KR20140089195A - 네트워크 보안 장비의 패턴 매칭 시스템 및 그 패턴 매칭 방법 - Google Patents

네트워크 보안 장비의 패턴 매칭 시스템 및 그 패턴 매칭 방법 Download PDF

Info

Publication number
KR20140089195A
KR20140089195A KR1020130001133A KR20130001133A KR20140089195A KR 20140089195 A KR20140089195 A KR 20140089195A KR 1020130001133 A KR1020130001133 A KR 1020130001133A KR 20130001133 A KR20130001133 A KR 20130001133A KR 20140089195 A KR20140089195 A KR 20140089195A
Authority
KR
South Korea
Prior art keywords
packet
pattern matching
analysis
pattern
information
Prior art date
Application number
KR1020130001133A
Other languages
English (en)
Other versions
KR101434388B1 (ko
Inventor
주은영
진용식
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020130001133A priority Critical patent/KR101434388B1/ko
Priority to US14/142,428 priority patent/US9246930B2/en
Publication of KR20140089195A publication Critical patent/KR20140089195A/ko
Application granted granted Critical
Publication of KR101434388B1 publication Critical patent/KR101434388B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 보안 장비에서 유해 트래픽의 탐지율을 높이기 위한 시그니처 패턴 매칭 기술에 관한 것으로, 본 발명에 따른 네트워크 보안 장비의 패턴 매칭 시스템은 수신된 패킷의 데이터와 기 저장된 시그니처 패턴 테이블의 패턴을 매칭하여 패턴 매칭 결과를 분석 엔진에 전달하는 패턴 매칭 카드 및 패킷을 복사하여 상기 패턴 매칭 카드에 전달하고, 상기 패킷의 패킷 분석 정보와 상기 패턴 매칭 카드로부터 수신된 패턴 매칭 결과를 기초로 유해 트래픽을 탐지하는 분석 엔진을 포함하되, 상기 분석 엔진은 단일 패킷 기반 분석 시, 단일 패킷에 대한 패턴 매칭 결과와 패킷 분석 정보를 기초로 유해 트래픽을 탐지하고, 멀티 패킷 기반 분석 시, 연속된 패킷들에 대한 패턴 매칭 결과와 패킷 분석 정보를 기초로 유해 트래픽을 탐지하는 것을 특징으로 한다.

Description

네트워크 보안 장비의 패턴 매칭 시스템 및 그 패턴 매칭 방법{Pattern matching system and the method for network security equipment}
개시된 기술은 네트워크 보안 장비에서 유해 트래픽의 탐지율을 높이기 위한 시그니처(signature) 패턴 매칭 기술에 관한 것으로, 더 상세하게는 패턴 매칭 카드를 사용하여 시그니처 패턴을 매칭하는 경우 단순 패턴 매칭으로 인해 오탐율이 높아지는 문제를 해결할 수 있는 네트워크 보안 장비의 패턴 매칭 시스템 및 패턴 매칭 방법에 관한 것이다.
최근 디지털 처리 장치의 발달과 더불어 통신망 특히 인터넷을 통한 데이터 송수신이 보편화되고, 이러한 통신망을 통해 데이터를 송수신하는 디지털 처리 장치 중 일반적으로 데이터를 제공하는 디지털 처리 장치를 서버(Server)라하고, 데이터를 요청하고 수신하는 디지털 처리 장치를 클라이언트(Client)라고 정의한다.
서버에 접근하는 유해 트래픽을 탐지 또는 차단하기 위해 IDS(Intrusion Detection System), IPS(Intrusion Protection System)와 같은 네트워크 보안 장비가 사용된다. 이와 같은 네트워크 보안 장비에서는 유해 트래픽의 시그니처 패턴을 빠르게 탐지하기 위해 시그니처 패턴이 저장되어 있는 패턴 매칭 카드 또는 가속기 카드를 사용할 수 있다.
대한민국 공개특허 공보 제10-2010-0013815호(2010. 02. 10) ‘패턴 매칭부를 이용한 유해 트래픽 탐지 방법 및 시스템’에 기재된 바와 같이, 패턴 매칭부 또는 패턴 매칭을 위한 컴퓨터 카드를 이용하여 패턴을 빠르게 탐지하고 시스템의 성능을 유지할 수 있다.
그러나, 기존의 방식의 경우 카드와 분석 엔진(engine) 사이에 단순 패턴 매칭 방식을 사용함으로써, 복잡해지는 패턴에 대응하기 어렵고 오탐율이 높아지는 문제점이 있었다.
대한민국 공개특허 공보 10-2010-0013815호, 2010. 02. 10, 4쪽 내지 6쪽.
개시된 기술은 상기와 같은 종래의 문제점을 해결하기 위하여 제안된 것으로, 개시된 기술에 따른 네트워크 보안 장비의 패턴 매칭 시스템 및 그 패턴 매칭 방법의 목적은 네트워크 보안 장비의 하드웨어(패턴 매칭 카드)와 소프트웨어(분석 엔진) 사이의 유기적인 결합을 통해 시그니처 패턴의 탐지율을 높이는 데 있다.
또한, 개시된 기술의 목적은 네트워크 보안 장비가 복잡한 시그니처 패턴에 대응할 수 있도록 대응력을 높이는 데 있다.
개시된 기술에 따른 네트워크 보안 장비의 패턴 매칭 시스템은, 수신된 패킷의 데이터와 기 저장된 시그니처 패턴 테이블의 패턴을 매칭하여 패턴 매칭 결과를 분석 엔진에 전달하는 패턴 매칭 카드, 패킷을 복사하여 상기 패턴 매칭 카드에 전달하고 상기 패킷의 패킷 분석 정보와 상기 패턴 매칭 카드로부터 수신된 패턴 매칭 결과를 기초로 유해 트래픽을 탐지하는 분석 엔진을 포함하되, 상기 분석 엔진은 단일 패킷 기반 분석 시에는 단일 패킷에 대한 패턴 매칭 결과와 패킷 분석 정보를 기초로 유해 트래픽을 탐지하고, 멀티 패킷 기반 분석 시에는 연속된 패킷들에 대한 패턴 매칭 결과와 패킷 분석 정보를 기초로 유해 트래픽을 탐지한다.
또한, 개시된 기술에 따른 네트워크 보안 장비의 패턴 매칭 시스템에서 상기 분석 엔진은 상기 패킷의 프로토콜을 분석하여 패킷 분석 정보를 생성하는 프로토콜 분석 엔진, 단일 패킷에 대한 패턴 매칭 결과 또는 연속된 패킷들에 대한 패턴 매칭 결과를 기초로 패턴 매칭 테이블을 생성하고, 상기 패턴 매칭 테이블과 상기 패킷 분석 정보를 기초로 기 저장된 룰과 비교하는 룰 분석 엔진 및 상기 룰 분석 엔진의 분석 결과를 기초로 유해 트래픽을 탐지 또는 차단하는 탐지 또는 차단엔진을 포함하는 것을 특징으로 한다.
또한, 개시된 기술에 따른 네트워크 보안 장비의 패턴 매칭 시스템에서 상기 패턴 매칭 결과는 매칭된 패턴에 대한 인덱스 정보와 해당 패턴의 위치를 나타내는 오프셋 정보를 포함하는 것을 특징으로 한다.
또한, 개시된 기술에 따른 네트워크 보안 장비의 패턴 매칭 시스템에서 상기 패킷 분석 정보는 사용 중인 프로토콜, 소스 IP 주소, 소스 포트 번호, 목적지 IP 주소, 목적지 포트 번호 및 세션 정보 가운데 적어도 하나 이상을 포함하는 것을 특징으로 한다.
또한, 개시된 기술에 따른 네트워크 보안 장비의 패턴 매칭 시스템에서 상기 룰 분석 엔진은 플래그 값이 단일 패킷 기반 분석으로 설정된 경우에는 각 패킷에 대해 패턴 매칭 테이블을 생성하고, 플래그 값이 멀티 패킷 기반 분석으로 설정된 경우에는 연속된 패킷들에 대한 패턴 매칭 결과를 기초로 패턴 매칭 테이블을 생성하는 것을 특징으로 한다.
또한, 개시된 기술에 따른 네트워크 보안 장비의 패턴 매칭 시스템에서 상기 룰 분석 엔진은 패턴 매칭 테이블의 패턴과 패킷 분석 정보가 기 저장된 룰에 매칭되는지 여부를 분석하는 것을 특징으로 한다.
개시된 기술에 따른 네트워크 보안 장비의 패턴 매칭 방법은 (a) 분석 엔진에서 패킷을 분석하여 패킷 분석 정보를 생성하고, 해당 패킷을 복사하여 패턴 매칭 카드에 전달하는 단계, (b) 패턴 매칭 카드에서 수신된 패킷의 데이터와 기 저장된 시그니처 패턴 테이블의 패턴을 매칭하여 패턴 매칭 결과를 분석 엔진에 전달하는 단계 및 (c) 분석 엔진에서 상기 패킷 분석 정보와 수신된 패턴 매칭 결과를 기초로 유해 트래픽을 탐지하는 단계를 포함하되, 상기 유해 트래픽을 탐지하는 단계는 (c-1) 분석 기준이 단일 패킷 기반 분석으로 설정된 경우, 각 패킷에 대한 패턴 매칭 결과와 상기 패킷 분석 정보를 기초로 기 저장된 룰과 비교하는 단계 및 (c-2) 상기 기 저장된 룰과의 비교 결과를 기초로 유해 트래픽을 탐지 또는 차단하는 단계를 포함한다.
또한, 개시된 기술에 따른 네트워크 보안 장비의 패턴 매칭 시스템에서 상기 유해 트래픽을 탐지하는 단계는 분석 기준이 멀티 패킷 기반 분석으로 설정된 경우, 연속된 패킷들에 대한 패턴 매칭 결과와 상기 패킷 분석 정보를 기초로 기 저장된 룰과 비교하는 단계 및 상기 기 저장된 룰과의 비교 결과를 기초로 유해 트래픽을 탐지 또는 차단하는 단계를 더 포함한다.
이상에서 설명한 바와 같이, 개시된 기술에 따른 네트워크 보안 장비의 패턴 매칭 시스템 및 그 패턴 매칭 방법은 단순 패턴 매칭에서 벗어나 네트워크 보안 장비의 하드웨어(패턴 매칭 카드)와 소프트웨어(분석 엔진)가 유기적으로 동작하여 시그니처 패턴의 탐지율을 높일 수 있는 효과가 있다.
또한, 개시된 기술은 유해 트래픽을 탐지하는 데 패턴 매칭 카드 외 소프트웨어의 룰을 이용함으로써 복잡한 시그니처 패턴 룰을 설정할 수 있어 탐지율을 높일 수 있는 효과가 있다.
또한, 개시된 기술은 소프트웨어의 룰을 용이하게 보완할 수 있어 네트워크 보안 장비가 복잡한 시그니처 패턴에 유연하게 대응할 수 있는 효과가 있다.
또한, 개시된 기술은 단일 패킷 분석 외 멀티 패킷 분석을 통해 여러 패킷에 분리되어 있는 시그니처 패턴을 탐지할 수 있는 효과가 있다.
도 1은 일반적인 네트워크 구성을 나타내는 구성도.
도 2는 본 발명에 따른 네트워크 보안 장비의 패턴 매칭 시스템의 상세 구성을 나타내는 구성도.
도 3은 본 발명에 따른 네트워크 보안 장비의 패턴 매칭 시스템에 있어서 패턴 매칭 플로우를 나타내는 흐름도.
도 4는 본 발명에 따른 네트워크 보안 장비의 단일 패킷 기반 분석 시 싱글 패턴 매칭 방법을 나타내는 도면.
도 5는 본 발명에 따른 네트워크 보안 장비의 단일 패킷 기반 분석 시 멀티 패턴 매칭 방법을 나타내는 도면.
도 6은 본 발명에 따른 네트워크 보안 장비의 멀티 패킷 기반 분석 시 패턴 매칭 방법을 나타내는 도면.
도 7은 본 발명에 따른 네트워크 보안 장비의 패턴 매칭 방법을 나타내는 흐름도.
개시된 기술의 실시예들에 관한 설명은 개시된 기술의 구조적 내지 기능적 설명들을 위하여 예시된 것에 불과하므로, 개시된 기술의 권리범위는 본문에 설명된 실시예들에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 개시된 기술의 실시예들은 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 개시된 기술의 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다.
개시된 기술에서 기재된 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다" 또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
개시된 기술에서 기술한 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않은 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.
이하, 본 발명에 따른 네트워크 보안 장비의 패턴 매칭 시스템 및 그 패턴 매칭 방법을 실시하기 위한 구체적인 내용을 설명하면 다음과 같다.
[도 1]은 일반적인 네트워크 구성을 나타내는 구성도이다.
서버(140)는 라우터(120)를 통해 외부 네트워크(110)와 연결되며, 서버(140)와 외부 네트워크(110) 사이에는 유해 트래픽으로부터 서버(140)를 보호하기 위해 네트워크 보안 장비(130)가 구비된다. 예를 들어, 네트워크 보안 장비(130)에는 서버(140)에 접근하는 유해 트래픽을 탐지 또는 차단하기 위해 IDS(Intrusion Detection System), IPS(Intrusion Protection System) 등이 사용될 수 있다.
네트워크 보안 장비(130)에서 유해 트래픽을 탐지하는 방법에는 행위기반 탐지(Behavior Detection) 기법, 시그니처 기반 탐지(Signature Base Detection) 기법 등이 사용될 수 있다. 행위기반 탐지 기법은 시스템 내에서 발생하는 행위들을 바탕으로 유해 트래픽을 탐지하는 기법으로 알려지지 않은 공격(Unknown Attack)에 능동적으로 대응할 수 있으나 오탐률이 높은 문제점이 있다. 또한, 시그니처 기반 탐지 기법은 유입되는 데이터 스트림(Data Stream)을 보안 장비가 갖고 있는 시그니처 또는 스트링(String)과 비교하여 유해 트래픽을 탐지하는 기법으로 비교적 정확한 탐지가 가능하며 빠른 스캔 속도를 제공한다는 장점이 있으나, 알려지지 않은 공격에 취약하다는 문제점이 있다.
시그니처 기반 탐지 기법을 통해 유해 트래픽을 탐지하는 경우, 시그니처 패턴을 빠르게 탐지하기 위해 네트워크 보안 장비(130)는 시그니처 패턴이 저장되어 있는 패턴 매칭 카드 또는 가속기 카드를 사용할 수 있다.
[도 2]는 본 발명에 따른 네트워크 보안 장비의 패턴 매칭 시스템의 상세 구성도로, 패턴 매칭 카드(210), 프로토콜 분석 엔진(220), 룰 분석 엔진(230) 및 탐지/차단 엔진(240)을 포함한다.
네트워크 보안 장비의 패턴 매칭 시스템은 패턴 매칭 카드(210)를 포함하는 하드웨어 부분과 분석 엔진(engine)을 포함하는 소프트웨어 부분으로 구분될 수 있다.
패턴 매칭 카드(210)는 시그니처 패턴이 기록된 시그니처 패턴 테이블을 저장하고, 분석 엔진으로부터 수신된 패킷의 데이터와 시그니처 패턴 테이블의 패턴을 매칭하는 역할을 수행한다. 패턴 매칭 카드(210)는 패턴 매칭 결과를 분석 엔진에 전달하며, 패턴 매칭 결과는 매칭된 패턴에 대한 인덱스(index) 정보와 해당 패턴의 위치를 나타내는 오프셋(offset) 정보를 포함할 수 있다. 일 실시예에서, 패턴 매칭 카드(210)로 네트워크 인터페이스 카드(NIC, Network Interface Card)를 사용할 수 있다.
분석 엔진은 프로토콜 분석 엔진(220), 룰 분석 엔진(230) 및 탐지/차단 엔진(240)을 포함한다. 분석 엔진은 패킷을 복사하여 패턴 매칭 카드(210)에 전달하고, 패킷의 패킷 분석 정보와 패턴 매칭 카드(210)로부터 수신된 패턴 매칭 결과를 기초로 유해 트래픽을 탐지 또는 차단하는 역할을 수행한다.
프로토콜 분석 엔진(220)은 수신된 패킷을 읽어 프로토콜을 분석하고 패킷 분석 정보를 생성한다. 일 실시예에서, 프로토콜 분석 엔진(220)은 패킷의 헤더를 분석하여 사용 중인 프로토콜, 소스 IP 주소, 소스 포트 번호, 목적지 IP 주소, 목적지 포트 번호 및 세션 정보 가운데 적어도 하나 이상을 추출하여 패킷 분석 정보를 생성할 수 있다. 또한, 프로토콜 분석 엔진(220)은 패킷의 시퀀스(sequence) 정보를 추출할 수 있다.
룰 분석 엔진(230)은 단일 패킷에 대한 패턴 매칭 결과 또는 연속된 패킷들에 대한 패턴 매칭 결과를 기초로 패턴 매칭 테이블을 생성한다. 그리고, 룰 분석 엔진(230)은 패턴 매칭 테이블과 패킷 분석 정보를 기 저장된 룰과 비교하여 해당 정보들이 기 저장된 룰에 매칭되는지 여부를 분석한다.
탐지/차단 엔진(240)은 룰 분석 엔진(230)의 분석 결과를 기초로 유해 트래픽을 탐지하거나 차단한다.
프로토콜 분석 엔진(220), 룰 분석 엔진(230) 및 탐지/차단 엔진(240)은 분석 엔진의 각 프로세스 처리 블록을 편의상 기능에 따라 분류한 것이며, 구현 예에 따라 더 상세히 분류되거나 또는 통합되어 구현될 수 있다. 일 실시예에서 각 엔진은 소프트웨어 모듈로 구현될 수 있다.
본 발명에 따른 네트워크 보안 장비의 패턴 매칭 시스템은 단일 패킷 기반 분석 시에는 단일 패킷에 대한 패턴 매칭 결과와 패킷 분석 정보를 기초로 유해 트래픽을 탐지하고, 멀티 패킷 기반 분석 시에는 연속된 패킷들에 대한 패턴 매칭 결과와 패킷 분석 정보를 기초로 유해 트래픽을 탐지할 수 있다. 이하에서는 [도 3] 내지 [도 6]을 참조하여, 패턴 매칭 시스템의 동작을 자세히 설명하기로 한다.
[도 3]은 본 발명에 따른 네트워크 보안 장비의 패턴 매칭 시스템에 있어서 패턴 매칭 플로우를 나타내는 흐름도이다.
네트워크 보안 장비에 패킷이 수신되면, 프로토콜 분석 엔진(220)은 수신된 패킷을 읽어 프로토콜을 분석하고 패킷 분석 정보를 생성한다. 패킷 분석 정보는 패턴 매칭 결과와 함께 룰 분석 엔진(230)에서 유해 트래픽을 판단하는 데이터로 사용될 수 있다.
프로토콜 분석 엔진(220)은 수신된 패킷을 복사하여 패턴 매칭 카드(210)에 전달하고, 패턴 매칭 카드(210)는 수신된 패킷의 데이터와 시그니처 패턴 테이블의 패턴을 매칭하여 패턴 매칭 결과를 룰 분석 엔진(230)에 전달한다. 패턴 매칭 카드(210)는 패턴 매칭 결과를 비트 셋(bit set)으로 변환하여 룰 분석 엔진(230)에 전달할 수 있다. 일 실시예에서, 패턴 매칭 결과는 매칭된 패턴에 대한 인덱스 정보와 해당 패턴의 위치를 나타내는 오프셋 정보를 포함할 수 있다.
룰 분석 엔진(230)은 수신된 패턴 매칭 결과를 기초로 패턴 매칭 테이블을 생성하고, 패턴 매칭 테이블과 패킷 분석 정보를 기초로 기 저장된 룰과 비교한다. 이때, 룰 분석 엔진(230)은 단일 패킷 기반 분석 모드와 멀티 패킷 기반 분석 모드를 구분하여 패턴 매칭 테이블을 생성한다.
해당 분석 모드를 구분하기 위해 룰 분석 엔진(230)은 멀티 패킷 플래그(flag) 값을 설정할 수 있다. 일 실시예에서, 연속된 데이터를 나타내는 시퀀스(sequence) 정보가 설정된 패킷의 경우에는 룰 분석 엔진(230)은 플래그 값을 멀티 패킷 기반 분석으로 설정할 수 있고, 시퀀스 정보가 설정되지 않은 경우에는 플래그 값을 단일 패킷 기반 분석으로 설정할 수 있다.
플래그 값이 단일 패킷 기반 분석으로 설정된 경우에는 룰 분석 엔진(230)은 각 패킷에 대해 패턴 매칭 테이블을 생성하여 기 저장된 룰과 비교한다.
[도 4]는 본 발명에 따른 네트워크 보안 장비의 단일 패킷 기반 분석 시 싱글 패턴 매칭 방법을 나타내는 도면이며, [도 5]는 본 발명에 따른 네트워크 보안 장비의 단일 패킷 기반 분석 시 멀티 패턴 매칭 방법을 나타내는 도면이다.
패킷(410, 510)이 수신되는 경우 패턴 매칭 카드(420, 520)는 수신된 패킷의 데이터와 시그니처 패턴 테이블(430, 530)의 패턴을 매칭하여 패턴 매칭 결과(인덱스 정보, 오프셋 정보)(440, 540)를 룰 분석 엔진(450, 550)에 전달한다. 시그니처 패턴 테이블(430, 530)은 적어도 하나 이상의 시그니처 패턴과 해당 패턴에 대응되는 인덱스 값을 포함한다.
싱글 패턴 매칭은 패킷에서 하나의 패턴이 매칭되는 경우이다. 기준으로부터 200 거리만큼 떨어진 위치에 A 패턴이 포함된 패킷(410)이 수신된 경우를 가정하면, 패턴 매칭 카드(420)는 해당 A 패턴의 인덱스 정보(0003)와 오프셋 정보(200)를 비트 셋(bit set)으로 변환하여 룰 분석 엔진(450)에 전달한다. 룰 분석 엔진(450)은 멀티 패킷 플래그의 값을 단일 패킷 기반 분석으로 설정하고, 패턴 매칭 결과를 수신하여 패턴 매칭 테이블(460)을 생성한다.
멀티 패턴 매칭은 패킷에서 복수의 패턴들이 매칭되는 경우이다. 기준으로부터 200 거리만큼 떨어진 위치에 A 패턴이 포함되고, 400 거리만큼 떨어진 위치에 B 패턴이 포함된 경우를 가정하면, 패턴 매칭 카드(520)는 해당 A 패턴의 인덱스 정보(0001)와 오프셋 정보(200), B 패턴의 인덱스 정보(0003)와 오프셋 정보(400)를 비트 셋으로 변환하여 룰 분석 엔진(550)에 전달한다. 룰 분석 엔진(550)은 멀티 패킷 플래그의 값을 단일 패킷 기반 분석으로 설정하고, 패턴 매칭 결과를 수신하여 패턴 매칭 테이블(560)을 생성한다. 멀티 패턴 매칭의 경우 하나의 패턴 매칭 테이블(560)에 복수의 패턴 매칭 결과가 포함될 수 있다.
플래그 값이 멀티 패킷 기반 분석으로 설정된 경우에는 룰 분석 엔진(230)은 시퀀스의 수만큼 연속된 패킷들에 대한 패턴 매칭 결과를 기초로 패턴 매칭 테이블을 생성하여 룰과 비교한다. 즉, 플래그 값이 멀티 패킷 기반 분석으로 설정된 경우에는 룰 분석 엔진(230)은 패턴 매칭 테이블이 완성될 때까지 패턴 매칭 결과를 수신하여 패턴 매칭 테이블을 업데이트한다.
[도 6]은 본 발명에 따른 네트워크 보안 장비의 멀티 패킷 기반 분석 시 패턴 매칭 방법을 나타내는 도면이다.
패킷의 시퀀스 정보가 3인 경우, 3개의 패킷에 분할되어 데이터가 수신될 수 있다. 첫 번째 패킷(610a)에는 기준으로부터 200 거리만큼 떨어진 위치에 A 패턴이 포함되어 있고, 두 번째 패킷(610b)에는 400 거리만큼 떨어진 위치에 B 패턴이 포함되어 있고, 세 번째 패킷(610c)에는 600 거리만큼 떨어진 위치에 C 패턴이 포함되어 있는 경우를 가정한다.
첫 번째 패킷(610a)이 수신되면 패턴 매칭 카드는 A 패턴의 인덱스 정보(0001)와 오프셋 정보(200)를 비트 셋으로 변환하여 룰 분석 엔진에 전달한다. 룰 분석 엔진은 멀티 패킷 플래그의 값을 멀티 패킷 기반 분석으로 설정하고, 패턴 매칭 결과를 수신하여 패턴 매칭 테이블(620)을 생성한다. 룰 분석 엔진은 패킷들에 대한 패턴 매칭 결과가 모두 수신되어 패턴 매칭 테이블(620)이 완성될 때까지 대기한다.
두 번째 패킷(610b)이 수신되면 패턴 매칭 카드는 B 패턴의 인덱스 정보(0003)와 오프셋 정보(400)를 비트 셋으로 변환하여 룰 분석 엔진에 전달하고, 룰 분석 엔진은 수신된 패턴 매칭 결과를 패턴 매칭 테이블(620)에 반영하여 패턴 매칭 테이블을 업데이트한다. 세 번째 패킷(610c)이 수신되면 패턴 매칭 카드는 C 패턴의 인덱스 정보(0000)와 오프셋 정보(600)를 비트 셋으로 변환하여 룰 분석 엔진에 전달하고, 분석 엔진은 수신된 패턴 매칭 결과를 패턴 매칭 테이블(620)에 반영하여 패턴 매칭 테이블(620)을 업데이트한다.
패킷들에 대한 패턴 매칭 결과가 모두 수신되어 패턴 매칭 테이블(620)이 완성되면, 룰 분석 엔진은 이를 기초로 기 저장된 룰과 비교한다. 일 실시예에서, 룰 분석 엔진은 패킷 분석 정보를 이용하여 패킷들의 세션을 구분하고 동일 세션으로 수신되는 패킷들을 기초로 멀티 패킷 기반 분석을 수행할 수 있다.
패턴 매칭 테이블이 생성된 경우, 룰 분석 엔진(230)은 패턴 매칭 테이블과 패킷 분석 정보를 기 저장된 룰과 비교하여 해당 정보들이 기 저장된 룰에 매칭되는지 여부를 분석한다. 룰은 사용자에 의해 미리 설정되어 분석 엔진에 저장될 수 있으며, 사용자에 의해 업데이트 될 수 있다. 사용자는 패턴 매칭 결과만을 이용하거나, 패턴 매칭 결과와 패킷 분석 정보를 조합하여 룰을 만들 수 있으며, 이들 정보를 기초로 룰을 정확하게 설정할 수 있다.
예를 들어, 200 위치에 A 패턴이 포함된 패킷을 유해 패킷으로 탐지하는 룰 또는 TCP 프로토콜을 이용해서 80 포트로 수신되는 트래픽 가운데 200 위치에 A 패턴이 포함된 패킷을 유해 패킷으로 탐지하는 룰 등을 설정할 수 있다.
룰 분석 엔진(230)에서 룰에 매칭되지 않는 경우에는 해당 패킷에 대한 분석을 종료하고, 룰에 매칭되는 경우에는 탐지/차단 엔진(240)은 해당 패킷을 유해 트래픽으로 탐지하거나 차단한다.
이상에서 설명한 바와 같이, 본 발명에 따른 네트워크 보안 장비의 패턴 매칭 시스템을 적용하면 단일 패킷 분석 외 멀티 패킷 분석을 통해 여러 패킷에 분리되어 있는 시그니처 패턴을 탐지할 수 있는 효과가 있다.
또한, 패턴 매칭 카드의 패턴 매칭 결과와 소프트웨어의 룰을 이용함으로써 복잡한 시그니처 패턴 룰을 설정할 수 있어 탐지율을 높일 수 있으며, 소프트웨어의 룰을 용이하게 보완할 수 있어 복잡한 시그니처 패턴에 유연하게 대응할 수 있는 효과가 있다.
[도 7]은 본 발명에 따른 네트워크 보안 장비의 패턴 매칭 방법을 나타내는 흐름도이다.
패킷이 수신되면 분석 엔진은 패킷을 읽어 패킷을 분석하고 패킷 분석 정보를 생성하는 단계(단계 S710)를 수행한다. 그리고, 분석 엔진은 해당 패킷을 복사하여 패턴 매칭 카드에 전달한다(단계 S720). 일 실시예에서, 패킷 분석 정보는 사용 중인 프로토콜, 소스 IP 주소, 소스 포트 번호, 목적지 IP 주소, 목적지 포트 번호 및 세션 정보 가운데 적어도 하나 이상을 포함할 수 있다.
패턴 매칭 카드는 수신된 패킷의 데이터와 기 저장된 시그니처 패턴 테이블의 패턴을 매칭하고(단계 S730), 패턴 매칭 결과를 분석 엔진에 전달한다(단계 S740). 일 실시예에서, 패턴 매칭 결과는 매칭된 패턴에 대한 인덱스 정보와 해당 패턴의 위치를 나타내는 오프셋 정보를 포함할 수 있다.
패턴 매칭 결과가 수신되면 분석 엔진은 패킷 분석 정보와 수신된 패턴 매칭 결과를 기초로 유해 트래픽을 탐지한다.
이 때, 분석 엔진은 멀티 패킷 플래그 값을 확인하고(단계 S750), 플래그 값이 단일 패킷 기반 분석으로 설정된 경우에는 각 패킷에 대한 패턴 매칭 결과와 패킷 분석 정보를 기초로 기 저장된 룰과 비교한다(단계 S780).
즉, 단일 패킷 기반 분석 시 분석 엔진은 각 패킷에 대한 패턴 매칭 결과를 기초로 패턴 매칭 테이블을 생성하고, 패턴 매칭 테이블과 패킷 분석 정보가 기 저장된 룰에 매칭되는지 여부를 분석한다.
멀티 패킷 플래그 값을 확인하여(단계 S750) 플래그 값이 멀티 패킷 기반 분석으로 설정된 경우에는 분석 엔진은 연속된 패킷들에 대한 패턴 매칭 결과와 패킷 분석 정보를 기초로 기 저장된 룰과 비교한다.
즉, 분석 엔진은 연속된 패킷들에 대한 패턴 매칭 결과들을 수신하여 패턴 매칭 테이블을 업데이트하고(단계 S760), 패턴 매칭 테이블이 완성된 경우(단계 S770)에 패턴 매칭 테이블과 패킷 분석 정보가 기 저장된 룰에 매칭되는지 여부를 분석한다(단계 S780).
기 저장된 룰과의 비교하여 룰과 매칭되는 경우, 분석 엔진은 해당 패킷이 포함된 트래픽을 유해 트래픽으로 탐지하거나 해당 트래픽을 차단한다(단계 S790).
이상에서 설명한 바와 같이, 본 발명에 따른 네트워크 보안 장비의 패턴 매칭 방법을 적용하면 단순 패턴 매칭에서 벗어나 네트워크 보안 장비의 하드웨어와 소프트웨어가 유기적으로 동작하여 시그니처 패턴의 탐지율을 높일 수 있는 효과가 있다.
또한, 단일 패킷 분석 외 멀티 패킷 분석을 통해 여러 패킷에 분리되어 있는 시그니처 패턴을 탐지할 수 있는 효과가 있다.
이상 본 발명의 실시예로 설명하였으나 본 발명의 기술적 사상이 상기 실시예로 한정되는 것은 아니며, 본 발명의 기술적 사상을 벗어나지 않는 범주에서 다양한 네트워크 보안 장비의 패턴 매칭 시스템 및 그 패턴 매칭 방법으로 구현할 수 있다.
210 : 패킷 매칭 카드 220 : 프로토콜 분석 엔진
230 : 룰 분석 엔진 240 : 탐지/차단 엔진

Claims (11)

  1. 수신된 패킷의 데이터와 기 저장된 시그니처 패턴 테이블의 패턴을 매칭하여 패턴 매칭 결과를 분석 엔진에 전달하는 패턴 매칭 카드; 및
    패킷을 복사하여 상기 패턴 매칭 카드에 전달하고, 상기 패킷의 패킷 분석 정보와 상기 패턴 매칭 카드로부터 수신된 패턴 매칭 결과를 기초로 유해 트래픽을 탐지하는 분석 엔진을 포함하되,
    상기 분석 엔진은
    단일 패킷 기반 분석 시, 단일 패킷에 대한 패턴 매칭 결과와 패킷 분석 정보를 기초로 유해 트래픽을 탐지하고,
    멀티 패킷 기반 분석 시, 연속된 패킷들에 대한 패턴 매칭 결과와 패킷 분석 정보를 기초로 유해 트래픽을 탐지하는 네트워크 보안 장비의 패턴 매칭 시스템.
  2. 제1항에 있어서, 상기 분석 엔진은
    상기 패킷의 프로토콜을 분석하여 패킷 분석 정보를 생성하는 프로토콜 분석 엔진;
    단일 패킷에 대한 패턴 매칭 결과 또는 연속된 패킷들에 대한 패턴 매칭 결과를 기초로 패턴 매칭 테이블을 생성하고, 상기 패턴 매칭 테이블과 상기 패킷 분석 정보를 기초로 기 저장된 룰과 비교하는 룰 분석 엔진; 및
    상기 룰 분석 엔진의 분석 결과를 기초로 유해 트래픽을 탐지 또는 차단하는 탐지 또는 차단엔진을 포함하는 네트워크 보안 장비의 패턴 매칭 시스템.
  3. 제2항에 있어서, 상기 패턴 매칭 결과는
    매칭된 패턴에 대한 인덱스 정보와 해당 패턴의 위치를 나타내는 오프셋 정보를 포함하는 것을 특징으로 하는 네트워크 보안 장비의 패턴 매칭 시스템.
  4. 제2항에 있어서, 상기 패킷 분석 정보는
    사용 중인 프로토콜, 소스 IP 주소, 소스 포트 번호, 목적지 IP 주소, 목적지 포트 번호 및 세션 정보 가운데 적어도 하나 이상을 포함하는 것을 특징으로 하는 네트워크 보안 장비의 패턴 매칭 시스템.
  5. 제2항에 있어서, 상기 룰 분석 엔진은
    플래그 값이 단일 패킷 기반 분석으로 설정된 경우에는 각 패킷에 대해 패턴 매칭 테이블을 생성하고, 플래그 값이 멀티 패킷 기반 분석으로 설정된 경우에는 연속된 패킷들에 대한 패턴 매칭 결과를 기초로 패턴 매칭 테이블을 생성하는 것을 특징으로 하는 네트워크 보안 장비의 패턴 매칭 시스템.
  6. (a) 분석 엔진에서 패킷을 분석하여 패킷 분석 정보를 생성하고, 해당 패킷을 복사하여 패턴 매칭 카드에 전달하는 단계;
    (b) 패턴 매칭 카드에서 수신된 패킷의 데이터와 기 저장된 시그니처 패턴 테이블의 패턴을 매칭하여 패턴 매칭 결과를 분석 엔진에 전달하는 단계; 및
    (c) 분석 엔진에서 상기 패킷 분석 정보와 수신된 패턴 매칭 결과를 기초로 유해 트래픽을 탐지하는 단계를 포함하되,
    상기 유해 트래픽을 탐지하는 단계는
    (c-1) 분석 기준이 단일 패킷 기반 분석으로 설정된 경우, 각 패킷에 대한 패턴 매칭 결과와 상기 패킷 분석 정보를 기초로 기 저장된 룰과 비교하는 단계; 및
    (c-2) 상기 기 저장된 룰과의 비교 결과를 기초로 유해 트래픽을 탐지 또는 차단하는 단계를 포함하는 네트워크 보안 장비의 패턴 매칭 방법.
  7. 제6항에 있어서, 상기 기 저장된 룰과 비교하는 단계는
    각 패킷에 대한 패턴 매칭 결과를 기초로 패턴 매칭 테이블을 생성하는 단계; 및
    상기 패턴 매칭 테이블의 패턴과 패킷 분석 정보가 기 저장된 룰에 매칭되는지 여부를 분석하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 장비의 패턴 매칭 방법.
  8. 제6항에 있어서, 상기 유해 트래픽을 탐지하는 단계는
    분석 기준이 멀티 패킷 기반 분석으로 설정된 경우, 연속된 패킷들에 대한 패턴 매칭 결과와 상기 패킷 분석 정보를 기초로 기 저장된 룰과 비교하는 단계; 및
    상기 기 저장된 룰과의 비교 결과를 기초로 유해 트래픽을 탐지 또는 차단하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 보안 장비의 패턴 매칭 방법.
  9. 제8항에 있어서, 상기 기 저장된 룰과 비교하는 단계는
    연속된 패킷들에 대한 패턴 매칭 결과를 기초로 패턴 매칭 테이블을 생성하는 단계; 및
    상기 패턴 매칭 테이블의 패턴과 패킷 분석 정보가 기 저장된 룰에 매칭되는지 여부를 분석하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 장비의 패턴 매칭 방법.
  10. 제6항에 있어서, 상기 패턴 매칭 결과는
    매칭된 패턴에 대한 인덱스 정보와 해당 패턴의 위치를 나타내는 오프셋 정보를 포함하는 것을 특징으로 하는 네트워크 보안 장비의 패턴 매칭 방법.
  11. 제6항에 있어서, 상기 패킷 분석 정보는
    사용 중인 프로토콜, 소스 IP 주소, 소스 포트 번호, 목적지 IP 주소, 목적지 포트 번호 및 세션 정보 가운데 적어도 하나 이상을 포함하는 것을 특징으로 하는 네트워크 보안 장비의 패턴 매칭 방법.
KR1020130001133A 2013-01-04 2013-01-04 네트워크 보안 장비의 패턴 매칭 시스템 및 그 패턴 매칭 방법 KR101434388B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020130001133A KR101434388B1 (ko) 2013-01-04 2013-01-04 네트워크 보안 장비의 패턴 매칭 시스템 및 그 패턴 매칭 방법
US14/142,428 US9246930B2 (en) 2013-01-04 2013-12-27 System and method for pattern matching in a network security device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130001133A KR101434388B1 (ko) 2013-01-04 2013-01-04 네트워크 보안 장비의 패턴 매칭 시스템 및 그 패턴 매칭 방법

Publications (2)

Publication Number Publication Date
KR20140089195A true KR20140089195A (ko) 2014-07-14
KR101434388B1 KR101434388B1 (ko) 2014-08-26

Family

ID=51260504

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130001133A KR101434388B1 (ko) 2013-01-04 2013-01-04 네트워크 보안 장비의 패턴 매칭 시스템 및 그 패턴 매칭 방법

Country Status (2)

Country Link
US (1) US9246930B2 (ko)
KR (1) KR101434388B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160085593A (ko) * 2015-01-08 2016-07-18 주식회사 윈스 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법 및 장치
KR101664223B1 (ko) * 2015-06-03 2016-10-11 주식회사 시큐아이 트래픽 분석 시스템 및 그의 트래픽 분석 방법
CN112394683A (zh) * 2020-11-24 2021-02-23 桂林电子科技大学 一种利用工控系统的文件传输方法
KR20230072281A (ko) * 2021-11-17 2023-05-24 주식회사 윈스 DDoS 공격 탐지 방법 및 장치

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016013177A1 (ja) * 2014-07-23 2016-01-28 日本電気株式会社 網検証装置、網検証方法、および、記憶媒体
CN106453438B (zh) * 2016-12-23 2019-12-10 北京奇虎科技有限公司 一种网络攻击的识别方法及装置
US10298606B2 (en) * 2017-01-06 2019-05-21 Juniper Networks, Inc Apparatus, system, and method for accelerating security inspections using inline pattern matching
US11297082B2 (en) * 2018-08-17 2022-04-05 Nec Corporation Protocol-independent anomaly detection
JP7238561B2 (ja) * 2019-04-11 2023-03-14 京セラドキュメントソリューションズ株式会社 情報処理装置及びパケットパターン生成プログラム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7150043B2 (en) * 2001-12-12 2006-12-12 International Business Machines Corporation Intrusion detection method and signature table
US7613775B2 (en) * 2003-11-25 2009-11-03 Freescale Semiconductor, Inc. Network message filtering using hashing and pattern matching
US20060198375A1 (en) * 2004-12-07 2006-09-07 Baik Kwang H Method and apparatus for pattern matching based on packet reassembly
KR100750377B1 (ko) * 2006-05-09 2007-08-17 한정보통신 주식회사 SoC기반의 네트워크 보안 시스템 및 그 방법
US20100071054A1 (en) * 2008-04-30 2010-03-18 Viasat, Inc. Network security appliance
KR100994746B1 (ko) 2008-08-01 2010-11-16 주식회사 정보보호기술 패턴 매칭부를 이용한 유해 트래픽 탐지 방법 및 시스템
KR101017015B1 (ko) 2008-11-17 2011-02-23 (주)소만사 네트워크 기반 고성능 콘텐츠 보안 시스템 및 방법
US8307351B2 (en) * 2009-03-18 2012-11-06 Oracle International Corporation System and method for performing code provenance review in a software due diligence system

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160085593A (ko) * 2015-01-08 2016-07-18 주식회사 윈스 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법 및 장치
KR101664223B1 (ko) * 2015-06-03 2016-10-11 주식회사 시큐아이 트래픽 분석 시스템 및 그의 트래픽 분석 방법
CN112394683A (zh) * 2020-11-24 2021-02-23 桂林电子科技大学 一种利用工控系统的文件传输方法
CN112394683B (zh) * 2020-11-24 2022-03-11 桂林电子科技大学 一种利用工控系统的文件传输方法
KR20230072281A (ko) * 2021-11-17 2023-05-24 주식회사 윈스 DDoS 공격 탐지 방법 및 장치

Also Published As

Publication number Publication date
KR101434388B1 (ko) 2014-08-26
US9246930B2 (en) 2016-01-26
US20140223564A1 (en) 2014-08-07

Similar Documents

Publication Publication Date Title
KR101434388B1 (ko) 네트워크 보안 장비의 패턴 매칭 시스템 및 그 패턴 매칭 방법
US7835390B2 (en) Network traffic identification by waveform analysis
US9923913B2 (en) System and method for malware detection learning
US10721244B2 (en) Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program
US8042182B2 (en) Method and system for network intrusion detection, related network and computer program product
TWI674777B (zh) 異常流量偵測裝置及其異常流量偵測方法
EP3244335B1 (en) Blacklist generation device, blacklist generation system, blacklist generation method, and blacklist generation program
US8572016B2 (en) Match engine for detection of multi-pattern rules
US8336098B2 (en) Method and apparatus for classifying harmful packet
US11290484B2 (en) Bot characteristic detection method and apparatus
CN110362992B (zh) 在基于云端环境中阻挡或侦测计算机攻击的方法和设备
JP6306739B2 (ja) 悪性通信パターン抽出装置、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム
WO2013091435A1 (zh) 文件类型识别方法及文件类型识别装置
JP6386593B2 (ja) 悪性通信パターン抽出装置、悪性通信パターン抽出システム、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム
Zhang et al. CMD: A convincing mechanism for MITM detection in SDN
US10963562B2 (en) Malicious event detection device, malicious event detection method, and malicious event detection program
CN113328976B (zh) 一种安全威胁事件识别方法、装置及设备
KR100951930B1 (ko) 부적절한 패킷의 분류 방법 및 장치
EP3484122A1 (en) Malicious relay and jump-system detection using behavioral indicators of actors
Mohammed et al. An automated signature generation approach for polymorphic worms using principal component analysis
US20240073184A1 (en) Filtering packets of network traffic using probabilistic pattern matching
CN114553452B (zh) 攻击防御方法及防护设备
Ahmed et al. Integrating Portable Network Security Modeling into Embedded System Design

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170727

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180820

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190820

Year of fee payment: 6