KR20040087206A - Device for detecting and preventing system hacking - Google Patents

Device for detecting and preventing system hacking Download PDF

Info

Publication number
KR20040087206A
KR20040087206A KR1020030021484A KR20030021484A KR20040087206A KR 20040087206 A KR20040087206 A KR 20040087206A KR 1020030021484 A KR1020030021484 A KR 1020030021484A KR 20030021484 A KR20030021484 A KR 20030021484A KR 20040087206 A KR20040087206 A KR 20040087206A
Authority
KR
South Korea
Prior art keywords
data
sensor module
module
request
manager
Prior art date
Application number
KR1020030021484A
Other languages
Korean (ko)
Other versions
KR100564438B1 (en
Inventor
허진수
Original Assignee
(주)케이아이피티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)케이아이피티 filed Critical (주)케이아이피티
Priority to KR1020030021484A priority Critical patent/KR100564438B1/en
Publication of KR20040087206A publication Critical patent/KR20040087206A/en
Application granted granted Critical
Publication of KR100564438B1 publication Critical patent/KR100564438B1/en

Links

Classifications

    • AHUMAN NECESSITIES
    • A61MEDICAL OR VETERINARY SCIENCE; HYGIENE
    • A61MDEVICES FOR INTRODUCING MEDIA INTO, OR ONTO, THE BODY; DEVICES FOR TRANSDUCING BODY MEDIA OR FOR TAKING MEDIA FROM THE BODY; DEVICES FOR PRODUCING OR ENDING SLEEP OR STUPOR
    • A61M5/00Devices for bringing media into the body in a subcutaneous, intra-vascular or intramuscular way; Accessories therefor, e.g. filling or cleaning devices, arm-rests
    • A61M5/178Syringes
    • A61M5/31Details
    • A61M5/315Pistons; Piston-rods; Guiding, blocking or restricting the movement of the rod or piston; Appliances on the rod for facilitating dosing ; Dosing mechanisms
    • A61M5/31511Piston or piston-rod constructions, e.g. connection of piston with piston-rod
    • AHUMAN NECESSITIES
    • A61MEDICAL OR VETERINARY SCIENCE; HYGIENE
    • A61MDEVICES FOR INTRODUCING MEDIA INTO, OR ONTO, THE BODY; DEVICES FOR TRANSDUCING BODY MEDIA OR FOR TAKING MEDIA FROM THE BODY; DEVICES FOR PRODUCING OR ENDING SLEEP OR STUPOR
    • A61M39/00Tubes, tube connectors, tube couplings, valves, access sites or the like, specially adapted for medical use
    • A61M39/22Valves or arrangement of valves
    • A61M39/24Check- or non-return valves
    • AHUMAN NECESSITIES
    • A61MEDICAL OR VETERINARY SCIENCE; HYGIENE
    • A61BDIAGNOSIS; SURGERY; IDENTIFICATION
    • A61B17/00Surgical instruments, devices or methods, e.g. tourniquets
    • A61B2017/00969Surgical instruments, devices or methods, e.g. tourniquets used for transplantation
    • AHUMAN NECESSITIES
    • A61MEDICAL OR VETERINARY SCIENCE; HYGIENE
    • A61MDEVICES FOR INTRODUCING MEDIA INTO, OR ONTO, THE BODY; DEVICES FOR TRANSDUCING BODY MEDIA OR FOR TAKING MEDIA FROM THE BODY; DEVICES FOR PRODUCING OR ENDING SLEEP OR STUPOR
    • A61M2205/00General characteristics of the apparatus
    • A61M2205/75General characteristics of the apparatus with filters

Abstract

PURPOSE: A system hacking detection and prevention system is provided to detect a hacker's invasion via a real time monitoring, and to prevent data from being leaked by automatically blocking a hacking activity. CONSTITUTION: The system comprises a router(2), a fire wall(3), a DMZ(De-Militarized Zone, 6), plural sensors(41, 42, 43) and plural manager modules(51-54). The router(2) and the fire wall(3) connects to the internet, and the DMZ(6) connects to the fire wall(3). The sensor modules(41, 42, 43), connecting to the fire wall(3), detect a hacking activity by applying a petrinet algorithm to task content, block the hacking activity, enable a manager to refer to system security related data, and perform a user approval request. The manager modules(51-54), connecting to the router(2), the fire wall(3) and the sensors(41, 42, 43), request the sensors(41, 42, 43) to perform a user approval, receive the data from the sensors(41, 42, 43), and monitor the received data.

Description

시스템 침입 탐지 및 방지 장치{Device for detecting and preventing system hacking}Device for detecting and preventing system hacking

이 발명은 컴퓨터 보안 분야에 관한 것으로서, 좀더 세부적으로 말하자면 실시간감시를 통해 해커(hacker)의 침입을 탐지하고 해커의 침입이 있는 경우에 자동적으로 차단하여 정보의 유출을 막을 수 있으며, 시스템 단위로 침입 및 방지를 함으로써 해킹에 노출되어 있는 DMZ(DeMilitarized Zone)의 보안까지도 유도할 수 있는, 시스템 침입 탐지 및 방지 장치에 관한 것이다.The present invention relates to the field of computer security, and more specifically, to detect hacker intrusion through real-time monitoring, and automatically block when there is a hacker's intrusion, and prevent information leakage. And it relates to a system intrusion detection and prevention device, which can lead to the security of the DMZ (DeMilitarized Zone) that is exposed to hacking by preventing.

최근 몇 년 사이에 컴퓨터 관련 범죄가 급증하고 있다. 인터넷(Internet)이 급속히 퍼지고 이를 통해 누구나 쉽게 인터넷에 연결된 모든 호스트(Host)에 대해 연결이 가능하게 되고, 인터넷에서 쉽게 구할 수 있는 침입방식들을 이용해 크래킹(Cracking)을 하고, 서비스 거부공격(Denial of Service, DoS)을 통해 서비스를 불가능하게 만들 수 있다. 통계에 의하면 매초마다 한건 이상씩의 사고가 발생하고 있으므로 그 규모가 엄청나다고 볼 수 있다.In recent years, computer-related crimes have surged. The Internet is rapidly spreading, and anyone can easily connect to any host connected to the Internet, cracking and using denial-of-service attacks using intrusion methods easily available on the Internet. Service, DoS) can make services impossible. According to statistics, more than one accident occurs every second, the size is enormous.

따라서 컴퓨팅 업계에서는 보안에 대한 요구가 그 어느때 보다도 절실해지고 있다.As a result, the demand for security in the computing industry is more urgent than ever.

이 발명의 목적은 이와 같은 기술적 과제를 해결하기 위한 것으로서, 실시간 감시를 통해 해커의 침입을 탐지하고 해커의 침입이 있는 경우에 자동적으로 차단하여 정보의 유출을 막을 수 있으며, 시스템 단위로 침입 탐지 및 방지를 함으로써 해킹에 노출되어 있는 DMZ의 보안까지도 유도할 수 있는, 시스템 침입 탐지 및 방지 장치를 제공하는 데 있다.The purpose of the present invention is to solve such technical problem, and can detect hackers' intrusion through real-time monitoring and automatically prevent the leakage of information by blocking the hacker's intrusion. It is to provide a system intrusion detection and prevention device that can lead to the security of the DMZ exposed to hacking by preventing it.

도 1은 이 발명의 일실시예에 따른 시스템 침입 탐지 및 방지 장치의 구성도이다.1 is a block diagram of a system intrusion detection and prevention apparatus according to an embodiment of the present invention.

도 2는 이 발명의 일실시예에 따른 시스템 침입 탐지 및 방지 장치의 동작 흐름도이다.2 is an operation flowchart of a system intrusion detection and prevention apparatus according to an embodiment of the present invention.

도 3은 이 발명의 일실시예에 따른 시스템 침입 탐지 및 방지 장치의 시스템 침입 탐지시 센서 모듈과 매니저 모듈의 동작 흐름도이다.3 is a flowchart illustrating operations of a sensor module and a manager module when detecting a system intrusion of the system intrusion detection and prevention device according to an embodiment of the present invention.

도 4는 이 발명의 일실시예에 따른 시스템 침입 탐지 및 방지 장치의 시스템 정보 수집 및 조회시 센서 모듈과 매니저 모듈의 동작 흐름도이다.4 is a flowchart illustrating operations of a sensor module and a manager module when collecting and inquiring system information of a system intrusion detection and prevention device according to an embodiment of the present invention.

* 도면의 주요 부분에 대한 부호의 설명 *Explanation of symbols on the main parts of the drawings

1 : 인터넷 2 : 라우터1: internet 2: router

3 : 방화벽 41, 42, 43 : 센서 모듈3: firewall 41, 42, 43: sensor module

51, 52, 53, 54 : 매니저 모듈 6 : DMZ51, 52, 53, 54: manager module 6: DMZ

상기한 목적을 달성하기 위한 수단으로서 이 발명의 구성은, 인터넷에 연결되어있는 라우터 및 방화벽과, 상기한 방화벽에 연결되어 있는 DMZ와, 상기한 방화벽에 연결되어 있으며 시스템에 접근한 사용자의 작업내용을 페트리넷 알고리즘을 이용하여 실시간으로 해킹여부를 판단하여 침입이 발생된 경우에 자동적으로 침입을 차단함으로써 정보의 유출을 막으며 시스템의 보안관련 정보를 조회할 수 있으며 매니저 모듈로부터 사용인증요청이 있는 경우에 사용인증을 하고 매니저 모듈로부터 자료전송요구가 있는 경우에 자료를 전송하는 다수개의 센서 모듈과, 상기한 라우터와 방화벽과 센서 모듈에 연결되어 있으며 센서 모듈에 접속을 한 후에 센서 모듈에 사용인증요청을 하고 센서모듈로부터 사용인증이 이루어지고 난 뒤에 센서 모듈로부터 전송되어 오는 자료를 수신하여 수신된 자료를 모니터링을 하는 다수개의 매니저 모듈을 포함하여 이루어진다.As a means for achieving the above object, the configuration of the present invention includes a router and a firewall connected to the Internet, a DMZ connected to the firewall, and a content of a user connected to the firewall and accessing the system. It detects hacking in real time by using Petrinet algorithm and automatically blocks the intrusion when an intrusion occurs, thereby preventing the leakage of information and querying the security related information of the system. In this case, the sensor is authenticated and the sensor module transmits data when there is a request for data transmission from the manager module. It is connected to the router, the firewall, and the sensor module. After requesting and authenticating from the sensor module, Comprises a plurality of manager modules for monitoring the received data by receiving a data transmission is coming.

이하, 이 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 이 발명을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여, 이 발명의 가장 바람직한 실시예를 첨부된 도면을 참조로 하여 상세히 설명하기로 한다. 이 발명의 목적, 작용, 효과를 포함하여 기타 다른 목적들, 특징점들, 그리고 동작상의 이점들이 바람직한 실시예의 설명에 의해 보다 명확해질 것이다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, the present invention will be described in detail with reference to the accompanying drawings in order to describe in detail enough to enable those skilled in the art to easily carry out the present invention. . Other objects, features, and operational advantages, including the object, operation, and effect of the present invention will become more apparent from the description of the preferred embodiment.

참고로, 여기에서 개시되는 실시예는 여러가지 실시가능한 예중에서 당업자의 이해를 돕기 위하여 가장 바람직한 실시예를 선정하여 제시한 것일 뿐, 이 발명의 기술적 사상이 반드시 이 실시예에만 의해서 한정되거나 제한되는 것은 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위내에서 다양한 변화와 부가 및 변경이 가능함은 물론, 균등한 타의 실시예가 가능함을 밝혀 둔다.For reference, the embodiments disclosed herein are only presented by selecting the most preferred embodiment in order to help those skilled in the art from the various possible examples, the technical spirit of the present invention is not necessarily limited or limited only by this embodiment Rather, various changes, additions, and changes are possible within the scope without departing from the spirit of the present invention, as well as other equivalent embodiments.

이 발명의 일실시예에 따른 시스템 침입 탐지 및 방지 장치의 구성은, 도 1에 도시되어 있는 바와 같이, 인터넷(1)에 연결되어 있는 라우터(2)와, 상기한 라우터(2)에 연결되어 있는 방화벽(3)과, 상기한 방화벽(3)에 연결되어 있는 DMZ(6)와, 상기한 방화벽(3)에 연결되어 있으며 시스템에 접근한 사용자의 작업내용을 페트리넷 알고리즘을 이용하여 실시간으로 해킹여부를 판단하여 침입이 발생된 경우에 자동적으로 침입을 차단함으로써 정보의 유출을 막으며 시스템의 보안관련 정보를 조회할 수 있으며 매니저 모듈로부터 사용인증요청이 있는 경우에 사용인증을 하고 매니저 모듈로부터 자료전송요구가 있는 경우에 자료를 전송하는 다수개의 센서 모듈(41, 42, 43)과, 상기한 센서 모듈(41, 42, 43)에 연결되어 있으며 센서 모듈에 접속을 한 후에 센서 모듈에 사용인증요청을 하고 센서모듈로부터 사용인증이 이루어지고 난 뒤에 센서 모듈로부터 전송되어 오는 자료를 수신하여 수신된 자료를 모니터링을 하는 다수개의 매니저 모듈(51, 52, 53, 54)을 포함하여 이루어진다.The configuration of the system intrusion detection and prevention apparatus according to an embodiment of the present invention, as shown in FIG. 1, is connected to the router 2 connected to the Internet 1 and to the router 2 described above. Firewall (3), the DMZ (6) connected to the firewall (3), the user's work connected to the firewall (3) and access the system in real time using a Petrinet algorithm It can prevent the leakage of information by checking the hacking status and automatically block the intrusion in case of intrusion, and can check the security related information of the system. When there is a data transmission request, a plurality of sensor modules (41, 42, 43) for transmitting data and the sensor module (41, 42, 43) are connected to the sensor module after connecting to the sensor module. It includes a plurality of manager modules (51, 52, 53, 54) for monitoring the received data by receiving the data transmitted from the sensor module after the use authentication request from the sensor module and the use authentication is made.

이 발명의 일실시예에 따른 시스템 침입 탐지 및 방지 장치의 동작 흐름은, 도 2에 도시되어 있는 바와 같이, 동작이 시작되는 단계(S1)와, 접속대기를 하는 단계(S2)와, 사용인증을 하는 단계(S3)와, 탐지모듈을 적용하는 단계(S4)와, 침입이 있는지를 판단하는 단계(S5)와, 침입이 있는 경우에 침입탐지된 내용을 저장하는 단계(S6)와, 동작을 종료할 것인지를 판단하는 단계(S7)와, 동작을 종료하는 단계(S8)를 포함하여 이루어진다.Operation flow of the system intrusion detection and prevention apparatus according to an embodiment of the present invention, as shown in Figure 2, the step of starting the operation (S1), the step of waiting for the connection (S2), use authentication Step (S3), applying a detection module (S4), determining whether there is an intrusion (S5), storing an intrusion-detected content when there is an intrusion (S6), and And determining whether to terminate the operation (S7), and terminating the operation (S8).

이 발명의 일실시예에 따른 시스템 침입 탐지 및 방지 장치의 침입 탐지시 센서모듈의 동작 흐름은, 도 3에 도시되어 있는 바와 같이, 통신을 시작하는 단계(S9)와, 접속대기를 하는 단계(S10)와, 매니저 모듈로부터 사용인증요청이 있는 경우에 사용인증을 하는 단계(S11)와, 매니저 모듈로부터 자료전송요구가 있는지를 판단하는 단계(S12)와, 매니저 모듈로부터 자료전송요구가 있는 경우에 자료를 전송하는 단계(S13)와, 동작을 종료할 것인지를 판단하는 단계(S14)와, 동작을 종료하는 단계(S15)를 포함하여 이루어진다.The operation flow of the sensor module during the intrusion detection of the system intrusion detection and prevention apparatus according to an embodiment of the present invention, as shown in Figure 3, starting the communication (S9) and the step of waiting for connection ( S10), when there is a request for use authentication from the manager module (S11), authenticating whether there is a request for data transmission from the manager module (S12), and when there is a request for data transmission from the manager module. And transmitting the data (S13), determining whether to end the operation (S14), and terminating the operation (S15).

이 발명의 일실시예에 따른 시스템 침입 탐지 및 방지 장치의 침입 탐지시 매니저 모듈의 동작 흐름은, 도 3에 도시되어 있는 바와 같이, 관리를 시작하는 단계(S16)와, 센서 모듈에 접속을 하는 단계(S17)와, 센서 모듈에 사용인증요청을 하는 단계(S18)와, 센서모듈로부터 사용인증이 이루어지고 난 뒤에 센서 모듈로부터 전송되어 오는 자료를 수신하는 단계(S19)와, 수신된 자료를 모니터링을 하는 단계(S20)와, 침입이 있는 경우에 경고음과 함께 화면에 표시를 하는 단계(S21, S22)와, 동작을 종료할 것인지를 판단하는 단계(S23)와, 동작을 종료하는 단계(S24)를 포함하여 이루어진다.The operation flow of the manager module at the time of intrusion detection of the system intrusion detection and prevention apparatus according to an embodiment of the present invention, as shown in Figure 3, starting the management (S16) and connecting to the sensor module Step (S17), and requesting the use authentication request to the sensor module (S18), and receiving the data transmitted from the sensor module after the use authentication from the sensor module (S19) and the received data Monitoring step (S20), if there is an intrusion (S21, S22) to display on the screen with a warning sound, the step of determining whether to terminate the operation (S23), and the step of ending the operation ( S24) is made.

이 발명의 일실시예에 따른 시스템 침입 탐지 및 방지 장치의 시스템 정보 수집 및 조회시 센서모듈의 동작 흐름은, 도 4에 도시되어 있는 바와 같이, 정보수집을 시작하는 단계(S31)와, 접속대기를 하는 단계(S32)와, 매니저 모듈로부터 사용인증 요청이 있는 경우에 사용인증을 하는 단계(S33)와, 자료요청 대기를 하는 단계(S34)와, 매니저 모듈로부터 자료요청이 있는 경우에 데이터를 읽는 단계(S35)와, 매니저 모듈로 요청된 자료를 전송하는 단계(S36)와, 동작을 종료할 것인지를 판단하는 단계(S37)와, 동작을 종료하는 단계(S38)를 포함하여 이루어진다.The operation flow of the sensor module at the time of collecting and inquiring system information of the system intrusion detection and prevention apparatus according to an embodiment of the present invention, as shown in FIG. Step (S32), a step of performing authentication when there is a request for use authentication from the manager module (S33), a step of waiting for a request for data (S34), and data when there is a request for data from the manager module. It includes reading (S35), transmitting the requested data to the manager module (S36), determining whether to terminate the operation (S37), and terminating the operation (S38).

이 발명의 일실시예에 따른 시스템 침입 탐지 및 방지 장치의 시스템 정보 수집 및 조회시 매니저 모듈의 동작 흐름은, 도 4에 도시되어 있는 바와 같이, 정보조회를 시작하는 단계(S39)와, 센서 모듈에 접속을 하는 단계(S40)와, 센서 모듈에 사용인증을 요청하는 단계(S41)와, 센서모듈로부터 사용인증이 이루어지면 자료를 요청하는 단계(S42)와, 센서 모듈로부터 전송되는 자료를 수신하는 단계(S43)와, 수신된 자료를 조회하는 단계(S44)와, 동작을 종료할 것인지를 판단하는 단계(S45)와, 동작을 종료하는 단계(S46)를 포함하여 이루어진다.The operation flow of the manager module when collecting and inquiring system information of the system intrusion detection and prevention apparatus according to an embodiment of the present invention is as shown in FIG. Accessing (S40), requesting authentication for the sensor module (S41), requesting data when the authentication is made from the sensor module (S42), and receiving data transmitted from the sensor module And a step S43 of checking the received data, a step S45 of determining whether to end the operation, and a step S46 of terminating the operation.

상기한 구성에 의한, 이 발명의 일실시예에 따른 시스템 침입 탐지 및 방지 장치의 작용은 다음과 같다.The operation of the system intrusion detection and prevention apparatus according to an embodiment of the present invention by the above configuration is as follows.

이 발명의 일실시예에 따른 시스템 침입 탐지 및 방지 장치는, 침입 탐지 및 방지의 주된 기능을 하는 서버용 센서 모듈과, 센서로부터 정보를 받아 각종 정보를 모니터링할 수 있는 클라이언트용 매니저 모듈로 구성되어 있다.System intrusion detection and prevention apparatus according to an embodiment of the present invention is composed of a server sensor module for the main function of intrusion detection and prevention, and a client manager module for receiving information from the sensor to monitor various information. .

상기한 센서 모듈은 시스템의 고유 업무에 지장을 주지 않도록 설계되어 있으며, 시스템에 접근한 사용자의 작업내용을 페트리넷 알고리즘을 이용하여 실시간으로 해킹여부를 판단하여 침입이 있다고 판단되는 경우에 침입 프로세서를 자동으로 차단하고, 침입탐지정보를 로깅함과 동시에 매니저로 모듈로 전송하고, 시스템 구성정보 및 실시간 네트워크 트래픽을 매니저 모듈로 전송함으로써 지능형 침입탐지 및 방지 기능을 수행한다.The sensor module is designed to not interfere with the unique task of the system. The sensor module determines whether the user's work has been hacked in real time using the Petrinet algorithm to determine whether an intrusion processor is detected. It performs automatic intrusion detection and prevention by automatically blocking, logging intrusion detection information to the manager and sending it to the module, and sending system configuration information and real-time network traffic to the manager module.

상기한 매니저 모듈은 보안 관리자 혹은 시스템 관리자가 사용하는 컴퓨터에서 동작하며, 센서 모듈의 정보를 설정하고, 센서 모듈의 탐지정보를 수신하고 모니터링하며, 침입이 탐지되면 경보음을 발생시키고, 시스템 구성정보 및 실시간 네트워크 트래픽을 조회하며, 센서 모듈에 로그인한 IP에 대한 트레이스 정보를 조회한다. 즉, 침입 탐지및 방지의 주된 기능 이외에 서버와 관련된 정보의 조회, 각종 LOG 조회, 네트워크 포트에 대한 실시간 트래픽 조회가 가능하다.The manager module operates on a computer used by a security administrator or a system administrator, sets information on a sensor module, receives and monitors detection information of a sensor module, generates an alarm sound when an intrusion is detected, and configures system information. And inquires real-time network traffic and inquires trace information about an IP logged into the sensor module. That is, in addition to the main functions of intrusion detection and prevention, it is possible to inquire information related to server, various LOG inquiry, and real-time traffic inquiry about network port.

또한, 상기한 매니저 모듈은 1대 이상의 서버에 대한 모니터링이 가능하며, 경우에 따라 WAN 환경에서도 모니터링이 가능하다.In addition, the manager module may monitor one or more servers, and in some cases, may be monitored in a WAN environment.

동작이 시작되면(S1), 센서 모듈(41, 42, 43)은 접속대기를 한 뒤에(S2), 사용인증을 하고(S3), 탐지모듈을 적용하여(S4), 침입이 있는지를 판단한다(S5).When the operation is started (S1), the sensor module 41, 42, 43 waits for connection (S2), authenticates the use (S3), and applies the detection module (S4) to determine whether there is an intrusion. (S5).

상기한 탐지모듈에 의한 탐지과정은, 선마이크로시스템(Sun Microsystems)사의 솔라리스(Solaris) 환경에서 제공되는 BSM(Basic Security Module)에서 생성된 상주 프로세서인 어디트 대몬(Audit Daemon)에 의해 감사기록이 생성되면, 어디트 로그(audit log)를 읽어서 탐지에 필요한 자료를 추출하며, 이와 같이 추출된 자료를 탐지모듈에 적용할 포맷(format)으로 변경한 뒤에, 탐지를 하게 된다.The detection process by the detection module is audited by Audit Daemon, a resident processor created by the Basic Security Module (BSM) provided in the Solaris environment of Sun Microsystems. Once generated, the data needed for detection is extracted by reading the audit log, and the extracted data is converted into a format to be applied to the detection module and then detected.

상기한 탐지모듈은 페트리넷(Petri Net) 알고리즘 기반으로 구현되는데, 다음과 같은 침입패턴을 주로 탐지한다.The detection module is implemented based on a Petri Net algorithm, and mainly detects the following intrusion patterns.

1. admintool 오류1. admintool error

임의 파일을 /tmp/.group.lock에 연결한 후, /user/bin/admintool 프로그램을 실행함으로써 사용자 그룹 ID를 갖는 임의 파일을 생성한다.Link any file to /tmp/.group.lock and run the / user / bin / admintool program to create a random file with the user group ID.

2. kcms_calibrate 오류2. kcms_calibrate error

임의 파일을 /tmp/Kp_kcms_sys.sem에 연결한 후, /usr/openwin/bin/kcms_calibrate 프로그램을 실행하고 방해하는 프로그램을 수행함으로써 경쟁상태를 만들어 루트 소유의 임의의 파일을 생성한다.Link random files to /tmp/Kp_kcms_sys.sem, then run the / usr / openwin / bin / kcms_calibrate program and run a program that interferes with it to create a competitive state and generate random files owned by root.

3. automountd 오류3. automountd error

AUTOFS_MOUNT를 시키는 프로그램을 만들어 수행하여 오류를 유발한다. 이 결과로 지정한 호스트의 임의 파일의 퍼미션을 변경한다.Create a program that makes AUTOFS_MOUNT and execute it to cause an error. This changes the permissions of any file on the specified host.

4. nispopulate 오류4. nispopulate errors

/usr/lib/nis/nispopulate 프로그램 수행 도중에 생성되는 임시 파일을 이용한다. nispopulate 프로그램을 수행시켜 노고 생성되는 임시파일을 다른 파일로 링크함으로써 루트 소유의 파일을 생성한다./ usr / lib / nis / nispopulate Use temporary files created during program execution. Run the nispopulate program to create a file owned by root by linking the generated temporary file to another file.

5. eject, fdformat, ffbconfig, passwd, ping, rlogin5.eject, fdformat, ffbconfig, passwd, ping, rlogin

명령어 매개변수 뒤에 임의의 코드를 넣어 실행시킴으로써 오버플로우를 유도한다.Invoke overflow by executing arbitrary code after the command line parameter.

6. 함수 오용6. Misuse of functions

시스템 자원을 고갈시켜 시스템을 마비시킨다. 서비스 방해 공격에 속한다.Deplete system resources and paralyze the system. Belongs to a service disruption attack.

상기한 페트리넷은 이산 현상 시스템을 모델화하고 분석하는데 있어서, 하나의 그림형태로 그 흐름활동을 표현하고 분석할 수 있는 그래픽적이고, 다양한 시스템에 적용할 수 있는 수학적인 유용한 도구로서 잘 알려져 있다.The above-mentioned Petrinet is well known as a mathematical useful tool for modeling and analyzing discrete development systems, which can be applied to a variety of graphical and graphical systems that can express and analyze the flow activity in a single picture form.

그래픽한 도구로서 페트리넷은 플로우차트와 비슷한 비쥬얼-커뮤니케이션, 블록 다이어그램, 넷 작업을 이용하고, 수학적 도구로서 페트리넷은 상태 방정식의 작성, 대수 방정식 또는 그외 수학모델을 사용할 수 있다.As a graphical tool, PetriNet uses visual-communication, block diagrams, and net operations similar to flowcharts, and as a mathematical tool, PetriNet can use state equations, algebraic equations, or other mathematical models.

상기한 페트리넷은 병행적, 비동기적, 분산적, 병렬적 또는 확률적 성질을 지닌 정보처리 시스템의 성능분석, 통신 프로토콜의 설계 검증 및 FMS 등 다양한 분야에 이용되고 있다.The Petrinet is used in various fields such as performance analysis of information processing systems having parallel, asynchronous, distributed, parallel, or stochastic properties, design verification of communication protocols, and FMS.

상기한 페트리넷의 특성은 행위적 속성과 구조적 속성으로 나눌 수 있는데, 페트리넷의 행위적 속성은 페트리넷의 마킹에 관하여 연구하는 것이다. 도달성(reachability), 유한성(boundedness), 생존성(liveness) 등을 대상으로 하여 여러 연구가 진행되어 왔다. 그리고, 상기한 페트리넷의 구조적 속성은 단지 마킹에는 상관없이 페트리넷의 구조만을 고려한다. 페트리넷의 구조적 속성에 관한 연구는 불변(invariant)의 개념과 구조적 유한성(boundedness), 강건성(conservation) 등에 관하여 여러 연구가 진행되어 왔다. 특히, 플레이스의 분석 그리고 상태 부변은 페트리넷의 구조에 관하여 여러 유용한 정보를 주고 있다.The characteristics of the Petrinet can be divided into the behavioral and structural properties. The behavioral property of the Petrinet is to study the marking of the Petrinet. Several studies have been conducted on reachability, boundedness, and liveness. In addition, the structural properties of the above-mentioned Petri net only consider the structure of the Petri net regardless of marking. The study on the structural properties of Petrinet has been studied in the concept of invariant, structural boundedness, and conservation. In particular, the analysis of the place and the side variables give a lot of useful information about the structure of the Petrinet.

이와 같은 페트리넷 알고리즘 기반으로 구현된 탐지모듈에 의해 침입이 있다고 판단되는 경우에, 상기한 센서 모듈(41, 42, 43)은 침입탐지된 내용을 내부 메모리에 저장한 뒤에(S6), 동작을 종료할 것인지를 판단하여(S7), 동작을 종료한다(S8).When it is determined that the intrusion is detected by the detection module implemented on the basis of the Petrinet algorithm, the sensor modules 41, 42, and 43 store the detected intrusion content in the internal memory (S6). It is determined whether to end (S7), and the operation ends (S8).

한편, 침입 탐지시 센서모듈(41, 42, 43)은 매니저 모듈(51, 52, 53, 54)과 통신을 하게 되는데, 통신이 시작되면(S9), 접속대기를 하면서(S10), 매니저 모듈(51, 52, 53, 54)로부터 사용인증요청이 있는 경우에 사용인증을 한다(S11).On the other hand, upon intrusion detection, the sensor modules 41, 42, 43 communicate with the manager modules 51, 52, 53, 54. When communication is started (S9), while waiting for connection (S10), the manager module If there is a request for use authentication from (51, 52, 53, 54), use authentication is performed (S11).

다음에, 센서 모듈(41, 42, 43)은 매니저 모듈(51, 52, 53, 54)로부터 자료전송요구가 있는지를 판단하여(S12), 매니저 모듈(51, 52, 53, 54)로부터 자료전송요구가 있는 경우에 자료를 전송한 후에(S13), 동작을 종료할 것인지를 판단하여(S14), 동작을 종료한다(S15).Next, the sensor modules 41, 42, and 43 determine whether there is a data transmission request from the manager modules 51, 52, 53, and 54 (S12), and the data from the manager modules 51, 52, 53, and 54. If there is a transfer request, after transmitting the data (S13), it is determined whether to end the operation (S14), and the operation is terminated (S15).

한편, 침입 탐지시 매니저 모듈(51, 52, 53, 54)은, 관리를 시작하는과정에서(S16), 센서 모듈(41, 42, 43)에 접속을 하여(S17), 센서 모듈(41, 42, 43)에 사용인증요청을 한다(S18).On the other hand, during intrusion detection, the manager modules 51, 52, 53, and 54 are connected to the sensor modules 41, 42, and 43 in the process of starting management (S16), and the sensor modules 41, 42, 43) request for authentication (S18).

상기한 센서모듈(41, 42, 43)로부터 사용인증이 이루어지고 난 뒤에, 상기한 매니저 모듈(51, 52, 53, 54)은 상기한 센서 모듈(41, 42, 43)로부터 전송되어 오는 자료를 수신하여(S19), 수신된 자료를 모니터링을 한 뒤에(S20), 침입이 있는 경우에 경고음과 함께 화면에 표시를 하고(S21, S22), 동작을 종료할 것인지를 판단하여(S23), 동작을 종료한다(S24).After use authentication is made from the sensor modules 41, 42, 43, the manager module 51, 52, 53, 54 is the data transmitted from the sensor module 41, 42, 43 After receiving (S19), after monitoring the received data (S20), and if there is an intrusion on the screen with a warning sound (S21, S22), and determines whether to terminate the operation (S23), The operation ends (S24).

한편, 시스템 정보 조회시 센서모듈(41, 42, 43)은, 정보수집이 시작되면(S31), 접속대기를 하면서(S32), 매니저 모듈(51, 52, 53, 54)로부터 사용인증 요청이 있는 경우에 사용인증을 한다(S33).On the other hand, when the system information inquiry, the sensor module (41, 42, 43), when collecting information is started (S31), while waiting for connection (S32), the user authentication request from the manager module (51, 52, 53, 54) If there is a use authentication (S33).

다음에, 상기한 센서모듈(41, 42, 43)은 자료요청 대기를 하면서(S34), 매니저 모듈(51, 52, 53, 54)로부터 자료요청이 있는 경우에 데이터를 읽어 와서(S35), 매니저 모듈(51, 52, 53, 54)로 요청된 자료를 전송한 후에(S36), 동작을 종료할 것인지를 판단하여(S37), 동작을 종료한다(S38).Next, the sensor module (41, 42, 43) is waiting for the data request (S34), when there is a data request from the manager module (51, 52, 53, 54) to read the data (S35), After the requested data is transmitted to the manager modules 51, 52, 53, and 54 (S36), it is determined whether to end the operation (S37), and the operation ends (S38).

한편, 시스템 정보 조회시 매니저 모듈(51, 52, 53, 54)은, 정보조회가 시작되면(S39), 센서 모듈(41, 42, 43)에 접속을 한 뒤에(S40), 센서 모듈(41, 42, 43)에 사용인증을 요청한다(S41).On the other hand, when the system information inquiry, the manager module 51, 52, 53, 54 is connected to the sensor module (41, 42, 43) (S40), when the information query is started (S39), the sensor module 41 , 42, 43) requests the use authentication (S41).

상기한 센서모듈(41, 42, 43)로부터 사용인증이 이루어지면, 상기한 매니저 모듈(51, 52, 53, 54)은 센서모듈(41, 42, 43)에 대하여 자료를 요청하여(S42), 센서 모듈(41, 42, 43)로부터 전송되는 자료를 수신한 뒤에(S43), 이와 같이 수신된 자료를 조회한 후에(S44), 동작을 종료할 것인지를 판단하여(S45), 동작을 종료한다(S46).When use authentication is made from the sensor modules 41, 42, and 43, the manager modules 51, 52, 53, and 54 request data from the sensor modules 41, 42, and 43 (S42). After receiving the data transmitted from the sensor modules 41, 42, and 43 (S43), and after inquiring the received data (S44), it is determined whether to end the operation (S45), and the operation is terminated. (S46).

이상의 실시예에서 살펴 본 바와 같이 이 발명은, 실시간 감시를 통해 해커의 침입을 탐지하고 해커의 침입이 있는 경우에 자동적으로 차단하여 정보의 유출을 막을 수 있으며, 시스템 단위로 침입 및 방지를 함으로써 해킹에 노출되어 있는 DMZ의 보안까지도 유도할 수 있는 효과를 갖는다.As described in the above embodiments, the present invention can detect intrusion of hackers through real-time monitoring and automatically block when there is an intrusion of hackers, thereby preventing information leakage, and hacking by intrusion and prevention by system unit. Even the security of the DMZ that is exposed to can be derived.

Claims (6)

인터넷에 연결되어 있는 라우터 및 방화벽과,Routers and firewalls connected to the Internet, 상기한 방화벽에 연결되어 있는 DMZ와,DMZ connected to the above firewall, 상기한 방화벽에 연결되어 있으며 시스템에 접근한 사용자의 작업내용을 페트리넷 알고리즘을 이용하여 실시간으로 해킹여부를 탐지하여 침입이 발생된 경우에 자동적으로 침입을 차단함으로써 정보의 유출을 막으며 시스템의 보안관련 정보를 조회할 수 있으며 매니저 모듈로부터 사용인증요청이 있는 경우에 사용인증을 하고 매니저 모듈로부터 자료전송요구가 있는 경우에 자료를 전송하는 다수개의 센서 모듈과,It is connected to the above firewall and detects hacking in real time using the Petrinet algorithm to detect the work of the user who accesses the system and prevents the leakage of information by automatically blocking the intrusion when an intrusion occurs. A plurality of sensor modules which can inquire related information and authenticate the user when there is a request for authentication from the manager module, and transmit the data when there is a request for data transmission from the manager module; 상기한 라우터와 방화벽과 센서 모듈에 연결되어 있으며 센서 모듈에 접속을 한 후에 센서 모듈에 사용인증요청을 하고 센서모듈로부터 사용인증이 이루어지고 난 뒤에 센서 모듈로부터 전송되어 오는 자료를 수신하여 수신된 자료를 모니터링을 하는 다수개의 매니저 모듈을 포함하여 이루어지는 것을 특징으로 하는 시스템 침입 탐지 및 방지 장치.It is connected to the router, firewall, and sensor module. After connecting to the sensor module, it requests the authentication of the sensor module and receives the data transmitted from the sensor module after the authentication of the sensor module. System intrusion detection and prevention device comprising a plurality of manager modules for monitoring the. 제 1 항에 있어서, 상기한 탐지과정은, 상주 프로세서인 어디트 대몬(Audit Daemon)에 의해 감사기록이 생성되면, 어디트 로그(audit log)를 읽어서 탐지에 필요한 자료를 추출하며, 이와 같이 추출된 자료를 탐지모듈에 적용할 포맷(format)으로 변경한 뒤에, 탐지를 하는 것을 특징으로 하는 시스템 침입 탐지 및 방지 장치.According to claim 1, wherein the detection process, if the audit record is generated by the resident processor Daemon (Audit Daemon), by reading the audit log (audit log) to extract the data required for detection, such extraction System intrusion detection and prevention device characterized in that the detection after changing the format (format) to be applied to the detection module. 제 1 항에 있어서, 상기한 센서모듈은, 통신이 시작되면 접속대기를 하면서, 매니저 모듈로부터 사용인증요청이 있는 경우에 사용인증을 하고, 매니저 모듈로부터 자료전송요구가 있는지를 판단하여 매니저 모듈로부터 자료전송요구가 있는 경우에 자료를 전송하는 것을 특징으로 하는 시스템 침입 탐지 및 방지 장치.The method of claim 1, wherein the sensor module waits for connection when communication is started, authenticates use when there is a use authentication request from the manager module, and determines whether there is a data transmission request from the manager module. System intrusion detection and prevention device, characterized in that for transmitting data when there is a data transmission request. 제 1 항에 있어서, 상기한 매니저 모듈은, 관리가 시작되면, 센서 모듈에 접속을 하여 사용인증요청을 하고, 센서모듈로부터 사용인증이 이루어지고 난 뒤에 센서 모듈로부터 전송되어 오는 자료를 수신하여, 수신된 자료를 모니터링을 하고, 침입이 있는 경우에 경고음과 함께 화면에 표시를 하는 것을 특징으로 하는 시스템 침입 탐지 및 방지 장치.The method of claim 1, wherein the manager module, when management is started, connects to the sensor module to request a use authentication, and receives data transmitted from the sensor module after use authentication is made from the sensor module. System intrusion detection and prevention device, characterized in that for monitoring the received data and, if there is an intrusion to display on the screen with a beep. 제 1 항에 있어서, 상기한 센서모듈은, 정보수집이 시작되면, 접속대기를 하면서 매니저 모듈로부터 사용인증 요청이 있는 경우에 사용인증을 하고, 자료요청 대기를 하면서 매니저 모듈로부터 자료요청이 있는 경우에 데이터를 읽어와서 매니저 모듈로 요청된 자료를 전송하는 것을 특징으로 하는 시스템 침입 탐지 및 방지 장치.The method of claim 1, wherein the sensor module, when the collection of information starts, authenticates use when there is a request for use authentication from the manager module while waiting for access, and when there is a request for data from the manager module while waiting for a request for data. System intrusion detection and prevention device, characterized in that for transmitting the requested data to the manager module by reading the data. 제 1 항에 있어서, 상기한 매니저 모듈은, 정보조회가 시작되면 센서 모듈에 접속을 하여 센서 모듈에 사용인증을 요청하고, 센서모듈로부터 사용인증이 이루어지면 자료를 요청하여, 센서 모듈로부터 전송되는 자료를 수신하고, 수신된 자료를 조회하는 것을 특징으로 하는 시스템 침입 탐지 및 방지 장치.The method of claim 1, wherein the manager module is connected to the sensor module when the information inquiry is started, requesting the authentication of the use of the sensor module, and requesting data when the authentication is made from the sensor module, and is transmitted from the sensor module. A system intrusion detection and prevention device, characterized in receiving data and querying the received data.
KR1020030021484A 2003-04-04 2003-04-04 Device for detecting and preventing system hacking KR100564438B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030021484A KR100564438B1 (en) 2003-04-04 2003-04-04 Device for detecting and preventing system hacking

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030021484A KR100564438B1 (en) 2003-04-04 2003-04-04 Device for detecting and preventing system hacking

Publications (2)

Publication Number Publication Date
KR20040087206A true KR20040087206A (en) 2004-10-13
KR100564438B1 KR100564438B1 (en) 2006-03-29

Family

ID=37369412

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030021484A KR100564438B1 (en) 2003-04-04 2003-04-04 Device for detecting and preventing system hacking

Country Status (1)

Country Link
KR (1) KR100564438B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013100433A1 (en) * 2011-12-30 2013-07-04 주식회사 코닉글로리 Method for operating wireless intrusion detection system of wired and wireless integration system
WO2020005048A1 (en) * 2018-06-29 2020-01-02 순천향대학교 산학협력단 Method for verifying drone included in industrial internet of things system, by using petri-net modeling
KR102229613B1 (en) * 2021-01-11 2021-03-18 펜타시큐리티시스템 주식회사 Method and apparatus for web firewall maintenance based on non-face-to-face authentication using maching learning self-check function

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013100433A1 (en) * 2011-12-30 2013-07-04 주식회사 코닉글로리 Method for operating wireless intrusion detection system of wired and wireless integration system
WO2020005048A1 (en) * 2018-06-29 2020-01-02 순천향대학교 산학협력단 Method for verifying drone included in industrial internet of things system, by using petri-net modeling
US11914720B2 (en) 2018-06-29 2024-02-27 Soonchunhyang University Industry Academy Cooperation Foundation Method for verifying drone included in industrial internet of things system, by using petri-net modeling
KR102229613B1 (en) * 2021-01-11 2021-03-18 펜타시큐리티시스템 주식회사 Method and apparatus for web firewall maintenance based on non-face-to-face authentication using maching learning self-check function

Also Published As

Publication number Publication date
KR100564438B1 (en) 2006-03-29

Similar Documents

Publication Publication Date Title
KR101095447B1 (en) Apparatus and method for preventing distributed denial of service attack
CN111651757A (en) Attack behavior monitoring method, device, equipment and storage medium
WO2014094151A1 (en) System and method for monitoring data in a client environment
CN111970261B (en) Network attack identification method, device and equipment
US7134140B2 (en) Token-based authentication for network connection
CN105187430A (en) Reverse proxy server, reverse proxy system and reverse proxy method
CN110768951A (en) Method and device for verifying system vulnerability, storage medium and electronic device
CN110602134B (en) Method, device and system for identifying illegal terminal access based on session label
CN112491883A (en) Method, device, electronic device and storage medium for detecting web attack
CN110768947B (en) Penetration test password sending method and device, storage medium and electronic device
KR101658456B1 (en) Security device using transaction information obtained from web application server
CN114745145B (en) Business data access method, device and equipment and computer storage medium
CN113364744A (en) Method and system for detecting domain user login authentication abnormity based on windows log
KR101754195B1 (en) Method for security enhancement based on multi log gathering server
KR100564438B1 (en) Device for detecting and preventing system hacking
KR101650475B1 (en) Security device using transaction information obtained from web server
KR20200011702A (en) Apparatus and method for diagnosing network security system
CN111064731B (en) Identification method and identification device for access authority of browser request and terminal
TWI761122B (en) Cyber security protection system and related proactive suspicious domain alert system
KR100470918B1 (en) Elusion prevention system and method for firewall censorship on the network
Suryantoro et al. The Analysis of Attacks Against Port 80 Webserver with SIEM Wazuh Using Detection and OSCAR Methods
von Eye et al. Detecting stealthy backdoors and port knocking sequences through flow analysis
US20230318956A1 (en) Testing device, testing method, and testing program
Xiong et al. Web and Database Security
Smith et al. Network Modeling for Security Analytics

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee