| 1 |
1
네트워크 상에서의 침입 탐지를 위한 보안 게이트웨이 시스템에 있어서, 패킷의 프로토콜별 헤더 정보를 기반으로 구성된 침입 헤더 패턴 정보를 갖는 헤더 패턴 테이블과 상기 침입 헤더 패턴 정보와 연관되며 상기 침입 헤더 패턴 정보를 제외한 데이터 부분을 기반으로 구성된 침입 데이터 패턴 정보를 갖는 데이터 패턴 테이블로 구성된 침입 패턴 테이블; 상기 네트워크 망에서 송수신되는 네트워크 패킷을 수집하고, 상기 수집된 패킷의 헤더 부분과 상기 침입 헤더 패턴 정보 간의 매칭 여부를 판단하는 하드웨어 침입탐지 수행 장치; 및 상기 칩입 헤더 패턴 정보와 매칭된 헤더 부분을 갖는 패킷의 데이터 부분과 상기 침입 데이터 패턴 정보 간의 매칭여부를 판단하여 침입을 탐지하는 커널 침입 탐지 수행장치를 포함하는 보안 게이트웨이 시스템
|
| 2 |
2
제 1 항에 있어서, 상기 커널 침입 탐지 수행 장치는 상기 패킷의 데이터 부분과 상기 침입 데이터 패턴 정보가 매칭되는 경우에 침입 경보를 발생하며, 상기 보안 게이트웨이 시스템은, 상기 커널 침입 탐지 수행 장치로부터의 침입 경보를 수신하고, 상기 침입 경보에 대응되는 경보 메시지를 생성하는 제어 및 관리 장치; 및 상기 제어 및 관리 장치에서 생성된 경보 메시지를 수신하여 사이버 순찰 제어 시스템에 제공하고, 상기 사이버 순찰 제어 시스템으로부터 상기 경보 메시지에 대응되는 정책을 수신하는 경보 처리 장치를 더 포함하는 보안 게이트웨이 시스템
|
| 3 |
3
제 1 항에 있어서, 상기 하드웨어 침입 탐지 수행 장치는, 상기 네트워크 상에서 송수신되는 패킷을 수집하는 패킷 수집기; 상기 수집된 패킷 중에서 전처리가 필요한 패킷에 전처리 정보를 삽입하여 상기 커널 침입 탐지 수행 장치에 송신하는 전처리 필터기; 상기 헤더 정보 패턴과 상기 수집된 패킷들의 헤더 부분을 비교하여 헤더 부분의 패턴 매칭을 수행한 결과 상기 헤더 부분이 매칭된 패킷에 매칭 정보를 삽입하는 패턴 매칭 엔진; 및 상기 매칭 정보가 삽입된 패킷을 상기 커널 침입 탐지 수행 장치에 전달하는 매칭 패킷 송신기를 포함하는 보안 게이트웨이 시스템
|
| 4 |
4
제 1 항에 있어서, 상기 커널 침입 탐지 수행 장치는, 상기 하드웨어 침입 탐지 수행 장치로부터 매칭 정보가 삽입된 패킷과 전처리 정보가 삽입된 패킷을 수신하는 카드 장치 제어기; 상기 카드 장치 제어기에서 수신된 패킷들에서 매칭 정보와 전처리 정보를 추출하는 패킷 정보 처리기; 상기 패킷 정보 처리기에서 추출된 정보를 토대로 상기 전처리 정보가 포함된 패킷을 기 설정된 패턴과 비교하여 침입 여부를 탐지한 결과 침입이 탐지되면 침입 경보를 생성하는 전처리기; 상기 매칭 정보가 포함된 패킷의 데이터 부분과 상기 데이터 패턴 정보를 비교하여 동일한 데이터 부분을 갖는 패킷이 있는지의 여부를 판단하여 침입을 탐지하며, 상기 침입이 탐지되면 침입 경보를 생성하는 데이터 패턴 매칭 엔진; 및 상기 전처리기에서 생성된 침입 경보와 상기 데이터 패턴 매칭 엔진에서 생성된 침입 경보를 제어 및 관리 장치에 제공하는 경보 전달 소켓 제어기를 포함하는 보안 게이트웨이 시스템
|
| 5 |
5
제 4 항에 있어서, 상기 커널 침입 탐지 수행 장치는, 상기 침입 패턴 테이블에서 검색된 정보 중 상기 헤더 패턴 정보를 상기 하드웨어 침입 탐지 수행 장치에 제공하고 상기 데이터 패턴 정보를 상기 커널 침입 탐지 수행 장치에 제공하며, 상기 제어 및 관리 장치로부터 기 설정된 간격으로 침입 패턴 정보를 수신하여 침입 패턴 테이블에 저장된 정보를 업데이트 시키는 침입 패턴 관리기를 포함하는 보안 게이트웨이 시스템
|
| 6 |
6
제 1 항에 있어서, 상기 침입 패턴 테이블은, TCP 패턴, UDP 패턴, ICMP 패턴 및 IP 패턴으로 이루어지는 보안 게이트웨이 시스템
|
| 7 |
7
패킷의 헤더 정보를 기반으로 구성된 헤더 패턴 정보와 연관되며 데이터 부분을 기반으로 구성된 데이터 패턴 정보로 이루어진 침입 패턴 테이블을 구비한 보안 게이트웨이 시스템에서 침입을 탐지하는 방법에 있어서, 상기 보안 게이트웨이 시스템은 상기 네트워크 망에서 송수신되는 패킷을 수집하는 제 1 단계; 상기 보안 게이트웨이 시스템의 하드웨어 영역에서 상기 수집된 패킷의 헤더 부분과 상기 헤더 패턴 정보를 비교하여 상기 헤더 부분과 매칭되는 헤더 패턴 정보가 있는지의 여부를 판단하는 제 2 단계; 상기 판단 결과, 상기 헤더 부분과 매칭되는 헤더 패턴 정보가 있는 경우에 상기 헤더 부분이 매칭된 패킷에 매칭 정보를 삽입하여 상기 보안 게이트웨이 시스템의 커널 영역에 제공하는 제 3 단계; 상기 헤더 부분과 매칭된 헤더 패턴 정보와 연관되는 적어도 하나 이상의 데이터 패턴 정보를 추출하는 제 4 단계; 상기 커널 영역에서 상기 헤더 부분이 매칭된 패킷의 데이터 부분과 상기 추출된 데이터 패턴 정보를 비교하여 상기 데이터 부분과 매칭되는 데이터 패턴 정보가 있는지의 여부를 판단하는 제 5 단계; 및 상기 판단 결과, 상기 패킷의 데이터 부분과 매칭되는 데이터 패턴 정보가 있는 경우에 침입 경보를 발생시키는 제 5 단계를 포함하는 보안 게이트웨이 시스템의 침입 탐지 방법
|
| 8 |
8
제 7 항에 있어서, 상기 보안 게이트웨이 시스템의 침입 탐지 방법은, 상기 네트워크 상에서 수집된 패킷이 기 설정된 양식에 부합되는지를 검사하여 전처리가 필요한지의 여부를 판단하는 단계; 및 상기 판단 결과, 상기 전처리가 필요한 패킷인 경우에 상기 커널 영역에서 상기 패킷의 잡음을 제거한 다음 상기 잡음이 제거된 패킷과 기 설정된 침입 패턴과 비교하여 침입을 탐지함과 더불어 상기 헤더 패턴 정보와 데이터 패턴 정보를 이용하여 상기 패킷에 대한 헤더 부분 매칭과 데이터 부분 매칭 여부를 판단하는 상기 제 2 단계로 진행하는 단계를 더 포함하는 보안 게이트웨이 시스템의 침입 탐지 방법
|
| 9 |
9
패킷의 헤더 정보를 기반으로 구성된 헤더 패턴 테이블과 상기 헤더 정보와 연관되며 데이터 부분을 기반으로 구성된 데이터 패턴 테이블로 이루어진 침입 패턴 테이블을 구비한 보안 게이트웨이 시스템과 사이버 순찰 제어 시스템으로 이루어진 네트워크 망에서 상기 침입 패턴 테이블에 침입 패턴 정보를 추가시키는 방법에 있어서, 상기 사이버 순찰 제어 시스템으로부터 상기 침입 패턴 정보를 수신하는 단계; 상기 수신된 침입 패턴 정보를 헤더 패턴 정보와 데이터 패턴 정보로 분류하는 단계; 상기 헤더 패턴 테이블에 상기 분류된 헤더 패턴 정보와 동일한 헤더 패턴 정보가 있는지의 여부를 판단하는 단계; 상기 판단 결과, 상기 헤더 패턴 테이블에 동일한 헤더 패턴 정보가 존재하는 경우에 상기 분류된 데이터 패턴 정보를 이용하여 상기 헤더 패턴 정보와 연결된 데이터 패턴 정보를 상기 데이터 패턴 테이블에 추가시키는 단계; 및 상기 판단 결과, 상기 헤더 패턴 테이블에 동일한 헤더 패턴 정보가 존재하지 않은 경우에 상기 분류된 헤더 패턴 정보를 이용하여 상기 헤더 패턴 테이블 내에 헤더 패턴 정보를 추가시키고, 상기 분류된 데이터 패턴 정보를 이용하여 상기 생성된 헤더 패턴 정보와 연결되는 데이터 패턴 정보를 상기 데이터 패턴 테이블에 추가시키는 단계를 포함하는 보안 게이트웨이 시스템에서 침입 패턴 정보 추가 방법
|
| 10 |
10
패킷의 헤더 정보를 기반으로 구성된 헤더 패턴 테이블과 상기 헤더 정보와 연관되며 데이터 부분을 기반으로 구성된 데이터 패턴 테이블로 이루어진 침입 패턴 테이블을 구비한 보안 게이트웨이 시스템과 사이버 순찰 제어 시스템으로 이루어진 네트워크 망에서 상기 침입 패턴 테이블에 침입 패턴 정보를 삭제시키는 방법에 있어서, 상기 사이버 순찰 제어 시스템으로부터 삭제할 상기 침입 패턴 정보를 수신하는 단계; 상기 수신된 침입 패턴 정보를 헤더 패턴 정보와 데이터 패턴 정보로 분류하는 단계; 상기 데이터 패턴 테이블에 상기 분류된 데이터 패턴 정보와 동일한 데이터 패턴 정보가 있는지의 여부를 판단하는 단계; 상기 판단 결과, 상기 데이터 패턴 테이블에 동일한 데이터 패턴 정보가 존재하지 않은 경우에 패턴 삭제 에러 메시지를 발생시키고, 그렇지 않을 경우에 상기 데이터 패턴 테이블에서 상기 분류된 데이터 패턴 정보에 대응되는 데이터 패턴 정보를 삭제하는 단계; 상기 헤더 패턴 테이블에서 상기 삭제된 데이터 패턴 정보와 연결되는 헤더 패턴 정보를 검색하는 단계; 상기 데이터 패턴 테이블에 상기 검색된 헤더 패턴 정보와 연결되는 데이터 패턴 정보가 있는지의 여부를 판단하는 단계; 및 상기 판단 결과, 상기 데이터 패턴 테이블에 상기 검색된 헤더 패턴 정보와 연결되는 데이터 패턴 정보가 존재하는 경우에 상기 헤더 패턴 정보를 삭제하지 않고, 그렇지 않을 경우에 상기 헤더 패턴 테이블에서 상기 검색된 헤더 패턴 정보를 삭제시키는 단계를 포함하는 보안 게이트웨이 시스템에서 침입 패턴 정보 삭제 방법
|
| 11 |
10
패킷의 헤더 정보를 기반으로 구성된 헤더 패턴 테이블과 상기 헤더 정보와 연관되며 데이터 부분을 기반으로 구성된 데이터 패턴 테이블로 이루어진 침입 패턴 테이블을 구비한 보안 게이트웨이 시스템과 사이버 순찰 제어 시스템으로 이루어진 네트워크 망에서 상기 침입 패턴 테이블에 침입 패턴 정보를 삭제시키는 방법에 있어서, 상기 사이버 순찰 제어 시스템으로부터 삭제할 상기 침입 패턴 정보를 수신하는 단계; 상기 수신된 침입 패턴 정보를 헤더 패턴 정보와 데이터 패턴 정보로 분류하는 단계; 상기 데이터 패턴 테이블에 상기 분류된 데이터 패턴 정보와 동일한 데이터 패턴 정보가 있는지의 여부를 판단하는 단계; 상기 판단 결과, 상기 데이터 패턴 테이블에 동일한 데이터 패턴 정보가 존재하지 않은 경우에 패턴 삭제 에러 메시지를 발생시키고, 그렇지 않을 경우에 상기 데이터 패턴 테이블에서 상기 분류된 데이터 패턴 정보에 대응되는 데이터 패턴 정보를 삭제하는 단계; 상기 헤더 패턴 테이블에서 상기 삭제된 데이터 패턴 정보와 연결되는 헤더 패턴 정보를 검색하는 단계; 상기 데이터 패턴 테이블에 상기 검색된 헤더 패턴 정보와 연결되는 데이터 패턴 정보가 있는지의 여부를 판단하는 단계; 및 상기 판단 결과, 상기 데이터 패턴 테이블에 상기 검색된 헤더 패턴 정보와 연결되는 데이터 패턴 정보가 존재하는 경우에 상기 헤더 패턴 정보를 삭제하지 않고, 그렇지 않을 경우에 상기 헤더 패턴 테이블에서 상기 검색된 헤더 패턴 정보를 삭제시키는 단계를 포함하는 보안 게이트웨이 시스템에서 침입 패턴 정보 삭제 방법
|
