KR20030010263A - 다단계 침입 탐지 엔진 - Google Patents

다단계 침입 탐지 엔진 Download PDF

Info

Publication number
KR20030010263A
KR20030010263A KR1020010045151A KR20010045151A KR20030010263A KR 20030010263 A KR20030010263 A KR 20030010263A KR 1020010045151 A KR1020010045151 A KR 1020010045151A KR 20010045151 A KR20010045151 A KR 20010045151A KR 20030010263 A KR20030010263 A KR 20030010263A
Authority
KR
South Korea
Prior art keywords
engine
intrusion detection
network
intrusion
data
Prior art date
Application number
KR1020010045151A
Other languages
English (en)
Other versions
KR100434205B1 (ko
Inventor
이충우
Original Assignee
펜타시큐리티시스템 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 펜타시큐리티시스템 주식회사 filed Critical 펜타시큐리티시스템 주식회사
Priority to KR10-2001-0045151A priority Critical patent/KR100434205B1/ko
Publication of KR20030010263A publication Critical patent/KR20030010263A/ko
Application granted granted Critical
Publication of KR100434205B1 publication Critical patent/KR100434205B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 침입 탐지 엔진에 관한 것으로 본 발명의 침입 탐지 엔진은 침입으로 판단되는 데이터 패턴을 갖는 다수의 규칙들이 저장되어 있으며, 침입 탐지 자료에서 규칙 내의 동일한 패턴을 검출하는 네트워크용 1차 엔진 및 호스트용 1차 엔진과; 침입으로 판단되는 규칙들의 조합들이 저장되어 있으며, 네트워크용 1차 엔진 및 호스트용 1차 엔진에서 침입 탐지 자료와 동일한 패턴을 갖는다고 판단된 규칙들이 상기 조합들에 해당하는가를 판단하는 네트워크용 2차 엔진 및 호스트용 2 차 엔진과; 네트워크용 2차 엔진 및 호스트용 2차 엔진의 판단 정보를 이용하여 침입 여부를 탐지하는 3차 엔진을 구비한다.
이와 같이 본 발명의 다단계 침입 탐지 엔진은 호스트와 네트워크 침입을 함께 탐지할 수 있는 구조를 제공하므로 호스트 또는 네트워크 중 하나에 의한 침입 탐지만으로는 탐지할 수 없는 복잡한 침입을 탐지할 수 있다는 효과가 있다. 또한 본 발명은 2 차 엔진이 1차 엔진의 침입 탐지 결과를 이용하므로 시스템의 부하를 낮추며 탐지의 정확성을 높일 수 있는 효과가 있다.

Description

다단계 침입 탐지 엔진{MULTI-LAYERED INTRUSION DETECTION ENGINE}
본 발명은 침입 탐지 엔진에 관한 것으로 더욱 상세하게는 침입 탐지 엔진을 다단계로 구성하여 침입 여부를 정확히 판단할 수 있게 한 다단계 침입 탐지 엔진에 관한 것이다.
내부인 혹은 외부인에 의해 발생하는 시스템 및 네트워크 침입들을 다루는데 있어서 기존 보안 시스템과는 다르게 침입을 즉각적으로 탐지하여 보고 및 대처하는 기술이 요구되고 있다. 침입 탐지 시스템은 이러한 신기술을 이용하여 각종 침입 행위들을 자동으로 탐지, 보고, 대응하는 보안 시스템이다.
침입 탐지 시스템은 자료 수집원에 따라 크게 세 가지 모델로 구분할 수 있는데, 호스트에서 생성된 감사 자료를 침입 탐지에 사용하는 호스트 기반(Host based) 침입 탐지 시스템과 네트워크 패킷을 침입 탐지에 사용하는 네트워크 기반 침입 탐지 시스템(Network based) 그리고 상술한 두 개 모델 즉 호스트 기반 침입 시스템 및 네트워크 기반 침입 탐지 시스템을 함께 지원하는 하이브리드 타입 침입 탐지 시스템이 그것이다.
호스트 기반 침입 탐지 시스템은 호스트(시스템)로부터 생성되고 모아진 감사 자료를 침입 탐지에 사용하는 침입 탐지 시스템을 말한다. 특히 여러 호스트로부터 수집된 감사 자료를 사용하는 시스템은 다중 호스트 기반(multi-host based)이라고 한다. 호스트 기반 침입 탐지 시스템은 사용자 명령어와 기본 로그 파일만을 사용하는 단순한 것에서부터 시스템 콜 수준의 커널 감사 자료를 사용하는 것까지 다양하게 존재한다. 커널 감사 자료라 함은 시스템에서 C2 레벨의 보안 요구 사항을 만족시키기 위해서 시스템 콜 레벨의 모든 정보들을 파일로 남기는데 이러한 데이터들을 커널 감시 데이터라 한다.
네트워크 기반 침입 탐지 시스템은 네트워크 패킷 데이터를 분석하여 침입 탐지에 사용하는 침입 탐지 시스템을 말하는 것으로 프로미스큐어스(Promiscuous) 모드로 동작하여 지나가는 패킷의 헤더와 데이터를 수집하여 침입 여부를 판단한다. 프로미스큐어스 모드란 자기 자신이 목적지(destination)가 아닌 모든 패킷을 모니터링하는 모드를 말한다. 네트워크 기반 탐지 시스템은 대부분 TCP/IP를 사용하는 이더넷(Ethernet)을 주 대상으로 하며 ATM, FDDI 등을 지원하는 침입 탐지 시스템도 있다.
하이브리드 타입 침입 탐지 시스템은 호스트 기반과 네트워크 기반의 침입 탐지 시스템을 혼합한 침입 탐지 시스템으로 호스트의 감사 자료와 네트워크 패킷을 함께 사용하는 것으로 양대 모델의 장점을 최대한 활용할 수 있는 모델로 각광 받고 있다.
상술한 호스트 기반의 침입 탐지 시스템은 네트워크 기반 침입 탐지 시스템이 탐지할 수 없는 침입을 탐지하며, 시스템 이벤트 감시를 통하여 정확하게 침입을 탐지할 수 있다. 또한 추가적인 하드웨어가 불필요하고 다양한 대응 방법을 실행할 수 있으며, 암호화/스위치 환경에 적합하다는 장점이 있다. 반면에 시스템마다 설치해야 하므로 다양한 OS를 지원해야 한다는 단점이 있다. 또한 각각의 호스트 시스템에 침입 탐지 시스템이 작동하므로 각 시스템의 부하가 가중된다는 단점이 있다.
네트워크 기반의 침입 탐지 시스템은 트래픽을 감시할 수 있는 몇몇 위치에만 설치하므로 초기 구축 비용이 저렴하며, 네트워크를 통한 공격 탐지에 강하다는 장점을 갖는다. 또한 OS에 독립적이므로 구현 및 관리가 쉽고 침입 시도를 알 수 있으며 캡쳐된 트래픽에 대해서는 침입자가 흔적을 제거하기 어렵다는 장점이 있다. 그러나, 이 시스템에서는 암호화된 패킷은 분석할 수 없으며, 스위치 환경에서는 호스트 기반보다 구축 비용이 높다는 문제가 있다. 또한, 현재까지는 기가비트(Gigabit)급의 고속 네트워크에서는 패킷 손실(packet loss)이 많다는 문제가 있다.
하이브리드 타입의 침입 탐지 시스템은 상술한 바와 같이 양대 모델의 장점을 극대화하고 단점을 최소화하기 위한 것으로, 호스트 기반의 침입 탐지 시스템과 네트워크 기반의 침입 탐지 시스템을 하나의 시스템으로 구현한 것이다. 이 시스템은 두 모델 즉 호스트 기반의 침입 탐지 시스템과 네트워크 기반의 침입 탐지 시스템을 단순히 콘솔 수준에서 통합한 제품에서부터 두 모델을 하나의 엔진으로 구현한 제품까지 다양하게 존재하나 아직 그 수는 많지 않다. 하이브리드 침입 탐지 시스템은 양대 모델을 지원하므로 적재 적소에 요구되는 침입 탐지 시스템 모델을 설치, 운용하므로 탐지 및 대응 효과를 극대화할 수 있어 침입 탐지 시스템이 나아가야 할 최종 목표로 많은 연구가 진행되고 있다.
본 발명은 상술한 연구 경향에 맞추어 안출한 것으로 본 발명의 목적은 하이브리드 침입 탐지 시스템의 엔진을 3단계로 구성하여 침입 탐지의 영역을 확대하고, 침입 탐지 시스템이 설치된 각각의 호스트의 부하를 효율적으로 감소시키며 침입 탐지의 정확도를 향상시킨 다단계 침입 탐지 엔진을 제공하는데 있다.
이러한 목적을 달성하기 위하여 본 발명은, 다단계 침입 탐지 엔진으로, 침입으로 판단되는 데이터 패턴을 갖는 다수의 규칙들이 저장되어 있으며, 침입 탐지 자료에서 상기 규칙 내의 동일한 패턴을 검출하는 1차 엔진과; 침입으로 판단되는 규칙들의 조합들이 저장되어 있으며, 상기 1차 엔진에서 침입 탐지 자료와 동일한 패턴을 갖는 규칙들이 상기 조합들에 해당하는가를 판단하는 2차 엔진과; 상기 2차 엔진의 판단 정보를 이용하여 침입 여부를 탐지하는 3차 엔진을 구비한다.
도 1은 본 발명에 따른 다단계 침입 탐지 엔진의 블록도,
도 2는 본 발명에 따른 다단계 침입 탐지 엔진 내 1차 엔진의 작동을 설명하는 구성도,
도 3은 본 발명에 따른 다단계 침입 탐지 엔진 내 2차 엔진과 동일한 작동을 행하기 위한 엔진의 작동 구성도,
도 4는 본 발명에 따른 다단계 침입 탐지 엔진 내 2차 엔진의 작동을 설명하는 구성도,
도 5는 본 발명에 따른 다단계 침입 탐지 엔진의 작동 흐름도.
<도면의 주요부분에 대한 부호의 설명>
10 : 침입 탐지 엔진 11 : 1차 엔진
12 : 2차 엔진 13 : 3차 엔진
21, 23 : 축약 데이터 생성부 30 : 네트워크 인터페이스
40 : 커널 감사 데이터 생성기 111 : 네트워크용 1차 엔진
112 : 호스트용 1차 엔진 121 : 네트워크용 2차 엔진
122 : 호스트용 2차 엔진
이하, 첨부 도면을 참조하여 본 발명의 실시예를 상세히 설명한다.
도 1에는 본 발명을 행하는 침입 탐지 엔진의 작동 블록도가 도시되어 있다. 도시된 바와 같이 본 발명의 침입 탐지 엔진(10)은 1, 2, 3차 엔진(11,12,13)으로 구성되며, 1차 엔진(11)은 제 1 및 제 2 축약 감사 데이터 생성부(21, 23)에 연결되어 있다. 제 1 및 제 2 축약 감사 데이터 생성부(21, 23)는 네트워크 인터페이스(30)와 커널 감사 데이터 생성기(40)로부터 제공되는 감사 데이터를 축약 및 정형하여 축약 감사 데이터 즉 SPDF(Standardized Packet Data Format) 및 SADF(Standardized Audit Data Format)를 생성한다. 감사 데이터를 축약, 정형화하는 이유는 네트워크 인터페이스(30)의 패킷 량이 방대할 뿐만 아니라 모든 데이터가 침입과 관련된 것이 아니기 때문이다. 또한 커널 감사 데이터 생성기(40)로부터수집되는 감사 자료가 OS에 따라 독자적인 형식으로 구성될 뿐만 아니라 그 량이 매우 방대하며 모든 데이터가 침입에 관련 된 것은 아니므로 탐지의 효율성을 높이기 위해서이다.
침입 탐지 엔진(10) 내의 1차 엔진(11)은 도시된 바와 같이 네트워크용 1차 엔진(111)과 호스트용 1차 엔진(112)를 구비하며, 네트워크용 1차 엔진(111)은 제 1 축약 감사 데이터 생성부(21)로부터의 축약 감사 데이터를 이용하여 비교적 간단하게 침입 여부를 판단한다. 호스트용 1차 엔진(112) 역시 제 2 축약 감사 데이터 생성부(22)로부터의 축약 감사 데이터를 이용하여 비교적 간단한 침입을 판단한다.
침입 탐지 엔진(10) 내의 2차 엔진(12)은 네트워크용 2차 엔진(121)과 호스트용 2차 엔진(122)을 구비하며, 네트워크용 2차 엔진(121)은 네트워크용 1차 엔진(111)으로부터의 자료를 이용하여 보다 복잡한 침입을 정밀하게 탐지하고 호스트용 2차 엔진(122)는 호스트용 2차 엔진(112)로부터의 자료를 이용하여 보다 복잡한 침입을 정밀하게 탐지한다.
제 3 차 엔진(13)은 네트워크용 1, 2차 엔진(111, 121) 및 호스트용 1, 2차 엔진(112, 122)으로부터의 자료를 이용하여 복합적으로, 즉 호스트 및 네트워크상의 정보를 이용하여 침입 여부를 탐지하는 구성을 갖는다.
이하에서는 상술한 제 1 내지 제 3 엔진(11-13)의 침입 탐지의 작동 상태에 대하여 설명한다.
제 1 엔진(11)은 상술한 바와 같이 간단한 침입 여부를 탐지하기 위한 것이며 간단한 침입은 하나의 데이터 또는 반복적인 여러 데이터를 이용한 침입을 말한다. 1차 엔진(11)에서는 이러한 침입을 패턴 매칭 기술을 이용하여 탐지한다.
도 2에는 패턴 매칭 기술을 이용하여 침입을 탐지하는 제 1 차 엔진(11)의 작동 원리가 도시되어 있다. 패턴 매칭 기술의 일 예로는 네트워크 탐색 엔진에서 사용하는 스트링 매칭이라는 기술을 들 수 있다. 네트워크 인터페이스에서는 네트워크 패킷의 헤더와 패킷 데이터를 프로미스큐어스 모드로 읽어 내는데 패킷 데이터에 특정 스트링이 포함되어 있으면 침입으로 판단하는 방법을 스트링 매칭이라 한다.
도 2에 도시된 바와 같이 패턴 매칭 기술을 위하여 1차 엔진(111)(예컨대 네트워크용 1차 엔진(111) 또는 호스트용 1차 엔진(112)가 될 수 있으나 본 명세서에서는 설명의 편이를 위하여 네트워크용 1차 엔진(111)의 경우에 대해서만 설명한다.) 내에는 침입 여부를 감시하기 위한 다수의 규칙(R1-R5 : 본 실시예에서는 4개의 규칙만을 도시하였으나 필요에 따라 그 수는 증감될 것이다.)들이 메모리(M1-M5)에 각각 저장되어 있다. 메모리(M1)에는 규칙(R1)의 패턴(ααα )이 저장되어 있고, 메모리(M2)에는 규칙(R2)의 패턴(βββ)이 저장되어 있으며, 메모리(M3)에는 규칙(R3)의 패턴(γγγ)이 저장되어 있고, 메모리(M4)에는 규칙(R4)의 패턴(δδδ)이 저장되어 있으며, 메모리(M5)에는 규칙(R5)의 패턴(φφφ)이 저장되어 있다.
한편, 제1 축약 데이터 생성부(21)는 정형화된 침입 탐지 자료(AbCeVαααGxSE.....)를 제공하며, 네트워크용 1차 엔진(111)은 규칙(R1, R2, R3, R4, R5)에 해당하는 패턴이 침입 탐지 자료(AbCeVαααGxSE.....)에 있는가를 감시한다. 상술한 예에서는 침입 탐지 자료(AbCeVαααGxSE.....) 내에 규칙(R1)에 해당하는 (ααα)의 패턴이 있으므로 이를 탐지하여 침입으로 탐지한다.
이와 같이 1차 엔진(11)은 하나의 데이터 또는 반복적인 여러 데이터를 통한 단순한 보안 위반 사건들을 탐지한다.
하나의 데이터 또는 반복적인 여러 데이터를 통한 보안 위반 사건을 탐지할 수 있는 실제 침입 예로는 HTTP_ATTACK와 PORT_SCAN의 경우를 들 수 있다. HTTP_ATACK는 cgi, lis, front page 등에 존재하는 취약성을 이용하여 공격하는 행위를 말하는 것으로 TCP 프로토콜로 공격 대상의 특정 포트로 입력되는 패킷의 데이터를 상술한 스트링 매칭 방법을 이용하여 설정된 패턴과 비교하여 침입 여부를 판단한다.
PORT_SCAN은 네트워크 패킷을 이용하여 원격지에서 포트를 검색하는 공격을 말한다. 이 공격 방법에서는 하나의 출발지 주소인 IP를 가지고 공격 대상이 서로 다른 여러 포트에 접근하여 취약성 있는 포트를 검지하고, 검지된 포트에 대한 정보를 이용하는 것이다. 따라서 방문한 패킷의 출발지 주소 IP를 상술한 규칙 패턴으로 저장하고, 동일한 출발지 주소 IP가 연속하여 제공되는가를 비교하여 침입 여부를 판단한다.
1차 엔진(11)에 이어 2차 엔진(12)이 탐지하는 복잡한 침입이란 다른 형태의 여러 데이터를 기반으로 이루어지는 침입을 의미한다. 도 3에는 2차 엔진(12)(네트워크용 2차 엔진(121) 또는 호스트용 2차 엔진(122)이 될 수 있으나, 본 실시예에서는 네트워크용 2차 엔진(121)의 경우에 대해서만 설명하였다.)의 작동 원리가 도시되어 있다. 도 3의 2차 엔진(12)은 본 발명에 따른 다단계 침입 탐지 엔진 내에 구성되는 것이 아니라 2차 엔진(12) 만이 단독적으로 구성되는 경우이며, 2차 엔진(12)이 본 발명의 다단계 침입 탐지 엔진 내에 구성되는 경우는 도 4에 도시되어 있다. .
도시된 바와 같이 2차 엔진(121)은 메모리(M11, M12)에 규칙(R1 및 R3 : 조합(C1)이라 함)의 패턴을 저장하고, 메모리(M13, M14)에는 규칙(R2 및 R5 : 조합(C2)이라 함)의 패턴을 저장하며, 메모리(M15, M16)에는 규칙(R1 및 R4 : 조합(C3)이라 함)의 패턴을 저장하고, 침입 탐지 자료(AbCeVαααGxSE.....)에 조합(C1-C3)들의 패턴이 존재하는 가를 판단하기 위한 것이다.
즉, 네트워크용 2차 엔진(121)은 두 개 이상의 규칙 패턴이 동시에 존재할 때에 침입으로 판단하는 작용을 한다. 이를 판단하기 위해서는 네트워크용 2차 엔진(121)에서는 메모리(M11-M16)에 규칙(R1-R5)패턴들이 각각 저장되어야 한다. 그러나, 도 3의 경우는 1차 엔진(111)이 구성되지 않는 경우이며, 본 발명과 같이 1차 엔진(111)이 사용되는 경우에는 2차 엔진(121)에 별도로 규칙 패턴 정보를 저장하는 메모리가 추가로 필요하지 않다. 즉, 네트워크용 2차 엔진(121)은 도 4와 같이 침입으로 볼 수 있는 규칙의 조합 정보(C1 : (R1 및 R3의 조합),(C2 : R2 및 R5의 조합), (C3 : R1 및 R4의 조합) 정보만이 필요하며, 규칙(R1-Rn)의 패턴에 해당하는 데이터의 입력 여부는 네트워크용 1차 엔진(111)으로부터 제공된다 즉, 네트워크용 1차 엔진(111)은 상술한 바와 같이 침입 탐지 자료(AbCeVαααGxSE.....)내에 규칙(R1-Rn) 패턴에 해당하는 데이터가 있는가를 감시하고, 탐지된 규칙(R1-Rn) 정보를 네트워크용 2차 엔진(121)에 제공한다. 따라서 네트워크용 2차 엔진(121)은 1차 엔진(111)으로부터의 규칙(R1-Rn) 정보로부터 조합 정보(C1-Cn)에 해당하는 규칙의 조합이 가능한가만을 판단하는 것이다.
1차 엔진(111)의 정보를 이용하여 2차 엔진(121)을 구현할 때에는 다음과 같은 장점을 가질 수 있다. 본 발명의 2차 엔진(121)을 하나의 1차 엔진이 없이 구현하기 위해서는 조합(C1-Cn)을 구성하는 규칙(R1-Rn)들의 패턴 정보를 조합(C1-Cn)별로 저장할 필요가 있다. 예컨대, 조합(C1) 및 조합(C3)의 규칙 패턴(R1 및 R3), (R1 및 R4)을 탐지하기 위해서는 도 3과 같이 조합(C1) 내에는 규칙(R1, R3)의 패턴을 저장하고 있는 메모리(M11, M12)가 필요하고 조합(C3) 내에는 규칙(R1, R4)의 패턴 정보를 갖는 메모리(M15, M16)가 필요하다. 즉, 규칙(R1)의 패턴을 저장하기 위한 두 개의 메모리(M11, M15)가 필요하다. 그러나 본 발명에서와 같이 1 차 엔진(111)의 검색 결과를 이용하는 경우에는 1차 엔진(111) 내에는 규칙(R1)의 패턴에 대해서는 하나의 메모리(M1)만이 필요하고, 2차 엔진(121)은 그 검색 결과만을 이용할 수 있다. 따라서 1차 엔진(111)의 검색 결과를 이용하여 2차 엔진(121)을 구성하는 경우에는 1차 엔진 없이 복잡한 침입을 탐지하는 2차 엔진을 구성하는 경우보다 규칙 패턴을 저장하는 메모리 수를 절약할 수 있다. 물론 이 경우에 조합 정보(C1-Cn)를 저장하는 메모리가 필요할 것이나, 조합 정보(C1-Cn)를 저장하는데 필요한 메모리 용량은 규칙 패턴을 저장하기 위한 용량에 비하여 대폭 적음은 본 발명의 기술 분야에서 통상의 지식을 가진 자는 용이하게 알 것이다.
또한, 도 3의 경우에는 조합(C1, C3) 내 규칙(R1)을 두 번에 걸쳐 검색하여야 한다. 그러나, 도 4와 같이 1차 엔진(111)의 검색 결과를 이용하는 경우는 1차 엔진(111)이 규칙 패턴(R1)을 한 번만 검지하면 되므로 규칙 패턴의 탐지 시간이 대폭 감소될 수 있다.
이러한 2차 엔진(12)이 행하는 복잡한 침입 판단의 예로는 다음을 들 수 있다. NMAP이라는 도구를 이용하여 특정 호스트를 스캔한 경우에 1차 엔진(11)에서는 PORT_SCAN과 TOOL_NMAP_L1_1, TOOL_NMAP_SAINT_L1_1, TOOL_NMAP_SAINT_L1_2의 1차 탐지 규칙이 탐지하고 이를 2차 침입 탐지 엔진에서 조합하여 침입 여부를 판단한다.
상술한 예에서 NMAP는 하나의 시스템은 물론 커다란 네트워크에 대해서 포트 스캔을 할 수 있는 스캐너이다. 스캐너를 사용할 때 때로는 빠르게 스캔할 필요도 있고 때로는 은닉(stealth) 스캔을 요구할 때도 있으며, 여러 가지 다른 프로토콜에 대해 스캔을 원할 때도 있다. NMAP은 이러한 스캔 기술들을 통합한 도구를 말한다.
3차 엔진(13)은 하위 단계의 엔진 즉 1차 엔진(11) 및 2차 엔진(12)에서 얻어진 침입 정보를 비교하여 보다 복잡한 침입을 판단하는 것으로 본 발명의 3차 엔진(13)은 네트워크용 1, 2차 엔진(111, 121) 및 호스트용 1, 2차 엔진(112, 122)의 정보를 함께 사용하여 보안 위반 여부를 판단하므로 네트워크 또는 호스트 둘 중의 하나만으로 탐지할 수 없는 복합적 침입을 탐지할 수 있다.
도 5에는 본 발명의 침입 탐진 엔진(10)이 행하는 전체 작동 흐름도가 도시되어 있다. 도시된 바와 같이 네트워크용 1차 엔진(111) 및 호스트용 1차 엔진(112)은 각각 축약 데이터 생성부(21, 23)로부터 SPDF 및 SADF를 수신하고(S11, S12) 수신된 정보로부터 기 저장된 규칙(R1-Rn) 패턴의 검색 과정을 행하여 침입 여부를 판단한다(S13, S14). 단계(S13, S14)의 수행에 의하여 규칙(R1-Rn)과 동일한 패턴이 SPDF 및 SADF 내에서 발견되면 네트워크용 1차 엔진(111) 및 호스트용 1차 엔진(112)은 침입이 발생한 것으로 판단하여(S15, S16) 침입으로 본 패턴을 도시하지 않은 별도의 저장 수단에 저장한다(S17). 또한, 1차 엔진(111, 112)에서 탐지된 규칙(R1-Rn)정보는 2차 엔진 즉 네트워크용 2차 엔진(121) 및 호스트용 2차 엔진(122)에 제공되며, 네트워크용 2차 엔진(121) 및 호스트용 2차 엔진(122)은 이 정보가 조합(C1-Cn)에 해당하는가를 검색하는 과정을 행한다(S18, S19). 검색 과정(S18, S19)의 수행 결과, 해당 조합(C1-Cn)에 해당하는 규칙(R1-Rn) 정보가 발견되면 침입으로 판단하고(S20, S21), 단계(S17)로 진행하여 침입으로 본 조합(C1-Cn) 정보를 도시하지 않는 저장 수단에 저장한다. 또한 네트워크용 2차 엔진(121) 및 호스트용 2차 엔진(122)은 단계(S20, S21)의 수행에 의하여 침입으로 판단된 조합 정보(C1-Cn) 들을 3차 엔진(13)에 제공하며, 3차 엔진(13)은 이들 정보를 조합하여 침입 여부를 판단하여(S22, S23) 해당 정보를 저장 수단에 저장한다(S17). 따라서, 사용자는 저장 수단에 저장되어 있는 정보를 이용하여 침입 여부를 용이하게 판단할 수 있다.
이상 설명한 바와 같이 본 발명의 다단계 침입 탐지 엔진은 호스트와 네트워크 침입을 함께 탐지할 수 있는 구조를 제공하므로 네트워크 또는 호스트 중 하나에 의한 침입 탐지만으로는 탐지할 수 없는 복잡한 침입을 탐지할 수 있다는 효과가 있다. 또한, 본 발명은 2차 엔진이 1차 엔진의 침입 탐지 결과를 이용하므로 시스템의 부하를 낮추며 탐지의 정확성을 높일 수 있는 효과가 있다.

Claims (4)

  1. 다단계 침입 탐지 엔진으로,
    침입으로 판단되는 데이터 패턴을 갖는 다수의 규칙들이 저장되어 있으며, 침입 탐지 자료에서 상기 규칙 내의 동일한 패턴을 검출하는 1차 엔진과;
    침입으로 판단되는 규칙들의 조합들이 저장되어 있으며, 상기 1차 엔진에서 침입 탐지 자료와 동일한 패턴을 갖는다고 판단된 규칙들이 상기 조합들에 해당하는가를 판단하는 2차 엔진과;
    상기 2차 엔진의 판단 정보를 이용하여 침입 여부를 탐지하는 3차 엔진을 구비하는 다단계 침입 탐지 엔진.
  2. 제 1 항에 있어서,
    상기 1차 엔진은, 네트워크용 1차 엔진 및 호스트용 1차 엔진으로 구성됨을 특징으로 하는 다단계 침입 탐지 엔진.
  3. 제 2 항에 있어서,
    상기 2차 엔진은 네트워크용 2차 엔진 및 호스트용 2차 엔진으로 구성됨을 특징으로 하는 다단계 침입 탐지 엔진.
  4. 제 3 항에 있어서,
    상기 침입 탐지 자료는 SPDF(Standardized Packet Data Format) 및 SADF(Standardized Audit Data Format)로 구성되며;
    상기 SPDF는 제 1 축약 감사 데이터 생성부가 네트워크 인터페이스로부터 제공되는 감사 데이터를 축약 및 정형하여 제공하며,
    상기 SADF는 제 2 축약 감사 데이터 생상부가 커널 감사 데이터 생성기로부터 제공되는 감사 데이터를 축약 및 정형하여 제공함을 특징으로 하는 다단계 침입 탐지 엔진.
KR10-2001-0045151A 2001-07-26 2001-07-26 다단계 침입 탐지 엔진 KR100434205B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0045151A KR100434205B1 (ko) 2001-07-26 2001-07-26 다단계 침입 탐지 엔진

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0045151A KR100434205B1 (ko) 2001-07-26 2001-07-26 다단계 침입 탐지 엔진

Publications (2)

Publication Number Publication Date
KR20030010263A true KR20030010263A (ko) 2003-02-05
KR100434205B1 KR100434205B1 (ko) 2004-06-04

Family

ID=27716773

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0045151A KR100434205B1 (ko) 2001-07-26 2001-07-26 다단계 침입 탐지 엔진

Country Status (1)

Country Link
KR (1) KR100434205B1 (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100543664B1 (ko) * 2001-12-17 2006-01-20 주식회사 윈스테크넷 네트워크 보호 장치 및 이의 운영 방법
US7158024B2 (en) 2004-07-20 2007-01-02 Electronics And Telecommunications Research Institute Packet intrusion detection rule simplification apparatus and method, and packet intrusion detection apparatus and method using simplified intrusion detection rule
KR101537996B1 (ko) * 2012-10-17 2015-07-23 한국전자통신연구원 트래픽 상황에 따른 cpu와 gpu간의 로드 밸런스를 가지는 침입 탐지 장치 및 방법
US9342366B2 (en) 2012-10-17 2016-05-17 Electronics And Telecommunications Research Institute Intrusion detection apparatus and method using load balancer responsive to traffic conditions between central processing unit and graphics processing unit
KR20200053070A (ko) * 2018-11-07 2020-05-18 서강대학교산학협력단 블록체인 네트워크의 트랜잭션 및 이벤트 감사 시스템 및 감사 방법
EP3816829A4 (en) * 2018-06-13 2022-01-19 Nippon Telegraph And Telephone Corporation DETECTION DEVICE AND DETECTION METHOD

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5991881A (en) * 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
JP3599552B2 (ja) * 1998-01-19 2004-12-08 株式会社日立製作所 パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体
KR100310860B1 (ko) * 1998-12-17 2001-11-22 이계철 실시간침입탐지시스템에서의에이전트구조를이용한실시간침입탐지방법
KR100392792B1 (ko) * 1999-08-21 2003-07-28 주식회사 다날 제 2접속경로를 이용한 사용자인증시스템 및 사용자인증방법
KR20010090014A (ko) * 2000-05-09 2001-10-18 김대연 네트워크 보호 시스템
KR20000054538A (ko) * 2000-06-10 2000-09-05 김주영 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체
US20020069356A1 (en) * 2000-06-12 2002-06-06 Kwang Tae Kim Integrated security gateway apparatus
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
KR20020063314A (ko) * 2001-01-27 2002-08-03 이요섭 데이터통신망의 보안시스템 및 그 방법

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100543664B1 (ko) * 2001-12-17 2006-01-20 주식회사 윈스테크넷 네트워크 보호 장치 및 이의 운영 방법
US7158024B2 (en) 2004-07-20 2007-01-02 Electronics And Telecommunications Research Institute Packet intrusion detection rule simplification apparatus and method, and packet intrusion detection apparatus and method using simplified intrusion detection rule
KR101537996B1 (ko) * 2012-10-17 2015-07-23 한국전자통신연구원 트래픽 상황에 따른 cpu와 gpu간의 로드 밸런스를 가지는 침입 탐지 장치 및 방법
US9342366B2 (en) 2012-10-17 2016-05-17 Electronics And Telecommunications Research Institute Intrusion detection apparatus and method using load balancer responsive to traffic conditions between central processing unit and graphics processing unit
EP3816829A4 (en) * 2018-06-13 2022-01-19 Nippon Telegraph And Telephone Corporation DETECTION DEVICE AND DETECTION METHOD
AU2019287212B2 (en) * 2018-06-13 2022-07-14 Nippon Telegraph And Telephone Corporation Detection device and detection method
US11563654B2 (en) 2018-06-13 2023-01-24 Nippon Telegraph And Telephone Corporation Detection device and detection method
KR20200053070A (ko) * 2018-11-07 2020-05-18 서강대학교산학협력단 블록체인 네트워크의 트랜잭션 및 이벤트 감사 시스템 및 감사 방법

Also Published As

Publication number Publication date
KR100434205B1 (ko) 2004-06-04

Similar Documents

Publication Publication Date Title
US9507944B2 (en) Method for simulation aided security event management
CN109992989B (zh) 使用抽象语法树的用于查询注入检测的系统
Toth et al. Evaluating the impact of automated intrusion response mechanisms
US7320142B1 (en) Method and system for configurable network intrusion detection
US7917486B1 (en) Optimizing search trees by increasing failure size parameter
US6415321B1 (en) Domain mapping method and system
US9413777B2 (en) Detection of network security breaches based on analysis of network record logs
US8260961B1 (en) Logical / physical address state lifecycle management
Gates et al. More Netflow Tools for Performance and Security.
US7352280B1 (en) System and method for intruder tracking using advanced correlation in a network security system
US20070043703A1 (en) Method and system for inline top N query computation
CN111988339B (zh) 一种基于dikw模型的网络攻击路径发现、提取和关联的方法
EP3905622A1 (en) Botnet detection method and system, and storage medium
US10291632B2 (en) Filtering of metadata signatures
KR100434205B1 (ko) 다단계 침입 탐지 엔진
CN112333191A (zh) 违规网络资产检测与访问阻断方法、装置、设备及介质
Boulaiche et al. An auto-learning approach for network intrusion detection
Grottke et al. On the efficiency of sampling and countermeasures to critical-infrastructure-targeted malware campaigns
US20060018262A1 (en) Method, system and program for automatically detecting distributed port scans in computer networks
Catherine et al. Efficient host based intrusion detection system using Partial Decision Tree and Correlation feature selection algorithm
Cortés et al. A hybrid alarm management strategy in signature-based intrusion detection systems
Thanasegaran et al. A topological approach to detect conflicts in firewall policies
Boyer et al. Stellar: A fusion system for scenario construction and security risk assessment
CN113343231A (zh) 一种基于集中管控的威胁情报的数据采集系统
Grottke et al. WAP: Models and metrics for the assessment of critical-infrastructure-targeted malware campaigns

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130524

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20140611

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20160411

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20180515

Year of fee payment: 15