KR20040021926A - A Method for Handling Intrusion Packet of Active Network using Sensor - Google Patents

A Method for Handling Intrusion Packet of Active Network using Sensor Download PDF

Info

Publication number
KR20040021926A
KR20040021926A KR1020020053690A KR20020053690A KR20040021926A KR 20040021926 A KR20040021926 A KR 20040021926A KR 1020020053690 A KR1020020053690 A KR 1020020053690A KR 20020053690 A KR20020053690 A KR 20020053690A KR 20040021926 A KR20040021926 A KR 20040021926A
Authority
KR
South Korea
Prior art keywords
sensor
intrusion
packet
network
management server
Prior art date
Application number
KR1020020053690A
Other languages
Korean (ko)
Other versions
KR100464567B1 (en
Inventor
오승희
남택용
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0053690A priority Critical patent/KR100464567B1/en
Publication of KR20040021926A publication Critical patent/KR20040021926A/en
Application granted granted Critical
Publication of KR100464567B1 publication Critical patent/KR100464567B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

PURPOSE: A method for confronting a packet intruding into an active network by using a sensor is provided to protect the network stably by making the sensor inform a sensor management server of a probability of an intrusion packet, making the sensor management server order a confrontation method to the sensor after confirming the intrusion, and making the sensor actively confront the intrusion. CONSTITUTION: Each sensor operated on an execution node detects the intrusion of the intrusion packet by checking the packet entered through the active network. If the sensor detects the intrusion, the information related to a pattern of the intrusion packet is reported to the sensor management server(S303). The sensor management server confirms the intrusion by comparing the pattern information of the intrusion packet with the stored pattern information(S304). If the intrusion is confirmed, the sensor management server transfers a confrontation instruction and method for the intrusion packet to the sensor(S305). The sensor performs the confrontation for the intrusion packet by using the confrontation method according to the confrontation instruction(S306).

Description

센서를 이용한 액티브 네트워크 침입패킷 대응방법{A Method for Handling Intrusion Packet of Active Network using Sensor}A method for handling intrusion packet of active network using sensor

본 발명은 네트워크 보안에 관한 것으로서 보다 상세하게는, 액티브 네트워크에서 실행 노드의 센서 엔진 상에 상주하여 실행되는 센서를 이용하여 상기 액티브 네트워크를 통한 침입 패킷을 감시하고 침입 패킷이 발견되면 침입여부 확인하고 상기 침입 패킷에 대한 대응을 수행하는 센서를 이용한 액티브 네트워크 침입패킷 대응방법에 관한 것이다.The present invention relates to network security, and more particularly, to monitor intrusion packets through the active network using a sensor resident on the sensor engine of an execution node in an active network, and to check whether an intrusion packet is found. The present invention relates to a method for responding to an active network intrusion packet using a sensor that responds to the intrusion packet.

일반적으로 센서(Sensor)는 직접 피측정 대상에 접촉하거나 그 가까이서 데이터를 알아내어 필요한 정보를 신호로 전달하는 장치를 총칭한다. 인간의 감각으로는 측정할 수 없는 수치도 잴 수 있어 위험한 작업이 따르는 기계에도 많이 부착하며 특히 산업용 로봇에는 없어서는 안되는 요소가 되었다. 이러한 센서는 일반적으로 온도, 압력, 습도 등 여러 종류의 물리량을 검지, 검출하거나 판별, 계측하는데 이는 사람의 눈, 코, 귀, 혀 등과 같은 정보 수집 역할과 유사하다고 할 수 있다. 이와 같이 감지한 정보를 인간의 두뇌에 해당하는 정보처리부에 전달하여 그 곳에서 판단을 내리게 한다. 센서의 출력신호로는 전기 신호가 많이 쓰이는데, 그것은 증폭, 저장 및 원격조작 등이 쉽고, 뇌에 해당하는 컴퓨터에 입력할 때 취급하기가 쉽기 때문이다.In general, a sensor generally refers to a device that directly detects data near or near a target to be measured and delivers necessary information as a signal. It can also be measured by the human senses, and it can be attached to a lot of dangerous work machines, especially in industrial robots. Such sensors generally detect, detect, determine, or measure various types of physical quantities such as temperature, pressure, and humidity, which are similar to the role of collecting information such as human eyes, nose, ears, and tongue. The detected information is transferred to the information processing unit corresponding to the human brain, where the judgment is made there. The output signal of the sensor is used a lot of electrical signals, because it is easy to amplify, store and remote control, and easy to handle when input to the computer corresponding to the brain.

그러나, 이러한 종래의 센서는 하나의 응용 계층에서 동작하는 프로그램의 일종으로서, 그 센서 기술은 단순히 정보 수집에만 한정되어 있는 실정이다. 이와 같이 단순히 데이터를 수집하여 이를 전달하는 종래의 수동적 센서를 통해 네트워크를 능동적으로 보안, 감시 및 관리하기는 사실상 한계가 있었다. 따라서, 센서를 이용한 네트워크의 능동적 보안을 위해서는, 네트워크 상의 센서 엔진을 가진 실행 노드에 존재하며, 프로그래머블이 가능하고 네트워크 관리에 관해 향상된 기능을지니며 응용 계층뿐만 아니라 운영체제의 커널에서 동작하는 새로운 개념의 센서의 필요성이 대두되었다.However, such a conventional sensor is a kind of program operating in one application layer, and the sensor technology is limited to simply collecting information. As such, there has been practical limitations in actively securing, monitoring, and managing a network through a conventional passive sensor that simply collects data and delivers it. Therefore, for the active security of the network using the sensor, it exists in the execution node with the sensor engine on the network, and it is a new concept that is programmable, has improved functions in network management, and operates in the kernel of the operating system as well as the application layer. The need for sensors has emerged.

최근 정보통신기술의 발달로 인터넷을 손쉽게 사용할 수 있게 되었으며 누구나 네트워크에 간단하게 연결하여 많은 정보를 주고 받을 수 있게 되었다. 그러나, 이와 더불어 타인의 정보를 유출하여 악용함으로써 다른 사용자들에게 피해를 주는 일들이 증가하게 되고, 해킹 등과 같이 시스템 또는 네트워크를 마비시키는 등의 부작용도 많이 나타나게 되었으며 그 수법 또한 다양해지고 있다. 따라서, 종래에 수동적이고 자신의 네트워크를 보호하려는데 급급했던 보안 정책에서 벗어나 외부 침입자에 대하여 능동적이고 적극적으로 대처하기 위해서는 새로운 대응책이 절실히 요구되어 왔다.Recently, with the development of information and communication technology, the Internet can be used easily, and anyone can simply connect to the network to send and receive a lot of information. However, by leaking and exploiting other people's information, the number of damages to other users increases, and many side effects such as hacking of the system or the network, such as hacking, also appear, and the methods thereof are also diversified. Therefore, new countermeasures are urgently needed to proactively and actively cope with external intruders from security policies that have been urgently needed to protect their own networks.

종래의 네트워크 보안의 경우는 침입 차단 시스템(Firewall)이나 침입 탐지 시스템(Intrusion Detection System;IDS), 또는 가상 사설망(Virtual Private Network;VPN)을 도입하여, 이것이 설치된 네트워크로 들어오는 트래픽에 대하여 사전에 일정 규칙을 정하여 불법적인 침입자(Attacker 또는 Hacker)인지 아닌지를 확인하고 불법적인 침입자인 경우 트래픽을 차단하여 자신의 네트워크를 보호하는 방법이었다. 그러나, 상기 방법은 매우 지엽적이고 수동적인 방법으로서, 이와 같은 방법으로는 분산 환경에서 이루어지는 다수 침입자에 의한 대규모 분산 서비스 거부 공격(Distributed Denial of Service;DDoS)을 예방하기에는 한계가 있었다. 이와 같은 문제를 해결하기 위해 종래의 개별적인 보안 시스템을 하나로 연동하여 보다 나은 보안을 제공하기 위한 통합 보안 시스템이 대두되고 있으나, 이기종 보안시스템을 하나로 연동하는데도 역시 많은 문제점이 있었다.In the case of conventional network security, a firewall, an intrusion detection system (IDS), or a virtual private network (VPN) is introduced to provide a predetermined schedule for traffic entering the network in which it is installed. It was a way to protect your network by setting rules to see if you were an illegal intruder (Attacker or Hacker) and blocking the traffic if you were an illegal intruder. However, this method is very local and passive, and this method has a limitation in preventing a large-scale distributed denial of service attack by multiple intruders in a distributed environment. In order to solve such a problem, an integrated security system for providing better security by interworking a conventional individual security system is emerging, but there are also many problems in interworking heterogeneous security systems.

한편, 센서를 이용하여 네트워크 기반의 인텔리전트를 감시하는 시스템이 대한민국 특허출원 제2000-27086호에 게시되어 있다. 상기 시스템은 다수의 센서로 이루어진 센서부, 영상을 로컬 CPU로 전송하는 다수의 웹 카메라, 상기 로컬 CPU에 연결된 로컬 컨트롤 로직, 상기 로컬 CPU와 네트워크로 연결된 서버, 상기 서버와 연결된 디스플레이 장치, 컨트롤 로직 및 입력장치로 구성되어, 네트워크를 기반으로 하여 건물의 이상 상태를 감시하고 이상 상태 발생시 이에 대한 대응활동을 자동으로 수행할 수 있는 인텔리전트 감시 시스템을 제공한다. 그러나, 상기 시스템에서의 센서는 단순히 감시 대상의 데이터를 로컬 CPU에 전송하는 기능만을 가지며 응용 프로그램상에서만 동작이 가능하다.On the other hand, a system for monitoring network-based intelligent using a sensor is published in the Republic of Korea Patent Application No. 2000-27086. The system includes a sensor unit including a plurality of sensors, a plurality of web cameras for transmitting an image to a local CPU, a local control logic connected to the local CPU, a server connected to the local CPU and a network, a display device connected to the server, and control logic. And an input device, and provide an intelligent monitoring system that can monitor an abnormal condition of a building based on a network and automatically perform a corresponding action when an abnormal condition occurs. However, the sensor in the system merely has a function of transmitting data to be monitored to the local CPU and can only operate on an application program.

또한, 네트워크의 보안성을 높이는 방법에 관한 선행특허로서, 대한민국 특허출원 제1999-004918호에는 이동 에이전트가 동일장소에 존재하는 다른 이동 에이전트를 식별하는 방법이 게시되어 있다. 상기 방법은 이동 에이전트 내에 유전자 정보를 조합하여 분산 컴퓨터 환경에 존재하는 원격 서버로 이동 에이전트를 이동시키고 인스트럭션을 형성할 때 자신의 에이전트 내부에 선조 유전자 정보와 자기 유전자 정보를 가지고서, 새로운 다른 에이전트를 만나면 유전자 정보를 상호 비교함으로써 다른 이동 에이전트를 식별하는 것이다. 특히, 이동 에이전트 내에 유전자 정보를 조합함으로써 각 이동 에이전트가 이동중에 자기의 선조나 자식, 손자, 형제 등을 확인하고 이로써 다른 이동 에이전트를 식별하는 방법을 제공한다. 그러나, 상기 방법은 네트워크 상에서 이동 에이전트의 식별방법을 제공할 뿐, 네트워크에서 침입자에 대한 패턴 분석을 수행하고 상기 침입자에 대한 능동적이고 적극적으로 대응방법을 제공하지는 못했다.In addition, as a prior patent on a method of improving the security of the network, Korean Patent Application No. 1999-004918 discloses a method for identifying a mobile agent in which another mobile agent exists in the same place. The method combines the genetic information in the mobile agent to move the mobile agent to a remote server in a distributed computer environment, and has the ancestral gene information and the self-genetic information in its agent when meeting the new agent. By comparing genetic information with each other, different mobile agents are identified. In particular, by combining genetic information in a mobile agent, each mobile agent provides a method of identifying its ancestors, children, grandchildren, siblings, etc. and thereby identifying other mobile agents. However, the method only provides a method for identifying a mobile agent on the network, and does not provide a method for analyzing an intruder in the network and providing a proactive and active response method for the intruder.

이와 같이 종래의 센서는 그 기능이 단순하고 하나의 응용 계층에서 동작하기 때문에, 복잡한 분산 네트워크 시스템 환경에서 그 시스템의 자원을 능동적으로 사용할 수 없으며 이로 인해 상술한 바와 같이 네트워크를 통한 침입을 감시하고 침입발견시 능동적으로 대처하기에는 사실상 불가능하였다.As such, the conventional sensor has a simple function and operates at one application layer, and thus cannot actively use resources of the system in a complex distributed network system environment, thereby monitoring and invading intrusion through the network as described above. It was virtually impossible to cope actively with discovery.

상기 문제를 해결하기 위해 안출된 것으로 본 발명은, 패킷 패턴 인식 기능을 갖는 실행 노드상의 센서 엔진 상에 존재하는 센서가 침입 패킷의 가능성을 발생하는 경우 이를 센서 관리 서버에 알리고, 상기 센서 관리 서버는 침입 여부를 확인한 후 적절한 대응방식을 상기 센서로 지시하며 상기 센서는 상기 지시에 따라 능동적으로 상기 침입에 대응함으로써 네트워크를 안정적으로 보호할 수 있는 센서를 이용한 네트워크 침입패킷 대응방법을 제공하는데 그 목적이 있다.In order to solve the above problem, the present invention is directed to a sensor management server when a sensor existing on a sensor engine on an execution node having a packet pattern recognition function generates a possibility of an intrusion packet. After confirming the intrusion, the appropriate response method is instructed by the sensor, and the sensor actively responds to the intrusion according to the instruction to provide a network intrusion packet response method using a sensor that can stably protect the network. have.

도 1은 본 발명이 적용되는 액티브 네트워크 구성의 일실시예를 보이는 구성도이다.1 is a block diagram showing an embodiment of an active network configuration to which the present invention is applied.

도 2는 본 발명에 따른 실행 노드의 일실시예를 보이는 구조도이다.2 is a structural diagram showing an embodiment of an execution node according to the present invention.

도 3은 본 발명에 따른 액티브 네트워크 침입 패킷에 대한 대응방법을 보이는 흐름도이다.3 is a flowchart illustrating a method for responding to an active network intrusion packet according to the present invention.

* 도면의 주요 부분에 대한 부호의 설명 *Explanation of symbols on the main parts of the drawings

10 : 액티브 네트워크 110 : 센서 관리 서버10: active network 110: sensor management server

111 : 센서 관리 데이터베이스 112 : 센서 통신 인터페이스111: sensor management database 112: sensor communication interface

113 : 침입 패턴 데이터베이스 120 : 센서113: Intrusion Pattern Database 120: Sensor

130 : 센서 엔진 140 : 실행 노드130: sensor engine 140: running node

150 : 침입 패킷150: intrusion packet

상기 목적을 달성하기 위한 본 발명은, 각각 센서가 상주하여 실행되는 센서 엔진을 갖는 복수개의 실행 노드와 상기 센서를 관리하는 센서 관리 서버를 포함하여 구성된 액티브 네트워크에서 센서를 이용한 액티브 네트워크 침입 패킷 대응방법에 있어서,In order to achieve the above object, the present invention provides a method for responding to an active network intrusion packet using a sensor in an active network including a plurality of execution nodes each having a sensor engine in which a sensor resides and a sensor management server managing the sensor. To

상기 복수개의 실행 노드에서 실행되는 각 센서가 상기 액티브 네트워크를 통해 들어오는 패킷을 점검하여 침입 패킷의 침입을 감지하는 제1 단계; 상기 센서가 상기 침입 패킷의 침입을 감지하면 상기 침입 패킷의 패턴 관련 정보를 상기 센서 관리 서버에게 보고하는 제2 단계; 상기 센서 관리 서버는 상기 센서로부터 수신한 상기 침입 패킷의 패턴 관련 정보와 자신이 기저장하고 있는 침입 패턴 관련 정보를 비교하여 침입여부를 확인하는 제3 단계; 상기 제3 단계의 확인 결과 침입으로 확인되면 상기 센서 관리 서버는 상기 해당 센서에게 상기 침입 패킷에 대한 대응지시 및 그에 따른 대응법을 전달하는 제4 단계; 및 상기 해당 센서는 상기 센서 관리 서버로부터 전달된 대응지시에 따라 상기 대응법을 이용하여 상기 침입 패킷에 대한 대응을 수행하는 제5 단계;를 포함한다.A first step of each sensor running in the plurality of execution nodes checking packets coming through the active network to detect intrusion of intrusion packets; A second step of reporting, by the sensor, the intrusion of the intrusion packet, the pattern related information of the intrusion packet to the sensor management server; A third step of the sensor management server comparing the pattern related information of the intrusion packet received from the sensor with the intrusion pattern related information previously stored in the sensor to determine whether the intrusion has occurred; A fourth step of transmitting, by the sensor management server, a response to the intrusion packet to the corresponding sensor and a corresponding method according to the detection result of the third step; And a fifth step of performing corresponding to the intrusion packet by using the corresponding method according to the corresponding instruction transmitted from the sensor management server.

여기서, 상기 제1 단계는, 상기 센서가 상기 들어오는 패킷의 패턴 또는 동작을 확인하여 침입 패킷을 감지한다. 또한, 상기 센서 관리 서버는, 침입 패턴 데이터베이스부를 구비하여 상기 액티브 네트워크를 통해 들어오는 침입 패킷에 대하여 패턴별로 패턴 관련 정보를 미리 수집하여 저장해 둔다. 상기 실행 노드는, 상기 센서가 실행할 수 있는 제반 환경을 제공해 주며, 상기 센서는, 상기 액티브 네트워크 실행 노드의 센서 엔진 위에 존재하며 이동 코드의 이동성을 지니고 운영체제의 커널에서 동작한다. 한편, 상기 액티브 네트워크 침입 패킷 대응방법은, 상기 제3 단계의 확인 결과 침입이 아닌 것으로 확인되면 상기 센서는 다음에 들어오는 패킷을 점검하는 단계를 포함한다.Here, the first step, the sensor detects the intrusion packet by checking the pattern or operation of the incoming packet. In addition, the sensor management server includes an intrusion pattern database unit, and collects and stores pattern related information in advance for each intrusion packet entering through the active network. The execution node provides an environment in which the sensor can execute, and the sensor resides on the sensor engine of the active network execution node and operates in the kernel of the operating system with mobility of mobile code. On the other hand, the active network intrusion packet response method, if it is determined that the intrusion is not determined as the third step includes the step of checking the next incoming packet.

본 발명은 외부로부터 액티브 네트워크를 통하여 들어오는 패킷 중 이상징후가 보이는 침입 패킷을 센서가 감시하고 침입 패킷의 침입 가능성을 발견한 경우에이를 센서 관리 서버에 보고하면 상기 센서 관리 서버는 상기 보고에 대한 침입 패킷의 침입 여부를 확인한 후 이에 대한 적절한 대응방식을 상기 센서로 지시하고 상기 센서는 이를 수신하여 상기 침입 패킷에 대하여 능동적이고 적극적으로 대처하는 방법을 제공한다. 이를 위하여 본 발명은 네트워크를 통해 들어오는 패킷의 흐름을 인식하고 상기 패킷의 패턴을 통해 침입 패턴을 확인하는 메커니즘과, 이상한 패턴을 가진 침입 패킷을 통해 진짜 침입 여부를 판단하는 메커니즘을 포함한다.According to the present invention, when a sensor monitors an intrusion packet showing an abnormal symptom among packets coming in through an active network from the outside and reports the possibility of intrusion of the intrusion packet, the sensor management server reports an intrusion to the sensor management server. After checking whether the packet is invaded, and instructs the sensor to respond to an appropriate response method, the sensor receives this and provides a method for actively and actively responding to the intrusion packet. To this end, the present invention includes a mechanism for recognizing the flow of packets coming through the network and confirming the intrusion pattern through the pattern of the packet, and a mechanism for determining whether or not the real intrusion through the intrusion packet having a strange pattern.

이하, 본 발명의 바람직한 실시예를 첨부한 도면을 참조하여 본 발명을 보다 상세하게 설명한다.Hereinafter, with reference to the accompanying drawings, preferred embodiments of the present invention will be described in detail the present invention.

도 1은 본 발명이 적용되는 액티브 네트워크 구성의 일실시예를 보이는 액티브 네트워크 구성도이다. 도 1에 도시된 액티브 네트워크(Active Network)는 예를 들어, ISP 망과 같은 대규모의 네트워크일 수도 있고, 또는 IP 네트워크나 오버레이(overlay) 형태로 존재하는 액티브 네트워크일 수도 있다. 도 1을 참조하면, 센서 관리 서버(110)는 액티브 네트워크(10)의 전반적인 관리를 담당하며, 각 실행 노드(140)는 액티브 네트워크(10)상에서의 연결점으로서 데이터 송신의 재분배점 또는 끝점을 나타낸다. 상기 실행 노드(140)는 상기 액티브 네트워크(10)의 관리 정보를 포함하며 데이터를 인식, 처리하거나 다른 노드로 전송하기 위한 기능을 가지도록 프로그래밍되어 있다. 나아가, 도면에는 미도시 되었으나, 상기 각각의 실행 노드(140)는 다른 네트워크(다른 액티브 네트워크 또는 일반적인 IP 네트워크일수도 있음)의 실행 노드와 연결되어 데이터를 전송할 수도 있고 호스트에 직접 연결될 수도 있다. 상기 실행 노드(140)는 예를 들어, 라우터 등이 될 수 있다.1 is an active network configuration diagram showing an embodiment of an active network configuration to which the present invention is applied. The active network illustrated in FIG. 1 may be, for example, a large-scale network such as an ISP network, or may be an active network existing in the form of an IP network or an overlay. Referring to FIG. 1, the sensor management server 110 is responsible for overall management of the active network 10, and each execution node 140 represents a redistribution point or endpoint of data transmission as a connection point on the active network 10. . The execution node 140 includes management information of the active network 10 and is programmed to have a function for recognizing, processing, or transmitting data to another node. Furthermore, although not shown in the drawing, each execution node 140 may be connected to an execution node of another network (which may be another active network or a general IP network) to transmit data or directly to a host. The execution node 140 may be, for example, a router.

상기 실행 노드(140)는 각각 센서 엔진(130)을 포함한다. 상기 각 센서 엔진(130) 상에는 각각 센서(120)가 상주하면서 실행된다. 실질적으로 상기 센서(120)가 액티브 네트워크 관리 정보를 포함하며 상기 센서 관리 서버(110)로부터의 정책을 수신하여 상기 액티브 네트워크 관리를 담당한다. 상기 센서(130)가 탑재되는 실행 노드(140)는, 상기 센서(130)가 실행되는데 요구되는 모든 환경을 제공하는 실행 환경, 상기 센서(120)가 탑재할 수 있는 센서 엔진(130) 및 응용 프로그램들과 인터페이스를 제공하는 API(Application Program Interface)로 구성된다. 이는 하기에서 상세히 설명하기로 한다. 상기 실행 노드(140)는 세부적으로 패킷 판단 기능을 기본으로 포함하고 있으며, 그 외에 다른 기능들을 추가로 포함할 수도 있다. 또한, 상기 실행 노드(140)는 상기 센서(120)가 침입 패킷(150)에 대하여 대응하는데 요구되는 기능들을 보조하는 역할도 수행한다. 나아가, 상기 센서(120)는 상기 각 실행 노드(140)의 기능을 통해서 들어오는 패킷의 흐름 패턴을 분석하고 상기 분석된 결과를 상기 센서 관리 서버(110)로 전송하고 상기 센서 관리 서버(110)로부터 대응 지시를 수신하여 상기 침입 패킷(150)에 대하여 대응을 수행하도록 한다. 또한, 본 발명에 따른 센서(120)는 네트워크 상에 존재하며, 프로그래머블이 가능하고 네트워크 관리, 보안에 관해 향상된 기능을 지낸 새로운 개념의 센서이다. 특히, 상기 센서(120)는 이동 코드의 이동성을 지니고 운영체제의 커널에서 동작하며, 네트워크를 구성하는 시스템의 자원을 사용할 수 있고 운영체제의 일부분에 직접 연결하여 필요에 따라 내용을 변경하는 기능도 가진다.Each execution node 140 includes a sensor engine 130. The sensor 120 resides on each sensor engine 130 and is executed. Substantially, the sensor 120 includes active network management information and receives a policy from the sensor management server 110 to manage the active network. The execution node 140 on which the sensor 130 is mounted includes an execution environment that provides all the environments required for the sensor 130 to be executed, a sensor engine 130 on which the sensor 120 can be mounted, and an application thereof. It consists of API (Application Program Interface) that provides programs and interfaces. This will be described in detail below. The execution node 140 basically includes a packet determination function in detail, and may further include other functions. In addition, the execution node 140 also serves to assist the functions required for the sensor 120 to respond to the intrusion packet 150. Further, the sensor 120 analyzes the flow pattern of incoming packets through the function of each execution node 140 and transmits the analyzed result to the sensor management server 110 and from the sensor management server 110. Receive a corresponding instruction to perform a response to the intrusion packet 150. In addition, the sensor 120 according to the present invention is a sensor of a new concept that exists on the network, which is programmable and has improved functions with respect to network management and security. In particular, the sensor 120 operates in the kernel of an operating system having mobility of mobile code, can use resources of a system constituting a network, and has a function of directly changing a content as necessary by directly connecting to a part of the operating system.

도 1에 도시된 바와 같이, 상기 센서 관리 서버(110)는 센서 관리 데이터베이스부(111), 센서 통신 인터페이스부(112) 및 침입 패턴 데이터베이스부(113)를 포함한다. 상기 센서 관리 서버(110)와 상기 각 센서(120)는 하나의 네트워크를 구성한다. 상기 센서 관리 데이터베이스부(111)는 현재 도메인에 상주중인 모든 센서(120)에 대한 정보를 데이터베이스로 구축하여 관리한다. 상기 센서 관리 서버(110)는 상기 센서 관리 데이터베이스부(111)의 센서 정보를 이용하여 상기 센서(120)의 인증 및 갱신을 수행하며 상기 센서(120)로 상기 센서 관리 서버(110)의 정책을 전달하고 상기 정책을 인증한다. 상기 센서 통신 인터페이스부(112)는 상기 센서 관리 서버(110)와 상기 센서(120)가 탑재될 수 있는 모든 환경을 제공하는 실행 노드(140)의 센서 엔진(130) 상에 현재 존재하는 센서(120)들과의 통신을 담당한다. 상기 침입 패턴 데이터베이스부(113)는 침입 패턴에 관련된 모든 정보들을 데이터베이스로 구축하여 저장한다. 즉, 상기 센서 관리 서버(110)는 자체 도메인 뿐만 아니라 외부 도메인으로부터 상기 액티브 네트워크를 통해 들어오는 이상한 행위나 패턴을 가진 패킷 또는 트래픽에 대한 정보를 상기 침입 패턴 데이터베이스부(113)에 저장하게 된다. 여기서, 상기 센서 관리 서버(110)는 상기 센서(120)의 침입 패킷 발견 여부와 상관없이 바람직하게는 모든 침입 패턴 정보를 상기 침입 패턴 데이터베이스부(113)에 저장하여 관리하고, 지속적으로 새로운 침입 패턴을 수집하여 이를 상기 침입 패턴 데이터베이스부(113)에 저장하며 자동으로 업그레이드하도록 한다. 이는 네트워크를 계속 감시하여 새로운 침입 패킷이 발견되면 상기 센서 관리 서버(110)가 상기 침입패킷 패턴과 상기 침입 패턴 데이터베이스부(113)에 미리 저장된 침입 패턴을 비교하여 진짜 침입인지 그 여부를 판단하기 위한 것이다.As shown in FIG. 1, the sensor management server 110 includes a sensor management database 111, a sensor communication interface 112, and an intrusion pattern database 113. The sensor management server 110 and each sensor 120 constitute a network. The sensor management database 111 constructs and manages information on all sensors 120 currently resident in the domain as a database. The sensor management server 110 performs authentication and update of the sensor 120 by using the sensor information of the sensor management database 111 and informs the sensor 120 of the policy of the sensor management server 110. Forward and authenticate the policy. The sensor communication interface 112 is a sensor currently present on the sensor engine 130 of the execution node 140 that provides all the environments in which the sensor management server 110 and the sensor 120 can be mounted. It is in charge of communication with them. The intrusion pattern database unit 113 constructs and stores all information related to the intrusion pattern in a database. That is, the sensor management server 110 stores in the intrusion pattern database 113 information on packets or traffic having strange behavior or patterns coming into the active network from the external domain as well as its own domain. In this case, the sensor management server 110 preferably stores and manages all intrusion pattern information in the intrusion pattern database unit 113 regardless of whether an intrusion packet is detected by the sensor 120 and continuously maintains a new intrusion pattern. Collect and store it in the intrusion pattern database 113 to upgrade automatically. The sensor management server 110 compares the intrusion packet pattern with the intrusion pattern previously stored in the intrusion pattern database unit 113 when a new intrusion packet is found by continuously monitoring the network. will be.

상기 센서(120)는 상기 실행 노드(140)의 센서 엔진(130) 상에 상주하면서 상기 센서 통신 인터페이스부(112)와의 통신을 통해 상기 센서 관리 서버(110)로부터의 정책을 전달받아 실행된다. 이와 동시에 상기 센서(120)는 상기 네트워크(10)를 통해 침입하는 침입 패킷(150)을 감시함으로써 상기 네트워크(10)의 전반적인 감시를 수행한다. 이때, 상기 센서(120)는 상기 액티브 네트워크(10)를 통해 들어오는 패킷을 일일이 점검하여 이상한 행위나 패턴이 있는지를 확인함으로써 침입 패킷(150)의 침입 여부를 확인하게 된다. 만약, 임의의 센서(120)가 상기 네트워크를 통해 들어오는 패킷으로부터 이상한 행위나 패턴을 감지하게 되면 이를 상기 센서 통신 인터페이스부(112)와의 통신을 통해 상기 센서 관리 서버(110)에게 보고한다. 예를 들어, 특정 트래픽이 집중 또는 치우침이 발생한다든지, 내용은 없고 헤드만 있는 공격성의 트래픽이라든지, 또는 한꺼번에 많은 트래픽이 전송된다든지 하는 패킷의 동작 또는 패킷의 패턴을 점검하여 이상한 동작 또는 이상한 패턴이 감지되면 상기 센서(120)는 이를 상기 센서 관리 서버(110)에게 보고한다. 상기 센서 관리 서버(110)는 상기 보고를 수신한 후 상기 침입 패턴 데이터베이스부(113)에 저장된 침입 패턴과 매칭하여 진짜 침입인지를 확인한다. 상기 확인 결과 침입이 맞으면 상기 센서 관리 서버(110)는 상기 해당 센서(120)로 상기 침입에 대한대응지시 및 그 대응방식을 전달하고 상기 해당 센서(120)는 상기 대응지시에 따라 상기 전달 받은 대응방식으로 상기 침입 패킷(150)에 대한 대응을 수행하게 된다. 이와 같이 본 발명에서는 네트워크를 통한 침입 패킷(150)에 대하여 각 실행 노드(140)의 센서(120)가 이를 능동적으로 감시하고 상기 센서 관리 서버(110)의 대응지시에 따라 능동적으로 대처함으로써 상기 액티브 네트워크를 외부 침입으로부터 안전하게 보호할 수 있게 된다.The sensor 120 resides on the sensor engine 130 of the execution node 140 and is executed by receiving a policy from the sensor management server 110 through communication with the sensor communication interface 112. At the same time, the sensor 120 monitors the intrusion packet 150 invading through the network 10 to perform overall monitoring of the network 10. At this time, the sensor 120 checks the packet coming through the active network 10 one by one to check whether there is a strange behavior or pattern to determine whether the intrusion packet 150 is invaded. If any sensor 120 detects a strange behavior or pattern from a packet coming through the network, it reports the sensor management server 110 through communication with the sensor communication interface 112. For example, you may want to check the behavior of a packet or pattern of packets, such as concentrating or skewing specific traffic, headless and aggressive traffic, or sending a lot of traffic at once. When detected, the sensor 120 reports this to the sensor management server 110. After receiving the report, the sensor management server 110 matches the intrusion pattern stored in the intrusion pattern database unit 113 and checks whether it is a real intrusion. If the intrusion is correct, the sensor management server 110 transmits the corresponding response to the intrusion and the corresponding scheme to the corresponding sensor 120, and the corresponding sensor 120 responds to the received response according to the corresponding instruction. In response to the intrusion packet 150 is performed. As described above, in the present invention, the sensor 120 of each execution node 140 actively monitors the intrusion packet 150 through the network and actively responds according to the corresponding instruction of the sensor management server 110. The network can be protected from external intrusions.

도 2는 본 발명에 따른 실행 노드의 일실시예를 보이는 구조도로서, 센서가 실행되는 실행 노드의 내부 구조도의 일실시예를 도시한 것이다. 도 2에 도시된 바와 같이, 실행 노드(140)는 응용 프로그램(210), API(220), 센서 엔진(130), 실행 환경(250)으로 구성되며 상기 센서 엔진(130) 상에는 상술한 센서(120)가 탑재되어 실행된다. 여기서, 상기 센서(120)가 실행할 수 있는 모든 제반 환경을 제공해 주는 것이 상기 실행 환경(250)이고, 상기 센서 엔진(130)은 상기 센서(120)가 맡은 침입자에 대한 정보 수집을 수행하기 위해 요구되는 패킷 패턴 판단부(230) 및 추후 추가될 기능부(240)들로 구성된다. 상기 센서(120)는 상기 센서 엔진(130) 위에서 상주하며 상기 API(220)를 통해서 여러 응용 프로그램들(210)과 연결된다.2 is a structural diagram showing an embodiment of an execution node according to the present invention, and shows an embodiment of an internal structure diagram of an execution node on which a sensor is executed. As shown in FIG. 2, the execution node 140 includes an application program 210, an API 220, a sensor engine 130, and an execution environment 250, and the sensor engine 130 includes the above-described sensor ( 120 is mounted and executed. In this case, it is the execution environment 250 that provides all the environment that the sensor 120 can execute, and the sensor engine 130 is required to perform information collection on the intruder in charge of the sensor 120. The packet pattern determination unit 230 and the functional unit 240 to be added later. The sensor 120 resides on the sensor engine 130 and is connected to various application programs 210 through the API 220.

도 3은 본 발명에 따른 네트워크에서의 침입 패킷 대응방법을 보이는 흐름도를 도시한 것으로서, 침입이 일어났을 경우에 센서가 대응하는 과정을 나타내는 흐름도이다. 상기 실행 노드(140)의 센서 엔진(130) 상에 상주하는 각 센서(120)는액티브 네트워크 상에 존재하는 모든 패킷의 패턴을 감시하고 특히, 상기 액티브 네트워크 내로 들어오는 패킷을 점검한다(S301). 이때, 상기 패킷의 점검은 상기 패킷의 흐름 또는 패턴을 점검하여 이상한 행위 또는 이상한 패턴이 있는지를 검사하는 것이며, 바람직하게는 각 센서(120)가 들어오는 모든 패킷에 대하여 하나씩 점검한다. 이어, 상기 점검결과 상기 들어오는 패킷으로부터 이상한 행위 또는 이상한 패턴이 발견되었는지 확인한다(S302). 즉, 상기 단계(S302)에서는 상기 실행 노드(140)의 센서(120)가 상기 네트워크를 통해 침입 패킷이 침입하였는지를 확인하는 것이다. 상기 단계(S302)에서의 확인 결과, 상기 들어오는 패킷으로부터 이상한 행위 또는 패턴을 발견되지 않으면 상기 단계(S301)로 진행하여 다음 들어오는 패킷을 점검한다. 그러나, 상기 단계(S302)에서의 확인 결과, 상기 들어오는 패킷으로부터 이상한 행위 또는 패턴이 발견되면, 상기 센서(120)는 이를 감지하고 그 침입 패킷의 패턴 정보를 센서 통신 인터페이스부(112)를 통해서 상기 센서 관리 서버(110)로 보고한다(S303).3 is a flowchart illustrating a method of responding to an intrusion packet in a network according to the present invention, and is a flowchart illustrating a process in which a sensor responds when an intrusion occurs. Each sensor 120 residing on the sensor engine 130 of the execution node 140 monitors the pattern of all packets present on the active network and, in particular, checks packets coming into the active network (S301). At this time, the inspection of the packet is to check whether there is a strange behavior or a strange pattern by checking the flow or pattern of the packet, and preferably, each sensor 120 checks every incoming packet one by one. Subsequently, it is checked whether a strange behavior or a strange pattern is found from the incoming packet (S302). That is, in step S302, the sensor 120 of the execution node 140 checks whether an intrusion packet has invaded through the network. As a result of the checking in step S302, if no abnormal behavior or pattern is found from the incoming packet, the flow advances to step S301 to check the next incoming packet. However, if a strange behavior or pattern is found from the incoming packet as a result of checking in step S302, the sensor 120 detects this and detects the pattern information of the intrusion packet through the sensor communication interface 112. Report to the sensor management server 110 (S303).

이어, 상기 센서 관리 서버(110)는 자신이 보유하고 있는 침입 패턴 데이터베이스부(113)에 저장된 침입 패턴 관련 정보와 상기 센서(120)로부터 전송된 침입패턴 관련 정보를 매칭하여 진짜 침입인지 아닌지를 확인한다(S304). 계속하여, 상기 단계(S304)에서의 확인 결과, 침입이 아니라면 상기 침입을 보고한 해당 센서(120)에게 이 사실을 알리고 상기 단계(S301)로 진행하여 상기 해당 센서(120)는 다음 들어오는 패킷을 점검하게 된다. 그러나, 상기 단계(S304)에서의 확인 결과, 침입이 확실하면 상기 센서 관리 서버(110)는 상기 침입을 보고한 해당센서(120)에게 대응지시 및 그에 따른 대응방식을 전달한다(S305). 상기 해당 센서(120)는 상기 전달받은 대응지시에 따라 상기 대응방식으로 상기 침입 패킷(150)에 대한 대응기능을 수행하게 된다(S306).Subsequently, the sensor management server 110 checks whether the intrusion pattern related information stored in the intrusion pattern database 113 owned by the sensor management server 110 and the intrusion pattern related information transmitted from the sensor 120 is a real intrusion or not. (S304). Subsequently, if the result of the check in step S304 is not an intrusion, the sensor 120 that reported the intrusion is notified of the fact and proceeds to step S301, and the corresponding sensor 120 receives the next incoming packet. Will be checked. However, if the intrusion is confirmed as a result of the step (S304), the sensor management server 110 transmits the corresponding instruction to the corresponding sensor 120 that reported the intrusion and the corresponding method (S305). The sensor 120 performs a corresponding function with respect to the intrusion packet 150 in the corresponding manner according to the received corresponding instruction (S306).

상기한 바와 같이, 본 발명에 따르면 들어오는 패킷에 대한 정보를 미리 효율적으로 저장해 두었다가 침입 사실이 발견된 직후에 상기 저장된 정보에서 침입자에 대한 내용만을 추출하여 센서를 이용하여 역추적을 통해 상기 침입자가 속한 액티브 네트워크에서 직접 능동적으로 블로킹하는 것이다. 상기 센서는 이동성을 지니고 자체 프로그래밍 능력을 지닌 어플리케이션이다. 여기서, 능동이라는 것은 보안 측면에서 네트워크 침입에 대한 능동적인 대응을 의미하며 서비스 실행 측면에서는 네트워크 기술을 이용한 새로운 공격에 대한 탐지 및 대응 기술을 쉽게 수용하여 이를 동적으로 수행한다는 것을 의미한다.As described above, according to the present invention, information about an incoming packet is efficiently stored in advance, and immediately after an intrusion is found, only the information about the intruder is extracted from the stored information, and the intruder belongs to the intruder through the back trace using a sensor. Active blocking directly in the active network. The sensor is an application with mobility and self-programmability. In this regard, active means active response to network intrusion in terms of security, and in terms of service execution, it easily detects and responds to new attacks using network technology and dynamically performs them.

따라서, 본 발명은 이동 코드의 이동성을 지니며 운영체제의 커널에서 동작하는 새로운 개념의 센서를 이용하여 액티브 네트워크를 통한 침입을 감시하고 침입이 발견되면 센서 관리 서버와의 통신을 통해 칩임 여부와 대응방식을 결정하여 상기 해당 센서를 통해 능동적으로 직접 대응하도록 하는 방법을 제시하고 있다.Therefore, the present invention monitors an intrusion through an active network using a new concept of a sensor operating in the kernel of an operating system having mobility of a mobile code, and detects an intrusion through a communication with a sensor management server if an intrusion is detected and a corresponding method. The present invention proposes a method for actively determining and directly responding through the corresponding sensor.

상술한 상세한 설명 및 도면의 내용은 본 발명의 일실시예에 관한 것으로서 본 발명을 한정하는 것은 아니다. 특히, 네트워크의 구조 및 실행 노드의 구조, 그리고 센서의 기능은 본 발명에 대한 설명을 용이하게 하기 위한 것으로 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 치환, 변경, 또는 수정이 가능할 것이다. 따라서, 본 발명의 권리범위는 상세한 설명 및 도면에 의해서가 아니라 첨부한 청구범위에 의해 결정되어야만 할 것이다.The above description and contents of the drawings are related to one embodiment of the present invention and are not intended to limit the present invention. In particular, the structure of the network, the structure of the execution node, and the function of the sensor to facilitate the description of the present invention will be substituted, changed, or modified within the scope without departing from the spirit of the present invention. Accordingly, the scope of the invention should be determined by the appended claims rather than by the description and drawings.

상기한 바와 같이 본 발명에 따르면 다음과 같은 효과를 가진다.According to the present invention as described above has the following effects.

첫째, 센서를 이용하여 침입 방식에 따라 적절하고 효과적인 대응 방식을 선택하여 즉각적이고 능동적이 대응이 가능하다.First, it is possible to respond promptly and actively by selecting appropriate and effective response method according to intrusion method using sensor.

둘째, 센서를 이용하여 패킷 정보 수집함으로써 새로운 패킷 침입 방식 및 침입 대응 방식을 업데이트하는데 용이하며 효율적이다.Second, it is easy and efficient to update new packet intrusion method and intrusion response method by collecting packet information using sensor.

셋째, 센서 상호간의 통신 및 센서와 센서 관리 서버와의 통신을 통해 액티브 네트워크 침입에 대해 능동적이고 적극적인 대응 방식 적용이 가능하다.Third, active and proactive responses to active network intrusion can be applied through communication between sensors and communication between sensors and sensor management servers.

넷째, 본 발명의 센서 네트워킹 구조를 이용하여 특정 기업이나 정부 부처 혹은 국가 차원에서 국내외 해커로부터 사이버 공격에 대해 효과적으로 대응할 수 있도록 하여 안전하고 신뢰성 있는 인터넷 환경을 보장할 수 있으며, 또한 센서를 통한 센서 자체, 침입 패턴 및 대응 방식에 대한 업데이트가 용이하므로 관리가 수월하다.Fourth, by using the sensor networking structure of the present invention, it is possible to effectively respond to cyber attacks from domestic and foreign hackers at specific companies, government departments or national levels to ensure a safe and reliable Internet environment, and also through the sensor itself It is easy to update the intrusion pattern and response method, so it is easy to manage.

Claims (6)

각각 센서가 상주하여 실행되는 센서 엔진을 갖는 복수개의 실행 노드와 상기 센서를 관리하는 센서 관리 서버를 포함하여 구성된 액티브 네트워크에서 센서를 이용한 액티브 네트워크 침입 패킷 대응방법에 있어서,In the active network intrusion packet coping method using a sensor in an active network comprising a plurality of execution nodes each having a sensor engine running and resident sensor and a sensor management server for managing the sensor, 상기 복수개의 실행 노드에서 실행되는 각 센서가 상기 액티브 네트워크를 통해 들어오는 패킷을 점검하여 침입 패킷의 침입을 감지하는 제1 단계;A first step of each sensor running in the plurality of execution nodes checking packets coming through the active network to detect intrusion of intrusion packets; 상기 센서가 상기 침입 패킷의 침입을 감지하면 상기 침입 패킷의 패턴 관련 정보를 상기 센서 관리 서버에게 보고하는 제2 단계;A second step of reporting, by the sensor, the intrusion of the intrusion packet, the pattern related information of the intrusion packet to the sensor management server; 상기 센서 관리 서버는 상기 센서로부터 수신한 상기 침입 패킷의 패턴 관련 정보와 자신이 기저장하고 있는 침입 패턴 관련 정보를 비교하여 침입여부를 확인하는 제3 단계;A third step of the sensor management server comparing the pattern related information of the intrusion packet received from the sensor with the intrusion pattern related information previously stored in the sensor to determine whether the intrusion has occurred; 상기 제3 단계의 확인 결과 침입으로 확인되면 상기 센서 관리 서버는 상기 해당 센서에게 상기 침입 패킷에 대한 대응지시 및 그에 따른 대응법을 전달하는 제4 단계; 및A fourth step of transmitting, by the sensor management server, a response to the intrusion packet to the corresponding sensor and a corresponding method according to the detection result of the third step; And 상기 해당 센서는 상기 센서 관리 서버로부터 전달된 대응지시에 따라 상기 대응법을 이용하여 상기 침입 패킷에 대한 대응을 수행하는 제5 단계; 를 포함하는 것을 특징으로 하는 센서를 이용한 네트워크 침입 패킷 대응방법.A fifth step of the corresponding sensor performing a response to the intrusion packet by using the corresponding method according to a corresponding instruction transmitted from the sensor management server; Network intrusion packet response method using a sensor comprising a. 제 1항에 있어서, 상기 제1 단계는,The method of claim 1, wherein the first step, 상기 센서가 상기 들어오는 패킷의 패턴 또는 동작을 확인하여 침입 패킷을 감지하는 것을 특징으로 하는 센서를 이용한 네트워크 침입 패킷 대응방법.And a sensor detecting the intrusion packet by confirming a pattern or an operation of the incoming packet. 제 1항에 있어서, 상기 센서 관리 서버는,The method of claim 1, wherein the sensor management server, 침입 패턴 데이터베이스부를 구비하여 네트워크를 통해 들어오는 침입 패킷에 대하여 패턴별로 패턴 관련 정보를 미리 수집하여 저장해 두는 것을 특징으로 하는 센서를 이용한 네트워크 침입 패킷 대응방법.A network intrusion packet response method using a sensor comprising an intrusion pattern database unit for collecting and storing pattern-related information for each intrusion packet entering the network in advance. 제 1항에 있어서, 상기 실행 노드는,The method of claim 1, wherein the execution node, 상기 센서가 실행할 수 있는 제반 환경을 제공해 주는 것을 특징으로 하는 센서를 이용한 네트워크 침입 패킷 대응방법.Network intrusion packet response method using the sensor, characterized in that to provide a general environment that the sensor can run. 제 1항에 있어서, 상기 센서는,The method of claim 1, wherein the sensor, 상기 액티브 네트워크 실행 노드의 센서 엔진 위에 존재하며 이동 코드의 이동성을 지니고 운영체제의 커널에서 동작하는 것을 특징으로 하는 센서를 이용한 네트워크 침입 패킷 대응방법.A method for responding to a network intrusion packet using a sensor, which is located on a sensor engine of the active network execution node and operates in a kernel of an operating system having mobility of mobile code. 제 1항에 있어서,The method of claim 1, 상기 제3 단계의 확인 결과 침입이 아닌 것으로 확인되면 상기 센서는 다음에 들어오는 패킷을 점검하는 단계를 포함하는 것을 특징으로 하는 센서를 이용한네트워크 침입패킷 대응방법.And if it is determined that the third step is not an intrusion, the sensor checks a next incoming packet.
KR10-2002-0053690A 2002-09-06 2002-09-06 A Method for Handling Intrusion Packet of Active Network using Sensor KR100464567B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0053690A KR100464567B1 (en) 2002-09-06 2002-09-06 A Method for Handling Intrusion Packet of Active Network using Sensor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0053690A KR100464567B1 (en) 2002-09-06 2002-09-06 A Method for Handling Intrusion Packet of Active Network using Sensor

Publications (2)

Publication Number Publication Date
KR20040021926A true KR20040021926A (en) 2004-03-11
KR100464567B1 KR100464567B1 (en) 2005-01-03

Family

ID=37325894

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0053690A KR100464567B1 (en) 2002-09-06 2002-09-06 A Method for Handling Intrusion Packet of Active Network using Sensor

Country Status (1)

Country Link
KR (1) KR100464567B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100501210B1 (en) * 2002-12-03 2005-07-18 한국전자통신연구원 Intrusion detection system and method based on kernel module in security gateway system for high-speed intrusion detection on network
KR100813886B1 (en) * 2006-10-23 2008-03-18 전자부품연구원 Device and method of controlling wireless sensor network based on packet monitoring and computer-readable medium having thereon program performing function embodying the same
WO2011062342A1 (en) * 2009-11-18 2011-05-26 주식회사 반딧불 Method and apparatus for controlling a network by analyzing a personal computer network packet
US10015176B2 (en) 2013-07-15 2018-07-03 Cyberseal Ltd. Network protection
KR20190125047A (en) * 2018-04-27 2019-11-06 한국전자통신연구원 Apparatus and method for intrusion response in vehicle network

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020069356A1 (en) * 2000-06-12 2002-06-06 Kwang Tae Kim Integrated security gateway apparatus

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100501210B1 (en) * 2002-12-03 2005-07-18 한국전자통신연구원 Intrusion detection system and method based on kernel module in security gateway system for high-speed intrusion detection on network
KR100813886B1 (en) * 2006-10-23 2008-03-18 전자부품연구원 Device and method of controlling wireless sensor network based on packet monitoring and computer-readable medium having thereon program performing function embodying the same
WO2011062342A1 (en) * 2009-11-18 2011-05-26 주식회사 반딧불 Method and apparatus for controlling a network by analyzing a personal computer network packet
US10015176B2 (en) 2013-07-15 2018-07-03 Cyberseal Ltd. Network protection
KR20190125047A (en) * 2018-04-27 2019-11-06 한국전자통신연구원 Apparatus and method for intrusion response in vehicle network

Also Published As

Publication number Publication date
KR100464567B1 (en) 2005-01-03

Similar Documents

Publication Publication Date Title
Touqeer et al. Smart home security: challenges, issues and solutions at different IoT layers
CN101116068B (en) Intrusion detection in a data center environment
US20220231987A1 (en) Network anti-tampering system
US7089303B2 (en) Systems and methods for distributed network protection
US7197563B2 (en) Systems and methods for distributed network protection
JP4581104B2 (en) Network security system
KR100464567B1 (en) A Method for Handling Intrusion Packet of Active Network using Sensor
KR20020075319A (en) Intelligent Security Engine and Intelligent and Integrated Security System Employing the Same
CN112671781A (en) RASP-based firewall system
KR20130033161A (en) Intrusion detection system for cloud computing service
EP3018878B1 (en) Firewall based prevention of the malicious information flows in smart home
Mauro et al. Towards a multilayer strategy against attacks on IoT environments
KR20080073112A (en) Network security system and method for process thereof
JP2003186763A (en) Detection and prevention method of breaking into computer system
KR100427448B1 (en) The mechanism of security policy stores and detection alert generation in Ladon-SGS
JP3309961B2 (en) Network attack defense system by traffic shaping
KR20040035305A (en) A Method for Reverse-Chasing the Active Network Attacker and Reporting the Result therefrom using movable Sensor
KR100728446B1 (en) Hardware based intruding protection device, system and method
Hasan et al. Wireless Sensor Security Issues on Data Link Layer: A Survey.
Pires et al. A framework for agent-based intrusion detection in wireless sensor networks
CN118337540A (en) Internet of things-based network intrusion attack recognition system and method
Huang et al. Intrusion Detection Based on Active Networks.
Ohoussou et al. Autonomous agent based intrusion detection in virtual computing environment
KR101177704B1 (en) Method, terminal, and computer-readable recording medium for blocking harmful url
Xiang et al. Protecting web applications from DDoS attacks by an active distributed defense system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20081202

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee