KR100809422B1 - Intrusion prevention apparatus based on alert severity of signiture detection and abnormal traffic and method thereof - Google Patents

Intrusion prevention apparatus based on alert severity of signiture detection and abnormal traffic and method thereof Download PDF

Info

Publication number
KR100809422B1
KR100809422B1 KR1020060096454A KR20060096454A KR100809422B1 KR 100809422 B1 KR100809422 B1 KR 100809422B1 KR 1020060096454 A KR1020060096454 A KR 1020060096454A KR 20060096454 A KR20060096454 A KR 20060096454A KR 100809422 B1 KR100809422 B1 KR 100809422B1
Authority
KR
South Korea
Prior art keywords
alarm
attack
detection sensor
abnormal traffic
reliability
Prior art date
Application number
KR1020060096454A
Other languages
Korean (ko)
Inventor
정일안
남택용
오진태
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020060096454A priority Critical patent/KR100809422B1/en
Application granted granted Critical
Publication of KR100809422B1 publication Critical patent/KR100809422B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0604Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
    • H04L41/0622Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time based on time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

An apparatus and a method for preventing intrusion based on alert severity of signature detection and abnormal traffic are provided to calculate exact reliability of the alert severity of an abnormal traffic detecting sensor by using attack alerts collected form different kinds of detecting sensors, thereby properly dealing with the intrusion with respect to the abnormal traffic. A preprocessor(120) classifies attack alerts each having reliability and alarm severity, collected from different plural attack pattern detecting sensors(101) and an abnormal traffic detecting sensor(105), according to generation time and calculates a reference value showing consistency of attack alerts having the same generation time. A reliability calculator(130) calculates reliability of alarm severity of attack alerts generated by the abnormal traffic detecting sensor based on at least one of the reference value and alert severity of the attack alerts generated at the same time. A reliability calculator(130) calculates the reliability of alarm risk for an attack alarm, which is generated by the abnormal traffic detecting sensor, based on at least one of either the reference value calculated by the preprocessor or the alarm risk for attack alarms which occur at the same time.

Description

시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지장치 및 그 방법{Intrusion Prevention Apparatus Based on Alert Severity of Signiture Detection and Abnormal Traffic and Method thereof}Intrusion Prevention Apparatus Based on Alert Severity of Signiture Detection and Abnormal Traffic and Method

도 1a는 본 발명의 바람직한 일 실시예에 의한 침입방지장치이다.Figure 1a is an intrusion prevention apparatus according to a preferred embodiment of the present invention.

도 1b는 본 발명의 바람직한 일 실시예에 의한 침입방지장치의 침입대응부이다. Figure 1b is an intrusion counterpart of the intrusion prevention apparatus according to an embodiment of the present invention.

도 2는 본 발명의 바람직한 일 실시예에 의한 침입방지장치에서 사용하는 공격경보가 가지고 있는 정보이다.2 is information possessed by the attack alarm used in the intrusion prevention apparatus according to an embodiment of the present invention.

도 3은 본 발명의 바람직한 일 실시예에 의한 침입방지장치에서 사용하는 위험도이다.Figure 3 is a risk of using in the intrusion prevention apparatus according to an embodiment of the present invention.

도 4는 본 발명의 바람직한 일 실시예에 의한 침입방지장치에서 사용하는 신뢰도이다.Figure 4 is the reliability used in the intrusion prevention apparatus according to an embodiment of the present invention.

도 5는 본 발명의 바람직한 다른 일 실시예에 의한 침입방지장치이다.5 is an intrusion prevention apparatus according to another preferred embodiment of the present invention.

도 6은 본 발명의 바람직한 일 실시예에 의한 침입방지방법의 전처리단계의 흐름이다.Figure 6 is a flow of the pre-treatment step of the intrusion prevention method according to an embodiment of the present invention.

도 7은 본 발명의 바람직한 일 실시예에 의한 침입방지방법의 전체적인 흐름이다.7 is a general flow of the intrusion prevention method according to an embodiment of the present invention.

본 발명은 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지장치 및 그 방법에 관한 것으로, 보다 상세하게는 서로 다른 복수개의 공격패턴 탐지센서 및 이상트래픽 탐지센서로부터 수집된 경보를 기초로 이상트래픽 탐지센서의 경보위험도의 신뢰도를 계산하는 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지장치 및 그 방법에 관한 것이다.The present invention relates to an intrusion prevention device based on the signature detection and abnormal traffic alarm risk, and a method thereof, and more particularly, to an abnormal traffic detection sensor based on alarms collected from a plurality of different attack pattern detection sensors and abnormal traffic detection sensors. The present invention relates to a signature detection and abnormal traffic alarm risk-based intrusion prevention device and method for calculating the reliability of the alarm risk level of the alarm.

최근 초고속 인터넷 환경을 통한 공격 형태들은 대형화되고 다양해지고 있으며 복잡해지고 있는 추세로 이를 효과적으로 탐지하고 대응하기가 점점 어려워지고 있다.Recently, attack forms through the high-speed Internet environment are becoming larger, more diverse, and more complex, and it is increasingly difficult to effectively detect and respond to them.

네트워크 상에서 이상트래픽(abnormal traffic)을 유발시키는 주 요인인 서비스 거부(DoS)나 분산 서비스 거부(DDoS), 웜(worm), 봇(bot), 바이러스(virus) 등의 공격이 있다. There are attacks such as denial of service (DoS), distributed denial of service (DDoS), worms, bots, and viruses, which are the main causes of abnormal traffic on the network.

이러한 공격들로 인한 피해 규모는 기하급수적으로 증가하고 있으며, 이에 대하여 방화벽, 가상 사설망, 취약성 분석, 안티바이러스 백신, 침입 탐지 및 방지 시스템 등의 기술들이 도입되고 있다.The scale of damage from these attacks is growing exponentially, and technologies such as firewalls, virtual private networks, vulnerability analysis, antivirus vaccines, and intrusion detection and prevention systems are being introduced.

침입 탐지 및 방지 시스템에서 사용하고 있는 기술은 알려진 공격 패턴을 정의하여 탐지하는 패턴매칭(Pattern Matching) 및 휴리스틱 분석(Heuristic Analysis) 탐지 기술, 프로토콜 스펙에 위반(Protocol Anomaly)되는 공격을 탐지하 는 기술, 알려지지 않은 특징(Unknown Signature)을 추출하여 탐지하는 기술, 네트워크 대역폭이나 시스템의 자원을 소모시키는 이상트래픽(Abnormal Traffic)을 탐지하는 기술 등으로 나뉜다.The technologies used in intrusion detection and prevention systems include pattern matching and heuristic analysis detection techniques that define and detect known attack patterns, and technologies that detect protocol anomaly violations. It is divided into technologies that extract and detect unknown signatures, and technologies that detect abnormal traffic that consumes network bandwidth or system resources.

패턴매칭이나 휴리스틱 분석, 프로토콜 이상탐지 기술과 같이 알려진 공격 패턴을 기반으로 탐지하는 기술들은 탐지 정확성이 매우 높은 편이지만, 우회 공격이나 정상과 유사한 패턴에 대해서는 잘못 탐지할 확률이 높다.Detection techniques based on known attack patterns, such as pattern matching, heuristic analysis, and protocol anomaly detection techniques, have high detection accuracy, but are more likely to falsely detect bypass attacks or similar patterns.

그리고 알려지지 않은 공격의 특징을 탐지하는 기술은 전문가의 분석에 의존하는 앞의 탐지 기술들과는 달리 자동으로 공격 패턴을 추출하여 탐지패턴을 생성하여 분석 시간을 줄일 수 있지만 정확성이 높지않은 수준이고 아직 연구 단계로 시스템에 적용하기에는 다소 어려움을 안고 있다.And unlike the previous detection techniques, which rely on expert analysis, the technology to detect the characteristic of unknown attack can reduce the analysis time by automatically extracting the attack pattern and generating the detection pattern, but the level of accuracy is not high and it is still in the research stage. This is somewhat difficult to apply to the system.

또한, 네트워크의 대역폭을 소모시키거나 시스템의 자원을 소모시키는 서비스 거부 공격이나 웜 공격을 탐지하는데 적합한 이상트래픽 탐지 기술은 사용자의 과다한 사용 등으로 인하여 발생되는 정상적인 트래픽과 구별하기가 쉽지 않다.In addition, the abnormal traffic detection technology suitable for detecting denial of service attacks or worm attacks that consume bandwidth of the network or consume resources of the system is not easy to distinguish from normal traffic generated by excessive use of the user.

알려진 공격에 대한 탐지 정확성을 높이기 위해 해당 공격만을 탐지하기 위한 패턴들을 지속적으로 갱신하여 해결하고 있고, 알려지지 않은 공격에 대한 패턴 생성 연구도 꾸준히 발전하고 있으며, 이상트래픽을 탐지하기 위한 다양한 알고리즘들이 개발되어 적용되고 있다. 여기서 각 탐지 센서들이 발생시키는 경보 정보들은 비교적 높은 정확도를 가지고 있지만, 잘못 판단되어 발생하는 경보 정보들도 포함되어 있다. In order to improve the detection accuracy of known attacks, we continuously update and solve patterns for detecting only those attacks, and research on pattern generation for unknown attacks is steadily evolving, and various algorithms for detecting abnormal traffic have been developed. Is being applied. In this case, the alarm information generated by each detection sensor has a relatively high accuracy, but also includes alarm information that is incorrectly determined.

특히, 이상트래픽에 대한 경보들의 신뢰도는 탐지 알고리즘의 성능에 따라 좌우되므로 절대적으로 그 결과를 신뢰하여 대응하게 되면 정상적인 트래픽을 차단하거나 해당 서비스를 하지 못하게 되는 문제점이 발생할 수 있다. 따라서 이러한 탐지 결과에 대해 관리자에 의한 대응에 도움이 되도록 하는 명확한 근거를 제시해 주는 것이 필요하다.In particular, since the reliability of the alarms for the abnormal traffic depends on the performance of the detection algorithm, it may cause a problem that the normal traffic is blocked and the corresponding service is blocked if the result is absolutely trusted. Therefore, it is necessary to provide clear evidence to help the administrator respond to these detection results.

본 발명이 이루고자하는 기술적 과제는, 서로 다른 종류의 탐지센서로부터 수집된 공격정보를 이용하여 이상트래픽 탐지센서의 경보 위험도의 정확한 신뢰도를 계산하여 이상트래픽에 대하여 적절한 침입대응을 하는데 있다.The technical problem to be achieved by the present invention is to calculate the accurate reliability of the alarm risk of the abnormal traffic detection sensor using attack information collected from different types of detection sensors to properly respond to intrusion traffic.

상기 기술적 과제를 이루기 위한 본 발명에 따른 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지장치의 일 실시예는 서로 다른 복수개의 공격패턴 탐지센서 및 이상트래픽 탐지센서로부터 수집된 신뢰도와 경보위험도를 각각 가지는 공격경보들을 발생시간에 따라 분류하고, 발생시간이 동일한 공격경보들의 일치정도를 나타내는 기준값을 계산하는 전처리부 및 기준값 및 동일시간에 발생한 공격경보들의 경보위험도 중 적어도 어느 하나를 기초로 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 신뢰도를 계산하는 신뢰도계산부를 가진다.An embodiment of the intrusion prevention device based on the signature detection and abnormal traffic warning risk according to the present invention for achieving the technical problem has a reliability and alarm risk collected from a plurality of different attack pattern detection sensor and the abnormal traffic detection sensor, respectively. Abnormal traffic detection sensor based on at least one of pre-processing unit for calculating the reference value indicating the degree of agreement of the attack alarms with the same occurrence time, and at least one of the alarm risk of the attack alarms occurred at the same time. It has a reliability calculator that calculates the reliability of the alarm risk of the generated attack alarm.

보다 바람직하게는 상기 기술적 과제를 이루기 위한 본 발명에 따른 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지장치의 일 실시예는 이상트래픽 탐지센서의 경보위험도의 신뢰도가 기 설정된 임계값에 해당하는 경우에는 공격경보에 대해 침입대응을 수행하는 침입대응부및 공격경보에 대한 침입대응을 하지 않 는 경우, 이상트래픽 탐지센서의 경보위험도의 신뢰도를 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 과거 신뢰도를 기초로 갱신하는 신뢰도갱신부를 더 가진다.More preferably, an embodiment of the intrusion prevention device based on the signature detection and abnormal traffic alarm risk level according to the present invention for achieving the technical problem is when the reliability of the alarm risk level of the abnormal traffic detection sensor corresponds to a preset threshold. Intrusion response part that performs intrusion response to attack alarm and in case of inaction response to attack alarm, reliability of alarm risk of abnormal traffic detection sensor is past reliability of alarm risk of attack alarm generated by abnormal traffic detection sensor. It further has a reliability update unit for updating based on.

상기 기술적 과제를 이루기 위한 본 발명에 따른 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지방법의 일 실시예는 서로 다른 복수개의 공격패턴 탐지센서 및 이상트래픽 탐지센서로부터 수집된 신뢰도와 경보위험도를 각각 가지는 공격경보들을 발생시간에 따라 분류하고, 발생시간이 동일한 공격경보들의 일치정도를 나타내는 기준값을 계산하는 전처리단계 및 기준값 및 동일시간에 발생한 공격경보들의 경보위험도 중 적어도 어느 하나를 기초로 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 신뢰도를 계산하는 신뢰도계산단계를 가진다.One embodiment of the signature detection and abnormal traffic alarm risk-based intrusion prevention method according to the present invention for achieving the above technical problem has a reliability and alarm risk collected from a plurality of different attack pattern detection sensors and abnormal traffic detection sensors, respectively. Anomaly traffic detection sensor is classified based on occurrence time, and based on at least one of preprocessing step of calculating the reference value indicating the agreement degree of attack alarms having the same occurrence time, and at least one of the reference value and the alarm risk of the attack alarms generated at the same time Has a reliability calculation step of calculating the reliability of the alarm risk of the generated attack alert.

보다 바람직하게는 상기 기술적 과제를 이루기 위한 본 발명에 따른 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지방법의 일 실시예는 이상트래픽 탐지센서의 경보위험도의 신뢰도가 기 설정된 임계값에 해당하는 경우에는 공격경보에 대해 침입대응을 수행하는 침입대응단계 및 공격경보에 대한 침입대응을 하지 않는 경우, 이상트래픽 탐지센서의 경보위험도의 신뢰도를 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 과거 신뢰도를 기초로 갱신하는 신뢰도갱신단계를 더 가진다.More preferably, the signature detection and abnormal traffic alarm risk-based intrusion prevention method according to the present invention for achieving the technical problem is when the reliability of the alarm risk of the abnormal traffic detection sensor corresponds to a preset threshold value. If the intrusion response stage that performs intrusion response to the attack alarm and the intrusion response for the attack alarm are not performed, the reliability of the alarm risk of the anomaly traffic detection sensor is determined from the past reliability of the alarm risk of the attack alarm generated by the anomaly traffic detection sensor. It further has a reliability update step of updating based.

이하, 첨부한 도면을 사용하여 본 발명에 의한 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지장치 및 그 방법을 상세히 설명한다.Hereinafter, an intrusion prevention apparatus based on the signature detection and abnormal traffic warning risk and the method will be described in detail with reference to the accompanying drawings.

도 1a는 본 발명의 바람직한 일 실시예에 의한 침입방지장치이다. 도 1을 참 조하면, 본 발명에 의한 침입방지장치는 경보수집부(110), 전처리부(120), 신뢰도계산부(130), 침입대응부(140) 및 신뢰도갱신부(150)를 포함한다.Figure 1a is an intrusion prevention apparatus according to a preferred embodiment of the present invention. Referring to Figure 1, the intrusion prevention apparatus according to the present invention includes an alarm collecting unit 110, pre-processing unit 120, reliability calculation unit 130, intrusion response unit 140 and reliability update unit 150. do.

경보수집부(100)는 공격패턴 탐지센서 패턴매칭(Pattern Matching: PM) 탐지센서(101), 휴리스틱 분석(Heuristic Analysis: HA) 탐지센서(102), 프로토콜 이상(Protocol Abnormaly : PA) 탐지센서(103), 알려지지 않은 특징(Unknown Signature: US) 탐지센서(104) ) 및 이상트래픽(Abnormal Traffic: AT) 탐지센서(105)로부터 발생된 공격경보들을 수집한다.The alarm collecting unit 100 includes an attack pattern detection sensor pattern matching (PM) detection sensor 101, a heuristic analysis (HA) detection sensor 102, a protocol abnormality (PA) detection sensor ( 103), the attack signatures generated from the Unknown Signature (US) detection sensor 104 and the Abnormal Traffic (AT) detection sensor 105 are collected.

본 발명에 의한 침입방지장치는 공격패턴을 탐지하는 공격패턴 탐지센서 및 네트워크 내 비정상적인 트래픽을 탐지하는 이상트래픽 탐지센서를 하나 이상 포함한다.Intrusion prevention apparatus according to the present invention includes an attack pattern detection sensor for detecting an attack pattern and at least one abnormal traffic detection sensor for detecting abnormal traffic in the network.

전처리부(120)는 서로 다른 복수개의 공격패턴 탐지센서 및 이상트래픽 탐지센서로부터 수집된 각각 신뢰도와 경보위험도를 가지는 공격경보들을 발생시간 별로 분류하고, 발생시간이 동일한 공격경보들의 일치정도를 나타내는 기준값을 계산한다.The preprocessing unit 120 classifies attack alarms having reliability and alarm risk collected from a plurality of different attack pattern detection sensors and abnormal traffic detection sensors for each occurrence time, and represents a reference value indicating the degree of agreement between the attack alerts having the same occurrence time. Calculate

각 탐지센서들로부터 수집된 경보 정보들(100)에 대해 발생 시간이 같은지 비교한다. 만약 다른 시간에 발생한 정보이면 단일 경보 정보로 간주하여 경보 분류 목록에 추가한다.The occurrence time is compared with respect to the alarm information 100 collected from the respective detection sensors. If the information occurred at another time, it is regarded as single alarm information and added to the alarm classification list.

즉, 같은 시간에 발생한 공격경보는 사용자 설정 전처리 정보에 따라 프로토콜이 같은지, 근원지 또는 목적지 주소가 같은지, 근원지 또는 목적지 포트가 같은지를 각각 비교한다.In other words, attack alerts that occur at the same time are compared according to the user-configured preprocessing information to determine whether the protocol is the same, the source or destination address is the same, and the source or destination port is the same.

비교 결과가 같은 경우, 기준값(Bi)을 1씩 증가시킨다. 이때 초기의 분류 기준값(B0)은 발생 시간이 같은 경우이므로 1이고 새로운 기준값(B l )은 다음과 같은 식에 의해 계산된다.If the comparison result is the same, the reference value Bi is increased by one. At this time, since the initial classification reference value B 0 is the same occurrence time, it is 1 and the new reference value B l is calculated by the following equation.

Figure 112006071816665-pat00001
, where B0 = 1, K = 5, Bi = 0 or 1
Figure 112006071816665-pat00001
, where B 0 = 1, K = 5, B i = 0 or 1

예를 들어, 각 탐지센서들로부터 발생된 경보 정보의 발생 시간(B0)이 같을 경우, 그 다음 프로토콜 정보(B1)가 같고, 근원지와 목적지의 주소(B2, B3)가 같고, 목적지의 포트(B5)는 같지만 근원지의 포트(B4)는 다르면 다음과 같이 기준값은 5가 된다.For example, if the occurrence time (B 0 ) of the alarm information generated from each of the detection sensors are the same, then the protocol information (B 1 ) is the same, the source (B 2 , B 3 ) of the source and destination are the same, If the port B 5 of the destination is the same but the port B 4 of the source is different, the reference value is 5 as follows.

Figure 112006071816665-pat00002
Figure 112006071816665-pat00002

신뢰도계산부(130)는 전처리부(120)에서 계산된 기준값 및 동일시간에 발생한 공격경보들의 경보위험도 중 적어도 어느 하나를 기초로 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 신뢰도를 계산한다. 새로운 신뢰도를 계산하는 수학식은 다음과 같다.The reliability calculation unit 130 calculates the reliability of the alarm risk of the alarm generated by the abnormal traffic detection sensor based on at least one of the reference value calculated by the preprocessor 120 and the alarm risk of the attack alarms generated at the same time. . The equation for calculating the new reliability is as follows.

Figure 112006071816665-pat00003
이고, K = 6, N = 3, α,β= 0 또는 1 (만약, CKS : active 또는 CUS : active), j = 1(PM) 또는 2(HA) 또는 3(PA), CAT for AT, SKS, RKS and CKS for PM/HA/PA, SUS, RUS and CUS for US이다.
Figure 112006071816665-pat00003
And K = 6, N = 3, α, β = 0 or 1 (if C KS : active or C US : active), j = 1 (PM) or 2 (HA) or 3 (PA), C AT for AT, S KS , R KS and C KS for PM / HA / PA, S US , R US and C US for US.

여기서, K는 기준값 계산에 사용되는 분류 기준들의 전체 경우의 수이고, N은 패턴매칭, 휴리스틱 분석, 프로토콜 이상 탐지센서의 수이고, α와 β는 각 탐지센서들이 활성화되어 경보가 발생한 경우이면 1이고, 그렇지 않으면 0이다.Where K is the total number of classification criteria used to calculate the reference value, N is the number of pattern matching, heuristic analysis, protocol anomaly detection sensor, and α and β are 1 when each detection sensor is activated and an alarm is generated. And 0 otherwise.

또한, S 표기 형태는 경보 위험도의 표준값을 나타내고, C 표기 형태는 탐지센서의 신뢰도를 나타내고, R 표기 형태는 해당 탐지센서내의 탐지패턴의 신뢰도를 나타낸다. 즉, CAT는 이상트래픽 탐지센서의 신뢰도를 나타내고(여기서, C0 AT는 초기 신뢰도 값을 의미하고, Cn AT는 새로운 신뢰도 값을 의미), RKS는 패턴매칭, 휴리스틱 분석, 프로토콜 이상 탐지센서들 중 탐지패턴의 신뢰도를 나타낸다.In addition, the S notation type represents the standard value of the alarm risk, the C notation type represents the reliability of the detection sensor, the R notation type represents the reliability of the detection pattern in the detection sensor. That is, C AT represents the reliability of the abnormal traffic detection sensor (where C 0 AT represents the initial reliability value and C n AT represents the new reliability value), and R KS represents pattern matching, heuristic analysis, and protocol anomaly detection. The reliability of the detection pattern among the sensors is shown.

예를 들어, 이상트래픽 탐지센서에서 경보의 위험도가 Medium인 SHOULD_WORM이 발생하였고 그 신뢰도가 0.58일 때, 같은 시간에 패턴매칭, 휴리스틱 분석, 알 려지지 않은 특징 탐지센서에서도 경보 위험도가 모두 Medium인 경보가 발생하고 각각 탐지패턴의 신뢰도가 0.98, 0.97, 0.79이라면 이상트래픽 탐지센서의 새로운 신뢰도 값은 다음과 같이 계산된다. 이때, 분류 기준값은 5이고, 각 탐지센서의 경보 위험도 표준값은 도3을 참조하고, 각 탐지센서의 신뢰도는 도4를 참조한다.For example, when an abnormal traffic detection sensor has a SHOULD_WORM with a medium alarm risk and the reliability is 0.58, the alarms with a medium alarm risk are also detected at pattern matching, heuristic analysis, and unknown feature detection sensors at the same time. And the reliability of the detection pattern is 0.98, 0.97, 0.79, respectively, the new reliability value of the abnormal traffic detection sensor is calculated as follows. In this case, the classification reference value is 5, the alarm risk standard value of each detection sensor is referred to FIG. 3, and the reliability of each detection sensor is referred to FIG.

Figure 112006071816665-pat00004
Figure 112006071816665-pat00004

위와 같이 새로 계산된 경보위험도의 신뢰도 값은 0.69로, 이상트래픽 탐지센서에 의해 발생된 경보 위험도의 신뢰도인 0.58보다 다른 탐지센서들에 의해 신뢰도가 11% 정도 증가되었음을 알 수 있다.As described above, the newly calculated reliability value of the alarm risk is 0.69, indicating that the reliability of the alarm risk is increased by about 11% by other detection sensors than 0.58, which is the reliability of the alarm risk generated by the abnormal traffic detection sensor.

침입대응부(140)는 이상트래픽 탐지센서의 경보위험도의 신뢰도가 기 설정된 임계값에 해당하는 경우에는 상기 공격경보에 대해 침입대응을 수행한다. 침입대응부(140)는 사용자가 정의한 기준에 따라 경보 위험도 분류기에서 계산된 신뢰도를 바탕으로 자동 대응이나 사용자 대응을 한다.Intrusion response unit 140 performs an intrusion response to the attack alarm when the reliability of the alarm risk of the abnormal traffic detection sensor corresponds to a predetermined threshold value. The intrusion response unit 140 performs automatic response or user response based on the reliability calculated by the alarm risk classifier according to the criteria defined by the user.

신뢰도갱신부(150)은 상기 공격경보에 대한 침입대응을 하지 않는 경우, 상기 이상트래픽 탐지센서의 경보위험도의 신뢰도를 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 과거 신뢰도를 기초로 갱신한다. 신뢰도 반감기를 이용하여 신뢰도를 갱신하는 식은 다음과 같다.The reliability update unit 150 updates the reliability of the alarm risk level of the abnormal traffic detection sensor based on the past reliability of the alarm risk level generated by the abnormal traffic detection sensor when the intrusion response to the attack alarm is not performed. . The equation for updating the reliability by using the reliability half-life is as follows.

Figure 112006071816665-pat00005
Figure 112006071816665-pat00005

여기서, C0 AT는 이상트래픽 탐지센서에서 발생한 경보 위험도의 신뢰도이고, Cn AT는 이 신뢰도에 신뢰도 반감기를 적용한 것이다. 그리고 S는 이상트래픽 탐지센서에서 발생된 경보 위험도의 표준값이고, C는 이상트래픽 탐지센서의 신뢰도이고, R은 이상트래픽 탐지센서에서 발생된 탐지패턴의 신뢰도이다.Here, C 0 AT is the reliability of the alarm risk generated by the abnormal traffic detection sensor, and C n AT is the reliability half-life applied to this reliability. And S is the standard value of the alarm risk level generated by the abnormal traffic detection sensor, C is the reliability of the abnormal traffic detection sensor, R is the reliability of the detection pattern generated by the abnormal traffic detection sensor.

예를 들어, 이상트래픽 탐지센서에서 발생한 Medium 수준의 경보 위험도 신뢰도가 0.58이고, 탐지패턴의 신뢰도가 0.86일 때, 경보 위험도의 신뢰도 반감기는 다음과 같이 계산된다. 이때, 경보 위험도의 표준값은 0.50이고, 이상트래픽 탐지센서의 신뢰도는 0.85로 설정되어 있다.For example, when the alarm level reliability of the medium level generated by the abnormal traffic detection sensor is 0.58 and the reliability of the detection pattern is 0.86, the reliability half life of the alarm risk is calculated as follows. At this time, the standard value of the alarm risk level is 0.50, and the reliability of the abnormal traffic detection sensor is set to 0.85.

Figure 112006071816665-pat00006
Figure 112006071816665-pat00006

도 1b는 본 발명의 바람직한 일 실시예에 의한 침입방지장치의 침입대응부이다. 도 1b를 참조하면, 본 발명에 의한 침입방지장치의 침입대응부(140)는 자동대응부(141) 및 사용자대응부(142)를 포함한다.Figure 1b is an intrusion counterpart of the intrusion prevention apparatus according to an embodiment of the present invention. Referring to FIG. 1B, the intrusion counterpart 140 of the intrusion prevention apparatus according to the present invention includes an automatic counterpart 141 and a user counterpart 142.

침입대응부(140)는 이상트래픽 탐지센서의 경보위험도의 신뢰도가 기 설정된 임계값에 해당하는 경우에는 공격경보에 대해 침입대응을 수행한다.Intrusion response unit 140 performs an intrusion response to the attack alarm when the reliability of the alarm risk of the abnormal traffic detection sensor corresponds to a predetermined threshold value.

자동대응부(141)는 이상트래픽 탐지센서의 경보위험도의 신뢰도가 기 설정된 임계값에 해당하는 경우에는 공격경보에 대해 자동으로 침입대응을 수행한다.The automatic response unit 141 automatically performs an intrusion response to the attack alarm when the reliability of the alarm risk level of the abnormal traffic detection sensor corresponds to a preset threshold.

사용자대응부(142)는 자동대응을 하지 않는 경우에 사용자가 공격경보에 대한 대응여부를 결정하여 침입대응을 수행한다.The user response unit 142 performs an intrusion response by determining whether the user responds to the attack alarm when the automatic response is not performed.

도 2는 본 발명의 바람직한 일 실시예에 의한 침입방지장치에서 사용하는 공격경보가 가지고 있는 정보이다. 도 2는 알려진 공격패턴 탐지센서 패턴매칭(PM) 탐지센서, 휴리스틱 분석(HA) 탐지센서, 프로토콜 이상(PA) 탐지센서)의 공격경보가 포함하고 있는 정보(211), 이상트래픽(AT) 탐지센서의 공격경보가 포함하고 있는 정보(212), 알려지지 않은 공격패턴 (US) 탐지센서의 공격경보가 포함하고 있는 정보(213)들 및 각 탐지센서들의 공격경보가 포함하고 있는 공통정보(210)를 도시한 것이다.2 is information possessed by the attack alarm used in the intrusion prevention apparatus according to an embodiment of the present invention. FIG. 2 shows information 211 included in the attack alert of a known attack pattern detection sensor pattern matching (PM) detection sensor, heuristic analysis (HA) detection sensor, and protocol anomaly (PA detection sensor), and abnormal traffic detection. The information 212 included in the attack alert of the sensor, the information 213 included in the attack alert of the unknown attack pattern (US) detection sensor, and the common information 210 included in the attack alert of each detection sensor It is shown.

여기서, 공통정보(210)들은 전처리부에서 기준값을 계산할 때 사용기준으로 사용된다. 공통정보들은 근원지 또는 목적지 주소(src/dst IP address), 프로토콜(Protocol), 근원지 또는 목적지 포트(src/dst Port), 경보 위험도(Severity), 탐지센서의 신뢰도(Sconf), 탐지패턴의 신뢰도(Rconf)를 포함한다.Here, the common information 210 is used as a reference when calculating the reference value in the preprocessor. Common information is source or destination address (src / dst IP address), protocol (protocol), source or destination port (src / dst port), alarm severity, detection sensor reliability (S conf ), detection pattern reliability Include (R conf ).

전처리부는 공통정보(210)인 발생 시간, 프로토콜 정보, 근원지 또는 목적지 주소, 근원지 또는 목적지 포트의 일치여부를 기초로 새로운 신뢰도 계산에서 사용될 기준값을 계산한다.The preprocessing unit calculates a reference value to be used in the new reliability calculation based on occurrence time, protocol information, source or destination address, source or destination port, which are common information 210.

즉, 같은 시간에 발생한 공격경보는 사용자 설정 전처리 정보에 따라 프로토콜이 같은지, 근원지 또는 목적지 주소가 같은지, 근원지 또는 목적지 포트가 같은 지를 각각 비교한다.In other words, attack alerts that occur at the same time are compared according to the user-configured preprocessing information to determine whether the protocol is the same, the source or destination address is the same, and the source or destination port is the same.

비교 결과가 같은 경우, 기준값(Bi)을 1씩 증가시킨다. 이때 초기의 분류 기준값(B0)은 발생 시간이 같은 경우이므로 1이고 새로운 기준값(B l )은 다음과 같은 식에 의해 계산된다.If the comparison result is the same, the reference value Bi is increased by one. At this time, since the initial classification reference value B 0 is the same occurrence time, it is 1 and the new reference value B l is calculated by the following equation.

Figure 112006071816665-pat00007
, ( B0 = 1, K = 5, Bi = 0 or 1)
Figure 112006071816665-pat00007
, (B 0 = 1, K = 5, B i = 0 or 1)

예를 들어, 각 탐지센서들로부터 발생된 경보 정보의 발생 시간(B0)이 같을 경우, 그 다음 프로토콜 정보(B1)가 같고, 근원지와 목적지의 주소(B2, B3)가 같고, 목적지의 포트(B5)는 같지만 근원지의 포트(B4)는 다르면 다음과 같이 기준값은 5가 된다.For example, if the occurrence time (B 0 ) of the alarm information generated from each of the detection sensors are the same, then the protocol information (B 1 ) is the same, the source (B 2 , B 3 ) of the source and destination are the same, If the port B 5 of the destination is the same but the port B 4 of the source is different, the reference value is 5 as follows.

Figure 112006071816665-pat00008
Figure 112006071816665-pat00008

그 외에도 알려진 공격패턴 탐지센서(패턴매칭, 휴리스틱 분석, 프로토콜 이상 탐지센서)는 탐지센서(dtBlock), 탐지패턴 식별자(ruleID) 정보가 더 포함되어 있다.In addition, known attack pattern detection sensors (pattern matching, heuristic analysis, protocol anomaly detection sensor) further include detection sensor (dtBlock) and detection pattern identifier (ruleID) information.

그리고, 알려지지 않은 공격패턴 탐지센서는 시그니처명(sigName) 정보가 더 포함되어 있으며, 이상트래픽 탐지센서는 초당 바이트수(BPS)와 초당 패킷수(PPS) 정보를 더 포함하고 있다.The unknown attack pattern detection sensor further includes signature name (sigName) information, and the abnormal traffic detection sensor further includes bytes per second (BPS) and packets per second (PPS).

도 3은 본 발명의 바람직한 일 실시예에 의한 침입방지장치에서 사용하는 위험도이다.Figure 3 is a risk of using in the intrusion prevention apparatus according to an embodiment of the present invention.

도 3은 이상트래픽 탐지센서가 대상으로 하는 공격들(DDOS, DOS, WORM)과 그 외의 각 탐지센서에서 발생되는 경보 정보의 경보 위험도와의 관계를 위험도 수준(Suspicious, Medium, Malicious)에 따라 분류한 것을 도시한 것이다.FIG. 3 classifies the relationship between the attacks targeted by the abnormal traffic detection sensor (DDOS, DOS, WORM) and the alarm risk level of the alarm information generated from each other detection sensor according to the risk level (Suspicious, Medium, Malicious). It shows what you did.

도 3을 참조하면, 패턴매칭, 휴리스틱 분석, 프로토콜 이상 탐지센서에서의 경보 위험도 수준은 Low, Medium, High로 나뉜다(311). 패턴매칭, 휴리스틱 분석, 프로토콜 이상 탐지센서는 공격패턴 탐지센서 중 알려진 공격패턴 탐지센서에 해당한다. 공격패턴 탐지센서에는 알려진 공격패턴 탐지센서와 알려지지 않은 공격패턴 탐지센서가 있다.Referring to FIG. 3, the alarm risk level of the pattern matching, heuristic analysis, and protocol anomaly detection sensor is divided into low, medium, and high (311). Pattern matching, heuristic analysis, and protocol anomaly detection sensors correspond to known attack pattern detection sensors among attack pattern detection sensors. Attack pattern detection sensors include known attack pattern detection sensors and unknown attack pattern detection sensors.

이상트래픽 탐지센서에서 경보 위험도는 공격 유형에 따라 크게 MAY_, SHOULD_, CPD_, MAY_MUST_, MUST_, SHOULD_MUST_ 로 나뉜다(312).The alarm risk in the abnormal traffic detection sensor is largely divided into MAY_, SHOULD_, CPD_, MAY_MUST_, MUST_, and SHOULD_MUST_ according to the attack type (312).

알려지지 않은 공격패턴 탐지센서에서의 경보 위험도 수준은 3등분으로 나뉜다(313). 또한, 경보 위험도의 표준값은 3등분한 범위의 평균값으로 정의한다(314).The alarm risk level of unknown attack pattern detection sensor is divided into three parts (313). In addition, the standard value of the alarm risk level is defined as an average value in a third range (314).

도 3의 세로 열은 이상트래픽 탐지센서의 경보 위험도 수준에 해당하는 각 탐지센서의 위험도 수준을 표현한 것이다. The vertical column of Figure 3 represents the risk level of each detection sensor corresponding to the alarm risk level of the abnormal traffic detection sensor.

예를 들어, 이상트래픽 탐지센서의 낮은 위험도 수준인 Suspicious에 해당하는 Low(1)는 0 ~ 1/3의 범위값(315)을 갖고, Medium(2)은 1/3 ~ 2/3의 범위값(316)을 가지며 High(3)는 2/3 ~ 1의 범위값(317)을 갖는다.For example, Low (1), which corresponds to Suspicious, which is a low risk level of anomaly traffic detection sensor, has a range of 315 from 0 to 1/3, and Medium (2) has a range of 1/3 to 2/3. Has a value 316 and High (3) has a range value 317 of 2 / 3-1.

도 4는 본 발명의 바람직한 일 실시예에 의한 침입방지장치에서 사용하는 신뢰도이다. 도 4은 각 공격패턴 탐지센서가 가지는 신뢰도(320)와 이들 공격패턴 탐지센서가 가지고 있는 각 탐지패턴들의 신뢰도(321, 322)를 예시한 것이다.Figure 4 is the reliability used in the intrusion prevention apparatus according to an embodiment of the present invention. 4 illustrates the reliability 320 of each attack pattern detection sensor and the reliability 321 and 322 of each detection pattern of the attack pattern detection sensor.

여기서, 탐지센서의 신뢰도(320) 값들은 초기 사용자가 정의하는 값으로 각 탐지센서의 성능에 따라 좌우되고, 각 탐지센서가 가지고 있는 탐지패턴들의 신뢰도 값(321)들은 탐지패턴의 정확도에 따라 좌우된다.Here, the reliability 320 values of the detection sensor are values defined by the initial user and depend on the performance of each detection sensor, and the reliability values 321 of the detection patterns of each detection sensor depend on the accuracy of the detection pattern. do.

도 5는 본 발명의 바람직한 일 실시예에 의한 침입방지장치이다. 도 5를 참조하면, 침입방지장치는 경보 수집기(100), 전처리기(200), 경보 위험도 분류기(300), 경보 위험도 갱신기(400) 및 침입 대응기(500)으로 구성된다.5 is an intrusion prevention apparatus according to an embodiment of the present invention. Referring to FIG. 5, the intrusion prevention apparatus includes an alarm collector 100, a preprocessor 200, an alarm risk classifier 300, an alarm risk updater 400, and an intrusion counterpart 500.

경보 수집기(100)는 침입 탐지 및 방지 시스템의 패턴매칭 탐지센서(511), 휴리스틱 분석 탐지센서(512), 프로토콜 이상 탐지센서(513), 알려지지 않은 특징 탐지센서(514) 및 이상트래픽 탐지센서(515)들로부터 발생된 공격경보들을 수집한다.The alarm collector 100 includes a pattern matching detection sensor 511, a heuristic analysis detection sensor 512, a protocol anomaly detection sensor 513, an unknown feature detection sensor 514, and an abnormal traffic detection sensor of an intrusion detection and prevention system. 515) collect attack alerts generated from them.

전처리기(200)는 사용자가 정의한 전처리 설정 정보(201)에 따라 발생 시간, 프로토콜 정보, 근원지 또는 목적지 주소, 근원지 또는 목적지 포트에 따라 경보 위험도 분류기에서 사용될 기준값을 계산하여 경보 분류 목록을 유지하게 된다.The preprocessor 200 maintains the alarm classification list by calculating a reference value to be used in the alarm risk classifier according to occurrence time, protocol information, source or destination address, source or destination port according to the user defined preprocessing setting information 201. .

전처리기(200)는 경보 수집기(510)에서 수집된 각 탐지센서들의 공격경보들을 사용자가 설정한 전처리 정보에 따라 기준값을 계산하고 경보 분류 목록을 생성하여 경보 위험도 분류기에 전달한다.The preprocessor 200 calculates a reference value according to preprocessing information set by the user, and transmits the alarm alerts of the detection sensors collected by the alarm collector 510 to the alarm risk classifier by generating an alarm classification list.

보다 상세히 설명하면 다음과 같다. 우선, 탐지센서들로부터 수집된 공격경 보들이 발생 시간이 같은지 비교한다. 만약 다른 시간에 발생한 정보이면 단일 경보 정보로 간주하여 경보 분류 목록에 추가한다.More detailed description is as follows. First, attack alerts collected from detection sensors are compared for the same occurrence time. If the information occurred at another time, it is regarded as single alarm information and added to the alarm classification list.

같은 시간에 발생한 경보 정보는 사용자 설정 전처리 정보(521)에 따라 프로토콜이 같은지, 근원지 또는 목적지 주소가 같은지 및 근원지 또는 목적지 포트가 같은지를 각각 비교한다.The alarm information generated at the same time compares whether the protocol is the same, the source or destination address is the same, and the source or destination port is the same according to the user set preprocessing information 521.

비교한 결과가 같은 경우에는 기준값(Bi)을 1씩 증가시킨다. 즉, 초기의 기준값(B0)은 발생 시간이 같은 경우이므로 1이고 새로운 기준값(B l )은 다음과 같은 식에 의해 계산된다.If the comparison result is the same, the reference value Bi is increased by one. That is, since the initial reference value B 0 is the same occurrence time, it is 1 and the new reference value B 1 is calculated by the following equation.

Figure 112006071816665-pat00009
, (B0 = 1, K = 5, Bi = 0 or 1)
Figure 112006071816665-pat00009
, (B 0 = 1, K = 5, B i = 0 or 1)

예를 들어, 각 탐지센서들로부터 발생된 공격경보의 발생 시간(B0)이 같을 경우, 그 다음 프로토콜 정보(B1)가 같고, 근원지와 목적지의 주소(B2, B3)가 같고, 목적지의 포트(B5)는 같지만 근원지의 포트(B4)는 다르면 다음과 같이 기준값은 5가 된다.For example, when the occurrence time (B 0 ) of the attack alarm generated from each detection sensor is the same, then the protocol information (B 1 ) is the same, the source and destination address (B 2 , B 3 ) is the same, If the port B 5 of the destination is the same but the port B 4 of the source is different, the reference value is 5 as follows.

Figure 112006071816665-pat00010
Figure 112006071816665-pat00010

이처럼, 경보 분류 목록(240)을 생성하고 경보 위험도 분류기(530)로 전달한다. 여기서, 경보 분류 목록은 발생 시간이 같은 것을 기준으로 링크드리스트 형식 으로 구성한다.As such, the alarm classification list 240 is generated and transmitted to the alarm risk classifier 530. Here, the alarm classification list is configured in a linked list format based on the same occurrence time.

경보 위험도 분류기(530)는 경보 데이터베이스(531)로부터 각 탐지 센서 및 탐지 패턴의 신뢰도를 검색하여 새로운 신뢰도 값을 계산한 후 경보 데이터베이스(531)에 저장한다. 새로운 신뢰도를 계산하는 수학식은 다음과 같다.The alarm risk classifier 530 retrieves the reliability of each detection sensor and the detection pattern from the alarm database 531, calculates a new reliability value, and stores the new reliability value in the alarm database 531. The equation for calculating the new reliability is as follows.

Figure 112006071816665-pat00011
이고, K = 6, N = 3, α,β= 0 또는 1 (만약, CKS : active 또는 CUS : active), j = 1(PM) 또는 2(HA) 또는 3(PA), CAT for AT, SKS, RKS and CKS for PM/HA/PA, SUS, RUS and CUS for US 이다.
Figure 112006071816665-pat00011
And K = 6, N = 3, α, β = 0 or 1 (if C KS : active or C US : active), j = 1 (PM) or 2 (HA) or 3 (PA), C AT for AT, S KS , R KS and C KS for PM / HA / PA, S US , R US and C US for US.

여기서, K는 기준값 계산에 사용되는 분류 기준들의 전체 경우의 수이고, N은 패턴매칭, 휴리스틱 분석, 프로토콜 이상 탐지센서의 수이고, α와 β는 각 탐지센서들이 활성화되어 경보가 발생한 경우이면 1이고, 그렇지 않으면 0이다.Where K is the total number of classification criteria used to calculate the reference value, N is the number of pattern matching, heuristic analysis, protocol anomaly detection sensor, and α and β are 1 when each detection sensor is activated and an alarm is generated. And 0 otherwise.

또한, S 표기 형태는 경보 위험도의 표준값을 나타내고, C 표기 형태는 탐지센서의 신뢰도를 나타내고, R 표기 형태는 해당 탐지센서내의 탐지패턴의 신뢰도를 나타낸다. 즉, CAT는 이상트래픽 탐지센서의 신뢰도를 나타내고(여기서, C0 AT는 초기 신뢰도 값을 의미하고, Cn AT는 새로운 신뢰도 값을 의미), RKS는 패턴매칭, 휴리스틱 분석, 프로토콜 이상 탐지센서들 중 탐지패턴의 신뢰도를 나타낸다.In addition, the S notation type represents the standard value of the alarm risk, the C notation type represents the reliability of the detection sensor, the R notation type represents the reliability of the detection pattern in the detection sensor. That is, C AT represents the reliability of the abnormal traffic detection sensor (where C 0 AT represents the initial reliability value and C n AT represents the new reliability value), and R KS represents pattern matching, heuristic analysis, and protocol anomaly detection. The reliability of the detection pattern among the sensors is shown.

예를 들어, 이상트래픽 탐지센서에서 경보의 위험도가 Medium인 SHOULD_WORM이 발생하였고 그 신뢰도가 0.58일 때, 같은 시간에 패턴매칭, 휴리스틱 분석, 알려지지 않은 특징 탐지센서에서도 경보 위험도가 모두 Medium인 경보가 발생하고 각각 탐지패턴의 신뢰도가 0.98, 0.97, 0.79이라면 이상트래픽 탐지센서의 새로운 신뢰도 값은 다음과 같이 계산된다. 이때, 분류 기준값은 5이고, 각 탐지센서의 경보 위험도 표준값은 도3을 참조하고, 각 탐지센서의 신뢰도는 도4를 참조한다.For example, SHOULD_WORM with a medium alarm risk occurred in the abnormal traffic detection sensor, and when the reliability is 0.58, a pattern matching, heuristic analysis, and an unknown feature detection sensor will generate a medium alarm at the same time. And if the reliability of detection pattern is 0.98, 0.97, 0.79, the new reliability value of abnormal traffic detection sensor is calculated as follows. In this case, the classification reference value is 5, the alarm risk standard value of each detection sensor is referred to FIG. 3, and the reliability of each detection sensor is referred to FIG.

Figure 112006071816665-pat00012
Figure 112006071816665-pat00012

위와 같이 새로 계산된 경보위험도의 신뢰도 값은 0.69로, 이상트래픽 탐지센서에 의해 발생된 경보위험도의 신뢰도인 0.58보다 다른 탐지센서들에 의해 신뢰도가 11% 정도 증가되었음을 알 수 있다.As described above, the newly calculated reliability value of the alarm risk is 0.69, indicating that the reliability of the alarm risk increased by about 11% by other detection sensors than 0.58, which is the reliability of the alarm risk generated by the abnormal traffic detection sensor.

즉, 발생된 이상트래픽의 경보 위험도 수준이 Medium 상태인 SHOULD_WORM이였지만, 다른 탐지센서들에서도 탐지되어 경보 위험도 수준이 High 상태의 MUST_WORM으로 높아졌음을 알 수 있고, 이것은 침입 대응에 대한 경보위험도의 명확한 근거를 제시해 주고 있다.In other words, the alarm risk level of the generated abnormal traffic was SHOULD_WORM with Medium status, but it was also detected by other detection sensors, indicating that the alarm risk level was increased to MUST_WORM with High status. It gives evidence.

경보 위험도 갱신기(540)는 사용자가 정의한 갱신 설정 정보(541)에 따라 경보 위험도 분류기에서 계산된 신뢰도를 바탕으로 자동 대응이나 사용자 대응을 한다.The alarm risk updater 540 performs automatic response or user response based on the reliability calculated by the alarm risk classifier according to the update setting information 541 defined by the user.

또한, 경보 위험도 갱신기(540)는 사용자의 대응 여부에 따라 경보 위험도의 신뢰도 반감기를 계산하여 경보 데이터베이스(531)에 그 값을 저장하고 침입 대응기(550)를 통해 적절한 대응을 한다. 신뢰도 반감기를 이용하여 새로운 신뢰도를 구하는 식은 다음과 같다.In addition, the alarm risk updater 540 calculates the reliability half-life of the alarm risk according to whether the user responds, stores the value in the alarm database 531, and responds appropriately through the intrusion responder 550. The equation for obtaining new reliability using the reliability half-life is as follows.

Figure 112006071816665-pat00013
Figure 112006071816665-pat00013

여기서, C0 AT는 이상트래픽 탐지센서에서 발생한 경보 위험도의 신뢰도이고, Cn AT는 이 신뢰도에 신뢰도 반감기를 적용한 것이다. 그리고 S는 이상트래픽 탐지센서에서 발생된 경보 위험도의 표준값이고, C는 이상트래픽 탐지센서의 신뢰도이고, R은 이상트래픽 탐지센서에서 발생된 탐지패턴의 신뢰도이다.Here, C 0 AT is the reliability of the alarm risk generated by the abnormal traffic detection sensor, and C n AT is the reliability half-life applied to this reliability. And S is the standard value of the alarm risk level generated by the abnormal traffic detection sensor, C is the reliability of the abnormal traffic detection sensor, R is the reliability of the detection pattern generated by the abnormal traffic detection sensor.

예를 들어, 이상트래픽 탐지센서에서 발생한 Medium 수준의 경보 위험도 신뢰도가 0.58이고, 탐지패턴의 신뢰도가 0.86일 때, 경보 위험도의 신뢰도 반감기는 다음과 같이 계산된다. 이때, 경보 위험도의 표준값은 0.50이고, 이상트래픽 탐지센서의 신뢰도는 0.85로 설정되어 있다.For example, when the alarm level reliability of the medium level generated by the abnormal traffic detection sensor is 0.58 and the reliability of the detection pattern is 0.86, the reliability half life of the alarm risk is calculated as follows. At this time, the standard value of the alarm risk level is 0.50, and the reliability of the abnormal traffic detection sensor is set to 0.85.

Figure 112006071816665-pat00014
Figure 112006071816665-pat00014

도 6은 본 발명의 바람직한 일 실시예에 의한 침입방지방법의 전처리단계의 흐름이다. 도 6은, 전처리부에서 경보 수집기에서 수집된 각 탐지센서들의 경보 정보들을 수집하여 경보분류목록을 생성하고 사용자가 설정한 전처리 정보에 따라 기준값을 계산하는 과정을 보여준다.Figure 6 is a flow of the pre-treatment step of the intrusion prevention method according to an embodiment of the present invention. 6 shows a process of generating an alarm classification list by collecting alarm information of respective detection sensors collected by an alarm collector in a preprocessor and calculating a reference value according to preprocessing information set by a user.

우선 각 탐지센서들로부터 공격격보를 수집한다(S610).First of all, the attack information from each detection sensor is collected (S610).

수집된 공격경보들에 대해 발생 시간이 같은지 비교한다(S620). 만약 다른 시간에 발생한 정보이면 단일 경보 정보로 간주하여 경보 분류 목록에 추가한다(S640).It compares whether the occurrence time is the same for the collected attack alarms (S620). If the information occurred at another time, it is regarded as a single alarm information and added to the alarm classification list (S640).

같은 시간에 발생한 경보 정보이면 사용자가 설정한 전처리 정보에 따른다.즉, 같은 시간에 발생한 공격경보는 사용자정의 전처리설정정보(600)에 따라 프로토콜이 같은지(S621), 근원지 또는 목적지 주소가 같은지(S622), 근원지 또는 목적지 포트가 같은지(S623)를 각각 비교한다.If the alarm information is generated at the same time, it is based on the preprocessing information set by the user. That is, whether the attack alarm occurred at the same time is the same according to the user-defined preprocessing setting information 600 (S621), whether the source or destination address is the same (S622). ) And whether the source or destination port is the same (S623).

비교 결과가 같은 경우, 기준값(Bi)을 1씩 증가시킨다. 이때 초기의 분류 기준값(B0)은 발생 시간이 같은 경우이므로 1이고 새로운 기준값(B l )은 다음과 같은 식에 의해 계산된다.If the comparison result is the same, the reference value Bi is increased by one. At this time, since the initial classification reference value B 0 is the same occurrence time, it is 1 and the new reference value B l is calculated by the following equation.

Figure 112006071816665-pat00015
, ( B0 = 1, K = 5, Bi = 0 or 1)
Figure 112006071816665-pat00015
, (B 0 = 1, K = 5, B i = 0 or 1)

예를 들어, 각 탐지센서들로부터 발생된 경보 정보의 발생 시간(B0)이 같을 경우, 그 다음 프로토콜 정보(B1)가 같고, 근원지와 목적지의 주소(B2, B3)가 같고, 목적지의 포트(B5)는 같지만 근원지의 포트(B4)는 다르면 다음과 같이 기준값은 5가 된다.For example, if the occurrence time (B 0 ) of the alarm information generated from each of the detection sensors are the same, then the protocol information (B 1 ) is the same, the source (B 2 , B 3 ) of the source and destination are the same, If the port B 5 of the destination is the same but the port B 4 of the source is different, the reference value is 5 as follows.

Figure 112006071816665-pat00016
Figure 112006071816665-pat00016

기준값이 계산된 공격경보에 대한 경보 분류 목록을 생성한다(S640). 여기서, 경보 분류 목록은 발생 시간이 같은 것을 기준으로 링크드리스트 형식으로 구성한다.An alarm classification list is generated for the attack alarm for which the reference value is calculated (S640). Here, the alarm classification list is configured in a linked list format based on the same occurrence time.

도 7은 본 발명의 바람직한 일 실시예에 의한 침입방지방법의 전체적인 흐름이다. 도 7을 참조하면, 전처리단계에서는 공격경보를 분류하고 기준값을 계산한다(S701). 7 is a general flow of the intrusion prevention method according to an embodiment of the present invention. Referring to FIG. 7, in the preprocessing step, the attack alarm is classified and a reference value is calculated (S701).

전처리단계(S701)에서는 서로 다른 복수개의 공격패턴 탐지센서 및 이상트래픽 탐지센서로부터 수집된 각각 신뢰도와 경보위험도를 가지는 공격경보들을 발생시간 별로 분류하고, 발생시간이 동일한 공격경보들의 일치정도를 나타내는 기준값을 계산한다. 전처리단계(S701)에 대하여는 도 6에서 상세히 설명하였다.In the preprocessing step (S701), attack alarms having reliability and alarm risk collected from a plurality of different attack pattern detection sensors and abnormal traffic detection sensors are classified for each occurrence time, and a reference value indicating a degree of agreement between attack alarms having the same occurrence time. Calculate The pretreatment step S701 has been described in detail with reference to FIG. 6.

공격경보들은 서로 다른 복수개의 공격패턴 탐지센서 및 이상트래픽 탐지센 서로부터 수집된다. 본 발명에 의한 침입방지방법은 서로 다른 복수개의 공격패턴 탐지센서 및 이상트래픽 탐지센서로부터 하나 이상의 경보를 수집하는 경보수집단계를 전처리단계(S601) 이전에 포함할 수 있다.Attack alerts are collected from multiple attack pattern detection sensors and abnormal traffic detection sensors. The intrusion prevention method according to the present invention may include an alarm collecting step of collecting one or more alarms from a plurality of different attack pattern detection sensors and abnormal traffic detection sensors before the preprocessing step (S601).

신뢰도계산단계(S702)에서는 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 신뢰도를 계산한다(S702).In the reliability calculation step (S702), the reliability of the alarm risk level of the attack alert generated by the abnormal traffic detection sensor is calculated (S702).

보다 상세히 설명하면, 신뢰도계산단계(S702)에서는 기준값 및 동일시간에 발생한 공격경보들의 신뢰도 및 경보위험도를 기초로 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 신뢰도를 계산한다. 신뢰도를 계산하는 수학식은 다음과 같다.In more detail, in the reliability calculation step (S702), the reliability of the alarm risk of the attack alarm generated by the abnormal traffic detection sensor is calculated based on the reference value and the reliability and the alarm risk of the attack alarms generated at the same time. The equation for calculating the reliability is as follows.

Figure 112006071816665-pat00017
이고, K = 6, N = 3, α,β= 0 또는 1 (만약, CKS : active 또는 CUS : active), j = 1(PM) 또는 2(HA) 또는 3(PA), CAT for AT, SKS, RKS and CKS for PM/HA/PA, SUS, RUS and CUS for US 이다.
Figure 112006071816665-pat00017
And K = 6, N = 3, α, β = 0 or 1 (if C KS : active or C US : active), j = 1 (PM) or 2 (HA) or 3 (PA), C AT for AT, S KS , R KS and C KS for PM / HA / PA, S US , R US and C US for US.

여기서, K는 기준값 계산에 사용되는 분류 기준들의 전체 경우의 수이고, N은 패턴매칭, 휴리스틱 분석, 프로토콜 이상 탐지센서의 수이고, α와 β는 각 탐지센서들이 활성화되어 경보가 발생한 경우이면 1이고, 그렇지 않으면 0이다.Where K is the total number of classification criteria used to calculate the reference value, N is the number of pattern matching, heuristic analysis, protocol anomaly detection sensor, and α and β are 1 when each detection sensor is activated and an alarm is generated. And 0 otherwise.

또한, S 표기 형태는 경보 위험도의 표준값을 나타내고, C 표기 형태는 탐지센서의 신뢰도를 나타내고, R 표기 형태는 해당 탐지센서내의 탐지패턴의 신뢰도를 나타낸다. 즉, CAT는 이상트래픽 탐지센서의 신뢰도를 나타내고(여기서, C0 AT는 초기 신뢰도 값을 의미하고, Cn AT는 새로운 신뢰도 값을 의미), RKS는 패턴매칭, 휴리스틱 분석, 프로토콜 이상 탐지센서들 중 탐지패턴의 신뢰도를 나타낸다.In addition, the S notation type represents the standard value of the alarm risk, the C notation type represents the reliability of the detection sensor, the R notation type represents the reliability of the detection pattern in the detection sensor. That is, C AT represents the reliability of the abnormal traffic detection sensor (where C 0 AT represents the initial reliability value and C n AT represents the new reliability value), and R KS represents pattern matching, heuristic analysis, and protocol anomaly detection. The reliability of the detection pattern among the sensors is shown.

예를 들어, 이상트래픽 탐지센서에서 경보의 위험도가 Medium인 SHOULD_WORM이 발생하였고 그 신뢰도가 0.58일 때, 같은 시간에 패턴매칭, 휴리스틱 분석, 알려지지 않은 특징 탐지센서에서도 경보 위험도가 모두 Medium인 경보가 발생하고 각각 탐지패턴의 신뢰도가 0.98, 0.97, 0.79이라면 이상트래픽 탐지센서의 새로운 신뢰도 값은 다음과 같이 계산된다. 이때, 분류 기준값은 5이고, 각 탐지센서의 경보 위험도 표준값은 도3을 참조하고, 각 탐지센서의 신뢰도는 도4를 참조한다.For example, SHOULD_WORM with a medium alarm risk occurred in the abnormal traffic detection sensor, and when the reliability is 0.58, a pattern matching, heuristic analysis, and an unknown feature detection sensor will generate a medium alarm at the same time. And if the reliability of detection pattern is 0.98, 0.97, 0.79, the new reliability value of abnormal traffic detection sensor is calculated as follows. In this case, the classification reference value is 5, the alarm risk standard value of each detection sensor is referred to FIG. 3, and the reliability of each detection sensor is referred to FIG.

Figure 112006071816665-pat00018
Figure 112006071816665-pat00018

위와 같이 새로 계산된 경보위험도의 신뢰도 값은 0.69로, 이상트래픽 탐지센서에 의해 발생된 경보 위험도의 신뢰도인 0.58보다 다른 탐지센서들에 의해 신뢰도가 11% 정도 증가되었음을 알 수 있다.As described above, the newly calculated reliability value of the alarm risk is 0.69, indicating that the reliability of the alarm risk is increased by about 11% by other detection sensors than 0.58, which is the reliability of the alarm risk generated by the abnormal traffic detection sensor.

경보위험도의 신뢰도가 사용자가 설정한 임계값에 해당하는지 판단한다(S703).It is determined whether the reliability of the alarm risk corresponds to a threshold set by the user (S703).

침입대응단계(S704)에서는 이상트래픽 탐지센서의 경보위험도의 신뢰도가 기 설정된 임계값에 해당하는 경우에는 공격경보에 대해 침입대응을 수행한다.침입대응기에서는 새로 계산된 경보위험도의 신뢰도가 사용자가 설정한 임계값 범위에 벗어나는 경우, 해당 이상트래픽에 대해 BPS나 PPS 정보를 기준으로 대역폭을 조절하는 등의 적절한 대응 기능을 수행한다.In the intrusion response step (S704), if the reliability of the alarm risk level of the abnormal traffic detection sensor corresponds to a preset threshold, the intrusion response is performed on the attack alarm. If the threshold is out of the range, the controller performs appropriate countermeasures such as adjusting bandwidth based on BPS or PPS information for the abnormal traffic.

신뢰도갱신단계(S705)에서는 공격경보에 대한 침입대응을 하지 않는 경우, 상기 이상트래픽 탐지센서의 경보위험도의 신뢰도를 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 과거 신뢰도를 기초로 갱신한다.신뢰도 반감기를 이용하여 신뢰도를 갱신하는 식은 다음과 같다.In the reliability update step (S705), when the intrusion response to the attack alarm is not performed, the reliability of the alarm risk level of the abnormal traffic detection sensor is updated based on the past reliability of the alarm risk level of the attack alarm generated by the abnormal traffic detection sensor. The equation for updating the reliability by using the reliability half-life is as follows.

Figure 112006071816665-pat00019
Figure 112006071816665-pat00019

여기서, C0 AT는 이상트래픽 탐지센서에서 발생한 경보 위험도의 신뢰도이고, Cn AT는 이 신뢰도에 신뢰도 반감기를 적용한 것이다. 그리고 S는 이상트래픽 탐지센서에서 발생된 경보 위험도의 표준값이고, C는 이상트래픽 탐지센서의 신뢰도이고, R은 이상트래픽 탐지센서에서 발생된 탐지패턴의 신뢰도이다.Here, C 0 AT is the reliability of the alarm risk generated by the abnormal traffic detection sensor, and C n AT is the reliability half-life applied to this reliability. And S is the standard value of the alarm risk level generated by the abnormal traffic detection sensor, C is the reliability of the abnormal traffic detection sensor, R is the reliability of the detection pattern generated by the abnormal traffic detection sensor.

예를 들어, 이상트래픽 탐지센서에서 발생한 Medium 수준의 경보 위험도 신 뢰도가 0.58이고, 탐지패턴의 신뢰도가 0.86일 때, 경보 위험도의 신뢰도 반감기는 다음과 같이 계산된다. 이때, 경보 위험도의 표준값은 0.50이고, 이상트래픽 탐지센서의 신뢰도는 0.85로 설정되어 있다.For example, when the alarm level reliability of the medium level generated by the abnormal traffic detection sensor is 0.58 and the reliability of the detection pattern is 0.86, the reliability half-life of the alarm risk is calculated as follows. At this time, the standard value of the alarm risk level is 0.50, and the reliability of the abnormal traffic detection sensor is set to 0.85.

Figure 112006071816665-pat00020
Figure 112006071816665-pat00020

본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The invention can also be embodied as computer readable code on a computer readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like, and may also be implemented in the form of a carrier wave (for example, transmission over the Internet). Include. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으 로 해석되어야 할 것이다.So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in descriptive sense only and not for purposes of limitation. The scope of the present invention is shown in the appended claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.

이상에서 설명한 바와 같이 본 발명에 의한 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지장치 및 그 방법은 서로 다른 종류의 탐지센서로부터 수집된 공격경보를 이용하여 이상트래픽 탐지센서의 경보위험도의 정확한 신뢰도를 계산하여 이상트래픽에 대하여 적절한 침입대응을 제공한다.As described above, the intrusion prevention apparatus based on the signature detection and the abnormal traffic alarm risk and the method according to the present invention utilize the attack alarm collected from the different types of detection sensors to accurately measure the reliability of the alarm risk of the abnormal traffic detection sensor. Calculate to provide appropriate intrusion countermeasure against abnormal traffic.

Claims (14)

복수개의 공격패턴을 탐지하는 공격패턴 탐지센서 및 네트워크 내 비정상적인 트래픽을 탐지하는 이상트래픽 탐지센서를 포함하는 침입방지장치에 있어서, In the intrusion prevention device comprising an attack pattern detection sensor for detecting a plurality of attack patterns and abnormal traffic detection sensor for detecting abnormal traffic in the network, 서로 다른 복수개의 상기 공격패턴 탐지센서 및 상기 이상트래픽 탐지센서로부터 수집된 신뢰도와 경보위험도를 각각 가지는 공격경보들을 발생시간에 따라 분류하고, 발생시간이 동일한 공격경보들의 일치정도를 나타내는 기준값을 계산하는 전처리부; 및By classifying attack alarms each having reliability and alarm risk collected from the plurality of different attack pattern detection sensors and the abnormal traffic detection sensor according to occurrence time, and calculating a reference value indicating the degree of agreement of the attack alarms having the same occurrence time Pretreatment unit; And 상기 기준값 및 동일시간에 발생한 상기 공격경보들의 경보위험도 중 적어도 어느 하나를 기초로 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 신뢰도를 계산하는 신뢰도계산부;를 포함하는 것을 특징으로 하는 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지장치.And a reliability calculator configured to calculate a reliability of the alarm risk of the attack alarm generated by the abnormal traffic detection sensor based on at least one of the reference value and the alarm risk of the attack alarms generated at the same time. And abnormal traffic alarm risk-based intrusion prevention device. 제 1항에 있어서 신뢰도계산부는The method of claim 1, wherein the reliability calculation unit 상기 기준값 및 동일시간에 발생한 상기 공격경보들의 경보위험도뿐 아니라 상기 공격경보를 발생한 탐지패턴 및 탐지센서의 신뢰도 중 적어도 어느 하나를 기초로 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 신뢰도를 계산하는 것을 특징으로 하는 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지장치.Calculating the reliability of the alarm risk of the attack alarm generated by the abnormal traffic detection sensor based on the reference value and at least one of the alarm risk of the attack alarms generated at the same time, as well as the detection pattern and the reliability of the detection sensor that generated the attack alarm. Intrusion prevention device based on the signature detection and abnormal traffic alarm risk, characterized in that. 제 1항에 있어서,The method of claim 1, 상기 이상트래픽 탐지센서의 경보위험도의 신뢰도가 기 설정된 임계값에 해당하는 경우에는 상기 공격경보에 대해 침입대응을 수행하는 침입대응부; 및An intrusion response unit performing an intrusion response to the attack alarm when the reliability of the alarm risk level of the abnormal traffic detection sensor corresponds to a preset threshold value; And 상기 공격경보에 대한 침입대응을 하지 않는 경우, 상기 이상트래픽 탐지센서의 경보위험도의 신뢰도를 상기 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 과거 신뢰도를 기초로 갱신하는 신뢰도갱신부;를 더 포함하는 것을 특징으로 하는 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지장치.A reliability update unit for updating the reliability of the alarm risk level of the abnormal traffic detection sensor based on the past reliability of the alarm risk level generated by the abnormal traffic detection sensor when the intrusion response is not performed in response to the attack alarm; Intrusion prevention device based on the signature detection and abnormal traffic alarm risk, characterized in that it comprises a. 제 3항에 있어서 상기 침입대응부는, The method of claim 3, wherein the intrusion counterpart, 상기 이상트래픽 탐지센서의 경보위험도의 신뢰도가 기 설정된 임계값에 해당하는 경우에는 상기 공격경보에 대해 자동으로 침입대응을 수행하는 자동대응부; 및 An automatic response unit for automatically performing an intrusion response to the attack alarm when the reliability of the alarm risk level of the abnormal traffic detection sensor corresponds to a preset threshold value; And 자동대응을 하지 않는 경우에는, 사용자가 공격경보에 대한 대응여부를 결정하여 침입대응을 수행하는 사용자대응부;를 포함하는 것을 특징으로 하는 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지장치.In case the automatic response is not performed, the user response unit for performing the intrusion response by determining whether the user responds to the attack alarm; Signature detection and abnormal traffic alarm risk-based intrusion prevention device. 제 1항에 있어서,The method of claim 1, 서로 다른 복수개의 상기 공격패턴 탐지센서 및 상기 이상트래픽 탐지센서로부터 하나 이상의 공격경보를 수집하는 경보 수집부;를 더 포함하는 것을 특징으로 하는 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지장치.Intrusion prevention device based on the signature detection and abnormal traffic alarm risk, characterized in that it further comprises; alarm collection unit for collecting one or more attack alarm from the plurality of different attack pattern detection sensor and the abnormal traffic detection sensor. 제 1항에 있어서,The method of claim 1, 상기 공격패턴 탐지센서는 알려진 공격패턴을 기반으로 탐지하는 알려진 공격패턴 탐지센서 및 알려지지 않은 공격패턴을 기반으로 탐지하는 알려지지 않은 공격패턴 탐지센서를 포함하며, 상기 알려진 공격패턴 탐지센서는 패턴매칭 탐지센서, 휴리스틱분석 탐지센서 및 패턴분석 탐지센서 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지장치.The attack pattern detection sensor includes a known attack pattern detection sensor that detects based on a known attack pattern and an unknown attack pattern detection sensor that detects based on an unknown attack pattern, and the known attack pattern detection sensor includes a pattern matching detection sensor. Intrusion prevention device based on the signature detection and abnormal traffic alarm risk, characterized in that it comprises at least one of a heuristic analysis detection sensor and a pattern analysis detection sensor. 제 1항에 있어서,The method of claim 1, 상기 기준값은 발생시간, 프로토콜 정보, 근원지 및 목적지의 주소 및 포트를 기초로 계산하는 것을 특징으로 하는 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지장치.The reference value is calculated based on the occurrence time, protocol information, source and destination address and port of the signature detection and abnormal traffic alarm risk intrusion prevention device. 서로 다른 복수개의 상기 공격패턴 탐지센서 및 상기 이상트래픽 탐지센서로부터 수집된 신뢰도와 경보위험도를 각각 가지는 공격경보들을 발생시간별로 분류하고, 발생시간이 동일한 공격경보들의 일치정도를 나타내는 기준값을 계산하는 전처리단계; 및Pre-processing for classifying attack alarms each having a reliability and an alarm risk collected from the plurality of different attack pattern detection sensors and the abnormal traffic detection sensor by occurrence time, and calculating a reference value indicating the degree of agreement of the attack alarms having the same occurrence time step; And 상기 기준값 및 동일시간에 발생한 상기 공격경보들의 경보위험도 중 적어도 어느 하나를 기초로 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 신뢰 도를 계산하는 신뢰도계산단계;를 포함하는 것을 특징으로 하는 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지방법.A reliability calculation step of calculating a confidence level of the alarm risk level of the attack alarm generated by the abnormal traffic detection sensor based on at least one of the reference value and the alarm risk level of the attack alarms generated at the same time; Intrusion prevention method based on detection and abnormal traffic alarm risk. 제 8항에 있어서 신뢰도계산단계는The method of claim 8, wherein the reliability calculation step 상기 기준값 및 동일시간에 발생한 상기 공격경보들의 경보위험도뿐 아니라 상기 공격경보를 발생한 탐지패턴 및 탐지센서의 신뢰도 중 적어도 어느 하나를 기초로 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 신뢰도를 계산하는 것을 특징으로 하는 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지방법.Calculating the reliability of the alarm risk of the attack alarm generated by the abnormal traffic detection sensor based on the reference value and at least one of the alarm risk of the attack alarms generated at the same time, as well as the detection pattern and the reliability of the detection sensor that generated the attack alarm. Intrusion prevention method based on the signature detection and abnormal traffic alarm risk, characterized in that the. 제 8항에 있어서,The method of claim 8, 상기 이상트래픽 탐지센서의 경보위험도의 신뢰도가 기 설정된 임계값에 해당하는 경우에는 상기 공격경보에 대해 침입대응을 수행하는 침입대응단계; 및An intrusion response step of performing an intrusion response to the attack alarm if the reliability of the alarm risk level of the abnormal traffic detection sensor corresponds to a preset threshold value; And 상기 공격경보에 대한 침입대응을 하지 않는 경우, 상기 이상트래픽 탐지센서의 경보위험도의 신뢰도를 상기 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 과거 신뢰도를 기초로 갱신하는 신뢰도갱신단계;를 더 포함하는 것을 특징으로 하는 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지방법.A reliability update step of updating the reliability of the alarm risk level of the abnormal traffic detection sensor based on the past reliability of the alarm risk level of the attack alarm generated by the abnormal traffic detection sensor when the intrusion response to the attack alarm is not performed; Intrusion prevention method based on the signature detection and abnormal traffic alarm risk, characterized in that it comprises a. 제 10항에 있어서 상기 침입대응단계는, The method of claim 10 wherein the intrusion response step, 상기 이상트래픽 탐지센서의 경보위험도의 신뢰도가 기 설정된 임계값에 해 당하는 경우에는 상기 공격경보에 대해 자동으로 침입대응을 수행하는 자동대응단계; 및 An automatic response step of automatically performing an intrusion response to the attack alarm when the reliability of the alarm risk level of the abnormal traffic detection sensor corresponds to a preset threshold value; And 자동대응을 하지 않는 경우에는, 사용자가 공격경보에 대한 대응여부를 결정하여 침입대응을 수행하는 사용자대응단계;를 포함하는 것을 특징으로 하는 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지방법.If the automatic response is not performed, the user response step of performing the intrusion response by determining whether the user responds to the attack alarm; Signature detection and abnormal traffic alarm risk-based intrusion prevention method. 제 8항에 있어서,The method of claim 8, 서로 다른 복수개의 상기 공격패턴 탐지센서 및 상기 이상트래픽 탐지센서로부터 하나 이상의 공격경보를 수집하는 경보수집단계;를 더 포함하는 것을 특징으로 하는 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지방법.And collecting at least one attack alert from the plurality of different attack pattern detection sensors and the abnormal traffic detection sensor. The signature detection and abnormal traffic alert risk-based intrusion prevention method further comprises a. 제 8항에 있어서,The method of claim 8, 상기 공격패턴 탐지센서는 알려진 공격패턴을 기반으로 탐지하는 알려진 공격패턴 탐지센서 및 알려지지 않은 공격패턴을 기반으로 탐지하는 알려지지 않은 공격패턴 탐지센서를 포함하며, 상기 알려진 공격패턴 탐지센서는 패턴매칭 탐지센서, 휴리스틱분석 탐지센서 및 패턴분석 탐지센서 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지방법.The attack pattern detection sensor includes a known attack pattern detection sensor that detects based on a known attack pattern and an unknown attack pattern detection sensor that detects based on an unknown attack pattern, and the known attack pattern detection sensor includes a pattern matching detection sensor. Signature detection and abnormal traffic alarm risk-based intrusion prevention method comprising at least any one of, heuristic analysis detection sensor and pattern analysis detection sensor. 제 8항에 있어서,The method of claim 8, 상기 기준값은 발생시간, 프로토콜 정보, 근원지 및 목적지의 주소 및 포트를 기초로 계산하는 것을 특징으로 하는 시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지방법.The reference value is calculated based on the occurrence time, protocol information, source and destination address and port signature detection and abnormal traffic alarm risk-based intrusion prevention method.
KR1020060096454A 2006-09-29 2006-09-29 Intrusion prevention apparatus based on alert severity of signiture detection and abnormal traffic and method thereof KR100809422B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060096454A KR100809422B1 (en) 2006-09-29 2006-09-29 Intrusion prevention apparatus based on alert severity of signiture detection and abnormal traffic and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060096454A KR100809422B1 (en) 2006-09-29 2006-09-29 Intrusion prevention apparatus based on alert severity of signiture detection and abnormal traffic and method thereof

Publications (1)

Publication Number Publication Date
KR100809422B1 true KR100809422B1 (en) 2008-03-05

Family

ID=39397429

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060096454A KR100809422B1 (en) 2006-09-29 2006-09-29 Intrusion prevention apparatus based on alert severity of signiture detection and abnormal traffic and method thereof

Country Status (1)

Country Link
KR (1) KR100809422B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101177049B1 (en) * 2010-12-23 2012-08-27 한국인터넷진흥원 System for detecting abnormal VoIP traffic using heuristic statistic-information

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030052512A (en) * 2001-12-21 2003-06-27 한국전자통신연구원 method and recorded media for attack correlation analysis
KR20060062298A (en) * 2004-12-03 2006-06-12 한국전자통신연구원 Apparatus for detecting attacks toward network and method thereof

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030052512A (en) * 2001-12-21 2003-06-27 한국전자통신연구원 method and recorded media for attack correlation analysis
KR20060062298A (en) * 2004-12-03 2006-06-12 한국전자통신연구원 Apparatus for detecting attacks toward network and method thereof

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101177049B1 (en) * 2010-12-23 2012-08-27 한국인터넷진흥원 System for detecting abnormal VoIP traffic using heuristic statistic-information

Similar Documents

Publication Publication Date Title
CN109992989B (en) System for query injection detection using abstract syntax tree
EP3356985B1 (en) Detection of security incidents with low confidence security events
US20040157556A1 (en) System for intrusion detection
US20070226803A1 (en) System and method for detecting internet worm traffics through classification of traffic characteristics by types
US20150341380A1 (en) System and method for detecting abnormal behavior of control system
JPWO2014119669A1 (en) Log analysis apparatus, information processing method, and program
KR20150091775A (en) Method and System of Network Traffic Analysis for Anomalous Behavior Detection
JP5832951B2 (en) Attack determination device, attack determination method, and attack determination program
CN111131247B (en) Vehicle-mounted internal network intrusion detection system
US10931706B2 (en) System and method for detecting and identifying a cyber-attack on a network
Dhakar et al. A novel data mining based hybrid intrusion detection framework
Bouyeddou et al. Detection of smurf flooding attacks using Kullback-Leibler-based scheme
CN110557397A (en) DDoS attack detection method based on chaos theory analysis
KR100656351B1 (en) Method for risk management analysis based on vulnerability assessment and apparatus thereof
Singh et al. Detecting different attack instances of DDoS vulnerabilities on edge network of fog computing using gaussian naive bayesian classifier
Hareesh et al. Anomaly detection system based on analysis of packet header and payload histograms
US10681059B2 (en) Relating to the monitoring of network security
Mohan et al. Complex event processing based hybrid intrusion detection system
KR20130093841A (en) Intrusion prevention system using correlation attack pattern and method thereof
KR100809422B1 (en) Intrusion prevention apparatus based on alert severity of signiture detection and abnormal traffic and method thereof
JP2007074339A (en) Spread unauthorized access detection method and system
Maryposonia An Efficient Network Intrusion Detection System for Distributed Networks using Machine Learning Technique
Coulibaly An overview of intrusion detection and prevention systems
KR20110107880A (en) Ddos detection method using fast information entropy and adaptive moving average window detector
KR100656340B1 (en) Apparatus for analyzing the information of abnormal traffic and Method thereof

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130205

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140326

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20150226

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20160226

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20180226

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20190226

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20200226

Year of fee payment: 13