KR20060005719A - 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법 - Google Patents
패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법 Download PDFInfo
- Publication number
- KR20060005719A KR20060005719A KR1020040054643A KR20040054643A KR20060005719A KR 20060005719 A KR20060005719 A KR 20060005719A KR 1020040054643 A KR1020040054643 A KR 1020040054643A KR 20040054643 A KR20040054643 A KR 20040054643A KR 20060005719 A KR20060005719 A KR 20060005719A
- Authority
- KR
- South Korea
- Prior art keywords
- traffic
- detection
- abnormal
- blocking
- module
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
Claims (14)
- 일정기간 학습한 트래픽 정보로부터 이상 트래픽 판단 기준을 산출하여 이를 통해 이상 트래픽을 탐지 및 차단하는 장치에 있어서,미리 설정된 시간동안 입/출력되는 패킷들의 헤더를 분석하여 트래픽 로그 정보를 작성하는 트래픽 로그 작성 모듈과,상기 트래픽 로그 정보를 참고하여 트래픽 방향별 및 각 서비스별 트래픽 임계치를 산출하여 이상 트래픽 정보를 작성하는 임계치 계산 모듈,로 이루어지는 이상 트래픽 학습 모듈을 구비하는 것을 특징으로 하는 이상 트래픽 탐지 및 차단 장치.
- 제 1 항에 있어서,상기 이상 트래픽 학습 모듈에는,상기 이상 트래픽 정보에서, 임계치를 초과하더라도 차단하지 말아야 할 트래픽 항목을 삭제하고, 특정 트래픽 항목의 임계치를 임의의 값으로 수정하는 예외 처리 및 임계치 수정 모듈이 더 포함되는 것을 특징으로 하는 이상 트래픽 탐지 및 차단 장치.
- 제 1 항에 있어서,상기 트래픽 로그 정보는,트래픽의 방향, 프로토콜 종류, 포트 번호, 최대 패킷량, 평균 패킷량, 최소 패킷량을 포함하는 것임을 특징으로 하는 이상 트래픽 탐지 및 차단 장치.
- 제 1 항에 있어서,상기 이상 트래픽 탐지 및 차단 장치는,미리 정의된 유해 패킷 정보를 이용하여 이상 트래픽 여부를 판단하고 이상 트래픽인 경우 패킷 탐지 및 차단 모듈에 차단 제어신호를 송신하는 제1 판단 모듈과, 상기 학습모듈에서 작성된 이상 트래픽 정보를 이용하여 이상 트래픽 여부를 판단하고 이상 트래픽인 경우 패킷 탐지 및 차단 모듈에 차단 제어신호를 송신하는 제2 판단 모듈로 이루어지는 이상 트래픽 검사 모듈;입/출력되는 패킷을 탐지하여 당해 패킷의 헤더 정보를 현재 선택된 모드에 따라 상기 이상 트래픽 학습 모듈 또는 상기 이상 트래픽 검사 모듈로 전송하고, 상기 이상 트래픽 검사 모듈로부터 차단 제어신호를 수신하여 해당 패킷을 차단하는 패킷 탐지 및 차단 모듈;상기 트래픽 로그 정보, 이상 트래픽 정보 및 미리 정의된 유해 패킷 정보 를 저장하는 기억 모듈; 및상기 이상 트래픽 학습모듈, 상기 이상 트래픽 검사 모듈 및 패킷 탐지 및 차단 모듈로 관리자의 제어명령을 전달하기 위한 관리자 인터페이스;를 더 포함하여 구성되는 것임을 특징으로 하는 이상 트래픽 탐지 및 차단 장치.
- 제 4 항에 있어서,상기 이상 트래픽 검사 모듈에는,상기 제2 판단 모듈에서 이상 트래픽으로 판단된 경우, 상기 패킷 탐지 및 차단 모듈로의 차단 제어신호 송신을 생략한 채, 상기 기억 모듈에 저장된 오탐 방지 정보에서 해당 트래픽에 대한 최초 탐지 시각으로부터의 경과 시간, 총 탐지 횟수를 갱신하고,상기 경과 시간이 미리 설정된 허용 시간 이상이고 상기 총 탐지 횟수가 미리 설정된 허용 횟수 이상이면, 상기 경과시간 및 총 탐지 횟수를 초기화하고 상기 패킷 탐지 및 차단 모듈에 차단 제어신호를 송신하며,상기 경과 시간이 미리 설정된 허용 시간 이상이고 상기 총 탐지 횟수가 미리 설정된 허용 횟수 미만이면, 상기 경과시간 및 총 탐지 횟수를 초기화하고, 상기 트래픽 탐지를 계속하고,상기 경과 시간이 미리 설정된 허용 시간 미만이면, 상기 트래픽 탐지 단계를 계속하는 오탐 방지 모듈이 더 포함되어 있고;이러한 오탐 방지 모듈은 미리 설정된 기간동안에만 작동되며, 그 기간이 경과한 경우에는 상기 미리 설정된 허용 시간 및 미리 설정된 허용 횟수를 재설정받는 것을 특징으로 하는 이상 트래픽 탐지 및 차단 장치.
- 제 4 항에 있어서,상기 이상 트래픽 검사 모듈 중 제1 판단 모듈에서의 미리 정의된 유해 패킷정보는,DoS, DDos, DRDos 및 해킹을 포함하는 패킷 유형에 관한 정보를 포함하고 있는 것임을 특징으로 하는 이상 트래픽 탐지 및 차단 장치.
- 일정기간 학습한 트래픽 정보로부터 이상 트래픽 판단 기준을 산출하여 이를 통해 이상 트래픽을 탐지 및 차단하는 방법에 있어서,학습 모드에서, 소정의 시간동안 입/출력되는 패킷들을 분석하여 이상 트래픽 판단 기준을 설정하는 트래픽 학습 단계;탐지 모드에서, 현재 입/출력중인 패킷들을 분석하여 현재 트래픽이 상기 트래픽 학습 단계에서 설정된 이상 트래픽 판단 기준을 초과하는지 검사하는 트래픽 탐지 단계; 및상기 검사 결과, 이상 트래픽으로 판단되는 경우 해당 트래픽을 차단하는 트래픽 차단 단계;를 포함하여 이루어지는 것을 특징으로 하는 이상 트래픽 탐지 및 차단 방법.
- 제 7 항에 있어서,상기 트래픽 학습 단계는,미리 설정된 시간동안 입/출력되는 패킷들의 헤더를 분석하여 트래픽 로그 정보를 작성하는 제 1 단계; 및상기 트래픽 로그 정보를 참고하여 유입 방향별 및 각 서비스별 트래픽 임계치를 산출하고, 이를 이상 트래픽 판단 기준으로 정의하는 제 2 단계;를 포함하여 이루어지는 것임을 특징으로 하는 이상 트래픽 탐지 및 차단 방법.
- 제 8 항에 있어서,상기 제 2 단계 이후에,트래픽 임계치를 초과하더라도 차단하지 말아야 할 서비스를 지정하는 예외 처리 단계; 및특정 트래픽 임계치를 임의의 값으로 변경하는 임계치 수정 단계;가 더 포함되는 것을 특징으로 하는 이상 트래픽 탐지 및 차단 방법.
- 제 8 항에 있어서,상기 트래픽 로그 정보는,트래픽의 방향, 프로토콜 종류, 포트 번호, 최대 패킷량, 평균 패킷량, 최소 패킷량을 포함하는 것임을 특징으로 하는 이상 트래픽 탐지 및 차단 방법.
- 제 7 항에 있어서,상기 트래픽 탐지 단계에는,상기 트래픽 탐지 단계 이전에, 현재 입/출력중인 패킷이 미리 정의된 유해 패킷에 해당하는지 검사하여, 유해 패킷으로 판단되는 경우 이를 이상 트래픽으로 간주하는 유해 패킷 탐지 단계가 더 포함되는 것을 특징으로 하는 이상 트래픽 탐지 및 차단 방법.
- 제 11 항에 있어서,상기 미리 정의된 유해 패킷은 DoS, DDos, DRDos 및 해킹을 포함하는 패킷 유형 중 어느 하나임을 특징으로 하는 이상 트래픽 탐지 및 차단 방법.
- 제 7 항에 있어서,상기 트래픽 탐지 단계에는,상기 트래픽 탐지 단계의 검사 결과 이상 트래픽으로 판단된 경우, 오탐 방지 정보 에서 해당 트래픽의 최초 탐지 시각으로부터의 경과 시간, 총 탐지 횟수를 갱신하는 제 1 단계,상기 경과 시간이 미리 설정된 허용 시간 이상이고, 상기 총 탐지 횟수가 미리 설정된 허용 횟수 이상이면, 상기 경과시간 및 총 탐지 횟수를 초기화하고, 상기 제 7 항의 트래픽 차단 단계로 진행하는 제 2 단계,상기 경과 시간이 미리 설정된 허용 시간 이상이고, 상기 총 탐지 횟수가 미리 설정된 허용 횟수 미만이면, 상기 경과시간 및 총 탐지 횟수를 초기화하고, 상기 제 7 항의 트래픽 탐지 단계를 반복하는 제 3 단계, 및상기 경과 시간이 미리 설정된 허용 시간 미만이면, 상기 제 7 항의 트래픽 탐지 단계를 반복하는 제 4 단계,로 이루어지는 오탐 방지 단계가 더 포함되는 것을 특징으로 하는 이상 트래픽 탐지 및 차단 방법.
- 제 13 항에 있어서,상기 오탐 방지 단계는,미리 설정된 기간동안에만 적용될 수 있으며, 그 기간이 경과한 경우에는 상기 미리 설정된 허용 시간 및 미리 설정된 허용 횟수를 재설정받는 것을 특징으로 하는 이상 트래픽 탐지 및 차단 방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020040054643A KR100614757B1 (ko) | 2004-07-14 | 2004-07-14 | 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020040054643A KR100614757B1 (ko) | 2004-07-14 | 2004-07-14 | 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20060005719A true KR20060005719A (ko) | 2006-01-18 |
KR100614757B1 KR100614757B1 (ko) | 2006-08-21 |
Family
ID=37117629
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020040054643A KR100614757B1 (ko) | 2004-07-14 | 2004-07-14 | 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100614757B1 (ko) |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100756462B1 (ko) * | 2006-02-03 | 2007-09-07 | 엘지엔시스(주) | 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법 |
KR100766724B1 (ko) * | 2006-06-20 | 2007-10-17 | (주)한드림넷 | 보안스위치 및 보안시스템 및 방법 |
KR100793633B1 (ko) * | 2006-08-16 | 2008-01-10 | 전자부품연구원 | 트래픽 컨디셔닝 장치 및 트래픽 컨디셔닝 제공 방법 |
KR100862903B1 (ko) * | 2007-05-15 | 2008-10-13 | 주식회사 나우콤 | 프로토콜 무결성 고속 검출 장치 및 검출 방법 |
KR100910761B1 (ko) * | 2006-11-23 | 2009-08-04 | 한국전자통신연구원 | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 |
KR100957212B1 (ko) * | 2007-10-02 | 2010-05-11 | 주식회사 케이티 | 트래픽 관리 시스템, 방법 및 방법 프로그램을 기록한저장매체 |
KR100972018B1 (ko) * | 2007-10-17 | 2010-07-22 | 주식회사 케이티 | 유해 정보를 포함하는 패킷 데이터 차단 방법 및 이를이용한 개량형 침입 방지 시스템 |
KR101236129B1 (ko) * | 2011-07-19 | 2013-02-28 | 주식회사 엔피코어 | 비정상 트래픽 제어 장치 및 방법 |
WO2014032292A1 (zh) * | 2012-08-31 | 2014-03-06 | 华为技术有限公司 | 防御承载攻击的方法及设备 |
KR101374009B1 (ko) * | 2007-07-09 | 2014-03-13 | 주식회사 엘지씨엔에스 | 이상 트래픽 차단 장치 및 방법 |
KR101400127B1 (ko) * | 2012-09-05 | 2014-05-28 | 주식회사 시큐아이 | 비정상 데이터 패킷 검출 방법 및 장치 |
KR101460327B1 (ko) * | 2008-06-25 | 2014-11-10 | 주식회사 케이티 | 비정상 트래픽 검출 장치 및 그 방법 |
US9398040B2 (en) | 2013-11-26 | 2016-07-19 | Electronics And Telecommunications Research Institute | Intrusion detection system false positive detection apparatus and method |
KR20180052324A (ko) * | 2016-11-10 | 2018-05-18 | 한국전자통신연구원 | 분산 반사 서비스 거부 공격 탐지 장치 및 방법 |
US10447715B2 (en) | 2016-03-02 | 2019-10-15 | Electronics And Telecommunications Research Institute | Apparatus and method of detecting distributed reflection denial of service attack based on flow information |
CN112965970A (zh) * | 2021-03-22 | 2021-06-15 | 湖南大学 | 一种基于哈希算法的异常流量并行检测方法及系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20000072707A (ko) * | 2000-09-20 | 2000-12-05 | 홍기융 | 실시간 침입탐지 및 해킹 자동 차단 방법 |
KR20020024508A (ko) * | 2000-09-25 | 2002-03-30 | 김병기 | 네트워크 침입탐지를 위한 비정상행위 탐지기법 |
KR100439170B1 (ko) * | 2001-11-14 | 2004-07-05 | 한국전자통신연구원 | 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법 |
KR100466214B1 (ko) * | 2001-12-21 | 2005-01-14 | 한국전자통신연구원 | 가변적인 보안 상황을 반영하는 보안 등급 설정방법 및이를 위한 기록 매체 |
-
2004
- 2004-07-14 KR KR1020040054643A patent/KR100614757B1/ko active IP Right Grant
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100756462B1 (ko) * | 2006-02-03 | 2007-09-07 | 엘지엔시스(주) | 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법 |
KR100766724B1 (ko) * | 2006-06-20 | 2007-10-17 | (주)한드림넷 | 보안스위치 및 보안시스템 및 방법 |
KR100793633B1 (ko) * | 2006-08-16 | 2008-01-10 | 전자부품연구원 | 트래픽 컨디셔닝 장치 및 트래픽 컨디셔닝 제공 방법 |
KR100910761B1 (ko) * | 2006-11-23 | 2009-08-04 | 한국전자통신연구원 | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 |
KR100862903B1 (ko) * | 2007-05-15 | 2008-10-13 | 주식회사 나우콤 | 프로토콜 무결성 고속 검출 장치 및 검출 방법 |
KR101374009B1 (ko) * | 2007-07-09 | 2014-03-13 | 주식회사 엘지씨엔에스 | 이상 트래픽 차단 장치 및 방법 |
KR100957212B1 (ko) * | 2007-10-02 | 2010-05-11 | 주식회사 케이티 | 트래픽 관리 시스템, 방법 및 방법 프로그램을 기록한저장매체 |
KR100972018B1 (ko) * | 2007-10-17 | 2010-07-22 | 주식회사 케이티 | 유해 정보를 포함하는 패킷 데이터 차단 방법 및 이를이용한 개량형 침입 방지 시스템 |
KR101460327B1 (ko) * | 2008-06-25 | 2014-11-10 | 주식회사 케이티 | 비정상 트래픽 검출 장치 및 그 방법 |
KR101236129B1 (ko) * | 2011-07-19 | 2013-02-28 | 주식회사 엔피코어 | 비정상 트래픽 제어 장치 및 방법 |
WO2014032292A1 (zh) * | 2012-08-31 | 2014-03-06 | 华为技术有限公司 | 防御承载攻击的方法及设备 |
KR101400127B1 (ko) * | 2012-09-05 | 2014-05-28 | 주식회사 시큐아이 | 비정상 데이터 패킷 검출 방법 및 장치 |
US9398040B2 (en) | 2013-11-26 | 2016-07-19 | Electronics And Telecommunications Research Institute | Intrusion detection system false positive detection apparatus and method |
US10447715B2 (en) | 2016-03-02 | 2019-10-15 | Electronics And Telecommunications Research Institute | Apparatus and method of detecting distributed reflection denial of service attack based on flow information |
KR20180052324A (ko) * | 2016-11-10 | 2018-05-18 | 한국전자통신연구원 | 분산 반사 서비스 거부 공격 탐지 장치 및 방법 |
US10693908B2 (en) | 2016-11-10 | 2020-06-23 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting distributed reflection denial of service attack |
CN112965970A (zh) * | 2021-03-22 | 2021-06-15 | 湖南大学 | 一种基于哈希算法的异常流量并行检测方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
KR100614757B1 (ko) | 2006-08-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100614757B1 (ko) | 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법 | |
US7707633B2 (en) | Applying blocking measures progressively to malicious network traffic | |
US7624447B1 (en) | Using threshold lists for worm detection | |
US8087085B2 (en) | Wireless intrusion prevention system and method | |
US7526806B2 (en) | Method and system for addressing intrusion attacks on a computer system | |
US7934254B2 (en) | Method and apparatus for providing network and computer system security | |
KR20130005301A (ko) | 정보 시스템 기반구조의 보안 정책 조정 방법 | |
US7617526B2 (en) | Blocking of spam e-mail at a firewall | |
US11128670B2 (en) | Methods, systems, and computer readable media for dynamically remediating a security system entity | |
NZ516346A (en) | A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack | |
CA2629723A1 (en) | Intrusion event correlation with network discovery information | |
US9838878B2 (en) | Detecting undesirable signalling traffic | |
KR100950900B1 (ko) | 분산서비스거부 공격 방어방법 및 방어시스템 | |
KR101268104B1 (ko) | 침입방지시스템 및 그 제어방법 | |
CN109274638A (zh) | 一种攻击源接入自动识别处理的方法和路由器 | |
JP4149366B2 (ja) | ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラム | |
KR101400127B1 (ko) | 비정상 데이터 패킷 검출 방법 및 장치 | |
KR20080040257A (ko) | 네트워크 수준의 웜, 바이러스 조기 탐지 방법 및 장치 | |
CN115208596B (zh) | 网络入侵防御方法、装置及存储介质 | |
Kavyashree et al. | TCP Attack Detection Using Dynamic Threshold | |
CN115622754A (zh) | 一种检测并防止mqtt漏洞的方法、系统和装置 | |
CN116264510A (zh) | 拒绝服务攻击防御方法及装置、可读存储介质 | |
CN116208412A (zh) | 一种基于虚拟机的恶意流量识别与监控方法 | |
TW202340988A (zh) | 依記錄分析結果執行任務以實現設備聯防之系統及方法 | |
KR100685050B1 (ko) | 제어계측시스템용 네트워크 침입대응방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20120109 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20130530 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20150728 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20160701 Year of fee payment: 11 |
|
FPAY | Annual fee payment |
Payment date: 20170703 Year of fee payment: 12 |
|
FPAY | Annual fee payment |
Payment date: 20180703 Year of fee payment: 13 |
|
FPAY | Annual fee payment |
Payment date: 20190708 Year of fee payment: 14 |