KR20050090640A - A system and method for analyzing harmful traffic - Google Patents

A system and method for analyzing harmful traffic Download PDF

Info

Publication number
KR20050090640A
KR20050090640A KR1020040015813A KR20040015813A KR20050090640A KR 20050090640 A KR20050090640 A KR 20050090640A KR 1020040015813 A KR1020040015813 A KR 1020040015813A KR 20040015813 A KR20040015813 A KR 20040015813A KR 20050090640 A KR20050090640 A KR 20050090640A
Authority
KR
South Korea
Prior art keywords
traffic
incident
statistics
harmful
information
Prior art date
Application number
KR1020040015813A
Other languages
Korean (ko)
Inventor
이승일
Original Assignee
유넷시스템주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 유넷시스템주식회사 filed Critical 유넷시스템주식회사
Priority to KR1020040015813A priority Critical patent/KR20050090640A/en
Publication of KR20050090640A publication Critical patent/KR20050090640A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Abstract

본 발명은 내부 네트워크와 외부 네트워크와의 통신에 따른 유해 트래픽 분석 시스템 및 그 방법에 관한 것이다. The present invention relates to a harmful traffic analysis system and method according to communication between an internal network and an external network.

본 발명에 따르면, 내부 네트워크와 외부 네트워크 사이에 구비되는 보안장비로부터 세션 데이터를 실시간으로 모니터링하여 분석한 후, 트래픽 통계를 산출하고, 산출된 트래픽 통계를 기 설정된 허용 트래픽 상한치와 비교하여, 산출된 트래픽 통계가 기 설정된 허용 트래픽 상한치를 초과하는 사건(이하, 인시던트라 한다)이 발생하면, 상기 인시던트 발생에 따른 정보를 관리자에게 제공함으로써, 관리자로 하여금 유해 트래픽에 대해 신속히 대처할 수 있도록 지원할 수 있는 기술이 개시된다.According to the present invention, after monitoring and analyzing session data in real time from a security device provided between an internal network and an external network, traffic statistics are calculated, and the calculated traffic statistics are compared with a preset allowable traffic upper limit value. Technology that can help the administrator to respond quickly to harmful traffic by providing the administrator with information related to the incident when the traffic statistics exceed the preset allowable traffic upper limit (hereinafter referred to as incident) This is disclosed.

Description

유해 트래픽 분석 시스템 및 방법{A system and method for analyzing harmful traffic}A system and method for analyzing harmful traffic

본 발명은 유해 트래픽 분석 시스템 및 방법에 관한 것으로, 더욱 상세하게는 보안장비로부터 모니터링 한 세션 데이터를 분석하고, 더 나아가서는 과다 트래픽이 발생한 네트워크상의 보안장비를 제어하여 과다 트래픽을 발생시킨 특정 소스 아이피의 트래픽을 차단시킬 수 있는 시스템 및 그 방법에 관한 것이다.The present invention relates to a harmful traffic analysis system and method, and more particularly, to analyze the session data monitored from the security equipment, and furthermore, to control the security equipment on the network where the excessive traffic is generated to generate a specific source IP The present invention relates to a system and a method capable of blocking traffic.

유해 트래픽이라 함은 정상적인 네트워크 사용에 심각한 영향을 미치게 하거나 네트워크상에 존재하는 각종 IT자산에 피해를 입힐 수 있는 패킷(Packet)들을 담고 있는 트래픽으로써, 네트워크 시스템의 파괴, 해킹, 네트워크 마비 등과 같이 부정적인 결과를 초래할 수 있는 트래픽의 모든 것을 말한다고 할 수 있다. 이러한 유해 트래픽에는 전통적인 바이러스로부터 하여 최근의 트로이목마, 웜바이러스나 DDos공격 등이 모두 포함된다.Harmful traffic is traffic that contains packets that can seriously affect normal network usage or damage various IT assets on the network. Negative traffic, such as network system destruction, hacking, network paralysis, etc. It's all about traffic that can result. Such harmful traffic includes all the recent Trojans, worms, and DDos attacks from traditional viruses.

그 중, 전통적인 바이러스의 경우, 보안장비가 지속적으로 발전 개발됨으로써 현재는 거의 유명무실한 상태에 이르렀지만, 해킹과 악성코드의 통합 형태(백도어 + Ddos + 시스템 해킹) 증가, 취약점을 이용한 자동 감염 기법 등장(인터넷 연결만으로 보안취약점을 통해 악성코드 감염), 관리목적 공유폴더를 이용한 감염 기법 증가(관리의식 부족으로 인한 취약점 노출, 네트워크 트래픽 폭증) 등에 따른 보안사고가 빈번히 발생하고 있는 실정이다. 그러한 예로써는, 1998년에 Back Orifice와 ADM Worm, 1999년에 Melissa 바이러스가 출현하였고, 그 이후에도 이와 유사한 공격도구 및 공격기법이 유행하였으며, 급기야는 웜 바이러스의 공격으로 1.25 대란사태(2003년 1월 25일 웜 바이러스에 의해 세계적으로 인터넷 통신이 마비되었던 사태를 칭한다)를 초래하였던 것 등을 들 수 있다. 이러한 신종 유해 트래픽은 공격대상 자원을 과다 점유 및 파괴하고, 핵심 정보의 유출, 네트워크의 마비, 온라인서비스의 변조 및 마비, 해킹 등과 같은 보안사고를 빈번히 발생시키고 있었다.In the case of traditional viruses, security equipment has been continuously developed and developed, and now it is almost infamous.However, hacking and integration of malicious code (backdoor + Ddos + system hacking) increased, and automatic infection techniques using vulnerabilities appeared. Security incidents are frequently occurring due to (infection of malicious code through security weakness only through internet connection), increase of infection technique using shared folder for management purpose (exposed vulnerability due to lack of management awareness, explosion of network traffic). For example, Back Orifice and ADM Worm in 1998, Melissa virus appeared in 1999, and similar attack tools and attack techniques have been popular since then. The Internet communication was paralyzed by the worm virus on the 25th). These new harmful traffics have excessively occupied and destroyed the target resources, frequently causing security accidents such as leakage of critical information, paralysis of network, alteration and paralysis of online services, and hacking.

그러나 기존의 IDS(Intrusion Detection system, 침입 탐지 시스템)나 방화벽과 같은 보안장비만으로는 정상적인 접속으로 침입(유용한 프로그램으로 가장하여 침입)하는 신종 유해 트래픽을 발견해내기가 어렵기 때문에, 신종 유해 트래픽을 초기에 발견하고, 그에 따른 적절한 대응조치 할 수 있도록 지원해주는 시스템 및 방법에 대한 필요성이 심각하게 대두되고 있는 실정이다.However, security equipment such as IDS (Intrusion Detection System) or firewall alone cannot detect new harmful traffic that intrudes (pretends as a useful program) by normal access. There is a serious need for systems and methods that can assist in discovering and responding appropriately.

본 발명은 상술한 필요성에 의해 안출된 것으로, 네트워크 관리자로 하여금 유해 트래픽을 초기에 발견하고, 그에 따른 적절한 대응을 수행할 수 있도록 지원하는 시스템 및 방법을 제공하는 것을 목적으로 한다. SUMMARY OF THE INVENTION The present invention has been made in view of the above-mentioned necessity, and an object thereof is to provide a system and a method for enabling a network administrator to detect harmful traffic at an early stage and perform an appropriate response accordingly.

상기한 목적을 달성하기 위한 본 발명에 따른 유해 트래픽 분석 시스템은, 내부 네트워크와 외부 네트워크 사이에 구비되는 보안장비; 상기 보안장비로부터 세션 데이터를 실시간 모니터링하여 분석한 후, 트래픽 통계를 산출하고, 산출된 트래픽 통계를 기 설정된 허용 트래픽 상한치와 비교하여, 산출된 트래픽 통계가 기 설정된 허용 트래픽 상한치를 초과하는 사건(이하, 인시던트라 한다)이 발생하면, 상기 인시던트 발생에 따른 정보를 관리자에게 제공하는 서비스서버; 및 상기 서비스서버로부터 제공되는 상기 인시던트 발생에 따른 정보 및 관리자의 명령에 따른 트래픽 정보를 출력하며, 상기 관리자의 각종 명령을 입력시킬 수 있는 관리자단말기; 를 포함하는 것을 특징으로 한다.Harmful traffic analysis system according to the present invention for achieving the above object, the security equipment provided between the internal network and the external network; After monitoring and analyzing the session data from the security device in real time, the traffic statistics are calculated, and the calculated traffic statistics are compared with a preset allowable traffic upper limit, and the calculated traffic statistics exceed the preset allowable traffic upper limit (hereinafter, When an incident occurs, the service server for providing information to the administrator according to the occurrence of the incident; And an administrator terminal that outputs the information according to the occurrence of the incident provided from the service server and the traffic information according to the command of the manager, and inputs various commands of the manager. Characterized in that it comprises a.

상기 서비스서버는, 상기 보안장비로부터 세션 데이터를 실시간 모니터링하여 분석한 후, 트래픽 통계를 산출하고, 산출된 트래픽 통계를 기 설정된 허용 트래픽 상한치와 비교하여, 산출된 트래픽 통계가 기 설정된 허용 트래픽 상한치를 소정 시간동안 초과하는 사건(이하, 인시던트라 한다)이 발생하면, 상기 인시던트 발생에 따른 정보를 관리자에게 제공하는 정보가공서버; 및 상기 보안장비에 대한 정보, 상기 정보가공서버의 정보 및 상기 관리자의 정보를 관리하며, 상기 정보가공서버와 상기 관리자단말기 간의 통신을 관리하는 정보관리서버; 를 포함하는 것을 구체적인 특징으로 한다.The service server monitors and analyzes session data from the security device in real time, calculates traffic statistics, compares the calculated traffic statistics with a preset allowable traffic upper limit, and calculates a calculated allowable traffic upper limit. An information processing server that provides an administrator with information according to the occurrence of an incident when an event (hereinafter, referred to as incident) occurs for a predetermined time; And an information management server managing information on the security equipment, information on the information processing server, and information on the administrator, and managing communication between the information processing server and the administrator terminal. It includes a specific feature to include.

상기 서비스서버는, 상기 보안장비로부터 세션 데이터를 실시간 모니터링하여 수집하는 데이터수집모듈; 상기 데이터수집모듈에 의해 수집된 세션 데이터를 분석한 후, 실시간 트래픽 통계를 산출하는 통계데이터분석모듈; 을 포함하는 것을 구체적인 특징으로 한다.The service server includes a data collection module for monitoring and collecting session data from the security device in real time; A statistical data analysis module for analyzing real-time traffic statistics after analyzing the session data collected by the data collection module; It includes a specific feature to include.

상기 서비스서버는, 상기 데이터수집모듈에 의해 수집된 세션 데이터에 대한 일일(一日) 트래픽 통계를 산출하는 일일데이터통계모듈; 및 상기 일일데이터통계모듈에 의해 산출된 일일 트래픽 통계를 저장하는 스토리지; 를 포함하는 것을 구체적인 특징으로 한다.The service server, the daily data statistics module for calculating the daily traffic statistics for the session data collected by the data collection module; And storage for storing daily traffic statistics calculated by the daily data statistics module. It includes a specific feature to include.

상기 서비스서버는, 인시던트가 발생된 경우, 기 설정된 제어방법에 따라 상기 보안장비를 제어하는 보안장비제어모듈; 을 포함하는 것을 구체적인 특징으로 한다.The service server, a security equipment control module for controlling the security equipment according to a preset control method when an incident occurs; It includes a specific feature to include.

상기 서비스서버는, 상기 관리자단말기를 통해 입력되는 상기 인시던트의 발생을 유발한 소스 아이피의 네트워크 트래픽 차단에 대한 관리자의 명령에 따라 상기 보안장비를 제어하는 보안장비제어모듈; 을 포함하는 것을 구체적인 특징으로 한다.The service server, the security device control module for controlling the security device according to the command of the administrator for blocking the network traffic of the source IP that caused the occurrence of the incident input through the administrator terminal; It includes a specific feature to include.

상기 서비스서버는, 상기에서 산출된 트래픽 통계를 저장하는 스토리지; 를 포함하는 것을 구체적인 특징으로 한다.The service server, the storage for storing the traffic statistics calculated above; It includes a specific feature to include.

또한, 상기의 목적을 달성하기 위한 본 발명에 따른 유해 트래픽 분석 방법은, 내부 네트워크와 외부 네트워크 사이에 구비되는 보안장비로부터 상기 내부 네트워크와 외부 네트워크 사이의 통신에 따른 세션 데이터를 실시간 모니터링하는 단계; 상기에서 모니터링한 세션 데이터를 분석한 후, 실시간 트래픽 통계를 산출하는 단계; 상기에서 산출된 실시간 트래픽 통계를 설정된 허용 트래픽 상한치와 비교하는 단계; 상기에서 산출된 트래픽 통계가 설정된 허용 트래픽 상한치를 소정 시간동안 초과하는 사건(이하, 인시던트라 한다)이 발생하였는지 판단하는 단계; 상기의 판단에 따라 인시던트의 발생이라고 판단되면 인시던트에 대한 정보를 관리자단말기를 통해 출력시키는 단계; 를 포함하는 것을 특징으로 한다.In addition, the harmful traffic analysis method according to the present invention for achieving the above object comprises the steps of: real-time monitoring the session data according to the communication between the internal network and the external network from a security device provided between the internal network and the external network; Calculating real-time traffic statistics after analyzing the monitored session data; Comparing the calculated real-time traffic statistics with a set allowable traffic upper limit; Determining whether an event (hereinafter referred to as an incident) in which the calculated traffic statistics exceed the set allowable upper limit traffic for a predetermined time has occurred; If it is determined that an incident is generated according to the above determination, outputting information on the incident through an administrator terminal; Characterized in that it comprises a.

상기 유해 트래픽 분석 방법은, 상기 인시던트의 발생을 유발한 소스 아이피에 대한 네트워크 트래픽 차단을 실행하기 위해 설정된 제어방법에 의해 상기 보안장비를 제어하는 단계; 를 더 포함시킴으로써, 분석에 따른 보안의 제어를 실시할 수 있도록 구현되는 것을 또 하나의 특징으로 한다..The harmful traffic analysis method may further include: controlling the security device by a control method set to execute network traffic blocking for a source IP causing the occurrence of the incident; By further including, it is another feature that is implemented to implement the control of security according to the analysis.

상기 유해 트래픽 분석 방법은, 상기 관리자단말기를 통해 입력되는 상기 인시던트의 발생을 유발한 소스 아이피의 네트워크 트래픽 차단에 대한 관리자의 명령에 따라 상기 보안장비를 제어하는 단계; 를 더 포함하는 것을 또 다른 하나의 특징으로 한다.The harmful traffic analysis method may include: controlling the security device according to an administrator's command to block a network traffic of a source IP which caused the occurrence of the incident input through the administrator terminal; It is another one of the features to include more.

상기 유해 트래픽 분석 방법은, 상기에서 산출된 트래픽 통계를 저장하는 단계; 를 더 포함하는 것을 특징으로 한다.The harmful traffic analysis method may include: storing the calculated traffic statistics; It characterized in that it further comprises.

상기 인시던트에 대한 정보를 관리자단말기를 통해 출력시키는 단계는, 상기 인시던트 발생에 따른 경고통지를 상기 관리자단말기를 통하여 출력시키는 단계; 를 더 포함하는 것을 보다 구체적인 특징으로 한다.The step of outputting the information on the incident through the administrator terminal, the step of outputting a warning notification according to the occurrence of the incident through the administrator terminal; It further comprises a more specific feature.

상기 유해 트래픽 분석 방법은, 상기에서 모니터링한 세션 데이터에 대한 일일 트랙픽 통계를 산출하는 단계; 및 상기에서 산출된 일일 트래픽 통계를 저장하는 단계; 를 더 포함하는 것을 또 하나의 특징으로 한다.The harmful traffic analysis method may further include calculating daily traffic statistics on the monitored session data; And storing the daily traffic statistics calculated above. It is characterized by another comprising a further.

상기 유해 트래픽 분석 방법은, 상기에서 저장된 일일 트래픽 통계를 기준으로 상기 허용 트래픽 상한치를 결정하는 단계; 를 더 포함하는 것을 특징으로 한다.The harmful traffic analysis method may further include: determining an upper limit of the allowable traffic based on the stored daily traffic statistics; It characterized in that it further comprises.

이하에서는 본 발명에 따른 실시 예에 대하여 첨부된 도면을 참조하여 보다 상세히 설명하도록 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도1은 본 발명의 실시 예에 따른 유해 트래픽 분석 시스템에 대한 블록도이다. 도1을 참조하면, 본 실시 예에 따른 유해 트래픽 분석 시스템은, 내부 네트워크(200a 내지 200d)와 외부 네트워크(100) 사이에 구비되는 보안장비(300a 내지 300b)와, 상기 보안장비(300a 내지 300b)로부터 수집한 세션 데이터를 분석 가공한 후 이상 발생시에 관리자 측에 통지하는 정보가공서버(400)와, 각종 정보를 관리하는 정보관리서버(500) 및 상기 정보가공서버(400) 측으로부터 제공된 트래픽 정보 등을 출력하여 전시하는 관리자단말기(600) 등을 포함하여 구성되어 있다.1 is a block diagram of a harmful traffic analysis system according to an embodiment of the present invention. Referring to FIG. 1, the harmful traffic analysis system according to the present embodiment includes security devices 300a to 300b provided between an internal network 200a to 200d and an external network 100, and the security devices 300a to 300b. After analyzing the session data collected from the data processing), the information processing server 400 notifying the administrator side when an abnormality occurs, the information management server 500 for managing various information and the traffic provided from the information processing server 400 side It includes a manager terminal 600 for outputting and displaying information and the like.

상기와 같은 유해 트래픽 분석 시스템에 대하여 각 구성별로 더욱 상세히 설명하면 다음과 같다.Referring to the harmful traffic analysis system as described above in more detail for each configuration as follows.

상기 보안장비(300a 내지 300b)는, 네트워크 보안을 위해 내부 네트워크(200a 내지 200d)와 외부 네트워크(100) 사이에 구비되고, 세션 데이터를 상기 정보가공서버(400)로 전송시킬 수 있는 장비이면 어느 것이든 적용될 수 있다. 따라서 주지의 기술로써 구현되어 있는, 방화벽, N-IDS(Network Intrusion detection system, 네트워크 침입 탐지 시스템), IPS(Intrusion Prevention system, 침입 방지 시스템), L7스위치 등이면 바람직하다.The security equipment (300a to 300b) is provided between the internal network (200a to 200d) and the external network 100 for network security, any device that can transmit the session data to the information processing server 400 Anything can be applied. Therefore, a firewall, a network intrusion detection system (N-IDS), an intrusion prevention system (IPS), an L7 switch, or the like, which is implemented as a known technique, is preferable.

상기 정보가공서버(400)는, 도1에서 보여 지는 바와 같이 적어도 하나 이상의 보안장비(300a/300b/300c/300d)와 연결되어 연결된 각각의 보안장비(300a/300b/300c/300d)로부터 세션 데이터를 수집할 수 있으며, 도2의 블록도에 도시된 바와 같이 상기 각각의 보안장비(300a/300b/300c/300d)로부터 세션 데이터를 실시간 모니터링하여 수집하는 데이터수집모듈(41)과, 상기 데이터수집모듈(41)에 의해 수집된 세션 데이터를 분석하고 분석된 데이터에 대한 통계를 산출하는 통계데이터분석모듈(42), 수집된 세션 데이터를 근거로 일일 트래픽 통계를 산출하는 일일데이터통계모듈(43) 및 필요한 데이터를 저장하는 스토리지A(44) 등을 포함하고 있다.The information processing server 400, as shown in Figure 1, the session data from each of the security equipment (300a / 300b / 300c / 300d) connected to at least one security device (300a / 300b / 300c / 300d) And a data collection module 41 for real-time monitoring and collecting session data from each of the security devices 300a / 300b / 300c / 300d as shown in the block diagram of FIG. Statistical data analysis module 42 for analyzing the session data collected by the module 41 and calculating statistics for the analyzed data, daily data statistics module 43 for calculating daily traffic statistics based on the collected session data And storage A 44 for storing necessary data.

상기 정보관리서버(500)는, 도1에서 보여 지는 바와 같이 적어도 하나 이상의 정보가공서버(400)와 연결되어 있으며, 도2의 블록도에 도시된 바와 같이 각종 정보를 저장하는 스토리지B(51)와 상기 보안장비(300a/300b/300c/300d)를 제어할 수 있는 보안장비제어모듈(52)을 구비하고 있다. 상기 스토리지B(51)에는 상기 일일데이터통계모듈에 의해 산출된 일일 트래픽 통계 데이터 등이 저장되어 있다. 이러한 정보관리서버(500)는, 상기 정보가공서버(400)와 상기 관리자단말기(600)의 통신세션을 관리하며, 상기 정보가공서버(400)의 정보, 상기 정보가공서버(400)에 연결된 다수의 보안장비(300a/300b/300c/300d)의 정보, 관리자의 정보 등을 관리한다. 또, 상기 보안장비제어모듈(52)에 의해 이상이 발생된 네트워크상의 보안장비(300a/300b/300c/300d)를 제어함으로써 과다 트래픽을 발생시키는 특정 소스 아이피의 트래픽을 차단시킨다.The information management server 500 is connected to at least one or more information processing server 400, as shown in Figure 1, storage B 51 for storing various information as shown in the block diagram of FIG. And a security equipment control module 52 capable of controlling the security equipment 300a / 300b / 300c / 300d. The storage B 51 stores the daily traffic statistics data calculated by the daily data statistics module. The information management server 500 manages the communication session between the information processing server 400 and the administrator terminal 600, the information of the information processing server 400, a plurality of connected to the information processing server 400 Manages the information of the security equipment (300a / 300b / 300c / 300d), administrator information, and the like. In addition, by controlling the security equipment (300a / 300b / 300c / 300d) on the network in which an error occurs by the security equipment control module 52 blocks the traffic of the specific source IP that generates excessive traffic.

물론, 본 실시 예에서는 상기 정보가공서버(400)와 정보관리서버(500)가 상호 분리 구현되어 있지만, 응용 예에 따라서는 정보가공서버와 정보관리서버가 하나의 서비스서버로 구현될 수 있다. 도1에서 보여 지는 바와 같이 그룹별 다수개의 네트워크가 관리 대상인 대규모 사업장의 경우에는 정보가공서버와 정보관리서버가 상호 분리 구현됨으로써 보다 체계적으로 유해 트래픽에 대한 분석 및 관리가 이루어질 수 있도록 구현하는 것이 바람직하고, 소규모사업장의 경우에는 하나의 서비스서버로 구현하는 것이 보다 바람직할 것이다.Of course, in the present embodiment, the information processing server 400 and the information management server 500 are implemented separately from each other, but according to an application example, the information processing server and the information management server may be implemented as one service server. As shown in FIG. 1, in the case of a large-scale workplace in which a plurality of networks for each group are managed, it is desirable to implement the information processing server and the information management server so that harmful traffic can be analyzed and managed more systematically. In the case of a small business, it would be more desirable to implement one service server.

상기 관리자단말기(600)는, 시스템상에 관리자의 각종 명령을 입력시킬 수 있으며, 상기 정보가공서버(400) 측으로부터 제공되는 각종 트래픽 정보 및 경고통지 등을 출력할 수 있다.The manager terminal 600 may input various commands of the administrator on the system, and may output various traffic information and warning notification provided from the information processing server 400 side.

한편, 상기와 같은 시스템상에서 이루어지는 본 발명에 따른 유해 트래픽 분석 방법에 대하여 도3의 흐름도 및 도4 이하의 참조도에 의거하여 설명한다.On the other hand, the harmful traffic analysis method according to the present invention on the system as described above will be described based on the flowchart of FIG.

먼저, 상기 보안장비(300a 내지 300d)로부터 상기 내부 네트워크(200a/200b/200c/200d)와 외부 네트워크(100) 사이의 트래픽에 따른 세션 데이터를 실시간 모니터링한다<S301>. 여기서 세션 데이터는, 네트워크 접속 소스 IP(source Information Provider), 목적지 IP, 네트워크 접속 종료시간, 소스 포트, 목적지 포트, 룰넘버(rule number), 접속 방향(Inbound/Outbound) 등이 포함된다. 일반적으로 ftp 방식에 의한 대용량의 파일을 주고받을 경우에는 1회의 트래픽으로도 과다한 트래픽량(traffic量)이 발생할 수 있고, 경우에 따라서는 내부 네트워크의 순간적인 마비를 가져올 수도 있지만, 이러한 경우에는 유해 트래픽에 의한 네트워크의 마비가 아닌 정상적인 서비스에 따른 것이기 때문에, 그러한 서비스가 종료되면 통상의 네트워크로 복귀한다. 따라서 유해 트래픽의 탐지를 위해서는 트래픽량보다는 트래픽이 얼마만큼 빈번하게 이루어지고 있는지가 중요하며, 이러한 트래픽의 발생 빈도에 대한 정보를 확보하기 위한 가장 바람직한 정보는 세션 데이터라고 할 수 있다.First, the session data according to the traffic between the internal network (200a / 200b / 200c / 200d) and the external network 100 from the security device (300a to 300d) in real time monitoring (S301). The session data may include a network connection source IP (source information provider), a destination IP, a network connection end time, a source port, a destination port, a rule number, a connection direction (Inbound / Outbound), and the like. In general, in case of sending and receiving a large amount of files by ftp method, excessive traffic may occur even with one traffic, and in some cases, instantaneous paralysis of the internal network may occur. Since the service is not paralyzed by traffic, but due to normal service, the service returns to the normal network when it is terminated. Therefore, in order to detect harmful traffic, it is important how much traffic is made rather than traffic volume, and the most desirable information for securing information on the frequency of occurrence of such traffic is session data.

상기에서 수집된 세션 데이터를 분석한다<S302>.The session data collected above is analyzed <S302>.

상기에서 분석된 세션 데이터에 대한 통계를 산출한다<S305>.Statistics for the session data analyzed above are calculated <S305>.

상기에서 산출된 트래픽 통계를 설정된 허용 트래픽 상한치와 비교한다<S304>.The traffic statistics calculated above are compared with the set allowable traffic upper limit value (S304).

여기서 허용 트래픽 상한치는 상기 일일데이터통계모듈에 의해 축적된 평균 트래픽 통계를 기준으로 시스템에 의해 자동으로 설정되도록 할 수도 있다. 이러한 경우 허용 트래픽 상한치는 관리되는 네트워크상에서의 일반적인 트래픽 평균값의 150%라든지, 200%라든지와 같이 통상적인 업무에 의해 폭주될 수 있는 트래픽의 상한을 고려하여 참작 설정될 수 있다.Here, the allowable traffic upper limit may be automatically set by the system based on the average traffic statistics accumulated by the daily data statistics module. In this case, the allowable traffic upper limit may be set in consideration of the upper limit of the traffic that may be congested by the normal business such as 150% or 200% of the average traffic average value on the managed network.

또, 허용 트래픽 상한치는 상기 관리자단말기(600)를 통해 관리자에 의해 임의적으로 설정 입력될 수도 있다. 이러한 관리자에 의해 임의적으로 설정 입력되는 내용에 대한 예는 은 후술된다.In addition, the allowable traffic upper limit value may be arbitrarily set by the administrator through the administrator terminal 600. An example of contents arbitrarily set and input by such an administrator will be described later.

참조도 도4는 트래픽이 과다 발생하는 대표적인 예에 대한 시간에 따른 트래픽의 증가를 보여주는 그래프를 도시하고 있다.4 is a graph showing an increase in traffic over time for a representative example of excessive traffic.

도4의 (a)에는 DDos 공격에 따른 트래픽의 증가를 보여준다. ①의 곡선은 통상의 평균적인 트래픽 상황을 ②의 곡선은 DDos 공격에 따른 트래픽의 시간에 따른 증가 상황을 보여 준다. 일반적으로 DDos 공격이 이루어지면 순간 접속률이 급격히 증가하기 때문에 ②의 곡선에서 보여 지는 바와 같이 트래픽이 순간적으로 급격히 증가한다.Figure 4 (a) shows the increase in traffic due to the DDos attack. The curve of ① shows the average traffic condition in general, and the curve of ② shows the increase in traffic according to DDos attack over time. In general, as DDos attacks occur, the instantaneous connection rate increases rapidly, so the traffic increases rapidly as shown in the curve of ②.

도4의 (b)는 웜바이러스에 의한 트래픽의 증가를 보여준다. ③의 곡선은 통상의 평균적인 트래픽의 상황을 ④의 곡선은 웜바이러스에 의한 트래픽의 증가 상황을 보여 준다. 일반적으로 웜바이러스에 의한 트래픽의 증가는 웜바이러스의 복제 등에 따라 수반되는 지연 시간 등에 의해 ④의 곡선과 같이 초기에 완만히 증가하다가 급격히 증가하는 상황의 트래픽 증가가 이루어진다.Figure 4 (b) shows the increase in traffic caused by the worm virus. The curve of ③ shows the normal traffic condition, and the curve of ④ shows the traffic increase caused by the worm virus. In general, the increase of traffic caused by worm virus is gradually increased in the initial stage like the curve of ④ due to the delay time due to the replication of worm virus, etc., and the traffic increases rapidly.

상기의 비교에 따라, 첫째, 상기에서 산출된 트래픽 통계가 자동 설정된 허용 트래픽 상한치를 소정 시간동안 지속적으로 초과하는 사건이나, 둘째, 관리자에 의해 입력 설정된 트래픽 상한치를 소정 시간동안 초과하는 사건(이하, 첫째와 둘째의 경우를 통틀어 인시던트라 한다)이 발생하였는지 판단한다<S305>. 이러한 판단에 대해 예를 들어 상세히 설명한다. 첫째, 자동 설정된 허용 트래픽 상한치를 소정 시간동안 지속적으로 초과하는 경우, 예를 들어 수집된 세션 데이터에 대한 트래픽 통계가 평균값의 100%를 5초간 지속적으로 초과한 경우에 인시던트 발생으로 판단되도록 설정되었다면, 그러한 경우를 인시던트의 발생이라고 판단한다. 둘째, 관리자에 의해 임의로 입력 설정된 경우, 예를 들어 한 소스 IP에서 1000개 이상의 세션을 3초동안 만들 경우에 인시던트 발생으로 판단되도록 설정되었다면, 그러한 경우를 인시던트의 발생이라고 판단한다.According to the comparison, first, the traffic statistics calculated above continuously exceed the allowable traffic upper limit set for a predetermined time, and second, the event exceeding the traffic upper limit set by the administrator for a predetermined time (hereinafter, It is determined whether incidents occur in both first and second cases (S305). This determination is explained in detail, for example. First, if the upper limit of automatically set allowable traffic is continuously exceeded for a predetermined time, for example, if the traffic statistics for the collected session data continuously exceed 100% of the average value for 5 seconds, the incident is set to be determined as an incident occurrence. Such a case is judged to be an occurrence of an incident. Second, if it is set arbitrarily by the administrator, for example, if it is set to determine that an incident occurs when more than 1000 sessions are created for three seconds from one source IP, such a case is determined to be an incident occurrence.

따라서 상기와 같은 비교 및 판단에 따라 인시던트가 발생되었다고 판단되면, 발생된 인시던트에 대한 정보를 관리자단말기(600)를 통해 출력시킨다. 여기서 인시던트에 대한 정보에는 인시던트가 발생했음을 경고하는 경고통지와 인시던트가 발생한 특정 보안장비(300a/300b/300c/300d)로부터 제공되는 세션 데이터에 대한 트래픽 정보가 포함될 수 있다.Therefore, when it is determined that an incident has been generated according to the comparison and determination as described above, information about the generated incident is output through the manager terminal 600. The information on the incident may include a warning notification for warning that an incident has occurred and traffic information on session data provided from a specific security device (300a / 300b / 300c / 300d) in which the incident occurred.

예를 들어, 만일 허용 트래픽의 상한치가 도4의 (b)에서 ⑤의 선이라고 가정하면, 0시간부터 T1시간 전까지 특정 보안장비로부터 실시간 수집되는 세션 데이터에 대한 트래픽 통계를 허용 트래픽 상한치와 지속적으로 비교하며 이상 없음으로 판단하지만, T1시간을 경과하는 시점부터 소정 시간동안 특정 보안장비(300a/300b/300c/300d)로부터 수집된 세션 데이터에 대한 트래픽 통계가 허용 트래픽 상한치를 초과했기 때문에 인시던트 발생으로 판단하고, 따라서 T1시간을 경과하는 시점부터 설정된 소정 시간이 지나는 T2시점에서 인시던트 발생에 따른 정보를 관리자단말기(600)를 통해 출력시키는 것이다. 여기서 인시던트 발생에 따른 정보로는 관리자의 주의를 환기시키기 위한 경고성 통지와 특정 보안장비(300a/300b/300c/300d)로부터 제공되는 세션 데이터에 대한 트래픽 정보가 포함됨으로써, 관리자로 하여금 주의를 환기시키도록 함과 동시에 인시던트가 발생한 특정 보안장비(300a/300b/300c/300d)로부터 제공되는 세션 데이터에 대한 트래픽 정보를 즉각적으로 파악할 수 있도록 하는 것이 바람직하다. 이 때 경고성 통지로는 E-mail, SMS, Sound, Image 등과 같이 관리자의 주의를 적절히 환기시킬 수 있는 방법이면 어느 것이라도 바람직하다.For example, if the upper limit of the allowable traffic is a line ⑤ in Fig. 4 (b), the traffic statistics for the session data collected in real time from a specific security device from 0 hour to T 1 hour are continuously maintained. Although the traffic statistics for the session data collected from a specific security device (300a / 300b / 300c / 300d) for a predetermined time since the time T 1 elapsed, the incident is exceeded. It is determined that the occurrence occurs, and accordingly, information corresponding to the occurrence of the incident is output through the administrator terminal 600 at the time T 2 after the predetermined time elapses from the time T 1 elapses. In this case, the information related to the occurrence of the incident includes warning information for alerting the administrator and traffic information about the session data provided from the specific security device (300a / 300b / 300c / 300d). At the same time, it is desirable to be able to immediately grasp the traffic information on the session data provided from the specific security device (300a / 300b / 300c / 300d) in which the incident occurred. At this time, any warning method is preferable as long as it can properly call the administrator's attention, such as E-mail, SMS, Sound, Image, or the like.

상기한 경고통지 및 인시던트가 발생한 특정 보안장비(300a/300b/300c/300d)로부터 제공되는 세션 데이터를 가공한 트래픽 정보를 비롯하여 상기 정보가공서버(400)에서 제공하는 트래픽 정보들로는, 서비스 Top 10, 특정 서비스에 대한 Source IP Top 10, 허용 트래픽 설정치를 초과하는 특정 서비스 또는 소스 IP 목록, 참조도 도5에 도시된 바와 같이 과다 트래픽을 유발시키는 특정서비스 추이, 참조도 도6에 도시된 바와 같이 인시던트가 발생한 특정 보안장비(300a/300b/300c/300d)에서 제공되는 세션 데이터 등이 있다.Traffic information provided by the information processing server 400, including traffic information processing the session data provided from the specific security device (300a / 300b / 300c / 300d) in which the warning notification and the incident occurred, the service Top 10, Source IP Top 10 for a specific service, list of specific services or source IPs that exceed the allowable traffic settings, trends in specific services causing excessive traffic as shown in FIG. 5, and incidents as shown in FIG. Session data provided by a specific security device (300a / 300b / 300c / 300d) has occurred.

또, 관리자는 상기 관리자단말기(600)를 통하여 상기와 같은 트래픽 정보를 비롯한 각종 통계 레포트(Reports)를 출력하여 확인 및 점검할 수 있다.In addition, the manager may check and check various statistical reports (Reports) including the traffic information through the manager terminal 600.

한편, 상기와 같이 인시던트가 발생하면, 인시던트가 발생한 특정 보안장비(300a/300b/300c/300d)를 제어하여 과다 트래픽을 발생시키는 소스 아이피를 차단시킨다<S306>.On the other hand, when the incident occurs as described above, by controlling the specific security equipment (300a / 300b / 300c / 300d) in which the incident is generated to block the source IP generating excessive traffic <S306>.

이러한 차단방법으로는 다음과 같이 두 가지 방법이 응용될 수 있다.As the blocking method, two methods can be applied as follows.

첫째, 인시던트의 발생을 유발한 소스 아이피에 대한 네트워크 트래픽 차단을 실행하기 위해 관리자가 상기 관리자단말기(600)를 통해 미리 입력 설정하여 놓은 제어방법에 의해 보안장비제어모듈이 가동되어 특정 보안장비를 제어함으로써 상기 인시던트의 발생을 유발한 소스 아이피의 트래픽을 차단하는 것이다.First, the security equipment control module is operated by a control method preset by the administrator through the administrator terminal 600 to execute the network traffic blocking for the source IP causing the occurrence of the incident to control a specific security equipment. By blocking the traffic of the source IP that caused the occurrence of the incident.

둘째, 관리자단말기(600)를 통하여 인시던트의 발생을 지각한 관리자가 상기 관리자단말기(600)를 통해 입력한 상기 인시던트의 발생을 유발한 소스 아이피의 네트워크 트래픽 차단에 대한 명령에 따라 보안장비제어모듈이 가동되어 특정 보안장비를 제어하는 것이다.Second, the security equipment control module according to the command for blocking the network traffic of the source IP that caused the occurrence of the incident input by the administrator, the administrator who perceived the occurrence of the incident through the manager terminal 600 is To control specific security equipment.

이 때, 인시던트의 발생을 유발한 소스 아이피의 트래픽을 차단하는 시간은 한정될 수 있다. 그러한 경우 한정된 시간 동안 관리자는 유해 트래픽 차단을 위한 근본적인 대응 조치를 취할 수 있을 것이다.At this time, the time for blocking the traffic of the source IP that caused the occurrence of the incident may be limited. In such cases, for a limited time, the administrator will be able to take fundamental countermeasures to block harmful traffic.

이상과 같이, 본 발명에 대한 구체적인 설명은 첨부된 도면 도1 내지 도6을 참조한 실시 예에 의해서 이루어졌지만, 상술한 실시 예는 본 발명의 바람직한 예를 들어 설명하였을 뿐이며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 사람은 본 발명의 실시 예에 대한 설명만으로도 쉽게 상기 실시 예와 동일 범주내의 다른 형태의 본 발명을 실시할 수 있거나, 본 발명과 균등한 영역의 발명을 실시 할 수 있을 것이다. 따라서 본 발명이 상기의 실시 예에만 국한되는 것으로 이해되어져서는 아니 되며, 본 발명의 권리범위는 본 발명의 기본적 기술 사상 내에서 응용 및 변형된 모든 범위까지 미치는 것으로 해석되어져야 한다.  As described above, although the detailed description of the present invention has been made with reference to the accompanying drawings, FIGS. 1 to 6, the above-described embodiments have only been described with reference to preferred examples of the present invention. Persons having ordinary skill in the art may easily implement the present invention in other forms within the same scope as the above embodiments, or may implement the invention in an equivalent area to the present invention only by the description of the embodiments of the present invention. . Therefore, the present invention should not be construed as being limited only to the above embodiments, and the scope of the present invention should be construed to extend to the full range of applications and modifications within the basic technical spirit of the present invention.

이상에서 살펴본 바와 같이 본 발명에 따른 유해 트래픽 분석 시스템 및 방법에 따르면, 다음과 같은 효과가 있다.As described above, according to the harmful traffic analysis system and method according to the present invention, the following effects are obtained.

첫째, 별도의 감지장비 없이 기존의 보안장비와 연동하는 유해 트래픽 분석 시스템 및 방법을 제공한다. First, it provides a harmful traffic analysis system and method that interoperates with existing security equipment without additional detection equipment.

둘째, 대규모/소규모 사업장에 맞게 적절한 구성이 가능한 유해 트래픽 분석 시스템 및 방법을 제공한다.Second, it provides harmful traffic analysis system and method that can be appropriately configured for large and small businesses.

셋째, 실시간으로 유해 트래픽을 감지하고 분석할 수 있기 때문에 유해 트래픽 발생 초기에 적절한 대응조치를 취할 수 있도록 지원하는 유해 트래픽 분석 시스템 및 방법을 제공한다. Thirdly, since harmful traffic can be detected and analyzed in real time, the present invention provides a harmful traffic analysis system and method for supporting appropriate countermeasures in the early stage of harmful traffic generation.

도1은 본 발명의 실시 예에 따른 유해 트래픽 분석 시스템에 대한 개략도이다.1 is a schematic diagram of a harmful traffic analysis system according to an exemplary embodiment of the present invention.

도2는 도1의 유해 트래픽 분석 시스템에 대한 블록도이다.2 is a block diagram of the harmful traffic analysis system of FIG.

도3은, 본 발명의 실시 예에 따른 유해 트래픽 분석 방법에 대한 흐름도이다.3 is a flowchart illustrating a harmful traffic analysis method according to an exemplary embodiment of the present invention.

도4는, 트래픽이 과다 발생하는 대표적인 예에 대한 시간에 따른 트래픽의 증가를 보여주는 그래프이다.4 is a graph showing the increase in traffic over time for a representative example of excessive traffic.

도5 및 도6은, 도1의 시스템에 적용된 관리자단말기에서 출력되는 트래픽 정보에 대한 예이다.5 and 6 are examples of traffic information output from an administrator terminal applied to the system of FIG.

*도면의 주요 부분에 대한 부호의 설명** Description of the symbols for the main parts of the drawings *

300a, 300b, 300c, 300d: 보안장비 400: 정보가공서버 300a, 300b, 300c, 300d: Security equipment 400: Information processing server

41: 데이터수집모듈 42: 통계데이터분석모듈41: data collection module 42: statistical data analysis module

43: 일일데이터통계모듈 44: 스토리지A43: daily data statistics module 44: storage A

500: 정보관리서버 51: 스토리지B500: information management server 51: storage B

52: 보안장비제어모듈 600: 관리자단말기52: security equipment control module 600: administrator terminal

Claims (14)

내부 네트워크와 외부 네트워크 사이에 구비되는 보안장비;Security equipment provided between the internal network and the external network; 상기 보안장비로부터 세션 데이터를 실시간 모니터링하여 분석한 후, 트래픽 통계를 산출하고, 산출된 트래픽 통계를 기 설정된 허용 트래픽 상한치와 비교하여, 산출된 트래픽 통계가 기 설정된 허용 트래픽 상한치를 초과하는 사건(이하, 인시던트라 한다)이 발생하면, 상기 인시던트 발생에 따른 정보를 관리자에게 제공하는 서비스서버; 및After monitoring and analyzing the session data from the security device in real time, the traffic statistics are calculated, and the calculated traffic statistics are compared with a preset allowable traffic upper limit, and the calculated traffic statistics exceed the preset allowable traffic upper limit (hereinafter, When an incident occurs, the service server for providing information to the administrator according to the occurrence of the incident; And 상기 서비스서버로부터 제공되는 상기 인시던트 발생에 따른 정보 및 관리자의 명령에 따른 트래픽 정보를 출력하며, 상기 관리자의 각종 명령을 입력시킬 수 있는 관리자단말기; 를 포함하는 것을 특징으로 하는 유해 트래픽 분석 시스템.An administrator terminal for outputting the information according to the occurrence of the incident provided from the service server and the traffic information according to the command of the manager, and inputting various commands of the manager; Harmful traffic analysis system comprising a. 제1항에 있어서,The method of claim 1, 상기 서비스서버는,The service server, 상기 보안장비로부터 세션 데이터를 실시간 모니터링하여 분석한 후, 트래픽 통계를 산출하고, 산출된 트래픽 통계를 기 설정된 허용 트래픽 상한치와 비교하여, 산출된 트래픽 통계가 기 설정된 허용 트래픽 상한치를 소정 시간동안 초과하는 사건(이하, 인시던트라 한다)이 발생하면, 상기 인시던트 발생에 따른 정보를 관리자에게 제공하는 정보가공서버; 및After real-time monitoring and analyzing session data from the security device, traffic statistics are calculated, and the calculated traffic statistics are compared with a preset allowable traffic upper limit, and the calculated traffic statistics exceed a preset allowable traffic upper limit for a predetermined time. An information processing server for providing an administrator with information according to the occurrence of an incident when an event (hereinafter referred to as an incident) occurs; And 상기 보안장비에 대한 정보, 상기 정보가공서버의 정보 및 상기 관리자의 정보를 관리하며, 상기 정보가공서버와 상기 관리자단말기 간의 통신을 관리하는 정보관리서버; 를 포함하는 것을 특징으로 하는 유해 트래픽 분석 시스템.An information management server managing information on the security equipment, information on the information processing server and information on the manager, and managing communication between the information processing server and the administrator terminal; Harmful traffic analysis system comprising a. 제1항에 있어서,The method of claim 1, 상기 서비스서버는,The service server, 상기 보안장비로부터 세션 데이터를 실시간 모니터링하여 수집하는 데이터수집모듈;A data collection module for monitoring and collecting session data from the security device in real time; 상기 데이터수집모듈에 의해 수집된 세션 데이터를 분석한 후, 실시간 트래픽 통계를 산출하는 통계데이터분석모듈; 을 포함하는 것을 특징으로 하는 유해 트래픽 분석시스템.A statistical data analysis module for analyzing real-time traffic statistics after analyzing the session data collected by the data collection module; Harmful traffic analysis system comprising a. 제1항에 있어서,The method of claim 1, 상기 서비스서버는,The service server, 상기 데이터수집모듈에 의해 수집된 세션 데이터에 대한 일일(一日) 트래픽 통계를 산출하는 일일데이터통계모듈; 및A daily data statistics module for calculating daily traffic statistics on session data collected by the data collection module; And 상기 일일데이터통계모듈에 의해 산출된 일일 트래픽 통계를 저장하는 스토리지; 를 포함하는 것을 특징으로 하는 유해 트래픽 분석시스템.Storage for storing daily traffic statistics calculated by the daily data statistics module; Harmful traffic analysis system comprising a. 제1항에 있어서,The method of claim 1, 상기 서비스서버는,The service server, 인시던트가 발생된 경우, 기 설정된 제어방법에 따라 상기 보안장비를 제어하는 보안장비제어모듈; 을 포함하는 것을 특징으로 하는 유해 트래픽 분석 시스템.A security device control module for controlling the security device according to a preset control method when an incident occurs; Harmful traffic analysis system comprising a. 제1항에 있어서,The method of claim 1, 상기 서비스서버는,The service server, 상기 관리자단말기를 통해 입력되는 상기 인시던트의 발생을 유발한 소스 아이피의 네트워크 트래픽 차단에 대한 관리자의 명령에 따라 상기 보안장비를 제어하는 보안장비제어모듈; 을 포함하는 것을 특징으로 하는 유해 트래픽 분석 시스템.A security device control module for controlling the security device according to a command of an administrator for blocking network traffic of a source IP which caused the occurrence of the incident input through the manager terminal; Harmful traffic analysis system comprising a. 제1항에 있어서,The method of claim 1, 상기 서비스서버는,The service server, 상기에서 산출된 트래픽 통계를 저장하는 스토리지; 를 포함하는 것을 특징으로 하는 유해 트래픽 분석 시스템.Storage for storing the traffic statistics calculated above; Harmful traffic analysis system comprising a. 내부 네트워크와 외부 네트워크 사이에 구비되는 보안장비로부터 상기 내부 네트워크와 외부 네트워크 사이의 통신에 따른 세션 데이터를 실시간 모니터링하는 단계;Real-time monitoring of session data according to communication between the internal network and an external network from a security device provided between an internal network and an external network; 상기에서 모니터링한 세션 데이터를 분석한 후, 실시간 트래픽 통계를 산출하는 단계;Calculating real-time traffic statistics after analyzing the monitored session data; 상기에서 산출된 실시간 트래픽 통계를 설정된 허용 트래픽 상한치와 비교하는 단계;Comparing the calculated real-time traffic statistics with a set allowable traffic upper limit; 상기에서 산출된 트래픽 통계가 설정된 허용 트래픽 상한치를 소정 시간동안 초과하는 사건(이하, 인시던트라 한다)이 발생하였는지 판단하는 단계;Determining whether an event (hereinafter referred to as an incident) in which the calculated traffic statistics exceed the set allowable upper limit traffic for a predetermined time has occurred; 상기의 판단에 따라 인시던트의 발생이라고 판단되면 인시던트에 대한 정보를 관리자단말기를 통해 출력시키는 단계; 를 포함하는 것을 특징으로 하는 유해 트래픽 분석 방법.If it is determined that an incident is generated according to the above determination, outputting information on the incident through an administrator terminal; Harmful traffic analysis method comprising a. 제8항에 있어서,The method of claim 8, 상기 인시던트의 발생을 유발한 소스 아이피에 대한 네트워크 트래픽 차단을 실행하기 위해 설정된 제어방법에 의해 상기 보안장비를 제어하는 단계; 를 더 포함하는 것을 특징으로 하는 유해 트래픽 분석 방법.Controlling the security device by a control method set to execute network traffic blocking for the source IP which caused the occurrence of the incident; The harmful traffic analysis method further comprising. 제8항에 있어서,The method of claim 8, 상기 관리자단말기를 통해 입력되는 상기 인시던트의 발생을 유발한 소스 아이피의 네트워크 트래픽 차단에 대한 관리자의 명령에 따라 상기 보안장비를 제어하는 단계; 를 더 포함하는 것을 특징으로 하는 유해 트래픽 분석 방법.Controlling the security device according to an administrator's command to block network traffic of a source IP which caused the occurrence of the incident input through the administrator terminal; The harmful traffic analysis method further comprising. 제8항에 있어서,The method of claim 8, 상기에서 산출된 트래픽 통계를 저장하는 단계; 를 더 포함하는 것을 특징으로 하는 유해 트래픽 분석 방법.Storing the traffic statistics calculated above; The harmful traffic analysis method further comprising. 제8항에 있어서,The method of claim 8, 상기 인시던트에 대한 정보를 관리자단말기를 통해 출력시키는 단계는,Outputting information on the incident through an administrator terminal, 상기 인시던트 발생에 따른 경고통지를 상기 관리자단말기를 통하여 출력시키는 단계; 를 더 포함하는 것을 특징으로 하는 유해 트래픽 분석 방법.Outputting a warning notification based on the occurrence of the incident through the manager terminal; The harmful traffic analysis method further comprising. 제8항에 있어서,The method of claim 8, 상기에서 모니터링한 세션 데이터에 대한 일일 트랙픽 통계를 산출하는 단계; 및Calculating daily traffic statistics on the monitored session data; And 상기에서 산출된 일일 트래픽 통계를 저장하는 단계; 를 더 포함하는 것을 특징으로 하는 유해 트래픽 분석 방법.Storing the daily traffic statistics calculated above; The harmful traffic analysis method further comprising. 제13항에 있어서,The method of claim 13, 상기에서 저장된 일일 트래픽 통계를 기준으로 상기 허용 트래픽 상한치를 결정하는 단계; 를 더 포함하는 것을 특징으로 하는 유해 트래픽 분석 시스템.Determining the allowable traffic upper limit based on the stored daily traffic statistics; Harmful traffic analysis system further comprising.
KR1020040015813A 2004-03-09 2004-03-09 A system and method for analyzing harmful traffic KR20050090640A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040015813A KR20050090640A (en) 2004-03-09 2004-03-09 A system and method for analyzing harmful traffic

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040015813A KR20050090640A (en) 2004-03-09 2004-03-09 A system and method for analyzing harmful traffic

Publications (1)

Publication Number Publication Date
KR20050090640A true KR20050090640A (en) 2005-09-14

Family

ID=37272571

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040015813A KR20050090640A (en) 2004-03-09 2004-03-09 A system and method for analyzing harmful traffic

Country Status (1)

Country Link
KR (1) KR20050090640A (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100656340B1 (en) * 2004-11-20 2006-12-11 한국전자통신연구원 Apparatus for analyzing the information of abnormal traffic and Method thereof
KR100803029B1 (en) * 2006-12-01 2008-02-18 경희대학교 산학협력단 Method for cooperatively defending of ddos attack using statistical detection
KR100870871B1 (en) * 2008-05-29 2008-11-27 (주)한드림넷 Access level network securing device and securing system thereof
WO2010011897A2 (en) * 2008-07-24 2010-01-28 Zscaler, Inc. Global network monitoring
KR101295422B1 (en) * 2007-09-03 2013-08-09 주식회사 엘지씨엔에스 Apparatus and method for detecting more traffic using traffic function
KR101310252B1 (en) * 2006-03-08 2013-09-24 주식회사 엘지씨엔에스 Apparatus and method of forming statistics data in relation to network security
KR20130126828A (en) * 2012-04-30 2013-11-21 주식회사 엔씨소프트 Method for enhancing internal network security and system therefor
KR101357522B1 (en) * 2013-01-08 2014-02-04 주식회사 엘지유플러스 Apparatus and method for controlling packet traffic
KR101464367B1 (en) * 2013-04-23 2014-11-25 (주)나루씨큐리티 Apparatus and method for detecting local network attacks
KR20150100383A (en) * 2014-02-25 2015-09-02 (주)나루씨큐리티 Apparatus and method for detecting command and control channels

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100656340B1 (en) * 2004-11-20 2006-12-11 한국전자통신연구원 Apparatus for analyzing the information of abnormal traffic and Method thereof
KR101310252B1 (en) * 2006-03-08 2013-09-24 주식회사 엘지씨엔에스 Apparatus and method of forming statistics data in relation to network security
KR100803029B1 (en) * 2006-12-01 2008-02-18 경희대학교 산학협력단 Method for cooperatively defending of ddos attack using statistical detection
KR101295422B1 (en) * 2007-09-03 2013-08-09 주식회사 엘지씨엔에스 Apparatus and method for detecting more traffic using traffic function
KR100870871B1 (en) * 2008-05-29 2008-11-27 (주)한드림넷 Access level network securing device and securing system thereof
WO2009145379A1 (en) * 2008-05-29 2009-12-03 Handreamnet Co., Ltd Access level network securing device and securing system thereof
US7894350B2 (en) 2008-07-24 2011-02-22 Zscaler, Inc. Global network monitoring
WO2010011897A3 (en) * 2008-07-24 2010-04-08 Zscaler, Inc. Global network monitoring
WO2010011897A2 (en) * 2008-07-24 2010-01-28 Zscaler, Inc. Global network monitoring
KR20130126828A (en) * 2012-04-30 2013-11-21 주식회사 엔씨소프트 Method for enhancing internal network security and system therefor
KR101357522B1 (en) * 2013-01-08 2014-02-04 주식회사 엘지유플러스 Apparatus and method for controlling packet traffic
KR101464367B1 (en) * 2013-04-23 2014-11-25 (주)나루씨큐리티 Apparatus and method for detecting local network attacks
KR20150100383A (en) * 2014-02-25 2015-09-02 (주)나루씨큐리티 Apparatus and method for detecting command and control channels
WO2015129934A1 (en) * 2014-02-25 2015-09-03 (주)나루씨큐리티 Command control channel detection device and method
US10218725B2 (en) 2014-02-25 2019-02-26 Naru Security, Inc. Device and method for detecting command and control channel

Similar Documents

Publication Publication Date Title
US10432650B2 (en) System and method to protect a webserver against application exploits and attacks
KR100942456B1 (en) Method for detecting and protecting ddos attack by using cloud computing and server thereof
CN106713216B (en) Flow processing method, device and system
US7607170B2 (en) Stateful attack protection
US7596807B2 (en) Method and system for reducing scope of self-propagating attack code in network
US7308714B2 (en) Limiting the output of alerts generated by an intrusion detection sensor during a denial of service attack
US20050216956A1 (en) Method and system for authentication event security policy generation
US20070180107A1 (en) Security incident manager
US20080178294A1 (en) Wireless intrusion prevention system and method
US7610624B1 (en) System and method for detecting and preventing attacks to a target computer system
US9253153B2 (en) Anti-cyber hacking defense system
KR100466214B1 (en) method and recorded media for security grade to measure the network security condition
CN114553537A (en) Abnormal flow monitoring method and system for industrial Internet
KR20050090640A (en) A system and method for analyzing harmful traffic
KR100607110B1 (en) Security information management and vulnerability analysis system
KR100671044B1 (en) A system and method for analyzing malicious traffic in internal network
KR20130033161A (en) Intrusion detection system for cloud computing service
CN115766235A (en) Network security early warning system and early warning method
CN1794718A (en) Linkage protocol of network safety equipment
TWM652740U (en) computer protection device
Anand et al. Network intrusion detection and prevention
Fu et al. An autoblocking mechanism for firewall service
KR20070083089A (en) Method for analysis of malicious traffic
Karthikeyan et al. Network Intrusion Detection System Based on Packet Filters
Liu et al. A dynamic countermeasure method for large-scale network attacks

Legal Events

Date Code Title Description
A201 Request for examination
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
B601 Maintenance of original decision after re-examination before a trial
E801 Decision on dismissal of amendment
J301 Trial decision

Free format text: TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20070530

Effective date: 20080321