KR20040036228A - 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법 - Google Patents

네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법 Download PDF

Info

Publication number
KR20040036228A
KR20040036228A KR1020020065176A KR20020065176A KR20040036228A KR 20040036228 A KR20040036228 A KR 20040036228A KR 1020020065176 A KR1020020065176 A KR 1020020065176A KR 20020065176 A KR20020065176 A KR 20020065176A KR 20040036228 A KR20040036228 A KR 20040036228A
Authority
KR
South Korea
Prior art keywords
traffic
security
harmful
network
security management
Prior art date
Application number
KR1020020065176A
Other languages
English (en)
Other versions
KR100523483B1 (ko
Inventor
방효찬
나중찬
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0065176A priority Critical patent/KR100523483B1/ko
Publication of KR20040036228A publication Critical patent/KR20040036228A/ko
Application granted granted Critical
Publication of KR100523483B1 publication Critical patent/KR100523483B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크의 유해트래픽 탐지 및 대응 시스템 및 방법에 관한 것으로서, 그 시스템은 능동 네트워크 보안 프레임 워크에서, 보안노드시스템으로 유입되는 트래픽의 변동을 감시하여 변동이 감지되면 보안관리 시스템으로 송신하는 트래픽모니터링부; 이로부터 유해트래픽 추적 여부를 결정하고, 보안노드시스템으로 전송하는 유해트래픽추적관리부; 및 기준치 초과 트래픽 성분을 갖는 IP 주소를 검출하고 IP 주소가 위치하는 보안노드시스템 상에서 IP 주소에서 송신되는 기준치 초과 트래픽을 검출 및 차단하고 그 결과를 보안관리 시스템으로 전달하는 유해트래픽추적부를 포함함을 특징으로 한다. 본 발명에 의하면, 대역폭 소모형 분산 서비스 거부 공격과 같은 유해 트래픽을 조기에 탐지하고, 그 근원지를 추적하여 원천봉쇄하는 할 수 있다.

Description

네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법 {The system and method of malicious traffic detection and response in network}
본 발명은 네트워크 보안에 관한 것으로서, 더욱 상세하게는 액티브 네트워크를 이용한 보안 프레임 워크 상에서 네트워크의 트래픽 혼잡을 유발시키는 유해 트래픽을 탐지하고 대응하는 네트워크의 유해트래픽 탐지 및 대응 시스템 및 방법에 관한 것이다.
최근 들어 인터넷을 통한 사이버 공격의 형태가 다양해지고 복잡해지면서 단일 보안 시스템만으로는 이에 대한 효과적인 탐지 및 대응이 어려워지고 있다. 따라서 단일 보안 시스템들을 유기적으로 연관시키고 자동적으로 통합관리하기 위한 통합보안 관리 기술 및 통합 관제 시스템들이 제안되고 있다. 그러나 제한된 단일보안 관리 영역만을 중앙 집중적으로 관리하는 수동적인 보안 관리 체계로는 인터넷이라는 전 세계적인 광역 망을 통해 가해지는 사이버 공격을 막기에는 어려움이 있다.
더구나 분산서비스거부(Distributed Denied Of Service: 이하 'DDoS'라 한다) 공격은 매우 심각한 네트워크 보안 문제로 인식되고 있다. DDoS 공격은 정상적인 트래픽과 구별하기가 힘들어 사전에 예측하기가 곤란하며, 피해 규모가 네트워크 전역에 걸쳐 매우 크다. 또한 DDoS 공격의 대부분이 다량의 유해 트래픽을 네트워크에 유입시켜 망 전체의 자원을 고갈시키는 대역폭 소모형 공격 추세로 발전되고 있어 네트워크 보안 측면 뿐 만이 아니라 기존의 네트워크 자원 관리 측면에서도 매우 심각한 문제를 유발시키고 있다. 특히 이러한 DDos 공격은 피공격자 도메인(Domain)에서 해당 유해 패킷을 차단하더라도 전달 망에는 그대로 유해 트래픽이 유입되기 때문에 망 전체의 혼잡 및 자원 고갈은 해결되지 않는다. 따라서 기존의 국지적인 보안 구조로는 해결 할 수 없는 심각한 문제점들이 도출되고 있다. 이러한 상황으로 비추어 볼 때, 현실적으로 모든 DDoS 공격을 완전히 예측하고 대응할 수 있는 방안은 없지만, DDoS 공격으로 인한 네트워크 자원 및 서비스의 손실을 최소화 할 수 있는 탐지/대응 기술이 필요하다.
이를 위해서는 유해 트래픽을 사전에 감지해 내고, 유해 트래픽을 전송하는 해커 도메인 또는 보안관리 영역의 최초 유입점에서 유해 트래픽을 차단할 수 있는 능동적이고 지능적인 대응 기술이 필요하다. 이러한 기능을 실현하기 위해서는 수동적이고 정적인 기존의 통합 관리 방식 보다 유연하고 동적이며 분산적이고 협업적인 능동 보안 관리 메카니즘이 필요하다.
본 발명이 이루고자 하는 기술적 과제는 액티브 네트워크를 이용한 보안 프레임 워크 상에서 분산 서비스 거부공격과 같이 네트워크의 트래픽 혼잡을 유발시키는 유해 트래픽을 탐지하여 대응할 수 있게 하는, 네트워크에서의 유해트래픽 탐지/대응 시스템을 제공하는 데 있다. 즉 본 발명은 액티브 네트워크를 이용한 네트워크 보안 프레임워크 상에서 네트워크의 트래픽 혼잡을 유발시키는 유해 패킷을 실시간으로 탐지하고 추적하여 유해 패킷이 유입되는 최초 접속점에서 해당하는 유해 트래픽을 차단함을 목적으로 한다.
본 발명이 이루고자 하는 다른 기술적 과제는 액티브 네트워크를 이용한 보안 프레임 워크 상에서 분산 서비스 거부공격과 같이 네트워크의 트래픽 혼잡을 유발시키는 유해 트래픽을 탐지하여 대응할 수 있게 하는, 네트워크에서의 유해트래픽 탐지/대응 방법을 제공하는 데 있다.
도 1은 능동보안관리 프레임워크 및 메카니즘을 도시한 것이다.
도 2는 능동보안 시스템 플랫폼(Platform) 구조를 도시한 것이다.
도 3은 이동보안센서 처리 엔진 및 능동보안관리 엔진의 기능 블록을 도시한 것이다.
도 4는 능동보안관리 센서의 기능구조를 도시한 것이다.
도 5는 액티브 네트워크를 이용한 능동보안관리 프레임워크에서의 위장된(Spoofed) IP 역 추적 메커니즘 및 기능절차를 도시한 것이다.
도 6은 본 발명에 따른 유해 트래픽 탐지/대응 시스템이 기능하기 위한 액티브 네트워크를 이용한 네트워크 보안 프레임워크와 망 구성을 도시한 것이다.
도 7은 본 발명에 따른 유해 트래픽 탐지 및 대응 시스템을 블록도로 도시한 것이다.
도 8은 본 발명에 따른 유해트래픽 탐지 및 대응 시스템의 동작을 설명하기 위한 절차를 도시한 것이다.
상기 기술적 과제를 달성하기 위하여 본 발명에 따른 네트워크에서의 유해트래픽 탐지/대응 시스템은, 분산된 적어도 둘 이상의 보안관리 영역을 포함하는 능동 네트워크 보안 프레임 워크에 있어서, 상기 보안관리 영역은 광역 망의 접속점에 위치하여 보안기능을 수행하는 보안노드 시스템 및 보안관리 영역에서 발생한 보안위배 행위에 대해 대응하고 보안상태를 제어하는 보안관리 시스템을 포함할 때, 상기 보안노드 시스템으로 유입되는 트래픽의 변동을 감시하고, 소정의 기준치를 초과하는 트래픽 변동이 감지되면 이에 대한 이벤트 정보를 당해 보안관리 영역의 보안관리 시스템으로 송신하는 트래픽모니터링부; 상기 보안관리 시스템으로 전달된 이벤트 정보로부터 유해 트래픽 추적 여부를 결정하고, 이를 당해 보안노드 시스템으로 전송하는 유해트래픽추적관리부; 및 소정의 기준치를 초과하는 트래픽 성분을 갖는 근원지 IP 주소와 목적지 IP 주소를 검출하고, 근원지 IP 주소가 위치하는 보안관리 영역에 위치하는 보안노드 시스템 상에서, 상기 근원지 IP 주소에서 송신되는 트래픽을 분석한 후 소정의 기준치를 초과하는 트래픽을 검출하여 차단하고 유해 트래픽 탐지 및 대응 결과를 해당 보안 관리 영역 내의 보안관리 시스템으로 전달하는 유해트래픽추적부를 포함함을 특징으로 한다. 또한 상기 네트워크에서의 유해트래픽 탐지 및 대응 시스템은 유해 트래픽 탐지 및 대응 결과를 최초에 유해 트래픽 추적을 요구한 능동보안관리 시스템에게 통보하는 유해 트래픽 차단 보고부를 더 구비함이 바람직하다.
상기 다른 기술적 과제를 달성하기 위하여 본 발명에 따른 네트워크에서의 유해트래픽 탐지 및 대응 방법은, 네트워크의 트래픽의 변동을 감시하여 소정이 기준치를 초과하는 트래픽 변동이 감지되면 이에 대한 이벤트정보를 송신하는 제1단계; 상기 이벤트정보를 수신하여 유해 트래픽 추적 여부를 결정하는 제2단계; 및 추적이 필요하다고 판단되면, 상기 소정의 기준치를 초과하는 트래픽의 근원지 주소를 검출하고, 상기 근원지 주소에서 송신되는 트래픽을 분석한 후 소정의 기준치를 초과하는 트래픽을 차단하는 제3단계를 포함함을 특징으로 한다.
상기 제2단계는 소정의 기준치를 초과하는 트래픽의 근원지 IP 주소 및 목적지 IP 주소를 검출하고, 상기 근원지 IP주소가 위치하는 네트워크 상의 소정의 시스템에서 상기 근원지 IP 주소로부터 송신되는 트래픽을 서비스 포트 별로 분석한 후 소정의 기준치를 초과하는 트래픽을 차단하는 단계임이 바람직하다.
상기 네트워크에서의 유해트래픽 탐지 및 대응 방법은 상기 제3단계의 유해 트래픽 탐지 및 대응 결과를 유해 트래픽 추적을 요구한 시스템에 통보하는 단계를 더 구비함이 바람직하다.
상기 다른 기술적 과제를 달성하기 위하여 본 발명에 따른 네트워크에서의 유해트래픽 탐지 및 대응 방법은, 분산된 적어도 둘 이상의 보안관리 영역을 포함하는 능동 네트워크 보안 프레임 워크에 있어서, 상기 보안관리 영역은 광역망의 접속점에 위치하여 보안기능을 수행하는 보안노드 시스템 및 보안관리 영역에서 발생한 보안위배 행위에 대해 대응하고 보안상태를 제어하는 보안관리 시스템을 포함할 때, 상기 보안노드 시스템으로 유입되는 트래픽의 변동을 감시하고, 소정의 기준치를 초과하는 트래픽 변동이 감지되면 이에 대한 이벤트 정보를 상기 보안관리 시스템으로 송신하는 제1단계; 보안관리 시스템으로 전달된 이벤트 정보로부터 유해 트래픽 추적 여부를 결정하고, 유해 트래픽 추적 센서를 생성하여 관리 도메인에 위치하는 보안노드 시스템으로 전송하는 제2단계; 및 소정의 기준치를 초과하는 트래픽 성분을 갖는 근원지 IP 주소와 목적지 IP 주소를 검출하고, 근원지 IP 주소가 위치하는 로컬 네트워크 상의 보안노드 시스템들에게 자신을 복제하여 전송하며, 해당 능동보안노드 시스템으로 이주한 후에는 해당 근원지 IP 주소에서 송신되는 트래픽을 서비스 포트 별로 분석한 후 소정의 기준치를 초과하는 트래픽을 검출하여 차단하는 제3단계를 포함함을 특징으로 한다.
상기 제2단계는 보안관리 시스템으로 전달된 이벤트 정보로부터 유해 트래픽 추적 여부를 결정하고, 유해 트래픽 추적 센서를 생성하여 관리 도메인에 위치하는 보안노드 시스템으로 전송하고 유해 트래픽 탐지 및 대응 결과를 해당 보안 관리 영역 내의 보안관리시스템으로 전달하는 단계이고, 유해 트래픽 탐지 및 대응 결과를 최초에 유해 트래픽 추적을 요구한 보안관리 시스템에게 전달하는 단계를 더 구비함이 바람직하다. 그리고 상기 이벤트 정보는 트래픽 감사 센서를 통해 보안관리 시스템으로 송신함이 바람직하다.
그리고 상기 기재된 발명을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 들어 상세히 설명한다. 본 발명의 바람직한 실시예는 액티브 네트워크를 이용한 네트워크 보안 프레임 워크 상에서 동작된다. 따라서 액티브 네트워크를 이용한 네트워크 보안 프레임 워크에 대한 설명을 먼저 하기로 한다.
상술한 종래 기술의 문제점을 극복하기 위해 향후의 보안 기반 구조는 분산된 다수의 보안관리 영역간에 상호 협력적이고 결합적인 보안관리가 가능해야 하며, 새로운 보안 메커니즘 및 프로토콜을 쉽게 수용할 수 있는 유연하고 개방적인 보안 매커니즘을 제공할 수 있어야 한다. 이러한 보안환경의 변화에 따르는 요구사항을 반영할 수 있는 보안 기반 구조로서 액티브 네트워크를 이용한 능동보안 관리 프레임워크가 요청되고 있다. 즉 향후의 네트워크 보안 기반 구조는 단일 네트워크 내에서의 방어적인 보안 기능을 제공하는 현재의 보안 기반 구조를 광역 망에서 기능할 수 있도록 확장하고 새로운 보안 메커니즘을 보다 유연하고 동적으로 적용할 수 있는 능동적인 보안 기능을 제공할 수 있어야 하며, 네트워크 보안 환경 변화에 보다 민감하고 신속하게 대응할 수 있는 지능적인 보안 기능을 제공할 필요가 있다.
먼저, 능동보안 기술에 대해 설명하기로 한다. 능동보안 기술에서의 요구조건을 만족시키기 위해 필요한 요소기술은 다음과 같다. 첫째로는, 제한적인 특정 내부망의 보안 관리에서 인터넷과 같은 광역 네트워크에서 동작하는 보안 관리 기능이다. 둘째로는, 보안관리영역(도메인) 간의 상호 결합적 협업 기능이다. 셋째로는, 새로운 공격에 대한 탐지 및 대응 메커니즘을 시스템의 변경 없이 동적으로 수용할 수 있으며, 실행이 가능한 유연한 보안 기반 구조이다. 네째로는, 네트워크공격을 감행한 침입자를 파악하고 감시하며, 보안정책에 의해 네트워크로부터 고립화시키는 능동적인 대응 기술이다. 다섯째로는, 네트워크의 보안 상태를 적극적으로 감시하고, 보안환경 변화에 민감하게 반응하는 기능이다. 상기의 요구 조건을 만족하는 보안 메커니즘 및 프레임워크를 실현하기 위한 기술을 능동 보안 기술이라 말한다. 도 1은 능동보안관리 프레임워크 및 메카니즘을 도시한 것이다.
다음으로 능동보안관리 프레임워크를 설명하기로 한다. 액티브 네트워크를 이용한 능동보안관리 프레임워크는 도 1에 도시한 바와 같이 가입자 네트워크 상에 액티브 네트워킹 기능을 제공하는 능동보안노드(100)와 이들을 제어하는 능동보안관리시스템(110)으로 구성되며, 논리적인 하나의 보안관리 도메인을 형성한다. 또한 각 보안 관리 도메인은 전체 네트워크 상에 분산적으로 배치되며 상호간의 연동 및 협업을 위한 별도의 관리 계층은 갖지 않는다. 즉, 모든 능동 보안 제어는 액티브 패킷을 통해 이루어지며 보안 도메인 간의 상호 연동과 협업 역시 액티브 패킷에 의해 수행된다.
도 2는 능동보안 시스템 플랫폼(Platform) 구조를 도시한 것이다. 능동보안노드에는 도 2와 같이 이동 보안 센서를 수신하고 실행시킬 수 있는 능동센서(active sensor) 처리엔진이 탑재되며, 능동보안관리시스템에는 능동보안관리를 위한 응용프로그램(application)이 추가적으로 탑재된다. 능동보안관리 프레임워크의 각 구성요소에 대해 기술하고, 각각에 대한 주요 기능을 설명하면 다음과 같다.
먼저, 액티브 네트워킹(active networking)을 설명하기로 한다. 컴퓨터의고성능화, 인터넷의 보급 및 WWW(World Wide Web)등의 새로운 네트워크 어플리케이션의 등장에 의해 네트워크 컴퓨팅이 비약적으로 발전하는 것에 반해 네트워크 상에서 노드 간의 통신 기반이 되는 네트워크 프로토콜의 발전은 매우 늦은 편이다. 이는 네트워크 간의 상호 운용성을 확보하기 위한 프로토콜 표준화가 새로운 기술 개발에 비해 매우 늦은 속도로 진행되기 때문이다. IETF, ISO 등 표준화 단체에 의한 표준화 작업에는 많은 노력과 시간이 소요되며 프로토콜이 규정되어도 실제 네트워크 상에 적용되어 운용되기까지는 더욱 많은 기간이 필요하다. 이러한 인터넷 상에서의 문제를 해결하기 위하여 DARPA(Defense Advanced Research Project Agency)에서는 유연하고 고기능을 제공하는 네트워크를 실현하기 위한 기술로 액티브 네트워크 개념을 제안했다.
액티브 네트워크란 패킷 스위칭 네트워크를 통해 전송되는 이동 프로그램을 실행할 수 있는 라우터나 스위치를 배치하여, 전송된 액티브 패킷에 포함되어 있는 이동 프로그램을 서비스 특성이나 사용자 요구에 따라 적합하게 연산, 처리할 수 있는 네트워크이다. 즉, 사용자에게 네트워크를 프로그래밍하는 능력을 부여하는 네트워크 아키텍처를 액티브 네트워크라고 한다. 능동보안관리 프레임워크의 네트워크 인프라(Infra)는 액티브 네트워크로 구성된다. 액티브 네트워크를 이용할 경우 네트워크 보안이 능동적으로 발전할 수 있는 이유는 크게 다음과 같다. 첫째, 네트워크 상의 라우터(Router)나 스위치들은 자신에게 전송된 보안 대응 프로그램을 특별한 프로토콜이 없이도 네트워크 처리 단계에서 인식하고 수행할 수 있다. 둘째, 보안 관리자는 각각의 노드에서 필요한 보안대응 부를 프로그래밍에 의해 제어 할 수 있다. 즉 네트워크 상에서의 보안 메커니즘을 보다 유동적이고 유연하게 배치하고 삭제할 수 있으며 다수의 네트워크 장비 및 보안장비를 분산 관리할 수 있다.
이는 제품 개발시 탑재된 보안 기능을 정해진 프로토콜에 의해 상호 연동시키며, 제한된 범위에서의 보안 기능만을 제공할 수 있었던 기존의 정적인 보안 메커니즘의 문제들을 해결할 수 있는 새로운 개념의 보안 메커니즘이다. 광역 네트워크 상에 분산적으로 설치되어있는 다수의 보안 노드에 대한 보안 제어 기능과 노드간의 협업 기능을 제공하는 능동적인 네트워크 보안 프레임워크를 제공하기 위해서는 보안 기능의 복잡한 계층 구조화와 이들간의 통신을 위한 다수의 프로토콜이 제공되어야 한다. 액티브 네트워크를 이용한 네트워크 보안 프레임워크에서는 프로토콜 대신 액티브 패킷을 이용하며, 보안 기능 자체를 액티브 패킷 내의 보안 대응 프로그램으로 전송하고 실행함으로써 보안 구조를 단순화시키고 네트워크 자원을 절약한다.
능동보안관리 실행 환경에 대해 설명한다. 액티브 네트워크에서 이동 보안 센서를 이용하여 네트워크의 보안상태를 관리하기 위해서는 보안관리 도메인 내의 각 보안 시스템에 네트워크 계층에서 이동 보안 센서를 인지하고 실행시킬 수 있는 기능이 탑재되어 있어야 한다. 또한 능동보안관리시스템에는 보안관리 기능을 수행하기 위한 능동보안관리 엔진이 탑재되어야 한다. 이처럼 능동보안관리 실행 환경은 이동 보안 센서 처리 블록과 능동보안관리 블록으로 구성된다.
이동보안센서 처리엔진을 설명하기로 한다. 도 3은 이동보안센서 처리 엔진및 능동보안관리 엔진의 기능 블록을 도시한 것이며 각 블록의 기능은 다음과 같다. 능동패킷처리부(Active Packet Processing, 300)는 액티브 패킷 형태로 전송되는 이동 보안 센서를 네트워크 계층에서 인식하고 수신하여 이동 보안 센서 실행부로 전달하는 기능 및 새로이 생성된 이동 보안 센서를 능동 패킷으로 캡슐화하여 네트워크에 전송하는 기능을 수행한다.
보안대응센서 실행부(Security Sensor Execution Enviornment, 320)는 능동패킷 처리부로부터 이동 보안 센서를 수신하여 제한된 컴퓨팅 자원 내에서 실행시키는 기능을 수행한다. 이때 실행되는 코드가 센서 내에 포함되어 있지 않은 경우에는 코드 서버에서 다운로드 받아 실행한다. 이동 보안 센서의 수행에 필요한 자원 할당과 새로이 생성된 이동 보안 센서를 네트워크에 전송 하는 기능은 하위 계층의 능동패킷 처리부에 요구한다. 이동보안센서(Mobile Security Sensor, 340)는 액티브 네트워크 내의 보안 노드에서 실제 수행되어야 하는 보안대응 정책 정보 또는 실행 프로그램이 저장되어 있는 실행 가능한 이동성 어플리케이션을 제공한다.
보안대응수행 인터페이스부(Security Enforcement Interface, 310)는 이동 보안 센서가 여러 이기종 노드의 보안 대응 기능을 일원적으로 제어하기 위한 추상화된 인터페이스를 제공하는 기능을 수행한다. 즉, 이동 보안 센서가 패킷 필터링 또는 블록킹과 같은 네트워크 노드에서 실질적으로 실행되는 보안 대응 기능을 제어하기 위한 통일적인 인터페이스들을 제공한다. 보안 대응 수행 인터페이스부는 각 네트워크 노드에서 제공되는 보안 대응 기능의 차이를 흡수하고, 공통된 본질적인 기능만을 추상화함으로써 통일된 이동 보안 센서 개발 방법을 제공한다.
능동보안관리엔진(330)은 능동보안관리시스템(Active Security Management System)에 탑재되는 어플리케이션 엔진이며, 보안 도메인 내의 각 보안 시스템으로부터 보고된 보안 위배 행위에 대해 능동 보안 대응을 수행함으로써 네트워크의 보안 상태를 자동적으로 제어하는 기능을 제공하는 소프트웨어 엔진이다.
능동보안관리 기능은 이동 보안 센서를 생성하여 네트워크에 송신하거나 수신된 이동 보안 센서를 실행함으로써 발생하는 보안 대응 행위에 대한 모든 정보를 관리한다. 또한 네트워크에 전송한 보안 대응 센서로부터 수집되는 네트워크 보안 상태 정보를 관리하고 이에 대한 보안 대응 부(이동 보안 센서)을 네트워크에 제공함으로써 네트워크 차원의 보안 상태를 동적으로 제어하고 관리한다. 도 4는 능동보안관리 센서의 기능구조를 도시한 것이며 각 기능은 다음과 같다.
보안 위배 이벤트 정합부(Security Alert I/F, 400)는 보안 관리 도메인에 설치되어 있는 침입탐지 시스템 또는 방화벽과 같은 보안 시스템으로부터 송신되는 경보 데이터를 실시간으로 수집하는 기능을 수행한다. COPS, IAP, SNMP 등 개발사 별로 다양한 프로토콜을 통해 전송되는 경보 데이터를 수집하기 위해 각 프로토콜을 정합하기 위한 다중 프로토콜 정합 기능을 제공한다.
보안 정책 결정부(Security Policy Decision, 410)는 탐지된 보안 위반 행위에 대해 어떠한 대응 부를 실행할 것인가를 판단하는 기능을 수행한다. 보안대응실행부(Security Response, 420)는 침입자 역 추적, 침입자 고립화, 패킷 블록킹 등과 같은 실질적인 대응을 실행하기 위한 센서를 생성하여 결정된 보안정책을 네트워크에 배포하는 기능을 수행한다. 센서 관리부(Sensor Manager, 430)는 네트워크에 송수신되는 모든 센서의 정보 및 수행 상태를 데이터베이스시스템에 저장하고 관리하는 기능을 수행한다. 센서 정보를 관리함으로써 타 도메인에 요청한 보안 대응 상태를 파악할 수 있다. 이벤트 관리부(Event Manager, 440)는 이동 보안 센서 처리 엔진과 송수신 센서에 대한 정보를 교환하기 위한 메시지 처리 및 관리 기능을 수행한다. 즉, 보안정책결정에 의해 전송하여야 하는 센서에 재한 정보 및 타 도메인으로부터 수신된 센서에 대한 정보를 이동 보안 센서 처리 엔진과 교환하기 위한 기능 모듈이다. 관리자정합부(Security Manager GUI I/F, 450)는 보안관리자에게 보안 관리 상태를 보고하고, 관리자의 수동적인 개입을 수용하여 보안 메커니즘에 적용시키는 기능을 수행한다.
능동보안관리 시나리오에 관해 설명하기로 한다. 액티브 네트워크를 이용한 능동보안 프레임워크 상에서 동작하는 능동 보안 기능의 한 예인 위조된 IP 역추적(Spoofed IP Trace back)에 대해 기술한다. Spoofed IP 공격은 대다수의 DDoS 공격에서 이용되는 수법으로 패킷 내의 근원지 IP 주소를 위조하여 침입 근원지를 속이는 공격 방법이다. 제안하는 시나리오에서는 이러한 한 공격에 실제 패킷의 송신자를 추적하여 네트워크로부터 고립화 시키기기 위한 역추적 메카니즘이다.
이를 실현하기 위해 각 보안영역(Secure Domain)의 망 접속 점(Edge Point)에 설치된 능동보안노드(MoSE : Mobile Security Engine)에서는 Ingress Filtering 기능을 수행하여 해커에 의한 타 도메인의 IP 주소 위조 및 조작을 사전에 방지하도록 하여 IP Spoofing 가능 범위를 하나의 보안 도메인 내부로 한정시킨다. 도 5는 액티브 네트워크를 이용한 능동보안관리 프레임워크에서의 Spoofed IP 역 추적메커니즘 및 기능절차를 도시한 것이다.
상기 시나리오에 대한 일련의 절차는 다음과 같다. 제1단계는 IP 주소 위장단계로서, 보안영역(Secure Domain) A에 위치한 해커(Hacker) A는 같은 도메인에 위치하는 호스트A의 IP주소를 자신의 IP 주소로 위조한다. 제2단계는 타 도메인에 있는 서버 공격단계로서, 보안영역(Secure Domain) B에 위치하는 서버 B에게 flood 계열의 DoS(Denial of Service) 공격을 시도한다. 제3단계는 침입탐지 경보 전달로서, 보안영역 B에 존재하는 SGS_IDS는 공격을 감지하여 침입탐지 경보를 능동보안관리시스템 B(ASMS-B)로 송신하며, 여기서 침입탐지 경보에는 탐지된 유해 패킷에 대한 축약정보 및 탐지 정보가 포함되어 있다. 제4단계는 패킷 차단(block) 센서 전송단계로서, 능동보안관리시스템 B(ASMS-B)는 수신된 침입탐지 경보로부터 유해 패킷의 송신 근원지 IP주소(위조당한 호스트A의 IP 주소)를 검출하고, 해당 IP 주소로부터의 유해 패킷 유입을 차단하기 위해 패킷 차단 센서를 생성한 후 자신의 도메인 접속 점에 위치하는 MoSE-B로 패킷 차단 센서를 전송한다. 제5단계는 패킷 차단 센서 실행단계로서, 패킷 차단 센서를 수신한 MoSE-B는 수행환경을 통해 수신된 블록킹 센서를 실행하여 유해 패킷의 유입을 차단하도록 한다. 따라서 MoSE-B는 해커의 위조 패킷은 물론 IP 주소를 위조 당한 호스트A의 정상적인 패킷까지 차단된다. 제6단계는 역추적 센서 전송단계로서, 능동보안관리시스템 B(ASMS-B)는 (단계 3)에 의해 수신된 침입탐지 경보 데이터를 참조하여 유해 패킷을 송신한 근원지 IP 주소를(보안영역 A의 호스트A 근원지 IP주소) 목적지 주소로 하여 역추적 센서를 생성하여 전송한다. 제7단계는 역추적 센서 실행단계로서 상기 제6단계에서 송신한 역추적 센서는 보안영역 A의 접속 점에 위치하는 MoSE-A에서 수신되어 실행된다. 역추적 센서는 로깅 센서에 의해 기록된 Outgoing 이더넷 프레임 축약 정보를 검색하여 유해 패킷 정보와 일치하는 로그 정보를 추출한 후, 로그 정보에 기록된 Mac 근원지 주소와 ARP 테이블에 저장된 IP 주소를 비교하여 위조 여부 및 실제 근원지 IP 주소를 파악한다. 제8단계는 역추적 센서 실행 결과 보고 단계로서, 역추적 의뢰 정보, 성공 여부,파악된 근원지 주소 등의 정보를 해당 도메인에 위치하는 ASMS-A로 송신한다. 제9단계는 침입자 고립을 위한 패킷 차단 센서 전송 단계로서, 역추적 센서 실행 결과를 수신한 ASMS-A는 파악된 근원지 주소로부터의 패킷 송신을 원천 봉쇄하기 위해서 탐지된 부정 사용자의 MAC 근원지 주소로부터의 패킷 포워딩을 차단하는 패킷 블록킹 센서를 MoSE-A에게 전송한다. 제10단계는 침입자 원천봉쇄 결과 보고 단계로서, 능동보안관리시스템 A(ASMS-A)는 역추적을 의뢰한 능동보안관리시스템 B(ASMS-B)로 최종 역추적 결과 및 대응 정보를 전송한다. 제11단계는 정상적인 패킷에 대한 세션 복구를 위한 차단 해제 센서를 전송하는 단계로서, ASMS-B는 단계 5에서 IP 주소를 위조 당한 호스트A의 정상적인 패킷까지 차단한 세션을 복구하기 위해 차단 해제 센서를 생성하여, MoSE-B로 차단 해제 센서를 전송한다. 제12단계는 정상적인 패킷에 대한 세션 복구를 위한 차단 해제 센서 실행하는 단계로서, 차단 해제 센서를 수신한 MoSE-B는 단계 5에서 IP 주소를 위조를 당한 호스트A의 정상적인 패킷을 차단한 세션을 복구한 후, 복구된 결과를 ASMS-B로 통보한다. 따라서 MoSE-B는 해커의 위조 패킷 및 해커의 근원지 IP 주소로부터의 패킷 유입은 검출되지 않고 위조 당한 호스트 IP 주소로부터의 정당한 패킷 유입은 허락된다. 제13단계는 보안관리자에 통보하는 단계로서, ASMS-B는 제10단계 및 제12단계에서 수신된 역추적 보고센서의 정보를 보안관리자에게 통보한다.
한편, 본 발명에 따른 유해트래픽 탐지 및 대응 시스템 및 그 방법을 상세히 설명하기로 한다. 도 6은 본 발명에 따른 유해 트래픽 탐지 및 대응 시스템이 기능하기 위한 액티브 네트워크를 이용한 네트워크 보안 프레임워크와 망 구성을 도시한 것이다. 상기 액티브 네트워크를 이용한 네트워크 보안 프레임워크 및 망은 적어도 둘 이상의 보안관리 영역을 포함하며 분산되어 있다. 도 6에서는 상기 보안관리 영역은 3개 도시되어 있으며, 광역 망의 접속점에 위치하여 보안기능을 수행하는 능동보안노드시스템(600, 620, 630) 및 보안관리 영역에서 발생한 보안위배 행위에 대해 대응하고 보안상태를 제어하는 능동보안관리 시스템(610, 640, 650)을 포함한다.
도 7은 본 발명에 따른 유해 트래픽 탐지 및 대응 시스템을 블록도로 도시한 것으로서, 트래픽 모니터링부(700), 유해 트래픽 추적관리부(710), 유해트래픽 추적부(720) 및 유해트래픽 차단보고부(730)로 이루어진다.
상기 트래픽 모니터링부(700)는 네트워크의 접속점에 위치하는 능동보안노드 시스템(600, 620, 630)에서 실행되며, 광역 망의 접속 점에 위치하는 능동보안노드 시스템(600, 620, 630)으로 유입되는 트래픽의 변동을 주기적으로 감시하고, 사전에 설정한 기준치를 초과하는 트래픽 변동이 감지되면 이에 대한 이벤트 정보를 트래픽 감사 센서를 통해 능동보안관리 시스템(610, 640, 650)으로 송신한다. 상기 기준치는 월별, 일별, 시간대 별로 구성된 트래픽 임계수치(threshold)가 될 수 있으며, 상기 임계수치와 비교 분석한다.
상기 유해트래픽 추적관리부(710)는 능동보안관리시스템(610, 640, 650)에서 실행되며, 상기 능동보안관리시스템으로 전달된 트래픽 감사 센서의 이벤트 정보로부터 유해 트래픽 추적 여부를 결정하고, 유해트래픽 추적부(720)를 생성하여 관리 도메인에 위치하는 능동보안노드시스템(600)으로 전송한다.
상기 유해트래픽 추적부(720)는 고정형 및 이동형으로 구현될 수 있으며, 이동형일 경우 능동보안관리시스템(610, 640, 650) 및 능동보안노드 시스템(600, 620, 630) 간에 이동한다. 상기 유해트래픽 추적부(720)는 사전에 설정한 기준치를 초과하는 트래픽 성분을 갖는 IP 주소(근원지 IP 주소와 목적지 IP 주소의 쌍)를 검출하고, 근원지 IP 주소가 위치하는 네트워크에 위치하는 능동보안노드 시스템(620)으로 이주하여, 해당 근원지 IP 주소에서 송신되는 트래픽을 세션별로 분석한 후 사전에 설정한 기준치를 초과하는 세션 트래픽을 검출하여 차단하고 유해 트래픽 탐지 및 대응 결과를 해당 보안 관리 영역 내의 능동보안관리 시스템(640)으로 전달한다.
상기 유해트래픽 차단보고부(730)는 유해트래픽 탐지 및 대응 결과를 최초에 유해트래픽 추적을 요구한 능동보안관리 시스템(610)에게 통보한다.
다음으로 도 8은 본 발명에 따른 유해트래픽 탐지 및 대응 시스템의 동작을 설명하기 위한 절차를 도시한 것으로서, 도 8을 참조하여 그 동작을 설명하기로 한다. 도 8에 도시한 바와 같이 네트워크의 접속점에 위치하는 능동보안노드 시스템(800)에서 실행되고 있는 트래픽 모니터링부(700)는 능동보안노드시스템(800)으로 유입되는 트래픽의 변동을 주기적으로 감시하고, 월별, 일별, 시간대 별로 구성된 트래픽 임계수치(threshold)와 비교 분석한 결과 기준치를 초과하는 트래픽 변동이 감지되면 이에 대한 이벤트 정보를 트래픽 감사 센서를 통해 능동보안관리 시스템으로 송신한다.(1단계) 능동보안관리 시스템에서 실행되고 있는 유해트래픽 추적관리부(710)는 전달된 트래픽 감사 센서의 이벤트 정보로부터 근원지 주소와 네트워크 침입탐지 경보 및 블랙리스트 조회 등을 통해 유해 트래픽 추적 여부를 결정하고, 유해 트래픽 추적부(720)를 생성하여 트래픽 감사 센서를 전달한 능동보안노드 시스템(800)으로 송신한다.(2단계)
능동보안노드 시스템(800)으로 전달된 유해트래픽 추적부(710)는 능동보안노드 시스템(800)으로 유입되는 트래픽을 IP 주소 단위(근원지 IP 주소와 목적지 IP 주소의 쌍)로 분석하고, 보안관리자에 의해 설정된 IP 트래픽 임계수치를 초과하는 유해 IP 주소들을 검출한다. 또한 검출된 유해 IP 주소들을 참조하여 해당 유해 IP 주소의 네트워크에 위치하는 각 능동보안노드 시스템(820)으로 자신을 복제하여 이동한다. 상기 기능 절차에 의해 각 능동보안노드 시스템으로 전달되어 수행되는 유해 트래픽 추적부(710)는 해당 유해 IP 주소로부터의 트래픽을 세션 단위로 분석한 후 보안관리자가 설정한 기준치를 초과하는 세션 트래픽을 검출하여 해당 세션 트래픽을 차단한다. 또한 유해 트래픽 탐지 및 대응 결과를 능동보안관리 시스템으로 통보하기 위해 능동보안관리 시스템(830)으로 이동한다.(3단계) 능동보안관리 시스템에서 실행되고 있는 유해트래픽 추적관리부(710)가 상기 유해트래픽 추적부(720)를 통해 유해 트래픽 탐지 및 대응 결과를 수신하면 센서의 정보를 참조하여 최초에 유해 트래픽 추적을 요구한 능동보안관리 시스템(810)으로 유해 트래픽 차단 보고부(730)를 생성하여 전달한다.(4단계)
한편, 상기 트래픽 모니터링부(700), 유해 트래픽 추적관리부(710), 유해트래픽 추적부(720) 및 유해트래픽 차단보고부(730)는 소프트웨어적으로 구현하고자 할 수 있으며, 예를 들어 객체지향 프로그래밍 언어인 자바(Java)로 구현할 때에는 트래픽 모니터링 센서(700), 유해 트래픽 추적관리 센서(710), 유해트래픽 추적 센서(720) 및 유해트래픽 차단보고 센서(730)로 명명하기도 한다.
상술한 바와 같이 본 발명은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록시스템을 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장시스템 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
따라서 상술한 본 발명에 따르면, 네트워크 자원 및 서비스를 고갈시키는 대역폭 소모형 분산 서비스 거부 공격과 같은 유해 트래픽을 조기에 탐지하고, 유해 트래픽 근원지를 추적하여 원천봉쇄하는 기능을 제공함으로써 시스템 보호 및 네트워크 자원 보호의 기능을 제공할 수 있다.

Claims (9)

  1. 분산된 적어도 둘 이상의 보안관리 영역을 포함하는 능동 네트워크 보안 프레임 워크에 있어서,
    상기 보안관리 영역은 광역 망의 접속점에 위치하여 보안기능을 수행하는 보안노드 시스템 및 보안관리 영역에서 발생한 보안위배 행위에 대해 대응하고 보안상태를 제어하는 보안관리 시스템을 포함할 때,
    상기 보안노드 시스템으로 유입되는 트래픽의 변동을 감시하고, 소정의 기준치를 초과하는 트래픽 변동이 감지되면 이에 대한 이벤트 정보를 당해 보안관리 영역의 보안관리 시스템으로 송신하는 트래픽 모니터링부;
    상기 보안관리 시스템으로 전달된 이벤트 정보로부터 유해 트래픽 추적 여부를 결정하고, 이를 당해 보안노드 시스템으로 전송하는 유해트래픽 추적관리부; 및
    소정의 기준치를 초과하는 트래픽 성분을 갖는 근원지 IP 주소와 목적지 IP 주소를 검출하고, 근원지 IP 주소가 위치하는 보안관리 영역에 위치하는 보안노드 시스템 상에서, 상기 근원지 IP 주소에서 송신되는 트래픽을 분석한 후 소정의 기준치를 초과하는 트래픽을 검출하여 차단하고 유해 트래픽 탐지 및 대응 결과를 해당 보안 관리 영역 내의 보안관리 시스템으로 전달하는 유해트래픽 추적부를 포함함을 특징으로 하는 네트워크에서의 유해패킷 탐지 및 대응 시스템.
  2. 제1항에 있어서,
    유해 트래픽 탐지 및 대응 결과를 최초에 유해 트래픽 추적을 요구한 능동보안관리 시스템에게 통보하는 유해트래픽 차단보고부를 더 구비함을 특징으로 하는 네트워크에서의 유해트래픽 탐지 대응 시스템.
  3. 네트워크의 트래픽의 변동을 감시하여 소정이 기준치를 초과하는 트래픽 변동이 감지되면 이에 대한 이벤트정보를 송신하는 제1단계;
    상기 이벤트정보를 수신하여 유해 트래픽 추적 여부를 결정하는 제2단계; 및
    추적이 필요하다고 판단되면, 상기 소정의 기준치를 초과하는 트래픽의 근원지 주소를 검출하고, 상기 근원지 주소에서 송신되는 트래픽을 분석한 후 소정의 기준치를 초과하는 트래픽을 차단하는 제3단계를 포함함을 특징으로 하는 네트워크에서의 유해패킷 탐지 및 대응 방법.
  4. 제3항에 있어서, 상기 제2단계는
    소정의 기준치를 초과하는 트래픽의 근원지 IP 주소 및 목적지 IP 주소를 검출하고, 상기 근원지 IP주소가 위치하는 네트워크 상의 소정의 시스템에서 상기 근원지 IP 주소로부터 송신되는 트래픽을 분석한 후 소정의 기준치를 초과하는 트래픽을 차단하는 단계임을 특징으로 하는 네트워크에서의 유해패킷 탐지 및 대응 방법.
  5. 제3항 또는 제4항에 있어서,
    상기 제3단계의 유해 트래픽 탐지 및 대응 결과를 유해 트래픽 추적을 요구한 시스템에 통보하는 단계를 더 구비함을 특징으로 하는 네트워크에서의 유해패킷 탐지 및 대응 방법.
  6. 분산된 적어도 둘 이상의 보안관리 영역을 포함하는 능동 네트워크 보안 프레임 워크에 있어서,
    상기 보안관리 영역은 광역망의 접속점에 위치하여 보안기능을 수행하는 보안노드 시스템 및 보안관리 영역에서 발생한 보안위배 행위에 대해 대응하고 보안상태를 제어하는 보안관리 시스템을 포함할 때,
    상기 보안노드 시스템으로 유입되는 트래픽의 변동을 감시하고, 소정의 기준치를 초과하는 트래픽 변동이 감지되면 이에 대한 이벤트 정보를 상기 보안관리 시스템으로 송신하는 제1단계;
    보안관리 시스템으로 전달된 이벤트 정보로부터 유해 트래픽 추적 여부를 결정하고, 유해 트래픽 추적 센서를 생성하여 관리 도메인에 위치하는 보안노드 시스템으로 전송하는 제2단계; 및
    소정의 기준치를 초과하는 트래픽 성분을 갖는 근원지 IP 주소와 목적지 IP 주소를 검출하고, 근원지 IP 주소가 위치하는 로컬 네트워크 상의 보안노드 시스템들에게 자신을 복제하여 전송하며, 해당 능동보안노드 시스템으로 이주한 후에는 해당 근원지 IP 주소에서 송신되는 트래픽을 서비스 포트 별로 분석한 후 소정의 기준치를 초과하는 트래픽을 검출하여 차단하는 제3단계를 포함함을 특징으로 하는네트워크에서의 유해트래픽 탐지 및 대응 방법.
  7. 제6항에 있어서, 상기 제2단계는
    보안관리 시스템으로 전달된 이벤트 정보로부터 유해 트래픽 추적 여부를 결정하고, 유해 트래픽 추적 센서를 생성하여 관리 도메인에 위치하는 보안노드 시스템으로 전송하고 유해 트래픽 탐지 및 대응 결과를 해당 보안 관리 영역 내의 보안관리시스템으로 전달하는 단계이고,
    유해 트래픽 탐지 및 대응 결과를 최초에 유해 트래픽 추적을 요구한 보안관리 시스템에게 전달하는 단계를 더 구비함을 특징으로 하는 네트워크에서의 유해트래픽 탐지 및 대응 방법.
  8. 제6항 또는 제7항에 있어서, 상기 이벤트 정보는
    트래픽 감사 센서를 통해 보안관리 시스템으로 송신함을 특징으로 하는 네트워크에서의 유해트래픽 탐지 및 대응 방법.
  9. 제3항 내지 제8항 중 어느 한 항에 기재된 발명을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR10-2002-0065176A 2002-10-24 2002-10-24 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법 KR100523483B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0065176A KR100523483B1 (ko) 2002-10-24 2002-10-24 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0065176A KR100523483B1 (ko) 2002-10-24 2002-10-24 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20040036228A true KR20040036228A (ko) 2004-04-30
KR100523483B1 KR100523483B1 (ko) 2005-10-24

Family

ID=37334822

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0065176A KR100523483B1 (ko) 2002-10-24 2002-10-24 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR100523483B1 (ko)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100456635B1 (ko) * 2002-11-14 2004-11-10 한국전자통신연구원 분산 서비스 거부 공격 대응 시스템 및 방법
KR100656340B1 (ko) * 2004-11-20 2006-12-11 한국전자통신연구원 비정상 트래픽 정보 분석 장치 및 그 방법
KR100734866B1 (ko) * 2005-12-09 2007-07-03 한국전자통신연구원 비정상 패킷 탐지 방법 및 장치
KR100773006B1 (ko) * 2004-07-09 2007-11-05 인터내셔널 비지네스 머신즈 코포레이션 네트워크 내에서의 분산 서비스 거부(DDoS) 공격의식별 및 이러한 공격에 대한 방어 방법
KR100777752B1 (ko) * 2004-10-28 2007-11-19 니폰덴신뎅와 가부시키가이샤 서비스 불능 공격 검지 시스템 및 서비스 불능 공격 검지방법
KR100785446B1 (ko) * 2006-09-28 2007-12-13 (주)호이드연구소 네트워크 시스템의 정책제어 방법, 및 네트워크 정책제어 시스템
KR100785444B1 (ko) * 2007-01-18 2007-12-13 (주)호이드연구소 네트워크 시스템의 정책제어 방법, 및 시스템
KR100788130B1 (ko) * 2004-09-17 2007-12-21 주식회사 케이티 Dns 서버의 cpu 이용율 관리방법 및 그 이용율관리시스템
KR100885293B1 (ko) * 2006-12-04 2009-02-23 한국전자통신연구원 네트워크 보안 상황 표시 장치 및 그 방법
KR100904557B1 (ko) * 2008-11-20 2009-06-25 주식회사 이글루시큐리티 이기종 방화벽 통합관리시스템 및 방법
WO2010011897A2 (en) * 2008-07-24 2010-01-28 Zscaler, Inc. Global network monitoring
KR101036750B1 (ko) * 2011-01-04 2011-05-23 주식회사 엔피코어 좀비행위 차단 시스템 및 방법
KR101066209B1 (ko) * 2009-09-21 2011-09-20 주식회사 안철수연구소 패킷 감시 장치 및 그 방법, 프로그램이 기록된 기록 매체와 변조 데이터 관리 장치 및 그 방법
KR101217647B1 (ko) * 2005-08-05 2013-01-02 알카텔-루센트 유에스에이 인코포레이티드 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치
KR101374009B1 (ko) * 2007-07-09 2014-03-13 주식회사 엘지씨엔에스 이상 트래픽 차단 장치 및 방법
WO2017104934A1 (ko) * 2015-12-17 2017-06-22 주식회사 유디엠텍 Plc 제어 프로그램의 공용형식 변환장치 및 방법

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101336458B1 (ko) * 2007-01-03 2013-12-04 주식회사 케이티 인터넷에서 dns 서버의 실시간 이상 탐지 시스템 및방법
KR100958438B1 (ko) * 2007-12-28 2010-05-18 (주)아이엠아이 접속 중계 시스템 및 그 방법과, 패킷 전송을 관리하는사용자 단말기 및 그의 기록 매체
KR101240163B1 (ko) * 2010-06-04 2013-03-11 한양대학교 산학협력단 웹 서버에 대한 서비스 거부 공격을 처리하는 시스템 및 방법

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3737594B2 (ja) * 1997-01-28 2006-01-18 株式会社日立コミュニケーションテクノロジー ネットワーク管理システム、セキュリティ管理装置およびセキュリティ管理方法
KR100332891B1 (ko) * 1999-04-07 2002-04-17 이종성 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템
KR20010090014A (ko) * 2000-05-09 2001-10-18 김대연 네트워크 보호 시스템
KR100424723B1 (ko) * 2001-07-27 2004-03-27 김상욱 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법
KR100422802B1 (ko) * 2001-09-05 2004-03-12 한국전자통신연구원 네트워크간의 침입에 대응하기 위한 보안 시스템 및 그 방법
KR100468232B1 (ko) * 2002-02-19 2005-01-26 한국전자통신연구원 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100456635B1 (ko) * 2002-11-14 2004-11-10 한국전자통신연구원 분산 서비스 거부 공격 대응 시스템 및 방법
KR100773006B1 (ko) * 2004-07-09 2007-11-05 인터내셔널 비지네스 머신즈 코포레이션 네트워크 내에서의 분산 서비스 거부(DDoS) 공격의식별 및 이러한 공격에 대한 방어 방법
KR100788130B1 (ko) * 2004-09-17 2007-12-21 주식회사 케이티 Dns 서버의 cpu 이용율 관리방법 및 그 이용율관리시스템
US7636942B2 (en) 2004-10-28 2009-12-22 Nippon Telegraph And Telephone Corporation Method and system for detecting denial-of-service attack
KR100777752B1 (ko) * 2004-10-28 2007-11-19 니폰덴신뎅와 가부시키가이샤 서비스 불능 공격 검지 시스템 및 서비스 불능 공격 검지방법
KR100656340B1 (ko) * 2004-11-20 2006-12-11 한국전자통신연구원 비정상 트래픽 정보 분석 장치 및 그 방법
KR101217647B1 (ko) * 2005-08-05 2013-01-02 알카텔-루센트 유에스에이 인코포레이티드 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치
KR100734866B1 (ko) * 2005-12-09 2007-07-03 한국전자통신연구원 비정상 패킷 탐지 방법 및 장치
KR100785446B1 (ko) * 2006-09-28 2007-12-13 (주)호이드연구소 네트워크 시스템의 정책제어 방법, 및 네트워크 정책제어 시스템
KR100885293B1 (ko) * 2006-12-04 2009-02-23 한국전자통신연구원 네트워크 보안 상황 표시 장치 및 그 방법
US8019865B2 (en) 2006-12-04 2011-09-13 Electronics And Telecommunications Research Institute Method and apparatus for visualizing network security state
KR100785444B1 (ko) * 2007-01-18 2007-12-13 (주)호이드연구소 네트워크 시스템의 정책제어 방법, 및 시스템
KR101374009B1 (ko) * 2007-07-09 2014-03-13 주식회사 엘지씨엔에스 이상 트래픽 차단 장치 및 방법
WO2010011897A2 (en) * 2008-07-24 2010-01-28 Zscaler, Inc. Global network monitoring
WO2010011897A3 (en) * 2008-07-24 2010-04-08 Zscaler, Inc. Global network monitoring
US7894350B2 (en) 2008-07-24 2011-02-22 Zscaler, Inc. Global network monitoring
KR100904557B1 (ko) * 2008-11-20 2009-06-25 주식회사 이글루시큐리티 이기종 방화벽 통합관리시스템 및 방법
KR101066209B1 (ko) * 2009-09-21 2011-09-20 주식회사 안철수연구소 패킷 감시 장치 및 그 방법, 프로그램이 기록된 기록 매체와 변조 데이터 관리 장치 및 그 방법
KR101036750B1 (ko) * 2011-01-04 2011-05-23 주식회사 엔피코어 좀비행위 차단 시스템 및 방법
WO2017104934A1 (ko) * 2015-12-17 2017-06-22 주식회사 유디엠텍 Plc 제어 프로그램의 공용형식 변환장치 및 방법

Also Published As

Publication number Publication date
KR100523483B1 (ko) 2005-10-24

Similar Documents

Publication Publication Date Title
KR100523483B1 (ko) 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법
EP1905197B1 (en) System and method for detecting abnormal traffic based on early notification
US7757285B2 (en) Intrusion detection and prevention system
CN100435513C (zh) 网络设备与入侵检测系统联动的方法
US20040098618A1 (en) System and method for defending against distributed denial-of-service attack on active network
Chang et al. Deciduous: Decentralized source identification for network-based intrusions
KR20060116741A (ko) 통신 네트워크에서 웜을 식별하여 무력화시키는 방법과장치
Rengaraju et al. Detection and prevention of DoS attacks in Software-Defined Cloud networks
Agrawal et al. An SDN-assisted defense mechanism for the shrew DDoS attack in a cloud computing environment
KR20010079361A (ko) 네트워크 상태 기반의 방화벽 장치 및 그 방법
Bera et al. Denial of service attack in software defined network
KR20020072618A (ko) 네트워크 기반 침입탐지 시스템
Chen et al. Policy management for network-based intrusion detection and prevention
Hariri et al. Quality-of-protection (QoP)-an online monitoring and self-protection mechanism
Vokorokos et al. Network security on the intrusion detection system level
Patil et al. Analysis of distributed intrusion detection systems using mobile agents
Eid A new mobile agent-based intrusion detection system using distributed sensors
KR100617314B1 (ko) 보안 라우터 시스템에서의 보안 정책 관리 방법 및 장치
Raju et al. Network Intrusion Detection System Using KMP Pattern Matching Algorithm
Ergenç et al. Tsnzeek: An open-source intrusion detection system for ieee 802.1 time-sensitive networking
KR100422807B1 (ko) 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치및 그 동작 방법
Chae et al. A study of defense ddos attacks using ip traceback
Ghafoor et al. Software-defined networking security threats, solutions, and real-world applications: A survey
Veena et al. Detection and mitigation of security attacks using real time SDN analytics
KR20200116773A (ko) Sdn 기반의 검사시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20081001

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee