KR20000010253A - Trespass detection system and module of trespass detection system using arbitrator agent - Google Patents

Trespass detection system and module of trespass detection system using arbitrator agent Download PDF

Info

Publication number
KR20000010253A
KR20000010253A KR1019980031095A KR19980031095A KR20000010253A KR 20000010253 A KR20000010253 A KR 20000010253A KR 1019980031095 A KR1019980031095 A KR 1019980031095A KR 19980031095 A KR19980031095 A KR 19980031095A KR 20000010253 A KR20000010253 A KR 20000010253A
Authority
KR
South Korea
Prior art keywords
intrusion
agent
module
detection system
intrusion detection
Prior art date
Application number
KR1019980031095A
Other languages
Korean (ko)
Inventor
최종욱
김회준
Original Assignee
최종욱
김회준
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 최종욱, 김회준 filed Critical 최종욱
Priority to KR1019980031095A priority Critical patent/KR20000010253A/en
Publication of KR20000010253A publication Critical patent/KR20000010253A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: An intrusion detection system and module of an intrusion detection system using arbitrator agent is provided to prevent general paralysis of system according to destruction of a detection module. CONSTITUTION: The system comprises an agent discriminates whether a system is trespassed by test a packet ascended from a lower network layer using a detection module, and a learning module making the agent learn refer to an intrusion pattern. The learning module uses all records for the agents is operated as next learning's input. The lower network layer controls an application program be capable of receiving a packet from a real data link layer. A network primitive abstraction processes a user menace message transferred from the agents.

Description

조정자 에이젼트를 이용한 침입 탐지 시스템 및 침입 탐지 시스템의 침입 탐지 모듈Intrusion Detection System using Coordinator Agent and Intrusion Detection Module of Intrusion Detection System

본 발명은 네트워크의 침입탐지 시스템에 관한 것으로, 더욱 상세하게는 네트워크 침입 여부를 판단하는 탐지 모듈과 독립 에이젼트 기반의 침입 탐지 시스템 상에서 단위 침입 행동별로 학습된 모니터링 프로세스들로부터 전송되어지는 사용자 위협 행동 메시지에 대한 처리를 담당하는 조정자 에이젼트에 관한 것이다.The present invention relates to an intrusion detection system of a network, and more particularly, a user threat behavior message transmitted from monitoring processes learned by unit intrusion behavior on an intrusion detection system based on a detection module and an independent agent-based intrusion detection system. It is about the coordinator agent in charge of processing.

인터넷의 확장에 따라 네트워크를 통한 침입의 가능성은 계속적으로 증가하였고, 이에 따라 침입탐지 분야에 대한 연구와 개발에 대한 관심은 지속적으로 증가하여 왔다. 침입탐지 시스템은 잘 가공된 보안 관련 감사 기록데이터를 요구하는데, 세부적인 기술로는 보안관련 감사기록 데이터의 수집기술과 추후 감사를 위한 데이터의 저장기술, 그리고 보안 관련 감사기록 데이터의 분석 및 해석기술, 사용자에 대한 인터페이스 제공기술 등의 방향으로 현재 연구가 진행중이다. 현재 미국, 영국 등 여러 나라에서 침입자들의 다양한 침입공격에 대비할 수 있는 침입탐지 시스템개발을 위하여 여러 각도에서 연구수행중이며, 1983년부터 현재에 이르기까지 지속적으로 연구가 진행중이다.As the Internet expands, the possibility of network intrusion continues to increase, and accordingly, interest in research and development in the field of intrusion detection has continuously increased. Intrusion detection system requires well-processed security-related audit record data. Detailed technology includes security-related audit record data collection technology, data storage technology for later audit, and security-related audit record data analysis and interpretation technology. Currently, research is underway in the direction of user interface providing technology. Currently, various countries such as the United States and the United Kingdom have been conducting research from various angles to develop an intrusion detection system that can prepare for various intrusion attacks. From 1983 to the present, the research is ongoing.

네트워크에서의 침입은 크게 오용침입(Misuse Intrusion)과 비정상적인 침입(Anomaly Intrusion)의 두 가지로 분류한다. 오용 침입(Misuse Intrusion)은 시스템이나 응용프로그램 소프트웨어의 알려진 약점이나 버그를 이용한 침입으로 예를 들면, 인터넷에서 사용되는 send mail이나 fingerd의 버그를 예로 들 수 있다. 비정상적 침입(Anomaly Intrusion)은 정상적인 시스템의 사용 패턴들과의 차이(Deviation) 관찰에 의해 침입이 결정되는 것으로, 모니터 되어야 할 시스템의 프로파일(profile)을 구축하여, 이로부터 중요한 차이를 찾아냄으로써 침입이 탐지된다. 오용 침입은 잘 알려진 패턴을 따르므로 감사 트레일(Audit trail) 정보와의 패턴 매치를 통해 탐지할 수 있으나, 이에 비해 비정상적 침입은 탐지하기가 쉽지 않다. 이 경우는 비교 분석해야 할 정해진 패턴이라는 것이 없기 때문에 퍼지 이론에 의한 접근의 도입이 필요하다. 그러므로, 가장 이상적인 침입 탐지를 위해서는 빈틈없는 프로그램으로 인해 시스템이 인간과 같은 패턴매치 능력을 보유하는 것이며, 또한 침입의 가능성이 있는 시스템은 언제나 철저하게 모니터링 되어야 한다. 그리고 정상적인 사용자의 행동에 대해 이를 침입으로 분류해 버리는 경우, 이를 무시할 수 있는 능력 또한 갖추어야 하는데, 이에 대한 판단은 보안 담당자에 의해 사전에 규정해 놓는다던가, 오랜 시간 시스템을 사용해본 경험에 근거한다던가 하는 발견적인(Heuristic) 면에 의존하게 되는 것이다.Intrusions into the network fall into two broad categories: misuse intrusion and abnormal intrusion. Misuse Intrusion is an intrusion that uses known weaknesses or bugs in system or application software. For example, a bug in send mail or fingerd on the Internet. Anomaly intrusion is an intrusion determined by observation of differences from normal system usage patterns. An intrusion can be established by establishing a profile of the system to be monitored and finding important differences therefrom. Is detected. Misuse intrusions follow well-known patterns, so they can be detected by pattern matching with audit trail information, but abnormal intrusions are difficult to detect. In this case, since there is no fixed pattern to be compared and analyzed, the introduction of the fuzzy theory approach is necessary. Therefore, for the most ideal intrusion detection, the system has a human-like pattern matching capability due to the tight program, and the system with potential for intrusion should always be thoroughly monitored. And if you classify it as an intrusion for normal user behavior, you should also have the ability to ignore it, based on your experience with your system for a long time, as determined by your security staff. It depends on the heuristic side.

비정상적인 행위 탐지는 오용이나 침입 유형이 정상적인 시스템의 사용에 비해 빗나가는 이례적인 행위 유형을 띈다는 가정을 기반으로 하는 것이다. 합법적인 사용자 개정을 깨트리는 것은 공격자이고, 공격자는 정상적인 사용자들과 다르게 행동하기 때문이다. 그래서 만약 침입탐지 시스템이 사용자 세션동안 정상적인 행위를 추정할 수 있다면, 그것으로 사용자가 정상적인 행동을 하지 않았고 공격이 탐지되었다고 결정할 수 있다. 침입탐지 시스템들은 이 유형을 학습 기록 원리로서 구성할 수 있고, 비정상적인 행위들을 인간이나 또다른 부분의 침입탐지 시스템에 보고하여 더 자세하게 분석을 할 수 있는 것이다. 이러한 비정상적인 행위 탐지 시스템은 지역 정보 요약, 지역적인 요약으로부터 경험 정보로 전개, 비정상적인 행위 경험의 한계치를 수립을 통해 이를 가려내는 특징을 가지고 있다. 비정상적인 행위 탐지는 동떨어진 데이터 부분들과 현재 데이터보다는 경험적인 데이터에 가중치를 두는 지수함수 방법을 사용하여 데이터를 융합, 탐색하고, 유형에 대한 네트워크에서 비정상적인 행위 탐지를 위한 허용수준을 수립하여, 유형 변화와 조화를 이루어 자연스럽고 부드럽게 새로운 데이터를 제거하는 것으로 진행되어지나, 비정상적인 행위 탐지는 정상적인 행위의 형태가 시간에 따라 바뀔 수 있기 때문에 어렵다. 더군다나, 정상상태는 시간대별로 다르게 고려하여 수립할 수 있다.Anomalous behavior detection is based on the assumption that misuse or intrusion types deviate from the unusual behavioral types that deviate from the use of normal systems. It is the attacker who breaks legitimate user revisions, because the attacker behaves differently than normal users. So if the intrusion detection system can estimate normal behavior during a user session, it can determine that the user did not perform normal behavior and an attack was detected. Intrusion detection systems can configure this type as a learning record principle, and report abnormal behavior to human or another intrusion detection system for further analysis. Such an abnormal behavior detection system has a characteristic of screening through the summary of regional information, the development of regional information from experience summary, and the establishment of the threshold of abnormal behavior experience. Anomalous behavior detection uses a exponential method that weights disparate data parts and empirical data rather than current data to fuse and explore data, and establish a tolerance for detecting anomalous behavior in the network for types. It proceeds in natural and smooth removal of new data in harmony with the system, but abnormal behavior detection is difficult because the normal behavior can change over time. Furthermore, steady state can be established with different time zones.

이러한 침입 탐지 시스템에 있어 행위 판별(Behavior Classification)과 자료 축소(Data Reduction) 문제를 중심으로 수행한 연구들이 있다. 행위 판별은 주어진 일련의 행위들에 대해 이것이 침입인지 침입이 아닌지를 판단할 수 있는지를 결정하는 문제이고, 자료 축소는 수 메가바이트에 이르는 방대한 양의 분석되어져야 할 데이터에 대해 이의 양을 줄여 나가는 것을 말한다. 대체적으로 이러한 문제의 해결에 있어 도입된 인공지능의 기법들은 규칙 기반 시스템(Rule-based System)과 신경망 또는 통계적 분류 시스템의 방법을 사용하고 있다. 이러한 접근법의 한계점들은 이들이 많은 양의 초기 학습을 필요로 하며, 시스템의 수명동안 지속적으로 시스템의 유지보수를 위해 많은 노력이 필요하다는 것이다.In this intrusion detection system, there have been studies focused on behavior classification and data reduction. Behavioral discrimination is a matter of deciding whether or not it is an intrusion or not intrusion for a given set of behaviors, and data reduction reduces the amount of data that can be analyzed for massive amounts of data that can be analyzed up to several megabytes. Say that. In general, the artificial intelligence techniques used to solve these problems use rules-based systems and neural networks or statistical classification systems. The limitations of this approach are that they require a large amount of initial learning and a lot of effort to maintain the system over the life of the system.

전문가 시스템의 경우 초기의 규칙 기반 마련을 위해 해당 분야에 높은 전문성을 가진 전문가 개입을 필요로 한다. 이는 매우 시간과 지출을 요하는 작업인 것이다. 게다가 전문가 시스템 접근법이 갖는 보다 중요한 단점은 어떤 전문가라 할 지라도 시스템의 모든 취약성에 대해 알 수 없으며, 많은 기존 시스템의 약점들 간의 상호작용으로 생겨나는 취약성에 대해서는 더더욱 이를 발견해 낼 수 없다는 것이다. 만일 시스템의 프로파일상의 중요한 변화가 일어난다면, 규칙 기반 시스템의 경우 새로운 침입 가능성에 대비하여 규칙 기반을 새로이 설계해야만 한다. 이는 오류 발생 가능성이 매우 높은 작업으로 새로 규칙이 기존의 시스템 취약성들에 대한 대책들과 어긋날 수 있는 것이다. 보다 실제적인 문제로 이러한 문제들은 시스템 운영자에게 현재의 규칙들의 운영 및 유지를 어렵게 하여, 결과적으로 침입 탐지 시스템의 과거 정보에 의존적인 운영을 수행하도록 하게 된다.Expert systems require expert intervention with a high level of expertise in the field for early rule-based development. This is a very time consuming task. In addition, the more important disadvantage of the expert system approach is that no expert is aware of all the vulnerabilities in the system, and no more can be discovered about the vulnerabilities that arise from the interaction between the weaknesses of many existing systems. If a significant change in the system's profile occurs, then rule-based systems must be redesigned for new intrusion potential. This is a very error prone task, and new rules can deviate from countermeasures against existing system vulnerabilities. More practically, these problems make it difficult for the system operator to operate and maintain current rules, resulting in operations that depend on historical information from the intrusion detection system.

규칙 기반 침입 탐지 시스템의 대표적인 예로는 IDES 시스템이 있다. 이 시스템은 대상 시스템의 취약성 및 보안 정책, 그리고 과거의 침입들에 대한 지식을 담고 있는 규칙 데이터베이스를 가지고 있다. 현재의 시스템의 상태로부터 침입이 발생할 경우, 탐지 시스템은 침입에 대한 해당 규칙에 의해 현 시스템이 침입 당했는지 여부를 분류하게 된다. 그러나 IDES시스템은 통계적인 기존의 규칙 기반 접근법에 비해 과거의 침입에 대해 이를 기억하고 있다는 중요한 특징이 있다. 이것은 침입 탐지 시스템의 성능 향상에 있어 매우 중요한 특징으로 대부분의 새로운 침입 형태들은 기존 형태의 부분적인 변형이기 때문이다. Handy, Luger등에 의해 제안된 새로운 솔루션으로는 분류 시스템(Classifier System)을 이용하여 네트워크 시스템의 현재 상태를 분류해 내는 방법이 있다. 이것은 네트워크 패킷 정보에 관한 매트릭스들을 구한 후 이들로부터 네트워크에 관한 분류를 어떻게 할 수 있는지를 추론하게 된다. 그러나 이러한 접근법은 크게 두 가지의 한계점을 지니고 있다. ATM이나 FDDI 백본과 같이 많은 컴퓨터들이 빠른 속도의 네트워크로 연결되어 있는 경우 성능의 저하가 현격하다는 것과 네트워크의 상태를 판단하는데 사용되는 정보가 패킷의 헤더데이터에 국한되어 있다는 점이다. 헤더로부터 추출한 정보로부터는 행위의 특징을 처리할 수 없기 때문에 헤더의 정보만으로는 분류에 필요한 유용한 정보를 추출하기에는 역부족이다. 이에 대한 예로는 합법한 메일 포트를 통하여 침입이 이루어질 경우 이 접근법에 의한 시스템은 침입을 구분해 낼 수 없게 된다.An example of a rule-based intrusion detection system is the IDES system. The system has a rules database that contains knowledge of the target system's vulnerabilities, security policies, and past intrusions. If an intrusion occurs from the state of the current system, the detection system will classify whether or not the current system has been invaded by the rules for intrusion. However, the IDES system has an important characteristic that it remembers the past intrusions compared to the conventional statistical rule-based approach. This is a very important feature in improving the performance of intrusion detection systems because most new intrusion forms are only a partial variation of the existing ones. A new solution proposed by Handy and Luger is to classify the current state of a network system using a classifier system. It derives matrices about network packet information and infers how to classify the network from them. However, this approach has two major limitations. When many computers, such as ATM or FDDI backbones, are connected to a high speed network, performance is noticeable and the information used to determine the state of the network is limited to the header data of the packet. Since the characteristics of the behavior cannot be processed from the information extracted from the header, the header information alone is insufficient to extract useful information necessary for classification. An example of this is that if an intrusion is made through a legitimate mail port, the system by this approach will not be able to identify the intrusion.

Kephart에 의해 제안된 접근법은 인간의 면역 시스템과 비슷하게 컴퓨터 바이러스에 대한 탐지 및 제거 시스템을 제안하였다. 그러나 이 접근법은 PC 컴퓨터 위에서의 바이러스에 초점을 맞추고 있을 뿐 시스템 상에서의 비정상적인 행위나 시스템이 침입 하에 있는지를 어떻게 결정하는지에 대해 언급이 없다는 한계가 있다. 그러나 Kephart의 접근법은 몇 가지 중요한 이슈에 대해 언급하고 있다. 먼저 사용자에 의한 행동이 침입일 수 있음을 판단하는 침입 인식의 문제와 IDES시스템과 비슷한 침입에 대한 학습, 그리고 침입이 탐지되었을 경우 이를 어떻게 다룰 지에 대한 침입 대응에 관한 내용들이다.The approach proposed by Kephart proposed a detection and removal system for computer viruses similar to the human immune system. However, this approach only focuses on viruses on PC computers, and there is a limit to that there is no mention of abnormal behavior on the system or how to determine if the system is under attack. Kephart's approach, however, addresses some important issues. First, it is about the problem of recognition of intrusion which judges that the action by the user can be an intrusion, learning about intrusion similar to IDES system, and how to deal with intrusion when it is detected.

Kumar와 Spaffod에 의해 제안된 패턴 매칭 기법에 기반한 접근법은 시스템 상에 요구되는 유연성의 향상에 대한 문제로 초점이 맞추어 졌지만, 학습능력을 갖추지 못하였다는 단점을 가지고 있다. 이들은 시스템 상에 나타나는 현상들에 근거하여 침입을 어떻게 분류하는 지를 보여주었다. 여기서의 각 패턴들은 시스템 상태들간의 의존도를 인코딩하고 있는 것이다. 이러한 접근법은 침입을 탐지하는 강력한 방법이나 사전에 만들어진 패턴들에 의존적이라는 단점 또한 가지고 있다. 즉, 패턴 자체가 완전하지 못할 경우 시스템의 방어에 커다란 허점이 나타나게 되는 것이다. 그리고 보안 정책이나 시스템 운영상에 변화가 있을 경우 패턴들을 다시 만들어야 한다.The approach based on the pattern matching technique proposed by Kumar and Spaffod is focused on the problem of improving the flexibility required by the system, but has the disadvantage of not having the ability to learn. They showed how to classify intrusions based on what appears on the system. Each pattern here encodes dependencies between system states. This approach also has the disadvantage that it depends on powerful methods of detecting intrusions or pre-made patterns. In other words, if the pattern itself is incomplete, there is a huge loophole in the defense of the system. And if there is a change in security policy or system operation, patterns should be recreated.

이런 하나의 커다란 모듈로써 구축되어지는 침입 탐지 시스템은 몇 가지 문제점들을 지니고 있는데, 이 중 가장 두드러진 문제점은 시스템 부하에 관한 것으로 침입 탐지 모듈이 탑재되는 시스템에 주는 문제로, 이를 해결하기 위해 하나의 시스템은 다른 시스템에 올라가 있는 침입 탐지 모듈에 의해 분석되어진다. 감사 데이터를 분석하기 위해서는 시스템 커널이 시스템 상에서 이루어지는 모든 행동들에 대해 감사 정보를 만들어 내야 하는 데, 이는 그 양이 엄청나며, 이 작업을 위해 시스템의 디스크 용량이나 CPU 처리시간의 엄청난 소모를 요하게 된다. 감사 데이터가 만들어지면, 침입 탐지 시스템은 이를 읽고 번역하여, 다른 시스템 정보들과의 연관성에 대한 분석을 하게 된다.The intrusion detection system built as one such big module has some problems. The most prominent problem is the system load, which is given to the system equipped with the intrusion detection module. Is analyzed by intrusion detection modules on other systems. In order to analyze audit data, the system kernel must generate audit information for every action on the system, which is enormous and requires huge amounts of system disk space or CPU processing time for this task. . Once the audit data is created, the intrusion detection system reads it and translates it to analyze its association with other system information.

이와 같이 기존에 제안되어진 대부분의 침입 탐지 시스템들은 하나의 통합된 단일 시스템으로 커널과 같은 대상 시스템의 운영체제 위에 놓여져 커널로 들어오는 모든 처리 요구에 대해 모니터링을 하도록 되어있다. 그러나 이러한 시스템 모델들은 전체 시스템에 걸리는 부하문제 및 탐지 모듈의 파괴에 따른 안정성의 문제, 시스템의 확장에 따른 성능 보장의 문제 등과 같은 많은 문제점을 지니게 되었다.As mentioned above, most of the proposed intrusion detection systems are a single integrated system, which is placed on the operating system of the target system such as the kernel to monitor all processing requests coming into the kernel. However, these system models have many problems such as the load problem on the whole system, the stability problem due to the destruction of the detection module, and the performance guarantee of the system expansion.

본 발명은 이와 같은 문제점을 해결하기 위하여 안출한 것으로, 그 목적은 대상 시스템을 지역적, 또는 기능적으로 분할한 후, 가벼운 형태의 여러 개의 프로세스들로 하여금 각각 독립적인 동작으로 분할된 시스템 자원을 모니터링하고, 전체 시스템에 대한 침입 발생시 이들 프로세스간의 협력을 통해 이를 탐지하도록 하여, 기존 시스템에 대한 부하문제 및 탐지 모듈의 파괴에 따른 전체 기능의 마비, 시스템의 확장에 따른 탐지 시스템의 확장성 보장 등의 문제점들을 해결할 수 있도록 한 침입탐지 시스템의 탐지 모듈과 조정자 에이젼트를 제공하는데 있다.SUMMARY OF THE INVENTION The present invention has been made to solve such a problem. The object of the present invention is to divide a target system locally or functionally, and then to perform a plurality of light processes to monitor system resources divided into independent operations. In case of an intrusion into the entire system, it is detected through cooperation between these processes, such as load problems on the existing system, paralysis of the entire function due to the destruction of the detection module, and guarantee of scalability of the detection system according to the expansion of the system. To provide a detection module and coordinator agent for an intrusion detection system.

도 1은 독립 에이젼트를 이용한 침입 탐지 시스템을 개략적으로 도시한 블록 구성도이고,1 is a block diagram schematically illustrating an intrusion detection system using an independent agent,

도 2는 독립 에이젼트를 이용한 침입 탐지 시스템에서 독립 에이젼트를 개략적으로 도시한 블록 구성도이고,FIG. 2 is a block diagram schematically illustrating an independent agent in an intrusion detection system using the independent agent.

도 3은 본 발명의 일 실시예인 조정자 에이젼트를 이용한 침입 탐지 시스템의 전체 구조를 개략적으로 도시한 블록 구성도이고,3 is a block diagram schematically illustrating the overall structure of an intrusion detection system using a coordinator agent according to an embodiment of the present invention;

도 4는 본 발명의 일 실시예인 침입 탐지 시스템의 침입 탐지 모듈을 개략적으로 도시한 블록 구성도이고,4 is a block diagram schematically illustrating an intrusion detection module of an intrusion detection system according to an embodiment of the present invention;

도 5는 본 발명의 일 실시예인 침입 탐지 시스템의 침입 탐지 모듈을 세부 구성을 개략적으로 도시한 블록 구성도이고,5 is a block diagram schematically showing a detailed configuration of an intrusion detection module of an intrusion detection system according to an embodiment of the present invention;

도 6은 본 발명의 일 실시예인 침입 탐지 시스템의 침입 탐지 모듈에서 침입탐지 방법을 도시한 동작 순서도이다.6 is a flowchart illustrating an intrusion detection method in an intrusion detection module of an intrusion detection system according to an embodiment of the present invention.

상기와 같은 목적을 달성하기 위하여 본 발명은, 네트워크 침입 탐지 시스템에서 하위 네트워크 계층에서 올라오는 패킷을 탐지모듈로 검사하여 시스템의 침입여부를 판단하는 에이젼트와;In order to achieve the above object, the present invention, the network intrusion detection system agent for inspecting packets coming from the lower network layer with a detection module to determine whether the system intrusion;

상기 에이젼트를 침입 패턴에 대해 학습시키며, 상기 에이젼트들이 동작하는 동안의 모든 기록을 다음 학습의 입력으로 사용하는 학습 모듈과;A learning module that trains the agent on intrusion patterns and uses all records during the agent's operation as inputs for the next learning;

응용프로그램이 실제 데이터 링크 계층의 패킷을 받을 수 있게 해주는 인터페이스인 하위 네트워크 계층과;A lower network layer, which is an interface that allows an application program to receive a packet of an actual data link layer;

상기 하위 네트워크 계층인 인터페이스로부터 실제 네트워크 패킷을 받아서 상기 에이젼트들이 그 패킷을 다룰 수 있도록 패킷의 구조를 바꾸어 주는 레벨인 네트워크 초기 추상으로 이루어지는 독립 에이젼트를 이용한 침입 탐지 시스템에 있어서,In the intrusion detection system using an independent agent consisting of a network initial abstraction is a level that receives the actual network packet from the interface of the lower network layer to change the structure of the packet so that the agent can handle the packet,

상기 단위 행동별로 학습된 에이젼트들로부터 전송되어지는 사용자 위협 메시지에 대한 처리를 담당하는 조정자 에이젼트를 더 포함하는 것을 특징으로 한다.And a coordinator agent in charge of processing a user threat message transmitted from agents learned for each unit action.

또한, 본 발명은, 임의의 패턴을 소스 주소와 프로토콜 포트 및 기호, 그리고, 트랙픽 분석 후에 침입관련 데이터베이스를 검사하여 침입인지를 판정하는 침입여부판정 모듈과;In addition, the present invention includes an intrusion determination module for determining an intrusion by checking a source address, a protocol port and a symbol, and an intrusion related database after a traffic analysis;

여러 가지 침입 패턴들을 모아놓은 침입 관련 데이터베이스 모듈과;An intrusion-related database module that collects various intrusion patterns;

새로운 침입 패턴들을 상기 침입 관련 데이터베이스 모듈에 탑재하는 정형화된 규칙탑재 모듈로 침입 탐지 시스템의 침입 탐지 모듈을 형성하는 것을 특징으로 한다.The intrusion detection module of the intrusion detection system may be formed as a standardized rule loading module that mounts new intrusion patterns in the intrusion related database module.

이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시예를 설명하면 다음과 같다.Hereinafter, exemplary embodiments of the present invention will be described with reference to the accompanying drawings.

도 1은 독립 에이젼트(Autonomous agent)를 이용한 침입 탐지 시스템을 개략적으로 도시한 블록 구성도로, 학습 모듈(Learn Module)(100)과, 에이젼트(Agent)(200), 하위 네트워크 계층(Raw Network Layer ; DLP1)(300), 네트워크 초기 추상(Network Primitive Abstraction)(400)으로 이루어진다.FIG. 1 is a block diagram schematically illustrating an intrusion detection system using an autonomous agent, including a learning module 100, an agent 200, and a lower network layer; DLP1) 300 and Network Primitive Abstraction 400.

학습 모듈(100)은 에이젼트를 학습시키는 모듈로 한번 학습된 에이젼트들은 학습모듈과 독립적으로 동작할 수 있고, 또한 에이젼트들이 동작하는 동안의 모든 기록은 다음 학습의 입력으로 사용한다.The learning module 100 is a module for learning an agent. The agents that have been learned once may operate independently of the learning module, and all records while the agents are operating are used as inputs for the next learning.

에이젼트(200)는 독립 에이젼트 기반의 침입 탐지 시스템에서 하위 네트워크 계층(300)에서 올라오는 패킷을 탐지모듈로 검사하여 시스템의 침입여부를 판단하며, 각 에이젼트(200)들은 자신이 맡은 모듈에 입력되는 메시지를 검사하여 침입으로 간주되면 침입 추정값을 증가시키고, 이 침입 추정값이 특정 임계치에 이르면 이를 확실한 침입으로 간주하게 되는 것으로, 도 2에서와 같이 에이젼트가 가지고 있는 코드(210)는 진화과정으로부터 얻게 되고 해석기(evaluator)(220)에 의해 에이젼트 안에 놓여지며, 해석기(220)는 시스템 추정 계층(System Abstraction Layer ; SAL)(230)로부터 감사(audit) 정보를 획득하여 침입으로 간주되면 서스피션 리포터(240)의 침입 추정값을 증가시키며, 시스템 추정 계층(230)은 감사 정보에 대하여 통계를 계산하여 에이젼트에게 그 정보를 제공하고, 감사 정보를 해독하고 필요한 영역으로 추출할 뿐만 아니라 모든 시스템의 기본적인 요소(평균 CPU 사용률, 평균 로그인 횟수등)를 연속적으로 제공한다.The agent 200 determines whether an invasion of the system by inspecting the packet coming from the lower network layer 300 with the detection module in the independent agent-based intrusion detection system, each agent 200 is input to the module in charge of its own If the message is considered to be an intrusion, the intrusion estimate is increased, and when the intrusion estimate reaches a certain threshold, it is regarded as a sure intrusion. As shown in FIG. Placed in the agent by an evaluator 220, the interpreter 220 obtains audit information from the System Abstraction Layer (SAL) 230 and is considered an intrusion if it is considered an intrusion. And increase the intrusion estimate of 240, and the system estimation layer 230 calculates statistics on the audit information and sends the information to the agent. Balls, and a decryption audit information, and the basic element (average CPU usage rate, average number of log-ins) for all systems, as well as to extract a required region continuously provided.

하위 네트워크 계층(300)은 Sun DLP1 인터페이스로 응용프로그램이 실제 데이터 링크 계층의 패킷을 받을 수 있게 해주는 인터페이스이다.The lower network layer 300 is a Sun DLP1 interface that allows an application to receive a packet of an actual data link layer.

네트워크 초기 추상(400)은 하위 네트워크 계층(300)인 DLP1 인터페이스로부터 실제 네트워크 패킷을 받아서 에이젼트(200)들이 그 패킷을 다룰 수 있도록 패킷의 구조를 바꾸어 주는 레벨이다.The network initial abstraction 400 is a level that receives the actual network packet from the DLP1 interface, which is the lower network layer 300, and changes the structure of the packet so that the agent 200 can handle the packet.

이러한 독립 에이젼트 기반의 침입 탐지 시스템에서는 각 모듈 프로세스들이 시스템 자원들에 대한 행동패턴을 관찰하여, 비정상적인 행동이라 여겨질 경우 이를 알릴 수 있도록 학습되어진 에이젼트(200)의 형태를 가진다. 에이젼트 학습을 위해서는 유전자 알고리즘을 사용하여 의심스러운 행위 패턴에 대해 이를 분별할 수 있도록 학습시킨 후 각 모니터링 대상이 되는 자원들 위에 올려놓는다. 즉, 에이젼트(200)는 감사 정보를 모니터하기 위하여, 침입 프로파일에 대하여 학습을 하여야 한다. 이런 필요에서 도입된 제네틱 프로그래밍(Genetic Programming(GP)(Koza 1992))은 에이젼트 프로그램이 새로운 침입유형과 알려지지 않은 침입유형에 따라 계속적으로 진화할 수 있으며 그리고 나서 실제 환경에서 사용될 수 있다. 그리고, 제네틱 프로그래밍의 최종적인 결과는 프로그램의 집합이며, 이 프로그램은 실제 시스템에 탑재되어 연속적으로 동작한다. 제네틱 프로그래밍은 감사 데이터 파일에 접근할 수 있으며, 감사 데이터를 잘 조정할 수 있는 성격을 가지는 단순한 언어로 코드화된다. 스탠드 얼론 솔루션(stand-alone solution)에서 이 제네틱 프로그래밍은 감사 정보와 함께 이것을 제공하는 해석기(220)에 의해 해석된다.In such an independent agent-based intrusion detection system, each module process has a form of an agent 200 that is trained to observe behavior patterns of system resources and to notify them of abnormal behavior. For agent learning, genetic algorithms are used to train suspicious patterns of suspicious behavior and then to be placed on each monitored resource. That is, the agent 200 must learn about the intrusion profile in order to monitor the audit information. Genetic Programming (GP) (Koza 1992) introduced in this need allows agent programs to continue to evolve with new and unknown types of intrusion and then be used in real environments. The final result of Genetic Programming is a set of programs, which are loaded into a real system and run continuously. Genetic programming has access to audit data files and is coded in a simple language with the ability to manipulate audit data. In a stand-alone solution, this genetic programming is interpreted by an interpreter 220 which provides it with audit information.

시스템 사용자들에 의한 행동은 일련의 시스템 자원에 대한 접근 및 서비스 요구들로 이루어짐으로 각각 대상 시스템 자원에서 사용자의 행태가 모니터링 된다. 상호 독립적으로 동작하는 에이젼트(200)들은 모니터링 중 의심스런 행위가 발생하였을 경우, 이를 주변의 에이젼트(200)들에게 알리고(Broadcasting), 의심스러운 특정 사용자의 행위에 대해서는 계속적으로 모니터링을 하게 된다. 만약 그 행동이 시스템 전체에서 허용하는 특정 수위의 한계치(Threshold)를 넘을 경우, 이를 비정상적인 행동으로 여겨 이에 대한 대응 및 보고를 수행하게 된다. 이러한 침입에 대한 탐지 메카니즘은 탐지 시스템 상에서 발생할 수 있는 오류중 긍정적 오류(False-positive)의 오류의 발생가능성을 최소화시키고, 각각의 에이젼트(200)들을 해당 리소스에 대한 모니터링을 위해 최적화해 구성할 수 있음으로 인해, 궁극적으로 침입 탐지 시스템의 성능 향상을 도모할 수 있다.Behavior by system users consists of a series of access and service requests to system resources, so that each user's behavior is monitored on target system resources. Agents 200 that operate independently of each other, when a suspicious activity occurs during monitoring, notify the surrounding agents 200 (Broadcasting), and continuously monitors the behavior of a suspicious specific user. If the behavior exceeds the threshold of certain levels allowed by the system as a whole, it will be considered abnormal and will respond and report. The detection mechanism for this intrusion minimizes the possibility of false-positive errors among the errors that may occur on the detection system, and optimizes and configures each agent 200 for monitoring of the corresponding resource. As a result, it is possible to ultimately improve the performance of the intrusion detection system.

이러한 독립 에이젼트 기반의 침입 탐지 시스템 상에서 침입 탐지의 기반 정보가 되는 메시지 처리상의 메시지 유실 및 메시지 내 정보에 대한 처리를 보다 안정적으로 제공하기 위해 본 발명에서는, 단위 침입 행동별로 학습된 모니터링 프로세스들로부터 전송되어지는 사용자 위협 행동 메시지에 대한 처리를 담당할 수 있는 조정자 에이젼트(Coordinator agent)를 추가하여, 안정화된 메시지 처리 문제 뿐 아니라, 독립 에이젼트를 이용한 침입 탐지 시스템의 에이젼트(200)간 협력 작업에 의해 처리되었던 침입 판단 기능 및 에이젼트(200)들의 관리 기능 또한 수행하도록 하여 시스템의 유연성 및 확장성 향상을 도모하도록 한다.In the present invention, in order to more stably provide a message loss and message processing in the message processing that is the base information of the intrusion detection on the independent agent-based intrusion detection system, transmitted from the monitoring processes learned for each intrusion behavior By adding coordinator agent that can be in charge of handling user threat behavior message, it is not only stabilized message processing problem but also cooperative work between agents 200 of intrusion detection system using independent agent. The intrusion determination function and the management function of the agent 200 that have been performed are also performed to improve the flexibility and expandability of the system.

즉, 도 3에서와 같이, 감사 데이터를 통한 해석기를 통하여 침입판단 및 탐지모듈과 시스템의 전반적인 조정을 할 수 있는 조정자 에이전트(500)와 그 하부에 독립 에이전트(200)를 기반으로 두 단계의 에이전트(200)(500)를 두며, 조정자 에이전트(500)는 제네틱 프로그래밍을 이용한 내부사용자의 비정상적인 사용과 오용 행위 패턴을 지식데이터베이스로 구축하고, 조정자 에이젼트(500)와 독립 에이젼트(200) 간에는 블랙 보드(black board) 시스템을 구성하여 실제적으로는 시스템상의 다양한 여러 에이전트들이 협조하여 침입을 감시하고, 새로운 형태의 침입에 대한 반응 속도를 높여 실시간적인 침입 탐지 시스템을 구축한다. 즉, 조정자 에이젼트(500)는 개별 작업을 수행하는 독립 에이젼트(200)들과 일대 다로 연결되어 안정적 메시지 처리 지원, 침입 탐지 및 보고, 그리고 이들 독립 에이젼트(200)들로 구성되어진 전체 시스템 구조의 유지 및 운용을 한다.That is, as shown in Figure 3, the coordinator agent 500 that can make overall adjustment of the intrusion determination and detection module and the system through the interpreter through the audit data and the agent of the two stages based on the independent agent 200 under the The coordinator agent 500 constructs abnormal usage and misuse patterns of internal users using genetic programming into a knowledge database, and includes a black board between the coordinator agent 500 and the independent agent 200. By constructing a black board system, in practice, various agents on the system cooperate to monitor intrusions and build a real-time intrusion detection system by speeding up response to new types of intrusions. That is, the coordinator agent 500 is connected one-to-many with independent agents 200 performing individual tasks to support stable message processing, intrusion detection and reporting, and maintenance of the entire system structure composed of these independent agents 200. And operation.

이러한 조정자 에이젼트(500)는 독립 에이젼트 기반의 침입 탐지 시스템 상에서 각 독립 에이젼트(200)들에 의해 수행되어야 했던 많은 역할을 이양 받게 되고, 또 이들을 보완시킨다. 그러므로 본 발명에 의한 침입 탐지 시스템에서의 독립 에이젼트(200)와 FGA에서의 에이젼트간에는 그 성격 및 역할에 있어 몇 가지 중요한 차이를 갖는다. 즉, 본 발명인 조정자 에이젼트(500)를 이용한 침입 탐지 시스템에서의 독립 에이젼트(200)는 FGA에서의 에이젼트와 같이 위협행동을 수행한 수많은 사용자들에 대해 주위의 에이젼트로부터 회송되어진 메시지에 대한 처리 부하가 필요하지 않다. 또한 회송 메시지를 전달되어지는 메시지 정보를 중앙의 조정자 에이젼트 관리자(510)에서 관리하게 됨으로 독립 에이젼트(200) 상에 이 정보에 대한 별도의 저장 및 처리 모듈이 필요하지 않게 된다. 결국 FGA에서의 에이젼트들에 비해 본 발명에 의한 침입 탐지 시스템에서의 독립 에이젼트(200)들은 훨씬 가벼운 형태로 존재하게 되며, 그 역할은 학습에 의해 판단할 수 있는 개별 시스템 자원에 대한 사용자의 위협 행동을 찾아내 그 사실을 중앙의 조정자 에이젼트(500)에 전달하기만 하면 되는 것이다. 이는 독립 에이젼트(200) 기반의 침입 탐지 시스템의 물리적, 또는 논리적 확장성을 제공할 뿐 아니라, 시스템의 유연성 등 FGA 모델이 기존의 중앙집중식 침입 탐지 시스템들에 대해 갖는 장점들을 강화할 뿐 아니라, 침입 탐지의 기반이 되는 메시지 처리를 중앙 조정자 에이젼트(500)내 메시지 처리자(520)가 존재하여 안정적으로 제공하게 된다. 조정자 에이젼트(500)의 입장에서 시스템을 바라보면 조정자 에이젼트(500)는 시스템의 자체 침입 판별 알고리즘을 지원하기 위해 독립 에이젼트(200)로부터의 메시지 가공, 사용자별 행위 데이터의 작성 및 이를 기반한 침입 판단, 그리고 이에 대한 보고 기능 등과 함께 전체 침입 탐지 시스템의 유지 및 운용을 위해 독립 에이젼트(200)들의 관리 기능까지 수행하게 된다. 이렇듯 독립 에이젼트(200)들과 상호작용하며, 침입에 대한 탐지 및 이에 대한 보고, 그리고 독립 에이젼트(200)들에 대한 관리를 위한 조정자 에이젼트(500)는 기존의 중앙집중식 시스템 구조를 가진 지식 기반의 침입 탐지 시스템의 우수한 기능을 갖고 있으며, 그 구조에 있어 유사한 면이 존재한다.This coordinator agent 500 is handed over and complements many roles that had to be performed by each independent agent 200 on an independent agent based intrusion detection system. Therefore, there are some important differences in the nature and role between the independent agent 200 in the intrusion detection system according to the present invention and the agent in the FGA. That is, the independent agent 200 in the intrusion detection system using the coordinator agent 500 of the present inventor has a processing load for messages returned from surrounding agents for a number of users who have performed threat actions such as agents in the FGA. It is not necessary. In addition, since the centralized agent manager 510 manages the message information to be transmitted, the central agent agent 510 does not require a separate storage and processing module for this information on the independent agent 200. As a result, independent agents 200 in the intrusion detection system according to the present invention are present in a much lighter form than agents in the FGA, and the role of the user is a threat behavior of individual system resources that can be judged by learning. It is only necessary to find and convey the facts to the central coordinator agent 500. This not only provides the physical or logical scalability of the independent agent 200 based intrusion detection system, but also enhances the advantages of the FGA model over existing centralized intrusion detection systems such as system flexibility, as well as intrusion detection. The message processor 520 in the central coordinator agent 500 exists stably to provide the message processing that is the basis of the present invention. From the standpoint of the coordinator agent 500, the coordinator agent 500 processes the message from the independent agent 200, prepares user-specific behavioral data, and intrusion determination based on the same, to support the system's own intrusion determination algorithm. In addition, the management function of the independent agents 200 is performed to maintain and operate the entire intrusion detection system together with the reporting function. As such, the coordinator agent 500 interacts with the independent agents 200 and detects and reports on intrusions, and manages the independent agents 200, based on a knowledge base having an existing centralized system structure. It has the superior function of an intrusion detection system and there are similar aspects of its structure.

또한, 본 발명은 이러한 침입 탐지 시스템에서 임의의 패턴을 소스 주소와 프로토콜 포트 및 기호(signature), 그리고 트랙픽(traffic) 분석을 통하여 침입행위인지를 판별하기 위하여, 도 4 및 도 5에서와 같이 임의의 패턴을 소스 주소와 프로토콜 포트 및 기호, 그리고, 트랙픽 분석 후에 침입관련 데이터베이스를 검사하여 침입인지를 판정하는 침입여부판정 모듈(610)과, 여러 가지 침입패턴들을 모아놓은 침입관련 데이터베이스 모듈(620), 새로운 침입패턴들을 침입관련 데이터베이스 모듈에 탑재하는 정형화된 규칙탑재 모듈(630)로 이루어진 침입 탐지 모듈을 제공한다.In addition, the present invention in order to determine whether any pattern is an intrusion through the source address, protocol port and signature, and traffic analysis in the intrusion detection system, as shown in Figures 4 and 5 The intrusion determination module 610 determines a source address, a protocol port and a symbol, and an intrusion related database after traffic analysis to determine whether an intrusion is detected, and an intrusion related database module 620 which collects various intrusion patterns. In addition, it provides an intrusion detection module consisting of a standardized rule loading module 630 for mounting new intrusion patterns in the intrusion-related database module.

임의의 사용자 행위에 대한 침입여부를 판정하기 위해 침입여부판정 모듈(610)은 인가된 임의의 패턴 분석(611)을 통해, 소스 주소를 탐색(612)하며, 프로토콜 포트 및 기호를 분석(613)하며, 트랙픽 분석(614)을 한다. 그리고, 분석된 각각의 요소에 따라 침입관련 데이터베이스 모듈(620)의 소스 주소 관련 데이터베이스(621)와 프로토콜 포트 및 기호 관련 데이터베이스(622), 트랙픽 관련 데이터베이스(623)에서 침입 시나리오 패턴을 검색하며, 검색된 침입 시나리오 패턴과 분석된 입력 패턴을 비교하여(615) 침입 여부를 판정한다. 그리고, 정형화된 규칙탑재 모듈(630)은 새로운 침입패턴들을 침입관련 데이터베이스 모듈(620)에 탑재시키기 위한 임의의 패턴이 입력되면, 임의의 패턴을 분석하여(631) 소스 주소를 탐색(632)하며, 프로토콜 포트 및 기호를 분석하며(633), 트래픽을 분석(634)한 후, 분석된 각각의 요소를 침입관련 데이터베이스 모듈(620)의 소스 주소 관련 데이터베이스(621)와 프로토콜 포트 및 기호 관련 데이터베이스(622), 트랙픽 관련 데이터베이스(623)에 탑재시켜, 새로운 침입패턴에 대한 데이터베이스를 형성한다.To determine whether to intrude on any user behavior, the intrusion determination module 610 searches 612 the source address through any authorized pattern analysis 611, and analyzes the protocol port and symbol 613. And a traffic analysis 614. The intrusion scenario pattern is searched in the source address-related database 621, the protocol port and symbol-related database 622, and the traffic-related database 623 of the intrusion-related database module 620 according to each analyzed element. The intrusion scenario pattern is compared with the analyzed input pattern (615) to determine whether the intrusion. In addition, when a predetermined pattern for mounting new intrusion patterns into the intrusion related database module 620 is input, the standardized rule loading module 630 analyzes (631) a source pattern and searches for a source address (632). After analyzing the protocol port and symbol (633), analyzing the traffic (634), each element analyzed is the source address-related database 621 of the intrusion-related database module 620 and the protocol port and symbol-related database ( 622, the traffic related database 623, to form a database for new intrusion patterns.

이때, 침입관련 데이터베이스 모듈(620)의 각 데이터베이스의 필드 구성은 다음과 같다.At this time, the field configuration of each database of the intrusion-related database module 620 is as follows.

소스 주소 관련 데이터베이스(621)의 필드 구성은 표 1에서와 같이 규칙의 이름(rule name)과 소스 주소, 소스 포트, 목적지 주소, 목적지 포트, 그리고, 허용여부를 결정하는 동작(action)으로 구성된다.The field configuration of the source address related database 621 is composed of a rule name, a source address, a source port, a destination address, a destination port, and an action for determining whether or not to be allowed, as shown in Table 1. .

Field NameField name FieldField FieldField DescriptionDescription Rule NameRule Name StringString 1010 규칙의 이름The name of the rule Source AddressSource Address StringString 1515 근원지 주소Source address Source PortSource Port IntegerInteger 22 근원지 프로토콜Origin protocol Dest. AddressDest. Address StringString 1515 목적지 주소Destination address Dest. PortDest. Port IntegerInteger 22 목적지 포트번호Destination port number ActionAction StringString 1One D(불허용) 또는 P(허용)D (disallowed) or P (allowed)

그리고, 프로토콜 포트 및 기호 관련 데이터베이스(622)의 필드 구성은 표 2에서와 같이 규칙의 이름, 명령어, 인자로 구성된다.The field configuration of the protocol port and symbol related database 622 is composed of a rule name, a command, and an argument as shown in Table 2.

FieldField Field TypeField type FieldField DescriptionDescription Rule NameRule Name StringString 1010 규칙의 이름The name of the rule CommandCommand StringString 1010 사용한 명령어Command used Argument#1Argument # 1 StringString 1010 인자 1Factor 1 Argument#2Argument # 2 StringString 1010 인자 2Factor 2

그리고, 트래픽 관련 데이터베이스(623)의 필드 구성은 표 3에서와 같이 규칙의 이름, 명령어, 인자로 구성된다.In addition, the field configuration of the traffic-related database 623 is composed of the rule name, command, and argument as shown in Table 3.

FieldField Field TypeField type FieldField DescriptionDescription Rule NameRule Name StringString 1010 규칙의 이름The name of the rule CommandCommand StringString 1010 사용한 명령어Command used Argument#1Argument # 1 StringString 1010 인자 1Factor 1 Argument#2Argument # 2 StringString 1010 인자 2Factor 2

이와 같은 구성으로 형성된 침입 탐지 모듈에서 실제 침입을 판단하는 방법을 도 6을 참조하여 설명하면 다음과 같다.A method of determining an actual intrusion in the intrusion detection module formed as described above will be described below with reference to FIG. 6.

임의의 사용자 행위에 대한 침입여부를 판정하기 위해 침입여부판정 모듈(610)은 인가된 임의의 패턴 분석을 통해, 소스 주소와 소스 포트가 존재하는지를 분석하여(S1), 소스 주소와 소스 포트가 존재하면 소스 주소를 탐색한(S2) 다음, 침입관련 데이터베이스 모듈(620)의 표 1과 같은 필드로 구성된 소스 주소 관련 데이터베이스(621)에서 침입 시나리오 패턴을 검색하여 매칭이 되면 즉, 동작(action)이 D(불허용)이면 침입으로 판단하며(S3), 소스 주소와 소스 포트가 존재하지 않으면(S1) 임의의 패턴 분석을 통해 ftp, telnet과 같은 프로토콜 포트 등이 존재하는지를 분석한다(S4). 그리고, 프로토콜 포트 등이 존재하면 프로토콜 포트 등을 탐색한(S5) 다음, 침입관련 데이터베이스 모듈(620)의 표 2와 같은 필드로 구성된 프로토콜 관련 데이터베이스(622)에서 침입 시나리오 패턴을 검색하여 매칭이 되면 침입으로 판단하며(S6), 프로토콜 포트 등이 존재하지 않으면(S4) 트래픽과 관련된 e-mail,finger등이 존재하게 될 것이다(S7). 여기서의 결과 즉, 트래픽을 탐색한 다음(S8), 침입관련 데이터베이스 모듈(620)의 표 3과 같은 필드로 구성된 트래픽 관련 데이터베이스(623)에서 침입 시나리오 패턴을 검색하여 매칭이 되면 침입으로 판단한다(S9).The intrusion determination module 610 analyzes whether a source address and a source port exist through an arbitrary pattern analysis in order to determine whether an intrusion is performed for any user action (S1), and the source address and the source port exist. Search for a source address (S2), and then search for an intrusion scenario pattern in the source address-related database 621 composed of the fields as shown in Table 1 of the intrusion-related database module 620. If it is D (disallowed), it is determined as an intrusion (S3). If the source address and source port do not exist (S1), it is analyzed whether a protocol port such as ftp or telnet exists through random pattern analysis (S4). If a protocol port or the like exists, the protocol port or the like is searched (S5), and then a protocol intrusion scenario pattern is searched in the protocol related database 622 having fields as shown in Table 2 of the intrusion related database module 620. If it is determined to be an intrusion (S6), and if a protocol port or the like does not exist (S4), there will be an e-mail and a finger related to traffic (S7). In other words, after the traffic is searched (S8), an intrusion scenario pattern is searched in the traffic related database 623 having fields as shown in Table 3 of the intrusion related database module 620, and a match is determined as an intrusion ( S9).

이와 같이 본 발명에서는 조정자 에이젼트는 독립 에이젼트를 이용한 침입 탐지 시스템에서 대상 시스템을 지역적, 또는 기능적으로 분할한 후, 가벼운 형태의 여러 개의 프로세스들로 하여금 각각 독립적인 동작으로 분할된 시스템 자원을 모니터링하고, 전체 시스템에 대한 침입 발생시 이들 프로세스간의 협력을 통해 이를 탐지하도록 하여, 기존 시스템에 대한 부하문제 및 탐지 모듈의 파괴에 따른 전체 기능의 마비, 시스템의 확장에 따른 탐지 시스템의 확장성 보장 등의 문제점들을 해결하며, 침입 탐지 모듈은 침입 패턴들을 데이터베이스화하여 임의의 패턴이 입력될 때, 데이터베이스화된 침입 시나리오와 비교함으로써 능동적으로 침입 탐지를 할 수 있다. 또한, 본 발명인 조정자 에이젼트를 이용하여 침입 탐지 시스템을 구성할 경우에는 모니터링 프로세스(에이젼트)의 부하를 감소시키며, 침입의 행동 유형 및 시스템의 약점을 탐지할 수 있으며, 전체적인 침입 탐지 시스템의 안정성을 보장한다.As described above, in the present invention, the coordinator agent locally or functionally partitions a target system in an intrusion detection system using an independent agent, and then causes several processes in light form to monitor system resources divided into independent operations. In case of intrusion into the entire system, it is detected through cooperation between these processes, which can prevent problems such as load problems on the existing system, paralysis of the entire function due to the destruction of the detection module, and guarantee scalability of the detection system as the system expands. In order to solve the problem, the intrusion detection module may database intrusion patterns and actively detect intrusion by comparing the intrusion scenario with the database when an arbitrary pattern is input. In addition, when configuring the intrusion detection system using the inventor coordinator agent, the load of the monitoring process (agent) can be reduced, the type of intrusion behavior and the weakness of the system can be detected, and the stability of the overall intrusion detection system is ensured. do.

Claims (6)

네트워크 침입 탐지 시스템에서 하위 네트워크 계층에서 올라오는 패킷을 탐지모듈로 검사하여 시스템의 침입여부를 판단하는 에이젼트와;An agent that determines whether the system is invaded by inspecting a packet coming from a lower network layer in the network intrusion detection system with a detection module; 상기 에이젼트를 침입 패턴에 대해 학습시키며, 상기 에이젼트들이 동작하는 동안의 모든 기록을 다음 학습의 입력으로 사용하는 학습 모듈과;A learning module that trains the agent on intrusion patterns and uses all records during the agent's operation as inputs for the next learning; 응용프로그램이 실제 데이터 링크 계층의 패킷을 받을 수 있게 해주는 인터페이스인 하위 네트워크 계층과;A lower network layer, which is an interface that allows an application program to receive a packet of an actual data link layer; 상기 하위 네트워크 계층인 인터페이스로부터 실제 네트워크 패킷을 받아서 상기 에이젼트들이 그 패킷을 다룰 수 있도록 패킷의 구조를 바꾸어 주는 레벨인 네트워크 초기 추상으로 이루어지는 독립 에이젼트를 이용한 침입 탐지 시스템에 있어서,In the intrusion detection system using an independent agent consisting of a network initial abstraction is a level that receives the actual network packet from the interface of the lower network layer to change the structure of the packet so that the agent can handle the packet, 상기 단위 행동별로 학습된 에이젼트들로부터 전송되어지는 사용자 위협 메시지에 대한 처리를 담당하는 조정자 에이젼트를 더 포함하는 것을 특징으로 하는 조정자 에이젼트를 이용한 침입 탐지 시스템.Intrusion detection system using the coordinator agent further comprises a coordinator agent in charge of the processing of the user threat message transmitted from the agents learned for each unit action. 제 1 항에 있어서, 감사 데이터를 통한 해석기를 통하여 침입판단 및 탐지모듈과 시스템의 전반적인 조정을 할 수 있는 상기 조정자 에이전트와 그 하부에 독립 에이전트를 기반으로 두 단계의 에이전트를 두며, 상기 조정자 에이전트는 제네틱 프로그래밍을 이용한 내부 사용자의 비정상적인 사용과 오용 행위 패턴을 지식 데이터베이스로 구축하고, 상기 조정자 에이젼트와 독립 에이젼트간에는 간에는 블랙 보드 시스템을 구성하는 것을 특징으로 하는 조정자 에이젼트를 이용한 침입 탐지 시스템.The agent of claim 1, further comprising a coordinator agent capable of overall control of the intrusion determination and detection module and the system through an interpreter through audit data, and a two-level agent based on an independent agent under the coordinator agent. An intrusion detection system using a coordinator agent, comprising an internal user's abnormal usage and misuse pattern using genetic programming as a knowledge database, and configuring a blackboard system between the coordinator agent and an independent agent. 제 1 항 또는 제 2 항에 있어서, 상기 조정자 에이젼트는 시스템의 자체 침입 판별 알고리즘을 지원하기 위해, 상기 독립 에이젼트로부터의 메시지 가공, 사용자별 행위 데이터의 작성 및 이를 기반한 침입 판단, 그리고 이에 대한 보고 기능 등과 함께 전체 침입 탐지 시스템의 유지 및 운용을 위해 독립 에이젼트의 관리 기능까지 수행하는 것을 특징으로 하는 조정자 에이젼트를 이용한 침입 탐지 시스템.The method according to claim 1 or 2, wherein the coordinator agent supports the system's own intrusion determination algorithm, the message processing from the independent agent, the creation of user-specific behavioral data and intrusion determination based on it, and reporting on it. Intrusion detection system using the coordinator agent, characterized in that to perform the management function of the independent agent for the maintenance and operation of the entire intrusion detection system. 임의의 패턴을 소스 주소와 프로토콜 포트 및 기호, 그리고, 트랙픽 분석 후에 침입관련 데이터베이스를 검사하여 침입인지를 판정하는 침입여부판정 모듈과;An intrusion determination module that checks an arbitrary pattern for a source address, a protocol port and a symbol, and an intrusion related database after traffic analysis to determine whether it is an intrusion; 여러 가지 침입 패턴들을 모아놓은 침입 관련 데이터베이스 모듈과;An intrusion-related database module that collects various intrusion patterns; 새로운 침입 패턴들을 상기 침입 관련 데이터베이스 모듈에 탑재하는 정형화된 규칙탑재 모듈로 이루어진 것을 특징으로 하는 침입 탐지 시스템의 침입 탐지 모듈.Intrusion detection module of the intrusion detection system, characterized in that consisting of a regular rule-mounting module for mounting new intrusion patterns in the intrusion-related database module. 제 4 항에 있어서, 상기 침입 관련 데이터베이스 모듈은 소스 주소에 대한 침입 패턴들이 저장된 소스 주소 관련 데이터베이스와;5. The system of claim 4, wherein the intrusion-related database module comprises: a source address-related database storing intrusion patterns for the source address; 프로토콜 포트 및 기호에 대한 침입 패턴들이 저장된 프로토콜 포트 및 기호 관련 데이터베이스와;A protocol port and symbol related database storing intrusion patterns for protocol port and symbol; 트래픽에 대한 침입 패턴들이 저장된 트랙픽 관련 데이터베이스로 이루어지는 것을 특징으로 하는 침입 탐지 시스템의 침입 탐지 모듈.Intrusion detection module of an intrusion detection system, characterized in that the traffic related database is stored in the intrusion patterns stored. 제 3 항 또는 제 4 항에 있어서, 인가된 임의의 패턴 분석을 통해 소스 주소와 소스 포트가 존재하는지를 분석하는 단계와;5. The method of claim 3 or 4, further comprising: analyzing whether a source address and a source port exist through any pattern analysis applied; 상기 단계에서 소스 주소와 소스 포트가 존재하면 소스 주소를 탐색한 다음, 소스 주소 관련 데이터베이스에서 침입 시나리오 패턴을 검색하여 침입여부를 판단하며, 소스 주소와 소스 포트가 존재하지 않으면 임의의 패턴 분석을 통해 프로토콜 포트 등이 존재하는지를 분석하는 단계와;In the above step, if the source address and the source port exist, the source address is searched, and then the intrusion scenario pattern is searched in the database related to the source address to determine whether the invasion occurs. Analyzing whether a protocol port or the like exists; 상기 단계에서 프로토콜 포트 등이 존재하면 프로토콜 포트 등을 탐색한 다음, 프로토콜 관련 데이터베이스에서 침입 시나리오 패턴을 검색하여 침입여부를 판단하며, 프로토콜 포트 등이 존재하지 않으면 트래픽을 탐색한 다음, 트래픽 관련 데이터베이스에서 침입 시나리오 패턴을 검색하여 침입여부를 판단하는 단계로 임의의 사용자에 의한 침입을 탐지하는 것을 특징으로 하는 침입 탐지 시스템의 침입 탐지 모듈.If a protocol port or the like exists in the above step, search for a protocol port or the like, and then search for an intrusion scenario pattern in a protocol-related database to determine whether an invasion exists. Intrusion detection module of the intrusion detection system, characterized in that detecting the intrusion by any user in the step of determining the intrusion by searching the intrusion scenario pattern.
KR1019980031095A 1998-07-31 1998-07-31 Trespass detection system and module of trespass detection system using arbitrator agent KR20000010253A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1019980031095A KR20000010253A (en) 1998-07-31 1998-07-31 Trespass detection system and module of trespass detection system using arbitrator agent

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1019980031095A KR20000010253A (en) 1998-07-31 1998-07-31 Trespass detection system and module of trespass detection system using arbitrator agent

Publications (1)

Publication Number Publication Date
KR20000010253A true KR20000010253A (en) 2000-02-15

Family

ID=19545931

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1019980031095A KR20000010253A (en) 1998-07-31 1998-07-31 Trespass detection system and module of trespass detection system using arbitrator agent

Country Status (1)

Country Link
KR (1) KR20000010253A (en)

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000054521A (en) * 2000-06-09 2000-09-05 김상돈 System and method for blocking an attack from hacking robot program
KR20000054538A (en) * 2000-06-10 2000-09-05 김주영 System and method for intrusion detection in network and it's readable record medium by computer
KR20000072707A (en) * 2000-09-20 2000-12-05 홍기융 The Method of Intrusion Detection and Automatical Hacking Prevention
KR20010044268A (en) * 2001-01-30 2001-06-05 지학근 Internet site connection preventing system using backdoor and method thereof
KR20010105490A (en) * 2000-05-10 2001-11-29 이영아 Hacking detection and chase system
WO2001095202A1 (en) * 2000-06-03 2001-12-13 Arpa Co., Ltd. Apparatus and method for protecting resource of intellectual property and information system using active resource protection agent
WO2002091213A1 (en) * 2001-05-09 2002-11-14 Triops Corp Cracker tracing system and method, and authentification system and method using the same
KR20030027646A (en) * 2001-09-27 2003-04-07 주식회사 시큐브 Apparatus for Identifying Security Vulnerability based on Hybrid Type and Method Thereof
KR20030033712A (en) * 2001-10-24 2003-05-01 주식회사 김정훈시큐어 Method for full name aggregate defence of master and agent mode to be with the intrusion hacker
KR20030056652A (en) * 2001-12-28 2003-07-04 한국전자통신연구원 Blacklist management apparatus in a policy-based network security management system and its proceeding method
KR100423980B1 (en) * 2001-12-24 2004-03-22 삼성전자주식회사 Washing Machine
KR100424724B1 (en) * 2001-07-27 2004-03-27 김상욱 Apparatus for detecting invasion with network stream analysis
KR100424723B1 (en) * 2001-07-27 2004-03-27 김상욱 Apparatus and Method for managing software-network security based on shadowing mechanism
KR100432168B1 (en) * 2001-12-27 2004-05-17 한국전자통신연구원 Multiple Intrusion Detection Objects in Security Gateway System for Network Intrusion Detection
KR100447896B1 (en) * 2002-11-12 2004-09-10 학교법인 성균관대학 network security system based on black-board, and method for as the same
KR100456637B1 (en) * 2002-12-12 2004-11-10 한국전자통신연구원 Network security service system including a classifier based on blacklist
KR100468232B1 (en) * 2002-02-19 2005-01-26 한국전자통신연구원 Network-based Attack Tracing System and Method Using Distributed Agent and Manager Systems
KR100484303B1 (en) * 2002-10-21 2005-04-20 한국전자통신연구원 A Method for Reverse-Chasing the Active Network Attacker and Reporting the Result therefrom using movable Sensor
KR100578503B1 (en) * 2001-12-13 2006-05-12 주식회사 이글루시큐리티 Intrusion Detection System for Inferring Risk Level
KR100578506B1 (en) * 2001-12-13 2006-05-12 주식회사 이글루시큐리티 Intrusion Detection Method for Inferring Risk Level
KR100604604B1 (en) * 2004-06-21 2006-07-24 엘지엔시스(주) Method for securing system using server security solution and network security solution, and security system implementing the same
KR100604638B1 (en) * 2002-11-01 2006-07-28 한국전자통신연구원 Intrusion detection system and method based on hierarchical analysis
KR100623552B1 (en) * 2003-12-29 2006-09-18 한국정보보호진흥원 Method of risk analysis in automatic intrusion response system
KR100688604B1 (en) * 2004-11-18 2007-03-02 고려대학교 산학협력단 Apparatus and method for intercepting malicious executable code in the network

Cited By (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010105490A (en) * 2000-05-10 2001-11-29 이영아 Hacking detection and chase system
WO2001095202A1 (en) * 2000-06-03 2001-12-13 Arpa Co., Ltd. Apparatus and method for protecting resource of intellectual property and information system using active resource protection agent
KR20000054521A (en) * 2000-06-09 2000-09-05 김상돈 System and method for blocking an attack from hacking robot program
KR20000054538A (en) * 2000-06-10 2000-09-05 김주영 System and method for intrusion detection in network and it's readable record medium by computer
KR20000072707A (en) * 2000-09-20 2000-12-05 홍기융 The Method of Intrusion Detection and Automatical Hacking Prevention
KR20010044268A (en) * 2001-01-30 2001-06-05 지학근 Internet site connection preventing system using backdoor and method thereof
WO2002091213A1 (en) * 2001-05-09 2002-11-14 Triops Corp Cracker tracing system and method, and authentification system and method using the same
KR100615470B1 (en) * 2001-05-09 2006-08-25 (주)트라이옵스 Cracker tracing and certification System Using for Web Agent and method thereof
KR100424723B1 (en) * 2001-07-27 2004-03-27 김상욱 Apparatus and Method for managing software-network security based on shadowing mechanism
KR100424724B1 (en) * 2001-07-27 2004-03-27 김상욱 Apparatus for detecting invasion with network stream analysis
KR20030027646A (en) * 2001-09-27 2003-04-07 주식회사 시큐브 Apparatus for Identifying Security Vulnerability based on Hybrid Type and Method Thereof
KR20030033712A (en) * 2001-10-24 2003-05-01 주식회사 김정훈시큐어 Method for full name aggregate defence of master and agent mode to be with the intrusion hacker
KR100578503B1 (en) * 2001-12-13 2006-05-12 주식회사 이글루시큐리티 Intrusion Detection System for Inferring Risk Level
KR100578506B1 (en) * 2001-12-13 2006-05-12 주식회사 이글루시큐리티 Intrusion Detection Method for Inferring Risk Level
KR100423980B1 (en) * 2001-12-24 2004-03-22 삼성전자주식회사 Washing Machine
KR100432168B1 (en) * 2001-12-27 2004-05-17 한국전자통신연구원 Multiple Intrusion Detection Objects in Security Gateway System for Network Intrusion Detection
KR20030056652A (en) * 2001-12-28 2003-07-04 한국전자통신연구원 Blacklist management apparatus in a policy-based network security management system and its proceeding method
KR100468232B1 (en) * 2002-02-19 2005-01-26 한국전자통신연구원 Network-based Attack Tracing System and Method Using Distributed Agent and Manager Systems
KR100484303B1 (en) * 2002-10-21 2005-04-20 한국전자통신연구원 A Method for Reverse-Chasing the Active Network Attacker and Reporting the Result therefrom using movable Sensor
KR100604638B1 (en) * 2002-11-01 2006-07-28 한국전자통신연구원 Intrusion detection system and method based on hierarchical analysis
KR100447896B1 (en) * 2002-11-12 2004-09-10 학교법인 성균관대학 network security system based on black-board, and method for as the same
KR100456637B1 (en) * 2002-12-12 2004-11-10 한국전자통신연구원 Network security service system including a classifier based on blacklist
KR100623552B1 (en) * 2003-12-29 2006-09-18 한국정보보호진흥원 Method of risk analysis in automatic intrusion response system
KR100604604B1 (en) * 2004-06-21 2006-07-24 엘지엔시스(주) Method for securing system using server security solution and network security solution, and security system implementing the same
KR100688604B1 (en) * 2004-11-18 2007-03-02 고려대학교 산학협력단 Apparatus and method for intercepting malicious executable code in the network

Similar Documents

Publication Publication Date Title
KR20000010253A (en) Trespass detection system and module of trespass detection system using arbitrator agent
Khraisat et al. A critical review of intrusion detection systems in the internet of things: techniques, deployment strategy, validation strategy, attacks, public datasets and challenges
Alkasassbeh et al. Detecting distributed denial of service attacks using data mining techniques
Abraham et al. Soft computing models for network intrusion detection systems
CN115996146B (en) Numerical control system security situation sensing and analyzing system, method, equipment and terminal
Manhas et al. Implementation of intrusion detection system for internet of things using machine learning techniques
Tamy et al. An evaluation of machine learning algorithms to detect attacks in SCADA network
Maglaras et al. Novel intrusion detection mechanism with low overhead for SCADA systems
Kumar et al. Intrusion detection using artificial neural network with reduced input features
Thomas et al. Machine learning and deep learning techniques for IoT-based intrusion detection systems: A literature review
Shankar et al. Deep analysis of risks and recent trends towards network intrusion detection system
Madhu et al. IoT Network Attack Severity Classification
Fries Evolutionary optimization of a fuzzy rule-based network intrusion detection system
Suresh et al. Detection of malicious activities by AI-Supported Anomaly-Based IDS
Moharamkhani et al. Intrusion detection system based firefly algorithm‐random forest for cloud computing
Udayakumar et al. Machine Learning Based Intrusion Detection System
Vargheese et al. Machine Learning for Enhanced Cyber Security
Mohamed Amer et al. Development Machine Learning Techniques to Enhance Cyber Security Algorithms.
Feng et al. Clustering based on self-organizing ant colony networks with application to intrusion detection
Latha et al. An analysis of Intrusion detection systems in IIoT
Agrawal et al. A review on intrusion detection system based data mining techniques
Petersen Detecting network intrusions
Madhuri et al. A machine learning-based normalized fuzzy subset linked model in networks for intrusion detection
Vuković Application of artificial intelligence in detection of DDos attacks
Sangve et al. A formal assessment of anomaly network intrusion detection methods and techniques using various datasets

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application