KR20050096743A - 네트워크 상의 공격 탐지 장치 및 그 방법 - Google Patents

네트워크 상의 공격 탐지 장치 및 그 방법 Download PDF

Info

Publication number
KR20050096743A
KR20050096743A KR1020040022414A KR20040022414A KR20050096743A KR 20050096743 A KR20050096743 A KR 20050096743A KR 1020040022414 A KR1020040022414 A KR 1020040022414A KR 20040022414 A KR20040022414 A KR 20040022414A KR 20050096743 A KR20050096743 A KR 20050096743A
Authority
KR
South Korea
Prior art keywords
attack
data
server
request data
server system
Prior art date
Application number
KR1020040022414A
Other languages
English (en)
Other versions
KR100632204B1 (ko
Inventor
최창열
박기진
김성수
Original Assignee
박기진
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 박기진 filed Critical 박기진
Priority to KR1020040022414A priority Critical patent/KR100632204B1/ko
Publication of KR20050096743A publication Critical patent/KR20050096743A/ko
Application granted granted Critical
Publication of KR100632204B1 publication Critical patent/KR100632204B1/ko

Links

Classifications

    • GPHYSICS
    • G02OPTICS
    • G02FOPTICAL DEVICES OR ARRANGEMENTS FOR THE CONTROL OF LIGHT BY MODIFICATION OF THE OPTICAL PROPERTIES OF THE MEDIA OF THE ELEMENTS INVOLVED THEREIN; NON-LINEAR OPTICS; FREQUENCY-CHANGING OF LIGHT; OPTICAL LOGIC ELEMENTS; OPTICAL ANALOGUE/DIGITAL CONVERTERS
    • G02F1/00Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics
    • G02F1/01Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics for the control of the intensity, phase, polarisation or colour 
    • G02F1/13Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics for the control of the intensity, phase, polarisation or colour  based on liquid crystals, e.g. single liquid crystal display cells
    • G02F1/133Constructional arrangements; Operation of liquid crystal cells; Circuit arrangements
    • G02F1/1333Constructional arrangements; Manufacturing methods
    • G02F1/133308Support structures for LCD panels, e.g. frames or bezels
    • GPHYSICS
    • G02OPTICS
    • G02FOPTICAL DEVICES OR ARRANGEMENTS FOR THE CONTROL OF LIGHT BY MODIFICATION OF THE OPTICAL PROPERTIES OF THE MEDIA OF THE ELEMENTS INVOLVED THEREIN; NON-LINEAR OPTICS; FREQUENCY-CHANGING OF LIGHT; OPTICAL LOGIC ELEMENTS; OPTICAL ANALOGUE/DIGITAL CONVERTERS
    • G02F1/00Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics
    • G02F1/01Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics for the control of the intensity, phase, polarisation or colour 
    • G02F1/13Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics for the control of the intensity, phase, polarisation or colour  based on liquid crystals, e.g. single liquid crystal display cells
    • G02F1/133Constructional arrangements; Operation of liquid crystal cells; Circuit arrangements
    • G02F1/1333Constructional arrangements; Manufacturing methods
    • G02F1/133308Support structures for LCD panels, e.g. frames or bezels
    • G02F1/133314Back frames
    • GPHYSICS
    • G02OPTICS
    • G02FOPTICAL DEVICES OR ARRANGEMENTS FOR THE CONTROL OF LIGHT BY MODIFICATION OF THE OPTICAL PROPERTIES OF THE MEDIA OF THE ELEMENTS INVOLVED THEREIN; NON-LINEAR OPTICS; FREQUENCY-CHANGING OF LIGHT; OPTICAL LOGIC ELEMENTS; OPTICAL ANALOGUE/DIGITAL CONVERTERS
    • G02F1/00Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics
    • G02F1/01Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics for the control of the intensity, phase, polarisation or colour 
    • G02F1/13Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics for the control of the intensity, phase, polarisation or colour  based on liquid crystals, e.g. single liquid crystal display cells
    • G02F1/133Constructional arrangements; Operation of liquid crystal cells; Circuit arrangements
    • G02F1/1333Constructional arrangements; Manufacturing methods
    • G02F1/133308Support structures for LCD panels, e.g. frames or bezels
    • G02F1/13332Front frames
    • GPHYSICS
    • G02OPTICS
    • G02FOPTICAL DEVICES OR ARRANGEMENTS FOR THE CONTROL OF LIGHT BY MODIFICATION OF THE OPTICAL PROPERTIES OF THE MEDIA OF THE ELEMENTS INVOLVED THEREIN; NON-LINEAR OPTICS; FREQUENCY-CHANGING OF LIGHT; OPTICAL LOGIC ELEMENTS; OPTICAL ANALOGUE/DIGITAL CONVERTERS
    • G02F1/00Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics
    • G02F1/01Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics for the control of the intensity, phase, polarisation or colour 
    • G02F1/13Devices or arrangements for the control of the intensity, colour, phase, polarisation or direction of light arriving from an independent light source, e.g. switching, gating or modulating; Non-linear optics for the control of the intensity, phase, polarisation or colour  based on liquid crystals, e.g. single liquid crystal display cells
    • G02F1/133Constructional arrangements; Operation of liquid crystal cells; Circuit arrangements
    • G02F1/1333Constructional arrangements; Manufacturing methods
    • G02F1/133308Support structures for LCD panels, e.g. frames or bezels
    • G02F1/133322Mechanical guidance or alignment of LCD panel support components

Abstract

본 발명은 하나 이상의 서버가 그리드 또는 네트워크로 상호 연결되어 구성된 서버 시스템이 네트워크에 연결된 하나 이상의 클라이언트에 의하여 공격을 받을 때 상기 공격을 탐지하는 장치 및 방법에 관한 것으로서, 데이터의 정량적인 분석으로 네트워크 상에서 서버 시스템에 대한 공격을 신속히 탐지하는 장치 및 방법을 제공함에 그 목적이 있다. 전술된 본 발명의 목적을 달성하기 위한 일태양은, 네트워크 상에서 서버 시스템에 대한 공격을 탐지하는 공격 탐지 장치에 있어서, 알려진 웜 바이러스가 서버를 공격할 때에 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보를 상기 웜 바이러스의 종류별로 분류하여 상기 공격 유형 데이터를 저장하는 공격 유형 데이터베이스와, 상기 서버 시스템의 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보를 분석하여 상기 공격 유형 데이터베이스에 저장된 알려진 웜 바이러스에 의하여 공격 당할 때의 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보와 비교하여 서버 시스템이 공격당하고 있는지의 여부를 판단하는 정량 분석 모듈을 포함하는 것을 특징으로 하는 공격 탐지 장치에 관한 것이다.

Description

네트워크 상의 공격 탐지 장치 및 그 방법 {ATTACK DETECTING SYSTEM IN NETWORK AND METHOD THE SAME}
본 발명은 하나 이상의 서버가 그리드 또는 네트워크로 상호 연결되어 구성된 서버 시스템이 네트워크에 연결된 하나 이상의 클라이언트에 의하여 공격을 받을 때 상기 공격을 탐지하는 장치 및 방법에 관한 것이다.
기존의 공격 탐지 방법은 클라이언트로부터 서버로 보내지는 요청(Request) 데이터를 조사하거나, 서버에 유입되는 데이터의 코드를 검사하는 등의 정성적인 분석 방법이 있었다.
기존에는 서버 시스템이 공격당할 때에 그 공격의 탐지 및 대응 기술에 있어서, 공격 방법에 대한 원천적인 연구보다는 실제의 공격 경험을 토대로 한 탐지 및 대응 방법의 연구가 많았다. 일반적으로 탐지 및 대응 방법의 대부분은 공격 탐지 및 대응이 공격이 상당히 진행되어 복구가 불가능하게 된 이후에 이루어지게 된다. 여기서 공격 탐지는 단시간 동안의 서버 시스템에 수집된 소량의 요청 데이터의 패킷 정보를 분석하여 공격을 탐지하는 상기의 정성적인 분석 방법을 이용한다. 이러한 정성적인 분석은 네트워크 전체를 분석하는 관점보다는 특정 위치에 국한하여 탐지 및 대응하는 방법이다.
서버 시스템에 관한 공격의 대응 방법은 크게 세가지로 분류할 수 있다. 첫번째는 서버 시스템에 대한 공격에 대한 분석이며, 두번째는 경험상으로 체득한 서버 시스템에 대한 공격의 특성에 따른 실제적인 방어 방법이고, 마지막으로 서버 시스템의 개선이다. 특히, 서버 시스템에 대한 공격 연구 초기에는 주로 보안 시스템 아키텍처에 관한 연구 및 공격 여부를 탐지하는데 초점을 맞춘 연구가 이루어졌으나, 최근에는 공격 발생 탐지 자체보다는 공격의 흐름 혹은 공격 데이터 패킷들을 정상 패킷과 구분하는 관점에서의 공격 탐지 및 이에 연계되어 사용될 수 있는 대응 방법에 대한 연구가 주류를 이루고 있다.
그러나, 아직까지 이러한 탐지 및 대응 방법은 공격과 정상적인 데이터 흐름과 구분하기 어려웠고, 특히 공격이 진행되고 있는 중에는 공격을 탐지하기 어려웠다.
본 발명의 목적은 전술된 종래 기술의 문제점을 해결하기 위한 것으로, 데이터의 정량적인 분석으로 네트워크 상에서 서버 시스템에 대한 공격을 신속히 탐지하는 장치 및 방법을 제공하는 것이다.
전술된 본 발명의 목적을 달성하기 위한 일태양은, 네트워크 상에서 서버 시스템에 대한 공격을 탐지하는 공격 탐지 장치에 있어서, 알려진 웜 바이러스가 서버를 공격할 때에 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보를 상기 웜 바이러스의 종류별로 분류하여 상기 공격 유형 데이터를 저장하는 공격 유형 데이터베이스와, 상기 서버 시스템의 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보를 분석하여 상기 공격 유형 데이터베이스에 저장된 알려진 웜 바이러스에 의하여 공격 당할 때의 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보와 비교하여 서버 시스템이 공격당하고 있는지의 여부를 판단하는 정량 분석 모듈을 포함하는 것을 특징으로 하는 공격 탐지 장치에 관한 것이다.
상기 정량 분석 모듈은 상기 시스템 자원 사용율 및 시간당 요청 데이터의 양을 포함하는 정보를 분석하여 상기 서버 시스템이 공격 중에서도 계속 작동할 수 있는 확률 및 그 작동 잔여 시간을 계산할 수 있고, 네트워크 상의 클라이언트로부터 서버로 보내지는 요청 데이터를 조사하거나, 서버에 유입되는 데이터의 코드를 검사하는 정성 분석 모듈을 더 포함할 수 있다.
상기 정성 분석 모듈은 해당 서버에서의 포트 스캐닝으로 열려 있는 포트를 감지하고 해당 포트에서 데이터가 얼마나 유입되는지 검사하고, 또한 운영체제 내의 상기 해당 포트에서 들어오는 데이터가 스택에 저장되어 처리될 때, 상기 데이터가 다른 데이터를 오버라이트 하는지를 검사하여 웜 바이러스를 탐지할 수 있고, 상기 정성 분석 모듈은 서버 시스템에서 서버의 숫자만큼 공격을 탐지할 수 있는 공격 종류의 수를 나누어, 각 서버마다 소정의 정성 분석 모듈을 배치할 수 있다.
상기 정성 분석 모듈에서 공격을 특정할 수 없는 경우에는, 공격 데이터라고 의심되는 데이터를 다른 서버로 보내어 공격 데이터인지의 여부를 분석하게 할 수 있다.
전술된 본 발명의 목적을 달성하기 위한 다른 태양은, 네트워크 상에서 서버 시스템에 대한 공격을 탐지하는 공격 탐지 방법에 있어서, 알려진 웜 바이러스가 서버를 공격할 때에 시간당 유입되는 데이터의 양 또는 유입되는 데이터의 IP 주소가 같은 비율을 포함하는 정보를 상기 웜 바이러스의 종류별로 분류하여 공격 유형 데이터베이스에 저장하는 데이터 저장 단계와, 상기 서버 시스템의 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보를 분석하여 상기 공격 유형 데이터베이스에 저장된 알려진 웜 바이러스에 의하여 공격 당할 때의 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율 등의 정보와 비교하여 서버 시스템이 공격당하고 있는지의 여부를 판단하는 공격 판단 단계를 포함하는 것을 특징으로 하는 공격 탐지 방법에 관한 것이다.
상기 공격 판단 단계는 상기 시스템 자원 사용율 및 시간당 요청 데이터의 양을 포함하는 정보를 분석하여 상기 서버 시스템이 공격 중에서도 계속 작동할 수 있는 확률 및 그 작동 잔여 시간을 계산할 수 있고, 공격 탐지 단계에서 공격이라고 판단했을 때에, 네트워크 상의 클라이언트로부터 서버로 보내지는 요청 데이터를 조사하거나, 서버에 유입되는 데이터의 코드를 검사하여 공격을 특정하는 공격 특정 단계를 더 포함할 수 있다.
상기 공격 특정 단계는, 해당 서버에서의 포트 스캐닝으로 열려 있는 포트를 감지하고 해당 포트에서 데이터가 얼마나 유입되는지 검사하고, 또한 운영체제 내의 상기 해당 포트에서 들어오는 데이터가 스택에 저장되어 처리될 때, 상기 데이터가 다른 데이터를 오버라이트 하는지를 검사하여 웜 바이러스를 탐지할 수 있다.
전술된 본 발명의 목적을 달성하기 위한 다른 태양은, 네트워크 상에서 서버 시스템에 대한 공격을 탐지하는 공격 탐지 방법에 있어서, 알려진 웜 바이러스가 서버를 공격할 때에 시간당 유입되는 데이터의 양 또는 유입되는 데이터의 IP 주소가 같은 비율을 포함하는 정보를 상기 웜 바이러스의 종류별로 분류하여 공격 유형 데이터베이스에 저장하는 데이터 저장 단계와, 상기 서버 시스템의 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보를 분석하여 상기 공격 유형 데이터베이스에 저장된 알려진 웜 바이러스에 의하여 공격 당할 때의 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율 등의 정보와 비교하여 서버 시스템이 공격당하고 있는지의 여부를 판단하는 공격 판단 단계를 포함하는 것을 특징으로 하는 컴퓨터가 독해 가능한 프로그램이 기록되어 있는 기록매체에 관한 것이다.
상기 공격 판단 단계는 상기 시스템 자원 사용율 및 시간당 요청 데이터의 양을 포함하는 정보를 분석하여 상기 서버 시스템이 공격 중에서도 계속 작동할 수 있는 확률 및 그 작동 잔여 시간을 계산할 수 있고, 공격 탐지 단계에서 공격이라고 판단했을 때에, 네트워크 상의 클라이언트로부터 서버로 보내지는 요청 데이터를 조사하거나, 서버에 유입되는 데이터의 코드를 검사하여 공격을 특정하는 공격 특정 단계를 더 포함할 수 있다.
상기 공격 특정 단계는, 해당 서버에서의 포트 스캐닝으로 열려 있는 포트를 감지하고 해당 포트에서 데이터가 얼마나 유입되는지 검사하고, 또한 운영체제 내의 상기 해당 포트에서 들어오는 데이터가 스택에 저장되어 처리될 때, 상기 데이터가 다른 데이터를 오버라이트 하는지를 검사하여 웜 바이러스를 탐지할 수 있다.
도1은 본 발명의 실시예에 따른 서버 시스템을 도시한 것으로서, 하나 이상의 서버가 그리드 또는 네트워크로 상호 연결되어 구성되어 있다. 상기 서버 시스템(300)은 하나 이상의 서버(310 내지 390)가 물리적으로 서로 연결되어서 단독 혹은 서로 협력하여 임의의 서비스를 수행할 수 있다.
도2는 본 발명의 실시예에 따른 서버 시스템에서 각 서버에 포함되는 모듈 및 데이터베이스를 시각화한 것이다.
시스템 정의 데이터베이스(311)는 CPU의 처리 속도, 메모리 크기, 디스크의 용량, 서버의 수 및 서버끼리의 연결 관계 등의 물리적인 정보와, 상기 물리적인 정보를 바탕으로 계산된 시간당 요청 데이터 처리 용량 및 네트워크의 대역폭 등의 서비스 가능 용량에 대한 정보를 저장하는 데이터베이스이다.
공격 유형 데이터베이스(312)는 알려진 웜 바이러스가 서버를 공격할 때에 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율 등의 정보 등을 상기 웜 바이러스의 종류별로 분류하여 저장하는 데이터베이스이다.
제1 공격 자료 데이터베이스(313)는 서버 시스템이 당할 수 있는 여러 가지 공격에 따라, 공격 데이터 및 파일을 분석하여 그 정보를 저장하는 데이터베이스이다. 상기 제1 공격 자료 데이터베이스(313)는 서버 1에 배치되며, 제2 공격 자료 데이터베이스는 서버 2에 배치되며, 제3 공격 자료 데이터베이스는 서버 3에 배치되며, 이러한 방식으로 제1, 제2 등의 명칭을 앞에 붙일 수 있다. 후술할 제1 공격 정성 분석 모듈(315) 및 제1 공격 복구 모듈(316) 역시 이러한 방식으로 명칭이 결정될 수 있다.
정량 분석 모듈(314)은 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율 등의 정보를 분석하여 상기 공격 유형 데이터베이스(312)에 저장된 알려진 웜 바이러스에 의하여 공격 당할 때의 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율 등의 정보와 비교하여 서버 시스템이 공격당하고 있는지에 대한 여부를 판단하는 모듈이다. 상기 정량 분석 모듈(314)에서 공격이라고 판단되면, 다음에 설명할 제1 정성 분석 모듈(315)이 최대한 빠른 빈도로 동작하게 된다.
또한, 상기 시스템 자원 사용율 및 시간당 요청 데이터의 양 등의 정보를 분석하여 상기 서버 시스템(300)이 공격 중에서도 계속 작동할 수 있는 확률 및 그 작동 잔여 시간을 계산하여 시스템 관리자에게 알려준다.
도3은 본 발명의 실시예에서 서버 시스템이 웜 바이러스에 의해 공격받고 있는 상태를 나타내는 상태도로서, 시스템의 상태는 (감염된 서버수, 공격 단계)의 쌍으로 표현되며, 초기 및 정상 상태는 (0,0)이다. λi는 공격율이고, μi는 공격 단계 성공률이며, μr 은 감염된 서버가 치료를 위해 필요한 서비스율이다. 단, 웜 바이러스의 공격 중간 단계에서는 서버가 오동작을 일으키거나 공격자의 의도대로 서버가 동작하지 않으므로 공격 여부에 대한 판단이 불가능한 것으로 가정한다. 도3에서 모든 상태가 안정 상태(steady-state)일 때의 균형 방정식(balance equation)을 구하면 아래와 같다.
위의 균형 방정식과 각 상태에서 머물 확률의 총합이 1이 되는 보존(conservation) 방정식을 결합한 연립 방정식을 풀면, 시스템이 평형일 때, 각 상태에 머물 확률을 다음과 같이 얻을 수 있다. 즉, Pn,i 가 서버 시스템이 계속 작동할 수 있는 확률이다.
제1 정성 분석 모듈(315)은 클라이언트로부터 서버로 보내지는 요청(Request) 데이터를 조사하거나, 서버에 유입되는 데이터의 코드 등을 검사하는 모듈이다. 즉, 상기 제1 정성 분석 모듈(315)은 제1 공격 자료 데이터베이스(313)에서의 공격 데이터 정보와 상기 데이터 패킷 또는 서버에 유입되는 데이터의 코드 등을 비교하여 공격을 탐지하게 된다. 평상시에도 상기 제1 정성 분석 모듈(315)은 소정의 빈도로 동작하지만, 상기 정량 분석 모듈(314)에서 서버 시스템이 공격을 받고 있다고 판단되면, 상술한 바와 같이 최대한 빠른 빈도로 제1 정성 분석 모듈(315)이 동작하게 된다. 상기 제1 정성 분석 모듈에서 공격을 특정할 수 없는 경우에는, 공격 데이터라고 의심되는 데이터를 나중에 설명할 데이터 송수신 모듈(317)에 의해 다른 서버의 정성 분석 모듈로 보내어 공격을 특정하게 된다. 역으로 상기 제1 정성 분석 모듈은 다른 서버에서 분석 요청된 데이터를 수신하여 공격 여부를 분석할 수 있다.
또한, 상기 정성 분석 모듈은 웜 바이러스도 탐지할 수 있다.
웜 바이러스는 일반적으로 공격할 서버에 긴 요청 데이터를 보내어 인계값 스택 오버플로우(Parameter Stack Overflow)를 일으키는 스택 오버플로우 단계와, 해당 요청 데이터에 존재하는 잘못된 코드가 스택 안에 있는 다른 요청 데이터의 코드를 덮어 쓰는 덮어쓰기 단계와, 상기 다른 코드(웜 바이러스)로 바뀐 요청 데이터가 서버 시스템에 의해 실행되는 코드 실행 단계를 거친다.
여기서, 상기 정성 분석 모듈은 스택 오버플로우 단계 또는 덮어쓰기 단계를 체크하여 공격을 탐지한다. 상기 스택 오버플로우 단계의 체크는 해당 서버에서의 포트 스캐닝(Port scanning)으로 열려 있는 포트를 감지하고 해당 포트에서 데이터가 얼마나 유입되는지 검사하고, 또한 운영체제 내의 상기 해당 포트에서 들어오는 데이터가 스택에 저장되어 처리될 때, 상기 데이터가 다른 데이터를 오버라이트(over write) 하는지를 검사함으로서 스택 오버플로우 단계 및 덮어쓰기 단계에서 웜 바이러스를 체크하게 된다.
상기 정성 분석 모듈은 모듈 전체가 각 서버에 들어가도록 할 수도 있지만, 바람직하게는 서버의 숫자만큼 정성 분석 모듈을 나누어 각 서버마다 다른 정성 분석 모듈을 배치하여 공격 탐지를 분산 처리하도록 할 수 있다. 즉, 본 실시예에서는 서버 1에 배치되는 정성 분석 모듈을 제1 정성 분석 모듈(315)이라 칭하게 된다.
제1 공격 복구 모듈(316)은 제1 정성 분석 모듈(315)에 대응하여, 상기 서버 시스템(300)에 대한 공격이 알려져 있는 공격이라고 판단될 경우 상기 공격을 방어하고 시스템을 복구하는 모듈이다. 즉, 상기 공격이 컴퓨터 바이러스라면, 바이러스 파일의 프로세스를 중지시키고 상기 파일을 치료 또는 삭제할 수 있다. 또한, 상기 공격이 웜 바이러스라면, 데이터가 유입되는 포트를 차단하거나 유입 데이터의 양을 제한하는 등의 방법을 취할 수 있다.
또한, 상기 제1 정성 분석 모듈(315)에서 다른 서버에서 분석 요청한 데이터가 공격 데이터라고 판단하였을 때에 상기 제1 공격 복구 모듈(316)은 상기 다른 서버로 전송되어 서버를 복구할 수 있다.
데이터 송수신 모듈(317)은 상기 제1 정성 분석 모듈(315)에서 상기 공격을 탐지할 수 없을 때에, 소정의 데이터를 다른 서버에 송신하여 상기 서버의 정성 분석 모듈에서 분석하도록 할 수 있고 그 결과를 수신할 수 있다. 또한, 다른 서버에서 분석 요청된 데이터가 제1 정성 분석 모듈(315)에서 공격 데이터라고 판단하였을 때에는, 제1 공격 복구 모듈(316)은 상기 데이터 송수신 모듈(317)에 의해 상기 다른 서버로 전송된다.
이러한 구성의 공격 탐지 장치의 공격 탐지는 다음의 세가지 단계를 거친다.
첫 번째는 데이터 저장 단계로서, 알려진 웜 바이러스가 서버를 공격할 때에 시간당 유입되는 데이터의 양 또는 유입되는 데이터의 IP 주소가 같은 비율 등의 정보 등을 상기 웜 바이러스의 종류별로 분류하여 공격 유형 데이터베이스(312)에 저장하는 단계이다.
두 번째는 공격 판단 단계로, 시간당 유입되는 데이터의 양 또는 유입되는 데이터의 IP 주소가 같은 비율을 포함하는 정보를 분석하여 상기 공격 유형 데이터베이스(312)에 저장된 알려진 웜 바이러스의 공격 특성과 비교하여 서버 시스템(300)이 공격당하고 있는지의 여부를 판단하는 단계이다.
상기 공격 판단 단계에서는 상기 시스템 자원 사용율 및 시간당 요청 데이터의 양 등의 정보를 분석하여 상기 서버 시스템(300)이 공격 중에서도 계속 작동할 수 있는 확률 및 그 작동 잔여 시간을 계산할 수 있다.
세 번째는 공격 특정 단계로, 상기 공격 탐지 단계에서 공격이라고 판단했을 때에, 네트워크 상의 클라이언트로부터 서버로 보내지는 요청 데이터를 조사하거나, 서버에 유입되는 데이터의 코드를 검사하여 공격을 특정할 수 있다.
여기서, 상기 공격 특정 단계에서는, 웜 바이러스에 의한 서버 공격에서의 스택 오버플로우 단계 또는 덮어쓰기 단계를 체크하여 공격을 탐지한다. 상기 스택 오버플로우 단계의 체크는 해당 서버에서의 포트 스캐닝(Port scanning)으로 열려 있는 포트를 감지하고 해당 포트에서 데이터가 얼마나 유입되는지 검사하고, 또한 운영체제 내의 상기 해당 포트에서 들어오는 데이터가 스택에 저장되어 처리될 때, 상기 데이터가 다른 데이터를 오버라이트(over write) 하는지를 검사함으로서 스택 오버플로우 단계 및 덮어쓰기 단계를 체크하게 된다.
상술한 일련의 처리는, 소프트웨어에 의해 실행할 수도 있다. 그 소프트웨어는 자기디스크(플렉시블 디스크를 포함한다), 광디스크(CD-ROM), DVD, 광자기 디스크(MD) 등의 컴퓨터가 독해 가능한 기록매체에 수록된다. 또한 본 발명의 문자 입력 장치는 조이패드나 컴퓨터 시스템에 내장될 수 있다.
상술한 바와 같이 본 발명에 따르면, 정량적 분석을 이용하여 네트워크 상에서 서버 시스템에 대한 공격을 신속히 탐지할 수 있다. 또한, 상기 서버 시스템에 공격 중에서도 계속 작동할 수 있는 확률 및 그 작동 잔여 시간을 계산할 수 있으므로, 그에 대하여 적절히 대응할 수 있다.
특히, 웜 바이러스에 의한 서버 공격에서, 기존에는 악성 코드가 실행되는 단계가 되어야 웜 바이러스를 탐지할 수 있었지만, 본 발명에 따르면, 악성 코드가 실행되기 전에 스택 오버플로우 단계 또는 덮어쓰기 단계에서 웜 바이러스를 탐지할 수 있어, 그에 대하여 적절히 대응할 수 있다.
도1은 본 발명의 실시예에 따른 서버 시스템을 도시한 개략도.
도2는 본 발명의 실시예에 따른 서버 시스템에서 각 서버에 포함되는 모듈 및 데이터베이스를 시각화한 개략도.
도3은 본 발명의 실시예에서 서버 시스템이 웜 바이러스에 의해 공격받고 있는 상태를 나타내는 상태도.
<도면의 주요 부분에 대한 부호의 설명>
100: 네트워크
200: 단말기
300: 서버 시스템
310: 서버 1
311: 시스템 정의 데이터베이스
312: 공격 유형 데이터베이스
313: 제1 공격 자료 데이터베이스
314: 정량 분석 모듈
315: 제1 정성 분석 모듈
316: 제1 공격 복구 모듈
317: 데이터 송수신 모듈

Claims (14)

  1. 네트워크 상에서 서버 시스템에 대한 공격을 탐지하는 공격 탐지 장치에 있어서,
    알려진 웜 바이러스가 서버를 공격할 때에 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보를 상기 웜 바이러스의 종류별로 분류하여 상기 공격 유형 데이터를 저장하는 공격 유형 데이터베이스와,
    상기 서버 시스템의 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보를 분석하여 상기 공격 유형 데이터베이스에 저장된 알려진 웜 바이러스에 의하여 공격 당할 때의 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보와 비교하여 서버 시스템이 공격당하고 있는지의 여부를 판단하는 정량 분석 모듈을 포함하는 것을 특징으로 하는 공격 탐지 장치.
  2. 청구항 1에 있어서, 상기 정량 분석 모듈은 상기 시스템 자원 사용율 및 시간당 요청 데이터의 양을 포함하는 정보를 분석하여 상기 서버 시스템이 공격 중에서도 계속 작동할 수 있는 확률 및 그 작동 잔여 시간을 계산하는 것을 특징으로 하는 공격 탐지 장치.
  3. 청구항 1에 있어서, 네트워크 상의 클라이언트로부터 서버로 보내지는 요청 데이터를 조사하거나, 서버에 유입되는 데이터의 코드를 검사하는 정성 분석 모듈을 더 포함하는 것을 특징으로 하는 공격 탐지 장치.
  4. 청구항 3에 있어서, 상기 정성 분석 모듈은 해당 서버에서의 포트 스캐닝으로 열려 있는 포트를 감지하고 해당 포트에서 데이터가 얼마나 유입되는지 검사하고, 또한 운영체제 내의 상기 해당 포트에서 들어오는 데이터가 스택에 저장되어 처리될 때, 상기 데이터가 다른 데이터를 오버라이트 하는지를 검사하여 웜 바이러스를 탐지하는 것을 특징으로 하는 공격 탐지 장치.
  5. 청구항 3에 있어서, 상기 정성 분석 모듈은 서버 시스템에서 서버의 숫자만큼 공격을 탐지할 수 있는 공격 종류의 수를 나누어, 각 서버마다 소정의 정성 분석 모듈을 배치하는 것을 특징으로 하는 공격 탐지 장치.
  6. 청구항 4 또는 청구항 5에 있어서, 상기 정성 분석 모듈에서 공격을 특정할 수 없는 경우에는, 공격 데이터라고 의심되는 데이터를 다른 서버로 보내어 공격 데이터인지의 여부를 분석하게 하는 것을 특징으로 하는 공격 탐지 장치.
  7. 네트워크 상에서 서버 시스템에 대한 공격을 탐지하는 공격 탐지 방법에 있어서,
    알려진 웜 바이러스가 서버를 공격할 때에 시간당 유입되는 데이터의 양 또는 유입되는 데이터의 IP 주소가 같은 비율을 포함하는 정보를 상기 웜 바이러스의 종류별로 분류하여 공격 유형 데이터베이스에 저장하는 데이터 저장 단계와,
    상기 서버 시스템의 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보를 분석하여 상기 공격 유형 데이터베이스에 저장된 알려진 웜 바이러스에 의하여 공격 당할 때의 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율 등의 정보와 비교하여 서버 시스템이 공격당하고 있는지의 여부를 판단하는 공격 판단 단계를 포함하는 것을 특징으로 하는 공격 탐지 방법.
  8. 청구항 7에 있어서, 상기 공격 판단 단계는 상기 시스템 자원 사용율 및 시간당 요청 데이터의 양을 포함하는 정보를 분석하여 상기 서버 시스템이 공격 중에서도 계속 작동할 수 있는 확률 및 그 작동 잔여 시간을 계산하는 것을 특징으로 하는 공격 탐지 방법.
  9. 청구항 7에 있어서, 공격 탐지 단계에서 공격이라고 판단했을 때에, 네트워크 상의 클라이언트로부터 서버로 보내지는 요청 데이터를 조사하거나, 서버에 유입되는 데이터의 코드를 검사하여 공격을 특정하는 공격 특정 단계를 더 포함하는 것을 특징으로 하는 공격 탐지 방법.
  10. 청구항 9에 있어서, 상기 공격 특정 단계는, 해당 서버에서의 포트 스캐닝으로 열려 있는 포트를 감지하고 해당 포트에서 데이터가 얼마나 유입되는지 검사하고, 또한 운영체제 내의 상기 해당 포트에서 들어오는 데이터가 스택에 저장되어 처리될 때, 상기 데이터가 다른 데이터를 오버라이트 하는지를 검사하여 웜 바이러스를 탐지하는 것을 특징으로 하는 공격 탐지 방법.
  11. 네트워크 상에서 서버 시스템에 대한 공격을 탐지하는 공격 탐지 방법에 있어서,
    알려진 웜 바이러스가 서버를 공격할 때에 시간당 유입되는 데이터의 양 또는 유입되는 데이터의 IP 주소가 같은 비율을 포함하는 정보를 상기 웜 바이러스의 종류별로 분류하여 공격 유형 데이터베이스에 저장하는 데이터 저장 단계와,
    상기 서버 시스템의 시간당 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율을 포함하는 정보를 분석하여 상기 공격 유형 데이터베이스에 저장된 알려진 웜 바이러스에 의하여 공격 당할 때의 요청 데이터의 양 또는 요청 데이터의 IP 주소가 같은 비율 등의 정보와 비교하여 서버 시스템이 공격당하고 있는지의 여부를 판단하는 공격 판단 단계를 포함하는 것을 특징으로 하는 컴퓨터가 독해 가능한 프로그램이 기록되어 있는 기록매체.
  12. 청구항 11에 있어서, 상기 공격 판단 단계는 상기 시스템 자원 사용율 및 시간당 요청 데이터의 양을 포함하는 정보를 분석하여 상기 서버 시스템이 공격 중에서도 계속 작동할 수 있는 확률 및 그 작동 잔여 시간을 계산하는 것을 특징으로 하는 컴퓨터가 독해 가능한 프로그램이 기록되어 있는 기록매체.
  13. 청구항 11에 있어서, 공격 탐지 단계에서 공격이라고 판단했을 때에, 네트워크 상의 클라이언트로부터 서버로 보내지는 요청 데이터를 조사하거나, 서버에 유입되는 데이터의 코드를 검사하여 공격을 특정하는 공격 특정 단계를 더 포함하는 것을 특징으로 하는 컴퓨터가 독해 가능한 프로그램이 기록되어 있는 기록매체.
  14. 청구항 13에 있어서, 상기 공격 특정 단계는, 해당 서버에서의 포트 스캐닝으로 열려 있는 포트를 감지하고 해당 포트에서 데이터가 얼마나 유입되는지 검사하고, 또한 운영체제 내의 상기 해당 포트에서 들어오는 데이터가 스택에 저장되어 처리될 때, 상기 데이터가 다른 데이터를 오버라이트 하는지를 검사하여 웜 바이러스를 탐지하는 것을 특징으로 하는 컴퓨터가 독해 가능한 프로그램이 기록되어 있는 기록매체.
KR1020040022414A 2004-03-31 2004-03-31 네트워크 상의 공격 탐지 장치 및 그 방법 KR100632204B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040022414A KR100632204B1 (ko) 2004-03-31 2004-03-31 네트워크 상의 공격 탐지 장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040022414A KR100632204B1 (ko) 2004-03-31 2004-03-31 네트워크 상의 공격 탐지 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20050096743A true KR20050096743A (ko) 2005-10-06
KR100632204B1 KR100632204B1 (ko) 2006-10-09

Family

ID=37276766

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040022414A KR100632204B1 (ko) 2004-03-31 2004-03-31 네트워크 상의 공격 탐지 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR100632204B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100908404B1 (ko) * 2008-09-04 2009-07-20 (주)이스트소프트 분산서비스거부공격의 방어방법 및 방어시스템
KR100954355B1 (ko) * 2008-01-18 2010-04-21 주식회사 안철수연구소 악성코드 진단 및 치료 장치
WO2020111504A1 (ko) * 2018-11-30 2020-06-04 주식회사 심플한 랜섬웨어 탐지 방법 및 랜섬웨어 탐지 시스템

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101061377B1 (ko) * 2009-11-18 2011-09-02 한국인터넷진흥원 분포 기반 디도스 공격 탐지 및 대응 장치

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6405318B1 (en) 1999-03-12 2002-06-11 Psionic Software, Inc. Intrusion detection system

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100954355B1 (ko) * 2008-01-18 2010-04-21 주식회사 안철수연구소 악성코드 진단 및 치료 장치
KR100908404B1 (ko) * 2008-09-04 2009-07-20 (주)이스트소프트 분산서비스거부공격의 방어방법 및 방어시스템
US8359648B2 (en) 2008-09-04 2013-01-22 Estsoft Corp. Method and system for defending DDoS attack
WO2020111504A1 (ko) * 2018-11-30 2020-06-04 주식회사 심플한 랜섬웨어 탐지 방법 및 랜섬웨어 탐지 시스템

Also Published As

Publication number Publication date
KR100632204B1 (ko) 2006-10-09

Similar Documents

Publication Publication Date Title
CN103886252B (zh) 受信进程地址空间中执行的软件代码的恶意性的选择评估
US8291498B1 (en) Computer virus detection and response in a wide area network
US8667583B2 (en) Collecting and analyzing malware data
JP5920169B2 (ja) 不正コネクション検出方法、ネットワーク監視装置及びプログラム
JP6726706B2 (ja) コンボリューションのポピュラリティに基づいて異常なイベントを検出するシステムおよび方法
US20090133125A1 (en) Method and apparatus for malware detection
CN109586282B (zh) 一种电网未知威胁检测系统及方法
KR101132197B1 (ko) 악성 코드 자동 판별 장치 및 방법
US20110289583A1 (en) Correlation engine for detecting network attacks and detection method
US20210200870A1 (en) Performing threat detection by synergistically combining results of static file analysis and behavior analysis
JP2016534479A (ja) マルウェアのランタイム中の自動検出
US11909761B2 (en) Mitigating malware impact by utilizing sandbox insights
CN109948335B (zh) 用于检测计算机系统中的恶意活动的系统和方法
WO2016121348A1 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体
JP4773332B2 (ja) セキュリティ管理装置及びセキュリティ管理方法及びプログラム
EP3353983B1 (en) Method and system with a passive web application firewall
US11163881B2 (en) Systems and methods for detecting malicious activity in a computer system
CN116340943A (zh) 应用程序保护方法、装置、设备、存储介质和程序产品
CN116389027A (zh) 一种基于eBPF的云环境下Payload进程检测方法及装置
RU2481633C2 (ru) Система и способ автоматического расследования инцидентов безопасности
KR102347525B1 (ko) 악성 트래픽 탐지 방법 및 그 장치
KR100632204B1 (ko) 네트워크 상의 공격 탐지 장치 및 그 방법
JP4050253B2 (ja) コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム
CN113923039A (zh) 攻击设备识别方法、装置、电子设备及可读存储介质
CN113704749A (zh) 一种恶意挖矿检测处理方法和装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
N231 Notification of change of applicant
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130710

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140703

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20150619

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20160704

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20170703

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20180704

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20190702

Year of fee payment: 14