1 |
1
시그너처 기반 탐지 장치 및 변칙 행위 기반 탐지 장치를 구비한 네트워크 침입 탐지 및 방지 시스템에 있어서, 상기 시그너처 기반 탐지 장치 및 변칙 행위 기반 탐지 장치 사이에 설치되어, 상기 변칙 행위 기반 탐지 장치를 통해 의심가는 패킷들이 탐지되면 이를 수집하여 이들의 공통 정보를 찾아내고, 이후 그 공통점을 바탕으로 신규 시그너처를 생성함과 동시에 상기 시그너처 기반 탐지 장치에 적용 가능한지의 여부를 검증한 후 적용 가능하다고 판단되면 그 신규 시그너처를 상기 시그너처 기반 탐지 장치에 등록하는 신규 시그너처 생성 및 검증 장치로 구성된 것을 특징으로 하는 네트워크 침입 탐지 및 방지 시스템
|
2 |
2
제 1항에 있어서, 상기 신규 시그너처 생성 및 검증 장치는, 상기 변칙 행위 기반 탐지 장치를 통해 네트워크 공격으로 의심가는 패킷들이 탐지되면 이를 수집하여 저장하는 패킷 수집부; 상기 패킷 수집부를 통해 수집된 패킷 정보들을 바탕으로 각 패킷 정보들의 공통 분모를 찾아내어 분석하는 패킷 분석부; 상기 패킷 분석부를 통해 분석된 결과를 바탕으로 상기 시그너처 기반 탐지 장치에 적용 가능한 시그너처를 생성한 후, 실제 탐지 시스템 환경을 구성하여 그 신규 시그너처가 실제 시그너처 기반 탐지 장치에 적용 가능한지의 여부를 검증하는 시그너처 생성 및 검증부; 상기 시그너처 생성 및 검증부를 통해 생성된 신규 시그너처를 정상적인 실제 네트워크 트래픽을 통해 테스트하는 시그너처 테스트부; 및 상기 시그너처 테스트부를 통해 검증 완료된 신규 시그너처를 상기 시그너처 기반 탐지 장치에 등록하는 시그너처 적용부로 구성된 것을 특징으로 하는 네트워크 침입 탐지 및 방지 시스템
|
3 |
3
제 2항에 있어서, 상기 패킷 수집부에 저장된 네트워크 공격으로 의심가는 패킷들은, 목적지/소스(Destination/Source) IP 어드레스(Address) 정보, 목적지/소스 포트(Port) 번호 정보, 프로토콜(Protocol) 정보, 데이터 페이로드(Payload) 정보, 탐지된 결과의 심각성 정도를 나타내는 세버리티(Severity) 정보 등이 기록된 상태로 각각 존재함을 특징으로 하는 네트워크 침입 탐지 및 방지 시스템
|
4 |
4
제 2항에 있어서, 상기 패킷 분석부는, 상기 패킷 수집부를 통해 수집된 패킷 데이터들을 수신받는 패킷 수신부; 상기 패킷 수신부를 통해 수신받은 패킷 데이터들의 목적지/소스 IP 어드레스 공통 부분, 목적지/소스 포트 번호 공통 부분, 프로토콜 공통 부분 및 패킷 페이로드 크기 공통 부분을 분석하는 패킷헤더 분석부; 상기 패킷헤더 분석부로부터 패킷 데이터들의 분석 결과를 입력받아 그 패킷 데이터들의 패킷 페이로드를 종류별로 분리한 후 그 패킷 페이로드의 각 종류에서 공통부분을 찾아내는 패킷 페이로드 분석부; 및 상기 패킷 페이로드 분석부를 통해 분석된 각 패킷 정보들의 공통부분 결과 정보를 상기 시그너처 생성 및 검증부로 전송하는 패킷분석결과 전송부로 구성된 것을 특징으로 하는 네트워크 침입 탐지 및 방지 시스템
|
5 |
5
제 2항에 있어서, 상기 시그너처 생성 및 검증부는, 상기 패킷 분석부로부터 각 패킷 정보들의 공통부분 결과 정보를 수신받은 후 그 결과값을 토대로 신규 시그너처를 생성하고, 이후 실제 탐지 시스템 환경을 구성하여 그 신규 시그너처가 실제 시그너처 기반 탐지 장치에 적용 가능한지의 여부를 검증하는 시그너처 생성 및 검증결과 분석부; 상기 시그너처 생성 및 검증결과 분석부로부터 신규 시그너처를 수신받은 후 이를 상기 시그너처 테스트부로 전송하는 시그너처 전송부; 및 상기 시그너처 테스트부로부터 신규 시그너처에 대한 테스트 결과값을 수신받아 상기 시그너처 생성 및 검증결과 분석부로 전송하는 시그너처 테스트결과 수신부로 구성된 것을 특징으로 하는 네트워크 침입 탐지 및 방지 시스템
|
6 |
6
제 2항에 있어서, 상기 시그너처 테스트부는, 상기 시그너처 생성 및 검증부를 통해 생성된 신규 시그너처를 테스트함에 있어, 정상적인 네트워크 패킷들 및 상기 변칙 행위 기반 탐지 장치를 통해 탐지된 네트워크 공격으로 의심가는 패킷들을 동시에 적용하여 테스트함을 특징으로 하는 네트워크 침입 탐지 및 방지 시스템
|
7 |
7
시그너처 기반 탐지 장치 및 행위 기반 탐지 장치 사이에 설치된 신규 시그너처 생성 및 검증 장치의 네트워크 침입 탐지 및 방지 방법에 있어서, 상기 신규 시그너처 생성 및 검증 장치가 상기 변칙 행위 기반 탐지 장치를 통해 네트워크 공격으로 의심가는 패킷들이 탐지되면 그 패킷들을 수집하여 저장하는 제 10 단계; 상기 신규 시그너처 생성 및 검증 장치가 수집된 패킷 정보들을 바탕으로 각 패킷 정보들의 공통 분모를 찾아내어 분석하는 제 20 단계; 상기 신규 시그너처 생성 및 검증 장치가 패킷 페이로드의 각 종류별 공통부분 결과 정보를 바탕으로 상기 시그너처 기반 탐지 장치에 적용 가능한 시그너처를 생성하는 제 30 단계; 상기 신규 시그너처 생성 및 검증 장치가 실제 탐지 시스템 환경을 구성하여, 생성된 신규 시그너처가 실제 시그너처 기반 탐지 장치에 적용 가능한지의 여부를 검증하는 제 40 단계; 상기 신규 시그너처 생성 및 검증 장치가 생성된 신규 시그너처를 정상적인 실제 네트워크 트래픽을 통해 테스트하는 제 50 단계; 및 상기 신규 시그너처 생성 및 검증 장치가 검증 완료된 신규 시그너처를 상기 시그너처 기반 탐지 장치에 등록하는 제 60 단계로 이루어진 것을 특징으로 하는 네트워크 침입 탐지 및 방지 방법
|
8 |
8
제 7항에 있어서, 상기 제 10 단계에서 수집된 네트워크 공격으로 의심가는 패킷들의 헤더에는, 목적지/소스(Destination/Source) IP 어드레스(Address) 정보, 목적지/소스 포트(Port) 번호 정보, 프로토콜(Protocol) 정보, 데이터 페이로드(Payload) 정보, 탐지된 결과의 심각성 정도를 나타내는 세버리티(Severity) 정보 등이 기록되어 있음을 특징으로 하는 네트워크 침입 탐지 및 방지 방법
|
9 |
9
제 7항에 있어서, 상기 제 20 단계는, 상기 신규 시그너처 생성 및 검증 장치가 네트워크 공격으로 의심가는 패킷 데이터들의 헤더에 저장된 목적지/소스 IP 어드레스 공통 부분, 목적지/소스 포트 번호 공통 부분, 프로토콜 공통 부분 및 패킷 페이로드 크기 공통 부분을 분석하는 제 21 단계; 및 상기 신규 시그너처 생성 및 검증 장치가 패킷 데이터들의 분석 결과를 토대로 그 패킷 데이터들의 패킷 페이로드를 종류별로 분리한 후 그 패킷 페이로드의 각 종류에서 공통부분을 찾아내어 분석하는 제 22 단계로 이루어진 것을 특징으로 하는 네트워크 침입 탐지 및 방지 방법
|
10 |
10
제 7항에 있어서, 상기 제 50 단계에서, 상기 신규 시그너처 생성 및 검증 장치가 신규 시그너처를 테스트하는 방법은, 정상적인 네트워크 패킷들 및 상기 변칙 행위 기반 탐지 장치를 통해 탐지된 네트워크 공격으로 의심가는 패킷들을 동시에 적용하여 테스트함을 특징으로 하는 네트워크 침입 탐지 및 방지 방법
|
11 |
10
제 7항에 있어서, 상기 제 50 단계에서, 상기 신규 시그너처 생성 및 검증 장치가 신규 시그너처를 테스트하는 방법은, 정상적인 네트워크 패킷들 및 상기 변칙 행위 기반 탐지 장치를 통해 탐지된 네트워크 공격으로 의심가는 패킷들을 동시에 적용하여 테스트함을 특징으로 하는 네트워크 침입 탐지 및 방지 방법
|