KR20040048466A - 보안 게이트웨이의 커널 기반 고속 침입탐지 시스템 및 그방법 - Google Patents

보안 게이트웨이의 커널 기반 고속 침입탐지 시스템 및 그방법 Download PDF

Info

Publication number
KR20040048466A
KR20040048466A KR1020020076190A KR20020076190A KR20040048466A KR 20040048466 A KR20040048466 A KR 20040048466A KR 1020020076190 A KR1020020076190 A KR 1020020076190A KR 20020076190 A KR20020076190 A KR 20020076190A KR 20040048466 A KR20040048466 A KR 20040048466A
Authority
KR
South Korea
Prior art keywords
intrusion
intrusion detection
packet
packet information
pattern
Prior art date
Application number
KR1020020076190A
Other languages
English (en)
Other versions
KR100501210B1 (ko
Inventor
김병구
김익균
이종국
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0076190A priority Critical patent/KR100501210B1/ko
Publication of KR20040048466A publication Critical patent/KR20040048466A/ko
Application granted granted Critical
Publication of KR100501210B1 publication Critical patent/KR100501210B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 점점 고속화되고 대용량화 되어가는 네트워크 환경 상에서의 여러
침입 행위들을 빠르게 분석하고 탐지할 수 있는 고속 침입탐지 기능을 제
공하기 위한 시스템 및 방법에 관한 것이다.
본 발명의 목적은 자체 제작한 패킷 수집용 카드 장치를 통해서 트래픽을 수
집하고, 일반적으로 어플리케이션 레벨에서 수행되던 침입탐지 기능을 커널
레벨에서 수행함으로써, 보다 빠른 패킷 수집과 침입패턴 검색을 통한 고속
침입탐지 기능을 제공하는데 있다.
이를 위해 본 발명의 방법은 실제 네트워크 패킷을 고속으로 받아서 필터링
된 패킷 정보를 추출하는 패킷 정보 추출 단계; 상기 추출된 패킷 정보를 수
집하는 패킷 정보 수집단계; 수집된 패킷에서 각 패킷을 분류하는 패킷정
보 처리단계; 특정 패턴에 대한 처리 및 데이터 내의 잡음을 처리하는 전처
리단계; 미리 정의된 침입패턴과 비교하여 침입을 검출하는 패턴검색단계;
및 패턴검색결과 패턴이 매칭되면 침입탐지를 상위 계층으로 보고하는 경보
생성 및 전달 단계를 구비하여 수신된 패킷 정보 데이터에 대한 침입 유무
를 커널 영역에서 분석한다.

Description

보안 게이트웨이의 커널 기반 고속 침입탐지 시스템 및 그 방법 { Intrusion detection system and method based on kernel module in security gateway system for high-speed intrusion detection on network }
본 발명은 보안 게이트웨이 시스템에서 네트워크 상의 침입을 탐지하기 위한 침입탐지 기술에 관한 것으로, 상세하게는 패킷 수집용 카드 장치로부터 수집된 네트워크 패킷 정보를 커널 영역에서 분석하고 침입 여부를 판단함으로써, 고속으로 침입을 탐지할 수 있는 고속 침입탐지 시스템 및 그 방법에 관한 것이다.
일반적으로, 침입탐지시스템(Intrusion Detection System)은 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템으로서, 데이터소스를 기반으로 분류하는 방법과 모델을 기반으로 분류하는 방법이 있다.
1980년경부터 지금까지 국내외적으로 여러 종류의 침입탐지 시스템들이 개발되고 있다. 이들 침입탐지 시스템은 침입을, 정보 접근, 정보 조작, 시스템 무기력화 등에 대한 고의적이면서도 불법적인 시도의 잠재 가능성으로 정의하고, 시스템 또는 전산망 침입탐지 연구 필요성의 인식과 함께 지속적으로 연구를 해왔다.
이러한 연구는 초기에 단일 호스트 중심의 연구에서 출발하였으나, 인터넷의발전으로 이들의 영역은 네트워크로 확대되었다. 이러한 추세와 함께, 네트워크를 통한 침입탐지에 관심을 갖는 여러 시스템들이 개발되었으며, 세계적으로 ISS사의 RealSecure, AXENT사의 Netprowler 등을 대표적인 시스템으로 들 수 있다. 이와 같은 침입탐지 시스템은 방화벽(Firewall)과 더불어 공공기관에서 높은 예산을 집행하고 있을 정도로 그 중요성이 부각되고 있다.
그러나, 기가비트 이더넷 환경과 같은 네트워크의 고속화 및 이를 바탕으로 한 대용량 데이터의 송수신은 침입탐지시스템의 적용 환경에도 점차 많은 영향을 미치게 되었다. 또한, 인터넷의 발전과 더불어 네트워크 상에서의 침입 시도가 갈수록 증가되고 다변화됨으로써, 기존의 저속 침입탐지 기법에 대한 변화를 요구하고 있다. 다시 말해서, 갈수록 고속화되고 대용량화하는 네트워크 환경과 보다 다양해지는 침입 시도에 적절히 대응하기 위해서는, 보다 빠른 시간 내에 많은 데이터를 분석할 수 있는 기법이 요구된다.
그런데 기존의 대다수 침입탐지 시스템들은 일반적으로 단일 시스템 환경이나 협소한 영역에 적합하게 설계되고 적용됨으로써, 대규모 네트워크로의 확장이 어려운 문제점을 갖고 있다. 설령, 이를 확장할 수 있는 구조를 가졌다 하더라도 대규모의 데이터 처리와 침입탐지 수행에 걸리는 부하 문제, 시스템 안정성 문제 등 시스템 확장에 따른 성능을 보장하지 못하는 큰 문제점이 있다.
즉, 현재의 침입탐지시스템이 지니고 있는 기술적 한계, 문제점은 무엇보다도 패킷 분실율 및 침입 탐지율과 같은 침입탐지시스템의 성능 문제라 할 수 있다. 성능은 꾸준히 여러 개발자들에 의해서 개선되고는 있으나, 이는 돈과 시간이 많이소요되는 작업이다. 그럼에도 불구하고 성능 개선은 무엇보다도 중요한 해결 과제이다. 또한, 기가비트 이더넷과 같은 네트워크 환경의 변화는 이에 대한 중요성을 더욱 증가시키고 있다.
따라서, 침입탐지시스템의 탐지 성능에 대한 문제점들을 해결하고, 보다 나은 시스템을 개발하기 위해서 여러 작업그룹(working group)에서 연구가 진행되고 있으며, 실제로 많은 상업 제품들이 개발되었다. 대부분 100Mbps 이하 환경에서의 탐지 성능을 보증하고, 200Mbps까지 동작 가능하며, 일부 핵심기술을 개발한 업체에선 기가비트 환경까지 지원하고 있다. 이러한 기술들은 고속 트래픽 모니터링과 메모리 관리, 데이터베이스 관리, 및 커널의 컨트롤이 가능해야 하며, 그만큼 좋은 인프라가 앞선 기술을 만들어 내고 있다고 볼 수 있다. 그러나, 이들에 대한 성능 분석 결과가 불분명하고, 명확한 속도 향상 기법은 제시되고 있지 못하다.
본 발명은 상기와 같은 문제점을 해결하기 위한 것으로, 본 발명의 목적은 보안 게이트웨이 시스템에서 고속 침입탐지 수행을 위해서 패킷 수집 및 필터링을 고속으로 수행하는 카드 장치로부터 패킷을 수신하고, 이 패킷을 커널 영역에서 분석함으로써 보다 안정적이고 성능이 향상된, 보안 게이트웨이 시스템의 커널 기반 고속 침입탐지 시스템 및 그 방법을 제공하데 있다.
상기 목적을 달성하기 위해서 본 발명은, 실제 네트워크 패킷을 고속으로 받아서 필터링된 패킷 정보를 상위 분석 모듈로 전달하는 패킷 정보 추출 수단; 상기 패킷 정보 추출수단으로부터 패킷 정보를 수신하여, 수신된 패킷 정보 데이터에 대한 침입 유무를 커널 영역에서 분석하고 분석 결과를 제공해 주는 고속 침입탐지 수행수단; 보안 게이트웨이 시스템에 대한 전체 관리 및 경보 메시지 생성 및 전달을 담당하는 시스템 제어 및 관리수단; 및 상기 시스템 제어 및 관리 수단으로부터의 정책 전달 및 경보 메시지 전달을 담당하는 경보 처리수단을 구비하는 것을 특징으로 한다.
또한 본 발명의 방법은, 실제 네트워크 패킷을 고속으로 받아서 필터링된 패킷 정보를 추출하는 패킷 정보 추출 단계; 상기 추출된 패킷 정보를 수집하는 패킷 정보 수집단계; 수집된 패킷에서 각 패킷을 분류하는 패킷정보 처리단계; 특정 패턴에 대한 처리 및 데이터 내의 잡음을 처리하는 전처리단계; 미리 정의된 침입패턴과 비교하여 침입을 검출하는 패턴검색단계; 및 패턴검색결과 패턴이 매칭되면 침입탐지를 상위 계층으로 보고하는 경보 생성 및 전달 단계를 구비하여 수신된 패킷 정보 데이터에 대한 침입 유무를 커널 영역에서 분석하는 것을 특징으로 한다.
도 1은 본 발명이 적용되는 보안 게이트웨이 시스템이 위치하는 서비스망
구성도,
도 2는 도 1에 도시된 보안 게이트웨이 시스템의 전체 구조를 개략적으로
도시한 구성 블록도,
도 3은 도 2에 도시된 고속 침입탐지 수행장치의 세부 구성 블록도,
도 4는 도 2에 도시된 고속 침입탐지 수행장치와 시스템 제어 및 관리 장치
사이의 인터페이스 구성을 간략하게 도시한 개략도,
도 5는 본 발명에 따라 커널 영역에서 모듈 형태로 동작하는 고속 침입탐지
수행장치의 전반적인 침입탐지 절차를 도시한 흐름도,
도 6은 본 발명에 따라 입출력 인터페이스를 통해 침입패턴의 갱신을 수행
하는 절차를 도시한 흐름도이다.
* 도면의 주요부분에 대한 부호의 설명 *
100: 사이버 순찰 제어시스템200: 보안 게이트웨이
210: 패킷 추출 카드220: 고속침입탐지 수행장치
221: 카드장치 제어기222: 패킷정보 수집기
223: 패킷 정보 처리기224: 전처리기
225: 침입탐지 수행엔진226: 경보전달 소켓제어기
227: 침입패턴 관리기230: 시스템 제어 및 관리장치
240: 경보처리장치
이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 자세히 설명하면 다음과 같다.
도 1은 본 발명이 적용되는 보안 게이트웨이 시스템이 위치하는 서비스망 구성도로서, 전체 서비스망은 하나의 사이버 순찰 제어 시스템(100)과, 분산된 네트워크에 위치하는 다수의 보안 게이트웨이 시스템(200)들로 이루어진다.
도면을 참조하면, 제1 LAN(N1)은 라우터(110)와 보안 게이트웨이(200), 및 사이버 순찰 제어시스템(100)을 구비하고 있고, 제2 LAN(N2)은 라우터(110)와 보안게이트(200)를 구비하고 있으며, 제3 LAN(N3)은 라우터(110)와 보안 게이트웨이(200)를 구비하고 있다. 그리고 각 LAN(N1~N3)은 라우터(110)를 통해 서로 연결되어 있고, 분산된 보안 게이트웨이(200)는 사이버 순찰 제어시스템(100)의 통제하에 해당 네트워크의 보안을 담당하고 있다.
즉, 사이버 순찰 제어 시스템(100)은 하위의 보안 게이트웨이 시스템들(200)로부터 침입 경보를 수신하고, 이에 대한 대응 정책을 수립하여 전달하는 역할을 수행한다. 그리고 보안 게이트웨이 시스템(200)은 본 발명의 주요 목적 장치들을 가지고 독립적으로 동작할 수 있고, 전체 광역망에 널리 분포되어 있다.
도 2는 도 1에 도시된 보안 게이트웨이 시스템(200)의 전체 구조를 개략적으로 도시한 구성 블록도이다.
도면을 참조하면, 보안 게이트웨이 시스템(200)은 상위 모듈과 PCI인터페이스를 갖는 하드웨어장치인 패킷정보 추출 및 송신카드장치(210: 이하, 간단히 '패킷 추출카드'라 한다)와, OS 커널상에 수행되는 소프트웨어 모듈인 고속 침입탐지 수행장치(220), 응용계층에서 수행되는 시스템 제어 및 관리장치(230), 경보처리장치(240)로 구성된다.
패킷 정보 추출 및 송신 카드 장치(210)는 실제 네트워크에서 전달되는 패킷들을 수집하고 필터링함으로써, 요구되는 패킷 정보에 대한 축약 감사 데이터를 생성하고 이 모니터링 패킷을 고속 침입탐지 수행장치(220)로 전달한다. 고속 침입탐지 수행장치(220)는 고속 침입탐지 기능을 수행하기 위해서 커널 영역에서 패킷정보 추출 및 송신카드장치(210)로부터 모니터링 패킷을 전달받아 패킷 분석을 수행하고 침입으로 판정된 분석 결과에 대한 침입 경보를 생성하며, 이 경보를 시스템 제어 및 관리 장치(230)로 전달한다.
시스템 제어 및 관리 장치(230)는 보안 게이트웨이 시스템(200)에 대한 전체 관리 및 경보 메시지의 생성 및 전달을 담당하고, 경보 처리 장치(240)는 도 1에 도시된 사이버 순찰 제어 시스템(100)으로부터 정책 전달 및 경보 메시지 전달을 담당한다.
도 3은 본 발명에 따라 고속 침입탐지 수행장치(220)가 패킷 정보 추출 및 송신 카드 장치(210)로부터 패킷 정보를 수신하고, 이의 분석을 통해 침입 경보를 시스템 제어 및 관리 장치(230)로 송신하는 방식을 도시한 세부 구성 블록도이다.
도면을 참조하면, 고속 침입탐지 수행 장치(220)는 카드장치 제어기(221)와, 패킷정보 수집기(222), 패킷정보 처리기(223), 전처리기(224), 침입탐지 수행엔진(225), 경보전달 소켓 제어기(226), 침입패턴 관리기(227)로 구성되어 패킷정보 추출 및 송신카드장치(210)로부터 모니터링 패킷을 전달받아 침입을 탐지하여 시스템 제어 및 관리장치(230)로 경보를 전달하고, 시스템 제어 및 관리장치(230)로부터 새로운 침입패턴 갱신정보를 전달받아 침입패턴을 갱신한 후 갱신 확인신호를 제공한다.
카드 장치 제어기(221)는 하부 패킷 정보 추출 및 송신 카드 장치(210)로부터 패킷 정보를 수신함과 아울러 카드장치(210)의 제어를 담당하고, 패킷 정보 수집기(222)는 필터링된 패킷 정보를 수집하며, 패킷 정보 처리기(223)는 수집된 패킷 정보를 분석할 수 있는 형태로 재조합해 준다. 그리고 전처리기(224)는 특정형태의 패턴 처리나 패킷 정보 내의 잡음을 제거해 주고, 침입탐지 수행 엔진(225)은 여러 침입 패턴들을 검색하고 침입여부를 판단해 준다. 경보 전달 소켓 제어기(226)는 생성된 침입 경보를 상위의 시스템 제어 및 관리 장치(230)로 전달해 주고, 침입패턴 관리기(227)는 상위 시스템 제어 및 관리 시스템(230)으로부터의 정책을 고속 침입탐지 수행 장치(220)에 적용하기 위한 것이다. 이때, 이와 같은 제어기들로부터 제공되는 정보를 바탕으로 침입탐지 수행엔진(225)은 하부로부터 전달된 패킷 정보에 대한 침입유무를 판단하게 되고, 이러한 탐지 결과는 경보 전달 소켓 제어기(226)를 통해서 상위의 응용계층 영역으로 전달된다.
도 4는 본 발명에 따라 고속 침입탐지 수행장치(220)와 시스템 제어 및 관리 장치(230) 사이의 인터페이스 구성을 간략하게 도시한 개략도이다.
도면을 참조하면, 고속 침입탐지 수행장치(220)와 시스템 제어 및 관리장치(230)는 입출력 인터페이스(301)와 소켓 인터페이스(302)를 통해 정보를 교환하는데, 소켓 인터페이스(302)는 커널 영역에서 동작하는 고속 침입탐지 수행장치(220)로부터의 침입 정보를 상위의 응용 영역으로 전달하기 위한 것이고, 입출력 인터페이스(301)는 상위의 정책 변경을 고속 침입탐지 수행장치(220)에 적용하기 위한 것이다.
이러한 인터페이스 제어는 고속 침입탐지 수행 장치(220) 내의 카드 장치 제어기(221)에 의해서 수행된다.
도 5는 본 발명에 따라 커널 영역에서 모듈 형태로 동작하는 고속 침입탐지 수행장치(220)가 수행하는 전반적인 침입탐지 절차를 도시한 흐름도이다.
도면을 참조하면, 침입탐지 절차는 카드장치 읽기(401), 패킷정보수집(402), 이더넷 패킷추출(403), IP패킷추출(404), ICMP 패킷추출(405), UDP패킷추출(406), TCP 패킷추출(407), 전처리(408), 패턴검색(409), 매칭확인(410), 경보 생성 및 전달(411) 단계로 이루어져 수집된 패킷을 분석하여 침입을 탐지한 후 그 결과를 소켓 인터페이스를 통해 시스템제어 및 관리장치(230)로 전달한다.
우선, 카드 장치 제어기(221)로부터 패킷 추출 카드장치(210)를 읽고(401), 패킷 추출 카드장치(210)에서 읽혀진 필터링된 패킷 정보는 패킷 정보 수집기(222)에서 수집된다(402). 수집된 패킷 정보는 패킷 정보 처리기(223)에서 이더넷 패킷 정보 추출(403), IP 패킷 정보 추출(404), ICMP 패킷 정보 추출(405), UDP 패킷 정보 추출(406), TCP 패킷 정보 추출(407)을 거친다.
추출된 패킷 정보들은 전처리기(224)에 의해서 특정 패턴에 대한 처리 및 데이터 내의 잡음 처리가 이루어진다(408). 처리된 패킷 정보가 침입 패턴들에 속하는지 여부를 검사하기 위해서, 침입 패턴들에 대한 검색이 수행되고(409), 검색 과정에서 기존의 침입 패턴과 패킷 정보가 매칭되면(410) 해당 침입에 대한 경보를 생성하고(411), 소켓 인터페이스(302)를 통해서 시스템 제어 및 관리 장치(230)로 전달한다. 매칭되지 않으면, 다음의 패킷 정보를 패킷 추출 카드장치(210)로부터 새로 읽게 된다(401).
도 6은 본 발명에 따라 입출력 인터페이스(301)를 통해 침입패턴의 갱신을 수행하는 절차를 도시한 흐름도이다.
도면을 참조하면, 우선 시스템 제어 및 관리 장치(230)로부터 침입패턴에 대한 정책 변경을 침입패턴 관리기(227)가 수신하게 된다. 이어 변경된 패턴 정보에 따라서 침입패턴을 갱신하고(412), 이를 전처리기(224) 및 침입탐지 수행엔진(225)에 적용하기 위한 신호를 보낸다. 수신된 신호에 따라서, 전처리기(224)의 전처리 모듈(408)과 침입탐지 수행엔진(225)의 패턴 검색 모듈(409)은 변경된 침입패턴 정보를 적용하게 된다. 이러한 응용 영역으로부터의 변경 정보는 커널 영역의 카드 장치 제어기(221)에서 제공하는 입출력 인터페이스(301)를 통해서 실시간으로 수행된다.
이상에서 설명한 바와 같이, 본 발명에서는 보안 게이트웨이 시스템에서 고속 침입탐지를 수행하기 위한 커널 영역에서의 수행 방법을 제공한다. 또한 자체 제작한 카드 장치를 통해서 보다 빠른 패킷 수집을 수행하고, 카드 인터페이스인 소켓 인터페이스와 입출력 인터페이스를 통해 응용 영역과의 편리하게 통신한다. 따라서 본 발명인 보안 게이트웨이 시스템에서 커널 모듈 기반의 고속 침입탐지를 수행하기 위한 장치 및 방법은 보다 빠른 패킷 수집 및 탐지를 수행함으로써 광역 망에서 효율적이고 빠른 침입탐지를 수행할 수 있으며, 이로 인한 탐지 효율 및 시스템 안정성을 보장할 수 있다.
이상에서 설명한 것은 본 발명의 보안 게이트웨이의 커널 기반 고속 침입탐지 시스템 및 그 방법을 설명한 하나의 실시 예에 불과한 것으로써, 본 발명은 상기한 실시 예에 한정되지 않고, 이하의 특허 청구의 범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변경 실시가 가능한 범위까지 본 발명의 기술적 사상이 미친다고 할 것이다.

Claims (8)

  1. 실제 네트워크 패킷을 고속으로 받아서 필터링된 패킷 정보를 상위 분석 모듈로 전달하는 패킷 정보 추출 수단;
    커널계층에서 수행되며 상기 패킷 정보 추출수단으로부터 패킷 정보를 수신하여, 수신된 패킷 정보 데이터를 미리 정의된 침입패턴과 비교하여 침입이 탐지되면 경보를 발생하는 고속 침입탐지 수행수단; 및
    응용계층에서 수행되며 상기 고속 침입탐지 수행수단으로부터 경보가 전달되면 경보메시지를 생성하고, 상기 침입패턴을 갱신하기 위한 정보를 상기 고속 침입탐지 수행수단에 제공하는 시스템 제어 및 관리수단을 포함하는 것을 특징으로 하는 보안 게이트웨이의 커널 기반 고속 침입탐지 시스템.
  2. 제 1항에 있어서, 상기 고속 침입탐지 시스템은,
    상기 시스템 제어 및 관리 수단으로부터의 정책 전달 및 경보 메시지 전달을 담당하는 경보 처리수단을 더 구비하는 것을 특징으로 하는 보안 게이트웨이의 커널 기반 고속 침입탐지 시스템.
  3. 제 1항에 있어서, 상기 고속 침입탐지 수행수단은,
    하부 패킷 정보 추출수단으로부터 패킷 정보를 수신하고 각 통신 인터페이스를 제어하기 위한 카드 장치 제어기;
    상기 카드 장치 제어기로부터 필터링된 패킷 정보를 수신하기 위한 패킷 정보 수집기;
    상기 수집된 패킷 정보를 탐지하기 적합한 형태로 추출하기 위한 패킷 정보 처리기;
    상기 추출된 패킷 정보에 대한 데이터의 잡음 제거 및 특정 패턴 처리를 위한 전처리기;
    상기 추출된 패킷 정보에 대한 침입 패턴들과의 매칭 여부를 판단하여 침입 유무를 판단하기 위한 침입탐지 수행엔진;
    상기 침입탐지 수행엔진에서의 분석 결과에 따른 경보 메시지를 생성하고 상위 계층으로 전달하는 경보 전달 소켓 제어기; 및
    상위 계층으로부터의 정책을 상기 고속 침입탐지 수행수단에 실시간으로 적용하기 위한 침입패턴 관리기;로 이루어진 것을 특징으로 하는 보안 게이트웨이의 커널 기반 고속 침입탐지 시스템.
  4. 제 1항 내지 제 3항 중 어느 한 항에 있어서, 상기 고속 침입탐지 수행수단과 상기 시스템제어 및 관리수단은,
    실제 네트워크 패킷을 받아서 생성된 패킷 데이터를 커널 영역에서 분석하여 생성된 침입 경보를 상위의 응용 영역으로 전달하기 위한 소켓 인터페이스와,
    상위로부터의 정책 변경을 실시간으로 고속 침입탐지 수행장치에 전달하고 적용하기 위한 입출력 인터페이스를 통해 통신하는 것을 특징으로 하는 보안 게이트웨이의 커널 기반 고속 침입탐지 시스템.
  5. 제 1항 내지 제 3항 중 어느 한 항에 있어서, 상기 고속 침입탐지 수행수단은, 해당 패킷 정보 데이터가 침입인지의 유무를 판단하기 위해서 커널 영역에서 침입 패턴을 검색하고 매칭한 결과, 생성된 침입 경보를 응용 영역으로 전달하는 것을 특징으로 하는 보안 게이트웨이의 커널 기반 고속 침입탐지 시스템.
  6. 실제 네트워크 패킷을 고속으로 받아서 필터링된 패킷 정보를 추출하는 패킷 정보 추출 단계;
    상기 추출된 패킷 정보를 수집하는 패킷 정보 수집단계;
    수집된 패킷에서 각 패킷을 분류하는 패킷정보 처리단계;
    특정 패턴에 대한 처리 및 데이터 내의 잡음을 처리하는 전처리단계;
    미리 정의된 침입패턴과 비교하여 침입을 검출하는 패턴검색단계; 및
    패턴검색결과 패턴이 매칭되면 침입탐지를 상위 계층으로 보고하는 경보 생성 및 전달 단계;
    를 포함하여, 수신된 패킷 정보 데이터에 대한 침입 유무를 커널 영역에서 분석하는 것을 특징으로 하는 보안 게이트웨이의 커널 기반 고속 침입탐지 방법.
  7. 제 6항에 있어서, 상기 패킷정보 처리단계는
    이더넷 패킷 추출단계, IP 패킷 추출단계, ICMP 패킷 추출단계, UDP 패킷 추출단계 및 TCP 패킷 추출단계로 구성된 것을 특징으로 하는 보안 게이트웨이의 커널 기반 고속 침입탐지 방법.
  8. 제 6항에 있어서, 상위 모듈로부터 새로운 침입패턴을 입출력 인터페이스를 통해 전달받아 새로운 패턴을 적용하는 단계를 더 포함하는 것을 특징으로 하는 보안 게이트웨이의 커널 기반 고속 침입탐지 방법.
KR10-2002-0076190A 2002-12-03 2002-12-03 보안 게이트웨이의 커널 기반 고속 침입탐지 시스템 및 그방법 KR100501210B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0076190A KR100501210B1 (ko) 2002-12-03 2002-12-03 보안 게이트웨이의 커널 기반 고속 침입탐지 시스템 및 그방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0076190A KR100501210B1 (ko) 2002-12-03 2002-12-03 보안 게이트웨이의 커널 기반 고속 침입탐지 시스템 및 그방법

Publications (2)

Publication Number Publication Date
KR20040048466A true KR20040048466A (ko) 2004-06-10
KR100501210B1 KR100501210B1 (ko) 2005-07-18

Family

ID=37343227

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0076190A KR100501210B1 (ko) 2002-12-03 2002-12-03 보안 게이트웨이의 커널 기반 고속 침입탐지 시스템 및 그방법

Country Status (1)

Country Link
KR (1) KR100501210B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100624483B1 (ko) * 2004-10-06 2006-09-18 삼성전자주식회사 네트워크에서의 차등 침입탐지 장치 및 방법
KR100688604B1 (ko) * 2004-11-18 2007-03-02 고려대학교 산학협력단 네트워크 악성실행코드 차단장치 및 방법
KR100800090B1 (ko) * 2006-09-01 2008-02-01 주식회사 하우리 윈도우 디바이스 드라이버로 디스패치되는 IRP(I/ORequest Packet)의 실시간 감시 장치 및 그방법
CN100576819C (zh) * 2005-01-14 2009-12-30 中国科学院计算技术研究所 基于Linux内核的流量分析方法
KR101526471B1 (ko) * 2013-11-22 2015-06-09 유넷시스템주식회사 호스트 보안 장치

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5848233A (en) * 1996-12-09 1998-12-08 Sun Microsystems, Inc. Method and apparatus for dynamic packet filter assignment
KR100383224B1 (ko) * 2000-05-19 2003-05-12 주식회사 사이젠텍 리눅스 기반의 네트워크 통합 보안 시스템 및 그의 방법과이를 장착한 반도체 장치
KR100358518B1 (ko) * 2000-07-03 2002-10-30 주식회사 지모컴 임베디드 하드웨어와 범용 컴퓨터가 결합된 방화벽 시스템
KR20020033859A (ko) * 2000-10-30 2002-05-08 송영호 리눅스 보안 커널
KR20020051599A (ko) * 2000-12-23 2002-06-29 오길록 분산 컴퓨팅 환경에서의 보안 정책 시스템 및 그 방법
KR100464567B1 (ko) * 2002-09-06 2005-01-03 한국전자통신연구원 센서를 이용한 액티브 네트워크 침입패킷 대응방법

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100624483B1 (ko) * 2004-10-06 2006-09-18 삼성전자주식회사 네트워크에서의 차등 침입탐지 장치 및 방법
KR100688604B1 (ko) * 2004-11-18 2007-03-02 고려대학교 산학협력단 네트워크 악성실행코드 차단장치 및 방법
CN100576819C (zh) * 2005-01-14 2009-12-30 中国科学院计算技术研究所 基于Linux内核的流量分析方法
KR100800090B1 (ko) * 2006-09-01 2008-02-01 주식회사 하우리 윈도우 디바이스 드라이버로 디스패치되는 IRP(I/ORequest Packet)의 실시간 감시 장치 및 그방법
KR101526471B1 (ko) * 2013-11-22 2015-06-09 유넷시스템주식회사 호스트 보안 장치

Also Published As

Publication number Publication date
KR100501210B1 (ko) 2005-07-18

Similar Documents

Publication Publication Date Title
Tan et al. A new framework for DDoS attack detection and defense in SDN environment
CN107683597B (zh) 用于异常检测的网络行为数据收集和分析
US10015188B2 (en) Method for mitigation of cyber attacks on industrial control systems
KR100456635B1 (ko) 분산 서비스 거부 공격 대응 시스템 및 방법
Nadiammai et al. Effective approach toward Intrusion Detection System using data mining techniques
KR100490729B1 (ko) 보안 게이트웨이 시스템과 이를 이용한 침입 탐지 방법
CN112738016A (zh) 一种面向威胁场景的智能化安全事件关联分析系统
US8065722B2 (en) Semantically-aware network intrusion signature generator
CN110120948B (zh) 基于无线和有线数据流相似性分析的非法外联监测方法
Brahmi et al. Towards a multiagent-based distributed intrusion detection system using data mining approaches
WO2014052756A2 (en) Apparatus, system and method for identifying and mitigating malicious network threats
Lu et al. BotCop: An online botnet traffic classifier
CN102611713A (zh) 基于熵运算的网络入侵检测方法和装置
Kalnoor et al. IoT-based smart environment using intelligent intrusion detection system
CN109150869A (zh) 一种交换机信息采集分析系统及方法
Zhou et al. A dynamic and lightweight framework to secure source addresses in the SDN-based networks
Ghourabi et al. Data analyzer based on data mining for honeypot router
KR100501210B1 (ko) 보안 게이트웨이의 커널 기반 고속 침입탐지 시스템 및 그방법
Chai et al. Research of intelligent intrusion detection system based on web data mining technology
CN107608752A (zh) 基于虚拟机自省的威胁情报响应与处置方法及系统
CN112887316A (zh) 一种基于分类的访问控制列表冲突检测系统及方法
CN112437070A (zh) 一种基于操作生成树状态机完整性验证计算方法及系统
Yongle et al. A cooperative intrusion detection system based on autonomous agents
Lu Research on Security Protection System of University Computer Network based on Big Data technology
Yuan et al. Security Situation Awareness Analysis of Mobile Power Business Based on Artificial Intelligence

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20080701

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee