KR20160093791A - 내부망에서 효율적인 침입탐지 방법 및 장치 - Google Patents

내부망에서 효율적인 침입탐지 방법 및 장치 Download PDF

Info

Publication number
KR20160093791A
KR20160093791A KR1020150014383A KR20150014383A KR20160093791A KR 20160093791 A KR20160093791 A KR 20160093791A KR 1020150014383 A KR1020150014383 A KR 1020150014383A KR 20150014383 A KR20150014383 A KR 20150014383A KR 20160093791 A KR20160093791 A KR 20160093791A
Authority
KR
South Korea
Prior art keywords
packet
attack
flow
intrusion
information
Prior art date
Application number
KR1020150014383A
Other languages
English (en)
Other versions
KR101665848B1 (ko
Inventor
김광조
이동수
Original Assignee
한국과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국과학기술원 filed Critical 한국과학기술원
Priority to KR1020150014383A priority Critical patent/KR101665848B1/ko
Publication of KR20160093791A publication Critical patent/KR20160093791A/ko
Application granted granted Critical
Publication of KR101665848B1 publication Critical patent/KR101665848B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/60Software-defined switches

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

일 실시예에 따른 침입을 탐지하는 방법은, SDN(Software Defined Network) 환경에서 SDN 스위치로부터 플로우를 주기적으로 전달받고, 공격을 감지함에 따라 플로우 통계(Flow Statistics)를 수신하는 단계; 상기 플로우 통계를 수신함에 따라 플로우 정보를 SDN Application으로 동작중인 플로우 기반의 제1 IDS로 전송하고, 상기 플로우 정보에 기반하여 침입을 탐지하는 단계; 및 상기 플로우 정보로부터 IP 주소 및 포트 번호를 포함하는 패킷을 수신함에 따라 상기 패킷을 제2 IDS로 전송하고, 상기 패킷에 대한 정보에 기반하여 침입을 재탐지하는 단계를 포함할 수 있다.

Description

내부망에서 효율적인 침입탐지 방법 및 장치{METHOD AND APPARATUS FOR EFFECTIVE INTRUSION DETECTION IN INTERNAL NETWORK}
아래의 설명은 IDS(Intrusion Detection System)에 관한 것으로, 네트워크 내에서 침입 및 공격을 탐지하는 방법 및 장치에 관한 것이다.
일반적인 상업 IDS에서는 패킷(Packet)의 내용에 기반한 IDS가 많이 설치되며, 외부 네트워크 경계에 설치되어 네트워크를 오가는 트래픽에 대한 침입 탐지를 수행할 수 있다. 하지만 패킷의 내용에 기반한 IDS는 오버헤드가 발생할 수 있다는 문제점이 있기 때문에 오버헤드를 줄이고자 할 경우, 패킷이 아닌 플로우(Flow)를 이용한 IDS를 보조적으로 활용하고 있다.
IDS에 많이 사용되고 있는 패킷 기반의 IDS는 네트워크에서 수집된 모든 패킷 정보를 분석 가능하다는 장점이 있지만, 내부망을 탐지할 경우에는 탐지하고자 하는 패킷이 모두 IDS를 거쳐 전송되어야 하므로 많은 부하가 발생한다는 단점이 있다. 또한, 모든 데이터를 탐지하고자 할 경우, 패킷 기반의 IDS는 네트워크 트래픽 또는 그 이상의 오버헤드를 차지하고, 일부 데이터만 탐지하고자 할 경우에는 탐지 대상의 누락이 발생한다는 단점이 있다.
내부망의 탐지를 위해 플로우 기반의 IDS를 사용할 경우, 패킷 기반의 IDS와 비교하여 매우 적은 오버헤드로 침입 탐지 수행이 가능하나, 플로우에 담긴 정보가 IP, Port, 전송량 정도에 그쳐 실제 공격에 대한 정확한 분석에는 한계가 있다. 더욱 상세하게는, 공격을 탐지하였을 때 진짜로 공격이 발생하였는지 검증할만한 수단이 부족하고, 알려지지 않은 공격의 경우 분석이 필요하나 정보가 부족하여 추후 분석에 어려움이 있다.
한국공개특허 제10-2014-0106235호는 외부로부터 수신되는 패킷을 처리하는 오픈플로우 스위치 및 패킷 처리 방법에 관하여 개시하고 있다.
본 발명의 실시예들에 따르면, 침입 탐지 시스템은 네트워크 내부망의 침입 탐지를 수행할 때, 플로우 기반의 기술을 통해 적은 오버헤드로 침입 탐지를 수행할 수 있도록 제안한다. 또한, 침입 탐지 시스템은 공격을 탐지한 이후 공격에 대한 자세한 정보를 수집하기 위하여 네트워크의 라우팅 경로 등을 수정하여 공격 패킷에 대한 정보만을 따로 수집 및 분석이 가능하도록 제공한다.
본 발명의 실시예들에 따르면, 플로우 기반의 IDS의 결과물에 패킷 기반의 IDS를 추가적으로 적용하여 탐지 결과를 상세하게 제공함으로써 보안 대책을 수립할 수 있도록 하고, 상기 IDS의 오버헤드를 낮게 유지하기 위하여 SDN 상에서 복합 동작하는 IDS를 제안한다.
일 실시예에 따른 침입을 탐지하는 방법은, SDN(Software Defined Network) 환경에서 SDN 스위치로부터 플로우를 주기적으로 전달받고, 공격을 감지함에 따라 플로우 통계(Flow Statistics)를 수신하는 단계; 상기 플로우 통계를 수신함에 따라 플로우 정보를 SDN Application으로 동작중인 플로우 기반의 제1 IDS로 전송하고, 상기 플로우 정보에 기반하여 침입을 탐지하는 단계; 및 상기 플로우 정보로부터 IP 주소 및 포트 번호를 포함하는 패킷을 수신함에 따라 상기 패킷을 제2 IDS로 전송하고, 상기 패킷에 대한 정보에 기반하여 침입을 재탐지하는 단계를 포함할 수 있다.
일측에 따르면, 상기 플로우 정보에 기반하여 침입을 탐지하는 단계는, 비정상적 탐지(Anomaly Detection)를 이용하여 상기 플로우 정보로부터 공격 패킷인지 일반 패킷인지 여부를 판단하는 단계를 포함할 수 있다.
또 다른 일측에 따르면, 상기 플로우 정보에 기반하여 침입을 탐지하는 단계는, 상기 플로우 정보가 공격 패킷임이 판단됨에 따라 상기 플로우 정보로부터 IP 주소 및 포트 번호를 확인하고, 상기 SDN 스위치에게 상기 확인된 IP 주소 및 상기 포트 번호에 대한 공격 패킷을 포워딩하도록 요청하여 상기 패킷을 제2 IDS로 전송하도록 지시하는 단계를 포함할 수 있다.
또 다른 일측에 따르면, 상기 패킷에 대한 정보에 기반하여 침입을 재탐지하는 단계는, 상기 IP 주소 및 상기 포트 번호에 대한 패킷을 포워딩하여 상기 패킷에 대한 분석을 수행하고, 상기 패킷이 공격 패킷으로 판단된 경우 SDN 스위치에게 상기 공격 패킷을 차단할 것을 요청하는 단계를 포함할 수 있다.
또 다른 일측에 따르면, 상기 패킷에 대한 정보에 기반하여 침입을 재탐지하는 단계는, 상기 패킷이 이미 공격된 적 있는 공격 패킷일 경우 포워딩을 중지하고, 상기 패킷이 공격된 적 없는 새로운 공격 패킷일 경우 기설정된 시간동안 상기 공격 패킷에 대한 정보를 수집하는 단계를 포함할 수 있다.
또 다른 일측에 따르면, 상기 침입을 탐지하는 방법은, 상기 패킷에 대한 오탐지 여부를 판단하고, 상기 패킷으로부터 새로운 공격을 분석 및 추후 공격에 대한 시스템 보완을 위하여 상기 패킷에 대한 정보를 유지하는 단계 더 포함할 수 있다.
일 실시예에 따른 침입 탐지 시스템은, SDN(Software Defined Network) 환경에서 SDN 스위치로부터 플로우를 주기적으로 전달받고, 공격을 감지함에 따라 플로우 통계(Flow Statistics)를 수신하는 수신부; 상기 플로우 통계를 수신함에 따라 플로우 정보를 SDN Application으로 동작중인 플로우 기반의 제1 IDS로 전송하고, 상기 플로우 정보에 기반하여 침입을 탐지하는 제1 탐지부; 및 상기 플로우 정보로부터 IP 주소 및 포트 번호를 포함하는 패킷을 수신함에 따라 상기 패킷을 제2 IDS로 전송하고, 상기 패킷에 대한 정보에 기반하여 침입을 재탐지하는 제2 탐지부를 포함할 수 있다.
일측에 따르면, 상기 제1 탐지부는, 비정상적 탐지(Anomaly Detection)를 이용하여 상기 플로우 정보로부터 공격 패킷인지 일반 패킷인지 여부를 판단할 수 있다.
또 다른 일측에 따르면, 상기 제1 탐지부는, 상기 플로우 정보가 공격 패킷임이 판단됨에 따라 상기 플로우 정보로부터 IP 주소 및 포트 번호를 확인하고, 상기 SDN 스위치에게 상기 확인된 IP 주소 및 상기 포트 번호에 대한 공격 패킷을 포워딩하도록 요청하여 상기 패킷을 제2 IDS로 전송하도록 지시할 수 있다.
또 다른 일측에 따르면, 상기 제2 탐지부는, 상기 IP 주소 및 상기 포트 번호에 대한 패킷을 포워딩하여 상기 패킷에 대한 분석을 수행하고, 상기 패킷이 공격 패킷으로 판단된 경우 SDN 스위치에게 상기 공격 패킷을 차단할 것을 요청할 수 있다.
또 다른 일측에 따르면, 상기 제2 탐지부는, 상기 패킷이 이미 공격된 적 있는 공격 패킷일 경우 포워딩을 중지하고, 상기 패킷이 공격된 적 없는 새로운 공격 패킷일 경우 기설정된 시간동안 상기 공격 패킷에 대한 정보를 수집할 수 있다.
또 다른 일측에 따르면, 상기 침입 탐지 시스템은, 상기 패킷에 대한 오탐지 여부를 판단하고, 상기 패킷으로부터 새로운 공격을 분석 및 추후 공격에 대한 상기 시스템 보완을 위하여 상기 패킷에 대한 정보를 유지하는 것을 더 포함할 수 있다.
본 발명의 실시예들에 따르면 내부망의 침입을 탐지하는데 모든 Packet payload를 요구하지 않아 적은 오버헤드로 침입 탐지를 수행할 수 있다. 침입 탐지 시스템은 지속되는 공격 패킷에 대해 분석 및 저장이 가능하며, 추후 새로운 공격 패킷에 대한 분석을 통하여 알려지지 않은 공격에 대해 일시적인 방어 및 영구적인 내성을 지닐 수 있다. 또한, 침입 탐지 시스템은 플로우의 조절이 자유롭기 때문에 침입 차단 및 경감 정책을 유동적으로 구성할 수 있다.
본 발명의 실시예들에 따르면 상기 제안한 기법을 통하여 침입 탐지 및 분석이 완료된 경우, 침입 방지(Prevention) 또는 경감(Mitigation)을 위해 추가적인 공격 트래픽이 발생하지 않도록 할 수 있다.
도 1은 일 실시예에 따른 침입 탐지 시스템의 개략적인 구조를 나타낸 것이다.
도 2는 일 실시예에 따른 침입 탐지 시스템의 동작을 설명하기 위한 도면이다.
도 3은 일 실시예에 따른 침입 탐지 시스템의 구조를 나타낸 블록도이다.
도 4는 일 실시예에 따른 침입 탐지 시스템의 단계별 패킷을 분류한 것을 나타낸 도면이다.
도 5는 일 실시예에 따른 침입 탐지 시스템의 IDS 기능을 비교한 것을 나타낸 표이다.
도 6은 일 실시예에 따른 침입 탐지 시스템의 침입 탐지 방법을 나타낸 흐름도이다.
도 7은 일 실시예에 따른 침입 탐지 시스템을 구현하기 위하여 간략하게 프로그래밍한 것을 나타낸 것이다.
이하, 실시예를 첨부한 도면을 참조하여 상세히 설명한다.
도 1은 일 실시예에 따른 침입 탐지 시스템의 개략적인 구조를 나타낸 것이다.
침입 탐지 시스템은 플로우 기반의 IDS의 장점과 패킷 기반의 IDS의 장점을 접목시키는 IDS 방식을 제안한다. 침입 탐지 시스템은 SDN(Software Defined Network)에서 라우팅 테이블을 동적으로 관리할 수 있기 때문에, 패킷 기반 IDS로 보낼 데이터 또한 동적으로 관리할 수 있으며, 침입 탐지 후 차단 또한 가능한 이점이 있다.
침입 탐지 시스템은 SDN환경에서, SDN Switches(110), Flow based IDS with SDN Controller(120) 및 Packet based IDS(130)으로 구성될 수 있으며, 사용자 단말(140, 141)의 동작을 통하여 침입을 탐지할 수 있다. 이러한 구성을 위해 침입 탐지 시스템은 플로우 기반의 IDS(120)와 패킷 기반의 IDS(130)는 도 1과 같이 설치될 수 있다.
플로우 기반의 IDS(120)는 Braga 등의 구성과 같이 SDN Application으로서 동작하고, 패킷 기반의 IDS(130)는 구성에 따라 SDN Controller와 통합하거나, 분리될 수 있다. 각각의 경우 IDS 관리의 용이성, 자원의 분리 등의 이점이 있다.
이 중 실질적인 침입 탐지로는 플로우 기반의 IDS(120)를 사용하며, 패킷 기반의 IDS(130)는 플로우 기반의 IDS(120)의 탐지 결과를 보조하는데 사용될 수 있다.
예를 들면, 침입 탐지 시스템은 다음과 같이 구현될 수 있다. Mininet을 이용하여 가상 SDN 네트워크를 구성하고, POX나 다른 SDN Controller 툴을 이용하여 기본적인 테스트가 가능한 SDN 가상 네트워크를 구성할 수 있다. POX는 Logical Port 기능이 없는 OpenFlow 1.0버전만 지원하므로, 실제 구현시에는 Flow 기반 IDS, SDN Controller, Packet 기반 IDS를 같은 위치에 설치할 수 있다.
또한, IDS의 탐지 알고리즘은 Flow 기반 IDS와 Packet 기반 IDS에 각각 다른 알고리즘을 적용하였다. Flow 기반 IDS에서는 scikit-learn에서 제공하는 기계 학습 알고리즘 중 생체 모방 알고리즘인 PSO를 적용할 수 있고, Packet 기반 IDS에서는 테스트에 사용할 Dataset을 수작업으로 signature를 입력할 수 있다.
도 2는 일 실시예에 따른 침입 탐지 시스템의 동작을 설명하기 위한 도면이다.
OpenFlow는 SDN 프로토콜 중 가장 널이 쓰이는 프로토콜 중 하나이며, 도 2에서는 OpenFlow를 예를 들어 설명하기로 한다. OpenFlow Controller(220)에서 IDS의 각 모듈들은 OpenFlow Application으로 동작될 수 있다.
OpenFlow Controller(220)는 Flow Information Logger(230), 플로우 기반의 IDS모듈(240), 패킷 기반의 IDS 모듈(250) 및 Packet Information Logger(260)로 구성될 수 있다.
Flow Information Logger(230)는 OpenFlow로부터 플로우 정보를 수집할 수 있고, 플로우 기반의 탐지를 위하여 feature를 가공하고 저장할 수 있다. 이때, Flow Information Logger(230)는 플로우당 패킷(Packet) 수, 플로우당 바이트(Byte) 수, 플로우당 연결 시간, Pair-Flow의 비율 등을 저장할 수 있다.
플로우 기반의 IDS모듈(240)은 플로우 정보로부터 이상치를 탐지할 수 있고, 가공된 플로우 feature를 이용하여 침입을 탐지할 수 있다. 또한, 플로우 기반의 IDS모듈(240)은 침입 탐지시 패킷 기반의 IDS로 패킷을 전송할 것을 요청할 수 있다.
패킷 기반의 IDS 모듈(250)은 시그니처 기반의 탐지를 수행할 수 있다. 패킷 기반의 IDS 모듈(250)은 플로우 기반의 IDS모듈(240)에 의하여 전송 요청된 패킷을 이용한 2차 탐지 및 분석을 수행할 수 있다. 이때, 패킷 기반의 IDS 모듈(250)에서 수행되는 탐지 결과는 플로우 기반의 IDS 탐지 결과에 영향을 주지 않는다.
Packet Information Logger(260)는 플로우 기반의 IDS모듈(240)에서 수행된 탐지 결과 및 패킷 기반의 IDS 모듈(250)에서 수행된 탐지 결과를 취합하여 저장할 수 있다. 이때, Packet Information Logger(260)에서 상기 저장된 탐지 결과는 전문가에 의하여 분석이 가능하도록 제공될 수 있다.
일 실시예에 따른 침입 탐지 시스템은 플로우 기반의 IDS를 통한 침입을 탐지할 수 있고, 침입 탐지 시 공격 패킷을 패킷 기반의 IDS로 우회시킬 수 있다. 또한, 침입 탐지 시스템은 패킷 기반의 IDS로 상세한 분석을 수행할 수 있게 된다.
침입 탐지 시스템에서 각각의 IDS 모듈을 OpenFlow Application으로 설치할 수 있고, 도 7을 참고하면, 침입 탐지 시스템을 구현하기 위하여 프로그래밍한 것을 나타낸 것으로, Flow_removed 이벤트를 Flow 기반의 IDS로 연결시킬 수 있다. 이때, 침입 탐지 시스템은 플로우 정보를 지속적으로 수집할 수 있다(710).
SDN 네트워크 내의 한 악의적인 노드가 공격을 시도하고자 한다고 가정하자. 침입 탐지 시스템에서 OpenFlow Switch는 통신 중인 플로우가 종료될 때, OpenFlow Controller를 통해 플로우 정보를 전송할 수 있다. 이때, Hard timeout이 있어 통신이 지속되더라도 플로우 종료는 지속적으로 발생할 수 있다. 플로우 기반의 IDS는 플로우 정보를 분석하여 공격을 탐지할 수 있다(720).
플로우 기반의 IDS는 공격이 발생함을 확인함에 따라 OpenFlow Switch에게 상기 공격 패킷을 포워딩하도록 요청할 수 있다. 이때, 공격에 대한 탐지와 관계없이 플로우 기반의 IDS는 침입 탐지를 계속적으로 수행하게 된다.
이후, 공격 패킷은 패킷 기반의 IDS로 포워딩되며, 패킷 기반의 IDS는 공격에 대한 상세 분석을 수행할 수 있다(730). 이때, 분석을 수행한 자료는 분석이 가능하도록 보관될 수 있다.
패킷 기반의 IDS는 분석이 충분이 수행됨에 따라 분석 및 보관을 중지하고, OpenFlow Switch에게 상기 공격에 대하여 차단을 요청할 수 있다. 후에 동일한 공격이 발생하였을 경우 침입 탐지 시스템에 의하여 영구적 혹은 일시적으로 차단이 가능하다. 또한, 보관된 자료는 공격을 분석하고 시스템을 보완하기 위하여 사용될 수 있다.
도 3은 일 실시예에 따른 침입 탐지 시스템의 구조를 나타낸 블록도이다.
침입 탐지 시스템(300)은 SDN 환경에서 침입을 탐지하기 위한 시스템으로서, 수신부(310), 제1 탐지부(320) 및 제2 탐지부(330)를 포함할 수 있다.
수신부(310)는 SDN 스위치로부터 플로우를 주기적으로 전달받고, 공격을 감지함에 따라 플로우 통계(Flow Statistics)를 수신할 수 있다.
제1 탐지부(320)는 플로우 통계를 수신함에 따라 플로우 통계를 SDN Application으로 동작중인 플로우 기반의 제1 IDS로 전송하고, 플로우 정보에 기반하여 침입을 탐지할 수 있다. 제1 탐지부(320)는 비정상적인 탐지를 이용하여 플로우 정보로부터 공격 패킷인지 일반 패킷인지 여부를 판단할 수 있다. 이때, 제1 탐지부(320)는 플로우 정보가 공격 패킷임에 판단됨에 따라 플로우 정보로부터 IP 주소 및 포트 번호를 확인하고, SDN 스위치에게 확인된 IP 주소 및 포트 번호에 대한 공격 패킷을 포워딩하도록 요청하여 패킷을 제2 IDS로 전송하도록 지시할 수 있다.
제2 탐지부(330)는 플로우 정보로부터 IP 주소 및 포트 번호를 포함하는 패킷을 수신함에 따라 패킷을 제2 IDS로 전송하고, 패킷에 대한 정보에 기반하여 침입을 재탐지할 수 있다. 제2 탐지부(330)는 IP 주소 및 포트 번호에 대한 패킷을 포워딩하여 패킷에 대한 분석을 수행할 수 있다. 제2 탐지부(330)는 패킷이 공격 패킷으로 판단된 경우 SDN 스위치에게 공격 패킷을 차단할 것을 요청할 수 있다. 제2 탐지부(330)는 패킷이 이미 공격된 적 있는 공격 패킷일 경우 포워딩을 중지하고, 패킷이 공격된 적 없는 새로운 공격 패킷일 경우 기설정된 시간동안 공격 패킷에 대한 정보를 수집할 수 있다.
도 4는 일 실시예에 따른 침입 탐지 시스템의 단계별 패킷을 분류한 것을 나타낸 도면이다.
침입 탐지 시스템은 초기 단계(Initial Step)(410), 플로우 기반의 IDS 단계(Flow-based IDS Step)(420), 패킷 기반의 IDS 단계(Packet-based IDS Step)(430) 및 정리 단계(Security Expert)(440)로 이루어질 수 있다.
침입 탐지 시스템은 초기 단계(410)에서 SDN 스위치로부터 플로우를 주기적으로 전달받을 수 있다. 이때, 악의적인 사용자가 네트워크의 다른 사용자에게 공격을 시도하는 것이 판단된 경우, 플로우 통계(Flow Statistics)를 수신할 수 있다.
플로우 기반의 IDS 단계(420)에서 침입 탐지 시스템은 플로우 통계를 수신함에 따라 SDN Application으로 동작 중인 플로우 기반의 IDS로 플로우 정보를 송신할 수 있다. 이때, 플로우 기반의 IDS는 비정상적 탐지(Anomaly detection)를 이용하여 공격 패킷인지 일반 패킷인지 여부를 확인할 수 있다. 이때, 침입 탐지 시스템은 패킷이 공격 패킷임이 판단됨에 따라 패킷의 IP 주소 및 포트 번호 등을 확인하여 SDN 스위치에게 확인된 IP 주소 및 목적지 포트 번호에 해당하는 정보를 갖는 패킷을 패킷 기반의 IDS에 전송하도록 요청할 수 있다.
패킷 기반의 IDS 단계(430)에서 침입 탐지 시스템은 IP 주소 및 포트 번호에 해당하는 정보를 갖는 패킷을 수신할 수 있고, 패킷 기반 IDS를 이용하여 알려진 공격 여부, 사용된 공격 툴(Tool) 등의 정보로 분류하여 패킷 payload와 플로우 기반의 IDS 및 패킷 기반의 IDS의 결과를 PCAP 포맷 등의 분석 가능한 형태로 저장할 수 있다. 이때, 충분한 정보를 전달받은 경우, 예를 들면, 패킷이 이미 공격된 적 있는 공격 패킷일 경우, 포워딩을 중지할 수 있고, 패킷이 공격된 적 없는 새로운 공격 패킷일 경우, 상기 패턴의 패킷을 일정기간 동안 공격 패킷에 대한 정보를 수집하고 차단할 수 있다.
정리 단계(440)에서 침입 탐지 시스템은 보관된 탐지 결과를 전문가에 의하여 상세한 분석이 수행될 수 있으며, 분석 결과의 오탐지 여부 확인, 새로운 공격의 분석 등을 수행하도록 제공할 수 있다. 또한, 정리 단계에서는 결과에 따라 해당 노드의 연구 차단, 분석 결과에 따른 IDS의 재학습 등의 작업이 가능하다.
단계(410)에서 단계(440)의 과정을 통하여 침입 탐지 시스템은 IDS가 낮은 오버헤드로 플로우 기반의 IDS의 결과물을 보완하고 탐지 결과를 보관하면서 IPS의 역할 또한 수행할 수 있다.
도 5는 일 실시예에 따른 침입 탐지 시스템의 IDS 기능을 비교한 것을 나타낸 표이다.
도 5에서 종래의 패킷 기반의 IDS(510), 종래의 플로우 기반의 IDS(520) 및 제안한 IDS(530)의 기능을 비교한 것을 표로 나타낸 것이다.
종래의 패킷 기반의 IDS(510)의 오버헤드는 매우 많고, 종래의 플로우 기반의 IDS(520)의 오버헤드는 적다. 종래의 패킷 기반의 IDS(510) 및 종래의 플로우 기반의 IDS(520)의 침입 탐지율은 높다. 이에 따라 종래의 패킷 기반의 IDS(510)는 공격 툴 등 상세하게 분류할 수 있고, 종래의 플로우 기반의 IDS(520)는 대략적인 공격을 분류할 수 있다.
이에 따라 본 발명의 침입 탐지 시스템은 패킷 기반의 IDS 및 플로우 기반의 IDS의 장점을 접목시킴으로써 오버헤드는 비교적 적고, 침입 탐지율은 높아 공격 툴 등 상세하게 분류할 수 있다
일 실시예에 따른 IDS는 오버헤드는 플로우 기반의 IDS에 바탕을 두기 때문에 적은 오버헤드로 운용이 가능하며, 패킷 기반의 IDS를 추가 적용함으로써 탐지 성능을 높일 수 있다.
도 6은 일 실시예에 따른 침입 탐지 시스템의 침입 탐지 방법을 나타낸 흐름도이다.
침입 탐지 시스템은 SDN 스위치로부터 플로우를 주기적으로 수신할 수 있고(610), 공격을 감지함에 따라 플로우 통계를 수신할 수 있다(620).
단계(630)에서 침입 탐지 시스템은 플로우 통계를 수신함에 따라 플로우 정보를 SDN Application으로 동작중인 플로우 기반의 제1 IDS로 전송하고, 상기 플로우 정보에 기반하여 침입을 탐지할 수 있다. 침입 탐지 시스템은 비정상적 탐지를 이용하여 플로우 정보로부터 공격 패킷인지 일반 패킷인지 여부를 판단할 수 있다. 침입 탐지 시스템은 플로우 정보가 공격 패킷임이 판단됨에 따라 플로우 정보로부터 IP 주소 및 포트 번호를 확인하고, SDN 스위치에게 확인된 IP 주소 및 포트 번호에 대한 공격 패킷을 포워딩하도록 요청하여 패킷을 제2 IDS로 전송하도록 지시할 수 있다.
단계(640)에서 침입 탐지 시스템은 플로우 정보로부터 IP 주소 및 포트 번호를 포함하는 패킷을 수신함에 따라 패킷을 패킷 기반의 제2 IDS로 전송하고, 패킷에 대한 정보에 기반하여 침입을 재탐지를 수행할 수 있다. 침입 탐지 시스템은 IP 주소 및 포트 번호에 대한 패킷을 포워딩하여 패킷에 대한 분석을 수행할 수 있다. 침입 탐지 시스템은 패킷이 공격 패킷으로 판단된 경우 SDN 스위치에게 공격 패킷을 차단할 것을 요청할 수 있다. 또한, 침입 탐지 시스템은 패킷이 이미 공격된 적 있는 공격 패킷일 경우 포워딩을 중지하고, 패킷이 공격된 적 없는 새로운 공격 패킷일 경우 기설정된 시간동안 공격 패킷에 대한 정보를 수집할 수 있다.
단계(650)에서 침입 탐지 시스템은 탐지 결과를 저장할 수 있다. 이때, 침입 탐지 시스템은 패킷에 대한 오탐지 여부를 판단하고, 패킷으로부터 새로운 공격을 분석 및 추후 공격에 대한 시스템 보완을 위하여 패킷에 대한 정보를 유지할 수 있다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (12)

  1. 침입을 탐지하는 방법에 있어서,
    SDN(Software Defined Network) 환경에서 SDN 스위치로부터 플로우를 주기적으로 전달받고, 공격을 감지함에 따라 플로우 통계(Flow Statistics)를 수신하는 단계;
    상기 플로우 통계를 수신함에 따라 플로우 정보를 SDN Application으로 동작중인 플로우 기반의 제1 IDS로 전송하고, 상기 플로우 정보에 기반하여 침입을 탐지하는 단계; 및
    상기 플로우 정보로부터 IP 주소 및 포트 번호를 포함하는 패킷을 수신함에 따라 상기 패킷을 제2 IDS로 전송하고, 상기 패킷에 대한 정보에 기반하여 침입을 재탐지하는 단계
    를 포함하는 침입 탐지 방법.
  2. 제1항에 있어서,
    상기 플로우 정보에 기반하여 침입을 탐지하는 단계는,
    비정상적 탐지(Anomaly Detection)를 이용하여 상기 플로우 정보로부터 공격 패킷인지 일반 패킷인지 여부를 판단하는 단계
    를 포함하는 침입 탐지 방법.
  3. 제2항에 있어서,
    상기 플로우 정보에 기반하여 침입을 탐지하는 단계는,
    상기 플로우 정보가 공격 패킷임이 판단됨에 따라 상기 플로우 정보로부터 IP 주소 및 포트 번호를 확인하고, 상기 SDN 스위치에게 상기 확인된 IP 주소 및 상기 포트 번호에 대한 공격 패킷을 포워딩하도록 요청하여 상기 패킷을 제2 IDS로 전송하도록 지시하는 단계
    를 포함하는 침입 탐지 방법.
  4. 제1항에 있어서,
    상기 패킷에 대한 정보에 기반하여 침입을 재탐지하는 단계는,
    상기 IP 주소 및 상기 포트 번호에 대한 패킷을 포워딩하여 상기 패킷에 대한 분석을 수행하고, 상기 패킷이 공격 패킷으로 판단된 경우 SDN 스위치에게 상기 공격 패킷을 차단할 것을 요청하는 단계
    를 포함하는 침입 탐지 방법.
  5. 제4항에 있어서,
    상기 패킷에 대한 정보에 기반하여 침입을 재탐지하는 단계는,
    상기 패킷이 이미 공격된 적 있는 공격 패킷일 경우 포워딩을 중지하고, 상기 패킷이 공격된 적 없는 새로운 공격 패킷일 경우 기설정된 시간동안 상기 공격 패킷에 대한 정보를 수집하는 단계
    를 포함하는 침입 탐지 방법.
  6. 제1항에 있어서,
    상기 패킷에 대한 오탐지 여부를 판단하고, 상기 패킷으로부터 새로운 공격을 분석 및 추후 공격에 대한 시스템 보완을 위하여 상기 패킷에 대한 정보를 유지하는 단계
    더 포함하는 침입 탐지 방법.
  7. 침입 탐지 시스템에 있어서,
    SDN(Software Defined Network) 환경에서 SDN 스위치로부터 플로우를 주기적으로 전달받고, 공격을 감지함에 따라 플로우 통계(Flow Statistics)를 수신하는 수신부;
    상기 플로우 통계를 수신함에 따라 플로우 정보를 SDN Application으로 동작중인 플로우 기반의 제1 IDS로 전송하고, 상기 플로우 정보에 기반하여 침입을 탐지하는 제1 탐지부; 및
    상기 플로우 정보로부터 IP 주소 및 포트 번호를 포함하는 패킷을 수신함에 따라 상기 패킷을 제2 IDS로 전송하고, 상기 패킷에 대한 정보에 기반하여 침입을 재탐지하는 제2 탐지부
    를 포함하는 침입 탐지 시스템.
  8. 제7항에 있어서,
    상기 제1 탐지부는,
    비정상적 탐지(Anomaly Detection)를 이용하여 상기 플로우 정보로부터 공격 패킷인지 일반 패킷인지 여부를 판단하는
    침입 탐지 시스템.
  9. 제8항에 있어서,
    상기 제1 탐지부는,
    상기 플로우 정보가 공격 패킷임이 판단됨에 따라 상기 플로우 정보로부터 IP 주소 및 포트 번호를 확인하고, 상기 SDN 스위치에게 상기 확인된 IP 주소 및 상기 포트 번호에 대한 공격 패킷을 포워딩하도록 요청하여 상기 패킷을 제2 IDS로 전송하도록 지시하는
    침입 탐지 시스템.
  10. 제7항에 있어서,
    상기 제2 탐지부는,
    상기 IP 주소 및 상기 포트 번호에 대한 패킷을 포워딩하여 상기 패킷에 대한 분석을 수행하고, 상기 패킷이 공격 패킷으로 판단된 경우 SDN 스위치에게 상기 공격 패킷을 차단할 것을 요청하는
    침입 탐지 시스템.
  11. 제10항에 있어서,
    상기 제2 탐지부는,
    상기 패킷이 이미 공격된 적 있는 공격 패킷일 경우 포워딩을 중지하고, 상기 패킷이 공격된 적 없는 새로운 공격 패킷일 경우 기설정된 시간동안 상기 공격 패킷에 대한 정보를 수집하는
    침입 탐지 시스템.
  12. 제7항에 있어서,
    상기 패킷에 대한 오탐지 여부를 판단하고, 상기 패킷으로부터 새로운 공격을 분석 및 추후 공격에 대한 상기 시스템 보완을 위하여 상기 패킷에 대한 정보를 유지하는
    것을 더 포함하는 침입 탐지 시스템.
KR1020150014383A 2015-01-29 2015-01-29 내부망에서 효율적인 침입탐지 방법 및 장치 KR101665848B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150014383A KR101665848B1 (ko) 2015-01-29 2015-01-29 내부망에서 효율적인 침입탐지 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150014383A KR101665848B1 (ko) 2015-01-29 2015-01-29 내부망에서 효율적인 침입탐지 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20160093791A true KR20160093791A (ko) 2016-08-09
KR101665848B1 KR101665848B1 (ko) 2016-10-14

Family

ID=56712212

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150014383A KR101665848B1 (ko) 2015-01-29 2015-01-29 내부망에서 효율적인 침입탐지 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101665848B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180041953A (ko) * 2016-10-17 2018-04-25 숭실대학교산학협력단 인공지능을 이용하여 DDoS 공격을 탐지하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러
WO2019035634A1 (ko) * 2017-08-16 2019-02-21 삼성전자주식회사 소프트웨어 정의 네트워크에서 네트워크 공격을 처리하기 위한 장치 및 방법
KR20190029487A (ko) * 2017-09-11 2019-03-20 숭실대학교산학협력단 탄력적 침입 탐지 시스템 및 그 동작 방법
CN112583763A (zh) * 2019-09-27 2021-03-30 财团法人资讯工业策进会 入侵侦测装置以及入侵侦测方法

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102170311B1 (ko) 2018-09-17 2020-10-26 숭실대학교산학협력단 Sdn 컨트롤러, sdn 환경에서의 보안 강화 시스템 및 sdn 환경에서의 보안 강화 방법
KR102185588B1 (ko) 2018-11-26 2020-12-02 숭실대학교산학협력단 Sdn 네트워크의 tcp 세션 생성 방법 및 그 방법이 적용된 sdn 네트워크

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090062742A (ko) * 2007-12-13 2009-06-17 한국전자통신연구원 플로우 데이터 분석 결과에 따라 이를 저장하는 장치 및방법
KR20130068631A (ko) * 2011-12-15 2013-06-26 한국전자통신연구원 고속 패킷 처리를 위한 네트워크 프로세서 기반 2단계 침입탐지장치 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090062742A (ko) * 2007-12-13 2009-06-17 한국전자통신연구원 플로우 데이터 분석 결과에 따라 이를 저장하는 장치 및방법
KR20130068631A (ko) * 2011-12-15 2013-06-26 한국전자통신연구원 고속 패킷 처리를 위한 네트워크 프로세서 기반 2단계 침입탐지장치 및 방법

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180041953A (ko) * 2016-10-17 2018-04-25 숭실대학교산학협력단 인공지능을 이용하여 DDoS 공격을 탐지하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러
WO2019035634A1 (ko) * 2017-08-16 2019-02-21 삼성전자주식회사 소프트웨어 정의 네트워크에서 네트워크 공격을 처리하기 위한 장치 및 방법
US11196764B2 (en) 2017-08-16 2021-12-07 Samsung Electronics Co., Ltd. Device and method for handling network attacks in software defined network
KR20190029487A (ko) * 2017-09-11 2019-03-20 숭실대학교산학협력단 탄력적 침입 탐지 시스템 및 그 동작 방법
CN112583763A (zh) * 2019-09-27 2021-03-30 财团法人资讯工业策进会 入侵侦测装置以及入侵侦测方法
CN112583763B (zh) * 2019-09-27 2022-09-09 财团法人资讯工业策进会 入侵侦测装置以及入侵侦测方法

Also Published As

Publication number Publication date
KR101665848B1 (ko) 2016-10-14

Similar Documents

Publication Publication Date Title
KR101665848B1 (ko) 내부망에서 효율적인 침입탐지 방법 및 장치
US11747799B2 (en) Industrial control system and network security monitoring method therefor
US9800592B2 (en) Data center architecture that supports attack detection and mitigation
US8595817B2 (en) Dynamic authenticated perimeter defense
US20180234454A1 (en) Securing devices using network traffic analysis and software-defined networking (sdn)
CN108293039B (zh) 处理网络威胁的计算设备、方法和存储介质
US9491190B2 (en) Dynamic selection of network traffic for file extraction shellcode detection
US8826437B2 (en) Intelligent system and method for mitigating cyber attacks in critical systems through controlling latency of messages in a communications network
CN108353068B (zh) Sdn控制器辅助的入侵防御系统
US11012327B2 (en) Drop detection and protection for network packet monitoring in virtual processing environments
US20140298399A1 (en) Apparatus and method for detecting anomality sign in controll system
US10701076B2 (en) Network management device at network edge for INS intrusion detection based on adjustable blacklisted sources
US9019863B2 (en) Ibypass high density device and methods thereof
WO2016139910A1 (ja) 通信システム、通信方法、及びプログラムを格納した非一時的なコンピュータ可読媒体
CN103997439A (zh) 一种流量监测方法、装置和系统
US10715353B2 (en) Virtual local area network identifiers for service function chaining fault detection and isolation
US11159485B2 (en) Communication system, communication control apparatus, and communication control method using IP addresses for relay server managing connections
KR101598187B1 (ko) DDoS 공격 차단 방법 및 장치
KR20110028106A (ko) 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법
US20210136103A1 (en) Control device, communication system, control method, and computer program
KR101624075B1 (ko) P2P Botnet 탐지를 위한 적응가변형 침입 탐지 시스템의 방식 및 장치
KR101800145B1 (ko) 네트워크 기능을 제공하는 소프트웨어 스위치 및 그 동작 방법
US9313224B1 (en) Connectivity protector
KR20150073625A (ko) 애플리케이션 제어 방법 및 그 장치
Xing et al. Cloud security

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20191001

Year of fee payment: 4