KR20100013815A - 패턴 매칭부를 이용한 유해 트래픽 탐지 방법 및 시스템 - Google Patents

패턴 매칭부를 이용한 유해 트래픽 탐지 방법 및 시스템 Download PDF

Info

Publication number
KR20100013815A
KR20100013815A KR1020080075513A KR20080075513A KR20100013815A KR 20100013815 A KR20100013815 A KR 20100013815A KR 1020080075513 A KR1020080075513 A KR 1020080075513A KR 20080075513 A KR20080075513 A KR 20080075513A KR 20100013815 A KR20100013815 A KR 20100013815A
Authority
KR
South Korea
Prior art keywords
pattern
signature
packet information
matching
packet
Prior art date
Application number
KR1020080075513A
Other languages
English (en)
Other versions
KR100994746B1 (ko
Inventor
박병욱
양승호
김윤경
한성일
Original Assignee
주식회사 정보보호기술
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 정보보호기술 filed Critical 주식회사 정보보호기술
Priority to KR1020080075513A priority Critical patent/KR100994746B1/ko
Publication of KR20100013815A publication Critical patent/KR20100013815A/ko
Application granted granted Critical
Publication of KR100994746B1 publication Critical patent/KR100994746B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 유해 트래픽의 탐지 방법 및 시스템에 관한 것이다. 본 발명에 따른 유해 트래픽 탐지 방법은 유입되는 패킷 정보를 수집하는 단계, 수집된 패킷 정보와 미리 저장된 패턴을 매칭하는 단계, 패턴 매칭 결과 패킷 정보와 패턴이 일치되면 미리 정의된 하나 이상의 시그니처와 매칭하는 단계 및 시그니처 매칭 결과 패킷 정보와 시그니처가 일치하면 유해 트래픽 탐지의 로그를 남기는 단계를 포함한다.
본 발명은 시그니처의 개수와 무관하게 패턴 매칭 작업 시간을 일정하게 유지할 수 있으며, 시스템의 처리 속도에 영향을 미치는 패턴 매칭 작업을 패턴 매칭부 또는 패턴 매칭을 위한 컴퓨터 카드를 이용함으로써 시스템의 성능을 유지할 수 있다.
유해 트래픽, 시그니처, 패턴, 패킷, 네트워크, 패턴 매칭, 컴퓨터 카드

Description

패턴 매칭부를 이용한 유해 트래픽 탐지 방법 및 시스템{The Method and System using Pattern Matching Unit for Detecting Malicious Traffic}
본 발명은 유해 트래픽을 탐지 방법 및 시스템에 관한 것으로, 보다 구체적으로는 패턴 매칭부 또는 패턴 매칭을 위한 컴퓨터 카드를 이용하여 의심되는 유해 트래픽의 패턴을 예비적으로 매칭하고 매칭 결과에 따라 시그니처 매칭 또는 비 패턴 시그니처 매칭을 하여 유해 트래픽을 탐지하는 것이다.
유해 트래픽이라 함은 수신자 측에서 해당 트래픽을 수신할 경우 시스템이 이상 작동하게 되는 공격적 트래픽, 혹은 공격 정보나 정상적인 네트워크 흐름에 있어서 필요치 않은 트래픽, 혹은 데이터 흐름 또는 정상 패킷이지만 해당 패킷을 과도하게 발생하여 수신자의 정상적인 네트워크 소통의 흐름을 방해하거나 네트워크 연결을 중단시키는 행위를 하기 위한 트래픽을 말한다. 유해 트래픽이 네트워크 망을 통해 사용자의 컴퓨터로 유입될 경우 컴퓨터 성능 저하 등의 문제점이 발생하게 된다. 따라서 유해 트래픽을 차단하기 위한 시도가 계속되어왔다.
일반적으로 유해 트래픽을 탐지하기 위해서는 시그니처 탐지 엔진 즉, 소프트웨어만을 사용하였다. 네트워크를 지나는 모든 패킷에 대하여 시그니처와 매칭을 하는 경우 시그니처의 개수가 증가하게 되면 유해 트래픽 탐지에 소요되는 시간이 증가하고 탐지 성능이 저하되며, CPU 사용율의 증가로 시스템 전체의 성능이 떨어지는 문제점이 있다.
본 발명의 목적은 네트워크 상의 유해 트래픽을 탐지하기 위하여 소프트웨어만을 이용했을 때의 문제점을 해결하기 위한 것으로, 시그니처의 개수가 증가해도 시그니처 매칭 시간이 지연되지 않으며, 시스템 전체의 성능이 저하되지 않고 일정하게 유지함으로써 안정적인 시스템의 운영을 보장하면서 유해 트래픽 탐지의 성능은 높일 수 있는 방법 및 시스템을 제공하는 것이다.
본 발명의 실시 예에 따른 패턴 매칭부를 이용한 유해 트래픽 탐지 방법은 유입되는 패킷 정보를 수집하는 단계, 수집된 패킷 정보를 분석하는 단계, 분석된 패킷 정보와 미리 저장된 패턴을 매칭하는 단계, 패턴 매칭 결과 패킷 정보와 패턴이 일치되면 패킷 정보에 식별 코드가 부여되고 미리 정의된 하나 이상의 시그니처와 매칭하는 단계 및 시그니처 매칭 결과 패킷 정보와 시그니처가 일치하면 유해 트래픽 탐지의 로그를 남기는 단계를 포함하고, 패킷 정보 분석 결과 패이로드 사이즈가 0인 경우 패킷 정보와 패턴을 매칭하지 않고 비 패턴 시그니처를 매칭하는 것을 특징으로 한다.
본 발명의 다른 실시 예에 따른 유해 트래픽 탐지 방법은 패턴을 매칭하는 단계가 컴퓨터 카드에서 실행될 수 있다.
본 발명의 다른 실시 예에 따른 유해 트래픽 탐지 방법은 시그니처 매칭 결과 패킷 정보와 시그니처가 일치되지 않으면 패킷 정보와 비 패턴 시그니처를 매칭 하는 단계를 더 포함한다.
본 발명의 다른 실시 예에 따른 유해 트래픽 탐지 방법은 수집된 패킷 정보와 미리 저장된 패턴의 매칭 결과 일치 되지 않으면 패킷 정보에 식별 코드가 부여되지 않고 패킷 정보와 비 패턴 시그니처를 매칭하는 단계를 더 포함한다.
본 발명의 실시 예에 따른 패턴 매칭부를 이용한 유해 트래픽 탐지 시스템은 패킷 캡쳐 모듈, 패킷 분석부, 패턴 매칭부 및 시그니처 탐지부를 포함한다. 패킷 캡쳐 모듈은 유입되는 패킷을 수집한다. 패킷 분석부는 패킷 캡처 모듈에서 수집된 패킷을 전달받아서 저장 및 분석한다. 패턴 매칭부는 패킷 분석부로부터 전달받은 패킷에 미리 정의된 패턴을 매칭하여 일치하는지 여부를 판별한다. 시그니처 탐지부는 패턴 매칭부의 매칭 결과 일치하면 패킷을 전달받아 시그니처를 매칭하여 유해 트래픽인지 여부를 판별하고, 일치하지 않으면 비 패턴 시그니처를 매칭하여 유해 트래픽인지 여부를 판별한다.시그니처 탐지부는 패킷과 시그니처의 매칭 결과 일치하지 않으면 비 패턴 시그니처를 매칭하여 유해 트래픽인지 여부를 판단할 수 있다.
본 발명의 다른 실시 예에 따른 유해 트래픽 탐지 시스템은 패턴 매칭부가 컴퓨터 카드일 수 있다.
본 발명에 따르면 시그니처의 개수와 무관하게 패턴 매칭 작업이 별도로 이루어지므로 시그니처의 매칭 시간이 단축될 수 있다.
또한 시스템의 성능 즉, CPU 사용율의 많은 부분을 차지하는 패턴 매칭 작업 이 패턴 매칭부에서 이루어짐으로써 시스템의 성능은 유지하면서 유해 트래픽의 탐지 성능은 높일 수 있다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다. 이 때, 첨부된 도면에서 동일한 구성 요소는 가능한 동일한 부호로 나타내고 있음에 유의한다. 또한, 본 발명의 요지를 흐리게 할 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략할 것이다. 마찬가지 이유로 첨부 도면에 있어서 일부 구성요소는 과장되거나 생략되거나 개략적으로 도시되었다.
본 명세서에서 시그니처는 유해 트래픽을 탐지하기 위해 정의된 프로토콜(Protocol), IP, 포트, 패이로드(Payload)의 사이즈, 패턴 등의 요소를 의미하고 비 패턴 시그니처는 상기 정의된 요소 중 패턴이 제외된 시그니처를 의미한다.
도 1은 본 발명에 따른 유해 트래픽 탐지 시스템의 블럭도이다.
도 1에 도시된 바와 같이, 유해 트래픽 탐지 시스템은 패킷 캡처 모듈(110), 패킷 분석부(120), 패턴 매칭부(130) 및 시그니처 탐지부(240)을 포함한다. 패킷 캡처 모듈(110)은 모니터링 대상 네트워크 망 등을 통하여 사용자 컴퓨터 등의 시스템으로 패킷이 유입되면 패킷 정보를 수집한다. 패킷 임시 저장부(121)에는 패킷 캡처 모듈(110)에서 수집되는 패킷 정보가 순차로 저장될 수 있다. 패킷 분석부(120)의 패킷 분석 모듈(122)은 패킷 캡처 모듈(110)로부터 패킷 정보를 전달 받아 패킷의 프로토콜, 패이로드 등을 분석한다. 패이로드란 패킷 등에서 각종 운용 및 제어 등을 위한 헤더 등을 뺀 실제 정보가 들어있는 부분을 의미한다. 패킷 분석부(120)의 패킷 분석에 관해서는 아래 도 2에서 구체적으로 설명된다.
패턴 매칭부(130)에는 분석이 끝난 패킷 정보가 전달된다. 패턴 매칭부(130)는 패턴 데이터베이스(131) 및 패턴 매칭 모듈(132)을 포함한다. 패턴 데이터베이스(131)에는 유해 트래픽을 탐지하기 위한 시그니처에서 추출된 수개의 패턴이 저장된다. 패턴 매칭 모듈(132)은 전달된 패킷 정보와 저장된 패턴을 매칭하여 일치여부를 판단한다. 패턴 매칭부(130)의 패턴 매칭 과정에 관해서는 아래 도 3에서 구체적으로 설명된다.
시그니처 탐지부(140)에는 패턴 매칭이 끝난 패킷 정보가 전달된다. 시그니처 탐지부(140)는 시그니처 데이터베이스(141), 시그니처 탐지 모듈(142), 비 패턴 시그니처 데이터베이스(143) 및 비 패턴 시그니처 탐지 모듈(144)을 포함한다. 시그니처 데이터베이스(141)는 유해 트래픽과 관련된 미리 정의된 시그니처를 저장하고 있다. 시그니처 탐지 모듈(142)은 전달받은 패킷 정보와 시그니처를 매칭하여 일치여부를 판단한다. 비 패턴 시그니처 데이터베이스(143)는 유해 트래픽과 관련된 패턴을 제외한 시그니처를 저장하고 있다. 비 패턴 시그니처 탐지 모듈(144)은 전달받은 패킷 정보와 비 패턴 시그니처를 매칭하여 일치여부를 판단한다.
패턴 매칭부(130)의 매칭 결과 패킷 정보와 패턴이 일치하는 경우 패킷 정보에 식별 코드가 부여되고, 패킷 정보는 시그니처 탐지부(140)의 시그니처 탐지 모듈(142)로 전달된다. 패턴 매칭부(130)의 매칭 결과 패킷 정보와 패턴이 일치하지 않는 경우 패킷 정보에 식별 코드는 부여되지 않으며, 패킷 정보는 시그니처 탐지 부(140)의 비 패턴 시그니처 탐지 모듈(144)로 전달된다. 시그니처 탐지부(140)로 전달된 패킷 정보가 미리 저장된 시그니처 또는 비 패턴 시그니처와 매칭되는 경우 유해 트래픽을 탐지했다는 로그를 남기게 된다. 시그니처 탐지 모듈(144)로 전잘된 패킷 정보가 미리 저장된 시그니처와 매칭되지 않는 경우 패킷 정보는 비 패턴 시그니처 탐지 모듈(144)로 전달된다. 비 패턴 시그니처 탐지 모듈(144)로 전달된 패킷 정보와 비 패턴 시그니처를 매칭하여 일치하는 경우에는 유해 트래픽을 탐지했다는 로그를 남기고 일치하지 않는 경우에는 과정이 종료된다.
시그니처 탐지부(140)에서 시그니처 및 비 패턴 시그니처를 매칭하는 과정에 관해서는 아래 도 4에서 구체적으로 설명된다.
시그니처 탐지부(140)는 특정 패킷 정보가 유해 트래픽으로 일정 횟수 이상 반복해서 탐지될 경우 패킷 정보의 반복되는 특정 패턴을 추출하여 패턴 매칭부(130)의 패턴 데이터베이스(131)에 피드백 될 수 있다. 따라서 기존에 미리 정의되지 않은 패턴을 새로 추출 및 저장하여 패턴 데이터베이스(131)는 계속적으로 업데이트될 수 있다.
도 2는 패킷 분석부의 분석을 통해 패킷 정보가 패턴 매칭부 또는 시그니처 탐지부로 전달되는 과정을 나타낸 흐름도이다.
도 2에 도시된 바와 같이, 패킷 분석부로 패킷 정보가 전달되면 프로토콜, 서비스(Service), 패이로드, 플래그(Flags) 등을 분석한다(S210). 구체적으로, 패킷 정보 중 플래그(Flags)가 SYN(Synchronization), SYN(Synchronization)|ACK(Acknowledgement), FIN(Finish)|ACK(Acknowledgement), RST(Reset)로 구성되어 있는지 여부를 분석한다(S220). 분석 결과 플래그가 SYN, SYN|ACK, FIN|ACK, RST로 구성된 경우 유해 트래픽 탐지 과정은 종료된다(S220). 그러나 패킷 정보 중 플래그가 SYN, SYN|ACK, FIN|ACK, RST로 구성되지 않은 경우에는 패킷 정보의 패이로드 사이즈를 분석한다(S250). 분석 결과 패이로드 사이즈가 0인 패킷은 시그니처 탐지부로 전달되어 패킷 정보와 시그니처를 매칭한다(S240). 사이즈가 0이 아닌 패킷은 패턴 매칭부로 전달되어 패킷 정보와 패턴을 매칭한다(S260).
도 3은 패턴 매칭부에서 패턴 매칭이 이루어지는 과정을 나타낸 흐름도이다.
도 3에 도시된 바와 같이, 패턴 매칭부의 패킷 임시 저장부에 유입된 패킷 정보가 순차적으로 임시 저장된다(S310). 패턴 매칭부의 패턴 매칭 모듈은 임시 저장부로부터 패킷 정보를 전달받아, 패킷 정보와 미리 저장된 패턴을 매칭한다(S320). 패턴 매칭 모듈은 패킷 정보와 패턴이 일치하는지 여부를 판단하여(S330), 일치하면 패턴 매칭 식별 코드를 패킷에 삽입한다(S340). 패턴 매칭 식별 코드가 삽입된 패킷 정보는 시그니처 탐지부의 임시 저장부에 저장된다(S350). 그러나 패킷 정보와 패턴이 일치하지 않으면 패턴 매칭 식별 코드의 삽입 없이 시그니처 탐지부의 임시 저장부에 패킷 정보가 저장된다(S350).
도 4는 시그니처 탐지부로 전달된 패킷 정보가 시그니처와 매칭되는 과정을 나타낸 흐름도이다.
도 4에 도시된 바와 같이, 시그니처 탐지부의 임시 저장부에 패턴 탐지부로부터 전달받은 패킷 정보가 순차적으로 임시 저장된다(S410). 시그니처 탐지부에서는 저장된 패킷 정보에 대해 프로토콜 취약성 공격에 대한 분석 및 서비스에 대한 처리(S420)와 플루딩(Flooding) 공격에 대한 검사(S430)가 수행된다. 그리고 시그니처 탐지부는 도 3에서 설명된 패턴 매칭 식별 코드가 패킷 정보에 삽입되었는지 여부를 판단한다(S440). 판단 결과 패턴 매칭 식별 코드가 삽입되었으면 패킷 정보에 시그니처를 매칭(S450)하여 일치 여부를 판단한다. 판단 결과 패턴 매칭 식별 코드가 삽입되지 않았으면 패킷 정보에 비 패턴 시그니처를 매칭하여(S460) 일치 여부를 판단하게 된다. 그리고 시그니처 탐지부는 패킷 정보와 시그니처 또는 비 패턴 시그니처를 매칭하여 일치하는 경우 유해 트래픽이 탐지되었다는 로그를 남기고, 일치하지 않는 경우 과정은 종료된다.
도 5는 본 발명에 따른 패턴 매칭부를 이용한 유해 트래픽 탐지 방법의 흐름도이다.
도 5에 도시된 바와 같이, 네트워크 망을 통해 패킷이 유입되면 패킷 정보가 수집된다(S510). 수집된 패킷은 임시 저장부 또는 데이터베이스 등에 저장 될 수 있다. 수집된 패킷 정보는 프로토콜, 서비스, 패이로드, 플래그 등이 분석된다(S520). 분석을 통해 패킷 정보 중 플래그가 SYN, SYN|ACK, FIN|ACK, RST로 구성되어 있는지 여부가 판단된다(S530). SYN, SYN|ACK, FIN|ACK, RST로 구성되어 있다 면 유해 트래픽 탐지 과정은 종료된다. SYN, SYN|ACK, FIN|ACK, RST로 구성되어 있지 않으면 패이로드의 사이즈가 0인지 여부가 판단된다(S540). 패이로드의 사이즈가 0이라면 패킷 정보와 비 패턴 시그니처를 매칭하여(S560) 일치 여부가 판단되고(S600) 일치하면 유해 트래픽 탐지의 로그가 남겨진다(S610). 패이로드의 사이즈가 0이 아니라면 미리 저장된 패턴들과 매칭(S550)하여, 일치하는지 여부가 판단된다(S570). 유입되는 패킷 정보가 많을 경우 임시 저장부에 순차적으로 대기(Pattern Matching Queue)하게 된다. 패킷 정보와 미리 저장된 패턴의 매칭 결과 일치하는 경우, 의심되는 유해 트래픽으로 간주하고 시그니처를 매칭(S580)하여 일치하는지 여부가 판단된다(S590). 시그니처 매칭을 위한 패킷 정보가 많을 경우 역시 임시 저장부에 순차적으로 대기(Signature Detector Queue)하게 된다. 의심되는 유해 트래픽으로 간주된 패킷 정보에 대한 시그니처 매칭 결과 패킷 정보와 시그니처가 일치하는 경우에는 유해 트래픽 탐지의 로그를 남기고(S610) 사용자에게 유해 트래픽의 정보가 출력된다.
수집된 패킷 정보와 미리 저장된 패턴들을 매칭하여 일치하는지 여부를 비교(S570)한 결과, 일치하지 않는 경우에는 패킷 정보와 비 패턴 시그니처를 매칭(S560)하여, 일치여부가 비교된다(S600). 매칭할 패킷 정보가 많을 경우 임시 저장부에 순차적으로 대기(No Pattern Matching Queue)하게 된다. 패킷 정보와 비 패턴 시그니처를 매칭한 결과, 패킷 정보와 비 패턴 시그니처가 일치하는 경우에는 유해 트래픽 탐지의 로그가 남겨지고(S610) 사용자에게 유해 트래픽의 정보가 출력된다. 일치하지 않는 경우에는 모든 단계가 종료된다.
수집된 패킷 정보와 미리 저장된 패턴들을 매칭하여 일치하는지 여부를 비교(S570)한 결과 일치하면 수집된 패킷은 의심되는 유해 트래픽으로 간주된다. 이후 시그니처를 매칭(S580)하여 비교한 결과(S590) 일치되지 않은 경우에는 패킷 정보와 비 패턴 시그니처를 매칭하게된다(S560). 패킷 정보와 비 패턴 시그니처를 매칭(S560)한 결과 패킷 정보와 비 패턴 시그니처가 일치하는 경우(S600)에는 유해 트래픽 탐지의 로그를 남기고(S6100) 사용자에게 유해 트래픽의 정보가 출력된다. 일치하지 않는 경우에는 모든 단계가 종료된다. 이하 일예를 들어 설명한다.
IP가 10.100.100.1이고 패이로드가 abc인 패킷이 유입된 경우를 예로 들면, 패이로드의 abc가 미리 저장된 패턴 abc에 매칭될 경우 더욱 상세한 탐지를 위해 시그니처를 매칭하는 단계(S580)로 넘어간다. 만약 시그니처에서는 IP가 10.0.0.1 패턴이 abc로 정의되었다면, 전달 받은 패킷은 IP가 10.100.100.1이고 패이로드가 abc이므로 시그니처에 정의된 IP인 10.0.0.1과 매칭이 되지 않으므로 비 패턴 시그니처 검사로 패킷이 전달된다. 비 패턴 시그니처에서는 IP가 10.100.100.1로 정의되었다면, 전달 받은 패킷은 IP가 10.100.100.1이고 패이로드가 abc이므로 비 패턴 시그니처에 정의된 IP인 10.100.100.1과 매칭이 되어 유해 트래픽이 탐지되므로 유해 트래픽 탐지의 로그를 남기고 종료된다.
본 발명이 실시 예를 이용하여 상세하게 설명이 되었지만 제시된 실시 예는 예시적인 것으로 이 분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상을 벗어나지 않는 다양한 형태의 변형 및 수정 형태를 발명할 수 있을 것이다. 본 발 명의 범위는 이러한 변형 및 수정 발명에 의하여 제한되지 않는다.
도 1은 본 발명에 따른 패턴 매칭부를 이용한 유해 트래픽 탐지 시스템의 블럭도이다.
도 2는 패킷 분석부의 분석을 통해 패킷 정보가 패턴 매칭부 또는 시그니처 탐지부로 전달되는 과정을 나타낸 흐름도이다.
도 3은 패턴 매칭부에서 패턴 매칭이 이루어지는 과정을 나타낸 흐름도이다.
도 4는 시그니처 탐지부로 전달된 패킷 정보가 시그니처와 매칭되는 과정을 나타낸 흐름도이다.
도 5는 본 발명에 따른 패턴 매칭부를 이용한 유해 트래픽 탐지 방법을 나타내는 흐름도이다.

Claims (7)

  1. 유해 트래픽 탐지 시스템에서 유해 트래픽을 탐지하는 방법에 있어서,
    유입되는 패킷 정보를 수집하는 단계;
    상기 수집된 패킷 정보를 분석하는 단계;
    상기 분석된 패킷 정보와 미리 저장된 패턴을 매칭하는 단계;
    상기 패턴 매칭 결과 패킷 정보와 패턴이 일치되면 패킷 정보에 식별 코드가 부여되고 미리 정의된 하나 이상의 시그니처와 매칭하는 단계; 및
    상기 시그니처 매칭 결과 패킷 정보와 시그니처가 일치하면 유해 트래픽 탐지의 로그를 남기는 단계; 를 포함하고,
    상기 패킷 정보 분석 결과 패이로드 사이즈가 0인 경우 패킷 정보와 패턴을 매칭하지 않고 비 패턴 시그니처를 매칭하는 것을 특징으로 하는 패턴 매칭부를 이용한 유해 트래픽 탐지 방법.
  2. 청구항 1에 있어서,
    상기 패턴을 매칭하는 단계는 컴퓨터 카드에서 실행되는 것을 특징으로 하는 패턴 매칭부를 이용한 유해 트래픽 탐지 방법.
  3. 청구항 1에 있어서,
    상기 시그니처 매칭 결과 패킷 정보와 시그니처가 일치되지 않으면 패킷 정 보와 비 패턴 시그니처를 매칭하는 단계를 더 포함하는 패턴 매칭 부를 이용한 유해 트래픽 탐지 방법.
  4. 청구항 1에 있어서,
    상기 수집된 패킷 정보와 미리 저장된 패턴의 매칭 결과 일치되지 않으면 패킷 정보에 식별 코드가 부여되지 않고 패킷 정보와 비 패턴 시그니처를 매칭하는 단계를 더 포함하는 패턴 매칭부를 이용한 유해 트래픽 탐지 방법.
  5. 유입되는 패킷을 수집하는 패킷 캡쳐 모듈;
    상기 패킷 캡처 모듈에서 수집된 패킷을 전달받아서 저장 및 분석하는 패킷 분석부;
    상기 패킷 분석부로부터 전달받은 패킷에 미리 정의된 패턴을 매칭하여 일치하는지 여부를 판별하는 패턴 매칭부; 및
    상기 패턴 매칭부의 매칭 결과 일치하면 패킷을 전달받아 시그니처를 매칭하여 유해 트래픽인지 여부를 판별하고, 일치하지 않으면 비 패턴 시그니처를 매칭하여 유해 트래픽인지 여부를 판별하는 시그니처 탐지부; 를 포함하는 패턴 매칭부를 이용한 유해 트래픽 탐지 시스템.
  6. 청구항 5에 있어서,
    상기 시그니처 탐지부는 상기 패킷과 시그니처의 매칭 결과 일치하지 않으면 비 패턴 시그니처를 매칭하여 유해 트래픽인지 여부를 판단하는 것을 특징으로 하는 패턴 매칭부를 이용한 유해 트래픽 탐지 시스템.
  7. 청구항 5에 있어서,
    상기 패턴 매칭부는 컴퓨터 카드인 것을 특징으로 하는 패턴 매칭부를 이용한 유해 트래픽 탐지 시스템.
KR1020080075513A 2008-08-01 2008-08-01 패턴 매칭부를 이용한 유해 트래픽 탐지 방법 및 시스템 KR100994746B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080075513A KR100994746B1 (ko) 2008-08-01 2008-08-01 패턴 매칭부를 이용한 유해 트래픽 탐지 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080075513A KR100994746B1 (ko) 2008-08-01 2008-08-01 패턴 매칭부를 이용한 유해 트래픽 탐지 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20100013815A true KR20100013815A (ko) 2010-02-10
KR100994746B1 KR100994746B1 (ko) 2010-11-16

Family

ID=42087764

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080075513A KR100994746B1 (ko) 2008-08-01 2008-08-01 패턴 매칭부를 이용한 유해 트래픽 탐지 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR100994746B1 (ko)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101229012B1 (ko) * 2011-12-29 2013-02-15 시큐아이닷컴 주식회사 시그니처 탐지 장치 및 방법
KR101268510B1 (ko) * 2011-12-29 2013-06-07 주식회사 시큐아이 시그니처 탐지 장치 및 방법
KR101346330B1 (ko) * 2012-03-07 2014-01-03 주식회사 시큐아이 유해 패킷 검출 방법 및 장치
KR101448869B1 (ko) * 2013-02-22 2014-10-13 주식회사 시큐아이 패턴매칭 장치 및 그것의 동작방법
KR101498696B1 (ko) * 2013-04-26 2015-03-12 주식회사 넷커스터마이즈 유해 트래픽 탐지 시스템 및 방법
US9246930B2 (en) 2013-01-04 2016-01-26 Wins Co., Ltd. System and method for pattern matching in a network security device
US9342366B2 (en) 2012-10-17 2016-05-17 Electronics And Telecommunications Research Institute Intrusion detection apparatus and method using load balancer responsive to traffic conditions between central processing unit and graphics processing unit
US10780202B2 (en) 2014-12-22 2020-09-22 Smith & Nephew Plc Noise reduction for negative pressure wound therapy apparatuses

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070056038A1 (en) * 2005-09-06 2007-03-08 Lok Technology, Inc. Fusion instrusion protection system
US8613088B2 (en) * 2006-02-03 2013-12-17 Cisco Technology, Inc. Methods and systems to detect an evasion attack

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101229012B1 (ko) * 2011-12-29 2013-02-15 시큐아이닷컴 주식회사 시그니처 탐지 장치 및 방법
KR101268510B1 (ko) * 2011-12-29 2013-06-07 주식회사 시큐아이 시그니처 탐지 장치 및 방법
KR101346330B1 (ko) * 2012-03-07 2014-01-03 주식회사 시큐아이 유해 패킷 검출 방법 및 장치
US9342366B2 (en) 2012-10-17 2016-05-17 Electronics And Telecommunications Research Institute Intrusion detection apparatus and method using load balancer responsive to traffic conditions between central processing unit and graphics processing unit
US9246930B2 (en) 2013-01-04 2016-01-26 Wins Co., Ltd. System and method for pattern matching in a network security device
KR101448869B1 (ko) * 2013-02-22 2014-10-13 주식회사 시큐아이 패턴매칭 장치 및 그것의 동작방법
KR101498696B1 (ko) * 2013-04-26 2015-03-12 주식회사 넷커스터마이즈 유해 트래픽 탐지 시스템 및 방법
US10780202B2 (en) 2014-12-22 2020-09-22 Smith & Nephew Plc Noise reduction for negative pressure wound therapy apparatuses

Also Published As

Publication number Publication date
KR100994746B1 (ko) 2010-11-16

Similar Documents

Publication Publication Date Title
KR100994746B1 (ko) 패턴 매칭부를 이용한 유해 트래픽 탐지 방법 및 시스템
CN109951500B (zh) 网络攻击检测方法及装置
US8650646B2 (en) System and method for optimization of security traffic monitoring
US9009830B2 (en) Inline intrusion detection
CN106330944B (zh) 恶意系统漏洞扫描器的识别方法和装置
KR100862187B1 (ko) 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법
CN101640594B (zh) 一种在网络设备上提取流量攻击报文特征的方法和单元
US8336098B2 (en) Method and apparatus for classifying harmful packet
CN107770132A (zh) 一种对算法生成域名进行检测的方法及装置
CN104468507B (zh) 基于无控制端流量分析的木马检测方法
US20170034195A1 (en) Apparatus and method for detecting abnormal connection behavior based on analysis of network data
KR20140088340A (ko) 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법
CN110808994B (zh) 暴力破解操作的检测方法、装置及服务器
US10348751B2 (en) Device, system and method for extraction of malicious communication pattern to detect traffic caused by malware using traffic logs
JP2006148686A (ja) 通信監視システム
CN108566384B (zh) 一种流量攻击防护方法、装置、防护服务器及存储介质
CN112887274A (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
CN107707549B (zh) 一种自动提取应用特征的装置及方法
KR100937217B1 (ko) 시그니처 최적화 시스템 및 방법
KR101488271B1 (ko) Ids 오탐 검출 장치 및 방법
CN101719906A (zh) 一种基于蠕虫传播行为的蠕虫检测方法
CN110958225B (zh) 基于流量识别网站指纹的方法
US11895146B2 (en) Infection-spreading attack detection system and method, and program
US20170237751A1 (en) Information processing apparatus, information processing method, and computer readable medium
JP2010250607A (ja) 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20131104

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150914

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160923

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180927

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190620

Year of fee payment: 10