KR20060067077A - Apparatus for recognizing abnormal and destructive traffic in network and method thereof - Google Patents
Apparatus for recognizing abnormal and destructive traffic in network and method thereof Download PDFInfo
- Publication number
- KR20060067077A KR20060067077A KR1020050022197A KR20050022197A KR20060067077A KR 20060067077 A KR20060067077 A KR 20060067077A KR 1020050022197 A KR1020050022197 A KR 1020050022197A KR 20050022197 A KR20050022197 A KR 20050022197A KR 20060067077 A KR20060067077 A KR 20060067077A
- Authority
- KR
- South Korea
- Prior art keywords
- traffic
- address
- information
- reference pattern
- abnormal
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
본 발명은 기가(Giga)급의 고속 네트워크 환경에서 서비스 거부 공격 트래픽 또는 포트 스캔 공격 트래픽과 같은 이상 유해 트래픽을 실시간으로 감지하는데 이를 휴리스틱 분석 기법에 기반하여 이상 유해 트래픽을 감지하는 장치 및 그 방법에 관한 것이다.The present invention detects anomalous harmful traffic such as denial of service attack traffic or port scan attack traffic in real time in a giga-class high-speed network environment, and an apparatus and method for detecting anomalous traffic based on a heuristic analysis technique. It is about.
본 명세서에서 개시하는 이상 유해 트래픽 감지 장치는 파싱된 유입 트래픽의 양의 기 설정된 트래픽 양 임계치의 초과 여부와 시간 임계치의 초과 여부를 체크하여 상기 유입 트래픽에 이상 유해 트래픽이 있는지를 감지하는 이상 유해 트래픽 감지부; 및 상기 이상 유해 트래픽의 유무를 판단하기 위한 레퍼런스 패턴을 상기 이상 유해 트래픽 감지부에 제공하는 레퍼런스 패턴 제공부를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.The abnormal harmful traffic detection apparatus disclosed herein checks whether the amount of parsed incoming traffic exceeds a predetermined traffic amount threshold and whether a time threshold is exceeded to detect abnormal harmful traffic in the incoming traffic. Sensing unit; And a reference pattern providing unit which provides a reference pattern for determining the presence of the abnormal harmful traffic to the abnormal harmful traffic detecting unit to achieve the object and technical problem of the present invention.
Description
도 1은 트래픽 양과 시간 임계치에 기반한 휴리스틱 분석 기법을 이용한 이상 유해 트래픽의 감지 방안의 개념을 제시하기 위한 도면이다.FIG. 1 is a diagram illustrating a concept of an abnormal harmful traffic detection method using a heuristic analysis technique based on a traffic amount and a time threshold.
도 2는 본 장치 발명의 바람직한 일실시예의 구성을 제시한 도면이다.2 is a view showing the configuration of a preferred embodiment of the present invention.
도 3a는 도 2에 제시된 이상 유해 트래픽 감지부에 의한 서비스 거부 공격 트래픽의 감지 기능의 구현 절차를 제시한 도면으로 본 방법발명의 바람직한 일실시예의 흐름을 제시한 도면이다.FIG. 3A is a diagram illustrating an implementation procedure of a detection function of a denial of service attack traffic by the abnormal malicious traffic detection unit shown in FIG. 2, and illustrates a preferred embodiment of the present invention.
도 3b는 도 2에 제시된 이상 유해 트래픽 감지부에 의한 포트 스캔 공격 트래픽 감지 기능의 구현 절차를 제시한 도면으로 본 방법발명의 바람직한 또 다른 일실시예의 흐름을 제시한 도면이다.FIG. 3B is a view showing an implementation procedure of a port scan attack traffic detection function by the abnormal malicious traffic detection unit shown in FIG. 2, and showing a flow of another preferred embodiment of the present invention.
도 4는 도 2에 제시된 이상 유해 트래픽 감지부의 시간 임계치 체크부에서 카운트 값 초기화를 위한 절차를 제시한 도면이다.4 is a diagram illustrating a procedure for initializing a count value in the time threshold checker of the abnormal harmful traffic detector of FIG. 2.
도 5는 도 2에 제시된 이상 유해 트래픽 감지부의 IP 엔트리 관리부에 의한 IP 엔트리 관리를 효율적으로 수행하기 위한 기법을 설명하기 위해 제시한 도면이다.FIG. 5 is a diagram for describing a technique for efficiently performing IP entry management by the IP entry manager of the abnormal traffic detection unit shown in FIG. 2.
도 6은 도 2에 제시된 이상 유해 트래픽 감지부에서 이상 유해 트래픽 감지 기능을 실시간으로 제공하기 위한 각 테이블의 구성 방식을 설명하기 위한 도면이다.FIG. 6 is a diagram illustrating a configuration method of each table for providing an abnormal harmful traffic detection function in real time in the abnormal harmful traffic detection unit shown in FIG. 2.
본 발명은 네트워크 상에서의 이상 유해 트래픽 감지 장치 및 그 방법에 관한 것으로, 보다 상세하게는 기가(Giga)급의 고속 네트워크 환경에서 서비스 거부 공격 트래픽 또는 및 포트 스캔 공격 트래픽과 같은 이상 유해 트래픽을 실시간으로 감지하는데 이를 휴리스틱 분석 기법에 기반하여 이상 유해 트래픽을 감지하는 장치 및 그 방법에 관한 것이다.The present invention relates to an apparatus and method for detecting abnormal harmful traffic on a network. More particularly, the present invention relates to an abnormal harmful traffic such as denial of service attack traffic or port scan attack traffic in a high-speed network environment of Giga-class. The present invention relates to an apparatus and method for detecting abnormal harmful traffic based on a heuristic analysis technique.
1990년대 말 서비스 거부 공격(Denial of Service : DoS)이 등장하면서 네트워크는 사이버 공격의 토대는 물론, 심지어 공격을 증식시키는 매개체가 되고 있는 게 현실이다. 그 결과 보안 공격 건수가 크게 증가했으며, 공격의 복잡성도 갈수록 심화되고 있다.With the advent of Denial of Service (DoS) in the late 1990s, the network has become the foundation of cyber attacks, and even the medium of proliferation. As a result, the number of security attacks has increased significantly, and the complexity of attacks is increasing.
서비스 거부 공격이라 함은 시스템의 정상적인 서비스를 방해할 목적으로 대량의 데이터를 보내 대상 네트워크나 시스템의 성능을 급격히 저하시켜 대상 시스템에서 제공하는 서비스들을 사용하지 못하게 하는 공격으로 해킹 수법중 가장 일반적인 방법이다. 인터넷 사용자가 많지 않았던 초기의 서비스 거부 공격은 단일 시스템이나 서비스를 목표로 하는 공격자에 대한 피해자의 1:1 유형이 주류를 이루고 있었다.A denial of service attack is the most common method of hacking, which sends a large amount of data for the purpose of interfering with the normal service of the system, thereby rapidly degrading the performance of the target network or system and preventing the use of the services provided by the target system. . Early denial-of-service attacks, where there were not many Internet users, were mainly dominated by 1: 1 types of victims of attackers targeting single systems or services.
그러나 최근에는 DDoS(Distributed Denial of Service) 공격이란 이름으로 N개의 불특정 시스템이 단일 네트워크를 대상으로 공격을 시도하는 N:1 유형이 주류를 이루고 있다. 이러한 공격은 포트 스캔과 같은 사전 작업을 통해서 불특정 다수의 시스템을 감염시켜 이루어지며, 감염된 시스템들로부터 동시에 공격을 시도함으로써 단일 시스템뿐만 아니라 전체 네트워크까지 마비시킬 수 있는 파괴력을 가지고 있다.Recently, however, the N: 1 type has become mainstream, with N unspecified systems attempting to attack a single network under the name of distributed denial of service (DDoS) attacks. Such attacks are carried out by infecting a large number of unspecified systems through proactive tasks such as port scans, and have the destructive power to paralyze not only a single system but the entire network by simultaneously attempting to attack from infected systems.
이와 같은 N:1 유형의 공격방법은 수작업으로는 많은 시간이 소요되기 때문에 자동화된 공격도구가 사용되는 경우가 많다. 따라서 공격도구의 특성을 제대로 파악하면 이에 대한 대응방법도 마련될 수 있기 때문에, 이에 대한 대응방안의 강구가 활발하게 진행되고 있다. 대응방안뿐만 아니라 더욱 중요한 것은 공격 징후의 발견이다. 이러한 공격은 대규모 네트워크를 이용하기 때문에 비정상적인 네트워크 흐름을 유발하므로, 공격 징후의 조기 탐지는 공격에 대한 빠른 대응을 가능하게 된다.This type of N: 1 attack method takes a lot of time by hand, so automated attack tools are often used. Therefore, if the characteristics of the attack tools are properly understood, countermeasures can be prepared. Therefore, measures for countermeasures are actively being made. More important as well as countermeasures are the detection of signs of attack. Since such an attack uses a large network, it causes abnormal network flow. Therefore, early detection of attack signs enables quick response to the attack.
이러한 추세와 함께, 네트워크를 통한 침입에 관심을 갖는 여러 시스템들이 개발되었으나, 기가비트 이더넷 환경과 같은 네트워크의 고속화 및 이를 바탕으로 한 대용량 데이터의 송수신은 기존의 저속 침입탐지 기법에 대한 변화를 요구하고 있다. 다시 말해서, 갈수록 고속화되고 대용량화하는 네트워크 환경과 보다 다양해지는 침입 시도에 적절히 대응하기 위해서는, 보다 빠른 시간 내에 많은 데이터를 분석할 수 있는 기법이 요구된다.Along with this trend, many systems have been developed that are interested in intrusion through the network, but the high speed of the network such as the Gigabit Ethernet environment and the transmission and reception of large data based on it require the change of the existing low speed intrusion detection technique. . In other words, in order to adequately cope with ever-increasing speed and capacity of network environments and more diverse intrusion attempts, a technique for analyzing a large amount of data in a shorter time is required.
즉, 이를 고려한 새로운 형태의 침입(공격) 탐지 시스템이 요구된다. 그러 나, 기존의 대다수 침입탐지 시스템들은 일반적으로 단일 시스템 환경이나 협소한 영역에 적합하게 설계되고 적용됨으로써, 대규모 네트워크로의 확장에 어려움을 가지게 되었다. 설령, 이를 확장할 수 있는 구조를 가졌다 하더라도 어플리케이션 영역에서의 탐지 수행은 성능상의 한계를 가지게 되었다.In other words, a new type of intrusion detection system is required. However, most existing intrusion detection systems are generally designed and applied to a single system environment or a small area, making it difficult to expand to a large network. Even if it had a structure that could be extended, the detection in the application area had a performance limitation.
기존의 침입 탐지 시스템이 지니고 있는 기술적 한계는 무엇보다도 패킷 분실율 및 침입 감지율과 같은 침입 탐지 시스템의 성능 문제라 할 수 있다. 성능은 꾸준히 여러 개발자들에 의해서 개선되고는 있으나, 이는 돈과 시간이 많이 소요되는 작업이다. 그럼에도 불구하고 성능 개선은 무엇보다도 중요한 해결 과제이다. 또한, 기가비트 이더넷 환경과 같은 네트워크 환경의 변화는 이에 대한 중요성을 더욱 증가시키고 있다.The technical limitation of the existing intrusion detection system is the performance problem of the intrusion detection system such as packet loss rate and intrusion detection rate. Performance has been steadily improved by many developers, but this is a costly and time-consuming task. Nevertheless, improving performance is a top priority. In addition, changes in network environments, such as the Gigabit Ethernet environment, are becoming increasingly important.
네트워크 침입 탐지 시스템에서 상기의 DoS나 포트 스캔 공격과 같은 이상 유해 트래픽을 탐지하기 위한 여러 방안들이 적용되고 있으나, 가장 정확하게 감지하는 방안은 네트워크로 입력되는 패킷과 기 알려진 침해 패턴들을 비교 검사하고 이에 대한 빈도를 검사하는 것이다.In the network intrusion detection system, various methods for detecting abnormal traffic such as DoS or port scan attack have been applied.However, the most accurate detection method compares and inspects packets entering the network and known intrusion patterns. To check the frequency.
기존의 침입 탐지 시스템들은 대부분 소프트웨어를 바탕으로 한 방법을 사용하고 있으나, 이러한 탐지 엔진들은 속도의 제한성이 존재한다. 즉, 침입 탐지 시스템이 갖는 성능의 제약성을 극복하지 못한다면 고속의 침해 탐지 기능의 제공은 거의 불가능하다. 따라서, 기 알려진 서비스 거부 공격이나 포트 스캔 공격 유형에 대한 실시간 탐색은 매우 중요하며, 이러한 침해 유형들을 실시간으로 점검할 수 있도록 하는 기법이 요구된다.Most intrusion detection systems use a software-based approach, but these detection engines are limited in speed. That is, it is almost impossible to provide a high-speed intrusion detection function without overcoming the performance limitations of the intrusion detection system. Therefore, real-time search for known denial-of-service attacks or port scan attack types is very important, and a technique is needed to check these types of attacks in real time.
본 발명은 상기와 같은 문제를 해결하고 상기와 같은 요구사항에 부응하기 위해 창안된 것으로, 본 발명의 목적 및 이루고자 하는 기술적 과제는 기가급의 네트워크 환경에서 이상 유해 트래픽을 감지하기 위해서, 휴리스틱 분석 기반으로 이상 유해 트래픽의 감지 및 분석 기능이 가능하도록 하는 이상 유해 트래픽 감지 장치 및 그 방법을 제공함에 있다.The present invention has been devised to solve the above problems and meet the above requirements, and an object of the present invention and the technical problem to be achieved are based on heuristic analysis to detect abnormal harmful traffic in a giga-class network environment. It is an object of the present invention to provide an abnormal harmful traffic detection apparatus and method for enabling the detection and analysis of abnormal harmful traffic.
상기와 같은 목적 및 기술적 과제를 달성하기 위하여 본 명세서에서 개시하는 이상 유해 트래픽 감지 장치는Abnormal harmful traffic detection device disclosed in the present specification to achieve the above object and technical problem is
파싱된 유입 트래픽의 양의 기 설정된 트래픽 양 임계치의 초과 여부와 시간 임계치의 초과 여부를 체크하여 상기 유입 트래픽에 이상 유해 트래픽이 있는지를 감지하는 이상 유해 트래픽 감지부; 및An abnormal harmful traffic detector configured to detect whether there is an abnormal harmful traffic by checking whether an amount of parsed inflow traffic exceeds a predetermined traffic amount threshold and a time threshold; And
상기 이상 유해 트래픽의 유무를 판단하기 위한 레퍼런스 패턴을 상기 이상 유해 트래픽 감지부에 제공하는 레퍼런스 패턴 제공부를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.In order to achieve the object and technical problem of the present invention, a reference pattern providing unit is provided to provide the reference pattern for determining the presence of the abnormal harmful traffic.
상기와 같은 목적 및 기술적 과제를 달성하기 위하여 본 명세서에서 개시하는 이상 유해 트래픽 감지 방법은Abnormal harmful traffic detection method disclosed in the present specification in order to achieve the above object and technical problem is
(a)파싱된 유입 트래픽의 패턴과 상기 레퍼런스 패턴을 비교하여 상기 유입 트래픽에 이상 유해 트래픽이 있는지를 판단하는 단계;(a) comparing the reference pattern with the parsed incoming traffic and determining whether there is abnormal harmful traffic in the incoming traffic;
(b)상기 두 패턴이 일치한다고 판단하는 경우, 상기 유입 트래픽의 IP 어드 레스에 해당하는 기 설정된 IP 어드레스를 검색하는 단계;(b) searching for a predetermined IP address corresponding to an IP address of the incoming traffic when determining that the two patterns match each other;
(c)상기 해당되는 IP 어드레스가 검색된 경우, 상기 유입 트래픽의 패턴과 일치하는 레퍼런스 패턴의 카운트 값을 증가시켜 상기 증가된 카운트 값이 상기 레퍼런스 패턴의 카운트 임계치에 도달하였는지를 체크하는 단계;(c) when the corresponding IP address is found, checking whether the increased count value reaches the count threshold of the reference pattern by increasing a count value of a reference pattern that matches the pattern of the incoming traffic;
(d)상기 시간 임계치를 체크하는 단계; 및(d) checking the time threshold; And
(e)상기 카운트 임계치와 상기 시간 임계치를 초과하는 경우, 상기 유입 트래픽에 대한 경로 정보를 생성하는 단계를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.(e) when exceeding the count threshold and the time threshold, to achieve the object and technical problem of the present invention, including generating the path information for the incoming traffic.
상기와 같은 목적 및 기술적 과제를 달성하기 위하여 본 명세서에서 개시하는 이상 유해 트래픽 감지의 또 다른 방법은Another method of detecting abnormal harmful traffic disclosed herein to achieve the above object and technical problem is
(a)파싱된 유입 트래픽의 패턴과 상기 레퍼런스 패턴을 비교하여 상기 유입 트래픽에 이상 유해 트래픽이 있는지를 판단하는 단계;(a) comparing the reference pattern with the parsed incoming traffic and determining whether there is abnormal harmful traffic in the incoming traffic;
(b)상기 두 패턴이 일치하는 경우, 상기 유입 트래픽의 IP 어드레스에 해당하는 기 설정된 IP 어드레스를 검색하는 단계;(b) searching for a preset IP address corresponding to the IP address of the incoming traffic when the two patterns match;
(c)상기 해당되는 IP 어드레스가 검색된 경우, 기 설정된 포트 값과 상기 유입 트래픽의 포트 값을 비교하는 단계;(c) comparing the port value of the incoming traffic with a preset port value when the corresponding IP address is found;
(d)상기 두 포트 값이 일치하지 아니하는 경우, 상기 유입 트래픽의 패턴과 일치하는 레퍼런스 패턴의 카운트 값을 증가시켜 상기 증가된 카운트 값이 상기 레퍼런스 패턴의 카운트 임계치에 도달하였는지를 체크하는 단계;(d) if the two port values do not match, checking whether the increased count value reaches the count threshold of the reference pattern by increasing the count value of the reference pattern that matches the pattern of the incoming traffic;
(e)상기 시간 임계치를 체크하는 단계; 및(e) checking the time threshold; And
(f)상기 카운트 임계치와 상기 시간 임계치를 넘은 경우, 상기 유입 트래픽에 대한 경로 정보를 생성하는 단계를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.(f) if the count threshold and the time threshold is exceeded, generating the path information for the incoming traffic to achieve the object and technical problem of the present invention.
본 발명에 관한 이해 및 설명의 편의를 위해 본 발명이 제공하는 기술적 사상의 핵심을 우선 제시하면, 본 발명이 제공하는 기술적 사상의 핵심은 유입되는 트래픽에 대하여 트래픽 양과 시간 임계치에 기반한 휴리스틱(heuristic) 분석 기반으로 이상 유해 트래픽을 포함하고 있는지에 대한 분석을 수행하는 것이다.For the convenience of understanding and explanation of the present invention, the core of the technical idea provided by the present invention is first presented, and the core of the technical idea provided by the present invention is a heuristic based on a traffic amount and a time threshold for incoming traffic. Based on the analysis, an analysis is performed to determine whether abnormal traffic is included.
유입 트래픽에 대한 고속의 분석 기능을 수행할 수 있게 하여, 네트워크 상의 서비스 거부 공격 및 포트 스캔 공격과 같은 이상 유해 트래픽(이하 공격 트래픽 또는 침입 트래픽도 이와 동일 개념으로 사용되었음을 미리 밝힌다)을 정확하고 빠르게 감지하도록 하는 것이다.Enables high-speed analysis of incoming traffic, enabling accurate and fast detection of anomalous traffic such as denial of service attacks and port scan attacks on the network (the attack traffic or intrusion traffic is also used in the same concept). To make sense.
이하, 본 발명의 기술적 사상을 명확화하기 위해, 본 발명의 실시예에 근거하여 그 구성 및 동작을 첨부 도면을 참조하여 상세히 설명하되 도면의 구성요소들에 참조번호를 부여함에 있어서 동일 구성요소에 대해서는 비록 다른 도면상에 있더라도 동일 참조번호를 부여하였으며 당해 도면에 대한 설명시 필요한 경우 다른 도면의 구성요소를 인용할 수 있음을 미리 밝혀둔다.Hereinafter, in order to clarify the technical spirit of the present invention, the configuration and operation thereof will be described in detail with reference to the accompanying drawings based on the embodiments of the present invention. Although the same reference numerals have been given even in different drawings, it will be appreciated that components of other drawings may be cited when necessary in describing the drawings.
도 1은 트래픽 양과 시간 임계치에 기반한 휴리스틱 분석 기법을 이용한 이상 유해 트래픽의 감지 방안의 개념을 제시하기 위한 도면이다.FIG. 1 is a diagram illustrating a concept of an abnormal harmful traffic detection method using a heuristic analysis technique based on a traffic amount and a time threshold.
패킷 양에 의한 이상 유해 트래픽 감지의 상태 전이도 및 타이머를 이용한 시간 임계치를 제시한 도면이 제시되어 있다. 일반적으로 서비스 거부 공격이나 포 트 스캔 공격과 같은 네트워크 상의 이상 유해 트래픽은 다량의 트래픽(패킷, 이하 패킷과 트래픽은 동일 개념임을 전제로 모두 트래픽으로 표현한다) 발생을 특징으로 하기 때문에, 하나의 트래픽이 공격 트래픽과 일치하더라도 이를 바로 공격 트래픽(침입 트래픽)으로 판정하기는 어렵다.A diagram showing a state transition diagram of abnormal harmful traffic detection by a packet amount and a time threshold using a timer are shown. In general, anomalous traffic on a network, such as a denial of service attack or a port scan attack, is characterized by the occurrence of a large amount of traffic (packets, packets and traffic are all represented by the same concept). Even if it matches this attack traffic, it is difficult to determine it as attack traffic (intrusion traffic) immediately.
따라서, 동일한 패턴의 트래픽이 다량으로 유입되었을 때, 공격 트래픽으로판정함이 보다 높은 정확도 및 신뢰성을 제공하게 된다. 그러므로, 공격 트래픽과 일치하는 트래픽이 최초 유입되면, 초기 상태(110)에서 트래픽 양에 대한 카운트(count)가 증가되면서(count++) 진행 상태(111)로 전이되며, 공격 트래픽에 일치하는 트래픽이 계속적으로 유입되어 카운트가 소정의 임계치(count_threshold)에 도달하면, 최종 상태(112)로 전이되어 경보 메시지(alert message)가 발생한다. 경보 메시지 발생 후 초기 상태(110)로 상태가 재 전이된다(114).Therefore, when a large amount of traffic of the same pattern is introduced, judging as attack traffic provides higher accuracy and reliability. Therefore, when traffic matching the attack traffic is first introduced, the transition from the
그러나, 트래픽 양에만 의존한 상태 전이는 유입 트래픽이 소량일 경우에도 카운트의 장기화에 의한 잘못된 경보 발생 가능성이 있기 때문에, 이를 방지하기 위해 본 발명에서는 시간 임계치를 고려한 상태 전이 개념이 도입된다. 여기서, 시간 임계치란 최초 공격 트래픽이 유입된 시점부터 최종 상태까지 도달하는데 소요되는 최대 시간에 대한 예측 설정 임계치를 의미한다.However, since the state transition that depends only on the traffic amount may cause false alarms due to the prolongation of the count even when the incoming traffic is small, the state transition concept considering the time threshold is introduced in the present invention to prevent this. Here, the time threshold means a prediction setting threshold for the maximum time taken to reach the final state from the time when the initial attack traffic flows.
따라서, 시간 임계치를 미리 설정하고, 상태 전이 진행 중에 타이머에 의한 시간 임계치를 측정하여 시간 임계치(time_threshold)에 도달한 경우에는 시간 종료 신호(time_over)를 보내, 진행 상태(111)를 초기 상태(110)로 재 전이시킨다(113). 이와 같은 상태 전이 방식은 서비스 거부 공격 및 포트 스캔 공격과 같은 네트워크 상의 이상 유해 트래픽에 대한 감지의 정확도를 높일 수 있도록 한다.Therefore, if the time threshold is set in advance, and the time threshold by the timer is measured during the state transition process and the time threshold (time_threshold) is reached, the time-out signal time_over is sent, and the
도 2는 본 장치 발명의 바람직한 일실시예의 구성을 제시한 도면이다.2 is a view showing the configuration of a preferred embodiment of the present invention.
도 2를 참고하면, 본 명세서에서 개시하는 장치 발명의 일실시예는 크게 이상 유해 트래픽 감지 기능을 수행하기 위해서 네트워크 트래픽을 수집하여 파싱(parsing)하고 제어하는 유입 트래픽 제어부(20), 파싱된 정보를 바탕으로 휴리스틱 분석을 통해 수신 트래픽에 이상 유해 트래픽이 있는지를 판단하는 이상 유해 트래픽 감지부(22) 및 이상 유해 트래픽 감지부(22)가 이상 유해 트래픽의 유무를 판단하기 위한 레퍼런스(reference) 패턴을 이상 유해 트래픽 감지부(22)에 제공하는 레퍼런스 패턴 제공부(24)로 이루어진다.Referring to FIG. 2, an embodiment of the device disclosed in the present disclosure is an
유입 트래픽 제어부(20)는 3개의 외부 인터페이스 부(201,207, 208)와 5개의 제어부(202, 203, 204, 205, 206)로 구성된다. 3개의 외부 인터페이스 부는 외부로부터 트래픽을 유입하기 위한 트래픽 유입 인터페이스 부(201), 유입된 트래픽을 외부로 송신하는 트래픽 송신 인터페이스 부(207)와 도 1에 제시된 경보 메시지를 외부로 전달하는 경보 메시지 전달 인터페이스 부(208)로 이루어진다.The
5개의 제어부는 유입 트래픽에 대한 전송 프로토콜을 체크하는 전송 프로토콜 체크부(202), 유입 트래픽을 버퍼링(buffering)하는 유입 트래픽 버퍼(203), 외부로 송신하는 트래픽을 버퍼링하는 송신 트래픽 버퍼(205), 유입 트래픽의 정보와 레퍼런스 패턴 정보와의 비교를 위해 유입 트래픽의 각 필드 정보들을 파싱(parsing)하여 이상 유해 트래픽 감지부(22)로 전달하는 유입 트래픽 파싱부(204)와 이상 유해 트래픽 감지부(22)로부터의 경보 정보와 송신 트래픽 버퍼(205)의 트 래픽 정보를 조합하여 경보 메시지를 생성하는 경보 메시지 생성부(206)로 이루어진다.The five controllers include a
5개의 제어부와 3개의 외부 인터페이스 부를 통해, 실시간 트래픽 제어가 가능하며, 이상 유해 트래픽에 대한 실시간 대응(유해 트래픽에 대한 외부 송신 방지 등)을 가능하게 한다.Through five control units and three external interface units, real-time traffic control is possible, and real-time response to abnormal harmful traffic (preventing external transmission of harmful traffic, etc.) is possible.
이상 유해 트래픽 감지부(22)는 유입 트래픽 제어부(20)의 파싱부(204)로부터 파싱된 유입 트래픽 정보를 전달받아 침입 트래픽 유무의 판단을 위한 레퍼런스 패턴과 비교하는 패턴 비교부(221), 레퍼런스 패턴과 일치하는 트래픽의 IP 어드레스를 검색하는 CAM(Content Addressable Memory의 약자로 기억된 내용 일부를 이용하여 데이터에 직접 접근할 수 있는 메모리를 나타내며, 하드웨어 구현상에서 빠른 데이터 검색을 위해서 사용한다) IP 검색부(222), 유입 트래픽의 IP 어드레스의 정보를 관리하는 IP 어드레스 정보 관리부(223)와 IP 어드레스 정보 저장 테이블(224), 유입 트래픽에 포함된 이상 유해 트래픽이 포트 스캔 공격 패턴과 일치하는 트래픽인 경우에 기존 포트 값과 비교하는 포트 값 비교부(225)와 포트 값 저장 테이블(226), 레퍼런스 패턴과 일치하는 이상 유해 트래픽을 카운트하는 카운터(227)와 카운터 테이블(228), 시간 임계치를 체크하는 시간 임계치 체크부(229), 시간 임계치 저장 테이블(2210) 및 시간 임계치 내에 카운터 임계치를 넘은 트래픽에 대한 경로 정보를 생성하는 경보 정보 생성부(2211)로 이루어진다.The harmful
레퍼런스 패턴 제공부(24)는 이상 유해 트래픽 감지부(22)가 이상 유해 트래픽의 유무를 판단하기 위한 레퍼런스 패턴(침입 패턴)을 어플리케이션으로부터 입 력받아 이상 유해 트래픽 감지부(22)에 전달하는 기능을 수행하여, 침입 패턴들을 실시간으로(지속적으로) 추가하거나 삭제, 적용하는 등 갱신한다. 여기서 어플리케이션은 레퍼런스 패턴을 관리, 제어하기 위한 것으로, 하드웨어 로직에 적용되는 레퍼런스 패턴에 대한 추가, 수정, 삭제를 수행한다.The reference
도 3a는 도 2에 제시된 이상 유해 트래픽 감지부(22)에 의한 서비스 거부 공격 트래픽의 감지 기능의 구현 절차를 제시한 도면으로 본 방법발명의 바람직한 일실시예의 흐름을 제시한 도면이다.FIG. 3A is a diagram illustrating an implementation procedure of a function of detecting a denial of service attack traffic by the abnormal harmful
일반적으로, 서비스 거부 공격 및 분산 서비스 거부 공격은 소수의 목적 시스템들을 목표로 시도되는 공격 형태이므로, 이에 대한 침입 트래픽의 감지는 목적지 IP 어드레스(침입 트래픽이 유입된 곳의 IP 어드레스)를 기반으로 수행된다. 따라서, 개개의 IP 어드레스를 기준으로, 레퍼런스 패턴 제공부(24)에 의해 제공된 레퍼런스 패턴(침입 패턴)의 수만큼 카운터가 설정되고 관리되는 구조 하에서 침입 트래픽의 감지 및 분석을 수행한다.In general, denial of service attacks and distributed denial of service attacks are attacks aimed at a few target systems, so detection of intrusion traffic is performed based on the destination IP address (the IP address where the intrusion traffic came from). do. Therefore, the detection and analysis of intrusion traffic is performed under a structure in which counters are set and managed by the number of reference patterns (intrusion patterns) provided by the reference
패턴 비교부(221)는 유입 트래픽 제어부(20)의 유입 트래픽 파싱부(204)로부터 파싱된 유입 트래픽의 정보를 수신하여, 유입 트래픽의 패턴과 레퍼런스 패턴을 비교한다(S301). 비교 결과(S302), 유입 트래픽의 패턴이 레퍼런스 패턴과 일치하면 CAM IP 검색부(222)는 IP 어드레스 정보 저장 테이블(224)에 저장되어 있는 기존의 IP 어드레스를 검색한다(S303). 두 패턴이 일치하지 아니하면 패턴 비교부(221)는 다음으로 유입되는 트래픽의 패턴에 대하여 레퍼런스 패턴과 비교한다(S301).The
IP 어드레스 정보 관리부(223)는 CAM IP 검색부(222)에 의해 검색된 기존의 IP 어드레스와 유입 트래픽의 IP 어드레스를 비교하여(S304) 일치하지 않을 경우에는 유입 트래픽에 대한 새로운 IP 어드레스 정보(IP 엔트리 정보)를 생성하여(S305) IP 어드레스 정보 저장 테이블(224)에 신규 저장하고, 생성된 새로운 IP 어드레스와 연관된 모든 카운트 값을 초기화함과 동시에 S301 단계로 회귀한다.The IP address
이와 달리, 유입 트래픽의 IP 어드레스가 기존의 IP 어드레스와 일치한다면, IP 어드레스 정보 관리부(223)는 IP 어드레스 정보를 갱신하고(S306), 카운터(227)는 갱신된 IP 어드레스 정보와 연관된 레퍼런스 패턴의 카운트 값을 증가시킨다(S307). 카운터(227)는 증가된 카운트 값과 레퍼런스 패턴의 기 설정된 카운트 임계치를 비교하여(S308), 카운트 임계치에 도달하였다면 경로 정보 생성부(2211)에 유입 트래픽 대한 경보 정보 생성을 요구하고, 카운트 값을 초기화(S309)시키고 S301 단계로 회귀하여 새로운 유입 트래픽에 대한 처리를 한다. 경로 정보 생성부(2211)는 상기 요구를 받아 경로 정보를 생성한다(S310).On the contrary, if the IP address of the incoming traffic matches the existing IP address, the IP address
카운트 임계치에 도달하지 않았으면, 새로운 유입 트래픽에 대해 S301 단계부터 상기의 절차를 반복하게 된다. 이와 같은 절차를 통해서, 서비스 거부 공격 및 분산 서비스 거부 공격과 같은 이상 유해 트래픽을 실시간으로 감지하게 된다.If the count threshold is not reached, the above procedure is repeated from step S301 for new incoming traffic. Through this procedure, abnormal malicious traffic such as a denial of service attack and a distributed denial of service attack are detected in real time.
도 3b는 도 2에 제시된 이상 유해 트래픽 감지부(22)에 의한 포트 스캔 공격 트래픽 감지 기능의 구현 절차를 제시한 도면으로 본 방법발명의 바람직한 또 다른 일실시예의 흐름을 제시한 도면이다.FIG. 3B is a view showing an implementation procedure of the port scan attack traffic detection function by the abnormal malicious
일반적으로, 포트 스캔 공격도 서비스 거부 공격과 마찬가지로 소수의 목적 시스템들을 목표로 시도되는 공격 형태이므로 이에 대한 침입 트래픽의 감지 또한 목적지 IP 주소를 기반으로 수행된다. 따라서, 상기 도 3a에 제시된 감지 절차가 그대로 적용될 수 있으나, 포트 스캔 공격의 형태가 목적 시스템의 포트 정보를 얻기 위해서 포트 값을 변화시키면서 수행되는 형태를 갖기 때문에 이전 트래픽들에서 추출된 포트 값과의 비교를 통해서 레퍼런스 패턴의 카운트 값을 증가시키는 절차가 더 요구된다.In general, like a denial of service attack, a port scan attack is a form of attack that targets a few target systems. Therefore, detection of intrusion traffic is performed based on a destination IP address. Therefore, although the detection procedure shown in FIG. 3A can be applied as it is, since the form of the port scan attack is performed by changing the port value to obtain the port information of the target system, the detection procedure shown in FIG. Further comparison is required to increase the count value of the reference pattern.
즉, IP 어드레스 정보가 갱신(S306)된 후, 포트값 비교부(225)는 포트값 저장 테이블(226)에 있는 포트값과 유입 트래픽의 포트값을 비교하게 된다(S3061). 비교 결과(S3062) 유입 트래픽의 포트값이 포트값 저장 테이블(226)에 존재하는 포트값과 일치한다면, 카운트의 증가 없이 새로운 트래픽 정보를 수신하게 된다(S31). 일치하지 않으면, 포트 값 저장 테이블(226)은 새로운 포트 값이 포함되도록 갱신되고(S3063) 카운터(227)는 레퍼런스 패턴의 카운트 값을 증가시키게 된다(S307). 이외의 절차는 도 3a에서 기술한 내용과 동일하다. 이와 같은 절차를 통해 포트 스캔 공격과 같은 이상 트래픽을 실시간으로 감지하게 된다.That is, after the IP address information is updated (S306), the port
도 4는 이상 유해 트래픽 감지부(22)의 시간 임계치 체크부(229)에서 카운트 값 초기화 기능을 위한 절차를 제시한 도면이다.4 is a diagram illustrating a procedure for a count value initialization function in the
도 3a와 도 3b에 언급된 카운트 값 초기화는 시간 임계치 체크부(229)에 의해서도 이루어지는데, 시간 임계치 체크부(229)는, 위에서 언급한 바와 같이, 서비스 거부 공격 및 포트 스캔 공격과 같은 이상 유해 트래픽의 감지 시에 소량의 트래픽에 대한 장기간의 카운트에 의한 잘못된 경보 발생 가능성을 없애기 위해, 레 퍼런스 패턴의 카운터 테이블(228)을 소정의 시간 임계치에 따라 초기화하는 기능을 수행한다. 다시 말하면 유입 트래픽의 패턴이 레퍼런스 패턴과 일치하더라도 유입 트래픽이 소량인 경우에는 이를 카운트하는 데 장기간의 시간이 소요되므로 도 3a와 도 3b에 제시된 침입 트래픽 감지 절차는 소정의 시간내(시간 임계치내)에 이루어지게 한다는 것이다.The count value initialization referred to in FIGS. 3A and 3B is also performed by the
초기화 기능을 수행하기 위해서 시간 임계치 체크부(229)는 우선, 레퍼런스 패턴과 연결된 타이머의 시간 값을 초기화(S401)하고, 타이머 작동 후의 시간 값을 각 레퍼런스 패턴의 시간 임계치들과 비교한다(S402). 비교 결과, 시간 값이 특정 레퍼런스 패턴의 시간 임계치 값을 초과하면, 해당 레퍼런스 패턴의 카운트를 초기화(S403)함과 동시에 시간 값도 초기화한다(S401).In order to perform the initialization function, the
시간 값이 특정 레퍼런스 패턴의 시간 임계치 값에 도달하지 않았다면, 타이머의 시간 값 증가에 따른 시간 임계치 값과의 비교를 반복 수행한다. 이와 같은 초기화 절차는 도 3a와 도 3b에 제시된 절차에 공통적으로 적용됨으로써, 카운트 기반의 이상 유해 트래픽 감지 기능의 정확도를 높일 수 있다.If the time value does not reach the time threshold value of the specific reference pattern, the comparison with the time threshold value according to the increase of the time value of the timer is repeated. Such an initialization procedure is commonly applied to the procedures shown in FIGS. 3A and 3B, thereby increasing the accuracy of the count-based abnormal harmful traffic detection function.
도 5는 이상 유해 트래픽 감지부(22)의 IP 어드레스 관리부(223)에 의한 IP 어드레스 정보 관리를 효율적으로 수행하기 위한 기법을 설명하기 위해 제시한 도면으로 제한된 메모리 자원의 효율적인 사용을 통한 IP 어드레스 정보를 관리하기 위한 기법을 보여준다.FIG. 5 is a view for explaining a technique for efficiently managing IP address information by the IP
예를 들어, CAM IP 검색부(222)로부터 유입 트래픽의 IP 어드레스에 대한 검색 결과가 7비트인 CAM을 사용한다면, CAM 메모리는 128개의 IP 주소 정보만을 담 을 수 있다. 따라서, 이에 대한 IP 어드레스 정보 저장 테이블(224)의 구성이 128개로 되어야 하며, IP 어드레스 정보 저장 테이블(224)이 IP 어드레스로 모두 채워져 있는 경우에는 유입 트래픽의 IP 어드레스에 대한 유입(출현) 빈도 수와 유지 시간 관리를 통해서 새로운 IP 어드레스의 저장 위치를 지정할 수 있도록 한다.For example, if the search result for the IP address of the incoming traffic from the CAM
즉, 128개의 IP 어드레스 정보 저장 테이블(224)이 IP 어드레스로 모두 채워져 있고, 유입 트래픽의 IP 어드레스가 IP 어드레스 저장 테이블(224)에 존재하지 않는 새로운 IP 어드레스라면, 기존 저장된 IP 어드레스 중 하나를 선택하여 재배치할 필요가 있다.That is, if the 128 IP address information storage tables 224 are all filled with IP addresses, and the IP address of the incoming traffic is a new IP address that does not exist in the IP address storage table 224, one of the existing stored IP addresses is selected. Need to be relocated.
이를 위해, IP 어드레스 정보 저장 테이블(224)은, 도 5에 제시된 바와 같이, 유입 트래픽의 IP 어드레스에 대한 유입 빈도 수에 따라 빈도 수 1 링크(link_0)에서 빈도 수 4 링크(link_3)의 4개의 링크로 구성되며, IP 어드레스 정보 관리부(223)는 각 링크를 유입 트래픽의 IP 어드레스의 유입 빈도 수에 따라 재구성한다. 즉, 처음에는 link_0만 존재하나, link_0에 속한 IP 어드레스 정보의 빈도 수가 2가 된다면, 그 IP 어드레스 정보는 link_1으로 전이된다. 이와 같은 원리로 link_2, link_3까지 전이될 수 있으며, link_3에서는 빈도 수가 증가할 때마다 링크의 순서를 재배치하는 것으로 IP 어드레스를 관리하게 된다. 여기서 링크의 수는 예를 들기 위한 것이며, 트래픽 특성에 따라 조정되어질 수 있는 값이다.To this end, the IP address information storage table 224, as shown in Figure 5, the four of the
여기에서, 각 링크에서의 IP 어드레스 정보는 유입되는 순서에 따라 배치하여, 각 링크의 시작점에는 해당 링크에서 가장 오래전에 유입된 IP 어드레스 정보가 위치하게 하며 끝으로 갈수록 최근에 유입된 IP 어드레스 정보가 위치하게 한 다. 예를 들어, 유입 트래픽의 IP 어드레스 검색 결과, link_0에 위치한 IP_n(501) 어드레스 정보에 해당하는 어드레스가 CAM IP 검색부(222)에 의한 검색 결과 값으로 된다면, IP_n(501) 어드레스 정보는 빈도 수 증가에 따라서 link_1의 link up(503) 위치에 연결된다.Here, the IP address information of each link is arranged in the order of inflow, so that at the beginning of each link, the IP address information that has been introduced longest in the link is located, and the IP address information that has recently been introduced as the end is located. Position it. For example, if the IP address search result of the incoming traffic, if the address corresponding to the IP_n (501) address information located in link_0 is a search result value by the CAM
즉, 이와 같은 절차를 통해, 128개의 엔트리 정보가 모두 사용된다면, 그리고 새로운 IP 어드레스에 대한 주소가 요구된다면, 빈도 수가 가장 적고 가장 오래된 IP 어드레스 정보인 IP_0(500)의 주소가 반환되어, 해당 어드레스에 속하는 CAM 메모리를 유입 트래픽의 IP 어드레스가 포함되도록 갱신하게 되며, 갱신된 IP 어드레스에 대한 IP 어드레스 정보는 New tail(502)로써 해당 링크의 끝 부분에 위치하게 된다.That is, through this procedure, if all 128 entries are used, and if an address for a new IP address is required, the address of IP_0 (500), which is the least frequent and oldest IP address information, is returned, and the corresponding address is returned. The CAM memory belonging to is updated to include the IP address of the incoming traffic, and the IP address information of the updated IP address is located at the end of the link as the
그러나, 유입 빈도 수 증가에 의해서 상위 빈도 수 링크로 IP 어드레스 정보가 전이되는 경우에는 해당 IP 어드레스에 대한 트래픽의 유입이 더 이상 없을지라도 계속 존재하게 되므로, 각 링크의 시작 위치에 존재하는 IP 어드레스 정보를 유지 시간에 따라 갱신되어야 하는 IP 어드레스 정보로 지정해 줄 필요가 있다.However, when IP address information is transferred to a higher frequency link due to an increase in the inflow frequency, IP address information existing at the start of each link will continue to exist even though there is no inflow of traffic for the corresponding IP address. Needs to be specified as IP address information to be updated according to the retention time.
예를 들어, 도 5에 제시된 바와 같이, link_0(link_1, link_2, link_3)의 시작점에 존재하는 IP 엔트리 정보가 2초(10초, 50초, 100초) 동안 변화하지 않는다면, 새로운 IP 어드레스의 정보를 요구할 시에 이에 대한 IP 어드레스의 정보를 반환하고 새로운 링크 구성을 수행해야 한다. 이와 같은 유지 시간은 예를 들기 위한 것이며, 트래픽 특성에 따라 조정되어질 수 있는 값이다. 이와 같은 IP 어드레스 정보 관리를 통해서, 제한된 메모리 상에서의 IP 어드레스에 대한 관리가 가능해 진다.For example, as shown in FIG. 5, if the IP entry information existing at the beginning of link_0 (link_1, link_2, link_3) does not change for 2 seconds (10 seconds, 50 seconds, 100 seconds), the information of the new IP address. When a request is made, it is necessary to return information on the IP address for this and perform a new link configuration. This holding time is for example and is a value that can be adjusted according to traffic characteristics. Through such management of IP address information, it becomes possible to manage IP addresses on a limited memory.
도 6은 이상 유해 트래픽 감지부(22)에서 이상 유해 트래픽 감지 기능을 실시간으로 제공하기 위한 각 테이블의 구성 방식을 설명하기 위한 도면이다.FIG. 6 is a diagram illustrating a configuration method of each table for providing an abnormal harmful traffic detection function in real time by the abnormal harmful
도 6에 제시된 각 테이블(224, 226, 228)을 구성하는 메모리는 9 비트 크기의 어드레스로 검색되는 32 비트 데이터 테이블로, 32 비트 데이터에 대한 512개의 엔트리 저장이 가능하다. 우선, 패턴 비교부(221)는 서비스 거부 공격 패턴이나 포트 스캔 공격 패턴에 대해 레퍼런스 패턴과 비교한 각각의 16 비트의 패턴 비교 결과 값(16 bit detection result)과 해당 패턴을 갖는 유입 트래픽의 32 비트 IP 어드레스(32 bit IP value), 그리고 포트 스캔 공격 패턴인 경우에 유입 트래픽의 16 비트 포트 값(16 bit Port value)을 출력한다.The memory constituting each of the tables 224, 226, and 228 shown in FIG. 6 is a 32-bit data table searched with a 9-bit address, and 512 entries can be stored for 32-bit data. First, the
여기에서 16 비트의 결과 값들은 레퍼런스 패턴이 최대 16개임을 의미하며, 유입 트래픽과 일치되는 레퍼런스 패턴이 존재할 경우 그 레퍼런스 패턴에 해당하는 순서 비트를 1로 설정한 결과 값을 나타낸다. 가령, 유입 트래픽의 패턴이 첫 번째 레퍼런스 패턴과 일치한다면, 결과 값으로 0x0001의 값을 전달하게 된다. 따라서, 이는 존재하는 패턴들에 대한 다중 매칭을 지원할 수 있다.Here, the 16-bit result value means that the maximum number of reference patterns is 16. If there is a reference pattern that matches the incoming traffic, it indicates the result value of setting the order bit corresponding to the reference pattern to 1. For example, if the pattern of incoming traffic matches the first reference pattern, then the result value is 0x0001. Thus, it can support multiple matching for existing patterns.
이와 같은 결과를 바탕으로, CAM IP 검색부(222)는 CAM 메모리의 IP 어드레스를 유입 트래픽의 IP 어드레스와 비교하여, 7 비트의 검색 결과값(7 bit search result)을 출력한다. 도 5에 제시된 바와 같이 이는 128개의 IP 엔트리 저장 테이블(224)에 대한 주소 인덱스(index)를 의미한다. 여기에서, IP 엔트리 저장 테이블(224)은 9 비트 크기의 주소를 가져야 하나, 128개의 엔트리 관리를 위해서 8번째 와 9번째 비트는 0으로 채운 주소를 사용한다.Based on the result, the CAM
이를 바탕으로 IP 어드레스 정보 저장 테이블(224)이 갱신되며, 이와 연결된 포트 값 저장 테이블(226) 및 카운터 테이블(228)의 정보도 갱신된다. 여기에서 포트 값 저장 테이블(226)은 포트 스캔 공격 감지 시에만 사용되며, 해당 주소 값에 해당하는 메모리 위치에 이전 포트 값을 4 개정도 보관하면서 유입 트래픽의 포트 값과 비교하면서 포트 값을 갱신한다. 포트 값은 16 비트이므로, 2개의 메모리를 사용하여 한번에 4 개의 포트 값을 읽고 쓸 수 있는 구조를 갖는다.Based on this, the IP address information storage table 224 is updated, and the information of the port value storage table 226 and the counter table 228 connected thereto is also updated. Here, the port value storage table 226 is used only when detecting a port scan attack, and updates the port value while comparing the port value of the incoming traffic while also retaining the previous port value with 4 revisions in the memory location corresponding to the address value. . Since the port value is 16 bits, it has a structure that can read and write four port values at one time using two memories.
카운터 테이블(228)은 16개의 레퍼런스 패턴에 대한 카운터를 모두 관리해야 하므로, 16비트 카운트 값을 16개 생성한다. 이를 위해서, 2개의 메모리를 사용하며 메모리 주소의 8번째와 9번째 비트를 조절함으로써, 각 패턴에 대한 카운트 값을 관리하게 된다. 즉, 위의 비트 값이 00인 메모리 주소 값에는 첫 번째부터 네 번째까지의 패턴 카운트 값이 저장되며, 01인 메모리 주소 값에는 다섯 번째부터 여덟 번째까지의 패턴 카운트 값이 저장된다. 나머지 7비트의 주소 값은 CAM IP 검색부(222)의 결과를 사용한다. 이와 같은 구조를 통해서, 특정 IP 어드레스에 대한 패턴들의 카운트 값을 관리하게 된다.The counter table 228 needs to manage all counters for 16 reference patterns, and thus generates 16 16-bit count values. To do this, two memories are used, and the eighth and ninth bits of the memory address are adjusted to manage count values for each pattern. That is, the first to fourth pattern count values are stored in the memory address value having the above bit value 00, and the fifth to eighth pattern count values are stored in the memory address value 01. The remaining 7-bit address value uses the result of the CAM
CAM IP 검색부(222)의 검색 실행 결과, 존재하지 않는 IP 어드레스일 경우에는 IP 어드레스 정보 저장 테이블(224)로부터 반환되는 갱신된 IP 어드레스 정보에 따라 CAM 메모리, 포트 값 저장 테이블(226), 카운터 테이블(228) 등을 초기화하게 된다. 이와 같은 메모리 구성을 통해서, 네트워크 상의 이상 유해 트래픽의 감지를 수행하게 된다.As a result of the search performed by the CAM
이처럼 본 발명은 실제 네트워크 공격 트래픽을 받아서 그 트래픽 양을 측정하고 이에 대한 트래픽 양 임계치 및 시간 임계치에 따른 이상 유해 트래픽을 휴리스틱 분석 기반으로 감지하는 장치 및 방법을 제공하는 것이다.As such, the present invention provides an apparatus and method for receiving actual network attack traffic, measuring the amount of traffic, and detecting abnormal harmful traffic based on a heuristic analysis according to the traffic amount threshold and the time threshold.
본 방법발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다.The present invention can also be embodied as computer readable code on a computer readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored.
컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like, and may also be implemented in the form of a carrier wave (for example, transmission over the Internet). Include. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.
이제까지 본 발명에 대하여 그 바람직한 실시예를 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다.So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention.
그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 균등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.Therefore, the disclosed embodiments should be considered in descriptive sense only and not for purposes of limitation. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the equivalent scope will be construed as being included in the present invention.
상술한 바와 같이, 본 발명에서는 기가급의 고속 네트워크 환경에서의 이상 트래픽을 실시간으로 감지하고 대응하도록 하기 위해서, 휴리스틱 분석 기반으로 이상 유해 트래픽을 감지하는 방안을 제시한다. 즉, 트래픽 양과 시간 임계치에 기반한 휴리스틱 분석 기법을 적용함으로써, 서비스 거부 공격 및 포트 스캔 공격과 같은 네트워크 상의 이상 트래픽을 보다 효율적으로 정확하게 감지해 내는 기법을 제공한다.As described above, the present invention proposes a method for detecting abnormal harmful traffic based on heuristic analysis in order to detect and respond to abnormal traffic in a giga-class high-speed network environment in real time. In other words, by applying heuristic analysis technique based on traffic volume and time threshold, it provides more efficient and accurate detection of abnormal traffic on network such as denial of service attack and port scan attack.
따라서, 본 발명은 보다 빠르고 정확한 이상 트래픽 감지 기능을 수행하게 함으로써, 이상 트래픽에 대한 광역 망에서의 효율적인 대응이 가능케 하며, 이로 인한 네트워크 상의 피해를 최소화하는 것을 도와준다.Accordingly, the present invention enables faster and more accurate abnormal traffic detection function, thereby enabling efficient response in the wide area network to abnormal traffic, thereby minimizing damage on the network.
Claims (11)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020040105425 | 2004-12-14 | ||
KR20040105425 | 2004-12-14 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20060067077A true KR20060067077A (en) | 2006-06-19 |
KR100687736B1 KR100687736B1 (en) | 2007-02-27 |
Family
ID=37161698
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020050022197A KR100687736B1 (en) | 2004-12-14 | 2005-03-17 | Apparatus for recognizing abnormal and destructive traffic in network and Method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100687736B1 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101139537B1 (en) * | 2011-10-31 | 2012-05-02 | 한국인터넷진흥원 | Method for detecting scanning traffic in 3g wcdma networks |
KR101290042B1 (en) * | 2007-09-03 | 2013-07-30 | 주식회사 엘지씨엔에스 | Apparatus and method for detecting worm scan |
KR101380292B1 (en) * | 2011-04-08 | 2014-04-14 | 주식회사 케이티 | Method and System for Utility Saving Time-Division DDoS Detection using Link Switch |
KR102380259B1 (en) * | 2020-11-20 | 2022-03-30 | 주식회사 윈스 | Diameter attack detection method and apparatus for stealing user location information in mobile core network |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102651987B1 (en) * | 2021-10-08 | 2024-03-27 | 한국전자통신연구원 | Method and Apparatus for countering DDoS attacks in NDN Network |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20000072707A (en) * | 2000-09-20 | 2000-12-05 | 홍기융 | The Method of Intrusion Detection and Automatical Hacking Prevention |
KR100466214B1 (en) * | 2001-12-21 | 2005-01-14 | 한국전자통신연구원 | method and recorded media for security grade to measure the network security condition |
-
2005
- 2005-03-17 KR KR1020050022197A patent/KR100687736B1/en active IP Right Grant
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101290042B1 (en) * | 2007-09-03 | 2013-07-30 | 주식회사 엘지씨엔에스 | Apparatus and method for detecting worm scan |
KR101380292B1 (en) * | 2011-04-08 | 2014-04-14 | 주식회사 케이티 | Method and System for Utility Saving Time-Division DDoS Detection using Link Switch |
KR101139537B1 (en) * | 2011-10-31 | 2012-05-02 | 한국인터넷진흥원 | Method for detecting scanning traffic in 3g wcdma networks |
WO2013065943A1 (en) * | 2011-10-31 | 2013-05-10 | 한국인터넷진흥원 | Method of detecting scanning traffic of mobile communication network |
KR102380259B1 (en) * | 2020-11-20 | 2022-03-30 | 주식회사 윈스 | Diameter attack detection method and apparatus for stealing user location information in mobile core network |
Also Published As
Publication number | Publication date |
---|---|
KR100687736B1 (en) | 2007-02-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11509534B2 (en) | Collection of error packet information for network policy enforcement | |
US7320142B1 (en) | Method and system for configurable network intrusion detection | |
KR101038387B1 (en) | Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis | |
KR101010465B1 (en) | Network security elements using endpoint resources | |
US7703138B2 (en) | Use of application signature to identify trusted traffic | |
US8326881B2 (en) | Detection of network security breaches based on analysis of network record logs | |
KR100622670B1 (en) | Real-time network attack pattern detection system for unknown network attack and method thereof | |
Zhou et al. | Exploiting the vulnerability of flow table overflow in software-defined network: Attack model, evaluation, and defense | |
CN101123492B (en) | Method and device for detecting scanning attack | |
JP5050781B2 (en) | Malware detection device, monitoring device, malware detection program, and malware detection method | |
US20060198375A1 (en) | Method and apparatus for pattern matching based on packet reassembly | |
US20070245417A1 (en) | Malicious Attack Detection System and An Associated Method of Use | |
US20060126522A1 (en) | Detecting malicious codes | |
US8336098B2 (en) | Method and apparatus for classifying harmful packet | |
KR100687736B1 (en) | Apparatus for recognizing abnormal and destructive traffic in network and Method thereof | |
US20230283631A1 (en) | Detecting patterns in network traffic responses for mitigating ddos attacks | |
Joëlle et al. | Strategies for detecting and mitigating DDoS attacks in SDN: A survey | |
US20170257398A1 (en) | Ips switch system and processing method | |
KR100554172B1 (en) | Integrity management system enhancing security of network, integrity network system having the same and method thereof | |
US20060018262A1 (en) | Method, system and program for automatically detecting distributed port scans in computer networks | |
JP7172104B2 (en) | NETWORK MONITORING DEVICE, NETWORK MONITORING PROGRAM AND NETWORK MONITORING METHOD | |
KR101074198B1 (en) | Method and system for isolating the harmful traffic generating host from the network | |
TW202027460A (en) | Dynamic protection method for network node and network protection server | |
US7900255B1 (en) | Pattern matching system, method and computer program product | |
KR100656340B1 (en) | Apparatus for analyzing the information of abnormal traffic and Method thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20110131 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20111208 Year of fee payment: 20 |