KR20090040655A - System and method for enterprise signature management and distribution for network attacks - Google Patents

System and method for enterprise signature management and distribution for network attacks Download PDF

Info

Publication number
KR20090040655A
KR20090040655A KR1020070106113A KR20070106113A KR20090040655A KR 20090040655 A KR20090040655 A KR 20090040655A KR 1020070106113 A KR1020070106113 A KR 1020070106113A KR 20070106113 A KR20070106113 A KR 20070106113A KR 20090040655 A KR20090040655 A KR 20090040655A
Authority
KR
South Korea
Prior art keywords
signature
distribution
information
management
network
Prior art date
Application number
KR1020070106113A
Other languages
Korean (ko)
Other versions
KR100933986B1 (en
Inventor
정일안
김익균
오진태
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020070106113A priority Critical patent/KR100933986B1/en
Publication of KR20090040655A publication Critical patent/KR20090040655A/en
Application granted granted Critical
Publication of KR100933986B1 publication Critical patent/KR100933986B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Abstract

A system and a method for managing and distributing an enterprise signature for network attacks are provided to manage each complicated security management system consistently based on a signature generated from a security system which generates signatures. A signature collector(100) classifies signatures generated from the each security system, which generates signatures, according to the information including each signature. In addition, the signature collector collects the signatures in analyzable internal structure form. In order to increase reliability, a signature analyzer analyzes the collected signatures. A signature distributing unit(400) distributes the analyzed signature to a security management system on other networks through a signature distribution protocol(600).

Description

네트워크 공격의 통합 시그니처 관리 및 분배 시스템 및 방법{System and Method for Enterprise Signature Management and Distribution for Network Attacks}System and Method for Enterprise Signature Management and Distribution for Network Attacks

본 발명은 네트워크 공격의 통합 시그니처 관리 및 분배 시스템 및 방법에 관한 것으로, 보다 상세하게는 분산 네트워크 상에서 미정의된 다양한 공격들에 대하여 다수의 보안 시스템에서 생성되는 시그니처를 수집, 통합, 분석해서 다른 네트워크상의 보안 관리 시스템으로 분배하는 네트워크 공격의 통합 시그니처 관리 및 분배 시스템 및 방법에 관한 것이다.The present invention relates to a system and method for integrated signature management and distribution of network attacks, and more particularly, to collect, integrate and analyze signatures generated in multiple security systems against various undefined attacks on a distributed network. A system and method for integrated signature management and distribution of network attacks for distribution to security management systems on the Internet.

본 발명은 정보통신부 및 정보통신연구진흥원의 IT신성장동력핵심기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2006-S-042-02, 과제명: Network 위협의 Zero-Day Attack 대응을 위한 실시간 공격 Signature 생성 및 관리 기술개발(Development of Signature Generation and Management Technology against Zero-day Attack)].The present invention is derived from the research conducted as part of the IT new growth engine core technology development project of the Ministry of Information and Communication and the Ministry of Information and Communication Research and Development. Development of Signature Generation and Management Technology against Zero-day Attack].

최근 네트워크 환경이 고급화 됨에 따라 웜, 바이러스 등의 위협 공격들의 형태는 점차 다양해지고 공격도 복합적으로 발생하는 추세에 있다. 그래서 이를 효 과적으로 탐지하고 대응하기가 점점 어려워지고 있는 실정이다. 이에 대한 대응책으로 다양한 보안 기술이 네트워크 환경상에 도입되어 왔다. 특히, 알려지지 않은 공격을 방어하는 기술이 활발히 개발되고 있다. 예를 들어, 네트워크 상에 보안 취약점이 존재할 때, 이 보안 취약점이 보안되기 전에 이를 악용하여 네트워크를 신속하게 공격하는 제로데이(Zero-day) 공격 등이 이에 해당된다. 그래서, 종래에는 전문가들이 수작업으로 알려지지 않은 네트워크 공격을 정의하는 시그니처(signature)를 추출해서 이를 근거로 네트워크를 방어하는 방법 등이 있었다.Recently, as the network environment is advanced, the types of threat attacks such as worms and viruses are gradually diversified, and the attacks are also occurring in combination. Thus, it is increasingly difficult to detect and respond to this effectively. In response, various security technologies have been introduced into the network environment. In particular, techniques to defend against unknown attacks have been actively developed. For example, when a security vulnerability exists on a network, a zero-day attack that exploits the security vulnerability and attacks the network quickly before it is secured. Thus, conventionally, there have been a way for experts to extract a signature that defines a network attack that is not known manually and defend the network based on the signature.

그러나, 이러한 보안 기술들은 다양한 미정의된(알려지지 않은) 외부 공격에 대하여 신속하게 대응하는 데 어려움이 있었다. 그래서, 이러한 위협 공격들에 대한 시그니처를 자동으로 생성하려는 연구와 이를 관리하는 보안 관리 시스템들의 개발이 국내외에서 활발하게 진행되고 있는 실정이다.However, these security technologies have had difficulty responding quickly to various undefined (unknown) external attacks. Therefore, the research to automatically generate signatures for these threat attacks and the development of security management systems for managing them are actively being carried out at home and abroad.

예를 들어, Intel-CMU는 2004년과 2005년에 공격으로 의심되는 세션을 비정상행위 탐지 기능(anomaly detection)을 이용하여 탐지하고, 탐지된 세션의 모든 패이로드(payload)를 저장하고 조합하여 시그니처를 생성하는 Autograph와 Polygraph라는 시그니처 자동 생성 기술을 발표하였다. USCD는 2004년 Earlybird라는 자동생성 기술을 발표하였다. Penn. State 대학에서는 2005년 EMIST(Evaluation Method for Internet Security Technology) 프로젝트의 세부 과제로 IP 클러스터를 기반으로 하는 웜 공격의 시그니처 생성 기술을 연구 중에 있으며 아직 초기 단계의 연구에 있다. UC-Davis에서는 네트워크에서 받은 패킷 내용을 시뮬레이션 하는 가상의 환경을 구성하고 이를 바탕으로 공격 패킷이 호스트의 시스템 제어를 빼앗 는 코드를 탐지하여 시그니처 생성에 이용하는 탐지기술을 개발하고 있다. 정확도의 측면에서는 앞의 방식보다 높을 수 있으나, 동일 네트워크내의 다른 공격에 대한 탐지가 불가능하고 탐지된 시그니처가 네트워크 전체의 보호에 사용되기 위하여 해당 네트워크로의 전파가 필요하다. For example, Intel-CMU detects sessions suspected of attack in 2004 and 2005 using anomaly detection, and stores and combines all the payloads of the detected sessions. Introduced signature auto-generation technology called Autograph and Polygraph. The USCD released an automatic generation technology called Earlybird in 2004. Penn. State University is researching signature generation techniques for worm attacks based on IP clusters as a detailed task of the 2005 Evaluation Method for Internet Security Technology (EMIST) project. UC-Davis is constructing a virtual environment that simulates the contents of packets received from the network, and based on this, is developing a detection technology that detects codes that attack packets deprive the host of system control and uses them to generate signatures. In terms of accuracy, it may be higher than the previous method, but it is impossible to detect other attacks in the same network, and the detected signatures need to be propagated to the network in order to be used to protect the entire network.

이하, 도면을 참조하여 종래의 네트워크 환경을 설명한다. Hereinafter, a conventional network environment will be described with reference to the drawings.

도 1은 종래에 따른 네트워크 환경을 도시한 구성도이다. 도1에 도시된 바와 같이, 종래의 네트워크 환경은 네트워크(20)와 인터넷(30) 사이에서 보안 관리 시스템(1), 예를 들어 IDS, 방어벽(firewall) 이 구성된다. 시그니처 생성 보안시스템(3)이 네트워크(20)의 내/외부로부터 침입하는 다양한 공격들에 대한 시그니처를 생성하여 제공하면, 보안 관리 시스템(1)은 이를 바탕으로 신속하게 네트워크(20)를 보호하게 된다. 또한, 이러한 단일 네트워크 환경에서의 보안 관리 시스템(1)은 여러 네트워크가 존재하는 분산 네트워크 환경에서는 각각의 네트워크(20)마다 개별적으로 보안 관리 시스템(1)이 구성되는 것이 일반적이다. 또, 시그니처를 생성하는 시그니처 생성 보안 시스템(3)은 보안 관리 시스템(1)의 내부에 포함되거나 별도로 네트워크상에 구성된다.1 is a block diagram showing a network environment according to the prior art. As shown in Fig. 1, in the conventional network environment, a security management system 1, for example, an IDS and a firewall, is formed between the network 20 and the Internet 30. When the signature generation security system 3 generates and provides signatures for various attacks invading from inside and outside of the network 20, the security management system 1 can quickly protect the network 20 based thereon. do. In addition, the security management system 1 in such a single network environment is generally configured to individually configure the security management system 1 for each network 20 in a distributed network environment in which several networks exist. In addition, the signature generation security system 3 for generating a signature is included in the security management system 1 or is separately configured on the network.

이와 같이, 네트워크(20)는 이상트래픽(abnormal traffic)을 유발시키는 웜(worm), 봇(bot), 바이러스(virus)등의 공격, 예를 들어, SQL Slammer, Nimda, Code-Red, Blaster, Sasser 등으로 인하여 보안 관련 피해가 발생하기 쉽다. 그래서 보안 관리 시스템(1), 예를 들어, 방화벽(firewall), 가상 사설망(virtual private network), 안티 바이러스 백신, 침입 탐지 및 방지 시스템 등은 시그니처를 생성하는 시그니처 생성 보안 시스템(3)으로부터 이러한 공격에 대해 정의하는 시그니처를 제공받아서 그에 따라 차단, 삭제, 통과 등의 보안 처리를 실시하게 된다. As such, the network 20 may be attacked by worms, bots, viruses, etc. that cause abnormal traffic, for example, SQL Slammer, Nimda, Code-Red, Blaster, Security-related damages are likely to occur due to Sasser. Thus, the security management system 1, for example, a firewall, a virtual private network, an antivirus, an intrusion detection and prevention system, etc., may be able to generate such signatures from the signature generation security system 3 that generates signatures. It is provided with the signature that defines for and performs security processing such as blocking, deleting, and passing accordingly.

그러나, 분산 네트워크 환경에서의 다양한 보안 관리 시스템(1)들을 위해 시그니처를 생성하는 시그니처 생성 보안 시스템(3)은 웜, 봇, 바이러스 등의 시그니처를 생성하여 제공하지만, 보안 관리 시스템(1)은 각각의 네트워크(20)마다 개별적으로 운영되기 때문에 다른 네트워크(20)뿐만 아니라 동일 네트워크(20)에서도 동일한 미정의된 공격에 대하여 신속하게 대응하는 데 어려움이 있었다.However, the signature generation security system 3 that generates signatures for various security management systems 1 in a distributed network environment generates and provides signatures such as worms, bots, viruses, etc. Since each network 20 is operated separately, it is difficult to quickly respond to the same undefined attack in the same network 20 as well as other network 20.

즉, 네트워크 환경이 기업의 핵심 서버에서 일반 사용자 데스크톱, 원격지 근무자의 접속, 노트북이나 PDA 등의 모바일 단말 등의 분산 네트워크 환경으로 확장되면서 보안 관리 시스템도 다양해고, 시그니처 생성 보안 시스템으로부터 생성되는 시그니처를 바탕으로 광범위하고 복잡해진 각각의 보안 관리 시스템을 일관성 있게 관리하는데 어려움이 있다.In other words, as the network environment expands from the core server of the enterprise to distributed network environments such as general user desktops, remote workers' access, mobile terminals such as laptops or PDAs, and so on, various security management systems are created. It is difficult to consistently manage each of the extensive and complex security management systems.

또한, 종래의 보안 관리 시스템(1)에서 미정의된 공격에 대하여 생성된 시그니처는 검증 절차가 미비하여 신뢰도가 떨어지는 문제점이 있었다.In addition, the signature generated for the undefined attack in the conventional security management system 1 has a problem that the reliability is low because the verification procedure is insufficient.

또, 웜, 바이러스 등 네트워크 환경을 위협하는 알려지지 않은 공격들에 대한 시그니처를 자동으로 생성하는 시그니처 생성 보안 시스템들로부터 발생되는 시그니처들은 점차 많아질 것이다. 주요 기관 및 보안 업체내의 네트워크에서 각 시그니처 생성 보안 시스템에서 생성된 시그니처를 보안 관리자가 수집 및 통합하여 관리하고 나아가 좀더 상세히 분석하여 단일 시그니처에서 분석되지 않은 정보들을 추출하여 새로운 통합 정보를 얻어낼 필요가 있다. 또한 이러한 시그니처 정보들을 공통된 시그니처 메시지 형식으로 타 보안 관리 시스템으로 안전하게 분배하고 공유하여 상호 협조적으로 운영할 방법이 필요한 실정이다.In addition, more and more signatures will be generated from signature-generating security systems that automatically generate signatures for unknown attacks that threaten network environments such as worms and viruses. Each signature generation in the network of major institutions and security companies The signatures generated by the security system need to be collected, integrated and managed by the security administrator, and further analyzed to extract new information by extracting unanalyzed information from a single signature. have. In addition, there is a need for a method of securely distributing and sharing such signature information to other security management systems in the form of a common signature message to operate cooperatively.

본 발명은 상기와 같은 문제점을 해결하기 위해 안출된 것으로, 다양한 미정의된 공격들에 대해 다수의 시그니처 생성 보안 시스템들에서 발생하는 시그니처를 내부구조체 형식으로 통합 수집하고 신뢰성이 향상되도록 분석하여 공통된 시그니처 메시지 형식으로 다른 네트워크 상의 보안 관리 시스템으로 안전하게 분배하는 시스템 및 방법을 제공한다.The present invention has been made to solve the above-mentioned problems, and the common signatures are analyzed by collecting the signatures generated in a plurality of signature generation security systems for various undefined attacks in an internal structure format and analyzing them to improve reliability. It provides a system and method for securely distributing to a security management system on another network in a message format.

또한, 본 발명의 다른 목적은 시그니처 생성 보안 시스템으로부터 생성되는 시그니처를 바탕으로 광범위하고 복잡해진 각각의 보안 관리 시스템을 일관성 있게 관리하는 시스템 및 방법을 제공한다.Another object of the present invention is to provide a system and method for consistently managing each security management system that is extensive and complicated based on the signature generated from the signature generation security system.

본 발명에 따른 네트워크 공격의 통합 시그니처 관리 및 분배 시스템은 분산 네트워크 환경 하에서 다수의 시그니처 생성 보안 시스템들에 의해 생성되는 시그니처를 통합 관리하는 네트워크 공격의 통합 시그니처 관리 및 분배 시스템으로서, 상기 각각의 시그니처 생성 보안 시스템으로부터 생성되는 시그니처를 각각의 시그니처가 포함하는 정보에 따라 분류하여 분석 가능한 내부구조체 형태로 수집하는 시그니처 수집기; 상기 수집된 시그니처를 신뢰성이 향상되도록 분석하는 시그니처 분석기; 및 상기 분석된 시그니처를 시그니처 분배 프로토콜을 통하여 다른 네트워크 상의 보안 관리 시스템으로 분배하는 시그니처 분배기; 를 포함하는 것을 특징으로 한다.The integrated signature management and distribution system of a network attack according to the present invention is an integrated signature management and distribution system of a network attack that collectively manages signatures generated by a plurality of signature generation security systems in a distributed network environment, wherein each signature generation is performed. A signature collector for classifying the signatures generated from the security system according to the information included in each signature and collecting the signatures in the form of an internal structure that can be analyzed; A signature analyzer for analyzing the collected signatures to improve reliability; And a signature distributor for distributing the analyzed signature to a security management system on another network through a signature distribution protocol. Characterized in that it comprises a.

또한, 상기 시그니처 수집기는, 상기 시그니처를 시그니처가 포함하는 정보 항목별로 분류하는 파싱테이블을 기준으로 파싱처리하여 상기 내부구조체 형태로 정규화하는 것이 바람직하다.In addition, the signature collector may parse the signature based on a parsing table classifying each information item included in the signature and normalize the signature into an internal structure.

또, 상기 파싱테이블은, 시그니처의 인증서 정보 및 시스템 연결 상태 정보 클래스 중 하나 이상을 포함하는 것이 바람직하다.In addition, the parsing table preferably includes at least one of a signature certificate information and a system connection state information class.

또한, 상기 인증서 정보 클래스는, 시그니처를 생성하고 검증한 단말의 정보, 시그니처 정보 및 검증 정보 클래스 중 하나 이상을 포함하는 것이 바람직하다.The certificate information class may include at least one of information, signature information, and verification information class of a terminal that has generated and verified a signature.

또, 상기 시그니처 정보 클래스는, 네트워크 정보와 시그니처 내용 정보 클래스를 더 포함하는 것이 바람직하다. The signature information class preferably further includes network information and signature content information class.

또한, 상기 검증 정보 클래스는, 검증 블록 개발 벤더 정보, 검증 결과 정보, 패킷 수집 정보 및 패킷 룰 정보 클래스 중 하나 이상을 포함하는 것이 바람직하다.In addition, the verification information class preferably includes one or more of verification block development vendor information, verification result information, packet collection information, and packet rule information class.

또, 상기 시그니처 분석기는, 상기 수집된 시그니처를 규칙기반 및 학습기반 중 하나 이상의 분석 방식을적용하여 상기 시그니처의 신뢰성을 향상시키는 것이 바람직하다.In addition, the signature analyzer may improve the reliability of the signature by applying one or more analysis methods of the collected signature to rule-based and learning-based.

또, 상기 규칙기반은, 수집(Aggregation), 상관(Correlation) 방식 중 하나 이상을 포함하는 것이 바람직하다.In addition, the rule base may include at least one of an aggregation and a correlation scheme.

또한, 상기 학습기반은, 인공지능 방식을 포함하는 것이 바람직하다.In addition, the learning base, it is preferable to include an artificial intelligence method.

또, 상기 시그니처 분배기는, 상기 분석된 시그니처를 분배하기 위해 보안 관리 시스템에 따라 시그니처 분배 메시지 교환 형식(SDMEF) 또는 분배 가능한 형식으로 변환하는 것이 바람직하다.In addition, the signature distributor may convert the analyzed signature into a signature distribution message exchange format (SDMEF) or a distributable format according to a security management system to distribute the analyzed signature.

또, 상기 시그니처 분배 프로토콜은, 상기 분석된 시그니처에 대한 암복호화 및 키 분배를 통해 인증 연결을 지원하는 것이 바람직하다.In addition, the signature distribution protocol preferably supports an authentication connection through encryption and decryption and key distribution for the analyzed signature.

또한, 다수의 시그니처 생성 보안 시스템들 및 다른 네트워크 상의 보안 관리 시스템들로부터 수신되는 인증, 구성, 관리, 장애 중 하나 이상을 포함하는 상태 정보를 근거로 관리하는 상기 시그니처 통합 관리기; 를 더 포함하는 것이 바람직하다.In addition, the signature integrated manager for managing based on the status information including at least one of authentication, configuration, management, failure received from a plurality of signature generation security systems and security management systems on other networks; It is preferable to further include.

한편, 본 발명에 따른 네트워크 공격의 통합 시그니처 관리 및 분배 방법은 분산 네트워크 환경 하에서 다수의 시그니처 생성 보안 시스템들에 의해 생성되는 시그니처를 통합 관리하는 네트워크 공격의 통합 시그니처 관리 및 분배 시스템의 네트워크 공격의 통합 시그니처 관리 및 분배 방법에 있어서, 상기 각각의 시그니처 생성 보안 시스템으로부터 생성되는 시그니처를 각각의 시그니처가 포함하는 정보에 따라 분류하여 분석 가능한 내부구조체 형태로 수집하는 시그니처 수집단계; 상기 수집된 시그니처를 신뢰성이 향상되도록 분석하는 시그니처 분석단계; 및 상기 분석된 시그니처를 시그니처 분배 프로토콜을 통하여 다른 네트워크 상의 보안 관리 시스템으로 분배하는 시그니처 분배단계; 를 포함하는 것을 특징으로 한다. On the other hand, the integrated signature management and distribution method of the network attack according to the present invention is integrated network attack of the integrated signature management and distribution system of the network attack for the integrated management of the signatures generated by a number of signature generation security systems in a distributed network environment A signature management and distribution method comprising: a signature collection step of classifying signatures generated from each signature generation security system according to information included in each signature and collecting the signatures in an internal structure form that can be analyzed; A signature analysis step of analyzing the collected signatures to improve reliability; And a signature distribution step of distributing the analyzed signature to a security management system on another network through a signature distribution protocol. Characterized in that it comprises a.

또한, 상기 시그니처 수집단계는, 상기 시그니처를 시그니처가 포함하는 정보 항목별로 분류하는 파싱테이블을 기준으로 파싱처리하여 상기 내부구조체 형태로 정규화하는 것이 바람직하다.In the signature collection step, the signature may be parsed based on a parsing table classifying the information for each item of information included in the signature, and then normalized to the internal structure.

또, 상기 파싱테이블은, 시그니처의 인증서 정보 및 시스템 연결 상태 정보 클래스 중 하나 이상을 포함하는 것이 바람직하다.In addition, the parsing table preferably includes at least one of a signature certificate information and a system connection state information class.

또한, 상기 시그니처 분석단계는, 상기 수집된 시그니처를 규칙기반 및 학습기반 중 하나 이상의 분석 방식을적용하여 상기 시그니처의 신뢰성을 향상시키는 것이 바람직하다.In addition, the signature analysis step, it is preferable to improve the reliability of the signature by applying at least one analysis method of the collected signature-based rules and learning.

또, 상기 시그니처 분배단계는, 상기 분석된 시그니처를 분배하기 위해 보안 관리 시스템에 따라 시그니처 분배 메시지 교환 형식(SDMEF) 또는 분배 가능한 형식으로 변환하는 것이 바람직하다.In addition, the signature distribution step may be converted into a signature distribution message exchange format (SDMEF) or a distributable format according to a security management system in order to distribute the analyzed signature.

또한, 상기 시그니처 분배 프로토콜은, 상기 분석된 시그니처에 대한 암복호화 및 키 분배를 통해 인증 연결을 지원하는 것이 바람직하다.In addition, the signature distribution protocol preferably supports an authentication connection through encryption and decryption and key distribution for the analyzed signature.

본 발명은 다양한 미정의된 공격들에 대해 다수의 시그니처 생성 보안 시스템들에서 발생하는 시그니처를 내부구조체 형식으로 통합 수집하고 신뢰성이 향상되도록 분석하여 공통된 시그니처 메시지 형식으로 다른 네트워크 상의 보안 관리 시스템으로 안전하게 분배하여 분산 네트워크 하에서도 동일한 미정의된 공격에 대하여 신속하게 대응하도록 하는 효과가 있다.The present invention collects signatures generated from multiple signature generation security systems against various undefined attacks in an internal structure format, analyzes them to improve reliability, and distributes them to security management systems on other networks in a common signature message format. Therefore, even in a distributed network, it is effective to respond quickly to the same undefined attacks.

또한, 본 발명은 시그니처 생성 보안 시스템으로부터 생성되는 시그니처를 바탕으로 광범위하고 복잡해진 각각의 보안 관리 시스템을 일관성 있게 관리하는 효과가 있다.In addition, the present invention has the effect of consistently managing each of the extensive and complex security management system based on the signature generated from the signature generation security system.

또, 본 발명은 시그니처 생성 보안 시스템에서 생성되는 시그니처를 파싱처리하여 내부구조체 형태로 정규화하여 통합 하고 해당 시그니처들을 분석하여 생성된 시그니처의 신뢰성을 배가하는 효과가 있다.In addition, the present invention has the effect of parsing the signature generated in the signature generation security system, normalizing and integrating the signature into an internal structure, and doubling the reliability of the signature generated by analyzing the signatures.

이하, 첨부된 도면을 참조하여 본 발명의 실시예에 따른 네트워크 공격의 통합 시그니처 관리 및 분배 시스템에 대하여 설명하면 다음과 같다. Hereinafter, the integrated signature management and distribution system for network attack according to an embodiment of the present invention will be described with reference to the accompanying drawings.

도 2는 본 발명이 적용되는 전체 네트워크 환경의 일례를 도시한 구성도이고, 도 3은 본 발명이 적용되는 네트워크 환경의 다른 일례를 도시한 구성도이다.2 is a configuration diagram showing an example of an entire network environment to which the present invention is applied, and FIG. 3 is a configuration diagram showing another example of a network environment to which the present invention is applied.

도 2에 도시된 바와 같이, 본 발명에 따른 네트워크 공격의 통합 시그니처 관리 및 분배 시스템(10)-ESMD(Enterprise Signature Management and Distribution) 시스템- 은 분산 네트워크 환경 하에서 개별 네트워크(20)에 설치되는 각각의 보안 관리 시스템(2)과 연결되어 구성된다. 도 3에 도시된 바와 같이, 본 발명에 따른 네트워크 공격의 통합 시그니처 관리 및 분배 시스템(10)은 각각의 개별 네트워크의 다양한 시그니처 생성 보안 시스템(700a, 700b, 700c)에서 생성되는 다양한 시그니처를 수집, 통합, 분석한 후 개별 네트워크(20)의 보안 관리 시스템(2)에 분배 및 공유하도록 구성된다. As shown in Fig. 2, the integrated signature management and distribution system 10 of the network attack according to the present invention-an enterprise signature management and distribution (ESMD) system-is installed in a separate network 20 under a distributed network environment. It is configured in connection with the security management system (2). As shown in FIG. 3, the integrated signature management and distribution system 10 of a network attack according to the present invention collects various signatures generated by various signature generation security systems 700a, 700b, 700c of each individual network, It is configured to be distributed and shared to the security management system 2 of the individual network 20 after integration and analysis.

여기서, 각각의 시그니처 생성 보안 시스템(700a, 700b, 700c)은 인터넷(30) 등의 외부 또는 내부로부터의 침입과 위협요소에 대한 시그니처(예를 들어, 웜, 바이러스 등을 정의하는 파일 또는 해당 로그 등)를 생성해서 이를 근거로 해당 보안 관리 시스템(2)에 제공하여 네트워크(20)를 보호한다.Here, each signature generation security system 700a, 700b, 700c is a file or a log defining signatures (eg, worms, viruses, etc.) for intrusions and threats from the outside or the inside of the Internet 30, or the like. Etc.) is generated and provided to the security management system 2 on the basis of this, to protect the network 20.

예를 들어, 보안 관리 시스템(2)은 미정의된 침입에 대한 시그니처를 바탕으로 보안 처리하는 IPS(Intrusion Prevention System), 기정의된 침입에 대한 시그니처를 바탕으로 보안 처리하는 IDS(Intrusion Detection System), 부분적인 보호 시그니처를 바탕하는 보안 처리하는 Firewall 등이 포함된다.For example, the security management system 2 includes an Intrusion Prevention System (IPS) that secures based on signatures for undefined intrusions, and an Intrusion Detection System (IDS) that secures based on signatures for predefined intrusions. This includes firewalls that implement security based on partial protection signatures.

또한, 본 발명의 네트워크 공격의 통합 시그니처 관리 및 분배 시스템은 개별 네트워크마다 별도로 복수 구성되어 연결되는 것도 가능하다.In addition, the integrated signature management and distribution system of the network attack of the present invention may be configured separately and connected to each individual network.

이와 같이, 상술한 네트워크 환경에서 구성되는 본 발명의 네트워크 공격의 통합 시그니처 관리 및 분배 시스템을 이루는 각 구성요소들은 하나의 소프트웨어, 다수의 소스, 회로 또는 단말 중 하나 이상의 형태를 취하는 것이 가능하며, 이하 설명에서는 이를 기본으로 일반적으로 공통되는 구성은 생략하도록 한다.As described above, each component of the integrated signature management and distribution system of the network attack of the present invention configured in the above-described network environment may take one or more of one software, multiple sources, circuits, or terminals. In the description, a common configuration is generally omitted based on this.

도 4는 본 발명에 따른 네트워크 공격의 통합 시그니처 관리 및 분배 시스템의 구성을 설명하는 블럭도이다.4 is a block diagram illustrating a configuration of an integrated signature management and distribution system for network attack according to the present invention.

도 4에 도시된 바와 같이, 본 발명에 따른 네트워크 공격의 통합 시그니처 관리 및 분배 시스템(10)은 시그니처 수집기(100), 시그니처 통합 관리기(200), 시그니처 분석기(300), 시그니처 분배기(400), DB 처리기(500), 시그니처 분배 프로 토콜(600)로 구성된다. As shown in FIG. 4, the integrated signature management and distribution system 10 of a network attack according to the present invention includes a signature collector 100, a signature integrated manager 200, a signature analyzer 300, a signature distributor 400, It is composed of a DB processor 500 and a signature distribution protocol 600.

시그니처 수집기(100)는 분산 네트워크 상의 각각의 시그니처 생성 보안 시스템(700)에서 생성되는 시그니처를 하기 시그니처 분배 프로토콜(600)을 통하여 시그니처들을 각각의 시그니처가 포함하는 정보 항목별로 분류하는 파싱테이블에 파싱처리하여 내부 구조체 형태로 정규화해서 수집하고, 이 수집된 시그니처를 시그니처 통합 관리기(200)에 전송한다. The signature collector 100 parses a signature generated by each signature generation security system 700 on a distributed network into a parsing table that classifies the signatures into information items included in each signature through the signature distribution protocol 600. Normalized to an internal structure form and collected, and transmits the collected signature to the signature integrated manager 200.

이때, 각각의 시그니처 생성 보안 시스템(700)은 다양한 형태 또는 단일 형태의 시그니처를 생성하여 제공하게 된다. 예를 들어, 다양한 구성을 갖는 XML 스키마 형식으로 제공하거나 XML 스키마 형식을 단일화 시킨 시그니처 분배 메시지 교환 형식(SDMEF)으로 제공하게 된다. 또는, 각각의 시그니처 생성 보안 시스템(700)에서 생성되는 시그니처를 시그니처 분배 메시지 교환 형식(SDMEF)으로 단일화 시키는 별도의 시스템을 더 두는 것도 가능하다.At this time, each signature generation security system 700 generates and provides various types or single types of signatures. For example, it may be provided in an XML schema format having various configurations or in a signature distribution message exchange format (SDMEF) that unifies the XML schema format. Alternatively, it is also possible to have a separate system that unifies the signatures generated by each signature generation security system 700 into a signature distribution message exchange format (SDMEF).

여기서, XML 스키마 형식은 확장성 생성 언어(XML) 문서에서 각 요소를 형식적으로 기술하는 방법을 규정한 월드 와이드 웹 컨소시엄(W3C)의 권고 사항이다. 즉, XML 스키마는 XML 객체의 속성과 요소 간 상호 관계의 추상적 표현으로 문서에서 스키마를 나타내기 위해 구조 분석과 각 구조 요소를 정의한다. 예를 들어, 웹 사이트의 경우 웹 사이트 요소와 웹 페이지 요소 및 기타 콘텐츠 요소를 XML, HTML 태그를 사용하여 정의한다. 문서형 정의(DTD)나 단순 객체 XML(SOX:Simple Object XML)과 같은 언어보다 다소 유리하고 XML로 되어 있기 때문에 파서(parser)에 의한 매개 처리 없이 직접 처리되며, 자기 기록, 자동 스키마 생성, XSL 변환(XSLT)을 통한 정의 능력 등의 이점이 있는 표현 형식이다.Here, the XML Schema Format is a Recommendation of the World Wide Web Consortium (W3C) that defines how to formally describe each element in an Extensible Generation Language (XML) document. In other words, an XML schema is an abstract representation of the relationships between attributes and elements of an XML object, defining structural analysis and each structural element to represent a schema in a document. For example, in a Web site, you define Web site elements, Web page elements, and other content elements using XML and HTML tags. It is somewhat more advantageous than languages like document type definition (DTD) or Simple Object XML (SOX), and because it is in XML, it can be handled directly without any intermediary by the parser, self-recording, automatic schema generation, XSL It is an expression format that has the advantage of defining ability through transformation (XSLT).

즉, 시그니처 수집기(100)는 시그니처 생성 보안 시스템(700)으로부터 생성되는 분배 메시지 교환형식 또는 기타 다른 형태를 취하는 시그니처를 파싱테이블에 각각 대응시켜 분석 가능한 형태의 내부구조체 형태로 정규화 함으로써 여러 형태를 취하는 다수의 시그니처를 통합해서 관리하는 것이 가능해진다.That is, the signature collector 100 takes various forms by normalizing the signatures generated from the signature generation security system 700 to the parsing table by mapping the signatures having the distributed message exchange form or other forms to the parsing tables, respectively. It is possible to integrate and manage multiple signatures.

시그니처 통합 관리기(200)는 시그니처를 수집, 통합, 분석, 분배하는 일련의과정을 제어하며, 각 과정에서 생성되는 시그니처를 통합해서 DB 처리기에 저장하여 관리한다. The signature integrated manager 200 controls a series of processes of collecting, integrating, analyzing, and distributing signatures, integrating the signatures generated in each process, and storing and managing the signatures in a DB processor.

또한, 시그니처 통합 관리기(200)는 시그니처를 생성하는 각각의 보안 시스템들의 인증/구성/관리/장애에 관한 정보들을 송수신하여 그에 따라 관리하는 것이 가능하다.In addition, the signature integrated manager 200 may transmit and receive information on authentication / configuration / management / failure of respective security systems that generate the signature and manage accordingly.

시그니처 분석기(300)는 수집된 시그니처를 규칙기반 및 학습기반 등의 방법을 사용하여 1차적 및 2차적 분석을 통하여 신뢰성을 갖는 고급 정보로 가공한다.The signature analyzer 300 processes the collected signatures into advanced information with reliability through primary and secondary analysis using rules-based and learning-based methods.

시그니처 분배기(400)는 하기 시그니처 분배 프로토콜(600)을 통하여 시그니처 메시지 교환 형식(SDMEF, Signature Distribution Message Exchange Format: 이하 SDMEF라 한다.)으로 변환하여 보안 관리 시스템(2) 또는 다른 네트워크 상의 보안 관리 시스템(2)에 분배하여 통합된 시그니처를 공유한다.The signature distributor 400 converts the signature message exchange format (SDMEF) into a signature management protocol (SDMEF) through the signature distribution protocol 600 described below. (2) to share the integrated signature.

따라서, 분산 네트워크 하에서 다수의 시그니처 생성 보안 시스템(700)에서 생성되는 미정의된 공격을 정의 하는 시그니처들을 통합 수집해서 보안 관리 시스템에 분배하여 공유함으로써 끊임없이 변형되는 공격으로부터 전체 네트워크의 보 안을 유지할 수 있게 된다.Thus, by collecting and sharing signatures that define undefined attacks generated by multiple signature generation security systems 700 under a distributed network, sharing them with the security management system, it is possible to maintain the security of the entire network from constantly changing attacks. do.

DB 처리기(500)는 수집된 시그니처 및 그에 대한 분석정보 저장, 검색, 삭제 작업 등을 처리하고 이를 저장하는 DB(Data Base)를 포함한다.The DB processor 500 includes a DB (Data Base) for processing and storing collected signatures and analysis, storage, retrieval, and deletion operations thereof.

또한, DB 처리기(500)는 시그니처 분배 메시지 교환 형식(SDMEF)이 포함하는 정보에 따라 정보 항목별로 분류하는 파싱테이블을 탑재하고 있다.The DB processor 500 also includes a parsing table that classifies information items according to information included in the signature distribution message exchange format (SDMEF).

시그니처 분배 프로토콜(600)은 시그니처의 수집 및 분배시 시그니처의 안전한 통신을 위해 암호화 및 키 분배를 지원하는 프로토콜이다.Signature distribution protocol 600 is a protocol that supports encryption and key distribution for secure communication of signatures in the collection and distribution of signatures.

즉, 시그니처 분배 프로토콜(600)은 시그니처 생성 보안 시스템 또는 보안 관리 시스템들과의 원할한 송수신을 가능하게 한다.That is, the signature distribution protocol 600 enables smooth transmission and reception with signature generation security systems or security management systems.

이하, 본 발명의 시그니처 분석기를 상세히 설명하면 다음과 같다.Hereinafter, the signature analyzer of the present invention will be described in detail.

도 5는 도 4의 시그니처 분석기의 세부 구성을 도시한 블럭도이다.FIG. 5 is a block diagram illustrating a detailed configuration of the signature analyzer of FIG. 4.

시그니처 수집기(100)는 다수의 시그니처를 생성하는 시그니처 생성 보안 시스템(700)으로부터 생성된 시그니처를 인증 및 암호화를 지원하는 시그니처 분배 프로토콜(600)로부터 XML 스키마 형태를 갖는 시그니처 분배 메시지 교환 형식(SDMEF)으로 시그니처를 수집하는 시그니처 수집부(110), 수집된 시그니처 분배 메시지 교환 형식(SDMEF)을 네트워크 공격의 통합 시그니처 관리 및 분배 시스템 내에서 사용할 수 있도록 DB 처리기(500)에 저장되어 있는 파싱테이블을 근거로 시그니처 정보 항목별로 파싱처리 하는 시그니처 파싱부(120), 파싱 처리된 정보들을 네트워크 공격의 통합 시그니처 관리 및 분배 시스템의 시그니처 통합 관리기(200) 에서 사용할 수 있도록 내부 구조체 형식으로 변환하는 시그니처 정규화부(130). 시그니처 정규화부(130)에서 생성된 정규화 시그니처 정보들을 시그니처 통합 관리기(200)로 전송하는 시그니처 처리 모듈(140)로 구성된다.The signature collector 100 has a signature distribution message exchange format (SDMEF) having an XML Schema form from the signature distribution protocol 600 that supports authentication and encryption of signatures generated from the signature generation security system 700 that generates multiple signatures. The signature collection unit 110 for collecting signatures, and based on a parsing table stored in the DB processor 500 so that the collected signature distribution message exchange format (SDMEF) can be used in the integrated signature management and distribution system of a network attack. Signature parsing unit 120 for parsing by each signature information item, the signature normalization unit for converting the parsed information into the internal structure format for use in the signature integration manager 200 of the integrated signature management and distribution system of the network attack ( 130). The signature processing module 140 transmits the normalization signature information generated by the signature normalization unit 130 to the signature integration manager 200.

즉, 시그니처 수집기(100)는 분산 네트워크 상의 시그니처 생성 보안 시스템으로부터 생성되는 시그니처 분배 메시지 교환 형식(SDMEF)의 시그니처를 자동적으로 수집한다. 시그니처 수집기(100)는 수집된 시그니처를 DB 처리기(500)에 저장되어 있는 파싱테이블을 근거로 시그니처 정보 항목별로 대조하여 해당 정보로 파싱한다. 시그니처 수집기(100)는 파싱처리된 시그니처를 내부 구조체 형식으로 변환해서 정규화 한다. That is, the signature collector 100 automatically collects signatures of the signature distribution message exchange format (SDMEF) generated from the signature generation security system on the distributed network. The signature collector 100 compares the collected signatures with the signature information items and parses them into corresponding information based on a parsing table stored in the DB processor 500. The signature collector 100 converts the parsed signature into an internal structure format and normalizes it.

이와 같이, 시그니처 수집기(100)는 시그니처 생성 보안 시스템(700)으로부터 생성되는 다수의 시그니처를 파싱테이블에 각각 대응시켜 분석 가능한 형태의 내부구조체 형태로 정규화 함으로써 여러 형태를 취하는 다수의 시그니처를 정확하게 분석할 수 있다.As such, the signature collector 100 may accurately analyze a plurality of signatures taking various forms by normalizing the plurality of signatures generated from the signature generation security system 700 to parsing tables and normalizing them into an internal structure of a form that can be analyzed. Can be.

이하, 본 발명의 시그니처 수집기(100)에서의 시그니처 파싱 및 정규화 과정을 상세히 설명하면 다음과 같다.Hereinafter, the signature parsing and normalization process in the signature collector 100 of the present invention will be described in detail.

도 6~도 10은 시그니처 분배 메시지 교환 형식을 분류하는 파싱테이블의 일례이다.6-10 are examples of parsing tables that classify signature distribution message exchange formats.

본 발명에 따른 파싱테이블을 설명함에 있어서, 파싱테이블은 시그니처를 분류하기 위한 기준 정보로서, 시그니처가 포함하는 정보들이 소속되는 그룹(클래 스)을 바탕으로 '클래스 분류', '클래스명', '형식', '정의' 등의 항목으로 규정된다. 또한 '클래스 분류'는 시그니처 정보를 용이하게 분류하도록 각각의 클래스 내에 하위 클래스들을 갖는 것을 기본으로 한다.  In describing the parsing table according to the present invention, the parsing table is reference information for classifying signatures, and is classified as' class classification ',' class name ',' based on a group (class) to which information included in the signature belongs. Form ',' definition ', etc. In addition, 'class classification' is based on having subclasses in each class to easily classify signature information.

도 6에 도시된 본 발명에 따른 파싱테이블은 최상위 시그니처 정보 클래스인 SDMEF-Message 클래스를 포함하고, SDMEF-Message는 인증서 정보 'Certificate'와 시스템 연결 상태 정보 'Heartbeat' 클래스로 구성되어 있다. 도 7은 도 6의 인증서 정보 'Certificate' 클래스의 'Analyzer' 클래스의 하부 구성을 도시한 것이다. 도 8은 도 6의 인증서 정보 'Certificate' 클래스의 'Signature' 클래스 구성을 도시한 것으로 'Network' 클래스와 'Content' 클래스를 더 포함한다. 도 9와 도 10은 'Certificate' 클래스의 'Validation' 클래스 구성을 도시한 것으로 'Vendor' 클래스, 'TaskResult' 클래스, 'CapturePacket' 클래스, 'CaptureRule' 클래스를 포함한다. 여기서, 'TaskResult' 클래스는 'Vender' 클래스와 'Result' 클래스를 더 포함하고, 'CaptureRule' 클래스는 'Vender' 클래스, 'Network' 클래스, 'Parameter' 클래스를 더 포함한다. 이러한 구성의 파싱테이블은 본 발명을 구현하기 위한 일실시예로서 구조의 변경, 추가 삭제가 가능하다.The parsing table according to the present invention shown in FIG. 6 includes the SDMEF-Message class, which is the highest signature information class, and the SDMEF-Message includes a certificate information 'Certificate' and a system connection status information 'Heartbeat' class. FIG. 7 illustrates a lower configuration of an 'Analyzer' class of the certificate information 'Certificate' class of FIG. FIG. 8 illustrates a configuration of a 'Signature' class of the certificate information 'Certificate' class of FIG. 6 and further includes a 'Network' class and a 'Content' class. 9 and 10 illustrate a configuration of a 'Validation' class of a 'Certificate' class, and includes a 'Vendor' class, a 'TaskResult' class, a 'CapturePacket' class, and a 'CaptureRule' class. Here, the 'TaskResult' class further includes the 'Vender' class and the 'Result' class, and the 'CaptureRule' class further includes the 'Vender' class, the 'Network' class, and the 'Parameter' class. The parsing table having such a configuration can be modified or added to the structure as an embodiment for implementing the present invention.

즉, 상기 인증서 정보 클래스(certificate)는 시그니처를 생성하고 검증한 단말의 정보(Analyzer), 시그니처 정보(Signature) 및 검증 정보 클래스(Validation) 등을 포함한다. 상기 시그니처 정보 클래스(Signature)는 네트워크 정보(Network)와 시그니처 내용 정보 클래스(Content) 등을 포함한다. 상기 검증 정보 클래스(Validation)는, 검증 블록 개발 벤더 정보(Vender), 검증 결과 정 보(TaskResult), 패킷 수집 정보(CapturePacket) 및 패킷 룰 정보(CaptureRule) 클래스 등을 포함한다.That is, the certificate information class (certificate) includes information of the terminal (Aalyzer), signature information (Signature) and verification information (Validation), etc. that generated and verified the signature. The signature information class (Signature) includes network information (Network) and signature content information class (Content). The verification information class (Validation) includes verification block development vendor information (Vender), verification result information (TaskResult), packet collection information (CapturePacket), packet rule information (CaptureRule) class and the like.

또한, 본 발명은 DB 처리기(500)에 저장되는 파싱테이블을 근거로 수집되는 시그니처를 분류하고 파싱 처리하여 분석 가능한 형태의 정보로 정규화함으로써 다양한 보안 시스템으로부터 수집되는 시그니처를 통합 관리할 수 있게 된다.In addition, the present invention classifies the signatures collected on the basis of the parsing table stored in the DB processor 500, parses them, and normalizes them into an information that can be analyzed to integrate and manage the signatures collected from various security systems.

도 11은 보안 시스템의 시그니처 분배 메시지 교환 형식의 일례이고, 도 12는 시그니처 분배 메시지 교환 형식을 분류하는 파싱테이블의 구성도이다.11 is an example of the signature distribution message exchange format of the security system, and FIG. 12 is a configuration diagram of a parsing table classifying the signature distribution message exchange format.

도 11에 도시된 바와 같이, 시그니처 생성 보안 시스템에서 생성된 시그니처는 XML 기반으로 정의한 시그니처 분배 메시지 교환 형식(SDMEF)을 취하게 된다.As shown in FIG. 11, the signature generated in the signature generation security system takes the signature distribution message exchange format (SDMEF) defined on the basis of XML.

이때, 시그니처 수집기(100)는 다수의 보안 시스템에서 생성된 시그니처를 수집한 후 DB 처리부(500)에 저장된 파싱테이블를 기준으로 분류하여 해당하는 정보로 파싱 처리해서 분석 가능한 정보로 정규화한다. In this case, the signature collector 100 collects signatures generated by a plurality of security systems, classifies the parsing table stored in the DB processing unit 500 as a reference, parses them into corresponding information, and normalizes the analyzed information.

예를 들어, 도 11 및 도 12에 도시된 시그니처 분배 메시지 교환 형식은 'Certificate messageId'는 메시지 식별자인“70625001”, 'generationTime'은 인증서 생성 날짜 및 시간인 “ 2007-06-25 20:12:59”, ' Analyzer analyzerId'는 Analyzer 식별자인 “70625001”, 'Validation category'는 검증 Rule 표현 형식 목록인 “ABVB”, 'Validation category'는 검증 Rule 표현 형식 목록인 “SBVB”, 'finalResult'는 최종 검증 결과인 “No Attack”, 'finalReliability'는 최종검증 결과의 신뢰도를 백분율로 표현한 “4.80”를 나타낸다. For example, the signature distribution message exchange format illustrated in FIGS. 11 and 12 may include 'Certificate messageId' as the message identifier “70625001”, and “generationTime” as the certificate generation date and time “2007-06-25 20:12: 59 ”,“ Analyzer analyzerId ”is Analyzer identifier“ 70625001 ”,“ Validation category ”is“ ABVB ”which is a list of validation rule expression format,“ Validation category ”is“ SBVB ”and“ finalResult ”is final list of validation rule expression format. The results of “No Attack” and “finalReliability” represent “4.80” expressed as a percentage of the reliability of the final verification result.

즉, 이 시그니처는 2007년 06월 25일 20시 12분 59초에 인증서가 생성되고, “70625001”라는 메시지 식별자 및 Analyzer 식별자를 갖고, “ABVB” 및 “SBVB”의 검증 Rule 표현 형식을 갖고, 4.80%의 확률로 최종검증 결과의 신뢰도를 갖는 시그니처를 의미한다.That is, this signature has a certificate generated at 20:12:59 of June 25, 2007, has a message identifier of "70625001" and an Analyzer identifier, and has a validation rule expression format of "ABVB" and "SBVB". 4.80% probability that the signature has the reliability of the final verification result.

이처럼, 시그니처 수집기(100)는 시그니처 분배 메시지 교환 형식을 해당 파싱테이블에 대비시켜 시그니처를 추출하여 정규화하게 된다.As such, the signature collector 100 extracts and normalizes the signatures by preparing the signature distribution message exchange format for the corresponding parsing table.

즉, 시그니처 분배 메시지 교환 형식에는 시그니처 정보들이 포함되어 있고, 시그니처 수집기(100)는 이 정보들을 바탕으로 XML 기반의 시그니처 분배 메시지 교환 형식을 생성하거나 내부구조체 형식으로 정규화하여 시그니처 통합 관리기(200)에 전송된다. That is, the signature distribution message exchange format includes the signature information, and the signature collector 100 generates the XML-based signature distribution message exchange format or normalizes it to an internal structure format based on the information to the signature integration manager 200. Is sent.

또한, 시그니처 클래스 정보들은 시그니처 통합 관리기(200)에 의해 DB 처리기(500)의 파싱테이블로 분류되어 저장되고 검색, 삭제, 수정 등의 변경 작업등의 처리과정을 거치게 된다.In addition, the signature class information is classified and stored as a parsing table of the DB processor 500 by the signature integrated manager 200, and undergoes a process of changing a search, deletion, modification, or the like.

즉, 본 발명의 네트워크 공격의 통합 시그니처 관리 및 분배 시스템은 각각의 시그니처를 파싱테이블에 파싱하여 분류되는 정보를 바탕으로 개별 정보를 통합하는 것이 가능해진다.That is, the integrated signature management and distribution system of the network attack of the present invention can integrate individual information based on information classified by parsing each signature into a parsing table.

이하, 본 발명의 시그니처 통합 관리기를 상세히 설명하면 다음과 같다.Hereinafter, the signature integrated manager of the present invention will be described in detail.

도 13은 본 발명에 따른 시그니처 통합 관리기(200)의 세부 구성을 도시한 블럭도이다.13 is a block diagram showing a detailed configuration of the signature integrated manager 200 according to the present invention.

도 13에 도시된 바와 같이, 시그니처 통합 관리기(200)는 각각의 해당 정보들을 처리하거나 DB 처리기(500)에 저장하여 관리하고 여러 시그니처 생성 보안 시스템들(700)의 인증/구성/관리/장애에 관한 정보들을 송수신한다. As shown in FIG. 13, the signature integrated manager 200 processes or stores each corresponding information in the DB processor 500 and manages the authentication / configuration / management / failure of the various signature generation security systems 700. Send and receive information about

또한, 시그니처 통합 관리기(200)는 시그니처 수집기(100)에서 파싱하고 정규화한 메시지 구조체 정보를 수신하는 시그니처 수집 정보 처리부(210), 시그니처 분석기(300)에서 분석한 정보를 수신하여 처리하는 시그니처 분석 정보 처리부(220), 관리자의 설정에 의해 시그니처 분배를 위한 정보를 처리하는 시그니처 분배 정보 처리부(230), 송수신한 각 보안 시스템의 관리 정보를 DB 처리기(500)에 저장하여 관리하는 시스템 관리 정보 처리부(240), 시그니처 통합 관리기(200)의 각처리부(210, 220, 230)에서 송수신한 정보들을 제어하거나 처리하는 시그니처 관리 정보 처리부(250)를 포함한다.In addition, the signature integration manager 200 receives the information analyzed by the signature collection information processing unit 210 and the signature analyzer 300 to receive the message structure information parsed and normalized by the signature collector 100, and to analyze the signature analysis information. The processor 220, the signature distribution information processor 230 for processing the information for signature distribution according to the setting of the administrator, and the system management information processor for storing and managing the management information of each security system transmitted and received in the DB processor 500 ( 240, the signature management information processing unit 250 controls or processes information transmitted and received by each processing unit 210, 220, 230 of the signature integrated manager 200.

또한, 시스템 관리 정보 처리부(240)는 다수의 시그니처 생성 보안 시스템이나 통합 보안 관리 시스템, 다른 통합 보안 시스템의 상태 정보들을 송수신하고 제어하여 관리한다. 즉, 시그니처 통합 관리기(200)는 보안 시스템에서 생성되는 시그니처를 바탕으로 네트워크의 전체 보안 처리과정을 관리 하게 된다.In addition, the system management information processing unit 240 transmits, controls, and manages state information of a plurality of signature generation security systems, integrated security management systems, and other integrated security systems. That is, the signature integrated manager 200 manages the entire security processing of the network based on the signature generated by the security system.

이하, 본 발명의 시그니처 분석기를 상세히 설명하면 다음과 같다.Hereinafter, the signature analyzer of the present invention will be described in detail.

도 14는 시그니처 분석기(300)의 세부 구성을 도시한 블럭도이다.14 is a block diagram illustrating a detailed configuration of the signature analyzer 300.

시그니처 분석기(300)는 수집된 시그니처를 여러 분석 방식으로 분석하여 시그니처의 신뢰성을 향상 시킨다. 시그니처 분석기(300)는 시그니처 1차 분석 부(320) 및 시그니처 2차 분석부(330)로 각 방법에 의한 분석 요청을 제어하는 시그니처 분석 제어부(310), 수집되어 저장된 시그니처들을 수집(Aggregation), 상관(Correlation) 방법 등의 규칙기반을 통하여 1차적으로 분석하는 시그니처 1차 분석부(320), 인공지능 방법 등의 학습기반을 통하여 2차적으로 분석하는 시그니처 2차 분석부(330)로 구성된다. The signature analyzer 300 analyzes the collected signatures in various analysis methods to improve the reliability of the signature. The signature analyzer 300 is the signature primary analysis unit 320 and the signature secondary analysis unit 330, the signature analysis control unit 310 for controlling the analysis request by each method, the collected and stored signatures (Aggregation), It consists of a signature primary analysis unit 320 to analyze primarily through a rule-based, such as a correlation method, and a signature secondary analysis unit 330 to analyze secondarily through a learning base such as an artificial intelligence method. .

이때, 시그니처 분석 제어부(310)는 1차, 2차 분석을 단독으로 처리하거나 1,2차 분석을 선택적으로 실시하여 해당 분석 차수(1, 2, 3)를 명시하게 된다.At this time, the signature analysis control unit 310 processes the first and second analysis alone or selectively performs the first and second analysis to specify the corresponding analysis orders (1, 2, 3).

여기서, 규칙기반 방식은 시그니처 간의 관련성을 기준으로 분석하는 상관 분석 방식, 시그니처들을 묶음 처리하는 수집 분석 방식 등이 해당된다.Here, the rule-based method corresponds to a correlation analysis method for analyzing the relationships between the signatures, and a collection analysis method for processing the signatures.

또한, 학습기반 방식은 수집되는 시그니처의 분류 통계를 바탕으로 분석하는 인공지능 분석 등이 해당된다.In addition, the learning-based method is an artificial intelligence analysis that analyzes based on the classification statistics of the signatures collected.

즉, 시그니처 분석기(300)는 시그니처를 단계별로 분석해서 시그니처 생성 보안 시스템에서 오류 등에 의해 생성된 시그니처를 삭제, 분류, 추가 시켜 신뢰성을 높이게 된다.That is, the signature analyzer 300 analyzes the signatures in stages to increase reliability by deleting, classifying, and adding signatures generated by errors in the signature generation security system.

이하, 본 발명의 시그니처 분배기를 상세히 설명하면 다음과 같다.Hereinafter, the signature distributor of the present invention will be described in detail.

도 15는 시그니처 분배기(400)의 세부 구성을 도시한 블럭도이다.15 is a block diagram showing a detailed configuration of the signature distributor 400.

도 15에 도시된 바와 같이, 시그니처 분배기(400)는 공유할 시그니처를 네트워크 상의 보안 관리 시스템으로 분배하기 위하여 도 11와 같은 시그니처 분배 메시지 교환 형식으로 변환하고 시그니처 분배 프로토콜(600)로 전달한다. 시그니처 분배기(400)는 분배할 대상 시그니처를 시그니처 통합 관리기(200)에 요청하여 DB 처리기(500)로부터 해당 시그니처들의 정보를 수신하고 하기 시그니처 정보 변환부(420)로 전달하는 시그니처 분배 제어부(410), 분배 대상 시그니처를 시그니처 분배 메시지 교환 형식으로 변환하여 시그니처 분배 프로토콜(600)로 전송하는 시그니처 정보 변환부(420)로 구성된다.As shown in FIG. 15, the signature distributor 400 converts a signature to be shared to a security management system on a network, and converts it into a signature distribution message exchange format as shown in FIG. 11 and forwards it to the signature distribution protocol 600. The signature distributor 400 requests a signature to be distributed to the signature integrated manager 200, receives the signature information from the DB processor 500, and delivers the signature information to the signature information converter 420. The signature information conversion unit 420 converts the distribution target signature into the signature distribution message exchange format and transmits the signature to the signature distribution protocol 600.

즉, 시그니처 분배기(400)는 신뢰성이 향상되도록 분석된 시그니처를 보안 관리 시스템에서 참조할 수 있게 한다.That is, the signature distributor 400 may refer to the signature analyzed in the security management system to improve reliability.

이하, 본 발명의 시그니처 분배 프로토콜을 상세히 설명하면 다음과 같다.Hereinafter, the signature distribution protocol of the present invention will be described in detail.

도 16은 시그니처 분배 프로토콜(600)의 세부 구성을 도시한 블럭도이다.16 is a block diagram showing the detailed configuration of the signature distribution protocol 600.

도 16에 도시된 바와 같이, 시그니처 분배 프로토콜(600)은 시그니처의 안전한 전송을 위해 암호화 및 키 분배를 지원한다. 시그니처 분배 프로토콜(600)은 연결 설정된 여러 시그니처 생성 보안 시스템(700)들로부터 전송되는 시그니처들을 수신하기 위한 통신을 처리하는 시그니처 수집 통신부(610), 관리자에 의한 분배 대상 시그니처를 연결 설정된 보안 관리 시스템(2)에 송신하기 위한 통신을 처리하는 시그니처 분배 통신부(620), 키 분배 및 암복호화를 지원하여 여러 시그니처 생성 보안 시스템(700)이나 보안 관리 시스템(2)을 인증 및 연결 설정하는 시그니처 분배 프로토콜 처리부(640) 시그니처 수집 통신부(610) 및 시그니처 분배 통신부(620)로부터 송수신된 시그니처 정보들을 암호화 또는 복호화하여 시그니처 수집기(100) 및 시그니처 분배기(400)로 전달하는 시그니처 인증 및 암복호화부(630)로 구성된다.As shown in FIG. 16, the signature distribution protocol 600 supports encryption and key distribution for secure transmission of the signature. The signature distribution protocol 600 may include a signature collection communication unit 610 that processes communication for receiving signatures transmitted from various signature generation security systems 700 that are connected, and a security management system that is configured to connect signatures to be distributed by an administrator. 2) a signature distribution communication unit 620 that handles communication for transmission to 2), and a signature distribution protocol processing unit that authenticates and establishes various signature generation security system 700 or security management system 2 by supporting key distribution and encryption / decryption. (640) The signature collection and communication unit 610 and the signature distribution communication unit 620 to the signature authentication and decryption unit 630 to encrypt or decrypt the signature information transmitted and sent to the signature collector 100 and the signature distributor 400 It is composed.

이하, 도면을 참조하여 본 발명의 네트워크 공격의 통합 시그니처 관리 및 분배 방법을 설명하면 다음과 같다.Hereinafter, the integrated signature management and distribution method for network attack according to the present invention will be described with reference to the accompanying drawings.

도 17은 본 발명에 따른 네트워크 공격의 통합 시그니처 관리 및 분배 방법을 도시한 순서도이다. 설명에 있어서 상술한 도면과 동일한 참조 부호는 동일한 기능을 수행하는 것을 지칭한다.17 is a flowchart illustrating an integrated signature management and distribution method of network attack according to the present invention. In the description, the same reference numerals as the above-mentioned drawings refer to performing the same function.

먼저, 시그니처 수집기(100)가 시그니처 생성 보안 시스템(700)으로부터 생성되는 시그니처를 수집하는 단계(S100)를 수행한다.First, the signature collector 100 performs a step (S100) of collecting signatures generated from the signature generation security system 700.

여기서, 시그니처 수집부(110)는 다수의 시그니처 생성 보안 시스템(700)들로부터 생성된 시그니처를 시그니처 분배 프로토콜(600)을 통하여 XML 스키마 형태의 시그니처 분배 메시지 교환 형식(SDMEF)으로 수집한다.Here, the signature collector 110 collects signatures generated from the plurality of signature generation security systems 700 in the signature distribution message exchange format (SDMEF) in the form of XML schema through the signature distribution protocol 600.

이때, 시그니처 수집기(100)는 수집된 각각의 시그니처를 파싱테이블과 대조 하는 파싱처리 과정을 거쳐 내부구조체 형태로 정규화해서 통합하는 단계(S110)를 함께 수행한다.At this time, the signature collector 100 performs a step (S110) of normalizing and integrating each collected signature into an internal structure through a parsing process to check the parsing table.

즉, 시그니처 파싱부(120)는 수집된 시그니처 분배 메시지 교환 형식(SDMEF)의 시그니처를 네트워크 공격의 통합 시그니처 관리 및 분배 시스템 내에서 사용할 수 있도록 DB 처리기(500)에 저장되어 있는 파싱테이블을 근거로 시그니처 정보 항목별로 파싱한다. 시그니처 정규화부(130)는 파싱 처리된 정보들을 네트워크 공격 의 통합 시그니처 관리 및 분배 시스템(10)의 시그니처 통합 관리기(200)에서 사용할 수 있도록 내부 구조체 형식으로 변환한다. 시그니처 처리 모듈(140)은 시그니처 정규화부(130)에서 생성된 정규화 시그니처 정보들을 시그니처 통합 관리기(200)로 전송 처리한다.That is, the signature parsing unit 120 uses the collected signature distribution message exchange format (SDMEF) signatures based on a parsing table stored in the DB processor 500 so that the signatures of the network attack can be used in the integrated signature management and distribution system. Parse by signature information item. The signature normalization unit 130 converts the parsed information into an internal structure format for use in the signature integration manager 200 of the integrated signature management and distribution system 10 of the network attack. The signature processing module 140 transmits the normalized signature information generated by the signature normalization unit 130 to the signature integration manager 200.

다음, 시그니처 분석기(300)는 상기 수집된 시그니처를 여러 분석 방식을 적용해서 시그니처의 신뢰성을 높이는 분석 단계(S120)를 수행한다.Next, the signature analyzer 300 performs an analysis step S120 of applying the various signatures to the collected signatures to increase the reliability of the signature.

여기서, 시그니처 분석 제어부(310)는 DB 처리기(500)로부터 해당 시그니처들의 정보를 수신해서 분석 요청을 각 분석부(320, 330) 로 보낸다. 시그니처 1차 분석부(320)는 시그니처 분석 제어부(310)의 분석 요청에 따라 시그니처를 규칙기반을 통하여 1차적으로 분석한다. 또한, 시그니처 2차 분석부(330)는 학습기반을 통하여 2차적으로 분석한다.Here, the signature analysis control unit 310 receives the information of the corresponding signatures from the DB processor 500 and sends an analysis request to each analysis unit 320 or 330. The signature primary analysis unit 320 primarily analyzes the signature through a rule base according to the analysis request of the signature analysis control unit 310. In addition, the signature secondary analysis unit 330 performs secondary analysis through the learning base.

이어, 시그니처 분배기(400)는 상기 대상 시그니처를 분배하기 위한 해당 보안 시스템에 따라 시그니처 분배 메시지 교환 형식(SDMEF) 또는 분배 가능한 형식으로 변환하는 단계(S130)을 수행한다.Subsequently, the signature distributor 400 converts the signature distribution message exchange format (SDMEF) or the distributable format (S130) according to the corresponding security system for distributing the target signature.

여기서, 시그니처 분배 제어부(410)는 분배할 대상 시그니처를 시그니처 통합 관리기(200)에 요청하여 DB 처리기(500)로부터 해당 시그니처들의 정보를 수신하고 시그니처 정보 변환부(420)로 전달한다. 시그니처 분배 제어부(410)는 인증 및 암호화 방법 등의 설정 변경 정보를 송수신하여 시그니처 분배 프로토콜(600)을 제어한다. 시그니처 정보 변환부(420)는 분배 대상 시그니처를 시그니처 분배 메시지 교환 형식으로 변환하여 시그니처 분배 프로토콜(600)로 전송한다.Here, the signature distribution controller 410 requests the signature integration manager 200 to distribute the target signature to the signature integration manager 200, receives the signature information from the DB processor 500, and transfers the signature information to the signature information converter 420. The signature distribution controller 410 controls the signature distribution protocol 600 by transmitting and receiving setting change information such as an authentication and encryption method. The signature information converter 420 converts the signature to be distributed into the signature distribution message exchange format and transmits the signature to the signature distribution protocol 600.

다음으로, 시그니처 분배 프로토콜(600)은 상기 분석된 시그니처를 시그니처 분배 프로토콜을 통하여 네트워크 상의 보안 관리 시스템으로 분배하는 단계(S140)을 수행한다.Next, the signature distribution protocol 600 distributes the analyzed signature to the security management system on the network through the signature distribution protocol (S140).

여기서, 시그니처 수집 통신부(610)는 연결 설정된 여러 시그니처 생성 보안 시스템들로부터 전송되는 시그니처를 수신하기 위한 통신을 처리한다. 시그니처 분배 통신부(620)는 관리자에 의한 분배 대상 시그니처를 연결 설정된 보안 관리 시스템(2)에 송신하기 위한 통신을 처리한다. 시그니처 분배 프로토콜 처리부(640)는 키 분배 및 암복호화를 지원하여 여러 시그니처 생성 보안 시스템(700)이나 네트워크 상의 보안 관리 시스템(2)을 인증 및 연결 설정한다. 시그니처 인증 및 암복호화부(630)는 시그니처 수집 통신부(610) 및 시그니처 분배 통신부(620)로부터 송수신된 시그니처 정보들을 암호화 또는 복호화하여 시그니처 수집기(100) 및 시그니처 분배기(400)로 전달한다. 처리된 시그니처는 시그니처 통합 및 관리기(200)를 통해 관리자에 의해 제어되고 DB 처리기(500)에 저장된다.Here, the signature collection communication unit 610 processes a communication for receiving a signature transmitted from various signature generation security systems that are connected. The signature distribution communication unit 620 processes the communication for transmitting the distribution target signature by the administrator to the connected security management system 2. The signature distribution protocol processor 640 supports key distribution and encryption / decryption to authenticate and establish various signature generation security systems 700 or security management systems 2 on the network. The signature authentication and encryption / decryption unit 630 encrypts or decrypts the signature information transmitted and received from the signature collection communication unit 610 and the signature distribution communication unit 620 and transmits the signature information to the signature collector 100 and the signature distributor 400. The processed signature is controlled by the administrator through the signature integration and manager 200 and stored in the DB processor 500.

또한, 상술한 일련의 처리과정(S100~S140)을 거치면서 시그니처 통합 관리기(200)는 상기 시그니처에 대한 수집/통합/분석/분배 과정을 통합 관리하는 단계(S150)을 수행한다.In addition, the signature integration manager 200 performs the integrated management of the collection / integration / analysis / distribution process for the signature (S150) while going through the above-described series of processes (S100 to S140).

여기서, 시그니처 수집 정보 처리부(210)는 시그니처 수집기(100)에서 파싱처리하여 정규화한 내부구조체 형태의 시그니처를 수신하여 시그니처 관리 정보 처리 모듈에 전달한다. 시그니처 분석 정보 처리부(220)는 시그니처 분석기(300)에서 분석한 정보를 수신하여 시그니처 관리 정보 처리부(250)에 전달한다. 시그니처 분배 정보 처리부(230)는 관리자의 설정에 의해 시그니처 분배를 위한 정보를 처리한다. 시그니처 관리 정보 처리부(250)는 시그니처 통합 관리기(200)의 각처리부(210, 220, 230)에서 송수신한 정보들을 제어하거나 처리된 시그니처 정보들을 DB 처리기(500)에 저장하여 관리한다. 시스템 관리 정보 처리부(240)는 송수신한 각 보안 관리 시스템(2)의 관리 정보를 DB 처리기(500)에 저장하여 관리한다. 시스템 관리 정보 처리부(240)는 다수의 시그니처 생성 보안 시스템(700)이나 보안 관리 시스템(2)의 상태 정보들을 송수신하고 제어하여 관리한다.Here, the signature collection information processing unit 210 receives a signature of an internal structure type parsed and normalized by the signature collector 100 and transmits the signature to the signature management information processing module. The signature analysis information processor 220 receives the information analyzed by the signature analyzer 300 and transmits the information to the signature management information processor 250. The signature distribution information processing unit 230 processes information for signature distribution by setting of an administrator. The signature management information processing unit 250 controls the information transmitted / received by each processing unit 210, 220, 230 of the signature integrated manager 200 or stores and manages the processed signature information in the DB processor 500. The system management information processor 240 stores and manages management information of each security management system 2 transmitted and received in the DB processor 500. The system management information processing unit 240 transmits, controls, and manages state information of the plurality of signature generation security systems 700 or the security management system 2.

또한, 시그니처 통합 관리기(200)는 다수의 시그니처 생성 보안 시스템(700)들 및 보안 관리 시스템(2)들의 인증, 구성, 관리, 장애 중 어느 하나 이상을 포함하는 상태 정보에 따라 관리 하는 단계(S160)을 수행한다.In addition, the signature integrated manager 200 manages according to status information including any one or more of authentication, configuration, management, and failure of the plurality of signature generation security systems 700 and the security management system 2 (S160). ).

상술한 바와 같이, 본 발명에 따른 네트워크 공격의 통합 시그니처 관리 및 분배 방법은 웜, 바이러스 등 네트워크 환경을 위협하는 알려지지 않은 공격들에 대해 그 피해를 최소화하고 빠르게 대응하기 위해서 시그니처를 자동으로 생성하는 여러 보안 시스템들로부터 시그니처들을 수집하고 통합 및 관리하여 공통된 시그니처 메시지 형식으로 네트워크 상의 보안 관리 시스템으로 안전하게 분배 할 수 있다.As described above, the integrated signature management and distribution method of the network attack according to the present invention can automatically generate signatures to minimize and quickly respond to unknown attacks that threaten the network environment such as worms and viruses. Signatures from security systems can be collected, integrated, and managed to be distributed securely to the security management system on the network in the form of common signature messages.

또한, 본 발명은 시그니처 생성 보안 시스템으로부터 생성되는 시그니처를 파싱테이블을 근거로 파싱하여 내부구조체 형태로 정규화함으로써 여러 형태를 취하는 다수의 시그니처를 통합해서 관리하는 것이 가능해진다. In addition, the present invention parses a signature generated from a signature generation security system based on a parsing table and normalizes the signature to an internal structure, thereby making it possible to integrate and manage a plurality of signatures taking various forms.

또, 본 발명은 분산 네트워크 하에서 다수의 시그니처 생성 보안 시스템에서 생성되는 미정의된 공격을 정의 하는 시그니처들을 통합 수집해서 보안 관리 시스템에 분배하여 공유함으로써 끊임없이 변형되는 공격으로부터 전체 네트워크의 보안을 유지할 수 있게 된다.In addition, the present invention can collect the signatures that define the undefined attacks generated in the multiple signature generation security system under a distributed network, distribute them to the security management system and share them so that the entire network can be secured from constantly changing attacks. do.

또한, 본 발명은 알려지지 않은 네트워크 위협 공격들에 대해 자동으로 생성된 시그니처들을 통합 및 관리하고 분배하여 보안 관리 시스템과 연동 가능한 시그니처 통합 관리 프레임워크 구축으로 보안 관리자들이 상호 협조적이고 능동적으로 신속하게 대응하게 된다.In addition, the present invention integrates, manages, and distributes automatically generated signatures for unknown network threat attacks to build a signature integrated management framework that can interoperate with the security management system to enable security managers to cooperatively and proactively and quickly respond. do.

한편, 본 발명은 상술한 실시예로만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위내에서 수정 및 변형하여 실시할 수 있고, 그러한 수정 및 변형이 가해진 기술사상 역시 이하의 특허청구범위에 속하는 것으로 보아야 한다.On the other hand, the present invention is not limited only to the above-described embodiment, but can be modified and modified within the scope not departing from the gist of the present invention, the technical idea to which such modifications and variations are also applied to the claims Must see

도 1은 종래에 따른 네트워크 환경을 도시한 구성도.1 is a block diagram showing a network environment according to the prior art.

도 2는 본 발명이 적용되는 전체 네트워크 환경의 일례를 도시한 구성도.2 is a configuration diagram showing an example of the entire network environment to which the present invention is applied.

도 3은 본 발명이 적용되는 네트워크 환경의 다른 일례를 도시한 구성도.3 is a configuration diagram showing another example of a network environment to which the present invention is applied.

도 4는 본 발명에 따른 네크워크 공격의 통합 시그니처 관리 및 분배 시스템의 구성을 설명하는 블럭도.4 is a block diagram illustrating a configuration of an integrated signature management and distribution system of a network attack according to the present invention.

도 5는 도 4의 시그니처 분석기의 세부 구성을 도시한 블럭도.5 is a block diagram showing a detailed configuration of the signature analyzer of FIG.

도 6~도 10은 시그니처 분배 메시지 교환 형식을 분류하는 파싱테이블의 일례.6-10 are examples of parsing tables that classify signature distribution message exchange formats.

도 11은 보안 시스템의 시그니처 분배 메시지 교환 형식의 일례.11 is an example of a signature distribution message exchange format of a security system.

도 12는 시그니처 분배 메시지 교환 형식을 분류하는 파싱테이블의 구성도.12 is a block diagram of a parsing table classifying signature distribution message exchange formats.

도 13은 본 발명에 따른 시그니처 통합 관리기의 세부 구성을 도시한 블럭도이다.13 is a block diagram showing the detailed configuration of the signature integrated manager according to the present invention.

도 14는 시그니처 분석기의 세부 구성을 도시한 블럭도.14 is a block diagram showing a detailed configuration of a signature analyzer.

도 15는 시그니처 분배기의 세부 구성을 도시한 블럭도.15 is a block diagram showing a detailed configuration of a signature distributor.

도 16은 시그니처 분배 프로토콜의 세부 구성을 도시한 블럭도.16 is a block diagram showing a detailed configuration of a signature distribution protocol.

도 17은 본 발명에 따른 네트워크 공격의 통합 시그니처 관리 및 분배 방법을 도시한 순서도.17 is a flow chart illustrating a method of integrated signature management and distribution of network attacks in accordance with the present invention.

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

2 : 보안 관리 시스템 10 : 네트워크 공격의 통합 시그니 처 관리 및 분배 시스템2: security management system 10: integrated signature management and distribution system of network attacks

20 : 네트워크 30 : 인터넷20: network 30: the Internet

100 : 시그니처 수집기 200 : 시그니처 통합 관리기100: signature collector 200: signature integration manager

300 : 시그니처 분석기 400 : 시그니처 분배기300: signature analyzer 400: signature distributor

500 : DB 처리기 600 : 시그니처 분배 프로토콜500: DB handler 600: Signature distribution protocol

700 : 시그니처 생성 보안 시스템 700: signature generation security system

Claims (18)

분산 네트워크 환경 하에서 다수의 시그니처 생성 보안 시스템들에 의해 생성되는 시그니처를 통합 관리하는 네트워크 공격의 통합 시그니처 관리 및 분배 시스템으로서,An integrated signature management and distribution system for network attacks that collectively manages signatures generated by multiple signature generation security systems in a distributed network environment, 상기 각각의 시그니처 생성 보안 시스템으로부터 생성되는 시그니처를 각각의 시그니처가 포함하는 정보에 따라 분류하여 분석 가능한 내부구조체 형태로 수집하는 시그니처 수집기;A signature collector configured to classify the signatures generated from each signature generation security system according to the information included in each signature and to collect the signatures in the form of an internal structure that can be analyzed; 상기 수집된 시그니처를 신뢰성이 향상되도록 분석하는 시그니처 분석기; 및A signature analyzer for analyzing the collected signatures to improve reliability; And 상기 분석된 시그니처를 시그니처 분배 프로토콜을 통하여 다른 네트워크 상의 보안 관리 시스템으로 분배하는 시그니처 분배기; 를 포함하는 것을 특징으로 하는 네트워크 공격의 통합 시그니처 관리 및 분배 시스템.A signature distributor for distributing the analyzed signature to a security management system on another network through a signature distribution protocol; Integrated signature management and distribution system of a network attack comprising a. 제 1 항에 있어서, The method of claim 1, 상기 시그니처 수집기는,The signature collector, 상기 시그니처를 시그니처가 포함하는 정보 항목별로 분류하는 파싱테이블을 기준으로 파싱처리하여 상기 내부구조체 형태로 정규화하는 것을 특징으로 하는 네트워크 공격의 통합 시그니처 관리 및 분배 시스템.And parsing the signature based on a parsing table classifying the information items included in the signature to normalize the signature into the internal structure. 제 2 항에 있어서, The method of claim 2, 상기 파싱테이블은,The parsing table, 시그니처의 인증서 정보 및 시스템 연결 상태 정보 클래스 중 하나 이상을 포함하는 것을 특징으로 하는 네트워크 공격의 통합 시그니처 관리 및 분배 시스템.Integrated signature management and distribution system of a network attack, characterized in that it comprises one or more of the certificate information and system connection state information class of the signature. 제 3 항에 있어서, The method of claim 3, wherein 상기 인증서 정보 클래스는,The certificate information class is 시그니처를 생성하고 검증한 단말의 정보, 시그니처 정보 및 검증 정보 클래스 중 하나 이상을 포함하는 것을 특징으로 하는 네트워크 공격의 통합 시그니처 관리 및 분배 시스템.Integrated signature management and distribution system of a network attack, characterized in that it comprises one or more of the information, signature information and verification information class of the terminal that generated and verified the signature. 제 4 항에 있어서, The method of claim 4, wherein 상기 시그니처 정보 클래스는,The signature information class is 네트워크 정보와 시그니처 내용 정보 클래스를 더 포함하는 것을 특징으로 하는 네트워크 공격의 통합 시그니처 관리 및 분배 시스템.Integrated signature management and distribution system for network attack, further comprising network information and signature content information class. 제 4 항에 있어서, The method of claim 4, wherein 상기 검증 정보 클래스는,The verification information class is 검증 블록 개발 벤더 정보, 검증 결과 정보, 패킷 수집 정보 및 패킷 룰 정보 클래스 중 하나 이상을 포함하는 것을 특징으로 하는 네트워크 공격의 통합 시 그니처 관리 및 분배 시스템.Validation block development Signature management and distribution system in the integration of network attacks comprising one or more of the vendor information, verification result information, packet collection information and packet rule information classes. 제 1 항에 있어서,The method of claim 1, 상기 시그니처 분석기는,The signature analyzer, 상기 수집된 시그니처를 규칙기반 및 학습기반 중 하나 이상의 분석 방식을적용하여 상기 시그니처의 신뢰성을 향상시키는 것을 특징으로 하는 네트워크 공격의 통합 시그니처 관리 및 분배 시스템.Integrated signature management and distribution system of a network attack, characterized in that to improve the reliability of the signature by applying one or more analysis methods of the collected signature-based rules and learning. 제 7 항에 있어서, The method of claim 7, wherein 상기 규칙기반은,The rule base is, 수집(Aggregation), 상관(Correlation) 방식 중 하나 이상을 포함하는 것을 특징으로 하는 네트워크 공격의 통합 시그니처 관리 및 분배 시스템.Integrated signature management and distribution system of a network attack, characterized in that it comprises at least one of an aggregation, a correlation (correlation) scheme. 제 7 항에 있어서,The method of claim 7, wherein 상기 학습기반은, The learning base, 인공지능 방식을 포함하는 것을 특징으로 하는 네트워크 공격의 통합 시그니처 관리 및 분배 시스템.Integrated signature management and distribution system for network attacks, including artificial intelligence. 제 1 항에 있어서, The method of claim 1, 상기 시그니처 분배기는,The signature dispenser, 상기 분석된 시그니처를 분배하기 위해 보안 관리 시스템에 따라 시그니처 분배 메시지 교환 형식(SDMEF, Signature Distribution Message Exchange Format) 또는 분배 가능한 형식으로 변환하는 것을 특징으로 하는 네트워크 공격의 통합 시그니처 관리 및 분배 시스템.And a signature distribution message exchange format (SDMEF) or a distributable format according to a security management system for distributing the analyzed signature. 제 1항에 있어서, The method of claim 1, 상기 시그니처 분배 프로토콜은,The signature distribution protocol is, 상기 분석된 시그니처에 대한 암복호화 및 키 분배를 통해 인증 연결을 지원하는 것을 특징으로 하는 네트워크 공격의 통합 시그니처 관리 및 분배 시스템.Integrated signature management and distribution system for network attack, characterized in that for supporting the authentication connection through encryption and decryption and key distribution for the analyzed signature. 제 1 항에 있어서, The method of claim 1, 다수의 시그니처 생성 보안 시스템들 및 다른 네트워크 상의 보안 관리 시스템들로부터 수신되는 인증, 구성, 관리, 장애 중 하나 이상을 포함하는 상태 정보를 근거로 관리하는 시그니처 통합 관리기; 를 더 포함하는 것을 특징으로 하는 네트워크 공격의 통합 시그니처 관리 및 분배 시스템.A signature integration manager for managing based on status information including one or more of authentication, configuration, management, and failures received from multiple signature generation security systems and security management systems on other networks; Integrated signature management and distribution system of a network attack, characterized in that it further comprises. 분산 네트워크 환경 하에서 다수의 시그니처 생성 보안 시스템들에 의해 생성되는 시그니처를 통합 관리하는 네트워크 공격의 통합 시그니처 관리 및 분배 시스템의 네트워크 공격의 통합 시그니처 관리 및 분배 방법에 있어서,In the integrated signature management and distribution method of the network attack of the integrated signature management and distribution system of the network attack to collectively manage the signatures generated by multiple signature generation security systems in a distributed network environment, 상기 각각의 시그니처 생성 보안 시스템으로부터 생성되는 시그니처를 각각 의 시그니처가 포함하는 정보에 따라 분류하여 분석 가능한 내부구조체 형태로 수집하는 시그니처 수집단계;A signature collection step of classifying the signatures generated from each signature generation security system according to the information included in each signature and collecting the signatures in the form of an internal structure that can be analyzed; 상기 수집된 시그니처를 신뢰성이 향상되도록 분석하는 시그니처 분석단계; 및A signature analysis step of analyzing the collected signatures to improve reliability; And 상기 분석된 시그니처를 시그니처 분배 프로토콜을 통하여 다른 네트워크 상의 보안 관리 시스템으로 분배하는 시그니처 분배단계; 를 포함하는 것을 특징으로 하는 네트워크 공격의 통합 시그니처 관리 및 분배 방법.A signature distribution step of distributing the analyzed signature to a security management system on another network through a signature distribution protocol; Integrated signature management and distribution method of a network attack comprising a. 제 13 항에 있어서, The method of claim 13, 상기 시그니처 수집단계는,The signature collection step, 상기 시그니처를 시그니처가 포함하는 정보 항목별로 분류하는 파싱테이블을 기준으로 파싱처리하여 상기 내부구조체 형태로 정규화하는 것을 특징으로 하는 네트워크 공격의 통합 시그니처 관리 및 분배 방법.And parsing the signature based on a parsing table classifying the information items included in the signature to normalize the signature into the internal structure. 제 13 항에 있어서, The method of claim 13, 상기 파싱테이블은,The parsing table, 시그니처의 인증서 정보 및 시스템 연결 상태 정보 클래스 중 하나 이상을 포함하는 것을 특징으로 하는 네트워크 공격의 통합 시그니처 관리 및 분배 방법.And at least one of a certificate's certificate information and a system connection state information class. 제 13 항에 있어서,The method of claim 13, 상기 시그니처 분석단계는,The signature analysis step, 상기 수집된 시그니처를 규칙기반 및 학습기반 중 하나 이상의 분석 방식을적용하여 상기 시그니처의 신뢰성을 향상시키는 것을 특징으로 하는 네트워크 공격의 통합 시그니처 관리 및 분배 방법.Integrated signature management and distribution method of the network attack, characterized in that to improve the reliability of the signature by applying one or more analysis methods of the collected signature-based rules and learning. 제 13 항에 있어서, The method of claim 13, 상기 시그니처 분배단계는,The signature distribution step, 상기 분석된 시그니처를 분배하기 위해 보안 관리 시스템에 따라 시그니처 분배 메시지 교환 형식(SDMEF) 또는 분배 가능한 형식으로 변환하는 것을 특징으로 하는 네트워크 공격의 통합 시그니처 관리 및 분배 방법.And distributing the analyzed signature to a signature distribution message exchange format (SDMEF) or a distributable format according to a security management system to distribute the analyzed signature. 제 13 항에 있어서, The method of claim 13, 상기 시그니처 분배 프로토콜은,The signature distribution protocol is, 상기 분석된 시그니처에 대한 암복호화 및 키 분배를 통해 인증 연결을 지원하는 것을 특징으로 하는 네트워크 공격의 통합 시그니처 관리 및 분배 방법.Integrated signature management and distribution method of a network attack, characterized in that for supporting the authentication connection through encryption and decryption and key distribution for the analyzed signature.
KR1020070106113A 2007-10-22 2007-10-22 Integrated Signature Management and Distribution System and Method for Network Attack KR100933986B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070106113A KR100933986B1 (en) 2007-10-22 2007-10-22 Integrated Signature Management and Distribution System and Method for Network Attack

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070106113A KR100933986B1 (en) 2007-10-22 2007-10-22 Integrated Signature Management and Distribution System and Method for Network Attack

Publications (2)

Publication Number Publication Date
KR20090040655A true KR20090040655A (en) 2009-04-27
KR100933986B1 KR100933986B1 (en) 2009-12-28

Family

ID=40763969

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070106113A KR100933986B1 (en) 2007-10-22 2007-10-22 Integrated Signature Management and Distribution System and Method for Network Attack

Country Status (1)

Country Link
KR (1) KR100933986B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE202022102514U1 (en) 2022-05-07 2022-05-20 Tanweer ALAM Cryptography-based intelligent system for security management of microcode signatures

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101971790B1 (en) 2017-09-27 2019-05-13 주식회사 알티캐스트 System and method for detecting abnormal behavior based on unified model
KR101971799B1 (en) 2017-11-08 2019-05-13 주식회사 알티캐스트 System and method for detecting abnormal behavior based on unified model

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7603716B2 (en) 2004-02-13 2009-10-13 Microsoft Corporation Distributed network security service
US20060026681A1 (en) * 2004-07-29 2006-02-02 Zakas Phillip H System and method of characterizing and managing electronic traffic
KR20060090408A (en) * 2005-02-05 2006-08-11 이극 A development of enterprise vulnerability management system on a distributed network environment
KR100846835B1 (en) * 2006-11-27 2008-07-16 (주)타임네트웍스 Method and apparatus for Security Event Correlation Analysis based on Context Language

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE202022102514U1 (en) 2022-05-07 2022-05-20 Tanweer ALAM Cryptography-based intelligent system for security management of microcode signatures

Also Published As

Publication number Publication date
KR100933986B1 (en) 2009-12-28

Similar Documents

Publication Publication Date Title
Burger et al. Taxonomy model for cyber threat intelligence information exchange technologies
Kruegel et al. Intrusion detection and correlation: challenges and solutions
US7246156B2 (en) Method and computer program product for monitoring an industrial network
US20100031358A1 (en) System that provides early detection, alert, and response to electronic threats
CN109688105B (en) Threat alarm information generation method and system
CN105391687A (en) System and method for supplying information security operation service to medium-sized and small enterprises
US20030177387A1 (en) Secured web entry server
CA2895522A1 (en) System and method for monitoring data in a client environment
WO2010005545A1 (en) Techniques for agent configuration
CN101438255A (en) Network and application attack protection based on application layer message inspection
Cruz et al. Improving cyber-security awareness on industrial control systems: The cockpitci approach
KR101909957B1 (en) Web traffic logging system and method for detecting web hacking in real time
Hashmat et al. An automated context-aware IoT vulnerability assessment rule-set generator
Grammatikis et al. Secure and private smart grid: The spear architecture
KR100933986B1 (en) Integrated Signature Management and Distribution System and Method for Network Attack
Xu et al. Correlation analysis of intrusion alerts
Wenhua et al. Data security in smart devices: Advancement, constraints and future recommendations
Zaraska Prelude IDS: current state and development perspectives
KR101775517B1 (en) Client for checking security of bigdata system, apparatus and method for checking security of bigdata system
Ning et al. Design and implementation of a decentralized prototype system for detecting distributed attacks
Gu et al. IoT security and new trends of solutions
CN113992734A (en) Session connection method, device and equipment
KR101896267B1 (en) System and method for detecting attack based on real-time log analysis
Kothari Intrusion detection interoperability and standardization
RU183015U1 (en) Intrusion detection tool

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121129

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20131128

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee