KR20080090712A - Network forensic apparatus and method thereof - Google Patents
Network forensic apparatus and method thereof Download PDFInfo
- Publication number
- KR20080090712A KR20080090712A KR1020070033878A KR20070033878A KR20080090712A KR 20080090712 A KR20080090712 A KR 20080090712A KR 1020070033878 A KR1020070033878 A KR 1020070033878A KR 20070033878 A KR20070033878 A KR 20070033878A KR 20080090712 A KR20080090712 A KR 20080090712A
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- network
- information
- traffic flow
- network traffic
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/022—Capturing of monitoring data by sampling
- H04L43/024—Capturing of monitoring data by sampling by adaptive sampling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
- H04L43/106—Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Abstract
Description
도 1은 본 발명의 네트워크 패킷 저장 장치가 네트워크 장비에 설치되어 있는 일예를 도시한 도면,1 is a diagram illustrating an example in which a network packet storage device of the present invention is installed in a network device;
도 2는 본 발명의 네트워크 패킷 저장 장치의 구성도,2 is a block diagram of a network packet storage device of the present invention;
도 3은 도 2의 패킷 캡쳐부(220)의 상세 구성도,3 is a detailed block diagram of the
도 4는 본 발명의 일실시예에 따른 네트워크 트래픽 플로우 레코드 파일, 패킷 색인 파일, 데이터 패킷 파일의 구조를 도시한 도면,4 is a diagram illustrating the structure of a network traffic flow record file, packet index file, and data packet file according to an embodiment of the present invention;
도 5는 본 발명의 네트워크 패킷 저장 방법의 흐름도이다.5 is a flowchart of a network packet storage method of the present invention.
본 발명은 네트워크 보안에 관한 것으로, 보다 상세하게는 네트워크를 통해 들어오는 데이터 패킷을 네트워크 트래픽 플로우 별로 저장하는 네트워크 패킷 저장 장치 및 그 방법에 관한 것이다.The present invention relates to network security, and more particularly, to a network packet storage device and a method for storing data packets coming through a network for each network traffic flow.
인터넷에 접속되어 있는 모든 시스템은 잠재적으로 악의적인 공격의 대상이 된다. 또한 인터넷과 분리된 사설망이라 하더라도 내부 또는 외부 사용자에 의해 서 중요한 정보가 저장되어 있는 시스템은 공격 대상이 될 수 있다. 반대로 내부자에 의해 중요한 정보가 외부로 유출될 수도 있다. 이미 많은 인터넷 서비스 제공 업체, 기업체 및 공공 기관은 보안 사고와 네트워크 공격의 대상이 된 경험이 있으며, 이에 대처하기 위해서 방화벽(firewall) 또는 침입 감지 시스템(Intrusion Detection System, IDS) 등을 네트워크에 설치하여 대응해 오고 있다.All systems connected to the Internet are potentially targeted for malicious attacks. In addition, even if the private network is separated from the Internet, a system in which important information is stored by internal or external users may be targeted. Conversely, important information may be leaked to the outside by insiders. Many Internet service providers, businesses, and public organizations have been subject to security incidents and network attacks. To cope with this, firewalls or intrusion detection systems (IDS) are installed on the network. I correspond.
그러나 네트워크 공격의 복잡성이 증가하고 그로 인한 피해가 커짐에 따라 기업체에서 보안 사고로부터 복구하는데 점점 더 많은 시간과 비용이 소요되고 있다. 이와 같은 이유로 네트워크 보안 기술은 자사의 중요 정보를 외부로부터 보호하거나 유출을 방지하기 위한 기술로 그 중요성이 증가하고 있다.However, as the complexity of network attacks increases and the resulting damage increases, organizations are increasingly spending time and money recovering from security incidents. For this reason, network security technology is increasing in importance as a technology to protect sensitive information from the outside or to prevent leakage.
네트워크 관리자가, 중요한 정보를 저장하고 있는 컴퓨터 네트워크를 승인받지 않은 접속, 침입 시도 및 네트워크 공격 등으로부터 보호하기 위해서 취할 수 있는 방법으로는 침입 차단(avoidance), 침입 감지(detection), 사후 분석(investigation)이 있다.Network administrators can take steps to protect computer networks that store sensitive information from unauthorized access, intrusion attempts, and network attacks, including intrusion prevention, intrusion detection, and post-investigation. There is).
침입차단은 방화벽과 같은 시스템을 이용하여 침입이 의심되는 패킷을 사전에 차단하는 방법과 가상 사설망(Virtual Private Network, VPN), 암호화(Encryption) 및 향상된 승인(authentication)을 이용하여 승인받지 않은 접속이나 침입 시도를 사전에 차단하는 기술이다. Intrusion prevention uses a system such as a firewall to proactively block suspected intrusions, and uses unauthorized access using virtual private network (VPN), encryption, and enhanced authentication. It is a technology that blocks intrusion attempts in advance.
침입 감지는 침입 탐지 시스템과 같은 장비를 이용하여 네트워크의 침입 시도를 검출하는 기술이다. 침입 감지가 발생한 경우 전술한 침입 차단 기술로 침입을 차단할 수 있으며, 이러한 침입 감지 기술에는 호스트 기반 IDS, 네트워크 기반 IDS 및 바이러스 스캐너(virus scanner) 등의 시스템이 있다.Intrusion detection is a technology that detects network intrusion attempts using equipment such as intrusion detection systems. When intrusion detection occurs, the intrusion prevention technology described above can block intrusions, and such intrusion detection technologies include systems such as host-based IDS, network-based IDS, and virus scanners.
한편, 사후 분석 기술은 보안 사고가 발생하였을 경우 사고로부터 입은 피해를 신속하게 복구하기 위한 기술로서, 같은 보안 사고가 재발하는 것을 방지하고, 향후 대응을 위해서 공격의 증거를 확보하기 위한 기술이다. 이와 같이 사후 분석이 된 공격에 대해서는 전술한 침입 감지 및 침입 차단 기술로 이후의 공격에 대해서 차단할 수 있다. On the other hand, the post-analysis technology is a technology for quickly recovering the damage from the accident in the event of a security incident, preventing the recurrence of the same security incident, and secures evidence of the attack for future response. As described above, the attack that has been post-analyzed can be prevented by the above-described intrusion detection and intrusion blocking technology.
대부분의 보안 사고에서 이미 알려진 공격 형태의 경우 침입 감지 및 차단 기술에 의해서 차단할 수 있으나, 새로운 형태의 공격에 대해서는 사후 분석을 통해 공격을 구분할 수 있어야 하며, 보안 사고가 발생하였을 경우 대부분의 시간 및 비용은 공격 여부를 분석하는 것에 소요된다.In most security incidents, known types of attacks can be blocked by intrusion detection and blocking technology, but new types of attacks should be identified through post-mortem analysis, and most of the time and cost in the event of a security incident. Is spent analyzing the attack.
네트워크 포렌식(forensic) 기술은 전술한 사후 분석 기술에 해당한다. 포렌식 기술은 임의의 사고가 발생하였을 경우 어떠한 사고가 발생하였는지 여부를 결정할 수 있는 증거를 확보하고 정보를 분석하는 기술로서, 이러한 포렌식 분석의 결과로 법적인 증거를 확보하고 유사한 사건의 재발을 방지할 수 있다.Network forensic technology corresponds to the above-described post analysis technology. Forensic technology is a technology that obtains evidence and analyzes information to determine whether an accident has occurred in case of any accident, and as a result of such forensic analysis, can obtain legal evidence and prevent recurrence of similar events. have.
포렌식 기술은 컴퓨터 포렌식(computer forensic)과 네트워크 포렌식(network forensic)으로 분류된다. 컴퓨터 포렌식은 법적인 사건이 발생하였을 경우 범죄의 증거를 확보하기 위해서 용의자의 컴퓨터를 분석하는 기술로 컴퓨터 시스템의 기록장치가 삭제되거나 파손된 경우 이에 저장된 파일을 원상으로 복구하여 증거를 확보하기 위한 기술이다.Forensic technology is classified into computer forensic and network forensic. Computer forensics is a technology that analyzes a suspect's computer in order to obtain evidence of a crime when a legal event occurs. When a computer system recorder is deleted or damaged, it recovers files stored in its original form to obtain evidence. .
네트워크 포렌식은 네트워크상에서 보안 침해 사고 등이 발생하였을 경우 관 련 정보를 취합 분석하여 공격의 형태를 구분하고 증거를 확보하기 위한 기술이다.Network forensics is a technology to collect and analyze related information when security breaches occur on the network to classify the types of attacks and to obtain evidence.
한편, 네트워크 침입 탐지 기술은 인터넷으로 연결된 외부 침입자 또는 내부 구성원에 의한 침입 시도를 검출하여 네트워크의 보안이 유지되도록 관리하는 기술이다. 대부분의 네트워크 기반 침입 탐지 시스템(Intrusion Detection System, IDS)은 악의적인 것으로 추정되는 트래픽 또는 애플리케이션 데이터의 패턴을 저장한 시그니쳐(signature)를 갖고 있으며, 이를 이용하여 네트워크로 유입되는 패킷을 검사하여 경고(alert)나 로그를 생성한다.On the other hand, network intrusion detection technology is a technology for managing the security of the network by detecting intrusion attempts by external intruders or internal members connected to the Internet. Most network-based intrusion detection systems (IDS) have signatures that store patterns of traffic or application data that are allegedly malicious, and use them to inspect and alert packets entering your network. alert) or log generation.
이러한 로그 정보는 네트워크 관리자로 하여금 네트워크 보안 관리에 필요한 정보를 제공한다. 보안 관리자는 네트워크 보안 관리를 위해서 주기적으로 시그니쳐를 업데이트해 주어야 한다. 그러나 인터넷 상에서 새로운 형식의 침입이 발생하였을 경우 침입 형태 또는 시그니쳐가 분석되기 전까지는 네트워크 및 네트워크에 연결된 컴퓨터 시스템은 새로운 공격에 대해서 무방비 상태에 놓이게 되며, 이로 인해 중요 정보의 손실 및 경제적 손실을 당할 수 있다. 그러므로 새로운 침입 또는 공격이 발생한 경우 이를 신속하게 분석하여 대처할 수 있도록 하는 것이 중요하다.This log information provides the network administrator with the information necessary for network security management. The security manager should update signatures periodically to manage network security. However, if a new type of intrusion occurs on the Internet, the network and the computer systems connected to the network are defenseless against the new attack until the type or signature of the intrusion is analyzed, resulting in the loss of important information and economic loss. have. Therefore, it is important to be able to quickly analyze and respond to new intrusions or attacks as they occur.
네트워크 상에서 침입 또는 공격과 같은 사건이 발생한 경우 공격의 종류와 형태를 분석하는 시스템을 네트워크 침입 포렌식 시스템(network intrusion forensic system) 이라고 한다. 포레식 시스템에서 가장 중요한 기능은 관리자가 네트워크에 발생했던 사건을 빠르게 분석하여 대처 방안을 찾을 수 있도록 돕는 것이다. 따라서 발생한 침입 사건의 분석을 위해 포렌식 시스템은 네트워크 상의 패 킷을 모두 저장하거나 중요한 패킷을 저장하고 있어야 한다. 아울러 저장된 패킷을 빠르게 분류하고 검색할 수 있는 기능을 제공해야 한다. When an incident such as an intrusion or attack occurs on a network, a system that analyzes the type and type of attack is called a network intrusion forensic system. The most important function of a fore system is to help administrators quickly analyze what has happened on the network to find a response. Therefore, for the analysis of intrusion events, forensic system should store all packets on the network or important packets. In addition, it must provide the ability to quickly sort and retrieve stored packets.
일반적으로 포렌식 시스템에서 패킷을 저장(로깅이라고도 함)하는 것은 실시간으로 이루어져야 하며, 네트워크 보안 사고가 발생한 이후에 대부분의 시간은 포렌식 시스템에서 제공하는 대용량의 로깅 패킷들을 분류하고 분석하는 과정에서 소요된다. In general, storing a packet (also called logging) in a forensic system should be performed in real time. After a network security incident, most of the time is spent in classifying and analyzing a large amount of logging packets provided by the forensic system.
이렇게 네트워크를 통해 송수신되었던 패킷을 저장장치에 로깅하고 그 통계 정보를 저장하기 때문에 로깅 파일의 크기가 커지고 사후 그 파일의 분석에 많이 시간과 비용이 소요된다. 즉, 네트워크의 회선 속도가 증가함에 따라 로깅된 파일의 크기는 수백 메가(mega) 바이트에서 수십 테라(tera) 바이트까지의 커지게 된다. 따라서 사후 분석 과정에서 이러한 대용량 파일을 분석하여 원하는 보안 침해 사고의 증거 및 피해 상황을 파악하기 위해서는 많은 시간과 비용이 소요된다.Since logging packets transmitted and received through the network to the storage device and storing the statistical information, the size of the logging file increases and it takes a lot of time and money to analyze the file afterwards. In other words, as the network speed increases, the size of the logged file grows from hundreds of megabytes to tens of terabytes. Therefore, it is time-consuming and expensive to analyze such large files in the post-analysis process to identify evidence of the desired security breach and the damage situation.
예를 들어, 1 Gbps 회선에서 단일 방향에 대해서 발생하는 모든 패킷을 로깅하는 경우 대략 450 기가(giga) 바이트의 파일이 생성되며 이러한 대용량 파일에서 원하는 사건에 관련된 패킷을 분석하여 추출하는데는 많은 시간이 필요하며, 더욱이 과거 1 시간 보다 이전의 패킷 정보를 필요로 하는 경우 패킷 로깅 파일의 크기는 더욱 커지게 되므로 사후 포렌식 분석은 더욱 어려워 지게 된다.For example, logging all packets occurring in a single direction on a 1 Gbps line would result in a file of approximately 450 giga bytes, which would take a lot of time to analyze and extract packets related to the desired event from these large files. If the packet information is needed more than the past hour, the packet logging file becomes larger, and the post-forensic analysis becomes more difficult.
그리고 포렌식 분석의 특성상 모든 패킷을 로깅해야 정확한 원인 분석이 가능하므로 로깅시 패킷 필터링, 샘플링의 기술은 일부 선택적으로 사용할 수 밖에 없으므로 사후 분석에서 대용량의 로깅 파일을 분석하기 위해서 많은 시간과 비용 이 소모된다.In addition, due to the characteristics of forensic analysis, accurate packet analysis can be done by logging all packets. Therefore, packet filtering and sampling techniques can be selectively used during logging. Therefore, it takes a lot of time and money to analyze a large amount of logging files in post-analysis. .
따라서, 본 발명이 이루고자 하는 기술적 과제는 네트워크 포렌식 분석 과정을 보다 신속하게 수행할 수 있도록 하기 위해서, 네트워크 상에서 수집된 패킷을 네트워크 트래픽 플로우 별로 각각 구분하여 저장하는 네트워크 패킷 저장 장치 및 그 방법을 제공하는 것이다.Accordingly, an aspect of the present invention is to provide a network packet storage device and a method for storing packets collected on a network for each network traffic flow in order to perform a network forensic analysis process more quickly. will be.
상기 기술적 과제는 본 발명에 따라, 네트워크 인터페이스를 통해 전달되는 데이터 패킷을 수신하는 패킷 캡쳐부; 상기 수신된 패킷에 대한 네트워크 트래픽 플로우 정보와 그 플로우에 대응되는 패킷의 색인 파일에 대응하는 색인 정보를 별도로 관리할 수 있도록 패킷을 가공하는 패킷 가공부; 및 상기 가공된 패킷을 저장하는 저장부를 포함하는 것을 특징으로 하는 네트워크 패킷 저장 장치에 의해서 달성된다.According to the present invention, a packet capture unit for receiving a data packet transmitted through a network interface; A packet processing unit for processing the packet to separately manage network traffic flow information on the received packet and index information corresponding to an index file of a packet corresponding to the flow; And it is achieved by the network packet storage device characterized in that it comprises a storage unit for storing the processed packet.
상기 패킷 캡쳐부는, 상기 네트워크를 통해 수신되는 데이터 패킷의 수신시간을 나타내는 타임 스탬프를 생성하여 상기 수신된 데이터 패킷에 부가하는 타임 스탬프 생성부를 더 포함하는 것이 바람직하다.The packet capture unit may further include a time stamp generation unit generating a time stamp indicating a reception time of a data packet received through the network and adding the time stamp to the received data packet.
또한, 상기 패킷 캡쳐부는, 관리자의 선택에 따라 특정 패킷만을 샘플링하는 샘플링부를 더 포함하거나, 특정 네트워크 트래픽 플로우에 해당하는 패킷만을 필터링하여 추출하는 필터링부를 더 포함하는 것도 바람직하다.The packet capture unit may further include a sampling unit sampling only a specific packet according to a manager's selection, or further including a filtering unit filtering and extracting only a packet corresponding to a specific network traffic flow.
상기 패킷 가공부는, 상기 수신된 패킷에 대한 네트워크 트래픽 플로우 정보 를 관리하는 플로우 레코드 파일을 생성하고, 그 플로우에 속한 패킷들의 위치를 지시하는 색인파일을 생성하며, 상기 플로우 레코드 파일은 각 플로우에 대한 색인파일의 위치 정보를 가지도록 가공하는 것이 바람직하다.The packet processing unit generates a flow record file that manages network traffic flow information for the received packet, and generates an index file indicating a location of packets belonging to the flow, and the flow record file is configured for each flow. It is desirable to process to have the location information of the index file.
한편, 본 발명의 다른 분야에 따르면, 상기 기술적 과제는 네트워크 인터페이스를 통해 데이터 패킷을 수신하는 단계; 상기 수신된 패킷에 대한 네트워크 트래픽 플로우 정보와 그 플로우에 대응되는 패킷의 색인 파일에 대응하는 색인 정보를 별도로 관리할 수 있도록 패킷을 가공하는 단계; 및 상기 가공된 패킷을 저장하는 단계를 포함하는 것을 특징으로 하는 네트워크 패킷 저장 방법에 의해서도 달성된다.On the other hand, according to another field of the present invention, the technical problem is a step of receiving a data packet through a network interface; Processing the packet to separately manage network traffic flow information on the received packet and index information corresponding to an index file of a packet corresponding to the flow; And it is also achieved by the network packet storage method comprising the step of storing the processed packet.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대해 상세히 설명한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 네트워크 패킷 저장 장치가 네트워크 장비에 설치되어 있는 일예를 도시한 도면이다.1 is a diagram illustrating an example in which a network packet storage device of the present invention is installed in network equipment.
기업, 학교, 연구소 등과 같은 곳에서는 여러대의 컴퓨터(110, 120)들이 서로 연결되어 로컬 네트워크(10)를 구성하고, 이들 컴퓨터들은 게이트웨이(130)나 라우터(140) 등을 통해 인터넷과 연결된다.In a place such as an enterprise, a school, a research institute, a plurality of
네트워크 패킷 저장장치(20)는 로컬 네트워크(10)에 침입하는 악의적인 공격을 추후 분석하기 위해 로컬 네트워크(10)로 들어오는 모든 패킷을 저장하거나, 관리자의 설정에 따라 선택적으로 샘플링하거나 필터링하여 저장한다. 저장된 패킷들은 모니터링 시스템을 통해 포렌식 분석될 수 있다. 한편 외부에서 로컬 네트워 크(10) 내부로 들어오는 패킷외에, 내부에서 외부로 나가는 패킷도 저장하여 정보의 유출 사고 발생시 그 원인을 파악할 수 있다.The network
도 2는 본 발명의 네트워크 패킷 저장 장치의 구성도이다.2 is a block diagram of a network packet storage device of the present invention.
네트워크 패킷 저장 장치(20)는 패킷 캡쳐부(220), 패킷 가공부(230) 및 저장부(240)를 포함한다.The network
패킷 캡쳐부(220)는 침입을 감시하고자 하는 대상 시스템에 설치된 네트워크 인터페이스 장치(210a, 210b, 210c)를 통해 수신된 패킷에 대하여 수신 시간을 표시하는 타임 스템프를 태깅(tagging), 즉 덧붙인다. 그리고 관리자의 선택에 따라 수신된 네트워크 패킷을 모두 저장하거나, 특정 패킷 또는 특정 네트워크 트래픽 플로우의 패킷만을 샘플링 또는 필터링할 수도 있다.The
네트워크 인터페이스 장치(210a, 210b, 210c)는 네트워크 인터페이스 카드(Network Interface Card, NIC)와 같은 카드로, 인터넷 등에 연결된 네트워크 장비에 설치되어, 탭퍼(tapper) 또는 스플리터(splitter) 등을 이용하여 패킷을 미러링하여 네트워크 회선상에 존재하는 모든 패킷을 패킷 캡쳐부(220)로 전달한다.The
패킷 가공부(230)는 사후 포렌식 분석을 용이하게 하기 위해서 패킷에 대한 네트워크 트래픽 플로우 정보를 생성하며, 생성된 네트워크 트래픽 플로우에 해당하는 패킷의 색인 파일을 생성한다. 즉, 수신된 패킷에 대한 네트워크 트래픽 플로우 정보를 관리하는 플로우 레코드 파일을 생성하고, 그 플로우에 속한 패킷들의 위치를 지시하는 색인파일을 생성하며, 플로우 레코드 파일은 각 플로우에 대한 색인파일의 위치 정보를 가지도록 가공한다. 네트워크 트래픽 플로우 정보의 생성과 색인 파일의 생성의 구체적인 예에 대해서는 도 4를 참조하여 후술한다. 저장부(240)는 패킷 가공부(230)에서 가공된 패킷을 저장한다.The
모니터링 시스템(250)은 사후 포렌식 분석을 하기 위해 저장부(240)에 저장된 패킷을 전부 분석하거나 네트워크 트래픽 플로우 별로 분석할 수 있도록 하는 환경을 제공한다.The
도 3은 도 2의 패킷 캡쳐부(220)의 상세 구성도이다.3 is a detailed block diagram of the
패킷 캡쳐부(220)는 타임 스탬프 생성부(310), 샘플링부(320) 및 필터링부(330)를 포함한다. 이때 샘플링부(320)와 필터링부(330)는 관리자의 선택에 따라 동작하지 않도록 할 수 있다. 샘플링부(320)와 필터링부(330)가 동작하지 않는 경우에는 수신된 패킷을 걸러내지 않기 때문에 네트워크상의 모든 패킷을 저장한다.The
타임 스탬프 생성부(310)는 네트워크 인터페이스 장치(210a, 210b, 210c)에서 수신된 패킷의 수신 시간을 표시하는 타임 스탬프(time stamp)를 만들어 수신 패킷에 부가한다. 샘플링부(320)는 관리자의 선택에 따라 특정 패킷을 필터링한다. 예를 들어 10개 패킷을 수신할 때마다 1개의 패킷만을 추출하도록 하거나, 일정한 시간마다 1개의 패킷을 추출하도록 설정할 수 있다. 필터링부(330)는 관리자의 선택에 따라 특정 네트워크 트래픽 플로우에 대한 패킷만을 추출하도록 한다. 예를 들어 특정 IP 주소에서 송신되는 패킷만을 추출하거나, 특정 서비스 포트 또는 애플리케이션에서 만들어지는 패킷만을 추출하도록 설정할 수 있다.The
샘플링부(320)와 필터링부(330)는 저장부(240)의 저장용량에 따라 동작하거 나 동작하지 않도록 설정될 수 있다. 샘플링부(320) 또는 필터링부(330)가 동작하는 모든 패킷을 감시하지는 않지만 대략적인 공격 패턴 등을 알 수 있다.The
도 4는 본 발명의 일실시예에 따른 네트워크 트래픽 플로우 레코드 파일, 패킷 색인 파일, 데이터 패킷 파일의 구조를 도시한 도면이다.4 is a diagram illustrating the structure of a network traffic flow record file, packet index file, and data packet file according to an embodiment of the present invention.
본 발명의 네트워크 패킷 저장 장치에서 수신된 패킷을 저장하기 위해서는 대용량의 저장장치가 필요하며, 저장장치의 관리를 위한 파일 시스템이 필요하다. 본 발명에서는 패킷을 저장하기 위한 로그 파일 관리를 위해서 일반적인 파일 시스템상에서 동작하는 것을 가정하여 설명한다.In order to store the received packet in the network packet storage device of the present invention, a large capacity storage device is required, and a file system for managing the storage device is required. In the present invention, it is assumed that an operation on a general file system is performed for log file management for storing packets.
도 4를 참조하면 본 발명의 네트워크 패킷 저장장치는 수신된 패킷을 파일 시스템에 저장할 때 하나의 패킷 로그 파일에 대해서 2가지의 파일을 추가로 생성한다. 즉, 패킷 캡쳐 파일(packet capture file)(430)외에 네트워크 트래픽 플로우 레코드를 저장하는 플로우 레코드 파일(flow record file)(410)과 패킷 캡쳐 파일(430)에 대한 색인 파일로 패킷 인덱스 파일(packet index file)(420)이 있다.Referring to FIG. 4, the network packet storage device of the present invention additionally generates two files for one packet log file when storing the received packet in the file system. That is, a packet index file as a
이하에서는 패킷 캡쳐 파일(430), 플로우 레코드 파일(410) 및 패킷 색인 파일(420)의 상호 관계에 대해 상세히 설명한다. 패킷 캡쳐 파일(430)은 네트워크 상에서 수신된 패킷을 저장하기 위한 파일이다. 즉 수신된 패킷별로 헤더를 붙여 저장한다. 이때 네트워크상의 패킷의 길이는 이더넷의 경우 64 바이트에서 1518 바이트까지 가변적인 값이 될 수 있으므로, 패킷 캡쳐 파일(430)상에서 패킷의 위치는 특정한 위치가 아니고 랜덤한 위치를 가진다. 각 패킷은 패킷의 길이 정보 및 시간 정보를 포함하는 헤더 정보와 함께 패킷 캡쳐 파일(430)에 저장된다.Hereinafter, the correlation between the
패킷 색인 파일(420)은 사후 분석시에 시스템 관리자가 원하는 패킷을 랜덤하게 접근하여 패킷을 검색해 볼 수 있도록 하기 위해서, 패킷 캡쳐 파일(430) 내에서 저장된 패킷의 위치를 표시하는 오프셋(offset) 정보를 저장하며, 패킷이 속하는 네트워크 트래픽 플로우 별로 단일 리스트로 연결될 수 있도록 패킷 인덱스 파일 내의 네트워크 트래픽 플로우에 속한 이전 패킷의 위치 정보를 저장하는 포인터(pointer, prev)를 저장한다.The
이렇게 패킷 색인 파일(420)은 각 패킷에 대한 네트워크 트래픽 플로우 정보와 패킷의 위치 정보를 고정된 위치에 저장하고 있어 사후 포렌식 분석시 패킷 분석을 용이하게 할 수 있다. As such, the packet index file 420 stores network traffic flow information and packet location information for each packet at a fixed location, thereby facilitating packet analysis during post-forensic analysis.
플로우 레코드 파일(410)은 시스템 관리자가 지정하는 방법에 따라 다양한 종류의 네트워크 트래픽 플로우를 생각할 수 있다. 일반적으로 IP 프로토콜에 대한 네트워크 트래픽 플로우는 시스코 넷플로우 버전 5에 속하는 패킷의 속성 정보를 추출하여 플로우 레코드를 생성할 수 있다. 본 발명에서 제안하는 플로우 레코드 형식은 IETF IPFIX에서 제안하는 형식으로 따르거나 시스코 넷플로우 형식을 따를 수도 있다. 그러나 여기에 각 네트워크 트래픽 플로우에 속한 패킷을 표시하기 위해서 패킷 색인 파일의 패킷 리스트를 구분할 수 있는 포인터 필드가 추가되어야 한다. 네트워크 트래픽 플로우의 예로 IP 주소, 서비스 포트 등을 들 수 있다.The
도 5는 본 발명의 네트워크 패킷 저장 방법의 흐름도이다.5 is a flowchart of a network packet storage method of the present invention.
도 5를 참조하여 하나의 패킷을 수신하여 플로우 레코드를 업데이트하고 패킷 색인 파일 및 패킷 캡쳐 파일에 패킷을 쓰는 과정을 설명한다. 먼저 네트워크 상의 패킷을 수신한다(S510). 즉, 네트워크 장비에 설치된 네트워크 인터페이스 카드를 통해 패킷을 수신한다. 그리고 수신된 패킷에 대한 네트워크 트래픽 플로우 정보와 그 네트워크 트래픽 플로우에 대응되는 패킷의 색인 파일에 대응하도록 패킷을 가공한다. 보다 상세하게는, 수신된 패킷에 대한 네트워크 트래픽 플로우 정보가 존재하는지 확인하여(S520), 네트워크 트래픽 플로우가 존재하는지 판단하고(S530), 네트워크 트래픽 플로우 정보가 존재하면 이를 갱신하고(S550), 그렇지 않으면 네트워크 트래픽 플로우 정보를 새로 생성한다(S540).A process of receiving a packet, updating a flow record, and writing a packet to a packet index file and a packet capture file will be described with reference to FIG. 5. First, a packet on a network is received (S510). That is, the packet is received through the network interface card installed in the network equipment. The packet is processed to correspond to the network traffic flow information on the received packet and the index file of the packet corresponding to the network traffic flow. More specifically, by checking whether there is network traffic flow information for the received packet (S520), determining whether there is a network traffic flow (S530), and updating the network traffic flow information if it exists (S550). If not, the network traffic flow information is newly generated (S540).
S520 단계에서는 예를 들어 수신된 패킷으로부터 필요한 네트워크 트래픽 플로우 정보를 추출하여 같은 값을 갖는 네트워크 트래픽 플로우가 플로우 테이블 상에 존재하는지 검색한다. 네트워크 트래픽 플로우 정보의 예로는, IP 주소, 서비스 포트 등을 들 수 있다.In step S520, for example, the required network traffic flow information is extracted from the received packet and the network traffic flow having the same value is searched for on the flow table. Examples of network traffic flow information include IP addresses, service ports, and the like.
그리고, 이렇게 갱신 또는 생성된 네트워크 트래픽 플로우 정보에 대응되도록 패킷 색인을 생성하여 저장하고(S560), 이에 대응되도록 패킷도 저장한다(S570). 네트워크 트래픽 플로우 정보의 갱신(S550) 또는 네트워크 트래픽 플로우 정보를 생성한 후(S540)에는 수신된 패킷이 속하는 네트워크 트래픽 플로우의 ID(Identification)을 알 수 있으며, 패킷에 속한 네트워크 트래픽 플로우 ID와 해당하는 네트워크 트래픽 플로우가 속하는 이전 패킷의 로깅 파일내 위치 정보를 패킷 색인 파일에 저장한다(S560). 이렇게 순차적인 방식에 따라 패킷을 저장함으로써 패킷을 로깅함에 있어 네트워크 트래픽 플로우 정보 및 각 패킷이 속한 네트워크 트래픽 플로우를 구분하여 효율적으로 저장할 수 있다. In addition, the packet index is generated and stored to correspond to the network traffic flow information thus updated or generated (S560), and the packet is also stored to correspond thereto (S570). After updating the network traffic flow information (S550) or generating the network traffic flow information (S540), the ID (identification) of the network traffic flow to which the received packet belongs can be known, and the network traffic flow ID to which the packet belongs and The location information in the logging file of the previous packet to which the network traffic flow belongs is stored in the packet index file (S560). By storing packets in such a sequential manner, network traffic flow information and network traffic flows to which each packet belongs can be efficiently stored in packet logging.
네트워크 포렌식 시스템은 네트워크 상에서 캡쳐한 패킷에 대해서 전술한 과정을 반복 수행한다. The network forensic system repeats the above-described process for packets captured on the network.
한편, 전술한 네트워크 패킷 저장 방법은 컴퓨터 프로그램으로 작성 가능하다. 상기 프로그램을 구성하는 코드들 및 코드 세그먼트들은 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 또한, 상기 프로그램은 컴퓨터가 읽을 수 있는 정보저장매체(computer readable media)에 저장되고, 컴퓨터에 의하여 읽혀지고 실행됨으로써 네트워크 패킷 저장 방법을 구현한다. 상기 정보저장매체는 자기 기록매체, 광 기록매체, 및 캐리어 웨이브 매체를 포함한다.On the other hand, the above-described network packet storage method can be created by a computer program. Codes and code segments constituting the program can be easily inferred by a computer programmer in the art. In addition, the program is stored in a computer readable media, and read and executed by a computer to implement a network packet storage method. The information storage medium includes a magnetic recording medium, an optical recording medium, and a carrier wave medium.
이제까지 본 발명에 대하여 그 바람직한 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in descriptive sense only and not for purposes of limitation. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.
전술한 바와 같이 본 발명에 따르면 네트워크 트래픽 플로우 별로 패킷을 구분하여 저장함으로써 포렌식 분석시에 네트워크 트래픽 플로우 정보와 이와 연관된 패킷을 분석함으로써 분석 시간을 단축시킬 수 있으며, 보안 사고로 인한 피해를 빠르게 복구하거나 대응할 수 있도록 하여 비용을 절감할 수 있다.As described above, according to the present invention, by dividing and storing packets for each network traffic flow, analysis time can be shortened by analyzing network traffic flow information and related packets during forensic analysis, and quickly recovering from damage caused by a security incident, Responsiveness can reduce costs.
예를 들어, 종래의 패킷 로깅 시스템에서 저장된 패킷을 사후 분석하는 경우 보안 관리자가 특정 패킷을 검색하기 위해서는 로깅된 모든 패킷을 순차적으로 읽어가면서 필요에 따라 필터 규칙을 적용해야 한다. 이러한 경우 관리자가 원하는 패킷을 추출하는데 소요되는 시간은 대략 다음과 같이 계산할 수 있다.For example, in a conventional packet logging system, after analyzing a stored packet, the security manager must read all logged packets sequentially and apply filter rules as necessary to search for a specific packet. In this case, the time required for the administrator to extract the desired packet can be calculated as follows.
패킷 검색 시간(초) = 디스크 접근 속도(bytes/sec) * 로깅 디스크 크기(bytes)Packet search time (seconds) = disk access speed (bytes / sec) * logging disk size (bytes)
디스크 접근 속도는 시스템마다 다를 수 있으나, 일정한 속도를 갖는다고 가정하면, 로깅된 디스크의 크기에 따라서 패킷 추출 시간은 변경된다고 할 수 있다. 사후 분석 과정에 있어서 패킷이 로깅된 디스크의 크기는 수십 테라 바이트까지 커질 수 있으며, 사후 분석 과정에서 수십에서 수백번의 패킷 검색 및 추출을 통해서 분석이 수행되므로 로깅된 디스크의 크기가 커짐에 따라 사후 분석에 소요되는 시간은 패킷 검색 회수에 비례하여 증가하게 된다.Although the disk access speed may vary from system to system, assuming that the disk access speed is constant, the packet extraction time changes according to the size of the logged disk. In the post-analysis process, the size of the disk on which packets are logged can grow up to tens of terabytes.In the post-analysis process, analysis is performed through dozens to hundreds of packet searches and extracts. The time required for analysis increases in proportion to the number of packet searches.
그러나, 본 발명에 따른 패킷 저장 장치 및 방법을 사용한 시스템에서 관리자가 원하는 패킷을 추출하는데 소요되는 시간은 대략 다음과 같이 계산할 수 있다.However, in a system using the packet storage device and method according to the present invention, the time required for the administrator to extract a desired packet can be calculated as follows.
패킷 검색 시간(초) = (디스크 접근 속도 * 플로우 디스크 크기) + (디스크 접근 속도 * 분류된 패킷 크기)Packet search time (seconds) = (disk access speed * flow disk size) + (disk access speed * classified packet size)
디스크 접근 속도는 종래 방식과 같은 값을 가지나, 플로우 디스크의 크기는 로깅 디스크의 크기에 비해서 경우에 따라서 수백에서 수천분의 일로 그 크기가 감소되며, 플로우에 의해서 분류된 패킷만 접근하므로 종래 방식에 대비하여 패킷 추 출에서 접근하는 디스크의 크기를 수십에서 수천분의 일로 줄임으로써 분석 성능을 향상시킬 수 있다. 이러한 성능 향상은 사후 분석 과정에서 수행하는 패킷 검색 회수에 비례하여 성능 향상을 얻을 수 있다.The disk access speed has the same value as the conventional method, but the size of the flow disk is reduced from hundreds to thousands of times in some cases compared to the size of the logging disk, and only the packets classified by the flow are accessed. In contrast, analysis performance can be improved by reducing the size of the disk accessed by packet extraction from tens to thousands. This performance improvement can be obtained in proportion to the number of packet searches performed during the post analysis.
즉, 종래 패킷만을 로깅하는 방식의 포렌식 시스템은 사후 분석시 로그 파일내에서 불규칙하게 위치하고 있는 패킷에서 원하는 패킷을 검색하기 위해서 많은 시간을 필요로 하지만 본 발명에 따르면 패킷 로그 파일에 불규칙적으로 위치하고 있는 패킷의 파일 내 위치 정보를 정해진 형식에 맞추어 일정한 크기로 별도의 색인 파일을 생성하여 저장함으로써, 로깅된 패킷에서 임의의 패킷을 쉽게 검색할 수 있다. That is, a conventional forensic system that logs only packets requires a lot of time to search for a desired packet in a packet located irregularly in a log file during post-analysis, but according to the present invention, a packet is irregularly located in a packet log file. By creating and storing a separate index file with a certain size in accordance with a predetermined format, it is possible to easily retrieve a random packet from the logged packet.
그리고 수신된 패킷을 실시간으로 각 패킷이 속하는 네트워크 트래픽 플로우로 그룹화함으로써 사후 분석 과정에서 네트워크 트래픽 플로우에 의한 검색을 통해 사고의 원인이 되는 패킷을 보다 빠르게 검색할 수 있다.In addition, by grouping the received packets into the network traffic flow to which each packet belongs in real time, it is possible to search the packets causing the accident more quickly through the search by the network traffic flow in the post-analysis process.
또한 생성된 네트워크 트래픽 플로우 정보를 네트워크 트래픽 플로우의 키별로 또는 키의 조합으로 네트워크 트래픽 플로우를 재생성함으로써 사용자 원하는 통계 정보 및 각 네트워크 트래픽 플로우에 속하는 패킷을 보다 빠르고 쉽게 검색해 낼 수 있다.In addition, by regenerating the network traffic flow by the generated network traffic flow information for each key or combination of keys of the network traffic flow, it is possible to retrieve the desired statistical information and packets belonging to each network traffic flow more quickly and easily.
Claims (9)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070033878A KR100868569B1 (en) | 2007-04-05 | 2007-04-05 | Network forensic apparatus and method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070033878A KR100868569B1 (en) | 2007-04-05 | 2007-04-05 | Network forensic apparatus and method thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20080090712A true KR20080090712A (en) | 2008-10-09 |
KR100868569B1 KR100868569B1 (en) | 2008-11-13 |
Family
ID=40151762
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070033878A KR100868569B1 (en) | 2007-04-05 | 2007-04-05 | Network forensic apparatus and method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100868569B1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102571451A (en) * | 2012-02-16 | 2012-07-11 | 大唐移动通信设备有限公司 | Network element and method for uploading MR (Measure Report) messages by network element |
WO2019221346A1 (en) * | 2018-05-15 | 2019-11-21 | 엑사비스 주식회사 | Network inspection method performing packet storage and system for performing same |
-
2007
- 2007-04-05 KR KR1020070033878A patent/KR100868569B1/en not_active IP Right Cessation
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102571451A (en) * | 2012-02-16 | 2012-07-11 | 大唐移动通信设备有限公司 | Network element and method for uploading MR (Measure Report) messages by network element |
WO2019221346A1 (en) * | 2018-05-15 | 2019-11-21 | 엑사비스 주식회사 | Network inspection method performing packet storage and system for performing same |
US11528199B2 (en) | 2018-05-15 | 2022-12-13 | Xabyss Inc. | Method for network inspection saving packet and system performing the same |
Also Published As
Publication number | Publication date |
---|---|
KR100868569B1 (en) | 2008-11-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9917857B2 (en) | Logging attack context data | |
Perdisci et al. | Alarm clustering for intrusion detection systems in computer networks | |
US8056115B2 (en) | System, method and program product for identifying network-attack profiles and blocking network intrusions | |
US10616258B2 (en) | Security information and event management | |
JP5844938B2 (en) | Network monitoring device, network monitoring method, and network monitoring program | |
US8856920B2 (en) | System and method of securely processing lawfully intercepted network traffic | |
Pilli et al. | A generic framework for network forensics | |
US20030101353A1 (en) | Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto | |
Mualfah et al. | Network forensics for detecting flooding attack on web server | |
US11080392B2 (en) | Method for systematic collection and analysis of forensic data in a unified communications system deployed in a cloud environment | |
JP2016508353A (en) | Improved streaming method and system for processing network metadata | |
Kaushik et al. | Network forensic system for port scanning attack | |
Debar et al. | Intrusion detection: Introduction to intrusion detection and security information management | |
CN113783886A (en) | Intelligent operation and maintenance method and system for power grid based on intelligence and data | |
Chhabra et al. | Distributed network forensics framework: A systematic review | |
Yu et al. | TRINETR: an intrusion detection alert management systems | |
Giacinto et al. | Alarm clustering for intrusion detection systems in computer networks | |
KR20070072835A (en) | Web hacking responses through real time web log collection | |
KR100868569B1 (en) | Network forensic apparatus and method thereof | |
KR20140078329A (en) | Method and apparatus for defensing local network attacks | |
Coulibaly | An overview of intrusion detection and prevention systems | |
KR100651749B1 (en) | Method for detection of unknown malicious traffic and apparatus thereof | |
Asaka et al. | Local attack detection and intrusion route tracing | |
Prabhu et al. | Network intrusion detection system | |
KR20050095147A (en) | Hacking defense apparatus and method with hacking type scenario |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20120921 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20131106 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20141105 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20151207 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20161107 Year of fee payment: 9 |
|
LAPS | Lapse due to unpaid annual fee |