KR20030049853A - system for protecting of network and operation method thereof - Google Patents
system for protecting of network and operation method thereof Download PDFInfo
- Publication number
- KR20030049853A KR20030049853A KR1020010080182A KR20010080182A KR20030049853A KR 20030049853 A KR20030049853 A KR 20030049853A KR 1020010080182 A KR1020010080182 A KR 1020010080182A KR 20010080182 A KR20010080182 A KR 20010080182A KR 20030049853 A KR20030049853 A KR 20030049853A
- Authority
- KR
- South Korea
- Prior art keywords
- data packet
- processor
- data
- kernel
- memory database
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
본 발명은 온라인 상에서 특정 네트워크 내부로의 비정상적인 침입을 방지할수 있도록 함과 더불어 해당 네트워크 내부의 컴퓨터 시스템을 이용한 비정상적인 사용, 오용, 남용 등을 방지할 수 있도록 한 시스템 및 이의 운영 방법에 관한 것이다.The present invention relates to a system and a method of operating the same, to prevent abnormal intrusion into a specific network online and to prevent abnormal use, misuse, abuse, etc. using a computer system inside the network.
현재, 인터넷(internet) 환경의 급격한 발달로 인해 각 개인은 필요로하는 정보를 인터넷 환경 내에서 자유롭게 취득하거나 전송할 수 있게 되었고, 각 기업체에서도 원거리 상에 위치되어 있다 하더라도 상기한 인터넷을 통해 각종 자료의 공유가 가능하게 되었다.At present, due to the rapid development of the Internet environment, each individual can freely acquire or transmit the necessary information within the Internet environment, and even if each enterprise is located at a long distance, the various data can be obtained through the Internet. Sharing is now possible.
하지만, 상기한 바와 같이 각종 정보가 인터넷 환경 내에서 자유롭게 전달 및 취득이 가능함에 따라 각 개인 정보의 오용 및 남용이 급증하게 되었을 뿐 아니라 특히, 각 기업체에서는 중요한 정보 데이터의 유출이 증가됨에 따라 보안의 중요성이 점차 대두되고 있다.However, as described above, as various information can be freely transmitted and acquired within the Internet environment, not only misuse and abuse of each personal information have soared, but in particular, as the leakage of important information data increases in each enterprise, Importance is growing.
이에 최근에는 IDS(Intrusion Detection System)와 같이 인가되지 않은 시스템으로부터의 접속을 차단하기 위한 침입 방지 시스템을 각 네트워크 상에 설치함으로써 정보의 유출을 최대한 방지할 수 있도록 하고 있다.Recently, an intrusion prevention system for blocking access from an unauthorized system such as an intrusion detection system (IDS) has been installed on each network to prevent the leakage of information as much as possible.
이 때, 상기 IDS는 각 네트워크간의 통신에 직접 관여하는 것이 아니라 특정 네트워크간 통신 세션의 발생시 이 세션을 모니터링하는 패시브(passive) 방식을 채택하고 있다.At this time, the IDS is not directly involved in the communication between the networks, but adopts a passive method of monitoring the session when a communication session occurs between specific networks.
즉, 상기 IDS는 별도의 서버로 네트워크에 포함되어 구축된 상태로써 인터넷을 통해 외부 네트워크와 접속한 네트워크 내부의 각 시스템간 세션을 지속적으로 모니터링 하여 상기 세션을 통해 통신되는 각 데이터의 이상 발생 유무를 확인하여이상이 있을 경우 해당 세션을 강제 차단하도록 운영되기 때문이다.In other words, the IDS is built as a separate server included in the network and continuously monitors sessions between systems within a network connected to an external network through the Internet to check whether there is an error in each data communicated through the session. This is because it operates to forcibly block the session if there is a problem by checking.
하지만, 상기와 같은 기존의 IDS는 특정 시스템의 OS(Operating System) 상에 설치되는 응용 프로그램(Application Program)임을 고려할 때 전체적인 처리 속도가 늦고, 침입 탐지 과정 중의 패킷 손실이 많았던 문제점이 있다.However, considering that the existing IDS as described above is an application program installed on an operating system (OS) of a specific system, the overall processing speed is slow and there are a lot of packet loss during the intrusion detection process.
예컨대, 도시한 도 1과 같이 IDS 애플리캐이션(11)이 설치된 시스템(10)은 인터럽트부(12)를 이용하여 각 허브(20)에 연결되어 있는 각 컴퓨터 시스템의 인터럽트 신호를 감시하는 도중 특정 컴퓨터 시스템간 세션 접속이 이루어질 경우 상기 접속된 세션간의 전송 데이터 패킷을 확인하여 커널(13)을 통해 네트워크 드라이버(driver)(14)로 전달하고, 상기 네트워크 드라이버(14)는 상기 IDS 애플리케이션(11)을 통해 해당 데이터 패킷의 이상 발생 여부를 판독하게 된다.For example, as shown in FIG. 1, the system 10 in which the IDS application 11 is installed may use the interrupt unit 12 to monitor an interrupt signal of each computer system connected to each hub 20. When the session connection between computer systems is established, the transmission data packet between the connected sessions is checked and transmitted to the network driver 14 through the kernel 13, and the network driver 14 transmits the IDS application 11. Through this, whether the data packet is abnormal or not is read.
이의 과정에서 네트워크 인터페이스 카드(Network Interface Card)(15)와 같은 디바이스를 통해 데이터 패킷을 전달받은 커널(13)이 네트워크 드라이버로(14)의 데이터 패킷을 전송하는 도중 및 네트워크 드라이버(14)가 IDS 애플리캐이션(11)으로의 데이터 패킷을 전송하는 도중 처리 속도의 저하와 함께 상당수의 패킷 손실이 발생하게 었다.During this process, the kernel 13 receiving the data packet through a device such as a network interface card 15 is transmitting the data packet of the network driver 14 to the network driver 14 and the network driver 14 receives the IDS. During the transmission of the data packet to the application 11, a large amount of packet loss occurred with a decrease in the processing speed.
즉, IDS에 의한 침입 탐지의 전반적인 과정이 데이터의 이동이 많음에 따라 커널(kernel)(13)에 의한 데이터 전달 과정에서의 병목현상이 발생하는 등 처리 속도의 한계를 가질 수 밖에 없었을 뿐 아니라 패킷 전달 과정에서의 많은 손실이 발생하여 해당 데이터를 검사하지 못하는 가장 큰 문제점이 있다.That is, as the overall process of intrusion detection by IDS has a lot of data movement, it has no choice but to limit the processing speed, such as bottlenecks in the data transfer process by the kernel (13). The biggest problem is that a lot of loss occurs in the transmission process and the data cannot be inspected.
또한, 상기와 같은 통상적인 IDS는 그 동작 중 특정 시스템간의 비정상적인세션 연결을 확인하게 될 경우 상기 세션 연결된 각 시스템에 방어 패킷을 동시에 보냄으로써 상호간의 세션을 차단하게 되는데, 이의 과정이 상당한 정확도를 가져야만 하였던 기술적인 어려움이 있었다.In addition, when the normal IDS checks an abnormal session connection between specific systems during the operation, it blocks each other's sessions by simultaneously sending a defensive packet to each of the session-connected systems. There was a technical difficulty.
특히, 기존의 IDS는 여타 네트워크와의 세션 접속이 이루어진 상태로 그 모니터링이 수행되고, 상기 모니터링 과정에서 이상이 발견될 경우 상호간의 세션을 차단하도록 제어됨에 따라 서비스 거부 공격(DOS;Denial Of Service) 및 분산 서비스 거부 공격(DDOS;Distributed Denial Of Service)과 UDP(User Datagram Protocol)를 이용한 해커의 공격에 취약하였던 문제점이 있다.In particular, the existing IDS has a session connection with the other network and its monitoring is performed, and when an abnormality is found in the monitoring process, the denial of service (DOS) attack is controlled to block the mutual sessions. And vulnerabilities that are exploited by hackers using Distributed Denial Of Service (DDOS) and User Datagram Protocol (UDP).
본 발명은 전술한 바와 같은 종래 문제점을 해결하기 위해 안출한 것으로써, 각종 비정상적인 네트워크 접근의 탐지 및 차단을 위한 과정이 원활히 이루어질 수 있도록 함과 더불어 그 운영에 따른 패킷 전달시의 손실을 최소화하고, 전체적인 시스템의 구축이 간편하게 이루어질 수 있으며, 속도와 안정성의 향상을 이룰 수 있도록 한 침입 탐지 시스템(IDS)을 제공하는데 그 목적이 있다.The present invention has been made to solve the conventional problems as described above, to facilitate the process for the detection and blocking of various abnormal network access, and to minimize the loss during packet delivery according to the operation, Its purpose is to provide an intrusion detection system (IDS) that can be easily constructed and to improve speed and stability.
도 1 은 종래 침입 탐지 시스템이 구축된 네트워크를 개략적으로 나타낸 구성도1 is a block diagram schematically illustrating a network in which a conventional intrusion detection system is constructed.
도 2 는 본 발명에 따른 침입 탐지 시스템이 구축된 네트워크 보호 시스템을 개략적으로 나타낸 구성도2 is a block diagram schematically illustrating a network protection system in which an intrusion detection system according to the present invention is constructed.
도 3 은 본 발명에 따른 침입 탐지 시스템의 IDS 커널과 메모리 데이터 베이스 상호간 연동 구성을 개략적으로 나타낸 구성도Figure 3 is a schematic diagram showing the interworking configuration between the IDS kernel and the memory database of the intrusion detection system according to the present invention
도 4 는 본 발명에 따른 침입 탐지 시스템이 구축된 네트워크 보호 시스템의 운영 과정을 개략적으로 나타낸 순서도4 is a flowchart schematically illustrating an operation process of a network protection system in which an intrusion detection system is constructed according to the present invention.
도 5 는 본 발명에 따른 침입 탐지 시스템의 IDS 커널과 메모리 데이터 베이스 상호간 연동에 따른 침입 탐지 및 방어를 수행하는 과정에 대하여 간략히 나타낸 순서도5 is a flow chart briefly illustrating a process of performing intrusion detection and defense according to interworking between an IDS kernel and a memory database of an intrusion detection system according to the present invention.
도 6 은 도 5의 운영 과정 중 IDS 커널의 분석 프로세서가 운영되는 과정을 간략히 나타낸 순서도FIG. 6 is a flowchart briefly illustrating a process of operating an analysis processor of an IDS kernel among operating processes of FIG. 5;
도 7 은 도 5의 운영 과정 중 IDS 커널의 방어 프로세서가 운영되는 과정을 간략히 나타낸 순서도FIG. 7 is a flowchart briefly illustrating a process of operating a defense processor of an IDS kernel during the operation of FIG. 5.
도 8 은 도 5의 운영 과정 중 IDS 커널의 추적 프로세서가 운영되는 과정을 간략히 나타낸 순서도8 is a flowchart briefly illustrating a process of operating a tracking processor of an IDS kernel during an operation of FIG. 5;
도 9 는 도 5의 운영 과정 중 IDS 커널의 경고 프로세서가 운영되는 과정을 간략히 나타낸 순서도FIG. 9 is a flowchart briefly illustrating a process of operating an alert processor of an IDS kernel during an operation of FIG. 5; FIG.
도 10 는 도 5의 운영 과정 중 IDS 커널의 로깅 프로세서가 운영되는 과정을 간략히 나타낸 순서도FIG. 10 is a flowchart schematically illustrating a process of operating a logging processor of an IDS kernel during an operation of FIG. 5.
도면의 주요부분에 대한 부호의 설명Explanation of symbols for main parts of the drawings
100, 침입 탐지 시스템(IDS)120. 인터럽트부100, intrusion detection system (IDS) 120. Interrupt Section
130. IDS 커널131. 패킷 수집 프로세서130. IDS kernel 131. Packet collection processor
132. 분석 프로세서133. 방어 프로세서132. Analysis Processor 133. Defense processor
134. 관리 프로세서135. 경고 프로세서134. Management processor 135. Warning processor
136. 추적 프로세서137. 로깅 프로세서136. Tracking Processor Logging processor
138. 패킷 전송 프로세서138. Packet Transfer Processor
160. 메모리 데이터 베이스(MDB)170. 데이터 버스160. Memory Database (MDB) 170. Data bus
180. HDD190. 유저 인터페이스(UI)180.HDD190. User interface (UI)
200, 허브200, hub
상기한 목적을 달성하기 위한 본 발명의 형태는 인터넷 망을 통해 연결된 특정 영역 외부에 구축된 네트워크의 컴퓨터 시스템 및 특정 영역 내부에 구축된 네트워크의 특정 컴퓨터 시스템간 혹은, 특정 영역 내부에 구축된 네트워크의 각 컴퓨터 시스템간 데이터 전달을 위해 설치된 최소 하나 이상의 허브; 상기 특정 영역 내부에 구축된 네트워크망을 이루며, 각 허브에 접속된 상태로써 네트워킹 가능하게 연결된 다수의 서버 컴퓨터 시스템 및 개인용 컴퓨터 시스템; 상기 각 허브 중 어느 한 허브와 이 허브에 연결된 다른 한 허브 혹은, 컴퓨터 시스템과의 데이터 전달 경로 사이에 최소 하나 이상 설치되며, 상기 데이터 전달 경로 사이의 데이터 전달에 대한 인터럽트 신호를 수신받아 침입 탐지 및 방어를 수행하도록 침입 탐지 엔진이 모듈화되어 이루어진 커널(kernel)을 가지는 침입 탐지 시스템(IDS;Instrusion Detection System):을 포함하여 구축된 네트워크 보호 시스템을 제시한다.In accordance with an aspect of the present invention, a computer system of a network built outside a specific area connected through an internet network and a specific computer system of a network built inside a specific area, or a network built inside a specific area. At least one hub installed for data transfer between each computer system; A plurality of server computer systems and personal computer systems that form a network constructed inside the specific area and are connected to each hub so as to be networkable; At least one is installed between any one of the hubs and the other hub connected to the hub, or a data transfer path between the computer system, receiving an interrupt signal for data transfer between the data transfer paths and intrusion detection and An intrusion detection system (IDS) having a kernel in which an intrusion detection engine is modularized to perform a defense is provided.
그리고, 상기한 형태에 따른 본 발명의 운영 방법으로 인터럽트부를 이용한 인터럽트 신호의 수신을 통해 각 컴퓨터 시스템간 세션 연결의 요청 여부를 지속적으로 확인하는 제1단계; 상기 과정에서 특정 컴퓨터 시스템으로부터 다른 한 컴퓨터 시스템으로의 세션 연결을 위한 요청 신호가 발생될 경우 이 세션을 통해 전송되는 데이터 패킷을 커널로 전달하도록 제어하는 제2단계; 상기 커널을 메모리 데이터 베이스와 연동시켜 수신된 데이터 패킷의 이상 유무를 판독함과 더불어 그 판독 결과에 따라 전송 대상 컴퓨터 시스템으로의 해당 데이터 패킷 전송 혹은, 차단을 결정하며, 상기 결정에 따른 제어를 수행하는 제3단계:가 포함되어 진행되는 방법을 제시한다.A first step of continuously checking whether a session connection between the computer systems is requested through reception of an interrupt signal using an interrupt unit according to the above-described operating method of the present invention; A second step of controlling to transmit a data packet transmitted through the session to the kernel when a request signal for a session connection from one computer system to another computer system is generated in the process; The kernel interlocks with the memory database to read whether there is an abnormality in the received data packet, and determines whether to transmit or block the corresponding data packet to the transmission target computer system according to the read result, and performs control according to the determination. The third step is to include: how to proceed.
이하, 첨부된 도면을 참조하여 본 발명의 네트워크 보호를 위한 시스템 및 그 운영 방법에 관한 실시예를 도시한 도 2 내지 도 10을 참고로 하여 보다 상세히 설명하면 다음과 같다.Hereinafter, with reference to the accompanying drawings with reference to Figures 2 to 10 showing an embodiment of a system and a method for operating the network protection of the present invention will be described in detail.
우선, 첨부된 도 2는 본 발명의 네트워크 보호를 위한 시스템을 개략적으로나타내고 있다.First of all, Figure 2 attached schematically shows a system for network protection of the present invention.
즉, 본 발명의 네트워크 보호 시스템은 크게 네트워크에 연결된 다수의 컴퓨터 시스템(300)과, 상기 각 컴퓨터 시스템간의 데이터 전달을 위한 최소 하나 이상의 허브(200)와, 각 컴퓨터 시스템간에 전달되는 데이터의 이상 유무를 판독하여 이상이 있는 데이터는 차단하고, 이상이 없는 데이터 만을 전송 대상 컴퓨터 시스템으로 전달하도록 구축된 침입 탐지 시스템(IDS;Intrusion Detection System)(100)을 포함하여 구축된다.That is, the network protection system of the present invention includes a large number of computer systems 300 connected to a network, at least one hub 200 for data transfer between the computer systems, and abnormality of data transferred between each computer system. It is constructed to include an intrusion detection system (IDS) 100 that is configured to read and block abnormal data and deliver only the abnormal data to the transmission target computer system.
상기에서 네트워크 보호 시스템을 구성하는 각 컴퓨터 시스템(300)은 특정 영역 내부에 구축된 네트워크 망을 이루며, 각 허브(200)에 접속된 상태로써 네트워킹 가능하게 연결되고, 각 컴퓨터 시스템(300) 간의 제어나 메일과 같은 여타의 작업을 수행하기 위한 다수의 서버 컴퓨터 시스템과 각각의 개인이 사용하는 개인용 컴퓨터 시스템으로 구성된다.Each computer system 300 constituting the network protection system forms a network constructed inside a specific area, is connected to each hub 200 in a networkable connection, and controls between each computer system 300. It consists of a number of server computer systems for performing other tasks such as e-mail and a personal computer system used by each individual.
그리고, 상기 허브(200)는 특정 컴퓨터 시스템으로부터 인터넷 망이나 인트라넷 망을 통해 전송되는 데이터를 입수하여 상기 데이터의 전송 대상 컴퓨터 시스템(300)으로 전달하는 역할을 수행하게 되며, 라우터의 기능을 포함할 수도 있고 그렇지 않을 수도 있다.The hub 200 acquires data transmitted from a specific computer system through an internet network or an intranet network, and transfers the data to the transmission target computer system 300, and may include a router function. It may or may not be.
이 때, 상기 허브(200)가 라우터 기능을 포함하지 않을 경우에는 도시된 바와 같이 상기 허브(200)와 인터넷망 사이에 별도의 라우터(400)를 구비하여야 함은 당연하다.In this case, when the hub 200 does not include a router function, it is a matter of course that a separate router 400 is provided between the hub 200 and the internet network.
그리고, 상기 네트워크 보호 시스템을 구성하는 허브(200)는 인터넷 망을 통해 연결된 상태로써 특정 영역 외부에 구축된 네트워크의 컴퓨터 시스템(예컨대, 개인용 PC 등) 및 특정 영역 내부에 구축된 네트워크의 특정 컴퓨터 시스템간 혹은, 특정 영역 내부에 구축된 네트워크의 각 컴퓨터 시스템간 데이터 전달을 위해 설치된다.In addition, the hub 200 constituting the network protection system is connected through an internet network, and the computer system of the network (for example, personal PC, etc.) built outside the specific area and the specific computer system of the network built inside the specific area. It is installed for data transmission between computers or between computer systems in a network built inside a specific area.
그리고, 상기 네트워크 보호 시스템을 구성하는 침입 탐지 시스템(100)은 네트워크를 이루는 각각의 허브(200) 중 어느 한 허브와 이 허브에 연결된 다른 한 허브 혹은, 컴퓨터 시스템(300)과의 데이터 전달 경로 사이에 최소 하나 이상 설치된다.The intrusion detection system 100 constituting the network protection system includes a data transmission path between one hub of each hub 200 constituting the network and another hub connected to the hub, or the computer system 300. At least one is installed on.
이 때, 상기 침입 탐지 시스템(100)은 상기 데이터 전달 경로 사이의 데이터 전달에 대한 인터럽트 신호를 수신받아 침입 탐지 및 방어를 수행하도록 침입 탐지 엔진이 모듈(module)화된 커널(Kernel 이하, “IDS 커널”이라 한다)(130)과, 네트워크 망에 접속된 상태로써 데이터의 송수신을 위한 네트워크 인터페이스 카드(NIC:Network Interface Card, 이하, NIC라 한다)(150)와, 상기 NIC를 통한 데이터의 수신 여부에 따른 인터럽트(Interrupt) 신호를 판독하는 인터럽트부(120)와, 상기 IDS 커널(130)을 통해 수신되는 각 데이터 패킷을 임시 저장하고, 각 패킷의 이상 현상에 대한 정보 및 각 패킷의 이상 상태별 대응 방법에 대한 제어 정보가 각각 저장되는 메모리 데이터 베이스(MDB:Memery Data Base, 이하, MDB라 한다)(160)와, 상기 각 구성 부분간의 데이터 전송이 이루어지도록 연결된 데이터 버스(Data Bus)(170)를 포함하여 구성된다.At this time, the intrusion detection system 100 receives an interrupt signal for data transmission between the data transmission paths and performs an intrusion detection and defense in which the intrusion detection engine is modularized. 130, a network interface card (NIC) for transmitting and receiving data in a state of being connected to a network, and whether or not data is received through the NIC. Interrupt unit 120 that reads the interrupt signal according to the intermittent, and temporarily stores each data packet received through the IDS kernel 130, information about the abnormality of each packet and the abnormal state of each packet A memory database (MDB), each of which stores control information on a corresponding method, is referred to as an MDB (160), and is connected to perform data transmission between the components. And a data bus 170.
즉, 본 발명은 침입 탐지 시스템의 침입 탐지 및 방어를 위한 엔진을 모듈화된 IDS 커널(130)로써 구현한 것이다.That is, the present invention implements the engine for the intrusion detection and defense of the intrusion detection system as a modular IDS kernel 130.
그리고, 상기 IDS 커널(130)은 크게 패킷 수집 프로세서(Gathering Processor)(131)와 분석 프로세서(Analyze Processor)(132), 방어 프로세서(Defense Processor)(133), 관리 프로세서(Manager Processor)(134)로 이루어진다.In addition, the IDS kernel 130 includes a packet collecting processor 131, an analysis processor 132, a defense processor 133, and a manager processor 134. Is made of.
이 때, 상기 패킷 수집 프로세서(131)는 인터럽트부(120)를 통해 데이터의 수신 여부가 확인될 경우 해당 데이터 패킷을 지속적으로 받아들여 MDB(160)에 저장하는 역할을 수행한다.At this time, the packet collection processor 131 continuously receives the corresponding data packet and stores the data packet in the MDB 160 when it is determined whether the data is received through the interrupter 120.
그리고, 상기 분석 프로세서(132)는 상기 MDB(160)에 저장되어 있는 각 데이터 패킷을 분석하여 그 이상 유무를 판독하고, 그 결과 정보를 상기 MDB(160)에 재 저장하는 역할을 수행한다.In addition, the analysis processor 132 analyzes each data packet stored in the MDB 160, reads whether there is more than that, and stores the information in the MDB 160 again.
그리고, 상기 방어 프로세서(133)는 상기 MDB(160)에 저장된 각 데이터 패킷의 이상 유무에 따른 정보를 토대로 선택적으로 방어하는 역할을 수행한다.In addition, the defense processor 133 performs a role of selectively defending based on information according to whether there is an error of each data packet stored in the MDB 160.
그리고, 상기 관리 프로세서(134)는 상기와 같은 각 프로세서가 각각의 고유 작업을 동시 다발적으로 수행될 수 있도록 관리하고 운영하는 역할을 수행한다.In addition, the management processor 134 manages and operates each processor such that each unique task can be performed simultaneously.
이와 함께, 본 발명에서는 전술한 바와 같은 IDS 커널(130)이 MDB(160)에 저장된 각 패킷의 이상 유무에 따른 정보를 토대로 선택적인 경고를 발생시키도록 프로세싱되는 경고 프로세서(Alert Processor)(135)와, 상기 MDB(160)에 저장된 각 데이터 패킷의 이상 유무에 따른 정보를 토대로 침입된 경로를 역추적하는 추적 프로세서(Chase Processor)(136), 상기 MDB(160)의 저장 공간을 지속적으로 확인하고, 상기 저장 공간이 기 설정된 저장 공간에 비해 부족할 경우 추가되는 데이터 패킷 혹은, 처리 완료된 데이터 패킷을 별도의 하드웨어 저장 공간에 저장하는 로깅 프로세서(Loging Processor)(137) 그리고, 정상적인 패킷으로 판단된 데이터 패킷만을 전송 대상 컴퓨터 시스템으로 전송하는 패킷 전송 프로세서(Gateway Processor)(138)를 더 포함하여 모듈화됨을 제시한다.In addition, in the present invention, the IDS kernel 130 as described above is processed to generate a selective alert based on the information according to the presence or absence of each packet stored in the MDB 160 (Alert Processor 135) And continuously check the storage space of the trace processor 136 and the MDB 160 to trace back the intruded path based on the information according to the abnormality of each data packet stored in the MDB 160. When the storage space is insufficient compared to the preset storage space, a data packet added or a logging processor 137 for storing the processed data packet in a separate hardware storage space, and the data packet determined to be a normal packet. It is proposed to further include a packet processor 138 for transmitting only the bay to the computer system to be transmitted.
이 때, 상기 별도의 하드웨어 저장 공간이라 함은 통상적인 HDD(180)가 될 수 있다.In this case, the separate hardware storage space may be a conventional HDD 180.
도시한 도 3은 전술한 바와 같은 IDS 커널과 메모리 데이터 베이스간 연동을 위해 설정된 상태에 따른 구성도를 나타내고 있다.3 illustrates a configuration diagram according to a state set for interworking between the IDS kernel and the memory database as described above.
뿐만 아니라 본 발명에 따른 네트워크 보호 시스템을 구성하는 침입 탐지 시스템(100)에는 각 데이터 패킷의 비정상적인 동작 발생에 대응하여 상기 시스템을 관리하는 관리자가 수동 조작할 수 있도록 하기 위한 유저 인터페이스(UI:User Interface)(190)가 더 포함되어 구축됨을 제시한다.In addition, the intrusion detection system 100 constituting the network protection system according to the present invention has a user interface (UI: User Interface) for the administrator who manages the system in response to the abnormal operation of each data packet for manual operation ) 190 is further included to show that it is built.
이 때, 상기 UI는 IDS 커널(130)의 동작 상태를 디스플레이하고, 관리자로부터의 조작 신호를 수신 받기 위한 응용 프로그램이 된다.In this case, the UI displays an operation state of the IDS kernel 130 and becomes an application program for receiving an operation signal from an administrator.
이하, 전술한 바와 같은 본 발명의 네트워크 보호 시스템을 이용한 네트워크 보호 방법을 첨부된 도 4의 내지 도 8의 순서도를 참조하여 보다 구체적으로 설명하기로 한다.Hereinafter, a network protection method using the network protection system of the present invention as described above will be described in more detail with reference to the flowcharts of FIGS. 4 to 8.
우선, 본 발명의 네트워크 보호 시스템을 구성하는 허브(200)는 인터넷망 혹은, 인트라넷 망을 통해 특정 컴퓨터 시스템으로부터의 접속 요청 데이터 신호, 혹은 데이터 전송에 따른 신호를 입수 받음과 함께 상기 신호의 수신 대상 컴퓨터 시스템(300)을 확인하여 해당 컴퓨터 시스템이 포함되어 구축된 네트워크로 상기 입수된 데이터 신호를 전달한다.First, the hub 200 constituting the network protection system of the present invention receives a connection request data signal from a specific computer system or a signal according to data transmission through an internet network or an intranet network, and receives the signal. The computer system 300 checks and transmits the obtained data signal to the network in which the computer system is included.
이와 함께, 본 발명의 침입 탐지 시스템(100)은 상기 허브(200)와 네트워크 사이의 데이터 전달 경로 상에 설치된 상태로써 NIC(150)를 통해 상기 데이터가 전달되는 경로와의 세션 연결을 이룬다.(S110)In addition, the intrusion detection system 100 of the present invention is installed on the data transmission path between the hub 200 and the network to form a session connection with the path through which the data is transmitted through the NIC 150. S110)
이후, 상기 침입 탐지 시스템(100)은 상기 세션을 통해 전달되는 데이터 패킷을 수신하게 된다.(S120)Thereafter, the intrusion detection system 100 receives a data packet transmitted through the session (S120).
이 때, 침입 탐지 시스템(100)을 구성하는 인터럽트부(120)는 상기 NIC(150)를 통한 데이터 수신 여부에 따른 인터럽트 신호를 계속하여 판독하고 있는 상태임에 따라 상기 NIC(150)를 통해 데이터가 수신될 경우 이의 인터럽트 신호를 판독한 후 IDS 커널(130)로 상기 수신되는 데이터 패킷을 전달한다.(S130)At this time, the interrupt unit 120 constituting the intrusion detection system 100 is continuously reading the interrupt signal according to whether or not the data is received through the NIC 150, and thus the data through the NIC 150. If is received, reads the interrupt signal thereof and delivers the received data packet to the IDS kernel 130 (S130).
그리고, 상기 IDS 커널(130)은 상기 수신되는 데이터 패킷을 MDB(160)에 저장함과 더불어 상기 MDB(160)와 연동하면서 해당 데이터 패킷의 이상 여부에 따른 확인 및 그 방어를 수행한다.(S140)In addition, the IDS kernel 130 stores the received data packet in the MDB 160 and performs interworking with the MDB 160 to check and defend the data packet according to an abnormality.
이 과정에서 IDS 커널(130)은 상기 수신되는 데이터 패킷에 이상이 있을 경우 전송 대상 컴퓨터 시스템(300)으로의 전달됨을 불허함과 동시에 그 내역을 저장(S150)해 둔 후 세션 연결을 해제(S160)하여 더 이상의 데이터 패킷 전송을 차단한다.In this process, when there is an error in the received data packet, the IDS kernel 130 disables the transfer to the transmission target computer system 300 and simultaneously stores the details (S150) and then releases the session connection (S160). Block further data packet transmission.
반면, 상기 수신되는 데이터 패킷에 이상이 없을 경우 해당 데이터 패킷의전송을 허용함과 동시에 그 내역을 저장(S170)하고, 상기 전송 대상 컴퓨터 시스템(300)으로의 전달을 수행한다.(S180)On the other hand, if there is no error in the received data packet, the transmission of the corresponding data packet is allowed and the details are stored (S170), and the transfer to the transmission target computer system 300 is performed (S180).
이 때, 상기한 IDS 커널(130)과 MDB 상호간 연동에 의한 침입 탐지 및 대응 과정을 도시한 도 5 내지 도 10의 순서도를 참고하여 보다 구체적으로 설명하도록 한다.In this case, the IDS kernel 130 and the intrusion detection and the corresponding process by interworking with the MDBs will be described in more detail with reference to the flowcharts of FIGS. 5 to 10.
우선, 도시한 도 5의 순서도와 같이 NIC(150) 및 인터럽트부(120)를 통해 IDS 커널(130)로의 데이터 패킷이 수신되면 상기 IDS 커널(130)은 패킷 수집 프로세서(131)를 통해 데이터 패킷을 지속적으로 수집하여 MDB(160)로 전달함으로써 상기 MDB(160)에 해당 데이터 패킷의 저장이 이루어지도록 한다.(S141)First, when the data packet to the IDS kernel 130 is received through the NIC 150 and the interrupter 120 as shown in the flowchart of FIG. 5, the IDS kernel 130 transmits the data packet to the packet collection processor 131. By continuously collecting and delivering the data packet to the MDB 160, the corresponding data packet is stored in the MDB 160 (S141).
이 때, 상기 패킷 수집 프로세서는 수신된 데이터를 프로토클(Protocol), 세션(Session), 서버(Server), 클라이언트(Client) 등과 같은 각종 정보로써 각각 분리한 후 MDB(160)에 저장하게 된다.At this time, the packet collection processor separates the received data into various types of information such as protocol, session, server, client, and the like, and stores them in the MDB 160.
이와 동시에 상기 IDS 커널(130)은 관리 프로세서(134)를 통해 분석 프로세서(132), 방어 프로세서(133), 추적 프로세서(136), 로깅 프로세서(137), 경고 프로세서(135) 그리고, 패킷 전송 프로세서(138)를 동시 다발적으로 수행시켜 상기 MDB(160)에 저장된 각 데이터 패킷의 이상 유무 확인 및 그에 따른 처리를 수행한다.At the same time, the IDS kernel 130 uses the management processor 134 to analyze the analysis processor 132, defense processor 133, tracking processor 136, logging processor 137, alert processor 135, and packet transfer processor. At step 138, a plurality of data packets are simultaneously executed to confirm whether there is an abnormality in each data packet stored in the MDB 160, and to thereby process the same.
이 때, 상기 분석 프로세서(132)를 통해서는 도시한 도 6의 순서도와 같이 MDB(160)에 저장되어 있는 각 데이터 패킷을 분석하여 그 이상 유무를 판독하고, 그 결과 정보를 상기 MDB(160)에 재저장한다.At this time, the analysis processor 132 analyzes each data packet stored in the MDB 160 as shown in the flowchart of FIG. 6 and reads whether there are any more errors, and the result information is read by the MDB 160. Resave to.
상기에서 분석 프로세서에 의한 데이터 패킷의 이상 유무 확인은 상기 MDB에 이미 등록되어 있는 정상적인 데이터 패킷의 유형에 대한 정보 혹은, 비정상적인 데이터 패킷의 유형에 대한 정보를 토대로 수행하게 된다.The abnormality check of the data packet by the analysis processor is performed based on the information on the type of the normal data packet already registered in the MDB or the information on the type of the abnormal data packet.
이 때, 상기 비정상적인 데이터 패킷의 유형에 대한 정보의 예로는 각종 바이러스 감염 여부, 사용자 데이터그램 프로토콜을 이용한 동일 데이터의 반복적인 전송 여부(UDP Floding 공격 여부), 핑(Ping) 명령어가 기 설정된 소정 횟수(예컨대, 30회) 이상 수신되는지에 대한 여부(Ping Floding 공격 여부), 프로그램을 이용한 대량 메일이 전송 되어지는지에 대한 여부(Mail Bomb 공격 여부), 파일전송프로토콜(FTP) 데이터 패킷이 1024번 아래의 포트를 오픈하도록 설정되어 있는지에 대한 여부(FTP Port Bound 공격 여부), 권한 밖의 명령어(Write, Delete 등)를 실행하도록 이루어져 있는지에 대한 여부(FTP Violation 공격 여부), 웹 서비스(Web service)나 텔넷 서비스(Telnet service)나 파일전송프로토콜 서비스(FTP service) 등과 같은 서비스 프로그램에서 처리할 수 있는 문자열 보다 많은 문자열이 포함되어 있는지에 대한 여부(Buffer Overflow 공격 여부), 기 등록된 라우터의 하드웨어 주소(MAC Address)와 전송되는 TCP/IP의 하드웨어 주소간 동일성 여부(IP Spoofing 공격 여부), 핑거 명령어(Finger)의 포함 여부(Finger 공격 여부) 등이 있을 수 있는데, 반드시 이로만 한정되지 않으며 보다 다양하게 있을 수 있다.In this case, examples of the information about the abnormal data packet type include whether various viruses are infected, whether the same data is repeatedly transmitted using a user datagram protocol (UDP floating attack), or a predetermined number of times a ping command is preset. (E.g., 30 times) or more (Ping Floding attack), whether the program is sending a large amount of mail (mail bomb attack), File Transfer Protocol (FTP) data packet below 1024 times Whether the port is set to open (FTP Port Bound attack), whether it is configured to execute unauthorized commands (Write, Delete, etc.) (FTP Violation attack), Web service or More statements than strings that can be handled by a service program, such as the Telnet service or the File Transfer Protocol service. Whether the string is included (whether a buffer overflow attack), whether the hardware address of the registered router (MAC address) and the transmitted hardware address of TCP / IP (IP spoofing attack), finger command (Finger) It may be included or not (Finger attack), etc., but is not limited to this may be more diverse.
그리고, 상기한 내역을 토대로한 분석 프로세서(132)에 의한 데이터 패킷의 이상 유무에 따른 확인 결과는 MDB(160)에 저장한다.In addition, the result of confirming whether or not the data packet is abnormal by the analysis processor 132 based on the above details is stored in the MDB 160.
즉, 정상적인 유형의 데이터 패킷으로 판단될 경우 그 결과 정보를 MDB(160)에 저장하게 되고, 비 정상적인 유형의 데이터 패킷으로 판단될 경우 그 결과 정보 및 해당 유형을 상기 MDB(160)에 저장하는 것이다. 이와 함께 상기 분석 프로세서는 계속해서 상기 MDB(160)에 저장되어 있는 또 다른 데이터 패킷의 이상 유무에 대한 확인을 수행하게 된다.That is, when it is determined that the data packet is a normal type, the result information is stored in the MDB 160, and when it is determined that the data packet is an abnormal type, the result information and the corresponding type are stored in the MDB 160. . In addition, the analysis processor continues to check whether there is an error of another data packet stored in the MDB 160.
또한, 방어 프로세서(133)를 통해서는 도시한 도 7의 순서도와 같이 상기 MDB(160)에 저장되어 있는 각 이상 발생 데이터 패킷의 이상 발생 유형에 따른 처리를 수행하게 된다.In addition, the defense processor 133 performs processing according to an error occurrence type of each error occurrence data packet stored in the MDB 160 as shown in the flowchart of FIG. 7.
예컨대, 각종 바이러스를 가지는 데이터 패킷일 경우 바이러스 백신 소프트웨어를 구동하여 그 치료를 수행하고, 상기 치료 완료된 데이터 패킷은 정상적인 데이터 패킷으로 재 설정하여 MDB(160)에 저장한다. 이 때, 상기 백신 소프트웨어에 의한 치료 수행이 불가능할 경우 해당 데이터 패킷의 삭제를 수행함과 더불어 더 이상의 전송됨을 차단한다.For example, in the case of a data packet having various viruses, antivirus software is executed to perform the treatment, and the treated data packet is reset to a normal data packet and stored in the MDB 160. At this time, if it is impossible to perform the treatment by the antivirus software, the data packet is deleted and further transmission is blocked.
하지만 반드시 이의 방법에 의해 수행됨으로 한정하지는 않으며, 치료의 수행 없이 해당 데이터 패킷의 삭제 및 더 이상의 전송됨을 차단하도록 설정할 수도 있다.However, the method is not necessarily limited to that performed by the method, and may be set to block deletion of the data packet and further transmission without performing the treatment.
만일, 이상 발생 유형이 각종 해커에 의한 공격일 경우 MDB(160)에 기 등록되어 있는 각종 해킹 유형별 대응 방법에 따라 그 대처(예컨대, 해당 데이터 패킷의 삭제 및 해당 세션 차단)를 수행하고, 바이러스 및 해커 침입이 아닌 통상적인 오류 데이터일 경우 설정된 대처 방법(예컨대, 반송 등)에 따른 대처를 수행한다.If the type of anomaly is an attack by various hackers, the countermeasure (eg, deletion of the corresponding data packet and blocking of the corresponding session) is performed according to the corresponding hacking method for each hacking type registered in the MDB 160, and a virus and If normal error data is not a hacker intrusion, a countermeasure according to a set countermeasure (for example, return) is performed.
또한, 상기의 과정이 진행되는 도중 IDS 커널(130)의 추적 프로세서(136)는도시한 도 8의 순서도와 같이 MDB(160)에 저장되는 각 데이터 패킷의 이상 발생 여부를 지속적으로 확인하다가 해커의 침입에 따른 데이터 패킷의 이상 발생이 확인될 경우 해당 데이터 패킷의 침입 경로 및 최초 송신지에 대한 추적을 수행하게 된다.In addition, while the above process is in progress, the tracking processor 136 of the IDS kernel 130 continuously checks whether an abnormality of each data packet stored in the MDB 160 occurs as shown in the flowchart of FIG. When an abnormal occurrence of a data packet due to an invasion is confirmed, the trace of the intrusion path and the original destination of the data packet is performed.
이 때, 상기 추적 프로세서(136)의 의한 침입 경로의 추적은 해당 데이터 패킷의 분석 정보가 저장된 MDB(160)를 통해 송신 컴퓨터 시스템에 대한 IP(Internet Protocol)를 확인한 후 최근 상기 IP에 세션 연결되었던 각 컴퓨터 시스템 중 이상이 발생된 데이터 패킷과 동일한 데이터 패킷을 수신한 컴퓨터 시스템의 IP를 확인한다.At this time, tracing of the intrusion path by the tracking processor 136 confirms the IP (Internet Protocol) for the sending computer system through the MDB 160 in which the analysis information of the corresponding data packet is stored, and has recently connected the session to the IP. Check the IP of the computer system that received the same data packet as the data packet in which the abnormality occurred in each computer system.
이의 과정은 해당 데이터 패킷의 수신이 이루어지지 않았지만 그 송신은 이루어졌었던 컴퓨터 시스템의 IP가 확인될 때까지 반복적으로 수행함과 동시에 상기 이상 발생 데이터 패킷의 발생 확인 시간으로부터 인접한 시각의 범위 내에 각 데이터 패킷을 송수신하였던 각 컴퓨터 시스템을 확인함으로써 수행된다.This process is performed repeatedly until the IP of the computer system where the corresponding data packet has not been received but the transmission has been performed, and at the same time, each data packet within a range of time adjacent to the occurrence confirmation time of the abnormal data packet. This is done by identifying each computer system that has received and transmitted the data.
그리고, 상기한 과정에 의해 확인된 IP가 해킹 시도한 IP로 판단하여 그 내역을 저장함과 동시에 현재 상기 IP에 세션 연결된 여타 컴퓨터 시스템과의 세션 차단을 수행한다.Then, the IP identified by the above process is determined to be an hacked IP and the details are stored, and at the same time, the session is blocked with other computer systems currently connected to the IP.
이 때, 본 발명에서는 상기한 과정이 가능할 수 있도록 각 컴퓨터 시스템간 세션 연결을 통해 수행된 데이터 패킷의 전송 내역이 시간대 별로 소팅(sorting)하여 저장함을 추가로 제시한다.At this time, the present invention further proposes that the transmission details of data packets performed through session connection between each computer system are sorted and stored for each time zone so that the above-described process can be performed.
그리고, 상기의 과정을 통해 확인된 최종 컴퓨터 시스템이 해당 이상 발생데이터 패킷의 전송 시발점으로 판단함과 더불어 그 IP를 취득하여 침입 경로와 함께 MDB(160)에 저장한다.Then, the final computer system identified through the above process is determined as the starting point of the transmission of the abnormal data packet, and the IP is acquired and stored in the MDB 160 along with the intrusion path.
또한, 상기한 과정에서 IDS 커널(130)의 경고 프로세서(135)는 도시한 도 9의 순서도와 같이 상기 각 프로세서(131, 132, 133, 134, 136, 137)의 동작됨과 동시에 MDB(160)에 저장되는 각 데이터 패킷의 이상 발생 여부를 지속적으로 확인하게 되며, 이의 과정 중 특정 데이터 패킷의 이상 발생이 확인될 경우 해당 네트워크를 관리하는 관리자에게 상기 이상 발생에 따른 내역을 통보함으로써 관리자에 의한 직접적인 관리가 가능하도록 한다.Also, in the above process, the alert processor 135 of the IDS kernel 130 is operated at the same time as the processor 131, 132, 133, 134, 136, and 137 as shown in the flowchart of FIG. 9. If abnormality of specific data packet is confirmed during the process, the administrator who manages the network is notified to the administrator according to the abnormality to directly check by the administrator. Make it manageable.
이 때, 상기 관리자로의 통보는 IDS 커널(130)의 경고 프로세서(135)가 MDB(160)에 저장된 이상 발생 데이터 패킷에 대한 내역, 침입한 컴퓨터 시스템의 정보, 침입 유형 등과 같은 각종 정보를 유저 인터페이스(User Interface)(190)로 송신하고, 상기 UI(190)에서는 상기 수신된 정보를 해당 관리자의 컴퓨터 시스템 화면상에 디스플레이함으로써 가능하다.At this time, the notification is sent to the administrator by the alert processor 135 of the IDS kernel 130 to provide various information such as the details of the abnormal data packet stored in the MDB 160, the information of the intruded computer system, the intrusion type, etc. It is possible to transmit to the interface (User Interface) 190, the UI 190 by displaying the received information on the computer system screen of the administrator.
상기에서 UI(190)는 상술한 바와 같이 IDS 커널(130)의 경고 프로세서(135)를 통해 확인된 이상 발생 데이터 패킷의 내역만을 해당 관리자에게 통보하는 역할을 수행하는 것은 아니다. 각종 데이터 패킷의 전송 현황이나 이상 발생 데이터 패킷의 유형 및 그 처리 결과 등에 대한 정보도 함께 통보할 수 있도록 MDB(160) 및 IDS 커널(130)로부터 해당 정보를 전달받도록 설정함이 보다 바람직하다.As described above, the UI 190 does not play a role of notifying only the details of the abnormal data packet confirmed through the alert processor 135 of the IDS kernel 130. More preferably, the MDB 160 and the IDS kernel 130 are configured to receive the corresponding information so as to notify the information on the transmission status of the various data packets, the type of the abnormal data packet, and the result of the processing.
또한, 전술한 바와 같은 각 과정이 진행되는 도중 IDS 커널(130)의 로깅 프로세서(137)는 도시한 도 10과 같이 MDB(160)의 저장 상태를 지속적으로 확인함과더불어 상기 MDB(160)가 기 설정된 허용 저장 용량을 초과하였을 경우 상기 MDB(160)로 저장되는 각종 데이터 패킷을 별도의 하드웨어 저장 공간인 HDD(180)에 분산 저장하는 역할을 수행한다.In addition, as described above, the logging processor 137 of the IDS kernel 130 continuously checks the storage state of the MDB 160 as shown in FIG. 10. When exceeding a predetermined allowable storage capacity it serves to distribute and store various data packets stored in the MDB (160) in the HDD 180, which is a separate hardware storage space.
이 때, 상기 별도의 하드웨어 저장 공간에는 IDS 커널(130)의 각 프로세서(131, 132, 133, 134, 135, 136, 137)와 MDB(160) 상호간의 연동에 따른 침입 탐지 결과에 대한 각종 내역 정보가 지속적으로 등록될 수 있도록 한다.At this time, in the separate hardware storage space, various details of the intrusion detection result according to interworking between the processors 131, 132, 133, 134, 135, 136, and 137 of the IDS kernel 130 and the MDB 160. Ensure that information is continuously registered.
이는, 상기 MDB(160)가 가지는 저장 공간 상의 한계를 고려함과 더불어 침입 탐지를 위해 IDS 커널(130)과 연동하면서 계속적인 동작을 수행하는 MDB(160)의 부하에 따른 부담을 저감시킬 수 있도록 하기 위함이다.This is to consider the limitations on the storage space of the MDB (160) and to reduce the load due to the load of the MDB (160) to perform the continuous operation in conjunction with the IDS kernel 130 for intrusion detection For sake.
즉, 해당 네트워크의 관리자가 유저 인터페이스(190)를 통한 각종 침입 탐지 동작 내역에 대한 조회를 수행할 경우 별도의 데이터 저장을 위한 하드웨어를 통해 해당 정보가 취득될 수 있도록 함으로써 MDB(160)에 대한 저장 공간 상의 부담 및 부하 증가에 따른 부담이 해소될 수 있도록 함을 제시하는 것이다. 물론, MDB에 상기 침입 탐지의 결과 내역을 저장할 수도 있음은 당연하다.That is, when the administrator of the network performs an inquiry on various intrusion detection operation details through the user interface 190, the corresponding information may be acquired through hardware for storing data separately, thereby storing the information for the MDB 160. It suggests that the burden of space and the increase of load can be eliminated. Of course, the results of the intrusion detection may be stored in the MDB.
또한, 전술한 바와 같은 각 과정이 진행되는 도중 IDS 커널(130)의 패킷 전송 프로세서(138)는 전술한 바와 같은 IDS 커널(130)의 각 프로세서(131, 132, 133, 134, 135, 136, 137) 및 MDB(160) 상호간 연동을 통해 수신되는 데이터 패킷에 대한 이상 여부 확인 결과 이상이 없음으로 확인된 데이터 패킷 만을 인터럽트부(120) 및 NIC(150)를 각각 통과하여 해당 데이터의 전송 대상 컴퓨터 시스템(300)으로 전달된다.In addition, the packet transfer processor 138 of the IDS kernel 130 may perform the processes 131, 132, 133, 134, 135, 136 of the IDS kernel 130 as described above. 137) and the computer to which the data is transmitted, passing through the interrupt unit 120 and the NIC 150 only through the data packet confirmed as abnormal as a result of the data packet received through the interworking between the MDB 160 and each other. Delivered to system 300.
이 때, 상기 이상이 없는 데이터 패킷의 전달은 최초 IDS 커널(130)로의 데이터 패킷 전달 과정에 대하여 역순으로 이루어진다.At this time, the delivery of the data packet without abnormality is performed in the reverse order with respect to the data packet delivery process to the first IDS kernel 130.
즉, IDS 커널(130)로부터 이상이 없는 데이터 패킷이 인터럽트부(120) 및 NIC(150)로 순차적인 전달이 이루어짐과 더불어 상기 NIC(150)를 통해 전송 대상 컴퓨터 시스템(300)이 구축된 네트워크의 허브(혹은, 전송 대상 컴퓨터 시스템)(200)로 전달되는 것이다.That is, a network in which a data packet having no abnormality from the IDS kernel 130 is sequentially transmitted to the interrupter 120 and the NIC 150, and the transmission target computer system 300 is established through the NIC 150. It is delivered to the hub (or transmission target computer system) 200 of.
물론, 해당 데이터 패킷에 이상이 있음으로 확인되었을 경우에는 기 전술한 바와 같이 방어 프로세서(133)와 연동하여 해당 데이터 패킷을 송신한 송신측 컴퓨터 시스템과의 접속 세션을 차단함으로써 더 이상의 데이터 패킷 전송이 이루어지지 않도록 조치된다.Of course, when it is confirmed that there is an error in the data packet, as described above, the data transmission is further performed by blocking the connection session with the transmitting computer system which has transmitted the data packet in cooperation with the defense processor 133. Measures are taken to prevent this from happening.
결국, 전술한 각 과정의 순차적이고 반복적인 수행에 의해 소정의 네트워크를 이루는 컴퓨터 시스템은 바이러스 및 해킹 등으로부터 보호됨이 가능해진다.As a result, computer systems forming a predetermined network can be protected from viruses, hacking, and the like by the sequential and repetitive execution of the above-described processes.
이상에서 설명한 바와 같이 본 발명에 따른 네트워크 보호 시스템 및 그 운영 방법은 침입 탐지를 위한 엔진을 모듈화된 커널로써 구현함에 따라 그 처리를 위한 경로가 단축되어 보다 우수한 처리 시간의 단축을 이룰 수 있게 된 효과가 있다.As described above, the network protection system and its operation method according to the present invention implements the engine for intrusion detection as a modular kernel, thereby shortening the path for the processing, thereby achieving a better processing time. There is.
뿐만 아니라, 상기와 같은 데이터 패킷의 흐름 경로가 단축됨에 따른 데이터 손실이 저감되어 해당 데이터의 훼손을 방지할 수 있게 된 효과 역시 있다.In addition, the data loss is reduced as the flow path of the data packet is shortened, thereby preventing the corruption of the data.
또한, 커널을 침입 탐지 엔진으로 구현함과 더불어 각 데이터의 흐름 경로상에 설치함으로써 전송 대상 컴퓨터 시스템으로의 해당 이상 발생 데이터의 전송이 이루어지기 전에 상기 이상 발생 데이터의 차단 수행이 가능해 짐에 따라 각종 해킹 공격에 대한 방어가 보다 완전하게 수행될 수 있는 효과가 있다.In addition, by implementing the kernel as an intrusion detection engine and installing it on the flow path of each data, it is possible to block the anomaly data before the corresponding anomaly data is transmitted to the computer system to be transmitted. There is an effect that the defense against hacking attacks can be carried out more completely.
Claims (23)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020010080182A KR100543664B1 (en) | 2001-12-17 | 2001-12-17 | system for protecting of network and operation method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020010080182A KR100543664B1 (en) | 2001-12-17 | 2001-12-17 | system for protecting of network and operation method thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20030049853A true KR20030049853A (en) | 2003-06-25 |
KR100543664B1 KR100543664B1 (en) | 2006-01-20 |
Family
ID=29575638
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020010080182A KR100543664B1 (en) | 2001-12-17 | 2001-12-17 | system for protecting of network and operation method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100543664B1 (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030080412A (en) * | 2002-04-08 | 2003-10-17 | (주)이카디아 | method of preventing intrusion from an exterior network and interior network |
KR20040009225A (en) * | 2002-07-23 | 2004-01-31 | 엘지엔시스(주) | Method of network packet checking by kernel hooking |
KR100471636B1 (en) * | 2002-04-08 | 2005-03-08 | 씨에이치케이한강 주식회사 | system for processing a packet on a network of computer systems using a multi-bridge mode |
US7664950B2 (en) | 2003-11-11 | 2010-02-16 | Electronics And Telecommunications Research Institute | Method for dynamically changing intrusion detection rule in kernel level intrusion detection system |
KR101042291B1 (en) * | 2009-11-04 | 2011-06-17 | 주식회사 컴트루테크놀로지 | System and method for detecting and blocking to distributed denial of service attack |
CN114124644A (en) * | 2021-11-17 | 2022-03-01 | 烽火通信科技股份有限公司 | Ethernet OAM (operation administration and maintenance) alarming method and device based on Linux kernel mode |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101006113B1 (en) * | 2007-12-17 | 2011-01-07 | 한국전자통신연구원 | Method and apparatus for checking firewall policy |
KR102220774B1 (en) * | 2020-11-11 | 2021-02-26 | 한화시스템(주) | System and method for encryption processing in terminal |
KR102220775B1 (en) * | 2020-11-11 | 2021-02-26 | 한화시스템(주) | System and method for encryption processing in terminal |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3599552B2 (en) * | 1998-01-19 | 2004-12-08 | 株式会社日立製作所 | Packet filter device, authentication server, packet filtering method, and storage medium |
KR20010090014A (en) * | 2000-05-09 | 2001-10-18 | 김대연 | system for protecting against network intrusion |
KR100383224B1 (en) * | 2000-05-19 | 2003-05-12 | 주식회사 사이젠텍 | Linux-Based Integrated Security System for Network and Method thereof, and Semiconductor Device Having These Solutions |
KR100498747B1 (en) * | 2000-11-25 | 2005-07-01 | 엘지전자 주식회사 | Integration security system of local network |
KR100434205B1 (en) * | 2001-07-26 | 2004-06-04 | 펜타시큐리티시스템 주식회사 | Multi-layered intrusion detection engine |
KR100466798B1 (en) * | 2001-12-29 | 2005-01-17 | (주)대정아이앤씨 | Public network and private network combination security system and method thereof |
-
2001
- 2001-12-17 KR KR1020010080182A patent/KR100543664B1/en active IP Right Grant
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030080412A (en) * | 2002-04-08 | 2003-10-17 | (주)이카디아 | method of preventing intrusion from an exterior network and interior network |
KR100471636B1 (en) * | 2002-04-08 | 2005-03-08 | 씨에이치케이한강 주식회사 | system for processing a packet on a network of computer systems using a multi-bridge mode |
KR20040009225A (en) * | 2002-07-23 | 2004-01-31 | 엘지엔시스(주) | Method of network packet checking by kernel hooking |
US7664950B2 (en) | 2003-11-11 | 2010-02-16 | Electronics And Telecommunications Research Institute | Method for dynamically changing intrusion detection rule in kernel level intrusion detection system |
KR101042291B1 (en) * | 2009-11-04 | 2011-06-17 | 주식회사 컴트루테크놀로지 | System and method for detecting and blocking to distributed denial of service attack |
CN114124644A (en) * | 2021-11-17 | 2022-03-01 | 烽火通信科技股份有限公司 | Ethernet OAM (operation administration and maintenance) alarming method and device based on Linux kernel mode |
CN114124644B (en) * | 2021-11-17 | 2023-10-03 | 烽火通信科技股份有限公司 | Ethernet OAM alarm method and device based on Linux kernel mode |
Also Published As
Publication number | Publication date |
---|---|
KR100543664B1 (en) | 2006-01-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6894003B2 (en) | Defense against APT attacks | |
US11050712B2 (en) | System and method for implementing content and network security inside a chip | |
JP6086968B2 (en) | System and method for local protection against malicious software | |
US9325725B2 (en) | Automated deployment of protection agents to devices connected to a distributed computer network | |
EP1817685B1 (en) | Intrusion detection in a data center environment | |
US6735702B1 (en) | Method and system for diagnosing network intrusion | |
US20030084322A1 (en) | System and method of an OS-integrated intrusion detection and anti-virus system | |
WO2018095098A1 (en) | Network security protection method and device | |
KR20050120875A (en) | Method for securing system using server security solution and network security solution, and security system implementing the same | |
JP2007521718A (en) | System and method for protecting network quality of service against security breach detection | |
KR101553264B1 (en) | System and method for preventing network intrusion | |
JP6256773B2 (en) | Security system | |
Song et al. | Cooperation of intelligent honeypots to detect unknown malicious codes | |
KR100543664B1 (en) | system for protecting of network and operation method thereof | |
US20050086512A1 (en) | Worm blocking system and method using hardware-based pattern matching | |
KR101006372B1 (en) | System and method for sifting out the malicious traffic | |
CN114172881B (en) | Network security verification method, device and system based on prediction | |
JP2008011008A (en) | Unauthorized access prevention system | |
US20080215721A1 (en) | Communication monitoring system, communication monitoring apparatus and communication control apparatus | |
EP2103073B1 (en) | Method and system for controlling a computer application program | |
Selvaraj et al. | Enhancing intrusion detection system performance using firecol protection services based honeypot system | |
KR20160052978A (en) | Ids system and method using the smartphone | |
Dyer et al. | Personal firewalls and intrusion detection systems | |
CN117955675A (en) | Network attack defending method and device, electronic equipment and storage medium | |
US20050262565A1 (en) | Method and systems for computer security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130110 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20140123 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20150106 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20160114 Year of fee payment: 11 |
|
FPAY | Annual fee payment |
Payment date: 20170106 Year of fee payment: 12 |
|
FPAY | Annual fee payment |
Payment date: 20180110 Year of fee payment: 13 |
|
FPAY | Annual fee payment |
Payment date: 20190110 Year of fee payment: 14 |