KR100832536B1 - 대규모 네트워크에서의 보안 관리 방법 및 장치 - Google Patents

대규모 네트워크에서의 보안 관리 방법 및 장치 Download PDF

Info

Publication number
KR100832536B1
KR100832536B1 KR1020060108893A KR20060108893A KR100832536B1 KR 100832536 B1 KR100832536 B1 KR 100832536B1 KR 1020060108893 A KR1020060108893 A KR 1020060108893A KR 20060108893 A KR20060108893 A KR 20060108893A KR 100832536 B1 KR100832536 B1 KR 100832536B1
Authority
KR
South Korea
Prior art keywords
hash
traffic
traffic information
information
attack
Prior art date
Application number
KR1020060108893A
Other languages
English (en)
Other versions
KR20080040921A (ko
Inventor
방효찬
김동영
나중찬
장범환
김건량
손선경
김종현
정치윤
유종호
이수형
김현주
박원주
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020060108893A priority Critical patent/KR100832536B1/ko
Publication of KR20080040921A publication Critical patent/KR20080040921A/ko
Application granted granted Critical
Publication of KR100832536B1 publication Critical patent/KR100832536B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은, 대규모 네트워크에서 발생되는 공격에 따른 보안 관리 방법 및 장치에 관한 것으로서, 대규모 네트워크 내에 산재되어 있는 다수의 라우터로부터 트래픽 정보를 실시간으로 수집하여 상기 수집된 트래픽 정보들에서 특성 정보를 추출하고, 추출된 특성 정보를 통해 실시간으로 각 공격 유형을 탐지하여 탐지된 각 공격 유형별로 계층 구조를 갖는 다중 해쉬 테이블에 저장된 트래픽 통계 정보를 이용하여 공격 상황을 분석 및 인지함으로써 현재 보안 상황을 실시간으로 보다 정확하게 파악할 수 있으며, 이에 따라 공격 유형 간의 정보 중복을 완전히 배제시킬 수 있고, 탐지 오판율을 줄일 수 있는 효과가 있다.
대규모 네트워크, 공격 유형 탐지, 공격 상황 인지, 트래픽 정보, 트래픽 수신기, 트래픽 분류기, 트래픽 분석기, 해쉬 테이블, 해쉬 키, 해쉬엔트리.

Description

대규모 네트워크에서의 보안 관리 방법 및 장치{METHOD AND APPARATUS FOR MANAGING SECURITY IN LARGE NETWORK ENVIRONMENT}
도 1은 본 발명의 실시예에 따른 대규모 네트워크에서 공격 유형 탐지 및 공격 상황 인지를 위한 보안 관리 장치의 구조를 도시한 블록도,
도 2는 본 발명의 실시예에 따른 보안 관리 장치의 트래픽 분류기의 내부 구조를 도시한 블록도,
도 3은 본 발명의 실시예에 따라 대규모 네트워크에서 공격 유형 탐지하여 트래픽을 분류하기 위한 과정을 도시한 흐름도.
본 발명은 네트워크 공격에 따른 보안 관리 방법 및 장치에 관한 것으로서, 특히 대규모 네트워크에서 발생하는 트래픽 정보 분류를 통해 네트워크 공격 유형을 탐지하고, 탐지된 공격 유형을 실시간으로 분석하여 공격 상황을 인지하기 위한 보안 관리 방법 및 장치에 관한 것이다.
일반적으로 네트워크 공격은 악성 트래픽들이 네트워크를 경유하여 시스템의 취약성을 공격하는 것을 말하며, 이러한 네트워크 공격 방지하기 위해서는 네트워크 공격 유형을 미리 탐지하여 침입을 차단할 필요가 있으며, 이에 따른 많은 기술들이 활발히 개발되고 있다.
이와 같은 기술들은 크게 네트워크 공격 유형 탐지 기술과 네트워크 공격상황 인지 기술로 구분할 수 있다. 상기 네트워크 공격유형 탐지 기술은 네트워크에서 현재 발생하고 있는 이상 징후가 어떠한 네트워크 공격유형에 포함되는 가를 탐지하는 기술이다. 그리고 상기 네트워크 공격 상황 인지 기술은 네트워크 내에서 수집되는 다양한 정보를 분석함으로써 네트워크 내에서 비정상적인 공격의 징후가 어느 정도 발생하고 있는지를 인지하는 기술이다.
이러한 기술들에서 기존에 알려진 방식으로는 침입탐지 시스템에 의해 발생되는 침입 탐지 경보 데이터를 분석하여 공격 상황을 인지하고, 유형을 판단하는 침입탐지 경보 분석 방식 및 방화벽에 기록되는 로그 정보를 이용하는 방식 및 라우터에서 수집된 Netflow 정보를 이용하는 방식 등 다양한 방식들이 개발되었다.
그러나 기존의 방식들은 운영자에 의한 임계값(Threshold) 설정 방법과 같은 정성적인 방법을 이용하므로 탐지 오판율이 상당히 높다. 때문에 기존 방식들은 네트워크를 경유하면서 시스템의 취약성을 공격하는 악성 트래픽들의 공격을 정확히 파악하기 어려우며, 공격 유형을 실시간으로 탐지하기 어렵다. 더욱이, 종래 기술들은 탐지된 경보 및 로그 정보를 기반으로 보안 처리를 하므로 알려지지 않은 공격에 대한 탐지는 불가능하다는 문제점이 있다.
더욱이, 기존 방식들은 관리자의 개입에 의하여 데이터베이스 질의 등의 방법을 통해 인위적으로 공격 상황을 추정하여 보안 관리를 수행하므로 이에 따른 상당한 시간과 자원 소모가 요구되는 문제점이 있다.
따라서 본 발명의 목적은 대규모 네트워크에서 발생하는 대량의 트래픽 정보로부터 실시간으로 특정 네트워크 공격 유형을 자동으로 탐지하여 분석하고, 현재의 공격 상황을 인지하기 위한 보안 관리 방법 및 장치를 제공함에 있다.
그리고 본 발명의 다른 목적은 계층적인 다중 해쉬 테이블 알고리즘을 이용하여 트래픽을 분류하여 특정 네트워크 공격 유형을 탐지하기 위한 보안 관리 방법 및 장치를 제공함에 있다.
또한, 본 발명의 다른 목적은 운영자에 의한 임계값(Threshold) 설정 없이 탐지된 결과를 통계적인 수치계산 방식을 통해 실시간으로 분석하여 현재의 공격 상황을 신속히 파악하여 인지하기 위한 보안 관리 방법 및 장치를 제공함에 있다.
상기 이러한 본 발명의 목적들을 달성하기 위한 대규모 네트워크에서의 보안 관리 방법은, 대규모 네트워크 내에 산재되어 있는 다수의 라우터로부터 수집된 트래픽 정보를 통해 공격 유형을 탐지하여 공격에 따른 보안 관리를 하기 위한 방법으로서, 상기 트래픽 정보에서 추출된 특성 정보를 이용하여 임의의 시간 간격 내에 동일한 속성을 갖는 트래픽 정보를 분류하여 실시간으로 각 공격 유형을 탐지하며, 새로운 플로우의 트래픽 정보를 입력받으면 입력된 트래픽 정보를 계층 구조를 갖는 다중 해쉬 테이블에 저장하기 위한 해쉬 키 및 해쉬엔트리를 생성하는 과정과, 상기 다중 해쉬 테이블의 각 해쉬 테이블에서 상기 생성된 해쉬 키의 존재 여부를 확인하는 과정과, 상기 해쉬 키가 존재하는 경우, 상기 입력된 트래픽 정보에 대한 발생 빈도수를 증가시키는 과정을 포함하여 상기 트래픽 정보를 분류함을 특징으로 한다.
상기 이러한 본 발명의 목적들을 달성하기 위한 대규모 네트워크에서의 보안 관리를 위한 다른 방법은, 대규모 네트워크 내에 산재되어 있는 다수의 라우터로부터 트래픽 정보를 실시간으로 수집하여 분류하는 과정과, 상기 수집된 트래픽 정보들에서 특성 정보를 추출하는 과정과, 상기 추출된 특성 정보에 따라 계층 구조를 갖는 다중 해쉬 테이블의 해쉬 키를 이용하여 임의의 시간 간격 내에 수집된 상기 트래픽 정보들을 동일한 속성을 갖는 트래픽 정보별로 재분류하는 과정과, 상기 재분류된 각 트래픽 정보의 발생 빈도를 실시간으로 측정하여 각 공격 유형을 탐지하는 과정과, 상기 탐지된 각 공격 유형별로 상기 다중 해쉬 테이블에 저장된 트래픽 정보의 집합을 이용하여 공격 상황을 인지하는 과정과, 상기 공격 상황을 통해 확인된 현재 보안 상황을 외부로 알리는 과정을 포함하는 것을 특징으로 한다.
상기 본 발명의 목적들을 달성하기 위한 대규모 네트워크에서의 보안 관리 장치는, 네트워크 내에 산재되어 있는 다수의 라우터로부터 트래픽 정보를 실시간으로 수집하고, 수집된 트래픽 정보들에서 특성 정보를 추출하는 트래픽 수신기와, 상기 추출된 특성 정보를 통해 임의의 시간 간격 내에서 동일한 속성을 갖는 트래픽 정보를 분류하고, 상기 분류된 각 트래픽 정보의 발생 빈도를 실시간으로 측정하여 각 공격 유형을 탐지하는 트래픽 분류기와, 상기 탐지된 각 공격 유형별로 이상 징후를 보이는 플로우를 탐지하고, 탐지된 각 공격 유형별 플로우에 대한 공격 상황을 분석하여 실시간으로 공격 상황을 인지하는 트래픽 분석기와, 상기 분석된 결과를 외부 장치로 보고하는 외부 인터페이스를 포함하는 것을 특징으로 한다.
이하, 본 발명의 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 우선 각 도면의 구성 요소들에 참조 부호를 부가함에 있어서, 동일한 구성 요소들에 한해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 그리고 본 발명을 설명함에 있어, 관련된 공지 기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
본 발명의 실시예에서는 대규모 네트워크에서 대량의 트래픽 정보로부터 실시간으로 공격 유형을 탐지하는 기술 및 공격 상황을 인지하는 기술을 적용하며, 이러한 상기 공격 유형 탐지 및 공격 상황 인지를 위한 보안 관리 장치에 대해 첨부된 도면을 참조하여 구체적으로 설명하기로 한다.
도 1은 본 발명의 실시예에 따른 대규모 네트워크에서 공격 유형 탐지 및 공격 상황 인지를 위한 보안 관리 장치의 구조를 도시한 블록도이다.
상기 도 1을 참조하면, 보안 관리 장치는 트래픽 수신기(110)와, 트래픽 분 류기(120)와, 트래픽 분석기(130)와, 외부 인터페이스(140)로 구성될 수 있다.
상기 트래픽 수신기(110)는 대규모 네트워크에 산재되어 있는 모든 라우터로부터 트래픽 정보(Netflow)를 온라인상에서 실시간으로 수집하고, 수집된 트래픽 정보에서 6가지의 특성 정보를 추출하여 가공한다. 여기서 상기 6가지 특성 정보는 근원지 IP 주소(Source IP Address), 목적지 IP 주소(Destination IP Address), 프로토콜(Protocol), 서비스 유형(Target Port), 패킷 카운터(Packets), 옥텟 카운터(Octets)를 의미한다.
상기 트래픽 분류기(120)는 계층적 구조를 갖는 다중 해쉬 테이블을 포함한다. 그리고 상기 트래픽 특성 정보에 포함된 상기 6가지 특성 정보를 중 4가지 항목의 값을 계층 구조를 갖는 다중 헤쉬 테이블을 이용하여 메모리상에서 실시간으로 분류하여 저장한다. 즉, 동일한 트래픽을 갖는 각각의 플로우 집합으로 분류함으로써 트래픽 통계 정보로서 저장한다.
상기 다중 해쉬 테이블은 첨부된 도 2에 도시된 바와 같이, 최상위에 SDP 해쉬 테이블(SDP Hash Table)(201)을 포함하고, 상기 SDP 해쉬 테이블(210)의 하위에 SD 해쉬 테이블(SD Hash Table)(202)과, SP 해쉬 테이블(SP Hash Table)과, DP 해쉬 테이블(DP Hash Table)(204)이 연결될 수 있다. 그리고 상기 중간의 해쉬 테이블들(202 내지 204)의 하위에는 각각 SD-S 및 SD-D 해쉬 테이블(205, 206)과, SP-S 및 SP-P 해쉬 테이블(207 내지 208)과, DP-D 및 DP-P 해쉬 테이블(209, 210)이 연결될 수 있다.
상기 트래픽 분석기(130)는 상기 트래픽 분류기(120)로부터 트래픽 통계 정 보를 전달받고 이를 통해 각 공격 유형별로 이상 징후를 보이는 플로우들을 탐지하고, 탐지된 각 공격 유형별 플로우에 대한 세부적인 공격 상황을 분석함으로써, 공격 상황을 인지한다. 그리고 상기 트래픽 분석기(130)는 관련 통계 정보를 추출한 후 외부 인터페이스(140)로 분석 결과를 전달 즉, 공격 유형 및 공격 상황을 외부 장치로 보고한다.
상기 외부 인터페이스(140)는 외부 장치와 연결하여 상기 보고된 공격 상황에 따라 현재 보안 상황을 상기 외부 장치로 알린다.
이와 같은 구조를 갖는 대규모 네트워크의 보안 관리 장치에서 공격 유형 탐지 및 공격 상황 인지를 위한 보안 관리 방법에 대해 첨부된 도면을 참조하여 구체적으로 설명하기로 한다.
상기 트래픽 수신기(110)는 대규모 네트워크에 산재되어 있는 라우터들로부터 트래픽 정보를 수집하고, 수집된 트래픽 정보에서 6가지 특성 정보를 추출하여 가공한 후 가공된 트래픽 특성 정보를 트래픽 분류기(120)로 전달한다.
그러면 상기 트래픽 분류기(120)는 상기 트래픽 분류기(120)로부터 전달받은 가공된 트래픽 특성 정보를 이용하여 임의의 시간 간격 내에 동일한 속성을 갖는 트래픽 정보를 분류하고, 각 트래픽 정보의 발생 빈도를 실시간으로 측정함으로써 현재 네트워크에서 발생하고 있는 악의적인 공격 유형을 탐지한다. 그런 다음 상기 트래픽 분류기(120)는 상기 탐지된 공격 유형에 따른 트래픽 통계 정보를 상기 트래픽 분석기(130)로 전달한다. 여기서 상기 트래픽 정보 분류는 계층적 구조를 갖 는 해쉬 테이블을 이용하여 분류하며, 구체적인 분류 과정은 첨부된 도 3을 참조하여 후술하기로 한다.
이에 따라 상기 트래픽 분석기(130)는 상기 다중 해쉬 테이블에 실시간으로 저장되는 상기 트래픽 통계 정보를 통해 공격 상황을 수직적으로 평가 및 분석함으로써 네트워크 보안 상황을 정량적으로 인지한다. 이후, 상기 트래픽 분석기(120)는 상기 분석된 공격 상황을 외부 인터페이스(140)로 보고하고, 외부 인터페이스(140)를 통해 상기 공격 상황에 따른 현재 네트워크 보안 상황을 연결된 외부 장치로 알린다.
이와 같은 공격 유형 탐지 및 공격 상황 인지를 통한 보안 관리 방법에서 상기 네트워크 공격 유형과 각 공격 유형이 갖는 트래픽 특성은 하기 <표 1>과 같이 설정되며, 이에 대해 구체적으로 설명하기로 한다.
공격명 근원지 IP 주소 목적지 IP 주소 프로토콜 목적지 포트 설명
DoS 동일 동일 동일 동일 특정 공격자가 특정 대상에 대해 동일 공격을 반복적으로 시도하고 있는 상황
DDoS - 동일 동일 동일 다수의 공격자가 특정 대상의 특정 서비스에 대해 동일한 공격을 반복적으로 시도하고 있는 상황
Port Scanning 동일 동일 - - 특정 공격자가 특정 대상에 대해 다수의 서비스에 대한 공격을 시도하고 있는 상황
Warm Propagation 동일 - 동일 동일 특정 공격자(Warm)가 다수의 대상에 대해 동일 공격을 반복적으로 시도(웜 전파)하고 있는 상황
상기 <표 1>에서와 같이 네트워크 공격 유형은 'DoS', 'DDoS', 'Port Scanning', 'Warm Propagation' 등 4가지로 구분될 수 있다. 상기 'DoS'는 특정 공격자가 특정 대상에 대해 동일 공격을 반복적으로 시도하고 있는 상황을 의미하며, 상기 'DDoS'는 다수의 공격자가 특정 대상의 특정 서비스에 대해 동일한 공격을 반복적으로 시도하고 있는 상황을 의미한다. 그리고 'Port Scanning'은 특정 공격자가 특정 대상의 다수의 포트를 스캐닝(호스트 스캐닝)하고 있는 상황을 의미하며, 'Warm Propagation'은 특정 공격자(Warm)가 다수의 대상에 대해 동일 공격을 반복적으로 시도함으로서 Warm이 전파되고 있는 상황을 의미한다.
상기 설정된 트래픽 특성에 따라 본 발명의 실시예에서는 동일한 특성을 갖는 트래픽이 네트워크에서 얼마나 빈번하게 발생하는가를 실시간으로 측정하여 공격 유형을 탐지할 수 있다. 예를 들어, 특정 공격자가 특정 호스트의 동일한 서비스 유형에 대해 비정상적으로 반복적인 접속을 시도한다면, 이러한 경우에는 상기 <표 1>에서 설정한 트래픽 특성에 따라 탐지될 수 있다. 즉, 임의의 단위 시간 동안에 발생한 모든 트래픽 정보(Netflow)를 동일한 특성을 갖는 트래픽 정보별로 재분류하여 재분류된 트래픽 정보 각각에 대한 발생 빈도를 측정함으로써 공격 유형 탐지할 수 있다.
그러면 이와 같은 트래픽 특성에 따른 공격 유형의 탐지에 따라 트래픽 플로우를 분류하는 과정을 첨부된 도면을 참조하여 구체적으로 설명하기로 한다.
도 3은 본 발명의 실시예에 따라 대규모 네트워크에서 공격 유형을 탐지하여 트래픽을 분류하기 위한 과정을 도시한 흐름도이다.
상기 도 3을 참조하면, 301단계에서 상기 트래픽 분류기(120)는 트래픽 수신기(110)로부터 새로운 플로우(Netflow) 정보 즉, 트래픽 정보를 입력받고, 302단계에서 상기 <표 1>에 따른 상기 트래픽 특성을 이용하여 해쉬 키를 생성한다. 이때, 상기 입력된 트래픽 정보는 상기 트래픽 분류기(120)에 포함된 다중 해쉬 테이블의 최상위 해쉬 테이블(201)로 가장 먼저 입력된다. 따라서 상기 최상위 해쉬 테이블(201)은 입력된 트래픽 정보를 각 해쉬 테이블에 저장하기 위해 하나의 해쉬 키와 해쉬 엔트리를 생성한다. 이러한 해쉬 키 생성 시 각 해쉬 테이블은 해당 속성들을 이용하여 상기 해쉬 키를 생성하고, 이때, 사용되는 각 해쉬 테이블에 따른 속성들의 분류는 하기 <표 2>와 같으며, 해쉬 엔트리 속성은 하기 <표 3>과 같다.
Figure 112006081081334-pat00001
상기 <표 2>에서, 상기 각 해쉬 테이블들 중 최상위 해쉬 테이블인 SDP 해쉬 테이블(201)은 근원지 IP 주소, 목적지 IP 주소, 프로토콜, 목적지 포트가 동일한 플로우로 분류된다.
중간 해쉬 테이블들 중 SD 해쉬 테이블(202)은 근원지 IP 주소, 목적지 IP 주소가 동일하고 프로토콜 및 목적지 포트가 상이한 플로우로 분류되고, SP 해쉬 테이블(203)은 근원지 IP 주소, 프로토콜, 목적지 포트가 동일하고, 목적지 IP 주소가 상이한 플로우로 분류되며, DP 해쉬 테이블(204)은 목적지 IP 주소, 프로토콜, 목적지 포트가 동일하고, 근원지 IP 주소가 상이한 플로우로 분류된다.
하위 해쉬 테이블들 중 SD-S 해쉬 테이블(205)은 상기 SD 해쉬 테이블(202)에 저장된 플로우 중에 근원지 IP 주소가 동일하고, 목적지 IP 주소가 상이한 플로우로 분류되고, SD-D 해쉬 테이블(206)은 상기 SD 해쉬 테이블(202)에 저장된 플로우 중에 목적지 IP 주소가 동일하고, 근원지 IP 주소가 상이한 플로우로 분류된다. 그리고 SP-S 해쉬 테이블(207)은 상기 SP 해쉬 테이블(203)에 저장된 플로우 중에 근원지 IP 주소가 동일하고, 목적지 포트가 상이한 플로우로 분류되고, SP-D 해쉬 테이블(208)은 상기 SP 해쉬 테이블(203)에 저장된 플로우 중에 프로토콜, 목적지 포트가 동일하고, 근원지 IP 주소가 상이한 플로우로 분류된다. 또한, DP-D 해쉬 테이블(209)은 DP 해쉬 테이블(204)에 저장된 플로우 중에 목적지 IP 주소가 동일하고 프로토콜, 목적지 포트가 상이한 플로우로 분류되며, DP-P 해쉬 테이블(210)은 DP 해쉬 테이블(204)에 저장된 플로우 중에 프로토콜, 목적지 포트가 동일하고 목적지 IP 주소가 상이한 플로우로 분류된다.
Figure 112006081081334-pat00002
상기 <표 3>에서 각 해쉬 테이블에 따라 분류된 해쉬엔트리 속성들은 근원지 IP 주소(Source IP Address), 목적지 IP 주소(Target IP Address), 목적지 포트(Target Port), 프로토콜(Protocol), 플로우 카운터(Counter), 패킷 카운터(Packets), 옥텟 카운터(Octets) 등이다.
다시 도 3을 참조하면, 303단계에서 상기 트래픽 분류기(120)는 각 해쉬 테이블을 검색하여 생성된 해쉬 키가 존재하는지를 확인한다. 확인결과, 해쉬 키가 존재하면, 304단계에서 상기 트래픽 분류기(120)는 상기 생성된 해쉬 키가 존재하는 해쉬 테이블에 대해 해당 해쉬 엔트리 속성 값 중 상기 카운터(Counter) 값을 1만큼 증가시키고, 305단계에서 상기 Packets 및 Octets 값에 자신의 현재 카운터(Counter) 값을 더한 후 301단계로 진행한다. 이러한 과정에서 상기 해쉬 키가 존재한다는 의미는 동일한 속성을 갖는 플로우(Netflow) 정보가 이미 해쉬 테이블 내에 분류되어 있음을 의미하기 때문에 새로운 플로우 분류는 발생시키지 않고 발생 빈도수만 증가시키는 것이다.
반면, 303단계에서 확인한 결과, 해쉬 테이블들 내에 해쉬 키가 존재하지 않는 경우, 306단계에서 상기 트래픽 분류기(120)는 새로운 해쉬 엔트리를 생성하고, 307단계에서 상기 생성된 해쉬 엔트리를 상기 해쉬 키가 존재하는 해당 해쉬 테이블에 등록 및 저장한다. 그런 다음 308단계에서 상기 트래픽 분류기(120)는 상기 해쉬 엔트리를 등록한 해쉬 테이블의 하위 해쉬 테이블에 상기 트래픽 수신기(101)로부터 수신된 플로우(Netflow) 정보를 전달한 후 동작을 종료한다. 여기서 상기 전달되는 플로우 정보는 예를 들어 상기 도 2를 참조하면, 최상위 해쉬 테이블(SDP HashTable)(201)에서 중간 해쉬 테이블들인 SD 해쉬 테이블(202), SP 해쉬 테이블(203), DP 해쉬 테이블(204)로 정보를 전달하게 된다. 이러한 플로우 정보를 전달받은 중간 해쉬 테이블들(202 내지 204)은 해당하는 해쉬 키를 생성한 후 상기 도 3의 과정과 동일한 과정들을 수행한다.
이와 같은 상기 각 해쉬 테이블들에서의 해쉬 키 생성에 대한 일예는 하기 <표 4>와 같다.
Figure 112006081081334-pat00003
상기 <표 4>를 참조하여 상기 해쉬 키는 각 해쉬 테이블에서 분류된 속성들을 사용하여 생성하는데, 이러한 각 해쉬 테이블에 따른 해쉬엔트리 속성 분류에 대해 살펴보기로 한다.
SDP 해쉬 테이블(201)은 근원지 IP 주소, 목적지 IP 주소, 프로토콜, 목적지 포트 등의 모든 속성들을 사용한다.
그리고 SD 해쉬 테이블(202)은 근원지 IP 주소, 목적지 IP 주소를 사용하고, SP 해쉬 테이블(203)은 근원지 IP 주소, 프로토콜, 목적지 포트를 사용하며, DP 해쉬 테이블(204)은 목적지 IP 주소, 프로토콜, 목적지 포트를 사용한다.
또한, SD-S 해쉬 테이블(205) 및 SP-S 해쉬 테이블(207)은 근원지 IP 주소를, SP-D 해쉬 테이블(206) 및 DP-D 해쉬 테이블(209)은 목적지 IP 주소를, SP-P 해쉬 테이블(208) 및 DP-P 해쉬 테이블(210)은 프로토콜, 목적지 포트를 사용한다.
상술한 바와 같이 상기 트래픽 분류기(120)는 계층적 구조를 갖는 다중 해쉬 테이블(200)의 동작에 따라 각 해쉬 테이블(201 내지 210)에 분류된 플로우 정보들을 특정 조건으로 세부 분류한다. 예를 들어 상기 중간 해쉬 테이블인 SD 해쉬 테이블(202)은 최상위 SDP 해쉬 테이블(201)에서 분류된 플로우 정보를 대상으로 상기 <표 1>과 같이 특성 정보에 따라 재분류된다. 즉, 근원지 IP 주소 및 목적지 IP 주소 정보는 동일하지만, 서비스 유형(프로토콜, 목적지 포트) 정보는 상이한 플로우로 재분류한다.
그런 다음 상기 트래픽 분류기(120)는 재분류된 SD 해쉬 테이블(202)의 해쉬 키를 확인하여 해쉬엔트리의 속성 값인 카운터(Counter) 값을 갱신하게 된다. 여기서 상기 SD 해쉬 테이블(202)에 저장된 해쉬엔트리의 카운터 값의 의미는 해당 플로우의 서비스유형의 범위 즉, 포트 스캔(Port Scanning) 공격에 의해 스캐닝된 포트 수를 나타낸다. 이러한 해쉬엔트리 내의 카운트 속성의 의미를 각 해쉬 테이블에 구분하여 나타내면 하기 <표 5>와 같다.
Figure 112006081081334-pat00004
상기 <표 5>를 참조하면, SDP 해쉬 테이블(201)은 DoS 공격수를 의미하고, SD 해쉬 테이블(202)은 상술한 예시와 같은 의미이며, SP 해쉬 테이블(203)은 웜이 전파되는 호스트 수를, DP 해쉬 테이블(204)은 DoS 공격을 시도하고 있는 호스트 수를 의미한다.
SD-S 해쉬 테이블(205)은 포트 스캔 공격 호스트가 공격을 시도한 피해 호스트 수를, SD-D 해쉬 테이블(206)은 특정 피해 호스트에 대해 포트스캔 공격을 시도하고 있는 공격 호스트 수를 의미한다.
SP-S 해쉬 테이블(207)은 웜 전파 호스트가 공격을 시도한 서비스 포트 수를, SP-P 해쉬 테이블(208)은 특정 서비스 포트에 웜 전파를 시도하고 있는 공격 호스트 수를 의미한다.
DP-D 해쉬 테이블(209)은 특정 호스트에 대하여 시도되고 있는 DDoS 공격의 종류를, DP-P 해쉬 테이블(210)은 특정 DDoS 공격이 시도되고 있는 피해 호스트 수를 의미한다.
한편, 상기 도 3에 도시된 바와 같이 분류된 트래픽 통계 정보를 제공받은 트래픽 분석기(130)는 탐지된 공격 유형별로 이상 징후를 보이는 플로우들을 탐지하고, 탐지된 각 공격 유형별 플로우에 대한 세부적인 공격상황을 평가 및 분석한다.
이와 같은 과정을 구체적으로 살펴보면, 상기 트래픽 분석기(130)는 지정된 단위 시간이 초과되면, 상위 4개의 해쉬 테이블(SDP, SD, SP, DP 해쉬 테이블)(201 내지 204)에 대한 이상 징후 평가를 수행한다. 이를 위해 상기 트래픽 분석기(130)는 각 해쉬 테이블 내에 저장되어 있는 해쉬엔트리의 속성 값인 카운트 값들을 대상으로 분산 및 표준편차를 계산한 후 각 해쉬엔트리의 카운터 값이 계산된 표준편차를 크게 벗어나는 해쉬 엔트리를 추출한다. 이는 일반적으로 이상 징후를 나태는 비정상적인 트래픽이 표준편차를 크게 벗어나는 것을 이용한 것임에 유의하여야 한다. 따라서 상기 트래픽 분석기(130)는 각 해쉬 테이블 내에서 이러한 해쉬 엔트리를 검색함으로써 각 공격 유형별로 이상 징후를 보이는 플로우들을 탐지한다.
또한, 상기 트래픽 분석기(130)는 상기 세부적인 공격 상황을 조사하기 위해 상기 다중 해쉬 테이블의 가장 하위에 위치한 6개의 하위 해쉬 테이블(205 내지 210)을 이용하여 관련 통계 정보를 추출하여 분석한 후 외부 인터페이스(140)를 통해 분석된 결과를 전달한다.
상술한 바와 같은 계층적 테이블 동작 방식은 각 해쉬 테이블에 분류된 플로우 정보들을 특정 조건으로 세부 분류하는 효과를 갖으며, 이렇게 세부 분류된 각 해쉬 테이블에 저장되는 해쉬엔트리의 플로우 카운터 속성 값은 해당 플로우의 서비스유형의 범위를 나타낸다. 따라서 본 발명의 실시예에서는 이러한 방식을 이용함으로써 각 유형(해쉬 테이블)간의 정보의 중복을 완전히 배제시킬 수 있어 정확한 공격유형 탐지가 가능해진다.
더욱이, 본 발명의 실시예에 따른 분류 방식은 기존의 데이터베이스 질의 등의 방법을 통해 수행함에 따른 상당한 시간과 자원 소모가 요구되는 문제점을 해결함으로써, 기존의 데이터베이스를 이용한 방법에서 제공하지 못했던 실시간 탐지를 가능하게 한다.
또한, 기존에는 운영자에 의해 임계값(Threshold) 설정 방법과 같은 정성적인 방법을 이용하는 데 반해, 본 발명의 실시예에서는 통계적 수치계산을 이용한 정량적인 방법을 사용하기 때문에 탐지 오판율을 줄이고 모든 과정을 자동화가 가능하며, 알려지지 않은 미지의 공격 유형 및 상황까지도 분류하고, 인지할 수 있게 된다.
한편, 본 발명의 상세한 설명에서는 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 안되며 후술하는 발명청구의 범위뿐만 아니라 이 발명청구의 범위와 균등한 것들에 의해 정해져야 한다.
상술한 바와 같이 본 발명은 실시간으로 수집한 네트워크상의 트래픽 정보를 계층 구조를 갖는 다중 해쉬 테이블을 이용하여 동일 특성을 갖는 플로우별로 분류하여 네트워크 공격유형을 탐지하고, 수집된 관련 통계 정보를 분석함으로써 공격 상황을 인지함에 따라 원활한 네트워크 보안 관리를 수행할 수 있는 효과가 있다.
또한, 본 발명은 계층적 해쉬 테이블 동작 방식을 통해 공격 유형 간의 정보 중복을 완전히 배제시킬 수 있으므로 보다 정확하게 실시간으로 공격유형 탐지할 수 있으며, 탐지 오판율을 줄이고, 자동화할 수 있는 효과가 있다.

Claims (23)

  1. 대규모 네트워크 내에 산재되어 있는 다수의 라우터로부터 수집된 트래픽 정보를 통해 공격 유형을 탐지하여 공격에 따른 보안 관리를 하기 위한 방법에 있어서,
    상기 트래픽 정보에서 추출된 특성 정보를 이용하여 임의의 시간 간격 내에 동일한 속성을 갖는 트래픽 정보를 분류하여 실시간으로 각 공격 유형을 탐지하며,
    새로운 플로우의 트래픽 정보를 입력받으면 입력된 트래픽 정보를 계층 구조를 갖는 다중 해쉬 테이블에 저장하기 위한 해쉬 키 및 해쉬엔트리를 생성하는 과정과,
    상기 다중 해쉬 테이블의 각 해쉬 테이블에서 상기 생성된 해쉬 키의 존재 여부를 확인하는 과정과,
    상기 해쉬 키가 존재하는 경우, 상기 입력된 트래픽 정보에 대한 발생 빈도수를 증가시키는 과정을 포함하여 상기 트래픽 정보를 분류함을 특징으로 하는 대규모 네트워크에서의 보안 관리 방법.
  2. 제1항에 있어서, 상기 동일한 속성을 갖는 트래픽 정보를 분류하는 단계는,
    상기 해쉬 키가 존재하지 않는 경우, 새로운 해쉬엔트리를 생성하는 단계와,
    상기 생성된 새로운 해쉬 엔트리를 등록하여 하위 해쉬 테이블에 상기 입력 된 트래픽 정보의 플로우 정보를 전달하는 단계를 더 포함하는 것을 특징으로 하는 대규모 네트워크에서의 보안 관리 방법.
  3. 제1항에 있어서,
    상기 입력된 트래픽 정보에 대한 발생 빈도수는 해당 해쉬 테이블 내의 해쉬 엔트리 속성 값을 1만큼 증가시키고, 상기 특성 정보 중 패킷(Packets) 및 옥텟(Octets) 속성 값에 상기 해쉬 엔트리 속성 값을 더하여 증가시킴을 특징으로 하는 대규모 네트워크에서의 보안 관리 방법.
  4. 제1항에 있어서,
    상기 해쉬 키는 근원지 IP 주소, 목적지 IP 주소, 프로토콜 및 목적지 포트를 이용한 속성들을 분류하여 생성함을 특징으로 하는 대규모 네트워크에서의 보안 관리 방법.
  5. 제1항에 있어서,
    상기 해쉬 엔트리는 근원지 IP 주소, 목적지 IP 주소, 목적지 포트, 프로토콜, 플로우 카운터, 패킷 카운터 및 옥텟 카운터의 속성을 포함함을 특징으로 하는 대규모 네트워크에서의 보안 관리 방법.
  6. 대규모 네트워크 내에 산재되어 있는 다수의 라우터로부터 트래픽 정보를 실시간으로 수집하여 분류하는 과정과,
    상기 수집된 트래픽 정보들에서 특성 정보를 추출하는 과정과,
    상기 추출된 특성 정보에 따라 계층 구조를 갖는 다중 해쉬 테이블의 해쉬 키를 이용하여 임의의 시간 간격 내에 수집된 상기 트래픽 정보들을 동일한 속성을 갖는 트래픽 정보별로 재분류하는 과정과,
    상기 재분류된 각 트래픽 정보의 발생 빈도를 실시간으로 측정하여 각 공격 유형을 탐지하는 과정과,
    상기 탐지된 각 공격 유형별로 상기 다중 해쉬 테이블에 저장된 트래픽 정보의 집합을 이용하여 공격 상황을 인지하는 과정과,
    상기 공격 상황을 통해 확인된 현재 보안 상황을 외부로 알리는 과정을 포함하는 것을 특징으로 하는 대규모 네트워크에서의 보안 관리 방법.
  7. 제6항에 있어서, 상기 동일한 속성을 갖는 트래픽 정보별로 재분류하는 과정은,
    새로운 플로우의 트래픽 정보를 입력받으면 입력된 트래픽 정보를 상기 다중 해쉬 테이블에 저장하기 위한 해쉬 키 및 해쉬엔트리를 생성하는 단계와,
    각 해쉬 테이블에 상기 생성된 해쉬 키의 존재 여부를 확인하는 단계와,
    상기 해쉬 키가 존재하는 경우, 상기 입력된 트래픽 정보에 대한 발생 빈도수를 증가시키는 단계를 포함하는 것을 특징으로 하는 대규모 네트워크에서의 보안 관리 방법.
  8. 제7항에 있어서, 상기 동일한 속성을 갖는 트래픽 정보별로 재분류하는 과정은,
    상기 해쉬 키가 존재하지 않는 경우, 새로운 해쉬엔트리를 생성하는 단계와,
    상기 생성된 새로운 해쉬엔트리를 등록하여 하위 해쉬 테이블에 상기 입력된 트래픽 정보의 플로우 정보를 전달하는 단계를 더 포함하는 것을 특징으로 하는 대규모 네트워크에서의 보안 관리 방법.
  9. 제7항에 있어서,
    상기 입력된 트래픽 정보에 대한 발생 빈도수는 해당 해쉬 테이블 내의 해쉬 엔트리 속성 값을 1만큼 증가시키고, 상기 특성 정보 중 패킷(Packets) 및 옥텟(Octets) 속성 값에 상기 해쉬 엔트리 속성 값을 더하여 증가시킴을 특징으로 하는 대규모 네트워크에서의 보안 관리 방법.
  10. 제7항에 있어서,
    상기 해쉬 키는 근원지 IP 주소, 목적지 IP 주소, 프로토콜 및 목적지 포트를 이용한 속성들을 분류하여 생성함을 특징으로 하는 대규모 네트워크에서의 보안 관리 방법.
  11. 제7항에 있어서,
    상기 해쉬 엔트리는 근원지 IP 주소, 목적지 IP 주소, 목적지 포트, 프로토콜, 플로우 카운터, 패킷 카운터 및 옥텟 카운터의 속성을 포함함을 특징으로 하는 대규모 네트워크에서의 보안 관리 방법.
  12. 제6항에 있어서, 상기 트래픽 정보의 집합을 이용하여 공격 상황을 인지하는 과정은,
    상기 탐지된 각 공격 유형별로 이상 징후의 플로우를 탐지하는 단계와,
    상기 트래픽 정보 집합을 이용하여 상기 탐지된 각 공격 유형별 플로우에 대한 세부적인 공격 상황을 분석하는 단계를 포함하는 것을 특징으로 하는 대규모 네트워크에서의 보안 관리 방법.
  13. 제12항에 있어서, 상기 탐지된 각 공격 유형별로 이상 징후의 플로우를 탐지하는 단계는,
    상기 다중 해쉬 테이블의 각 해쉬 테이블 내에 저장된 해쉬엔트리의 카운터 값을 대상으로 분산 및 표준편차를 계산하는 단계와,
    상기 각 해쉬 엔트리의 카운터 값이 상기 계산된 표준편차를 벗어나는 해쉬엔트리를 추출하는 단계를 포함하는 것을 특징으로 하는 대규모 네트워크에서의 보안 관리 방법.
  14. 제12항에 있어서,
    상기 트래픽 정보 집합은 상기 다중 해쉬 테이블에서 최하위 해쉬 테이블로부터 추출됨을 특징으로 하는 대규모 네트워크에서의 보안 관리 방법.
  15. 대규모 네트워크 내에 산재되어 있는 다수의 라우터로부터 트래픽 정보를 실시간으로 수집하고, 수집된 트래픽 정보들에서 특성 정보를 추출하는 트래픽 수신기와,
    상기 추출된 특성 정보를 통해 임의의 시간 간격 내에서 동일한 속성을 갖는 트래픽 정보를 분류하고, 상기 분류된 각 트래픽 정보의 발생 빈도를 실시간으로 측정하여 각 공격 유형을 탐지하는 트래픽 분류기와,
    상기 탐지된 각 공격 유형별로 이상 징후를 보이는 플로우를 탐지하고, 탐지된 각 공격 유형별 플로우에 대한 공격 상황을 분석하여 실시간으로 공격 상황을 인지하는 트래픽 분석기와,
    상기 분석된 결과를 외부 장치로 보고하는 외부 인터페이스를 포함하는 대규모 네트워크에서의 보안 관리 장치.
  16. 제15항에 있어서,
    상기 트래픽 분류기는, 계층적 구조를 갖는 다중 해쉬 테이블을 포함하며, 상기 다중 해쉬 테이블에 상기 분류된 각 트래픽 정보 및 상기 측정된 각 트래픽 정보의 발생 빈도에 따른 트래픽 통계 정보를 저장하고, 상기 트래픽 통계 정보를 상기 트래픽 분석기로 제공함을 특징으로 하는 대규모 네트워크에서의 보안 관리 장치.
  17. 제16항에 있어서,
    상기 트래픽 분류기는 새로운 플로우의 트래픽 정보를 입력되면, 입력된 트래픽 정보를 상기 다중 해쉬 테이블에 저장하기 위한 해쉬 키 및 해쉬엔트리를 생 성하고, 각 해쉬 테이블에 상기 생성된 해쉬 키의 존재 여부를 확인하여 상기 해쉬 키가 존재하는 경우, 상기 입력된 트래픽 정보에 대한 발생 빈도수를 증가시킴을 특징으로 하는 대규모 네트워크에서의 보안 관리 장치.
  18. 제17항에 있어서,
    상기 트래픽 분류기는 상기 해쉬 키가 존재하지 않는 경우, 새로운 해쉬엔트리를 생성하여 등록하고, 하위 해쉬 테이블에 상기 입력된 트래픽 정보의 플로우 정보를 전달함을 특징으로 하는 대규모 네트워크에서의 보안 관리 장치.
  19. 제17항에 있어서,
    상기 입력된 트래픽 정보에 대한 발생 빈도수는 해당 해쉬 테이블 내의 해쉬 엔트리 속성 값을 1만큼 증가시키고, 상기 특성 정보 중 패킷(Packets) 및 옥텟(Octets) 속성 값에 상기 해쉬 엔트리 속성 값을 더하여 증가시킴을 특징으로 하는 대규모 네트워크에서의 보안 관리 장치.
  20. 제17항에 있어서,
    상기 해쉬 키는 근원지 IP 주소, 목적지 IP 주소, 프로토콜 및 목적지 포트 를 이용한 속성들을 분류하여 생성함을 특징으로 하는 대규모 네트워크에서의 보안 관리 장치.
  21. 제17항에 있어서,
    상기 해쉬 엔트리는 근원지 IP 주소, 목적지 IP 주소, 목적지 포트, 프로토콜, 플로우 카운터, 패킷 카운터 및 옥텟 카운터의 속성을 포함함을 특징으로 하는 대규모 네트워크에서의 보안 관리 장치.
  22. 제16항에 있어서,
    상기 트래픽 분석기는, 상기 다중 해쉬 테이블의 각 해쉬 테이블 내에 저장된 해쉬엔트리의 카운터 값을 대상으로 분산 및 표준편차를 계산하고, 상기 각 해쉬 엔트리의 카운터 값이 상기 계산된 표준편차를 벗어나는 해쉬엔트리를 추출하고, 추출된 해쉬엔트리를 이용하여 상기 탐지된 각 공격 유형별로 이상 징후의 플로우를 탐지함을 특징으로 하는 대규모 네트워크에서의 보안 관리 장치.
  23. 제22항에 있어서,
    상기 트래픽 분석기는, 상기 다중 해쉬 테이블의 최하위 해쉬 테이블에서 상기 트래픽 통계 정보를 추출하고, 추출된 트래픽 통계 정보를 이용하여 상기 탐지된 이상 징후 플로우에 대한 세부적인 공격 상황을 분석함을 특징으로 하는 대규모 네트워크에서의 보안 관리 장치.
KR1020060108893A 2006-11-06 2006-11-06 대규모 네트워크에서의 보안 관리 방법 및 장치 KR100832536B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060108893A KR100832536B1 (ko) 2006-11-06 2006-11-06 대규모 네트워크에서의 보안 관리 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060108893A KR100832536B1 (ko) 2006-11-06 2006-11-06 대규모 네트워크에서의 보안 관리 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20080040921A KR20080040921A (ko) 2008-05-09
KR100832536B1 true KR100832536B1 (ko) 2008-05-27

Family

ID=39648338

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060108893A KR100832536B1 (ko) 2006-11-06 2006-11-06 대규모 네트워크에서의 보안 관리 방법 및 장치

Country Status (1)

Country Link
KR (1) KR100832536B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101231966B1 (ko) * 2010-04-19 2013-02-08 에스2정보 주식회사 장애 방지 서버 및 방법
KR101518233B1 (ko) * 2014-03-31 2015-05-12 순천향대학교 산학협력단 기업 내부 전산환경의 위협탐지를 위한 보안 장치

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020024508A (ko) * 2000-09-25 2002-03-30 김병기 네트워크 침입탐지를 위한 비정상행위 탐지기법
KR20030091888A (ko) * 2003-11-12 2003-12-03 이동범 네트워크 인프라 장애 방지 시스템 및 방법
KR20040057177A (ko) * 2002-12-24 2004-07-02 한국전자통신연구원 슬라이딩 윈도우 캐쉬 구조와 이를 이용한 네트워크공격상황의 데이터 기록 및 분석 방법
KR20050061745A (ko) * 2003-12-18 2005-06-23 한국전자통신연구원 네트워크 공격상황 분석 방법
KR20060063342A (ko) * 2004-12-07 2006-06-12 한국전자통신연구원 알려지지 않은 네트워크 공격에 대한 실시간 공격 패턴검출 시스템 및 그 방법
KR20060062298A (ko) * 2004-12-03 2006-06-12 한국전자통신연구원 네트워크 공격 상황 탐지 장치 및 그 방법

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020024508A (ko) * 2000-09-25 2002-03-30 김병기 네트워크 침입탐지를 위한 비정상행위 탐지기법
KR20040057177A (ko) * 2002-12-24 2004-07-02 한국전자통신연구원 슬라이딩 윈도우 캐쉬 구조와 이를 이용한 네트워크공격상황의 데이터 기록 및 분석 방법
KR20030091888A (ko) * 2003-11-12 2003-12-03 이동범 네트워크 인프라 장애 방지 시스템 및 방법
KR20050061745A (ko) * 2003-12-18 2005-06-23 한국전자통신연구원 네트워크 공격상황 분석 방법
KR20060062298A (ko) * 2004-12-03 2006-06-12 한국전자통신연구원 네트워크 공격 상황 탐지 장치 및 그 방법
KR20060063342A (ko) * 2004-12-07 2006-06-12 한국전자통신연구원 알려지지 않은 네트워크 공격에 대한 실시간 공격 패턴검출 시스템 및 그 방법

Also Published As

Publication number Publication date
KR20080040921A (ko) 2008-05-09

Similar Documents

Publication Publication Date Title
CN108289088B (zh) 基于业务模型的异常流量检测***及方法
EP2953298B1 (en) Log analysis device, information processing method and program
US7752665B1 (en) Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory
CN106027559B (zh) 基于网络会话统计特征的大规模网络扫描检测方法
JP4677569B2 (ja) ネットワーク異常検知方法およびネットワーク異常検知システム
US9386036B2 (en) Method for detecting and preventing a DDoS attack using cloud computing, and server
CN108632224B (zh) 一种apt攻击检测方法和装置
US10061922B2 (en) System and method for malware detection
Kuznetsov et al. The statistical analysis of a network traffic for the intrusion detection and prevention systems
CN109361673B (zh) 基于流量数据样本统计和平衡信息熵估计的网络异常检测方法
CN109587179A (zh) 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法
US20090282478A1 (en) Method and apparatus for processing network attack
US20070226803A1 (en) System and method for detecting internet worm traffics through classification of traffic characteristics by types
CN104135474B (zh) 基于主机出入度的网络异常行为检测方法
US20050108377A1 (en) Method for detecting abnormal traffic at network level using statistical analysis
CN102487339A (zh) 一种网络设备攻击防范方法及装置
US20080144523A1 (en) Traffic Monitoring Apparatus, Entry Managing Apparatus, and Network System
CN107209834B (zh) 恶意通信模式提取装置及其***和方法、记录介质
CN106534068B (zh) 一种ddos防御***中清洗伪造源ip的方法和装置
JP2006148686A (ja) 通信監視システム
JP4324189B2 (ja) 異常トラヒック検出方法およびその装置およびプログラム
CN102970309B (zh) 僵尸主机的检测方法、检测装置及防火墙
US8775613B2 (en) Method and system for providing network monitoring, security event collection apparatus and service abnormality detection apparatus for network monitoring
CN110061998B (zh) 一种攻击防御方法及装置
KR100745678B1 (ko) 트래픽 패턴 분석에 의한 망 공격 탐지장치 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110511

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee