KR20140044970A - 접근 제어 목록을 이용한 공격 차단 제어 방법 및 그 장치 - Google Patents

접근 제어 목록을 이용한 공격 차단 제어 방법 및 그 장치 Download PDF

Info

Publication number
KR20140044970A
KR20140044970A KR1020120101484A KR20120101484A KR20140044970A KR 20140044970 A KR20140044970 A KR 20140044970A KR 1020120101484 A KR1020120101484 A KR 1020120101484A KR 20120101484 A KR20120101484 A KR 20120101484A KR 20140044970 A KR20140044970 A KR 20140044970A
Authority
KR
South Korea
Prior art keywords
packet
blocking
time
access control
attack
Prior art date
Application number
KR1020120101484A
Other languages
English (en)
Inventor
김대원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020120101484A priority Critical patent/KR20140044970A/ko
Priority to US13/674,497 priority patent/US8839406B2/en
Publication of KR20140044970A publication Critical patent/KR20140044970A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5603Access techniques

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명의 접근 제어 목록을 이용한 공격 차단 제어 방법은, 패킷이 유입되면 접근 제어 목록을 탐색하여 등록 패킷인지의 여부를 체크하는 과정과, 상기 등록 패킷일 때 현재시간 카운트 값과 상기 패킷의 차단 시간을 비교하는 과정과, 상기 현재시간 카운트 값이 상기 차단 시간 이하일 때 상기 패킷의 차단 횟수를 1증가시키고, 상기 차단 시간을 자동 갱신하는 과정과, 상기 현재시간 카운트 값이 상기 차단 시간 이상일 때 상기 접근 제어 목록으로부터 상기 패킷에 대한 등록 정보를 삭제하는 과정을 포함할 수 있다.

Description

접근 제어 목록을 이용한 공격 차단 제어 방법 및 그 장치{METHOD AND APPARATUS FOR CONTROLLING BLOCKING OF SERVICE ATTACK BY USING ACCESS CONTROL LIST}
본 발명은 접근 제어 목록(ACL : access control list)을 이용하여 공격 차단을 제어하는 기법에 관한 것으로, 네트워크에 접속된 보안 시스템에서 공격 패킷으로 탐지되어 차단할 패킷 정보를 접근 제어 목록(ACL)에 등록하고, 이후 유입되는 패킷들에 대해 공격 패킷과 정상 패킷의 전송간격의 차이에 기반하여 차단 시간을 자동 연장하거나 혹은 차단을 해제하는데 적합한 접근 제어 목록을 이용한 공격 차단 제어 방법 및 그 장치에 관한 것이다.
잘 알려진 바와 같이, 네트워크에 접속된 호스트 기반 및 네트워크 기반의 보안 시스템에는 대부분 접근 제어 목록(ACL)이라는 기능을 하드웨어 기반 혹은 소프트웨어 기반으로 포함하고 있는데, 이러한 접근 제어 목록 기반의 공격 차단 제어에서는 공격으로 판단되거나 혹은 추측되는 패킷의 정보, 예컨대 IP주소, 포트번호, 프로토콜 정보 등을 등록(기록)해 두고, 여기에 부합되는 패킷들이 유입될 때 이들을 차단하는 기능을 수행한다.
여기에서, 접근 제어 목록에 차단해야 할 패킷 정보를 기록 및 삭제하는데 있엇, 사용자의 수작업을 통한 기록/삭제 방법은 큰 문제가 없으나, 자동화된 방법의 경우 접근 제어 목록에 차단해야 할 패킷 정보를 등록(기록)하고 삭제하는 경우에는, 언제 ACL 정보를 삭제하여야 하는지에 대한 문제가 발생한다.
대부분의 경우에는, 기 설정된 특정 시간이 지나면 접근 제어 목록에 등록된 정보를 자동 삭제하고, 이후 다시 공격으로 탐지될 때 ACL 정보를 재등록 하는 방법을 사용하고 있다.
일예로서, 네트워크에 접속된 보안 시스템에서 UDP/ICMP 플러딩 공격을 차단하기 위해서 임계치(Threshold) 기반의 탐지/차단 기법을 주로 이용한다. 이러한 기법에서는 UDP/ICMP 플러딩 공격이 발생하면, 유입되는 UDP/ICMP 패킷의 개수가 증가하게 되고, 그 개수가 서비스 시스템을 보호하기 위해 보안 시스템에 미리 설정된 임계치를 넘어설 때, 임계치를 넘긴 다음 UDP/ICMP 패킷부터는 차단시킨다.
이때, 임계치와 유입된 UDP/ICMP 패킷의 개수를 비교하기 위해서는 보안 시스템 동작 주기 동안(예컨대, 1초 등)에 유입된 UDP/ICMP 패킷의 개수를 측정한다. 따라서, 동작 주기 동안 유입된 UDP/ICMP 패킷의 개수가 임계치를 넘으면, 그 뒤로 유입되는 UDP/ICMP 패킷들은 차단이 되고, 다음 동작 주기에는 유입되는 UDP/ICMP 패킷들의 개수를 다시 측정하는 방식이다.
결국, 보안 시스템의 입장에서 이와 같이 임계치를 넘는 상황이 발생한다는 것은, 현재 유입되는 패킷들 중 공격 패킷들이 대부분을 차지하고 있다는 것을 의미하며, 보호할 서비스 시스템의 입장에서는, 매 동작 주기 마다 임계치 이하로 유입된 공격 패킷들을 처리하기 위해 서비스 자원을 계속 소모한다는 것을 의미한다.
따라서, 이와 같은 불필요한 서비스 자원의 소모를 줄이기 위해서는, 보안 시스템에서 임계치를 넘은 시점의 다음 주기부터는 공격 패킷들을 줄여가는 작업을 수행하여야 한다. 이를 위해 보안 시스템들은 임계치를 넘은 시점의 패킷들의 정보를 ACL에 기록하여, 해당 ACL 정보와 일치하는 패킷들을 사전에 차단한다. 이때 차단되는 시간은 고정된 특정 시간(예컨대, 10분 등)이 사용되고, 이 시간이 지나면 ACL에서 공격 패킷 정보들이 자동 삭제된다.
그리고, 공격 패킷 정보가 ACL에서 삭제된 후에도 공격이 계속되고 있다면, 삭제된 공격 패킷 정보들이 위와 같은 과정을 거쳐 재등록이 될 것이다.
대한민국 공개특허 제2011-0049282호(공개일 : 2011. 05. 12.)
그러나, 전술한 바와 같은 종래의 ACL 정보 삭제 방법은 아래와 같은 문제점을 갖는다.
1) ACL 정보가 삭제되고 재등록되는 시간 사이에 공격에 의한 피해가 발생할 수 있다.
2) ACL에서의 삭제 주기를 짧게 하면, 1)의 피해는 더 커진다.
3) 1), 2)의 문제점을 피하기 위해, ACL에서의 삭제 주기를 길게 할 경우, 공격 패킷만을 100% 선별하여 ACL에 등록하지 않는 이상 정상적인 패킷들도 장시간 차단되어 버린다.
특히, 전술한 일례의 UDP/ICMP 플러딩 공격의 경우에는, 임계치를 넘은 후의 패킷들이 모두 공격 패킷들이라는 것을 100% 장담할 수 없기 때문에 상기한 3) 문제점이 더욱 심각할 수 있다.
본 발명은, 일 관점에 따라, 접근 제어 목록에 등록된 패킷이 유입될 때, 유입된 패킷의 차단 시간을 체크하는 과정과, 상기 차단 시간이 기 설정된 차단 시간 갱신 조건을 충족시키는 지의 여부를 체크하는 과정과, 상기 기 설정된 차단 시간 갱신 조건을 충족시킬 때, 상기 유입된 패킷에 대한 차단 시간을 자동 갱신하는 과정을 포함하는 접근 제어 목록을 이용한 공격 차단 제어 방법을 제공한다.
본 발명은, 다른 관점에 따라, 접근 제어 목록에 등록된 패킷이 유입될 때, 유입된 패킷의 차단 시간을 체크하는 과정과, 상기 차단 시간이 기 설정된 차단 해제 조건을 충족시키는 지의 여부를 체크하는 과정과, 상기 기 설정된 차단 해제 조건을 충족시킬 때, 상기 유입된 패킷에 대한 차단을 해제시키는 과정을 포함하는 접근 제어 목록을 이용한 공격 차단 제어 방법을 제공한다.
본 발명은, 또 다른 관점에 따라, 패킷이 유입되면 접근 제어 목록을 탐색하여 등록 패킷인지의 여부를 체크하는 과정과, 상기 등록 패킷일 때 현재시간 카운트 값과 상기 패킷의 차단 시간을 비교하는 과정과, 상기 현재시간 카운트 값이 상기 차단 시간 이하일 때 상기 패킷의 차단 횟수를 1증가시키고, 상기 차단 시간을 자동 갱신하는 과정과, 상기 현재시간 카운트 값이 상기 차단 시간 이상일 때 상기 접근 제어 목록으로부터 상기 패킷에 대한 등록 정보를 삭제하는 과정을 포함하는 접근 제어 목록을 이용한 공격 차단 제어 방법을 제공한다.
본 발명은, 또 다른 관점에 따라, 네트워크를 통해 유입되는 패킷을 수집하는 패킷 수집 블록과, 공격 패킷 정보를 등록하는 접근 제어 목록을 저장하는 정보 저장 블록과, 상기 수집 블록을 통해 수집되는 패킷들에 대해 공격 패킷 여부를 탐지하고, 공격 패킷으로 판단될 때 관련 공격 패킷 정보를 상기 접근 제어 목록에 등록시키는 탐지 블록과, 상기 접근 제어 목록에 등록된 패킷이 유입될 때, 유입된 패킷의 차단 시간을 체크하여 기 설정된 차단 시간 갱신 조건을 충족시키는 지를 판단하고, 상기 기 설정된 차단 시간 갱신 조건을 충족시킬 때 상기 유입된 패킷의 차단 시간을 자동 갱신하는 등록 관리 블록과, 상기 접근 제어 목록에 등록된 패킷의 유입이 탐지될 때 해당 패킷을 차단하는 차단 블록을 포함하는 접근 제어 목록을 이용한 공격 차단 제어 장치를 제공한다.
또한, 본 발명의 상기 등록 관리 블록은, 상기 패킷이 유입될 때의 현재 시스템의 시간 카운트 값이 상기 차단 시간 이하일 때, 상기 차단 시간을 자동 갱신할 수 있고, 상기 차단 시간을 시간증가 방향으로 갱신할 수 있으며, 상기 패킷에 대한 차단 횟수가 증가할수록 상기 차단 시간의 증가폭을 비선형적으로 증가시킬 수 있다.
또한, 본 발명의 상기 등록 관리 블록은, 상기 유입된 패킷의 차단 시간을 체크하여 기 설정된 차단 해제 조건을 충족시키는 지를 판단하고, 상기 기 설정된 차단 해제 조건을 충족시킬 때 상기 유입된 패킷에 대한 차단을 해제시킬 수 있다.
즉, 본 발명의 상기 등록 관리 블록은, 상기 패킷이 유입될 때의 현재 시스템의 시간 카운트 값이 상기 차단 시간 이상일 때, 상기 유입된 패킷에 대한 차단을 해제시킬 수 있다.
또한, 본 발명의 상기 등록 관리 블록은, 상기 패킷의 주요 정보를 추출하거나 혹은 미리 추출된 정보를 이용하여 상기 접근 제어 목록상에서의 위치를 알려주는 인덱스 값을 출력하는 해싱모듈을 포함할 수 있다.
본 발명은, 유입된 패킷이 접근 제어 목록에 등록된 공격 패킷일 때 현재시간 카운트 값과 해당 패킷의 차단 시간을 비교하여, 현재시간 카운트 값이 차단 시간 이하일 때 해당 패킷의 차단 횟수를 1증가시키고, 그 차단 시간을 자동 갱신하고, 현재시간 카운트 값이 차단 시간 이상일 때 접근 제어 목록으로부터 패킷에 대한 등록 정보를 삭제하여 차단을 해제함으로써, 공격 패킷에 대한 차단 시간을 적응적으로 조절하는 효율적인 패킷 차단 관리를 실현할 수 있으며, 또한 정상적인 패킷들이 장시간 동안 차단되는 문제점을 효과적으로 방지할 수 있다.
도 1은 본 발명의 공격 차단 제어 장치를 적용한 공격 차단 제어 시스템의 서비스 계통도,
도 2는 본 발명에 따른 접근 제어 목록을 이용한 공격 차단 제어 장치의 블록 구성도,
도 3는 본 발명에 따라 접근 제어 목록을 이용하여 공격 차단 제어를 적응적으로 수행하는 주요 과정을 도시한 순서도,
도 4는 본 발명에 따라 전송 간격의 차이를 이용하여 차단 시간을 자동 연장하거나 차단을 해제하는 과정을 설명하기 위한 타이밍차트.
먼저, 본 발명의 장점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어지는 실시 예들을 참조하면 명확해질 것이다. 여기에서, 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 발명의 범주를 명확하게 이해할 수 있도록 하기 위해 예시적으로 제공되는 것이므로, 본 발명의 기술적 범위는 청구항들에 의해 정의되어야 할 것이다.
아울러, 아래의 본 발명을 설명함에 있어서 공지 기능 또는 구성 등에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들인 것으로, 이는 사용자, 운용자 등의 의도 또는 관례 등에 따라 달라질 수 있음은 물론이다. 그러므로, 그 정의는 본 명세서의 전반에 걸쳐 기술되는 기술사상을 토대로 이루어져야 할 것이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예에 대하여 상세하게 설명한다.
[실시 예]
도 1은 본 발명의 공격 차단 제어 장치를 적용한 공격 차단 제어 시스템의 서비스 계통도로서, 다수의 클라이언트(110/1 ­ 110/n)로 된 클라이언트 그룹(110), 공격 차단 제어 장치(120) 및 다수의 서버(130/1 ­ 130/n)로 된 서버 그룹(130) 등을 포함할 수 있다.
도 1을 참조하면, 클라이언트 그룹(110) 내 각 클라이언트(110/1 ­ 110/n)들은, 예컨대 개인용 컴퓨터(PC) 등을 의미할 수 있는 것으로, 이러한 각 클라이언트(110/1 ­ 110/n)들은 악의적인 악성코드에 감염되어 좀비 PC로서 기능할 수 있는데, 좀비 PC로서 기능하게 될 때 공격 프로그램에 의해 공격 패킷들을 계속적으로 발생하여 네트워크를 통해 특정 사이트나 기관의 서버로 향하는 DDoS 공격 등에 악용될 수 있다.
여기에서, 각 클라이언트는 유선 또는 무선 클라이언트일 수 있으며, 네트워크는 인터넷 등을 포함하는 유선 네트워크이거나 혹은 이동 통신망(2G, 3G, 4G 등의 이동 통신망)과 인터넷 등을 복합적으로 포함하는 유/무선 네트워크일 수 있다.
다음에, 공격 차단 제어 시스템(120)은, 공격 패킷과 정상 패킷의 전송 간격의 차이에 기반하여 차단 시간을 자동 갱신하거나 혹은 차단을 해제하는 서비스를 제공하는 본 발명의 공격 차단 제어 장치를 의미하는 것으로, 이를 위하여 도 2에 도시된 바와 같은 구성을 가질 수 있는데, 이들 구성 부재들의 구체적인 기능에 대해서는 도 2를 참조하여 상세하게 설명한다.
그리고, 서버 그룹(130) 내 각 서버(130/1 ­ 130/n)들은 특정 사이트나 혹은 기관 등에 설치된 서버를 의미할 수 있는 것으로, 이러한 각 서버(130/1 ­ 130/n)들은 악성 코드에 감염된 다수의 좀비 PC들이 공격 프로그램에 따라 악의적인 DDoS 공격 등을 감행할 때, 공격 차단 제어 시스템(120)을 통해 악의적인 공격 패킷들을 차단하는 방식을 통해 좀비 PC들의 악의적인 공격으로부터 자신들을 보호할 수 있다.
도 2는 본 발명에 따른 접근 제어 목록을 이용한 공격 차단 제어 장치의 블록 구성도로서, 패킷 수집 블록(202), 탐지 블록(204), 등록 관리 블록(206) 및 차단 블록(208) 등을 포함할 수 있다.
도 2를 참조하면, 패킷 수집 블록(202)은 네트워크를 통해 유입되는 패킷들을 수집하여 탐지 블록(204) 또는 등록 관리 블록(206)으로 전달하는 등의 기능을 제공할 수 있는데, 이때 수집되는 패킷들은 정상 패킷 뿐만 아니라 악의적인 공격을 위한 공격 패킷들을 포함할 수 있다.
다음에, 탐지 블록(204)은 수집 블록(202)을 통해 수집되어 전달되는 패킷들에 대해 공격 패킷 여부를 탐지, 즉 패킷을 분석하여 유입(수신)된 패킷이 정상 패킷인지 혹은 공격 패킷인지를 탐지하고, 탐지 결과 공격 패킷으로 판단될 때 관련 공격 패킷 정보(예컨대, IP 주소, 포트번호, 프로토콜 정보 등)를 추출하여 정보 저장 블록(210)에 저장된 접근 제어 목록(ACL)에 등록시키는 등의 기능을 제공할 수 있다.
이를 위하여, 정보 저장 블록(210)에 저장된 접근 제어 목록(ACL)에는 탐지 블록(204)을 통해 탐지된 공격 패킷들에 대한 정보들이 등록(기록)되어 있으며, 여기에 등록된 공격 패킷 정보들은 후술하는 등록 관리 블록(206)에 의해 그 차단 시간이 자동 갱신(자동 연장)되거나 혹은 등록 해제(차단 해제)될 수 있다.
잘 알려진 바와 같이, 특정 대상으로 네트워크를 통한 공격이 발생한다는 것은 특정 대상의 서비스를 마비시키기 위한 목적을 가짐을 의미하는데, 이러한 목적을 달성하기 위해 공격자 시스템(예컨대, 좀비 PC 등)은 공격 프로그램에 의해 계속해서 공격 패킷들을 자동 전송하게 된다.
따라서, 공격 패킷 정보가 접근 제어 목록(ACL)에 등록되어 해당 패킷들이 차단되는 상황일지라도, 공격 프로그램에 의해서 자동적으로 패킷이 계속 보내지게 되는데, 이것은 해당 패킷들이 ACL에 의해 차단되어 서비스가 끊어지는 상황에 관계없이, 공격 프로그램에 의해 이루어지는 작업이다.
반면에, 공격 프로그램이 아닌 일반 사용자의 경우라면, 서비스 장애를 인지한 사용자의 조작이 발생할 때만 간헐적으로 패킷이 보내지게 될 것이다.
예컨대, 공격이 발생할 경우, 공격자 패킷 정보뿐만 아니라 정상적인 사용자의 패킷 정보도 접근 제어 목록(ACL)에 등록될 수 있는데, 이 경우 두 패킷(공격 패킷, 정상 패킷) 모두 접근 제어 목록(ACL)에 의해 패킷이 차단되어 서비스를 받을 수 없게 된다.
이때, 정상적인 사용자는 서비스 장애가 있다는 것을 인지한 후에 재요청을 하기 위해 자신의 시스템 조작을 하게 되며, 이로 인해 발생된 패킷이 공격 차단 제어 장치(즉, 보안 시스템)에 도달하는데 걸리는 시간은 수초 정도 걸릴 수 있다.
반면에, 공격 프로그램의 경우는 서비스 장애의 인지 여부와는 관계없이 자동적으로 패킷을 전송하는 상태를 지속하며, 또한 공격의 효과를 높이기 위해 짧은 시간 간격으로 패킷을 전송하게 된다.
따라서, 접근 제어 목록(ACL)에 등록된 후, 공격 프로그램에 의해 전송되는 패킷의 시간 간격과 사용자의 인지에 의해 정상적으로 전송되는 패킷의 시간 간격에는 길게는 수초 정도의 큰 시간차가 존재하게 된다.
본 발명에서는 이와 같은 전송 시간차 특징을 이용하여, 접근 제어 목록(ACL)에 등록된 정보에 해당하는 패킷이 상대적으로 짧은 시간에 재 도착할 경우, 이는 공격자 패킷 정보일 확률이 상대적으로 매우 높으므로 접근 제어 목록(ACL)에 등록된 차단 시간을 자동 연장(자동 갱신)하고, 해당하는 패킷이 상대적으로 긴 시간 후에 도착할 경우 일반 사용자에 의한 조작일 확률이 높으므로 접근 제어 목록(ACL)에 등록된 해당 패킷 정보를 자동 삭제하는 기법을 제시한다.
이를 위하여, 등록 관리 블록(206)은 접근 제어 목록에 등록된 패킷이 유입될 때, 유입된 패킷의 차단 시간을 체크하여 기 설정된 차단 시간 갱신 조건(현재 시스템의 시간 카운트 값이 차단 시간 이하인 조건)을 충족시키는 지를 판단하고, 기 설정된 차단 시간 갱신 조건을 충족시킬 때 유입된 패킷의 차단 시간을 자동 갱신하거나 혹은 유입된 패킷의 차단 시간이 기 설정된 차단 해제 조건(현재 시스템의 시간 카운트 값이 차단 시간 이상인 조건)을 충족시키는 지를 판단하고, 기 설정된 차단 해제 조건을 충족시킬 때 유입된 패킷에 대한 차단을 해제시키는 등의 기능을 제공할 수 있으며, 이를 위해 입력된 패킷의 주요 정보(예컨대, IP 주소 등)를 추출하거나 혹은 미리 추출된 정보를 이용하여 접근 제어 목록(ACL)상에서의 위치(entry 번호)를 알려주는 인덱스 값을 출력하는 역할을 수행하는 해싱모듈(Hashing Module)을 포함할 수 있다. 여기에서, 차단 시간이 0인 엔트리(entry)는 접근 제어 목록에 등록되지 않은 상태를 의미하고, 차단 시간이 0 이상이면, 접근 제어 목록에 등록된 상태를 의미한다.
일예로서, 도 4에 도시된 바와 같이, PA, PB 패킷이 처음 유입될 때, 등록 관리 블록(206) 내 해싱모듈의 결과인 접근 제어 목록의 인덱스 위치의 차단시간이 0 이면, 접근 제어 목록에 차단을 위해 등록되지 않은 상태이므로, PA, PB 패킷은 접근 제어 목록에 의해 차단되지 않고 통과된다.
이때, 탐지 블록(204)에서 PA, PB 패킷 모두를 공격으로 탐지(판단)하게 되면, PA,PB 패킷 정보(공격 패킷 정보)는 해싱모듈로 전송되며, PA, PB 패킷을 차단하기 위해, 해당 정보로 해싱된 접근 제어 목록의 인덱스 위치의 차단시간, 차단 횟수 값이 설정된다. 이때, 접근 제어 목록에 설정이 된 시간을 나타내는 것이 TACL이며, 그 설정 값은 아래와 같이 계산될 수 있다.
차단시간 (TD) = 현재 시간 카운터 값(TCUR) + 추가 시간(TA)
차단횟수 (ND) = 0
TD : DefenseTime
ND : DefenseNumber
TCUR : CurrentTime
TA : AdditionalTime
여기에서, 차단 시간(TD)은 해당 패킷을 차단하고 있는 시간을 나타내며, 접근 제어 목록에 등록된 패킷이 유입될 때마다 현재 시스템 시간을 나타내고 있는 시간 카운터의 값(TCUR)과 비교된다.
그리고, 추가 시간(TA)은 다양한 방법으로 계산이 될 수 있는데, 바람직하게는 차단 횟수가 증가할수록 추가 시간의 증가폭을 비선형적으로 크게 할 필요가 있다. 왜냐하면, 차단 횟수가 크다는 것은 공격 패킷일 확률이 높다는 것을 의미하며, 공격 패킷일 확률이 높다면 더 오랜 시간 차단하는 것이 바람직하기 때문이다.
예컨대, 패킷이 차단 시간 내에 재 유입되어 차단되고, 그 차단 횟수가 ND일 때, TA=2^(ND)와 같이 비선형적으로 증가시킬 수 있다.
따라서, 접근 제어 목록에 등록된 PA 패킷이 TCUR<=TD인 상황(현재 시스템의 시간 카운트 값이 차단 시간 이하인 상황)에서 다시 유입이 된다면, 이는 공격 프로그램에 의해 자동 전송된 패킷일 확률이 높으므로, PA 패킷은 차단되고, 차단 횟수 ND가 1 증가하며, 차단 시간(TD)은 다시 자동 갱신(시간증가 방향으로의 자동 갱신)이 된다.
반면에, 접근 제어 목록에 등록된 PB 패킷이 TCUR>TD인 상황(현재 시스템의 시간 카운트 값이 차단 시간 이상인 상황)에서 다시 유입이 된다면, 이는 사용자의 조작에 의해 수동 전송된 패킷일 확률이 높으므로, PB 패킷은 통과되고, 차단 해제를 위해 해당 엔트리의 차단 시간과 차단 횟수를 초기화시킨다.
다시 도 2를 참조하면, 차단 블록(208)은 등록 관리 블록(206)으로부터 전달되는 차단 제어지령에 응답하여 공격 패킷을 차단, 즉 접근 제어 목록(ACL)에 등록된 패킷의 유입이 탐지(검출)될 때 해당 패킷을 차단하는 등의 기능을 제공할 수 있다.
다음에, 상술한 바와 같은 구성을 갖는 본 발명의 공격 차단 제어 장치를 이용하여 공격 패킷과 정상 패킷 사이의 전송 간격 차이에 기반하여 공격 패킷의 차단 시간을 자동 갱신하거나 혹은 차단을 해제하는 일련의 과정들에 대하여 상세하게 설명한다.
도 3는 본 발명에 따라 접근 제어 목록을 이용하여 공격 차단 제어를 적응적으로 수행하는 주요 과정을 도시한 순서도이다.
먼저, 네트워크로부터 패킷이 유입(수신)되면, 탐지 블록(204)에서는 수집 블록(202)을 통해 수집되어 전달된 패킷이 공격 패킷인지의 여부를 탐지, 즉 패킷을 분석하여 유입(수신)된 패킷이 정상 패킷인지 혹은 공격 패킷인지를 탐지하고, 탐지 결과 유입된 패킷이 정상 패킷이면, 해당 패킷은 차단 없이 통과, 즉 해당 패킷은 특정 서비스를 제공하는 특정 대상(예컨대, 서버 등)으로 전송된다.
그리고, 탐지 결과, 유입된 패킷이 공격 패킷이면, 탐지 블록(204)에서는 관련 공격 패킷 정보, 예컨대 IP 주소, 포트번호, 프로토콜 정보 등을 추출하여 정보 저장 블록(210)에 저장된 접근 제어 목록(ACL)에 등록시키는데, 설명의 편의와 이해의 증진을 위해 다수의 패킷들이 공격 패킷으로 탐지되어 정보 저장 블록(210) 내 접근 제어 목록에 등록된 경우라고 가정한다.
도 3을 참조하면, 패킷 수집 블록(202)을 통해 네트워크를 통해 유입되면(단계 302), 등록 관리 블록(206)에서는 유입된 패킷이 접근 제어 목록에 등록된 공격 패킷인지의 여부를 체크한다(단계 304).
상기 단계(304)에서의 체크 결과, 유입된 패킷이 정상 패킷이면, 해당 패킷은 차단 없이 통과, 즉 해당 패킷은 특정 서비스를 제공하는 특정 대상(예컨대, 서버 등)으로 전송된다(단계 306).
상기 단계(304)에서의 체크 결과, 유입된 패킷이 접근 제어 목록에 등록(기록)된 공격 패킷이면, 등록 관리 블록(206)에서는 유입된 패킷의 차단 시간(TD)을 정보 저장 블록(210)으로부터 인출한 후 현재 시스템의 시간 카운트 값(TCUR)이 해당 패킷의 차단 시간 이하(기 설정된 차단 시간 갱신 조건)인지 혹은 차단 시간 이상(기 설정된 차단 해제 조건)인지의 여부를 체크한다(단계 308).
상기 단계(308)에서의 체크 결과, 현재 시스템의 시간 카운트 값(TCUR)이 해당 패킷의 차단 시간 이상, 즉 기 설정된 차단 해제 조건을 충족시키면, 등록 관리 블록(206)에서는 정보 저장 블록(210) 내 접근 제어 목록으로부터 해당 패킷에 대한 공격 패킷 정보들을 삭제하고, 차단 시간과 차단 횟수를 클리어시키며(단계 310), 그 결과 해당 패킷은 정상 패킷으로 처리(통과)되어 특정 서비스를 제공하는 특정 대상(예컨대, 서버 등)으로 전송된다(단계 312).
상기 단계(308)에서의 체크 결과, 현재 시스템의 시간 카운트 값(TCUR)이 해당 패킷의 차단 시간 이하, 즉 기 설정된 차단 시간 갱신 조건을 충족시키면, 해당 패킷의 전송은 차단되며(단계 314), 등록 관리 블록(206)에서는 유입된 패킷의 차단 시간을 자동 갱신, 즉 차단 시간을 시간증가 방향으로의 자동 갱신하고, 차단 횟수를 1증가시킨다(단계 316).
여기에서, 자동 갱신된 차단 시간과 1증가된 차단 횟수는 정보 저장 블록(210)에 저장되며, 본 발명은 이러한 프로세스를 통해 패킷에 대한 차단 횟수가 증가할수록 차단 시간의 증가폭을 비선형적으로 증가시킨다.
한편, 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리 등에 저장되는 것도 가능하므로, 그 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 적어도 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경 등이 가능함을 쉽게 알 수 있을 것이다. 즉, 본 발명에 개시된 실시 예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것으로서, 이러한 실시 예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 따라서, 본 발명의 보호 범위는 후술되는 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
202 : 패킷 수집 블록 204 : 탐지 블록
206 : 등록 관리 블록 208 : 차단 블록
210 : 정보 저장 블록

Claims (16)

  1. 접근 제어 목록에 등록된 패킷이 유입될 때, 유입된 패킷의 차단 시간을 체크하는 과정과,
    상기 차단 시간이 기 설정된 차단 시간 갱신 조건을 충족시키는 지의 여부를 체크하는 과정과,
    상기 기 설정된 차단 시간 갱신 조건을 충족시킬 때, 상기 유입된 패킷에 대한 차단 시간을 자동 갱신하는 과정
    을 포함하는 접근 제어 목록을 이용한 공격 차단 제어 방법.
  2. 제 1 항에 있어서,
    상기 기 설정된 차단 시간 갱신 조건은,
    상기 패킷이 유입될 때의 현재 시스템의 시간 카운트 값이 상기 차단 시간 이하인 조건인
    접근 제어 목록을 이용한 공격 차단 제어 방법.
  3. 제 1 항에 있어서,
    상기 차단 시간의 자동 갱신은,
    시간증가 방향으로의 자동 갱신인
    접근 제어 목록을 이용한 공격 차단 제어 방법.
  4. 제 3 항에 있어서,
    상기 차단 시간에 대한 자동 갱신의 증가폭은,
    상기 패킷에 대한 차단 횟수가 증가할수록 비선형적으로 증가하는
    접근 제어 목록을 이용한 공격 차단 제어 방법.
  5. 접근 제어 목록에 등록된 패킷이 유입될 때, 유입된 패킷의 차단 시간을 체크하는 과정과,
    상기 차단 시간이 기 설정된 차단 해제 조건을 충족시키는 지의 여부를 체크하는 과정과,
    상기 기 설정된 차단 해제 조건을 충족시킬 때, 상기 유입된 패킷에 대한 차단을 해제시키는 과정
    을 포함하는 접근 제어 목록을 이용한 공격 차단 제어 방법.
  6. 제 5 항에 있어서,
    상기 기 설정된 차단 해제 조건은,
    상기 패킷이 유입될 때의 현재 시스템의 시간 카운트 값이 상기 차단 시간 이상인 조건인
    접근 제어 목록을 이용한 공격 차단 제어 방법.
  7. 패킷이 유입되면 접근 제어 목록을 탐색하여 등록 패킷인지의 여부를 체크하는 과정과,
    상기 등록 패킷일 때 현재시간 카운트 값과 상기 패킷의 차단 시간을 비교하는 과정과,
    상기 현재시간 카운트 값이 상기 차단 시간 이하일 때 상기 패킷의 차단 횟수를 1증가시키고, 상기 차단 시간을 자동 갱신하는 과정과,
    상기 현재시간 카운트 값이 상기 차단 시간 이상일 때 상기 접근 제어 목록으로부터 상기 패킷에 대한 등록 정보를 삭제하는 과정
    을 포함하는 접근 제어 목록을 이용한 공격 차단 제어 방법.
  8. 제 7 항에 있어서,
    상기 차단 시간의 자동 갱신은,
    시간증가 방향으로의 자동 갱신인
    접근 제어 목록을 이용한 공격 차단 제어 방법.
  9. 제 8 항에 있어서,
    상기 차단 시간에 대한 자동 갱신의 증가폭은,
    상기 차단 횟수가 증가할수록 비선형적으로 증가하는
    접근 제어 목록을 이용한 공격 차단 제어 방법.
  10. 네트워크를 통해 유입되는 패킷을 수집하는 패킷 수집 블록과,
    공격 패킷 정보를 등록하는 접근 제어 목록을 저장하는 정보 저장 블록과,
    상기 수집 블록을 통해 수집되는 패킷들에 대해 공격 패킷 여부를 탐지하고, 공격 패킷으로 판단될 때 관련 공격 패킷 정보를 상기 접근 제어 목록에 등록시키는 탐지 블록과,
    상기 접근 제어 목록에 등록된 패킷이 유입될 때, 유입된 패킷의 차단 시간을 체크하여 기 설정된 차단 시간 갱신 조건을 충족시키는 지를 판단하고, 상기 기 설정된 차단 시간 갱신 조건을 충족시킬 때 상기 유입된 패킷의 차단 시간을 자동 갱신하는 등록 관리 블록과,
    상기 접근 제어 목록에 등록된 패킷의 유입이 탐지될 때 해당 패킷을 차단하는 차단 블록
    을 포함하는 접근 제어 목록을 이용한 공격 차단 제어 장치.
  11. 제 10 항에 있어서,
    상기 등록 관리 블록은,
    상기 패킷이 유입될 때의 현재 시스템의 시간 카운트 값이 상기 차단 시간 이하일 때, 상기 차단 시간을 자동 갱신하는
    접근 제어 목록을 이용한 공격 차단 제어 장치.
  12. 제 11 항에 있어서,
    상기 등록 관리 블록은,
    상기 차단 시간을 시간증가 방향으로 갱신하는
    접근 제어 목록을 이용한 공격 차단 제어 장치.
  13. 제 12 항에 있어서,
    상기 등록 관리 블록은,
    상기 패킷에 대한 차단 횟수가 증가할수록 상기 차단 시간의 증가폭을 비선형적으로 증가시키는
    접근 제어 목록을 이용한 공격 차단 제어 장치.
  14. 제 10 항에 있어서,
    상기 등록 관리 블록은,
    상기 유입된 패킷의 차단 시간을 체크하여 기 설정된 차단 해제 조건을 충족시키는 지를 판단하고, 상기 기 설정된 차단 해제 조건을 충족시킬 때 상기 유입된 패킷에 대한 차단을 해제시키는
    접근 제어 목록을 이용한 공격 차단 제어 장치.
  15. 제 14 항에 있어서,
    상기 등록 관리 블록은,
    상기 패킷이 유입될 때의 현재 시스템의 시간 카운트 값이 상기 차단 시간 이상일 때, 상기 유입된 패킷에 대한 차단을 해제시키는
    접근 제어 목록을 이용한 공격 차단 제어 장치.
  16. 제 10 항에 있어서,
    상기 등록 관리 블록은,
    상기 패킷의 주요 정보를 추출하거나 혹은 미리 추출된 정보를 이용하여 상기 접근 제어 목록상에서의 위치를 알려주는 인덱스 값을 출력하는 해싱모듈
    을 포함하는 접근 제어 목록을 이용한 공격 차단 제어 장치.
KR1020120101484A 2012-09-13 2012-09-13 접근 제어 목록을 이용한 공격 차단 제어 방법 및 그 장치 KR20140044970A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020120101484A KR20140044970A (ko) 2012-09-13 2012-09-13 접근 제어 목록을 이용한 공격 차단 제어 방법 및 그 장치
US13/674,497 US8839406B2 (en) 2012-09-13 2012-11-12 Method and apparatus for controlling blocking of service attack by using access control list

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120101484A KR20140044970A (ko) 2012-09-13 2012-09-13 접근 제어 목록을 이용한 공격 차단 제어 방법 및 그 장치

Publications (1)

Publication Number Publication Date
KR20140044970A true KR20140044970A (ko) 2014-04-16

Family

ID=50234803

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120101484A KR20140044970A (ko) 2012-09-13 2012-09-13 접근 제어 목록을 이용한 공격 차단 제어 방법 및 그 장치

Country Status (2)

Country Link
US (1) US8839406B2 (ko)
KR (1) KR20140044970A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101505168B1 (ko) * 2014-04-28 2015-03-24 (주)레인보우와이어리스 무선 기기의 배터리 에너지 소모 공격을 필터링하는 기능을 구비하는 적응적 게이트웨이 및 상기 적응적 게이트웨이에서의 필터링 방법

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9338098B2 (en) * 2012-12-13 2016-05-10 Cellco Partnership Dynamic flow management at a firewall based on error messages
US20140379915A1 (en) * 2013-06-19 2014-12-25 Cisco Technology, Inc. Cloud based dynamic access control list management architecture
US9654501B1 (en) 2014-12-15 2017-05-16 Amazon Technologies, Inc. Mitigation of distributed denial-of-service attacks
CN106131046B (zh) * 2016-08-12 2019-12-06 新华三技术有限公司 一种防攻击处理方法及装置
US10673891B2 (en) 2017-05-30 2020-06-02 Akamai Technologies, Inc. Systems and methods for automatically selecting an access control entity to mitigate attack traffic
CN110807003B (zh) * 2018-07-18 2023-03-24 成都华为技术有限公司 修改访问控制列表的引用计数的方法和装置

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3557998B2 (ja) * 2000-04-28 2004-08-25 日本電気株式会社 フラグメンテーション処理デバイスおよびこれを用いたフラグメンテーション処理装置
US6891855B2 (en) * 2000-07-27 2005-05-10 Corrigent Systems, Ltd. Dynamic packet fragmentation
US7200865B1 (en) * 2000-12-01 2007-04-03 Sprint Communications Company L.P. Method and system for communication control in a computing environment
US7355971B2 (en) * 2001-10-22 2008-04-08 Intel Corporation Determining packet size in networking
KR100453055B1 (ko) * 2002-03-29 2004-10-15 삼성전자주식회사 Ip 네트워크 상에서의 경로 mtu 탐색 방법 및 그 장치
JP3794491B2 (ja) * 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
US6842110B2 (en) * 2002-10-02 2005-01-11 Visteon Global Technologies, Inc. Indication system for a vehicle
US20040193906A1 (en) * 2003-03-24 2004-09-30 Shual Dar Network service security
TW200644495A (en) * 2005-06-10 2006-12-16 D Link Corp Regional joint detecting and guarding system for security of network information
JP4732858B2 (ja) 2005-11-02 2011-07-27 日本電信電話株式会社 パケットフィルタリング装置およびパケットフィルタリングプログラム
US20080282338A1 (en) * 2007-05-09 2008-11-13 Beer Kevin J System and method for preventing the reception and transmission of malicious or objectionable content transmitted through a network
US8434140B2 (en) * 2007-11-06 2013-04-30 Barracuda Networks, Inc. Port hopping and seek you peer to peer traffic control method and system
JP4973736B2 (ja) 2007-12-05 2012-07-11 日本電気株式会社 路面標示認識装置,路面標示認識方法及び路面標示認識プログラム
JP4849346B2 (ja) 2008-09-08 2012-01-11 トヨタ自動車株式会社 路面区画マーク認識装置および車線逸脱防止装置
KR101089269B1 (ko) 2009-10-21 2011-12-02 한신대학교 산학협력단 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격 탐지 방법 및 시스템
KR101077135B1 (ko) * 2009-10-22 2011-10-26 한국인터넷진흥원 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치
KR101061375B1 (ko) * 2009-11-02 2011-09-02 한국인터넷진흥원 Uri 타입 기반 디도스 공격 탐지 및 대응 장치
KR101042291B1 (ko) 2009-11-04 2011-06-17 주식회사 컴트루테크놀로지 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법
KR101057432B1 (ko) * 2010-02-23 2011-08-22 주식회사 이세정보 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101505168B1 (ko) * 2014-04-28 2015-03-24 (주)레인보우와이어리스 무선 기기의 배터리 에너지 소모 공격을 필터링하는 기능을 구비하는 적응적 게이트웨이 및 상기 적응적 게이트웨이에서의 필터링 방법

Also Published As

Publication number Publication date
US20140075537A1 (en) 2014-03-13
US8839406B2 (en) 2014-09-16

Similar Documents

Publication Publication Date Title
KR20140044970A (ko) 접근 제어 목록을 이용한 공격 차단 제어 방법 및 그 장치
US9003511B1 (en) Polymorphic security policy action
KR101369727B1 (ko) 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법
US20170034195A1 (en) Apparatus and method for detecting abnormal connection behavior based on analysis of network data
KR20130005301A (ko) 정보 시스템 기반구조의 보안 정책 조정 방법
US9661006B2 (en) Method for protection of automotive components in intravehicle communication system
JP2007521718A (ja) セキュリティブリーチ検知に対するネットワークのクオリティオブサービスを保護するシステムおよび方法
WO2018146757A1 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
US9578039B2 (en) OAM security authentication method and OAM transmitting/receiving devices
JP2017204721A (ja) セキュリティシステム
KR101535529B1 (ko) Apt 공격 분석을 위한 의심파일 및 추적정보 수집 방법
US11277428B2 (en) Identifying malware-infected network devices through traffic monitoring
JP7150552B2 (ja) ネットワーク防御装置およびネットワーク防御システム
JP6106861B1 (ja) ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム
US20050086512A1 (en) Worm blocking system and method using hardware-based pattern matching
KR101499470B1 (ko) 악성코드 전이 탐지를 이용한 apt 공격 방어 시스템 및 그 방어 방법
KR101065800B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
JP7060800B2 (ja) 感染拡大攻撃検知システム及び方法、並びに、プログラム
KR101343693B1 (ko) 네트워크 보안시스템 및 그 처리방법
KR20070119382A (ko) 침입방지시스템 및 그 제어방법
WO2016014178A1 (en) Identifying malware-infected network devices through traffic monitoring
US10999315B2 (en) Control device, mitigation system, control method, and computer program
KR101923054B1 (ko) 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법
JP2009081736A (ja) パケット転送装置及びパケット転送プログラム
KR101400127B1 (ko) 비정상 데이터 패킷 검출 방법 및 장치

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid