KR102418917B1 - 이종의 네트워크 침입 탐지 및 방지 시스템 간의 룰 변환을 위한 장치 및 이를 위한 방법 - Google Patents

이종의 네트워크 침입 탐지 및 방지 시스템 간의 룰 변환을 위한 장치 및 이를 위한 방법 Download PDF

Info

Publication number
KR102418917B1
KR102418917B1 KR1020210010904A KR20210010904A KR102418917B1 KR 102418917 B1 KR102418917 B1 KR 102418917B1 KR 1020210010904 A KR1020210010904 A KR 1020210010904A KR 20210010904 A KR20210010904 A KR 20210010904A KR 102418917 B1 KR102418917 B1 KR 102418917B1
Authority
KR
South Korea
Prior art keywords
keyword
replacement
target
module
target keyword
Prior art date
Application number
KR1020210010904A
Other languages
English (en)
Inventor
최성곤
정장현
김종범
Original Assignee
충북대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 충북대학교 산학협력단 filed Critical 충북대학교 산학협력단
Priority to KR1020210010904A priority Critical patent/KR102418917B1/ko
Application granted granted Critical
Publication of KR102418917B1 publication Critical patent/KR102418917B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/11File system administration, e.g. details of archiving or snapshots
    • G06F16/116Details of conversion of file system types or formats
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명의 이종의 네트워크 침입 탐지 및 방지 시스템 간의 룰 변환을 위한 방법은 사용불가키워드탐색모듈이 제1 NIDPS 엔진의 룰 파일의 복수의 키워드 중 제2 NIDPS 엔진에서 사용할 수 없는 대상 키워드를 탐색하는 단계와, 대체키워드탐색모듈이 상기 대상 키워드에 대응하여 제2 NIDPS 엔진에서 사용할 수 있는 대체 키워드를 탐색하는 단계와, 교체모듈이 상기 대체 키워드의 위치와 상기 대상 키워드의 위치가 동일하면, 상기 대상 키워드의 위치에 상기 대체 키워드를 복사하는 단계를 포함한다.

Description

이종의 네트워크 침입 탐지 및 방지 시스템 간의 룰 변환을 위한 장치 및 이를 위한 방법{Apparatus for rule conversion between heterogeneous Network Intrusion Detection and Prevention Systems (NIDPS) and method therefor}
본 발명은 룰 변환을 위한 기술에 관한 것으로, 보다 상세하게는, 이종의 네트워크 침입 탐지 및 방지 시스템(Network Intrusion Detection and Prevention Systems: NIDPS) 간의 룰 변환을 위한 장치 및 이를 위한 방법에 관한 것이다.
웹 서비스는 인터넷 네트워크 기술의 발전과 더불어 폭발적으로 증가하여 인터넷을 사용하는 거의 모든 사람들이 웹 서비스를 통해 정보를 검색하고 수집하는 정보의 기반 시설이 되었다. 그러나 이러한 폭넓은 사용으로 인해 웹 서비스는 대부분의 공격, 예를 들면 바이러스, 멀웨어 및 취약점 공격 등의 주요 경로가 되고 있다. 특히 대부분의 바이러스, 멀웨어 및 취약점 공격 등은 특정 분류의 사이트를 통해 전파된다. 예를 들면, 사람들의 호기심을 자극하는 도박, 성인 사이트 등을 통해 바이러스, 멀웨어 및 취약점 공격 등이 전파될 수 있다.
이처럼 인터넷이 확장됨과 동시에 개인정보, 중요 데이터들의 보호를 위해 네트워크 보안이 중요해지고 있다. 네트워크를 통한 공격들은 점차 다양하고 새로운 패턴들이 생겨나고 있다. 이러한 공격 위험이 있는 패턴을 가진 패킷들을 탐지하고 막기 위해 IDS(Intrusion Detection System), IPS(Intrusion Prevention System) 엔진 사용이 증가 하고 있다. IDS는 공격 위험이 있는 패턴을 가진 패킷들을 탐지하고, IPS는 시스템을 보호하기 위해 공격 위험이 있는 패턴을 가진 패킷들을 탐지 할뿐만 아니라 패킷을 차단 할 수 있다.
IDS(Intrusion Detection System) 장치는 실제 트래픽에는 영향을 주지 않으면서 공격 탐지를 수행한다. IDS 장치는 시그니처들을 저장하는 데이터베이스를 보유하고, 패킷 유입 시 시그니처들 각각과 패킷을 비교하여 공격을 탐지한다. IDS 장치는 주로 패킷의 복사본을 그 대상으로 하며, 따라서 실제 트래픽에 영향을 주지는 않는다. IDS 장치가 공격을 탐지하는데 걸리는 시간과 무관하게, 트래픽 상의 패킷은 복사본을 제공하고 바로 전송되므로 서비스 지연이 발생하지 않는다. 하지만IDS 장치는 공격이 탐지된 경우 해당 패킷을 차단하지 못하고 통과시키는 문제점이 있다.
IPS(Intrusion Protection System) 장치는 공격을 탐지한 후 탐지 결과에 따라 해당 패킷을 실제로 차단한다. IPS 장치는 시그니처들을 저장하는 데이터베이스를 보유하고, 패킷과 시그니처를 비교하여 공격을 탐지한다. IPS 장치는 수신된 패킷의 원본을 대상으로 하여 공격 여부를 탐지하고, 실제 공격으로 판단 될 경우 해당 패킷을 차단할 수 있다. 공격 여부를 탐지하기 위한 패턴 매칭이 완료될 때까지 패킷은IPS 장치에 홀딩되며 패턴매칭이 종료되어야만 전송된다. 따라서IPS 장치는 패킷과 시그니처를 비교함에 있어 과도한 부하를 일으키는 시그니처에 취약한 문제가 있다.
NIDPS(Network Intrusion Detection and Prevention Systems) 엔진은 IDS, IPS기능을 모두 수행할 수 있다. 대표적인 NIDPS 엔진에는 snort, suricata, bro 등이 있다. 이러한 NIDPS 엔진들은 다양한 공격 패턴을 방어하기 위해 룰을 생성하고 룰에 해당하는 패턴을 가진 패킷들을 룰에 정의된 방법으로 처리한다.
NIDPS 엔진들의 룰은 각각 다른 포맷(format)을 가지고 있고, 다른 키워드를 사용한다. 그러므로 서로 다른 NIDPS 엔진에서 같은 공격 패턴을 방어하기 위해서는 서로 다른 룰을 생성해야한다. 예를 들어, NIDPS 엔진 중 하나인 suricata의 룰을 다른 NIDPS 엔진인 snort에 그대로 적용하여 네트워크 공격을 탐지 또는 차단하려고 시도하면 에러가 발생하게 된다. 따라서 NIDPS 엔진의 일종인 suricata의 룰을 다른 NIDPS 엔진인 snort에 적용하기 위해서 기존 룰을 변환하는 추가적인 방안이 필요하다.
한국공개특허 제2013-0081140호 2013년 07월 16일 공개
상술한 점을 감안한 본 발명의 목적은 이종의 네트워크 침입 탐지 및 방지 시스템 간의 룰 변환을 위한 장치 및 이를 위한 방법을 제공함에 있다.
상술한 바와 같은 목적을 달성하기 위한 본 발명의 바람직한 실시예에 따른 이종의 네트워크 침입 탐지 및 방지 시스템 간의 룰 변환을 위한 장치는 제1 NIDPS 엔진의 룰 파일의 복수의 키워드 중 제2 NIDPS 엔진에서 사용할 수 없는 대상 키워드를 탐색하는 사용불가키워드탐색모듈과, 상기 대상 키워드에 대응하여 제2 NIDPS 엔진에서 사용할 수 있는 대체 키워드를 탐색하는 대체키워드탐색모듈과, 상기 대체 키워드의 위치와 상기 대상 키워드의 위치가 동일하면, 상기 대상 키워드의 위치에 상기 대체 키워드를 복사하는 교체모듈을 포함한다.
상기 장치는 상기 대상 키워드와 상기 대체 키워드의 위치가 상이하고 상기 대체 키워드에 대응하는 콘텐츠가 상기 대체 키워드에 뒤에 위치해야 하는 경우, 상기 대응하는 콘텐츠의 앞에 상기 대체 키워드를 복사하는 변경모듈을 더 포함한다.
상기 변경모듈은 상기 대상 키워드와, 상기 대체 키워드의 위치가 상이하고, 상기 대체 키워드에 대응하는 콘텐츠가 상기 대체 키워드에 앞에 위치해야 하는 경우, 상기 대응하는 콘텐츠의 뒤에 상기 대체 키워드를 복사하는 것을 특징으로 한다.
상기 장치는 상기 대체키워드탐색모듈에서 상기 대상 키워드를 대체하는 상기 대체 키워드의 탐색에 성공한 경우, 상기 대상 키워드 이후에 기록된 룰을 상기 대상 키워드에 덮어쓰기(overwrite)하여 삭제하는 삭제모듈을 더 포함한다.
상기 교체모듈은 상기 대상 키워드와 대체 키워드의 길이를 비교하고, 대상 키워드 보다 대체 키워드의 길이가 긴 경우, 부족한 공간만큼 대상 키워드 이후의 룰 전체를 뒤로 이동시켜 공간을 확보하고, 확보된 공간에 상기 대체 키워드를 복사하고, 상기 대상 키워드 보다 상기 대체 키워드의 길이가 짧은 경우, 상기 대상 키워드가 있던 자리에 대체 키워드를 복사하고, 남는 공간을 삭제하는 것을 특징으로 한다.
상기 장치는 상기 대상 키워드가 상기 대체 키워드로 변환되면, 변환된 룰 파일을 생성하고, 생성된 룰 파일을 데이터베이스에 저장하는 저장모듈을 더 포함한다.
상술한 바와 같은 목적을 달성하기 위한 본 발명의 바람직한 실시예에 따른 이종의 네트워크 침입 탐지 및 방지 시스템 간의 룰 변환을 위한 방법은 사용불가키워드탐색모듈이 제1 NIDPS 엔진의 룰 파일의 복수의 키워드 중 제2 NIDPS 엔진에서 사용할 수 없는 대상 키워드를 탐색하는 단계와, 대체키워드탐색모듈이 상기 대상 키워드에 대응하여 제2 NIDPS 엔진에서 사용할 수 있는 대체 키워드를 탐색하는 단계와, 교체모듈이 상기 대체 키워드의 위치와 상기 대상 키워드의 위치가 동일하면, 상기 대상 키워드의 위치에 상기 대체 키워드를 복사하는 단계를 포함한다.
상기 방법은 상기 대상 키워드와 상기 대체 키워드의 위치가 상이하고 상기 대체 키워드에 대응하는 콘텐츠가 상기 대체 키워드에 뒤에 위치해야 하는 경우, 변경모듈이 상기 대응하는 콘텐츠의 앞에 상기 대체 키워드를 복사하는 단계를 더 포함한다.
상기 방법은 상기 대상 키워드와 상기 대체 키워드의 위치가 상이하고, 상기 대체 키워드에 대응하는 콘텐츠가 상기 대체 키워드에 앞에 위치해야 하는 경우, 상기 변경모듈이 상기 대응하는 콘텐츠의 뒤에 상기 대체 키워드를 복사하는 단계를 더 포함한다.
상기 방법은 상기 대체키워드탐색모듈에서 상기 대상 키워드를 대체하는 상기 대체 키워드의 탐색에 성공한 경우, 상기 대체 키워드를 복사하는 단계 전, 삭제모듈이 상기 대상 키워드 이후에 기록된 룰을 상기 대상 키워드에 덮어쓰기(overwrite)하여 상기 대상 키워드를 삭제하는 단계를 더 포함한다.
상기 대체 키워드를 복사하는 단계는 상기 교체모듈이 상기 대상 키워드와 대체 키워드의 길이를 비교하는 단계와, 상기 교체모듈이 대상 키워드 보다 대체 키워드의 길이가 긴 경우, 부족한 공간만큼 대상 키워드 이후의 룰 전체를 뒤로 이동시켜 공간을 확보하고, 확보된 공간에 상기 대체 키워드를 복사하고, 상기 대상 키워드 보다 상기 대체 키워드의 길이가 짧은 경우, 상기 대상 키워드가 있던 자리에 대체 키워드를 복사하고, 남는 공간을 삭제하는 단계를 포함한다.
상기 방법은 저장모듈이 상기 대상 키워드가 상기 대체 키워드로 변환되면, 변환된 룰 파일을 생성하고, 생성된 룰 파일을 데이터베이스에 저장하는 단계를 더 포함한다.
본 발명에 따르면 이종의 네트워크 침입 탐지 및 방지 시스템(Network Intrusion Detection and Prevention Systems: NIDPS) 간의 룰을 변환함으로써, 복수의 NIDPS 엔진 양자 모두의 룰을 사용할 수 있다. 이에 따라, 복수의 NIDPS 엔진 양자 모두에서 탐지 가능한 공격 패턴을 탐지하고 방지할 수 있다.
도 1은 본 발명의 실시예에 따른 서로 다른 네트워크 침입 탐지 및 방지 시스템 엔진 간의 룰 변환을 위한 장치의 구성을 설명하기 위한 도면이다.
도 2는 본 발명의 실시예에 따른 서로 다른 네트워크 침입 탐지 및 방지 시스템 엔진 간의 룰 변환을 위한 방법을 설명하기 위한 흐름도이다.
도 3은 본 발명의 실시예에 따른 서로 다른 네트워크 침입 탐지 및 방지 시스템 엔진 간의 룰 변환을 위한 방법을 보다 상세하게 설명하기 위한 흐름도이다.
도 4는 본 발명의 실시예에 따른 서로 다른 네트워크 침입 탐지 및 방지 시스템 엔진 간의 룰 변환을 위한 방법의 세부 프로세스를 설명하기 위한 흐름도이다.
도 5는 본 발명의 실시예에 따른 삭제모듈의 동작을 설명하기 위한 흐름도이다.
도 6은 본 발명의 실시예에 따른 교체모듈의 동작을 설명하기 위한 흐름도이다.
도 7은 본 발명의 실시예에 따른 변경모듈의 동작을 설명하기 위한 흐름도이다.
도 8은 본 발명의 실시예에 따른 서로 다른 네트워크 침입 탐지 및 방지 시스템 엔진 간의 룰 변환의 예를 도시한 화면 예이다.
본 발명의 과제 해결 수단의 특징 및 이점을 보다 명확히 하기 위하여, 첨부된 도면에 도시된 본 발명의 특정 실시 예를 참조하여 본 발명을 더 상세하게 설명한다.
다만, 하기의 설명 및 첨부된 도면에서 본 발명의 요지를 흐릴 수 있는 공지 기능 또는 구성에 대한 상세한 설명은 생략한다. 또한, 도면 전체에 걸쳐 동일한 구성 요소들은 가능한 한 동일한 도면 부호로 나타내고 있음에 유의하여야 한다.
이하의 설명 및 도면에서 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니 되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위한 용어의 개념으로 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 따라서 본 명세서에 기재된 실시 예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시 예에 불과할 뿐이고, 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형 예들이 있을 수 있음을 이해하여야 한다.
또한, 제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하기 위해 사용하는 것으로, 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용될 뿐, 상기 구성요소들을 한정하기 위해 사용되지 않는다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제2 구성요소는 제1 구성요소로 명명될 수 있고, 유사하게 제1 구성요소도 제2 구성요소로 명명될 수 있다.
더하여, 어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급할 경우, 이는 논리적 또는 물리적으로 연결되거나, 접속될 수 있음을 의미한다. 다시 말해, 구성요소가 다른 구성요소에 직접적으로 연결되거나 접속되어 있을 수 있지만, 중간에 다른 구성요소가 존재할 수도 있으며, 간접적으로 연결되거나 접속될 수도 있다고 이해되어야 할 것이다.
또한, 본 명세서에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 또한, 본 명세서에서 기술되는 "포함 한다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
또한, "일(a 또는 an)", "하나(one)", "그(the)" 및 유사어는 본 발명을 기술하는 문맥에 있어서(특히, 이하의 청구항의 문맥에서) 본 명세서에 달리 지시되거나 문맥에 의해 분명하게 반박되지 않는 한, 단수 및 복수 모두를 포함하는 의미로 사용될 수 있다.
아울러, 본 발명의 범위 내의 실시 예들은 컴퓨터 실행가능 명령어 또는 컴퓨터 판독가능 매체에 저장된 데이터 구조를 가지거나 전달하는 컴퓨터 판독가능 매체를 포함한다. 이러한 컴퓨터 판독가능 매체는, 범용 또는 특수 목적의 컴퓨터 시스템에 의해 액세스 가능한 임의의 이용 가능한 매체일 수 있다. 예로서, 이러한 컴퓨터 판독가능 매체는 RAM, ROM, EPROM, CD-ROM 또는 기타 광 디스크 저장장치, 자기 디스크 저장장치 또는 기타 자기 저장장치, 또는 컴퓨터 실행가능 명령어, 컴퓨터 판독가능 명령어 또는 데이터 구조의 형태로 된 소정의 프로그램 코드 수단을 저장하거나 전달하는 데에 이용될 수 있고, 범용 또는 특수 목적 컴퓨터 시스템에 의해 액세스 될 수 있는 임의의 기타 매체와 같은 물리적 저장 매체를 포함할 수 있지만, 이에 한정되지 않는다.
아울러, 본 발명은 퍼스널 컴퓨터, 랩탑 컴퓨터, 핸드헬드 장치, 멀티프로세서 시스템, 마이크로프로세서-기반 또는 프로그램 가능한 가전제품(programmable consumer electronics), 네트워크 PC, 미니컴퓨터, 메인프레임 컴퓨터, 모바일 전화, PDA, 페이저(pager) 등을 포함하는 다양한 유형의 컴퓨터 시스템 구성을 가지는 네트워크 컴퓨팅 환경에서 적용될 수 있다. 본 발명은 또한 네트워크를 통해 유선 데이터 링크, 무선 데이터 링크, 또는 유선 및 무선 데이터 링크의 조합으로 링크된 로컬 및 원격 컴퓨터 시스템 모두가 태스크를 수행하는 분산형 시스템 환경에서 실행될 수 있다. 분산형 시스템 환경에서, 프로그램 모듈은 로컬 및 원격 메모리 저장 장치에 위치될 수 있다.
먼저, 본 발명의 실시예에 따른 서로 다른 네트워크 침입 탐지 및 방지 시스템 엔진 간의 룰 변환을 위한 장치에 대해서 설명하기로 한다. 도 1은 본 발명의 실시예에 따른 서로 다른 네트워크 침입 탐지 및 방지 시스템 엔진 간의 룰 변환을 위한 장치의 구성을 설명하기 위한 도면이다.
도 1을 참조하면, 본 발명의 실시예에 따른 서로 다른 네트워크 침입 탐지 및 방지 시스템 엔진 간의 룰 변환을 위한 장치(10, 이하, 변환장치로 축약함)는 입출력모듈(100), 사용불가키워드탐색모듈(210), 대체키워드탐색모듈(220), 삭제모듈(310), 교체모듈(320), 변경모듈(330) 및 저장모듈(400)을 포함한다.
입출력모듈(100)은 입력과 출력을 처리하기 위한 것이다. 대표적으로, 입출력모듈(100)은 모드를 선택하는 입력을 수신할 수 있다. 본 발명의 실시예에서 모드는 제1 NIDPS 엔진의 룰 파일을 제2 NIDPS 엔진의 룰 파일의 형식에 맞춰 변환하는 제1 모드와, 제2 NIDPS 엔진의 룰 파일을 제1 NIDPS 엔진의 룰 파일의 형식에 맞춰 변환하는 제2 모드를 포함한다. 예컨대, 제1 NIDPS은 suricata이고, 제2 NIDPS은 snort일 수 있다.
사용불가키워드탐색모듈(210)은 제1 NIDPS 엔진의 룰 파일을 제2 NIDPS 엔진의 룰 파일의 형식에 맞춰 변환하는 제1 모드이면, 제2 NIDPS 엔진에서 사용이 불가능한 키워드, 즉, 대상 키워드를 탐색한다. 또한, 사용불가키워드탐색모듈(210)은 제2 NIDPS 엔진의 룰 파일을 제1 NIDPS 엔진의 룰 파일의 형식에 맞춰 변환하는 제2 모드이면, 제1 NIDPS 엔진에서 사용이 불가능한 키워드, 즉, 대상 키워드를 탐색한다.
대체키워드탐색모듈(220)은 제1 NIDPS 엔진의 룰 파일을 제2 NIDPS 엔진의 룰 파일의 형식에 맞춰 변환하는 제1 모드이면, 대상 키워드에 대응하여 제2 NIDPS 엔진에서 사용할 수 있는 키워드, 즉, 대체 키워드를 탐색한다. 또한, 대체키워드탐색모듈(220)은 제2 NIDPS 엔진의 룰 파일을 제1 NIDPS 엔진의 룰 파일의 형식에 맞춰 변환하는 제2 모드이면, 대상 키워드에 대응하여 제1 NIDPS 엔진에서 사용할 수 있는 키워드, 즉, 대체 키워드를 탐색한다.
삭제모듈(310)은 룰 파일에서 룰이 기록되기 이전의 주석을 삭제할 수 있다. 또한, 삭제모듈(310)은 대상 키워드를 삭제할 수 있다. 삭제모듈(310)은 대체키워드탐색모듈(220)에서 대상 키워드를 대체하는 대체 키워드의 탐색에 성공한 경우, 대상 키워드를 대상 키워드의 이후에 기록된 룰을 대상 키워드에 덮어쓰기(overwrite)하여 삭제할 수 있다.
교체모듈(320)은 대상 키워드의 위치와 대체 키워드의 위치가 동일한 경우, 대상 키워드의 위치에 대체 키워드를 복사한다. 이로써, 대상 키워드가 대체 키워드로 변환된다.
변경모듈(330)은 교체 키워드에 대응하는 콘텐츠의 위치에 따라 교체 키워드를 해당 위치에 복사한다. 즉, 변경모듈(330)은 대체 키워드의 위치가 대응하는 콘텐츠의 앞에 위치하면, 대체 키워드를 해당 콘텐츠의 앞에 복사한다. 또한, 변경모듈(330)은 대체 키워드의 위치가 대응하는 콘텐츠의 뒤에 위치하면, 대체 키워드를 해당 콘텐츠의 뒤에 복사한다.
저장모듈(400)은 데이터베이스를 포함한다. 저장모듈(400)은 데이터베이스에 제1 NIDPS 엔진에 따른 룰 파일 및 제2 NIDPS 엔진에 따른 룰 파일을 저장할 수 있다. 또한, 저장모듈(400)은 데이터베이스에 대상 키워드, 대체 키워드의 위치를 저장할 수 있다. 그리고 저장모듈(400)은 대상 키워드가 대체 키워드로 변환되면, 변환된 룰 파일을 생성하고, 생성된 룰 파일을 데이터베이스에 저장할 수 있다.
다음으로, 본 발명의 실시예에 따른 서로 다른 네트워크 침입 탐지 및 방지 시스템 엔진 간의 룰 변환을 위한 방법에 대해서 설명하기로 한다. 도 2는 본 발명의 실시예에 따른 서로 다른 네트워크 침입 탐지 및 방지 시스템 엔진 간의 룰 변환을 위한 방법을 설명하기 위한 흐름도이다.
도 2를 참조하면, 입출력모듈(100)은 S110 단계에서 모드를 선택하는 입력이 감지되면, S120 단계에서 선택한 모드가 무엇인지 판별한다. 본 발명의 실시예에서 모드는 제1 NIDPS 엔진의 룰 파일을 제2 NIDPS 엔진의 룰 파일의 형식에 맞춰 변환하는 제1 모드와, 제2 NIDPS 엔진의 룰 파일을 제1 NIDPS 엔진의 룰 파일의 형식에 맞춰 변환하는 제2 모드를 포함한다. 예컨대, 제1 NIDPS은 suricata이고, 제2 NIDPS은 snort일 수 있다.
S120 단계의 판별 결과, 제1 모드에 대한 입력이면, 입출력모듈(100)은 S130 단계로 진행하여 제1 모드로 전환하고, S120 단계의 판별 결과, 제2 모드에 대한 입력이면, 입출력모듈(100)은 S210 단계로 진행하여 제2 모드로 전환한다. 반면, S120 단계의 판별 결과, 제1 모드 및 제2 모드 양자 모두에 대한 입력이 아니면, 입출력모듈(100)은 S200 단계로 진행하여 에러를 출력한다.
S130 단계에서 제1 모드로 전환한 후, 입출력모듈(100)은 파일명이 입력되면, 장모듈(400)에 저장된 파일 중 해당 파일이 존재하는지 여부를 확인한다. 상기 확인 결과, 해당 파일이 존재하지 않으면, 입출력모듈(100)은 S200 단계로 진행하여 에러를 출력한다. 반면, 상기 판별 결과, 해당 파일이 존재하면, 입출력모듈(100)은 해당 룰 파일을 저장모듈(400)에서 읽어온 후, 포인터를 초기화한다.
이어서, 삭제모듈(310)은 S170 단계에서 룰 시작 전까지 기재된 주석을 삭제한다. 즉, 삭제모듈(310)은 제1 NIDPS의 룰 파일에서 룰이 기재된 내용이 시작되기 전까지의 주석을 삭제한다.
그런 다음, 사용불가키워드탐색모듈(210), 대체키워드탐색모듈(220), 삭제모듈(310), 교체모듈(320) 및 변경모듈(330)은 S180 단계에서 제1 모드에 따라 제1 NIDPS 엔진의 룰 파일을 제2 NIDPS 엔진의 룰 파일의 형식에 맞춰 변환한다. 그러면, 저장모듈(400)은 S190 단계에서 변환된 룰 파일을 생성하고, 생성된 풀 파일을 저장한다.
한편, S210 단계 내지 S260 단계는 S130 단계 내지 S180 단계와 변환되는 대상 파일이 제2 NIDPS 엔진의 룰 파일이고, 제2 NIDPS 엔진의 룰 파일을 제1 NIDPS 엔진의 룰 파일의 형식으로 변환하는 것만 상이할 뿐 동일한 방식으로 진행된다. 따라서 그 상세한 설명은 생략하기로 한다.
다음으로, 전술한 S180 단계에 대해 보다 상세하게 설명하기로 한다. 도 3은 본 발명의 실시예에 따른 서로 다른 네트워크 침입 탐지 및 방지 시스템 엔진 간의 룰 변환을 위한 방법을 보다 상세하게 설명하기 위한 흐름도이다. 강조하면, 도 3은 도 2의 S180 단계의 상세한 설명이다.
도 3을 참조하면, S300 단계에서 제1 모드에 따른 룰 변환이 시작되면, 사용불가키워드탐색모듈(210)은 S310 단계에서 입력된 룰 파일의 끝까지 탐색되었는지 여부를 판별한다.
S310 단계의 판별 결과, 입력된 룰 파일의 끝까지 탐색된 경우, S430 단계로 진행하여 제1 모드에 따른 룰 변환을 종료한다. 반면, S310 단계의 판별 결과, 입력된 룰 파일의 끝까지 탐색되지 않는 경우, S320 단계 내지 S420 단계를 반복한다.
이어서, 사용불가키워드탐색모듈(210)은 S320 단계에서 변환해야할 대상 키워드가 발견되었는지 여부를 확인한다. 이러한 S320 단계에서 사용불가키워드탐색모듈(210)은 제1 NIDPS 엔진의 룰 파일의 복수의 키워드 중 제2 NIDPS 엔진에 적합하게 변환해야 할 대상 키워드를 탐색한다. 즉, 사용불가키워드탐색모듈(210)은 제1 NIDPS 엔진의 룰 파일의 복수의 키워드 중 제2 NIDPS 엔진에서 사용할 수 없는 대상 키워드를 탐색하여 대상 키워드가 발견되었는지 여부를 확인한다.
S320 단계의 확인 결과, 변환해야할 대상 키워드가 발견되면, S330 단계로 진행한다. 반면, S320 단계의 확인 결과, 변환해야할 대상 키워드가 발견되지 않으면, S420 단계로 진행하여 다음 위치로 포인터를 이동한 후, 다시 S320 단계를 수행한다.
대체키워드탐색모듈(220)은 S330 단계에서 대상 키워드에 대응하여 제2 NIDPS 엔진에서 사용할 수 있는 대체 키워드의 위치를 확인한다.
S330 단계의 확인 결과, 대체 키워드의 위치와 대상 키워드의 위치가 동일하면, S340 단계로 진행하고, S330 단계의 확인 결과, 대상 키워드와, 대체 키워드의 위치가 상이하고, 대체 키워드에 대응하는 콘텐츠가 대체 키워드의 앞에 위치해야 하는 경우, S350 단계로 진행하고, S340 단계의 확인 결과, 대상 키워드와, 대체 키워드의 위치가 상이하고, 대체 키워드에 대응하는 콘텐츠가 대체 키워드의 뒤에 위치해야 하는 경우, S390 단계로 진행한다.
대체 키워드의 위치와 대상 키워드의 위치가 동일한 경우, 교체모듈(320)이 S340 단계에서 대상 키워드의 위치에 대체 키워드를 복사한다.
대상 키워드와 대체 키워드의 위치가 상이하고, 대체 키워드에 대응하는 콘텐츠가 대체 키워드의 앞에 위치해야 하는 경우, 삭제모듈(310)이 S350 단계에서 대상 키워드를 삭제한다. 그런 다음, 변경모듈(330)은 S360 단계에서 대체 키워드의 앞의 콘텐츠를 발견할 때까지, S370 단계에서 포인터의 위치를 앞으로 이동시킨 후, S380 단계에서 대체 키워드의 앞의 콘텐츠를 발견하면, 변경모듈(330)이 발견된 콘텐츠의 뒤에 대체 키워드를 복사한다.
대상 키워드와 대체 키워드의 위치가 상이하고, 대체 키워드에 대응하는 콘텐츠가 대체 키워드의 뒤에 위치해야 하는 경우, 삭제모듈(310)은 S390 단계에서 대상 키워드를 삭제한다. 그런 다음, 변경모듈(330)은 S400 단계에서 대체 키워드의 앞의 콘텐츠를 발견할 때까지, S410 단계에서 포인터의 위치를 뒤로 이동시킨 후, S380 단계에서 대체 키워드의 뒤의 콘텐츠를 발견하면, 변경모듈(330)이 발견된 콘텐츠의 앞에 대체 키워드를 복사한다.
다음으로, 전술한 S260 단계에 대해 설명하기로 한다. 도 4는 본 발명의 실시예에 따른 서로 다른 네트워크 침입 탐지 및 방지 시스템 엔진 간의 룰 변환을 위한 방법의 세부 프로세스를 설명하기 위한 흐름도이다. 강조하면, 도 4는 도 2의 S250 단계에 대한 설명이다.
도 4를 참조하면, S500 단계에서 시작되는 제2 모드에 따른 룰 변환의 프로세스에서 S510 단계 내지 S630 단계는 도 4의 S310 단계 내지 S430 단계에 대응하며, 변환되는 대상 파일이 제2 NIDPS 엔진의 룰 파일이고, 제2 NIDPS 엔진의 룰 파일을 제1 NIDPS 엔진의 룰 파일의 형식으로 변환하는 것만 상이할 뿐 동일한 방식으로 진행된다. 따라서 그 상세한 설명은 생략하기로 한다.
다음으로, 본 발명의 실시예에 따른 삭제모듈(310)의 동작에 대해 보다 상세하게 설명하기로 한다. 삭제모듈(310)은 S350, S390, S550 및 S590 단계에서 삭제 대상 키워드를 삭제한다. 이러한 삭제모듈(310)의 삭제 대상 키워드를 삭제하는 방법에 대해서 설명하기로 한다. 도 5는 본 발명의 실시예에 따른 삭제모듈의 동작을 설명하기 위한 흐름도이다.
도 5를 참조하면, 삭제모듈(310)은 S600 단계에서 실행이 시작되면, S610 단계에서 삭제할 대상 키워드의 끝 위치를 계산하여 대상 키워드의 끝 위치 포인터(p_end_pos)를 위치시킨다.
그런 다음, 삭제모듈(310)은 S620 단계에서 대상 키워드의 끝 위치 포인터(p_end_pos)를 확인하여 대상 키워드의 끝 위치 포인터(p_end_pos)가 지시하는 값이 널(Null)값이 될 때까지, S630 단계에서 대상 키워드의 끝 위치 포인터의 뒤에 오는 룰을 덮어쓰기하고, S640 단계에서 대상 키워드의 끝 위치 포인터(p_end_pos)를 이동시킨다.
만약, S620 단계의 확인 결과, 대상 키워드의 끝 위치 포인터(p_end_pos)가 지시하는 값이 널(Null)값이면, 삭제모듈(310)은 S650 단계로 진행하여 프로세스를 종료한다.
다음으로, 본 발명의 실시예에 따른 교체모듈(320)의 동작에 대해 보다 상세하게 설명하기로 한다. 교체모듈(320)은 S340 및 S540 단계에서 대상 키워드를 교체 키워드로 교체한다. 이러한 교체모듈(320)이 대상 키워드를 교체 키워드로 교체하는 방법에 대해서 설명하기로 한다. 도 6은 본 발명의 실시예에 따른 교체모듈의 동작을 설명하기 위한 흐름도이다.
도 6을 참조하면, 교체모듈(320)은 S700 단계에서 실행이 시작되면, S710 단계에서 대상 키워드의 끝 위치를 계산하여 대상 키워드의 끝 위치 포인터(p_end_pos)를 위치시킨다.
그런 다음, 교체모듈(320)은 S720 단계에서 대상 키워드와 대체 키워드의 길이를 비교하여 대상 키워드 보다 대체 키워드의 길이가 긴지 여부를 판별한다.
교체모듈(320)은 S720 단계의 판별 결과, 대상 키워드 보다 대체 키워드의 길이가 길면, S730 단계로 진행한다. 반면, S720 단계의 판별 결과, 대상 키워드 보다 대체 키워드의 길이가 짧으면, S750 단계로 진행한다.
대상 키워드 보다 대체 키워드의 길이가 긴 경우, 교체모듈(320)은 S730 단계에서 부족한 공간만큼 대상 키워드 이후의 룰 전체를 뒤로 이동시켜 공간을 확보한다. 그런 다음, 교체모듈(320)은 S740 단계에서 확보된 공간에 대체 키워드를 복사한다.
대상 키워드 보다 대체 키워드의 길이가 짧은 경우, 교체모듈(320)은 S750 단계에서 대상 키워드가 있던 자리에 대체 키워드를 복사한다. 그런 다음, 교체모듈(320)은 S760 단계에서 남는 공간을 삭제한다.
다음으로, 전술한 방법에 따라 대상 키워드를 대체 키워드로 교체한 후, 교체모듈(320)은 S770 단계에서 대체 키워드의 길이를 반환한다.
다음으로, 본 발명의 실시예에 따른 변경모듈(330)의 동작에 대해 보다 상세하게 설명하기로 한다. 변경모듈(330)은 S380 및 S580 단계에서 대상 키워드를 교체 키워드로 변경한다. 이러한 변경모듈(330)이 대상 키워드를 교체 키워드로 변경하는 방법에 대해서 설명하기로 한다. 도 7은 본 발명의 실시예에 따른 변경모듈의 동작을 설명하기 위한 흐름도이다. 도 8은 본 발명의 실시예에 따른 서로 다른 네트워크 침입 탐지 및 방지 시스템 엔진 간의 룰 변환의 예를 도시한 화면 예이다.
도 7을 참조하면, 변경모듈(330)은 S800 단계에서 실행이 시작되면, S810 단계에서 대체 키워드의 위치가 대응하는 콘텐츠의 앞에 위치하는지 혹은 뒤에 위치하는지 여부를 판별한다. 예를 들면, 도 8에 도시된 바와 같이, <http_header: field user-agent; content: “malicious”>의 경우, 콘텐츠의 앞에 대체 키워드가 위치해야 하는 경우이고, <content: “malicious”; http_user_agent;>의 경우, 콘텐츠의 뒤에 대체 키워드가 위치해야 하는 경우를 나타낸다.
변경모듈(330)은 S810 단계의 판별 결과, 대체 키워드의 위치가 대응하는 콘텐츠의 앞에 위치하면, S820 단계로 진행하고, S810 단계의 판별 결과, 대체 키워드의 위치가 대응하는 콘텐츠의 뒤에 위치하면, S830 단계로 진행한다.
대체 키워드의 위치가 대응하는 콘텐츠의 앞에 위치해야 하는 경우, 변경모듈(330)은 S820 단계에서 콘텐츠의 앞에 대체 키워드가 들어갈 공간이 부족하면, 부족한 공간 만큼 콘텐츠(예컨대, content: “malicious”)를 포함하는 콘텐츠 이하의 룰을 뒤로 이동시켜 컨텐츠(예컨대, content: “malicious”)의 앞에 공간을 확보한다.
대체 키워드의 위치가 대응하는 콘텐츠의 뒤에 위치해야 하는 경우, 변경모듈(330)은 S830 단계에서 콘텐츠의 뒤에 대체 키워드가 들어갈 공간이 부족하면, 부족한 공간만큼 콘텐츠(예컨대, content: “malicious”)의 뒤의 룰을 뒤로 이동시켜 컨텐츠(예컨대, content: “malicious”)의 뒤에 공간을 확보한다.
다음으로, 변경모듈(330)은 S840 단계에서 확보된 공간에 대체 키워드를 복사한다. 그런 다음, 변경모듈(330)은 S850 단계에서 프로세스를 종료한다.
한편, 앞서 설명된 본 발명의 실시예에 따른 방법들은 다양한 컴퓨터수단을 통하여 판독 가능한 프로그램 형태로 구현되어 컴퓨터로 판독 가능한 기록매체에 기록될 수 있다. 여기서, 기록매체는 프로그램 명령, 데이터 파일, 데이터구조 등을 단독으로 또는 조합하여 포함할 수 있다. 기록매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 예컨대 기록매체는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광 기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치를 포함한다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 와이어뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 와이어를 포함할 수 있다. 이러한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상 본 발명을 몇 가지 바람직한 실시예를 사용하여 설명하였으나, 이들 실시예는 예시적인 것이며 한정적인 것이 아니다. 이와 같이, 본 발명이 속하는 기술분야에서 통상의 지식을 지닌 자라면 본 발명의 사상과 첨부된 특허청구범위에 제시된 권리범위에서 벗어나지 않으면서 균등론에 따라 다양한 변화와 수정을 가할 수 있음을 이해할 것이다.
10: 변환장치
100: 입출력모듈
210: 사용불가키워드탐색모듈
220: 대체키워드탐색모듈
310: 삭제모듈
320: 교체모듈
330: 변경모듈
400: 저장모듈

Claims (12)

  1. 이종의 네트워크 침입 탐지 및 방지 시스템 간의 룰 변환을 위한 장치에 있어서,
    제1 NIDPS 엔진의 룰 파일의 복수의 키워드 중 제2 NIDPS 엔진에서 사용할 수 없는 대상 키워드를 탐색하는 사용불가키워드탐색모듈;
    상기 대상 키워드에 대응하여 제2 NIDPS 엔진에서 사용할 수 있는 대체 키워드를 탐색하는 대체키워드탐색모듈; 및
    상기 대체 키워드의 위치와 상기 대상 키워드의 위치가 동일하면, 상기 대상 키워드의 위치에 상기 대체 키워드를 복사하는 교체모듈;
    을 포함하며,
    상기 교체모듈은
    상기 대상 키워드와 대체 키워드의 길이를 비교하고,
    대상 키워드 보다 대체 키워드의 길이가 긴 경우,
    부족한 공간만큼 대상 키워드 이후의 룰 전체를 뒤로 이동시켜 공간을 확보하고, 확보된 공간에 상기 대체 키워드를 복사하고,
    상기 대상 키워드 보다 상기 대체 키워드의 길이가 짧은 경우, 상기 대상 키워드가 있던 자리에 대체 키워드를 복사하고, 남는 공간을 삭제하는 것을 특징으로 하는
    룰 변환을 위한 장치.
  2. 제1항에 있어서,
    상기 장치는
    상기 대상 키워드와 상기 대체 키워드의 위치가 상이하고 상기 대체 키워드에 대응하는 콘텐츠가 상기 대체 키워드에 뒤에 위치해야 하는 경우, 상기 대응하는 콘텐츠의 앞에 상기 대체 키워드를 복사하는 변경모듈;
    을 더 포함하는 것을 특징으로 하는
    룰 변환을 위한 장치.
  3. 제2항에 있어서,
    상기 변경모듈은
    상기 대상 키워드와, 상기 대체 키워드의 위치가 상이하고, 상기 대체 키워드에 대응하는 콘텐츠가 상기 대체 키워드에 앞에 위치해야 하는 경우,
    상기 대응하는 콘텐츠의 뒤에 상기 대체 키워드를 복사하는 것
    을 특징으로 하는
    룰 변환을 위한 장치.
  4. 제1항에 있어서,
    상기 대체키워드탐색모듈에서 상기 대상 키워드를 대체하는 상기 대체 키워드의 탐색에 성공한 경우,
    상기 대상 키워드 이후에 기록된 룰을 상기 대상 키워드에 덮어쓰기(overwrite)하여 삭제하는 삭제모듈;
    을 더 포함하는 것을 특징으로 하는
    룰 변환을 위한 장치.
  5. 삭제
  6. 제1항에 있어서,
    상기 대상 키워드가 상기 대체 키워드로 변환되면, 변환된 룰 파일을 생성하고, 생성된 룰 파일을 데이터베이스에 저장하는 저장모듈;
    을 더 포함하는 것을 특징으로 하는
    룰 변환을 위한 장치.
  7. 이종의 네트워크 침입 탐지 및 방지 시스템 간의 룰 변환을 위한 방법에 있어서,
    사용불가키워드탐색모듈이 제1 NIDPS 엔진의 룰 파일의 복수의 키워드 중 제2 NIDPS 엔진에서 사용할 수 없는 대상 키워드를 탐색하는 단계;
    대체키워드탐색모듈이 상기 대상 키워드에 대응하여 제2 NIDPS 엔진에서 사용할 수 있는 대체 키워드를 탐색하는 단계; 및
    교체모듈이 상기 대체 키워드의 위치와 상기 대상 키워드의 위치가 동일하면, 상기 대상 키워드의 위치에 상기 대체 키워드를 복사하는 단계;
    를 포함하며,
    상기 대체 키워드를 복사하는 단계는
    상기 교체모듈이 상기 대상 키워드와 대체 키워드의 길이를 비교하는 단계;
    상기 교체모듈이
    대상 키워드 보다 대체 키워드의 길이가 긴 경우, 부족한 공간만큼 대상 키워드 이후의 룰 전체를 뒤로 이동시켜 공간을 확보하고, 확보된 공간에 상기 대체 키워드를 복사하고,
    상기 대상 키워드 보다 상기 대체 키워드의 길이가 짧은 경우, 상기 대상 키워드가 있던 자리에 대체 키워드를 복사하고, 남는 공간을 삭제하는 단계;
    를 포함하는 것을 특징으로 하는
    룰 변환을 위한 방법.
  8. 제7항에 있어서,
    상기 대상 키워드와 상기 대체 키워드의 위치가 상이하고 상기 대체 키워드에 대응하는 콘텐츠가 상기 대체 키워드에 뒤에 위치해야 하는 경우, 변경모듈이 상기 대응하는 콘텐츠의 앞에 상기 대체 키워드를 복사하는 단계;
    를 더 포함하는 것을 특징으로 하는
    룰 변환을 위한 방법.
  9. 제8항에 있어서,
    상기 대상 키워드와 상기 대체 키워드의 위치가 상이하고, 상기 대체 키워드에 대응하는 콘텐츠가 상기 대체 키워드에 앞에 위치해야 하는 경우, 상기 변경모듈이 상기 대응하는 콘텐츠의 뒤에 상기 대체 키워드를 복사하는 단계;
    를 더 포함하는 것을 특징으로 하는
    룰 변환을 위한 방법.
  10. 제7항에 있어서,
    상기 대체키워드탐색모듈에서 상기 대상 키워드를 대체하는 상기 대체 키워드의 탐색에 성공한 경우, 상기 대체 키워드를 복사하는 단계 전,
    삭제모듈이 상기 대상 키워드 이후에 기록된 룰을 상기 대상 키워드에 덮어쓰기(overwrite)하여 상기 대상 키워드를 삭제하는 단계;
    를 더 포함하는 것을 특징으로 하는
    룰 변환을 위한 방법.
  11. 삭제
  12. 제7항에 있어서,
    상기 방법은
    저장모듈이 상기 대상 키워드가 상기 대체 키워드로 변환되면, 변환된 룰 파일을 생성하고, 생성된 룰 파일을 데이터베이스에 저장하는 단계;
    를 더 포함하는 것을 특징으로 하는
    룰 변환을 위한 방법.
KR1020210010904A 2021-01-26 2021-01-26 이종의 네트워크 침입 탐지 및 방지 시스템 간의 룰 변환을 위한 장치 및 이를 위한 방법 KR102418917B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210010904A KR102418917B1 (ko) 2021-01-26 2021-01-26 이종의 네트워크 침입 탐지 및 방지 시스템 간의 룰 변환을 위한 장치 및 이를 위한 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210010904A KR102418917B1 (ko) 2021-01-26 2021-01-26 이종의 네트워크 침입 탐지 및 방지 시스템 간의 룰 변환을 위한 장치 및 이를 위한 방법

Publications (1)

Publication Number Publication Date
KR102418917B1 true KR102418917B1 (ko) 2022-07-08

Family

ID=82407518

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210010904A KR102418917B1 (ko) 2021-01-26 2021-01-26 이종의 네트워크 침입 탐지 및 방지 시스템 간의 룰 변환을 위한 장치 및 이를 위한 방법

Country Status (1)

Country Link
KR (1) KR102418917B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100684602B1 (ko) * 2006-05-16 2007-02-22 어울림정보기술주식회사 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법
KR20130081140A (ko) 2012-01-06 2013-07-16 한남대학교 산학협력단 패턴 매칭을 통한 네트워크 침입 탐지 장치
KR102011603B1 (ko) * 2018-07-24 2019-08-16 주식회사 윈스 탐지 규칙 검증을 위한 패킷 생성 방법 및 장치
KR102152338B1 (ko) * 2019-11-19 2020-09-07 충북대학교 산학협력단 Nidps 엔진 간의 룰 변환 시스템 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100684602B1 (ko) * 2006-05-16 2007-02-22 어울림정보기술주식회사 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법
KR20130081140A (ko) 2012-01-06 2013-07-16 한남대학교 산학협력단 패턴 매칭을 통한 네트워크 침입 탐지 장치
KR102011603B1 (ko) * 2018-07-24 2019-08-16 주식회사 윈스 탐지 규칙 검증을 위한 패킷 생성 방법 및 장치
KR102152338B1 (ko) * 2019-11-19 2020-09-07 충북대학교 산학협력단 Nidps 엔진 간의 룰 변환 시스템 및 방법

Similar Documents

Publication Publication Date Title
US11601442B2 (en) System and method associated with expedient detection and reconstruction of cyber events in a compact scenario representation using provenance tags and customizable policy
RU2724710C1 (ru) Система и способ классификации объектов вычислительной системы
JP6670907B2 (ja) スクリプトの実行をブロックするシステム及び方法
US8719928B2 (en) Method and system for detecting malware using a remote server
KR101868720B1 (ko) 정규 표현식들에 대한 컴파일러
KR101536880B1 (ko) 앵커링된 패턴들
US20150269382A1 (en) Resisting the spread of unwanted code and data
US20030200175A1 (en) System and method for evaluating and enhancing source anonymity for encrypted web traffic
US20190073475A1 (en) Ransomware Mitigation System
CN111901337B (zh) 文件上传方法、系统及存储介质
CN105074717A (zh) 在网络环境中的恶意脚本语言代码的检测
KR102152338B1 (ko) Nidps 엔진 간의 룰 변환 시스템 및 방법
KR102093274B1 (ko) 콘텐트 스캐닝 에이전트, 콘텐트 스캐닝 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체
CN109698831B (zh) 数据防护方法和装置
CN104680064A (zh) 利用文件指纹来优化文件的病毒扫描的方法和系统
CN113872965B (zh) 一种基于Snort引擎的SQL注入检测方法
KR102000369B1 (ko) 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템
KR102418917B1 (ko) 이종의 네트워크 침입 탐지 및 방지 시스템 간의 룰 변환을 위한 장치 및 이를 위한 방법
KR102418910B1 (ko) 서로 다른 네트워크 침입 탐지 및 방지 시스템 엔진 간의 룰 변환을 위한 장치 및 이를 위한 방법
JP2010102579A (ja) 情報処理装置、及びコンピュータプログラム
KR100639996B1 (ko) 패킷 재조합을 이용한 패턴 매칭 방법 및 그 장치
KR100937020B1 (ko) 웹-데이터베이스 공격 탐지 로그 데이터 상관관계 추적에의한 통합 보안 시스템 및 방법
US20200389435A1 (en) Auditing smart bits
KR102207554B1 (ko) 파일 보안 장치 및 방법
KR20220141058A (ko) 데이터 관리 방법과 이를 수행하기 위한 컴퓨팅 장치

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant