KR20050063477A - 네트워크 정보에 대한 보안 시스템 및 그 방법 - Google Patents

네트워크 정보에 대한 보안 시스템 및 그 방법 Download PDF

Info

Publication number
KR20050063477A
KR20050063477A KR1020030094886A KR20030094886A KR20050063477A KR 20050063477 A KR20050063477 A KR 20050063477A KR 1020030094886 A KR1020030094886 A KR 1020030094886A KR 20030094886 A KR20030094886 A KR 20030094886A KR 20050063477 A KR20050063477 A KR 20050063477A
Authority
KR
South Korea
Prior art keywords
information
address
network
database
attack
Prior art date
Application number
KR1020030094886A
Other languages
English (en)
Inventor
백남균
Original Assignee
백남균
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 백남균 filed Critical 백남균
Priority to KR1020030094886A priority Critical patent/KR20050063477A/ko
Publication of KR20050063477A publication Critical patent/KR20050063477A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 내부망에서 외부망으로의 네트워크 정보의 전송을 제어할 수 있는 보안 시스템에 관한 것이다. 상기 보안 시스템은, 내부망을 구성하는 각 호스트에 대한 MAC 주소 및 IP 주소를 기록 저장하는 호스트 정보 데이터베이스, 감시하고자 하는 호스트에 대한 주소가 저장되어 있는 감시대상 호스트 데이터베이스, 상기 내부망에서 외부망으로 유출되는 네트워크 정보를 수집하는 정보 수집부, 및 상기 호스트정보 데이터베이스 및 상기 감시대상 호스트 데이터베이스를 이용하여, 상기 정보 수집부에 의해 수집된 네트워크 정보에 대하여 주소위장공격이 있는지 여부를 검출하는 주소위장공격 탐지부를 구비하여, 내부망에서 외부망으로 전송되는 네트워크 정보로부터 주소위장공격이 탐지되면 해당 정보의 전송을 차단시키는 것을 특징으로 한다.
본 발명에 의하여. 내부망에서 외부망으로 전송되는 네트워크 정보에 대하여 주소위장공격, 서비스거부공격 여부를 탐지할 수 있으며, 주소위장공격 또는 서비스거부공격이 탐지되는 네트워크 정보의 전송을 차단시킬 수 있게 된다.

Description

네트워크 정보에 대한 보안 시스템 및 그 방법{SECURITY SYSTEM FOR NETWORK INFORMATION AND METHOD THEREOF}
본 발명은 내부망에서 외부망으로 전송되는 네트워크 정보에 대하여 주소위장공격, 서비스거부공격 등을 탐지하여 네트워크 정보의 전송을 제어할 수 있도록 하는 보안 시스템 및 그 방법에 관한 것이다.
최근, 인터넷 환경의 급속한 확장 및 보급으로 인하여, 각종 통신망은 시간과 장소에 제약을 받지 않고 다양한 정보를 공유할 수 있도록 네트워크를 형성하여 전세계가 하나로 상호 연결되어 있다. 이러한 정보화의 가속화는 사람들에게 정보 시스템을 통한 제공 서비스 등으로 필요한 정보를 공유할 수 있는 혜택을 주는 반면에, 각종 통신망을 통하여 개인 및 사회의 중요한 정보에 대한 불법적인 침입, 공격 등의 역기능을 수행하는 문제점이 발생하고 있다.
따라서, 정보 통신 시스템과 네트워크를 안심하고 운용 및 사용할 수 있게 하는 정보 보호 시스템이 절실히 요구되는 상황이며, 이에 대한 연구가 활발히 진행되어 정보 보호 시스템들이 국내외에서 활발히 개발 및 공급되고 있는 실정이다.
하지만, 현재 보급되어 상용화되어 있는 정보 보호 시스템들은 널리 알려져 있는 취약성 응용에 대한 고전적 해결책으로서의 기능을 탑재한 제품에 지나지 않으며, 보안 제품의 기술/기능적 특성상, 수동적 보호 개념의 틀에 제한되어 있는 상황이기에 불법적인 침입 및 공격 등에 대한 근원전 차단이 불가능하다. 따라서, 네트워크 통신 프로토콜(TCP/IP) 취약성을 이용한 침해에 대해서는 거의 무방비 상태라 할 수 있다. 따라서, 각종 주소 위장 공격(IP 및 MAC Spoofing), 세션/패킷 정보(필드)에 임의 위/변조를 통한 공격 및 이들을 이용한 각종 서비스 거부 공격(예컨대, DoS(Denial of Service), DDoS(Distributed Denial of Service), DRDos (Distributed Reflection Denial of Service)등)이 여전히 기승을 부리고 있으며, 이는 공중망 네트워크에 대한 안전성 및 신뢰성에 대한 문제점으로 대두되고 있다.
지금까지 상용 또는 공개용으로 연구 및 개발되고 있는 네크워크 기반의 보안 장비들로는 침입 차단 시스템, 침입 탐지 시스템 및 침임 방지 시스템 등이 있다. 그런데, 이러한 종래의 네트워크 기반의 보안 시스템들은 다음과 같은 문제점들을 내포하고 있다. 첫째, 외부망에서 내부망으로의 공격에 대해 정보 전송의 차단/탐지/방지와 같은 정보 보호 기능만을 수행하므로, 내부망인 가입자망으로부터 외부망인 공중망으로 유입되는 정보(패킷/세션)에 대한 어떠한 정보 보호 기능을 가지고 있지 않다. 둘째, 종래의 보안 시스템들은 외부망에서 내부망으로 입력되는 정보(세션/패킷)에 대한 단순한 차단/탐지/방지만을 수행하므로 비정상 유입 정보에 대한 정상상태로의 재구성을 할 수 있는 정규화(Normalization) 기능을 제공하지 못하고 있는 실정이다. 셋째, 종래의 보안 시스템들은 외부망에서 내부망으로 유입되는 수동적 보호 방식을 채택하였기에 주소 위장 공격을 식별/검사/분석/탐지하여 해당 정보를 전송 또는 차단할 수 있는 원천적 침해 사고 제거 기능을 제거할 수 없다. 넷째, 종래의 보안 시스템들은 외부망에서 내부망으로 유입되는 수동적 방식을 채택하고 있기 때문에 주소 위장 공격에 기반한 서비스 거부 공격 등에 대한 탐지가 불가능하다.
이러한 문제점을 해결하기 위하여, 본 출원인은 기존 보안 시스템을 분석한 결과, 이러한 문제점들에 대한 원인이 대부분의 보안 시스템들이 외부망에서 내부망으로 들어오는 제한적 정보에 대하여 수동적인 방어 형태로 동작하기 때문임을 알 수 있게 되었다. 따라서, 종래의 보안 시스템을 역전환시켜, 공격 발생 근원지에서 공중망으로의 비정상적인 네트워크 정보의 전송을 차단하거나, 이들을 정규화시켜 전송시킴으로써 전술한 문제점을 제거하여, 보안 위협에 대한 원천적 제거를 실현한 새로운 개념의 능동적 공중망 유입 정보(패킷/세션) 비정상 정도(TCP/IP 표준을 따르지 않는 상태 및 임의 위/변조)를 식별, 검사, 분석, 탐지하여 해당 정보를 전송/차단 및 정규화하는 시스템 및 방법을 제안하고자 한다. 즉, 본 출원인은 종래의 네트워크 통신 프로토콜에 대한 취약성을 이용한 침해와 같은 근원적인 위협에 대한 완벽한 대응 환경을 제안하고자 한다.
전술한 문제점을 해결하기 위하여, 본 발명은 내부망에서 외부망으로 전송되는 네트워크 정보에 대하여 주소위장공격을 탐지하여 해당 정보의 전송을 제어할 수 있는 보안 시스템 및 보안 방법을 제공하는 것을 목적으로 한다.
한편, 본 발명은 내부망에서 외부망으로 전송되는 네트워크 정보에 대하여 주소위장공격이 탐지된 경우 서비스거부공격의 유무를 탐지하여 해당 정보의 전송을 제어할 수 있는 보안 시스템 및 보안 방법을 제공하는 것을 다른 목적으로 한다.
또한, 본 발명은 내부망에서 외부망으로 전송되는 네트워크 정보가 비정상 패턴인 경우 정상 패턴으로 변환시켜 전송시킬 수 있는 보안 시스템 및 보안 방법을 제공하는 것을 또 다른 목적으로 한다.
전술한 목적을 달성하기 위한 본 발명의 특징은, 내부망에서 외부망으로의 네트워크 정보의 전송을 제어할 수 있는 보안 시스템에 관한 것으로서, 내부망을 구성하는 각 호스트에 대한 MAC 주소 및 IP 주소를 기록 저장하는 호스트 정보 데이터베이스, 감시하고자 하는 호스트에 대한 주소가 저장되어 있는 감시대상 호스트 데이터베이스, 상기 내부망에서 외부망으로 유출되는 네트워크 정보를 수집하는 정보 수집부, 및 상기 호스트정보 데이터베이스 및 상기 감시대상 호스트 데이터베이스를 이용하여, 상기 정보 수집부에 의해 수집된 네트워크 정보에 대하여 주소위장공격이 있는지 여부를 검출하는 주소위장공격 탐지부를 구비하여, 내부망에서 외부망으로 전송되는 네트워크 정보로부터 주소위장공격이 탐지되면 해당 정보의 전송을 차단시키는 것을 특징으로 한다.
여기서, 상기 보안 시스템은 정규화부 및 정규화 데이터베이스를 더 구비하고, 상기 정규화 데이터베이스는 비정상 정도를 가진 패킷을 나타내는 TCP/IP 필드 및 데이터 필드를 정상상태로 변환시키기 위한 정규화 패턴이 기록 저장되어 있는 것을 특징으로 하며, 상기 정규화부는 상기 주소위장공격 탐지부에 의해 수집된 네트워크 정보가 비정상 정도인 경우, 상기 정규화 데이터베이스를 이용하여 상기 네트워크 정보를 정상 패턴으로 변환시키는 것이 바람직하다.
또한, 상기 보안 시스템은 서비스거부공격 침입패턴 데이터베이스 및 서비스거부공격 탐지부를 더 구비하고, 상기 서비스거부공격 침입패턴 데이터베이스는 서비스거부공격에 대한 침입패턴이 기록 저장되고, 상기 서비스거부공격 탐지부는 상기 서비스거부공격 침입패턴 데이터베이스를 이용하여 상기 주소위장공격 탐지부로부터 수집된 네트워크 정보에 대해 서비스거부공격의 유무를 탐지하는 것이 바람직하다.
또한, 상기 보안 시스템은 감사기록 데이터베이스를 더 구비하고, 수집된 네트워크 정보들에 대한 감사 기록을 저장시키는 것이 바람직하다.
본 발명의 다른 특징에 따른 네트워크를 기반으로 한 정보의 전송에 대한 보안 방법에 관한 것으로서, 내부망을 구성하는 각 호스트에 대한 맥(MAC) 주소 및 IP 주소를 검출하여 호스트정보 데이터베이스에 저장하고, 감시하고자 하는 호스트의 주소에 대한 정보는 감시대상 호스트 데이터베이스에 저장하는 단계, 상기 내부망에서 외부망으로 유출되는 네트워크 정보를 수집하는 단계, 상기 수집된 정보로부터 MAC 주소 및 IP 주소를 추출하는 단계, 추출된 MAC 주소 및 IP주소가 상기 감시대상 호스트 데이터베이스에 기록된 호스트의 주소와 일치하고, 상기 호스트정보 데이터베이스의 해당 MAC 주소 및 IP 주소 중 적어도 하나 이상이 일치하지 않으면 주소위장공격으로 판단하는 단계, 및 만약 주소위장공격으로 판단되면, 해당 정보가 외부망으로 전송되는 것을 차단시키는 단계를 구비하여, 감시대상 호스트로부터 전송되는 네트워크 정보가 MAC 주소 및 IP 주소 중 적어도 하나 이상이 주소 위장되어 있는 경우에는 해당 정보를 내부망에서 외부망으로 전송하지 않는 것을 특징으로 한다.
여기서, 상기 보안 방법은, 추출된 MAC 주소 및 IP주소가 상기 감시대상 호스트 데이터베이스에 기록된 호스트의 주소와 일치하고, 상기 호스트정보 데이터베이스의 해당 MAC 주소 및 IP 주소가 모두 일치하는 경우에는, 해당 네트워크 정보를 정상 패턴으로 변환시키는 정규화 과정을 수행한 후 외부망으로 전송시키는 단계를 더 구비하는 것이 바람직하다.
또한, 상기 보안 방법은, 상기 네트워크 정보에 대하여 주소위장공격이 탐지되는 경우, 상기 네트워크 정보에 대하여 기저장된 서비스거부공격 침입패턴과 비교하여 서비스거부공격의 유무를 검출하는 단계를 더 구비하는 것이 바람직하다.
본 발명에 의하여. 내부망에서 외부망으로 전송되는 네트워크 정보에 대하여 주소위장공격, 서비스거부공격 여부를 탐지할 수 있으며, 주소위장공격 또는 서비스거부공격이 탐지되는 네트워크 정보의 전송을 차단시킬 수 있게 된다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 네트워크 정보에 대한 보안 시스템의 전체적인 구성 및 동작을 구체적으로 설명한다. 도 2는 본 발명에 따른 보안 시스템을 전체적으로 도시한 블록도이며, 도 2를 참조하여 본 발명에 따른 보안 시스템의 구성을 구체적으로 설명한다.
본 발명에 따른 보안 시스템은, 내부망으로부터 외부망으로 전송되는 네트워크 정보를 수집하는 정보 수집부(200), 수집된 네트워크 정보로부터 주소 위장 공격 유무를 검출하는 주소 위장 공격 탐지부(210), 주소 위장 공격이 검출된 네트워크 정보로부터 서비스 거부 공격 유무를 검출하는 서비스 거부 공격 탐지부(230), 비정상 정보를 정상 상태로 변환시키는 정규화부(220)를 구비하고, 호스트정보 데이터베이스(250), 감시대상호스트 데이터베이스(260), 감사기록 데이터베이스 (270), 서비스거부공격 침입패턴 데이터베이스(280), 정규화 데이터베이스(290)를 구비한다. 이하, 전술한 각 구성요소들에 대하여 구체적으로 설명한다.
먼저, 본 발명에 따른 보안 시스템은 호스트정보 데이터베이스(250) 및 감시대상호스트 데이터베이스(260)를 관리 및 운용하는데, 상기 호스트정보 데이트베이스(250)는 내부망을 구성하는 각 호스트에 대한 MAC 주소 및 IP 주소 및 운영체제 정보등이 저장되어 있으며, 감시대상 호스트 데이터베이스(260)는 내부망에서 외부망으로 유출되는 네트워크 정보 중 감시하고자 하는 감시대상 호스트에 대한 IP 주소 및 IP 주소 범위가 저장되어 있다. 따라서, 본 발명에 따른 보안 시스템은 내부망에서 외부망으로 유출되는 네트워크 정보 중에서 감시대상 호스트 데이터베이스에 저장된 주소에 해당되는 네트워크 정보의 전송을 차단시키게 된다.
한편, 정보 수집부(200)는 내부망에서 외부망으로 전송되는 패킷 또는 세션 형태의 네트워크 정보를 수집한다. 여기서, 내부망은 인트라넷(Intranet)과 같은 가입자망 등을 말하는 것이며, 외부망은 인터넷(Internet)과 같은 공중망 등을 말하는 것이다.
다음, 주소위장공격 탐지부(210)는 상기 정보수집부에 의해 수집된 네트워크 정보로부터 주소위장공격 여부를 검출하게 된다. 이하, 도 3을 참조하여, 상기 주소위장공격 탐지부(210)의 동작 과정을 순차적으로 설명한다.
도 3을 참조하면, 먼저 수집된 네트워크 정보로부터 IP 주소 및 MAC 주소를 검출한다(단계 300). 검출된 IP 주소가 감시대상호스트 DB의 주소와 일치하는지 여부를 판단한다(단계 310). 단계 310에서, 만약 검출된 IP주소가 감시대상호스트 DB의 주소와 일치하지 않는 경우, 외부망으로 네트워크 정보를 정상적으로 전송한 후 종료한다(단계 340). 한편, 단계 310에서, 만약 검출된 IP 주소가 감시대상호스트 DB의 주소와 일치하는 경우, 상기 네트워크 정보에 대해 주소 위장 공격 유무를 판단한다(단계 320). 단계 320은, 수집된 네트워크 정보의 IP주소와 MAC 주소가 호스트정보 DB의 해당 주소와 비교하고, 이들이 서로 일치하면 주소 위장공격이 없다고 판단하며, 만약 IP 주소가 서로 상이하면 IP 주소위장공격으로 탐지하며, 만약 MAC 주소가 서로 상이하면 MAC 주소위장공격으로 탐지하며, IP 주소 및 MAC 주소가 모두 상이하면 IP/MAC 주소 위장공격으로 탐지한다. 따라서, IP 및 MAC 주송 중 어느 하나라도 호스트정보 DB의 그것과 상이한 경우 주소위장공격으로 탐지하게 되는 것이다.
단계 320에서, 만약 주소위장공격이 없다고 판단되는 경우 상기 네트워크 정보는 정규화부에 의해 정규화 과정을 수행함으로써, 정상적인 패킷 또는 세션의 네트워크 정보로 변환하게 된다(단계 350). 단계 320에서, 만약 주소위장공격이 있다고 판단되는 경우, 외부망으로의 전송을 차단시키고 상기 네트워크 정보에 대한 해당 정보, 예컨대 전체 패킷 또는 세션의 정보를 감사기록 DB에 기록한다(단계 330).
전술한 바와 같이, 네트워크 정보가 주소위장공격 탐지부(210)에 의해 주소위장공격으로 판단된 경우, 후술되는 서비스거부공격 탐지부(230)로 전송되게 된다.
이하, 도 4를 참조하여 서비스거부공격 탐지부(230)의 동작 과정을 순차적으로 설명한다. 본 발명에 따른 보안 시스템은 서비스거부공격 침입패턴 DB(280)를 관리 및 운용하며, 상기 서비스거부공격 침입패턴 DB는 서비스 거부 공격을 나타내는 침입패턴을 저장하게 된다.
도 4를 참조하면, 전술한 주소위장공격 탐지부로부터 해당 네트워크 정보를 수집한다(단계 400). 다음, 수집된 해당 정보에서 TCP/IP 기반의 모든 헤더 필드 정보 및 데이터 영역 정보를 추출하여 서비스거부공격 침입패턴 DB와 비교하여 일치하는지 여부를 판단한다(단계 410). 단계 410에서, 만약 일치하면, 해당 세션에 지정된 서비스 거부 공격 탐지 카운터를 1만큼 증가시킨 후(단계 420), Time Interval이 만기인지 여부를 판단한다(단계 420). 다음, 만약 서비스 거부 공격 침입 패턴 데이터베이스에서 지정된 Time Interval 동안 탐지 카운터가 패킷 카운터보다 클 경우, 서비스 거부 공격으로 탐지한 후, 해당 정보를 감사 기록 DB에 저장한다(단계 450). 만약, 서비스 거부 공격 침입 패턴 데이터베이스에서 지정된 Time Interval동안 탐지 카운터가 패킷카운터보다 작을 경우, 단계 400을 반복수행한다(단계 440).
이하, 도 5를 참조하여, 본 발명에 따른 정규화부(220)의 동작 과정을 순차적으로 설명한다. 먼저, 본 발명에 따른 보안 시스템은 정규화 데이터베이스(290)를 관리 및 운용하며, 상기 정규화 데이터베이스(290)는 비정상 정도를 가진 패킷을 나타내는 TCP/IP 필드 및 데이터 필드를 정상상태로 변환시키기 위한 정규화 패턴이 기록 저장되어 있다.
도 5를 참조하면, 먼저 주소위장공격 탐지부로부터 해당 네트워크 정보를 수집한다(단계 500). 수집된 해당 정보에서 TCP/IP 기반의 모든 헤더 필드 정보 및 데이터 영역 정보를 추출한다(단계 510). 추출된 정보를 정규화 DB의 비정상 정도 패턴과 비교하여 일치하는 경우(단계 520) 정규화 과정을 수행하여 정상의 패킷으로 환원시킨 후(단계 530), 외부망으로 전송하고(단계 540), 해당 정보를 감사기록DB에 저장한다(단계 550). 만약, 수집된 해당 정보에서 TCP/IP 기반의 모든 헤더 필드 정보 및 데이터 영역 정보를 추출하여 정규화 DB의 비정상 정도 패턴과 비교하여 일치하지 않을 경우 해당 정보를 그대로 외부망으로 전송한다(단계 540).
이상에서 본 발명에 대하여 그 바람직한 실시예를 중심으로 설명하였으나, 이는 단지 예시일 뿐 본 발명을 한정하는 것이 아니며, 본 발명이 속하는 분야의 통상의 지식을 가진 자라면 본 발명의 본질적인 특성을 벗어나지 않는 범위에서 이상에 예시되지 않은 여러 가지의 변형과 응용이 가능함을 알 수 있을 것이다. 예를 들어, 본 발명의 실시예에서, 각 데이터베이스의 데이터 항목, 비정상 정도의 패턴 등과 같은 구성 요소는 네트워크 정보에 대한 판단을 효율적으로 수행시키기 위하여 다양하게 변형하여 실시할 수 있는 것이다. 그리고, 이러한 변형과 응용에 관계된 차이점들은 첨부된 청구범위에서 규정하는 본 발명의 범위에 포함되는 것으로 해석되어야 할 것이다.
본 발명에 의하여 내부망인 가입자망에서 공중망인 외부망으로 유입되는 네트워크 정보에 대한 비정상 정도, 예컨대 TCP/IP 표준을 따르지 않는 상태 및 임의 위/변조 상태를 식별, 검사, 분석, 탐지하여 해당 정보를 전송하거나 차단시킬 수 있게 된다.
한편, 본 발명에 의하여, 종래의 정보 보호 시스템과는 달리, 가입자망에서 공중망으로 유출되는 네트워크 정보에 대한 역방식 판별 기능을 제공하므로 주소 위장 공격(MAC 및 IP Spoofing)에 대한 정확한 탐지 및 차단이 가능하게 된다. 또한, 주소 위장 공격과 네트워크 취약성을 이용한 각종 서비스 거부 공격(DoS, DDoS, DRDoS 등)에 대한 공중망 유입을 원천적으로 차단할 수 있게 된다.
그리고, 본 발명에 의하여, 관리자 정의 비정상 네트워크 정보 입력이 가능한 동적 침입 패턴 데이터베이스 관리 기능을 제공한다. 따라서, TCP/IP의 헤더 필드/응용 데이터 영역에 대한 다양한 변조 공격, 은닉 채널 및 향후 발생 가능한 공격에 대한 무한 응용이 가능하게 되고, 그 결과 외부망으로 유입되는 모든 네트워크 기반의 잠재적 취약성과 위협을 원천적으로 탐지 및 차단할 수 있게 된다.
한편, 본 발명에 의하여, 공중망으로 향하는 비정상 네트워크 정보에 대한 정규화가 가능하므로 공중망에 대한 신뢰성 및 안전성을 향상시킬 수 있게 된다. 또한, 본 발명에 의하여, 보안 관리자가 보호하고자 하는 보호 자산 정보의 외부 유출 방지가 가능하며 내부에서 외부로의 유해 사이트의 접속을 차단할 수 있게 된다.
또한, 본 발명에서 제공되는 동적 침입 패턴 데이터베이스의 관리 기능을 활용함으로써 공중망으로 유출되는 각종 위협이 제거되므로 트래픽 부하 감소 효과에 따른 공중망 전송 속도가 향상될 수 있게 된다. 또한, 본 발명에 의하여 관리자에 의한 감시 대상 설정 기능을 제공하므로 감시하고자 하는 정상 및 비정상 연결 세션에 대한 지속적인 유지 및 관리가 가능하게 된다.
도 1은 본 발명에 따른 보안 시스템의 설치 위치를 설명하기 위하여 도시한 개념도.
도 2는 본 발명에 따른 보안 시스템의 구성을 개략적으로 도시한 블록도.
도 3은 본 발명에 따른 보안 시스템의 주소위장공격 탐지부의 동작을 설명하기 위하여 순차적으로 도시한 흐름도.
도 4는 본 발명에 따른 보안 시스템의 서비스거부공격 탐지부의 동작을 설명하기 위하여 순차적으로 도시한 흐름도.
도 5는 본 발명에 따른 보안 시스템의 정규화부의 동작을 설명하기 위하여 순차적으로 도시한 흐름도.
<도면의 주요 부분에 대한 부호의 설명>
200 : 정보수집부
210 : 주소위장공격 탐지부
220 : 정규화부
230 : 서비스거부공격 탐지부
250 : 호스트정보 데이터베이스
260 : 감시대상 호스트 데이터베이스
270 : 감사기록 데이터베이스
280 : 서비스거부공격 침입패턴 데이터베이스
290 : 정규화 데이터베이스

Claims (8)

  1. 내부망을 구성하는 각 호스트에 대한 MAC 주소 및 IP 주소를 기록 저장하는 호스트 정보 데이터베이스;
    감시하고자 하는 호스트에 대한 주소가 저장되어 있는 감시대상 호스트 데이터베이스;
    상기 내부망에서 외부망으로 유출되는 네트워크 정보를 수집하는 정보 수집부; 및
    상기 호스트정보 데이터베이스 및 상기 감시대상 호스트 데이터베이스를 이용하여, 상기 정보 수집부에 의해 수집된 네트워크 정보에 대하여 주소위장공격이 있는지 여부를 검출하는 주소위장공격 탐지부;
    를 구비하여, 내부망에서 외부망으로 전송되는 네트워크 정보로부터 주소위장공격이 탐지되면 해당 정보의 전송을 차단시키는 것을 특징으로 하는 보안 시스템.
  2. 제1항에 있어서, 상기 보안 시스템은 정규화부 및 정규화 데이터베이스를 더 구비하고,
    상기 정규화 데이터베이스는 비정상 정도를 가진 패킷을 나타내는 TCP/IP 필드 및 데이터 필드를 정상상태로 변환시키기 위한 정규화 패턴이 기록 저장되어 있는 것을 특징으로 하며,
    상기 정규화부는 상기 주소위장공격 탐지부에 의해 수집된 네트워크 정보가 비정상 정도인 경우, 상기 정규화 데이터베이스를 이용하여 상기 네트워크 정보를 정상 패턴으로 변환시키는 것을 특징으로 하는 보안 시스템.
  3. 제1항에 있어서, 상기 보안 시스템은 서비스거부공격 침입패턴 데이터베이스 및 서비스거부공격 탐지부를 더 구비하고,
    상기 서비스거부공격 침입패턴 데이터베이스는 서비스거부공격에 대한 침입패턴이 기록 저장되어 있는 것을 특징으로 하며,
    상기 서비스거부공격 탐지부는 상기 서비스거부공격 침입패턴 데이터베이스를 이용하여 상기 주소위장공격 탐지부로부터 수집된 네트워크 정보에 대해 서비스거부공격의 유무를 탐지하는 것을 특징으로 하는 보안 시스템.
  4. 제1항에 있어서, 상기 보안 시스템은 감사기록 데이터베이스를 더 구비하고, 수집된 네트워크 정보들에 대한 감사 기록을 저장시키는 것을 특징으로 하는 보안 시스템.
  5. 네트워크를 기반으로 한 정보의 전송에 대한 보안 방법에 있어서,
    (a) 내부망을 구성하는 각 호스트에 대한 맥(MAC) 주소 및 IP 주소를 검출하여 호스트정보 데이터베이스에 저장하고, 감시하고자 하는 호스트의 주소에 대한 정보는 감시대상 호스트 데이터베이스에 저장하는 단계;
    (b) 상기 내부망에서 외부망으로 유출되는 네트워크 정보를 수집하는 단계;
    (c) 상기 수집된 정보로부터 MAC 주소 및 IP 주소를 추출하는 단계;
    (d) 추출된 MAC 주소 및 IP주소가 상기 감시대상 호스트 데이터베이스에 기록된 호스트의 주소와 일치하고, 상기 호스트정보 데이터베이스의 해당 MAC 주소 및 IP 주소 중 적어도 하나 이상이 일치하지 않으면 주소위장공격으로 판단하는 단계; 및
    (e) 상기 (d) 단계에서, 만약 주소위장공격으로 판단되면, 해당 정보가 외부망으로 전송되는 것을 차단시키는 단계
    를 구비하여, 감시대상 호스트로부터 전송되는 네트워크 정보가 MAC 주소 및 IP 주소 중 적어도 하나 이상이 주소 위장되어 있는 경우에는 해당 정보를 내부망에서 외부망으로 전송하지 않는 것을 특징으로 하는 보안 방법.
  6. 제5항에 있어서, 상기 보안 방법은, 상기 (d) 단계에서, 추출된 MAC 주소 및 IP주소가 상기 감시대상 호스트 데이터베이스에 기록된 호스트의 주소와 일치하고, 상기 호스트정보 데이터베이스의 해당 MAC 주소 및 IP 주소가 모두 일치하는 경우에는, 해당 네트워크 정보를 정상 패턴으로 변환시키는 정규화 과정을 수행한 후 외부망으로 전송시키는 단계를 더 구비하는 것을 특징으로 하는 보안 방법.
  7. 제5항에 있어서, 상기 보안 방법은, 상기 네트워크 정보에 대하여 주소위장공격이 탐지되는 경우, 상기 네트워크 정보에 대하여 기저장된 서비스거부공격 침입 패턴과 비교하여 서비스거부공격의 유무를 검출하는 단계를 더 구비하는 것을 특징으로 하는 보안 방법.
  8. 제5항 내지 제7항 중 어느 한 항에 있어서, 상기 네트워크 정보에 대한 감사 이력을 데이터베이스에 저장시키는 단계를 더 구비하는 것을 특징으로 하는 보안 방법.
KR1020030094886A 2003-12-22 2003-12-22 네트워크 정보에 대한 보안 시스템 및 그 방법 KR20050063477A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030094886A KR20050063477A (ko) 2003-12-22 2003-12-22 네트워크 정보에 대한 보안 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030094886A KR20050063477A (ko) 2003-12-22 2003-12-22 네트워크 정보에 대한 보안 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR20050063477A true KR20050063477A (ko) 2005-06-28

Family

ID=37255321

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030094886A KR20050063477A (ko) 2003-12-22 2003-12-22 네트워크 정보에 대한 보안 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR20050063477A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100613904B1 (ko) * 2004-11-04 2006-08-21 한국전자통신연구원 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법
KR100807933B1 (ko) * 2006-11-28 2008-03-03 엘지노텔 주식회사 에이알피 스푸핑 감지 시스템 및 감지 방법과 그 방법이저장된 컴퓨터 판독가능 저장매체
KR101414959B1 (ko) * 2012-02-29 2014-07-09 주식회사 팬택 네트워크 공격을 감지하는 이동 통신 단말기 및 그 감지 방법

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999048303A2 (en) * 1998-03-18 1999-09-23 Cisco Technology, Inc. Method for blocking denial of service and address spoofing attacks on a private network
JPH11308272A (ja) * 1998-04-23 1999-11-05 Toshiba Corp パケット通信制御システム及びパケット通信制御装置
KR20000054538A (ko) * 2000-06-10 2000-09-05 김주영 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
JP2001094599A (ja) * 1999-09-22 2001-04-06 Nec Corp 情報通信システム及びそれに用いるクライアントへのipアドレス割当て方法
WO2002063487A1 (en) * 2001-02-05 2002-08-15 Arbor Networks, Inc., Network traffic regulation including consistency based detection and filtering of packets with spoof source addresses
KR20040109985A (ko) * 2003-06-19 2004-12-29 주식회사 인티게이트 Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999048303A2 (en) * 1998-03-18 1999-09-23 Cisco Technology, Inc. Method for blocking denial of service and address spoofing attacks on a private network
JPH11308272A (ja) * 1998-04-23 1999-11-05 Toshiba Corp パケット通信制御システム及びパケット通信制御装置
JP2001094599A (ja) * 1999-09-22 2001-04-06 Nec Corp 情報通信システム及びそれに用いるクライアントへのipアドレス割当て方法
KR20000054538A (ko) * 2000-06-10 2000-09-05 김주영 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
WO2002063487A1 (en) * 2001-02-05 2002-08-15 Arbor Networks, Inc., Network traffic regulation including consistency based detection and filtering of packets with spoof source addresses
KR20040109985A (ko) * 2003-06-19 2004-12-29 주식회사 인티게이트 Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100613904B1 (ko) * 2004-11-04 2006-08-21 한국전자통신연구원 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법
KR100807933B1 (ko) * 2006-11-28 2008-03-03 엘지노텔 주식회사 에이알피 스푸핑 감지 시스템 및 감지 방법과 그 방법이저장된 컴퓨터 판독가능 저장매체
KR101414959B1 (ko) * 2012-02-29 2014-07-09 주식회사 팬택 네트워크 공격을 감지하는 이동 통신 단말기 및 그 감지 방법

Similar Documents

Publication Publication Date Title
US8806632B2 (en) Systems, methods, and devices for detecting security vulnerabilities in IP networks
US7814542B1 (en) Network connection detection and throttling
US20030188190A1 (en) System and method of intrusion detection employing broad-scope monitoring
Munshi et al. Ddos attack on IoT devices
WO2010056379A1 (en) Systems, methods, and devices for detecting security vulnerabilities in ip networks
KR102501372B1 (ko) Ai 기반 이상징후 침입 탐지 및 대응 시스템
Kazienko et al. Intrusion Detection Systems (IDS) Part I-(network intrusions; attack symptoms; IDS tasks; and IDS architecture)
Al-Shareeda et al. Sadetection: Security mechanisms to detect slaac attack in ipv6 link-local network
KR20070072835A (ko) 실시간 웹로그 수집을 통한 웹해킹 대응 방법
JP2005134972A (ja) ファイアウォール装置
CN111885020A (zh) 一种分布式架构的网络攻击行为实时捕获与监控系统
Behal et al. Signature-based botnet detection and prevention
Nasser et al. An Effective Approach to Detect and Prevent ARP Spoofing Attacks on WLAN.
Hunt et al. Achieving critical infrastructure protection through the interaction of computer security and network forensics
KR20050063477A (ko) 네트워크 정보에 대한 보안 시스템 및 그 방법
KR100977827B1 (ko) 악성 웹 서버 시스템의 접속탐지 장치 및 방법
KR100862321B1 (ko) 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치
CA2484461C (en) Method and system for analyzing and addressing alarms from network intrusion detection systems
Ashoor et al. Intrusion detection system (IDS) & intrusion prevention system (IPS): case study
Wang et al. Internet forensics on the basis of evidence gathering with Peep attacks
Ezin et al. Java-Based Intrusion Detection System in a Wired Network
Loginova et al. Class allocation of events in an automated information system as the basis for increasing organization's cyber resilience
Cisar et al. Intrusion detection-one of the security methods
Udhayan et al. Reconnaissance scan detection heuristics to disrupt the pre-attack information gathering
Behal et al. Extrusion: An outbound traffic based approach to detect botnets

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application