KR102427405B1 - 제로데이 공격 패킷 하이라이트 시스템 및 방법 - Google Patents

제로데이 공격 패킷 하이라이트 시스템 및 방법 Download PDF

Info

Publication number
KR102427405B1
KR102427405B1 KR1020200127092A KR20200127092A KR102427405B1 KR 102427405 B1 KR102427405 B1 KR 102427405B1 KR 1020200127092 A KR1020200127092 A KR 1020200127092A KR 20200127092 A KR20200127092 A KR 20200127092A KR 102427405 B1 KR102427405 B1 KR 102427405B1
Authority
KR
South Korea
Prior art keywords
packet
zero
rule
received
matching
Prior art date
Application number
KR1020200127092A
Other languages
English (en)
Other versions
KR20220044047A (ko
Inventor
최성곤
정장현
Original Assignee
충북대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 충북대학교 산학협력단 filed Critical 충북대학교 산학협력단
Priority to KR1020200127092A priority Critical patent/KR102427405B1/ko
Publication of KR20220044047A publication Critical patent/KR20220044047A/ko
Application granted granted Critical
Publication of KR102427405B1 publication Critical patent/KR102427405B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • H04L43/106Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Abstract

본 발명은 제로데이 공격 패킷 하이라이트 시스템에 관한 것으로서, 수신된 패킷을 플로우(flow) 단위로 저장하고, 새로운 룰이 업데이트되면 저장된 패킷들을 NIDPS(200)에 송신하는 플로우 기반 PCA(100), 업데이트된 룰을 통해 상기 플로우 기반 PCA(100)로부터 수신한 패킷들을 검사하여 제로데이 공격 패킷을 검출하고, 검출된 결과를 이용하여 제로데이 공격 패킷을 검출하기 위한 프로토콜인 ZAPDP(Zero-day Attack Packet Detection Protocol)를 생성하는 NIDPS(200), 상기 NIDPS(200)로부터 수신한 ZAPDP를 이용하여, 제로데이 공격 패킷, 검사에 사용된 룰 정보, 상기 룰 정보에 매칭된 패킷 내 데이터 정보를 하이라이트(highlight)하기 위한 프로토콜인 ZAPHP(Zero-Day Attack Packet Highlight Protocol)를 생성하는 제로데이 공격 패킷 검출 시스템(400) 및 상기 공격 패킷 검출 시스템(400)으로부터 수신한 ZAPHP를 이용하여, 풀 패킷(Full packet)에서 제로데이 공격으로 검출된 부분을 하이라이트하고, 검출된 부분에 해당하는 패킷과 룰에 대한 정보를 출력하는 패킷 하이라이트 시스템(600)을 포함한다.

Description

제로데이 공격 패킷 하이라이트 시스템 및 방법 {System and Protocol for highlighting zero-day attack packet}
본 발명은 네트워크 상에서 악성프로그램 공격을 방어할 수 있는 기술에 관한 것으로서, 더욱 상세하게는 제로데이 공격 패킷을 검출하는 과정에서 NIDPS 룰과 매칭되는 패킷의 부분을 하이라이팅(highlighting)하기 위한 기술에 관한 것이다.
최근 네트워크를 통한 공격들이 점차 다양해지고 새로운 패턴들이 생겨나고 있고, 그로 인한 피해도 증가하고 있다.
공격 위험이 있는 패턴을 가진 패킷들을 탐지하고 막기 위해 시그니처 기반의 IDS(Intrusion Detection System), IPS(Intrusion Prevention System)엔진 사용이 증가 하고 있다. IDS는 공격 위험이 있는 패턴을 가진 패킷들을 탐지한다. IPS는 시스템을 보호하기 위해 공격 위험이 있는 패턴을 가진 패킷들을 탐지 할뿐만 아니라 패킷을 차단할 수 있다.
NIDPS(Network Intrusion Detection and Prevention Systems) 엔진은 IDS, IPS 기능을 모두 수행할 수 있다. 대표적인 NIDPS 엔진에는 snort, suricata, bro 등이 있다. NIDPS 엔진들은 다양한 시그니처라고 불리는 공격 패턴을 방어하기 위해 룰을 생성하고 룰에 해당하는 패턴을 가진 패킷들을 룰에 정의된 방법으로 처리한다.
PCA(packet Capture Appliance)는 패킷(packet)을 저장할 수 있는 기능을 가진 기기이다. 최근 제로데이 공격으로 인한 피해를 줄이기 위해 PCA를 사용하고 있다. 즉, NIDPS 엔진을 통과한 패킷을 PCA에 저장하고 새로운 공격 패턴 시그니처가 업데이트되면 업데이트된 공격패턴을 가진 패킷이 수신된 적이 있는지 PCA에서 탐색하고 해당 패킷을 추적하여 대응한다.
NIDPS 엔진은 기존에 알려진 공격 패킷만 탐지 및 차단할 수 있기 때문에 알려지지 않은 공격 패킷에 취약하다. PCA(Packet Capture Appliance)는 수신되는 패킷을 모두 저장한다. 이후 새로운 공격 패턴이 발견되면, PCA에 저장된 패킷 중 새로운 공격 패턴을 가진 패킷이 있는지 확인하기 위해, 저장된 패킷들을 룰 업데이트가 완료된 NIDPS 엔진를 통해 재검사 한다. 재검사 결과 새로운 공격 패턴을 가진 패킷이 있다면 그에 따른 대응을 한다. 하지만 기존 PCA는 수신되는 모든 패킷의 풀(full) 패킷을 모두 저장해야하기 때문에 매우 큰 저장용량을 가진 장비가 필요하다는 단점이 있다.
이러한 풀(Full) 패킷을 저장해야하는 단점을 해결하기 위해 Frist-N 등의 기술을 활용하여 풀 패킷이 아닌 패킷의 일부분을 저장하거나, 플로우(flow) 내 일부 패킷들만 저장하는 플로우(flow) 기반 PCA가 사용되고 있다.
플로우 기반 PCA를 활용한 제로데이 공격 패킷 검출 방법은 공격 패킷이 포함된 플로우를 검출할 수 있지만, 공격 패킷을 정확하게 검출하지 못한다는 문제가 존재한다. 또한 정확하게 제로데이 공격 패킷을 검출하더라도 해당 패킷의 어떤 부분이 NIDPS 룰과 매칭되는 것인지 확인할 수 없다는 문제가 있다. 그러므로 제로데이 공격 패킷을 검출하고 해당 패킷의 어떤 부분이 NIDPS 룰과 매칭되는 것인지 확인할 수 있는 시스템과 그를 위한 프로토콜이 필요하다.
대한민국 등록특허 10-2046789
본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서, 제로데이 공격 패킷 검출하고, 해당 패킷의 어떤 부분이 NIDPS 룰과 매칭되는 것인지 확인할 수 있도록 하이라이트하며, 이를 위한 프로토콜 설계를 포함하는 제로데이 공격 패킷 하이라이트 시스템 및 방법을 제공하는데 그 목적이 있다.
본 발명의 목적은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
이와 같은 목적을 달성하기 위한 본 발명은 제로데이 공격 패킷 하이라이트 시스템에 관한 것으로서, 수신된 패킷을 플로우(flow) 단위로 저장하고, 새로운 룰이 업데이트되면 저장된 패킷들을 NIDPS(200)에 송신하는 플로우 기반 PCA(100), 업데이트된 룰을 통해 상기 플로우 기반 PCA(100)로부터 수신한 패킷들을 검사하여 제로데이 공격 패킷을 검출하고, 검출된 결과를 이용하여 제로데이 공격 패킷을 검출하기 위한 프로토콜인 ZAPDP(Zero-day Attack Packet Detection Protocol)를 생성하는 NIDPS(200), 상기 NIDPS(200)로부터 수신한 제로데이 공격 패킷, 검사에 사용된 룰 정보, 상기 룰 정보에 매칭된 패킷 내 데이터 정보를 하이라이트(highlight)하기 위한 프로토콜인 ZAPHP(Zero-Day Attack Packet Highlight Protocol)를 생성하는 제로데이 공격 패킷 검출 시스템(400) 및 상기 공격 패킷 검출 시스템(400)으로부터 수신한 ZAPHP를 이용하여, 풀 패킷(Full packet)에서 제로데이 공격으로 검출된 부분을 하이라이트하고, 검출된 부분에 해당하는 패킷과 룰에 대한 정보를 출력하는 패킷 하이라이트 시스템(600)을 포함한다.
상기 ZAPDP는, NIDPS의 룰(rule)에 부여된 ID를 의미하는 SID(Signature ID) 필드; 패킷이 수신된 시간의 년, 월, 일, 시, 분, 초 단위의 값을 의미하는 타임스탬프(TimeStamp)(seconds) 필드; 및 패킷이 수신된 시간의 초 단위 이하의 나노 초(nanoseconds) 단위까지의 값을 의미하는 타임스탬프(nanoseconds) 필드로 구성될 수 있다.
상기 ZAPHP는 헤더(Header) 부분과 페이로드(Payload) 부분으로 구성되며, 상기 헤더 부분은, NIDPS의 룰(rule)에 부여된 ID를 의미하는 SID(Signature ID) 필드; 패킷이 수신된 시간의 년, 월, 일, 시, 분, 초 단위의 값을 의미하는 타임스탬프(seconds) 필드; 패킷이 수신된 시간의 초 단위 이하의 나노 초(nanoseconds) 단위까지의 값을 의미하는 타임스탬프(nanoseconds) 필드; ZAPHP의 페이로드 크기를 의미하는 렝스(Length) 필드; 풀 패킷(Full Packet) 필드가 시작하는 위치를 의미하는 패킷 오프셋(Packet offset) 필드; 풀 패킷에서 룰과 매칭된 부분의 첫 비트(bit) 위치를 의미하는 스타트 비트(Start Bit) 필드; 풀 패킷에서 룰과 매칭된 부분의 마지막 비트 위치를 의미하는 엔드 비트(End Bit) 필드; 및 추후 버전에서 사용하기 위한 예비 필드를 의미하고 0으로 채워지는 리저브드(Reserved) 필드로 구성되고, 상기 페이로드 부분은, 풀 패킷에서 룰과 매칭된 부분의 데이터를 의미하는 매칭 데이터(Matching Data) 필드; 및 룰과 매칭된 패킷 전체 데이터를 의미하는 풀 패킷 필드로 구성될 수 있다.
상기 제로데이 공격 패킷 검출 시스템은, 상기 NIDPS(200)로부터 수신한 ZAPDP를 파싱하여, sid값을 룰 DB(420)로 전송하고 타임스탬프 값을 pcap 파일 파싱부(430)로 전송하기 위한 ZAPDP 파싱부(410); 상기 ZAPDP 파싱부로부터 수신한 sid값을 가진 룰 풀 셋(rule full set)을 패킷 매칭부(440)로 전달하기 위한 룰 DB(420); pcap 파일을 파싱하여, 상기 ZAPDP 파싱부(410)로부터 수신한 타임스탬프 값을 가진 플로우(flow)와 해당 플로우의 패킷들을 검출하여 패킷 매칭부(440)로 전달하기 위한 pcap 파일 파싱부(430); 및 상기 룰 DB(420)로부터 수신한 룰 정보와 매칭되는 패킷을 상기 pcap 파일 파싱부(430)로부터 수신한 패킷들 중에서 찾고, 룰 정보와 매칭되는 패킷을 찾으면, 매칭된 결과를 ZAPHP 구조로 만들어 전송하기 위한 패킷 매칭부(440)를 포함하여 이루어질 수 있다.
상기 패킷 하이라이트 시스템(600)은, 수신한 ZAPHP를 파싱(parsing)하여, 룰과 매칭된 풀 패킷에서 제로데이 공격으로 검출된 부분의 데이터를 매칭하여 하이라이트하기 위한 매칭 정보를 데이터 매칭부(620)로 전송하고, sid와 타임스탬프를 출력부(630)로 전송하기 위한 ZAPHP 파싱부(610); 상기 ZAPHP 파싱부(610)로부터 수신한 매칭 정보를 사용하여 풀 패킷 데이터에서 매칭되는 결과를 출력부(630)로 전송하기 위한 데이터 매칭부(620); 및 상기 ZAPHP 파싱부(610)로부터 수신한 sid 및 타임스탬프와 상기 데이터 매칭부(620)로부터 수신한 매칭 결과를 하이라이트(highlight)하여 출력하기 위한 출력부(630)를 포함하여 이루어질 수 있다.
본 발명의 제로데이 공격 패킷 하이라이트 방법은 새로운 공격을 탐지 및 차단하기 위한 새로운 룰이 업데이트되면, 플로우 기반 PCA(100) 수신된 패킷을 플로우(flow) 단위로 저장하고, 저장된 패킷들을 NIDPS(200)에 송신하는 단계; NIDPS(200)는 업데이트된 룰을 통해 상기 플로우 기반 PCA(100)로부터 수신한 패킷들을 검사하여 제로데이 공격 패킷을 검출하고, 검출된 결과를 이용하여 제로데이 공격 패킷을 검출하기 위한 프로토콜인 ZAPDP(Zero-day Attack Packet Detection Protocol)를 생성하는 단계; 제로데이 공격 패킷 검출 시스템(400)은 상기 NIDPS(200)로부터 수신한 ZAPDP를 이용하여, 제로데이 공격 패킷, 검사에 사용된 룰 정보, 상기 룰 정보에 매칭된 패킷 내 데이터 정보를 하이라이트(highlight)하기 위한 프로토콜인 ZAPHP(Zero-Day Attack Packet Highlight Protocol)를 생성하는 단계; 및 패킷 하이라이트 시스템(600)은 상기 공격 패킷 검출 시스템(400)으로부터 수신한 ZAPHP를 이용하여, 풀 패킷(Full packet)에서 제로데이 공격으로 검출된 부분을 하이라이트하고, 검출된 부분에 해당하는 패킷과 룰에 대한 정보를 출력하는 단계를 포함한다.
상기 제로데이 공격 패킷 검출 시스템에서 ZAPHP(Zero-Day Attack Packet Highlight Protocol)를 생성하는 단계에서, ZAPDP 파싱부(410)가 상기 NIDPS(200)로부터 수신한 ZAPDP를 파싱하여, sid값을 룰 DB(420)로 전송하고 타임스탬프 값을 pcap 파일 파싱부(430)로 전송하는 단계; 룰 DB(420)가 상기 ZAPDP 파싱부로부터 수신한 sid값을 가진 룰 풀 셋(rule full set)을 패킷 매칭부(440)로 전달하는 단계; pcap 파일 파싱부(430)가 pcap 파일을 파싱하여, 상기 ZAPDP 파싱부(410)로부터 수신한 타임스탬프 값을 가진 플로우(flow)와 해당 플로우의 패킷들을 검출하여 패킷 매칭부(440)로 전달하는 단계; 및 패킷 매칭부(440)가 상기 룰 DB(420)로부터 수신한 룰 정보와 매칭되는 패킷을 상기 pcap 파일 파싱부(430)로부터 수신한 패킷들 중에서 찾고, 룰 정보와 매칭되는 패킷을 찾으면, 매칭된 결과를 ZAPHP 구조로 만들어 전송하는 단계를 포함하여 이루어질 수 있다.
상기 패킷 하이라이트 시스템(600)에서 패킷과 룰에 대한 정보를 출력하는 단계에서, ZAPHP 파싱부(610)가 수신한 ZAPHP를 파싱(parsing)하여, 룰과 매칭된 풀 패킷에서 제로데이 공격으로 검출된 부분의 데이터를 매칭하여 하이라이트하기 위한 매칭 정보를 데이터 매칭부(620)로 전송하고, sid와 타임스탬프를 출력부(630)로 전송하는 단계; 데이터 매칭부(620)가 상기 ZAPHP 파싱부(610)로부터 수신한 매칭 정보를 사용하여 풀 패킷 데이터에서 매칭되는 결과를 출력부(630)로 전송하는 단계; 및 출력부(630)가 상기 ZAPHP 파싱부(610)로부터 수신한 sid 및 타임스탬프와 상기 데이터 매칭부(620)로부터 수신한 매칭 결과를 하이라이트(highlight)하여 출력하는 단계를 포함하여 이루어질 수 있다.
본 발명에 의하면, 제로데이 공격 패킷을 검출하고, NIDPS 룰과 매칭되는 패킷의 부분을 하이라이팅함으로써, 패킷의 어떤 부분이 NIDPS 룰과 매칭되는지 용이하게 확인할 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 제로데이 공격 패킷 하이라이트 시스템의 구성을 보여주는 블록도이다.
도 2는 본 발명의 일 실시예에 따른 제로데이 공격 패킷 하이라이트 시스템에서 사용하는 ZAPDP(Zero-day Attack Packet Detection Protocol)의 포맷을 도시한 것이다.
도 3은 본 발명의 일 실시예에 따른 제로데이 공격 패킷 하이라이트 시스템에서 사용하는 ZAPHP(Zero-Day Attack Packet Highlight Protocol)의 포맷을 도시한 것이다.
도 4는 본 발명의 일 실시예에 따른 제로데이 공격 패킷 검출 시스템의 구성을 보여주는 블록도이다.
도 5는 본 발명의 일 실시예에 따른 패킷 하이라이트 시스템의 구성을 보여주는 블록도이다.
도 6은 본 발명의 일 실시예에 따른 제로데이 공격 패킷 하이라이트 방법을 보여주는 흐름도이다.
본 명세서에서 개시된 실시 예의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 개시에서 제안하고자 하는 실시 예는 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 당해 기술분야에서 통상의 지식을 가진 자에게 실시 예들의 범주를 완전하게 알려주기 위해 제공되는 것일 뿐이다.
본 명세서에서 사용되는 용어에 대해 간략히 설명하고, 개시된 실시 예에 대해 구체적으로 설명하기로 한다.
본 명세서에서 사용되는 용어는 개시된 실시 예들의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 관련 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 명세서의 상세한 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 개시에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 명세서의 전반에 걸친 내용을 토대로 정의되어야 한다.
본 명세서에서의 단수의 표현은 문맥상 명백하게 단수인 것으로 특정하지 않는 한, 복수의 표현을 포함한다.
명세서 전체에서 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다. 또한, 명세서에서 사용되는 "부"라는 용어는 소프트웨어, FPGA 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, "부"는 어떤 역할들을 수행한다. 그렇지만 "부"는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. "부"는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 "부"는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로 코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 "부"들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 "부"들로 결합되거나 추가적인 구성요소들과 "부"들로 더 분리될 수 있다.
또한, 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일한 참조 부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
본 발명은 제로데이 공격 패킷 하이라이트(highlight) 시스템 및 방법에 관한 것이다.
도 1은 본 발명의 일 실시예에 따른 제로데이 공격 패킷 하이라이트 시스템의 구성을 보여주는 블록도이다.
도 1을 참조하면, 본 발명의 제로데이 공격 패킷 하이라이트 시스템은 플로우 기반 PCA(Packet Capture Appliance)(100), NIDPS(200), 제로데이 공격 패킷 검출 시스템(400), 패킷 하이라이트 시스템(600)를 포함한다.
플로우 기반 PCA(100)는 수신된 패킷을 플로우(flow) 단위로 저장하고, 새로운 룰이 업데이트되면 저장된 패킷들을 NIDPS(200)에 송신한다.
NIDPS(200)는 업데이트된 룰을 통해 상기 플로우 기반 PCA(100)로부터 수신한 패킷들을 검사하여 제로데이 공격 패킷을 검출하고, 검출된 결과를 이용하여 제로데이 공격 패킷을 검출하기 위한 프로토콜인 ZAPDP(Zero-day Attack Packet Detection Protocol)(300)를 생성한다.
제로데이 공격 패킷 검출 시스템(400)은 상기 NIDPS(200)로부터 수신한 ZAPDP(300)를 이용하여, 제로데이 공격 패킷, 검사에 사용된 룰 정보, 상기 룰 정보에 매칭된 패킷 내 데이터 정보를 하이라이트(highlight)하기 위한 프로토콜인 ZAPHP(Zero-Day Attack Packet Highlight Protocol)(500)를 생성한다.
패킷 하이라이트 시스템(600)은 상기 공격 패킷 검출 시스템(400)으로부터 수신한 ZAPHP(500)를 이용하여, 풀 패킷(Full packet)에서 제로데이 공격으로 검출된 부분을 하이라이트하고, 검출된 부분에 해당하는 패킷과 룰에 대한 정보를 출력한다.
도 2는 본 발명의 일 실시예에 따른 제로데이 공격 패킷 하이라이트 시스템에서 사용하는 ZAPDP(Zero-day Attack Packet Detection Protocol)의 포맷을 도시한 것이다.
도 2를 참조하면, ZAPDP(300)는 NIDPS의 룰(rule)에 부여된 ID를 의미하는 SID(Signature ID) 필드, 패킷이 수신된 시간의 년, 월, 일, 시, 분, 초 단위의 값을 의미하는 타임스탬프(TimeStamp)(seconds) 필드 및 패킷이 수신된 시간의 초 단위 이하의 나노 초(nanoseconds) 단위까지의 값을 의미하는 타임스탬프(nanoseconds) 필드로 구성된다.
도 2의 실시예에서 SID(Signature ID) 필드는 NIDPS의 룰에 부여된 ID로 4바이트(bytes) 크기로 구성되어 있다.
그리고, 타임스탬프는 총 16바이트이며, 타임스탬프(seconds)필드 8바이트와 타임스탬프(nanoseconds) 필드 8바이트로 구성된다.
도 3은 본 발명의 일 실시예에 따른 제로데이 공격 패킷 하이라이트 시스템에서 사용하는 ZAPHP(Zero-Day Attack Packet Highlight Protocol)의 포맷을 도시한 것이다.
도 3을 참조하면, ZAPHP(500)는 헤더(Header) 부분과 페이로드(Payload) 부분으로 구성된다.
헤더 부분은, NIDPS의 룰(rule)에 부여된 ID를 의미하는 SID(Signature ID) 필드, 패킷이 수신된 시간의 년, 월, 일, 시, 분, 초 단위의 값을 의미하는 타임스탬프(seconds) 필드, 패킷이 수신된 시간의 초 단위 이하의 나노 초(nanoseconds) 단위까지의 값을 의미하는 타임스탬프(nanoseconds) 필드, ZAPHP의 페이로드 크기를 의미하는 렝스(Length) 필드, 풀 패킷(Full Packet) 필드가 시작하는 위치를 의미하는 패킷 오프셋(Packet offset) 필드, 풀 패킷에서 룰과 매칭된 부분의 첫 비트(bit) 위치를 의미하는 스타트 비트(Start Bit) 필드, 풀 패킷에서 룰과 매칭된 부분의 마지막 비트 위치를 의미하는 엔드 비트(End Bit) 필드 및 추후 버전에서 사용하기 위한 예비 필드를 의미하고 0으로 채워지는 리저브드(Reserved) 필드로 구성된다.
그리고, 페이로드 부분은 풀 패킷에서 룰과 매칭된 부분의 데이터를 의미하는 매칭 데이터(Matching Data) 필드 및 룰과 매칭된 패킷 전체 데이터를 의미하는 풀 패킷 필드로 구성된다.
도 3의 실시예에서 SID(Signature ID)필드는 NIDPS의 룰에 부여된 ID를 의미하며, 4바이트(bytes) 크기로 구성된다.
타임스탬프 필드는 패킷이 수신된 시간을 의미하며, 총 16 바이트로 구성되며, 타임스탬프(seconds) 필드 8바이트와 타임스탬프(nanoseconds)필드 8바이트로 구성된다.
도 3의 실시예에서 렝스 필드는 4 바이트 크기로 구성되며, ZAPHP의 페이로드 크기를 의미하며, 단위는 바이트이다. 예를 들어, 렝스 필드 값이 100 이면, ZAPHP의 페이로드 크기가 100바이트인 것을 의미한다.
패킷 오프셋(Packet offset) 필드는 4바이트 크기로 구성되며, 풀 패킷(Full Packet) 필드가 시작하는 위치를 의미하며, 바이트 단위이다. 예를 들어, 패킷 오프셋 필드 값이 50 이면, 패킷 오프셋 50번째 바이트부터 풀 패킷 필드가 시작한다.
스타트 비트(Start Bit) 필드는 4바이트 크기로 구성되며, 풀 패킷(Full Packet)에서 룰과 매칭된 부분의 첫 비트(bit) 위치를 의미한다.
엔드 비트(End Bit) 필드는 4바이트 크기로 구성되어 있으며, 풀 패킷에서 룰과 매칭된 부분의 마지막 비트 위치를 의미한다.
리저브드(Reserved) 필드는 4바이트 크기로 구성되어 있으며, 추후 버전에서 사용하기 위한 예비 필드를 의미하고, 0으로 채워진다.
매칭 데이터(Matching Data) 필드는 풀 패킷에서 룰과 매칭된 부분의 데이터를 의미하며, 16진수의 바이트 단위로 채워진다.
풀 패킷(Full Packet) 필드는 룰과 매칭된 패킷 전체 데이터를 의미하며, 16진수의 바이트 단위로 채워진다.
도 4는 본 발명의 일 실시예에 따른 제로데이 공격 패킷 검출 시스템의 구성을 보여주는 블록도이다.
도 4를 참조하면, 제로데이 공격 패킷 검출 시스템(400)은 ZAPDP 파싱부(410), 룰 DB(database)(420), pcap 파일 파싱부(430), 패킷 매칭부(440)를 포함한다.
ZAPDP 파싱부(410)는 NIDPS(200)로부터 수신한 ZAPDP를 파싱하여, sid값을 룰 DB(420)로 전송하고 타임스탬프 값을 pcap 파일 파싱부(430)로 전송한다.
룰 DB(420)는 ZAPDP 파싱부(410)로부터 수신한 sid값을 가진 룰 풀 셋(rule full set)을 패킷 매칭부(440)로 전달한다.
pcap 파일 파싱부(430)는 pcap 파일을 파싱(parsing)하여, 상기 ZAPDP 파싱부(410)로부터 수신한 타임스탬프 값을 가진 플로우(flow)와 해당 플로우의 패킷들을 검출하여 패킷 매칭부(440)로 전달한다.
패킷 매칭부(440)는 상기 룰 DB(420)로부터 수신한 룰 정보와 매칭되는 패킷을 상기 pcap 파일 파싱부(430)로부터 수신한 패킷들 중에서 찾고, 룰 정보와 매칭되는 패킷을 찾으면, 매칭된 결과를 ZAPHP 구조로 만들어 전송한다.
도 5는 본 발명의 일 실시예에 따른 패킷 하이라이트 시스템의 구성을 보여주는 블록도이다.
도 5를 참조하면, 패킷 하이라이트 시스템(600)은 ZAPHP 파싱부(610), 데이터 매칭부(620), 출력부(630)를 포함한다.
ZAPHP 파싱부(610)는 수신한 ZAPHP를 파싱(parsing)하여, 룰과 매칭된 풀 패킷에서 제로데이 공격으로 검출된 부분의 데이터를 매칭하여 하이라이트하기 위한 매칭 정보를 데이터 매칭부(620)로 전송하고, sid와 타임스탬프를 출력부(630)로 전송한다.
본 발명의 일 실시예에서 매칭 정보는 스타트 비트(Start Bit) 필드값, 엔드 비트(End Bit) 필드값, 매칭 데이터(Matching Data) 필드값, 풀 패킷(Full Packet) 필드값을 포함한다.
데이터 매칭부(620)는 상기 ZAPHP 파싱부(610)로부터 수신한 매칭 정보를 사용하여 풀 패킷 데이터에서 매칭되는 결과를 출력부(630)로 전송한다.
출력부(630)는 상기 ZAPHP 파싱부(610)로부터 수신한 sid 및 타임스탬프와 상기 데이터 매칭부(620)로부터 수신한 매칭 결과를 하이라이트(highlight)하여 출력한다.
도 6은 본 발명의 일 실시예에 따른 제로데이 공격 패킷 하이라이트 방법을 보여주는 흐름도이다.
도 6을 참조하면, 새로운 공격을 탐지 및 차단하기 위한 새로운 룰이 업데이트되면, 플로우 기반 PCA(100) 수신된 패킷을 플로우(flow) 단위로 저장하고, 저장된 패킷들을 NIDPS(200)에 송신한다(S610).
그리고, NIDPS(200)는 업데이트된 룰을 통해 상기 플로우 기반 PCA(100)로부터 수신한 패킷들을 검사하여 제로데이 공격 패킷을 검출하고, 검출된 결과를 이용하여 제로데이 공격 패킷을 검출하기 위한 프로토콜인 ZAPDP(Zero-day Attack Packet Detection Protocol)를 생성한다(S620).
그리고, 제로데이 공격 패킷 검출 시스템(400)은 상기 NIDPS(200)로부터 수신한 제로데이 공격 패킷, 검사에 사용된 룰 정보, 상기 룰 정보에 매칭된 패킷 내 데이터 정보를 하이라이트(highlight)하기 위한 프로토콜인 ZAPHP(Zero-Day Attack Packet Highlight Protocol)를 생성한다(S630).
그리고, 패킷 하이라이트 시스템(600)은 상기 공격 패킷 검출 시스템(400)으로부터 수신한 ZAPHP를 이용하여, 풀 패킷(Full packet)에서 제로데이 공격으로 검출된 부분을 하이라이트하고, 검출된 부분에 해당하는 패킷과 룰에 대한 정보를 출력한다(S640).
상기 제로데이 공격 패킷 검출 시스템(400)에서 ZAPHP(Zero-Day Attack Packet Highlight Protocol)를 생성하는 단계(S630)에서, ZAPDP 파싱부(410)가 상기 NIDPS(200)로부터 수신한 ZAPDP를 파싱하여, sid값을 룰 DB(420)로 전송하고 타임스탬프 값을 pcap 파일 파싱부(430)로 전송하는 단계, 룰 DB(420)가 상기 ZAPDP 파싱부로부터 수신한 sid값을 가진 룰 풀 셋(rule full set)을 패킷 매칭부(440)로 전달하는 단계, pcap 파일 파싱부(430)가 pcap 파일을 파싱하여, 상기 ZAPDP 파싱부(410)로부터 수신한 타임스탬프 값을 가진 플로우(flow)와 해당 플로우의 패킷들을 검출하여 패킷 매칭부(440)로 전달하는 단계 및 패킷 매칭부(440)가 상기 룰 DB(420)로부터 수신한 룰 정보와 매칭되는 패킷을 상기 pcap 파일 파싱부(430)로부터 수신한 패킷들 중에서 찾고, 룰 정보와 매칭되는 패킷을 찾으면, 매칭된 결과를 ZAPHP 구조로 만들어 전송하는 단계를 포함하여 이루어질 수 있다.
상기 패킷 하이라이트 시스템(600)에서 패킷과 룰에 대한 정보를 출력하는 단계(S640)에서, ZAPHP 파싱부(610)가 수신한 ZAPHP를 파싱(parsing)하여, 룰과 매칭된 풀 패킷에서 제로데이 공격으로 검출된 부분의 데이터를 매칭하여 하이라이트하기 위한 매칭 정보를 데이터 매칭부(620)로 전송하고, sid와 타임스탬프를 출력부(630)로 전송하는 단계, 데이터 매칭부(620)가 상기 ZAPHP 파싱부(610)로부터 수신한 매칭 정보를 사용하여 풀 패킷 데이터에서 매칭되는 결과를 출력부(630)로 전송하는 단계 및 출력부(630)가 상기 ZAPHP 파싱부(610)로부터 수신한 sid 및 타임스탬프와 상기 데이터 매칭부(620)로부터 수신한 매칭 결과를 하이라이트(highlight)하여 출력하는 단계를 포함하여 이루어질 수 있다.
이상 본 발명을 몇 가지 바람직한 실시 예를 사용하여 설명하였으나, 이들 실시 예는 예시적인 것이며 한정적인 것이 아니다. 본 발명이 속하는 기술분야에서 통상의 지식을 지닌 자라면 본 발명의 사상과 첨부된 특허청구범위에 제시된 권리범위에서 벗어나지 않으면서 다양한 변화와 수정을 가할 수 있음을 이해할 것이다.
100 플로우 기반 PCA 200 NIDPS
300 ZAPDP 400 제로데이 공격 패킷 검출 시스템
500 ZAPHP 600 패킷 하이라이트 시스템
410 ZAPDP 파싱부 420 룰 DB
430 pcap 파일 파싱부 440 패킷 매칭부
610 ZAPHP 파싱부 620 데이터 매칭부
630 출력부

Claims (8)

  1. 수신된 패킷을 플로우(flow) 단위로 저장하고, 새로운 룰이 업데이트되면 저장된 패킷들을 NIDPS(200)에 송신하는 플로우 기반 PCA(100);
    업데이트된 룰을 통해 상기 플로우 기반 PCA(100)로부터 수신한 패킷들을 검사하여 제로데이 공격 패킷을 검출하고, 검출된 결과를 이용하여 제로데이 공격 패킷을 검출하기 위한 프로토콜인 ZAPDP(Zero-day Attack Packet Detection Protocol)를 생성하는 NIDPS(200);
    상기 NIDPS(200)로부터 수신한 ZAPDP를 이용하여, 제로데이 공격 패킷, 검사에 사용된 룰 정보, 상기 룰 정보에 매칭된 패킷 내 데이터 정보를 하이라이트(highlight)하기 위한 프로토콜인 ZAPHP(Zero-Day Attack Packet Highlight Protocol)를 생성하는 제로데이 공격 패킷 검출 시스템(400); 및
    상기 공격 패킷 검출 시스템(400)으로부터 수신한 ZAPHP를 이용하여, 풀 패킷(Full packet)에서 제로데이 공격으로 검출된 부분을 하이라이트하고, 검출된 부분에 해당하는 패킷과 룰에 대한 정보를 출력하는 패킷 하이라이트 시스템(600)을 포함하며,
    상기 ZAPHP는 헤더(Header) 부분과 페이로드(Payload) 부분으로 구성되며,
    상기 헤더 부분은,
    NIDPS의 룰(rule)에 부여된 ID를 의미하는 SID(Signature ID) 필드;
    패킷이 수신된 시간의 년, 월, 일, 시, 분, 초 단위의 값을 의미하는 타임스탬프(seconds) 필드;
    패킷이 수신된 시간의 초 단위 이하의 나노 초(nanoseconds) 단위까지의 값을 의미하는 타임스탬프(nanoseconds) 필드;
    ZAPHP의 페이로드 크기를 의미하는 렝스(Length) 필드;
    풀 패킷(Full Packet) 필드가 시작하는 위치를 의미하는 패킷 오프셋(Packet offset) 필드;
    풀 패킷에서 룰과 매칭된 부분의 첫 비트(bit) 위치를 의미하는 스타트 비트(Start Bit) 필드;
    풀 패킷에서 룰과 매칭된 부분의 마지막 비트 위치를 의미하는 엔드 비트(End Bit) 필드; 및
    추후 버전에서 사용하기 위한 예비 필드를 의미하고 0으로 채워지는 리저브드(Reserved) 필드로 구성되고,
    상기 페이로드 부분은,
    풀 패킷에서 룰과 매칭된 부분의 데이터를 의미하는 매칭 데이터(Matching Data) 필드; 및
    룰과 매칭된 패킷 전체 데이터를 의미하는 풀 패킷 필드
    로 구성되는 것을 특징으로 하는 제로데이 공격 패킷 하이라이트 시스템.
  2. 삭제
  3. 삭제
  4. 청구항 1에 있어서,
    상기 제로데이 공격 패킷 검출 시스템은,
    상기 NIDPS(200)로부터 수신한 ZAPDP를 파싱하여, sid값을 룰 DB(420)로 전송하고 타임스탬프 값을 pcap 파일 파싱부(430)로 전송하기 위한 ZAPDP 파싱부(410);
    상기 ZAPDP 파싱부로부터 수신한 sid값을 가진 룰 풀 셋(rule full set)을 패킷 매칭부(440)로 전달하기 위한 룰 DB(420);
    pcap 파일을 파싱하여, 상기 ZAPDP 파싱부(410)로부터 수신한 타임스탬프 값을 가진 플로우(flow)와 해당 플로우의 패킷들을 검출하여 패킷 매칭부(440)로 전달하기 위한 pcap 파일 파싱부(430); 및
    상기 룰 DB(420)로부터 수신한 룰 정보와 매칭되는 패킷을 상기 pcap 파일 파싱부(430)로부터 수신한 패킷들 중에서 찾고, 룰 정보와 매칭되는 패킷을 찾으면, 매칭된 결과를 ZAPHP 구조로 만들어 전송하기 위한 패킷 매칭부(440)
    를 포함하여 이루어지는 것을 특징으로 하는 제로데이 공격 패킷 하이라이트 시스템.
  5. 청구항 1에 있어서,
    상기 패킷 하이라이트 시스템(600)은,
    수신한 ZAPHP를 파싱(parsing)하여, 룰과 매칭된 풀 패킷에서 제로데이 공격으로 검출된 부분의 데이터를 매칭하여 하이라이트하기 위한 매칭 정보를 데이터 매칭부(620)로 전송하고, sid와 타임스탬프를 출력부(630)로 전송하기 위한 ZAPHP 파싱부(610);
    상기 ZAPHP 파싱부(610)로부터 수신한 매칭 정보를 사용하여 풀 패킷 데이터에서 매칭되는 결과를 출력부(630)로 전송하기 위한 데이터 매칭부(620); 및
    상기 ZAPHP 파싱부(610)로부터 수신한 sid 및 타임스탬프와 상기 데이터 매칭부(620)로부터 수신한 매칭 결과를 하이라이트(highlight)하여 출력하기 위한 출력부(630)
    를 포함하여 이루어지는 것을 특징으로 하는 제로데이 공격 패킷 하이라이트 시스템.
  6. 새로운 공격을 탐지 및 차단하기 위한 새로운 룰이 업데이트되면, 플로우 기반 PCA(100) 수신된 패킷을 플로우(flow) 단위로 저장하고, 저장된 패킷들을 NIDPS(200)에 송신하는 단계;
    NIDPS(200)는 업데이트된 룰을 통해 상기 플로우 기반 PCA(100)로부터 수신한 패킷들을 검사하여 제로데이 공격 패킷을 검출하고, 검출된 결과를 이용하여 제로데이 공격 패킷을 검출하기 위한 프로토콜인 ZAPDP(Zero-day Attack Packet Detection Protocol)를 생성하는 단계;
    제로데이 공격 패킷 검출 시스템(400)은 상기 NIDPS(200)로부터 수신한 ZAPDP를 이용하여, 제로데이 공격 패킷, 검사에 사용된 룰 정보, 상기 룰 정보에 매칭된 패킷 내 데이터 정보를 하이라이트(highlight)하기 위한 프로토콜인 ZAPHP(Zero-Day Attack Packet Highlight Protocol)를 생성하는 단계; 및
    패킷 하이라이트 시스템(600)은 상기 공격 패킷 검출 시스템(400)으로부터 수신한 ZAPHP를 이용하여, 풀 패킷(Full packet)에서 제로데이 공격으로 검출된 부분을 하이라이트하고, 검출된 부분에 해당하는 패킷과 룰에 대한 정보를 출력하는 단계를 포함하며,
    상기 제로데이 공격 패킷 검출 시스템에서 ZAPHP(Zero-Day Attack Packet Highlight Protocol)를 생성하는 단계에서,
    ZAPDP 파싱부(410)가 상기 NIDPS(200)로부터 수신한 ZAPDP를 파싱하여, sid값을 룰 DB(420)로 전송하고 타임스탬프 값을 pcap 파일 파싱부(430)로 전송하는 단계;
    룰 DB(420)가 상기 ZAPDP 파싱부로부터 수신한 sid값을 가진 룰 풀 셋(rule full set)을 패킷 매칭부(440)로 전달하는 단계;
    pcap 파일 파싱부(430)가 pcap 파일을 파싱하여, 상기 ZAPDP 파싱부(410)로부터 수신한 타임스탬프 값을 가진 플로우(flow)와 해당 플로우의 패킷들을 검출하여 패킷 매칭부(440)로 전달하는 단계; 및
    패킷 매칭부(440)가 상기 룰 DB(420)로부터 수신한 룰 정보와 매칭되는 패킷을 상기 pcap 파일 파싱부(430)로부터 수신한 패킷들 중에서 찾고, 룰 정보와 매칭되는 패킷을 찾으면, 매칭된 결과를 ZAPHP 구조로 만들어 전송하는 단계
    를 포함하여 이루어지는 것을 특징으로 하는 제로데이 공격 패킷 하이라이트 방법.
  7. 삭제
  8. 청구항 6에 있어서,
    상기 패킷 하이라이트 시스템(600)에서 패킷과 룰에 대한 정보를 출력하는 단계에서,
    ZAPHP 파싱부(610)가 수신한 ZAPHP를 파싱(parsing)하여, 룰과 매칭된 풀 패킷에서 제로데이 공격으로 검출된 부분의 데이터를 매칭하여 하이라이트하기 위한 매칭 정보를 데이터 매칭부(620)로 전송하고, sid와 타임스탬프를 출력부(630)로 전송하는 단계;
    데이터 매칭부(620)가 상기 ZAPHP 파싱부(610)로부터 수신한 매칭 정보를 사용하여 풀 패킷 데이터에서 매칭되는 결과를 출력부(630)로 전송하는 단계; 및
    출력부(630)가 상기 ZAPHP 파싱부(610)로부터 수신한 sid 및 타임스탬프와 상기 데이터 매칭부(620)로부터 수신한 매칭 결과를 하이라이트(highlight)하여 출력하는 단계
    를 포함하여 이루어지는 것을 특징으로 하는 제로데이 공격 패킷 하이라이트 방법.
KR1020200127092A 2020-09-29 2020-09-29 제로데이 공격 패킷 하이라이트 시스템 및 방법 KR102427405B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200127092A KR102427405B1 (ko) 2020-09-29 2020-09-29 제로데이 공격 패킷 하이라이트 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200127092A KR102427405B1 (ko) 2020-09-29 2020-09-29 제로데이 공격 패킷 하이라이트 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20220044047A KR20220044047A (ko) 2022-04-06
KR102427405B1 true KR102427405B1 (ko) 2022-08-01

Family

ID=81211671

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200127092A KR102427405B1 (ko) 2020-09-29 2020-09-29 제로데이 공격 패킷 하이라이트 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR102427405B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100769221B1 (ko) * 2006-08-04 2007-10-29 한국정보보호진흥원 제로데이 공격 대응 시스템 및 방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170060280A (ko) * 2015-11-24 2017-06-01 한국전자통신연구원 탐지 규칙 자동 생성 장치 및 방법
KR102359597B1 (ko) * 2018-12-05 2022-02-08 건국대학교 산학협력단 패킷 데이터에 대한 사이버 공격을 방어하기 위한 공격 방어 방법 및 이를 수행하는 장치들
KR102046789B1 (ko) 2019-04-05 2019-11-20 호서대학교 산학협력단 웹 어플리케이션에 대한 딥러닝 기반의 침입탐지 방법, 시스템 및 컴퓨터 프로그램

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100769221B1 (ko) * 2006-08-04 2007-10-29 한국정보보호진흥원 제로데이 공격 대응 시스템 및 방법

Also Published As

Publication number Publication date
KR20220044047A (ko) 2022-04-06

Similar Documents

Publication Publication Date Title
US7904942B2 (en) Method of updating intrusion detection rules through link data packet
US7496962B2 (en) Intrusion detection strategies for hypertext transport protocol
EP2924943B1 (en) Virus detection method and device
US7571477B2 (en) Real-time network attack pattern detection system for unknown network attack and method thereof
US8978137B2 (en) Method and apparatus for retroactively detecting malicious or otherwise undesirable software
US7602780B2 (en) Scalably detecting and blocking signatures at high speeds
US20140189879A1 (en) Method for identifying file type and apparatus for identifying file type
US11546372B2 (en) Method, system, and apparatus for monitoring network traffic and generating summary
US20030084318A1 (en) System and method of graphically correlating data for an intrusion protection system
KR102152338B1 (ko) Nidps 엔진 간의 룰 변환 시스템 및 방법
US20030083847A1 (en) User interface for presenting data for an intrusion protection system
US20170034195A1 (en) Apparatus and method for detecting abnormal connection behavior based on analysis of network data
JP2008079291A (ja) 断片列中の断片を解析する装置、システム及び方法
KR100770357B1 (ko) 시그너처 해싱을 이용하여 시그너처 매칭 회수를 줄이는고성능 침입 방지 시스템 및 그 방법
US9578039B2 (en) OAM security authentication method and OAM transmitting/receiving devices
RU2285287C1 (ru) Способ защиты информационно-вычислительных сетей от компьютерных атак
KR102427405B1 (ko) 제로데이 공격 패킷 하이라이트 시스템 및 방법
KR102427404B1 (ko) 플로우 기반 pca에 저장된 제로데이 공격 패킷 검출 시스템 및 방법
US11520884B2 (en) Dummy information insertion device, dummy information insertion method, and storage medium
KR100951930B1 (ko) 부적절한 패킷의 분류 방법 및 장치
KR102092411B1 (ko) 실시간 웹공격 탐지방법
KR102353130B1 (ko) Nidps 기반 대용량 트래픽 제로데이 공격을 방어하기 위한 방어 시스템 및 방법
KR102544874B1 (ko) 분할 패킷의 보안 처리 방법 및 이를 이용하는 보안 지원 장치
Rice Automated snort signature generation
JP2005175993A (ja) ワーム伝播監視システム

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant