KR20010085057A - Apparatus for detecting invasion with network stream analysis - Google Patents

Apparatus for detecting invasion with network stream analysis Download PDF

Info

Publication number
KR20010085057A
KR20010085057A KR1020010045484A KR20010045484A KR20010085057A KR 20010085057 A KR20010085057 A KR 20010085057A KR 1020010045484 A KR1020010045484 A KR 1020010045484A KR 20010045484 A KR20010045484 A KR 20010045484A KR 20010085057 A KR20010085057 A KR 20010085057A
Authority
KR
South Korea
Prior art keywords
network
packet
network flow
traffic
flow
Prior art date
Application number
KR1020010045484A
Other languages
Korean (ko)
Other versions
KR100424724B1 (en
Inventor
박보석
김상욱
Original Assignee
김상욱
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김상욱 filed Critical 김상욱
Priority to KR10-2001-0045484A priority Critical patent/KR100424724B1/en
Publication of KR20010085057A publication Critical patent/KR20010085057A/en
Application granted granted Critical
Publication of KR100424724B1 publication Critical patent/KR100424724B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/304Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting circuit switched data communications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: A crack detection system is provided to analyze a network flow by using a network flow clustering technique and to prevent an accumulation of unnecessary profiles by using the network flow as monitoring data. CONSTITUTION: The system comprises an external network(100), a network traffic collector(200), a crack detector(300), a network flow controller(400), and an internal network(500). The network traffic collector(200) collects all the packets between the internal network(500) and the external network(100). The crack detector(300) converts the collected packets into the network flow, generates a flow graph, and detects the crack by clustering the generated flow graph. The network flow controller(400) cuts off a connection to a network according to a security policy in the case that the crack is detected. Specially, the network flow controller(400) transmits an RST packet to an information system of the internal network(500) or the external network(100) in the case that the crack is detected in the internal or the external network. The network traffic collector(200), the crack detector(300), and the network flow controller(400) are installed at an access point.

Description

네트워크 흐름 분석에 의한 침입 탐지 장치{Apparatus for detecting invasion with network stream analysis}Apparatus for detecting invasion with network stream analysis}

본 발명은 네트워크 흐름 분석에 의한 침입 탐지 장치에 관한 것으로, 보다 상세하게는 네트워크를 통한 불법적인 정보시스템의 침입 행위를 실시간으로 탐지하기 위한 네트워크 흐름 분석에 의한 침입 탐지 장치에 관한 것이다.The present invention relates to an intrusion detection apparatus by network flow analysis, and more particularly, to an intrusion detection apparatus by network flow analysis for detecting intrusion behavior of an illegal information system through a network in real time.

정보시스템의 침입 탐지에 활용되고 있는 핵심 기법은 예외 발견과 오용 발견에 의한 기법, 기타 패턴 인식 및 네트워크 모니터링 기법 등이 있다. 예외 탐지(Anomaly Detection)는 설정된 사용자 또는 그룹 사용자의 패턴을 비교하여 침입적인 활동을 판별하는 방법으로, 위장 사용자를 판별하기에 매우 유용하며, 보편적으로 모니터된 활동 프로필을 포함하는 지식 베이스를 생성한다. 프로필의 여러 유형을 사용하는데, 각 프로필에는 사용자의 정상적인 로그인 시간, 로그인 세션(Session)의 존속 시간, CPU 사용등의 컴퓨터 행위에 대한 정보가 포함된다. 사용자 프로필은 예외적인 행위를 확인하기에는 매우 유용하지만 프로필을 생성하고 유지하기도 매우 어렵다. 예외 발견 메커니즘은 일반적으로 운영 체계의 감사 기록에 의존적이기 때문에 감사 기록을 분석하기 위해 시스템의 오버 헤더를 발생시켜 그 결과로 실시간 감사 자료 검토 능력이 저하된다. 오용 탐지(Misuse Detection)는 침입의 유형을 수집하게 되는데, 특정 침입 기법의 특징을 확인하기 위해 그룹화 하는 것이다. 사용자의 활동을 기록한 침입 유형을 탐색하여 침입을 발견하는데 알려진 공격자의 행동과 사용자의 행동을 비교한다. 예외 발견은 임계값을 모니터링하는 방법을 사용하는 반면 오용 발견은 규칙-기반 접근 방법을 사용한다. 오용 탐지는 감사 기록 자료에 의존적이기 때문에 시스템 성능을 저하시킬수 있다. 이를 위해 시스템의 성능 향상 또는 감사 기록을 축소시키는 방법을 사용해야 한다. 그리고 잠재적으로 많은 양의 감사 자료를 검토해야 하는 필요성을 효율적으로 감소시키지만, 선 정의된 시나리오에 의한 동일 시스템에 너무 의존적이기 때문에 공격 특징이 일치하지 않으면 침입 발견이 어려운 단점이 있다.Key techniques used for intrusion detection of information systems include exception detection and misuse detection, and other pattern recognition and network monitoring techniques. Anomaly Detection is a method of determining invasive activity by comparing patterns of set users or group users. It is very useful for identifying spoofed users and creates a knowledge base that includes a universally monitored activity profile. . Different types of profiles are used, each containing information about the computer's behavior, such as the user's normal login time, the duration of the login session, and the CPU usage. User profiles are very useful for identifying exceptional behavior, but they are also very difficult to create and maintain. Exception detection mechanisms are generally dependent on the operating system's audit record, causing the system's overhead to analyze the audit record, resulting in a lack of real-time audit data review. Misuse Detection collects types of intrusions, grouping them together to identify the characteristics of a particular intrusion technique. Explore the type of intrusion that records the user's activity and compare the known attacker's behavior with the user's behavior in detecting the intrusion. Exception detection uses a method of monitoring thresholds, while misuse detection uses a rule-based approach. Misuse detection can degrade system performance because it depends on audit trail data. This can be achieved by improving system performance or reducing audit records. It effectively reduces the need to review potentially large amounts of audit data, but it is difficult to detect intrusions if the attack characteristics do not match because it is too dependent on the same system by a predefined scenario.

한편, 네트워크 모니터링 기법은 네트워크 상의 어떠한 위치에서 나타날 수 있는 많은 침입과 감사-기반 메커니즘에서 발견치 못한 많은 공격을 발견할 수 있다. 운영체제의 감사 기록을 요구하지 않고 표준 네트워크 프로토콜을 사용한다. 공격자는 감사 기능을 추론하여 자신의 침입을 숨길 수 없으며 감사 자료를 수정할 수 없다. 그러나 단지 수동적인 모니터링에 의존하므로 실시간 침입 탐지가 어렵다. 패턴 인식(Pattern Recognition)은 미리 지정된 예외 사용이나 프로필 기반의 오용 발견과는 다른 침입 발견 방법론으로 침투 시나리오가 시스템에 코드화하여 확장된 시간 주기, 일련의 사용자 세션 또는 다중 공격을 통해 나타나는 공격자를 확인하는 방법이다. 이와 같은 기법은 잠재적으로 많은 양의 감사 자료를 분석하지 않아도 되는 장점이 있으나, 미리 정의된 시나리오를 같은 모든 시스템에 적용되기 때문에 공격 특징이 일치하지 않으면 침입 발견이 어려운 단점이 있다. 일반적인 침입 탐지는 시스템 지원의 오용 및 남용을 탐지하는데 있으므로, 이를 위해 수집된 감사 데이터는 내용 기반이다. 이러한 침입 탐지 시스템들은 모든 사용자의 행위들을 수집하고 분석해야 하므로 감사 데이터의 유지와 분석이 어려운 단점이 있다. 그리고 미리 알려진 공격 유형이나 이상 행위만을 탐지하는데, 침입자(Cracker)는 내부망의 시스템에 침입하여 내부 시스템의 일부 서비스를 변형하는 다른 침입이나 다른 시스템 침입을 위한 뒷문(Backdoor)으로 사용한다. 모든 네트워크 감사 데이터를 사용하여 이를 탐지하는 것은 거의 불가능하다. 또한, 상술한 바와 같은 여러 기법들은 감사 자료로 사용자의 행위들을 사용하므로 통계적 정확성이 떨어지고 실시간성이 없는 단점들이 있다.Network monitoring techniques, on the other hand, can detect many intrusions that can occur at any location on the network and many attacks not found in audit-based mechanisms. Use standard network protocols without requiring audit records of the operating system. Attackers cannot infer auditing capabilities to hide their intrusions and modify auditing data. However, real time intrusion detection is difficult because it only relies on passive monitoring. Pattern Recognition is an intrusion detection methodology that differs from pre-specified exception usage or profile-based misuse detection, in which intrusion scenarios are coded into the system to identify attackers that appear through extended time periods, series of user sessions, or multiple attacks. It is a way. Such a technique has the advantage that it does not need to analyze a large amount of potential audit data, but since a predefined scenario is applied to all the same systems, it is difficult to detect an intrusion if the attack characteristics do not match. Since general intrusion detection is used to detect misuse and abuse of system support, the audit data collected for this is content-based. These intrusion detection systems have to collect and analyze all user actions, which makes it difficult to maintain and analyze audit data. It detects only known attack types or abnormal behaviors, and crackers can be used as a back door for other intrusions or other system intrusions that break into internal network systems and modify some services of the internal systems. It is almost impossible to detect this using all network audit data. In addition, the above-described techniques use user's actions as audit data, so that statistical accuracy is low and there is no real time.

따라서, 본 발명은 이와 같은 문제점을 해결하기 위한 것으로서, 본 발명은 네트워크 흐름 클러스터링 기법을 사용하는 네트워크 흐름 분석에 의한 침입 탐지 장치를 제공하는데 그 목적이 있다.Accordingly, an object of the present invention is to provide an intrusion detection apparatus based on network flow analysis using a network flow clustering technique.

본 발명의 다른 목적은 네트워크 흐름을 감사 자료로 사용하여 불필요한 프로필의 누적을 방지하는 네트워크 흐름 분석에 의한 침입 탐지 장치를 제공하는데 있다.Another object of the present invention is to provide an intrusion detection apparatus based on network flow analysis that prevents accumulation of unnecessary profiles by using network flow as audit data.

도 1은 본 발명에 따른 네트워크 흐름 분석에 의한 침입 탐지 장치의 구성도,1 is a block diagram of an intrusion detection apparatus by network flow analysis according to the present invention,

도 2는 도 1에 도시된 침입 탐지 장치의 네트워크트래픽수집수단의 세부 구성도,2 is a detailed configuration diagram of a network traffic collecting means of the intrusion detection apparatus shown in FIG. 1;

도 3a 내지 도 3d는 도 2에 도시된 각 네트워크 서비스들의 특성을 예로 보인 도면,3A to 3D are diagrams illustrating characteristics of respective network services illustrated in FIG. 2;

도 4는 도 1에 도시된 침입 탐지 장치의 침입판단수단의 세부 구성도,4 is a detailed configuration diagram of an intrusion determination means of the intrusion detection apparatus shown in FIG. 1;

도 5는 도 1에 도시된 침입 탐지 장치의 네트워크흐름제어수단의 세부 구성도.5 is a detailed configuration diagram of a network flow control means of the intrusion detection apparatus shown in FIG. 1;

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

100 : 외부네트워크 200 : 네트워크트래픽수집수단100: external network 200: network traffic collecting means

300 : 침입판단수단 400 : 네트워크흐름제어수단300: intrusion determination means 400: network flow control means

500 : 내부네트워크500: Internal network

이와 같은 목적을 달성하기 위한 본 발명의 특징은, 네트워크 패킷을 수집하고 침입을 판정하여 연결 세션을 제어하는 장치에 있어서, 내부네트워크의 정보시스템 사이의 트래픽 및 상기 내부네트워크의 정보 시스템과 외부네트워크의 정보시스템 간의 모든 트래픽을 수집하는 네트워크트래픽수집수단; 상기 네트워크트래픽수집수단에서 수집된 네트워크 트래픽을 네트워크 흐름으로 변환하여 흐름 그래프를 생성하고, 생성된 상기 흐름 그래프들을 학습된 신경망을 이용하여 클러스터링시킴으로써 침입 여부를 판단하는 침입판단수단; 및 상기 침입판단수단에서 침입이 탐지되었을 때, 보안관리자에 의해서 설정된 보안 정책에 따라 네트워크 연결을 끊는 네트워크흐름제어수단을 포함하는데 있다.An object of the present invention for achieving the above object is to collect a network packet and determine the intrusion to control the connection session, traffic between the information system of the internal network and the information system of the internal network and the external network Network traffic collecting means for collecting all traffic between information systems; Intrusion determination means for converting network traffic collected by the network traffic collecting means into a network flow to generate a flow graph, and determining the intrusion by clustering the generated flow graphs using a learned neural network; And network flow control means for disconnecting a network according to a security policy set by a security manager when an intrusion is detected by the intrusion determination means.

바람직하게, 상기 네트워크흐름제어수단은 상기 외부네트워크를 통한 침입으로 판단될 경우 상기 내부네트워크의 정보시스템에 재설정된 패킷을 전송하여 연결을 끊거나, 상기 내부네트워크에서 상기 외부네트워크로의 침입일 경우에 상기 외부네트워크의 정보시스템에 재설정된 패킷을 전송하여 연결을 끊음을 특징으로 한다.Preferably, when the network flow control means is determined to be intrusion through the external network, the network flow control means transmits a reset packet to the information system of the internal network to terminate the connection, or when the network flow is invaded into the external network. And disconnects by transmitting the reset packet to the information system of the external network.

바람직하게, 상기 네트워크트래픽수집수단은 상기 외부네트워크와 상기 내부네트워크의 접근점에 위치하는 두개의 네트워크 인터페이스 카드; 상기 두개의 네트워크 인터페이스 카드에 접속되어 각각의 네트워크 드라이버에 접근하는 소프트웨어 라이브러리인 래퍼; 상기 래퍼의 상위 계층에 통신 프로토콜이 서비스되면 네트워크 통신을 용이하게 하는 전송 드라이버 인터페이스; 및 네트워크 트래픽을 효과적으로 수집하여 각 네트워크 서비스로 분류하는 드라이버를 포함함을 특징으로 한다.Preferably, the network traffic collecting means includes two network interface cards located at access points of the external network and the internal network; A wrapper that is a software library connected to the two network interface cards to access respective network drivers; A transmission driver interface for facilitating network communication when a communication protocol is serviced in an upper layer of the wrapper; And a driver that effectively collects network traffic and classifies it into each network service.

바람직하게, 상기 래퍼는 NDIS 규약에 따른 NDIS 래퍼임을 특징으로 한다.Preferably, the wrapper is characterized in that the NDIS wrapper according to the NDIS protocol.

바람직하게, 상기 드라이버는 응용 계층 네트워크 드라이버인 JPCAP 드라이버임을 특징으로 한다.Preferably, the driver is a JPCAP driver which is an application layer network driver.

바람직하게, 상기 드라이버는 패킷의 수집, 생성, 제거 등의 기능을 수행함을 특징으로 한다.Preferably, the driver is characterized in that the function of collecting, generating, dropping packets, and the like.

바람직하게, 상기 침입판단수단은 상기 네트워크트래픽수집수단에서 전달되는 물리 패킷을 재구성하는 네트워크 흐름 구성부; 상기 네트워크 흐름 구성부에서구성된 모든 네트워크 흐름들을 쓰레드(Thread)로 구성하는 동시성 제어부; 상기 네트워크 흐름 구성부에서 재구성되어 수집된 패킷의 양이 일정값 이하일 경우에 침입 여부를 판별하는 감사 데이터로 사용하지 않고 무시하여 의미없는 연결들을 제거하는 네트워크 흐름 축약부; 상기 네트워크 흐름 축약부에서 전송되는 정상 트래픽들에 대한 특성을 지식 베이스화하는 정상흐름 학습부; 상기 정상흐름 학습부에서 지식 베이스화된 일정량의 정상 트래픽을 초기 신경망에 입력하여 학습시키는 정상흐름 지식베이스; 상기 정상흐름 지식베이스에서 정상 트래픽으로 학습된 신경망에 실제 트래픽을 입력하여 정상 트래픽인지 비정상 트래픽인지를 판별하는 이상흐름 클러스터;Preferably, the intrusion determination means comprises a network flow component for reconstructing a physical packet transmitted from the network traffic collecting means; A concurrency control unit configured to configure all network flows configured in the network flow configuration unit as a thread; A network flow shortening unit configured to ignore meaningless connections without using the audit data to determine whether an intrusion is generated when the amount of packets reconstructed and collected by the network flow configuration unit is less than or equal to a predetermined value; A normal flow learning unit which knowledge-bases characteristics of normal traffic transmitted from the network flow condenser; A normal flow knowledge base for learning by inputting a predetermined amount of normal traffic knowledge-based in the normal flow learning unit into an initial neural network; An abnormal flow cluster for inputting real traffic into a neural network learned as normal traffic in the normal flow knowledge base to determine whether the traffic is normal traffic or abnormal traffic;

바람직하게, 상기 네트워크 흐름 구성부는 물리 패킷을 재구성하기 위하여 패킷의 내용(Body)을 사용하지 않고 패킷의 헤더 정보 일부를 사용함을 특징으로 한다.Preferably, the network flow component uses a portion of header information of a packet without using a body of a packet to reconstruct a physical packet.

바람직하게, 상기 네트워크 흐름 구성부에서 사용되는 패킷의 헤더 정보에서 추출되는 정보는 패킷의 크기(Length), 지연시간(Delay), 형(Type)임을 특징으로 한다.Preferably, the information extracted from the header information of the packet used in the network flow configuration unit is characterized in that the length (Length), delay (Delay), type of the packet.

바람직하게, 상기 네트워크 흐름 구성부에서 사용되는 패킷의 헤더 정보에서 추출되는 정보인 패킷의 크기(Length) 및 지연시간(Delay)은 패킷 헤더에 있는 값임을 특징으로 한다.Preferably, the packet length and delay time, which are information extracted from header information of a packet used in the network flow configuration unit, are values in a packet header.

바람직하게, 상기 네트워크 흐름 구성부에서 사용되는 패킷의 헤더 정보에서 추출되는 정보인 패킷의 형(Type)은 현재 패킷과 이전 패킷의 출발 주소에 의해서결정됨을 특징으로 한다.Preferably, the type of the packet, which is information extracted from the header information of the packet used in the network flow configuration unit, is determined by the starting address of the current packet and the previous packet.

바람직하게, 상기 네트워크 흐름 구성부에서 사용되는 패킷의 헤더 정보에서 추출되는 정보인 패킷의 형(Type)은 현재 패킷의 출발 주소가 초기 연결을 시작하는 패킷이며, 이전 패킷의 출발 주소와 같은 형(Type)-1; 현재 패킷의 출발 주소가 초기 연결을 시작한 패킷이며, 이전 패킷의 출발 주소와 다른 형(Type)-2; 현재 패킷의 출발 주소가 초기 연결을 시작한 패킷이 아니며, 이전 패킷의 출발 주소와 같은 형(Type)-3; 및 현재 패킷의 출발 주소가 초기 연결을 시작한 패킷이 아니며, 이전 패킷의 출발 주소와 다른 형(Type)-4을 포함함을 특징으로 한다.Preferably, the packet Type, which is information extracted from the header information of the packet used in the network flow configuration unit, is a packet in which the starting address of the current packet starts an initial connection, and is the same as the starting address of the previous packet. Type) -1; The start address of the current packet is a packet that initiated an initial connection, and is different from the start address of the previous packet, Type-2; The start address of the current packet is not the packet that initiated the initial connection, and is of the same type-3 as the start address of the previous packet; And the start address of the current packet is not the packet that initiated the initial connection, and includes a Type-4 different from the start address of the previous packet.

바람직하게, 상기 네트워크 흐름 구성부에서 사용되는 패킷의 헤더 정보에서 추출되는 정보인 패킷의 형(Type)은 일방적인 트래픽인지 또는 상호 작용이 있는 트래픽인지를 구별하기 위해 사용됨을 특징으로 한다.Preferably, the packet type, which is information extracted from the header information of the packet used in the network flow configuration unit, is used to distinguish whether the traffic is unilateral or interactive.

바람직하게, 상기 네트워크 흐름 구성부에서 사용되는 패킷의 헤더 정보에서 추출되는 정보인 패킷의 크기(Length), 지연시간(Delay), 형(Type)은 네트워크 서비스에 따라서 지연시간과 패킷의 크기에 의한 밀도가 소정의 특성을 가지게됨을 특징으로 한다.Preferably, the packet length, delay time, and type, which are information extracted from the header information of the packet used in the network flow configuration unit, are determined by the delay time and the packet size according to the network service. It is characterized in that the density has certain characteristics.

바람직하게, 상기 네트워크 서비스는 http, ftp, smtp(메일 전송 프로토콜), telnet(원격 로그인 프로토콜)등으로 분류됨을 특징으로 한다.Preferably, the network service is classified into http, ftp, smtp (mail transmission protocol), telnet (remote login protocol), and the like.

바람직하게, 상기 정상흐름 지식베이스는 신경망(Neural Network)의 형태를 갖으며 상기 네트워크 서비스의 분류에 따라 하나씩의 신경망 지식베이스가 구축됨을 특징으로 한다.Preferably, the normal flow knowledge base is in the form of a neural network and is characterized in that one neural network knowledge base is constructed according to the classification of the network service.

바람직하게, 상기 이상흐름 클러스터는 실시간으로 수집된 일정 개수 이상의 패킷의 크기, 지연시간, 형 정보를 벡터화하여 신경망에 입력함을 특징으로 한다.Preferably, the abnormal flow cluster is characterized by inputting the size, delay time, type information of a predetermined number or more packets collected in real time to the neural network.

바람직하게, 상기 네트워크흐름제어수단은 상기 침입판단수단에서 탐지된 이상 트래픽을 전송받아 패킷 정보로 파싱하는 네트워크흐름 분석부; 보안관리자가 설정한 정책 프로파일을 저장하는 정책 프로파일 데이터베이스; 상기 네트워크흐름 분석부에서 파싱된 상기 패킷 정보를 받아서 상기 정책 프로파일 데이터베이스로부터 연결을 종결할 것인지 결정하여, 연결 종결 정책이 설정되는 경우 리셋(Reset) 패킷을 생성하는 네트워크 패킷 생성부; 및 상기 네트워크 패킷 생성부에서 생성된 상기 리셋 패킷의 흐름을 해제하여 해당 클라이언트로 생성된 상기 리셋 패킷을 전송하는 흐름제어부를 포함함을 특징으로 한다.Preferably, the network flow control means includes a network flow analysis unit for receiving the abnormal traffic detected by the intrusion determination means to parse the packet information; A policy profile database that stores a policy profile set by the security manager; A network packet generator configured to receive the packet information parsed by the network flow analyzer and determine whether to terminate the connection from the policy profile database, and generate a reset packet when a connection termination policy is set; And a flow control unit releasing the flow of the reset packet generated by the network packet generator to transmit the reset packet generated to the corresponding client.

바람직하게, 상기 네트워크흐름 분석부에서 파싱되는 상기 패킷 정보는 클라이언트 주소 및 포트번호, 위험수준 등의 정보를 포함함을 특징으로 한다.Preferably, the packet information parsed by the network flow analysis unit may include information such as a client address, a port number, and a risk level.

이하, 본 발명의 바람직한 실시예에 대하여 첨부 도면을 참조하여 상세히 설명한다. 우선 각 도면의 구성요소들에 참조 부호를 부가함에 있어서, 동일한 구성요소들에 한해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호로 표기되었음에 유의하여야 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. First, in adding reference numerals to the components of each drawing, it should be noted that the same reference numerals are denoted by the same reference numerals as much as possible even if displayed on the other drawings.

도 1은 본 발명에 따른 네트워크 흐름 분석에 의한 침입 탐지 장치의 구성도이다.1 is a block diagram of an intrusion detection apparatus by network flow analysis according to the present invention.

도 1에 있어서, 본 발명의 네트워크 흐름 분석에 의한 침입 탐지 장치는 외부네트워크(100), 네트워크트래픽수집수단(200), 침입판단수단(300), 네트워크흐름제어수단(400), 내부네트워크(500)로 구성된다.1, the intrusion detection apparatus according to the network flow analysis of the present invention is the external network 100, network traffic collecting means 200, intrusion determination means 300, network flow control means 400, internal network 500 It consists of

네트워크 패킷을 수집하고 침입을 판정하여 연결 세션을 제어하기 위하여, 네트워크트래픽수집수단(200)은 내부네트워크(500)의 정보시스템 사이의 트래픽 및 내부네트워크(500)의 정보 시스템과 외부네트워크(100)의 정보시스템 간의 모든 트래픽을 수집하며, 침입판단수단(300)은 네트워크트래픽수집수단(200)에서 수집된 네트워크 트래픽을 네트워크 흐름으로 변환하여 흐름 그래프(Graph)를 생성하고, 생성된 흐름 그래프들을 학습된 신경망을 이용하여 클러스터링시킴으로써 침입 여부를 판단한다. 네트워크흐름제어수단(400)은 침입판단수단(300)에서 침입이 탐지되었을 때, 보안관리자에 의해서 설정된 보안 정책에 따라 네트워크 연결을 끊는데, 외부네트워크(100)를 통한 침입으로 판단될 경우 외부네트워크(100)의 정보시스템과 내부네트워크(500)의 정보시스템의 서비스에 재설정 패킷(RST Packet)을 전송하여 연결을 끊고, 동일하게 내부네트워크(500)에서 외부네트워크(100)로의 침입일 경우에는 외부네트워크(100)의 정보시스템의 서비스에 재설정 패킷을 전송하여 연결을 끊는다. 이때, 네트워크트래픽수집수단(200), 침입판단수단(300) 및 네트워크흐름제어수단(400)은 외부네트워크(100)와 내부네트워크(500)의 접근점(Access Point)에 위치한다.In order to control the connection session by collecting network packets and determining intrusion, the network traffic collecting means 200 is configured to control traffic between the information systems of the internal network 500 and the information system of the internal network 500 and the external network 100. Collect all the traffic between the information systems of, the intrusion determination means 300 converts the network traffic collected from the network traffic collecting means 200 to a network flow to generate a flow graph (Graph), and learn the generated flow graph The intrusion is determined by clustering using the neural network. When the network flow control means 400 detects an intrusion from the intrusion determination means 300, the network flow control means 400 disconnects the network according to the security policy set by the security manager. Disconnect the connection by transmitting a reset packet (RST Packet) to the information system of the information system and the information network of the internal network 500, the same in case of intrusion into the external network 100 from the internal network 500 The connection is disconnected by sending a reset packet to a service of the information system of the network 100. At this time, the network traffic collecting means 200, the intrusion determination means 300 and the network flow control means 400 is located at the access point (Access Point) of the external network 100 and the internal network 500.

도 2는 도 1에 도시된 침입 탐지 장치의 네트워크트래픽수집수단(200)의 세부 구성도이다.2 is a detailed block diagram of the network traffic collecting means 200 of the intrusion detection apparatus shown in FIG.

도 2에 있어서, 네트워크트래픽수집수단(200)은 외부네트워크(100)와 내부네트워크(500)의 접근점에 위치하는 두개의 네트워크 인터페이스 카드(210, 220)를사용한다. 래퍼(Wrapper)(250)는 NDIS 규약에 따른 NDIS 래퍼로서 네트워크 드라이버(230, 240)에 접근할 수 있는 소프트웨어 라이브러리이다.In FIG. 2, the network traffic collecting means 200 uses two network interface cards 210 and 220 located at the access points of the external network 100 and the internal network 500. The wrapper 250 is a software library that can access the network drivers 230 and 240 as an NDIS wrapper according to the NDIS protocol.

전송 드라이버 인터페이스(TDI : Transport Driver Interface)(280)은 래퍼(250)의 상위 계층에 통신 프로토콜이 서비스되면 네트워크 통신을 용이하게 한다. 드라이버(290)는 네트워크 트래픽을 효과적으로 수집하여 각 네트워크 서비스로 분류하며, 패킷의 수집, 생성, 제거등의 기능을 수행한다. 이때, 드라이버(290)는 응용 계층 네트워크 드라이버인 JPCAP 드라이버이다.The transport driver interface (TDI) 280 facilitates network communication when a communication protocol is serviced at an upper layer of the wrapper 250. The driver 290 effectively collects network traffic, classifies each network service, and performs a function of collecting, generating, and removing packets. At this time, the driver 290 is a JPCAP driver which is an application layer network driver.

도 4는 도 1에 도시된 침입 탐지 장치의 침입판단수단(300)의 세부 구성도이다.4 is a detailed configuration diagram of the intrusion determination means 300 of the intrusion detection apparatus shown in FIG.

도 4에 있어서, 침입판단수단(300)의 네트워크 흐름 구성부(310)는 네트워크트래픽수집수단(200)에서 전달되는 물리 패킷을 재구성하는데, 패킷의 내용(Body)을 사용하지 않고 패킷의 헤더 정보 일부를 사용한다. 이때, 네트워크 흐름 구성부(310)에서 사용되는 패킷의 헤더 정보에서 추출되는 정보는 패킷의 크기(Length), 지연시간(Delay), 형(Type)이 포함되며, 패킷의 헤더 정보에서 추출되는 정보인 패킷의 크기(Length) 및 지연시간(Delay)은 패킷 헤더에 있는 값이다. 또한, 네트워크 흐름 구성부(310)에서 사용되는 패킷의 헤더 정보에서 추출되는 정보인 패킷의 형(Type)은 현재 패킷과 이전 패킷의 출발 주소에 의해서 결정된다.In FIG. 4, the network flow constructing unit 310 of the intrusion determining means 300 reconstructs the physical packet transmitted from the network traffic collecting means 200, without using the body of the packet. Use some. At this time, the information extracted from the header information of the packet used in the network flow configuration unit 310 includes the packet size (Length), delay time (Delay), type (Type), the information extracted from the header information of the packet The length and delay of an in packet are the values in the packet header. In addition, the type of the packet, which is information extracted from the header information of the packet used in the network flow configuration unit 310, is determined by the start address of the current packet and the previous packet.

한편, 네트워크 흐름 구성부(310)에서 사용되는 패킷의 헤더 정보에서 추출되는 정보인 패킷의 형(Type)은 현재 패킷의 출발 주소가 초기 연결을 시작하는 패킷이며, 이전 패킷의 출발 주소와 같은 형(Type)-1과, 현재 패킷의 출발 주소가 초기 연결을 시작한 패킷이며, 이전 패킷의 출발 주소와 다른 형(Type)-2과, 현재 패킷의 출발 주소가 초기 연결을 시작한 패킷이 아니며, 이전 패킷의 출발 주소와 같은 형(Type)-3 및 현재 패킷의 출발 주소가 초기 연결을 시작한 패킷이 아니며, 이전 패킷의 출발 주소와 다른 형(Type)-4을 포함하며, 일방적인 트래픽인지 또는 상호 작용이 있는 트래픽인지를 구별하기 위해 사용된다. 또한, 네트워크 흐름 구성부(310)에서 사용되는 패킷의 헤더 정보에서 추출되는 정보인 패킷의 크기(Length), 지연시간(Delay), 형(Type)은 http, ftp, smtp(메일 전송 프로토콜), telnet(원격 로그인 프로토콜)등으로 분류되는 네트워크 서비스에 따라서 지연시간과 패킷의 크기에 의한 밀도가 도 2에 도시된 각 네트워크 서비스들의 특성을 예로 보인 도 3a 내지 도 3d와 같은 특성을 갖는다. 도 3a 내지 도 3d의 가로축은 지연시간, 새로축은 패킷의 크기를 표현하는데, smtp(메일 전송 프로토콜)은 도 3a와 같이 여러개의 띠를 이루며, telnet(원격 로그인 프로토콜)은 도 3d와 같이 클라이언트와 서버간의 상호작용이 빈번히 나타나므로 밀도가 낮은 띠가 전반적으로 나타난다. 도 3b는 ftp 서비스를 보인 도면이며, 도 3c는 http 서비스를 보인 도면이다.Meanwhile, the packet type, which is information extracted from the header information of the packet used in the network flow configuration unit 310, is a packet in which the starting address of the current packet starts an initial connection and is the same type as the starting address of the previous packet. (Type) -1 and the start address of the current packet are packets that initiated the initial connection, and type-2 that is different from the start address of the previous packet and the start address of the current packet are not the packets that initiated the initial connection, Type-3, such as the packet's originating address, and the originating address of the current packet are not the packets that initiated the initial connection, and contain a Type-4 that is different from the originating address of the previous packet; Used to distinguish whether there is active traffic. In addition, the packet size, delay time, type, which is information extracted from the header information of the packet used in the network flow configuration unit 310, http, ftp, smtp (mail transmission protocol), According to network services classified as telnet (remote login protocol) or the like, densities based on delay time and packet size have characteristics as shown in FIGS. 3A to 3D, which show characteristics of respective network services shown in FIG. 2 as an example. The horizontal axis of FIGS. 3A to 3D represents the delay time and the new packet size. The smtp (mail transfer protocol) forms several bands as shown in FIG. 3A, and the telnet (remote login protocol) is connected to the client as shown in FIG. 3D. Server-to-server interactions are so frequent that low-density bands generally appear. Figure 3b is a view showing the ftp service, Figure 3c is a view showing the http service.

동시성 제어부(320)는 네트워크 흐름 구성부(310)에서 구성된 모든 네트워크 흐름들을 쓰레드(Thread)로 구성하며, 네트워크 흐름 축약부(330)는 네트워크 흐름 구성부(310)에서 재구성되어 수집된 패킷의 양이 일정값 이하일 경우에 침입 여부를 판별하는 감사 데이터로 사용하지 않고 무시하여 의미없는 연결들을 제거하며, 정상흐름 학습부(340)는 네트워크 흐름 축약부(330)에서 전송되는 도 3a 내지 도3d와 같은 정상 트래픽들에 대한 특성을 지식 베이스화하고, 정상흐름 지식베이스(350)는 정상흐름 학습부(340)에서 지식 베이스화된 일정량의 정상 트래픽을 초기 신경망에 입력하여 학습시킨다. 이상흐름 클러스터(360)는 정상흐름 지식베이스(350)에서 정상 트래픽으로 학습된 신경망에 실제 트래픽을 입력하여 정상 트래픽인지 비정상 트래픽인지를 판별한다.The concurrency control unit 320 configures all network flows configured in the network flow configuration unit 310 into threads, and the network flow condenser 330 reconstructs and collects the amount of packets collected by the network flow configuration unit 310. If this value is less than a predetermined value, it is not used as audit data for determining whether the intrusion is ignored and the meaningless connections are removed, and the normal flow learning unit 340 is transmitted from the network flow contraction unit 330 to FIGS. 3A to 3D. Knowledge bases the characteristics of the same normal traffic, and the normal flow knowledge base 350 learns by inputting a predetermined amount of normal traffic knowledge-based in the normal flow learning unit 340 into the initial neural network. The abnormal flow cluster 360 determines whether the traffic is normal traffic or abnormal traffic by inputting real traffic to the neural network learned as normal traffic from the normal flow knowledge base 350.

정상흐름 지식베이스(350)는 신경망(Neural Network)의 형태를 갖으며 네트워크 서비스의 분류에 따라 하나씩의 신경망 지식베이스가 구축되며, 이상흐름 클러스터(360)는 실시간으로 수집된 일정 개수 이상의 패킷의 크기, 지연시간, 형 정보를 벡터화하여 신경망에 입력한다.The normal flow knowledge base 350 has the form of a neural network, and one neural network knowledge base is constructed according to the classification of network services, and the abnormal flow cluster 360 has a size of a predetermined number or more packets collected in real time. , Delay time and type information are vectorized and input into the neural network.

도 5는 도 1에 도시된 침입 탐지 장치의 네트워크흐름제어수단(400)의 세부 구성도이다.5 is a detailed block diagram of the network flow control means 400 of the intrusion detection apparatus shown in FIG.

도 5에 있어서, 네트워크흐름제어수단(400)의 네트워크 흐름 분석부(410)는 침입판단수단(300)에서 탐지된 이상 트래픽을 전송받아 클라이언트 주소 및 포트번호, 위험수준 등의 정보를 포함한 패킷 정보로 파싱하며, 정책 프로파일 데이터베이스(420)는 보안관리자가 설정한 정책 프로파일을 저장한다. 네트워크 패킷 생성부(430)는 네트워크흐름 분석부(410)에서 파싱된 패킷 정보를 받아서 정책 프로파일 데이터베이스(420)로부터 연결을 종결할 것인지 결정하여, 연결 종결 정책이 설정되는 경우 리셋(Reset) 패킷을 생성한다. 흐름제어부(440)는 네트워크 패킷 생성부(430)에서 생성된 리셋 패킷의 흐름을 해제하여 해당 클라이언트(450)로 생성된 리셋 패킷을 전송한다.In Figure 5, the network flow analysis unit 410 of the network flow control means 400 receives the abnormal traffic detected by the intrusion determination means 300 packet information including information such as client address and port number, risk level, etc. Parsing the data, the policy profile database 420 stores the policy profile set by the security administrator. The network packet generator 430 receives the packet information parsed by the network flow analyzer 410 and determines whether to terminate the connection from the policy profile database 420. When the connection termination policy is set, the network packet generator 430 generates a reset packet. Create The flow controller 440 releases the flow of the reset packet generated by the network packet generator 430 and transmits the generated reset packet to the corresponding client 450.

이와 같이, 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범주에서 벗어나지 않는 한도 내에서 여러가지 변형이 가능함은 물론이다. 그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 안되며 후술하는 특허청구범위 뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.As described above, in the detailed description of the present invention, specific embodiments have been described, but various modifications are possible without departing from the scope of the present invention. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be defined by the claims below and equivalents thereof.

결국, 본 발명에 의한 네트워크 흐름 분석에 의한 침입 탐지 장치에 따르면 다음과 같은 이점이 발생한다.As a result, according to the intrusion detection apparatus according to the network flow analysis according to the present invention the following advantages occur.

즉, 네트워크 흐름은 사용자가 발생하는 데이터를 사용하지 않고 프로토콜 스택에서 생성되는 패킷의 크기와 지연시간을 사용하여 침입 탐지를 수행하며, 네트워크 모니터링을 기반으로 오용 발견을 원활하게 한다. 또한, 감사데이터를 저장하기 위한 데이터베이스시스템 및 네트워크 침입 탐지를 위한 전용 서버가 필요없으므로 저비용으로 소규모 서브네트워크의 침입을 탐지하며, 침입에 대한 대응으로 서버를 구성하거나 보완할 필요 없이 침입으로 판단되는 연결을 자동으로 강제 종료할 수 있으므로 전사적인 보안관리에 적용 가능하다. 즉, 게이트웨이에 방화벽과 연동되어 네트워크 위험도에 따라 동적인 보안정책을 적용할 수 있다.In other words, network flows perform intrusion detection using the size and latency of packets generated in the protocol stack without using user-generated data, and facilitate misuse detection based on network monitoring. In addition, it does not need a database system to store audit data and a dedicated server for network intrusion detection, so it detects intrusions of small sub-networks at low cost, and the connection determined to be intrusion without having to configure or supplement servers in response to intrusions. Can be automatically terminated, so it can be applied to enterprise-wide security management. In other words, by interlocking with the firewall at the gateway, a dynamic security policy can be applied according to the network risk.

Claims (19)

네트워크 패킷을 수집하고 침입을 판정하여 연결 세션을 제어하는 장치에 있어서,An apparatus for controlling a connection session by collecting network packets and determining intrusion, 내부네트워크의 정보시스템 사이의 트래픽 및 상기 내부네트워크의 정보 시스템과 외부네트워크의 정보시스템 간의 모든 트래픽을 수집하는 네트워크트래픽수집수단;Network traffic collecting means for collecting traffic between the information system of the internal network and all traffic between the information system of the internal network and the information system of the external network; 상기 네트워크트래픽수집수단에서 수집된 네트워크 트래픽을 네트워크 흐름으로 변환하여 흐름 그래프를 생성하고, 생성된 상기 흐름 그래프들을 학습된 신경망을 이용하여 클러스터링시킴으로써 침입 여부를 판단하는 침입판단수단; 및Intrusion determination means for converting network traffic collected by the network traffic collecting means into a network flow to generate a flow graph, and determining the intrusion by clustering the generated flow graphs using a learned neural network; And 상기 침입판단수단에서 침입이 탐지되었을 때, 보안관리자에 의해서 설정된 보안 정책에 따라 네트워크 연결을 끊는 네트워크흐름제어수단을 포함하는 것을 특징으로 하는 네트워크 흐름 분석에 의한 침입 탐지 장치.And network flow control means for disconnecting a network according to a security policy set by a security administrator when an intrusion is detected by the intrusion determination means. 제 1 항에 있어서, 상기 네트워크흐름제어수단은The method of claim 1, wherein the network flow control means 상기 외부네트워크를 통한 침입으로 판단될 경우 상기 내부네트워크의 정보시스템에 재설정된 패킷을 전송하여 연결을 끊거나, 상기 내부네트워크에서 상기 외부네트워크로의 침입일 경우에 상기 외부네트워크의 정보시스템에 재설정된 패킷을 전송하여 연결을 끊음을 특징으로 하는 네트워크 흐름 분석에 의한 침입 탐지 장치.If it is determined that the intrusion is through the external network, the connection is disconnected by transmitting a reset packet to the information system of the internal network, or when the intrusion into the external network is reset from the internal network to the information system of the external network. An intrusion detection device based on network flow analysis, characterized in that a connection is disconnected by transmitting a packet. 제 1 항에 있어서, 상기 네트워크트래픽수집수단은The method of claim 1, wherein the network traffic collecting means 상기 외부네트워크와 상기 내부네트워크의 접근점에 위치하는 두개의 네트워크 인터페이스 카드;Two network interface cards located at access points of the external network and the internal network; 상기 두개의 네트워크 인터페이스 카드에 접속되어 각각의 네트워크 드라이버에 접근하는 소프트웨어 라이브러리인 래퍼;A wrapper that is a software library connected to the two network interface cards to access respective network drivers; 상기 래퍼의 상위 계층에 통신 프로토콜이 서비스되면 네트워크 통신을 용이하게 하는 전송 드라이버 인터페이스; 및A transmission driver interface for facilitating network communication when a communication protocol is serviced in an upper layer of the wrapper; And 네트워크 트래픽을 효과적으로 수집하여 각 네트워크 서비스로 분류하는 드라이버를 포함함을 특징으로 하는 네트워크 흐름 분석에 의한 침입 탐지 장치.Intrusion detection device by network flow analysis comprising a driver that effectively collects the network traffic and classifies each network service. 제 3 항에 있어서, 상기 래퍼는The method of claim 3, wherein the wrapper NDIS 규약에 따른 NDIS 래퍼임을 특징으로 하는 네트워크 흐름 분석에 의한 침입 탐지 장치.Intrusion detection device by network flow analysis characterized in that the NDIS wrapper according to the NDIS protocol. 제 3 항에 있어서, 상기 드라이버는The method of claim 3, wherein the driver 응용 계층 네트워크 드라이버인 JPCAP 드라이버임을 특징으로 하는 네트워크 흐름 분석에 의한 침입 탐지 장치.Intrusion detection device by network flow analysis, characterized in that the application layer network driver JPCAP driver. 제 3 항에 있어서, 상기 드라이버는The method of claim 3, wherein the driver 패킷의 수집, 생성, 제거 등의 기능을 수행함을 특징으로 하는 네트워크 흐름 분석에 의한 침입 탐지 장치.Intrusion detection device by network flow analysis, characterized in that the function of collecting, generating, dropping packets. 제 1 항에 있어서, 상기 침입판단수단은The method of claim 1, wherein the intrusion determination means 상기 네트워크트래픽수집수단에서 전달되는 물리 패킷을 재구성하는 네트워크 흐름 구성부;A network flow constructing unit for reconstructing a physical packet transmitted from the network traffic collecting unit; 상기 네트워크 흐름 구성부에서 구성된 모든 네트워크 흐름들을 쓰레드(Thread)로 구성하는 동시성 제어부;A concurrency control unit configured to configure all network flows configured in the network flow configuration unit as a thread; 상기 네트워크 흐름 구성부에서 재구성되어 수집된 패킷의 양이 일정값 이하일 경우에 침입 여부를 판별하는 감사 데이터로 사용하지 않고 무시하여 의미없는 연결들을 제거하는 네트워크 흐름 축약부;A network flow shortening unit configured to ignore meaningless connections without using the audit data to determine whether an intrusion is generated when the amount of packets reconstructed and collected by the network flow configuration unit is less than or equal to a predetermined value; 상기 네트워크 흐름 축약부에서 전송되는 정상 트래픽들에 대한 특성을 지식 베이스화하는 정상흐름 학습부;A normal flow learning unit which knowledge-bases characteristics of normal traffic transmitted from the network flow condenser; 상기 정상흐름 학습부에서 지식 베이스화된 일정량의 정상 트래픽을 초기 신경망에 입력하여 학습시키는 정상흐름 지식베이스; 및A normal flow knowledge base for learning by inputting a predetermined amount of normal traffic knowledge-based in the normal flow learning unit into an initial neural network; And 상기 정상흐름 지식베이스에서 정상 트래픽으로 학습된 신경망에 실제 트래픽을 입력하여 정상 트래픽인지 비정상 트래픽인지를 판별하는 이상흐름 클러스터를 포함함을 특징으로 하는 네트워크 흐름 분석에 의한 침입 탐지 장치.Intrusion detection apparatus according to the network flow analysis comprising an abnormal flow cluster for determining whether the normal traffic or abnormal traffic by inputting the actual traffic to the neural network learned as normal traffic in the normal flow knowledge base. 제 7 항에 있어서, 상기 네트워크 흐름 구성부는8. The system of claim 7, wherein the network flow component is 물리 패킷을 재구성하기 위하여 패킷의 내용(Body)을 사용하지 않고 패킷의 헤더 정보 일부를 사용함을 특징으로 하는 네트워크 흐름 분석에 의한 침입 탐지 장치.An intrusion detection apparatus based on network flow analysis, which uses a part of header information of a packet instead of a body of a packet to reconstruct a physical packet. 제 7 항에 있어서,The method of claim 7, wherein 상기 네트워크 흐름 구성부에서 사용되는 패킷의 헤더 정보에서 추출되는 정보는 패킷의 크기(Length), 지연시간(Delay), 형(Type)임을 특징으로 하는 네트워크 흐름 분석에 의한 침입 탐지 장치.The information extracted from the header information of the packet used in the network flow configuration unit is the size (Length), delay (Delay), type of the packet intrusion detection apparatus according to the network flow analysis. 제 7 항에 있어서,The method of claim 7, wherein 상기 네트워크 흐름 구성부에서 사용되는 패킷의 헤더 정보에서 추출되는 정보인 패킷의 크기(Length) 및 지연시간(Delay)은 패킷 헤더에 있는 값임을 특징으로 하는 네트워크 흐름 분석에 의한 침입 탐지 장치.Intrusion detection apparatus according to the network flow analysis, characterized in that the packet size (Length) and delay time (Delay), which is information extracted from the header information of the packet used in the network flow configuration unit. 제 7 항에 있어서,The method of claim 7, wherein 상기 네트워크 흐름 구성부에서 사용되는 패킷의 헤더 정보에서 추출되는 정보인 패킷의 형(Type)은 현재 패킷과 이전 패킷의 출발 주소에 의해서 결정됨을 특징으로 하는 네트워크 흐름 분석에 의한 침입 탐지 장치.Intrusion detection apparatus according to the network flow analysis, characterized in that the type of the packet (Type), which is information extracted from the header information of the packet used in the network flow configuration unit is determined by the start address of the current packet and the previous packet. 제 7 항에 있어서,The method of claim 7, wherein 상기 네트워크 흐름 구성부에서 사용되는 패킷의 헤더 정보에서 추출되는 정보인 패킷의 형(Type)은 현재 패킷의 출발 주소가 초기 연결을 시작하는 패킷이며, 이전 패킷의 출발 주소와 같은 형(Type)-1;The type of the packet, which is information extracted from the header information of the packet used in the network flow configuration unit, is a packet in which the starting address of the current packet starts an initial connection and is the same as the starting address of the previous packet. One; 현재 패킷의 출발 주소가 초기 연결을 시작한 패킷이며, 이전 패킷의 출발주소와 다른 형(Type)-2;A start address of the current packet is a packet that initiated an initial connection, and is different from a start address of a previous packet of type-2; 현재 패킷의 출발 주소가 초기 연결을 시작한 패킷이 아니며, 이전 패킷의 출발 주소와 같은 형(Type)-3; 및The start address of the current packet is not the packet that initiated the initial connection, and is of the same type-3 as the start address of the previous packet; And 현재 패킷의 출발 주소가 초기 연결을 시작한 패킷이 아니며, 이전 패킷의 출발 주소와 다른 형(Type)-4을 포함함을 특징으로 하는 네트워크 흐름 분석에 의한 침입 탐지 장치.An intrusion detection apparatus according to network flow analysis, wherein the start address of the current packet is not the packet that initiated the initial connection, and includes a type-4 that is different from the start address of the previous packet. 제 7 항에 있어서,The method of claim 7, wherein 상기 네트워크 흐름 구성부에서 사용되는 패킷의 헤더 정보에서 추출되는 정보인 패킷의 형(Type)은 일방적인 트래픽인지 또는 상호 작용이 있는 트래픽인지를 구별하기 위해 사용됨을 특징으로 하는 네트워크 흐름 분석에 의한 침입 탐지 장치.Intrusion by network flow analysis, wherein the type of packet, which is information extracted from the header information of the packet used in the network flow configuration unit, is used to distinguish whether the traffic is unilateral traffic or interactive traffic. Detection device. 제 7 항에 있어서,The method of claim 7, wherein 상기 네트워크 흐름 구성부에서 사용되는 패킷의 헤더 정보에서 추출되는 정보인 패킷의 크기(Length), 지연시간(Delay), 형(Type)은 네트워크 서비스에 따라서 지연시간과 패킷의 크기에 의한 밀도가 소정의 특성을 가지게됨을 특징으로 하는 네트워크 흐름 분석에 의한 침입 탐지 장치.The packet size, delay time, and type, which are information extracted from the header information of the packet used by the network flow configuration unit, have a predetermined density according to the delay time and the packet size according to the network service. Intrusion detection apparatus by network flow analysis, characterized in that it has the characteristics of. 제 14 항에 있어서, 상기 네트워크 서비스는15. The method of claim 14, wherein said network service is http, ftp, smtp(메일 전송 프로토콜), telnet(원격 로그인 프로토콜)등으로 분류됨을 특징으로 하는 네트워크 흐름 분석에 의한 침입 탐지 장치.An intrusion detection device based on network flow analysis characterized by being classified into http, ftp, smtp (mail transmission protocol), telnet (remote login protocol), and the like. 제 7 항에 있어서, 상기 정상흐름 지식베이스는The method of claim 7, wherein the steady flow knowledge base 신경망(Neural Network)의 형태를 갖으며 상기 네트워크 서비스의 분류에 따라 하나씩의 신경망 지식베이스가 구축됨을 특징으로 하는 네트워크 흐름 분석에 의한 침입 탐지 장치.An intrusion detection device based on a network flow analysis having a form of a neural network and one neural network knowledge base is constructed according to the classification of the network service. 제 7 항에 있어서, 상기 이상흐름 클러스터는The method of claim 7, wherein the abnormal flow cluster is 실시간으로 수집된 일정 개수 이상의 패킷의 크기, 지연시간, 형 정보를 벡터화하여 신경망에 입력함을 특징으로 하는 네트워크 흐름 분석에 의한 침입 탐지 장치.An intrusion detection apparatus based on network flow analysis, comprising inputting a size, delay time, and type information of a predetermined number or more of packets collected in real time into a neural network. 제 1 항에 있어서, 상기 네트워크흐름제어수단은The method of claim 1, wherein the network flow control means 상기 침입판단수단에서 탐지된 이상 트래픽을 전송받아 패킷 정보로 파싱하는 네트워크흐름 분석부;A network flow analysis unit receiving the abnormal traffic detected by the intrusion determining means and parsing the packet into packet information; 보안관리자가 설정한 정책 프로파일을 저장하는 정책 프로파일 데이터베이스;A policy profile database that stores a policy profile set by the security manager; 상기 네트워크흐름 분석부에서 파싱된 상기 패킷 정보를 받아서 상기 정책 프로파일 데이터베이스로부터 연결을 종결할 것인지 결정하여, 연결 종결 정책이설정되는 경우 리셋(Reset) 패킷을 생성하는 네트워크 패킷 생성부; 및A network packet generator configured to receive the packet information parsed by the network flow analyzer to determine whether to terminate the connection from the policy profile database and to generate a reset packet when a connection termination policy is set; And 상기 네트워크 패킷 생성부에서 생성된 상기 리셋 패킷의 흐름을 해제하여 해당 클라이언트로 생성된 상기 리셋 패킷을 전송하는 흐름제어부를 포함함을 특징으로 하는 네트워크 흐름 분석에 의한 침입 탐지 장치.And a flow control unit for releasing the flow of the reset packet generated by the network packet generation unit and transmitting the reset packet generated to the corresponding client. 제 18 항에 있어서The method of claim 18 상기 네트워크흐름 분석부에서 파싱되는 상기 패킷 정보는 클라이언트 주소 및 포트번호, 위험수준 등의 정보를 포함함을 특징으로 하는 네트워크 흐름 분석에 의한 침입 탐지 장치.The packet information parsed by the network flow analysis unit includes information such as a client address, a port number, a risk level, and the like.
KR10-2001-0045484A 2001-07-27 2001-07-27 Apparatus for detecting invasion with network stream analysis KR100424724B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0045484A KR100424724B1 (en) 2001-07-27 2001-07-27 Apparatus for detecting invasion with network stream analysis

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0045484A KR100424724B1 (en) 2001-07-27 2001-07-27 Apparatus for detecting invasion with network stream analysis

Publications (2)

Publication Number Publication Date
KR20010085057A true KR20010085057A (en) 2001-09-07
KR100424724B1 KR100424724B1 (en) 2004-03-27

Family

ID=19712622

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0045484A KR100424724B1 (en) 2001-07-27 2001-07-27 Apparatus for detecting invasion with network stream analysis

Country Status (1)

Country Link
KR (1) KR100424724B1 (en)

Cited By (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030009887A (en) * 2001-07-24 2003-02-05 주식회사 케이티 A system and method for intercepting DoS attack
KR20030033383A (en) * 2001-10-22 2003-05-01 주식회사 윈스테크넷 service system for security and method thereof
KR100432421B1 (en) * 2001-12-21 2004-05-22 한국전자통신연구원 method and recorded media for attack correlation analysis
KR100439169B1 (en) * 2001-11-14 2004-07-05 한국전자통신연구원 Attacker traceback method by using session information monitoring that use code mobility
KR100439950B1 (en) * 2001-05-22 2004-07-12 (주)인젠 Network Based Intrusion Detection System
KR100602920B1 (en) * 2005-12-15 2006-07-24 주식회사 정보보호기술 A software method for automatic selection of detection measures to be used to detect the bots and worms in the computer network
KR100756462B1 (en) * 2006-02-03 2007-09-07 엘지엔시스(주) Method for management a self-learning data in Intrusion prevention system and Method for handling a malicious traffic using the same
KR100766724B1 (en) * 2006-06-20 2007-10-17 (주)한드림넷 Securing switch and securing system and method
KR100799558B1 (en) * 2005-08-19 2008-01-31 한국전자통신연구원 Apparatus and method for tracking harmful file in P2P network
KR100826884B1 (en) * 2006-11-27 2008-05-06 한국전자통신연구원 Apparatus and method for visualizing network situation using security cube
KR100829258B1 (en) * 2001-11-03 2008-05-14 주식회사 비즈모델라인 Method for Scanning The Worm Virus Trace Spreaded in Networks
WO2008121690A2 (en) * 2007-03-30 2008-10-09 Packeteer, Inc. Data and control plane architecture for network application traffic management device
WO2008124295A1 (en) * 2007-04-02 2008-10-16 Microsoft Corporation Detecting adversaries by correlating detected malware with web access logs
WO2009005187A1 (en) * 2007-07-04 2009-01-08 Electronics And Telecommunications Research Institute Apparatus and method for sampling security event based on contents of the security event
US7813277B2 (en) * 2007-06-29 2010-10-12 Packeteer, Inc. Lockless bandwidth management for multiprocessor networking devices
KR101045362B1 (en) * 2002-11-07 2011-06-30 팁핑포인트 테크놀러지스 인코포레이티드 Active network defense system and method
US8059532B2 (en) 2007-06-21 2011-11-15 Packeteer, Inc. Data and control plane architecture including server-side triggered flow policy mechanism
US8111707B2 (en) 2007-12-20 2012-02-07 Packeteer, Inc. Compression mechanisms for control plane—data plane processing architectures
KR101156005B1 (en) * 2009-12-16 2012-06-18 한전케이디엔주식회사 System and method for network attack detection and analysis
US8279885B2 (en) 2007-09-25 2012-10-02 Packeteer, Inc. Lockless processing of command operations in multiprocessor systems
US8413247B2 (en) 2007-03-14 2013-04-02 Microsoft Corporation Adaptive data collection for root-cause analysis and intrusion detection
KR101252811B1 (en) * 2006-11-27 2013-04-09 주식회사 엘지씨엔에스 Apparatus and method for preventing worm an IRC order
US8955105B2 (en) 2007-03-14 2015-02-10 Microsoft Corporation Endpoint enabled for enterprise security assessment sharing
US8959568B2 (en) 2007-03-14 2015-02-17 Microsoft Corporation Enterprise security assessment sharing
US9419867B2 (en) 2007-03-30 2016-08-16 Blue Coat Systems, Inc. Data and control plane architecture for network application traffic management device

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100942798B1 (en) 2007-11-29 2010-02-18 한국전자통신연구원 Apparatus and method for detecting a virus code
KR100995582B1 (en) 2008-08-01 2010-11-25 주식회사 바넷정보기술 DB security method and apparatus for mass data loss prevention
KR101371902B1 (en) 2012-12-12 2014-03-10 현대자동차주식회사 Apparatus for detecting vehicle network attcak and method thereof
KR101439008B1 (en) * 2013-02-19 2014-09-11 주식회사 엘지유플러스 Apparatus and method for controlling packet traffic

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000010253A (en) * 1998-07-31 2000-02-15 최종욱 Trespass detection system and module of trespass detection system using arbitrator agent
KR100332891B1 (en) * 1999-04-07 2002-04-17 이종성 Intelligent Intrusion Detection System based on distributed intrusion detecting agents

Cited By (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100439950B1 (en) * 2001-05-22 2004-07-12 (주)인젠 Network Based Intrusion Detection System
KR20030009887A (en) * 2001-07-24 2003-02-05 주식회사 케이티 A system and method for intercepting DoS attack
KR20030033383A (en) * 2001-10-22 2003-05-01 주식회사 윈스테크넷 service system for security and method thereof
KR100829258B1 (en) * 2001-11-03 2008-05-14 주식회사 비즈모델라인 Method for Scanning The Worm Virus Trace Spreaded in Networks
KR100439169B1 (en) * 2001-11-14 2004-07-05 한국전자통신연구원 Attacker traceback method by using session information monitoring that use code mobility
KR100432421B1 (en) * 2001-12-21 2004-05-22 한국전자통신연구원 method and recorded media for attack correlation analysis
KR101045362B1 (en) * 2002-11-07 2011-06-30 팁핑포인트 테크놀러지스 인코포레이티드 Active network defense system and method
KR101111433B1 (en) * 2002-11-07 2012-02-17 팁핑포인트 테크놀러지스 인코포레이티드 Active network defense system and method
KR100799558B1 (en) * 2005-08-19 2008-01-31 한국전자통신연구원 Apparatus and method for tracking harmful file in P2P network
KR100602920B1 (en) * 2005-12-15 2006-07-24 주식회사 정보보호기술 A software method for automatic selection of detection measures to be used to detect the bots and worms in the computer network
KR100756462B1 (en) * 2006-02-03 2007-09-07 엘지엔시스(주) Method for management a self-learning data in Intrusion prevention system and Method for handling a malicious traffic using the same
KR100766724B1 (en) * 2006-06-20 2007-10-17 (주)한드림넷 Securing switch and securing system and method
KR100826884B1 (en) * 2006-11-27 2008-05-06 한국전자통신연구원 Apparatus and method for visualizing network situation using security cube
KR101252811B1 (en) * 2006-11-27 2013-04-09 주식회사 엘지씨엔에스 Apparatus and method for preventing worm an IRC order
US8014310B2 (en) 2006-11-27 2011-09-06 Electronics And Telecommunications Research Institute Apparatus and method for visualizing network situation using security cube
US8413247B2 (en) 2007-03-14 2013-04-02 Microsoft Corporation Adaptive data collection for root-cause analysis and intrusion detection
US8955105B2 (en) 2007-03-14 2015-02-10 Microsoft Corporation Endpoint enabled for enterprise security assessment sharing
US8959568B2 (en) 2007-03-14 2015-02-17 Microsoft Corporation Enterprise security assessment sharing
WO2008121690A3 (en) * 2007-03-30 2008-12-18 Packeteer Inc Data and control plane architecture for network application traffic management device
WO2008121690A2 (en) * 2007-03-30 2008-10-09 Packeteer, Inc. Data and control plane architecture for network application traffic management device
US9419867B2 (en) 2007-03-30 2016-08-16 Blue Coat Systems, Inc. Data and control plane architecture for network application traffic management device
US7882542B2 (en) 2007-04-02 2011-02-01 Microsoft Corporation Detecting compromised computers by correlating reputation data with web access logs
WO2008124295A1 (en) * 2007-04-02 2008-10-16 Microsoft Corporation Detecting adversaries by correlating detected malware with web access logs
US8424094B2 (en) 2007-04-02 2013-04-16 Microsoft Corporation Automated collection of forensic evidence associated with a network security incident
US8059532B2 (en) 2007-06-21 2011-11-15 Packeteer, Inc. Data and control plane architecture including server-side triggered flow policy mechanism
US7813277B2 (en) * 2007-06-29 2010-10-12 Packeteer, Inc. Lockless bandwidth management for multiprocessor networking devices
US8140671B2 (en) 2007-07-04 2012-03-20 Electronics And Telecommunications Research Institute Apparatus and method for sampling security events based on contents of the security events
WO2009005187A1 (en) * 2007-07-04 2009-01-08 Electronics And Telecommunications Research Institute Apparatus and method for sampling security event based on contents of the security event
US8279885B2 (en) 2007-09-25 2012-10-02 Packeteer, Inc. Lockless processing of command operations in multiprocessor systems
US8111707B2 (en) 2007-12-20 2012-02-07 Packeteer, Inc. Compression mechanisms for control plane—data plane processing architectures
KR101156005B1 (en) * 2009-12-16 2012-06-18 한전케이디엔주식회사 System and method for network attack detection and analysis

Also Published As

Publication number Publication date
KR100424724B1 (en) 2004-03-27

Similar Documents

Publication Publication Date Title
KR100424724B1 (en) Apparatus for detecting invasion with network stream analysis
US11316878B2 (en) System and method for malware detection
KR101010302B1 (en) Security management system and method of irc and http botnet
US6415321B1 (en) Domain mapping method and system
US6816973B1 (en) Method and system for adaptive network security using intelligent packet analysis
US8042182B2 (en) Method and system for network intrusion detection, related network and computer program product
Lu et al. Automatic discovery of botnet communities on large-scale communication networks
Ganame et al. A global security architecture for intrusion detection on computer networks
US20150052606A1 (en) Method and a system to detect malicious software
US20030084321A1 (en) Node and mobile device for a mobile telecommunications network providing intrusion detection
US20110154492A1 (en) Malicious traffic isolation system and method using botnet information
US20030084328A1 (en) Method and computer-readable medium for integrating a decode engine with an intrusion detection system
CN110113350A (en) A kind of monitoring of Internet of things system security threat and system of defense and method
CN111131332A (en) Network service interconnection and flow acquisition, analysis and recording system
Haddadi et al. Botnet behaviour analysis: How would a data analytics‐based system with minimum a priori information perform?
Vaarandi Detecting anomalous network traffic in organizational private networks
KR20020072618A (en) Network based intrusion detection system
KR102211503B1 (en) Harmful ip determining method
KR20130033161A (en) Intrusion detection system for cloud computing service
Abudalfa et al. Evaluating performance of supervised learning techniques for developing real-time intrusion detection system
CN114172881A (en) Network security verification method, device and system based on prediction
KR101025502B1 (en) Network based detection and response system and method of irc and http botnet
Kruegel Network alertness: towards an adaptive, collaborating intrusion detection system
Watanabe et al. Performance of network intrusion detection cluster system
Kushwah et al. An approach to meta-alert generation for anomalous tcp traffic

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120111

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20140228

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20150217

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20160226

Year of fee payment: 13

LAPS Lapse due to unpaid annual fee