KR20000054538A - 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체 - Google Patents

네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체 Download PDF

Info

Publication number
KR20000054538A
KR20000054538A KR1020000031921A KR20000031921A KR20000054538A KR 20000054538 A KR20000054538 A KR 20000054538A KR 1020000031921 A KR1020000031921 A KR 1020000031921A KR 20000031921 A KR20000031921 A KR 20000031921A KR 20000054538 A KR20000054538 A KR 20000054538A
Authority
KR
South Korea
Prior art keywords
network
address
database
intrusion detection
rpc
Prior art date
Application number
KR1020000031921A
Other languages
English (en)
Inventor
이종일
Original Assignee
김주영
웰넷정보통신 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김주영, 웰넷정보통신 주식회사 filed Critical 김주영
Priority to KR1020000031921A priority Critical patent/KR20000054538A/ko
Publication of KR20000054538A publication Critical patent/KR20000054538A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 보안 시스템에 관한 것으로, 특히 접속자의 패킷 정보를 분석하여 해커의 침입을 방지하는 침입탐지 시스템 및 방법 그리고, 그 방법을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다. 본 발명의 목적은 침입한 적이 있는 IP 주소를 블랙리스트에 추가하여 이후의 접속시도가 있을 때, IP 주소만으로 접속을 차단할 수 있는 네트워크 침입탐지 시스템을 제공하는데 있다. 본 발명의 다른 목적은 RPC를 이용한 네트워크 공격을 효율적으로 탐지하여 불법적인 침입을 막는 네트워크 침입탐지 시스템을 제공하는데 있다. 본 발명의 또 다른 목적은 프로토콜 포트번호 변경을 통한 네트워크 공격을 탐지하여 불법적인 침입을 막는 네트워크 침입탐지 시스템을 제공하는데 있다. 본 발명의 또 다른 목적은 동적으로 할당된 IP 주소를 사용하는 해커의 추적을 가능하게 하는 네트워크 침입탐지 시스템을 제공하는데 있다. 본 발명의 또 다른 목적은 상기한 침입탐지 방법 및 그 방법을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 있다. 상기한 목적을 달성하기 위한 본 발명의 네트워크 침입탐지 시스템의 특징은 브로드캐스팅 기반의 네트워크 서브넷 내부에 설치되며, 네트워크 공격 패턴을 기록한 공격 패턴 데이터베이스; 네트워크 공격경험이 있는 IP주소를 기록하고 있는 블랙리스트 데이터베이스; 접속자의 RPC 프로그램 실행요청의 과정을 모니터링하여 기록하는 로그파일 생성부; 상기한 로그파일을 저장하는 RPC 데이터베이스; 프로토콜과 포트번호 및 해당 프로토콜에 따른 데이터 형식을 저장하고 있는 프로토콜 데이터베이스; 동적 IP주소를 사용하는 해커의 추적을 위해 ISP 이름, 사용자 이름을 제공하는 서버 주소, 동적 IP할당에 사용하는 IP주소 그룹에 대한 데이터를 유지하고 있는 ISP 정보 데이터베이스; 패킷 헤더에 있는 출발지 IP 주소와 도착지 IP 주소를 분리하고 출발지 IP 주소가 블랙리스트 데이터베이스에 등록되어 있는지 판단하며, 상기 공격 패턴 데이터베이스에 기록된 패턴으로 침입 여부를 판단하여 침입일 경우 출발지 IP 주소를 블랙리스트 데이터베이스에 추가하는 침입 탐지부; 상기한 출발지 IP 주소가 블랙리스트 데이터베이스에 등록되어 있거나, 침입 탐지부에서 침입판단이 이루어지면 위조 패킷을 생성하고 송신하여 접속을 차단하는 위조패킷 생성부를 포함하여 이루어지는데 있다.

Description

네트워크 침입탐지 시스템 및 방법 그리고 그 방법을 기록한 컴퓨터로 읽을 수 있는 기록매체{System and method for intrusion detection in network and it's readable record medium by computer}
본 발명은 네트워크 보안 시스템에 관한 것으로, 특히 접속자의 패킷(packet) 정보를 분석하여 해커의 침입을 방지하는 침입탐지 시스템 및 방법 그리고, 그 방법을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.
인터넷망과 네트워크 기술의 발달로 멀리 떨어진 컴퓨터도 LAN(Local Area Network)과 WAN(Wide Area Network)으로 연결해, 바로 옆에 있는 컴퓨터처럼 사용할 수 있게 되었으며, 필요로 하는 데이터도 쉽게 전송할 수 있게 되었다. 하지만, 이런 이점과 달리 보안이 유지되는 정보의 유출, 불법침입에 의한 시스템의 파괴 등도 또한 쉽게 이루어질 수 있는 문제점이 발생하게 되었다. 예전에는 해킹이란 컴퓨터에 대한 지식이 상당한 소수의 사람들만이 할 수 있는 것으로 인식되었으나, 지금은 인터넷에 산재한 해킹정보와 해킹 프로그램으로 초보자도 쉽게 해킹을 할 수 있게 되었다. 이러한 해킹을 막기 위해서는 보안유지가 필요한 컴퓨터는 네트워크로의 연결을 하지 않는 것이 최선의 방법이나, 네트워크로의 연결은 필요불가결한 것이므로, 내부자 또는 외부자에 의한 허가되지 않은 침입을 사전에 차단하여 네트워크의 보안유지와 안정성을 확보할 수 있는 보안 솔루션이 한층 요구되고 있다. 이러한 보안 솔루션중에는 방화벽과 침입탐지 시스템(Intrusion Detection System; IDS)이 있다.
종래의 보안 솔루션 중 하나인 방화벽은 네트워크 사이에 방화벽을 두어 허가되지 않은 침입에 대해 접속을 차단하는 기술로 사용되고 있다. 이는 안정된 검사와 네트워크를 물리적으로 분리시키는 장점을 갖고 있으나, 내부자 감시를 할 수 없고, 네트워크 트래픽의 흐름을 가로막고 검사를 하므로 트래픽 속도를 지연시키며, 낮은 대역폭(bandwidth)에서만 적용이 가능한 문제점이 있었다. 또한, 인증된 IP를 통한 공격은 막지 못하므로 해커들이 인증된 IP에 공격을 성공하면 방화벽이 무용지물이 되었다.
또한, 침입탐지 시스템은 단순한 접근 제어 기능을 넘어서서 침입의 패턴 데이터베이스와 전문 시스템을 사용해 네트워크나 시스템의 사용을 실시간으로 모니터링하고 침입을 탐지하는 보안 솔루션이다. 하지만, 종래의 침입탐지 시스템은 다음과 같은 문제점이 있다.
첫째, 기존의 침입탐지시스템은 해커의 공격이 시도되어 성공적으로 접속이 이루어진 것이 확인되면, 그 성공한 접속을 차단하고, 그 내역을 관리자에게 제공한다. 그러나, 종래의 방법은 해커의 공격을 차단하기는 하지만, 이후의 다른 공격에 대해서는 특별한 조치를 취하지 못한다. 한 번의 공격이 일어날 때, 그 공격에 대해서만 대응을 할 뿐, 이후의 잠재적인 위험에는 전혀 대응을 하지 못한다. 또한, 침입탐지시스템은 현재 보유하고 있는 침입탐지 방법만 탐지하고 대응할 수 있고 보유한 침입탐지 방법에는 한계가 있기 때문에, 해커가 여러가지 공격방법을 동시에 사용해서 공격하는 경우에, 그 여러 공격방법 중에 침입탐지 시스템이 보유하고 있지 않은 공격이 하나라도 포함되어 있고, 그 공격이 성공한 경우에 침입탐지시스템은 해커의 공격이 성공하게 된다.
둘째, 종래의 침입탐지 시스템에 사용된 침입탐지 기술은 공격에 사용되는 프로토콜에 알맞은 탐지 알고리즘을 적용하는 방법을 사용한다. 그러나, 여기에서 프로토콜을 알아내는 방법은 전적으로 사전에 정의된 포트번호에 의존한다. 예를 들어 FTP 프로토콜은 21번, TELNET 프로토콜은 23번과 같이 일반적으로 통용되는 관례에 의해서 결정된다. 그러나, 여기에 아무런 강제성도 없기 때문에, FTP 프로토콜을 23번에 실행해도 실제 통신이 일어나는데는 문제가 없게 된다. 이것이 종래 침입탐지 시스템의 약점이라고 할 수 있다. 포트 번호로 프로토콜을 알아내는 방법은 불완전한 것이고, 해커에 의해 충분히 악용될 가능성이 있다. 예를 들어, 메일 서버를 가지고 있다고 할 때, 그 메일 서버로는 SMTP 프로토콜(25번 포트)만 접속할 수 있도록 설정해두었다면, 해커가 25번 포트에 다른 프로토콜을 사용하는 서비스를 실행해둔다면, 아무런 제약없이 접근제어를 통화해 그 서버에 접속할 수 있게 된다.
셋째, 종래의 침입탐지 시스템은 유동적인 원격 프로시져 호출(RPC;Remote Procedure Call, 이하 RPC라 칭함)의 포트를 제대로 인식하여 구분하지 못함으로써, RPC에 대한 공격을 정확하게 분리하여 침입탐지를 해내지 못함으로써, 탐지속도와 탐지율이 떨어지는 문제점을 가지고 있다. 이런 문제는 종래의 침입탐지 시스템들이 RPC 접속 이전에 rpcbind에 접속해서 포트 번호를 할당받는 과정에 대한 모니터링을 하지 않음으로써 생기는 것이다. 그렇기 때문에, 그 접속이 정확하게 어떤 RPC 프로그램을 사용하는지를 알아낼 수 없다. 그래서, 관련된 RPC에 해당하는 침입탐지 알고리즘만 비교하는 방법을 사용할 수 없기 때문에, RPC관련 침입탐지 알고리즘을 모두 적용해야 하는 비효율적인 방법을 사용해야만 한다.
넷째, 종래의 침입탐지 시스템은 호스트에서 공격을 받았을 경우, 그 IP주소를 공격자에 대한 정보로 관리자에게 제공해 준다. 그러나, 최근 들어 IP주소의 부족으로 인해 동적 IP주소 할당방식을 사용하는 ISP(Internet Service Provider; ISP, 이하 ISP라 칭함)가 늘고 있는데, 이런 경우에 제공된 IP주소로 공격자를 추적하는 것이 사실상 불가능하다. 매번 접속할 때마다 IP주소가 바뀌는 동적 IP주소만을 가지고는 누가 해커인지 알아내기가 힘들다. 왜냐하면, IP주소를 추적하면, 그 IP주소 그룹을 소유하고 있는 ISP이름만 알아낼 수 있기 때문이다.
본 발명은 상기한 문제점을 해결하기 위해 발명된 것으로써, 본 발명의 목적은 침입한 적이 있는 IP 주소를 블랙리스트에 추가하여 이후의 접속시도가 있을 때, IP 주소만으로 접속을 차단할 수 있는 네트워크 침입탐지 시스템을 제공하는데 있다.
본 발명의 다른 목적은 RPC를 이용한 네트워크 공격을 효율적으로 탐지하여 불법적인 침입을 막는 네트워크 침입탐지 시스템을 제공하는데 있다.
본 발명의 또 다른 목적은 프로토콜 포트번호 변경을 통한 네트워크 공격을 탐지하여 불법적인 침입을 막는 네트워크 침입탐지 시스템을 제공하는데 있다.
본 발명의 또 다른 목적은 동적으로 할당된 IP 주소를 사용하는 해커의 추적을 가능하게 하는 네트워크 침입탐지 시스템을 제공하는데 있다.
본 발명의 또 다른 목적은 상기한 침입탐지 방법 및 그 방법을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 있다.
도 1은 본 발명에 따른 침입탐지 시스템의 구성을 나타낸 개략도.
도 2는 본 발명에 따른 침입탐지와 접속차단 과정을 나타낸 흐름도.
도 3은 원격 프로시져 호출 실행 과정을 나타낸 개략도.
도 4a는 본 발명에 따른 RPC 서비스의 포트번호를 알아내는 과정을 나타낸 흐름도.
도 4b는 본 발명에 따른 RPC공격 탐지 과정을 나타낸 흐름도.
도 5는 본 발명에 따른 네트워크 데이터 분석을 통한 미확인 프로토콜의 확인과정을 나타낸 흐름도.
도 6은 본 발명에 따른 동적 IP주소를 사용하는 해커의 추적과정을 나타낸 흐름도.
* 도면의 주요부분에 대한 부호의 설명
100 : 외부네트워크 110 : 라우터
120 : 내부 네트워크내 컴퓨터 130 : 침입탐지 시스템
131 : 블랙리스트 데이터베이스 132 : 공격패턴 데이터베이스
133 : 프로토콜 데이터베이스 134 : 로그파일 생성부
135 : RPC 데이터베이스 136 : ISP 정보 데이터베이스
137 : 침입 탐지부 138 : 위조패킷 생성부
300 : 클라이언트 컴퓨터 310 : 서버 컴퓨터
상기한 목적을 달성하기 위한 본 발명의 네트워크 침입탐지 시스템의 특징은 브로드캐스팅 기반의 네트워크 서브넷 내부에 설치되며, 네트워크 공격 패턴을 기록한 공격 패턴 데이터베이스; 네트워크 공격경험이 있는 IP주소를 기록하고 있는 블랙리스트 데이터베이스; 접속자의 RPC 프로그램 실행요청의 과정을 모니터링하여 기록하는 로그파일 생성부; 상기한 로그파일을 저장하는 RPC 데이터베이스; 프로토콜과 포트번호 및 해당 프로토콜에 따른 데이터 형식을 저장하고 있는 프로토콜 데이터베이스; 동적 IP주소를 사용하는 해커의 추적을 위해 ISP 이름, 사용자 이름을 제공하는 서버 주소, 동적 IP할당에 사용하는 IP주소 그룹에 대한 데이터를 유지하고 있는 ISP 정보 데이터베이스; 패킷 헤더에 있는 출발지 IP 주소와 도착지 IP 주소를 분리하고 출발지 IP 주소가 블랙리스트 데이터베이스에 등록되어 있는지 판단하며, 상기 공격 패턴 데이터베이스에 기록된 패턴으로 침입 여부를 판단하여 침입일 경우 출발지 IP 주소를 블랙리스트 데이터베이스에 추가하는 침입 탐지부; 상기한 출발지 IP 주소가 블랙리스트 데이터베이스에 등록되어 있거나, 침입 탐지부에서 침입판단이 이루어지면 위조 패킷을 생성하고 송신하여 접속을 차단하는 위조패킷 생성부를 포함하여 이루어지는데 있다.
본 발명의 또 다른 특징은 네트워크 데이터가 입력이 되면 패킷 정보에 포함되어 있는 출발지 IP 주소와 도착지 IP 주소를 분리하는 제 1단계; 분리된 출발지 IP 주소가 블랙리스트에 등록되어 있는지 확인하는 제 2단계; 블랙리스트에 들어 있으면 위조 RST(reset) 패킷을 생성하고 접속차단을 위해 위조 RST 패킷을 송신하는 제 3단계; 제 2단계의 판단결과 출발지 IP 주소가 블랙리스트에 들어있지 않으면, 침입인지 판단하는 제 4단계; 제 4단계의 판단결과 침입일 경우, 출발지 IP 주소를 블랙리스트에 추가하고, 위조 RST 패킷의 생성과 송신을 통해 접속을 차단하는 제 5단계를 포함하여 이루어지는데 있다.
이하 첨부한 도면을 통해 본 발명을 상세히 설명한다.
도 1은 본 발명에 따른 침입탐지 시스템의 구성을 나타낸 개략도이다.
도시한 바와 같이 본 발명에 의한 침입탐지 시스템(130)은 브로드캐스팅 기반의 네트워크 서브넷 내부에 설치되며, 침입 경험이 있었던 출발지 IP 주소를 저장하고 있는 블랙리스트 데이터베이스(131), 네트워크 공격 패턴을 기록해둔 공격 패턴 데이터베이스(132), 프로토콜과 포트번호 및 해당 프로토콜에 따른 데이터 형식을 저장하고 있는 프로토콜 데이터베이스(133), 접속자의 RPC 프로그램 실행요청의 과정을 모니터링하여 기록하는 로그파일 생성부(134), 상기한 로그파일 생성부에서 생성된 로그파일을 저장하는 RPC 데이터베이스(135), 및 동적 IP주소를 사용하는 해커의 추적을 위해 ISP 이름, 사용자 이름을 제공하는 서버 주소, 동적 IP할당에 사용하는 IP주소 그룹에 대한 데이터를 유지하고 있는 ISP 정보 데이터베이스(136)를 구비하여 네트워크 접속이 이루어졌을 때 네트워크 패킷을 받아들이고 침입 탐지부(137)에서 해당 패킷의 정보를 공격 패턴과 비교하여 침입여부를 판단하며, 침입일 경우에는 블랙리스트 데이터베이스에 출발지 IP주소를 기록한 후, 위조패킷 생성부(138)에서 위조패킷을 생성하여 불법 침입 컴퓨터와의 접속을 차단한다.
상기한 블랙리스트 데이터베이스(131)는 AVL 트리(tree)라는 데이터 구조를 가지고 있으며, AVL 트리의 노드(node)는 블랙리스트 호스트의 IP주소를 갖고 있다. AVL 트리는 이진 검색 트리(Binary Search Tree)의 한 종류인데, 단말노드의 레벨차를 일정하게 유지하여 트리의 균형을 이룰 수 있도록 한 이진트리의 특별한 형태로, Rotation을 통해 항상 균형을 이룬 이진트리를 유지하고, 노드의 삽입, 삭제, 검색에 걸리는 Worst case time이 O(log n)인 효율적인 자료구조이다.
도 2는 본 발명에 따른 침입탐지와 접속차단 과정을 나타낸 흐름도이다.
이더넷(Ethernet)과 같은 브로드캐스팅(broadcasting) 기반의 네트워크는 특정 호스트로 가는 패킷이 전체 서브넷에 브로드캐스팅된다. 일반적인 NIC(Network Interface Card)는 자신에게 오는 패킷이 아니면, 무시하도록 설정이 되지만, NIC설정을 Promiscuos 모드로 변경하면, 지나가는 모든 패킷을 받아들이게 된다. 이 기술을 패킷 스니핑이라고 하는데, 해커들이 비밀번호를 손쉽게 알아내기 위해, 사용하는 기술이다. 이 기술을 본 발명에 적용하여 네트워크 상의 모든 패킷 데이터를 검색할 수 있게 되는 것이다.
다음 표는 네트워크 패킷 헤더의 구조를 간략히 나타낸 것이다.
출발지 IP 주소 도착지 IP 주소
출발지 포트 도착지 포트
데이터
상기 표에서 볼 수 있듯이 네트워크 패킷 헤더는 출발지 IP 주소와 도착지 IP 주소, 출발지 포트와 도착지 포트, 및 데이터의 정보를 포함하고 있다.
네트워크 데이터가 입력(200)이 되면 패킷 정보에 포함되어 있는 출발지 IP 주소와 도착지 IP 주소를 분리(210)한다. 분리된 출발지 IP 주소가 블랙리스트에 등록되어 있는지 확인(220)한 후, 블랙리스트에 들어 있으면 위조 RST(reset) 패킷을 생성(250)하고 접속차단을 위해 위조 RST 패킷을 송신(260)한다. 만일, 출발지 IP 주소가 블랙리스트에 들어있지 않으면, 공격 패턴 데이터베이스에 있는 공격 패턴과 비교(230)하여 매치가 될 때, 출발지 IP 주소를 블랙리스트에 추가(240)하고, 상기한 위조 RST 패킷의 생성과 송신(250, 260)을 통해 접속을 차단한다.
상기한 블랙리스트에 등록되어 있는지 확인하는 과정(220)은 네트워크 패킷에서 분리된 출발지와 도착지 IP주소로 블랙리스트 노드 데이터 구조를 구성하고, 구성한 노드 데이터로 블랙리스트 AVL 트리를 검색한다. 검색한 결과 블랙리스트에 존재하는 IP 주소면, 접속차단 루틴(250, 260)을 호출한다.
또, 상기한 블랙리스트에 추가(240)하는 과정은 침입탐지 알고리즘에 의해 침입시도임이 판정되면, 추출된 공격자의 IP주소(출발지 IP주소)로 블랙리스트 노드 데이터 구조를 구성하고, 블랙리스트 AVL 트리에 추가한다. 이 때, 중복을 허용하지 않는 알고리즘을 사용하는데, 이는 AVL 트리의 추가 알고리즘에 따른것이다. 블랙리스트 AVL 트리에 추가가 완료된 후, 센터(침입탐지 시스템의 제작사) - 한 기업내의 관리센터로 블랙리스트에 추가할 블랙리스트 주소를 전송한다. 센터에서는 전체 네트워크의 엔진으로 추가할 블랙리스트 주소를 배포한다. 이렇게 되면, 본 발명에 따른 침입탐지 시스템을 설치한 네트워크는 직접 공격을 받지 않아도 계속 업데이트 되는 블랙리스트를 제공받을 수 있으므로, 잠재적인 공격을 미연에 방지할 수 있게 된다. 이렇게 하는 이유는 해커가 공격에 사용하는 호스트는 이미 해커에게 제어권이 넘어간 상태이기 때문에, 그 호스트에 대해서 해킹의 피해를 복구하는 조치를 취하기 전까지는 완전히 막아두는 편이 보안성의 측면에서 훨씬 효과적이기 때문이다.
그리고, 블랙리스트에 들어있는 호스트가 해킹의 피해를 복구하였을 시에는 계속 블랙리스트에 남겨놓으면 안되므로, 블랙리스트에서 제거하는 과정도 필요하다. 이는 센터에서 관리자가 블랙리스트 제거를 명령하면, 전체 네트워크의 엔진으로 제거할 블랙리스트 주소를 배포하고, 각 엔진은 센터에서 받은 블랙리스트 주소로 블랙리스트 노드 데이터 구조를 구성한 후, 블랙리스트 AVL 트리를 검색해서 그 데이터 구조에 대한 포인터를 추출한다. 그런다음 추출된 포인터를 이용해 블랙리스트 AVL 트리에서 해당 블랙리스트 노드를 제거한다.
상기 접속차단을 위한 위조패킷을 생성하는 이유는 공격받는 컴퓨터(도착지 IP)와 해커의 컴퓨터(출발지 IP) 사이에 접속이 이루어지면, 정상적인 방법으로는 본 발명에 따른 침입탐지 시스템이 그 접속을 끊을 방법이 없다. 따라서, IP 패킷 위조기술(IP Spoofing)이란 일종의 해킹기법을 이용해 자신의 IP를 공격받는 시스템의 IP로 속여 RST 패킷을 전송하면 해커의 컴퓨터는 그것이 진짜 호스트에서 생성한 패킷으로 알고, 접속을 끊게 된다.
상기한 위조패킷 생성(250) 차단하고자 하는 접속의 네트워크 패킷을 가져온 후, 패킷을 조작하여 NIC 드라이버를 통해 네트워크로 보내는 과정을 거치는데, 상기한 패킷의 조작과정은 다음과 같다.
(a) IP 헤더 부분의 전체 패킷 길이 부분을 설정한다.
(b) IP 헤더 부분의 패킷 조각 설정을 조각없음으로 설정한다.
(c) IP 헤더의 체크섬 부분을 0으로 설정하고, IP 헤더의 체크섬을 구해서 0으로 설정한 부분에 넣는다.
(d) TCP 헤더의 순서 번호(Sequence Number)와 인식 번호(Acknowledgement Number)를 증가시킨다.
(e) TCP 헤더의 플랙을 리셋(reset)으로 설정한다.
(f) TCP 헤더의 체크섬을 구하기 위해서 IP헤더와 TCP 헤더를 합친 Pseudo-TCP 헤더를 구성한다.
(g) Pseudo-TCP 헤더로 TCP 체크섬을 구해서, TCP 체크섬 부분에 넣는다.
위에 기술한 침입탐지 과정에서 침입시도가 발생하였을 경우, 네트워크 관리자에게 해킹에 관한 정보를 휴대전화, 무선호출기, 전자우편 등으로 즉시 전송하여 네트워크 관리자의 부재시에도 시스템 보안을 유지할 수 있는 방법 또한 쓰일 수 있다.
이와같이 블랙리스트를 통한 접속차단은 출발지 IP만으로 접속을 차단하게되어 불법적인 접속뿐만 아니라, 정상적인 접속까지 차단하기 때문에, 공격 성공으로 인한 위장 접속까지 모두 차단해 낼 수 있다.
도 3은 원격 프로시져 호출(RPC) 실행 과정을 나타낸 개략도이며, 도 4a는 본 발명에 따른 RPC 서비스의 포트번호를 알아내는 과정을, 도 4b는 본 발명에 따른 RPC공격 탐지 과정을 나타낸 흐름도이다.
RPC란 원격에서 시스템 내부의 프로시져를 호출할 수 있도록 해주는 서비스이다. 일반적인 인터넷 서비스와 달리 RPC서비스는 서비스 별로 특정 포트를 점유하지 않고, 클라이언트가 요청할 때마다 동적으로 포트를 할당해준다. 그 과정은 우선 클라이언트(300)는 RPC bind 서비스에 접속하여 해당 RPC 프로그램 번호를 서버(310)측에 넘겨(320)주면, 서버(310)측의 RPC bind는 요청받은 RPC 프로그램에서 사용할 포트를 배정하고 클라이언트(300)에게 배정된 RPC 포트 번호를 알려준다(330). 클라이언트(300)는 배정받은 RPC 포트번호를 통해 RPC 접속을 하여 RPC 프로그램을 실행(340)하게 된다. 여기서 RPC 프로그램 번호는 고정되어 있으며, 포트번호만 유동적이다.
이러한 RPC 프로그램을 통한 공격이 이루어졌을 때, 그 공격이 RPC에 대한 공격이고, 그 대상이 어떤 RPC인지를 알아내는 것은 실제 공격내용을 담고 있는 네트워크 패킷만을 조사해서는 불가능하다. 따라서, RPC 프로그램 번호와 포트번호의 RPC 데이터베이스를 사전에 구축해 놓고, 해당 포트번호로 가는 데이터를 조사해서, 해당 RPC에 대한 공격인지 여부를 조사하여야 한다.
따라서, 각 호스트마다 RPC 접속 AVL 트리, RPC 포트 AVL 트리를 구축한다. 두 데이터 구조 모두 AVL 트리의 형태를 취하고 있으며, 상기한 RPC 접속 AVL 트리는 rpcbind 포트에 접속하여 RPC 프로그램의 포트를 알아내는 과정을 모니터링하기 위한 데이터 구조이다. 그리고, RPC 포트 AVL 트리는 rpcbind 포트에 접속해서 RPC 프로그램의 포트를 알아내는 과정을 모니터링해서 알아낸 RPC 프로그램과 그 포트의 쌍을 저장하고 있는데, 향후에 접속이 이루어질 때, 포트를 통해 RPC 프로그램의 종류를 알아내기 위한 데이터 구조이다.
해당 호스트에 실행되어 있는 RPC 서비스의 포트 번호를 알아내는 과정 즉, RPC 접속과정 중 프로그램의 포트번호를 알아내는 과정은 다음과 같다.
rpcbind로 가는 패킷을 가져온다(400). 가져온 패킷에서 처리(Transaction) ID를 추출(401)한다. 메시지 타입을 추출(402)해서 0이면 질의단계이므로, RPC 접속 AVL 트리에 추가하며, 메시지 타입이 1이면, 응답이므로 성공여부를 확인하고 RPC 포트 AVL 트리에 추가한다. 상기한 RPC 접속 AVL 트리에 추가하는 과정은 프로시져 번호가 0x03이면(403) Getport 질의이므로 프로그램 번호를 추출(404)하고, 클라이언트의 IP주소, 처리 ID, 프로그램 번호를 RPC 접속 AVL 트리에 추가(405)하여 이루어진다. 또, 상기한 RPC 포트 AVL 트리에 추가하는 과정은 응답의 성공여부를 판단(406)하여 실패를 가리키면, 해당 테이터 구조를 RPC 접속 AVL 트리에서 제거(407)하고 종료하며, 응답의 성공여부가 성공을 가리키면, 패킷에서 포트 번호 및 IP주소와 처리 ID를 추출(408, 409)하고, 추출한 IP주소와 처리 ID를 사용해서 RPC 접속 AVL 트리에서 프로그램 번호를 추출(410)한다. 그런다음 해당 데이터 구조를 RPC 접속 AVL 트리에서 제거(411)하고, 추출된 포트번호와 프로그램 번호의 쌍을 RPC 포트 AVL 트리에 삽입(412)하여 이루어진다.
상기와 같이 RPC 서비스의 포트번호를 알아낸 후에, RPC 접속을 감지하고, 해당 침입탐지 알고리즘을 적용하는 과정은 다음과 같다.
네트워크에서 패킷을 가져온 후에, 패킷의 도착지 주소와 포트 번호를 가져온다(450, 451). 패킷의 도착지 주소에 해당하는 포트 번호가 RPC 포트 트리에 존재하는지 검색(452)한다. 검색결과 RPC 포트 트리에 존재하는 포트이면, 그 포트 번호에 해당하는 RPC 프로그램 번호를 가져온다(454). 그런다음 해당 RPC 프로그램 번호에 맞는 침입탐지 루틴을 수행(455)한다. 침입탐지 루틴의 수행 결과 해당 RPC 공격패턴과 일치하면(456), 블랙리스트에 추가(457)하고 위조 RST 패킷을 생성 및 송신(458)하여 접속을 차단한다. 이는 RPC에 대한 공격을 탐지하기 위해, 모든 RPC 데이터를 모든 공격 패턴으로 비교하지 않고, 특정 RPC에 대한 공격 패턴만 비교하도록 구조화해 놓을 수 있기 때문에 성능이 월등히 향상된다.
도 5는 본 발명에 따른 네트워크 데이터 분석을 통한 미확인 프로토콜의 확인과정을 나타낸 흐름도이다.
네트워크 상에서 특정 프로토콜의 종류는 포트 번호를 통해서 확인한다. 그러나, 임의로 포트 번호를 변경해도 서버와 클라이언트가 그 변경된 포트를 사용하면 서로 통신이 가능하다. 그러므로, 포트 번호 확인을 통한 프로토콜 종류의 확인은 불완전하고, 해커에 의해 악용될 소지가 있다. 예를 들어, 메일서버를 가지고 있다 할 때, 그 메일 서버로는 SMTP(Simple Mail Transfer Protocol)를 25번 포트로만 접속할 수 있도록 라우터나 방화벽에서 설정해두었다면, 해커가 관리자의 ID를 도용하여 25번 포트에 다른 프로토콜을 사용하는 서비스를 실행해 둔다면, 라우터나 방화벽을 아무런 제재없이 통과해 그 서버에 접속할 수 있게 된다. 따라서, 어떤 접속의 프로토콜을 포트번호 만을 통해 확인하는 방식은 보완이 필요하다. 프로토콜들은 고유의 명령어와 통신체계를 가지고 있다. 따라서, 프로토콜별 데이터 형식과 통신체계에 대한 데이터베이스를 구축하여 네트워크 패킷에 포함되어 있는 데이터와 비교하여 포트별로 정해놓은 프로토콜과 상이한 데이터 형식이 발견될 때에는 침입으로 판정하여 접속차단과 동시에 블랙리스트에 추가하는 방법이 사용될 수 있다.
그 과정은 우선 프로토콜과 포트번호 및 해당 프로토콜에 따른 데이터 형식을 저장하고 있는 데이터베이스를 구비하고, 네트워크에서 패킷을 가져와(500) 접속된 포트번호 및 해당 포트에 배정되어 있는 프로토콜을 확인(510)한다. 네트워크 패킷에 포함되어 있는 데이터를 배정된 프로토콜의 데이터형식, 즉 상기 데이터베이스에 저장되어 있는 프로토콜별 데이터형식과 비교(520)한다. 만약 상이한 형식. 예를 들면, 데이터 베이스에는 FTP 프로토콜이 21번 포트에 배정되어 있으나, 네트워크 데이터에는 21번 포트를 사용하고 있음에도 불구하고, telnet 프로토콜 데이터 형식이 관찰될 때에는 침입으로 판단하여 접속자의 출발지 IP를 블랙리스트에 추가(540)시킨 후, 위조 RST 패킷을 생성 및 송신(550, 560)하여 접속을 차단한다.
이렇게 하기 위해서는 각 프로토콜의 통신과정을 단순화해서 데이터베이스화 해야 한다. 예를 들어, FTP 프로토콜의 통신과정은 다음과 같이 단순화 한다.
접속과정에서는 TCP 접속이 성공하면 서버에서 220-으로 시작하는 명령을 전송한다. 사용자 인증 과정은 클라이언트에서 USER로 시작하는 명령을 전송하여 사용자 이름을 제공하고, 서버에서 331-으로 시작하는 명령을 전송하여 사용자 이름 확인을 하며, 클라이언트에서 pass로 시작하는 명령을 전송하여 비밀번호를 제공하고, 서버에서 230-으로 시작하는 명령을 전송하여 사용자 인증을 완료한다. 또한, 이후에 통신과정에서 사용되는 명령어들(예를 들면, LIST, CWD, TYPE, PORT 등)과 실제 데이터 전송을 위한 접속에서는 접속된 포트보다 1이 적은 포트로 접속이 이루어지는 특징이 있다. 이러한 프로토콜별 특징을 사용해서, 유한상태기계(Finite State Machine; FSM)을 구성한다.
접속이 이루어지면, 그 접속의 패킷들을 받아서, 프로토콜 확인에 필요한 정보만을 남기는 방법으로 단순화 시킨 이후에, 이전에 구성된 FSM의 상태 전이에 이용한다. FSM의 상태가 특정 프로토콜로 확정될 때까지 그 접속을 계속 모니터링 한다.
도 6은 본 발명에 따른 동적 IP주소를 사용하는 해커의 추적과정을 나타낸 흐름도이다.
동적 IP 할당이란, 한 컴퓨터에 고정으로 IP를 주는 것이 아니라, 인터넷에 접속할 때마다 사용하고 있지 않은 IP주소를 할당해 주고, 인터넷 접속을 끝낼 때, 할당된 IP주소를 회수하는 방식을 사용한다. 그리고, ISP에는 할당된 IP주소를 효율적으로 관리하기 위해서, 할당된 시간과 그에 해당하는 사용자의 데이터베이스를 유지하게 된다. ISP에서 IP주소와 시간을 받으면, 그에 해당하는 사용자를 리턴하는 서비스를 제공해 주면, 이것을 침입탐지 시스템에 적용할 수 있다.
이 기술이 적용되기 위해서, 각 ISP에 "시간대별로 할당된 동적 IP - 사용자 이름"에 대한 자료를 유지하는 데이터베이스가 존재하고, 동적 IP와 시간을 사용해서, 사용자 이름을 알아낼 수 있는 데이터접근 서비스가 제공되어야 한다.
침입탐지 시스템은 ISP 이름, 사용자 이름을 제공하는 서버 주소, 동적 IP할당에 사용하는 IP주소 그룹에 대한 데이터를 유지하고 있는 AVL 트리 구조로 이루어진 ISP 정보 데이터베이스를 가지고 있다.
동적 IP를 사용하는 호스트로부터의 침입을 탐지한 후, 사용자 이름을 알아내는 과정은 다음과 같다.
우선 침입임을 판정(600)한다. 침입이면, 공격에 사용된 호스트의 IP주소를 추출(601)한다. 추출한 IP가 사용자 이름 제공 서비스를 하는 ISP 주소인지 ISP 정보 데이터베이스를 검색(602)한다. 데이터베이스에 존재하는 주소이면, 해당 ISP의 사용자 이름 제공 서버 주소를 데이터베이스에서 추출(603)한다. 추출한 IP와 공격 시간을 사용해서 위의 사용자 이름 제공 서버 주소로 공격한 사용자 이름을 질의 (604)한다. ISP의 사용자 이름 제공 서버가 공격을 한 사용자 이름을 알려주면(605), 데이터베이스에 저장하고 관리자에게 출력(606)한다. 이렇게 알아낸 사용자 이름은 해당 ISP로 연락을 하여 제재 조치를 하도록 하거나, 경고 메시지를 보내 향후 또다른 해킹을 하지못하도록 한다.
상기한 바와 같이 본 발명에 의한 네트워크 침입탐지 시스템의 이점은 첫째, 해커의 공격이 시도되면, 그 공격의 성공여부에 상관없이, 블랙리스트에 등재되어 이후에 본 침입탐지 시스템이 감시하는 네트워크로는 어떤 접속도 할 수 없게 된다. 해커의 입장에서 보면, 침입이 탐지되어 버린 거점 호스트는 무용지물이 되어 버리기 때문에, 그만큼 해커의 활동 반경이 줄어드는 효과가 있게 된다. 또한, 한 기업 내에서 블랙리스트 공유를 통해서 그 해커의 호스트로부터 완전히 안전해 질 수 있다. 둘째, RPC에 대한 공격을 탐지하기 위해, 모든 RPC데이터를 모든 공격 패턴으로 비교하지 않고, 특정 RPC에 대한 공격 패턴만 비교하도록 구조화해 놓을 수 있기 때문에, 성능이 월등히 향상되며, 셋째, 프로토콜 번호의 임의 변경을 통한 접근제어 통과를 탐지할 수가 있고, 내부자에 의한 불법적인 네트워크 서비스를 탐지하고, 서비스 종류를 확인할 수 있다. 넷째, 추적이 거의 불가능한 동적 IP에서 해커의 호스트를 추적할 뿐만 아니라, 그 사용자의 정보까지 실시간으로 추적할 수 있는 효과가 있다. 다섯째, 공격 패턴의 빠른 업데이트를 통해 새로운 해킹 방식에 대처해 나갈 수 있으며, 여섯째, 네트워크의 흐름을 지연시키지 않고, 네트워크 관리자의 부재시에도 해킹에 적절히 대응할 수 있는 보안 솔루션을 제공한다.

Claims (12)

  1. 네트워크 패킷 정보를 이용한 보안 시스템에 있어서,
    브로드캐스팅 기반의 네트워크 서브넷 내부에 설치되며, 네트워크 공격 패턴을 기록한 공격 패턴 데이터베이스(132);
    네트워크 공격경험이 있는 IP주소를 기록하고 있는 블랙리스트 데이터베이스(131);
    패킷 헤더에 있는 출발지 IP 주소와 도착지 IP 주소를 분리하고 출발지 IP 주소가 블랙리스트 데이터베이스(131)에 등록되어 있는지 판단하며, 상기 공격 패턴 데이터베이스(132)에 기록된 패턴으로 침입 여부를 판단하여 침입일 경우 출발지 IP 주소를 블랙리스트 데이터베이스(131)에 추가하는 침입 탐지부(137);
    상기한 출발지 IP 주소가 블랙리스트 데이터베이스(131)에 등록되어 있거나, 침입 탐지부(137)에서 침입판단이 이루어지면 위조 패킷을 생성하고 송신하여 접속을 차단하는 위조패킷 생성부(138)를 포함하는 것을 특징으로 하는 네트워크 침입탐지 시스템.
  2. 제 1 항에 있어서, 상기한 블랙리스트는 새로운 공격자의 출발지 IP가 추가되면, 침입탐지 시스템의 종합관리 센터로 보내어져, 다른 네트워크의 침입탐지 시스템으로 배포되는 것을 특징으로 하는 네트워크 침입탐지 시스템.
  3. 제 1 항에 있어서, 상기한 공격 패턴 데이터베이스(132)는 새로운 공격 패턴이 발견되면 그에 따라 업데이트 되는 것을 특징으로 하는 네트워크 침입탐지 시스템.
  4. 제 1 항에 있어서, 상기한 위조패킷 생성을 통한 접속 차단은 IP 패킷 위조기술을 이용한 것을 특징으로 하는 네트워크 침입탐지 시스템.
  5. 제 1 항에 있어서, 상기 침입 탐지부(137)에서 RPC 공격을 탐지하기 위해, 접속자의 RPC 프로그램 실행요청의 과정을 모니터링하여 기록하는 로그파일 생성부(134); 상기한 로그파일을 저장하는 RPC 데이터베이스(135)를 더 포함하는 것을 특징으로 하는 네트워크 침입탐지 시스템.
  6. 제 1 항에 있어서, 상기 침입 탐지부(137)에서 네트워크 데이터 분석을 통한 미확인 프로토콜의 확인을 하기 위해, 프로토콜별 특징을 기록해 둔 프로토콜 데이터베이스(133)를 더 포함하는 것을 특징으로 하는 네트워크 침입탐지 시스템.
  7. 제 1 항에 있어서, 상기 침입 탐지부(137)에서 동적 IP 주소를 사용하는 해커의 추적을 하기 위해, ISP 이름, 사용자 이름을 제공하는 서버 주소 및 동적 IP할당에 사용하는 IP주소 그룹에 대한 데이터를 유지하고 있는 ISP 정보 데이터베이스(136)를 더 포함하는 것을 특징으로 하는 네트워크 침입탐지 시스템.
  8. 네트워크 보안 방법에 있어서, 네트워크 데이터가 입력이 되면 패킷 정보에 포함되어 있는 출발지 IP 주소와 도착지 IP 주소를 분리하는 제 1단계;
    분리된 출발지 IP 주소가 블랙리스트에 등록되어 있는지 확인하는 제 2단계;
    블랙리스트에 들어 있으면 위조 RST 패킷을 생성하고 접속차단을 위해 위조 RST 패킷을 송신하는 제 3단계;
    제 2단계의 판단결과 출발지 IP 주소가 블랙리스트에 들어있지 않으면, 침입인지 판단하는 제 4단계; 및
    제 4단계의 판단결과 침입일 경우, 출발지 IP 주소를 블랙리스트에 추가하고, 위조 RST 패킷의 생성과 송신을 통해 접속을 차단하는 제 5단계를 포함하는 것을 특징으로 하는 네트워크 침입탐지 방법.
  9. 제 8 항에 있어서, 제 4단계는 RPC 프로그램의 실행과정을 모니터링하여 해당 호스트에 실행되어 있는 RPC 프로그램과 포트번호의 쌍을 RPC 데이터베이스에 저장하는 제 1단계;
    상기 제 1단계가 완료되면, 해당 네트워크 패킷의 도착지 주소와 포트 번호를 가져오는 제 2단계;
    상기한 패킷의 도착지 주소에 해당하는 포트번호가 RPC 데이터베이스에 존재하는지 검색하는 제 3단계;
    검색결과 RPC 데이터베이스에 존재하는 포트이면, 그 포트번호에 해당하는 RPC 프로그램 번호를 상기 RPC 데이터베이스에서 가져오는 제 4단계;
    해당 RPC 프로그램 번호에 맞는 침입탐지 루틴을 수행하는 제 5단계; 및
    제 5단계의 수행결과 해당 RPC 공격패턴과 일치하는지 판단하는 제 6단계를 포함하는 것을 특징으로 하는 네트워크 침입탐지 방법.
  10. 제 8 항에 있어서, 제 4단계는 프로토콜과 포트번호 및 해당 프로토콜에 따른 데이터 형식을 저장하고 있는 데이터베이스를 구비하고, 네트워크에서 패킷을 가져와 접속된 포트번호 및 해당 포트에 배정되어 있는 프로토콜을 확인하는 제 1단계;
    네트워크 패킷에 포함되어 있는 데이터를 상기 데이터베이스에 저장되어 있는 배정된 프로토콜의 데이터형식과 비교하는 제 2단계; 및
    상기 비교 결과 상이한 형식이 관찰될 때에는 침입으로 판단하는 제 3단계를 포함하는 것을 특징으로 하는 네트워크 침입탐지 방법.
  11. 제 8 항에 있어서, 제 5단계 이후에 동적 IP 주소를 사용하는 해커를 추적하기 위하여, 네트워크 패킷에서 공격에 사용된 호스트의 IP주소를 추출하는 제 1단계;
    추출한 IP가 사용자 이름 제공 서비스를 하는 ISP 주소인지 ISP 정보 데이터베이스를 검색하는 제 2단계;
    ISP 정보 데이터베이스에 존재하는 주소이면, 해당 ISP의 사용자 이름 제공 서버 주소를 상기한 데이터베이스에서 추출하는 제 3단계;
    추출한 IP와 공격 시간을 사용해서 상기한 사용자 이름 제공 서버 주소로 공격한 사용자 이름을 질의하는 제 4단계; 및
    ISP의 사용자 이름 제공 서버가 공격을 한 사용자 이름을 알려주면, 데이터베이스에 저장하고 관리자에게 출력하는 제 5단계를 더 포함하는 것을 특징으로 하는 네트워크 침입탐지 방법.
  12. 컴퓨터에 블랙리스트를 구비하여 출발지 IP만으로 접속을 차단하는 기능, 네트워크로의 불법침입을 구별하는 기능, 불법침입일 경우 블랙리스트에 추가하고 접속을 차단하는 기능, 네트워크 상에서의 RPC 공격 탐지 기능, 네트워크 데이터 분석을 통한 미확인 프로토콜의 확인 기능, 및 동적 IP 주소를 사용하는 해커를 추적하는 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020000031921A 2000-06-10 2000-06-10 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체 KR20000054538A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020000031921A KR20000054538A (ko) 2000-06-10 2000-06-10 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020000031921A KR20000054538A (ko) 2000-06-10 2000-06-10 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체

Publications (1)

Publication Number Publication Date
KR20000054538A true KR20000054538A (ko) 2000-09-05

Family

ID=19671611

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020000031921A KR20000054538A (ko) 2000-06-10 2000-06-10 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체

Country Status (1)

Country Link
KR (1) KR20000054538A (ko)

Cited By (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
KR20010044268A (ko) * 2001-01-30 2001-06-05 지학근 백도어를 통한 인터넷사이트 접속 방지시스템 및 그 방법
KR20010072528A (ko) * 2001-05-19 2001-07-31 -- 터미널(Telnet, FTP)을 이용한 유동 IP 검색
KR20010088983A (ko) * 2001-08-30 2001-09-29 허기행 유동 아이피 주소를 사용하는 네트워크 그룹에 대한 침입차단 및 선별적인 네트워크 정책 적용 방법
KR20020010884A (ko) * 2001-11-22 2002-02-06 허기행 네트워크 접근 제어 방법
KR20030005761A (ko) * 2001-07-10 2003-01-23 주식회사 니츠 내부통신망 불법사용방지방법 및 그 장치
KR20030033713A (ko) * 2001-10-24 2003-05-01 주식회사 김정훈시큐어 해커 침입에 따른 방어 및 공격모드 자동 설정시스템과 그설정방법
KR20030056652A (ko) * 2001-12-28 2003-07-04 한국전자통신연구원 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법
KR100427179B1 (ko) * 2001-11-22 2004-04-14 한국전자통신연구원 패킷 필터링을 이용한 아이에스피 보더 라우터의 공격자차단 방법 및 그 시스템
KR100434205B1 (ko) * 2001-07-26 2004-06-04 펜타시큐리티시스템 주식회사 다단계 침입 탐지 엔진
KR100439169B1 (ko) * 2001-11-14 2004-07-05 한국전자통신연구원 코드의 이동성을 적용한 세션 정보 관리를 통한 공격자 역추적 방법
KR100439170B1 (ko) * 2001-11-14 2004-07-05 한국전자통신연구원 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법
KR100447896B1 (ko) * 2002-11-12 2004-09-10 학교법인 성균관대학 블랙보드기반의 네트워크 보안 시스템 및 이의 운용방법
KR100456637B1 (ko) * 2002-12-12 2004-11-10 한국전자통신연구원 블랙리스트 기반의 분류기를 포함하는 네트워크 보안서비스 시스템
KR100458816B1 (ko) * 2001-09-11 2004-12-03 주식회사 이글루시큐리티 실시간 보안 감사 방법
KR20050063477A (ko) * 2003-12-22 2005-06-28 백남균 네트워크 정보에 대한 보안 시스템 및 그 방법
KR100498747B1 (ko) * 2000-11-25 2005-07-01 엘지전자 주식회사 사내망의 통합 보안 시스템
KR100523980B1 (ko) * 2002-12-10 2005-10-26 한국전자통신연구원 연결 공격을 역추적하기 위한 응답 패킷 워터마크 생성/삽입 장치 및 방법
KR100578506B1 (ko) * 2001-12-13 2006-05-12 주식회사 이글루시큐리티 위험도 추론 침입탐지방법
KR100578503B1 (ko) * 2001-12-13 2006-05-12 주식회사 이글루시큐리티 위험도 추론 침입탐지시스템
KR100608210B1 (ko) * 2004-02-25 2006-08-08 이형우 에스브이엠 기반 패킷 마킹 기법을 적용한 근원지 역추적방법 및 라우터
KR100613904B1 (ko) * 2004-11-04 2006-08-21 한국전자통신연구원 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법
KR100615470B1 (ko) * 2001-05-09 2006-08-25 (주)트라이옵스 웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증시스템과 그 방법
KR100695827B1 (ko) * 2000-06-12 2007-03-19 주식회사 나노엔텍 통합형 보안 장치 및 그 동작 방법
KR100706757B1 (ko) * 2005-04-04 2007-04-13 이임영 분산 네트워크 환경에서 2mac 인증 패킷을 이용한공격자 추적 방법
KR100731163B1 (ko) * 2007-02-15 2007-06-20 주식회사 윈스테크넷 침입탐지장치의 우회공격 실시간대응을 위한 전처리 장치및 방법
KR100769221B1 (ko) * 2006-08-04 2007-10-29 한국정보보호진흥원 제로데이 공격 대응 시스템 및 방법
KR100802434B1 (ko) * 2001-07-19 2008-02-13 에스케이 텔레콤주식회사 다이나믹 텔넷 포트를 이용한 네트워크 침입방지 시스템및 그 방법
KR100829258B1 (ko) * 2001-11-03 2008-05-14 주식회사 비즈모델라인 웜 바이러스의 전파 경로 추출 방법
KR100849888B1 (ko) * 2007-11-22 2008-08-04 한국정보보호진흥원 공격 멀티미디어 패킷 차단 장치, 시스템 및 방법
US7487368B2 (en) 2003-07-25 2009-02-03 Fuji Xerox Co., Ltd. Illegal communication detector, illegal communication detector control method, and storage medium storing program for illegal communication detector control
KR100919696B1 (ko) * 2008-01-04 2009-10-06 주식회사 아라기술 차단 대상 사이트에 대한 우회 접근을 차단하는 방법 및시스템
WO2010093071A1 (ko) * 2009-02-12 2010-08-19 주식회사 안철수연구소 인터넷 사이트 보안 시스템 및 그 방법
KR101006113B1 (ko) * 2007-12-17 2011-01-07 한국전자통신연구원 침입 차단 규칙 점검 장치 및 방법
KR101535381B1 (ko) * 2014-04-30 2015-07-08 플러스기술주식회사 Ip 주소 및 url를 이용한 인터넷 접속 차단 방법
KR101534566B1 (ko) * 2014-05-09 2015-07-24 한국전자통신연구원 클라우드 가상 데스크탑 보안 통제 장치 및 방법
KR101639428B1 (ko) * 2015-04-29 2016-07-13 한전케이디엔 주식회사 보드기반 단방향 통신제어 시스템
KR101888831B1 (ko) * 2017-11-07 2018-08-16 한국인터넷진흥원 디바이스 정보 수집 장치 및 그 방법
KR20190029487A (ko) 2017-09-11 2019-03-20 숭실대학교산학협력단 탄력적 침입 탐지 시스템 및 그 동작 방법
KR20210043904A (ko) * 2019-10-14 2021-04-22 주식회사 수산아이앤티 우회 프로그램 자동 검출 방법 및 그 시스템
CN113496033A (zh) * 2020-04-08 2021-10-12 腾讯科技(深圳)有限公司 访问行为识别方法和装置及存储介质
KR20220096146A (ko) 2020-12-30 2022-07-07 주식회사 안랩 Rpc 연결 탐지 방법 및 장치
KR20240000951A (ko) 2022-06-24 2024-01-03 주식회사 안랩 Rpc 연결 탐지 방법

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000010253A (ko) * 1998-07-31 2000-02-15 최종욱 조정자 에이젼트를 이용한 침입 탐지 시스템 및 침입 탐지 시스템의 침입 탐지 모듈
WO2000054458A1 (en) * 1999-03-12 2000-09-14 Psionic Software, Inc. Intrusion detection system
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
WO2001013589A1 (fr) * 1999-08-18 2001-02-22 Yoshimi Baba Systeme de surveillance contre le piratage informatique
KR20010105490A (ko) * 2000-05-10 2001-11-29 이영아 해커감지 및 추적시스템

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000010253A (ko) * 1998-07-31 2000-02-15 최종욱 조정자 에이젼트를 이용한 침입 탐지 시스템 및 침입 탐지 시스템의 침입 탐지 모듈
WO2000054458A1 (en) * 1999-03-12 2000-09-14 Psionic Software, Inc. Intrusion detection system
WO2001013589A1 (fr) * 1999-08-18 2001-02-22 Yoshimi Baba Systeme de surveillance contre le piratage informatique
KR20010105490A (ko) * 2000-05-10 2001-11-29 이영아 해커감지 및 추적시스템
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법

Cited By (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100695827B1 (ko) * 2000-06-12 2007-03-19 주식회사 나노엔텍 통합형 보안 장치 및 그 동작 방법
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
KR100498747B1 (ko) * 2000-11-25 2005-07-01 엘지전자 주식회사 사내망의 통합 보안 시스템
KR20010044268A (ko) * 2001-01-30 2001-06-05 지학근 백도어를 통한 인터넷사이트 접속 방지시스템 및 그 방법
KR100615470B1 (ko) * 2001-05-09 2006-08-25 (주)트라이옵스 웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증시스템과 그 방법
KR20010072528A (ko) * 2001-05-19 2001-07-31 -- 터미널(Telnet, FTP)을 이용한 유동 IP 검색
KR20030005761A (ko) * 2001-07-10 2003-01-23 주식회사 니츠 내부통신망 불법사용방지방법 및 그 장치
KR100802434B1 (ko) * 2001-07-19 2008-02-13 에스케이 텔레콤주식회사 다이나믹 텔넷 포트를 이용한 네트워크 침입방지 시스템및 그 방법
KR100434205B1 (ko) * 2001-07-26 2004-06-04 펜타시큐리티시스템 주식회사 다단계 침입 탐지 엔진
KR20010088983A (ko) * 2001-08-30 2001-09-29 허기행 유동 아이피 주소를 사용하는 네트워크 그룹에 대한 침입차단 및 선별적인 네트워크 정책 적용 방법
KR100458816B1 (ko) * 2001-09-11 2004-12-03 주식회사 이글루시큐리티 실시간 보안 감사 방법
KR20030033713A (ko) * 2001-10-24 2003-05-01 주식회사 김정훈시큐어 해커 침입에 따른 방어 및 공격모드 자동 설정시스템과 그설정방법
KR100829258B1 (ko) * 2001-11-03 2008-05-14 주식회사 비즈모델라인 웜 바이러스의 전파 경로 추출 방법
KR100439170B1 (ko) * 2001-11-14 2004-07-05 한국전자통신연구원 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법
KR100439169B1 (ko) * 2001-11-14 2004-07-05 한국전자통신연구원 코드의 이동성을 적용한 세션 정보 관리를 통한 공격자 역추적 방법
KR100427179B1 (ko) * 2001-11-22 2004-04-14 한국전자통신연구원 패킷 필터링을 이용한 아이에스피 보더 라우터의 공격자차단 방법 및 그 시스템
KR20020010884A (ko) * 2001-11-22 2002-02-06 허기행 네트워크 접근 제어 방법
KR100578506B1 (ko) * 2001-12-13 2006-05-12 주식회사 이글루시큐리티 위험도 추론 침입탐지방법
KR100578503B1 (ko) * 2001-12-13 2006-05-12 주식회사 이글루시큐리티 위험도 추론 침입탐지시스템
KR20030056652A (ko) * 2001-12-28 2003-07-04 한국전자통신연구원 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법
KR100447896B1 (ko) * 2002-11-12 2004-09-10 학교법인 성균관대학 블랙보드기반의 네트워크 보안 시스템 및 이의 운용방법
KR100523980B1 (ko) * 2002-12-10 2005-10-26 한국전자통신연구원 연결 공격을 역추적하기 위한 응답 패킷 워터마크 생성/삽입 장치 및 방법
KR100456637B1 (ko) * 2002-12-12 2004-11-10 한국전자통신연구원 블랙리스트 기반의 분류기를 포함하는 네트워크 보안서비스 시스템
US7487368B2 (en) 2003-07-25 2009-02-03 Fuji Xerox Co., Ltd. Illegal communication detector, illegal communication detector control method, and storage medium storing program for illegal communication detector control
KR20050063477A (ko) * 2003-12-22 2005-06-28 백남균 네트워크 정보에 대한 보안 시스템 및 그 방법
KR100608210B1 (ko) * 2004-02-25 2006-08-08 이형우 에스브이엠 기반 패킷 마킹 기법을 적용한 근원지 역추적방법 및 라우터
KR100613904B1 (ko) * 2004-11-04 2006-08-21 한국전자통신연구원 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법
KR100706757B1 (ko) * 2005-04-04 2007-04-13 이임영 분산 네트워크 환경에서 2mac 인증 패킷을 이용한공격자 추적 방법
KR100769221B1 (ko) * 2006-08-04 2007-10-29 한국정보보호진흥원 제로데이 공격 대응 시스템 및 방법
KR100731163B1 (ko) * 2007-02-15 2007-06-20 주식회사 윈스테크넷 침입탐지장치의 우회공격 실시간대응을 위한 전처리 장치및 방법
KR100849888B1 (ko) * 2007-11-22 2008-08-04 한국정보보호진흥원 공격 멀티미디어 패킷 차단 장치, 시스템 및 방법
KR101006113B1 (ko) * 2007-12-17 2011-01-07 한국전자통신연구원 침입 차단 규칙 점검 장치 및 방법
KR100919696B1 (ko) * 2008-01-04 2009-10-06 주식회사 아라기술 차단 대상 사이트에 대한 우회 접근을 차단하는 방법 및시스템
US8549631B2 (en) 2009-02-12 2013-10-01 Ahnlab, Inc. Internet site security system and method thereto
WO2010093071A1 (ko) * 2009-02-12 2010-08-19 주식회사 안철수연구소 인터넷 사이트 보안 시스템 및 그 방법
KR101535381B1 (ko) * 2014-04-30 2015-07-08 플러스기술주식회사 Ip 주소 및 url를 이용한 인터넷 접속 차단 방법
WO2015167151A1 (ko) * 2014-04-30 2015-11-05 플러스기술주식회사 Ip 주소 및 url를 이용한 인터넷 접속 차단 방법
KR101534566B1 (ko) * 2014-05-09 2015-07-24 한국전자통신연구원 클라우드 가상 데스크탑 보안 통제 장치 및 방법
US9674143B2 (en) 2014-05-09 2017-06-06 Electronics And Telecommunications Research Institute Security control apparatus and method for cloud-based virtual desktop
KR101639428B1 (ko) * 2015-04-29 2016-07-13 한전케이디엔 주식회사 보드기반 단방향 통신제어 시스템
KR20190029487A (ko) 2017-09-11 2019-03-20 숭실대학교산학협력단 탄력적 침입 탐지 시스템 및 그 동작 방법
KR101888831B1 (ko) * 2017-11-07 2018-08-16 한국인터넷진흥원 디바이스 정보 수집 장치 및 그 방법
KR20210043904A (ko) * 2019-10-14 2021-04-22 주식회사 수산아이앤티 우회 프로그램 자동 검출 방법 및 그 시스템
WO2021075652A1 (ko) * 2019-10-14 2021-04-22 주식회사 수산아이앤티 우회 프로그램 자동 검출 방법 및 그 시스템
CN113496033A (zh) * 2020-04-08 2021-10-12 腾讯科技(深圳)有限公司 访问行为识别方法和装置及存储介质
KR20220096146A (ko) 2020-12-30 2022-07-07 주식회사 안랩 Rpc 연결 탐지 방법 및 장치
KR20240000951A (ko) 2022-06-24 2024-01-03 주식회사 안랩 Rpc 연결 탐지 방법

Similar Documents

Publication Publication Date Title
KR20000054538A (ko) 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체
US8042182B2 (en) Method and system for network intrusion detection, related network and computer program product
De Vivo et al. A review of port scanning techniques
US8326881B2 (en) Detection of network security breaches based on analysis of network record logs
US8756697B2 (en) Systems and methods for determining vulnerability to session stealing
Dittrich The DoS Project’s ‘trinoo’distributed denial of service attack tool
Osanaiye Short Paper: IP spoofing detection for preventing DDoS attack in Cloud Computing
US20040073800A1 (en) Adaptive intrusion detection system
US20100235917A1 (en) System and method for detecting server vulnerability
CN111010409B (zh) 加密攻击网络流量检测方法
US8990573B2 (en) System and method for using variable security tag location in network communications
WO2019178966A1 (zh) 抵抗网络攻击方法、装置、计算机设备及存储介质
CN108337219B (zh) 一种物联网防入侵的方法和存储介质
US20080109905A1 (en) Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis
JP2004304752A (ja) 攻撃防御システムおよび攻撃防御方法
US7363513B2 (en) Server denial of service shield
CN110611682A (zh) 一种网络访问系统及网络接入方法和相关设备
KR20100074504A (ko) 네트워크 기반의 irc 및 http 봇넷 행위 분석 방법
JP2008507222A (ja) ネットワーク上での不正なスキャンニングを検出するための方法、システムおよびコンピュータ・プログラム
CN114745145A (zh) 业务数据访问方法、装置和设备及计算机存储介质
JP3549861B2 (ja) 分散型サービス不能攻撃の防止方法および装置ならびにそのコンピュータプログラム
CN110995738B (zh) 暴力破解行为识别方法、装置、电子设备及可读存储介质
KR20050095147A (ko) 침해유형별 시나리오를 고려한 침입방어장치 및 그 방법
KR20180051806A (ko) 도메인 네임 시스템 화이트리스트 데이터베이스를 이용한 파밍 공격 차단 시스템 및 그 방법
von Eye et al. Detecting stealthy backdoors and port knocking sequences through flow analysis

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
N231 Notification of change of applicant
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E601 Decision to refuse application