KR100809422B1 - Intrusion prevention apparatus based on alert severity of signiture detection and abnormal traffic and method thereof - Google Patents
Intrusion prevention apparatus based on alert severity of signiture detection and abnormal traffic and method thereof Download PDFInfo
- Publication number
- KR100809422B1 KR100809422B1 KR1020060096454A KR20060096454A KR100809422B1 KR 100809422 B1 KR100809422 B1 KR 100809422B1 KR 1020060096454 A KR1020060096454 A KR 1020060096454A KR 20060096454 A KR20060096454 A KR 20060096454A KR 100809422 B1 KR100809422 B1 KR 100809422B1
- Authority
- KR
- South Korea
- Prior art keywords
- alarm
- attack
- detection sensor
- abnormal traffic
- reliability
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
- H04L41/0622—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time based on time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
도 1a는 본 발명의 바람직한 일 실시예에 의한 침입방지장치이다.Figure 1a is an intrusion prevention apparatus according to a preferred embodiment of the present invention.
도 1b는 본 발명의 바람직한 일 실시예에 의한 침입방지장치의 침입대응부이다. Figure 1b is an intrusion counterpart of the intrusion prevention apparatus according to an embodiment of the present invention.
도 2는 본 발명의 바람직한 일 실시예에 의한 침입방지장치에서 사용하는 공격경보가 가지고 있는 정보이다.2 is information possessed by the attack alarm used in the intrusion prevention apparatus according to an embodiment of the present invention.
도 3은 본 발명의 바람직한 일 실시예에 의한 침입방지장치에서 사용하는 위험도이다.Figure 3 is a risk of using in the intrusion prevention apparatus according to an embodiment of the present invention.
도 4는 본 발명의 바람직한 일 실시예에 의한 침입방지장치에서 사용하는 신뢰도이다.Figure 4 is the reliability used in the intrusion prevention apparatus according to an embodiment of the present invention.
도 5는 본 발명의 바람직한 다른 일 실시예에 의한 침입방지장치이다.5 is an intrusion prevention apparatus according to another preferred embodiment of the present invention.
도 6은 본 발명의 바람직한 일 실시예에 의한 침입방지방법의 전처리단계의 흐름이다.Figure 6 is a flow of the pre-treatment step of the intrusion prevention method according to an embodiment of the present invention.
도 7은 본 발명의 바람직한 일 실시예에 의한 침입방지방법의 전체적인 흐름이다.7 is a general flow of the intrusion prevention method according to an embodiment of the present invention.
본 발명은 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지장치 및 그 방법에 관한 것으로, 보다 상세하게는 서로 다른 복수개의 공격패턴 탐지센서 및 이상트래픽 탐지센서로부터 수집된 경보를 기초로 이상트래픽 탐지센서의 경보위험도의 신뢰도를 계산하는 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지장치 및 그 방법에 관한 것이다.The present invention relates to an intrusion prevention device based on the signature detection and abnormal traffic alarm risk, and a method thereof, and more particularly, to an abnormal traffic detection sensor based on alarms collected from a plurality of different attack pattern detection sensors and abnormal traffic detection sensors. The present invention relates to a signature detection and abnormal traffic alarm risk-based intrusion prevention device and method for calculating the reliability of the alarm risk level of the alarm.
최근 초고속 인터넷 환경을 통한 공격 형태들은 대형화되고 다양해지고 있으며 복잡해지고 있는 추세로 이를 효과적으로 탐지하고 대응하기가 점점 어려워지고 있다.Recently, attack forms through the high-speed Internet environment are becoming larger, more diverse, and more complex, and it is increasingly difficult to effectively detect and respond to them.
네트워크 상에서 이상트래픽(abnormal traffic)을 유발시키는 주 요인인 서비스 거부(DoS)나 분산 서비스 거부(DDoS), 웜(worm), 봇(bot), 바이러스(virus) 등의 공격이 있다. There are attacks such as denial of service (DoS), distributed denial of service (DDoS), worms, bots, and viruses, which are the main causes of abnormal traffic on the network.
이러한 공격들로 인한 피해 규모는 기하급수적으로 증가하고 있으며, 이에 대하여 방화벽, 가상 사설망, 취약성 분석, 안티바이러스 백신, 침입 탐지 및 방지 시스템 등의 기술들이 도입되고 있다.The scale of damage from these attacks is growing exponentially, and technologies such as firewalls, virtual private networks, vulnerability analysis, antivirus vaccines, and intrusion detection and prevention systems are being introduced.
침입 탐지 및 방지 시스템에서 사용하고 있는 기술은 알려진 공격 패턴을 정의하여 탐지하는 패턴매칭(Pattern Matching) 및 휴리스틱 분석(Heuristic Analysis) 탐지 기술, 프로토콜 스펙에 위반(Protocol Anomaly)되는 공격을 탐지하 는 기술, 알려지지 않은 특징(Unknown Signature)을 추출하여 탐지하는 기술, 네트워크 대역폭이나 시스템의 자원을 소모시키는 이상트래픽(Abnormal Traffic)을 탐지하는 기술 등으로 나뉜다.The technologies used in intrusion detection and prevention systems include pattern matching and heuristic analysis detection techniques that define and detect known attack patterns, and technologies that detect protocol anomaly violations. It is divided into technologies that extract and detect unknown signatures, and technologies that detect abnormal traffic that consumes network bandwidth or system resources.
패턴매칭이나 휴리스틱 분석, 프로토콜 이상탐지 기술과 같이 알려진 공격 패턴을 기반으로 탐지하는 기술들은 탐지 정확성이 매우 높은 편이지만, 우회 공격이나 정상과 유사한 패턴에 대해서는 잘못 탐지할 확률이 높다.Detection techniques based on known attack patterns, such as pattern matching, heuristic analysis, and protocol anomaly detection techniques, have high detection accuracy, but are more likely to falsely detect bypass attacks or similar patterns.
그리고 알려지지 않은 공격의 특징을 탐지하는 기술은 전문가의 분석에 의존하는 앞의 탐지 기술들과는 달리 자동으로 공격 패턴을 추출하여 탐지패턴을 생성하여 분석 시간을 줄일 수 있지만 정확성이 높지않은 수준이고 아직 연구 단계로 시스템에 적용하기에는 다소 어려움을 안고 있다.And unlike the previous detection techniques, which rely on expert analysis, the technology to detect the characteristic of unknown attack can reduce the analysis time by automatically extracting the attack pattern and generating the detection pattern, but the level of accuracy is not high and it is still in the research stage. This is somewhat difficult to apply to the system.
또한, 네트워크의 대역폭을 소모시키거나 시스템의 자원을 소모시키는 서비스 거부 공격이나 웜 공격을 탐지하는데 적합한 이상트래픽 탐지 기술은 사용자의 과다한 사용 등으로 인하여 발생되는 정상적인 트래픽과 구별하기가 쉽지 않다.In addition, the abnormal traffic detection technology suitable for detecting denial of service attacks or worm attacks that consume bandwidth of the network or consume resources of the system is not easy to distinguish from normal traffic generated by excessive use of the user.
알려진 공격에 대한 탐지 정확성을 높이기 위해 해당 공격만을 탐지하기 위한 패턴들을 지속적으로 갱신하여 해결하고 있고, 알려지지 않은 공격에 대한 패턴 생성 연구도 꾸준히 발전하고 있으며, 이상트래픽을 탐지하기 위한 다양한 알고리즘들이 개발되어 적용되고 있다. 여기서 각 탐지 센서들이 발생시키는 경보 정보들은 비교적 높은 정확도를 가지고 있지만, 잘못 판단되어 발생하는 경보 정보들도 포함되어 있다. In order to improve the detection accuracy of known attacks, we continuously update and solve patterns for detecting only those attacks, and research on pattern generation for unknown attacks is steadily evolving, and various algorithms for detecting abnormal traffic have been developed. Is being applied. In this case, the alarm information generated by each detection sensor has a relatively high accuracy, but also includes alarm information that is incorrectly determined.
특히, 이상트래픽에 대한 경보들의 신뢰도는 탐지 알고리즘의 성능에 따라 좌우되므로 절대적으로 그 결과를 신뢰하여 대응하게 되면 정상적인 트래픽을 차단하거나 해당 서비스를 하지 못하게 되는 문제점이 발생할 수 있다. 따라서 이러한 탐지 결과에 대해 관리자에 의한 대응에 도움이 되도록 하는 명확한 근거를 제시해 주는 것이 필요하다.In particular, since the reliability of the alarms for the abnormal traffic depends on the performance of the detection algorithm, it may cause a problem that the normal traffic is blocked and the corresponding service is blocked if the result is absolutely trusted. Therefore, it is necessary to provide clear evidence to help the administrator respond to these detection results.
본 발명이 이루고자하는 기술적 과제는, 서로 다른 종류의 탐지센서로부터 수집된 공격정보를 이용하여 이상트래픽 탐지센서의 경보 위험도의 정확한 신뢰도를 계산하여 이상트래픽에 대하여 적절한 침입대응을 하는데 있다.The technical problem to be achieved by the present invention is to calculate the accurate reliability of the alarm risk of the abnormal traffic detection sensor using attack information collected from different types of detection sensors to properly respond to intrusion traffic.
상기 기술적 과제를 이루기 위한 본 발명에 따른 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지장치의 일 실시예는 서로 다른 복수개의 공격패턴 탐지센서 및 이상트래픽 탐지센서로부터 수집된 신뢰도와 경보위험도를 각각 가지는 공격경보들을 발생시간에 따라 분류하고, 발생시간이 동일한 공격경보들의 일치정도를 나타내는 기준값을 계산하는 전처리부 및 기준값 및 동일시간에 발생한 공격경보들의 경보위험도 중 적어도 어느 하나를 기초로 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 신뢰도를 계산하는 신뢰도계산부를 가진다.An embodiment of the intrusion prevention device based on the signature detection and abnormal traffic warning risk according to the present invention for achieving the technical problem has a reliability and alarm risk collected from a plurality of different attack pattern detection sensor and the abnormal traffic detection sensor, respectively. Abnormal traffic detection sensor based on at least one of pre-processing unit for calculating the reference value indicating the degree of agreement of the attack alarms with the same occurrence time, and at least one of the alarm risk of the attack alarms occurred at the same time. It has a reliability calculator that calculates the reliability of the alarm risk of the generated attack alarm.
보다 바람직하게는 상기 기술적 과제를 이루기 위한 본 발명에 따른 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지장치의 일 실시예는 이상트래픽 탐지센서의 경보위험도의 신뢰도가 기 설정된 임계값에 해당하는 경우에는 공격경보에 대해 침입대응을 수행하는 침입대응부및 공격경보에 대한 침입대응을 하지 않 는 경우, 이상트래픽 탐지센서의 경보위험도의 신뢰도를 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 과거 신뢰도를 기초로 갱신하는 신뢰도갱신부를 더 가진다.More preferably, an embodiment of the intrusion prevention device based on the signature detection and abnormal traffic alarm risk level according to the present invention for achieving the technical problem is when the reliability of the alarm risk level of the abnormal traffic detection sensor corresponds to a preset threshold. Intrusion response part that performs intrusion response to attack alarm and in case of inaction response to attack alarm, reliability of alarm risk of abnormal traffic detection sensor is past reliability of alarm risk of attack alarm generated by abnormal traffic detection sensor. It further has a reliability update unit for updating based on.
상기 기술적 과제를 이루기 위한 본 발명에 따른 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지방법의 일 실시예는 서로 다른 복수개의 공격패턴 탐지센서 및 이상트래픽 탐지센서로부터 수집된 신뢰도와 경보위험도를 각각 가지는 공격경보들을 발생시간에 따라 분류하고, 발생시간이 동일한 공격경보들의 일치정도를 나타내는 기준값을 계산하는 전처리단계 및 기준값 및 동일시간에 발생한 공격경보들의 경보위험도 중 적어도 어느 하나를 기초로 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 신뢰도를 계산하는 신뢰도계산단계를 가진다.One embodiment of the signature detection and abnormal traffic alarm risk-based intrusion prevention method according to the present invention for achieving the above technical problem has a reliability and alarm risk collected from a plurality of different attack pattern detection sensors and abnormal traffic detection sensors, respectively. Anomaly traffic detection sensor is classified based on occurrence time, and based on at least one of preprocessing step of calculating the reference value indicating the agreement degree of attack alarms having the same occurrence time, and at least one of the reference value and the alarm risk of the attack alarms generated at the same time Has a reliability calculation step of calculating the reliability of the alarm risk of the generated attack alert.
보다 바람직하게는 상기 기술적 과제를 이루기 위한 본 발명에 따른 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지방법의 일 실시예는 이상트래픽 탐지센서의 경보위험도의 신뢰도가 기 설정된 임계값에 해당하는 경우에는 공격경보에 대해 침입대응을 수행하는 침입대응단계 및 공격경보에 대한 침입대응을 하지 않는 경우, 이상트래픽 탐지센서의 경보위험도의 신뢰도를 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 과거 신뢰도를 기초로 갱신하는 신뢰도갱신단계를 더 가진다.More preferably, the signature detection and abnormal traffic alarm risk-based intrusion prevention method according to the present invention for achieving the technical problem is when the reliability of the alarm risk of the abnormal traffic detection sensor corresponds to a preset threshold value. If the intrusion response stage that performs intrusion response to the attack alarm and the intrusion response for the attack alarm are not performed, the reliability of the alarm risk of the anomaly traffic detection sensor is determined from the past reliability of the alarm risk of the attack alarm generated by the anomaly traffic detection sensor. It further has a reliability update step of updating based.
이하, 첨부한 도면을 사용하여 본 발명에 의한 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지장치 및 그 방법을 상세히 설명한다.Hereinafter, an intrusion prevention apparatus based on the signature detection and abnormal traffic warning risk and the method will be described in detail with reference to the accompanying drawings.
도 1a는 본 발명의 바람직한 일 실시예에 의한 침입방지장치이다. 도 1을 참 조하면, 본 발명에 의한 침입방지장치는 경보수집부(110), 전처리부(120), 신뢰도계산부(130), 침입대응부(140) 및 신뢰도갱신부(150)를 포함한다.Figure 1a is an intrusion prevention apparatus according to a preferred embodiment of the present invention. Referring to Figure 1, the intrusion prevention apparatus according to the present invention includes an
경보수집부(100)는 공격패턴 탐지센서 패턴매칭(Pattern Matching: PM) 탐지센서(101), 휴리스틱 분석(Heuristic Analysis: HA) 탐지센서(102), 프로토콜 이상(Protocol Abnormaly : PA) 탐지센서(103), 알려지지 않은 특징(Unknown Signature: US) 탐지센서(104) ) 및 이상트래픽(Abnormal Traffic: AT) 탐지센서(105)로부터 발생된 공격경보들을 수집한다.The alarm collecting unit 100 includes an attack pattern detection sensor pattern matching (PM)
본 발명에 의한 침입방지장치는 공격패턴을 탐지하는 공격패턴 탐지센서 및 네트워크 내 비정상적인 트래픽을 탐지하는 이상트래픽 탐지센서를 하나 이상 포함한다.Intrusion prevention apparatus according to the present invention includes an attack pattern detection sensor for detecting an attack pattern and at least one abnormal traffic detection sensor for detecting abnormal traffic in the network.
전처리부(120)는 서로 다른 복수개의 공격패턴 탐지센서 및 이상트래픽 탐지센서로부터 수집된 각각 신뢰도와 경보위험도를 가지는 공격경보들을 발생시간 별로 분류하고, 발생시간이 동일한 공격경보들의 일치정도를 나타내는 기준값을 계산한다.The preprocessing
각 탐지센서들로부터 수집된 경보 정보들(100)에 대해 발생 시간이 같은지 비교한다. 만약 다른 시간에 발생한 정보이면 단일 경보 정보로 간주하여 경보 분류 목록에 추가한다.The occurrence time is compared with respect to the alarm information 100 collected from the respective detection sensors. If the information occurred at another time, it is regarded as single alarm information and added to the alarm classification list.
즉, 같은 시간에 발생한 공격경보는 사용자 설정 전처리 정보에 따라 프로토콜이 같은지, 근원지 또는 목적지 주소가 같은지, 근원지 또는 목적지 포트가 같은지를 각각 비교한다.In other words, attack alerts that occur at the same time are compared according to the user-configured preprocessing information to determine whether the protocol is the same, the source or destination address is the same, and the source or destination port is the same.
비교 결과가 같은 경우, 기준값(Bi)을 1씩 증가시킨다. 이때 초기의 분류 기준값(B0)은 발생 시간이 같은 경우이므로 1이고 새로운 기준값(B l )은 다음과 같은 식에 의해 계산된다.If the comparison result is the same, the reference value Bi is increased by one. At this time, since the initial classification reference value B 0 is the same occurrence time, it is 1 and the new reference value B l is calculated by the following equation.
, where B0 = 1, K = 5, Bi = 0 or 1 , where B 0 = 1, K = 5, B i = 0 or 1
예를 들어, 각 탐지센서들로부터 발생된 경보 정보의 발생 시간(B0)이 같을 경우, 그 다음 프로토콜 정보(B1)가 같고, 근원지와 목적지의 주소(B2, B3)가 같고, 목적지의 포트(B5)는 같지만 근원지의 포트(B4)는 다르면 다음과 같이 기준값은 5가 된다.For example, if the occurrence time (B 0 ) of the alarm information generated from each of the detection sensors are the same, then the protocol information (B 1 ) is the same, the source (B 2 , B 3 ) of the source and destination are the same, If the port B 5 of the destination is the same but the port B 4 of the source is different, the reference value is 5 as follows.
신뢰도계산부(130)는 전처리부(120)에서 계산된 기준값 및 동일시간에 발생한 공격경보들의 경보위험도 중 적어도 어느 하나를 기초로 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 신뢰도를 계산한다. 새로운 신뢰도를 계산하는 수학식은 다음과 같다.The
이고, K = 6, N = 3, α,β= 0 또는 1 (만약, CKS : active 또는 CUS : active), j = 1(PM) 또는 2(HA) 또는 3(PA), CAT for AT, SKS, RKS and CKS for PM/HA/PA, SUS, RUS and CUS for US이다. And K = 6, N = 3, α, β = 0 or 1 (if C KS : active or C US : active), j = 1 (PM) or 2 (HA) or 3 (PA), C AT for AT, S KS , R KS and C KS for PM / HA / PA, S US , R US and C US for US.
여기서, K는 기준값 계산에 사용되는 분류 기준들의 전체 경우의 수이고, N은 패턴매칭, 휴리스틱 분석, 프로토콜 이상 탐지센서의 수이고, α와 β는 각 탐지센서들이 활성화되어 경보가 발생한 경우이면 1이고, 그렇지 않으면 0이다.Where K is the total number of classification criteria used to calculate the reference value, N is the number of pattern matching, heuristic analysis, protocol anomaly detection sensor, and α and β are 1 when each detection sensor is activated and an alarm is generated. And 0 otherwise.
또한, S 표기 형태는 경보 위험도의 표준값을 나타내고, C 표기 형태는 탐지센서의 신뢰도를 나타내고, R 표기 형태는 해당 탐지센서내의 탐지패턴의 신뢰도를 나타낸다. 즉, CAT는 이상트래픽 탐지센서의 신뢰도를 나타내고(여기서, C0 AT는 초기 신뢰도 값을 의미하고, Cn AT는 새로운 신뢰도 값을 의미), RKS는 패턴매칭, 휴리스틱 분석, 프로토콜 이상 탐지센서들 중 탐지패턴의 신뢰도를 나타낸다.In addition, the S notation type represents the standard value of the alarm risk, the C notation type represents the reliability of the detection sensor, the R notation type represents the reliability of the detection pattern in the detection sensor. That is, C AT represents the reliability of the abnormal traffic detection sensor (where C 0 AT represents the initial reliability value and C n AT represents the new reliability value), and R KS represents pattern matching, heuristic analysis, and protocol anomaly detection. The reliability of the detection pattern among the sensors is shown.
예를 들어, 이상트래픽 탐지센서에서 경보의 위험도가 Medium인 SHOULD_WORM이 발생하였고 그 신뢰도가 0.58일 때, 같은 시간에 패턴매칭, 휴리스틱 분석, 알 려지지 않은 특징 탐지센서에서도 경보 위험도가 모두 Medium인 경보가 발생하고 각각 탐지패턴의 신뢰도가 0.98, 0.97, 0.79이라면 이상트래픽 탐지센서의 새로운 신뢰도 값은 다음과 같이 계산된다. 이때, 분류 기준값은 5이고, 각 탐지센서의 경보 위험도 표준값은 도3을 참조하고, 각 탐지센서의 신뢰도는 도4를 참조한다.For example, when an abnormal traffic detection sensor has a SHOULD_WORM with a medium alarm risk and the reliability is 0.58, the alarms with a medium alarm risk are also detected at pattern matching, heuristic analysis, and unknown feature detection sensors at the same time. And the reliability of the detection pattern is 0.98, 0.97, 0.79, respectively, the new reliability value of the abnormal traffic detection sensor is calculated as follows. In this case, the classification reference value is 5, the alarm risk standard value of each detection sensor is referred to FIG. 3, and the reliability of each detection sensor is referred to FIG.
위와 같이 새로 계산된 경보위험도의 신뢰도 값은 0.69로, 이상트래픽 탐지센서에 의해 발생된 경보 위험도의 신뢰도인 0.58보다 다른 탐지센서들에 의해 신뢰도가 11% 정도 증가되었음을 알 수 있다.As described above, the newly calculated reliability value of the alarm risk is 0.69, indicating that the reliability of the alarm risk is increased by about 11% by other detection sensors than 0.58, which is the reliability of the alarm risk generated by the abnormal traffic detection sensor.
침입대응부(140)는 이상트래픽 탐지센서의 경보위험도의 신뢰도가 기 설정된 임계값에 해당하는 경우에는 상기 공격경보에 대해 침입대응을 수행한다. 침입대응부(140)는 사용자가 정의한 기준에 따라 경보 위험도 분류기에서 계산된 신뢰도를 바탕으로 자동 대응이나 사용자 대응을 한다.
신뢰도갱신부(150)은 상기 공격경보에 대한 침입대응을 하지 않는 경우, 상기 이상트래픽 탐지센서의 경보위험도의 신뢰도를 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 과거 신뢰도를 기초로 갱신한다. 신뢰도 반감기를 이용하여 신뢰도를 갱신하는 식은 다음과 같다.The
여기서, C0 AT는 이상트래픽 탐지센서에서 발생한 경보 위험도의 신뢰도이고, Cn AT는 이 신뢰도에 신뢰도 반감기를 적용한 것이다. 그리고 S는 이상트래픽 탐지센서에서 발생된 경보 위험도의 표준값이고, C는 이상트래픽 탐지센서의 신뢰도이고, R은 이상트래픽 탐지센서에서 발생된 탐지패턴의 신뢰도이다.Here, C 0 AT is the reliability of the alarm risk generated by the abnormal traffic detection sensor, and C n AT is the reliability half-life applied to this reliability. And S is the standard value of the alarm risk level generated by the abnormal traffic detection sensor, C is the reliability of the abnormal traffic detection sensor, R is the reliability of the detection pattern generated by the abnormal traffic detection sensor.
예를 들어, 이상트래픽 탐지센서에서 발생한 Medium 수준의 경보 위험도 신뢰도가 0.58이고, 탐지패턴의 신뢰도가 0.86일 때, 경보 위험도의 신뢰도 반감기는 다음과 같이 계산된다. 이때, 경보 위험도의 표준값은 0.50이고, 이상트래픽 탐지센서의 신뢰도는 0.85로 설정되어 있다.For example, when the alarm level reliability of the medium level generated by the abnormal traffic detection sensor is 0.58 and the reliability of the detection pattern is 0.86, the reliability half life of the alarm risk is calculated as follows. At this time, the standard value of the alarm risk level is 0.50, and the reliability of the abnormal traffic detection sensor is set to 0.85.
도 1b는 본 발명의 바람직한 일 실시예에 의한 침입방지장치의 침입대응부이다. 도 1b를 참조하면, 본 발명에 의한 침입방지장치의 침입대응부(140)는 자동대응부(141) 및 사용자대응부(142)를 포함한다.Figure 1b is an intrusion counterpart of the intrusion prevention apparatus according to an embodiment of the present invention. Referring to FIG. 1B, the
침입대응부(140)는 이상트래픽 탐지센서의 경보위험도의 신뢰도가 기 설정된 임계값에 해당하는 경우에는 공격경보에 대해 침입대응을 수행한다.
자동대응부(141)는 이상트래픽 탐지센서의 경보위험도의 신뢰도가 기 설정된 임계값에 해당하는 경우에는 공격경보에 대해 자동으로 침입대응을 수행한다.The
사용자대응부(142)는 자동대응을 하지 않는 경우에 사용자가 공격경보에 대한 대응여부를 결정하여 침입대응을 수행한다.The
도 2는 본 발명의 바람직한 일 실시예에 의한 침입방지장치에서 사용하는 공격경보가 가지고 있는 정보이다. 도 2는 알려진 공격패턴 탐지센서 패턴매칭(PM) 탐지센서, 휴리스틱 분석(HA) 탐지센서, 프로토콜 이상(PA) 탐지센서)의 공격경보가 포함하고 있는 정보(211), 이상트래픽(AT) 탐지센서의 공격경보가 포함하고 있는 정보(212), 알려지지 않은 공격패턴 (US) 탐지센서의 공격경보가 포함하고 있는 정보(213)들 및 각 탐지센서들의 공격경보가 포함하고 있는 공통정보(210)를 도시한 것이다.2 is information possessed by the attack alarm used in the intrusion prevention apparatus according to an embodiment of the present invention. FIG. 2 shows
여기서, 공통정보(210)들은 전처리부에서 기준값을 계산할 때 사용기준으로 사용된다. 공통정보들은 근원지 또는 목적지 주소(src/dst IP address), 프로토콜(Protocol), 근원지 또는 목적지 포트(src/dst Port), 경보 위험도(Severity), 탐지센서의 신뢰도(Sconf), 탐지패턴의 신뢰도(Rconf)를 포함한다.Here, the
전처리부는 공통정보(210)인 발생 시간, 프로토콜 정보, 근원지 또는 목적지 주소, 근원지 또는 목적지 포트의 일치여부를 기초로 새로운 신뢰도 계산에서 사용될 기준값을 계산한다.The preprocessing unit calculates a reference value to be used in the new reliability calculation based on occurrence time, protocol information, source or destination address, source or destination port, which are
즉, 같은 시간에 발생한 공격경보는 사용자 설정 전처리 정보에 따라 프로토콜이 같은지, 근원지 또는 목적지 주소가 같은지, 근원지 또는 목적지 포트가 같은 지를 각각 비교한다.In other words, attack alerts that occur at the same time are compared according to the user-configured preprocessing information to determine whether the protocol is the same, the source or destination address is the same, and the source or destination port is the same.
비교 결과가 같은 경우, 기준값(Bi)을 1씩 증가시킨다. 이때 초기의 분류 기준값(B0)은 발생 시간이 같은 경우이므로 1이고 새로운 기준값(B l )은 다음과 같은 식에 의해 계산된다.If the comparison result is the same, the reference value Bi is increased by one. At this time, since the initial classification reference value B 0 is the same occurrence time, it is 1 and the new reference value B l is calculated by the following equation.
, ( B0 = 1, K = 5, Bi = 0 or 1) , (B 0 = 1, K = 5, B i = 0 or 1)
예를 들어, 각 탐지센서들로부터 발생된 경보 정보의 발생 시간(B0)이 같을 경우, 그 다음 프로토콜 정보(B1)가 같고, 근원지와 목적지의 주소(B2, B3)가 같고, 목적지의 포트(B5)는 같지만 근원지의 포트(B4)는 다르면 다음과 같이 기준값은 5가 된다.For example, if the occurrence time (B 0 ) of the alarm information generated from each of the detection sensors are the same, then the protocol information (B 1 ) is the same, the source (B 2 , B 3 ) of the source and destination are the same, If the port B 5 of the destination is the same but the port B 4 of the source is different, the reference value is 5 as follows.
그 외에도 알려진 공격패턴 탐지센서(패턴매칭, 휴리스틱 분석, 프로토콜 이상 탐지센서)는 탐지센서(dtBlock), 탐지패턴 식별자(ruleID) 정보가 더 포함되어 있다.In addition, known attack pattern detection sensors (pattern matching, heuristic analysis, protocol anomaly detection sensor) further include detection sensor (dtBlock) and detection pattern identifier (ruleID) information.
그리고, 알려지지 않은 공격패턴 탐지센서는 시그니처명(sigName) 정보가 더 포함되어 있으며, 이상트래픽 탐지센서는 초당 바이트수(BPS)와 초당 패킷수(PPS) 정보를 더 포함하고 있다.The unknown attack pattern detection sensor further includes signature name (sigName) information, and the abnormal traffic detection sensor further includes bytes per second (BPS) and packets per second (PPS).
도 3은 본 발명의 바람직한 일 실시예에 의한 침입방지장치에서 사용하는 위험도이다.Figure 3 is a risk of using in the intrusion prevention apparatus according to an embodiment of the present invention.
도 3은 이상트래픽 탐지센서가 대상으로 하는 공격들(DDOS, DOS, WORM)과 그 외의 각 탐지센서에서 발생되는 경보 정보의 경보 위험도와의 관계를 위험도 수준(Suspicious, Medium, Malicious)에 따라 분류한 것을 도시한 것이다.FIG. 3 classifies the relationship between the attacks targeted by the abnormal traffic detection sensor (DDOS, DOS, WORM) and the alarm risk level of the alarm information generated from each other detection sensor according to the risk level (Suspicious, Medium, Malicious). It shows what you did.
도 3을 참조하면, 패턴매칭, 휴리스틱 분석, 프로토콜 이상 탐지센서에서의 경보 위험도 수준은 Low, Medium, High로 나뉜다(311). 패턴매칭, 휴리스틱 분석, 프로토콜 이상 탐지센서는 공격패턴 탐지센서 중 알려진 공격패턴 탐지센서에 해당한다. 공격패턴 탐지센서에는 알려진 공격패턴 탐지센서와 알려지지 않은 공격패턴 탐지센서가 있다.Referring to FIG. 3, the alarm risk level of the pattern matching, heuristic analysis, and protocol anomaly detection sensor is divided into low, medium, and high (311). Pattern matching, heuristic analysis, and protocol anomaly detection sensors correspond to known attack pattern detection sensors among attack pattern detection sensors. Attack pattern detection sensors include known attack pattern detection sensors and unknown attack pattern detection sensors.
이상트래픽 탐지센서에서 경보 위험도는 공격 유형에 따라 크게 MAY_, SHOULD_, CPD_, MAY_MUST_, MUST_, SHOULD_MUST_ 로 나뉜다(312).The alarm risk in the abnormal traffic detection sensor is largely divided into MAY_, SHOULD_, CPD_, MAY_MUST_, MUST_, and SHOULD_MUST_ according to the attack type (312).
알려지지 않은 공격패턴 탐지센서에서의 경보 위험도 수준은 3등분으로 나뉜다(313). 또한, 경보 위험도의 표준값은 3등분한 범위의 평균값으로 정의한다(314).The alarm risk level of unknown attack pattern detection sensor is divided into three parts (313). In addition, the standard value of the alarm risk level is defined as an average value in a third range (314).
도 3의 세로 열은 이상트래픽 탐지센서의 경보 위험도 수준에 해당하는 각 탐지센서의 위험도 수준을 표현한 것이다. The vertical column of Figure 3 represents the risk level of each detection sensor corresponding to the alarm risk level of the abnormal traffic detection sensor.
예를 들어, 이상트래픽 탐지센서의 낮은 위험도 수준인 Suspicious에 해당하는 Low(1)는 0 ~ 1/3의 범위값(315)을 갖고, Medium(2)은 1/3 ~ 2/3의 범위값(316)을 가지며 High(3)는 2/3 ~ 1의 범위값(317)을 갖는다.For example, Low (1), which corresponds to Suspicious, which is a low risk level of anomaly traffic detection sensor, has a range of 315 from 0 to 1/3, and Medium (2) has a range of 1/3 to 2/3. Has a
도 4는 본 발명의 바람직한 일 실시예에 의한 침입방지장치에서 사용하는 신뢰도이다. 도 4은 각 공격패턴 탐지센서가 가지는 신뢰도(320)와 이들 공격패턴 탐지센서가 가지고 있는 각 탐지패턴들의 신뢰도(321, 322)를 예시한 것이다.Figure 4 is the reliability used in the intrusion prevention apparatus according to an embodiment of the present invention. 4 illustrates the
여기서, 탐지센서의 신뢰도(320) 값들은 초기 사용자가 정의하는 값으로 각 탐지센서의 성능에 따라 좌우되고, 각 탐지센서가 가지고 있는 탐지패턴들의 신뢰도 값(321)들은 탐지패턴의 정확도에 따라 좌우된다.Here, the
도 5는 본 발명의 바람직한 일 실시예에 의한 침입방지장치이다. 도 5를 참조하면, 침입방지장치는 경보 수집기(100), 전처리기(200), 경보 위험도 분류기(300), 경보 위험도 갱신기(400) 및 침입 대응기(500)으로 구성된다.5 is an intrusion prevention apparatus according to an embodiment of the present invention. Referring to FIG. 5, the intrusion prevention apparatus includes an alarm collector 100, a preprocessor 200, an alarm risk classifier 300, an alarm risk updater 400, and an intrusion counterpart 500.
경보 수집기(100)는 침입 탐지 및 방지 시스템의 패턴매칭 탐지센서(511), 휴리스틱 분석 탐지센서(512), 프로토콜 이상 탐지센서(513), 알려지지 않은 특징 탐지센서(514) 및 이상트래픽 탐지센서(515)들로부터 발생된 공격경보들을 수집한다.The alarm collector 100 includes a pattern
전처리기(200)는 사용자가 정의한 전처리 설정 정보(201)에 따라 발생 시간, 프로토콜 정보, 근원지 또는 목적지 주소, 근원지 또는 목적지 포트에 따라 경보 위험도 분류기에서 사용될 기준값을 계산하여 경보 분류 목록을 유지하게 된다.The preprocessor 200 maintains the alarm classification list by calculating a reference value to be used in the alarm risk classifier according to occurrence time, protocol information, source or destination address, source or destination port according to the user defined preprocessing setting information 201. .
전처리기(200)는 경보 수집기(510)에서 수집된 각 탐지센서들의 공격경보들을 사용자가 설정한 전처리 정보에 따라 기준값을 계산하고 경보 분류 목록을 생성하여 경보 위험도 분류기에 전달한다.The preprocessor 200 calculates a reference value according to preprocessing information set by the user, and transmits the alarm alerts of the detection sensors collected by the
보다 상세히 설명하면 다음과 같다. 우선, 탐지센서들로부터 수집된 공격경 보들이 발생 시간이 같은지 비교한다. 만약 다른 시간에 발생한 정보이면 단일 경보 정보로 간주하여 경보 분류 목록에 추가한다.More detailed description is as follows. First, attack alerts collected from detection sensors are compared for the same occurrence time. If the information occurred at another time, it is regarded as single alarm information and added to the alarm classification list.
같은 시간에 발생한 경보 정보는 사용자 설정 전처리 정보(521)에 따라 프로토콜이 같은지, 근원지 또는 목적지 주소가 같은지 및 근원지 또는 목적지 포트가 같은지를 각각 비교한다.The alarm information generated at the same time compares whether the protocol is the same, the source or destination address is the same, and the source or destination port is the same according to the user set preprocessing
비교한 결과가 같은 경우에는 기준값(Bi)을 1씩 증가시킨다. 즉, 초기의 기준값(B0)은 발생 시간이 같은 경우이므로 1이고 새로운 기준값(B l )은 다음과 같은 식에 의해 계산된다.If the comparison result is the same, the reference value Bi is increased by one. That is, since the initial reference value B 0 is the same occurrence time, it is 1 and the new reference value B 1 is calculated by the following equation.
, (B0 = 1, K = 5, Bi = 0 or 1) , (B 0 = 1, K = 5, B i = 0 or 1)
예를 들어, 각 탐지센서들로부터 발생된 공격경보의 발생 시간(B0)이 같을 경우, 그 다음 프로토콜 정보(B1)가 같고, 근원지와 목적지의 주소(B2, B3)가 같고, 목적지의 포트(B5)는 같지만 근원지의 포트(B4)는 다르면 다음과 같이 기준값은 5가 된다.For example, when the occurrence time (B 0 ) of the attack alarm generated from each detection sensor is the same, then the protocol information (B 1 ) is the same, the source and destination address (B 2 , B 3 ) is the same, If the port B 5 of the destination is the same but the port B 4 of the source is different, the reference value is 5 as follows.
이처럼, 경보 분류 목록(240)을 생성하고 경보 위험도 분류기(530)로 전달한다. 여기서, 경보 분류 목록은 발생 시간이 같은 것을 기준으로 링크드리스트 형식 으로 구성한다.As such, the alarm classification list 240 is generated and transmitted to the
경보 위험도 분류기(530)는 경보 데이터베이스(531)로부터 각 탐지 센서 및 탐지 패턴의 신뢰도를 검색하여 새로운 신뢰도 값을 계산한 후 경보 데이터베이스(531)에 저장한다. 새로운 신뢰도를 계산하는 수학식은 다음과 같다.The
이고, K = 6, N = 3, α,β= 0 또는 1 (만약, CKS : active 또는 CUS : active), j = 1(PM) 또는 2(HA) 또는 3(PA), CAT for AT, SKS, RKS and CKS for PM/HA/PA, SUS, RUS and CUS for US 이다. And K = 6, N = 3, α, β = 0 or 1 (if C KS : active or C US : active), j = 1 (PM) or 2 (HA) or 3 (PA), C AT for AT, S KS , R KS and C KS for PM / HA / PA, S US , R US and C US for US.
여기서, K는 기준값 계산에 사용되는 분류 기준들의 전체 경우의 수이고, N은 패턴매칭, 휴리스틱 분석, 프로토콜 이상 탐지센서의 수이고, α와 β는 각 탐지센서들이 활성화되어 경보가 발생한 경우이면 1이고, 그렇지 않으면 0이다.Where K is the total number of classification criteria used to calculate the reference value, N is the number of pattern matching, heuristic analysis, protocol anomaly detection sensor, and α and β are 1 when each detection sensor is activated and an alarm is generated. And 0 otherwise.
또한, S 표기 형태는 경보 위험도의 표준값을 나타내고, C 표기 형태는 탐지센서의 신뢰도를 나타내고, R 표기 형태는 해당 탐지센서내의 탐지패턴의 신뢰도를 나타낸다. 즉, CAT는 이상트래픽 탐지센서의 신뢰도를 나타내고(여기서, C0 AT는 초기 신뢰도 값을 의미하고, Cn AT는 새로운 신뢰도 값을 의미), RKS는 패턴매칭, 휴리스틱 분석, 프로토콜 이상 탐지센서들 중 탐지패턴의 신뢰도를 나타낸다.In addition, the S notation type represents the standard value of the alarm risk, the C notation type represents the reliability of the detection sensor, the R notation type represents the reliability of the detection pattern in the detection sensor. That is, C AT represents the reliability of the abnormal traffic detection sensor (where C 0 AT represents the initial reliability value and C n AT represents the new reliability value), and R KS represents pattern matching, heuristic analysis, and protocol anomaly detection. The reliability of the detection pattern among the sensors is shown.
예를 들어, 이상트래픽 탐지센서에서 경보의 위험도가 Medium인 SHOULD_WORM이 발생하였고 그 신뢰도가 0.58일 때, 같은 시간에 패턴매칭, 휴리스틱 분석, 알려지지 않은 특징 탐지센서에서도 경보 위험도가 모두 Medium인 경보가 발생하고 각각 탐지패턴의 신뢰도가 0.98, 0.97, 0.79이라면 이상트래픽 탐지센서의 새로운 신뢰도 값은 다음과 같이 계산된다. 이때, 분류 기준값은 5이고, 각 탐지센서의 경보 위험도 표준값은 도3을 참조하고, 각 탐지센서의 신뢰도는 도4를 참조한다.For example, SHOULD_WORM with a medium alarm risk occurred in the abnormal traffic detection sensor, and when the reliability is 0.58, a pattern matching, heuristic analysis, and an unknown feature detection sensor will generate a medium alarm at the same time. And if the reliability of detection pattern is 0.98, 0.97, 0.79, the new reliability value of abnormal traffic detection sensor is calculated as follows. In this case, the classification reference value is 5, the alarm risk standard value of each detection sensor is referred to FIG. 3, and the reliability of each detection sensor is referred to FIG.
위와 같이 새로 계산된 경보위험도의 신뢰도 값은 0.69로, 이상트래픽 탐지센서에 의해 발생된 경보위험도의 신뢰도인 0.58보다 다른 탐지센서들에 의해 신뢰도가 11% 정도 증가되었음을 알 수 있다.As described above, the newly calculated reliability value of the alarm risk is 0.69, indicating that the reliability of the alarm risk increased by about 11% by other detection sensors than 0.58, which is the reliability of the alarm risk generated by the abnormal traffic detection sensor.
즉, 발생된 이상트래픽의 경보 위험도 수준이 Medium 상태인 SHOULD_WORM이였지만, 다른 탐지센서들에서도 탐지되어 경보 위험도 수준이 High 상태의 MUST_WORM으로 높아졌음을 알 수 있고, 이것은 침입 대응에 대한 경보위험도의 명확한 근거를 제시해 주고 있다.In other words, the alarm risk level of the generated abnormal traffic was SHOULD_WORM with Medium status, but it was also detected by other detection sensors, indicating that the alarm risk level was increased to MUST_WORM with High status. It gives evidence.
경보 위험도 갱신기(540)는 사용자가 정의한 갱신 설정 정보(541)에 따라 경보 위험도 분류기에서 계산된 신뢰도를 바탕으로 자동 대응이나 사용자 대응을 한다.The
또한, 경보 위험도 갱신기(540)는 사용자의 대응 여부에 따라 경보 위험도의 신뢰도 반감기를 계산하여 경보 데이터베이스(531)에 그 값을 저장하고 침입 대응기(550)를 통해 적절한 대응을 한다. 신뢰도 반감기를 이용하여 새로운 신뢰도를 구하는 식은 다음과 같다.In addition, the
여기서, C0 AT는 이상트래픽 탐지센서에서 발생한 경보 위험도의 신뢰도이고, Cn AT는 이 신뢰도에 신뢰도 반감기를 적용한 것이다. 그리고 S는 이상트래픽 탐지센서에서 발생된 경보 위험도의 표준값이고, C는 이상트래픽 탐지센서의 신뢰도이고, R은 이상트래픽 탐지센서에서 발생된 탐지패턴의 신뢰도이다.Here, C 0 AT is the reliability of the alarm risk generated by the abnormal traffic detection sensor, and C n AT is the reliability half-life applied to this reliability. And S is the standard value of the alarm risk level generated by the abnormal traffic detection sensor, C is the reliability of the abnormal traffic detection sensor, R is the reliability of the detection pattern generated by the abnormal traffic detection sensor.
예를 들어, 이상트래픽 탐지센서에서 발생한 Medium 수준의 경보 위험도 신뢰도가 0.58이고, 탐지패턴의 신뢰도가 0.86일 때, 경보 위험도의 신뢰도 반감기는 다음과 같이 계산된다. 이때, 경보 위험도의 표준값은 0.50이고, 이상트래픽 탐지센서의 신뢰도는 0.85로 설정되어 있다.For example, when the alarm level reliability of the medium level generated by the abnormal traffic detection sensor is 0.58 and the reliability of the detection pattern is 0.86, the reliability half life of the alarm risk is calculated as follows. At this time, the standard value of the alarm risk level is 0.50, and the reliability of the abnormal traffic detection sensor is set to 0.85.
도 6은 본 발명의 바람직한 일 실시예에 의한 침입방지방법의 전처리단계의 흐름이다. 도 6은, 전처리부에서 경보 수집기에서 수집된 각 탐지센서들의 경보 정보들을 수집하여 경보분류목록을 생성하고 사용자가 설정한 전처리 정보에 따라 기준값을 계산하는 과정을 보여준다.Figure 6 is a flow of the pre-treatment step of the intrusion prevention method according to an embodiment of the present invention. 6 shows a process of generating an alarm classification list by collecting alarm information of respective detection sensors collected by an alarm collector in a preprocessor and calculating a reference value according to preprocessing information set by a user.
우선 각 탐지센서들로부터 공격격보를 수집한다(S610).First of all, the attack information from each detection sensor is collected (S610).
수집된 공격경보들에 대해 발생 시간이 같은지 비교한다(S620). 만약 다른 시간에 발생한 정보이면 단일 경보 정보로 간주하여 경보 분류 목록에 추가한다(S640).It compares whether the occurrence time is the same for the collected attack alarms (S620). If the information occurred at another time, it is regarded as a single alarm information and added to the alarm classification list (S640).
같은 시간에 발생한 경보 정보이면 사용자가 설정한 전처리 정보에 따른다.즉, 같은 시간에 발생한 공격경보는 사용자정의 전처리설정정보(600)에 따라 프로토콜이 같은지(S621), 근원지 또는 목적지 주소가 같은지(S622), 근원지 또는 목적지 포트가 같은지(S623)를 각각 비교한다.If the alarm information is generated at the same time, it is based on the preprocessing information set by the user. That is, whether the attack alarm occurred at the same time is the same according to the user-defined preprocessing setting information 600 (S621), whether the source or destination address is the same (S622). ) And whether the source or destination port is the same (S623).
비교 결과가 같은 경우, 기준값(Bi)을 1씩 증가시킨다. 이때 초기의 분류 기준값(B0)은 발생 시간이 같은 경우이므로 1이고 새로운 기준값(B l )은 다음과 같은 식에 의해 계산된다.If the comparison result is the same, the reference value Bi is increased by one. At this time, since the initial classification reference value B 0 is the same occurrence time, it is 1 and the new reference value B l is calculated by the following equation.
, ( B0 = 1, K = 5, Bi = 0 or 1) , (B 0 = 1, K = 5, B i = 0 or 1)
예를 들어, 각 탐지센서들로부터 발생된 경보 정보의 발생 시간(B0)이 같을 경우, 그 다음 프로토콜 정보(B1)가 같고, 근원지와 목적지의 주소(B2, B3)가 같고, 목적지의 포트(B5)는 같지만 근원지의 포트(B4)는 다르면 다음과 같이 기준값은 5가 된다.For example, if the occurrence time (B 0 ) of the alarm information generated from each of the detection sensors are the same, then the protocol information (B 1 ) is the same, the source (B 2 , B 3 ) of the source and destination are the same, If the port B 5 of the destination is the same but the port B 4 of the source is different, the reference value is 5 as follows.
기준값이 계산된 공격경보에 대한 경보 분류 목록을 생성한다(S640). 여기서, 경보 분류 목록은 발생 시간이 같은 것을 기준으로 링크드리스트 형식으로 구성한다.An alarm classification list is generated for the attack alarm for which the reference value is calculated (S640). Here, the alarm classification list is configured in a linked list format based on the same occurrence time.
도 7은 본 발명의 바람직한 일 실시예에 의한 침입방지방법의 전체적인 흐름이다. 도 7을 참조하면, 전처리단계에서는 공격경보를 분류하고 기준값을 계산한다(S701). 7 is a general flow of the intrusion prevention method according to an embodiment of the present invention. Referring to FIG. 7, in the preprocessing step, the attack alarm is classified and a reference value is calculated (S701).
전처리단계(S701)에서는 서로 다른 복수개의 공격패턴 탐지센서 및 이상트래픽 탐지센서로부터 수집된 각각 신뢰도와 경보위험도를 가지는 공격경보들을 발생시간 별로 분류하고, 발생시간이 동일한 공격경보들의 일치정도를 나타내는 기준값을 계산한다. 전처리단계(S701)에 대하여는 도 6에서 상세히 설명하였다.In the preprocessing step (S701), attack alarms having reliability and alarm risk collected from a plurality of different attack pattern detection sensors and abnormal traffic detection sensors are classified for each occurrence time, and a reference value indicating a degree of agreement between attack alarms having the same occurrence time. Calculate The pretreatment step S701 has been described in detail with reference to FIG. 6.
공격경보들은 서로 다른 복수개의 공격패턴 탐지센서 및 이상트래픽 탐지센 서로부터 수집된다. 본 발명에 의한 침입방지방법은 서로 다른 복수개의 공격패턴 탐지센서 및 이상트래픽 탐지센서로부터 하나 이상의 경보를 수집하는 경보수집단계를 전처리단계(S601) 이전에 포함할 수 있다.Attack alerts are collected from multiple attack pattern detection sensors and abnormal traffic detection sensors. The intrusion prevention method according to the present invention may include an alarm collecting step of collecting one or more alarms from a plurality of different attack pattern detection sensors and abnormal traffic detection sensors before the preprocessing step (S601).
신뢰도계산단계(S702)에서는 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 신뢰도를 계산한다(S702).In the reliability calculation step (S702), the reliability of the alarm risk level of the attack alert generated by the abnormal traffic detection sensor is calculated (S702).
보다 상세히 설명하면, 신뢰도계산단계(S702)에서는 기준값 및 동일시간에 발생한 공격경보들의 신뢰도 및 경보위험도를 기초로 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 신뢰도를 계산한다. 신뢰도를 계산하는 수학식은 다음과 같다.In more detail, in the reliability calculation step (S702), the reliability of the alarm risk of the attack alarm generated by the abnormal traffic detection sensor is calculated based on the reference value and the reliability and the alarm risk of the attack alarms generated at the same time. The equation for calculating the reliability is as follows.
이고, K = 6, N = 3, α,β= 0 또는 1 (만약, CKS : active 또는 CUS : active), j = 1(PM) 또는 2(HA) 또는 3(PA), CAT for AT, SKS, RKS and CKS for PM/HA/PA, SUS, RUS and CUS for US 이다. And K = 6, N = 3, α, β = 0 or 1 (if C KS : active or C US : active), j = 1 (PM) or 2 (HA) or 3 (PA), C AT for AT, S KS , R KS and C KS for PM / HA / PA, S US , R US and C US for US.
여기서, K는 기준값 계산에 사용되는 분류 기준들의 전체 경우의 수이고, N은 패턴매칭, 휴리스틱 분석, 프로토콜 이상 탐지센서의 수이고, α와 β는 각 탐지센서들이 활성화되어 경보가 발생한 경우이면 1이고, 그렇지 않으면 0이다.Where K is the total number of classification criteria used to calculate the reference value, N is the number of pattern matching, heuristic analysis, protocol anomaly detection sensor, and α and β are 1 when each detection sensor is activated and an alarm is generated. And 0 otherwise.
또한, S 표기 형태는 경보 위험도의 표준값을 나타내고, C 표기 형태는 탐지센서의 신뢰도를 나타내고, R 표기 형태는 해당 탐지센서내의 탐지패턴의 신뢰도를 나타낸다. 즉, CAT는 이상트래픽 탐지센서의 신뢰도를 나타내고(여기서, C0 AT는 초기 신뢰도 값을 의미하고, Cn AT는 새로운 신뢰도 값을 의미), RKS는 패턴매칭, 휴리스틱 분석, 프로토콜 이상 탐지센서들 중 탐지패턴의 신뢰도를 나타낸다.In addition, the S notation type represents the standard value of the alarm risk, the C notation type represents the reliability of the detection sensor, the R notation type represents the reliability of the detection pattern in the detection sensor. That is, C AT represents the reliability of the abnormal traffic detection sensor (where C 0 AT represents the initial reliability value and C n AT represents the new reliability value), and R KS represents pattern matching, heuristic analysis, and protocol anomaly detection. The reliability of the detection pattern among the sensors is shown.
예를 들어, 이상트래픽 탐지센서에서 경보의 위험도가 Medium인 SHOULD_WORM이 발생하였고 그 신뢰도가 0.58일 때, 같은 시간에 패턴매칭, 휴리스틱 분석, 알려지지 않은 특징 탐지센서에서도 경보 위험도가 모두 Medium인 경보가 발생하고 각각 탐지패턴의 신뢰도가 0.98, 0.97, 0.79이라면 이상트래픽 탐지센서의 새로운 신뢰도 값은 다음과 같이 계산된다. 이때, 분류 기준값은 5이고, 각 탐지센서의 경보 위험도 표준값은 도3을 참조하고, 각 탐지센서의 신뢰도는 도4를 참조한다.For example, SHOULD_WORM with a medium alarm risk occurred in the abnormal traffic detection sensor, and when the reliability is 0.58, a pattern matching, heuristic analysis, and an unknown feature detection sensor will generate a medium alarm at the same time. And if the reliability of detection pattern is 0.98, 0.97, 0.79, the new reliability value of abnormal traffic detection sensor is calculated as follows. In this case, the classification reference value is 5, the alarm risk standard value of each detection sensor is referred to FIG. 3, and the reliability of each detection sensor is referred to FIG.
위와 같이 새로 계산된 경보위험도의 신뢰도 값은 0.69로, 이상트래픽 탐지센서에 의해 발생된 경보 위험도의 신뢰도인 0.58보다 다른 탐지센서들에 의해 신뢰도가 11% 정도 증가되었음을 알 수 있다.As described above, the newly calculated reliability value of the alarm risk is 0.69, indicating that the reliability of the alarm risk is increased by about 11% by other detection sensors than 0.58, which is the reliability of the alarm risk generated by the abnormal traffic detection sensor.
경보위험도의 신뢰도가 사용자가 설정한 임계값에 해당하는지 판단한다(S703).It is determined whether the reliability of the alarm risk corresponds to a threshold set by the user (S703).
침입대응단계(S704)에서는 이상트래픽 탐지센서의 경보위험도의 신뢰도가 기 설정된 임계값에 해당하는 경우에는 공격경보에 대해 침입대응을 수행한다.침입대응기에서는 새로 계산된 경보위험도의 신뢰도가 사용자가 설정한 임계값 범위에 벗어나는 경우, 해당 이상트래픽에 대해 BPS나 PPS 정보를 기준으로 대역폭을 조절하는 등의 적절한 대응 기능을 수행한다.In the intrusion response step (S704), if the reliability of the alarm risk level of the abnormal traffic detection sensor corresponds to a preset threshold, the intrusion response is performed on the attack alarm. If the threshold is out of the range, the controller performs appropriate countermeasures such as adjusting bandwidth based on BPS or PPS information for the abnormal traffic.
신뢰도갱신단계(S705)에서는 공격경보에 대한 침입대응을 하지 않는 경우, 상기 이상트래픽 탐지센서의 경보위험도의 신뢰도를 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 과거 신뢰도를 기초로 갱신한다.신뢰도 반감기를 이용하여 신뢰도를 갱신하는 식은 다음과 같다.In the reliability update step (S705), when the intrusion response to the attack alarm is not performed, the reliability of the alarm risk level of the abnormal traffic detection sensor is updated based on the past reliability of the alarm risk level of the attack alarm generated by the abnormal traffic detection sensor. The equation for updating the reliability by using the reliability half-life is as follows.
여기서, C0 AT는 이상트래픽 탐지센서에서 발생한 경보 위험도의 신뢰도이고, Cn AT는 이 신뢰도에 신뢰도 반감기를 적용한 것이다. 그리고 S는 이상트래픽 탐지센서에서 발생된 경보 위험도의 표준값이고, C는 이상트래픽 탐지센서의 신뢰도이고, R은 이상트래픽 탐지센서에서 발생된 탐지패턴의 신뢰도이다.Here, C 0 AT is the reliability of the alarm risk generated by the abnormal traffic detection sensor, and C n AT is the reliability half-life applied to this reliability. And S is the standard value of the alarm risk level generated by the abnormal traffic detection sensor, C is the reliability of the abnormal traffic detection sensor, R is the reliability of the detection pattern generated by the abnormal traffic detection sensor.
예를 들어, 이상트래픽 탐지센서에서 발생한 Medium 수준의 경보 위험도 신 뢰도가 0.58이고, 탐지패턴의 신뢰도가 0.86일 때, 경보 위험도의 신뢰도 반감기는 다음과 같이 계산된다. 이때, 경보 위험도의 표준값은 0.50이고, 이상트래픽 탐지센서의 신뢰도는 0.85로 설정되어 있다.For example, when the alarm level reliability of the medium level generated by the abnormal traffic detection sensor is 0.58 and the reliability of the detection pattern is 0.86, the reliability half-life of the alarm risk is calculated as follows. At this time, the standard value of the alarm risk level is 0.50, and the reliability of the abnormal traffic detection sensor is set to 0.85.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The invention can also be embodied as computer readable code on a computer readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like, and may also be implemented in the form of a carrier wave (for example, transmission over the Internet). Include. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으 로 해석되어야 할 것이다.So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in descriptive sense only and not for purposes of limitation. The scope of the present invention is shown in the appended claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.
이상에서 설명한 바와 같이 본 발명에 의한 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지장치 및 그 방법은 서로 다른 종류의 탐지센서로부터 수집된 공격경보를 이용하여 이상트래픽 탐지센서의 경보위험도의 정확한 신뢰도를 계산하여 이상트래픽에 대하여 적절한 침입대응을 제공한다.As described above, the intrusion prevention apparatus based on the signature detection and the abnormal traffic alarm risk and the method according to the present invention utilize the attack alarm collected from the different types of detection sensors to accurately measure the reliability of the alarm risk of the abnormal traffic detection sensor. Calculate to provide appropriate intrusion countermeasure against abnormal traffic.
Claims (14)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060096454A KR100809422B1 (en) | 2006-09-29 | 2006-09-29 | Intrusion prevention apparatus based on alert severity of signiture detection and abnormal traffic and method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060096454A KR100809422B1 (en) | 2006-09-29 | 2006-09-29 | Intrusion prevention apparatus based on alert severity of signiture detection and abnormal traffic and method thereof |
Publications (1)
Publication Number | Publication Date |
---|---|
KR100809422B1 true KR100809422B1 (en) | 2008-03-05 |
Family
ID=39397429
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060096454A KR100809422B1 (en) | 2006-09-29 | 2006-09-29 | Intrusion prevention apparatus based on alert severity of signiture detection and abnormal traffic and method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100809422B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101177049B1 (en) * | 2010-12-23 | 2012-08-27 | 한국인터넷진흥원 | System for detecting abnormal VoIP traffic using heuristic statistic-information |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030052512A (en) * | 2001-12-21 | 2003-06-27 | 한국전자통신연구원 | method and recorded media for attack correlation analysis |
KR20060062298A (en) * | 2004-12-03 | 2006-06-12 | 한국전자통신연구원 | Apparatus for detecting attacks toward network and method thereof |
-
2006
- 2006-09-29 KR KR1020060096454A patent/KR100809422B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030052512A (en) * | 2001-12-21 | 2003-06-27 | 한국전자통신연구원 | method and recorded media for attack correlation analysis |
KR20060062298A (en) * | 2004-12-03 | 2006-06-12 | 한국전자통신연구원 | Apparatus for detecting attacks toward network and method thereof |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101177049B1 (en) * | 2010-12-23 | 2012-08-27 | 한국인터넷진흥원 | System for detecting abnormal VoIP traffic using heuristic statistic-information |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109992989B (en) | System for query injection detection using abstract syntax tree | |
EP3356985B1 (en) | Detection of security incidents with low confidence security events | |
US20040157556A1 (en) | System for intrusion detection | |
US20070226803A1 (en) | System and method for detecting internet worm traffics through classification of traffic characteristics by types | |
US20150341380A1 (en) | System and method for detecting abnormal behavior of control system | |
JPWO2014119669A1 (en) | Log analysis apparatus, information processing method, and program | |
KR20150091775A (en) | Method and System of Network Traffic Analysis for Anomalous Behavior Detection | |
JP5832951B2 (en) | Attack determination device, attack determination method, and attack determination program | |
CN111131247B (en) | Vehicle-mounted internal network intrusion detection system | |
US10931706B2 (en) | System and method for detecting and identifying a cyber-attack on a network | |
Dhakar et al. | A novel data mining based hybrid intrusion detection framework | |
Bouyeddou et al. | Detection of smurf flooding attacks using Kullback-Leibler-based scheme | |
CN110557397A (en) | DDoS attack detection method based on chaos theory analysis | |
KR100656351B1 (en) | Method for risk management analysis based on vulnerability assessment and apparatus thereof | |
Singh et al. | Detecting different attack instances of DDoS vulnerabilities on edge network of fog computing using gaussian naive bayesian classifier | |
Hareesh et al. | Anomaly detection system based on analysis of packet header and payload histograms | |
US10681059B2 (en) | Relating to the monitoring of network security | |
Mohan et al. | Complex event processing based hybrid intrusion detection system | |
KR20130093841A (en) | Intrusion prevention system using correlation attack pattern and method thereof | |
KR100809422B1 (en) | Intrusion prevention apparatus based on alert severity of signiture detection and abnormal traffic and method thereof | |
JP2007074339A (en) | Spread unauthorized access detection method and system | |
Maryposonia | An Efficient Network Intrusion Detection System for Distributed Networks using Machine Learning Technique | |
Coulibaly | An overview of intrusion detection and prevention systems | |
KR20110107880A (en) | Ddos detection method using fast information entropy and adaptive moving average window detector | |
KR100656340B1 (en) | Apparatus for analyzing the information of abnormal traffic and Method thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130205 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20140326 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20150226 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20160226 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20180226 Year of fee payment: 11 |
|
FPAY | Annual fee payment |
Payment date: 20190226 Year of fee payment: 12 |
|
FPAY | Annual fee payment |
Payment date: 20200226 Year of fee payment: 13 |