KR20220044046A - 플로우 기반 pca에 저장된 제로데이 공격 패킷 검출 시스템 및 방법 - Google Patents

플로우 기반 pca에 저장된 제로데이 공격 패킷 검출 시스템 및 방법 Download PDF

Info

Publication number
KR20220044046A
KR20220044046A KR1020200127091A KR20200127091A KR20220044046A KR 20220044046 A KR20220044046 A KR 20220044046A KR 1020200127091 A KR1020200127091 A KR 1020200127091A KR 20200127091 A KR20200127091 A KR 20200127091A KR 20220044046 A KR20220044046 A KR 20220044046A
Authority
KR
South Korea
Prior art keywords
rule
packet
flow
received
packets
Prior art date
Application number
KR1020200127091A
Other languages
English (en)
Other versions
KR102427404B1 (ko
Inventor
최성곤
정장현
Original Assignee
충북대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 충북대학교 산학협력단 filed Critical 충북대학교 산학협력단
Priority to KR1020200127091A priority Critical patent/KR102427404B1/ko
Publication of KR20220044046A publication Critical patent/KR20220044046A/ko
Application granted granted Critical
Publication of KR102427404B1 publication Critical patent/KR102427404B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • H04L43/106Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 플로우 기반 PCA에 저장된 제로데이 공격 패킷 검출 시스템에 관한 것으로서, 수신된 패킷을 플로우(flow) 단위로 저장하고, 새로운 룰이 업데이트되면 저장된 패킷들을 NIDPS(200)에 송신하는 플로우 기반 PCA(100), 새로운 룰이 업데이트되면 룰 DB(300)로 새로 업데이트된 룰의 sid를 전송하고 룰 DB(300)로부터 sid에 해당하는 룰 풀 셋(rule full set) 정보를 참조하여 상기 플로우 기반 PCA(100)로부터 수신한 패킷들을 검사하고, 이를 통해 패킷의 타임스탬프(timestamp)를 pcap 파일 파싱부(400)로 송신하는 NIDPS(200), sid와 룰 풀 셋을 저장하고 있으며, 상기 NIDPS로부터 수신한 sid 값을 가진 룰 풀 셋을 검색하여 상기 NIDPS(200)로 송신하고 검출된 flow와 매칭된 룰 풀 셋을 패킷 매칭부(500)로 송신하는 룰 DB(300), 상기 NIDPS(200)로부터 수신한 타임스템프(timestamp) 값을 기반으로 상기 플로우 기반 PCA(100)에서 해당하는 플로우를 검출하고, 이 플로우에 포함되는 패킷들을 검출하여 상기 패킷 매칭부(500)로 전송하는 pcap 파일 파싱부(400) 및 상기 pcap 파일 파싱부(400)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 룰과 매칭되는 패킷을 제로데이 공격 패킷으로 검출하는 패킷 매칭부(500)를 포함한다.

Description

플로우 기반 PCA에 저장된 제로데이 공격 패킷 검출 시스템 및 방법 {System and method for detecting zero-day attack packet be saved in flow-based PCA}
본 발명은 네트워크 상에서 악성프로그램 공격을 방어할 수 있는 기술에 관한 것으로서, 더욱 상세하게는 제로데이 공격 패킷을 검출하는 기술에 관한 것이다.
최근 네트워크를 통한 공격들이 점차 다양해지고 새로운 패턴들이 생겨나고 있고, 그로 인한 피해도 증가하고 있다.
공격 위험이 있는 패턴을 가진 패킷들을 탐지하고 막기 위해 시그니처 기반의 IDS(Intrusion Detection System), IPS(Intrusion Prevention System)엔진 사용이 증가 하고 있다. IDS는 공격 위험이 있는 패턴을 가진 패킷들을 탐지한다. IPS는 시스템을 보호하기 위해 공격 위험이 있는 패턴을 가진 패킷들을 탐지 할뿐만 아니라 패킷을 차단할 수 있다.
NIDPS(Network Intrusion Detection and Prevention Systems) 엔진은 IDS, IPS 기능을 모두 수행할 수 있다. 대표적인 NIDPS 엔진에는 snort, suricata, bro 등이 있다. NIDPS 엔진들은 다양한 시그니처라고 불리는 공격 패턴을 방어하기 위해 룰을 생성하고 룰에 해당하는 패턴을 가진 패킷들을 룰에 정의된 방법으로 처리한다.
PCA(packet Capture Appliance)는 패킷(packet)을 저장할 수 있는 기능을 가진 기기이다. 최근 제로데이 공격으로 인한 피해를 줄이기 위해 PCA를 사용하고 있다. 즉, NIDPS 엔진을 통과한 패킷을 PCA에 저장하고 새로운 공격 패턴 시그니처가 업데이트되면 업데이트된 공격패턴을 가진 패킷이 수신된 적이 있는지 PCA에서 탐색하고 해당 패킷을 추적하여 대응한다.
NIDPS 엔진은 기존에 알려진 공격 패킷만 탐지 및 차단할 수 있기 때문에 알려지지 않은 공격 패킷에 취약하다. PCA(Packet Capture Appliance)는 수신되는 패킷을 모두 저장한다. 이후 새로운 공격 패턴이 발견되면, PCA에 저장된 패킷 중 새로운 공격 패턴을 가진 패킷이 있는지 확인하기 위해, 저장된 패킷들을 룰 업데이트가 완료된 NIDPS 엔진를 통해 재검사 한다. 재검사 결과 새로운 공격 패턴을 가진 패킷이 있다면 그에 따른 대응을 한다. 하지만 기존 PCA는 수신되는 모든 패킷의 풀(full) 패킷을 모두 저장해야하기 때문에 매우 큰 저장용량을 가진 장비가 필요하다는 단점이 있다.
이러한 풀(Full) 패킷을 저장해야하는 단점을 해결하기 위해 Frist-N 등의 기술을 활용하여 풀 패킷이 아닌 패킷의 일부분을 저장하거나, 플로우(flow) 내 일부 패킷들만 저장하는 플로우(flow) 기반 PCA가 사용되고 있다.
플로우 기반 PCA에 저장된 패킷과 룰 업데이트 후 NIDPS 엔진을 통한 재검사 결과로 검출된 새로운 공격 패킷들은 플로우 기반 PCA에 저장된 패킷의 타임스탬프(timestamp)와 NIDPS 엔진에서 알림을 주는 타임스탬프(timestamp)가 다르다는 문제가 있다. 따라서 플로우 기반 PCA는 새로운 공격 패킷이 포함된 플로우를 검출할 수 있지만, 플로우 내 패킷들 중 어느 패킷이 새로운 룰에 매칭되는 공격패킷인지 확인할 수 없다는 문제점점이 있다. 그러므로 플로우 기반 PCA에 저장된 패킷들 중에서 제로데이 패킷을 검출해 내는 방안이 필요하다.
대한민국 등록특허 10-2046789
본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서, 플로우(flow) 기반 PCA에 저장된 제로데이 패킷을 포함한 플로우 및 해당 패킷을 검출하기 위한 제로데이 공격 패킷 검출 방법 및 시스템을 제공하는데 그 목적이 있다.
본 발명의 목적은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
이와 같은 목적을 달성하기 위한 본 발명은 플로우 기반 PCA에 저장된 제로데이 공격 패킷 검출 시스템에 관한 것으로서, 수신된 패킷을 플로우(flow) 단위로 저장하고, 새로운 룰이 업데이트되면 저장된 패킷들을 NIDPS(200)에 송신하는 플로우 기반 PCA(100), 새로운 룰이 업데이트되면 룰 DB(300)로 새로 업데이트된 룰의 sid를 전송하고 룰 DB(300)로부터 sid에 해당하는 룰 풀 셋(rule full set) 정보를 참조하여 상기 플로우 기반 PCA(100)로부터 수신한 패킷들을 검사하고, 이를 통해 패킷의 타임스탬프(timestamp)를 pcap 파일 파싱부(400)로 송신하는 NIDPS(200), sid와 룰 풀 셋을 저장하고 있으며, 상기 NIDPS(200)에 룰 풀 셋을 송신하고, 상기 NIDPS로부터 수신한 sid 값을 가진 룰 풀 셋을 검색하여 상기 NIDPS(200)로 송신하고 검출된 flow와 매칭된 룰 풀 셋을 패킷 매칭부(500)로 송신하는 룰 DB(300), 상기 NIDPS(200)로부터 수신한 타임스템프(timestamp) 값을 기반으로 상기 플로우 기반 PCA(100)에서 해당하는 플로우를 검출하고, 이 플로우에 포함되는 패킷들을 검출하여 상기 패킷 매칭부(500)로 전송하는 pcap 파일 파싱부(400) 및 상기 pcap 파일 파싱부(400)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 룰과 매칭되는 패킷을 제로데이 공격 패킷으로 검출하는 패킷 매칭부(500)를 포함한다.
상기 pcap 파일 파싱부(400)는, 상기 NIDPS(200)로부터 수신한 타임스템프(timestamp) 값을 기반으로 상기 플로우 기반 PCA(100)에서 해당하는 플로우를 검출하고, 검출한 플로우를 패킷 탐색부(420)로 전송하는 플로우 탐색부(410)와, 상기 플로우 탐색부(410)로부터 수신한 플로우에서 패킷을 검출하여 상기 패킷 매칭부(500)로 전송하는 패킷 탐색부(420)를 포함하여 이루어질 수 있다.
상기 패킷 매칭부(500)는, 상기 pcap 파일 파싱부(400)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 공격 패킷의 헤더 패턴 부분과 매칭되는 패킷을 검출하고, 검출된 패킷을 페이로드 매칭부(520)로 전송하는 헤더 매칭부(510)와, 상기 헤더 매칭부(510)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 공격 패킷의 페이로드 패턴 부분과 매칭되는 패킷을 제로데이 공격 패킷으로 검출하는 페이로드 매칭부(520)를 포함하여 이루어질 수 있다.
본 발명의 플로우 기반 PCA에 저장된 제로데이 공격 패킷 검출 방법은 플로우 기반 PCA(100)에서 수신된 패킷을 플로우(flow) 단위로 저장하고, 새로운 룰이 업데이트되면 저장된 패킷들을 NIDPS(200)에 송신하는 단계, NIDPS(200)에서 룰 DB(300)의 룰 풀 셋(rule full set) 정보를 참조하여 상기 플로우 기반 PCA(100)로부터 수신한 패킷들을 검사하고, 이를 통해 패킷의 타임스탬프(timestamp)를 pcap 파일 파싱부(400)로 송신하고, 업데이트된 룰의 sid를 상기 룰 DB(300)로 송신하는 단계, 룰 DB(300)에서 sid와 룰 풀 셋을 저장하고 있으며, 상기 NIDPS(200)에 룰 풀 셋을 송신하고, 상기 NIDPS로부터 수신한 sid 값을 가진 룰 풀 셋을 검색하여 패킷 매칭부(500)로 송신하는 단계, pcap 파일 파싱부(400)에서 상기 NIDPS(200)로부터 수신한 타임스템프(timestamp) 값을 기반으로 상기 플로우 기반 PCA(100)에서 해당하는 플로우를 검출하고, 이 플로우에 포함되는 패킷들을 검출하여 상기 패킷 매칭부(500)로 전송하는 단계 및 패킷 매칭부(500)에서 상기 pcap 파일 파싱부(400)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 룰과 매칭되는 패킷을 제로데이 공격 패킷으로 검출하는 단계를 포함한다.
상기 pcap 파일 파싱부(400)는 패킷을 검출하여 상기 패킷 매칭부(500)로 전송하는 단계에서, 플로우 탐색부(410)가 상기 NIDPS(200)로부터 수신한 타임스템프(timestamp) 값을 기반으로 상기 플로우 기반 PCA(100)에서 해당하는 플로우를 검출하고, 검출한 플로우를 패킷 탐색부(420)로 전송하는 단계와, 패킷 탐색부(420)가 상기 플로우 탐색부(410)로부터 수신한 플로우에 포함되는 패킷들을 검출하여 상기 패킷 매칭부(500)로 전송하는 단계를 포함하여 이루어질 수 있다.
상기 패킷 매칭부(500)는 제로데이 공격 패킷으로 검출하는 단계에서, 헤더 매칭부(510)가 상기 pcap 파일 파싱부(400)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 공격 패킷의 헤더 패턴 부분과 매칭되는 패킷을 검출하고, 검출된 패킷을 페이로드 매칭부(520)로 전송하는 단계와, 페이로드 매칭부(520)가 상기 헤더 매칭부(510)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 공격 패킷의 페이로드 패턴 부분과 매칭되는 패킷을 제로데이 공격 패킷으로 검출하는 단계를 포함하여 이루어질 수 있다.
본 발명에 의하면, 플로우 기반 PCA에 저장된 플로우 내 패킷들 중 제로데이 공격 패킷을 용이하게 검출할 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 플로우 기반 PCA에 저장된 제로데이 공격 패킷 검출 시스템의 구성을 보여주는 블록도이다.
도 2는 본 발명의 일 실시예에 따른 플로우 기반 PCA에 저장된 제로데이 공격 패킷 검출 시스템에서 pcap 파일 파싱부의 내부 구성을 보여주는 블록도이다.
도 3은 본 발명의 일 실시예에 따른 플로우 기반 PCA에 저장된 제로데이 공격 패킷 검출 시스템에서 패킷 매칭부의 내부 구성을 보여주는 블록도이다.
도 4는 본 발명의 일 실시예에 따른 따른 플로우 기반 PCA에 저장된 제로데이 공격 패킷 검출 방법을 보여주는 흐름도이다.
본 명세서에서 개시된 실시 예의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 개시에서 제안하고자 하는 실시 예는 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 당해 기술분야에서 통상의 지식을 가진 자에게 실시 예들의 범주를 완전하게 알려주기 위해 제공되는 것일 뿐이다.
본 명세서에서 사용되는 용어에 대해 간략히 설명하고, 개시된 실시 예에 대해 구체적으로 설명하기로 한다.
본 명세서에서 사용되는 용어는 개시된 실시 예들의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 관련 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 명세서의 상세한 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 개시에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 명세서의 전반에 걸친 내용을 토대로 정의되어야 한다.
본 명세서에서의 단수의 표현은 문맥상 명백하게 단수인 것으로 특정하지 않는 한, 복수의 표현을 포함한다.
명세서 전체에서 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다. 또한, 명세서에서 사용되는 "부"라는 용어는 소프트웨어, FPGA 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, "부"는 어떤 역할들을 수행한다. 그렇지만 "부"는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. "부"는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 "부"는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로 코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 "부"들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 "부"들로 결합되거나 추가적인 구성요소들과 "부"들로 더 분리될 수 있다.
또한, 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일한 참조 부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
본 발명은 플로우(flow) 기반 PCA(Packet Capture Appliance)에 저장된 제로데이 공격 패킷 검출 시스템 및 방법에 관한 것이다.
도 1은 본 발명의 일 실시예에 따른 플로우 기반 PCA에 저장된 제로데이 공격 패킷 검출 시스템의 구성을 보여주는 블록도이다.
도 1을 참조하면, 본 발명의 플로우 기반 PCA에 저장된 제로데이 공격 패킷 검출 시스템은 플로우 기반 PCA(100), NIDPS(200), 룰 DB(database)(300), pcap 파일 파싱부(400), 패킷 매칭부(500)를 포함한다.
플로우 기반 PCA(100)는 수신된 패킷을 플로우(flow) 단위로 저장하고, 새로운 룰이 업데이트되면 저장된 패킷들을 NIDPS(200)에 송신한다.
NIDPS(200)는 새로운 룰이 업데이트되면 룰 DB(300)로 새로 업데이트된 룰의 sid를 전송하고 룰 DB(300)로부터 sid에 해당하는 룰 풀 셋(rule full set) 정보를 참조하여 상기 플로우 기반 PCA(100)로부터 수신한 패킷들을 검사하고, 이를 통해 패킷의 타임스탬프(timestamp)를 pcap 파일 파싱부(400)로 송신하고, 업데이트된 룰의 sid를 상기 룰 DB(300)로 송신한다. 타임스탬프는 패킷이 수신된 시간을 의미한다.
sid(signiture ID)는 NIDPS(200)의 룰에 부여된 ID를 의미한다.
룰 DB(300)는 sid와 룰 풀 셋을 저장하고 있으며, 상기 NIDPS로부터 수신한 sid 값을 가진 룰 풀 셋을 검색하여 상기 NIDPS(200)로 송신하고 검출된 flow와 매칭된 룰 풀 셋을 패킷 매칭부(500)로 송신한다.
pcap 파일 파싱부(400)는 NIDPS(200)로부터 수신한 타임스템프(timestamp) 값을 기반으로 상기 플로우 기반 PCA(100)에서 해당하는 플로우를 검출하고, 이 플로우에 포함되는 패킷들을 검출하여 상기 패킷 매칭부(500)로 전송한다. pcap 파일 파싱부(400)는 pcap 파일을 파싱(parcing)하여, 플로우를 검출하고, 패킷을 검출한다.
패킷 매칭부(500)는 pcap 파일 파싱부(400)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 룰과 매칭되는 패킷을 제로데이 공격 패킷으로 검출한다.
도 2는 본 발명의 일 실시예에 따른 플로우 기반 PCA에 저장된 제로데이 공격 패킷 검출 시스템에서 pcap 파일 파싱부의 내부 구성을 보여주는 블록도이다.
도 2를 참조하면 pcap 파일 파싱부(400)는 플로우 탐색부(410), 패킷 탐색부(420)를 포함한다.
플로우 탐색부(410)는 NIDPS(200)로부터 수신한 타임스템프(timestamp) 값을 기반으로 상기 플로우 기반 PCA(100)에서 해당하는 플로우를 검출하고, 검출한 플로우를 패킷 탐색부(420)로 전송한다.
패킷 탐색부(420)는 플로우 탐색부(410)로부터 수신한 플로우에 포함되는 패킷들을 검출하여 패킷 매칭부(500)로 전송한다.
도 3은 본 발명의 일 실시예에 따른 플로우 기반 PCA에 저장된 제로데이 공격 패킷 검출 시스템에서 패킷 매칭부의 내부 구성을 보여주는 블록도이다.
도 3을 참조하면, 패킷 매칭부(500)는 헤더(Header) 매칭부(510)와, 페이로드(Payload) 매칭부(520)를 포함한다.
헤더 매칭부(510)는 pcap 파일 파싱부(400)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 공격 패킷의 헤더 패턴 부분과 매칭되는 패킷을 검출하고, 검출된 패킷을 페이로드 매칭부(520)로 전송한다.
페이로드 매칭부(520)는 헤더 매칭부(510)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 공격 패킷의 페이로드 패턴 부분과 매칭되는 패킷을 제로데이 공격 패킷으로 검출한다.
도 4는 본 발명의 일 실시예에 따른 따른 플로우 기반 PCA에 저장된 제로데이 공격 패킷 검출 방법을 보여주는 흐름도이다.
도 4를 참조하면, 플로우 기반 PCA(100)에서 수신된 패킷을 플로우(flow) 단위로 저장하고, 새로운 룰이 업데이트되면 저장된 패킷들을 NIDPS(200)에 송신한다(S410).
그리고, NIDPS(200)에서 새로운 룰이 업데이트되면 룰 DB(300)로 새로 업데이트된 룰의 sid를 전송하고 룰 DB(300)로부터 sid에 해당하는 룰 풀 셋(rule full set) 정보를 참조하여 상기 플로우 기반 PCA(100)로부터 수신한 패킷들을 검사하고, 이를 통해 패킷의 타임스탬프(timestamp)를 pcap 파일 파싱부(400)로 송신한다(S420).
그리고, 룰 DB(300)에서 sid와 룰 풀 셋을 저장하고 있으며, 상기 NIDPS(200)로부터 수신한 sid 값을 가진 룰 풀 셋을 검색하여 상기 NIDPS(200)로 송신하고 검출된 flow와 매칭된 룰 풀 셋을 패킷 매칭부(500)로 송신한다(S430).
그리고, pcap 파일 파싱부(400)에서 상기 NIDPS(200)로부터 수신한 타임스템프(timestamp) 값을 기반으로 상기 플로우 기반 PCA(100)에서 해당하는 플로우를 검출하고, 이 플로우에 포함되는 패킷들을 검출하여 상기 패킷 매칭부(500)로 전송한다(S440).
그리고, 패킷 매칭부(500)에서 상기 pcap 파일 파싱부(400)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 룰과 매칭되는 패킷을 제로데이 공격 패킷으로 검출한다(S450).
pcap 파일 파싱부(400)에서 패킷을 검출하여 상기 패킷 매칭부(500)로 전송하는 단계(S440)에서, 플로우 탐색부(410)가 상기 NIDPS(200)로부터 수신한 타임스템프(timestamp) 값을 기반으로 상기 플로우 기반 PCA(100)에서 해당하는 플로우를 검출하고, 검출한 플로우를 패킷 탐색부(420)로 전송하는 단계와, 패킷 탐색부(420)가 상기 플로우 탐색부(410)로부터 수신한 플로우에 포함되는 패킷들을 검출하여 상기 패킷 매칭부로 전송하는 단계를 포함할 수 있다.
패킷 매칭부(500) 제로데이 공격 패킷으로 검출하는 단계(S450)에서, 헤더 매칭부(510)가 상기 pcap 파일 파싱부(400)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 공격 패킷의 헤더 패턴 부분과 매칭되는 패킷을 검출하고, 검출된 패킷을 페이로드 매칭부(520)로 전송하는 단계와, 페이로드 매칭부(520)가 상기 헤더 매칭부(510)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 공격 패킷의 페이로드 패턴 부분과 매칭되는 패킷을 제로데이 공격 패킷으로 검출하는 단계를 포함하여 이루어질 수 있다.
이상 본 발명을 몇 가지 바람직한 실시 예를 사용하여 설명하였으나, 이들 실시 예는 예시적인 것이며 한정적인 것이 아니다. 본 발명이 속하는 기술분야에서 통상의 지식을 지닌 자라면 본 발명의 사상과 첨부된 특허청구범위에 제시된 권리범위에서 벗어나지 않으면서 다양한 변화와 수정을 가할 수 있음을 이해할 것이다.
100 플로우 기반 PCA
200 NIDPS
300 룰 DB
400 pcap 파일 파싱부
500 패킷 매칭부
410 플로우 탐색부
420 패킷 탐색부
510 헤더 매칭부
520 페이로드 매칭부

Claims (6)

  1. 수신된 패킷을 플로우(flow) 단위로 저장하고, 새로운 룰이 업데이트되면 저장된 패킷들을 NIDPS(200)에 송신하는 플로우 기반 PCA(100);
    새로운 룰이 업데이트되면 룰 DB(300)로 새로 업데이트된 룰의 sid를 전송하고 룰 DB(300)로부터 sid에 해당하는 룰 풀 셋(rule full set) 정보를 참조하여 상기 플로우 기반 PCA(100)로부터 수신한 패킷들을 검사하고, 이를 통해 패킷의 타임스탬프(timestamp)를 pcap 파일 파싱부(400)로 송신하는 NIDPS(200);
    sid와 룰 풀 셋을 저장하고 있으며, 상기 NIDPS로부터 수신한 sid 값을 가진 룰 풀 셋을 검색하여 상기 NIDPS(200)로 송신하고 검출된 flow와 매칭된 룰 풀 셋을 패킷 매칭부(500)로 송신하는 룰 DB(300);
    상기 NIDPS(200)로부터 수신한 타임스템프(timestamp) 값을 기반으로 상기 플로우 기반 PCA(100)에서 해당하는 플로우를 검출하고, 이 플로우에 포함되는 패킷들을 검출하여 상기 패킷 매칭부(500)로 전송하는 pcap 파일 파싱부(400); 및
    상기 pcap 파일 파싱부(400)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 룰과 매칭되는 패킷을 제로데이 공격 패킷으로 검출하는 패킷 매칭부(500)
    를 포함하는 제로데이 공격 패킷 검출 시스템.
  2. 청구항 1에 있어서,
    상기 pcap 파일 파싱부(400)는,
    상기 NIDPS(200)로부터 수신한 타임스템프(timestamp) 값을 기반으로 상기 플로우 기반 PCA(100)에서 해당하는 플로우를 검출하고, 검출한 플로우를 패킷 탐색부(420)로 전송하는 플로우 탐색부(410)와,
    상기 플로우 탐색부(410)로부터 수신한 플로우에 포함되는 패킷들을 상기 패킷 매칭부(500)로 전송하는 패킷 탐색부(420)
    를 포함하여 이루어지는 것을 특징으로 하는 제로데이 공격 패킷 검출 시스템.
  3. 청구항 1에 있어서,
    상기 패킷 매칭부(500)는,
    상기 pcap 파일 파싱부(400)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 공격 패킷의 헤더 패턴 부분과 매칭되는 패킷을 검출하고, 검출된 패킷을 페이로드 매칭부(520)로 전송하는 헤더 매칭부(510)와,
    상기 헤더 매칭부(510)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 공격 패킷의 페이로드 패턴 부분과 매칭되는 패킷을 제로데이 공격 패킷으로 검출하는 페이로드 매칭부(520)
    를 포함하여 이루어지는 것을 특징으로 하는 제로데이 공격 패킷 검출 시스템.
  4. 플로우 기반 PCA(100)에서 수신된 패킷을 플로우(flow) 단위로 저장하고, 새로운 룰이 업데이트되면 저장된 패킷들을 NIDPS(200)에 송신하는 단계;
    NIDPS(200)에서 새로운 룰이 업데이트되면 룰 DB(300)로 새로 업데이트된 룰의 sid를 전송하고 룰 DB(300)로부터 sid에 해당하는 룰 풀 셋(rule full set) 정보를 참조하여 상기 플로우 기반 PCA(100)로부터 수신한 패킷들을 검사하고, 이를 통해 패킷의 타임스탬프(timestamp)를 pcap 파일 파싱부(400)로 송신하고, 검출된 flow와 매칭된 룰의 sid를 상기 룰 DB(300)로 송신하는 단계;
    룰 DB(300)에서 sid와 룰 풀 셋을 저장하고 있으며, 상기 NIDPS로부터 수신한 sid 값을 가진 룰 풀 셋을 검색하여 상기 NIDPS(200)로 송신하고 검출된 flow와 매칭된 룰 풀 셋을 패킷 매칭부(500)로 송신하는 단계;
    pcap 파일 파싱부(400)에서 상기 NIDPS(200)로부터 수신한 타임스템프(timestamp) 값을 기반으로 상기 플로우 기반 PCA(100)에서 해당하는 플로우를 검출하고, 이 플로우에 포함되는 패킷들을 검출하여 상기 패킷 매칭부(500)로 전송하는 단계; 및
    패킷 매칭부(500)에서 상기 pcap 파일 파싱부(400)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 룰과 매칭되는 패킷을 제로데이 공격 패킷으로 검출하는 단계
    를 포함하는 제로데이 공격 패킷 검출 방법.
  5. 청구항 4에 있어서,
    상기 pcap 파일 파싱부(400)에서 패킷을 검출하여 상기 패킷 매칭부(500)로 전송하는 단계에서,
    플로우 탐색부(410)가 상기 NIDPS(200)로부터 수신한 타임스템프(timestamp) 값을 기반으로 상기 플로우 기반 PCA(100)에서 해당하는 플로우를 검출하고, 검출한 플로우를 패킷 탐색부(420)로 전송하는 단계와,
    패킷 탐색부(420)가 상기 플로우 탐색부(410)로부터 수신한 플로우에 포함되는 패킷들을 검출하여 상기 패킷 매칭부(500)로 전송하는 단계
    를 포함하여 이루어지는 것을 특징으로 하는 제로데이 공격 패킷 검출 방법.
  6. 청구항 4에 있어서,
    상기 패킷 매칭부(500) 제로데이 공격 패킷으로 검출하는 단계에서,
    헤더 매칭부(510)가 상기 pcap 파일 파싱부(400)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 공격 패킷의 헤더 패턴 부분과 매칭되는 패킷을 검출하고, 검출된 패킷을 페이로드 매칭부(520)로 전송하는 단계와,
    페이로드 매칭부(520)가 상기 헤더 매칭부(510)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 공격 패킷의 페이로드 패턴 부분과 매칭되는 패킷을 제로데이 공격 패킷으로 검출하는 단계
    를 포함하여 이루어지는 것을 특징으로 하는 제로데이 공격 패킷 검출 방법.
KR1020200127091A 2020-09-29 2020-09-29 플로우 기반 pca에 저장된 제로데이 공격 패킷 검출 시스템 및 방법 KR102427404B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200127091A KR102427404B1 (ko) 2020-09-29 2020-09-29 플로우 기반 pca에 저장된 제로데이 공격 패킷 검출 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200127091A KR102427404B1 (ko) 2020-09-29 2020-09-29 플로우 기반 pca에 저장된 제로데이 공격 패킷 검출 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20220044046A true KR20220044046A (ko) 2022-04-06
KR102427404B1 KR102427404B1 (ko) 2022-08-01

Family

ID=81211762

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200127091A KR102427404B1 (ko) 2020-09-29 2020-09-29 플로우 기반 pca에 저장된 제로데이 공격 패킷 검출 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR102427404B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101837935B1 (ko) * 2017-03-31 2018-03-13 주식회사 젠틸리언 전수 패킷 저장 기반의 데이터 검색 성능 향상을 위한 수신 패킷 저장 장치 및 그 방법
US20190068649A1 (en) * 2015-04-30 2019-02-28 Drawbridge Networks, Inc. Computer network security system
KR102046789B1 (ko) 2019-04-05 2019-11-20 호서대학교 산학협력단 웹 어플리케이션에 대한 딥러닝 기반의 침입탐지 방법, 시스템 및 컴퓨터 프로그램

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190068649A1 (en) * 2015-04-30 2019-02-28 Drawbridge Networks, Inc. Computer network security system
KR101837935B1 (ko) * 2017-03-31 2018-03-13 주식회사 젠틸리언 전수 패킷 저장 기반의 데이터 검색 성능 향상을 위한 수신 패킷 저장 장치 및 그 방법
KR102046789B1 (ko) 2019-04-05 2019-11-20 호서대학교 산학협력단 웹 어플리케이션에 대한 딥러닝 기반의 침입탐지 방법, 시스템 및 컴퓨터 프로그램

Also Published As

Publication number Publication date
KR102427404B1 (ko) 2022-08-01

Similar Documents

Publication Publication Date Title
CN110719291B (zh) 一种基于威胁情报的网络威胁识别方法及识别系统
US11102223B2 (en) Multi-host threat tracking
CN100448203C (zh) 用于识别和防止恶意入侵的系统和方法
CN109951477B (zh) 一种基于威胁情报检测网络攻击的方法和装置
US7904942B2 (en) Method of updating intrusion detection rules through link data packet
US10516671B2 (en) Black list generating device, black list generating system, method of generating black list, and program of generating black list
KR102225460B1 (ko) 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치
US20080071783A1 (en) System, Apparatus, And Methods For Pattern Matching
US20030084326A1 (en) Method, node and computer readable medium for identifying data in a network exploit
US20060126522A1 (en) Detecting malicious codes
US11178114B2 (en) Data processing method, device, and system
US8336098B2 (en) Method and apparatus for classifying harmful packet
KR102152338B1 (ko) Nidps 엔진 간의 룰 변환 시스템 및 방법
KR100770357B1 (ko) 시그너처 해싱을 이용하여 시그너처 매칭 회수를 줄이는고성능 침입 방지 시스템 및 그 방법
US10291632B2 (en) Filtering of metadata signatures
US7904433B2 (en) Apparatus and methods for performing a rule matching
CN116451215A (zh) 关联分析方法及相关设备
CN114189361B (zh) 防御威胁的态势感知方法、装置及系统
KR101308085B1 (ko) 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법
Giacinto et al. Alarm clustering for intrusion detection systems in computer networks
KR102427404B1 (ko) 플로우 기반 pca에 저장된 제로데이 공격 패킷 검출 시스템 및 방법
CN113259349A (zh) 一种轨道交通控制网络的监测方法及装置
Li et al. Real-time correlation of network security alerts
JP7172104B2 (ja) ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法
KR100951930B1 (ko) 부적절한 패킷의 분류 방법 및 장치

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant