KR20090040655A - System and method for enterprise signature management and distribution for network attacks - Google Patents
System and method for enterprise signature management and distribution for network attacks Download PDFInfo
- Publication number
- KR20090040655A KR20090040655A KR1020070106113A KR20070106113A KR20090040655A KR 20090040655 A KR20090040655 A KR 20090040655A KR 1020070106113 A KR1020070106113 A KR 1020070106113A KR 20070106113 A KR20070106113 A KR 20070106113A KR 20090040655 A KR20090040655 A KR 20090040655A
- Authority
- KR
- South Korea
- Prior art keywords
- signature
- distribution
- information
- management
- network
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
Description
본 발명은 네트워크 공격의 통합 시그니처 관리 및 분배 시스템 및 방법에 관한 것으로, 보다 상세하게는 분산 네트워크 상에서 미정의된 다양한 공격들에 대하여 다수의 보안 시스템에서 생성되는 시그니처를 수집, 통합, 분석해서 다른 네트워크상의 보안 관리 시스템으로 분배하는 네트워크 공격의 통합 시그니처 관리 및 분배 시스템 및 방법에 관한 것이다.The present invention relates to a system and method for integrated signature management and distribution of network attacks, and more particularly, to collect, integrate and analyze signatures generated in multiple security systems against various undefined attacks on a distributed network. A system and method for integrated signature management and distribution of network attacks for distribution to security management systems on the Internet.
본 발명은 정보통신부 및 정보통신연구진흥원의 IT신성장동력핵심기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2006-S-042-02, 과제명: Network 위협의 Zero-Day Attack 대응을 위한 실시간 공격 Signature 생성 및 관리 기술개발(Development of Signature Generation and Management Technology against Zero-day Attack)].The present invention is derived from the research conducted as part of the IT new growth engine core technology development project of the Ministry of Information and Communication and the Ministry of Information and Communication Research and Development. Development of Signature Generation and Management Technology against Zero-day Attack].
최근 네트워크 환경이 고급화 됨에 따라 웜, 바이러스 등의 위협 공격들의 형태는 점차 다양해지고 공격도 복합적으로 발생하는 추세에 있다. 그래서 이를 효 과적으로 탐지하고 대응하기가 점점 어려워지고 있는 실정이다. 이에 대한 대응책으로 다양한 보안 기술이 네트워크 환경상에 도입되어 왔다. 특히, 알려지지 않은 공격을 방어하는 기술이 활발히 개발되고 있다. 예를 들어, 네트워크 상에 보안 취약점이 존재할 때, 이 보안 취약점이 보안되기 전에 이를 악용하여 네트워크를 신속하게 공격하는 제로데이(Zero-day) 공격 등이 이에 해당된다. 그래서, 종래에는 전문가들이 수작업으로 알려지지 않은 네트워크 공격을 정의하는 시그니처(signature)를 추출해서 이를 근거로 네트워크를 방어하는 방법 등이 있었다.Recently, as the network environment is advanced, the types of threat attacks such as worms and viruses are gradually diversified, and the attacks are also occurring in combination. Thus, it is increasingly difficult to detect and respond to this effectively. In response, various security technologies have been introduced into the network environment. In particular, techniques to defend against unknown attacks have been actively developed. For example, when a security vulnerability exists on a network, a zero-day attack that exploits the security vulnerability and attacks the network quickly before it is secured. Thus, conventionally, there have been a way for experts to extract a signature that defines a network attack that is not known manually and defend the network based on the signature.
그러나, 이러한 보안 기술들은 다양한 미정의된(알려지지 않은) 외부 공격에 대하여 신속하게 대응하는 데 어려움이 있었다. 그래서, 이러한 위협 공격들에 대한 시그니처를 자동으로 생성하려는 연구와 이를 관리하는 보안 관리 시스템들의 개발이 국내외에서 활발하게 진행되고 있는 실정이다.However, these security technologies have had difficulty responding quickly to various undefined (unknown) external attacks. Therefore, the research to automatically generate signatures for these threat attacks and the development of security management systems for managing them are actively being carried out at home and abroad.
예를 들어, Intel-CMU는 2004년과 2005년에 공격으로 의심되는 세션을 비정상행위 탐지 기능(anomaly detection)을 이용하여 탐지하고, 탐지된 세션의 모든 패이로드(payload)를 저장하고 조합하여 시그니처를 생성하는 Autograph와 Polygraph라는 시그니처 자동 생성 기술을 발표하였다. USCD는 2004년 Earlybird라는 자동생성 기술을 발표하였다. Penn. State 대학에서는 2005년 EMIST(Evaluation Method for Internet Security Technology) 프로젝트의 세부 과제로 IP 클러스터를 기반으로 하는 웜 공격의 시그니처 생성 기술을 연구 중에 있으며 아직 초기 단계의 연구에 있다. UC-Davis에서는 네트워크에서 받은 패킷 내용을 시뮬레이션 하는 가상의 환경을 구성하고 이를 바탕으로 공격 패킷이 호스트의 시스템 제어를 빼앗 는 코드를 탐지하여 시그니처 생성에 이용하는 탐지기술을 개발하고 있다. 정확도의 측면에서는 앞의 방식보다 높을 수 있으나, 동일 네트워크내의 다른 공격에 대한 탐지가 불가능하고 탐지된 시그니처가 네트워크 전체의 보호에 사용되기 위하여 해당 네트워크로의 전파가 필요하다. For example, Intel-CMU detects sessions suspected of attack in 2004 and 2005 using anomaly detection, and stores and combines all the payloads of the detected sessions. Introduced signature auto-generation technology called Autograph and Polygraph. The USCD released an automatic generation technology called Earlybird in 2004. Penn. State University is researching signature generation techniques for worm attacks based on IP clusters as a detailed task of the 2005 Evaluation Method for Internet Security Technology (EMIST) project. UC-Davis is constructing a virtual environment that simulates the contents of packets received from the network, and based on this, is developing a detection technology that detects codes that attack packets deprive the host of system control and uses them to generate signatures. In terms of accuracy, it may be higher than the previous method, but it is impossible to detect other attacks in the same network, and the detected signatures need to be propagated to the network in order to be used to protect the entire network.
이하, 도면을 참조하여 종래의 네트워크 환경을 설명한다. Hereinafter, a conventional network environment will be described with reference to the drawings.
도 1은 종래에 따른 네트워크 환경을 도시한 구성도이다. 도1에 도시된 바와 같이, 종래의 네트워크 환경은 네트워크(20)와 인터넷(30) 사이에서 보안 관리 시스템(1), 예를 들어 IDS, 방어벽(firewall) 이 구성된다. 시그니처 생성 보안시스템(3)이 네트워크(20)의 내/외부로부터 침입하는 다양한 공격들에 대한 시그니처를 생성하여 제공하면, 보안 관리 시스템(1)은 이를 바탕으로 신속하게 네트워크(20)를 보호하게 된다. 또한, 이러한 단일 네트워크 환경에서의 보안 관리 시스템(1)은 여러 네트워크가 존재하는 분산 네트워크 환경에서는 각각의 네트워크(20)마다 개별적으로 보안 관리 시스템(1)이 구성되는 것이 일반적이다. 또, 시그니처를 생성하는 시그니처 생성 보안 시스템(3)은 보안 관리 시스템(1)의 내부에 포함되거나 별도로 네트워크상에 구성된다.1 is a block diagram showing a network environment according to the prior art. As shown in Fig. 1, in the conventional network environment, a
이와 같이, 네트워크(20)는 이상트래픽(abnormal traffic)을 유발시키는 웜(worm), 봇(bot), 바이러스(virus)등의 공격, 예를 들어, SQL Slammer, Nimda, Code-Red, Blaster, Sasser 등으로 인하여 보안 관련 피해가 발생하기 쉽다. 그래서 보안 관리 시스템(1), 예를 들어, 방화벽(firewall), 가상 사설망(virtual private network), 안티 바이러스 백신, 침입 탐지 및 방지 시스템 등은 시그니처를 생성하는 시그니처 생성 보안 시스템(3)으로부터 이러한 공격에 대해 정의하는 시그니처를 제공받아서 그에 따라 차단, 삭제, 통과 등의 보안 처리를 실시하게 된다. As such, the
그러나, 분산 네트워크 환경에서의 다양한 보안 관리 시스템(1)들을 위해 시그니처를 생성하는 시그니처 생성 보안 시스템(3)은 웜, 봇, 바이러스 등의 시그니처를 생성하여 제공하지만, 보안 관리 시스템(1)은 각각의 네트워크(20)마다 개별적으로 운영되기 때문에 다른 네트워크(20)뿐만 아니라 동일 네트워크(20)에서도 동일한 미정의된 공격에 대하여 신속하게 대응하는 데 어려움이 있었다.However, the signature
즉, 네트워크 환경이 기업의 핵심 서버에서 일반 사용자 데스크톱, 원격지 근무자의 접속, 노트북이나 PDA 등의 모바일 단말 등의 분산 네트워크 환경으로 확장되면서 보안 관리 시스템도 다양해고, 시그니처 생성 보안 시스템으로부터 생성되는 시그니처를 바탕으로 광범위하고 복잡해진 각각의 보안 관리 시스템을 일관성 있게 관리하는데 어려움이 있다.In other words, as the network environment expands from the core server of the enterprise to distributed network environments such as general user desktops, remote workers' access, mobile terminals such as laptops or PDAs, and so on, various security management systems are created. It is difficult to consistently manage each of the extensive and complex security management systems.
또한, 종래의 보안 관리 시스템(1)에서 미정의된 공격에 대하여 생성된 시그니처는 검증 절차가 미비하여 신뢰도가 떨어지는 문제점이 있었다.In addition, the signature generated for the undefined attack in the conventional
또, 웜, 바이러스 등 네트워크 환경을 위협하는 알려지지 않은 공격들에 대한 시그니처를 자동으로 생성하는 시그니처 생성 보안 시스템들로부터 발생되는 시그니처들은 점차 많아질 것이다. 주요 기관 및 보안 업체내의 네트워크에서 각 시그니처 생성 보안 시스템에서 생성된 시그니처를 보안 관리자가 수집 및 통합하여 관리하고 나아가 좀더 상세히 분석하여 단일 시그니처에서 분석되지 않은 정보들을 추출하여 새로운 통합 정보를 얻어낼 필요가 있다. 또한 이러한 시그니처 정보들을 공통된 시그니처 메시지 형식으로 타 보안 관리 시스템으로 안전하게 분배하고 공유하여 상호 협조적으로 운영할 방법이 필요한 실정이다.In addition, more and more signatures will be generated from signature-generating security systems that automatically generate signatures for unknown attacks that threaten network environments such as worms and viruses. Each signature generation in the network of major institutions and security companies The signatures generated by the security system need to be collected, integrated and managed by the security administrator, and further analyzed to extract new information by extracting unanalyzed information from a single signature. have. In addition, there is a need for a method of securely distributing and sharing such signature information to other security management systems in the form of a common signature message to operate cooperatively.
본 발명은 상기와 같은 문제점을 해결하기 위해 안출된 것으로, 다양한 미정의된 공격들에 대해 다수의 시그니처 생성 보안 시스템들에서 발생하는 시그니처를 내부구조체 형식으로 통합 수집하고 신뢰성이 향상되도록 분석하여 공통된 시그니처 메시지 형식으로 다른 네트워크 상의 보안 관리 시스템으로 안전하게 분배하는 시스템 및 방법을 제공한다.The present invention has been made to solve the above-mentioned problems, and the common signatures are analyzed by collecting the signatures generated in a plurality of signature generation security systems for various undefined attacks in an internal structure format and analyzing them to improve reliability. It provides a system and method for securely distributing to a security management system on another network in a message format.
또한, 본 발명의 다른 목적은 시그니처 생성 보안 시스템으로부터 생성되는 시그니처를 바탕으로 광범위하고 복잡해진 각각의 보안 관리 시스템을 일관성 있게 관리하는 시스템 및 방법을 제공한다.Another object of the present invention is to provide a system and method for consistently managing each security management system that is extensive and complicated based on the signature generated from the signature generation security system.
본 발명에 따른 네트워크 공격의 통합 시그니처 관리 및 분배 시스템은 분산 네트워크 환경 하에서 다수의 시그니처 생성 보안 시스템들에 의해 생성되는 시그니처를 통합 관리하는 네트워크 공격의 통합 시그니처 관리 및 분배 시스템으로서, 상기 각각의 시그니처 생성 보안 시스템으로부터 생성되는 시그니처를 각각의 시그니처가 포함하는 정보에 따라 분류하여 분석 가능한 내부구조체 형태로 수집하는 시그니처 수집기; 상기 수집된 시그니처를 신뢰성이 향상되도록 분석하는 시그니처 분석기; 및 상기 분석된 시그니처를 시그니처 분배 프로토콜을 통하여 다른 네트워크 상의 보안 관리 시스템으로 분배하는 시그니처 분배기; 를 포함하는 것을 특징으로 한다.The integrated signature management and distribution system of a network attack according to the present invention is an integrated signature management and distribution system of a network attack that collectively manages signatures generated by a plurality of signature generation security systems in a distributed network environment, wherein each signature generation is performed. A signature collector for classifying the signatures generated from the security system according to the information included in each signature and collecting the signatures in the form of an internal structure that can be analyzed; A signature analyzer for analyzing the collected signatures to improve reliability; And a signature distributor for distributing the analyzed signature to a security management system on another network through a signature distribution protocol. Characterized in that it comprises a.
또한, 상기 시그니처 수집기는, 상기 시그니처를 시그니처가 포함하는 정보 항목별로 분류하는 파싱테이블을 기준으로 파싱처리하여 상기 내부구조체 형태로 정규화하는 것이 바람직하다.In addition, the signature collector may parse the signature based on a parsing table classifying each information item included in the signature and normalize the signature into an internal structure.
또, 상기 파싱테이블은, 시그니처의 인증서 정보 및 시스템 연결 상태 정보 클래스 중 하나 이상을 포함하는 것이 바람직하다.In addition, the parsing table preferably includes at least one of a signature certificate information and a system connection state information class.
또한, 상기 인증서 정보 클래스는, 시그니처를 생성하고 검증한 단말의 정보, 시그니처 정보 및 검증 정보 클래스 중 하나 이상을 포함하는 것이 바람직하다.The certificate information class may include at least one of information, signature information, and verification information class of a terminal that has generated and verified a signature.
또, 상기 시그니처 정보 클래스는, 네트워크 정보와 시그니처 내용 정보 클래스를 더 포함하는 것이 바람직하다. The signature information class preferably further includes network information and signature content information class.
또한, 상기 검증 정보 클래스는, 검증 블록 개발 벤더 정보, 검증 결과 정보, 패킷 수집 정보 및 패킷 룰 정보 클래스 중 하나 이상을 포함하는 것이 바람직하다.In addition, the verification information class preferably includes one or more of verification block development vendor information, verification result information, packet collection information, and packet rule information class.
또, 상기 시그니처 분석기는, 상기 수집된 시그니처를 규칙기반 및 학습기반 중 하나 이상의 분석 방식을적용하여 상기 시그니처의 신뢰성을 향상시키는 것이 바람직하다.In addition, the signature analyzer may improve the reliability of the signature by applying one or more analysis methods of the collected signature to rule-based and learning-based.
또, 상기 규칙기반은, 수집(Aggregation), 상관(Correlation) 방식 중 하나 이상을 포함하는 것이 바람직하다.In addition, the rule base may include at least one of an aggregation and a correlation scheme.
또한, 상기 학습기반은, 인공지능 방식을 포함하는 것이 바람직하다.In addition, the learning base, it is preferable to include an artificial intelligence method.
또, 상기 시그니처 분배기는, 상기 분석된 시그니처를 분배하기 위해 보안 관리 시스템에 따라 시그니처 분배 메시지 교환 형식(SDMEF) 또는 분배 가능한 형식으로 변환하는 것이 바람직하다.In addition, the signature distributor may convert the analyzed signature into a signature distribution message exchange format (SDMEF) or a distributable format according to a security management system to distribute the analyzed signature.
또, 상기 시그니처 분배 프로토콜은, 상기 분석된 시그니처에 대한 암복호화 및 키 분배를 통해 인증 연결을 지원하는 것이 바람직하다.In addition, the signature distribution protocol preferably supports an authentication connection through encryption and decryption and key distribution for the analyzed signature.
또한, 다수의 시그니처 생성 보안 시스템들 및 다른 네트워크 상의 보안 관리 시스템들로부터 수신되는 인증, 구성, 관리, 장애 중 하나 이상을 포함하는 상태 정보를 근거로 관리하는 상기 시그니처 통합 관리기; 를 더 포함하는 것이 바람직하다.In addition, the signature integrated manager for managing based on the status information including at least one of authentication, configuration, management, failure received from a plurality of signature generation security systems and security management systems on other networks; It is preferable to further include.
한편, 본 발명에 따른 네트워크 공격의 통합 시그니처 관리 및 분배 방법은 분산 네트워크 환경 하에서 다수의 시그니처 생성 보안 시스템들에 의해 생성되는 시그니처를 통합 관리하는 네트워크 공격의 통합 시그니처 관리 및 분배 시스템의 네트워크 공격의 통합 시그니처 관리 및 분배 방법에 있어서, 상기 각각의 시그니처 생성 보안 시스템으로부터 생성되는 시그니처를 각각의 시그니처가 포함하는 정보에 따라 분류하여 분석 가능한 내부구조체 형태로 수집하는 시그니처 수집단계; 상기 수집된 시그니처를 신뢰성이 향상되도록 분석하는 시그니처 분석단계; 및 상기 분석된 시그니처를 시그니처 분배 프로토콜을 통하여 다른 네트워크 상의 보안 관리 시스템으로 분배하는 시그니처 분배단계; 를 포함하는 것을 특징으로 한다. On the other hand, the integrated signature management and distribution method of the network attack according to the present invention is integrated network attack of the integrated signature management and distribution system of the network attack for the integrated management of the signatures generated by a number of signature generation security systems in a distributed network environment A signature management and distribution method comprising: a signature collection step of classifying signatures generated from each signature generation security system according to information included in each signature and collecting the signatures in an internal structure form that can be analyzed; A signature analysis step of analyzing the collected signatures to improve reliability; And a signature distribution step of distributing the analyzed signature to a security management system on another network through a signature distribution protocol. Characterized in that it comprises a.
또한, 상기 시그니처 수집단계는, 상기 시그니처를 시그니처가 포함하는 정보 항목별로 분류하는 파싱테이블을 기준으로 파싱처리하여 상기 내부구조체 형태로 정규화하는 것이 바람직하다.In the signature collection step, the signature may be parsed based on a parsing table classifying the information for each item of information included in the signature, and then normalized to the internal structure.
또, 상기 파싱테이블은, 시그니처의 인증서 정보 및 시스템 연결 상태 정보 클래스 중 하나 이상을 포함하는 것이 바람직하다.In addition, the parsing table preferably includes at least one of a signature certificate information and a system connection state information class.
또한, 상기 시그니처 분석단계는, 상기 수집된 시그니처를 규칙기반 및 학습기반 중 하나 이상의 분석 방식을적용하여 상기 시그니처의 신뢰성을 향상시키는 것이 바람직하다.In addition, the signature analysis step, it is preferable to improve the reliability of the signature by applying at least one analysis method of the collected signature-based rules and learning.
또, 상기 시그니처 분배단계는, 상기 분석된 시그니처를 분배하기 위해 보안 관리 시스템에 따라 시그니처 분배 메시지 교환 형식(SDMEF) 또는 분배 가능한 형식으로 변환하는 것이 바람직하다.In addition, the signature distribution step may be converted into a signature distribution message exchange format (SDMEF) or a distributable format according to a security management system in order to distribute the analyzed signature.
또한, 상기 시그니처 분배 프로토콜은, 상기 분석된 시그니처에 대한 암복호화 및 키 분배를 통해 인증 연결을 지원하는 것이 바람직하다.In addition, the signature distribution protocol preferably supports an authentication connection through encryption and decryption and key distribution for the analyzed signature.
본 발명은 다양한 미정의된 공격들에 대해 다수의 시그니처 생성 보안 시스템들에서 발생하는 시그니처를 내부구조체 형식으로 통합 수집하고 신뢰성이 향상되도록 분석하여 공통된 시그니처 메시지 형식으로 다른 네트워크 상의 보안 관리 시스템으로 안전하게 분배하여 분산 네트워크 하에서도 동일한 미정의된 공격에 대하여 신속하게 대응하도록 하는 효과가 있다.The present invention collects signatures generated from multiple signature generation security systems against various undefined attacks in an internal structure format, analyzes them to improve reliability, and distributes them to security management systems on other networks in a common signature message format. Therefore, even in a distributed network, it is effective to respond quickly to the same undefined attacks.
또한, 본 발명은 시그니처 생성 보안 시스템으로부터 생성되는 시그니처를 바탕으로 광범위하고 복잡해진 각각의 보안 관리 시스템을 일관성 있게 관리하는 효과가 있다.In addition, the present invention has the effect of consistently managing each of the extensive and complex security management system based on the signature generated from the signature generation security system.
또, 본 발명은 시그니처 생성 보안 시스템에서 생성되는 시그니처를 파싱처리하여 내부구조체 형태로 정규화하여 통합 하고 해당 시그니처들을 분석하여 생성된 시그니처의 신뢰성을 배가하는 효과가 있다.In addition, the present invention has the effect of parsing the signature generated in the signature generation security system, normalizing and integrating the signature into an internal structure, and doubling the reliability of the signature generated by analyzing the signatures.
이하, 첨부된 도면을 참조하여 본 발명의 실시예에 따른 네트워크 공격의 통합 시그니처 관리 및 분배 시스템에 대하여 설명하면 다음과 같다. Hereinafter, the integrated signature management and distribution system for network attack according to an embodiment of the present invention will be described with reference to the accompanying drawings.
도 2는 본 발명이 적용되는 전체 네트워크 환경의 일례를 도시한 구성도이고, 도 3은 본 발명이 적용되는 네트워크 환경의 다른 일례를 도시한 구성도이다.2 is a configuration diagram showing an example of an entire network environment to which the present invention is applied, and FIG. 3 is a configuration diagram showing another example of a network environment to which the present invention is applied.
도 2에 도시된 바와 같이, 본 발명에 따른 네트워크 공격의 통합 시그니처 관리 및 분배 시스템(10)-ESMD(Enterprise Signature Management and Distribution) 시스템- 은 분산 네트워크 환경 하에서 개별 네트워크(20)에 설치되는 각각의 보안 관리 시스템(2)과 연결되어 구성된다. 도 3에 도시된 바와 같이, 본 발명에 따른 네트워크 공격의 통합 시그니처 관리 및 분배 시스템(10)은 각각의 개별 네트워크의 다양한 시그니처 생성 보안 시스템(700a, 700b, 700c)에서 생성되는 다양한 시그니처를 수집, 통합, 분석한 후 개별 네트워크(20)의 보안 관리 시스템(2)에 분배 및 공유하도록 구성된다. As shown in Fig. 2, the integrated signature management and
여기서, 각각의 시그니처 생성 보안 시스템(700a, 700b, 700c)은 인터넷(30) 등의 외부 또는 내부로부터의 침입과 위협요소에 대한 시그니처(예를 들어, 웜, 바이러스 등을 정의하는 파일 또는 해당 로그 등)를 생성해서 이를 근거로 해당 보안 관리 시스템(2)에 제공하여 네트워크(20)를 보호한다.Here, each signature
예를 들어, 보안 관리 시스템(2)은 미정의된 침입에 대한 시그니처를 바탕으로 보안 처리하는 IPS(Intrusion Prevention System), 기정의된 침입에 대한 시그니처를 바탕으로 보안 처리하는 IDS(Intrusion Detection System), 부분적인 보호 시그니처를 바탕하는 보안 처리하는 Firewall 등이 포함된다.For example, the
또한, 본 발명의 네트워크 공격의 통합 시그니처 관리 및 분배 시스템은 개별 네트워크마다 별도로 복수 구성되어 연결되는 것도 가능하다.In addition, the integrated signature management and distribution system of the network attack of the present invention may be configured separately and connected to each individual network.
이와 같이, 상술한 네트워크 환경에서 구성되는 본 발명의 네트워크 공격의 통합 시그니처 관리 및 분배 시스템을 이루는 각 구성요소들은 하나의 소프트웨어, 다수의 소스, 회로 또는 단말 중 하나 이상의 형태를 취하는 것이 가능하며, 이하 설명에서는 이를 기본으로 일반적으로 공통되는 구성은 생략하도록 한다.As described above, each component of the integrated signature management and distribution system of the network attack of the present invention configured in the above-described network environment may take one or more of one software, multiple sources, circuits, or terminals. In the description, a common configuration is generally omitted based on this.
도 4는 본 발명에 따른 네트워크 공격의 통합 시그니처 관리 및 분배 시스템의 구성을 설명하는 블럭도이다.4 is a block diagram illustrating a configuration of an integrated signature management and distribution system for network attack according to the present invention.
도 4에 도시된 바와 같이, 본 발명에 따른 네트워크 공격의 통합 시그니처 관리 및 분배 시스템(10)은 시그니처 수집기(100), 시그니처 통합 관리기(200), 시그니처 분석기(300), 시그니처 분배기(400), DB 처리기(500), 시그니처 분배 프로 토콜(600)로 구성된다. As shown in FIG. 4, the integrated signature management and
시그니처 수집기(100)는 분산 네트워크 상의 각각의 시그니처 생성 보안 시스템(700)에서 생성되는 시그니처를 하기 시그니처 분배 프로토콜(600)을 통하여 시그니처들을 각각의 시그니처가 포함하는 정보 항목별로 분류하는 파싱테이블에 파싱처리하여 내부 구조체 형태로 정규화해서 수집하고, 이 수집된 시그니처를 시그니처 통합 관리기(200)에 전송한다. The
이때, 각각의 시그니처 생성 보안 시스템(700)은 다양한 형태 또는 단일 형태의 시그니처를 생성하여 제공하게 된다. 예를 들어, 다양한 구성을 갖는 XML 스키마 형식으로 제공하거나 XML 스키마 형식을 단일화 시킨 시그니처 분배 메시지 교환 형식(SDMEF)으로 제공하게 된다. 또는, 각각의 시그니처 생성 보안 시스템(700)에서 생성되는 시그니처를 시그니처 분배 메시지 교환 형식(SDMEF)으로 단일화 시키는 별도의 시스템을 더 두는 것도 가능하다.At this time, each signature
여기서, XML 스키마 형식은 확장성 생성 언어(XML) 문서에서 각 요소를 형식적으로 기술하는 방법을 규정한 월드 와이드 웹 컨소시엄(W3C)의 권고 사항이다. 즉, XML 스키마는 XML 객체의 속성과 요소 간 상호 관계의 추상적 표현으로 문서에서 스키마를 나타내기 위해 구조 분석과 각 구조 요소를 정의한다. 예를 들어, 웹 사이트의 경우 웹 사이트 요소와 웹 페이지 요소 및 기타 콘텐츠 요소를 XML, HTML 태그를 사용하여 정의한다. 문서형 정의(DTD)나 단순 객체 XML(SOX:Simple Object XML)과 같은 언어보다 다소 유리하고 XML로 되어 있기 때문에 파서(parser)에 의한 매개 처리 없이 직접 처리되며, 자기 기록, 자동 스키마 생성, XSL 변환(XSLT)을 통한 정의 능력 등의 이점이 있는 표현 형식이다.Here, the XML Schema Format is a Recommendation of the World Wide Web Consortium (W3C) that defines how to formally describe each element in an Extensible Generation Language (XML) document. In other words, an XML schema is an abstract representation of the relationships between attributes and elements of an XML object, defining structural analysis and each structural element to represent a schema in a document. For example, in a Web site, you define Web site elements, Web page elements, and other content elements using XML and HTML tags. It is somewhat more advantageous than languages like document type definition (DTD) or Simple Object XML (SOX), and because it is in XML, it can be handled directly without any intermediary by the parser, self-recording, automatic schema generation, XSL It is an expression format that has the advantage of defining ability through transformation (XSLT).
즉, 시그니처 수집기(100)는 시그니처 생성 보안 시스템(700)으로부터 생성되는 분배 메시지 교환형식 또는 기타 다른 형태를 취하는 시그니처를 파싱테이블에 각각 대응시켜 분석 가능한 형태의 내부구조체 형태로 정규화 함으로써 여러 형태를 취하는 다수의 시그니처를 통합해서 관리하는 것이 가능해진다.That is, the
시그니처 통합 관리기(200)는 시그니처를 수집, 통합, 분석, 분배하는 일련의과정을 제어하며, 각 과정에서 생성되는 시그니처를 통합해서 DB 처리기에 저장하여 관리한다. The signature integrated
또한, 시그니처 통합 관리기(200)는 시그니처를 생성하는 각각의 보안 시스템들의 인증/구성/관리/장애에 관한 정보들을 송수신하여 그에 따라 관리하는 것이 가능하다.In addition, the signature integrated
시그니처 분석기(300)는 수집된 시그니처를 규칙기반 및 학습기반 등의 방법을 사용하여 1차적 및 2차적 분석을 통하여 신뢰성을 갖는 고급 정보로 가공한다.The
시그니처 분배기(400)는 하기 시그니처 분배 프로토콜(600)을 통하여 시그니처 메시지 교환 형식(SDMEF, Signature Distribution Message Exchange Format: 이하 SDMEF라 한다.)으로 변환하여 보안 관리 시스템(2) 또는 다른 네트워크 상의 보안 관리 시스템(2)에 분배하여 통합된 시그니처를 공유한다.The
따라서, 분산 네트워크 하에서 다수의 시그니처 생성 보안 시스템(700)에서 생성되는 미정의된 공격을 정의 하는 시그니처들을 통합 수집해서 보안 관리 시스템에 분배하여 공유함으로써 끊임없이 변형되는 공격으로부터 전체 네트워크의 보 안을 유지할 수 있게 된다.Thus, by collecting and sharing signatures that define undefined attacks generated by multiple signature
DB 처리기(500)는 수집된 시그니처 및 그에 대한 분석정보 저장, 검색, 삭제 작업 등을 처리하고 이를 저장하는 DB(Data Base)를 포함한다.The
또한, DB 처리기(500)는 시그니처 분배 메시지 교환 형식(SDMEF)이 포함하는 정보에 따라 정보 항목별로 분류하는 파싱테이블을 탑재하고 있다.The
시그니처 분배 프로토콜(600)은 시그니처의 수집 및 분배시 시그니처의 안전한 통신을 위해 암호화 및 키 분배를 지원하는 프로토콜이다.
즉, 시그니처 분배 프로토콜(600)은 시그니처 생성 보안 시스템 또는 보안 관리 시스템들과의 원할한 송수신을 가능하게 한다.That is, the
이하, 본 발명의 시그니처 분석기를 상세히 설명하면 다음과 같다.Hereinafter, the signature analyzer of the present invention will be described in detail.
도 5는 도 4의 시그니처 분석기의 세부 구성을 도시한 블럭도이다.FIG. 5 is a block diagram illustrating a detailed configuration of the signature analyzer of FIG. 4.
시그니처 수집기(100)는 다수의 시그니처를 생성하는 시그니처 생성 보안 시스템(700)으로부터 생성된 시그니처를 인증 및 암호화를 지원하는 시그니처 분배 프로토콜(600)로부터 XML 스키마 형태를 갖는 시그니처 분배 메시지 교환 형식(SDMEF)으로 시그니처를 수집하는 시그니처 수집부(110), 수집된 시그니처 분배 메시지 교환 형식(SDMEF)을 네트워크 공격의 통합 시그니처 관리 및 분배 시스템 내에서 사용할 수 있도록 DB 처리기(500)에 저장되어 있는 파싱테이블을 근거로 시그니처 정보 항목별로 파싱처리 하는 시그니처 파싱부(120), 파싱 처리된 정보들을 네트워크 공격의 통합 시그니처 관리 및 분배 시스템의 시그니처 통합 관리기(200) 에서 사용할 수 있도록 내부 구조체 형식으로 변환하는 시그니처 정규화부(130). 시그니처 정규화부(130)에서 생성된 정규화 시그니처 정보들을 시그니처 통합 관리기(200)로 전송하는 시그니처 처리 모듈(140)로 구성된다.The
즉, 시그니처 수집기(100)는 분산 네트워크 상의 시그니처 생성 보안 시스템으로부터 생성되는 시그니처 분배 메시지 교환 형식(SDMEF)의 시그니처를 자동적으로 수집한다. 시그니처 수집기(100)는 수집된 시그니처를 DB 처리기(500)에 저장되어 있는 파싱테이블을 근거로 시그니처 정보 항목별로 대조하여 해당 정보로 파싱한다. 시그니처 수집기(100)는 파싱처리된 시그니처를 내부 구조체 형식으로 변환해서 정규화 한다. That is, the
이와 같이, 시그니처 수집기(100)는 시그니처 생성 보안 시스템(700)으로부터 생성되는 다수의 시그니처를 파싱테이블에 각각 대응시켜 분석 가능한 형태의 내부구조체 형태로 정규화 함으로써 여러 형태를 취하는 다수의 시그니처를 정확하게 분석할 수 있다.As such, the
이하, 본 발명의 시그니처 수집기(100)에서의 시그니처 파싱 및 정규화 과정을 상세히 설명하면 다음과 같다.Hereinafter, the signature parsing and normalization process in the
도 6~도 10은 시그니처 분배 메시지 교환 형식을 분류하는 파싱테이블의 일례이다.6-10 are examples of parsing tables that classify signature distribution message exchange formats.
본 발명에 따른 파싱테이블을 설명함에 있어서, 파싱테이블은 시그니처를 분류하기 위한 기준 정보로서, 시그니처가 포함하는 정보들이 소속되는 그룹(클래 스)을 바탕으로 '클래스 분류', '클래스명', '형식', '정의' 등의 항목으로 규정된다. 또한 '클래스 분류'는 시그니처 정보를 용이하게 분류하도록 각각의 클래스 내에 하위 클래스들을 갖는 것을 기본으로 한다. In describing the parsing table according to the present invention, the parsing table is reference information for classifying signatures, and is classified as' class classification ',' class name ',' based on a group (class) to which information included in the signature belongs. Form ',' definition ', etc. In addition, 'class classification' is based on having subclasses in each class to easily classify signature information.
도 6에 도시된 본 발명에 따른 파싱테이블은 최상위 시그니처 정보 클래스인 SDMEF-Message 클래스를 포함하고, SDMEF-Message는 인증서 정보 'Certificate'와 시스템 연결 상태 정보 'Heartbeat' 클래스로 구성되어 있다. 도 7은 도 6의 인증서 정보 'Certificate' 클래스의 'Analyzer' 클래스의 하부 구성을 도시한 것이다. 도 8은 도 6의 인증서 정보 'Certificate' 클래스의 'Signature' 클래스 구성을 도시한 것으로 'Network' 클래스와 'Content' 클래스를 더 포함한다. 도 9와 도 10은 'Certificate' 클래스의 'Validation' 클래스 구성을 도시한 것으로 'Vendor' 클래스, 'TaskResult' 클래스, 'CapturePacket' 클래스, 'CaptureRule' 클래스를 포함한다. 여기서, 'TaskResult' 클래스는 'Vender' 클래스와 'Result' 클래스를 더 포함하고, 'CaptureRule' 클래스는 'Vender' 클래스, 'Network' 클래스, 'Parameter' 클래스를 더 포함한다. 이러한 구성의 파싱테이블은 본 발명을 구현하기 위한 일실시예로서 구조의 변경, 추가 삭제가 가능하다.The parsing table according to the present invention shown in FIG. 6 includes the SDMEF-Message class, which is the highest signature information class, and the SDMEF-Message includes a certificate information 'Certificate' and a system connection status information 'Heartbeat' class. FIG. 7 illustrates a lower configuration of an 'Analyzer' class of the certificate information 'Certificate' class of FIG. FIG. 8 illustrates a configuration of a 'Signature' class of the certificate information 'Certificate' class of FIG. 6 and further includes a 'Network' class and a 'Content' class. 9 and 10 illustrate a configuration of a 'Validation' class of a 'Certificate' class, and includes a 'Vendor' class, a 'TaskResult' class, a 'CapturePacket' class, and a 'CaptureRule' class. Here, the 'TaskResult' class further includes the 'Vender' class and the 'Result' class, and the 'CaptureRule' class further includes the 'Vender' class, the 'Network' class, and the 'Parameter' class. The parsing table having such a configuration can be modified or added to the structure as an embodiment for implementing the present invention.
즉, 상기 인증서 정보 클래스(certificate)는 시그니처를 생성하고 검증한 단말의 정보(Analyzer), 시그니처 정보(Signature) 및 검증 정보 클래스(Validation) 등을 포함한다. 상기 시그니처 정보 클래스(Signature)는 네트워크 정보(Network)와 시그니처 내용 정보 클래스(Content) 등을 포함한다. 상기 검증 정보 클래스(Validation)는, 검증 블록 개발 벤더 정보(Vender), 검증 결과 정 보(TaskResult), 패킷 수집 정보(CapturePacket) 및 패킷 룰 정보(CaptureRule) 클래스 등을 포함한다.That is, the certificate information class (certificate) includes information of the terminal (Aalyzer), signature information (Signature) and verification information (Validation), etc. that generated and verified the signature. The signature information class (Signature) includes network information (Network) and signature content information class (Content). The verification information class (Validation) includes verification block development vendor information (Vender), verification result information (TaskResult), packet collection information (CapturePacket), packet rule information (CaptureRule) class and the like.
또한, 본 발명은 DB 처리기(500)에 저장되는 파싱테이블을 근거로 수집되는 시그니처를 분류하고 파싱 처리하여 분석 가능한 형태의 정보로 정규화함으로써 다양한 보안 시스템으로부터 수집되는 시그니처를 통합 관리할 수 있게 된다.In addition, the present invention classifies the signatures collected on the basis of the parsing table stored in the
도 11은 보안 시스템의 시그니처 분배 메시지 교환 형식의 일례이고, 도 12는 시그니처 분배 메시지 교환 형식을 분류하는 파싱테이블의 구성도이다.11 is an example of the signature distribution message exchange format of the security system, and FIG. 12 is a configuration diagram of a parsing table classifying the signature distribution message exchange format.
도 11에 도시된 바와 같이, 시그니처 생성 보안 시스템에서 생성된 시그니처는 XML 기반으로 정의한 시그니처 분배 메시지 교환 형식(SDMEF)을 취하게 된다.As shown in FIG. 11, the signature generated in the signature generation security system takes the signature distribution message exchange format (SDMEF) defined on the basis of XML.
이때, 시그니처 수집기(100)는 다수의 보안 시스템에서 생성된 시그니처를 수집한 후 DB 처리부(500)에 저장된 파싱테이블를 기준으로 분류하여 해당하는 정보로 파싱 처리해서 분석 가능한 정보로 정규화한다. In this case, the
예를 들어, 도 11 및 도 12에 도시된 시그니처 분배 메시지 교환 형식은 'Certificate messageId'는 메시지 식별자인“70625001”, 'generationTime'은 인증서 생성 날짜 및 시간인 “ 2007-06-25 20:12:59”, ' Analyzer analyzerId'는 Analyzer 식별자인 “70625001”, 'Validation category'는 검증 Rule 표현 형식 목록인 “ABVB”, 'Validation category'는 검증 Rule 표현 형식 목록인 “SBVB”, 'finalResult'는 최종 검증 결과인 “No Attack”, 'finalReliability'는 최종검증 결과의 신뢰도를 백분율로 표현한 “4.80”를 나타낸다. For example, the signature distribution message exchange format illustrated in FIGS. 11 and 12 may include 'Certificate messageId' as the message identifier “70625001”, and “generationTime” as the certificate generation date and time “2007-06-25 20:12: 59 ”,“ Analyzer analyzerId ”is Analyzer identifier“ 70625001 ”,“ Validation category ”is“ ABVB ”which is a list of validation rule expression format,“ Validation category ”is“ SBVB ”and“ finalResult ”is final list of validation rule expression format. The results of “No Attack” and “finalReliability” represent “4.80” expressed as a percentage of the reliability of the final verification result.
즉, 이 시그니처는 2007년 06월 25일 20시 12분 59초에 인증서가 생성되고, “70625001”라는 메시지 식별자 및 Analyzer 식별자를 갖고, “ABVB” 및 “SBVB”의 검증 Rule 표현 형식을 갖고, 4.80%의 확률로 최종검증 결과의 신뢰도를 갖는 시그니처를 의미한다.That is, this signature has a certificate generated at 20:12:59 of June 25, 2007, has a message identifier of "70625001" and an Analyzer identifier, and has a validation rule expression format of "ABVB" and "SBVB". 4.80% probability that the signature has the reliability of the final verification result.
이처럼, 시그니처 수집기(100)는 시그니처 분배 메시지 교환 형식을 해당 파싱테이블에 대비시켜 시그니처를 추출하여 정규화하게 된다.As such, the
즉, 시그니처 분배 메시지 교환 형식에는 시그니처 정보들이 포함되어 있고, 시그니처 수집기(100)는 이 정보들을 바탕으로 XML 기반의 시그니처 분배 메시지 교환 형식을 생성하거나 내부구조체 형식으로 정규화하여 시그니처 통합 관리기(200)에 전송된다. That is, the signature distribution message exchange format includes the signature information, and the
또한, 시그니처 클래스 정보들은 시그니처 통합 관리기(200)에 의해 DB 처리기(500)의 파싱테이블로 분류되어 저장되고 검색, 삭제, 수정 등의 변경 작업등의 처리과정을 거치게 된다.In addition, the signature class information is classified and stored as a parsing table of the
즉, 본 발명의 네트워크 공격의 통합 시그니처 관리 및 분배 시스템은 각각의 시그니처를 파싱테이블에 파싱하여 분류되는 정보를 바탕으로 개별 정보를 통합하는 것이 가능해진다.That is, the integrated signature management and distribution system of the network attack of the present invention can integrate individual information based on information classified by parsing each signature into a parsing table.
이하, 본 발명의 시그니처 통합 관리기를 상세히 설명하면 다음과 같다.Hereinafter, the signature integrated manager of the present invention will be described in detail.
도 13은 본 발명에 따른 시그니처 통합 관리기(200)의 세부 구성을 도시한 블럭도이다.13 is a block diagram showing a detailed configuration of the signature integrated
도 13에 도시된 바와 같이, 시그니처 통합 관리기(200)는 각각의 해당 정보들을 처리하거나 DB 처리기(500)에 저장하여 관리하고 여러 시그니처 생성 보안 시스템들(700)의 인증/구성/관리/장애에 관한 정보들을 송수신한다. As shown in FIG. 13, the signature integrated
또한, 시그니처 통합 관리기(200)는 시그니처 수집기(100)에서 파싱하고 정규화한 메시지 구조체 정보를 수신하는 시그니처 수집 정보 처리부(210), 시그니처 분석기(300)에서 분석한 정보를 수신하여 처리하는 시그니처 분석 정보 처리부(220), 관리자의 설정에 의해 시그니처 분배를 위한 정보를 처리하는 시그니처 분배 정보 처리부(230), 송수신한 각 보안 시스템의 관리 정보를 DB 처리기(500)에 저장하여 관리하는 시스템 관리 정보 처리부(240), 시그니처 통합 관리기(200)의 각처리부(210, 220, 230)에서 송수신한 정보들을 제어하거나 처리하는 시그니처 관리 정보 처리부(250)를 포함한다.In addition, the
또한, 시스템 관리 정보 처리부(240)는 다수의 시그니처 생성 보안 시스템이나 통합 보안 관리 시스템, 다른 통합 보안 시스템의 상태 정보들을 송수신하고 제어하여 관리한다. 즉, 시그니처 통합 관리기(200)는 보안 시스템에서 생성되는 시그니처를 바탕으로 네트워크의 전체 보안 처리과정을 관리 하게 된다.In addition, the system management
이하, 본 발명의 시그니처 분석기를 상세히 설명하면 다음과 같다.Hereinafter, the signature analyzer of the present invention will be described in detail.
도 14는 시그니처 분석기(300)의 세부 구성을 도시한 블럭도이다.14 is a block diagram illustrating a detailed configuration of the
시그니처 분석기(300)는 수집된 시그니처를 여러 분석 방식으로 분석하여 시그니처의 신뢰성을 향상 시킨다. 시그니처 분석기(300)는 시그니처 1차 분석 부(320) 및 시그니처 2차 분석부(330)로 각 방법에 의한 분석 요청을 제어하는 시그니처 분석 제어부(310), 수집되어 저장된 시그니처들을 수집(Aggregation), 상관(Correlation) 방법 등의 규칙기반을 통하여 1차적으로 분석하는 시그니처 1차 분석부(320), 인공지능 방법 등의 학습기반을 통하여 2차적으로 분석하는 시그니처 2차 분석부(330)로 구성된다. The
이때, 시그니처 분석 제어부(310)는 1차, 2차 분석을 단독으로 처리하거나 1,2차 분석을 선택적으로 실시하여 해당 분석 차수(1, 2, 3)를 명시하게 된다.At this time, the signature
여기서, 규칙기반 방식은 시그니처 간의 관련성을 기준으로 분석하는 상관 분석 방식, 시그니처들을 묶음 처리하는 수집 분석 방식 등이 해당된다.Here, the rule-based method corresponds to a correlation analysis method for analyzing the relationships between the signatures, and a collection analysis method for processing the signatures.
또한, 학습기반 방식은 수집되는 시그니처의 분류 통계를 바탕으로 분석하는 인공지능 분석 등이 해당된다.In addition, the learning-based method is an artificial intelligence analysis that analyzes based on the classification statistics of the signatures collected.
즉, 시그니처 분석기(300)는 시그니처를 단계별로 분석해서 시그니처 생성 보안 시스템에서 오류 등에 의해 생성된 시그니처를 삭제, 분류, 추가 시켜 신뢰성을 높이게 된다.That is, the
이하, 본 발명의 시그니처 분배기를 상세히 설명하면 다음과 같다.Hereinafter, the signature distributor of the present invention will be described in detail.
도 15는 시그니처 분배기(400)의 세부 구성을 도시한 블럭도이다.15 is a block diagram showing a detailed configuration of the
도 15에 도시된 바와 같이, 시그니처 분배기(400)는 공유할 시그니처를 네트워크 상의 보안 관리 시스템으로 분배하기 위하여 도 11와 같은 시그니처 분배 메시지 교환 형식으로 변환하고 시그니처 분배 프로토콜(600)로 전달한다. 시그니처 분배기(400)는 분배할 대상 시그니처를 시그니처 통합 관리기(200)에 요청하여 DB 처리기(500)로부터 해당 시그니처들의 정보를 수신하고 하기 시그니처 정보 변환부(420)로 전달하는 시그니처 분배 제어부(410), 분배 대상 시그니처를 시그니처 분배 메시지 교환 형식으로 변환하여 시그니처 분배 프로토콜(600)로 전송하는 시그니처 정보 변환부(420)로 구성된다.As shown in FIG. 15, the
즉, 시그니처 분배기(400)는 신뢰성이 향상되도록 분석된 시그니처를 보안 관리 시스템에서 참조할 수 있게 한다.That is, the
이하, 본 발명의 시그니처 분배 프로토콜을 상세히 설명하면 다음과 같다.Hereinafter, the signature distribution protocol of the present invention will be described in detail.
도 16은 시그니처 분배 프로토콜(600)의 세부 구성을 도시한 블럭도이다.16 is a block diagram showing the detailed configuration of the
도 16에 도시된 바와 같이, 시그니처 분배 프로토콜(600)은 시그니처의 안전한 전송을 위해 암호화 및 키 분배를 지원한다. 시그니처 분배 프로토콜(600)은 연결 설정된 여러 시그니처 생성 보안 시스템(700)들로부터 전송되는 시그니처들을 수신하기 위한 통신을 처리하는 시그니처 수집 통신부(610), 관리자에 의한 분배 대상 시그니처를 연결 설정된 보안 관리 시스템(2)에 송신하기 위한 통신을 처리하는 시그니처 분배 통신부(620), 키 분배 및 암복호화를 지원하여 여러 시그니처 생성 보안 시스템(700)이나 보안 관리 시스템(2)을 인증 및 연결 설정하는 시그니처 분배 프로토콜 처리부(640) 시그니처 수집 통신부(610) 및 시그니처 분배 통신부(620)로부터 송수신된 시그니처 정보들을 암호화 또는 복호화하여 시그니처 수집기(100) 및 시그니처 분배기(400)로 전달하는 시그니처 인증 및 암복호화부(630)로 구성된다.As shown in FIG. 16, the
이하, 도면을 참조하여 본 발명의 네트워크 공격의 통합 시그니처 관리 및 분배 방법을 설명하면 다음과 같다.Hereinafter, the integrated signature management and distribution method for network attack according to the present invention will be described with reference to the accompanying drawings.
도 17은 본 발명에 따른 네트워크 공격의 통합 시그니처 관리 및 분배 방법을 도시한 순서도이다. 설명에 있어서 상술한 도면과 동일한 참조 부호는 동일한 기능을 수행하는 것을 지칭한다.17 is a flowchart illustrating an integrated signature management and distribution method of network attack according to the present invention. In the description, the same reference numerals as the above-mentioned drawings refer to performing the same function.
먼저, 시그니처 수집기(100)가 시그니처 생성 보안 시스템(700)으로부터 생성되는 시그니처를 수집하는 단계(S100)를 수행한다.First, the
여기서, 시그니처 수집부(110)는 다수의 시그니처 생성 보안 시스템(700)들로부터 생성된 시그니처를 시그니처 분배 프로토콜(600)을 통하여 XML 스키마 형태의 시그니처 분배 메시지 교환 형식(SDMEF)으로 수집한다.Here, the
이때, 시그니처 수집기(100)는 수집된 각각의 시그니처를 파싱테이블과 대조 하는 파싱처리 과정을 거쳐 내부구조체 형태로 정규화해서 통합하는 단계(S110)를 함께 수행한다.At this time, the
즉, 시그니처 파싱부(120)는 수집된 시그니처 분배 메시지 교환 형식(SDMEF)의 시그니처를 네트워크 공격의 통합 시그니처 관리 및 분배 시스템 내에서 사용할 수 있도록 DB 처리기(500)에 저장되어 있는 파싱테이블을 근거로 시그니처 정보 항목별로 파싱한다. 시그니처 정규화부(130)는 파싱 처리된 정보들을 네트워크 공격 의 통합 시그니처 관리 및 분배 시스템(10)의 시그니처 통합 관리기(200)에서 사용할 수 있도록 내부 구조체 형식으로 변환한다. 시그니처 처리 모듈(140)은 시그니처 정규화부(130)에서 생성된 정규화 시그니처 정보들을 시그니처 통합 관리기(200)로 전송 처리한다.That is, the
다음, 시그니처 분석기(300)는 상기 수집된 시그니처를 여러 분석 방식을 적용해서 시그니처의 신뢰성을 높이는 분석 단계(S120)를 수행한다.Next, the
여기서, 시그니처 분석 제어부(310)는 DB 처리기(500)로부터 해당 시그니처들의 정보를 수신해서 분석 요청을 각 분석부(320, 330) 로 보낸다. 시그니처 1차 분석부(320)는 시그니처 분석 제어부(310)의 분석 요청에 따라 시그니처를 규칙기반을 통하여 1차적으로 분석한다. 또한, 시그니처 2차 분석부(330)는 학습기반을 통하여 2차적으로 분석한다.Here, the signature
이어, 시그니처 분배기(400)는 상기 대상 시그니처를 분배하기 위한 해당 보안 시스템에 따라 시그니처 분배 메시지 교환 형식(SDMEF) 또는 분배 가능한 형식으로 변환하는 단계(S130)을 수행한다.Subsequently, the
여기서, 시그니처 분배 제어부(410)는 분배할 대상 시그니처를 시그니처 통합 관리기(200)에 요청하여 DB 처리기(500)로부터 해당 시그니처들의 정보를 수신하고 시그니처 정보 변환부(420)로 전달한다. 시그니처 분배 제어부(410)는 인증 및 암호화 방법 등의 설정 변경 정보를 송수신하여 시그니처 분배 프로토콜(600)을 제어한다. 시그니처 정보 변환부(420)는 분배 대상 시그니처를 시그니처 분배 메시지 교환 형식으로 변환하여 시그니처 분배 프로토콜(600)로 전송한다.Here, the
다음으로, 시그니처 분배 프로토콜(600)은 상기 분석된 시그니처를 시그니처 분배 프로토콜을 통하여 네트워크 상의 보안 관리 시스템으로 분배하는 단계(S140)을 수행한다.Next, the
여기서, 시그니처 수집 통신부(610)는 연결 설정된 여러 시그니처 생성 보안 시스템들로부터 전송되는 시그니처를 수신하기 위한 통신을 처리한다. 시그니처 분배 통신부(620)는 관리자에 의한 분배 대상 시그니처를 연결 설정된 보안 관리 시스템(2)에 송신하기 위한 통신을 처리한다. 시그니처 분배 프로토콜 처리부(640)는 키 분배 및 암복호화를 지원하여 여러 시그니처 생성 보안 시스템(700)이나 네트워크 상의 보안 관리 시스템(2)을 인증 및 연결 설정한다. 시그니처 인증 및 암복호화부(630)는 시그니처 수집 통신부(610) 및 시그니처 분배 통신부(620)로부터 송수신된 시그니처 정보들을 암호화 또는 복호화하여 시그니처 수집기(100) 및 시그니처 분배기(400)로 전달한다. 처리된 시그니처는 시그니처 통합 및 관리기(200)를 통해 관리자에 의해 제어되고 DB 처리기(500)에 저장된다.Here, the signature
또한, 상술한 일련의 처리과정(S100~S140)을 거치면서 시그니처 통합 관리기(200)는 상기 시그니처에 대한 수집/통합/분석/분배 과정을 통합 관리하는 단계(S150)을 수행한다.In addition, the
여기서, 시그니처 수집 정보 처리부(210)는 시그니처 수집기(100)에서 파싱처리하여 정규화한 내부구조체 형태의 시그니처를 수신하여 시그니처 관리 정보 처리 모듈에 전달한다. 시그니처 분석 정보 처리부(220)는 시그니처 분석기(300)에서 분석한 정보를 수신하여 시그니처 관리 정보 처리부(250)에 전달한다. 시그니처 분배 정보 처리부(230)는 관리자의 설정에 의해 시그니처 분배를 위한 정보를 처리한다. 시그니처 관리 정보 처리부(250)는 시그니처 통합 관리기(200)의 각처리부(210, 220, 230)에서 송수신한 정보들을 제어하거나 처리된 시그니처 정보들을 DB 처리기(500)에 저장하여 관리한다. 시스템 관리 정보 처리부(240)는 송수신한 각 보안 관리 시스템(2)의 관리 정보를 DB 처리기(500)에 저장하여 관리한다. 시스템 관리 정보 처리부(240)는 다수의 시그니처 생성 보안 시스템(700)이나 보안 관리 시스템(2)의 상태 정보들을 송수신하고 제어하여 관리한다.Here, the signature collection
또한, 시그니처 통합 관리기(200)는 다수의 시그니처 생성 보안 시스템(700)들 및 보안 관리 시스템(2)들의 인증, 구성, 관리, 장애 중 어느 하나 이상을 포함하는 상태 정보에 따라 관리 하는 단계(S160)을 수행한다.In addition, the signature integrated
상술한 바와 같이, 본 발명에 따른 네트워크 공격의 통합 시그니처 관리 및 분배 방법은 웜, 바이러스 등 네트워크 환경을 위협하는 알려지지 않은 공격들에 대해 그 피해를 최소화하고 빠르게 대응하기 위해서 시그니처를 자동으로 생성하는 여러 보안 시스템들로부터 시그니처들을 수집하고 통합 및 관리하여 공통된 시그니처 메시지 형식으로 네트워크 상의 보안 관리 시스템으로 안전하게 분배 할 수 있다.As described above, the integrated signature management and distribution method of the network attack according to the present invention can automatically generate signatures to minimize and quickly respond to unknown attacks that threaten the network environment such as worms and viruses. Signatures from security systems can be collected, integrated, and managed to be distributed securely to the security management system on the network in the form of common signature messages.
또한, 본 발명은 시그니처 생성 보안 시스템으로부터 생성되는 시그니처를 파싱테이블을 근거로 파싱하여 내부구조체 형태로 정규화함으로써 여러 형태를 취하는 다수의 시그니처를 통합해서 관리하는 것이 가능해진다. In addition, the present invention parses a signature generated from a signature generation security system based on a parsing table and normalizes the signature to an internal structure, thereby making it possible to integrate and manage a plurality of signatures taking various forms.
또, 본 발명은 분산 네트워크 하에서 다수의 시그니처 생성 보안 시스템에서 생성되는 미정의된 공격을 정의 하는 시그니처들을 통합 수집해서 보안 관리 시스템에 분배하여 공유함으로써 끊임없이 변형되는 공격으로부터 전체 네트워크의 보안을 유지할 수 있게 된다.In addition, the present invention can collect the signatures that define the undefined attacks generated in the multiple signature generation security system under a distributed network, distribute them to the security management system and share them so that the entire network can be secured from constantly changing attacks. do.
또한, 본 발명은 알려지지 않은 네트워크 위협 공격들에 대해 자동으로 생성된 시그니처들을 통합 및 관리하고 분배하여 보안 관리 시스템과 연동 가능한 시그니처 통합 관리 프레임워크 구축으로 보안 관리자들이 상호 협조적이고 능동적으로 신속하게 대응하게 된다.In addition, the present invention integrates, manages, and distributes automatically generated signatures for unknown network threat attacks to build a signature integrated management framework that can interoperate with the security management system to enable security managers to cooperatively and proactively and quickly respond. do.
한편, 본 발명은 상술한 실시예로만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위내에서 수정 및 변형하여 실시할 수 있고, 그러한 수정 및 변형이 가해진 기술사상 역시 이하의 특허청구범위에 속하는 것으로 보아야 한다.On the other hand, the present invention is not limited only to the above-described embodiment, but can be modified and modified within the scope not departing from the gist of the present invention, the technical idea to which such modifications and variations are also applied to the claims Must see
도 1은 종래에 따른 네트워크 환경을 도시한 구성도.1 is a block diagram showing a network environment according to the prior art.
도 2는 본 발명이 적용되는 전체 네트워크 환경의 일례를 도시한 구성도.2 is a configuration diagram showing an example of the entire network environment to which the present invention is applied.
도 3은 본 발명이 적용되는 네트워크 환경의 다른 일례를 도시한 구성도.3 is a configuration diagram showing another example of a network environment to which the present invention is applied.
도 4는 본 발명에 따른 네크워크 공격의 통합 시그니처 관리 및 분배 시스템의 구성을 설명하는 블럭도.4 is a block diagram illustrating a configuration of an integrated signature management and distribution system of a network attack according to the present invention.
도 5는 도 4의 시그니처 분석기의 세부 구성을 도시한 블럭도.5 is a block diagram showing a detailed configuration of the signature analyzer of FIG.
도 6~도 10은 시그니처 분배 메시지 교환 형식을 분류하는 파싱테이블의 일례.6-10 are examples of parsing tables that classify signature distribution message exchange formats.
도 11은 보안 시스템의 시그니처 분배 메시지 교환 형식의 일례.11 is an example of a signature distribution message exchange format of a security system.
도 12는 시그니처 분배 메시지 교환 형식을 분류하는 파싱테이블의 구성도.12 is a block diagram of a parsing table classifying signature distribution message exchange formats.
도 13은 본 발명에 따른 시그니처 통합 관리기의 세부 구성을 도시한 블럭도이다.13 is a block diagram showing the detailed configuration of the signature integrated manager according to the present invention.
도 14는 시그니처 분석기의 세부 구성을 도시한 블럭도.14 is a block diagram showing a detailed configuration of a signature analyzer.
도 15는 시그니처 분배기의 세부 구성을 도시한 블럭도.15 is a block diagram showing a detailed configuration of a signature distributor.
도 16은 시그니처 분배 프로토콜의 세부 구성을 도시한 블럭도.16 is a block diagram showing a detailed configuration of a signature distribution protocol.
도 17은 본 발명에 따른 네트워크 공격의 통합 시그니처 관리 및 분배 방법을 도시한 순서도.17 is a flow chart illustrating a method of integrated signature management and distribution of network attacks in accordance with the present invention.
<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>
2 : 보안 관리 시스템 10 : 네트워크 공격의 통합 시그니 처 관리 및 분배 시스템2: security management system 10: integrated signature management and distribution system of network attacks
20 : 네트워크 30 : 인터넷20: network 30: the Internet
100 : 시그니처 수집기 200 : 시그니처 통합 관리기100: signature collector 200: signature integration manager
300 : 시그니처 분석기 400 : 시그니처 분배기300: signature analyzer 400: signature distributor
500 : DB 처리기 600 : 시그니처 분배 프로토콜500: DB handler 600: Signature distribution protocol
700 : 시그니처 생성 보안 시스템 700: signature generation security system
Claims (18)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070106113A KR100933986B1 (en) | 2007-10-22 | 2007-10-22 | Integrated Signature Management and Distribution System and Method for Network Attack |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070106113A KR100933986B1 (en) | 2007-10-22 | 2007-10-22 | Integrated Signature Management and Distribution System and Method for Network Attack |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20090040655A true KR20090040655A (en) | 2009-04-27 |
KR100933986B1 KR100933986B1 (en) | 2009-12-28 |
Family
ID=40763969
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070106113A KR100933986B1 (en) | 2007-10-22 | 2007-10-22 | Integrated Signature Management and Distribution System and Method for Network Attack |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100933986B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE202022102514U1 (en) | 2022-05-07 | 2022-05-20 | Tanweer ALAM | Cryptography-based intelligent system for security management of microcode signatures |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101971790B1 (en) | 2017-09-27 | 2019-05-13 | 주식회사 알티캐스트 | System and method for detecting abnormal behavior based on unified model |
KR101971799B1 (en) | 2017-11-08 | 2019-05-13 | 주식회사 알티캐스트 | System and method for detecting abnormal behavior based on unified model |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7603716B2 (en) | 2004-02-13 | 2009-10-13 | Microsoft Corporation | Distributed network security service |
US20060026681A1 (en) * | 2004-07-29 | 2006-02-02 | Zakas Phillip H | System and method of characterizing and managing electronic traffic |
KR20060090408A (en) * | 2005-02-05 | 2006-08-11 | 이극 | A development of enterprise vulnerability management system on a distributed network environment |
KR100846835B1 (en) * | 2006-11-27 | 2008-07-16 | (주)타임네트웍스 | Method and apparatus for Security Event Correlation Analysis based on Context Language |
-
2007
- 2007-10-22 KR KR1020070106113A patent/KR100933986B1/en not_active IP Right Cessation
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE202022102514U1 (en) | 2022-05-07 | 2022-05-20 | Tanweer ALAM | Cryptography-based intelligent system for security management of microcode signatures |
Also Published As
Publication number | Publication date |
---|---|
KR100933986B1 (en) | 2009-12-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Burger et al. | Taxonomy model for cyber threat intelligence information exchange technologies | |
Kruegel et al. | Intrusion detection and correlation: challenges and solutions | |
US7246156B2 (en) | Method and computer program product for monitoring an industrial network | |
US20100031358A1 (en) | System that provides early detection, alert, and response to electronic threats | |
CN109688105B (en) | Threat alarm information generation method and system | |
CN105391687A (en) | System and method for supplying information security operation service to medium-sized and small enterprises | |
US20030177387A1 (en) | Secured web entry server | |
CA2895522A1 (en) | System and method for monitoring data in a client environment | |
WO2010005545A1 (en) | Techniques for agent configuration | |
CN101438255A (en) | Network and application attack protection based on application layer message inspection | |
Cruz et al. | Improving cyber-security awareness on industrial control systems: The cockpitci approach | |
KR101909957B1 (en) | Web traffic logging system and method for detecting web hacking in real time | |
Hashmat et al. | An automated context-aware IoT vulnerability assessment rule-set generator | |
Grammatikis et al. | Secure and private smart grid: The spear architecture | |
KR100933986B1 (en) | Integrated Signature Management and Distribution System and Method for Network Attack | |
Xu et al. | Correlation analysis of intrusion alerts | |
Wenhua et al. | Data security in smart devices: Advancement, constraints and future recommendations | |
Zaraska | Prelude IDS: current state and development perspectives | |
KR101775517B1 (en) | Client for checking security of bigdata system, apparatus and method for checking security of bigdata system | |
Ning et al. | Design and implementation of a decentralized prototype system for detecting distributed attacks | |
Gu et al. | IoT security and new trends of solutions | |
CN113992734A (en) | Session connection method, device and equipment | |
KR101896267B1 (en) | System and method for detecting attack based on real-time log analysis | |
Kothari | Intrusion detection interoperability and standardization | |
RU183015U1 (en) | Intrusion detection tool |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20121129 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20131128 Year of fee payment: 5 |
|
LAPS | Lapse due to unpaid annual fee |