WO2016039491A1 - 패킷과 시그니처 기반의 침입 탐지 장치 및 침입 탐지 방법 - Google Patents

Abstract

패킷과 시그니처 기반의 침입 탐지 장치 및 침입 탐지 방법이 제공되며, 네트워크를 통해 전달되는 패킷을 실시간으로 수집하고 분류하여 복수의 패킷그룹을 생성하는 패킷수집부, 시그니처 세트에 포함되는 공격 패킷 탐지를 위한 복수의 시그니처를 소정 기준으로 분류한 복수의 시그니처 서브세트들- 각 시그니처 서브세트는 기준을 충족하는 하나 이상의 시그니처들을 포함함-을 저장하는 메모리부, 패킷그룹을 검사하는 복수의 코어를 포함하며, 각 코어는 대응하는 시그니처 서브세트를 기준으로 패킷그룹 내의 공격 패킷을 탐지하는 중앙처리부, 그리고 패킷그룹을 저장하고 상기 복수의 코어에 로드-밸런싱하는 DMA(direct memory access)포함한다.

Description

패킷과 시그니처 기반의 침입 탐지 장치 및 침입 탐지 방법

패킷과 시그니처 기반의 침입 탐지 장치 및 침입 탐지 방법이 제공된다.

네트워크 트래픽은 이미 수기가비트 급으로 확장되었으며 대규모 네트워크 환경에서 다양한 침입(새로운 공격 유형, 기존 공격 유형의 변이 등)에 유연하게 대응할 수 있도록 침입 탐지 시스템에서 처리하여야 할 사용자 정의 시그니처의 개수가 폭발적으로 증가하고 있다. 이에 따라 하나의 패킷에 대하여 시그니처 매칭 시간이 증가하게 되고 이로 인해 패킷의 지연현상이 발생한다. 따라서, 네트워크 트래픽 뿐만 아니라 침입 탐지 시스템에서 처리해야 할 시그니처 개수 역시 시스템의 성능을 결정하는 주요 요소로 작용하고 있으며 이에 따라 다양한 침입 탐지 및 방지 장치들이 개발되고 있다.

도 1은 종래 침입 탐지 시스템이다.

도 1에서 보면, 패킷 수집부(10)를 통해 실시간으로 패킷을 수집하고, 수집된 패킷을 5-튜플(tuple) 기준으로 분류한 패킷그룹을 DMA 컨트롤러(direct memory access controller)(20)에 저장한다. 이후 멀티코어 구조의 중앙처리부(30)에서 DMA 컨트롤러(20)로부터 상기 패킷그룹을 읽어들이고 메모리부(40)에 저장된 시그니처 세트를 이용하여 공격 패킷 탐지를 수행한다. 이때, 시그니처 세트란 패킷 공격을 탐지하는 기준이 되는 룰 또는 시그니처의 집합을 의미하며, 상기 멀티코어에서 동일한 시그니처 세트를 이용하여 공격 패킷을 탐지한다.

그러나, 도 1의 침입 탐지 장치는 네트워크 트래픽 분산만을 고려하고 있을 뿐 시그니처 개수 증가에 대응하는 구성은 포함하지 않으며, 멀티코어를 이용한 다중처리를 지원하고 있으나, 모든 탐지엔진(코어)이 동일한 시그니처 세트를 이용한다는 점에서 장치의 성능이 저하되는 문제가 발생할 수 있다.

본 발명의 일 실시예가 해결하려는 과제는 패킷과 시그니처를 모두 분산하여 다중처리하는 패킷과 시그니처 기반의 침입 탐지 장치 및 침입 탐지 방법을 제공하는 것이다.

상기 과제 이외에도 구체적으로 언급되지 않은 다른 과제를 달성하는 데 본 발명에 따른 실시예가 사용될 수 있다.

상기 과제를 해결하기 위해 본 발명의 일 실시예는, 네트워크를 통해 전달되는 패킷을 실시간으로 수집하고 분류하여 복수의 패킷그룹을 생성하는 패킷수집부, 시그니처 세트에 포함되는 공격 패킷 탐지를 위한 복수의 시그니처를 소정 기준으로 분류한 복수의 시그니처 서브세트들-상기 각 시그니처 서브세트는 상기 기준을 충족하는 하나 이상의 시그니처들을 포함함-을 저장하는 메모리부, 상기 패킷그룹을 검사하는 복수의 코어를 포함하며, 상기 각 코어는 대응하는 상기 시그니처 서브세트를 기준으로 상기 패킷그룹 내의 공격 패킷을 탐지하는 중앙처리부, 그리고 상기 패킷그룹을 저장하고 상기 복수의 코어에 로드-밸런싱하는 DMA(direct memory access)를 포함하는 패킷과 시그니처 기반의 침입 탐지 장치를 일 실시예로 제안한다.

상기 과제를 해결하기 위해 본 발명의 다른 실시예는, 네트워크를 통해 전달되는 패킷을 실시간으로 수집하고 분류하여 복수의 패킷그룹을 생성하는 패킷수집부, 시그니처 세트에 포함되는 공격 패킷 탐지를 위한 복수의 시그니처를 소정 기준으로 분류한 복수의 시그니처 서브세트들-상기 각 시그니처 서브세트는 상기 기준을 충족하는 하나 이상의 시그니처들을 포함함-을 저장하는 메모리부, 상기 시그니처 세트를 각각 처리하는 복수의 코어 그룹-상기 각 코어 그룹은 대응하는 시그니처 서브세트를 처리하는 복수의 코어를 포함함-을 포함하며, 상기 코어 그룹들은 동일한 시그니처 세트를 이용하고, 상기 각 코어 그룹 내의 복수의 코어에 대응하는 시그니처 서브세트를 이용하여 상기 패킷그룹 내의 공격 패킷을 탐지하는 중앙처리부, 그리고 상기 복수의 패킷그룹을 저장하고 상기 복수의 코어그룹에 로드-밸런싱하는 DMA(direct memory access)를 포함하는 패킷과 시그니처 기반의 침입 탐지 장치를 일 실시예로 제안한다.

상기 과제를 해결하기 위해 본 발명의 다른 실시예는, 시그니처 세트에 포함되는 공격 패킷 탐지를 위한 복수의 시그니처를 소정 기준으로 분류하여 복수의 시그니처 서브세트를 생성하는 단계, 네트워크를 통해 전달되는 패킷을 실시간으로 수집하고 수집된 패킷을 분류하여 복수의 패킷그룹을 생성하는 단계, 상기 시그니처 서브세트를 처리하는 복수의 코어그룹에 상기 패킷그룹을 로드-밸런싱하는 단계, 그리고 상기 복수의 코어그룹들은 동일한 상기 시그니처 세트를 이용하고, 상기 코어그룹 내의 각 코어들은 상기 시그니처 서브세트를 이용하여 상기 패킷그룹 내의 공격 패킷을 탐지하는 단계를 포함하는 패킷과 시그니처 기반의 침입 탐지 방법을 일 실시예로 제안한다.

여기서, 상기 패킷수집부는 수집된 패킷을 n-튜플(tuple) 기준으로 분류하여 패킷 그룹을 생성할 수 있다.

또한, 상기 메모리부는 상기 시그니처 세트를 저장하는 제1 메모리와 상기 시그니처 서브세트를 저장하는 제2 메모리를 포함할 수 있다.

또한, 상기 기준은 상기 패킷의 문자열을 검사하는 제1 시그니처, 또는 상기 패킷의 주소, 빈도, 시간 중에서 적어도 하나 이상을 검사하는 제2 시그니처일 수 있다.

또한, 상기 기준은 상기 기준은 상기 제1 시그니처와 상기 제2 시그니처를 이용하여 공격 패킷을 탐지할 경우 상기 중앙처리부의 예상부하, 또는 상기 제1 시그니처와 제2 시그니처의 개수일 수 있다.

본 발명의 일 실시예에 의하면 네트워크 용량에 따라 침입 탐지 장치를 용이하게 구성할 수 있다. 또한, 시그니처 증가에 따른 침입 탐지 장치의 성능 저하를 최소화하고 누수위험에 대응하기 위한 장치의 증설을 절감함으로써 유지보수 비용을 절감할 수 있다. 또한, 침입 탐지 장치를 호스트 컴퓨터와 별도로 구현함으로써 침입 탐지 장치 구현 비용을 절감할 수 있다.

도 1은 종래 침입 탐지 시스템이다.

도 2는 본 발명의 일 실시예에 따른 패킷과 시그니처 기반의 침입 탐지 장치이다.

도 3은 본 발명의 일 실시예에 따른 침입 탐지 장치의 상세 구성을 나타낸다.

도 4는 본 발명의 일 실시예에 따른 패킷과 시그니처의 다중처리를 이용한 공격 패킷 탐지 방법을 나타내는 순서도이다.

도 5는 본 발명의 다른 일 실시예에 따른 침입 탐지 장치의 상세 구성을 나타낸다.

도 6은 본 발명의 다른 일 실시예에 따른 패킷과 시그니처의 다중처리를 이용한 공격 패킷 탐지 방법을 나타내는 순서도이다.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예들을 상세히 설명한다. 도면에서 본 발명을 명확하게 설명하기 위해 설명과 관계없는 부분은 생략한다.

명세서 전체에서 제1, 제2 및 제3 등의 용어들은 다양한 부분, 성분, 영역, 층 및/또는 섹션들을 설명하기 위해 사용되나 이에 한정되지 않는다. 이들 용어들은 어느 부분, 성분, 영역, 층 또는 섹션을 다른 부분, 성분, 영역, 층 또는 섹션과 구별하기 위해서만 사용된다. 따라서, 이하에서 서술하는 제1 메모리, 코어, 시그니처 서브세트는 본 발명의 범위를 벗어나지 않는 범위 내에서 제2 메모리, 코어, 시그니처 서브세트로 언급될 수 있다.

명세서 전체에서 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "모듈" 등의 용어는 적어도 하나 이상의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.

명세서 전체에서 시그니처(signature)는 사용자에 의해 미리 정의된 패킷 공격을 탐지하는 기준이며, 시그니처 세트(signature set)는 상기 시그니처들의 집합을 의미하고, 시그니처 서브세트(signature subset)는 상기 시그니처 세트에 포함되는 시그니처들을 소정 기준에 따라 분류한 집합을 의미한다.

도 2는 본 발명의 일 실시예에 따른 패킷과 시그니처 기반의 침입 탐지 장치이다.

도 2의 침입 탐지 장치는, 네트워크를 통해 전달되는 패킷을 실시간으로 수집하여 분류하는 패킷수집부(110), 패킷수집부(110)를 통해 수집 및 분류된 패킷들이 저장되는 DMA(direct memory access)(120), 패킷과 시그니처(signature) 기반의 다중처리를 지원하는 다중-코어(multi-core) 구조의 중앙처리부(130), 공격 패킷 탐지를 위한 하나 이상의 시그니처 세트를 저장하는 스토리지부(140), 그리고 상기 시그니처 세트를 소정 기준으로 분류한 하나 이상의 시그니처 서브세트를 저장하는 메모리부(150)를 포함할 수 있다. 이때, DMA(120)는 중앙처리부(130)과 DMA(120) 사이의 버스를 제어하여 중앙처리부(130)가 패킷에 접근이 용이하도록 하는 DMA 컨트롤러(direct memory access controller)를 더 포함할 수 있다.

도 2의 침입 탐지 장치의 각 구성에 대한 상세한 설명은 본 발명의 일 실시예인 도 3과 도 5에서 자세히 설명한다.

도 3은 본 발명의 일 실시예에 따른 침입 탐지 장치의 상세 구성을 나타낸다.

도 3에서 패킷수집부(210)는 네트워크를 통해 전달되는 패킷을 실시간으로 수집하고 분류하여 복수의 패킷그룹을 생성할 수 있다. 이때, 상기 패킷그룹은 수집된 패킷을 n-튜플(tuple) 기준에 의해 x개의 그룹으로 분류한 것이다. 일례로, 수집된 패킷을 5-튜플 기준으로 분류할 경우, 송신 IP, 송신 Port, 수신 IP, 수신 Port, 프로토콜을 기준으로 복수의 패킷그룹을 생성할 수 있으며, 누적 패킷 수, 누적 바이트 수를 추가하여 7-튜플 기준으로 복수의 패킷그룹을 생성할 수도 있다.

DMA(220)는 상기 패킷그룹을 저장하는 역할을 한다. 이때, DMA(220)는 중앙처리부(130)가 패킷에 접근하기 용이하도록 DMA 컨트롤러(direct memory access controller)를 더 포함할 수 있으며, 상기 패킷그룹을 중앙처리부(230)에 포함되는 복수의 코어에 로드-밸런싱할 수 있다.

또한, DMA(220)는 상기 복수의 코어에 대응하는 복수의 DMA, 또는 DMA 컨트롤러를 포함할 수 있으며, 복수의 DMA(220), 또는 상기 DMA 컨트롤러는 패킷수집부(210)에 포함될 수 있다.

중앙처리부(230)는 상기 DMA 컨트롤러부터 읽어온 상기 복수의 패킷그룹 내의 공격 패킷을 검사하는 복수의 코어를 포함할 수 있다. 또한, 시그니처 세트에 포함되는 공격 패킷 탐지를 위한 복수의 시그니처를 소정 기준으로 분류하여 복수의 시그니처 서브세트를 생성할 수 있다.

이때, 중앙처리부(230)의 상기 각 코어는 대응하는 시그니처 서브세트를 기준으로 상기 패킷그룹 내의 공격 패킷을 탐지할 수 있다. 예를 들어, 상기 복수의 코어가 n개 일 경우, 상기 패킷그룹은 n개의 코어에 균등하게 로드-밸런싱되며, 상기 n개의 코어는 각각 대응하는 n개의 시그니처 서브세트를 이용하여 상기 패킷그룹 내의 공격 패킷을 탐지할 수 있다.

또한, 중앙처리부(230)는 패킷의 문자열을 검사하는 제1 시그니처(또는 시그니처)와 패킷의 주소, 빈도, 시간 중에서 적어도 하나 이상을 검사하는 제2 시그니처(또는 룰)를 기준으로 상기 시그니처 세트에 포함되는 시그니처를 분류하여 하나 이상의 시그니처 서브세트를 생성할 수 있다. 이때, 상기 시그니처 중에서 과부하를 유발하는 시그니처를 판별하는 선행검사를 수행함으로써 사용자에게 별도로 경고를 전달하거나 상기 과부하 유발 시그니처에 대응되는 코어의 개수를 증가시킬 수 있다.

또한, 중앙처리부(230)는 상기 제1 시그니처와 상기 제2 시그니처를 이용하여 상기 패킷그룹 내의 공격 패킷을 탐지할 경우 예상되는 중앙처리부(230)의 부하나, 상기 제1 시그니처와 상기 제2 시그니처의 개수를 고려하여 상기 시그니처 서브세트 내의 시그니처들을 재분류할 수 있다.

메모리부(250)는 상기 시그니처 서브세트들을 저장하는 역할을 한다. 이때, 시그니처 세트에 포함되는 공격 패킷 탐지를 위한 복수의 시그니처는 스토리지부(도 3에 도시되지 않음)에 별도로 저장함으로써 본 발명의 일 실시예에 따른 침입 탐지 장치의 전원이 오프(off)되더라도 손실되지 않도록 보존할 수 있다. 또한, 상기 시그니처 서브세트들은 메모리부(250)에 별도로 저장함으로써 중앙처리부(230)의 참조속도를 높일 수 있다.

이처럼 본 발명의 일 실시예에 따르면 네트워크 용량에 대응하는 침입 탐지 장치의 구성할 수 있으며, 호스트 컴퓨터에 탈부착하는 침입 탐지 장치를 구현함으로써 침입 탐지 장치의 유지보수가 용이하다. 또한, 침입 탐지 장치가 호스트 컴퓨터와 별도로 실행되기 때문에 호스트 컴퓨터의 사양을 낮출 수 있으며 이로 인해 호스트 컴퓨터 및 침입 탐지 장치의 설계 비용을 절감할 수 있다.

도 4는 본 발명의 일 실시예에 따른 패킷과 시그니처의 다중처리를 이용한 공격 패킷 탐지 방법을 나타내는 순서도이다.

먼저, 중앙처리부(230)를 통해 스토리지에 저장된 시그니처들을 읽어들여 소정 기준에 따라 분류하고(S211), 하나 이상의 시그니처 서브세트를 생성하여 메모리부(250)에 저장한다(S212). 이때, 상기 시그니처들을 분류하는 기준은 패킷의 문자열을 검사하는 제1 시그니처, 또는 패킷의 주소, 빈도, 시간 중에서 적어도 하나 이상을 검사하는 제2 시그니처를 포함할 수 있다.

또한, 중앙처리부(230)를 통해 상기 제1 시그니처와 제2 시그니처를 이용하여 공격 패킷을 탐지할 경우 예상되는 부하, 또는 상기 제1 시그니처와 제2 시그니처의 개수를 고려하여 상기 시그니처 서브세트 내에서 상기 시그니처 서브세트에 포함되는 시그니처들을 재분류할 수 있다.

이후, 패킷 수집부(210)를 이용하여 네트워크를 통해 전달되는 패킷을 실시간으로 수집할 수 있다(S213).

수집된 패킷들은 n-튜플 기준으로 분류하여 복수의 패킷그룹을 생성할 수 있다(S214). 이때, 상기 패킷그룹은 DMA(220)에 저장되고, DMA 컨트롤러를 통해 중앙처리부(230) 내에 복수의 코어에 로드-밸런싱할 수 있다(S215).

이후, 중앙처리부(230)는 상기 복수의 코어를 이용하여 DMA 컨트롤러로부터 읽어온 패킷그룹을 대상으로 할당된 상기 시그니처 서브세트를 이용하여 상기 패킷그룹 내에 공격 패킷을 탐지할 수 있다(S216).

마지막으로, 공격 패킷 탐지 결과를 운영자 서버로 전송할 수 있다(S217).

도 5는 본 발명의 다른 일 실시예에 따른 침입 탐지 장치의 상세 구성을 나타낸다.

도 5에서 패킷수집부(310)는 네트워크를 통해 전달되는 패킷을 실시간으로 수집하고 분류하여 복수의 패킷그룹을 생성할 수 있다. 이때, 상기 패킷그룹은 수집된 패킷을 n-튜플(tuple) 기준에 의해 x개의 그룹으로 분류한 것이다. 일례로, 수집된 패킷을 5-튜플 기준으로 분류할 경우, 송신 IP, 송신 Port, 수신 IP, 수신 Port, 프로토콜을 기준으로 복수의 패킷그룹을 생성할 수 있으며, 누적 패킷 수, 누적 바이트 수를 추가하여 7-튜플 기준으로 복수의 패킷그룹을 생성할 수도 있다.

DMA(320)는 상기 패킷그룹을 저장하는 역할을 한다. 이때, DMA(320)는 중앙처리부(330)가 패킷에 접근하기 용이하도록 DMA 컨트롤러(direct memory access controller)를 더 포함할 수 있으며, 상기 패킷그룹을 중앙처리부(330)에 포함되는 복수의 코어그룹(330-1, 330-2)에 로드-밸런싱할 수 있다.

또한, DMA(320)는 복수의 코어그룹(330-1, 330-2)에 대응하는 복수의 DMA(320), 또는 DMA 컨트롤러를 포함할 수 있으며, 복수의 DMA(320), 또는 상기 DMA 컨트롤러는 패킷수집부(310)에 포함될 수 있다.

중앙처리부(330)는 상기 DMA 컨트롤러부터 읽어온 상기 복수의 패킷그룹 내의 공격 패킷을 탐지하는 역할을 하며, 상기 공격 패킷 탐지를 수행하는 복수의 코어를 포함하는 하나 이상의 코어그룹을 포함할 수 있다. 또한, 시그니처 세트에 포함되는 공격 패킷 탐지를 위한 복수의 시그니처를 소정 기준으로 분류하여 복수의 시그니처 서브세트를 생성할 수 있다.

이때, 중앙처리부(330)의 상기 코어그룹들은 각각 대응하는 시그니처 세트를 이용하고, 상기 코어그룹 내의 각각의 코어들은 상기 시그니처 세트 내에 포함되며 대응하는 시그니처 서브세트를 이용하여 상기 패킷그룹 내의 공격 패킷을 탐지할 수 있다. 예를 들어, 중앙처리부(330) 내에 각각 k개의 코어를 포함하는 제1 코어그룹과 제2 코어그룹이 존재할 경우, DMA(320)를 통해 상기 패킷그룹을 상기 제1 코어그룹과 제2 코어그룹에 균등하게 로드-밸런싱할 수 있다. 또한, 상기 제1 코어그룹과 제2 코어그룹은 동일한 시그니처 세트를 이용하며, 상기 제1 코어그룹과 제2 코어그룹 내의 n개의 코어들은 각각 상기 시그니처 세트에 포함되는 제1 시그니처 서브세트 내지 제n 시그니처 서브세트 중에서 대응하는 시그니처 서브세트를 이용하여 공격 패킷을 탐지할 수 있다.

중앙처리부(330)는 패킷의 문자열을 검사하는 제1 시그니처(또는 시그니처)와 패킷의 주소, 빈도, 시간 중에서 적어도 하나 이상을 검사하는 제2 시그니처(또는 룰)를 기준으로 상기 시그니처 세트에 포함되는 시그니처를 분류하여 하나 이상의 시그니처 서브세트를 생성할 수 있다. 이때, 상기 시그니처 중에서 과부하를 유발하는 시그니처를 판별하는 선행검사를 수행함으로써 사용자에게 별도로 경고를 전달하거나 상기 과부하 유발 시그니처에 대응되는 코어의 개수를 증가시킬 수 있다.

또한, 중앙처리부(330)는 상기 제1 시그니처와 상기 제2 시그니처를 이용하여 상기 패킷그룹 내의 공격 패킷을 탐지할 경우 예상되는 중앙처리부(330)의 부하나, 상기 제1 시그니처와 상기 제2 시그니처의 개수를 고려하여 상기 시그니처 서브세트 내의 시그니처들을 재분류할 수 있다.

메모리부(350-1, 350-2)는 상기 시그니처 서브세트들을 저장하는 역할을 하며, 중앙처리부(330)의 코어그룹들이 상기 시그니처 서브세트가 저장된 메모리를 공유하지 않도록 각각의 코어그룹에 대응하는 복수의 메모리부를 포함할 수 있다.

또한, 시그니처 세트에 포함되는 공격 패킷 탐지를 위한 복수의 시그니처는 스토리지부(도 3에 도시되지 않음)에 별도로 저장함으로써 본 발명의 일 실시예에 따른 침입 탐지 장치의 전원이 오프(off)되더라도 손실되지 않도록 보존할 수 있다. 또한, 상기 시그니처 서브세트들은 메모리부(350-1, 350-2)에 별도로 저장함으로써 중앙처리부(330)의 참조속도를 높일 수 있다.

도 5의 침입 탐지 장치에서 중앙처리부(330)의 코어의 개수는 상기 패킷그룹의 개수와 상기 시그니처 서브세트의 개수에 따라 결정될 수 있다. 예를 들어, 패킷수집부(310)를 통해 수집된 패킷이 5-튜플에 의해 5개의 패킷그룹으로 분류되고, 중앙처리부(330)에 의해 상기 시그니처 세트에 포함되는 공격 패킷 탐지를 위한 복수의 시그니처 분류 결과 4개의 시그니처 서브세트가 생성되면, 다중처리를 위하여 필요한 코어의 개수는 20개가 될 수 있다.

이처럼 본 발명의 다른 실시예에 따르면 각 코어그룹들은 대응하는 시그니처 세트를 이용하고, 상기 코어그룹 내의 복수의 코어들은 각각 대응하는 시그니처 서브세트를 이용함으로써 도 3의 침입 탐지 장치 대비 공격 패킷 탐지 속도와 탐지율을 높일 수 있다. 또한, 대규모 네트워크 환경에서 다양한 침입 형태로 인하여 폭발적으로 증가하는 시그니처에 따른 침입 탐지 장치의 성능 저하에 유연하게 대처할 수 있다.

도 6은 본 발명의 다른 일 실시예에 따른 패킷과 시그니처의 다중처리를 이용한 공격 패킷 탐지 방법을 나타내는 순서도이다.

먼저, 중앙처리부(330)를 통해 스토리지에 저장된 시그니처들을 읽어들여 소정 기준에 따라 분류하고(S311), 하나 이상의 시그니처 서브세트를 생성하여 메모리부(350-1, 350-2)에 저장한다(S312). 이때, 상기 시그니처들을 분류하는 기준은 패킷의 문자열을 검사하는 제1 시그니처, 또는 패킷의 주소, 빈도, 시간 중에서 적어도 하나 이상을 검사하는 제2 시그니처를 포함할 수 있다.

또한, 중앙처리부(330)를 통해 상기 제1 시그니처와 제2 시그니처를 이용하여 공격 패킷을 탐지할 경우 예상되는 부하, 또는 상기 제1 시그니처와 제2 시그니처의 개수를 고려하여 상기 시그니처 서브세트 내에서 상기 시그니처 서브세트에 포함되는 시그니처들을 재분류할 수 있다.

이후, 패킷 수집부(310)를 이용하여 네트워크를 통해 전달되는 패킷을 실시간으로 수집할 수 있다(S313).

수집된 패킷들은 n-튜플 기준으로 분류하여 복수의 패킷그룹을 생성할 수 있다(S214).

다음으로, 중앙처리부(330)를 통해 복수의 코어를 상기 패킷 그룹에 대응하도록 분류하고(S315), 복수의 코어그룹을 생성할 수 있다(S316).

이때, 상기 패킷그룹은 DMA(320)에 저장되며, DMA 컨트롤러를 통해 중앙처리부(330) 내에 복수의 코어그룹에 로드-밸런싱할 수 있다(S317).

이후, 중앙처리부(330)의 코어그룹은 동일한 시그니처 세트를 이용하고, 상기 코어그룹 내의 각각의 코어들은 대응하는 시그니처 서브세트를 이용하여 상기 패킷그룹 내의 공격 패킷을 탐지할 수 있다(S318).

마지막으로, 공격 패킷 탐지 결과를 운영자 서버로 전송할 수 있다(S319).

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위에 한정되는 것은 아니고 본 발명이 속하는 분야에서 통상의 지식을 가진 자가 여러 가지로 변형 및 개량한 형태 또한 본 발명의 권리범위에 속한다.

Claims (14)

1. 네트워크를 통해 전달되는 패킷을 실시간으로 수집하고 분류하여 복수의 패킷그룹을 생성하는 패킷수집부,

   시그니처 세트에 포함되는 공격 패킷 탐지를 위한 복수의 시그니처를 소정 기준으로 분류한 복수의 시그니처 서브세트들-상기 각 시그니처 서브세트는 상기 기준을 충족하는 하나 이상의 시그니처들을 포함함-을 저장하는 메모리부,

   상기 패킷그룹을 검사하는 복수의 코어를 포함하며, 상기 각 코어는 대응하는 상기 시그니처 서브세트를 기준으로 상기 패킷그룹 내의 공격 패킷을 탐지하는 중앙처리부, 그리고

   상기 패킷그룹을 저장하고 상기 복수의 코어에 로드-밸런싱하는 DMA(direct memory access)

   를 포함하는 패킷과 시그니처 기반의 침입 탐지 장치.
2. 제1항에서,

   상기 패킷수집부는 수집된 패킷을 n-튜플(tuple) 기준으로 분류하여 패킷 그룹을 생성하는 패킷과 시그니처 기반의 침입 탐지 장치.
3. 제1항에서,

   상기 메모리부는 상기 시그니처 세트를 저장하는 제1 메모리와 상기 시그니처 서브세트를 저장하는 제2 메모리를 포함하는 패킷과 시그니처 기반의 침입 탐지 장치.
4. 제1항에서,

   상기 기준은 상기 패킷의 문자열을 검사하는 제1 시그니처, 또는 상기 패킷의 주소, 빈도, 시간 중에서 적어도 하나 이상을 검사하는 제2 시그니처인 패킷과 시그니처 기반의 침입 탐지 장치.
5. 제4항에서,

   상기 기준은 상기 제1 시그니처와 상기 제2 시그니처를 이용하여 공격 패킷을 탐지할 경우 상기 중앙처리부의 예상부하, 또는 상기 제1 시그니처와 제2 시그니처의 개수인 패킷과 시그니처 기반의 침입 탐지 장치.
6. 네트워크를 통해 전달되는 패킷을 실시간으로 수집하고 분류하여 복수의 패킷그룹을 생성하는 패킷수집부,

   시그니처 세트에 포함되는 공격 패킷 탐지를 위한 복수의 시그니처를 소정 기준으로 분류한 복수의 시그니처 서브세트들-상기 각 시그니처 서브세트는 상기 기준을 충족하는 하나 이상의 시그니처들을 포함함-을 저장하는 메모리부,

   상기 시그니처 세트를 각각 처리하는 복수의 코어 그룹-상기 각 코어 그룹은 대응하는 시그니처 서브세트를 처리하는 복수의 코어를 포함함-을 포함하며, 상기 코어 그룹들은 동일한 시그니처 세트를 이용하고, 상기 각 코어 그룹 내의 복수의 코어에 대응하는 시그니처 서브세트를 이용하여 상기 패킷그룹 내의 공격 패킷을 탐지하는 중앙처리부, 그리고

   상기 복수의 패킷그룹을 저장하고 상기 복수의 코어그룹에 로드-밸런싱하는 DMA(direct memory access)

   를 포함하는 패킷과 시그니처 기반의 침입 탐지 장치.
7. 제6항에서,

   상기 패킷수집부는 수집된 패킷을 n-튜플(tuple) 기준으로 분류하여 패킷 그룹을 생성하는 패킷과 시그니처 기반의 침입 탐지 장치.
8. 제6항에서,

   상기 메모리부는 상기 시그니처 세트를 저장하는 제1 메모리와 상기 시그니처 서브세트를 저장하는 제2 메모리를 포함하는 패킷과 시그니처 기반의 침입 탐지 장치.
9. 제6항에서,

   상기 기준은 상기 패킷의 문자열을 검사하는 제1 시그니처, 또는 상기 패킷의 주소, 빈도, 시간 중에서 적어도 하나 이상을 검사하는 제2 시그니처인 패킷과 시그니처 기반의 침입 탐지 장치.
10. 제9항에서,

    상기 기준은 상기 제1 시그니처와 상기 제2 시그니처를 이용하여 공격 패킷을 탐지할 경우 상기 중앙처리부의 예상부하, 또는 상기 제1 시그니처와 제2 시그니처의 개수인 패킷과 시그니처 기반의 침입 탐지 장치.
11. 시그니처 세트에 포함되는 공격 패킷 탐지를 위한 복수의 시그니처를 소정 기준으로 분류하여 복수의 시그니처 서브세트를 생성하는 단계,

    네트워크를 통해 전달되는 패킷을 실시간으로 수집하고 수집된 패킷을 분류하여 복수의 패킷그룹을 생성하는 단계,

    상기 시그니처 서브세트를 처리하는 복수의 코어그룹에 상기 패킷그룹을 로드-밸런싱하는 단계, 그리고

    상기 복수의 코어그룹들은 동일한 상기 시그니처 세트를 이용하고, 상기 코어그룹 내의 각 코어들은 상기 시그니처 서브세트를 이용하여 상기 패킷그룹 내의 공격 패킷을 탐지하는 단계

    를 포함하는 패킷과 시그니처 기반의 침입 탐지 방법.
12. 제11항에서,

    상기 공격 패킷 탐지 결과를 서버에 보고하는 단계를 더 포함하는 패킷과 시그니처 기반의 침입 탐지 방법.
13. 제11항에서,

    상기 기준은 상기 패킷의 문자열을 검사하는 제1 시그니처, 또는 상기 패킷의 주소, 빈도, 시간 중에서 적어도 하나 이상을 검사하는 제2 시그니처인 패킷과 시그니처 기반의 침입 탐지 방법.
14. 제13항에서,

    상기 기준은 상기 제1 시그니처와 상기 제2 시그니처를 이용하여 공격 패킷을 탐지할 경우 중앙처리부의 예상부하, 또는 상기 제1 시그니처와 제2 시그니처의 개수인 패킷과 시그니처 기반의 침입 탐지 방법.

Images