KR20180085155A - Apparatus and method for detecting harmful packet - Google Patents

Apparatus and method for detecting harmful packet Download PDF

Info

Publication number
KR20180085155A
KR20180085155A KR1020170008416A KR20170008416A KR20180085155A KR 20180085155 A KR20180085155 A KR 20180085155A KR 1020170008416 A KR1020170008416 A KR 1020170008416A KR 20170008416 A KR20170008416 A KR 20170008416A KR 20180085155 A KR20180085155 A KR 20180085155A
Authority
KR
South Korea
Prior art keywords
relationship information
unit
information
partial signatures
data
Prior art date
Application number
KR1020170008416A
Other languages
Korean (ko)
Inventor
김점구
심현보
Original Assignee
남서울대학교 산학협력단
(주)유림정보시스템
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 남서울대학교 산학협력단, (주)유림정보시스템 filed Critical 남서울대학교 산학협력단
Priority to KR1020170008416A priority Critical patent/KR20180085155A/en
Publication of KR20180085155A publication Critical patent/KR20180085155A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer

Abstract

A device for inspecting a harmful packet comprises: a division unit which divides a signature including information on a harmful packet into a plurality of partial signatures; an information analysis unit which analyzes relationship information on the plurality of partial signatures; a storage unit which stores the analyzed relationship information; a receiving unit which receives packet data from an external device; and a detection unit which analyzes the received packet data based on the stored relationship information, and detects whether the signature is included. The relationship information may be a correlation between data constituting each of the plurality of partial signatures. According to the present invention, it is possible to remarkably improve the processing speed of a security gateway.

Description

유해 패킷 검사 장치 및 유해 패킷 검사 방법{APPARATUS AND METHOD FOR DETECTING HARMFUL PACKET}[0001] APPARATUS AND METHOD FOR DETECTING HARMFUL PACKET [0002]

본 발명은 유해 패킷 검사 장치 및 유해 패킷 검사 방법에 관한 것이다. The present invention relates to a harmful packet inspection apparatus and a harmful packet inspection method.

심층 패킷 분석(DPI, Deep Packet Inspection)은 인터넷을 통한 외부 네트워크와 내부 네트워크 간 방화벽 기술을 구성하는 보안 장치에서 수행되는 기술로, 인터넷을 통해 전송되는 데이터의 심층적인 부분까지 분석할 수 있다. 심층 패킷 분석은 인터넷을 통해 전송되는 데이터인 패킷의 실제 내용까지를 검사하고, 분석할 수 있다는 점에서 인터넷의 기본 프로토콜인 TCP(Transmission Control Protocol)의 한계점을 보완하고, 인터넷을 통해 전파되는 웜바이러스, 해킹, DDoS 등의 공격 여부를 확인할 수 있다는 장점을 갖는다. Deep Packet Inspection (DPI) is a technology implemented in a security device that configures firewall technology between an external network and an internal network over the Internet. It can analyze the in-depth portion of data transmitted over the Internet. In-depth packet analysis complements the limitations of the Transmission Control Protocol (TCP), the basic protocol of the Internet, in that it can examine and analyze up to the actual contents of packets, which are data transmitted over the Internet. , Hacking, and DDoS attacks.

이러한 심층 패킷 분석 기술과 관련하여, 선행기술인 한국등록특허 제 10-1172889호는 유해 트래픽 탐지/대응 방법 및 시스템을 개시하고 있다. In connection with this in-depth packet analysis technique, the prior art Korean Patent No. 10-1172889 discloses a harmful traffic detection / response method and system.

최근의 산업 IoT 제어망에서는 사이버 보안에 대한 위협이 증가하고 있다. 이러한 사이버 보안 위협의 대응 방안으로, 산업 IoT 제어망은 보안 게이트웨이를 통해 패킷 필터링을 수행할 수 있다. 그러나 보안 게이트웨이는 데이터양이 증가하는 속도가 빨라짐에 따라 패킷 필터링을 빠르게 처리할 수 없으며, 대용량 트래픽 유발 공격 등에 대한 해결책을 제시하지 못한다는 단점을 가지고 있다. 따라서, 패킷 필터링의 속도를 개선하고, 산업 IoT 제어망의 성능을 개선시킬 수 있는 보안 게이트웨이가 요구되고 있다. In recent industrial IoT control networks, cyber security threats are increasing. As a countermeasure against this cyber security threat, the industrial IoT control network can perform packet filtering through a security gateway. However, as the amount of data increases, security gateways can not handle packet filtering quickly and can not provide a solution for large traffic attacks. Therefore, there is a need for a security gateway that can improve the speed of packet filtering and improve the performance of the industrial IoT control network.

산업 IoT 제어망의 FPGA(Field Programmable Gate Array) 기반의 보안 게이트웨이 고속 DPI(Deep Packet Inspection) 알고리즘을 적용한 유해 패킷 검사 장치 및 유해 패킷 검사 방법을 제공하고자 한다. FPGA에 초고속으로 패킷을 필터링할 수 있는 DPI 알고리즘을 탑재하여, 보안 게이트웨이의 처리 속도 저하 문제를 획기적으로 개선시킬 수 있는 유해 패킷 검사 장치 및 유해 패킷 검사 방법을 제공하고자 한다. 산업 IoT 제어망에서 전역적으로 보안 상황을 능동적으로 인지할 수 있는 유해 패킷 검사 장치 및 유해 패킷 검사 방법을 제공하고자 한다. 메모리를 최적으로 이용하면서, 고속으로 시그니처를 탐지할 수 있는 유해 패킷 검사 장치 및 유해 패킷 검사 방법을 제공하고자 한다. 다만, 본 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제들로 한정되지 않으며, 또 다른 기술적 과제들이 존재할 수 있다. We propose a harmful packet inspection device and a harmful packet inspection method applying a high-speed DPI (Deep Packet Inspection) algorithm based on a field programmable gate array (FPGA) of an industrial IoT control network. It is intended to provide a harmful packet inspection device and a harmful packet inspection method which can dramatically improve the processing speed degradation of a security gateway by mounting a DPI algorithm capable of filtering packets at a very high speed in an FPGA. And to provide a harmful packet inspection device and a harmful packet inspection method which can actively recognize the security situation globally in the industrial IoT control network. A harmful packet inspection apparatus and a harmful packet inspection method capable of detecting a signature at a high speed while optimally using a memory. It is to be understood, however, that the technical scope of the present invention is not limited to the above-described technical problems, and other technical problems may exist.

상술한 기술적 과제를 달성하기 위한 수단으로서, 유해 패킷에 관한 정보를 포함하는 시그니처를 복수의 부분 시그니처로 분할하는 분할부, 상기 복수의 부분 시그니처에 대한 관계 정보를 분석하는 정보 분석부, 상기 분석된 관계 정보를 저장하는 저장부, 외부 장치로부터 패킷 데이터를 수신하는 수신부 및 상기 저장된 관계 정보에 기초하여 상기 수신된 패킷 데이터를 분석하여 상기 시그니처가 포함되어 있는지 여부를 탐지하는 탐지부를 포함하고, 상기 관계 정보는 상기 복수의 부분 시그니처 각각을 구성하는 데이터 간의 상관 관계인 것인 유해 패킷 검사 장치를 제공할 수 있다. According to an aspect of the present invention, there is provided an information processing apparatus comprising: a division unit for dividing a signature including information about harmful packets into a plurality of partial signatures; an information analysis unit for analyzing relationship information on the plurality of partial signatures; And a detection unit for analyzing the received packet data based on the stored relationship information and detecting whether the signature is included or not, And the information is a correlation between data constituting each of the plurality of partial signatures.

일 실시예에 따르면, 상기 정보 분석부는 상기 복수의 부분 시그니처 각각에 포함된 기설정된 크기의 데이터를 상기 복수의 부분 시그니처 각각의 키 바이트로서 마스킹하는 마스킹부를 포함하고, 상기 저장부는 상기 각각의 키 바이트를 상기 복수의 부분 시그니처 간의 관계 정보로서 저장할 수 있다. 상기 정보 분석부는 상기 복수의 부분 시그니처 각각에 마스킹된 키 바이트의 영역으로부터 지시자를 선택하는 지시자 선택부를 더 포함하고, 상기 저장부는 상기 지시자를 상기 복수의 부분 시그니처 간의 관계 정보로서 더 저장할 수 있다. According to an embodiment, the information analyzing unit may include a masking unit for masking predetermined-sized data included in each of the plurality of partial signatures as key bytes of each of the plurality of partial signatures, As the relationship information between the plurality of partial signatures. The information analyzer may further include an indicator selector for selecting an indicator from an area of a key byte masked to each of the plurality of partial signatures, and the storage unit may further store the indicator as relation information between the plurality of partial signatures.

일 실시예에 따르면, 상기 탐지부는 상기 지시자를 상기 저장부의 주소로 사용하여 상기 저장부에 액세스할 수 있다. According to one embodiment, the detection unit can access the storage unit using the indicator as an address of the storage unit.

일 실시예에 따르면, 상기 분할부는 상기 시그니처를 각각 상이한 데이터 길이로 분할할 수 있다. According to one embodiment, the divider may divide the signatures into different data lengths, respectively.

일 실시예에 따르면, 상기 탐지부는 상기 수신된 패킷 데이터로부터 기설정된 크기의 데이터를 추출하고, 상기 추출된 데이터를 상기 저장부의 주소로 사용하여 상기 저장된 관계 정보를 로드하고, 상기 로드된 관계 정보와 상기 패킷 데이터를 비교할 수 있다. 상기 탐지부는 복수의 레이어를 통해 수신된 패킷 데이터에 상기 시그니처가 포함되어 있는지 여부를 탐지하고, 상기 복수의 레이어는 네크워크를 구성하는 7개의 계층이 포함하는 제 3 레이어(Layer), 제 4 레이어 및 제 7 레이어 중 적어도 하나를 포함하는 것일 수 있다. According to one embodiment, the detection unit extracts data of predetermined size from the received packet data, loads the stored relationship information using the extracted data as the address of the storage unit, The packet data can be compared. The detecting unit detects whether or not the signature is included in the packet data received through the plurality of layers. The plurality of layers include a third layer, a fourth layer, and a third layer, And a seventh layer.

일 실시예에 따르면, 상기 유해 패킷 검사 장치는 산업용 IoT(Internet Of Things) 장치로 연속적으로 유입되는 패킷 데이터에 대해 상기 복수의 계층에서 패킷 필터링을 실시하여 유해 패킷을 탐지하는 보안 게이트웨이일 수 있다. According to one embodiment, the harmful packet inspection apparatus may be a security gateway that performs packet filtering on packet data continuously inputted to an industrial IoT (Internet Of Things) apparatus to detect harmful packets.

일 실시예에 따르면, 상기 저장부는 복수의 필터 블록을 포함하고, 상기 복수의 필터 블록의 기설정된 수에 따라 메모리 공간을 할당하여 상기 관계 정보를 저장할 수 있다. According to an embodiment, the storage unit may include a plurality of filter blocks, and may store the relation information by allocating a memory space according to a predetermined number of the plurality of filter blocks.

본 발명의 다른 실시예는, 유해 패킷에 관한 정보를 포함하는 시그니처를 복수의 부분 시그니처로 분할하는 단계, 상기 복수의 부분 시그니처에 대한 관계 정보를 분석하는 단계, 상기 분석된 관계 정보를 저장하는 단계, 외부 장치로부터 패킷 데이터를 수신하는 단계 및 상기 저장된 관계 정보에 기초하여 상기 수신된 패킷 데이터를 분석하여 상기 시그니처가 포함되어 있는지 여부를 탐지하는 단계를 포함하고, 상기 관계 정보는 상기 복수의 부분 시그니처 각각을 구성하는 데이터 간의 상관 관계인 것인 유해 패킷 검사 방법을 제공할 수 있다. Another embodiment of the present invention is a method for analyzing a computer program for causing a computer to perform the steps of: dividing a signature including information about a harmful packet into a plurality of partial signatures, analyzing relationship information on the plurality of partial signatures, Receiving packet data from an external device, and analyzing the received packet data based on the stored relationship information to detect whether the signature is included, wherein the relationship information comprises a plurality of partial signatures It is possible to provide a harmful packet inspection method which is a correlation between data constituting each of them.

상술한 과제 해결 수단은 단지 예시적인 것으로서, 본 발명을 제한하려는 의도로 해석되지 않아야 한다. 상술한 예시적인 실시예 외에도, 도면 및 발명의 상세한 설명에 기재된 추가적인 실시예가 존재할 수 있다.The above-described task solution is merely exemplary and should not be construed as limiting the present invention. In addition to the exemplary embodiments described above, there may be additional embodiments described in the drawings and the detailed description of the invention.

전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 산업 IoT 제어망의 FPGA(Field Programmable Gate Array) 기반의 보안 게이트웨이 고속 DPI(Deep Packet Inspection) 알고리즘을 적용한 유해 패킷 검사 장치 및 유해 패킷 검사 방법을 제공할 수 있다. FPGA에 초고속으로 패킷을 필터링할 수 있는 DPI 알고리즘을 탑재하여, 보안 게이트웨이의 처리 속도 저하 문제를 획기적으로 개선시킬 수 있는 유해 패킷 검사 장치 및 유해 패킷 검사 방법을 제공할 수 있다. 산업 IoT 제어망에서 전역적으로 보안 상황을 능동적으로 인지할 수 있는 유해 패킷 검사 장치 및 유해 패킷 검사 방법을 제공할 수 있다. 메모리를 최적으로 이용하면서, 고속으로 시그니처를 탐지할 수 있는 유해 패킷 검사 장치 및 유해 패킷 검사 방법을 제공할 수 있다.According to one of the above-mentioned objects, there is provided a harmful packet inspection apparatus and a harmful packet inspection method applying a security gateway high speed DPI (Deep Packet Inspection) algorithm based on FPGA (Field Programmable Gate Array) of an industrial IoT control network . It is possible to provide a harmful packet inspection device and a harmful packet inspection method which can drastically improve the processing speed degradation of the security gateway by mounting a DPI algorithm capable of filtering packets at an ultra high speed in the FPGA. It is possible to provide a harmful packet inspection device and a harmful packet inspection method which can actively recognize the security situation globally in the industrial IoT control network. It is possible to provide a harmful packet inspection apparatus and a harmful packet inspection method capable of detecting a signature at a high speed while optimally using a memory.

도 1은 본 발명의 일 실시예에 따른 유해 패킷 검사 장치의 구성도이다.
도 2는 본 발명의 일 실시예에 따른 유해 패킷 검사 장치에서 유해 패킷을 검사하는 방법의 순서도이다.
도 3은 본 발명의 일 실시예에 따른 네트워크 공격 탐지 장치에서 유해 패킷 검사 장치의 전처리 과정을 이용하여 네트워크 공격을 탐지하는 방법의 순서도이다. 1 is a configuration diagram of a harmful packet inspection apparatus according to an embodiment of the present invention.
2 is a flowchart of a method for inspecting a harmful packet in a harmful packet inspection apparatus according to an embodiment of the present invention.
3 is a flowchart illustrating a method of detecting a network attack using a preprocessing process of a harmful packet inspection apparatus in a network attack detection apparatus according to an embodiment of the present invention.

아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다. Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings, which will be readily apparent to those skilled in the art. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In order to clearly illustrate the present invention, parts not related to the description are omitted, and similar parts are denoted by like reference characters throughout the specification.

명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미하며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다. Throughout the specification, when a part is referred to as being "connected" to another part, it includes not only "directly connected" but also "electrically connected" with another part in between . Also, when an element is referred to as "including" an element, it is to be understood that the element may include other elements as well as other elements, And does not preclude the presence or addition of one or more other features, integers, steps, operations, components, parts, or combinations thereof.

본 명세서에 있어서 '부(部)'란, 하드웨어에 의해 실현되는 유닛(unit), 소프트웨어에 의해 실현되는 유닛, 양방을 이용하여 실현되는 유닛을 포함한다. 또한, 1 개의 유닛이 2 개 이상의 하드웨어를 이용하여 실현되어도 되고, 2 개 이상의 유닛이 1 개의 하드웨어에 의해 실현되어도 된다.In this specification, the term " part " includes a unit realized by hardware, a unit realized by software, and a unit realized by using both. Further, one unit may be implemented using two or more hardware, or two or more units may be implemented by one hardware.

본 명세서에 있어서 단말 또는 디바이스가 수행하는 것으로 기술된 동작이나 기능 중 일부는 해당 단말 또는 디바이스와 연결된 서버에서 대신 수행될 수도 있다. 이와 마찬가지로, 서버가 수행하는 것으로 기술된 동작이나 기능 중 일부도 해당 서버와 연결된 단말 또는 디바이스에서 수행될 수도 있다.In this specification, some of the operations or functions described as being performed by the terminal or the device may be performed in the server connected to the terminal or the device instead. Similarly, some of the operations or functions described as being performed by the server may also be performed on a terminal or device connected to the server.

이하 첨부된 도면을 참고하여 본 발명의 일 실시예를 상세히 설명하기로 한다. Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 유해 패킷 검사 장치의 구성도이다. 유해 패킷 검사 장치(100)는 산업용 IoT(Internet of Things) 장치(외부 장치)로 연속적으로 유입되는 패킷 데이터에 대해 복수의 계층(또는 레이어)에서 패킷 필터링을 실시하여 유해 패킷을 탐지하는 보안 게이트웨이일 수 있다. 이를 기술적으로 구현하기 위해 유해 패킷 검사 장치(100)는 분할부(110), 정보 분석부(120), 저장부(130), 수신부(140) 및 탐지부(150)를 포함할 수 있다. 1 is a configuration diagram of a harmful packet inspection apparatus according to an embodiment of the present invention. The harmful packet inspection apparatus 100 is a security gateway that performs packet filtering at a plurality of layers (or layers) on packet data continuously input to an industrial IoT (Internet of Things) apparatus (external apparatus) to detect harmful packets . The harmful packet inspection apparatus 100 may include a segmentation unit 110, an information analysis unit 120, a storage unit 130, a reception unit 140, and a detection unit 150.

분할부(110)는 유해 패킷에 관한 정보를 포함하는 시그니처를 복수의 부분 시그니처로 분할할 수 있다. 분할부(110)는 시그니처를 정형화하기 위해, K 바이트 길이의 시그니처를 N개의 복수의 부분 시그니처로 분할할 수 있다. 이 때, 분할부(110)는 시그니처를 각각 상이한 데이터 길이로 분할할 수 있다. 예를 들어, 분할부(110)는 처음 (N-1) 개의 부분 시그니처의 길이를 S 바이트로, 마지막 N 번째의 부분 시그니처의 길이를 S 바이트 이하가 되도록 분할할 수 있다. The partitioning unit 110 may divide the signature including the information about the harmful packet into a plurality of partial signatures. The partitioning unit 110 may divide the signature of K bytes in length into a plurality of N partial signatures in order to formalize the signature. At this time, the division unit 110 can divide the signatures into different data lengths. For example, the division unit 110 may divide the length of the first (N-1) partial signatures into S bytes and the length of the last N partial signatures to be S bytes or less.

정보 분석부(120)는 복수의 부분 시그니처에 대한 관계 정보를 분석할 수 있다. 여기서, 관계 정보는 시그니처 자체에 나타내는 정보로서 복수의 부분 시그니처 각각을 구성하는 데이터 간의 상관 관계일 수 있다. 이 경우, 각 부분 시그니처의 길이에 따라 각 키 바이트의 길이가 다를 수 있다. The information analysis unit 120 may analyze the relationship information for a plurality of partial signatures. Here, the relationship information may be a correlation between data constituting each of a plurality of partial signatures as information represented in the signature itself. In this case, the length of each key byte may be different depending on the length of each partial signature.

정보 분석부(120)는 마스킹부(121) 및 지시자 선택부(122)를 포함할 수 있다. The information analyzer 120 may include a masking unit 121 and an indicator selector 122.

마스킹부(121)는 복수의 부분 시그니처 각각에 포함된 기설정된 크기의 데이터를 복수의 부분 시그니처 각각의 키 바이트로서 마스킹할 수 있다. 이 때, 마스킹된 키 바이트는 복수의 메모리 그룹으로 구성된 필터(filter) 블럭의 주소로 이용될 수 있으며, 마스킹된 키 바이트가 지정하는 필터 블럭의 메모리 공간은 최대 적용 횟수가 설정될 수 있다. The masking unit 121 may mask predetermined-sized data included in each of the plurality of partial signatures as key bytes of each of the plurality of partial signatures. In this case, the masked key byte may be used as an address of a filter block composed of a plurality of memory groups, and the maximum number of times of application of the memory space of the filter block designated by the masked key byte may be set.

지시자 선택부(122)는 복수의 부분 시그니처 각각에 마스킹된 키 바이트의 영역으로부터 지시자(Indicator)를 선택할 수 있다. 예를 들어, 지시자 선택부(122)는 M 바이트의 부분 시그니처에 마스킹된 키 바이트의 영역으로부터 지시자를 선택할 수 있다. The indicator selector 122 can select an indicator from the area of the key byte masked in each of the plurality of partial signatures. For example, the indicator selector 122 may select an indicator from the area of the key byte masked to the M byte partial signature.

저장부(130)는 정보 분석부(120)에서 분석된 관계 정보를 저장할 수 있다. 예를 들어, 저장부(130)는 각각의 키 바이트를 복수의 부분 시그니처 간의 관계 정보로서 저장할 수 있다. 다른 예를 들어, 저장부(130)는 지시자를 복수의 부분 시그니처 간의 관계 정보로서 저장할 수 있다. The storage unit 130 may store the analyzed relationship information in the information analysis unit 120. For example, the storage unit 130 may store each key byte as relation information between a plurality of partial signatures. As another example, the storage unit 130 may store an indicator as relation information between a plurality of partial signatures.

저장부(130)는 복수의 필터 블록을 포함하고, 복수의 필터 블록의 기설정된 수에 따라 메모리 공간을 할당하여 관계 정보를 저장할 수 있다. 예를 들어, 저장부(130)는 해싱(Hashing) 구조를 이용하여 복수의 필터 블록과 할당된 메모리 공간을 연관시킬 수 있다. 이 때, 저장부(130)는 Q 개의 부분 시그니처에 마스킹된 키 바이트의 영역으로부터 선택된 지시자를 필터 블록의 메모리의 주소로 사용함으로써, 메모리에 저장된 부분 시그니처와 관계 정보의 위치를 확인할 수 있다. The storage unit 130 may include a plurality of filter blocks, and may store the relation information by allocating a memory space according to a predetermined number of the plurality of filter blocks. For example, the storage unit 130 may associate a plurality of filter blocks with an allocated memory space using a hashing structure. At this time, the storage unit 130 can use the indicator selected from the area of the key byte masked by the Q partial signatures as the address of the memory of the filter block, thereby confirming the location of the partial signature and the relation information stored in the memory.

수신부(140)는 외부 장치(미도시)로부터 패킷 데이터를 수신할 수 있다. The receiving unit 140 can receive packet data from an external device (not shown).

탐지부(150)는 저장된 관계 정보에 기초하여 수신된 패킷 데이터를 분석하여 시그니처가 포함되어 있는지 여부를 탐지할 수 있다. 예를 들어, 탐지부(150)는 복수의 레이어를 통해 수신된 패킷 데이터에 시그니처가 포함되어 있는지 여부를 탐지할 수 있다. 복수의 레이어는 네트워크를 구성하는 7개의 레이어에 포함되는 제 3 레이어(Layer), 제 4 레이어 및 제 7 레이어 중 적어도 하나를 포함할 수 있다. 이 때, 탐지부(150)는 지시자를 저장부(130)의 주소로 사용하여 저장부(130)에 액세스하여 시그니처의 매칭을 실시간으로 수행할 수 있다.The detection unit 150 may analyze the received packet data based on the stored relationship information to detect whether or not the signature is included. For example, the detection unit 150 may detect whether or not a signature is included in packet data received through a plurality of layers. The plurality of layers may include at least one of a third layer, a fourth layer, and a seventh layer included in seven layers constituting the network. At this time, the detection unit 150 can use the indicator as the address of the storage unit 130 to access the storage unit 130 to perform signature matching in real time.

탐지부(150)는 수신된 패킷 데이터와 관계 정보를 비교할 수 있다. 예를 들어, 탐지부(150)는 수신된 패킷 데이터로부터 기설정된 크기의 데이터를 추출하고, 추출된 데이터를 저장부의 주소로 사용하여 저장된 관계 정보를 로드하고, 로드된 관계 정보와 패킷 데이터를 비교할 수 있다. 탐지부(150)는 비교 결과에 따라 수신된 패킷 데이터에 대한 차단 여부를 결정할 수 있다. The detection unit 150 may compare the received packet data with the relationship information. For example, the detection unit 150 extracts data of predetermined size from the received packet data, loads the stored relationship information using the extracted data as the address of the storage unit, and compares the loaded relationship information with the packet data . The detection unit 150 may determine whether to block the received packet data according to the comparison result.

도 2는 본 발명의 일 실시예에 따른 유해 패킷 검사 장치에서 유해 패킷을 검사하는 방법의 순서도이다. 도 2에 도시된 실시예에 따른 유해 패킷 검사 장치(100)에 의해 수행되는 유해 패킷을 검사하는 방법은 도 1에 도시된 실시예에 따른 유해 패킷 검사 장치(100)에서 시계열적으로 처리되는 단계들을 포함한다. 따라서, 이하 생략된 내용이라고 하더라도 도 1에 도시된 실시예에 따른 유해 패킷 검사 장치(100)에 의해 수행되는 유해 패킷을 검사하는 방법에도 적용된다. 2 is a flowchart of a method for inspecting a harmful packet in a harmful packet inspection apparatus according to an embodiment of the present invention. The method for inspecting harmful packets performed by the harmful packet inspection apparatus 100 according to the embodiment shown in FIG. 2 is the same as that of the harmful packet inspection apparatus 100 according to the embodiment shown in FIG. . Therefore, even if omitted in the following description, the present invention is also applied to a method for inspecting harmful packets performed by the harmful packet inspection apparatus 100 according to the embodiment shown in FIG.

단계 S210에서 유해 패킷 검사 장치(100)는 유해 패킷에 관한 정보를 포함하는 시그니처를 복수의 부분 시그니처로 분할할 수 있다. In step S210, the harmful packet inspection apparatus 100 may divide the signature including the information on the harmful packet into a plurality of partial signatures.

단계 S220에서 유해 패킷 검사 장치(100)는 복수의 부분 시그니처에 대한 관계 정보를 분석할 수 있다. In step S220, the harmful packet inspection apparatus 100 may analyze the relationship information on a plurality of partial signatures.

단계 S230에서 유해 패킷 검사 장치(100)는 분석된 관계 정보를 저장할 수 있다. In step S230, the harmful packet inspection apparatus 100 may store the analyzed relationship information.

단계 S240에서 유해 패킷 검사 장치(100)는 외부 장치로부터 패킷 데이터를 수신할 수 있다. In step S240, the harmful packet inspection apparatus 100 can receive packet data from the external apparatus.

단계 S250에서 유해 패킷 검사 장치(100)는 저장된 관계 정보에 기초하여 수신된 패킷 데이터를 분석하여 시그니처가 포함되어 있는지 여부를 탐지할 수 있다. In step S250, the harmful packet inspection apparatus 100 may analyze the received packet data based on the stored relationship information to detect whether or not the signature is included.

상술한 설명에서, 단계 S210 내지 S250은 본 발명의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 전환될 수도 있다.In the above description, steps S210 to S250 may be further divided into further steps or combined into fewer steps, according to an embodiment of the present invention. In addition, some of the steps may be omitted as necessary, and the order between the steps may be switched.

도 3은 본 발명의 일 실시예에 따른 네트워크 공격 탐지 장치(미도시)에서 유해 패킷 검사 장치의 전처리 과정을 이용하여 네트워크 공격을 탐지하는 방법의 순서도이다. 이 경우, 유해 패킷 장치(100)는 네트워크 공격 탐지 장치에 전처리 과정을 위한 일 모듈로서 포함될 수 있다. 도 3에 도시된 실시예에 따른 네트워크 공격 탐지 장치에 의해 수행되는 유해 패킷 검사 장치의 전처리 과정을 이용하여 네트워크 공격을 탐지하는 방법은 도 1 및 도 2에 도시된 실시예에 따른 유해 패킷 검사 장치(100)에서 시계열적으로 처리되는 단계들을 포함한다. 따라서, 이하 생략된 내용이라고 하더라도 도 1 및 도 2에 도시된 실시예에 따른 유해 패킷 검사 장치(100)에 의해 수행되는 유해 패킷을 검사하는 방법에도 적용된다.3 is a flowchart of a method of detecting a network attack using a preprocessing process of a harmful packet inspection apparatus in a network attack detection apparatus (not shown) according to an embodiment of the present invention. In this case, the harmful packet device 100 may be included as a module for the preprocessing process in the network attack detection device. A method for detecting a network attack using a preprocessing process of a harmful packet inspection apparatus performed by the network attack detection apparatus according to the embodiment shown in FIG. 3 is the same as that of the harmful packet inspection apparatus according to the embodiment shown in FIGS. 1 and 2, (100). ≪ / RTI > Therefore, even if omitted in the following description, the present invention is also applied to a method for inspecting harmful packets performed by the harmful packet inspection apparatus 100 according to the embodiment shown in FIG. 1 and FIG.

네트워크 공격 탐지 장치는 유해 패킷을 검사하기 위해 전처리 과정(단계 S310 내지 단계 S330)을 수행할 수 있다. The network attack detection device may perform a preprocessing process (steps S310 to S330) to inspect harmful packets.

단계 S310에서 네트워크 공격 탐지 장치는 외부 장치로부터 수신된 패킷 데이터로부터 기설정된 크기의 데이터를 추출할 수 있다. In step S310, the network attack detection device may extract data of a predetermined size from the packet data received from the external device.

단계 S320에서 네트워크 공격 탐지 장치는 추출된 데이터를 저장부의 주소로 사용하여 저장된 관계 정보를 로드할 수 있다. In step S320, the network attack detection apparatus can load the stored relationship information using the extracted data as the address of the storage unit.

단계 S330에서 네트워크 공격 탐지 장치는 로드된 관계 정보와 패킷 데이터를 비교할 수 있다. In step S330, the network attack detection device can compare the packet data with the relation information loaded.

네트워크 공격 탐지 장치는 전처리 과정(단계 S310 내지 단계 S330)이 완료되면, 복수의 레이어를 통해 수신된 패킷 데이터을 검사하여 각 레이어에 대한 네트워크 공격이 있는지 여부를 탐지할 수 있다. Upon completion of the preprocessing process (steps S310 to S330), the network attack detection device checks packet data received through a plurality of layers to detect whether there is a network attack on each layer.

단계 S340에서 네트워크 공격 탐지 장치는 관계 정보와 제 3 레이어를 통해 수신된 패킷 데이터를 비교하여, 제 3 레이어 공격이 있는지 여부를 탐지할 수 있다. 이 때, 네트워크 공격 탐지 장치에서 제 3 레이어 공격을 탐지하면(S341), 네트워크 공격 탐지 장치는 패킷 데이터에 대한 차단 여부를 결정하여 저장할 수 있다(S380). 또는, 네트워크 공격 탐지 장치에서 제 3 레이어 공격을 탐지하지 못하면(S342), 네트워크 공격 탐지 장치는 제 4 레이어 공격이 있는지 여부를 탐지할 수 있다(S350). In step S340, the network attack detection device compares the relation information with the packet data received through the third layer, and detects whether there is a third layer attack. At this time, if the network attack detection device detects the third layer attack (S341), the network attack detection device may determine whether to block the packet data and store the third layer attack (S380). Alternatively, if the network attack detection device does not detect the third layer attack (S342), the network attack detection device may detect whether there is a fourth layer attack (S350).

단계 S350에서 네트워크 공격 탐지 장치는 관계 정보와 제 4 레이어를 통해 수신된 패킷 데이터를 비교하여, 제 4 레이어 공격이 있는지 여부를 탐지할 수 있다. 예를 들어, 네트워크 공격 탐지 장치는 제 4 레이어 공격을 탐지하면(S351), 패킷 데이터에 대한 차단 여부를 결정하여 저장할 수 있다(S380). 다른 예를 들어, 네트워크 공격 탐지 장치는 제 4 레이어 공격을 탐지하지 못하면(S352), 제 7 레이어 공격이 있는지 여부를 탐지할 수 있다(S360). In step S350, the network attack detecting apparatus compares the relation information with the packet data received through the fourth layer, and detects whether there is a fourth layer attack. For example, if the network attack detection device detects a fourth layer attack (S351), it may determine whether to block the packet data and store the packet data (S380). In another example, if the network attack detection device does not detect the fourth layer attack (S352), it may detect whether there is a seventh layer attack (S360).

단계 S360에서 네트워크 공격 탐지 장치는 관계 정보와 제 7 레이어를 통해 수신된 패킷 데이터를 비교하여, 제 7 레이어 공격이 있는지 여부를 탐지할 수 있다. 예를 들어, 네트워크 공격 탐지 장치는 제 7 레이어 공격을 탐지하면(S361), 패킷 데이터에 대한 차단 여부를 결정하여 저장할 수 있다(S380). 다른 예를 들어, 네트워크 공격 탐지 장치는 제 7 레이어 공격을 탐지하지 못하면(S362), 패킷 데이터를 외부 장치로 포워딩할 수 있다(S370). In step S360, the network attack detection apparatus compares the relationship information with the packet data received through the seventh layer to detect whether there is a seventh layer attack. For example, if the network attack detection device detects a seventh layer attack (S361), the network attack detection device may determine whether to block the packet data and store the blocked data (S380). In another example, if the network attack detection device fails to detect the seventh layer attack (S362), the packet data may be forwarded to the external device (S370).

상술한 설명에서, 단계 S310 내지 S380은 본 발명의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 전환될 수도 있다.In the above description, steps S310 to S380 may be further divided into further steps, or combined in fewer steps, according to an embodiment of the present invention. In addition, some of the steps may be omitted as necessary, and the order between the steps may be switched.

도 1 내지 도 3를 통해 설명된 유해 패킷 검사 장치에서 유해 패킷을 검사하는 방법은 컴퓨터에 의해 실행되는 매체에 저장된 컴퓨터 프로그램 또는 컴퓨터에 의해 실행 가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 또한, 1 내지 도 3를 통해 설명된 유해 패킷 검사 장치에서 유해 패킷을 검사하는 방법 은 컴퓨터에 의해 실행되는 매체에 저장된 컴퓨터 프로그램의 형태로도 구현될 수 있다. The method for inspecting harmful packets in the harmful packet inspection apparatus described with reference to Figs. 1 to 3 can also be implemented in the form of a recording medium including a computer program stored in a medium executed by the computer or instructions executable by the computer have. In addition, the method for inspecting harmful packets in the harmful packet inspection apparatus described with reference to FIGS. 1 to 3 may also be implemented in the form of a computer program stored in a medium executed by a computer.

컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체를 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다. Computer readable media can be any available media that can be accessed by a computer and includes both volatile and nonvolatile media, removable and non-removable media. The computer-readable medium may also include computer storage media. Computer storage media includes both volatile and nonvolatile, removable and non-removable media implemented in any method or technology for storage of information such as computer readable instructions, data structures, program modules or other data.

전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다. It will be understood by those skilled in the art that the foregoing description of the present invention is for illustrative purposes only and that those of ordinary skill in the art can readily understand that various changes and modifications may be made without departing from the spirit or essential characteristics of the present invention. will be. It is therefore to be understood that the above-described embodiments are illustrative in all aspects and not restrictive. For example, each component described as a single entity may be distributed and implemented, and components described as being distributed may also be implemented in a combined form.

본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다. The scope of the present invention is defined by the appended claims rather than the detailed description and all changes or modifications derived from the meaning and scope of the claims and their equivalents are to be construed as being included within the scope of the present invention do.

110: 분할부
120: 정보분석부
121: 마스킹부
122: 지시자 선택부
130: 저장부
140: 수신부
150: 탐지부110: minute installment
120: Information Analysis Department
121: masking portion
122: Indicator selection unit
130:
140: Receiver
150:

Claims (13)

유해 패킷을 검사하는 장치에 있어서,
유해 패킷에 관한 정보를 포함하는 시그니처를 복수의 부분 시그니처로 분할하는 분할부;
상기 복수의 부분 시그니처에 대한 관계 정보를 분석하는 정보 분석부;
상기 분석된 관계 정보를 저장하는 저장부;
외부 장치로부터 패킷 데이터를 수신하는 수신부; 및
상기 저장된 관계 정보에 기초하여 상기 수신된 패킷 데이터를 분석하여 상기 시그니처가 포함되어 있는지 여부를 탐지하는 탐지부
를 포함하고,
상기 관계 정보는 상기 복수의 부분 시그니처 각각을 구성하는 데이터 간의 상관 관계인 것인, 유해 패킷 검사 장치.
An apparatus for inspecting harmful packets,
A division unit for dividing a signature including information about a harmful packet into a plurality of partial signatures;
An information analysis unit for analyzing relationship information on the plurality of partial signatures;
A storage unit for storing the analyzed relationship information;
A receiving unit for receiving packet data from an external device; And
And a detection unit for analyzing the received packet data based on the stored relationship information and detecting whether the signature is included or not
Lt; / RTI >
Wherein the relationship information is a correlation between data constituting each of the plurality of partial signatures.
제 1 항에 있어서,
상기 정보 분석부는,
상기 복수의 부분 시그니처 각각에 포함된 기설정된 크기의 데이터를 상기 복수의 부분 시그니처 각각의 키 바이트로서 마스킹하는 마스킹부
를 포함하고,
상기 저장부는 상기 각각의 키 바이트를 상기 복수의 부분 시그니처 간의 관계 정보로서 저장하는 것인, 유해 패킷 검사 장치.
The method according to claim 1,
The information analyzing unit,
A masking unit for masking data of a predetermined size included in each of the plurality of partial signatures as key bytes of each of the plurality of partial signatures,
Lt; / RTI >
And the storage unit stores the respective key bytes as relation information between the plurality of partial signatures.
제 2 항에 있어서,
상기 정보 분석부는,
상기 복수의 부분 시그니처 각각에 마스킹된 키 바이트의 영역으로부터 지시자를 선택하는 지시자 선택부
를 더 포함하고,
상기 저장부는 상기 지시자를 상기 복수의 부분 시그니처 간의 관계 정보로서 더 저장하는 것인, 유해 패킷 검사 장치.
3. The method of claim 2,
The information analyzing unit,
An indicator selection unit for selecting an indicator from an area of the key byte masked in each of the plurality of partial signatures,
Further comprising:
And the storage unit further stores the indicator as relation information between the plurality of partial signatures.
제 3 항에 있어서,
상기 탐지부는 상기 지시자를 상기 저장부의 주소로 사용하여 상기 저장부에 액세스하는 것인, 유해 패킷 검사 장치.
The method of claim 3,
Wherein the detection unit accesses the storage unit using the indicator as an address of the storage unit.
제 1 항에 있어서,
상기 분할부는 상기 시그니처를 각각 상이한 데이터 길이로 분할하는 것인, 유해 패킷 검사 장치.
The method according to claim 1,
And the dividing unit divides the signature into different data lengths.
제 1 항에 있어서,
상기 탐지부는 상기 수신된 패킷 데이터로부터 기설정된 크기의 데이터를 추출하고, 상기 추출된 데이터를 상기 저장부의 주소로 사용하여 상기 저장된 관계 정보를 로드하고, 상기 로드된 관계 정보와 상기 패킷 데이터를 비교하는 것인, 유해 패킷 검사 장치.
The method according to claim 1,
The detecting unit extracts data of a predetermined size from the received packet data, loads the stored relationship information using the extracted data as an address of the storage unit, and compares the loaded relation information with the packet data A harmful packet inspection device.
제 1 항에 있어서,
상기 탐지부는 복수의 레이어를 통해 수신된 패킷 데이터에 상기 시그니처가 포함되어 있는지 여부를 탐지하고,
상기 복수의 레이어는 네크워크를 구성하는 7개의 계층이 포함하는 제 3 레이어(Layer), 제 4 레이어 및 제 7 레이어 중 적어도 하나를 포함하는 것인, 유해 패킷 검사 장치.
The method according to claim 1,
The detection unit detects whether or not the signature is included in the packet data received through the plurality of layers,
Wherein the plurality of layers include at least one of a third layer, a fourth layer and a seventh layer included in seven layers constituting a network.
제 1 항에 있어서,
상기 유해 패킷 검사 장치는 산업용 IoT(Internet Of Things) 장치로 연속적으로 유입되는 패킷 데이터에 대해 상기 복수의 계층에서 패킷 필터링을 실시하여 유해 패킷을 탐지하는 보안 게이트웨이인 것인, 유해 패킷 검사 장치.
The method according to claim 1,
Wherein the harmful packet inspection apparatus is a security gateway that performs packet filtering on packet data continuously inputted to an industrial IoT (Internet Of Things) apparatus in the plurality of layers to detect harmful packets.
제 1 항에 있어서,
상기 저장부는 복수의 필터 블록을 포함하고, 상기 복수의 필터 블록의 기설정된 수에 따라 메모리 공간을 할당하여 상기 관계 정보를 저장하는 것인, 유해 패킷 검사 장치.
The method according to claim 1,
Wherein the storage unit includes a plurality of filter blocks and allocates a memory space according to a predetermined number of the plurality of filter blocks to store the relationship information.
유해 패킷을 검사하는 방법에 있어서,
유해 패킷에 관한 정보를 포함하는 시그니처를 복수의 부분 시그니처로 분할하는 단계;
상기 복수의 부분 시그니처에 대한 관계 정보를 분석하는 단계;
상기 분석된 관계 정보를 저장하는 단계;
외부 장치로부터 패킷 데이터를 수신하는 단계; 및
상기 저장된 관계 정보에 기초하여 상기 수신된 패킷 데이터를 분석하여 상기 시그니처가 포함되어 있는지 여부를 탐지하는 단계를 포함하고,
상기 관계 정보는 상기 복수의 부분 시그니처 각각을 구성하는 데이터 간의 상관 관계인 것인, 유해 패킷 검사 방법.
A method for inspecting harmful packets,
Dividing a signature including information about a harmful packet into a plurality of partial signatures;
Analyzing relationship information for the plurality of partial signatures;
Storing the analyzed relationship information;
Receiving packet data from an external device; And
And analyzing the received packet data based on the stored relationship information to detect whether the signature is included,
Wherein the relationship information is a correlation between data constituting each of the plurality of partial signatures.
제 10 항에 있어서,
상기 관계 정보를 분석하는 단계는 상기 복수의 부분 시그니처 각각에 포함된 기설정된 크기의 데이터를 상기 복수의 부분 시그니처 각각의 키 바이트로서 마스킹하는 단계를 더 포함하고,
상기 관계 정보를 저장하는 단계는 상기 각각의 키 바이트를 상기 복수의 부분 시그니처 간의 관계 정보로서 저장하는 것인, 유해 패킷 검사 방법.
11. The method of claim 10,
Wherein analyzing the relationship information further comprises masking data of a predetermined size included in each of the plurality of partial signatures as key bytes of each of the plurality of partial signatures,
Wherein the storing of the relationship information stores each of the key bytes as relationship information between the plurality of partial signatures.
제 11 항에 있어서,
상기 탐지하는 단계는,
상기 수신된 패킷 데이터로부터 기설정된 크기의 데이터를 추출하는 단계;
상기 추출된 데이터를 상기 저장부의 주소로 사용하여 상기 저장된 관계 정보를 로드하는 단계; 및
상기 로드된 관계 정보와 상기 패킷 데이터를 비교하는 단계
를 포함하는 것인, 유해 패킷 검사 방법.
12. The method of claim 11,
Wherein the detecting comprises:
Extracting a predetermined size of data from the received packet data;
Loading the stored relationship information using the extracted data as an address of the storage unit; And
Comparing the loaded relationship information with the packet data
Wherein the packet comprises a plurality of packets.
제 11 항에 있어서,
상기 비교 결과에 따라 상기 수신된 패킷 데이터에 대한 차단 여부를 결정하는 단계
를 더 포함하는 것인, 유해 패킷 검사 방법.12. The method of claim 11,
Determining whether to block the received packet data according to a result of the comparison;
The method comprising the steps of:
KR1020170008416A 2017-01-18 2017-01-18 Apparatus and method for detecting harmful packet KR20180085155A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170008416A KR20180085155A (en) 2017-01-18 2017-01-18 Apparatus and method for detecting harmful packet

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170008416A KR20180085155A (en) 2017-01-18 2017-01-18 Apparatus and method for detecting harmful packet

Publications (1)

Publication Number Publication Date
KR20180085155A true KR20180085155A (en) 2018-07-26

Family

ID=63047800

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170008416A KR20180085155A (en) 2017-01-18 2017-01-18 Apparatus and method for detecting harmful packet

Country Status (1)

Country Link
KR (1) KR20180085155A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113793141A (en) * 2021-09-01 2021-12-14 深圳市互联在线云计算股份有限公司 Transaction method, device and equipment based on hardware wallet and readable storage medium

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113793141A (en) * 2021-09-01 2021-12-14 深圳市互联在线云计算股份有限公司 Transaction method, device and equipment based on hardware wallet and readable storage medium

Similar Documents

Publication Publication Date Title
US7596809B2 (en) System security approaches using multiple processing units
US10608992B2 (en) Hybrid hardware-software distributed threat analysis
US10389760B2 (en) Adaptive network security policies
US10374913B2 (en) Data retention probes and related methods
CN107968791B (en) Attack message detection method and device
US20160191558A1 (en) Accelerated threat mitigation system
US20160026796A1 (en) Methods, systems, and computer readable media for detecting a compromised computing host
CN109286511B (en) Data processing method and device
CN108965248B (en) P2P botnet detection system and method based on traffic analysis
US20190245890A1 (en) Method for a communication network, and electronic monitoring unit
KR101287592B1 (en) A Network Intrusion Detection Apparatus using Pattern Matching
US20230283631A1 (en) Detecting patterns in network traffic responses for mitigating ddos attacks
EP3523940A1 (en) Enforcing network security policy using pre-classification
KR100723864B1 (en) Method for blocking network attacks using the information in packet and apparatus thereof
CN107682341A (en) The means of defence and device of CC attacks
KR20180085157A (en) Apparatus, method and system for detecting attack in network
WO2020028252A1 (en) Signature pattern detection in network traffic
CN112583827B (en) Data leakage detection method and device
KR20180085155A (en) Apparatus and method for detecting harmful packet
CN106411951B (en) Network attack behavior detection method and device
CN113992421B (en) Message processing method and device and electronic equipment
US8869267B1 (en) Analysis for network intrusion detection
CN110784471A (en) Blacklist collection management method and device, computer equipment and storage medium
US20230156035A1 (en) METHOD AND APPARATUS FOR DETECTING DDoS ATTACKS
CN114244543B (en) Network security defense method, device, computing equipment and computer storage medium

Legal Events

Date Code Title Description
N231 Notification of change of applicant