KR20060062298A - 네트워크 공격 상황 탐지 장치 및 그 방법 - Google Patents

네트워크 공격 상황 탐지 장치 및 그 방법 Download PDF

Info

Publication number
KR20060062298A
KR20060062298A KR1020040101086A KR20040101086A KR20060062298A KR 20060062298 A KR20060062298 A KR 20060062298A KR 1020040101086 A KR1020040101086 A KR 1020040101086A KR 20040101086 A KR20040101086 A KR 20040101086A KR 20060062298 A KR20060062298 A KR 20060062298A
Authority
KR
South Korea
Prior art keywords
data
hash
network
alarm
unit
Prior art date
Application number
KR1020040101086A
Other languages
English (en)
Other versions
KR100628317B1 (ko
Inventor
김진오
손선경
방효찬
이수형
김동영
장범환
김건량
김현주
나중찬
장종수
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020040101086A priority Critical patent/KR100628317B1/ko
Priority to US11/081,682 priority patent/US7596810B2/en
Publication of KR20060062298A publication Critical patent/KR20060062298A/ko
Application granted granted Critical
Publication of KR100628317B1 publication Critical patent/KR100628317B1/ko
Priority to US12/275,906 priority patent/US20090094699A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 의한 네트워크 공격상황 탐지 장치는 접속하고 있는 네트워크의 경보를 수신한 후 소정의 경보 데이터로 가공하여 출력하는 경보수신부; 상기 가공된 경보 데이터의 속성 및 발생 빈도를 기초로 상기 네트워크의 공격상황을 분석하는 경보처리부; 상기 네트워크의 상황을 분석할 수 있는 기본 데이터를 유지하며 상기 경보처리부에 제공하는 메모리부; 및 외부 장치로 상기 분석 결과를 송신하고 상기 공격상황의 판단시 기초가 되는 소정의 임계치를 수신한 후 상기 경보처리부로 출력하여 상기 메모리부에 저장하도록 하는 인터페이스부;를 포함하는 것을 특징으로 하며, 네트워크의 경보를 처리하기 위한 해쉬 엔진과 탐지 엔진을 네트워크 공격 상황으로 분류한 데이터 집합과 동일한 수로 병렬 구성함으로써, 네트워크의 공격 상황을 방대한 양의 침입 탐지 경보로부터 실시간으로 탐지해낼 수 있다.
네트워크 공격상황 분석, 침입탐지 경보 연관성 분석, 고성능 공격상황 탐지

Description

네트워크 공격 상황 탐지 장치 및 그 방법{Apparatus for detecting attacks toward network and method thereof}
도 1은 본 발명에 의한 네트워크 공격 상황을 분류한 테이블의 일 예이다.
도 2는 본 발명에 의한 네트워크 공격 상황 탐지 장치의 기능 블록도이다.
도 3은 도 2의 기능 블록 중 경보 처리부의 상세 구성을 보여주는 도면이다.
도 4는 도 2의 기능 블록 중 해쉬 메모리 운용 구성을 보여주는 도면이다.
도 5는 해쉬 엔트리 카운터의 구조를 보여주는 도면이다.
도 6은 카운팅 알고리즘을 보여주는 슈드 코드이다.
도 7은 본 발명에 의한 네트워크 공격 상황 탐지 방법의 흐름도이다.
본 발명은 인터넷에서의 네트워크 보안 기술에 관한 것으로서, 보다 자세하게는 방대하게 발생하는 침입탐지 경보에 대한 고성능 처리를 통해 네트워크 공격상황을 실시간으로 탐지하는 장치 및 그 방법에 관한 것이다.
네트워크 공격 상황의 탐지는 네트워크 내의 다수의 지점에서 발생하는 다수의 침입탐지 경보에 대한 연관성 분석을 통해 네트워크 내에서 발생하는 공격의 상 황을 추정하는 작업을 의미한다. 예를 들어 다수의 경보가 특정 호스트를 대상으로 발생하고 있다면, 해당 호스트가 현재 공격의 대상이 되고 있다는 상황으로 추정할 수 있다. 이러한 네트워크 공격 상황 탐지의 경우 현재의 네트워크 공격 상황을 반영하기 때문에 특히 실시간적 분석이 중시되어 진다.
그러나 기존의 전통적인 데이터베이스 질의에 의한 방법으로는 네트워크 내의 경보를 실시간적으로 분석하는데에 한계를 가질 수 밖에 없다. 예를 들어 "A"라는 경보 발생 시에 이와 동일한 경보가 임의의 주어진 시간 간격 내에서 몇 회나 반복적으로 발생하였는지를 판단하기 위해 데이터베이스 질의를 이용한다면, 엄청난 경보를 대상으로 비교 작업이 수행되어야 하며, 또한 매 경보마다 이러한 작업이 되풀이 된다면 심각한 성능 저하가 예상될 수 있다. 특히 네트워크의 규모가 커지고 높은 오탐률로 인해 엄청난 양의 침입 탐지 경보가 생성되는 현실을 감안하면 침입 탐지 경보 분석은 대량의 데이터를 고성능으로 처리할 필요성이 제기되고 있다.
본 발명에서 이루고자 하는 기술적 과제는 상기의 필요성을 해결하기 위하여 안출된 것으로서, 10여개의 상황으로 분류되는 네트워크 공격상황을 방대한 양의 침입탐지 경보로부터 실시간으로 탐지하기 위한 네트워크 공격상황 탐지 장치 및 그 방법에 관한 것이다.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 네트워크 공격상황 탐 지 장치는 접속하고 있는 네트워크의 경보를 수신한 후 소정의 경보 데이터로 가공하여 출력하는 경보수신부; 상기 가공된 경보 데이터의 속성 및 발생 빈도를 기초로 상기 네트워크의 공격상황을 분석하는 경보처리부; 상기 네트워크의 상황을 분석할 수 있는 기본 데이터를 유지하며 상기 경보처리부에 제공하는 메모리부; 및 외부 장치로 상기 분석 결과를 송신하고 상기 공격상황의 판단시 기초가 되는 소정의 임계치를 수신한 후 상기 경보처리부로 출력하여 상기 메모리부에 저장하도록 하는 인터페이스부;를 포함하는 것을 특징으로 한다.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 네트워크 공격상황 탐지 방법은 네트워크 경보를 수집하는 단계; 상기 수집된 경보의 특성을 추출하여 조합한 적어도 하나 이상의 제1데이터로 가공하는 단계; 및 상기 제1데이터를 속성과 발생 빈도를 기초로 소정의 임계치와 비교하여 네트워크의 공격상황을 분석하는 단계;를 포함하는 것을 특징으로 한다.
이하 첨부한 도면을 참조하면서 본 발명에 의한 네트워크 공격 상황의 탐지 장치 및 그 방법의 바람직한 일 실시예를 상세히 설명하되, 설명의 편의를 위하여 장치 및 그 방법을 함께 설명하도록 한다.
도 1은 본 발명에 의한 네트워크 공격 상황을 분류한 테이블의 일 예이다. 침입 탐지 경보 간의 연관성 분석을 통한 네트워크 공격 상황의 탐지는 임의의 시간 간격 내에서 동일한 속성을 갖는 경보의 발생 빈도 등을 측정하여 네트워크에서 일어나고 있는 공격 상황을 추정하는 작업을 의미한다. 도 1에 10 가지로 구분되는 공격상황을 도식화하여 표현하였다. 이는 침입탐지 경보에 기술되는 공격 유형 (120), 공격자 IP 주소(130), 공격 대상 IP 주소(140), 서비스 유형(150) 등의 네 가지 항목을 조합하여 10 가지의 동일 속성을 갖는 집합으로 구분하며, 이를 각각의 네트워크 공격 상황이라 정의한다. 이러한 공격상황은 동일한 특성을 갖는 공격이 네트워크에서 얼마나 빈번하게 발생하느냐를 측정하는 척도가 된다. 예를 들어 특정 공격자가 특정 호스트에 대해 동일한 공격을 반복적으로 시도한다면, 이는 도 1에서 분류한 바와 같이 공격상황(110) 1-1로 탐지될 것이다. 그리고 그러한 공격 상황에 대한 설명은 도 1의 설명(160)란에 기술되어 있으므로 본 상세한 설명에서의 설명은 생략하도록 한다.
앞서 언급한 바와 같이 공격상황은 결국 동일한 속성을 갖는 경보의 발생을 관찰하는 것이며, 이는 즉 동일 속성을 갖는 경보의 발생 빈도 등을 측정함으로써 이루어진다. 지정된 시간 구역 내에서 측정된 동일 속성을 갖는 공격 정보는 평가 절차를 거쳐 공격상황이 발생하고 있음을 판단하게 된다. 즉 공격상황의 탐지란 지정된 시간 구역 내에서 측정된 동일 속성을 갖는 침입탐지 경보의 발생이 임계치를 넘은 상황을 구별해 내는 것이며, 지정된 시간 구역이란 유효한 침입탐지 경보를 제한하기 위한 시간의 길이이다.
도 2는 본 발명에 의한 네트워크 공격 상황 탐지 장치의 기능 블록도이고, 도 7은 본 발명에 의한 네트워크 공격 상황 탐지 방법의 흐름도이다. 도 2에 도시된 바와 같이 본 발명에 의한 네트워크 공격 상황 탐지 장치는 고성능 네트워크 공격상황의 탐지를 위해 네트워크 단에서 경보를 수신하기 위한 경보 수신부(210), 경보 처리를 통한 공격상황의 탐지를 위한 경보 처리부(220), 경보 처리에 필요한 데이터 저장을 위한 해쉬 메모리부(230), 제어데이터를 저장하는 제어메모리부(240), 그리고 외부 인터페이스부(250)로 구성된다.
경보 수신부(210)에서는 네트워크로부터 경보를 수신(S710)하고 이를 경보 데이터로 가공하여 경보 처리부(220)로 전달한다. 경보 처리부(220)에서는 해쉬 메모리부(230)에 저장된 해쉬 엔트리의 룩업 및 저장 기능을 이용하여 경보 처리 및 공격상황 여부의 평가 기능을 수행하고, 탐지된 공격상황에 대해서는 외부 인터페이스부(250)로 전달한다. 외부 인터페이스부(250)는 탐지된 공격상황의 보고를 위한 외부와의 인터페이스 기능을 제공하며, 외부로부터의 제어를 위한 인터페이스 역시 제공한다. 외부로부터 임계치 등의 제어 정보는 경보 처리부(240)에 전달되고, 경보 처리부(220)에서는 제어 메모리부(240)는 이를 저장한다.
도 3은 경보 처리부(220)의 세부 구성을 도시한 것이다. 경보 처리부(220)는 경보 수신부(210)으로부터 경보 데이터를 전달받기 위한 경보 버퍼부(310), 경보 버퍼(310)로부터 경보를 전달받아 경보의 속성을 추출하고 추출된 속성으로 특징화되는 데이터를 생성하여 각 해쉬 엔진부(330)로 전달하는 경보 파서부(320), 해쉬 룩업을 통해 동일 속성을 갖는 해쉬 엔트리를 생성하거나, 룩업에 실패한 경우 새로운 해쉬 엔트리를 생성해 탐지 엔진부(340)로 전달하는 해쉬 엔진부(330), 동일 속성을 갖는 경보 데이터의 해쉬 엔트리를 해쉬 엔진부(330)에서 전달 받아 임계치 위반 여부를 검사하여 공격상황을 탐지하는 탐지 엔진부(340), 그리고 외부 인터페이부(250)과의 인터페이스를 제공하는 인터페이스 제어부(350)등으로 구성된다.
경보 파서부(320)에서는 특히 경보 버퍼를 통해 전달 받은 경보 데이터에 대 해 공격 유형, 공격자 IP 주소, 공격대상 IP 주소, 서비스 유형의 네가지 정보를 추출하고 도 1의 공격상황 분류 테이블에서 정의되는 형태로 조합하여 그 조합된 데이터를 해쉬 엔진부(330)로 전달한다(이상 S720).
해쉬 엔진부(330)에서는 경보 파서부(320)로부터 전달받은 조합 데이터를 이용하여 해쉬 키를 생성(S730)하고, 해쉬 메모리부(230)에서 동일 속성을 갖는 엔트리가 있는지의 여부를 조사한다. 동일 속성을 갖는 엔트리가 존재한다면 그 엔트리를 탐지 엔진부(330)로 전달하고, 그렇지 않으면 새로운 해쉬 엔트리를 생성하여 그 엔트리를 탐지 엔진부(330)로 전달한다. 경보 파서부(320)에서 생성해 내는 조합 데이터는 본 실시예에 있어서는 10가지(도 1 참조)가 되며, 이를 고성능으로 처리하기 위하여 해쉬 엔진부(330)는 10개의 병렬 엔진(해쉬 엔진 #0 내지 해쉬 엔진 #9)으로 구성된다. 즉 10개의 공격상황을 위한 전담 해쉬 엔진부(330)가 존재하는 것이다(이상 S740).
도 4는 해쉬 엔진부에 의해 해쉬 메모리부(230)에 유지되는 해쉬 구조를 나타낸다. 해쉬 메모리는 크게 인덱스 메모리(410)와 데이터 메모리(420)로 구성된다. 인덱스 메모리(410)는 해쉬 키에 의해 접근되며, 동일 속성을 갖지 않더라도 동일 해쉬 키를 가질 수 있기 때문에 인덱스 엔트리(430)가 각 인덱스 별로 유지된다. 각 인덱스 엔트리(430)는 해당 인덱스 엔트리가 유효한지를 나타내는 유효비트와 유효한 경우 실제 데이터 메모리의 주소를 나타내는 주소 필드로 구성된다. 데이터 메모리의 엔트리(420)는 인덱스 엔트리(430)에 의해 어드레싱되며, 각각의 엔트리(엔트리 #1 내지 엔트리 #N)는 공격 유형, 공격자 IP 주소, 공격대상 IP 주소, 서비스 유형 등의 속성 정보와 카운터 정보로 구성(440)되며, 카운터 정보는 탐지 엔진부(340)에 의해 운영된다.
탐지 엔진부(340)에서는 해쉬 엔진부(330)에서 전달 받은 해쉬 엔트리를 대상으로 동일 속성을 갖는 경보의 수를 카운팅하며, 유효 시간 내에서 해당 경보가 얼마나 많이 발생하였는지를 판별하고, 발생 빈도가 임계치를 위반하였는지의 여부를 판단한다. 만약 임계치를 위반하면 공격상황으로 탐지하여 인터페이스 제어부(350)로 해당 정보를 알린다.
도 5는 탐지 엔진부(330)에서 해쉬 엔트리에 운용하는 엔트리 구조를 나타내며, 이러한 엔트리는 동일 속성 하나에 대해 일대일로 관리된다. 즉 하나의 동일 속성을 위해 하나의 엔트리가 관리된다. 도 5에서 LTT 필드(510)는 최종적으로 발생한 동일 속성의 경보에 의해 기록된 시간 정보를 저장한다. SLOT #0 내지 SLOT #N-1(530)은 각 타임 슬롯에서 발생한 카운터 정보를 저장하며, SUM 필드(520)는 전체 슬롯 카운터의 합이다.
도 6은 도 5에 도시된 바와 같은 엔트리 구조의 정보를 이용하여 동일 속성을 갖는 침입탐지 경보를 카운팅하고 임계치 위반 여부를 조사하는 알고리즘이다. 앞서 언급한 바와 같이 본 발명의 메커니즘에서는 유효 시간 내의 발생 경보 데이터에 대해서만 이러한 분석 과정을 적용하며, 또한 높은 정확성을 위해 단위 시간마다 별도 카운터를 유지하고, 시간 경과에 따라 슬롯 카운터를 이동한다. 도 6에 도시된 알고리즘을 분설하면, 새로 도착한 경보 데이터의 시간(ATT)과 해쉬 엔트리에 저장된 최종 경보 데이터의 시간 정보(LTT)의 차가 윈도우 크기(N) 보다 크거나 같으면, LTT를 ATT 값으로 대치하고, SLOT을 0으로 리셋하고, 해당 SLOT - 즉, ATT를 N으로 나눈 나머지 값-의 값을 1로 저장하며, SUM의 값 역시 1로 저장한다.
ATT와 LTT가 동일한 경우에는 LTT에 의해 인덱싱되는 SLOT의 카운트와 SUM을 1씩 증가시킨다. 위의 두 가지가 아닌 경우, 즉 ATT-LTT가 0보다 크고 N보다 작은 경우에는 LTT+1에 의하여 인덱싱되는 SLOT부터 ATT-1에 의해 인덱싱되는 SLOT까지의 값을 SUM에서 빼고, 0으로 리셋한다. 또한 ATT에 의하여 인덱싱되는 SLOT은 1로 저장하고 SUM의 값을 1 증가시킨다.
탐지 엔진부(340)에서 엔트리에 대한 카운팅이 완료되면, 공격상황 발생 여부를 판단하게 되며, 이는 SUM의 값이 임계치를 위반하였는지를 검사함으로써 이루어진다. 임계치는 외부 인터페이스부(250)을 통해 구성이 가능하며, 외부 인터페이스부(250)로 전달된 구성 정보는 다시 인터페이스 제어부(350)로 전달되고, 인터페이스 제어부(350)는 이를 제어 메모리부(240)에 저장함으로써 탐지 엔진부(340)에서 이용하는 임계치 데이터가 수정 된다(이상 S750).
본 발명에 의한 네트워크 공격 상황 탐지 방법은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 플래쉬 메모리, 광 데이타 저장장치등이 있으며, 또한 캐리어 웨이브(예를들면 인터넷을 통한 전송)의 형태로 구현되는 것도 포함된다. 또한 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다. 또한 본 발명에 의한 폰트 롬 데이터구조도 컴퓨터로 읽을 수 있는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 플래쉬 메모리, 광 데이타 저장장치등과 같은 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다.
상술한 상세한 설명 및 도면에 개시된 내용은 본 발명을 한정하는 것이 아니며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자에게는 본 발명의 정신을 벗어나지 않는 범위 내에서 다양한 수정 및 변경이 가능함은 명백한 것이다.
이상에서 설명한 바와 같이, 본 발명에 의한 네트워크 공격 상황 탐지 장치 및 그 방법에 의하면, 네트워크의 경보를 처리하기 위한 해쉬 엔진과 탐지 엔진을 네트워크 공격 상황으로 분류한 데이터 집합과 동일한 수로 병렬 구성함으로써, 네트워크의 공격 상황을 방대한 양의 침입 탐지 경보로부터 실시간으로 탐지해낼 수 있다.

Claims (12)

  1. 접속하고 있는 네트워크의 경보를 수신한 후 소정의 경보 데이터로 가공하여 출력하는 경보수신부;
    상기 가공된 경보 데이터의 속성 및 발생 빈도를 기초로 상기 네트워크의 공격상황을 분석하는 경보처리부;
    상기 네트워크의 상황을 분석할 수 있는 기본 데이터를 유지하며 상기 경보처리부에 제공하는 메모리부; 및
    외부 장치로 상기 분석 결과를 송신하고 상기 공격상황의 판단시 기초가 되는 소정의 임계치를 수신한 후 상기 경보처리부로 출력하여 상기 메모리부에 저장하도록 하는 인터페이스부;를 포함하는 것을 특징으로 하는 네트워크 공격 상황 탐지 장치.
  2. 제1항에 있어서, 상기 경보처리부는
    상기 가공된 경보 데이터로부터 상기 경보의 속성을 추출한 후 상기 속성으로 특징화되는 적어도 하나 이상의 제1데이터를 생성하는 경보파서부;
    상기 제1데이터와 동일한 수로 구성되며, 상기 제1데이터를 기초로 해쉬키를 생성하여 동일 속성을 가지는 해쉬 엔트리를 생성하거나 룩업에 실패하면 새로운 해쉬 엔트리를 생성하는 해쉬엔진부;
    상기 해시 엔트리를 수신하여 상기 임계치 위반 여부를 검사하며 상기 해쉬엔지부와 일대일로 대응하는 탐지엔진부; 및
    상기 임계치 위반 여부를 상기 외부장치로 송수신하는 인터페이스제어부;를 포함하는 것을 특징으로 하는 네트워크 공격 상황 탐지 장치.
  3. 제2항에 있어서, 상기 경보파서부는
    공격유형, 공격자 IP 주소, 공격대상 IP 주소, 서비스 유형을 추출한 후 조 합하여 상기 제1데이터를 생성하는 것을 특징으로 하는 네트워크 공격 상황 탐지 장치.
  4. 제1항에 있어서, 상기 메모리부는
    상기 해쉬 엔트리를 저장하는 해쉬메모리부; 및
    상기 임계치를 포함하는 제어 데이터를 저장하는 제어메모리부;를 포함하는 것을 특징으로 하는 네트워크 공격 상황 탐지 장치.
  5. 제4항에 있어서, 상기 해쉬메모리부는
    상기 해쉬 키에 의해 접근되며 각각 m개(m은 양의 정수)의 인덱스 엔트리를 유지하는 k개(k는 양의 정수)의 인덱스로 구성되는 인덱스 메모리; 및
    상기 인덱스 엔트리에 의해 어드레싱되며 소정의 속성 정보와 카운터 정보를 유지하는 n개(n은 양의 정수)의 엔트리로 구성되는 데이터 메모리;를 포함하며 상기 해쉬 엔진부에 의하여 구동되는 것을 특징으로 하는 네트워크 공격 상황 탐지 장치.
  6. 제5항에 있어서, 상기 속성 정보는
    공격유형, 공격자 IP 주소, 공격대상 IP 주소, 서비스 유형을 포함하는 것을 특징으로 하는 네트워크 공격 상황 탐지 장치.
  7. 제2항에 있어서, 상기 탐지엔진부는
    상기 해쉬엔진부로부터 수신하는 해쉬 엔트리로부터 동일 속성을 가지는 경보의 수를 카운트하여 유효 시간내의 경보 발생 빈도를 계산하여 상기 임계치 위반 여부를 판단하는 것을 특징으로 하는 네트워크 공격 상황 탐지 장치.
  8. (a) 네트워크 경보를 수집하는 단계;
    (b) 상기 수집된 경보의 특성을 추출하여 조합한 적어도 하나 이상의 제1데이터로 가공하는 단계; 및
    (c) 상기 제1데이터를 속성과 발생 빈도를 기초로 소정의 임계치와 비교하여 네트워크의 공격상황을 분석하는 단계;를 포함하는 것을 특징으로 하는 네트워크 공격 상황 탐지 방법.
  9. 제8항에 있어서, 상기 (b)단계는
    상기 네트워크 경보에서 공격유형, 공격자 IP 주소, 공격대상 IP 주소, 서비스유형을 추출하여 상기 제1데이터로 구성하는 것을 특징으로 하는 네트워크 공격 상황 탐지 방법.
  10. 제8항에 있어서, (b)단계는
    (b1) 상기 수신된 경보로부터 속성을 추출한 후 상기 속성으로 특징화되는 적어도 하나 이상의 제1데이터를 생성하는 단계;
    (b2) 상기 제1데이터를 기초로 해쉬키를 생성하여 동일 속성을 가지는 해쉬 엔트리를 생성하거나 룩업에 실패하면 새로운 해쉬 엔트리를 생성하는 단계; 및
    (b3) 상기 해시 엔트리를 기초로 상기 임계치 위반 여부를 검사하는 단계;를 포함하는 것을 특징으로 하는 네트워크 공격 상황 탐지 방법.
  11. 제10항에 있어서, 상기 (b2)단계는
    (b21) 상기 해쉬 키에 의해 접근되며 각각 m개(m은 양의 정수)의 인덱스 엔트리를 유지하는 k개(k는 양의 정수)의 인덱스로 이루어지는 인덱스 메모리를 구성하는 단계; 및
    (b22) 상기 인덱스 엔트리에 의해 어드레싱되며 소정의 속성 정보와 카운터 정보를 유지하는 n개(n은 양의 정수)의 엔트리로 구성되는 데이터 메모리를 구성하는 단계;를 포함하는 것을 특징으로 하는 네트워크 공격 상황 탐지 방법.
  12. 제10항에 있어서, 상기 (b3)단계는
    상기 해쉬 엔트리로부터 동일 속성을 가지는 경보의 수를 카운트하여 유효 시간내의 경보 발생 빈도를 계산하여 상기 임계치 위반 여부를 판단하는 것을 특징으로 하는 네트워크 공격 상황 탐지 방법.
KR1020040101086A 2004-12-03 2004-12-03 네트워크 공격 상황 탐지 장치 및 그 방법 KR100628317B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020040101086A KR100628317B1 (ko) 2004-12-03 2004-12-03 네트워크 공격 상황 탐지 장치 및 그 방법
US11/081,682 US7596810B2 (en) 2004-12-03 2005-03-17 Apparatus and method of detecting network attack situation
US12/275,906 US20090094699A1 (en) 2004-12-03 2008-11-21 Apparatus and method of detecting network attack situation

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040101086A KR100628317B1 (ko) 2004-12-03 2004-12-03 네트워크 공격 상황 탐지 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20060062298A true KR20060062298A (ko) 2006-06-12
KR100628317B1 KR100628317B1 (ko) 2006-09-27

Family

ID=36573570

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040101086A KR100628317B1 (ko) 2004-12-03 2004-12-03 네트워크 공격 상황 탐지 장치 및 그 방법

Country Status (2)

Country Link
US (2) US7596810B2 (ko)
KR (1) KR100628317B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100809422B1 (ko) * 2006-09-29 2008-03-05 한국전자통신연구원 시그니처 탐지 및 이상트래픽 경보위험도 기반의침입방지장치 및 그 방법
KR100832536B1 (ko) * 2006-11-06 2008-05-27 한국전자통신연구원 대규모 네트워크에서의 보안 관리 방법 및 장치
KR101420301B1 (ko) * 2012-09-05 2014-07-17 주식회사 시큐아이 DDoS 공격 검출 방법 및 장치

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006352831A (ja) * 2005-05-20 2006-12-28 Alaxala Networks Corp ネットワーク制御装置およびその制御方法
US20070204344A1 (en) * 2006-02-26 2007-08-30 Chun Xue Parallel Variable Length Pattern Matching Using Hash Table
US20080079596A1 (en) * 2006-09-29 2008-04-03 Rockwell Automation Technologies, Inc. Buffering alarms
US7675406B2 (en) * 2006-09-29 2010-03-09 Rockwell Automation Technologies, Inc. Generation of timestamps within field devices
US7743003B1 (en) 2007-05-16 2010-06-22 Google Inc. Scaling machine learning using approximate counting that uses feature hashing
US9736172B2 (en) * 2007-09-12 2017-08-15 Avaya Inc. Signature-free intrusion detection
US9438641B2 (en) * 2007-09-12 2016-09-06 Avaya Inc. State machine profiling for voice over IP calls
US9100417B2 (en) * 2007-09-12 2015-08-04 Avaya Inc. Multi-node and multi-call state machine profiling for detecting SPIT
US9178898B2 (en) * 2007-09-12 2015-11-03 Avaya Inc. Distributed stateful intrusion detection for voice over IP
US8656492B2 (en) * 2011-05-16 2014-02-18 General Electric Company Systems, methods, and apparatus for network intrusion detection
US10693904B2 (en) * 2015-03-18 2020-06-23 Certis Cisco Security Pte Ltd System and method for information security threat disruption via a border gateway
CN107958165A (zh) * 2016-10-18 2018-04-24 国民技术股份有限公司 一种抗攻击系统、方法以及电子设备

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5819028A (en) * 1992-06-10 1998-10-06 Bay Networks, Inc. Method and apparatus for determining the health of a network
US5768501A (en) * 1996-05-28 1998-06-16 Cabletron Systems Method and apparatus for inter-domain alarm correlation
US6088804A (en) * 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US6327677B1 (en) * 1998-04-27 2001-12-04 Proactive Networks Method and apparatus for monitoring a network environment
CA2417817C (en) * 2000-08-11 2007-11-06 British Telecommunications Public Limited Company System and method of detecting events
US6353385B1 (en) * 2000-08-25 2002-03-05 Hyperon Incorporated Method and system for interfacing an intrusion detection system to a central alarm system
US7043759B2 (en) * 2000-09-07 2006-05-09 Mazu Networks, Inc. Architecture to thwart denial of service attacks
DE60230601D1 (ko) * 2001-01-10 2009-02-12 Cisco Tech Inc
US20020107953A1 (en) * 2001-01-16 2002-08-08 Mark Ontiveros Method and device for monitoring data traffic and preventing unauthorized access to a network
US20030069959A1 (en) * 2001-10-04 2003-04-10 Edwin Tse Alarm lists synchronization in an alarm management system
US8112328B2 (en) * 2001-11-05 2012-02-07 Hewlett-Packard Development Company, L.P. Secure and mediated access for E-services
US6854032B2 (en) * 2001-12-04 2005-02-08 Sun Microsystems, Inc. System for accessing a region of memory using remote address translation and using a memory window table and a memory region table
KR100432421B1 (ko) 2001-12-21 2004-05-22 한국전자통신연구원 공격에 대한 연관성 분석방법 및 이를 위한 기록매체
US20030196123A1 (en) * 2002-03-29 2003-10-16 Rowland Craig H. Method and system for analyzing and addressing alarms from network intrusion detection systems
KR20040101490A (ko) * 2002-04-17 2004-12-02 컴퓨터 어소시에이츠 싱크, 인코포레이티드 기업 네트워크에서의 악의적 코드 검출 및 무효화
FR2840139B1 (fr) * 2002-05-23 2004-12-17 Cit Alcatel Dispositif et procede de classification de messages d'alarme resultant d'une violation d'accord de niveau de service dans un reseau de communications
US20040193943A1 (en) * 2003-02-13 2004-09-30 Robert Angelino Multiparameter network fault detection system using probabilistic and aggregation analysis
US7669241B2 (en) * 2004-09-30 2010-02-23 Alcatel-Lucent Usa Inc. Streaming algorithms for robust, real-time detection of DDoS attacks

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100809422B1 (ko) * 2006-09-29 2008-03-05 한국전자통신연구원 시그니처 탐지 및 이상트래픽 경보위험도 기반의침입방지장치 및 그 방법
KR100832536B1 (ko) * 2006-11-06 2008-05-27 한국전자통신연구원 대규모 네트워크에서의 보안 관리 방법 및 장치
KR101420301B1 (ko) * 2012-09-05 2014-07-17 주식회사 시큐아이 DDoS 공격 검출 방법 및 장치

Also Published As

Publication number Publication date
US20090094699A1 (en) 2009-04-09
US20060119486A1 (en) 2006-06-08
US7596810B2 (en) 2009-09-29
KR100628317B1 (ko) 2006-09-27

Similar Documents

Publication Publication Date Title
US7596810B2 (en) Apparatus and method of detecting network attack situation
CN112953933B (zh) 异常攻击行为检测方法、装置、设备及存储介质
EP2953298B1 (en) Log analysis device, information processing method and program
CN109951477B (zh) 一种基于威胁情报检测网络攻击的方法和装置
CN108632224B (zh) 一种apt攻击检测方法和装置
CN106330944B (zh) 恶意系统漏洞扫描器的识别方法和装置
US20140082730A1 (en) System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks
CN108650225B (zh) 一种远程安全监测设备、系统及远程安全监测方法
EP2284752B1 (en) Intrusion detection systems and methods
EP3660719B1 (en) Method for detecting intrusions in an audit log
JP2007242002A (ja) ネットワーク管理装置及びネットワーク管理方法及びプログラム
CN113343228B (zh) 事件可信度分析方法、装置、电子设备及可读存储介质
US20050138425A1 (en) Method of analyzing network attack situation
Giacinto et al. Alarm clustering for intrusion detection systems in computer networks
KR101488271B1 (ko) Ids 오탐 검출 장치 및 방법
CN115296904B (zh) 域名反射攻击检测方法及装置、电子设备、存储介质
CN106576072B (zh) 信息处理装置和信息处理方法
CN116599705A (zh) 一种互联网攻击预测方法、系统、设备及介质
CN110574348B (zh) 数据处理装置和方法
CN114189361B (zh) 防御威胁的态势感知方法、装置及系统
US11184369B2 (en) Malicious relay and jump-system detection using behavioral indicators of actors
Kurihara et al. A simple detection method for DoS attacks based on IP packets entropy values
Patel et al. Hybrid relabeled model for network intrusion detection
CN113032774A (zh) 异常检测模型的训练方法、装置、设备及计算机存储介质
KR100832536B1 (ko) 대규모 네트워크에서의 보안 관리 방법 및 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120910

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20130829

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140827

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20150827

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20160826

Year of fee payment: 11

LAPS Lapse due to unpaid annual fee