| 1 |
1
접속하고 있는 네트워크의 경보를 수신한 후 소정의 경보 데이터로 가공하여 출력하는 경보수신부; 상기 가공된 경보 데이터의 속성 및 발생 빈도를 기초로 상기 네트워크의 공격상황을 분석하는 경보처리부; 상기 네트워크의 상황을 분석할 수 있는 기본 데이터를 유지하며 상기 경보처리부에 제공하는 메모리부; 및 외부 장치로 상기 분석 결과를 송신하고 상기 공격상황의 판단시 기초가 되는 소정의 임계치를 수신한 후 상기 경보처리부로 출력하여 상기 메모리부에 저장하도록 하는 인터페이스부;를 포함하는 것을 특징으로 하는 네트워크 공격 상황 탐지 장치
|
| 2 |
2
제1항에 있어서, 상기 경보처리부는상기 가공된 경보 데이터로부터 상기 경보의 속성을 추출한 후 상기 속성으로 특징화되는 적어도 하나 이상의 제1데이터를 생성하는 경보파서부;상기 제1데이터와 동일한 수로 구성되며, 상기 제1데이터를 기초로 해쉬키를 생성하여 동일 속성을 가지는 해쉬 엔트리를 생성하거나 룩업에 실패하면 새로운 해쉬 엔트리를 생성하는 해쉬엔진부;상기 해쉬 엔트리를 수신하여 상기 임계치 위반 여부를 검사하며 상기 해쉬엔지부와 일대일로 대응하는 탐지엔진부; 및상기 임계치 위반 여부를 상기 외부장치로 송수신하는 인터페이스제어부;를 포함하는 것을 특징으로 하는 네트워크 공격 상황 탐지 장치
|
| 3 |
3
제2항에 있어서, 상기 경보파서부는 공격유형, 공격자 IP 주소, 공격대상 IP 주소, 서비스 유형을 추출한 후 조합하여 상기 제1데이터를 생성하는 것을 특징으로 하는 네트워크 공격 상황 탐지 장치
|
| 4 |
4
제1항에 있어서, 상기 메모리부는 상기 해쉬 엔트리를 저장하는 해쉬메모리부; 및 상기 임계치를 포함하는 제어 데이터를 저장하는 제어메모리부;를 포함하는 것을 특징으로 하는 네트워크 공격 상황 탐지 장치
|
| 5 |
5
제4항에 있어서, 상기 해쉬메모리부는 상기 해쉬 키에 의해 접근되며 각각 m개(m은 양의 정수)의 인덱스 엔트리를 유지하는 k개(k는 양의 정수)의 인덱스로 구성되는 인덱스 메모리; 및 상기 인덱스 엔트리에 의해 어드레싱되며 소정의 속성 정보와 카운터 정보를 유지하는 n개(n은 양의 정수)의 엔트리로 구성되는 데이터 메모리;를 포함하며 상기 해쉬 엔진부에 의하여 구동되는 것을 특징으로 하는 네트워크 공격 상황 탐지 장치
|
| 6 |
6
제5항에 있어서, 상기 속성 정보는 공격유형, 공격자 IP 주소, 공격대상 IP 주소, 서비스 유형을 포함하는 것을 특징으로 하는 네트워크 공격 상황 탐지 장치
|
| 7 |
7
제2항에 있어서, 상기 탐지엔진부는 상기 해쉬엔진부로부터 수신하는 해쉬 엔트리로부터 동일 속성을 가지는 경보의 수를 카운트하여 유효 시간내의 경보 발생 빈도를 계산하여 상기 임계치 위반 여부를 판단하는 것을 특징으로 하는 네트워크 공격 상황 탐지 장치
|
| 8 |
8
네트워크 공격상황을 탐지하는 장치에서 상기 네트워크에 대한 공격상황을 탐지하는 방법에 있어서,(a) 네트워크 경보를 수집하는 단계;(b) 상기 수집된 경보의 특성을 추출하여 조합한 적어도 하나 이상의 제1데이터로 가공하는 단계; 및(c) 상기 제1데이터를 속성과 발생 빈도를 기초로 소정의 임계치와 비교하여 네트워크의 공격상황을 분석하는 단계;를 포함하는 것을 특징으로 하는 네트워크 공격 상황 탐지 방법
|
| 9 |
9
제8항에 있어서, 상기 (b)단계는 상기 네트워크 경보에서 공격유형, 공격자 IP 주소, 공격대상 IP 주소, 서비스유형을 추출하여 상기 제1데이터로 구성하는 것을 특징으로 하는 네트워크 공격 상황 탐지 방법
|
| 10 |
10
제8항에 있어서, (b)단계는 (b1) 상기 수신된 경보로부터 속성을 추출한 후 상기 속성으로 특징화되는 적어도 하나 이상의 제1데이터를 생성하는 단계; (b2) 상기 제1데이터를 기초로 해쉬키를 생성하여 동일 속성을 가지는 해쉬 엔트리를 생성하거나 룩업에 실패하면 새로운 해쉬 엔트리를 생성하는 단계; 및 (b3) 상기 해시 엔트리를 기초로 상기 임계치 위반 여부를 검사하는 단계;를 포함하는 것을 특징으로 하는 네트워크 공격 상황 탐지 방법
|
| 11 |
11
제10항에 있어서, 상기 (b2)단계는 (b21) 상기 해쉬 키에 의해 접근되며 각각 m개(m은 양의 정수)의 인덱스 엔트리를 유지하는 k개(k는 양의 정수)의 인덱스로 이루어지는 인덱스 메모리를 구성하는 단계; 및 (b22) 상기 인덱스 엔트리에 의해 어드레싱되며 소정의 속성 정보와 카운터 정보를 유지하는 n개(n은 양의 정수)의 엔트리로 구성되는 데이터 메모리를 구성하는 단계;를 포함하는 것을 특징으로 하는 네트워크 공격 상황 탐지 방법
|
| 12 |
12
제10항에 있어서, 상기 (b3)단계는 상기 해쉬 엔트리로부터 동일 속성을 가지는 경보의 수를 카운트하여 유효 시간내의 경보 발생 빈도를 계산하여 상기 임계치 위반 여부를 판단하는 것을 특징으로 하는 네트워크 공격 상황 탐지 방법
|
| 13 |
12
제10항에 있어서, 상기 (b3)단계는 상기 해쉬 엔트리로부터 동일 속성을 가지는 경보의 수를 카운트하여 유효 시간내의 경보 발생 빈도를 계산하여 상기 임계치 위반 여부를 판단하는 것을 특징으로 하는 네트워크 공격 상황 탐지 방법
|
