KR20090065313A - Hardware based method and system for high performance abnormal traffic detection - Google Patents
Hardware based method and system for high performance abnormal traffic detection Download PDFInfo
- Publication number
- KR20090065313A KR20090065313A KR1020070132804A KR20070132804A KR20090065313A KR 20090065313 A KR20090065313 A KR 20090065313A KR 1020070132804 A KR1020070132804 A KR 1020070132804A KR 20070132804 A KR20070132804 A KR 20070132804A KR 20090065313 A KR20090065313 A KR 20090065313A
- Authority
- KR
- South Korea
- Prior art keywords
- traffic
- packet
- hardware
- detection
- characteristic
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 네트워크 보안 시스템의 침입탐지 기술에 관한 것이다. 네트워크 기반 침입탐지 기술은 크게 오용탐지(Misuse Detection)과 이상탐지(Anomaly Detection) 기술로 나뉜다. 오용탐지 기술은 이미 발견되고 정립된 공격 패턴을 시그니처로 가지고 있으면서 입력되는 패킷과 비교하여 침입을 탐지하는 패턴 매칭 기법을 주로 사용하고, 이상탐지 기술은 정상적이고 평균적인 상태를 기준으로 하여, 이에 상대적으로 급격한 변화를 일으키거나 확률이 낮은 일이 발생할 경우 침입을 탐지하는 행위적이고 통계적인 기법을 주로 사용한다.The present invention relates to an intrusion detection technique of a network security system. Network-based intrusion detection technology is largely divided into misuse detection and abnormal detection technology. Misuse detection technology mainly uses pattern matching techniques to detect intrusions by comparing incoming packets with signatures of already found and established attack patterns. As a result, behavioral and statistical techniques are used to detect intrusions when sudden changes or low probability events occur.
본 발명은 이상탐지 기법을 사용하여 침입을 탐지 하는 것으로, 특히 네트워크 선로속도(Wire-Speed)의 실시간 처리 능력을 보장하는 하드웨어 기반의 고성능 비정상 트래픽 탐지 기술에 관한 것이다.The present invention relates to detecting intrusion using an abnormality detection technique, and more particularly, to a hardware-based high performance abnormal traffic detection technology that guarantees a real-time processing capability of network wire speed.
본 발명은 정보통신부 및 정보통신연구진흥원의 IP성장동력 기술개발로 수행한 연구로부터 도출된 것이다[과제관리번호: 2006-S-042-02, 과제명: Network 위협의 Zero-Day Attack 대응을 위한 실시간 공격 시그니처 생성 및 관리 기술개발].The present invention is derived from the research conducted by the Ministry of Information and Communication and the Institute of Information and Communications Research and Development for IP growth engine technology. [Task Management Number: 2006-S-042-02, Title: Real time attack signature generation and management technology development].
기존의 이상탐지 기법들은 대부분 플로우 기반의 트래픽 특성들을 추출하여 단위 시간 당 해당 값들을 측정하고, 이를 기반으로 프로파일(profile)을 생성하여, 특정 임계치(Threshold)를 넘었을 경우 혹은 프로파일에서 크게 벗어나는 경우 비정상 트래픽으로 탐지한다. Existing anomaly detection techniques mostly extract flow-based traffic characteristics and measure the corresponding values per unit time, create a profile based on this, and when exceeding a certain threshold or greatly deviating from the profile Detect as abnormal traffic.
그러나 실시간 탐지를 위하여 오용탐지 기법에서 사용하는 하드웨어 기반 기술을 사용하지 않고, 대부분 소프트웨어적인 기법을 사용하고 있다. 오용탐지 기법은 이미 활발한 연구가 이루어져 병렬 블룸 필터(Parallel Bloom Filter)와 같은 훌륭한 해결책들이 개발되어 상용화된 상태이지만, 이상탐지 기법은 제한된 하드웨어 리소스를 가지고 기능을 구현하기가 어려워 대부분 소프트웨어 기반으로 되어 있다. 현존하는 대부분의 네트워크 침입탐지 시스템은 상호 보완적인 오용탐지 기법과 이상탐지 기법을 병용하여 채택함으로써 탐지율을 높이고 있다. 즉 하드웨어 기반의 패턴매칭 엔진을 통해 실시간 침입탐지 기능을 수행하고, 소프트웨어 기반의 이상탐지 모듈을 통해 패턴매칭으로 탐지할 수 없었던 인터넷 웜, DoS/DDoS 등의 동적 공격을 탐지하도록 보완하는 구조를 가지고 있다.However, for real-time detection, most of the software techniques are used instead of the hardware-based technique used in the misuse detection technique. Misuse detection techniques have already been actively studied and excellent solutions such as Parallel Bloom Filter have been developed and commercialized. However, fault detection techniques are mostly software based due to the difficulty of implementing functions with limited hardware resources. . Most existing network intrusion detection systems increase detection rates by adopting complementary misuse detection and abnormality detection. In other words, it performs a real-time intrusion detection function through a hardware-based pattern matching engine and complements to detect dynamic attacks such as Internet worms and DoS / DDoS that could not be detected by pattern matching through a software-based abnormal detection module. have.
그러나 이와 같은 종래의 침입탐지 시스템에 채택된 소프트웨어 기반의 이상탐지 모듈은 처리 성능이 매우 제한적이므로 선로속도(Wire-Speed)로 실시간 처리가 사실상 불가능하고, 이를 해결하기 위해 샘플링(Sampling) 등의 방법을 사용하여 트래픽을 측정하므로 정확도면에서 상당히 떨어지고 있는 실정이다. 또한 갈수록 대용량화 되어가는 기가비트 네트워크 환경으로의 진화는 소프트웨어 기반의 솔 루션으로는 처리속도의 한계를 뛰어넘기가 더욱 힘든 상황으로 만들고 있다. However, since the software-based fault detection module adopted in the conventional intrusion detection system has very limited processing performance, real-time processing at wire speed is virtually impossible, and in order to solve this problem, a sampling method, etc. Since traffic is measured using, the accuracy is falling considerably. In addition, the evolution to the increasingly large gigabit network environment is making software-based solutions more difficult to overcome the limitations of processing speed.
트래픽 양의 증가에 따른 엄청난 수의 플로우를 관리하면서 실시간 침입탐지 기능을 수행하기 위해서는 반드시 하드웨어 기반의 솔루션의 개발이 선행되어야 한다. 그러나 속로속도를 보장하면서 실시간으로 모든 패킷의 전수검사를 통한 트래픽 측정 및 비정상 트래픽 탐지는 제한된 하드웨어 리소스를 가지고 구현하기에는 기술적인 어려움으로 인해 거의 솔루션이 없는 실정이다.In order to perform a real-time intrusion detection function while managing a huge number of flows as the traffic volume increases, hardware-based solution must be developed first. However, traffic measurement and abnormal traffic detection through full inspection of all packets in real time while guaranteeing the speed are almost impossible due to technical difficulties to implement with limited hardware resources.
본 발명은 전술한 종래기술의 문제점을 해결하기 위하여, 이상탐지 기법을 적용한 하드웨어 기반의 고성능 비정상 트래픽 탐지 기법 및 장치를 제공하는 데 그 목적이 있다. 기가비트 네트워크 환경에서 속로속도를 보장하면서 실시간으로 플로우 기반의 트래픽 전수 검사를 통한 주소분산(Address Dispersion), 세션성공률(Session Success Rate), BPS(Bits per Second), PPS(Packets per Second) 등을 측정하여 비정상 트래픽을 탐지할 수 있게 하여, 패턴매칭 기법으로 탐지하기 어려운 인터넷 웜, DoS/DDoS 등의 공격을 탐지할 수 있도록 한다.SUMMARY OF THE INVENTION The present invention has been made in an effort to provide a hardware-based high performance abnormal traffic detection technique and apparatus to which an abnormality detection technique is applied in order to solve the above-described problems of the related art. Measures address dispersion, session success rate, bits per second, packets per second (PPS) through full flow-based traffic inspection in real time while guaranteeing the speed in Gigabit network environment By detecting abnormal traffic, it is possible to detect attacks such as Internet worms and DoS / DDoS, which are difficult to detect by pattern matching techniques.
본 발명은 하드웨어 기반 비정상 트래픽 탐지방법에 관한 것으로, 유입트래픽에서 IP 패킷을 추출하여 트래픽 측정을 위한 필드를 추출하는 과정, 상기 추출된 필드를 바탕으로 유입트래픽의 플로우 기반 트래픽 특성을 측정하는 과정, 및 상기 측정된 특성을 각 특성별 임계치와 비교하여 상기 IP 패킷의 비정상여부를 탐 지하여 소프트웨어 기반 보안엔진으로 전달하는 과정을 포함한다.The present invention relates to a hardware-based abnormal traffic detection method, the process of extracting the IP packet from the incoming traffic to extract the field for traffic measurement, the process of measuring the flow-based traffic characteristics of the incoming traffic based on the extracted field, And detecting the abnormality of the IP packet by comparing the measured characteristic with a threshold for each characteristic and delivering the abnormality to the software-based security engine.
또한, 본 발명은 하드웨어 기반 비정상 트래픽 탐지엔진에 관한 것으로, 유입트래픽에서 IP 패킷을 추출하는 IP 패킷 추출부, 상기 추출된 IP 패킷의 플로우를 기반으로 한 트래픽 특성 테이블을 생성하고 관리하는 테이블 매니저, 및 상기 IP 패킷에서 트래픽 측정을 위한 필드를 추출하고, 측정하고자 하는 IP 패킷의 플로우 단위에 따라 서로 다른 필드값을 입력값으로 하여 상기 트래픽 특성 테이블을 호출하고, 호출된 값과 임계치를 비교하여 상기 IP 패킷이 비정상 트래픽인지 탐지하는 비정상 트래픽 탐지기를 포함한다.The present invention also relates to a hardware-based abnormal traffic detection engine, comprising: an IP packet extractor extracting an IP packet from an inflow traffic, a table manager for generating and managing a traffic characteristic table based on the flow of the extracted IP packet; And extracting a field for measuring traffic from the IP packet, calling the traffic characteristic table with different field values as input values according to the flow unit of the IP packet to be measured, and comparing the called value with a threshold. An abnormal traffic detector for detecting whether an IP packet is abnormal traffic.
본 발명의 구성에 따르면, 기존의 침입탐지 장치에서 일반적으로 적용되던 소프트웨어 방식의 이상탐지 기법을 하드웨어 기반으로 설계 및 구현 가능하게 하여 처리속도를 현저히 증가시킬 수 있다. 따라서 최근 보편화되고 있는 기가비트 네트워크 환경에서 선로속도의 실시간 탐지를 보장하는 고성능 비정상 트래픽 탐지 기능을 수행하는데 도움을 주어 침입탐지 장치의 보안성을 한층 강화할 수 있다.According to the configuration of the present invention, it is possible to design and implement a software-based abnormality detection technique that is generally applied in the conventional intrusion detection apparatus based on hardware to significantly increase the processing speed. Therefore, it is possible to further enhance the security of the intrusion detection device by helping to perform a high performance abnormal traffic detection function that guarantees the real-time detection of the line speed in the Gigabit network environment that is becoming more common.
기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.Specific details of other embodiments are included in the detailed description and the drawings.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태 로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Advantages and features of the present invention and methods for achieving them will be apparent with reference to the embodiments described below in detail with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but can be implemented in various different forms, only the embodiments are to make the disclosure of the present invention complete, the general knowledge in the art to which the present invention belongs It is provided to fully inform the person having the scope of the invention, which is defined only by the scope of the claims. Like reference numerals refer to like elements throughout.
이하, 첨부된 도면을 참조하여 본 발명의 하드웨어 기반 고성능 비정상 트래픽 탐지 기법 및 장치를 좀 더 상세히 설명하면 다음과 같다.Hereinafter, a hardware-based high performance abnormal traffic detection technique and apparatus will be described in more detail with reference to the accompanying drawings.
도 1은 본 발명의 비정상 트래픽 탐지 엔진이 적용된 시스템의 구조도이다. 패킷의 입출력 인터페이스인 PHY(100)로부터 네트워크 패킷이 인입되면, 우선 하드웨어 기반 보안 엔진(110)에서 침입을 탐지하고 그 결과를 PCI(140)를 통해 소프트웨어 기반 보안 엔진(150)으로 전달한다. 기존의 대부분 상용 제품들은 하드웨어 기반 보안 엔진에 패턴매칭 엔진(120)만이 위치하여 기능을 수행하고, 비정상 탐지 엔진(130)은 소프트웨어 기반 보안 엔진에 위치하여 근본적으로 처리 속도의 한계를 가지고 있다. 그러나 본 발명에서는 이러한 문제점을 해결하기 위해 비정상 탐지 엔진(130)도 하드웨어 기반 보안 엔진 위에 위치 시킴으로써 선로속도를 보장하면서 실시간 비정상 트래픽 탐지 기능을 수행할 수 있게 하고 있다.1 is a structural diagram of a system to which an abnormal traffic detection engine of the present invention is applied. When a network packet is introduced from the PHY 100, which is an input / output interface of the packet, the hardware-based
소프트웨어 기반 보안 엔진(150)은 PCI(140)를 통해 입력된 데이터를 S/W 매니저(170)로 전달하고, S/W 매니저(170)는 네트워크 환경에 따라 적합한 정책 및 측정 트래픽 특성의 임계치 값을 알맞게 설정한다.The software-based
도 2는 본 발명에 따른 하드웨어 기반 비정상 트래픽 탐지엔진이 탑재된 탐지장치의 기능별 내부 블록도이다. 네트워크 패킷은 시스템 입출력 인터페이스인 PHY(200)을 통해 유입되고, 또 다음 단으로 전송된다. IP패킷 추출부인 PL3 인터페이스(210)는 물리계층 인터페이스 규격인 PL3(Packet of SONET Level 3)를 통해 수신되는 2 계층 이더넷 프레임을 인식하고 IP 패킷을 추출하여 상위 내부블록으로 전달한다. 이때, 각각의 패킷을 구별하기 위해 패킷마다 Packet ID를 생성하여 같이 전달하여 준다. 이것은 패킷당 대응을 필요로 할 때 아주 유용하다. 전달된 IP 패킷은 기본적으로 비정상 트래픽 탐지기(230)의 IP패킷 병합부(231)을 통해 De-fragmentation 과정을 거쳐 패킷 파싱이 이루어진다. 패킷 파싱부(232)는 이 과정을 통해 플로우 기반 트래픽 측정에 필요한 필드들을 추출해낸다. 기본적으로 플로우 관리에 필요한 5-Tuple(Source IP, Destination IP, Source Port, Destination Port, Protocol) 정보와 TCP 플래그 정보 등이 추출된다. 이렇게 추출된 정보를 바탕으로 플로우 기반 트래픽 측정부(233)를 통해 플로우 기반 트래픽 측정이 이루어지며, 비정상 탐지부(234)의 탐지결과 단위 시간당 특정 임계치를 넘으면 비정상 트래픽으로 탐지된다. 2 is an internal block diagram for each function of a detection apparatus equipped with a hardware-based abnormal traffic detection engine according to the present invention. The network packet is introduced through the
여기서 측정되는 트래픽 특성은 주소분산, 세션성공률, SYN Count, Stealth Scan Count, BPS, PPS 등이며, 실시간으로 처리되어 비정상 유무의 판단에 이용된다. 탐지된 결과는 리포트 인터페이스(250)를 통해 PCI(260)를 거쳐 S/W 매니저(270)로 전달된다. S/W 매니저(270)는 네트워크 환경에 따라 적합한 정책 및 측정 트래픽 특성의 임계치 값을 알맞게 설정하기 위해 컨피규레이션(Configuration) 인터페이스(280)를 이용한다. 플로우 기반으로 트래픽을 측정하기 위하여 테이블 매니저(240)는 세 개의 테이블인 4-Tuple 테이블, 세션 테이블, 플로우 테이블에 해당 트래픽 특성값을 저장하여 관리한다.The traffic characteristics measured here are address dispersion, session success rate, SYN Count, Stealth Scan Count, BPS, PPS, etc. and are processed in real time and used to determine abnormality. The detected result is transmitted to the S /
여기서, 상기 S/W 매니저를 제외한 모든 모듈은 FPGA 혹은 ASIC과 같은 하드웨어와 SRAM과 같은 메모리 장치로 구현될 수 있다.Here, all modules except the S / W manager may be implemented as hardware such as an FPGA or an ASIC and a memory device such as an SRAM.
도 3은 본 발명에서 탐지하고자 하는 비정상 트래픽의 예를 보인것이다. 크게 인터넷 웜(300)과 DoS/DDoS(310)로 분류할 수 있는데, 인터넷 웜은 일반적으로 전파 대상을 찾기 위해 하나의 Source IP에서 다수의 Destination IP로 스캔을 시도하고, DoS/DDoS 공격은 다수의 Source IP에서 하나의 Destination IP로 대량의 트래픽을 전송한다. 위와 같은 트래픽의 특성상 인터넷 웜을 탐지하기 위해 관리되는 플로우의 단위는 <Source IP, Destination Port, Protocol>로 구성되며, DoS/DDoS를 탐지하기 위해 관리되는 플로우 단위는 <Destination IP, Destination Port, Protocol>로 구성된다. 일단, 인터넷 웜이든 DoS/DDoS든 공격이 시도되면, 플로우 단위로 측정되는 주소분산, 세션성공률, SYN Count, Stealth Scan Count, BPS, PPS 등의 값들이 정상 트래픽들과는 현저한 차이를 보이게 될 것이고, 비정상 트래픽 탐지기(230)에서 이를 탐지하게 된다.3 shows an example of abnormal traffic to be detected in the present invention.
표 1은 플로우 단위로 측정되는 트래픽 특성값에 대한 설명이다. 이하, 각각의 트래픽 특성값들에 대한 이해를 돕기 위해 비정상 트래픽 중 인터넷 웜을 실시예로 들어 설명한다. 인터넷 웜을 탐지하기 위해 <Source IP, Destination Port, Protocol> 단위의 플로우를 기반으로 주소분산을 측정한다. 일반적으로 인터넷 웜은 Attack Code를 전파하기 전에 스캐닝 단계를 거친다. 웜의 스캐닝 과정에서 주소분산은 정상적인 트래픽에 비해 상대적으로 굉장히 높아진다. 이러한 비정상 트래픽을 탐지하기 위해 주소분산을 측정한다. 테이블 매니저(240)는 주소분산을 측정하기 위해 <Source IP, Destination Port, Protocol> 기반의 플로우 테이블(243) 이외의 <Source IP, Destination IP, Destination Port, Protocol> 기반의 4-Tuple 테이블(241)을 관리한다. Table 1 is a description of traffic characteristic values measured in units of flows. Hereinafter, an Internet worm among abnormal traffic will be described as an example to help understand the respective traffic characteristic values. In order to detect Internet worms, address distribution is measured based on the flow in the unit of <Source IP, Destination Port, Protocol>. In general, Internet worms go through a scanning step before they spread the attack code. In the scanning process of worms, address distribution is much higher than normal traffic. In order to detect such abnormal traffic, address distribution is measured.
패킷이 입력되면 플로우 테이블과 4-Tuple 테이블을 검색하여 서로 비교함으로써 주소분산을 측정하는데, 그 정의에 의해서 두 테이블 검색 결과, 플로우 테이블에 엔트리가 존재하고 4-Tuple 테이블에 엔트리가 존재하지 않을 때만 주소분산이 증가하게 된다. 도 3의 인터넷 웜의 예에서 주소분산은 6이 된다. 단위 측정 시간 동안 주소분산이 정해진 임계치를 넘으면 다른 특성값을 고려하여 상위 모듈로 결과가 Report 된다.When a packet is input, address distribution is measured by searching the flow table and 4-Tuple table and comparing them with each other. Address distribution will increase. In the example of the Internet worm of Fig. 3, the address distribution is six. If the address distribution exceeds the specified threshold during the unit measurement time, the result is reported to the upper module considering other characteristic values.
인터넷 웜을 탐지하기 위해 <Source IP, Destination Port, Protocol> 단위의 플로우를 기반으로 주소분산 뿐만 아니라 Session Seccess Rate도 측정된다. 앞에서 기술한 것처럼 웜의 경우, 역시 스캐닝 과정에서 정상적인 트래픽에 비해 세션성공률가 현저하게 떨어진다. 이러한 세션성공률를 측정하기 위해서는 세션 테이블(242)이 필요하다. TCP Session은 3-Way Handshaking 과정을 통해 연결이 설정되므로, 세션 추적을 통한 연결 설정 회수와 Duplicated SYN 패킷을 제외한 SYN 패킷의 개수를 비교하여 세션성공률를 측정한다. 단위 측정 시간 동안 세션성공률 이 정해진 Threshold를 넘으면 주소분산 값을 고려하여 상위 모듈로 결과가 Report 된다. In order to detect the Internet worm, not only the address distribution but also the session secrecy rate is measured based on the flow of <Source IP, Destination Port, Protocol>. As mentioned earlier, in the case of worms, session success rate is significantly lower than normal traffic during scanning. The session table 242 is needed to measure the session success rate. Since TCP Session is established through 3-Way Handshaking process, session success rate is measured by comparing the connection establishment count through session tracking and the number of SYN packets except Duplicated SYN packet. If the session success rate exceeds the specified threshold during the unit measurement time, the result is reported to the upper module considering the address dispersion value.
이외에 SYN Count, BBP, PPS는 설명을 생략하고, Stealth Scan Count에 대해 기술한다. 앞에서 예로 든 인터넷 웜의 경우를 다시 한번 생각해보자. 스캐닝 과정이 SYN 패킷을 이용한 SYN 스캐닝이라면 SYN Count 및 세션성공률를 측정하는 것으로 비정상 트래픽인 웜을 탐지할 수 있다. 그러나 SYN 스캐닝 이외의 FIN 패킷이나 ACK 패킷을 이용한 스캐닝 이라면 탐지할 수 없다. 따라서, 이러한 경우 Stealth Scan Count를 측정함으로써 비정상 트래픽을 탐지한다. 세션 추적을 통해 세션 테이블에는 3-Way Handshaking 과정을 거친 합법적인 연결만이 존재함으로, 세션 테이블 검색 시 엔트리가 존재하지 않으면 해당 플로우의 Stealth Scan Count를 증가시킨다.In addition, SYN Count, BBP, and PPS will not be described, and the Stealth Scan Count will be described. Consider the case of the Internet worm mentioned earlier. If the scanning process is SYN scanning using SYN packets, the worm, which is abnormal traffic, can be detected by measuring SYN Count and session success rate. However, it cannot be detected by scanning using FIN packet or ACK packet other than SYN scanning. Therefore, in this case, abnormal traffic is detected by measuring the Stealth Scan Count. Through session tracking, only the legitimate connection through 3-Way Handshaking process exists in the session table. If there is no entry in the session table search, the Stealth Scan Count of the flow is increased.
도 4는 플로우 테이블, 4-Tuple 테이블, 세션 테이블에 적용된 공통된 테이블 구조를 보여주고 있다. 제한된 하드웨어 리소스를 가지고 테이블 엔트리를 효율적으로 관리하기 위한 다중 해쉬 함수와 N-Way Set Associative 테이블 구조를 포함하는 것을 특징으로 한다.Figure 4 shows a common table structure applied to the flow table, 4-Tuple table, session table. It includes multiple hash functions and N-Way Set Associative table structure for efficiently managing table entries with limited hardware resources.
우선 서치키는 테이블마다 기본으로 하는 플로우 단위가 된다. 플로우 테이블은 인터넷 웜의 경우 <Source IP, Destination Port, Protocol>이 되고, DoS/DDoS의 경우 < Destination IP, Destination Port, Protocol>이 된다. 4-Tuple 테이블은 <Source IP, Destination IP, Destination Port, Protocol>이 되고, 세션 테이블은 <Source IP, Source Port, Destination IP, Destination Port, Protocol>이 된다. Hash Key 생성기(410)는 2중 해쉬 구조를 가지고 있다. 서치키 정보를 입력으로 받아 Hash1(x)(420)와 Hash2(x)(430) 함수를 이용하여 해당 테이블 엔트리(440)를 인덱스하고 관리한다. 여기서 사용되는 Hash1(x)(420)와 Hash2(x)(430) 함수는 XOR함수나 CRC 함수 등 임의의 적합한 함수일 수 있다. 첫 번째 해쉬 함수인 Hash1(x)는 보다 빠른 테이블 검색을 위해, Hash Collision을 허용하는 각각의 Hash Set을 포인트하는 인덱스를 생성하는데 사용된다. 두 번째 해쉬 함수인 Hash2(x)는 Hash1(x)에 의해 포인트 된 Hash Set 안에서 각각의 테이블 엔트리를 구별하는데 사용되는 Hash Address를 생성하는데 사용된다. 테이블의 각 Hash Set 안에는 N개의 엔트리를 포함할 수 있어, N-Way Set Associative 테이블 구조를 하고 있다. 여기서 각각의 테이블들은 처리속도 향상을 위하여 일반적으로 SRAM 위에서 설계되고 구현된다.First, the search key is a basic flow unit for each table. The flow table becomes <Source IP, Destination Port, Protocol> for Internet worms, and <Destination IP, Destination Port, Protocol> for DoS / DDoS. The 4-Tuple table becomes <Source IP, Destination IP, Destination Port, Protocol>, and the session table becomes <Source IP, Source Port, Destination IP, Destination Port, Protocol>. The
도 5는 각각의 테이블 엔트리 필드를 보여준다. 여기서 Hash Address는 Hash Set 안에서 테이블 엔트리를 구별하기 위해 Hash2(x)(430) 함수에 의해서 생성된 주소이고, Time Stamp는 엔트리 관리를 위해 삽입 혹은 수정된 시간을 저장하기 위한 필드이다.5 shows each table entry field. Here, the Hash Address is an address generated by the Hash2 (x) 430 function to distinguish table entries in the Hash Set, and the Time Stamp is a field for storing time inserted or modified for entry management.
플로우 테이블(500)은 측정하고자 하는 트래픽 특성값들을 저장하기 위한 필드인 bps, pps, 주소분산, SYN Count, Session Success Count, Stealth Scan Count 등을 가지고 있다. 4-Tuple 테이블(510)은 주소분산을 측정하기 위한 것이므로 Time Stamp와 Hash Address 필드만 있으면 된다. 세션 테이블(520)은 Current State, Time Stamp, Hash Address를 포함하고 있다. Current State는 현재 해당 세션의 연결 상태 정보를 포함하고 있고, Time Stamp는 LRU(Least Recently Used) 알고리즘을 적용하여 세션 테이블이 Full이 되었을 때 어떤 세션 엔트리를 삭제할 것인가를 결정하는데 이용된다.The flow table 500 includes bps, pps, address distribution, SYN Count, Session Success Count, and Stealth Scan Count, which are fields for storing traffic characteristic values to be measured. Since the 4-Tuple table 510 is for measuring address dispersion, only the Time Stamp and Hash Address fields are required. The session table 520 includes a current state, a time stamp, and a hash address. The Current State contains connection state information of the current session, and the Time Stamp is used to determine which session entry is deleted when the session table becomes full by applying a Least Recently Used (LRU) algorithm.
도 6은 본 발명에 의한 하드웨어 기반 비정상 트래픽 탐지방법의 흐름이 도시된 순서도이다. 6 is a flowchart illustrating the flow of a hardware-based abnormal traffic detection method according to the present invention.
유입트래픽에서 IP 패킷을 추출하고 패킷 ID와 함께 비정상 트래픽 탐지기(230)로 전송하면(S100), IP 패킷 병합부(231)를 통해 De-fragmentation 과정을 거친 패킷(S110)은 패킷 파싱 과정을 통해 플로우 기반 트래픽을 측정할 수 있는 트래픽 측정 필드가 추출된다(S120). After extracting the IP packet from the inflow traffic and transmitting it to the
플로우 기반 트래픽 특성 측정부(233)는 플로우를 기반으로 주소분산이나 세션성공률과 같은 트래픽 특성을 측정(S130)하고, 비정상 탐지기(234)는 측정된 트래픽 특성을 이용하여 트래픽의 비정상 여부를 탐지한다(S140).The flow-based traffic
도 7은 본 발명에 의한 하드웨어 기반 비정상 트래픽 탐지방법에 의해 비정상으로 측정된 패킷이 패턴매칭 엔진으로 전송하여 오용탐지 및 이상탐지의 정확도를 높일 수 있는 방법의 흐름이 도시된 도이다.7 is a flowchart illustrating a method of increasing an accuracy of misuse detection and abnormality detection by transmitting an abnormally measured packet to a pattern matching engine by a hardware-based abnormal traffic detection method according to the present invention.
도시된 바와 같이, 하드웨어 기반에서 비정상 트래픽으로 탐지된 패킷을 패턴매칭 엔진을 통해 시그니처 패턴 매칭여부를 탐지하고(S200), 그 결과를 소프트웨어 기반의 보안엔진으로 전송한다(S210). 이와 같이 함으로서 하드웨어 기반의 오용탐지 및 이상탐지가 가능할 뿐만 아니라, 하드웨어 및 소프트웨어 기반의 2중의 트래픽 탐지기술을 통해 침입탐지의 정확도를 높일 수 있는 효과가 있다. As shown, the packet is detected as abnormal traffic on the hardware based on the pattern matching engine to detect whether the signature pattern matching (S200), and transmits the result to the software-based security engine (S210). In this way, not only hardware-based misuse detection and abnormality detection are possible, but also hardware and software-based double traffic detection technology can increase the accuracy of intrusion detection.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD_ROM, 자기테이프 플로피디스크, 광 데이터 정장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함된다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The invention can also be embodied as computer readable code on a computer readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD_ROM, magnetic tape floppy disks, optical data suits, and the like, and may also be implemented in the form of carrier waves (for example, transmission over the Internet). The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.Although embodiments of the present invention have been described above with reference to the accompanying drawings, those skilled in the art to which the present invention pertains may implement the present invention in other specific forms without changing the technical spirit or essential features thereof. I can understand that. Therefore, it should be understood that the embodiments described above are exemplary in all respects and not restrictive.
도 1은 본 발명에 의한 하드웨어 기반 비정상 트래픽 탐지엔진이 탑재된 탐지장치가 장착된 시스템의 일반적인 구조도,1 is a general structural diagram of a system equipped with a detection apparatus equipped with a hardware-based abnormal traffic detection engine according to the present invention;
도 2는 본 발명에 의한 하드웨어 기반 비정상 트래픽 탐지엔지의 구조가 도시된 도,2 is a diagram illustrating a structure of a hardware-based abnormal traffic detection engine according to the present invention;
도 3은 비정상트래픽의 예를 도시한 도,3 is a diagram illustrating an example of abnormal traffic;
도 4는 도 5는 트래픽 특성 측정 및 비정상 탐지시 사용되는 메모리 테이블의 구조가 도시된 도,4 is a diagram illustrating a structure of a memory table used for traffic characteristic measurement and abnormal detection;
도 6과 도 7은 본 발명에 의한 하드웨어 기반 비정상 트래픽 탐지방법의 흐름이 도시된 순서도이다.6 and 7 are flowcharts illustrating the flow of a hardware-based abnormal traffic detection method according to the present invention.
Claims (14)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070132804A KR100960119B1 (en) | 2007-12-17 | 2007-12-17 | Hardware Based Method and System for High Performance Abnormal Traffic Detection |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070132804A KR100960119B1 (en) | 2007-12-17 | 2007-12-17 | Hardware Based Method and System for High Performance Abnormal Traffic Detection |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20090065313A true KR20090065313A (en) | 2009-06-22 |
KR100960119B1 KR100960119B1 (en) | 2010-05-27 |
Family
ID=40993692
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070132804A KR100960119B1 (en) | 2007-12-17 | 2007-12-17 | Hardware Based Method and System for High Performance Abnormal Traffic Detection |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100960119B1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101219796B1 (en) * | 2009-10-07 | 2013-01-09 | 한국전자통신연구원 | Apparatus and Method for protecting DDoS |
KR101253615B1 (en) * | 2011-10-31 | 2013-04-11 | 한국인터넷진흥원 | Security system on 3g wcdma networks |
KR101357522B1 (en) * | 2013-01-08 | 2014-02-04 | 주식회사 엘지유플러스 | Apparatus and method for controlling packet traffic |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100728446B1 (en) * | 2005-07-21 | 2007-06-13 | 엘지엔시스(주) | Hardware based intruding protection device, system and method |
-
2007
- 2007-12-17 KR KR1020070132804A patent/KR100960119B1/en not_active IP Right Cessation
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101219796B1 (en) * | 2009-10-07 | 2013-01-09 | 한국전자통신연구원 | Apparatus and Method for protecting DDoS |
KR101253615B1 (en) * | 2011-10-31 | 2013-04-11 | 한국인터넷진흥원 | Security system on 3g wcdma networks |
KR101357522B1 (en) * | 2013-01-08 | 2014-02-04 | 주식회사 엘지유플러스 | Apparatus and method for controlling packet traffic |
Also Published As
Publication number | Publication date |
---|---|
KR100960119B1 (en) | 2010-05-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Blaise et al. | Detection of zero-day attacks: An unsupervised port-based approach | |
Geravand et al. | Bloom filter applications in network security: A state-of-the-art survey | |
US7328349B2 (en) | Hash-based systems and methods for detecting, preventing, and tracing network worms and viruses | |
US20100205672A1 (en) | Hash-based systems and methods for detecting, preventing, and tracing network worms and viruses | |
CN105721442A (en) | Spurious response system and method based on dynamic variation and network security system and method | |
KR101219796B1 (en) | Apparatus and Method for protecting DDoS | |
KR100684602B1 (en) | Corresponding system for invasion on scenario basis using state-transfer of session and method thereof | |
US10440035B2 (en) | Identifying malicious communication channels in network traffic by generating data based on adaptive sampling | |
Cai et al. | ADAM: an adaptive DDoS attack mitigation scheme in software-defined cyber-physical system | |
CN113114694A (en) | DDoS attack detection method oriented to high-speed network packet sampling data acquisition scene | |
Mohan et al. | Complex event processing based hybrid intrusion detection system | |
JP2008507222A (en) | Method, system and computer program for detecting unauthorized scanning on a network | |
KR100960119B1 (en) | Hardware Based Method and System for High Performance Abnormal Traffic Detection | |
Gao et al. | Defense against software-defined network topology poisoning attacks | |
Blaise et al. | Split-and-Merge: detecting unknown botnets | |
CN113132335A (en) | Virtual transformation system and method, network security system and method | |
KR100803029B1 (en) | Method for cooperatively defending of ddos attack using statistical detection | |
Nie et al. | Intrusion detection using a graphical fingerprint model | |
Zhang et al. | Analysis of payload based application level network anomaly detection | |
Xi | Research and application of ARP protocol vulnerability attack and defense technology based on trusted network | |
Alaidaros et al. | From Packet-based Towards Hybrid Packet-based and Flow-based Monitoring for Efficient Intrusion Detection: An overview | |
US11997133B2 (en) | Algorithmically detecting malicious packets in DDoS attacks | |
Kim et al. | Multihash based pattern matching mechanism for high-performance intrusion detection | |
Wei et al. | An early stage detecting method against SYN flooding attack | |
Moon et al. | A Multi-resolution Port Scan Detection Technique for High-speed Networks. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130424 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20140430 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20150427 Year of fee payment: 6 |
|
LAPS | Lapse due to unpaid annual fee |