KR102126185B1 - 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템 및 그 방법 - Google Patents

트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템 및 그 방법 Download PDF

Info

Publication number
KR102126185B1
KR102126185B1 KR1020200038325A KR20200038325A KR102126185B1 KR 102126185 B1 KR102126185 B1 KR 102126185B1 KR 1020200038325 A KR1020200038325 A KR 1020200038325A KR 20200038325 A KR20200038325 A KR 20200038325A KR 102126185 B1 KR102126185 B1 KR 102126185B1
Authority
KR
South Korea
Prior art keywords
detection
rule
traffic
execution time
packet
Prior art date
Application number
KR1020200038325A
Other languages
English (en)
Inventor
정현미
Original Assignee
주식회사 코닉글로리
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 코닉글로리 filed Critical 주식회사 코닉글로리
Priority to KR1020200038325A priority Critical patent/KR102126185B1/ko
Application granted granted Critical
Publication of KR102126185B1 publication Critical patent/KR102126185B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

본 발명은 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템 및 그 방법에 관한 것으로서, 수신한 전체 패킷 로직을 체크하여 기 설정된 시간의 차이가 발생한 경우 시스템 자원 감사로그를 생성하는 감사로그 생성부; 룰 탐지 실행시간을 계산하지 않은 경우 트래픽 누수량이 기 설정된 범위 이상인지 여부를 체크하고, 룰 탐지 실행시간 계산 flag값을 '사용' 상태로 변경하는 트래픽 누수 체크부; 체크결과 트래픽 누수가 기 설정된 시간을 초과하는 경우 누수된 패킷을 기 설정된 저장소에 로깅(logging)한 이후, 룰 탐지 실행시간을 계산하여 시스템 자원 감사로그를 갱신하는 패킷 탐지부; 및 룰 탐지 실행시간이 계산된 경우 탐지 룰 실행시간을 시계열적인 리스트로 생성하여 기 설정된 저장소에 저장하고, 룰 탐지 실행시간 계산 flag값을 '사용안함' 상태로 변경하는 리스트 생성부를 포함한다.
상기와 같은 본 발명에 따르면, 네트워크 침입 발생시 공격 패턴이 존재하는 단일개의 패킷만을 제공하는 것이 아니라, 침입 패턴이 감지된 패킷 이후에 수신한 패킷을 설정된 개수만큼 저장하여 제공하게 된다. 따라서, 네트워크 관리자는 공격 이후 후속으로 수신되는 패킷들의 양태를 모니터링할 수 있으며, 이를 통해 공격 패턴에 대한 분석이 용이하고, 신속한 대응이 가능하다.

Description

트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템 및 그 방법{Detection policy extraction system and method for reducing detection performance when leaking traffic}
본 발명은 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템 및 그 방법에 관한 것으로, 더욱 상세하게는 트래픽 누수 시 가장 많은 부하를 발생시킨 정책들의 정보를 관리자에게 제공함으로써 성능 향상 판단에 도움을 주는 기술에 관한 것이다.
센서에서 패킷을 탐지하는데 어떤 침입 탐지 정책(패턴)을 설정 하였는가에 따라 걸리는 시간이 달라지는데, 이 시간이 길어질수록 동일 시간에 처리할 수 있는 트래픽 양이 줄어들게 된다.
즉, 같은 장비라 할지라도 설정된 정책에 따라 탐지 성능이 저하될 수 있는데, 처리할 수 있는 양보다 더 많은 트래픽이 유입되면 트래픽 누수가 발생되는 문제점이 있다.
이러한 문제점을 해소하기 위해 처리할 수 있는 트래픽 양을 증가시키기 위하여 하드웨어 또는 소프트웨어를 교체할 경우 많은 물리적 비용이 발생하는 단점이 있다.
전술한 바와 같은 문제점을 해소하기 위한 방안으로, 물리적 비용을 최소화하고 이를 해결하는 방법은 침입 탐지 정책을 최적화하는 방법이 있으나, 네트워크 환경에서 수많은 정책 중 어떠한 정책들을 수정하는 것이 성능 향상에 도움을 줄지를 판단하기 어려운 실정이다.
이에 본 출원인은 트래픽 누수 시 가장 많은 부하를 발생시킨 정책들의 정보를 추출하여 관리자에게 제공함으로써 성능 향상 판단에 도움을 주는 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템 및 그 방법을 제안하고자 한다.
대한민국 등록특허 제10-1260192호(2013.04.25.등록)
본 발명의 목적은, 누수가 난 패킷을 덤프파일로 저장하여 누수가 난 시점의 패킷을 확인하는 트래픽 로깅과 룰 탐지 실행시간을 계산하되, 해시테이블에 key를 탐지된 룰의 고유 식별번호로 설정하여 룰 번호가 해시테이블에 존재하는 경우 계산한 룰 실행시간을 해시테이블에 업데이트하고, 룰 번호가 존재하지 않는 경우 계산한 룰 실행시간을 해시테이블에 추가함으로써, 트래픽 누수 시 가장 많은 부하를 발생시킨 정보를 추출하는데 있다.
본 발명의 목적은, 해시테이블에 저장한 룰들의 탐지 실행 시간을 상호 비교하여 센서 설정파일에 설정된 개수만큼 오래 걸리는 시간 순서로 내림차순 정렬하여 리스트를 생성함으로써, 관리자가 트래픽 누수 발생시 탐지 성능에 부하를 주는 정보를 빠르게 파악할 수 있도록 하는데 있다.
본 발명의 목적은, 트래픽 누수가 설정된 범위 이상일 때 자동으로 트래픽 로깅이 되도록 설정함으로써, 관리자에게 트래픽 누수가 발생한 당시의 트래픽을 즉각적으로 제공하도록 하는데 있다.
본 발명의 목적은, 트래픽 누수가 발생할 경우에만 해당 기능이 동작함으로써, 정상적인 경우에는 탐지 성능에 영향을 끼치지 않고 탐지 정보를 제공하도록 하는데 있다.
이러한 기술적 과제를 해결하기 위한 본 발명의 일 실시예는 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템으로서, 수신한 전체 패킷 로직을 체크하여 기 설정된 시간의 차이가 발생한 경우 시스템 자원 감사로그를 생성하는 감사로그 생성부; 룰 탐지 실행시간을 계산하지 않은 경우 트래픽 누수량이 기 설정된 범위 이상인지 여부를 체크하고, 룰 탐지 실행시간 계산 flag값을 '사용' 상태로 변경하는 트래픽 누수 체크부; 체크결과 트래픽 누수가 기 설정된 시간을 초과하는 경우 누수된 패킷을 기 설정된 저장소에 로깅(logging)한 이후, 룰 탐지 실행시간을 계산하여 시스템 자원 감사로그를 갱신하는 패킷 탐지부; 및 룰 탐지 실행시간이 계산된 경우 탐지 룰 실행시간을 시계열적인 리스트로 생성하여 기 설정된 저장소에 저장하고, 룰 탐지 실행시간 계산 flag값을 '사용안함' 상태로 변경하는 리스트 생성부를 포함하는 것을 특징으로 한다.
바람직하게는, 트래픽 누수 체크부는 룰 탐지 실행시간 계산 flag값을 색인하여 룰 탐지 실행시간을 계산하였는지 여부를 판단하되, 룰 탐지 실행시간을 계산하지 않은 경우 트래픽 누수량이 기 설정된 범위 이상인지 여부를 체크하는 누수량 체크모듈; 및 트래픽 누수량이 체크된 이후 룰 탐지 실행시간 계산 flag값을 '사용' 상태로 변경하는 flag 변경모듈을 포함하는 것을 특징으로 한다.
패킷 탐지부는, 트래픽 누수가 기 설정된 시간을 초과하는지 여부를 판단하되, 기 설정된 시간을 초과하는 경우 누수된 패킷을 기 설정된 저장소에 로깅하는 패킷 로깅모듈; 및 계산한 룰 탐지 실행시간을 기 설정된 저장소에 저장하고 상기 시스템 자원 감사로그를 업데이트하는 감사로그 갱신모듈을 포함하는 것을 특징으로 한다.
리스트 생성부는, 룰 탐지 실행시간이 계산된 경우, 기 설정된 저장소에 저장된 룰들의 탐지 실행 시간을 상호 비교하여 센서 설정파일에 설정된 개수만큼 오래 걸리는 시간 순서로 정렬한 리스트를 생성하는 리스트 생성모듈; 및 룰 리스트가 생성된 이후 탐지 실행시간 계산 flag값을 '사용안함' 상태로 변경하는 flag 변경모듈을 포함하는 것을 특징으로 한다.
전술한 시스템을 기반으로 하는 본 발명의 일 실시예에 따른 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 방법은, 감사로그 생성부가 수신한 전체 패킷 로직을 체크하여 기 설정된 시간의 차이가 발생하였는지 여부를 판단하는 (a) 단계; (a) 단계의 판단결과, 기 설정된 시간의 차이가 발생한 경우, 감사로그 생성부가 시스템 자원 감사로그를 생성하는 (b) 단계; 트래픽 누수 체크부가 룰 탐지 실행시간 계산이 수행되었는지 여부를 판단하는 (c) 단계; (c) 단계의 판단결과, 룰 탐지 실행시간 계산이 수행되지 않은 경우, 트래픽 누수 체크부가 트래픽 누수량이 기 설정된 범위 이상인지 여부를 체크하는 (d) 단계; (d) 단계의 체크 결과 트래픽 누수가 기 설정된 시간을 초과하는 경우, 패킷 탐지부가 누수된 패킷을 기 설정된 저장소에 로깅하는 (e) 단계; 및 패킷 탐지부가 룰 탐지 실행시간을 계산하여 시스템 자원 감사로그를 갱신하는 (f) 단계를 포함하는 것을 특징으로 한다.
바람직하게는, (a) 단계 이전에 패킷 탐지부가 룰 탐지 시작 시간을 저장한 이후 패킷 룰 탐지를 수행하는 (g) 단계; 패킷 탐지부가 설정된 룰 탐지 종료 시간에 룰 탐지 실행시간을 계산하여 룰의 고유 식별번호가 저장소 내에 존재하는지 여부를 판단하는 (h) 단계; (h) 단계의 판단결과, 룰의 고유 식별번호가 저장소 내에 존재하는 경우, 패킷 탐지부가 계산한 룰 탐지 실행시간을 저장소에 업데이트하는 (i) 단계; 및 (h) 단계의 판단결과, 룰의 고유 식별번호가 저장소 내에 존재하지 않는 경우, 패킷 탐지부가 계산한 룰 탐지 실행시간을 저장소에 추가하는 (j) 단계를 포함하는 것을 특징으로 한다.
상기와 같은 본 발명의 일 실시예에 따르면, 누수가 난 패킷을 덤프파일로 저장하여 누수가 난 시점의 패킷을 확인하는 트래픽 로깅과 룰 탐지 실행시간을 계산하되, 해시테이블에 key를 탐지된 룰의 고유 식별번호로 설정하여 룰 번호가 해시테이블에 존재하는 경우 계산한 룰 실행시간을 해시테이블에 업데이트하고, 룰 번호가 존재하지 않는 경우 계산한 룰 실행시간을 해시테이블에 추가함으로써, 트래픽 누수 시 가장 많은 부하를 발생시킨 정보를 추출하는 효과가 있다.
본 발명에 따르면, 해시테이블에 저장한 룰들의 탐지 실행 시간을 상호 비교하여 센서 설정파일에 설정된 개수만큼 오래 걸리는 시간 순서로 내림차순 정렬하여 리스트를 생성함으로써, 관리자가 트래픽 누수 발생시 탐지 성능에 부하를 주는 정보를 빠르게 파악하도록 하는 효과가 있다.
본 발명에 따르면, 트래픽 누수가 설정된 범위 이상일 때 자동으로 트래픽 로깅이 되도록 설정함으로써, 관리자에게 트래픽 누수가 발생한 당시의 트래픽을 즉각적으로 제공하는 효과가 있다.
본 발명에 따르면, 트래픽 누수가 발생할 경우에만 해당 기능이 동작함으로써, 정상적인 경우에는 탐지 성능에 영향을 끼치지 않고 탐지 정보를 제공하는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템을 도시한 블록도.
도 2는 본 발명의 일 실시예에 따른 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템의 감사로그 생성부 및 트래픽 누수 체크부를 도시한 블록도.
도 3은 본 발명의 일 실시예에 따른 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템의 패킷 탐지부를 도시한 블록도.
도 4는 본 발명의 일 실시예에 따른 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템의 리스트 생성부를 도시한 블록도.
도 5는 본 발명의 일 실시예에 따른 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 방법을 도시한 순서도.
도 6은 본 발명의 일 실시예에 따른 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 방법의 제S506단계의 또 다른 과정을 도시한 순서도.
도 7은 본 발명의 일 실시예에 따른 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 방법의 S502단계 이전 과정을 도시한 순서도.
본 발명의 구체적인 특징 및 이점들은 첨부 도면에 의거한 다음의 상세한 설명으로 더욱 명백해질 것이다. 이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 발명자가 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 그 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야 할 것이다. 또한, 본 발명에 관련된 공지 기능 및 그 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는, 그 구체적인 설명을 생략하였음에 유의해야 할 것이다.
도 1을 참조하면 본 발명의 일 실시예에 따른 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템(S)은, 수신한 전체 패킷 로직을 체크하여 기 설정된 시간의 차이가 발생한 경우 시스템 자원 감사로그를 생성하는 감사로그 생성부(100)와, 룰 탐지 실행시간을 계산하지 않은 경우 트래픽 누수량이 기 설정된 범위 이상인지 여부를 체크하고, 룰 탐지 실행시간 계산 flag값을 '사용' 상태로 변경하는 트래픽 누수 체크부(200)와, 트래픽 누수가 기 설정된 시간을 초과하는 경우 누수된 패킷을 기 설정된 저장소에 로깅(logging)한 이후, 룰 탐지 실행시간을 계산하여 시스템 자원 감사로그를 갱신하는 패킷 탐지부(300), 및 룰 탐지 실행시간이 계산된 경우 탐지 룰 실행시간을 시계열적인 리스트로 생성하여 기 설정된 저장소에 저장하고, 룰 탐지 실행시간 계산 flag값을 '사용안함' 상태로 변경하는 리스트 생성부(400)를 포함하여 구성된다.
이하, 도 2를 참조하여 본 발명의 일 실시예에 따른 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템(S)의 감사로그 생성부(100) 및 트래픽 누수 체크부(200)에 대해 살피면 아래와 같다.
먼저, 감사로그 생성부(100)는 기 설정된 주기마다 전체 패킷 로직을 체크하되, 현재 시간이 이전시간보다 기 설정된 주기를 벗어나는 차이가 발생하는 경우, 시스템 자원 감사로그를 생성한다. 이때, 기 설정된 주기는 5초 내지 15초로 설정될 수 있고, 주기는 관리자의 설정에 의해 변경될 수 있다.
또한, 트래픽 누수 체크부(200)는 룰 탐지 실행시간 계산 flag값을 색인하여 룰 탐지 실행시간을 계산하였는지 여부를 판단하되, 룰 탐지 실행시간을 계산하지 않은 경우 트래픽 누수량이 기 설정된 범위 이상인지 여부를 체크하는 누수량 체크모듈(202), 및 트래픽 누수량이 체크된 이후 색인한 룰 탐지 실행시간 계산 flag값을 '사용' 상태로 변경하는 flag 변경모듈(204)을 포함하여 구성된다.
이때, 누수량 체크모듈(202)의 체크결과 트래픽 누수량이 기 설정된 범위 미만인 경우, 체크된 트래픽 누수량을 감사로그 생성부(100)로 인가하여 기 생성된 감사로그를 갱신하도록 구성된다.
여기서, 트래픽 누수량 체크를 위해 기 설정된 범위는 전체 트래픽에서 누수되는 트래픽이 5% 이상인지 여부인 것으로 설정된다.
이하, 도 3을 참조하여 본 발명의 일 실시예에 따른 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템(S)의 패킷 탐지부(300)에 대해 살피면 아래와 같다.
패킷 탐지부(300)는 트래픽 누수가 기 설정된 시간을 초과하는지 여부를 판단하되, 기 설정된 시간을 초과하는 경우 누수된 패킷을 기 설정된 저장소에 로깅하는 패킷 로깅모듈(302), 및 계산한 룰 탐지 실행시간을 기 설정된 저장소에 저장하고 감사로그 생성부(100)에 의해 생성된 시스템 자원 감사로그를 업데이트하는 감사로그 갱신모듈(304)을 포함하여 구성된다.
이때, 패킷 로깅모듈(302)은 누수된 트래픽을 기 설정된 저장소에 패킷 덤프파일로 저장하도록 구성되며, 이에 따라 탐지 성능 저하로 인해 누수가 발생하니 시점의 패킷 확인이 용이하다.
또한, 기 설정된 저장소의 key는 탐지된 롤의 고유 식별번호로 설정되고, key는 해당 세션을 빠르게 조회(search)하기 위한 용도로 사용되며, 기 설정된 저장소는 해시테이블로 설정될 수 있다.
아울러, 룰 탐지 실행시간 계산은 룰 종료 시간에서 룰 실행 시간을 차감하여 계산하며, 마이크로 초 단위로 정밀하게 측정하게 된다.
이하, 도 4를 참조하여 본 발명의 일 실시예에 따른 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템(S)의 리스트 생성부(400)에 대해 살피면 아래와 같다.
리스트 생성부(400)는 트래픽 누수 체크부(200)에 의해 룰 탐지 실행시간이 계산된 경우, 기 설정된 저장소에 저장된 룰들의 탐지 실행 시간을 상호 비교하여 센서 설정파일에 설정된 개수만큼 오래 걸리는 시간 순서로 정렬한 리스트를 생성하는 리스트 생성모듈(402), 및 리스트가 생성된 이후 룰 탐지 실행시간 계산 flag값을 '사용안함' 상태로 변경하는 flag 변경모듈(404)을 포함하여 구성된다.
이때, 센서 설정파일에 기 설정된 개수는 디폴트값으로 설정되는데 디폴트값은 2 내지 4 바람직하게는 3으로 설정되나, 본 발명의 일 실시예가 이에 국한되는 것은 아며, 관리자의 설정에 의해 변경될 수 있다.
이하, 도 5를 참조하여 본 발명의 일 실시예에 따른 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 방법에 대해 살피면 아래와 같다.
먼저, 감사로그 생성부(100)가 수신한 전체 패킷 로직을 체크하여 기 설정된 시간의 차이가 발생하였는지 여부를 판단한다(S502).
제S502단계의 판단결과, 기 설정된 시간의 차이가 발생한 경우, 감사로그 생성부(100)가 시스템 자원 감사로그를 생성한다(S504).
이어서, 트래픽 누수 체크부(200)가 룰 탐지 실행시간 계산이 수행되었는지 여부를 판단한다(S506).
제S506단계의 판단결과, 룰 탐지 실행시간 계산이 수행되지 않은 경우, 트래픽 누수 체크부(200)가 트래픽 누수량이 기 설정된 범위 이상인지 여부를 체크한다(S508).
제S508단계의 체크 결과 트래픽 누수가 기 설정된 시간을 초과하는 경우, 패킷 탐지부(300)가 누수된 패킷을 기 설정된 저장소에 로깅(logging)한다(S510).
뒤이어, 패킷 탐지부(300)가 룰 탐지 실행시간을 계산하여 시스템 자원 감사로그를 갱신한다(S512).
도 6을 참조하여 본 발명의 일 실시예에 따른 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 방법의 제S506단계의 또 다른 과정에 대해 살피면 아래와 같다.
제S506단계의 판단결과, 룰 탐지 실행시간 계산이 수행된 경우, 리스트 생성부(400)가 탐지 룰 실행시간을 시계열적인 리스트로 생성하여 기 설정된 저장소에 저장한다(S602).
그리고, 리스트 생성부(400)가 룰 탐지 실행시간 계산 flag값을 '사용안함' 상태로 변경한다(S604).
도 7을 참조하여 본 발명의 일 실시예에 따른 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 방법의 S502단계 이전 과정에 대해 살피면 아래와 같다.
먼저, 패킷 탐지부(300)가 룰 탐지 시작 시간을 저장한 이후 패킷 룰 탐지를 수행한다(702).
이어서, 패킷 탐지부(300)가 설정된 룰 탐지 종료 시간에 룰 탐지 실행시간을 계산하여 룰의 고유 식별번호가 저장소 내에 존재하는지 여부를 판단한다(S704).
제S704단계의 판단결과, 룰의 고유 식별번호가 저장소 내에 존재하는 경우, 패킷 탐지부(300)가 계산한 룰 탐지 실행시간을 저장소에 업데이트한다(S706).
제S704단계의 판단결과, 룰의 고유 식별번호가 저장소 내에 존재하지 않는 경우, 패킷 탐지부(300)가 계산한 룰 탐지 실행시간을 저장소에 추가한다(S708).
이처럼, 전술한 바와 같은 본 발명의 일 실시예에 의하면, 누수가 난 패킷을 덤프파일로 저장하여 누수가 난 시점의 패킷을 확인하는 트래픽 로깅과 룰 탐지 실행시간을 계산하되, 해시테이블에 key를 탐지된 룰의 고유 식별번호로 설정하여 룰 번호가 해시테이블에 존재하는 경우 계산한 룰 실행시간을 해시테이블에 업데이트하고, 룰 번호가 존재하지 않는 경우 계산한 룰 실행시간을 해시테이블에 추가함으로써, 트래픽 누수 시 가장 많은 부하를 발생시킨 정보의 추출이 용이하다.
이상으로 본 발명의 기술적 사상을 예시하기 위한 바람직한 실시 예와 관련하여 설명하고 도시하였지만, 본 발명은 이와 같이 도시되고 설명된 그대로의 구성 및 작용에만 국한되는 것이 아니며, 기술적 사상의 범주를 일탈함이 없이 본 발명에 대해 다수의 변경 및 수정이 가능함을 당업자들은 잘 이해할 수 있을 것이다. 따라서 그러한 모든 적절한 변경 및 수정과 균등물들도 본 발명의 범위에 속하는 것으로 간주되어야 할 것이다.
S: 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템
100: 감사로그 생성부
200: 트래픽 누수 체크부
202: 누수량 체크모듈
204: flag 변경모듈
300: 패킷 탐지부
302: 패킷 로깅모듈
304: 감사로그 갱신모듈
400: 리스트 생성부
402: 리스트 생성모듈
404: flag 변경모듈

Claims (6)

  1. 수신한 전체 패킷 로직을 체크하여 기 설정된 시간의 차이가 발생한 경우 시스템 자원 감사로그를 생성하는 감사로그 생성부;
    룰 탐지 실행시간을 계산하지 않은 경우 트래픽 누수량이 기 설정된 범위 이상인지 여부를 체크하고, 룰 탐지 실행시간 계산 flag값을 '사용' 상태로 변경하는 트래픽 누수 체크부;
    상기 체크결과 트래픽 누수가 기 설정된 시간을 초과하는 경우 누수된 패킷을 기 설정된 저장소에 로깅한 이후, 룰 탐지 실행시간을 계산하여 시스템 자원 감사로그를 갱신하는 패킷 탐지부; 및
    룰 탐지 실행시간이 계산된 경우 탐지 룰 실행시간을 시계열적인 리스트로 생성하여 기 설정된 저장소에 저장하고, 룰 탐지 실행시간 계산 flag값을 '사용안함' 상태로 변경하는 리스트 생성부를
    포함하는 것을 특징으로 하는 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템.
  2. 제1항에 있어서,
    상기 트래픽 누수 체크부는,
    룰 탐지 실행시간 계산 flag값을 색인하여 룰 탐지 실행시간을 계산하였는지 여부를 판단하되, 룰 탐지 실행시간을 계산하지 않은 경우 트래픽 누수량이 기 설정된 범위 이상인지 여부를 체크하는 누수량 체크모듈; 및
    트래픽 누수량이 체크된 이후 룰 탐지 실행시간 계산 flag값을 '사용' 상태로 변경하는 flag 변경모듈을
    포함하는 것을 특징으로 하는 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템.
  3. 제1항에 있어서,
    상기 패킷 탐지부는,
    트래픽 누수가 기 설정된 시간을 초과하는지 여부를 판단하되, 기 설정된 시간을 초과하는 경우 누수된 패킷을 기 설정된 저장소에 로깅하는 패킷 로깅모듈; 및
    계산한 룰 탐지 실행시간을 기 설정된 저장소에 저장하고 상기 시스템 자원 감사로그를 업데이트하는 감사로그 갱신모듈
    포함하는 것을 특징으로 하는 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템.
  4. 제1항에 있어서,
    상기 리스트 생성부는,
    룰 탐지 실행시간이 계산된 경우, 기 설정된 저장소에 저장된 룰들의 탐지 실행 시간을 상호 비교하여 센서 설정파일에 설정된 개수만큼 오래 걸리는 시간 순서로 정렬한 리스트를 생성하는 리스트 생성모듈; 및
    룰 리스트가 생성된 이후 탐지 실행시간 계산 flag값을 '사용안함' 상태로 변경하는 flag 변경모듈을
    포함하는 것을 특징으로 하는 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템.
  5. (a) 감사로그 생성부가 수신한 전체 패킷 로직을 체크하여 기 설정된 시간의 차이가 발생하였는지 여부를 판단하는 단계;
    (b) 상기 (a) 단계의 판단결과, 기 설정된 시간의 차이가 발생한 경우, 감사로그 생성부가 시스템 자원 감사로그를 생성하는 단계;
    (c) 트래픽 누수 체크부가 룰 탐지 실행시간 계산이 수행되었는지 여부를 판단하는 단계;
    (d) 상기 (c) 단계의 판단결과, 룰 탐지 실행시간 계산이 수행되지 않은 경우, 트래픽 누수 체크부가 트래픽 누수량이 기 설정된 범위 이상인지 여부를 체크하는 단계;
    (e) 상기 (d) 단계의 체크 결과 트래픽 누수가 기 설정된 시간을 초과하는 경우, 패킷 탐지부가 누수된 패킷을 기 설정된 저장소에 로깅하는 단계; 및
    (f) 패킷 탐지부가 룰 탐지 실행시간을 계산하여 시스템 자원 감사로그를 갱신하는 단계를
    포함하는 것을 특징으로 하는 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 방법.
  6. 제5항에 있어서,
    상기 (a) 단계 이전에,
    (g) 패킷 탐지부가 룰 탐지 시작 시간을 저장한 이후 패킷 룰 탐지를 수행하는 단계;
    (h) 패킷 탐지부가 설정된 룰 탐지 종료 시간에 룰 탐지 실행시간을 계산하여 룰의 고유 식별번호가 저장소 내에 존재하는지 여부를 판단하는 단계;
    (i) 상기 (h) 단계의 판단결과, 룰의 고유 식별번호가 저장소 내에 존재하는 경우, 패킷 탐지부가 계산한 룰 탐지 실행시간을 저장소에 업데이트하는 단계; 및
    (j) 상기 (h) 단계의 판단결과, 룰의 고유 식별번호가 저장소 내에 존재하지 않는 경우, 패킷 탐지부가 계산한 룰 탐지 실행시간을 저장소에 추가하는 단계를
    포함하는 것을 특징으로 하는 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 방법.
KR1020200038325A 2020-03-30 2020-03-30 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템 및 그 방법 KR102126185B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200038325A KR102126185B1 (ko) 2020-03-30 2020-03-30 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200038325A KR102126185B1 (ko) 2020-03-30 2020-03-30 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR102126185B1 true KR102126185B1 (ko) 2020-06-24

Family

ID=71407534

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200038325A KR102126185B1 (ko) 2020-03-30 2020-03-30 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR102126185B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101260192B1 (ko) 2011-12-05 2013-05-06 한국과학기술원 온­칩 네트워크에서 누수 전력을 줄이기 위한 라우팅 시스템 및 흐름 제어 방법 그리고 버퍼 관리 시스템 및 버퍼 관리 방법
KR101280910B1 (ko) * 2011-12-15 2013-07-02 한국전자통신연구원 고속 패킷 처리를 위한 네트워크 프로세서 기반 2단계 침입탐지장치 및 방법
KR20140128554A (ko) * 2013-04-26 2014-11-06 주식회사 넷커스터마이즈 유해 트래픽 탐지 시스템 및 방법
KR20160085593A (ko) * 2015-01-08 2016-07-18 주식회사 윈스 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법 및 장치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101260192B1 (ko) 2011-12-05 2013-05-06 한국과학기술원 온­칩 네트워크에서 누수 전력을 줄이기 위한 라우팅 시스템 및 흐름 제어 방법 그리고 버퍼 관리 시스템 및 버퍼 관리 방법
KR101280910B1 (ko) * 2011-12-15 2013-07-02 한국전자통신연구원 고속 패킷 처리를 위한 네트워크 프로세서 기반 2단계 침입탐지장치 및 방법
KR20140128554A (ko) * 2013-04-26 2014-11-06 주식회사 넷커스터마이즈 유해 트래픽 탐지 시스템 및 방법
KR20160085593A (ko) * 2015-01-08 2016-07-18 주식회사 윈스 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법 및 장치

Similar Documents

Publication Publication Date Title
US10162967B1 (en) Methods and systems for identifying legitimate computer files
US9680707B2 (en) Automated change approval
US10372909B2 (en) Determining whether process is infected with malware
US9953164B2 (en) Confirming a malware infection on a client device using a remote access connection tool, to identify a malicious file based on fuzz hashes
US10656981B2 (en) Anomaly detection using sequences of system calls
CN110178121B (zh) 一种数据库的检测方法及其终端
CN110602135B (zh) 网络攻击处理方法、装置以及电子设备
US20100014432A1 (en) Method for identifying undesirable features among computing nodes
CA2996966A1 (en) Process launch, monitoring and execution control
US10853058B1 (en) Application similarity detection
US20180191736A1 (en) Method and apparatus for collecting cyber incident information
IL243418B (en) System and method for monitoring computer network security
CN104216743A (zh) 可配置的虚拟机启动完整性维护的方法及系统
KR102126185B1 (ko) 트래픽 누수시 탐지 성능 저하를 일으키는 탐지 정책 추출 시스템 및 그 방법
CN104320271A (zh) 一种网络设备安全评估方法及装置
CN106506449B (zh) 一种未知异常的检测方法、装置及检测设备
CN115062293A (zh) 弱口令检测方法、装置及存储介质、电子设备和计算机程序产品
JP7019533B2 (ja) 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム
CN109495424B (zh) 一种检测入侵流量的方法和装置
Baxtiyorovich et al. Method of analyzing of antivirus errors when audit provides
CN108429746B (zh) 一种面向云租户的隐私数据保护方法及系统
CN108256333A (zh) Bios固件的执行方法、系统、设备及可读存储介质
US20230156019A1 (en) Method and system for scoring severity of cyber attacks
CN114969712A (zh) 一种基于lsm框架的可信程序动态度量方法及装置
KR20190074840A (ko) 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템 및 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant