1 |
1
정책 및 시스템 관리자, 분석기, 차단기, 경보용 데이터베이스(DB)를 구비하는 라돈(Ladon)-씨큐리티 게이트웨이 시스템(security gateway system : SGS)의 침입 탐지 및 침입 탐지에 대한 대응방법에 있어서, 상기 정책 및 시스템 관리자에서 상기 경보용 DB내 차단 정보를 참조하여 차단할 패킷 데이터인지를 판단하여 패킷 데이터가 아닐 경우, 상기 패킷 데이터를 이벤트로 축약하고, 상기 축약된 이벤트를 상기 분석기에 제공하는 단계; 상기 분석기에서 이벤트를 캐쉬에 저장한 후, 상기 저장된 이벤트가 멀티쓰레드로 동작하는 유형별 분석 기능을 이용하여 분석하는 단계; 상기 유형별 분석 기능에 따라 상기 이벤트가 스타트(START) 상태가 되는 패턴 클래스를 리드(read)하여 스타트 상태가 존재하지 않으면, 종료(FINAL) 상태인지를 판단하여 종료 상태가 존재할 경우, 침입을 탐지한 상태가 되어 침입 패턴의 정의대로 침입에 대응하는 행위를 수행하는 단계를 포함하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법
|
2 |
2
제 1 항에 있어서, 상기 패킷 데이터인지를 판단하는 단계에서, 상기 차단 정보내의 패킷 데이터일 경우, 상기 패킷 데이터를 상기 차단기에 제공하여 차단하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법
|
3 |
3
제 1 항에 있어서, 상기 유형별 분석 기능은, 도메인 네임 시스템(domain name system) 체크, 파일 전송 규약(file transfer protocol : FTP) 체크, 전송 제어 프로토콜(transmission control protocol) 백 도어(backdoor) 체크, 사용자 데이터 그램 프로토콜(user data_gram protocol) 백 도어 체크, FTP 체크, 간이 전자 우편 전송 프로토콜(simple mail transfer protocol) 체크 분석 기능인 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법
|
4 |
4
제 1 항에 있어서, 상기 스타트(START) 상태가 존재할 경우, 상기 패턴 클래스를 스택 클래스에 삽입하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법
|
5 |
5
제 1 항에 있어서, 상기 침입을 탐지하며, 상기 침입에 대응하는 행위를 수행하는 것은, 상기 경보용 DB내 탐지 정보에 존재하는 필드를 이용함에 있어서, P_ID를 KEY로 하여 해당 패턴에 따른 적용하며, 상기 패킷 데이터의 탐지는 패턴 시그너춰(pattern_sig) 테이블의 내용을 이용하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법
|
6 |
6
제 4 항에 있어서, 상기 탐지 정보 내 패턴 테이블(pattern table)의 세부 필드 중, PRIORITY는 침입에 대한 우선 순위를 나타내며, 침입영향은 IMPACT 필드에서 적용되며, 패턴별로 침입탐지에 적용할 것인가는 ADOPT 테이블의 값에 의해 결정되며, CONDI_TYPE은 하나의 패킷(solo)으로 침입이 판단될 경우와 반복(while)되는 패킷의 상태를 이용하는 것으로 판단될 경우, 연속되는(linear) 패킷의 상태를 이용하여 판단하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법
|
7 |
7
제 4 항에 있어서, 상기 탐지 정보 내 패턴_포트(PATTERN_PORT) 테이블의 경우, 타켓이 되는 호스트의 서비스 번호를 기준으로 탐지하며, CONDI_TYPE에 해당하는 PATTERN_CONDITION 번호이며, TYPE은 목적지 포트를 지정하는지 근원지 포트를 지정하는지를 표시하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법
|
8 |
8
제 1 항에 있어서, 상기 판단 단계에서 종료 상태가 존재하지 않을 경우, 일정한 타임 스탬프(time stamp)를 초과하였는지를 체크하여 타임 스탬프를 초과할 경우, 유입된 패킷 데이터가 유해하지 않은 것으로 판단되어 패턴 클래스를 삭제하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법
|
9 |
9
제 8 항에 있어서, 상기 체크 단계에서 일정한 타임 스탬프를 초과하지 않은 경우, 해당 쓰레드에 속한 모든 패턴을 점검하였는지 구분하여 모든 패턴을 점검하여 모든 패턴을 체크할 경우, 유형별 분석 기능을 이용하여 분석하는 과정부터 반복 수행하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법
|
10 |
10
제 9 항에 있어서, 상기 구분 단계에서 모든 패턴을 점검하여 모든 패턴을 체크하지 않을 경우, 패턴 클래스를 리드하여 스타트(START) 상태가 존재하는지를 체크하는 과정부터 반복 수행하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법
|
11 |
11
제 10 항에 있어서, 상기 반복 수행은 스택 클래스의 모든 내용을 검색할 때까지 반복 수행하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법
|
12 |
12
정책 및 시스템 관리자, 분석기, 차단기, 경보용 데이터베이스(DB)를 구비하는 라돈(Ladon)-씨큐리티 게이트웨이 시스템(security gateway system : SGS)의 침입 탐지에 사용되는 침입패턴의 갱신방법에 있어서, 상기 정책 및 시스템 관리자에서 경보용 DB로 침입패턴 업데이트를 요구하는 단계; 상기 경보용 DB에서 상기 침입패턴 업데이트가 침입패턴 추가요구사항인지를 판단하여 침입패턴 추가요구사항일 경우, 침입패턴 관련 테이블의 P_ID를 키(KEY)로 하여 침입패턴을 추가하는 단계를 포함하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법
|
13 |
13
제 12 항에 있어서, 상기 판단 단계에서 침입패턴 추가 요구사항이 아닐 경우, 침입패턴 변경요구사항인지를 체크하여 침입패턴 변경요구사항일 경우, 침입패턴 관련 테이블의 P_ID를 키(KEY)로 하여 침입패턴을 변경하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법
|
14 |
14
제 13 항에 있어서, 상기 체크 단계에서 침입패턴 변경요구사항이 아닐 경우, 침입패턴 삭제요구사항인지를 판단하여 침입패턴 삭제요구사항일 경우, 침입패턴 관련 테이블의 P_ID를 키(KEY)로 하여 침입패턴을 삭제하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법
|
15 |
15
제 14 항에 있어서, 상기 판단 단계에서 침입패턴 삭제요구사항이 아닐 경우, 상기 정책 및 시스템 관리자에 잘못된 명령이라는 메시지를 제공하는 것을 특징으로 하는 라돈(Ladon)-SGS의 정책 전달 및 경보용 데이터베이스 관리방법
|