KR20020075319A - 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 - Google Patents

지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 Download PDF

Info

Publication number
KR20020075319A
KR20020075319A KR1020020042530A KR20020042530A KR20020075319A KR 20020075319 A KR20020075319 A KR 20020075319A KR 1020020042530 A KR1020020042530 A KR 1020020042530A KR 20020042530 A KR20020042530 A KR 20020042530A KR 20020075319 A KR20020075319 A KR 20020075319A
Authority
KR
South Korea
Prior art keywords
security
network
analysis
intelligent
pattern
Prior art date
Application number
KR1020020042530A
Other languages
English (en)
Inventor
이대형
김성철
류두천
Original Assignee
주식회사 싸이버텍홀딩스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 싸이버텍홀딩스 filed Critical 주식회사 싸이버텍홀딩스
Priority to KR1020020042530A priority Critical patent/KR20020075319A/ko
Publication of KR20020075319A publication Critical patent/KR20020075319A/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명에 따른 지능형 보안 시스템은 외부 네트워크와 내부 네트워크 사이를 연결하는 방화벽; 상기 내부 네트워크에서 유통되는 데이터 흐름 및 서버의 시스템 호출을 감시하는 복수의 보안 에이전트; 상기 복수의 보안 에이전트로부터 전달받은 경고 메시지와 트래픽 정보, 이벤트 정보를 분석하여 공격 여부를 판단하고 학습을 통해 시그너처를 생성하는 지능형 보안 엔진(ISE); 상기 ISE의 판단 결과에 기초하여 보안 정책을 상기 복수의 보안 에이전트 각각에 적용하고 관리하는 보안 정책 관리자(SPM)를 포함한다. 지능형 보안 엔진(ISE)은 보안 에이전트들로부터 전달된 탐지 메시지와 의심스러운 트래픽과 이벤트들에 대해 상관관계 분석과 원인관계 분석을 수행하고, 보안 에이전트들로부터 전달된 모든 트래픽과 이벤트에 대해 패턴 분석을 하는 패턴 분석 모듈을 포함한다. 패턴 분석 모듈은 상관관계 분석과 원인관계 분석 및 세션 정보, 원시 데이터를 이용하여 새로운 탐지 패턴을 생성한다.

Description

지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 {Intelligent Security Engine and Intelligent and Integrated Security System Employing the Same}
본 발명은 네트워크 보안 기술에 관한 것으로서, 좀 더 구체적으로는 개별 보안 에이전트들의 능동적인 상호 작용을 통한 지능형 통합 보안 시스템에 관한 것이다.
컴퓨터 네트워크 특히, 인터넷과 같은 네트워크 환경은 서로 다른 위치에 있는 다수의 접속자들에게 개방형 통신망을 제공한다. 네트워크 상의 컴퓨터는 범용성과 이진논리성을 가지는데, 범용성이란 컴퓨터 시스템이 특정 작업에만 한정되지 않고 작동 프로그램에 따라 여러 가지 작업을 하도록 프로그램될 수 있다는 것을 의미한다. 이러한 컴퓨터 시스템의 범용성과 이진논리성은 컴퓨팅을 쉽게 만든다는 장점이 있지만, 보안 측면에서는 효과적이지 못하다. 왜냐하면 프로그램할 수 있는 것은 무엇이든지 시스템 내에서 악의적인 행동(malicious activities)을 할 수 있기 때문이다. 또한, 이진논리성은 비정상적인 행동(abnormal activities)을 정확하게 탐지하는 것을 좀 더 어렵게 만든다. 이러한, 컴퓨터 시스템의 범용성과 이진논리성에 더하여, 네트워킹의 개방성은 권한없는 사용자의 접근을 구조적으로 가능하게 한다. 따라서, 이론상 어느 네트워크에 대한 가장 완벽한 보안은 그 네트워크를 다른 네트워크와 완전히 차단하는 것이다.
일반적으로 네트워크 보안은 정보가 권한없이 노출되는 것을 방지하는 비밀성(information security)과, 정보가 권한없이 수정되거나 파괴되는 것을 방지하는 정보 무결성(information integrity), 자원들의 신뢰성있는 컴퓨팅과 네트워킹 운영을 보장하는 것에 중점을 둔다. 비밀성과 정보 무결성은 트래픽의 암호화를 통해 달성될 수 있는데, 암호화는 네트워크의 각 계층에서 가능하고 소프트웨어나 하드웨어에 의해 구현될 수 있다. 자원들의 신뢰성있는 운영을 보장하는 것은 매우 어려운 작업인데, 호스트 보안과 더불어 네트워크 보안을 유지하기 위해서는 침입자를 정확하고 실시간으로 탐지하는 것이 매우 중요하다. 특히, 수많은 컴퓨터들이 개방형으로 연결되어 있는 현재의 네트워크 구조에서 네크워크를 통해 유통되는 모든 데이터 흐름을 감시하고 비정상적인 조건에 대해 실시간으로 대응하여 침입이나 공격을 정확하게 선별하는 것은 결코 쉽지 않다.
또한, 최근 침입이나 공격의 유형이 독자적인 형태에서 벗어나 네트워크를 통해 동시다발적으로 이루어지고, 우회 공격방법이 증가하며, 해킹과 바이러스 기술 영역이 통합된 형태로 발전하고 있다. 또한, 새로운 해킹 유형이 급증하고, 해킹 방법들이 조합되는 추세에 있다. 한편, 다양한 유무선 정보통신망의 융합화에 따른 통신망간의 고유성이 무너지고 정보통신 네트워크의 인터넷 수렴화가 이루어짐에 따라, 정보통신 환경에 따른 새로운 능동형/지능형 통합보안제품이 필요하다.
종래 보안 시스템은 네트워크 내의 수많은 노드의 존재로 인해 보안제품 가동시 네트워크의 성능 저하가 일어날 수 있었고, 동작 방식이 수동적인 경우가 대부분이고, 일정한 보안 정책을 기반으로 보안 관리가 이루어지므로, 사용범위가 협소하고, 보안 제품 간의 연동이 자유롭지 못하였으며, 네트워크 보안과 호스트 보안이 분리되어 관리상의 어려움이 많았다.
본 발명의 목적은 새로운 유형의 침입이나 변화된 정보통신 환경에 적합한 지능형 통합 보안 솔루션(solution)을 제공하는 것이다
본 발명의 다른 목적은 침입이나 공격을 정확하게 탐지하고 이에 따른 실시간 대응이 가능한 지능형 통합 보안 솔루션을 제공하는 것이다.
본 발명의 또 다른 목적은 개별 보안 제품을 통합적으로 운영하여 개별 보안제품의 단점을 보완함으로써 정보 보안의 효율성을 극대화할 수 있는 지능형 통합 보안 솔루션을 제공하는 것이다.
본 발명의 또 다른 목적은 에이전트 기반의 분산 보안 환경을 구현하여 네트워크의 성능 저하 없이 자동으로 네트워크 보안과 호스트 보안이 실현되도록 하는 것이다.
도 1은 본 발명에 따른 지능형 통합 보안 시스템의 전체 구조를 나타내는 블록도.
도 2는 개별 보안 시스템의 능동적인 상호 작용을 통한 본 발명 지능형 통합 보안 시스템의 작업 흐름을 나타내는 블록도.
도 3은 새로운 공격 패턴에 대한 학습 과정의 집단화 기법을 설명하기 위한 도면.
도 4는 본 발명 지능형 통합 보안 시스템에 사용하기에 적합한 지능형 보안 엔진(ISE)의 기능과 동작을 설명하기 위한 블록도.
도 5는 본 발명 지능형 통합 보안 시스템에 사용하기에 적합한 보안 관리 모듈(SPM)의 기능과 동작을 설명하기 위한 블록도.
도 6은 패턴 분석 모듈의 구성을 나타내는 블록도.
도 7은 보안 정보 패턴 분석 과정에서의 데이터 흐름을 나타내는 블록도.
도 8은 상관관계 분석 과정에서의 데이터 흐름을 나타내는 블록도.
도 9는 상관관계 분석을 통해 공격을 탐지하는 절차를 나타내는 흐름도.
도 10은 원인관계 분석 과정에서의 데이터 흐름을 나타내는 블록도.
도 11은 원인관계 분석 과정을 통해 공격을 탐지하는 절차를 나타내는 흐름도.
도 12는 본 발명에 따른 지능형 통합 보안 시스템에서 원격 FSA에 대한 시그너처 갱신 기능을 포함하는 구조를 나타내는 블록도.
<도면의 주요 부호에 대한 설명>
10: 외부 네트워크20: 방화벽(Firewall)
30: DMZ (Demilitarized Zone)
52: 지능형 보안 엔진(ISE; Intelligent Security Engine)
54: 보안 정책 관리자(SPM; Security Policy Manager)
60: 인트라넷
70: 네트워크 보안 에이전트(NSA; Network Security Agent)
72: 호스트 보안 에이전트(HSA; Host Security Agent)
74: 방화벽 보안 에이전트(FSA; Firewall Security Agent)
91: 오디트 기록 프리프로세서(Audit Records Pre-processor)
92: 탐지기(Detector)93: 패턴 분석기
95: 모델 패턴 DB97: 데이터 웨어하우스
102, 115: 네트 브로커(Net broker)
104: 보안 정보(Security Information) DB
112: GMS (Global Misuse Signature) DB
114: GNP (Global Normal Profile) DB
122: GSP (Global Security Policy) DB
124: GACM (Global )
300: 보안 센터
이러한 목적을 달성하기 위한 본 발명에 따른 지능형 보안 시스템은 외부 네트워크와 내부 네트워크 사이를 연결하는 방화벽; 상기 내부 네트워크에서 유통되는 데이터 흐름 및 서버의 시스템 호출을 감시하는 복수의 보안 에이전트; 상기 복수의 보안 에이전트로부터 전달받은 경고 메시지와 트래픽 정보, 이벤트 정보를 분석하여 공격 여부를 판단하고 학습을 통해 시그너처를 생성하는 지능형 보안 엔진(ISE); 상기 ISE의 판단 결과에 기초하여 보안 정책을 상기 복수의 보안 에이전트 각각에 적용하고 관리하는 보안 정책 관리자(SPM)를 포함한다. 지능형 보안 엔진(ISE)은 보안 에이전트들로부터 전달된 탐지 메시지와 의심스러운 트래픽과 이벤트들에 대해 상관관계 분석과 원인관계 분석을 수행하고, 보안 에이전트들로부터 전달된 모든 트래픽과 이벤트에 대해 패턴 분석을 하는 패턴 분석 모듈을 포함한다. 패턴 분석 모듈은 상관관계 분석과 원인관계 분석 및 세션 정보, 원시 데이터를 이용하여 새로운 탐지 패턴을 생성한다.
본 발명의 다른 특징에 따르면, ISE의 패턴 분석 모듈은 복수의 보안 에이전트에서 발생되는 오디트를 데이터 변환하는 프리프로세서와, 이 프리프로세서에서 변환된 데이터를 분석하여 새로운 패턴과 모델을 생성하는 패턴 분석기와, 이 패턴 분석기에서 생성한 모델을 기초로 침입을 탐지하는 탐지기를 포함한다. 또한, 상관관계 분석은 보안 에이전트들로부터 전달된 경고들의 상관관계를 분석하고, 관련된 시스템, 네트워크 접속형태(network topology), 애플리케이션 정보를 분석하며, 원인관계 분석은 복수의 보안 에이전트들로부터 전달된 의심스러운 정보에 대해 시나리오를 기반으로 이들 이벤트의 발생 원인 및 결과를 분석한다.
본 발명의 또 다른 특징에 따르면 복수의 보안 에이전트들은, 의심스러운 트래픽의 분석과 네트워크 보안 기능을 제공하는 네트워크 보안 에이전트(NSA)와 네트워크에 존재하는 서버 자체의 자원과 관련된 보안상 위험 요소에 대응하는 호스트 보안 에이전트(HSA)를 포함하여, 보안 정책 관리자(SPM)에서 전달된 보안 정책을 방화벽에 적용하여 공격자의 트래픽을 차단하는 방화벽 보안 에이전트(FSA)를 포함한다.
본 발명의 일구현예에 따르면, ISE는 패턴 분석 모델에서 비정상 행위로 탐지한 공격이 알려지지 않은 공격일 경우 학습을 통해 새로운 시그너처를 생성하는데, 학습은 예컨대, 집단화(clustering)에 의해 이루어질 수 있고, 이 집단화는 축약된 세션 정보(세션의지속 시간, 시작 시점, 종료 시점, 전달지에 받은 패킷의 수, 도달지에서 받은 패킷의 수, 종료시 TCP 플래그의 상태 정보를 포함할 수 있음)를 3차원 공간에 사상(matching)시키는 과정을 포함할 수 있다.
본 발명의 또 다른 특징에 따른 지능형 통합 보안 시스템은 ISE에서 생성된 새로운 시그너처에 대한 검증 기능을 수행하는 보안 센터가 더 포함되고, 이 보안 센터는 검증된 시그너처를 보안 센터가 포함된 네트워크 이외의 외부에 존재하는 다른 네트워크의 해당 방화벽의 FSA에도 적용할 수 있다.
실시예
이하 도면을 참조로 본 발명의 실시예에 대해 설명한다. 본 명세서에서 '침입(intrusion)' 또는 '공격(attack)'이란 자원의 무결성(integrity), 비밀성(confidentiality), 유용성(availability)을 위태롭게 하려는 일련의 행위(activity)나 이벤트(event)들의 집합을 말하고 '침입 탐지(intrusion detection)'란 외부 침입자가 시스템의 자원을 정당한 권한없이 불법적으로 사용하려는 시도 또는 내부 사용자가 자신의 권한을 오용 및 남용하는 침입 시도를 탐지하고 대응하는 것을 목적으로 하는 소프트웨어나 하드웨어 및 이들의 조합을 포함하는 의미이다.
시스템 구성
도 1은 본 발명에 다른 지능형 보안 시스템의 전체 구조를 나타내는 블록 구성도이다.
지능형 보안 시스템(100)은 네트워크로 연결된 컴퓨터 시스템 내에서 동작한다. 공중 네트워크(10)는 TCP(Transmission Control Protocol), UDP(User Datagram Protocol), IP(Internet Protocol), ARP(Address Resolution Protocol) 등의 통신 프로토콜을 기반으로 하는 개방형 통신망 예컨대, 인터넷을 포함한다. 외부 네트워크(10)와의 연결은 방화벽(20)을 통해 이루어진다. 방화벽(20)은 네트워크 게이트웨이 서버에 위치하고 있는 일련의 연관된 프로그램으로서, 다른 네트워크 사용자들로부터 내부 네트워크의 자원을 보호해 준다. 방화벽(20)은 외부인이 공개되지 않은 내부 자원에 접근하는 것을 막고, 내부 사용자들이 접속해야 할 외부의 자원들을 통제하기 위해 설치된다. 방화벽(20)은 외부로부터의 요구가 허용 가능한 도메인 이름이나 IP 주소로부터 오는 것인지를 확인한다. 이러한 방화벽은 사용기록, 보고, 침입에 따른 자동 정보 및 제어를 위한 그래픽 사용자 인터페이스(GUI; Graphic User Interface) 등의 기능을 구비하는 것이 일반적이다.
도 1에서는 방화벽(20)을 통해 내부와 외부가 직접 연결되는 것으로 나타내었는데, 방화벽(20) 외부에 스크린용 라우터를 추가로 설치할 수도 있다. 스크린용 라우터는 외부 인터넷으로부터 내부 네트워크로 들어오는 트래픽을 일차로 걸러주는 역할을 하며, 방화벽에 트래픽을 넘겨주기 전에 대부분의 입력 트래픽을 확인한다. 이 모델에서 방화벽(20)은 CPU 동작이 좀 더 많이 드는 패킷대비 검사를 한다. 방화벽(20)을 통해 보안화된 내부 네트워크는 DMZ(30; Demilitarized Zone)와 인트라넷(60)을 포함한다.
DMZ(30)는 공개 정보를 제공하는 영역인데, 고객이나 외부자들은 내부 네크워크에 직접 접속하지 않고 DMZ(30)를 통해 필요한 정보에 접근할 수 있다. 내부 정보나 데이터는 DMZ(30)와 별도의 내부 네트워크 즉, 인트라넷(60)에 저장된다. DMZ(30)는 방화벽(20)의 외부와 접속하는 데에 필요한 서버들로 구성되는데, 예컨대 외부 메일을 내부로 중계하는 메일 서버(32), 공개 정보를 제공하는 웹 서버(34), 인증 서버(36) 등을 DMZ(30) 영역에 둘 수 있다. 범용적인 공개 사용을 위한 HTTP(Hypertext Transfer Protocol), 보안 SMTP(Simple Mail Transfer Protocol), 보안 FTP(File Transfer Protocol)와 보안 텔넷과 같은 서비스를 DMZ에 전개(deploy)할 수도 있다. 모든 입력 HTTP 접속이 방화벽(20)에 의해 차단된다면, 외부 사용자는 인트라넷(60)을 돌아다닐 수 없게 된다. 외부 HTTP가 차단되고 나면, 내부 사용자(62)는 웹 서버(34)를 내부 목적만으로 사용할 수 있게 된다. DMZ(30)를 설치하기 위해서, 방화벽(20)은 3가지의 네트워크 인터페이스를 가져야 한다. 첫째 내부 네트워크로 들어가는 인터페이스, 둘째, 신뢰할 수 없는 외부 네트워크(10)로 가는 인터페이스, 마지막으로 DMZ(30)로 가는 인터페이스가 필요하다.
DMZ 영역(30)의 서버들(32, 34, 36)에는 보안 에이전트 HSA(72a, 72b, 72c)가 설치되고, DMZ 네트워크 세그먼트(30)에는 NSA(70a)가 설치된다. 한편, DMZ 영역(30)의 모든 서버에 HSA가 설치된다면 NSA(70a)를 생략하는 것도 가능하다. NSA(70)는 내부 네트워크의 트래픽과 외부에서 유입되는 트래픽을 모두 모니터링할 수 있는 위치에 설치하는 것이 바람직하다.
인트라넷(60)에는 내부 사용자 시스템(62)과 관리자 시스템(64)이 포함된다. 내부 사용자 시스템(62)을 포함하는 네트워크 세그먼트에는 NSA(70b)가 설치되고, 관리자 시스템(64)은 GUI(Graphic User Interface)를 통해 지능형 보안 관리 모듈(50)을 제어한다. 보안 관리 모듈(50)은 ISE(52)와 SPM(54)을 포함한다. 방화벽(20)에는 FSA(74a)가 설치되어 있다.
본 명세서에서, NSA(70), HSA(72), FSA(74)와 같은 에이전트(Agent)는 관리자의 개입이 없어도 정해진 스케줄에 따라 네트워크 상에서 흘러 다니는 데이터에서 특성 패턴(characteristic pattern)을 찾아서 분석·보안 업무를 자동으로 수행하며 몇몇 다른 서비스를 수행하는 프로그램의 의미로 사용한다. 에이전트는 분석한 데이터 특성 패턴에 기초하여, 보안 경고 메시지를 생성하고 이것을 통신 주체들이나 네트워크 관리자에게 전송한다.
또한, 에이전트(70, 72, 74)는 시스템 내에 설치되어 주변 환경을 감시하고 주변 환경에 영향을 주며, 다른 소프트웨어 에이전트와는 독립적인 과제(agenda)를 추구한다. 소프트웨어 에이전트를 사용하면, 전체 네트워크 시스템의 일부분을 감시하기 위하여 독립적인 개별 에이전트를 만들 수 있다는 점에서 보안 감시 상의 장점이 있다. 시스템의 서로 다른 영역을 감시하는 여러 에이전트들은 서로 협동하여 보안 감시 기능을 한다. 에이전트들은 서로 독립적이기 때문에, 에이전트를 구현하는 것이 비교적 간단하고 전체 코드 공간을 많이 요구하지 않는다. 또한, 네트워크 보안 요구에 따라 필요한 경우에는 다른 에이전트를 추가하거나, 에이전트를 삭제 또는 수정하는 것이 쉽다. 네트워크 보안을 위해 소프트웨어 에이전트를 사용하면 각각의 에이전트를 별개로 학습시킬 수 있다. 한편, 소프트웨어 에이전트는 외부 공격을 받을 수 있으므로, 에이전트에 대한 권한없는 수정이나 변경으로부터 보호하기 위해 에이전트에 암호화 보안을 적용할 수도 있다.
본 발명에 사용되는 NSA(70)와 HSA(72)는 각각 N-IDS(Network Intrusion Detection System)와 H-IDS(Host-IDS)와 연동하여 동작하며, 분석이 필요한 의심스러운 트래픽 및 알려진 공격에 대한 경보(alert)를 발하는 능동형 에이전트이다. NSA(70)는 네트워크와 관련된 보안 위험 요소에 대응하는 것으로서, 의심스러운 트래픽(traffic)의 분석 및 네트워크 보안 기능을 제공한다. HSA(72)는 네트워크 상에 존재하는 서버 자체의 자원(resource)과 관련된 보안상 위험 요소에 대응하는 에이전트이다. HSA(72)는 서버의 역할에 따른 고유한 정보를 가지고 전문화된 보안 기능을 수행하고 능동적으로 ISE의 요구에 응답하며 더 나아가 시스템 상태 및 행위의 분석 및 보안 기능을 지능적으로 수행하게 된다. 또한, NSA(70)와 HSA(72)는 ISE(52)에서 새롭게 생성된 탐지 시그너처(signature)를 적용하여 탐지 및 경고하는 기능을 수행한다. NSA(70)와 HSA(72)가 침입을 탐지하는 데에는 알려진 공격에 대하여 탐지를 수행하며 그 결과를 SPM(54)에게 알리는 오용 탐지(misuse detection) 알고리즘을 사용한다. NSA(70)는 모든 트래픽을 축약된(reduced) 형태로 가공하여 ISE(52)에 전달하며, ISE(52)는 이를 바탕으로 비정상 행위 탐지(anomaly detection)를 수행하며, HSA(72)는 모든 이벤트를 축약된 형태로 가공하여 ISE(52)에 전달하여 이 이벤트를 기초로 ISE(52)가 비정상 행위 탐지를 수행할 수 있도록 한다. NSA(70)와 HSA(72)는 예컨대, 하나의 세션이 끝날 때마다 축약된 트래픽과 이벤트를 ISE(52)에 전달한다. NSA(70)와 HSA(72)에 의해 ISE(52)로 전달되는 '의심스러운' 트래픽과 이벤트는 ISE(52)에 의해 상관관계 분석과 원인관계 분석이 이루어진다. 한편, 축약된 형태의 모든 트래픽과 이벤트는 ISE(52)에 의해 패턴 분석되는데, 이에 대해서는 후술한다.
오용 탐지는 관찰된 행동을 이미 알고 있는 침입 행동 패턴과 일치하는지 조사하는데, 이미 알려진 공격 패턴의 본질적인 특성을 파악하여 어떤 공격을 정상적인 행동과 구별할 수 있도록 공격 패턴의 특성을 표현한다. 오용 탐지에는 전문가 시스템이나 시그너처 분석, 상태전이 분석(state-transition analysis), 페트리 네트(Petri nets), 유전 알고리즘(genetic algorithm)과 같은 기법을 이용할 수 있으며, 패턴 매칭(pattern matching) 기법, 상태 정밀 검사법(stateful inspection), 규칙 기반법을 조합하여 이용할 수도 있다.
패턴 매칭 기법은 비교하려고 하는 대상이 정해진 팩터(factor)와 일치하는지를 분석하는 기법이다. 예를 들어서, 비교하려고 하는 대상이 네트워크 패킷(TCP)이고, 정해진 팩터가 패킷 길이당 100 이상이며 프로토콜은 TCP이고 TCP 플래그(Flag)는 ACK/PSH이며 가지고 있는 데이터에 'hackerTool.exe'이 포함되어 있다고 가정하자. 패턴 매칭 기법은 아래와 유사한 방법으로 각각의 네트워크 패킷을 조사한다.
if(PACKET.LEN > 100)
if(PACKET.PROTOCOL == TCP)
if(PACKET.FLAG == ACK | PSH)
if(PACKET.DATA == "hackerTool.exe")
DETECT = SUCCESS;
상태 정밀 검사법은 어떤 공격을 탐지하기 위한 목적으로 사용되기 보다는 탐지의 정확성을 보장하기 위해 사용하는데, 만약 어떤 침입 탐지 시스템이 패턴 매칭 기법에 의하여 SUCCESS_MATCHING을 했다고 가정했을 때 공격 대상이 되는 호스트가 실제로 피해를 입었는가를 알아보기 위해 세션 테이블을 조사하게 된다. 호스트가 실제 공격을 받으려면 공격 패킷 이전에 실제 공격자와 피해를 입는 호스트 사이에 세션이 이미 성립되어 있어야 하는데, 세션 테이블에 이 정보가 없다면 세션 성립이 이루어지지 않은 것이므로, 실제 공격 패킷은 피해 대상 호스트에게는 받아들여지지 않고 폐기되어 버려 아무런 영향도 줄 수 없다. 본 발명의 상태 정밀 검사법을 이용하면, 무조건 시그너처와 일치하는 네트워크 패킷이 발견되기만 하면 이를 경고하여 긍정탐지 오류가 생기던 종래 기술의 문제점을 해소할 수 있다.
비정상 행위 탐지는 객체(사용자, 프로세스, 네트워크 호스트 등)의 기대 행동을 모델화한다. 기대한 것에 부합되지 않는 행동은 모두 정상이 아닌 행동으로 간주된다. 비정상 행위 탐지는 정상적인 사용자 행동과 비정상이지만 허용가능한 행동(anomalous acceptable behaviour)과 침입적 행동을 구별할 수 있어야 한다.비정상 행위 탐지에는 프로파일 기반 탐지, 통계적 방법, 규칙 기반 탐지, 신경망 기술 등을 사용할 수 있는데, 클러스터링(clustering) 기반의 비정상 행위 탐지 또는 결정 트리(decision tree)를 이용한 기법 등을 사용하는 것이 바람직하다. 이에 대해서는 후술한다.
한편, FSA(74)는 ISE(52)와 SPM(54)의 공격 판단에 따른 새로운 보안 정책을 적용하여 방화벽이 대응하도록 하는 능동형 에이전트로서, 공격자의 트래픽을 차단하기 위해 SPM(54)으로부터 받은 정보를 방화벽(20)의 보안 정책으로 적용한다.
본 발명에 따른 지능형 보안 시스템(100)은 지능형 보안 엔진(52, ISE: Intelligent Security Engine)과 보안 정책 관리자(54, SPM: Security Policy Manager)로 구성된 지능형 보안 관리 모듈(50)을 포함한다.
ISE(52)는 개별 보안 시스템에 설치되어 있는 에이전트들로부터 전달받은 경고의 공격 여부를 분석하여 정확히 판단하고 학습을 통해 시그너처를 자체 생성하는 분석 엔진이다. ISE(52)는 에이전트들로부터 전달된 경고들의 상관관계를 분석하고, 이와 관련된 시스템, 네트워크 접속형태(network topology), 애플리케이션 정보를 분석하여 정확한 판단을 함으로써 긍정탐지 오류(false positive; 공격이 아닌데 공격이라고 탐지하는 것)를 최소화하는 상관관계 분석(correlation) 기법, 에이전트들로부터 전달된 의심스러운 정보에 대해 시나리오를 기반으로 이들 이벤트의 발생 원인을 분석함으로써 부정탐지 오류(false negative; 공격인데 공격이 아니라고 탐지하는 것)를 최소화하는 원인관계 분석(causation) 기법 및 의심스러운 정보 및 알려지지 않은 공격에 대해 자체 분석 및 학습을 통해 새로운 탐지 시그너처를 생성하는 패턴 분석 기능을 수행한다. ISE(52)와 SPM(54)은 방화벽 연동 모듈에 의해 방화벽(20)과 연동되어 설치되며, ISE(52)는 트래픽의 문제 소지 여부를 확인하는 패턴 분석 모듈과 발생 가능한 트래픽이나 이벤트를 유추할 수 있는 학습 머신을 가진다.
SPM(54)은 ISE(52)로부터 받은 판단 결과를 개별 보안 시스템에 적용하고 이를 관리하는 모듈로서, 확인된 공격에 대해서 관련 에이전트에 동적인 정책 적용을 지시하고, 호스트에서 제공하는 서비스 변동에 따른 동적인 정책 및 ISE(52)로부터 생성된 탐지 시그너처를 에이전트에 동적으로 적용한다. SPM(54)은 수집된 모든 형태의 보안이 어떻게 적용 및 관리되는 지를 결정하는 모듈로서, 보안 및 경보기 작동의 등급을 판단하고 관리한다.
작업 흐름
지금까지 설명한 것처럼, 방화벽(20), 개별 능동 에이전트 NSA(70), HSA(72), FSA(74)와 ISE(52), SPM(54) 및 보안 관리자(64)들의 능동적인 상호 연동을 통한 지능형 통합 보안 시스템에 의해 수행되는 보안 작업의 전체 흐름을 도 2에 나타낸다.
도 2를 참조하면, 침입탐지를 담당하는 에이전트 NSA(70), HSA(72)가 알려진 공격 유형 및 의심스러운 정보나 트래픽에 대한 탐지를 하고, 이를 ISE(52)와 SPM(54)에 알린다. 명백한 공격에 대한 탐지 결과를 받은 SPM(54)은 FSA(74)에 새로운 규칙을 부여하여 공격 데이터원(80)에서 오는 트래픽을 방화벽(20)이 원천 차단하도록 한다.
또한, 분석이 필요한 공격 유형 및 의심스러운 정보나 트래픽은 ISE(52)에서 이미 구축되어 있는 시나리오를 기반으로 상관관계 분석 및 원인관계 분석을 통해 공격에 대한 판단을 한다. 상관관계 분석이나 원인관계 분석으로 포섭되지 않는 공격일 경우에는 ISE(52)의 패턴 분석 모듈에서 비정상 행위 기반의 탐지 행위를 수행하고 만약 공격이라고 판단하면 이것이 알려지지 않은 공격 유형일 경우에는 학습을 통해 새로운 시그너처를 생성한다. 이렇게 생성된 시그너처는 침입탐지 에이전트인 NSA(70), HSA(72)로 전달하고, 추후 발생하는 동일한 공격 유형에 대해 신속하게 탐지할 수 있도록 한다. 새로운 패턴의 공격이 인식된 경우에도 SPM(54)을 통해 FSA(74)에 새로운 규칙을 부여하고 공격자(80)의 트래픽을 차단한다.
본 발명에서, 알려지지 않은 공격 유형에 대한 학습은 도 3에 도시한 바와 같은 집단화(clustering) 기법을 통해 이루어지며, 서비스별(HTTP, FTP, TELNET 등)로 수행된다. 집단화 기법은 세션 정보를 기준으로 하는데, 예컨대 세션의 지속 시간(duration time), 시작 시점, 종료 시점, 전달지(source)에서 받은 패킷의 수, 도달지(destination)에서 받은 패킷의 수, 종료시 TCP 플래그의 상태 등을 측정 기준값으로 하여 축약된 세션 정보를 도 3의 차원 공간에 사상(matching)시킨다. 하나의 축약된 정보를 도 3에서 하나의 점(빗금친 사각형)으로 생각하면, 대부분의 정상 세션들은 특정 집단 'n'에 위치한다. 이것을 정상 프로파일(normal profile)이라 하는데, 어떤 세션이 학습된 어느 집단에도 속하지 않거나 정상 프로파일로부터 기준치보다 더 벗어나는 곳에 위치하면 이 세션은 비정상이라고 간주한다. 이러한 집단화 과정을 알려지지 않은 공격 유형에 대한 학습 과정이라 할 수 있다.
ISE (Intelligent Security Engine)
도 4는 본 발명의 지능형 통합 보안 시스템에 사용되기에 적합한 ISE(52)의 기능과 동작을 설명하기 위한 블록도이다.
개별 보안 시스템에 설치되어 있는 에이전트들(70/72)로부터 경고(alert) 즉, 보안 정보(SI; Security Information)를 네트 브로커(102, net broker)에서 수신하여 이것을 SI 데이터베이스(104)에 저장한다. 네크 브로커는 통신중재(gateway) 및 암호화, 인증을 담당하는 구성요소로서, ISE(52)뿐만 아니라, 각각의 에이전트(SPM, HSA, NSA, GUI) 모두에 별도의 실행 모듈로서 포함되어 있다. 각각의 에이전트는 다른 에이전트와 통신할 때 원하는 정보를 네트 브로커에게 전달하며, 네트 브로커는 송신측에서 원하는 대상 에이전트에게 그 정보를 암호화하여 전달하고 수신측 네트 브로커는 받은 데이터를 복호화하여 해당 에이전트에게 전달한다. 네트 브로커(102)에서 접수한 SI 정보를 패턴 분석(106), 상관관계 분석(108), 원인관계 분석(110)하여 공격/침입 여부를 판단한다. 패턴 분석, 상관관계 분석과 원인관계 분석에 대해서는 후술한다. 분석한 결과와 보고 데이터를 생성하고, 학습을 통해 시그너처(예컨대, 새로운 유형의 오용 시그너처)를 생성하며, 새로운 유형의 정상 프로파일을 생성한다. 생성된 데이터들은 GMS(Global Misuse Signature) 데이터베이스(112)와 GNP(Global Normal Profile) 데이터베이스(114)에 저장되는 한편, 분석 결과와 경고 메시지가 네트 브로커(102)를 통해 SPM(54)으로전달된다. SPM(54)은 접수한 분석 결과에 기초하여 보안 관리 메시지를 네트 브로커(102)에게 보낸다.
(SPM) Security Policy Manager
도 5는 본 발명의 지능형 통합 보안 시스템에 사용되기에 적합한 SPM(54)의 기능과 동작을 설명하기 위한 블록도이다.
SPM(54)의 네트 브로커(115)는 ISE(52)로부터 받은 경고 메시지와 분석 결과에 기초하여 ISE(52)에게 보안 제어 메시지를 보내며, 확인된 공격에 대해서는 관련 에이전트(70/72)에게 제어 메시지를 보내 동적인 보안 정책 적용을 지시한다. 네트 브로커(115)는 시스템 콘솔(126)에게 경고 메시지와 분석 보고 데이터를 전달하고 시스템 콘솔(126)은 네트 브로커(115)에게 제어 메시지를 보낸다. 네트 브로커(115)는 오용 시그너처(MS)와 정상 프로파일(NP)을 갱신하여(116), GMS DB(112)와 GNP DB(114)에 저장하며, 보안 정책(SP)과 접근 제어 모델(ACM; Access Control Model)을 갱신하여(120), GSP(Global Security Policy) DB(122)와 GACM(Global ACM) DB(124)에 저장한다. DB(112, 114, 122, 124)에 저장된 데이터를 기초로 에이전트 제어 신호와 일치성 확인 정보를 생성하여(118) 네트 브로커(115)에 전달한다.
패턴 분석
본 발명에 따른 지능형 보안 시스템은 네트워크 트래픽과 시스템호출(system call)에 대해 패턴 분석을 하고 새로운 패턴을 생성하는 패턴 분석 모듈을 포함하는데, 도 6은 이러한 패턴 분석 모듈의 구성을 나타내는 블록도이다.
본 발명에서 패턴 분석 모듈(90)은 상관관계 분석, 원인관계 분석 결과 및 세션 정보, 원시 데이터를 이용하여 자체 분석 및 학습을 통해 새로운 탐지 패턴을 생성한다. 패턴 분석에는 공격 유형에 따라 다른 분석 기법을 적용할 수 있다. 생성된 패턴은 해당 사이트의 탐지 에이전트에 동적으로 적용하고 검증을 위해 보안 시스템의 보안 센터로 보낸다. 보안 센터(예컨대, 도 12의 '300')에 의해 검증된 새로운 패턴은 모든 탐지 에이전트에 실시간으로 갱신된다.
도 6을 참조하면, 패턴 분석 모듈(90)은 오디트 기록 프리프로세서(91, audit record pre-processor), 탐지기(92), 패턴 분석기(93)를 포함하며, 네트워크 트래픽에 대해서는 클러스터링(clustering) 기반의 비정상 행위 탐지 분석 방법과 결정 트리(decision tree)를 이용한 분석 기법을 적용한다.
오디트 기록 프리프로세서(91)는 에이전트(70/72)에서 발생되는 오디트(예컨대, 네트워크 트래픽, 시스템 호출)를 탐지기(92)와 패턴 분석기(93)가 인식할 수 있는 포맷의 데이터로 변환한다. 탐지기(92)는 패턴 분석기(93)에서 생성한 모델에 기초하여 침입을 탐지하는 역할을 한다. 패턴 분석기(93)는 프리프로세서(91)에서 받은 변환된 데이터를 분석하여 새로운 패턴 및 모델을 생성함으로써 탐지기(92)의 탐지 효율을 높이는데, 분석 기법으로는 다음과 같은 기법을 사용할 수 있다.
네트워크 트래픽에 대한 결정 트리를 이용한 비정상 행위 탐지: 정상 데이터에 대해 목적지 포트를 클래스 라벨로 한 결정 트리를 생성하여 입력 데이터의 목적지 포트와 결정 트리에서의 클래스 라벨과 비교하여 이것이 서로 다르면 공격이라고 탐지하는 기법.
네트워크 트래픽에 대한 클러스터링을 이용한 비정상 행위 탐지: 라벨되지 않은(unlabeled) 데이터를 클러스터링하여 입력 데이터가 들어오면 클러스터링에 가장 가까운 클러스트를 찾아 그 클러스트가 비정상적인 클러스트이면 공격이라고 탐지하는 기법.
도 6에서 데이터 웨어하우스(97)는 오디트 기록 프리프로세서(91)에서 생성한 변환 데이터와 패턴 분석기(93)가 생성한 패턴 및 모델을 저장하는 데이터베이스이다.
도 7은 보안 정보 패턴 분석 과정에서의 데이터 흐름을 나타내는 블록도이다. NSA(70)와 HSA(72)와 같은 개별 보안 에이전트로부터 전송된 의심스러운 이벤트와 경고 메시지는 상관관계 분석(108)과 원인관계 분석(110)에 이용되며, 세션 정보, 원시 데이터와 함께 경고 메시지는 데이터베이스(136)에 저장되어 패턴 분석(106)에 사용된다. 패턴 분석(106)에는 상관관계 분석(108)과 원인관계 분석(110)에 의한 분석 결과를 함께 사용한다. 패턴 분석 결과 생성된 새로운 패턴은 SPM(54)으로 전송된다.
상관관계 분석
본 발명에 따른 지능형 통합 보안 시스템에서 사용하는 상관관계 분석은 특정 사건을 분석할 때 하나의 이벤트로부터 어떤 결과를 예측하거나 도출할 수 없을때 관련있는 다른 이벤트를 참조하여 종합적인 분석을 수행하는 것을 의미한다.
도 8은 상관관계 분석 과정의 데이터 흐름을 나타내는 블록도이다.
NSA(70)와 HSA(72)와 같은 개별 보안 에이전트로부터 전송된 경고 메시지를 클러스터링 및/또는 필터링한다. 여기서 말하는 클러스터링은 예컨대, NSA(70)도 어떤 이벤트를 탐지하고 HSA(72)도 어떤 이벤트를 탐지한 경우, 이 이벤트들 사이의 관계에 대해 상관관계 분석을 하기 위해 이들을 모은다는 의미로, 앞에서 설명했던 패턴 분석 기법의 클러스터링과는 다른 것이다. 상관관계 분석을 위한 클러스터링은 이벤트들이 어떤 임계치를 넘지 않을 때까지 이벤트들을 집단화하는 것이며, 클러스터링과 필터링은 이벤트에 따라 독립적으로 수행될 수도 있고 종합적으로 수행될 수도 있다.
상관관계 분석(108)에는 NSA(70)와 HSA(72)로부터 받아 데이터베이스(132)에 저장되어 있는 시스템 정보, 네트워크 정보, 경고 메시지도 이용한다. 상관관계 분석(108)의 결과는 SPM(54)에 전송된다.
악의적인 목적을 가진 침입자가 타겟 네트워크(target network)의 취약한 서버에 침입하기 위해 자동화된 툴(tool)로 각 서버의 취약점을 스캔(scan)하는 경우, 본 발명에 따른 상관관계 분석의 예를 설명한다.
공격자의 공격 시나리오를 다음과 같이 예상할 수 있다. (1) 스캔 대상을 타겟 네트워크의 전체 호스트로 한다. (2) 공격 대상으로 선정하는 프로세스가 기동되고 있는지를 확인하기 위하여 해당 프로세스가 사용하는 포트가 열려있는지 확인한다. (3) 기존의 침입 탐지 시스템에 의해 탐지되는 것을 방지하기 위해 하나의호스트가 아닌 여러 호스트를 차례로 스캔한다. (4) 스캐닝 툴(scanning tool)은 FIN_SCANNER (TCP 헤더에 FIN 플래그만을 세팅하여 데이터를 보냄으로써 대상 호스트의 특정 포트가 오픈(open)되어 있는지 확인하는 도구)를 사용한다.
이러한 공격을 상관관계 분석을 통해 탐지하는 절차를 도 9에 나타낸다. 공격자가 FIN_SCANNER를 통하여 HSA가 기동되고 있는 호스트에 패킷을 보내는 순간 HSA(72a, 72b, ..., 72n)는 사전절차 없이 FIN 플래그가 세팅된 패킷이 도착하였으므로 이를 ISE(52)에게 알린다(①, ②, ③). 여기서, '사전절차'란 TCP의 경우 데이터를 주고받기 위해 거쳐야 하는 세션 성립과정을 말하는데, 정상적인 세션이라면 이 단계를 수행하지 않고서는 어떤 데이터도 주고받을 수 없다. ISE(52)는 하나의 HSA가 아닌 네트워크에서 기동되고 있는 전체 HSA로부터 같은 내용의 보고를 받는다. ISE(52)는 같은 내용의 이벤트가 여러 호스트에 걸쳐 일어나고 있는 이벤트를 일으키고 있는 주체(sender)가 동일하다는 사실을 감지한다. ISE(52)는 NSA(70)에게 HSA가 기동(running)되고 있지 않은 호스트에서도 동일한 행위가 일어나고 있는지 쿼리(query)한다(④). NSA(70)는 ISE(52)의 쿼리에 대해 응답을 주고(⑤), ISE(52)는 현재 스캔이 네트워크 전체를 대상으로 하고 있음을 확인하고 대응 행동을 수행한다(⑥).
본 발명의 상관관계 분석에 따르면 전반적인 보안감시가 가능하고 부정 탐지 오류를 최소화할 수 있다. 예컨대, GET/scripts/root.exe?/c+dir/1.0 이라는 변종 CodeRed 웜(worm)의 변종 시그너처가 있다고 가정하자. 현재 공격의 대상이 되는 시스템은 AIX 운영체제와 IBM의 'Web Sphere' 웹 서버가 돌아가고 있다. 물론 침입에 방어하기 위한 다른 툴은 설치되어 있지 않다. 그런데, CodeRed 웜은 Microsoft NT의 특정 버전과 IIS(Internet Information Server)가 운영 중인 시스템에만 영향을 미친다. 따라서, 이 경우 위의 공격 유형은 매우 치명적이지만, 공격의 대상이 되는 시스템은 CodeRed 웜에 취약하지 않다. 쉽게 말해 공격 행위가 이루어질 수 없는 것이다. 이런 경우 이 공격에 대해 침입탐지 시스템에서 경보를 준다면 이것은 부정 탐지 오류가 되는 것이다.
원인관계 분석
본 발명에 따른 지능형 통합 보안 시스템에 사용하는 원인관계 분석은 발생된 특정 결과에 대하여 그 결과를 도출한 원인을 분석함으로써 정상적인 절차에 의한 결과인가를 확인하는 분석 기법을 말한다.
도 10은 원인관계 분석 과정의 데이터 흐름을 나타내는 블록도이다.
NSA(70)와 HSA(72)에서 의심스러운 패킷 이벤트에 대한 통합 이벤트(unified event)와 데이터베이스(145)에 저장된 의심스러운 이벤트, 경고 및 시나리오를 이용하여 원인관계 분석(110)을 하며, 이렇게 분석된 결과는 SPM(54)에 전달된다.
악의적인 목적을 가진 공격자가 타겟 서버에 침투하여 후속 공격을 위하여 사용자 계정을 만드는 경우 원인관계 분석 기법을 통해 이를 탐지하는 예를 설명한다.
공격 시나리오는 다음과 같다. (1) 타겟 서버의 취약한 프로세스의 버그(bug)를 통하여 해당 호스트에 로그인한다. (2) 루트 사용자의 패스워드를 '사전 대입식 방법'을 통해 알아낸다. (3) 루트의 권한을 획득한 후 새로운 사용자 ID를 생성한다.
이 공격에 대한 원인분석 기법을 통한 탐지 과정은 도 11의 블록도로 나타낸다.
공격자가 새로운 사용자 ID를 생성하는 순간 HSA(72)는 ISE(52)에게 시스템의 중요 이벤트가 발생하였음을 알린다. HSA(72)로부터 사용자 ID 생성 이벤트를 보고 받은 ISE(52)는 먼저 루트 사용자가 정상적으로 사용자 생성 명령을 통해 작업을 했는지 확인한다(150). 사용자 생성 명령 작업이 정상적이지 않으면 대응 행동을 수행하고(152), 정상적이면 생성 명령의 작업 주체가 루트 사용자인지 확인한다(154). 작업 주체가 루트 사용자가 아니면 대응 행동을 수행하고(156), 정상적인 루트 사용자임이 확인되면 정상적인 절차를 통해 루트의 권한을 획득하였는지 확인한다(160). 루트 권한의 획득이 정상적인 절차를 거치지 않은 경우에는 대응 행동을 취하고(162), 정상적인 절차에 의한 루트 권한 획득인 경우에는 사용자가 로그인한 방법이 터미널에서 이루어진 것인지 콘솔에서 이루어진 것인지 등 로그인 경로를 확인한다(164). 로그인 경로가 콘솔인 경우에는 정상적인 이벤트인 것으로 취급하고(166), 터미널에서 이루어진 경우에는 ISE(52)는 작업을 진행한 사용자의 세션이 정상적인 텔넷 세션인지 확인한다(170). 사용자 ID의 생성 작업은 콘솔이나 텔넷 세션을 통하여 루트 사용자만이 할 수 있는 작업이므로, 콘솔이나 정상적인 텔넷 세션 이외의 로그인 경로인 경우에는 대응행동을 수행한다(168). 해당 세션이 정상적인 텔넷 세션이 아닌 경우에는 사용자 ID 생성이 특정 프로세스가 사용하는포트를 통하여 이루어진 것이므로 대응 행동을 수행하고(172), 정상적인 텔넷 세션을 통한 경우에는 정상적인 이벤트로 간주한다(174).
본 발명에 따른 원인관계 분석에 따르면, 긍정탐지 오류율을 현저하게 줄일 수 있다. 예컨대, 기존의 네트워크 IDS에서 특정 O/S 버전의 특정 데몬(daemon)이 가지고 있는 BOF 취약성을 탐지하기 위해 시그너처를 추출하여 공격 패턴으로 등록하였다고 가정하자. 또한, 실제 공격을 받은 희생 호스트(victim host)의 데몬은 코어 덤프(core dump) 파일을 생성하고 루트셸(root shell)을 공격자에게 허용하는 방식이라고 가정하자. 오용 시그너처의 특징상 실제 공격이 아닌 데이터에 대해서도 시그너처와 일치하는 부분이 존재한다면, 네트워크 IDS는 이를 경고하게 된다. 하지만, 본 발명에 따른 지능형 통합 보안 시스템에서는 시그너처와 일치하는 데이터를 발견한 경우, 공격의 결과로 희생된 것이라고 예상되는 호스트의 데몬이 공격 시점에 코어 덤프 파일을 생성하였는지를 조사하게 된다. 만약 패치 또는 기타의 이유로 데몬이 아무런 영향을 받지 않았다면 본 발명의 보안 시스템에서는 이를 무시하게 된다. 이외에도 여러 가지 분석 시나리오를 통하여 긍정탐지 오류를 줄일 수 있다.
본 발명에 따른 원인관계 분석을 이용하면, 종래 ID를 수행하는 보안 제품에서 발견하지 못하는 부정탐지 오류를 줄일 수 있다. 예를 들어서, 악의적인 목적을 가진 정상 사용자가 특정 호스트의 루트 패스워드를 알아냈다고 가정하자. 해킹이나 기타 취약성을 이용하여 획득한 패스워드가 아니고 관리자의 부주의한 언행 또는 행동으로 얻은 패스워드일 경우, 기존의 탐지 시스템은 이것을 정상적인 사용으로 간주할 것이다. 보통의 경우 시스템에 루트의 권한을 가지고 로그인한 악의적인 사용자의 경우에 하게 되는 일련의 공통된 행동을 취하게 된다. 재시도를 위하여 백도어 프로그램을 설치한다든가, 스니핑 프로그램을 설치하는 등의 경우를 예로 들 수 있다. 이 때 악의적인 사용자는 실제 관리자(Admin)에게 자신의 도구들이 탐지되는 것을 방지하기 위해 시스템에 히든 디렉토리(hidden directory)를 만들고 백도어 또는 스니핑에 필요한 프로그램들을 어디선가 (대부분 자신 소유의 호스트) 가져와서 설치하고 로그를 지워버린다. 본 발명의 지능형 통합 보안 시스템에서는 이러한 일련의 과정들의 특징을 정규화 또는 패턴화하여 기존의 보안 제품이 정상적인 행위라고 간주하는 행동에 대하여도 경고를 함으로써 부정탐지 오류를 줄일 수 있다.
원격 시그너처 갱신(Remote Signature Update)
도 12는 본 발명에 따른 지능형 통합 보안 시스템에서 원격 FSA를 포함하는 구조를 나타내는 블록도이다. 내부 네트워크(60)의 보안을 관리하는 보안 시스템(100)은 네트워크(60) 내의 FSA(74)에 적용할 새로운 시그너처를 생성한다. 생성된 시그너처는 보안 센터(300)에서 검증한다. 검증된 시그너처는 외부의 보안 네트워크(210, 220)의 FSA2(212), FSA3(232)에도 적용된다. 이와 같은 새로운 검증 시그너처의 적용 즉, 시그너처 갱신은 새로운 보안 정책으로 적용되어, 해당 방화벽(20, 210, 230)이 공격자의 트래픽을 차단하는 데에 사용된다. 따라서, 본 발명에 따르면, 개방형 네트워크(10)을 통해 연결되어 있는 원격지의 다른 인트라넷에도 본 발명의 동적인 보안 정책을 적용할 수 있다.
이상 설명한 바와 같이 본 발명에 따르면, 침입이나 공격을 정확하게 탐지하고 이에 따른 실시간 대응이 가능한 지능형 통합 보안 솔루션이 제공되고, 개별 보안 제품을 통합적으로 운영하여 개별 보안제품의 단점을 보완함으로써 정보 보안의 효율성을 극대화할 수 있다.
또한, 본 발명에 따르면, 에이전트 기반의 분산 환경 보안 시스템을 제공함으로써, 전체 시스템의 성능이 향상되고, 상관관계 분석과 원인관계 분석 등을 통해 탐지 오류를 최소화함과 동시에 지능적이고 효과적인 침입 탐지와 대응이 가능하다.
또한, 본 발명에 따르면 자체 학습 기능을 통해 시그너처를 생성하기 때문에 알려지지 않은 침입이나 공격에 대한 새로운 탐지 패턴을 동적으로 적용할 수 있으며, 시스템의 성능 모니터링을 통해 탐지 정책을 실시간으로 변경 적용할 수 있다.
이상 도면을 참조로 본 발명의 실시예를 설명하면서, 구체적인 사례와 특정 의미의 용어를 사용하였지만, 이것은 모두 설명을 위한 것이고 본 발명의 범위를 제한하거나 한정하기 위한 것이 아니다. 따라서, 이하의 특허청구범위에 기재된 바에 따라 정해지는 권리의 범위를 벗어나지 않으면서도, 앞에서 설명했던 실시예를 수정하거나 변형하는 것은 매우 다양하게 실현될 수 있다.

Claims (32)

  1. 지능형 통합 보안 시스템으로서,
    외부 네트워크와 내부 네트워크 사이를 연결하는 방화벽;
    상기 내부 네트워크에서 유통되는 데이터 흐름 및 서버의 시스템 호출을 감시하는 복수의 보안 에이전트;
    상기 복수의 보안 에이전트로부터 전달받은 경고 메시지와 트래픽 정보, 이벤트 정보를 분석하여 공격 여부를 판단하고 학습을 통해 시그너처를 생성하는 지능형 보안 엔진(ISE);
    상기 ISE의 판단 결과에 기초하여 보안 정책을 상기 복수의 보안 에이전트 각각에 적용하고 관리하는 보안 정책 관리자(SPM);을 포함하는 지능형 통합 보안 시스템.
  2. 제1항에서, 상기 ISE는 상기 복수의 보안 에이전트들로부터 전달된 탐지 메시지와 의심스러운 트래픽과 이벤트들에 대해 상관관계 분석과 원인관계 분석을 수행하는 것을 특징으로 하는 지능형 통합 보안 시스템.
  3. 제1항에서, 상기 ISE는 상기 복수의 보안 에이전트들로부터 전달된 모든 트래픽과 이벤트들에 대해 패턴 분석을 하는 패턴 분석 모듈을 포함하는 것을 특징으로 하는 지능형 통합 보안 시스템.
  4. 제2항에서, 상기 ISE는 상기 복수의 보안 에이전트들로부터 전달된 모든 트래픽과 이벤트들에 대해 패턴 분석을 하는 패턴 분석 모듈을 포함하며, 이 패턴 분석 모듈은 상기 상관관계 분석과 원인관계 분석 결과 및 세션 정보, 원시 데이터를 이용하여 새로운 탐지 패턴을 생성하는 것을 특징으로 하는 지능형 통합 보안 시스템.
  5. 제3항 또는 제4항에서, 상기 패턴 분석 모듈은, 상기 복수의 보안 에이전트에서 발생되는 오디트를 데이터 변환하는 프리프로세서와, 이 프리프로세서에서 변환된 데이터를 분석하여 새로운 패턴과 모델을 생성하는 패턴 분석기와, 이 패턴 분석기에서 생성한 모델을 기초로 침입을 탐지하는 탐지기를 포함하는 것을 특징으로 하는 지능형 통합 보안 시스템.
  6. 제3항 또는 제4항에서, 상기 패턴 분석 모듈은 네트워크 트래픽에 대한 클러스터링을 이용한 비정상 행위 탐지 기법 및 전문가 시스템을 이용하여 새로운 오용 탐지 패턴을 추출하는 기법을 사용하는 것을 특징으로 하는 지능형 통합 보안 시스템.
  7. 제2항에서, 상기 상관관계 분석은 상기 복수의 보안 에이전트들로부터 전달된 경고들의 상관관계를 분석하고, 관련된 시스템, 네트워크 접속형태(networktopology), 애플리케이션 정보를 분석하는 것을 특징으로 하는 지능형 통합 보안 시스템.
  8. 제2항에서, 상기 원인관계 분석은 상기 복수의 보안 에이전트들로부터 전달된 의심스러운 정보에 대해 시나리오를 기반으로 이들 이벤트의 발생 원인 및 결과를 분석하는 것을 특징으로 하는 지능형 통합 보안 시스템.
  9. 제1항에서, 상기 복수의 보안 에이전트는 의심스러운 트래픽의 분석과 네트워크 보안 기능을 제공하는 네트워크 보안 에이전트(NSA)와 네트워크에 존재하는 서버 자체의 자원과 관련된 보안상 위험 요소에 대응하는 호스트 보안 에이전트(HSA)를 포함하는 것을 특징으로 하는 지능형 통합 보안 시스템.
  10. 제1항 또는 제9항에서, 상기 복수의 보안 에이전트는 상기 SPM에서 전달된 보안 정책을 상기 방화벽에 적용하여 공격자의 트래픽을 차단하는 방화벽 보안 에이전트(FSA)를 포함하는 것을 특징으로 하는 지능형 통합 보안 시스템.
  11. 제9항에서, 상기 NSA와 HSA는 알려진 공격에 대한 오용 탐지를 수행하며, 모든 트래픽과 이벤트를 상기 ISE에게 전달하는 것을 특징으로 하는 지능형 통합 보안 시스템.
  12. 제11항에서, 상기 오용 탐지에는 전문가 시스템, 시그너처 분석, 상태전이 분석, 페트리 네트, 유전 알고리즘, 패턴 매칭 기법, 상태정밀 검사법, 규칙 기반법이 이용되는 것을 특징으로 하는 지능형 통합 보안 시스템.
  13. 제12항에서, 상기 패턴 매칭 기법은 비교하려는 대상이 정해진 패턴과 일치하는지 조사하는 것을 특징으로 하는 지능형 통합 보안 시스템.
  14. 제12항에서, 상기 상태 정밀 검사법은 타겟 호스트가 실제 피해를 입었는지를 조사하기 위해 세션 테이블을 조사하는 것을 특징으로 하는 지능형 통합 보안 시스템.
  15. 제3항 또는 제4항에서, 상기 ISE의 비정상 행위 탐지에는 프로파일 기반 탐지, 통계적 방법, 규칙 기반 탐지, 신경망 기술, 클러스터링 기반, 결정 트리를 이용한 기법이 사용되는 것을 특징으로 하는 지능형 통합 보안 시스템.
  16. 제3항 또는 제4항에서, 상기 ISE는 패턴 분석 모듈이 비정상 행위 탐지(anomaly detection)로 판단한 공격이 알려지지 않은 공격일 경우 학습을 통해 새로운 시그너처를 생성하는 것을 특징으로 하는 지능형 통합 보안 시스템.
  17. 제16항에서, 상기 학습은 집단화(clustering)에 의해 이루어지고, 집단화는축약된 세션 정보를 3차원 공간에 사상(matching)시키는 과정을 포함하는 것을 특징으로 하는 지능형 통합 보안 시스템.
  18. 제17항에서, 상기 세션 정보는 세션의 지속 시간, 시작 시점, 종료 시점, 전달지에서 받은 패킷의 수, 도달지에서 받은 패킷의 수, 종료시 TCP 플래그의 상태 정보를 포함하는 것을 특징으로 하는 지능형 통합 보안 시스템.
  19. 제7항에서, 상기 상관관계 분석은 이벤트들이 어떤 임계치를 넘을 때까지 이벤트들을 집단화하는 클러스터링(clustering) 기법을 이용하는 것을 특징으로 하는 지능형 통합 보안 시스템.
  20. 지능형 통합 보안 시스템으로서,
    외부 네트워크와 내부 네트워크 사이를 연결하는 방화벽;
    의심스러운 트래픽을 분석하여 네트워크와 관련된 보안 위험 요소에 대응하도록 네트워크 보안 기능을 제공하는 네트워크 보안 에이전트(NSA);
    네트워크에 존재하는 서버 자체의 자원을 보호하고 시스템의 상태 및 행위를 분석하는 호스트 보안 에이전트(HSA);
    상기 HSA와 NSA로부터 전달받은 경고 메시지와 트래픽 정보, 이벤트 정보를 분석하여 공격 여부를 판단하고 학습을 통해 새로운 시그너처를 생성하는 지능형 보안 엔진(ISE);
    상기 ISE의 판단 결과에 기초하여 보안 정책을 상기 복수의 보안 에이전트 각각에 적용하고 관리하는 보안 정책 관리자(SPM); 및
    상기 SPM에서 전달된 보안 정책을 상기 방화벽에 적용하여 공격자의 트래픽을 차단하는 방화벽 보안 에이전트(FSA);를 포함하며,
    상기 ISE는 상기 NSA와 HSA로부터 전달된 의심스러운 트래픽과 이벤트에 기초하여 상관관계 분석과 원인관계 분석을 수행하며, 상기 NSA와 HSA로부터 전달된 축약된 형태의 모든 트래픽과 이벤트에 대해 패턴 분석을 수행하는 것을 특지으로 하는 지능형 통합 보안 시스템.
  21. 제20항에서, 상기 패턴 분석은 결정 트리를 이용하여 비정상 행위를 탐지하는 것을 특징으로 하는 지능형 통합 보안 시스템.
  22. 제20항에서, 상기 패턴 분석은 클러스터링을 이용하여 비정상 행위를 탐지하는 것을 특징으로 하는 지능형 통합 보안 시스템.
  23. 제20항 또는 제22항에서, 상기 패턴 분석은 전문가 시스템을 이용한 오용 탐지하는 것을 특징으로 하는 지능형 통합 보안 시스템.
  24. 제20항에서, 상기 ISE에서 생성된 새로운 시그너처에 대한 검증 기능을 수행하는 보안 센터를 더 포함하는 것을 특징으로 하는 지능형 통합 보안 시스템.
  25. 제24항에서, 상기 보안 센터는 검증된 시그너처를 상기 네트워크의 외부에 존재하는 다른 네트워크의 해당 방화벽의 FSA에 적용하는 것을 특징으로 하는 지능형 통합 보안 시스템.
  26. 지능형 보안 엔진(ISE)으로서,
    보안 에이전트로부터 축약된 형태의 모든 트래픽과 이벤트를 수신하며, 보안 에이전트로부터 의심스러운 트래픽과 이벤트를 수신하는 수단과,
    상기 수신 수단에서 받은 의심스러운 트래픽과 이벤트에 대한 상관관계과 원인관계 분석을 수행하는 수단과,
    상기 축약된 형태의 모든 트래픽과 이벤트에 대해 패턴 분석을 하는 패턴 분석 모듈과,
    상기 상관관계 분석, 원인관계 분석 및 패턴 분석 결과에 기초하여 새로운 시그너처를 생성하는 수단과,
    상기 상관관계 분석, 원인관계 분석 및 패턴 분석 결과에 기초하여, 공격이 존재하는지를 판단하는 수단과,
    상기 판단 결과와 새로운 시그너처를 보안 정책 관리자로 전달하는 수단을 포함하는 지능형 보안 엔진.
  27. 제26항에서, 발생 가능한 트래픽이나 이벤트를 유추하는 학습 머신을 더 포함하는 것을 특징으로 하는 지능형 보안 엔진.
  28. 제27항에서, 상기 학습 머신은 세션 정보를 3차원 공간에 사상(match)시키고, 세션 정보를 클러스터로 집단화하는 것을 특징으로 하는 지능형 보안 엔진.
  29. 제26항에서, 상기 패턴 분석 모듈은, 복수의 보안 에이전트에서 생성된 오디트를 데이터 변환하는 프리프로세서와, 프리프로세서에서 받은 상기 변환된 데이터를 분석하여 새로운 패턴과 모델을 생성하는 패턴 분석기와, 패턴 분석기에서 생성한 모델에 기초하여 침입을 탐지하는 탐지기를 포함하는 것을 특징으로 하는 지능형 보안 엔진.
  30. 제29항에서, 상기 패턴 분석 모듈은 네트워크 트래픽에 대해 클러스터링을 이용한 비정상 행위 탐지 분석과 전문가 시스템을 이용한 오용 탐지 패턴 생성을 하는 것을 특징으로 하는 지능형 보안 엔진.
  31. 제26항에서, 상기 상관관계 분석은 복수의 보안 에이전트로부터 전송된 경고 메시지들 사이의 상관관계를 분석하고, 관련된 시스템 정보, 네트워크 접속형태와 애플리케이션 정보를 조사하는 것을 특징으로 하는 지능형 보안 엔진.
  32. 제26항에서, 상기 원인관계 분석은 복수의 보안 에이전트로부터 전달된 의심스러운 정보에 대해 시나리오를 기반으로 이벤트의 발생 원인과 결과를 분석하는 것을 특징으로 하는 지능형 보안 엔진.
KR1020020042530A 2002-07-19 2002-07-19 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 KR20020075319A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020020042530A KR20020075319A (ko) 2002-07-19 2002-07-19 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020020042530A KR20020075319A (ko) 2002-07-19 2002-07-19 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템

Publications (1)

Publication Number Publication Date
KR20020075319A true KR20020075319A (ko) 2002-10-04

Family

ID=27727372

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020020042530A KR20020075319A (ko) 2002-07-19 2002-07-19 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템

Country Status (1)

Country Link
KR (1) KR20020075319A (ko)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100449476B1 (ko) * 2002-10-01 2004-09-22 한국정보보호진흥원 오용행위와 비정상행위 통합 판정 기능을 갖는 계층구조의통합침입탐지시스템 및 방법
KR100464598B1 (ko) * 2002-08-03 2005-01-03 한국정보보호진흥원 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지시스템 및 방법
KR100611741B1 (ko) * 2004-10-19 2006-08-11 한국전자통신연구원 네트워크 침입 탐지 및 방지 시스템 및 그 방법
KR100738550B1 (ko) * 2006-01-16 2007-07-11 삼성전자주식회사 유전자 알고리즘을 응용한 네트워크 침입 감지 시스템 및그 방법
KR100800370B1 (ko) * 2003-05-30 2008-02-04 인터내셔널 비지네스 머신즈 코포레이션 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치
KR100825241B1 (ko) * 2003-05-02 2008-04-25 기리테크 아크티에 셀스카브 이동식 지능형 데이터 캐리어를 통한 동적 데이터그램스위치, 및 온-디맨드 인증 및 암호화 방식에 의해가능해지는 퍼베이시브 사용자 중심 네트워크 보안
KR100907824B1 (ko) * 2006-12-01 2009-07-14 한국전자통신연구원 보안 모듈을 이용한 네트워크 및 서비스 보안 개선 방법 및장치
KR100910761B1 (ko) * 2006-11-23 2009-08-04 한국전자통신연구원 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템
KR101045362B1 (ko) * 2002-11-07 2011-06-30 팁핑포인트 테크놀러지스 인코포레이티드 능동 네트워크 방어 시스템 및 방법
KR101282297B1 (ko) * 2012-03-20 2013-07-10 박상현 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안장치 및 방법
KR101498647B1 (ko) * 2014-01-21 2015-03-11 (주)우산씨앤씨 보안관리 시스템 및 이를 이용한 보안 관리 방법
KR20190044435A (ko) * 2017-10-20 2019-04-30 주식회사 인텐트시큐어 보안 위험 탐지 시스템 및 방법
CN115189947A (zh) * 2022-07-11 2022-10-14 万申科技股份有限公司 一种基于大数据的通信安全监测系统

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100464598B1 (ko) * 2002-08-03 2005-01-03 한국정보보호진흥원 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지시스템 및 방법
KR100449476B1 (ko) * 2002-10-01 2004-09-22 한국정보보호진흥원 오용행위와 비정상행위 통합 판정 기능을 갖는 계층구조의통합침입탐지시스템 및 방법
KR101045362B1 (ko) * 2002-11-07 2011-06-30 팁핑포인트 테크놀러지스 인코포레이티드 능동 네트워크 방어 시스템 및 방법
KR101111433B1 (ko) * 2002-11-07 2012-02-17 팁핑포인트 테크놀러지스 인코포레이티드 능동 네트워크 방어 시스템 및 방법
KR100825241B1 (ko) * 2003-05-02 2008-04-25 기리테크 아크티에 셀스카브 이동식 지능형 데이터 캐리어를 통한 동적 데이터그램스위치, 및 온-디맨드 인증 및 암호화 방식에 의해가능해지는 퍼베이시브 사용자 중심 네트워크 보안
KR100800370B1 (ko) * 2003-05-30 2008-02-04 인터내셔널 비지네스 머신즈 코포레이션 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치
KR100611741B1 (ko) * 2004-10-19 2006-08-11 한국전자통신연구원 네트워크 침입 탐지 및 방지 시스템 및 그 방법
KR100738550B1 (ko) * 2006-01-16 2007-07-11 삼성전자주식회사 유전자 알고리즘을 응용한 네트워크 침입 감지 시스템 및그 방법
KR100910761B1 (ko) * 2006-11-23 2009-08-04 한국전자통신연구원 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템
KR100907824B1 (ko) * 2006-12-01 2009-07-14 한국전자통신연구원 보안 모듈을 이용한 네트워크 및 서비스 보안 개선 방법 및장치
KR101282297B1 (ko) * 2012-03-20 2013-07-10 박상현 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안장치 및 방법
KR101498647B1 (ko) * 2014-01-21 2015-03-11 (주)우산씨앤씨 보안관리 시스템 및 이를 이용한 보안 관리 방법
KR20190044435A (ko) * 2017-10-20 2019-04-30 주식회사 인텐트시큐어 보안 위험 탐지 시스템 및 방법
CN115189947A (zh) * 2022-07-11 2022-10-14 万申科技股份有限公司 一种基于大数据的通信安全监测系统
CN115189947B (zh) * 2022-07-11 2023-11-28 万申科技股份有限公司 一种基于大数据的通信安全监测系统

Similar Documents

Publication Publication Date Title
US20040015719A1 (en) Intelligent security engine and intelligent and integrated security system using the same
EP1461927B1 (en) A method and system for modelling, analysis, and display of network security events
US8176544B2 (en) Network security system having a device profiler communicatively coupled to a traffic monitor
US8108930B2 (en) Secure self-organizing and self-provisioning anomalous event detection systems
US8631496B2 (en) Computer network intrusion detection
US8230505B1 (en) Method for cooperative intrusion prevention through collaborative inference
US8931077B2 (en) Security system for a computer network having a security subsystem and a master system which monitors the integrity of a security subsystem
US20040193943A1 (en) Multiparameter network fault detection system using probabilistic and aggregation analysis
US20030188189A1 (en) Multi-level and multi-platform intrusion detection and response system
US20030110392A1 (en) Detecting intrusions
JP2008508805A (ja) 電子トラフィックを特徴づけ、管理するシステムおよび方法
White et al. Cooperating security managers: Distributed intrusion detection systems
KR20020075319A (ko) 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템
WO2004051929A1 (fr) Systeme de plate-forme de verification pour processus d&#39;application base sur des composantes
Nazer et al. Current intrusion detection techniques in information technology-a detailed analysis
KR20020072618A (ko) 네트워크 기반 침입탐지 시스템
Patil et al. Analysis of distributed intrusion detection systems using mobile agents
KR20130033161A (ko) 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템
Limmer et al. Survey of event correlation techniques for attack detection in early warning systems
CN118337540B (zh) 一种基于物联网的网络入侵攻击识别系统及方法
Gomathi et al. Identification of Network Intrusion in Network Security by Enabling Antidote Selection
Ghorbani et al. Data collection
KR20040083746A (ko) 보안 침해 사고 대응을 위한 보안 콜센터 운영 방법 및 그시스템
CN118200016A (zh) 一种基于设备指纹的资产监控方法
Flizikowski et al. The INTERSECTION framework: applied security for heterogeneous networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application