| 1 |
1
외부망 접속장치(200)와 내부망 접속장치(300) 사이에 위치하여 이더넷으로 연결되고, 네트워크 상에서 특정 IP 주소를 가지지 않고 은닉하여 모든 패킷의 흐름을 모니터링하는 은닉형 침입 탐지 및 차단 제어 시스템에 있어서, 관리 기능을 가지며 보안정책을 지시하는 RISC 프로세서(110)와, 상기 외부망 접속장치(200)와 접속되어 상기 패킷을 송수신하는 외부 매체접근 제어기(150)와, 상기 내부망 접속장치(300)와 접속되어 상기 패킷을 송수신하는 내부 매체접근 제어기(160)와, 상기 외부 매체접근 제어기(150)를 통해 수신된 상기 패킷과 상기 내부 매체접근 제어기(160)를 통해 수신된 상기 패킷을 임시적으로 저장하기 위한 패킷 메모리(120)와, 상기 외부 매체접근 제어기(150)를 통해 수신된 상기 패킷과 상기 내부 매체접근 제어기(160)를 통해 수신된 상기 패킷을 필요에 따라 임시적으로 상기 패킷 메모리(120)에 저장하기도 하며, 상기 패킷이 유해 패킷인지 판단하여 정상 패킷이면 상기 내부 매체접근 제어기(160)와 상기 외부 매체접근 제어기(150)를 통하여 상기 내부망 접속장치(300)와 상기 외부망 접속장치(200)에 단순히 전달하거나 필요에 따라 상기 RISC 프로세서(110)에 패킷을 보내고, 유해 패킷이면 차단하거나 상기 RISC 프로세서(110)에 경보를 발생하는 패킷 제어 엔진(130)과, 메모리의 주소 대신에 내용을 이용하여 저장된 내용을 끄집어낼 수 있게 하는 콘텐츠 주소 메모리(140)와, 통계치를 저장하기 위한 통계치 메모리(170)를 포함하는 것을 특징으로 하는 은닉형 침입 탐지 및 차단 제어 시스템
|
| 2 |
2
제1 항에 있어서, 상기 패킷 제어 엔진(130)은, 상기 RISC 프로세서(110)로부터 전달되는 상기 보안정책을 수신하기 위한 프로세서 인터페이스(131)와, 상기 프로세서 인터페이스(131)를 통해 상기 보안정책을 수신하여 준비처리를 수행하는 보안정책 전처리부(132)와, 상기 보안정책을 상기 콘텐츠 주소 메모리(140)에 저장하기 위한 콘텐츠 주소 메모리 인터페이스(138)와, 상기 외부 매체접근 제어기(150)를 통하여 상기 패킷을 수신하기 위한 외부 매체접근 제어기 인터페이스(139a)와, 상기 내부 매체접근 제어기(160)를 통하여 상기 패킷을 수신하기 위한 내부 매체접근 제어기 인터페이스(139b)와, 상기 통계치들을 상기 통계치 메모리(170)에 저장하기 위한 통계치 메모리 인터페이스(133)와, 패킷을 상기 패킷 메모리(120)에 저장하기 위한 패킷 메모리 인터페이스(136)와, 상기 패킷 메모리(120)에 저장된 패킷을 패킷 단위로 패치하여 MAC 프레임과 IP 헤더 및 페이로더로 디코딩하는 패킷 디코더(135)와, 상기 패킷 디코더로부터 디코드된 패킷을 수신하고 상기 보안정책 전처리부(132)로부터 준비처리된 상기 보안정책을 수신하고, 상기 보안정책에 따라 상기 패킷이 유해 패킷인지를 판단하여, 정상 패킷은 단순히 전달하거나 필요에 따라 상기 RISC 프로세서(110)에 패킷을 보내고, 유해 패킷은 차단하거나 상기 프로세서 인터페이스(131)를 통하여 상기 RISC 프로세서(110)에 경보를 발생하는 패킷 제어부(137)와, 상기 패킷 제어부(137)에서 처리되는 패킷에 대하여 통계치를 추출하여 상기 통계치 메모리 인터페이스(133)를 통하여 상기 통계치 메모리(170)에 저장하고, 상기 통계치를 상기 RISC 프로세서(110)에 전송하는 패킷 통계 카운터(134)를 포함하는 것을 특징으로 하는 은닉형 침입 탐지 및 차단 제어 시스템
|
| 3 |
3
제1 항 또는 제2 항에 있어서, 상기 보안정책들은 위험 사용자 관리 혹은 차단 연결 세션 등의 정보 및 침입 유형들에 대한 정보를 포함하는 것을 특징으로 하는 은닉형 침입 탐지 및 차단 제어 시스템
|
| 4 |
4
제1 항 또는 제2 항에 있어서, 상기 통계치는 패킷의 각 세션의 통계정보와 유입 트래픽의 특성들을 포함하며, 상기 RISC 프로세서(110)에서 높은 수준의 침입 분석을 위한 기본 정보로 활용되는 것을 특징으로 하는 은닉형 침입 탐지 및 차단 제어 시스템
|
| 5 |
5
제1 항 또는 제2 항에 있어서, 상기 외부 매체접근 제어기(150)는 물리적으로 10/100 Mbps의 속도로 상기 외부망 접속 장치(200)와 상기 패킷을 송수신하고, 상기 내부 매체접근 제어기(160)는 물리적으로 10/100 Mbps의 속도로 상기 내부망 접속 장치(300)와 상기 패킷을 송수신하는 것을 특징으로 하는 은닉형 침입 탐지 및 차단 제어 시스템
|
| 6 |
6
보안정책의 수정요구를 받는 제1 단계와, 상기 보안정책의 수정요구가 추가인지 삭제인지를 판단하는 제2 단계와, 상기 보안정책의 수정요구가 추가이면, 상기 보안정책의 범주에 따라 내용을 추가하는 제3 단계와, 상기 보안정책의 수정요구가 삭제이면, 상기 보안정책의 범주에 따라 내용을 삭제하는 제4 단계를 포함하는 것을 특징으로 하는 보안정책 수정방법
|
| 7 |
7
제6 항에 있어서, 상기 제3 단계가, 상기 보안정책의 범주를 판단하는 제1 과정과, 상기 보안정책의 범주가 블랙리스트이면, 블랙리스트를 추가하는 제2 과정과, 상기 보안정책의 범주가 차단세션이면, 차단세션을 추가하는 제2 과정과, 상기 보안정책의 범주가 침입유형이면, 침입유형을 추가하는 제3 과정을 포함하는 것을 특징으로 하는 보안정책 수정방법
|
| 8 |
8
제6 항에 있어서, 상기 제4 단계가, 상기 보안정책의 범주를 판단하는 제1 과정과, 상기 보안정책의 범주가 블랙리스트이면, 블랙리스트를 삭제하는 제2 과정과, 상기 보안정책의 범주가 차단세션이면, 차단세션을 삭제하는 제2 과정과, 상기 보안정책의 범주가 침입유형이면, 침입유형을 삭제하는 제3 과정을 포함하는 것을 특징으로 하는 보안정책 수정방법
|
| 9 |
9
패킷을 수신하는 제1 단계와, 상기 패킷을 임시로 패킷 메모리에 저장하는 제2 단계와, 상기 패킷을 패킷 디코더를 이용하여 이더넷 프레임 구조, IP 헤더 구조 및 IP 패이로더로 디코딩하는 제3 단계와, 보안정책을 페치하는 제4 단계와, 디코딩 결과를 바탕으로 유해 패킷인지 판단하는 제5 단계와, 상기 패킷이 유해 패킷이면, 상기 패킷을 폐기하고 통계치를 수정하는 제6 단계와, 상기 패킷이 정상 패킷이면, 상기 패킷을 포워딩하고 통계치를 수정하고 필요에 따라 상기 패킷을 프로세서에 전송하는 제7 단계를 포함하는 것을 특징으로 하는 패킷 제어방법
|
| 10 |
10
제9 항에 있어서, 상기 제6 단계는, 상기 패킷이 불량 사용자 리스트에 등록되어 있는지 검사하는 제1 과정과, 상기 패킷이 상기 불량 사용자 리스트에 등록되어 있지 않으면, 상기 패킷이 차단 세션으로 등록되어 있는지 검사하는 제2 과정과, 상기 패킷이 상기 불량 사용자 리스트에 등록되어 있거나 상기 패킷이 상기 차단 세션으로 등록되어 있으면, 상기 패킷을 폐기하고 그 결과를 통계치로서 보관하는 제3 과정을 포함하는 것을 특징으로 하는 패킷 제어방법
|
| 11 |
11
제9 항에 있어서, 제7 단계는, 패킷을 포워딩하는 제1 과정과, 상기 패킷이 침입 유형에 해당하는지 검사하는 제2 과정과, 상기 패킷이 상기 침입 유형에 해당하면, 상기 프로세서에 경보를 알리고 통계치를 갱신하는 제3 과정과, 상기 패킷이 상기 침입 유형에 해당하지 않으면, 상기 패킷이 더 높은 수준의 분석이 필요한 패킷인지 판단하는 제4 과정과, 상기 패킷이 더 높은 수준의 분석이 필요한 패킷이면, 상기 패킷의 디코딩 정보를 상기 프로세서에 통보하여 후처리 분석에 기본 정보로 사용할 수 있게 하는 제5 과정을 포함하는 것을 특징으로 하는 패킷 제어방법
|
