KR20060034581A - 네트워크 침입 탐지 및 방지 시스템 및 그 방법 - Google Patents

네트워크 침입 탐지 및 방지 시스템 및 그 방법 Download PDF

Info

Publication number
KR20060034581A
KR20060034581A KR1020040083752A KR20040083752A KR20060034581A KR 20060034581 A KR20060034581 A KR 20060034581A KR 1020040083752 A KR1020040083752 A KR 1020040083752A KR 20040083752 A KR20040083752 A KR 20040083752A KR 20060034581 A KR20060034581 A KR 20060034581A
Authority
KR
South Korea
Prior art keywords
signature
packet
detection device
new
based detection
Prior art date
Application number
KR1020040083752A
Other languages
English (en)
Other versions
KR100611741B1 (ko
Inventor
신승원
오진태
김기영
장종수
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020040083752A priority Critical patent/KR100611741B1/ko
Priority to US11/023,384 priority patent/US7565693B2/en
Publication of KR20060034581A publication Critical patent/KR20060034581A/ko
Application granted granted Critical
Publication of KR100611741B1 publication Critical patent/KR100611741B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 알려지지 않은 네트워크 침입 패킷들을 변칙 행위 기반 탐지 기법을 통해 탐지함과 동시에 그 패킷들의 공통 부분 정보를 토대로 새로운 시그너처를 생성한 후 시그너처 기반 탐지 시스템에 적용시켜 주는 네트워크 침입 탐지 및 방지 시스템 및 그 방법에 관한 것이다. 이와 같은 본 발명은 변칙 행위 기반 탐지 장치(200)를 통해 의심가는 패킷들이 탐지되면 이를 수집하여 이들의 공통 정보를 찾아내고, 이후 그 공통점을 토대로 신규 시그너처를 생성함과 동시에 시그너처 기반 탐지 장치(100)에 적용 가능한지의 여부를 검증한 후 시그너처 기반 탐지 장치(100)에 등록하는 신규 시그너처 생성 및 검증 장치(300)로 구성되어 있다. 본 발명에 따르면 알려지지 않은 새로운 웜(Worm) 및 DDOS 네트워크 공격 등을 신속하게 차단시켜 줌으로써 네트워크 상의 심각한 피해를 사전에 막아주는 뛰어난 효과가 있다.
네트워크 침입 탐지 시스템, 시그너처(Signature) 기반 탐지, 변칙 행위(Anomaly Behavior) 기반 탐지, 신규 시그너처 생성 및 검증,

Description

네트워크 침입 탐지 및 방지 시스템 및 그 방법{INTRUSION DETECTION AND PREVENTION SYSTEM AND METHOD THEREOF}
도 1은 본 발명의 일 실시예에 따른 네트워크 침입 탐지 및 방지 시스템의 구성을 나타낸 기능 블록도,
도 2는 도 1에 따른 네트워크 침입 탐지 및 방지 시스템에서 신규 시그너처 생성 및 검증 장치 내 패킷 수집부에 수집된 패킷들의 형태를 나타낸 도면,
도 3은 도 1에 따른 네트워크 침입 탐지 및 방지 시스템에서 신규 시그너처 생성 및 검증 장치 내에 장착된 패킷 분석부의 내부 구성을 나타낸 기능 블록도,
도 4는 도 1에 따른 네트워크 침입 탐지 및 방지 시스템에서 신규 시그너처 생성 및 검증 장치 내에 장착된 시그너처 생성 및 검증부의 내부 구성을 나타낸 기능 블록도,
도 5는 본 발명의 일 실시예에 따른 네트워크 침입 탐지 및 방지 방법을 나타낸 동작 플로우챠트이다.
<도면의 주요 부분에 대한 부호의 설명>
100 : 시그너처 기반 탐지 장치
200 : 변칙 행위 기반 탐지 장치
300 : 신규 시그너처 생성 및 검증 장치
310 : 패킷 수집부
320 : 패킷 분석부
321 : 패킷 수신부
322 : 패킷헤더 분석부
323 : 패킷 페이로드 분석부
324 : 패킷분석결과 전송부
330 : 시그너처 생성 및 검증부
331 : 시그너처 생성 및 검증결과 분석부
332 : 시그너처 전송부
333 : 시그너처 테스트결과 수신부
340 : 시그너처 테스트부
350 : 시그너처 적용부
본 발명은 네트워크(Network) 침입 탐지 및 방지 시스템 및 그 방법에 관한 것으로, 더욱 상세하게는 알려지지 않은 네트워크 침입이 발생한 경우 이를 변칙 행위 기반 탐지 방법을 통해 탐지함과 동시에 그 결과를 바탕으로 시그너처 기반 탐지 방법에 적용할 수 있는 새로운 시그너처를 빠른 시간 내에 생성한 후 검증하고, 그 검증이 완료된 시그너처를 시그너처 기반 탐지 시스템에 적용하여 신속하게 네트워크 침입을 막아줄 수 있도록 해주는 네트워크 침입 탐지 및 방지 시스템 및 그 방법에 관한 것이다.
종래의 네트워크 침입 탐지 및 방지 시스템은 보통 시그너처(Signature)를 기반으로 하는 탐지 기법 또는 변칙 행위(Anomaly Behavior)를 기반으로 하는 탐지 기법을 이용하였다. 이 때, 시그너처를 기반으로 하는 탐지 방법은 이미 잘 알려진 네트워크 침입 기법에 대한 시그너처를 미리 작성하여 이를 침입 또는 방지 시스템에 적용해 줌으로써, 각 시스템에서 네트워크에 흘러 다니는 패킷을 한개씩 일일이 검사하여 적용된 시그너처가 패킷에 존재하는지를 확인하면서 탐지하는 기법을 의미한다.
이러한 시그너처 기반 탐지 방법은 패킷을 시그너처와 단순 비교하는 방법이기 때문에, 탐지의 정확도가 매우 높으며 탐지 속도가 빨라서 많은 네트워크 보안 장비들이 이용하는 기본적인 기법이다. 그러나, 상술한 시그너처 탐지 기법은 이미 알려진 시그너처가 존재하지 않는 새로운 네트워크 침입 등에 대해서는 탐지 자체가 불가능한 치명적인 문제점이 있었다.
따라서, 종래에는 이러한 시그너처 기반 탐지 기법의 단점을 보완하고자 변칙 행위(Anomaly Behavior)를 기반으로 하는 탐지 기법을 시스템에 적용하였다. 변칙 행위를 기반으로 하는 탐지 기법은 이미 알려진 공격에 대한 탐지 기법이 아닌 새로운 공격을 탐지하고자 개발된 기법으로써, 일반 사용자들에 대한 정상적인 행동에 대한 정보를 침입 탐지 및 방지 시스템이 미리 알게 하고, 이를 바탕으로 정상적인 행동에 반하는 비정상적인 네트워크 동작이 발생하는 경우 이를 추적하여 네트워크 침입 등을 찾아내는 방식이다. 이러한 변칙 행위 기반 탐지 기법은 알려지지 않은 공격에 대한 탐지를 가능케 한다는 점에서 큰 장점이 있다.
하지만, 상술한 변칙 행위 기반 탐지 기법은 폴스-포지티브(False-Positive)와 같은 정상적인 사용자를 네트워크 침입으로 오인할 가능성이 매우 높으며, 동시에 시그너처를 기반으로 하는 탐지 기법에서 찾아낼 수 있는 이미 알려진 공격을 찾지 못하는 오류를 범할 확률도 매우 높다. 게다가, 시그너처를 기반으로 하는 탐지 기법과 달리 탐지에 걸리는 시간이 매우 길기 때문에 사전에 네트워크 침입을 막을 수 없는 문제점이 있었다.
따라서, 현재의 네트워크 침입 탐지 및 방지 시스템은 두 가지 침입 탐지 기술을 모두 적용하여 네트워크 보안 시스템을 구축하고 있다. 그러나, 이러한 경우에도 새로운 네트워크 공격에 대해 탐지가 완벽하게 이루어지지 않으며, 각 탐지 기법간의 연동이 부족하여 알려지지 않은 새로운 공격이 발생할 경우 이에 대한 탐지를 빠른 시간 내에 수행할 수 없을 뿐만 아니라 탐지율이 매우 높기 때문에, 네트워크에 치명적인 악영향을 미칠 수 있는 새로운 웜(Worm)이나 DDOS(Distributed denial-of-service attack)와 같은 공격에 신속히 대처할 수 없어 네트워크 상에 심각한 피해를 입힐 수 있는 문제점이 있었다.
따라서, 본 발명은 상기와 같은 종래의 문제점을 해결하기 위해 이루어진 것으로서, 본 발명의 목적은 알려지지 않은 새로운 웜(Worm) 및 DDOS 네트워크 공격 등을 신속하게 차단시켜 줌으로써 네트워크 상의 심각한 피해를 사전에 막아줄 뿐만 아니라, 시스템에서 새로이 생성된 시그너처를 다른 방화벽이나 침입 탐지 및 방지 시스템에 적용하여 네트워크의 보안 효과를 극대화시켜 주기 위한 네트워크 침입 탐지 및 방지 시스템 및 그 방법을 제공하는 데 있다.
상기와 같은 목적을 달성하기 위한 본 발명 네트워크 침입 탐지 및 방지 시스템은, 시그너처 기반 탐지 장치 및 변칙 행위 기반 탐지 장치를 구비한 네트워크 침입 탐지 및 방지 시스템에 있어서,
상기 시그너처 기반 탐지 장치 및 변칙 행위 기반 탐지 장치 사이에 설치되어, 상기 변칙 행위 기반 탐지 장치를 통해 의심가는 패킷들이 탐지되면 이를 수집하여 이들의 공통 정보를 찾아내고, 이후 그 공통점을 바탕으로 신규 시그너처를 생성함과 동시에 상기 시그너처 기반 탐지 장치에 적용 가능한지의 여부를 검증한 후 적용 가능하다고 판단되면 그 신규 시그너처를 상기 시그너처 기반 탐지 장치에 등록하는 신규 시그너처 생성 및 검증 장치로 구성된 것을 특징으로 한다.
또한, 본 발명 네트워크 침입 탐지 및 방지 방법은, 시그너처 기반 탐지 장치 및 행위 기반 탐지 장치 사이에 설치된 신규 시그너처 생성 및 검증 장치의 네트워크 침입 탐지 및 방지 방법에 있어서,
상기 신규 시그너처 생성 및 검증 장치가 상기 변칙 행위 기반 탐지 장치를 통해 네트워크 공격으로 의심가는 패킷들이 탐지되면 그 패킷들을 수집하여 저장하는 제 10 단계;
상기 신규 시그너처 생성 및 검증 장치가 수집된 패킷 정보들을 바탕으로 각 패킷 정보들의 공통 분모를 찾아내어 분석하는 제 20 단계;
상기 신규 시그너처 생성 및 검증 장치가 패킷 페이로드의 각 종류별 공통부분 결과 정보를 바탕으로 상기 시그너처 기반 탐지 장치에 적용 가능한 시그너처를 생성하는 제 30 단계;
상기 신규 시그너처 생성 및 검증 장치가 실제 탐지 시스템 환경을 구성하여, 생성된 신규 시그너처가 실제 시그너처 기반 탐지 장치에 적용 가능한지의 여부를 검증하는 제 40 단계;
상기 신규 시그너처 생성 및 검증 장치가 생성된 신규 시그너처를 정상적인 실제 네트워크 트래픽을 통해 테스트하는 제 50 단계; 및
상기 신규 시그너처 생성 및 검증 장치가 검증 완료된 신규 시그너처를 상기 시그너처 기반 탐지 장치에 등록하는 제 60 단계로 이루어진 것을 특징으로 한다.
이하, 본 발명의 일 실시예에 의한 네트워크 침입 탐지 및 방지 시스템 및 그 방법에 대하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 네트워크 침입 탐지 및 방지 시스템의 기능블록도로서, 본 발명의 일 실시예에 의한 네트워크 침입 탐지 및 방지 시스템은 시그너처 기반 탐지 장치(100), 변칙 행위 기반 탐지 장치(200) 및 신규 시그너처 생성 및 검증 장치(300)로 구성되어 있다.
이 때, 상기 신규 시그너처 생성 및 검증 장치(300)는 상기 시그너처 기반 탐지 장치(100) 및 변칙 행위 기반 탐지 장치(200) 사이에 설치되어, 상기 변칙 행위 기반 탐지 장치(200)를 통해 의심가는 패킷들이 탐지되면 이를 수집하여 이들의 공통 정보를 찾아내고, 이후 그 공통점을 바탕으로 신규 시그너처를 생성함과 동시에 상기 시그너처 기반 탐지 장치(100)에 적용 가능한지의 여부를 검증한 후 적용 가능하다고 판단되면 그 신규 시그너처를 상기 시그너처 기반 탐지 장치(100)에 등록하는 역할을 하며, 도 1에 도시된 바와 같이 패킷 수집부(310), 패킷 분석부(320), 시그너처 생성 및 검증부(330), 시그너처 테스트부(340) 및 시그너처 적용부(350)로 구성되어 있다.
상기 패킷 수집부(310)는 상기 변칙 행위 기반 탐지 장치(200)를 통해 네트워크 공격으로 의심가는 패킷들이 탐지되면 이를 수집하여 저장하는 역할을 한다. 이 때, 상기 패킷 수집부(310)에 저장된 네트워크 공격으로 의심가는 패킷들은 도 2에 도시된 바와 같이, 목적지/소스(Destination/Source) IP 어드레스(Address) 정보, 목적지/소스 포트(Port) 번호 정보, 프로토콜(Protocol) 정보, 데이터 페이로드(Payload) 정보, 탐지된 결과의 심각성 정도를 나타내는 세버리티(Severity) 정 보 등이 기록된 상태로 각각 존재한다.
한편, 상기 패킷 분석부(320)는 상기 패킷 수집부(310)를 통해 수집된 패킷 정보들을 바탕으로 각 패킷 정보들의 공통 분모를 찾아내어 분석하는 역할을 하며, 도 3에 도시된 바와 같이 패킷 수신부(321), 패킷헤더 분석부(322), 패킷 페이로드 분석부(323) 및 패킷분석결과 전송부(324)로 구성되어 있다.
이 때, 상기 패킷 분석부(320)의 패킷 수신부(321)는 상기 패킷 수집부(310)를 통해 수집된 패킷 데이터들을 수신받아 상기 패킷헤더 분석부(322)로 전송하는 역할을 하며, 상기 패킷헤더 분석부(322)는 상기 패킷 수신부(321)로부터 패킷 데이터들을 수신받은 후 그 패킷 데이터들의 목적지/소스 IP 어드레스 공통 부분, 목적지/소스 포트 번호 공통 부분, 프로토콜 공통 부분 및 패킷 페이로드 크기 공통 부분을 분석하는 역할을 한다.
또한, 상기 패킷 분석부(320)의 패킷 페이로드 분석부(323)는 상기 패킷헤더 분석부(322)로부터 패킷 데이터들의 분석 결과를 입력받아 그 패킷 데이터들의 패킷 페이로드를 종류별로 분리한 후 그 패킷 페이로드의 각 종류에서 공통부분을 찾아내는 역할을 하며, 상기 패킷분석결과 전송부(324)는 상기 패킷 페이로드 분석부(323)를 통해 분석된 각 패킷 정보들의 공통부분 결과 정보를 상기 시그너처 생성 및 검증부(330)로 전송하는 역할을 한다.
한편, 상기 시그너처 생성 및 검증부(330)는 상기 패킷 분석부(320)의 패킷 페이로드 분석부(323)를 통해 분석된 결과를 바탕으로 상기 시그너처 기반 탐지 장치(100)에 적용 가능한 시그너처를 생성한 후, 실제 탐지 시스템 환경을 구성하여 그 신규 시그너처가 실제 시그너처 기반 탐지 장치(100)에 적용 가능한지의 여부를 검증하는 역할을 하며, 도 4에 도시된 바와 같이 시그너처 생성 및 검증결과 분석부(331), 시그너처 전송부(332) 및 시그너처 테스트결과 수신부(333)로 구성되어 있다.
이 때, 상기 시그너처 생성 및 검증부(330)의 시그너처 생성 및 검증결과 분석부(331)는 상기 패킷 분석부(320)로부터 각 패킷 정보들의 공통부분 결과 정보를 수신받은 후 그 결과값을 토대로 신규 시그너처를 생성하고, 이후 실제 탐지 시스템 환경을 구성하여 그 신규 시그너처가 실제 시그너처 기반 탐지 장치에 적용 가능한지의 여부를 검증하는 역할을 한다.
또한, 상기 시그너처 생성 및 검증부(330)의 시그너처 전송부(332)는 상기 시그너처 생성 및 검증결과 분석부(331)로부터 신규 시그너처를 수신받은 후 이를 상기 시그너처 테스트부(340)로 전송하는 역할을 하며, 상기 시그너처 테스트결과 수신부(333)는 상기 시그너처 테스트부(340)로부터 신규 시그너처에 대한 테스트 결과값을 수신받아 상기 시그너처 생성 및 검증결과 분석부(331)로 전송하는 역할을 한다.
한편, 상기 시그너처 테스트부(340)는 상기 시그너처 생성 및 검증부(330)를 통해 생성된 신규 시그너처를 정상적인 실제 네트워크 트래픽을 통해 테스트함에 있어, 네트워크로 유입되는 정상적인 네트워크 패킷들과 상기 변칙 행위 기반 탐지 장치(200)를 통해 탐지된 네트워크 공격으로 의심가는 패킷들을 동시에 적용하여 테스트한다.
또한, 상기 시그너처 적용부(350)는 상기 시그너처 테스트부(340)를 통해 검증 완료된 신규 시그너처를 상기 시그너처 기반 탐지 장치(100)에 등록시키는 역할을 한다.
그러면, 상기와 같은 구성을 가지는 본 발명의 일 실시예에 따른 네트워크 침입 탐지 및 방지 방법에 대해 도 5를 참조하여 설명하기로 한다.
먼저, 상기 신규 시그너처 생성 및 검증 장치(300)는 상기 변칙 행위 기반 탐지 장치(200)를 통해 네트워크 공격으로 의심가는 패킷들이 탐지되면 그 패킷들을 수집하여 저장한다(S10). 이 때, 상술한 네트워크 공격으로 의심가는 패킷들의 헤더 부분에는 도 2에 도시된 바와 같이, 목적지/소스(Destination/Source) IP 어드레스(Address) 정보, 목적지/소스 포트(Port) 번호 정보, 프로토콜(Protocol) 정보, 데이터 페이로드(Payload) 정보, 탐지된 결과의 심각성 정도를 나타내는 세버리티(Severity) 정보가 기록되어 있다.
그런후, 상기 신규 시그너처 생성 및 검증 장치(300)는 수집된 패킷 정보들을 바탕으로 각 패킷 정보들의 공통 분모를 찾아내어 분석한다(S20). 이 때, 상기 제 20 단계(S20)를 보다 더 구체적으로 살펴보면, 상기 신규 시그너처 생성 및 검증 장치(300)는 네트워크 공격으로 의심가는 패킷 데이터들의 헤더에 저장된 목적지/소스 IP 어드레스 공통 부분, 목적지/소스 포트 번호 공통 부분, 프로토콜 공통 부분 및 패킷 페이로드 크기 공통 부분을 분석한다(S21). 그런후, 상기 신규 시그너처 생성 및 검증 장치(300)는 패킷 데이터들의 분석 결과를 토대로 그 패킷 데이터들의 패킷 페이로드를 종류별로 분리한 후 그 패킷 페이로드의 각 종류에서 공통부분을 찾아내어 분석한다(S22).
이어서, 상기 신규 시그너처 생성 및 검증 장치(300)는 상기 제 22 단계(S22)를 통해 분석된 패킷 페이로드의 각 종류별 공통부분 결과 정보를 바탕으로 상기 시그너처 기반 탐지 장치(100)에 적용 가능한 시그너처를 생성한다(S30).
또한, 상기 신규 시그너처 생성 및 검증 장치(300)는 실제 탐지 시스템 환경을 구성하여, 생성된 신규 시그너처가 실제 시그너처 기반 탐지 장치(100)에 적용 가능한지의 여부를 검증한다(S40).
그런후, 상기 신규 시그너처 생성 및 검증 장치(300)는 생성된 신규 시그너처를 정상적인 실제 네트워크 트래픽을 통해 테스트한다(S50). 이 때, 상기 제 50 단계(S50)에서 상기 신규 시그너처 생성 및 검증 장치(300)가 신규 시그너처를 테스트하는 방법은 네트워크로부터 유입된 정상적인 네트워크 패킷들 및 상기 변칙 행위 기반 탐지 장치(200)를 통해 탐지된 네트워크 공격으로 의심가는 패킷들을 동시에 적용하여 테스트한다.
이어서, 상기 신규 시그너처 생성 및 검증 장치(300)는 검증 완료된 신규 시그너처를 상기 시그너처 기반 탐지 장치(100)에 등록한다(S60).
이상에서 몇 가지 실시예를 들어 본 발명을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것이 아니고 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형실시될 수 있다.
상술한 바와 같이 본 발명에 의한 네트워크 침입 탐지 및 방지 시스템 및 그 방법에 의하면, 알려지지 않은 새로운 웜(Worm) 및 DDOS 네트워크 공격 등을 신속하게 차단시켜 줌으로써 네트워크 상의 심각한 피해를 사전에 막아줄 뿐만 아니라, 시스템에서 새로이 생성된 시그너처를 다른 방화벽이나 침입 탐지 및 방지 시스템에 적용하여 네트워크의 보안 효과를 극대화시켜 준다는 뛰어난 효과가 있다.

Claims (10)

  1. 시그너처 기반 탐지 장치 및 변칙 행위 기반 탐지 장치를 구비한 네트워크 침입 탐지 및 방지 시스템에 있어서,
    상기 시그너처 기반 탐지 장치 및 변칙 행위 기반 탐지 장치 사이에 설치되어, 상기 변칙 행위 기반 탐지 장치를 통해 의심가는 패킷들이 탐지되면 이를 수집하여 이들의 공통 정보를 찾아내고, 이후 그 공통점을 바탕으로 신규 시그너처를 생성함과 동시에 상기 시그너처 기반 탐지 장치에 적용 가능한지의 여부를 검증한 후 적용 가능하다고 판단되면 그 신규 시그너처를 상기 시그너처 기반 탐지 장치에 등록하는 신규 시그너처 생성 및 검증 장치로 구성된 것을 특징으로 하는 네트워크 침입 탐지 및 방지 시스템.
  2. 제 1항에 있어서,
    상기 신규 시그너처 생성 및 검증 장치는, 상기 변칙 행위 기반 탐지 장치를 통해 네트워크 공격으로 의심가는 패킷들이 탐지되면 이를 수집하여 저장하는 패킷 수집부;
    상기 패킷 수집부를 통해 수집된 패킷 정보들을 바탕으로 각 패킷 정보들의 공통 분모를 찾아내어 분석하는 패킷 분석부;
    상기 패킷 분석부를 통해 분석된 결과를 바탕으로 상기 시그너처 기반 탐지 장치에 적용 가능한 시그너처를 생성한 후, 실제 탐지 시스템 환경을 구성하여 그 신규 시그너처가 실제 시그너처 기반 탐지 장치에 적용 가능한지의 여부를 검증하는 시그너처 생성 및 검증부;
    상기 시그너처 생성 및 검증부를 통해 생성된 신규 시그너처를 정상적인 실제 네트워크 트래픽을 통해 테스트하는 시그너처 테스트부; 및
    상기 시그너처 테스트부를 통해 검증 완료된 신규 시그너처를 상기 시그너처 기반 탐지 장치에 등록하는 시그너처 적용부로 구성된 것을 특징으로 하는 네트워크 침입 탐지 및 방지 시스템.
  3. 제 1항에 있어서,
    상기 패킷 수집부에 저장된 네트워크 공격으로 의심가는 패킷들은, 목적지/소스(Destination/Source) IP 어드레스(Address) 정보, 목적지/소스 포트(Port) 번호 정보, 프로토콜(Protocol) 정보, 데이터 페이로드(Payload) 정보, 탐지된 결과의 심각성 정도를 나타내는 세버리티(Severity) 정보 등이 기록된 상태로 각각 존재함을 특징으로 하는 네트워크 침입 탐지 및 방지 시스템.
  4. 제 1항에 있어서,
    상기 패킷 분석부는, 상기 패킷 수집부를 통해 수집된 패킷 데이터들을 수신 받는 패킷 수신부;
    상기 패킷 수신부를 통해 수신받은 패킷 데이터들의 목적지/소스 IP 어드레스 공통 부분, 목적지/소스 포트 번호 공통 부분, 프로토콜 공통 부분 및 패킷 페이로드 크기 공통 부분을 분석하는 패킷헤더 분석부;
    상기 패킷헤더 분석부로부터 패킷 데이터들의 분석 결과를 입력받아 그 패킷 데이터들의 패킷 페이로드를 종류별로 분리한 후 그 패킷 페이로드의 각 종류에서 공통부분을 찾아내는 패킷 페이로드 분석부; 및
    상기 패킷 페이로드 분석부를 통해 분석된 각 패킷 정보들의 공통부분 결과 정보를 상기 시그너처 생성 및 검증부로 전송하는 패킷분석결과 전송부로 구성된 것을 특징으로 하는 네트워크 침입 탐지 및 방지 시스템.
  5. 제 1항에 있어서,
    상기 시그너처 생성 및 검증부는, 상기 패킷 분석부로부터 각 패킷 정보들의 공통부분 결과 정보를 수신받은 후 그 결과값을 토대로 신규 시그너처를 생성하고, 이후 실제 탐지 시스템 환경을 구성하여 그 신규 시그너처가 실제 시그너처 기반 탐지 장치에 적용 가능한지의 여부를 검증하는 시그너처 생성 및 검증결과 분석부;
    상기 시그너처 생성 및 검증결과 분석부로부터 신규 시그너처를 수신받은 후 이를 상기 시그너처 테스트부로 전송하는 시그너처 전송부; 및
    상기 시그너처 테스트부로부터 신규 시그너처에 대한 테스트 결과값을 수신 받아 상기 시그너처 생성 및 검증결과 분석부로 전송하는 시그너처 테스트결과 수신부로 구성된 것을 특징으로 하는 네트워크 침입 탐지 및 방지 시스템.
  6. 제 1항에 있어서,
    상기 시그너처 테스트부는, 상기 시그너처 생성 및 검증부를 통해 생성된 신규 시그너처를 테스트함에 있어, 정상적인 네트워크 패킷들 및 상기 변칙 행위 기반 탐지 장치를 통해 탐지된 네트워크 공격으로 의심가는 패킷들을 동시에 적용하여 테스트함을 특징으로 하는 네트워크 침입 탐지 및 방지 시스템.
  7. 시그너처 기반 탐지 장치 및 행위 기반 탐지 장치 사이에 설치된 신규 시그너처 생성 및 검증 장치의 네트워크 침입 탐지 및 방지 방법에 있어서,
    상기 신규 시그너처 생성 및 검증 장치가 상기 변칙 행위 기반 탐지 장치를 통해 네트워크 공격으로 의심가는 패킷들이 탐지되면 그 패킷들을 수집하여 저장하는 제 10 단계;
    상기 신규 시그너처 생성 및 검증 장치가 수집된 패킷 정보들을 바탕으로 각 패킷 정보들의 공통 분모를 찾아내어 분석하는 제 20 단계;
    상기 신규 시그너처 생성 및 검증 장치가 패킷 페이로드의 각 종류별 공통부분 결과 정보를 바탕으로 상기 시그너처 기반 탐지 장치에 적용 가능한 시그너처를 생성하는 제 30 단계;
    상기 신규 시그너처 생성 및 검증 장치가 실제 탐지 시스템 환경을 구성하여, 생성된 신규 시그너처가 실제 시그너처 기반 탐지 장치에 적용 가능한지의 여부를 검증하는 제 40 단계;
    상기 신규 시그너처 생성 및 검증 장치가 생성된 신규 시그너처를 정상적인 실제 네트워크 트래픽을 통해 테스트하는 제 50 단계; 및
    상기 신규 시그너처 생성 및 검증 장치가 검증 완료된 신규 시그너처를 상기 시그너처 기반 탐지 장치에 등록하는 제 60 단계로 이루어진 것을 특징으로 하는 네트워크 침입 탐지 및 방지 방법.
  8. 제 7항에 있어서,
    상기 제 10 단계에서 수집된 네트워크 공격으로 의심가는 패킷들의 헤더에는, 목적지/소스(Destination/Source) IP 어드레스(Address) 정보, 목적지/소스 포트(Port) 번호 정보, 프로토콜(Protocol) 정보, 데이터 페이로드(Payload) 정보, 탐지된 결과의 심각성 정도를 나타내는 세버리티(Severity) 정보 등이 기록되어 있음을 특징으로 하는 네트워크 침입 탐지 및 방지 방법.
  9. 제 7항에 있어서,
    상기 제 20 단계는, 상기 신규 시그너처 생성 및 검증 장치가 네트워크 공격으로 의심가는 패킷 데이터들의 헤더에 저장된 목적지/소스 IP 어드레스 공통 부분, 목적지/소스 포트 번호 공통 부분, 프로토콜 공통 부분 및 패킷 페이로드 크기 공통 부분을 분석하는 제 21 단계; 및
    상기 신규 시그너처 생성 및 검증 장치가 패킷 데이터들의 분석 결과를 토대로 그 패킷 데이터들의 패킷 페이로드를 종류별로 분리한 후 그 패킷 페이로드의 각 종류에서 공통부분을 찾아내어 분석하는 제 22 단계로 이루어진 것을 특징으로 하는 네트워크 침입 탐지 및 방지 방법.
  10. 제 7항에 있어서,
    상기 제 50 단계에서, 상기 신규 시그너처 생성 및 검증 장치가 신규 시그너처를 테스트하는 방법은, 정상적인 네트워크 패킷들 및 상기 변칙 행위 기반 탐지 장치를 통해 탐지된 네트워크 공격으로 의심가는 패킷들을 동시에 적용하여 테스트함을 특징으로 하는 네트워크 침입 탐지 및 방지 방법.
KR1020040083752A 2004-10-19 2004-10-19 네트워크 침입 탐지 및 방지 시스템 및 그 방법 KR100611741B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020040083752A KR100611741B1 (ko) 2004-10-19 2004-10-19 네트워크 침입 탐지 및 방지 시스템 및 그 방법
US11/023,384 US7565693B2 (en) 2004-10-19 2004-12-29 Network intrusion detection and prevention system and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040083752A KR100611741B1 (ko) 2004-10-19 2004-10-19 네트워크 침입 탐지 및 방지 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20060034581A true KR20060034581A (ko) 2006-04-24
KR100611741B1 KR100611741B1 (ko) 2006-08-11

Family

ID=36182331

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040083752A KR100611741B1 (ko) 2004-10-19 2004-10-19 네트워크 침입 탐지 및 방지 시스템 및 그 방법

Country Status (2)

Country Link
US (1) US7565693B2 (ko)
KR (1) KR100611741B1 (ko)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100809416B1 (ko) * 2006-07-28 2008-03-05 한국전자통신연구원 보안 시스템을 위한 최적 시그니처 자동 생성 장치 및 방법
KR100860414B1 (ko) * 2006-12-01 2008-09-26 한국전자통신연구원 네트워크 공격 시그너처 생성 방법 및 장치
WO2009142855A2 (en) * 2008-05-23 2009-11-26 Solera Networks, Inc. Method and apparatus of network artifact indentification and extraction
KR100951930B1 (ko) * 2007-11-19 2010-04-09 (주) 시스메이트 부적절한 패킷의 분류 방법 및 장치
US8065729B2 (en) 2006-12-01 2011-11-22 Electronics And Telecommunications Research Institute Method and apparatus for generating network attack signature
US8336098B2 (en) 2009-03-25 2012-12-18 Sysmate Co., Ltd. Method and apparatus for classifying harmful packet
WO2013089395A1 (ko) * 2011-12-16 2013-06-20 주식회사 코닉글로리 시그니쳐 기반 무선 침입차단시스템
US8521732B2 (en) 2008-05-23 2013-08-27 Solera Networks, Inc. Presentation of an extracted artifact based on an indexing technique
KR101346330B1 (ko) * 2012-03-07 2014-01-03 주식회사 시큐아이 유해 패킷 검출 방법 및 장치
US8666985B2 (en) 2011-03-16 2014-03-04 Solera Networks, Inc. Hardware accelerated application-based pattern matching for real time classification and recording of network traffic
KR101400127B1 (ko) * 2012-09-05 2014-05-28 주식회사 시큐아이 비정상 데이터 패킷 검출 방법 및 장치
KR101420301B1 (ko) * 2012-09-05 2014-07-17 주식회사 시큐아이 DDoS 공격 검출 방법 및 장치

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7562389B1 (en) 2004-07-30 2009-07-14 Cisco Technology, Inc. Method and system for network security
US7555774B2 (en) * 2004-08-02 2009-06-30 Cisco Technology, Inc. Inline intrusion detection using a single physical port
US7725938B2 (en) 2005-01-20 2010-05-25 Cisco Technology, Inc. Inline intrusion detection
US7640591B1 (en) * 2005-04-22 2009-12-29 Sun Microsystems, Inc. Method and apparatus for limiting denial of service attack by limiting traffic for hosts
US20070056038A1 (en) * 2005-09-06 2007-03-08 Lok Technology, Inc. Fusion instrusion protection system
JP4547340B2 (ja) * 2006-01-30 2010-09-22 アラクサラネットワークス株式会社 トラフィック制御方式、装置及びシステム
US8578479B2 (en) * 2006-03-21 2013-11-05 Riverbed Technology, Inc. Worm propagation mitigation
US7735139B1 (en) * 2006-05-17 2010-06-08 Trend Micro Incorporated In-line scanning of network data in an asymmetric routing environment
US9152706B1 (en) 2006-12-30 2015-10-06 Emc Corporation Anonymous identification tokens
US9497205B1 (en) 2008-05-19 2016-11-15 Emc Corporation Global commonality and network logging
WO2008097198A1 (en) * 2007-02-09 2008-08-14 Agency For Science, Technology And Research Apparatus and method for analysis of data traffic
US8539098B2 (en) 2007-10-17 2013-09-17 Dispersive Networks, Inc. Multiplexed client server (MCS) communications and systems
US8560634B2 (en) 2007-10-17 2013-10-15 Dispersive Networks, Inc. Apparatus, systems and methods utilizing dispersive networking
WO2009052452A2 (en) * 2007-10-17 2009-04-23 Dispersive Networks Inc. Virtual dispersive routing
US8286243B2 (en) * 2007-10-23 2012-10-09 International Business Machines Corporation Blocking intrusion attacks at an offending host
KR20090099734A (ko) * 2008-03-18 2009-09-23 삼성전자주식회사 스트림 기반의 인터페이스 시스템 및 그 제어 방법
JP4983671B2 (ja) * 2008-03-19 2012-07-25 沖電気工業株式会社 トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム
CA2674327C (en) 2008-08-06 2017-01-03 Trend Micro Incorporated Exploit nonspecific host intrusion prevention/detection methods and systems and smart filters therefor
US8752142B2 (en) 2009-07-17 2014-06-10 American Express Travel Related Services Company, Inc. Systems, methods, and computer program products for adapting the security measures of a communication network based on feedback
US8621636B2 (en) 2009-12-17 2013-12-31 American Express Travel Related Services Company, Inc. Systems, methods, and computer program products for collecting and reporting sensor data in a communication network
US9756076B2 (en) 2009-12-17 2017-09-05 American Express Travel Related Services Company, Inc. Dynamically reacting policies and protections for securing mobile financial transactions
US8650129B2 (en) 2010-01-20 2014-02-11 American Express Travel Related Services Company, Inc. Dynamically reacting policies and protections for securing mobile financial transaction data in transit
EP2438511B1 (en) 2010-03-22 2019-07-03 LRDC Systems, LLC A method of identifying and protecting the integrity of a set of source data
US8479290B2 (en) 2010-06-16 2013-07-02 Alcatel Lucent Treatment of malicious devices in a mobile-communications network
US10360625B2 (en) 2010-06-22 2019-07-23 American Express Travel Related Services Company, Inc. Dynamically adaptive policy management for securing mobile financial transactions
US8850539B2 (en) 2010-06-22 2014-09-30 American Express Travel Related Services Company, Inc. Adaptive policies and protections for securing financial transaction data at rest
US8924296B2 (en) 2010-06-22 2014-12-30 American Express Travel Related Services Company, Inc. Dynamic pairing system for securing a trusted communication channel
US8955110B1 (en) 2011-01-14 2015-02-10 Robert W. Twitchell, Jr. IP jamming systems utilizing virtual dispersive networking
US8941659B1 (en) 2011-01-28 2015-01-27 Rescon Ltd Medical symptoms tracking apparatus, methods and systems
US9794275B1 (en) 2013-06-28 2017-10-17 Symantec Corporation Lightweight replicas for securing cloud-based services
KR101488271B1 (ko) * 2013-11-26 2015-02-02 한국전자통신연구원 Ids 오탐 검출 장치 및 방법
WO2015113156A1 (en) * 2014-01-30 2015-08-06 Marketwired L.P. Systems and methods for continuous active data security
EP3281381B1 (en) * 2015-04-07 2023-10-04 Umbra Technologies Ltd. Multi-perimeter firewall in the cloud
US20170111391A1 (en) * 2015-10-15 2017-04-20 International Business Machines Corporation Enhanced intrusion prevention system
US10142360B2 (en) * 2016-10-11 2018-11-27 Arbor Networks, Inc. System and method for iteratively updating network attack mitigation countermeasures
CN107979581B (zh) * 2016-10-25 2020-10-27 华为技术有限公司 僵尸特征的检测方法和装置
CN117897702A (zh) 2021-04-30 2024-04-16 瓦瑞缇·普拉斯有限责任公司 用于自动评估网络流量签名的质量的系统和方法

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6279113B1 (en) * 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US6405318B1 (en) * 1999-03-12 2002-06-11 Psionic Software, Inc. Intrusion detection system
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
US7290283B2 (en) * 2001-01-31 2007-10-30 Lancope, Inc. Network port profiling
US7089592B2 (en) * 2001-03-15 2006-08-08 Brighterion, Inc. Systems and methods for dynamic detection and prevention of electronic fraud
AU2002322109A1 (en) * 2001-06-13 2002-12-23 Intruvert Networks, Inc. Method and apparatus for distributed network security
KR20030056652A (ko) * 2001-12-28 2003-07-04 한국전자통신연구원 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법
US7225343B1 (en) * 2002-01-25 2007-05-29 The Trustees Of Columbia University In The City Of New York System and methods for adaptive model generation for detecting intrusions in computer systems
US8370936B2 (en) * 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
JP3699941B2 (ja) 2002-03-22 2005-09-28 日本電信電話株式会社 分散型サービス不能攻撃防止方法及びゲート装置、通信装置、分散型サービス不能攻撃防止プログラム及び記録媒体
US20030188190A1 (en) * 2002-03-26 2003-10-02 Aaron Jeffrey A. System and method of intrusion detection employing broad-scope monitoring
US7058796B2 (en) * 2002-05-20 2006-06-06 Airdefense, Inc. Method and system for actively defending a wireless LAN against attacks
US7086089B2 (en) * 2002-05-20 2006-08-01 Airdefense, Inc. Systems and methods for network security
US6654882B1 (en) * 2002-05-24 2003-11-25 Rackspace, Ltd Network security system protecting against disclosure of information to unauthorized agents
US7322044B2 (en) * 2002-06-03 2008-01-22 Airdefense, Inc. Systems and methods for automated network policy exception detection and correction
US20040015719A1 (en) * 2002-07-16 2004-01-22 Dae-Hyung Lee Intelligent security engine and intelligent and integrated security system using the same
KR20020075319A (ko) * 2002-07-19 2002-10-04 주식회사 싸이버텍홀딩스 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템
US7017186B2 (en) * 2002-07-30 2006-03-21 Steelcloud, Inc. Intrusion detection system using self-organizing clusters
US10110632B2 (en) 2003-03-31 2018-10-23 Intel Corporation Methods and systems for managing security policies
US7293238B1 (en) * 2003-04-04 2007-11-06 Raytheon Company Graphical user interface for an enterprise intrusion detection system
KR20040092314A (ko) * 2003-04-26 2004-11-03 엘지엔시스(주) 침입 탐지 장치 기반의 공격트래픽 실시간 모니터링 시스템
US7669239B2 (en) * 2003-09-15 2010-02-23 Jpmorgan Chase Bank, N.A. Secure network system and associated method of use
KR100558658B1 (ko) * 2003-10-02 2006-03-14 한국전자통신연구원 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법
KR20050098603A (ko) * 2004-04-08 2005-10-12 홍충선 액티브 라우터를 이용한 분산서비스거부공격을 방어하는방법
US7966658B2 (en) * 2004-04-08 2011-06-21 The Regents Of The University Of California Detecting public network attacks using signatures and fast content analysis
US20060101516A1 (en) * 2004-10-12 2006-05-11 Sushanthan Sudaharan Honeynet farms as an early warning system for production networks

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100809416B1 (ko) * 2006-07-28 2008-03-05 한국전자통신연구원 보안 시스템을 위한 최적 시그니처 자동 생성 장치 및 방법
KR100860414B1 (ko) * 2006-12-01 2008-09-26 한국전자통신연구원 네트워크 공격 시그너처 생성 방법 및 장치
US8065729B2 (en) 2006-12-01 2011-11-22 Electronics And Telecommunications Research Institute Method and apparatus for generating network attack signature
KR100951930B1 (ko) * 2007-11-19 2010-04-09 (주) 시스메이트 부적절한 패킷의 분류 방법 및 장치
US8521732B2 (en) 2008-05-23 2013-08-27 Solera Networks, Inc. Presentation of an extracted artifact based on an indexing technique
WO2009142855A2 (en) * 2008-05-23 2009-11-26 Solera Networks, Inc. Method and apparatus of network artifact indentification and extraction
WO2009142855A3 (en) * 2008-05-23 2010-01-21 Solera Networks, Inc. Method and apparatus of network artifact indentification and extraction
US8336098B2 (en) 2009-03-25 2012-12-18 Sysmate Co., Ltd. Method and apparatus for classifying harmful packet
US8666985B2 (en) 2011-03-16 2014-03-04 Solera Networks, Inc. Hardware accelerated application-based pattern matching for real time classification and recording of network traffic
WO2013089395A1 (ko) * 2011-12-16 2013-06-20 주식회사 코닉글로리 시그니쳐 기반 무선 침입차단시스템
KR101346330B1 (ko) * 2012-03-07 2014-01-03 주식회사 시큐아이 유해 패킷 검출 방법 및 장치
KR101400127B1 (ko) * 2012-09-05 2014-05-28 주식회사 시큐아이 비정상 데이터 패킷 검출 방법 및 장치
KR101420301B1 (ko) * 2012-09-05 2014-07-17 주식회사 시큐아이 DDoS 공격 검출 방법 및 장치

Also Published As

Publication number Publication date
US7565693B2 (en) 2009-07-21
KR100611741B1 (ko) 2006-08-11
US20060085855A1 (en) 2006-04-20

Similar Documents

Publication Publication Date Title
KR100611741B1 (ko) 네트워크 침입 탐지 및 방지 시스템 및 그 방법
US10440049B2 (en) Network traffic analysis for malware detection and performance reporting
US7076803B2 (en) Integrated intrusion detection services
US7222366B2 (en) Intrusion event filtering
Panjwani et al. An experimental evaluation to determine if port scans are precursors to an attack
EP2095604B1 (en) Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis
US20030101353A1 (en) Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
WO2007081023A1 (ja) トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム
Musa et al. Analysis of complex networks for security issues using attack graph
KR20060057916A (ko) 정보보호 제품의 기능 시험을 위한 공격 패킷 생성 기능을포함하는 네트워크 패킷 생성 장치 및 방법
Callegari et al. A new statistical method for detecting network anomalies in TCP traffic
KR100772177B1 (ko) 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치
Faizal et al. Threshold verification technique for network intrusion detection system
RU2531878C1 (ru) Способ обнаружения компьютерных атак в информационно-телекоммуникационной сети
Joshi et al. An enhanced framework for identification and risks assessment of zero-day vulnerabilities
KR100862321B1 (ko) 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치
CA2484461C (en) Method and system for analyzing and addressing alarms from network intrusion detection systems
Asaka et al. Local attack detection and intrusion route tracing
KR100767803B1 (ko) 네트워크 이상행위 기반의 네트워크 공격 탐지 방법 및장치
Rohrmair et al. Using CSP to detect insertion and evasion possibilities within the intrusion detection area
Ersson et al. Botnet detection with event-driven analysis
KR20060056195A (ko) 비정상 트래픽 정보 분석 장치 및 그 방법
KR101022787B1 (ko) 차세대 네트워크 보안 관리 시스템 및 그 방법
Sqalli et al. Classifying malicious activities in Honeynets using entropy and volume‐based thresholds

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120730

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20130729

Year of fee payment: 8

LAPS Lapse due to unpaid annual fee