KR20070119382A - 침입방지시스템 및 그 제어방법 - Google Patents

침입방지시스템 및 그 제어방법 Download PDF

Info

Publication number
KR20070119382A
KR20070119382A KR1020060053964A KR20060053964A KR20070119382A KR 20070119382 A KR20070119382 A KR 20070119382A KR 1020060053964 A KR1020060053964 A KR 1020060053964A KR 20060053964 A KR20060053964 A KR 20060053964A KR 20070119382 A KR20070119382 A KR 20070119382A
Authority
KR
South Korea
Prior art keywords
packet
attack
information
rule
prevention system
Prior art date
Application number
KR1020060053964A
Other languages
English (en)
Other versions
KR101268104B1 (ko
Inventor
손소라
표승종
유연식
Original Assignee
엘지엔시스(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지엔시스(주) filed Critical 엘지엔시스(주)
Priority to KR1020060053964A priority Critical patent/KR101268104B1/ko
Publication of KR20070119382A publication Critical patent/KR20070119382A/ko
Application granted granted Critical
Publication of KR101268104B1 publication Critical patent/KR101268104B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 정상 패킷을 공격 패킷으로 오탐지하는 가능성을 최소화시키는 침입방지시스템 및 그 제어방법에 관한 것이다. 본 발명은 공격 패킷을 탐지하기 위한 공격룰이 미리 설정된다. 상기 공격룰은 오탐지수준, 룰 적용수준, 컨텐츠분석레벨, 그리고 오탐수준별 대응모드 정보를 포함한다. 상기 공격룰 설정중에서 탐지 후 자동대응모드가 설정된 경우에 한하여 네트워크로부터 유입된 트래픽에 대한 공격 패킷을 소프트웨어적으로 다시 탐지하도록 하고, 탐지된 공격 패킷에 대한 공격룰 발생정보를 누적관리한다. 상기 공격룰 발생정보는 대응모듈에 의해 지속적으로 누적 관리되며, 관리자에 의해 미리 설정된 임계값과 계속 비교되도록 한다. 상기 비교 결과에 따라 임의의 공격룰 발생정보가 임계값을 초과하는 경우 해당 공격 패킷을 자동 차단하게 된다. 이에 따라 본 발명은 공격 패킷이 탐지되더라도 이를 바로 차단하지 않고 임계값과의 비교결과에 따라서 공격 패킷을 탐지 후 자동대응모드에 따라 선택적으로 차단하기 때문에 오탐에 의해 정상 서비스가 제공되지 못하는 것을 최소화할 수 있는 잇점이 있다. 또한 공격룰 정보를 계속 누적 관리하기 때문에 유해 트래픽의 발생 가능성을 미리 인지하여 방지할 수도 있다.
침입방지시스템, 오탐지, 공격룰, 탐지룰, 소프트웨어/하드웨어 필터링

Description

침입방지시스템 및 그 제어방법{INTRUSION PREVENTION SYSTEM AND CONTROLLING METHOD}
도 1은 일반적인 침입방지시스템의 구성도.
도 2는 본 발명의 바람직한 실시 예에 따른 침입방지시스템 구성도.
도 3은 본 발명의 바람직한 실시 예에 따라 공격패킷을 소프트웨어적으로 탐지하고 미리 정의된 대응정책을 적용하는 처리흐름도.
*도면의 주요 부분에 대한 부호의 설명*
100 : 패킷전용처리부 102 : 탐지/차단모듈
104 : 메모리 120 : 소프트웨어엔진부
122 : 패킷처리부 124 : S/W탐지부
126 : 대응분석부 128 : 관리맵
130 : 운영모듈부
본 발명은 침입방지시스템에 관한 것으로서, 특히 네트워크로 유입되는 정상 패킷정보에 대한 오탐지(False Positive) 확률을 최소화하도록 하기 위한 침입방지시스템 및 그 제어방법에 관한 것이다.
컴퓨터의 급속한 보급과 인터넷의 사용이 일반화되면서, 인터넷을 통한 서비스 확산에 따라 보안 문제의 중요성이 높아지고 있다. 이러한 보안문제를 해결하기 위해 유해 트래픽에 대한 침입방지 시스템 또는 침입차단 시스템이 개발되었다. 상기 침입방지/침입차단 시스템은 효과적으로 전자적 침해행위를 방지하고 차단할 수 있는 것으로서, 가입자 네트워크와 공중망 네트워크와의 접속점, 또는 가입자 네트워크 내부에 설치하여 입/출력되는 트래픽의 이상 여부를 검출하여 유해 트래픽을 차단하고 있다.
상기 침입방지시스템은 네트워크 관리자가 설정해 놓은 일련의 규칙(보안정책)에 기반을 두고 즉각적인 행동을 취할 수 있는 능력을 가지도록 설계된다. 이를 위하여 대다수의 침입방지시스템은 어떤 한 패킷을 검사하여 그것이 부당한 패킷이라고 판단되면, 해당 아이피(IP)주소 또는 유입 트래픽을 봉쇄하는 한편, 합법적인 트래픽에 대해서는 아무런 방해나 서비스 지연 없이 수신측에 전달하도록 구성된다.
이와 더불어, 상기 부당한 패킷에 대한 처리뿐만 아니라 정상 패킷이 공격 패킷으로 잘못 탐지되었을때 이를 다시 탐지하여 서비스 성능을 향상시키기 위한 구성이 제안되고 있다.
즉, 네트워크 트래픽에 대하여 하드웨어적으로 필터링을 일차 수행하고 다시 소프트웨어적으로 필터링을 이차 수행하는 침입방지시스템(보안시스템)이 제공되어 보다 안전하게 내부 네트워크 망을 보호하고 있다.
도 1은 이와 같이 다단계로 공격 패킷을 필터링하는 일반적인 침입방지시스템의 구성도이다.
도시된 바에 따르면, 침입방지시스템은 공격 패킷에 대한 보안정책(공격룰)을 로딩하기 위한 메모리(SRAM)(1) 및 상기 보안정책을 적용하여 공격 패킷을 필터링하기 위한 탐지/차단 모듈(3)이 구비된 ASIC기반의 패킷전용처리부(5)가 구비된다. 상기 패킷전용처리부(5)는 정적 공격, 즉 단위 패킷만으로 공격 특성을 판단할 수 있는 공격 여부를 일차 필터링한다.
상기 패킷전용처리부(5)에서 처리된 결과를 선별하여 제공받고 일정 시간동안 발생되는 패킷 스트림을 분석하여 이차적으로 공격 패킷을 필터링하는 소프트웨어엔진부(7)가 제공된다. 상기 소프트웨어엔진부(7)에는 상기 처리된 결과로서 유입된 패킷에 대한 차단결과정보, 일차 필터링된 패킷정보, 상기 패킷전용처리부(5)에서 유입된 패킷(즉 전체패킷, 정상패킷, 임의의 조건에 따른 패킷의 일부 정보-헤더정보 등)을 사용자 설정에 의해 선택적으로 전달받으며, 관리자 경보기능(Alert)을 수행하는 패킷처리부(9)와, 상기 유입된 패킷정보 중에서 정상패킷에 대해 패턴 매칭을 다시 수행하여 공격탐지를 탐지하는 S/W탐지부(11)가 제공된다.
그리고, 상기 공격 패킷에 대한 탐지결과 정보를 제공받으며 공격룰을 생성하며 상기 공격룰을 공격 패킷의 탐지에 적용하도록 제공하는 운영모듈부(13)가 구성된다. 상기 운영모듈부(13)은 상기 공격룰를 상기 패킷전용처리부(5)와 소프트웨어엔진부(7)에 온라인으로 전송한다.
이러한 구성에 따르면, 상기 패킷전용처리부(5)가 일차적으로 패킷정보의 공격여부를 판단하여 대응정책을 적용하고, 상기 패킷전용처리부(5)로부터의 유입된 패킷 정보중에서 아이피(IP) 및 티씨피(TCP) 단으로 쪼개져서 전달되는 패킷 모두에 대해 패턴 매칭을 수행하여 누락될 수 있는 탐지를 소프트웨어엔진부(7)가 이차적으로 다시 수행한다. 따라서 상기 소프트웨어엔진부(7)는 패킷 정보가 공격 패킷으로 판단하면 다시 패킷전용처리부(5)로 대응정책을 전송하고 상기 패킷전용처리부(5)는 상기 대응정책에 따라 정의된 일정 시간동안 상기 패킷 IP(공격자 IP)로부터 유입되는 모든 패킷정보를 차단하게 된다. 이때 상기 패킷 접속과 차단에 대한 탐지결과는 관리자가 확인가능하도록 실시간으로 화면 표시된다.
그러나, 종래 침입방지시스템에서 공격 패킷에 대한 필터링을 수행하는데 있어서 다음과 같은 문제점이 있었다.
종래에는 패킷에 대한 공격여부를 탐지하는데 있어, 다음 [표 1]에 정의된 공격룰을 근거로 판단하고 있다.
[표 1]
적용여부 룰식별자 SRC IP SRC PORT DST IP DST PORT 패킷헤더 상세정보(예: TCP Flag, IP Totlen 등) 패킷 Payload 정보(공격컨텐츠정보) 대응정책(차단/접속/경고 등)
하지만, 상기 [표 1]에 정의된 공격룰에는 패킷정보를 탐지하고 그 탐지결과에 따라 차단/접속과 같은 대응정책 정보만을 포함한다.
따라서 상기 공격룰이 종래 침입방지시스템에 전송되어 적용되면, 상기 공격룰에 의해서만 공격 패킷을 탐지하고 탐지된 이후에는 차단/접속/경고 등의 일반 대응정책만을 수행하게 된다. 이 경우, 정상적인 패킷이 공격 패킷으로 탐지되는 오탐이 발생된 경우에는, 이미 상기 오탐과 대응되는 패킷에 대한 대응정책이 차단으로 설정되어 처리된 상태이기 때문에, 정상 패킷일지라도 네트워크 서비스에서 정상적인 웹 접속 서비스가 차단되거나 또는 정상적인 메일의 송수신이 차단되는 것과 같은 서비스 장애를 발생시키게 된다.
그리고, 설명한 바와 같이 정상 패킷을 잘못 탐지하는 경우에 대비하여 공격룰의 대응정책에서 공격 패킷에 대해 탐지모드로만 설정하게 되면 탐지모드에서 탐지한 실제 공격 패킷에 대해 적극적으로 대처할 수 없다. 다시 말해, 종래 침입방지시스템에서는 오탐에 대한 대응정책이 탐지 후 차단/접속 상태만이 제공되고 있어 공격 패킷에 대한 침입방지를 제대로 적용할 수 없었다.
이에 본 발명은 상기한 문제점을 해결하기 위하여 안출된 것으로서, 이차적으로 탐지된 공격에 적용되는 공격룰 정보를 별도 관리하고, 그 공격룰의 누적된 정보 결과를 참조하여 유해 트래픽 발생 예측과 함께 정상 패킷에 대한 오탐을 최소화하도록 제어하는 침입방지시스템 및 그 제어방법을 제공함에 그 목적이 있는 것이다.
상기한 목적을 달성하기 위하여 본 발명에 의한 침입방지시스템은, 침입방지 시스템에 있어서, 소정 공격룰 적용에 따라 패킷정보를 소프트웨어적으로 탐지하는 탐지부, 상기 탐지결과 상기 공격룰의 특성에 따라 탐지된 공격패킷에 대한 공격룰 발생정보를 저장하는 저장부, 그리고 상기 공격룰 발생정보를 미리 설정한 임계값과 비교하고 임계값 초과시에 상기 공격패킷을 선택적으로 차단하도록 대응모드를 제공하는 분석대응모듈을 포함하는 것을 특징으로 한다.
본 발명은 상기 탐지부의 탐지결과를 제공받아 분석하며, 상기 탐지부에 적용되는 상기 공격룰을 생성하여 제공하는 운영모듈부를 더 포함하여 구성된다.
본 발명은 하드웨어적인 필터링을 수행하는 패킷처리모듈로부터 패킷정보를 전달받아 관리자 경보기능을 수행하며, 상기 패킷정보를 상기 공격룰 특성에 따라 상기 탐지부로 전송하는 패킷처리부를 더 포함하여 구성된다.
본 발명의 상기 패킷처리부는 상기 패킷처리모듈이 네트워크로 유입되는 패킷정보에 대한 공격 탐지에 제한이 있는 경우 일부를 상기 탐지부로 분산 제공한다.
또한, 상기한 목적을 달성하기 위하여 본 발명에 다른 실시 예에 의한 침입방지시스템은, 침입방지시스템에 있어서, 패킷정보에 대한 하드웨어적인 필터링을 일차 수행하는 패킷전용처리모듈, 그리고 상기 패킷전용처리모듈로부터 전달된 패킷정보에 대한 소프트웨어적인 필터링을 이차 수행하고 탐지된 공격 패킷에 대한 공격룰 정보를 관리한 후 대응정책을 적용하는 소프트웨어탐지모듈을 포함하는 것을 특징으로 한다.
본 발명의 상기 소프트웨어탐지모듈은, 상기 패킷전용처리모듈로부터 패킷정 보를 전달받고 상기 공격룰 특성에 따라 패킷정보를 분류하는 패킷처리부, 상기 패킷처리부로부터 패킷정보를 전달받고 소프트웨어적으로 탐지하는 탐지부, 상기 탐지결과 상기 공격룰의 특성에 따라 탐지된 공격패킷에 대한 공격룰 발생정보를 저장하는 저장부, 그리고 상기 공격룰 발생정보를 임계값과 비교하고 임계값 초과시에 상기 공격패킷을 선택적으로 차단하는 대응모듈을 포함하여 구성된다.
본 발명에서 상기 공격룰은, 오탐지수준, 룰 적용수준, 컨텐츠분석레벨, 그리고 오탐수준별 대응모드 정보를 포함하여 구성된다.
본 발명에서 상기 오탐지수준은 정상 패킷의 오탐 가능성에 따라 임의로 설정할 수 있다.
본 발명의 상기 룰 적용수준은, 상기 오탐지수준에 따라 하드웨어 또는/ 및 소프트웨어 방식에 의해 공격룰이 적용된다.
본 발명의 상기 컨텐츠 분석레벨은, 패킷기반, 세션기반, AP기반 중 어느 하나에 의해 탐지할 것인지를 결정하도록 한다.
본 발명의 상기 오탐 수준별 대응모드는, 차단, 탐지, 및 탐지 후 자동분석대응모드가 제공된다.
본 발명의 상기 대응모듈은 상기 공격룰 발생정보를 카운팅하여 누적관리하고 있다.
본 발명의 상기 공격룰 특성은 패킷 정보에 대하여 탐지 후 자동분석대응모드인 것이 바람직하다. 그리고 상기 공격룰 발생정보는 공격룰 식별번호, 누적건수, 발생간격이다.
또한, 본 발명에 의한 침입방지시스템의 제어방법은, 하드웨어적 필터링이 수행된 패킷정보를 전달받는 단계, 상기 패킷정보에 대하여 소프트웨어적으로 공격 탐지를 수행하는 단계, 상기 공격 탐지된 경우 해당 공격룰에 대한 발생 정보를 등록하는 단계, 상기 등록된 발생 정보의 누적 횟수와 임계값을 비교하고, 비교 결과에 따라 임계값을 초과하면 공격패킷을 차단하는 단계를 포함하는 것을 특징으로 한다.
본 발명에서 상기 패킷정보 전달은 상기 공격룰이 소프트웨어적 필터링에 적용된 경우에 수행된다.
본 발명에서 상기 공격 탐지에 의해 공격 패킷이 탐지되면 자동분석대응모드를 수행하도록 하는 것이 바람직하다.
본 발명에서 상기 공격룰의 발생 정보는 탐지된 공격 패킷에 대한 공격룰 식별번호, 누적건수, 발생간격이다.
본 발명에서 제공하는 상기 임계값은 상기 공격패킷을 탐지한 공격룰의 발생정보에 따라 공격패킷을 차단하도록 미리 설정되는 것이다.
본 발명의 상기 공격룰은, 오탐지수준, 룰 적용수준, 컨텐츠분석레벨, 그리고 오탐수준별 대응모드 정보를 포함하여 이루어진다.
본 발명에서 상기 오탐지수준은 정상 패킷의 오탐 가능성에 따라 임의로 설정하고, 상기 룰 적용수준은 상기 오탐지수준에 따라 하드웨어 또는/ 및 소프트웨어 방식에 의해 공격룰을 적용하고, 상기 컨텐츠 분석레벨은, 패킷기반, 세션기반, AP기반을 선택적으로 분석하도록 하고, 상기 오탐 수준별 대응모드는, 차단, 탐지, 및 탐지 후 자동분석대응모드가 적용되도록 한다.
본 발명은 상기 공격룰의 오탐지수준에 따라 상기 오탐 수준별 대응모드를 선택적으로 적용하게 된다.
본 발명은 상기 등록된 정보의 누적 횟수에 의하여 유해트래픽 발생을 인지하고 상기 자동분석대응모드를 적용하게 된다.
또한, 본 발명에 의한 다른 기술적 특징은, 네트워크로부터 트래픽이 발생하는 단계와, 상기 발생된 트랙픽의 패킷 정보에 대하여 하드웨어적 필터링을 수행하는 단계와, 상기 하드웨어적 필터링에 의해 필터링된 패킷 정보 또는 상기 하드웨어적 필터링이 수행되지 않은 패킷 정보를 소프트웨어적으로 탐지하도록 분산 제공하는 단계를 포함하게 된다.
이와 같은 구성을 갖는 본 발명에 따르면, 유입된 트래픽에서 공격 패킷을 탐지하는 경우에 그 공격에 대한 공격룰을 별도 관리하고 누적된 결과를 기반으로 공격 패킷을 차단 적용함을 알 수 있으며, 유해트래픽 발생 여부를 예측할 수 있다.
이하, 본 발명에 의한 침입방지시스템 및 그 제어방법을 첨부된 도면에 도시된 바람직한 실시 예를 참조하여 상세하게 설명한다.
도 2에는 본 발명의 바람직한 실시 예에 따른 침입방지시스템 구성도가 도시되어 있다.
본 발명의 침입방지시스템의 구성은 종래 침입방지시스템 구성과 유사하며, 이에 상이한 구성을 중점적으로 설명하기로 한다.
도면을 참조하면, 외부 네트워크에서 유입되는 트래픽 공격을 차단하기 위하여 하드웨어적인 필터링을 수행하는 패킷전용처리부(100)와 소프트웨어적인 필터링을 수행하는 소프트웨어엔진부(120)가 구비된다. 그리고 공격 패킷에 대한 대응방안으로서의 공격룰을 생성하고 이를 상기 패킷전용처리부(100)와 소프트웨어엔진부(120)에 전달하는 운영모듈부(130)가 구비된다. 통상 상기 공격룰은 상기 운영모듈부(130)로부터 온라인 방식으로 전송된다.
상기 소프트웨어엔진부(120)는, 상기 패킷전용처리부(100)에서 처리된 결과로서 유입된 패킷에 대한 차단결과정보, 일차로 필터링된 패킷정보, 상기 패킷전용처리부에서 유입된 패킷(즉 전체패킷, 정상패킷, 임의의 조건에 따른 패킷의 일부 정보-헤더정보등)을 사용자 설정에 의해 선택적으로 전달받으며, 관리자 경보기능을 수행하는 패킷처리부(122)와, 상기 패킷처리부(122)에 전달된 공격 패킷을 다시 탐지하는 S/W탐지부(124)가 제공된다. 그리고 상기 S/W탐지부(124)에 의해 공격 패킷으로 탐지되면 해당 공격 패킷에 대한 공격룰 발생정보를 누적 관리하여 재분석하도록 상기 탐지된 공격에 대한 상기 발생정보를 저장하는 관리맵(128)이 구비된다. 상기 관리맵(128)을 참조하고 미리 설정된 임계치와의 비교에 따라 대응정책을 상기 패킷처리부(122)로 전송하여 탐지된 패킷IP이 차단되도록 하는 분석대응부(126)가 구비된다. 상기 관리맵(128)은 단위 시간별로 클리어(clear)된다.
그리고 상기 재분석은 상기 공격룰의 대응모드별로 모두 적용되는 것이 아니고, 공격룰 특성이 자동분석대응대상이며 탐지 모드인 경우로 한정된다.
한편, 본 발명에 적용되는 공격룰은 다음 [표 2]와 같이 정의된다. 공격룰은 앞서 종래기술에서 설명한 보안정책정보에 오탐지수준/룰 적용수준/컨텐츠분석레벨/오탐수준별대응 정보가 추가되는 정보이다. 이러한 공격룰도 미리 설정되며 침입방지시스템의 로딩시점에 운영모듈부(130)로부터 제공되어 패킷정보에 대한 탐지모드를 제공한다. 상기 추가된 공격룰은 다음 [표 2]와 같이 정의한다.
[표 2]
기존 룰 정보 오탐지 수준 룰 적용수준 컨텐츠 분석레벨 오탐수준별 대응모드
-표 1- 1: 오탐가능성5%이하 2: 오탐가능성5%이상 3: 오탐가능성 50%이상 0 : H/W만 적용 1 : S/W만 적용 3 : H/W, S/W모두 적용 0: 패킷 1 : 세션 2 : AP 분석 차단 탐지후 자동분석 탐지
여기서, 상기 오탐지 수준은, 정상 패킷에 대한 오탐 가능성에 따라 복수 단계로 구분할 수 있다. 본 발명에서는 이를 3단계로 정의한다. 제 1단계는 오탐 가능성이 5%이하인 경우, 제 2단계는 오탐 가능성이 5% 이상인 경우, 제 3단계는 오탐 가능성이 50%이상인 경우이다. 상기 제 2단계는 오탐지 발생가능성을 모니터링 한 후에 유입되는 패킷을 차단해야 하는 경우이고, 상기 제 3단계는 상기 패킷정보의 공격룰의 속성자체인 아이피(IP), 포트(Port) 등의 헤더 및 컨텐츠 정보를 탐지모드로만 운영되어야 할 수준이다. 물론, 상기 오탐 가능성의 각각의 %는 각 사이트에 따른 요구에 의해 조정 가능하다.
이러한 오탐지 수준에 의해 공격룰의 적용수준이 결정된다. 상기 적용수준은 상기 오탐수준에 따라 상기 패킷전용처리부(100)만 적용할지, 또는 상기 소프트웨어엔진부(120)만 적용할지, 또는 상기 패킷전용처리부(100)와 소프트웨어엔진부(120)에 모두 적용할지가 결정된다.
또한, 컨텐츠 분석레벨은 패킷기반, 세션기반, AP분석기반 중 어느 하나의 방식으로 탐지할 수 있도록 한다.
또한, 오탐 수준별 대응을 결정한다. 상기 오탐 수준별 대응에는 공격 패킷으로 탐지된 경우에 차단/접속으로만 설정되지 않고, 탐지 이후에 그 공격 패킷에 대해 자동분석대응모드가 실시되도록 제공한다. 상기 자동분석대응모드는 오탐 가능성이 높은 공격룰에 대해 별도 관리하여 분석하도록 하고, 그 분석결과에 따라 미리 설정된 대응모드를 적용하도록 한다.
이어 상기한 바와 같은 구성을 가지는 본 발명에 의한 침입방지시스템의 제어방법을 도 2 및 도 3을 참고하여 상세하게 설명한다.
먼저, 본 발명의 침입방지시스템으로 유입되는 패킷 정보에 대하여 공격룰을 어떤 방식으로 적용할 것인지를 결정한다(제 200 단계). 상기 공격룰은 종래 제공되는 보안정책(표 1) 이외에 오탐지수준, 룰 적용수준, 컨텐츠 분석레벨, 오탐수준별 대응모드가 포함된다. 이에 본 발명의 실시 예에서는 상기 패킷전용처리부(100)로부터 유입되는 패킷정보를 탐지함에 있어 룰 적용수준이 하드웨어적/소프트웨어적으로 모두 탐지할 수 있도록 설정된다. 아울러 상기 소프트웨어엔진부(120)에서 공격패킷을 탐지한 경우 대응모드로서 탐지후 자동분석대응모드가 실행되도록 설정된다. 물론, 상기 오탐지수준 및 컨텐츠 분석레벨도 사용자 설정에 의해 결정된다. 이와 같이 결정된 공격룰은 침입방지시스템이 구동될 때 로딩 시점에 운영모듈부(130)로부터 전송되어 탐지 동작에 적용되도록 한다.
다음, 상기 공격룰이 적용된 상태에서 다량의 트래픽이 발생되어 패킷전용처 리부(100)로 유입된다. 그러면 제 202 단계에서 상기 패킷전용처리부(100)는 패킷정보의 공격여부를 탐지하고 그 탐지결과에 따라 대응정책을 적용한다. 즉 정상패킷인 경우 서비스가 정상적으로 이루어지도록 한다. 또한, 제 204 단계와 같이 상기 패킷처리부(122)는 상기 패킷전용처리부(100)에서 상기 탐지결과 정보와 함께 유입된 패킷(즉 전체패킷, 정상패킷, 임의의 조건에 따른 패킷의 일부 정보-헤더정보 등)을 사용자 설정에 의해 선택적으로 전달받고, 상기 탐지결과 정보를 운영모듈부(130)로 전달하거나, 또는 상기 운영모듈부(130)로부터 전송받은 공격룰 특성에 따라 상기 유입된 패킷을 S/W탐지부(124)로 전달한다. 이는 상기 공격룰 특성이 상기 유입되는 패킷에 대해 하드웨어 및 소프트웨어를 모두 적용하여 공격패킷을 탐지하도록 설정된 경우이다. 만일 하드웨어로만 탐지모드가 설정된 경우에는 상기 패킷에 대한 공격여부를 판단하고 대응정책에 따라 차단/접속하게 된다.
다음으로, 상기 S/W탐지부(124)는 상기 유입된 패킷들에 대하여 공격룰에 의해 공격 탐지를 이차적으로 수행한다(제 206 단계, 제 208 단계). 그리고 제 210 단계와 같이 상기 공격 탐지 수행에 따라 탐지가 되지 않는 경우 즉 정상 패킷으로 판단된 경우에는 그 패킷이 요구하는 서비스를 제공하도록 한다(제 222 단계). 물론 탐지가 되어 공격 패킷으로 판단된 경우에는 패킷 접속을 차단하게 된다.
그러나, 본 발명에서는 탐지가 된 공격 패킷을 바로 차단하지 않고 제 212 단계와 같이 이를 후술하는 자동분석대응모드에 의해 별도 관리하도록 한다. 이는 정상 패킷을 공격 패킷으로 잘못 탐지할 수 있으며, 이러한 오탐에 따라 대응정책으로서의 서비스 차단을 바로 적용하는 경우에는 서비스 제공에 문제가 발생할 수 있기 때문이다.
따라서, 상기 S/W탐지부(124)의 탐지결과에 따라 공격 패킷이 탐지가 되었을 때 그에 대한 대응모드가 자동분석대응모드인 경우이면, 우선 상기 S/W탐지부(124)는 상기 탐지된 공격 패킷에 대한 공격룰의 발생정보로서의 룰 식별번호(ID), 누적건수, 발생간격 등을 관리맵(128)에 등록하도록 한다(제 214 단계).
상기 관리맵(128)에는 소프트웨어에 의해 공격 패킷으로 판단된 패킷 정보에 대한 공격룰 발생정보가 누적되어 등록된다. 즉 임의의 서비스 요청에 대한 패킷정보가 공격 패킷일지라도 이를 바로 차단하지 않고 이를 탐지한 공격룰을 별도로 관리하고 있다.
다음, 상기 분석대응부(126)는 상기 S/W탐지부(124)로부터 전달되는 공격룰 발생정보를 관리맵(128)에서 카운트한다. 상기 공격룰 발생정보가 관리맵(128)에 이미 등록된 경우에는 그 공격룰 발생정보를 카운팅하여 누적시키고, 최초 공격룰 정보인 경우에는 이를 등록하면서 카운팅 과정을 수행하도록 한다.
이후, 제 216 단계에서 상기 분석대응부(126)는 상기 공격룰 발생정보가 카운팅되는 횟수를 일정한 임계값과 비교한다. 상기 임계값은 상기 공격패킷을 탐지한 공격룰의 발생정보에 따른 차단모드의 적용여부를 판단하도록 미리 설정되어 있는 값이다. 그와 같이 상기 분석대응부(126)가 카운팅을 하면서 임계값과 비교한 후, 상기 비교결과 임계값에 도달되지 않는 경우에는 상기 분석대응부(126)는 상기 공격룰에 대한 발생정보를 운영모듈부(130)로 통보하기만 한다(제 217 단계).
그러나 만일 상기 임계값을 초과하게 되면 정해진 시간내에 상기 분석대응 부(126)는 상기 패킷처리부(122)를 통해 해당되는 패킷IP를 차단하도록 차단모드를 자동으로 적용하거나 또는 운영모듈부(130)로 통보하여 공격룰 변경을 할 수 있도록 한다(제 218 단계, 제 220 단계). 여기서 상기 공격룰 발생정보를 저장하는 관리맵(128)는 단위 시간별로 상기 누적된 카운터가 클리어된다(제 219 단계).
한편, 본 발명은 공격 패킷에 대한 공격룰이 적용되어 탐지를 하는 경우에 그 탐지결과를 근거로 유해 트래픽의 발생 가능성을 예측할 수도 있다. 임의의 패킷이 계속 발생되고 이에 대해 공격룰은 공격 패킷으로 판단하면서 그 공격룰의 발생정보를 누적관리하기 때문에, 어느 패킷이 공격적으로 발생되고 있음을 알 수 있는 것이다.
이상과 같이, 본 발명의 도시된 실시 예를 참고하여 설명하고 있으나, 이는 예시적인 것들에 불과하며, 본 발명이 속하는 기술 분야의 통상 지식을 가진 자라면 본 발명의 요지 및 범위에 벗어나지 않으면서도 다양한 변형, 변경 및 균등한 타 실시 예들이 가능하다는 것을 명백하게 알 수 있을 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 청구범위의 기술적인 사상에 의해 정해져야 할 것이다.
이상에서 설명한 바와 같이 본 발명의 침입방지시스템 및 그 제어방법에 따르면, 정상 패킷을 공격 패킷으로 잘못 탐지하게 되는 가능성이 있는 공격룰을 별도로 누적 관리하고, 그 누적된 공격룰 정보를 미리 설정한 임계값과 비교한 후 임 계값을 초과하는 경우에 한하여 공격 패킷을 차단적용하기 때문에, 오탐지로 인하여 정상 패킷이 요구하는 서비스를 바로 차단하는 경우를 최소화할 수 있어 네트워크 서비스를 효율적으로 제공하는 효과가 있다.
또한, 본 발명은 공격룰 정보에 따라 유해 트래픽의 발생 가능성을 예측하여 방어할 수 있다.
또한, 본 발명은 유입되는 트래픽에 대하여 공격룰을 하드웨어적 또는 소프트웨어적으로 분산 처리할 수 있어 서비스 속도를 향상시킬 수 있다.

Claims (24)

  1. 침입방지시스템에 있어서,
    소정 공격룰 적용에 따라 패킷정보를 소프트웨어적으로 탐지하는 탐지부,
    상기 탐지결과 상기 공격룰의 특성에 따라 탐지된 공격패킷에 대한 공격룰 발생정보를 저장하는 저장부, 그리고
    상기 공격룰 발생정보를 미리 설정한 임계값과 비교하고 임계값 초과시에 상기 공격패킷을 선택적으로 차단하도록 대응모드를 제공하는 분석대응모듈을 포함하는 것을 특징으로 하는 침입방지시스템.
  2. 제 1항에 있어서,
    상기 탐지부의 탐지결과를 제공받아 분석하며, 상기 탐지부에 적용되는 상기 공격룰을 생성하여 제공하는 운영모듈부를 더 포함하는 것을 특징으로 하는 침입방지시스템.
  3. 제 1항에 있어서,
    하드웨어적인 필터링을 수행하는 패킷처리모듈로부터 패킷정보를 전달받아 관리자 경보기능을 수행하며, 상기 패킷정보를 상기 공격룰 특성에 따라 상기 탐지부로 전송하는 패킷처리부를 더 포함하는 것을 특징으로 하는 침입방지시스템.
  4. 제 3항에 있어서,
    상기 패킷처리부는 상기 패킷처리모듈이 네트워크로 유입되는 패킷정보에 대한 공격 탐지에 제한이 있는 경우 일부를 상기 탐지부로 분산 제공하는 것을 특징으로 하는 침입방지시스템.
  5. 침입방지시스템에 있어서,
    패킷정보에 대한 하드웨어적인 필터링을 일차 수행하는 패킷전용처리모듈, 그리고
    상기 패킷전용처리모듈로부터 전달된 패킷정보에 대한 소프트웨어적인 필터링을 이차 수행하고 탐지된 공격 패킷에 대한 공격룰 정보를 관리한 후 대응정책을 적용하는 소프트웨어탐지모듈을 포함하는 것을 특징으로 하는 침입방지시스템.
  6. 제 5항에 있어서,
    상기 소프트웨어탐지모듈은,
    상기 패킷전용처리모듈로부터 패킷정보를 전달받고 상기 공격룰 특성에 따라 패킷정보를 분류하는 패킷처리부,
    상기 패킷처리부로부터 패킷정보를 전달받고 소프트웨어적으로 탐지하는 탐지부,
    상기 탐지결과 상기 공격룰의 특성에 따라 탐지된 공격패킷에 대한 공격룰 발생정보를 저장하는 저장부, 그리고
    상기 공격룰 발생정보를 임계값과 비교하고 임계값 초과시에 상기 공격패킷을 선택적으로 차단하는 분석대응모듈을 포함하는 것을 특징으로 하는 침입방지시스템.
  7. 제 1항 또는 제 5항에 있어서,
    상기 공격룰은,
    오탐지수준, 룰 적용수준, 컨텐츠분석레벨, 그리고 오탐수준별 대응모드 정보를 포함하는 것을 특징으로 하는 침입방지시스템.
  8. 제 7항에 있어서,
    상기 오탐지수준은 정상 패킷의 오탐 가능성에 따라 임의로 설정하는 것을 특징으로 하는 침입방지시스템.
  9. 제 7항에 있어서,
    상기 룰 적용수준은, 상기 오탐지수준에 따라 하드웨어 또는/및 소프트웨어 방식에 의해 공격룰이 적용되는 것을 특징으로 하는 침입방지시스템.
  10. 제 7항에 있어서,
    상기 컨텐츠 분석레벨은,
    패킷기반, 세션기반, AP기반 중 어느 하나의 방식인 것을 특징으로 하는 침 입방지시스템.
  11. 제 7항에 있어서,
    상기 오탐 수준별 대응모드는,
    차단, 탐지, 및 탐지 후 자동분석대응모드인 것을 특징으로 하는 침입방지시스템.
  12. 제 1항 또는 제 6항에 있어서,
    상기 분석대응모듈은 상기 공격룰 발생정보를 카운팅하여 누적관리하는 것을 특징으로 하는 침입방지시스템.
  13. 제 6항에 있어서,
    상기 공격룰 특성은 패킷 정보에 대하여 탐지 후 자동분석대응모드인 것을 특징으로 하는 침입방지시스템.
  14. 제 12항에 있어서,
    상기 공격룰 발생정보는 공격룰 식별번호, 누적건수, 발생간격인 것을 특징으로 하는 침입방지시스템.
  15. 하드웨어적 필터링이 수행된 패킷정보를 전달받는 단계,
    상기 패킷정보에 대하여 소프트웨어적으로 공격 탐지를 수행하는 단계,
    상기 공격 탐지된 경우 해당 공격룰에 대한 발생 정보를 등록하는 단계, 그리고
    상기 등록된 발생 정보의 누적 횟수와 임계값을 비교하고, 비교 결과에 따라 임계값을 초과하면 공격패킷을 차단하는 단계를 포함하는 것을 특징으로 하는 침입방지시스템의 제어방법.
  16. 제 15항에 있어서,
    상기 패킷정보 전달은 상기 공격룰이 소프트웨어적 필터링에 적용된 경우에 실행되는 것을 특징으로 하는 침입방지시스템의 제어방법.
  17. 제 15항에 있어서,
    상기 공격 탐지에 의해 공격 패킷이 탐지되면 자동분석대응모드를 수행하는 것을 특징으로 하는 침입방지시스템의 제어방법.
  18. 제 15항에 있어서,
    상기 공격룰의 발생 정보는 탐지된 공격 패킷에 대한 공격룰 식별번호, 누적건수, 발생간격인 것을 특징으로 하는 침입방지시스템의 제어방법.
  19. 제 15항에 있어서,
    상기 임계값은 상기 공격패킷을 탐지한 공격룰의 발생정보에 따라 공격패킷을 차단하도록 미리 설정되어 제공하는 것을 특징으로 하는 침입방지시스템의 제어방법.
  20. 제 15항에 있어서,
    상기 공격룰은,
    오탐지수준, 룰 적용수준, 컨텐츠분석레벨, 그리고 오탐수준별 대응모드 정보를 포함하여 이루어지는 것을 특징으로 하는 침입방지시스템의 제어방법.
  21. 제 20항에 있어서,
    상기 오탐지수준은 정상 패킷의 오탐 가능성에 따라 임의로 설정하고,
    상기 룰 적용수준은 상기 오탐지수준에 따라 하드웨어 또는/ 및 소프트웨어 방식에 의해 공격룰을 적용하고,
    상기 컨텐츠 분석레벨은, 패킷기반, 세션기반, AP기반 중 어느 하나를 선택하도록 하고,
    상기 오탐 수준별 대응모드는, 차단, 탐지, 및 탐지 후 자동분석대응모드가 적용되는 것을 특징으로 하는 침입방지시스템의 제어방법.
  22. 제 20항 또는 제 21항에 있어서,
    상기 공격룰의 오탐지 수준에 따라 상기 오탐 수준별 대응모드를 대응되게 적용하는 것을 특징으로 하는 침입방지시스템의 제어방법.
  23. 제 15항 또는 제 21항에 있어서,
    상기 등록된 정보의 누적 횟수에 의하여 유해트래픽 발생을 인지하고 상기 자동분석대응모드를 적용하는 것을 특징으로 하는 침입방지시스템의 제어방법.
  24. 네트워크로부터 트래픽이 발생하는 단계와,
    상기 발생된 트랙픽의 패킷 정보에 대하여 하드웨어적 필터링을 수행하는 단계와,
    상기 하드웨어적 필터링에 의해 필터링된 패킷 정보 또는 상기 하드웨어적 필터링이 수행되지 않은 패킷 정보를 소프트웨어적으로 탐지하도록 분산 제공하는 단계를 포함하는 것을 특징으로 하는 침입방지시스템의 제어방법.
KR1020060053964A 2006-06-15 2006-06-15 침입방지시스템 및 그 제어방법 KR101268104B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060053964A KR101268104B1 (ko) 2006-06-15 2006-06-15 침입방지시스템 및 그 제어방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060053964A KR101268104B1 (ko) 2006-06-15 2006-06-15 침입방지시스템 및 그 제어방법

Publications (2)

Publication Number Publication Date
KR20070119382A true KR20070119382A (ko) 2007-12-20
KR101268104B1 KR101268104B1 (ko) 2013-05-29

Family

ID=39137718

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060053964A KR101268104B1 (ko) 2006-06-15 2006-06-15 침입방지시스템 및 그 제어방법

Country Status (1)

Country Link
KR (1) KR101268104B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101275709B1 (ko) * 2011-12-22 2013-07-30 (주)소만사 응용프로토콜별 분산처리기능을 제공하는 네트워크 기반의 ndlp용 패킷 처리 시스템 및 방법
WO2014021863A1 (en) * 2012-07-31 2014-02-06 Hewlett-Packard Development Company, L.P. Network traffic processing system
KR20200039549A (ko) * 2018-10-05 2020-04-16 (주)피즐리소프트 야라 탐지 기술과 연동하여 암호화 트래픽 가시성을 제공하는 패킷 기반 위협 탐지 방법
CN114285624A (zh) * 2021-12-21 2022-04-05 天翼云科技有限公司 攻击报文识别方法、装置、网络设备和存储介质

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102014044B1 (ko) 2019-02-18 2019-10-21 한국남동발전 주식회사 L2 패킷 차단이 가능한 침입 방지 시스템 및 방법

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101275709B1 (ko) * 2011-12-22 2013-07-30 (주)소만사 응용프로토콜별 분산처리기능을 제공하는 네트워크 기반의 ndlp용 패킷 처리 시스템 및 방법
WO2014021863A1 (en) * 2012-07-31 2014-02-06 Hewlett-Packard Development Company, L.P. Network traffic processing system
CN104488229A (zh) * 2012-07-31 2015-04-01 惠普发展公司,有限责任合伙企业 网络业务处理系统
US9544273B2 (en) 2012-07-31 2017-01-10 Trend Micro Incorporated Network traffic processing system
KR20200039549A (ko) * 2018-10-05 2020-04-16 (주)피즐리소프트 야라 탐지 기술과 연동하여 암호화 트래픽 가시성을 제공하는 패킷 기반 위협 탐지 방법
KR20200039550A (ko) * 2018-10-05 2020-04-16 (주)피즐리소프트 고속 트래픽 내 실시간 암호화 패킷 분리 식별 기술과 식별된 패킷에 대한 야라 탐지 기술 연동 기법과 장치
KR20200039551A (ko) * 2018-10-05 2020-04-16 (주)피즐리소프트 암호화 트래픽 가시성을 제공하는 패킷 기반 위협 탐지 방법
CN114285624A (zh) * 2021-12-21 2022-04-05 天翼云科技有限公司 攻击报文识别方法、装置、网络设备和存储介质
CN114285624B (zh) * 2021-12-21 2024-05-24 天翼云科技有限公司 攻击报文识别方法、装置、网络设备和存储介质

Also Published As

Publication number Publication date
KR101268104B1 (ko) 2013-05-29

Similar Documents

Publication Publication Date Title
KR101404352B1 (ko) 정보 시스템 기반구조의 보안 정책 조정 방법
US7526806B2 (en) Method and system for addressing intrusion attacks on a computer system
CN100443910C (zh) 主动网络防护系统与方法
US7757285B2 (en) Intrusion detection and prevention system
US7832009B2 (en) Techniques for preventing attacks on computer systems and networks
US7039950B2 (en) System and method for network quality of service protection on security breach detection
US7889735B2 (en) Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs
US20100251370A1 (en) Network intrusion detection system
EP1911241B1 (en) Method for defending against denial of service attacks in ip networks by target victim self-identification and control
US20060168649A1 (en) Method and system for addressing attacks on a computer connected to a network
US8839406B2 (en) Method and apparatus for controlling blocking of service attack by using access control list
KR101268104B1 (ko) 침입방지시스템 및 그 제어방법
KR100756462B1 (ko) 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법
JP2005134972A (ja) ファイアウォール装置
KR101343693B1 (ko) 네트워크 보안시스템 및 그 처리방법
KR100613904B1 (ko) 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법
KR101400127B1 (ko) 비정상 데이터 패킷 검출 방법 및 장치
CN115277173B (zh) 一种网络安全监测管理系统及方法
KR100439174B1 (ko) 라돈-씨큐리티 게이트웨이 시스템의 정책 전달 및 경보용데이터베이스 관리방법
KR20070083089A (ko) 이상 트래픽 분석방법
CN115913693A (zh) 网络安全防护方法、装置、电子设备及存储介质
CN115865517A (zh) 面向大数据应用的攻击检测方法及系统
Choudhary et al. A secure lightweight algorithm for protecting network from DoS attack

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160308

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170403

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180404

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190401

Year of fee payment: 7