KR20090065313A - Hardware based method and system for high performance abnormal traffic detection - Google Patents

Hardware based method and system for high performance abnormal traffic detection Download PDF

Info

Publication number
KR20090065313A
KR20090065313A KR1020070132804A KR20070132804A KR20090065313A KR 20090065313 A KR20090065313 A KR 20090065313A KR 1020070132804 A KR1020070132804 A KR 1020070132804A KR 20070132804 A KR20070132804 A KR 20070132804A KR 20090065313 A KR20090065313 A KR 20090065313A
Authority
KR
South Korea
Prior art keywords
traffic
packet
hardware
detection
characteristic
Prior art date
Application number
KR1020070132804A
Other languages
Korean (ko)
Other versions
KR100960119B1 (en
Inventor
윤승용
김병구
문화신
이성원
오진태
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020070132804A priority Critical patent/KR100960119B1/en
Publication of KR20090065313A publication Critical patent/KR20090065313A/en
Application granted granted Critical
Publication of KR100960119B1 publication Critical patent/KR100960119B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

An abnormal traffic detecting method based on hardware and a detecting device with an abnormal traffic detecting engine based on hardware are provided to help performance of a high performance abnormal traffic detecting function guaranteeing real time detection of line speed in a gigabit network environment, thereby enhancing security of an invasion detecting apparatus. A field for traffic measurement is extracted by extracting an IP(Internet Protocol) packet from inflow traffic(S120). A flow based traffic characteristic of the inflow traffic is measured based on the extracted field(S130). It is detected whether the IP packet is abnormal by comparing the measured characteristic with a threshold value according to each characteristic(S140). The detection result is transmitted to a software base security engine.

Description

하드웨어 기반 비정상 트래픽 탐지방법 및 하드웨어 기반 비정상 트래픽 탐지엔진이 탑재된 탐지장치 {Hardware Based Method and System for High Performance Abnormal Traffic Detection}Hardware-based abnormal traffic detection method and detection device equipped with hardware-based abnormal traffic detection engine {Hardware Based Method and System for High Performance Abnormal Traffic Detection}

본 발명은 네트워크 보안 시스템의 침입탐지 기술에 관한 것이다. 네트워크 기반 침입탐지 기술은 크게 오용탐지(Misuse Detection)과 이상탐지(Anomaly Detection) 기술로 나뉜다. 오용탐지 기술은 이미 발견되고 정립된 공격 패턴을 시그니처로 가지고 있으면서 입력되는 패킷과 비교하여 침입을 탐지하는 패턴 매칭 기법을 주로 사용하고, 이상탐지 기술은 정상적이고 평균적인 상태를 기준으로 하여, 이에 상대적으로 급격한 변화를 일으키거나 확률이 낮은 일이 발생할 경우 침입을 탐지하는 행위적이고 통계적인 기법을 주로 사용한다.The present invention relates to an intrusion detection technique of a network security system. Network-based intrusion detection technology is largely divided into misuse detection and abnormal detection technology. Misuse detection technology mainly uses pattern matching techniques to detect intrusions by comparing incoming packets with signatures of already found and established attack patterns. As a result, behavioral and statistical techniques are used to detect intrusions when sudden changes or low probability events occur.

본 발명은 이상탐지 기법을 사용하여 침입을 탐지 하는 것으로, 특히 네트워크 선로속도(Wire-Speed)의 실시간 처리 능력을 보장하는 하드웨어 기반의 고성능 비정상 트래픽 탐지 기술에 관한 것이다.The present invention relates to detecting intrusion using an abnormality detection technique, and more particularly, to a hardware-based high performance abnormal traffic detection technology that guarantees a real-time processing capability of network wire speed.

본 발명은 정보통신부 및 정보통신연구진흥원의 IP성장동력 기술개발로 수행한 연구로부터 도출된 것이다[과제관리번호: 2006-S-042-02, 과제명: Network 위협의 Zero-Day Attack 대응을 위한 실시간 공격 시그니처 생성 및 관리 기술개발].The present invention is derived from the research conducted by the Ministry of Information and Communication and the Institute of Information and Communications Research and Development for IP growth engine technology. [Task Management Number: 2006-S-042-02, Title: Real time attack signature generation and management technology development].

기존의 이상탐지 기법들은 대부분 플로우 기반의 트래픽 특성들을 추출하여 단위 시간 당 해당 값들을 측정하고, 이를 기반으로 프로파일(profile)을 생성하여, 특정 임계치(Threshold)를 넘었을 경우 혹은 프로파일에서 크게 벗어나는 경우 비정상 트래픽으로 탐지한다. Existing anomaly detection techniques mostly extract flow-based traffic characteristics and measure the corresponding values per unit time, create a profile based on this, and when exceeding a certain threshold or greatly deviating from the profile Detect as abnormal traffic.

그러나 실시간 탐지를 위하여 오용탐지 기법에서 사용하는 하드웨어 기반 기술을 사용하지 않고, 대부분 소프트웨어적인 기법을 사용하고 있다. 오용탐지 기법은 이미 활발한 연구가 이루어져 병렬 블룸 필터(Parallel Bloom Filter)와 같은 훌륭한 해결책들이 개발되어 상용화된 상태이지만, 이상탐지 기법은 제한된 하드웨어 리소스를 가지고 기능을 구현하기가 어려워 대부분 소프트웨어 기반으로 되어 있다. 현존하는 대부분의 네트워크 침입탐지 시스템은 상호 보완적인 오용탐지 기법과 이상탐지 기법을 병용하여 채택함으로써 탐지율을 높이고 있다. 즉 하드웨어 기반의 패턴매칭 엔진을 통해 실시간 침입탐지 기능을 수행하고, 소프트웨어 기반의 이상탐지 모듈을 통해 패턴매칭으로 탐지할 수 없었던 인터넷 웜, DoS/DDoS 등의 동적 공격을 탐지하도록 보완하는 구조를 가지고 있다.However, for real-time detection, most of the software techniques are used instead of the hardware-based technique used in the misuse detection technique. Misuse detection techniques have already been actively studied and excellent solutions such as Parallel Bloom Filter have been developed and commercialized. However, fault detection techniques are mostly software based due to the difficulty of implementing functions with limited hardware resources. . Most existing network intrusion detection systems increase detection rates by adopting complementary misuse detection and abnormality detection. In other words, it performs a real-time intrusion detection function through a hardware-based pattern matching engine and complements to detect dynamic attacks such as Internet worms and DoS / DDoS that could not be detected by pattern matching through a software-based abnormal detection module. have.

그러나 이와 같은 종래의 침입탐지 시스템에 채택된 소프트웨어 기반의 이상탐지 모듈은 처리 성능이 매우 제한적이므로 선로속도(Wire-Speed)로 실시간 처리가 사실상 불가능하고, 이를 해결하기 위해 샘플링(Sampling) 등의 방법을 사용하여 트래픽을 측정하므로 정확도면에서 상당히 떨어지고 있는 실정이다. 또한 갈수록 대용량화 되어가는 기가비트 네트워크 환경으로의 진화는 소프트웨어 기반의 솔 루션으로는 처리속도의 한계를 뛰어넘기가 더욱 힘든 상황으로 만들고 있다. However, since the software-based fault detection module adopted in the conventional intrusion detection system has very limited processing performance, real-time processing at wire speed is virtually impossible, and in order to solve this problem, a sampling method, etc. Since traffic is measured using, the accuracy is falling considerably. In addition, the evolution to the increasingly large gigabit network environment is making software-based solutions more difficult to overcome the limitations of processing speed.

트래픽 양의 증가에 따른 엄청난 수의 플로우를 관리하면서 실시간 침입탐지 기능을 수행하기 위해서는 반드시 하드웨어 기반의 솔루션의 개발이 선행되어야 한다. 그러나 속로속도를 보장하면서 실시간으로 모든 패킷의 전수검사를 통한 트래픽 측정 및 비정상 트래픽 탐지는 제한된 하드웨어 리소스를 가지고 구현하기에는 기술적인 어려움으로 인해 거의 솔루션이 없는 실정이다.In order to perform a real-time intrusion detection function while managing a huge number of flows as the traffic volume increases, hardware-based solution must be developed first. However, traffic measurement and abnormal traffic detection through full inspection of all packets in real time while guaranteeing the speed are almost impossible due to technical difficulties to implement with limited hardware resources.

본 발명은 전술한 종래기술의 문제점을 해결하기 위하여, 이상탐지 기법을 적용한 하드웨어 기반의 고성능 비정상 트래픽 탐지 기법 및 장치를 제공하는 데 그 목적이 있다. 기가비트 네트워크 환경에서 속로속도를 보장하면서 실시간으로 플로우 기반의 트래픽 전수 검사를 통한 주소분산(Address Dispersion), 세션성공률(Session Success Rate), BPS(Bits per Second), PPS(Packets per Second) 등을 측정하여 비정상 트래픽을 탐지할 수 있게 하여, 패턴매칭 기법으로 탐지하기 어려운 인터넷 웜, DoS/DDoS 등의 공격을 탐지할 수 있도록 한다.SUMMARY OF THE INVENTION The present invention has been made in an effort to provide a hardware-based high performance abnormal traffic detection technique and apparatus to which an abnormality detection technique is applied in order to solve the above-described problems of the related art. Measures address dispersion, session success rate, bits per second, packets per second (PPS) through full flow-based traffic inspection in real time while guaranteeing the speed in Gigabit network environment By detecting abnormal traffic, it is possible to detect attacks such as Internet worms and DoS / DDoS, which are difficult to detect by pattern matching techniques.

본 발명은 하드웨어 기반 비정상 트래픽 탐지방법에 관한 것으로, 유입트래픽에서 IP 패킷을 추출하여 트래픽 측정을 위한 필드를 추출하는 과정, 상기 추출된 필드를 바탕으로 유입트래픽의 플로우 기반 트래픽 특성을 측정하는 과정, 및 상기 측정된 특성을 각 특성별 임계치와 비교하여 상기 IP 패킷의 비정상여부를 탐 지하여 소프트웨어 기반 보안엔진으로 전달하는 과정을 포함한다.The present invention relates to a hardware-based abnormal traffic detection method, the process of extracting the IP packet from the incoming traffic to extract the field for traffic measurement, the process of measuring the flow-based traffic characteristics of the incoming traffic based on the extracted field, And detecting the abnormality of the IP packet by comparing the measured characteristic with a threshold for each characteristic and delivering the abnormality to the software-based security engine.

또한, 본 발명은 하드웨어 기반 비정상 트래픽 탐지엔진에 관한 것으로, 유입트래픽에서 IP 패킷을 추출하는 IP 패킷 추출부, 상기 추출된 IP 패킷의 플로우를 기반으로 한 트래픽 특성 테이블을 생성하고 관리하는 테이블 매니저, 및 상기 IP 패킷에서 트래픽 측정을 위한 필드를 추출하고, 측정하고자 하는 IP 패킷의 플로우 단위에 따라 서로 다른 필드값을 입력값으로 하여 상기 트래픽 특성 테이블을 호출하고, 호출된 값과 임계치를 비교하여 상기 IP 패킷이 비정상 트래픽인지 탐지하는 비정상 트래픽 탐지기를 포함한다.The present invention also relates to a hardware-based abnormal traffic detection engine, comprising: an IP packet extractor extracting an IP packet from an inflow traffic, a table manager for generating and managing a traffic characteristic table based on the flow of the extracted IP packet; And extracting a field for measuring traffic from the IP packet, calling the traffic characteristic table with different field values as input values according to the flow unit of the IP packet to be measured, and comparing the called value with a threshold. An abnormal traffic detector for detecting whether an IP packet is abnormal traffic.

본 발명의 구성에 따르면, 기존의 침입탐지 장치에서 일반적으로 적용되던 소프트웨어 방식의 이상탐지 기법을 하드웨어 기반으로 설계 및 구현 가능하게 하여 처리속도를 현저히 증가시킬 수 있다. 따라서 최근 보편화되고 있는 기가비트 네트워크 환경에서 선로속도의 실시간 탐지를 보장하는 고성능 비정상 트래픽 탐지 기능을 수행하는데 도움을 주어 침입탐지 장치의 보안성을 한층 강화할 수 있다.According to the configuration of the present invention, it is possible to design and implement a software-based abnormality detection technique that is generally applied in the conventional intrusion detection apparatus based on hardware to significantly increase the processing speed. Therefore, it is possible to further enhance the security of the intrusion detection device by helping to perform a high performance abnormal traffic detection function that guarantees the real-time detection of the line speed in the Gigabit network environment that is becoming more common.

기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.Specific details of other embodiments are included in the detailed description and the drawings.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태 로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Advantages and features of the present invention and methods for achieving them will be apparent with reference to the embodiments described below in detail with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but can be implemented in various different forms, only the embodiments are to make the disclosure of the present invention complete, the general knowledge in the art to which the present invention belongs It is provided to fully inform the person having the scope of the invention, which is defined only by the scope of the claims. Like reference numerals refer to like elements throughout.

이하, 첨부된 도면을 참조하여 본 발명의 하드웨어 기반 고성능 비정상 트래픽 탐지 기법 및 장치를 좀 더 상세히 설명하면 다음과 같다.Hereinafter, a hardware-based high performance abnormal traffic detection technique and apparatus will be described in more detail with reference to the accompanying drawings.

도 1은 본 발명의 비정상 트래픽 탐지 엔진이 적용된 시스템의 구조도이다. 패킷의 입출력 인터페이스인 PHY(100)로부터 네트워크 패킷이 인입되면, 우선 하드웨어 기반 보안 엔진(110)에서 침입을 탐지하고 그 결과를 PCI(140)를 통해 소프트웨어 기반 보안 엔진(150)으로 전달한다. 기존의 대부분 상용 제품들은 하드웨어 기반 보안 엔진에 패턴매칭 엔진(120)만이 위치하여 기능을 수행하고, 비정상 탐지 엔진(130)은 소프트웨어 기반 보안 엔진에 위치하여 근본적으로 처리 속도의 한계를 가지고 있다. 그러나 본 발명에서는 이러한 문제점을 해결하기 위해 비정상 탐지 엔진(130)도 하드웨어 기반 보안 엔진 위에 위치 시킴으로써 선로속도를 보장하면서 실시간 비정상 트래픽 탐지 기능을 수행할 수 있게 하고 있다.1 is a structural diagram of a system to which an abnormal traffic detection engine of the present invention is applied. When a network packet is introduced from the PHY 100, which is an input / output interface of the packet, the hardware-based security engine 110 detects an intrusion and transmits the result to the software-based security engine 150 through the PCI 140. Most existing commercial products perform only functions by placing only the pattern matching engine 120 in the hardware-based security engine, and the abnormal detection engine 130 is located in the software-based security engine and has a limitation in processing speed. However, in the present invention, in order to solve this problem, the abnormal detection engine 130 is also located on the hardware-based security engine to ensure the line speed while performing the abnormal traffic detection function in real time.

소프트웨어 기반 보안 엔진(150)은 PCI(140)를 통해 입력된 데이터를 S/W 매니저(170)로 전달하고, S/W 매니저(170)는 네트워크 환경에 따라 적합한 정책 및 측정 트래픽 특성의 임계치 값을 알맞게 설정한다.The software-based security engine 150 transmits the data input through the PCI 140 to the S / W manager 170, the S / W manager 170, the threshold value of the appropriate policy and measurement traffic characteristics according to the network environment Set the appropriately.

도 2는 본 발명에 따른 하드웨어 기반 비정상 트래픽 탐지엔진이 탑재된 탐지장치의 기능별 내부 블록도이다. 네트워크 패킷은 시스템 입출력 인터페이스인 PHY(200)을 통해 유입되고, 또 다음 단으로 전송된다. IP패킷 추출부인 PL3 인터페이스(210)는 물리계층 인터페이스 규격인 PL3(Packet of SONET Level 3)를 통해 수신되는 2 계층 이더넷 프레임을 인식하고 IP 패킷을 추출하여 상위 내부블록으로 전달한다. 이때, 각각의 패킷을 구별하기 위해 패킷마다 Packet ID를 생성하여 같이 전달하여 준다. 이것은 패킷당 대응을 필요로 할 때 아주 유용하다. 전달된 IP 패킷은 기본적으로 비정상 트래픽 탐지기(230)의 IP패킷 병합부(231)을 통해 De-fragmentation 과정을 거쳐 패킷 파싱이 이루어진다. 패킷 파싱부(232)는 이 과정을 통해 플로우 기반 트래픽 측정에 필요한 필드들을 추출해낸다. 기본적으로 플로우 관리에 필요한 5-Tuple(Source IP, Destination IP, Source Port, Destination Port, Protocol) 정보와 TCP 플래그 정보 등이 추출된다. 이렇게 추출된 정보를 바탕으로 플로우 기반 트래픽 측정부(233)를 통해 플로우 기반 트래픽 측정이 이루어지며, 비정상 탐지부(234)의 탐지결과 단위 시간당 특정 임계치를 넘으면 비정상 트래픽으로 탐지된다. 2 is an internal block diagram for each function of a detection apparatus equipped with a hardware-based abnormal traffic detection engine according to the present invention. The network packet is introduced through the PHY 200, which is a system input / output interface, and transmitted to the next stage. The PL3 interface 210, which is an IP packet extracting unit, recognizes a 2-layer Ethernet frame received through PL3 (Packet of SONET Level 3), which is a physical layer interface standard, extracts an IP packet, and delivers the IP packet to a higher inner block. At this time, in order to distinguish each packet, a packet ID is generated for each packet and delivered together. This is very useful when you need a per packet response. The delivered IP packet is basically parsed through the de-fragmentation process through the IP packet merging unit 231 of the abnormal traffic detector 230. The packet parser 232 extracts fields necessary for flow-based traffic measurement through this process. Basically, 5-Tuple (Source IP, Destination IP, Source Port, Destination Port, Protocol) information and TCP flag information necessary for flow management are extracted. Based on the extracted information, flow-based traffic measurement is performed through the flow-based traffic measurement unit 233, and when the detection result of the abnormality detection unit 234 exceeds a specific threshold per unit time, it is detected as abnormal traffic.

여기서 측정되는 트래픽 특성은 주소분산, 세션성공률, SYN Count, Stealth Scan Count, BPS, PPS 등이며, 실시간으로 처리되어 비정상 유무의 판단에 이용된다. 탐지된 결과는 리포트 인터페이스(250)를 통해 PCI(260)를 거쳐 S/W 매니저(270)로 전달된다. S/W 매니저(270)는 네트워크 환경에 따라 적합한 정책 및 측정 트래픽 특성의 임계치 값을 알맞게 설정하기 위해 컨피규레이션(Configuration) 인터페이스(280)를 이용한다. 플로우 기반으로 트래픽을 측정하기 위하여 테이블 매니저(240)는 세 개의 테이블인 4-Tuple 테이블, 세션 테이블, 플로우 테이블에 해당 트래픽 특성값을 저장하여 관리한다.The traffic characteristics measured here are address dispersion, session success rate, SYN Count, Stealth Scan Count, BPS, PPS, etc. and are processed in real time and used to determine abnormality. The detected result is transmitted to the S / W manager 270 via the PCI 260 through the report interface 250. The S / W manager 270 uses the configuration interface 280 to appropriately set threshold values of policy and measurement traffic characteristics according to the network environment. In order to measure traffic based on the flow, the table manager 240 stores and manages the corresponding traffic characteristic values in three tables, 4-Tuple table, session table, and flow table.

여기서, 상기 S/W 매니저를 제외한 모든 모듈은 FPGA 혹은 ASIC과 같은 하드웨어와 SRAM과 같은 메모리 장치로 구현될 수 있다.Here, all modules except the S / W manager may be implemented as hardware such as an FPGA or an ASIC and a memory device such as an SRAM.

도 3은 본 발명에서 탐지하고자 하는 비정상 트래픽의 예를 보인것이다. 크게 인터넷 웜(300)과 DoS/DDoS(310)로 분류할 수 있는데, 인터넷 웜은 일반적으로 전파 대상을 찾기 위해 하나의 Source IP에서 다수의 Destination IP로 스캔을 시도하고, DoS/DDoS 공격은 다수의 Source IP에서 하나의 Destination IP로 대량의 트래픽을 전송한다. 위와 같은 트래픽의 특성상 인터넷 웜을 탐지하기 위해 관리되는 플로우의 단위는 <Source IP, Destination Port, Protocol>로 구성되며, DoS/DDoS를 탐지하기 위해 관리되는 플로우 단위는 <Destination IP, Destination Port, Protocol>로 구성된다. 일단, 인터넷 웜이든 DoS/DDoS든 공격이 시도되면, 플로우 단위로 측정되는 주소분산, 세션성공률, SYN Count, Stealth Scan Count, BPS, PPS 등의 값들이 정상 트래픽들과는 현저한 차이를 보이게 될 것이고, 비정상 트래픽 탐지기(230)에서 이를 탐지하게 된다.3 shows an example of abnormal traffic to be detected in the present invention. Internet worm 300 can be classified into DoS / DDoS 310. Internet worms generally attempt to scan from one source IP to multiple destination IPs in order to find the propagation target, and do many DoS / DDoS attacks. A large amount of traffic is sent from a source IP of one to a destination IP. Due to the above characteristics of traffic, the unit of flow managed to detect Internet worm is composed of <Source IP, Destination Port, Protocol>, and the unit of flow managed to detect DoS / DDoS is <Destination IP, Destination Port, Protocol Consists of> Once an attack is attempted, whether it is an Internet worm or DoS / DDoS, the values of address distribution, session success rate, SYN Count, Stealth Scan Count, BPS, PPS, etc., measured in flow units will be markedly different from normal traffic. Traffic detector 230 detects this.

트래픽 특성값Traffic characteristic 설 명Explanation 주소분산Address distribution 인터넷 웜의 경우: <Source IP, Destination Port, Protocol>을 단위로 하는 어떤 Flow가 특정 시간 동안 Packet을 보낸 다른 Host(Destination IP)의 개수 DoS/DDoS의 경우: <Destination IP, Destination Port, Protocol>을 단위로 하는 어떤 Flow가 특정 시간 동안 Packet을 받은 다른 Host(Source IP)의 개수In case of Internet Worm: The number of other Hosts (Destination IP) in which a flow in which <Flow Source IP, Destination Port, Protocol> is sent during a specific time period. The number of other hosts (source IP) that received a packet for a certain time by a flow 세션성공률Session success rate TCP 세션 연결 개수 / Duplicated SYN 패킷을 제외한 SYN 패킷의 개수TCP Session Connection Count / Number of SYN Packets Except Duplicated SYN Packets SYN CountSYN Count TCP SYN 패킷의 개수Number of TCP SYN Packets Stealth Scan CountStealth scan count SYN 스캐닝 이외의 Stealth Scan 시도 회수Number of Stealth Scan Attempts Other Than SYN Scanning BPSBPS Bits per SecondBits per second PPSPPS Packets per SecondPackets per Second

표 1은 플로우 단위로 측정되는 트래픽 특성값에 대한 설명이다. 이하, 각각의 트래픽 특성값들에 대한 이해를 돕기 위해 비정상 트래픽 중 인터넷 웜을 실시예로 들어 설명한다. 인터넷 웜을 탐지하기 위해 <Source IP, Destination Port, Protocol> 단위의 플로우를 기반으로 주소분산을 측정한다. 일반적으로 인터넷 웜은 Attack Code를 전파하기 전에 스캐닝 단계를 거친다. 웜의 스캐닝 과정에서 주소분산은 정상적인 트래픽에 비해 상대적으로 굉장히 높아진다. 이러한 비정상 트래픽을 탐지하기 위해 주소분산을 측정한다. 테이블 매니저(240)는 주소분산을 측정하기 위해 <Source IP, Destination Port, Protocol> 기반의 플로우 테이블(243) 이외의 <Source IP, Destination IP, Destination Port, Protocol> 기반의 4-Tuple 테이블(241)을 관리한다. Table 1 is a description of traffic characteristic values measured in units of flows. Hereinafter, an Internet worm among abnormal traffic will be described as an example to help understand the respective traffic characteristic values. In order to detect Internet worms, address distribution is measured based on the flow in the unit of <Source IP, Destination Port, Protocol>. In general, Internet worms go through a scanning step before they spread the attack code. In the scanning process of worms, address distribution is much higher than normal traffic. In order to detect such abnormal traffic, address distribution is measured. Table manager 240 is a 4-Tuple table based on <Source IP, Destination IP, Destination Port, Protocol> other than <Source IP, Destination Port, Protocol> based flow table 243 to measure address distribution. ).

패킷이 입력되면 플로우 테이블과 4-Tuple 테이블을 검색하여 서로 비교함으로써 주소분산을 측정하는데, 그 정의에 의해서 두 테이블 검색 결과, 플로우 테이블에 엔트리가 존재하고 4-Tuple 테이블에 엔트리가 존재하지 않을 때만 주소분산이 증가하게 된다. 도 3의 인터넷 웜의 예에서 주소분산은 6이 된다. 단위 측정 시간 동안 주소분산이 정해진 임계치를 넘으면 다른 특성값을 고려하여 상위 모듈로 결과가 Report 된다.When a packet is input, address distribution is measured by searching the flow table and 4-Tuple table and comparing them with each other. Address distribution will increase. In the example of the Internet worm of Fig. 3, the address distribution is six. If the address distribution exceeds the specified threshold during the unit measurement time, the result is reported to the upper module considering other characteristic values.

인터넷 웜을 탐지하기 위해 <Source IP, Destination Port, Protocol> 단위의 플로우를 기반으로 주소분산 뿐만 아니라 Session Seccess Rate도 측정된다. 앞에서 기술한 것처럼 웜의 경우, 역시 스캐닝 과정에서 정상적인 트래픽에 비해 세션성공률가 현저하게 떨어진다. 이러한 세션성공률를 측정하기 위해서는 세션 테이블(242)이 필요하다. TCP Session은 3-Way Handshaking 과정을 통해 연결이 설정되므로, 세션 추적을 통한 연결 설정 회수와 Duplicated SYN 패킷을 제외한 SYN 패킷의 개수를 비교하여 세션성공률를 측정한다. 단위 측정 시간 동안 세션성공률 이 정해진 Threshold를 넘으면 주소분산 값을 고려하여 상위 모듈로 결과가 Report 된다. In order to detect the Internet worm, not only the address distribution but also the session secrecy rate is measured based on the flow of <Source IP, Destination Port, Protocol>. As mentioned earlier, in the case of worms, session success rate is significantly lower than normal traffic during scanning. The session table 242 is needed to measure the session success rate. Since TCP Session is established through 3-Way Handshaking process, session success rate is measured by comparing the connection establishment count through session tracking and the number of SYN packets except Duplicated SYN packet. If the session success rate exceeds the specified threshold during the unit measurement time, the result is reported to the upper module considering the address dispersion value.

이외에 SYN Count, BBP, PPS는 설명을 생략하고, Stealth Scan Count에 대해 기술한다. 앞에서 예로 든 인터넷 웜의 경우를 다시 한번 생각해보자. 스캐닝 과정이 SYN 패킷을 이용한 SYN 스캐닝이라면 SYN Count 및 세션성공률를 측정하는 것으로 비정상 트래픽인 웜을 탐지할 수 있다. 그러나 SYN 스캐닝 이외의 FIN 패킷이나 ACK 패킷을 이용한 스캐닝 이라면 탐지할 수 없다. 따라서, 이러한 경우 Stealth Scan Count를 측정함으로써 비정상 트래픽을 탐지한다. 세션 추적을 통해 세션 테이블에는 3-Way Handshaking 과정을 거친 합법적인 연결만이 존재함으로, 세션 테이블 검색 시 엔트리가 존재하지 않으면 해당 플로우의 Stealth Scan Count를 증가시킨다.In addition, SYN Count, BBP, and PPS will not be described, and the Stealth Scan Count will be described. Consider the case of the Internet worm mentioned earlier. If the scanning process is SYN scanning using SYN packets, the worm, which is abnormal traffic, can be detected by measuring SYN Count and session success rate. However, it cannot be detected by scanning using FIN packet or ACK packet other than SYN scanning. Therefore, in this case, abnormal traffic is detected by measuring the Stealth Scan Count. Through session tracking, only the legitimate connection through 3-Way Handshaking process exists in the session table. If there is no entry in the session table search, the Stealth Scan Count of the flow is increased.

도 4는 플로우 테이블, 4-Tuple 테이블, 세션 테이블에 적용된 공통된 테이블 구조를 보여주고 있다. 제한된 하드웨어 리소스를 가지고 테이블 엔트리를 효율적으로 관리하기 위한 다중 해쉬 함수와 N-Way Set Associative 테이블 구조를 포함하는 것을 특징으로 한다.Figure 4 shows a common table structure applied to the flow table, 4-Tuple table, session table. It includes multiple hash functions and N-Way Set Associative table structure for efficiently managing table entries with limited hardware resources.

우선 서치키는 테이블마다 기본으로 하는 플로우 단위가 된다. 플로우 테이블은 인터넷 웜의 경우 <Source IP, Destination Port, Protocol>이 되고, DoS/DDoS의 경우 < Destination IP, Destination Port, Protocol>이 된다. 4-Tuple 테이블은 <Source IP, Destination IP, Destination Port, Protocol>이 되고, 세션 테이블은 <Source IP, Source Port, Destination IP, Destination Port, Protocol>이 된다. Hash Key 생성기(410)는 2중 해쉬 구조를 가지고 있다. 서치키 정보를 입력으로 받아 Hash1(x)(420)와 Hash2(x)(430) 함수를 이용하여 해당 테이블 엔트리(440)를 인덱스하고 관리한다. 여기서 사용되는 Hash1(x)(420)와 Hash2(x)(430) 함수는 XOR함수나 CRC 함수 등 임의의 적합한 함수일 수 있다. 첫 번째 해쉬 함수인 Hash1(x)는 보다 빠른 테이블 검색을 위해, Hash Collision을 허용하는 각각의 Hash Set을 포인트하는 인덱스를 생성하는데 사용된다. 두 번째 해쉬 함수인 Hash2(x)는 Hash1(x)에 의해 포인트 된 Hash Set 안에서 각각의 테이블 엔트리를 구별하는데 사용되는 Hash Address를 생성하는데 사용된다. 테이블의 각 Hash Set 안에는 N개의 엔트리를 포함할 수 있어, N-Way Set Associative 테이블 구조를 하고 있다. 여기서 각각의 테이블들은 처리속도 향상을 위하여 일반적으로 SRAM 위에서 설계되고 구현된다.First, the search key is a basic flow unit for each table. The flow table becomes <Source IP, Destination Port, Protocol> for Internet worms, and <Destination IP, Destination Port, Protocol> for DoS / DDoS. The 4-Tuple table becomes <Source IP, Destination IP, Destination Port, Protocol>, and the session table becomes <Source IP, Source Port, Destination IP, Destination Port, Protocol>. The hash key generator 410 has a double hash structure. The search key information is received as an input, and the corresponding table entry 440 is indexed and managed using the Hash1 (x) 420 and Hash2 (x) 430 functions. The Hash1 (x) 420 and Hash2 (x) 430 functions used herein may be any suitable functions such as an XOR function or a CRC function. The first hash function, Hash1 (x), is used to create an index that points to each Hash Set that allows Hash Collision for faster table searching. The second hash function, Hash2 (x), is used to generate a Hash Address that is used to distinguish each table entry in the Hash Set pointed to by Hash1 (x). Each hash set of the table can contain N entries, which is an N-Way Set Associative table structure. Here, each table is generally designed and implemented on SRAM to improve the processing speed.

도 5는 각각의 테이블 엔트리 필드를 보여준다. 여기서 Hash Address는 Hash Set 안에서 테이블 엔트리를 구별하기 위해 Hash2(x)(430) 함수에 의해서 생성된 주소이고, Time Stamp는 엔트리 관리를 위해 삽입 혹은 수정된 시간을 저장하기 위한 필드이다.5 shows each table entry field. Here, the Hash Address is an address generated by the Hash2 (x) 430 function to distinguish table entries in the Hash Set, and the Time Stamp is a field for storing time inserted or modified for entry management.

플로우 테이블(500)은 측정하고자 하는 트래픽 특성값들을 저장하기 위한 필드인 bps, pps, 주소분산, SYN Count, Session Success Count, Stealth Scan Count 등을 가지고 있다. 4-Tuple 테이블(510)은 주소분산을 측정하기 위한 것이므로 Time Stamp와 Hash Address 필드만 있으면 된다. 세션 테이블(520)은 Current State, Time Stamp, Hash Address를 포함하고 있다. Current State는 현재 해당 세션의 연결 상태 정보를 포함하고 있고, Time Stamp는 LRU(Least Recently Used) 알고리즘을 적용하여 세션 테이블이 Full이 되었을 때 어떤 세션 엔트리를 삭제할 것인가를 결정하는데 이용된다.The flow table 500 includes bps, pps, address distribution, SYN Count, Session Success Count, and Stealth Scan Count, which are fields for storing traffic characteristic values to be measured. Since the 4-Tuple table 510 is for measuring address dispersion, only the Time Stamp and Hash Address fields are required. The session table 520 includes a current state, a time stamp, and a hash address. The Current State contains connection state information of the current session, and the Time Stamp is used to determine which session entry is deleted when the session table becomes full by applying a Least Recently Used (LRU) algorithm.

도 6은 본 발명에 의한 하드웨어 기반 비정상 트래픽 탐지방법의 흐름이 도시된 순서도이다. 6 is a flowchart illustrating the flow of a hardware-based abnormal traffic detection method according to the present invention.

유입트래픽에서 IP 패킷을 추출하고 패킷 ID와 함께 비정상 트래픽 탐지기(230)로 전송하면(S100), IP 패킷 병합부(231)를 통해 De-fragmentation 과정을 거친 패킷(S110)은 패킷 파싱 과정을 통해 플로우 기반 트래픽을 측정할 수 있는 트래픽 측정 필드가 추출된다(S120). After extracting the IP packet from the inflow traffic and transmitting it to the abnormal traffic detector 230 along with the packet ID (S100), the packet S110 that has undergone the de-fragmentation process through the IP packet merger 231 passes through a packet parsing process. A traffic measurement field for measuring flow-based traffic is extracted (S120).

플로우 기반 트래픽 특성 측정부(233)는 플로우를 기반으로 주소분산이나 세션성공률과 같은 트래픽 특성을 측정(S130)하고, 비정상 탐지기(234)는 측정된 트래픽 특성을 이용하여 트래픽의 비정상 여부를 탐지한다(S140).The flow-based traffic characteristic measurement unit 233 measures traffic characteristics such as address distribution or session success rate based on the flow (S130), and the abnormality detector 234 detects whether the traffic is abnormal using the measured traffic characteristics. (S140).

도 7은 본 발명에 의한 하드웨어 기반 비정상 트래픽 탐지방법에 의해 비정상으로 측정된 패킷이 패턴매칭 엔진으로 전송하여 오용탐지 및 이상탐지의 정확도를 높일 수 있는 방법의 흐름이 도시된 도이다.7 is a flowchart illustrating a method of increasing an accuracy of misuse detection and abnormality detection by transmitting an abnormally measured packet to a pattern matching engine by a hardware-based abnormal traffic detection method according to the present invention.

도시된 바와 같이, 하드웨어 기반에서 비정상 트래픽으로 탐지된 패킷을 패턴매칭 엔진을 통해 시그니처 패턴 매칭여부를 탐지하고(S200), 그 결과를 소프트웨어 기반의 보안엔진으로 전송한다(S210). 이와 같이 함으로서 하드웨어 기반의 오용탐지 및 이상탐지가 가능할 뿐만 아니라, 하드웨어 및 소프트웨어 기반의 2중의 트래픽 탐지기술을 통해 침입탐지의 정확도를 높일 수 있는 효과가 있다. As shown, the packet is detected as abnormal traffic on the hardware based on the pattern matching engine to detect whether the signature pattern matching (S200), and transmits the result to the software-based security engine (S210). In this way, not only hardware-based misuse detection and abnormality detection are possible, but also hardware and software-based double traffic detection technology can increase the accuracy of intrusion detection.

본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD_ROM, 자기테이프 플로피디스크, 광 데이터 정장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함된다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The invention can also be embodied as computer readable code on a computer readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD_ROM, magnetic tape floppy disks, optical data suits, and the like, and may also be implemented in the form of carrier waves (for example, transmission over the Internet). The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.Although embodiments of the present invention have been described above with reference to the accompanying drawings, those skilled in the art to which the present invention pertains may implement the present invention in other specific forms without changing the technical spirit or essential features thereof. I can understand that. Therefore, it should be understood that the embodiments described above are exemplary in all respects and not restrictive.

도 1은 본 발명에 의한 하드웨어 기반 비정상 트래픽 탐지엔진이 탑재된 탐지장치가 장착된 시스템의 일반적인 구조도,1 is a general structural diagram of a system equipped with a detection apparatus equipped with a hardware-based abnormal traffic detection engine according to the present invention;

도 2는 본 발명에 의한 하드웨어 기반 비정상 트래픽 탐지엔지의 구조가 도시된 도,2 is a diagram illustrating a structure of a hardware-based abnormal traffic detection engine according to the present invention;

도 3은 비정상트래픽의 예를 도시한 도,3 is a diagram illustrating an example of abnormal traffic;

도 4는 도 5는 트래픽 특성 측정 및 비정상 탐지시 사용되는 메모리 테이블의 구조가 도시된 도,4 is a diagram illustrating a structure of a memory table used for traffic characteristic measurement and abnormal detection;

도 6과 도 7은 본 발명에 의한 하드웨어 기반 비정상 트래픽 탐지방법의 흐름이 도시된 순서도이다.6 and 7 are flowcharts illustrating the flow of a hardware-based abnormal traffic detection method according to the present invention.

Claims (14)

하드웨어 기반 비정상 트래픽 탐지방법에 관한 것으로,The hardware-based abnormal traffic detection method, 유입트래픽에서 IP 패킷을 추출하여 트래픽 측정을 위한 필드를 추출하는 과정;Extracting an IP packet from an inflow traffic and extracting a field for measuring a traffic; 상기 추출된 필드를 바탕으로 유입트래픽의 플로우 기반 트래픽 특성을 측정하는 과정; 및Measuring a flow-based traffic characteristic of the inflow traffic based on the extracted field; And 상기 측정된 특성을 각 특성별 임계치와 비교하여 상기 IP 패킷의 비정상여부를 탐지하여 소프트웨어 기반 보안엔진으로 전달하는 과정을 포함하는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지방법.And detecting the abnormality of the IP packet by comparing the measured characteristic with a threshold of each characteristic and transmitting the detected characteristic to the software-based security engine. 제 1 항에 있어서,The method of claim 1, 상기 필드 추출과정은 전송에 적합하도록 단편화된 IP 패킷을 병합하는 과정;The field extraction process includes merging fragmented IP packets to be suitable for transmission; 상기 병합된 IP 패킷에서 플로우 기반 트래픽 측정에 필요한 5-Tuple 정보와 TCP 플래그 정보를 추출하는 과정으로 이루어지는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지방법.And extracting 5-Tuple information and TCP flag information necessary for flow-based traffic measurement from the merged IP packet. 제 1 항에 있어서,The method of claim 1, 상기 트래픽 특성 측정과정은 주소분산값, 세션연결 성공률, SYN Count, Stealth Scan Count, BPS, PPS 중 적어도 하나를 포함하는 트래픽 특성을 측정하는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지방법.The traffic characteristic measurement process is a hardware-based abnormal traffic detection method characterized in that for measuring the traffic characteristics including at least one of the address distribution value, session connection success rate, SYN Count, Stealth Scan Count, BPS, PPS. 제 1 항에 있어서, The method of claim 1, 상기 하드웨어 기반 비정상 트래픽 탐지방법은 상기 트래픽 특성을 측정하기 위하여 유입트래픽에 대한 4-Tuple 정보가 저장된 4-Tuple 테이블, 세션 정보가 저장된 세션 테이블, 상기 측정하고자 하는 트래픽 특성값들에 관한 정보가 저장된 플로우 테이블을 생성하는 과정을 더 포함하는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지방법.The hardware-based abnormal traffic detection method includes a 4-Tuple table storing 4-Tuple information on incoming traffic, a session table storing session information, and information on the traffic characteristic values to measure the traffic characteristics. Hardware-based abnormal traffic detection method further comprising the step of generating a flow table. 제 4 항에 있어서,The method of claim 4, wherein 상기 트래픽 특성 측정과정은 트래픽 측정하고자 하는 IP 패킷의 플로우 단위에 따라 서로 다른 필드값을 입력값으로 하는 적어도 2개의 헤쉬함수를 이용하여 상기 테이블을 생성하는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지방법.The traffic characteristic measurement process is a hardware-based abnormal traffic detection method, characterized in that for generating the table using at least two hash functions having different field values as input values according to the flow unit of the IP packet to be measured. 제 5 항에 있어서,The method of claim 5, wherein 상기 IP 패킷의 4-Tuple 정보, 세션 정보, 트래픽 특성값들에 관한 정보는 상기 입력값에 대한 제1 헤쉬값을 행 주소값으로 하고, 상기 입력값에 대한 제2 헤쉬값을 열 주소값으로 하는 헤쉬테이블에 저장되는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지방법.4-Tuple information, session information, and traffic characteristic values of the IP packet include a first hash value for the input value as a row address value, and a second hash value for the input value as a column address value. Hardware-based abnormal traffic detection method characterized in that the stored in the hash table. 제 1 항에 있어서,The method of claim 1, 상기 하드웨어 기반 비정상 트래픽 탐지방법은 상기 트래픽 특성이 상기 임계치와 비교하여 비정상으로 탐지된 IP 패킷의 경우 시그니처 패턴 매칭을 통해 오용탐지를 수행하는 과정을 더 포함하는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지방법. The hardware-based abnormal traffic detection method further comprises performing a misuse detection through signature pattern matching in case of an IP packet whose traffic characteristics are abnormally detected by comparing with the threshold value. . 제 1 항에 있어서,The method of claim 1, 상기 하드웨어 기반 비정상 트래픽 탐지방법은 상기 비정상 트래픽 탐지 알고리즘이 탐재된 하드웨어의 망환경에 따라 상기 트래픽 특성과 비교할 임계치를 조정하는 과정을 더 포함하는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지방법.The hardware-based abnormal traffic detection method further comprises adjusting a threshold to be compared with the traffic characteristics according to the network environment of the hardware in which the abnormal traffic detection algorithm is detected. 하드웨어 기반 비정상 트래픽 탐지엔진에 관한 것으로,Hardware-based abnormal traffic detection engine, 유입트래픽에서 IP 패킷을 추출하는 IP 패킷 추출부;An IP packet extracting unit extracting an IP packet from an inflow traffic; 상기 추출된 IP 패킷의 플로우를 기반으로 한 트래픽 특성 테이블을 생성하고 관리하는 테이블 매니저; 및A table manager for generating and managing a traffic characteristic table based on the flow of the extracted IP packet; And 상기 IP 패킷에서 트래픽 측정을 위한 필드를 추출하고, 측정하고자 하는 IP 패킷의 플로우 단위에 따라 서로 다른 필드값을 입력값으로 하여 상기 트래픽 특성 테이블을 호출하고, 호출된 값과 임계치를 비교하여 상기 IP 패킷이 비정상 트래픽인지 탐지하는 비정상 트래픽 탐지기를 포함하는 하드웨어 기반 비정상 트래픽 탐지엔진이 탑재된 탐지장치.Extracting a field for traffic measurement from the IP packet, calling the traffic characteristic table with a different field value as an input value according to the flow unit of the IP packet to be measured, and comparing the called value with a threshold to the IP A detection device with a hardware-based abnormal traffic detection engine including an abnormal traffic detector for detecting whether a packet is abnormal traffic. 제 9 항에 있어서,The method of claim 9, 상기 비정상 트래픽 탐지기는 전송에 적합하도록 단편화된 IP 패킷이 상기 IP 패킷 추출부에서 추출되면 병합하는 IP 패킷 병합부;The abnormal traffic detector may include: an IP packet merging unit for merging when an IP packet fragmented to be suitable for transmission is extracted from the IP packet extracting unit; 상기 IP 패킷 병합부에서 병합된 IP 패킷을 파싱하여 트래픽 특성 측정에 적합한 필드를 추출하는 패킷 파싱부;A packet parser configured to parse IP packets merged by the IP packet merger and extract a field suitable for measuring a traffic characteristic; 상기 패킷 파싱부에서 추출된 필드값을 바탕으로 상기 테이블 매니저에 저장된 플로우 기반 트래픽 특성을 호출하여 상기 IP 패킷의 트래픽 특성을 측정하는 플로우 기반 트래픽 측정부;A flow-based traffic measuring unit for calling the flow-based traffic characteristics stored in the table manager based on the field values extracted by the packet parsing unit to measure the traffic characteristics of the IP packet; 상기 호출된 트래픽 특성을 임계값과 비교하여 비정상여부를 탐지하는 비정상 탐지부로 구성되는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지엔진이 탑재된 탐지장치.And an abnormality detection unit configured to detect an abnormality by comparing the called traffic characteristic with a threshold value. 제 9 항에 있어서,The method of claim 9, 상기 트래픽 매니저는 유입트래픽에 대한 4-Tuple 정보가 저장된 4-Tuple 테이블, 세션 정보가 저장된 세션 테이블, 상기 측정하고자 하는 트래픽 특성값들에 관한 정보가 저장된 플로우 테이블을 생성하여 관리하는 것을 특징으로 하는 하드 웨어 기반 비정상 트래픽 탐지엔진이 탑재된 탐지장치.The traffic manager generates and manages a 4-Tuple table in which 4-Tuple information on inflow traffic is stored, a session table in which session information is stored, and a flow table in which information on the traffic characteristic values to be measured is stored. Beacon with hardware-based anomaly traffic detection engine. 제 11 항에 있어서,The method of claim 11, 상기 트래픽 매니저는 트래픽 측정하고자 하는 IP 패킷의 플로우 단위에 따라 서로 다른 필드값을 입력값으로 하는 적어도 2개의 헤쉬함수를 이용하여 상기 테이블을 생성하는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지엔진이 탑재된 탐지장치.The traffic manager generates the table using at least two hash functions having different field values as input values according to the flow unit of the IP packet to measure traffic. Detector. 제 12 항에 있어서,The method of claim 12, 상기 IP 패킷의 4-Tuple 정보, 세션 정보, 트래픽 특성값에 관한 정보는 상기 입력값에 대한 제1 헤쉬값을 행 주소값으로 하고, 상기 입력값에 대한 제2 헤쉬값을 열 주소값으로 하는 헤쉬테이블에 저장되는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지엔진이 탑재된 탐지장치.4-Tuple information, session information, and traffic characteristic values of the IP packet include a first hash value for the input value as a row address value, and a second hash value for the input value as a column address value. Detection device equipped with a hardware-based abnormal traffic detection engine, characterized in that stored in the hash table. 제 9 항에 있어서,The method of claim 9, 상기 하드웨어 기반 비정상 트래픽 탐지엔진이 탑재된 탐지장치는 상기 비정상 트래픽 탐지기에서 비정상으로 탐지된 IP 패킷에 대해 시그니처 패턴 매칭을 수행하는 패턴매칭 엔진을 더 포함하는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지엔진이 탑재된 탐지장치.The detection apparatus equipped with the hardware-based abnormal traffic detection engine may further include a pattern matching engine configured to perform signature pattern matching on the IP packet detected abnormally by the abnormal traffic detector. Onboard detector.
KR1020070132804A 2007-12-17 2007-12-17 Hardware Based Method and System for High Performance Abnormal Traffic Detection KR100960119B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070132804A KR100960119B1 (en) 2007-12-17 2007-12-17 Hardware Based Method and System for High Performance Abnormal Traffic Detection

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070132804A KR100960119B1 (en) 2007-12-17 2007-12-17 Hardware Based Method and System for High Performance Abnormal Traffic Detection

Publications (2)

Publication Number Publication Date
KR20090065313A true KR20090065313A (en) 2009-06-22
KR100960119B1 KR100960119B1 (en) 2010-05-27

Family

ID=40993692

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070132804A KR100960119B1 (en) 2007-12-17 2007-12-17 Hardware Based Method and System for High Performance Abnormal Traffic Detection

Country Status (1)

Country Link
KR (1) KR100960119B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101219796B1 (en) * 2009-10-07 2013-01-09 한국전자통신연구원 Apparatus and Method for protecting DDoS
KR101253615B1 (en) * 2011-10-31 2013-04-11 한국인터넷진흥원 Security system on 3g wcdma networks
KR101357522B1 (en) * 2013-01-08 2014-02-04 주식회사 엘지유플러스 Apparatus and method for controlling packet traffic

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100728446B1 (en) * 2005-07-21 2007-06-13 엘지엔시스(주) Hardware based intruding protection device, system and method

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101219796B1 (en) * 2009-10-07 2013-01-09 한국전자통신연구원 Apparatus and Method for protecting DDoS
KR101253615B1 (en) * 2011-10-31 2013-04-11 한국인터넷진흥원 Security system on 3g wcdma networks
KR101357522B1 (en) * 2013-01-08 2014-02-04 주식회사 엘지유플러스 Apparatus and method for controlling packet traffic

Also Published As

Publication number Publication date
KR100960119B1 (en) 2010-05-27

Similar Documents

Publication Publication Date Title
Blaise et al. Detection of zero-day attacks: An unsupervised port-based approach
Geravand et al. Bloom filter applications in network security: A state-of-the-art survey
US7328349B2 (en) Hash-based systems and methods for detecting, preventing, and tracing network worms and viruses
US20100205672A1 (en) Hash-based systems and methods for detecting, preventing, and tracing network worms and viruses
CN105721442A (en) Spurious response system and method based on dynamic variation and network security system and method
KR101219796B1 (en) Apparatus and Method for protecting DDoS
KR100684602B1 (en) Corresponding system for invasion on scenario basis using state-transfer of session and method thereof
US10440035B2 (en) Identifying malicious communication channels in network traffic by generating data based on adaptive sampling
Cai et al. ADAM: an adaptive DDoS attack mitigation scheme in software-defined cyber-physical system
CN113114694A (en) DDoS attack detection method oriented to high-speed network packet sampling data acquisition scene
Mohan et al. Complex event processing based hybrid intrusion detection system
JP2008507222A (en) Method, system and computer program for detecting unauthorized scanning on a network
KR100960119B1 (en) Hardware Based Method and System for High Performance Abnormal Traffic Detection
Gao et al. Defense against software-defined network topology poisoning attacks
Blaise et al. Split-and-Merge: detecting unknown botnets
CN113132335A (en) Virtual transformation system and method, network security system and method
KR100803029B1 (en) Method for cooperatively defending of ddos attack using statistical detection
Nie et al. Intrusion detection using a graphical fingerprint model
Zhang et al. Analysis of payload based application level network anomaly detection
Xi Research and application of ARP protocol vulnerability attack and defense technology based on trusted network
Alaidaros et al. From Packet-based Towards Hybrid Packet-based and Flow-based Monitoring for Efficient Intrusion Detection: An overview
US11997133B2 (en) Algorithmically detecting malicious packets in DDoS attacks
Kim et al. Multihash based pattern matching mechanism for high-performance intrusion detection
Wei et al. An early stage detecting method against SYN flooding attack
Moon et al. A Multi-resolution Port Scan Detection Technique for High-speed Networks.

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130424

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140430

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150427

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee