KR20080040257A - 네트워크 수준의 웜, 바이러스 조기 탐지 방법 및 장치 - Google Patents
네트워크 수준의 웜, 바이러스 조기 탐지 방법 및 장치 Download PDFInfo
- Publication number
- KR20080040257A KR20080040257A KR1020060107959A KR20060107959A KR20080040257A KR 20080040257 A KR20080040257 A KR 20080040257A KR 1020060107959 A KR1020060107959 A KR 1020060107959A KR 20060107959 A KR20060107959 A KR 20060107959A KR 20080040257 A KR20080040257 A KR 20080040257A
- Authority
- KR
- South Korea
- Prior art keywords
- traffic
- network
- increase
- decrease rate
- application port
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
본 발명은 현재 그 패턴이나 특성이 알려지지 않은 웜 또는 바이러스에 의한 공격을 네트워크 수준에서 조기에 탐지하는 방법 및 장치에 관한 것으로, 네트워크상의 각 네트워크 장비로부터 트래픽 정보를 수집하고, 각 네트워크 장비별, 응용 포트 별로 분류하여 통계 데이터를 산출하여, 트래픽 증감율을 확인한 후, 상기 확인된 트래픽 증감율이 미리 설정된 임계치를 초과하는 경우, 네트워크상에 웜, 바이러스가 발생하여 확산 되고 있는 것으로 탐지하도록 구성된다.
웜, 바이러스, 트래픽, 네트워크
Description
도 1은 본 발명에 의한 네트워크 수준에서 트래픽 수집 센서와 조기 탐지 시스템 구성도,
도 2는 본 발명에 의한 조기 탐지 장치의 상세 구성을 나타낸 블록도, 그리고,
도 3은 본 발명에 의한 조기 탐지 방법에 관한 흐름도이다.
*도면의 주요 부분에 대한 부호의 설명*
111 : 전체 네트워크 112 : 하부 네트워크
113 : 네트워크 장비 121 : 조기 탐지 장치
122 : 트래픽 감지 센서
본 발명은 수집된 트래픽을 분석하여 그 추이를 조사함으로써 네트워크 상의 알려지지 않은 웜, 바이러스를 조기에 발견하기 위한 네트워크 수준의 웜, 바이러 스 조기 탐지 방법 및 장치에 관한 것이다.
최근 들어, 네트워크 통신 환경이 발전함에 따라서 해커의 네트워크 불법 침입, 컴퓨터 바이러스의 유포 등 유해 트래픽이 폭증하는 경우가 빈번히 발생하고 있으며, 이러한 유해 트래픽의 폭발적 증가는 내부 네트워크를 구성하는 라우터 또는 백본 스위치 등을 마비시켜서 네트워크를 마비시키게 된다.
더하여, 해킹 기술이 교묘해지고 바이러스의 확산이 내부 네트워크의 노드에도 발생되기 때문에, 네트워크 관리자는 이와 같은 네트워크의 마비 상태가 무엇 때문에 발생하였는지 조차 파악하기가 쉽지 않다.
특히, 컴퓨터의 성능이 향상되고 네트워크 전송 속도가 수십 기가 BPS 이상으로 고속화되어짐에 따라, 외부 침입을 탐지하는 방화벽이 설치되어 있다하더라도 내부 네트워크에서 발생하는 유해 트래픽의 초당 수백 메가 BPS 이상 발생될 수도 있으며, 유해 트래픽 발생이 더욱 지능화됨에 따라서, 방화벽이 허용하는 포트를 이용한 유해 트래픽이 현저히 증가하고 있으며, 더욱 심각한 것은 외부로부터의 침투뿐만 아니라 내부 노드에서의 유해 트래픽 발생이 빈번해지고 있다는 점이다.
상기와 같은 문제점을 해결하기 위하여, 대한민국 공개특허 제 2005-0048019호에는 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 관한 기술이 개시되어 있다.
상기 기술은 현재 수집한 트래픽 량과 통계적으로 생성된 정상 상태를 나타 내는 트래픽량의 비교값 또는 비교 그래프 등을 모니터링하여 관리자가 상기 모니터링된 비교값과 비교 그래프를 경험적으로 분석함으로써, 현재 네트워크상에 발생한 트래픽이 이상 트래픽인지의 여부를 판단하는 방법을 제시하고 있지만, 웜이나 바이러스의 특성이 모델링된 시그니처를 기반으로 제한적으로 탐지가 이루어지는 것이기때문에, 그 특성이 알려지지 않은 웜이나 바이러스가 확산 되는 경우, 이를 조기에 탐지하는 것이 불가능하다.
따라서, 본 발명은 상기와 같은 종래 기술의 문제점을 해결하기 위한 것으로, 그 목적은 네트워크 전체에서 트래픽의 증감율을 분석하여, 알려지지 않은 웜, 바이러스의 확산을 조기에 탐지할 수 있는 네트워크 수준의 웜, 바이러스 조기 탐지 방법 및 장치를 제공하는 것을 목적으로 한다.
상기한 목적을 달성하기 위한 본 발명에 의한 웜, 바이러스의 조기 탐지 방법은, 네트워크상의 각 네트워크 장비로부터 트래픽 정보를 수집하는 단계; 상기 수집된 트래픽 정보를 각 네트워크 장비별, 응용 포트 별로 분류하여 통계 데이터를 산출하는 단계; 상기 산출된 통계 데이터를 이용하여, 트래픽 증감율을 확인하는 단계; 및 상기 확인된 트래픽 증감율이 미리 설정된 임계치를 초과하는 경우, 네트워크상에 웜, 바이러스가 발생하여 확산 되고 있는 것으로 탐지하는 단계를 포 함한다.
더하여, 본 발명은 네트워크상의 각 네트워크 장비로부터 트래픽 데이터를 수집하는 트래픽 정보 수집부; 상기 수집된 트래픽 정보를 각 네트워크 장비별, 응용 포트 별로 분류하여, 통계 데이터를 산출하는 통계처리부; 상기 산출된 통계 데이터를 이용하여 응용 포트의 트래픽 증감율을 분석하는 분석부; 및 상기 분석부의 분석결과에 따라서 트래픽 증감율이 임계치를 벗어나는 응용 포트의 트래픽을 차단하는 포트 제어부를 포함한다.
이하, 본 발명의 바람직한 실시형태가 첨부된 도면들을 참조하여 본 발명을 보다 상세히 설명한다. 도면들 중 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 참조번호로 나타내고 있음에 유의해야한다. 하기에서 본 발명을 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.
도 1은 본 발명에 의한 네트워크 수준에서의 웜, 바이러스 공격 조기 탐지 시스템의 구성도이다.
도 1을 참조하면, 전체 네트워크(111)는 관리 주체별 중소 규모의 하부 네트워크(112)들의 연결을 통해 구성된다. 상기 하부 네트워크(112)는 다른 네트워크와 의 연결을 위해 그 연결점에 네트워크 장비(113)가 위치하게 되고, 전체 네트워크(111)는 상이한 망간을 연결하기 위한 망사업자의 네트워크 장비(114)를 통해 하부 네트워크(112)들간을 연결하여 구성된다.
상기 네트워크 장비는 네트워크상에서 정보를 주고 받을 때, 통신통로를 이용하여 다른 통신망으로 전송하는 라우터일 수 있다.
상기 네트워크 인입점에 위치한 네트워크 장비(113)들만을 대상으로 하여 트래픽 수집을 위한 트래픽 감지 센서(122)를 선택적으로 설치한다. 이는 기본 네트워크들의 연결 지점에만 트래픽 감지 센서(122)를 선택적으로 운용함으로써 운용 효율을 높이기 위함이고, 또한 전체 네트워크 상의 임의의 영역에서 이상 상태가 발생하여 확산되고 있는지와 같은 전체 네트워크의 보안 상황을 인지하기 위함이다. 상기 트래픽 감지 센서(122)는 NetFlow와 같이 네트워크 장비에 탑재되어 있는 기존의 트래픽 수집 기능을 이용할 수도 있고, 소정의 트래픽 수집 센서를 개발하여 해당 네트워크 장비에 장착할 수도 있다.
더하여, 본 발명 상기 트래픽 감지 센서(122)를 통해 네트워크 장비(113)의 응용 포트별로 트래픽 정보를 수집할 수 있다.
여기서, 응용 포트는 각 네트워크 장비(113)에서 응용 서비스의 종류별로 할당된다.
조기 탐지 장치(121)는 상기 트래픽 감지 센서(122)로부터 트래픽 정보를 수집하여 네트워크수준에서 특정 트래픽의 증감율을 분석하고, 이로부터 네트워크 상에서 웜, 바이러스의 확산을 조기에 탐지한다.
더 구체적으로 설명하면, 웜이나 바이러스는 추가 감염 시도에 의해 감염된 시스템의 수가 증가하여 확산 속도 및 트래픽 증가가 지수 함수적 특징을 갖는 점을 이용하여, 트래픽 감지 센서(122)로부터 수집된 트래픽 정보를 통계/분석 처리하여, 트래픽 증감율을 산출하고, 상기 트래픽 증감율에 근거하여 웜, 바이러스의 확산을 판단한다.
도 2는 본 발명에 의한 조기 탐지 장치의 상세 구성을 나타낸 블록도로서,상기 조기탐지 장치(121)는, 네트워크상의 다수 네트워크 장비로부터 트래픽 데이터를 수집하는 트래픽 정보 수집부(210)와, 상기 수집된 트래픽 정보를 각 네트워크 장비별, 응용 포트 별로 분류하여, 통계 데이터를 산출하는 통계처리부(220)와, 상기 산출된 통계 데이터를 이용하여 응용 포트의 트래픽 증감율 및 원천지/목적지 연결성을 분석하는 분석부(230)와, 상기 분석부(230)의 분석 결과에 따라서, 증감율이 임계치를 벗어나는 경우, 해당 응용 포트의 트래픽을 차단하는 포트 제어부(240) 및 상기 트래픽 정보 수집부(210), 통계 처리부(220) 및 분석부(230)에서 각각 처리된 데이터를 저장 및 제공하는 저장부(250)를 포함하여 이루어진다.
도 3은 본 발명에 의한 상기 조기 탐지 장치(121)에 의해 이루어지는 조기 탐지 방법을 나타낸 흐름도이다.
먼저, 관리 도메인, 즉 탐지 대상 네트워크상에 존재하는 각 트래픽 감지 센서(122)로부터 원시 트래픽 정보를 수집한다(S310). 이때, 트래픽 정보는 네트워크 간의 연결점, 즉 하부 네트워크의 인입 노드에 해당하는 네트워크 장비들에서 선택적으로 수집되는 것이 바람직하다. 상기 수집된 트래픽 데이터를 각 하부 네트워크의 인입 노드 즉, 네트워크 장비별, 응용 포트별로 분류하고, 그 통계치를 갱신한다(S312). 여기서, 상기 트래픽 정보 수집(S310) 및 분류 및 갱신(S312)과정은 미리 설정된 주기 내에서 지속적으로 반복 수행되며, 이는 각 응용 포트별 트래픽 량의 증감율을 확인하기 위함이다.
이후, 소정의 시간간격으로 설정된 분석 주기가 경과 하지 않은 경우, 상기 트래픽 정보를 수집(S310), 분류 및 갱신(S312)과정을 반복하여 수행하고, 분석 주기가 경과 한 경우(S314), 분석 주기를 갱신한 후(S316), 각 인입 노드별, 응용 포트별 트래픽 량의 통계 데이터를 산출하고(S318), 상기 산출된 통계 데이터를 이용하여 상기 응용 포트별 트래픽 증감율을 확인하여, 증감율에서 큰 N(N은 1이상의 자연수로 임의로 설정된다)개의 응용 포트를 선정하고(S320), 상기 선정된 N개의 응용 포트들의 트래픽 증감율을 분석하여, 네트워크의 이상 상태 여부를 판단한다(S322). 즉, 네트워크 상에서 트래픽이 지수함수적으로 증가하는지 판단하여, 웜/바이러스의 확산을 확인하다.
보다 상세하게는, 상기 분류 및 갱신 과정(S312)에서 전처리된 트래픽 정보를 해당 응용 포트별 트래픽 플로우 수를 계산하고, 각 트래픽 감지 센서(122)로부터 원시 트래픽 정보를 기준으로 증감율이 큰 N개의 포트를 선정한다. 이때, 전체 트래픽에 대한 증감율 기준으로 최대 증감율을 갖는 포트를 선정하는 것은, 각 시스템별 또는 기본 네트워크별로 해당 웜이나 바이러스로 인한 트래픽 증감율이 미 미한 경우에도 각 센서별 트래픽이 합산된 상태에서 분석할 경우, 더 빠른 시간 내에 증감율이 유의할 만한 수준에 도달하므로 해당 웜이나 바이러스에 대한 조기 탐지가 가능하기 때문이다.
또한, 상기 최대 증감율 포트 데이터를 저장하고, 전체 응용 포트의 각 포트별 트래픽 증감율에 대해 미리 정의된 확률 분포 함수(Probability Distribution Function)에 따른 통계치를 계산하여 저장한 후, 이를 기반으로 하여 이상 여부를 판단할 수 있다.
예를 들어, 해당 트래픽 특성에 적합한 확률 분포 함수로 정규분포함수를 사용하기로 했을 경우 정상동작시에서의 각 포트별 트래픽에 대한 평균치와 편차치를 획득하여 저장한 후, 각 포트별 트래픽이 정상 범위내에 포함되는지를 확인한다. 이에 웜/바이러스의 확산으로 인한 이상 동작으로 인해 특정 포트의 트래픽에 대한 편차치가 정상 동작시의 편차치보다 커지는 것을 즉각적으로 감지할 수 있게 된다.
더하여, 본 발명은 상기 단계(S322)에서, 상기 이상 상태로 판명된 포트의 트래픽에 대한 원천지별 목적지 주소 분포와 목적지별 원천지 주소 분포에 따른 연결성 분석을 수행한다(S324).
일반적으로 웜, 바이러스의 경우 한 원천지에서 여러 목적지로 전파를 시도하므로 원천지별 목적지 주소 분포가 높아지고, 분산서비스거부 공격과 같은 네트워크 공격의 경우 여러 원천지에서 한 목적지로 트래픽이 집중되는 경향이 있으므로 목적지별 원천지 주소분포가 높아진다.
이러한, 상기와 같이 목적지-원천지의 연결성을 분석함으로써, 상기 발생한 이상 상태가 웜, 바이러스에 의한 것인지, 네트워크 거부 공격에 관한 것인지를 탐지할 수 있으며, 알려지지 않은 웜, 바이러스의 특성 추출에 이용할 수 있다.
상기 단계(S322, S324)의 분석 결과는, 관리자 또는 보안 개발자등에게 보고하여, 네트워크의 보안 상황 및 확산되는 웜/바이러스의 시그니처 생성이 가능하도록 한다(S326).
또한 분석 옵션에 따른 상기 특정 확률값을 초과하지 않은 경우에도, 각 센서별 증감율 추이에 따라 해당 센서를 통하여 연결된 하부 네트워크상에서의 이상 상태 여부 및 전체 네트워크상에서의 이상 상태 전파 정도에 대한 탐지가 가능하다. 상기 이상 상태란, 네트워크의 성능을 저하시킬 수 있는 데이터들이 비정상적으로 증가하여 네트워크의 흐름을 방해하는 상태를 의미한다.
또한, 동일 확률 값을 기준으로 해당 포트 트래픽 증가율이 상기 동일 확률 값을 초과하는 경우 해당 센서가 위치한 기본 네트워크상에서 이상 상태가 발생하고 있음을 확인할 수 있다.
한편, 상기 단계에서 산출된 통계 데이터와 미리 정의된 확률분포 함수를 기준으로 임의의 특정 포트 트래픽 증가율이 확률 분포 함수의 분석 옵션에 따른 특정 확률값을 초과할 경우 해당 응용 포트를 차단시켜 웜 또는 바이러스가 확산되고 있는 것으로 판단한다. 상태로 탐지하고, 상기 이상 상태가 발생하였음을 보고한다(S328).
상기 탐지 결과, 미리 설정된 임계치를 초과하는 경우, 상기 임계치를 초과 한 해당 센서에 연결된 네트워크의 해당 응용 포트 트래픽을 차단하여 웜, 바이러스에 네트워크상의 이상 상태를 조기에 탐지하여 대응한다(S330).
이상에서 설명한 상세한 설명 및 도면의 내용은, 본 발명의 바람직한 실시예에 한정하여 설명한 것이며, 본 발명이 이에 한정되는 것은 아니다. 본 발명의 기술적 사상 범위 내에서 본 발명에 따른 구성요소를 치환, 변경 또는 삭제가 가능할 것이다.
따라서, 본 발명의 권리범위는 상기한 설명 및 도면에 의해 결정되는 것이 아니라 첨부된 특허청구범위에 의해 결정되어 져야한다.
상술한 바와 같이 본 발명의 웜, 바이러스의 조기 탐지 방법은 여러 하부 네트워크들의 연결점으로부터 트래픽 정보를 수집하고, 이를 각 연결점의 네트워크 장비별, 응용 포트별로 트래픽의 증감율과 원천지-목적지 주소 간의 연결성에 대한 특성을 분석함으로써, 알려지지 않은 웜이나 바이러스로 인한 사용자 시스템 및 데이터에 대한 심각한 문제를 야기하기 이전에 그 대처가 가능하고, 해당 웜이나 바이러스의 시그니처를 조기에 생성하여 기존의 웜, 바이러스 탐지 시스템에 배포할 수 있다.
Claims (11)
- 네트워크상의 다수 네트워크 장비로부터 트래픽 정보를 수집하는 단계;상기 수집된 트래픽 정보를 각 네트워크 장비별, 응용 포트 별로 분류하여 통계 데이터를 산출하는 단계;상기 산출된 통계 데이터를 이용하여, 트래픽 증감율을 확인하는 단계; 및상기 확인된 트래픽 증감율이 미리 설정된 임계치를 초과하는 경우, 네트워크상에 웜, 바이러스가 발생하여 확산 되고 있는 것으로 탐지하는 단계를 포함하는 것을 특징으로 하는 네트워크 수준의 웜, 바이러스의 조기 탐지 방법.
- 제 1항에 있어서,상기 확인된 트래픽 증감율을 이용하여 최대 증감율을 갖는 응용 포트를 선정하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 수준의 웜, 바이러스의 조기 탐지 방법.
- 제 2항에 있어서,상기 선정된 응용 포트의 증감율을 분석하여 네트워크 도메인의 이상 상태 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 네트워크 수준의 웜, 바이러 스의 조기 탐지 방법.
- 제 3항에 있어서,상기 이상 상태로 판단된 응용 포트별 원천지별 목적지 수 및 목적지별 원천지 주소 분포에 따른 연결성을 분석하는 단계를 포함하는 것을 특징으로 하는 네트워크 수준의 웜, 바이러스의 조기 탐지 방법.
- 제 1항에 있어서,미리 설정된 임계치는 확률 분포 함수에 따른 특정 확률값을 의미하는 것을 특징으로 하는 네트워크 수준의 웜, 바이러스의 조기 탐지 방법.
- 제 1항에 있어서,상기 트래픽 증감율을 확인하는 단계는,상기 응용 포트별 트래픽 량의 통계 데이터와 미리 정의된 확률 분포 함수(Probability Distribution Function)를 기준으로 임의의 포트 트래픽 증가율과 상기 확률 분포 함수에 따른 특정 확률 값을 비교하는 것을 특징으로 하는 네트워크 수준의 웜, 바이러스의 조기 탐지 방법.
- 네트워크상의 각 네트워크 장비로부터 트래픽 데이터를 수집하는 트래픽 정보 수집부;상기 수집된 트래픽 정보를 각 네트워크 장비별, 응용 포트 별로 분류하여, 통계 데이터를 산출하는 통계처리부;상기 산출된 통계 데이터를 이용하여 응용 포트의 트래픽 증감율을 분석하는 분석부; 및상기 분석부의 분석결과에 따라서 트래픽 증감율이 임계치를 벗어나는 응용 포트의 트래픽을 차단하는 포트 제어부를 포함하는 것을 특징으로 하는 네트워크 수준의 웜, 바이러스의 조기 탐지 장치.
- 제 7항에 있어서,상기 트래픽 정보 수집부, 통계 처리부 및 분석부에서 각각 처리된 데이터를 저장 및 제공하는 저장부를 더 포함하는 것을 특징으로 하는 네트워크 수준의 웜, 바이러스의 조기 탐지 장치.
- 제 7항에 있어서,상기 트래픽 정보 수집부는, 네트워크들의 연결점에 위치한 네트워크 장비들 로부터 선택적으로 트래픽 데이터를 수집하는 것을 특징으로 하는 네트워크 수준의 웜, 바이러스의 조기 탐지 장치.
- 제 7항에 있어서,상기 분석부는 트래픽 증감율로부터 이상 상태를 판단하고, 이상 상태로 판단된 응용 포트의 트래픽에 대한 원천지와 목적지의 연결성 분석을 더 수행하는 것을 특징으로 하는 네트워크 수준의 웜, 바이러스의 조기 탐지 장치.
- 제 10항에 있어서,상기 분석부는 전체 트래픽에 대한 증감율을 기준으로 증감율이 큰 N개의 포트를 선정하여, 상기 선정된 포트를 대상으로 이상 상태 판단 및 분석을 수행하는 것을 특징으로 하는 네트워크 수준의 웜, 바이러스의 조기 탐지 장치.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020060107959A KR20080040257A (ko) | 2006-11-02 | 2006-11-02 | 네트워크 수준의 웜, 바이러스 조기 탐지 방법 및 장치 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020060107959A KR20080040257A (ko) | 2006-11-02 | 2006-11-02 | 네트워크 수준의 웜, 바이러스 조기 탐지 방법 및 장치 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20080040257A true KR20080040257A (ko) | 2008-05-08 |
Family
ID=39647958
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020060107959A KR20080040257A (ko) | 2006-11-02 | 2006-11-02 | 네트워크 수준의 웜, 바이러스 조기 탐지 방법 및 장치 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20080040257A (ko) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3131252A1 (en) * | 2015-08-12 | 2017-02-15 | NATEK Technologies GmbH | Method and system for network intrusion detection |
| WO2020205095A1 (en) * | 2019-04-01 | 2020-10-08 | Microsoft Technology Licensing, Llc | Real-time detection of malicious activity through collaborative filtering |
| CN114944930A (zh) * | 2022-03-25 | 2022-08-26 | 国网浙江省电力有限公司杭州供电公司 | 基于高集聚场景下的内网安全通信方法 |
-
2006
- 2006-11-02 KR KR1020060107959A patent/KR20080040257A/ko not_active Application Discontinuation
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3131252A1 (en) * | 2015-08-12 | 2017-02-15 | NATEK Technologies GmbH | Method and system for network intrusion detection |
| WO2017025243A1 (en) * | 2015-08-12 | 2017-02-16 | Natek Technologies Gmbh | Method and system for network intrusion detection |
| WO2020205095A1 (en) * | 2019-04-01 | 2020-10-08 | Microsoft Technology Licensing, Llc | Real-time detection of malicious activity through collaborative filtering |
| CN113661489A (zh) * | 2019-04-01 | 2021-11-16 | 微软技术许可有限责任公司 | 通过协作过滤实时检测恶意活动 |
| US11363037B2 (en) | 2019-04-01 | 2022-06-14 | Microsoft Technology Licensing, Llc. | Real-time detection of malicious activity through collaborative filtering |
| CN114944930A (zh) * | 2022-03-25 | 2022-08-26 | 国网浙江省电力有限公司杭州供电公司 | 基于高集聚场景下的内网安全通信方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU129279U1 (ru) | Устройство обнаружения и защиты от аномальной активности на сети передачи данных | |
| US8087085B2 (en) | Wireless intrusion prevention system and method | |
| EP1980054B1 (en) | Method and apparatus for monitoring malicious traffic in communication networks | |
| CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
| CN110249603B (zh) | 用于检测无线网络中的分布式攻击的方法和装置 | |
| US7624447B1 (en) | Using threshold lists for worm detection | |
| KR101574193B1 (ko) | 분산 서비스 거부 공격 탐지 및 방어 장치 및 방법 | |
| US20070283436A1 (en) | Method and apparatus for large-scale automated distributed denial of service attack detection | |
| Gao et al. | A dos resilient flow-level intrusion detection approach for high-speed networks | |
| KR20140088340A (ko) | 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법 | |
| CN106534068B (zh) | 一种ddos防御系统中清洗伪造源ip的方法和装置 | |
| JP6168977B2 (ja) | 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法 | |
| KR101042291B1 (ko) | 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법 | |
| JP2005210601A (ja) | 不正侵入検知装置 | |
| KR20110028106A (ko) | 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법 | |
| KR20080040257A (ko) | 네트워크 수준의 웜, 바이러스 조기 탐지 방법 및 장치 | |
| Xia et al. | Effective worm detection for various scan techniques | |
| KR100756462B1 (ko) | 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법 | |
| KR20170109949A (ko) | 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치 | |
| KR20060130892A (ko) | 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법 | |
| JP2004328307A (ja) | 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 | |
| CN113364810B (zh) | 一种链路洪泛攻击检测与防御系统及方法 | |
| JP2006325091A (ja) | ネットワーク攻撃防御システム | |
| Gamer et al. | A granularity-adaptive system for in-network attack detection | |
| KR100938647B1 (ko) | 플로우 데이터 분석 결과에 따라 이를 저장하는 장치 및방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E601 | Decision to refuse application | ||
| J201 | Request for trial against refusal decision | ||
| J121 | Written withdrawal of request for trial |