KR20120053661A - Intrusion detection system and method using application hosting - Google Patents

Intrusion detection system and method using application hosting Download PDF

Info

Publication number
KR20120053661A
KR20120053661A KR1020100114892A KR20100114892A KR20120053661A KR 20120053661 A KR20120053661 A KR 20120053661A KR 1020100114892 A KR1020100114892 A KR 1020100114892A KR 20100114892 A KR20100114892 A KR 20100114892A KR 20120053661 A KR20120053661 A KR 20120053661A
Authority
KR
South Korea
Prior art keywords
application
packet
ids
incoming packet
detection system
Prior art date
Application number
KR1020100114892A
Other languages
Korean (ko)
Inventor
박기범
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020100114892A priority Critical patent/KR20120053661A/en
Publication of KR20120053661A publication Critical patent/KR20120053661A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: An intrusion detection system and method thereof are provided to reduce overload of an IDS(Intrusion Detection System) processing unit by controlling flows related to IDS. CONSTITUTION: A traffic outflow module(210) establishes an application flow table(212). A packet processing module(207) assorts packet flows by searching the application flow table. The packet processing module transmits the inserted packets to IDS application(213) by using an application hosting method. The IDS application transmits the inserted packets to the packet processing module.

Description

침입탐지시스템 및 방법{INTRUSION DETECTION SYSTEM AND METHOD USING APPLICATION HOSTING}Intrusion Detection System and Method {INTRUSION DETECTION SYSTEM AND METHOD USING APPLICATION HOSTING}

본 발명은 침입탐지시스템(Intrusion Detection System: IDS)에 관한 것으로, 특히 애플리케이션 호스팅(Application Hosting) 기술을 바탕으로, 하나의 통신시스템에서 효과적이고 이식성 높은 침입탐지시스템 및 방법에 관한 것이다.
The present invention relates to an intrusion detection system (IDS), and more particularly, to an effective and portable intrusion detection system and method in one communication system based on application hosting technology.

침입탐지시스템(Intrusion Detection System: 이하 "IDS"라 칭함)은 외부 침입자가 해당 시스템의 자원을 정당한 권한 없이 불법적으로 사용하는 시도 또는 내부 사용자가 자신의 권한을 오용 및 남용하는 침입시도를 탐지하고 대응하는 것을 목적으로 하는 시스템을 통칭한다. 최근 들어, 자산의 IT 의존도가 심화되고, 정보자산 침입에 대한 가능성 및 피해가 증대됨에 따라서, IDS 장비의 중요성이 강조되고 있고, 기존의 유선망뿐만 아니라 무선망과 같은 이동통신 사업자 망과 같은 모든 통신시스템에서 전용 보안장비를 포함한 보안 솔루션이 강력하게 요구되고 있다.Intrusion Detection System (hereinafter referred to as "IDS") detects and responds to intrusion attempts by outside intruders to illegally use the system's resources without proper authority, or intrusion attempts by internal users to misuse and abuse their rights. A system for the purpose of doing so is generically known. In recent years, as the IT dependence of assets has increased and the possibility and damage of information assets have increased, the importance of IDS equipment has been emphasized, and all communications such as mobile network such as wireless network as well as existing wired network are emphasized. There is a strong demand for security solutions with dedicated security equipment in the system.

다시 말해, 상기 침입탐지시스템은 해당 시스템에 대한 원하지 않는 조작을 탐지하여 주며, 전통적인 방화벽이 탐지할 수 없는 모든 종류의 악의적인 네트워크 트래픽 및 컴퓨터 사용을 탐지하기 위해서 사용된다.In other words, the intrusion detection system detects unwanted manipulation of the system and is used to detect all kinds of malicious network traffic and computer usage that traditional firewalls cannot detect.

상기 IDS는 크게 데이터 소스를 기준으로 다음과 같이 구분될 수 있다.The IDS can be largely classified as follows based on a data source.

(1) 네트워크 침입탐지시스템(1) Network Intrusion Detection System

(2) 호스트 기반 탐지시스템(2) Host based detection system

(3) 하이브리드 탐지시스템(3) hybrid detection system

상기 네트워크 침입탐지시스템은 해당 네트워크의 패킷 데이터를 수집하여 침입 여부 판정에 사용하며, IDS가 설치된 네트워크 영역 전체를 탐지 대상으로 한다. 상기 호스트 기반 탐지시스템은 호스트로부터 생성되고 수집된 감시 데이터를 침입 여부 판정 사용하며 호스트를 탐지 영역으로 한다. 그리고 상기 하이브리드 시스템은 위의 두 가지 방식(네트워크 침입탐지시스템과 호스트 기반 탐지시스템)을 혼용한 것을 통칭한다.The network intrusion detection system collects packet data of a corresponding network and uses the same to determine whether an intrusion exists, and targets the entire network area where IDS is installed. The host-based detection system uses the surveillance data generated and collected from the host to determine whether it is an intrusion, and makes the host a detection area. The hybrid system is a combination of the above two methods (network intrusion detection system and host-based detection system).

한편, IDS 장비는 많은 복잡한 연산이 필요하므로 대부분은 독립적인 하나의 시스템으로 설치된다. 도 1은 기존의 IDS를 하나의 독립적인 구성요소로 설치한 전형적인 예이다.
On the other hand, since IDS equipment requires many complicated operations, most of them are installed as one independent system. 1 is a typical example of installing an existing IDS as one independent component.

도 1은 종래기술에 따른 IDS를 포함한 네트워크 구성도를 도시하고 있다.1 illustrates a network configuration including IDS according to the prior art.

상기 도 1을 참조하면, 네트워크는 제1 IDS 장비, 제2 IDS 장비, 방화벽 및 라우터 등을 포함하여 구성된다. 상기 도 1은 본 발명의 설명의 이해를 돕기 위한 것일 뿐, 구현에 따라서 상기 네트워크는 더 많은 혹은 더 적은 개수의 IDS 장비, 방화벽, 라우터 등을 포함하여 구성될 수 있다.Referring to FIG. 1, the network includes a first IDS device, a second IDS device, a firewall, and a router. 1 is only to help understand the description of the present invention. Depending on the implementation, the network may include more or fewer IDS equipment, firewalls, routers, and the like.

상기 방화벽은 기업이나 조직 내부의 네트워크와 인터넷 간에 전송되는 정보를 선별하여 수용, 거부, 수정하는 능력을 가진 보안 시스템이다. 외부인터넷과 내부의 전용통신망 경계에 건물의 방화벽과 같은 기능을 가진 시스템, 즉 라우터나 응용 게이트웨이 등을 설치하여 모든 정보의 흐름이 이들을 통해서만 이루어진다.The firewall is a security system having the ability to select, accept, reject, and modify information transmitted between a network inside an enterprise or an organization and the Internet. By installing a system with a function such as a building firewall, such as a router or an application gateway, at the boundary of the external Internet and the internal dedicated communication network, all information flows only through them.

상기 제1 IDS 장비 및 상기 제2 IDS 장비는 상기 방화벽이 탐지할 수 없는 모든 종류의 악의적인 네트워크 트래픽 및 컴퓨터 사용을 탐지한다. 또한, 상기 제1 IDS 장비 및 상기 제2 IDS 장비는 사업자의 요구에 따라 다양한 IDS 장비(네트워크 침입탐지시스템, 호스트 기반 탐지시스템, 하이브리드 탐지시스템 등등) 중 하나로 설치될 수 있다.The first IDS device and the second IDS device detect all kinds of malicious network traffic and computer usage that the firewall cannot detect. The first IDS device and the second IDS device may be installed as one of various IDS devices (network intrusion detection system, host-based detection system, hybrid detection system, etc.) according to the request of the operator.

상기 라우터는 서로 다른 네트워크를 중계해주는 장치로써, 둘 혹은 그 이상의 네트워크와 네트워크 간 데이터 전송을 위해 최적 경로를 설정해주며, 데이터를 해당 경로를 따라 한 통신망에서 다른 통신망으로 통신할 수 있도록 도와주는 인터넷 접속 장비이다. 즉, 네트워크를 통해 정보를 주고 받을 때 데이터에 담긴 수신처의 주소를 읽고 가장 적절한 통신통로를 이용해 다른 통신망으로 전송하는 장치이다.The router is a device that relays different networks. The router establishes an optimal path for data transmission between two or more networks and the network, and helps the data communicate from one network to another along the corresponding path. It is equipment. That is, it is a device that reads the address of the destination contained in the data and transmits it to another communication network using the most appropriate communication path when transmitting and receiving information through the network.

이와 같이 독립된 시스템으로 IDS 장비를 구축하는 경우 장비 구입 및 유지 보수 비용이 소요되며, 이러한 문제점을 극복하기 위하여 하나의 시스템 내에 IDS를 통합하는 경우에는 IDS 처리로 인하여 시스템의 처리 성능에 심각한 영향을 준다. In the case of constructing IDS equipment as an independent system like this, equipment purchase and maintenance costs are required, and when IDS is integrated in one system to overcome these problems, IDS processing severely affects the processing performance of the system. .

또한, 최근 해킹(hacking) 기술은 빠른 속도로 발전하고 있으며, 이로 인해서 IDS 시스템에서 핵심적인 침입(intrusion)을 감지하는 서명(signature) 등의 잦은 변경이 요구되고 있다.In addition, hacking technology is rapidly evolving, requiring frequent changes such as signatures to detect key intrusions in IDS systems.

그러므로, 일단 IDS를 구축한 이후에도 시스템의 감지 엔진(engine)의 잦은 변경에 대한 대응이 필요하다. 또한, IDS는 그 자체가 매우 복잡한 연산 능력을 요구하는 기능으로서, "data plane"과 "control plane"이 분리되어 있지 않은 일체형 시스템에서는 IDS 자체의 처리가 시스템 성능에 영향을 끼치게 된다. 이를 방지하기 위해서는 일부 전용 IDS 장비를 두기도 하나, 이는 막대한 부가적인 구축 및 유지 보수 비용 부담을 초래한다.Therefore, even after the IDS is built, it is necessary to cope with frequent changes of the detection engine of the system. In addition, IDS itself is a function that requires very complex computational power. In an integrated system in which the "data plane" and the "control plane" are not separated, the processing of the IDS itself affects the system performance. To prevent this, some dedicated IDS equipment may be placed, but this adds significant additional deployment and maintenance costs.

따라서, 하나의 통신시스템에서 효과적이고 이식성 높은 침입탐지시스템 및 방법이 필요하다.
Therefore, there is a need for an effective and portable intrusion detection system and method in one communication system.

본 발명의 목적은 하나의 통신시스템 내에서 데이터 처리부(data plane)과 제어 처리부(control plane)가 분리된 침입탐지시스템 및 방법을 제공함에 있다.An object of the present invention is to provide an intrusion detection system and method in which a data plane and a control plane are separated in one communication system.

본 발명의 다른 목적은 애플리케이션 호스팅 플랫폼(Application Hosting Platform: AHP)으로 기반으로 하는 침입탐지시스템 및 방법을 제공함에 있다.Another object of the present invention to provide an intrusion detection system and method based on the Application Hosting Platform (AHP).

본 발명의 또 다른 목적은 다양한 형태의 IDS 프로그램을 쉽게 이식시키기 위한 침입탐지시스템 및 방법을 제공함에 있다.It is still another object of the present invention to provide an intrusion detection system and method for easily porting various types of IDS programs.

본 발명은 또 다른 목적은 독립적인 IDS 장치 없이, 하나의 시스템 내에서 효율적으로 동작하는 침입탐지시스템 및 방법을 제공함에 있다.
It is another object of the present invention to provide an intrusion detection system and method that operate efficiently in one system without an independent IDS device.

상기한 목적들을 달성하기 위한 본 발명의 제 1 견지에 따르면, 침입탐지시스템(Intrusion Detection System: IDS)에서, 패킷 처리 장치에 있어서, 애플리케이션 흐름 테이블을 설정하는 트래픽 유출 모듈과, 상기 애플리케이션 흐름 테이블을 검색하여 유입되는 패킷 흐름을 선별한 후, 애플리케이션 호스팅을 이용하여 상기 유입되는 패킷을 해당 IDS 애플리케이션으로 전송하는 패킷처리모듈과, 상기 유입되는 패킷을 상기 패킷처리모듈로 재전송하는 상기 해당 IDS 애플리케이션을 포함하는 것을 특징으로 한다.According to a first aspect of the present invention for achieving the above objects, in an intrusion detection system (IDS), in the packet processing apparatus, a traffic leakage module for setting an application flow table, and the application flow table A packet processing module for searching and selecting an incoming packet flow, and transmitting the incoming packet to the corresponding IDS application by using application hosting; and the corresponding IDS application for retransmitting the incoming packet to the packet processing module. Characterized in that.

상기한 목적들을 달성하기 위한 본 발명의 제 2 견지에 따르면, 침입탐지시스템(Intrusion Detection System: IDS)에서, 패킷 처리 방법에 있어서, 트래픽 유출 모듈이, 애플리케이션 흐름 테이블을 설정하는 과정과, 패킷처리모듈이, 상기 애플리케이션 흐름 테이블을 검색하여 유입되는 패킷 흐름을 선별하는 과정과, 애플리케이션 호스팅을 이용하여 상기 유입되는 패킷을 해당 IDS 애플리케이션으로 전송하는 과정과, 상기 해당 IDS 애플리케이션이, 상기 유입되는 패킷을 상기 패킷처리모듈로 재전송하는 과정을 포함하는 것을 특징으로 한다.
According to a second aspect of the present invention for achieving the above objects, in an intrusion detection system (IDS), in the packet processing method, the traffic leakage module, the process of setting an application flow table, and packet processing Selecting, by the module, the packet flow by searching the application flow table; transmitting the incoming packet to the corresponding IDS application by using application hosting; and by the corresponding IDS application, the incoming packet is stored. And retransmitting to the packet processing module.

상술한 바와 같이, 애플리케이션 호스팅 플랫폼(Application Hosting Platform: AHP)으로 기반으로 하는 침입탐지시스템을 제공함으로써, 독립적인 IDS 장치 없이, 하나의 시스템 내에서 효율적으로 IDS를 운용할 수 있는 이점이 있다. 또한, 애플리케이션 호스팅 기술을 이용하여 다양한 종류의 IDS 애플리케이션들이 패킷 API와의 간단한 연동을 통해서 이식가능하다. 그리고, 동일한 애플리케이션 내에서도 IDS가 하나의 애플리케이션으로 동작하므로, 추후에 새로운 방식의 알고리즘이 적용되더라도 간단한 애플리케이션의 수정만으로 쉽게 적용이 가능하다.As described above, by providing an intrusion detection system based on an Application Hosting Platform (AHP), there is an advantage that IDS can be efficiently operated in one system without an independent IDS device. In addition, using application hosting technology, various types of IDS applications can be ported through simple interworking with the packet API. In addition, since IDS operates as one application within the same application, even if a new algorithm is applied later, it can be easily applied by simply modifying the application.

한편, IDS 처리 부분은 패킷 데이터를 처리하는 부분과 완전히 독립적인 개체로 동작하므로, IDS 처리가 일반적인 패킷 처리에 거의 영향을 받지 않는다. 그리고, IDS 처리에 관련된 흐름(flow) 정의가 가능하므로, IDS 처리 부분의 부하를 줄여 줄 수 있다.
On the other hand, since the IDS processing part operates as an entity that is completely independent from the packet data processing part, the IDS processing is hardly affected by general packet processing. In addition, since flows related to IDS processing can be defined, load of the IDS processing portion can be reduced.

도 1은 종래기술에 따른 IDS를 포함한 네트워크 구성도,
도 2는 본 발명의 실시 예에 따른 전체적인 침입탐지시스템 구성도,
도 3은 본 발명의 실시 예에 따른 침입탐지시스템 동작을 위한 흐름도,
도 4는 본 발명의 실시 예에 따른 침입탐지시스템에서 애플리케이션 흐름 테이블을 설정하는 흐름도,
도 5는 본 발명의 실시 예에 따른 침입탐지시스템에서 애플리케이션 호스팅 기법을 이용하여 IDS 애플리케이션으로 패킷을 전달하는 흐름도 및,
도 6은 본 발명의 실시 예에 따른 침입탐지시스템에서 제어처리영역에서 데이터처리영역으로 패킷을 재전송하는 흐름도.1 is a block diagram of a network including IDS according to the prior art,
2 is a block diagram of an overall intrusion detection system according to an embodiment of the present invention;
3 is a flow chart for operating an intrusion detection system according to an embodiment of the present invention;
4 is a flowchart for setting an application flow table in an intrusion detection system according to an embodiment of the present invention;
5 is a flow chart for delivering a packet to an IDS application using an application hosting technique in an intrusion detection system according to an embodiment of the present invention;
6 is a flowchart for retransmitting a packet from a control processing area to a data processing area in an intrusion detection system according to an exemplary embodiment of the present invention.

이하 본 발명의 바람직한 실시 예를 첨부된 도면의 참조와 함께 상세히 설명한다. 그리고, 본 발명을 설명함에 있어서, 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단된 경우 그 상세한 설명은 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Reference will now be made in detail to the preferred embodiments of the present invention, examples of which are illustrated in the accompanying drawings. In the following description of the present invention, detailed descriptions of related well-known functions or configurations will be omitted if it is determined that the detailed description of the present invention may unnecessarily obscure the subject matter of the present invention. Terms to be described later are terms defined in consideration of functions in the present invention, and may be changed according to intentions or customs of users or operators. Therefore, the definition should be made based on the contents throughout the specification.

이하, 본 발명은 애플리케이션 호스팅(Application Hosting) 기술을 바탕으로, 하나의 통신시스템에서 효과적이고 이식성 높은 침입 탐지 시스템(Intrusion Detection System: 이하 "IDS"라 칭함) 및 방법에 관해 설명하기로 한다. 특히, 애플리케이션 호스팅 기술을 이용하여, 하나의 통신시스템 내에 통합된 IDS를 운용하는 기법에 대해서 설명하기로 한다.Hereinafter, the present invention will be described with reference to an effective and portable intrusion detection system (hereinafter referred to as "IDS") and method in one communication system based on an application hosting technology. In particular, a technique of operating an IDS integrated in one communication system using an application hosting technology will be described.

상기 애플리케이션 호스팅은, 인터넷을 이용해 응용 프로그램을 사용할 수 있게 해주는 서비스이다. 예를 들어, 워드프로세서나 스프레드시트 같은 프로그램들을 자신의 컴퓨터에서 직접 실행하는 것이 아니라 인터넷에 접속하여 해당 업체의 서버를 통해 실행시키는 것이다. 소프트웨어를 구입할 필요가 없으며 해당 프로그램이 설치되어 있지 않은 컴퓨터에서도 실행시킬 수 있다.The application hosting is a service that enables the use of the application using the Internet. For example, programs such as word processors and spreadsheets do not run directly on their computers, but on the Internet and on their servers. You don't need to buy any software, and you can run it on a computer that doesn't have it installed.

이하, 본 발명의 설명에서, 통신시스템은, 고속 패킷 처리를 위한 네트워크 프로세서나 FPGA(Field Programmable Gate Array) 등의 전용 네트워크 프로세서 유닛(Network Processor Unit: NPU) 등의 데이터처리부(data plane)와, 복잡한 제어처리하기 위한 부분(이하 제어처리부(control plane)라 칭함)으로 분리된다고 가정한다.Hereinafter, in the description of the present invention, a communication system includes a data plane such as a network processor for high-speed packet processing, a dedicated network processor unit (NPU) such as a field programmable gate array (FPGA), and the like. It is assumed that it is divided into parts for complicated control processing (hereinafter referred to as a control plane).

또한, IDS 장비는 통신시스템 내에서 별도의 장비로 구현되거나, 상기 통신시스템 내의 다른 장비와 함께 구현될 수 있다. 예를 들어, 와이브로 시스템에서 RAS(Radio Access Station) 혹은 ACR(Access Control Router) 같은 장비와 함께 구현될 수 있다.
In addition, the IDS equipment may be implemented as a separate equipment in the communication system, or may be implemented together with other equipment in the communication system. For example, the WiBro system may be implemented with equipment such as a radio access station (RAS) or an access control router (ACR).

도 2는 본 발명의 실시 예에 따른 전체적인 침입탐지시스템 구성도를 도시하고 있다.2 is a block diagram of an overall intrusion detection system according to an exemplary embodiment of the present invention.

상기 도 2를 참조하면, 상기 침입탐지시스템은 하나의 통신시스템 내에서 데이터 처리부(Data Plane)(201)과 제어 처리부(Control Plane)(202)의 동작으로 물리적으로 구분된다.Referring to FIG. 2, the intrusion detection system is physically divided into operations of a data plane 201 and a control plane 202 in one communication system.

상기 데이터 처리부(201)는 패킷처리모듈(packet processing module)(207)을 포함하여 고속 패킷 처리를 위해서, 패킷의 전달 순서 결정 기능, 패킷 관련의 부가 서비스 기능을 수행한다.The data processing unit 201 includes a packet processing module 207 to perform packet delivery order determination function and packet related additional service function for high speed packet processing.

본 발명에 더하여, 상기 패킷처리모듈(packet processing module)(207)은 인터페이스(203)를 통해 패킷을 수신할 시, IDS 흐름 식별자(208)가 애플리케이션 흐름 테이블(212)을 검색하여(이하 애플리케이션 호스팅(Application Hosting) 기법이라 칭함) 수신된 패킷(215)을 상기 제어 처리부(202)로 전송할지 아니면 해당 패킷처리를 수행한 후 외부 인터페이스(206)를 통해 외부로 내보낼지를 결정한다. 그리고, 상기 데이터 처리부(201)의 수신처리기(219)는 상기 제어 처리부(202)로부터 재전송된 패킷을 상기 제어 처리부(202)로 전송되기 전의 패킷블록(즉, 상기 재전송 패킷을 처리하고 있던 블록)(209)으로 보낸다.In addition to the present invention, when the packet processing module 207 receives a packet through the interface 203, the IDS flow identifier 208 retrieves the application flow table 212 (hereinafter referred to as application hosting). The application packet is determined whether to transmit the received packet 215 to the control processor 202 or to the outside through the external interface 206 after performing the packet processing. Then, the reception processor 219 of the data processing unit 201 transmits the packet retransmitted from the control processing unit 202 to the control processing unit 202 (that is, the block that was processing the retransmission packet). Send to (209).

여기서, 상기 수신된 패킷(215)이 상기 제어 처리부(202)의 IDS 애플리케이션(213)으로 보내질 때, 상기 패킷(215)에 메타 데이터(216)와 재전송정보(217)가 추가된다. 상기 메타 정보(216)는 애플리케이션 호스팅 처리를 위한 다양한 부가 정보이고, 상기 재전송정보(217)는 상기 IDS 애플리케이션(213)이 IDS 연산을 수행한 후 상기 데이터 처리부(201)로 상기 패킷(215)을 재전송할 때 필요하다.Here, when the received packet 215 is sent to the IDS application 213 of the control processing unit 202, metadata 216 and retransmission information 217 are added to the packet 215. The meta information 216 is various additional information for an application hosting process, and the retransmission information 217 is configured to send the packet 215 to the data processor 201 after the IDS application 213 performs an IDS operation. Required when retransmitting.

한편, 상기 패킷처리모듈(packet processing module)(207)은 다른 인터페이스(204, 205)를 통해서 패킷 흐름을 더 수신할 수 있다.Meanwhile, the packet processing module 207 may further receive a packet flow through the other interfaces 204 and 205.

상기 제어 처리부(202)는 트래픽 유출 모듈(Traffic Export Module)(210)를 포함하여 애플리케이션 흐름 테이블(212)에 필요한 정보를 외부로 출력한다. 상기 외부로 출력된 정보는 메모리(도시하지 않음)에 저장된다. 즉, 애플리케이션 흐름 테이블(212)는 메모리에 저장되어 IDS 흐름 식별자(208)의 접근을 허용한다. 상기 트래픽 유출 모듈(Traffic Export Module)(210)의 입력은 패킷 API(218) 혹은 CLI(Command Line interface)(218)로 이루어진다.The control processing unit 202 outputs the information necessary for the application flow table 212 to the outside, including a traffic export module (210). The externally output information is stored in a memory (not shown). That is, application flow table 212 is stored in memory to allow access to IDS flow identifier 208. The input of the traffic export module 210 is composed of a packet API 218 or a command line interface (CLI) 218.

이하, 도 4에서 패킷 API(218) 혹은 CLI(Command Line interface)(218)에 의해 애플리케이션 흐름 테이블(212)을 설정하는 방법을 설명하고, 도 5에서 시스템에서 받은 패킷을 데이터처리부(201)에서 애플리케이션 흐름 테이블(212)을 검색하고, 애플리케이션 호스팅을 이용하여 해당 IDS 프로그램으로 패킷을 전송하는 흐름을 설명하고, 그리고, 도 6에서 시스템에서 상기 제어 처리부(202)에서 데이터처리부(201)로 패킷을 재전송하는 흐름을 설명할 것이다.
Hereinafter, a method of setting the application flow table 212 by the packet API 218 or the command line interface (CLI) 218 will be described with reference to FIG. 4, and the data processor 201 receives the packet received from the system in FIG. 5. The flow of retrieving the application flow table 212, transmitting the packet to the corresponding IDS program using the application hosting is described, and the packet is transmitted from the control processing unit 202 to the data processing unit 201 in the system in FIG. We will explain the flow of retransmission.

도 3은 본 발명의 실시 예에 따른 침입탐지시스템 동작을 위한 흐름도를 도시하고 있다.3 is a flowchart illustrating an intrusion detection system operation according to an exemplary embodiment of the present invention.

상기 도 3을 참조하면, 침입탐지시스템은 301단계에서 인터페이스를 통해 네트워크으로부터 유입되는 패킷을 수신한다.Referring to FIG. 3, the intrusion detection system receives a packet flowing from a network through an interface in step 301.

이후, 상기 침입탐지시스템은 303단계에서 패킷 수신시, 패킷 API(218)' 혹은 CLI(Command Line interface)(211)에 의해서 설정된 애플리케이션 흐름 테이블(212)을 검색한다. 상기 애플리케이션 흐름 테이블(212)은 침입탐지 기능을 수행할 흐름(flow)에 관한 리스트이다.In step 303, the intrusion detection system searches the application flow table 212 set by the packet API 218 ′ or the command line interface (CLI) 211 when the packet is received. The application flow table 212 is a list of flows for performing an intrusion detection function.

이후, 상기 침입탐지시스템은 305단계에서 상기 수신된 패킷에 해당하는 흐름이 상기 애플리케이션 흐름 테이블에 존재할 시, 307단계로 진행하고, 상기 수신된 패킷에 해당하는 흐름이 상기 애플리케이션 흐름 테이블에 없을 시, 323단계로 진행한다.In step 305, when the flow corresponding to the received packet exists in the application flow table, the intrusion detection system proceeds to step 307. When the flow corresponding to the received packet is not present in the application flow table, Proceed to step 323.

상기 침입탐지시스템은 307단계에서 패킷의 페이로드(payload) 뒷부분에 '메타 데이터(216)'를 추가하고, 309단계에서 상기 메타정보가 추가된 패킷을 제어처리부(control plane)로 전송한다. 위와 같은 구조는 선별적으로 특정 흐름에 대해 IDS 연산을 수행하여, IDS와 관계없이 기존의 데이터처리영역 수행되는 패킷 처리의 성능 저하를 방지해준다.In step 307, the intrusion detection system adds 'meta data 216' to the rear part of the payload of the packet, and transmits the packet to which the meta information is added in step 309 to the control plane. The above structure selectively performs IDS operation on a specific flow, thereby preventing performance degradation of packet processing performed in the existing data processing area regardless of IDS.

여기서, 흐름 테이블 검색은 데이터처리영역의 전체 패킷 처리 과정 중 여러 과정들에서 수행될 수 있다. 이를 구분하기 위해, 제어처리영역으로 전송 후에 데이터처리영역으로 다시 돌아올 해당 패킷 처리 과정의 위치 정보(이하, 후킹 포인트(hooking point)라 칭함)를 의미하는 재전송정보(resend info)를 정의한다.Here, the flow table search may be performed in various processes of the entire packet processing of the data processing region. To distinguish this, resend info is defined to mean location information (hereinafter, referred to as a hooking point) of a packet processing process that will be returned to the data processing area after transmission to the control processing area.

한편, 패킷과 함께 전송되는 '메타 데이터'는 'Application Hosting' 처리를 위한 다양한 부가 정보이다. 즉, 상기 메타 데이터 내에 기본적으로 해당 '애플리케이션 식별자'와 '재전송정보' 등이 반드시 포함되고, 이외에도 'Application Hosting' 동작제어를 위한 다른 부가 정보 등이 포함된다.
Meanwhile, 'meta data' transmitted with the packet is various additional information for 'Application Hosting' processing. That is, the corresponding 'application identifier' and 'retransmission information' are basically included in the metadata, and other additional information for controlling 'Application Hosting' operation is included.

이후, 상기 침입탐지시스템은 311단계에서 애플리케이션 호스팅 프로세스를 수행한다. 즉, 상기 침입탐지시스템은 상기 패킷이 제어처리영역으로 전송된 후, '애플리케이션 호스팅'에 기반하여 상기 패킷을 IDS 애플리케이션(213)으로 전달한다. 상기 애플리케이션 호스팅은 상기 패킷의 상기 메타 데이터에 포함된 애플리케이션 식별자(Application_ID)를 기반으로, 상기 패킷을 IDS 애플리케이션(213)으로 전달한다. 여기서, 상기 IDS 애플리케이션(213)의 식별자는 패킷 API 혹은 CLI에 의해 설정된다.Thereafter, the intrusion detection system performs an application hosting process in step 311. That is, the intrusion detection system transfers the packet to the IDS application 213 based on the 'application hosting' after the packet is transmitted to the control processing area. The application hosting delivers the packet to the IDS application 213 based on the application identifier Application_ID included in the metadata of the packet. Here, the identifier of the IDS application 213 is set by the packet API or CLI.

한편, "Snort"와 같은 IDS 애플리케이션은 패킷 API(218)와 결합하여 구성된다. 즉, IDS 기능을 갖는 어떠한 애플리케이션들도 패킷 API와 결합이 가능하며, 패킷 API는 다음과 같은 기능을 수행한다.On the other hand, an IDS application such as "Snort" is configured in conjunction with the packet API 218. That is, any application with IDS can be combined with the packet API, and the packet API performs the following functions.

먼저, IDS 처리를 위해 제어처리영역으로 전송해야 할 흐름에 대한 정보를 트래픽 유출 모듈(210)을 통해 설정한다. 두 번째, IDS 애플리케이션에서 정상적인 패킷으로 판명된 경우에, 패킷 처리 모듈(207)로 재전송하는 기능을 수행한다.
First, the information on the flow to be transmitted to the control processing area for IDS processing is set through the traffic leakage module 210. Second, when it is determined that the packet is normal in the IDS application, the packet processing module 207 retransmits the packet.

이후, 상기 침입탐지시스템은 313단계에서, 상기 IDS 애플리케이션(213)을 이용하여, IDS 프로세싱하고, 315단계에서, 해당 IDS 애플리케이션으로 패킷이 전달되면, 패킷 필터링하여 패킷이 유해한지를 검사한다.In step 313, the intrusion detection system uses the IDS application 213 to perform IDS processing. In step 315, when the packet is delivered to the IDS application, the intrusion detection system filters the packet to check whether the packet is harmful.

만약, 유해한 패킷이라고 판단되는 경우, 316단계에서 IDS 애플리케이션 내에서 패킷을 드롭한다(drop).If it is determined that the packet is harmful, in step 316, the packet is dropped in the IDS application.

반면, 유해하지 않은 패킷이라고 판단되는 경우, 317단계에서 상기 패킷을 데이터처리영역으로 재전송한다.In contrast, if it is determined that the packet is not harmful, the packet is retransmitted to the data processing region in step 317.

이후, 상기 침입탐지시스템은 319단계에서, 재전송정보를 기반으로 상기 재전송된 패킷의 후킹 포인트(hooking point)를 확인한다. 여기서, 후킹은 다른 프로세스의 실행 경로를 가로채는 것을 의미하는 것으로, 상기 후킹 포인트는 상기 재전송된 패킷을 처리할 프로세서의 위치를 의미한다. In step 319, the intrusion detection system identifies a hooking point of the retransmitted packet based on the retransmission information. Here, hooking means intercepting an execution path of another process, and the hooking point means a position of a processor to process the retransmitted packet.

이후, 상기 침입탐지시스템은 321단계에서, 상기 재전송된 패킷을 상기 IDS 애플리케이션으로 전송하기 전의 원래 데이터처리영역에서 상기 패킷을 처리하던 지점으로 보낸다.In step 321, the intrusion detection system sends the retransmitted packet to the point where the packet was processed in the original data processing area before transmitting the retransmitted packet to the IDS application.

이후, 상기 침입탐지시스템은 323단계에서, 상기 패킷에 대해 남은 프로세스들을 처리하고, 325단계에서 처리된 패킷을 외부 인터페이스를 통해 내보낸다.
In step 323, the intrusion detection system processes the remaining processes for the packet, and sends the processed packet through the external interface in step 325.

앞에서 설명한 바와 같이, 데이터처리영역에서는, IDS를 처리하기 위한 특정 흐름만을 선별하여 제어처리영역에 존재하는 IDS 애플리케이션으로 전송한다. 이러한 과정을 통해서 기존의 데이터처리영역에서의 패킷 처리 성능은 동일하게 유지하면서, IDS 애플리케이션에서 처리해야 할 패킷의 부하를 줄일 수 있다.As described above, in the data processing region, only a specific flow for processing the IDS is selected and transmitted to the IDS application existing in the control processing region. Through this process, it is possible to reduce the load of packets to be processed in the IDS application while maintaining the same packet processing performance in the existing data processing area.

도 4는 본 발명의 실시 예에 따른 침입탐지시스템에서 애플리케이션 흐름 테이블을 설정하는 흐름을 도시하고 있다. 도 4는 상기 도 2의 침입탐지시스템 구성도에서 애플리케이션 흐름 테이블 설정과 관련된 기능블록만을 도시하고 있다.4 is a flowchart illustrating an application flow table setting in the intrusion detection system according to an exemplary embodiment of the present invention. FIG. 4 illustrates only functional blocks related to application flow table setting in the intrusion detection system block diagram of FIG. 2.

상기 도 4를 참조하면, 애플리케이션 흐름 테이블(405)은 데이터 처리영역과 제어처리영역 모두에서 접근 가능한 메모리 영역에 존재하며, 트래픽 유출 모듈(404)은 패킷 API(403) 혹은 CLI(Command Line Interface)로부터, 튜플(tuple) 이용하여 흐름 정보 및 애플리케이션 식별자(Application ID) 등의 정보를 애플리케이션 흐름 테이블(405)에 설정한다. 상기 튜플은 순서대로 정렬된 값들의 세트이다. 예를 들면, {Flow Info, Application ID}는 튜플의 예이다.Referring to FIG. 4, the application flow table 405 is located in a memory area accessible from both the data processing area and the control processing area, and the traffic leakage module 404 is a packet API 403 or a command line interface (CLI). From the tuple, information such as flow information and application identifier (Application ID) is set in the application flow table 405. The tuple is a set of values arranged in order. For example, {Flow Info, Application ID} is an example of a tuple.

패킷 API(401)로 설정되는 경우는, 애플리케이션이 초기화되는 경우에 설정되며, 상기 CLI(403)로 설정되는 경우에는, 초기화 이후 시점에 아무때나 동적으로 설정이 가능하다.
The packet API 401 is set when the application is initialized. When the packet API 401 is set, the CLI 403 can be set dynamically at any time after the initialization.

도 5는 본 발명의 실시 예에 따른 침입탐지시스템에서 애플리케이션 호스팅 기법을 이용하여 IDS 애플리케이션으로 패킷을 전달하는 흐름을 도시하고 있다. 도 5는 상기 도 2의 침입탐지시스템 구성도에서 애플리케이션 호스팅 기법을 이용하여 IDS 애플리케이션으로 패킷을 전달하는 기능블록만을 도시하고 있다.FIG. 5 illustrates a flow of delivering a packet to an IDS application using an application hosting technique in an intrusion detection system according to an exemplary embodiment of the present invention. FIG. 5 shows only a functional block for delivering a packet to an IDS application using an application hosting scheme in the intrusion detection system configuration of FIG. 2.

상기 도 5를 참조하면, 앞서 설명한 바와 같이 "IDS 흐름 식별자"에서는 "애플리케이션 흐름 테이블"에 설정된 정보를 참조하여, 패킷을 어떤 IDS 애플리케이션으로 전송할지를 판별한다. IDS 애플리케이션으로 보내어질 패킷은 패킷의 뒷부분에 여러 가지 패킷의 제어 정보를 가지고 있는 "메타 데이터"를 추가하여 전송한다.Referring to FIG. 5, as described above, in the "IDS flow identifier", the IDS application determines which IDS application the packet is transmitted by referring to the information set in the "application flow table." The packet to be sent to the IDS application is transmitted by adding "meta data" which contains various packet control information to the end of the packet.

상기 메타 데이터는 애플리케이션 호스팅 자체의 동작을 제어하기 위하여 여러 가지 부가 정보들을 포함할 수 있으며, 애플리케이션 식별자와 재전송 정보는 필수적으로 포함되어야 한다. 그 외에도 패킷의 처리 단계(level) 및 시간 정보(time stamp) 등의 부가 정보를 포함할 수 있다. 해당 IDS 애플리케이션은 애플리케이션 식별자에 따라 처리해야 할 패킷을 수신하게 된다.
The metadata may include a variety of additional information to control the operation of the application hosting itself, the application identifier and retransmission information must be included. In addition, it may include additional information such as packet processing level and time stamp. The IDS application receives the packet to be processed according to the application identifier.

도 6은 본 발명의 실시 예에 따른 침입탐지시스템에서 제어처리영역에서 데이터처리영역으로 패킷을 재전송하는 흐름을 도시하고 있다. 도 6은 상기 도 2의 침입탐지시스템 구성도에서 제어처리영역에서 데이터처리영역으로 패킷을 재전송하는 기능블록만을 도시하고 있다.6 is a flowchart illustrating retransmission of a packet from a control processing area to a data processing area in an intrusion detection system according to an exemplary embodiment of the present invention. FIG. 6 shows only functional blocks for retransmitting packets from the control processing area to the data processing area in the intrusion detection system configuration of FIG.

상기 도 6을 참조하면, IDS 애플리케이션(604)은 자체의 정책에 의해서 수신된 패킷을 검사하여, 유해한 패킷은 드롭하고 유해하지 않은 패킷을 데이터처리영역으로 재전송한다. 여기서, 상기 IDS 애플리케이션(604)과 결합된 패킷 API(605)가 재전송 기능을 수행한다. 패킷을 데이터처리영역으로 재전송하는 경우에는, 데이터처리영역으로부터 받은 패킷의 '재전송 정보(resend info)'(608)를 패킷의 페이로드 마지막에 추가하여 전송한다.Referring to FIG. 6, the IDS application 604 examines the received packet by its policy, drops the harmful packet and retransmits the harmful packet to the data processing area. Here, the packet API 605 combined with the IDS application 604 performs a retransmission function. When the packet is retransmitted to the data processing region, 'resend info' 608 of the packet received from the data processing region is added to the end of the payload of the packet and transmitted.

데이터처리영역의 수신처리기(606)는 IDS 애플리케이션(604)으로부터 패킷을 수신한 후에 패킷에 붙어 있는 재전송 정보를 분석하여, 이전 처리과정 이후에 처리 지점으로 패킷을 분기하는 역할을 수행한다.The receiving processor 606 of the data processing area analyzes retransmission information attached to the packet after receiving the packet from the IDS application 604, and branches the packet to the processing point after the previous processing.

예를 들어, 시스템에 수신된 패킷이 "Block 4"(601)까지 처리된 이후에 IDS 흐름 식별기(602)에 의해 IDS 애플리케이션(604)으로 전송된 후에, 상기 수신처리기(606)는 재전송된 패킷을 다음 블럭인 "Block 5"(607)으로 보낸다.
For example, after a packet received by the system has been processed up to " Block 4 " 601 and then sent by the IDS flow identifier 602 to the IDS application 604, the receive processor 606 retransmitted the packet. Is sent to the next block, Block 5 (607).

상술한 바와 같이, IDS 처리가 기존 시스템의 데이터 처리 성능에 거의 영향을 주지 않는 시스템을 구축할 수 있다. 또한, IDS의 처리 엔진이 하나의 응용프로그램 형태로 제공하므로, 새로운 침입 방지 방법 등이 변경될 경우에도 매우 빠르게 대응할 수 있고, 필요 시 전혀 다른 IDS 처리 엔진도 쉽게 이식할 수 있다.
As described above, it is possible to construct a system in which the IDS processing hardly affects the data processing performance of the existing system. In addition, since the IDS processing engine is provided in the form of one application program, even when a new intrusion prevention method or the like is changed, it can respond very quickly, and if necessary, an entirely different IDS processing engine can be easily ported.

한편 본 발명의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
Meanwhile, in the detailed description of the present invention, specific embodiments have been described, but various modifications are possible without departing from the scope of the present invention. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined not only by the scope of the following claims, but also by the equivalents of the claims.

도 22

Claims (16)

침입탐지시스템(Intrusion Detection System: IDS)에서, 패킷 처리 장치에 있어서,
애플리케이션 흐름 테이블을 설정하는 트래픽 유출 모듈과,
상기 애플리케이션 흐름 테이블을 검색하여 유입되는 패킷 흐름을 선별한 후, 애플리케이션 호스팅을 이용하여 상기 유입되는 패킷을 해당 IDS 애플리케이션으로 전송하는 패킷처리모듈과,
상기 유입되는 패킷을 상기 패킷처리모듈로 재전송하는 상기 해당 IDS 애플리케이션을 포함하는 것을 특징으로 하는 장치.
In the Intrusion Detection System (IDS), in the packet processing apparatus,
A traffic leakage module that sets up an application flow table,
A packet processing module for searching the application flow table to select an incoming packet flow and then transmitting the incoming packet to a corresponding IDS application by using application hosting;
And the corresponding IDS application for retransmitting the incoming packet to the packet processing module.
제 1항에 있어서,
상기 트래픽 유출 모듈은,
패킷 API(Application Programming Interface) 혹은 CLI(Command Line interface)을 이용하여 상기 애플리케이션 흐름 테이블을 설정하는 것을 특징으로 하는 장치.
The method of claim 1,
The traffic leakage module,
Device for setting the application flow table using a packet application programming interface (API) or a command line interface (CLI).
제 1항에 있어서,
상기 패킷처리모듈은,
상기 유입되는 패킷을 수신하는 인터페이스와,
상기 유입되는 패킷에 해당하는 흐름(flow) 정보가 상기 애플리케이션 흐름 테이블에 포함되어 있는지 검색하는 IDS 흐름 식별자를 포함하며,
상기 패킷처리모듈은, 상기 유입되는 패킷에 메타 정보를 붙여서 상기 해당 IDS 애플리케이션으로 전송하는 것을 특징으로 하는 장치.
The method of claim 1,
The packet processing module,
An interface for receiving the incoming packet;
An IDS flow identifier for searching whether the flow information corresponding to the incoming packet is included in the application flow table,
And the packet processing module attaches meta information to the incoming packet and transmits the meta information to the corresponding IDS application.
제 3항에 있어서,
상기 메타 정보는 애플리케이션 식별자, 재전송 정보, 그리고 상기 유입되는 패킷의 처리단계(level), 시간정보(time stamp) 중 적어도 하나 이상을 포함하는 것을 특징으로 하는 장치.
The method of claim 3, wherein
The meta information includes at least one of an application identifier, retransmission information, and a level and a time stamp of the incoming packet.
제 1항에 있어서,
상기 해당 애플리케이션과 패킷 API(Application Programming Interface)가 결합하여 애플리케이션 호스팅 기능을 수행하는 것을 특징으로 하는 장치.
The method of claim 1,
And the corresponding application and a packet application programming interface (API) combine to perform an application hosting function.
제 1항에 있어서,
상기 애플리케이션으로부터 상기 유입되는 패킷을 재전송 받은 후, 재전송정보를 기반으로 상기 유입되는 패킷을 해당 처리블록으로 전송하는 수신처리기를 더 포함하며,
상기 패킷처리모듈은,
상기 해당 처리블록부터 남은 작업을 계속 수행하는 것을 특징으로 하는 장치.
The method of claim 1,
Receiving the incoming packet from the application, and further comprising a receiving processor for transmitting the incoming packet to the processing block based on the retransmission information,
The packet processing module,
And continuing to perform the remaining work from the corresponding processing block.
제 6항에 있어서,
상기 재전송 정보는 상기 유입되는 패킷의 처리레벨 및 시간정보(time stamp) 중 적어도 하나 이상을 포함하는 것을 특징으로 하는 장치.
The method according to claim 6,
And the retransmission information includes at least one of a processing level and a time stamp of the incoming packet.
제 1항에 있어서,
상기 침입탐지시스템은 데이터처리 영역과 제어처리 영역으로 구분되며,
상기 트래픽 유출 모듈과 상기 해당 IDS 애플리케이션은 상기 제어처리 영역에 포함되고, 상기 패킷처리모듈은 데이터처리 영역에 포함되는 것을 특징으로 하는 장치.
The method of claim 1,
The intrusion detection system is divided into a data processing area and a control processing area,
The traffic leakage module and the corresponding IDS application are included in the control processing area, and the packet processing module is included in a data processing area.
침입탐지시스템(Intrusion Detection System: IDS)에서, 패킷 처리 방법에 있어서,
트래픽 유출 모듈이, 애플리케이션 흐름 테이블을 설정하는 과정과,
패킷처리모듈이, 상기 애플리케이션 흐름 테이블을 검색하여 유입되는 패킷 흐름을 선별하는 과정과,
애플리케이션 호스팅을 이용하여 상기 유입되는 패킷을 해당 IDS 애플리케이션으로 전송하는 과정과,
상기 해당 IDS 애플리케이션이, 상기 유입되는 패킷을 상기 패킷처리모듈로 재전송하는 과정을 포함하는 것을 특징으로 하는 방법.
In the intrusion detection system (IDS), in the packet processing method,
The traffic leakage module configures the application flow table,
Filtering, by the packet processing module, the incoming packet flow by searching the application flow table;
Transmitting the incoming packet to the corresponding IDS application by using application hosting;
And retransmitting, by the corresponding IDS application, the incoming packet to the packet processing module.
제 9항에 있어서,
상기 애플리케이션 흐름 테이블은 패킷 API(Application Programming Interface) 혹은 CLI(Command Line interface)에 의해 설정되는 것을 특징으로 하는 방법.
The method of claim 9,
The application flow table is set by the packet application programming interface (API) or the command line interface (CLI).
제 9항에 있어서,
상기 패킷처리모듈이, 상기 애플리케이션 흐름 테이블을 검색하여 유입되는 패킷 흐름을 선별하는 과정은,
상기 유입되는 패킷을 수신하는 과정과,
상기 유입되는 패킷에 해당하는 흐름(flow) 정보가 상기 애플리케이션 흐름 테이블에 포함되어 있는지 검색하는 과정을 포함하며,
상기 유입되는 패킷을 해당 IDS 애플리케이션으로 전송할 시, 상기 유입되는 패킷에 메타 정보가 붙여서 상기 해당 IDS 애플리케이션으로 전송되는 것을 특징으로 하는 방법.
The method of claim 9,
In the packet processing module, the process of selecting an incoming packet flow by searching the application flow table may include:
Receiving the incoming packet;
Detecting whether flow information corresponding to the incoming packet is included in the application flow table,
When the incoming packet is transmitted to the corresponding IDS application, meta information is attached to the incoming packet and transmitted to the corresponding IDS application.
제 9항에 있어서,
상기 메타 정보는 애플리케이션 식별자, 재전송 정보, 그리고 상기 유입되는 패킷의 처리단계(level), 시간정보(time stamp) 중 적어도 하나 이상을 포함하는 것을 특징으로 하는 방법.
The method of claim 9,
The meta information includes at least one of an application identifier, retransmission information, and a level and a time stamp of the incoming packet.
제 9항에 있어서,
상기 해당 애플리케이션과 패킷 API(Application Programming Interface)가 결합하여 애플리케이션 호스팅 기능을 수행하는 것을 특징으로 하는 방법.
The method of claim 9,
And combining the corresponding application with a packet application programming interface (API) to perform an application hosting function.
제 9항에 있어서,
상기 애플리케이션으로부터 상기 유입되는 패킷을 재전송 받은 후, 재전송정보를 기반으로 상기 유입되는 패킷을 해당 처리블록으로 전송하는 과정과,
상기 해당 처리블록부터 남은 작업을 계속 수행하는 과정을 더 포함하는 것을 특징으로 하는 방법.
The method of claim 9,
Retransmitting the incoming packet from the application and transmitting the incoming packet to a corresponding processing block based on retransmission information;
And continuing to perform the remaining work from the corresponding processing block.
제 9항에 있어서,
상기 재전송 정보는 상기 유입되는 패킷의 처리레벨 및 시간정보(time stamp) 중 적어도 하나 이상을 포함하는 것을 특징으로 하는 방법.
The method of claim 9,
The retransmission information includes at least one of a processing level and a time stamp of the incoming packet.
제 9항에 있어서,
상기 침입탐지시스템은 데이터처리 영역과 제어처리 영역으로 구분되며,
상기 트래픽 유출 모듈과 상기 해당 IDS 애플리케이션은 상기 제어처리 영역에 포함되고, 상기 패킷처리모듈은 데이터처리 영역에 포함되는 것을 특징으로 하는 방법.The method of claim 9,
The intrusion detection system is divided into a data processing area and a control processing area,
The traffic leakage module and the corresponding IDS application are included in the control processing area, and the packet processing module is included in a data processing area.
KR1020100114892A 2010-11-18 2010-11-18 Intrusion detection system and method using application hosting KR20120053661A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100114892A KR20120053661A (en) 2010-11-18 2010-11-18 Intrusion detection system and method using application hosting

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100114892A KR20120053661A (en) 2010-11-18 2010-11-18 Intrusion detection system and method using application hosting

Publications (1)

Publication Number Publication Date
KR20120053661A true KR20120053661A (en) 2012-05-29

Family

ID=46269763

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100114892A KR20120053661A (en) 2010-11-18 2010-11-18 Intrusion detection system and method using application hosting

Country Status (1)

Country Link
KR (1) KR20120053661A (en)

Similar Documents

Publication Publication Date Title
US11082436B1 (en) System and method for offloading packet processing and static analysis operations
US9954873B2 (en) Mobile device-based intrusion prevention system
CN109565500B (en) On-demand security architecture
US9509628B2 (en) Managing devices in a heterogeneouus network
US9065846B2 (en) Analyzing data gathered through different protocols
EP2779574B1 (en) Attack detection and prevention using global device fingerprinting
US8726338B2 (en) Dynamic threat protection in mobile networks
EP2767058B1 (en) Method and apparatus for managing access for trusted and untrusted applications
US20110099631A1 (en) Distributed Packet Flow Inspection and Processing
KR101089154B1 (en) Network separation device and system using virtual environment and method thereof
WO2015175007A1 (en) Method to enable deep packet inspection (dpi) in openflow-based software defined network (sdn)
WO2006087907A1 (en) Communication control device
US11044233B2 (en) Browser switching system and methods
EP3750289B1 (en) Method, apparatus, and computer readable medium for providing security service for data center
KR101076683B1 (en) Apparatus and method for splitting host-based networks
CN113726789B (en) Sensitive data interception method and device
KR101286015B1 (en) Security audit service system and method among virtual machines in the virtualization environment
CA3159619A1 (en) Packet processing method and apparatus, device, and computer-readable storage medium
EP2321934B1 (en) System and device for distributed packet flow inspection and processing
Cho et al. A sophisticated packet forwarding scheme with deep packet inspection in an openflow switch
CN104380686A (en) Method and system used for applying NG firewall, NG firewall client-side and NG firewall servicer
KR100539760B1 (en) System and method for inducing installing agent using internet access control
KR20120053661A (en) Intrusion detection system and method using application hosting
CN107888624B (en) Method and device for protecting network security
US20180234334A1 (en) Redirecting flow control packets

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E601 Decision to refuse application