KR102080478B1 - 패턴 기반 색인 처리 시스템 및 이를 이용한 패턴 기반 색인 처리 방법 - Google Patents

패턴 기반 색인 처리 시스템 및 이를 이용한 패턴 기반 색인 처리 방법 Download PDF

Info

Publication number
KR102080478B1
KR102080478B1 KR1020190073261A KR20190073261A KR102080478B1 KR 102080478 B1 KR102080478 B1 KR 102080478B1 KR 1020190073261 A KR1020190073261 A KR 1020190073261A KR 20190073261 A KR20190073261 A KR 20190073261A KR 102080478 B1 KR102080478 B1 KR 102080478B1
Authority
KR
South Korea
Prior art keywords
packet data
metadata
pattern
memory
data
Prior art date
Application number
KR1020190073261A
Other languages
English (en)
Inventor
홍재완
박영진
Original Assignee
주식회사 쿼드마이너
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 쿼드마이너 filed Critical 주식회사 쿼드마이너
Priority to KR1020190073261A priority Critical patent/KR102080478B1/ko
Priority to PCT/KR2019/008860 priority patent/WO2020256210A1/ko
Priority to JP2020530464A priority patent/JP7391847B2/ja
Application granted granted Critical
Publication of KR102080478B1 publication Critical patent/KR102080478B1/ko
Priority to US15/930,177 priority patent/US11838196B2/en
Priority to US18/481,079 priority patent/US20240106730A1/en
Priority to US18/481,100 priority patent/US20240031270A1/en
Priority to JP2023198504A priority patent/JP2024009217A/ja
Priority to JP2023198503A priority patent/JP2024023381A/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 패턴 기반 색인 처리 시스템을 이용한 패턴 기반 색인 처리 방법에 관한 것으로서, (a) 패킷 데이터를 재조합하는 단계; (b) 재조합된 패킷 데이터에 대하여 어플리케이션 분석을 하는 단계; 및 (c) 상기 재조합 패킷 데이터의 메타데이터를 추출하여 색인화 하는 단계를 포함할 수 있다.

Description

패턴 기반 색인 처리 시스템 및 이를 이용한 패턴 기반 색인 처리 방법{Pattern-based indexing system and pattern-based indexing method using the same}
본 발명은 패턴 기반 색인 처리 시스템 및 이를 이용한 패턴 기반 색인 처리 방법에 관한 것이다.
정보통신(IT) 기기 뿐 아니라 집, 자동차, 도시, 공장 등 모든 사물이 초고속 네트워크로 연결되는 시대에 해킹이나 사이버테러가 일어나면 그 파급력은 상상을 초월한다. 이에 따라 많은 기업들이 네트워크 보안 강화에 많은 노력을 기울이고 있다.
그러나, 해킹 공격은 날이 갈수록 다양해지고 있으며, 공격 인지 난이도도 점차 증가하는 것이 현실이다. 이에 따라 해킹 공격에 대한 전체 흐름을 파악하고, 신속한 패킷 분석을 통하여 해커의 공격을 빠르게 인지할 수 있는 기술이 요구되고 있다.
99% 해킹 시도가 수일 이내에 침해사고를 발생하고, 이 중 85%는 데이터 유출이 발생되며, 85%의 해킹사고를 발견되기까지 수 주일 이상의 시간이 소요되기 때문에, 신속한 패킷 분석을 통한 해커의 공격 인지 시간 단축에 대한 많은 연구가 진행되어 왔다.
또한, 초고속 대용량 트래픽을 저장하고 분석하기 위해서는 빠른 I/O 성능이 필요하고, 이를 위해 고속 스토리지를 사용하게 되면, 제품 원가 가격이 상승하게 되는 문제점이 발생된다. 고속 스토리지를 사용하지 않고도, 초고속 대용량 트래픽에서 데이터의 유실 없이 패킷을 수집하고 저장하며, 다양한 공격 시나리오 및 환경에 대응하기 위한 데이터 분석할 수 있는 기술 또한 요구되고 있다.
본 발명의 기술적 사상에 따른 패턴 기반 색인 처리 시스템 및 패턴 기반 색인 처리 방법이 이루고자 하는 기술적 과제는, 실시간으로 색인 처리를 할 수 있는 패턴 기반 색인 처리 시스템 및 패턴 기반 색인 처리 방법을 제공하는 것이다.
본 발명의 기술적 사상에 따른 패턴 기반 색인 처리 시스템 및 패턴 기반 색인 처리 방법이 이루고자 하는 다른 기술적 과제는, 다양한 공격 시나리오 및 환경에 대응하기 위해 사용자 정의 색인 데이터를 생성할 수 있는 패턴 기반 색인 처리 시스템 및 패턴 기반 색인 처리 방법을 제공하는 것이다.
본 발명의 기술적 사상에 따른 패턴 기반 색인 처리 시스템 및 패턴 기반 색인 처리 방법이 이루고자 하는 다른 기술적 과제는, 문제가 되는 시점의 데이터를 사용자가 지정하여 재색인할 수 있도록 하는 패턴 기반 색인 처리 시스템 및 패턴 기반 색인 처리 방법을 제공하는 것이다.
본 발명의 기술적 사상에 따른 패턴 기반 색인 처리 시스템 및 패턴 기반 색인 처리 방법이 이루고자 하는 다른 기술적 과제는, 시나리오 분석을 위한 어플리케이션, 메타데이터, 사용자 정의 패턴 분류를 할 수 있는 패턴 기반 색인 처리 시스템 및 패턴 기반 색인 처리 방법을 제공하는 것이다.
본 발명의 기술적 사상에 따른 패턴 기반 색인 처리 시스템 및 패턴 기반 색인 처리 방법이 이루고자 하는 기술적 과제는 이상에서 언급한 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제는 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
본 발명의 기술적 사상에 의한 일 실시예에 따른, 패턴 기반 색인 처리 시스템을 이용한 패턴 기반 색인 처리 방법은, (a) 패킷 데이터를 재조합하는 단계; (b) 재조합된 패킷 데이터에 대하여 어플리케이션 분석을 하는 단계; 및 (c) 상기 재조합 패킷 데이터의 메타데이터를 추출하여 색인화 하는 단계를 포함할 수 있다.
상기 (a) 단계는 TCP헤더 정보를 기반으로 패킷 데이터를 재조합하는 단계를 포함할 수 있다.
상기 (b) 단계에서 상기 재조합된 패킷 데이터를 RFC 규격을 기준으로 어플리케이션을 판단하는 단계를 포함할 수 있다.
상기 재조합된 패킷 데이터가 RFC 규격의 어플리케이션에 의해 생성된 데이터인 경우에, 상기 (c) 단계에서 상기 재조합된 패킷 데이터를 RFC 규격을 기준으로 메타데이터를 추출하는 단계를 포함할 수 있다.
상기 (b) 단계에서 상기 재조합된 패킷 데이터를 사용자 정의 규격을 기준으로 어플리케이션을 판단하는 단계를 포함할 수 있다.
상기 재조합된 패킷 데이터가 사용자 정의 규격의 어플리케이션에 의해 생성된 데이터인 경우에, 상기 (c) 단계에서 상기 재조합된 패킷 데이터를 사용자 정의 규격을 기준으로 메타데이터를 추출하는 단계를 포함할 수 있다.
상기 패턴 기반 색인 처리 방법은 상기 (a) 단계는 네트워크를 통해 전송되는 데이터 트래픽으로부터 패킷 데이터를 수집하는 단계; 상기 수집된 패킷 데이터를 소정 기록 주기 시간동안 메모리에 기록하는 단계; 상기 수집된 패킷 데이터에서 메타데이터를 추출하여 상기 소정 기록 주기 시간동안 메모리에 기록하는 단계; 및 상기 소정 기록 주기가 경과하면, 상기 기록된 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 저장부에 저장하는 단계; 상기 소정 기록 주기 단위로 저장된 패킷 데이터를 재조합하는 단계를 포함할 수 있다.
상기 (a) 단계는 상기 저장부 저장 단계 후에, 상기 패킷 데이터와 상기 메타데이터가 기록된 메모리가 반환되는 단계를 포함할 수 있다.
상기 저장부는 로컬 디스크를 포함하며, 상기 (a) 단계는 네트워크 속도가 소정 기준 이하인 경우에 상기 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 상기 로컬 디스크에 직접 저장하는 단계를 포함할 수 있다.
상기 저장부는 복수 개의 확장 노드들을 포함하며, 상기 (a) 단계는 네트워크 속도가 소정 기준을 초과하는 경우에 상기 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 복수개의 확장 노드들에 분산 저장하는 단계를 포함할 수 있다.
본 발명의 기술적 사상에 의한 실시예들에 따른 패턴 기반 색인 처리 시스템 및 패턴 기반 색인 처리 방법은 하기와 같은 효과를 가진다.
(1) 실시간으로 색인 처리를 할 수 있는 패턴 기반 색인 처리 기술을 제공할 수 있다.
(2) 다양한 공격 시나리오 및 환경에 대응하기 위해 사용자 정의 색인 데이터를 생성할 수 있는 기술을 제공할 수 있다.
(3) 문제가 되는 시점의 데이터를 사용자가 지정하여 재색인할 수 있도록 하는 기술을 제공할 수 있다.
(4) 시나리오 분석을 위한 어플리케이션, 메타데이터, 사용자 정의 패턴 분류를 할 수 있는 기술을 제공할 수 있다.
다만, 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 시스템 및 패턴 기반 색인 처리 방법이 달성할 수 있는 효과는 이상에서 언급한 것들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
본 명세서에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법이 포함된 해킹 공격 인지 및 원인 분석 성능 향상 방법의 개략적인 순서도이다.
도 2는 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 시스템에서 패킷 데이터를 저장하는 구성을 개략적으로 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법에서 패킷 데이터를 저장하는 구성을 개략적으로 도시한 도면이다.
도 4는 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법을 종래의 패턴 기반 색인 처리 방법과 대비하여 개략적으로 도시한 도면이다.
도 5는 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법을 개략적으로 도시한 도면이다.
도 6은 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법을 개략적으로 도시한 흐름도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고, 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명은 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제 1, 제 2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.
또한, 본 명세서에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.
또한, 본 명세서에서 '~부'로 표현되는 구성요소는 2개 이상의 구성요소가 하나의 구성요소로 합쳐지거나 또는 하나의 구성요소가 보다 세분화된 기능별로 2개 이상으로 분화될 수도 있다. 또한, 이하에서 설명할 구성요소 각각은 자신이 담당하는 주기능 이외에도 다른 구성요소가 담당하는 기능 중 일부 또는 전부의 기능을 추가적으로 수행할 수도 있으며, 구성요소 각각이 담당하는 주기능 중 일부 기능이 다른 구성요소에 의해 전담되어 수행될 수도 있음은 물론이다.
이하, 본 발명의 기술적 사상에 의한 실시예들을 차례로 상세히 설명한다.
도 1은 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법이 포함된 해킹 공격 인지 및 원인 분석 성능 향상 방법의 개략적인 순서도이다.
해킹의 공격 방식이 다양해지고 복잡해짐에 따라 패킷 분석 및 인지에 많은 시간과 비용이 발생하고 있다. 이를 해결하기 위한 방안으로 3가지 문제점의 해결이 필요하다.
첫번째로 공격의 복잡성 증가에 따라 패킷 분석 난이도가 증가하게 되고, 두번째로, 사건 발생시의 이벤트성 로그만이 아닌 공격을 위한 사전 행위부터 공격까지 전반적인 대용량 패킷의 분석이 필요하며, 세번째로 초고속 네크워크 망의 수집 및 분석이 어려운 문제점이 해결되어야만 한다.
이를 위해 도 1에 도시된 바와 같은 고성능 패킷 스트림 저장 기술, 패턴 기반 색인 처리 기술 및 시나리오 중심 실시간 공격 감지 기술이 개발되었으며, 본 명세서에서는 고성능 패킷 스트림 저장 기술 및 패턴 기반 색인 처리 방법을 개시한다.
도 2는 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 시스템에서 패킷 데이터를 저장하는 구성을 개략적으로 도시한 도면이다. 도 3은 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법에서 패킷 데이터를 저장하는 구성을 개략적으로 도시한 도면이다.
본 발명의 일 실시예에 따른 패턴 기반 색인 처리 시스템은 패킷 스트림 저장 시스템(100)을 포함할 수 있다. 패킷 스트림 저장 시스템(100)은 데이터 관리 모듈(DAM; Data Access Module)(110), 메모리부(120), 저장부(130), 저장 관리 모듈(140) 및 메모리 관리 모듈(DMM; Data Memory Module)(150)을 포함할 수 있다.
저장부(130)는 로컬 디스크(132) 및/또는 원격지의 복수개의 확장 노드(134)들을 포함할 수 있으며, 저장 관리 모듈(140)은 디스크 관리 모듈(DIM; Disk Interface Module)(142) 및/또는 데이터 분산 관리 모듈(DDM; Data Distributed Module)(144)을 포함할 수 있다.
네트워크는 인트라넷과 인터넷을 연결하며, 네트워크를 통해 대용량의 데이터가 초고속으로 전송될 수 있다. 데이터 관리 모듈(110)은 네트워크 패킷 데이터 수집, 파싱 및 메모리 기록을 하는 장치로서, 네트워크를 통해 전송되는 데이터 트래픽으로부터 패킷 데이터를 실시간으로 수집할 수 있다(S1110).
데이터 관리 모듈(110)은 패킷 수집량이 수집 설정값을 초과하는지 여부를 체크하며(S1120), 패킷 수집량이 수집 설정값 이하인 경우에는 실시간으로 수집된 패킷 데이터를 메모리부(120)에 확보된 메모리 영역에 바로 기록할 수 있다(S1130).
만일, 데이터 관리 모듈(110)의 패킷 수집량이 수집 설정값을 초과하는 경우에는, 데이터 관리 모듈(110)은 초과된 양의 패킷 데이터를 위한 추가 메모리를 메모리부(120)에서 선행하여 확보하고, 수집 설정값을 재조정할 수 있다(S1140).
이와 함께, 데이터 관리 모듈(110)은 수집된 패킷 데이터에서 메타데이터를 추출하고, 메모리부(120)에 확보된 메모리 영역에 기록할 수 있다. 메타데이터는 출발지 IP, 출발지 포트, 목적지 IP, 목적지 포트, 프로토콜 등을 포함할 수 있다.
데이터 관리 모듈(110)은 패킷 IP/포트 분석을 수행하고(S1150), TCP/UDP 패킷 분석(S1160)을 할 수 있으나, 이에 한정되는 것은 아니며, 패킷 IP/포트 분석 및 TCP/UDP 패킷 분석 중 어느 하나만이 수행될 수도 있다.
데이터 관리 모듈(110)은 추출된 메타데이터로부터 예외 정보를 필터링하여 예외 정보에 대응되는 패킷 원본을 메모리 기록 대상에서 제외시킬 수 있다(S1170). 여기서 예외 정보는 개인 정보, 특정인이 전송하는 정보, 특정 IP와 관련된 정보 등이 될 수 있다.
수집된 패킷 데이터와 추출된 메타데이터는 소정 기록 주기 동안 메모리부(120)의 메모리 영역에 기록된 후에(S1180), 저장 관리 모듈(140)에 의해 저장부(130)에 저장될 수 있다. 예를 들어, 수집된 패킷 데이터와 추출된 메타데이터는 1분간 메모리부(120)의 메모리에 기록될 수 있으며, 이렇게 1분간 기록된 패킷 데이터와 메타데이터는 취합되어 1분 단위로 저장부(130)에 데이터베이스화되어 저장될 준비를 하게 된다(S1190). 저장 관리 모듈(140)은 패킷 데이터와 메타데이터를 메모리부(120)로부터 저장부(130)에 저장시켜 데이터베이스화할 수 있다.
저장 관리 모듈(140)은 패킷 데이터와 메타데이터를 로컬 디스크(132)에 저장할지, 확장 노드(134)들에 분산 저장할지 여부를 선택하게 된다(S1200).
네트워크 속도가 소정 기준 이하인 경우에는 디스크 관리 모듈(142)이 패킷 데이터와 메타데이터를 메모리부(120)로부터 로컬 디스크(132)에 직접 저장할 수 있다(S1210). 디스크 관리 모듈(142)은 OS을 거치지 않고 로컬 디스크(132)에 직접 접근하므로, 가장 빠르게 패킷 데이터와 메타데이터를 로컬 디스크(142)에 저장할 수 있다. 패킷 데이터와 메타데이터는 소정 기록 주기 단위(예를 들어 1분 단위)로 로컬 디스크(132)에 기록되게 된다.
네트워크 속도가 소정 기준을 초과하는 경우에는 데이터 분산 관리 모듈(144)이 패킷 데이터와 메타데이터를 메모리부(120)로부터 확장 노드(134)들에 분산 저장할 수 있다(S1220). 분산 저장 방식은 대규모의 구조화된 데이터를 여러 부분으로 나눈 다음, 분산해 저장 및 관리하는 방식으로서, 공지의 분산 저장 방식이 사용될 수 있다.
이러한 구성으로 인해, 네트워크의 속도가 초고속이 되어도, 저장부의 하드웨어 성능을 높이지 않으면서도 데이터의 유실없이 모두 저장이 가능하게 된다.
도 3에 도시된 바와 같이, 패킷 데이터와 메타데이터는 데이터베이스화되어 저장부(130)에 저장되며, 메타데이터는 패킷 데이터를 요약한 정보로서 데이터에 대한 빠른 정보 검색을 위해 사용되며, 패킷 데이터는 해킹 여부 분석을 위한 원본 데이터로서 사용된다.
메모리 관리 모듈(150)은 패킷 저장 및 분석에 사용된 메모리 영역을 관리하며, 패킷 데이터와 메타데이터가 메모리부(120)로부터 저장부(130)에 저장되고 나면, 메모리 관리 모듈(150)이 패킷 데이터와 메타데이터가 기록되었던 메모리부(120)의 메모리 영역을 반환시킬 수 있다(S1230).
도 4는 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법을 종래의 패턴 기반 색인 처리 방법과 대비하여 개략적으로 도시한 도면이다.
종래의 색인 방식은 대용량 패킷 데이터를 정해진 시간에 정해진 패턴을 색인 처리하는 방식이었다. 즉, 대용량 패킷 데이터를 어플리케이션 분석 기본 모듈에서 분석을 하고, 이를 바탕으로 메타데이터 추출 모듈이 메타데이터를 추출하는 구성이었다.
반면에 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법은 다양한 공격 시나리오 및 환경에 대응하기 위해 사용자 정의 색인 데이터를 생성할 수 있도록 하며, 색인 처리는 실시간 색인 처리 뿐 아니라 문제가 되는 시점의 데이터를 사용자가 지정하여 재색인하는 기능을 제공할 수 있다.
즉, 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법은 패턴 기반 사용자 정의 색인 관리 인터페이스가 패킷 데이터에 사용자 패턴 색인 처리를 할 수 있고, 어플리케이션 기본 모듈에 어플리케이션 패턴을 추가할 수도 있으며, 메타데이터 추출 모듈에 메타데이터 패턴을 추가할 수도 있다. 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법은 저장부에 저장된 패킷 데이터를 분석하므로, 종래의 정해진 시간에 전해진 패턴을 색인 처리하는 방식 외에 필요한 시간에 필요한 패턴을 색인 처리할 수 있게 된다.
도 5는 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법을 개략적으로 도시한 도면이다. 도 6은 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법을 개략적으로 도시한 흐름도이다.
본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법은 시나리오 기반의 다양한 패턴을 정의하고 세션(session)기반의 패킷을 패턴에 맞게 분류 및 재정의하여 다양한 해킹 시도를 분석할 수 있다.
본 발명의 일 실시예에 따른 패턴 기반 색인 처리 시스템은 데이터 재조합 모듈, 어플리케이션 분석 모듈 및 메타데이터 추출 모듈을 포함할 수 있다.
저장부(130)에 소정 기록 주기 단위로 저장된 패킷 데이터들은 색인 작업을 위해 재조합 모듈에 의해 재조합될 수 있다. 재조합 모듈은 저장부(130)에 저장된 패킷 데이터들의 TCP 헤더 정보를 기반으로 저장부(130)에 저장되어 있던 패킷 데이터들을 재조합한다(S2110).
이렇게 재조합된 패킷 데이터를 바탕으로 어플리케이션 분석 모듈은 어플리케이션 분석을 시작한다(S2120). 어플리케이션 분석 모듈은 패킷 데이터가 어떠한 종류의 어플리케이션에 의해 생성된 데이터인지를 판단한다.
어플리케이션 분석 모듈은 재조합된 패킷 데이터를 RFC 규격을 기준으로 어플리케이션을 판단할 수 있으며(S2130), RFC 규격에 정의되지 않은 어플리케이션을 판단하기 위하여 사용자가 정의한 룰을 사용할 수 있다(S2140).
이러한 방식으로, 재조합된 패킷 데이터를 생성한 어플리케이션이 확인되면(S2150), 메타데이터 추출 모듈은 재조합된 패킷 데이터로부터 메타데이터를 추출할 수 있다(S2160). 패킷 데이터가 RFC 규격에 정의된 어플리케이션에 의해 생성된 경우에는, 메타데이터가 RFC 표준 규격을 기반으로 추출될 수 있고(S2170), RFC 규격에 정의되지 않은 어플리케이션에 의해 생성된 패킷 데이터에 대해서는 사용자가 정의한 룰에 따라서 메타데이터를 추출될 수 있다(S2180).
어플리케이션 분석 모듈이 어플리케이션을 판단하기 위하여 사용하는 사용자 정의 룰과 메타데이터 추출 모듈이 메타데이터를 추출하기 위하여 사용하는 사용자 정의 룰은 패턴 기반 사용자 정의 색인 관리 인터페이스에 의해 정의될 수 있다.
메타데이터 추출 모듈은 이렇게 추출된 메타데이터를 색인화 작업을 하여 최종적으로 색인화를 하게 된다(S2180).
도 5에 도시된 바와 같이, 메타데이터는 어플리케이션 별로 추출되고, 색인화 될 수 있다. 예를 들어, 어플리케이션이 HTTP인 것으로 확인되면, 추출된 메타데이터는 URL, 웹정보, 첨부파일 등으로 색인화될 수 있으며, 어플리케이션이 FTP인 것으로 확인되면, 추출된 메타데이터는 로그인 아이디, 서버 아이디, 첨부파일 등으로 색인화될 수 있으며, 어플리케이션이 SMTP인 것으로 확인되면, 추출된 메타데이터는 보낸 사람, 받는 사람, 첨부파일 등으로 색인화 될 수 있으며, 어플리케이션이 DNS인 것으로 확인되면, 추출된 메타데이터는 도메인 쿼리, 서버 쿼리 등으로 색인화될 수 있으며, 어플리케이션이 SSL인 것으로 확인되면, 추출된 메타데이터는 서버인증서, URL, 서비스정보 등으로 색인화될 수 있다. 또한, 사용자 정의 룰에 의해 정의된 어플리케이션으로 확인되면, 추출된 메타데이터는 그에 맞게 정의된 형태로 색인화될 수 있다.
메타데이터 추출 모듈은 하나의 어플리케이션 색인마다 다양한 메타데이터 색인을 결합시킬 수 있게 된다.
이상 본 명세서에서 설명한 기능적 동작과 본 주제에 관한 실시형태들은 본 명세서에서 개시한 구조들 및 그들의 구조적인 등가물을 포함하여 디지털 전자 회로나 컴퓨터 소프트웨어, 펌웨어 또는 하드웨어에서 혹은 이들 중 하나 이상의 조합에서 구현 가능하다.
본 명세서에서 기술하는 주제의 실시형태는 하나 이상의 컴퓨터 프로그램 제품, 다시 말해 데이터 처리 장치에 의한 실행을 위하여 또는 그 동작을 제어하기 위하여 유형의 프로그램 매체 상에 인코딩되는 컴퓨터 프로그램 명령에 관한 하나 이상의 모듈로서 구현될 수 있다. 유형의 프로그램 매체는 전파형 신호이거나 컴퓨터로 판독 가능한 매체일 수 있다. 전파형 신호는 컴퓨터에 의한 실행을 위하여 적절한 수신기 장치로 전송하기 위한 정보를 인코딩하기 위하여 생성되는 예컨대 기계가 생성한 전기적, 광학적 혹은 전자기 신호와 같은 인공적으로 생성된 신호이다. 컴퓨터로 판독 가능한 매체는 기계로 판독 가능한 저장장치, 기계로 판독 가능한 저장 기판, 메모리 장치, 기계로 판독 가능한 전파형 신호에 영향을 미치는 물질의 조합 혹은 이들 중 하나 이상의 조합일 수 있다.
컴퓨터 프로그램(프로그램, 소프트웨어, 소프트웨어 어플리케이션, 스크립트 혹은 코드로도 알려져 있음)은 컴파일되거나 해석된 언어나 선험적 혹은 절차적 언어를 포함하는 프로그래밍 언어의 어떠한 형태로도 작성될 수 있으며, 독립형 프로그램이나 모듈, 컴포넌트, 서브루틴 혹은 컴퓨터 환경에서 사용하기에 적합한 다른 유닛을 포함하여 어떠한 형태로도 전개될 수 있다.
컴퓨터 프로그램은 파일 시스템의 파일에 반드시 대응하는 것은 아니다. 프로그램은 요청된 프로그램에 제공되는 단일 파일 내에, 혹은 다중의 상호 작용하는 파일(예컨대, 하나 이상의 모듈, 하위 프로그램 혹은 코드의 일부를 저장하는 파일) 내에, 혹은 다른 프로그램이나 데이터를 보유하는 파일의 일부(예컨대, 마크업 언어 문서 내에 저장되는 하나 이상의 스크립트) 내에 저장될 수 있다.
컴퓨터 프로그램은 하나의 사이트에 위치하거나 복수의 사이트에 걸쳐서 분산되어 통신 네트워크에 의해 상호 접속된 다중 컴퓨터 또는 하나의 컴퓨터 상에서 실행되도록 전개될 수 있다.
부가적으로, 본 명세서에서 기술하는 논리 흐름과 구조적인 블록도는 개시된 구조적인 수단의 지원을 받는 대응하는 기능과 단계의 지원을 받는 대응하는 행위 및/또는 특정한 방법을 기술하는 것으로, 대응하는 소프트웨어 구조와 알고리즘과 그 등가물을 구축하는 데에도 사용 가능하다.
본 명세서에서 기술하는 프로세스와 논리 흐름은 입력 데이터 상에서 동작하고 출력을 생성함으로써 기능을 수행하기 위하여 하나 이상의 컴퓨터 프로그램을 실행하는 하나 이상의 프로그래머블 프로세서에 의하여 수행 가능하다.
컴퓨터 프로그램의 실행에 적합한 프로세서는, 예컨대 범용 및 특수 목적의 마이크로프로세서 양자 및 어떤 종류의 디지털 컴퓨터의 어떠한 하나 이상의 프로세서라도 포함한다. 일반적으로, 프로세서는 읽기 전용 메모리나 랜덤 액세스 메모리 혹은 양자로부터 명령어와 데이터를 수신할 것이다.
컴퓨터의 핵심적인 요소는 명령어와 데이터를 저장하기 위한 하나 이상의 메모리 장치 및 명령을 수행하기 위한 프로세서이다. 또한, 컴퓨터는 일반적으로 예컨대 자기, 자기광학 디스크나 광학 디스크와 같은 데이터를 저장하기 위한 하나 이상의 대량 저장 장치로부터 데이터를 수신하거나 그것으로 데이터를 전송하거나 혹은 그러한 동작 둘 다를 수행하기 위하여 동작가능 하도록 결합되거나 이를 포함할 것이다. 그러나, 컴퓨터는 그러한 장치를 가질 필요가 없다.
본 기술한 설명은 본 발명의 최상의 모드를 제시하고 있으며, 본 발명을 설명하기 위하여, 그리고 당업자가 본 발명을 제작 및 이용할 수 있도록 하기 위한 예를 제공하고 있다. 이렇게 작성된 명세서는 그 제시된 구체적인 용어에 본 발명을 제한하는 것이 아니다.
따라서, 상술한 예를 참조하여 본 발명을 상세하게 설명하였지만, 당업자라면 본 발명의 범위를 벗어나지 않으면서도 본 예들에 대한 개조, 변경 및 변형을 가할 수 있다. 요컨대 본 발명이 의도하는 효과를 달성하기 위해 도면에 도시된 모든 기능 블록을 별도로 포함하거나 도면에 도시된 모든 순서를 도시된 순서 그대로 따라야만 하는 것은 아니며, 그렇지 않더라도 얼마든지 청구항에 기재된 본 발명의 기술적 범위에 속할 수 있다는 점을 밝힌다.
110: 데이터 관리 모듈
120: 메모리부
130: 저장부
140: 저장 관리 모듈
150: 메모리 관리 모듈

Claims (10)

  1. 패턴 기반 색인 처리 시스템을 이용한 패턴 기반 색인 처리 방법에 있어서,
    (a) 패킷 데이터들을 재조합하는 단계;
    (b) 재조합된 패킷 데이터에 대하여 어플리케이션 분석을 하는 단계; 및
    (c) 상기 재조합된 패킷 데이터의 메타데이터를 추출하여 색인화 하는 단계를 포함하되,
    상기 (a) 단계는
    네트워크를 통해 전송되는 데이터 트래픽으로부터 패킷 데이터를 수집하는 단계;
    상기 수집된 패킷 데이터를 소정 기록 주기 단위로 메모리에 기록하는 단계;
    상기 수집된 패킷 데이터에서 메타데이터를 추출하여 상기 소정 기록 주기 단위로 메모리에 기록하는 단계; 및
    상기 소정 기록 주기가 경과하면, 상기 기록된 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 로컬 디스크 또는 복수 개의 확장 노드들에 저장하되, 네트워크 속도가 소정 기준 이하인 경우에 상기 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 OS를 거치지 않고 상기 로컬 디스크에 직접 저장하고, 네트워크 속도가 소정 기준을 초과하는 경우에 상기 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 복수 개의 확장 노드들에 분산 저장하는 단계;
    상기 소정 기록 주기 단위로 저장된 패킷 데이터를 재조합하는 단계를 포함하는 것을 특징으로 하는 패턴 기반 색인 처리 방법.
  2. 제 1 항에 있어서, 상기 (a) 단계는 TCP헤더 정보를 기반으로 패킷 데이터를 재조합하는 단계를 포함하는 것을 특징으로 하는 패턴 기반 색인 처리 방법.
  3. 제 1 항에 있어서, 상기 (b) 단계에서
    상기 재조합된 패킷 데이터를 RFC 규격을 기준으로 어플리케이션을 판단하는 단계를 포함하는 것을 특징으로 하는 패턴 기반 색인 처리 방법.
  4. 제 3 항에 있어서,
    상기 재조합된 패킷 데이터가 RFC 규격의 어플리케이션에 의해 생성된 데이터인 경우에, 상기 (c) 단계에서
    상기 재조합된 패킷 데이터를 RFC 규격을 기준으로 메타데이터를 추출하는 단계를 포함하는 것을 특징으로 하는 패턴 기반 색인 처리 방법.
  5. 제 1 항에 있어서, 상기 (b) 단계에서
    상기 재조합된 패킷 데이터를 사용자 정의 규격을 기준으로 어플리케이션을 판단하는 단계를 포함하는 것을 특징으로 하는 패턴 기반 색인 처리 방법.
  6. 제 5 항에 있어서,
    상기 재조합된 패킷 데이터가 사용자 정의 규격의 어플리케이션에 의해 생성된 데이터인 경우에, 상기 (c) 단계에서
    상기 분석된 패킷 데이터를 사용자 정의 규격을 기준으로 메타데이터를 추출하는 단계를 포함하는 것을 특징으로 하는 패턴 기반 색인 처리 방법.
  7. 삭제
  8. 제 1 항에 있어서, 상기 (a) 단계는
    상기 로컬 디스크 또는 복수 개의 확장 노드들의 저장 단계 후에, 상기 패킷 데이터와 상기 메타데이터가 기록된 메모리가 반환되는 단계를 포함하는 것을 특징으로 하는 패턴 기반 색인 처리 방법.
  9. 삭제
  10. 삭제
KR1020190073261A 2019-06-20 2019-06-20 패턴 기반 색인 처리 시스템 및 이를 이용한 패턴 기반 색인 처리 방법 KR102080478B1 (ko)

Priority Applications (8)

Application Number Priority Date Filing Date Title
KR1020190073261A KR102080478B1 (ko) 2019-06-20 2019-06-20 패턴 기반 색인 처리 시스템 및 이를 이용한 패턴 기반 색인 처리 방법
PCT/KR2019/008860 WO2020256210A1 (ko) 2019-06-20 2019-07-18 네트워크 포렌식 시스템 및 이를 이용한 네트워크 포렌식 방법
JP2020530464A JP7391847B2 (ja) 2019-06-20 2019-07-18 ネットワークフォレンジックシステム及びこれを用いたネットワークフォレンジック方法
US15/930,177 US11838196B2 (en) 2019-06-20 2020-05-12 Network forensic system and method
US18/481,079 US20240106730A1 (en) 2019-06-20 2023-10-04 Network Forensic System and Method
US18/481,100 US20240031270A1 (en) 2019-06-20 2023-10-04 Network Forensic System and Method
JP2023198504A JP2024009217A (ja) 2019-06-20 2023-11-22 ネットワークフォレンジック方法
JP2023198503A JP2024023381A (ja) 2019-06-20 2023-11-22 ネットワークフォレンジック方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190073261A KR102080478B1 (ko) 2019-06-20 2019-06-20 패턴 기반 색인 처리 시스템 및 이를 이용한 패턴 기반 색인 처리 방법

Publications (1)

Publication Number Publication Date
KR102080478B1 true KR102080478B1 (ko) 2020-02-24

Family

ID=69637258

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190073261A KR102080478B1 (ko) 2019-06-20 2019-06-20 패턴 기반 색인 처리 시스템 및 이를 이용한 패턴 기반 색인 처리 방법

Country Status (1)

Country Link
KR (1) KR102080478B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220167034A (ko) * 2021-06-11 2022-12-20 주식회사 시큐다임 정보 유출 모니터링 서버 및 방법
KR20230142957A (ko) 2022-04-04 2023-10-11 주식회사 쿼드마이너 고속 패킷 검색 방법 및 장치

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150264072A1 (en) * 2013-03-14 2015-09-17 General Dynamics Advanced Information Systems System and Method for Extracting and Preserving Metadata for Analyzing Network Communications
KR20150145049A (ko) * 2014-06-18 2015-12-29 주식회사 지아이비코리아 트래픽 저장 장치 및 방법, 그리고 컴퓨터로 판독 가능한 기록 매체
KR20160085593A (ko) * 2015-01-08 2016-07-18 주식회사 윈스 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법 및 장치
US20170289180A1 (en) * 2016-03-31 2017-10-05 Fortinet, Inc. Filtering of metadata signatures

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150264072A1 (en) * 2013-03-14 2015-09-17 General Dynamics Advanced Information Systems System and Method for Extracting and Preserving Metadata for Analyzing Network Communications
KR20150145049A (ko) * 2014-06-18 2015-12-29 주식회사 지아이비코리아 트래픽 저장 장치 및 방법, 그리고 컴퓨터로 판독 가능한 기록 매체
KR20160085593A (ko) * 2015-01-08 2016-07-18 주식회사 윈스 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법 및 장치
US20170289180A1 (en) * 2016-03-31 2017-10-05 Fortinet, Inc. Filtering of metadata signatures

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220167034A (ko) * 2021-06-11 2022-12-20 주식회사 시큐다임 정보 유출 모니터링 서버 및 방법
KR102484886B1 (ko) 2021-06-11 2023-01-06 주식회사 시큐다임 정보 유출 모니터링 서버 및 방법
KR20230142957A (ko) 2022-04-04 2023-10-11 주식회사 쿼드마이너 고속 패킷 검색 방법 및 장치
WO2023195697A1 (ko) * 2022-04-04 2023-10-12 (주)쿼드마이너 고속 패킷 검색 방법 및 장치
KR20240046700A (ko) 2022-04-04 2024-04-09 주식회사 쿼드마이너 풀패킷 데이터를 검색하는 방법 및 장치

Similar Documents

Publication Publication Date Title
Vlăduţu et al. Internet traffic classification based on flows' statistical properties with machine learning
Mayhew et al. Use of machine learning in big data analytics for insider threat detection
CN110943961B (zh) 数据处理方法、设备以及存储介质
KR102080478B1 (ko) 패턴 기반 색인 처리 시스템 및 이를 이용한 패턴 기반 색인 처리 방법
CN115134250B (zh) 一种网络攻击溯源取证方法
CN110958231A (zh) 基于互联网的工控安全事件监测平台及其方法
Wang et al. Honeynet construction based on intrusion detection
Wang et al. Identifying DApps and user behaviors on ethereum via encrypted traffic
JP2024023381A (ja) ネットワークフォレンジック方法
US20190104139A1 (en) Generation of malware traffic signatures using natural language processing by a neural network
Dhaya et al. Cloud computing security protocol analysis with parity-based distributed file system
KR102080479B1 (ko) 시나리오 중심 실시간 공격 감지 시스템 및 이를 이용한 시나리오 중심 실시간 공격 감지 방법
CN105184559B (zh) 一种支付系统及方法
KR102080477B1 (ko) 고성능 패킷 스트림 저장 시스템 및 이를 이용한 고성능 패킷 스트림 저장 방법
CN115643049A (zh) 一种基于加密流量分析的挖矿行为实时检测方法
CN114760083B (zh) 一种攻击检测文件的发布方法、装置及存储介质
CN108650229A (zh) 一种网络应用行为解析还原方法及系统
Peleh et al. Intelligent detection of DDoS attacks in SDN networks
Boonyopakorn Applying Data Analytics to Findings of User Behaviour Usage in Network Systems
Han et al. An anomaly detection on the application-layer-based QoS in the cloud storage system
KR20070092806A (ko) P2p·메신저·온라인게임 등의 유해, 불법, 또는 비업무용통신프로그램의 통신패턴 자동추출을 통한 통신차단장치및 방법
Adamova Anomaly detection with virtual service migration in cloud infrastructures
Su et al. Mobile traffic identification based on application's network signature
CN110365675B (zh) 一种网络追踪长链条攻击的方法、装置和系统
KR101886526B1 (ko) 응용 트래픽 분류에 정교한 페이로드 시그니쳐 생성 방법 및 시스템

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant