KR20060079782A - 아이피버젼포와 아이피버젼식스 혼재 망에서의 상호 운용성향상을 위한 보안 시스템 - Google Patents

아이피버젼포와 아이피버젼식스 혼재 망에서의 상호 운용성향상을 위한 보안 시스템 Download PDF

Info

Publication number
KR20060079782A
KR20060079782A KR1020060053335A KR20060053335A KR20060079782A KR 20060079782 A KR20060079782 A KR 20060079782A KR 1020060053335 A KR1020060053335 A KR 1020060053335A KR 20060053335 A KR20060053335 A KR 20060053335A KR 20060079782 A KR20060079782 A KR 20060079782A
Authority
KR
South Korea
Prior art keywords
attack
rule
ipv4
ipv6
security
Prior art date
Application number
KR1020060053335A
Other languages
English (en)
Inventor
김미영
문영성
Original Assignee
문영성
김미영
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 문영성, 김미영 filed Critical 문영성
Priority to KR1020060053335A priority Critical patent/KR20060079782A/ko
Publication of KR20060079782A publication Critical patent/KR20060079782A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0246Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols
    • H04L41/0266Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols using meta-data, objects or commands for formatting management information, e.g. using eXtensible markup language [XML]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2592Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 IPv6(Internet Protocol version 6)와 IPv4(Internet Protocol version 4) 망 사이의 연동 시 발생하는 보안 감시 기능을 구현함에 있어서 타 시스템과의 상호 운용성 및 자료 교환의 편리성을 제공하고자 하는 방법에 관한 것이다. 본 발명의 시스템은 IPv6와 IPv4 망을 매개하며 보안 감시를 위해 실시간으로 인터넷 패킷을 수집하는 수단을 구비하고, 수집된 패킷의 자료 내용을 분석하여 표시하는 수단, 분석 과정 중 보안상 정밀 감정이 필요한 자료 내용에 한해 상세한 단위로 분할하여 보안 위협에 대한 판단을 결정하기 위한 근거로 규칙에 기반을 둔 명세 도구, 최종 명세 내용과 판단 자료 내용을 XML(eXtended Markup Language)파일과 데이터베이스에 정형화된 형태로 저장하여 추후 관심 데이터를 추출해 사용할 수 있도록 하는 수단과 이 모든 수단에 대한 사용자 편의를 제공하는 사용자 화면 입출력 시스템(GUI : Graphical User Interface)으로 구성된다.
IPv6, IPv4, 보안, 규칙기반 명세, XML, 터널링

Description

아이피버젼포와 아이피버젼식스 혼재 망에서의 상호 운용성 향상을 위한 보안 시스템{Security System to improve the interoperability in IPv4 and IPv6 Coexistence Network}
도 1은 본 발명의 보안 감시 시스템 구성도
도 2는 본 발명의 공격 감지 시스템에서 공격을 감지하는 절차
도 3은 본 발명의 서버에서 통계를 처리하고 공격탐지 규칙을 분배하는 절차
본 발명은 IPv6(Internet Protocol version 6)와 IPv4(Internet Protocol version 4) 망에서 외부로부터의 데이터 유입을 실시간으로 수집하여 불법 사용자에 의한 침입 및 보안 공격 시도를 감지하고 공격 유형 및 방법에 관한 상세 분석 내용을 제공함으로써 차후 발생 가능한 보안 공격에 빠르게 대처하고 미리 대비함으로써 인터넷 사고를 미연에 방지하고 날로 지능화, 고도화되는 공격 방법에 대한 실용적인 학습 및 대처 가능한 전문 분석 도구를 제공하며 분석된 정보를 타 보안 시스템과 운용 가능하도록 하는 보안 시스템에 관한 것이다.
최근에 인터넷 망의 진화에 따라 기존에 설치된 IPv4 망 이외에 IPv6 망의 설치가 증가하고 있으며, 두 망간의 서비스 연동을 위한 방법들이 윈도우(Windows)와 리눅스(Linux)를 포함한 운영체제에 포함되어 판매되고 있다. 인터넷은 익명의 사용자에게 개방된 컴퓨터 네트워크의 집합체로서 TCP/IP 프로토콜 등 각종 프로토콜을 이용하는 서비스의 주축을 이루는 망 기술이다. 인터넷이 익명의 사용자에 노출됨으로써 서비스에 대한 공격이 집중적으로 발생하고 있는 반면 공격자의 위치와 공격 방법을 알아내는 것은 매우 어렵고 진행이 더디며, 각 기업들은 여러 가지 용도별 보안 시스템을 별도로 구축하게 되어 중복된 투자가 발생하고 새로운 보안 도구가 개발되어도 기존에 설치된 시스템과의 연계에 관한 문제로 쉽게 수용하지 못하고 있다.
종래의 패킷 분석 도구로는 실시간으로 패킷을 수집하여 화면에 단순히 표시하는 것과 수신된 패킷의 특정 부분에 포함된 패턴의 일치여부를 판단하여 공격을 알리는 도구가 있다. 이들 도구들은 대부분 IPv4 패킷만을 처리하거나 일부 IPv6를 처리하지도 하지만, IPv4/IPv6 공존 망에서의 터널링 패킷을 이용한 공격을 판단해 주는 도구는 없다. 또한, 이들 도구들은 수집 및 분석된 정보를 분석하고 저장하는 방법에 있어 각 도구별로 고유한 방식을 따르도록 하고 있고 해당 분석 도구에서만 판독 가능한 방식의 16진수 표현을 사용하여 저장하므로 분석 도구 간 자료 교환은 불가능하여 기업은 중복 투자를 피할 수 없는 문제에 직면한다.
인터넷의 보안 공격 방법은 날로 새로워지고 지능화 추세에 있으므로 업체들은 이를 신속히 파악하여 대비할 수 있어야 하지만, 신속 대처를 위해 지속적인 투 자 및 시스템 업그레이드를 해야 하는 비용 부담이 있고 이미 도입한 기타 보안 도구의 활용성을 고려할 때 보안 정책 수립에 있어 상당한 딜레마에 빠져 있다. 확실한 보안을 제공하지 않으면 서비스 사용자의 안전을 보장할 수 없으며 사용자 위주로 제공되는 비즈니스 상에서 수익을 기대할 수 없으므로 종래의 고립된 방식에서 탈피하여 기업의 부담을 줄이고 신속하게 안전을 확보하기 위해 보안 시스템간의 연계성과 자료교환을 이루는 것이 무엇보다 중요하다 판단된다.
상기와 같이 IPv4/IPv6 공존 망에서의 보안 감시를 제공할 수 있는 방안과 종래의 인터넷 보안 도구 활용 시 중복 투자 문제와 신속한 대처의 필요성에 대한 문제의식을 갖고 기존 보안 도구와의 연계를 통한 방안을 모색한 결과 본 발명자는 IPv4/IPv6 터널링 프로토콜 처리를 위한 규칙 기반의 보안 감시와 보안 도구간의 자료 표현에 있어서 방식을 통일할 수 있도록 인터넷에서 각광받고 있는 자료 표현 방식인 XML(eXtended Markup Language)를 활용하여 통합을 이루고자 한다. 따라서 본 발명의 목적은 IPv4/IPv6 공존 망에서의 보안 감시와 새로운 공격에 대한 신속한 분석과 대응을 가능하게 하고 기업의 중복 투자를 줄이도록 하는 공통 자료 표현 및 분석 방법을 제공하는 데에 있다.
본 발명은 IPv4 망과 IPv6 망의 연동 시 발생할 수 있는 보안 감시 기능 및 감시 정보의 상호 교환 방법에 관한 것으로 상기 본 발명의 시스템은 기존 IPv4 망과 IPv6 망을 매개하며 악의적인 공격자에 의해 행해지는 공격을 감시하고 정보를 가공하는데 있어서, 상기에서 공격 감시 시스템은 임의의 송신자가 보내는 패킷을 실시간으로 수집하는 수단을 구비하고, 공격 징후가 발생했을 때 공격 행위를 정확하게 감지할 수 있기 위한 공격 탐지 규칙 등록 수단과, 수집된 패킷을 미리 정의한 프로토콜(Protocol)의 형식에 맞게 분석하기 위한 수집 패킷 분석 수단, 파악된 공격 현황을 정리하고 보고하기 위한 공격 현황 보고서 작성 수단, 상기 공격 감시 시스템에서의 수집 패킷, 공격 행위 보고서와 등록 규칙을 XML로 변환 처리하는 작성 수단과, 타 공격 감시 시스템과의 자료 교환을 위한 자료 송수신 수단을 구비하고, 상기 서버는 상기 자료 송수신 수단과 동일한 수단을 구비하여 상기 공격 감시 시스템으로부터의 자료 수신을 가능하게 하며, 상기 서버는 자료 송수신 수단을 통해 수신한 상기 공격 감시 시스템의 현황 보고서, 공격 탐지 규칙, 공격으로 판별된 패킷을 가공함에 있어 XML 처리를 수행하고 통계를 생성하는 수단과 새로운 공격 유형이 파악되어 상기 공격 감시 시스템에 알려야 하는 경우 자료 송수신 수단을 통해 상기 서버에 저장된 공격 탐지 규칙 정보를 상기 공격 감시 시스템으로 분배하는 공격 탐지 규칙 분배 수단을 포함하는 것을 특징으로 한다.
상기 시스템은 도 1에 표시한 바와 같이 공격 감시 시스템(100)과 서버(200)을 포함하고 통신망은 통상 IPv4와 IPv6가 공존하는 형태의 복합 망을 의미한다. 도 1에서 여러 개의 공격 감시 시스템이 설치될 수 있다. 공격자 시스템(10)은 인터넷 상의 임의의 위치에 존재하는 시스템으로 공격 도구를 구비하여 통신망을 이용해 타 시스템으로의 피해를 줄 수 있는 시스템을 통칭한다. 상기 공격 감시 시스템과 서버는 자료 송수신 수단(60)을 구비하여 수집된 패킷, 작성된 탐지 규칙, 처 리된 정보 등의 교환이 가능해 진다.
상기 공격 감시 시스템은 실시간 패킷 수집 수단(20)과, 공격 탐지 규칙 등록 수단(30)과, 수집된 패킷 분석 수단(40)과 공격 현황 보고서 작성 수단(50)을 포함하여 구성한다. 또한 상기 서버는 공격 감시 시스템과의 자료 송수신 수단(60)과 공격 탐지 통계 처리 수단(70)과, 공격 탐지 규칙의 작성과 분배 수단(80)을 포함하여 구성된다.
실시간 패킷 수집 수단(20)은 공격자 시스템이 통신망을 사용한 공격 감행 여부를 판단하기 위해서 실시간으로 유입되는 패킷을 수집한다. 패킷 수집 시 과도한 수집으로 인한 시스템의 과부하 발생을 우려해 특정 관심 패킷의 유형을 사전에 등록하고 해당 유형의 패킷만을 수집하여 관심 패킷의 수집 분석에 집중할 수 있도록 하는 기능을 갖춘다. 필터는 공격 감시 시스템의 관리자에 의해서 또는 서버에 의해서 수시로 삭제와 추가가 가능하다.
공격 탐지 규칙 등록 수단(30)은 수집된 패킷을 분석하여 정상 패킷과 공격 패킷을 구분하기 위해 필요한 정보를 등록하는 것으로서 공격 감시 시스템의 관리자에 의해서 또는 서버에 의해 등록이 된다. 이때 등록된 규칙은 시스템간의 판독성을 높이고 호환성을 향상시키기 위해 XML 기반으로 작성된다. 공격 탐지 규칙 등록 수단은 이미 등록되어 있는 규칙의 목록을 열거하는 기능과, 사용자가 열거된 목록을 선택할 때 목록의 상세 내용을 표시하는 기능을 구비하며, 사용자가 새로 작성된 규칙을 등록하고자 할 때 규칙의 중복, 규칙 명세의 오류, 등록된 규칙 한계 개수 초과를 판별하여 규칙의 사전 오류를 점검하여 사용자로 인한 오류를 자동 을 제거한다. 공격 감시 시스템과 서버는 항상 동일한 규칙정보를 가지고 있어야 하고, 공격 감시 시스템 주관으로 새로운 공격 탐지 규칙이 등록되면 자료 송수신 수단을 통해 서버에 알려서 반영하도록 하고, 서버 주관으로 공격 탐지 규칙이 등록되면 공격 탐지 규칙 분배 수단(80)을 이용해 공격 감시 시스템에 알려 반영하도록 한다.
수집 패킷 분석 수단(40)은 실시간 패킷 수집 수단(10)을 통해 수집된 패킷에 대한 위험 여부를 판단하기 위해 패킷을 분석한다. 수집 패킷 분석 수단에는 IPv4와 IPv6 프로토콜 정보를 포함해 IPv4/IPv6 터널링 프로토콜 정보를 포함으로써 각 프로토콜에 대한 상세 분석 수단을 제공한다. 수집된 패킷을 수집 패킷 분석 수단에 의해 각각의 구성 요소 단위로 분석하고 공격 탐지 규칙 등록 수단(30)에서 등록한 규칙에 부합하는지 여부를 판단한다. 일치하면 공격으로 간주된다.
공격 현황 보고서 작성수단(50)은 공격 감시 시스템에서 탐지한 공격 패킷에 대한 상세 보고서 작성을 위한 것으로 여기에는 공격의 유형과, 공격이 발생한 시점과, 공격을 감행한 송신자 주소와, 공격의 심각도(Severity)와, 공격 판별에 적용된 규칙과, 공격 패킷의 덤프 내용이 포함된다. 공격 현황 보고서 작성 수단은 기존에 작성된 보고서에 대한 열람 기능과, 서버로의 전송 기능과, 삭제기능을 구비하여 사용자의 요청에 의해 보고서의 처리를 수행한다. 이때 공격 현황 보고서는 시스템 간의 판독성을 높이고 재사용과 호환성을 향상시키기 위해 XML 기반으로 작성된다.
자료 송수신 수단(60)은 공격 감시 시스템이 공격 탐지 규칙과, 탐지된 공격 에 대한 현황 보고서와, 수집된 패킷을 서버로 전송하기 위한 수단으로 통산 TCP/IP 응용이 활용된다.
상기 실시간 패킷 수집 수단(20)과, 공격 탐지 규칙 등록 수단(30)과, 수집 패킷 분석 수단(40)과, 공격 현황 보고서 작성 수단(50)과 자료 송수신 수단(60)은 발명의 프로그램에 의해 동작 가능한 수단이고 상기 구성 이외의 서버의 운용상 필요한 각종 요소는 모두 공지의 것으로 예를 들면 CPU를 중심으로 하는 운영체제, 네트워크 관리기 등은 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자에게 자명한 기술이므로 이에 대한 세부적인 설명은 생략한다.
서버(200)는 기본적으로 자료 송수신 수단(60) 이외에 여러 공격 감시 시스템이 작성해서 보내준 공격 현황을 토대로 통계를 생성하기 위한 공격 탐지 통계 처리 수단(70)과, 서버에서 작성된 공격 탐지 규칙을 여러 공격 감시 시스템으로 전달하기 위한 공격 탐지 규칙 분배 수단(80)을 포함한다. 상기 자료 송수신 수단은 통칭 TCP/IP를 토대로 한 송수신 수단으로서 기본적인 IPv4 통신을 제공함은 물론, IPv4와 IPv6 공존 망에서의 통신을 지원하기 위해 IPv4/IPv6 터널링 프로토콜을 지원하는 수단이다. 공격탐지 통계 처리 수단(70)은 여러 공격 감시 시스템에서 실시간으로 탐지한 공격에 대한 보고서 내용을 수신해서 이를 토대로 망에서 행해지고 있는 전반적인 공격 현황에 대한 파악이 용이하도록 통계를 생성하는 수단으로 서버 관리자에 의해서 또는 미리 정해놓은 시간 주기에 따라 통계 정보가 생성될 수 있다. 공격 탐지 규칙 분배 수단(80)은 상기 서버에서 탐지하고자 하는 공격에 대한 새로운 규칙을 만들면 이를 공격 감시 시스템으로 분배하여 새로운 공격의 위협에 즉각 대처할 수 있는 기능을 제공한다. 상기 서버는 규칙을 관리하고 분배하는 요소로서 상기 공격 감시 시스템에서 XML 형태로 새로운 규칙을 등록하면 자료 송수신 수단(60)을 통해 서버로 전송되고 서버는 규칙을 검증한 다음 망에 포함되는 공격 감시 시스템 중 상기 시스템을 제외하고 여러 공격 감시 시스템으로 규칙을 분배한다. 또한 상기 서버 자체에서 규칙등록이 가능하도록 입력 수단을 제공하는데 새로운 규칙이 서버에 등록되면 이미 상술한 대로 공격 탐지 규칙 분배 수단(80)을 통해 여러 공격 감시 시스템으로 분배한다. 상기 자료 송수신 수단, 공격 탐지 통계 처리 수단, 공격 탐지 규칙 분배 수단은 서버에 구현된 소정의 프로그램에 의해 실현하는 것이 가능하다.
본 발명은 IPv4/IPv6 통신망을 매개하여 인터넷상의 임의의 위치에 존재하는 공격자에 대한 공격을 감지하고 자료 표현 방식에 있어 타 보안 장비와 호환성과 가독성을 증진시키기 위한 XML 기반의 자료 교환 방법을 포함한다.
상기 본 발명의 공격 감지와 처리 방법은 도 2에 나타낸 바와 같이 실시간으로 패킷을 수집하는 단계(101)와, 수집된 패킷이 IPv4/IPv6 공존 망을 위한 터널링 패킷인지를 구분(102)하여 공격의 유형을 분류(103)하는 단계와, 각 공격의 유형별로 공격 탐지 규칙과의 일치성을 조사하는 단계(104, 105, 106, 107)와, 공격 패킷의 구성 요소별로 분석하는 공격 내용 상세 분석 단계(108)과, 분석된 내용을 XML 형태로 변환하는 단계(109)와 관련 정보를 모두 데이터베이스에 저장 후 사용자 화면에 출력하는 단계(110)를 포함한다. 공격 감지 시스템에서 서버로 자료를 전송하는 경우 자료 송수신 수단(60)은 단계 110에 포함된다.
상기 단계 101은 실시간으로 패킷을 수집하는 단계로, 패킷 수집을 위해 패킷 상용 수집기(Net X-Ray, Sniffer등)를 사용하거나 공개된 프로그램인 Ethereal, Packetizer를 사용할 수 있지만, 본 발명이 제안하는 XML 형태의 프로토콜 처리와 분석, 규칙 적용에 있어서 사용 수집기의 기능 변경이 불가능하므로 공개 프로그램을 사용하여 기능을 구현하되 하부 엔진만 차용하고 나머지 기능은 별도로 구현함을 기본으로 한다. 또한 공격 감지 시스템의 자원 소모를 줄이고 공격 감지의 집중도를 향상 수단의 일환으로 수집기의 엔진에 IPv4/IPv6 공존을 위한 터널링 패킷만을 수집할 수 있도록 하기 위한 필터링(단계 102)를 설정을 포함한다. 단계 102는 이외에 다양한 필터링 설정이 가능하다.
단계 103은 수집된 패킷을 대상으로 공격 여부를 판단하고 구체적으로 사용된 공격 형태를 판단하기 위해 미리 등록된 공격 탐지 규칙과의 비교를 수행한다. 수집된 패킷이 DSTM(Dual Stack Transition Mechanism) 프로토콜을 포함하는지 검사하고 만일 DSTM 패킷으로 판명이 나면 DSTM 프로토콜에 대한 공격 탐지 규칙들을 검사해서 그 중에 패킷의 내용과 일치하는 규칙이 존재하는지를 검사한다. 만일 존재한다면 이는 DSTM 패킷을 이용한 공격으로서 보다 상세한 처리를 위해 공격 내용 상세 분석(단계108)을 진행한다. 패킷이 DSTM프로토콜을 포함하지 않으면 Teredo 프로토콜의 포함여부를 확인하고 Teredo 프로토콜을 사용하는 공격 탐지 규칙에 부합하는지를 검사해서 공격여부를 판단하는데 부합되는 규칙이 발견되면 해당 패킷은 Teredo를 이용한 공격으로서 보다 상세한 처리를 위해 공격 내용 상세 분석(단계108)을 진행한다. 만일 부합되는 규칙이 발견되지 않으면 ISATAP(Intra- Site Automatic Tunneling Addressing Protocol) 프로토콜의 포함 여부를 확인하기 위해 다음 단계 106을 수행한다. 단계 106에서는 패킷의 ISATAP 프로토콜 포함 여부를 확인하고 ISATAP 공격 탐지 규칙에 부합하는지의 여부를 검사한다. 검사 과정은 상기의 DSTM과 Teredo 과정과 유사한데 공격이 탐지되면 상세 처리를 위해 단계 108을 실행하고 탐지되지 않는 경우 단계 107을 수행함으로써 6to4 공격 탐지 절차를 실행한다. 만일 6to4에 대한 공격이 탐지 되면 단계 108을 수행함으로서 상세 분석을 진행하고 탐지되지 않는다면 공격 위협이 없는 걸로 판단하고 단계 101부터 다시 실행한다.
단계 108은 상기 DSTM과, Teredo와, ISATAP과 6to4중에 공격 탐지 규칙에 부합되는 경우 해당 프로토콜을 이용한 공격으로 판단하고 상세 분석을 실행하는 단계이다. 상세 분석 내용으로는 공격에 사용된 프로토콜 유형, 공격이 행해진 시점, 공격을 판단하는데 사용한 공격 탐지 규칙, 공격 패킷을 구성하는 각 요소에 대한 분석, 패킷의 덤프 데이터, 공격 사안의 심각성 등을 포함한다. 상기 단계에서 분석된 내용에 대해 단계 109는 XML 기술 방식에 의거 보고서를 작성할 수 있는데 보고서의 내용은 표준 기술 방식에 의거하므로 서버에 의해 쉽게 판독이 가능하다. XML 기술시 XML 문서 버전과, 링크 층 패킷 분석 정보 태그 및 내용, IP 프로토콜 버전, IPv4또는 IPv6 분석 정보 태그및 내용, 전송층 분석 태그 및 내용, DSTM, Teredo, ISATAP, 6to4 프로토콜 분석 태그 및 내용, 응용층 분석 태그 및 내용 등이 구조화되어 작성된다.
단계 110은 처리된 결과를 데이터베이스에 저장하고 공격 감지 시스템 사용 자에게 표시하기 위한 절차로서, 상기된 XML 기술 정보를 화면에 표시하고, 심각도에 따라 색을 구분하여 표시해 주며, 공격 탐지에 사용된 규칙에 대한 상세한 설정 내용을 함께 표시해 줌으로써 사용자는 공격 감지 내용을 일목요연하게 파악할 수 있다. 심각도는 공격 감시 시스템 관리자나 서버 관리자에 의해 중요하다고 판단되는 순에 따라 지정될 수 있다.
공격 감지 시스템으로부터 공격 현황 보고서를 수신한 후 서버는 단계 201에서 203의 과정을 실행하는데 상술하면, 먼저 자료 송수신 수단(60)을 이용해 공격 감지 시스템으로부터 공격 현황 보고서를 수신하고, 단계 202에서 공격 탐지 통계 처리를 수행한다. 통계에 포함되는 내용으로는 공격 현황 보고서를 전송한 공격 감지 시스템의 IP 주소, 공격에 사용된 프로토콜 유형, 심각도, 분류된 공격이 발생한 횟수별 빈도, 분류된 공격이 발생한 시간대별 분류, 공격 탐지에 사용된 규칙의 적용 횟수를 포함한다. 통계는 서버의 관리자의 필요에 의해서 또는 미리 지정한 시간 간격으로 작성될 수 있다. 단계 203은 통계 처리 내용을 데이터베이스에 저장하고 필요한 경우 목록 열람과, 삭제와 출력이 가능한 기능 요소를 포함하고 있다.
단계 204에서 단계 207은 서버 주관으로 새로운 공격에 대한 탐지 규칙이 작성되는 경우 새로 작성된 규칙의 처리와 분배를 위한 단계로서 서버 관리자는 서버에서 제공하는 사용자 입력 화면을 통해 공격 탐지 규칙을 새로 정의할 수 있다. 이때 새로 작성된 규칙에 대한 분배를 설정하였다면(단계 205) 작성된 규칙을 XML 기술형식에 따라 변환하고, 서버에 등록된 공격 감지 시스템으로 자료 송수신 수단(60)을 사용해 규칙을 일괄적으로 분배한다. 공격 감지 시스템은 서버로부터 새 로운 규칙을 분배받은 후 규칙 중복 검사를 실행하고 중복된 규칙이 존재하지 않으면 새 규칙을 즉각 적용한다.
본 발명에 의하면 공격 감지 시스템은 기존의 IPv4 망을 이용한 공격과, IPv6를 이용한 공격 이외에 Ipv4와 IPv6 공존 망에서 사용하는 터널링 프로토콜을 사용하는 지능화된 공격을 효과적으로 감지할 수 있고, 서버와 공격 감지 시스템 주관의 규칙 작성 및 분배가 가능하므로 새로 발견되는 공격 유형에 대한 규칙 적용이 용이하며, 공격 감지 내용에 대한 상세 분석 및 보고서 기능을 제공하므로 관리자 쉽게 공격 상황을 판단할 수 있는 근거 자료를 제공해 준다. 또한 표준 기술 방식인 XML을 이용해 공격 감지 시스템과 서버 간에 자료를 교환하므로 기존의 서버 장비나 공격 감지 시스템을 그대로 활용할 수 있는 장점을 제공한다. 상기의 내용에서 보듯이 기업은 IPv4와 IPv6 공존 망에서 발생하는 보안을 감시하기 위한 별도의 장비를 도입할 필요 없이 기존에 설치된 장비를 활용하여 쉽게 기능을 보강할 수 있으므로 장비 도입에 따른 추가 부담 요인이 제거될 수 있으므로 투자 절감 효과가 있고 최신 공격 유형에 대한 신속한 대처로 해킹 사고나 침임으로 인한 예상 피해를 대폭 줄일 수 있다.

Claims (6)

  1. IPv4와 IPv6 공존 망에서 발생하는 DSTM, Teredo, ISATAP, 6to4와 유사 프로토콜인 4to6, NAT-PT, 6over4의 자동 터널링 프로토콜을 이용한 공격을 감지하는 시스템.
  2. 제 1항을 처리함에 있어서, 정확하고 신속한 탐지가 가능하도록 공격 탐지 규칙을 기반으로 공격을 판단하도록 하는 시스템.
  3. 공격 감지 시스템 사용자 주관의 공격 탐지 규칙 추가 시 이를 서버에 알리고 망 내의 다른 공격 감지 시스템에 갱신시키는 방법과 서버 주관의 공격 탐지 규칙 추가시 이를 공격 감지 시스템으로 분배하는 방법.
  4. 공격 감지 시스템과 서버 간의 자료 교환에 있어서 가독성을 증대시키고 호환성을 유지하기 위해 XML 기술 형태로 자료를 전송하도록 한 방법.
  5. 많은 양의 공격 유형 보고서를 취합하여 공격 유형별 특징을 파악할 수 있도록 본 문에 기술한 항목을 포함한 통계를 생성하도록 한 방법.
  6. 제 5항을 처리함에 있어서, 공격의 중요도를 판단할 수 있도록 심각 도에 따른 색상을 별도로 지정하도록 한 방법.
KR1020060053335A 2006-06-14 2006-06-14 아이피버젼포와 아이피버젼식스 혼재 망에서의 상호 운용성향상을 위한 보안 시스템 KR20060079782A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060053335A KR20060079782A (ko) 2006-06-14 2006-06-14 아이피버젼포와 아이피버젼식스 혼재 망에서의 상호 운용성향상을 위한 보안 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060053335A KR20060079782A (ko) 2006-06-14 2006-06-14 아이피버젼포와 아이피버젼식스 혼재 망에서의 상호 운용성향상을 위한 보안 시스템

Publications (1)

Publication Number Publication Date
KR20060079782A true KR20060079782A (ko) 2006-07-06

Family

ID=37171340

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060053335A KR20060079782A (ko) 2006-06-14 2006-06-14 아이피버젼포와 아이피버젼식스 혼재 망에서의 상호 운용성향상을 위한 보안 시스템

Country Status (1)

Country Link
KR (1) KR20060079782A (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100818307B1 (ko) * 2006-12-04 2008-04-01 한국전자통신연구원 IPv6 공격 패킷 탐지장치 및 방법
KR100912541B1 (ko) * 2006-12-01 2009-08-18 한국전자통신연구원 인터넷 프로토콜 버전 4/인터넷프로토콜 버전 6혼합망에서의 침입탐지규칙 통합관리 장치 및 방법
KR101323852B1 (ko) * 2007-07-12 2013-10-31 삼성전자주식회사 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그제어방법
CN115460144A (zh) * 2022-08-16 2022-12-09 北京连星科技有限公司 基于IPv6的企业网络工程全景监控方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100912541B1 (ko) * 2006-12-01 2009-08-18 한국전자통신연구원 인터넷 프로토콜 버전 4/인터넷프로토콜 버전 6혼합망에서의 침입탐지규칙 통합관리 장치 및 방법
KR100818307B1 (ko) * 2006-12-04 2008-04-01 한국전자통신연구원 IPv6 공격 패킷 탐지장치 및 방법
KR101323852B1 (ko) * 2007-07-12 2013-10-31 삼성전자주식회사 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그제어방법
CN115460144A (zh) * 2022-08-16 2022-12-09 北京连星科技有限公司 基于IPv6的企业网络工程全景监控方法

Similar Documents

Publication Publication Date Title
CN112651006B (zh) 一种电网安全态势感知系统
KR101327317B1 (ko) Sap 응용 트래픽 분석 및 모니터링 장치 및 방법, 이를 이용한 정보 보호 시스템
KR101239401B1 (ko) 보안 시스템의 로그 분석 시스템 및 방법
CN104937886B (zh) 日志分析装置、信息处理方法
TW476204B (en) Information security analysis system
US7804787B2 (en) Methods and apparatus for analyzing and management of application traffic on networks
EP2532121B1 (en) Using aggregated DNS information originating from multiple sources to detect anomalous DNS name resolutions
US7801985B1 (en) Data transfer for network interaction fraudulence detection
US20060083180A1 (en) Packet analysis system
US20030084318A1 (en) System and method of graphically correlating data for an intrusion protection system
US20060198313A1 (en) Method and device for detecting and blocking unauthorized access
US20040255162A1 (en) Security gateway system and method for intrusion detection
CN104115463A (zh) 用于处理网络元数据的流式传输方法和系统
EP3272097B1 (en) Forensic analysis
US8838732B2 (en) Data transfer for network interaction fraudulence detection
CN101635730A (zh) 中小企业内网信息安全托管方法与系统
US20030083847A1 (en) User interface for presenting data for an intrusion protection system
CN102647299A (zh) 基于内容分发网络的层次化报警分析方法和系统
CN104700024B (zh) 一种Unix类主机用户操作指令审计的方法和系统
CN114640548A (zh) 一种基于大数据的网络安全感知和预警的方法及系统
US20030084340A1 (en) System and method of graphically displaying data for an intrusion protection system
CN114125083B (zh) 工业网络分布式数据采集方法、装置、电子设备及介质
CN107635003A (zh) 系统日志的管理方法、装置及系统
CN114553471A (zh) 一种租户安全管理系统
KR20060079782A (ko) 아이피버젼포와 아이피버젼식스 혼재 망에서의 상호 운용성향상을 위한 보안 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application