KR102271366B1 - Apparatus and method for automatically generating snort rules through a user interface - Google Patents

Apparatus and method for automatically generating snort rules through a user interface Download PDF

Info

Publication number
KR102271366B1
KR102271366B1 KR1020190138836A KR20190138836A KR102271366B1 KR 102271366 B1 KR102271366 B1 KR 102271366B1 KR 1020190138836 A KR1020190138836 A KR 1020190138836A KR 20190138836 A KR20190138836 A KR 20190138836A KR 102271366 B1 KR102271366 B1 KR 102271366B1
Authority
KR
South Korea
Prior art keywords
snort
rule
snort rule
rules
database
Prior art date
Application number
KR1020190138836A
Other languages
Korean (ko)
Other versions
KR20210053045A (en
Inventor
이주형
김형식
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020190138836A priority Critical patent/KR102271366B1/en
Publication of KR20210053045A publication Critical patent/KR20210053045A/en
Application granted granted Critical
Publication of KR102271366B1 publication Critical patent/KR102271366B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Pharmaceuticals Containing Other Organic And Inorganic Compounds (AREA)

Abstract

본 발명의 일 실시예에 의한 사용자 인터페이스를 통한 스노트 룰 자동 생성 장치는, 사용자로부터 스노트 룰 자동 생성을 위한 조건들을 입력받는 사용자 인터페이스; 및 외부로부터 복수의 스노트 룰을 수집하고, 수집된 복수의 스노트 룰에 대한 유효성을 검증하며, 상기 유효성이 검증된 스노트 룰들 각각을 구문 분리하여 스노트 룰의 구문 분리된 요소들을 유효 스노트 룰 데이터베이스에 저장하고, 상기 사용자 인터페이스를 통해 수신되는 상기 스노트 룰 자동 생성을 위한 조건들에 따라, 상기 유효 스노트 룰 데이터베이스에 저장된 요소들을 조합하여 스노트 룰을 생성하여 배포하는 스노트 룰 자동 생성부를 포함한다.According to an embodiment of the present invention, an apparatus for automatically generating a snort rule through a user interface includes a user interface that receives conditions for automatically generating a snort rule from a user; and collecting a plurality of snort rules from the outside, verifying the validity of the collected plurality of snort rules, and separating each of the validated snort rules by parsing the separated elements of the snort rule as valid snort rules. A snort rule that stores in a note rule database and creates and distributes a snort rule by combining elements stored in the effective snort rule database according to the conditions for automatic generation of the snort rule received through the user interface Includes an auto-generator.

Figure R1020190138836
Figure R1020190138836

Description

사용자 인터페이스를 통한 스노트 룰 자동 생성 장치 및 방법{APPARATUS AND METHOD FOR AUTOMATICALLY GENERATING SNORT RULES THROUGH A USER INTERFACE}Apparatus and method for automatically generating snort rules through user interface {APPARATUS AND METHOD FOR AUTOMATICALLY GENERATING SNORT RULES THROUGH A USER INTERFACE}

본 발명은 사용자 인터페이스를 통한 스노트 룰 자동 생성 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for automatically generating a snort rule through a user interface.

네트워크 보안 시스템 중 침입탐지차단시스템(IPS: Intrusion Prevention System)은 분석된 대용량의 보안 위협 데이터를 수집관리하고 축적된 데이터베이스를 통해 네트워크 트래픽을 분석한다. 분석된 데이터를 통해 보안 정책을 생성하고 이를 활용하여 국가 기관과 정책 연계를 통해 국가 산하기관의 네트워크 인프라를 보호하며 위협에 대한 능동적 대처가 이루어질 수 있는 시스템 설계 및 개발이 이루어지고 있다.Among the network security systems, the Intrusion Prevention System (IPS) collects and manages a large amount of analyzed security threat data and analyzes network traffic through the accumulated database. A security policy is created through the analyzed data, and the system is designed and developed to protect the network infrastructure of national agencies through policy linkage with national agencies and to actively respond to threats.

매년 새로운 네트워크 이상 트래픽과 신종, 변종 악성코드가 기하급수적으로 증가함에 따라 생성되는 스노트(Snort) 룰 역시 계속적으로 증가하고 있다. 이에 스노트 룰의 관리 및 스노트 룰의 재사용의 필요성 역시 증가하고 있다.As new network abnormal traffic and new and variant malicious codes increase exponentially every year, snort rules are also continuously increasing. Accordingly, the need for managing snort rules and reusing snort rules is also increasing.

종래에는 시스템 운영자가 스노트 룰을 생성하기 위하여, 외부에서 수집된 스노트 룰을 재사용하기 위해서는 일일이 수작업으로 수집된 스노트 룰에 있는 텍스트를 수정해야 하므로 휴먼 에러가 발생할 가능성이 높고, 스노트 룰 생성에 상당한 시간이 소요되며, 불편한 문제점이 있었다.Conventionally, in order to create a snort rule and reuse the snort rule collected from the outside, the system operator has to manually correct the text in the collected snort rule, so there is a high possibility of human error and the snort rule. It takes a considerable amount of time to create, and there is an inconvenient problem.

또한, 침입탐지차단 시스템에서 별도의 유효성 검증 과정을 진행하는 경우, 침입탐지차단 시스템의 부하가 증가하여 침입탐지차단 시스템의 처리 성능이 저하되어, 비정상 트래픽에 대해 빠른 대응 및 조치를 할 수 없었다.In addition, when the intrusion detection/blocking system performs a separate validation process, the load on the intrusion detection/blocking system increases and the processing performance of the intrusion detection/blocking system deteriorates, so that it is not possible to quickly respond and take action against abnormal traffic.

따라서, 사용자 인터페이스를 통해 신속하고, 정확하며, 편리하게 스노트 룰을 생성 및 재사용할 수 있고, 별도의 스노트 룰의 유효성 검증을 통해 침입탐지차단 시스템에서 별도의 유효성 검증 과정을 제거함으로써 침입탐지차단 시스템의 부하를 경감하여 처리 성능을 향상시키며, 침입탐지차단 시스템이 비정상 트래픽을 정확하게 탐지할 수 있게 하여, 비정상 트래픽에 대한 빠른 대응 및 조치가 가능한 스노트 룰 생성 장치 및 방법에 대한 요구가 존재한다.Therefore, it is possible to quickly, accurately and conveniently create and reuse snort rules through the user interface, and intrusion detection by removing the separate validation process from the intrusion detection and blocking system through validation of separate snort rules. There is a need for a device and method for generating a snort rule that improves processing performance by reducing the load on the blocking system, and enables the intrusion detection and blocking system to accurately detect abnormal traffic, enabling quick response and action to abnormal traffic do.

KRUS 10-2006-008709010-2006-0087090 AA

본 발명이 해결하고자 하는 과제는 사용자 인터페이스를 통해 신속하고, 정확하며, 편리하게 스노트 룰을 생성 및 재사용할 수 있고, 별도의 스노트 룰의 유효성 검증을 통해 침입탐지차단 시스템에서 별도의 유효성 검증 과정을 제거함으로써 침입탐지차단 시스템의 부하를 경감하여 처리 성능을 향상시키고, 침입탐지차단 시스템이 비정상 트래픽을 정확하게 탐지할 수 있게 하여, 비정상 트래픽에 대한 빠른 대응 및 조치가 가능한 사용자 인터페이스를 통한 스노트 룰 자동 생성 장치를 제공하는 것이다.The problem to be solved by the present invention is that snort rules can be created and reused quickly, accurately and conveniently through a user interface, and separate validation is verified in the intrusion detection and blocking system through validation of separate snort rules. By removing the process, the processing performance is improved by reducing the load on the intrusion detection and prevention system, and the intrusion detection and prevention system can accurately detect abnormal traffic, so that it is possible to quickly respond to and take action against abnormal traffic. It is to provide a device for automatically generating rules.

본 발명이 해결하고자 하는 다른 과제는 사용자 인터페이스를 통해 신속하고, 정확하며, 편리하게 스노트 룰을 생성 및 재사용할 수 있고, 별도의 스노트 룰의 유효성 검증을 통해 침입탐지차단 시스템에서 별도의 유효성 검증 과정을 제거함으로써 침입탐지차단 시스템의 부하를 경감하여 처리 성능을 향상시키고, 침입탐지차단 시스템이 비정상 트래픽을 정확하게 탐지할 수 있게 하여, 비정상 트래픽에 대한 빠른 대응 및 조치가 가능한 사용자 인터페이스를 통한 스노트 룰 자동 생성 방법을 제공하는 것이다.Another problem to be solved by the present invention is that it is possible to quickly, accurately, and conveniently create and reuse snort rules through a user interface, and separate validity in the intrusion detection and blocking system through validation of separate snort rules. By removing the verification process, the processing performance is improved by reducing the load on the intrusion detection and prevention system, and the intrusion detection and prevention system can accurately detect abnormal traffic, allowing quick response and action to abnormal traffic through the user interface. It is to provide a method for automatically generating note rules.

상기 과제를 해결하기 위한 본 발명의 일 실시예에 의한 스노트 룰 자동 생성 장치는,An apparatus for automatically generating a snort rule according to an embodiment of the present invention for solving the above problems,

사용자로부터 스노트 룰 자동 생성을 위한 조건들을 입력받는 사용자 인터페이스; 및a user interface that receives conditions for automatically generating a snort rule from a user; and

외부로부터 복수의 스노트 룰을 수집하고, 수집된 복수의 스노트 룰에 대한 유효성을 검증하며, 상기 유효성이 검증된 스노트 룰들 각각을 구문 분리하여 스노트 룰의 구문 분리된 요소들을 유효 스노트 룰 데이터베이스에 저장하고, 상기 사용자 인터페이스를 통해 수신되는 상기 스노트 룰 자동 생성을 위한 조건들에 따라, 상기 유효 스노트 룰 데이터베이스에 저장된 요소들을 조합하여 스노트 룰을 생성하여 배포하는 스노트 룰 자동 생성부를 포함한다.Collecting a plurality of snort rules from the outside, verifying the validity of the plurality of collected snort rules, and separating each of the validated snort rules by syntacticizing the separated elements of the snort rule as valid snort Automatic snort rule that stores in the rule database and creates and distributes snort rules by combining elements stored in the effective snort rule database according to the conditions for automatic snort rule generation received through the user interface includes a generator.

본 발명의 일 실시예에 의한 스노트 룰 자동 생성 장치에 있어서, 상기 스노트 룰 자동 생성부는,In the apparatus for automatically generating a snort rule according to an embodiment of the present invention, the automatic snort rule generating unit comprises:

침입탐지차단 시스템으로부터 상기 스노트 룰 자동 생성부에 의해 배포된 스노트 룰의 적용 결과를 수집하는 결과 수집부;a result collection unit for collecting the application result of the snort rule distributed by the snort rule automatic generation unit from the intrusion detection and blocking system;

상기 결과 수집부에서 수집된 스노트 룰 적용 결과를 분석하기 위한 결과 분석부;a result analysis unit for analyzing the result of applying the snort rule collected by the result collection unit;

상기 스노트 룰 적용 결과의 분석에 기반하여 검증된 스노트 룰을 저장하기 위한 결과 데이터베이스를 생성하기 위한 결과 데이터베이스 생성부; 및a result database generation unit for generating a result database for storing the verified snort rule based on the analysis of the result of applying the snort rule; and

상기 스노트 룰 적용 결과의 분석에 기반하여 검증된 스노트 룰을 저장하기 위한 결과 데이터베이스를 포함하고,a result database for storing the snort rule verified based on the analysis of the snort rule application result;

상기 스노트 룰 자동 생성부는, 상기 결과 데이터베이스에 저장된 검증된 스노트 룰을 추가로 수집할 수 있다.The automatic snort rule generator may additionally collect verified snort rules stored in the result database.

또한, 본 발명의 일 실시예에 의한 스노트 룰 자동 생성 장치에 있어서, 상기 스노트 룰 자동 생성부는,In addition, in the apparatus for automatically generating a snort rule according to an embodiment of the present invention, the automatic snort rule generating unit comprises:

복수의 스노트 룰을 수집하기 위한 스노트 룰 수집부;a snort rule collection unit for collecting a plurality of snort rules;

상기 스노트 룰 수집부에서 수집된 복수의 스노트 룰을 저장하기 위한 원시 스노트 룰 데이터베이스;a raw snort rule database for storing a plurality of snort rules collected by the snort rule collection unit;

상기 원시 스노트 룰 데이터베이스에 저장된 복수의 스노트 룰이 진짜 스노트 룰인지를 분석하기 위한 스노트 룰 분석부;a snort rule analysis unit for analyzing whether the plurality of snort rules stored in the original snort rule database are real snort rules;

상기 스노트 룰 분석부에서 출력되는 진짜 스노트 룰의 구문을 분석하여 스노트 룰의 구문의 유효성을 검증하기 위한 스노트 룰 구문 유효성 검사부;a snort rule syntax validation unit for verifying the validity of the syntax of the snort rule by analyzing the syntax of the real snort rule output from the snort rule analysis unit;

상기 유효성이 검증된 스노트 룰의 구문을 각 요소별로 구문 분리하기 위한 스노트 룰 구문 분리부;a snort rule syntax separator for separating the syntax of the validated snort rule for each element;

상기 구문 분리된 요소들을 저장하기 위한 유효 스노트 룰 데이터베이스를 생성하기 위한 유효 스노트 룰 데이터베이스 생성부;a valid snort rule database generator for generating a valid snort rule database for storing the segregated elements;

상기 구문 분리된 요소들을 저장하기 위한 유효 스노트 룰 데이터베이스;a valid snort rule database for storing the syntactically separated elements;

상기 사용자 인터페이스를 통해 수신되는 상기 스노트 룰 자동 생성을 위한 조건들에 따라, 상기 유효 스노트 룰 데이터베이스에 저장된 요소들을 추출하기 위한 스노트 룰 추출부;a snort rule extractor configured to extract elements stored in the valid snort rule database according to the conditions for automatically generating the snort rule received through the user interface;

상기 사용자 인터페이스를 통해 수신되는 상기 스노트 룰 자동 생성을 위한 조건들에 따라, 상기 스노트 룰 추출부에 의해 추출된 스노트 룰의 요소들을 조합하여 스노트 룰을 생성하기 위한 스노트 룰 생성부; 및A snort rule generating unit for generating a snort rule by combining elements of the snort rule extracted by the snort rule extracting unit according to the conditions for automatically generating the snort rule received through the user interface. ; and

상기 스노트 룰 생성부에 의해 생성된 스노트 룰을 배포하기 위한 스노트 룰 배포부를 포함할 수 있다.and a snort rule distribution unit for distributing the snort rule generated by the snort rule generation unit.

상기 다른 과제를 해결하기 위한 본 발명의 일 실시예에 의한 스노트 룰 자동 생성 방법은, 사용자 인터페이스를 통한 스노트 룰 자동 생성 장치에서 수행되는 사용자 인터페이스를 통한 스노트 룰 자동 생성 방법으로서,A method for automatically generating a snort rule according to an embodiment of the present invention for solving the above other problem is a method for automatically generating a snort rule through a user interface performed in an apparatus for automatically generating a snort rule through a user interface,

(A) 사용자 인터페이스를 통해 사용자로부터 스노트 룰 자동 생성을 위한 조건들을 입력받는 단계; 및(A) receiving conditions for automatically generating a snort rule from a user through a user interface; and

(B) 외부로부터 복수의 스노트 룰을 수집하고, 수집된 복수의 스노트 룰에 대한 유효성을 검증하며, 상기 유효성이 검증된 스노트 룰들 각각을 구문 분리하여 스노트 룰의 구문 분리된 요소들을 유효 스노트 룰 데이터베이스에 저장하며, 상기 사용자 인터페이스를 통해 수신되는 상기 스노트 룰 자동 생성을 위한 조건들에 따라, 상기 유효 스노트 룰 데이터베이스에 저장된 요소들을 조합하여 스노트 룰을 생성하여 배포하는 단계를 포함한다.(B) Collecting a plurality of snort rules from the outside, verifying the validity of the plurality of collected snort rules, and separating the syntax-separated elements of the snort rules by syntactically separating each of the validated snort rules Storing in a valid snort rule database, generating and distributing a snort rule by combining elements stored in the valid snort rule database according to the conditions for automatically generating the snort rule received through the user interface; includes

본 발명의 일 실시예에 의한 스노트 룰 자동 생성 방법은, 상기 생성된 스노트 룰을 배포하는 단계 이후에,In the method for automatically generating a snort rule according to an embodiment of the present invention, after distributing the generated snort rule,

침입탐지차단 시스템으로부터 상기 배포된 스노트 룰의 적용 결과를 수집하는 단계;collecting the application result of the distributed snort rule from the intrusion detection and blocking system;

상기 수집된 스노트 룰 적용 결과를 분석하는 단계; 및analyzing the collected snort rule application results; and

상기 스노트 룰 적용 결과의 분석에 기반하여 검증된 스노트 룰을 결과 데이터베이스에 저장하는 단계를 더 포함하고,Storing the verified snort rule based on the analysis of the snort rule application result in a result database,

상기 스노트 룰 수집 단계는, 상기 결과 데이터베이스에 저장된 검증된 스노트 룰을 추가로 수집하는 단계를 더 포함할 수 있다.The collecting of the snort rules may further include collecting the verified snort rules stored in the result database.

또한, 본 발명의 일 실시예에 의한 스노트 룰 자동 생성 방법에 있어서, 상기 단계 (B)는,In addition, in the method for automatically generating a snort rule according to an embodiment of the present invention, the step (B) comprises:

외부로부터 복수의 스노트 룰을 수집하는 단계;collecting a plurality of snort rules from outside;

상기 수집된 복수의 스노트 룰을 원시 스노트 룰 데이터베이스에 저장하는 단계;storing the collected plurality of snort rules in a raw snort rule database;

상기 원시 스노트 룰 데이터베이스에 저장된 복수의 스노트 룰이 진짜 스노트 룰인지를 분석하는 단계;analyzing whether the plurality of snort rules stored in the original snort rule database are real snort rules;

상기 스노트 룰 분석 단계에서 진짜 스노트 룰로 판정된 진짜 스노트 룰의 구문을 분석하여 스노트 룰의 구문의 유효성을 검증하는 단계;analyzing the syntax of the real snort rule determined as the real snort rule in the snort rule analysis step to verify the validity of the syntax of the snort rule;

상기 유효성이 검증된 스노트 룰의 구문을 각 요소별로 구문 분리하는 단계;Separating the syntax of the validated snort rule for each element;

상기 구문 분리된 요소들을 저장하기 위한 유효 스노트 룰 데이터베이스를 생성하여 상기 구문 분리된 요소들을 생성된 유효 스노트 룰 데이터베이스에 저장하는 단계;generating a valid snort rule database for storing the syntax-separated elements and storing the syntax-separated elements in the generated valid snort rule database;

상기 사용자 인터페이스를 통해 수신되는 상기 스노트 룰 자동 생성을 위한 조건들에 따라, 상기 유효 스노트 룰 데이터베이스에 저장된 요소들을 추출하는 단계;extracting elements stored in the valid snort rule database according to the conditions for automatically generating the snort rule received through the user interface;

상기 사용자 인터페이스를 통해 수신되는 상기 스노트 룰 자동 생성을 위한 조건들에 따라, 상기 스노트 룰 추출부에 의해 추출된 스노트 룰의 요소들을 조합하여 스노트 룰을 생성하는 단계; 및generating a snort rule by combining elements of the snort rule extracted by the snort rule extractor according to the conditions for automatically generating the snort rule received through the user interface; and

상기 생성된 스노트 룰을 배포하는 단계를 포함할 수 있다.It may include distributing the generated snort rule.

본 발명의 일 실시예에 의한 스노트 룰 자동 생성 장치 및 방법에 의하면, 사용자 인터페이스를 통해 신속하고, 정확하며, 편리하게 스노트 룰을 생성 및 재사용할 수 있고, 별도의 스노트 룰의 유효성 검증을 통해 침입탐지차단 시스템에서 별도의 유효성 검증 과정을 제거함으로써 침입탐지차단 시스템의 부하를 경감하여 처리 성능을 향상시키고, 침입탐지차단 시스템이 비정상 트래픽을 정확하게 탐지할 수 있게 하여, 비정상 트래픽에 대한 빠른 대응 및 조치가 가능하다.According to the apparatus and method for automatically generating a snort rule according to an embodiment of the present invention, it is possible to quickly, accurately, and conveniently create and reuse a snort rule through a user interface, and to verify the validity of a separate snort rule By removing the separate validation process from the intrusion detection and prevention system, the processing performance is improved by reducing the load on the intrusion detection and prevention system, and by enabling the intrusion detection and prevention system to accurately detect abnormal traffic, It is possible to respond and take action.

또한, 본 발명의 일 실시예에 의한 스노트 룰 자동 생성 장치 및 방법에 의하면, 축적된 결과 데이터베이스의 검증된 스노트 룰을 통해 침입탐지차단 시스템에 빠른 정책 전송을 가능하게 하고, 또한, 유효성이 검증된 룰을 통해 새로운 룰 생성이 원활히 이루어지도록 한다. 또한, 침입탐지차단 시스템의 I/O 감소와 데이터 유실에 대한 위험 부담을 감소시킬 수 있다.In addition, according to the apparatus and method for automatically generating a snort rule according to an embodiment of the present invention, it is possible to quickly transmit a policy to the intrusion detection and blocking system through the verified snort rule of the accumulated result database, and also to increase the effectiveness. Through verified rules, new rules are created smoothly. In addition, it is possible to reduce the I/O reduction of the intrusion detection and prevention system and the risk of data loss.

도 1은 본 발명의 일 실시예에 의한 스노트 룰 자동 생성 장치의 개략도.
도 2는 본 발명의 일 실시예에 의한 스노트 룰 자동 생성 장치의 상세 블록도.
도 3은 본 발명의 일 실시예에 의한 스노트 룰 자동 생성 방법의 흐름도.
도 4는 예시적인 스노트 룰, 예시적인 스노트 룰의 헤더 및 옵션을 설명하기 위한 도면.
도 5는 본 발명의 일 실시예에 의한 스노트 룰 자동 생성 장치에서 수집된 복수의 스노트 룰을 표시한 화면.
도 6은 본 발명의 일 실시예에 의한 스노트 룰 자동 생성 장치의 사용자 인터페이스를 이용하여 표시된 화면으로서, 스노트 룰의 기본 정보와 관련된 화면,
도 7은 본 발명의 일 실시예에 의한 스노트 룰 자동 생성 장치의 사용자 인터페이스를 이용하여 표시된 화면으로서, 스노트 룰의 패턴 정보(Payload)와 관련된 화면.
도 8은 본 발명의 일 실시예에 의한 스노트 룰 자동 생성 장치의 사용자 인터페이스를 이용하여 표시된 화면으로서, 스노트 룰의 패턴 정보(Non-Payload)와 관련된 화면.1 is a schematic diagram of an apparatus for automatically generating a snort rule according to an embodiment of the present invention;
2 is a detailed block diagram of an apparatus for automatically generating a snort rule according to an embodiment of the present invention;
3 is a flowchart of a method for automatically generating a snort rule according to an embodiment of the present invention.
Fig. 4 is a diagram for explaining an exemplary snort rule, headers and options of an exemplary snort rule;
5 is a screen showing a plurality of snort rules collected by the apparatus for automatically generating snort rules according to an embodiment of the present invention.
6 is a screen displayed using a user interface of an apparatus for automatically generating a snort rule according to an embodiment of the present invention, and is a screen related to basic information of a snort rule;
7 is a screen displayed using a user interface of an apparatus for automatically generating a snort rule according to an embodiment of the present invention, and is a screen related to pattern information (Payload) of a snort rule.
8 is a screen displayed using a user interface of an apparatus for automatically generating a snort rule according to an embodiment of the present invention, and a screen related to pattern information (Non-Payload) of a snort rule.

본 발명의 목적, 특정한 장점들 및 신규한 특징들은 첨부된 도면들과 연관되어지는 이하의 상세한 설명과 바람직한 실시예들로부터 더욱 명백해질 것이다.The objects, specific advantages and novel features of the present invention will become more apparent from the following detailed description taken in conjunction with the accompanying drawings and preferred embodiments.

이에 앞서 본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이고 사전적인 의미로 해석되어서는 아니되며, 발명자가 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있는 원칙에 입각하여 본 발명의 기술적 사상에 부합되는 의미와 개념으로 해석되어야 한다.Prior to this, the terms or words used in the present specification and claims should not be construed as conventional and dictionary meanings, and the inventor may properly define the concept of the term to describe his invention in the best way. Based on the principles of the present invention, it should be interpreted as meaning and concept consistent with the technical idea of the present invention.

본 명세서에서 각 도면의 구성요소들에 참조번호를 부가함에 있어서, 동일한 구성 요소들에 한해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 번호를 가지도록 하고 있음에 유의하여야 한다.In the present specification, in adding reference numbers to the components of each drawing, it should be noted that only the same components are given the same number as possible even though they are indicated on different drawings.

또한, "제1", "제2", "일면", "타면" 등의 용어는, 하나의 구성요소를 다른 구성요소로부터 구별하기 위해 사용되는 것으로, 구성요소가 상기 용어들에 의해 제한되는 것은 아니다.In addition, terms such as "first", "second", "one side", "other side" are used to distinguish one component from another component, and the component is limited by the terms. it is not

이하, 본 발명을 설명함에 있어, 본 발명의 요지를 불필요하게 흐릴 수 있는 관련된 공지 기술에 대한 상세한 설명은 생략한다.Hereinafter, in describing the present invention, detailed descriptions of related known technologies that may unnecessarily obscure the gist of the present invention will be omitted.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시형태를 상세히 설명하기로 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1에 도시된 본 발명의 일 실시예에 의한 사용자 인터페이스를 통한 스노트 룰 자동 생성 장치(100)는, 사용자로부터 스노트 룰 자동 생성을 위한 조건들을 입력받는 사용자 인터페이스(104) 및 외부로부터 복수의 스노트 룰(106)을 수집하고, 수집된 복수의 스노트 룰에 대한 유효성을 검증하며, 상기 유효성이 검증된 스노트 룰들 각각을 구문 분리하여 스노트 룰의 구문 분리된 요소들을 유효 스노트 룰 데이터베이스에 저장하며, 상기 사용자 인터페이스를 통해 수신되는 상기 스노트 룰 자동 생성을 위한 조건들에 따라, 상기 스노트 룰 데이터베이스에 저장된 요소들을 조합하여 사용자가 원하는 스노트 룰을 생성하여 배포하는 스노트 룰 자동 생성부(102)를 포함한다.The apparatus 100 for automatically generating a snort rule through a user interface according to an embodiment of the present invention shown in FIG. 1 includes a user interface 104 that receives conditions for automatic generation of a snort rule from a user, and a plurality of Collects the snort rules 106 of , verifies the validity of a plurality of collected snort rules, parses each of the validated snort rules, and converts the separated elements of the snort rule into valid snort A snort that stores in a rule database and creates and distributes a snort rule desired by a user by combining elements stored in the snort rule database according to the conditions for automatically generating the snort rule received through the user interface. Includes an automatic rule generation unit (102).

도 1에서 참조번호 108은 스노트 룰을 이용하여 비정상 트래픽을 탐지 및 차단하는 침입탐지차단 시스템(IPS)을 나타내며, 침입탐지차단 시스템(108)은 스노트 룰 자동 생성부(102)에서 배포한 스노트 룰을 수신하여 수신된 스노트 룰을 비정상적인 트래픽을 탐지하는데 적용하고, 스노트 룰 적용 결과를 스노트 룰 자동 생성부(102)에 제공한다.In FIG. 1, reference numeral 108 denotes an intrusion detection and prevention system (IPS) that detects and blocks abnormal traffic using snort rules, and the intrusion detection and prevention system 108 is distributed by the snort rule automatic creation unit 102. The snort rule is received, the received snort rule is applied to detect abnormal traffic, and the snort rule application result is provided to the snort rule automatic generator 102 .

도 2는 본 발명의 일 실시예에 의한 스노트 룰 자동 생성 장치의 상세 블록도이다.2 is a detailed block diagram of an apparatus for automatically generating a snort rule according to an embodiment of the present invention.

도 2에 도시된 본 발명의 일 실시예에 의한 스노트 룰 자동 생성 장치(100)의 스노트 룰 자동 생성부(102)는, 외부로부터 복수의 스노트 룰(106)을 수집하기 위한 스노트 룰 수집부(200), 상기 스노트 룰 수집부(200)에서 수집된 복수의 스노트 룰을 저장하기 위한 원시 스노트 룰 데이터베이스(202), 상기 원시 스노트 룰 데이터베이스(202)에 저장된 복수의 스노트 룰이 진짜 스노트 룰인지를 분석하기 위한 스노트 룰 분석부(204), 상기 스노트 룰 분석부(204)에서 출력되는 진짜 스노트 룰의 구문을 분석하여 스노트 룰의 구문의 유효성을 검증하기 위한 스노트 룰 구문 유효성 검사부(206), 상기 유효성이 검증된 스노트 룰의 구문을 각 요소별로 구문 분리하기 위한 스노트 룰 구문 분리부(208), 상기 구문 분리된 요소들을 저장하기 위한 유효 스노트 룰 데이터베이스(212)를 생성하기 위한 유효 스노트 룰 데이터베이스 생성부(210), 상기 구문 분리된 요소들을 저장하기 위한 유효 스노트 룰 데이터베이스(212), 상기 사용자 인터페이스(104)를 통해 수신되는 상기 스노트 룰 자동 생성을 위한 조건들에 따라, 상기 유효 스노트 룰 데이터베이스(212)에 저장된 요소들을 추출하기 위한 스노트 룰 추출부(214), 상기 사용자 인터페이스(104)를 통해 수신되는 상기 스노트 룰 자동 생성을 위한 조건들에 따라, 상기 스노트 룰 추출부(214)에 의해 추출된 스노트 룰의 요소들을 조합하여 사용자가 원하는 스노트 룰을 생성하기 위한 스노트 룰 생성부(216), 및 상기 스노트 룰 생성부(216)에 의해 생성된 스노트 룰을 배포하기 위한 스노트 룰 배포부(218)를 포함한다.The automatic snort rule generator 102 of the apparatus 100 for automatically generating a snort rule according to an embodiment of the present invention shown in FIG. 2 is a snort for collecting a plurality of snort rules 106 from the outside. A rule collection unit 200, a raw snort rule database 202 for storing a plurality of snort rules collected by the snort rule collection unit 200, and a plurality of sources stored in the original snort rule database 202 The snort rule analysis unit 204 for analyzing whether the snort rule is a real snort rule, and the validity of the syntax of the snort rule by analyzing the syntax of the real snort rule output from the snort rule analysis unit 204 A snort rule syntax validation unit 206 for verifying the syntax, a snort rule syntax separation unit 208 for separating the syntax of the verified snort rule for each element, and storing the syntax-separated elements Through the effective snort rule database generation unit 210 for generating the valid snort rule database 212 for, the valid snort rule database 212 for storing the segregated elements, and the user interface 104 . The snort rule extraction unit 214 for extracting elements stored in the effective snort rule database 212 according to the received conditions for automatically generating the snort rule, which is received through the user interface 104 A snort rule generating unit for generating a snort rule desired by a user by combining the elements of the snort rule extracted by the snort rule extraction unit 214 according to the conditions for automatically generating the snort rule ( 216), and a snort rule distribution unit 218 for distributing the snort rule generated by the snort rule generation unit 216.

또한, 상기 스노트 룰 자동 생성부(102)는, 침입탐지차단 시스템(108)으로부터 상기 스노트 룰 배포부(218)에 의해 배포된 스노트 룰의 적용 결과를 수집하는 결과 수집부(220), 상기 결과 수집부(220)에서 수집된 스노트 룰 적용 결과를 분석하기 위한 결과 분석부(222), 상기 스노트 룰 적용 결과의 분석 결과를 저장하기 위한 결과 데이터베이스(220)를 생성하기 위한 결과 데이터베이스 생성부(224), 및 상기 스노트 룰 적용 결과의 분석 결과 및 상기 분석 결과에 따라 검증된 스노트 룰을 저장하기 위한 결과 데이터베이스(220)를 더 포함한다.In addition, the snort rule automatic generation unit 102 is a result collection unit 220 that collects the application result of the snort rule distributed by the snort rule distribution unit 218 from the intrusion detection and blocking system 108 . , a result analysis unit 222 for analyzing the snort rule application result collected by the result collection unit 220, and a result for generating a result database 220 for storing the analysis result of the snort rule application result It further includes a database generator 224, and a result database 220 for storing the analysis result of the snort rule application result and the snort rule verified according to the analysis result.

또한, 상기 스노트 룰 수집부(200)는, 상기 결과 데이터베이스(226)에 저장된 검증된 스노트 룰을 추가로 수집한다.In addition, the snort rule collection unit 200 additionally collects verified snort rules stored in the result database 226 .

상기와 같이 구성된 본 발명의 일 실시예에 의한 스노트 룰 자동 생성 장치(100)의 동작을 도 2 내지 도 8을 참조하여 상세히 설명하기로 한다.An operation of the apparatus 100 for automatically generating a snort rule according to an embodiment of the present invention configured as described above will be described in detail with reference to FIGS. 2 to 8 .

단계 S300에서, 스노트 룰 수집부(200)는, 외부로부터 복수의 스노트 룰(106)을 수집한다. 도 5는 스노트 룰 수집부(200)에서 수집된 예시적인 복수의 스노트 룰을 사용자 인터페이스(104)를 이용하여 표시한 화면이다.In step S300 , the snort rule collection unit 200 collects a plurality of snort rules 106 from the outside. FIG. 5 is a screen in which a plurality of exemplary snort rules collected by the snort rule collection unit 200 are displayed using the user interface 104 .

단계 S302에서, 스노트 룰 수집부(200)는, 상기 수집된 복수의 스노트 룰을 데이터베이스화하여 원시 스노트 룰 데이터베이스(202)에 저장한다.In step S302 , the snort rule collection unit 200 compiles the plurality of collected snort rules into a database and stores them in the original snort rule database 202 .

단계 S304에서, 스노트 룰 분석부(204)는, 상기 원시 스노트 룰 데이터베이스(202)에 저장된 복수의 스노트 룰의 정합성을 분석한다. 즉, 상기 스노트 룰 분석부(204)는, 상기 원시 스노트 룰 데이터베이스(202)에 저장된 복수의 스노트 룰이 진짜 스노트 룰인지를 분석한다.In step S304 , the snort rule analysis unit 204 analyzes the consistency of a plurality of snort rules stored in the original snort rule database 202 . That is, the snort rule analysis unit 204 analyzes whether the plurality of snort rules stored in the original snort rule database 202 are real snort rules.

단계 S306에서, 스노트 룰 구문 유효성 검사부(206)는, 상기 스노트 룰 분석 단계에서 진짜 스노트 룰로 판정된 진짜 스노트 룰의 구문을 분석하여 스노트 룰의 구문의 유효성을 검증한다.In step S306, the snort rule syntax validation unit 206 analyzes the syntax of the real snort rule determined to be the real snort rule in the snort rule analysis step to verify the validity of the syntax of the snort rule.

단계 S308에서, 스노트 룰 구문 분리부(208)는, 상기 유효성이 검증된 스노트 룰의 구문을 각 요소별로 구문 분리한다. 스노트 룰은 도 4에 도시된 바와 같이 헤더 및 옵션으로 구성되어 있는데, 헤더 및 옵션 각각은 다양한 요소들을 포함한다. 도 4에서 참조번호 400은 예시적인 스노트 룰을 도시한 것이고, 참조번호 402는 예시적인 스노트 룰의 헤더와 옵션의 각 요소들을 도시한 것이다.In step S308, the snort rule syntax separation unit 208 separates the syntax of the validated snort rule for each element. The snort rule is composed of a header and options as shown in FIG. 4 , each of which includes various elements. In FIG. 4 , reference numeral 400 denotes an exemplary snort rule, and reference numeral 402 denotes each element of a header and options of an exemplary snort rule.

단계 S310에서, 스노트 룰 데이터베이스 생성부(210)는, 상기 구문 분리된 요소들을 저장하기 위한 유효 스노트 룰 데이터베이스(212)를 생성하여 상기 구문 분리된 요소들을 생성된 유효 스노트 룰 데이터베이스(212)에 저장한다.In step S310, the snort rule database generation unit 210 creates a valid snort rule database 212 for storing the syntax-separated elements, and creates a valid snort rule database 212 in which the syntax-separated elements are generated. ) is stored in

단계 S312에서, 스노트 룰 추출부(214)는, 상기 사용자 인터페이스(104)를 통해 수신되는 상기 스노트 룰 자동 생성을 위한 조건들에 따라, 상기 유효 스노트 룰 데이터베이스(212)에 저장된 요소들 중에서, 사용자가 지정한 조건들에 맞는 요소들을 추출한다.In step S312 , the snort rule extracting unit 214 uses the elements stored in the valid snort rule database 212 according to the conditions for automatically generating the snort rule received through the user interface 104 . Among them, elements that meet the conditions specified by the user are extracted.

상기 스노트 룰 자동 생성을 위한 조건들은, 도 4에 도시된 요소들, 도 6에 도시된 스노트 룰의 기본 정보와 관련된 요소들, 도 7에 도시된 스노트 룰의 패턴 정보(Payload)와 관련된 요소들, 및 도 8에 도시된 스노트 룰의 패턴 정보(Non-Payload)와 관련된 요소들을 포함한다.The conditions for automatically generating the snort rule include elements shown in FIG. 4, elements related to basic information of the snort rule shown in FIG. 6, pattern information (Payload) of the snort rule shown in FIG. It includes related elements, and elements related to pattern information (Non-Payload) of the snort rule shown in FIG. 8 .

사용자가 사용자 인터페이스(104)를 통해, 도 4, 도 6 내지 도 8에 도시된 스노트 룰의 헤더 및 옵션 중 적어도 하나 이상에 포함된 요소들을 지정하면, 상기 스노트 룰 추출부(214)는 상기 유효 스노트 룰 데이터베이스(212)에서 지정된 요소들과 관련된 요소들을 추출할 수 있다.When the user designates elements included in at least one of the headers and options of the snort rule shown in FIGS. 4 and 6 to 8 through the user interface 104, the snort rule extracting unit 214 is Elements related to designated elements may be extracted from the effective snort rule database 212 .

단계 S314에서, 스노트 룰 생성부(216)는, 상기 사용자 인터페이스(104)를 통해 수신되는 상기 스노트 룰 자동 생성을 위한 조건들에 따라, 상기 스노트 룰 추출부(314)에 의해 추출된 스노트 룰의 요소들을 조합하여 사용자가 원하는 스노트 룰을 생성한다.In step S314 , the snort rule generating unit 216 performs the snort rule extraction unit 314 extracts according to the conditions for automatically generating the snort rule received through the user interface 104 . By combining the elements of the snort rule, the snort rule desired by the user is created.

도 6 내지 도 8에 도시된 바와 같이, 사용자는 화면에 표시된 룰 조합 버튼(600)을 클릭함으로써, 사용자가 지정한 스노트 룰 자동 생성을 위한 조건들에 따라, 상기 스노트 룰 추출부(314)에 의해 추출된 스노트 룰의 요소들을 조합하여 사용자가 원하는 조합된 스노트 룰(602)을 생성할 수 있다.As shown in FIGS. 6 to 8 , the user clicks the rule combination button 600 displayed on the screen, and the snort rule extractor 314 according to the conditions for automatically generating the snort rule specified by the user. The combined snort rule 602 desired by the user may be created by combining the elements of the snort rule extracted by .

도 6을 참조하면, 사용자가 지정한 스노트 룰 자동 생성을 위한 조건들에 따라, 상기 스노트 룰 추출부(314)에 의해 추출된 스노트 룰의 요소들을 조합하여 생성된 스노트 룰(602)이 화면에 표시된다.Referring to FIG. 6 , a snort rule 602 generated by combining elements of the snort rule extracted by the snort rule extractor 314 according to conditions for automatic generation of a snort rule specified by a user. displayed on this screen.

한편, 참조번호 604는 조합하여 생성된 스노트 룰(602)이 유효한 스노트 룰인지를 검증하기 위한 스노트 룰 유효성 검증 버튼이고, 참조번호 606은 스노트 룰을 요소별로 분리하기 위한 스노트 룰 분리 버튼이다.On the other hand, reference number 604 is a snort rule validation button for verifying whether the snort rule 602 generated by combining is a valid snort rule, and reference number 606 is a snort rule for separating the snort rule into elements. It's a detach button.

단계 S316에서, 스노트 룰 배포부(218)는, 상기 생성된 스노트 룰을 배포한다.In step S316, the snort rule distribution unit 218 distributes the generated snort rule.

단계 S318에서, 결과 수집부(220)는, 침입탐지차단 시스템(108)으로부터 배포된 스노트 룰의 적용 결과를 수집한다.In step S318 , the result collection unit 220 collects the application result of the snort rule distributed from the intrusion detection and blocking system 108 .

단계 S320에서, 결과 분석부(222)는, 상기 수집된 스노트 룰 적용 결과를 분석한다.In step S320, the result analysis unit 222 analyzes the collected snort rule application results.

단계 S322에서, 결과 데이터베이스 생성부(224)는, 상기 스노트 룰 적용 결과의 분석에 기반하여 검증된 스노트 룰들을 결과 데이터베이스(226)에 저장한다.In step S322 , the result database generator 224 stores the snort rules verified based on the analysis of the snort rule application result in the result database 226 .

한편, 단계 S300에서, 스노트 룰 수집부(200)는, 상기 결과 데이터베이스(226)에 저장된 검증된 스노트 룰을 추가로 수집한다. 스노트 룰 수집부(200)가 축적된 결과 데이터베이스(226)에 저장된 검증된 스노트 룰을 수집함으로써, 본 발명의 일 실시예에 의한 스노트 룰 자동 생성 장치 및 방법은 검증된 스노트 룰을 통해 침입탐지차단 시스템(IPS)에 신속하게 정책, 즉 검증된 스노트 룰을 전송할 수 있다.Meanwhile, in step S300 , the snort rule collection unit 200 additionally collects the verified snort rules stored in the result database 226 . By collecting the verified snort rules stored in the accumulated result database 226 by the snort rule collecting unit 200, an apparatus and method for automatically generating a snort rule according to an embodiment of the present invention generate the verified snort rules. Through this, it is possible to quickly transmit a policy, that is, a verified snort rule, to an intrusion detection and prevention system (IPS).

상기와 같이, 본 발명의 일 실시예에 의한 스노트 룰 자동 생성 장치 및 방법에 의하면, 스노트 룰 생성에 사용자 인터페이스(GUI)를 활용한 직관적 생성 및 구문 분석을 통한 스노트 룰의 분리를 가능하도록 하며, 최종적으로 생성 및 분리된 정책의 유효성을 검증하여, 스노트 룰의 데이터베이스화를 통해 재사용이 가능하도록 함으로써, 스노트 룰의 생성, 관리 및 재사용이 가능하여, 시스템 운영자의 스노트 룰 생성 시 휴먼 에러를 방지하며 보다 쉽게 스노트 룰을 생성할 수 있다.As described above, according to the apparatus and method for automatically generating a snort rule according to an embodiment of the present invention, it is possible to separate the snort rule through intuitive creation and syntax analysis using a user interface (GUI) to generate the snort rule. Finally, by verifying the validity of the created and separated policies, and enabling reuse through databaseization of snort rules, it is possible to create, manage and reuse snort rules, thereby creating snort rules for system operators. It prevents human error and makes it easier to create snort rules.

이상 본 발명을 구체적인 실시예를 통하여 상세하게 설명하였으나, 이는 본 발명을 구체적으로 설명하기 위한 것으로, 본 발명은 이에 한정되지 않으며, 본 발명의 기술적 사상 내에서 당 분야의 통상의 지식을 가진 자에 의해 그 변형이나 개량이 가능함은 명백하다고 할 것이다.Although the present invention has been described in detail through specific examples, this is intended to describe the present invention in detail, and the present invention is not limited thereto, and those of ordinary skill in the art within the technical spirit of the present invention It will be clear that the transformation or improvement is possible.

본 발명의 단순한 변형 내지 변경은 모두 본 발명의 영역에 속하는 것으로, 본 발명의 구체적인 보호 범위는 첨부된 청구범위에 의하여 명확해질 것이다.All simple modifications and variations of the present invention fall within the scope of the present invention, and the specific scope of protection of the present invention will become apparent from the appended claims.

100 : 스노트 룰 자동 생성 장치 102 : 스노트 룰 자동 생성부
104 :사용자 인터페이스 106 : 스노트 룰
108 : 침입탐지차단 시스템 200 : 스노트 룰 수집부
202 : 원시 스노트 룰 데이터베이스
204 : 스노트 룰 분석부 206 : 스노트 룰 구문 유효성 검사부
208 : 스노트 룰 구문 분리부 210 : 스노트 룰 데이터베이스 생성부
212 : 유효 스노트 룰 데이터베이스 214 : 스노트 룰 추출부
216 : 스노트 룰 생성부 218 : 스노트 룰 배포부
220 : 결과 수집부 222 : 결과 분석부
224 : 결과 데이터베이스 생성부 226 : 결과 데이터베이스100: device for automatically generating snort rules 102: automatic snort rule generating unit
104: user interface 106: snort rule
108: intrusion detection and blocking system 200: snort rule collection unit
202: Raw Snort Rules Database
204: snort rule analysis unit 206: snort rule syntax validation unit
208: snort rule syntax separation unit 210: snort rule database generation unit
212: effective snort rule database 214: snort rule extraction unit
216: snort rule generation unit 218: snort rule distribution unit
220: result collection unit 222: result analysis unit
224: result database generator 226: result database

Claims (6)

사용자로부터 스노트 룰 자동 생성을 위한 조건들을 입력받는 사용자 인터페이스; 및
외부로부터 복수의 스노트 룰을 수집하고, 수집된 복수의 스노트 룰에 대한 유효성을 검증하며, 상기 유효성이 검증된 스노트 룰들 각각을 구문 분리하여 스노트 룰의 구문 분리된 요소들을 유효 스노트 룰 데이터베이스에 저장하고, 상기 사용자 인터페이스를 통해 수신되는 상기 스노트 룰 자동 생성을 위한 조건들에 따라, 상기 유효 스노트 룰 데이터베이스에 저장된 요소들을 조합하여 스노트 룰을 생성하여 배포하는 스노트 룰 자동 생성부를 포함하고,
상기 스노트 룰 자동 생성부는,
침입탐지차단 시스템으로부터 상기 스노트 룰 자동 생성부에 의해 배포된 스노트 룰의 적용 결과를 수집하는 결과 수집부;
상기 결과 수집부에서 수집된 스노트 룰 적용 결과를 분석하기 위한 결과 분석부;
상기 스노트 룰 적용 결과의 분석에 기반하여 검증된 스노트 룰을 저장하기 위한 결과 데이터베이스를 생성하기 위한 결과 데이터베이스 생성부; 및
상기 스노트 룰 적용 결과의 분석에 기반하여 검증된 스노트 룰을 저장하기 위한 결과 데이터베이스를 포함하고,
상기 스노트 룰 자동 생성부는, 상기 결과 데이터베이스에 저장된 검증된 스노트 룰을 추가로 수집하는, 사용자 인터페이스를 통한 스노트 룰 자동 생성 장치.a user interface that receives conditions for automatically generating a snort rule from a user; and
Collecting a plurality of snort rules from the outside, verifying the validity of the plurality of collected snort rules, and separating each of the validated snort rules by syntacticizing the separated elements of the snort rule as valid snort Automatic snort rule that stores in the rule database and creates and distributes snort rules by combining elements stored in the effective snort rule database according to the conditions for automatic snort rule generation received through the user interface comprising a generator;
The snort rule automatic generation unit,
a result collection unit for collecting the application result of the snort rule distributed by the snort rule automatic generation unit from the intrusion detection and blocking system;
a result analysis unit for analyzing the result of applying the snort rule collected by the result collection unit;
a result database generation unit for generating a result database for storing the verified snort rule based on the analysis of the result of applying the snort rule; and
a result database for storing the snort rule verified based on the analysis of the snort rule application result;
The automatic snort rule generator is configured to additionally collect verified snort rules stored in the result database. 삭제delete 사용자로부터 스노트 룰 자동 생성을 위한 조건들을 입력받는 사용자 인터페이스; 및
외부로부터 복수의 스노트 룰을 수집하고, 수집된 복수의 스노트 룰에 대한 유효성을 검증하며, 상기 유효성이 검증된 스노트 룰들 각각을 구문 분리하여 스노트 룰의 구문 분리된 요소들을 유효 스노트 룰 데이터베이스에 저장하고, 상기 사용자 인터페이스를 통해 수신되는 상기 스노트 룰 자동 생성을 위한 조건들에 따라, 상기 유효 스노트 룰 데이터베이스에 저장된 요소들을 조합하여 스노트 룰을 생성하여 배포하는 스노트 룰 자동 생성부를 포함하고,
상기 스노트 룰 자동 생성부는,
복수의 스노트 룰을 수집하기 위한 스노트 룰 수집부;
상기 스노트 룰 수집부에서 수집된 복수의 스노트 룰을 저장하기 위한 원시 스노트 룰 데이터베이스;
상기 원시 스노트 룰 데이터베이스에 저장된 복수의 스노트 룰이 진짜 스노트 룰인지를 분석하기 위한 스노트 룰 분석부;
상기 스노트 룰 분석부에서 출력되는 진짜 스노트 룰의 구문을 분석하여 스노트 룰의 구문의 유효성을 검증하기 위한 스노트 룰 구문 유효성 검사부;
상기 유효성이 검증된 스노트 룰의 구문을 각 요소별로 구문 분리하기 위한 스노트 룰 구문 분리부;
상기 구문 분리된 요소들을 저장하기 위한 유효 스노트 룰 데이터베이스를 생성하기 위한 유효 스노트 룰 데이터베이스 생성부;
상기 구문 분리된 요소들을 저장하기 위한 유효 스노트 룰 데이터베이스;
상기 사용자 인터페이스를 통해 수신되는 상기 스노트 룰 자동 생성을 위한 조건들에 따라, 상기 유효 스노트 룰 데이터베이스에 저장된 요소들을 추출하기 위한 스노트 룰 추출부;
상기 사용자 인터페이스를 통해 수신되는 상기 스노트 룰 자동 생성을 위한 조건들에 따라, 상기 스노트 룰 추출부에 의해 추출된 스노트 룰의 요소들을 조합하여 스노트 룰을 생성하기 위한 스노트 룰 생성부; 및
상기 스노트 룰 생성부에 의해 생성된 스노트 룰을 배포하기 위한 스노트 룰 배포부를 포함하는, 사용자 인터페이스를 통한 스노트 룰 자동 생성 장치.a user interface that receives conditions for automatically generating a snort rule from a user; and
Collecting a plurality of snort rules from the outside, verifying the validity of the plurality of collected snort rules, and separating each of the validated snort rules by syntacticizing the separated elements of the snort rule as valid snort Automatic snort rule that stores in the rule database and creates and distributes snort rules by combining elements stored in the effective snort rule database according to the conditions for automatic snort rule generation received through the user interface comprising a generator;
The snort rule automatic generation unit,
a snort rule collection unit for collecting a plurality of snort rules;
a raw snort rule database for storing a plurality of snort rules collected by the snort rule collection unit;
a snort rule analysis unit for analyzing whether the plurality of snort rules stored in the original snort rule database are real snort rules;
a snort rule syntax validation unit for verifying the validity of the syntax of the snort rule by analyzing the syntax of the real snort rule output from the snort rule analysis unit;
a snort rule syntax separator for separating the syntax of the validated snort rule for each element;
a valid snort rule database generator for generating a valid snort rule database for storing the segregated elements;
a valid snort rule database for storing the syntactically separated elements;
a snort rule extractor configured to extract elements stored in the valid snort rule database according to the conditions for automatically generating the snort rule received through the user interface;
A snort rule generating unit for generating a snort rule by combining elements of the snort rule extracted by the snort rule extracting unit according to the conditions for automatically generating the snort rule received through the user interface. ; and
and a snort rule distribution unit for distributing the snort rule generated by the snort rule generation unit. 사용자 인터페이스를 통한 스노트 룰 자동 생성 장치에서 수행되는 사용자 인터페이스를 통한 스노트 룰 자동 생성 방법으로서,
(A) 사용자 인터페이스를 통해 사용자로부터 스노트 룰 자동 생성을 위한 조건들을 입력받는 단계; 및
(B) 외부로부터 복수의 스노트 룰을 수집하고, 수집된 복수의 스노트 룰에 대한 유효성을 검증하며, 상기 유효성이 검증된 스노트 룰들 각각을 구문 분리하여 스노트 룰의 구문 분리된 요소들을 유효 스노트 룰 데이터베이스에 저장하며, 상기 사용자 인터페이스를 통해 수신되는 상기 스노트 룰 자동 생성을 위한 조건들에 따라, 상기 유효 스노트 룰 데이터베이스에 저장된 요소들을 조합하여 스노트 룰을 생성하여 배포하는 단계를 포함하고,
상기 생성된 스노트 룰을 배포하는 단계 이후에,
침입탐지차단 시스템으로부터 상기 배포된 스노트 룰의 적용 결과를 수집하는 단계;
상기 수집된 스노트 룰 적용 결과를 분석하는 단계; 및
상기 스노트 룰 적용 결과의 분석에 기반하여 검증된 스노트 룰을 결과 데이터베이스에 저장하는 단계를 더 포함하고,
상기 스노트 룰 수집 단계는, 상기 결과 데이터베이스에 저장된 검증된 스노트 룰을 추가로 수집하는 단계를 더 포함하는, 사용자 인터페이스를 통한 스노트 룰 자동 생성 방법.A method for automatically generating a snort rule through a user interface performed in an apparatus for automatically generating a snort rule through a user interface, the method comprising:
(A) receiving conditions for automatically generating a snort rule from a user through a user interface; and
(B) Collecting a plurality of snort rules from the outside, verifying the validity of the plurality of collected snort rules, and separating the syntax-separated elements of the snort rules by syntactically separating each of the validated snort rules Storing in a valid snort rule database, generating and distributing a snort rule by combining elements stored in the valid snort rule database according to the conditions for automatically generating the snort rule received through the user interface; including,
After distributing the generated snort rule,
collecting the application result of the distributed snort rule from the intrusion detection and blocking system;
analyzing the collected snort rule application results; and
Storing the verified snort rule based on the analysis of the snort rule application result in a result database,
The method for automatically generating a snort rule through a user interface, wherein the step of collecting the snort rule further comprises the step of additionally collecting the verified snort rule stored in the result database. 삭제delete 사용자 인터페이스를 통한 스노트 룰 자동 생성 장치에서 수행되는 사용자 인터페이스를 통한 스노트 룰 자동 생성 방법으로서,
(A) 사용자 인터페이스를 통해 사용자로부터 스노트 룰 자동 생성을 위한 조건들을 입력받는 단계; 및
(B) 외부로부터 복수의 스노트 룰을 수집하고, 수집된 복수의 스노트 룰에 대한 유효성을 검증하며, 상기 유효성이 검증된 스노트 룰들 각각을 구문 분리하여 스노트 룰의 구문 분리된 요소들을 유효 스노트 룰 데이터베이스에 저장하며, 상기 사용자 인터페이스를 통해 수신되는 상기 스노트 룰 자동 생성을 위한 조건들에 따라, 상기 유효 스노트 룰 데이터베이스에 저장된 요소들을 조합하여 스노트 룰을 생성하여 배포하는 단계를 포함하고,
상기 단계 (B)는,
외부로부터 복수의 스노트 룰을 수집하는 단계;
상기 수집된 복수의 스노트 룰을 원시 스노트 룰 데이터베이스에 저장하는 단계;
상기 원시 스노트 룰 데이터베이스에 저장된 복수의 스노트 룰이 진짜 스노트 룰인지를 분석하는 단계;
상기 스노트 룰 분석 단계에서 진짜 스노트 룰로 판정된 진짜 스노트 룰의 구문을 분석하여 스노트 룰의 구문의 유효성을 검증하는 단계;
상기 유효성이 검증된 스노트 룰의 구문을 각 요소별로 구문 분리하는 단계;
상기 구문 분리된 요소들을 저장하기 위한 유효 스노트 룰 데이터베이스를 생성하여 상기 구문 분리된 요소들을 생성된 유효 스노트 룰 데이터베이스에 저장하는 단계;
상기 사용자 인터페이스를 통해 수신되는 상기 스노트 룰 자동 생성을 위한 조건들에 따라, 상기 유효 스노트 룰 데이터베이스에 저장된 요소들을 추출하는 단계;
상기 사용자 인터페이스를 통해 수신되는 상기 스노트 룰 자동 생성을 위한 조건들에 따라, 상기 스노트 룰 추출부에 의해 추출된 스노트 룰의 요소들을 조합하여 스노트 룰을 생성하는 단계; 및
상기 생성된 스노트 룰을 배포하는 단계를 포함하는, 사용자 인터페이스를 통한 스노트 룰 자동 생성 방법.A method for automatically generating a snort rule through a user interface performed in an apparatus for automatically generating a snort rule through a user interface, the method comprising:
(A) receiving conditions for automatically generating a snort rule from a user through a user interface; and
(B) Collecting a plurality of snort rules from the outside, verifying the validity of the plurality of collected snort rules, and separating the syntax-separated elements of the snort rules by syntactically separating each of the validated snort rules Storing in a valid snort rule database, generating and distributing a snort rule by combining elements stored in the valid snort rule database according to the conditions for automatically generating the snort rule received through the user interface; including,
The step (B) is,
collecting a plurality of snort rules from outside;
storing the collected plurality of snort rules in a raw snort rule database;
analyzing whether the plurality of snort rules stored in the original snort rule database are real snort rules;
verifying the validity of the syntax of the snort rule by analyzing the syntax of the real snort rule determined as the real snort rule in the snort rule analysis step;
Separating the syntax of the validated snort rule for each element;
generating a valid snort rule database for storing the syntax-separated elements and storing the syntax-separated elements in the generated valid snort rule database;
extracting elements stored in the valid snort rule database according to the conditions for automatically generating the snort rule received through the user interface;
generating a snort rule by combining elements of the snort rule extracted by the snort rule extractor according to the conditions for automatically generating the snort rule received through the user interface; and
and distributing the generated snort rule.
KR1020190138836A 2019-11-01 2019-11-01 Apparatus and method for automatically generating snort rules through a user interface KR102271366B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190138836A KR102271366B1 (en) 2019-11-01 2019-11-01 Apparatus and method for automatically generating snort rules through a user interface

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190138836A KR102271366B1 (en) 2019-11-01 2019-11-01 Apparatus and method for automatically generating snort rules through a user interface

Publications (2)

Publication Number Publication Date
KR20210053045A KR20210053045A (en) 2021-05-11
KR102271366B1 true KR102271366B1 (en) 2021-07-01

Family

ID=75914944

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190138836A KR102271366B1 (en) 2019-11-01 2019-11-01 Apparatus and method for automatically generating snort rules through a user interface

Country Status (1)

Country Link
KR (1) KR102271366B1 (en)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100558658B1 (en) * 2003-10-02 2006-03-14 한국전자통신연구원 In-line mode network intrusion detection/prevention system and method therefor
KR100639568B1 (en) * 2005-01-26 2006-10-30 학교법인 대전기독학원 한남대학교 An apparatus for a performance test of information security system using network processor and a method thereof
KR20060087090A (en) 2005-01-28 2006-08-02 소우영 An attack packet database using snort rule

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
구영훈 외 3인, "SnorGen: 웹 기반 시그니쳐 자동 생성 시스템", KNOM Review, Vol.18 No.02, 2015.11.18.
김성호 외 1인, "악성코드 침입탐지시스템 탐지규칙 자동생성 및 검증시스템", Journal of Internet Computing and Services(JICS), 2019.04.
스노트란?, http://attiadmin.guyweb.co.kr/secuutil/snort.html

Also Published As

Publication number Publication date
KR20210053045A (en) 2021-05-11

Similar Documents

Publication Publication Date Title
KR102047782B1 (en) Method and apparatus for recognizing cyber threats using correlational analytics
CN105208000B (en) The method and Network Security Device of network analysis attack backtracking
US20170149830A1 (en) Apparatus and method for automatically generating detection rule
Kuznetsov et al. The statistical analysis of a network traffic for the intrusion detection and prevention systems
CN106790023A (en) Network security Alliance Defense method and apparatus
DE102011056502A1 (en) Method and apparatus for automatically generating virus descriptions
CN112671807B (en) Threat processing method, threat processing device, electronic equipment and computer readable storage medium
KR102293773B1 (en) Apparatus and method for analyzing network traffic using artificial intelligence
CN107633433B (en) Advertisement auditing method and device
CN115174255B (en) Industrial Internet platform data transmission safety protection system
CN113422975A (en) Background live video auditing method
KR102271366B1 (en) Apparatus and method for automatically generating snort rules through a user interface
KR102044181B1 (en) Apparatus and method for creating whitelist with network traffic
CN102509057B (en) Mark-based method for safely filtering unstructured data
CN112732693A (en) Intelligent internet of things data acquisition method, device, equipment and storage medium
CN112448919B (en) Network anomaly detection method, device and system and computer readable storage medium
KR101328641B1 (en) System for generating overall information for malicious code and management system for the same
KR102175950B1 (en) Apparatus and method for normalizing security information of heterogeneous systems
US20060126518A1 (en) Apparatus and method for securing internet server
CN107454043A (en) The monitoring method and device of a kind of network attack
CN114157504A (en) Safety protection method based on Servlet interceptor
CN113315785A (en) Alarm reduction method, device, equipment and computer readable storage medium
KR101619059B1 (en) Apparatus, system and method for generation and distribution lightweight signature
CN105208035A (en) Accessing operation blocking method and system and server device
CN111447211A (en) Network fraud prevention system

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right