1 |
1
클라이언트 단말장치가 사용하고 있지 않은 포트 중에서 네트워크에 연결되어 허니팟 시스템의 정보를 보유하고 있는 네트워크 보안 시스템으로부터 제공받은 공격 허용 포트 번호에 해당하는 포트를 적어도 하나 선택하여 트랩포트로 설정하는 트랩포트 설정부; 및
상기 트랩포트로 유입되는 패킷을 상기 허니팟 시스템으로 전송하는 침입 탐지부;를 포함하는 것을 특징으로 하는 침입 탐지 장치
|
2 |
2
제 1항에 있어서,
기존에 알려진 해킹 프로그램의 정보를 담고 있는 시그너처 파일을 기초로 상기 트랩포트로 유입된 패킷을 분석하여 상기 트랩포트로 유입된 패킷 중에서 네트워크를 통한 침입으로 판정된 패킷을 공격 패킷으로 분류하고, 상기 공격 패킷을 발송한 공격자 단말장치가 상기 클라이언트 단말장치에 의해 사용중인 포트로 접근하는 것을 차단하는 시스템 보안부를 더 포함하는 것을 특징으로 하는 침입 탐지 장치
|
3 |
3
제 2항에 있어서,
상기 트랩포트로 유입된 패킷 중에서 상기 공격 패킷으로 분류되지 않은 패킷을 로그 파일에 기록하는 로그 관리부를 더 포함하고,
상기 침입 탐지부는 상기 로그 파일에 기록되어 있는 패킷 정보를 상기 네트워크 보안 시스템으로 전송하는 것을 특징으로 하는 침입 탐지 장치
|
4 |
4
제 1항 내지 제 3항 중 어느 한 항에 있어서,
상기 클라이언트 단말장치에서 구동중인 프로그램으로부터 상기 트랩포트로 설정된 포트에 대한 사용 요청이 있는 경우에 상기 트랩포트에 대해 진행중인 프로세스를 종료하여 포트를 닫는 포트 관리부를 더 포함하는 것을 특징으로 하는 침입 탐지 장치
|
5 |
5
제 1항 내지 제 3항 중 어느 한 항에 있어서,
상기 트랩포트로 유입된 패킷의 목적지를 상기 허니팟의 IP 주소로 변경하고, 상기 허니팟으로부터 수신된 패킷의 발신지를 상기 클라이언트 단말장치의 IP 주소로 변경하는 패킷 수정부를 더 포함하는 것을 특징으로 하는 침입 탐지 장치
|
6 |
6
제 1항 내지 제 3항 중 어느 한 항에 있어서,
네트워크 침입 공격을 시도한 근원지 단말장치가 접근한 트랩포트 번호 및 상기 근원지 단말장치가 상기 클라이언트 단말장치를 공격하기 위해 사용한 익스플로잇 포트 번호를 추적하는 포트 번호 추적부;
상기 근원지 단말장치가 상기 클라이언트 단말장치를 공격하기 위해 경유지로 사용한 경유지 단말장치로 공격자 추적을 요청하고, 공격 근원지 포트로 사용된 상기 익스플로잇 포트 번호를 상기 경유지 단말장치로 전송하는 포트 번호 전송부; 및
상기 경유지 단말장치로부터 네트워크 침입 공격을 시도한 근원지 포트 번호를 수신하는 포트 번호 수신부;를 더 포함하는 것을 특징으로 하는 침입 탐지 장치
|
7 |
7
클라이언트 단말장치가 사용하고 있지 않은 포트 중에서 네트워크에 연결되어 허니팟 시스템의 정보를 보유하고 있는 네트워크 보안 시스템으로부터 제공받은 공격 허용 포트 번호에 해당하는 포트를 적어도 하나 선택하여 트랩포트로 설정하는 트랩포트 설정 단계; 및
상기 트랩포트로 유입되는 패킷을 상기 허니팟 시스템으로 전송하는 침입 탐지 단계;를 포함하는 것을 특징으로 하는 침입 탐지 방법
|
8 |
8
제 7항에 있어서,
기존에 알려진 해킹 프로그램의 정보를 담고 있는 시그너처 파일을 기초로 상기 트랩포트로 유입된 패킷을 분석하여 상기 트랩포트로 유입된 패킷 중에서 네트워크를 통한 침입으로 판정된 패킷을 공격 패킷으로 분류하고, 상기 공격 패킷을 발송한 공격자 단말장치가 상기 클라이언트 단말장치에 의해 사용중인 포트로 접근하는 것을 차단하는 시스템 보안 단계를 더 포함하는 것을 특징으로 하는 침입 탐지 방법
|
9 |
9
제 8항에 있어서,
상기 트랩포트로 유입된 패킷 중에서 상기 공격 패킷으로 분류되지 않은 패킷을 로그 파일에 기록하는 로그 관리 단계를 더 포함하고,
상기 침입 탐지 단계에서는 상기 로그 파일에 기록되어 있는 패킷 정보를 상기 네트워크 보안 시스템으로 전송하는 것을 특징으로 하는 침입 탐지 방법
|
10 |
10
제 7항에 있어서,
상기 트랩포트로 유입된 패킷의 목적지를 상기 허니팟의 IP 주소로 변경하고, 상기 허니팟으로부터 수신된 패킷의 발신지를 상기 클라이언트 단말장치의 IP 주소로 변경하는 패킷 수정 단계를 더 포함하는 것을 특징으로 하는 침입 탐지 방법
|
11 |
11
제 7항에 있어서,
네트워크 침입 공격을 시도한 근원지 단말장치가 접근한 트랩포트 번호 및 상기 근원지 단말장치가 상기 클라이언트 단말장치를 공격하기 위해 사용한 익스플로잇 포트 번호를 추적하는 포트 번호 추적 단계;
상기 근원지 단말장치가 상기 클라이언트 단말장치를 공격하기 위해 경유지로 사용한 경유지 단말장치로 공격자 추적을 요청하고, 공격 근원지 포트로 사용된 상기 익스플로잇 포트 번호를 상기 경유지 단말장치로 전송하는 포트 번호 전송 단계; 및
상기 경유지 단말장치로부터 네트워크 침입 공격을 시도한 근원지 포트 번호를 수신하는 포트 번호 수신 단계;를 더 포함하는 것을 특징으로 하는 침입 탐지 방법
|
12 |
12
제 7항 내지 제 11항 중 어느 한 항에 기재된 침입 탐지 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체
|
13 |
13
사용자로부터 허니팟의 IP 주소 및 공격을 허용하기 위해 설정된 포트 번호를 포함하는 환경 설정 정보를 입력받는 입력부; 및
클라이언트 단말장치가 사용하지 않는 포트 중에서 상기 환경 설정 정보에 포함되어 있는 포트 번호에 해당하는 포트를 적어도 하나 선택하여 트랩포트를 설정하고, 상기 트랩포트로 유입되는 패킷을 상기 허니팟 시스템으로 전송하는 침입 탐지 장치에 상기 환경 설정 정보를 제공하는 클라이언트 관리부;를 포함하는 것을 특징으로 하는 네트워크 보안 시스템
|
14 |
14
제 13항에 있어서,
상기 클라이언트 관리부는 상기 침입 탐지 장치로부터 제공받은 공격 패킷으로부터 새로운 형태의 공격 정보를 추출하여, 기존에 알려진 해킹 프로그램의 정보를 담고 있는 시그너처 파일을 갱신한 후 상기 침입 탐지 장치로 제공하는 것을 특징으로 하는 네트워크 보안 시스템
|
15 |
15
사용자로부터 허니팟의 IP 주소 및 공격을 허용하기 위해 설정된 포트 번호를 포함하는 환경 설정 정보를 입력받는 입력 단계; 및
클라이언트 단말장치가 사용하지 않는 포트 중에서 상기 환경 설정 정보에 포함되어 있는 포트 번호에 해당하는 포트를 적어도 하나 선택하여 트랩포트를 설정하고, 상기 트랩포트로 유입되는 패킷을 상기 허니팟 시스템으로 전송하는 침입 탐지 장치에 상기 환경 설정 정보를 제공하는 클라이언트 관리 단계;를 포함하는 것을 특징으로 하는 네트워크 보안 방법
|
16 |
16
제 15항에 있어서,
상기 클라이언트 관리 단계에서는 상기 침입 탐지 장치로부터 제공받은 공격 패킷으로부터 새로운 형태의 공격 정보를 추출하여, 기존에 알려진 해킹 프로그램의 정보를 담고 있는 시그너처 파일을 갱신한 후 상기 침입 탐지 장치로 제공하는 것을 특징으로 하는 네트워크 보안 방법
|