KR20060005719A - 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법 - Google Patents

패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법 Download PDF

Info

Publication number
KR20060005719A
KR20060005719A KR1020040054643A KR20040054643A KR20060005719A KR 20060005719 A KR20060005719 A KR 20060005719A KR 1020040054643 A KR1020040054643 A KR 1020040054643A KR 20040054643 A KR20040054643 A KR 20040054643A KR 20060005719 A KR20060005719 A KR 20060005719A
Authority
KR
South Korea
Prior art keywords
traffic
detection
abnormal
blocking
module
Prior art date
Application number
KR1020040054643A
Other languages
English (en)
Other versions
KR100614757B1 (ko
Inventor
표승종
유연식
손소라
이상우
Original Assignee
엘지엔시스(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지엔시스(주) filed Critical 엘지엔시스(주)
Priority to KR1020040054643A priority Critical patent/KR100614757B1/ko
Publication of KR20060005719A publication Critical patent/KR20060005719A/ko
Application granted granted Critical
Publication of KR100614757B1 publication Critical patent/KR100614757B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

일정 기간동안 트래픽의 학습을 통해 이상 트래픽 판단 기준을 설정하고, 이를 통해 이상 트래픽을 탐지하여 차단하는 장치 및 방법이 제공된다. 이를 위해, 미리 설정된 시간동안 입/출력되는 패킷들의 헤더를 분석하여 각종 정보를 트래픽 로그 파일에 기록한 후 이를 참고로 유입 방향별 및 각 서비스별 트래픽 임계치를 산출하는 트래픽 학습 단계와, 현재 트래픽이 상기 트래픽 임계치를 초과하는지 검사하는 트래픽 탐지 단계와, 탐지 결과 이상 트래픽으로 밝혀지면 오탐 방지를 위한 소정 절차를 거친 후 현재 트래픽을 차단하는 트래픽 차단 단계 및 이들 단계를 구현하기 위한 각종 모듈이 구비된다. 이를 통해, 미리 정해진 유해 패킷만을 탐지하거나 이상 트래픽의 탐지에 있어 획일적으로 프로토콜 또는 IP별 트래픽 임계치만을 고려하여 정상 트래픽까지도 차단했던 종래 문제점에 대하여, 이상 트래픽을 학습하되 트래픽 방향 및 서비스 종류를 고려하여 이상 트래픽 임계치를 설정함으로써 정상 트래픽과의 구별에 보다 정확도를 높일 수 있을 뿐만 아니라, 새로운 종류의 유해 패킷에도 효과적으로 대처할 수 있도록 한다.
학습, 유해 패킷, 이상 트래픽, 트래픽 방향, 포트 번호

Description

패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는 장치 및 방법 {Apparatus and method for searching and cutting off abnormal traffic by packet header analysis}
도 1은 종래 기술에 의한 침입 탐지 장치를 나타내는 블럭도.
도 2는 본 발명에 의한 이상 트래픽 탐지 및 차단 장치를 나타내는 블럭도.
도 3은 본 발명에 의한 이상 트래픽 학습 과정을 나타내는 흐름도.
도 4는 본 발명에 의한 이상 트래픽 탐지 및 차단 과정을 나타내는 흐름도.
도 5는 본 발명에서 트래픽 학습을 위해 유지되는 트래픽 로그 정보의 내부 구성도.
도 6은 본 발명에서 트래픽 학습을 통해 최종적으로 작성되 이상 트래픽 정보의 내부 구성도.
도 7은 본 발명에서 트래픽의 오탐지 방지를 위해 유지되는 오탐 방지 정보의 내부 구성도.
본 발명은 일정 기간동안 트래픽의 학습을 통해 이상 트래픽 판단 기준을 설정하고, 이를 통해 이상 트래픽을 탐지하여 차단하는 장치 및 방법에 관한 것이다.
인터넷의 급격한 확산과 인터넷을 이용하는 응용의 수가 급격히 증가함에 따라 인터넷상에서 이루어지는 사이버 공격의 발생 빈도은 점점 증가하고 있으며, 이로 인해 입게 되는 피해의 시간적, 경제적 규모는 이전과는 비교할 수 없을 정도로 커지고 있다. 또한, 공격 수준을 보면 기존의 가입자 단에 위치하는 시스템들을 목표로 하는 공격에서, 네트워크 자체의 운용아니 성능에 영향을 미치고 결과적으로는 네트워크 서비스 제공 자체를 위협하는 단계에 이르러 심각한 문제점을 야기시키고 있다.
도 1은 이러한 문제점을 해결하기 위해 제시된 종래 기술에 의한 침입 방지 장치의 구조를 블럭도로 나타내고 있다.
관리자는 관리자 인터페이스(100)를 통해 유해 트래픽 차단 장치의 유해 패킷 탐지 모듈(120) 및 이상 트래픽 탐지 모듈(110)을 제어하여 필요한 경우 트래픽이 차단되도록 하고, 입력 또는 출력 트래픽에 실리는 패킷들은 유해 패킷 탐지 모듈(120) 및 이상 트래픽 탐지 모듈(110)을 거치면서 그 공격성을 검증받게 된다. 여기서, 유해 패킷 탐지 모듈(120)은 패킷의 헤더를 분석하여 그 분석 정보가 미리 정의된 유해 패킷 정보(140)에 해당하는지를 검사한다. 미리 정의된 유해 패킷 정보(140)는 DoS, DDos, DRDos 및 해킹을 시도하려는 패킷 유형 등에 관한 정보를 포함한다. 또한, 이와 같은 유해 패킷 탐지 모듈(120)을 거친 패킷은 다시 이상 트래 픽 탐지 모듈(110)을 거치게 되는데, 이상 트래픽 탐지 모듈(110)은 현재의 IP별 또는 프로토콜별 패킷 유입량이 미리 설정된 임계치(130)를 초과하고 있는지를 검사한다. 임계치를 초과하는 경우라면 이는 본 시스템의 원활한 서비스를 방해하기 위한 웜(worm) 공격으로 간주할 수 있다.
따라서, 상기 유해 패킷 탐지 모듈(120) 및/또는 이상 트래픽 탐지 모듈(110)에서의 탐지 결과 공격성을 지니고 있는 패킷으로 판단된 경우에는, 현재 트래픽을 자동으로 차단하여 본 시스템을 보호하게 된다.
즉, 종래의 유해 트래픽 차단 장치는 네트워크 트래픽을 구성하는 패킷을 분석하여 이를 미리 정의된 유해 정보와 비교함으로써 패킷의 공격 의도를 판단하는 탐지 룰을 적용하고 있는 바, 만약 그 탐지 룰에 정의되지 않은 새로운 종류의 패킷이 침입을 시도하는 경우라면 이에 전혀 대처할 수 없는 상황이 발생하게 되는 문제점이 있었다.
또한, 패킷이 포함하는 정보 중에서 단순히 IP나 프로토콜(Syn 패킷, UDP 패킷, ICMP 패킷, ICMP ping 패킷 등)별 패킷 유입량을 파악하여 상기 공격 의도를 파악하기 때문에, 트래픽의 방향 및 서비스를 고려할 때 현재 트래픽이 그 유입량의 임계치를 초과하더라도 정상 트래픽으로 보아야 할 것까지 차단시키는 문제점이 있었다.
본 발명은 이와 같은 문제점을 해결하기 위하여 제안된 것으로서, 입/출력되 는 패킷의 헤더를 일정 기간동안 분석하여 트래픽의 방향 및 서비스별로 이상 트래픽 여부를 판단하기 위한 기준을 학습하고, 이를 통해 이상 트래픽을 다이나믹하게 탐지하여 차단하는 것을 목적으로 한다.
본 발명의 다른 목적은, 상기 이상 트래픽 판단 기준을 초과하는 경우에도 소정의 오탐 방지 단계를 거치게 함으로써, 단시간 내에 정상 트래픽으로 복귀하는경우까지 차단하는 비효율적인 작동을 사전에 방지하는 것을 목적으로 한다.
이러한 목적을 달성하기 위한 본 발명의 이상 트래픽 탐지 및 차단 장치는, 미리 설정된 시간동안 입/출력되는 패킷들의 헤더를 분석하여 트래픽 로그 정보를 작성하는 트래픽 로그 작성 모듈과, 상기 트래픽 로그 정보를 참고하여 유입 방향별 및 각 서비스별 트래픽 임계치를 산출하여 이상 트래픽 정보를 작성하는 임계치 계산 모듈로 이루어지는 이상 트래픽 학습 모듈을 구비한다.
이때, 상기 이상 트래픽 탐지 및 차단 장치는, 미리 정의된 유해 패킷 정보를 이용하여 이상 트래픽 여부를 판단하고 이상 트래픽인 경우 패킷 탐지 및 차단 모듈에 차단 제어신호를 송신하는 제1 판단 모듈과, 상기 학습모듈에서 작성된 이상 트래픽 정보를 이용하여 이상 트래픽 여부를 판단하고 이상 트래픽인 경우 패킷 탐지 및 차단 모듈에 차단 제어신호를 송신하는 제2 판단 모듈로 이루어지는 이상 트래픽 검사 모듈과, 입/출력되는 패킷을 탐지하여 당해 패킷의 헤더 정보를 현재 선택된 모드에 따라 상기 이상 트래픽 학습 모듈 또는 상기 이상 트래픽 검사 모듈 로 전송하고, 상기 이상 트래픽 검사 모듈로부터 차단 제어신호를 수신하여 해당 패킷을 차단하는 패킷 탐지 및 차단 모듈과, 상기 트래픽 로그 정보, 이상 트래픽 정보 및 미리 정의된 유해 패킷 정보 를 저장하는 기억 모듈 및 상기 이상 트래픽 학습모듈, 상기 이상 트래픽 검사 모듈 및 패킷 탐지 및 차단 모듈로 관리자의 제어명령을 전달하기 위한 관리자 인터페이스를 더 포함하여 구성될 수 있다.
여기서, 상기 이상 트래픽 학습 모듈에는, 상기 이상 트래픽 정보에서, 임계치를 초과하더라도 차단하지 말아야 할 트래픽 항목을 삭제하고, 특정 트래픽 항목의 임계치를 임의의 값으로 수정하는 예외 처리 및 임계치 수정 모듈이 더 포함될 수 있다.
또한, 상기 이상 트래픽 검사 모듈에는, 상기 제2 판단 모듈에서 이상 트래픽으로 판단된 경우, 상기 패킷 탐지 및 차단 모듈로의 차단 제어신호 송신을 생략한 채, 상기 기억 모듈에 저장된 오탐 방지 정보에서 해당 트래픽에 대한 최초 탐지 시각으로부터의 경과 시간, 총 탐지 횟수를 갱신하고, 상기 경과 시간이 미리 설정된 허용 시간 이상이고 상기 총 탐지 횟수가 미리 설정된 허용 횟수 이상이면, 상기 경과시간 및 총 탐지 횟수를 초기화하고 상기 패킷 탐지 및 차단 모듈에 차단 제어신호를 송신하며, 상기 경과 시간이 미리 설정된 허용 시간 이상이고 상기 총 탐지 횟수가 미리 설정된 허용 횟수 미만이면, 상기 경과시간 및 총 탐지 횟수를 초기화하고, 상기 트래픽 탐지를 계속하고, 상기 경과 시간이 미리 설정된 허용 시간 미만이면, 상기 트래픽 탐지 단계를 계속하는 오탐 방지 모듈이 더 포함될 수 있고, 상기 오탐 방지 모듈은 미리 설정된 기간동안에만 적용되며, 그 기간이 경과 한 경우에는 상기 미리 설정된 허용 시간 및 미리 설정된 허용 횟수를 재설정받는 것을 특징으로 한다.
이하, 도면을 참조하여 본 발명의 바람직한 실시예에 대해서 상세히 설명한다.
도 2는 본 발명에 의한 이상 트래픽 탐지 및 차단 장치의 구조를 나타내는 블럭도이다.
관리자는 관리자 인터페이스(200)를 통해 이상 트래픽 학습 모듈(210), 이상 트래픽 검사 모듈(220) 및 패킷 탐지 및 차단 모듈(230)을 구동시키기 위한 제어 신호를 전달한다. 이를 위해 텍스트 모드를 제공하여 명령어를 입력시키도록 할 수도 있고, 그래픽 모드를 제공하여 소정의 메뉴를 제공함으로써 일정 항목을 선택하도록 할 수도 있다.
이상 트래픽 학습 모듈(210)은 트래픽 로그 작성 모듈(211), 임계치 계산 모듈(213) 및 예외 처리 및 임계치 수정 모듈(215)을 포함하여 구성되어 있으며, 이들 각각의 구성요소의 기능을 살펴보면 다음과 같다.
패킷 탐지 및 차단 모듈(230)은 현재 입/출력되는 패킷들을 실시간으로 탐지하고 있으며, 현재 모드가 학습 모드로 전환되어 있는 상태에서 탐지된 패킷의 헤더 정보를 트래픽 로그 작성 모듈(211)로 전송한다. 트래픽 로그 작성 모듈(211)은 전송받은 패킷 헤더 정보로부터 유입 방향(내부 => 외부, 외부 => 내부), 프로토콜 종류(TCP, UDP, ICMP, Syn 패킷 등), 포트 번호(서비스 종류, telnet: 23번, http: 80번 등), 최대 패킷량, 최소 패킷량, 평균 패킷량 등의 정보를 추출하여 이를 트래픽 로그 정보(212)로 작성한 후 저장한다.
임계치 계산 모듈(213)은 상기에서 작성된 트래픽 로그 정보(212)를 읽어와서, 최대/최소/평균 패킷량을 참조하여 유입 방향별 및 프로토콜 종류별로 이상 트래픽으로 판단하기 위한 임계치를 정의한 후 이를 이상 트래픽 정보(214)로 작성하여 저장한다.
이렇게 작성된 이상 트래픽 정보(214)에 해당하는 모든 트래픽을 이상 트래픽이라고 단정지을 수는 없는 바, 각 사이트나 시스템에서 제공하는 서비스가 무엇인가에 따라 유입되는 패킷량이 특히 과다하게 나타나는 경우 및 네트워크나 시스템의 관리상 목적 등 특별한 용도를 위해서 차단하지 말하야 하는 서비스가 있기 때문이다. 예외 처리 및 임계치 수정 모듈은 상기 이상 트래픽 정보로부터 이러한 특별 케이스에 해당하는 패킷을 삭제하거나, 해당 패킷에 대해 정의된 임계치를 임의로 수정할 수 있도록 한다. 이를 위해, 관리자 인터페이스(200)는 "예외 처리" 또는 "임계치 수정"과 같은 기능 메뉴 및 임의의 변경값을 입력할 수 있는 대화창 등을 제공하게 된다.
이상 트래픽 검사 모듈(220)은 제1 판단 모듈(221), 제2 판단 모듈(223) 및 오탐 방지 모듈(225)을 포함하여 구성되어 있으며, 이들 각각의 구성요소를 설명하면 다음과 같다.
패킷 탐지 및 차단 모듈(230)은 현재 입/출력되는 패킷들을 실시간으로 탐지하고 있으며, 현재 모드가 탐지 모드로 전환되어 있는 상태에서 탐지된 패킷의 헤 더 정보를 제1 판단 모듈(221)로 전송한다.
제1 판단 모듈(221)은 특정 기억장소에 저장되어 있는 미리 정의된 유해 패킷 정보(222)을 읽어온 다음, 이를 전송받은 패킷의 헤더를 분석한 내용과 비교한다. 여기서 미리 정의된 유해 패킷이라 함은 DoS, DDos, DRDos 및 해킹을 시도하는 패킷 등을 포함하는 유형을 말하며, 이러한 유해 패킷 정보(222)는 기존에 발견되어 보고된 패킷 종류를 모두 포함하거나, 기억장소가 제한되는 경우라면 최근 발생 빈도가 높은 종류를 우선적으로 포함하고 있다. 학습에 의해 파악될 수 있는 유해 패킷의 종류에는 한계가 있을 수 밖에 없으므로, 종래의 기술에 따라 기존의 정보를 1차적으로 이용하여 유해 패킷을 필터링하는 것이 효율적이기 때문이다.
제2 판단 모듈(223)은 상기 제1 판단 모듈(221)을 통해 1차적으로 걸러진 패킷들에 대하여 이를 학습된 이상 트래픽 정보(224)와 비교하여, 이상 트래픽 여부를 2차적으로 판별한다. 여기서 학습된 이상 트래픽 정보(224)라 함은 상기 이상 트래픽 학습 모듈(210)의 예외 처리 및 임계치 수정 모듈(215)를 거쳐 최종적으로 확정된 수정된 이상 트래픽 정보(216)를 가리키며, 양자는 동일한 것이다. 다만, 예외 처리 및 임계치 수정 모듈(215)이 선택적으로 장착할 수 있는 구성요소라고 한다면, 상기 학습된 이상 트래픽 정보(224)는 임계치 계산 모듈(213)에서 산출되어 저장된 이상 트래픽 정보(214)가 될 것이다.
제2 판단 모듈(223)에서는 현재 트래픽의 유입 방향, 서비스 종류 및 유입량을 파악한 후, 학습된 이상 트래픽 정보(224)에서 상기 유입 방향 및 서비스 종류에 해당되는 트래픽의 유입 임계치와 비교하여 이상 여부를 판별한다.
다만, 이러한 임계치 비교에 의해서 이상 트래픽을 확신할 수 없는 경우가 있는 바, 이를테면 짧은 시간동안 임계치를 초과하였지만 곧바로 정상으로 되돌아 오는 트래픽을 차단하는 것은 이를 차단하지 않는 것보다 오히려 비효율적인 경우가 더 많기 때문이다. 즉, 지속적인 이상 트래픽만이 본 발명의 관리 대상이고 할 수 있다.
이러한 경우를 일반적인 이상 트래픽과 차별화하여 차단 대상에서 제외하기 위해 오탐 방지 모듈(225)이 구비된다. 즉, 제2 판단 모듈(223)을 거쳐 이상 트래픽이라고 판정된 경우, 기억장치의 특정 영역에 저장되어 있는 오탐 방지 정보 중에서 해당 트래픽의 최초 탐지 시각으로부터의 경과 시간, 총 탐지 횟수를 갱신한 후, 상기 경과 시간이 관리자가 미리 설정한 허용 시간 이내이고 상기 총 탐지 횟수가 역시 관리자가 미리 설정한 허용 횟수 이상이면 비로서 해당 트래픽을 차단하는 것이다. 이때, 상기 경과 시간이 관리자가 미리 설정한 허용 시간을 벗어나면, 상기 오탐 방지 정보(226) 내의 경과시간 및 총 탐지 횟수는 초기화된다.
이를 예를 들어 설명하면 다음과 같다.
즉, 관리자가 허용 시간을 20초로, 허용 횟수를 3회로 미리 설정해 놓은 상태라면, 임계치를 초과하는 해당 트래픽이 20초 동안에 3회 이상 탐지되어야 비로서 이상 트래픽이라고 판정될 것이므로, 제2 판단 모듈에서 임계치를 초과한 트래픽이 탐지될 때마다 오탐 방지 정보의 경과 시간이 3초, 9초, 12초 등으로 갱신되고, 탐지 횟수가 각각 1회, 2회, 3회로 갱신되었다면, 상기 3번째 갱신에서 해당 트래픽이 이상 트래픽인 것으로 판단될 것이다.
다만, 이러한 오탐 방지 모듈의 허용 시간 및 허용 횟수 설정치는 역시 관리자가 설정한 일정 기간동안에만 유효하게 되며, 이러한 일정 기간이 종료하면 관리자로부터 새로운 값을 입력받아 재설정되어야 하고, 재설정이 이루어지지 않는 동안에는 상기 오탐 방지 모듈은 작동을 멈추게 되어 제2 판단 모듈의 작동으로 이상 트래픽 여부가 최종 판단된다. 즉, 관리자가 상기 오탐 방지 모듈의 작동 기간을 5일로 설정했다면, 작동 시점에서 5일이 경과한 후에는 새로운 작동시간을 재설정받기전까지 오탐방지 모듈은 작동을 멈추게 된다.
패킷 탐지 및 차단 모듈(230)은 이상 트래픽 학습 모듈(210) 및 이상 트래픽 검사 모듈(220)로 탐지된 패킷의 헤더 정보를 전송하며, 또한 이상 트래픽 검사 모듈(220)으로부터의 차단 제어신호를 수신하여 해당 트래픽을 차단한다.
도 3은 본 발명에 의한 이상 트래픽 학습 과정을 나타내는 흐름도이다.
관리자는 관리자 인테페이스에 구비된 특정 메뉴를 선택하여(또는 특정 명령어를 입력하여) 현재 모드를 학습 모드로 전환한다(S301). 관리자 인터페이스를 통해 학습 시간을 별도로 설정할 수도 있고, 관리자가 수동으로 학습을 종료시킬 수도 있으며, 여기에서는 전자의 경우를 대상으로 설명한다.
학습 모드로 전환되는 동시에 패킷 탐지 및 차단 모듈에 의해 현재 입/출력되는 패킷이 실시간으로 탐지되기 시작하며, 이는 관리자에 의해 학습 시작 메뉴가 선택됨으로서 개시될 수도 있다(S303).
탐지된 패킷의 헤더 정보는 이상 트래픽 학습 모듈의 트래픽 로그 작성 모듈 로 전송되며, 트래픽 로그 작성 모듈은 해당 패킷 헤더를 분석하여 각종 정보를 트래픽 로그 정보에 기록하여 파일로 저장한다(S305).
학습 시간이 종료되지 않았다면, 위와 같은 패킷 탐지 및 탐지된 패킷의 헤더 분석, 트래픽 로그 정보 작성 과정이 계속 반복된다.
학습 시간이 종료되면, 임계치 계산 모듈은 상기에서 작성된 트래픽 로그 정보를 참고하여 트래픽 방향별 및 서비스별로 트래픽의 임계치를 산출하여 이상 트래픽 정보에 기록하고 이를 파일로 저장한다(S309).
위에서 작성된 이상 트래픽 정보는 아직 완성된 정보라 할 수 없고, 예외 처리 및 임계치 수정 모듈을 통해 상기 이상 트래픽 정보중에서 예외적으로 차단하지 말아야 할 트래픽을 제외시키고, 특정 트래픽에 대한 임계치를 실정에 맞게 수정한 후(S311) 탐지 모드로 복귀한다(S313).
도 4는 본 발명에 의한 이상 트래픽 탐지 및 차단 과정을 나타내는 흐름도이다.
현재 모드가 탐지 모드이면, 패킷 탐지 및 차단 모듈은 실시간으로 입/출력되는 패킷을 탐지하여 그 헤더 정보를 이상 트래픽 검사 모듈의 제1 판단 모듈로 전송한다(S401).
제1 판단 모듈은 전송받은 헤더 정보를 분석하여 해당 패킷이 미리 정의된 유해 패킷 정보에 포함되는 것으로 판단되면, 패킷 탐지 및 차단 모듈로 트래픽 차단 제어 신호를 송신한다(S421). 다만, 그 전에 관리자에게 유해 패킷이 발견되었 다는 등의 내용을 포함하는 경고 메시지를 통보할 수 있으며(S419), 이는 선택적인 단계이다.
제1 판단 모듈에서 유해 패킷이 아닌 것으로 판단한 경우, 제2 판단 모듈은 현재 트래픽이 학습된 이상 트래픽 정보에 의한 트래픽 임계치를 초과하는지를 판단한다(S405). 여기서 임계치를 초과한 모든 트래픽에 대하여 차단을 실시하는 것은 비효율적이라는 것은 미리 설명한 바와 같으므로, 오탐 방지 모듈에 의해 별도의 검사 단계를 더 거치도록 한다.(S407)
이러한 오탐 방지 모듈은 관리자가 설정한 일정 기간 동안에만 작동하게 되며(S409), 상기 일정 기간이 경과하면 관리자로부터 새로운 기간을 재설정받기까지 오탐 방지 모듈의 작동은 정지하며(S417), 이 경우에는 제2 판단 모듈에 의해 최종 이상 트래픽이 판별된다.
제2 판단 모듈에서 임계치를 초과한 트래픽으로 판단된 경우, 오탐 방지 정보 중에서 해당 트래픽의 최초 탐지 시각으로부터의 경과 시간, 총 탐지 횟수를 갱신하되(S411), 상기 경과 시간이 미리 설정된 허용 시간 이상이고, 상기 총 탐지 횟수가 미리 설정된 허용 횟수 이상이면 상기 경과시간 및 총 탐지 횟수를 초기화하고(S415), 패킷 탐지 및 차단 모듈로 해당 트래픽의 차단 제어 신호를 전송한다(S421).
또한, 상기 경과 시간이 미리 설정된 허용 시간 이상이고, 상기 총 탐지 횟수가 미리 설정된 허용 횟수 미만이면, 상기 경과시간 및 총 탐지 횟수를 초기화하고(S416), 상기 트래픽 탐지를 계속한다. 그러나, 상기 경과 시간이 미리 설정된 허용 시간 미만이면 트래픽 탐지만을 계속한다.
도 5는 본 발명에서 트래픽 학습을 위해 유지되는 트래픽 로그 정보의 내부 구성도를 나타낸다.
여기서 프로토콜의 종류(501)로는 TCP, UDP, ICMP, Syn 패킷 등이 될 수 있고, 트래픽 방향(503)은 내부 => 외부, 외부 => 내부 중 어느 하나가 되며, 포트 번호(505)는 서비스의 종류를 가리키는 것으로서, 공식적인 서비스로 telnet은 23번, http은 80번 등으로 할당되어 있으나, 기타 공식 서비스가 아닌 것은 사용자가 직접 할당할 수도 있다. 그 외에 최대 패킷량(507), 최소 패킷량(509), 평균 패킷량(511)을 저장하여 임계치 계산부가 이상 트래픽 임계치를 산출하는데 참고할 수 있도록 한다.
도 6은 본 발명에서 트래픽 학습을 통해 최종적으로 작성되 이상 트래픽 정보의 내부 구성도를 나타낸다.
여기에는 프로토콜 종류(601), 트래픽 방향(603), 포트 번호(605) 외에도 임계치 계산 모듈이 상기 도 5의 트래픽 로그 정보를 참고하여 산출한 트래픽 임계치(607)가 포함되어 있으나, 최대/최소/평균 패킷량은 임계치 산출로 인해 그 필요성이 다하였으므로 제외되어 있다. 이러한 이상 트래픽 정보의 구성은 예외 처리 및 임계치 수정 모듈을 거친 최종 이상 트래픽 정보의 내부 구성과 동일하며, 다만 예외처리로 인해 항목의 일부가 삭제되고 임계치의 값이 변경된 항목이 있다는 차이점만이 있게 된다.
도 7은 본 발명에서 트래픽의 오탐지 방지를 위해 유지되는 오탐 방지 정보의 내부 구성도를 나타낸다.
여기에는 상기 도 6의 정보 내용 즉 프로토콜 종류(701), 트래픽 방향(703), 포트 번호(705), 트래픽 임계치(707) 외에 트래픽의 최초 탐지 시각으로부터의 경과 시간(709) 및 총 탐지 횟수(711)을 더 포함하고 있다. 이는 이상 트래픽 검사 과정 중 오탐 방지 단계에서 현재 임계치를 초과하는 것으로 탐지된 트래픽에 대하여 최종적으로 이상 트래픽으로 볼 것인지 아니면 오탐지한 것으로 볼 것인지를 판별할 수 있도록 하는 참고 자료가 된다.
한편 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러가지 변형이 가능함은 물론이며, 특히 본 발명에 의한 이상 트래픽 탐지 및 차단 장치를 소프트웨어로 구현하여 이를 컴퓨터가 읽을 수 있는 저장매체에 저장한 후 실행시키는 것도 가능하다. 결국 본 발명의 범위는 설명된 실시예에 국한되지 않으며, 후술되는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 할 것이다.
본 발명에 의하면, 일정기간 학습된 패킷헤더정보를 이용하여 유입방향별 및 각 서비스별 트래픽 임계치를 산출함으로써 종래의 IP별, 프로토콜 별 임계치 산출시보다 보다 정확하게 이상 트래픽을 구분해 낼 수 있으며, 정상 트래픽까지도 이 상 트래픽으로 오인하여 차단하는 불합리를 개선할 수 있는 효과가 있다.
또한, 본 발명에 의하면 현재 트래픽이 트래픽 임계치를 초과하는 경우라도 곧바로 정상으로 복귀하는 트래픽까지 차단하는 것은 비효율적이므로 이러한 경우를 판별하는 오탐 방지 모듈을 구비함으로써 트래픽 차단이 오히려 네트워크를 지연시키는 원인이 되는 모순이 발생하는 것을 방지하는 효과가 있다.

Claims (14)

  1. 일정기간 학습한 트래픽 정보로부터 이상 트래픽 판단 기준을 산출하여 이를 통해 이상 트래픽을 탐지 및 차단하는 장치에 있어서,
    미리 설정된 시간동안 입/출력되는 패킷들의 헤더를 분석하여 트래픽 로그 정보를 작성하는 트래픽 로그 작성 모듈과,
    상기 트래픽 로그 정보를 참고하여 트래픽 방향별 및 각 서비스별 트래픽 임계치를 산출하여 이상 트래픽 정보를 작성하는 임계치 계산 모듈,
    로 이루어지는 이상 트래픽 학습 모듈을 구비하는 것을 특징으로 하는 이상 트래픽 탐지 및 차단 장치.
  2. 제 1 항에 있어서,
    상기 이상 트래픽 학습 모듈에는,
    상기 이상 트래픽 정보에서, 임계치를 초과하더라도 차단하지 말아야 할 트래픽 항목을 삭제하고, 특정 트래픽 항목의 임계치를 임의의 값으로 수정하는 예외 처리 및 임계치 수정 모듈이 더 포함되는 것을 특징으로 하는 이상 트래픽 탐지 및 차단 장치.
  3. 제 1 항에 있어서,
    상기 트래픽 로그 정보는,
    트래픽의 방향, 프로토콜 종류, 포트 번호, 최대 패킷량, 평균 패킷량, 최소 패킷량을 포함하는 것임을 특징으로 하는 이상 트래픽 탐지 및 차단 장치.
  4. 제 1 항에 있어서,
    상기 이상 트래픽 탐지 및 차단 장치는,
    미리 정의된 유해 패킷 정보를 이용하여 이상 트래픽 여부를 판단하고 이상 트래픽인 경우 패킷 탐지 및 차단 모듈에 차단 제어신호를 송신하는 제1 판단 모듈과, 상기 학습모듈에서 작성된 이상 트래픽 정보를 이용하여 이상 트래픽 여부를 판단하고 이상 트래픽인 경우 패킷 탐지 및 차단 모듈에 차단 제어신호를 송신하는 제2 판단 모듈로 이루어지는 이상 트래픽 검사 모듈;
    입/출력되는 패킷을 탐지하여 당해 패킷의 헤더 정보를 현재 선택된 모드에 따라 상기 이상 트래픽 학습 모듈 또는 상기 이상 트래픽 검사 모듈로 전송하고, 상기 이상 트래픽 검사 모듈로부터 차단 제어신호를 수신하여 해당 패킷을 차단하는 패킷 탐지 및 차단 모듈;
    상기 트래픽 로그 정보, 이상 트래픽 정보 및 미리 정의된 유해 패킷 정보 를 저장하는 기억 모듈; 및
    상기 이상 트래픽 학습모듈, 상기 이상 트래픽 검사 모듈 및 패킷 탐지 및 차단 모듈로 관리자의 제어명령을 전달하기 위한 관리자 인터페이스;
    를 더 포함하여 구성되는 것임을 특징으로 하는 이상 트래픽 탐지 및 차단 장치.
  5. 제 4 항에 있어서,
    상기 이상 트래픽 검사 모듈에는,
    상기 제2 판단 모듈에서 이상 트래픽으로 판단된 경우, 상기 패킷 탐지 및 차단 모듈로의 차단 제어신호 송신을 생략한 채, 상기 기억 모듈에 저장된 오탐 방지 정보에서 해당 트래픽에 대한 최초 탐지 시각으로부터의 경과 시간, 총 탐지 횟수를 갱신하고,
    상기 경과 시간이 미리 설정된 허용 시간 이상이고 상기 총 탐지 횟수가 미리 설정된 허용 횟수 이상이면, 상기 경과시간 및 총 탐지 횟수를 초기화하고 상기 패킷 탐지 및 차단 모듈에 차단 제어신호를 송신하며,
    상기 경과 시간이 미리 설정된 허용 시간 이상이고 상기 총 탐지 횟수가 미리 설정된 허용 횟수 미만이면, 상기 경과시간 및 총 탐지 횟수를 초기화하고, 상기 트래픽 탐지를 계속하고,
    상기 경과 시간이 미리 설정된 허용 시간 미만이면, 상기 트래픽 탐지 단계를 계속하는 오탐 방지 모듈이 더 포함되어 있고;
    이러한 오탐 방지 모듈은 미리 설정된 기간동안에만 작동되며, 그 기간이 경과한 경우에는 상기 미리 설정된 허용 시간 및 미리 설정된 허용 횟수를 재설정받는 것을 특징으로 하는 이상 트래픽 탐지 및 차단 장치.
  6. 제 4 항에 있어서,
    상기 이상 트래픽 검사 모듈 중 제1 판단 모듈에서의 미리 정의된 유해 패킷정보는,
    DoS, DDos, DRDos 및 해킹을 포함하는 패킷 유형에 관한 정보를 포함하고 있는 것임을 특징으로 하는 이상 트래픽 탐지 및 차단 장치.
  7. 일정기간 학습한 트래픽 정보로부터 이상 트래픽 판단 기준을 산출하여 이를 통해 이상 트래픽을 탐지 및 차단하는 방법에 있어서,
    학습 모드에서, 소정의 시간동안 입/출력되는 패킷들을 분석하여 이상 트래픽 판단 기준을 설정하는 트래픽 학습 단계;
    탐지 모드에서, 현재 입/출력중인 패킷들을 분석하여 현재 트래픽이 상기 트래픽 학습 단계에서 설정된 이상 트래픽 판단 기준을 초과하는지 검사하는 트래픽 탐지 단계; 및
    상기 검사 결과, 이상 트래픽으로 판단되는 경우 해당 트래픽을 차단하는 트래픽 차단 단계;
    를 포함하여 이루어지는 것을 특징으로 하는 이상 트래픽 탐지 및 차단 방법.
  8. 제 7 항에 있어서,
    상기 트래픽 학습 단계는,
    미리 설정된 시간동안 입/출력되는 패킷들의 헤더를 분석하여 트래픽 로그 정보를 작성하는 제 1 단계; 및
    상기 트래픽 로그 정보를 참고하여 유입 방향별 및 각 서비스별 트래픽 임계치를 산출하고, 이를 이상 트래픽 판단 기준으로 정의하는 제 2 단계;
    를 포함하여 이루어지는 것임을 특징으로 하는 이상 트래픽 탐지 및 차단 방법.
  9. 제 8 항에 있어서,
    상기 제 2 단계 이후에,
    트래픽 임계치를 초과하더라도 차단하지 말아야 할 서비스를 지정하는 예외 처리 단계; 및
    특정 트래픽 임계치를 임의의 값으로 변경하는 임계치 수정 단계;
    가 더 포함되는 것을 특징으로 하는 이상 트래픽 탐지 및 차단 방법.
  10. 제 8 항에 있어서,
    상기 트래픽 로그 정보는,
    트래픽의 방향, 프로토콜 종류, 포트 번호, 최대 패킷량, 평균 패킷량, 최소 패킷량을 포함하는 것임을 특징으로 하는 이상 트래픽 탐지 및 차단 방법.
  11. 제 7 항에 있어서,
    상기 트래픽 탐지 단계에는,
    상기 트래픽 탐지 단계 이전에, 현재 입/출력중인 패킷이 미리 정의된 유해 패킷에 해당하는지 검사하여, 유해 패킷으로 판단되는 경우 이를 이상 트래픽으로 간주하는 유해 패킷 탐지 단계가 더 포함되는 것을 특징으로 하는 이상 트래픽 탐지 및 차단 방법.
  12. 제 11 항에 있어서,
    상기 미리 정의된 유해 패킷은 DoS, DDos, DRDos 및 해킹을 포함하는 패킷 유형 중 어느 하나임을 특징으로 하는 이상 트래픽 탐지 및 차단 방법.
  13. 제 7 항에 있어서,
    상기 트래픽 탐지 단계에는,
    상기 트래픽 탐지 단계의 검사 결과 이상 트래픽으로 판단된 경우, 오탐 방지 정보 에서 해당 트래픽의 최초 탐지 시각으로부터의 경과 시간, 총 탐지 횟수를 갱신하는 제 1 단계,
    상기 경과 시간이 미리 설정된 허용 시간 이상이고, 상기 총 탐지 횟수가 미리 설정된 허용 횟수 이상이면, 상기 경과시간 및 총 탐지 횟수를 초기화하고, 상기 제 7 항의 트래픽 차단 단계로 진행하는 제 2 단계,
    상기 경과 시간이 미리 설정된 허용 시간 이상이고, 상기 총 탐지 횟수가 미리 설정된 허용 횟수 미만이면, 상기 경과시간 및 총 탐지 횟수를 초기화하고, 상기 제 7 항의 트래픽 탐지 단계를 반복하는 제 3 단계, 및
    상기 경과 시간이 미리 설정된 허용 시간 미만이면, 상기 제 7 항의 트래픽 탐지 단계를 반복하는 제 4 단계,
    로 이루어지는 오탐 방지 단계가 더 포함되는 것을 특징으로 하는 이상 트래픽 탐지 및 차단 방법.
  14. 제 13 항에 있어서,
    상기 오탐 방지 단계는,
    미리 설정된 기간동안에만 적용될 수 있으며, 그 기간이 경과한 경우에는 상기 미리 설정된 허용 시간 및 미리 설정된 허용 횟수를 재설정받는 것을 특징으로 하는 이상 트래픽 탐지 및 차단 방법.
KR1020040054643A 2004-07-14 2004-07-14 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법 KR100614757B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040054643A KR100614757B1 (ko) 2004-07-14 2004-07-14 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040054643A KR100614757B1 (ko) 2004-07-14 2004-07-14 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법

Publications (2)

Publication Number Publication Date
KR20060005719A true KR20060005719A (ko) 2006-01-18
KR100614757B1 KR100614757B1 (ko) 2006-08-21

Family

ID=37117629

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040054643A KR100614757B1 (ko) 2004-07-14 2004-07-14 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법

Country Status (1)

Country Link
KR (1) KR100614757B1 (ko)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100756462B1 (ko) * 2006-02-03 2007-09-07 엘지엔시스(주) 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법
KR100766724B1 (ko) * 2006-06-20 2007-10-17 (주)한드림넷 보안스위치 및 보안시스템 및 방법
KR100793633B1 (ko) * 2006-08-16 2008-01-10 전자부품연구원 트래픽 컨디셔닝 장치 및 트래픽 컨디셔닝 제공 방법
KR100862903B1 (ko) * 2007-05-15 2008-10-13 주식회사 나우콤 프로토콜 무결성 고속 검출 장치 및 검출 방법
KR100910761B1 (ko) * 2006-11-23 2009-08-04 한국전자통신연구원 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템
KR100957212B1 (ko) * 2007-10-02 2010-05-11 주식회사 케이티 트래픽 관리 시스템, 방법 및 방법 프로그램을 기록한저장매체
KR100972018B1 (ko) * 2007-10-17 2010-07-22 주식회사 케이티 유해 정보를 포함하는 패킷 데이터 차단 방법 및 이를이용한 개량형 침입 방지 시스템
KR101236129B1 (ko) * 2011-07-19 2013-02-28 주식회사 엔피코어 비정상 트래픽 제어 장치 및 방법
WO2014032292A1 (zh) * 2012-08-31 2014-03-06 华为技术有限公司 防御承载攻击的方法及设备
KR101374009B1 (ko) * 2007-07-09 2014-03-13 주식회사 엘지씨엔에스 이상 트래픽 차단 장치 및 방법
KR101400127B1 (ko) * 2012-09-05 2014-05-28 주식회사 시큐아이 비정상 데이터 패킷 검출 방법 및 장치
KR101460327B1 (ko) * 2008-06-25 2014-11-10 주식회사 케이티 비정상 트래픽 검출 장치 및 그 방법
US9398040B2 (en) 2013-11-26 2016-07-19 Electronics And Telecommunications Research Institute Intrusion detection system false positive detection apparatus and method
KR20180052324A (ko) * 2016-11-10 2018-05-18 한국전자통신연구원 분산 반사 서비스 거부 공격 탐지 장치 및 방법
US10447715B2 (en) 2016-03-02 2019-10-15 Electronics And Telecommunications Research Institute Apparatus and method of detecting distributed reflection denial of service attack based on flow information
CN112965970A (zh) * 2021-03-22 2021-06-15 湖南大学 一种基于哈希算法的异常流量并行检测方法及系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
KR20020024508A (ko) * 2000-09-25 2002-03-30 김병기 네트워크 침입탐지를 위한 비정상행위 탐지기법
KR100439170B1 (ko) * 2001-11-14 2004-07-05 한국전자통신연구원 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법
KR100466214B1 (ko) * 2001-12-21 2005-01-14 한국전자통신연구원 가변적인 보안 상황을 반영하는 보안 등급 설정방법 및이를 위한 기록 매체

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100756462B1 (ko) * 2006-02-03 2007-09-07 엘지엔시스(주) 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법
KR100766724B1 (ko) * 2006-06-20 2007-10-17 (주)한드림넷 보안스위치 및 보안시스템 및 방법
KR100793633B1 (ko) * 2006-08-16 2008-01-10 전자부품연구원 트래픽 컨디셔닝 장치 및 트래픽 컨디셔닝 제공 방법
KR100910761B1 (ko) * 2006-11-23 2009-08-04 한국전자통신연구원 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템
KR100862903B1 (ko) * 2007-05-15 2008-10-13 주식회사 나우콤 프로토콜 무결성 고속 검출 장치 및 검출 방법
KR101374009B1 (ko) * 2007-07-09 2014-03-13 주식회사 엘지씨엔에스 이상 트래픽 차단 장치 및 방법
KR100957212B1 (ko) * 2007-10-02 2010-05-11 주식회사 케이티 트래픽 관리 시스템, 방법 및 방법 프로그램을 기록한저장매체
KR100972018B1 (ko) * 2007-10-17 2010-07-22 주식회사 케이티 유해 정보를 포함하는 패킷 데이터 차단 방법 및 이를이용한 개량형 침입 방지 시스템
KR101460327B1 (ko) * 2008-06-25 2014-11-10 주식회사 케이티 비정상 트래픽 검출 장치 및 그 방법
KR101236129B1 (ko) * 2011-07-19 2013-02-28 주식회사 엔피코어 비정상 트래픽 제어 장치 및 방법
WO2014032292A1 (zh) * 2012-08-31 2014-03-06 华为技术有限公司 防御承载攻击的方法及设备
KR101400127B1 (ko) * 2012-09-05 2014-05-28 주식회사 시큐아이 비정상 데이터 패킷 검출 방법 및 장치
US9398040B2 (en) 2013-11-26 2016-07-19 Electronics And Telecommunications Research Institute Intrusion detection system false positive detection apparatus and method
US10447715B2 (en) 2016-03-02 2019-10-15 Electronics And Telecommunications Research Institute Apparatus and method of detecting distributed reflection denial of service attack based on flow information
KR20180052324A (ko) * 2016-11-10 2018-05-18 한국전자통신연구원 분산 반사 서비스 거부 공격 탐지 장치 및 방법
US10693908B2 (en) 2016-11-10 2020-06-23 Electronics And Telecommunications Research Institute Apparatus and method for detecting distributed reflection denial of service attack
CN112965970A (zh) * 2021-03-22 2021-06-15 湖南大学 一种基于哈希算法的异常流量并行检测方法及系统

Also Published As

Publication number Publication date
KR100614757B1 (ko) 2006-08-21

Similar Documents

Publication Publication Date Title
KR100614757B1 (ko) 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법
US7707633B2 (en) Applying blocking measures progressively to malicious network traffic
US7624447B1 (en) Using threshold lists for worm detection
US8087085B2 (en) Wireless intrusion prevention system and method
US7526806B2 (en) Method and system for addressing intrusion attacks on a computer system
US7934254B2 (en) Method and apparatus for providing network and computer system security
KR20130005301A (ko) 정보 시스템 기반구조의 보안 정책 조정 방법
US7617526B2 (en) Blocking of spam e-mail at a firewall
US11128670B2 (en) Methods, systems, and computer readable media for dynamically remediating a security system entity
NZ516346A (en) A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack
CA2629723A1 (en) Intrusion event correlation with network discovery information
US9838878B2 (en) Detecting undesirable signalling traffic
KR100950900B1 (ko) 분산서비스거부 공격 방어방법 및 방어시스템
KR101268104B1 (ko) 침입방지시스템 및 그 제어방법
CN109274638A (zh) 一种攻击源接入自动识别处理的方法和路由器
JP4149366B2 (ja) ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラム
KR101400127B1 (ko) 비정상 데이터 패킷 검출 방법 및 장치
KR20080040257A (ko) 네트워크 수준의 웜, 바이러스 조기 탐지 방법 및 장치
CN115208596B (zh) 网络入侵防御方法、装置及存储介质
Kavyashree et al. TCP Attack Detection Using Dynamic Threshold
CN115622754A (zh) 一种检测并防止mqtt漏洞的方法、系统和装置
CN116264510A (zh) 拒绝服务攻击防御方法及装置、可读存储介质
CN116208412A (zh) 一种基于虚拟机的恶意流量识别与监控方法
TW202340988A (zh) 依記錄分析結果執行任務以實現設備聯防之系統及方法
KR100685050B1 (ko) 제어계측시스템용 네트워크 침입대응방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120109

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20130530

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150728

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20160701

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20170703

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20180703

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20190708

Year of fee payment: 14