KR20060034581A - 네트워크 침입 탐지 및 방지 시스템 및 그 방법 - Google Patents
네트워크 침입 탐지 및 방지 시스템 및 그 방법 Download PDFInfo
- Publication number
- KR20060034581A KR20060034581A KR1020040083752A KR20040083752A KR20060034581A KR 20060034581 A KR20060034581 A KR 20060034581A KR 1020040083752 A KR1020040083752 A KR 1020040083752A KR 20040083752 A KR20040083752 A KR 20040083752A KR 20060034581 A KR20060034581 A KR 20060034581A
- Authority
- KR
- South Korea
- Prior art keywords
- signature
- packet
- detection device
- new
- based detection
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 알려지지 않은 네트워크 침입 패킷들을 변칙 행위 기반 탐지 기법을 통해 탐지함과 동시에 그 패킷들의 공통 부분 정보를 토대로 새로운 시그너처를 생성한 후 시그너처 기반 탐지 시스템에 적용시켜 주는 네트워크 침입 탐지 및 방지 시스템 및 그 방법에 관한 것이다. 이와 같은 본 발명은 변칙 행위 기반 탐지 장치(200)를 통해 의심가는 패킷들이 탐지되면 이를 수집하여 이들의 공통 정보를 찾아내고, 이후 그 공통점을 토대로 신규 시그너처를 생성함과 동시에 시그너처 기반 탐지 장치(100)에 적용 가능한지의 여부를 검증한 후 시그너처 기반 탐지 장치(100)에 등록하는 신규 시그너처 생성 및 검증 장치(300)로 구성되어 있다. 본 발명에 따르면 알려지지 않은 새로운 웜(Worm) 및 DDOS 네트워크 공격 등을 신속하게 차단시켜 줌으로써 네트워크 상의 심각한 피해를 사전에 막아주는 뛰어난 효과가 있다.
네트워크 침입 탐지 시스템, 시그너처(Signature) 기반 탐지, 변칙 행위(Anomaly Behavior) 기반 탐지, 신규 시그너처 생성 및 검증,
Description
도 1은 본 발명의 일 실시예에 따른 네트워크 침입 탐지 및 방지 시스템의 구성을 나타낸 기능 블록도,
도 2는 도 1에 따른 네트워크 침입 탐지 및 방지 시스템에서 신규 시그너처 생성 및 검증 장치 내 패킷 수집부에 수집된 패킷들의 형태를 나타낸 도면,
도 3은 도 1에 따른 네트워크 침입 탐지 및 방지 시스템에서 신규 시그너처 생성 및 검증 장치 내에 장착된 패킷 분석부의 내부 구성을 나타낸 기능 블록도,
도 4는 도 1에 따른 네트워크 침입 탐지 및 방지 시스템에서 신규 시그너처 생성 및 검증 장치 내에 장착된 시그너처 생성 및 검증부의 내부 구성을 나타낸 기능 블록도,
도 5는 본 발명의 일 실시예에 따른 네트워크 침입 탐지 및 방지 방법을 나타낸 동작 플로우챠트이다.
<도면의 주요 부분에 대한 부호의 설명>
100 : 시그너처 기반 탐지 장치
200 : 변칙 행위 기반 탐지 장치
300 : 신규 시그너처 생성 및 검증 장치
310 : 패킷 수집부
320 : 패킷 분석부
321 : 패킷 수신부
322 : 패킷헤더 분석부
323 : 패킷 페이로드 분석부
324 : 패킷분석결과 전송부
330 : 시그너처 생성 및 검증부
331 : 시그너처 생성 및 검증결과 분석부
332 : 시그너처 전송부
333 : 시그너처 테스트결과 수신부
340 : 시그너처 테스트부
350 : 시그너처 적용부
본 발명은 네트워크(Network) 침입 탐지 및 방지 시스템 및 그 방법에 관한 것으로, 더욱 상세하게는 알려지지 않은 네트워크 침입이 발생한 경우 이를 변칙 행위 기반 탐지 방법을 통해 탐지함과 동시에 그 결과를 바탕으로 시그너처 기반 탐지 방법에 적용할 수 있는 새로운 시그너처를 빠른 시간 내에 생성한 후 검증하고, 그 검증이 완료된 시그너처를 시그너처 기반 탐지 시스템에 적용하여 신속하게 네트워크 침입을 막아줄 수 있도록 해주는 네트워크 침입 탐지 및 방지 시스템 및 그 방법에 관한 것이다.
종래의 네트워크 침입 탐지 및 방지 시스템은 보통 시그너처(Signature)를 기반으로 하는 탐지 기법 또는 변칙 행위(Anomaly Behavior)를 기반으로 하는 탐지 기법을 이용하였다. 이 때, 시그너처를 기반으로 하는 탐지 방법은 이미 잘 알려진 네트워크 침입 기법에 대한 시그너처를 미리 작성하여 이를 침입 또는 방지 시스템에 적용해 줌으로써, 각 시스템에서 네트워크에 흘러 다니는 패킷을 한개씩 일일이 검사하여 적용된 시그너처가 패킷에 존재하는지를 확인하면서 탐지하는 기법을 의미한다.
이러한 시그너처 기반 탐지 방법은 패킷을 시그너처와 단순 비교하는 방법이기 때문에, 탐지의 정확도가 매우 높으며 탐지 속도가 빨라서 많은 네트워크 보안 장비들이 이용하는 기본적인 기법이다. 그러나, 상술한 시그너처 탐지 기법은 이미 알려진 시그너처가 존재하지 않는 새로운 네트워크 침입 등에 대해서는 탐지 자체가 불가능한 치명적인 문제점이 있었다.
따라서, 종래에는 이러한 시그너처 기반 탐지 기법의 단점을 보완하고자 변칙 행위(Anomaly Behavior)를 기반으로 하는 탐지 기법을 시스템에 적용하였다. 변칙 행위를 기반으로 하는 탐지 기법은 이미 알려진 공격에 대한 탐지 기법이 아닌 새로운 공격을 탐지하고자 개발된 기법으로써, 일반 사용자들에 대한 정상적인 행동에 대한 정보를 침입 탐지 및 방지 시스템이 미리 알게 하고, 이를 바탕으로 정상적인 행동에 반하는 비정상적인 네트워크 동작이 발생하는 경우 이를 추적하여 네트워크 침입 등을 찾아내는 방식이다. 이러한 변칙 행위 기반 탐지 기법은 알려지지 않은 공격에 대한 탐지를 가능케 한다는 점에서 큰 장점이 있다.
하지만, 상술한 변칙 행위 기반 탐지 기법은 폴스-포지티브(False-Positive)와 같은 정상적인 사용자를 네트워크 침입으로 오인할 가능성이 매우 높으며, 동시에 시그너처를 기반으로 하는 탐지 기법에서 찾아낼 수 있는 이미 알려진 공격을 찾지 못하는 오류를 범할 확률도 매우 높다. 게다가, 시그너처를 기반으로 하는 탐지 기법과 달리 탐지에 걸리는 시간이 매우 길기 때문에 사전에 네트워크 침입을 막을 수 없는 문제점이 있었다.
따라서, 현재의 네트워크 침입 탐지 및 방지 시스템은 두 가지 침입 탐지 기술을 모두 적용하여 네트워크 보안 시스템을 구축하고 있다. 그러나, 이러한 경우에도 새로운 네트워크 공격에 대해 탐지가 완벽하게 이루어지지 않으며, 각 탐지 기법간의 연동이 부족하여 알려지지 않은 새로운 공격이 발생할 경우 이에 대한 탐지를 빠른 시간 내에 수행할 수 없을 뿐만 아니라 탐지율이 매우 높기 때문에, 네트워크에 치명적인 악영향을 미칠 수 있는 새로운 웜(Worm)이나 DDOS(Distributed denial-of-service attack)와 같은 공격에 신속히 대처할 수 없어 네트워크 상에 심각한 피해를 입힐 수 있는 문제점이 있었다.
따라서, 본 발명은 상기와 같은 종래의 문제점을 해결하기 위해 이루어진 것으로서, 본 발명의 목적은 알려지지 않은 새로운 웜(Worm) 및 DDOS 네트워크 공격 등을 신속하게 차단시켜 줌으로써 네트워크 상의 심각한 피해를 사전에 막아줄 뿐만 아니라, 시스템에서 새로이 생성된 시그너처를 다른 방화벽이나 침입 탐지 및 방지 시스템에 적용하여 네트워크의 보안 효과를 극대화시켜 주기 위한 네트워크 침입 탐지 및 방지 시스템 및 그 방법을 제공하는 데 있다.
상기와 같은 목적을 달성하기 위한 본 발명 네트워크 침입 탐지 및 방지 시스템은, 시그너처 기반 탐지 장치 및 변칙 행위 기반 탐지 장치를 구비한 네트워크 침입 탐지 및 방지 시스템에 있어서,
상기 시그너처 기반 탐지 장치 및 변칙 행위 기반 탐지 장치 사이에 설치되어, 상기 변칙 행위 기반 탐지 장치를 통해 의심가는 패킷들이 탐지되면 이를 수집하여 이들의 공통 정보를 찾아내고, 이후 그 공통점을 바탕으로 신규 시그너처를 생성함과 동시에 상기 시그너처 기반 탐지 장치에 적용 가능한지의 여부를 검증한 후 적용 가능하다고 판단되면 그 신규 시그너처를 상기 시그너처 기반 탐지 장치에 등록하는 신규 시그너처 생성 및 검증 장치로 구성된 것을 특징으로 한다.
또한, 본 발명 네트워크 침입 탐지 및 방지 방법은, 시그너처 기반 탐지 장치 및 행위 기반 탐지 장치 사이에 설치된 신규 시그너처 생성 및 검증 장치의 네트워크 침입 탐지 및 방지 방법에 있어서,
상기 신규 시그너처 생성 및 검증 장치가 상기 변칙 행위 기반 탐지 장치를 통해 네트워크 공격으로 의심가는 패킷들이 탐지되면 그 패킷들을 수집하여 저장하는 제 10 단계;
상기 신규 시그너처 생성 및 검증 장치가 수집된 패킷 정보들을 바탕으로 각 패킷 정보들의 공통 분모를 찾아내어 분석하는 제 20 단계;
상기 신규 시그너처 생성 및 검증 장치가 패킷 페이로드의 각 종류별 공통부분 결과 정보를 바탕으로 상기 시그너처 기반 탐지 장치에 적용 가능한 시그너처를 생성하는 제 30 단계;
상기 신규 시그너처 생성 및 검증 장치가 실제 탐지 시스템 환경을 구성하여, 생성된 신규 시그너처가 실제 시그너처 기반 탐지 장치에 적용 가능한지의 여부를 검증하는 제 40 단계;
상기 신규 시그너처 생성 및 검증 장치가 생성된 신규 시그너처를 정상적인 실제 네트워크 트래픽을 통해 테스트하는 제 50 단계; 및
상기 신규 시그너처 생성 및 검증 장치가 검증 완료된 신규 시그너처를 상기 시그너처 기반 탐지 장치에 등록하는 제 60 단계로 이루어진 것을 특징으로 한다.
이하, 본 발명의 일 실시예에 의한 네트워크 침입 탐지 및 방지 시스템 및 그 방법에 대하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 네트워크 침입 탐지 및 방지 시스템의 기능블록도로서, 본 발명의 일 실시예에 의한 네트워크 침입 탐지 및 방지 시스템은 시그너처 기반 탐지 장치(100), 변칙 행위 기반 탐지 장치(200) 및 신규 시그너처 생성 및 검증 장치(300)로 구성되어 있다.
이 때, 상기 신규 시그너처 생성 및 검증 장치(300)는 상기 시그너처 기반 탐지 장치(100) 및 변칙 행위 기반 탐지 장치(200) 사이에 설치되어, 상기 변칙 행위 기반 탐지 장치(200)를 통해 의심가는 패킷들이 탐지되면 이를 수집하여 이들의 공통 정보를 찾아내고, 이후 그 공통점을 바탕으로 신규 시그너처를 생성함과 동시에 상기 시그너처 기반 탐지 장치(100)에 적용 가능한지의 여부를 검증한 후 적용 가능하다고 판단되면 그 신규 시그너처를 상기 시그너처 기반 탐지 장치(100)에 등록하는 역할을 하며, 도 1에 도시된 바와 같이 패킷 수집부(310), 패킷 분석부(320), 시그너처 생성 및 검증부(330), 시그너처 테스트부(340) 및 시그너처 적용부(350)로 구성되어 있다.
상기 패킷 수집부(310)는 상기 변칙 행위 기반 탐지 장치(200)를 통해 네트워크 공격으로 의심가는 패킷들이 탐지되면 이를 수집하여 저장하는 역할을 한다. 이 때, 상기 패킷 수집부(310)에 저장된 네트워크 공격으로 의심가는 패킷들은 도 2에 도시된 바와 같이, 목적지/소스(Destination/Source) IP 어드레스(Address) 정보, 목적지/소스 포트(Port) 번호 정보, 프로토콜(Protocol) 정보, 데이터 페이로드(Payload) 정보, 탐지된 결과의 심각성 정도를 나타내는 세버리티(Severity) 정 보 등이 기록된 상태로 각각 존재한다.
한편, 상기 패킷 분석부(320)는 상기 패킷 수집부(310)를 통해 수집된 패킷 정보들을 바탕으로 각 패킷 정보들의 공통 분모를 찾아내어 분석하는 역할을 하며, 도 3에 도시된 바와 같이 패킷 수신부(321), 패킷헤더 분석부(322), 패킷 페이로드 분석부(323) 및 패킷분석결과 전송부(324)로 구성되어 있다.
이 때, 상기 패킷 분석부(320)의 패킷 수신부(321)는 상기 패킷 수집부(310)를 통해 수집된 패킷 데이터들을 수신받아 상기 패킷헤더 분석부(322)로 전송하는 역할을 하며, 상기 패킷헤더 분석부(322)는 상기 패킷 수신부(321)로부터 패킷 데이터들을 수신받은 후 그 패킷 데이터들의 목적지/소스 IP 어드레스 공통 부분, 목적지/소스 포트 번호 공통 부분, 프로토콜 공통 부분 및 패킷 페이로드 크기 공통 부분을 분석하는 역할을 한다.
또한, 상기 패킷 분석부(320)의 패킷 페이로드 분석부(323)는 상기 패킷헤더 분석부(322)로부터 패킷 데이터들의 분석 결과를 입력받아 그 패킷 데이터들의 패킷 페이로드를 종류별로 분리한 후 그 패킷 페이로드의 각 종류에서 공통부분을 찾아내는 역할을 하며, 상기 패킷분석결과 전송부(324)는 상기 패킷 페이로드 분석부(323)를 통해 분석된 각 패킷 정보들의 공통부분 결과 정보를 상기 시그너처 생성 및 검증부(330)로 전송하는 역할을 한다.
한편, 상기 시그너처 생성 및 검증부(330)는 상기 패킷 분석부(320)의 패킷 페이로드 분석부(323)를 통해 분석된 결과를 바탕으로 상기 시그너처 기반 탐지 장치(100)에 적용 가능한 시그너처를 생성한 후, 실제 탐지 시스템 환경을 구성하여 그 신규 시그너처가 실제 시그너처 기반 탐지 장치(100)에 적용 가능한지의 여부를 검증하는 역할을 하며, 도 4에 도시된 바와 같이 시그너처 생성 및 검증결과 분석부(331), 시그너처 전송부(332) 및 시그너처 테스트결과 수신부(333)로 구성되어 있다.
이 때, 상기 시그너처 생성 및 검증부(330)의 시그너처 생성 및 검증결과 분석부(331)는 상기 패킷 분석부(320)로부터 각 패킷 정보들의 공통부분 결과 정보를 수신받은 후 그 결과값을 토대로 신규 시그너처를 생성하고, 이후 실제 탐지 시스템 환경을 구성하여 그 신규 시그너처가 실제 시그너처 기반 탐지 장치에 적용 가능한지의 여부를 검증하는 역할을 한다.
또한, 상기 시그너처 생성 및 검증부(330)의 시그너처 전송부(332)는 상기 시그너처 생성 및 검증결과 분석부(331)로부터 신규 시그너처를 수신받은 후 이를 상기 시그너처 테스트부(340)로 전송하는 역할을 하며, 상기 시그너처 테스트결과 수신부(333)는 상기 시그너처 테스트부(340)로부터 신규 시그너처에 대한 테스트 결과값을 수신받아 상기 시그너처 생성 및 검증결과 분석부(331)로 전송하는 역할을 한다.
한편, 상기 시그너처 테스트부(340)는 상기 시그너처 생성 및 검증부(330)를 통해 생성된 신규 시그너처를 정상적인 실제 네트워크 트래픽을 통해 테스트함에 있어, 네트워크로 유입되는 정상적인 네트워크 패킷들과 상기 변칙 행위 기반 탐지 장치(200)를 통해 탐지된 네트워크 공격으로 의심가는 패킷들을 동시에 적용하여 테스트한다.
또한, 상기 시그너처 적용부(350)는 상기 시그너처 테스트부(340)를 통해 검증 완료된 신규 시그너처를 상기 시그너처 기반 탐지 장치(100)에 등록시키는 역할을 한다.
그러면, 상기와 같은 구성을 가지는 본 발명의 일 실시예에 따른 네트워크 침입 탐지 및 방지 방법에 대해 도 5를 참조하여 설명하기로 한다.
먼저, 상기 신규 시그너처 생성 및 검증 장치(300)는 상기 변칙 행위 기반 탐지 장치(200)를 통해 네트워크 공격으로 의심가는 패킷들이 탐지되면 그 패킷들을 수집하여 저장한다(S10). 이 때, 상술한 네트워크 공격으로 의심가는 패킷들의 헤더 부분에는 도 2에 도시된 바와 같이, 목적지/소스(Destination/Source) IP 어드레스(Address) 정보, 목적지/소스 포트(Port) 번호 정보, 프로토콜(Protocol) 정보, 데이터 페이로드(Payload) 정보, 탐지된 결과의 심각성 정도를 나타내는 세버리티(Severity) 정보가 기록되어 있다.
그런후, 상기 신규 시그너처 생성 및 검증 장치(300)는 수집된 패킷 정보들을 바탕으로 각 패킷 정보들의 공통 분모를 찾아내어 분석한다(S20). 이 때, 상기 제 20 단계(S20)를 보다 더 구체적으로 살펴보면, 상기 신규 시그너처 생성 및 검증 장치(300)는 네트워크 공격으로 의심가는 패킷 데이터들의 헤더에 저장된 목적지/소스 IP 어드레스 공통 부분, 목적지/소스 포트 번호 공통 부분, 프로토콜 공통 부분 및 패킷 페이로드 크기 공통 부분을 분석한다(S21). 그런후, 상기 신규 시그너처 생성 및 검증 장치(300)는 패킷 데이터들의 분석 결과를 토대로 그 패킷 데이터들의 패킷 페이로드를 종류별로 분리한 후 그 패킷 페이로드의 각 종류에서 공통부분을 찾아내어 분석한다(S22).
이어서, 상기 신규 시그너처 생성 및 검증 장치(300)는 상기 제 22 단계(S22)를 통해 분석된 패킷 페이로드의 각 종류별 공통부분 결과 정보를 바탕으로 상기 시그너처 기반 탐지 장치(100)에 적용 가능한 시그너처를 생성한다(S30).
또한, 상기 신규 시그너처 생성 및 검증 장치(300)는 실제 탐지 시스템 환경을 구성하여, 생성된 신규 시그너처가 실제 시그너처 기반 탐지 장치(100)에 적용 가능한지의 여부를 검증한다(S40).
그런후, 상기 신규 시그너처 생성 및 검증 장치(300)는 생성된 신규 시그너처를 정상적인 실제 네트워크 트래픽을 통해 테스트한다(S50). 이 때, 상기 제 50 단계(S50)에서 상기 신규 시그너처 생성 및 검증 장치(300)가 신규 시그너처를 테스트하는 방법은 네트워크로부터 유입된 정상적인 네트워크 패킷들 및 상기 변칙 행위 기반 탐지 장치(200)를 통해 탐지된 네트워크 공격으로 의심가는 패킷들을 동시에 적용하여 테스트한다.
이어서, 상기 신규 시그너처 생성 및 검증 장치(300)는 검증 완료된 신규 시그너처를 상기 시그너처 기반 탐지 장치(100)에 등록한다(S60).
이상에서 몇 가지 실시예를 들어 본 발명을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것이 아니고 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형실시될 수 있다.
상술한 바와 같이 본 발명에 의한 네트워크 침입 탐지 및 방지 시스템 및 그 방법에 의하면, 알려지지 않은 새로운 웜(Worm) 및 DDOS 네트워크 공격 등을 신속하게 차단시켜 줌으로써 네트워크 상의 심각한 피해를 사전에 막아줄 뿐만 아니라, 시스템에서 새로이 생성된 시그너처를 다른 방화벽이나 침입 탐지 및 방지 시스템에 적용하여 네트워크의 보안 효과를 극대화시켜 준다는 뛰어난 효과가 있다.
Claims (10)
- 시그너처 기반 탐지 장치 및 변칙 행위 기반 탐지 장치를 구비한 네트워크 침입 탐지 및 방지 시스템에 있어서,상기 시그너처 기반 탐지 장치 및 변칙 행위 기반 탐지 장치 사이에 설치되어, 상기 변칙 행위 기반 탐지 장치를 통해 의심가는 패킷들이 탐지되면 이를 수집하여 이들의 공통 정보를 찾아내고, 이후 그 공통점을 바탕으로 신규 시그너처를 생성함과 동시에 상기 시그너처 기반 탐지 장치에 적용 가능한지의 여부를 검증한 후 적용 가능하다고 판단되면 그 신규 시그너처를 상기 시그너처 기반 탐지 장치에 등록하는 신규 시그너처 생성 및 검증 장치로 구성된 것을 특징으로 하는 네트워크 침입 탐지 및 방지 시스템.
- 제 1항에 있어서,상기 신규 시그너처 생성 및 검증 장치는, 상기 변칙 행위 기반 탐지 장치를 통해 네트워크 공격으로 의심가는 패킷들이 탐지되면 이를 수집하여 저장하는 패킷 수집부;상기 패킷 수집부를 통해 수집된 패킷 정보들을 바탕으로 각 패킷 정보들의 공통 분모를 찾아내어 분석하는 패킷 분석부;상기 패킷 분석부를 통해 분석된 결과를 바탕으로 상기 시그너처 기반 탐지 장치에 적용 가능한 시그너처를 생성한 후, 실제 탐지 시스템 환경을 구성하여 그 신규 시그너처가 실제 시그너처 기반 탐지 장치에 적용 가능한지의 여부를 검증하는 시그너처 생성 및 검증부;상기 시그너처 생성 및 검증부를 통해 생성된 신규 시그너처를 정상적인 실제 네트워크 트래픽을 통해 테스트하는 시그너처 테스트부; 및상기 시그너처 테스트부를 통해 검증 완료된 신규 시그너처를 상기 시그너처 기반 탐지 장치에 등록하는 시그너처 적용부로 구성된 것을 특징으로 하는 네트워크 침입 탐지 및 방지 시스템.
- 제 1항에 있어서,상기 패킷 수집부에 저장된 네트워크 공격으로 의심가는 패킷들은, 목적지/소스(Destination/Source) IP 어드레스(Address) 정보, 목적지/소스 포트(Port) 번호 정보, 프로토콜(Protocol) 정보, 데이터 페이로드(Payload) 정보, 탐지된 결과의 심각성 정도를 나타내는 세버리티(Severity) 정보 등이 기록된 상태로 각각 존재함을 특징으로 하는 네트워크 침입 탐지 및 방지 시스템.
- 제 1항에 있어서,상기 패킷 분석부는, 상기 패킷 수집부를 통해 수집된 패킷 데이터들을 수신 받는 패킷 수신부;상기 패킷 수신부를 통해 수신받은 패킷 데이터들의 목적지/소스 IP 어드레스 공통 부분, 목적지/소스 포트 번호 공통 부분, 프로토콜 공통 부분 및 패킷 페이로드 크기 공통 부분을 분석하는 패킷헤더 분석부;상기 패킷헤더 분석부로부터 패킷 데이터들의 분석 결과를 입력받아 그 패킷 데이터들의 패킷 페이로드를 종류별로 분리한 후 그 패킷 페이로드의 각 종류에서 공통부분을 찾아내는 패킷 페이로드 분석부; 및상기 패킷 페이로드 분석부를 통해 분석된 각 패킷 정보들의 공통부분 결과 정보를 상기 시그너처 생성 및 검증부로 전송하는 패킷분석결과 전송부로 구성된 것을 특징으로 하는 네트워크 침입 탐지 및 방지 시스템.
- 제 1항에 있어서,상기 시그너처 생성 및 검증부는, 상기 패킷 분석부로부터 각 패킷 정보들의 공통부분 결과 정보를 수신받은 후 그 결과값을 토대로 신규 시그너처를 생성하고, 이후 실제 탐지 시스템 환경을 구성하여 그 신규 시그너처가 실제 시그너처 기반 탐지 장치에 적용 가능한지의 여부를 검증하는 시그너처 생성 및 검증결과 분석부;상기 시그너처 생성 및 검증결과 분석부로부터 신규 시그너처를 수신받은 후 이를 상기 시그너처 테스트부로 전송하는 시그너처 전송부; 및상기 시그너처 테스트부로부터 신규 시그너처에 대한 테스트 결과값을 수신 받아 상기 시그너처 생성 및 검증결과 분석부로 전송하는 시그너처 테스트결과 수신부로 구성된 것을 특징으로 하는 네트워크 침입 탐지 및 방지 시스템.
- 제 1항에 있어서,상기 시그너처 테스트부는, 상기 시그너처 생성 및 검증부를 통해 생성된 신규 시그너처를 테스트함에 있어, 정상적인 네트워크 패킷들 및 상기 변칙 행위 기반 탐지 장치를 통해 탐지된 네트워크 공격으로 의심가는 패킷들을 동시에 적용하여 테스트함을 특징으로 하는 네트워크 침입 탐지 및 방지 시스템.
- 시그너처 기반 탐지 장치 및 행위 기반 탐지 장치 사이에 설치된 신규 시그너처 생성 및 검증 장치의 네트워크 침입 탐지 및 방지 방법에 있어서,상기 신규 시그너처 생성 및 검증 장치가 상기 변칙 행위 기반 탐지 장치를 통해 네트워크 공격으로 의심가는 패킷들이 탐지되면 그 패킷들을 수집하여 저장하는 제 10 단계;상기 신규 시그너처 생성 및 검증 장치가 수집된 패킷 정보들을 바탕으로 각 패킷 정보들의 공통 분모를 찾아내어 분석하는 제 20 단계;상기 신규 시그너처 생성 및 검증 장치가 패킷 페이로드의 각 종류별 공통부분 결과 정보를 바탕으로 상기 시그너처 기반 탐지 장치에 적용 가능한 시그너처를 생성하는 제 30 단계;상기 신규 시그너처 생성 및 검증 장치가 실제 탐지 시스템 환경을 구성하여, 생성된 신규 시그너처가 실제 시그너처 기반 탐지 장치에 적용 가능한지의 여부를 검증하는 제 40 단계;상기 신규 시그너처 생성 및 검증 장치가 생성된 신규 시그너처를 정상적인 실제 네트워크 트래픽을 통해 테스트하는 제 50 단계; 및상기 신규 시그너처 생성 및 검증 장치가 검증 완료된 신규 시그너처를 상기 시그너처 기반 탐지 장치에 등록하는 제 60 단계로 이루어진 것을 특징으로 하는 네트워크 침입 탐지 및 방지 방법.
- 제 7항에 있어서,상기 제 10 단계에서 수집된 네트워크 공격으로 의심가는 패킷들의 헤더에는, 목적지/소스(Destination/Source) IP 어드레스(Address) 정보, 목적지/소스 포트(Port) 번호 정보, 프로토콜(Protocol) 정보, 데이터 페이로드(Payload) 정보, 탐지된 결과의 심각성 정도를 나타내는 세버리티(Severity) 정보 등이 기록되어 있음을 특징으로 하는 네트워크 침입 탐지 및 방지 방법.
- 제 7항에 있어서,상기 제 20 단계는, 상기 신규 시그너처 생성 및 검증 장치가 네트워크 공격으로 의심가는 패킷 데이터들의 헤더에 저장된 목적지/소스 IP 어드레스 공통 부분, 목적지/소스 포트 번호 공통 부분, 프로토콜 공통 부분 및 패킷 페이로드 크기 공통 부분을 분석하는 제 21 단계; 및상기 신규 시그너처 생성 및 검증 장치가 패킷 데이터들의 분석 결과를 토대로 그 패킷 데이터들의 패킷 페이로드를 종류별로 분리한 후 그 패킷 페이로드의 각 종류에서 공통부분을 찾아내어 분석하는 제 22 단계로 이루어진 것을 특징으로 하는 네트워크 침입 탐지 및 방지 방법.
- 제 7항에 있어서,상기 제 50 단계에서, 상기 신규 시그너처 생성 및 검증 장치가 신규 시그너처를 테스트하는 방법은, 정상적인 네트워크 패킷들 및 상기 변칙 행위 기반 탐지 장치를 통해 탐지된 네트워크 공격으로 의심가는 패킷들을 동시에 적용하여 테스트함을 특징으로 하는 네트워크 침입 탐지 및 방지 방법.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020040083752A KR100611741B1 (ko) | 2004-10-19 | 2004-10-19 | 네트워크 침입 탐지 및 방지 시스템 및 그 방법 |
US11/023,384 US7565693B2 (en) | 2004-10-19 | 2004-12-29 | Network intrusion detection and prevention system and method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020040083752A KR100611741B1 (ko) | 2004-10-19 | 2004-10-19 | 네트워크 침입 탐지 및 방지 시스템 및 그 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20060034581A true KR20060034581A (ko) | 2006-04-24 |
KR100611741B1 KR100611741B1 (ko) | 2006-08-11 |
Family
ID=36182331
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020040083752A KR100611741B1 (ko) | 2004-10-19 | 2004-10-19 | 네트워크 침입 탐지 및 방지 시스템 및 그 방법 |
Country Status (2)
Country | Link |
---|---|
US (1) | US7565693B2 (ko) |
KR (1) | KR100611741B1 (ko) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100809416B1 (ko) * | 2006-07-28 | 2008-03-05 | 한국전자통신연구원 | 보안 시스템을 위한 최적 시그니처 자동 생성 장치 및 방법 |
KR100860414B1 (ko) * | 2006-12-01 | 2008-09-26 | 한국전자통신연구원 | 네트워크 공격 시그너처 생성 방법 및 장치 |
WO2009142855A2 (en) * | 2008-05-23 | 2009-11-26 | Solera Networks, Inc. | Method and apparatus of network artifact indentification and extraction |
KR100951930B1 (ko) * | 2007-11-19 | 2010-04-09 | (주) 시스메이트 | 부적절한 패킷의 분류 방법 및 장치 |
US8065729B2 (en) | 2006-12-01 | 2011-11-22 | Electronics And Telecommunications Research Institute | Method and apparatus for generating network attack signature |
US8336098B2 (en) | 2009-03-25 | 2012-12-18 | Sysmate Co., Ltd. | Method and apparatus for classifying harmful packet |
WO2013089395A1 (ko) * | 2011-12-16 | 2013-06-20 | 주식회사 코닉글로리 | 시그니쳐 기반 무선 침입차단시스템 |
US8521732B2 (en) | 2008-05-23 | 2013-08-27 | Solera Networks, Inc. | Presentation of an extracted artifact based on an indexing technique |
KR101346330B1 (ko) * | 2012-03-07 | 2014-01-03 | 주식회사 시큐아이 | 유해 패킷 검출 방법 및 장치 |
US8666985B2 (en) | 2011-03-16 | 2014-03-04 | Solera Networks, Inc. | Hardware accelerated application-based pattern matching for real time classification and recording of network traffic |
KR101400127B1 (ko) * | 2012-09-05 | 2014-05-28 | 주식회사 시큐아이 | 비정상 데이터 패킷 검출 방법 및 장치 |
KR101420301B1 (ko) * | 2012-09-05 | 2014-07-17 | 주식회사 시큐아이 | DDoS 공격 검출 방법 및 장치 |
Families Citing this family (37)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7562389B1 (en) | 2004-07-30 | 2009-07-14 | Cisco Technology, Inc. | Method and system for network security |
US7555774B2 (en) * | 2004-08-02 | 2009-06-30 | Cisco Technology, Inc. | Inline intrusion detection using a single physical port |
US7725938B2 (en) | 2005-01-20 | 2010-05-25 | Cisco Technology, Inc. | Inline intrusion detection |
US7640591B1 (en) * | 2005-04-22 | 2009-12-29 | Sun Microsystems, Inc. | Method and apparatus for limiting denial of service attack by limiting traffic for hosts |
US20070056038A1 (en) * | 2005-09-06 | 2007-03-08 | Lok Technology, Inc. | Fusion instrusion protection system |
JP4547340B2 (ja) * | 2006-01-30 | 2010-09-22 | アラクサラネットワークス株式会社 | トラフィック制御方式、装置及びシステム |
US8578479B2 (en) * | 2006-03-21 | 2013-11-05 | Riverbed Technology, Inc. | Worm propagation mitigation |
US7735139B1 (en) * | 2006-05-17 | 2010-06-08 | Trend Micro Incorporated | In-line scanning of network data in an asymmetric routing environment |
US9152706B1 (en) | 2006-12-30 | 2015-10-06 | Emc Corporation | Anonymous identification tokens |
US9497205B1 (en) | 2008-05-19 | 2016-11-15 | Emc Corporation | Global commonality and network logging |
WO2008097198A1 (en) * | 2007-02-09 | 2008-08-14 | Agency For Science, Technology And Research | Apparatus and method for analysis of data traffic |
US8539098B2 (en) | 2007-10-17 | 2013-09-17 | Dispersive Networks, Inc. | Multiplexed client server (MCS) communications and systems |
US8560634B2 (en) | 2007-10-17 | 2013-10-15 | Dispersive Networks, Inc. | Apparatus, systems and methods utilizing dispersive networking |
WO2009052452A2 (en) * | 2007-10-17 | 2009-04-23 | Dispersive Networks Inc. | Virtual dispersive routing |
US8286243B2 (en) * | 2007-10-23 | 2012-10-09 | International Business Machines Corporation | Blocking intrusion attacks at an offending host |
KR20090099734A (ko) * | 2008-03-18 | 2009-09-23 | 삼성전자주식회사 | 스트림 기반의 인터페이스 시스템 및 그 제어 방법 |
JP4983671B2 (ja) * | 2008-03-19 | 2012-07-25 | 沖電気工業株式会社 | トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム |
CA2674327C (en) | 2008-08-06 | 2017-01-03 | Trend Micro Incorporated | Exploit nonspecific host intrusion prevention/detection methods and systems and smart filters therefor |
US8752142B2 (en) | 2009-07-17 | 2014-06-10 | American Express Travel Related Services Company, Inc. | Systems, methods, and computer program products for adapting the security measures of a communication network based on feedback |
US8621636B2 (en) | 2009-12-17 | 2013-12-31 | American Express Travel Related Services Company, Inc. | Systems, methods, and computer program products for collecting and reporting sensor data in a communication network |
US9756076B2 (en) | 2009-12-17 | 2017-09-05 | American Express Travel Related Services Company, Inc. | Dynamically reacting policies and protections for securing mobile financial transactions |
US8650129B2 (en) | 2010-01-20 | 2014-02-11 | American Express Travel Related Services Company, Inc. | Dynamically reacting policies and protections for securing mobile financial transaction data in transit |
EP2438511B1 (en) | 2010-03-22 | 2019-07-03 | LRDC Systems, LLC | A method of identifying and protecting the integrity of a set of source data |
US8479290B2 (en) | 2010-06-16 | 2013-07-02 | Alcatel Lucent | Treatment of malicious devices in a mobile-communications network |
US10360625B2 (en) | 2010-06-22 | 2019-07-23 | American Express Travel Related Services Company, Inc. | Dynamically adaptive policy management for securing mobile financial transactions |
US8850539B2 (en) | 2010-06-22 | 2014-09-30 | American Express Travel Related Services Company, Inc. | Adaptive policies and protections for securing financial transaction data at rest |
US8924296B2 (en) | 2010-06-22 | 2014-12-30 | American Express Travel Related Services Company, Inc. | Dynamic pairing system for securing a trusted communication channel |
US8955110B1 (en) | 2011-01-14 | 2015-02-10 | Robert W. Twitchell, Jr. | IP jamming systems utilizing virtual dispersive networking |
US8941659B1 (en) | 2011-01-28 | 2015-01-27 | Rescon Ltd | Medical symptoms tracking apparatus, methods and systems |
US9794275B1 (en) | 2013-06-28 | 2017-10-17 | Symantec Corporation | Lightweight replicas for securing cloud-based services |
KR101488271B1 (ko) * | 2013-11-26 | 2015-02-02 | 한국전자통신연구원 | Ids 오탐 검출 장치 및 방법 |
WO2015113156A1 (en) * | 2014-01-30 | 2015-08-06 | Marketwired L.P. | Systems and methods for continuous active data security |
EP3281381B1 (en) * | 2015-04-07 | 2023-10-04 | Umbra Technologies Ltd. | Multi-perimeter firewall in the cloud |
US20170111391A1 (en) * | 2015-10-15 | 2017-04-20 | International Business Machines Corporation | Enhanced intrusion prevention system |
US10142360B2 (en) * | 2016-10-11 | 2018-11-27 | Arbor Networks, Inc. | System and method for iteratively updating network attack mitigation countermeasures |
CN107979581B (zh) * | 2016-10-25 | 2020-10-27 | 华为技术有限公司 | 僵尸特征的检测方法和装置 |
CN117897702A (zh) | 2021-04-30 | 2024-04-16 | 瓦瑞缇·普拉斯有限责任公司 | 用于自动评估网络流量签名的质量的系统和方法 |
Family Cites Families (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6279113B1 (en) * | 1998-03-16 | 2001-08-21 | Internet Tools, Inc. | Dynamic signature inspection-based network intrusion detection |
US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
US6405318B1 (en) * | 1999-03-12 | 2002-06-11 | Psionic Software, Inc. | Intrusion detection system |
KR20000072707A (ko) * | 2000-09-20 | 2000-12-05 | 홍기융 | 실시간 침입탐지 및 해킹 자동 차단 방법 |
US7290283B2 (en) * | 2001-01-31 | 2007-10-30 | Lancope, Inc. | Network port profiling |
US7089592B2 (en) * | 2001-03-15 | 2006-08-08 | Brighterion, Inc. | Systems and methods for dynamic detection and prevention of electronic fraud |
AU2002322109A1 (en) * | 2001-06-13 | 2002-12-23 | Intruvert Networks, Inc. | Method and apparatus for distributed network security |
KR20030056652A (ko) * | 2001-12-28 | 2003-07-04 | 한국전자통신연구원 | 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법 |
US7225343B1 (en) * | 2002-01-25 | 2007-05-29 | The Trustees Of Columbia University In The City Of New York | System and methods for adaptive model generation for detecting intrusions in computer systems |
US8370936B2 (en) * | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
JP3699941B2 (ja) | 2002-03-22 | 2005-09-28 | 日本電信電話株式会社 | 分散型サービス不能攻撃防止方法及びゲート装置、通信装置、分散型サービス不能攻撃防止プログラム及び記録媒体 |
US20030188190A1 (en) * | 2002-03-26 | 2003-10-02 | Aaron Jeffrey A. | System and method of intrusion detection employing broad-scope monitoring |
US7058796B2 (en) * | 2002-05-20 | 2006-06-06 | Airdefense, Inc. | Method and system for actively defending a wireless LAN against attacks |
US7086089B2 (en) * | 2002-05-20 | 2006-08-01 | Airdefense, Inc. | Systems and methods for network security |
US6654882B1 (en) * | 2002-05-24 | 2003-11-25 | Rackspace, Ltd | Network security system protecting against disclosure of information to unauthorized agents |
US7322044B2 (en) * | 2002-06-03 | 2008-01-22 | Airdefense, Inc. | Systems and methods for automated network policy exception detection and correction |
US20040015719A1 (en) * | 2002-07-16 | 2004-01-22 | Dae-Hyung Lee | Intelligent security engine and intelligent and integrated security system using the same |
KR20020075319A (ko) * | 2002-07-19 | 2002-10-04 | 주식회사 싸이버텍홀딩스 | 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 |
US7017186B2 (en) * | 2002-07-30 | 2006-03-21 | Steelcloud, Inc. | Intrusion detection system using self-organizing clusters |
US10110632B2 (en) | 2003-03-31 | 2018-10-23 | Intel Corporation | Methods and systems for managing security policies |
US7293238B1 (en) * | 2003-04-04 | 2007-11-06 | Raytheon Company | Graphical user interface for an enterprise intrusion detection system |
KR20040092314A (ko) * | 2003-04-26 | 2004-11-03 | 엘지엔시스(주) | 침입 탐지 장치 기반의 공격트래픽 실시간 모니터링 시스템 |
US7669239B2 (en) * | 2003-09-15 | 2010-02-23 | Jpmorgan Chase Bank, N.A. | Secure network system and associated method of use |
KR100558658B1 (ko) * | 2003-10-02 | 2006-03-14 | 한국전자통신연구원 | 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법 |
KR20050098603A (ko) * | 2004-04-08 | 2005-10-12 | 홍충선 | 액티브 라우터를 이용한 분산서비스거부공격을 방어하는방법 |
US7966658B2 (en) * | 2004-04-08 | 2011-06-21 | The Regents Of The University Of California | Detecting public network attacks using signatures and fast content analysis |
US20060101516A1 (en) * | 2004-10-12 | 2006-05-11 | Sushanthan Sudaharan | Honeynet farms as an early warning system for production networks |
-
2004
- 2004-10-19 KR KR1020040083752A patent/KR100611741B1/ko not_active IP Right Cessation
- 2004-12-29 US US11/023,384 patent/US7565693B2/en not_active Expired - Fee Related
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100809416B1 (ko) * | 2006-07-28 | 2008-03-05 | 한국전자통신연구원 | 보안 시스템을 위한 최적 시그니처 자동 생성 장치 및 방법 |
KR100860414B1 (ko) * | 2006-12-01 | 2008-09-26 | 한국전자통신연구원 | 네트워크 공격 시그너처 생성 방법 및 장치 |
US8065729B2 (en) | 2006-12-01 | 2011-11-22 | Electronics And Telecommunications Research Institute | Method and apparatus for generating network attack signature |
KR100951930B1 (ko) * | 2007-11-19 | 2010-04-09 | (주) 시스메이트 | 부적절한 패킷의 분류 방법 및 장치 |
US8521732B2 (en) | 2008-05-23 | 2013-08-27 | Solera Networks, Inc. | Presentation of an extracted artifact based on an indexing technique |
WO2009142855A2 (en) * | 2008-05-23 | 2009-11-26 | Solera Networks, Inc. | Method and apparatus of network artifact indentification and extraction |
WO2009142855A3 (en) * | 2008-05-23 | 2010-01-21 | Solera Networks, Inc. | Method and apparatus of network artifact indentification and extraction |
US8336098B2 (en) | 2009-03-25 | 2012-12-18 | Sysmate Co., Ltd. | Method and apparatus for classifying harmful packet |
US8666985B2 (en) | 2011-03-16 | 2014-03-04 | Solera Networks, Inc. | Hardware accelerated application-based pattern matching for real time classification and recording of network traffic |
WO2013089395A1 (ko) * | 2011-12-16 | 2013-06-20 | 주식회사 코닉글로리 | 시그니쳐 기반 무선 침입차단시스템 |
KR101346330B1 (ko) * | 2012-03-07 | 2014-01-03 | 주식회사 시큐아이 | 유해 패킷 검출 방법 및 장치 |
KR101400127B1 (ko) * | 2012-09-05 | 2014-05-28 | 주식회사 시큐아이 | 비정상 데이터 패킷 검출 방법 및 장치 |
KR101420301B1 (ko) * | 2012-09-05 | 2014-07-17 | 주식회사 시큐아이 | DDoS 공격 검출 방법 및 장치 |
Also Published As
Publication number | Publication date |
---|---|
US7565693B2 (en) | 2009-07-21 |
KR100611741B1 (ko) | 2006-08-11 |
US20060085855A1 (en) | 2006-04-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100611741B1 (ko) | 네트워크 침입 탐지 및 방지 시스템 및 그 방법 | |
US10440049B2 (en) | Network traffic analysis for malware detection and performance reporting | |
US7076803B2 (en) | Integrated intrusion detection services | |
US7222366B2 (en) | Intrusion event filtering | |
Panjwani et al. | An experimental evaluation to determine if port scans are precursors to an attack | |
EP2095604B1 (en) | Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis | |
US20030101353A1 (en) | Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto | |
US20030097557A1 (en) | Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system | |
WO2007081023A1 (ja) | トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム | |
Musa et al. | Analysis of complex networks for security issues using attack graph | |
KR20060057916A (ko) | 정보보호 제품의 기능 시험을 위한 공격 패킷 생성 기능을포함하는 네트워크 패킷 생성 장치 및 방법 | |
Callegari et al. | A new statistical method for detecting network anomalies in TCP traffic | |
KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
Faizal et al. | Threshold verification technique for network intrusion detection system | |
RU2531878C1 (ru) | Способ обнаружения компьютерных атак в информационно-телекоммуникационной сети | |
Joshi et al. | An enhanced framework for identification and risks assessment of zero-day vulnerabilities | |
KR100862321B1 (ko) | 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치 | |
CA2484461C (en) | Method and system for analyzing and addressing alarms from network intrusion detection systems | |
Asaka et al. | Local attack detection and intrusion route tracing | |
KR100767803B1 (ko) | 네트워크 이상행위 기반의 네트워크 공격 탐지 방법 및장치 | |
Rohrmair et al. | Using CSP to detect insertion and evasion possibilities within the intrusion detection area | |
Ersson et al. | Botnet detection with event-driven analysis | |
KR20060056195A (ko) | 비정상 트래픽 정보 분석 장치 및 그 방법 | |
KR101022787B1 (ko) | 차세대 네트워크 보안 관리 시스템 및 그 방법 | |
Sqalli et al. | Classifying malicious activities in Honeynets using entropy and volume‐based thresholds |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20120730 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20130729 Year of fee payment: 8 |
|
LAPS | Lapse due to unpaid annual fee |