KR20080090712A - Network forensic apparatus and method thereof - Google Patents

Network forensic apparatus and method thereof Download PDF

Info

Publication number
KR20080090712A
KR20080090712A KR1020070033878A KR20070033878A KR20080090712A KR 20080090712 A KR20080090712 A KR 20080090712A KR 1020070033878 A KR1020070033878 A KR 1020070033878A KR 20070033878 A KR20070033878 A KR 20070033878A KR 20080090712 A KR20080090712 A KR 20080090712A
Authority
KR
South Korea
Prior art keywords
packet
network
information
traffic flow
network traffic
Prior art date
Application number
KR1020070033878A
Other languages
Korean (ko)
Other versions
KR100868569B1 (en
Inventor
최간호
Original Assignee
(주) 시스메이트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 시스메이트 filed Critical (주) 시스메이트
Priority to KR1020070033878A priority Critical patent/KR100868569B1/en
Publication of KR20080090712A publication Critical patent/KR20080090712A/en
Application granted granted Critical
Publication of KR100868569B1 publication Critical patent/KR100868569B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/022Capturing of monitoring data by sampling
    • H04L43/024Capturing of monitoring data by sampling by adaptive sampling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • H04L43/106Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Abstract

An apparatus and a method for storing a network packet are provided to reduce a cost by quickly recovering a damage caused by a security accident. A packet capturing unit(220) receives a data packet transferred via a network interface. A packet processing unit(230) processes a packet to separately manage network traffic flow information with respect to the received packet and index information corresponding to an index file of the packet corresponding to the flow. A storage unit(240) stores the processed packet. The packet capturing unit includes a time stamp generating unit for generating a time stamp indicating a reception time of the data packet received via the network and adding it to the received data packet. The packet capturing unit further includes a sampling unit for sampling only a particular packet according to a selection of a manager.

Description

네트워크 패킷 저장 장치 및 그 방법 {Network forensic apparatus and method thereof}Network packet storage device and method thereof {Network forensic apparatus and method}

도 1은 본 발명의 네트워크 패킷 저장 장치가 네트워크 장비에 설치되어 있는 일예를 도시한 도면,1 is a diagram illustrating an example in which a network packet storage device of the present invention is installed in a network device;

도 2는 본 발명의 네트워크 패킷 저장 장치의 구성도,2 is a block diagram of a network packet storage device of the present invention;

도 3은 도 2의 패킷 캡쳐부(220)의 상세 구성도,3 is a detailed block diagram of the packet capture unit 220 of FIG.

도 4는 본 발명의 일실시예에 따른 네트워크 트래픽 플로우 레코드 파일, 패킷 색인 파일, 데이터 패킷 파일의 구조를 도시한 도면,4 is a diagram illustrating the structure of a network traffic flow record file, packet index file, and data packet file according to an embodiment of the present invention;

도 5는 본 발명의 네트워크 패킷 저장 방법의 흐름도이다.5 is a flowchart of a network packet storage method of the present invention.

본 발명은 네트워크 보안에 관한 것으로, 보다 상세하게는 네트워크를 통해 들어오는 데이터 패킷을 네트워크 트래픽 플로우 별로 저장하는 네트워크 패킷 저장 장치 및 그 방법에 관한 것이다.The present invention relates to network security, and more particularly, to a network packet storage device and a method for storing data packets coming through a network for each network traffic flow.

인터넷에 접속되어 있는 모든 시스템은 잠재적으로 악의적인 공격의 대상이 된다. 또한 인터넷과 분리된 사설망이라 하더라도 내부 또는 외부 사용자에 의해 서 중요한 정보가 저장되어 있는 시스템은 공격 대상이 될 수 있다. 반대로 내부자에 의해 중요한 정보가 외부로 유출될 수도 있다. 이미 많은 인터넷 서비스 제공 업체, 기업체 및 공공 기관은 보안 사고와 네트워크 공격의 대상이 된 경험이 있으며, 이에 대처하기 위해서 방화벽(firewall) 또는 침입 감지 시스템(Intrusion Detection System, IDS) 등을 네트워크에 설치하여 대응해 오고 있다.All systems connected to the Internet are potentially targeted for malicious attacks. In addition, even if the private network is separated from the Internet, a system in which important information is stored by internal or external users may be targeted. Conversely, important information may be leaked to the outside by insiders. Many Internet service providers, businesses, and public organizations have been subject to security incidents and network attacks. To cope with this, firewalls or intrusion detection systems (IDS) are installed on the network. I correspond.

그러나 네트워크 공격의 복잡성이 증가하고 그로 인한 피해가 커짐에 따라 기업체에서 보안 사고로부터 복구하는데 점점 더 많은 시간과 비용이 소요되고 있다. 이와 같은 이유로 네트워크 보안 기술은 자사의 중요 정보를 외부로부터 보호하거나 유출을 방지하기 위한 기술로 그 중요성이 증가하고 있다.However, as the complexity of network attacks increases and the resulting damage increases, organizations are increasingly spending time and money recovering from security incidents. For this reason, network security technology is increasing in importance as a technology to protect sensitive information from the outside or to prevent leakage.

네트워크 관리자가, 중요한 정보를 저장하고 있는 컴퓨터 네트워크를 승인받지 않은 접속, 침입 시도 및 네트워크 공격 등으로부터 보호하기 위해서 취할 수 있는 방법으로는 침입 차단(avoidance), 침입 감지(detection), 사후 분석(investigation)이 있다.Network administrators can take steps to protect computer networks that store sensitive information from unauthorized access, intrusion attempts, and network attacks, including intrusion prevention, intrusion detection, and post-investigation. There is).

침입차단은 방화벽과 같은 시스템을 이용하여 침입이 의심되는 패킷을 사전에 차단하는 방법과 가상 사설망(Virtual Private Network, VPN), 암호화(Encryption) 및 향상된 승인(authentication)을 이용하여 승인받지 않은 접속이나 침입 시도를 사전에 차단하는 기술이다. Intrusion prevention uses a system such as a firewall to proactively block suspected intrusions, and uses unauthorized access using virtual private network (VPN), encryption, and enhanced authentication. It is a technology that blocks intrusion attempts in advance.

침입 감지는 침입 탐지 시스템과 같은 장비를 이용하여 네트워크의 침입 시도를 검출하는 기술이다. 침입 감지가 발생한 경우 전술한 침입 차단 기술로 침입을 차단할 수 있으며, 이러한 침입 감지 기술에는 호스트 기반 IDS, 네트워크 기반 IDS 및 바이러스 스캐너(virus scanner) 등의 시스템이 있다.Intrusion detection is a technology that detects network intrusion attempts using equipment such as intrusion detection systems. When intrusion detection occurs, the intrusion prevention technology described above can block intrusions, and such intrusion detection technologies include systems such as host-based IDS, network-based IDS, and virus scanners.

한편, 사후 분석 기술은 보안 사고가 발생하였을 경우 사고로부터 입은 피해를 신속하게 복구하기 위한 기술로서, 같은 보안 사고가 재발하는 것을 방지하고, 향후 대응을 위해서 공격의 증거를 확보하기 위한 기술이다. 이와 같이 사후 분석이 된 공격에 대해서는 전술한 침입 감지 및 침입 차단 기술로 이후의 공격에 대해서 차단할 수 있다. On the other hand, the post-analysis technology is a technology for quickly recovering the damage from the accident in the event of a security incident, preventing the recurrence of the same security incident, and secures evidence of the attack for future response. As described above, the attack that has been post-analyzed can be prevented by the above-described intrusion detection and intrusion blocking technology.

대부분의 보안 사고에서 이미 알려진 공격 형태의 경우 침입 감지 및 차단 기술에 의해서 차단할 수 있으나, 새로운 형태의 공격에 대해서는 사후 분석을 통해 공격을 구분할 수 있어야 하며, 보안 사고가 발생하였을 경우 대부분의 시간 및 비용은 공격 여부를 분석하는 것에 소요된다.In most security incidents, known types of attacks can be blocked by intrusion detection and blocking technology, but new types of attacks should be identified through post-mortem analysis, and most of the time and cost in the event of a security incident. Is spent analyzing the attack.

네트워크 포렌식(forensic) 기술은 전술한 사후 분석 기술에 해당한다. 포렌식 기술은 임의의 사고가 발생하였을 경우 어떠한 사고가 발생하였는지 여부를 결정할 수 있는 증거를 확보하고 정보를 분석하는 기술로서, 이러한 포렌식 분석의 결과로 법적인 증거를 확보하고 유사한 사건의 재발을 방지할 수 있다.Network forensic technology corresponds to the above-described post analysis technology. Forensic technology is a technology that obtains evidence and analyzes information to determine whether an accident has occurred in case of any accident, and as a result of such forensic analysis, can obtain legal evidence and prevent recurrence of similar events. have.

포렌식 기술은 컴퓨터 포렌식(computer forensic)과 네트워크 포렌식(network forensic)으로 분류된다. 컴퓨터 포렌식은 법적인 사건이 발생하였을 경우 범죄의 증거를 확보하기 위해서 용의자의 컴퓨터를 분석하는 기술로 컴퓨터 시스템의 기록장치가 삭제되거나 파손된 경우 이에 저장된 파일을 원상으로 복구하여 증거를 확보하기 위한 기술이다.Forensic technology is classified into computer forensic and network forensic. Computer forensics is a technology that analyzes a suspect's computer in order to obtain evidence of a crime when a legal event occurs. When a computer system recorder is deleted or damaged, it recovers files stored in its original form to obtain evidence. .

네트워크 포렌식은 네트워크상에서 보안 침해 사고 등이 발생하였을 경우 관 련 정보를 취합 분석하여 공격의 형태를 구분하고 증거를 확보하기 위한 기술이다.Network forensics is a technology to collect and analyze related information when security breaches occur on the network to classify the types of attacks and to obtain evidence.

한편, 네트워크 침입 탐지 기술은 인터넷으로 연결된 외부 침입자 또는 내부 구성원에 의한 침입 시도를 검출하여 네트워크의 보안이 유지되도록 관리하는 기술이다. 대부분의 네트워크 기반 침입 탐지 시스템(Intrusion Detection System, IDS)은 악의적인 것으로 추정되는 트래픽 또는 애플리케이션 데이터의 패턴을 저장한 시그니쳐(signature)를 갖고 있으며, 이를 이용하여 네트워크로 유입되는 패킷을 검사하여 경고(alert)나 로그를 생성한다.On the other hand, network intrusion detection technology is a technology for managing the security of the network by detecting intrusion attempts by external intruders or internal members connected to the Internet. Most network-based intrusion detection systems (IDS) have signatures that store patterns of traffic or application data that are allegedly malicious, and use them to inspect and alert packets entering your network. alert) or log generation.

이러한 로그 정보는 네트워크 관리자로 하여금 네트워크 보안 관리에 필요한 정보를 제공한다. 보안 관리자는 네트워크 보안 관리를 위해서 주기적으로 시그니쳐를 업데이트해 주어야 한다. 그러나 인터넷 상에서 새로운 형식의 침입이 발생하였을 경우 침입 형태 또는 시그니쳐가 분석되기 전까지는 네트워크 및 네트워크에 연결된 컴퓨터 시스템은 새로운 공격에 대해서 무방비 상태에 놓이게 되며, 이로 인해 중요 정보의 손실 및 경제적 손실을 당할 수 있다. 그러므로 새로운 침입 또는 공격이 발생한 경우 이를 신속하게 분석하여 대처할 수 있도록 하는 것이 중요하다.This log information provides the network administrator with the information necessary for network security management. The security manager should update signatures periodically to manage network security. However, if a new type of intrusion occurs on the Internet, the network and the computer systems connected to the network are defenseless against the new attack until the type or signature of the intrusion is analyzed, resulting in the loss of important information and economic loss. have. Therefore, it is important to be able to quickly analyze and respond to new intrusions or attacks as they occur.

네트워크 상에서 침입 또는 공격과 같은 사건이 발생한 경우 공격의 종류와 형태를 분석하는 시스템을 네트워크 침입 포렌식 시스템(network intrusion forensic system) 이라고 한다. 포레식 시스템에서 가장 중요한 기능은 관리자가 네트워크에 발생했던 사건을 빠르게 분석하여 대처 방안을 찾을 수 있도록 돕는 것이다. 따라서 발생한 침입 사건의 분석을 위해 포렌식 시스템은 네트워크 상의 패 킷을 모두 저장하거나 중요한 패킷을 저장하고 있어야 한다. 아울러 저장된 패킷을 빠르게 분류하고 검색할 수 있는 기능을 제공해야 한다. When an incident such as an intrusion or attack occurs on a network, a system that analyzes the type and type of attack is called a network intrusion forensic system. The most important function of a fore system is to help administrators quickly analyze what has happened on the network to find a response. Therefore, for the analysis of intrusion events, forensic system should store all packets on the network or important packets. In addition, it must provide the ability to quickly sort and retrieve stored packets.

일반적으로 포렌식 시스템에서 패킷을 저장(로깅이라고도 함)하는 것은 실시간으로 이루어져야 하며, 네트워크 보안 사고가 발생한 이후에 대부분의 시간은 포렌식 시스템에서 제공하는 대용량의 로깅 패킷들을 분류하고 분석하는 과정에서 소요된다. In general, storing a packet (also called logging) in a forensic system should be performed in real time. After a network security incident, most of the time is spent in classifying and analyzing a large amount of logging packets provided by the forensic system.

이렇게 네트워크를 통해 송수신되었던 패킷을 저장장치에 로깅하고 그 통계 정보를 저장하기 때문에 로깅 파일의 크기가 커지고 사후 그 파일의 분석에 많이 시간과 비용이 소요된다. 즉, 네트워크의 회선 속도가 증가함에 따라 로깅된 파일의 크기는 수백 메가(mega) 바이트에서 수십 테라(tera) 바이트까지의 커지게 된다. 따라서 사후 분석 과정에서 이러한 대용량 파일을 분석하여 원하는 보안 침해 사고의 증거 및 피해 상황을 파악하기 위해서는 많은 시간과 비용이 소요된다.Since logging packets transmitted and received through the network to the storage device and storing the statistical information, the size of the logging file increases and it takes a lot of time and money to analyze the file afterwards. In other words, as the network speed increases, the size of the logged file grows from hundreds of megabytes to tens of terabytes. Therefore, it is time-consuming and expensive to analyze such large files in the post-analysis process to identify evidence of the desired security breach and the damage situation.

예를 들어, 1 Gbps 회선에서 단일 방향에 대해서 발생하는 모든 패킷을 로깅하는 경우 대략 450 기가(giga) 바이트의 파일이 생성되며 이러한 대용량 파일에서 원하는 사건에 관련된 패킷을 분석하여 추출하는데는 많은 시간이 필요하며, 더욱이 과거 1 시간 보다 이전의 패킷 정보를 필요로 하는 경우 패킷 로깅 파일의 크기는 더욱 커지게 되므로 사후 포렌식 분석은 더욱 어려워 지게 된다.For example, logging all packets occurring in a single direction on a 1 Gbps line would result in a file of approximately 450 giga bytes, which would take a lot of time to analyze and extract packets related to the desired event from these large files. If the packet information is needed more than the past hour, the packet logging file becomes larger, and the post-forensic analysis becomes more difficult.

그리고 포렌식 분석의 특성상 모든 패킷을 로깅해야 정확한 원인 분석이 가능하므로 로깅시 패킷 필터링, 샘플링의 기술은 일부 선택적으로 사용할 수 밖에 없으므로 사후 분석에서 대용량의 로깅 파일을 분석하기 위해서 많은 시간과 비용 이 소모된다.In addition, due to the characteristics of forensic analysis, accurate packet analysis can be done by logging all packets. Therefore, packet filtering and sampling techniques can be selectively used during logging. Therefore, it takes a lot of time and money to analyze a large amount of logging files in post-analysis. .

따라서, 본 발명이 이루고자 하는 기술적 과제는 네트워크 포렌식 분석 과정을 보다 신속하게 수행할 수 있도록 하기 위해서, 네트워크 상에서 수집된 패킷을 네트워크 트래픽 플로우 별로 각각 구분하여 저장하는 네트워크 패킷 저장 장치 및 그 방법을 제공하는 것이다.Accordingly, an aspect of the present invention is to provide a network packet storage device and a method for storing packets collected on a network for each network traffic flow in order to perform a network forensic analysis process more quickly. will be.

상기 기술적 과제는 본 발명에 따라, 네트워크 인터페이스를 통해 전달되는 데이터 패킷을 수신하는 패킷 캡쳐부; 상기 수신된 패킷에 대한 네트워크 트래픽 플로우 정보와 그 플로우에 대응되는 패킷의 색인 파일에 대응하는 색인 정보를 별도로 관리할 수 있도록 패킷을 가공하는 패킷 가공부; 및 상기 가공된 패킷을 저장하는 저장부를 포함하는 것을 특징으로 하는 네트워크 패킷 저장 장치에 의해서 달성된다.According to the present invention, a packet capture unit for receiving a data packet transmitted through a network interface; A packet processing unit for processing the packet to separately manage network traffic flow information on the received packet and index information corresponding to an index file of a packet corresponding to the flow; And it is achieved by the network packet storage device characterized in that it comprises a storage unit for storing the processed packet.

상기 패킷 캡쳐부는, 상기 네트워크를 통해 수신되는 데이터 패킷의 수신시간을 나타내는 타임 스탬프를 생성하여 상기 수신된 데이터 패킷에 부가하는 타임 스탬프 생성부를 더 포함하는 것이 바람직하다.The packet capture unit may further include a time stamp generation unit generating a time stamp indicating a reception time of a data packet received through the network and adding the time stamp to the received data packet.

또한, 상기 패킷 캡쳐부는, 관리자의 선택에 따라 특정 패킷만을 샘플링하는 샘플링부를 더 포함하거나, 특정 네트워크 트래픽 플로우에 해당하는 패킷만을 필터링하여 추출하는 필터링부를 더 포함하는 것도 바람직하다.The packet capture unit may further include a sampling unit sampling only a specific packet according to a manager's selection, or further including a filtering unit filtering and extracting only a packet corresponding to a specific network traffic flow.

상기 패킷 가공부는, 상기 수신된 패킷에 대한 네트워크 트래픽 플로우 정보 를 관리하는 플로우 레코드 파일을 생성하고, 그 플로우에 속한 패킷들의 위치를 지시하는 색인파일을 생성하며, 상기 플로우 레코드 파일은 각 플로우에 대한 색인파일의 위치 정보를 가지도록 가공하는 것이 바람직하다.The packet processing unit generates a flow record file that manages network traffic flow information for the received packet, and generates an index file indicating a location of packets belonging to the flow, and the flow record file is configured for each flow. It is desirable to process to have the location information of the index file.

한편, 본 발명의 다른 분야에 따르면, 상기 기술적 과제는 네트워크 인터페이스를 통해 데이터 패킷을 수신하는 단계; 상기 수신된 패킷에 대한 네트워크 트래픽 플로우 정보와 그 플로우에 대응되는 패킷의 색인 파일에 대응하는 색인 정보를 별도로 관리할 수 있도록 패킷을 가공하는 단계; 및 상기 가공된 패킷을 저장하는 단계를 포함하는 것을 특징으로 하는 네트워크 패킷 저장 방법에 의해서도 달성된다.On the other hand, according to another field of the present invention, the technical problem is a step of receiving a data packet through a network interface; Processing the packet to separately manage network traffic flow information on the received packet and index information corresponding to an index file of a packet corresponding to the flow; And it is also achieved by the network packet storage method comprising the step of storing the processed packet.

이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대해 상세히 설명한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 네트워크 패킷 저장 장치가 네트워크 장비에 설치되어 있는 일예를 도시한 도면이다.1 is a diagram illustrating an example in which a network packet storage device of the present invention is installed in network equipment.

기업, 학교, 연구소 등과 같은 곳에서는 여러대의 컴퓨터(110, 120)들이 서로 연결되어 로컬 네트워크(10)를 구성하고, 이들 컴퓨터들은 게이트웨이(130)나 라우터(140) 등을 통해 인터넷과 연결된다.In a place such as an enterprise, a school, a research institute, a plurality of computers 110 and 120 are connected to each other to form a local network 10, and these computers are connected to the Internet through a gateway 130 or a router 140.

네트워크 패킷 저장장치(20)는 로컬 네트워크(10)에 침입하는 악의적인 공격을 추후 분석하기 위해 로컬 네트워크(10)로 들어오는 모든 패킷을 저장하거나, 관리자의 설정에 따라 선택적으로 샘플링하거나 필터링하여 저장한다. 저장된 패킷들은 모니터링 시스템을 통해 포렌식 분석될 수 있다. 한편 외부에서 로컬 네트워 크(10) 내부로 들어오는 패킷외에, 내부에서 외부로 나가는 패킷도 저장하여 정보의 유출 사고 발생시 그 원인을 파악할 수 있다.The network packet storage device 20 stores all packets entering the local network 10 for later analysis of malicious attacks invading the local network 10, or selectively samples or filters and stores them according to the administrator's setting. . Stored packets can be forensic analyzed through a monitoring system. On the other hand, in addition to the packets coming into the local network 10 from the outside, it also stores the packets going out from the inside to determine the cause of the information leakage accident occurs.

도 2는 본 발명의 네트워크 패킷 저장 장치의 구성도이다.2 is a block diagram of a network packet storage device of the present invention.

네트워크 패킷 저장 장치(20)는 패킷 캡쳐부(220), 패킷 가공부(230) 및 저장부(240)를 포함한다.The network packet storage device 20 includes a packet capture unit 220, a packet processing unit 230, and a storage unit 240.

패킷 캡쳐부(220)는 침입을 감시하고자 하는 대상 시스템에 설치된 네트워크 인터페이스 장치(210a, 210b, 210c)를 통해 수신된 패킷에 대하여 수신 시간을 표시하는 타임 스템프를 태깅(tagging), 즉 덧붙인다. 그리고 관리자의 선택에 따라 수신된 네트워크 패킷을 모두 저장하거나, 특정 패킷 또는 특정 네트워크 트래픽 플로우의 패킷만을 샘플링 또는 필터링할 수도 있다.The packet capture unit 220 tags, that is, adds, a time stamp indicating a reception time of a packet received through the network interface devices 210a, 210b, and 210c installed in the target system to monitor the intrusion. In addition, all received network packets may be stored, or only packets of a specific packet or a specific network traffic flow may be sampled or filtered according to a manager's selection.

네트워크 인터페이스 장치(210a, 210b, 210c)는 네트워크 인터페이스 카드(Network Interface Card, NIC)와 같은 카드로, 인터넷 등에 연결된 네트워크 장비에 설치되어, 탭퍼(tapper) 또는 스플리터(splitter) 등을 이용하여 패킷을 미러링하여 네트워크 회선상에 존재하는 모든 패킷을 패킷 캡쳐부(220)로 전달한다.The network interface devices 210a, 210b, and 210c are cards, such as a network interface card (NIC), installed in a network device connected to the Internet, and use a tapper or splitter to send packets. All packets existing on the network line by mirroring are transferred to the packet capture unit 220.

패킷 가공부(230)는 사후 포렌식 분석을 용이하게 하기 위해서 패킷에 대한 네트워크 트래픽 플로우 정보를 생성하며, 생성된 네트워크 트래픽 플로우에 해당하는 패킷의 색인 파일을 생성한다. 즉, 수신된 패킷에 대한 네트워크 트래픽 플로우 정보를 관리하는 플로우 레코드 파일을 생성하고, 그 플로우에 속한 패킷들의 위치를 지시하는 색인파일을 생성하며, 플로우 레코드 파일은 각 플로우에 대한 색인파일의 위치 정보를 가지도록 가공한다. 네트워크 트래픽 플로우 정보의 생성과 색인 파일의 생성의 구체적인 예에 대해서는 도 4를 참조하여 후술한다. 저장부(240)는 패킷 가공부(230)에서 가공된 패킷을 저장한다.The packet processing unit 230 generates network traffic flow information for the packet in order to facilitate post-forensic analysis, and generates an index file of the packet corresponding to the generated network traffic flow. That is, it generates a flow record file for managing the network traffic flow information for the received packet, and generates an index file indicating the location of the packets belonging to the flow, the flow record file is the location information of the index file for each flow Process to have A specific example of generation of network traffic flow information and generation of an index file will be described later with reference to FIG. 4. The storage unit 240 stores the packet processed by the packet processor 230.

모니터링 시스템(250)은 사후 포렌식 분석을 하기 위해 저장부(240)에 저장된 패킷을 전부 분석하거나 네트워크 트래픽 플로우 별로 분석할 수 있도록 하는 환경을 제공한다.The monitoring system 250 provides an environment for analyzing all packets stored in the storage unit 240 or analyzing network traffic flows for post-forensic analysis.

도 3은 도 2의 패킷 캡쳐부(220)의 상세 구성도이다.3 is a detailed block diagram of the packet capture unit 220 of FIG. 2.

패킷 캡쳐부(220)는 타임 스탬프 생성부(310), 샘플링부(320) 및 필터링부(330)를 포함한다. 이때 샘플링부(320)와 필터링부(330)는 관리자의 선택에 따라 동작하지 않도록 할 수 있다. 샘플링부(320)와 필터링부(330)가 동작하지 않는 경우에는 수신된 패킷을 걸러내지 않기 때문에 네트워크상의 모든 패킷을 저장한다.The packet capture unit 220 includes a time stamp generator 310, a sampling unit 320, and a filtering unit 330. In this case, the sampling unit 320 and the filtering unit 330 may not operate according to a manager's selection. If the sampling unit 320 and the filtering unit 330 do not operate, the received packet is not filtered, and thus all packets on the network are stored.

타임 스탬프 생성부(310)는 네트워크 인터페이스 장치(210a, 210b, 210c)에서 수신된 패킷의 수신 시간을 표시하는 타임 스탬프(time stamp)를 만들어 수신 패킷에 부가한다. 샘플링부(320)는 관리자의 선택에 따라 특정 패킷을 필터링한다. 예를 들어 10개 패킷을 수신할 때마다 1개의 패킷만을 추출하도록 하거나, 일정한 시간마다 1개의 패킷을 추출하도록 설정할 수 있다. 필터링부(330)는 관리자의 선택에 따라 특정 네트워크 트래픽 플로우에 대한 패킷만을 추출하도록 한다. 예를 들어 특정 IP 주소에서 송신되는 패킷만을 추출하거나, 특정 서비스 포트 또는 애플리케이션에서 만들어지는 패킷만을 추출하도록 설정할 수 있다.The time stamp generator 310 creates a time stamp indicating a reception time of the packet received by the network interface device 210a, 210b, or 210c and adds it to the received packet. The sampling unit 320 filters a specific packet according to a manager's selection. For example, only one packet may be extracted every 10 packets received, or one packet may be extracted at a predetermined time. The filtering unit 330 extracts only packets for a specific network traffic flow according to a manager's selection. For example, you can configure to extract only packets that are sent from a specific IP address, or only packets that are created by a specific service port or application.

샘플링부(320)와 필터링부(330)는 저장부(240)의 저장용량에 따라 동작하거 나 동작하지 않도록 설정될 수 있다. 샘플링부(320) 또는 필터링부(330)가 동작하는 모든 패킷을 감시하지는 않지만 대략적인 공격 패턴 등을 알 수 있다.The sampling unit 320 and the filtering unit 330 may be set to operate or not operate according to the storage capacity of the storage unit 240. Although the sampling unit 320 or the filtering unit 330 does not monitor every packet operated, it may know an approximate attack pattern.

도 4는 본 발명의 일실시예에 따른 네트워크 트래픽 플로우 레코드 파일, 패킷 색인 파일, 데이터 패킷 파일의 구조를 도시한 도면이다.4 is a diagram illustrating the structure of a network traffic flow record file, packet index file, and data packet file according to an embodiment of the present invention.

본 발명의 네트워크 패킷 저장 장치에서 수신된 패킷을 저장하기 위해서는 대용량의 저장장치가 필요하며, 저장장치의 관리를 위한 파일 시스템이 필요하다. 본 발명에서는 패킷을 저장하기 위한 로그 파일 관리를 위해서 일반적인 파일 시스템상에서 동작하는 것을 가정하여 설명한다.In order to store the received packet in the network packet storage device of the present invention, a large capacity storage device is required, and a file system for managing the storage device is required. In the present invention, it is assumed that an operation on a general file system is performed for log file management for storing packets.

도 4를 참조하면 본 발명의 네트워크 패킷 저장장치는 수신된 패킷을 파일 시스템에 저장할 때 하나의 패킷 로그 파일에 대해서 2가지의 파일을 추가로 생성한다. 즉, 패킷 캡쳐 파일(packet capture file)(430)외에 네트워크 트래픽 플로우 레코드를 저장하는 플로우 레코드 파일(flow record file)(410)과 패킷 캡쳐 파일(430)에 대한 색인 파일로 패킷 인덱스 파일(packet index file)(420)이 있다.Referring to FIG. 4, the network packet storage device of the present invention additionally generates two files for one packet log file when storing the received packet in the file system. That is, a packet index file as a flow record file 410 for storing network traffic flow records in addition to the packet capture file 430 and an index file for the packet capture file 430. file) 420.

이하에서는 패킷 캡쳐 파일(430), 플로우 레코드 파일(410) 및 패킷 색인 파일(420)의 상호 관계에 대해 상세히 설명한다. 패킷 캡쳐 파일(430)은 네트워크 상에서 수신된 패킷을 저장하기 위한 파일이다. 즉 수신된 패킷별로 헤더를 붙여 저장한다. 이때 네트워크상의 패킷의 길이는 이더넷의 경우 64 바이트에서 1518 바이트까지 가변적인 값이 될 수 있으므로, 패킷 캡쳐 파일(430)상에서 패킷의 위치는 특정한 위치가 아니고 랜덤한 위치를 가진다. 각 패킷은 패킷의 길이 정보 및 시간 정보를 포함하는 헤더 정보와 함께 패킷 캡쳐 파일(430)에 저장된다.Hereinafter, the correlation between the packet capture file 430, the flow record file 410, and the packet index file 420 will be described in detail. The packet capture file 430 is a file for storing a packet received on a network. That is, headers are stored for each received packet. In this case, since the length of the packet on the network may vary from 64 bytes to 1518 bytes in the case of Ethernet, the packet position on the packet capture file 430 is not a specific position but a random position. Each packet is stored in the packet capture file 430 along with header information including the length information and time information of the packet.

패킷 색인 파일(420)은 사후 분석시에 시스템 관리자가 원하는 패킷을 랜덤하게 접근하여 패킷을 검색해 볼 수 있도록 하기 위해서, 패킷 캡쳐 파일(430) 내에서 저장된 패킷의 위치를 표시하는 오프셋(offset) 정보를 저장하며, 패킷이 속하는 네트워크 트래픽 플로우 별로 단일 리스트로 연결될 수 있도록 패킷 인덱스 파일 내의 네트워크 트래픽 플로우에 속한 이전 패킷의 위치 정보를 저장하는 포인터(pointer, prev)를 저장한다.The packet index file 420 is offset information indicating the location of the stored packet in the packet capture file 430 in order to enable the system administrator to randomly access the desired packet during post analysis. It stores a pointer (pointer, prev) for storing the location information of the previous packet belonging to the network traffic flow in the packet index file so that it can be connected to a single list for each network traffic flow to which the packet belongs.

이렇게 패킷 색인 파일(420)은 각 패킷에 대한 네트워크 트래픽 플로우 정보와 패킷의 위치 정보를 고정된 위치에 저장하고 있어 사후 포렌식 분석시 패킷 분석을 용이하게 할 수 있다. As such, the packet index file 420 stores network traffic flow information and packet location information for each packet at a fixed location, thereby facilitating packet analysis during post-forensic analysis.

플로우 레코드 파일(410)은 시스템 관리자가 지정하는 방법에 따라 다양한 종류의 네트워크 트래픽 플로우를 생각할 수 있다. 일반적으로 IP 프로토콜에 대한 네트워크 트래픽 플로우는 시스코 넷플로우 버전 5에 속하는 패킷의 속성 정보를 추출하여 플로우 레코드를 생성할 수 있다. 본 발명에서 제안하는 플로우 레코드 형식은 IETF IPFIX에서 제안하는 형식으로 따르거나 시스코 넷플로우 형식을 따를 수도 있다. 그러나 여기에 각 네트워크 트래픽 플로우에 속한 패킷을 표시하기 위해서 패킷 색인 파일의 패킷 리스트를 구분할 수 있는 포인터 필드가 추가되어야 한다. 네트워크 트래픽 플로우의 예로 IP 주소, 서비스 포트 등을 들 수 있다.The flow record file 410 can think of various kinds of network traffic flows according to a method specified by the system administrator. In general, a network traffic flow for an IP protocol may generate a flow record by extracting attribute information of a packet belonging to Cisco Netflow version 5. The flow record format proposed by the present invention may follow the format suggested by the IETF IPFIX or may follow the Cisco netflow format. However, in order to indicate the packet belonging to each network traffic flow, a pointer field to distinguish the packet list of the packet index file must be added. Examples of network traffic flows include IP addresses and service ports.

도 5는 본 발명의 네트워크 패킷 저장 방법의 흐름도이다.5 is a flowchart of a network packet storage method of the present invention.

도 5를 참조하여 하나의 패킷을 수신하여 플로우 레코드를 업데이트하고 패킷 색인 파일 및 패킷 캡쳐 파일에 패킷을 쓰는 과정을 설명한다. 먼저 네트워크 상의 패킷을 수신한다(S510). 즉, 네트워크 장비에 설치된 네트워크 인터페이스 카드를 통해 패킷을 수신한다. 그리고 수신된 패킷에 대한 네트워크 트래픽 플로우 정보와 그 네트워크 트래픽 플로우에 대응되는 패킷의 색인 파일에 대응하도록 패킷을 가공한다. 보다 상세하게는, 수신된 패킷에 대한 네트워크 트래픽 플로우 정보가 존재하는지 확인하여(S520), 네트워크 트래픽 플로우가 존재하는지 판단하고(S530), 네트워크 트래픽 플로우 정보가 존재하면 이를 갱신하고(S550), 그렇지 않으면 네트워크 트래픽 플로우 정보를 새로 생성한다(S540).A process of receiving a packet, updating a flow record, and writing a packet to a packet index file and a packet capture file will be described with reference to FIG. 5. First, a packet on a network is received (S510). That is, the packet is received through the network interface card installed in the network equipment. The packet is processed to correspond to the network traffic flow information on the received packet and the index file of the packet corresponding to the network traffic flow. More specifically, by checking whether there is network traffic flow information for the received packet (S520), determining whether there is a network traffic flow (S530), and updating the network traffic flow information if it exists (S550). If not, the network traffic flow information is newly generated (S540).

S520 단계에서는 예를 들어 수신된 패킷으로부터 필요한 네트워크 트래픽 플로우 정보를 추출하여 같은 값을 갖는 네트워크 트래픽 플로우가 플로우 테이블 상에 존재하는지 검색한다. 네트워크 트래픽 플로우 정보의 예로는, IP 주소, 서비스 포트 등을 들 수 있다.In step S520, for example, the required network traffic flow information is extracted from the received packet and the network traffic flow having the same value is searched for on the flow table. Examples of network traffic flow information include IP addresses, service ports, and the like.

그리고, 이렇게 갱신 또는 생성된 네트워크 트래픽 플로우 정보에 대응되도록 패킷 색인을 생성하여 저장하고(S560), 이에 대응되도록 패킷도 저장한다(S570). 네트워크 트래픽 플로우 정보의 갱신(S550) 또는 네트워크 트래픽 플로우 정보를 생성한 후(S540)에는 수신된 패킷이 속하는 네트워크 트래픽 플로우의 ID(Identification)을 알 수 있으며, 패킷에 속한 네트워크 트래픽 플로우 ID와 해당하는 네트워크 트래픽 플로우가 속하는 이전 패킷의 로깅 파일내 위치 정보를 패킷 색인 파일에 저장한다(S560). 이렇게 순차적인 방식에 따라 패킷을 저장함으로써 패킷을 로깅함에 있어 네트워크 트래픽 플로우 정보 및 각 패킷이 속한 네트워크 트래픽 플로우를 구분하여 효율적으로 저장할 수 있다. In addition, the packet index is generated and stored to correspond to the network traffic flow information thus updated or generated (S560), and the packet is also stored to correspond thereto (S570). After updating the network traffic flow information (S550) or generating the network traffic flow information (S540), the ID (identification) of the network traffic flow to which the received packet belongs can be known, and the network traffic flow ID to which the packet belongs and The location information in the logging file of the previous packet to which the network traffic flow belongs is stored in the packet index file (S560). By storing packets in such a sequential manner, network traffic flow information and network traffic flows to which each packet belongs can be efficiently stored in packet logging.

네트워크 포렌식 시스템은 네트워크 상에서 캡쳐한 패킷에 대해서 전술한 과정을 반복 수행한다. The network forensic system repeats the above-described process for packets captured on the network.

한편, 전술한 네트워크 패킷 저장 방법은 컴퓨터 프로그램으로 작성 가능하다. 상기 프로그램을 구성하는 코드들 및 코드 세그먼트들은 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 또한, 상기 프로그램은 컴퓨터가 읽을 수 있는 정보저장매체(computer readable media)에 저장되고, 컴퓨터에 의하여 읽혀지고 실행됨으로써 네트워크 패킷 저장 방법을 구현한다. 상기 정보저장매체는 자기 기록매체, 광 기록매체, 및 캐리어 웨이브 매체를 포함한다.On the other hand, the above-described network packet storage method can be created by a computer program. Codes and code segments constituting the program can be easily inferred by a computer programmer in the art. In addition, the program is stored in a computer readable media, and read and executed by a computer to implement a network packet storage method. The information storage medium includes a magnetic recording medium, an optical recording medium, and a carrier wave medium.

이제까지 본 발명에 대하여 그 바람직한 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in descriptive sense only and not for purposes of limitation. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.

전술한 바와 같이 본 발명에 따르면 네트워크 트래픽 플로우 별로 패킷을 구분하여 저장함으로써 포렌식 분석시에 네트워크 트래픽 플로우 정보와 이와 연관된 패킷을 분석함으로써 분석 시간을 단축시킬 수 있으며, 보안 사고로 인한 피해를 빠르게 복구하거나 대응할 수 있도록 하여 비용을 절감할 수 있다.As described above, according to the present invention, by dividing and storing packets for each network traffic flow, analysis time can be shortened by analyzing network traffic flow information and related packets during forensic analysis, and quickly recovering from damage caused by a security incident, Responsiveness can reduce costs.

예를 들어, 종래의 패킷 로깅 시스템에서 저장된 패킷을 사후 분석하는 경우 보안 관리자가 특정 패킷을 검색하기 위해서는 로깅된 모든 패킷을 순차적으로 읽어가면서 필요에 따라 필터 규칙을 적용해야 한다. 이러한 경우 관리자가 원하는 패킷을 추출하는데 소요되는 시간은 대략 다음과 같이 계산할 수 있다.For example, in a conventional packet logging system, after analyzing a stored packet, the security manager must read all logged packets sequentially and apply filter rules as necessary to search for a specific packet. In this case, the time required for the administrator to extract the desired packet can be calculated as follows.

패킷 검색 시간(초) = 디스크 접근 속도(bytes/sec) * 로깅 디스크 크기(bytes)Packet search time (seconds) = disk access speed (bytes / sec) * logging disk size (bytes)

디스크 접근 속도는 시스템마다 다를 수 있으나, 일정한 속도를 갖는다고 가정하면, 로깅된 디스크의 크기에 따라서 패킷 추출 시간은 변경된다고 할 수 있다. 사후 분석 과정에 있어서 패킷이 로깅된 디스크의 크기는 수십 테라 바이트까지 커질 수 있으며, 사후 분석 과정에서 수십에서 수백번의 패킷 검색 및 추출을 통해서 분석이 수행되므로 로깅된 디스크의 크기가 커짐에 따라 사후 분석에 소요되는 시간은 패킷 검색 회수에 비례하여 증가하게 된다.Although the disk access speed may vary from system to system, assuming that the disk access speed is constant, the packet extraction time changes according to the size of the logged disk. In the post-analysis process, the size of the disk on which packets are logged can grow up to tens of terabytes.In the post-analysis process, analysis is performed through dozens to hundreds of packet searches and extracts. The time required for analysis increases in proportion to the number of packet searches.

그러나, 본 발명에 따른 패킷 저장 장치 및 방법을 사용한 시스템에서 관리자가 원하는 패킷을 추출하는데 소요되는 시간은 대략 다음과 같이 계산할 수 있다.However, in a system using the packet storage device and method according to the present invention, the time required for the administrator to extract a desired packet can be calculated as follows.

패킷 검색 시간(초) = (디스크 접근 속도 * 플로우 디스크 크기) + (디스크 접근 속도 * 분류된 패킷 크기)Packet search time (seconds) = (disk access speed * flow disk size) + (disk access speed * classified packet size)

디스크 접근 속도는 종래 방식과 같은 값을 가지나, 플로우 디스크의 크기는 로깅 디스크의 크기에 비해서 경우에 따라서 수백에서 수천분의 일로 그 크기가 감소되며, 플로우에 의해서 분류된 패킷만 접근하므로 종래 방식에 대비하여 패킷 추 출에서 접근하는 디스크의 크기를 수십에서 수천분의 일로 줄임으로써 분석 성능을 향상시킬 수 있다. 이러한 성능 향상은 사후 분석 과정에서 수행하는 패킷 검색 회수에 비례하여 성능 향상을 얻을 수 있다.The disk access speed has the same value as the conventional method, but the size of the flow disk is reduced from hundreds to thousands of times in some cases compared to the size of the logging disk, and only the packets classified by the flow are accessed. In contrast, analysis performance can be improved by reducing the size of the disk accessed by packet extraction from tens to thousands. This performance improvement can be obtained in proportion to the number of packet searches performed during the post analysis.

즉, 종래 패킷만을 로깅하는 방식의 포렌식 시스템은 사후 분석시 로그 파일내에서 불규칙하게 위치하고 있는 패킷에서 원하는 패킷을 검색하기 위해서 많은 시간을 필요로 하지만 본 발명에 따르면 패킷 로그 파일에 불규칙적으로 위치하고 있는 패킷의 파일 내 위치 정보를 정해진 형식에 맞추어 일정한 크기로 별도의 색인 파일을 생성하여 저장함으로써, 로깅된 패킷에서 임의의 패킷을 쉽게 검색할 수 있다. That is, a conventional forensic system that logs only packets requires a lot of time to search for a desired packet in a packet located irregularly in a log file during post-analysis, but according to the present invention, a packet is irregularly located in a packet log file. By creating and storing a separate index file with a certain size in accordance with a predetermined format, it is possible to easily retrieve a random packet from the logged packet.

그리고 수신된 패킷을 실시간으로 각 패킷이 속하는 네트워크 트래픽 플로우로 그룹화함으로써 사후 분석 과정에서 네트워크 트래픽 플로우에 의한 검색을 통해 사고의 원인이 되는 패킷을 보다 빠르게 검색할 수 있다.In addition, by grouping the received packets into the network traffic flow to which each packet belongs in real time, it is possible to search the packets causing the accident more quickly through the search by the network traffic flow in the post-analysis process.

또한 생성된 네트워크 트래픽 플로우 정보를 네트워크 트래픽 플로우의 키별로 또는 키의 조합으로 네트워크 트래픽 플로우를 재생성함으로써 사용자 원하는 통계 정보 및 각 네트워크 트래픽 플로우에 속하는 패킷을 보다 빠르고 쉽게 검색해 낼 수 있다.In addition, by regenerating the network traffic flow by the generated network traffic flow information for each key or combination of keys of the network traffic flow, it is possible to retrieve the desired statistical information and packets belonging to each network traffic flow more quickly and easily.

Claims (9)

네트워크 인터페이스를 통해 전달되는 데이터 패킷을 수신하는 패킷 캡쳐부;A packet capture unit which receives a data packet transmitted through a network interface; 상기 수신된 패킷에 대한 네트워크 트래픽 플로우 정보와 그 플로우에 대응되는 패킷의 색인 파일에 대응하는 색인 정보를 별도로 관리할 수 있도록 패킷을 가공하는 패킷 가공부; 및A packet processing unit for processing the packet to separately manage network traffic flow information on the received packet and index information corresponding to an index file of a packet corresponding to the flow; And 상기 가공된 패킷을 저장하는 저장부를 포함하는 것을 특징으로 하는 네트워크 패킷 저장 장치.And a storage unit for storing the processed packet. 제1항에 있어서, 상기 패킷 캡쳐부는The method of claim 1, wherein the packet capture unit 상기 네트워크를 통해 수신되는 데이터 패킷의 수신시간을 나타내는 타임 스탬프를 생성하여 상기 수신된 데이터 패킷에 부가하는 타임 스탬프 생성부를 더 포함하는 것을 특징으로 하는 네트워크 패킷 저장 장치.And a time stamp generator for generating a time stamp indicating a reception time of a data packet received through the network and adding the time stamp to the received data packet. 제2항에 있어서, 상기 패킷 캡쳐부는The method of claim 2, wherein the packet capture unit 관리자의 선택에 따라 특정 패킷만을 샘플링하는 샘플링부를 더 포함하는 것을 특징으로 하는 네트워크 패킷 저장 장치.And a sampling unit for sampling only a specific packet according to a manager's selection. 제2항에 있어서, 상기 패킷 캡쳐부는The method of claim 2, wherein the packet capture unit 관리자의 선택에 따라 특정 네트워크 트래픽 플로우에 해당하는 패킷만을 필 터링하여 추출하는 필터링부를 더 포함하는 것을 특징으로 하는 네트워크 패킷 저장 장치.And a filtering unit for filtering and extracting only packets corresponding to a specific network traffic flow according to a manager's selection. 제1항에 있어서, 상기 패킷 가공부는The method of claim 1, wherein the packet processing unit 상기 수신된 패킷에 대한 네트워크 트래픽 플로우 정보를 관리하는 플로우 레코드 파일을 생성하고, 그 플로우에 속한 패킷들의 위치를 지시하는 색인파일을 생성하며, 상기 플로우 레코드 파일은 각 플로우에 대한 색인파일의 위치 정보를 가지도록 가공하는 것을 특징으로 하는 네트워크 패킷 저장 장치.Generate a flow record file for managing network traffic flow information for the received packet, and generate an index file indicating the location of packets belonging to the flow, wherein the flow record file is the location information of the index file for each flow Network packet storage device, characterized in that the processing to have. 제5항에 있어서, The method of claim 5, 상기 패킷 색인 파일은 상기 플로우 레코드 파일에서 상기 플로우에 속한 최초 패킷의 위치 정보를 저장하고 있는 색인 정보에 대응되는 포인터를 갖고 있으며, 그 포인터는 다음 패킷의 위치 정보를 저장하고 있는 색인 정보에 대응되는 포인터를 지시하고 있는 것을 특징으로 하는 네트워크 패킷 저장 장치.The packet index file has a pointer corresponding to index information storing position information of the first packet belonging to the flow in the flow record file, and the pointer corresponds to index information storing position information of the next packet. A network packet storage device, characterized in that it indicates a pointer. 네트워크 인터페이스를 통해 데이터 패킷을 수신하는 단계;Receiving a data packet via a network interface; 상기 수신된 패킷에 대한 네트워크 트래픽 플로우 정보와 그 플로우에 대응되는 패킷의 색인 파일에 대응하는 색인 정보를 별도로 관리할 수 있도록 패킷을 가공하는 단계; 및Processing the packet to separately manage network traffic flow information on the received packet and index information corresponding to an index file of a packet corresponding to the flow; And 상기 가공된 패킷을 저장하는 단계를 포함하는 것을 특징으로 하는 네트워크 패킷 저장 방법.And storing the processed packet. 제7항에 있어서, 상기 패킷을 가공하는 단계는,The method of claim 7, wherein processing the packet, 상기 수신된 패킷에 대한 네트워크 트래픽 플로우 정보가 존재하는지 판단하는 단계;Determining whether network traffic flow information exists for the received packet; 상기 네트워크 트래픽 플로우 정보가 존재하면 이를 갱신하고, 그렇지 않으면 네트워크 트래픽 플로우 정보를 새로 생성하는 단계; 및Updating the network traffic flow information if it exists, otherwise generating new network traffic flow information; And 상기 갱신 또는 생성된 네트워크 트래픽 플로우 정보에 대응되도록 패킷 색인을 생성하는 단계를 포함하는 것을 특징으로 하는 네트워크 패킷 저장 방법.Generating a packet index so as to correspond to the updated or generated network traffic flow information. 제7항에 기재된 네트워크 패킷 저장 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.A computer-readable recording medium having recorded thereon a program for executing the network packet storing method according to claim 7 on a computer.
KR1020070033878A 2007-04-05 2007-04-05 Network forensic apparatus and method thereof KR100868569B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070033878A KR100868569B1 (en) 2007-04-05 2007-04-05 Network forensic apparatus and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070033878A KR100868569B1 (en) 2007-04-05 2007-04-05 Network forensic apparatus and method thereof

Publications (2)

Publication Number Publication Date
KR20080090712A true KR20080090712A (en) 2008-10-09
KR100868569B1 KR100868569B1 (en) 2008-11-13

Family

ID=40151762

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070033878A KR100868569B1 (en) 2007-04-05 2007-04-05 Network forensic apparatus and method thereof

Country Status (1)

Country Link
KR (1) KR100868569B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571451A (en) * 2012-02-16 2012-07-11 大唐移动通信设备有限公司 Network element and method for uploading MR (Measure Report) messages by network element
WO2019221346A1 (en) * 2018-05-15 2019-11-21 엑사비스 주식회사 Network inspection method performing packet storage and system for performing same

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571451A (en) * 2012-02-16 2012-07-11 大唐移动通信设备有限公司 Network element and method for uploading MR (Measure Report) messages by network element
WO2019221346A1 (en) * 2018-05-15 2019-11-21 엑사비스 주식회사 Network inspection method performing packet storage and system for performing same
US11528199B2 (en) 2018-05-15 2022-12-13 Xabyss Inc. Method for network inspection saving packet and system performing the same

Also Published As

Publication number Publication date
KR100868569B1 (en) 2008-11-13

Similar Documents

Publication Publication Date Title
US9917857B2 (en) Logging attack context data
Perdisci et al. Alarm clustering for intrusion detection systems in computer networks
US8056115B2 (en) System, method and program product for identifying network-attack profiles and blocking network intrusions
US10616258B2 (en) Security information and event management
JP5844938B2 (en) Network monitoring device, network monitoring method, and network monitoring program
US8856920B2 (en) System and method of securely processing lawfully intercepted network traffic
Pilli et al. A generic framework for network forensics
US20030101353A1 (en) Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto
Mualfah et al. Network forensics for detecting flooding attack on web server
US11080392B2 (en) Method for systematic collection and analysis of forensic data in a unified communications system deployed in a cloud environment
JP2016508353A (en) Improved streaming method and system for processing network metadata
Kaushik et al. Network forensic system for port scanning attack
Debar et al. Intrusion detection: Introduction to intrusion detection and security information management
CN113783886A (en) Intelligent operation and maintenance method and system for power grid based on intelligence and data
Chhabra et al. Distributed network forensics framework: A systematic review
Yu et al. TRINETR: an intrusion detection alert management systems
Giacinto et al. Alarm clustering for intrusion detection systems in computer networks
KR20070072835A (en) Web hacking responses through real time web log collection
KR100868569B1 (en) Network forensic apparatus and method thereof
KR20140078329A (en) Method and apparatus for defensing local network attacks
Coulibaly An overview of intrusion detection and prevention systems
KR100651749B1 (en) Method for detection of unknown malicious traffic and apparatus thereof
Asaka et al. Local attack detection and intrusion route tracing
Prabhu et al. Network intrusion detection system
KR20050095147A (en) Hacking defense apparatus and method with hacking type scenario

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120921

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20131106

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20141105

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20151207

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20161107

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee