KR20080090712A - 네트워크 패킷 저장 장치 및 그 방법 - Google Patents

네트워크 패킷 저장 장치 및 그 방법 Download PDF

Info

Publication number
KR20080090712A
KR20080090712A KR1020070033878A KR20070033878A KR20080090712A KR 20080090712 A KR20080090712 A KR 20080090712A KR 1020070033878 A KR1020070033878 A KR 1020070033878A KR 20070033878 A KR20070033878 A KR 20070033878A KR 20080090712 A KR20080090712 A KR 20080090712A
Authority
KR
South Korea
Prior art keywords
packet
network
information
traffic flow
network traffic
Prior art date
Application number
KR1020070033878A
Other languages
English (en)
Other versions
KR100868569B1 (ko
Inventor
최간호
Original Assignee
(주) 시스메이트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 시스메이트 filed Critical (주) 시스메이트
Priority to KR1020070033878A priority Critical patent/KR100868569B1/ko
Publication of KR20080090712A publication Critical patent/KR20080090712A/ko
Application granted granted Critical
Publication of KR100868569B1 publication Critical patent/KR100868569B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/022Capturing of monitoring data by sampling
    • H04L43/024Capturing of monitoring data by sampling by adaptive sampling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • H04L43/106Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크를 통해 들어오는 데이터 패킷을 네트워크 트래픽 플로우 별로 저장하는 네트워크 패킷 저장 장치 및 그 방법이 개시된다. 본 발명의 네트워크 패킷 저장 장치는, 네트워크 인터페이스를 통해 전달되는 데이터 패킷을 수신하는 패킷 캡쳐부; 상기 수신된 패킷에 대한 네트워크 트래픽 플로우 정보와 그 플로우에 대응되는 패킷의 색인 파일에 대응하는 색인 정보를 별도로 관리할 수 있도록 패킷을 가공하는 패킷 가공부; 및 상기 가공된 패킷을 저장하는 저장부를 포함하는 것을 특징으로 한다. 이에 의해 네트워크 트래픽 플로우 별로 패킷을 구분하여 저장함으로써 포렌식 분석시에 네트워크 트래픽 플로우 정보와 이와 연관된 패킷을 분석함으로써 분석 시간을 단축시킬 수 있으며, 보안 사고로 인한 피해를 빠르게 복구하거나 대응할 수 있도록 하여 비용을 절감할 수 있다.

Description

네트워크 패킷 저장 장치 및 그 방법 {Network forensic apparatus and method thereof}
도 1은 본 발명의 네트워크 패킷 저장 장치가 네트워크 장비에 설치되어 있는 일예를 도시한 도면,
도 2는 본 발명의 네트워크 패킷 저장 장치의 구성도,
도 3은 도 2의 패킷 캡쳐부(220)의 상세 구성도,
도 4는 본 발명의 일실시예에 따른 네트워크 트래픽 플로우 레코드 파일, 패킷 색인 파일, 데이터 패킷 파일의 구조를 도시한 도면,
도 5는 본 발명의 네트워크 패킷 저장 방법의 흐름도이다.
본 발명은 네트워크 보안에 관한 것으로, 보다 상세하게는 네트워크를 통해 들어오는 데이터 패킷을 네트워크 트래픽 플로우 별로 저장하는 네트워크 패킷 저장 장치 및 그 방법에 관한 것이다.
인터넷에 접속되어 있는 모든 시스템은 잠재적으로 악의적인 공격의 대상이 된다. 또한 인터넷과 분리된 사설망이라 하더라도 내부 또는 외부 사용자에 의해 서 중요한 정보가 저장되어 있는 시스템은 공격 대상이 될 수 있다. 반대로 내부자에 의해 중요한 정보가 외부로 유출될 수도 있다. 이미 많은 인터넷 서비스 제공 업체, 기업체 및 공공 기관은 보안 사고와 네트워크 공격의 대상이 된 경험이 있으며, 이에 대처하기 위해서 방화벽(firewall) 또는 침입 감지 시스템(Intrusion Detection System, IDS) 등을 네트워크에 설치하여 대응해 오고 있다.
그러나 네트워크 공격의 복잡성이 증가하고 그로 인한 피해가 커짐에 따라 기업체에서 보안 사고로부터 복구하는데 점점 더 많은 시간과 비용이 소요되고 있다. 이와 같은 이유로 네트워크 보안 기술은 자사의 중요 정보를 외부로부터 보호하거나 유출을 방지하기 위한 기술로 그 중요성이 증가하고 있다.
네트워크 관리자가, 중요한 정보를 저장하고 있는 컴퓨터 네트워크를 승인받지 않은 접속, 침입 시도 및 네트워크 공격 등으로부터 보호하기 위해서 취할 수 있는 방법으로는 침입 차단(avoidance), 침입 감지(detection), 사후 분석(investigation)이 있다.
침입차단은 방화벽과 같은 시스템을 이용하여 침입이 의심되는 패킷을 사전에 차단하는 방법과 가상 사설망(Virtual Private Network, VPN), 암호화(Encryption) 및 향상된 승인(authentication)을 이용하여 승인받지 않은 접속이나 침입 시도를 사전에 차단하는 기술이다.
침입 감지는 침입 탐지 시스템과 같은 장비를 이용하여 네트워크의 침입 시도를 검출하는 기술이다. 침입 감지가 발생한 경우 전술한 침입 차단 기술로 침입을 차단할 수 있으며, 이러한 침입 감지 기술에는 호스트 기반 IDS, 네트워크 기반 IDS 및 바이러스 스캐너(virus scanner) 등의 시스템이 있다.
한편, 사후 분석 기술은 보안 사고가 발생하였을 경우 사고로부터 입은 피해를 신속하게 복구하기 위한 기술로서, 같은 보안 사고가 재발하는 것을 방지하고, 향후 대응을 위해서 공격의 증거를 확보하기 위한 기술이다. 이와 같이 사후 분석이 된 공격에 대해서는 전술한 침입 감지 및 침입 차단 기술로 이후의 공격에 대해서 차단할 수 있다.
대부분의 보안 사고에서 이미 알려진 공격 형태의 경우 침입 감지 및 차단 기술에 의해서 차단할 수 있으나, 새로운 형태의 공격에 대해서는 사후 분석을 통해 공격을 구분할 수 있어야 하며, 보안 사고가 발생하였을 경우 대부분의 시간 및 비용은 공격 여부를 분석하는 것에 소요된다.
네트워크 포렌식(forensic) 기술은 전술한 사후 분석 기술에 해당한다. 포렌식 기술은 임의의 사고가 발생하였을 경우 어떠한 사고가 발생하였는지 여부를 결정할 수 있는 증거를 확보하고 정보를 분석하는 기술로서, 이러한 포렌식 분석의 결과로 법적인 증거를 확보하고 유사한 사건의 재발을 방지할 수 있다.
포렌식 기술은 컴퓨터 포렌식(computer forensic)과 네트워크 포렌식(network forensic)으로 분류된다. 컴퓨터 포렌식은 법적인 사건이 발생하였을 경우 범죄의 증거를 확보하기 위해서 용의자의 컴퓨터를 분석하는 기술로 컴퓨터 시스템의 기록장치가 삭제되거나 파손된 경우 이에 저장된 파일을 원상으로 복구하여 증거를 확보하기 위한 기술이다.
네트워크 포렌식은 네트워크상에서 보안 침해 사고 등이 발생하였을 경우 관 련 정보를 취합 분석하여 공격의 형태를 구분하고 증거를 확보하기 위한 기술이다.
한편, 네트워크 침입 탐지 기술은 인터넷으로 연결된 외부 침입자 또는 내부 구성원에 의한 침입 시도를 검출하여 네트워크의 보안이 유지되도록 관리하는 기술이다. 대부분의 네트워크 기반 침입 탐지 시스템(Intrusion Detection System, IDS)은 악의적인 것으로 추정되는 트래픽 또는 애플리케이션 데이터의 패턴을 저장한 시그니쳐(signature)를 갖고 있으며, 이를 이용하여 네트워크로 유입되는 패킷을 검사하여 경고(alert)나 로그를 생성한다.
이러한 로그 정보는 네트워크 관리자로 하여금 네트워크 보안 관리에 필요한 정보를 제공한다. 보안 관리자는 네트워크 보안 관리를 위해서 주기적으로 시그니쳐를 업데이트해 주어야 한다. 그러나 인터넷 상에서 새로운 형식의 침입이 발생하였을 경우 침입 형태 또는 시그니쳐가 분석되기 전까지는 네트워크 및 네트워크에 연결된 컴퓨터 시스템은 새로운 공격에 대해서 무방비 상태에 놓이게 되며, 이로 인해 중요 정보의 손실 및 경제적 손실을 당할 수 있다. 그러므로 새로운 침입 또는 공격이 발생한 경우 이를 신속하게 분석하여 대처할 수 있도록 하는 것이 중요하다.
네트워크 상에서 침입 또는 공격과 같은 사건이 발생한 경우 공격의 종류와 형태를 분석하는 시스템을 네트워크 침입 포렌식 시스템(network intrusion forensic system) 이라고 한다. 포레식 시스템에서 가장 중요한 기능은 관리자가 네트워크에 발생했던 사건을 빠르게 분석하여 대처 방안을 찾을 수 있도록 돕는 것이다. 따라서 발생한 침입 사건의 분석을 위해 포렌식 시스템은 네트워크 상의 패 킷을 모두 저장하거나 중요한 패킷을 저장하고 있어야 한다. 아울러 저장된 패킷을 빠르게 분류하고 검색할 수 있는 기능을 제공해야 한다.
일반적으로 포렌식 시스템에서 패킷을 저장(로깅이라고도 함)하는 것은 실시간으로 이루어져야 하며, 네트워크 보안 사고가 발생한 이후에 대부분의 시간은 포렌식 시스템에서 제공하는 대용량의 로깅 패킷들을 분류하고 분석하는 과정에서 소요된다.
이렇게 네트워크를 통해 송수신되었던 패킷을 저장장치에 로깅하고 그 통계 정보를 저장하기 때문에 로깅 파일의 크기가 커지고 사후 그 파일의 분석에 많이 시간과 비용이 소요된다. 즉, 네트워크의 회선 속도가 증가함에 따라 로깅된 파일의 크기는 수백 메가(mega) 바이트에서 수십 테라(tera) 바이트까지의 커지게 된다. 따라서 사후 분석 과정에서 이러한 대용량 파일을 분석하여 원하는 보안 침해 사고의 증거 및 피해 상황을 파악하기 위해서는 많은 시간과 비용이 소요된다.
예를 들어, 1 Gbps 회선에서 단일 방향에 대해서 발생하는 모든 패킷을 로깅하는 경우 대략 450 기가(giga) 바이트의 파일이 생성되며 이러한 대용량 파일에서 원하는 사건에 관련된 패킷을 분석하여 추출하는데는 많은 시간이 필요하며, 더욱이 과거 1 시간 보다 이전의 패킷 정보를 필요로 하는 경우 패킷 로깅 파일의 크기는 더욱 커지게 되므로 사후 포렌식 분석은 더욱 어려워 지게 된다.
그리고 포렌식 분석의 특성상 모든 패킷을 로깅해야 정확한 원인 분석이 가능하므로 로깅시 패킷 필터링, 샘플링의 기술은 일부 선택적으로 사용할 수 밖에 없으므로 사후 분석에서 대용량의 로깅 파일을 분석하기 위해서 많은 시간과 비용 이 소모된다.
따라서, 본 발명이 이루고자 하는 기술적 과제는 네트워크 포렌식 분석 과정을 보다 신속하게 수행할 수 있도록 하기 위해서, 네트워크 상에서 수집된 패킷을 네트워크 트래픽 플로우 별로 각각 구분하여 저장하는 네트워크 패킷 저장 장치 및 그 방법을 제공하는 것이다.
상기 기술적 과제는 본 발명에 따라, 네트워크 인터페이스를 통해 전달되는 데이터 패킷을 수신하는 패킷 캡쳐부; 상기 수신된 패킷에 대한 네트워크 트래픽 플로우 정보와 그 플로우에 대응되는 패킷의 색인 파일에 대응하는 색인 정보를 별도로 관리할 수 있도록 패킷을 가공하는 패킷 가공부; 및 상기 가공된 패킷을 저장하는 저장부를 포함하는 것을 특징으로 하는 네트워크 패킷 저장 장치에 의해서 달성된다.
상기 패킷 캡쳐부는, 상기 네트워크를 통해 수신되는 데이터 패킷의 수신시간을 나타내는 타임 스탬프를 생성하여 상기 수신된 데이터 패킷에 부가하는 타임 스탬프 생성부를 더 포함하는 것이 바람직하다.
또한, 상기 패킷 캡쳐부는, 관리자의 선택에 따라 특정 패킷만을 샘플링하는 샘플링부를 더 포함하거나, 특정 네트워크 트래픽 플로우에 해당하는 패킷만을 필터링하여 추출하는 필터링부를 더 포함하는 것도 바람직하다.
상기 패킷 가공부는, 상기 수신된 패킷에 대한 네트워크 트래픽 플로우 정보 를 관리하는 플로우 레코드 파일을 생성하고, 그 플로우에 속한 패킷들의 위치를 지시하는 색인파일을 생성하며, 상기 플로우 레코드 파일은 각 플로우에 대한 색인파일의 위치 정보를 가지도록 가공하는 것이 바람직하다.
한편, 본 발명의 다른 분야에 따르면, 상기 기술적 과제는 네트워크 인터페이스를 통해 데이터 패킷을 수신하는 단계; 상기 수신된 패킷에 대한 네트워크 트래픽 플로우 정보와 그 플로우에 대응되는 패킷의 색인 파일에 대응하는 색인 정보를 별도로 관리할 수 있도록 패킷을 가공하는 단계; 및 상기 가공된 패킷을 저장하는 단계를 포함하는 것을 특징으로 하는 네트워크 패킷 저장 방법에 의해서도 달성된다.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대해 상세히 설명한다.
도 1은 본 발명의 네트워크 패킷 저장 장치가 네트워크 장비에 설치되어 있는 일예를 도시한 도면이다.
기업, 학교, 연구소 등과 같은 곳에서는 여러대의 컴퓨터(110, 120)들이 서로 연결되어 로컬 네트워크(10)를 구성하고, 이들 컴퓨터들은 게이트웨이(130)나 라우터(140) 등을 통해 인터넷과 연결된다.
네트워크 패킷 저장장치(20)는 로컬 네트워크(10)에 침입하는 악의적인 공격을 추후 분석하기 위해 로컬 네트워크(10)로 들어오는 모든 패킷을 저장하거나, 관리자의 설정에 따라 선택적으로 샘플링하거나 필터링하여 저장한다. 저장된 패킷들은 모니터링 시스템을 통해 포렌식 분석될 수 있다. 한편 외부에서 로컬 네트워 크(10) 내부로 들어오는 패킷외에, 내부에서 외부로 나가는 패킷도 저장하여 정보의 유출 사고 발생시 그 원인을 파악할 수 있다.
도 2는 본 발명의 네트워크 패킷 저장 장치의 구성도이다.
네트워크 패킷 저장 장치(20)는 패킷 캡쳐부(220), 패킷 가공부(230) 및 저장부(240)를 포함한다.
패킷 캡쳐부(220)는 침입을 감시하고자 하는 대상 시스템에 설치된 네트워크 인터페이스 장치(210a, 210b, 210c)를 통해 수신된 패킷에 대하여 수신 시간을 표시하는 타임 스템프를 태깅(tagging), 즉 덧붙인다. 그리고 관리자의 선택에 따라 수신된 네트워크 패킷을 모두 저장하거나, 특정 패킷 또는 특정 네트워크 트래픽 플로우의 패킷만을 샘플링 또는 필터링할 수도 있다.
네트워크 인터페이스 장치(210a, 210b, 210c)는 네트워크 인터페이스 카드(Network Interface Card, NIC)와 같은 카드로, 인터넷 등에 연결된 네트워크 장비에 설치되어, 탭퍼(tapper) 또는 스플리터(splitter) 등을 이용하여 패킷을 미러링하여 네트워크 회선상에 존재하는 모든 패킷을 패킷 캡쳐부(220)로 전달한다.
패킷 가공부(230)는 사후 포렌식 분석을 용이하게 하기 위해서 패킷에 대한 네트워크 트래픽 플로우 정보를 생성하며, 생성된 네트워크 트래픽 플로우에 해당하는 패킷의 색인 파일을 생성한다. 즉, 수신된 패킷에 대한 네트워크 트래픽 플로우 정보를 관리하는 플로우 레코드 파일을 생성하고, 그 플로우에 속한 패킷들의 위치를 지시하는 색인파일을 생성하며, 플로우 레코드 파일은 각 플로우에 대한 색인파일의 위치 정보를 가지도록 가공한다. 네트워크 트래픽 플로우 정보의 생성과 색인 파일의 생성의 구체적인 예에 대해서는 도 4를 참조하여 후술한다. 저장부(240)는 패킷 가공부(230)에서 가공된 패킷을 저장한다.
모니터링 시스템(250)은 사후 포렌식 분석을 하기 위해 저장부(240)에 저장된 패킷을 전부 분석하거나 네트워크 트래픽 플로우 별로 분석할 수 있도록 하는 환경을 제공한다.
도 3은 도 2의 패킷 캡쳐부(220)의 상세 구성도이다.
패킷 캡쳐부(220)는 타임 스탬프 생성부(310), 샘플링부(320) 및 필터링부(330)를 포함한다. 이때 샘플링부(320)와 필터링부(330)는 관리자의 선택에 따라 동작하지 않도록 할 수 있다. 샘플링부(320)와 필터링부(330)가 동작하지 않는 경우에는 수신된 패킷을 걸러내지 않기 때문에 네트워크상의 모든 패킷을 저장한다.
타임 스탬프 생성부(310)는 네트워크 인터페이스 장치(210a, 210b, 210c)에서 수신된 패킷의 수신 시간을 표시하는 타임 스탬프(time stamp)를 만들어 수신 패킷에 부가한다. 샘플링부(320)는 관리자의 선택에 따라 특정 패킷을 필터링한다. 예를 들어 10개 패킷을 수신할 때마다 1개의 패킷만을 추출하도록 하거나, 일정한 시간마다 1개의 패킷을 추출하도록 설정할 수 있다. 필터링부(330)는 관리자의 선택에 따라 특정 네트워크 트래픽 플로우에 대한 패킷만을 추출하도록 한다. 예를 들어 특정 IP 주소에서 송신되는 패킷만을 추출하거나, 특정 서비스 포트 또는 애플리케이션에서 만들어지는 패킷만을 추출하도록 설정할 수 있다.
샘플링부(320)와 필터링부(330)는 저장부(240)의 저장용량에 따라 동작하거 나 동작하지 않도록 설정될 수 있다. 샘플링부(320) 또는 필터링부(330)가 동작하는 모든 패킷을 감시하지는 않지만 대략적인 공격 패턴 등을 알 수 있다.
도 4는 본 발명의 일실시예에 따른 네트워크 트래픽 플로우 레코드 파일, 패킷 색인 파일, 데이터 패킷 파일의 구조를 도시한 도면이다.
본 발명의 네트워크 패킷 저장 장치에서 수신된 패킷을 저장하기 위해서는 대용량의 저장장치가 필요하며, 저장장치의 관리를 위한 파일 시스템이 필요하다. 본 발명에서는 패킷을 저장하기 위한 로그 파일 관리를 위해서 일반적인 파일 시스템상에서 동작하는 것을 가정하여 설명한다.
도 4를 참조하면 본 발명의 네트워크 패킷 저장장치는 수신된 패킷을 파일 시스템에 저장할 때 하나의 패킷 로그 파일에 대해서 2가지의 파일을 추가로 생성한다. 즉, 패킷 캡쳐 파일(packet capture file)(430)외에 네트워크 트래픽 플로우 레코드를 저장하는 플로우 레코드 파일(flow record file)(410)과 패킷 캡쳐 파일(430)에 대한 색인 파일로 패킷 인덱스 파일(packet index file)(420)이 있다.
이하에서는 패킷 캡쳐 파일(430), 플로우 레코드 파일(410) 및 패킷 색인 파일(420)의 상호 관계에 대해 상세히 설명한다. 패킷 캡쳐 파일(430)은 네트워크 상에서 수신된 패킷을 저장하기 위한 파일이다. 즉 수신된 패킷별로 헤더를 붙여 저장한다. 이때 네트워크상의 패킷의 길이는 이더넷의 경우 64 바이트에서 1518 바이트까지 가변적인 값이 될 수 있으므로, 패킷 캡쳐 파일(430)상에서 패킷의 위치는 특정한 위치가 아니고 랜덤한 위치를 가진다. 각 패킷은 패킷의 길이 정보 및 시간 정보를 포함하는 헤더 정보와 함께 패킷 캡쳐 파일(430)에 저장된다.
패킷 색인 파일(420)은 사후 분석시에 시스템 관리자가 원하는 패킷을 랜덤하게 접근하여 패킷을 검색해 볼 수 있도록 하기 위해서, 패킷 캡쳐 파일(430) 내에서 저장된 패킷의 위치를 표시하는 오프셋(offset) 정보를 저장하며, 패킷이 속하는 네트워크 트래픽 플로우 별로 단일 리스트로 연결될 수 있도록 패킷 인덱스 파일 내의 네트워크 트래픽 플로우에 속한 이전 패킷의 위치 정보를 저장하는 포인터(pointer, prev)를 저장한다.
이렇게 패킷 색인 파일(420)은 각 패킷에 대한 네트워크 트래픽 플로우 정보와 패킷의 위치 정보를 고정된 위치에 저장하고 있어 사후 포렌식 분석시 패킷 분석을 용이하게 할 수 있다.
플로우 레코드 파일(410)은 시스템 관리자가 지정하는 방법에 따라 다양한 종류의 네트워크 트래픽 플로우를 생각할 수 있다. 일반적으로 IP 프로토콜에 대한 네트워크 트래픽 플로우는 시스코 넷플로우 버전 5에 속하는 패킷의 속성 정보를 추출하여 플로우 레코드를 생성할 수 있다. 본 발명에서 제안하는 플로우 레코드 형식은 IETF IPFIX에서 제안하는 형식으로 따르거나 시스코 넷플로우 형식을 따를 수도 있다. 그러나 여기에 각 네트워크 트래픽 플로우에 속한 패킷을 표시하기 위해서 패킷 색인 파일의 패킷 리스트를 구분할 수 있는 포인터 필드가 추가되어야 한다. 네트워크 트래픽 플로우의 예로 IP 주소, 서비스 포트 등을 들 수 있다.
도 5는 본 발명의 네트워크 패킷 저장 방법의 흐름도이다.
도 5를 참조하여 하나의 패킷을 수신하여 플로우 레코드를 업데이트하고 패킷 색인 파일 및 패킷 캡쳐 파일에 패킷을 쓰는 과정을 설명한다. 먼저 네트워크 상의 패킷을 수신한다(S510). 즉, 네트워크 장비에 설치된 네트워크 인터페이스 카드를 통해 패킷을 수신한다. 그리고 수신된 패킷에 대한 네트워크 트래픽 플로우 정보와 그 네트워크 트래픽 플로우에 대응되는 패킷의 색인 파일에 대응하도록 패킷을 가공한다. 보다 상세하게는, 수신된 패킷에 대한 네트워크 트래픽 플로우 정보가 존재하는지 확인하여(S520), 네트워크 트래픽 플로우가 존재하는지 판단하고(S530), 네트워크 트래픽 플로우 정보가 존재하면 이를 갱신하고(S550), 그렇지 않으면 네트워크 트래픽 플로우 정보를 새로 생성한다(S540).
S520 단계에서는 예를 들어 수신된 패킷으로부터 필요한 네트워크 트래픽 플로우 정보를 추출하여 같은 값을 갖는 네트워크 트래픽 플로우가 플로우 테이블 상에 존재하는지 검색한다. 네트워크 트래픽 플로우 정보의 예로는, IP 주소, 서비스 포트 등을 들 수 있다.
그리고, 이렇게 갱신 또는 생성된 네트워크 트래픽 플로우 정보에 대응되도록 패킷 색인을 생성하여 저장하고(S560), 이에 대응되도록 패킷도 저장한다(S570). 네트워크 트래픽 플로우 정보의 갱신(S550) 또는 네트워크 트래픽 플로우 정보를 생성한 후(S540)에는 수신된 패킷이 속하는 네트워크 트래픽 플로우의 ID(Identification)을 알 수 있으며, 패킷에 속한 네트워크 트래픽 플로우 ID와 해당하는 네트워크 트래픽 플로우가 속하는 이전 패킷의 로깅 파일내 위치 정보를 패킷 색인 파일에 저장한다(S560). 이렇게 순차적인 방식에 따라 패킷을 저장함으로써 패킷을 로깅함에 있어 네트워크 트래픽 플로우 정보 및 각 패킷이 속한 네트워크 트래픽 플로우를 구분하여 효율적으로 저장할 수 있다.
네트워크 포렌식 시스템은 네트워크 상에서 캡쳐한 패킷에 대해서 전술한 과정을 반복 수행한다.
한편, 전술한 네트워크 패킷 저장 방법은 컴퓨터 프로그램으로 작성 가능하다. 상기 프로그램을 구성하는 코드들 및 코드 세그먼트들은 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 또한, 상기 프로그램은 컴퓨터가 읽을 수 있는 정보저장매체(computer readable media)에 저장되고, 컴퓨터에 의하여 읽혀지고 실행됨으로써 네트워크 패킷 저장 방법을 구현한다. 상기 정보저장매체는 자기 기록매체, 광 기록매체, 및 캐리어 웨이브 매체를 포함한다.
이제까지 본 발명에 대하여 그 바람직한 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
전술한 바와 같이 본 발명에 따르면 네트워크 트래픽 플로우 별로 패킷을 구분하여 저장함으로써 포렌식 분석시에 네트워크 트래픽 플로우 정보와 이와 연관된 패킷을 분석함으로써 분석 시간을 단축시킬 수 있으며, 보안 사고로 인한 피해를 빠르게 복구하거나 대응할 수 있도록 하여 비용을 절감할 수 있다.
예를 들어, 종래의 패킷 로깅 시스템에서 저장된 패킷을 사후 분석하는 경우 보안 관리자가 특정 패킷을 검색하기 위해서는 로깅된 모든 패킷을 순차적으로 읽어가면서 필요에 따라 필터 규칙을 적용해야 한다. 이러한 경우 관리자가 원하는 패킷을 추출하는데 소요되는 시간은 대략 다음과 같이 계산할 수 있다.
패킷 검색 시간(초) = 디스크 접근 속도(bytes/sec) * 로깅 디스크 크기(bytes)
디스크 접근 속도는 시스템마다 다를 수 있으나, 일정한 속도를 갖는다고 가정하면, 로깅된 디스크의 크기에 따라서 패킷 추출 시간은 변경된다고 할 수 있다. 사후 분석 과정에 있어서 패킷이 로깅된 디스크의 크기는 수십 테라 바이트까지 커질 수 있으며, 사후 분석 과정에서 수십에서 수백번의 패킷 검색 및 추출을 통해서 분석이 수행되므로 로깅된 디스크의 크기가 커짐에 따라 사후 분석에 소요되는 시간은 패킷 검색 회수에 비례하여 증가하게 된다.
그러나, 본 발명에 따른 패킷 저장 장치 및 방법을 사용한 시스템에서 관리자가 원하는 패킷을 추출하는데 소요되는 시간은 대략 다음과 같이 계산할 수 있다.
패킷 검색 시간(초) = (디스크 접근 속도 * 플로우 디스크 크기) + (디스크 접근 속도 * 분류된 패킷 크기)
디스크 접근 속도는 종래 방식과 같은 값을 가지나, 플로우 디스크의 크기는 로깅 디스크의 크기에 비해서 경우에 따라서 수백에서 수천분의 일로 그 크기가 감소되며, 플로우에 의해서 분류된 패킷만 접근하므로 종래 방식에 대비하여 패킷 추 출에서 접근하는 디스크의 크기를 수십에서 수천분의 일로 줄임으로써 분석 성능을 향상시킬 수 있다. 이러한 성능 향상은 사후 분석 과정에서 수행하는 패킷 검색 회수에 비례하여 성능 향상을 얻을 수 있다.
즉, 종래 패킷만을 로깅하는 방식의 포렌식 시스템은 사후 분석시 로그 파일내에서 불규칙하게 위치하고 있는 패킷에서 원하는 패킷을 검색하기 위해서 많은 시간을 필요로 하지만 본 발명에 따르면 패킷 로그 파일에 불규칙적으로 위치하고 있는 패킷의 파일 내 위치 정보를 정해진 형식에 맞추어 일정한 크기로 별도의 색인 파일을 생성하여 저장함으로써, 로깅된 패킷에서 임의의 패킷을 쉽게 검색할 수 있다.
그리고 수신된 패킷을 실시간으로 각 패킷이 속하는 네트워크 트래픽 플로우로 그룹화함으로써 사후 분석 과정에서 네트워크 트래픽 플로우에 의한 검색을 통해 사고의 원인이 되는 패킷을 보다 빠르게 검색할 수 있다.
또한 생성된 네트워크 트래픽 플로우 정보를 네트워크 트래픽 플로우의 키별로 또는 키의 조합으로 네트워크 트래픽 플로우를 재생성함으로써 사용자 원하는 통계 정보 및 각 네트워크 트래픽 플로우에 속하는 패킷을 보다 빠르고 쉽게 검색해 낼 수 있다.

Claims (9)

  1. 네트워크 인터페이스를 통해 전달되는 데이터 패킷을 수신하는 패킷 캡쳐부;
    상기 수신된 패킷에 대한 네트워크 트래픽 플로우 정보와 그 플로우에 대응되는 패킷의 색인 파일에 대응하는 색인 정보를 별도로 관리할 수 있도록 패킷을 가공하는 패킷 가공부; 및
    상기 가공된 패킷을 저장하는 저장부를 포함하는 것을 특징으로 하는 네트워크 패킷 저장 장치.
  2. 제1항에 있어서, 상기 패킷 캡쳐부는
    상기 네트워크를 통해 수신되는 데이터 패킷의 수신시간을 나타내는 타임 스탬프를 생성하여 상기 수신된 데이터 패킷에 부가하는 타임 스탬프 생성부를 더 포함하는 것을 특징으로 하는 네트워크 패킷 저장 장치.
  3. 제2항에 있어서, 상기 패킷 캡쳐부는
    관리자의 선택에 따라 특정 패킷만을 샘플링하는 샘플링부를 더 포함하는 것을 특징으로 하는 네트워크 패킷 저장 장치.
  4. 제2항에 있어서, 상기 패킷 캡쳐부는
    관리자의 선택에 따라 특정 네트워크 트래픽 플로우에 해당하는 패킷만을 필 터링하여 추출하는 필터링부를 더 포함하는 것을 특징으로 하는 네트워크 패킷 저장 장치.
  5. 제1항에 있어서, 상기 패킷 가공부는
    상기 수신된 패킷에 대한 네트워크 트래픽 플로우 정보를 관리하는 플로우 레코드 파일을 생성하고, 그 플로우에 속한 패킷들의 위치를 지시하는 색인파일을 생성하며, 상기 플로우 레코드 파일은 각 플로우에 대한 색인파일의 위치 정보를 가지도록 가공하는 것을 특징으로 하는 네트워크 패킷 저장 장치.
  6. 제5항에 있어서,
    상기 패킷 색인 파일은 상기 플로우 레코드 파일에서 상기 플로우에 속한 최초 패킷의 위치 정보를 저장하고 있는 색인 정보에 대응되는 포인터를 갖고 있으며, 그 포인터는 다음 패킷의 위치 정보를 저장하고 있는 색인 정보에 대응되는 포인터를 지시하고 있는 것을 특징으로 하는 네트워크 패킷 저장 장치.
  7. 네트워크 인터페이스를 통해 데이터 패킷을 수신하는 단계;
    상기 수신된 패킷에 대한 네트워크 트래픽 플로우 정보와 그 플로우에 대응되는 패킷의 색인 파일에 대응하는 색인 정보를 별도로 관리할 수 있도록 패킷을 가공하는 단계; 및
    상기 가공된 패킷을 저장하는 단계를 포함하는 것을 특징으로 하는 네트워크 패킷 저장 방법.
  8. 제7항에 있어서, 상기 패킷을 가공하는 단계는,
    상기 수신된 패킷에 대한 네트워크 트래픽 플로우 정보가 존재하는지 판단하는 단계;
    상기 네트워크 트래픽 플로우 정보가 존재하면 이를 갱신하고, 그렇지 않으면 네트워크 트래픽 플로우 정보를 새로 생성하는 단계; 및
    상기 갱신 또는 생성된 네트워크 트래픽 플로우 정보에 대응되도록 패킷 색인을 생성하는 단계를 포함하는 것을 특징으로 하는 네트워크 패킷 저장 방법.
  9. 제7항에 기재된 네트워크 패킷 저장 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020070033878A 2007-04-05 2007-04-05 네트워크 패킷 저장 장치 및 그 방법 KR100868569B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070033878A KR100868569B1 (ko) 2007-04-05 2007-04-05 네트워크 패킷 저장 장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070033878A KR100868569B1 (ko) 2007-04-05 2007-04-05 네트워크 패킷 저장 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20080090712A true KR20080090712A (ko) 2008-10-09
KR100868569B1 KR100868569B1 (ko) 2008-11-13

Family

ID=40151762

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070033878A KR100868569B1 (ko) 2007-04-05 2007-04-05 네트워크 패킷 저장 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR100868569B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571451A (zh) * 2012-02-16 2012-07-11 大唐移动通信设备有限公司 一种网元及其上传mr消息的方法
WO2019221346A1 (ko) * 2018-05-15 2019-11-21 엑사비스 주식회사 패킷 저장을 수행하는 네트워크 검사 방법 및 이를 수행하는 시스템

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571451A (zh) * 2012-02-16 2012-07-11 大唐移动通信设备有限公司 一种网元及其上传mr消息的方法
WO2019221346A1 (ko) * 2018-05-15 2019-11-21 엑사비스 주식회사 패킷 저장을 수행하는 네트워크 검사 방법 및 이를 수행하는 시스템
US11528199B2 (en) 2018-05-15 2022-12-13 Xabyss Inc. Method for network inspection saving packet and system performing the same

Also Published As

Publication number Publication date
KR100868569B1 (ko) 2008-11-13

Similar Documents

Publication Publication Date Title
US9917857B2 (en) Logging attack context data
Perdisci et al. Alarm clustering for intrusion detection systems in computer networks
US8056115B2 (en) System, method and program product for identifying network-attack profiles and blocking network intrusions
JP5844938B2 (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
US10616258B2 (en) Security information and event management
US8856920B2 (en) System and method of securely processing lawfully intercepted network traffic
Pilli et al. A generic framework for network forensics
Mualfah et al. Network forensics for detecting flooding attack on web server
US11080392B2 (en) Method for systematic collection and analysis of forensic data in a unified communications system deployed in a cloud environment
US20030101353A1 (en) Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto
JP2016508353A (ja) ネットワークメタデータを処理する改良されたストリーミング方法およびシステム
Kaushik et al. Network forensic system for port scanning attack
Debar et al. Intrusion detection: Introduction to intrusion detection and security information management
CN113783886A (zh) 一种基于情报和数据的电网智慧运维方法及其***
Chhabra et al. Distributed network forensics framework: A systematic review
Yu et al. TRINETR: an intrusion detection alert management systems
Giacinto et al. Alarm clustering for intrusion detection systems in computer networks
KR20070072835A (ko) 실시간 웹로그 수집을 통한 웹해킹 대응 방법
KR100868569B1 (ko) 네트워크 패킷 저장 장치 및 그 방법
Coulibaly An overview of intrusion detection and prevention systems
KR20140078329A (ko) 내부망 타겟 공격 대응 장치 및 방법
KR100651749B1 (ko) 알려지지 않은 악성 트래픽 탐지 방법 및 그 장치
Asaka et al. Local attack detection and intrusion route tracing
KR20050095147A (ko) 침해유형별 시나리오를 고려한 침입방어장치 및 그 방법
Prabhu et al. Network intrusion detection system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120921

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20131106

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20141105

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20151207

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20161107

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee