KR20200122054A - Harmful ip determining method - Google Patents

Harmful ip determining method Download PDF

Info

Publication number
KR20200122054A
KR20200122054A KR1020190044830A KR20190044830A KR20200122054A KR 20200122054 A KR20200122054 A KR 20200122054A KR 1020190044830 A KR1020190044830 A KR 1020190044830A KR 20190044830 A KR20190044830 A KR 20190044830A KR 20200122054 A KR20200122054 A KR 20200122054A
Authority
KR
South Korea
Prior art keywords
harmful
source
score
increasing
login
Prior art date
Application number
KR1020190044830A
Other languages
Korean (ko)
Other versions
KR102211503B1 (en
Inventor
임호문
정진환
우지석
권혜진
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020190044830A priority Critical patent/KR102211503B1/en
Publication of KR20200122054A publication Critical patent/KR20200122054A/en
Application granted granted Critical
Publication of KR102211503B1 publication Critical patent/KR102211503B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • H04L61/2015
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Abstract

The present invention relates to a harmful Internet protocol (IP) determination method for determining a source IP suspected of being harmful by analyzing a login-related packet. According to an embodiment of the present invention, a harmful IP determination method may comprise the steps of: collecting login packets; analyzing the login packets and classifying each source IP into a single attack IP or multiple attack IP according to the number of destination IPs attempted to access from the source IP; analyzing a login packet corresponding to the classified source IP to increase a harmful score for the source IP; and detecting a harmful IP from the increased harmful score for each source IP.

Description

유해 IP 판단 방법 {HARMFUL IP DETERMINING METHOD}How to determine harmful IP {HARMFUL IP DETERMINING METHOD}

본 발명은 유해 IP 판단 방법에 관한 것으로서, 보다 상세하게는 로그인 관련 패킷을 분석하여 유해한 것으로 의심되는 소스 IP를 판단하는 유해 IP 판단 방법에 관한 것이다.The present invention relates to a method for determining a harmful IP, and more particularly, to a method for determining a harmful IP to determine a source IP suspected of being harmful by analyzing a login-related packet.

통신 기술의 발달과 함께 다양한 장치들이 온라인으로 연결되며 대량의 데이터를 빠른 속도로 전송하게 되었다. 하지만, PC를 포함한 IT 디바이스들은 다양한 장비 및 어플리케이션으로 인해서 보안 홀(hole)이 늘어나고 있는 상황이고, 다양한 형태의 공격으로 인해 정확한 공격을 탐지하기란 매우 어려운 상황이다.With the development of communication technology, various devices are connected online, and a large amount of data is transmitted at high speed. However, in IT devices including PCs, security holes are increasing due to various equipment and applications, and it is very difficult to accurately detect attacks due to various types of attacks.

사용자가 온라인으로 생성한 자신의 계정을 증명하고 보안성을 강화하기 위한 방법으로서 ID와 비밀번호를 통한 계정 로그인 방법이 흔히 사용된다. 그러나, 사용자들이 로그인의 편의를 위하여 비밀번호를 단순히 설정하거나, 복수의 계정에 대해서 동일한 비밀번호를 사용하는 경우가 많다. 이러한 사용자의 ID 및 설정된 비밀번호의 보안 취약성을 노리는 공격자들은 예를 들어, 브루트 포스(Brute force)와 같이 ID와 비밀번호를 무차별 대입하여 사용자의 계정 보안을 무력화하는 방법을 사용할 수 있다.As a method to verify their account created by a user online and to enhance security, an account login method through an ID and password is commonly used. However, in many cases, users simply set a password for convenience of login or use the same password for a plurality of accounts. Attackers targeting the security vulnerabilities of the user's ID and set password can use a method such as brute force, which indiscriminately substitutes the ID and password to neutralize the user's account security.

이러한 공격자로부터 사용자를 보호하기 위하여, 다양한 네트워크 보안 장비와 네트워크 감시 방법을 통해 유해 IP(Internet Protocol) 주소를 탐지하려고 하나, 기존 보안장비의 브루트 포스 정책은 목적지 포트 기준의 트래픽 양을 기준으로 유해 IP를 탐지하기 때문에, 탐지의 정확성이 저하되고, 오탐률이 높은 문제점이 있다.To protect users from such attackers, various network security devices and network monitoring methods attempt to detect harmful IP (Internet Protocol) addresses, but the brute force policy of existing security devices is based on the amount of traffic based on the destination port. Since the IP is detected, the accuracy of detection is deteriorated and the false detection rate is high.

또한, 보안성을 높이고자 기존의 해외의 관문 구간에 분산된 보안장비를 활용한 방식은 데이터를 하나의 서버에 수집/저장하지 않고 각각의 보안장비에서 데이터를 분석함으로써, 비대칭적인 트래픽 흐름을 갖는 대규모 네트워크에서는 유해 IP를 판단하는 정확도가 낮은 문제점이 있다.In addition, in order to increase security, the method of using the security equipment distributed in the existing overseas gateway section does not collect/store data in a single server, but analyzes the data in each security equipment, thereby having an asymmetric traffic flow. In a large-scale network, there is a problem that the accuracy of determining a harmful IP is low.

본 발명의 실시예에 따른 유해 IP 판단 방법은 여러 조건을 조합하고 각 조건에 따라 점수를 증가시켜 기존보다 높은 확률로 유해 IP의 주소를 검출하는 것에 목적이 있다.A method for determining a harmful IP according to an embodiment of the present invention aims to detect an address of a harmful IP with a higher probability than before by combining several conditions and increasing a score according to each condition.

본 발명의 실시예에 따른 유해 IP 판단 방법은 유해 IP 주소를 찾아내기 위한 조건마다 다른 점수를 증가시키며, 신규 조건들을 추가할 수 있어 유해 IP 주소의 검출의 정확도를 높이는 것에 다른 목적이 있다.Another object of the method for determining a harmful IP according to an embodiment of the present invention is to increase the accuracy of detection of a harmful IP address by increasing a different score for each condition for finding a harmful IP address, and adding new conditions.

본 발명의 실시예에 따른 유해 IP 판단 방법은 검출된 유해 IP를 활용하여 TI(Treat Intelligence)정보를 생성하며, 상기 TI 정보를 활용하여 사용자에게 양질의 정보보안서비스를 제공하는 것에 또 다른 목적이 있다.Another object of the method for determining harmful IP according to an embodiment of the present invention is to generate TI (Treat Intelligence) information by using the detected harmful IP, and to provide high-quality information security services to users by using the TI information. have.

본 발명의 실시예에 따른 유해 IP 판단 방법은 분산되어 있는 보안장비의 데이터를 하나의 저장공간에 수집하여 분석함으로써 데이터 송신과 데이터 수신이 비대칭적인 망 구조에서 단 방향만 분석 가능했던 환경을 양방향 전체 데이터를 분석할 수 있도록 개선하는 것에 또 다른 목적이 있다.The harmful IP determination method according to the embodiment of the present invention collects and analyzes data of distributed security equipment in one storage space, so that the environment in which only one direction analysis was possible in an asymmetrical network structure for data transmission and data reception is analyzed in both directions. There is another purpose in improving the data to be analyzed.

상기한 과제를 해결하기 위해 본 발명의 일 실시예에 따른 유해 IP 판단 방법은 로그인 패킷을 수집하는 단계; 상기 로그인 패킷을 분석하여, 소스 IP (Internet Protocol)로부터 접속 시도되는 목적지 IP의 수에 따라 각각의 소스 IP를 단일 공격 IP 또는 복수 공격 IP로 분류하는 단계; 분류된 상기 소스 IP에 대응되는 로그인 패킷을 분석하여, 상기 소스 IP 에 대해 유해 점수를 증가시키는 단계; 및 상기 소스 IP 별로 증가된 유해 점수로부터 유해 IP를 검출하는 단계; 를 포함할 수 있다. In order to solve the above problems, a method for determining a harmful IP according to an embodiment of the present invention includes: collecting a login packet; Analyzing the login packet and classifying each source IP into a single attack IP or multiple attack IPs according to the number of destination IPs attempted to access from the source IP (Internet Protocol); Analyzing a login packet corresponding to the classified source IP to increase a harmful score for the source IP; And detecting a harmful IP from the increased harmful score for each source IP. It may include.

상기 로그인 패킷은 통신 경로 상에서 패킷을 수집하는 보안 장비로부터 전송되며, 로그인 실패에 대응되는 문구를 포함하는 패킷일 수 있다.The login packet is transmitted from a security device that collects packets on a communication path, and may be a packet including a phrase corresponding to a login failure.

상기 점수를 증가시키는 단계는 상기 소스 IP가 분류된 공격 유형에 따라 다른 기준으로 점수를 증가시키는 단계일 수 있다.Increasing the score may be a step of increasing the score based on a different criterion according to the attack type in which the source IP is classified.

상기 유해 점수를 증가시키는 단계는 상기 소스 IP가 복수 공격 IP로 분류되면, 상기 소스 IP에 대해 로그인 실패 응답을 한 국가의 수를 기준으로 유해 점수를 증가시키는 단계; 상기 소스 IP가 소정의 ID로 로그인을 시도하였는지 여부에 따라 유해 점수를 증가시키는 단계; 상기 소스 IP의 로그인 시도 지속 시간의 길이에 따라 유해 점수를 증가시키는 단계; 상기 소스 IP가 사용하는 소스 포트 개수에 따라 유해 점수를 증가시키는 단계; 상기 소스 IP의 소정 시간 내 접속 시도 횟수에 따라 유해 점수를 증가시키는 단계; 상기 소스 IP가 로그인 시도에 사용하는 ID와 패스워드의 수에 따라 유해 점수를 증가시키는 단계; 및 상기 소스 IP가 로그인하고자 하는 목적지 IP가 DHCP(Dynamic Host Configuration Protocol) IP를 할당받았는 지 여부에 따라 유해 점수를 증가시키는 단계; 중 적어도 하나 이상의 단계에 따라 상기 소스 IP에 대해 유해 점수를 증가시킬 수 있다.Increasing the harmful score may include: if the source IP is classified as a plurality of attack IPs, increasing the harmful score based on the number of countries that have responded to the source IP for a login failure; Increasing a harmful score according to whether the source IP attempts to log in with a predetermined ID; Increasing the harmful score according to the length of the login attempt duration of the source IP; Increasing a harmful score according to the number of source ports used by the source IP; Increasing a harmful score according to the number of access attempts of the source IP within a predetermined time; Increasing a harmful score according to the number of IDs and passwords used by the source IP for login attempts; And increasing a harmful score according to whether a destination IP to which the source IP wants to log in is assigned a Dynamic Host Configuration Protocol (DHCP) IP. The harmful score for the source IP may be increased according to at least one of steps.

상기 유해 점수를 증가시키는 단계는 상기 소스 IP가 단일 공격 IP로 분류되면, 상기 소스 IP가 로그인 시도에 사용하는 ID와 패스워드의 수에 따라 유해 점수를 증가시키는 단계; 상기 소스 IP의 단일 로그인 시도 시간의 길이가 소정 시간 미만 인지 여부에 따라 유해 점수를 증가시키는 단계; 상기 소스 IP가 사용하는 소스 포트 개수에 따라 점수를 유해 증가시키는 단계; 상기 소스 IP의 소정 시간 내 접속 시도 횟수에 따라 유해 점수를 증가시키는 단계; 상기 소스 IP의 로그인 시도 지속 시간의 길이에 따라 유해 점수를 증가시키는 단계; 및 로그인을 시도하는 상기 소스 IP의 국가에 따라 유해 점수를 증가시키는 단계; 중 적어도 하나 이상의 단계에 따라 상기 소스 IP에 대해 유해 점수를 증가시킬 수 있다.Increasing the harmful score may include: if the source IP is classified as a single attack IP, increasing the harmful score according to the number of IDs and passwords used by the source IP for login attempts; Increasing a harmful score according to whether the length of the single login attempt time of the source IP is less than a predetermined time; Increasing a score according to the number of source ports used by the source IP; Increasing a harmful score according to the number of access attempts of the source IP within a predetermined time; Increasing the harmful score according to the length of the login attempt duration of the source IP; And increasing the harmful score according to the country of the source IP attempting to log in. The harmful score for the source IP may be increased according to at least one of steps.

상기 유해 점수를 증가시키는 단계는 상기 소스 IP에서 특정한 목적지 IP로의 로그인 실패 횟수에 따라 유해 점수를 증가시키는 단계; 를 더 포함할 수 있다.Increasing the harmful score may include increasing the harmful score according to the number of failed logins from the source IP to a specific destination IP; It may further include.

상기 소스 IP에서 특정한 목적지 IP로의 로그인 실패 횟수에 따라 유해 점수를 증가시키는 단계는 상기 로그인 시도에 사용되는 ID와 패스워드의 수에 따라 유해 점수를 증가시키는 단계에서 상기 로그인 시도에 사용되는 ID와 패스워드의 수가 소정 수치 이하이거나 상기 단일 로그인 시도 시간의 길이가 소정 시간 미만 인지 여부에 따라 유해 점수를 증가시키는 단계에서 상기 단일 로그인 시도 시간이 상기 소정 시간 이상 인 것으로 판단되는 경우 수행될 수 있다.In the step of increasing the harmful score according to the number of failed logins from the source IP to a specific destination IP, the number of IDs and passwords used for the login attempt is increased in the step of increasing the harmful score according to the number of IDs and passwords used for the login attempt. In the step of increasing the harmful score according to whether the number is less than a predetermined value or the length of the single login attempt time is less than a predetermined time, it may be performed when it is determined that the single login attempt time is greater than the predetermined time.

본 발명의 실시예에 따른 유해 IP 판단 방법은 오탐률이 높은 기존 보안장비의 브루트 포스 정책을 보완할 수 있으며 각 조건의 변수를 변경함으로써 유해 IP 주소의 판단에 대한 정확도를 더욱 향상시킬 수 있다. 이를 통해 유해 IP의 접근을 차단할 수 있게 되어 공격자에에 의한 피해를 방지할 수 있다.The method for determining harmful IP according to an embodiment of the present invention can supplement the brute force policy of the existing security equipment with a high false positive rate, and can further improve the accuracy of the determination of the harmful IP address by changing the variable of each condition. . This makes it possible to block access to harmful IPs, thereby preventing damage from attackers.

또한 본 발명에 따르면, 비대칭적 트래픽 흐름을 갖는 네트워크 구조의 해외관문구간에 분산 설치되어있는 보안장비로부터 로그를 수집하고 분석함으로써 하여 분석이 어려웠던 구조적인 문제점을 해결할 수 있다.In addition, according to the present invention, it is possible to solve a structural problem that was difficult to analyze by collecting and analyzing logs from security equipment distributed in an overseas gateway section of a network structure having an asymmetric traffic flow.

또한, 본 발명은 분산되어 있는 보안장비의 데이터를 하나의 저장공간에 수집하여 분석함으로써 데이터 송신과 데이터 수신이 비대칭적인 망 구조에서 단 방향만 분석 가능했던 환경을 양방향 전체 데이터를 분석할 수 있도록 개선할 수 있다.In addition, the present invention collects and analyzes distributed security equipment data in one storage space, so that data transmission and data reception can be analyzed in both directions in an environment where only one direction can be analyzed in an asymmetric network structure. can do.

또한, 본 발명은 유해 IP를 활용하여 TI(Treat Intelligence)정보를 생성하며, 상기 TI 정보를 활용하여 사용자에게 양질의 정보보안서비스를 제공할 수 있게 된다.In addition, the present invention generates TI (Treat Intelligence) information by using harmful IP, and by using the TI information, it is possible to provide a high-quality information security service to a user.

도 1은 본 발명의 일 실시예에 따른 유해 IP 판단 시스템을 설명하기 위한 도면이다.
도 2는 본 발명의 다른 실시예에 따른 유해 IP 판단 방법을 설명하기 위한 순서도이다.
도 3A와 도 3B은 도 2의 실시예에서 유해 점수를 증가시키는 단계를 보다 상세히 설명하기 위한 순서도이다.
도 4A 와 도 4B는 도 2의 실시예에서 유해 점수를 증가시키는 단계를 보다 상세히 설명하기 위한 다른 순서도이다.
도 5는 본 발명의 실시예에 따라 점수가 증가된 유해 IP에 대한 등급을 분류하는 것을 예시하기 위한 도면이다.1 is a diagram for explaining a harmful IP determination system according to an embodiment of the present invention.
2 is a flowchart illustrating a method for determining a harmful IP according to another embodiment of the present invention.
3A and 3B are flow charts for explaining in more detail the step of increasing the harmful score in the embodiment of FIG. 2.
4A and 4B are other flow charts for explaining in more detail the step of increasing the harmful score in the embodiment of FIG. 2.
5 is a diagram for illustrating classifying a grade for harmful IP with an increased score according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고, 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명은 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.In the present invention, various modifications may be made and various embodiments may be provided, and specific embodiments are illustrated in the drawings and will be described in detail through detailed description. However, this is not intended to limit the present invention to specific embodiments, and the present invention should be understood to include all changes, equivalents, and substitutes included in the spirit and scope of the present invention.

본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제 1, 제 2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.In describing the present invention, when it is determined that a detailed description of related known technologies may unnecessarily obscure the subject matter of the present invention, a detailed description thereof will be omitted. In addition, numbers (eg, first, second, etc.) used in the description of the present specification are merely identification symbols for distinguishing one component from another component.

또한, 본 명세서에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.In addition, in the present specification, when one component is referred to as "connected" or "connected" to another component, the one component may be directly connected or directly connected to the other component, but specially It should be understood that as long as there is no opposing substrate, it may be connected or may be connected via another component in the middle.

도 1은 본 발명의 일 실시예에 따른 유해 IP 판단 시스템(10)을 설명하기 위한 도면이다. 1 is a view for explaining a harmful IP determination system 10 according to an embodiment of the present invention.

도 1을 참조하면, 유해 IP 판단 시스템(10)은 보안장비(100) 및 로그 분석 서버(200)를 포함할 수 있다. Referring to FIG. 1, the harmful IP determination system 10 may include a security device 100 and a log analysis server 200.

보안 장비(100)는 국내 단말(20)과 해외 단말(30) 간의 통신이 이루어지는 통신 경로 상에 위치하며, 각 단말 간에 전송되는 패킷을 수신할 수 있다. 이러한 통신 경로는 국내 네트워크(21)와 해외 네트워크(21) 간에 형성될 수 있다. 즉, 단말 간의 패킷은 각 통신 경로에 위치한 복수의 보안 장비(100)를 경유하여 전송될 수 있다. 도 1은 국내 단말(20)과 해외 단말(30) 간에 이루어지는 통신과 그 경로를 예시하여 설명하였으나, 본 발명의 실시예에서 보안 장비(100)는 국내 단말(20) 간의 통신이나 해외 단말(30) 간의 통신 경로 상에서도 위치할 수 있다. The security equipment 100 is located on a communication path through which communication between the domestic terminal 20 and the foreign terminal 30 is performed, and may receive packets transmitted between each terminal. This communication path may be formed between the domestic network 21 and the overseas network 21. That is, a packet between terminals may be transmitted through a plurality of security devices 100 located in each communication path. FIG. 1 illustrates communication between the domestic terminal 20 and the foreign terminal 30 and the path thereof, but in the embodiment of the present invention, the security equipment 100 includes communication between the domestic terminal 20 or the foreign terminal 30. ) Can be located on the communication path.

보안 장비(100)에는 IPS(Intrusion Prevention System), IDS(Intrusion Detect System), UTM(Unified Threat Management), 방화벽 장치와 같은 장비들이 예시될 수 있다.The security equipment 100 may include equipment such as an Intrusion Prevention System (IPS), an Intrusion Detect System (IDS), a Unified Threat Management (UTM), and a firewall device.

보안 장비(100)는 복수로 구성될 수 있으며, 각각의 통신 선로에 대응하여 구축될 수 있다. 각각의 보안 장비(100)들은 서로 시간동기화되며, 보안 장비(100)에서 수집된 패킷은 순차적으로 데이터베이스에 저장될 수 있다. 보안 장비(100)는 수집된 패킷 중 로그인 실패와 관련된 로그인 패킷을 필터링할 수 있다. The security equipment 100 may be configured in plural, and may be constructed corresponding to each communication line. Each of the security devices 100 is time-synchronized with each other, and packets collected by the security device 100 may be sequentially stored in a database. The security device 100 may filter a login packet related to a login failure among the collected packets.

보다 상세하게, 로그인 패킷은 보안 장비(100)에서 수집되는 패킷 중 로그인 실패에 대응되는 문구를 포함하는 패킷일 수 있다. 이를 위하여, 로그인 패킷은 내부에 포함되는 텍스트가 암호화되지 않은 패킷이어야 하며, 예를 들어 "Log-in fail"과 같은 문구를 포함하고 있어야 한다. 상기 로그인 실패 문구는 예시적인 것이며, 유해 IP 판단 시스템(10)의 운영자는 다양한 로그인 실패 문구를 지정함으로써 보다 다양한 종류의 로그인 패킷을 필터링 할 수 있다.In more detail, the login packet may be a packet including a phrase corresponding to a login failure among packets collected by the security device 100. To this end, the login packet must be a packet in which the text contained therein is not encrypted, and must include, for example, a phrase such as "Log-in fail". The login failure phrase is exemplary, and the operator of the harmful IP determination system 10 can filter more various types of login packets by designating various login failure phrases.

로그인 패킷에는 이 외에도 해당 패킷을 송신하고 수신하는 단말의 IP 주소에 대한 정보가 포함될 수 있다. 이를 통해, 로그인을 시도하는 단말의 IP 주소인 소스 IP와 로그인 대상이 되는 단말의 IP 주소인 목적지 IP를 알 수 있게 된다. In addition to this, the login packet may include information on the IP address of the terminal transmitting and receiving the packet. Through this, it is possible to know the source IP, which is the IP address of the terminal attempting to log in, and the destination IP, which is the IP address of the terminal to be logged in.

상기한 로그인 패킷은 보안 장비(100)들로부터 로그 분석 서버(200)로 전달될 수 있다. 보다 상세하게, 로그 분석 서버(200)는 국내 단말(20) 및 해외 단말(30)을 통해 전송되는 다양한 로그인 패킷을 각각의 통신 경로에 위치한 보안 장비(100)로부터 수신할 수 있게 된다. 따라서, 국제적으로 패킷이 전송되는 경우, 패킷을 송신하는 통신 경로와 패킷을 수신하는 통신 경로가 서로 다른 비대칭적인 망 구조에서도 로그 분석 서버(200)는 로그인 패킷에 대한 분석이 가능해진다. The log-in packet may be transmitted from the security equipment 100 to the log analysis server 200. In more detail, the log analysis server 200 may receive various login packets transmitted through the domestic terminal 20 and the overseas terminal 30 from the security equipment 100 located in each communication path. Accordingly, when a packet is transmitted internationally, the log analysis server 200 can analyze the login packet even in an asymmetric network structure in which the communication path for transmitting the packet and the communication path for receiving the packet are different from each other.

로그 분석 서버(200)는 전송된 로그인 패킷을 분석할 수 있다. 보다 상세하게, 로그 분석 서버(200)는 로그인 패킷을 분석하기 위하여 공격 유형을 분류하고, 소정의 조건에 따라 소스 IP에 대해 유해 점수를 증가시키며, 증가된 점수에 따라 유해 IP를 검출할 수 있다.The log analysis server 200 may analyze the transmitted login packet. In more detail, the log analysis server 200 classifies an attack type to analyze a login packet, increases a harmful score for the source IP according to a predetermined condition, and detects a harmful IP according to the increased score. .

로그 분석 서버(200)가 로그인 패킷을 분석하는 과정에 대한 보다 상세한 설명은 후술하기로 한다. A more detailed description of a process in which the log analysis server 200 analyzes a login packet will be described later.

도 2는 본 발명의 다른 실시예에 따른 유해 IP 판단 방법을 설명하기 위한 순서도이다. 도 2를 참조하면, 유해 IP 판단 방법은 로그인 패킷 수집 단계(S100), 공격 유형 분류 단계(S200), 유해 점수 증가 단계(S300) 및 유해 IP 검출 단계(S400)를 포함할 수 있다.2 is a flowchart illustrating a method for determining a harmful IP according to another embodiment of the present invention. Referring to FIG. 2, the method of determining a harmful IP may include a login packet collection step (S100 ), an attack type classification step (S200 ), a harmful score increase step (S300 ), and a harmful IP detection step (S400 ).

로그인 패킷 수집 단계(S100)는 로그 분석 서버가 각각의 통신 경로에 위치한 보안 장비들로부터 로그인 패킷을 수집하는 단계일 수 있다.The login packet collection step S100 may be a step in which the log analysis server collects login packets from security devices located in each communication path.

공격 유형 분류 단계(S200)는 로그 분석 서버가 로그인 패킷을 분석하여 소스 IP로부터 접속 시도되는 목적지 IP의 수에 따라 각각의 소스 IP를 단일 공격 IP 또는 복수 공격 IP로 분류하는 단계일 수 있다. The attack type classification step S200 may be a step in which the log analysis server analyzes the login packet and classifies each source IP into a single attack IP or multiple attack IPs according to the number of destination IPs attempted to access from the source IP.

로그 분석 서버는 로그인 패킷의 분석을 통해 해당 로그인을 시도하는 소스 IP와 소스 IP에 의해 로그인 시도를 수신하는 목적지 IP를 검출할 수 있다. 또한, 소스 IP가 로그인 시도에 사용한 소스 포트에 대한 정보와 목적지 IP가 로그인 시도의 수신에 사용한 목적지 포트에 대한 정보가 검출될 수 있다. 여기서, 소스 IP, 소스 포트, 목적지 IP 및 목적지 포트를 로그인 패킷의 4-튜플(Tuple)로 정의할 수 있다.The log analysis server may detect a source IP that attempts to log in, and a destination IP that receives a login attempt by the source IP through analysis of the login packet. In addition, information on a source port used by the source IP for a login attempt and information on a destination port used by the destination IP to receive a login attempt may be detected. Here, a source IP, a source port, a destination IP, and a destination port may be defined as a 4-tuple of a login packet.

로그 분석 서버는 다수의 로그인 패킷에 대한 분석을 통해 로그인 패킷을 소스 IP 별로 분류할 수 있고, 분류된 소스 IP가 로그인 시도하는 목적지 IP의 수에 따라 소스 IP의 공격 유형을 단일 공격 IP 또는 복수 공격 IP로 분류할 수 있다. 이 때, 로그 분석 서버가 소스 IP의 공격 유형을 분류하기 위한 기준이 되는 목적지 IP의 수는 유해 IP 판단 시스템의 운영자의 설정에 의해 달라질 수 있다. The log analysis server can classify login packets by source IP through analysis of multiple login packets, and determine the attack type of the source IP according to the number of destination IPs that the classified source IP attempts to log in to, single attack IP or multiple attacks. It can be classified by IP. In this case, the number of destination IPs, which is a criterion for the log analysis server to classify the attack type of the source IP, may vary depending on the setting of the operator of the harmful IP determination system.

유해 점수 증가 단계(S300)는 로그 분석 서버가 분류된 소스 IP에 대응되는 로그인 패킷을 분석하여, 소스 IP에 대해 유해 점수를 증가시키는 단계일 수 있다. 이 때, 로그 분석 서버는 소스 IP가 분류된 공격 유형에 따라 다른 기준으로 점수를 증가시킬 수 있다. 유해 점수 증가 단계(S300)에서 유해 점수를 증가시키는 과정에 대한 보다 상세할 설명은 후술하기로 한다. The harmful score increasing step S300 may be a step in which the log analysis server analyzes a log-in packet corresponding to the classified source IP to increase a harmful score for the source IP. In this case, the log analysis server may increase the score based on different criteria according to the attack type in which the source IP is classified. A more detailed description of the process of increasing the harmful score in the step S300 of increasing the harmful score will be described later.

유해 IP 검출 단계(S400)는 소스 IP 별로 증가된 유해 점수로부터 유해 IP를 검출하는 단계를 의미할 수 있다.The harmful IP detection step S400 may refer to a step of detecting a harmful IP from an increased harmful score for each source IP.

도 3A와 도 3B는 도 2의 실시예에서 유해 점수를 증가시키는 단계를 보다 상세히 설명하기 위한 순서도이다. 그리고 도 4A와 도 4B는 도 2의 실시예에서 유해 점수를 증가시키는 단계를 보다 상세히 설명하기 위한 다른 순서도이다.3A and 3B are flow charts for explaining in more detail the step of increasing the harmful score in the embodiment of FIG. 2. 4A and 4B are other flow charts for explaining in more detail the step of increasing the harmful score in the embodiment of FIG. 2.

도 3A와 도 3B는 앞서 공격 유형 분류 단계(S200)를 통해, 임의의 소스 IP가 복수 공격 IP로 분류된 경우를 설명하기 위한 것이다. 반면, 도 4A와 도 4B는 공격 유형 분류 단계(S200)를 통해, 임의의 소스 IP가 단일 공격 IP로 분류된 경우를 설명하기 위한 것이다.3A and 3B are for explaining a case in which an arbitrary source IP is classified as a plurality of attack IPs through the attack type classification step S200. On the other hand, FIGS. 4A and 4B are for explaining a case in which an arbitrary source IP is classified as a single attack IP through the attack type classification step S200.

도 3A와 도 3B을 통해 복수 공격 IP로 분류된 경우를 보다 상세히 설명하면 다음과 같다.The case classified as multiple attack IPs through FIGS. 3A and 3B will be described in more detail as follows.

로그 분석 서버는 앞선 단계를 통해 소스 IP의 공격 유형이 복수 공격 IP로 분류되면(S301), 해당 소스 IP에 대하여 소정의 유해 점수를 증가시킬 수 있다(S302). 이 때, 증가되는 유해 점수는 유해 IP 판단 시스템의 운영자의 설정에 따라 달라질 수 있다. 통상의 경우, 하나의 소스 IP로부터 접속 시도되는 목적지 IP의 수는 하나 또는 둘인 경우가 많다. 따라서, 복수의 목적지 IP에 대해 접속을 시도하는 경우 일반적이지 않은 로그인 시도로 분류하여 유해 점수를 증가시킬 수 있다.When the attack type of the source IP is classified as multiple attack IPs through the previous step (S301), the log analysis server may increase a predetermined harmful score for the corresponding source IP (S302). In this case, the increased harmful score may vary according to the setting of the operator of the harmful IP determination system. In general, the number of destination IPs attempted to access from one source IP is often one or two. Therefore, when an attempt is made to access a plurality of destination IPs, it is possible to increase the harmful score by classifying it as an unusual login attempt.

이후, 로그 분석 서버는 로그인 실패 응답한 국가의 수를 판단할 수 있다(S303). 여기서 판단 기준이 되는 국가의 수는 유해 IP 판단 시스템의 운영자에 의해 설정될 수 있다. 보다 상세하게, 로그 분석 서버는 목적지 IP를 국가 별로 분류하고, 임의의 소스 IP가 로그인 시도한 목적지 IP의 국가 수가 소정 수치 이상인 경우, 해당 소스 IP에 대하여 유해 점수를 증가시킬 수 있다(S304). 이 때, 증가되는 유해 점수는 유해 IP 판단 시스템의 운영자의 설정에 따라 달라질 수 있다. 통상의 경우, 로그인을 시도하는 사용자가 접근하려는 국가는 하나이기 때문에, 둘 이상의 국가에 대해 로그인을 시도하는 행위는 일반적이지 않은 로그인 시도로 분류하여 유해 점수를 증가시킬 수 있다.Thereafter, the log analysis server may determine the number of countries to which login failure has responded (S303). Here, the number of countries as a criterion for determination may be set by the operator of the harmful IP determination system. In more detail, the log analysis server classifies the destination IP by country, and when the number of countries of the destination IP to which a random source IP attempts to log in is greater than or equal to a predetermined value, it may increase the harmful score for the corresponding source IP (S304). In this case, the increased harmful score may vary according to the setting of the operator of the harmful IP determination system. In a normal case, since there is only one country to which a user who attempts to log in accesses, an act of attempting to log in to more than one country may be classified as an uncommon log in attempt, thereby increasing the harmful score.

이후, 로그 분석 서버는 소정의 ID로 로그인을 시도하였는지 여부를 판단할 수 있다(S305). 여기서 판단 기준이 되는 소정의 ID는 유해 IP 판단 시스템의 운영자에 의해 설정될 수 있다. 예를 들어, "Guest"와 같은 ID로 로그인을 시도하는 소스 IP에 대하여 유해 점수를 증가시킬 수 있다(S306). 이 때, 증가되는 유해 점수는 유해 IP 판단 시스템의 운영자의 설정에 따라 달라질 수 있다. "Guest"와 같은 ID는 대부분의 시스템에서 기본 계정으로 사용되며, 대다수의 운영체제에서는 접근 불가능하게 설정된 ID 이다. 로그 분석 서버는 이러한 ID를 사용하여 접속하고자 하는 경우 일반적이지 않은 로그인 시도로 분류하여 유해 점수를 증가시킬 수 있다.Thereafter, the log analysis server may determine whether a login attempt is made with a predetermined ID (S305). Here, a predetermined ID as a criterion for determination may be set by an operator of the harmful IP determination system. For example, a harmful score may be increased for a source IP attempting to log in with an ID such as "Guest" (S306). In this case, the increased harmful score may vary according to the setting of the operator of the harmful IP determination system. An ID such as "Guest" is used as a default account in most systems, and is an ID set to be inaccessible in most operating systems. The log analysis server can increase the harmful score by classifying it as an unusual login attempt when accessing using such an ID.

이후, 로그 분석 서버는 로그인 시도 지속 시간의 길이를 판단할 수 있다(S307). 여기서 판단 기준이 되는 로그인 시도 지속 시간은 유해 IP 판단 시스템의 운영자에 의해 설정될 수 있다. 보다 상세하게, 로그 분석 서버는 하나의 소스 IP를 기준으로 로그인을 시도하는 지속 시간이 소정 시간 이상인지 여부를 판단할 수 있다. 소스 IP가 소정의 시간이상 로그인 시도를 지속 반복하는 경우 해당 소스 IP를 유해 IP로 분류하여 유해 점수를 증가시킬 수 있다(S308). 이 때, 증가되는 유해 점수는 유해 IP 판단 시스템의 운영자의 설정에 따라 달라질 수 있다. 통상의 경우, 로그인이 실패하면 재시도를 통해 로그인 시도를 지속하는 시간은 일시적으로 끝나므로, 소정 시간 이상 로그인 시도를 반복하는 경우 일반적이지 않은 로그인 시도로 분류하여 유해 점수를 증가시킬 수 있다.Thereafter, the log analysis server may determine the length of the login attempt duration (S307). Here, the login attempt duration, which is the criterion for determination, may be set by the operator of the harmful IP determination system. In more detail, the log analysis server may determine whether the duration of attempting to log in is greater than or equal to a predetermined time based on one source IP. If the source IP continuously repeats the login attempt for a predetermined time or longer, the corresponding source IP may be classified as a harmful IP and a harmful score may be increased (S308). In this case, the increased harmful score may vary according to the setting of the operator of the harmful IP determination system. In a typical case, if the login fails, the time for continuing the login attempt through retry is temporarily ended, and thus, if the login attempt is repeated for a predetermined time or longer, it is classified as an unusual login attempt and the harmful score can be increased.

이후, 로그 분석 서버는 소스 IP가 사용하는 소스 포트 개수를 판단할 수 있다(S309). 여기서 판단 기준이 되는 소스 포트의 개수는 유해 IP 판단 시스템의 운영자에 의해 설정될 수 있다. 보다 상세하게, 로그 분석 서버는 소스 IP가 목적지 IP에 대해 로그인 시도를 할 때 사용되는 소스 포트의 수가 소정 수치 이상인지 판단할 수 있다. 소스 IP가 로그인 시도에 사용하는 소스 포트의 수가 소정 수치 이상이면 해당 소스 IP를 유해 IP로 분류하여 유해 점수를 증가시킬 수 있다(S310). 이 때, 증가되는 유해 점수는 유해 IP 판단 시스템의 운영자의 설정에 따라 달라질 수 있다. 통상의 경우, 로그인 시도에 사용하는 소스 포트의 수는 하나 이므로, 다수의 소스 포트에서 특정 목적지 포트와 통신을 하는 것은 여러 개의 세션을 생성하는 것으로서 일반적이지 않은 로그인 시도로 분류하여 유해 점수를 증가시킬 수 있다.Thereafter, the log analysis server may determine the number of source ports used by the source IP (S309). Here, the number of source ports serving as a criterion for determination may be set by an operator of the harmful IP determination system. In more detail, the log analysis server may determine whether the number of source ports used when the source IP attempts to log in to the destination IP is greater than or equal to a predetermined value. If the number of source ports used by the source IP for login attempts is greater than or equal to a predetermined value, the corresponding source IP may be classified as a harmful IP and a harmful score may be increased (S310). In this case, the increased harmful score may vary according to the setting of the operator of the harmful IP determination system. In general, since the number of source ports used for login attempts is only one, communicating with a specific destination port from multiple source ports creates multiple sessions, which can be classified as unusual login attempts, which will increase the harmful score. I can.

이후, 로그 분석 서버는 소스 IP의 소정 시간내 접속 시도 횟수를 판단할 수 있다(S311). 여기서 판단 기준이 되는 시간과 접속 시도 횟수는 유해 IP 판단 시스템의 운영자에 의해 설정될 수 있다. 보다 상세하게, 로그 분석 서버는 소스 IP가 로그인 성공을 위해 로그인을 반복하는 횟수가 소정 수치 이상인지 판단할 수 있다. 소스 IP의 소정 시간내 접속 시도 횟수가 소정 수치 이상이면 해당 소스 IP를 유해 IP로 분류하여 유해 점수를 증가시킬 수 있다(S312). 이 때, 증가되는 유해 점수는 유해 IP 판단 시스템의 운영자의 설정에 따라 달라질 수 있다. 통상의 경우, 목적지 IP에 접근 시 ID와 패스워드의 입력에 의한 로그인 시도 실패가 연속되면 세션이 종료된다. 새로운 세션을 생성하기 위해서는 처음과 다른 소스 포트로 다시 시도 해야하며, 이러한 시도는 일반적이지 않은 로그인 시도로 분류하여 유해 점수를 증가시킬 수 있다.Thereafter, the log analysis server may determine the number of attempts to access the source IP within a predetermined time (S311). Here, the time and the number of access attempts as the determination criteria may be set by the operator of the harmful IP determination system. In more detail, the log analysis server may determine whether the number of times the source IP repeats log-in for log-in success is equal to or greater than a predetermined value. If the number of attempts to access the source IP within a predetermined time is greater than or equal to a predetermined value, the corresponding source IP may be classified as a harmful IP and a harmful score may be increased (S312). In this case, the increased harmful score may vary according to the setting of the operator of the harmful IP determination system. In a normal case, when accessing the destination IP, the session is terminated if the attempt to log in by input of the ID and password continues. In order to create a new session, it is necessary to retry with a different source port than the first time, and such attempts can be classified as unusual login attempts and may increase the harmful score.

이후, 로그 분석 서버는 소스 IP가 로그인 시도에 사용하는 ID와 패스워드의 수를 판단할 수 있다(S313). 여기서 판단 기준이 되는 ID와 패스워드의 수는 유해 IP 판단 시스템의 운영자에 의해 설정될 수 있다. 보다 상세하게, 로그 분석 서버는 소스 IP가 로그인 시도에 사용하는 ID/패스워드의 종류가 소정 수치 이상인지 판단할 수 있다. 소스 IP가 로그인 시도에 사용하는 ID/패스워드의 종류가 소정 수치 이상이면 해당 소스 IP를 유해 IP로 분류하여 유해 점수를 증가시킬 수 있다(S314). 이 때, 증가되는 유해 점수는 유해 IP 판단 시스템의 운영자의 설정에 따라 달라질 수 있다. 통상의 경우, 고유의 ID/패스워드로 로그인을 시도하나, 널리 사용되는 ID/패스워드를 무차별로 사용하여 로그인을 시도하는 경우 일반적이지 않은 로그인 시도로 분류하여 유해 점수를 증가시킬 수 있다.Thereafter, the log analysis server may determine the number of IDs and passwords that the source IP uses for login attempts (S313). Here, the number of IDs and passwords that are criteria for determination may be set by an operator of the harmful IP determination system. In more detail, the log analysis server may determine whether the type of ID/password used by the source IP to log in attempt is greater than or equal to a predetermined value. If the type of the ID/password used for the log-in attempt of the source IP is greater than or equal to a predetermined value, the corresponding source IP may be classified as a harmful IP and a harmful score may be increased (S314). In this case, the increased harmful score may vary according to the setting of the operator of the harmful IP determination system. In general, a login attempt is made with a unique ID/password, but when a login attempt using a widely used ID/password indiscriminately is classified as an unusual login attempt, a harmful score can be increased.

이후, 로그 분석 서버는 소스 IP가 로그인하고자 하는 목적지 IP가 DHCP(Dynamic Host Configuration Protocol) IP를 할당받았는 지 여부를 판단할 수 있다(S315). 보다 상세하게, 로그 분석 서버는 소스 IP가 로그인하고자 하는 목적지 IP가 DHCP와 같은 유동 IP로 분류되는 목적지 IP인지 여부를 판단할 수 있다. 목적지 IP가 DHCP IP를 할당받았다면, 해당 목적지 IP에 접속하고자 하는 소스 IP를 유해 IP로 분류하여 유해 점수를 증가시킬 수 있다(S316). 이 때, 증가되는 유해 점수는 유해 IP 판단 시스템의 운영자의 설정에 따라 달라질 수 있다. 통상의 경우, 해외에서 국내 DHCP IP를 사용하는 단말에 접근하는 경우는 희박하며, 그 수가 2개 이상일 경우는 일반적이지 않은 로그인 시도로 분류하여 유해 점수를 증가시킬 수 있다.Thereafter, the log analysis server may determine whether the destination IP to which the source IP wants to log in is assigned a Dynamic Host Configuration Protocol (DHCP) IP (S315). In more detail, the log analysis server may determine whether the destination IP to which the source IP is to log in is a destination IP classified as a dynamic IP such as DHCP. If the destination IP has been assigned a DHCP IP, it is possible to increase the harmful score by classifying the source IP to access the corresponding destination IP as a harmful IP (S316). In this case, the increased harmful score may vary according to the setting of the operator of the harmful IP determination system. In general, it is rare to access a terminal using a domestic DHCP IP from overseas, and if the number is more than two, it is classified as an unusual login attempt and the harmful score can be increased.

이후, 로그인 패킷에 대한 분석 단계가 종료됨으로써(S317), 복수 공격 IP로 분류된 소스 IP 별로 유해 점수를 종합할 수 있다. 상기, 유해 점수가 증가되는 단계들(S302, S304, S306, S308, S310, S312, S314, S316)을 통해 소스 IP에 대하여 증가되는 유해 점수는 누적될 수 있다. 또한, 유해 점수가 증가되는 단계들(S302, S304, S306, S308, S310, S312, S314, S316)를 통해 증가되는 유해 점수는 각 단계에 해당하는 조건이 유해 IP를 판단하기에 얼마나 유효한 조건인 지에 따라 서로 같거나 다르게 설정될 수 있다. Thereafter, the analysis step for the login packet is terminated (S317), so that harmful scores may be synthesized for each source IP classified as multiple attack IPs. Through the steps (S302, S304, S306, S308, S310, S312, S314, S316) of increasing the harmful score, the harmful score that is increased for the source IP may be accumulated. In addition, the harmful score that is increased through the steps (S302, S304, S306, S308, S310, S312, S314, S316) in which the harmful score is increased is how effective the condition corresponding to each step is to determine the harmful IP. It can be set the same or differently depending on the location.

도 4A와 도 4B를 통해 단일 공격 IP로 분류된 경우를 보다 상세히 설명하면 다음과 같다.The case classified as a single attack IP through FIGS. 4A and 4B will be described in more detail as follows.

로그 분석 서버는 앞선 단계를 통해 소스 IP의 공격 유형이 단일 공격 IP로 분류되면(S320), 하기와 같은 방법으로 유해 점수를 증가시킬 수 있다.When the attack type of the source IP is classified as a single attack IP through the previous step (S320), the log analysis server may increase the harmful score in the following manner.

로그 분석 서버는 소스 IP가 로그인 시도에 사용하는 ID와 패스워드의 수를 판단할 수 있다(S321). 여기서 판단 기준이 되는 ID와 패스워드의 수는 유해 IP 판단 시스템의 운영자에 의해 설정될 수 있다. 보다 상세하게, 로그 분석 서버는 소스 IP가 로그인 시도에 사용하는 ID/패스워드의 종류가 소정 수치 이상인지 판단할 수 있다. 소스 IP가 로그인 시도에 사용하는 ID/패스워드의 종류가 소정 수치 이상이면 해당 소스 IP를 유해 IP로 분류하여 유해 점수를 증가시킬 수 있다(S322). 이 때, 증가되는 유해 점수는 유해 IP 판단 시스템의 운영자의 설정에 따라 달라질 수 있다. 통상의 경우, 고유의 ID/패스워드로 로그인을 시도하나, 널리 사용되는 ID/패스워드를 무차별로 사용하여 로그인을 시도하는 경우 일반적이지 않은 로그인 시도로 분류하여 유해 점수를 증가시킬 수 있다.The log analysis server may determine the number of IDs and passwords that the source IP uses for login attempts (S321). Here, the number of IDs and passwords that are criteria for determination may be set by an operator of the harmful IP determination system. In more detail, the log analysis server may determine whether the type of ID/password used by the source IP to log in attempt is greater than or equal to a predetermined value. If the type of the ID/password used for the log-in attempt of the source IP is greater than or equal to a predetermined value, the corresponding source IP may be classified as a harmful IP and a harmful score may be increased (S322). In this case, the increased harmful score may vary according to the setting of the operator of the harmful IP determination system. In general, a login attempt is made with a unique ID/password, but when a login attempt using a widely used ID/password indiscriminately is classified as an unusual login attempt, a harmful score can be increased.

상기 유해 점수 증가 단계(S322)를 통해 소스 IP에 대한 유해 점수가 증가되면, 로그 분석 서버는 소스 IP의 단일 로그인 시도 시간의 길이를 판단할 수 있다(S323). 여기서 판단 기준이 되는 단일 로그인 시도 시간의 길이는 유해 IP 판단 시스템의 운영자에 의해 설정될 수 있다. 보다 상세하게, 로그 분석 서버는 소스 IP가 목적지 IP에 대해 로그인을 1 회 시도하는 시간의 길이를 판단하고, 해당 시간이 소정 수치를 초과하면, 해당 소스 IP에 대하여 유해 점수를 증가시킬 수 있다(S324). 이 때, 증가되는 유해 점수는 유해 IP 판단 시스템의 운영자의 설정에 따라 달라질 수 있다. 상기 단일 로그인 시도 시간의 길이 판단 단계(S323)는 일반적인 브루트 포스 공격을 탐지하는 조건을 다른 조건들과 조합하여 유해 IP 판단의 정탐률을 높이기 위해 수행될 수 있다. When the harmful score for the source IP is increased through the harmful score increasing step (S322), the log analysis server may determine the length of a single login attempt time of the source IP (S323). Here, the length of the single login attempt time that is the criterion for determination may be set by the operator of the harmful IP determination system. In more detail, the log analysis server determines the length of time that the source IP attempts to log in once to the destination IP, and if the time exceeds a predetermined value, it may increase the harmful score for the source IP ( S324). In this case, the increased harmful score may vary according to the setting of the operator of the harmful IP determination system. The step of determining the length of the single login attempt (S323) may be performed to increase the spying rate of determining a harmful IP by combining a condition for detecting a general brute force attack with other conditions.

상기 유해 점수 증가 단계(S324)를 통해 소스 IP에 대한 유해 점수가 증가되면, 로그 분석 서버는 소스 IP가 사용하는 소스 포트 개수를 판단할 수 있다(S325). 여기서 판단 기준이 되는 소스 포트의 개수는 유해 IP 판단 시스템의 운영자에 의해 설정될 수 있다. 보다 상세하게, 로그 분석 서버는 소스 IP가 목적지 IP에 대해 로그인 시도를 할 때 사용되는 소스 포트의 수가 소정 수치 이상인지 판단할 수 있다. 소스 IP가 로그인 시도에 사용하는 소스 포트의 수가 소정 수치 이상이면 해당 소스 IP를 유해 IP로 분류하여 유해 점수를 증가시킬 수 있다(S326). 이 때, 증가되는 유해 점수는 유해 IP 판단 시스템의 운영자의 설정에 따라 달라질 수 있다. 통상의 경우, 로그인 시도에 사용하는 소스 포트의 수는 하나 이므로, 다수의 소스 포트에서 특정 목적지 포트와 통신을 하는 것은 여러 개의 세션을 생성하는 것으로서 일반적이지 않은 로그인 시도로 분류하여 유해 점수를 증가시킬 수 있다.When the harmful score for the source IP is increased through the harmful score increasing step (S324), the log analysis server may determine the number of source ports used by the source IP (S325). Here, the number of source ports serving as a criterion for determination may be set by an operator of the harmful IP determination system. In more detail, the log analysis server may determine whether the number of source ports used when the source IP attempts to log in to the destination IP is greater than or equal to a predetermined value. If the number of source ports used by the source IP for login attempts is greater than or equal to a predetermined value, the corresponding source IP may be classified as a harmful IP and a harmful score may be increased (S326). In this case, the increased harmful score may vary according to the setting of the operator of the harmful IP determination system. In general, since the number of source ports used for login attempts is only one, communicating with a specific destination port from multiple source ports creates multiple sessions, which can be classified as unusual login attempts, which will increase the harmful score. I can.

이후, 로그 분석 서버는 소스 IP의 소정 시간내 접속 시도 횟수를 판단할 수 있다(S327). 여기서 판단 기준이 되는 시간과 접속 시도 횟수는 유해 IP 판단 시스템의 운영자에 의해 설정될 수 있다. 보다 상세하게, 로그 분석 서버는 소스 IP가 로그인 성공을 위해 로그인을 반복하는 횟수가 소정 수치 이상인지 판단할 수 있다. 소스 IP의 소정 시간내 접속 시도 횟수가 소정 수치 이상이면 해당 소스 IP를 유해 IP로 분류하여 유해 점수를 증가시킬 수 있다(S328). 이 때, 증가되는 유해 점수는 유해 IP 판단 시스템의 운영자의 설정에 따라 달라질 수 있다. 통상의 경우, 목적지 IP에 접근 시 ID와 패스워드의 입력에 의한 로그인 시도 실패가 연속되면 세션이 종료된다. 새로운 세션을 생성하기 위해서는 처음과 다른 소스 포트로 다시 시도 해야하며, 이러한 시도는 일반적이지 않은 로그인 시도로 분류하여 유해 점수를 증가시킬 수 있다.Thereafter, the log analysis server may determine the number of attempts to access the source IP within a predetermined time (S327). Here, the time and the number of access attempts as the determination criteria may be set by the operator of the harmful IP determination system. In more detail, the log analysis server may determine whether the number of times the source IP repeats log-in for log-in success is equal to or greater than a predetermined value. If the number of attempts to access the source IP within a predetermined time is greater than or equal to a predetermined value, the corresponding source IP may be classified as a harmful IP and a harmful score may be increased (S328). In this case, the increased harmful score may vary according to the setting of the operator of the harmful IP determination system. In a normal case, when accessing the destination IP, the session is terminated if the attempt to log in by input of the ID and password continues. In order to create a new session, it is necessary to try again with a different source port than the first time, and these attempts can be classified as unusual login attempts and may increase the harmful score.

이후, 로그 분석 서버는 로그인 시도 지속 시간의 길이를 판단할 수 있다(S329). 여기서 판단 기준이 되는 로그인 시도 지속 시간은 유해 IP 판단 시스템의 운영자에 의해 설정될 수 있다. 보다 상세하게, 로그 분석 서버는 하나의 소스 IP를 기준으로 로그인을 시도하는 지속 시간이 소정 시간 이상인지 여부를 판단할 수 있다. 소스 IP가 소정의 시간이상 로그인 시도를 지속 반복하는 경우 해당 소스 IP를 유해 IP로 분류하여 유해 점수를 증가시킬 수 있다(S330). 이 때, 증가되는 유해 점수는 유해 IP 판단 시스템의 운영자의 설정에 따라 달라질 수 있다. 통상의 경우, 로그인이 실패하면 재시도를 통해 로그인 시도를 지속하는 시간은 일시적으로 끝나므로, 소정 시간 이상 로그인 시도를 반복하는 경우 일반적이지 않은 로그인 시도로 분류하여 유해 점수를 증가시킬 수 있다.Thereafter, the log analysis server may determine the length of the login attempt duration (S329). Here, the login attempt duration, which is the criterion for determination, may be set by the operator of the harmful IP determination system. In more detail, the log analysis server may determine whether the duration of attempting to log in based on one source IP is greater than or equal to a predetermined time. If the source IP continuously repeats login attempts for a predetermined time or longer, the corresponding source IP may be classified as a harmful IP and a harmful score may be increased (S330). In this case, the increased harmful score may vary according to the setting of the operator of the harmful IP determination system. In a typical case, if the login fails, the time for continuing the login attempt through retry is temporarily ended, and thus, if the login attempt is repeated for a predetermined time or longer, it is classified as an unusual login attempt and the harmful score can be increased.

이후, 로그 분석 서버는 소스 IP가 속하는 국가를 판단할 수 있다(S331). 보다 상세하게, 로그 분석 서버는 소스 IP의 주소가 어떠한 국가에 할당된 IP 주소인지 확인하여, 해당 IP가 국내의 IP 인지 여부를 판단할 수 있다. 소스 IP가 해외 IP 인 경우, 해당 소스 IP를 유해 IP로 분류하여 유해 점수를 증가시킬 수 있다(S332). 이 때, 증가되는 유해 점수는 유해 IP 판단 시스템의 운영자의 설정에 따라 달라질 수 있다. 해외에서 국내로 로그인을 시도하는 경우 일반적이지 않은 로그인 시도로 분류하여 유해 점수를 증가시킬 수 있다.Thereafter, the log analysis server may determine the country to which the source IP belongs (S331). In more detail, the log analysis server may determine whether the IP address is a domestic IP address by checking which country the address of the source IP is assigned to. If the source IP is an overseas IP, the harmful score may be increased by classifying the source IP as a harmful IP (S332). In this case, the increased harmful score may vary according to the setting of the operator of the harmful IP determination system. If an attempt is made to log in from overseas, it can be classified as an unusual login attempt and thus increase the harmful score.

이후, 로그인 패킷에 대한 분석 단계가 종료될 수 있다(S335).Thereafter, the analysis step for the login packet may be terminated (S335).

상기한 단계 중, 소스 IP가 로그인 시도에 사용하는 ID와 패스워드의 수를 판단하는 단계(S321)에서 상기 로그인 시도에 사용되는 ID와 패스워드의 수가 소정 수치 이하이거나, 소스 IP 의 단일 로그인 시간의 시간을 판단하는 단계(S323)에서 상기 단일 로그인 시도 시간이 상기 소정 시간 이상 인 것으로 판단되는 경우, 로그 분석 서버는 소스 IP에서 특정한 목적지 IP로의 로그인 실패 횟수를 판단할 수 있다(S333).Among the above steps, in the step (S321) of determining the number of IDs and passwords used by the source IP for login attempts, the number of IDs and passwords used for the login attempts is less than a predetermined value, or the time of a single login time of the source IP If it is determined that the single login attempt time is greater than or equal to the predetermined time in the determining step (S323), the log analysis server may determine the number of login failures from the source IP to a specific destination IP (S333).

여기서 기준이 되는 실패 횟수는 유해 IP 판단 시스템의 운영자에 의해 설정될 수 있다. 보다 상세하게, 로그 분석 서버는 하나의 소스 IP로부터 특정 목적지 IP로의 로그인 실패가 소정 수치 이상인지 여부를 판단할 수 있다. 만약, 하나의 소스 IP로부터 특정 목적지 IP로의 로그인 실패가 소정 수치 이상인 경우, 해당 소스 IP를 유해 IP로 분류하여 유해 점수를 증가시킬 수 있다(S334). 이 때, 증가되는 유해 점수는 유해 IP 판단 시스템의 운영자의 설정에 따라 달라질 수 있다.Here, the number of failures as a reference may be set by an operator of the harmful IP determination system. In more detail, the log analysis server may determine whether a login failure from one source IP to a specific destination IP is greater than or equal to a predetermined value. If the log-in failure from one source IP to a specific destination IP exceeds a predetermined value, the corresponding source IP may be classified as a harmful IP, and a harmful score may be increased (S334). In this case, the increased harmful score may vary according to the setting of the operator of the harmful IP determination system.

상기 유해 점수 증가 단계(S334)를 통해 소스 IP의 유해 점수가 증가하였다면, 상기한 소스 IP가 사용하는 소스 포트 개수를 판단하는 단계(S325)가 수행될 수 있다. 반면, 로그인 실패 횟수가 소정 수치 미만인 경우, 해당 소스 IP는 유해하지 않은 것으로 보아 로그인 패킷 분석을 종료할 수 있다(S335).If the harmful score of the source IP is increased through the harmful score increasing step (S334), determining the number of source ports used by the source IP (S325) may be performed. On the other hand, when the number of login failures is less than a predetermined value, the corresponding source IP is deemed to be harmless and analysis of the login packet may be terminated (S335).

로그인 패킷 분석이 종료되면 단일 공격 IP로 분류된 소스 IP 별로 유해 점수를 종합할 수 있다. 상기, 유해 점수가 증가되는 단계들(S322, S324, S326, S328, S330, S332, S334)을 통해 소스 IP에 대하여 증가되는 유해 점수는 누적될 수 있다. 또한, 유해 점수가 증가되는 단계들(S322, S324, S326, S328, S330, S332, S334)을 통해 증가되는 유해 점수는 각 단계에 해당하는 조건이 유해 IP를 판단하기에 얼마나 유효한 조건인 지에 따라 서로 같거나 다르게 설정될 수 있다. When the log-in packet analysis is finished, harmful scores can be aggregated for each source IP classified as a single attack IP. Through the steps (S322, S324, S326, S328, S330, S332, S334) of increasing the harmful score, the increased harmful score for the source IP may be accumulated. In addition, the harmful score increased through the steps (S322, S324, S326, S328, S330, S332, S334) in which the harmful score is increased depends on how effective the condition corresponding to each step is to determine the harmful IP. They can be set the same or different.

도 5는 본 발명의 실시예에 따라 점수가 증가된 유해 IP에 대한 등급을 분류하는 것을 예시하기 위한 도면이다.5 is a diagram for illustrating classification of a grade for harmful IP with an increased score according to an embodiment of the present invention.

도 5를 참조하면, 임의의 소스 IP에 대하여 누적된 유해 점수에 따라 해당 소스 IP의 유해 등급을 나누는 기준이 예시된 것을 알 수 있다. 상기한 도 2 내지 도 4를 통해 수행되는 유해 점수 증가 단계(S300)가 수행됨으로써 각각의 소스 IP 별로 유해 점수가 부여될 수 있다. Referring to FIG. 5, it can be seen that a criterion for dividing a harmful grade of a corresponding source IP according to an accumulated harmful score for an arbitrary source IP is illustrated. A harmful score may be assigned to each source IP by performing the harmful score increasing step S300 performed through FIGS. 2 to 4.

그 결과로 소스 IP의 유해 점수가 0 이면 "정상"등급, 유해 점수가 1 내지 3이면 "낮음" 등급, 4 내지 6이면 "다소 낮음" 등급, 7 내지 10이면 "보통" 등급, 11 내지 13이면 "조금 높음" 등급, 14 내지 15면 "높음" 등급으로 구분될 수 있다. 도 5는 예시적으로 설명한 것이며, 유해 IP 판단 환경이나 유해 IP 판단 시스템의 운영자의 설정에 의하여 유해 등급 기준은 달라질 수 있다. As a result, if the adverse score of the source IP is 0, the grade is "normal", if the negative score is 1 to 3, the grade is "low", if the grade is 4 to 6, the grade is "slightly low", If it is, it can be classified into a "a little high" grade, and if it is 14-15, it can be classified into a "high" grade. FIG. 5 is an exemplary description, and the level of harmfulness may be changed according to an environment for determining a harmful IP or an operator setting a system for determining a harmful IP.

로그 분석 서버는 소스 IP 별로 부여된 유해 등급을 통해 소정 등급 이상의 소스 IP를 유해 IP로 분류할 수 있다. 유해 IP로 분류된 소스 IP에 대해서 로그 분석 서버는 관련 정보를 저장하거나 유해 IP 시스템의 운영자나 사용자에게 알릴 수 있다.The log analysis server may classify source IPs of a predetermined level or higher as harmful IPs through a harmful class assigned to each source IP. For source IPs classified as harmful IPs, the log analysis server can store related information or notify the operator or user of the harmful IP system.

이상, 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.In the above, embodiments of the present invention have been described with reference to the accompanying drawings, but those of ordinary skill in the art to which the present invention pertains can be implemented in other specific forms without changing the technical spirit or essential features. You can understand that there is. Therefore, it should be understood that the embodiments described above are illustrative in all respects and not limiting.

10: 유해 IP 판단 시스템 20: 국내 단말
30: 해외 단말 100: 보안 장비
200: 로그 분석 서버10: harmful IP determination system 20: domestic terminal
30: overseas terminal 100: security equipment
200: log analysis server

Claims (7)

로그인 패킷을 수집하는 단계;
상기 로그인 패킷을 분석하여, 소스 IP (Internet Protocol)로부터 접속 시도되는 목적지 IP의 수에 따라 각각의 소스 IP를 단일 공격 IP 또는 복수 공격 IP로 분류하는 단계;
분류된 상기 소스 IP에 대응되는 로그인 패킷을 분석하여, 상기 소스 IP 에 대해 유해 점수를 증가시키는 단계; 및
상기 소스 IP 별로 증가된 유해 점수로부터 유해 IP를 검출하는 단계; 를 포함하는 것을 특징으로 하는 유해 IP 판단 방법.Collecting login packets;
Analyzing the login packet and classifying each source IP into a single attack IP or multiple attack IPs according to the number of destination IPs attempted to access from the source IP (Internet Protocol);
Analyzing a login packet corresponding to the classified source IP to increase a harmful score for the source IP; And
Detecting a harmful IP from the increased harmful score for each source IP; Harmful IP determination method comprising a. 제1 항에 있어서, 상기 로그인 패킷은
통신 경로 상에서 패킷을 수집하는 보안 장비로부터 전송되며, 로그인 실패에 대응되는 문구를 포함하는 패킷인 것을 특징으로 하는 유해 IP 판단 방법.The method of claim 1, wherein the login packet
A method for determining harmful IP, characterized in that the packet is transmitted from a security device collecting packets on a communication path and includes a phrase corresponding to a login failure. 제1 항에 있어서, 상기 점수를 증가시키는 단계는
상기 소스 IP가 분류된 공격 유형에 따라 다른 기준으로 점수를 증가시키는 단계인 것을 특징으로 하는 유해 IP 판단 방법.The method of claim 1, wherein increasing the score comprises:
And increasing a score based on a different criterion according to an attack type in which the source IP is classified. 제3 항에 있어서, 상기 유해 점수를 증가시키는 단계는
상기 소스 IP가 복수 공격 IP로 분류되면,
상기 소스 IP에 대해 로그인 실패 응답을 한 국가의 수를 기준으로 유해 점수를 증가시키는 단계;
상기 소스 IP가 소정의 ID로 로그인을 시도하였는지 여부에 따라 유해 점수를 증가시키는 단계;
상기 소스 IP의 로그인 시도 지속 시간의 길이에 따라 유해 점수를 증가시키는 단계;
상기 소스 IP가 사용하는 소스 포트 개수에 따라 유해 점수를 증가시키는 단계;
상기 소스 IP의 소정 시간 내 접속 시도 횟수에 따라 유해 점수를 증가시키는 단계;
상기 소스 IP가 로그인 시도에 사용하는 ID와 패스워드의 수에 따라 유해 점수를 증가시키는 단계; 및
상기 소스 IP가 로그인하고자 하는 목적지 IP가 DHCP(Dynamic Host Configuration Protocol) IP를 할당받았는 지 여부에 따라 유해 점수를 증가시키는 단계; 중 적어도 하나 이상의 단계에 따라 상기 소스 IP에 대해 유해 점수를 증가시키는 것을 특징으로 하는 유해 IP 판단 방법.The method of claim 3, wherein increasing the adverse score
If the source IP is classified as multiple attack IPs,
Increasing a harmful score based on the number of countries that have responded to a login failure for the source IP;
Increasing a harmful score according to whether the source IP attempts to log in with a predetermined ID;
Increasing the harmful score according to the length of the login attempt duration of the source IP;
Increasing a harmful score according to the number of source ports used by the source IP;
Increasing a harmful score according to the number of access attempts of the source IP within a predetermined time;
Increasing a harmful score according to the number of IDs and passwords used by the source IP for login attempts; And
Increasing a harmful score according to whether a destination IP to which the source IP wants to log in is assigned a Dynamic Host Configuration Protocol (DHCP) IP; The harmful IP determination method, characterized in that increasing the harmful score for the source IP according to at least one step of. 제3 항에 있어서, 상기 유해 점수를 증가시키는 단계는
상기 소스 IP가 단일 공격 IP로 분류되면,
상기 소스 IP가 로그인 시도에 사용하는 ID와 패스워드의 수에 따라 유해 점수를 증가시키는 단계;
상기 소스 IP의 단일 로그인 시도 시간의 길이가 소정 시간 미만 인지 여부에 따라 유해 점수를 증가시키는 단계;
상기 소스 IP가 사용하는 소스 포트 개수에 따라 점수를 유해 증가시키는 단계;
상기 소스 IP의 소정 시간 내 접속 시도 횟수에 따라 유해 점수를 증가시키는 단계;
상기 소스 IP의 로그인 시도 지속 시간의 길이에 따라 유해 점수를 증가시키는 단계; 및
로그인을 시도하는 상기 소스 IP의 국가에 따라 유해 점수를 증가시키는 단계; 중 적어도 하나 이상의 단계에 따라 상기 소스 IP에 대해 유해 점수를 증가시키는 것을 특징으로 하는 유해 IP 판단 방법.The method of claim 3, wherein increasing the adverse score
If the source IP is classified as a single attack IP,
Increasing a harmful score according to the number of IDs and passwords used by the source IP for login attempts;
Increasing a harmful score according to whether the length of a single login attempt time of the source IP is less than a predetermined time;
Increasing the score according to the number of source ports used by the source IP;
Increasing a harmful score according to the number of access attempts of the source IP within a predetermined time;
Increasing the harmful score according to the length of the login attempt duration of the source IP; And
Increasing the harmful score according to the country of the source IP attempting to log in; The harmful IP determination method, characterized in that increasing the harmful score for the source IP according to at least one step of. 제5 항에 있어서, 상기 유해 점수를 증가시키는 단계는
상기 소스 IP에서 특정한 목적지 IP로의 로그인 실패 횟수에 따라 유해 점수를 증가시키는 단계; 를 더 포함하는 것을 특징으로 하는 유해 IP 판단 방법.The method of claim 5, wherein increasing the adverse score
Increasing a harmful score according to the number of failed logins from the source IP to a specific destination IP; Harmful IP determination method, characterized in that it further comprises. 제6항에 있어서, 상기 소스 IP에서 특정한 목적지 IP로의 로그인 실패 횟수에 따라 유해 점수를 증가시키는 단계는
상기 로그인 시도에 사용되는 ID와 패스워드의 수에 따라 유해 점수를 증가시키는 단계에서 상기 로그인 시도에 사용되는 ID와 패스워드의 수가 소정 수치 이하이거나
상기 단일 로그인 시도 시간의 길이가 소정 시간 미만 인지 여부에 따라 유해 점수를 증가시키는 단계에서 상기 단일 로그인 시도 시간이 상기 소정 시간 이상 인 것으로 판단되는 경우 수행되는 것을 특징으로 하는 유해 IP 판단 방법.The method of claim 6, wherein the step of increasing the harmful score according to the number of failed logins from the source IP to a specific destination IP
In the step of increasing the harmful score according to the number of IDs and passwords used for the login attempt, the number of IDs and passwords used for the login attempt is less than or equal to a predetermined value.
And in the step of increasing the harmful score according to whether the length of the single login attempt time is less than a predetermined time, and is performed when it is determined that the single login attempt time is greater than the predetermined time.
KR1020190044830A 2019-04-17 2019-04-17 Harmful ip determining method KR102211503B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190044830A KR102211503B1 (en) 2019-04-17 2019-04-17 Harmful ip determining method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190044830A KR102211503B1 (en) 2019-04-17 2019-04-17 Harmful ip determining method

Publications (2)

Publication Number Publication Date
KR20200122054A true KR20200122054A (en) 2020-10-27
KR102211503B1 KR102211503B1 (en) 2021-02-04

Family

ID=73136407

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190044830A KR102211503B1 (en) 2019-04-17 2019-04-17 Harmful ip determining method

Country Status (1)

Country Link
KR (1) KR102211503B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113315791A (en) * 2021-07-30 2021-08-27 杭州安恒信息技术股份有限公司 Host protection method based on proxy module and electronic device
CN114422202A (en) * 2021-12-28 2022-04-29 中国电信股份有限公司 IP classification method, system, device, electronic equipment and storage medium

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060140127A1 (en) * 2004-12-29 2006-06-29 Hee-Jo Lee Apparatus for displaying network status
KR20110027907A (en) * 2009-09-11 2011-03-17 주식회사 엘림넷 System for counterplaning web firewall using conative detection·interception and method therefor
KR101747670B1 (en) * 2016-01-07 2017-06-15 한국인터넷진흥원 Method for detecting secure ploicy contravention

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060140127A1 (en) * 2004-12-29 2006-06-29 Hee-Jo Lee Apparatus for displaying network status
KR20110027907A (en) * 2009-09-11 2011-03-17 주식회사 엘림넷 System for counterplaning web firewall using conative detection·interception and method therefor
KR101747670B1 (en) * 2016-01-07 2017-06-15 한국인터넷진흥원 Method for detecting secure ploicy contravention

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113315791A (en) * 2021-07-30 2021-08-27 杭州安恒信息技术股份有限公司 Host protection method based on proxy module and electronic device
CN114422202A (en) * 2021-12-28 2022-04-29 中国电信股份有限公司 IP classification method, system, device, electronic equipment and storage medium

Also Published As

Publication number Publication date
KR102211503B1 (en) 2021-02-04

Similar Documents

Publication Publication Date Title
US11924170B2 (en) Methods and systems for API deception environment and API traffic control and security
CN109951500B (en) Network attack detection method and device
US9369479B2 (en) Detection of malware beaconing activities
US8042182B2 (en) Method and system for network intrusion detection, related network and computer program product
KR101424490B1 (en) Reverse access detecting system and method based on latency
KR101010302B1 (en) Security management system and method of irc and http botnet
CN101803305B (en) Network monitoring device, network monitoring method, and network monitoring program
US20160366159A1 (en) Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program
KR20010085057A (en) Apparatus for detecting invasion with network stream analysis
Pandey Prevention of ARP spoofing: A probe packet based technique
Abdullah et al. Revealing the criterion on botnet detection technique
Tripathi et al. Analysis of various ARP poisoning mitigation techniques: A comparison
KR102211503B1 (en) Harmful ip determining method
KR20200109875A (en) Harmful ip determining method
Salim et al. Preventing ARP spoofing attacks through gratuitous decision packet
CN113938312B (en) Method and device for detecting violent cracking flow
CN115664833A (en) Network hijacking detection method based on local area network security equipment
CN112491911B (en) DNS distributed denial of service defense method, device, equipment and storage medium
Lu et al. Botnet detection based on fuzzy association rules
Balogh et al. LAN security analysis and design
KR101400127B1 (en) Method and apparatus for detecting abnormal data packet
KR100862321B1 (en) Method and apparatus for detecting and blocking network attack without attack signature
CN111669376B (en) Method and device for identifying safety risk of intranet
KR101045332B1 (en) System for sharing information and method of irc and http botnet
KR102401661B1 (en) SYSTEM OF DETECTION AND DEFENSING AGAINST DDoS ATTACK AND METHOD THEREOF

Legal Events

Date Code Title Description
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)