KR20040039100A - 계층적 패킷분석에 기반한 침입 탐지 시스템 - Google Patents

계층적 패킷분석에 기반한 침입 탐지 시스템 Download PDF

Info

Publication number
KR20040039100A
KR20040039100A KR1020020067359A KR20020067359A KR20040039100A KR 20040039100 A KR20040039100 A KR 20040039100A KR 1020020067359 A KR1020020067359 A KR 1020020067359A KR 20020067359 A KR20020067359 A KR 20020067359A KR 20040039100 A KR20040039100 A KR 20040039100A
Authority
KR
South Korea
Prior art keywords
audit data
intrusion detection
packet
session
network
Prior art date
Application number
KR1020020067359A
Other languages
English (en)
Other versions
KR100604638B1 (ko
Inventor
지정훈
남택용
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020020067359A priority Critical patent/KR100604638B1/ko
Publication of KR20040039100A publication Critical patent/KR20040039100A/ko
Application granted granted Critical
Publication of KR100604638B1 publication Critical patent/KR100604638B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

각 네트워크에서 수집된 감사 데이터의 교환을 통해 침입 여부를 탐지하는 본 발명에 따른 계층적 패킷분석에 기반한 침입 탐지 시스템은 백본 네트워크에 설치되어 전달되는 트래픽에 대하여 패킷 정보를 수집하여 패킷 감사 데이터를 생성하는 백본 네트워크 노드와, 가입자 네트워크에 설치되어 전달되는 트래픽에 대한 세션 정보를 수집하여 세션 감사 데이터를 생성하는 가입자 네트워크 노드와, 네트워크 노드들로부터 감사 데이터들을 전달받아 침입을 분석하며 인접한 네트워크간에 감사 데이터를 교환하여 침입 여부를 판단하는 침입 탐지 서버를 포함한다.
상기와 같은 본 발명은 대용량 트래픽을 하나의 시스템에서 처리하지 않고 분산시켜 처리함으로써, 대용량 트래픽에 대한 단일 시스템의 처리에 따른 시스템의 부하를 줄일 수 있다.
또한, 본 발명은 각 네트워크에서 수집된 감사 데이터의 교환을 통해 침입 여부를 탐지하기 때문에 공격자에 의한 IDS 우회 공격을 차단시킬 수 있다.

Description

계층적 패킷분석에 기반한 침입 탐지 시스템{HIERARCHICAL PACKET ANALYSIS BASED INTRUSION DETECTION SYSTEM}
본 발명은 침입 탐지 시스템에 관한 것으로, 특히 각 네트워크에서 수집된 감사 데이터의 교환을 통해 침입 여부를 탐지하는 계층적 패킷분석에 기반한 침입 탐지 시스템에 관한 것이다.
침입 탐지 시스템은 호스트 혹은 네트워크 상에서 발생하는 각종 사건들을 종합 및 분석하여 침입자에 의한 침입 활동을 발견하고, 이를 관리자에게 통보하거나 적절하게 대응하는 시스템이다. 이러한 침입 탐지 시스템의 종류에는 호스트 단위에 설치되어 각 호스트에 대한 침입만을 탐지하는 호스트 기반의 침입 탐지 시스템과 서브 네트워크 전체에 대한 감시를 수행하여 해당 서브 네트워크 상의 침입을 발견 및 통보하는 네트워크 기반의 침입 탐지 시스템이 있다[David J. Marchette, Computer Intrusion Detection and Network Monitoring : A Statistical Viewpoint, Springer-Verlag New York, Inc., 2001].
침입 탐지 시스템의 동작 과정은 크게 정보 수집단계, 정보 가동 및 축약 단계, 침입 분석 및 탐지 단계 및 조치 단계의 4단계로 나누어 볼 수 있다.
정보 수집 단계에서 얻어지는 데이터들은 보안 관련 정보들이 아닌 시스템 사용 내역, 컴퓨터 통신에 사용되는 패킷 정보 등이다. 정보 가공 및 축약 단계는 이러한 정보들로부터 침입 여부를 판정하기 위한 정보들만을 선택적으로 수용한다.
이러한 정보 가공 및 축약 단계에 있어서 가장 중요한 것은 침입 탐지 시스템이 방대한 양의 데이터로부터 실시간으로 침입을 판정하기 위해 필요한 의미 있는 정보를 얼마나 빨리 추출하느냐 하는 것이다.
분석 및 탐지 단계는 정보 가공 및 축약 단계에서 가공된 의미 있는 정보만을 넘겨받아 이를 분석하여 침입 여부를 판단하는 단계이다.
보고 및 조치 단계는 분석 및 탐지 결과 침입이 발견되었을 경우에, 침입 관련 정보를 관리자에게 보고하여 적절한 조치를 취하도록 하는 단계이다.
상기의 구성을 갖는 침입 탐지 시스템에서 네트워크 기반의 침입 탐지 시스템은 단일 시스템의 설치로 네트워크 세그먼트 전체를 효과적으로 감시할 수 있다는 장점이 있어 널리 사용되고 있다.
그러나, 이러한 네트워크 기반의 침입 탐지 시스템은 목적지가 아닌 트래픽에 대하여 네트워크 중간에서 프로미스큐어스(promiscuous) 모드 형식으로 패킷을 수집한 후에 이를 이용하여 침입 여부를 판단하기 때문에 침입 탐지 시스템이 공격자에 의한 인세션(insertion)과 이베이션(evasion) 등의 IDS 우회 공격에 노출되는 문제점이 있다[Tomas H. Ptacek,  Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection, Secure Networks, Inc., 1998].
또한, 네트워크 속도의 증가에 따라서 침입 탐지 시스템은 대용량의 트래픽을 처리하여야 하는데, 이때 시스템의 성능이 대용량의 트래픽을 원활히 지원하지 못한 경우 버퍼 오버플로우(buffer overflow) 등의 문제점이 있다[Next Generation Intrusion Detection in High-Speed Networks,  Network Associates.].
본 발명의 목적은 이와 같은 종래 기술의 문제점을 해결하기 위한 것으로, 대용량 트래픽을 각 네트워크에 설치된 침입 탐지 서버로 분산시켜 처리하여 침입 탐지 시스템의 부하를 줄일 수 있고, 각 네트워크에 수집된 감사 데이터의 교환을 통해 침입 여부를 판단하여 공격자에 의한 IDS 우회 공격을 차단시킬 수 있는 계층적 패킷분석에 기반한 침입 탐지 시스템을 제공하고자 한다.
상기와 같은 목적을 달성하기 위하여 본 발명은, 네트워크 상에서 침입을 탐지하는 시스템에 있어서, 백본 네트워크에 설치되어 전달되는 트래픽에 대하여 패킷 정보를 수집하여 패킷 감사 데이터를 생성하는 백본 네트워크 노드와, 가입자 네트워크에 설치되어 전달되는 트래픽에 대한 세션 정보를 수집하여 세션 감사 데이터를 생성하는 가입자 네트워크 노드와, 상기 네트워크 노드들로부터 감사 데이터들을 전달받아 침입을 분석하며 인접한 네트워크간에 감사 데이터를 교환하여 침입 여부를 판단하는 침입 탐지 서버를 포함한다.
도 1은 본 발명에 따른 계층적 패킷분석에 기반한 침입 탐지 시스템을 도시한 블록도이고,
도 2는 본 발명에 따른 침입 탐지 시스템에서 가입자 네트워크 노드의 내부를 도시한 블록도이고,
도 3은 본 발명에 따른 침입 탐지 시스템에서 가입자 침입 탐지 서버의 내부를 도시한 블록도이고,
도 4는 본 발명에 따른 침입 탐지 시스템에서 백본 네크워크 노드의 내부를 도시한 블록도이고,
도 5는 본 발명에 따른 침입 탐지 시스템에서 백본 침입 탐지 서버의 내부를 도시한 블록도이다.
<도면의 주요부분에 대한 부호의 설명>
100 : 호스트 110 : 가입자 네트워크 노드
120 : 가입자 네트워크 130 : 가입자 침입 탐지 서버
140 : 백본 네트워크 노드 150 : 백본 네트워크
160 : 백본 침입 탐지 서버
본 발명의 실시 예는 다수개가 존재할 수 있으며, 이하에서 첨부한 도면을 참조하여 바람직한 실시 예에 대하여 상세히 설명하기로 한다. 이 기술 분야의 숙련자라면 이 실시 예를 통해 본 발명의 목적, 특징 및 이점들을 잘 이해할 수 있을 것이다.
도 1은 본 발명에 따른 계층적 패킷분석에 기반한 침입 탐지 시스템을 도시한 블록도이고, 도 2는 본 발명에 따른 침입 탐지 시스템에서 가입자 네트워크 노드의 내부를 도시한 블록도이고, 도 3은 본 발명에 따른 침입 탐지 시스템에서 가입자 침입 탐지 서버의 내부를 도시한 블록도이고, 도 4는 본 발명에 따른 침입 탐지 시스템에서 백본 네트워크 노드의 내부를 도시한 블록도이고, 도 5는 본 발명에 따른 침입 탐지 시스템에서 백본 침입 탐지 서버의 내부를 도시한 블록도이다.
도 1을 참조하면, 계층적 패킷분석에 기반한 침입 탐지 시스템은 가입자 네트워크(120)에 호스트 감사 데이터를 송출하는 호스트(100), 호스트(100)에서 송출된 호스트 감사 데이터를 수신하는 가입자망 침입 탐지 서버(130), 가입자 네트워크(120)에 포함된 가입자 네트워크 노드(110), 백본 네트워크(150)에 포함된 백본 네트워크 노드(140), 백본 네트워크 노드(140)로부터 패킷 감사 데이터를 수신하는 백본 침입 탐지 서버(160)를 포함한다.
여기서, 다수의 호스트(100)들은 각각 호스트 침입 탐지 센서를 장착하고 있으며, 이러한 호스트 침입 탐지 센서는 호스트 감사 데이터를 가입자 침입 탐지 서버(130)에 전송한다.
가입자 네트워크 노드(110)는 가입자 네트워크(120)에 설치되어 전달되는 트래픽에 대하여 세션 수준의 정보를 수집하고, 수집된 정보를 이용하여 세션 감사 데이터를 생성하여 가입자 침입 탐지 서버(130)에 전달한다. 이러한 가입자 네트워크 노드(110)의 구성은, 도 2에 도시된 바와 같이, 가입자 네트워크(120) 상에서 송신되는 패킷을 수집하는 패킷 수집자(111)와, 수집된 패킷을 응용서비스의 세션별로 분류하는 세션 분류자(112)와, 세션 정보로부터 침입 관련 정보를 분석하는 세션 분석자(113)와, 분석된 세션 정보로부터 침입 관련된 세션 감사 데이터를 생성하는 세션 감사 데이터 생성자(114)와, 세션 감사 데이터를 가입자 침입 탐지 서버(130)에 전송하는 세션 감사 데이터 송신자(115)를 포함한다.
가입자 네트워크(120)에 설치된 가입자 침입 탐지 서버(130)는 인접한 백본 네트워크에 설치된 침입 탐지 서버와 통신하여 호스트(100)로부터 수신한 호스트 감사 데이터와 가입자 네트워크 노드(110)에서 수신한 세션 감사 데이터를 전송하거나 인접한 백본 네트워크에서 패킷 감사 데이터를 수신한다. 이러한 가입자 네트워크(120)의 구성은, 도 3에 도시된 바와 같이, 가입자 네트워크(120)에 존재하는 다수의 가입자 네트워크 노드(110)들의 세션 감사 데이터 송신자(115)로부터 세션 감사 데이터를 수신하는 세션 감사 데이터 수신자(136)와, 가입자 네트워크(120)에 존재하는 다수의 호스트(100)에 설치된 호스트 침입 탐지 센서들로부터 호스트 감사 데이터를 수신하는 호스트 감사 데이터 수신자(138)와, 인접한 백본 네트워크에 설치된 백본 침입 탐지 서버(160)로 세션 감사 데이터를 송신하며 백본 침입 탐지 서버(160)로부터 패킷 감사 데이터를 수신하는 세션 감사 데이터 전달자(132)와, 수신된 세션 감사 데이터, 호스트 감사 데이터 및 패킷 감사 데이터를 이용하여 침입을 분석 및 판단하는 침입 탐지 분석자(134)를 포함한다.
백본 네트워크 노드(140)는 백본 네트워크(150)에 설치되어 백본 네트워크(150)의 트래픽에 대한 패킷 수준의 패킷 감사 데이터를 생성하고, 생성된 패킷 감사 데이터를 백본 침입 탐지 서버(160)에 전송한다. 이러한 백본 네트워크 노드(140)의 구성은, 도 4에 도시된 바와 같이, 백본 네트워크(150) 상에서 패킷을 수집하는 패킷 수집자(152)와, 수집된 패킷으로부터 침입에 관련된 정보를 분석하는 패킷 분석자(154)와, 분석된 패킷 정보에 따라 패킷 수준의 패킷 감사 데이터를생성하는 패킷 감사 데이터 생성자(156)와, 패킷 감사 데이터를 백본 침입 탐지 서버(160)에 전송하는 패킷 감사 데이터 송신자(158)를 포함한다.
백본 침입 탐지 서버(160)는 백본 네트워크(150)에 설치되어 가입자 침입 탐지 서버(130)와 통신하여 세션 수준의 세션 감사 데이터를 수신하거나 백본 네트워크 노드(140)에서 수신한 패킷 수준의 패킷 감사 데이터를 송신한다. 이러한 백본 침입 탐지 서버(160)는, 도 5에 도시된 바와 같이, 백본 네트워크(150) 상의 여러 백본 네트워크 노드(140)의 패킷 감사 데이터 송신자(158)로부터 패킷 감사 데이터를 수신하는 패킷 감사 데이터 수신자(166)와, 인접한 네트워크에 설치된 침입 탐지 서버들과 패킷 감사 데이터와 세션 감사 데이터를 상호 교환하는 감사 데이터 전달자(162)와, 패킷 감사 데이터와 감사 데이터 전달자(162)에서 수신된 세션 감사 데이터를 이용하여 침입을 분석 및 판단하는 침입 탐지 분석자(164)를 포함한다.
감사 데이터 전달자(162)는 인접한 네트워크가 백본 네트워크인 경우에 패킷 감사 데이터를 상호 교환하며, 인접한 네트워크 가입자 네트워크인 경우에 패킷 감사 데이터를 가입자 침입 탐지 서버에 송신하고 가입자 침입 탐지 서버로부터 세션 감사 데이터를 수신한다.
상기와 같은 구성을 갖는 침입 탐지 시스템의 백본 네트워크 노드에서 백본 네트워크 노드의 패킷 처리에 따른 백본 침입 탐지 서버에서의 침입 탐지 과정을 설명하면 아래와 같다.
백본 네트워크 노드(140)는 전달되는 트래픽에 대하여 패킷 수집자(152)를통해 패킷을 수집하고, 수집된 패킷은 패킷 수집자(152)에 의해 패킷 분석자(154)에 전송된다.
패킷 분석자(154)에 의해 분석된 패킷 정보는 패킷 감사 데이터 생성자(156)를 통해 패킷 감사 데이터로 저장되며, 패킷 감사 데이터는 패킷 감사 데이터 송신자(158)에 의해 백본 침입 탐지 서버(160)의 패킷 감사 데이터 수신자(166)측으로 전달된다. 패킷 감사 데이터 수신자(166)는 패킷 감사 데이터를 다시 침입 탐지 분석자(164)에 전달한다.
백본 침입 탐지 서버(160)의 패킷 감사 데이터 전달자(162)는 인접한 네트워크의 패킷 감사 데이터 전달자 또는 세션 감사 데이터 전달자로부터 인접 네트워크에서 수집된 패킷(또는 세션) 감사 데이터를 수신하여 침입 탐지 분석자(164)에 전달한다.
침입 탐지 분석자(164)는 패킷 감사 데이터 전달자(162) 및 패킷 감사 데이터 수신자(166)로부터 수신한 감사 데이터를 이용하여 네트워크 침입 여부를 판단한다.
다음은 가입자 네트워크에서 가입자 네트워크 노드의 세션 감사 데이터 처리에 따른 가입자 침입 탐지 서버에서의 침입 탐지 과정을 설명한다.
가입자 네트워크 노드(110)에 임의의 패킷이 도착하면, 패킷 수집자(111)는 이를 수집하여 세션 분류자(112)에 전달한다. 세션 분류자(112)는 각 패킷을 응용 비스별로 구별하여 세션 분석자(113)로 전달하고, 세션 분석자(113)는 구별된 각 세션별로 분석하여 세션 감사 데이터 생성자(114)에 전달한다.
세션 감사 데이터 생성자(114)는 각 세션별로 분석된 정보를 이용하여 각 세션별 감사 데이터를 생성한 후에 세션 감사 데이터 송신자(115)에 전달하고, 세션 감사 데이터 송신자(115)는 세션 감사 데이터를 네트워크 도메인에 대응되는 가입자 침입 탐지 서버(130)의 세션 감사 데이터 수신자(138)에 전송한다.
이때 가입자 침입 탐지 서버(130)의 세션 감사 데이터 수신자(138)는 가입 네트워크(120) 상에 존재하는 적어도 하나 이상의 세션 감사 데이터 송신자(158)로부터 세션 감사 데이터를 수신하여 침입 탐지 분석자(134)에 제공한다.
가입 침입 탐지 서버(130)의 호스트 감사 데이터 수신자(138)는 가입자 네트워크 도메인 상에 있는 적어도 하나 이상의 호스트에 장착된 호스트 침입 탐지 센서들로부터 호스트 감사 데이터를 수신하여 침입 탐지 분석자(134)에 제공한다.
세션 감사 데이터 전달자(132)는 인접한 백본 네트워크에 설치된 백본 침입 탐지 서버의 패킷 감사 데이터 전달자로부터 패킷 감사 데이터를 수신하여 침입 탐지 분석자(134)에 제공한다.
침입 탐지 분석자(134)는 세션 감사 데이터, 패킷 감사 데이터 및 호스트 감사 데이터를 분석하여 침입 여부를 판단하게 된다.
여기서, 각 네트워크에 설치된 침입 탐지 서버의 침입 탐지 분석자는 일차적으로 해당 네트워크에서 전송된 감사 데이터만을 이용하여 침입 여부를 판단하는데, 이때 침입의 징후가 발견이 되지 않거나 인접 네트워크로부터 감사 데이터의 수신이 필요한 경우에 감사 데이터 전달자를 통해 인접한 네트워크에서 설치된 침입 탐지 서버로부터 감사 데이터를 수신하고, 인접 네트워크에 설치된 침입 탐지서버로부터 수신된 감사 데이터를 이용하여 침입 탐지 여부를 판단한다.
이상 설명한 바와 같이, 본 발명은 각 네트워크에 설치된 침입 탐지 서버에서 수집된 감사 데이터의 교환을 통해 침입 탐지 여부를 판단하며, 대용량 트래픽을 하나의 시스템에서 처리하지 않고 분산시켜 처리함으로써, 대용량 트래픽에 대한 단일 시스템의 처리에 따른 시스템의 부하를 줄일 수 있다.
또한, 본 발명은 각 네트워크에서 수집된 감사 데이터의 교환을 통해 침입 여부를 탐지하기 때문에 공격자에 의한 IDS 우회 공격을 차단시킬 수 있다.

Claims (9)

  1. 네트워크 상에서 침입을 탐지하는 시스템에 있어서,
    백본 네트워크에 설치되어 전달되는 트래픽에 대하여 패킷 정보를 수집하여 패킷 감사 데이터를 생성하는 백본 네트워크 노드와,
    가입자 네트워크에 설치되어 전달되는 트래픽에 대한 세션 정보를 수집하여 세션 감사 데이터를 생성하는 가입자 네트워크 노드와,
    상기 네트워크 노드들로부터 감사 데이터들을 전달받아 침입을 분석하며 인접한 네트워크간에 감사 데이터를 교환하여 침입 여부를 판단하는 침입 탐지 서버를 포함하는 계층적 패킷분석에 기반한 침입 탐지 시스템.
  2. 제 1 항에 있어서,
    상기 백본 네트워크 노드는,
    상기 백본 네트워크 상에서 송수신되는 패킷을 수집하는 패킷 수집자와,
    상기 수집된 패킷으로부터 침입에 관련된 정보를 분석하는 패킷 분석자와,
    상기 분석된 패킷 정보에 따라 패킷 감사 데이터를 생성하는 패킷 감사 데이터 생성자와,
    상기 패킷 감사 데이터를 상기 네트워크 도메인상의 침입 탐지 서버로 송신하는 패킷 감사 데이터 송신자를 포함하는 계층적 패킷분석에 기반한 침입 탐지 시스템.
  3. 제 1 항에 있어서,
    상기 가입자 네트워크 노드는,
    상기 가입자 네트워크 상에서 송수신되는 패킷을 수집하는 패킷 수집자와,
    상기 수집된 패킷를 응용서비스의 세션별로 분류하는 세션 분류자와,
    상기 수집된 세션으로부터 침입 관련 정보를 분석하는 세션 분석자와,
    상기 분석된 세션 정보로부터 세션 감사 데이터를 생성시키는 세션 감사 데이터 생성자와,
    상기 세션 감사 데이터를 상기 네트워크 도메인 상의 침입 탐지 서버로 송신하는 세션 감사 데이터 송신자를 포함하는 계층적 패킷분석에 기반한 침입 탐지 시스템.
  4. 제 1 항에 있어서,
    상기 침입 탐지 서버는,
    상기 백본 네트워크에 설치되어 상기 백본 네트워크 노드들과 인접한 네트워크에 설치된 침입 탐지 서버들로부터 감사 데이터를 송수신하는 백본 침입 탐지 서버와,
    상기 가입자 네트워크에 설치되어 상기 가입자 네트워크 노드들로부터 세션 감사 데이터를 수신하는 가입자 침입 탐지 서버를 포함하는 계층적 패킷분석에 기반한 침입 탐지 시스템.
  5. 제 4 항에 있어서,
    상기 백본 침입 탐지 서버는,
    상기 백본 네트워크 상에 설치된 적어도 하나 이상의 백본 네트워크 노드를로부터 패킷 감사 데이터를 수신하는 패킷 감사 데이터 수신자와,
    인접한 가입자 네트워크 또는 백본 네트워크에 설치된 침입 탐지 서버와 통신하여 세션 또는 패킷 감사 데이터를 송수신하는 감사 데이터 전달자와,
    상기 감사 데이터 전달자에서 수신한 세션 또는 패킷 감사 데이터와 상기 패킷 감사 데이터 수신자에서 수신한 패킷 감사 데이터를 이용하여 침입 탐지 여부를 판단하는 침입 탐지 분석자를 포함하는 계층적 패킷분석에 기반한 침입 탐지 시스템.
  6. 제 5 항에 있어서,
    상기 감사 데이터 전달자는,
    상기 인접한 네트워크가 가입자 네트워크인 경우에, 상기 가입자 네트워크에 설치된 침입 탐지 서버에 패킷 감사 데이터를 송신하고, 상기 가입자 네트워크에 설치된 침입 탐지 서버로부터 세션 감사 데이터를 수신하는 것을 특징으로 하는 계층적 패킷분석에 기반한 침입 탐지 시스템.
  7. 제 5 항에 있어서,
    상기 감사 데이터 전달자는,
    상기 인접한 네트워크가 백본 네트워크인 경우에, 상기 백본 네트워크에 설치된 침입 탐지 서버에 패킷 감사 데이터를 송신하고, 상기 백본 네트워크에 설치된 침입 탐지 서버에서 수집한 패킷 감사 데이터를 수신하는 것을 특징으로 하는 계층적 패킷분석에 기반한 침입 탐지 시스템.
  8. 제 4 항에 있어서,
    상기 가입자 침입 탐지 서버는,
    상기 가입자 네트워크 상의 적어도 하나 이상의 가입자 네트워크 노드들로부터 세션 감사 데이터를 수신하는 세션 감사 데이터 수신자와,
    상기 가입자 네트워크 상의 적어도 하나 이상의 호스트로부터 호스트 감사 데이터를 수신하는 호스트 감사 데이터 수신자와,
    인접한 가입자 또는 백본 네트워크에 설치된 침입 탐지 서버로부터 세션 또는 패킷 감사 데이터를 수신하고, 상기 인접한 가입자 또는 백본 네트워크의 침입 탐지 서버에 세션 감사 데이터를 송신하는 세션 감사 데이터 전달자와,
    상기 세션 감사 데이터 수신자, 호스트 감사 데이터 수신자 및 세션 감사 데이터 전달자에서 수신한 감사 데이터들을 이용하여 침입 여부를 판단하는 침입 탐지 분석자를 포함하는 계층적 패킷분석에 기반한 침입 탐지 시스템.
  9. 제 8 항에 있어서,
    상기 호스트 감사 데이터 수신자는,
    상기 호스트에 설치된 호스트 침입 탐지 센서로부터 호스트 감사 데이터를 수신하는 것을 특징으로 하는 계층적 패킷분석에 기반한 침입 탐지 시스템.
KR1020020067359A 2002-11-01 2002-11-01 계층 분석 기반의 침입 탐지 시스템 및 그 방법 KR100604638B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020020067359A KR100604638B1 (ko) 2002-11-01 2002-11-01 계층 분석 기반의 침입 탐지 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020020067359A KR100604638B1 (ko) 2002-11-01 2002-11-01 계층 분석 기반의 침입 탐지 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20040039100A true KR20040039100A (ko) 2004-05-10
KR100604638B1 KR100604638B1 (ko) 2006-07-28

Family

ID=37336944

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020020067359A KR100604638B1 (ko) 2002-11-01 2002-11-01 계층 분석 기반의 침입 탐지 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR100604638B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100788130B1 (ko) * 2004-09-17 2007-12-21 주식회사 케이티 Dns 서버의 cpu 이용율 관리방법 및 그 이용율관리시스템
KR100955282B1 (ko) * 2007-10-12 2010-04-30 한국정보보호진흥원 정보 계층 구조를 이용한 네트워크 위험 분석 방법
WO2014042645A1 (en) * 2012-09-14 2014-03-20 Hewlett-Packard Development Company, L.P. Determining a load distribution for data units at a packet inspection device

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000010253A (ko) * 1998-07-31 2000-02-15 최종욱 조정자 에이젼트를 이용한 침입 탐지 시스템 및 침입 탐지 시스템의 침입 탐지 모듈
KR100332891B1 (ko) * 1999-04-07 2002-04-17 이종성 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템
JP3731111B2 (ja) * 2001-02-23 2006-01-05 三菱電機株式会社 侵入検出装置およびシステムならびにルータ
KR100432168B1 (ko) * 2001-12-27 2004-05-17 한국전자통신연구원 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템 및침입 탐지방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100788130B1 (ko) * 2004-09-17 2007-12-21 주식회사 케이티 Dns 서버의 cpu 이용율 관리방법 및 그 이용율관리시스템
KR100955282B1 (ko) * 2007-10-12 2010-04-30 한국정보보호진흥원 정보 계층 구조를 이용한 네트워크 위험 분석 방법
WO2014042645A1 (en) * 2012-09-14 2014-03-20 Hewlett-Packard Development Company, L.P. Determining a load distribution for data units at a packet inspection device
US9515934B2 (en) 2012-09-14 2016-12-06 Trend Micro Incorporated Determining a load distribution for data units at a packet inspection device

Also Published As

Publication number Publication date
KR100604638B1 (ko) 2006-07-28

Similar Documents

Publication Publication Date Title
EP2474130B1 (en) Method for monitoring a network and network including a monitoring functionality
US20210266748A1 (en) Improved KNN - Based 6LoWPAN Network Intrusion Detection Method
CA2500847C (en) Method and apparatus for providing mobile honeypots
US7562390B1 (en) System and method for ARP anti-spoofing security
CA2499938C (en) Network bandwidth anomaly detector apparatus and method for detecting network attacks using correlation function
Farooqi et al. Intrusion detection systems for wireless sensor networks: A survey
US20020032871A1 (en) Method and system for detecting, tracking and blocking denial of service attacks over a computer network
US20090319659A1 (en) Source detection device for detecting a source of sending a virus and/or a dns attack linked to an application, method thereof, and program thereof
Gao et al. A dos resilient flow-level intrusion detection approach for high-speed networks
CN101589595A (zh) 用于潜在被污染端系统的牵制机制
US7917953B2 (en) Methods and systems for reducing the spread of files on a network
EP1542406B1 (en) Mechanism for detection of attacks based on impersonation in a wireless network
WO2005104476A1 (en) Self-propagating program detector apparatus, method, signals and medium
Neu et al. Lightweight IPS for port scan in OpenFlow SDN networks
Swami et al. DDoS attacks and defense mechanisms using machine learning techniques for SDN
KR100604638B1 (ko) 계층 분석 기반의 침입 탐지 시스템 및 그 방법
KR20030016500A (ko) 정책기반 네트워크 보안 시스템과 그를 이용한 보안 및보안정책 결정 방법
JP2008135871A (ja) ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム
Chen et al. Distributed change-point detection of DDoS attacks over multiple network domains
KR20110040152A (ko) 공격자 패킷 역추적 방법 및 이를 위한 시스템
KR20040085266A (ko) 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법
Arjmandpanah‐Kalat et al. Design and performance analysis of an efficient single flow IP traceback technique in the AS level
Yilmaz et al. Exploring placement of intrusion detection systems in rpl-based internet of things
Bou-Harb et al. On detecting and clustering distributed cyber scanning
KR101045332B1 (ko) Irc 및 http 봇넷 정보 공유 시스템 및 그 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
B601 Maintenance of original decision after re-examination before a trial
J301 Trial decision

Free format text: TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20050329

Effective date: 20060530

S901 Examination by remand of revocation
GRNO Decision to grant (after opposition)
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee