KR20050073702A - 네트워크 기반의 보안 솔루션 시스템 - Google Patents
네트워크 기반의 보안 솔루션 시스템 Download PDFInfo
- Publication number
- KR20050073702A KR20050073702A KR1020040001547A KR20040001547A KR20050073702A KR 20050073702 A KR20050073702 A KR 20050073702A KR 1020040001547 A KR1020040001547 A KR 1020040001547A KR 20040001547 A KR20040001547 A KR 20040001547A KR 20050073702 A KR20050073702 A KR 20050073702A
- Authority
- KR
- South Korea
- Prior art keywords
- attacker
- attack
- honeypot
- information
- intrusion
- Prior art date
Links
Classifications
-
- A—HUMAN NECESSITIES
- A42—HEADWEAR
- A42B—HATS; HEAD COVERINGS
- A42B1/00—Hats; Caps; Hoods
- A42B1/206—Transformable, convertible or reversible hats
-
- A—HUMAN NECESSITIES
- A42—HEADWEAR
- A42B—HATS; HEAD COVERINGS
- A42B1/00—Hats; Caps; Hoods
- A42B1/004—Decorative arrangements or effects
-
- A—HUMAN NECESSITIES
- A42—HEADWEAR
- A42B—HATS; HEAD COVERINGS
- A42B1/00—Hats; Caps; Hoods
- A42B1/006—Hats; Caps; Hoods convertible or adaptable for uses other than as headgear
-
- A—HUMAN NECESSITIES
- A42—HEADWEAR
- A42B—HATS; HEAD COVERINGS
- A42B1/00—Hats; Caps; Hoods
- A42B1/205—Hats; Caps; Hoods made of separable parts
-
- A—HUMAN NECESSITIES
- A42—HEADWEAR
- A42B—HATS; HEAD COVERINGS
- A42B1/00—Hats; Caps; Hoods
- A42B1/22—Hats; Caps; Hoods adjustable in size ; Form-fitting or self adjusting head coverings; Devices for reducing hat size
-
- A—HUMAN NECESSITIES
- A44—HABERDASHERY; JEWELLERY
- A44B—BUTTONS, PINS, BUCKLES, SLIDE FASTENERS, OR THE LIKE
- A44B1/00—Buttons
- A44B1/18—Buttons adapted for special ways of fastening
- A44B1/28—Buttons adapted for special ways of fastening with shank and counterpiece
- A44B1/30—Screw-buttons
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 침입 탐지 시스템(ID), 허니팟(honeypot) 시스템, 침입 유도 스위치 시스템, 및 관리 콘솔 시스템의 연동으로 침입자의 적극적인 유도 뿐만 아니라 공격정보 습득 및 분석이 가능한 네트워크 기반의 보안 솔루션 시스템에 관한 것으로, 시스템간의 독립성을 최대한 보장하면서 각각의 성능을 통합하여 새로운 공격 정보를 효과적으로 확보하고 개별 시스템의 성능을 향상시킬 수 있는 통합된 IDS와 허니팟을 연동하는 보안 솔루션 시스템을 제안한다.
외부의 공개된 네트워크에서 공격자가 안전구역에 있는 비즈니스 서버를 공격할 경우, 침입 탐지 시스템에서 그것을 탐지하여 해당 공격자 패킷의 정보를 침입 유도 스위치에 전송하면 침입 유도 스위치 시스템은 해당 공격자의 공격 패킷을 허니팟 시스템으로 전송한다. 허니팟 시스템은 비즈니스 서버를 가장하여 공격자에게 응답을 하고, 공격자는 허니팟에서 공격을 수행한다. 이때, 공격자의 공격과정은 관리 콘솔 시스템으로 전송되어 공격정보 및 공격관련 기록이 수집된다.
Description
본 발명은 보안 시스템에 관한 것으로, 더욱 상세하게는 침입 탐지 시스템(Intrusion Detection System : 이하 IDS라 함), 허니팟(honeypot) 시스템, 침입 유도 스위치 시스템, 및 관리 콘솔 시스템의 연동으로 침입자의 적극적인 유도 뿐만 아니라 공격정보 습득 및 분석이 가능한 네트워크 기반의 보안 솔루션 시스템에 관한 것이다.
인터넷의 확산, 정보에 대한 의존도 상승, 정보 가치의 증가 등에 따라 네트웍을 통한 외부 침입의 가능성은 더욱 커졌고, 내부인에 의한 정보 유출 및 파괴 또한 계속 증가하고 있다. 이에 따라, 각종 보안 시스템을 이용하여 컴퓨터 시스템 및 네트워크를 보호하게 되었고, 인증 시스템(authentication system), 데이터 암호화시스템(data encryption system), 침입 차단 시스템(firewall)등이 널리 알려져 있다.
한편, 기하급수적으로 늘고 있는 해킹시도에서 시스템을 보호하기 위해서는 단순한 접근 제어나 침입 차단 시스템의 운영만으로는 불가능하다. 따라서, 앞서 언급한 보안 시스템과는 다른 기술들이 요구되었고, 시스템이나 네트웍에서 일어난 각종 침입 행위들을 자동으로 탐지, 보고, 대응하는 IDS, 가상의 유인 환경을 만들어 공격을 미연에 방지하고 새로운 공격기술을 얻고자 하는 허니팟 시스템, 침입자 역추적이 가능한 피쉬보울(fishbowl) 등 다양한 종류의 보안 시스템이 개발되었다.
하지만, 이러한 새로운 보안 시스템들 역시 어떤 공격을 막아야 할지 유연하게 대처하지 못하고 있다. 예를 들면, IDS는 신종 공격에는 무기력하다는 단점을 가지며, 또한 피쉬보울이나 허니팟 시스템들은 공격자가 시스템에 접속하기만을 기다리는 형태로 능동적인 작동이 불가능하다는 단점을 가진다. 즉, 독립적으로 존재하는 시스템들이 갖고 있는 특징으로 인해 각각의 시스템들이 그 기능을 발휘하지 못하고 여전히 문제점을 드러내고 있는 상황이다. 이는 각각의 시스템들이 서로 보완적인 성격을 갖고 계속적인 성능개선을 이루어야 하는데 그러지 못한 상태로 독립적으로 존재한다는데 그 문제점이 있을 것이다.
이런 상황하에서, 개별적인 시스템들을 통합하여 보다 통합된 시스템으로 구성하려는 허니넷이나 베이트 & 스위치(Bait & Switch) 등의 프로젝트가 국외에서 일부 수행되고 있으나, 아직 완전한 통합이라 보기 힘들고, 여전히 허니팟 및 IDS시스템을 통합하여 서로 상호보완이 가능하고 능동적인 시스템을 구성하기 위한 노력이 요구된다고 볼 수 있다.
이에, 본 발명에서는 IDS와 허니팟 시스템을 연동한 네크워크에 기반한 보안 솔루션 시스템을 제안하고자 한다.
본 발명에서는 시스템의 효율성을 증대시키고 시스템의 통합을 위한 새로운 IDS와 허니팟 시스템 및 침입 의도를 갖고 있는 공격자의 패킷을 공격자가 알아차리지 못한 상태에서 허니팟 시스템으로 유인하기 위한 침입 유도 스위치 시스템이 제시된다.
또한, 본 발명에서는 IDS, 허니팟 시스템 그리고 스위치 시스템의 작동을 통제하고 IDS와 허니팟 시스템으로부터 오는 정보를 연동하여 시스템 관리자에게 보다 효율적인 침입정보를 제공하기 위한 관리 콘솔 시스템이 제시된다.
이하 첨부된 도면을 참조하면서 본 발명의 바람직한 실시예를 살펴보기로 한다.
먼저, 본 발명에서 제안된 시스템과 가장 밀접한 베이트 & 스위치(Bait & Switch) 허니팟 시스템을 살펴본후 본 발명에서 제안된 시스템의 설계를 구체적으로 살펴보도록 하겠다.
1. 관련연구
IDS의 경우에 국내외적으로 다양한 제품이 출시되고 있으며, 허니팟 시스템 역시 메인트랩(ManTrap : 상품명)과 같이 다양한 제품이 출시되고 있다. 또한, 허니넷 프로젝트와 같은 연구가 진행되고 있다. 하지만, 아직 본 발명에서 제안된 시스템과 같은 형태의 시스템이 개발되어 있지 않은 상태이고, 다만 허니팟 시스템 개발의 한 형태로서 베이트 & 스위치 허니팟 시스템이 연구되고 있는 상황이다.
베이트 & 스위치 허니팟 시스템은 기존 허니팟 시스템의 단점을 보완하기 위한 능동적인 시스템으로 개발되었다(참고문헌 [4]).
베이트 & 스위치 허니팟 시스템은 기존의 맨트랩 시스템(참고문헌 [3])이나 허니넷 프로젝트(참고문헌 [1])에서와 달리 공격자가 시스템의 취약성을 가지고 자발적으로 시스템에 접근하는 것이 아니라 스위치 시스템에 의해서 공격자가 인식하지 못한 상태에서 공격자를 허니팟 시스템으로 유도를 할 수 있다. 또한, 침입자 유도를 위하여 Snort 룰(rule) 기반으로 리라우팅(rerouting) 대상 소스 IP를 선별하여 대상 IP에서 오는 두번째 패킷부터 리라우팅 되며, 현재 알파 버전을 출시한 상태이다(참고문헌 [2]).
그러나, 베이트 & 스위치 허니팟 시스템은 다음과 같은 문제점들을 가진다.
- 올바른 사용자들도 허니팟 시스템으로 유인될 수 있음
- 공격자가 허니팟으로부터 다른 사이트를 공격할 수 있음
- 서비스 거부의 위협성이 있음
2. 본 발명에 따른 시스템 구성 및 설계
본 발명에서 제안된 시스템은 IDS와 허니팟 시스템을 연동하고자 하는데 그 특징을 갖고 있으며, 능동적인 침입자 유인시스템으로 네트워크를 통하여 들어오는 패킷을 IDS, 바람직하게 네트워크에 기반한 NIDS(Network-based Intrusion Detect System)를 통해 모니터링한다. 특히, 공격자의 공격신호를 탐지하여 라우팅 시스템을 이용하여 공격자를 가상의 허니팟 시스템으로 유인하고, 공격자의 공격의도 및 공격 기술 등을 파악한다.
또한, 모든 정보를 통제 콘솔을 통하여 각종 침입 정보 및 기술을 분석하고, 새로운 침입 탐지 방법 및 공격기술을 시스템에 적용함으로써 IDS 및 방화벽 의 성능을 신속하게 향상시켜, 향후 중요한 자산을 보호하고 추가적인 공격에 대한 대응기술을 확보할 수 있다.
3. 본 발명에 따른 시스템 구성
본 발명에서 제안하고자 하는 시스템은 크게 침입자의 공격의도를 사전에 탐지할 수 있는 IDS(100), 탐지된 공격자의 패킷을 허니팟으로 유인할 수 있는 침입 유도 스위치 시스템(200), 침입자의 행위를 파악할 수 있는 허니팟 시스템(300) 및 전체적인 시스템들을 관리하는 관리 콘솔 시스템(400)으로 구성되어 있으며, 도 1과 같은 구조를 가진다.
도 1에 도시된 바와 같이, 외부의 공개된 네트워크에서 공격자가 안전구역에 있는 비즈니스 서버를 공격할 경우, 침입 탐지 시스템(100)에서 그것을 탐지하여 해당 공격자 패킷의 정보(IP주소, 포트정보 등)를 침입 유도 스위치 시스템(200)에 전송한다. 침입 유도 스위치 시스템(200)은 해당 공격자의 공격 패킷을 허니팟 시스템(300)으로 전송한다. 허니팟 시스템(300)은 비즈니스 서버를 가장하여 공격자에게 응답을 하고, 공격자는 허니팟 시스템(300)에서 공격을 수행한다. 이때, 공격자의 공격과정은 관리 콘솔 시스템(400)으로 전송되어 공격정보 및 공격관련 기록이 수집된다.
IDS 시스템(100):
오용 탐지 등의 기법을 이용하여 그 결과를 통합함으로써 정확한 침입 탐지를 수행하고 네트워크 환경에 유연하게 적용이 가능한 침입 탐지 시스템이다. 침입 결과와 허니팟 시스템(300)으로부터의 공격 패턴에 대한 정보를 추가하여 공격자의 침입을 보다 효과적으로 탐지할 수 있도록 기능의 향상이 가능하다.
침입 유도 스위치 시스템(200):
대용량의 네트워크 환경에서 IDS(100)로부터 탐지된 특정 공격자의 IP및 서비스 정보에 대한 패킷을 허니팟 시스템(300)으로 유인하고, 허니팟 시스템(300)으로부터 오는 공격자 IP 및 서비스요청에 대한 반응 정보를 공격자에게 재전송함으로써 공격자가 실제 자신이 공격하고자 하는 서버에 대해 공격을 수행하고 있도록 착각하게 만든다.
실제 네트워크 환경에서는 대부분의 패킷들이 정상적인 패킷이고 일부 공격적인 패킷만을 유도하여야 한다. 이를 위해서, 도 2와 같은 계층적 침입 유도 스위치 개념을 도입한다.
허니팟 시스템(300):
보호하고자 하는 시스템과 동일 또는 비슷한 기능을 수행하는 가상의 시스템으로 구성한다. 침입 유도 스위치 시스템(200)으로부터 유도된 공격자의 패킷에 대해 서비스를 제공하고 접속한 공격자의 키스트로크(Keystroke) 뿐만 아니라 로컬 공격에 대한 시스템 로그를 생성하는 등 공격자의 공격 기술 및 공격도구를 확보한다. 또한, 공격자로부터 피해를 입은 시스템을 자동복구하고, 공격자의 능력을 제한함으로써 공격자가 허니팟 시스템(300)을 이용하여 다른 시스템을 공격하는 것을 방지한다.
관리 콘솔 시스템(400):
IDS(100) 및 허니팟 시스템(300)으로부터 오는 정보를 분석하고 통합하여 시스템 관리자로 하여금 침입자의 공격을 파악하게 하고, 시스템 관리의 효과를 증대시킨다. 특히, IDS(100)로부터의 정보를 기반으로 공격 트렌드(Trend)에 대한 분석 및 탐지된 공격신호의 위험도에 대한 분석을 수행한다. 또한, 허니팟 시스템(300)으로부터의 정보를 기반으로 최신의 공격 기법 및 정보를 획득하고 IDS 정보와의 상호 연관성을 바탕으로 새로운 공격기법에 대한 정보를 획득할 수 있다.
본 발명에서 제안된 시스템이 작동하고자 하는 시나리오는 다음과 같다.
고속의 네트워크 환경에서 특정 서비스를 제공하고자 하는 시스템을 가상한다.
① 임의의 불특정 공격자가 해당하는 특정 시스템을 공격하고자 할 때 대부분의 공격자는 nmap등과 같은 잘 알려진 공격도구를 통해 우선 시스템의 환경을 확인한다.
② ①의 상황동안, IDS(100)를 통해 공격의도를 갖고 있는 공격자의 IP를 탐지하여 침입 유도 스위치 시스템(200)에 통지한다.
③ 시스템의 환경을 확인 후 공격자는 시스템의 취약한 점을 발견하고 시스템에 침입하고자 한다. 이때, 침입 유도 스위치 시스템(200)에서는 해당 공격자로부터 오는 모든 패킷을 허니팟 시스템(300)으로 유도함으로써 공격자가 실제 시스템이 아닌 허니팟 시스템(300)을 공격하도록 유도한다.
④ 허니팟 시스템(300)은 보호하고자 하는 시스템과 비슷한 기능을 제공한다. 또한, 공격에 성공한 공격자가 추가 공격을 위해 허니팟 시스템(300)에서 하고 있는 모든 행동을 감시하고 공격도구들을 획득하여 공격자의 공격 방법을 모니터링하고 공격기술을 얻는다.
⑤ IDS(100)와 허니팟 시스템(300)으로부터의 모든 정보를 관리 콘솔 시스템(400)을 통해서 관리자에 보고가 되고, 관리자는 모든 사항을 파악함으로써 공격자의 공격 기술 및 공격도구를 획득하며 보호하고자 하는 중요시스템의 취약점을 보완하게 된다.
4. 본 발명에 따른 시스템 구성
본 발명에서 제안된 시스템은 총 4개의 부분 즉, IDS(100), 침입 유도 스위치 시스템(200), 허니팟 시스템(300), 관리 콘솔 시스템(400)으로 구성되어있다. 각각의 시스템들은 독자적으로도 그 활용성이 뛰어나 통합된 시스템에서 보다 나은 기능을 보인다. 각 개별 시스템의 설계는 다음과 같다.
허니팟 시스템(300)은 다음과 같은 기능을 가지고 있다.
- 실시간 해커 활동 감시 및 통보(stealth mode)
- 피해 시스템 복구 관리(자동, 수동)
- 설치 도구 보존을 통한 최신 해킹 기법 연구 지원
- 공격 거점 활용 위험 감소
- 유도 스위치 연동 : 송신 패킷에 대한 SRC IP(Source IP) 변경 기능 (대응 실제 서버 IP 주소)
도 3은 본 발명에 따른 허니팟 시스템의 상세 블록도이다. 도 3를 참조하면, 시스템의 커널(Kernel)은 크게 로그 모듈(310), 관리모듈(320) 및 SRC IP 변경 모듈(330)로 나누어진 기능을 제공한다.
로그 모듈(310)은 커널 루트킷의 형태(stealth mode)로서 키스트로크 로그, 프로세스 실행 로그, 파일 변경 감시/복구 로그, 및 로그인/로그아웃 로그 등의 기능을 수행하며, 키스트로크 로그 모듈(310a), 프로세스 실행 로그 모듈(310b), 파일 변경, 복구 로그 모듈(310c) 및 로그인/로그아웃 로그 모듈(310d)을 포함한다.
또한, 관리 모듈(320)은 커널 백도어의 형태(stealth mode)로서 파일 목록 및 복구 관리, 요청에 의한 현재 프로세스 정보 제공, 원격 관리자 연동 등의 기능을 제공한다.
또한, SRC IP 변경모듈(330)은 송신 패킷에 대한 SRC IP 변경 기능을 수행한다.
도 4는 IDS 시스템의 설계를 보여주고 있다. 크게 패킷 분산 모듈(110), 탐지 모듈(120) 및 대응 모듈(130)로 구성되어 있다. 또한, 자체적인 저장소(repository)(도시안됨)를 갖고 있어 각각의 모듈에서 수행하는 작업들의 룰을 정하거나 또는 발생하는 로그들을 저장할 수 있다. 각 모듈별 기능은 다음과 같다.
패킷 분산 모듈(110) : 네트워크 패킷 캡쳐, IP 최적화(Defragmentation), 패킷 분배
탐지 모듈(120) : 탐지기법별 독립 엔진으로 구성, TCP 세그먼트 관리, 룰 세트 및 탐지 정책에 따른 패킷 분석
대응 모듈(130) : 탐지 결과간 관련성 분석 정확한 침입 판단, 통지 정책에 따라 최적화된 침입 정보 통지 실시간 통지 대상 서버 관리
도 5는 침입 유도 스위치 시스템의 상세 블록도로서, 침입 유도 스위치 시스템은 전체 시스템 중에서 가장 큰 역할을 수행한다.
침입 유도 스위치 시스템(200)은 IDS(100)에서 포착한 공격자의 IP에서 오는 패킷을 허니팟 시스템(300)으로 유인해야 하고 보통의 대다수 패킷들은 정상적인 작동을 보장해주어야 한다. 따라서, 대용량의 서비스를 제공하는 시스템에도 안정성을 확보하고 침입 유도 스위치 시스템의 부하 분산을 위해서 분산 구조를 가지고 있다. 즉, 네트워크로부터 들어오는 패킷을 외부 네트워크 패킷을 직접 받는 메인 스위치(210)와 공격자 패킷을 처리하는 서브스위치(220)로 분할하여 처리하고, 다음의 기능을 수행한다.
메인 스위치(210) : 패킷 처리부분으로 다른 시스템과의 통신을 수행하고 로그를 전달하는 기능을 수행한다. 또한 IP/포트(Port) 관리 테이블을 만들어 공격자의 IP와 포트를 관리한다.
서브스위치(220) : 로그 정보 및 세션 정보를 저장하고, IP/포트별로 테이블을 만들어 허니팟 시스템(300)에게 패킷 정보를 전달하는 기능을 수행한다.
도 7은 관리 콘솔 시스템의 블록도로서, 크게 관리콘솔(410), 이벤트 처리 서버(420), 저장소(430)로 구성된다.
관리콘솔(410)은 IDS(100)와 허니팟 시스템(300)으로부터 로그를 받아 현재의 상태를 보여주는 역할을 수행하는 것으로, 모니터 시스템(411), 뷰어(412), 제어기(416)를 포함한다.
뷰어(412)는 IDS 뷰어(413)와 허니팟 뷰어(414)로 구분되는데, IDS 뷰어(413)는 IDS(100)로부터 받은 침입탐지에 대한 다양한 정보를 받아 이벤트 처리 서버(420)에서 이벤트 프로세싱 처리를 하여 현재의 공격 정보 및 최근의 공격에 대한 정보를 관리자에게 알려준다. 또한, 허니팟 뷰어(414)는 허니팟 시스템(300)으로부터의 현재 접속중인 사용자 정보와 사용자의 키스트로크 정보 및 프로세스 정보를 받아 허니팟 시스템 내에서 활동하고 있는 공격자의 공격기술을 분석할 수 있는 틀을 제공한다.
그리고, 탐지된 공격자의 IP 및 공격 시간을 기준으로 IDS(100)와 허니팟 시스템(300)간의 정보를 연관시켜 새로운 공격기술에 대한 공격신호를 포착한다. 이를 통해 얻어진 룰을 IDS(100)에 적용함으로써 IDS의 성능 향상에 기여한다.
관리콘솔(410)의 기능은 크게 3가지로 요약할 수 있다
이벤트 프로세싱 : IDS(100)에서 수집된 이벤트를 보관하고, 필터링된 IDS 로그 정보를 바탕으로 이벤트 프로세싱 과정을 수행하여 그 결과를 저장한다.
IDS 침입 정보 분석 : IDS(100)에서 온 정보를 바탕으로 현재 시스템에 침입하는 공격자의 정보를 확인한다. 공격 시간대별로, 소스(Source) IP 또는 목적지(Destination) IP별로, 또는 공격의 중요도 별로 공격의 진행상태를 확인할 수 있다. 또한 최근의 공격증가율 및 트래픽 증가율을 분석하여 최신의 공격동향을 파악할 수 있다.
허니팟 시스템 로그 정보 분석 : 허니팟 시스템(300)에 침입한 공격자의 키스트로크 및 공격자가 수행한 프로세서 등을 파악하여 공격자의 공격기술을 획득할 수 있다. 또한, 공격자의 행위 중 중요도에 따라 경고를 함으로써 관리자의 관리 능력을 향상시킨다.
본 발명에 의하면, 공격자 패킷을 허니팟 시스템으로 유도시킴으로써 공격자로부터의 침입을 미연에 방지할 수 있는 효과가 있다. 또한, 공격자가 행하는 공격행위를 허니팟 시스템을 이용하여 관찰할 수 있으므로 공격자의 새로운 공격정보를 습득할 수 있으며, 새로운 공격정보를 IDS에 피드백시킴으로써 IDS 성능을 개선시키는 효과가 있다.
* 참고 문헌 *
[1] Know your Enemy, http://www.honeynet.org, Project Honeynet
[2] Albert Gonzalez, http://www.violating.us/projects/baitnswitch, Bait & Switch Honeypot
[3] ManTrap: A Secure Deception System, Recuouse Technologies, Inc. 2001
[4] Aurobindo Sundaram, An Intruduction to Intrusion Detection, ACM, Inc. 2002
도 1은 본 발명에 따른 보안 솔루션 시스템의 전체 블록도이다.
도 2는 계층적 침입 유도 스위치 개념을 설명하는 도면이다.
도 3은 도 1의 허니팟 시스템 상세 블록도이다.
도 4는 도 1의 IDS 상세 블록도이다.
도 5는 도 1의 침입 유도 스위치 시스템 상세 블록도이다.
도 6은 도 1의 관리 콘솔 시스템 상세 블록도이다.
* 도면의 주요부분에 대한 부호의 설명 *
100 : IDS 110 : 패킷 분산 모듈
120 : 탐지모듈 130 : 대응모듈
200 : 침입 유도 스위치 시스템 210 : 메인 스위치
220 : 서브스위치 300 : 허니팟 시스템
310 : 로그 모듈 320 : 관리모듈
330 : SRC IP 변경모듈 400 : 관리 콘솔 시스템
410 : 관리 콘솔 420 : 이벤트 처리 서버
412 : 뷰어 416 : 제어기
Claims (5)
- 네트워크상에서 공격자의 침입 탐지를 수행하여 해당 공격자의 공격 패킷 정보를 획득하는 침입 탐지 시스템과, 공격자의 공격에 대해서 보호 대상 시스템을 가장하여 응답하는 허니팟 시스템을 포함하는 네트워크 기반의 보안 솔루션 시스템에 있어서,상기 침입 탐지 시스템으로부터 탐지된 공격자의 공격 패킷 정보를 상기 허니팟 시스템으로 유인하는 침입 유도 스위치 시스템; 및전체적인 시스템들을 관리하고, 상기 침입 탐지 시스템과 허니팟 시스템으로부터의 정보를 기초로 공격유형 분석과 공격 위험도에 대한 분석을 수행하는 관리 콘솔 시스템을 포함하는 것을 특징으로 하는 네트워크 기반의 보안 솔루션 시스템.
- 청구항 1에 있어서, 상기 침입 유도 스위치 시스템은,패킷 처리부분으로 다른 시스템과의 통신을 수행하고 로그를 전달하는 기능을 수행하고, IP/포트 관리 테이블을 이용하여 공격자의 IP/포트를 관리하는 메인 스위치; 및로그 정보 및 세션 정보를 저장하고, IP/포트별로 테이블을 만들어 허니팟 시스템으로 패킷 정보를 전달하는 기능을 수행하는 서브스위치로 구성되는 것을 특징으로 하는 네트워크 기반의 보안 솔루션 시스템.
- 청구항 1 또는 청구항 2에 있어서, 상기 침입 유도 스위치 시스템은 계층적 침입 유도 스위치인 것을 특징으로 하는 네트워크 기반의 보안 솔루션 시스템.
- 청구항 1에 있어서, 상기 관리 콘솔 시스템은,침입 탐지 시스템으로부터 수집된 이벤트를 보관하고, 필터링된 침입 탐지 시스템 로그 정보를 바탕으로 이벤트 프로세싱 과정을 수행하는 이벤트 처리 서버;침입 탐지 시스템으로부터의 정보를 바탕으로 현재 시스템에 침입하는 공격자의 정보를 확인하는 침입 탐지 시스템 뷰어; 및허니팟 시스템에 침입한 공격자의 키스트로크 및 공격자가 수행한 프로세서 등을 파악하여 공격자의 공격기술을 획득하는 허니팟 시스템 뷰어를 포함하는 것을 특징으로 하는 네트워크 기반의 보안 솔루션 시스템.
- 청구항 4에 있어서, 상기 침입 탐지 시스템, 유도 스위치 시스템 및 허니팟 시스템을 각각 제어하는 제어기들을 더 포함하는 것을 특징으로 하는 네트워크 기반의 보안 솔루션 시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2004-0001547A KR100518119B1 (ko) | 2004-01-09 | 2004-01-09 | 네트워크 기반의 보안 솔루션 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2004-0001547A KR100518119B1 (ko) | 2004-01-09 | 2004-01-09 | 네트워크 기반의 보안 솔루션 시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20050073702A true KR20050073702A (ko) | 2005-07-18 |
| KR100518119B1 KR100518119B1 (ko) | 2005-10-04 |
Family
ID=37262616
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR10-2004-0001547A KR100518119B1 (ko) | 2004-01-09 | 2004-01-09 | 네트워크 기반의 보안 솔루션 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100518119B1 (ko) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100755960B1 (ko) * | 2006-01-20 | 2007-09-06 | 엔에이치엔(주) | 서비스 테이블 변조 감지 및 복원 시스템, 방법 그리고 그방법을 수행하는 프로그램이 기록된 컴퓨터 판독 가능한기록매체 |
| KR100776828B1 (ko) * | 2006-08-25 | 2007-11-19 | 고려대학교 산학협력단 | 유비쿼터스 홈네트워크 환경의 침입탐지 방법, 그 기록 매체 및 유비쿼터스 홈네트워크 환경의 침입탐지 장치 |
| KR100926456B1 (ko) * | 2008-04-04 | 2009-11-13 | 숭실대학교산학협력단 | 클라이언트 단말장치를 이용한 침입 탐지 장치 및 그방법과 네트워크 보안 시스템 및 네트워크 보안 방법 |
| WO2010030169A2 (en) * | 2008-09-12 | 2010-03-18 | Mimos Bhd. | A honeypot host |
| US10601868B2 (en) | 2018-08-09 | 2020-03-24 | Microsoft Technology Licensing, Llc | Enhanced techniques for generating and deploying dynamic false user accounts |
| US11212312B2 (en) | 2018-08-09 | 2021-12-28 | Microsoft Technology Licensing, Llc | Systems and methods for polluting phishing campaign responses |
| CN114285588A (zh) * | 2020-09-21 | 2022-04-05 | 奇安信科技集团股份有限公司 | 获取攻击对象信息的方法、装置、设备及存储介质 |
| CN114884744A (zh) * | 2022-06-07 | 2022-08-09 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 一种攻击行为的分析方法及电子设备 |
| CN115378643A (zh) * | 2022-07-14 | 2022-11-22 | 软极网络技术(北京)有限公司 | 一种基于蜜点的网络攻击防御方法和系统 |
-
2004
- 2004-01-09 KR KR10-2004-0001547A patent/KR100518119B1/ko not_active IP Right Cessation
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100755960B1 (ko) * | 2006-01-20 | 2007-09-06 | 엔에이치엔(주) | 서비스 테이블 변조 감지 및 복원 시스템, 방법 그리고 그방법을 수행하는 프로그램이 기록된 컴퓨터 판독 가능한기록매체 |
| KR100776828B1 (ko) * | 2006-08-25 | 2007-11-19 | 고려대학교 산학협력단 | 유비쿼터스 홈네트워크 환경의 침입탐지 방법, 그 기록 매체 및 유비쿼터스 홈네트워크 환경의 침입탐지 장치 |
| KR100926456B1 (ko) * | 2008-04-04 | 2009-11-13 | 숭실대학교산학협력단 | 클라이언트 단말장치를 이용한 침입 탐지 장치 및 그방법과 네트워크 보안 시스템 및 네트워크 보안 방법 |
| WO2010030169A2 (en) * | 2008-09-12 | 2010-03-18 | Mimos Bhd. | A honeypot host |
| WO2010030169A3 (en) * | 2008-09-12 | 2010-07-01 | Mimos Bhd. | A honeypot host |
| US10601868B2 (en) | 2018-08-09 | 2020-03-24 | Microsoft Technology Licensing, Llc | Enhanced techniques for generating and deploying dynamic false user accounts |
| US11212312B2 (en) | 2018-08-09 | 2021-12-28 | Microsoft Technology Licensing, Llc | Systems and methods for polluting phishing campaign responses |
| CN114285588A (zh) * | 2020-09-21 | 2022-04-05 | 奇安信科技集团股份有限公司 | 获取攻击对象信息的方法、装置、设备及存储介质 |
| CN114884744A (zh) * | 2022-06-07 | 2022-08-09 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 一种攻击行为的分析方法及电子设备 |
| CN115378643A (zh) * | 2022-07-14 | 2022-11-22 | 软极网络技术(北京)有限公司 | 一种基于蜜点的网络攻击防御方法和系统 |
| CN115378643B (zh) * | 2022-07-14 | 2024-02-23 | 软极网络技术(北京)有限公司 | 一种基于蜜点的网络攻击防御方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR100518119B1 (ko) | 2005-10-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11075885B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
| Fuchsberger | Intrusion detection systems and intrusion prevention systems | |
| US7596807B2 (en) | Method and system for reducing scope of self-propagating attack code in network | |
| Modi et al. | A survey of intrusion detection techniques in cloud | |
| CA2610350C (en) | Computer network intrusion detection system and method | |
| US20050216956A1 (en) | Method and system for authentication event security policy generation | |
| US6775657B1 (en) | Multilayered intrusion detection system and method | |
| CN105915532B (zh) | 一种失陷主机的识别方法及装置 | |
| US20080196099A1 (en) | Systems and methods for detecting and blocking malicious content in instant messages | |
| US7610624B1 (en) | System and method for detecting and preventing attacks to a target computer system | |
| CN112087413A (zh) | 一种基于主动侦测的网络攻击智能动态防护和诱捕系统及方法 | |
| KR100518119B1 (ko) | 네트워크 기반의 보안 솔루션 시스템 | |
| Kondra et al. | Honeypot-based intrusion detection system: A performance analysis | |
| KR20020072618A (ko) | 네트워크 기반 침입탐지 시스템 | |
| Vokorokos et al. | Network security on the intrusion detection system level | |
| JP2006067078A (ja) | ネットワークシステムおよび攻撃防御方法 | |
| Prasad et al. | IP traceback for flooding attacks on Internet threat monitors (ITM) using Honeypots | |
| KR20170109949A (ko) | 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치 | |
| Borders et al. | OpenFire: Using deception to reduce network attacks | |
| WO2008086224A2 (en) | Systems and methods for detecting and blocking malicious content in instant messages | |
| Takemori et al. | Detection of Bot Infected PCs using Destination-based IP and Domain Whitelists during a non-operating term | |
| WO2007125402A2 (en) | A method for protecting local servers from denial-of-service attacks | |
| KR20050082681A (ko) | 허니팟 시스템 | |
| Prasad et al. | An efficient flash crowd attack detection to internet threat monitors (itm) using honeypots | |
| KR20070114155A (ko) | 네트워크 공격 검출 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20100831 Year of fee payment: 6 |
|
| LAPS | Lapse due to unpaid annual fee |