KR20060013491A - 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 - Google Patents

어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 Download PDF

Info

Publication number
KR20060013491A
KR20060013491A KR1020057018304A KR20057018304A KR20060013491A KR 20060013491 A KR20060013491 A KR 20060013491A KR 1020057018304 A KR1020057018304 A KR 1020057018304A KR 20057018304 A KR20057018304 A KR 20057018304A KR 20060013491 A KR20060013491 A KR 20060013491A
Authority
KR
South Korea
Prior art keywords
attack
data
signature
network
data network
Prior art date
Application number
KR1020057018304A
Other languages
English (en)
Other versions
KR100800370B1 (ko
Inventor
클라우스 줄리쉬
제임스 에프 리오르단
Original Assignee
인터내셔널 비지네스 머신즈 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인터내셔널 비지네스 머신즈 코포레이션 filed Critical 인터내셔널 비지네스 머신즈 코포레이션
Publication of KR20060013491A publication Critical patent/KR20060013491A/ko
Application granted granted Critical
Publication of KR100800370B1 publication Critical patent/KR100800370B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 데이터 처리 시스템으로 할당된 다수의 어드레스를 갖는 제 2 데이터 네트워크에서 사용가능한 어택 서명(attack signature)을 제 1 데이터 네트워크로부터의 요청으로부터 생성하는 방법을 제공하며, 이 방법은 제 3 데이터 네트워크 내의 다수의 비할당 어드레스(unassigned address)로 어드레싱된 데이터 트래픽을 상기 제 1 데이터 네트워크로부터 수신하는 수신 단계와, 상기 수신된 데이터 트래픽의 몇 개의 사건들을 공통 데이터 패턴에 대해서 검사하는 검사 단계와, 상기 공통 데이터 패턴을 발견한 후에, 상기 제 2 데이터 네트워크에 대한 어택을 검출하는데 사용하기 위한 상기 어택 서명을 상기 대응하는 데이터 트래픽으로부터 결정하는 결정 단계를 포함한다. 본 발명은 데이터 처리 시스템으로 할당된 다수의 어드레스를 갖는 제 2 데이터 네트워크에서 사용가능한 어택 서명을 제 1 데이터 네트워크로부터의 요청으로부터 생성하는 방법을 장치를 제공한다. 또한, 본 발명은 데이터 처리 시스템의 프로세서에 로딩되어 전술한 어택 서명 생성 방법을 수행하도록 프로세서를 구성하는 컴퓨터 프로그램 코드 수단을 포함하는 컴퓨터 프로그램 소자를 제공한다. 또한, 본 발명은 검출된 어택을 처리할 시에 엔티티를 지원하는 방법도 제공한다.

Description

어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 프로그램 소자 및 어택 서명 생성 장치{NETWORK ATTACK SIGNATURE GENERATION}
본 발명은 전반적으로 네트워크 어택(network attack)을 검출할 시에 사용되는 어택 서명(attack signature)의 생성 및 데이터 네트워크 상에서 어택 서명을 생성하는 방법, 장치 및 컴퓨터 프로그램 소자에 관한 것이다.
인터넷은 다수의 상호접속된 데이터 네트워크로 형성된 광대역 데이터 네트워크이다. 동작시에, 인터넷은 원격 위치 데이터 처리 시스템들의 범위 간에 데이터 통신을 구현한다. 이러한 데이터 처리 시스템 각각은 통상적으로 CPU, 메모리 서브시스템, 입출력 서브시스템 및 CPU에 의해서 실행되며 메모리 서브시스템 내에 저장된 컴퓨터 프로그램 코드를 포함한다. 통상적으로, 인터넷에 접속된 최종 사용자 데이터 처리 시스템은 클라이언트 데이터 처리 시스템 또는 간단하게 클라이언트로서 지칭된다. 이와 마찬가지로, 인터넷을 통해서 클라이언트가 액세스하는 웹 사이트 또는 서비스를 호스팅(host)하는 데이터 처리 시스템은 서버 데이터 처리 시스템 또는 간단하게 서버로서 지칭된다. 최종 사용자 데이터 처리 시스템과 호스팅 데이터 처리 시스템 간의 인터넷을 통해서 확립된 서버-클라이언트 관계가 존재한다.
인터넷은 클라이언트와 서버 간의 전자적으로 실행되는 상업적 상호작용을 구현하는 중요한 통신 네트워크가 되었다. 인터넷으로의 액세스는 통상적으로 ISP(internet service provider)를 통해서 이러한 엔티티들로 제공된다. 각각의 ISP는 통상적으로 클라이언트 또는 서버가 가입한 네트워크를 동작시킨다. 각 클라이언트에는 네트워크 상의 어드레스가 제공된다. 마찬가지로, 네트워크 상의 각 서버에도 어드레스가 제공된다. ISP에 의해서 운영되는 네트워크는 라우터로 지칭되는 전용 데이터 처리 시스템을 통해서 인터넷으로 접속된다. 동작 시에, 라우터는 입력 통신 트래픽을 인터넷에서 네트워크 상의 IP 어드레스 및 셀폰 어드레스(전화 번호)와 같은 특정 어드레스로 향하게 한다. 마찬가지로, 라우터는 출력 통신 트래픽을 네트워크에서 인터넷 상의 특정 어드레스 방향으로 향하게 한다.
수많은 데이터 네트워크 사용자로 인해서 그 네트워크에 대한 전자적 어택의 빈도가 증가하고 있다. 이러한 어택은 컴퓨터 바이러스 어택, "웜(worm)" 어택 및 서비스 수락 거부 어택(DOS 어택)을 포함한다. 웜 어택 및 DOS 어택은 통상적으로 네트워크의 성능을 상당히 저하시킨다. 이 네트워크에 접속된 감염된 시스템은 통상적으로 그 네트워크 내부에서 그 감염을 확산시키려 한다. 수많은 사용자가 이러한 시스템들이 감염되었음을 인식하지 않는다. 감염된 시스템에 대해서, 후속하는 감염 제거 단계에 앞서서 침입 검출 단계가 네트워크 성능을 증가시키기 위해서 수행될 수 있다. 침입을 검출하기 위해서, 침입 검출 시스템은 기지의 어택을 분 석함으로써 발생하고 이러한 어택을 특성화하는 이른바 어택 서명을 이용할 수 있다. 몇몇 침입 검출 시스템은 몇 개의 어택 서명을 포함하며 이러한 어택 서명과 데이터 트래픽을 비교하여 이 데이터 트래픽이 어택과 관련 가능성이 있는지의 여부를 결정하는 데이터베이스를 사용한다.
US 2002/0143963 A1 호는 HTTP 리퀘스트 형식으로 침입 어택으로부터 웹 서버의 보호를 개선하는 장치를 개시한다. 이는 알려진 해커의 최소한의 파일, 파일 카테고리 및 주소를 포함할 수 있는 사전규정된 어택 서명 목록과 입력 요청을 비교함으로써 성취된다. 이어서, 긍정적인 비교가 결정되면 요청이 거절된다. 또한, 웹 서버에게는 잠재적 손상의 강도 및 소정의 요청자로부터의 거절된 요청의 빈도에 따라서 잠재적 차후 동작에 대한 거절된 요청과 관련되어 제공된 관련 데이터가 통지된다.
어택 서명을 생성하는 광범위하게 사용되는 방법은 해커 메일링 목록을 모니터링하고 검출하기를 원하는 어택에 응답하여 어택 서명을 수동으로 조작하는 것이다. ACM Transactions on Information and System Security(TISSEC), 3(4):227-261,2000 에서 Wenke Lee 및 Salvatore J.Stolfo 에 의한 "A Framework for Constructing Features and Models for Intrusion Detection Systems"는 어택 실례로부터 어택 서명을 학습하는 방법을 개시한다. 그러나, 이 방법은 통상적으로 어택의 실례가 존재하고 따라서 그들의 특성을 학습할 수 있다는 가정을 두고 있다. 이는 일반적으로는 적용되지 않으며 적합한 어택 실례를 획득하는 것이 바람직하다.
본 발명에 따라서, 제 1 데이터 네트워크 상의 요청으로부터 제 2 데이터 네트워크에서 사용되기 위한 어택 서명을 생성하는 방법이 제공되며, 이 방법은 제 3 데이터 네트워크 내의 다수의 비할당 어드레스로 어드레싱된 데이터 트래픽을 상기 제 1 데이터 네트워크로부터 수신하는 수신 단계와, 공통 데이터 패턴에 대해서 상기 수신 단계에서 수신된 상기 데이터 트래픽의 몇 개의 사건을 검사하는 검사 단계와, 상기 공통 데이터 패턴을 발견한 후에 상기 제 2 데이터 네트워크 상에서 어택을 검출할 시에 사용되는 어택 서명을 상기 대응하는 데이터 트래픽으로부터 결정하는 결정 단계를 포함한다. 이러한 어택 서명 생성 단계는 비할당 어드레스로 향하는 네트워크 트래픽은 선험적으로 문제가 있다고 보고 있으며 실제 어택이 될 확률이 높다는 사상을 이용하고 있다. 이러한 어택이 될 확률이 높다는 것을 이용하여 보다 정확한 어택 검출 결과를 낳는 것으로 기대되는 보다 많은 어택 서명이 생성된다.
용어 "비할당"은 본 명세서에서 어택 서명을 생성하거나 침입을 검출하는 장치가 아닌 다른 물리적 디바이스로 할당되지 않는 어드레스를 포함하는 것을 의미한다. 본 발명에 따른 방법을 실행하도록 설계된 장치는 본 발명을 사용하기 위해서 상기 "비할당" 어드레스로 실제로 할당되는 디바이스일 것이다. 이들 어드레스는 서명 생성 또는 침입 검출 기능 이외의 다른 기능을 갖는 임의의 디바이스로 할당되지 않기 때문에 지금까지는 비할당 상태에 있다. 이로써, 이러한 할당되지 않는 어드레스로 어드레싱된 데이터 트래픽은 상기 장치에 의해 수신되며 청구된 방법을 받게 된다.
본 발명의 바람직한 실시예에서, 이 방법은 수신된 데이터 트래픽 내에 포함된 요청을 전송한 소스에 대한 응답을 스푸핑(spoofing)하는 응답 단계를 포함한다. 이로써, 보다 많은 정보가 그 요청의 소스로부터 획득될 수 있다.
상술한 응답 단계는 수신된 데이터 트래픽에 의해 사용된 프로토콜의 타입에 의존하는 선택 기준을 사용하여 선택적으로 실행될 수 있다. 몇몇 프로토콜에서, 이미 수신된 요청은 공통 데이터 패턴에 대해 검사를 수행할 수 있을 정도의 충분한 정보를 포함한다. 이러한 경우에 스푸핑된 응답을 소스로 전송할 필요가 없다.
데이터 트래픽의 사건이 오직 스푸핑된 응답에 응답하는 소스 및 응답 단계를 받지 않는 소스로부터로만 선택되는 경우에, 어택 서명을 생성하는데 사용되는 데이터의 감소가 성취될 수 있다. 이러한 감소는 데이터를 실제 어택일 될 확률이 높은 사건 및 처음 봐서는 어택처럼 보이는 이른바 폴스 포지티브(false positives)인 데이터 트래픽의 무결하지 않는 사건으로 집중시킬 수 있기 때문에 유용하다. 이러한 선택은 서명 생성 방법에서 다수의 폴스 포지티브를 감소시킬 수 있다.
본 발명의 바람직한 실시예에서, 검사 단계는 그 데이터 트래픽의 소스 어드레스, 소스 포트, 프로토콜 타입 및 수신지 포트 중 하나일 수 있는 접속 속성에 따라서 사건을 저장하는 단계를 포함한다. 접속 속성 값에 따른 이러한 클러스터링은 보다 많은 사건이 클러스터에 속할수록 그 데이터 트래픽이 실제 어택이 될 확률이 높기 때문에 어택으로서 데이터 트래픽을 식별하는 방법이다.
본 발명의 바람직한 실시예에서, 결정 단계는 공통 데이터 서브스트링을 사건의 개수를 카운팅하는 단계 및 그 수가 사전결정된 수를 초과하는 데이터 서브스트링을 어택 서명으로서 규정하는 단계를 포함한다. 그러므로, 가장 빈번하게 발생하는 데이터 서브스트링을 나타내는 가장 큰 클러스터가 어택 서명을 생성하는데 사용된다. 이 데이터 서브스트링의 빈도는 여기에서 참 어택이며 폴스 포지티브가 아닌 어택이 될 확률의 다른 표시자로서 사용된다. 이와 동시에, 가장 큰 클러스터는 그들의 빈도로 인해서 시스템 사용자에게 보다 큰 위험을 나타내는 어택을 표현한다.
본 발명의 바람직한 실시예에서, 어택 서명은 제 2 데이터 네트워크로 할당된 또한 침입 검출기로서 지칭되는 침입 검출 시스템으로 전송된다. 이러한 침입 검출기는 이어서 이 어택 서명을 그의 서명 라이브러리로 통합시키고 이를 사용하여 이를 데이터 트래픽과 비교하여 어택 식별 및 처리를 한다.
본 발명의 바람직한 실시예에서, 제 1 데이터 네트워크 및 제 2 데이터 네트워크는 서로 접속되며 이로써 어택 서명을 생성하는데 사용되는 데이터 트래픽은 제 2 데이터 네트워크로 가는 데이터 트래픽의 일부가 된다. 본 발명의 바람직한 실시예에서, 두 네트워크는 단일 구성 또는 심지어 동일할 수 있다. 또한, 제 3 데이터 네트워크는 제 2 데이터 네트워크로 접속될 수 있거나 제 2 네트워크와 동일할 수 있다. 제 1 데이터 네트워크는 데이터 트래픽이 제 1 데이터 네트워크에서 제 3 데이터 네트워크 상의 어드레스로 향할 수 있도록 제 3 데이터 네트워크에 접속될 수 있다. 상술한 데이터 네트워크 중 임의의 것도 다른 네트워크의 슈퍼네트워크 또는 서브네트워크일 수 있다.
본 발명의 바람직한 실시예에서, 이 방법은 어택 식별 절차와 결합되며 또한 할당되지 않는 어드레스로 어드레싱되는 데이터 트래픽을 제 2 데이터 네트워크 상에서 수신하는 단계와, 어택을 표시하는 데이터에 대해 수신된 데이터 트래픽을 검사하는 단계와, 어택을 표시하는 데이터의 검출 후에 경보 신호(alert signal)를 생성하는 단계를 포함한다. 이로써, 생성된 어택 서명은 어택을 식별하는데 사용되는데, 할당되지 어드레스로 향하는 데이터 트래픽 사건이 선험적으로 문제가 있어 보이며 생성된 어택 서명과의 매칭 테스트를 받는다. 그러므로, 비할당 어드레스로 향하는 데이터 트래픽을 사용하는 절차는 어택 식별을 궁극적으로 하기 위해서 두 번 사용될 수 있다.
본 발명의 바람직한 실시예에서, 경보 신호의 생성 후에, 어택을 표시하는 데이터를 발생하는 데이터 처리 시스템으로 할당된 어드레스에서 발생하는 데이터 트래픽은 그 네트워크 상의 수신지 어드레스로 라우팅된다. 그러므로, 어택의 소스는 일반 어택 소스로서 마킹되며 그로부터 도달하는 트래픽은 감염 제거 서버로 재라우팅된다. 트래픽이 처음에 향하는 시스템은 그 트래픽으로부터 분리되며 이로써 보호된다.
본 발명의 바람직한 실시예에서, 경보 신호의 생성 후에, 경보 신호는 감염 제거 어드레스로 전달되고, 경보 신호는 검출된 어택을 표시하는 데이터를 포함하는 것이 바람직하다. 경보 신호는 어택의 타입, 이러한 종류의 어택을 처리하는 방법에 대한 지침 등과 같은 감염 제거 서버를 위한 추가적인 정보를 더 포함하기 때문에 유리하다. 경보 신호는 또한 어택의 근원이 되는 시스템의 어택 또는 감염 제거를 처리하는 컴퓨터 프로그램 코드를 더 포함할 수 있다.
본 발명의 다른 측면에서, 데이터 처리 시스템으로 할당된 다수의 어드레스를 갖는 제 2 데이터 네트워크에서 사용되기 위한 어택 서명을 제 1 데이터 네트워크로부터의 요청으로부터 생성하는 장치가 제공된다. 이 장치는 제 3 데이터 네트워크 내의 다수의 비할당 어드레스로 어드레싱되며 입력 인터페이스에 도달하는 데이터 트래픽을 제 1 데이터 네트워크로부터 수신하고, 공동 데이터 패턴에 대해 수신된 데이터 트래픽의 몇 개의 사건을 검사하며, 이러한 데이터 패턴을 발견한 후에 그 대응하는 데이터 트래픽으로부터 제 2 데이터 네트워크에 대한 어택을 검출하는데 사용하기 위한 어택 서명을 결정하는 서명 생성기를 포함한다.
바람직한 실시예에서, 이 장치는 적어도 임시적으로 그 내부에 어택 서명을 저장하는 메모리를 포함한다. 이 장치는 바람직하게는 수신된 데이터 트래픽 내에 포함된 요청을 전송하는 소스에 대한 응답을 스푸핑하도록 설계된다. 이 응답은 제 1 출력 인터페이스를 통해서 제 1 데이터 네트워크로 전송될 수 있다. 제 1 출력 인터페이스는 바람직하게는 그 네트워크에 접속된 입력 인터페이스와 결합될 수 있다.
바람직한 실시예에서, 이 장치는 스푸핑된 응답에 대해 응답하는 소스 및 스푸핑된 응답을 받지 않은 소스에서만 데이터 트래픽의 사건을 선택한다. 본 발명의 바람직한 실시예에서, 이 장치는 데이터 트래픽의 소스 어드레스, 소스 포트, 프로토콜 타입 및 수신지 포트와 같은 접속 속성에 따라서 그 사건을 분류하도록 설계된다. 보다 바람직한 실시에서, 어택 서명은 공통 서브 스트링을 갖는 사건의 개수를 카운팅하며 그 개수가 사전결정된 개수를 초과하는 데이터 서브스트링을 어택 서명으로서 규정하는 카운터를 포함하는 장치에 의해서 결정될 수 있다. 이 장치는 바람직하게는 어택 서명을 제 2 데이터 네트워크로 할당된 침입 검출 시스템으로 전송하는 제 2 출력 인터페이스를 포함할 수 있다.
본 발명의 바람직한 실시예에서, 이 장치는 제 3 데이터 네트워크의 비할당 어드레스로 어드레싱된 데이터 트래픽을 제 1 데이터 네트워크로부터 수신하며 어택을 표시하는 데이터에 대해 수신된 데이터 트래픽을 검사하고 어택을 표시하는 데이터를 검출한 후에 경보 신호를 생성하는 침입 검출 센서 또는 침입 검출기를 더 포함한다.
본 발명의 바람직한 실시예에서, 이 장치는 침입 검출기에 접속되어 어택을 표시하는 데이터를 발생하는 데이터 처리 시스템으로 할당된 어드레스에서 발생하는 데이터 트래픽을 데이터 네트워크 중 하나 상의 감염 제거 어드레스로 라우팅하는 라우터를 더 포함한다.
본 발명의 바람직한 실시예에서, 이 장치는 감염 제거 어드레스로 할당된 감염 제거 서버를 더 포함한다. 이 감염 제거 서버는 경보 신호를 수신하면 어택을 표시하는 데이터를 발생하는 데이터 처리 시스템으로 할당된 어드레스로 주의 신호(warning message)를 전송하도록 설계된다.
본 발명은 데이터 처리 시스템의 프로세서 내에 로딩되어 프로세서로 하여금 상술된 바와 같이 데이터 네트워크 상의 어택을 검출하는 방법을 수행하게 하는 컴퓨터 프로그램 코드 수단을 포함하는 컴퓨터 프로그램 소자로 더 확장될 수 있다.
본 발명은 감염 제어 프로그램 코드의 실행 또는 실행 보조를 위해서 사용되는 인스트럭션을 제공함으로써 검출된 어택을 처리할 시에 엔티티를 지원하는 방법으로 확장된다. 네트워크 소유자는 제 2 통신 네트워크로 접속된 그들의 자원을 어택으로부터 보호하는 서비스를 자양으로 제공하는 전문가 및 능력을 가지 못할 수 있기 때문에, 이 방법은 이러한 엔티티가 네트워트 접속을 통해서 바람직하게는 멀리서 외부로부터 필요한 기능을 수신할 수 있게 한다. 이러한 지원 단계는 그러므로 이러한 접속을 통해서 실행될 수 있으며 바람직하게는 이러한 기능을 포함하는 신호 생성 장치 또는 어택 식별 장치에 의해서 실행될 수 있다.
본 발명은 검출된 어택의 상황에서 데이터 트래픽의 경보, 감염 제거, 재라우팅, 기록 및 폐기 중 하나와 연관된 정보를 포함하는 보고를 엔티티에 제공하는 방법으로 확장된다. 다시 한번, 바람직한 실시예에서, 이러한 보고는 네트워크 접속을 통해서 침입 검출기 또는 서명 생성 장치에 의해서 발행 및 전송될 수 있다.
본 발명은 생성된 어택 서명마다 엔티티를 청구(billing)하는 것과 어택 서명 생성을 결합하는 방법으로 확장될 수 있다. 본 발명의 바람직한 실시예에서, 청구될 청구액은 검사된 데이터 트래픽의 양, 서명 생성을 위해서 사용된 클러스터의 크기, 모니터링된 어드레스의 개수 또는 어택 서명 생성의 복잡성을 표시하는 다른 파라미터와 같은 입력 기술적 파라미터를 사용하여 전자적으로 계산된다.
본 발명은 어택 서명 생성 및/또는 어택 식별을 어택 서명 생성 또는 처리 시의 단계들 중 적어도 하나의 실행을 위한 엔티티를 청구하는 것과 결합하는 방법으로 확장될 수 있으며, 여기서 청구될 청구액은 바람직하게는 네트워크의 크기, 모니터링된 비할당 어드레스의 개수, 모니터링된 할당된 어드레스의 개수, 검사된 데이터 트래픽의 양, 식별된 어택의 개수, 생성된 경보의 개수, 식별된 어택의 서명, 재라우팅된 데이터 트래픽의 양, 성취된 네트워크 보호 정도 또는 엔티티의 거래액(turnover) 중 하나에 따라서 결정된다.
몇 개의 엔티티에 대해서 서명 생성, 서명 전송 및 어택 식별을 제공하고 엔티티 중 다른 엔티티에 대해서 동일한 방법의 실행을 위해서 엔티티 중 하나에 대해 상기 방법의 실행으로부터 파생된 기술적 데이터를 사용하는 것이 특히 유리하다. 서명 서명이 제 2 네트워크의 소유자와 같은 특정 엔티티에 의해서 사용되기 위해서 생성될 뿐만아니라 다수의 엔티티를 위해서 생성된다면, 특히 이들 엔티티의 네트워크들이 제 1 데이터 네트워크, 제 2 데이터 네트워크 및 제 3 데이터 네트워크 중 동일한 또는 실질적으로 동일한 부분으로 접속되면, 자원이 크게 절감되는 것이 예상된다. 이 서명 생성 방법은 바람직한 실시예에서 생성된 서명을 이용할 시에 바람직하게는 그 유사 정도로부터 유도된 선정 기준에 따라서 엔티티를 선정하는 선정 단계를 포함한다. 어택가능성에 대해 몇 개의 엔티티의 인프라스트럭처적 구성 요소가 유사하면 할수록 이들 엔티티들이 동일한 타입의 어택일 확률이 더 높으며 동일한 타입의 어택 서명을 수신할 필요가 같아진다.
본 발명은 엔티티에 대한 서명 생성 애플리케이션을 개발하는 방법으로 확장될 수 있으며, 이 방법은 데이터 처리 시스템으로 할당된 다수의 어드레스를 가지며 엔티티에 의해 사용된 제 2 데이터 네트워크 내에 사용되기 위한 어택 서명을 제 3 데이터 네트워크에 접속된 제 1 데이터 네트워크로부터의 요청으로부터 생성하는 서명 생성기를 제 3 데이터 네트워크로 접속시키는 단계와, 상술된 서명 생성 방법의 사용 하에서 어택 서명을 생성하도록 서명 생성기를 셋업하는 단계와, 제 2 데이터 네트워크에 접속된 어택 식별 디바이스로 상기 생성된 어택 서명을 전송하도록 상기 서명 생성기를 셋업하는 단계를 포함한다.
소정의 네트워크 상에 비할당 어드레스가 보다 많을 수 있다. 본 발명의 특히 바람직한 실시예에서, 서명 생성기는 비할당 어드레스로 향하는 데이터 트래픽을 위해서 네트워크에 주의를 기울인다. 비할당 어드레스 중 하나로 전송된 요청이 검출되는 경우에, 서명 생성기는 그 요청이 검사를 위해서 필요한 정보를 이미 전달한 사전결정된 프로토콜 타입을 사용하지 않는다면 그 요청에 대한 응답을 스푸핑할 수 있다. 이 비할당 어드레스는 서명 생성 또는 침입 검출이 아닌 다른 기능을 갖는 디바이스에 의해서는 사용되지 않는다. 따라서, 이러한 어드레스에서 가령 서버를 접촉하려는 시도는 선험적으로 문제가 있다. 따라서, 서명 생성기는 스푸핑된 응답에 대한 응답에 주의를 기울이며 서명 생성 프로세스를 위해서 상기 응답을 사용한다.
본 발명의 바람직한 실시예들은 다음의 첨부 도면을 참조하여 오직 예시적으로만 설명될 것이다.
도 1은 데이터 처리 시스템의 블록도,
도 2는 데이터 처리 네트워크의 블록도,
도 3은 침입 검출기의 블록도,
도 4는 침입 검출기와 연관된 흐름도,
도 5는 서명 생성기의 블록도,
도 6은 서명 생성기와 연관된 흐름도,
도 7은 침입 검출기를 위해서 동작하는 서명 생성기의 블록도.
도 1에서, 데이터 처리 시스템은 CPU(1), I/O 서브시스템(20) 및 메모리 서브시스템(40)을 포함하며, 이들 구성 요소들은 모두 버스 서브시스템(30)에 의해서 상호접속된다. 메모리 서브시스템(40)은 RAM, ROM 및 하드 디스크 드라이브, 광 디스크 드라이브 등과 같은 하나 이상의 데이터 저장 디바이스를 포함할 수 있다. 입출력 서브시스템(20)은 디스플레이, 프린터, 키보드 및 마우스, 트랙 볼 등과 같은 포인팅 디바이스 및 데이터 네트워크를 통해서 데이터 처리 시스템과 하나 이상의 유사한 시스템 및/또는 주변 디바이스 간의 통신을 가능하게 하는 하나 이상의 네트워크 접속부를 포함할 수 있다. 이러한 네트워크에 의해 상호접속된 이러한 시스템 및 디바이스의 결합은 그 자체로 분산형 데이터 처리 시스템을 형성할 수 있다. 이러한 분산형 시스템은 그 자체로 추가적인 데이터 네트워크와 상호접속될 수 있다.
메모리 서브시스템(40) 내에는 CPU(10)에 의해 실행되는 컴퓨터 프로그램 코 드(50) 및 데이터(60)가 저장된다. 프로그램 코드(50)는 운영 체제 소프트웨어(90) 및 애플리케이션 소프트웨어(80)를 포함한다. CPU(10)에 의해서 실행될 때에 운영 체제 소프트웨어(90)는 애플리케이션 소프트웨어(80)가 실행될 수 있는 플랫폼을 제공한다.
도 2에서, 본 발명의 바람직한 실시예에서, 네트워크 내의 데이터 처리 시스템으로 할당하기 위한 다수의 어드레스(100)를 갖는 데이터 네트워크(100) 또는 이른바 제 3 데이터 네트워크(100)가 제공된다. 이 제 3 데이터 네트워크(100)는 다수의 할당가능한 인터넷 프로토콜(IP) 어드레스(110)를 갖는다. 제 3 데이터 네트워크(100)는 라우터(130)를 통해서 제 1 데이터 네트워크(120)로서 지칭되는 인터넷(120)으로 접속된다. 라우터(130)는 데이터 패킷 내에서 특정된 어드레스 데이터를 기반으로 하여 인터넷(120)과 제 3 데이터 네트워크(100) 간에서 데이터 패킷의 형태로 통신 트래픽을 라우팅하는 작업을 적절하게 프로그래밍함으로써 전용된 도 1을 참조하여 상술된 바와 같은 데이터 처리 시스템의 형태로 구현될 수 있다. 제 3 데이터 네트워크(100) 상의 어드레스(110)의 제 1 그룹(140)은 인터넷 서비스의 사용자에 속하는 시스템(150)으로 할당된다. 각 시스템(150)은 도 1을 참조하여 상술된 데이터 처리 시스템일 수 있다. 제 3 데이터 네트워크(100) 상의 어드레스(110)의 제 2 그룹(160)은 비어 있는데, 즉 할당되지 않는다. 보다 구체적으로, 어드레스(110)의 제 2 그룹(160)은 서버 또는 클라이언트와 같은 사용자 시스템(150)으로 할당되지 않는다. 침입 검출 시스템(IDS)(170)은 또한 제 3 데이터 네트워크(100)로 접속된다. IDS(170)은 또한 라우터(130)에 접속된다. IDS(170) 의 세부 사항은 이하에서 제공될 것이다. 라우터(130)는 감염 제거 서버(180)에 접속된다. 감염 제거 서버(180)는 도 1을 참조하여 상술된 바와 같은 데이터 처리 시스템에 의해서 구현될 수 있다. 라우터(130) 및 인터넷(120)은 서명 생성기(190)에 접속되며 이 서명 생성기는 침입 검출기(170)에 또한 접속된다.
도 3에서, 본 발명의 특히 바람직한 실시예에서, IDS(170)은 도 1을 참조하여 상술된 데이터 처리 시스템을 포함한다. IDS(170)의 애플리케이션 소프트웨어(80)는 침입 검출 코드(200)를 포함한다. IDS(170)의 메모리 서브시스템(170) 내에 저장된 데이터(60)는 어택 식별 데이터(210) 및 감염 제거 데이터(220)를 포함한다. 또한, 데이터(60)는 제 3 데이터(100) 상의 어드레스가 할당되지 않으며 제 2 그룹(160)에 속하며 제 3 데이터(100) 상의 어드레스가 데이터 처리 시스템(150)으로 할당되고 제 1 그룹(140)에 속하는 레코드를 포함한다. 이 레코드는 다른 어드레스가 할당되거나 기존의 어드레스 할당이 제거될 때마다 갱신된다. 어택 식별 데이터(210)는 알려진 어택을 식별하는 서명을 표시하는 데이터를 포함한다. 감염 제거 데이터(220)는 각 어택의 성질, 각 어택으로 감염된 시스템의 감염을 제거하는 방법, 정상적인 네트워크 접속을 재개하는 방법을 표시하는 데이터를 포함한다. 어택 식별 데이터(210) 및 감염 제거 데이터(220)는 상호 참조된다. CPU(10)에 의해서 실행될 때에 침입 검출 코드(200)는 도 4에 도시된 흐름도에 따라서 동작하도록 IDS(170)를 구성한다.
도 4에 도시된 예시적인 실시예에서, 동작 시에, IDS(170)는 비할당 어드레스(160)로 어드레싱되며 할당된 어드레스(140)에서 발생하는 데이터 트래픽을 제 3 네트워크(100) 상에서 수신한다. IDS(170)는 어택을 표시하는 데이터에 대해서 수신된 데이터 트래픽을 수신한다. 어택을 표시하는 데이터의 검출 후에, IDS(170)는 경보 신호를 생성한다. 본 발명의 바람직한 실시예에서, 경보 신호의 생성 후에, 어택을 표시하는 데이터를 발생하는 데이터 처리 시스템으로 할당된 어드레스(140)에서 발생하는 데이터 트래픽은 제 3 데이터 네트워크(100) 상의 감염 제거 어드레스로 재라우팅된다. 특히 바람직한 실시예에서, IDS(170)는 제 3 데이터 네트워크(100)에 주의를 기울이며 비할당 어드레스(160)로 향하는 트래픽을 수신한다. 구체적으로, 블록(300)에서, IDS(170)는 제 3 네트워크(100) 상의 어드레스(140)로부터 전송된 요청을 검사하여 블록(310)에서 그 요청이 비할당 어드레스(160) 중 하나를 수신지 어드레스로 지정하는지의 여부를 결정한다. 그 요청이 비할당 어드레스(160) 중 하나를 지정하지 않으면, 블록(320)에서 IDS(170)는 다음 요청을 검사할 것을 대기한다. 그러나, 그 요청이 비할당 어드레스(160) 중 적어도 하나를 지정하면, 블록(330)에서 IDS(170)는 요청에 대한 응답을 스푸핑한다.
식별은 IDS(170)로 비할당 어드레스를 할당함으로써 실현될 수 있으며 이로써 비할당 어드레스로 향하는 임의의 트래픽도 IDS(170)로 자동적으로 도달할 수 있다.
응답은 제 3 데이터 네트워크(100) 상의 소스 어드레스로 전송된다. 비할당 어드레스(160)는 어택을 위해서 검사되는 것 이외에는 달리 사용되지 않는다. 따라서, 가령 이러한 어드레스에서 시스템을 접촉하려는 시도는 선험적으로 문제가 있다. 블록(340)에서, IDS(170)은 스푸핑된 응답에 대한 응답에 주의를 기울인다. IDS(170)는 어떠한 응답도 사전결정된 기간 내에 수신되지 않으면 타이밍 아웃할 수 있으며, 이 경우에 블록(320)에서 IDS(170)는 다음 요청을 검사할 것을 대기한다. 그러나, 응답이 수신되면, 블록(350)에서 IDS(170)는 의심이 가는 요청 및 응답을 메모리 서브시스템(40) 내에 저장된 어택 식별 데이터(210)와 비교한다. 만일 블록(350)에서 비교 결과가 어택을 식별하는 것을 실패하면, 블록(320)에서 IDS(170)는 다음 요청을 검사할 것을 대기한다. 그러나, 블록(350)에서 비교 결과가 응답 시에 진단가능한 어택을 검출하면, IDS(170)는 소스 시스템(150)이 감염되었다고 결정한다. 따라서, 블록(360)에서 IDS(170)는 경보 신호를 생성한다. 경보 신호는 라우터(130)로 전송된다. 경보 신호는 라우터(130)로 하여금 감염된 시스템(150)으로부터의 모든 데이터 트래픽을 감염 제거 어드레스로 향하게 한다. 이는 제 3 데이터 네트워크(100) 상의 감염 제거 어드레스로 어택을 표시하는 데이터를 발생하는 데이터 처리 시스템으로 할당된 어드레스에서 발생하는 데이터 트래픽을 라우팅하는 재라우팅 단계이다.
도 1에서, 본 발명의 특히 바람직한 실시예에서, 감염 제거 서버(180)는 감염 제거 어드레스에 위치한다. 본 발명의 바람직한 실시예에서, 경보 신호 생성 후에, IDS(170)는 경보 신호를 감염 제거 어드레스로 전송한다. 바람직하게는 경보 신호는 검출된 어택을 표시하는 데이터를 포함한다. 그러므로, 경보 신호 생성 후에, 경보 단계는 감염 제거 어드레스로 경보 신호를 전송하기 위해서 수행되며 바람직하게는 경보 신호는 검출된 어택을 표시하는 데이터를 포함한다.
따라서, 본 발명의 특히 바람직한 실시예에서, IDS(170)는 메모리 서브시스 템(40)에서 검출된 어택에 대응하는 감염 제거 데이터(220)를 수신한다. 블록(370)에서, IDS(170)는 검색된 감염 제거 데이터를 포함하는 경보 신호를 감염 제거 서버(180)가 위치한 감염 제거 어드레스로 전송한다. 이어서, 블록(320)에서, IDS(170)는 다음 요청을 검사하기를 대기한다. 각 요청, 응답 및 이 응답에 대한 응답은 제 3 데이터 네트워크(100) 상에서 하나 이상의 데이터 트래픽 패킷으로 구현될 수 있다. 따라서, 각 어택의 서명을 하나 이상의 패킷을 걸쳐 있을 수 있다.
본 발명의 바람직한 실시예에서, 감염 제거 서버(180)로 전송된 감염 제거 데이터(220)는 검출된 어택의 성질, 어택에 감염된 시스템(150)의 감염을 제거하는 방법, 정상적인 네트워크 접속을 재개하는 방법을 표시하는 데이터를 포함한다. 감염 제거 데이터(220)를 IDS(170)로부터 수신한 후에, 감염 제거 서버(180)는 감염된 시스템(150)을 치료하며 제 3 데이터 네트워크(100)를 복구하도록 설정된다. 본 발명의 다른 바람직한 실시예에서, 감염 제거 데이터(220)는 어택의 성질을 나타내는 데이터를 포함한다. 이어서, 감염 제거 서버는 어택의 성질을 기반으로 하여 감염된 시스템(150)의 감염을 제거하고 제 3 데이터 네트워크(100)를 복구하기 위한 다수의 사전저장된 기술 중 하나를 선정하여 이 선정된 기술을 실행한다. 이 어택은 수 많은 상이한 형태를 포함할 수 있다. 따라서, 감염 제거 및 네트워크 복구를 위한 대응하는 기술은 어택 간에서 광범위하게 변할 수 있다.
본 발명의 바람직한 실시예에서, 감염 제거 데이터를 수신한 후에, 감염 제거 서버(180)는 주의 메시지를 감염된 시스템(150)으로 전송한다. 주의 메시지는 감염된 시스템(150)의 사용자에게 그 시스템이 감염되었음을 알린다. 주의 메시지 는 사용자로 하여금 감염된 시스템(150) 내에 사전저장된 바이러스 제거 소프트웨어를 동작하여서 감염을 제거하거나 아니면 감염을 분리시키도록 지시한다. 이와 달리, 주의 메시지는 감염된 시스템(150) 상에서 감염 제거 코드를 실행할 시에 사용자를 보조하는 인스트럭션과 함께, 감염된 시스템(150)으로부터 어택을 제거하기 위한 감염 제거 프로그램 코드를 포함할 수 있다. 다른 실시예에서, 주의 메시지는 사용자를 적절한 감염 제거 프로그램 코드가 제공되는 다른 웹 사이트로 향하게 한다. 본 발명의 다른 바람직한 실시예에서, 주의 메시지는 감염된 시스템 상에 로딩되어 자동 실행되어 사용자에게 투명한 방식으로 감염을 제거 또는 분리하는 감염 제거 프로그램 코드를 포함한다. 다른 감염 제거 방식도 가능하다.
상술한 본 발명의 실시예에서, 감염 제거 서버(180)는 도 1에서 참조하여 상술된 바와 같은 단일 데이터 처리 시스템으로 구현된다. 그러나, 본 발명의 다른 실시예에서, 감염 제거 서버(180)는 다수의 상호접속된 데이터 처리 시스템으로 구현된다. 이러한 데이터 처리 시스템들은 분산형 또는 "팜(farm)" 형태로 배치된다. 감염 제거 서버 내의 각 데이터 처리 시스템은 상이한 어택을 처리하는데 전용된다. IDS(170)는 또한 다수의 통합된 데이터 처리 시스템으로 구현될 수 있다. 이와 달리, IDS(170) 및 감염 제거 서버(18)는 단일 데이터 처리 시스템으로 통합될 수 있다.
감염된 시스템(150)으로부터 전송되고 라우터(130)에 의해서 감염 제거 서버(180)로 경로 재지정된 제 3 데이터 네트워크(100) 상의 트래픽은 감염 제거 서버(180)에 의해서 기록 및/또는 폐기될 수 있다. 상술된 본 발명의 바람직한 실시예 에서, IDS(170)는 감염 제거 데이터를 감염 제거 서버(180)로 전송한다. 그러나, 본 발명의 다른 실시예에서, 일단 감염이 검출되면, IDS(170)는 간단하게 라우터(130)로 하여금 트래픽을 감염된 시스템(150)에서 감염 제거 서버(180)로 IDS(170)가 추가적으로 감염 제거 데이터(220)를 감염 제거 서버(180)로 제공하지 않고서 향하도록 할 수 있다. 이어서, 감염 제거 서버(180)는 간단하게 감염된 시스템(150)에서 발생하는 트래픽에 대한 저장지로서 기능하며 감염된 시스템(150)으로부터 수신한 트래픽을 기록 및/또는 폐기한다. 기록 및 폐기는 감염 제거 서버(180)에 의해서 제 3 데이터 네트워크(100)의 운영자에게 보고된다. 이러한 보고는 주기적으로 또는 실시간으로 전달될 수 있다. 이러한 보고는 가령 운영자 콘솔을 통해서 수행될 수 있다. 그러나, 가령 출력 인쇄와 같은 다른 보고 기술도 가능하다. 이러한 보고를 수신한 후에, 운영자는 제 3 데이터 네트워크(100)의 감염을 제거하거나 이와 달리 억제하는 등 적절한 행동을 취할 수 있다.
도 5에서, 서명 생성기(190)는 어느 정도 IDS(170)의 구조와 유사한 구조를 갖는다. 서명 생성기(190)는 도 1을 참조하여 상술된 데이터 처리 시스템을 포함한다. 서명 생성기(190)의 애플리케이션 소프트웨어(80)는 서명 생성 코드(230)를 포함한다.
서명 생성기(190)의 메모리 서브시스템(40) 내에 저장된 데이터(60)는 다음과 같은 데이터를 포함한다.
1. IDS가 캡쳐하는 요청 데이터, 즉 요청과 함께 도달하는 데이터.
2. 응답 데이터, 즉 어떠한 응답 타입이 어떠한 요청 타입으로 스푸핑될 수 있는지를 명시하는 데이터.
3. 스푸핑된 응답에 따라서 도달하는 응답 데이터.
데이터(60)는 또한 제 2 그룹(160)에 속하며 비할당 제 3 데이터 네트워크(100) 상의 어드레스 및 데이터 처리 시스템(150)에 할당되며 제 1 그룹(140)에 속하는 제 3 데이터 네트워크(100) 상의 어드레스(110)의 레코드를 포함한다. 이 레코드는 다른 어드레스가 할당되거나 기존의 어드레스 할당이 제거될 때마다 갱신된다.
서명 생성 코드(230)는 CPU(10)에 의해서 실행되어 도 6에 도시된 흐름도에 따라서 동작하도록 서명 생성기(190)를 구성한다.
도 6에서, 동작 시에, 서명 생성기(190)는 제 3 데이터 네트워크(100)의 비할당 어드레스(160)로 어드레싱되며 제 1 네트워크(120)로부터 발생한 데이터 트래픽을 식별한다. 구체적으로, 블록(400)에서, 서명 생성기(190)는 인터넷(120)으로부터 수신된 요청을 검사하여 블록(410)에서 이 요청이 하나 이상의 비할당 어드레스(160)를 수신지 어드레스로 명시하는지의 여부를 결정한다. 만일에 이 요청이 비할당 어드레스(160) 중 적어도 하나를 명시하지 않으면, 블록(420)에서 서명 생성기(190)는 다음 요청이 검사되기를 대기한다. 이 요청은 서명 생성기(190)에서 라우터(130)로 진행한다. 상술한 시퀀스는 400.1 통과하는 경로로서 도 6에서 표시된다. 달리 말하면, 제 3 데이터 네트워크(100) 내의 다수의 비할당 어드레스로 어드레싱된 제 1 네트워크(120) 상의 데이터 트래픽을 수신 및 식별하는 수신 및 식별 단계가 수행된다.
블록(410)에서의 상술된 수신 및 식별 단계와 달리, 서명 생성기(190)는 만일 서명 생성기(190)가 디폴트(default)마다 비할당 어드레스(160)로 할당된다면 이 단계를 건너뛸 수 있다. 이 경우에 서명 생성기(190)에 도달하는 데이터 트래픽은 규정에 의해서 비할당 어드레스(160)로 향하며 프로세스는 블록(400)에서 블록(430)으로 도 6에서 400.2를 통한 경로로 표시된 바와 같이 바로 점프한다. 이는 제 3 데이터 네트워크(100) 내의 다수의 비할당 어드레스로 어드레싱된 데이터 트래픽을 제 1 데이터 네트워크(120)로부터 수신하는 수신 단계이다.
이 요청이 비할당 어드레스(160) 중 하나를 명시하면, 이어서 블록(430)에서 서명 생성기(190)는 요청에 대한 응답을 스푸핑한다. 이 응답은 인터넷(120) 상의 소스 어드레스로 전송된다. 그러므로, 응답 단계는 수신된 데이터 트래픽 내에 포함된 요청을 전송한 소스에 대한 응답을 스푸핑하기 위해서 실행된다. 비할당 어드레스(160)는 서명 생성기(160) 이외의 다른 디바이스에서는 사용되지 않는다. 이로써, 가령 이러한 어드레스에서 시스템을 접촉하는 시도는 선험적으로 문제가 있다. 블록(440)에서, 서명 생성기(190)는 스푸핑된 응답에 대한 응답에 주의를 기울인다. 서명 생성기(190)는 어떠한 응답도 사전결정된 기간 내에 수신되지 않으면 타이밍 아웃하며 이 경우에 블록(420)에서, 서명 생성기(190)는 다음 요청이 검사되기를 대기한다. 그러나, 응답이 수신되면, 블록(450)에서 서명 생성기(190)는 서명 생성 알고리즘을 수행한다.
요청에 의해서 사용된 프로토콜에 따라서, 응답 스푸핑 단계는 필요하지 않을 수 있다. 이러한 경우에 서명 생성기(190)는 블록(430)에서 응답을 스푸핑하는 단계 및 블록(440)에서 응답에 주의를 기울이는 단계를 건너 뛸 수 있다. 이러한 요청의 경우에, 최초의 응답이 스푸핑된 응답에 대한 응답에 대한 대체 응답으로서 사용된다. 그러므로, 응답 단계는 이러한 경우에는 수신된 데이터 트래픽의 프로토콜의 타입에 의존하는 선정 기준을 기반으로 하여 선택적으로 실행될 수 있다. 이 선정 기준은 또한 가령 반복 기준, 즉 수신된 데이터 트래픽이 이전의 수신된 데이터 트래픽과 동일한 것으로 식별되는지의 여부와 같은 프로토콜의 타입 이외의 추가적인 기준을 포함한다.
서명 생성 알고리즘은 제 3 데이터 네트워크 내의 다수의 비할당 어드레스로 어드레싱된 데이터 트래픽의 몇 개의 사건이 공통 데이터 패턴의 발생에 대해서 검사되는 검사 단계를 포함한다.
본 발명의 바람직한 실시예에서, 데이터 트래픽의 사건은 스푸핑된 응답에 대해 응답하는 소스 및 이 응답 단계를 받지 않는 소스로부터만 선택된다. 달리 말하면, 비응답 소스로부터의 요청은 서명 생성을 위해서 사용되지 않는다. 이는 검사 단계에서 사용되는 데이터를 감소시킨다.
검사 단계는 데이터 트래픽의 소스 어드레스, 소스 포트, 프로토콜 타입 및 수신지 포트 중 하나와 같은 접속 속성에 따라서 사건을 분류하는 단계를 포함한다.
이후에, 결정 단계에서 이러한 공통 데이터 패턴을 발견한 후에, 제 2 데이터 네트워크에 대한 어택을 검출할 시에 사용하기 위한 어택 서명을 대응하는 데이터 트래픽으로부터 결정한다. 바람직한 실시예에서 이 결정 단계는 공통 데이터 서브스트링을 갖는 데이터 트래픽의 사건의 개수를 카운팅하는 단계와 사정결정된 개수를 초과하는 개수를 갖는 데이터 서브스트링을 어택 서명으로서 규정하는 단계를 포함한다. 그러므로, 서브스트링 클러스터는 대응하는 데이터 서브스트링을 포함하는 사건의 개수인 클러스터 크기로 구축된다. 이 클러스터 크기가 사전결정된 개수를 초과하면, 클러스터의 서브스트링은 어택 서명으로서 규정된다.
다음 단락에서, 이러한 서명 생성 알고리즘의 바람직한 실시예가 설명된다.
수신된 응답은 투플(tuple)들의 집합 S = {I<srci, dsti, dpti, requesti>i e I}이며 srci는 소스 어드레스이며 dsti는 수신지 어드레스이고 dpti는 수신지 포트이며 이는 통상적으로 특정 서비스와 관련되며 requesti는 비할당 어드레스 중 하나로 소스가 전송되지만 결국에는 서명 생성기(190)로 도달하는 것의 요청이다. 수신지 포트는 또한 서비스 타입 dpti로 지칭된다. 이 방법은 다음과 같은 구 개의 기능을 갖는 서명 생성기(190)에서 수행된다.
1. 매 서비스 서명 발견(Find per-service signatures)
1.1 수신지 포트에 의해서 집합 S 내의 투플들을 그룹화하고 각 수신지 포트 p를 이 포트 p에 대해 발행된 요청들의 집합 R(p) = {request j ┃<*, * , p, request j > in S}과 연관시킨다.
1.2 각 포트 p에 대해, 사전결정된 최소 길이를 갖는 모든 빈도가 있는 서브스트링을 R(p)) 내에서 발견한다. 이 빈도가 있는 서브스트링은 포트 p 상에 동작 하는 서비스에 대한 매 서비스 서명이다.
이 매 서비스 서명 발견 알고리즘은 발생하여 특정 포트로 향하는 요청을 모니터링하며 사전결정된 최소 길이의 빈도가 있는 공통 서브스트링을 위해서 이들을 분석한다. 이 서브스트링은 그를 어택으로서 특성화하는 요청의 단편이다. 공통 서브스트링을 갖는 요청은 동일한 타입의 어택을 표현하는 것으로 가정된다. 포트 특정 처리는 상이한 포트로 향하는 어택들이 통상적으로 너무 달라서 동일한 서명에 의해서 캡처(capture)될 수 없다는 사실을 이용한다. 그러므로, 상이한 포트로 향하는 요청에서 발생하는 공통 서브스트링은 동시 발생할 가능성이 높으며 따라서 어택의 일부가 되지 않을 가능성이 높다. 그러므로, 이 포트 특정 처리로 인해서 서명은 폴스 포지티브(flase positive)의 확률을 감소시키는데, 즉 요청을 어택으로서 잘못 식별하고 처리하는 확률을 감소시키며 이 요청은 실제적으로 무결하다.
상술한 매 서비스 서명 발견 알고리즘은 바람직한 실시예에서 제 2 알고리즘에 의해 보완된다.
2. 어택-툴 서명 발견(find attack-tool signatures)
2.1 소스에 의해서 집합 S 내의 투플들을 그룹화하고 각 소스 s를 이 소스가 수행한 요청들의 집합 R'(s) = {request j ┃<s, *, * , request j > in S}과 연관시킨다.
2.2 각 R'(s)에 대해서, R'(s) 내의 모든 요청들을 이들이 매칭하는 매 서비스 서명으로 대체한다(1 참조). 매 서비스 서명의 결과적인 집합 R*(s)는 어택-툴 서명이다.
이 알고리즘의 어택-툴 서명 발견 부분은 매 소스 그룹화를 이용하고 이들이 향하는 포트와 상관없이 그 소스로부터 입력되는 요청을 분석한다. 이 방법은 어떠한 어택은 검출 검출기를 속이는 포트의 변경 패턴을 보인다는 사실을 이용한다. 이 경우에 어택 서명은 소정의 서브스트링과 함께 그의 소스에 의한 어택의 식별을 제공한다.
바람직한 실시예에서, 이 알고리즘은 상이한 접촉된 수신지 어드레스의 개에 따라서 소스를 동적으로 가중치화하는 것이 적용된다는 점에서 수정될 수 있다.
가령, 어택 서명으로 데이터 서브스트링을 규정하도록 초과될 사전결정된 개수의 데이터 서브스트링이 적응될 수 있다. 이 개수는 데이터 트래픽을 하나 이상의 수신지 어드레스로 향하게 하는 소스에 대해서 보다 낮게 되도록 선정될 수 있다. 특히, 이 개수는 수신지 어드레스의 개수에 따라서 상호적으로 선정될 수 있다. 이는 데이터 트래픽이 보다 많은 어드레스로 향할수록 이 소스는 보다 문제가 많아 지며 데이터 트래픽이 실제 어택이 될 확률이 높아진다는 사실을 고려한다.
또한, 소스의 관련된 알려진 특성에 따라 서명의 정확도를 동적으로 가중치화하는 것도 가능하다. 특히, 소정의 소스가 다른 이전의 알려진 서명을 기반으로 하여 어택을 발생하는 것으로 알려지면, 그 동알한 일관되지만 알려지지 않는 활동이 어택이 될 가능성이 있다.
또한, 타이밍 정보가 포함될 수 있다. 어택은 종종 패키징된 해커 툴에 의해서 수행된다. 이러한 툴은 일반적으로 어택 시퀀스를 임의적으로 되게 하지 않 으며 이로써 타임 시퀀스 분석이 어택 뿐만 아니라 어택을 운영하는 툴도 결정할 수 있다.
서명 생성 알고리즘의 출력은 어택으로서 요청을 인식하기 위해서 침입 검출기(170)에 의해서 사용될 수 있는 어택 서명이다. 이로써, 비할당 어드레스(160)로 향하는 요청에 대한 스푸핑된 응답에 대한 수신된 응답을 사용하여, 서명 생성기(190)는 어택 서명으로 변환될 수 있는 패턴을 유도한다. 이들 어택 서명은 블록(460)에서 침입 검출기(170)로 전송되며 여기서 어택 서명은 어택 식별 데이터(210) 내부로 통합된다. 그러므로, 어택 서명을 제 2 데이터 네트워크로 할당된 침입 검출기(170)로 전송함으로써, 서명 생성기(190)는 IDS(170)에 의해 사용되는 어택 식별 데이터(210)를 갱신한다. 상술된 방법은 제 3 데이터 네트워크(100)에서 어택 식별을 개선하는데 유용할 뿐만 아니라 제 2 네트워크에도 보다 일반적으로 적용될 수 있다. 이는 어택 서명이 제 1 데이터 네트워크로부터 입력되며 제 3 네트워크 내의 비할당 어드레스로 향하는 요청에 주의를 기울임으로써 생성될 수 있지만, 동일한 어택 서명이 제 2 네트워크 내에서 침입 검출 방법을 위해서 사용되기 위해서 제 2 네트워크로 전송가능하다는 것을 의미한다. 모든 3 개의 네트워크가 개별적일 수 있지만, 상술된 방법은 이들의 조합으로 동작할 수 있으며, 이 네트워크 중 임의의 것이 하나 이상의 다른 네트워크에 무접속선적으로(seamlessly) 접속되거나 그 내부에 통합되거나 그의 일부가 되거나 그의 서브넷이 되거나 그의 슈퍼넷이 되거나 부분적으로 그와 동일하거나 그와 단일한 구성을 가지거나 부분적으로 접속될 수 있다. 도 2에 도시된 실시예에서, 제 2 데이터 네트 워크 및 제 3 데이터 네트워크(100)는 동일하다.
블록(450)에서의 서명의 생성은 다수의 수신된 요청 및/또는 스푸핑된 응답에 대한 응답을 기반으로 하여 바람직한 방식으로 실행되었다. 응답을 스푸핑하고 응답에 주의를 기울이는 것의 시퀀스를 필요로 하지 않는 요청의 경우에는, 블록(400)에서의 이들 요청의 수신은 도 6에서 루프(401)로 표시되는 바와 같이 다수의 요청에 대해서 수행된다. 응답을 스푸핑하고 응답에 주의를 기울이는 것의 시퀀스를 필요로 하는 요청의 경우(블록 440)에는, 블록(400), 블록(430) 및 블록(440)의 시퀀스가 도 6에서 루프(401)로 표시되는 바와 같이 다수의 요청에 대해서 수행된다.
다른 바람직한 실시예는 블록(450)에서의 서명 생성 알고리즘의 실행을 포함하여 이후에 검사된 요청 및/또는 응답의 추가적인 입력을 사용하여 이 알고리즘이 다시 수행된다. 이로써, 서명 생성 알고리즘의 결과는 시간이 지나면서 갱신된다.
서명 생성기의 바람직한 실시예에서, 이 생성기는 인터넷과 직접적인 링크로 해서 배치된다. 이러한 방식으로, 이 생성기는 적대적인 어택 활동의 최대치를 받게 되며 상술한 알고리즘은 보다 많은 개수의 어택 서명을 유도할 수 있다. 일단 이 서명이 유도되면, 어택 서명은 IDS로 전송될 수 있다. 이러한 IDS는 또한 가령 방화벽 뒤에서 상이한 네트워크 구성 내에 존재할 수 있다.
본 발명의 바람직한 실시예에서, 인터넷으로 다수의 데이터 처리 시스템을 접속시키는 라우터, 이 라우터와 서명 생성기에 접속되는 침입 검출 시스템(IDS) 및 라우터에 접속되는 감염 제거 서버를 포함하는 데이터 네트워크가 제공된다. 서명 생성기에 의해 생성된 어택 서명을 사용하여 데이터 처리 시스템 중 하나가 어택에 의해 감염되었음을 IDS가 검출하면, IDS는 라우터로 하여금 모든 네트워크 트래픽을 어택으로부터 감염 제거 서버로 향하게 한다. IDS는 또한 감염 제거 데이터를 감염 제거 서버로 제공한다. 감염 제거 데이터는 감염의 성질, 감염 시스템을 치유하는 방법 및 정상적인 네트워크 접속을 재개하는 방법을 표시한다.
도 7에서, 3 개의 네트워크의 구성이 도시된다. 제 1 데이터 네트워크(120)는 제 3 데이터 네트워크(100)에 접속되며 라우터(130)를 통해서 제 2 데이터 네트워크(70)에 접속된다. 제 3 데이터 네트워크는 할당된 어드레스(140) 및 비할당 어드레스에 할당되며 침입 검출기(170)에 접속된 서명 생성기(190)를 포함한다. 라우터(130)는 침입 검출기(170) 및 감염 제거 서버(180)에 접속된다. 침입 검출기(170)는 또한 할당된 어드레스(71)를 갖는 제 2 데이터 네트워크(70)의 비할당 어드레스에 할당된다. 상술한 것 중 임의의 것의 접속은 가용한 네트워크 중 임의의 것을 통해서 직접 또는 간접적으로 실현될 수 있다.
이 실시예에서, 제 3 데이터 네트워크 내의 비할당 어드레스(160)를 향하는 데이터 트래픽은 그의 서명 생성기 알고리즘을 사용하여 어택 서명 알고리즘을 생성하는 서명 생성기(190)에 자동적으로 도달한다. 이 서명 생성기(190)에 도달한 데이터 트래픽은 제 1 네트워크(120)에서 발생할 뿐만 아니라 제 3 데이터 네트워크(100) 내부로부터 나온다.
생성된 어택 서명은 서명 생성기(190)에 의해서 IDS(170)로 전송되며 이 IDS는 어택 서명을 사용하여 도달한 데이터 트래픽의 사건을 어택으로서 식별한다. 다시, 서명 생성기(190)는 제 2 데이터 네트워크(70) 내의 비할당 어드레스로 할당되기 때문에, 제 2 데이터 네트워크(70) 내의 비할당 어드레스를 향하는 데이터 트래픽은 수신된 어택 서명을 사용하여 IDS(170)에 의해서 어택 식별 프로세스를 자동적으로 받게 된다. 또한, 여기서, IDS(170)에 도달하는 데이터 트래픽은 제 1 네트워크(120)에서 발생하며 제 3 데이터 네트워크(100) 내에서 온다.
일단 어택이 상술한 바와 같이 식별되면, 침입 검출기(170)는 어택의 존재를 라우터(130)에 경보한다. 라우터(130)는 이어서 어택의 식별된 소스로부터 도달하는 데이터 트래픽의 경로를 감염 제거 서버(180)로 바꾼다. 어택 형성 소스가 제 3 데이터 네트워크(170) 내에 존재한다면, 이 소스는 감염 제거 프로세스를 받게 될 수 있다.
또한, 엔티티에 대한 서명 생성 애플리케이션을 개발하는 방법도 가능하며, 이 방법은 데이터 처리 시스템으로 할당된 다수의 어드레스를 가지며 엔티티에 의해 사용된 제 2 데이터 네트워크 내에 사용되기 위한 어택 서명을 제 3 데이터 네트워크에 접속된 제 1 데이터 네트워크로부터의 요청으로부터 생성하는 서명 생성기를 제 3 데이터 네트워크로 접속시키는 단계와, 상술된 서명 생성 방법의 사용 하에서 어택 서명을 생성하도록 서명 생성기를 셋업하는 단계와, 제 2 데이터 네트워크에 접속된 어택 식별 디바이스로 상기 생성된 어택 서명을 전송하도록 상기 서명 생성기를 셋업하는 단계를 포함한다.
바람직한 실시예에서 서명 생성기는 "무서비스 서버"이다. 보다 정확하게는, 이 생성기는 먼저 어떠한 실제적 서비스를 제공하지 않으면서 모든 입력 요청 을 기록하고 모든 보안 관련 포트에 주의를 기울인다는 점에서 보안 강화된 호스트이다는 것으로 특성화된다. 두번째로,이 생성기는 임의의 방식으로도 홍보되지 않는다는 점에서 특성화되는데, 즉 어떠한 DNS 엔티티, 웹 링크 또는 그로의 다른 포인터가 존재하지 않는다. 이 생성기가 홍보되지 않기 때문에, 서명 생성기를 접촉하는 머신은 근사한 확실성으로 도용할 타겟을 찾고 있는 해커 또는 웜이다. 서명 생성기가 모든 입력 요청을 기록하기 때문에, 해커 또는 웜이 사용하는 어택을 고려하게 된다. 그러므로, 서명 생성기는 실제적 어택의 유리한 소스이며 이로부터 어택 서명이 자동적으로 유도된다.
서명 생성기(190)에 대해 기술된 기능은 바람직한 실시예에서 IDS(170) 내부로 통합될 수 있으며 이로써 IDS(170)는 그의 스푸핑된 응답에 대한 응답으로부터 그의 어택 식별 데이터(210)에 부가된 어택 서명을 유도한다. 본 발명의 상술된 바람직한 실시예에서, IDS(170), 라우터(130) 및 감염 제거 서버(180)는 적절한 프로그램 코드로 프로그램된 데이터 처리 시스템에 의해서 구현된다. 그러나, 본 발명의 다른 실시예에서 소프트웨어로 구현되는 바와 같은 상술된 하나 이상의 기능은 하드와이어된 논리 회로에서 적어도 부분적으로 구현될 수 있다.
또한, 본 명세서에서 상술된 어택 검출 방법은 제 3 데이터 네트워크(100)를 책임지는 서비스 제공자에 의해 구현되거나 제 3 자에 의해서 이 서비스 제공자에 대한 서비스의 형태로 적어도 부분적으로 구현될 수 있다. 이러한 서비스는 서비스 제공자에 의해 제공된 서비스를 그의 경쟁자에 의해 제공된 서비스와 차별화한다. 이러한 구별된 서비스들은 추가적 프리미엄을 위해 거래에서 제공되는 네트워 크 서비스의 최종 사용자에 선택사양적으로 제공될 수 있다.
상술된 방법은 보고를 엔티티로 제공함으로써 완성될 수 있으며, 여기서 보고는 검출된 어택의 상황에서 데이터 트래픽의 경보, 감염 제거, 재라우팅, 기록 또는 폐기 중 하나와 연관된 정보를 포함한다.
서비스 제공자 이외의 다른 엔티티에 의해 사용된 네트워크에 대해 어택 서명을 생성하는 서비스는 바람직한 실시예에서 전달된 서비스에 대해 청구하는 단계를 포함한다. 청구될 청구액은 통상적으로 서비스 제공자에 의해 체험된 작업 로드 또는 복잡도를 표시하는 하나 이상의 다수의 요소에 따라서 결정될 수 있다. 제공된 서비스의 양 및 시간 소비를 표시하는 이러한 요소들은 제 3 데이터 네트워크의 크기, 그 내부에 비할당 어드레스의 개수, 그 내부에 할당된 어드레스의 개수, 검사된 데이터 트래픽의 양, 식별된 어택의 개수, 어택 서명을 사용하여 생성된 경보의 개수, 재라우팅된 데이터 트래픽의 양을 포함한다. 증가된 복잡성 레벨을 식별하는 요소는 식별된 어택의 서명, 성취된 네트워크 보안 정도일 수 있다. 또한, 서비스된 엔티티에 제공된 서비스의 값을 식별하는 요소들은 엔티티의 거래액, 엔티티의 사업 분야 등과 같은 것이다. 일반적으로, 이 방법은 엔티티에 대해 수행된 단계들 중 적어도 하나의 실행을 위해 엔티티에 청구하는 단계를 포함하며, 청구될 청구액은 바람직하게는 네트워크의 크기, 모니터링된 비할당 어드레스의 개수, 모니터링된 할당된 어드레스의 개수, 검사된 데이터 트래픽의 양, 식별된 어택의 개수, 생성된 경보의 개수, 식별된 어택의 서명, 재라우팅된 데이터 트래픽의 양, 성취된 네트워크 보안 정도, 엔티티의 거래액 중 하나에 따라서 결정된다.
물론, 이전에 언급된 요소들의 임의의 조합이 가능하는데, 특히 이는 최종 청구액을 결정하는데 있어서 상이하게 가중치화된다. 청구 단계는 청구액이 주의 메시지 또는 어택 검출 프로세스에서 전송된 임의의 다른 정보와 함께 전송된다는 점에서 자동화될 수 있다. 이는 유리하게는 어택 처리를 위해서 메시징을 사용하는 것과 청구 목적을 위해서 그를 사용하는 것을 결합한다. 주의 메시지 또는 임의의 다른 정보 메시지의 이중 사용은 어택 검출 및 청구 프로세스를 통해 생성된 트래픽 흐름을 감소시키는 기술적 이점을 제공한다. 이와 동시에, 이 방법은 서비스된 엔티티가 오직 정확하게 제공된 서비스에 대해서만 청구된다는 것을 보증하는데 사용될 수 있다.
청구를 위한 다른 바람직한 방법은 어택 서명 생성 및/또는 어택 검출 서비스에 대한 가입을 엔티티에게 제안하는 것으로서, 이 서비스에 가입하게 되면 엔티티는 사전결정된 시간, 트래픽의 양, 시스템의 개수 등에 대해서 이점을 얻게 된다.
서비스 제공자는 서비스된 엔티티에 의해 사용된 네트워크와 결합되어 사용될 호스팅 유닛으로서 그 자신의 감염 제거 서버를 제공할 수 있지만, 감염 제거 서버가 서비스된 엔티티에 의해서 유지, 관리 및 호스팅 또는 임대될 수 있다.
이 방법은 또한 감염 제거 프로그램 코드의 실행 및 실행 보조의 사용을 위한 인스트럭션을 제공함으로써 검출된 어택을 처리하는데 있어서 엔티티를 지원하는데 사용될 수 있다.
바람직한 실시예에서, 서비스 제공자는 어택 서명 생성 및/또는 어택 검출 서비스를 몇몇 엔티티에 제공하고 서명 생성기(190), 라우터(130), 침입 검출기(170) 또는 감염 제거 서버(180)와 같은 자원을 몇 개의 서비스 중에서 공유함으로써 시너지 효과를 이용할 수 있다. 이로써, 사용된 자원이 효율적으로 사용될 뿐만 아니라 상이한 네트워크 간의 어택 관련 정보가 공유되고 사용되어 서비스된 네트워크 상의 검출 품질을 개선시킬 수 있다. 가령, 한 네트워크 상의 어택의 검출은 다른 네트워크 상의 검출을 신속하게 하는데, 그 이유는 어택 서명을 결정하는 프로세스가 단축되거나 심지어 제거될 수 있기 때문이다. 또한, 감염 제거 메커니즘이 서비스된 엔티티들 간에서 공유되며 이로써 감염 제거 메커니즘을 갱신 및 유지하는데 있어서 관련된 노력 및 비용을 줄일 수 있다. 다른 서비스된 엔티티의 어택을 처리를 개선하기 위해서 한 엔티티의 네트워크에 대한 어택을 처리하는 것으로부터 유도되는 기술적 데이터를 공유하는 기술적 이점은 침입 검출을 위해 동일한 서비스 제공자에 의해 서비스되는 몇 개의 엔티티의 풀을 만들어서 엔티티에 대한 인센티브를 제공한다. 청구 모델은 바람직한 실시예에서 서명 생성 또는 어택 검출 자원을 공유하며 동일한 서비스 제공자를 사용하는 엔티티 그룹 내로 엔티티들이 가입하도록 동기부여하도록 구성될 수 있다. 그러므로, 몇 개의 엔티티에게 이 방법을 제공하고 엔티티 중 다른 엔티티에 대한 어택 처리를 위해서 한 엔티티에 대한 어택 처리를 하는 것으로부터 유도된 기술적 데이터를 사용하는 것이 이점이 있다.
상술된 방법은 데이터 처리 시스템의 프로세서 내에 로딩되어 어택 서명 생성 방법을 프로세서로 구현하도록 하는 컴퓨터 프로그램 코드를 포함하는 컴퓨터 프로그램 소자의 형태로 코딩될 수 있다.
또한, 본 발명은 하드웨어, 소프트웨어 또는 이들의 조합으로 구현될 수 있다. 본 발명에 따른 방법은 한 컴퓨터 시스템에서 중앙 방식으로 또는 상이한 요소들이 몇 개의 상호접속된 컴퓨터 시스템들을 걸쳐서 분포되어 있는 분산형 방식으로 구현될 수 있다. 본 명세서에서 상술된 방법을 수행하기 위해 구성된 임의의 종류의 컴퓨터 또는 다른 장치가 적합하다. 하드웨어와 소프트웨어의 통상적인 조합은 로딩 및 실행되어 상술된 방법을 수행하도록 컴퓨터 시스템을 제어하는 컴퓨터 프로그램을 구비한 범용 컴퓨터 시스템일 수 있다. 본 발명은 또한 상술된 방법의 구현을 가능하게 하는 특징부를 포함하며 컴퓨터 시스템 내에 로딩되어 상술된 방법을 수행할 수 있는 컴퓨터 프로그램 제품에 내장될 수도 있다.
이러한 문맥에서 컴퓨터 프로그램 또는 컴퓨터 프로그램 수단은 정보 처리 능력을 갖는 디바이스로 하여금 a) 다른 언어, 코드 또는 표기법으로 변환하는 것과 상이한 매체 형태로 재생하는 것 중 어느 하나 또는 둘 모두의 수행 후에 또는 직접적으로 특정 기능을 수행하게 하는 인스트럭션 세트의 임의의 언어, 코드 또는 표기법으로의 표현을 의미한다.

Claims (26)

  1. 제 2 데이터 네트워크에서 사용가능한 어택 서명(attack signature)을 제 1 데이터 네트워크로부터의 요청으로 생성하는 방법에 있어서,
    제 3 데이터 네트워크 내의 다수의 비할당 어드레스(unassigned address)로 어드레싱된 데이터 트래픽을 상기 제 1 데이터 네트워크로부터 수신하는 수신 단계와,
    상기 수신된 데이터 트래픽의 몇 개의 사건들을 공통 데이터 패턴에 대해서 검사하는 검사 단계와,
    상기 공통 데이터 패턴을 발견한 후에, 상기 제 2 데이터 네트워크에 대한 어택을 검출하는데 사용하기 위한 상기 어택 서명을 상기 대응하는 데이터 트래픽으로부터 결정하는 결정 단계
    를 포함하는 어택 서명 생성 방법.
  2. 제 1 항에 있어서,
    상기 검사 단계에 앞서서, 상기 수신된 데이터 트래픽 내에 포함된 요청을 전송한 소스에 대한 응답을 스푸핑(spoofing)하는 응답 단계가 수행되는
    어택 서명 생성 방법.
  3. 제 2 항에 있어서,
    상기 응답 단계는 상기 수신된 데이터 트래픽의 프로토콜의 타입에 의존하는 선정 기준을 기반으로 하여 선택적으로 실행되는
    어택 서명 생성 방법.
  4. 제 2 항 또는 제 3 항에 있어서,
    상기 검사 단계에 있어서 상기 데이터 트래픽의 사건들은 오직 상기 스푸핑된 응답에 대해 응답하는 소스 또는 상기 응답 단계를 받지 않았던 소스로부터 선택되는
    어택 서명 생성 방법.
  5. 제 1 항 내지 제 4 항 중 어느 한 항에 있어서,
    상기 검사 단계는 상기 데이터 트래픽의 소스 어드레스, 소스 포트, 프로토콜 타입 및 수신지 포트 중 하나와 같은 접속 속성에 따라서 상기 사건들을 분류하는 단계를 포함하는
    어택 서명 생성 방법.
  6. 제 1 항 내지 제 5 항 중 어느 한 항에 있어서,
    상기 결정 단계는,
    사전결정된 최소 길이를 갖는 공동 데이터 서브스트링을 갖는 사건의 개수를 카운팅하는 단계와,
    사전결정된 개수를 초과하는 개수를 갖는 상기 데이터 서브스트링을 상기 어택 서명으로서 규정하는 단계를 포함하는
    어택 서명 생성 방법.
  7. 제 1 항 내지 제 6 항 중 어느 한 항에 있어서,
    상기 제 2 데이터 네트워크로 할당된 침입 검출기에 상기 어택 서명을 전송하는 단계를 더 포함하는
    어택 서명 생성 방법.
  8. 제 1 항 내지 제 7 항 중 어느 한 항에 있어서,
    상기 제 1 데이터 네트워크, 상기 제 2 데이터 네트워크 및 상기 제 3 데이터 네트워크 중 2 개 또는 모두가 동일하거나, 부분적으로 동일하거나, 서로 접속되거나 단일한 구성을 갖도록 선택되는
    어택 서명 생성 방법.
  9. 제 1 항 내지 제 8 항 중 어느 한 항에 있어서,
    상기 제 2 데이터 네트워크 상에서 그 내부의 비할당 어드레스로 어드레싱된 데이터 트래픽을 수신하는 단계와,
    상기 어택 서명을 사용하여 상기 수신된 데이터 트래픽을 어택을 표시하는 데이터에 대해서 검사하는 단계와,
    상기 어택을 표시하는 데이터를 검출한 후에, 경보 신호를 생성하는 단계
    를 더 포함하는 어택 서명 생성 방법.
  10. 제 9 항에 있어서,
    상기 경보 신호를 생성한 후에, 상기 어택을 표시하는 데이터를 발생하는 데이터 처리 시스템에 할당된 어드레스에서 발생하는 데이터 트래픽을 감염 제거 어드레스(disinfection address)로 재라우팅(rerouting)하는 재라우팅 단계를 더 포함하는
    어택 서명 생성 방법.
  11. 제 9 항 또는 제 10 항에 있어서,
    상기 경보 신호를 생성한 후에, 검출된 상기 어택을 표시하는 데이터를 포함하는 경보 신호를 감염 제거 어드레스로 전송하는 경보 단계를 더 포함하는
    어택 서명 생성 방법.
  12. 제 9 항 내지 제 11 항 중 어느 한 항에 있어서,
    감염 제거 프로그램 코드의 실행 및 실행 보조 중 하나를 위해서 사용되는 인스트럭션을 제공함으로써 상기 검출된 어택을 처리할 시에 엔티티(entity)를 지원하는 단계를 더 포함하는
    어택 서명 생성 방법.
  13. 제 9 항 내지 제 12 항 중 어느 한 항에 있어서,
    검출된 어택의 상황에서 데이터 트래픽의 경보, 감염 제거, 재라우팅, 기록 및 폐기 중 하나와 연관된 정보를 포함하는 보고(report)를 엔티티에 제공하는 단계를 더 포함하는
    어택 서명 생성 방법.
  14. 제 1 항 내지 제 13 항 중 어느 한 항에 있어서,
    상기 단계들 중 적어도 하나의 실행에 대해서 상기 엔티티에 청구하는(billing) 단계를 더 포함하며,
    청구될 금액은 상기 네트워크의 크기, 모니터링된 비할당 어드레스의 개수, 모니터링된 할당된 어드레스의 개수, 검사된 데이터 트래픽의 양, 식별된 어택의 개수, 생성된 경보의 개수, 식별된 어택의 서명, 재라우팅된 데이터 트래픽의 양, 성취된 네트워크 보안 정도, 엔티티의 거래액 중 하나에 따라서 결정되는 것이 바람직한
    어택 서명 생성 방법.
  15. 제 1 항 내지 제 14 항 중 어느 한 항에 있어서,
    몇 개의 엔티티에 대해 상기 방법을 제공하는 단계와,
    상기 엔티티들 중 하나에 대한 어택 처리로부터 유도된 기술적 데이터를 상기 엔티티들 중 다른 엔티티에 대한 어택 처리를 위해서 사용하는 단계
    를 더 포함하는 어택 서명 생성 방법.
  16. 엔티티에 대해 서명 생성 애플리케이션을 적용하는 방법에 있어서,
    제 1 데이터 네트워크 상의 요청으로부터 상기 엔티티에 의해 사용되며 데이터 처리 시스템에 할당된 다수의 어드레스를 갖는 제 2 데이터 네트워크에서 사용하기 위한 어택 서명을 생성하기 위해 서명 생성기를 상기 제 1 데이터 네트워크에 접속하는 단계와,
    제 1 항 내지 제 14 항 중 어느 한 항에 따른 방법을 사용하여 어택 서명을 생성하도록 상기 서명 생성기를 셋업하는 단계와,
    상기 생성된 어택 서명을 상기 제 2 데이터 네크워크에 접속된 침입 검출기에 전송하도록 상기 서명 생성기를 셋업하는 단계를 포함하는,
    서명 생성 애플리케이션 적용 방법.
  17. 데이터 처리 시스템의 프로세서 내에 로딩되어, 제 1 항 내지 제 15 항 중 어느 한 항에 따른 어택 서명 생성 방법을 수행하도록 상기 프로세서를 구성하는 컴퓨터 프로그램 코드 수단을 포함하는 컴퓨터 프로그램 소자.
  18. 제 2 데이터 네트워크에서 사용가능한 어택 서명(attack signature)을 제 1 데이터 네트워크로부터의 요청으로부터 생성하는 장치에 있어서,
    제 3 데이터 네트워크 내의 다수의 비할당 어드레스(unassigned address)로 어드레싱된 데이터 트래픽을 상기 제 1 데이터 네트워크로부터 수신하고, 상기 수 신된 데이터 트래픽의 몇 개의 사건들을 공통 데이터 패턴에 대해서 검사하며, 상기 공통 데이터 패턴을 발견한 후에, 상기 제 2 데이터 네트워크에 대한 어택을 검출하는데 사용하기 위한 상기 어택 서명을 상기 대응하는 데이터 트래픽으로부터 결정하는 서명 생성기(signature generator)
    를 포함하는 어택 서명 생성 장치.
  19. 제 18 항에 있어서,
    상기 서명 생성기는 상기 수신된 데이터 트래픽 내에 포함된 요청을 전송한 소스에 대한 응답을 스푸핑(spoofing)함으로써 상기 수신된 데이터 트래픽을 검사하도록 설계된
    어택 서명 생성 장치.
  20. 제 19 항에 있어서,
    상기 서명 생성기는 상기 데이터 트래픽의 사건들을 오직 상기 스푸핑된 응답에 대해 응답하는 소스 또는 상기 응답 단계를 받지 않았던 소스로부터 선택하도록 설계된
    어택 서명 생성 장치.
  21. 제 18 항 내지 제 20 항 중 어느 한 항에 있어서,
    상기 서명 생성기는 상기 데이터 트래픽의 소스 어드레스, 소스 포트, 프로토콜 타입 및 수신지 포트 중 하나와 같은 접속 속성에 따라서 상기 사건들을 분류하도록 설계된
    어택 서명 생성 장치.
  22. 제 18 항 내지 제 21 항 중 어느 한 항에 있어서,
    상기 서명 생성기는 사전결정된 최소 길이를 갖는 공동 데이터 서브스트링을 갖는 사건의 개수를 카운팅하고 사전결정된 개수를 초과하는 개수를 갖는 상기 데이터 서브스트링을 상기 어택 서명으로서 규정함으로써 상기 어택 서명을 결정하도록 설계된
    어택 서명 생성 장치.
  23. 제 18 항 내지 제 22 항 중 어느 한 항에 있어서,
    상기 서명 생성기는 상기 제 2 데이터 네트워크로 할당된 침입 검출기에 상기 어택 서명을 전송하도록 설계된
    어택 서명 생성 장치.
  24. 제 18 항 내지 제 23 항 중 어느 한 항에 있어서,
    상기 제 2 데이터 네트워크 상에서 그 내부의 비할당 어드레스로 어드레싱된 데이터 트래픽을 수신하고, 상기 어택 서명을 사용하여 상기 수신된 데이터 트래픽을 어택을 표시하는 데이터에 대해서 검사하며, 상기 어택을 표시하는 데이터를 검출한 후에, 경보 신호를 생성하는 침입 검출기를 더 포함하는
    어택 서명 생성 장치.
  25. 제 18 항 내지 제 24 항 중 어느 한 항에 있어서,
    상기 침입 검출기에 접속되어, 상기 어택을 표시하는 데이터를 발생하는 데이터 처리 시스템에 할당된 어드레스에서 발생하는 데이터 트래픽을 상기 제 3 데이터 네트워크 상의 감염 제거 어드레스(disinfection address)로 재라우팅(rerouting)하는 라우터를 더 포함하는
    어택 서명 생성 장치.
  26. 제 24 항에 있어서,
    상기 감염 제거 어드레스로 할당되어, 상기 경보 신호를 수신한 후에, 상기 어택을 표시하는 데이터를 발생하는 데이터 처리 시스템으로 할당된 어드레스로 주 의 메시지(warning message)를 전송하는 감염 제거 서버를 더 포함하는
    어택 서명 생성 장치.
KR1020057018304A 2003-05-30 2003-11-24 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 KR100800370B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP03405393 2003-05-30
EP03405393.4 2003-05-30

Publications (2)

Publication Number Publication Date
KR20060013491A true KR20060013491A (ko) 2006-02-10
KR100800370B1 KR100800370B1 (ko) 2008-02-04

Family

ID=33484075

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020057018428A KR100877664B1 (ko) 2003-05-30 2003-11-20 어택 검출 방법, 어택 검출 장치, 데이터 통신 네트워크, 컴퓨터 판독 가능 기록 매체 및 침입 검출 애플리케이션의 전개 방법
KR1020057018304A KR100800370B1 (ko) 2003-05-30 2003-11-24 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020057018428A KR100877664B1 (ko) 2003-05-30 2003-11-20 어택 검출 방법, 어택 검출 장치, 데이터 통신 네트워크, 컴퓨터 판독 가능 기록 매체 및 침입 검출 애플리케이션의 전개 방법

Country Status (7)

Country Link
US (4) US20070094722A1 (ko)
EP (2) EP1629651A1 (ko)
KR (2) KR100877664B1 (ko)
CN (2) CN1771708A (ko)
AU (2) AU2003280126A1 (ko)
TW (1) TWI333613B (ko)
WO (2) WO2004107706A1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100809416B1 (ko) * 2006-07-28 2008-03-05 한국전자통신연구원 보안 시스템을 위한 최적 시그니처 자동 생성 장치 및 방법
KR100877664B1 (ko) * 2003-05-30 2009-01-12 인터내셔널 비지네스 머신즈 코포레이션 어택 검출 방법, 어택 검출 장치, 데이터 통신 네트워크, 컴퓨터 판독 가능 기록 매체 및 침입 검출 애플리케이션의 전개 방법

Families Citing this family (71)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7406714B1 (en) 2003-07-01 2008-07-29 Symantec Corporation Computer code intrusion detection system based on acceptable retrievals
US7568229B1 (en) 2003-07-01 2009-07-28 Symantec Corporation Real-time training for a computer code intrusion detection system
US8266177B1 (en) 2004-03-16 2012-09-11 Symantec Corporation Empirical database access adjustment
US7966658B2 (en) * 2004-04-08 2011-06-21 The Regents Of The University Of California Detecting public network attacks using signatures and fast content analysis
US7936682B2 (en) * 2004-11-09 2011-05-03 Cisco Technology, Inc. Detecting malicious attacks using network behavior and header analysis
US8010685B2 (en) * 2004-11-09 2011-08-30 Cisco Technology, Inc. Method and apparatus for content classification
KR100622670B1 (ko) * 2004-12-07 2006-09-19 한국전자통신연구원 알려지지 않은 네트워크 공격에 대한 실시간 공격 패턴 검출 시스템 및 그 방법
US7765596B2 (en) * 2005-02-09 2010-07-27 Intrinsic Security, Inc. Intrusion handling system and method for a packet network with dynamic network address utilization
US7444331B1 (en) 2005-03-02 2008-10-28 Symantec Corporation Detecting code injection attacks against databases
US8095982B1 (en) 2005-03-15 2012-01-10 Mu Dynamics, Inc. Analyzing the security of communication protocols and channels for a pass-through device
US8095983B2 (en) * 2005-03-15 2012-01-10 Mu Dynamics, Inc. Platform for analyzing the security of communication protocols and channels
DE602006017668D1 (de) 2005-03-24 2010-12-02 Ibm Erkennung von netzwerkangriffen
US8046374B1 (en) 2005-05-06 2011-10-25 Symantec Corporation Automatic training of a database intrusion detection system
US7558796B1 (en) 2005-05-19 2009-07-07 Symantec Corporation Determining origins of queries for a database intrusion detection system
US7774361B1 (en) * 2005-07-08 2010-08-10 Symantec Corporation Effective aggregation and presentation of database intrusion incidents
US7690037B1 (en) 2005-07-13 2010-03-30 Symantec Corporation Filtering training data for machine learning
US8161548B1 (en) 2005-08-15 2012-04-17 Trend Micro, Inc. Malware detection using pattern classification
US8769663B2 (en) 2005-08-24 2014-07-01 Fortinet, Inc. Systems and methods for detecting undesirable network traffic content
US7840958B1 (en) * 2006-02-17 2010-11-23 Trend Micro, Inc. Preventing spyware installation
CN101390369B (zh) 2006-02-28 2012-11-14 国际商业机器公司 点对点通信的检测和控制
US7540766B2 (en) * 2006-06-14 2009-06-02 Itron, Inc. Printed circuit board connector for utility meters
US7881209B2 (en) * 2006-07-27 2011-02-01 Cisco Technology, Inc. Method and system for protecting communication networks from physically compromised communications
US7958230B2 (en) 2008-09-19 2011-06-07 Mu Dynamics, Inc. Test driven deployment and monitoring of heterogeneous network systems
US9172611B2 (en) * 2006-09-01 2015-10-27 Spirent Communications, Inc. System and method for discovering assets and functional relationships in a network
US8316447B2 (en) * 2006-09-01 2012-11-20 Mu Dynamics, Inc. Reconfigurable message-delivery preconditions for delivering attacks to analyze the security of networked systems
US7954161B1 (en) 2007-06-08 2011-05-31 Mu Dynamics, Inc. Mechanism for characterizing soft failures in systems under attack
US8510834B2 (en) * 2006-10-09 2013-08-13 Radware, Ltd. Automatic signature propagation network
US8065729B2 (en) 2006-12-01 2011-11-22 Electronics And Telecommunications Research Institute Method and apparatus for generating network attack signature
US8006078B2 (en) 2007-04-13 2011-08-23 Samsung Electronics Co., Ltd. Central processing unit having branch instruction verification unit for secure program execution
US20080274725A1 (en) * 2007-05-02 2008-11-06 Ury George Tkachenko Wireless multifunction network device
CN101384079A (zh) 2007-09-03 2009-03-11 华为技术有限公司 一种终端移动时防止降质攻击的方法、系统及装置
US7774637B1 (en) 2007-09-05 2010-08-10 Mu Dynamics, Inc. Meta-instrumentation for security analysis
US8250658B2 (en) * 2007-09-20 2012-08-21 Mu Dynamics, Inc. Syntax-based security analysis using dynamically generated test cases
CN101222513B (zh) * 2008-01-28 2012-06-20 杭州华三通信技术有限公司 一种防止重复地址检测攻击的方法及网络设备
US8732296B1 (en) * 2009-05-06 2014-05-20 Mcafee, Inc. System, method, and computer program product for redirecting IRC traffic identified utilizing a port-independent algorithm and controlling IRC based malware
US8547974B1 (en) 2010-05-05 2013-10-01 Mu Dynamics Generating communication protocol test cases based on network traffic
US8463860B1 (en) 2010-05-05 2013-06-11 Spirent Communications, Inc. Scenario based scale testing
US9106514B1 (en) 2010-12-30 2015-08-11 Spirent Communications, Inc. Hybrid network software provision
US8464219B1 (en) 2011-04-27 2013-06-11 Spirent Communications, Inc. Scalable control system for test execution and monitoring utilizing multiple processors
US8621278B2 (en) 2011-06-28 2013-12-31 Kaspersky Lab, Zao System and method for automated solution of functionality problems in computer systems
NL2007180C2 (en) 2011-07-26 2013-01-29 Security Matters B V Method and system for classifying a protocol message in a data communication network.
US8776241B2 (en) 2011-08-29 2014-07-08 Kaspersky Lab Zao Automatic analysis of security related incidents in computer networks
US8972543B1 (en) 2012-04-11 2015-03-03 Spirent Communications, Inc. Managing clients utilizing reverse transactions
EP2785009A1 (en) 2013-03-29 2014-10-01 British Telecommunications public limited company Method and apparatus for detecting a multi-stage event
EP2785008A1 (en) * 2013-03-29 2014-10-01 British Telecommunications public limited company Method and apparatus for detecting a multi-stage event
US9641542B2 (en) 2014-07-21 2017-05-02 Cisco Technology, Inc. Dynamic tuning of attack detector performance
US10356109B2 (en) * 2014-07-21 2019-07-16 Entit Software Llc Security indicator linkage determination
US9450972B2 (en) 2014-07-23 2016-09-20 Cisco Technology, Inc. Network attack detection using combined probabilities
US9407646B2 (en) 2014-07-23 2016-08-02 Cisco Technology, Inc. Applying a mitigation specific attack detector using machine learning
US20160164886A1 (en) 2014-10-17 2016-06-09 Computer Sciences Corporation Systems and methods for threat analysis of computer data
KR101631242B1 (ko) * 2015-01-27 2016-06-16 한국전자통신연구원 잠재 디리클레 할당을 이용한 악성 트래픽의 시그니처의 자동화된 식별 방법 및 장치
US9531750B2 (en) * 2015-05-19 2016-12-27 Ford Global Technologies, Llc Spoofing detection
US10609053B2 (en) 2015-11-24 2020-03-31 Intel Corporation Suspicious network traffic identification method and apparatus
KR20170060280A (ko) * 2015-11-24 2017-06-01 한국전자통신연구원 탐지 규칙 자동 생성 장치 및 방법
GB201603118D0 (en) 2016-02-23 2016-04-06 Eitc Holdings Ltd Reactive and pre-emptive security system based on choice theory
US10432652B1 (en) 2016-09-20 2019-10-01 F5 Networks, Inc. Methods for detecting and mitigating malicious network behavior and devices thereof
US11611570B2 (en) * 2016-12-30 2023-03-21 British Telecommunications Public Limited Company Attack signature generation
EP3563543B1 (en) 2016-12-30 2022-04-06 British Telecommunications public limited company Data breach detection
WO2018122050A1 (en) * 2016-12-30 2018-07-05 British Telecommunications Public Limited Company Historic data breach detection
CN108076038A (zh) * 2017-06-16 2018-05-25 哈尔滨安天科技股份有限公司 一种基于服务器端口的c&c服务器判断方法及系统
WO2019028293A1 (en) * 2017-08-02 2019-02-07 CipherTooth, Inc. DETECTION OF INTERCEPTOR ATTACKS ON A LOCAL NETWORK
US20190098051A1 (en) * 2017-09-27 2019-03-28 Cox Communications, Inc. Systems and Methods of Virtual Honeypots
US10812509B2 (en) * 2017-10-30 2020-10-20 Micro Focus Llc Detecting anomolous network activity based on scheduled dark network addresses
US10855701B2 (en) * 2017-11-03 2020-12-01 F5 Networks, Inc. Methods and devices for automatically detecting attack signatures and generating attack signature identifications
CN110557355B (zh) * 2018-05-31 2021-07-27 上海连尚网络科技有限公司 一种用于通过用户设备检测中间人攻击的方法与设备
US11005868B2 (en) * 2018-09-21 2021-05-11 Mcafee, Llc Methods, systems, and media for detecting anomalous network activity
TWI707565B (zh) * 2019-04-19 2020-10-11 國立中央大學 網路攻擊者辨識方法及網路系統
US11444961B2 (en) * 2019-12-20 2022-09-13 Intel Corporation Active attack detection in autonomous vehicle networks
US11483318B2 (en) 2020-01-07 2022-10-25 International Business Machines Corporation Providing network security through autonomous simulated environments
CN111507262B (zh) * 2020-04-17 2023-12-08 北京百度网讯科技有限公司 用于检测活体的方法和装置
US11876834B1 (en) * 2021-08-11 2024-01-16 Rapid7, Inc. Secure verification of detection rules on test sensors

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69131527T2 (de) * 1990-04-23 2000-04-27 Matsushita Electric Ind Co Ltd Datenübertragungssystem und -Verfahren
US5440723A (en) * 1993-01-19 1995-08-08 International Business Machines Corporation Automatic immune system for computers and computer networks
US6275470B1 (en) * 1999-06-18 2001-08-14 Digital Island, Inc. On-demand overlay routing for computer-based communication networks
KR100331219B1 (ko) * 2000-02-10 2002-04-06 이상원 인터넷 과금방법 및 시스템
GB2362076B (en) * 2000-05-03 2002-08-14 3Com Corp Detection of an attack such as a pre-attack on a computer network
AU2001266174A1 (en) * 2000-06-30 2002-01-14 British Telecommunications Public Limited Company Packet data communications
US20020162017A1 (en) * 2000-07-14 2002-10-31 Stephen Sorkin System and method for analyzing logfiles
AU2001281150A1 (en) * 2000-08-07 2002-02-18 Xacct Technologies Limited System, method and computer program product for processing network accounting information
US6381242B1 (en) * 2000-08-29 2002-04-30 Netrake Corporation Content processor
GB0022485D0 (en) * 2000-09-13 2000-11-01 Apl Financial Services Oversea Monitoring network activity
WO2003050644A2 (en) * 2001-08-14 2003-06-19 Riverhead Networks Inc. Protecting against malicious traffic
JP3461816B2 (ja) * 2000-11-15 2003-10-27 株式会社ソニー・コンピュータエンタテインメント 情報分岐制御方法、通知信号生成方法、プログラム実行装置、処理プログラムが記録された記録媒体、及び処理プログラム
KR100351306B1 (ko) * 2001-01-19 2002-09-05 주식회사 정보보호기술 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법
WO2002061510A2 (en) * 2001-01-31 2002-08-08 Lancope, Inc. Network port profiling
US7290283B2 (en) * 2001-01-31 2007-10-30 Lancope, Inc. Network port profiling
US20020116639A1 (en) * 2001-02-21 2002-08-22 International Business Machines Corporation Method and apparatus for providing a business service for the detection, notification, and elimination of computer viruses
WO2002071227A1 (en) * 2001-03-01 2002-09-12 Cyber Operations, Llc System and method for anti-network terrorism
US20020143963A1 (en) * 2001-03-15 2002-10-03 International Business Machines Corporation Web server intrusion detection method and apparatus
US6970920B2 (en) * 2001-04-11 2005-11-29 International Business Machines Corporation Methods, systems and computer program products for communicating with unconfigured network devices on remote networks
US8438241B2 (en) * 2001-08-14 2013-05-07 Cisco Technology, Inc. Detecting and protecting against worm traffic on a network
US7210168B2 (en) * 2001-10-15 2007-04-24 Mcafee, Inc. Updating malware definition data for mobile data processing devices
US7743415B2 (en) * 2002-01-31 2010-06-22 Riverbed Technology, Inc. Denial of service attacks characterization
US20040148521A1 (en) * 2002-05-13 2004-07-29 Sandia National Laboratories Method and apparatus for invisible network responder
US20040162994A1 (en) * 2002-05-13 2004-08-19 Sandia National Laboratories Method and apparatus for configurable communication network defenses
KR20020075319A (ko) * 2002-07-19 2002-10-04 주식회사 싸이버텍홀딩스 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템
US7017186B2 (en) * 2002-07-30 2006-03-21 Steelcloud, Inc. Intrusion detection system using self-organizing clusters
EP1629651A1 (en) * 2003-05-30 2006-03-01 International Business Machines Corporation Detecting network attacks

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100877664B1 (ko) * 2003-05-30 2009-01-12 인터내셔널 비지네스 머신즈 코포레이션 어택 검출 방법, 어택 검출 장치, 데이터 통신 네트워크, 컴퓨터 판독 가능 기록 매체 및 침입 검출 애플리케이션의 전개 방법
KR100809416B1 (ko) * 2006-07-28 2008-03-05 한국전자통신연구원 보안 시스템을 위한 최적 시그니처 자동 생성 장치 및 방법

Also Published As

Publication number Publication date
WO2004107706A1 (en) 2004-12-09
KR100877664B1 (ko) 2009-01-12
US20070094722A1 (en) 2007-04-26
WO2004107707A1 (en) 2004-12-09
US8261346B2 (en) 2012-09-04
CN1771709B (zh) 2010-04-07
EP1629651A1 (en) 2006-03-01
TW200428203A (en) 2004-12-16
EP1629652A1 (en) 2006-03-01
US20080235799A1 (en) 2008-09-25
CN1771709A (zh) 2006-05-10
KR20060023952A (ko) 2006-03-15
US20090070870A1 (en) 2009-03-12
US20070094728A1 (en) 2007-04-26
TWI333613B (en) 2010-11-21
AU2003280190A1 (en) 2005-01-21
AU2003280126A1 (en) 2005-01-21
KR100800370B1 (ko) 2008-02-04
CN1771708A (zh) 2006-05-10

Similar Documents

Publication Publication Date Title
KR100800370B1 (ko) 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치
US11038906B1 (en) Network threat validation and monitoring
US11831609B2 (en) Network security system with enhanced traffic analysis based on feedback loop
US7483972B2 (en) Network security monitoring system
CN1656731B (zh) 基于多方法网关的网络安全系统和方法
EP1665011B1 (en) Method and system for displaying network security incidents
US9430646B1 (en) Distributed systems and methods for automatically detecting unknown bots and botnets
US20110154492A1 (en) Malicious traffic isolation system and method using botnet information
JP2017534105A (ja) 分散型トラフィック管理システムおよび技術
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
Ganesh Kumar et al. Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT)
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
JP4753264B2 (ja) ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出)
Rm et al. A comprehensive approach for network security
Gheorghe et al. Attack evaluation and mitigation framework
Selvaraj et al. Enhancing intrusion detection system performance using firecol protection services based honeypot system
GB2397479A (en) Intrusion prevention system suspending operation of a directive

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20101210

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee