KR20070060441A - Effective intrusion detection device and the method by analyzing traffic patterns - Google Patents

Effective intrusion detection device and the method by analyzing traffic patterns Download PDF

Info

Publication number
KR20070060441A
KR20070060441A KR1020050119824A KR20050119824A KR20070060441A KR 20070060441 A KR20070060441 A KR 20070060441A KR 1020050119824 A KR1020050119824 A KR 1020050119824A KR 20050119824 A KR20050119824 A KR 20050119824A KR 20070060441 A KR20070060441 A KR 20070060441A
Authority
KR
South Korea
Prior art keywords
traffic
pattern
traffic pattern
abnormal
packet
Prior art date
Application number
KR1020050119824A
Other languages
Korean (ko)
Other versions
KR100745678B1 (en
Inventor
박정숙
박미룡
예병호
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020050119824A priority Critical patent/KR100745678B1/en
Publication of KR20070060441A publication Critical patent/KR20070060441A/en
Application granted granted Critical
Publication of KR100745678B1 publication Critical patent/KR100745678B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

An apparatus and a method for detecting a network attack through traffic pattern analysis are provided to efficiently operate a network by actively detecting aggression or an abnormal situation on the network and preventing a network attack previously or coping with an attack act early enough. An apparatus for detecting a network attack through traffic pattern analysis comprises a pattern DB(40), a packet inspection part(10), a packet extraction part(20), a traffic analysis part(30), a traffic countermeasure part(50), and a traffic monitoring part(60). The pattern DB(40) stores abnormal traffic patterns, based on external attacks, and normal traffic patterns. The packet inspection part(10) checks an abnormal symptom of inputted packet flows. The packet extraction part(20) collects packet flows showing an abnormal symptom, and extracts a traffic pattern for the packet flows. The traffic analysis part(30) compares the extracted traffic pattern with traffic patterns stored in the pattern DB(40), and analyzes whether the extracted traffic pattern is by an external attack. The traffic countermeasure part(50), if the extracted traffic pattern is by an external attack, determines a countermeasure for the traffic. In case the extracted traffic pattern is not by an external attack, the traffic monitoring part(60) monitors traffic patterns for a preset time, extracts traffic patterns after the preset time, and transfers them to the traffic analysis part(30).

Description

트래픽 패턴 분석에 의한 망 공격 탐지장치 및 방법{Effective Intrusion Detection Device and the Method by Analyzing Traffic Patterns} Effective Intrusion Detection Device and the Method by Analyzing Traffic Patterns}

도 1은 본 발명의 일 실시 예에 따른 트래픽 패턴 분석에 의한 망 공격 탐지장치의 구성블럭도이다.1 is a block diagram illustrating an apparatus for detecting a network attack by analyzing a traffic pattern according to an embodiment of the present invention.

도 2는 본 발명의 일 실시 예에 따른 패턴 DB의 구조도이다.2 is a structural diagram of a pattern DB according to an embodiment of the present invention.

도 3은 본 발명의 일 실시 예에 따른 트래픽 분석에 의한 망 공격 탐지방법을 보이는 흐름도이다.3 is a flowchart illustrating a network attack detection method by traffic analysis according to an embodiment of the present invention.

도 4는 본 발명의 실시 예에 따른 트래픽 패턴 분석과정을 보이는 흐름도이다.4 is a flowchart illustrating a traffic pattern analysis process according to an exemplary embodiment of the present invention.

* 도면의 주요 부분에 대한 부호의 설명 * Explanation of symbols on the main parts of the drawings

10 : 패킷 검사부 20 : 패턴 추출부10: packet inspection unit 20: pattern extraction unit

30 : 트래픽 분석부 40 : 패턴 데이터베이스(DB)30: traffic analysis unit 40: pattern database (DB)

50 : 트래픽 대응부 60 : 트래픽 감시부50: traffic counter 60: traffic monitor

본 발명은 망에 대한 공격 탐지에 관한 것으로서, 특히 망 장비로 유입되는 트래픽에 대해 플로우 단위의 트래픽 패턴을 분석하여 비정상적인 트래픽에 의한 망 공격을 조기에 탐지함으로써 망 공격에 대한 조기 대응 및 예방이 가능하도록 하는 트래픽 패턴 분석에 의한 망 공격 탐지장치 및 방법, 그리고 상기 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.The present invention relates to an attack detection for a network, and in particular, by analyzing a traffic pattern of each flow unit for traffic flowing into the network equipment, early detection and prevention of a network attack is possible by detecting a network attack caused by abnormal traffic. An apparatus and method for detecting network attacks by analyzing traffic patterns, and a computer-readable recording medium having recorded thereon a program for executing the method.

1990년도를 기점으로 바이러스나 고의적인 의도로 망에 접근하여 비정상적인 트래픽을 발생시켜 망을 마비시킬 정도의 피해를 입히는 사례들이 늘고 있다. 망 보호(Security)에 관한 연구 역시 이에 대응하기 위해 활발한 연구들이 진행되고 있다. 그러나 아직 지능적으로 대응하여 이런 상황을 조기에 예방할 수 있는 방안은 존재하지 않는 실정이다. 대신 실시간적인 망 감시를 통해 비정상적인 트래픽 발생 징후를 파악하여 이를 대처하는 방법들을 주로 이용한다.As of 1990, more and more cases of viruses or deliberate intentions approach the network, causing abnormal traffic and causing damage to the network. The research on security is also being actively conducted to cope with this. However, there is no way to prevent such situation early by responding intelligently. Instead, real-time network monitoring is used to identify abnormal traffic occurrences and cope with them.

이러한 상황은 시간이 경과하더라도 변화되지 않는 상황으로서, 망 보호는 비정상적인 트래픽 현상 발생의 조기 발견과 신속한 대처 및 같은 유형의 비정상적인 트래픽이 재발생되지 않도록 방지하는 것에 관한 연구가 주류를 이룰 것이다.This situation is unchanged over time, and network protection will be the mainstream research on the early detection and rapid response of abnormal traffic occurrences and the prevention of abnormal traffic of the same type.

이에 대한 방법들로는 넷플로우(NetFlow)와 같이 플로우 개념을 적용하여 트래픽 측정을 수행하는 방법 등이 있다. 침입의 경우는 1 패킷 플로우를 단시간에 많이 생성함으로써 망의 부하를 증가시켜 망을 마비시키는데, 이런 경우는 NetFlow와 같은 장치를 이용하여 실시간으로 모니터링한 결과, 갑작스런 트래픽의 증가가 감지될 경우 이를 침입의 경우로 보는 방법이다.Methods for this include a method of performing traffic measurement by applying a flow concept such as NetFlow. In case of intrusion, it increases the network load by generating one packet flow in a short time and paralyzes the network. In this case, if a sudden increase in traffic is detected as a result of real-time monitoring using a device such as NetFlow, This is how you see it.

그러나, 이러한 방법들은 실제 트래픽을 관찰하여 얻어지는 결과를 그 대상으로 하는 것으로서, 이미 침입이 많이 진행된 상황이거나 공격을 당한 후일 경우가 높다. 이러한 피해 사례를 줄이기 위해서는 조금이라도 빨리 탐지를 하고 조금이라도 빨리 대응을 하는 방법이 효율적이나, 이에 대한 연구는 거의 진행된 바가 없다. However, these methods are based on the results obtained by observing the actual traffic, and are often a situation in which a lot of intrusions are already in progress or after being attacked. In order to reduce such damage cases, it is efficient to detect a little bit faster and respond a little bit faster, but little research has been conducted on this.

따라서, 본 발명은 상기한 종래의 문제점 해결을 위해 제안된 것으로서, 망으로의 트래픽 유입시 트래픽의 패턴을 분석하여 비정상적인 트래픽에 의한 망 공격을 조기에 탐지하는 트래픽 패턴 분석에 의한 망 공격 탐지장치 및 방법을 제공하는데 그 목적이 있다.Accordingly, the present invention has been proposed to solve the above-described problems, a network attack detection apparatus by analyzing a traffic pattern to detect a network attack by abnormal traffic early by analyzing the pattern of the traffic when the traffic flows into the network; The purpose is to provide a method.

또한, 본 발명의 다른 목적은 효율적인 트래픽 패턴 분석을 통하여 보다 정확하게 비정상적인 트래픽을 판별해 내는 망 공격 탐지장치 및 방법을 제공하는데 있다.In addition, another object of the present invention is to provide an apparatus and method for detecting network attacks that can more accurately identify abnormal traffic through efficient traffic pattern analysis.

나아가, 본 발명의 또 다른 목적은 상기 망 공격 탐지방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 있다.Furthermore, another object of the present invention is to provide a computer-readable recording medium having recorded thereon a program for executing the network attack detection method on a computer.

상기 목적을 달성하기 위한 본 발명의 트래픽 패턴 분석에 의한 망 공격 탐 지장치는, 외부공격에 의한 비정상적인 다수의 트래픽 패턴과 정상적인 트래픽 패턴을 저장하는 패턴 DB; 입력되는 패킷의 이상 징후를 검사하는 패킷검사부; 이상 징후가 있는 패킷을 수집하고, 상기 패킷으로부터 비정상적인 트래픽 패턴이 발견되면 해당 트래픽 패턴을 추출하는 패턴추출부; 상기 추출된 트래픽 패턴과 상기 패턴 DB에 저장된 트래픽 패턴을 비교하여 상기 트래픽 패턴이 외부공격에 의한 트래픽 패턴인지를 분석하는 트래픽 분석부; 외부공격에 의한 트래픽 패턴인 경우, 상기 트래픽에 대한 대응책을 결정하고 그 대응책에 따라 대응하는 트래픽 대응부; 및 상기 패킷으로부터 비정상적인 트래픽 패턴이 발견되지 않으면, 설정시간 동안 트래픽 패턴을 모니터링하고 상기 설정시간 경과 후의 트래픽 패턴을 추출하여 상기 트래픽 분석부로 전달하는 트래픽 감시부를 포함한다.Network attack detection apparatus according to the traffic pattern analysis of the present invention for achieving the above object, Pattern DB for storing a plurality of abnormal traffic patterns and normal traffic patterns by the external attack; A packet inspecting unit which inspects an abnormal signal of an input packet; A pattern extracting unit for collecting a packet having an abnormal indication and extracting a corresponding traffic pattern when an abnormal traffic pattern is found from the packet; A traffic analysis unit comparing the extracted traffic pattern with the traffic pattern stored in the pattern DB and analyzing whether the traffic pattern is a traffic pattern caused by an external attack; In the case of the traffic pattern by the external attack, the traffic counter to determine the countermeasures for the traffic and corresponding to the countermeasure; And a traffic monitoring unit configured to monitor the traffic pattern for a set time, extract a traffic pattern after the set time, and deliver it to the traffic analyzer if no abnormal traffic pattern is found from the packet.

본 발명의 일 실시 예에서, 상기 패킷검사부는 상기 패킷의 송신 IP주소, 포트번호 및 트래픽량 중 적어도 하나를 확인하여 이상 징후를 검사한다.In one embodiment of the present invention, the packet inspection unit checks at least one of the transmission IP address, the port number and the traffic volume of the packet to check for abnormal symptoms.

본 발명의 일 실시 예에서, 상기 트래픽 대응부는 상기 패킷의 폐기 또는 유입 차단을 수행한다.In one embodiment of the present invention, the traffic correspondence unit discards or blocks the inflow of the packet.

본 발명의 일 실시 예에서, 상기 트래픽 감시부는 상기 설정시간 경과 후에 정상적인 트래픽 패턴 또는 비정상적인 트래픽 패턴 중 하나를 추출한다.In one embodiment of the present invention, the traffic monitoring unit extracts one of a normal traffic pattern or an abnormal traffic pattern after the set time.

본 발명의 일 실시 예에서, 상기 패턴 추출부는 상기 패킷이 입력된 포트에서의 트래픽을 수집하여 비정상적인 트래픽 패턴을 조사하고 비정상적인 트래픽 패턴이 발견되면 이를 추출한다.In an embodiment of the present invention, the pattern extractor collects traffic on the port to which the packet is input, investigates an abnormal traffic pattern, and extracts an abnormal traffic pattern if found.

본 발명의 일 실시 예에서, 상기 패턴 DB는 해당 트래픽 포트번호를 키값으 로 하고, 트래픽의 시작 바이트 위치, 끝 바이트 위치, 패턴, 상태, 검색 바이트 범위를 포함하는 정보로 구성된 테이블을 포함하며, 바람직하게는 정상적인 트래픽 패턴을 저장하는 제1테이블 및 비정상적인 트래픽 패턴을 저장하는 제2테이블을 포함한다.In an embodiment of the present invention, the pattern DB is a traffic port number as a key value, and includes a table including information including a start byte position, an end byte position, a pattern, a state, and a search byte range of traffic. Preferably it includes a first table for storing normal traffic patterns and a second table for storing abnormal traffic patterns.

본 발명의 일 실시 예에서, 상기 트래픽 분석부는 상기 추출된 트래픽 패턴에 대한 포트번호와 상기 패턴 DB에 저장된 비정상적인 트래픽 패턴에 대한 포트번호를 비교하여 상기 트래픽 패턴이 외부공격에 의한 트래픽 패턴인지를 분석한다.In one embodiment of the present invention, the traffic analysis unit compares the port number for the extracted traffic pattern and the port number for the abnormal traffic pattern stored in the pattern DB to analyze whether the traffic pattern is a traffic pattern by an external attack do.

또한, 상기 목적을 달성하기 위한 본 발명에 따른 트래픽 패턴 분석에 의한 망 공격 탐지방법은, 입력되는 패킷의 이상 징후를 검사하는 검사단계; 이상 징후가 있는 패킷을 수집하고 상기 패킷으로부터 비정상적인 트래픽 패턴이 발견되면 해당 트래픽 패턴을 추출하는 추출단계; 상기 추출된 트래픽 패턴과 패턴 DB에 저장된 비정상적인 트래픽 패턴을 비교하여 상기 트래픽 패턴이 외부공격에 의한 트래픽 패턴인지를 분석하는 분석단계; 외부공격에 의한 트래픽 패턴인 경우 상기 트래픽 패턴을 외부 공격에 의한 비정상적인 트래픽 패턴으로 저장하는 저장단계; 및 상기 트래픽 패턴에 대한 대응을 처리하는 대응단계를 포함한다.In addition, the network attack detection method according to the traffic pattern analysis according to the present invention for achieving the above object, the inspection step of inspecting the abnormal signs of the incoming packet; An extraction step of collecting a packet having an abnormality and extracting a corresponding traffic pattern when an abnormal traffic pattern is found from the packet; An analysis step of analyzing whether the traffic pattern is a traffic pattern caused by an external attack by comparing the extracted traffic pattern with an abnormal traffic pattern stored in a pattern DB; A storage step of storing the traffic pattern as an abnormal traffic pattern caused by an external attack when the traffic pattern is caused by an external attack; And a corresponding step of processing a response to the traffic pattern.

본 발명의 일 실시 예에서, 상기 검사단계는 상기 패킷의 송신IP주소, 포트번호 및 트래픽량 중 적어도 하나를 확인하여 이상 징후를 검사한다.In an embodiment of the present invention, the checking step checks at least one of a transmission IP address, a port number, and a traffic volume of the packet to check for abnormal symptoms.

본 발명의 일 실시 예에서, 상기 추출단계는 상기 패킷으로부터 비정상적인 트래픽 패턴이 발견되지 않으면, 설정된 시간 동안 트래픽 패턴을 모니터링하고 상 기 설정시간 경과 후의 트래픽 패턴을 추출하여 상기 트래픽 분석부로 전달하는 단계를 더 포함할 수 있다.In an embodiment of the present disclosure, if the abnormal traffic pattern is not found from the packet, the extracting step may include monitoring the traffic pattern for a predetermined time, extracting the traffic pattern after the predetermined time, and delivering the traffic pattern to the traffic analyzer. It may further include.

본 발명의 일 실시 예에서, 상기 분석단계는 상기 추출된 트래픽 패턴과 상기 패턴 DB에 저장된 정상적인 트래픽 패턴과 비교하여 동일한 트래픽 패턴이 있는지 확인하는 제1확인단계; 동일한 패턴이 없으면 상기 트래픽 패턴과 상기 패턴 DB에 저장된 비정상적인 트래픽 패턴과 비교하여 동일한 트래픽 패턴이 있는지 확인하는 제2확인단계; 및 상기 제2확인단계의 확인결과 동일한 패턴이 존재하면 상기 트래픽의 데이터를 수집하여 상세분석을 수행하는 상세분석단계를 포함할 수 있다.In an embodiment of the present disclosure, the analyzing step may include a first checking step of checking whether there is a same traffic pattern by comparing the extracted traffic pattern with a normal traffic pattern stored in the pattern DB; If there is no identical pattern, comparing the traffic pattern with an abnormal traffic pattern stored in the pattern DB and checking whether there is the same traffic pattern; And a detailed analysis step of performing detailed analysis by collecting data of the traffic when the same pattern exists as a result of the confirmation of the second verification step.

본 발명의 일 실시 예에서, 상기 분석단계 이후에, 외부공격에 의한 트래픽 패턴이 아닌 경우 상기 패턴 DB에 정상적인 트래픽 패턴으로 저장하는 단계를 더 포함할 수도 있다. 이때, 상기 트래픽 패턴이 새로운 응용 패턴인지를 판단하여 새로운 응용 패턴이면 상기 패턴 DB에 새로운 응용 패턴으로 저장하는 단계를 더 포함할 수 있다.In an embodiment of the present disclosure, after the analyzing step, if the traffic pattern is not caused by an external attack, the method may further include storing a normal traffic pattern in the pattern DB. In this case, the method may further include determining whether the traffic pattern is a new application pattern and storing the new application pattern in the pattern DB as a new application pattern.

또한, 상기 목적을 달성하기 위하여 본 발명은 상기한 본 발명의 망 공격 탐지방법을 실행시키기 위한 프로그램을 기록한 컴퓨터 판독 가능한 기록매체를 제공한다.The present invention also provides a computer-readable recording medium having recorded thereon a program for executing the above-described network attack detection method of the present invention.

본 발명은 망에 대한 공격을 조기에 탐지하는 장치 및 방법, 그리고 상기 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공 한다. 특히, 본 발명은 패킷이 망의 입구 에지 라우터 등으로 유입될 때 그 패킷의 트래픽에 대한 패턴을 분석하여 비정상적인 트래픽인지 아닌지를 조기에 판별함으로써 망에 대한 공격을 조기에 탐지하는 장치 및 방법을 제공한다. 이와 같이, 본 발명에서는 망 공격에 대한 조기 탐지를 실현하기 위해 트래픽의 패턴을 이용한다. 이러한 본 발명은 실시간 트래픽 감시에 대한 배타적인 대안이 될 수 있는 것은 아니지만, 최소한 망 공격에 대한 징후를 최대한 빨리 탐지하게 함으로써 조기 대응이 가능하게 한다. The present invention provides an apparatus and method for early detection of an attack on a network, and a computer-readable recording medium having recorded thereon a program for executing the method. In particular, the present invention provides an apparatus and method for early detection of an attack on a network by analyzing a pattern of traffic of the packet when the packet flows into an inlet edge router of the network and determining whether the packet is abnormal. do. As such, the present invention uses the pattern of traffic to realize early detection of network attacks. This invention is not an exclusive alternative to real-time traffic monitoring, but at least allows early response by detecting signs of network attack as soon as possible.

이하에서, 본 발명의 바람직한 실시예의 상세한 설명이 첨부된 도면들을 참조하여 설명될 것이다. 하기에서 본 발명을 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 본 발명의 요지를 모호하지 않게 하기 위하여 그에 대한 상세한 설명을 생략할 것이다.In the following, a detailed description of a preferred embodiment of the present invention will be described with reference to the accompanying drawings. In the following description of the present invention, in the case where it is determined that detailed descriptions of related well-known functions or configurations may unnecessarily obscure the subject matter of the present invention, detailed descriptions thereof will be omitted so as not to obscure the subject matter of the present invention. will be.

도 1은 본 발명의 바람직한 실시예에 따른 트래픽 패턴 분석에 의한 망 공격 탐지장치의 구성 블럭도이다.1 is a block diagram illustrating an apparatus for detecting a network attack by analyzing a traffic pattern according to a preferred embodiment of the present invention.

도 1을 참조하면, 본 발명의 망 공격 탐지장치(100)는, 패킷검사부(10), 패턴추출부(20), 트래픽분석부(30), 패턴DB(40), 트래픽대응부(50) 및 트래픽감시부(60)를 포함하여 구성된다. 이러한 구성을 갖는 본 발명의 망 공격 탐지장치(100)는 바람직하게는 망 장비 내 또는 망 장비 앞단에 위치하여 망으로 유입되는 트래 픽에 대하여 망 공격을 위한 트래픽을 조기에 탐지한다.Referring to Figure 1, the network attack detection device 100 of the present invention, the packet inspection unit 10, pattern extraction unit 20, traffic analysis unit 30, pattern DB 40, traffic response unit 50 And a traffic monitoring unit 60. The network attack detection apparatus 100 of the present invention having such a configuration is preferably located in the network equipment or in front of the network equipment to detect the traffic for the network attack early on the traffic flowing into the network.

우선, 상기 패턴DB(40)는 트래픽 패턴을 저장한다. 특히, 상기 패턴DB(40)는 기존에 이미 발견된 트래픽 패턴이나 운용자에 의해 설정된 트래픽 패턴을 저장하고 있다. 바람직하게는 도 2의 예시도에서와 같이, 상기 패턴DB(40)는 바람직하게는 정상적인 트래픽 패턴과 비정상적인 트래픽 패턴을 구분하여 저장할 수 있다. 도 2에 도시된 본 발명의 일 실시 예에 따른 패턴 DB(40)의 구조도를 참조하면, 패턴 DB(40)는 두 종류의 테이블(210)(220)을 포함한다. 즉, 정상적인 트래픽 패턴을 저장하는 정상 트래픽 패턴 테이블(210) 및 비정상적인 트래픽 패턴을 저장하는 비정상 트래픽 패턴 테이블(220)을 포함한다. 특히, 상기 비정상적인 트래픽 패턴은 외부공격에 의한 비정상적인 트래픽 패턴을 포함한다. 각 테이블의 엔트리에 대하여 키(key)값이 되는 것은 해당 트래픽에 대한 포트번호이다. 이와 같이 해당 포트번호를 키값으로 하고, 트래픽의 시작 바이트 위치 필드, 끝 바이트 위치 필드, 트래픽의 패턴정보 필드, 현재 검사중인 트래픽인지를 나타내는 상태정보 필드, 검색해야 할 패킷의 범위를 지정하는 검색 바이트 범위 필드로 구성된다. 이와 같이 구성된 패턴DB(40)는 다양한 트래픽 패턴 정보를 저장하고, 이러한 정보들은 이후에 망 공격을 위한 트래픽 패턴인지를 판단하기 위한 비교대상이 된다.First, the pattern DB 40 stores the traffic pattern. In particular, the pattern DB 40 stores a traffic pattern that has already been discovered or a traffic pattern set by an operator. Preferably, as shown in the example of FIG. 2, the pattern DB 40 may store the normal traffic pattern and the abnormal traffic pattern. Referring to the structural diagram of the pattern DB 40 according to an embodiment of the present invention shown in FIG. 2, the pattern DB 40 includes two types of tables 210 and 220. That is, it includes a normal traffic pattern table 210 for storing a normal traffic pattern and an abnormal traffic pattern table 220 for storing an abnormal traffic pattern. In particular, the abnormal traffic pattern includes an abnormal traffic pattern by an external attack. The key value for the entry of each table is the port number for the corresponding traffic. In this way, the port number is a key value, the start byte position field, the end byte position field of the traffic, the pattern information field of the traffic, the status information field indicating whether the traffic is currently being inspected, and the search byte specifying the range of packets to be searched. It consists of a range field. The pattern DB 40 configured as described above stores various traffic pattern information, and these pieces of information are then compared to determine whether the traffic pattern is for a network attack.

상기 패킷검사부(10)는 망으로 유입되는 패킷의 이상 징후를 검사한다. 특히 상기 패킷검사부(10)는 유입되는 패킷에 대하여 패킷의 송신IP주소, 포트번호 및 트래픽량 중 적어도 하나를 확인하여 이상 징후를 검사한다. 상기 이상 징후는 바람직하게는 해당 패킷의 정보를 이용하여 판단할 수 있으며, 이상 징후 여부의 판 단기준은 운용자에 의해 미리 설정될 수도 있다.The packet inspection unit 10 inspects the abnormal signs of the packets flowing into the network. In particular, the packet inspecting unit 10 checks at least one of a packet's transmission IP address, a port number, and a traffic amount with respect to an incoming packet and checks for an abnormality. The abnormality indication may be preferably determined using the information of the corresponding packet, and the criterion for determining whether the abnormality is abnormal may be set in advance by the operator.

상기 패턴추출부(20)는 상기 패킷검사부(10)에 의해 이상 징후가 있는 패킷으로 판단된 패킷을 수집하고, 상기 수집된 패킷으로부터 비정상적인 트래픽 패턴이 발견되면 해당 트래픽 패턴을 추출한다. 상기 패턴추출부(20)는 이상 징후가 있는 패킷이 입력된 포트번호를 확인하여 해당 포트에서의 패킷을 수집하고, 상기 패킷에 비정상적인 트래픽 패턴이 존재하면 해당 트래픽 패턴을 추출한다.The pattern extractor 20 collects a packet determined by the packet inspecting unit 10 as a packet having an abnormal indication, and extracts a corresponding traffic pattern when an abnormal traffic pattern is found from the collected packet. The pattern extractor 20 checks a port number to which a packet having an abnormal indication is input, collects packets in a corresponding port, and extracts a corresponding traffic pattern if an abnormal traffic pattern exists in the packet.

상기 트래픽분석부(30)는 상기 패턴추출부(20)에 의해 추출된 트래픽 패턴과 상기 패턴 DB(40)에 저장된 트래픽 패턴을 비교하여 상기 트래픽 패턴이 외부공격에 의한 트래픽 패턴인지를 분석한다. 특히 상기 트래픽분석부(30)는 상기 추출된 트래픽 패턴에 대한 포트번호와 상기 패턴 DB에 저장된 비정상적인 트래픽 패턴에 대한 포트번호를 비교하여 상기 추출된 트래픽 패턴이 외부공격에 의한 트래픽 패턴인지를 분석한다. 상기 트래픽분석부(30)는 우선 상기 추출된 트래픽 패턴과 동일한 트래픽 패턴이 상기 패턴DB(40)의 정상 트래픽 패턴 테이블(210)에 존재하는지를 확인하고, 존재하면 정상적인 트래픽 패턴으로 판단하여 패킷을 망으로 전송한다. 그러나, 존재하지 않으면 상기 추출된 트래픽 패턴과 동일한 트래픽 패턴이 상기 패턴DB(40)의 비정상 트래픽 패턴 테이블(220)에 존재하는지를 확인하고, 존재하지 않으면 새로운 응용 패턴으로 판단하여 이를 저장하고, 존재하면 상기 트래픽에 대한 데이터를 수집하고 이에 대한 상세 분석을 수행한다.The traffic analysis unit 30 compares the traffic pattern extracted by the pattern extraction unit 20 with the traffic pattern stored in the pattern DB 40 and analyzes whether the traffic pattern is a traffic pattern caused by an external attack. In particular, the traffic analysis unit 30 compares the port number for the extracted traffic pattern with the port number for the abnormal traffic pattern stored in the pattern DB and analyzes whether the extracted traffic pattern is a traffic pattern caused by an external attack. . The traffic analyzer 30 first checks whether the same traffic pattern as the extracted traffic pattern exists in the normal traffic pattern table 210 of the pattern DB 40, and if so, determines that the traffic pattern is a normal traffic pattern to network the packet. To send. However, if it does not exist, it is checked whether the same traffic pattern as the extracted traffic pattern exists in the abnormal traffic pattern table 220 of the pattern DB 40. If not, it is determined as a new application pattern and stored. Data about the traffic is collected and detailed analysis thereof is performed.

상기 트래픽대응부(50)는 상기 트래픽분석부(30)에서의 분석결과, 상기 추출된 트래픽 패턴이 외부공격에 의한 트래픽 패턴인 경우에 상기 트래픽에 대한 대응 책을 결정하고 그 대응책에 따라 대응한다. 예를 들어, 상기 트래픽대응부(50)는 상기 유입되는 패킷의 폐기 또는 유입차단 등을 수행함으로써 망을 보호하도록 할 수 있다.The traffic response unit 50 determines a countermeasure for the traffic and responds according to the countermeasure when the extracted traffic pattern is a traffic pattern caused by an external attack as a result of the analysis by the traffic analyzer 30. . For example, the traffic response unit 50 may protect the network by discarding or blocking the incoming packet.

상기 트래픽감시부(60)는 상기 패턴추출부(20)에 의해 상기 유입되는 패킷으로부터 비정상적인 트래픽 패턴이 발견되지 않은 경우에, 미리 설정된 시간 동안 트래픽 패턴을 모니터링하고 상기 설정시간 경과 후의 소정의 트래픽 패턴을 추출하여 상기 트래픽분석부(30)로 전달한다. 상기 트래픽감시부(60)는 패킷에 이상 징후는 있으되, 특별한 트래픽 패턴을 발견하지 못한 경우에 지속적으로 트래픽 패턴을 모니터링하고 일정한 시간이 경과한 후에는 정상적인 트래픽 패턴이든 비정상적인 트래픽 패턴이든 해당되는 소정의 트래픽 패턴을 추출한다.The traffic monitoring unit 60 monitors the traffic pattern for a preset time when no abnormal traffic pattern is found from the incoming packet by the pattern extraction unit 20, and the predetermined traffic pattern after the set time elapses. Extract it and transfer it to the traffic analysis unit 30. The traffic monitoring unit 60 has an abnormality in the packet, but if no special traffic pattern is found, the traffic monitoring unit 60 continuously monitors the traffic pattern, and after a predetermined time passes, the traffic monitoring unit 60 determines whether the traffic pattern is normal or abnormal traffic pattern. Extract traffic patterns.

이러한 구성을 갖는 본 발명의 망 공격 탐지장치(100)는 유입되는 패킷의 트래픽량을 관측하여 트래픽의 비정상적인 패턴을 감지하는 것에만 의존하지 않고, 이러한 비정상적인 트래픽 패턴들을 분석하고, 그 분석을 통해 획득된 정보를 이용하여 망의 공격을 미연에 방지할 수 있다는 특성을 가진다.The network attack detection apparatus 100 of the present invention having such a configuration does not rely only on detecting abnormal patterns of traffic by observing the traffic volume of incoming packets, and analyzes these abnormal traffic patterns, and obtains them through the analysis. By using this information, it is possible to prevent network attack in advance.

도 3은 본 발명의 일 실시 예에 따른 트래픽 분석에 의한 망 공격 탐지방법을 보이는 흐름도이다.3 is a flowchart illustrating a network attack detection method by traffic analysis according to an embodiment of the present invention.

도 3을 참조하면, 망으로 패킷이 도착되면(S300) 상기 패킷의 이상 징후를 검사한다(S304). 여기서, 도면에 도시된 바와 같이, 상기 망에 패킷이 도착하면 선택적으로 상기 패킷의 플로우를 임시 테이블에 저장할 수도 있다(S302). 상기 패킷 의 이상징후 검사는 바람직하게는 상기 패킷의 송신 IP주소, 포트번호 및 트래픽량 중 적어도 하나를 확인하여 이상 징후를 검사한다. Referring to FIG. 3, when a packet arrives into the network (S300), an abnormality indication of the packet is checked (S304). Here, as shown in the figure, when a packet arrives in the network may optionally store the flow of the packet in a temporary table (S302). The abnormal symptom check of the packet preferably checks for at least one of a transmission IP address, a port number, and a traffic volume of the packet to check for abnormal symptoms.

상기 패킷의 검사결과 이상 징후가 발견되지 않으면 패킷을 목적지로 전송하고(S308), 이상 징후가 발견되면 상기 패킷에 비정상적인 트래픽 패턴이 발견되는지 조사한다(S310). If no abnormality is found as a result of the inspection of the packet, the packet is transmitted to the destination (S308), and if an abnormality is found, it is examined whether an abnormal traffic pattern is found in the packet (S310).

상기 패킷의 검사 결과 비정상적인 트래픽 패턴이 발견되면 그 비정상적인 트래픽 패턴을 추출하고, 상기 추출된 트래픽 패턴과 패턴 DB(40)에 저장된 비정상적인 트래픽 패턴을 비교하여 상기 추출된 트래픽 패턴이 외부 공격에 의한 트래픽 패턴인지를 분석한다(S312,S314,S316). 이때 상기 S316 단계에서의 트래픽 패턴분석은 상기 추출된 비정상적인 트래픽 패턴과 동일 또는 유사한 트래픽 패턴이 패턴 DB(40)에 존재하는지 판단하고 동일 또는 유사한 트래픽 패턴이 있다면, 그 트래픽 패턴이 외부 공격에 의한 트래픽 패턴인지를 분석한다. If an abnormal traffic pattern is found as a result of the inspection of the packet, the abnormal traffic pattern is extracted, and the extracted traffic pattern is compared with the abnormal traffic pattern stored in the pattern DB 40 to determine that the extracted traffic pattern is a traffic pattern caused by an external attack. The cognition is analyzed (S312, S314, S316). At this time, the traffic pattern analysis at step S316 determines whether the same or similar traffic pattern as the extracted abnormal traffic pattern exists in the pattern DB 40, and if there is the same or similar traffic pattern, the traffic pattern is traffic by an external attack. Analyze if it is a pattern.

만약, 비정상적인 트래픽 패턴이 발견되지 않으면 설정된 시간 동안 상기 패킷에서 트래픽 패턴을 지속적으로 모니터링하고, 상기 설정된 시간이 경과한 후에 소정의 트래픽 패턴을 추출한다(S312,S318,S320,S322).If no abnormal traffic pattern is found, the traffic pattern is continuously monitored in the packet for a set time, and after the set time has elapsed, a predetermined traffic pattern is extracted (S312, S318, S320, and S322).

상기 S316 단계에서의 분석 결과, 상기 추출된 트래픽 패턴이 외부 공격에 의한 비정상적인 트래픽 패턴이면 해당 트래픽 패턴을 패턴 DB(40)에 저장하고, 상기 트래픽 패턴에 대한 대응책을 결정한 후 이에 대한 대응을 처리한다(S324,326,S328). 이와 같이 처리된 상기 트래픽 패턴을 검사완료 상태로 변환한다(S330). 이때, 상기 트래픽 패턴은 상기 패턴 DB(40) 내의 비정상 트래픽 패턴 테 이블(220)에 저장한다. As a result of the analysis in step S316, if the extracted traffic pattern is an abnormal traffic pattern caused by an external attack, the corresponding traffic pattern is stored in the pattern DB 40, and a response to the traffic pattern is determined, and then the corresponding traffic pattern is processed. (S324,326, S328). The traffic pattern processed as described above is converted into a check completion state (S330). At this time, the traffic pattern is stored in the abnormal traffic pattern table 220 in the pattern DB (40).

한편, 상기 S316 단계에서의 분석 결과, 상기 추출된 트래픽 패턴이 외부 공격에 의한 비정상적인 트래픽 패턴이 아니면, 새로운 응용 패턴인지를 판단한다(S331). 상기 판단 결과 새로운 응용 패턴이면 해당 트래픽 패턴을 패턴 DB(40) 내의 정상 트래픽 패턴 테이블(210)에 저장하고 검사완료 상태로 변환한다(S336).On the other hand, as a result of the analysis in step S316, if the extracted traffic pattern is not an abnormal traffic pattern by an external attack, it is determined whether the new application pattern (S331). If the determination result is a new application pattern, the traffic pattern is stored in the normal traffic pattern table 210 in the pattern DB 40 and converted into a check completion state (S336).

도 4는 본 발명의 실시 예에 따른 트래픽 패턴 분석과정을 보이는 흐름도이다.4 is a flowchart illustrating a traffic pattern analysis process according to an exemplary embodiment of the present invention.

도 4를 참조하면, 트래픽 패턴을 분석하기 위하여, 이상 징후가 있는 패킷에서 추출된 트래픽 패턴과 패턴 DB(40) 내 정상 트래픽 패턴 테이블(210)에 저장된 정상적인 트래픽 패턴을 비교한다(S400).Referring to FIG. 4, in order to analyze the traffic pattern, the traffic pattern extracted from the packet with the abnormal indication is compared with the normal traffic pattern stored in the normal traffic pattern table 210 in the pattern DB 40 (S400).

상기 S400 단계에서, 상기 추출된 트래픽 패턴과 동일한 트래픽 패턴이 상기 정상 트래픽 패턴 테이블(210)에 존재하면(S402), 해당 트래픽 패턴이 마지막 트래픽 패턴인지를 확인하여(S410), 마지막이 아니면 다른 트래픽 패턴에 대하여 상기 과정을 반복하여 수행한다. 상기 추출된 트래픽 패턴과 동일한 트래픽 패턴이 상기 정상 트래픽 패턴 테이블(210)에 존재하지 않으면(S402), 다시 상기 트래픽 패턴과 상기 패턴 DB(40) 내 비정상 트래픽 패턴 테이블(220)에 저장된 비정상적인 트래픽 패턴을 비교한다(S404).In the step S400, if the same traffic pattern as the extracted traffic pattern exists in the normal traffic pattern table 210 (S402), check whether the corresponding traffic pattern is the last traffic pattern (S410), and if not the last traffic pattern The above process is repeated for the pattern. If the same traffic pattern as the extracted traffic pattern does not exist in the normal traffic pattern table 210 (S402), the abnormal traffic pattern stored in the traffic pattern and the abnormal traffic pattern table 220 in the pattern DB 40 again. Is compared (S404).

상기 S404 단계에서, 상기 추출된 트래픽 패턴과 동일한 트래픽 패턴이 상기 비정상 트래픽 패턴 테이블(220)에 존재하면(S406), 상기 패킷의 데이터를 수집하 고 이에 대한 상세 분석을 수행하고(S408), 상기 추출된 트래픽 패턴과 동일한 트래픽 패턴이 상기 비정상 트래픽 패턴 테이블(220)에 존재하지 않으면(S406), 해당 트래픽 패턴이 마지막 트래픽 패턴인지를 확인하여(S410), 마지막이 아니면 다른 트래픽 패턴에 대하여 상기 과정을 반복하여 수행한다. In step S404, if the same traffic pattern as the extracted traffic pattern exists in the abnormal traffic pattern table 220 (S406), data of the packet is collected and detailed analysis thereof is performed (S408). If the same traffic pattern as the extracted traffic pattern does not exist in the abnormal traffic pattern table 220 (S406), check whether the corresponding traffic pattern is the last traffic pattern (S410). Repeat to run.

본 발명에 따른 트래픽 분석에 의한 망 공격 탐지방법에서는 트래픽 분석을 위한 데이터를 수집하고 이들 데이터를 이용하여 패턴 DB(40)에 저장된 트래픽 패턴과 비교함으로써 해당 트래픽 패턴을 상세하게 분석한다. 이로써 해당 트래픽 패턴이 망 공격성 트래픽 패턴인지를 확인한다. 망 공격성 트래픽 패턴이면 패턴 DB(40)내 비정상 트래픽 패턴 테이블(220)에 저장하고, 비정상 트래픽에 대한 조취를 취한다. 만약, 망 공격성 트래픽 패턴이 아니면 새로운 응용 패턴인지를 검사하여, 새로운 응용 패턴이라면 패턴 DB 내 정상 트래픽 패턴 테이블(210)에 저장한다. 이와 같이 패턴 DB(40)에 저장된 정상적인 트래픽 패턴 및 비정상적인 트래픽 패턴은 이후에 망에 새로 유입되는 패킷에 대한 트래픽 패턴 분석 시 이용된다.In the network attack detection method by traffic analysis according to the present invention, data for traffic analysis is collected and the corresponding traffic pattern is analyzed in detail by comparing the traffic pattern stored in the pattern DB 40 using these data. This checks whether the traffic pattern is a network aggressive traffic pattern. If it is a network aggressive traffic pattern, it is stored in the abnormal traffic pattern table 220 in the pattern DB 40, and an action for abnormal traffic is taken. If it is not the network aggressive traffic pattern, it is checked whether it is a new application pattern, and if it is a new application pattern, it is stored in the normal traffic pattern table 210 in the pattern DB. As described above, the normal traffic pattern and the abnormal traffic pattern stored in the pattern DB 40 are used when analyzing a traffic pattern for a packet newly introduced into the network.

본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로써 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터 넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다.The invention can also be embodied as computer readable code on a computer readable recording medium. Computer-readable recording media include all kinds of recording devices that store data that can be read by a computer system. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like, which are also implemented in the form of a carrier wave (for example, transmission over the Internet). It also includes. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

상기한 도면과 명세서에는 본 발명에 대한 최적 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허 청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허 청구범위의 기술적 사상에 의해 정해져야 할 것이다.In the drawings and specification described above, optimal embodiments of the present invention have been disclosed. Although specific terms have been used herein, they are used only for the purpose of describing the present invention and are not intended to limit the scope of the present invention as defined in the meaning or claims. Therefore, those skilled in the art will understand that various modifications and equivalent other embodiments are possible from this. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.

본 발명에 따른 망 공격 탐지장치 및 방법에 따르면, 망에 대한 공격성이나 비정상적인 상황을 보다 적극적인 방법으로 조기에 탐지하여 망 공격을 사전에 방지하거나 공격 행위에 조기에 대응함으로써 망을 보다 효율적으로 운용할 수 있다.According to the network attack detection apparatus and method according to the present invention, by detecting aggression or abnormal situation to the network early in a more aggressive manner to prevent the network attack in advance or to respond to the attack early to operate the network more efficiently Can be.

Claims (14)

다수의 외부공격에 의한 비정상적인 트래픽 패턴 및 정상적인 트래픽 패턴을 저장하는 패턴 DB;A pattern DB for storing abnormal traffic patterns and normal traffic patterns due to a plurality of external attacks; 입력되는 패킷 플로우에 대한 이상징후를 검사하는 패킷검사부;A packet inspection unit that checks an abnormal symptom for an input packet flow; 이상징후가 있는 패킷 플로우를 수집하고 상기 패킷 플로우에 대한 트래픽 패턴을 추출하는 패턴추출부;A pattern extraction unit for collecting a packet flow having an abnormal symptom and extracting a traffic pattern for the packet flow; 상기 추출된 트래픽 패턴과 상기 패턴 DB에 저장된 트래픽 패턴을 비교하여 상기 트래픽 패턴이 외부공격에 의한 트래픽 패턴인지를 분석하는 트래픽 분석부;A traffic analysis unit comparing the extracted traffic pattern with the traffic pattern stored in the pattern DB and analyzing whether the traffic pattern is a traffic pattern caused by an external attack; 외부공격에 의한 트래픽 패턴인 경우, 상기 트래픽에 대한 대응책을 결정하고 그 대응책에 따라 대응하는 트래픽 대응부; 및In the case of the traffic pattern by the external attack, the traffic counter to determine the countermeasures for the traffic and corresponding to the countermeasure; And 외부 공격에 의한 트래픽 패턴이 아닌 경우 설정된 시간 동안 트래픽 패턴을 모니터링하고 상기 설정시간 경과 후의 트래픽 패턴을 추출하여 상기 트래픽 분석부로 전달하는 트래픽 감시부; 를 포함하는 것을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지장치. A traffic monitoring unit that monitors the traffic pattern for a set time when the traffic pattern is not caused by an external attack, extracts the traffic pattern after the set time, and delivers the traffic pattern to the traffic analyzer; Network attack detection device by traffic pattern analysis, comprising a. 제1항에 있어서, 상기 패킷검사부는,The method of claim 1, wherein the packet inspection unit, 상기 패킷의 송신IP주소, 포트번호 및 트래픽량 중 적어도 하나를 확인하여 이상징후를 검사하는 것을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지장치.The network attack detection apparatus according to the traffic pattern analysis, characterized in that for checking at least one of the transmission IP address, the port number and the traffic volume of the packet to check for abnormal symptoms. 제1항에 있어서, 상기 트래픽 대응부는, The method of claim 1, wherein the traffic correspondence unit, 상기 패킷의 폐기 또는 유입차단을 수행하는 것을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지장치.Network attack detection device by traffic pattern analysis, characterized in that for discarding or blocking the packet. 제1항에 있어서, 상기 트래픽 감시부는,The method of claim 1, wherein the traffic monitoring unit, 상기 설정시간 경과 후에 정상적인 트래픽 패턴 또는 비정상적인 트래픽 패턴 중 하나를 추출하는 것을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지장치.Network attack detection apparatus according to the traffic pattern analysis, characterized in that for extracting one of a normal traffic pattern or an abnormal traffic pattern after the set time elapses. 제1항에 있어서, 상기 패턴추출부는,The method of claim 1, wherein the pattern extraction unit, 상기 패킷이 입력된 포트에서의 트래픽을 수집하여 비정상적인 트래픽 패턴을 조사하고 비정상적인 트래픽 패턴이 발견되면 이를 추출하는 것을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지장치.Collecting traffic from the packet input port to investigate the abnormal traffic pattern, and extracts it when the abnormal traffic pattern is found. 제1항에 있어서, 상기 패턴 DB는,The method of claim 1, wherein the pattern DB, 해당 트래픽 포트번호를 키값으로 하고, 트래픽의 시작 바이트 위치, 끝 바이트 위치, 패턴, 상태, 검색 바이트 범위를 포함하는 정보로 구성된 테이블을 포함함을 특징으로 하는 트래픽 분석에 의한 망 공격 탐지장치.A network attack detection device based on traffic analysis, comprising a table comprising information on the traffic port number as a key value and including a start byte position, an end byte position, a pattern, a state, and a search byte range of the traffic. 제1항에 있어서, 상기 패킷검사부는,The method of claim 1, wherein the packet inspection unit, 상기 입력되는 패킷의 플로우에 속하는 초기의 패킷들에 대하여 이상징후를 검사하는 것을 특징으로 하는 트래픽 분석에 의한 망 공격 탐지장치.The network attack detection apparatus according to traffic analysis, characterized in that for checking the abnormal symptoms for the initial packets belonging to the flow of the incoming packet. 제1항에 있어서, 상기 트래픽 분석부는,The method of claim 1, wherein the traffic analysis unit, 상기 추출된 트래픽 패턴에 대한 포트번호와 상기 패턴 DB에 저장된 비정상적인 트래픽 패턴에 대한 포트번호를 비교하여 상기 트래픽 패턴이 외부공격에 의한 트래픽 패턴인지를 분석함을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지장치.A network attack by analyzing the traffic pattern is characterized by analyzing the port number for the extracted traffic pattern and the port number for the abnormal traffic pattern stored in the pattern DB to analyze whether the traffic pattern is a traffic pattern by an external attack. Detector. 입력되는 패킷 플로우의 이상징후를 검사하는 검사단계;A checking step of checking an abnormal symptom of an input packet flow; 이상징후가 있는 패킷 플로우를 수집하고 상기 패킷 플로우에 대한 트래픽 패턴을 추출하는 추출단계;An extraction step of collecting a packet flow having an abnormal symptom and extracting a traffic pattern for the packet flow; 상기 추출된 트래픽 패턴과 패턴 DB에 저장된 비정상적인 트래픽 패턴을 비교하여 상기 트래픽 패턴이 외부공격에 의한 트래픽 패턴인지를 분석하는 분석단계;An analysis step of analyzing whether the traffic pattern is a traffic pattern caused by an external attack by comparing the extracted traffic pattern with an abnormal traffic pattern stored in a pattern DB; 외부공격에 의한 트래픽 패턴인 경우 상기 트래픽 패턴을 외부 공격에 의한 비정상적인 트래픽 패턴으로 저장하는 저장단계; 및A storage step of storing the traffic pattern as an abnormal traffic pattern caused by an external attack when the traffic pattern is caused by an external attack; And 상기 트래픽 패턴에 대한 대응을 처리하는 대응단계; 를 포함하는 것을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지방법.A corresponding step of processing a correspondence to the traffic pattern; Network attack detection method by traffic pattern analysis comprising a. 제9항에 있어서, 상기 검사단계는,The method of claim 9, wherein the inspecting step, 상기 패킷의 송신IP주소, 포트번호 및 트래픽량 중 적어도 하나를 확인하여 이상징후를 검사하는 것을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지방법.And detecting at least one of a transmission IP address, a port number, and a traffic volume of the packet to check for an abnormal symptom. 제9항에 있어서, 상기 분석단계 이후에, The method of claim 9, wherein after the analyzing step, 상기 외부 공격에 의한 트래픽 패턴이 아닌 경우 미리 설정된 시간 동안 트래픽 패턴을 모니터링하고 상기 설정시간 경과 후의 트래픽 패턴을 추출하는 단계를 더 포함하는 것을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지방법. Monitoring the traffic pattern for a preset time when the traffic pattern is not caused by the external attack, and extracting the traffic pattern after the set time has elapsed. 제9항에 있어서, 상기 분석단계 이후에,The method of claim 9, wherein after the analyzing step, 외부공격에 의한 트래픽 패턴이 아닌 경우 상기 패턴 DB에 정상적인 트래픽 패턴으로 저장하는 단계를 더 포함하는 것을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지방법.If the traffic pattern is not caused by an external attack, the network attack detection method by traffic pattern analysis, characterized in that it further comprises the step of storing in the pattern DB as a normal traffic pattern. 제12항에 있어서,The method of claim 12, 상기 트래픽 패턴이 새로운 응용 패턴인지를 판단하여 새로운 응용 패턴이면 상기 패턴 DB에 새로운 응용 패턴으로 저장하는 단계를 더 포함하는 것을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지방법.Determining whether the traffic pattern is a new application pattern, and if the application pattern is a new application pattern, storing the traffic pattern as a new application pattern in the pattern DB. 제9항에 있어서, 상기 분석단계는,The method of claim 9, wherein the analyzing step, 상기 추출된 트래픽 패턴과 상기 패턴 DB에 저장된 정상적인 트래픽 패턴과 비교하여 동일한 트래픽 패턴이 있는지 확인하는 제1확인단계;A first checking step of checking whether there is a same traffic pattern by comparing the extracted traffic pattern with a normal traffic pattern stored in the pattern DB; 동일한 패턴이 없으면 상기 트래픽 패턴과 상기 패턴 DB에 저장된 비정상적인 트래픽 패턴과 비교하여 동일한 트래픽 패턴이 있는지 확인하는 제2확인단계; 및If there is no identical pattern, comparing the traffic pattern with an abnormal traffic pattern stored in the pattern DB and checking whether there is the same traffic pattern; And 상기 제2확인단계의 확인결과 동일한 패턴이 존재하면 상기 트래픽의 데이터를 수집하여 상세분석을 수행하는 상세분석단계; 를 포함하는 것을 특징으로 하는 트래픽 패턴 분석에 의한 망 공격 탐지방법.A detailed analysis step of performing detailed analysis by collecting data of the traffic when the same pattern exists as a result of the checking of the second checking step; Network attack detection method by traffic pattern analysis comprising a.
KR1020050119824A 2005-12-08 2005-12-08 Effective Intrusion Detection Device and the Method by Analyzing Traffic Patterns KR100745678B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050119824A KR100745678B1 (en) 2005-12-08 2005-12-08 Effective Intrusion Detection Device and the Method by Analyzing Traffic Patterns

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050119824A KR100745678B1 (en) 2005-12-08 2005-12-08 Effective Intrusion Detection Device and the Method by Analyzing Traffic Patterns

Publications (2)

Publication Number Publication Date
KR20070060441A true KR20070060441A (en) 2007-06-13
KR100745678B1 KR100745678B1 (en) 2007-08-02

Family

ID=38356464

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050119824A KR100745678B1 (en) 2005-12-08 2005-12-08 Effective Intrusion Detection Device and the Method by Analyzing Traffic Patterns

Country Status (1)

Country Link
KR (1) KR100745678B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101103744B1 (en) * 2010-08-23 2012-01-11 시큐아이닷컴 주식회사 Denial-of-service attack detection method through bi-directional packet analysis
US8149699B2 (en) 2008-12-02 2012-04-03 Electronics And Telecommunications Research Institute Method and apparatus for controlling traffic according to user
KR101374009B1 (en) * 2007-07-09 2014-03-13 주식회사 엘지씨엔에스 Apparatus and method for preventing abnormal traffic
KR20150037285A (en) * 2013-09-30 2015-04-08 한국전력공사 Apparatus and method for intrusion detection
KR20180064859A (en) * 2016-12-06 2018-06-15 경희대학교 산학협력단 Apparatus and method of analyzing pattern of wireless traffic

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100825257B1 (en) 2007-09-05 2008-04-25 주식회사 나우콤 Detail processing method of abnormal traffic data
KR101010703B1 (en) * 2008-10-09 2011-01-24 한국전자통신연구원 Selective pactet capturing method using kernel probe, and apparatus using the same

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100351306B1 (en) * 2001-01-19 2002-09-05 주식회사 정보보호기술 Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101374009B1 (en) * 2007-07-09 2014-03-13 주식회사 엘지씨엔에스 Apparatus and method for preventing abnormal traffic
US8149699B2 (en) 2008-12-02 2012-04-03 Electronics And Telecommunications Research Institute Method and apparatus for controlling traffic according to user
KR101103744B1 (en) * 2010-08-23 2012-01-11 시큐아이닷컴 주식회사 Denial-of-service attack detection method through bi-directional packet analysis
KR20150037285A (en) * 2013-09-30 2015-04-08 한국전력공사 Apparatus and method for intrusion detection
KR20180064859A (en) * 2016-12-06 2018-06-15 경희대학교 산학협력단 Apparatus and method of analyzing pattern of wireless traffic

Also Published As

Publication number Publication date
KR100745678B1 (en) 2007-08-02

Similar Documents

Publication Publication Date Title
EP2953298B1 (en) Log analysis device, information processing method and program
CN108289088B (en) Abnormal flow detection system and method based on business model
KR100922579B1 (en) Apparatus and method for detecting network attack
JP6201614B2 (en) Log analysis apparatus, method and program
JP4619254B2 (en) IDS event analysis and warning system
US7565693B2 (en) Network intrusion detection and prevention system and method thereof
KR100745678B1 (en) Effective Intrusion Detection Device and the Method by Analyzing Traffic Patterns
CN101001242B (en) Method of network equipment invaded detection
CN110191004B (en) Port detection method and system
EP3534232A1 (en) A safety monitoring method and apparatus for an industrial control system
CN113285916B (en) Intelligent manufacturing system abnormal flow detection method and detection device
CN109768971A (en) A method of based on network flow real-time detection industrial control host state
CN107209834B (en) Malicious communication pattern extraction device, system and method thereof, and recording medium
CN111786986B (en) Numerical control system network intrusion prevention system and method
CN110769007A (en) Network security situation sensing method and device based on abnormal traffic detection
KR100520687B1 (en) Apparatus and method for displaying states of the network
JP2019050477A (en) Incident analysis device and analysis method thereof
KR20190027122A (en) Apparatus and method for analyzing network attack pattern
WO2021237739A1 (en) Industrial control system safety analysis method and apparatus, and computer-readable medium
KR101384618B1 (en) A system for analyzing dangerous situation using node analysis
CN113452707B (en) Scanner network scanning attack behavior detection method, medium and terminal
KR100651749B1 (en) Method for detection of unknown malicious traffic and apparatus thereof
KR20180101868A (en) Apparatus and method for detecting of suspected malignant information
KR100832536B1 (en) Method and apparatus for managing security in large network environment
JP4668092B2 (en) Learning ability evaluation device, learning ability evaluation method, and learning ability evaluation program

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
G170 Publication of correction
FPAY Annual fee payment

Payment date: 20100701

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee