KR20050095147A - 침해유형별 시나리오를 고려한 침입방어장치 및 그 방법 - Google Patents

침해유형별 시나리오를 고려한 침입방어장치 및 그 방법 Download PDF

Info

Publication number
KR20050095147A
KR20050095147A KR1020040020346A KR20040020346A KR20050095147A KR 20050095147 A KR20050095147 A KR 20050095147A KR 1020040020346 A KR1020040020346 A KR 1020040020346A KR 20040020346 A KR20040020346 A KR 20040020346A KR 20050095147 A KR20050095147 A KR 20050095147A
Authority
KR
South Korea
Prior art keywords
intrusion
event
type
intruder
blocking
Prior art date
Application number
KR1020040020346A
Other languages
English (en)
Inventor
조현혁
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020040020346A priority Critical patent/KR20050095147A/ko
Publication of KR20050095147A publication Critical patent/KR20050095147A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 침입자 유인시스템에서 수집된 침입기록을 분석하여 침입자를 선별하고 침입차단시스템과 연동하여 효율적으로 침입자의 공격을 차단하기 위한 기술에 관한 것이다.
이를 위해 본 발명은, 침입자를 유인하여 각종 침입정보의 생성을 유도하는 침입유도수단; 침입자의 시스템 접속을 차단하는 침입차단수단; 및 해킹 시나리오가 구비되어 침입유도수단으로부터 추출된 이벤트에 대한 침입여부를 재판단하는 침입자선별수단을 구비하고, 상기 침입선별수단은 상기 이벤트의 심각도 레벨과 침해 유형을 분석한 후, 상기 이벤트가 침입차단대상인가를 확인하고, 만약 침입차단대상이 아니면 상기 소통기록 데이터베이스에서 상기 이벤트의 소통기록을 확인하여 불법이력이 존재하면 상기 이벤트를 침입차단대상으로 지정함으로써, 침입유도수단의 결과를 모두 차단하지 않고, 선별적으로 차단하여 오탐확률을 감소시킨다.

Description

침해유형별 시나리오를 고려한 침입방어장치 및 그 방법{Hacking defense apparatus and method with hacking type scenario}
본 발명은 침해유형별 시나리오를 고려한 침입방어장치 및 그 방법에 관한 것으로, 보다 상세하게는 침입 탐지시스템과 침입자 유인시스템의 연동을 통해 효율적으로 해커(Hacker)의 침입을 방지할 수 있도록 하는 기술에 관한 것이다.
종래 침입감지기술은 주로 침입탐지시스템을 이용한 것이었으며, 대응기술은 침입탐지시스템에서 침입으로 의심되는 연결내역(이하, 세션)의 출발지 IP(Internet Protocol) 주소와 도착지 IP 주소에 리셋(reset) 패킷을 발송하여 강제적으로 세션을 종료시키는 방식이었다. 하지만 상기와 같은 방식은, 세션정보가 없는 UDP(User Datagram Protocol)를 이용한 공격에 대해서는 적용이 불가능하므로, 이와 같은 경우를 대비하기 위해 방화벽에 차단정보를 전달하여 방화벽에서 해당 IP 주소를 차단하는 방식을 취하고 있다.
하지만, 네트워크 기반의 침입탐지시스템에서 해킹(Hacking)으로 감지되는 정보는 네트워크상에 흐르는 패킷을 단순히 수집한 것이기 때문에 해당 시스템과 관련이 없는 패킷(Garbage packet)이 상당 수 존재하며 공격으로 의심되는 정보(signature)가 포착되었다 하더라도 실제 해킹이 일어나지 않는 경우가 대부분이므로 이 정보를 이용하여 트래픽을 차단하면 정상적인 서비스 수행이 되지 않는 경우가 자주 일어난다.
또한, 침입탐지시스템은 침입 당시의 이벤트를 기록하는데 치중하므로 시차를 두고 발생하는 해킹의 연속성을 추적하지 못하는 결정적인 단점을 가지고 있다. 즉, 해커에 의해 이루어지는 대부분의 해킹이 여러 회에 걸친 해킹 시도와 연결, 그리고 그때마다 사용하는 커맨드(command)의 조합을 이용하여 수행되는데 단지 한번 지나간 signature 만을 보고서 실체 해킹이 일어났다고 판단하게 되므로 해커의 행동을 면밀히 관찰하고 해커의 행동단계별로 적절히 대응하는데 있어 한계점이 있다.
따라서, 본 발명은 상술한 종래의 문제점을 해결하기 위해 이루어진 것으로, 본 발명의 목적은 침입자 유인시스템에서 수집된 침입기록을 분석하여 침입자를 선별하고 침입차단시스템과 연동하여 효율적으로 침입자의 공격을 차단하는 것이다.
본 발명에 따른 침해유형별 시나리오를 고려한 침입방어장치는, 침입자를 유인하여 각종 침입정보의 생성을 유도하는 침입유도수단; 침입자의 시스템 접속을 차단하는 침입차단수단; 및 해킹 시나리오가 구비되어 침입유도수단으로부터 추출된 이벤트에 대한 침입여부를 재판단하는 침입자선별수단을 구비하는 것을 특징으로 한다.
본 발명에 따른 침해유형별 시나리오를 고려한 침입방어방법은, 침입자 유인시스템에 접근한 사용자로부터 전송되는 트래픽(신규 이벤트)으로부터 기록 정보를 추출하여 침입기록 데이터베이스에 저장하는 제 1 과정; 상기 신규 이벤트의 심각도 레벨과 해킹 유형을 분석하는 제 2 과정; 및 상기 해킹 유형에 속하는 이벤트들의 차단여부를 결정하는 제 3과정을 구비하는 것을 특징으로 한다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예를 보다 상세히 설명한다.
도 1은 본 발명의 실시예에 따른 침해유형별 시나리오를 고려한 침입방어장치의 블럭구성도이다.
도 1에 도시된 바와 같이, 본 발명의 실시예에 따른 침해유형별 시나리오를 고려한 침입방어장치는, 침입자를 유인하여 각종 침입정보의 생성을 유도하는 침입유도부(10), 필요에 따라 침입자를 차단하는 침입차단부(20), 침입유도부(10)의 생성기록을 분석하여 침입자 리스트를 생성하는 침입자선별부(30), 각종 통계정보를 가공하여 제공하는 통계엔진(40), 침입사실과 차단사실에 대한 경보를 보안관리자에게 전달하는 알람엔진(50), 및 통계엔진(40)의 결과와 알람엔진(50)의 결과를 보안관리자에게 전달시키는 전달계층(60)을 구비하여 구성된다.
침입유도부(10)는 침입자를 유인하여 각종 침입정보의 생성을 유도하는 침입자 유인시스템(2)과, 침입자 유인시스템(2)에 의해 생성된 침입정보를 저장하는 침입기록DB(4)를 구비한다. 침입기록 DB(4)에는 침입기록 대표 ID(침입의 시작과 끝을 관리하기 위한 ID, 시각, 출발지 IP/ 목적지 IP, 출발지 포트 번호/ 목적지 포트 번호 및 signature ID 등이 저장된다.
침입차단부(20)는 침입자DB(36)에 저장되는 침입자정보와 ACL DB(24)에 저장된 액세스 제어 리스트(Access Control List)의 허용대상정보를 이용하여 특정 침입자를 차단하는 침입차단시스템(22)와 침입차단 시스템(22)의 방문자에 대한 정보가 저장되는 소통기록 DB(26)를 구비한다. 소통기록 DB(26)에는 방문자에 대해 방문회수, 불법성 정보(불법 이력), 출발지 IP/ 목적지 IP, 출발지 포트 번호/도착지 포트 번호, 액션(통과, 거부 등 침입차단시스템의 기종에 따라 상이함) 등의 정보가 저장된다.
또, 침입자선별부(30)는 도 2에 도시된 바와 같이, 시퀀스추론엔진(31), Signature DB(32), 차단기준DB(34), 차단결정엔진(35), 침입자DB(36), 및 각종 인터페이스(38)를 구비한다.
침입자선별부(30)의 시퀀스추론엔진(31)은 침입기록DB(4), ACL DB(24), 및 Signature DB(32)와 연동하여 수신되는 각종 해킹정보의 시퀀스와 관계를 확립해주는 기능을 수행한다.
차단결정엔진(35)은 시퀀스추론엔진(31)에서 해킹이라 추정되어 통보된 시도들을 침입차단부(20)에 구축되는 ACL DB(24)와 소통 DB(26)를 이용하여 한번 더 필터링하여 차단리스트를 생성하여 침입자DB(36)에 저장하는 기능을 수행한다.
각종 인터페이스(38)는 OPSEC(Open Platform for Security), IAP(Intrusion Alert Protocol), IDEF(Intrusion Detection Exchange Format), ASEN(Adaptive Security for Enterprise Network), 소켓 등 각종 보안표준과 산업표준을 기반으로 하여 시스템간 정보의 연동을 지원하는 기능을 수행한다.
도 2에 도시된 Signature DB(32)에는 공격으로 의심되는 정보에 해당하는 정보에 대한 signature ID, signature 명, 심각도 레벨, signature 콘텐츠 등이 저장되고, 차단기준 DB(34)에는 이벤트 타입, 이벤트 단계, 침입차단시스템 ACL 허용여부, ACL 허용범위, 과거 방문여부 및 불법성 정보 등에 대한 정보들이 저장되고, 침입자 DB(36)에는 차단리스트에 해당하는 대상에 대한 출발지 IP/도착지 IP, 출발지 포트 번호/출발지 포트번호, 해킹 유형 등이 저장된다.
본 발명에서 시퀀스 추론엔진(31)은, 해킹유형을 분류하여 침입자를 추출하는데, 해킹유형의 분류기준이 되는 해킹단계는 도 3에 제시된 바와 같이, 광범위한 정보수집단계, 호스트정보수집단계, 시스템침투단계, 해킹준비단계, Exploit 단계, 및 피해 또는 차후준비단계로 구분할 수 있다.
심각도 1레벨에 해당하는 광범위한 정보수집단계는, 일반적으로 핑 스캔(Ping scan), 포트 스캔(Port scan) 등의 자동화 툴을 동원하여 이루어진다. 이 활동에서 수집된 정보는 향후 서버정보 수집의 기본자료로 활용되거나 remote command 실행을 통한 exploit 로 이어진다. 이 단계의 활동은 해킹의 전조징후라 볼 수 있으나 네트워크 상에서 호스트 확인을 위해 Ping등 ICMP(Internet Control Message Protocol)을 사용하는 정당한 경우가 많이 있으며 단순한 rate limit 기법을 사용하거나 1회의 기록으로 판정하려 하면 해커의 재방문 가능성과 전후 연계가능성에 대해서 보장하지 못하므로 false-Positive 를 일으킬 확률이 높다.
심각도 2레벨에 해당하는 호스트 정보수집단계는, 사용자 정보의 획득, 가동데몬의 제작사 및 버전 획득 등 보다 자세한 정보에 대한 조사를 finger, expn, rpcinfo, telnet을 이용하여 실행함으로서, 배너정보를 획득한다.
심각도 3레벨에 해당하는 시스템 침투단계는, 해킹하려 하는 대상시스템에 침투하는 과정을 말한다. 패스워드 guessing, Null 패스워드, 인증데몬 취약점에 대한 Buffer overflow 등 시스템에 기 설정되어 있는 인증메커니즘을 불법적으로 통과하는 과정이다. 심각도 3레벨에는 Remote Explote인 Exploit-2와 Exploit-3가 포함된다.
심각도 4레벨에 해당하는 해킹준비단계는 시스템에 침투 후 미진한 권한을 확장하기 위한 행위를 하는 단계로 chmod, 추가적인 해킹툴 확보를 위해 외부와 접속하는 행위, remote command를 이용한 준비과정도 해당된다.
심각도 5레벨에 해당하는 Exploit단계는, 시스템에 침투한 상태에서 권한상승을 위해 시도하는 buffer overflow나 race condition이 해당되며 remote command에 대한 buffer overflow 역시 이 경우에 해당된다. 일반적으로 특별히 긴 문자열이나 특정 문자열을 주기적으로 반복하는 형태를 취한다.
심각도 6레벨에 해당하는 피해 or 차후준비단계는, 파일삭제, 변조 등의 행위를 하며 이후의 행동을 위해 로그파일을 삭제하는 등의 행위·백도어를 설치하는 행위 등이 해당된다.
본 발명은 상기 각 해킹단계의 조합상태를 근거로, 해킹유형을 분류한다.
즉, 심각도 1레벨 내지 심각도 6레벨로 이루어진 해킹유형은 Type1이고, 심각도 1, 2, 3, 6레벨로 이루어진 해킹유형은 Type2이고, 심각도 1, 2레벨로 이루어진 해킹유형은 Type3이고, 심각도 1, 3, 4, 6 레벨로 이루어진 해킹유형은 Type4이고, 심각도 3, 6 레벨로 이루어진 해킹유형은 Type 5이고, 심각도 6레벨로만 이루어진 해킹유형은 Type6으로 구분한다.
이하, 본 발명의 실시예에 따른 침해유형별 시나리오를 고려한 침입방어방법을 구체적으로 설명한다.
본 발명에서, 운용자는 Signature DB(31)에 공격으로 의심되는 정보인 Signature를 등록한다. <표 1>과 같이 구성되는 테이블에서 Signature Contents 필드에 Overflow 코드, 해커가 직접 입력하는 OS 명령(command), 외부로 접속을 시도하는 어플리케이션 명령 등을 저장한다. 이외에도, Signature Contents 필드에 해킹의 구체적 Signature에서부터 Is, del 등의 자료수집 및 변조에 관련된 명령어, symbolic Link 등 일반적 Signature를 미리 저장하여, 시퀀스 추론엔진(31)이 이를 참조할 수 있게 한다.
<표 1>
필드명 설명
Signature ID Signature의 고유번호
Signature name Signature의 이름
Severity Level 1∼6
Signature Contents Signature의 판정근거내역
<표 1>에서 Severity Level은 침해유형을 정의하는 필드로 단순한 정보수집에서부터 자료삭제 등 구체적 해킹행위까지 단계를 나누어 정의하며, 이는 도 3의 심각도 레벨과 일치한다.
이하, 도 4에 도시된 플로우차트를 참조하여 본 발명의 실시예에 따른 침해유형별 시나리오를 고려한 침입방어방법을 구체적으로 설명한다.
선의 또는 악의의 사용자가 침입자 유인시스템(2)에 접속하거나, 침입자 유인시스템(2)에 접근하여 소정 작업을 수행하면(S2), 침입자 유인시스템(2)은 상기 사용자로부터 전송되는 트래픽(이하, 신규 이벤트)으로부터 시각, 출발지 IP/도착지 IP, 출발지 포트 번호/도착지 포트 번호, Signature ID 등에 대한 정보를 추출하여 침입기록 DB(4)에 저장한다(S4).
시퀀스 추론엔진(31)은 침입기록 DB(4)에 저장된 상기 신규 이벤트의 Signature ID에 해당하는 심각도 레벨을 Signature DB(32)에서 검색하여 상기 신규 이벤트의 심각도 레벨을 추출한다(S6).
이어, 시퀀스 추론엔진(31)은 침입기록 DB(4)에서 상기 신규 이벤트의 출발지 IP주소와 동일한 출발지 IP주소를 갖는 이벤트들을 검색하여, 상기 이벤트들을 시퀀스 정렬한 후(S8), 해킹 시나리오 DB(33)에서 상기 이벤트들의 심각도 레벨의 조합에 해당하는 침해유형을 분석한다(S10). 여기서, 시퀀스 추론엔진(31)은 침입기록 DB(4)에서 상기 신규 이벤트와 동일한 출발지 IP주소를 갖는 이벤트들이 검색되면, 상기 이벤트들을 특정 ID로 검색할 수 있도록 하기 위하여 상기 이벤트들에 대해 동일한 침입기록 대표 ID를 부여한다. 이를 위해, 동일한 출발지 IP 주소를 갖는 신규 이벤트에 대해서는 새로운 침입기록 대표 ID가 부여되고, 동일한 출발지 IP 주소를 갖는 신규 이벤트에 대해서는 검색된 동일한 출발지의 IP 주소를 갖는 이벤트들에 대해 기부여된 침입기록 대표 ID가 상기 신규 이벤트의 침입기록 대표 ID로 부여된다.
시퀀스 추론엔진(31)은 상기 신규 이벤트에 대한 심각도 레벨, 침해유형, 및 침입기록 대표 ID 등을 침입기록 DB(4)에 저장하고, 상기 침입기록 대표 ID를 차단결정엔진(35)으로 전달한다.
차단결정엔진(35)은 상기 침입기록 대표 ID를 이용하여 상기 침입기록 DB(4)에서 출발지 IP주소를 추출한 후, ACL DB(24)에서 상기 발신자 IP 주소를 검색하여 상기 출발지 IP 주소가 ACL 허용대상인가를 판단한다(S12).
상기 판단결과, 상기 출발지 IP 주소가 ACL 허용대상이 아니면(S12에서 No) 상기 출발지 IP 주소가 방화벽에 기등록된 상태이므로 이후 절차를 수행하지 않고 종료한다.
그러나, 상기 출발지 IP주소가 ACL 허용대상이면, 상기 출발지 IP 주소가 ACL 허용범위(예컨대, 호스트레벨 또는 네트워크레벨 또는 모든 레벨)에 속하는가를 판단하여, 상기 출발지 IP주소가 ACL 허용범위에 속하는 것으로 판단되면(S12에서 Yes) 소통기록 DB(26)에서 상기 출발지 IP주소를 검색하여 상기 출발지 IP 주소의 과거 방문여부와 불법성 정도를 추출한다. 상기 불법성 정도는 관리자에 의해 결정되며, 예를 들어 관리자가 지정한 목적지 포트 이외의 방문시도를 불법성이 있는 것으로 판단한다. 이는 프로토콜별로 다르게 정의될 수 있다.
상기 추출결과, 상기 출발지 IP주소에 대한 불법이력이 확인되면(S14에서 Yes) 상기 출발지 IP주소를 침입자 DB(36)에 저장하여 상기 신규 이벤트에 대한 출발지 IP주소를 침입자로 등록한다(S16).
또한, 차단결정엔진(35)은 상기 신규 이벤트가 침입으로 판단되면, 알람엔진(140)은 상기 신규 이벤트에 대한 정보와 상기 신규 이벤트의 심각도 레벨과 침해 유형 등을 알람엔진(50)으로 전송하여, 전달계층(60)을 통해 보안관리자에게 침입사실이 통보되도록 한다.
그리고, 통계엔진(40)은 침입자 DB(36)에 저장된 침입자 정보를 이용하여 보안관리자 또는 운용자가 원하는 통계자료를 산출하여 이를 보안관리자 또는 운용자에게 제공한다.
이상 설명한 바와 같은 본 발명에 의하면, 침입 시나리오를 이용하여 침입자유인시스템에 의해 감지된 침해유형을 분석하고, 침해유형을 근거로 시급성을 갖는 해킹을 선별하여, 선별된 해킹에 대해서만 침입을 차단하여 오탐 정보를 감소시킬 수 있다는 효과가 있다.
이로서, 본 발명은 악의적으로 시스템에 접근하는 해킹에 대해 효율적으로 대처할 수 있다는 효과도 있다.
한편, 본 발명은 상술한 실시예로만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위내에서 수정 및 변형하여 실시할 수 있고, 이러한 수정 및 변경 등은 이하의 특허 청구의 범위에 속하는 것으로 보아야 할 것이다.
도 1은 본 발명의 실시예에 따른 침해유형별 시나리오를 고려한 침입방어장치의 블럭구성도.
도 2는 도 1에 도시된 침입자선별부(30)의 세부구성도.
도 3은 본 발명에 적용되는 심각도 레벨과 침해유형의 관계도.
도 4는 본 발명의 실시예에 따른 침해유형별 시나리오를 고려한 침입방어방법을 설명하기 위한 플로우차트.

Claims (13)

  1. 침입자를 유인하여 각종 침입정보의 생성을 유도하는 침입유도수단;
    침입자의 시스템 접속을 차단하는 침입차단수단; 및
    해킹 시나리오가 구비되어 침입유도수단으로부터 추출된 이벤트에 대한 침입여부를 재판단하는 침입자선별수단을 구비하는 것을 특징으로 하는 침해유형별 시나리오를 고려한 침입방어장치.
  2. 제 1 항에 있어서, 상기 침입유도수단은
    사용자로부터 전송되는 트래픽으로부터 추출되는 이벤트 정보를 저장하는 침입기록 데이터베이스를 구비하는 것을 특징으로 하는 침해유형별 시나리오를 고려한 침입방어장치.
  3. 제 1 항에 있어서, 상기 침입차단수단은
    침입차단대상에 대한 정보가 저장되는 액세스 제어 리스트 데이터베이스;
    상기 침입차단수단에 접근했던 대상에 대한 방문이력이 저장되는 소통기록 데이터베이스를 구비하는 것을 특징으로 하는 침해유형별 시나리오를 고려한 침입방어장치.
  4. 제 3 항에 있어서, 상기 침입자선별수단은
    상기 침입기록 데이터베이스에 저장된 이벤트의 심각도 레벨과 침해 유형을 분석하여 상기 침입기록 데이터베이스에 저장하는 시퀀스 추론엔진부;
    상기 액세스 제어 리스트 데이터베이스에서 상기 이벤트를 조회하여 상기 이벤트가 침입차단대상인가를 확인하고, 만약 침입차단대상이 아니면 상기 소통기록 데이터베이스에서 상기 이벤트의 소통기록을 확인하여 불법이력이 존재하면 상기 이벤트를 침입차단대상으로 지정하는 차단결정수단을 구비하는 것을 특징으로 하는 침해유형별 시나리오를 고려한 침입방어장치.
  5. 제 2 항 또는 4 항에 있어서, 상기 시퀀스 추론엔진부는
    상기 이벤트의 Signature ID를 이용하여 상기 이벤트의 심각도 레벨을 분석하고, 상기 침입기록 데이터베이스에 상기 이벤트의 출발지 IP 주소와 동일한 발신자 IP 주소를 갖는 이벤트들을 조회하여 상기 이벤트들의 심각도 레벨의 조합상태를 근거로 이벤트의 침해유형을 분석하는 것을 특징으로 하는 침해유형별 시나리오를 고려한 침입방어장치.
  6. 제 5 항에 있어서, 상기 시퀀스 추론엔진부는
    동일한 출발지 IP 주소를 갖는 이벤트들에 대해서 동일하게 침입기록 대표 ID를 부여하여, 상기 차단결정수단이 상기 침입기록 데이터베이스에서 상기 침입기록 대표 ID를 검색하여 상기 이벤트에 대한 정보를 획득하도록 하는 것을 특징으로 하는 침해유형별 시나리오를 고려한 침입방어장치.
  7. 제 6 항에 있어서, 상기 시퀀스 추론엔진부에는
    공격으로 의심되는 정보인 Signature에 대한 세부 정보가 저장된 Signature 데이터베이스가 구비됨을 특징으로 하는 침해유형별 시나리오를 고려한 침입방어장치.
  8. 제 4 항 또는 제 6 항에 있어서, 상기 차단결정수단은
    상기 액세스 제어 리스트 데이터베이스를 통해 상기 이벤트가 방화벽인 액세스 제어 리스트(ACL: Access Control List)에 허용대상으로 등록되었는가를 확인하고, 확인결과 상기 이벤트의 출발지 IP 주소가 상기 액세스 제어 리스트의 허용대상이면 상기 소통 데이터베이스에서 상기 이벤트의 과거방문이력을 조회하여 불법이력이 검색되면 상기 이벤트를 침입대상으로 등록하는 것을 특징으로 하는 침해유형별 시나리오를 고려한 침입방어장치.
  9. 제 1 항에 있어서,
    상기 침입자 데이터베이스에 저장된 침입자 정보를 이용하여 소정 통계자료를 산출하는 통계엔진을 더 구비한 것을 특징으로 하는 침해유형별 시나리오를 고려한 침입방어장치.
  10. 제 1 항에 있어서,
    상기 차단결정엔진에 의해 차단대상으로 등록된 이벤트에 대한 해킹 상태를 보안관리자에게 통지하는 알람엔진을 더 구비한 것을 특징으로 하는 침해유형별 시나리오를 고려한 침입방어장치.
  11. 침입자 유인시스템에 접근한 사용자로부터 전송되는 트래픽(신규 이벤트)으로부터 기록 정보를 추출하여 침입기록 데이터베이스에 저장하는 제 1 과정;
    상기 신규 이벤트의 심각도 레벨과 해킹 유형을 분석하는 제 2 과정; 및
    상기 해킹 유형에 속하는 이벤트들의 차단여부를 결정하는 제 3과정을 구비하는 것을 특징으로 하는 침해유형별 시나리오를 고려한 침입방어방법.
  12. 제 11 항에 있어서, 상기 제 2 과정은
    상기 신규 이벤트의 Signature ID를 이용하여 심각도 레벨을 분석하고, 상기 신규 이벤트의 출발지 IP 주소와 동일한 출발지 IP 주소를 갖는 이벤트들을 침입기록 데이터베이스에서 조회하여, 조회된 이벤트들의 심각도 레벨의 조합상태를 근거로 침해유형을 분석하는 것을 특징으로 하는 침해유형별 시나리오를 고려한 침입방어방법.
  13. 제 12 항에 있어서, 상기 제 3 과정에서
    상기 이벤트들의 출발지 IP 주소의 액세스 제어 리스트 허용여부를 판단하는 제 1 단계;
    만약 출발지 IP 주소가 액세스 제어 리스트에 허용된 상태이면, 상기 출발지 IP 주소의 과거방문이력을 조회하는 제 2 단계;
    상기 조회결과 불법이력이 존재하면 상기 출발지 IP 주소를 침입자로 등록하는 제 3 단계를 구비하는 것을 특징으로 하는 침해유형별 시나리오를 고려한 침입방어방법.
KR1020040020346A 2004-03-25 2004-03-25 침해유형별 시나리오를 고려한 침입방어장치 및 그 방법 KR20050095147A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040020346A KR20050095147A (ko) 2004-03-25 2004-03-25 침해유형별 시나리오를 고려한 침입방어장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040020346A KR20050095147A (ko) 2004-03-25 2004-03-25 침해유형별 시나리오를 고려한 침입방어장치 및 그 방법

Publications (1)

Publication Number Publication Date
KR20050095147A true KR20050095147A (ko) 2005-09-29

Family

ID=37275701

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040020346A KR20050095147A (ko) 2004-03-25 2004-03-25 침해유형별 시나리오를 고려한 침입방어장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR20050095147A (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100706338B1 (ko) * 2006-02-27 2007-04-13 전남대학교산학협력단 전자상거래에 있어서 가상접근통제 보안시스템
KR100707940B1 (ko) * 2006-02-27 2007-04-13 전남대학교산학협력단 전자상거래에 있어서 가상접근통제 보안방법
KR101041997B1 (ko) * 2009-09-11 2011-06-16 주식회사 엘림넷 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법
WO2011105659A1 (ko) * 2010-02-23 2011-09-01 주식회사 이세정보 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체
KR20200063957A (ko) * 2018-11-28 2020-06-05 고려대학교 산학협력단 블록제출보류공격 탐지장치 및 그 동작 방법
KR20230051951A (ko) * 2021-10-12 2023-04-19 한전케이디엔주식회사 사내용 모바일 보안 에이전트 사이버공격 대응 방법 및 장치

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100706338B1 (ko) * 2006-02-27 2007-04-13 전남대학교산학협력단 전자상거래에 있어서 가상접근통제 보안시스템
KR100707940B1 (ko) * 2006-02-27 2007-04-13 전남대학교산학협력단 전자상거래에 있어서 가상접근통제 보안방법
KR101041997B1 (ko) * 2009-09-11 2011-06-16 주식회사 엘림넷 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법
WO2011105659A1 (ko) * 2010-02-23 2011-09-01 주식회사 이세정보 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체
KR20200063957A (ko) * 2018-11-28 2020-06-05 고려대학교 산학협력단 블록제출보류공격 탐지장치 및 그 동작 방법
KR20230051951A (ko) * 2021-10-12 2023-04-19 한전케이디엔주식회사 사내용 모바일 보안 에이전트 사이버공격 대응 방법 및 장치

Similar Documents

Publication Publication Date Title
US10505900B2 (en) Data leak protection in upper layer protocols
JP6894003B2 (ja) Apt攻撃に対する防御
US10587636B1 (en) System and method for bot detection
KR101689296B1 (ko) 보안이벤트 자동 검증 방법 및 장치
US8631496B2 (en) Computer network intrusion detection
US8561177B1 (en) Systems and methods for detecting communication channels of bots
US7464407B2 (en) Attack defending system and attack defending method
US6405318B1 (en) Intrusion detection system
US8127356B2 (en) System, method and program product for detecting unknown computer attacks
Gula Correlating ids alerts with vulnerability information
KR20000054538A (ko) 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체
US20100235917A1 (en) System and method for detecting server vulnerability
KR102222377B1 (ko) 위협 대응 자동화 방법
US11916945B2 (en) Method and apparatus for combining a firewall and a forensics agent to detect and prevent malicious software activity
CN113364799A (zh) 一种网络威胁行为的处理方法和系统
KR101768079B1 (ko) 침입탐지 오탐 개선을 위한 시스템 및 방법
KR102414334B1 (ko) 자율협력주행 도로인프라 위협탐지 방법 및 장치
KR20050095147A (ko) 침해유형별 시나리오를 고려한 침입방어장치 및 그 방법
von Eye et al. Detecting stealthy backdoors and port knocking sequences through flow analysis
CN117278288A (zh) 一种网络攻击防护方法、装置、电子设备及存储介质
CN117318967A (zh) 告警日志分析方法及装置

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination