| 1 |
1
보호 네트워크와 외부 네트워크 사이에 연결되며, 상기 보호 네트워크와 상기 외부 네트워크 간의 침입 여부를 탐지하여 차단하는 시스템에 있어서,외부의 기가비트 이더넷 인터페이스(Gigabit Ethernet Interface)로부터 수신하는 적어도 한 개 이상의 PDU(Packet Data Unit)를 상기 제1 네트워크 프로세서부로 전달하는 라인 인터페이스부;외부로부터 수신하는 PDU를 모니터링하여 미터링 규칙에 따라 각종 통계치 자료를 수집하며, 상기 수신한 PDU를 패킷 차단 규칙에 따라 선택적으로 폐기하거나 통과시키고, 센싱 규칙에 따라 상기 수신한 PDU를 복사한 복사 PDU를 만드는 제1 네트워크 프로세서부;상기 제1 네트워크 프로세서부로부터 수신하는 PDU의 페이로드(payload)에 대해 적어도 한 개 이상의 공격 시그너쳐를 이용하여 상기 보호 및 외부 네트워크간의 침입 여부를 탐지하는 제2 네트워크 프로세서부; 및상기 제2 네트워크 프로세서부에서 탐지한 침입을 차단할 수 있는 규칙인 패킷 차단 규칙을 생성하거나 갱신하여 상기 제1 네트워크 프로세서부로 제공하는 개인용 컴퓨터를 포함하는 인-라인 모드 네트워크 침입 탐지/차단 시스템
|
| 2 |
2
삭제
|
| 3 |
3
제1 항에 있어서,상기 개인용 컴퓨터는,상기 PDU의 송신지 및 목적지 포트 주소, 송신지 IP(Internet Protocol) 주소와 목적지 IP 주소, 프로토콜 및 TCP(Transmission Control Protocol) 플래그 비트 중 적어도 하나 이상을 포함하거나, 또는 두 개 이상의 조합으로 구성되는 패킷 차단 규칙과 센싱 규칙을 생성하거나 업데이트하는 것을 특징으로 하는 인-라인 모드 네트워크 침입 탐지/차단 시스템
|
| 4 |
4
제3 항에 있어서, 상기 개인용 컴퓨터는, 상기 PDU의 송신지 및 목적지 이더넷 주소와 이더넷 타입, 송신지 IP 주소, 목적지 IP 주소, 송신지 포트 주소, 목적지 포트 주소, 프로토콜, TCP 플래그 비트 중 적어도 하나 이상을 포함하거나, 또는 두 개 이상의 조합으로 구성되는 미터링 규칙을 생성하거나 업데이트하는 것을 특징으로 하는 인-라인 모드 네트워크 침입 탐지/차단 시스템
|
| 5 |
5
제4 항에 있어서, 상기 제1 네트워크 프로세서부는, 상기 개인용 컴퓨터로부터 수신하는 패킷 차단 규칙에 따라 상기 라인 인터페이스부로부터 수신하는 PDU를 폐기할 것인지 또는 통과시킬 것인지를 결정하고, 상기 개인용 컴퓨터로부터 수신하는 센싱 규칙에 따라 상기 수신한 PDU를 복사할 것인지를 결정하는 분류기; 상기 분류기의 폐기 처리 결정에 따라, 상기 수신한 PDU를 폐기하거나 또는 센싱하기로 결정한 PDU를 복사하여 복사 PDU를 생성하는 트래픽 매니저; 및 상기 개인용 컴퓨터로부터 수신하는 트래픽 미터링 규칙에 따라, 상기 라인 인터페이스부로부터 수신하는 PDU와 관련 있는 각종 통계치 자료를 관리하는 스테이트 엔진 를 포함하는 인-라인 모드 네트워크 침입 탐지/차단 시스템
|
| 6 |
6
제5 항에 있어서, 상기 제1 네트워크 프로세서부는, 상기 기가비트 이더넷 인터페이스로 PDU를 다시 빠져 나가게 하거나 상기 기가비트 이더넷 인터페이스로부터 PDU를 수신하는 제1 내지 제4 논리 포트; 상기 스테이트 엔진으로부터 출력되는 복사 PDU를 수신하는 링크레이어 리시버; 상기 수신한 복사 PDU를 이용하여 BPDU(Bearer PDU)와 SPDU(Shortened PDU)를 생성하는 PDU 변환/복사부; 및 상기 생성한 BPDU와 SPDU를 상기 제2 네트워크 프로세서부로 전송하는 PHY 트랜스미터 를 더 포함하는 인-라인 모드 네트워크 침입 탐지/차단 시스템
|
| 7 |
7
제6 항에 있어서, 상기 제2 네트워크 프로세서부는, 상기 전송한 BPDU와 SPDU의 페이로드를 상기 개인용 컴퓨터로부터 수신하는 룰에 따라 패턴 매칭을 수행하여 상기 보호 및 외부 네트워크간의 침입 여부를 탐지하는 분류기; 상기 탐지한 침입 여부와 관련한 정보를 수집하여 관리하는 스테이트 엔진; 및 상기 수집하여 관리하는 정보를 상기 개인용 컴퓨터로 전송하는 PCI 인터페이스 를 포함하는 인-라인 모드 네트워크 침입 탐지/차단 시스템
|
| 8 |
8
보호 네트워크와 외부 네트워크 사이에 연결되며, 상기 보호 네트워크와 상기 외부 네트워크 간의 침입 여부를 탐지하여 차단하는 방법에 있어서, a)외부로부터 수신하는 PDU(Packet Data Unit)를 적어도 한 개 이상 폐기시키거나 그대로 통과시킬 수 있는 기준인 패킷 차단 규칙을 생성하는 단계; b)상기 생성한 패킷 차단 규칙에 따라 상기 수신하는 PDU를 선택적으로 폐기하거나 통과시키는 단계; 및 c)상기 통과시킨 PDU의 페이로드(payload)에 대해 적어도 한 개 이상의 공격 시그너쳐를 이용하여 상기 보호 및 외부 네트워크간의 침입 여부를 탐지하는 단계; 및 d)상기 탐지한 침입을 차단할 수 있는 규칙을 생성하거나 업데이트하여 상기 탐지한 공격을 차단시키는 단계 를 포함하는 인-라인 모드 네트워크 침입 탐지/차단 방법
|
| 9 |
9
제8 항에 있어서, 상기 a)단계는, 상기 수신한 PDU의 송신지와 목적지 포트 주소, 송신지 IP(Internet Protocol) 주소와 목적지 IP 주소, 프로토콜 및 TCP(Transmission Control Protocol) 플래그 비트 중 적어도 한 개 이상을 포함하거나 또는 두 개 이상의 조합으로 구성되는 패킷 차단 규칙을 생성하거나 업데이트하는 단계; 상기 수신한 PDU의 송신지 및 목적지 포트 주소와 송신지 IP(Internet Protocol) 주소와 목적지 IP 주소, 프로토콜 및 TCP(Transmission Control Protocol) 플래그 비트 중 적어도 한 개 이상을 포함하거나 또는 두 개 이상의 조합으로 구성되는 센싱 규칙을 생성하거나 업데이트하는 단계; 및 상기 수신한 PDU의 송신지 및 목적지 이더넷 주소와 이더넷 타입, 송신지 IP 주소, 목적지 IP 주소, 송신지 포트 주소, 목적지 포트 주소, 프로토콜, TCP 플래그 비트 중 적어도 한 개 이상을 포함하거나 또는 두 개 이상의 조합으로 구성되는 미터링 규칙을 생성하거나 업데이트하는 단계 를 포함하는 인-라인 모드 네트워크 침입 탐지/차단 방법
|
| 10 |
10
제9 항에 있어서, 상기 b)단계는, 상기 생성하거나 갱신한 패킷 차단 규칙에 따라, 상기 외부로부터 수신하는 PDU를 폐기 처리할 것인지 또는 통과시킬 것인지를 결정하는 단계; 상기 수신한 PDU 중 적어도 한 개 이상의 PDU를 폐기 처리하기로 결정하였으면, 상기 수신한 PDU를 폐기 처리하는 단계; 상기 수신한 PDU 중 적어도 한 개 이상의 PDU를 통과시키기로 결정하였으면, 상기 통과시키기로 결정한 PDU를 복사하여 복사 PDU를 생성하는 단계; 및 상기 생성한 복사 PDU에 추가 정보인 아이디(ID)를 포함시켜 출력시키는 단계 를 포함하는 인-라인 모드 네트워크 침입 탐지/차단 방법
|
| 11 |
11
제10 항에 있어서, 상기 b)단계는, 상기 출력시키는 복사 PDU를 이용하여 BPDU(Bearer PDU)를 생성하는 단계; 및 상기 생성한 BPDU 보다는 작은 크기를 가진 SPDU(Shortened PDU)를 생성하여 상기 BPDU와 함께 출력시키는 단계 를 더 포함하는 인-라인 모드 네트워크 침입 탐지/차단 방법
|
| 12 |
12
제11 항에 있어서, 상기 c)단계는, 상기 출력시킨 BPDU 및 SPDU의 페이로드(payload)를 상기 보호 또는 외부 네트워크를 관리하는 관리자가 제시하는 공격 시그너쳐와 비교하는 패턴 매칭을 수행하는 단계; 및 상기 수행한 패턴 매칭 결과에 따라 상기 보호 또는 외부 네트워크로의 공격 여부를 감지한 후, 상기 감지한 결과를 상기 관리자에게 전달하여 상기 관리자가 제시하는 공격 시그너쳐를 업데이트하거나 다시 생성하도록 하는 단계 를 포함하는 인-라인 모드 네트워크 침입 탐지/차단 방법
|
| 13 |
12
제11 항에 있어서, 상기 c)단계는, 상기 출력시킨 BPDU 및 SPDU의 페이로드(payload)를 상기 보호 또는 외부 네트워크를 관리하는 관리자가 제시하는 공격 시그너쳐와 비교하는 패턴 매칭을 수행하는 단계; 및 상기 수행한 패턴 매칭 결과에 따라 상기 보호 또는 외부 네트워크로의 공격 여부를 감지한 후, 상기 감지한 결과를 상기 관리자에게 전달하여 상기 관리자가 제시하는 공격 시그너쳐를 업데이트하거나 다시 생성하도록 하는 단계 를 포함하는 인-라인 모드 네트워크 침입 탐지/차단 방법
|
