KR20030056148A - 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템 및침입 탐지방법 - Google Patents

다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템 및침입 탐지방법 Download PDF

Info

Publication number
KR20030056148A
KR20030056148A KR1020010086312A KR20010086312A KR20030056148A KR 20030056148 A KR20030056148 A KR 20030056148A KR 1020010086312 A KR1020010086312 A KR 1020010086312A KR 20010086312 A KR20010086312 A KR 20010086312A KR 20030056148 A KR20030056148 A KR 20030056148A
Authority
KR
South Korea
Prior art keywords
intrusion
intrusion detection
pattern
network
audit data
Prior art date
Application number
KR1020010086312A
Other languages
English (en)
Other versions
KR100432168B1 (ko
Inventor
김병구
정연서
류걸우
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2001-0086312A priority Critical patent/KR100432168B1/ko
Publication of KR20030056148A publication Critical patent/KR20030056148A/ko
Application granted granted Critical
Publication of KR100432168B1 publication Critical patent/KR100432168B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템에 관한 것으로, 하위 네트워크 계층인 인터페이스로부터 실제 네트워크 패킷을 받아서 축약 감사 데이터를 생성하는 네트워크 패킷정보 추출수단; 상기 네트워크 패킷정보 추출수단에서 생성된 축약 감사 데이터에 대해 다중 침입탐지 객체를 이용하여 침입 유무를 분석하고 그 분석 결과를 사이버 순찰 에이전트로 제공해 주는 네트워크 침입탐지 수행수단; 상기 네트워크 침입탐지 수행수단에서 침입 유무를 판정하기 위해서 요구되는 침입패턴이 저장된 침입패턴 데이터베이스; 보안 게이트웨이 시스템에 대한 전체 관리 및 경보 메시지 생성 및 전달을 담당하는 사이버 순찰 에이전트; 및 상기 사이버 순찰 에이전트로부터의 정책 전달 및 경보 메시지 전달을 담당하는 경보 처리수단;를 포함하며, 이러한 구성에 의하면 네트워크로부터 패킷을 수집하고 다중 침입탐지 객체를 이용함으로써 침입여부를 판단할 수 있다.

Description

다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템 및 침입 탐지방법{Multiple Intrusion Detection Objects in Security Gateway System for Network Intrusion Detection}
본 발명은 네트워크 침입탐지를 위한 보안 게이트웨이 시스템에 관한 것으로, 상세하게는 네트워크로부터 패킷을 수집하고 이로부터 침입 여부를 판단하도록 된 다중 침입탐지 객체를 이용한 게이트웨이 시스템 및 침입 탐지방법에 관한 것이다.
인터넷의 발전은 전송 속도의 고속화, 대용량의 데이터 전송 등을 가져와 업무 효율을 향상시키고 생활의 질을 높여주며 국가 경쟁력을 강화시켜주는 긍정적인 효과를 거두고 있는 반면에, 인터넷 확장으로 인한 외부자의 시스템 불법 침입, 중요 정보의 유출 및 변경 훼손 불법적인 사용, 컴퓨터 바이러스 및 서비스 거부 등 부정적인 기능들도 날로 증대하고 있으며, 이로 인한 피해 규모가 심각한 수준에 이르고 있다.
즉, 네트워크를 통한 침입의 탐지와 차단을 간과할 수 없으며, 침입 탐지를 위한 시스템의 개발은 정보 보호 측면에서 많은 연구 과제를 내포하고 있다.
종래의 침입탐지 기법은 탐지방법을 중심으로 이루어지는 침입탐지 모델 기반의 분류방법과 탐지 영역을 중심으로 분류하는 데이터 소스(Data Source) 기반의 분류방법으로 크게 나눌 수 있다.
상기 침입탐지 모델 기반의 분류는 다시 비정상적인 침입탐지 기법과 오용 침입탐지 기법으로 나뉠 수 있으며, 이러한 침입탐지 모델은 침입 탐지 시스템 개발에 있어 요구되는 침입 패턴 분석과 유형별 분류 및 탐지 방법 등을 연구함에 있어 많은 기반 정보들을 제공한다.
상기 데이터 소스 기반의 분류는 다시 호스트와 네트워크 기반의 침입탐지 시스템으로 분류될 수 있으며, 이는 데이터 소스에 따라 각기 다른 종류의 침입유형을 탐지하게 된다.
상기와 같은 침입탐지 기법이 적용되는 종래의 침입탐지 시스템은 호스트나 네트워크로부터 데이터를 수집하며, 수집된 데이터는 특정 침입탐지 모델을 적용하여 분석된다. 즉, 호스트의 로그 정보나 시스템 호출 정보 등과 네트워크 상의 패킷 정보들에 대한 분석 결과에 따라 적절한 대응이 이루어지게 된다.
지금까지 국내외적으로 여러 종류의 침입탐지 시스템들이 개발되고 있다. 이러한 시스템들에 대해서는 침입을 정보 접근, 정보 조작, 시스템 무기력화 등에 대한 고의적이면서도 불법적인 시도의 잠재 가능성으로 정의하고 시스템 또는 전산망 침입탐지 연구 필요성의 인식과 함께 지속적인 연구가 진행되어 왔다.
초기의 침입탐지에 대한 연구는 단일 호스트 중심의 연구에서 출발하였으나, 인터넷의 발전은 이의 영역이 네트워크로 확대될 것을 요구한다.
SRI 인터내셔널의 CSL(Computer Science Laboratory)에서 시작된 연구 결과인 NIDES(Next-generation Intrusion-Detection System)는 통계 알고리즘을 이용한 비정상적 행위탐지 기법과 알려진 침입 형태에 대한 전문가 시스템을 적용하는 오용 침입탐지 기법 모두를 이용하며, 그 기능성과 성능을 지속적으로 향상시켜왔다.
현재 NIDES 프로토콜 타입은 구성요소의 재사용과 구성을 용이하게 하는 형태를 지닌 시스템으로 평가받고 있으며, 이러한 기술은 시스템 보안 향상에 계속적으로 공헌하고 있다.
또한, NIDES의 구조는 네트워크 데이터의 수집과 이에 대한 규칙기반과 통계 분석을 통한 네트워크 모니터링과 침입탐지를 수행할 수 있도록 확장될 수 있으며, 여러 NIDES 간의 상호협력이 가능하도록 확장될 수 있다.
그러나, 기존의 대다수 침입탐지 시스템들은 일반적으로 단일 시스템 환경에 적합하게 설계되고 적용됨으로써, 대규모 네트워크로의 확장에 어려움을 가지게 되었다.
또한, NIDES와 같이 이를 확장할 수 있는 구조를 가졌다 하더라도 대규모의 데이터 처리와 침입탐지 수행에 걸리는 부하 문제, 시스템 안정성 문제 등 시스템 확장에 따른 성능 보장 문제는 큰 문제점으로 인식된다.
본 발명은 상기한 종래의 문제점을 해결하기 위한 것으로서, 본 발명의 목적은 대상 보안 게이트웨이 시스템에서의 효율적인 침입탐지 수행을 위해서 객체 지향 모델링을 기반으로 한 다중의 침입탐지 객체들을 생성하고, 각 침입탐지 객체별로 네트워크 패킷에 대한 축약 감사 데이터를 분석함으로써 침입 여부를 판단하도록 된 다중 침입탐지 객체들을 이용한 보안 게이트웨이 시스템 및 침입 탐지방법을 제공하는데 있다.
상기 목적을 달성하기 위한 본 발명은 하위 네트워크 계층인 인터페이스로부터 실제 네트워크 패킷을 받아서 축약 감사 데이터를 생성하는 네트워크 패킷정보 추출수단; 상기 네트워크 패킷정보 추출수단에서 생성된 축약 감사 데이터에 대해 침입 유무를 분석하고 그 분석 결과를 제공해 주는 네트워크 침입탐지 수행수단; 상기 네트워크 침입탐지 수행수단에서 침입 유무를 판정하기 위해서 요구되는 침입패턴이 저장된 침입패턴 데이터베이스; 보안 게이트웨이 시스템에 대한 전체 관리 및 경보 메시지 생성 및 전달을 담당하는 사이버 순찰 에이전트; 및 상기 사이버 순찰 에이전트로부터의 정책 전달 및 경보 메시지 전달을 담당하는 경보 처리수단;를 포함하는 다중 침입탐지 객체들을 이용한 침입탐지기능을 구비한 보안 게이트웨이 시스템을 제공한다.
본 발명은 단일 매칭에 의해서 탐지 가능한 침입들에 대한 침입을 탐지하기 위한 방법에 있어서, 메시지 큐로부터 축약 감사 데이터를 읽는 단계; 상기 축약 감사 데이터에 대응하기 위해 해당 침입탐지 분석객체를 다중 침입탐지 객체들로부터 선택하는 단계; 선택된 상기 침입탐지 분석객체에 대한 침입 패턴객체를 침입패턴 스택으로부터 읽고 해당 침입패턴들을 검색하는 단계; 및 검색된 침입패턴이 상기 축약 감사 데이터와 매칭할 경우 경보를 전송하는 단계;를 포함하는 루틴을 통해 침입을 탐지하는 보안게이트웨이 시스템에서 다중 침입탐지 객체를 이용한 침입탐지 방법을 제공한다.
또한 본 발명은 상태변화에 의해서 탐지 가능한 침입들에 대한 침입을 탐지하기 위한 방법에 있어서, 메시지 큐로부터 축약 감사 데이터를 읽는 단계; 상기 축약 감사 데이터에 대응하기 위한 침입탐지 분석객체를 선택하는 단계; 선택된 상기 침입탐지 분석객체에 대한 침입 패턴객를 침입패턴 스택으로부터 읽고 해당 침입패턴들을 검색하는 단계; 및 검색된 침입패턴에 대해 초기 상태인지 마지막 상태인지 구분하고, 초기 상태일 경우 해당 검색패턴을 상기 침입패턴 스택에 삽입하는 단계; 검색된 침입패턴이 마지막 상태일 경우에는 경보를 전송하고, 마지막이 아닐 경우에는 타임 스탬프를 판단하는 단계; 상기 검색된 침입패턴이 타임 스탬프를 초과할 경우 검색패턴 객체에서 삭제하고, 반대로 타임 스탬프를 초과하지 않을 경우 다음 패턴을 검색하거나 새로운 축약 감사 데이터를 읽는 단계;를 포함하는 루틴을 통해 침입을 탐지하는 보안 게이트웨이 시스템에서 다중 침입탐지 객체를 이용한 침입탐지 방법을 제공한다.
도 1은 보안 게이트웨이 시스템이 위치하는 서비스망 구성도,
도 2는 본 발명에 따른 다중 침입탐지 객체들을 이용한 침입탐지기능을 구비한 보안 게이트웨이 시스템을 도시한 구성도,
도 3은 네트워크 패킷 정보추출 및 송신장치로부터의 축약 감사 데이터를 네트워크 침입탐지 수행장치가 수신하는 방식을 도시한 블록도,
도 4는 단일 매칭에 의해서 탐지 가능한 침입들에 대한 침입탐지 수행 흐름도,
도 5는 상태 변화에 의해서 탐지 가능한 침입들에 대한 침입탐지 수행 흐름도,
도 6은 다중 침입탐지 객체들을 제어하기 위한 스택 제어 방법을 도시한 블록도이다.
*도면의 주요 부분에 대한 부호의 설명*
100: 사이버 순찰 제어 시스템200: 보안 게이트웨이 시스템
201: 경보처리장치202: 사이버 순찰 에이전트
203: 네트워크 침입탐지 수행장치204: 침입패턴 데이터베이스
205: 네트워크 패킷정부 추출장치
이하, 본 발명의 바람직한 실시예를 첨부된 도면을 통해 설명한다. 도 1은 본 발명에 따른 보안 게이트웨이 시스템이 위치하는 서비스망 구성도이다.
도면을 참조하면, 본 발명은 사이버 순찰 제어시스템(100)을 통해 다수의 보안 게이트웨이 시스템(200)들을 보호하는 서비스망을 형성하고 있다.
상기 사이버 순찰 제어시스템(100)은 하위 보안 게이트웨이 시스템(200)들로부터의 보안 경보를 수신하고, 이에 대한 대응 정책을 수립하여 전달하는 역할을 수행하고, 상기 보안 게이트웨이 시스템(200)은 내부의 주요 장치들을 가지고 독립적으로 동작할 수 있고, 전체 광역망에 널리 분포되어 수행된다.
도 2는 상기 보안 게이트웨이 시스템(200)을 개략적으로 도시한 블록구성도이다.
도면을 참조하면, 본 발명의 보안 게이트웨이 시스템(200)은 하위 네트워크 계층인 인터페이스로부터 실제 네트워크 패킷을 받아서 축약 감사 데이터를 생성하는 네트워크 패킷정보 추출장치(205), 상기 네트워크 패킷정보 추출수단에서 생성된 축약 감사 데이터에 대해 침입 유무를 분석하고 그 분석 결과를 제공해 주는 네트워크 침입탐지 수행장치(203), 상기 네트워크 침입탐지 수행수단에서 침입 유무를 판정하기 위해서 요구되는 침입패턴이 저장된 침입패턴 데이터베이스(204), 보안 게이트웨이 시스템에 대한 전체 관리 및 경보 메시지 생성 및 전달을 담당하는 사이버 순찰 에이전트(202) 및 상기 사이버 순찰 에이전트로부터의 정책 전달 및 경보 메시지 전달을 담당하는 경보 처리장치(201)을 포함한다.
또한 상기 네트워크 침입탐지 수행장치(203)는 이벤트 수신 메시지큐 제어기(236), 경보 전달 메시지큐 제어기(231), 시스널 제어기(232) 데이터베이스 제어기(234), 침입탐지 수행엔진(235) 및 경보생성기(233)를 포함하고 있다.
이와 같이 구성된 네트워크 침입탐지 수행장치(203)는 상기 이벤트 수신 메시지 큐 제어기(236)에서 하부의 상기 네트워크 패킷 정보 추출장치(205)로부터 축약 감사 데이터를 수신하게 되며, 경보 전달 메시지 큐 제어기(231)는 침입탐지 수행 결과에 따른 경보 메시지를 상위의 사이버 순찰 에이전트(202)로 전달한다.
또한 시그널 제어기(232)는 사이버 순찰 시스템(100)에서 전달된 정책을 상기 네트워크 침입탐지 수행장치(203)에 적용하며, 데이터베이스 제어기(234)는 상기 침입패턴 데이터베이스 장치(204)로부터 해당 침입패턴 정보들을 처리한다.
침입탐지 수행 엔진(235)은 상기 제어기들로부터 제공되는 정보를 바탕으로 다중의 침입탐지 객체들을 이용한 침입탐지를 수행하고, 경보 생성기(233)는 상기 축약 감사 데이터에 대한 침입유무에 따른 경보 메시지를 생성한다.
또한 본 발명의 네트워크 패킷정보 추출장치(205)는 도 3과 같이 하위 네트워크 계층인 광역망 인터페이스로부터 실제 네트워크 패킷을 받아서 생성된 축약 감사 데이터를 서비스 및 프로토콜 별로 침입을 탐지하기 위한 메시지 큐(301)와 트래픽 측정을 기반으로 침입을 탐지하기 위한 메시지 큐(302)로 분리하여 상위 네트워크 침입탐지 수행장치(203)로 전달한다.
그리고 이벤트 수신 메시지 큐 제어기(236)에서는 상기 메시지큐(301)(302)들로부터의 축약 감사 데이터를 침입탐지 수행엔진(235) 내의 적절한 침입탐지 분석 객체로 배분하는 기능을 수행하며, 따라서 본 발명은 두 개의 메시지 큐(301) (302)를 사용함으로써 보다 빠른 데이터 처리가 가능하다.
도 4는 본 발명에 따른 단일 매칭에 의해서 탐지 가능한 침입들에 대한 침입탐지 수행방법을 설명하기 위한 흐름도이다.
도면을 참조하면, 본 발명은 상기 네트워크 침입탐지 수행장치(203)에서 단일 매칭에 의해서 탐지 가능한 침입들에 대한 침입탐지를 수행하는 것으로, 이 네트워크 침입탐지 수행장치(203)에서는 우선 메시지 큐(301,302)로부터 축약 감사 데이터를 읽고(S401), 해당 축약 감사 데이터에 대한 적절한 침입탐지 분석객체를 선택하게 된다(S402).
즉, DNS 분석객체, WEB 분석객체, FTP 분석객체, RPC 분석객체, TCP 분석객체, UDP 분석개체 및 ICMP 분석객체 등으로 이루어진 다중 침입탐지 객체들로부터 상기 축약 감사 데이터에 대응하는 분석객체를 선택하게 된다.
이후, 선택된 침입탐지 분석객체에 대한 침입 패턴 객체를 침입 패턴스택(403)으로부터 읽고(S404), 해당 침입 패턴들을 검색한다(S405).
상기한 방법에 의해 침입 패던들에 검색이 완료되면, 검색된 패턴을 하위로부터의 축약 감사 데이터와 매칭(S406)시킬지 판단하고, 판단 결과 검색 패턴이 축약 감사 데이터와 매칭이 될 경우 경보를 전송(S407)하게 되며. 그렇지 않을 경우 메시지 큐(301,302)로부터 새로운 축약 감사데이터를 읽어 들이는 루틴을 수행하게 된다.
도 5는 본 발명에서 상태 변화에 의해서 탐지 가능한 침입들에 대해 침입탐지 수행방법을 설명하기 위한 흐름도이다.
도면을 참조하면, 본 발명은 상기 네트워크 침입탐지 수행 장치(203)에서 상태 변화에 의해서 탐지 가능한 침입들에 대한 침입탐지를 수행하게 되는데, 이때는 도 4에 도시된 바와 달리 서비스 거부 공격 등의 트래픽 양을 측정함으로써 침입 여부를 판단하게 된다.
먼저, 도 4에 도시된 경우와 동일한 방식으로 네트워크 침입탐지수행장치(203)에서는 우선 메시지 큐(301,302)로부터 축약 감사 데이터를 읽고(S501), 해당 축약 감사 데이터에 대한 적절한 침입탐지 분석객체를 선택하게 된다(S502).
이후, 선택된 침입탐지 분석객체에 대한 침입 패턴 객체를 침입 패턴스택(403)으로부터 읽고(S504), 해당 침입 패턴들을 검색(S505)한 후 검색된 패턴이 초기 상태인지를 판단(S506)하게 된다.
스텝 506에서 판단결과, 검색된 패턴이 초기 상태라면 해당 검색 패턴을 침입 패턴 스택에 삽입(507)하고, 그렇지 않을 경우 마지막 상태인지를 점검한다(S508).
스텝 508에서 판단결과, 검색된 패턴이 마지막 상태라면 경보를 전송하고(S512), 그렇지 않을 경우 타임 스탬프 초과 유무를 점검한다(S509).
스텝 509에서 판단 결과, 타임 스탬프가 초과했다면 검색된 패턴 객체를 침입 패턴 스택(503)에서 삭제하고(S511), 그렇지 않다면 다음 패턴을 검색하거나 새로운 축약 감사 데이터를 읽게 된다.
본 발명에서 상기 검색 패턴 삽입 및 삭제는 개별 패턴 객체에 대해서 수행하며, 개별 패턴이 아니고 해당 분석 객체의 기본적인 전체 패턴들을 나타내는 객체일 때는 수행하지 않는다.
도 6은 본 발명에 따른 다중 침입탐지 객체들을 제어하기 위한 스택 제어방법을 설명하기 위한 블록도이다.
도면을 참조하면, 본 발명의 네트워크 침입탐지 수행장치(203)에서는 다중침입탐지 객체들을 제어하기 위하여 침입 패턴 스택을 제어하여 도 5에 도시된 바와 같이 상태 변화에 의해서 탐지 가능한 침입들에 대한 침입탐지를 수행하는데 이용한다.
침입 패턴 스택(602)은 크게 분류별 패턴 객체(603)와 개별 패턴 객체(604)를 포함하며, 분류별 패턴 객체(603)는 해당 분석 객체의 전체 패턴을 포함하는 패턴 객체를 나타낸다.
상기 분류별 패턴 객체(603)와는 달리 개별 패턴 객체(604)는 단일 검색 패턴을 가리키며, 최근에 검색된 패턴을 미리 검색할 수 있도록 하기 위해서 생성된다.
본 발명의 보안 게이트웨이 시스템(200)은 시스템을 초기화(S601)할 대 침입 패턴 스택(602)이 분류별 패턴 객체(603)만을 지니게 되며, 초기에 해당 축약 감사 데이터에 대한 패턴을 검색하기 위해서 상기 분류별 패턴 객체(603)로부터 검색할 패턴들을 읽고(S605), 이에 대한 패턴을 검색한다(S606).
최초 검색된 패턴(608)은 초기 상태로 설정되어서(S607) 침입 패턴 스택(602)에 개별 패턴 객체(604)로 삽입되며, 이에 따라서 다음 검색 시에 최우선 검색 순위를 차지하게 된다.
마지막으로 해당 검색 패턴이 시간 초과 상태에 있을 시(S609)에는 침입 패턴 스택(602)으로부터 해당 패턴을 파기하게 된다(S610).
이상에서 설명한 것은 본 발명에 따른 다중 침입탐지 객체들을 이용한 침입탐지기능을 구비한 보안 게이트웨이 시스템을 실시하기 위한 하나의 실시예에 불과한 것으로서, 본 발명은 상기한 실시예에 한정되지 않고, 이하의 특허청구의 범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변경 실시가 가능한 범위까지 본 발명의 기술적 사상에 포함된다 할 것이다.
이상에서 설명한 바와 같이 본 발명은 보안 게이트웨이 시스템에서의 효율적인 침입탐지 수행을 위해서 객체 지향 모델링을 기반으로 한 다중의 침입탐지 객체들을 생성하고, 각 침입탐지 객체 별로 네트워크 패킷에 대한 축약 감사 데이터를 분석함으로써 침입 여부를 판단하도록 되어 있기 때문에, 종래의 침입탐지 시스템보다 월등히 빠른 침입 탐지와 검색을 수행할 수 있는 장점이 있다.
또한, 본 발명에 따른 다중 침입탐지 객체들을 이용한 침입탐지기능을 구비한 보안 게이트웨이 시스템은 광역 망에서의 효율적인 침입탐지를 수행할 수 있으며, 여러 개의 침입탐지 객체를 생성함으로써 침입탐지 수행에 대한 부하를 분산하고 이로 인한 시스템 안정성을 보장할 수 있다는 장점이 있다.

Claims (8)

  1. 하위 네트워크 계층인 인터페이스로부터 실제 네트워크 패킷을 받아서 축약 감사 데이터를 생성하는 네트워크 패킷정보 추출수단;
    상기 네트워크 패킷정보 추출수단에서 생성된 축약 감사 데이터에 대해 다중 침입탐지 객체를 이용하여 침입 유무를 분석하고 그 분석 결과를 사이버 순찰 에이전트로 제공해 주는 네트워크 침입탐지 수행수단;
    상기 네트워크 침입탐지 수행수단에서 침입 유무를 판정하기 위해서 요구되는 침입패턴이 저장된 침입패턴 데이터베이스;
    보안 게이트웨이 시스템에 대한 전체 관리 및 경보 메시지 생성 및 전달을 담당하는 사이버 순찰 에이전트; 및
    상기 사이버 순찰 에이전트로부터의 정책 전달 및 경보 메시지 전달을 담당하는 경보 처리수단;를 포함하여 구성된 것을 특징으로 하는 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템.
  2. 제 1항에 있어서, 상기 네트워크 패킷정보 추출수단은
    상기 축약 감사 데이터를 서비스 및 프로토콜별 침입을 탐지하기 위한 메시지 큐와, 트래픽 측정을 기반으로 침입을 탐지하기 위한 메시지 큐로 분리하여 상기 상위 네트워크 침입탐지 수행수단으로 전달하는 것을 특징으로 하는 다중 침입탐지 객체들을 이용한 침입탐지기능을 구비한 보안 게이트웨이 시스템.
  3. 제 1항에 있어서, 상기 네트워크 침입탐지 수행수단은
    하부의 상기 네트워크 패킷 정보 추출 및 송신 장치로부터 축약 감사 데이터를 수신하는 이벤트 수신 메시지 큐 제어기;
    침입탐지 수행 결과에 따른 경보 메시지를 상위의 사이버 순찰 에이전트로 전달하는 경보 전달 메시지 큐 제어기;
    상위로부터의 정책을 상기 네트워크 침입탐지 수행 장치에 적용하는 시그널 제어기;
    상기 침입패턴 데이터베이스 장치로부터 해당 침입패턴 정보들을 처리하는 데이터베이스 제어기;
    상기 제어기들로부터 제공되는 정보를 바탕으로 다중의 침입탐지 객체들을 이용한 침입탐지를 수행하는 침입탐지 수행 엔진; 및
    상기 축약 감사 데이터에 대한 침입유무에 따른 경보 메시지를 생성하는 경보 생성기;로 구성되는 것을 특징으로 하는 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템.
  4. 제 1항 또는 제 3항 중 어느 한 항에 있어서, 상기 네트워크 침입탐지 수행수단은
    해당 축약 감사 데이터가 침입인지의 유무를 판단하기 위해서 적절한 침입탐지 분석객체들로 전달하고 각각의 침입탐지 분석객체 내에 포함된 침입 패턴들을 검색함으로써 침입 유무를 판단하는 것을 특징으로 하는 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템.
  5. 제 1항 또는 제 3항 중 어느 한 항에 있어서, 상기 네트워크 침입탐지 수행장치는
    메시지 큐로부터 읽은 축약 감사 데이터에 대한 침입 탐지 분석 객체를 선택한 후, 선택된 침입 탐지 분석 객체에 대한 침입 패턴 객체를 침입패턴 스택으로부터 읽고, 분류별 침입패턴 객체와 개별 침입패턴 객체를 상태 전이에 따라 적절하게 삽입하고 제거함으로써 침입 유무를 판단하는 것을 특징으로 하는 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템.
  6. 제 1항 또는 제 3항 중 어느 한 항에 있어서, 상기 네트워크 침입탐지 수행장치는
    해당 축약 감사 데이터의 트래픽 측정을 기반으로 침입 유무를 판단하기 위해서, 침입탐지 분석 객체 내에 포함된 침입 패턴들의 상태를 각각 표시하고, 초기상태, 마지막 상태, 타임스탬프 점검을 통한 상태 전이에 기초하여 침입탐지를 수행하는 것을 특징으로 하는 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템.
  7. 단일 매칭에 의해서 탐지 가능한 침입들에 대한 침입을 탐지하기 위한 방법에 있어서,
    메시지 큐로부터 축약 감사 데이터를 읽는 단계;
    상기 축약 감사 데이터에 대응하기 위해 해당 침입탐지 분석객체를 다중 침입탐지 객체들로부터 선택하는 단계;
    선택된 상기 침입탐지 분석객체에 대한 침입 패턴객체를 침입패턴 스택으로부터 읽고 해당 침입패턴들을 검색하는 단계; 및
    검색된 침입패턴이 상기 축약 감사 데이터와 매칭할 경우 경보를 전송하는 단계;를 포함하는 루틴을 통해 침입을 탐지하는 것을 특징으로 하는 보안게이트웨이 시스템에서 다중 침입탐지 객체를 이용한 침입탐지 방법.
  8. 상태변화에 의해서 탐지 가능한 침입들에 대한 침입을 탐지하기 위한 방법에 있어서,
    메시지 큐로부터 축약 감사 데이터를 읽는 단계;
    상기 축약 감사 데이터에 대응하기 위한 침입탐지 분석객체를 선택하는 단계;
    선택된 상기 침입탐지 분석객체에 대한 침입 패턴객를 침입패턴 스택으로부터 읽고 해당 침입패턴들을 검색하는 단계; 및
    검색된 침입패턴에 대해 초기 상태인지 마지막 상태인지 구분하고, 초기 상태일 경우 해당 검색패턴을 상기 침입패턴 스택에 삽입하는 단계;
    검색된 침입패턴이 마지막 상태일 경우에는 경보를 전송하고, 마지막이 아닐 경우에는 타임 스탬프를 판단하는 단계;
    상기 검색된 침입패턴이 타임 스탬프를 초과할 경우 검색패턴 객체에서 삭제하고, 반대로 타임 스탬프를 초과하지 않을 경우 다음 패턴을 검색하거나 새로운 축약 감사 데이터를 읽는 단계;를 포함하는 루틴을 통해 침입을 탐지하는 것을 특징으로 하는 보안 게이트웨이 시스템에서 다중 침입탐지 객체를 이용한 침입탐지 방법.
KR10-2001-0086312A 2001-12-27 2001-12-27 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템 및침입 탐지방법 KR100432168B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0086312A KR100432168B1 (ko) 2001-12-27 2001-12-27 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템 및침입 탐지방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0086312A KR100432168B1 (ko) 2001-12-27 2001-12-27 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템 및침입 탐지방법

Publications (2)

Publication Number Publication Date
KR20030056148A true KR20030056148A (ko) 2003-07-04
KR100432168B1 KR100432168B1 (ko) 2004-05-17

Family

ID=32214369

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0086312A KR100432168B1 (ko) 2001-12-27 2001-12-27 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템 및침입 탐지방법

Country Status (1)

Country Link
KR (1) KR100432168B1 (ko)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040048468A (ko) * 2002-12-03 2004-06-10 노봉남 감사로그 상관관계 알고리즘을 통한 침입 탐지율 향상 방법
KR100467746B1 (ko) * 2002-03-26 2005-01-24 한정보통신 주식회사 주소 분할에 의한 다중필드 분류시스템
KR100523980B1 (ko) * 2002-12-10 2005-10-26 한국전자통신연구원 연결 공격을 역추적하기 위한 응답 패킷 워터마크 생성/삽입 장치 및 방법
KR100604638B1 (ko) * 2002-11-01 2006-07-28 한국전자통신연구원 계층 분석 기반의 침입 탐지 시스템 및 그 방법
KR100734872B1 (ko) * 2005-12-12 2007-07-03 한국전자통신연구원 Rfid 응용레벨 이벤트 서비스에 대한 접근 제어 시스템및 그 방법
KR100817799B1 (ko) * 2006-10-13 2008-03-31 한국정보보호진흥원 다중 취약점 점검 도구를 활용한 네트워크 취약점 통합분석 시스템 및 방법
WO2011115856A2 (en) * 2010-03-16 2011-09-22 Genband Us, Llc Methods, systems, and computer readable media for providing application layer firewall and integrated deep packet inspection functions for providing early intrusion detection and intrusion prevention at an edge networking device
CN114301739A (zh) * 2021-12-29 2022-04-08 北京国家新能源汽车技术创新中心有限公司 一种中央网关安全架构、***及存储介质

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100628325B1 (ko) 2004-12-20 2006-09-27 한국전자통신연구원 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5991881A (en) * 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
KR20000010253A (ko) * 1998-07-31 2000-02-15 최종욱 조정자 에이젼트를 이용한 침입 탐지 시스템 및 침입 탐지 시스템의 침입 탐지 모듈
KR100310860B1 (ko) * 1998-12-17 2001-11-22 이계철 실시간침입탐지시스템에서의에이전트구조를이용한실시간침입탐지방법
KR20010105490A (ko) * 2000-05-10 2001-11-29 이영아 해커감지 및 추적시스템
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
KR100351306B1 (ko) * 2001-01-19 2002-09-05 주식회사 정보보호기술 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100467746B1 (ko) * 2002-03-26 2005-01-24 한정보통신 주식회사 주소 분할에 의한 다중필드 분류시스템
KR100604638B1 (ko) * 2002-11-01 2006-07-28 한국전자통신연구원 계층 분석 기반의 침입 탐지 시스템 및 그 방법
KR20040048468A (ko) * 2002-12-03 2004-06-10 노봉남 감사로그 상관관계 알고리즘을 통한 침입 탐지율 향상 방법
KR100523980B1 (ko) * 2002-12-10 2005-10-26 한국전자통신연구원 연결 공격을 역추적하기 위한 응답 패킷 워터마크 생성/삽입 장치 및 방법
KR100734872B1 (ko) * 2005-12-12 2007-07-03 한국전자통신연구원 Rfid 응용레벨 이벤트 서비스에 대한 접근 제어 시스템및 그 방법
KR100817799B1 (ko) * 2006-10-13 2008-03-31 한국정보보호진흥원 다중 취약점 점검 도구를 활용한 네트워크 취약점 통합분석 시스템 및 방법
WO2011115856A2 (en) * 2010-03-16 2011-09-22 Genband Us, Llc Methods, systems, and computer readable media for providing application layer firewall and integrated deep packet inspection functions for providing early intrusion detection and intrusion prevention at an edge networking device
WO2011115856A3 (en) * 2010-03-16 2012-02-02 Genband Us, Llc Methods, systems, and computer readable media for providing application layer firewall and integrated deep packet inspection functions for providing early intrusion detection and intrusion prevention at an edge networking device
CN114301739A (zh) * 2021-12-29 2022-04-08 北京国家新能源汽车技术创新中心有限公司 一种中央网关安全架构、***及存储介质
CN114301739B (zh) * 2021-12-29 2023-08-22 北京国家新能源汽车技术创新中心有限公司 一种中央网关安全架构、***及存储介质

Also Published As

Publication number Publication date
KR100432168B1 (ko) 2004-05-17

Similar Documents

Publication Publication Date Title
US7568232B2 (en) Malicious access-detecting apparatus, malicious access-detecting method, malicious access-detecting program, and distributed denial-of-service attack-detecting apparatus
US7941855B2 (en) Computationally intelligent agents for distributed intrusion detection system and method of practicing same
US7200866B2 (en) System and method for defending against distributed denial-of-service attack on active network
KR100351306B1 (ko) 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법
Jalili et al. Detection of distributed denial of service attacks using statistical pre-processor and unsupervised neural networks
KR101391781B1 (ko) 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법
KR101538709B1 (ko) 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법
US20120124666A1 (en) Method for detecting and preventing a ddos attack using cloud computing, and server
CN108289088A (zh) 基于业务模型的异常流量检测***及方法
CN109167794B (zh) 一种面向网络***安全度量的攻击检测方法
CN111935172A (zh) 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质
CN102257787B (zh) 网络分析
WO2010114363A1 (en) Method and system for alert classification in a computer network
KR20080066653A (ko) 완전한 네트워크 변칙 진단을 위한 방법 및 장치와 트래픽피쳐 분포를 사용하여 네트워크 변칙들을 검출하고분류하기 위한 방법
CN110365674B (zh) 一种预测网络攻击面的方法、服务器和***
CN110769007B (zh) 一种基于异常流量检测的网络安全态势感知方法及装置
CN110035062A (zh) 一种网络验伤方法及设备
EP3623983A1 (en) Method and device for identifying security threats, storage medium, processor and terminal
CN112039862A (zh) 一种面向多维立体网络的安全事件预警方法
CN110798427A (zh) 一种网络安全防御中的异常检测方法、装置及设备
CN106302450A (zh) 一种基于ddos攻击中恶意地址的检测方法及装置
KR100432168B1 (ko) 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템 및침입 탐지방법
KR20100001786A (ko) 서포트 벡터 데이터 명세를 이용한 트래픽 폭주 공격 탐지방법, 그 장치 및 이를 기록한 기록 매체
KR101488271B1 (ko) Ids 오탐 검출 장치 및 방법
RU2531878C1 (ru) Способ обнаружения компьютерных атак в информационно-телекоммуникационной сети

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110429

Year of fee payment: 8

LAPS Lapse due to unpaid annual fee