KR20030051929A - 라돈-씨큐리티 게이트웨이 시스템의 정책 전달 및 경보용데이터베이스 관리방법 - Google Patents

라돈-씨큐리티 게이트웨이 시스템의 정책 전달 및 경보용데이터베이스 관리방법 Download PDF

Info

Publication number
KR20030051929A
KR20030051929A KR1020010081570A KR20010081570A KR20030051929A KR 20030051929 A KR20030051929 A KR 20030051929A KR 1020010081570 A KR1020010081570 A KR 1020010081570A KR 20010081570 A KR20010081570 A KR 20010081570A KR 20030051929 A KR20030051929 A KR 20030051929A
Authority
KR
South Korea
Prior art keywords
pattern
intrusion
policy
sgs
radon
Prior art date
Application number
KR1020010081570A
Other languages
English (en)
Other versions
KR100439174B1 (ko
Inventor
박상길
장종수
류걸우
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2001-0081570A priority Critical patent/KR100439174B1/ko
Publication of KR20030051929A publication Critical patent/KR20030051929A/ko
Application granted granted Critical
Publication of KR100439174B1 publication Critical patent/KR100439174B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 라돈(Ladon)-SGS의 정책 전달 및 경보용 DB 관리방법에 관한 것으로, 정책 및 시스템 관리자에서 경보용 DB내 차단 정보를 참조하여 차단할 패킷 데이터인지를 판단하여 패킷 데이터가 아닐 경우, 패킷 데이터를 이벤트로 축약하고, 축약된 이벤트를 분석기에 제공한다. 그러면, 분석기는 이벤트를 캐쉬에 저장한 후, 저장된 이벤트가 멀티쓰레드로 동작하는 유형별 분석 기능을 이용하여 분석하며, 유형별 분석 기능에 따라 이벤트가 스타트(START) 상태가 되는 패턴 클래스를 리드(read)하여 스타트 상태가 존재하지 않으면, 종료(FINAL) 상태인지를 판단하여 종료 상태가 존재할 경우, 침입을 탐지한 상태가 되어 침입 패턴의 정의대로 침입에 대응하는 행위를 수행한다. 따라서, 종래의 침입탐지 시스템들이 감시 데이터를 처리하는데 많은 시간을 소비하는 문제점을 해결할 수 있으며, 또한 멀티쓰레드를 이용하는 패턴 스키마의 구성을 통하여 빠른 속도를 통한 침입탐지의 향상을 가져오며, 새로운 정책이 요구되는 경우 침입탐지 및 대응 시스템의 재부팅이나 정지 같은 작업으로 인해 유해패킷 탐지의 기능이 정지되지 않으며, 탐지정책이나 차단 정책에 적용할 수 있는 효과가 있다.

Description

라돈-씨큐리티 게이트웨이 시스템의 정책 전달 및 경보용 데이터베이스 관리방법{METHOD FOR MANAGING ALERT DATABASE AND POLICY PROPAGATION IN LADON-SECURITY GATEWAY SYSTEM}
본 발명은 라돈(Ladon)-씨큐리티 게이트웨이 시스템(security gateway system : SGS)의 정책 전달 및 경보용 데이터베이스(DataBase : DB) 관리방법에 관한 것으로, 특히 정보통신망의 침입 탐지 제어 기술에 있어서, 라돈-사이버 패트롤 컨트롤 시스템(cyber patrol control system : CPCS) 및 다수의 라돈-SGS간의 네트워크에서 사이버 테러 발생 시, 테러 발생을 실시간으로 탐지하여 테러유형에 따른대응정책을 라돈-SGS내 경보용 DB에 반영하고, 라돈-SGS내 분석기에 연동된 캐쉬에 업데이트 시켜, 이후 발생되는 사이버 테러에 대해 업데이트(update)된 정책을 적용할 수 있도록 하는 방법에 관한 것이다.
통상적으로, 침입 탐지 시스템은 외부로부터의 침입을 탐지하기 위한 것으로, 그 동작이 올바르게 동작하여 침입에 사용되는 공격 유형에 따른 올바른 탐지가 이루어져야 한다.
이와 같이, 침입 탐지 시스템에 사용되는 침입 패턴에 따라 어노멀리(Anomaly) 방식과 미스유즈(Misuse) 방식으로 구분된다.
그중, Anomaly 방식은 아주 소수의 연구수준에 의한 침입탐지 시스템으로 현재 상용시스템에서는 거의 실시되지 않으며, Misuse 방식의 경우, 침입패턴에 없게 침입이 발생할 경우 이러한 침입에 대한 탐지가 이루어지지 않는다는 점과, 이러한 새로운 침입에 대한 침입패턴을 침입탐지 및 대응 시스템에 적용하려면 시스템 동작을 정지하고 침입패턴을 새롭게 추가한 후, 다시 구동시켜야 하는 문제점이 있다.
그리고, 침입 탐지 시스템은 고속의 네트워크에 적용하기 위해서는 침입 탐지 시스템의 패킷 캡쳐부(Sensor) 및 분석기(Analyzer)의 처리속도가 가장 중요한데, 그 처리 속도가 상당히 떨어지게 되는 문제점이 지적된다.
한편, 상술한 바와 같이, 침입 탐지 시스템으로는 1998년 한국 정보과학회 봄 학술 대회에 발표된 "효율적인 통합 침입탐지 시스템의 설계"와, 등록번호 2001년 8월에 등록된 "Dynamic Signature Inspection-Based Network IntrusionDetection"과, 2001년 10월에 등록된 "Method and System for Adaptive Network Security using Network Vulnerability Assessment" 등에 개시되어 있다.
즉, 개시된 선행기술에 대하여 상세하게 설명하면, 1998년 한국 정보과학회 봄 학술 대회에 발표된 "효율적인 통합 침입탐지 시스템의 설계"는 내/외부의 사용자에 의한 침입 패턴이 고도화, 다양화, 첨단화되고 있으나, 정보보호 시스템이 재 기능을 수행하지 못해 피해 유형 및 규모가 다양화 및 대형화되고 있어 침입탐지 시스템의 필요성이 제기되었다.
이에, 1960년대 중반 시스템의 불법 사용을 탐색하기 위한 감사자료 분석에서 시작된 침입탐지 시스템 연구는 전문가 시스템, 통계적 기법, 패턴 매칭, 인공지능, 모델 기반 등 다양한 이론에 기반한 연구가 활발히 수행되고 있다. 이러한 침입 탐지 시스템은 크게 시스템, 네트워크 및 어플리케이션의 잘 알려진 취약점을 이용한 침입행위를 탐지하는 오용침입(Misuse Intrusion) 탐지 시스템과 내부에 의해 합법적으로 수행되며 시스템 자원의 불법 사용을 통한 침입을 탐지하는 비정상 침입(Anomaly Intrusion) 탐지 시스템으로 분류된다.
본 학술지에서는 NIDES의 단점을 개선하고 비정상 침입탐지의 분할 실시, 단위 대리자 개념의 도입, 차별화된 오용탐지 실시, 감리 자료를 이용한 탐지 우선순위 조정을 통해 시스템 자원을 효율적으로 사용할 수 있는 침입탐지 시스템 설계방안을 제시하는 것이다.
그리고, 등록번호 2001년 8월에 등록된 "Dynamic Signature Inspection-Based Network Intrusion Detection"은 서명(signature) 기반의 동적인 네트워크침입탐지 시스템(NIDS)은 알려진 네트워크 보안 위규사항에 대하여 특징을 묘사하는 침입 서명 프로파일들을 포함한다. 이러한 침입 서명 프로파일들은 네트워크상에서의 네트워크 객체들의 보안 요구사항에 따라 침입 서명 프로파일의 집합으로 구성된다.
각각의 네트워크 객체들은 네트워크 객체에 연관된 대한 네트워크 트래픽의 모니터링을 위한 데이터들을 연관된 데이터들과 함께 서명 프로파일 메모리 내에 저장된 침입 서명 프로파일들의 집합에 할당된다.
모니터링 객체는 상술한 바와 같이 서명에 해당되는 네트워크 객체들은 주소를 부여받아 저장하고, 이러한 데이터를 처리하기 위하여 네트워크 트래픽을 모니터링 한다.
네트워크 객체들 중에 저장된 데이터 패킷에 대하여 탐지를 하는 중에, 데이터 패킷으로부터 패킷의 정보가 추출되며, 추출된 정보들은 네트워크 기반으로 연관된 데이터에 상응되는 침입 서명 프로파일들의 집합으로부터 해당하는 침입을 탐지한다.
알려진 보안 위규사항에 연관된 패킷이라면, 가상 프로세서는 침입 서명 프로파일을 이용하여 침입인지 아닌지 판단하여 가상 프로세서에 의해 해당되는 침입 서명이 없는 경우에 가상 프로세서에 의해 프로세싱 되기 위해 구성되는 침입 서명 프로파일을 생성하는데 침입 서명 프로파일 생성기에 의해 사용된다. 이는 침입 서명 프로파일에 생성된 침입 서명에 상호 비 의존적으로 동작이 가능한 구조를 가지고 있으며, 여기에 사용되는 가상 프로세서는 소프트웨어 또는 하드웨어로 자동 가능한 것이다.
마지막으로, 2001년 10월에 등록된 "Method and System for Adaptive Network Security using Network Vulnerability Assessment"는 침입탐지 시스템이나 방화벽과 같은 네트워크 보안 제품들은 수동적인 필터링 방법을 사용하여 정책 위규를 탐지하거나, Misuse 패턴의 탐지를 통해 보안 위규사항을 탐지한다. 이러한 수동적인 필터링 기법은 네트워크 패킷 데이터를 모니터링(monitoring)함으로써 수행된다.
이러한 보안 위규를 적절히 탐지하기 위해서는, 공간, 시간, 이벤트 등의 항목들의 연관성을 통하여 콘테스트를 추출하여야 한다. 공간이라는 것은 포트 수준에서의 근원지와 목적지 등의 정보를 의미하고, 시간은 근원지-목적지간에 연속된 패킷들의 양에 의해 정의되며, 이벤트는 각 패킷에 의해 일어나게 되는 Misuse 또는 정책으로 정의되는 접속의 종류로서 정의된다. 이 발명에서는 네트워크 Vulnerability Assessment 툴(tool)을 이용하여 네트워크 보안을 위한 시스템이나 메소드를 찾고자 한다.
이러한 방법은 네트워크에 대한 요구들에 직접 반영된다. 요구사항에 대한 응답은 모든 네트워크 정보를 구성하게 되는데, 이러한 많은 정보를 이용하여 네트워크 보안 위규를 분석하게 된다.
즉, 각각에 대하여 탐지되면 반복되는 시스템 모니터링을 통하여 반복적인 스캔(SCAN)을 수행할 것인가를 판단하게 된다. 이는 각 호스트에 취약점 분석도구를 설치하고 각각의 시스템의 운영체제, 서비스, 잠재적인 취약점등을 사전에 조사하고, 유입되는 패킷이 이에 대한 취약점인지 확인 후 네트워크 전반에 걸친 반복적인 작업을 할 것인가를 결정한 후 각각의 우선순위에 따라, 프로토콜 분석, 침입패턴 탐지, 시스템 서비스, 메모리 사용정도, 프로세서 사용정도, 시스템의 대역폭 등의 정보를 통하여 네트워크 보안을 제공하고자 하는 것이다.
이와 같이, 선행 논문 및 등록 특허에 개시된 기술을 살펴보았을 때, 기존의 공지된 기술에는 본원 발명에서 제시하는 호스트나 네트워크에서 사이버 테러 발생 시 이를 실시간으로 탐지하여 그에 적절한 대응책을 시행하기 위한 보안정책에 의해 사이버 테러를 발생시킨 호스트를 테러유형에 따른 대응정책을 침입탐지 및 대응 라돈-SGS의 패턴 테이블에 반영하고, 분석기가 사용하는 정책 캐쉬에 업데이트 시킴으로써, 이후 발생되는 사이버 테러에 대해 업데이트(update)된 정책을 적용하는 정책기반 네트워크 보안제어를 수행하는 필요성에는 미치지 못하게 되는 문제점이 여전히 남아 있었다.
따라서, 본 발명은 상술한 문제점을 해결하기 위해 안출된 것으로서, 그 목적은 라돈-사이버 패트롤 컨트롤 시스템(cyber patrol control system : CPCS) 및 다수의 라돈-SGS간의 네트워크에서 사이버 테러 발생 시, 테러 발생을 실시간으로 탐지하여 테러유형에 따른 대응정책을 라돈-SGS내 경보용 DB에 반영하고, 라돈-SGS내 분석기에 연동된 캐쉬에 업데이트 시켜, 이후 발생되는 사이버 테러에 대해 업데이트(update)된 정책을 적용할 수 있도록 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법을 제공함에 있다.
상술한 목적을 달성하기 위한 본 발명에서 라돈(Ladon)-SGS의 침입 탐지 및 침입 탐지에 대한 대응방법에 있어서, 정책 및 시스템 관리자에서 경보용 DB내 차단 정보를 참조하여 차단할 패킷 데이터인지를 판단하여 패킷 데이터가 아닐 경우, 패킷 데이터를 이벤트로 축약하고, 축약된 이벤트를 분석기에 제공하는 단계; 분석기에서 이벤트를 캐쉬에 저장한 후, 저장된 이벤트가 멀티쓰레드로 동작하는 유형별 분석 기능을 이용하여 분석하는 단계; 유형별 분석 기능에 따라 이벤트가 스타트(START) 상태가 되는 패턴 클래스를 리드(read)하여 스타트 상태가 존재하지 않으면, 종료(FINAL) 상태인지를 판단하여 종료 상태가 존재할 경우, 침입을 탐지한 상태가 되어 침입 패턴의 정의대로 침입에 대응하는 행위를 수행하는 단계를 포함하는 것을 특징으로 한다.
또한, 상술한 목적을 달성하기 위한 본 발명에서 라돈(Ladon)-SGS의 침입 탐지에 사용되는 침입패턴의 갱신방법에 있어서, 정책 및 시스템 관리자에서 경보용 DB로 침입패턴 업데이트를 요구하는 단계; 경보용 DB에서 침입패턴 업데이트가 침입패턴 추가요구사항인지를 판단하여 침입패턴 추가요구사항일 경우, 침입패턴 관련 테이블의 P_ID를 키(KEY)로 하여 침입패턴을 추가하는 단계를 포함하는 것을 특징으로 한다.
도 1은 본 발명에 따른 라돈-씨큐리티 게이트웨이 시스템(SGS)의 정책 전달 및 경보용 데이터베이스 관리방법을 수행하기 위한 전체적인 블록 구성도이며,
도 2는 도 1에 도시된 라돈-씨큐리티 게이트웨이 시스템(SGS)에 대한 세부적인 블록 구성도이며,
도 3은 본 발명에 따른 침입 탐지 및 침입 탐지에 대한 대응 방안에 대하여 상세하게 설명한 흐름도이며,
도 4는 본 발명에 따른 침입 탐지에 사용되는 침입패턴의 갱신 방안에 대하여 상세하게 설명한 흐름도이며,
도 5는 본 발명에 따른 도 2에 도시된 탐지 정보 내 패턴 테이블의 스키마에 대하여 도시한 도면이며,
도 6은 본 발명에 따른 도 2에 도시된 탐지 정보 내 패턴_포트 테이블에 대하여 도시한 도면이며,
도 7은 본 발명에 따른 도 2에 도시된 탐지 정보 내 패턴_시그널 테이블에 대하여 도시한 도면이며,
도 8은 본 발명에 따른 도 2에 도시된 경보 정보 내 ALERT 테이블의 스키마에 대하여 도시한 도면이며,
도 9는 본 발명에 따른 도 2에 도시된 차단 정보 내 블록 테이블의 스키마에 대하여 도시한 도면이다.
<도면의 주요부분에 대한 부호의 설명>
100 : 라돈-CPCS 200∼200-n : 라돈-SGS
211 : 정책 및 시스템 관리자 213 : 분석기
215 : 차단기 217 : 응용 프로그램 인터페이스
220 : 경보용 DB 221 : 탐지 정보
223 : 차단 정보 225 : 경보 정보
A : 네트워크 S1 : 캐쉬
S2 : 메시지 큐
이하, 첨부된 도면을 참조하여 본 발명에 따른 실시 예를 상세하게 설명하기로 한다.
도 1은 본 발명에 따른 라돈(Ladon)-씨큐리티 게이트웨이 시스템(securitygateway system : SGS)의 정책 전달 및 경보용 데이터베이스 관리방법을 수행하기 위한 전체적인 블록 구성도로서, 라돈(Ladon)-CPCS(100) 및 다수의 라돈-SGS(200∼200-n)를 포함한다.
라돈(Ladon)-CPCS(100)는 보안 제어 서버로서, 네트워크(A)를 통해 침입탐지 및 이에 대응하는 패킷 데이터를 라돈-SGS(200)에 제공하며, 또한 네트워크(A)를 통해 침입 탐지에 사용되는 침입 패턴의 갱신에 따른 침입패턴 업데이트를 라돈-SGS(200)에 요구한다.
다수의 라돈-SGS(200∼200-n)중 임의의 라돈-SGS(200)는 보안 게이트웨이 시스템으로서, 도 2에 도시된 바와 같이, 정책 및 시스템 관리자(211)와, 분석기(213)와, 차단기(215)와, 응용 프로그램 인터페이스(217)와, 경보용 DB(220)를 구비한다.
정책 및 시스템 관리자(211)는 라돈-CPCS(100)으로부터 네트워크(A)를 통해 패킷 데이터를 제공받은 후, 응용 프로그램 인터페이스(217)를 통해 경보용 DB(220)내 차단 정보(223)를 참조하여 패킷 데이터인지를 판단하여 차단 정보(223)내의 패킷 데이터일 경우, 패킷 데이터를 메시지 큐(S2)를 통해 차단기(215)에 제공한다. 반면에, 차단 정보(223)내의 패킷 데이터가 아닐 경우, 패킷 데이터를 이벤트로 축약하고, 축약된 이벤트를 메시지 큐(S2)를 통해 분석기(213)에 제공한다.
분석기(213)는 정책 및 시스템 관리자(211)로부터 제공된 이벤트를 캐쉬(S1)에 저장한 후, 이벤트가 캐쉬(S1)에 저장된 상태에서 멀티쓰레드로 동작하는 유형별 분석 기능, 즉 도메인 네임 시스템(domain name system : DNS) 체크, 파일 전송규약(file transfer protocol : FTP) 체크, 전송 제어 프로토콜(transmission control protocol : TCP) 백 도어(backdoor) 체크, 사용자 데이터 그램 프로토콜(user data_gram protocol : UDP) 백 도어 체크, FTP 체크, 간이 전자 우편 전송 프로토콜(simple mail transfer protocol : SMTP) 체크 분석 기능을 이용하여 스택 클래스를 순차적으로 읽어 가는데, 이벤트가 스타트(START) 상태가 되는 패턴 클래스를 리드(read)하여 START 상태가 존재하는지를 체크한다.
분석기(213)는 START 상태가 존재할 경우, 스택 클래스에 패턴 클래스를 삽입하는 반면에, START 상태가 존재하지 않을 경우, 종료(FINAL) 상태인지를 판단한다.
이후, 분석기(213)는 종료 상태가 존재할 경우, 침입을 탐지한 상태가 되어 침입 패턴의 정의대로 침입에 대응하는 행위를 수행하는 반면에, 종료 상태가 존재하지 않을 경우, 일정한 타임 스탬프(time stamp)를 초과하였는지를 체크하여 일정한 타임 스탬프를 초과할 경우, 유입된 패킷 데이터가 유해하지 않은 것으로 판단되어 패턴 클래스를 삭제한다.
반면에, 분석기(213)는 일정한 타임 스탬프를 초과하지 않은 경우, 해당 쓰레드에 속한 모든 패턴을 점검하였는지 구분하여, 모든 패턴을 점검하여 모든 패턴을 체크할 경우, 유형별 분석 기능을 이용하여 분석하는 과정부터 반복 수행하며, 모든 패턴을 점검하여 모든 패턴을 체크하지 않을 경우, 패턴 클래스를 리드하여 START 상태가 존재하는지를 체크하는 과정부터 반복 수행한다.
차단기(215)는 정책 및 시스템 관리자(211)로부터 메시지 큐(S2)를 통해 제공되는 패킷 데이터를 차단한다.
응용 프로그램 인터페이스(217)는 정책 및 시스템 관리자(211)와 경보용 DB(220)간의 인터페이스 역할을 수행하는 블록으로서, 패킷 데이터 및 침입 탐지에 사용되는 침입 패턴의 갱신에 따른 침입패턴 업데이트를 송/수신할 수 있도록 인터페이스(interface)한다.
경보용 DB(220)는 내부적으로 탐지 정보(221)와, 차단 정보(223)와, 경보 정보(225)를 구비한다.
탐지 정보(221)는 도 5내지 도 7에 도시된 바와 같이, 테이블의 스키마에 존재하는 필드를 이용함에 있어서, P_ID를 KEY로 하여 해당 패턴에 따른 적용하며, 실제 유해 패킷에 대한 탐지는 패턴 시그널(pattern_sig) 테이블의 내용을 이용하는 것으로, 도 5의 패턴 테이블의(pattern table)의 세부 필드 중, PRIORITY는 침입에 대한 우선 순위를 나타내며, 이에 따른 침입영향은 IMPACT 필드에서 적용되며, 패턴별로 침입탐지에 적용할 것인가는 ADOPT 테이블의 값에 의해 결정된다.
그리고, CONDI_TYPE은 하나의 패킷(solo)으로 침입이 판단될 경우와 반복(while)되는 패킷의 상태를 이용하는 것으로 판단될 경우, 연속되는(linear) 패킷의 상태를 이용하여 판단하는 경우를 나타낸다. 패턴_포트(PATTERN_PORT) 테이블의 경우에 타켓이 되는 호스트의 서비스 번호를 기준으로 탐지하기 위해 사용된다.
그리고, 탐지 정보(221)는 도 6의 SEQ 필드는 패턴 테이블(pattern table)의 CONDI_TYPE에 해당하는 PATTERN_CONDITION 번호이며, TYPE은 목적지 포트를 지정하는지 근원지 포트를 지정하는지를 표시한다.
이어서, 탐지 정보(221)는 도 7의 패턴 시그널 테이블의 스키마에서의 탐지기는 이러한 Pattern 관련 테이블들의 데이터를 참조하는 캐쉬영역에 적재한 후, 이후 유입되는 모든 패킷에 대하여 침입탐지를 수행한다.
차단 정보(223)는 도 9의 차단리스트 등록 등의 대응행위가 이루어지는 것이며, 경보 정보(225)는 도 8의 ALERT 테이블의 스키마의 전송이나 세션차단 등으로 이루어진다.
도 3의 흐름도를 참조하여, 상술한 구성을 갖는 본 발명에 따른 침입 탐지 및 침입 탐지에 대한 대응 방안에 대하여 상세하게 설명한다.
먼저, 다수의 라돈-SGS(200∼200-n)중 임의의 라돈-SGS(200)내 정책 및 시스템 관리자(211)는 라돈-사이버 패트롤 컨트롤 시스템(cyber patrol control system : CPCS)(100)으로부터 네트워크(A)를 통해 패킷 데이터를 제공받은 후(단계 301), 응용 프로그램 인터페이스(217)를 통해 도 9에 도시된 차단 정보(223)내 ALERT 테이블의 스키마에 대하여 도시한 도면을 참조하면서, 스키마 리스트에 존재하는 경보용 DB(220)내 차단 정보(223)를 참조하여 패킷 데이터인지를 판단한다(단계 302).
상기 판단 단계(302)에서 차단 정보(223)내의 패킷 데이터이면, 패킷 데이터를 메시지 큐(S2)를 통해 차단기(215)에 제공하며(단계 303), 차단기(215)는 정책 및 시스템 관리자(211)로부터 제공되는 패킷 데이터를 차단한다(단계 304).
반면에, 상기 판단 단계(302)에서 차단 정보(223)내의 패킷 데이터가 아니면, 패킷 데이터를 이벤트로 축약하고, 축약된 이벤트를 메시지 큐(S2)를 통해 분석기(213)에 제공한다(단계 305).
분석기(213)는 정책 및 시스템 관리자(211)로부터 제공된 이벤트를 캐쉬(S1)에 저장한 후(단계 306), 이벤트가 캐쉬(S1)에 저장된 상태에서 멀티쓰레드로 동작하는 유형별 분석 기능, 즉 DNS 체크, FTP 체크, TCP 백 도어(backdoor) 체크, UDP 백 도어 체크, FTP 체크, SMTP 체크 분석 기능을 이용하여 분석한다(단계 307).
즉, 분석기(213)는 캐쉬(S1)의 스택 클래스를 순차적으로 읽어 가는데, 이벤트가 스타트(START) 상태가 되는 패턴 클래스를 리드(read)하여 START 상태가 존재하는지를 체크한다(단계 308).
상기 체크 단계(308)에서 START 상태가 존재할 경우, 스택 클래스에 패턴 클래스를 삽입한다(단계 309). 반면에, 상기 체크 단계(309)에서 START 상태가 존재하지 않을 경우, 종료(FINAL) 상태인지를 판단한다(단계 310).
상기 판단 단계(310)에서, 종료 상태가 존재할 경우, 침입을 탐지한 상태가 되어 침입 패턴의 정의대로 침입에 대응하는 행위를 수행한다(단계 311). 이때, 침입을 탐지하고, 침입에 대응하는 행위를 수행하는 것은 도 5내지 도 7에 도시된 바와 같이, 테이블의 스키마에 존재하는 필드를 이용함에 있어서, P_ID를 KEY로 하여 해당 패턴에 따른 적용하며, 실제 유해 패킷에 대한 탐지는 패턴 시그너춰(pattern_sig) 테이블의 내용을 이용한다.
즉, 도 5는 본 발명에 따른 도 2에 도시된 탐지 정보(221)내 패턴 테이블의 스키마에 대하여 도시한 도면으로서, 패턴 테이블의(pattern table)의 세부 필드중, PRIORITY는 침입에 대한 우선 순위를 나타내며, 이에 따른 침입영향은 IMPACT 필드에서 적용되며, 패턴별로 침입탐지에 적용할 것인가는 ADOPT 테이블의 값에 의해 결정된다.
그리고, CONDI_TYPE은 하나의 패킷(solo)으로 침입이 판단될 경우와 반복(while)되는 패킷의 상태를 이용하는 것으로 판단될 경우, 연속되는(linear) 패킷의 상태를 이용하여 판단하는 경우를 나타낸다. 패턴_포트(PATTERN_PORT) 테이블의 경우에 타켓이 되는 호스트의 서비스 번호를 기준으로 탐지하기 위해 사용된다.
그리고, 도 6은 본 발명에 도 2에 도시된 탐지 정보(221)내 따른 패턴_포트 테이블에 대하여 도시한 도면으로서, SEQ 필드는 패턴 테이블(pattern table)의 CONDI_TYPE에 해당하는 PATTERN_CONDITION 번호이며, TYPE은 목적지 포트를 지정하는지 근원지 포트를 지정하는지를 표시한다.
이어서, 도 7은 본 발명에 따른 도 2에 도시된 탐지 정보(221)내 패턴_시그널 테이블에 대하여 도시한 도면으로서, 패턴 시그널 테이블의 스키마에서의 탐지기는 이러한 Pattern 관련 테이블들의 데이터를 참조하는 캐쉬영역에 적재한 후, 이후 유입되는 모든 패킷에 대하여 침입탐지를 수행하며, 도 8에 도시된 바와 같이, 도 2에 도시된 경보 정보(225)내 ALERT 테이블의 스키마의 전송이나 세션차단과, 도 9에 도시된 바와 같이, 도 2에 도시된 차단 정보(223)내 블록 테이블의 스키마에 대하여 도시한 도면으로서, 이 테이블은 차단리스트 등록 등의 대응행위가 이루어지는 것이다.
상기 판단 단계(310)에서 종료 상태가 존재하지 않을 경우, 일정한 타임 스탬프(time stamp)를 초과하였는지를 체크한다(단계 312).
상기 체크 단계(312)에서 일정한 타임 스탬프를 초과할 경우, 유입된 패킷 데이터가 유해하지 않은 것으로 판단되어 패턴 클래스를 삭제한다(단계 313). 여기서, 패턴 클래스를 삭제하는 것은 유입된 패킷 데이터가 유해하지 않다는 의미이다.
반면에, 상기 체크 단계(312)에서 일정한 타임 스탬프를 초과하지 않은 경우, 해당 쓰레드에 속한 모든 패턴을 점검하였는지 구분한다(단계 314).
상기 구분 단계(314)에서 모든 패턴을 점검하여 모든 패턴을 체크할 경우, 단계(307)부터 반복 수행하며, 상기 구분 단계(314)에서 모든 패턴을 점검하여 모든 패턴을 체크하지 않을 경우, 단계(308)부터 반복 수행한다. 여기서, 반복 수행은, 스택 클래스의 모든 내용을 검색할 때까지 반복 수행하는 것이다.
한편, 도 4의 흐름도를 참조하여, 본 발명에 따른 침입 탐지에 사용되는 침입패턴의 갱신 방안에 대하여 상세하게 설명한다.
먼저, 라돈(Ladon)-SGS(200)은 라돈-CPCS(100)로부터 네트워크(A)를 통해 침입탐지 및 정책변경을 제공받게 될 경우, 라돈(Ladon)-SGS(200)내 정책 및 시스템 관리자(211)는 응용프로그램 인터페이스(217)를 통해 경보용 DB(220)에 침입패턴 업데이트를 요구한다(단계 401).
경보용 DB(220)는 정책 및 시스템 관리자(211)로부터 응용 프로그램 인터페이스(217)를 통해 요구되는 침입패턴 업데이트가 침입패턴 추가요구사항인지를 판단한다(단계 402).
상기 판단 단계(402)에서 침입패턴 추가요구사항일 경우, 침입패턴 관련 테이블의 P_ID를 키(KEY)로 하여 침입패턴을 추가한다(단계 403). 반면에, 상기 판단 단계(402)에서 침입패턴 추가 요구사항이 아닐 경우, 침입패턴 변경요구사항인지를 체크한다(단계 404).
상기 체크 단계(404)에서 침입패턴 변경요구사항일 경우, 침입패턴 관련 테이블의 P_ID를 키(KEY)로 하여 침입패턴을 변경한다(단계 405). 반면에, 상기 체크 단계(404)에서 침입패턴 변경요구사항이 아닐 경우, 침입패턴 삭제요구사항인지를 판단한다(단계 406).
상기 판단 단계(406)에서 침입패턴 삭제요구사항일 경우, 침입패턴 관련 테이블의 P_ID를 키(KEY)로 하여 침입패턴을 삭제한다(단계 407). 반면에, 상기 판단 단계(406)에서 침입패턴 삭제요구사항이 아닐 경우, 잘못된 명령이라는 메시지를 응용 프로그램 인터페이스(217)를 통해 정책 및 시스템 관리자(211)에 제공한다(단계 408). 여기서, 갱신된 패턴들은 분석기(213)가 사용하는 캐쉬(S1)에 적재되어, 시스템의 정지나 재 가동을 필요치 않고, 새로운 패턴을 이용하여 침입탐지 및 대응 기능을 운용하는 것이다.
그러므로, 본 발명은 라돈-CPCS 및 라돈-SGS간의 네트워크에서 사이버 테러 발생 시, 테러 발생을 실시간으로 탐지하여 테러유형에 따른 대응정책을 라돈-SGS내 경보용 DB에 반영하고, 라돈-SGS내 분석기에 연동된 캐쉬에 업데이트 시켜, 이후 발생되는 사이버 테러에 대해 업데이트(update)된 정책을 적용함으로써, 종래의 침입탐지 시스템들이 감시 데이터를 처리하는데 많은 시간을 소비하는 문제점을 해결할 수 있으며, 또한 멀티쓰레드를 이용하는 패턴 스키마의 구성을 통하여 빠른 속도를 통한 침입탐지의 향상을 가져오며, 새로운 정책이 요구되는 경우 침입탐지 및 대응 시스템의 재부팅이나 정지 같은 작업으로 인해 유해패킷 탐지의 기능이 정지되지 않으며, 탐지정책이나 차단 정책에 적용할 수 있는 효과가 있다.

Claims (15)

  1. 정책 및 시스템 관리자, 분석기, 차단기, 경보용 데이터베이스(DB)를 구비하는 라돈(Ladon)-씨큐리티 게이트웨이 시스템(security gateway system : SGS)의 침입 탐지 및 침입 탐지에 대한 대응방법에 있어서,
    상기 정책 및 시스템 관리자에서 상기 경보용 DB내 차단 정보를 참조하여 차단할 패킷 데이터인지를 판단하여 패킷 데이터가 아닐 경우, 상기 패킷 데이터를 이벤트로 축약하고, 상기 축약된 이벤트를 상기 분석기에 제공하는 단계;
    상기 분석기에서 이벤트를 캐쉬에 저장한 후, 상기 저장된 이벤트가 멀티쓰레드로 동작하는 유형별 분석 기능을 이용하여 분석하는 단계;
    상기 유형별 분석 기능에 따라 상기 이벤트가 스타트(START) 상태가 되는 패턴 클래스를 리드(read)하여 스타트 상태가 존재하지 않으면, 종료(FINAL) 상태인지를 판단하여 종료 상태가 존재할 경우, 침입을 탐지한 상태가 되어 침입 패턴의 정의대로 침입에 대응하는 행위를 수행하는 단계를 포함하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법.
  2. 제 1 항에 있어서, 상기 패킷 데이터인지를 판단하는 단계에서,
    상기 차단 정보내의 패킷 데이터일 경우, 상기 패킷 데이터를 상기 차단기에 제공하여 차단하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법.
  3. 제 1 항에 있어서, 상기 유형별 분석 기능은,
    도메인 네임 시스템(domain name system) 체크, 파일 전송 규약(file transfer protocol : FTP) 체크, 전송 제어 프로토콜(transmission control protocol) 백 도어(backdoor) 체크, 사용자 데이터 그램 프로토콜(user data_gram protocol) 백 도어 체크, FTP 체크, 간이 전자 우편 전송 프로토콜(simple mail transfer protocol) 체크 분석 기능인 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법.
  4. 제 1 항에 있어서, 상기 스타트(START) 상태가 존재할 경우,
    상기 패턴 클래스를 스택 클래스에 삽입하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법.
  5. 제 1 항에 있어서, 상기 침입을 탐지하며, 상기 침입에 대응하는 행위를 수행하는 것은,
    상기 경보용 DB내 탐지 정보에 존재하는 필드를 이용함에 있어서, P_ID를 KEY로 하여 해당 패턴에 따른 적용하며, 상기 패킷 데이터의 탐지는 패턴 시그너춰(pattern_sig) 테이블의 내용을 이용하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법.
  6. 제 4 항에 있어서,
    상기 탐지 정보 내 패턴 테이블(pattern table)의 세부 필드 중, PRIORITY는 침입에 대한 우선 순위를 나타내며, 침입영향은 IMPACT 필드에서 적용되며, 패턴별로 침입탐지에 적용할 것인가는 ADOPT 테이블의 값에 의해 결정되며, CONDI_TYPE은 하나의 패킷(solo)으로 침입이 판단될 경우와 반복(while)되는 패킷의 상태를 이용하는 것으로 판단될 경우, 연속되는(linear) 패킷의 상태를 이용하여 판단하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법.
  7. 제 4 항에 있어서,
    상기 탐지 정보 내 패턴_포트(PATTERN_PORT) 테이블의 경우, 타켓이 되는 호스트의 서비스 번호를 기준으로 탐지하며, CONDI_TYPE에 해당하는 PATTERN_CONDITION 번호이며, TYPE은 목적지 포트를 지정하는지 근원지 포트를 지정하는지를 표시하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법.
  8. 제 1 항에 있어서, 상기 판단 단계에서 종료 상태가 존재하지 않을 경우,
    일정한 타임 스탬프(time stamp)를 초과하였는지를 체크하여 타임 스탬프를 초과할 경우, 유입된 패킷 데이터가 유해하지 않은 것으로 판단되어 패턴 클래스를 삭제하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법.
  9. 제 8 항에 있어서, 상기 체크 단계에서 일정한 타임 스탬프를 초과하지 않은 경우,
    해당 쓰레드에 속한 모든 패턴을 점검하였는지 구분하여 모든 패턴을 점검하여 모든 패턴을 체크할 경우, 유형별 분석 기능을 이용하여 분석하는 과정부터 반복 수행하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법.
  10. 제 9 항에 있어서, 상기 구분 단계에서 모든 패턴을 점검하여 모든 패턴을 체크하지 않을 경우, 패턴 클래스를 리드하여 스타트(START) 상태가 존재하는지를 체크하는 과정부터 반복 수행하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법.
  11. 제 10 항에 있어서,
    상기 반복 수행은 스택 클래스의 모든 내용을 검색할 때까지 반복 수행하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법.
  12. 정책 및 시스템 관리자, 분석기, 차단기, 경보용 데이터베이스(DB)를 구비하는 라돈(Ladon)-씨큐리티 게이트웨이 시스템(security gateway system : SGS)의 침입 탐지에 사용되는 침입패턴의 갱신방법에 있어서,
    상기 정책 및 시스템 관리자에서 경보용 DB로 침입패턴 업데이트를 요구하는 단계;
    상기 경보용 DB에서 상기 침입패턴 업데이트가 침입패턴 추가요구사항인지를 판단하여 침입패턴 추가요구사항일 경우, 침입패턴 관련 테이블의 P_ID를 키(KEY)로 하여 침입패턴을 추가하는 단계를 포함하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법.
  13. 제 12 항에 있어서, 상기 판단 단계에서 침입패턴 추가 요구사항이 아닐 경우,
    침입패턴 변경요구사항인지를 체크하여 침입패턴 변경요구사항일 경우, 침입패턴 관련 테이블의 P_ID를 키(KEY)로 하여 침입패턴을 변경하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법.
  14. 제 13 항에 있어서, 상기 체크 단계에서 침입패턴 변경요구사항이 아닐 경우,
    침입패턴 삭제요구사항인지를 판단하여 침입패턴 삭제요구사항일 경우, 침입패턴 관련 테이블의 P_ID를 키(KEY)로 하여 침입패턴을 삭제하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법.
  15. 제 14 항에 있어서, 상기 판단 단계에서 침입패턴 삭제요구사항이 아닐 경우,
    상기 정책 및 시스템 관리자에 잘못된 명령이라는 메시지를 제공하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법.
KR10-2001-0081570A 2001-12-20 2001-12-20 라돈-씨큐리티 게이트웨이 시스템의 정책 전달 및 경보용데이터베이스 관리방법 KR100439174B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0081570A KR100439174B1 (ko) 2001-12-20 2001-12-20 라돈-씨큐리티 게이트웨이 시스템의 정책 전달 및 경보용데이터베이스 관리방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0081570A KR100439174B1 (ko) 2001-12-20 2001-12-20 라돈-씨큐리티 게이트웨이 시스템의 정책 전달 및 경보용데이터베이스 관리방법

Publications (2)

Publication Number Publication Date
KR20030051929A true KR20030051929A (ko) 2003-06-26
KR100439174B1 KR100439174B1 (ko) 2004-07-05

Family

ID=29576682

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0081570A KR100439174B1 (ko) 2001-12-20 2001-12-20 라돈-씨큐리티 게이트웨이 시스템의 정책 전달 및 경보용데이터베이스 관리방법

Country Status (1)

Country Link
KR (1) KR100439174B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7680062B2 (en) 2004-12-02 2010-03-16 Electronics And Telecommunications Research Institute Apparatus and method for controlling abnormal traffic
US9021486B2 (en) 2010-08-19 2015-04-28 International Business Machines Corporation Selective constant complexity dismissal in task scheduling

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6578147B1 (en) * 1999-01-15 2003-06-10 Cisco Technology, Inc. Parallel intrusion detection sensors with load balancing for high speed networks
US6622150B1 (en) * 2000-12-18 2003-09-16 Networks Associates Technology, Inc. System and method for efficiently managing computer virus definitions using a structured virus database

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7680062B2 (en) 2004-12-02 2010-03-16 Electronics And Telecommunications Research Institute Apparatus and method for controlling abnormal traffic
US9021486B2 (en) 2010-08-19 2015-04-28 International Business Machines Corporation Selective constant complexity dismissal in task scheduling
US9052950B2 (en) 2010-08-19 2015-06-09 International Business Machines Corporation Selective constant complexity dismissal in task scheduling
US9262215B2 (en) 2010-08-19 2016-02-16 International Business Machines Corporation Selective constant complexity dismissal in task scheduling

Also Published As

Publication number Publication date
KR100439174B1 (ko) 2004-07-05

Similar Documents

Publication Publication Date Title
US7673137B2 (en) System and method for the managed security control of processes on a computer system
US7904573B1 (en) Temporal access control for computer virus prevention
JP4373779B2 (ja) ステイトフル分散型イベント処理及び適応保全
US7308714B2 (en) Limiting the output of alerts generated by an intrusion detection sensor during a denial of service attack
US9325725B2 (en) Automated deployment of protection agents to devices connected to a distributed computer network
US7757285B2 (en) Intrusion detection and prevention system
US6405318B1 (en) Intrusion detection system
AU2004289001B2 (en) Method and system for addressing intrusion attacks on a computer system
US7039950B2 (en) System and method for network quality of service protection on security breach detection
US20040205419A1 (en) Multilevel virus outbreak alert based on collaborative behavior
US20030188190A1 (en) System and method of intrusion detection employing broad-scope monitoring
US20030110393A1 (en) Intrusion detection method and signature table
US20070266433A1 (en) System and Method for Securing Information in a Virtual Computing Environment
KR20000072707A (ko) 실시간 침입탐지 및 해킹 자동 차단 방법
US8925081B2 (en) Application based intrusion detection
JP2002073433A (ja) 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法
GB2381722A (en) intrusion detection (id) system which uses signature and squelch values to prevent bandwidth (flood) attacks on a server
KR101268104B1 (ko) 침입방지시스템 및 그 제어방법
Singh Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis
KR100439174B1 (ko) 라돈-씨큐리티 게이트웨이 시스템의 정책 전달 및 경보용데이터베이스 관리방법
JP2004030287A (ja) 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム
KR20070008804A (ko) 호스트 기반의 보안 시스템 및 그를 이용한 보안 서비스제공 방법
JP2003186763A (ja) コンピュータシステムへの不正侵入の検知と防止方法
KR100959264B1 (ko) 네트워크를 이용하는 프로세스의 감시를 통한 좀비pc 차단 시스템 및 그 방법
KR20030091888A (ko) 네트워크 인프라 장애 방지 시스템 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110609

Year of fee payment: 8

LAPS Lapse due to unpaid annual fee