WO2020256210A1

WO2020256210A1 - 네트워크 포렌식 시스템 및 이를 이용한 네트워크 포렌식 방법

Info

Publication number: WO2020256210A1
Application number: PCT/KR2019/008860
Authority: WO
Inventors: 홍재완; 박영진
Original assignee: 주식회사 쿼드마이너
Priority date: 2019-06-20
Filing date: 2019-07-18
Publication date: 2020-12-24
Also published as: JP2024009217A; US20200412634A1; US20240031270A1; JP7391847B2; JP2024023381A; US11838196B2; JP2022546879A; US20240106730A1

Abstract

본 발명은 네트워크 포렌식 시스템 및 이를 이용한 네트워크 포렌식 방법에 관한 것으로서, 고성능 패킷 스트림 저장 시스템 및 방법, 패턴 기반 색인 처리 시스템 및 방법, 그리고 시나리오 중심 실시간 공격 감지 시스템 및 방법에 관한 것이며, 고성능 패킷 스트림 저장 시스템에 의한 고성능 패킷 스트림 저장 방법은, (a) 네트워크를 통해 전송되는 데이터 트래픽으로부터 원본 패킷 데이터를 수집하는 단계; (b) 상기 수집된 원본 패킷 데이터를 메모리에 기록하는 단계; (c) 상기 수집된 원본 패킷 데이터에서 메타데이터를 추출하여 메모리에 기록하는 단계; 및 (d) 상기 원본 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 저장부에 저장하는 단계를 포함할 수 있다.

Description

네트워크 포렌식 시스템 및 이를 이용한 네트워크 포렌식 방법

본 발명은 네트워크 포렌식 시스템 및 이를 이용한 네트워크 포렌식 방법에 관한 것으로서, 상세하게는 네트워크 포렌식 시스템 및 방법에 의해 구현되는 고성능 패킷 스트림 저장 시스템 및 방법, 패턴 기반 색인 처리 시스템 및 방법, 그리고 시나리오 중심 실시간 공격 감지 시스템 및 방법에 관한 것이다.

정보통신(IT) 기기 뿐 아니라 집, 자동차, 도시, 공장 등 모든 사물이 초고속 네트워크로 연결되는 시대에 해킹이나 사이버테러가 일어나면 그 파급력은 상상을 초월한다. 이에 따라 많은 기업들이 네트워크 보안 강화에 많은 노력을 기울이고 있다.

그러나, 해킹 공격은 날이 갈수록 다양해지고 있으며, 공격 인지 난이도도 점차 증가하는 것이 현실이다. 이에 따라 해킹 공격에 대한 전체 흐름을 파악하고, 신속한 패킷 분석을 통하여 해커의 공격을 빠르게 인지할 수 있는 기술이 요구되고 있다.

99% 해킹 시도가 수일 이내에 침해사고를 발생하고, 이 중 85%는 데이터 유출이 발생되며, 85%의 해킹사고를 발견되기까지 수 주일 이상의 시간이 소요되기 때문에, 신속한 패킷 분석을 통한 해커의 공격 인지 시간 단축에 대한 많은 연구가 진행되어 왔다.

또한, 초고속 대용량 트래픽을 저장하고 분석하기 위해서는 빠른 I/O 성능이 필요하고, 이를 위해 고속 스토리지를 사용하게 되면, 제품 원가 가격이 상승하게 되는 문제점이 발생된다. 고속 스토리지를 사용하지 않고도, 초고속 대용량 트래픽에서 데이터의 유실 없이 패킷을 수집하고 저장하며, 다양한 공격 시나리오 및 환경에 대응하기 위한 데이터 분석할 수 있는 기술 또한 요구되고 있다.

본 발명의 기술적 사상에 따른 네트워크 포렌식 시스템 및 방법에 의해 구현되는 고성능 패킷 스트림 저장 시스템 및 고성능 패킷 스트림 저장 방법이 이루고자 하는 기술적 과제는, 초고속 대용량 데이터를 기반으로 해킹 사고에 대한 빠른 분석 및 대응을 하기 위한 고속 데이터 저장 기술을 가진 고성능 패킷 스트림 저장 시스템 및 이를 이용한 고성능 패킷 스트림 저장 방법을 제공하는 것이다.

본 발명의 기술적 사상에 따른 네트워크 포렌식 시스템 및 방법에 의해 구현되는 패턴 기반 색인 처리 시스템 및 패턴 기반 색인 처리 방법이 이루고자 하는 기술적 과제는, 실시간으로 색인 처리를 할 수 있는 패턴 기반 색인 처리 시스템 및 패턴 기반 색인 처리 방법을 제공하는 것이다.

본 발명의 기술적 사상에 따른 네트워크 포렌식 시스템 및 방법에 의해 구현되는 패턴 기반 색인 처리 시스템 및 패턴 기반 색인 처리 방법이 이루고자 하는 다른 기술적 과제는, 다양한 공격 시나리오 및 환경에 대응하기 위해 사용자 정의 색인 데이터를 생성할 수 있는 패턴 기반 색인 처리 시스템 및 패턴 기반 색인 처리 방법을 제공하는 것이다.

본 발명의 기술적 사상에 따른 네트워크 포렌식 시스템 및 방법에 의해 구현되는 패턴 기반 색인 처리 시스템 및 패턴 기반 색인 처리 방법이 이루고자 하는 다른 기술적 과제는, 문제가 되는 시점의 데이터를 사용자가 지정하여 재색인할 수 있도록 하는 패턴 기반 색인 처리 시스템 및 패턴 기반 색인 처리 방법을 제공하는 것이다.

본 발명의 기술적 사상에 따른 네트워크 포렌식 시스템 및 방법에 의해 구현되는 패턴 기반 색인 처리 시스템 및 패턴 기반 색인 처리 방법이 이루고자 하는 다른 기술적 과제는, 시나리오 분석을 위한 어플리케이션, 메타데이터, 사용자 정의 패턴 분류를 할 수 있는 패턴 기반 색인 처리 시스템 및 패턴 기반 색인 처리 방법을 제공하는 것이다.

본 발명의 기술적 사상에 따른 네트워크 포렌식 시스템 및 방법에 의해 구현되는 시나리오 중심 실시간 공격 감지 시스템 및 시나리오 중심 실시간 공격 감지 방법이 이루고자 하는 기술적 과제는, 색인 통합 과정을 통한 해킹 시나리오별 데이터를 분류하여 빠르게 해킹 사고를 분석할 수 있는 시나리오 중심 실시간 공격 감지 시스템 및 시나리오 중심 실시간 공격 감지 방법을 제공하는 것이다.

본 발명의 기술적 사상에 따른 네트워크 포렌식 시스템 및 방법에 의해 구현되는 시나리오 중심 실시간 공격 감지 시스템 및 시나리오 중심 실시간 공격 감지 방법이 이루고자 하는 기술적 과제는, 시나리오 분석을 위한 어플리케이션, 메타데이터, 사용자 정의 패턴 분류를 할 수 있는 시나리오 중심 실시간 공격 감지 시스템 및 시나리오 중심 실시간 공격 감지 방법을 제공하는 것이다.

본 발명의 기술적 사상에 따른 네트워크 포렌식 시스템 및 이를 이용한 네트워크 포렌식 방법이 이루고자 하는 기술적 과제는 이상에서 언급한 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제는 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.

본 발명의 기술적 사상에 의한 일 실시예에 따른, 고성능 패킷 스트림 저장 시스템에 의한 고성능 패킷 스트림 저장 방법은, (a) 네트워크를 통해 전송되는 데이터 트래픽으로부터 원본 패킷 데이터를 수집하는 단계; (b) 상기 수집된 원본 패킷 데이터를 메모리에 기록하는 단계; (c) 상기 수집된 원본 패킷 데이터에서 메타데이터를 추출하여 메모리에 기록하는 단계; 및 (d) 상기 원본 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 저장부에 저장하는 단계를 포함할 수 있다.

상기 고성능 패킷 스트림 저장 방법은, 상기 수집된 원본 패킷 데이터에서 예외 정보를 필터링하여 메모리 기록 대상에서 제외시키는 단계를 더 포함할 수 있다.

상기 저장부는 로컬 디스크를 포함하며, 상기 (d) 단계는 네트워크 속도가 소정 기준 이하인 경우에 상기 원본 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 상기 로컬 디스크에 직접 저장하는 단계를 포함할 수 있다.

상기 저장부는 복수개의 확장 노드들을 포함하며, 상기 (d) 단계는 네트워크 속도가 소정 기준을 초과하는 경우에 상기 원본 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 복수개의 확장 노드들에 분산 저장하는 단계를 포함할 수 있다.

상기 고성능 패킷 스트림 저장 방법은 상기 (d) 단계 후에, 상기 원본 패킷 데이터와 상기 메타데이터가 기록된 메모리가 반환되는 단계를 더 포함할 수 있다.

상기 (a) 단계는, 패킷 수집량이 수집 설정값을 초과하는 경우에, 초과된 양의 원본 패킷 데이터를 위한 추가 메모리를 확보하는 단계를 포함할 수 있다.

상기 (c) 단계는, 상기 수집된 원본 패킷 데이터와 상기 추출된 메타데이터가 소정 기록 주기 동안 상기 메모리에 기록된 후에 상기 메모리로부터 상기 저장부에 저장되는 단계를 포함할 수 있다.

본 발명의 기술적 사상에 의한 일 실시예에 따른, 고성능 패킷 스트림 저장 시스템은 네트워크를 통해 전송되는 데이터 트래픽으로부터 원본 패킷 데이터를 수집하고, 상기 수집된 원본 패킷 데이터에서 메타데이터를 추출하는 데이터 관리 모듈; 상기 원본 패킷 데이터와 상기 메타데이터가 기록되는 메모리부; 상기 원본 패킷 데이터와 상기 메타데이터가 저장되어 데이터베이스화되는 저장부; 상기 원본 패킷 데이터와 상기 메타데이터를 상기 메모리부로부터 상기 저장부에 저장시키는 저장 관리 모듈; 및 상기 원본 패킷 데이터와 상기 메타데이터가 상기 메모리부로부터 상기 저장부에 저장된 후에 상기 원본 패킷 데이터와 상기 메타데이터가 기록되었던 상기 메모리부의 메모리 영역을 반환시키는 메모리 관리 모듈을 포함할 수 있다.

상기 저장부는 로컬 디스크를 포함하며, 저장 관리 모듈은 디스크 관리 모듈을 포함하고, 네트워크 속도가 소정 기준 이하인 경우에 상기 디스크 관리 모듈은 상기 원본 패킷 데이터와 상기 메타데이터를 상기 메모리부로부터 상기 로컬 디스크에 직접 저장할 수 있다.

상기 저장부는 복수개의 확장 노드들을 포함하며, 저장 관리 모듈은 데이터 분산 관리 모듈을 포함하고, 네트워크 속도가 소정 기준을 초과하는 경우에 상기 데이터 분산 관리 모듈은 상기 원본 패킷 데이터와 상기 메타데이터를 상기 메모리부로부터 상기 확장 노드들에 분산 저장할 수 있다.

본 발명의 기술적 사상에 의한 일 실시예에 따른, 패턴 기반 색인 처리 시스템을 이용한 패턴 기반 색인 처리 방법은, (a) 패킷 데이터를 재조합하는 단계; (b) 재조합된 패킷 데이터에 대하여 어플리케이션 분석을 하는 단계; 및 (c) 상기 재조합 패킷 데이터의 메타데이터를 추출하여 색인화 하는 단계를 포함할 수 있다.

상기 (a) 단계는 TCP헤더 정보를 기반으로 패킷 데이터를 재조합하는 단계를 포함할 수 있다.

상기 (b) 단계에서 상기 재조합된 패킷 데이터를 RFC 규격을 기준으로 어플리케이션을 판단하는 단계를 포함할 수 있다.

상기 재조합된 패킷 데이터가 RFC 규격의 어플리케이션에 의해 생성된 데이터인 경우에, 상기 (c) 단계에서 상기 재조합된 패킷 데이터를 RFC 규격을 기준으로 메타데이터를 추출하는 단계를 포함할 수 있다.

상기 (b) 단계에서 상기 재조합된 패킷 데이터를 사용자 정의 규격을 기준으로 어플리케이션을 판단하는 단계를 포함할 수 있다.

상기 재조합된 패킷 데이터가 사용자 정의 규격의 어플리케이션에 의해 생성된 데이터인 경우에, 상기 (c) 단계에서 상기 재조합된 패킷 데이터를 사용자 정의 규격을 기준으로 메타데이터를 추출하는 단계를 포함할 수 있다.

상기 패턴 기반 색인 처리 방법은 상기 (a) 단계는 네트워크를 통해 전송되는 데이터 트래픽으로부터 패킷 데이터를 수집하는 단계; 상기 수집된 패킷 데이터를 소정 기록 주기 시간동안 메모리에 기록하는 단계; 상기 수집된 패킷 데이터에서 메타데이터를 추출하여 상기 소정 기록 주기 시간동안 메모리에 기록하는 단계; 및 상기 소정 기록 주기가 경과하면, 상기 기록된 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 저장부에 저장하는 단계; 상기 소정 기록 주기 단위로 저장된 패킷 데이터를 재조합하는 단계를 포함할 수 있다.

상기 (a) 단계는 상기 저장부 저장 단계 후에, 상기 패킷 데이터와 상기 메타데이터가 기록된 메모리가 반환되는 단계를 포함할 수 있다.

상기 저장부는 로컬 디스크를 포함하며, 상기 (a) 단계는 네트워크 속도가 소정 기준 이하인 경우에 상기 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 상기 로컬 디스크에 직접 저장하는 단계를 포함할 수 있다.

상기 저장부는 복수개의 확장 노드들을 포함하며, 상기 (a) 단계는 네트워크 속도가 소정 기준을 초과하는 경우에 상기 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 복수개의 확장 노드들에 분산 저장하는 단계를 포함할 수 있다.

본 발명의 기술적 사상에 의한 일 실시예에 따른, 시나리오 중심 실시간 공격 감지 시스템을 이용한 시나리오 중심 실시간 공격 감지 방법은, (a) 색인화된 메타데이터에 적용될 시나리오를 형성하는 단계; (b) 패킷 데이터로부터 메타데이터를 추출하여 색인화 하는 단계; 및 (c) 상기 시나리오에 대응되는 색인화된 메타데이터를 탐지하는 단계를 포함할 수 있다.

상기 (a) 단계는 색인화된 메타데이터에 적용될 단일 탐지 시나리오를 형성하는 단계; 및 단일 탐지 시나리오들을 결합한 다중 탐지 시나리오를 형성하는 단계를 포함할 수 있다.

단일 탐지 시나리오는 하나 이상의 성립 조건을 포함하며, 성립 조건이 모두 만족되는 경우에 시나리오가 성립된 것으로 판단되며, 성립 조건은 색인 타입 및 패턴 정보를 포함할 수 있다.

다중 탐지 시나리오는 둘 이상의 단일 탐지 시나리오가 모두 성립되고, 공통 조건이 성립되는 경우에 시나리오가 성립된 것으로 판단할 수 있다.

상기 (b) 단계는, 소정 기록 주기 단위로 저장된 패킷 데이터를 TCP헤더 정보를 기반으로 재조합하는 단계; 및 상기 재조합된 패킷 데이터로부터 메타데이터를 추출하여 색인화 하는 단계를 포함할 수 있다.

상기 (b) 단계는, 상기 패킷 데이터 재조합 단계 전에, 네트워크를 통해 전송되는 데이터 트래픽으로부터 패킷 데이터를 수집하는 단계; 상기 수집된 패킷 데이터를 소정 기록 주기 시간동안 메모리에 기록하는 단계; 상기 수집된 패킷 데이터에서 메타데이터를 추출하여 상기 소정 기록 주기 시간동안 메모리에 기록하는 단계; 및 상기 소정 기록 주기가 경과하면, 상기 기록된 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 저장부에 저장하는 단계를 포함할 수 있다.

상기 (b) 단계는 상기 저장부 저장 단계 후에, 상기 패킷 데이터와 상기 메타데이터가 기록된 메모리가 반환되는 단계를 포함할 수 있다.

상기 저장부는 로컬 디스크를 포함하며, 상기 (b) 단계는 네트워크 속도가 소정 기준 이하인 경우에 상기 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 상기 로컬 디스크에 직접 저장하는 단계를 포함할 수 있다.

상기 저장부는 복수개의 확장 노드들을 포함하며, 상기 (b) 단계는 네트워크 속도가 소정 기준을 초과하는 경우에 상기 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 복수개의 확장 노드들에 분산 저장하는 단계를 포함할 수 있다.

상기 시나리오 중심 실시간 공격 감지 방법은 상기 (b) 단계 전에, 패킷 데이터에 대하여 어플리케이션 분석을 하는 단계를 더 포함할 수 있다.

본 발명의 기술적 사상에 의한 실시예들에 따른 네트워크 포렌식 시스템 및 방법에 의해 구현되는 고성능 패킷 스트림 저장 시스템 및 고성능 패킷 스트림 저장 방법은 하기와 같은 효과를 가진다.

(1) 해킹 사고에 대한 빠른 분석 및 대응을 위한 고성능 패킷 스트림 저장 기술로서, 파티션 키 기반의 순차 저장 데이터베이스를 제공할 수 있다.

(2) 초고속 네트워크 망에서 데이터의 유실 없이 패킷 스트림을 저장하고 이를 요약한 데이터를 추출하여 데이터베이스화할 수 있는 기술을 제공할 수 있다.

(3) 고속 스토리지를 사용하지 않고도 초고속 대용량 트래픽을 저장할 수 있도록 하는, 패킷을 분산 저장 처리하는 기술을 제공할 수 있다.

본 발명의 기술적 사상에 의한 실시예들에 따른 네트워크 포렌식 시스템 및 방법에 의해 구현되는 패턴 기반 색인 처리 시스템 및 패턴 기반 색인 처리 방법은 하기와 같은 효과를 가진다.

(1) 실시간으로 색인 처리를 할 수 있는 패턴 기반 색인 처리 기술을 제공할 수 있다.

(2) 다양한 공격 시나리오 및 환경에 대응하기 위해 사용자 정의 색인 데이터를 생성할 수 있는 기술을 제공할 수 있다.

(3) 문제가 되는 시점의 데이터를 사용자가 지정하여 재색인할 수 있도록 하는 기술을 제공할 수 있다.

(4) 시나리오 분석을 위한 어플리케이션, 메타데이터, 사용자 정의 패턴 분류를 할 수 있는 기술을 제공할 수 있다.

본 발명의 기술적 사상에 의한 실시예들에 따른 네트워크 포렌식 시스템 및 방법에 의해 구현되는 시나리오 중심 실시간 공격 감지 시스템 및 시나리오 중심 실시간 공격 감지 방법은 하기와 같은 효과를 가진다.

(1) 색인 통합 과정을 통한 해킹 시나리오별 데이터를 분류하여 빠르게 해킹 사고를 분석할 수 있는 시나리오 중심 실시간 공격 감지 기술을 제공할 수 있다.

(2) 시나리오 분석을 위한 어플리케이션, 메타데이터, 사용자 정의 패턴 분류를 할 수 있는 시나리오 중심 실시간 공격 감지 기술을 제공할 수 있다.

다만, 본 발명의 일 실시예에 따른 고성능 패킷 스트림 저장 시스템 및 고성능 패킷 스트림 저장 방법이 달성할 수 있는 효과는 이상에서 언급한 것들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.

본 명세서에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.

도 1은 본 발명의 일 실시예에 따른 네트워크 포렌식 시스템 및 방법에 의한 해킹 공격 인지 및 원인 분석 성능 향상 방법의 개략적인 순서도이다.

도 2는 본 발명의 일 실시예에 따른 고성능 패킷 스트림 저장 방법을 종래의 패킷 스트림 저장 방법과 대비하여 개략적으로 도시한 도면이다.

도 3은 본 발명의 일 실시예에 따른 고성능 패킷 스트림 저장 시스템을 개략적으로 도시한 도면이다.

도 4는 본 발명의 일 실시예에 따른 고성능 패킷 스트림 저장 방법을 구체적으로 도시한 도면이다.

도 5는 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법을 종래의 패턴 기반 색인 처리 방법과 대비하여 개략적으로 도시한 도면이다.

도 6은 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법을 개략적으로 도시한 도면이다.

도 7은 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법을 개략적으로 도시한 흐름도이다.

도 8은 본 발명의 일 실시예에 따른 시나리오 중심 실시간 공격 감지 방법을 종래의 공격 감지 방법과 대비하여 개략적으로 도시한 도면이다.

도 9는 본 발명의 일 실시예에 따른 시나리오 중심 실시간 공격 감지 방법을 개략적으로 도시한 도면이다.

도 10은 본 발명의 일 실시예에 따른 시나리오 중심 실시간 공격 감지 시스템에서 단일 탐지 시나리오가 사용되는 단계를 도시한 도면이다.

도 11은 본 발명의 일 실시예에 따른 시나리오 중심 실시간 공격 감지 시스템에서 다중 탐지 시나리오가 사용되는 단계를 도시한 도면이다.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고, 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명은 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.

본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제 1, 제 2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.

또한, 본 명세서에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.

또한, 본 명세서에서 '~부'로 표현되는 구성요소는 2개 이상의 구성요소가 하나의 구성요소로 합쳐지거나 또는 하나의 구성요소가 보다 세분화된 기능별로 2개 이상으로 분화될 수도 있다. 또한, 이하에서 설명할 구성요소 각각은 자신이 담당하는 주기능 이외에도 다른 구성요소가 담당하는 기능 중 일부 또는 전부의 기능을 추가적으로 수행할 수도 있으며, 구성요소 각각이 담당하는 주기능 중 일부 기능이 다른 구성요소에 의해 전담되어 수행될 수도 있음은 물론이다.

이하, 본 발명의 기술적 사상에 의한 실시예들을 차례로 상세히 설명한다.

해킹의 공격 방식이 다양해지고 복잡해짐에 따라 패킷 분석 및 인지에 많은 시간과 비용이 발생하고 있다. 이를 해결하기 위한 방안으로 3가지 문제점의 해결이 필요하다.

첫번째로 공격의 복잡성 증가에 따라 패킷 분석 난이도가 증가하게 되고, 두번째로, 사건 발생시의 이벤트성 로그만이 아닌 공격을 위한 사전 행위부터 공격까지 전반적인 대용량 패킷의 분석이 필요하며, 세번째로 초고속 네크워크 망의 수집 및 분석이 어려운 문제점이 해결되어야만 한다.

이를 위해 도 1에 도시된 바와 같은 고성능 패킷 스트림 저장 기술, 패턴 기반 색인 처리 기술 및 시나리오 중심 실시간 공격 감지 기술이 개발되었다.

종래의 패킷 저장 방식은 단순히 실시간으로 패킷을 수집하여 직접 로컬 디스크에 저장을 하는 기술로서, 10Gbps와 같은 초고속 대용량 트래픽을 저장하기 위하여 빠른 I/O 성능이 필수적이고, 고속 스토리지를 사용할 수 밖에 없다. 이로 인해 보안 시스템의 제품 원가가 증가하게 되는 문제점이 수반된다.

이러한 문제점을 해결하기 위해 본 발명의 일 실시예에 따른 고성능 패킷 스트림 저장 시스템 및 이를 이용한 고성능 패킷 스트림 저장 방법은 분산 저장 처리를 통해 데이터 유실 없는 초고속 패킷 저장 및 대용량 데이터 처리를 가능하게 한다.

도 3은 본 발명의 일 실시예에 따른 고성능 패킷 스트림 저장 시스템을 개략적으로 도시한 도면이다. 도 4는 본 발명의 일 실시예에 따른 고성능 패킷 스트림 저장 방법을 구체적으로 도시한 도면이다.

본 발명의 일 실시예에 따른 고성능 패킷 스트림 저장 시스템(100)은 데이터 관리 모듈(DAM; Data Access Module)(110), 메모리부(120), 저장부(130), 저장 관리 모듈(140) 및 메모리 관리 모듈(DMM; Data Memory Module)(150)를 포함할 수 있다.

저장부(130)는 로컬 디스크(132) 및/또는 원격지의 복수개의 확장 노드(134)들을 포함할 수 있으며, 저장 관리 모듈(140)은 디스크 관리 모듈(DIM; Disk Interface Module)(142) 및/또는 데이터 분산 관리 모듈(DDM; Data Distributed Module)(144)을 포함할 수 있다.

네트워크는 인트라넷과 인터넷을 연결하며, 네트워크를 통해 대용량의 데이터가 초고속으로 전송될 수 있다. 데이터 관리 모듈(110)은 네트워크 패킷 데이터 수집, 파싱 및 메모리 기록을 하는 장치로서, 네트워크를 통해 전송되는 데이터 트래픽으로부터 원본 패킷 데이터를 실시간으로 수집할 수 있다(S1110).

데이터 관리 모듈(110)은 패킷 수집량이 수집 설정값을 초과하는지 여부를 체크하며(S1120), 패킷 수집량이 수집 설정값 이하인 경우에는 실시간으로 수집된 원본 패킷 데이터를 메모리부(120)에 확보된 메모리 영역에 바로 기록할 수 있다(S1130).

만일, 데이터 관리 모듈(110)의 패킷 수집량이 수집 설정값을 초과하는 경우에는, 데이터 관리 모듈(110)은 초과된 양의 원본 패킷 데이터를 위한 추가 메모리를 메모리부(120)에서 선행하여 확보하고, 수집 설정값을 재조정할 수 있다(S1140).

이와 함께, 데이터 관리 모듈(110)은 수집된 원본 패킷 데이터에서 메타데이터를 추출하고, 메모리부(120)에 확보된 메모리 영역에 기록할 수 있다. 메타데이터는 출발지 IP, 출발지 포트, 목적지 IP, 목적지 포트, 프로토콜 등을 포함할 수 있다.

데이터 관리 모듈(110)은 패킷 IP/포트 분석을 수행하고(S1150), TCP/UDP 패킷 분석(S1160)을 할 수 있으나, 이에 한정되는 것은 아니며, 패킷 IP/포트 분석 및 TCP/UDP 패킷 분석 중 어느 하나만이 수행될 수도 있다.

데이터 관리 모듈(110)은 추출된 메타데이터로부터 예외 정보를 필터링하여 예외 정보에 대응되는 원본 패킷 데이터를 메모리 기록 대상에서 제외시킬 수 있다(S1170). 여기서 예외 정보는 개인 정보, 특정인이 전송하는 정보, 특정 IP와 관련된 정보 등이 될 수 있다.

수집된 원본 패킷 데이터와 추출된 메타데이터는 소정 기록 주기 동안 메모리부(120)의 메모리 영역에 기록된 후에(S1180), 저장 관리 모듈(140)에 의해 저장부(130)에 저장될 수 있다. 예를 들어, 수집된 원본 패킷 데이터와 추출된 메타데이터는 1분간 메모리부(120)의 메모리에 기록될 수 있으며, 이렇게 1분간 기록된 원본 패킷 데이터와 메타데이터는 취합되어 1분 단위로 저장부(130)에 데이터베이스화되어 저장될 준비를 하게 된다(S1190). 저장 관리 모듈(140)은 원본 패킷 데이터와 메타데이터를 메모리부(120)로부터 저장부(130)에 저장시켜 데이터베이스화할 수 있다.

저장 관리 모듈(140)은 원본 패킷 데이터와 메타데이터를 로컬 디스크(132)에 저장할지, 확장 노드(134)들에 분산 저장할지 여부를 선택하게 된다(S1200).

네트워크 속도가 소정 기준 이하인 경우에는 디스크 관리 모듈(142)이 원본 패킷 데이터와 메타데이터를 메모리부(120)로부터 로컬 디스크(132)에 직접 저장할 수 있다(S1210). 디스크 관리 모듈(142)은 OS을 거치지 않고 로컬 디스크(132)에 직접 접근하므로, 가장 빠르게 원본 패킷 데이터와 메타데이터를 로컬 디스크(142)에 저장할 수 있다. 원본 패킷 데이터와 메타데이터는 소정 기록 주기 단위(예를 들어 1분 단위)로 로컬 디스크(132)에 기록되게 된다.

네트워크 속도가 소정 기준을 초과하는 경우에는 데이터 분산 관리 모듈(144)이 원본 패킷 데이터와 메타데이터를 메모리부(120)로부터 확장 노드(134)들에 분산 저장할 수 있다(S1220). 분산 저장 방식은 대규모의 구조화된 데이터를 여러 부분으로 나눈 다음, 분산해 저장 및 관리하는 방식으로서, 공지의 분산 저장 방식이 사용될 수 있다.

이러한 구성으로 인해, 네트워크의 속도가 초고속이 되어도, 저장부의 하드웨어 성능을 높이지 않으면서도 데이터의 유실없이 모두 저장이 가능하게 된다.

도 4에 도시된 바와 같이, 원본 패킷 데이터와 메타데이터는 데이터베이스화되어 저장부(130)에 저장되며, 메타데이터는 패킷 데이터를 요약한 정보로서 데이터에 대한 빠른 정보 검색을 위해 사용되며, 원본 패킷 데이터는 해킹 여부 분석을 위한 원본 데이터로서 사용된다.

메모리 관리 모듈(150)은 패킷 저장 및 분석에 사용된 메모리 영역을 관리하며, 원본 패킷 데이터와 메타데이터가 메모리부(120)로부터 저장부(130)에 저장되고 나면, 메모리 관리 모듈(150)이 원본 패킷 데이터와 메타데이터가 기록되었던 메모리부(120)의 메모리 영역을 반환시킬 수 있다(S1230).

종래의 색인 방식은 대용량 패킷 데이터를 정해진 시간에 정해진 패턴을 색인 처리하는 방식이었다. 즉, 대용량 패킷 데이터를 어플리케이션 분석 기본 모듈에서 분석을 하고, 이를 바탕으로 메타데이터 추출 모듈이 메타데이터를 추출하는 구성이었다.

반면에 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법은 다양한 공격 시나리오 및 환경에 대응하기 위해 사용자 정의 색인 데이터를 생성할 수 있도록 하며, 색인 처리는 실시간 색인 처리 뿐 아니라 문제가 되는 시점의 데이터를 사용자가 지정하여 재색인하는 기능을 제공할 수 있다.

즉, 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법은 패턴 기반 사용자 정의 색인 관리 인터페이스가 원본 패킷 데이터에 사용자 패턴 색인 처리를 할 수 있고, 어플리케이션 기본 모듈에 어플리케이션 패턴을 추가할 수도 있으며, 메타데이터 추출 모듈에 메타데이터 패턴을 추가할 수도 있다. 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법은 저장부에 저장된 원본 패킷 데이터를 분석하므로, 종래의 정해진 시간에 전해진 패턴을 색인 처리하는 방식 외에 필요한 시간에 필요한 패턴을 색인 처리할 수 있게 된다.

도 6은 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법을 개략적으로 도시한 도면이다. 도 7은 본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법을 개략적으로 도시한 흐름도이다.

본 발명의 일 실시예에 따른 패턴 기반 색인 처리 방법은 시나리오 기반의 다양한 패턴을 정의하고 세션(session)기반의 패킷을 패턴에 맞게 분류 및 재정의하여 다양한 해킹 시도를 분석할 수 있다.

본 발명의 일 실시예에 따른 패턴 기반 색인 처리 시스템은 데이터 재조합 모듈, 어플리케이션 분석 모듈 및 메타데이터 추출 모듈을 포함할 수 있다.

저장부(130)에 소정 기록 주기 단위로 저장된 원본 패킷 데이터들은 색인 작업을 위해 재조합 모듈에 의해 재조합될 수 있다. 재조합 모듈은 저장부(130)에 저장된 원본 패킷 데이터들의 TCP 헤더 정보를 기반으로 저장부(130)에 저장되어 있던 원본 패킷 데이터들을 재조합한다(S2110).

이렇게 재조합된 원본 패킷 데이터를 바탕으로 어플리케이션 분석 모듈은 어플리케이션 분석을 시작한다(S2120). 어플리케이션 분석 모듈은 원본 패킷 데이터가 어떠한 종류의 어플리케이션에 의해 생성된 데이터인지를 판단한다.

어플리케이션 분석 모듈은 재조합된 원본 패킷 데이터를 RFC 규격을 기준으로 어플리케이션을 판단할 수 있으며(S2130), RFC 규격에 정의되지 않은 어플리케이션을 판단하기 위하여 사용자가 정의한 룰을 사용할 수 있다(S2140).

이러한 방식으로, 재조합된 원본 패킷 데이터를 생성한 어플리케이션이 확인되면(S2150), 메타데이터 추출 모듈은 재조합된 원본 패킷 데이터로부터 메타데이터를 추출할 수 있다(S2160). 원본 패킷 데이터가 RFC 규격에 정의된 어플리케이션에 의해 생성된 경우에는, 메타데이터가 RFC 표준 규격을 기반으로 추출될 수 있고(S2170), RFC 규격에 정의되지 않은 어플리케이션에 의해 생성된 원본 패킷 데이터에 대해서는 사용자가 정의한 룰에 따라서 메타데이터를 추출될 수 있다(S2180).

어플리케이션 분석 모듈이 어플리케이션을 판단하기 위하여 사용하는 사용자 정의 룰과 메타데이터 추출 모듈이 메타데이터를 추출하기 위하여 사용하는 사용자 정의 룰은 패턴 기반 사용자 정의 색인 관리 인터페이스에 의해 정의될 수 있다.

메타데이터 추출 모듈은 이렇게 추출된 메타데이터를 색인화 작업을 하여 최종적으로 색인화를 하게 된다(S2180).

도 6에 도시된 바와 같이, 메타데이터는 어플리케이션 별로 추출되고, 색인화 될 수 있다. 예를 들어, 어플리케이션이 HTTP인 것으로 확인되면, 추출된 메타데이터는 URL, 웹정보, 첨부파일 등으로 색인화될 수 있으며, 어플리케이션이 FTP인 것으로 확인되면, 추출된 메타데이터는 로그인 아이디, 서버 아이디, 첨부파일 등으로 색인화될 수 있으며, 어플리케이션이 SMTP인 것으로 확인되면, 추출된 메타데이터는 보낸 사람, 받는 사람, 첨부파일 등으로 색인화 될 수 있으며, 어플리케이션이 DNS인 것으로 확인되면, 추출된 메타데이터는 도메인 쿼리, 서버 쿼리 등으로 색인화될 수 있으며, 어플리케이션이 SSL인 것으로 확인되면, 추출된 메타데이터는 서버인증서, URL, 서비스정보 등으로 색인화될 수 있다. 또한, 사용자 정의 룰에 의해 정의된 어플리케이션으로 확인되면, 추출된 메타데이터는 그에 맞게 정의된 형태로 색인화될 수 있다.

메타데이터 추출 모듈은 하나의 어플리케이션 색인마다 다양한 메타데이터 색인을 결합시킬 수 있게 된다.

종래에는 상황 및 조건 별로 반복적인 검색을 통하여 데이터 분석을 진행하였다. 예를 들어 출발지/목적지 정보, 웹호스트주소, 어플리케이션, 출발지/목적지 국가, 웹 메타 ? Method, 웹 메타 ? Return code, 웹 메타 ? Path, 웹 메타 ? X forwarded, 접속 지속 시간, 업로드/다운로드 파일, 패킷 수, 프로토콜 종류 등 108 종의 조건을 반복적으로 검색을 하는 방법을 사용하였다.

그러나, 본 발명의 일 실시예에 따른 시나리오 중심 실시간 공격 감지 방법은 색인 통합 과정을 통해 해킹 시나리오별 데이터를 분류하여 빠르게 해킹 사소를 분석할 수 있도록 한다. 즉, 패턴 기반 색인 데이터(예를 들어, 출발지/목적지, 국가정보, 접속 지속 시간, 첨부파일 종류, 이메일 발신자 등)를 통합하여, 지속적으로 발생하는 해킹사고 패턴에 대한 패턴 모델링을 수행하여 복수개의 시나리오들을 미리 만들어 두고, 시나리오가 성립되도록 하는 원본 패킷 데이터만을 확인하는 방법을 사용한다.

본 발명의 일 실시예에 따른 시나리오 중심 실시간 공격 감지 시스템을 이용한 시나리오 중심 실시간 공격 감지 방법은 먼저, 시나리오 생성 모듈이, 색인화된 메타데이터에 적용될 시나리오를 형성하는 단계를 수행할 수 있고, 메타데이터 추출 모듈이 원본 패킷 데이터로부터 메타데이터를 추출하여 색인화 하는 단계를 수행할 수 있고, 메타데이터 탐지 모듈은 시나리오에 대응되는 색인화된 메타데이터를 탐지하는 단계를 수행할 수 있다.

여기서, 시나리오는 색인화된 메타데이터에 적용될 단일 탐지 시나리오 및 단일 탐지 시나리오들을 결합한 다중 탐지 시나리오를 포함할 수 있다. 또한, 메타데이터 추출 모듈이 패킷 데이터로부터 메타데이터를 추출하여 색인화하는 단계에 있어서, 앞에서는 어플리케이션 분석 및 이에 기반한 메타데이터 추출 및 색인화를 설명하였으나, 반드시 어플리케이션 분석을 기반으로 메타데이터를 추출 및 색인화를 해야 하는 것으로 한정되는 것은 아니며, 어플리케이션 분석이 수행되지 않을 수도 있을 것이다.

단일 탐지 시나리오는 하나 이상의 성립 조건을 포함하며, 성립 조건이 모두 만족되는 경우에 해당 메타데이터 및 이에 대응되는 패킷 데이터는 시나리오가 성립된 것으로 판단된다. 성립 조건은 색인 타입 및 패턴 정보를 포함할 수 있다. 색인 타입 및 패턴 정보의 예는 도 10 및 도 11을 참조하여 후술한다.

도 9에 도시된 바와 같이, 시나리오 중심 실시간 공격 감지 시스템은 생성된 색인 메타데이터(예를 들어, 서버 국가 정보, 접속 지속 시간, 웹 첨부 파일 종류, 웹 첨부 파일 방향, 어플리케이션 종류, 이메일 발신자, 이메일 본문, 출발지 IP, 목적지 IP, 웹 URL 주소 등)를 통합하여 단일 탐지 시나리오를 생성하는데 사용할 수 있다.

예를 들어, 단일 탐지 시나리오는 데이터 유출 시나리오, 바이러스 다운로드 시나리오, C&C 접속 시나리오, 내부자 정보 유출 시나리오 등을 포함할 수 있다.

데이터 유출 시나리오는 웹 첨부파일 종류와 웹 첨부파일 방향이라는 색인으로 구성될 수 있으며, 웹 첨부파일 종류로는 pdf, hwp, docx 등을 정의할 수 있고, 웹 첨부파일 방향으로는 업로드인 것으로 정의할 수 있다.

바이러스 다운로드 시나리오는 웹 첨부파일 종류와 웹 첨부파일 방향이라는 색인으로 구성될 수 있으며, 웹 첨부파일 종류로는 exe, dll 등을 정의할 수 있고, 웹 첨부파일 방향으로는 다운로드인 것으로 정의할 수 있다.

C&C 접속 시나리오는 어플리케이션 종류와 서버 국가 정보라는 색인으로 구성될 수 있으며, 어플리케이션 종류로는 IRC, HTTP 등을 정의할 수 있고, 서버 국가 정보로는 중국, 러시아 등을 정의할 수 있다.

내부자 정보 유출 시나리오는 이메일 발신자 및 이메일 본문이라는 색인으로 구성될 수 있으며, 이메일 발신자로는 특정 도메인 서버를 정의할 수 있고, 이메일 본문으로는 “기밀”, “대외비”라는 단어를 를 포함한 내용을 정의할 수 있다.

시나리오 생성 모듈은 이렇게 생성된 단일 탐지 시나리오를 복수 개 조합하여 다중 탐지 시나리오를 생성할 수 있다. 예를 들어, 다중 탐지 시나리오는 APT 공격 시나리오, 기밀정보 유출 시나리오 등을 포함할 수 있다.

APT 공격 시나리오는 바이러스 다운로드 시나리오, C&C 접속 시나리오 및 데이터 유출 시나리오를 모두 성립시킨 경우에 성립되며, 기밀 정보 유출 시나리오는 내부자 정보 유출 시나리오 및 데이터 유출 시나리오를 모두 성립시킨 경우에 성립될 수 있다.

도 10은 본 발명의 일 실시예에 따른 시나리오 중심 실시간 공격 감지 시스템에서 단일 탐지 시나리오가 사용되는 단계를 도시한 도면이다. 도 11은 본 발명의 일 실시예에 따른 시나리오 중심 실시간 공격 감지 시스템에서 다중 탐지 시나리오가 사용되는 단계를 도시한 도면이다.

예를 들어 도 10에 도시된 바와 같이, 단일 탐지 시나리오 Rule ID 1번은 2개의 조건을 가질 수 있다. 조건 1은 색인 타입(Index Type)이 HTTP URL로 설정되고, 패턴 정보(Rule Pattern)는 www.dropbox.com 으로 설정될 수 있고, 조건 2는 색인 타입이 HTTP Upload Type으로 설정될 수 있고, 패턴 정보는 docx로 설정될 수 있다. 이러한 경우에 www.dropbox.com에 접속하고(조건 1 만족), docx 확장자의 파일을 업로드하는 경우(조건 2 만족)에는 웹하드에 첨부파일 업로드 행위가 이루어진 것으로 탐지할 수 있다.

또한, 단일 탐지 시나리오 Rule ID 2번은 1개의 조건만을 가질 수 있다. 조건 1은 색인 타입(Index Type)이 SSL(Secure Sockets Layer) Domain으로 설정되고, 패턴 정보(Rule Pattern)는 saramin.co.kr로 설정될 수 있다. 이러한 경우에 SSL Domain으로서 이직 사이트인 saramin.co.kr에 접속하는 경우에 이직 사이트에 접속하는 행위가 이루어진 것으로 탐지할 수 있다.

다중 탐지 시나리오는 둘 이상의 단일 탐지 시나리오가 모두 성립되고, 다중 탐지 시나리오의 공통 조건이 성립되는 경우에 시나리오가 성립된 것으로 판단할 수 있다.

예를 들어 도 11에 도시된 바와 같이, 다중 탐지 시나리오 Rule ID 3번은 단일 탐지 시나리오 Rule ID 1번과 2번이 만족하되, 공통 조건으로서 Rule ID 1번과 2번을 만족시키는 패킷 데이터의 Source IP (SIP)가 동일한 경우(도 11에서는 192.168.10.147)에 시나리오가 성립된 것으로 판단하고, 이 경우 기밀 정보 유출 행위가 이루어진 것으로 탐지할 수 있다.

이러한 방식으로 다양한 시나리오를 형성하여, 더 빠르고 정확하게 해킹으로 의심되는 데이터를 찾아서 분석을 할 수 있게 되고, 공격을 빠르게 감지할 수 있게 된다.

이상 본 명세서에서 설명한 기능적 동작과 본 주제에 관한 실시형태들은 본 명세서에서 개시한 구조들 및 그들의 구조적인 등가물을 포함하여 디지털 전자 회로나 컴퓨터 소프트웨어, 펌웨어 또는 하드웨어에서 혹은 이들 중 하나 이상의 조합에서 구현 가능하다.

본 명세서에서 기술하는 주제의 실시형태는 하나 이상의 컴퓨터 프로그램 제품, 다시 말해 데이터 처리 장치에 의한 실행을 위하여 또는 그 동작을 제어하기 위하여 유형의 프로그램 매체 상에 인코딩되는 컴퓨터 프로그램 명령에 관한 하나 이상의 모듈로서 구현될 수 있다. 유형의 프로그램 매체는 전파형 신호이거나 컴퓨터로 판독 가능한 매체일 수 있다. 전파형 신호는 컴퓨터에 의한 실행을 위하여 적절한 수신기 장치로 전송하기 위한 정보를 인코딩하기 위하여 생성되는 예컨대 기계가 생성한 전기적, 광학적 혹은 전자기 신호와 같은 인공적으로 생성된 신호이다. 컴퓨터로 판독 가능한 매체는 기계로 판독 가능한 저장장치, 기계로 판독 가능한 저장 기판, 메모리 장치, 기계로 판독 가능한 전파형 신호에 영향을 미치는 물질의 조합 혹은 이들 중 하나 이상의 조합일 수 있다.

컴퓨터 프로그램(프로그램, 소프트웨어, 소프트웨어 어플리케이션, 스크립트 혹은 코드로도 알려져 있음)은 컴파일되거나 해석된 언어나 선험적 혹은 절차적 언어를 포함하는 프로그래밍 언어의 어떠한 형태로도 작성될 수 있으며, 독립형 프로그램이나 모듈, 컴포넌트, 서브루틴 혹은 컴퓨터 환경에서 사용하기에 적합한 다른 유닛을 포함하여 어떠한 형태로도 전개될 수 있다.

컴퓨터 프로그램은 파일 시스템의 파일에 반드시 대응하는 것은 아니다. 프로그램은 요청된 프로그램에 제공되는 단일 파일 내에, 혹은 다중의 상호 작용하는 파일(예컨대, 하나 이상의 모듈, 하위 프로그램 혹은 코드의 일부를 저장하는 파일) 내에, 혹은 다른 프로그램이나 데이터를 보유하는 파일의 일부(예컨대, 마크업 언어 문서 내에 저장되는 하나 이상의 스크립트) 내에 저장될 수 있다.

컴퓨터 프로그램은 하나의 사이트에 위치하거나 복수의 사이트에 걸쳐서 분산되어 통신 네트워크에 의해 상호 접속된 다중 컴퓨터 또는 하나의 컴퓨터 상에서 실행되도록 전개될 수 있다.

부가적으로, 본 명세서에서 기술하는 논리 흐름과 구조적인 블록도는 개시된 구조적인 수단의 지원을 받는 대응하는 기능과 단계의 지원을 받는 대응하는 행위 및/또는 특정한 방법을 기술하는 것으로, 대응하는 소프트웨어 구조와 알고리즘과 그 등가물을 구축하는 데에도 사용 가능하다.

본 명세서에서 기술하는 프로세스와 논리 흐름은 입력 데이터 상에서 동작하고 출력을 생성함으로써 기능을 수행하기 위하여 하나 이상의 컴퓨터 프로그램을 실행하는 하나 이상의 프로그래머블 프로세서에 의하여 수행 가능하다.

컴퓨터 프로그램의 실행에 적합한 프로세서는, 예컨대 범용 및 특수 목적의 마이크로프로세서 양자 및 어떤 종류의 디지털 컴퓨터의 어떠한 하나 이상의 프로세서라도 포함한다. 일반적으로, 프로세서는 읽기 전용 메모리나 랜덤 액세스 메모리 혹은 양자로부터 명령어와 데이터를 수신할 것이다.

컴퓨터의 핵심적인 요소는 명령어와 데이터를 저장하기 위한 하나 이상의 메모리 장치 및 명령을 수행하기 위한 프로세서이다. 또한, 컴퓨터는 일반적으로 예컨대 자기, 자기광학 디스크나 광학 디스크와 같은 데이터를 저장하기 위한 하나 이상의 대량 저장 장치로부터 데이터를 수신하거나 그것으로 데이터를 전송하거나 혹은 그러한 동작 둘 다를 수행하기 위하여 동작가능 하도록 결합되거나 이를 포함할 것이다. 그러나, 컴퓨터는 그러한 장치를 가질 필요가 없다.

본 기술한 설명은 본 발명의 최상의 모드를 제시하고 있으며, 본 발명을 설명하기 위하여, 그리고 당업자가 본 발명을 제작 및 이용할 수 있도록 하기 위한 예를 제공하고 있다. 이렇게 작성된 명세서는 그 제시된 구체적인 용어에 본 발명을 제한하는 것이 아니다.

따라서, 상술한 예를 참조하여 본 발명을 상세하게 설명하였지만, 당업자라면 본 발명의 범위를 벗어나지 않으면서도 본 예들에 대한 개조, 변경 및 변형을 가할 수 있다. 요컨대 본 발명이 의도하는 효과를 달성하기 위해 도면에 도시된 모든 기능 블록을 별도로 포함하거나 도면에 도시된 모든 순서를 도시된 순서 그대로 따라야만 하는 것은 아니며, 그렇지 않더라도 얼마든지 청구항에 기재된 본 발명의 기술적 범위에 속할 수 있다는 점을 밝힌다.

[부호의 설명]

110: 데이터 관리 모듈

120: 메모리부

130: 저장부

140: 저장 관리 모듈

150: 메모리 관리 모듈

Claims

고성능 패킷 스트림 저장 시스템에 의한 고성능 패킷 스트림 저장 방법에 있어서,

(a) 네트워크를 통해 전송되는 데이터 트래픽으로부터 원본 패킷 데이터를 수집하는 단계;

(b) 상기 수집된 원본 패킷 데이터를 메모리에 기록하는 단계;

(c) 상기 수집된 원본 패킷 데이터에서 메타데이터를 추출하여 메모리에 기록하는 단계; 및

(d) 상기 원본 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 저장부에 저장하는 단계를 포함하는 것을 특징으로 하는 고성능 패킷 스트림 저장 방법.
제 1 항에 있어서, 상기 고성능 패킷 스트림 저장 방법은,

상기 수집된 원본 패킷 데이터에서 예외 정보를 필터링하여 메모리 기록 대상에서 제외시키는 단계를 더 포함하는 것을 특징으로 하는 고성능 패킷 스트림 저장 방법.
제 1 항에 있어서,

상기 저장부는 로컬 디스크를 포함하며,

상기 (d) 단계는

네트워크 속도가 소정 기준 이하인 경우에 상기 원본 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 상기 로컬 디스크에 직접 저장하는 단계를 포함하는 것을 특징으로 하는 고성능 패킷 스트림 저장 방법.
제 1 항에 있어서,

상기 저장부는 복수개의 확장 노드들을 포함하며,

상기 (d) 단계는

네트워크 속도가 소정 기준을 초과하는 경우에 상기 원본 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 복수개의 확장 노드들에 분산 저장하는 단계를 포함하는 것을 특징으로 하는 고성능 패킷 스트림 저장 방법.
제 1 항에 있어서, 상기 고성능 패킷 스트림 저장 방법은

상기 (d) 단계 후에, 상기 원본 패킷 데이터와 상기 메타데이터가 기록된 메모리가 반환되는 단계를 더 포함하는 것을 특징으로 하는 고성능 패킷 스트림 저장 방법.
제 5 항에 있어서, 상기 (a) 단계는,

패킷 수집량이 수집 설정값을 초과하는 경우에, 초과된 양의 원본 패킷 데이터를 위한 추가 메모리를 확보하는 단계를 포함하는 것을 특징으로 하는 고성능 패킷 스트림 저장 방법.
제 1 항에 있어서, 상기 (c) 단계는,

상기 수집된 원본 패킷 데이터와 상기 추출된 메타데이터가 소정 기록 주기 동안 상기 메모리에 기록된 후에 상기 메모리로부터 상기 저장부에 저장되는 단계를 포함하는 것을 특징으로 하는 고성능 패킷 스트림 저장 방법.
네트워크를 통해 전송되는 데이터 트래픽으로부터 원본 패킷 데이터를 수집하고, 상기 수집된 원본 패킷 데이터에서 메타데이터를 추출하는 데이터 관리 모듈;

상기 원본 패킷 데이터와 상기 메타데이터가 기록되는 메모리부;

상기 원본 패킷 데이터와 상기 메타데이터가 저장되어 데이터베이스화되는 저장부;

상기 원본 패킷 데이터와 상기 메타데이터를 상기 메모리부로부터 상기 저장부에 저장시키는 저장 관리 모듈; 및

상기 원본 패킷 데이터와 상기 메타데이터가 상기 메모리부로부터 상기 저장부에 저장된 후에 상기 원본 패킷 데이터와 상기 메타데이터가 기록되었던 상기 메모리부의 메모리 영역을 반환시키는 메모리 관리 모듈을 포함하는 것을 특징으로 하는 고성능 패킷 스트림 저장 시스템.
제 8 항에 있어서,

상기 저장부는 로컬 디스크를 포함하며,

저장 관리 모듈은 디스크 관리 모듈을 포함하고,

네트워크 속도가 소정 기준 이하인 경우에 상기 디스크 관리 모듈은 상기 원본 패킷 데이터와 상기 메타데이터를 상기 메모리부로부터 상기 로컬 디스크에 직접 저장하는 것을 특징으로 하는 고성능 패킷 스트림 저장 시스템.
제 8 항에 있어서,

상기 저장부는 복수개의 확장 노드들을 포함하며,

저장 관리 모듈은 데이터 분산 관리 모듈을 포함하고,

네트워크 속도가 소정 기준을 초과하는 경우에 상기 데이터 분산 관리 모듈은 상기 원본 패킷 데이터와 상기 메타데이터를 상기 메모리부로부터 상기 확장 노드들에 분산 저장하는 것을 특징으로 하는 고성능 패킷 스트림 저장 시스템.
패턴 기반 색인 처리 시스템을 이용한 패턴 기반 색인 처리 방법에 있어서,

(a) 원본 패킷 데이터들을 재조합하는 단계;

(b) 재조합된 원본 패킷 데이터에 대하여 어플리케이션 분석을 하는 단계; 및

(c) 상기 재조합된 원본 패킷 데이터의 메타데이터를 추출하여 색인화 하는 단계를 포함하는 것을 특징으로 하는 패턴 기반 색인 처리 방법.
제 11 항에 있어서, 상기 (a) 단계는 TCP헤더 정보를 기반으로 원본 패킷 데이터를 재조합하는 단계를 포함하는 것을 특징으로 하는 패턴 기반 색인 처리 방법.
제 11 항에 있어서, 상기 (b) 단계에서

상기 재조합된 원본 패킷 데이터를 RFC 규격을 기준으로 어플리케이션을 판단하는 단계를 포함하는 것을 특징으로 하는 패턴 기반 색인 처리 방법.
제 13 항에 있어서,

상기 재조합된 원본 패킷 데이터가 RFC 규격의 어플리케이션에 의해 생성된 데이터인 경우에, 상기 (c) 단계에서

상기 재조합된 원본 패킷 데이터를 RFC 규격을 기준으로 메타데이터를 추출하는 단계를 포함하는 것을 특징으로 하는 패턴 기반 색인 처리 방법.
제 11 항에 있어서, 상기 (b) 단계에서

상기 재조합된 원본 패킷 데이터를 사용자 정의 규격을 기준으로 어플리케이션을 판단하는 단계를 포함하는 것을 특징으로 하는 패턴 기반 색인 처리 방법.
제 15 항에 있어서,

상기 재조합된 원본 패킷 데이터가 사용자 정의 규격의 어플리케이션에 의해 생성된 데이터인 경우에, 상기 (c) 단계에서

상기 분석된 원본 패킷 데이터를 사용자 정의 규격을 기준으로 메타데이터를 추출하는 단계를 포함하는 것을 특징으로 하는 패턴 기반 색인 처리 방법.
제 11 항에 있어서, 상기 패턴 기반 색인 처리 방법은 상기 (a) 단계는

네트워크를 통해 전송되는 데이터 트래픽으로부터 원본 패킷 데이터를 수집하는 단계;

상기 수집된 원본 패킷 데이터를 소정 기록 주기 시간동안 메모리에 기록하는 단계;

상기 수집된 원본 패킷 데이터에서 메타데이터를 추출하여 상기 소정 기록 주기 시간동안 메모리에 기록하는 단계; 및

상기 소정 기록 주기가 경과하면, 상기 기록된 원본 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 저장부에 저장하는 단계;

상기 소정 기록 주기 단위로 저장된 원본 패킷 데이터를 재조합하는 단계를 포함하는 것을 특징으로 하는 패턴 기반 색인 처리 방법.
제 17 항에 있어서, 상기 (a) 단계는

상기 저장부 저장 단계 후에, 상기 원본 패킷 데이터와 상기 메타데이터가 기록된 메모리가 반환되는 단계를 포함하는 것을 특징으로 하는 패턴 기반 색인 처리 방법.
제 17 항에 있어서,

상기 저장부는 로컬 디스크를 포함하며,

상기 (a) 단계는

네트워크 속도가 소정 기준 이하인 경우에 상기 원본 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 상기 로컬 디스크에 직접 저장하는 단계를 포함하는 것을 특징으로 하는 패턴 기반 색인 처리 방법.
제 17 항에 있어서,

상기 저장부는 복수개의 확장 노드들을 포함하며,

상기 (a) 단계는

네트워크 속도가 소정 기준을 초과하는 경우에 상기 원본 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 복수개의 확장 노드들에 분산 저장하는 단계를 포함하는 것을 특징으로 하는 패턴 기반 색인 처리 방법.
시나리오 중심 실시간 공격 감지 시스템을 이용한 시나리오 중심 실시간 공격 감지 방법에 있어서,

(a) 색인화된 메타데이터에 적용될 시나리오를 형성하는 단계;

(b) 패킷 데이터로부터 메타데이터를 추출하여 색인화 하는 단계; 및

(c) 상기 시나리오에 대응되는 색인화된 메타데이터를 탐지하는 단계를 포함하는 것을 특징으로 하는 시나리오 중심 실시간 공격 감지 방법.
제 21 항에 있어서,

상기 (a) 단계는

색인화된 메타데이터에 적용될 단일 탐지 시나리오를 형성하는 단계; 및

단일 탐지 시나리오들을 결합한 다중 탐지 시나리오를 형성하는 단계를 포함하는 것을 특징으로 하는 시나리오 중심 실시간 공격 감지 방법.
제 22 항에 있어서,

단일 탐지 시나리오는

하나 이상의 성립 조건을 포함하며, 성립 조건이 모두 만족되는 경우에 시나리오가 성립된 것으로 판단되며,

성립 조건은 색인 타입 및 패턴 정보를 포함하는 것을 특징으로 하는 시나리오 중심 실시간 공격 감지 방법.
제 23 항에 있어서,

다중 탐지 시나리오는

둘 이상의 단일 탐지 시나리오가 모두 성립되고, 공통 조건이 성립되는 경우에 시나리오가 성립된 것으로 판단하는 것을 특징으로 하는 시나리오 중심 실시간 공격 감지 방법.
제 21 항에 있어서, 상기 (b) 단계는,

소정 기록 주기 단위로 저장된 패킷 데이터를 TCP헤더 정보를 기반으로 재조합하는 단계; 및

상기 재조합된 패킷 데이터로부터 메타데이터를 추출하여 색인화 하는 단계를 포함하는 것을 특징으로 하는 시나리오 중심 실시간 공격 감지 방법.
제 25 항에 있어서, 상기 (b) 단계는, 상기 패킷 데이터 재조합 단계 전에,

네트워크를 통해 전송되는 데이터 트래픽으로부터 패킷 데이터를 수집하는 단계;

상기 수집된 패킷 데이터를 소정 기록 주기 시간동안 메모리에 기록하는 단계;

상기 수집된 패킷 데이터에서 메타데이터를 추출하여 상기 소정 기록 주기 시간동안 메모리에 기록하는 단계; 및

상기 소정 기록 주기가 경과하면, 상기 기록된 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 저장부에 저장하는 단계를 포함하는 것을 특징으로 하는 시나리오 중심 실시간 공격 감지 방법.
제 26 항에 있어서, 상기 (b) 단계는

상기 저장부 저장 단계 후에, 상기 패킷 데이터와 상기 메타데이터가 기록된 메모리가 반환되는 단계를 포함하는 것을 특징으로 하는 시나리오 중심 실시간 공격 감지 방법.
제 26 항에 있어서,

상기 저장부는 로컬 디스크를 포함하며,

상기 (b) 단계는

네트워크 속도가 소정 기준 이하인 경우에 상기 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 상기 로컬 디스크에 직접 저장하는 단계를 포함하는 것을 특징으로 하는 시나리오 중심 실시간 공격 감지 방법.
제 26 항에 있어서,

상기 저장부는 복수개의 확장 노드들을 포함하며,

상기 (b) 단계는

네트워크 속도가 소정 기준을 초과하는 경우에 상기 패킷 데이터와 상기 메타데이터를 상기 메모리로부터 복수개의 확장 노드들에 분산 저장하는 단계를 포함하는 것을 특징으로 하는 시나리오 중심 실시간 공격 감지 방법.
제 21 항에 있어서, 상기 시나리오 중심 실시간 공격 감지 방법은 상기 (b) 단계 전에,

패킷 데이터에 대하여 어플리케이션 분석을 하는 단계를 더 포함하는 것을 특징으로 하는 시나리오 중심 실시간 공격 감지 방법.