KR101774242B1 - 네트워크 스캔 탐지 방법 및 장치 - Google Patents

네트워크 스캔 탐지 방법 및 장치 Download PDF

Info

Publication number
KR101774242B1
KR101774242B1 KR1020170000430A KR20170000430A KR101774242B1 KR 101774242 B1 KR101774242 B1 KR 101774242B1 KR 1020170000430 A KR1020170000430 A KR 1020170000430A KR 20170000430 A KR20170000430 A KR 20170000430A KR 101774242 B1 KR101774242 B1 KR 101774242B1
Authority
KR
South Korea
Prior art keywords
value
scan
packet
destination
scan detection
Prior art date
Application number
KR1020170000430A
Other languages
English (en)
Inventor
박재영
신현준
이경헌
Original Assignee
주식회사 파이오링크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 파이오링크 filed Critical 주식회사 파이오링크
Priority to KR1020170000430A priority Critical patent/KR101774242B1/ko
Application granted granted Critical
Publication of KR101774242B1 publication Critical patent/KR101774242B1/ko
Priority to JP2017250871A priority patent/JP6534438B2/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers

Abstract

본 발명은 네트워크에 대한 스캔 공격을 탐지하는 방법에 있어서, (a) 게이트웨이를 통해 상기 네트워크로 전달되는 아이피 패킷이 수신되면, 스캔 탐지 장치가, 상기 수신된 아이피 패킷을 분석하여 상기 아이피 패킷의 목적지 값을 획득하는 단계; (b) 상기 스캔 탐지 장치가, 획득된 상기 아이피 패킷의 목적지 값에 해쉬 함수를 적용하여 목적지 해쉬값을 생성하며, 생성된 상기 목적지 해쉬값을 기설정 개수의 비트(bit)로 이루어진 변수인 스캔 탐지값으로 변환하는 단계; 및 (c) 상기 스캔 탐지 장치가, (i) 상기 변환된 스캔 탐지값 및 (ii) 소정의 시간 동안 수신되었던 적어도 하나의 아이피 패킷에 대응하여 획득된 과거 스캔 탐지값을 이용하여 스캔 탐지값의 통합 상태를 업데이트하며, 상기 업데이트된 통합 상태를 참조하여 상기 수신된 아이피 패킷이 스캔 공격인지를 판단하는 단계; 를 포함하는 방법에 관한 것이다.

Description

네트워크 스캔 탐지 방법 및 장치{METHOD AND APPARATUS FOR DETECTING NETWORK SCANNING}
본 발명은 네트워크 스캔 탐지 방법 및 장치에 관한 것으로, 보다 상세하게는, 게이트웨이를 통해 네트워크로 전달되는 아이피 패킷을 분석하여 목적지 값을 획득하고, 획득된 아이피 패킷의 목적지 값에 해쉬 함수를 적용하여 목적지 해쉬값을 생성하며, 생성된 목적지 해쉬값을 기설정 개수의 비트(bit)로 이루어진 변수인 스캔 탐지값으로 변환하고, 변환된 스캔 탐지값 및 소정의 시간 동안 수신되었던 적어도 하나의 아이피 패킷에 대응하여 획득된 과거 스캔 탐지값을 이용하여 스캔 탐지값의 통합 상태를 업데이트한 통합 상태를 참조하여 수신된 아이피 패킷이 스캔 공격인지를 판단하는 네트워크 스캔 탐지 방법 및 장치에 관한 것이다.
네트워크 상에서 공격자가 특정 목표를 정하고 공격 방식을 결정하기 위한 사전 작업으로 공격 목표(희생자 단말장치) 및 공격 방식을 결정하는 작업이 필요하다. 이러한 사전작업에는 주로 네트워크 스캔 기법이 사용되고 있으며 네트워크 스캔 기법은 크게 포트 스캔(Port Scan)과 호스트 스윕(Host sweep) 방식으로 분류 될 수 있다.
포트 스캔은 특정 대상을 지정하고 취약점이 보고된 서비스 포트가 오픈(open)되어 있는지 여부를 판단하기 위하여, 특정 대상에 대해 다양한 서비스로 소량의 트래픽을 전송하고, 서비스들로부터 돌아오는 응답을 바탕으로 해당 서비스 포트의 오픈 여부를 판단하는 방식이다. 이와 비교하여, 호스트 스윕은 취약점이 보고된 서비스를 오픈하고 있는 장치를 찾기 위하여, 네트워크 상에 존재하는 다수의 단말장치를 향해서 특정 서비스에 해당되는 트래픽을 전송한 후, 그 응답을 바탕으로 해당 서비스를 이용하는 단말을 찾아내는 방식이다.
네트워크 중간에서 스캔 징후를 탐지 하기 위해서는, 포트 스캔의 경우 특정 대상(단말장치)으로 얼마나 다양한 포트에 대한 접근이 발생했는지 여부를 판단할 수 있어야 하며, 호스트 스윕의 경우 동일한 특정 포트를 이용하여 얼마나 많은 단말장치들에 접근했는지 여부를 판단할 수 있어야 한다. 즉, 스캔 대상이 될 수 있는 모든 주소와 모든 포트에 대해서 정보를 축적하여 임계치 이상의 접근이 있는 경우, 스캔이라고 판단을 하게 된다.
이때, 모든 정보들은 메모리 상에 특정 자료구조 형상으로 관리되는데, 새로운 값이 들어올 때마다, 지속적으로 자료구조가 확장되어 메모리 관리 측면에서 매우 복잡하게 동작을 하게 된다. 또한, 로직이 복잡한 만큼 동작 속도는 떨어질 수 밖에 없어 탐지율이 저하된다는 문제점이 있다.
본 발명은 상술한 문제점을 모두 해결하는 것을 목적으로 한다.
또한, 본 발명은 해쉬값을 이용한 특정 비트의 변수인 스캔 탐지값을 통해 스캔을 판단하므로 종래에 비해 상대적으로 적은 메모리 용량으로 스캔 공격을 탐지할 수 있도록 하는 방법 및 장치를 제공하는 것을 다른 목적으로 한다.
또한, 본 발명은 해쉬값을 이용한 특정 비트의 변수인 스캔 탐지값을 통해 스캔을 판단하므로 비교 연산이 종래에 비하여 상대적으로 적어 빠른 속도로 스캔 공격을 탐지할 수 있도록 하는 방법 및 장치를 제공하는 것을 또 다른 목적으로 한다.
상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특징적인 효과를 실현하기 위한, 본 발명의 특징적인 구성은 하기와 같다.
본 발명의 일 실시예에 따르면, 네트워크에 대한 스캔 공격을 탐지하는 방법에 있어서, (a) 게이트웨이를 통해 상기 네트워크로 전달되는 아이피 패킷이 수신되면, 스캔 탐지 장치가, 상기 수신된 아이피 패킷을 분석하여 상기 아이피 패킷의 목적지 값을 획득하는 단계; (b) 상기 스캔 탐지 장치가, 획득된 상기 아이피 패킷의 목적지 값에 해쉬 함수를 적용하여 목적지 해쉬값을 생성하며, 생성된 상기 목적지 해쉬값을 기설정 개수의 비트(bit)로 이루어진 변수인 스캔 탐지값으로 변환하는 단계; 및 (c) 상기 스캔 탐지 장치가, (i) 상기 변환된 스캔 탐지값 및 (ii) 소정의 시간 동안 수신되었던 적어도 하나의 아이피 패킷에 대응하여 획득된 과거 스캔 탐지값을 이용하여 스캔 탐지값의 통합 상태를 업데이트하며, 상기 업데이트된 통합 상태를 참조하여 상기 수신된 아이피 패킷이 스캔 공격인지를 판단하는 단계; 를 포함하는 방법이 제공된다.
또한, 본 발명의 일 실시예에 따르면, 네트워크에 대한 스캔 공격을 탐지하는 스캔 탐지 장치에 있어서, 게이트웨이를 통해 상기 네트워크로 전달되는 아이피 패킷이 수신되면, 상기 수신된 아이피 패킷을 분석하여 상기 아이피 패킷의 목적지 값을 획득하는 아이피 패킷 분석부; 획득된 상기 아이피 패킷의 목적지 값에 해쉬 함수를 적용하여 목적지 해쉬값을 생성하며, 생성된 상기 목적지 해쉬값을 기설정 개수의 비트(bits)로 이루어진 변수인 스캔 탐지값으로 변환하는 스캔 탐지값 생성부; 및 (i) 상기 변환된 스캔 탐지값 및 (ii) 소정의 시간 동안 수신되었던 적어도 하나의 아이피 패킷에 대응하여 획득된 과거 스캔 탐지값을 이용하여 스캔 탐지값의 통합 상태를 업데이트하며, 상기 업데이트된 통합 상태를 참조하여 상기 수신된 아이피 패킷이 스캔 공격인지를 판단하는 스캔 판단부; 를 포함하는 스캔 탐지 장치가 제공된다.
이 외에도, 본 발명의 방법을 실행하기 위한 컴퓨터 프로그램을 기록하기 위한 컴퓨터 판독 가능한 기록 매체가 더 제공된다.
본 발명은 발명은 해쉬값을 이용한 특정 비트의 변수인 스캔 탐지값을 통해 스캔을 판단하므로 종래에 비해 상대적으로 적은 메모리 용량으로 스캔 공격을 탐지할 수 있다.
또한, 본 발명은 해쉬값을 이용한 특정 비트의 변수인 스캔 탐지값을 통해 스캔을 판단하므로 비교 연산이 종래에 비하여 상대적으로 적어 스캔 공격 탐지를 빠른 속도로 할 수 있어 스캔 공격 탐지율을 증가시킬 수 있다.
도 1은 본 발명의 일 실시예에 따른 네트워크 스캔 탐지 장치를 적용한 네트워크 시스템을 개략적으로 도시한 것이고,
도 2는 본 발명의 일 실시예에 따른 네트워크 스캔 탐지 장치를 개략적으로 도시한 블록 구성도이고,
도 3은 본 발명의 일 실시예에 따른 네트워크 스캔 탐지 장치에서 스캔 탐지값을 생성하는 방법을 개략적으로 도시한 것이고,
도 4와 도 5는 본 발명의 일 실시예에 따른 네트워크 스캔 탐지 장치에서 스캔 공격을 판단하는 방법을 개략적으로 도시한 것이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 네트워크 스캔 탐지 장치를 적용한 네트워크 시스템을 개략적으로 도시한 것으로, 도 1을 참조하면, 시스템은 적어도 하나 이상의 호스트(200), 게이트웨이(gw), 및 스캔 탐지 장치(100)를 포함할 수 있다.
먼저, 본 발명의 일 실시예에 따르면, 네트워크는 유선 및 무선과 같은 그 통신 양태를 가리지 않고 구성될 수 있으며, 인터넷(World Wide Web), 공지의 WLAN(Wireless LAN), CDMA(Code Division Multiple Access), WCDMA(Wideband Code Division Multiple Access) 또는 GSM(Global System for Mobile communications) 네트워크 등을 모두 포함하는 개념인 것으로 이해되어야 한다.
다음으로, 호스트(200)는 네트워크에 접속하여 서로 통신할 수 있는 기능을 갖는 기기로서, 개인용 컴퓨터(예를 들어, 데스크탑 컴퓨터, 노트북 컴퓨터 등), 워크스테이션, 서버, PDA, 태플릿 컴퓨터, 스마트폰, 이동 전화기, IPTV 수신기 등과 같이 메모리 수단을 구비하고 마이크로 프로세서를 탑재하여 연산 능력을 갖춘 기기라면 얼마든지 본 발명에 따른 호스트(200)가 될 수 있다
다음으로, 게이트웨이(gw)는 네트워크에서 서로 다른 통신망, 프로토콜을 사용하는 네트워크 간의 통신을 가능하게 하는 것으로, 네트워크 간의 통로의 역할을 하는 장치이다. 또한, 게이트웨이(gw)는 서로 다른 네트워크 상의 통신 프로토콜(protocol, 통신규약)을 적절히 변환해주는 역할을 수행할 수 있다.
다음으로, 스캔 탐지 장치(100)는 호스트(200)와 네트워크 사이에 위치하거나, 게이트웨이(gw)에 위치할 수 있다.
또한, 스캔 탐지 장치(100)는 네트워크 스캔 탐지 장치 기능 외에, 예를 들어, 트래픽 제어 기능, 보안 기능, 네트워크 장치 관리 기능 등, 다른 기능들을 함께 수행할 수도 있다.
그리고, 스캔 탐지 장치(100)는 게이트웨이(gw)를 통해 호스트(200)들이 위치하는 네트워크로 전달되는 아이피 패킷을 분석하여 아이피 패킷의 목적지 값을 획득하고, 획득된 아이피 패킷의 목적지 값에 해쉬 함수를 적용하여 목적지 해쉬값을 생성하며, 생성된 목적지 해쉬값을 기설정 개수의 비트(bit)로 이루어진 변수인 스캔 탐지값으로 변환하고, 변환된 스캔 탐지값 및 소정의 시간 동안 수신되었던 적어도 하나의 아이피 패킷에 대응하여 획득된 과거 스캔 탐지값을 이용하여 스캔 탐지값의 통합 상태를 업데이트한 통합 상태를 참조하여 수신된 아이피 패킷이 스캔 공격인지를 판단할 수 있다.
도 2는 본 발명의 일 실시예에 따른 네트워크 스캔 탐지 장치(100)를 개략적으로 도시한 블록 구성도로, 도 2를 참조하면, 스캔 탐지 장치(100)는 아이피 패킷 분석부(110), 스캔 탐지값 생성부(120), 및 스캔 판단부(130)를 포함할 수 있다.
먼저, 아이피 패킷 분석부(110)는 네트워크로 전달되는 아이피 패킷이 수신되면, 수신된 아이피 패킷을 분석하여 아이피 패킷의 목적지 값을 획득할 수 있다. 이때, 아이피 패킷의 목적지 값은 아이피 패킷의 목적지 아이피 값 또는 목적지 포트 값일 수 있다. 즉, 아이피 패킷의 목적지 값은 아이피 패킷의 목적지 아이피 어드레스 또는 목적지 포트 어드레스일 수 있다.
또한, 아이피 패킷 분석부(110)는 수신된 아이피 패킷의 소스 값, 즉, 아이피 패킷의 소스 아이피 어드레스 또는 소스 포트 어드레스를 획득할 수 있다.
다음으로, 스캔 탐지 생성부(120)는 획득된 아이피 패킷의 목적지 값에 해쉬 함수를 적용하여 목적지 해쉬값을 생성하며, 생성된 목적지 해쉬값을 기설정 개수의 비트(bit)로 이루어진 변수인 스캔 탐지값으로 변환할 수 있다.
이때, 스캔 탐지값은 기설정 개수의 비트에 대응하여 기설정 개수의 비트가 32이면 32비트의 변수가 될 수 있으며, 기설정 개수의 비트가 64이면 64비트의 변수가 될 수 있다.
다음으로, 스캔 판단부(130)는 변환된 스캔 탐지값 및 소정의 시간 동안 수신되었던 적어도 하나의 아이피 패킷에 대응하여 획득된 과거 스캔 탐지값을 이용하여 스캔 탐지값의 통합 상태를 업데이트하며, 업데이트된 통합 상태를 참조하여 수신된 아이피 패킷이 스캔 공격인지를 판단할 수 있다.
이와 같이 구성된 본 발명의 일 실시예에 따른 스캔 탐지 장치(100)를 이용하여 네트워크 시스템에서 스캔 공격을 탐지하는 방법을 도 3 내지 도 5를 참조하여 설명하면 다음과 같다.
먼저, 게이트웨이(gw)를 통해 다수의 호스트(200)가 위치하는 네트워크로 아이피 패킷이 전송되면, 스캔 탐지 장치(100)의 아이피 패킷 분석부(110)는 호스트(200)로 전송되는 아이피 패킷을 분석하여 아이피 패킷의 목적지 값을 획득할 수 있다. 이때, 목적지 값은 아이피 패킷의 목적지 아이피 값인 목적지 아이피 어드레스 또는 아이피 패킷의 목적지 포트 값인 목적지 포트 어드레스일 수 있다. 그리고, 목적지 값은 아이피 패킷의 목적지 MAC 어드레스일 수 있다.
또한, 아이피 패킷 분석부(100)는 아이피 패킷을 분석하여 아이피 패킷의 소스 값, 즉, 아이피 패키의 소스 아이피 값인 소스 아이피 어드레스 또는 소스 포트 값인 소스 포트 어드레스일 수 있다. 그리고, 아이피 패킷의 소스 값은 소스 MAC 어드레스 일 수 있다.
그러면, 스캔 탐지값 생성부(120)은 획득된 목적지 값에 해쉬 함수를 적용하여 목적지 해쉬값을 생성한다. 일 예로, 32비트의 크기를 가지는 아이피 어드레스에 대하여 설정된 임의의 자리수를 가지는 정수값을 생성할 수 있다. 이때, 해쉬 함수는 특정 해쉬 알고리즘에 한정되지 않으며, MD5/MD4, SHA 등을 이용할 수 있다.
그리고, 도 3을 참조하면, 스캔 탐지값 생성부(120)는 생성된 목적지 해쉬값을 참조하여 기설정 개수의 비트로 이루어진 변수인 스캔 탐지값으로 변환할 수 있다.
일 예로, 스캔 탐지값이 도 3에서와 같이 64비트의 변수인 경우, 스탠 탐지값 생성부(120)는 목적지 해쉬값을 64로 나눈 나머지 값을 참조로 하여 목적지 해쉬값을 스캔 탐지값으로 변환할 수 있다. 뿐만 아니라, 스캔 탐지값을 32비트, 128비트, 256비트 등의 변수값으로 설정할 수도 있으며, 이럴 경우, 스캔 탐지값 생성부(120)는 목적지 해쉬값을 변수의 비트 개수인 32, 128, 256 등으로 나눈 나머지 값을 참조하여 목적지 해쉬값을 스캔 탐지값으로 변환할 수 있다. 이때, 변수의 설정 비트에 대응하여 특정 아이피 어드레스에서는 동일한 스캔 탐지값이 생성될 수도 있으나, 단 시간에 다수의 아이피 어드레스 또는 다수의 포트 어드레스를 스캔하는 스캔 공격의 특성상, 스캔 탐지값의 충돌에 의한 정확한 개수는 알 수 없으나 스캔 공격이 있었는지를 탐지하기에는 어려움이 없다.
또한, 스캔 탐지값 생성부(120)는 목적지 해쉬값을 기설정 비트의 개수로 나눈 나머지 값에 1을 더한 순번의 스캔 탐지값의 비트에 마킹, 일 예로, 해당 순번의 비트에 "1"의 값을 기록하여 목적지 해쉬값을 스캔 탐지값으로 변환할 수 있다. 즉, 도 3에서와 같이, 64비트의 스캔 탐지값인 경우, 목적지 해쉬값을 64로 나눈 나머지 값은 0에서부터 63가지가 되며, 이에 1을 더함으로써 64비트 스캔 탐지값의 1번째로부터 64번째까지의 순번의 비트 위치가 될 수 있다.
다음으로, 도 4를 참조하면, 스캔 탐지 장치(100)의 스캔 판단부(130)는 도 3에서와 같이 스캔 탐지값 생성부(120)에서 변환된 스캔 탐지값 및 소정의 시간 동안 수신되었던 적어도 하나의 아이피 패킷에 대응하여 획득된 과거 스캔 탐지값을 이용하여 스캔 탐지값의 통합 상태를 업데이트한다.
일 예로, 스캔 판단부(130)는 수신된 하나의 아이피 패킷에 대응하는 스캔 탐지값을 과거 스캔 탐지값(통합P)과 "OR 연산"을 함으로써 과건 스캔 탐지값(통합P)을 업데이트하며, 업데이트된 스캔 탐지값(통합 new)을 획득한다.
그리고, 도 5를 참조하면, 스캔 판단부(130)는 수신되는 모든 아이피 패킷에 대응하여 생성된 스캔 탐지값을 이용하여 스캔 탐지값을 업데이트하는 연산을 반복하며, 업데이트된 스캔 탐지값이 기설정된 임계치를 초과할 경우 해당 아이피 패킷을 스캔 공격으로 판단할 수 있다.
즉, 도 5에서와 같이, 업데이트된 스캔 탐지값에서 마크된 개수가 설정된 개수를 초과할 경우 스캔 공격으로 판단하게 된다.
이때, 스캔 판단부(130)는 해밍 웨이트(hamming weight) 알고리즘을 이용하여 업데이트된 스캔 탐지값에서 마크된 개수를 연산할 수 있다. 즉, 스캔 탐지값에서 "1"로 기록된 비트의 개수를 해밍 웨이트 알고리즘에 의해 용이하게 확인할 수 있으며, 확인된 개수가 설정값을 초과할 경우 스캔 공격으로 판단하게 된다.
또한, 스캔 판단부(130)는 기설정된 시간 범위 동안 게이트웨이를 통해 네트워크로 전달되는 아이피 패킷들을 이용하여 스캔 공격 여부를 판단할 수 있으며, 동일한 소스 값을 가지는 아이피 패킷들에 대응하는 상기 스캔 탐지값을 이용하여 상기 스캔 공격 여부를 판단할 수 있다.
즉, 스캔 판단부(130)는 기설정된 시간 범위 동안 동일한 소스 어드레스를 가지는 아이피 패킷이 네트워크 내의 설정된 개수 이상의 목적지 어드레스에 전달될 경우 해당 소스 어드레스를 가지는 아이피 패킷이 스캔 공격인 것으로 탐지할 수 있다.
또한, 이상 설명된 본 발명에 따른 실시예들은 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상에서 본 발명이 구체적인 구성요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나, 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명이 상기 실시예들에 한정되는 것은 아니며, 본 발명이 속하는 기술분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형을 꾀할 수 있다.
따라서, 본 발명의 사상은 상기 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등하게 또는 등가적으로 변형된 모든 것들은 본 발명의 사상의 범주에 속한다고 할 것이다.
100: 스캔 탐지 장치,
110: 아이피 패킷 분석부,
120: 스캔 탐지값 생성부,
130: 스캔 판단부,
gw: 게이트웨이,
200: 호스트

Claims (16)

  1. 네트워크에 대한 스캔 공격을 탐지하는 방법에 있어서,
    (a) 게이트웨이를 통해 상기 네트워크로 전달되는 아이피 패킷이 수신되면, 스캔 탐지 장치가, 상기 수신된 아이피 패킷을 분석하여 상기 아이피 패킷의 목적지 값을 획득하는 단계;
    (b) 상기 스캔 탐지 장치가, 획득된 상기 아이피 패킷의 목적지 값에 해쉬 함수를 적용하여 목적지 해쉬값을 생성하며, 생성된 상기 목적지 해쉬값을 기설정 개수의 비트(bit)로 이루어진 변수인 스캔 탐지값으로 변환하는 단계; 및
    (c) 상기 스캔 탐지 장치가, (i) 상기 변환된 스캔 탐지값 및 (ii) 소정의 시간 동안 수신되었던 적어도 하나의 아이피 패킷에 대응하여 획득된 과거 스캔 탐지값을 이용하여 스캔 탐지값의 통합 상태를 업데이트하며, 상기 업데이트된 통합 상태를 참조하여 상기 수신된 아이피 패킷이 스캔 공격인지를 판단하는 단계;
    를 포함하되,
    상기 스캔 탐지 장치는,
    상기 (b) 단계에서,
    상기 목적지 해쉬값을 상기 기설정 개수 값으로 나눈 나머지 값을 참조로 하여 상기 목적지 해쉬값을 상기 스캔 탐지값으로 변환하고,
    상기 (c) 단계에서,
    상기 변환된 스캔 탐지값과 상기 과거 스캔 탐지값을 "OR 연산"함으로써 상기 과거 스캔 탐지값을 업데이트하며,
    상기 업데이트된 스캔 탐지값에서의 마크 개수가 기설정된 임계치를 초과할 경우 상기 아이피 패킷을 스캔 공격으로 판단하는 것을 특징으로 하는 방법.
  2. 삭제
  3. 제1항에 있어서,
    상기 스캔 탐지 장치는,
    상기 목적지 해쉬값을 상기 기설정 개수 값으로 나눈 상기 나머지 값에 1을 더한 순번의 비트에 마킹하여 상기 목적지 해쉬값을 상기 스캔 탐지값으로 변환하는 것을 특징으로 하는 방법.
  4. 삭제
  5. 제1항에 있어서,
    상기 스캔 탐지 장치는,
    해밍 웨이트(hamming weight) 알고리즘을 이용하여 상기 업데이트된 스캔 탐지값에서의 마크 개수를 연산하는 것을 특징으로 하는 방법.
  6. 제1항에 있어서,
    상기 (c) 단계에서,
    상기 스캔 탐지 장치는,
    기설정된 시간 범위 동안 상기 게이트웨이를 통해 상기 네트워크로 전달되는 아이피 패킷들을 이용하여 상기 스캔 공격 여부를 판단하는 것을 특징으로 하는 방법.
  7. 제1항에 있어서,
    상기 스캔 탐지 장치는,
    상기 (a) 단계에서, 상기 수신된 아이피 패킷을 분석하여 상기 아이피 패킷의 소스 값과 상기 목적지 값을 획득하며,
    상기 (c) 단계에서, 동일한 상기 소스 값을 가지는 아이피 패킷들에 대응하는 상기 스캔 탐지값을 이용하여 상기 스캔 공격 여부를 판단하는 것을 특징으로 하는 방법.
  8. 제1항에 있어서,
    상기 목적지 값은, 상기 아이피 패킷의 목적지 아이피 값 또는 목적지 포트 값을 포함하는 것을 특징으로 하는 방법.
  9. 네트워크에 대한 스캔 공격을 탐지하는 스캔 탐지 장치에 있어서,
    게이트웨이를 통해 상기 네트워크로 전달되는 아이피 패킷이 수신되면, 상기 수신된 아이피 패킷을 분석하여 상기 아이피 패킷의 목적지 값을 획득하는 아이피 패킷 분석부;
    획득된 상기 아이피 패킷의 목적지 값에 해쉬 함수를 적용하여 목적지 해쉬값을 생성하며, 생성된 상기 목적지 해쉬값을 기설정 개수의 비트(bit)로 이루어진 변수인 스캔 탐지값으로 변환하는 스캔 탐지값 생성부; 및
    (i) 상기 변환된 스캔 탐지값 및 (ii) 소정의 시간 동안 수신되었던 적어도 하나의 아이피 패킷에 대응하여 획득된 과거 스캔 탐지값을 이용하여 스캔 탐지값의 통합 상태를 업데이트하며, 상기 업데이트된 통합 상태를 참조하여 상기 수신된 아이피 패킷이 스캔 공격인지를 판단하는 스캔 판단부;
    를 포함하되,
    상기 스캔 탐지값 생성부는,
    상기 목적지 해쉬값을 상기 기설정 개수 값으로 나눈 나머지 값을 참조로 하여 상기 목적지 해쉬값을 상기 스캔 탐지값으로 변환하고,
    상기 스캔 판단부는,
    상기 변환된 스캔 탐지값과 상기 과거 스캔 탐지값을 "or 연산"함으로써 상기 과거 스캔 탐지값을 업데이트하며,
    상기 업데이트된 스캔 탐지값에서의 마크 개수가 기설정된 임계치를 초과할 경우 상기 아이피 패킷을 스캔 공격으로 판단하는 것을 특징으로 하는 스캔 탐지 장치.
  10. 삭제
  11. 상기 제9항에 있어서,
    상기 스캔 탐지값 생성부는,
    상기 목적지 해쉬값을 상기 기설정 개수 값으로 나눈 상기 나머지 값에 1을 더한 순번의 비트에 마킹하여 상기 목적지 해쉬값을 상기 스캔 탐지값으로 변환하는 것을 특징으로 하는 스캔 탐지 장치.
  12. 삭제
  13. 제9항에 있어서,
    상기 스캔 판단부는,
    해밍 웨이트(hamming weight) 알고리즘을 이용하여 상기 업데이트된 스캔 탐지값에서의 마크 개수를 연산하는 것을 특징으로 하는 스캔 탐지 장치.
  14. 제9항에 있어서,
    상기 스캔 판단부는,
    기설정된 시간 범위 동안 상기 게이트웨이를 통해 상기 네트워크로 전달되는 아이피 패킷들을 이용하여 상기 스캔 공격 여부를 판단하는 것을 특징으로 하는 스캔 탐지 장치.
  15. 제9항에 있어서,
    상기 아이피 패킷 분석부는,
    상기 수신된 아이피 패킷을 분석하여 상기 아이피 패킷의 소스 값과 상기 목적지 값을 획득하며,
    상기 스캔 판단부는,
    동일한 상기 소스 값을 가지는 아이피 패킷들에 대응하는 상기 스캔 탐지값을 이용하여 상기 스캔 공격 여부를 판단하는 것을 특징으로 하는 스캔 탐지 장치.
  16. 제9항에 있어서,
    상기 목적지 값은, 상기 아이피 패킷의 목적지 아이피 값 또는 목적지 포트 값을 포함하는 것을 특징으로 하는 스캔 탐지 장치.
KR1020170000430A 2017-01-02 2017-01-02 네트워크 스캔 탐지 방법 및 장치 KR101774242B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020170000430A KR101774242B1 (ko) 2017-01-02 2017-01-02 네트워크 스캔 탐지 방법 및 장치
JP2017250871A JP6534438B2 (ja) 2017-01-02 2017-12-27 ネットワークスキャン探知方法及び装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170000430A KR101774242B1 (ko) 2017-01-02 2017-01-02 네트워크 스캔 탐지 방법 및 장치

Publications (1)

Publication Number Publication Date
KR101774242B1 true KR101774242B1 (ko) 2017-09-19

Family

ID=60033183

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170000430A KR101774242B1 (ko) 2017-01-02 2017-01-02 네트워크 스캔 탐지 방법 및 장치

Country Status (2)

Country Link
JP (1) JP6534438B2 (ko)
KR (1) KR101774242B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109873829A (zh) * 2019-03-06 2019-06-11 国网甘肃省电力公司电力科学研究院 一种基于二进制哈希表的活动ip主机数量统计方法

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114070613A (zh) * 2021-11-15 2022-02-18 北京天融信网络安全技术有限公司 一种识别漏洞扫描的方法、装置、设备及存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7779463B2 (en) * 2004-05-11 2010-08-17 The Trustees Of Columbia University In The City Of New York Systems and methods for correlating and distributing intrusion alert information among collaborating computer systems
JP4734223B2 (ja) * 2006-11-29 2011-07-27 アラクサラネットワークス株式会社 トラヒック分析装置および分析方法
KR101499666B1 (ko) * 2013-08-08 2015-03-06 주식회사 시큐아이 네트워크 스캔 탐지 방법 및 장치
WO2016151758A1 (ja) * 2015-03-24 2016-09-29 株式会社東芝 管理装置、プログラム、システム、機器、方法、情報処理装置およびサーバ

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109873829A (zh) * 2019-03-06 2019-06-11 国网甘肃省电力公司电力科学研究院 一种基于二进制哈希表的活动ip主机数量统计方法
CN109873829B (zh) * 2019-03-06 2021-07-30 国网甘肃省电力公司电力科学研究院 一种基于二进制哈希表的活动ip主机数量统计方法

Also Published As

Publication number Publication date
JP2018110391A (ja) 2018-07-12
JP6534438B2 (ja) 2019-06-26

Similar Documents

Publication Publication Date Title
US10999323B2 (en) Network gateway spoofing detection and mitigation
US10812524B2 (en) Method, and devices for defending distributed denial of service attack
US10666672B2 (en) Collecting domain name system traffic
US20080313738A1 (en) Multi-Stage Deep Packet Inspection for Lightweight Devices
CN113114694B (zh) 一种面向高速网络分组抽样数据采集场景的DDoS攻击检测方法
US20170034195A1 (en) Apparatus and method for detecting abnormal connection behavior based on analysis of network data
CN107454037B (zh) 网络攻击的识别方法和系统
US7506372B2 (en) Method and apparatus for controlling connection rate of network hosts
KR101980901B1 (ko) SVM-SOM 결합 기반 DDoS 탐지 시스템 및 방법
CN106357660B (zh) 一种ddos防御系统中检测伪造源ip的方法和装置
US9680832B1 (en) Using a probability-based model to detect random content in a protocol field associated with network traffic
KR101775325B1 (ko) Nat 장치를 탐지하기 위한 방법 및 장치
US20180034776A1 (en) Filtering data using malicious reference information
KR101774242B1 (ko) 네트워크 스캔 탐지 방법 및 장치
KR100818307B1 (ko) IPv6 공격 패킷 탐지장치 및 방법
Zhang et al. CMD: A convincing mechanism for MITM detection in SDN
US11178163B2 (en) Location spoofing detection using round-trip times
Basat et al. Volumetric hierarchical heavy hitters
Sengaphay et al. Creating snort-IDS rules for detection behavior using multi-sensors in private cloud
JPWO2017217247A1 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
US20180026993A1 (en) Differential malware detection using network and endpoint sensors
KR102182675B1 (ko) 기계학습을 이용한 무선 단말 식별 방법 및 시스템
KR101432266B1 (ko) Nat 장치를 탐지하기 위한 방법, 장치 및 컴퓨터 판독 가능한 기록 매체
US20210258333A1 (en) Computer networking with security features
KR101499666B1 (ko) 네트워크 스캔 탐지 방법 및 장치

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant