KR20030048933A - 위험도 추론 침입탐지시스템 - Google Patents

위험도 추론 침입탐지시스템 Download PDF

Info

Publication number
KR20030048933A
KR20030048933A KR1020010078986A KR20010078986A KR20030048933A KR 20030048933 A KR20030048933 A KR 20030048933A KR 1020010078986 A KR1020010078986 A KR 1020010078986A KR 20010078986 A KR20010078986 A KR 20010078986A KR 20030048933 A KR20030048933 A KR 20030048933A
Authority
KR
South Korea
Prior art keywords
packet
hacking
intrusion
risk
destination system
Prior art date
Application number
KR1020010078986A
Other languages
English (en)
Other versions
KR100578503B1 (ko
Inventor
이용균
박규형
전법훈
차수길
박현태
주정호
Original Assignee
주식회사 이글루시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이글루시큐리티 filed Critical 주식회사 이글루시큐리티
Priority to KR1020010078986A priority Critical patent/KR100578503B1/ko
Publication of KR20030048933A publication Critical patent/KR20030048933A/ko
Application granted granted Critical
Publication of KR100578503B1 publication Critical patent/KR100578503B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크 패킷을 수집하는 패킷수집기와, 목적지시스템의 IP를 포함한 목적지시스템의 사용용도에 대한 정보를 저장하고 있는 목적지시스템 사용 용도 DB와, 각종 침입유형에 대한 정보를 저장하고 있는 침입유형 DB와, 상기 패킷수집기에 의해 수집된 패킷을 분석하여 목적지시스템의 IP와 패킷 데이타를 분리하고 상기 패킷 데이타와 상기 침입유형 DB를 비교검색하여 소정의 침입유형 해당 여부를 판단하며 소정의 침입유형에 해당되면 상기 목적지시스템의 IP와 상기 목적지시스템 사용용도DB를 검색비교하여 위험도를 추론하여 알려주는 패킷분석기를 포함하는 위험도 추론 침입탐지시스템에 관한 것이다.

Description

위험도 추론 침입탐지시스템{Intrusion Detection System for Inferring Risk Level}
본 발명은 침입탐지 시스템에 관한 것으로, 특히 네트워크 패킷을 분석하고 위험도를 추론하여 관리자에게 알려주는 위험도 추론 침입탐지시스템에 관한 것이다.
International이라는 단어와 Network라는 단어의 합성어인 인터넷은 1969년 미국 국방성의 지원으로 미국의 4개의 대학을 연결하기 위해 구축된 알파넷(ARPANET)에서 그 근원을 찾을 수 있다. 처음에는 군사적 목적으로 도입된것이지만 최근들어 상용화의 물결에 힘입어 전세계의 수많은 사람들이 인터넷을 이용하고 있고 이를 근거로 전자우편(e-mail), 원격 컴퓨터 연결(telnet), 파일 전송(FTP), 유즈넷 뉴스(Usenet News), 인터넷 정보 검색(Gopher), 인터넷 대화와 토론(IRC), 전자 게시판(BBS), 하이퍼텍스트 정보 열람(WWW:World Wide Web), 온라인 게임, 동화상이나 음성 데이터를 실시간으로 방송하는 서비스나 비디오 회의 등 새로운 서비스가 차례로 개발되어 이용 가능하게 되었다. 이와 같이 인터넷의 상용화가 급속하게 퍼져나감에 따라 전세계가 하나의 인터넷망에 연결되고 인터넷에 의한 현대인들의 생활의 편의도 날로 높아져만 가고 있다. 그러나 이러한 인터넷의 이면에는 현대인들의 편리 이외의 정보 누설 등과 같은 위험요소들이 도사리고 있는데 일명 해커라고 지칭되는 범죄자들에 의한 정보 파괴, 정보 유출, 불법침입에 의한 시스템의 교란 및 파괴 등이 쉽게 이루어질 수 있는 문제점이 발생하게 되었다. 이러한 해킹을 방지하기 위해서 내부자 또는 외부자에 의한 허가되지 않은 침입을 사전에 탐지하여 사용자에게 알려 주는 침입탐지시스템이 사용되고 있다.
침입탐지시스템은 네트워크 환경에서 침입 또는 의심스러운 행위를 탐지하는 시스템으로서 탐지되는 패턴에 따라 위험도를 분류하여 탐지된 결과를 사용자에게 알려준다.
도1에 도시된 바와 같이, 종래의 침입탐지시스템은 네트워크 패킷을 수집하는 패킷수집기(22)와, 상기 패킷수집기(22)에 의해 수집된 패킷을 분석하는 패킷 분석기(24)와 상기 패킷 분석기(24)에 의해 분석된 패킷 내용이 어떤 침입유형인지를 판단하기 위하여 각종 침입유형에 대한 정보를 저장하고 있는 침입유형 DB와 상기 패킷 분석기(24)에 의해 분석된 패킷 내용과 상기 침입유형DB에 저장된 침입유형을 비교 판단하여 관리자에게 알려주는 사용자 인터페이스로 구성된다.
그러나, 이와 같은 종래의 침입탐지시스템은 단지 분석된 패킷 내용을 침입유형 DB와 비교하는 과정에서 침입을 시도하는 목적지 시스템이 어떤 용도(예컨대 그 시스템이 파일서버, 웹서버, 메일서버, DB서버인지 여부)로 사용되고 있고 어떤 취약점이 있는지 여부를 비교하지 아니하고 단순히 침입유형DB와 비교하여 수집된 패킷이 DB의 침입유형과 일치할 경우 실제 위험여부와 무관하게 위험경보를 발생시키기 때문에 실제 위험한 패킷임에도 불구하고 위험도를 낮게 평가하거나 반대로 실제 위험한 패킷이 아님에도 불구하고 위험도를 높게 평가하여 알려주는 문제점을 가지고 있다. 게다가 짧은 시간에도 수천개의 패킷이 발생되는 것이 일반적인 상황에서 이와 같은 문제점은 더욱 심각하게 대두된다.
본 발명은 상기 종래 탐지시스템의 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은 탐지된 패킷의 목적지 시스템의 용도를 고려하여 패킷을 분석하고 그 위험도를 추론한 후 알려줄 수 있는 위험도 추론 침입탐지시스템을 제공하는 것이다.
본 발명의 또 다른 목적은 해킹 패턴별로 해킹이 이루어지는 단계를 DB화하여 저장하고 분석된 패킷이 실제 위험도가 높은 경우 해당 패킷이 해킹의 어느 단계에 해당되는지 여부를 알려줌으로서 추후 발생될 해킹을 미연에 방지할 수 있는 위험도 추론 침입탐지시스템을 제공하는 것이다.
도1은 종래의 침입탐지 시스템을 도시하는 블럭도.
도2는 본 발명에 따른 위험도 추론 침입탐지시스템을 도시하는 블럭도.
도3은 본 발명에 따른 침입탐지시스템이 탐지된 패킷을 분석하여 알려주는 과정을 도시하는 흐름도.
도4는 본 발명에 따른 침입탐지시스템의 해킹패턴DB에 탑재된 데이터베이스의 계층구조를 도시하는 구조도.
본 발명은 상기한 목적을 달성하기 위하여 다음과 같은 구성을 가진다.
본 발명에 따른 위험도 추론 침입탐지시스템은 네트워크 패킷을 수집하는 패킷수집기와, 목적지시스템의 IP를 포함한 목적지시스템의 사용용도에 대한 정보를 저장하고 있는 목적지시스템 사용용도 DB와, 각종 침입유형에 대한 정보를 저장하고 있는 침입유형 DB와, 상기 패킷수집기에 의해 수집된 패킷을 분석하여 목적지시스템의 IP와 패킷 데이타(패킷데이타는 해커가 시도하고자 하는 궁극적인 목적을 알 수 있는 정보를 총칭함)를 분리하고 상기 패킷 데이타와 상기 침입유형 DB를 비교검색하여 소정의 침입유형 해당여부를 판단하며 소정의 침입유형에 해당되면 상기 목적지시스템의 IP와 상기 목적지시스템 사용용도DB를 검색비교하여 위험도를 추론하여 알려주는 패킷분석기를 포함한다.
또한 본 발명에 따른 위험도 추론 침입탐지시스템은 해킹이 이루어지는 단계를 패턴화한 계층구조를 적재하고 있는 해킹패턴DB를 추가로 포함하며, 상기 패킷분석기는 분석된 패킷의 위험도가 높다고 판단할 경우 상기 패킷 데이타와 상기 해킹패턴DB의 계층구조를 비교하여 해킹 레벨을 알려주는 것을 특징으로 한다.
본 발명에 따른 침입탐지시스템은 패킷수집기가 인터넷상에서 발생되는 패킷을 수집하고, 패킷분석기가 상기 패킷을 패킷데이타와 목적지시스템의 IP를 분리하며, 분리된 패킷데이타와 상기 침입유형 DB를 비교하여 DB상의 침입유형에 해당되는지 여부를 판단하고, 침입유형에 해당되면 분리된 목적지시스템의 IP와 목적지시스템 사용용도DB를 비교하여 실제 위험한 침입시도인지 여부를 판단하여 관리자에게 경보하거나 알려주게 된다.
한걸음 더 나아가 본 발명에 따른 침입탐지시스템은 해킹이 이루어지는 과정을 패턴화한 계층 구조를 탑재한 해킹패턴DB를 구비할 수 있어서, 상기 패킷분석기가 패킷이 실제 위험한 침입시도에 해당된다고 판단하면 해당 패킷데이타를 상기 해킹패턴DB와 비교하여 해당 패킷이 해킹단계중 어느 단계에 해당되는지 여부와 앞으로 발생될 해킹을 경보하거나 알려줌으로써 사전에 해킹을 차단할 수 있도록 한다.
이하 첨부된 도면을 참조하여 본 발명의 실시예를 설명한다.
도2를 참조하면, 본 발명의 침입탐지시스템은 패킷수집기(42), 패킷분석기(44), 상기 패킷분석기(44)와 연동되는 목적지시스템 사용용도 DB(45)와 침입유형 DB(48)와 해킹패턴DB(47)와, 분석된 내용에 대한 경보와 알림을 담당하는 사용자 인터페이스(46)로 구성된다.
상기 패킷수집기(42)는 인터넷망이나 네트워크를 통하여 송/수신되는 모든 패킷을 가로채서 수집하는 것으로, 공지된 기술이어서 이에 대한 설명은 생략한다.
상기 침입유형 DB(48)는 카테고리별로 침입유형을 분류하여 이에 대한 정보를 저장하고 있으므로, 기존의 침입유형 뿐만 아니라 새로운 침입유형을 수시로 추가할 수 있다. 예컨대 상기 서버(48)에 탑재되는 침입유형에 대한 DB는 아래 표와 같이 대분류, 중분류를 기준으로 개념 정의된 구조를 가질 수도 있다. 물론 그 구조는 이에 제한되지 아니한다.
<표1:대분류>
대분류 명 설명
정보수집공격 Hacking이 이루어지기 전 단계로 Network 또는 System의 취약점을 수집하는 공격이다. 이 공격을 통하여 System의 OS나 열려진 Port별로 사용하는 Application의 Version을 알 수 있으며 이는 해킹으로 연결될 수 도 있는 공격유형이다.
침입공격 실제로 공격이 진행중인 공격유형이다. 이러한 유형에는 백도어와 같이 시스템 내부의 정보를 유출또는 불법적인 동작이 이루어지는 경우와 인가되지 않은 접근을 시도하는 경우, 포로토콜을 해석하여 메일이나 사용자 아이디/패스워드를 보고자 시도하는 경우, 버퍼오버플로우의 취약점을 이용하여 침입을 시도하는 경우 등 즉시 조치를 취해야 하는 공격 유형이다.
서비스거부공격 서비스 거부 공격은 특정 서버의 기능을 정지시킬 목적으로 엄청난 양의 네트워크 트래픽을 유발시키는 공격 유형이며, 내부의 정보가 유출되지는 않으나 기능의 장애로 인하여 업무에 치명적인 피해를 입을 수 있다.
기타 Hacking의 패턴은 아니지만 주의가 요망되는 또는 관리적 통계에 필요한 분류 유형이며, 어플리케이션 (예를 들어 ICQ, IRC 등)에서 사용하는 경우와 업무와 관련없는 유해 사이트 접속 통계에 필요한 패턴 및 WEB 사용에 관련된 내용을 포함한다.
<표2: 중분류 >
대분류 중분류 설명
정보수집공격 공격전 탐침 인가받지 않은 접근(공격)을 시도하기 위한 사전 정보를 수집하기 위한 공격유형이며, 사탄을 이용한 스캔이나 포트, IP 스캔 등이 이 유형에 속한다.
의심스러운행위 일반적으로 공격전 탐침 이후에 이루어지는 행위로 공격전 탐침보다는 좀 더 주의가 요망되는 단계이며, 열려진 포트 등을 이전 단계에서 확인하고 그 포트를 통한 더욱 세밀한 정보를 얻으려는 시도가 이루어진다.
침입공격 백도어 바이러스와 유사한 형태로 시스템 내부에 존재하여 외부로 각종 정보를 유출하는 것 부터 시스템의 통제를 외부에서 불법적으로 장악할 수 있는 것 까지 다양한 종류가 있고, 외부와 연결되는 통신 Port를 감시하여 그 Port를 사용하는 백도어를 삭제하여야 한다.
버퍼오버플로우 시스템 및 응용프로그램 내부 코드에서 사용하는 버퍼가 오버플로우 될때 발생하는 취약점을 이용한 공격이며, 모든 프로그램이 작성될때 이와같은 위험요소를 고려하여 구현되어야 하나 그렇지 못한 경우에 주요 공격대상이 될 수 있다. 시스템 프로그램의 경우 알려진 취약점을 보완한 패치 프로그램을 설치하여 이에 대비하여야 한다.
IP 스푸핑 IP Address를 기반으로 접근제어를 하는 방화벽을 속이기 위한 공격유형이며, 해킹을 시도하는 컴퓨터의 IP Address를 접근이 가능한 것으로 위장하여 침입하는 것으로 방화벽의 수동적인 보호방식을 이용한 공격이다. 사후에 로그를 분석하더라도 엉뚱한 결과로 분석될 수 있다.
프로토콜분석시도 네트워크 패킷을 가로채어 프로토콜을 분석하기 위한 시도이며, 각 패킷이 암호화되어 있지 않을 경우 사용자 아이디와 패스워드와 같은 중요한 정보가 노출될 수 있고, 주고 받는 메일의 내용이 외부로 유출될 수도 있는 공격 유형이다.
인가되지 않은접근시도 인가받지 않고 내부 네트워크 또는 시스템에 침입을 시도하거나 내부의 정보가 외부로 유출될 수도 있는 심각한 공격 유형이며, 이경우 즉시 조치가 이루어져야 피해를 최소화 할 수 있다.
서비스거부공격 DOS 서비스 거부 공격은 서버의 기능을 정지시킬 목적으로 엄청난 양의 네트워크 트래픽을 유발시키는 공격 유형이며, 곳에서 공격하거나 분산된 여러 곳에서 동시에 공격하는 패턴이 있다.
기타 어플리케이션 사용되는 어플리케이션 패턴에 대한 정보이며, 이러한 어플리케이션에 대해 알려진 해킹공격에 따라 취약할 수도 있다. 특히 메신저 프로그램에 대한 경우는 주의가 요망된다.
잘못된 사용 업무와 무관하게 접속되는 잘못된 사용에 대한 정보를 탐지한 경우 로서, 내부 관리의 목적상 필요할 수도 있지만 해킹과는 무관한 정보들이며. 이러한 유형으로는 음란내용, 도박, 스포츠, 증권 등에 관련된 내용들이다.
Web 정보 외부에서 내부의 Web서버로 접속하여 사용되는 정보들에 대한 유형이며, 이중에는 Web Server의 종류와 버젼에 따라 주의가 요망되는 경우도 있다.
기타정보 공격의 패턴으로 분류할 수는 없지만 침입탐지에서 감지된 기타 여러가지의 정보들을 나타낸다.
상기 목적지시스템 사용용도 DB(45)는 목적지시스템 사용용도에 대한 정보,예컨데 목적지시스템의 IP, 그 시스템에 사용되는 OS(window NT,Solaris, Linux 등), 그 시스템의 용도(FTP 서버, Web서버, Mail서버, DB서버 등), 그 시스템에서 사용되는 서버프로그램명(예컨대 Web서버는 lls 나 Aparch 등을 사용하고, FTP서버는 wu-ftpd나 proftpd 등을 사용하며, Mail 서버는 Msexchange나 Lotusnotes, DB서버는 Oracle, MsSQL SERVER을 사용함)등을 저장하고 있다.
상기 해킹패턴DB(47)는 도4에 도시된 바와 같이 해킹 유형별로 해킹 단계를 세분화하여 계층적으로 구조화한 해킹패턴 구조 DB를 저장하고 있다.
도3을 참조하면, 상기 패킷분석기(44)는 수집된 패킷을 목적지 시스템의 IP와 패킷 데이타를 분리하며(52,54), 상기 분석된 패킷 데이타와 상기 침입유형 DB(48)의 DB를 비교하여 소정의 침입유형에 해당하는지 여부를 판단하고(56), 소정의 침입유형에 해당하지 아니하면 분석을 종료한다(66). 나아가 상기 패킷 분석기(44)는 수집된 패킷이 소정의 침입유형에 해당하면 앞서 분리된 목적지 시스템의 IP가 어떠한 용도로 사용되고 있는 시스템인지 여부를 확인하기 위하여 상기 목적지시스템 사용용도 DB(45)를 검색하고(58), 검색결과, 상기 패킷이 목적지 시스템에 영향을 줄 수 있는 위험한 것이라면 사용자에게 경보하거나 알려주고(64) 그렇지 않다면 분석을 종료한다(66). 또한 상기 패킷분석기(44)는 패킷이 시스템에 위해를 가할 침입임을 판단한(60) 후 상기 해킹패턴DB(47)와 연동되어 상기 DB(47)에 탑재된 해킹패턴 구조DB를 검색하고(62) 상기 패킷이 해킹의 어느 단계에 위치하고 있으며 앞으로 어느 방향으로 발전해 나갈 것인지 여부에 대하여 추가로 경보하거나 알려 줄 수도 있다(64).
앞서 본 바와 같은 본 발명의 실시예에 따른 침입탐지시스템의 작동에 대하여 다음과 같이 설명한다.
"코드레드"는 windowNT의 IIS웹서버를 통해 들어와서 매우 짧은 주기로 패킷을 만들어 windowNT의 IIS웹서버를 감염시키는 웜 바이러스의 일종이다. 상기 "코드레드"가 만든 패킷을 ISS가 받게 되면 바로 코드레드에 감염되게 된다. 그러나 "코드레드"는 운영체계가 windowNT이고 서버 프로그램이 IIS인 웹서버만을 감염시키기 때문에 웹서버가 아닌 메일서버나 FTP서버 등에는 아무런 영향을 미치지 아니하며 나아가 웹서버라하더라도 windowNT 운영체계나 IIS서버 프로그램을 사용하지 아니하는 웹서버에는 아무런 영향을 주지 못한다.
이와 같이 "코드레드"는 windowNT의 IIS웹서버만을 감염시킴에도 불구하고 종래의 침입탐지시스템에서는 "코드레드"가 만들 패킷을 탐지하기만 하면 목적지 시스템의 용도가 웹서버인지 메일서버인지 여부를 검토하지 아니하고 경보를 하기 때문에 목적지시스템이 메일서버인 경우에도 경보를 수행하게 되며, 이러한 문제점으로 인해 사용자는 위험에 대한 경고 메시지에 무감각해질 수 있고 신속한 대처를 할 수 없게 된다.
그러나 본 발명에 따른 침입탐지 시스템에 의하면, 상기 패킷 수집기(42)는 "코드레드"가 만든 패킷을 수집한다. 그 후 상기 패킷분석기(54)는 상기 패킷을 목적지 시스템의 IP와 패킷 데이타로 분리하고(52,54), 상기 패킷이 침입유형 DB(48)에 탑재된 소정의 침입유형에 해당하는지 여부를 판단하며(56), 상기 패킷이 소정의 침입유형에 해당하면 상기 목적지시스템 사용용도 DB(45)를 검색하고(58), 그결과, 상기 패킷에서 분리된 IP에 해당하는 목적지 시스템이 OS가 windowNT, 그 서버프로그램이 IIS인 웹서버이면 위험도가 높다는 사실을 경고하거나 알려주고(60,64), 그 이외의 경우에는 경고 등을 진행하지 아니하고 분석을 종료한다(66).
또한 위험도가 높다고 판단한 경우에는, 상기 패킷 분석기(44)는 상기 패킷이 도4에 도시된 바와 같은 계층 구조를 가지는 해킹패턴을 탑재하고 있는 해킹패턴DB(47)의 계층 구조 중 어느 단계에 해당하는지 여부를 판단하여 사용자에게 그 단계를 추가로 알려주거나 경고해 줄 수도 있다(62,64). 도4에 도시된 바와 같이, "코드 레드"에 의한 공격은 바이러스에 의한 서비스 거부 공격의 일종으로, 그로인한 공격 단계는 서비스 거부 초기 단계, 서비스 거부 중간 단계와 서비스 거부 공격 단계로 구분될 수 있고, 각 단계는 단위 시간당 발생되는 서비스 거부 공격 패킷 수에 의해 구분된다. 상기 해킹패턴DB(47)의 계층 구조는 단위 시간당 "코드레드"에 의해 발생되는 패킷의 수를 기준으로 분류되는데, 예컨대 패킷의 수가 30초 동안 10개이내는 서비스 거부 초기 단계로, 10초 동안 100개 이내는 서비스 거부 중간 단계로, 10초 동안 200개 이내는 서비스 거부 공격 단계로 구조화되어 상기 DB(47)에 탑재된다. 따라서, 상기 패킷 분석기(44)는 상기 해킹 패턴DB(47)와 연동되어 "코드레드"에 의해 발생되는 패킷의 수가 30초당 10개 이내라면 사용자에게 서비스 거부 초기 단계임을 알려주고 추후 해킹 행위가 서비스 중간단계와 서비스 공격 단계로 진행될 가능성이 있음을 경보하며, 10초당 100개 이내라면 서비스 중간단계 임을 알려주며 추후 서비스 공격 단계로 진행될 가능성이 있음을 경보하고,10초당 200개 이내라면 서비스 공격 단계임을 경보한다.
상기한 실시예는 본 발명의 일예에 지나지 않으며, 본 발명은 그 기술적 범위를 초과하지 아니하는 어떠한 변경 및 수정도 가능하다.
상기 구성에 의해 본 발명은 다음과 같은 효과를 도모할 수 있다
본 발명은 탐지된 패킷의 목적지 시스템의 용도를 고려하여 패킷을 분석하여 그 위험도를 추론하고 알려줄 수 있기 때문에, 잘못된 경보(False Alarm)의 남발로 인한 침입탐지시스템의 무력화를 방지할 수 있는 효과를 도모할 수 있다.
본 발명은 해킹 패턴별로 해킹이 이루어지는 과정을 DB화하여 저장하고 분석된 패킷이 실제 위험도가 높은 경우 해당 패킷이 해킹의 어느 단계에 해당되는지 여부를 알려줌으로서 추후 발생될 해킹을 미연에 방지할 수 있는 효과를 도모할 수 있다.

Claims (2)

  1. 네트워크 패킷을 수집하는 패킷수집기와, 목적지시스템의 IP를 포함한 목적지시스템의 사용용도에 대한 정보를 저장하고 있는 목적지시스템 사용용도 DB와, 각종 침입유형에 대한 정보를 저장하고 있는 침입유형 DB와, 상기 패킷수집기에 의해 수집된 패킷을 분석하여 목적지시스템의 IP와 패킷 데이타를 분리하고 상기 패킷 데이타와 상기 침입유형 DB를 비교검색하여 소정의 침입유형 해당여부를 판단하며 소정의 침입유형에 해당되면 상기 목적지시스템의 IP와 상기 목적지시스템 사용용도DB를 검색비교하여 위험도를 추론하여 알려주는 패킷분석기를 포함하는 위험도 추론침입탐지시스템.
  2. 제1항에 있어서, 상기 침입탐지시스템은 해킹이 이루어지는 과정을 패턴화한 계층구조를 적재하고 있는 해킹패턴DB를 추가로 포함하며, 상기 패킷분석기는 분석된 패킷의 위험도가 높다고 판단할 경우 상기 패킷 데이타와 상기 해킹패턴DB의 계층구조를 비교하여 상기 패킷이 속하는 단계를 알려주는 것을 특징으로하는 위험도 추론 침입탐지시스템.
KR1020010078986A 2001-12-13 2001-12-13 위험도 추론 침입탐지시스템 KR100578503B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020010078986A KR100578503B1 (ko) 2001-12-13 2001-12-13 위험도 추론 침입탐지시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020010078986A KR100578503B1 (ko) 2001-12-13 2001-12-13 위험도 추론 침입탐지시스템

Publications (2)

Publication Number Publication Date
KR20030048933A true KR20030048933A (ko) 2003-06-25
KR100578503B1 KR100578503B1 (ko) 2006-05-12

Family

ID=29574771

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020010078986A KR100578503B1 (ko) 2001-12-13 2001-12-13 위험도 추론 침입탐지시스템

Country Status (1)

Country Link
KR (1) KR100578503B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100578506B1 (ko) * 2001-12-13 2006-05-12 주식회사 이글루시큐리티 위험도 추론 침입탐지방법
KR100623552B1 (ko) * 2003-12-29 2006-09-18 한국정보보호진흥원 자동침입대응시스템에서의 위험수준 분석 방법
KR100688604B1 (ko) * 2004-11-18 2007-03-02 고려대학교 산학협력단 네트워크 악성실행코드 차단장치 및 방법
WO2011090329A2 (ko) * 2010-01-22 2011-07-28 주식회사 안철수연구소 악성 코드 감염 차단 장치 및 시스템과 그 방법
KR101111099B1 (ko) * 2004-09-09 2012-02-17 아바야 테크놀러지 코퍼레이션 네트워크 트래픽 보안 방법들 및 시스템들

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240043211A (ko) 2022-09-26 2024-04-03 주식회사 렛츠핵 휴대폰 어플용 패킷 획득 방법

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100262310B1 (ko) * 1997-12-31 2000-07-15 강병호 멀티미디어 위성통신 시스템에서 위성자원 보안시스템
JP3961112B2 (ja) * 1998-04-23 2007-08-22 株式会社東芝 パケット通信制御システム及びパケット通信制御装置
KR20000010253A (ko) * 1998-07-31 2000-02-15 최종욱 조정자 에이젼트를 이용한 침입 탐지 시스템 및 침입 탐지 시스템의 침입 탐지 모듈
CA2297341A1 (en) * 1999-08-18 2001-02-18 Alma-Baba Technical Research Laboratory Co., Ltd. System for monitoring network for cracker attack
KR20000054538A (ko) * 2000-06-10 2000-09-05 김주영 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체
KR100351306B1 (ko) * 2001-01-19 2002-09-05 주식회사 정보보호기술 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법
KR100387396B1 (ko) * 2001-02-27 2003-06-18 주식회사 안철수연구소 해커 침입 탐지 기능을 가지는 네트워크 접속장치

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100578506B1 (ko) * 2001-12-13 2006-05-12 주식회사 이글루시큐리티 위험도 추론 침입탐지방법
KR100623552B1 (ko) * 2003-12-29 2006-09-18 한국정보보호진흥원 자동침입대응시스템에서의 위험수준 분석 방법
KR101111099B1 (ko) * 2004-09-09 2012-02-17 아바야 테크놀러지 코퍼레이션 네트워크 트래픽 보안 방법들 및 시스템들
KR100688604B1 (ko) * 2004-11-18 2007-03-02 고려대학교 산학협력단 네트워크 악성실행코드 차단장치 및 방법
WO2011090329A2 (ko) * 2010-01-22 2011-07-28 주식회사 안철수연구소 악성 코드 감염 차단 장치 및 시스템과 그 방법
WO2011090329A3 (ko) * 2010-01-22 2011-12-01 주식회사 안철수연구소 악성 코드 감염 차단 장치 및 시스템과 그 방법
US8813229B2 (en) 2010-01-22 2014-08-19 Ahnlab, Inc. Apparatus, system, and method for preventing infection by malicious code

Also Published As

Publication number Publication date
KR100578503B1 (ko) 2006-05-12

Similar Documents

Publication Publication Date Title
CN111385236B (zh) 一种基于网络诱骗的动态防御系统
Kumar Survey of current network intrusion detection techniques
US8635666B2 (en) Anti-phishing system
US7549166B2 (en) Defense mechanism for server farm
US6405318B1 (en) Intrusion detection system
US8640234B2 (en) Method and apparatus for predictive and actual intrusion detection on a network
EP2555486B1 (en) Multi-method gateway-based network security systems and methods
US20030188189A1 (en) Multi-level and multi-platform intrusion detection and response system
US20060026683A1 (en) Intrusion protection system and method
KR20000072707A (ko) 실시간 침입탐지 및 해킹 자동 차단 방법
JP2002342279A (ja) フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
CN111835694B (zh) 一种基于动态伪装的网络安全漏洞防御系统
US20060248590A1 (en) System and method for protecting an information server
CN113422779B (zh) 一种基于集中管控的积极的安全防御的系统
Kizza System intrusion detection and prevention
KR100578503B1 (ko) 위험도 추론 침입탐지시스템
KR20030035142A (ko) 통합보안관리 서비스 방법
KR100578506B1 (ko) 위험도 추론 침입탐지방법
KR20030035143A (ko) 통합보안관리 시스템
Singh et al. A review on intrusion detection system
KR100879608B1 (ko) 공격지식기반의 네트워크 트래픽 분석 및 감시 방법
Mittal et al. A Study of Different Intrusion Detection and Prevension System
Asarcıklı Firewall monitoring using intrusion detection systems
Lawrence Intrusion Prevention Systems: The Future of Intrusion Detection?
Ambika et al. Architecture for real time monitoring and modeling of network behavior for enhanced security

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130503

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140502

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20150504

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20160503

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20180504

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20200122

Year of fee payment: 15