이 해당 서비스 존(zone) 내의 패킷에 존재할 확률이고, 둘째, 패턴 정보 DB(516)에 따른 미리 데이터화 되어있는 시그니처의 문법적 특징과 시그니처의 고유성에 대한 평가, 하드웨어적 리소스의 점유와 같은 특성을 이용하는 것이다.
시그니처의 비용은 그 값이 높을수록 고유한 성질을 가지며, 패턴 매칭 수행 시 일치하는 탐지 확률이 높지만 탐지를 위해 소요되는 시간적, 리소스적 비용 또한 크다. 시그니처의 특징적 비용이 작다면 더 많은 경우의 수에 일치하는 유연성이 있으나, 매칭된 패턴이 탐지 패턴이 될 확률은 상대적으로 적게 된다.
이러한 최적화 알고리즘 관련 각 모듈별 최적화 과정은 도 6에 도시된 바와 같다.
도 6을 참조하면, 본 발명에 따른 최적화 수행은 Parser를 통해 시그니처에서 키워드 추출을 수행한 후, Transformer에서 각 키워드의 역할을 분석하여 기능별 최적화하되, 최적화 전후의 매칭 결과는 동일하다.
Estimator에서는 키워드의 고유 매칭 확률 및 리소스 점유 시간을 토대로 비용을 산정한다. 본 발명이 적용된 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치는 비용 산출을 위한 문법적, 통계적 기반 데이터를 가지며, 비용 산정 후 사용자 고지를 위해 해당 정보를 저장한다.
이후, 시뮬레이터(matcher, 518)를 통해 최적화 알고리즘을 통해 출력된 공격 탐지 수행 관련 키워드를 기설정된 항목별 산출된 비용을 기반으로 시뮬레이션 가능한 시그니처 룰셋으로 재구성하고, 재구성된 매칭 기반 탐지를 수행한다.
계속해서, 상기 시그니처 룰셋 측정부(434)는 취약성 DB(422), 트래픽 생성부(424), 실망 트래픽(426), 탐지 성능 측정부(428), 부하 측정부(430), 트래픽 성능 측정부(432)를 포함하는 것으로, 이들 각 구성을 통해 사용자로부터 선택된 네트워크 서비스를 기반으로 상기 최적화된 룰셋을 기설정된 성능 측정 타입별 시뮬레이션을 수행하고, 상기 시뮬레이션 결과를 기설정된 성능 측정 타입별로 레포팅(reporting)한다.
보다 상세하게는, 상기 시그니처 룰셋 측정부(434)의 탐지 성능 측정부(428)는 상기 시그니처 룰셋 생성부(420)의 서비스 템플릿(414)으로부터 트래픽 생성부(424)로 제공된 선택된 네트워크 서비스에 대응하는 서비스 템플릿에 대한 정보를 기반으로 상기 트래픽 생성부(424)가 취약성 DB(422)를 이용하여 생성된 트래픽을 최적화된 룰셋에 적용하여 상기 룰셋의 탐지 성능을 측정한다.
상기 부하 측정부(430)는 소정 패킷에 대한 시그니처 탐지 시 기설정된 부하 정보를 초과하는 부하를 유발하는 시그니처 룰이 최적화된 룰셋에 포함되는지 여부를 판단하고, 판단결과 기반 기설정된 부하 정보를 초과하는 해당 룰을 선별하여 출력한다.
상기 트래픽 처리 성능 측정부(432)는 네트워크 서비스 타입별 네트워크 서비스 특성에 따라 상이한 트래픽 생성에 따라 분류되는 시뮬레이션 모드가 실행되면, 선택된 모드에 해당하는 네트워크 서비스 환경에 적용된 룰셋에 대응하는 트래픽 스루풋(throughput)을 통해 트래픽 처리 상태 항목별 정보가 확인된다.
상기 시그니처 룰셋 측정부(434)는, 룰셋별 상기 탐지 성능 측정부(428), 부하 측정부(430) 및 트래픽 처리 성능 측정부(432)로부터의 출력 결과를 레포팅하는 레포트 작성부(432)를 포함한다.
한편, 시그니처 룰셋 측정부(434)는 시그니처 룰셋 생성부(420)의 최적화 알고리즘을 통해 출력된 공격 탐지 수행 관련 키워드를 기설정된 항목별 산출된 비용을 기반으로 시뮬레이션 가능한 시그니처 룰셋으로 재구성하고, 재구성된 매칭 기반 탐지를 수행하는 시뮬레이터(matcher, 미도시)를 더 포함함을 특징으로 한다.
상기와 같이 본 발명에 따른 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법 및 장치에 관한 동작이 이루어질 수 있으며, 한편 상기한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나 여러 가지 변형이 본 발명의 범위를 벗어나지 않고 실시될 수 있다. 따라서 본 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 청구범위와 청구범위의 균등한 것에 의하여 정하여져야 할 것이다.
412: 룰 DB 414: 서비스 템플릿
416: 최적화 알고리즘 418: 룰셋 생성부
422: 취약성 DB 424: 트래픽 생성부
426: 실망 트래픽 428: 탐지성능 측정부
430: 부하 측정부 432: 트래픽 성능 측정부
433: 레포트 작성부

Claims (17)

  1. 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치가 공격 탐지 여부를 판단하기 위한 룰셋(ruleset) 기반 복수의 룰 파일을 관리하는 룰 DB에서 상기 룰셋을 로드하는 과정과,
    시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치가 상기 룰 DB를 통해 사용자로부터 상기 룰셋 기반에 추가하고자 하는 소정 공격 패턴의 룰을 입력받는 과정과,
    상기 룰 DB를 포함하는 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치에서 제공되는 네트워크 서비스 타입 중 사용자로부터 선택된 네트워크 서비스에 대응하는 서비스 정보를 서비스 템플릿을 통해 입력받는 과정과,
    시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치가 입력된 서비스 템플릿에 대응하는 룰을 선별하여 최적화 알고리즘을 이용하여 최적화된 룰셋을 생성하는 과정과,
    시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치가 사용자로부터 선택된 네트워크 서비스를 기반으로 상기 최적화된 룰셋을 기설정된 성능 측정 타입별로 시뮬레이션을 수행하는 과정과,
    시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치가 상기 시뮬레이션 결과를 기설정된 성능 측정 타입별로 레포팅(reporting)하는 과정을 포함함을 특징으로 하는 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법.
  2. 제1항에 있어서, 상기 네트워크 서비스 타입은,
    상기 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치가 설치된 HTTP, DNS, FTP, SMIP, GTP 서비스를 포함하는 네트워크 서비스 환경임을 특징으로 하는 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법.
  3. 제1항에 있어서, 상기 룰 DB는,
    공격별 패턴이 등록된 다수의 룰 파일이 스노트(Snort) 룰 포맷으로 데이터베이스화되어 저장됨을 특징으로 하는 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법.
  4. 제1항에 있어서, 상기 기설정된 성능 측정 타입별 시뮬레이션 수행 과정은,
    탐지 성능 측정, 부하 측정, 트래픽 처리 성능 측정을 포함함을 특징으로 하는 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법.
  5. 제4항에 있어서, 상기 탐지 성능 측정은,
    트래픽 제너레이터(generator)로부터 제공된 선택된 네트워크 서비스에 대응하는 서비스 템플릿에 대한 정보를 기반으로 상기 트래픽 제너레이터가 트래픽 DB로부터 생성된 트래픽을 최적화된 룰셋에 적용하여 수행됨을 특징으로 하는 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법.
  6. 제4항에 있어서, 상기 부하 측정은,
    소정 패킷에 대한 시그니처 탐지 시 기설정된 부하 정보를 초과하는 부하를 유발하는 시그니처 룰이 최적화된 룰셋에 포함되는지 여부를 판단하고, 판단결과 기반 기설정된 부하 정보를 초과하는 해당 룰을 선별하고, 선별된 룰들에 대한 레포팅을 통해 수행됨을 특징으로 하는 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법.
  7. 제4항에 있어서, 상기 트래픽 처리 성능 측정은,
    네트워크 서비스 타입별 네트워크 서비스 특성에 따라 상이한 트래픽 생성에 따라 분류되는 시뮬레이션 모드가 실행되면, 선택된 모드에 해당하는 네트워크 서비스 환경에 적용된 룰셋에 대응하는 트래픽 스루풋(throughput)을 통해 트래픽 처리 상태 항목별 정보 확인을 통해 수행됨을 특징으로 하는 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법.
  8. 제7항에 있어서, 상기 시뮬레이션 모드는,
    해당 네트워크 서비스에 대응하는 서비스 템플릿 정보를 기반으로 취약성 DB에서 생성한 트래픽을 사용하는 네트워크 공격 탐지 제공 서비스 장치 단독 가상 시뮬레이션 모드와,
    미러링(mirroring) 방식을 이용하여 실망 트래픽을 복제한 실망 모드를 포함함을 특징으로 하는 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법.
  9. 제1항에 있어서, 상기 최적화 알고리즘은,
    상기 네트워크 서비스에 대응하는 서비스 정보 관련 서비스 템플릿을 통해 룰을 선별하여 시그니처를 생성하고, 생성된 시그니처 룰셋을 기반으로 유입된 패킷에 대한 매칭이 수행되도록 함을 특징으로 하는 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법.
  10. 제9항에 있어서, 상기 시그니처 생성 시,
    키워드별 기설정된 항목들에 대한 특성이 고려된 비용을 산정하여 각 항목별 테이블로 구조화하고, 상기 항목별 구조화된 테이블의 산출 비용 정보를 기반으로 룰셋의 부하 성능 측정 관련 최적 조건을 판단하여 패턴 매칭을 수행하도록 함을 특징으로 하는 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법.
  11. 제10항에 있어서, 상기 산출 비용 정보는,
    상기 시그니처에서 추출된 키워드별 기정의된 명세를 분석하여 분석 결과에 따른 키워드별 처리를 통해 각 키워드별 최적화를 수행하고,
    서비스 템플릿에서 사용자가 정의한 서비스를 기반으로 해당 시그니처가 해당 서비스 존(zone) 내의 패킷에 존재할 확률 및 기설정된 시그니처의 문법적 구조, 고유성 및 하드웨어적 리소스의 점유에 가중치를 부여하여 산출됨을 특징으로 하는 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법.
  12. 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치에 있어서,
    공격 탐지 여부를 판단하기 위한 룰셋(ruleset) 기반 복수의 룰 파일을 관리하는 룰 DB에서 상기 룰셋이 로드되어 상기 룰 DB를 통해 사용자로부터 상기 룰셋 기반에 추가하고자 하는 소정 공격 패턴의 룰을 입력받고, 네트워크 서비스 타입 중 사용자부터 선택된 네트워크 서비스에 대응하는 서비스 정보를 서비스 템플릿을 통해 입력받아 입력된 서비스 템플릿에 대응하는 룰을 선별하여 최적화 알고리즘을 이용하여 최적화된 룰셋을 생성하는 시그니처 룰셋 생성부와,
    사용자로부터 선택된 네트워크 서비스를 기반으로 상기 최적화된 룰셋을 기설정된 성능 측정 타입별 시뮬레이션을 수행하고, 상기 시뮬레이션 결과를 기설정된 성능 측정 타입별로 레포팅(reporting)하는 시그니처 룰셋 측정부를 포함함을 특징으로 하는 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치.
  13. 제12항에 있어서, 상기 시그니처 룰셋 측정부는,
    시그니처 룰셋 생성부의 서비스 템플릿로부터 트래픽 생성부로 제공된 선택된 네트워크 서비스에 대응하는 서비스 템플릿에 대한 정보를 기반으로 상기 트래픽 생성부가 트래픽 DB를 이용하여 생성된 트래픽을 최적화된 룰셋에 적용하여 상기 룰셋의 탐지 성능을 측정하는 탐지 성능 측정부와,
    소정 패킷에 대한 시그니처 탐지 시 기설정된 부하 정보를 초과하는 부하를 유발하는 시그니처 룰이 최적화된 룰셋에 포함되는지 여부를 판단하고, 판단결과 기반 기설정된 부하 정보를 초과하는 해당 룰을 선별하여 출력하는 부하 측정부와,
    네트워크 서비스 타입별 네트워크 서비스 특성에 따라 상이한 트래픽 생성에 따라 분류되는 시뮬레이션 모드가 실행되면, 선택된 모드에 해당하는 네트워크 서비스 환경에 적용된 룰셋에 대응하는 트래픽 스루풋(throughput)을 통해 트래픽 처리 상태 항목별 정보가 확인되는 트래픽 처리 성능 측정부를 포함함을 특징으로 하는 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치.
  14. 제13항에 있어서, 상기 시그니처 룰셋 측정부는,
    룰셋별 상기 탐지 성능 측정부, 부하 측정부 및 트래픽 처리 성능 측정부로부터의 출력 결과를 레포팅하는 레포트 작성부를 더 포함함을 특징으로 하는 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치.
  15. 제12항에 있어서, 상기 최적화 알고리즘은,
    시그니처 생성 시, 옵티마이저(optimizer)를 통해 키워드별 기설정된 항목들에 대한 특성이 고려된 비용을 산정하여 각 항목별 테이블로 구조화하고, 상기 항목별 구조화된 테이블의 산출 비용 정보를 기반으로 룰셋의 부하 성능 측정 관련 최적 조건을 판단하여 패턴 매칭을 수행하도록 함을 특징으로 하는 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치.
  16. 제15항에 있어서, 상기 최적화 알고리즘은,
    파서에서 추출된 키워드에 대하여 각 키워드별 기정의된 명세를 분석하여 분석 결과에 따른 키워드별 처리를 통해 각 키워드별 최적화를 수행하는 트랜스포머(transformer)와,
    서비스 템플릿에서 사용자가 정의한 서비스를 기반으로 해당 시그니처가 해당 서비스 존(zone) 내의 패킷에 존재할 확률 및 기설정된 시그니처의 문법적 구조, 고유성 및 하드웨어적 리소스의 점유에 가중치를 부여하여 키워드별 비용을 산정하고, 산정된 비용을 저장하는 에스터메이터(estimator)를 포함함을 특징으로 하는 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 장치.
  17. 제12항에 있어서, 상기 시그니처 룰셋 측정부는,
    상기 최적화 알고리즘을 통해 출력된 공격 탐지 수행 관련 키워드를 기설정된 항목별 산출된 비용을 기반으로 시뮬레이션 가능한 시그니처 룰셋으로 재구성하고, 재구성된 매칭 기반 탐지를 수행하는 시뮬레이터(matcher)를 포함함을 특징으로 하는 네트워크 보안 장비의 프로파일링 서비스 장치.
KR1020150002787A 2015-01-08 2015-01-08 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법 및 장치 KR101671268B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150002787A KR101671268B1 (ko) 2015-01-08 2015-01-08 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150002787A KR101671268B1 (ko) 2015-01-08 2015-01-08 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20160085593A KR20160085593A (ko) 2016-07-18
KR101671268B1 true KR101671268B1 (ko) 2016-11-01

Family

ID=56679660

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150002787A KR101671268B1 (ko) 2015-01-08 2015-01-08 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101671268B1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102006220B1 (ko) * 2018-05-24 2019-08-02 주식회사 윈스 시그니처 재구성 장치 및 방법
KR102080478B1 (ko) * 2019-06-20 2020-02-24 주식회사 쿼드마이너 패턴 기반 색인 처리 시스템 및 이를 이용한 패턴 기반 색인 처리 방법
JP7391847B2 (ja) * 2019-06-20 2023-12-05 クワッド マイナーズ ネットワークフォレンジックシステム及びこれを用いたネットワークフォレンジック方法
KR102126185B1 (ko) * 2020-03-30 2020-06-24 주식회사 코닉글로리 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템 및 그 방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101334383B1 (ko) * 2011-12-27 2013-11-29 서강대학교산학협력단 상황 인식 네트워크에서 서비스 경로를 구성하는 방법 및 장치
KR101337216B1 (ko) 2012-02-21 2013-12-05 주식회사 안랩 컴퓨터 시스템 및 시그니처검증서버
KR101434388B1 (ko) * 2013-01-04 2014-08-26 주식회사 윈스 네트워크 보안 장비의 패턴 매칭 시스템 및 그 패턴 매칭 방법
KR101498696B1 (ko) * 2013-04-26 2015-03-12 주식회사 넷커스터마이즈 유해 트래픽 탐지 시스템 및 방법

Also Published As

Publication number Publication date
KR20160085593A (ko) 2016-07-18

Similar Documents

Publication Publication Date Title
CN103095728B (zh) 一种基于行为数据融合的网络安全评分系统和方法
KR101538709B1 (ko) 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법
US20200028864A1 (en) Non-harmful insertion of data mimicking computer network attacks
CN105426760B (zh) 一种安卓恶意应用的检测方法及装置
KR101671268B1 (ko) 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법 및 장치
US10021130B2 (en) Network state information correlation to detect anomalous conditions
US9661038B2 (en) Method and system for application security evaluation
US20150039543A1 (en) Feature Based Three Stage Neural Network Intrusion Detection
CN108885662A (zh) 用于智能地检测客户端计算装置和公司网络上的恶意软件和攻击的方法和系统
CN105447388B (zh) 一种基于权重的安卓恶意代码检测系统及方法
CN106341386B (zh) 针对基于云的多层安全架构的威胁评估级确定及补救
JP2017099274A (ja) 集約されたケーブル試験結果データを適用するためのシステム及び方法
Avalappampatty Sivasamy et al. A dynamic intrusion detection system based on multivariate Hotelling’s T2 statistics approach for network environments
CN109302423B (zh) 一种漏洞扫描能力测试方法和装置
JPWO2018079440A1 (ja) チェイン構築装置、試験装置、試験システム、方法およびプログラム
CN109344042A (zh) 异常操作行为的识别方法、装置、设备及介质
EP3525509B1 (en) Method and test system for mobile network testing
JP7274162B2 (ja) 異常操作検知装置、異常操作検知方法、およびプログラム
CN106502887A (zh) 一种稳定性测试方法、测试控制器及系统
Asadian et al. Identification of Sybil attacks on social networks using a framework based on user interactions
Krenker et al. Bidirectional Artificial Neural Networks for Mobile‐Phone Fraud Detection
CN110378120A (zh) 应用程序接口攻击检测方法、装置以及可读存储介质
Abdelrahman et al. A data plane approach for detecting control plane anomalies in mobile networks
CN106792757B (zh) 一种面向事件检测的传感网部署优化方法与装置
CN114301796A (zh) 预测态势感知的验证方法、装置及系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20191028

Year of fee payment: 4