KR20180085157A - 네트워크 공격 탐지 장치, 네트워크 공격 탐지 방법 및 네트워크 공격 탐지 시스템 - Google Patents

네트워크 공격 탐지 장치, 네트워크 공격 탐지 방법 및 네트워크 공격 탐지 시스템 Download PDF

Info

Publication number
KR20180085157A
KR20180085157A KR1020170008428A KR20170008428A KR20180085157A KR 20180085157 A KR20180085157 A KR 20180085157A KR 1020170008428 A KR1020170008428 A KR 1020170008428A KR 20170008428 A KR20170008428 A KR 20170008428A KR 20180085157 A KR20180085157 A KR 20180085157A
Authority
KR
South Korea
Prior art keywords
packet data
network attack
information
detection
packet
Prior art date
Application number
KR1020170008428A
Other languages
English (en)
Inventor
김점구
심현보
Original Assignee
남서울대학교 산학협력단
(주)유림정보시스템
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 남서울대학교 산학협력단, (주)유림정보시스템 filed Critical 남서울대학교 산학협력단
Priority to KR1020170008428A priority Critical patent/KR20180085157A/ko
Publication of KR20180085157A publication Critical patent/KR20180085157A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Abstract

네트워크 공격을 탐지하는 장치는 외부 장치로 유입되는 패킷 데이터를 수신하는 수신부, 유해 패킷에 관한 정보를 포함하는 기저장된 시그니처의 관계 정보에 기초하여 상기 수신된 패킷 데이터를 분석하여 상기 시그니처가 포함되어 있는지 여부를 탐지하는 제 1 탐지부, 복수의 계층 별로 상기 패킷 데이터를 분석하여 네트워크 공격 여부를 탐지하는 제 2 탐지부 및 상기 제 1 탐지부 및 상기 제 2 탐지부의 결과에 따라 상기 외부 장치로 상기 패킷 데이터를 전송하는 전송부를 포함하고, 상기 관계 정보는 상기 시그니처를 구성하는 각 데이터 간의 상관 관계인 것일 수 있다.

Description

네트워크 공격 탐지 장치, 네트워크 공격 탐지 방법 및 네트워크 공격 탐지 시스템{APPARATUS, METHOD AND SYSTEM FOR DETECTING ATTACK IN NETWORK}
본 발명은 네트워크 공격 탐지 장치, 네트워크 공격 탐지 방법 및 네트워크 공격 탐지 시스템에 관한 것이다.
심층 패킷 분석(DPI, Deep Packet Inspection)은 인터넷을 통한 외부 네트워크와 내부 네트워크 간 방화벽 기술을 구성하는 보안 장치에서 수행되는 기술로, 인터넷을 통해 전송되는 데이터의 심층적인 부분까지 분석할 수 있다. 심층 패킷 분석은 인터넷을 통해 전송되는 데이터인 패킷의 실제 내용까지를 검사하고, 분석할 수 있다는 점에서 인터넷의 기본 프로토콜인 TCP(Transmission Control Protocol)의 한계점을 보완하고, 인터넷을 통해 전파되는 웜바이러스, 해킹, DDoS 등의 공격 여부를 확인할 수 있다는 장점을 갖는다.
이러한 심층 패킷 분석 기술과 관련하여, 선행기술인 한국등록특허 제 10-1172889호는 유해 트래픽 탐지/대응 방법 및 시스템을 개시하고 있다.
최근의 산업 IoT 제어망에서는 사이버 보안에 대한 위협이 증가하고 있다. 이러한 사이버 보안 위협의 대응 방안으로, 산업 IoT 제어망은 보안 게이트웨이를 통해 패킷 필터링을 수행할 수 있다. 그러나 보안 게이트웨이는 데이터량이 증가하는 속도가 빨라짐에 따라 패킷 필터링을 빠르게 처리할 수 없으며, 대용량 트래픽 유발 공격 등에 대한 해결책을 제시하지 못한다는 단점을 가지고 있다. 따라서, 패킷 필터링의 속도를 개선하고, 산업 IoT 제어망의 성능을 개선시킬 수 있는 보안 게이트웨이가 요구되고 있다.
DPI(Deep Packet Inspection) 알고리즘을 탑재하여 속도 저하 없이 복수의 계층 별로 초고속으로 패킷 분석이 가능한 네트워크 공격 탐지 장치, 방법 및 시스템을 제공하고자 한다. 산업 IoT 제어망의 고성능 FPGA(Field Programmable Gate Array)를 기반으로 하는 하드웨어 병렬처리 방식을 이용함으로써, 다양한 인지기능을 처리하여도 성능 저하에 영향이 없도록 하는 네트워크 공격 탐지 장치, 방법 및 시스템을 제공하고자 한다. 다른 환경의 IoT 제어망 보안 게이트웨이 및 보안 장비에 이식되어 산업 이더넷의 성능 개선과 보안성을 유지하는 네트워크 공격 탐지 장치, 방법 및 시스템을 제공하고자 한다. 실시간으로 이상징후를 나타내는 시그니처를 탐지하고, 공격 대응 정책을 갱신함으로써, 새로운 공격 유형에 빨리 대응할 수 있도록 하는 네트워크 공격 탐지 장치, 방법 및 시스템을 제공하고자 한다. 패킷 흐름의 변동사항을 기본으로 하는 탐지 기능과 악성코드와 같은 패턴을 기본으로 하는 공격의 형태를 동시에 탐지할 수 있는 네트워크 공격 탐지 장치, 방법 및 시스템을 제공하고자 한다. 다만, 본 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제들로 한정되지 않으며, 또 다른 기술적 과제들이 존재할 수 있다.
상술한 기술적 과제를 달성하기 위한 수단으로서, 외부 장치로 유입되는 패킷 데이터를 수신하는 수신부, 유해 패킷에 관한 정보를 포함하는 기저장된 시그니처의 관계 정보에 기초하여 상기 수신된 패킷 데이터를 분석하여 상기 시그니처가 포함되어 있는지 여부를 탐지하는 제 1 탐지부, 복수의 계층 별로 상기 패킷 데이터를 분석하여 네트워크 공격 여부를 탐지하는 제 2 탐지부 및 상기 제 1 탐지부 및 상기 제 2 탐지부의 결과에 따라 상기 외부 장치로 상기 패킷 데이터를 전송하는 전송부를 포함하고, 상기 관계 정보는 상기 시그니처를 구성하는 각 데이터 간의 상관 관계인 것인 네트워크 공격 탐지 장치를 제공할 수 있다.
본 발명의 다른 실시예는, 외부 장치로 유입되는 패킷 데이터를 수신하는 단계, 유해 패킷에 관한 정보를 포함하는 기저장된 시그니처의 관계 정보에 기초하여 상기 수신된 패킷 데이터를 분석하여 상기 시그니처가 포함되어 있는지 여부를 탐지하는 단계, 복수의 계층 별로 상기 패킷 데이터를 분석하여 네트워크 공격 여부를 탐지하는 단계 및 상기 탐지 결과에 따라 상기 외부 장치로 상기 패킷 데이터를 전송하는 단계를 포함하고, 상기 관계 정보는 상기 시그니처를 구성하는 각 데이터 간의 상관 관계인 것인 네트워크 공격 탐지 방법을 제공할 수 있다.
본 발명의 또 다른 실시예는, 제 1 외부 장치, 네트워크 공격 탐지 장치 및 제 2 외부 장치를 포함하고, 상기 제 1 외부 장치는 상기 제 2 외부 장치로 전송하기 위한 패킷 데이터를 상기 네트워크 공격 탐지 장치로 전송하고, 상기 네트워크 공격 탐지 장치는 유해 패킷에 관한 정보를 포함하는 기저장된 시그니처의 관계 정보에 기초하여 상기 수신된 패킷 데이터를 분석하여 상기 시그니처가 포함되어 있는지 여부를 탐지하고, 복수의 계층 별로 상기 패킷 데이터를 분석하여 네트워크 공격 여부를 탐지하고, 상기 제 1 탐지부 및 상기 제 2 탐지부의 결과에 따라 상기 제 2 외부 장치로 상기 패킷 데이터를 전송하고, 상기 제 2 외부 장치는 네트 워크 공격 탐지 장치의 탐지 결과에 따라 상기 패킷 데이터를 수신하고, 상기 관계 정보는 상기 복수의 부분 시그니처 각각을 구성하는 데이터 간의 상관 관계인 것인 네트워크 공격 탐지 시스템을 제공할 수 있다.
상술한 과제 해결 수단은 단지 예시적인 것으로서, 본 발명을 제한하려는 의도로 해석되지 않아야 한다. 상술한 예시적인 실시예 외에도, 도면 및 발명의 상세한 설명에 기재된 추가적인 실시예가 존재할 수 있다.
전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, DPI(Deep Packet Inspection) 알고리즘을 탑재하여 속도 저하 없이 복수의 계층 별로 초고속으로 패킷 분석이 가능한 네트워크 공격 탐지 장치, 방법 및 시스템을 제공할 수 있다. 산업 IoT 제어망의 고성능 FPGA(Field Programmable Gate Array)를 기반으로 하는 하드웨어 병렬처리 방식을 이용함으로써, 다양한 인지기능을 처리하여도 성능 저하에 영향이 없도록 하는 네트워크 공격 탐지 장치, 방법 및 시스템을 제공할 수 있다. 다른 환경의 IoT 제어망 보안 게이트웨이 및 보안 장비에 이식되어 산업 이더넷의 성능 개선과 보안성을 유지하는 네트워크 공격 탐지 장치, 방법 및 시스템을 제공할 수 있다. 실시간으로 이상징후를 나타내는 시그니처를 탐지하고, 공격 대응 정책을 갱신함으로써, 새로운 공격 유형에 빨리 대응할 수 있도록 하는 네트워크 공격 탐지 장치, 방법 및 시스템을 제공할 수 있다. 패킷 흐름의 변동사항을 기본으로 하는 탐지 기능과 악성코드와 같은 패턴을 기본으로 하는 공격의 형태를 동시에 탐지할 수 있는 네트워크 공격 탐지 장치, 방법 및 시스템을 제공할 수 있다.
도 1은 본 발명의 일 실시예에 따른 네트워크 공격 탐지 시스템의 구성도이다.
도 2는 본 발명의 일 실시예에 따른 네트워크 공격 탐지 장치의 구성도이다.
도 3은 본 발명의 일 실시예에 따른 네트워크 공격 탐지 장치에서 복수의 계층 별로 네트워크 공격 여부를 탐지하는 방법의 순서도이다.
도 4는 본 발명의 일 실시예에 따른 네트워크 공격 탐지 장치에서 네트워크 공격을 탐지하는 방법의 순서도이다.
도 5는 본 발명의 일 실시예에 따른 산업 현장에서 쓰이는 네트워크 공격 탐지 시스템의 구성도이다.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미하며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
본 명세서에 있어서 '부(部)'란, 하드웨어에 의해 실현되는 유닛(unit), 소프트웨어에 의해 실현되는 유닛, 양방을 이용하여 실현되는 유닛을 포함한다. 또한, 1 개의 유닛이 2 개 이상의 하드웨어를 이용하여 실현되어도 되고, 2 개 이상의 유닛이 1 개의 하드웨어에 의해 실현되어도 된다.
본 명세서에 있어서 단말 또는 디바이스가 수행하는 것으로 기술된 동작이나 기능 중 일부는 해당 단말 또는 디바이스와 연결된 서버에서 대신 수행될 수도 있다. 이와 마찬가지로, 서버가 수행하는 것으로 기술된 동작이나 기능 중 일부도 해당 서버와 연결된 단말 또는 디바이스에서 수행될 수도 있다.
이하 첨부된 도면을 참고하여 본 발명의 일 실시예를 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 네트워크 공격 탐지 시스템의 구성도이다. 도 1을 참조하면, 네트워크 공격 탐지 시스템(1)은 제 1 외부 장치(110), 네트워크 공격 탐지 장치(120) 및 제 2 외부 장치(130)를 포함할 수 있다. 제 1 외부 장치(110), 네트워크 공격 탐지 장치(120) 및 제 2 외부 장치(130)는 네트워크 공격 탐지 시스템(1)에 의하여 제어될 수 있는 구성요소들을 예시적으로 도시한 것이다.
도 1의 네트워크 공격 탐지 시스템(1)의 각 구성요소들은 일반적으로 네트워크(network)를 통해 연결된다. 예를 들어, 도 1에 도시된 바와 같이, 네트워크 공격 탐지 장치(120)는 제 1 외부 장치(110) 및 제 2 외부 장치(130)와 동시에 또는 시간 간격을 두고 연결될 수 있다.
네트워크는 단말들 및 서버들과 같은 각각의 노드 상호간에 정보교환이 가능한 연결구조를 의미하는 것으로, 이러한 네트워크의 일예는, 3G, 4G, 5G, Wi-Fi, 블루투스(Bluetooth), 인터넷(Internet), LAN(Local Area Network), Wireless LAN(Wireless Local Area Network), WAN(Wide Area Network), PAN(Personal Area Network) 등이 포함되나 이에 한정되지는 않는다.
제 1 외부 장치(110)는 네트워크 공격 여부를 탐지하기 위해 외부로부터 수신하여 제 2 외부 장치(130)로 전송하기 위한 패킷 데이터를 네트워크 공격 탐지 장치(120)로 전송할 수 있다.
네트워크 공격 탐지 장치(120)는 유해 패킷에 관한 정보를 포함하는 기저장된 시그니처의 관계 정보에 기초하여 수신된 패킷 데이터를 분석하여 시그니처가 포함되어 있는지 여부를 탐지할 수 있다.
네트워크 공격 탐지 장치(120)는 복수의 계층 별로 패킷 데이터를 분석하여 네트워크 공격 여부를 탐지하고, 탐지 결과에 따라 제 2 외부 장치(130)로 패킷 데이터를 전송할 수 있다.
이러한 네트워크 공격 탐지 장치(120)는 산업용 IoT(Internet of Things) 장치로 연속적으로 유입되는 패킷 데이터에 대해 복수의 계층에서 패킷 필터링을 실시하여 디도스(DDoS) 여부를 탐지하는 보안 게이트웨이일 수 있다.
제 2 외부 장치(130)는 산업용 IoT(Internet of Things) 장치를 포함하며, 제 2 외부 장치(130)는 네트워크 공격 탐지 장치(120)의 탐지 결과에 따라 패킷 데이터를 수신할 수 있다.
도 2는 본 발명의 일 실시예에 따른 네트워크 공격 탐지 장치의 구성도이다. 도 2를 참조하면, 네트워크 공격 탐지 장치(120)는 산업용 IoT(Internet of Things) 장치로 연속적으로 유입되는 패킷 데이터에 대해 복수의 계층에서 패킷 필터링을 실시하여 디도스(DDoS) 여부를 탐지하는 보안 게이트웨이일 수 있다. 이를 기술적으로 구현하기 위해 네트워크 공격 탐지 장치(120)는 수신부(210), 제 1 탐지부(220), 제 2 탐지부(230) 및 전송부(240)를 포함할 수 있다.
수신부(210)는 외부 장치로 유입되는 패킷 데이터를 수신할 수 있다. 또한, 수신부(210)는 제 1 탐지부(220) 및 제 2 탐지부(230)에서 결정된 네트워크 공격에 대응하기 위한 정책을 반영하여 외부 장치(130)로 유입되는 패킷 데이터 중 선택적으로 패킷 데이터를 추출하여 수신할 수 있다.
제 1 탐지부(220)는 유해 패킷에 관한 정보를 포함하는 기저장된 시그니처의 관계 정보에 기초하여 복수의 레이어를 통해 수신된 패킷 데이터를 분석할 수 있다. 복수의 레이어는 네트워크를 구성하는 7개의 레이어에 포함되는 제 3 레이어(Layer), 제 4 레이어 및 제 7 레이어 중 적어도 하나를 포함할 수 있다. 관계 정보는 시그니처를 구성하는 각 데이터 간의 상관 관계인 것일 수 있다. 이 경우, 각 부분 시그니처의 길이에 따라 각 키 바이트의 길이가 다를 수 있다. 예를 들어, 제 1 탐지부(220)는 시그니처를 구성하는 복수의 부분 시그니처 각각에 포함된 기설정된 크기의 데이터를 복수의 부분 시그니처 각각의 키 바이트로서 마스킹하고, 각각의 키 바이트를 복수의 부분 시그니처 간의 관계 정보로서 저장할 수 있다. 이 때, 마스킹된 키 바이트는 복수의 메모리 그룹으로 구성된 필터(filter) 블럭의 주소로 이용될 수 있으며, 마스킹된 키 바이트가 지정하는 필터 블럭의 메모리 공간은 최대 적용 횟수가 설정될 수 있다. 다른 예를 들어, 제 1 탐지부(220)는 복수의 부분 시그니처 각각에 마스킹된 키 바이트의 영역으로부터 지시자(Indicator)를 선택할 수 있다. 예를 들어, 제 1 탐지부(120)는 M 바이트의 부분 시그니처에 마스킹된 키 바이트의 영역으로부터 지시자를 선택하고, 선택된 지시자를 복수의 부분 시그니처 간의 관계 정보로서 저장할 수 있다.
제 1 탐지부(220)는 패킷 데이터에 기초하여 시그니처가 포함되어 있는지 여부를 탐지할 수 있다. 예를 들어, 제 1 탐지부(220)는 수신된 패킷 데이터로부터 기설정된 크기의 데이터를 추출하고, 추출된 데이터를 주소로 사용하여 저장된 관계 정보를 로드하고, 로드된 관계 정보와 패킷 데이터를 비교함으로써, 시그니처가 포함되어 있는지 여부를 탐지할 수 있다. 제 1 탐지부(220)는 비교 결과에 따라 수신된 패킷 데이터에 대한 차단 여부를 결정할 수 있다.
제 2 탐지부(230)는 복수의 계층 별로 패킷 데이터를 분석할 수 있다. 예를 들어, 제 2 탐지부(230)는 제 3 계층, 제 4 계층 및 제 7 계층 중 적어도 하나를 통해 수신되는 패킷 데이터의 양이 기설정된 임계치를 초과하는지 여부를 판단할 수 있다. 이 때, 수신되는 패킷 데이터의 양이 기설정된 임계치를 초과하는 경우, 제 2 탐지부(230)는 수신되는 패킷 데이터를 차단하거나 기설정된 공격 대응 정책에 따른 레이트 리미트(rate-limit) 기능을 수행할 수 있다.
제 2 탐지부(230)는 분석된 패킷 데이터에 기초하여 네트워크 공격 여부를 탐지할 수 있다. 예를 들어, 제 2 탐지부(230)는 수신된 패킷 데이터 및 수신된 패킷 데이터의 송수신 정보 중 적어도 하나에 기초하여 기저장된 탐지 정보를 로드하고, 로드된 탐지 정보와 패킷 데이터의 송수신 정보를 비교함으로써, 네트워크 공격 여부를 탐지할 수 있다. 이 때, 제 2 탐지부(230)는 비교 결과에 따라 로드된 탐지 정보의 초기화, 누적, 및 공격 대응 정책의 해제 중 적어도 하나를 결정할 수 있다. 탐지 정보는 유해한 패킷 데이터와 관련된 송신자 IP, 수신자 IP, 송신자 IP를 통해 수신된 패킷 데이터의 수신 시간 및 현재 수신 중인 패킷 데이터와 같은 주소 또는 주소의 조합으로 수신된 패킷 데이터의 수 중 적어도 하나를 포함할 수 있다.
일 실시예에서, 제 2 탐지부(230)는 제 2 탐지부(230)는 제 3 계층의 공격을 정의하고, 정의에 대응하는 패킷이 입력되었는지를 확인할 수 있다. 이에 따라, 제 3 계층을 통해 수신된 패킷 데이터를 분석할 수 있다. 예를 들어, 제 2 탐지부(230)는 DDoS 공격을 탐지하기 위해 모든 종류의 공격을 탐지할 수 있다. 이 때, 탐지 결과는 각 패킷이 내부에서 처리되는 실시간 속도로 제공될 수 있으며, 제 2 탐지부(230)는 해당 패킷과 함게 저장될 수 있도록 준비할 수 있다. 다른 예를 들어, 제 2 탐지부(230)는 제 3 계층 공격에 대한 정의를 입력받고, 패킷당 각 공격의 정의와 유입되는 패킷 양에 대한 임계값을 외부 SDRAM의 지정된 영역에 저장하여 공격을 탐지하고, 임계값에 의한 시간 동안 차단 또는 레이트 리미트(rate limit) 기능을 수행할 수 있다. 또 다른 예를 들어, 제 2 탐지부(230)는 패킷 헤더에 대한 정보가 입력되면, 해당 정보에 기초하여 외부 SDRAM 메모리에 누적하기 위한 데이터를 생성할 수 있다. 또 다른 예를 들어, 제 2 탐지부(230)는 제 3 계층 공격 탐지 기능을 수행하기 위해 필요한 기준 타이밍을 공급받아 탐지용 외부 메모리에 데이터를 쓰고(write), 읽기(read)위해 필요한 기준 신호들을 생성할 수 있다. 또 다른 예를 들어, 제 2 탐지부(230)는 유입되는 패킷 양에 대한 기설정된 탐지용 임계값을 비교하여, 임계값을 초과하는지를 확인하고, 초과하는 경우, 공격이 탐지된 것으로 결정하여 외부 모듈에 알리고, 이 상황을 외부 메모리에 저장함으로써, 이후 입력되는 패킷 중 IP 조합으로 입력되는 패킷들에 대해 기설정된 공격 대응 정책을 적용할 수 있다. 이 때, 제 3 계층에 대한 공격과 관련된 탐지를 위해 수신된 패킷과 수신된 패킷의 송신자 IP 주소 및 수신자 IP 주소를 기준으로 하여 외부 메모리를 액세스한 후, 저장된 데이터를 읽을 수 있다. 또 다른 예를 들어, 제 3 계층 공격 탐지 기능을 위해 각 공격마다 SDRAM 메모리 영역을 할당하여 사용하는데, 이를 구별하기 위해 할당된 메모리를 접속하기 위한 접속 주소를 생성할 수 있다. 또 다른 예를 들어, 제 2 탐지부(230)는 제 3 계층 관련 탐지 기능을 위해 할당된 SDRAM을 제어하기 위해 사용될 수 있다.
다른 실시예에서, 제 2 탐지부(230)는 제 4 계층 공격의 정의를 하고, 정의에 대응하는 패킷이 입력되었는지를 확인하는 기능을 제공할 수 있다. 이에 따라, 제 2 탐지부(230)는 제 4 계층을 통해 수신된 패킷 데이터를 분석할 수 있다. 예를 들어, 제 2 탐지부(230)는 제 4 계층의 공격에 대한 탐지 기능을 수행하기 위해 각 패킷에서 추출된 정보에 기초하여 외부 SDRAM 메모리에 누적하기 위한 데이터를 생성할 수 있다. 다른 예를 들어, 제 2 탐지부(230)는 외부 메모리에 데이터를 쓰고(write), 읽기(read)위해 필요한 기준 신호를 생성할 수 있다. 또 다른 예를 들어, 제 2 탐지부(230)는 유입되는 패킷 양에 대한 기설정된 탐지용 임계값을 비교하여, 임계값을 초과하는지를 확인하고, 초과하는 경우, 공격이 탐지된 것으로 결정하여 외부 모듈에 알리고, 이 상황을 외부 메모리에 저장함으로써, 이후 입력되는 패킷 중 IP 조합으로 입력되는 패킷들에 대해 정해진 정책을 적용할 수 있다. 이 때, 제 4 계층에 대한 공격과 관련된 탐지를 위해 수신된 패킷과 수신된 패킷의 송신자 IP 주소 및 수신자 IP 주소를 기준으로 하여 외부 메모리를 액세스한 후, 저장된 데이터를 읽을 수 있다. 또 다른 예를 들어, 제 2 탐지부(230)는 제 4 계층 공격 탐지 기능을 위해 각 공격마다 SDRAM 메모리 영역을 할당하여 사용하는데, 이를 구별하기 위해 할당된 메모리를 접속하기 위한 접속 주소를 생성할 수 있다. 또 다른 예를 들어, 제 2 탐지부(230)는 제 4 계층 관련 탐지 기능을 위해 할당된 SDRAM을 제어하기 위해 사용될 수 있다.
또 다른 실시예에서, 제 2 탐지부(230)는 제 7 계층 공격의 정의를 정의하고, 정의에 대응하는 패킷이 입력되었는지를 확인하는 기능을 제공할 수 있다. 이에 따라, 제 2 탐지부(230)는 제 7 계층을 통해 수신된 패킷 데이터를 분석할 수 있다. 예를 들어, 제 2 탐지부(230)는 제 7 계층과 관련하여 DDoS 공격에 대한 탐지와 방어를 수행할 수 있다. 이 때, 제 2 탐지부(230)는 정책은 입력되는 패킷당 각 공격의 정의와 유입되는 패킷 양에 대한 임계값을 외부 SDRAM의 지정된 영역에 저장하여 공격을 탐지하고, 탐지 결과에 따라 수신되는 패킷 데이터를 차단 또는 레이트 리미트 기능을 수행할 수 있다. 다른 예를 들어, 제 2 탐지부(230)는 제 7 계층 공격에 대한 탐지 기능을 수행하기 위해 각 패킷에서 추출된 정보에 기초하여 외부 SDRAM 메모리에 누적하기 위한 데이터를 생성할 수 있다. 또 다른 예를 들어, 제 2 탐지부(230)는 외부 메모리에 데이터를 쓰고(write), 읽기(read)위해 필요한 기준 신호를 생성할 수 있다. 또 다른 예를 들어, 제 2 탐지부(230)는 유입되는 패킷 양에 대한 기설정된 탐지용 임계값을 비교하여, 임계값을 초과하는지를 확인하고, 초과하는 경우, 공격이 탐지된 것으로 결정하여 외부 모듈에 알리고, 이 상황을 외부 메모리에 저장함으로써, 이후 입력되는 패킷 중 IP 조합으로 입력되는 패킷들에 대해 정해진 정책을 적용할 수 있다. 이 때, 제 7 계층에 대한 공격과 관련된 탐지를 위해 수신된 패킷과 수신된 패킷의 송신자 IP 주소, 수신자 IP 주소 및 수신지 포트 번호(port number)를 기준으로 하여 외부 메모리를 액세스한 후, 저장된 데이터를 읽을 수 있다. 또 다른 예를 들어, 제 2 탐지부(230)는 각 공격마다 할당된 상위 주소 비트들과 나머지 주소 비트들에 대해 송신자 IP 주소와 수신자 포트 번호(port number)를 이용하여 해싱(hashing)하여 접속 주소를 생성할 수 있다. 이 경우, 접속 주소는 외부 메모리에 접속하기 위해 사용되는 메모리 접속용 타이밍에 따라 값이 생성될 수 있다. 또 다른 예를 들어, 제 2 탐지부(230)는 제 7 계층 관련 탐지 기능을 위해 할당된 SDRAM을 제어하기 위해 사용될 수 있다.
전송부(240)는 제 1 탐지부(220) 및 제 2 탐지부(230)의 결과에 따라 외부 장치로 패킷 데이터를 전송할 수 있다. 예를 들어, 전송부는 패킷 데이터에 네트워크 공격이 포함되지 않았다고 판단된 경우 외부 장치로 패킷 데이터를 전송할 수 있다. 또는, 전송부(240)는 네트워크 공격이 포함되지 않은 패킷 데이터를 선별적으로 외부 장치로 전송할 수 있다
도 3은 본 발명의 일 실시예에 따른 네트워크 공격 탐지 장치에서 복수의 계층 별로 네트워크 공격 여부를 탐지하는 방법의 순서도이다. 도 3에 도시된 실시예에 따른 네트워크 공격 탐지 장치(120)에 의해 수행되는 복수의 계층 별로 네트워크 공격 여부를 탐지하는 방법은 도 1 및 도 2에 도시된 실시예에 따른 네트워크 공격 탐지 장치(120)에서 시계열적으로 처리되는 단계들을 포함한다. 따라서, 이하 생략된 내용이라고 하더라도 도 1 및 도 2에 도시된 실시예에 따른 네트워크 공격 탐지 장치(120)에 의해 수행되는 복수의 계층 별로 네트워크 공격 여부를 탐지하는 방법에도 적용된다.
단계 S310에서 네트워크 공격 탐지 장치(120)는 외부 장치로 유입되는 패킷 데이터를 수신할 수 있다.
단계 S320에서 네트워크 공격 탐지 장치(120)는 유해 패킷에 관한 정보를 포함하는 기저장된 시그니처의 관계 정보에 기초하여 수신된 패킷 데이터를 분석할 수 있다.
단계 S330에서 네트워크 공격 탐지 장치(120)는 시그니처가 포함되어 있는지 여부를 판단할 수 있다.
단계 S340에서 네트워크 공격 탐지 장치(120)는 제 3 계층을 통해 수신되는 패킷 데이터의 양이 기설정된 임계치를 초과하는지의 여부를 판단할 수 있다. 이 때, 네트워크 공격 탐지 장치(120)는 제 3 계층을 통해 수신되는 패킷 데이터의 양이 기설정된 임계치를 초과하면(S341), 패킷 데이터를 차단하거나 기설정된 공격 대응 정책에 따른 레이트 리미트 기능을 수행할 수 있다(S380). 또는, 네트워크 공격 탐지 장치(120)는 제 3 계층을 통해 수신되는 패킷 데이터의 양이 기설정된 임계치를 초과하지 않으면(S342), 제 4 계층을 통해 수신되는 패킷 데이터의 양이 기설정된 임계치를 초과하는지의 여부를 판단할 수 있다(S350).
단계 S350에서 네트워크 공격 탐지 장치(120)는 제 4 계층을 통해 수신되는 패킷 데이터의 양이 기설정된 임계치를 초과하는지의 여부를 판단할 수 있다. 이 때, 네트워크 공격 탐지 장치(120)는 제 4 계층을 통해 수신되는 패킷 데이터의 양이 기설정된 임계치를 초과하면(S351), 패킷 데이터를 차단하거나 기설정된 공격 대응 정책에 따른 레이트 리미트 기능을 수행할 수 있다(S380). 또는, 네트워크 공격 탐지 장치(120)는 제 4 계층을 통해 수신되는 패킷 데이터의 양이 기설정된 임계치를 초과하지 않으면(S352), 제 7 계층을 통해 수신되는 패킷 데이터의 양이 기설정된 임계치를 초과하는지의 여부를 판단할 수 있다(S360).
단계 S360에서 네트워크 공격 탐지 장치(120)는 제 7 계층을 통해 수신되는 패킷 데이터의 양이 기설정된 임계치를 초과하는지의 여부를 판단할 수 있다. 이 때, 네트워크 공격 탐지 장치(120)는 제 7 계층을 통해 수신되는 패킷 데이터의 양이 기설정된 임계치를 초과하면(S361), 패킷 데이터를 차단하거나 기설정된 공격 대응 정책에 따른 레이트 리미트 기능을 수행할 수 있다(S380). 또는, 네트워크 공격 탐지 장치(120)는 제 7 계층을 통해 수신되는 패킷 데이터의 양이 기설정된 임계치를 초과하지 않으면(S362), 패킷 데이터를 외부 장치로 전송할 수 있다(S370).
상술한 설명에서, 단계 S310 내지 S380은 본 발명의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 전환될 수도 있다.
도 4는 본 발명의 일 실시예에 따른 네트워크 공격 탐지 장치에서 네트워크 공격을 탐지하는 방법의 순서도이다. 도 4에 도시된 실시예에 따른 네트워크 공격 탐지 장치(120)에 의해 수행되는 네트워크 공격을 탐지하는 방법은 도 1 내지 도 3에 도시된 실시예에 따른 네트워크 공격 탐지 장치(120)에서 시계열적으로 처리되는 단계들을 포함한다. 따라서, 이하 생략된 내용이라고 하더라도 도 1 내지 도 3에 도시된 실시예에 따른 네트워크 공격 탐지 장치(120)에 의해 수행되는 네트워크 공격을 탐지하는 방법에도 적용된다.
단계 S410에서 네트워크 공격 탐지 장치(120)는 외부 장치로 유입되는 패킷 데이터를 수신할 있다.
단계 S420에서 네트워크 공격 탐지 장치(120)는 유해 패킷에 관한 정보를 포함하는 기저장된 시그니처의 관계 정보에 기초하여 수신된 패킷 데이터를 분석하여 시그니처가 포함되어 있는지 여부를 탐지할 수 있다.
단계 S430에서 네트워크 공격 탐지 장치(120)는 복수의 계층 별로 패킷 데이터를 분석하여 네트워크 공격 여부를 탐지할 수 있다.
단계 S440에서 네트워크 공격 탐지 장치(120)는 탐지 결과에 따라 외부 장치로 패킷 데이터를 전송할 수 있다.
도 4에서는 도시되지 않았으나, 네트워크 공격 탐지 장치(120)는 시그니처가 포함되어 있는지 여부를 탐지하는 단계에서, 시그니처를 구성하는 복수의 부분 시그니처 각각에 포함된 기설정된 크기의 데이터를 복수의 부분 시그니처 각각의 키 바이트로서 마스킹하는 단계 및 각각의 키 바이트를 복수의 부분 시그니처 간의 관계 정보로서 저장하는 단계를 더 포함할 수 있다.
도 4에서는 도시되지 않았으나, 네트워크 공격 탐지 장치(120)는 시그니처가 포함되어 있는지 여부를 탐지하는 단계에서, 수신된 패킷 데이터로부터 기설정된 크기의 데이터를 추출하는 단계, 추출된 데이터를 주소로 사용하여 저장된 관계 정보를 로드하는 단계 및 로드된 관계 정보와 패킷 데이터를 비교하는 단계를 더 포함할 수 있다.
상술한 설명에서, 단계 S410 내지 S440은 본 발명의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 전환될 수도 있다.
도 5는 본 발명의 일 실시예에 따른 산업 현장에서 이용되는 네트워크 공격 탐지 시스템의 구성도이다. 도 5를 참조하면, 산업 현장에서 이용되는 네트워크 공격 탐지 시스템은 복수의 제 1 외부 장치(110), 네트워크 공격 탐지 장치(120) 및 제 2 외부 장치(130)를 포함할 수 있다.
복수의 제 1 외부 장치(110)는 생산 현장에 구비된 서버 또는 장치를 포함하며, 생산 현장에서 발생된 패킷 데이터를 네트워크 공격 탐지 장치(120)를 거쳐 제 2 외부 장치(130)로 전송할 수 있다.
네트워크 공격 탐지 장치(120)는 제 2 외부 장치(130)로 전송될 패킷 데이터를 복수의 제 1 외부 장치(110)로부터 수신하여, 유해 패킷에 관한 정보를 포함하는 기저장된 시그니처의 관계 정보에 기초하여 수신된 패킷 데이터를 분석하여 시그니처가 포함되어 있는지 여부를 탐지할 수 있다. 또한, 네트워크 공격 탐지 장치(120)는 복수의 계층 별로 패킷 데이터를 분석하여 네트워크 공격 여부를 탐지할 수 있다.
네트워크 공격 탐지 장치(120)는 복수의 제 1 외부 장치(110)로부터 수신한 패킷 데이터에 네트워크 공격이 탐지된 경우, 네트워크 공격에 대응하기 위한 정책을 반영하여 제 2 외부 장치(130)로 유입되는 패킷 데이터 중 선택적으로 패킷 데이터를 추출하여 수신할 수 있다.
제 2 외부 장치(130)는 본사에 구비된 서버 또는 장치를 포함하며, 생산 현장에서 발생된 패킷 데이터를 네트워크 공격 탐지 장치(120)를 통해 수신할 수 있다.
도 1 내지 도 5를 통해 설명된 네트워크 공격 탐지 장치에서 네트워크 공격을 탐지하는 방법은 컴퓨터에 의해 실행되는 매체에 저장된 컴퓨터 프로그램 또는 컴퓨터에 의해 실행 가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 또한, 1 내지 도 5를 통해 설명된 네트워크 공격 탐지 장치에서 네트워크 공격을 탐지하는 방법은 컴퓨터에 의해 실행되는 매체에 저장된 컴퓨터 프로그램의 형태로도 구현될 수 있다.
컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체를 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
110: 제 1 외부 장치
120: 네트워크 공격 탐지 장치
130: 제 2 외부 장치
210: 수신부
220: 제 1 탐지부
230: 제 2 탐지부
240: 전송부

Claims (14)

  1. 네트워크 공격을 탐지하는 장치에 있어서,
    외부 장치로 유입되는 패킷 데이터를 수신하는 수신부;
    유해 패킷에 관한 정보를 포함하는 기저장된 시그니처의 관계 정보에 기초하여 상기 수신된 패킷 데이터를 분석하여 상기 시그니처가 포함되어 있는지 여부를 탐지하는 제 1 탐지부;
    복수의 계층 별로 상기 패킷 데이터를 분석하여 네트워크 공격 여부를 탐지하는 제 2 탐지부; 및
    상기 제 1 탐지부 및 상기 제 2 탐지부의 결과에 따라 상기 외부 장치로 상기 패킷 데이터를 전송하는 전송부
    를 포함하고,
    상기 관계 정보는 상기 시그니처를 구성하는 각 데이터 간의 상관 관계인 것인, 네트워크 공격 탐지 장치.
  2. 제 1 항에 있어서,
    상기 네트워크 공격 탐지 장치는 산업용 IoT(Internet Of Things) 장치로 연속적으로 유입되는 패킷 데이터에 대해 상기 복수의 계층에서 패킷 필터링을 실시하여 디도스(DDos) 여부를 탐지하는 보안 게이트웨이인 것인, 네트워크 공격 탐지 장치.
  3. 제 1 항에 있어서,
    상기 제 1 탐지부는 상기 시그니처를 구성하는 복수의 부분 시그니처 각각에 포함된 기설정된 크기의 데이터를 상기 복수의 부분 시그니처 각각의 키 바이트로서 마스킹하고, 상기 각각의 키 바이트를 상기 복수의 부분 시그니처 간의 관계 정보로서 저장하는 것인, 네트워크 공격 탐지 장치.
  4. 제 3 항에 있어서,
    상기 제 1 탐지부는 상기 수신된 패킷 데이터로부터 기설정된 크기의 데이터를 추출하고, 상기 추출된 데이터를 주소로 사용하여 상기 저장된 관계 정보를 로드하고, 상기 로드된 관계 정보와 상기 패킷 데이터를 비교하는 것인, 네트워크 공격 탐지 장치.
  5. 제 1 항에 있어서,
    상기 제 2 탐지부는 제 3 계층, 제 4 계층 및 제 7 계층 중 적어도 하나를 통해 수신되는 패킷 데이터의 양이 기설정된 임계치를 초과하는지 여부를 판단하는 것인, 네트워크 공격 탐지 장치.
  6. 제 5 항에 있어서,
    상기 제 2 탐지부는 상기 수신되는 패킷 데이터의 양이 기설정된 임계치를 초과하는 경우, 상기 수신되는 패킷 데이터를 차단하거나 기설정된 레이트 리미트(rate-limit)를 설정하는 공격 대응 정책을 적용시키는 것인, 네트워크 공격 탐지 장치.
  7. 제 6 항에 있어서,
    상기 제 2 탐지부는 상기 수신된 패킷 데이터 및 상기 수신된 패킷 데이터의 송수신 정보 중 적어도 하나에 기초하여 기저장된 탐지 정보를 로드하고, 상기 로드된 탐지 정보와 상기 패킷 데이터의 송수신 정보를 비교하고,
    상기 탐지 정보는 상기 유해한 패킷 데이터와 관련된 송신자 IP, 수신자 IP, 상기 송신자 IP를 통해 수신된 패킷 데이터의 수신 시간 및 현재 수신 중인 패킷 데이터와 같은 주소 또는 상기 주소의 조합으로 수신된 패킷 데이터의 수 중 적어도 하나를 포함하는 것인, 네트워크 공격 탐지 장치.
  8. 제 7 항에 있어서,
    상기 2 탐지부는 상기 비교 결과에 따라 상기 로드된 탐지 정보의 초기화, 누적, 및 상기 공격 대응 정책의 해제 중 적어도 하나를 결정하는 것인, 네트워크 공격 탐지 장치.
  9. 제 1 항에 있어서,
    상기 수신부는 상기 네트워크 공격에 대응하기 위한 정책을 반영하여 상기 외부 장치로 유입되는 패킷 데이터 중 선택적으로 패킷 데이터를 추출하여 수신하는 것인, 네트워크 공격 탐지 장치.
  10. 네트워크 공격을 탐지하는 방법에 있어서,
    외부 장치로 유입되는 패킷 데이터를 수신하는 단계;
    유해 패킷에 관한 정보를 포함하는 기저장된 시그니처의 관계 정보에 기초하여 상기 수신된 패킷 데이터를 분석하여 상기 시그니처가 포함되어 있는지 여부를 탐지하는 단계;
    복수의 계층 별로 상기 패킷 데이터를 분석하여 네트워크 공격 여부를 탐지하는 단계; 및
    상기 탐지 결과에 따라 상기 외부 장치로 상기 패킷 데이터를 전송하는 단계
    를 포함하고,
    상기 관계 정보는 상기 시그니처를 구성하는 각 데이터 간의 상관 관계인 것인, 네트워크 공격 탐지 방법.
  11. 제 10 항에 있어서,
    상기 시그니처가 포함되어 있는지 여부를 탐지하는 단계는
    상기 시그니처를 구성하는 복수의 부분 시그니처 각각에 포함된 기설정된 크기의 데이터를 상기 복수의 부분 시그니처 각각의 키 바이트로서 마스킹하는 단계; 및
    상기 각각의 키 바이트를 상기 복수의 부분 시그니처 간의 관계 정보로서 저장하는 단계
    를 포함하는 것인, 네트워크 공격 탐지 방법.
  12. 제 11 항에 있어서,
    상기 시그니처가 포함되어 있는지 여부를 탐지하는 단계는
    상기 수신된 패킷 데이터로부터 기설정된 크기의 데이터를 추출하는 단계;
    상기 추출된 데이터를 주소로 사용하여 상기 저장된 관계 정보를 로드하는 단계; 및
    상기 로드된 관계 정보와 상기 패킷 데이터를 비교하는 단계를 더 포함하는 것인, 네트워크 공격 탐지 방법.
  13. 네트워크 공격을 탐지하는 시스템에 있어서,
    제 1 외부 장치;
    네트워크 공격 탐지 장치; 및
    제 2 외부 장치를 포함하고,
    상기 제 1 외부 장치는 상기 제 2 외부 장치로 전송하기 위한 패킷 데이터를 상기 네트워크 공격 탐지 장치로 전송하고,
    상기 네트워크 공격 탐지 장치는 유해 패킷에 관한 정보를 포함하는 기저장된 시그니처의 관계 정보에 기초하여 상기 수신된 패킷 데이터를 분석하여 상기 시그니처가 포함되어 있는지 여부를 탐지하고, 복수의 계층 별로 상기 패킷 데이터를 분석하여 네트워크 공격 여부를 탐지하고, 상기 제 1 탐지부 및 상기 제 2 탐지부의 결과에 따라 상기 제 2 외부 장치로 상기 패킷 데이터를 전송하고,
    상기 제 2 외부 장치는 네트워크 공격 탐지 장치의 탐지 결과에 따라 상기 패킷 데이터를 수신하고,
    상기 관계 정보는 상기 복수의 부분 시그니처 각각을 구성하는 데이터 간의 상관 관계인 것인, 네트워크 공격 탐지 시스템.
  14. 제 13 항에 있어서,
    상기 제 2 외부 장치는 산업용 IoT(Internet Of Things) 장치를 포함하고,
    상기 네트워크 공격 탐지 장치는 상기 산업용 IoT(Internet Of Things) 장치로 연속적으로 유입되는 패킷 데이터에 대해 상기 복수의 계층에서 패킷 필터링을 실시하여 디도스(DDOS) 여부를 탐지하는 보안 게이트웨이인 것인, 네트워크 공격 탐지 시스템.
KR1020170008428A 2017-01-18 2017-01-18 네트워크 공격 탐지 장치, 네트워크 공격 탐지 방법 및 네트워크 공격 탐지 시스템 KR20180085157A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170008428A KR20180085157A (ko) 2017-01-18 2017-01-18 네트워크 공격 탐지 장치, 네트워크 공격 탐지 방법 및 네트워크 공격 탐지 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170008428A KR20180085157A (ko) 2017-01-18 2017-01-18 네트워크 공격 탐지 장치, 네트워크 공격 탐지 방법 및 네트워크 공격 탐지 시스템

Publications (1)

Publication Number Publication Date
KR20180085157A true KR20180085157A (ko) 2018-07-26

Family

ID=63047790

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170008428A KR20180085157A (ko) 2017-01-18 2017-01-18 네트워크 공격 탐지 장치, 네트워크 공격 탐지 방법 및 네트워크 공격 탐지 시스템

Country Status (1)

Country Link
KR (1) KR20180085157A (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020060231A1 (ko) * 2018-09-19 2020-03-26 주식회사 맥데이타 네트워크 보안 모니터링 방법, 네트워크 보안 모니터링 장치 및 시스템
KR20200033090A (ko) * 2018-09-19 2020-03-27 주식회사맥데이타 네트워크 보안 모니터링 방법, 네트워크 보안 모니터링 장치 및 시스템
WO2022065573A1 (ko) * 2020-09-23 2022-03-31 (주)노르마 블루투스 중간자 공격 탐지 시스템
KR20230087232A (ko) 2021-12-09 2023-06-16 국방과학연구소 Lid-ds 데이터 세트를 이용한 기계학습 알고리즘 성능 분석 방법 및 시스템

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020060231A1 (ko) * 2018-09-19 2020-03-26 주식회사 맥데이타 네트워크 보안 모니터링 방법, 네트워크 보안 모니터링 장치 및 시스템
KR20200033090A (ko) * 2018-09-19 2020-03-27 주식회사맥데이타 네트워크 보안 모니터링 방법, 네트워크 보안 모니터링 장치 및 시스템
KR20200033091A (ko) * 2018-09-19 2020-03-27 주식회사맥데이타 네트워크에 대한 인공지능 기반 이상 징후 검출 방법, 장치 및 시스템
KR20200033092A (ko) * 2018-09-19 2020-03-27 주식회사맥데이타 엣지 컴퓨팅 기반 네트워크 모니터링 방법, 장치 및 시스템
KR20200103580A (ko) * 2018-09-19 2020-09-02 주식회사맥데이타 엣지 컴퓨팅 기반 네트워크 모니터링 방법, 장치 및 시스템
WO2022065573A1 (ko) * 2020-09-23 2022-03-31 (주)노르마 블루투스 중간자 공격 탐지 시스템
KR20230087232A (ko) 2021-12-09 2023-06-16 국방과학연구소 Lid-ds 데이터 세트를 이용한 기계학습 알고리즘 성능 분석 방법 및 시스템

Similar Documents

Publication Publication Date Title
US11310285B2 (en) Adaptive network security policies
JP7212688B2 (ja) コンテキストリスク監視
CA2619772C (en) Apparatus and method for facilitating network security
US11271952B2 (en) Network probe and method of processing message
Maeda et al. A botnet detection method on SDN using deep learning
US20150052606A1 (en) Method and a system to detect malicious software
Cheng et al. Machine learning based low-rate DDoS attack detection for SDN enabled IoT networks
KR20180085157A (ko) 네트워크 공격 탐지 장치, 네트워크 공격 탐지 방법 및 네트워크 공격 탐지 시스템
KR20080056548A (ko) 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는네트워크 보안 장치 및 방법
CN112351012A (zh) 一种网络安全防护方法、装置及系统
US20140380457A1 (en) Adjusting ddos protection
KR100723864B1 (ko) 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는방법 및 그 장치
CN108616488B (zh) 一种攻击的防御方法及防御设备
EP2452466B1 (en) Apparatus and method for enhancing forwarding, classification, and monitoring of network traffic
JP4161989B2 (ja) ネットワーク監視システム
KR101308085B1 (ko) 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법
Ahmed et al. A Linux-based IDPS using Snort
Kareem et al. Entropy-based distributed denial of service attack detection in software-defined networking
KR20180085155A (ko) 유해 패킷 검사 장치 및 유해 패킷 검사 방법
Al-Haidari et al. An entropy-based countermeasure against intelligent DoS attacks targeting firewalls
US20230164176A1 (en) Algorithmically detecting malicious packets in ddos attacks
KR20230056639A (ko) 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법
KR101269988B1 (ko) 거부 로그 축약 데이터를 생성하기 위한 방법 및 장치
Misbahuddin et al. Dynamic IDP Signature processing by fast elimination using DFA
Agarwal TCP Stream Reassembly and Web based GUI for Sachet IDS

Legal Events

Date Code Title Description
N231 Notification of change of applicant