KR20180039372A - 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치 및 방법 - Google Patents

네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치 및 방법 Download PDF

Info

Publication number
KR20180039372A
KR20180039372A KR1020160130600A KR20160130600A KR20180039372A KR 20180039372 A KR20180039372 A KR 20180039372A KR 1020160130600 A KR1020160130600 A KR 1020160130600A KR 20160130600 A KR20160130600 A KR 20160130600A KR 20180039372 A KR20180039372 A KR 20180039372A
Authority
KR
South Korea
Prior art keywords
steam
data
identifier
management module
unit
Prior art date
Application number
KR1020160130600A
Other languages
English (en)
Other versions
KR101901738B1 (ko
Inventor
손동식
조용수
한철규
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020160130600A priority Critical patent/KR101901738B1/ko
Publication of KR20180039372A publication Critical patent/KR20180039372A/ko
Application granted granted Critical
Publication of KR101901738B1 publication Critical patent/KR101901738B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크 상의 패킷을 증적 단위로 수집하여 공격 행위에 대한 연구와 분석 그리고 증적 자료로 활용할 수 있도록 한 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치 및 방법에 관한 것이다.
또한, 본 발명에 따르면, 네트워크 패킷을 수신하고, 임의의 정의된 증적 단위로 패킷을 수집하며, 고유한 증적 식별자를 생성하여 하기의 증적 데이터 관리 모듈에 고유한 증적 식별자의 등록을 요청하는 수신모듈; 상기 수신 모듈의 요청에 따라 고유한 증적 식별자를 등록하고, 상기 수신 모듈에서 증적 단위로 수집된 네트워크에서 전송되는 증적 데이터들을 등록된 증적 식별자와 연계하여 저장 및 관리하는 증적 데이터 관리 모듈; 및 상기 증적 데이터 관리 모듈에서 실시간으로 저장된 증적 데이터들을 분석하여 공격이 탐지되었을 경우에 해당 증적 식별자를 상기 증적 데이터 관리 모듈에 전송하여 해당 증적 데이터의 전송을 요청하여 이에 해당하는 증적 데이터를 전달받아 파일로 저장하여 증적 자료를 기록하는 처리 모듈을 포함하는 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치 및 방법을 제공한다.

Description

네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치 및 방법{The Realtime Trail Data Collector apparatus about Network Intrusion Detection and method thereof}
본 발명은 네트워크 상의 패킷을 증적 단위로 수집하여 공격 행위에 대한 연구와 분석 그리고 증적 자료로 활용할 수 있도록 한 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치 및 방법에 관한 것이다.
최근 다양한 방법의 악의적인 공격들이 증가하고 있다. 랜섬웨어, APT(Advenced Persistent Threat)와 같은 공격들은 고도화된 네트워크 보안 장비를 우회하여 사용자들에게 위협을 가하는 지능화된 공격기법들이다. 이런 공격기법들은 우회기법을 사용하여 공격을 시도하기 때문에 보안장비에서 탐지하기가 쉽지 않다.
하지만 이런 최신 공격기법들도 네트워크 통신을 기반으로 하기 때문에 네트워크에서 침입 탐지가 발생한 시점과 이전의 네트워크 상황을 알고 있다면 공격 행위에 대한 분석 및 대응이 가능할 것이다.
국내공개번호 10-2010-0120798호 국내공개번호 10-2001-0038113호
본 발명은 상기와 같은 필요를 충족하기 위하여 네트워크 상의 패킷들을 증적 단위로 수집 및 감시하고 공격이 탐지되었을 시에는 수집한 증적 데이터를 파일로 저장하도록 한 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치 및 방법을 제공하는데 있다.
본 발명의 일 측면은 네트워크 패킷을 수신하고, 임의의 정의된 증적 단위로 패킷을 수집하며, 고유한 증적 식별자를 생성하여 하기의 증적 데이터 관리 모듈에 고유한 증적 식별자의 등록을 요청하는 수신모듈; 상기 수신 모듈의 요청에 따라 고유한 증적 식별자를 등록하고, 상기 수신 모듈에서 증적 단위로 수집된 네트워크에서 전송되는 증적 데이터들을 등록된 증적 식별자와 연계하여 저장 및 관리하는 증적 데이터 관리 모듈; 및 상기 증적 데이터 관리 모듈에서 실시간으로 저장된 증적 데이터들을 분석하여 공격이 탐지되었을 경우에 해당 증적 식별자를 상기 증적 데이터 관리 모듈에 전송하여 해당 증적 데이터의 전송을 요청하여 이에 해당하는 증적 데이터를 전달받아 파일로 저장하여 증적 자료를 기록하는 처리 모듈을 포함한다.
또한, 본 발명의 일 측면의 상기 수신 모듈은 네트워크 패킷을 수신하는 패킷 수집부; 상기 패킷 수집부에서 수신한 패킷을 임의의 정의된 증적단위로 패킷을 수집하는 증적 단위 수집부; 고유한 증적식별자를 생성하는 증적 식별자 생성부; 상기 증적 데이터 관리 모듈에 상기 증적 식별자 생성부에서 생성한 고유한 증적 식별자의 등록 및 탐색을 요청하는 증적 식별자 등록 및 탐색 요청부를 포함한다.
또한, 본 발명의 일 측면의 상기 증적 식별자 등록 및 탐색 요청부는 상기 증적 식별자 생성부에서 생성된 고유한 증적 식별자의 저장 여부를 문의하는 탐색 요청을 상기 증적 데이터 관리 모듈로 요청하여 해당 증적 식별자가 존재하지 않을 때 등록을 요청하며, 상기 증적 데이터 관리 모듈은 상기 증적 식별자 생성부에서 생성된 고유한 증적 식별자의 저장 여부를 문의하는 탐색 요청을 수신하면 저장되어 등록된 증적 식별자를 탐색하여 저장 여부를 알려주는 증적 식별자 탐색부를 포함한다.
또한, 본 발명의 일 측면의 상기 증적 데이터 관리 모듈은 증적 식별자를 저장하며, 증적 데이터를 수집하여 상기 증적 식별자와 연계하여 저장하는 메모리; 및 상기 수신 모듈의 요청에 따라 고유한 증적 식별자를 상기 메모리에 저장하고, 상기 수신 모듈에서 증적 단위로 수집된 네트워크에서 전송되는 데이터들을 저장된 증적 식별자와 연계하여 메모리에 저장 및 관리하는 관리부를 포함한다.
또한, 본 발명의 일 측면의 상기 관리부는 상기 수신 모듈에서 생성된 증적 식별자의 등록 요청이 있을 때 증적 식별자를 상기 메모리에 저장하여 등록하는 증적 식별자 등록부; 상기 처리 모듈에서 각각의 증적 식별자의 증적 데이터의 크기를 요청하면 상기 메모리의 각각의 증적 식별자와 연계되어 있는 증적 데이터의 크기를 측정하여 제공하는 크기 측정부; 상기 처리 모듈로부터 상기 메모리의 증적 식별자를 삭제 요청에 따라 해당하는 증적 식별자를 삭제하는 증적 식별자 삭제부; 상기 수신 모듈에서 증적 단위로 수집된 네트워크에서 전송되는 증적 데이터들을 상기 메모리의 증적 식별자와 연계하여 해당하는 증적 데이터를 추가하는 증적 데이터 추가부; 및 상기 처리 모듈에서 특정 증적 식별자에 해당하는 증적 데이터의 전송 요청이 있을 때 상기 메모리에서 해당 증적 식별자에 해당하는 증적 데이터를 추출하여 제공하는 증적 데이터 추출부를 포함한다.
또한, 본 발명의 일 측면의 상기 처리 모듈은 상기 증적 데이터 관리 모듈에 저장되는 증적 식별자에 해당하는 증적 데이터의 공격 여부를 분석하는 증적 데이터 분석부; 상기 증적 데이터 분석부에 의해 분석결과 공격이 탐지되면, 해당하는 증적 식별자의 증적 데이터를 상기 증적 데이터 관리 모듈에 요청하는 증적 데이터 요청부; 상기 증적 데이터 관리 모듈에서 받은 증적 데이터를 파일로 저장하는 파일저장부; 및 상기 증적 데이터 관리 모듈에 각각의 증적 식별자에 해당하는 증적 데이터의 크기를 요청하여 요청받은 크기가 설정된 최대값보다 크면 해당 증적 식별자를 삭제를 요청하는 삭제 요청부를 포함한다.
한편, 본 발명의 다른 측면은 (A) 수신모듈이 네트워크 패킷을 수신하고, 임의의 정의된 증적 단위로 패킷을 수집하며, 고유한 증적 식별자를 생성하여 증적 데이터 관리 모듈에 고유한 증적 식별자의 등록을 요청하는 단계; (B) 증적 데이터 관리 모듈이 상기 수신 모듈의 요청에 따라 고유한 증적 식별자를 등록하고, 상기 수신 모듈에서 증적 단위로 수집된 네트워크에서 전송되는 증적 데이터들을 등록된 증적 식별자와 연계하여 저장 및 관리하는 단계; 및 (C) 처리 모듈이 상기 증적 데이터 관리 모듈에서 실시간으로 저장된 증적 데이터들을 분석하여 공격이 탐지되었을 경우에 해당 증적 식별자를 상기 증적 데이터 관리 모듈에 전송하여 해당 증적 데이터의 전송을 요청하여 이에 해당하는 증적 데이터를 전달받아 파일로 저장하여 증적 자료를 기록하는 단계를 포함한다.
또한, 본 발명의 다른 측면의 상기 (A) 단계에서 상기 수신 모듈은 고유한 증적 식별자의 저장 여부를 문의하는 탐색 요청을 상기 증적 데이터 관리 모듈로 요청하여 해당 증적 식별자가 존재하지 않을 때 등록을 요청한다.
또한, 본 발명의 다른 측면의 상기 (B) 단계는 (B-1) 상기 증적 데이터 관리 모듈이 상기 수신 모듈에서 생성된 증적 식별자의 등록 요청이 있을 때 증적 식별자를 메모리에 저장하여 등록하는 단계; 및 (B-2) 상기 증적 데이터 관리 모듈이 상기 수신 모듈에서 증적 단위로 수집된 네트워크에서 전송되는 증적 데이터들을 상기 메모리의 증적 식별자와 연계하여 해당하는 증적 데이터를 추가하는 단계를 포함한다.
또한, 본 발명의 다른 측면의 상기 (C) 단계는 (C-1) 상기 처리 모듈이 상기 증적 데이터 관리 모듈에 저장되는 증적 식별자에 해당하는 증적 데이터의 공격 여부를 분석하는 단계; (C-2) 상기 처리 모듈이 분석결과 공격이 탐지되면, 해당하는 증적 식별자의 증적 데이터를 상기 증적 데이터 관리 모듈에 요청하는 단계; (C-4) 상기 증적 데이터 관리 모듈이 증적 데이터의 전송 요청이 있을 때 상기 메모리에서 해당 증적 식별자에 해당하는 증적 데이터를 추출하여 제공하는 단계; 및 (C-5) 상기 처리 모듈이 상기 증적 데이터 관리 모듈에서 받은 증적 데이터를 파일로 저장하는 단계를 포함한다.
또한, 본 발명의 다른 측면은 상기 (C) 단계 이후에 (D) 상기 처리 모듈은 공격 탐지 여부의 판단 결과, 공격이 탐지되지 않으면 상기 증적 데이터 관리 모듈로 증적 데이터의 크기를 검사하도록 요청하는 단계; (E) 상기 증적 데이터 관리 모듈은 증적 데이터의 크기를 검사하여 전송하는 단계; (F) 상기 처리 모듈은 증적 식별자별로 증가한 크기를 확인해서 임의로 지정한 최대값과 일치하거나 그 이상일 경우 해당 증적 식별자를 삭제하도록 요청하는 단계; 및 (G) 상기 증적 데이터 관리 모듈은 증적 식별자의 삭제 요청에 따라 해당 증적 식별자를 삭제하는 단계를 포함한다.
본 발명은 디지털 포렌식을 위한 공격자 추적 및 증적 자료 확보와 공격 과정의 연구/분석 및 대응기법의 고도화에 효과가 있다.
도 1은 본 발명의 증적 자료를 수집하는 시점을 설명하기 위한 개념도이다.
도 2는 임의의 시간 단위로 정의된 증적 데이터를 보여주는 개념도이다.
도 3은 본 발명의 바람직한 일 실시예에 따른 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치의 구성도이다.
도 4는 본 발명의 바람직한 일 실시예에 따른 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 방법의 흐름도이다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 설명하기 위하여 이하에서는 본 발명의 바람직한 실시예를 예시하고 이를 참조하여 살펴본다.
먼저, 본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니며, 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함할 수 있다. 또한 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
본 발명을 설명함에 있어서, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
본 발명은 네트워크 상의 패킷들을 증적 단위로 수집 및 감시하고 공격이 탐지되었을 시에는 수집한 증적 데이터를 파일로 저장한다. 이는 공격 과정과 공격기법의 연구와 이에 따른 탐지 기법의 고도화 그리고 디지털 포렌식을 위한 증적자료 수집에 목적이 있다.
본 발명은 도 1을 참조하면 네트워크 통신의 시간 흐름을 증적 단위로 정하여 사건발생 시점(T)을 기준으로 사전 행위(T-1 시점 행위)의 증적 자료를 수집하기 위한 방법이다.
본 발명에서는 네트워크 상에서 실시간으로 통신하는 패킷을 도 2에 도시되어 있는 바와 같이 증적 단위로 수집하여 메모리에서 관리한다.
여기에서, 일련의 네트워크 통신의 시간 흐름을 기준으로 사용자가 정의한 임의의 증적 데이터의 구간을 증적단위로 정의한다.
이와 같은 상황에서 공격이 탐지되었을 시 탐지시점 이전부터 수집한 증적 데이터를 파일로 저장하여 증적 자료로 남긴다.
이는 디지털 포렌식을 위한 공격자 추적 및 증적 자료를 확보할 수 있다. 또한 분석가는 증적 자료를 분석하여 공격 과정 및 유형에 대해 면밀한 조사를 할 수 있고 이에 기반한 대응 기법들을 도출해 낼 수 있다.
도 3은 본 발명의 바람직한 일 실시예에 따른 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치의 구성도이다.
도 3을 참조하면, 본 발명의 바람직한 일 실시예에 따른 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치는 수신모듈(100), 증적 데이터 관리 모듈(200) 및 처리 모듈(300)로 이루어져 있다.
상기 수신 모듈(100)은 네트워크 패킷을 수집하고, 임의의 정의된 증적단위로 패킷을 수집하며, 고유한 증적 식별자를 생성하고, 증적 데이터 관리 모듈에 고유한 증적 식별자의 등록 및 탐색을 요청한다.
이러한 수신 모듈(100)은 네트워크 패킷을 수집하는 패킷 수집부(110), 임의의 정의된 증적단위로 패킷을 수집하는 증적 단위 수집부(120), 고유한 증적식별자를 생성하는 증적 식별자 생성부(130), 증적 데이터 관리 모듈(200)에 증적 식별자의 등록 및 탐색을 요청하는 증적 식별자 등록 및 탐색 요청부(130)를 포함한다.
다음으로, 증적 데이터 관리 모듈(200)은 네트워크에서 전송되는 모든 데이터들을 증적단위로 정의하여 메모리에 저장 및 관리하는 역할을 한다.
상기 증적 데이터 관리 모듈(200)은 증적 데이터를 수집하여 저장하는 메모리(210)와 메모리(210)를 관리하는 관리부(220)가 있다.
상기 메모리(210)는 증적 데이터를 실시간으로 수집하여 저장한다. 이때, 메모리(210)는 증적 식별자별로 증적 데이터를 실시간으로 수집하여 저장한다. 즉, 메모리(210)는 증적 식별자별로 Trail Data #n로 수집된 데이터를 추가하거나 삭제할 수 있다.
상기 관리부(220)는 메모리(210)의 자원을 관리한다.
상기 관리부(220)는 각각의 증적 식별자에 해당하는 증적 데이터가 일정 크기이상 수집되면서도 탐지가 없을 시에는 해당 증적 식별자를 메모리(210)에서 삭제하여 자원관리를 한다.
또한, 관리부(220)는 메모리(210)에 수집된 증적 데이터들은 처리모듈(300)로 전송한다.
이와 같은 증적 데이터 관리 모듈(200)에 있어서 메모리(210)는 증적 식별자(ID)와 데이터(DATA)로 구성된다.
그리고, 증적 데이터 관리 모듈(200)의 관리부(220)는 증적 식별자를 등록하는 증적 식별자 등록부(221), 증적 식별자를 탐색하는 증적 식별자 탐색부(222), 증적 식별자를 삭제하는 증적 식별자 삭제부(223), 메모리(210)의 증적 식별자에 해당하는 증적 데이터를 추가하는 증적 데이터 추가부(224), 메모리(210)에서 특정 증적 식별자에 해당하는 데이터를 추출하는 증적 데이터 추출부(225), 메모리(210)의 각각의 증적 식별자의 크기를 측정하는 크기 측정부(226)를 포함한다.
한편, 처리 모듈(300)은 증적 데이터 관리 모듈(200)에서 실시간으로 수집된 증적 데이터들을 분석하고 공격이 탐지되었을 경우에 해당 증적 식별자를 증적 데이터 관리 모듈(200)에 전송하여 이에 해당하는 증적 데이터를 요청하여 증적 데이터를 전달받아 파일로 저장하여 증적 자료를 기록한다.
이러한 처리 모듈(300)은 증적 식별자에 해당하는 증적 데이터의 공격 여부를 분석하는 증적 데이터 분석부(310), 증적 식별자에 해당하는 증적 데이터를 증적 데이터 관리 모듈(200)에 요청하는 증적 데이터 요청부(320), 증적 데이터 관리 모듈(200)에서 받은 증적 데이터를 파일로 저장하는 파일저장부(330) 및 증적 식별자를 삭제를 요청하는 삭제 요청부(340)를 포함한다.
도 4는 본 발명의 일 실시예에 따른 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 방법의 흐름도이다.
도 4를 참조하면, 본 발명의 일 실시예에 따른 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 방법은 먼저 수신 모듈이 패킷을 수신하여(S100) 수신한 패킷을 임의로 정의한 증적단위로 수집한다(S102).
그리고, 수신 모듈은 고유의 증적 식별자를 생성하여(S104) 생성된 증적 식별자가 이미 등록되어 있는지를 확인하기 위하여 증적 데이터 관리 모듈에 생성된 증적 식별자의 탐색을 요청한다.
이에 따라 증적 데이터 관리 모듈은 저장하고 있는 증적 식별자를 탐색하여 이미 등록되어 있는지 여부를 수신 모듈로 알려준다(S106).
그러면 수신 모듈은 생성된 증적 식별자가 등록되어 있지 않으면 증적 식별자의 등록을 증적 데이터 관리 모듈에 요청한다.
이러한 요청을 수신한 증적 데이터 관리 모듈은 증적 식별자를 등록한다(S108).
이후에, 수집모듈은 이미 생성되어 등록되어 있는 증적 식별자와 이에 해당하는 증적 데이터를 증적 데이터 관리 모듈로 전송하여 증적 데이터의 추가를 요청한다.
그러면 증적 데이터 관리 모듈은 수집 모듈에서 요청된 증적 데이터를 해당 증적 식별자의 메모리에 추가한다(S110).
한편, 처리 모듈은 증적 데이터 관리 모듈에서 실시간으로 수집된 증적 데이터들을 분석하여 공격 탐지 여부를 판단한다(S112).
상기 처리 모듈은 판단 결과 공격이 탐지되면 해당 증적 식별자의 증적 데이터를 추출하여 전송할 것을 증적 데이터 관리 모듈로 요청한다.
이러한 처리 모듈의 요청에 따라 증적 데이터 관리 모듈이 해당 증적 식별자의 증적 데이터를 추출하여(S114) 전송하면 처리 모듈은 증적 데이터 관리 모듈에서 전송받은 증적 식별자의 모든 데이터를 파일로 저장한다(S116).
이와 달리 처리 모듈은 공격 탐지 여부의 판단 결과, 공격이 탐지되지 않으면 증적 데이터 관리 모듈로 증적 데이터의 크기를 검사하도록 요청한다.
이에 따라 증적 데이터 관리 모듈은 증적 데이터의 크기를 측정하여 처리 모듈로 전송하며, 처리 모듈은 증적 데이터이 크기를 검사하여 (S118), 증적 식별자별로 증가한 크기를 확인해서 임의로 지정한 최대값과 일치하거나 그 이상일 경우 해당 증적 식별자를 삭제를 증적 데이터 관리 모듈로 요청하고, 이에 따라 증적 데이터 관리 모듈이 증적 식별자를 삭제한다(S120). 그렇지 않으면 패킷을 수신하는 S100부터 반복한다.
본 발명은 디지털 포렌식을 위한 공격자 추적 및 증적 자료 확보와 공격 과정의 연구/분석 및 대응기법의 고도화에 효과가 있다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위 내에서 다양한 수정, 변경, 및 치환이 가능할 것이다. 따라서 본 발명에 개시된 실시예 및 첨부된 도면들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예 및 첨부된 도면들에 의해서 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구 범위에 의해서 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리 범위에 포함되는 것으로 해석되어야 할 것이다.
100 : 수신 모듈 110 : 패킷 수신부
120 : 증적 단위 수집부 130 : 증적 식별자 생성부
140 : 증적 식별자 등록 및 탐색 요청부 200 : 증적 데이터 관리 모듈
210 : 메모리 220 : 관리부
221 : 증적 식별자 등록부 222 : 증적 데이터 탐색부
223 : 증적 식별자 삭제부 224 : 증적 데이터 추가부
225 : 증적 데이터 추출부 226 : 크기 측정부
300 : 처리 모듈 310 : 증적 데이터 분석부
320 : 증적 데이터 추출 요청부 330 : 파일 저장부
340 : 삭제 요청부

Claims (11)

  1. 네트워크 패킷을 수신하고, 임의의 정의된 증적 단위로 패킷을 수집하며, 고유한 증적 식별자를 생성하여 하기의 증적 데이터 관리 모듈에 고유한 증적 식별자의 등록을 요청하는 수신모듈;
    상기 수신 모듈의 요청에 따라 고유한 증적 식별자를 등록하고, 상기 수신 모듈에서 증적 단위로 수집된 네트워크에서 전송되는 증적 데이터들을 등록된 증적 식별자와 연계하여 저장 및 관리하는 증적 데이터 관리 모듈; 및
    상기 증적 데이터 관리 모듈에서 실시간으로 저장된 증적 데이터들을 분석하여 공격이 탐지되었을 경우에 해당 증적 식별자를 상기 증적 데이터 관리 모듈에 전송하여 해당 증적 데이터의 전송을 요청하여 이에 해당하는 증적 데이터를 전달받아 파일로 저장하여 증적 자료를 기록하는 처리 모듈을 포함하는 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치.
  2. 청구항 1항에 있어서,
    상기 수신 모듈은
    네트워크 패킷을 수신하는 패킷 수집부;
    상기 패킷 수집부에서 수신한 패킷을 임의의 정의된 증적단위로 패킷을 수집하는 증적 단위 수집부;
    고유한 증적식별자를 생성하는 증적 식별자 생성부;
    상기 증적 데이터 관리 모듈에 상기 증적 식별자 생성부에서 생성한 고유한 증적 식별자의 등록 및 탐색을 요청하는 증적 식별자 등록 및 탐색 요청부를 포함하는 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치.
  3. 청구항 2항에 있어서,
    상기 증적 식별자 등록 및 탐색 요청부는 상기 증적 식별자 생성부에서 생성된 고유한 증적 식별자의 저장 여부를 문의하는 탐색 요청을 상기 증적 데이터 관리 모듈로 요청하여 해당 증적 식별자가 존재하지 않을 때 등록을 요청하며,
    상기 증적 데이터 관리 모듈은 상기 증적 식별자 생성부에서 생성된 고유한 증적 식별자의 저장 여부를 문의하는 탐색 요청을 수신하면 저장되어 등록된 증적 식별자를 탐색하여 저장 여부를 알려주는 증적 식별자 탐색부를 포함하는 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치.
  4. 청구항 1항에 있어서,
    상기 증적 데이터 관리 모듈은
    증적 식별자를 저장하며, 증적 데이터를 수집하여 상기 증적 식별자와 연계하여 저장하는 메모리; 및
    상기 수신 모듈의 요청에 따라 고유한 증적 식별자를 상기 메모리에 저장하고, 상기 수신 모듈에서 증적 단위로 수집된 네트워크에서 전송되는 데이터들을 저장된 증적 식별자와 연계하여 메모리에 저장 및 관리하는 관리부를 포함하는 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치.
  5. 청구항 4항에 있어서,
    상기 관리부는
    상기 수신 모듈에서 생성된 증적 식별자의 등록 요청이 있을 때 증적 식별자를 상기 메모리에 저장하여 등록하는 증적 식별자 등록부;
    상기 처리 모듈에서 각각의 증적 식별자의 증적 데이터의 크기를 요청하면 상기 메모리의 각각의 증적 식별자와 연계되어 있는 증적 데이터의 크기를 측정하여 제공하는 크기 측정부;
    상기 처리 모듈로부터 상기 메모리의 증적 식별자를 삭제 요청에 따라 해당하는 증적 식별자를 삭제하는 증적 식별자 삭제부;
    상기 수신 모듈에서 증적 단위로 수집된 네트워크에서 전송되는 증적 데이터들을 상기 메모리의 증적 식별자와 연계하여 해당하는 증적 데이터를 추가하는 증적 데이터 추가부; 및
    상기 처리 모듈에서 특정 증적 식별자에 해당하는 증적 데이터의 전송 요청이 있을 때 상기 메모리에서 해당 증적 식별자에 해당하는 증적 데이터를 추출하여 제공하는 증적 데이터 추출부를 포함하는 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치.
  6. 청구항 1항에 있어서,
    상기 처리 모듈은
    상기 증적 데이터 관리 모듈에 저장되는 증적 식별자에 해당하는 증적 데이터의 공격 여부를 분석하는 증적 데이터 분석부;
    상기 증적 데이터 분석부에 의해 분석결과 공격이 탐지되면, 해당하는 증적 식별자의 증적 데이터를 상기 증적 데이터 관리 모듈에 요청하는 증적 데이터 요청부;
    상기 증적 데이터 관리 모듈에서 받은 증적 데이터를 파일로 저장하는 파일저장부; 및
    상기 증적 데이터 관리 모듈에 각각의 증적 식별자에 해당하는 증적 데이터의 크기를 요청하여 요청받은 크기가 설정된 최대값보다 크면 해당 증적 식별자를 삭제를 요청하는 삭제 요청부를 포함하는 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치.
  7. (A) 수신모듈이 네트워크 패킷을 수신하고, 임의의 정의된 증적 단위로 패킷을 수집하며, 고유한 증적 식별자를 생성하여 증적 데이터 관리 모듈에 고유한 증적 식별자의 등록을 요청하는 단계;
    (B) 증적 데이터 관리 모듈이 상기 수신 모듈의 요청에 따라 고유한 증적 식별자를 등록하고, 상기 수신 모듈에서 증적 단위로 수집된 네트워크에서 전송되는 증적 데이터들을 등록된 증적 식별자와 연계하여 저장 및 관리하는 단계; 및
    (C) 처리 모듈이 상기 증적 데이터 관리 모듈에서 실시간으로 저장된 증적 데이터들을 분석하여 공격이 탐지되었을 경우에 해당 증적 식별자를 상기 증적 데이터 관리 모듈에 전송하여 해당 증적 데이터의 전송을 요청하여 이에 해당하는 증적 데이터를 전달받아 파일로 저장하여 증적 자료를 기록하는 단계를 포함하는 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 방법.
  8. 청구항 7항에 있어서,
    상기 (A) 단계에서 상기 수신 모듈은 고유한 증적 식별자의 저장 여부를 문의하는 탐색 요청을 상기 증적 데이터 관리 모듈로 요청하여 해당 증적 식별자가 존재하지 않을 때 등록을 요청하는 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 방법.
  9. 청구항 7항에 있어서,
    상기 (B) 단계는
    (B-1) 상기 증적 데이터 관리 모듈이 상기 수신 모듈에서 생성된 증적 식별자의 등록 요청이 있을 때 증적 식별자를 메모리에 저장하여 등록하는 단계; 및
    (B-2) 상기 증적 데이터 관리 모듈이 상기 수신 모듈에서 증적 단위로 수집된 네트워크에서 전송되는 증적 데이터들을 상기 메모리의 증적 식별자와 연계하여 해당하는 증적 데이터를 추가하는 단계를 포함하는 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 방법.
  10. 청구항 7항에 있어서,
    상기 (C) 단계는
    (C-1) 상기 처리 모듈이 상기 증적 데이터 관리 모듈에 저장되는 증적 식별자에 해당하는 증적 데이터의 공격 여부를 분석하는 단계;
    (C-2) 상기 처리 모듈이 분석결과 공격이 탐지되면, 해당하는 증적 식별자의 증적 데이터를 상기 증적 데이터 관리 모듈에 요청하는 단계;
    (C-4) 상기 증적 데이터 관리 모듈이 증적 데이터의 전송 요청이 있을 때 상기 메모리에서 해당 증적 식별자에 해당하는 증적 데이터를 추출하여 제공하는 단계; 및
    (C-5) 상기 처리 모듈이 상기 증적 데이터 관리 모듈에서 받은 증적 데이터를 파일로 저장하는 단계를 포함하는 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 방법.
  11. 청구항 7항에 있어서,
    상기 (C) 단계 이후에
    (D) 상기 처리 모듈은 공격 탐지 여부의 판단 결과, 공격이 탐지되지 않으면 상기 증적 데이터 관리 모듈로 증적 데이터의 크기를 검사하도록 요청하는 단계;
    (E) 상기 증적 데이터 관리 모듈은 증적 데이터의 크기를 검사하여 전송하는 단계;
    (F) 상기 처리 모듈은 증적 식별자별로 증가한 크기를 확인해서 임의로 지정한 최대값과 일치하거나 그 이상일 경우 해당 증적 식별자를 삭제하도록 요청하는 단계; 및
    (G) 상기 증적 데이터 관리 모듈은 증적 식별자의 삭제 요청에 따라 해당 증적 식별자를 삭제하는 단계를 포함하는 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 방법.
KR1020160130600A 2016-10-10 2016-10-10 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치 및 방법 KR101901738B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160130600A KR101901738B1 (ko) 2016-10-10 2016-10-10 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160130600A KR101901738B1 (ko) 2016-10-10 2016-10-10 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20180039372A true KR20180039372A (ko) 2018-04-18
KR101901738B1 KR101901738B1 (ko) 2018-09-28

Family

ID=62082885

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160130600A KR101901738B1 (ko) 2016-10-10 2016-10-10 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101901738B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109462621A (zh) * 2019-01-10 2019-03-12 国网浙江省电力有限公司杭州供电公司 网络安全保护方法、装置及电子设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040034800A1 (en) * 2002-08-09 2004-02-19 Anil Singhal Intrusion detection system and network flow director method
JP2008193538A (ja) * 2007-02-07 2008-08-21 Hitachi Ltd ネットワークへの攻撃監視装置および攻撃証跡管理装置
KR20100120798A (ko) * 2009-05-07 2010-11-17 에스케이 텔레콤주식회사 정보보안을 위한 증적추적 장치 및 방법
JP2018001189A (ja) * 2016-06-29 2018-01-11 株式会社デンソーテン フラックス塗布装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008181189A (ja) * 2007-01-23 2008-08-07 Global Techno:Kk 証跡データ抽出方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040034800A1 (en) * 2002-08-09 2004-02-19 Anil Singhal Intrusion detection system and network flow director method
JP2008193538A (ja) * 2007-02-07 2008-08-21 Hitachi Ltd ネットワークへの攻撃監視装置および攻撃証跡管理装置
KR20100120798A (ko) * 2009-05-07 2010-11-17 에스케이 텔레콤주식회사 정보보안을 위한 증적추적 장치 및 방법
JP2018001189A (ja) * 2016-06-29 2018-01-11 株式会社デンソーテン フラックス塗布装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"Network Monitoring System", by jack16 (2015.10.14.) {URL: https://docslide.us/documents/network-monitoring-system-561d7a14078dd.html} *
간행물:2015 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109462621A (zh) * 2019-01-10 2019-03-12 国网浙江省电力有限公司杭州供电公司 网络安全保护方法、装置及电子设备

Also Published As

Publication number Publication date
KR101901738B1 (ko) 2018-09-28

Similar Documents

Publication Publication Date Title
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
CN101924757B (zh) 追溯僵尸网络的方法和系统
CN107251037B (zh) 黑名单生成装置、黑名单生成系统、黑名单生成方法和记录介质
Niakanlahiji et al. Phishmon: A machine learning framework for detecting phishing webpages
KR20140027616A (ko) 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법
CN103746992B (zh) 基于逆向的入侵检测系统及其方法
CN101854275A (zh) 一种通过分析网络行为检测木马程序的方法及装置
CN111818103A (zh) 一种网络靶场中基于流量的溯源攻击路径方法
CN111028085A (zh) 一种基于主被动结合的网络靶场资产信息采集方法及装置
KR101623068B1 (ko) 네트워크 트래픽 수집 및 분석 시스템
CN107733699B (zh) 互联网资产安全管理方法、系统、设备及可读存储介质
CN110225009B (zh) 一种基于通信行为画像的代理使用者检测方法
CN110798429A (zh) 一种网络安全防御中的威胁追捕方法、装置及设备
CN112788039B (zh) 一种DDoS攻击识别方法、装置及存储介质
KR101901738B1 (ko) 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치 및 방법
Jerabek et al. Dns over https detection using standard flow telemetry
KR101488271B1 (ko) Ids 오탐 검출 장치 및 방법
KR100977827B1 (ko) 악성 웹 서버 시스템의 접속탐지 장치 및 방법
CN112187720B (zh) 一种二级攻击链的生成方法、装置、电子装置和存储介质
Chen et al. Napping guard: Deanonymizing tor hidden service in a stealthy way
Sqalli et al. An entropy and volume-based approach for identifying malicious activities in honeynet traffic
EP3484122A1 (en) Malicious relay and jump-system detection using behavioral indicators of actors
Huang et al. Connection Type Identification and Uplink Speed Estimation of Malware Infected Hosts
Shukla et al. Identification and counting of hosts behind nat using machine learning
Kaushik et al. Network forensic analysis by correlation of attacks with network attributes

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant