KR20090037540A - 클라이언트 애플리케이션을 탐지하기 위한 복합형 네트워크탐지 방법 - Google Patents

클라이언트 애플리케이션을 탐지하기 위한 복합형 네트워크탐지 방법 Download PDF

Info

Publication number
KR20090037540A
KR20090037540A KR1020070102882A KR20070102882A KR20090037540A KR 20090037540 A KR20090037540 A KR 20090037540A KR 1020070102882 A KR1020070102882 A KR 1020070102882A KR 20070102882 A KR20070102882 A KR 20070102882A KR 20090037540 A KR20090037540 A KR 20090037540A
Authority
KR
South Korea
Prior art keywords
target node
network
request packet
agent
user
Prior art date
Application number
KR1020070102882A
Other languages
English (en)
Inventor
고경희
심원태
김우한
Original Assignee
한국정보보호진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국정보보호진흥원 filed Critical 한국정보보호진흥원
Priority to KR1020070102882A priority Critical patent/KR20090037540A/ko
Priority to US11/941,203 priority patent/US20090122721A1/en
Publication of KR20090037540A publication Critical patent/KR20090037540A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • H04L43/0829Packet loss
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • H04L43/087Jitter
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them

Abstract

본 발명은 클라이언트 애플리케이션을 탐지하기 위한 복합형 네트워크 탐지 방법에 관한 것으로, 더욱 상세하게는, 능동 네트워크 탐지 방법과 수동 네트워크 탐지 방법을 결합하여, 서버 측의 애플리케이션 탐색 뿐만 아니라 클라이언트 측의 애플리케이션도 탐색할 수 있는 복합형 네트워크 탐지 방법에 관한 것이다. 본 발명의 일 실시예에 따른 복합형 네트워크 탐지 방법은, (a) 측정하고자 하는 네트워크에 시험 트래픽을 부가하고, 응답을 분석하여 표적 노드를 확인하는 단계; (b) 프로토콜 요청 패킷을 상기 확인된 표적 노드로 전송하는 단계; 및 (c) 상기 프로토콜 요청 패킷 헤더의 URL 과 상기 표적 노드의 특정 애플리케이션에 관한 사이트가 일치하면, 상기 URL 과 상기 표적 노드의 IP 를 추출하는 단계를 포함한다. 본 발명에 따른 복합형 네트워크 탐지 방법은, 능동 네트워크 탐지 방법과 수동 네트워크 탐지 방법을 상호 보완적으로 결합하여, 표적 노드의 존재 및 표적 노드의 특성을 탐색할 수 있는 효과가 있다.
능동 네트워크 탐지, 수동 네트워크 탐지, 복합형 네트워크 탐지

Description

클라이언트 애플리케이션을 탐지하기 위한 복합형 네트워크 탐지 방법 {HYBRID NETWORK DISCOVERY METHOD FOR DETECTING CLIENT APPLICATIONS}
본 발명은 클라이언트 애플리케이션을 탐지하기 위한 복합형 네트워크 탐지 방법에 관한 것으로, 더욱 상세하게는, 능동 네트워크 탐지 방법과 수동 네트워크 탐지 방법을 결합하여, 서버 측의 애플리케이션 탐색 뿐만 아니라 클라이언트 측의 애플리케이션도 탐색할 수 있는 복합형 네트워크 탐지 방법에 관한 것이다.
보안 취약점은 IT 자산 정보에 따라 분석되며, 보안 취약점의 결과에 기초하여 대응책이 형성된다. 따라서, 보안 정책자들은 얼마나 많은 서버, 데스크탑, 및 네트워크 장치들이 네트워크 상태에 있는지 파악하는 것이 중요하며, 또한, 어떠한 종류의 서비스 및 애플리케이션(application)이 각각의 서버 상에서 실행되고 있는지 파악하는 것이 중요하다.
그러나, IT 자산 정보를 자동으로 또는 수동으로 수집하고 관리하는 것은 쉬운 일이 아니며, 네트워크 트래픽의 측정은 네트워크가 지속적으로 변함에 따라, 호스트 또는 서비스의 추가와 같은 변화를 감지하거나, 작동 시스템 버전의 변경 등을 감지하는 것이 필요하다.
네트워크 트래픽 탐지 기술은 크게 능동 및 수동 탐지 방식으로 나뉜다.
능동 탐지는 ICMP, TCP, UDP 또는 ARP 패킷들이 표적 시스템에 전송되며, 표적을 확인하기 위해 응답 패킷들이 분석된다. 능동 탐지는 방화벽과 같은 보안 장치들에 의해 스캔이 차단되며, 침입 탐지 경보가 트리거될 수 있는 문제점이 있다.
수동 탐지는 네트워크 트래픽을 모니터하면서, 패킷들을 침입 탐지 시스템(Intrusion Detection System, IDS)과 같이 분석한다. 수동 모드에서, 논-디폴트(non-default) 포트 상에 실행되는 네트워크 서비스 및 방화벽 뒤의 네트워크 구성요소들이 감지될 수 있다. 그러나 수동 탐지는 사용되지 않는 서비스 및 애플리케이션을 탐지할 수 없는 문제점이 있다.
본 발명의 목적은 능동 네트워크 탐지 방법과 수동 네트워크 탐지 방법을 상호 보완적으로 결합하여, 서버 측의 애플리케이션 탐색 뿐만 아니라 클라이언트 측의 애플리케이션도 탐색할 수 있는 복합형 네트워크 탐지 방법을 제공하는 것이다.
전술한 목적을 달성하기 위한 본 발명의 일 실시예에 따른 복합형 네트워크 탐지 방법은, (a) 측정하고자 하는 네트워크에 시험 트래픽을 부가하고, 응답을 분석하여 표적 노드를 확인하는 단계; (b) 프로토콜 요청 패킷을 상기 확인된 표적 노드로 전송하는 단계; 및 (c) 상기 프로토콜 요청 패킷 헤더의 URL 과 상기 표적 노드의 특정 애플리케이션에 관한 사이트가 일치하면, 상기 URL 과 상기 표적 노드의 IP 를 추출하는 단계를 포함한다.
상기 복합형 네트워크 탐지 방법은, 상기 프로토콜 요청 패킷 헤더의 유저-에이전트 필드가 상기 특정 애플리케이션의 유저-에이전트와 일치하면, 상기 유저-에이전트를 추출하는 단계를 더 포함할 수 있다.
상기 프로토콜 요청 패킷은 HTTP 요청 패킷이 될 수 있다.
상기 특정 애플리케이션은 엑티브 엑스 컨트롤이 될 수 있다.
상기 (a) 단계는, NDM 콘트롤로부터 시작 메시지를 수신하는 단계; NDM 에이전트에서 구성 및 입력 파일을 판독하는 단계; Nmap 인터페이스에서 Nmap 입력 파일을 생성하여, Nmap 프로그램을 실행시키는 단계; 상기 프로그램 실행 결과, XML 형태로 결과를 출력하는 단계; 상기 각각의 표적 노드에 대해 SNMP 인터페이스를 통해 SNMP 질의(queries)를 전송하는 단계; 및 SNMP 응답을 분석하여 상기 표적 노드를 확인하는 단계를 포함할 수 있다.
본 발명에 따른 복합형 네트워크 탐지 방법은, 능동 네트워크 탐지 방법과 수동 네트워크 탐지 방법을 상호 보완적으로 결합하여, 표적 노드의 존재 및 표적 노드의 특성을 탐색할 수 있는 효과가 있다.
본 발명에 따른 복합형 네트워크 탐지 방법에 의해 수집된 IT 자산 정보는 프레임 워크(work) 내에서 취약점 스캐너, 위험 분석 및 방어 발전을 위해 사용될 수 있는 효과가 있다.
이하에서는 첨부한 도면을 참조하여 본 발명의 바람직한 실시예에 따른 복합형 네트워크 탐지 방법에 대하여 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 복합형 네트워크 탐지 방법을 도시한 순서도이며, 도 2는 도 1의 능동 네트워크 탐지 과정을 구체적으로 도시한 순서도이다.
도 1을 참조하면, 능동 네트워크 탐지로써, 측정하고자 하는 네트워크에 임의의 시험 트래픽을 부가하고(S100), 이들의 응답을 분석하여, 종단간 지연, 손실율, 지연 변이 등과 같은 트래픽 특성을 측정하여 표적 노드를 확인한다(S120). 이에 따라, 클라이언트 측의 컴퓨터가 네트워크 상에 존재하고 있는지 여부 등을 확 인할 수 있다.
능동 네트워크 탐지를 위해, 예를 들어, NDM(Network Data Mover) 에이전트는 Nmap 과 SNMP 를 사용할 수 있다. Nmap(Network Mapper)은 네트워크 보안을 위한 유틸리티로써 대규모 네트워크를 고속으로 스캔하는 도구이다. Nmap은 로우(raw) IP 패킷을 사용하여 네트워크에 어느 호스트가 살아있고, 그들이 어떠한 서비스(포트)를 제공하며, 운영체제(OS 버전)가 무엇이며, 필터/방화벽(filter/firewall)의 패킷 타입이 무엇인지 등 네트워크의 다양한 특징들을 점검한다.
SNMP(Simple Network Management Protocol)은 TCP/IP의 네트워크 관리 프로토콜로써, 라우터나 허브 등 네트워크 기기의 네트워크 관리 정보를 네트워크 관리 시스템으로 전송하는데 사용되는 표준 통신 규약이다. 요청와 응답의 2가지 기능을 사용하여 네트워크 관리 정보를 수집 및 관리한다.
도 2는 능동 네트워크 탐지의 순서도이다.
도 2를 참조하면, NDM 콘트롤(control)로부터 시작 메시지를 수신하면(S102), NDM 에이전트는 구성 및 입력 파일들을 판독한다(S104). 상기 구성 및 입력 파일들은 NDM 콘피그(config)가 NDM 컨트롤로부터 구성 메시지를 수신할 때, 생성된다. 입력 파일들은 표적 호스트 IP 들을 포함한다.
계속하여, Nmap 인터페이스에서 Nmap 입력 파일들을 생성하며, Nmap 프로그램을 실행시킨다(S106). 디폴트 Nmap 옵션은, 작동 시스템 탐지가 가능한 TCP 및 UDP 스캔이다. Nmap은 XML 형태로 결과를 출력한다(S108).
Nmap의 결과는 IP, 호스트명, 작동 시스템명, 작동 시스템 버전, 오픈 포트, 프로토콜, 포트 상태, 서비스 및 서비스 버전 등이다. 각각의 표적 노드에 대해, NDM 에이전트는 SNMP 인터페이스를 통해 SNMP 질의(queries)를 전송하여(S110), 표적 노드를 확인한다(S112).
도 1을 다시 참조하면, 수동 네트워크 탐지를 위해 프로토콜 요청 패킷을 상기 확인된 표적 노드에 전송하여 클라이언트 애플리케이션이 작동하고 있는지 확인한다(S140).
수동 네트워크 탐지에 사용되는 도구는 특별히 제한적이지 않으며, 예를 들어 이터캡(Ettercap), nTop, p0f 등이 사용될 수 있다. 수동 네트워크 탐지의 결과는, IP, 작동 시스템명, 작동 시스템 버전, 오픈 포트, 프로토콜, 서비스 및 서비스 버전 등이다. 이터캡은 작동 시스템 및 수동 모드 내 버전을 확인하도록 패킷 헤더와 함께 시그너처 매칭(Signature matching) 기술을 사용한다.
수동 네트워크 탐지가 적용되는 애플리케이션의 종류는 특별히 제한적이지 않으며, 예를 들기 위한 목적으로, 워드 프로세서인 HWP, 미디어 플레이어인 곰 플레이어(GOM player), 압축 유틸리티인 알집(Alzip), 메신저 프로그램인 네이트온(Nateon)을 선택하여 설명하도록 한다.
상기 애플리케이션들은 네이트온을 제외하고 열린 포트를 갖고 있지 않으며, HTTP 프로토콜을 이용하여 인터넷에 연결된다. HTTP 프로토콜은 TCP 프로토콜로서 80번 포트를 사용하며, 일반적으로 대부분의 방화벽(firewall)에서 연결을 허용한다.
또한, 상기 애플리케이션들은 HTTP 프로토콜을 통해 자동 또는 수동으로 업데이트 기능을 제공한다. 알집은 HTTP 프로토콜을 통해 광고화면을 제공하며, 곰 플레이어는 HTTP 프로토콜을 통해 미디어 파일 다운로드, 자막파일 검색, 코덱 검색 기능을 제공한다.
알집, 곰 플레이어, 네이트온의 경우, HTTP 요청 패킷의 유저-에이전트 필드에 특정 스트링(string)을 갖는다.
도 3은 TCP/IP 패킷의 구조를 도시한 블록도로써, HTTP 헤더(header)는 HTTP 커맨드(command), 호스트(host), URI, HTTP 버전(version) 및 유저-에이전트(user-agent) 정보를 포함한다.
도 1을 다시 참조하면, 프로토콜 요청 패킷을 상기 확인된 표적 노드에 전송한 후, 상기 프로토콜 요청 패킷 헤더의 URL 과 상기 표적 노드의 애플리케이션에 관한 사이트(site)가 일치하면(S160), 상기 URL 과 상기 표적 노드의 IP(도 3의 소스 IP)를 추출한다(S180). URL은 웹 상에서 서비스를 제공하는 각 서버들에 있는 파일들의 위치를 명시하기 위한 것으로써, 접속해야 될 서비스의 종류, 서버의 위치(도메인 네임), 파일의 위치를 포함한다. 상기 추출에 의해, 특정 애플리케이션이 적용되고 있는 표적 노드를 확인할 수 있다.
애플리케이션의 일 예로써 언급한 상기 HWP, 곰 플레이어, 알집, 네이트온에 대해 상기 과정을 개별적으로 살펴보면, HTTP 요청 패킷 헤더에서 호스트(host)와 URI 필드의 조합인 URL이 HWP 업데이트 사이트와 일치하면, 소스(source) IP 와 URL을 추출한다. HTTP 요청 패킷 헤더에서 URL이 알집 광고(advertisement) URL과 일치하면, 소스 IP와 URL을 추출한다. HTTP 요청 패킷 헤더에서 URL이 곰 다운로드 미디어(GOM download media), 서치 서브타이틀/코덱 URL(search subtitles/codec URL)과 일치하면, 소스 IP 와 URL을 추출한다.
프로토콜 요청 패킷 헤더의 유저-에이전트 필드가 상기 특정 애플리케이션의 유저-에이전트와 일치하면, 상기 프로토콜 요청 패킷 헤더의 유저-에이전트를 더 추출하여, 네트워크 탐지를 수행할 수 있다. 즉, 상기 HTTP 요청 패킷 헤더에서 URL이 알집/곰/네이트온 업데이트 사이트와 일치하고, 유저-에이전트 필드가 알집/곰/네이트온 유저-에이전트와 일치하면, 소스 IP, URL 및 유저-에이전트를 추출한다. 또한, 상기 HTTP 요청 패킷 헤더에서 유저-에이전트 필드가 곰/네이트온 유저-에이전트와 일치하면 소스 IP와 유저-에이전트를 추출한다.
이하에서는 클라이언트 애플리케이션 중 웹 브라우저인 마이크로소프트의 인터넷 익스플로러에서, 엑티브 엑스 콘트롤(Active X Control) 형태의 애플리케이션 탐지에 대해 상술한다.
엑티브 엑스 콘트롤의 탐지는 HTTP 요청 패킷 헤더에서 소스 IP와 유저-에이전트를 추출하는 제 1 탐지, HTTP 응답 패킷 페이로드에서 소스 IP, 클래스(Class) ID, 코드베이스(CodeBase)를 추출하는 제 2 탐지, HTTP 요청 패킷 헤더에서 소스 IP와 ".cap" 또는 ".ocx" 를 포함하는 URL을 추출하는 제 3 탐지로 나눌 수 있다. 또한, 엑티브 엑스 콘트롤을 탐지할 가능성이 있는 상황에 대해 표로 정리하면 다음과 같다.
① 엑티브 엑스를 요청할 필요없이 이미 엑티브 엑스가 설치된 경우
② 브라우저에서 엑티브 엑스를 요청한 후 엑티브 엑스를 설치한 경우
③ 직접 URL을 입력하여 엑티브 엑스를 설치한 경우
④ 직접 URL을 입력하여 엑티브 엑스를 다운받았으나(downloaded), 보안 설정 및 유저의 선택에 의해 브라우저에서 엑티브 엑스를 설치하지 않은 경우
⑤ 브라우저에서 엑티브 엑스를 요청하나, 보안 설정 또는 유저의 선택에 의해 설치하지 않은 경우
⑥ 보안 설정에 의해 브라우저가 엑티브 엑스를 요청하지 않는 경우
⑦ 브라우저가 엑티브 엑스를 지원하지 않는 경우
엑티브 엑스 콘트롤은 마이크로소프트 인터넷 익스플로러에 의해 지원되므로, 유저-에이전트가 마이크로소프트 인터넷 익스플로러가 아니라면, 엑티브 엑스 콘트롤을 탐지할 가능성이 없는 것이므로, 상기 ⑦의 경우는 더 이상 고려하지 않는다.
상기 ①과 ⑥은 상기 제 1 탐지에서 추출한 유저-에이전트가 마이크로소프트 인터넷 익스플로러인 경우로써, 제 2 탐지에서 웹 서버가 보낸 응답 패킷 페이로드에 <object classid=xxx codebase=yyy ...>인 HTML 코드를 포함한다. 그러나, 상기 제 3 탐지의 URL codebase yyy 와 같은 추가적인 HTTP 요청이 없다. 상기 상황은 클라이언트 시스템 내에 이미 classid xxx 엑티브 엑스 콘트롤이 설치되어 엑티브 엑스 콘트롤의 설치를 요청할 필요가 없거나(①에 해당), 보안 설정 또는 사용자의 선택에 의해 해당 엑티브 엑스 콘트롤을 설치하지 않는 것(⑥에 해당)에 의해 발생할 수 있다.
상기 ②와 ⑤는 상기 제 1 탐지에서 추출한 유저-에이전트가 마이크로소프트 인터넷 익스플로러인 경우로써, 제 2 탐지에서 웹 서버가 보낸 응답 패킷 페이로드에 <object classid=xxx codebase=yyy ...>인 HTML 코드를 포함한다. 또한, 상기 제 3 탐지의 URL codebase yyy 와 같은 추가적인 HTTP 요청이 있다. 상기 상황은 classid가 xxx인 엑티브 엑스 콘트롤이 설치되거나(②에 해당), 설치파일까지 다운받아도 보안 설정 또는 사용자의 선택에 의해 해당 엑티브 엑스 콘트롤을 설치하지 않은 것(⑤에 해당)에 의해 발생할 수 있다.
상기 ③과 ④는 상기 제 1 탐지에서 추출한 유저-에이전트가 마이크로소프트 인터넷 익스플로러인 경우로써, 제 3 탐지의 URL codebase yyy 와 같은 추가적인 HTTP 요청이 있다. 그러나, 제 2 탐지처럼 웹 서버가 <object classid=xxx codebase=yyy ...>인 HTML 코드를 포함한 응답 패킷을 보내지 않은 경우이다. 상기 상황은 사용자가 직접 엑티브 엑스 콘트롤 설치 파일을 다운받아 설치하거나(③에 해당), 설치 파일을 직접 다운받아도 보안 설정 또는 사용자의 선택에 의해 해당 엑티브 엑스 콘트롤을 설치하지 않은 것(④에 해당)에 의해 발생할 수 있다.
상기한 본 발명의 바람직한 실시예는 예시의 목적을 위해 개시된 것이고, 본 발명에 대한 통상의 지식을 가지는 당업자라면 본 발명의 사상과 범위 안에서 다양한 수정, 변경, 부가가 가능할 것이며, 이러한 수정, 변경 및 부가는 하기의 특허청구범위에 속하는 것으로 보아야 할 것이다.
도 1은 본 발명의 일 실시예에 따른 복합형 네트워크 탐지 방법을 도시한 순서도이다.
도 2는 도 1의 능동 네트워크 탐지 과정을 구체적으로 도시한 순서도이다.
도 3은 TCP/IP 패킷의 구조를 도시한 블록도이다.

Claims (5)

  1. (a) 측정하고자 하는 네트워크에 시험 트래픽을 부가하고, 응답을 분석하여 표적 노드를 확인하는 단계;
    (b) 프로토콜 요청 패킷을 상기 확인된 표적 노드로 전송하는 단계; 및
    (c) 상기 프로토콜 요청 패킷 헤더의 URL 과 상기 표적 노드의 특정 애플리케이션에 관한 사이트가 일치하면, 상기 URL 과 상기 표적 노드의 IP 를 추출하는 단계를 포함하는 것을 특징으로 하는 복합형 네트워크 탐지 방법.
  2. 제 1 항에 있어서, 상기 프로토콜 요청 패킷 헤더의 유저-에이전트 필드가 상기 특정 애플리케이션의 유저-에이전트와 일치하면, 상기 유저-에이전트를 추출하는 단계를 더 포함하는 것을 특징으로 하는 복합형 네트워크 탐지 방법.
  3. 제 1 항에 있어서, 상기 프로토콜 요청 패킷은 HTTP 요청 패킷인 것을 특징으로 하는 복합형 네트워크 탐지 방법.
  4. 제 1 항에 있어서, 상기 특정 애플리케이션은 엑티브 엑스 컨트롤인 것을 특 징으로 하는 복합형 네트워크 탐지 방법.
  5. 제 1 항에 있어서, 상기 (a) 단계는,
    NDM 콘트롤로부터 시작 메시지를 수신하는 단계;
    NDM 에이전트에서 구성 및 입력 파일을 판독하는 단계;
    Nmap 인터페이스에서 Nmap 입력 파일을 생성하여, Nmap 프로그램을 실행시키는 단계;
    상기 프로그램 실행 결과, XML 형태로 결과를 출력하는 단계;
    상기 각각의 표적 노드에 대해 SNMP 인터페이스를 통해 SNMP 질의(queries)를 전송하는 단계; 및
    SNMP 응답을 분석하여 상기 표적 노드를 확인하는 단계를 포함하는 것을 특징으로 하는 복합형 네트워크 탐지 방법.
KR1020070102882A 2007-10-12 2007-10-12 클라이언트 애플리케이션을 탐지하기 위한 복합형 네트워크탐지 방법 KR20090037540A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020070102882A KR20090037540A (ko) 2007-10-12 2007-10-12 클라이언트 애플리케이션을 탐지하기 위한 복합형 네트워크탐지 방법
US11/941,203 US20090122721A1 (en) 2007-10-12 2007-11-16 Hybrid network discovery method for detecting client applications

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070102882A KR20090037540A (ko) 2007-10-12 2007-10-12 클라이언트 애플리케이션을 탐지하기 위한 복합형 네트워크탐지 방법

Publications (1)

Publication Number Publication Date
KR20090037540A true KR20090037540A (ko) 2009-04-16

Family

ID=40623623

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070102882A KR20090037540A (ko) 2007-10-12 2007-10-12 클라이언트 애플리케이션을 탐지하기 위한 복합형 네트워크탐지 방법

Country Status (2)

Country Link
US (1) US20090122721A1 (ko)
KR (1) KR20090037540A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101346810B1 (ko) * 2012-03-07 2014-01-03 주식회사 시큐아이 통합적 서비스 제어 장치 및 방법

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2954547B1 (fr) * 2009-12-21 2012-10-12 Alcatel Lucent Procede de detection d?un detournement de ressources informatiques
KR101055267B1 (ko) * 2010-03-05 2011-08-09 한국전자통신연구원 액티브엑스 컨트롤의 배포 사이트 식별 방법과 보안 취약점 검출 방법 및 면역화 방법
US8902790B2 (en) * 2010-03-23 2014-12-02 International Business Machines Corporation Method and apparatus for operating a network mapping tool to perform host discovery
US8607049B1 (en) * 2011-08-02 2013-12-10 The United States Of America As Represented By The Secretary Of The Navy Network access device for a cargo container security network
US8855311B1 (en) 2011-08-02 2014-10-07 The United States Of America As Represented By The Secretary Of The Navy Advanced container security device network protocols
US10411928B2 (en) * 2016-02-23 2019-09-10 Qualcomm Incorporated Dynamic cyclic prefix (CP) length
US11563722B2 (en) * 2019-08-22 2023-01-24 Hewlett Packard Enterprise Development Lp Firewall coordination in a network

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6128602A (en) * 1997-10-27 2000-10-03 Bank Of America Corporation Open-architecture system for real-time consolidation of information from multiple financial systems
US7356575B1 (en) * 2001-11-09 2008-04-08 Sony Corporation System, method, and computer program product for remotely determining the configuration of a multi-media content user
US20040193918A1 (en) * 2003-03-28 2004-09-30 Kenneth Green Apparatus and method for network vulnerability detection and compliance assessment
US7142851B2 (en) * 2003-04-28 2006-11-28 Thomson Licensing Technique for secure wireless LAN access
US20060129415A1 (en) * 2004-12-13 2006-06-15 Rohit Thukral System for linking financial asset records with networked assets

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101346810B1 (ko) * 2012-03-07 2014-01-03 주식회사 시큐아이 통합적 서비스 제어 장치 및 방법

Also Published As

Publication number Publication date
US20090122721A1 (en) 2009-05-14

Similar Documents

Publication Publication Date Title
US10257224B2 (en) Method and apparatus for providing forensic visibility into systems and networks
US9467464B2 (en) System and method for correlating log data to discover network vulnerabilities and assets
JP4847687B2 (ja) 外部ネットワークデバイスを自動的に発見および構成する方法
Deri et al. Effective traffic measurement using ntop
KR20090037540A (ko) 클라이언트 애플리케이션을 탐지하기 위한 복합형 네트워크탐지 방법
US7761918B2 (en) System and method for scanning a network
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
US20070174917A1 (en) Platform for analyzing the security of communication protocols and channels
US7689675B2 (en) System and method for communicating with console ports
JP2019134484A (ja) アクセス要求を規制するシステムおよび方法
JPWO2016140037A1 (ja) 通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム
US11838195B2 (en) Deployable network sensor for multiple platforms
KR20040068365A (ko) 네트워크 라우팅 디바이스를 자동으로 구성하는 방법
KR101518472B1 (ko) 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 추가 비지정 도메인 네임을 구비한 웹서버에 의해 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템
US20080228907A1 (en) Change detecting method for an it resource configuration
KR101518470B1 (ko) 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 웹서버에 의해 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템
JP2006203731A (ja) ネットワーク中継装置、ネットワーク接続情報閲覧システム、及びネットワーク接続情報通知方法
KR101518468B1 (ko) 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법 및 공인 ip 공유 상태 검출 시스템
KR20150026187A (ko) 드로퍼 판별을 위한 시스템 및 방법
JP4996496B2 (ja) ネットワーク監視システム、および、ネットワーク監視方法
CN116032762A (zh) 网络业务的处理方法、系统和网关设备
JP5456636B2 (ja) ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム
Atul et al. Prevention of PAC file based attack using DHCP snooping
WO2024100759A1 (ja) 試験装置
CN111669376B (zh) 一种内网安全风险识别的方法和装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E601 Decision to refuse application