1 |
1
네트워크로부터 수신된 패킷에 대한 시그니처 생성 시 상기 시그니처에 속한 콘텐츠를 분리하고, 상기 분리된 콘텐츠를 그 속성에 따라 각각 분류하는 단계;
상기 분류된 콘텐츠를 포함하는 서브 시그니처를 생성하는 단계;
상기 생성된 서브 시그니처의 오탐지율(false positive rate)을 측정하여, 상기 생성된 서브 시그니처에 대한 검증을 수행하는 단계;
상기 생성된 서브 시그니처 중 검증 완료된 서브 시그니처를 최종 시그니처로 출력하는 단계;를 포함하는 시그니처 최적화 방법
|
2 |
2
제 1 항에 있어서, 상기 분류하는 단계는,
상기 시그니처로부터 분리된 콘텐츠를 상기 시그니처에 부여된 ID별로 분류하는 단계;
상기 시그니처 ID별로 분류된 각 콘텐츠에 대해 시그니처DB 타입(signature DB type)으로 설정하는 단계; 및
상기 시그니처DB 타입으로 설정된 콘텐츠에 대해 순차적으로 번호를 부여하는 단계;를 포함하는 시그니처 최적화 방법
|
3 |
3
제 2 항에 있어서, 상기 분류하는 단계는,
기 등록된 취약점 정보를 검출하는 단계;
상기 검출된 취약점 정보를 포함하는 적어도 하나의 콘텐츠를 추출하는 단계;
상기 추출된 적어도 하나의 콘텐츠에 대해 취약점DB 타입(vulnerability DB type)으로 설정하는 단계; 및
상기 취약점DB 타입으로 설정된 콘텐츠에 대해 순차적으로 번호를 부여하는 단계;를 더 포함하는 시그니처 최적화 방법
|
4 |
4
제 3 항에 있어서, 상기 분류하는 단계는,
상기 시그니처로부터 분리된 콘텐츠 중 상기 시그니처DB 타입 또는 상기 취약점DB 타입으로 분류되지 않은 콘텐츠에 대해 고빈도 DB 타입(high frequency DB type) 또는 미분류 타입(no-type)으로 설정하는 단계;를 더 포함하는 시그니처 최적화 방법
|
5 |
5
제 1 항에 있어서, 상기 서브 시그니처를 생성하는 단계는,
상기 분류하는 단계에서 분류된 적어도 하나의 콘텐츠가 존재하는지 판단하는 단계; 및
상기 분류하는 단계에서 분류된 적어도 하나의 콘텐츠가 존재하는 경우, 레벨값에 따른 서브 시그니처 생성 과정을 수행하는 단계;를 포함하는 시그니처 최적화 방법
|
6 |
6
제 5 항에 있어서, 상기 레벨값이 1인 경우의 서브 시그니처 생성 과정은,
상기 분류된 적어도 하나의 콘텐츠 중 시그니처DB 타입의 콘텐츠를 추출하는 단계;
상기 추출된 콘텐츠에 부여된 DB 번호가 낮은 콘텐츠를 검출하는 단계; 및
상기 검출된 콘텐츠를 이용하여 서브 시그니처를 생성하는 단계;를 포함하는 시그니처 최적화 방법
|
7 |
7
제 6 항에 있어서,
상기 검출된 콘텐츠 중 취약점DB 타입에 속하는 콘텐츠를 분류하는 단계; 및
상기 분류된 콘텐츠에 포함된 취약점을 추출하고, 상기 레벨값을 2로 변경하는 단계;를 더 포함하는 시그니처 최적화 방법
|
8 |
8
제 7 항에 있어서, 상기 레벨값이 2인 경우의 서브 시그니처 생성 과정은,
상기 추출된 취약점에 매칭되는 콘텐츠를 검출하는 단계; 및
상기 검출된 콘텐츠를 포함하여 서브 시그니처를 생성하는 단계;를 포함하는 시그니처 최적화 방법
|
9 |
9
제 6 항에 있어서,
상기 분류된 적어도 하나의 콘텐츠 중 시그니처DB 타입의 콘텐츠가 존재하지 않는 경우 상기 레벨값을 3으로 변경하고, 상기 레벨값이 3인 경우의 서브 시그니처 생성 과정을 수행하는 단계;를 더 포함하는 시그니처 최적화 방법
|
10 |
10
제 9 항에 있어서, 상기 레벨값이 3인 경우의 서브 시그니처 생성 과정은,
상기 분류된 콘텐츠 중 남은 콘텐츠에 포함된 취약점을 확인하는 단계;
상기 확인된 취약점 중 선택된 취약점을 포함하는 콘텐츠를 검출하는 단계; 및
상기 검출된 콘텐츠를 포함하는 서브 시그니처를 생성하는 단계;를 더 포함하는 시그니처 최적화 방법
|
11 |
11
제 10 항에 있어서,
상기 분류된 콘텐츠 중 남은 콘텐츠에 포함된 취약점이 존재하지 않거나, 혹은 상기 검출된 취약점을 포함하는 콘텐츠에 대해 서브 시그니처 생성 동작이 완료된 경우 상기 레벨값을 4로 변경하고, 상기 레벨값이 4인 경우의 서브 시그니처 생성 과정을 수행하는 단계;를 더 포함하는 시그니처 최적화 방법
|
12 |
12
제 11 항에 있어서, 상기 레벨값이 4인 경우의 서브 시그니처 생성 과정은,
상기 분류된 콘텐츠 중 남은 콘텐츠에 대해 미분류 타입으로 분류된 콘텐츠를 검출하는 단계; 및
상기 검출된 콘텐츠를 포함하는 서브 시그니처를 생성하는 단계;를 더 포함하는 시그니처 최적화 방법
|
13 |
13
제 12 항에 있어서,
상기 남은 콘텐츠 중 상기 미분류 타입의 콘텐츠가 존재하지 않는 경우 레벨값을 5로 변경하고, 상기 레벨값이 5인 경우의 서브 시그니처 생성 과정을 수행하는 단계;를 더 포함하는 시그니처 최적화 방법
|
14 |
14
제 13 항에 있어서, 상기 레벨값이 5인 경우의 서브 시그니처 생성 과정은,
상기 분류된 콘텐츠 중 남은 콘텐츠에 대해 고빈도 DB 타입으로 분류된 콘텐츠를 검출하는 단계; 및
상기 검출된 콘텐츠를 포함하는 서브 시그니처를 생성하는 단계;를 더 포함하는 시그니처 최적화 방법
|
15 |
15
제 14 항에 있어서,
상기 남은 콘텐츠 중 상기 고빈도DB 타입으로 분류된 콘텐츠가 존재하지 않는 경우, 경고신호를 출력하는 단계;를 더 포함하는 시그니처 최적화 방법
|
16 |
16
제 1 항에 있어서, 상기 검증을 수행하는 단계는,
상기 오탐지율이 기준치를 초과하지 않는 경우 상기 생성된 서브 시그니처에 대해 검증 완료하고, 그렇지 않은 경우에는 경고 신호를 출력하는 것을 특징으로 하는 시그니처 최적화 방법
|
17 |
17
네트워크로부터 수신된 패킷에 대한 시그니처 생성 시 상기 시그니처에 속한 콘텐츠를 분리하고, 상기 분리된 콘텐츠를 그 속성에 따라 각각 분류하는 시그니처 분류부;
상기 각각 분류된 콘텐츠를 포함하는 서브 시그니처를 생성하는 서브 시그니처 생성부; 및
상기 생성된 서브 시그니처의 오탐지율(false positive rate)을 측정하여, 상기 생성된 서브 시그니처에 대한 검증을 수행하는 검증부;를 포함하는 시그니처 최적화 장치
|
18 |
18
제 17 항에 있어서,
상기 분리된 콘텐츠를 분류할 때 상기 콘텐츠에 대한 분류 기준이 저장되는 데이터베이스;를 더 포함하는 시그니처 최적화 장치
|
19 |
19
제 18 항에 있어서, 상기 데이터베이스는,
상기 시그니처 생성부를 통해 생성된 시그니처가 연속되는 콘텐츠별로 분리되어 저장되며, 상기 시그니처 정보 및 상기 콘텐츠에 대한 위치 정보가 저장되는 시그니처 DB;
취약점이 존재할 수 있는 포트정보, 취약점 콘텐츠 정보, 상기 취약점 콘텐츠의 공격 코드 위치정보 중 적어도 어느 하나를 포함하는 취약점 정보가 저장되는 취약점 DB; 및
데이터 플로우에서 나타나는 빈도 수가 높은 콘텐츠가 저장되는 고빈도 DB;를 포함하는 시그니처 최적화 장치
|
20 |
20
제 19 항에 있어서,
상기 시그니처 분류부는, 상기 분리된 콘텐츠 중 상기 시그니처 DB, 취약점 DB 및 고빈도 DB에 저장된 콘텐츠와 매칭되는 콘텐츠를 분류하고, 상기 분류된 콘텐츠에 대해 각각의 DB 타입을 설정하는 것을 특징으로 하는 시그니처 최적화 장치
|