KR20060067077A - Apparatus for recognizing abnormal and destructive traffic in network and method thereof - Google Patents

Apparatus for recognizing abnormal and destructive traffic in network and method thereof Download PDF

Info

Publication number
KR20060067077A
KR20060067077A KR1020050022197A KR20050022197A KR20060067077A KR 20060067077 A KR20060067077 A KR 20060067077A KR 1020050022197 A KR1020050022197 A KR 1020050022197A KR 20050022197 A KR20050022197 A KR 20050022197A KR 20060067077 A KR20060067077 A KR 20060067077A
Authority
KR
South Korea
Prior art keywords
traffic
address
information
reference pattern
abnormal
Prior art date
Application number
KR1020050022197A
Other languages
Korean (ko)
Other versions
KR100687736B1 (en
Inventor
김병구
오진태
김기영
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Publication of KR20060067077A publication Critical patent/KR20060067077A/en
Application granted granted Critical
Publication of KR100687736B1 publication Critical patent/KR100687736B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

본 발명은 기가(Giga)급의 고속 네트워크 환경에서 서비스 거부 공격 트래픽 또는 포트 스캔 공격 트래픽과 같은 이상 유해 트래픽을 실시간으로 감지하는데 이를 휴리스틱 분석 기법에 기반하여 이상 유해 트래픽을 감지하는 장치 및 그 방법에 관한 것이다.The present invention detects anomalous harmful traffic such as denial of service attack traffic or port scan attack traffic in real time in a giga-class high-speed network environment, and an apparatus and method for detecting anomalous traffic based on a heuristic analysis technique. It is about.

본 명세서에서 개시하는 이상 유해 트래픽 감지 장치는 파싱된 유입 트래픽의 양의 기 설정된 트래픽 양 임계치의 초과 여부와 시간 임계치의 초과 여부를 체크하여 상기 유입 트래픽에 이상 유해 트래픽이 있는지를 감지하는 이상 유해 트래픽 감지부; 및 상기 이상 유해 트래픽의 유무를 판단하기 위한 레퍼런스 패턴을 상기 이상 유해 트래픽 감지부에 제공하는 레퍼런스 패턴 제공부를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.The abnormal harmful traffic detection apparatus disclosed herein checks whether the amount of parsed incoming traffic exceeds a predetermined traffic amount threshold and whether a time threshold is exceeded to detect abnormal harmful traffic in the incoming traffic. Sensing unit; And a reference pattern providing unit which provides a reference pattern for determining the presence of the abnormal harmful traffic to the abnormal harmful traffic detecting unit to achieve the object and technical problem of the present invention.

Description

네트워크 상에서 이상 유해 트래픽 감지 장치 및 그 방법{Apparatus for recognizing abnormal and destructive traffic in network and Method thereof}Apparatus for recognizing abnormal and destructive traffic in network and method

도 1은 트래픽 양과 시간 임계치에 기반한 휴리스틱 분석 기법을 이용한 이상 유해 트래픽의 감지 방안의 개념을 제시하기 위한 도면이다.FIG. 1 is a diagram illustrating a concept of an abnormal harmful traffic detection method using a heuristic analysis technique based on a traffic amount and a time threshold.

도 2는 본 장치 발명의 바람직한 일실시예의 구성을 제시한 도면이다.2 is a view showing the configuration of a preferred embodiment of the present invention.

도 3a는 도 2에 제시된 이상 유해 트래픽 감지부에 의한 서비스 거부 공격 트래픽의 감지 기능의 구현 절차를 제시한 도면으로 본 방법발명의 바람직한 일실시예의 흐름을 제시한 도면이다.FIG. 3A is a diagram illustrating an implementation procedure of a detection function of a denial of service attack traffic by the abnormal malicious traffic detection unit shown in FIG. 2, and illustrates a preferred embodiment of the present invention.

도 3b는 도 2에 제시된 이상 유해 트래픽 감지부에 의한 포트 스캔 공격 트래픽 감지 기능의 구현 절차를 제시한 도면으로 본 방법발명의 바람직한 또 다른 일실시예의 흐름을 제시한 도면이다.FIG. 3B is a view showing an implementation procedure of a port scan attack traffic detection function by the abnormal malicious traffic detection unit shown in FIG. 2, and showing a flow of another preferred embodiment of the present invention.

도 4는 도 2에 제시된 이상 유해 트래픽 감지부의 시간 임계치 체크부에서 카운트 값 초기화를 위한 절차를 제시한 도면이다.4 is a diagram illustrating a procedure for initializing a count value in the time threshold checker of the abnormal harmful traffic detector of FIG. 2.

도 5는 도 2에 제시된 이상 유해 트래픽 감지부의 IP 엔트리 관리부에 의한 IP 엔트리 관리를 효율적으로 수행하기 위한 기법을 설명하기 위해 제시한 도면이다.FIG. 5 is a diagram for describing a technique for efficiently performing IP entry management by the IP entry manager of the abnormal traffic detection unit shown in FIG. 2.

도 6은 도 2에 제시된 이상 유해 트래픽 감지부에서 이상 유해 트래픽 감지 기능을 실시간으로 제공하기 위한 각 테이블의 구성 방식을 설명하기 위한 도면이다.FIG. 6 is a diagram illustrating a configuration method of each table for providing an abnormal harmful traffic detection function in real time in the abnormal harmful traffic detection unit shown in FIG. 2.

본 발명은 네트워크 상에서의 이상 유해 트래픽 감지 장치 및 그 방법에 관한 것으로, 보다 상세하게는 기가(Giga)급의 고속 네트워크 환경에서 서비스 거부 공격 트래픽 또는 및 포트 스캔 공격 트래픽과 같은 이상 유해 트래픽을 실시간으로 감지하는데 이를 휴리스틱 분석 기법에 기반하여 이상 유해 트래픽을 감지하는 장치 및 그 방법에 관한 것이다.The present invention relates to an apparatus and method for detecting abnormal harmful traffic on a network. More particularly, the present invention relates to an abnormal harmful traffic such as denial of service attack traffic or port scan attack traffic in a high-speed network environment of Giga-class. The present invention relates to an apparatus and method for detecting abnormal harmful traffic based on a heuristic analysis technique.

1990년대 말 서비스 거부 공격(Denial of Service : DoS)이 등장하면서 네트워크는 사이버 공격의 토대는 물론, 심지어 공격을 증식시키는 매개체가 되고 있는 게 현실이다. 그 결과 보안 공격 건수가 크게 증가했으며, 공격의 복잡성도 갈수록 심화되고 있다.With the advent of Denial of Service (DoS) in the late 1990s, the network has become the foundation of cyber attacks, and even the medium of proliferation. As a result, the number of security attacks has increased significantly, and the complexity of attacks is increasing.

서비스 거부 공격이라 함은 시스템의 정상적인 서비스를 방해할 목적으로 대량의 데이터를 보내 대상 네트워크나 시스템의 성능을 급격히 저하시켜 대상 시스템에서 제공하는 서비스들을 사용하지 못하게 하는 공격으로 해킹 수법중 가장 일반적인 방법이다. 인터넷 사용자가 많지 않았던 초기의 서비스 거부 공격은 단일 시스템이나 서비스를 목표로 하는 공격자에 대한 피해자의 1:1 유형이 주류를 이루고 있었다.A denial of service attack is the most common method of hacking, which sends a large amount of data for the purpose of interfering with the normal service of the system, thereby rapidly degrading the performance of the target network or system and preventing the use of the services provided by the target system. . Early denial-of-service attacks, where there were not many Internet users, were mainly dominated by 1: 1 types of victims of attackers targeting single systems or services.

그러나 최근에는 DDoS(Distributed Denial of Service) 공격이란 이름으로 N개의 불특정 시스템이 단일 네트워크를 대상으로 공격을 시도하는 N:1 유형이 주류를 이루고 있다. 이러한 공격은 포트 스캔과 같은 사전 작업을 통해서 불특정 다수의 시스템을 감염시켜 이루어지며, 감염된 시스템들로부터 동시에 공격을 시도함으로써 단일 시스템뿐만 아니라 전체 네트워크까지 마비시킬 수 있는 파괴력을 가지고 있다.Recently, however, the N: 1 type has become mainstream, with N unspecified systems attempting to attack a single network under the name of distributed denial of service (DDoS) attacks. Such attacks are carried out by infecting a large number of unspecified systems through proactive tasks such as port scans, and have the destructive power to paralyze not only a single system but the entire network by simultaneously attempting to attack from infected systems.

이와 같은 N:1 유형의 공격방법은 수작업으로는 많은 시간이 소요되기 때문에 자동화된 공격도구가 사용되는 경우가 많다. 따라서 공격도구의 특성을 제대로 파악하면 이에 대한 대응방법도 마련될 수 있기 때문에, 이에 대한 대응방안의 강구가 활발하게 진행되고 있다. 대응방안뿐만 아니라 더욱 중요한 것은 공격 징후의 발견이다. 이러한 공격은 대규모 네트워크를 이용하기 때문에 비정상적인 네트워크 흐름을 유발하므로, 공격 징후의 조기 탐지는 공격에 대한 빠른 대응을 가능하게 된다.This type of N: 1 attack method takes a lot of time by hand, so automated attack tools are often used. Therefore, if the characteristics of the attack tools are properly understood, countermeasures can be prepared. Therefore, measures for countermeasures are actively being made. More important as well as countermeasures are the detection of signs of attack. Since such an attack uses a large network, it causes abnormal network flow. Therefore, early detection of attack signs enables quick response to the attack.

이러한 추세와 함께, 네트워크를 통한 침입에 관심을 갖는 여러 시스템들이 개발되었으나, 기가비트 이더넷 환경과 같은 네트워크의 고속화 및 이를 바탕으로 한 대용량 데이터의 송수신은 기존의 저속 침입탐지 기법에 대한 변화를 요구하고 있다. 다시 말해서, 갈수록 고속화되고 대용량화하는 네트워크 환경과 보다 다양해지는 침입 시도에 적절히 대응하기 위해서는, 보다 빠른 시간 내에 많은 데이터를 분석할 수 있는 기법이 요구된다.Along with this trend, many systems have been developed that are interested in intrusion through the network, but the high speed of the network such as the Gigabit Ethernet environment and the transmission and reception of large data based on it require the change of the existing low speed intrusion detection technique. . In other words, in order to adequately cope with ever-increasing speed and capacity of network environments and more diverse intrusion attempts, a technique for analyzing a large amount of data in a shorter time is required.

즉, 이를 고려한 새로운 형태의 침입(공격) 탐지 시스템이 요구된다. 그러 나, 기존의 대다수 침입탐지 시스템들은 일반적으로 단일 시스템 환경이나 협소한 영역에 적합하게 설계되고 적용됨으로써, 대규모 네트워크로의 확장에 어려움을 가지게 되었다. 설령, 이를 확장할 수 있는 구조를 가졌다 하더라도 어플리케이션 영역에서의 탐지 수행은 성능상의 한계를 가지게 되었다.In other words, a new type of intrusion detection system is required. However, most existing intrusion detection systems are generally designed and applied to a single system environment or a small area, making it difficult to expand to a large network. Even if it had a structure that could be extended, the detection in the application area had a performance limitation.

기존의 침입 탐지 시스템이 지니고 있는 기술적 한계는 무엇보다도 패킷 분실율 및 침입 감지율과 같은 침입 탐지 시스템의 성능 문제라 할 수 있다. 성능은 꾸준히 여러 개발자들에 의해서 개선되고는 있으나, 이는 돈과 시간이 많이 소요되는 작업이다. 그럼에도 불구하고 성능 개선은 무엇보다도 중요한 해결 과제이다. 또한, 기가비트 이더넷 환경과 같은 네트워크 환경의 변화는 이에 대한 중요성을 더욱 증가시키고 있다.The technical limitation of the existing intrusion detection system is the performance problem of the intrusion detection system such as packet loss rate and intrusion detection rate. Performance has been steadily improved by many developers, but this is a costly and time-consuming task. Nevertheless, improving performance is a top priority. In addition, changes in network environments, such as the Gigabit Ethernet environment, are becoming increasingly important.

네트워크 침입 탐지 시스템에서 상기의 DoS나 포트 스캔 공격과 같은 이상 유해 트래픽을 탐지하기 위한 여러 방안들이 적용되고 있으나, 가장 정확하게 감지하는 방안은 네트워크로 입력되는 패킷과 기 알려진 침해 패턴들을 비교 검사하고 이에 대한 빈도를 검사하는 것이다.In the network intrusion detection system, various methods for detecting abnormal traffic such as DoS or port scan attack have been applied.However, the most accurate detection method compares and inspects packets entering the network and known intrusion patterns. To check the frequency.

기존의 침입 탐지 시스템들은 대부분 소프트웨어를 바탕으로 한 방법을 사용하고 있으나, 이러한 탐지 엔진들은 속도의 제한성이 존재한다. 즉, 침입 탐지 시스템이 갖는 성능의 제약성을 극복하지 못한다면 고속의 침해 탐지 기능의 제공은 거의 불가능하다. 따라서, 기 알려진 서비스 거부 공격이나 포트 스캔 공격 유형에 대한 실시간 탐색은 매우 중요하며, 이러한 침해 유형들을 실시간으로 점검할 수 있도록 하는 기법이 요구된다.Most intrusion detection systems use a software-based approach, but these detection engines are limited in speed. That is, it is almost impossible to provide a high-speed intrusion detection function without overcoming the performance limitations of the intrusion detection system. Therefore, real-time search for known denial-of-service attacks or port scan attack types is very important, and a technique is needed to check these types of attacks in real time.

본 발명은 상기와 같은 문제를 해결하고 상기와 같은 요구사항에 부응하기 위해 창안된 것으로, 본 발명의 목적 및 이루고자 하는 기술적 과제는 기가급의 네트워크 환경에서 이상 유해 트래픽을 감지하기 위해서, 휴리스틱 분석 기반으로 이상 유해 트래픽의 감지 및 분석 기능이 가능하도록 하는 이상 유해 트래픽 감지 장치 및 그 방법을 제공함에 있다.The present invention has been devised to solve the above problems and meet the above requirements, and an object of the present invention and the technical problem to be achieved are based on heuristic analysis to detect abnormal harmful traffic in a giga-class network environment. It is an object of the present invention to provide an abnormal harmful traffic detection apparatus and method for enabling the detection and analysis of abnormal harmful traffic.

상기와 같은 목적 및 기술적 과제를 달성하기 위하여 본 명세서에서 개시하는 이상 유해 트래픽 감지 장치는Abnormal harmful traffic detection device disclosed in the present specification to achieve the above object and technical problem is

파싱된 유입 트래픽의 양의 기 설정된 트래픽 양 임계치의 초과 여부와 시간 임계치의 초과 여부를 체크하여 상기 유입 트래픽에 이상 유해 트래픽이 있는지를 감지하는 이상 유해 트래픽 감지부; 및An abnormal harmful traffic detector configured to detect whether there is an abnormal harmful traffic by checking whether an amount of parsed inflow traffic exceeds a predetermined traffic amount threshold and a time threshold; And

상기 이상 유해 트래픽의 유무를 판단하기 위한 레퍼런스 패턴을 상기 이상 유해 트래픽 감지부에 제공하는 레퍼런스 패턴 제공부를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.In order to achieve the object and technical problem of the present invention, a reference pattern providing unit is provided to provide the reference pattern for determining the presence of the abnormal harmful traffic.

상기와 같은 목적 및 기술적 과제를 달성하기 위하여 본 명세서에서 개시하는 이상 유해 트래픽 감지 방법은Abnormal harmful traffic detection method disclosed in the present specification in order to achieve the above object and technical problem is

(a)파싱된 유입 트래픽의 패턴과 상기 레퍼런스 패턴을 비교하여 상기 유입 트래픽에 이상 유해 트래픽이 있는지를 판단하는 단계;(a) comparing the reference pattern with the parsed incoming traffic and determining whether there is abnormal harmful traffic in the incoming traffic;

(b)상기 두 패턴이 일치한다고 판단하는 경우, 상기 유입 트래픽의 IP 어드 레스에 해당하는 기 설정된 IP 어드레스를 검색하는 단계;(b) searching for a predetermined IP address corresponding to an IP address of the incoming traffic when determining that the two patterns match each other;

(c)상기 해당되는 IP 어드레스가 검색된 경우, 상기 유입 트래픽의 패턴과 일치하는 레퍼런스 패턴의 카운트 값을 증가시켜 상기 증가된 카운트 값이 상기 레퍼런스 패턴의 카운트 임계치에 도달하였는지를 체크하는 단계;(c) when the corresponding IP address is found, checking whether the increased count value reaches the count threshold of the reference pattern by increasing a count value of a reference pattern that matches the pattern of the incoming traffic;

(d)상기 시간 임계치를 체크하는 단계; 및(d) checking the time threshold; And

(e)상기 카운트 임계치와 상기 시간 임계치를 초과하는 경우, 상기 유입 트래픽에 대한 경로 정보를 생성하는 단계를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.(e) when exceeding the count threshold and the time threshold, to achieve the object and technical problem of the present invention, including generating the path information for the incoming traffic.

상기와 같은 목적 및 기술적 과제를 달성하기 위하여 본 명세서에서 개시하는 이상 유해 트래픽 감지의 또 다른 방법은Another method of detecting abnormal harmful traffic disclosed herein to achieve the above object and technical problem is

(a)파싱된 유입 트래픽의 패턴과 상기 레퍼런스 패턴을 비교하여 상기 유입 트래픽에 이상 유해 트래픽이 있는지를 판단하는 단계;(a) comparing the reference pattern with the parsed incoming traffic and determining whether there is abnormal harmful traffic in the incoming traffic;

(b)상기 두 패턴이 일치하는 경우, 상기 유입 트래픽의 IP 어드레스에 해당하는 기 설정된 IP 어드레스를 검색하는 단계;(b) searching for a preset IP address corresponding to the IP address of the incoming traffic when the two patterns match;

(c)상기 해당되는 IP 어드레스가 검색된 경우, 기 설정된 포트 값과 상기 유입 트래픽의 포트 값을 비교하는 단계;(c) comparing the port value of the incoming traffic with a preset port value when the corresponding IP address is found;

(d)상기 두 포트 값이 일치하지 아니하는 경우, 상기 유입 트래픽의 패턴과 일치하는 레퍼런스 패턴의 카운트 값을 증가시켜 상기 증가된 카운트 값이 상기 레퍼런스 패턴의 카운트 임계치에 도달하였는지를 체크하는 단계;(d) if the two port values do not match, checking whether the increased count value reaches the count threshold of the reference pattern by increasing the count value of the reference pattern that matches the pattern of the incoming traffic;

(e)상기 시간 임계치를 체크하는 단계; 및(e) checking the time threshold; And

(f)상기 카운트 임계치와 상기 시간 임계치를 넘은 경우, 상기 유입 트래픽에 대한 경로 정보를 생성하는 단계를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.(f) if the count threshold and the time threshold is exceeded, generating the path information for the incoming traffic to achieve the object and technical problem of the present invention.

본 발명에 관한 이해 및 설명의 편의를 위해 본 발명이 제공하는 기술적 사상의 핵심을 우선 제시하면, 본 발명이 제공하는 기술적 사상의 핵심은 유입되는 트래픽에 대하여 트래픽 양과 시간 임계치에 기반한 휴리스틱(heuristic) 분석 기반으로 이상 유해 트래픽을 포함하고 있는지에 대한 분석을 수행하는 것이다.For the convenience of understanding and explanation of the present invention, the core of the technical idea provided by the present invention is first presented, and the core of the technical idea provided by the present invention is a heuristic based on a traffic amount and a time threshold for incoming traffic. Based on the analysis, an analysis is performed to determine whether abnormal traffic is included.

유입 트래픽에 대한 고속의 분석 기능을 수행할 수 있게 하여, 네트워크 상의 서비스 거부 공격 및 포트 스캔 공격과 같은 이상 유해 트래픽(이하 공격 트래픽 또는 침입 트래픽도 이와 동일 개념으로 사용되었음을 미리 밝힌다)을 정확하고 빠르게 감지하도록 하는 것이다.Enables high-speed analysis of incoming traffic, enabling accurate and fast detection of anomalous traffic such as denial of service attacks and port scan attacks on the network (the attack traffic or intrusion traffic is also used in the same concept). To make sense.

이하, 본 발명의 기술적 사상을 명확화하기 위해, 본 발명의 실시예에 근거하여 그 구성 및 동작을 첨부 도면을 참조하여 상세히 설명하되 도면의 구성요소들에 참조번호를 부여함에 있어서 동일 구성요소에 대해서는 비록 다른 도면상에 있더라도 동일 참조번호를 부여하였으며 당해 도면에 대한 설명시 필요한 경우 다른 도면의 구성요소를 인용할 수 있음을 미리 밝혀둔다.Hereinafter, in order to clarify the technical spirit of the present invention, the configuration and operation thereof will be described in detail with reference to the accompanying drawings based on the embodiments of the present invention. Although the same reference numerals have been given even in different drawings, it will be appreciated that components of other drawings may be cited when necessary in describing the drawings.

도 1은 트래픽 양과 시간 임계치에 기반한 휴리스틱 분석 기법을 이용한 이상 유해 트래픽의 감지 방안의 개념을 제시하기 위한 도면이다.FIG. 1 is a diagram illustrating a concept of an abnormal harmful traffic detection method using a heuristic analysis technique based on a traffic amount and a time threshold.

패킷 양에 의한 이상 유해 트래픽 감지의 상태 전이도 및 타이머를 이용한 시간 임계치를 제시한 도면이 제시되어 있다. 일반적으로 서비스 거부 공격이나 포 트 스캔 공격과 같은 네트워크 상의 이상 유해 트래픽은 다량의 트래픽(패킷, 이하 패킷과 트래픽은 동일 개념임을 전제로 모두 트래픽으로 표현한다) 발생을 특징으로 하기 때문에, 하나의 트래픽이 공격 트래픽과 일치하더라도 이를 바로 공격 트래픽(침입 트래픽)으로 판정하기는 어렵다.A diagram showing a state transition diagram of abnormal harmful traffic detection by a packet amount and a time threshold using a timer are shown. In general, anomalous traffic on a network, such as a denial of service attack or a port scan attack, is characterized by the occurrence of a large amount of traffic (packets, packets and traffic are all represented by the same concept). Even if it matches this attack traffic, it is difficult to determine it as attack traffic (intrusion traffic) immediately.

따라서, 동일한 패턴의 트래픽이 다량으로 유입되었을 때, 공격 트래픽으로판정함이 보다 높은 정확도 및 신뢰성을 제공하게 된다. 그러므로, 공격 트래픽과 일치하는 트래픽이 최초 유입되면, 초기 상태(110)에서 트래픽 양에 대한 카운트(count)가 증가되면서(count++) 진행 상태(111)로 전이되며, 공격 트래픽에 일치하는 트래픽이 계속적으로 유입되어 카운트가 소정의 임계치(count_threshold)에 도달하면, 최종 상태(112)로 전이되어 경보 메시지(alert message)가 발생한다. 경보 메시지 발생 후 초기 상태(110)로 상태가 재 전이된다(114).Therefore, when a large amount of traffic of the same pattern is introduced, judging as attack traffic provides higher accuracy and reliability. Therefore, when traffic matching the attack traffic is first introduced, the transition from the initial state 110 to the progress state 111 increases as the count for the amount of traffic is increased (count ++), and the traffic matching the attack traffic continues to flow. When the count reaches a predetermined threshold (count_threshold), the transition to the final state 112 to generate an alert message. After the alert message is generated, the state transitions back to the initial state 110 (114).

그러나, 트래픽 양에만 의존한 상태 전이는 유입 트래픽이 소량일 경우에도 카운트의 장기화에 의한 잘못된 경보 발생 가능성이 있기 때문에, 이를 방지하기 위해 본 발명에서는 시간 임계치를 고려한 상태 전이 개념이 도입된다. 여기서, 시간 임계치란 최초 공격 트래픽이 유입된 시점부터 최종 상태까지 도달하는데 소요되는 최대 시간에 대한 예측 설정 임계치를 의미한다.However, since the state transition that depends only on the traffic amount may cause false alarms due to the prolongation of the count even when the incoming traffic is small, the state transition concept considering the time threshold is introduced in the present invention to prevent this. Here, the time threshold means a prediction setting threshold for the maximum time taken to reach the final state from the time when the initial attack traffic flows.

따라서, 시간 임계치를 미리 설정하고, 상태 전이 진행 중에 타이머에 의한 시간 임계치를 측정하여 시간 임계치(time_threshold)에 도달한 경우에는 시간 종료 신호(time_over)를 보내, 진행 상태(111)를 초기 상태(110)로 재 전이시킨다(113). 이와 같은 상태 전이 방식은 서비스 거부 공격 및 포트 스캔 공격과 같은 네트워크 상의 이상 유해 트래픽에 대한 감지의 정확도를 높일 수 있도록 한다.Therefore, if the time threshold is set in advance, and the time threshold by the timer is measured during the state transition process and the time threshold (time_threshold) is reached, the time-out signal time_over is sent, and the progress state 111 is transmitted to the initial state 110. (113). This state transition method can increase the accuracy of detection of abnormal traffic on the network such as denial of service attacks and port scan attacks.

도 2는 본 장치 발명의 바람직한 일실시예의 구성을 제시한 도면이다.2 is a view showing the configuration of a preferred embodiment of the present invention.

도 2를 참고하면, 본 명세서에서 개시하는 장치 발명의 일실시예는 크게 이상 유해 트래픽 감지 기능을 수행하기 위해서 네트워크 트래픽을 수집하여 파싱(parsing)하고 제어하는 유입 트래픽 제어부(20), 파싱된 정보를 바탕으로 휴리스틱 분석을 통해 수신 트래픽에 이상 유해 트래픽이 있는지를 판단하는 이상 유해 트래픽 감지부(22) 및 이상 유해 트래픽 감지부(22)가 이상 유해 트래픽의 유무를 판단하기 위한 레퍼런스(reference) 패턴을 이상 유해 트래픽 감지부(22)에 제공하는 레퍼런스 패턴 제공부(24)로 이루어진다.Referring to FIG. 2, an embodiment of the device disclosed in the present disclosure is an inflow traffic controller 20 for parsing and controlling network traffic in order to perform an abnormally harmful traffic detection function, and parsed information. Based on the heuristic analysis, the abnormal harmful traffic detection unit 22 and the abnormal harmful traffic detection unit 22 that determine whether there is abnormal harmful traffic in the reference pattern (reference) for determining the presence of abnormal harmful traffic It consists of a reference pattern providing unit 24 for providing to the abnormal harmful traffic detection unit 22.

유입 트래픽 제어부(20)는 3개의 외부 인터페이스 부(201,207, 208)와 5개의 제어부(202, 203, 204, 205, 206)로 구성된다. 3개의 외부 인터페이스 부는 외부로부터 트래픽을 유입하기 위한 트래픽 유입 인터페이스 부(201), 유입된 트래픽을 외부로 송신하는 트래픽 송신 인터페이스 부(207)와 도 1에 제시된 경보 메시지를 외부로 전달하는 경보 메시지 전달 인터페이스 부(208)로 이루어진다.The inflow traffic controller 20 is composed of three external interface units 201, 207, and 208 and five controllers 202, 203, 204, 205, and 206. The three external interface units include a traffic inflow interface unit 201 for introducing traffic from the outside, a traffic transmission interface unit 207 for transmitting the incoming traffic to the outside, and an alarm message transmitting the alert message shown in FIG. 1 to the outside. It consists of an interface unit 208.

5개의 제어부는 유입 트래픽에 대한 전송 프로토콜을 체크하는 전송 프로토콜 체크부(202), 유입 트래픽을 버퍼링(buffering)하는 유입 트래픽 버퍼(203), 외부로 송신하는 트래픽을 버퍼링하는 송신 트래픽 버퍼(205), 유입 트래픽의 정보와 레퍼런스 패턴 정보와의 비교를 위해 유입 트래픽의 각 필드 정보들을 파싱(parsing)하여 이상 유해 트래픽 감지부(22)로 전달하는 유입 트래픽 파싱부(204)와 이상 유해 트래픽 감지부(22)로부터의 경보 정보와 송신 트래픽 버퍼(205)의 트 래픽 정보를 조합하여 경보 메시지를 생성하는 경보 메시지 생성부(206)로 이루어진다.The five controllers include a transport protocol checker 202 for checking a transport protocol for incoming traffic, an inflow traffic buffer 203 for buffering inflow traffic, and a transmission traffic buffer 205 for buffering outgoing traffic. In order to compare the information of the incoming traffic and the reference pattern information, the incoming traffic parsing unit 204 and the abnormal harmful traffic detector parsing each field information of the incoming traffic to the abnormal harmful traffic detector 22. And an alert message generation unit 206 for generating an alert message by combining the alert information from 22 and the traffic information of the transmission traffic buffer 205.

5개의 제어부와 3개의 외부 인터페이스 부를 통해, 실시간 트래픽 제어가 가능하며, 이상 유해 트래픽에 대한 실시간 대응(유해 트래픽에 대한 외부 송신 방지 등)을 가능하게 한다.Through five control units and three external interface units, real-time traffic control is possible, and real-time response to abnormal harmful traffic (preventing external transmission of harmful traffic, etc.) is possible.

이상 유해 트래픽 감지부(22)는 유입 트래픽 제어부(20)의 파싱부(204)로부터 파싱된 유입 트래픽 정보를 전달받아 침입 트래픽 유무의 판단을 위한 레퍼런스 패턴과 비교하는 패턴 비교부(221), 레퍼런스 패턴과 일치하는 트래픽의 IP 어드레스를 검색하는 CAM(Content Addressable Memory의 약자로 기억된 내용 일부를 이용하여 데이터에 직접 접근할 수 있는 메모리를 나타내며, 하드웨어 구현상에서 빠른 데이터 검색을 위해서 사용한다) IP 검색부(222), 유입 트래픽의 IP 어드레스의 정보를 관리하는 IP 어드레스 정보 관리부(223)와 IP 어드레스 정보 저장 테이블(224), 유입 트래픽에 포함된 이상 유해 트래픽이 포트 스캔 공격 패턴과 일치하는 트래픽인 경우에 기존 포트 값과 비교하는 포트 값 비교부(225)와 포트 값 저장 테이블(226), 레퍼런스 패턴과 일치하는 이상 유해 트래픽을 카운트하는 카운터(227)와 카운터 테이블(228), 시간 임계치를 체크하는 시간 임계치 체크부(229), 시간 임계치 저장 테이블(2210) 및 시간 임계치 내에 카운터 임계치를 넘은 트래픽에 대한 경로 정보를 생성하는 경보 정보 생성부(2211)로 이루어진다.The harmful traffic detection unit 22 receives the incoming traffic information parsed from the parsing unit 204 of the inflow traffic control unit 20 and compares the pattern comparison unit 221 with a reference pattern for determining the presence of intrusion traffic. CAM (abbreviation of Content Addressable Memory, which retrieves the IP address of the traffic that matches the pattern. It represents the memory that can directly access the data by using some of the stored contents. It is used for quick data retrieval in hardware implementation.) The 222, the IP address information management unit 223 and IP address information storage table 224, which manages the information of the IP address of the incoming traffic, the abnormal harmful traffic included in the incoming traffic is traffic that matches the port scan attack pattern. In this case, the port value comparison unit 225 and the port value storage table 226 that compare the existing port values with the abnormal pattern match with the reference pattern. The counter 227 and the counter table 228 for counting the traffic, the time threshold checker 229 for checking the time threshold, the time threshold storage table 2210, and path information on the traffic exceeding the counter threshold in the time threshold are provided. The alert information generating unit 2211 is generated.

레퍼런스 패턴 제공부(24)는 이상 유해 트래픽 감지부(22)가 이상 유해 트래픽의 유무를 판단하기 위한 레퍼런스 패턴(침입 패턴)을 어플리케이션으로부터 입 력받아 이상 유해 트래픽 감지부(22)에 전달하는 기능을 수행하여, 침입 패턴들을 실시간으로(지속적으로) 추가하거나 삭제, 적용하는 등 갱신한다. 여기서 어플리케이션은 레퍼런스 패턴을 관리, 제어하기 위한 것으로, 하드웨어 로직에 적용되는 레퍼런스 패턴에 대한 추가, 수정, 삭제를 수행한다.The reference pattern providing unit 24 receives a reference pattern (intrusion pattern) for determining whether there is abnormal harmful traffic from the application and transmits the abnormal harmful traffic detecting unit 22 to the abnormal harmful traffic detecting unit 22. Update, add, delete, or apply intrusion patterns in real time (continuously). Here, the application manages and controls the reference pattern, and adds, modifies, and deletes the reference pattern applied to the hardware logic.

도 3a는 도 2에 제시된 이상 유해 트래픽 감지부(22)에 의한 서비스 거부 공격 트래픽의 감지 기능의 구현 절차를 제시한 도면으로 본 방법발명의 바람직한 일실시예의 흐름을 제시한 도면이다.FIG. 3A is a diagram illustrating an implementation procedure of a function of detecting a denial of service attack traffic by the abnormal harmful traffic detection unit 22 shown in FIG. 2, and illustrates a preferred embodiment of the present invention.

일반적으로, 서비스 거부 공격 및 분산 서비스 거부 공격은 소수의 목적 시스템들을 목표로 시도되는 공격 형태이므로, 이에 대한 침입 트래픽의 감지는 목적지 IP 어드레스(침입 트래픽이 유입된 곳의 IP 어드레스)를 기반으로 수행된다. 따라서, 개개의 IP 어드레스를 기준으로, 레퍼런스 패턴 제공부(24)에 의해 제공된 레퍼런스 패턴(침입 패턴)의 수만큼 카운터가 설정되고 관리되는 구조 하에서 침입 트래픽의 감지 및 분석을 수행한다.In general, denial of service attacks and distributed denial of service attacks are attacks aimed at a few target systems, so detection of intrusion traffic is performed based on the destination IP address (the IP address where the intrusion traffic came from). do. Therefore, the detection and analysis of intrusion traffic is performed under a structure in which counters are set and managed by the number of reference patterns (intrusion patterns) provided by the reference pattern providing unit 24 based on individual IP addresses.

패턴 비교부(221)는 유입 트래픽 제어부(20)의 유입 트래픽 파싱부(204)로부터 파싱된 유입 트래픽의 정보를 수신하여, 유입 트래픽의 패턴과 레퍼런스 패턴을 비교한다(S301). 비교 결과(S302), 유입 트래픽의 패턴이 레퍼런스 패턴과 일치하면 CAM IP 검색부(222)는 IP 어드레스 정보 저장 테이블(224)에 저장되어 있는 기존의 IP 어드레스를 검색한다(S303). 두 패턴이 일치하지 아니하면 패턴 비교부(221)는 다음으로 유입되는 트래픽의 패턴에 대하여 레퍼런스 패턴과 비교한다(S301).The pattern comparison unit 221 receives the information of the inflow traffic parsed from the inflow traffic parser 204 of the inflow traffic control unit 20, and compares the inflow traffic pattern with the reference pattern (S301). As a result of the comparison (S302), if the pattern of the incoming traffic matches the reference pattern, the CAM IP retrieval unit 222 retrieves the existing IP address stored in the IP address information storage table 224 (S303). If the two patterns do not match, the pattern comparison unit 221 compares the next incoming traffic pattern with the reference pattern (S301).

IP 어드레스 정보 관리부(223)는 CAM IP 검색부(222)에 의해 검색된 기존의 IP 어드레스와 유입 트래픽의 IP 어드레스를 비교하여(S304) 일치하지 않을 경우에는 유입 트래픽에 대한 새로운 IP 어드레스 정보(IP 엔트리 정보)를 생성하여(S305) IP 어드레스 정보 저장 테이블(224)에 신규 저장하고, 생성된 새로운 IP 어드레스와 연관된 모든 카운트 값을 초기화함과 동시에 S301 단계로 회귀한다.The IP address information management unit 223 compares the existing IP address retrieved by the CAM IP search unit 222 with the IP address of the incoming traffic (S304). If the IP address information management unit 223 does not match, new IP address information (IP entry) for the incoming traffic is not matched. Information) is newly generated in the IP address information storage table 224, and all count values associated with the generated new IP address are initialized and the process returns to step S301.

이와 달리, 유입 트래픽의 IP 어드레스가 기존의 IP 어드레스와 일치한다면, IP 어드레스 정보 관리부(223)는 IP 어드레스 정보를 갱신하고(S306), 카운터(227)는 갱신된 IP 어드레스 정보와 연관된 레퍼런스 패턴의 카운트 값을 증가시킨다(S307). 카운터(227)는 증가된 카운트 값과 레퍼런스 패턴의 기 설정된 카운트 임계치를 비교하여(S308), 카운트 임계치에 도달하였다면 경로 정보 생성부(2211)에 유입 트래픽 대한 경보 정보 생성을 요구하고, 카운트 값을 초기화(S309)시키고 S301 단계로 회귀하여 새로운 유입 트래픽에 대한 처리를 한다. 경로 정보 생성부(2211)는 상기 요구를 받아 경로 정보를 생성한다(S310).On the contrary, if the IP address of the incoming traffic matches the existing IP address, the IP address information management unit 223 updates the IP address information (S306), and the counter 227 determines the reference pattern associated with the updated IP address information. The count value is increased (S307). The counter 227 compares the incremented count value with a preset count threshold value of the reference pattern (S308). If the count threshold is reached, the counter 227 requests the path information generator 2211 to generate alarm information for incoming traffic, and counts the count value. Initialize (S309) and return to step S301 to process the new incoming traffic. The route information generation unit 2211 generates the route information in response to the request (S310).

카운트 임계치에 도달하지 않았으면, 새로운 유입 트래픽에 대해 S301 단계부터 상기의 절차를 반복하게 된다. 이와 같은 절차를 통해서, 서비스 거부 공격 및 분산 서비스 거부 공격과 같은 이상 유해 트래픽을 실시간으로 감지하게 된다.If the count threshold is not reached, the above procedure is repeated from step S301 for new incoming traffic. Through this procedure, abnormal malicious traffic such as a denial of service attack and a distributed denial of service attack are detected in real time.

도 3b는 도 2에 제시된 이상 유해 트래픽 감지부(22)에 의한 포트 스캔 공격 트래픽 감지 기능의 구현 절차를 제시한 도면으로 본 방법발명의 바람직한 또 다른 일실시예의 흐름을 제시한 도면이다.FIG. 3B is a view showing an implementation procedure of the port scan attack traffic detection function by the abnormal malicious traffic detection unit 22 shown in FIG. 2, and showing the flow of another preferred embodiment of the present invention.

일반적으로, 포트 스캔 공격도 서비스 거부 공격과 마찬가지로 소수의 목적 시스템들을 목표로 시도되는 공격 형태이므로 이에 대한 침입 트래픽의 감지 또한 목적지 IP 주소를 기반으로 수행된다. 따라서, 상기 도 3a에 제시된 감지 절차가 그대로 적용될 수 있으나, 포트 스캔 공격의 형태가 목적 시스템의 포트 정보를 얻기 위해서 포트 값을 변화시키면서 수행되는 형태를 갖기 때문에 이전 트래픽들에서 추출된 포트 값과의 비교를 통해서 레퍼런스 패턴의 카운트 값을 증가시키는 절차가 더 요구된다.In general, like a denial of service attack, a port scan attack is a form of attack that targets a few target systems. Therefore, detection of intrusion traffic is performed based on a destination IP address. Therefore, although the detection procedure shown in FIG. 3A can be applied as it is, since the form of the port scan attack is performed by changing the port value to obtain the port information of the target system, the detection procedure shown in FIG. Further comparison is required to increase the count value of the reference pattern.

즉, IP 어드레스 정보가 갱신(S306)된 후, 포트값 비교부(225)는 포트값 저장 테이블(226)에 있는 포트값과 유입 트래픽의 포트값을 비교하게 된다(S3061). 비교 결과(S3062) 유입 트래픽의 포트값이 포트값 저장 테이블(226)에 존재하는 포트값과 일치한다면, 카운트의 증가 없이 새로운 트래픽 정보를 수신하게 된다(S31). 일치하지 않으면, 포트 값 저장 테이블(226)은 새로운 포트 값이 포함되도록 갱신되고(S3063) 카운터(227)는 레퍼런스 패턴의 카운트 값을 증가시키게 된다(S307). 이외의 절차는 도 3a에서 기술한 내용과 동일하다. 이와 같은 절차를 통해 포트 스캔 공격과 같은 이상 트래픽을 실시간으로 감지하게 된다.That is, after the IP address information is updated (S306), the port value comparison unit 225 compares the port value in the port value storage table 226 with the port value of the incoming traffic (S3061). As a result of comparison (S3062), if the port value of the incoming traffic matches the port value existing in the port value storage table 226, new traffic information is received without increasing the count (S31). If it does not match, the port value storage table 226 is updated to include the new port value (S3063), and the counter 227 increments the count value of the reference pattern (S307). Other procedures are the same as described in FIG. 3A. This procedure detects abnormal traffic such as port scan attacks in real time.

도 4는 이상 유해 트래픽 감지부(22)의 시간 임계치 체크부(229)에서 카운트 값 초기화 기능을 위한 절차를 제시한 도면이다.4 is a diagram illustrating a procedure for a count value initialization function in the time threshold checker 229 of the abnormal harmful traffic detector 22.

도 3a와 도 3b에 언급된 카운트 값 초기화는 시간 임계치 체크부(229)에 의해서도 이루어지는데, 시간 임계치 체크부(229)는, 위에서 언급한 바와 같이, 서비스 거부 공격 및 포트 스캔 공격과 같은 이상 유해 트래픽의 감지 시에 소량의 트래픽에 대한 장기간의 카운트에 의한 잘못된 경보 발생 가능성을 없애기 위해, 레 퍼런스 패턴의 카운터 테이블(228)을 소정의 시간 임계치에 따라 초기화하는 기능을 수행한다. 다시 말하면 유입 트래픽의 패턴이 레퍼런스 패턴과 일치하더라도 유입 트래픽이 소량인 경우에는 이를 카운트하는 데 장기간의 시간이 소요되므로 도 3a와 도 3b에 제시된 침입 트래픽 감지 절차는 소정의 시간내(시간 임계치내)에 이루어지게 한다는 것이다.The count value initialization referred to in FIGS. 3A and 3B is also performed by the time threshold checker 229, which, as mentioned above, is anomalous harmful such as a denial of service attack and a port scan attack. In order to eliminate the possibility of false alarms caused by long-term counts for a small amount of traffic upon detection of traffic, the counter table 228 of the reference pattern is initialized according to a predetermined time threshold. In other words, even if the incoming traffic pattern matches the reference pattern, if the incoming traffic is small, it takes a long time to count it. Therefore, the intrusion traffic detection procedure shown in FIGS. 3A and 3B is within a predetermined time (within time threshold). To be done.

초기화 기능을 수행하기 위해서 시간 임계치 체크부(229)는 우선, 레퍼런스 패턴과 연결된 타이머의 시간 값을 초기화(S401)하고, 타이머 작동 후의 시간 값을 각 레퍼런스 패턴의 시간 임계치들과 비교한다(S402). 비교 결과, 시간 값이 특정 레퍼런스 패턴의 시간 임계치 값을 초과하면, 해당 레퍼런스 패턴의 카운트를 초기화(S403)함과 동시에 시간 값도 초기화한다(S401).In order to perform the initialization function, the time threshold checker 229 first initializes a time value of a timer connected to a reference pattern (S401), and compares the time value after the timer operation with time thresholds of each reference pattern (S402). . As a result of the comparison, when the time value exceeds the time threshold value of the specific reference pattern, the count of the reference pattern is initialized (S403) and the time value is also initialized (S401).

시간 값이 특정 레퍼런스 패턴의 시간 임계치 값에 도달하지 않았다면, 타이머의 시간 값 증가에 따른 시간 임계치 값과의 비교를 반복 수행한다. 이와 같은 초기화 절차는 도 3a와 도 3b에 제시된 절차에 공통적으로 적용됨으로써, 카운트 기반의 이상 유해 트래픽 감지 기능의 정확도를 높일 수 있다.If the time value does not reach the time threshold value of the specific reference pattern, the comparison with the time threshold value according to the increase of the time value of the timer is repeated. Such an initialization procedure is commonly applied to the procedures shown in FIGS. 3A and 3B, thereby increasing the accuracy of the count-based abnormal harmful traffic detection function.

도 5는 이상 유해 트래픽 감지부(22)의 IP 어드레스 관리부(223)에 의한 IP 어드레스 정보 관리를 효율적으로 수행하기 위한 기법을 설명하기 위해 제시한 도면으로 제한된 메모리 자원의 효율적인 사용을 통한 IP 어드레스 정보를 관리하기 위한 기법을 보여준다.FIG. 5 is a view for explaining a technique for efficiently managing IP address information by the IP address management unit 223 of the abnormal harmful traffic detection unit 22. IP address information through efficient use of limited memory resources. Demonstrate techniques for managing

예를 들어, CAM IP 검색부(222)로부터 유입 트래픽의 IP 어드레스에 대한 검색 결과가 7비트인 CAM을 사용한다면, CAM 메모리는 128개의 IP 주소 정보만을 담 을 수 있다. 따라서, 이에 대한 IP 어드레스 정보 저장 테이블(224)의 구성이 128개로 되어야 하며, IP 어드레스 정보 저장 테이블(224)이 IP 어드레스로 모두 채워져 있는 경우에는 유입 트래픽의 IP 어드레스에 대한 유입(출현) 빈도 수와 유지 시간 관리를 통해서 새로운 IP 어드레스의 저장 위치를 지정할 수 있도록 한다.For example, if the search result for the IP address of the incoming traffic from the CAM IP search unit 222 uses a 7-bit CAM, the CAM memory may contain only 128 IP address information. Therefore, the configuration of the IP address information storage table 224 for this should be 128. If the IP address information storage table 224 is completely filled with IP addresses, the number of inflows (emergences) for the IP addresses of the incoming traffic will be given. And maintenance time management allow you to specify the storage location for the new IP address.

즉, 128개의 IP 어드레스 정보 저장 테이블(224)이 IP 어드레스로 모두 채워져 있고, 유입 트래픽의 IP 어드레스가 IP 어드레스 저장 테이블(224)에 존재하지 않는 새로운 IP 어드레스라면, 기존 저장된 IP 어드레스 중 하나를 선택하여 재배치할 필요가 있다.That is, if the 128 IP address information storage tables 224 are all filled with IP addresses, and the IP address of the incoming traffic is a new IP address that does not exist in the IP address storage table 224, one of the existing stored IP addresses is selected. Need to be relocated.

이를 위해, IP 어드레스 정보 저장 테이블(224)은, 도 5에 제시된 바와 같이, 유입 트래픽의 IP 어드레스에 대한 유입 빈도 수에 따라 빈도 수 1 링크(link_0)에서 빈도 수 4 링크(link_3)의 4개의 링크로 구성되며, IP 어드레스 정보 관리부(223)는 각 링크를 유입 트래픽의 IP 어드레스의 유입 빈도 수에 따라 재구성한다. 즉, 처음에는 link_0만 존재하나, link_0에 속한 IP 어드레스 정보의 빈도 수가 2가 된다면, 그 IP 어드레스 정보는 link_1으로 전이된다. 이와 같은 원리로 link_2, link_3까지 전이될 수 있으며, link_3에서는 빈도 수가 증가할 때마다 링크의 순서를 재배치하는 것으로 IP 어드레스를 관리하게 된다. 여기서 링크의 수는 예를 들기 위한 것이며, 트래픽 특성에 따라 조정되어질 수 있는 값이다.To this end, the IP address information storage table 224, as shown in Figure 5, the four of the frequency 4 link (link_3) in the frequency 1 link (link_0) according to the inflow frequency for the IP address of the incoming traffic. Comprising a link, the IP address information management unit 223 reconfigures each link according to the inflow frequency of the IP address of the inflow traffic. That is, only link_0 exists initially, but if the frequency of the IP address information belonging to link_0 becomes 2, the IP address information is transferred to link_1. In this way, the link_2 and link_3 can be transferred. In link_3, the IP address is managed by rearranging the link order whenever the frequency increases. Here, the number of links is for example, and may be adjusted according to traffic characteristics.

여기에서, 각 링크에서의 IP 어드레스 정보는 유입되는 순서에 따라 배치하여, 각 링크의 시작점에는 해당 링크에서 가장 오래전에 유입된 IP 어드레스 정보가 위치하게 하며 끝으로 갈수록 최근에 유입된 IP 어드레스 정보가 위치하게 한 다. 예를 들어, 유입 트래픽의 IP 어드레스 검색 결과, link_0에 위치한 IP_n(501) 어드레스 정보에 해당하는 어드레스가 CAM IP 검색부(222)에 의한 검색 결과 값으로 된다면, IP_n(501) 어드레스 정보는 빈도 수 증가에 따라서 link_1의 link up(503) 위치에 연결된다.Here, the IP address information of each link is arranged in the order of inflow, so that at the beginning of each link, the IP address information that has been introduced longest in the link is located, and the IP address information that has recently been introduced as the end is located. Position it. For example, if the IP address search result of the incoming traffic, if the address corresponding to the IP_n (501) address information located in link_0 is a search result value by the CAM IP search unit 222, IP_n (501) address information is the frequency According to the increase, it is connected to the link up 503 position of link_1.

즉, 이와 같은 절차를 통해, 128개의 엔트리 정보가 모두 사용된다면, 그리고 새로운 IP 어드레스에 대한 주소가 요구된다면, 빈도 수가 가장 적고 가장 오래된 IP 어드레스 정보인 IP_0(500)의 주소가 반환되어, 해당 어드레스에 속하는 CAM 메모리를 유입 트래픽의 IP 어드레스가 포함되도록 갱신하게 되며, 갱신된 IP 어드레스에 대한 IP 어드레스 정보는 New tail(502)로써 해당 링크의 끝 부분에 위치하게 된다.That is, through this procedure, if all 128 entries are used, and if an address for a new IP address is required, the address of IP_0 (500), which is the least frequent and oldest IP address information, is returned, and the corresponding address is returned. The CAM memory belonging to is updated to include the IP address of the incoming traffic, and the IP address information of the updated IP address is located at the end of the link as the new tail 502.

그러나, 유입 빈도 수 증가에 의해서 상위 빈도 수 링크로 IP 어드레스 정보가 전이되는 경우에는 해당 IP 어드레스에 대한 트래픽의 유입이 더 이상 없을지라도 계속 존재하게 되므로, 각 링크의 시작 위치에 존재하는 IP 어드레스 정보를 유지 시간에 따라 갱신되어야 하는 IP 어드레스 정보로 지정해 줄 필요가 있다.However, when IP address information is transferred to a higher frequency link due to an increase in the inflow frequency, IP address information existing at the start of each link will continue to exist even though there is no inflow of traffic for the corresponding IP address. Needs to be specified as IP address information to be updated according to the retention time.

예를 들어, 도 5에 제시된 바와 같이, link_0(link_1, link_2, link_3)의 시작점에 존재하는 IP 엔트리 정보가 2초(10초, 50초, 100초) 동안 변화하지 않는다면, 새로운 IP 어드레스의 정보를 요구할 시에 이에 대한 IP 어드레스의 정보를 반환하고 새로운 링크 구성을 수행해야 한다. 이와 같은 유지 시간은 예를 들기 위한 것이며, 트래픽 특성에 따라 조정되어질 수 있는 값이다. 이와 같은 IP 어드레스 정보 관리를 통해서, 제한된 메모리 상에서의 IP 어드레스에 대한 관리가 가능해 진다.For example, as shown in FIG. 5, if the IP entry information existing at the beginning of link_0 (link_1, link_2, link_3) does not change for 2 seconds (10 seconds, 50 seconds, 100 seconds), the information of the new IP address. When a request is made, it is necessary to return information on the IP address for this and perform a new link configuration. This holding time is for example and is a value that can be adjusted according to traffic characteristics. Through such management of IP address information, it becomes possible to manage IP addresses on a limited memory.

도 6은 이상 유해 트래픽 감지부(22)에서 이상 유해 트래픽 감지 기능을 실시간으로 제공하기 위한 각 테이블의 구성 방식을 설명하기 위한 도면이다.FIG. 6 is a diagram illustrating a configuration method of each table for providing an abnormal harmful traffic detection function in real time by the abnormal harmful traffic detecting unit 22.

도 6에 제시된 각 테이블(224, 226, 228)을 구성하는 메모리는 9 비트 크기의 어드레스로 검색되는 32 비트 데이터 테이블로, 32 비트 데이터에 대한 512개의 엔트리 저장이 가능하다. 우선, 패턴 비교부(221)는 서비스 거부 공격 패턴이나 포트 스캔 공격 패턴에 대해 레퍼런스 패턴과 비교한 각각의 16 비트의 패턴 비교 결과 값(16 bit detection result)과 해당 패턴을 갖는 유입 트래픽의 32 비트 IP 어드레스(32 bit IP value), 그리고 포트 스캔 공격 패턴인 경우에 유입 트래픽의 16 비트 포트 값(16 bit Port value)을 출력한다.The memory constituting each of the tables 224, 226, and 228 shown in FIG. 6 is a 32-bit data table searched with a 9-bit address, and 512 entries can be stored for 32-bit data. First, the pattern comparison unit 221 is a 16-bit pattern comparison result of each 16 bit compared to the reference pattern for the denial of service attack or the port scan attack pattern and 32 bits of the incoming traffic having the corresponding pattern. A 32 bit IP value and a 16 bit port value of incoming traffic in the case of a port scan attack pattern are output.

여기에서 16 비트의 결과 값들은 레퍼런스 패턴이 최대 16개임을 의미하며, 유입 트래픽과 일치되는 레퍼런스 패턴이 존재할 경우 그 레퍼런스 패턴에 해당하는 순서 비트를 1로 설정한 결과 값을 나타낸다. 가령, 유입 트래픽의 패턴이 첫 번째 레퍼런스 패턴과 일치한다면, 결과 값으로 0x0001의 값을 전달하게 된다. 따라서, 이는 존재하는 패턴들에 대한 다중 매칭을 지원할 수 있다.Here, the 16-bit result value means that the maximum number of reference patterns is 16. If there is a reference pattern that matches the incoming traffic, it indicates the result value of setting the order bit corresponding to the reference pattern to 1. For example, if the pattern of incoming traffic matches the first reference pattern, then the result value is 0x0001. Thus, it can support multiple matching for existing patterns.

이와 같은 결과를 바탕으로, CAM IP 검색부(222)는 CAM 메모리의 IP 어드레스를 유입 트래픽의 IP 어드레스와 비교하여, 7 비트의 검색 결과값(7 bit search result)을 출력한다. 도 5에 제시된 바와 같이 이는 128개의 IP 엔트리 저장 테이블(224)에 대한 주소 인덱스(index)를 의미한다. 여기에서, IP 엔트리 저장 테이블(224)은 9 비트 크기의 주소를 가져야 하나, 128개의 엔트리 관리를 위해서 8번째 와 9번째 비트는 0으로 채운 주소를 사용한다.Based on the result, the CAM IP search unit 222 compares the IP address of the CAM memory with the IP address of the incoming traffic, and outputs a 7-bit search result. As shown in FIG. 5, this means an address index for 128 IP entry storage tables 224. Here, the IP entry storage table 224 should have a 9-bit address, but uses the addresses filled with zeros for the eighth and ninth bits for managing 128 entries.

이를 바탕으로 IP 어드레스 정보 저장 테이블(224)이 갱신되며, 이와 연결된 포트 값 저장 테이블(226) 및 카운터 테이블(228)의 정보도 갱신된다. 여기에서 포트 값 저장 테이블(226)은 포트 스캔 공격 감지 시에만 사용되며, 해당 주소 값에 해당하는 메모리 위치에 이전 포트 값을 4 개정도 보관하면서 유입 트래픽의 포트 값과 비교하면서 포트 값을 갱신한다. 포트 값은 16 비트이므로, 2개의 메모리를 사용하여 한번에 4 개의 포트 값을 읽고 쓸 수 있는 구조를 갖는다.Based on this, the IP address information storage table 224 is updated, and the information of the port value storage table 226 and the counter table 228 connected thereto is also updated. Here, the port value storage table 226 is used only when detecting a port scan attack, and updates the port value while comparing the port value of the incoming traffic while also retaining the previous port value with 4 revisions in the memory location corresponding to the address value. . Since the port value is 16 bits, it has a structure that can read and write four port values at one time using two memories.

카운터 테이블(228)은 16개의 레퍼런스 패턴에 대한 카운터를 모두 관리해야 하므로, 16비트 카운트 값을 16개 생성한다. 이를 위해서, 2개의 메모리를 사용하며 메모리 주소의 8번째와 9번째 비트를 조절함으로써, 각 패턴에 대한 카운트 값을 관리하게 된다. 즉, 위의 비트 값이 00인 메모리 주소 값에는 첫 번째부터 네 번째까지의 패턴 카운트 값이 저장되며, 01인 메모리 주소 값에는 다섯 번째부터 여덟 번째까지의 패턴 카운트 값이 저장된다. 나머지 7비트의 주소 값은 CAM IP 검색부(222)의 결과를 사용한다. 이와 같은 구조를 통해서, 특정 IP 어드레스에 대한 패턴들의 카운트 값을 관리하게 된다.The counter table 228 needs to manage all counters for 16 reference patterns, and thus generates 16 16-bit count values. To do this, two memories are used, and the eighth and ninth bits of the memory address are adjusted to manage count values for each pattern. That is, the first to fourth pattern count values are stored in the memory address value having the above bit value 00, and the fifth to eighth pattern count values are stored in the memory address value 01. The remaining 7-bit address value uses the result of the CAM IP search unit 222. Through this structure, the count value of patterns for a specific IP address is managed.

CAM IP 검색부(222)의 검색 실행 결과, 존재하지 않는 IP 어드레스일 경우에는 IP 어드레스 정보 저장 테이블(224)로부터 반환되는 갱신된 IP 어드레스 정보에 따라 CAM 메모리, 포트 값 저장 테이블(226), 카운터 테이블(228) 등을 초기화하게 된다. 이와 같은 메모리 구성을 통해서, 네트워크 상의 이상 유해 트래픽의 감지를 수행하게 된다.As a result of the search performed by the CAM IP search unit 222, in the case of a non-existent IP address, the CAM memory, the port value storage table 226, and the counter according to the updated IP address information returned from the IP address information storage table 224. The table 228 and the like are initialized. Through such a memory configuration, abnormal harmful traffic on the network is detected.

이처럼 본 발명은 실제 네트워크 공격 트래픽을 받아서 그 트래픽 양을 측정하고 이에 대한 트래픽 양 임계치 및 시간 임계치에 따른 이상 유해 트래픽을 휴리스틱 분석 기반으로 감지하는 장치 및 방법을 제공하는 것이다.As such, the present invention provides an apparatus and method for receiving actual network attack traffic, measuring the amount of traffic, and detecting abnormal harmful traffic based on a heuristic analysis according to the traffic amount threshold and the time threshold.

본 방법발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다.The present invention can also be embodied as computer readable code on a computer readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored.

컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like, and may also be implemented in the form of a carrier wave (for example, transmission over the Internet). Include. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

이제까지 본 발명에 대하여 그 바람직한 실시예를 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다.So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention.

그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 균등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.Therefore, the disclosed embodiments should be considered in descriptive sense only and not for purposes of limitation. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the equivalent scope will be construed as being included in the present invention.

상술한 바와 같이, 본 발명에서는 기가급의 고속 네트워크 환경에서의 이상 트래픽을 실시간으로 감지하고 대응하도록 하기 위해서, 휴리스틱 분석 기반으로 이상 유해 트래픽을 감지하는 방안을 제시한다. 즉, 트래픽 양과 시간 임계치에 기반한 휴리스틱 분석 기법을 적용함으로써, 서비스 거부 공격 및 포트 스캔 공격과 같은 네트워크 상의 이상 트래픽을 보다 효율적으로 정확하게 감지해 내는 기법을 제공한다.As described above, the present invention proposes a method for detecting abnormal harmful traffic based on heuristic analysis in order to detect and respond to abnormal traffic in a giga-class high-speed network environment in real time. In other words, by applying heuristic analysis technique based on traffic volume and time threshold, it provides more efficient and accurate detection of abnormal traffic on network such as denial of service attack and port scan attack.

따라서, 본 발명은 보다 빠르고 정확한 이상 트래픽 감지 기능을 수행하게 함으로써, 이상 트래픽에 대한 광역 망에서의 효율적인 대응이 가능케 하며, 이로 인한 네트워크 상의 피해를 최소화하는 것을 도와준다.Accordingly, the present invention enables faster and more accurate abnormal traffic detection function, thereby enabling efficient response in the wide area network to abnormal traffic, thereby minimizing damage on the network.

Claims (11)

파싱된 유입 트래픽의 양의 기 설정된 트래픽 양 임계치의 초과 여부와 시간 임계치의 초과 여부를 체크하여 상기 유입 트래픽에 이상 유해 트래픽이 있는지를 감지하는 이상 유해 트래픽 감지부; 및An abnormal harmful traffic detector configured to detect whether there is an abnormal harmful traffic by checking whether an amount of parsed inflow traffic exceeds a predetermined traffic amount threshold and a time threshold; And 상기 이상 유해 트래픽의 유무를 판단하기 위한 레퍼런스 패턴을 상기 이상 유해 트래픽 감지부에 제공하는 레퍼런스 패턴 제공부를 포함하는 것을 특징으로 하는 네트워크 상에서의 이상 유해 트래픽 감지 장치.And a reference pattern providing unit for providing a reference pattern for determining the presence or absence of the abnormal harmful traffic to the abnormal harmful traffic detecting unit. 제 1 항에 있어서, 상기 이상 유해 트래픽 감지부는According to claim 1, wherein the abnormal harmful traffic detection unit 상기 파싱된 유입 트래픽의 정보를 전달받아 상기 유입 트래픽의 패턴과 상기 레퍼런스 패턴을 비교하여 상기 유입 트래픽에 상기 거부 공격 트래픽이 있는지를 판단하는 패턴 비교부;A pattern comparison unit which receives the parsed inflow traffic information and compares the inflow traffic pattern with the reference pattern to determine whether the inflow traffic has the rejected attack traffic; 상기 두 패턴이 일치하는 경우, 상기 유입 트래픽의 IP 어드레스에 해당하는 상기 감지부에 기 설정된 IP 어드레스를 검색하는 CAM IP 검색부;A CAM IP searching unit searching for an IP address preset in the sensing unit corresponding to the IP address of the incoming traffic when the two patterns match; 상기 해당되는 IP 어드레스가 검색된 경우, 상기 유입 트래픽의 패턴과 일치하는 레퍼런스 패턴의 카운트 값을 증가시켜 상기 증가된 카운트 값이 상기 레퍼런스 패턴의 카운트 임계치에 도달하였는지를 체크하는 카운터;A counter for checking whether the increased count value reaches the count threshold of the reference pattern by increasing a count value of a reference pattern that matches the pattern of the incoming traffic when the corresponding IP address is found; 상기 시간 임계치를 체크하는 시간 임계치 체크부; 및A time threshold checker checking the time threshold; And 상기 카운트 임계치와 상기 시간 임계치를 넘은 경우, 상기 유입 트래픽에 대한 경로 정보를 생성하는 경보 정보 생성부를 포함하여, 서비스 거부 공격 트래픽 또는 분산 서비스 거부 공격 트래픽을 감지하는 것을 특징으로 하는 네트워크 상에서의 이상 유해 트래픽 감지 장치.When the count threshold and the time threshold is exceeded, an abnormal harmful on the network, characterized in that for detecting a denial of service attack traffic or distributed denial of service attack traffic, including an alert information generation unit for generating the path information for the incoming traffic Traffic detection device. 제 1 항에 있어서, 상기 이상 유해 트래픽 감지부는According to claim 1, wherein the abnormal harmful traffic detection unit 상기 파싱된 유입 트래픽의 정보를 전달받아 상기 유입 트래픽의 패턴과 상기 레퍼런스 패턴을 비교하여 상기 유입 트래픽에 상기 거부 공격 트래픽이 있는지를 판단하는 패턴 비교부;A pattern comparison unit which receives the parsed inflow traffic information and compares the inflow traffic pattern with the reference pattern to determine whether the inflow traffic has the rejected attack traffic; 상기 두 패턴이 일치하는 경우, 상기 유입 트래픽의 IP 어드레스에 해당하는 상기 감지부에 기 설정된 IP 어드레스를 검색하는 CAM IP 검색부;A CAM IP searching unit searching for an IP address preset in the sensing unit corresponding to the IP address of the incoming traffic when the two patterns match; 상기 해당되는 IP 어드레스가 검색된 경우, 기 설정된 포트 값과 상기 유입 트래픽의 포트 값을 비교하는 포트값 비교부;A port value comparison unit comparing the port value of the incoming traffic with a preset port value when the corresponding IP address is found; 상기 두 포트 값이 일치하지 아니하는 경우, 상기 유입 트래픽의 패턴과 일치하는 레퍼런스 패턴의 카운트 값을 증가시켜 상기 증가된 카운트 값이 상기 레퍼런스 패턴의 카운트 임계치에 도달하였는지를 체크하는 카운터;A counter for checking whether the increased count value reaches the count threshold of the reference pattern by increasing a count value of a reference pattern that matches the pattern of the incoming traffic when the two port values do not match; 상기 시간 임계치를 체크하는 시간 임계치 체크부; 및A time threshold checker checking the time threshold; And 상기 카운트 임계치와 상기 시간 임계치를 넘은 경우, 상기 유입 트래픽에 대한 경로 정보를 생성하는 경보 정보 생성부를 포함하여, 포트 스캔 공격 트래픽을 감지하는 것을 특징으로 하는 네트워크 상에서의 이상 유해 트래픽 감지 장치.And an alarm information generator for generating path information on the incoming traffic when the count threshold and the time threshold are exceeded, and detect an abnormal harmful traffic on the network. 제 2 항에 있어서,The method of claim 2, 상기 검색 결과, 상기 유입 트래픽의 IP 어드레스와 상기 기 설정된 IP 어드레스가 일치하지 않는다고 경우에는 새로운 IP 어드레스의 정보를 생성하며, 일치하는 경우에는 상기 기 설정된 IP 어드레스의 정보를 갱신하는 IP 어드레스 관리부; 및An IP address management unit for generating information of a new IP address if the IP address of the incoming traffic and the preset IP address do not match, and updating the information of the preset IP address if they match; And 상기 IP 어드레스의 정보를 저장하는 IP 어드레스 정보 저장 테이블을 더 포함하고, 상기 IP 어드레스 관리부가 상기 유입 트래픽의 IP 어드레스의 정보에 대한 유입 빈도 수 와 상기 기 설정된 IP 어드레스의 정보의 유지 시간 관리를 통해 신규 유입되는 IP 어드레스의 상기 저장 테이블에서의 저장 위치를 지정할 수 있도록 하는 것을 특징으로 하는 네트워크 상에서의 이상 유해 트래픽 감지 장치.And an IP address information storage table for storing information of the IP address, wherein the IP address management unit manages the inflow frequency for the information of the IP address of the incoming traffic and the maintenance time of the information of the preset IP address. An apparatus for detecting abnormal harmful traffic on a network, wherein the storage location of the newly introduced IP address can be designated in the storage table. 제 4 항에 있어서, 상기 IP 어드레스 저장 테이블은 상기 유입 빈도 수에 따른 링크로 구현되고, 상기 유입 트래픽의 IP 어드레스의 정보는 자신의 유입 빈도 수가 증가하는 경우 자신이 속해있는 빈도 수 링크보다 상위 빈도 수 링크로 전이되며, 상기 유지 시간은 상기 각 링크마다 지정되는 것을 특징으로 하는 네트워크 상에서의 이상 유해 트래픽 감지 장치.The method of claim 4, wherein the IP address storage table is implemented as a link according to the inflow frequency, and the information of the IP address of the inflow traffic is higher than the frequency link to which it belongs when its inflow frequency increases. The abnormal harmful traffic detection apparatus on the network, characterized in that the transition to a few links, the retention time is specified for each link. 제 5 항에 있어서, 상기 각 링크에 있는 IP 어드레스의 정보 중 가장 오래된 정보는 자신과 일치하는 정보가 상기 유지 시간내에 유입되지 아니하면 삭제되는 것을 특징으로 하는 네트워크 상에서의 이상 유해 트래픽 감지 장치.The abnormal harmful traffic detection apparatus of claim 5, wherein the oldest information of the IP address information of each link is deleted if the information corresponding to the IP address does not flow within the holding time. 제 3 항에 있어서,The method of claim 3, wherein 상기 검색 결과, 상기 유입 트래픽의 IP 어드레스와 상기 기 설정된 IP 어드레스가 일치하지 않는다고 경우에는 새로운 IP 어드레스의 정보를 생성하며, 일치하는 경우에는 상기 기 설정된 IP 어드레스의 정보를 갱신하는 IP 어드레스 관리부; 및An IP address management unit for generating information of a new IP address if the IP address of the incoming traffic and the preset IP address do not match, and updating the information of the preset IP address if they match; And 상기 IP 어드레스의 정보를 저장하는 IP 어드레스 정보 저장 테이블을 더 포함하고, 상기 IP 어드레스 관리부가 상기 유입 트래픽의 IP 어드레스의 정보에 대한 유입 빈도 수 와 상기 기 설정된 IP 어드레스의 정보의 유지 시간 관리를 통해 신규 유입되는 IP 어드레스의 상기 저장 테이블에서의 저장 위치를 지정할 수 있도록 하는 것을 특징으로 하는 네트워크 상에서의 이상 유해 트래픽 감지 장치.And an IP address information storage table for storing information of the IP address, wherein the IP address management unit manages the inflow frequency for the information of the IP address of the incoming traffic and the maintenance time of the information of the preset IP address. An apparatus for detecting abnormal harmful traffic on a network, wherein the storage location of the newly introduced IP address can be designated in the storage table. 제 7 항에 있어서, 상기 IP 어드레스 저장 테이블은 상기 유입 빈도 수에 따른 링크로 구현되고, 상기 유입 트래픽의 IP 어드레스의 정보는 자신의 유입 빈도 수가 증가하는 경우 자신이 속해있는 빈도 수 링크보다 상위 빈도 수 링크로 전이되며, 상기 유지 시간은 상기 각 링크마다 지정되는 것을 특징으로 하는 네트워크 상에서의 이상 유해 트래픽 감지 장치.8. The method of claim 7, wherein the IP address storage table is implemented as a link according to the inflow frequency, and the information of the IP address of the inflow traffic is higher than the frequency link to which it belongs when its inflow frequency increases. The abnormal harmful traffic detection apparatus on the network, characterized in that the transition to a few links, the retention time is specified for each link. 제 8 항에 있어서, 상기 각 링크에 있는 IP 어드레스의 정보 중 가장 오래된 정보는 자신과 일치하는 정보가 상기 유지 시간내에 유입되지 아니하면 삭제되는 것을 특징으로 하는 네트워크 상에서의 이상 유해 트래픽 감지 장치.9. The abnormal harmful traffic detection apparatus of claim 8, wherein the oldest information of the IP address information on each link is deleted if information corresponding to the information does not flow within the holding time. (a)파싱된 유입 트래픽의 패턴과 상기 레퍼런스 패턴을 비교하여 상기 유입 트래픽에 이상 유해 트래픽이 있는지를 판단하는 단계;(a) comparing the reference pattern with the parsed incoming traffic and determining whether there is abnormal harmful traffic in the incoming traffic; (b)상기 두 패턴이 일치한다고 판단하는 경우, 상기 유입 트래픽의 IP 어드레스에 해당하는 기 설정된 IP 어드레스를 검색하는 단계;(b) searching for a predetermined IP address corresponding to the IP address of the incoming traffic when determining that the two patterns match each other; (c)상기 해당되는 IP 어드레스가 검색된 경우, 상기 유입 트래픽의 패턴과 일치하는 레퍼런스 패턴의 카운트 값을 증가시켜 상기 증가된 카운트 값이 상기 레퍼런스 패턴의 카운트 임계치에 도달하였는지를 체크하는 단계;(c) when the corresponding IP address is found, checking whether the increased count value reaches the count threshold of the reference pattern by increasing a count value of a reference pattern that matches the pattern of the incoming traffic; (d)상기 시간 임계치를 체크하는 단계; 및(d) checking the time threshold; And (e)상기 카운트 임계치와 상기 시간 임계치를 초과하는 경우, 상기 유입 트래픽에 대한 경로 정보를 생성하는 단계를 포함하는 것을 특징으로 하는 네트워크 상에서의 이상 유해 트래픽 감지 방법.and (e) generating path information on the incoming traffic when the count threshold and the time threshold are exceeded. (a)파싱된 유입 트래픽의 패턴과 상기 레퍼런스 패턴을 비교하여 상기 유입 트래픽에 이상 유해 트래픽이 있는지를 판단하는 단계;(a) comparing the reference pattern with the parsed incoming traffic and determining whether there is abnormal harmful traffic in the incoming traffic; (b)상기 두 패턴이 일치하는 경우, 상기 유입 트래픽의 IP 어드레스에 해당하는 기 설정된 IP 어드레스를 검색하는 단계;(b) searching for a preset IP address corresponding to the IP address of the incoming traffic when the two patterns match; (c)상기 해당되는 IP 어드레스가 검색된 경우, 기 설정된 포트 값과 상기 유입 트래픽의 포트 값을 비교하는 단계;(c) comparing the port value of the incoming traffic with a preset port value when the corresponding IP address is found; (d)상기 두 포트 값이 일치하지 아니하는 경우, 상기 유입 트래픽의 패턴과 일치하는 레퍼런스 패턴의 카운트 값을 증가시켜 상기 증가된 카운트 값이 상기 레퍼런스 패턴의 카운트 임계치에 도달하였는지를 체크하는 단계;(d) if the two port values do not match, checking whether the increased count value reaches the count threshold of the reference pattern by increasing the count value of the reference pattern that matches the pattern of the incoming traffic; (e)상기 시간 임계치를 체크하는 단계; 및(e) checking the time threshold; And (f)상기 카운트 임계치와 상기 시간 임계치를 넘은 경우, 상기 유입 트래픽에 대한 경로 정보를 생성하는 단계를 포함하는 것을 특징으로 하는 네트워크 상에서의 이상 유해 트래픽 감지 방법.and (f) generating path information on the incoming traffic when the count threshold and the time threshold are exceeded.
KR1020050022197A 2004-12-14 2005-03-17 Apparatus for recognizing abnormal and destructive traffic in network and Method thereof KR100687736B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020040105425 2004-12-14
KR20040105425 2004-12-14

Publications (2)

Publication Number Publication Date
KR20060067077A true KR20060067077A (en) 2006-06-19
KR100687736B1 KR100687736B1 (en) 2007-02-27

Family

ID=37161698

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050022197A KR100687736B1 (en) 2004-12-14 2005-03-17 Apparatus for recognizing abnormal and destructive traffic in network and Method thereof

Country Status (1)

Country Link
KR (1) KR100687736B1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101139537B1 (en) * 2011-10-31 2012-05-02 한국인터넷진흥원 Method for detecting scanning traffic in 3g wcdma networks
KR101290042B1 (en) * 2007-09-03 2013-07-30 주식회사 엘지씨엔에스 Apparatus and method for detecting worm scan
KR101380292B1 (en) * 2011-04-08 2014-04-14 주식회사 케이티 Method and System for Utility Saving Time-Division DDoS Detection using Link Switch
KR102380259B1 (en) * 2020-11-20 2022-03-30 주식회사 윈스 Diameter attack detection method and apparatus for stealing user location information in mobile core network

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102651987B1 (en) * 2021-10-08 2024-03-27 한국전자통신연구원 Method and Apparatus for countering DDoS attacks in NDN Network

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000072707A (en) * 2000-09-20 2000-12-05 홍기융 The Method of Intrusion Detection and Automatical Hacking Prevention
KR100466214B1 (en) * 2001-12-21 2005-01-14 한국전자통신연구원 method and recorded media for security grade to measure the network security condition

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101290042B1 (en) * 2007-09-03 2013-07-30 주식회사 엘지씨엔에스 Apparatus and method for detecting worm scan
KR101380292B1 (en) * 2011-04-08 2014-04-14 주식회사 케이티 Method and System for Utility Saving Time-Division DDoS Detection using Link Switch
KR101139537B1 (en) * 2011-10-31 2012-05-02 한국인터넷진흥원 Method for detecting scanning traffic in 3g wcdma networks
WO2013065943A1 (en) * 2011-10-31 2013-05-10 한국인터넷진흥원 Method of detecting scanning traffic of mobile communication network
KR102380259B1 (en) * 2020-11-20 2022-03-30 주식회사 윈스 Diameter attack detection method and apparatus for stealing user location information in mobile core network

Also Published As

Publication number Publication date
KR100687736B1 (en) 2007-02-27

Similar Documents

Publication Publication Date Title
US11509534B2 (en) Collection of error packet information for network policy enforcement
US7320142B1 (en) Method and system for configurable network intrusion detection
KR101038387B1 (en) Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis
KR101010465B1 (en) Network security elements using endpoint resources
US7703138B2 (en) Use of application signature to identify trusted traffic
US8326881B2 (en) Detection of network security breaches based on analysis of network record logs
KR100622670B1 (en) Real-time network attack pattern detection system for unknown network attack and method thereof
Zhou et al. Exploiting the vulnerability of flow table overflow in software-defined network: Attack model, evaluation, and defense
CN101123492B (en) Method and device for detecting scanning attack
JP5050781B2 (en) Malware detection device, monitoring device, malware detection program, and malware detection method
US20060198375A1 (en) Method and apparatus for pattern matching based on packet reassembly
US20070245417A1 (en) Malicious Attack Detection System and An Associated Method of Use
US20060126522A1 (en) Detecting malicious codes
US8336098B2 (en) Method and apparatus for classifying harmful packet
KR100687736B1 (en) Apparatus for recognizing abnormal and destructive traffic in network and Method thereof
US20230283631A1 (en) Detecting patterns in network traffic responses for mitigating ddos attacks
Joëlle et al. Strategies for detecting and mitigating DDoS attacks in SDN: A survey
US20170257398A1 (en) Ips switch system and processing method
KR100554172B1 (en) Integrity management system enhancing security of network, integrity network system having the same and method thereof
US20060018262A1 (en) Method, system and program for automatically detecting distributed port scans in computer networks
JP7172104B2 (en) NETWORK MONITORING DEVICE, NETWORK MONITORING PROGRAM AND NETWORK MONITORING METHOD
KR101074198B1 (en) Method and system for isolating the harmful traffic generating host from the network
TW202027460A (en) Dynamic protection method for network node and network protection server
US7900255B1 (en) Pattern matching system, method and computer program product
KR100656340B1 (en) Apparatus for analyzing the information of abnormal traffic and Method thereof

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110131

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20111208

Year of fee payment: 20