KR20190083458A - 네트워크 침입탐지시스템 및 그 방법 - Google Patents

네트워크 침입탐지시스템 및 그 방법 Download PDF

Info

Publication number
KR20190083458A
KR20190083458A KR1020180001114A KR20180001114A KR20190083458A KR 20190083458 A KR20190083458 A KR 20190083458A KR 1020180001114 A KR1020180001114 A KR 1020180001114A KR 20180001114 A KR20180001114 A KR 20180001114A KR 20190083458 A KR20190083458 A KR 20190083458A
Authority
KR
South Korea
Prior art keywords
conversation
traffic
profile
hosts
group
Prior art date
Application number
KR1020180001114A
Other languages
English (en)
Inventor
오상목
정수길
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020180001114A priority Critical patent/KR20190083458A/ko
Publication of KR20190083458A publication Critical patent/KR20190083458A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 그룹 프로파일 정보를 이용한 네트워크 침입탐지방법에 관한 것으로, 전체 네트워크 상에서 통신하는 호스트들을 미리 결정된 방식에 따라 그룹핑하여 복수의 Conversation 그룹을 형성하는 단계; 각 Conversation 그룹 내에 존재하는 두 호스트 간의 트래픽 패턴을 분석하여 Conversation 프로파일을 생성하는 단계; 각 Conversation 그룹 내에 존재하는 호스트들 간의 그룹 트래픽 패턴을 분석하여 Conversation Map 프로파일을 생성하는 단계; 및 상기 Conversation 프로파일 및 Conversation Map 프로파일 중 적어도 하나를 이용하여 네트워크로 침입하는 이상 트래픽을 탐지하는 단계를 포함한다.

Description

네트워크 침입탐지시스템 및 그 방법{NETWORK INTRUSION DETECTION SYSTEM AND METHOD THEREOF}
본 발명은 네트워크 침입탐지시스템 및 그 방법에 관한 것으로, 보다 구체적으로는, 그룹 프로파일(group profile) 정보를 이용하여 네트워크 상의 이상/유해 트래픽을 탐지할 수 있는 네트워크 침입탐지시스템 및 그 방법에 관한 것이다.
인터넷은 단일 매체를 통하여 수많은 정보를 공유하고 사회/문화/경제 교류를 확대하며, 편리한 생활을 제공하는 등 우리 생활의 다방면에서 삶의 질을 높여주는 긍정적인 효과를 제공하고 있다. 이는 인터넷을 중심으로 한 통신망의 수렴화 현상에 기인한 바가 크다. 그러나, 인터넷은 근본적으로 개방적인 네트워크 특성과 프로토콜(TCP/IP Protocol) 및 정보 시스템의 보안 취약성 등으로 인해서 악의적인 불법 침입에 의한 접근 정보의 오용 및 도청, 위조 및 변조 행위들에 노출되어 있다. 이러한 문제점들은 비록 개인뿐만 아니라 기업과 정부 등 국가 기반에 까지 영향을 끼쳐, 향후 큰 사회 문제로까지 발전할 가능성이 있으며, 나아가 사이버 전쟁을 위한 도구로까지 악용될 소지가 있다.
이러한 인터넷의 취약점과 침해 행위를 탐지하고 대응하기 위해서 인터넷 정보보호기술이 적극적으로 개발되고 있다. 인터넷을 안전하게 보호하기 위한 기술에는 크게 응용 서비스 보호 기술과 네트워크 보안 기술이 있다.
응용 서비스 보호 기술에는 최근 전자상거래의 확산에 따라 전자서명, 키 관리, 인증서비스를 제공하기 위한 암호화 기술, 인증기술, 전자서명, PKI, WPKI 등이 있다. 응용 서비스를 보호하기 위한 시스템들로는 취약성 분석 시스템(Vulnerability Scanner), 바이러스 백신, AAA (Authentication, Authorization & Accounting) 서버 등이 있다.
네트워크 보안 기술은 네트워크 인프라에 대한 침해와 네트워크 노드의 비정상적인 동작으로 인한 마비 현상을 방지하고 응용 서비스의 연속성을 제공하는 수단이다. 이러한 네트워크 보안을 위한 시스템으로는 침입차단시스템(Firewall), 침입탐지시스템(Intrusion Detection System :IDS), 가상사설망시스템 등이 있다.
예를 들어, 도 1에 도시된 바와 같이, 현재 인터넷에 적용된 네트워크 보안 시스템으로는, 허가되지 않은 트래픽에 대하여 내부망으로의 패킷 유입을 차단하는 침입차단시스템, 입력 패킷들을 분석하여 유해한 것을 고르는 침입탐지시스템(IDS), 통신 당사자간의 비밀채널 구성을 지원하는 VPN 시스템, 바이러스와 웜을 차단하기 위한 바이러스 월 시스템(virus wall), 네트워크의 취약점을 미리 분석하여 보완하는 스캐너(scanner) 등이 있다.
기존의 네트워크 보안 시스템은 TMS(TMS(Traffic Management System)를 통해 네트워크 장비에서 제공하는 IP 플로우 정보를 모니터링하여 네트워크를 관제할 수 있다. 또한, 네트워크 보안 시스템은 NBA(Network Behavior Analysis)를 통해 클라이언트/호스트 별 네트워크 사용 행위를 모니터링하여 네트워크를 관제할 수 있다.
하지만, 기존의 네트워크 보안 시스템을 통해 IP 플로우 정보 및 네트워크 사용 행위를 모니터링하는 것만으로는 APT(Advanced Persistent Threat) 공격 등과 같은 고도로 지능화된 네트워크 공격을 탐지할 수 없는 문제가 있다. 또한, 기존의 네트워크 보안 시스템은 유해 주소 차단과 이미 알려진 취약점 공격 탐지 등과 같은 제한적인 보안 기능만을 가지고 있어서 다양하고 복잡해지는 최근의 네트워크 공격에 대해서 효과적인 대응이 어려운 문제가 있다.
본 발명은 전술한 문제 및 다른 문제를 해결하는 것을 목적으로 한다. 또 다른 목적은 네트워크 상에 존재하는 두 호스트 간의 트래픽 패턴을 모델링하여 Conversation 프로파일을 생성하고, 상기 Conversation 프로파일을 이용하여 네트워크로 침입하는 이상/유해 트래픽을 탐지할 수 있는 네트워크 침입탐지시스템 및 그 방법을 제공함에 있다.
또 다른 목적은 네트워크 상에 존재하는 Conversation 그룹의 트래픽 패턴을 모델링하여 Conversation Map 프로파일을 생성하고, 상기 Conversation Map 프로파일을 이용하여 네트워크로 침입하는 이상/유해 트래픽을 탐지할 수 있는 네트워크 침입탐지시스템 및 그 방법을 제공함에 있다.
상기 또는 다른 목적을 달성하기 위해 본 발명의 일 측면에 따르면, 전체 네트워크 상에서 통신하는 호스트들을 미리 결정된 방식에 따라 그룹핑하여 복수의 Conversation 그룹을 형성하는 단계; 각 Conversation 그룹 내에 존재하는 두 호스트 간의 트래픽 패턴을 분석하여 Conversation 프로파일을 생성하는 단계; 각 Conversation 그룹 내에 존재하는 호스트들 간의 그룹 트래픽 패턴을 분석하여 Conversation Map 프로파일을 생성하는 단계; 및 상기 Conversation 프로파일 및 Conversation Map 프로파일 중 적어도 하나를 이용하여 네트워크로 침입하는 이상 트래픽(Anomaly traffic)을 탐지하는 단계를 포함하는 네트워크 침입탐지방법을 제공한다.
좀 더 바람직하게는, 상기 복수의 Conversation 그룹 형성 단계는, 호스트들 간에 송/수신되는 트래픽 정보를 기반으로 그룹핑하여 복수의 Conversation 그룹을 형성하는 것을 특징으로 한다. 또한, 상기 복수의 Conversation 그룹 형성 단계는, 호스트들이 위치하는 로컬 네트워크 영역들을 기반으로 그룹핑하여 복수의 Conversation 그룹을 형성하는 것을 특징으로 한다.
좀 더 바람직하게는, 상기 Conversation 프로파일 생성 단계는, 두 호스트 간의 트래픽 패턴을 애플리케이션 별로 분석하여 각 애플리케이션의 트래픽 패턴에 관한 Conversation 프로파일을 생성하는 것을 특징으로 한다. 또한, 상기 Conversation 프로파일 생성 단계는, 신규 애플리케이션 추가 시, 신규 애플리케이션의 트래픽 패턴을 분석하여 해당 애플리케이션의 트래픽 패턴에 관한 Conversation 프로파일을 생성하는 것을 특징으로 한다.
좀 더 바람직하게는, 상기 Conversation Map 프로파일 생성 단계는, 호스트들 간의 그룹 트래픽 패턴을 애플리케이션 별로 분석하여 각 애플리케이션의 그룹 트래픽 패턴에 관한 Conversation Map 프로파일을 생성하는 것을 특징으로 한다. 또한, 상기 Conversation Map 프로파일 생성 단계는, 신규 애플리케이션 추가 시, 상기 신규 애플리케이션의 그룹 트래픽 패턴을 분석하여 해당 애플리케이션의 그룹 트래픽 패턴에 관한 Conversation Map 프로파일을 생성하는 것을 특징으로 한다. 또한, 상기 Conversation Map 프로파일 생성 단계는, 신규 호스트 추가 시, 상기 신규 호스트가 추가된 Conversation 그룹의 트래픽 패턴을 분석하여 Conversation Map 프로파일을 업데이트하는 것을 특징으로 한다.
좀 더 바람직하게는, 상기 네트워크 침입탐지방법은 Conversation 프로파일 및 Conversation Map 프로파일을 데이터베이스에 저장하여 관리하는 단계를 더 포함할 수 있다. 또한, 상기 네트워크 침입탐지방법은 네트워크 상에서 통신하는 호스트들의 트래픽을 모니터링하는 단계를 더 포함할 수 있다.
좀 더 바람직하게는, 상기 이상 트래픽 탐지 단계는, 두 호스트 간의 트래픽이 Conversation 프로파일에 대응하는 트래픽 패턴의 정상 범위를 벗어나는 경우, 상기 두 호스트 간의 트래픽을 이상 트래픽으로 감지하는 것을 특징으로 한다. 또한, 상기 이상 트래픽 탐지 단계는, Conversation 그룹에 존재하는 호스트들 간의 트래픽이 Conversation Map 프로파일에 대응하는 트래픽 패턴의 정상 범위를 벗어나는 경우, 상기 호스트들 간의 트래픽을 이상 트래픽으로 감지하는 것을 특징으로 한다.
본 발명의 다른 측면에 따르면, 전체 네트워크 상에서 통신하는 호스트들을 미리 결정된 방식에 따라 그룹핑하여 복수의 Conversation 그룹을 형성하는 과정; 각 Conversation 그룹 내에 존재하는 두 호스트 간의 트래픽 패턴을 분석하여 Conversation 프로파일을 생성하는 과정; 각 Conversation 그룹 내에 존재하는 호스트들 간의 그룹 트래픽 패턴을 분석하여 Conversation Map 프로파일을 생성하는 과정; 및 상기 Conversation 프로파일 및 Conversation Map 프로파일 중 적어도 하나를 이용하여 네트워크로 침입하는 이상 트래픽(Anomaly traffic)을 탐지하는 과정이 컴퓨터 상에서 수행되도록 하는 프로그램을 기록한 컴퓨터 판독 가능한 기록매체를 제공한다.
본 발명의 또 다른 측면에 따르면, 전체 네트워크 상에 존재하는 호스트들 간의 트래픽 정보를 수집하는 데이터 수집부; 상기 수집된 트래픽 정보를 분석하여 상기 호스트들 간의 트래픽 패턴을 검출하는 트래픽 패턴 검출부; Conversation 그룹에 존재하는 두 호스트 간의 트래픽 패턴에 관한 Conversation 프로파일과 상기 Conversation 그룹에 존재하는 호스트들 간의 그룹 트래픽 패턴에 관한 Conversation Map 프로파일을 생성하는 프로파일 생성부; 및 상기 Conversation 프로파일 및 Conversation Map 프로파일 중 적어도 하나를 이용하여 네트워크로 침입하는 이상 트래픽(Anomaly traffic)을 탐지하는 이상 탐지부를 포함하는 네트워크 침입탐지시스템을 제공한다.
본 발명의 실시 예들에 따른 네트워크 침입탐지시스템 및 그 방법의 효과에 대해 설명하면 다음과 같다.
본 발명의 실시 예들 중 적어도 하나에 의하면, 전체 네트워크 상에 존재하는 호스트들에 관한 그룹 프로파일 정보를 이용하여 이상/유해 트래픽을 탐지함으로써, 호스트 단위의 트래픽 관제 시 전체 네트워크 상의 트래픽 특성을 고려하지 못하는 단점을 보완할 수 있다.
또한, 본 발명의 실시 예들 중 적어도 하나에 의하면, 전체 네트워크 상에 존재하는 호스트들에 관한 그룹 프로파일 정보를 이용하여 이상/유해 트래픽을 탐지함으로써, APT(Advanced Persistent Threat) 공격 등과 같은 고도로 지능화된 네트워크 공격을 효과적으로 탐지할 수 있다.
다만, 본 발명의 실시 예들에 따른 네트워크 침입탐지시스템 및 그 방법이 달성할 수 있는 효과는 이상에서 언급한 것들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 종래 기술에 따른 네트워크 보안 시스템의 구성도;
도 2는 본 발명의 일 실시 예에 따른 네트워크 침입탐지시스템의 구성도;
도 3은 Conversation 프로파일 및 Conversation Map 프로파일을 설명하기 위해 참조되는 도면;
도 4a는 본 발명의 일 실시 예에 따른 프로파일 생성부의 구성도;
도 4b는 본 발명의 일 실시 예에 따른 프로파일 관리부의 구성도;
도 5는 Conversation 프로파일의 생성 방법을 설명하기 위해 참조되는 도면;
도 6은 Conversation Map 프로파일의 생성 방법을 설명하기 위해 참조되는 도면;
도 7은 본 발명의 일 실시 예에 따른 네트워크 침입탐지방법을 설명하는 순서도;
도 8은 시 계열 데이터를 STR로 분해하여 트래픽 특성을 분석하는 방법을 설명하기 위해 참조되는 도면;
도 9는 본 발명의 일 실시 예에 따른 프로파일 생성부의 상세 구성도.
이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시 예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 이하의 설명에서 사용되는 구성요소에 대한 접미사 "모듈" 및 "부"는 명세서 작성의 용이함만이 고려되어 부여되거나 혼용되는 것으로서, 그 자체로 서로 구별되는 의미 또는 역할을 갖는 것은 아니다. 즉, 본 발명에서 사용되는 '부'라는 용어는 소프트웨어, FPGA 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '부'는 어떤 역할들을 수행한다. 그렇지만 '부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로 코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '부'들로 결합되거나 추가적인 구성요소들과 '부'들로 더 분리될 수 있다.
또한, 본 명세서에 개시된 실시 예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 실시 예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 명세서에 개시된 실시 예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 명세서에 개시된 기술적 사상이 제한되지 않으며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
일반적인 침입탐지시스템은 분석 대상에서 추출한 정보를 이용해서 침입 여부를 판단하는데, 이때 사용하는 침입탐지방식에 따라 오용 탐지(misuse detection) 방식과 비정상행위 탐지(anomaly detection) 방식으로 나눌 수 있다.
오용탐지 방식은 알려져 있는 공격 행위로부터 특정 시그니처(signature)를 추출해내고, 분석 대상에 그런 시그니처가 존재하는지를 확인하여, 존재할 경우 침입임을 판단하는 방식이다. 그렇기 때문에, 알려져 있는 공격에 대한 시그니처 목록을 유지해야 하고, 이 목록을 얼마나 최신의 버전으로 유지하느냐에 따라 새로 나온 공격의 탐지율이 달라지게 된다. 바이러스 백신이 알려진 바이러스의 시그니처를 유지하고, 그 시그니처를 기반으로 바이러스를 탐지하는 것과 유사한 방식이다.
비정상행위 탐지 방식은 기존의 네트워크 사용 상황을 기반으로 정상적인 행위의 범위를 정의해두고, 이러한 정상적인 행위에 어긋나는 모든 행위를 비정상행위로 규정하고 탐지한다. 비정상행위 탐지 방식은 정상적인 행위의 범위를 정의하는 것이 가장 중요하면서도 모호한데, 가장 쉽게 접근할 수 있는 방법이 통계적인 방법에 기반하는 것이다. 일정 시간 네트워크 상황을 모니터링하면서 모니터링하는 네트워크의 사용 상황을 통계적으로 분석하여 그러한 통계에 비해 비정상적인 상황이 나타날 경우를 탐지하는 방식이다.
본 명세서에서 설명하는 네트워크 침입탐지시스템은 상술한 두 가지의 침입 탐지 방식 중 비정상행위 탐지 방식을 사용한다. 즉, 본 발명은 네트워크 상에 존재하는 두 호스트 간의 트래픽 패턴을 모델링하여 Conversation 프로파일을 생성하고, 상기 Conversation 프로파일을 이용하여 네트워크로 침입하는 이상/유해 트래픽을 탐지하는 방안을 제안한다. 또한, 본 발명은 네트워크 상에 존재하는 Conversation 그룹의 트래픽 패턴을 모델링하여 Conversation Map 프로파일을 생성하고, 상기 Conversation Map 프로파일을 이용하여 네트워크로 침입하는 이상/유해 트래픽을 탐지하는 방안을 제안한다.
이하에서는, 본 발명의 다양한 실시 예들에 대하여, 도면을 참조하여 상세히 설명한다.
도 2는 본 발명의 일 실시 예에 따른 네트워크 침입탐지시스템의 구성도이다.
도 2를 참조하면, 본 발명에 따른 네트워크 침입탐지시스템(100)은 데이터 수집부(110), 정책 관리부(Policy Management, 120), 트래픽 패턴 검출부(130), 프로파일 생성부(140), 프로파일 관리부(150) 및 이상 탐지부(Anomaly Detector, 160)를 포함할 수 있다. 도 2에 도시된 구성요소들은 네트워크 침입탐지시스템을 구현하는데 있어서 필수적인 것은 아니어서, 본 명세서상에서 설명되는 네트워크 침입탐지시스템은 위에서 열거된 구성요소들보다 많거나 또는 적은 구성요소들을 가질 수 있다.
네트워크 침입탐지시스템(100)은 네트워크의 트래픽 사용 패턴을 분석하여 이상/유해 트래픽을 탐지할 수 있다. 상기 네트워크 침입탐지시스템(100)은 하나 이상의 그룹 프로파일 정보(또는 사내망 프로파일 정보)를 생성 및 관리하고, 상기 그룹 프로파일 정보를 이용하여 네트워크 상에 발생하는 이상/유해 트래픽을 실시간으로 탐지할 수 있다. 상기 그룹 프로파일 정보는 Conversation 프로파일 정보와 Conversation Map 프로파일 정보를 포함할 수 있다.
데이터 수집부(110)는 전체 네트워크 상에 존재하는 호스트들 간의 트래픽 정보를 수집할 수 있다. 일 예로, 데이터 수집부(110)는 호스트들 간에 송수신되는 IP 플로우 정보를 수집할 수 있다. 이러한 트래픽 정보는 그룹 프로파일 정보를 생성하는데 사용된다.
정책 관리부(120)는 네트워크 보안 정책을 관리하는 기능을 수행할 수 있다. 본 실시 예에서, 상기 정책 관리부(120)는 네트워크 사용 행위를 분석하기 위한 정책과 그룹 프로파일을 생성 및 관리하기 위한 정책 등을 관리할 수 있다. 또한, 상기 정책 관리부(110)는 그룹 프로파일을 이용한 이상 탐지 정책을 관리할 수 있다.
트래픽 패턴 검출부(130)는 네트워크 상에 존재하는 호스트들 간의 트래픽 특성을 분석하여 트래픽 패턴을 검출하는 기능을 수행할 수 있다. 상기 트래픽 패턴 검출부(130)는 Conversation 그룹 내에 존재하는 두 호스트(host) 간의 트래픽 특성을 분석하여 트래픽 패턴을 검출할 수 있다. 또한, 상기 트래픽 패턴 검출부(130)는 Conversation 그룹 내에 존재하는 호스트들 간의 트래픽 특성을 분석하여 트래픽 패턴을 검출할 수 있다.
프로파일 생성부(140)는 하나 이상의 그룹 프로파일을 생성하는 기능을 수행할 수 있다. 상기 프로파일 생성부(140)는 네트워크 상에 존재하는 두 호스트(host) 간의 트래픽 패턴(traffic pattern)을 모델링하여 Conversation 프로파일들을 생성할 수 있다. 또한, 상기 프로파일 생성부(140)는 네트워크 상에 존재하는 Conversation 그룹들의 트래픽 패턴을 모델링하여 Conversation Map 프로파일들을 생성할 수 있다.
본 실시 예에서, Conversation Map 프로파일은 Conversation 그룹 내에 존재하는 호스트들 간의 트래픽 패턴에 관한 프로파일을 나타내고, Conversation 프로파일은 Conversation 그룹 내에 존재하는 두 호스트 간의 트래픽 패턴에 관한 프로파일을 나타낸다.
가령, 도 3에 도시된 바와 같이, 프로파일 생성부(140)는 네트워크 상에서 통신하는 호스트들을 미리 결정된 방식에 따라 그룹핑하여 복수의 Conversation 그룹들을 형성할 수 있다. 프로파일 생성부(140)는 각 Conversation 그룹 내에 존재하는 호스트들 간의 트래픽 패턴(이하, '그룹 트래픽 패턴'이라 칭함)을 분석하고, 상기 그룹 트래픽 패턴을 학습 및 모델링하여 Conversation Map 프로파일을 구성할 수 있다. 또한, 프로파일 생성부(140)는 각 Conversation 그룹 내에 존재하는 두 호스트 간의 트래픽 패턴을 분석하고, 상기 트래픽 패턴을 학습 및 모델링하여 Conversation 프로파일을 구성할 수 있다.
프로파일 관리부(Profile Manager, 150)는 하나 이상의 그룹 프로파일을 관리하는 기능을 수행할 수 있다. 상기 프로파일 관리부(150)는 네트워크 상에 존재하는 두 호스트(host) 간의 Conversation 프로파일들을 관리할 수 있다. 또한, 상기 프로파일 관리부(150)는 네트워크 상에 존재하는 Conversation 그룹들의 Conversation Map 프로파일들을 관리할 수 있다.
이상 탐지부(160)는 하나 이상의 그룹 프로파일(즉, Conversation 프로파일, Conversation Map 프로파일)을 이용하여 네트워크 상에서 발생하는 이상/유해 트래픽을 탐지하는 기능을 수행할 수 있다.
즉, Conversation 그룹 내에 존재하는 두 호스트 간의 트래픽이 Conversation 프로파일에 대응하는 트래픽 패턴의 정상 범위를 벗어나는 경우, 이상 탐지부(160)는 해당 Conversation 그룹 내에 존재하는 두 호스트 간의 트래픽을 이상/유해 트래픽으로 감지할 수 있다. 또한, 상기 Conversation 그룹 내에 존재하는 호스트들 간의 트래픽이 Conversation Map 프로파일에 대응하는 그룹 트래픽 패턴의 정상 범위를 벗어나는 경우, 이상 탐지부(160)는 해당 Conversation 그룹 내에 존재하는 호스트들 간의 트래픽을 이상/유해 트래픽으로 감지할 수 있다.
한편, 본 실시 예에서는, 트래픽 패턴 검출부(130)가 독립적으로 구성되는 것을 예시하고 있으나 이를 제한하지는 않으며, 상기 프로파일 생성부(140)와 일체로 구성될 수 있음은 당업자에게 자명할 것이다.
도 4a는 본 발명의 일 실시 예에 따른 프로파일 생성부의 구성도이고, 도 4b는 본 발명의 일 실시 예에 따른 프로파일 관리부의 구성도이다.
도 4a를 참조하면, 본 발명에 따른 프로파일 생성부(140)는 Conversation 프로파일 생성부(141)와 Conversation Map 프로파일 생성부(143) 중 적어도 하나를 포함할 수 있다.
Conversation 프로파일 생성부(141)는 전체 네트워크 상(또는 사내 망)에서 통신하는 호스트들을 미리 결정된 방식에 따라 그룹핑하여 복수의 Conversation 그룹들을 형성할 수 있다. 가령, Conversation 프로파일 생성부(141)는 호스트들 간에 송/수신되는 트래픽 정보를 기반으로 그룹핑하여 복수의 Conversation 그룹들을 형성할 수 있다. 또한, Conversation 프로파일 생성부(141)는 사내 망의 부서 또는 조직 등과 같은 로컬 네트워크 영역들을 기반으로 그룹핑하여 복수의 Conversation 그룹들을 형성할 수 있다.
Conversation 프로파일 생성부(141)는 각 Conversation 그룹 내에 존재하는 두 호스트를 검출하고, 두 호스트 간의 트래픽 패턴을 분석하여 Conversation 프로파일을 생성할 수 있다. 상기 Conversation 프로파일 생성부(141)는 한 쌍의 호스트 단위로 하나 이상의 Conversation 프로파일들을 생성할 수 있다.
Conversation 프로파일 생성부(141)는 두 호스트 간의 전체 트래픽 패턴(즉, 트래픽 총량)을 분석하여 해당 트래픽 패턴에 관한 Conversation 프로파일을 생성할 수 있다. 또한, Conversation 프로파일 생성부(141)는 두 호스트 간의 트래픽 패턴을 애플리케이션 별로 분석하여 애플리케이션 별 트래픽 패턴에 관한 Conversation 프로파일을 생성할 수 있다.
예를 들어, 도 5에 도시된 바와 같이, Conversation 프로파일 생성부(141)는 Conversation 그룹 내에 존재하는 제1 호스트(510)와 제2 호스트(520) 간의 전체 트래픽 패턴(530)을 분석하고, 상기 전체 트래픽 패턴(530)을 학습 및 모델링하여 Conversation 프로파일을 생성할 수 있다.
또한, Conversation 프로파일 생성부(141)는 제1 호스트(510)와 제2 호스트(520) 간의 트래픽 패턴을 애플리케이션 별로 분석하고, 상기 애플리케이션 별 트래픽 패턴(540~570)을 학습 및 모델링하여 Conversation 프로파일을 해당 애플리케이션 별로 생성할 수 있다. 즉, Conversation 프로파일 생성부(141)는 원격 접속 포트에 해당하는 트래픽 패턴(540)에 관한 제1 Conversation 프로파일, 제1 모니터링 에이전트 애플리케이션에 해당하는 트래픽 패턴(550)에 관한 제2 Conversation 프로파일, FTP(File Transfer Protocol)에 해당하는 트래픽 패턴(560)에 관한 제3 Conversation 프로파일, 제2 모니터링 에이전트 애플리케이션에 해당하는 트래픽 패턴(570)에 관한 제4 Conversation 프로파일을 생성할 수 있다.
Conversation 프로파일 생성부(141)는, 신규 애플리케이션 추가 시, 두 호스트 간의 전체 트래픽 패턴을 분석하여 Conversation 프로파일을 업데이트할 수 있다. 또한, 상기 Conversation 프로파일 생성부(141)는, 신규 애플리케이션 추가 시, 해당 애플리케이션의 트래픽 패턴을 분석하여 신규 애플리케이션의 트래픽 패턴에 관한 Conversation 프로파일을 생성할 수 있다.
한편, 다른 실시 예로, Conversation 프로파일 생성부(141)는 두 호스트 간의 트래픽 패턴을 미리 결정된 사용 목적 별로 분석하여, 목적 별 트래픽 패턴에 관한 Conversation 프로파일을 생성할 수 있다. 가령, Conversation 프로파일 생성부(141)는 관리 목적에 해당하는 트래픽 패턴에 관한 제1 Conversation 프로파일, 내부 통신 목적에 해당하는 트래픽 패턴에 관한 제2 Conversation 프로파일, 외부 통신 목적에 해당하는 트래픽 패턴에 관한 제3 Conversation 프로파일 등을 생성할 수 있다.
Conversation Map 프로파일 생성부(143)는 전체 네트워크 상에서 통신하는 호스트들을 미리 결정된 방식에 따라 그룹핑하여 복수의 Conversation 그룹들을 형성할 수 있다. 가령, Conversation Map 프로파일 생성부(143)는 호스트들 간에 송/수신되는 트래픽 정보를 기반으로 그룹핑하여 복수의 Conversation 그룹들을 형성할 수 있다. 또한, Conversation Map 프로파일 생성부(143)는 사내 망의 부서 또는 조직 등과 같은 로컬 네트워크 영역들을 기반으로 그룹핑하여 복수의 Conversation 그룹들을 형성할 수 있다.
Conversation Map 프로파일 생성부(143)는 각 Conversation 그룹 내에 존재하는 호스트들 간의 트래픽 패턴(즉, 그룹 트래픽 패턴)을 분석하여 Conversation Map 프로파일을 생성할 수 있다. 상기 Conversation Map 프로파일 생성부(143)는 Conversation 그룹 단위로 하나 이상의 Conversation Map 프로파일들을 생성할 수 있다.
Conversation Map 프로파일 생성부(143)는 각 Conversation 그룹 내에 존재하는 호스트들 간의 전체 트래픽 패턴(즉, 트래픽 총량)을 분석하여 해당 트래픽 패턴에 관한 Conversation Map 프로파일을 생성할 수 있다. 상기 Conversation Map 프로파일 생성부(143)는 네트워크 상에 존재하는 모든 Conversation 그룹들에 관한 Conversation Map 프로파일들을 생성할 수 있다.
예를 들어, 도 6의 (a) 및 (b)에 도시된 바와 같이, Conversation Map 프로파일 생성부(143)는 Conversation 그룹 내에 존재하는 제1 내지 제5 호스트(610~650) 간의 전체 트래픽 패턴(즉, 그룹 트래픽 지문, 655)을 분석하고, 상기 전체 트래픽 패턴(655)을 학습 및 모델링하여 Conversation Map 프로파일을 생성할 수 있다.
Conversation Map 프로파일 생성부(143)는 각 Conversation 그룹 내에 존재하는 호스트들 간의 그룹 트래픽 패턴을 애플리케이션 별로 분석하여 각 애플리케이션의 그룹 트래픽 패턴에 관한 Conversation Map 프로파일을 생성할 수 있다.
예를 들어, 도 6의 (a) 및 (c)에 도시된 바와 같이, Conversation Map 프로파일 생성부(143)는 제1 내지 제5 호스트(610~650) 간의 그룹 트래픽 패턴을 애플리케이션 별로 분석하고, 각 애플리케이션의 그룹 트래픽 패턴(660~690)을 학습 및 모델링하여 Conversation Map 프로파일을 생성할 수 있다. 즉, Conversation Map 프로파일 생성부(143)는 문서 전송 애플리케이션에 해당하는 그룹 트래픽 패턴(660)에 관한 제1 Conversation Map 프로파일, 원격 접속 포트에 해당하는 그룹 트래픽 패턴(670)에 관한 제2 Conversation Map 프로파일, FTP(File Transfer Protocol)에 해당하는 그룹 트래픽 패턴(680)에 관한 제3 Conversation Map 프로파일, 모니터링 에이전트 애플리케이션에 해당하는 그룹 트래픽 패턴(690)에 관한 제4 Conversation Map 프로파일을 생성할 수 있다.
Conversation Map 프로파일 생성부(143)는, 신규 애플리케이션 추가 시, 해당 Conversation 그룹의 전체 트래픽 패턴을 분석하여 Conversation Map 프로파일을 업데이트할 수 있다. 또한, 상기 Conversation Map 프로파일 생성부(143)는, 신규 애플리케이션 추가 시, 해당 애플리케이션의 그룹 트래픽 패턴을 분석하여 신규 애플리케이션의 그룹 트래픽 패턴에 관한 Conversation Map 프로파일을 생성할 수 있다.
Conversation Map 프로파일 생성부(143)는, 신규 호스트 추가 시, 해당 호스트가 추가된 Conversation 그룹의 트래픽 패턴을 분석하여 Conversation Map 프로파일을 업데이트할 수 있다. 또한, 상기 Conversation Map 프로파일 생성부(143)는, 신규 호스트 추가 시, 해당 호스트가 추가된 Conversation 그룹의 트래픽 패턴을 애플리케이션 별로 분석하여, 각 애플리케이션의 그룹 트래픽 패턴에 관한 Conversation Map 프로파일을 업데이트할 수 있다.
한편, 다른 실시 예로, Conversation Map 프로파일 생성부(143)는 Conversation 그룹 내에 존재하는 호스트들 간의 그룹 트래픽 패턴을 미리 결정된 사용 목적 별로 분석하여, 목적 별 그룹 트래픽 패턴에 관한 Conversation Map 프로파일을 생성할 수 있다. 가령, Conversation Map 프로파일 생성부(143)는 관리 목적에 해당하는 그룹 트래픽 패턴에 관한 제1 Conversation Map 프로파일, 내부 통신 목적에 해당하는 그룹 트래픽 패턴에 관한 제2 Conversation Map 프로파일, 외부 통신 목적에 해당하는 그룹 트래픽 패턴에 관한 제3 Conversation Map 프로파일 등을 생성할 수 있다.
한편, 도 4b를 참조하면, 본 발명에 따른 프로파일 관리부(150)는 Conversation 프로파일 관리부(151)와 Conversation Map 프로파일 관리부(153) 중 적어도 하나를 포함할 수 있다.
Conversation 프로파일 관리부(151)는 각 Conversation 그룹 내에 존재하는 두 호스트 간의 Conversation 프로파일들을 데이터베이스에 저장하여 관리할 수 있다. Conversation Map 프로파일 생성부(153)는 각 Conversation 그룹에 존재하는 호스트들 간의 Conversation Map 프로파일들을 데이터베이스에 저장하여 관리할 수 있다.
도 7은 본 발명의 일 실시 예에 따른 네트워크 침입탐지방법을 설명하는 순서도이다.
도 7을 참조하면, 본 발명에 따른 네트워크 침입탐지시스템(100)은 네트워크 상에 존재하는 호스트들 간의 트래픽(traffic)에 관한 정보를 수집할 수 있다(S710).
네트워크 침입탐지시스템(100)은 네트워크 상에서 통신하는 호스트들을 미리 결정된 방식에 따라 그룹핑하여 복수의 Conversation 그룹들을 형성할 수 있다(S720). 일 예로, 상기 네트워크 침입탐지시스템(100)은 호스트들 간에 송/수신되는 트래픽 정보를 기반으로 그룹핑하여 복수의 Conversation 그룹들을 형성할 수 있다. 또한, 상기 네트워크 침입탐지시스템(100)은 사내 망의 부서 또는 조직 등과 같은 로컬 네트워크 영역들을 기반으로 그룹핑하여 복수의 Conversation 그룹들을 형성할 수도 있다.
네트워크 침입탐지시스템(100)은 각 Conversation 그룹 내에 존재하는 두 호스트를 검출하고, 상기 두 호스트 간의 트래픽 패턴을 분석하여 Conversation 프로파일을 생성할 수 있다(S730). 또한, 상기 네트워크 침입탐지시스템(100)은 두 호스트 간의 트래픽 패턴을 애플리케이션 별로 분석하여 각 애플리케이션의 트래픽 패턴에 관한 Conversation 프로파일을 생성할 수 있다.
네트워크 침입탐지시스템(100)은 각각의 Conversation 그룹 내에 존재하는 두 호스트 간의 Conversation 프로파일들을 데이터베이스(DB)에 저장하여 관리할 수 있다.
네트워크 침입탐지시스템(100)은 각 Conversation 그룹 내에 존재하는 호스트들 간의 트래픽 패턴(즉, 그룹 트래픽 패턴)을 분석하여 Conversation Map 프로파일을 생성할 수 있다(S740). 또한, 상기 네트워크 침입탐지시스템(100)은 각 Conversation 그룹 내에 존재하는 호스트들 간의 그룹 트래픽 패턴을 애플리케이션 별로 분석하여 각 애플리케이션의 그룹 트래픽 패턴에 관한 Conversation Map 프로파일을 생성할 수 있다.
네트워크 침입탐지시스템(100)은 각각의 Conversation 그룹에 존재하는 호스트들 간의 Conversation Map 프로파일들을 데이터베이스에 저장하여 관리할 수 있다.
네트워크 침입탐지시스템(100)은 현재 네트워크 상에서 통신하는 호스트들의 트래픽을 모니터링할 수 있다(S750). 상기 네트워크 침입탐지시스템(100)은 현재 호스트들 간에 송/수신되는 트래픽의 특성을 분석하여 트래픽 패턴을 검출할 수도 있다.
일 예로, 도 8에 도시된 바와 같이, 현재의 네트워크 트래픽에 대응하는 시 계열 데이터에는 장기적으로 나타나는 변동 패턴인 추세(Trend)와, 주/월/분기/반기 등과 같은 시간 주기로 나타나는 패턴인 계절성(Seasonal)과, 단기적으로 나타나는 변동 패턴인 잔차/랜덤성(Residual/Random) 등의 패턴 요소들이 존재한다. 따라서, 네트워크 침입탐지시스템(100)은 현재의 네트워크 트래픽에 대응하는 시 계열 데이터를 STR(Seasonality/Trend/Residual) 성분으로 분해하여 트래픽 특성을 분석할 수 있다. 네트워크 침입탐지시스템(100)은 STR 성분을 이용하여 시 계열 데이터의 패턴을 산출할 수 있다.
네트워크 침입탐지시스템(100)은 Conversation 프로파일 및/또는 Conversation Map 프로파일을 이용하여 네트워크로 침입하는 이상/유해 트래픽을 탐지할 수 있다(S760).
일 예로, Conversation 그룹에 존재하는 두 호스트 간의 트래픽이 Conversation 프로파일에 대응하는 트래픽 패턴의 정상 범위를 벗어나는 경우, 네트워크 침입탐지시스템(100)는 상기 두 호스트 간의 트래픽을 이상/유해 트래픽으로 감지할 수 있다. 한편, Conversation 그룹에 존재하는 호스트들 간의 트래픽이 Conversation Map 프로파일에 대응하는 그룹 트래픽 패턴의 정상 범위를 벗어나는 경우, 네트워크 침입탐지시스템(100)는 해당 Conversation 그룹 내에 존재하는 호스트들 간의 트래픽을 이상/유해 트래픽으로 감지할 수 있다.
네트워크 침입탐지시스템(100)은, 이상/유해 트래픽 탐지 시, 해당 트래픽을 즉시 차단하고, 네트워크 침입 사실을 네트워크 운영자에게 보고할 수 있다.
이상 상술한 바와 같이, 본 발명에 따른 네트워크 침입탐지방법은 그룹 프로파일 정보를 이용하여 네트워크 상의 이상/유해 트래픽을 실시간으로 탐지함으로써, 호스트 단위의 트래픽 관제 시 전체 네트워크 상의 트래픽 특성을 고려하지 못하는 단점을 보완할 수 있다. 또한, 상기 네트워크 침입탐지방법은 네트워크 관제 업무를 고도화 및 효율화함으로써 통신 네트워크 서비스의 질을 향상시킬 수 있다.
도 9는 본 발명의 일 실시 예에 따른 프로파일 생성부의 상세 구성도이다.
도 9를 참조하면, 본 발명에 따른 프로파일 생성부(140)는 Conversation 프로파일 생성부(141)와 Conversation Map 프로파일 생성부(143) 중 적어도 하나를 포함할 수 있다. 상기 Conversation 프로파일 생성부(141/200)와 Conversation Map 프로파일 생성부(143/200)는 각각 프로파일 갱신부(210)와 프로파일 DB(220)를 포함할 수 있다.
프로파일 갱신부(210)는 현재 트래픽 패턴(Metric)과 기존 트래픽 패턴들(Old Metrics)을 이용하여 신규 트래픽 패턴을 생성하고, 이를 기반으로 프로파일을 업데이트할 수 있다. 상기 프로파일 갱신부(210)는 네트워크의 트래픽 패턴에 관한 학습 과정을 일정 시간 주기로 반복함으로써 프로파일을 갱신할 수 있다.
이러한 프로파일 갱신부(210)는 비교 프로세서(211)와 복수의 서브 프로세서들(213)을 포함할 수 있다.
비교 프로세서(211)는 프로파일 DB(220)에 저장된 기존 트래픽 패턴들(Old Metrics)을 실제 데이터(Raw Data)와 비교하여, 특정 오차 범위 내에 존재하는 기존 트래픽 패턴들만을 검출할 수 있다.
복수의 서브 프로세서들(213)은 프로파일 DB(220)에 저장된 기존 트래픽 패턴들(Old Metrics)을 현재의 트래픽 패턴에 반영하여 신규 트래픽 패턴을 생성할 수 있다. 이때, 상기 복수의 서브 프로세서들(213)은 비교 프로세서(211)에서 검출한 기존 트래픽 패턴들만을 현재의 트래픽 패턴에 반영하여 신규 트래픽 패턴을 생성할 수 있다.
전술한 본 발명은, 프로그램이 기록된 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 매체는, 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 매체의 예로는, HDD(Hard Disk Drive), SSD(Solid State Disk), SDD(Silicon Disk Drive), ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있다. 또한, 상기 컴퓨터는 단말기의 제어부(180)를 포함할 수도 있다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.
100: 네트워크 침입탐지시스템 110: 데이터 수집부
120: 정책 관리부 130: 프로파일 생성부
140: 이상 탐지부

Claims (14)

  1. 전체 네트워크 상에서 통신하는 호스트들을 미리 결정된 방식에 따라 그룹핑하여 복수의 Conversation 그룹을 형성하는 단계;
    각 Conversation 그룹 내에 존재하는 두 호스트 간의 트래픽 패턴을 분석하여 Conversation 프로파일을 생성하는 단계;
    각 Conversation 그룹 내에 존재하는 호스트들 간의 그룹 트래픽 패턴을 분석하여 Conversation Map 프로파일을 생성하는 단계; 및
    상기 Conversation 프로파일 및 Conversation Map 프로파일 중 적어도 하나를 이용하여 네트워크로 침입하는 이상 트래픽(Anomaly traffic)을 탐지하는 단계를 포함하는 네트워크 침입탐지방법.
  2. 제1항에 있어서, 상기 복수의 Conversation 그룹 형성 단계는,
    상기 호스트들 간에 송/수신되는 트래픽 정보를 기반으로 그룹핑하여 상기 복수의 Conversation 그룹을 형성하는 것을 특징으로 하는 네트워크 침입탐지방법.
  3. 제1항에 있어서, 상기 복수의 Conversation 그룹 형성 단계는,
    상기 호스트들이 위치하는 로컬 네트워크 영역들을 기반으로 그룹핑하여 상기 복수의 Conversation 그룹을 형성하는 것을 특징으로 하는 네트워크 침입탐지방법.
  4. 제1항에 있어서, 상기 Conversation 프로파일 생성 단계는,
    상기 두 호스트 간의 트래픽 패턴을 애플리케이션 별로 분석하여 각 애플리케이션의 트래픽 패턴에 관한 Conversation 프로파일을 생성하는 것을 특징으로 하는 네트워크 침입탐지방법.
  5. 제4항에 있어서, 상기 Conversation 프로파일 생성 단계는,
    신규 애플리케이션 추가 시, 상기 신규 애플리케이션의 트래픽 패턴을 분석하여 해당 애플리케이션의 트래픽 패턴에 관한 Conversation 프로파일을 생성하는 것을 특징으로 하는 네트워크 침입탐지방법.
  6. 제1항에 있어서, 상기 Conversation Map 프로파일 생성 단계는,
    상기 호스트들 간의 그룹 트래픽 패턴을 애플리케이션 별로 분석하여 각 애플리케이션의 그룹 트래픽 패턴에 관한 Conversation Map 프로파일을 생성하는 것을 특징으로 하는 네트워크 침입탐지방법.
  7. 제1항에 있어서, 상기 Conversation Map 프로파일 생성 단계는,
    신규 애플리케이션 추가 시, 상기 신규 애플리케이션의 그룹 트래픽 패턴을 분석하여 해당 애플리케이션의 그룹 트래픽 패턴에 관한 Conversation Map 프로파일을 생성하는 것을 특징으로 하는 네트워크 침입탐지방법.
  8. 제1항에 있어서, 상기 Conversation Map 프로파일 생성 단계는,
    신규 호스트 추가 시, 상기 신규 호스트가 추가된 Conversation 그룹의 트래픽 패턴을 분석하여 상기 Conversation Map 프로파일을 업데이트하는 것을 특징으로 하는 네트워크 침입탐지방법.
  9. 제1항에 있어서,
    상기 Conversation 프로파일 및 상기 Conversation Map 프로파일을 데이터베이스에 저장하여 관리하는 단계를 더 포함하는 네트워크 침입탐지방법.
  10. 제1항에 있어서,
    상기 네트워크 상에서 통신하는 호스트들의 트래픽을 모니터링하는 단계를 더 포함하는 네트워크 침입탐지방법.
  11. 제10항에 있어서, 상기 이상 트래픽 탐지 단계는,
    상기 두 호스트 간의 트래픽이 상기 Conversation 프로파일에 대응하는 트래픽 패턴의 정상 범위를 벗어나는 경우, 상기 두 호스트 간의 트래픽을 이상 트래픽으로 감지하는 것을 특징으로 하는 네트워크 침입탐지방법.
  12. 제10항에 있어서, 상기 이상 트래픽 탐지 단계는,
    상기 Conversation 그룹에 존재하는 호스트들 간의 트래픽이 상기 Conversation Map 프로파일에 대응하는 트래픽 패턴의 정상 범위를 벗어나는 경우, 상기 호스트들 간의 트래픽을 이상 트래픽으로 감지하는 것을 특징으로 하는 네트워크 침입탐지방법.
  13. 청구항 제1항 내지 제12항 중 어느 하나의 항에 따른 방법이 컴퓨터 상에서 수행되도록 하기 위한 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체.
  14. 전체 네트워크 상에 존재하는 호스트들 간의 트래픽 정보를 수집하는 데이터 수집부;
    상기 수집된 트래픽 정보를 분석하여 상기 호스트들 간의 트래픽 패턴을 검출하는 트래픽 패턴 검출부;
    Conversation 그룹에 존재하는 두 호스트 간의 트래픽 패턴에 관한 Conversation 프로파일과 상기 Conversation 그룹에 존재하는 호스트들 간의 그룹 트래픽 패턴에 관한 Conversation Map 프로파일을 생성하는 프로파일 생성부; 및
    상기 Conversation 프로파일 및 Conversation Map 프로파일 중 적어도 하나를 이용하여 네트워크로 침입하는 이상 트래픽(Anomaly traffic)을 탐지하는 이상 탐지부를 포함하는 네트워크 침입탐지시스템.
KR1020180001114A 2018-01-04 2018-01-04 네트워크 침입탐지시스템 및 그 방법 KR20190083458A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180001114A KR20190083458A (ko) 2018-01-04 2018-01-04 네트워크 침입탐지시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180001114A KR20190083458A (ko) 2018-01-04 2018-01-04 네트워크 침입탐지시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR20190083458A true KR20190083458A (ko) 2019-07-12

Family

ID=67254203

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180001114A KR20190083458A (ko) 2018-01-04 2018-01-04 네트워크 침입탐지시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR20190083458A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102437481B1 (ko) * 2021-11-26 2022-08-29 한국인터넷진흥원 5g 단독모드 네트워크 침입 탐지 시스템 및 방법
KR20230086976A (ko) 2021-12-09 2023-06-16 국방과학연구소 하이브리드 특징 선택과 데이터 균형을 통한 효율적인 네트워크 탐지 방법 및 시스템

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102437481B1 (ko) * 2021-11-26 2022-08-29 한국인터넷진흥원 5g 단독모드 네트워크 침입 탐지 시스템 및 방법
KR20230086976A (ko) 2021-12-09 2023-06-16 국방과학연구소 하이브리드 특징 선택과 데이터 균형을 통한 효율적인 네트워크 탐지 방법 및 시스템

Similar Documents

Publication Publication Date Title
US11693964B2 (en) Cyber security using one or more models trained on a normal behavior
EP3211854B1 (en) Cyber security
US7398389B2 (en) Kernel-based network security infrastructure
US7596807B2 (en) Method and system for reducing scope of self-propagating attack code in network
US6405318B1 (en) Intrusion detection system
US20050216956A1 (en) Method and system for authentication event security policy generation
Krishnan et al. An adaptive distributed intrusion detection system for cloud computing framework
EP4185975B1 (en) Detection of anomalous count of new entities
Onyshchenko et al. The Mechanism of Information Security of the National Economy in Cyberspace
KR20190083458A (ko) 네트워크 침입탐지시스템 및 그 방법
Sawant A comparative study of different intrusion prevention systems
CN116723048A (zh) 一种局域网内的通信系统及方法
Coulibaly An overview of intrusion detection and prevention systems
Saini et al. Vulnerability and Attack Detection Techniques: Intrusion Detection System
KR20190134287A (ko) 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법
Koch et al. Architecture for evaluating and correlating NIDS in real-World networks
Harale et al. Network based intrusion detection and prevention systems: Attack classification, methodologies and tools
Sandhu et al. A study of the novel approaches used in intrusion detection and prevention systems
Hajdarevic et al. A new method for the identification of proactive information security management system metrics
Gheorghică et al. A new framework for enhanced measurable cybersecurity in computer networks
Shanthi et al. A Comparative Study of Intrusion Detection and Prevention Systems for Cloud Environment
Gomathi et al. Identification of Network Intrusion in Network Security by Enabling Antidote Selection
Karthikeyan et al. Network Intrusion Detection System Based on Packet Filters
Singh et al. A Comparative Study of Intrusion Detection Tools for Wireless LAN
El Hayat Intrusion Detection Systems: To an Optimal Hybrid Intrusion Detection System