1 |
1
네트워크 이상징후 탐지장치에 있어서,
송신되거나 수신되는 패킷을 수신하는 패킷 수신부와,
상기 패킷을 분석하여 패킷의 소스 및 목적 IP(Internet Protocol) 주소를 획득하는 패킷 분석부와,
IP 주소에 의해 구분되는 시스템 및 주변환경에 대해 미리 정해진 토큰수를 할당하고, 토큰수들을 구성요소로 한 IP 상태벡터를 정의하고, 상기 패킷의 소스 및 목적 IP 주소에 따라 상기 IP 상태벡터의 토큰수들을 갱신함으로써 상태벡터 값을 결정하고, 상기 상태벡터 값을 카운트하여 상기 상태벡터 값의 상태수를 획득하는 IP 상태벡터 관리부와,
포트번호에 의해 구분되는 서비스들에 대해 미리 정해진 토큰수를 할당하고, 토큰수들을 구성요소로 한 포트번호 상태벡터를 정의하고, 상기 패킷의 소스 및 목적 토큰번호에 따라 상기 포트번호 상태벡터의 토큰수들을 갱신함으로써 상태벡터 값을 결정하고, 상기 상태벡터 값을 카운트하여 상기 상태벡터 값의 상태수를 획득하는 포트번호 상태벡터 관리부와,
상기 IP 상태벡터 및 상기 포트번호 상태벡터에 관련된 상태벡터 값들의 개수와 그 상태수에 기초하여 IP 주소 및 상기 포트번호에 관련된 엔트로피를 각각 계산하는 엔트로피 계산부와,
상기 계산된 엔트로피에 따라 네트워크 이상징후를 판단하는 이상징후 판단부를 포함하는 이상징후 탐지 장치
|
2 |
2
제1항에 있어서, 상기 IP 상태벡터 관리부는 미리 정해진 단위 시간마다 상기 상태벡터 값들의 개수 및 그 상태수를 출력하는 이상징후 탐지 장치
|
3 |
3
제2항에 있어서, 상기 포트번호 상태벡터 관리부는 미리 정해진 단위 시간마다 상태 상태벡터 값들의 개수 및 그 상태수를 출력하는 이상징후 탐지 장치
|
4 |
4
제3항에 있어서, 상기 엔트로피 계산부는 이하 수학식에 따라 상기 IP 주소 및 상기 포트번호에 관련한 엔트로피를 각각 계산하는 이상징후 탐지 장치
|
5 |
5
제1항에 있어서, 상기 IP 상태벡터 관리부는 상기 패킷의 소스 IP 주소에 대응한 상태벡터의 토큰수를 디크리먼트하고, 상기 패킷의 목적 IP 주소에 대응한 상태벡터의 토큰수를 인크리먼트하는 이상징후 탐지 장치
|
6 |
6
제1항에 있어서, 상기 포트번호 상태벡터 관리부는 상기 패킷의 소스 및 목적 포트번호에 대응한 서비스들을 결정하고, 상기 소스 포트번호에 대해 결정된 서비스에 대응한 토큰수를 디크리먼트하고 목적 포트번호에 대해 결정된 서비스에 대응한 토큰수를 인크리먼트하는 이상징후 탐지 장치
|
7 |
7
제4항에 있어서, 상기 이상징후 판단부는 하기 수학식에 따라 IP 주소의 엔트로피와 포트번호의 엔트로피에 대해 k번째 단위시간에서의 엔트로피의 평균값과 k-1번째의 단위시간까지의 엔트로피의 평균값의 차의 절대값을 구하고, 이들 둘 중 더 작은 값이 미리 결정된 임계값보다 크면 이상징후가 존재하는 것으로 판단하는 이상징후 탐지장치
|
8 |
8
제1항에 있어서, 상기 이상징후 탐지장치는 방화벽 상에 구현되는 이상징후 탐지장치
|
9 |
9
제1항에 있어서, 상기 포트번호에 의해 구분되는 서비스들은 인터랙티브 서비스(Interactive service), 인터랙티브 벌크 서비스(Interactive bulk service), 비동기식 서비스(Asynchronous service) 및 사용자 임시(User ephemeral) 서비스를 포함하는 이상징후 탐지장치
|
10 |
10
네트워크 이상징후 탐지방법에 있어서,
IP(Internet Protocol) 주소에 의해 구분되는 시스템 및 주변환경에 대해 미리 정해진 토큰수를 할당하고, 상기 토큰수들을 구성요소로 한 IP 상태벡터를 정의하는 단계와,
포트번호에 의해 구분되는 서비스들에 대해 미리 정해진 토큰수를 할당하고, 상기 토큰수들을 구성요소로 한 포트번호 상태벡터를 정의하는 단계와,
패킷이 이동되면, 상기 패킷을 분석하여 패킷의 소스 및 목적 IP 주소, 그리고 패킷의 소스 및 목적 포트 번호를 획득하는 단계와,
상기 패킷의 소스 및 목적 IP 주소, 그리고 상기 패킷의 소스 및 목적 포트번호에 따라 상기 상태벡터의 토큰수들을 갱신함으로써 상기 상태벡터 값을 각각 결정하는 단계와,
상기 IP 주소 및 상기 포트번호에 관련된 상태벡터 값을 각각 카운트하여 상기 IP 주소 및 포트번호에 관련된 상태벡터 값의 상태수를 각각 획득하는 단계와,
상기 IP 주소 및 포트번호 관련된 상기 상태벡터 값들의 개수와 그 상태수에 기초하여 IP 주소 및 상기 포트번호에 관련된 엔트로피를 각각 계산하는 단계와,
상기 계산된 엔트로피에 따라 네트워크 이상징후를 판단하는 단계를 포함하는 이상징후 탐지방법
|
11 |
11
제10항에 있어서, 상기 IP 주소에 관련된 상태벡터 값들의 개수 및 그 상태수는 미리 결정된 시간 단위로 획득되는 이상징후 탐지 방법
|
12 |
12
제11항에 있어서, 상기 포트번호에 관련된 상태벡터 값들의 개수 및 그 상태수는 미리 결정된 시간 단위로 획득되는 이상징후 탐지방법
|
13 |
13
제12항에 있어서, 상기 엔트로피는 이하 수학식에 따라 계산되는 이상징후 탐지방법
|
14 |
14
제10항에 있어서, 상기 IP 주소에 관련된 상태벡터의 토큰수들은 상기 패킷의 소스 IP 주소에 대응한 상태벡터의 토큰수를 디크리먼트하고, 상기 패킷의 목적 IP 주소에 대응한 상태벡터의 토큰수를 인크리먼트함으로써 갱신되는 이상징후 탐지방법
|
15 |
15
제10항에 있어서, 상기 포트번호에 관련된 상태벡터의 토큰수는 상기 패킷의 소스 및 목적 포트번호에 대응한 서비스들을 결정하고, 상기 소스 포트번호에 대해 결정된 서비스에 대응한 토큰수를 디크리먼트하고 상기 목적 포트번호에 대해 결정된 서비스에 대응한 토큰수를 인크리먼트함으로써 갱신되는 이상징후 탐지방법
|
16 |
16
제13항에 있어서, 상기 네트워크 이상징후는 하기 수학식에 따라 IP 주소의 엔트로피와 포트번호의 엔트로피에 대해 k번째 단위시간에서의 엔트로피의 평균값과 k-1번째의 단위시간까지의 엔트로피의 평균값의 차의 절대값을 구하고, 이들 둘 중 더 작은 값이 미리 결정된 임계값보다 크면 존재하는 것으로 판단되는 이상징후 탐지방법
|
17 |
17
제10항에 있어서, 상기 이상징후 탐지방법은 방화벽 상에 구현되는 이상징후 탐지방법
|
18 |
18
제10항에 있어서, 상기 포트번호에 의해 구분되는 서비스들은 인터랙티브 서비스(Interactive service), 인터랙티브 벌크 서비스(Interactive bulk service), 비동기식 서비스(Asynchronous service) 및 사용자 임시(User ephemeral) 서비스를 포함하는 이상징후 탐지방법
|