| 1 |
1
침입탐지프로그램과 연계하여 동작하며, 보안위협을 분석하고 침입이 탐지되면 침입방지결정모듈에 위협정보를 전달하는 침입탐지모듈;상기 침입탐지모듈과 침입방지실행모듈에 대한 접근제어를 수행하며, 패킷 플로우에 대한 침입방지를 결정하는 침입방지결정모듈;상기 침입방지결정모듈과 SDN(Software defined networking)에 의해 상호 연동되어, 상기 침입방지결정모듈이 결정한 접근 허락 여부에 따라 내부 네트워크에 대한 외부의 침입 방지를 수행하는 침입방지실행모듈;을 포함하고,상기 침입방지실행모듈은,패킷의 시그니처(signature)를 미리 저장하고, 시그니처 기반의 패킷 처리 국지화를 위한 블룸 필터(Bloom filter)를 사용하며,플로우(f)가 입력되면 침입방지결정모듈에 테이블 조회를 요청하여 SDN 메시지를 통해 상기 플로우에 대한 완전일치 정합 엔트리를 송신받고, 피드백 플로우(f')를 시그니처 정합 테이블에 등록할 것인지 결정하여 피드백 플로우(f')가 입력되면 시그니처 정합을 이루며, 시그니처 정합 엔트리에서 완전일치 정합 엔트리로 규칙 복사(rule clone)를 수행하는 것을 특징으로 하는 네트워크 침입방지 시스템
|
| 2 |
2
제 1항에 있어서,상기 침입탐지모듈, 상기 침입방지결정모듈, 상기 침입방지실행모듈은 물리적으로 분리되어 있으며, SDN에 의해 상호 연동되는 것을 특징으로 하는 네트워크 침입방지 시스템
|
| 3 |
3
제 1항에 있어서,상기 침입탐지모듈은,침입탐지프로그램과 연계하여, 내부 네트워크의 보안 위협을 실시간으로 분석하는 위협분석부;상기 분석 결과를 침입방지결정모듈에 보고하는 위협보고부;를 포함하는 것을 특징으로 하는 네트워크 침입방지 시스템
|
| 4 |
4
제 3항에 있어서,상기 위협분석부는,상기 내부 네트워크 및 시스템의 보안위협을 취합하고 침입 방지 시스템의 보안 정책에 따라 보안 위협을 분류하며, 보안 위협을 단계별로 재분류하고,상기 위협보고부는,E2N(End to Network) 메시지를 구성한 후 상기 침입방지결정모듈에 보고하는 것을 특징으로 하는 네트워크 침입방지 시스템
|
| 5 |
5
제 1항에 있어서,상기 침입방지결정모듈은,상기 침입탐지모듈이 위협정보를 제공하고 상기 침입방지실행모듈이 패킷 플로우 테이블 조회를 요청하면, 설정된 보안 정책에 따라 접근 허락 또는 거부를 결정하고, 결과를 플로우 엔트리에 반영하여 상기 침입방지실행모듈에 설치하고 동작지침에 따라 플로우를 처리하도록 하는 것을 특징으로 하는 네트워크 침입방지 시스템
|
| 6 |
6
제 1항에 있어서,상기 침입방지결정모듈은,보안 규정에 따라 내부네트워크에 대한 접근 허가 또는 접근 거부를 결정하는 침입방지 결정부;침입탐지모듈과 침입방지실행모듈을 직접 연결하는 경우 네트워크 간 환경을 설정하는 시스템 연동부;비인가 침입방지실행모듈과 비인가 침입탐지모듈이 침입방지결정모듈에 접근하는 것을 차단하기 위해 IP주소 기반의 접근 제어를 수행하는 접근 제어부;상기 침입탐지모듈에 의해 확인된 위협 정보가 저장되는 보안위협 데이터베이스;를 포함하는 것을 특징으로 하는 네트워크 침입방지 시스템
|
| 7 |
7
제 6항에 있어서,상기 시스템 연동부는,시스템 명령을 이용하여 패킷 필터링과, IP 패킷의 네트워크 주소와 포트 주소를 변경하며, IP패킷의 캡슐화 및 역캡슐화 하는 것을 특징으로 하는 네트워크 침입방지 시스템
|
| 8 |
8
제 7항에 있어서,상기 시스템 명령은,FORWARD, DROP, SET_FIELD, SET_TUNNEL 명령 중 하나 이상을 포함하는 것을 특징으로 하는 네트워크 침입방지 시스템
|
| 9 |
9
제 6항에 있어서,상기 시스템 연동부는,침입탐지프로그램 또는 방화벽의 운용환경을 모사하여, 네트워크 주소변경 방식을 통해 자동적으로 네트워크간 환경을 설정하는 것을 특징으로 하는 네트워크 침입방지 시스템
|
| 10 |
10
제 6항에 있어서,상기 시스템 연동부는,공격자의 IP 주소를 포함하는 보안 위협 정보를 수집, 개방 또는 공유하여 다수의 서버에 대한 공격을 협력적으로 방지하는 것을 특징으로 하는 네트워크 침입방지 시스템
|
| 11 |
11
제 1항에 있어서,상기 침입방지실행모듈은,패킷이 수신되면 정합 테이블의 우선순위에 따라 플로우 엔트리를 검색하고, 할당된 동작지침에 따라 패킷을 처리하는 것을 특징으로 하는 네트워크 침입방지 시스템
|
| 12 |
12
제 11항에 있어서,상기 정합 테이블은,완전일치 정합(exact match), 시그니처 정합(signature match), 와일드카드 정합(wildcard match)의 순으로 우선순위인 것을 특징으로 하는 네트워크 침입방지 시스템
|
| 13 |
13
삭제
|
| 14 |
14
제 1항에 있어서,상기 침입방지실행모듈은,활성 블룸 필터와 대기 블룸 필터를 포함하여 플로우 엔트리를 구성하고, (수학식 1)에 따라 상기 활성 블룸 필터에 t개 이상의 플로우가 기록되면 해당 필터를 초기화한 후 대기 상태로 전환하며, 대기 블룸 필터를 활성 상태로 전환하는 것을 특징으로 하는 네트워크 침입방지 시스템
|
| 15 |
15
제 1항에 있어서,상기 침입방지실행모듈은,n이 (수학식 2)의 조건에 맞는 경우, 활성 블룸 필터와 대기 블룸 필터 모두에 시그니처를 남기는 것을 특징으로 하는 네트워크 침입방지 시스템
|
| 16 |
16
삭제
|
| 17 |
17
제 1항에 있어서,상기 침입방지실행모듈은,상기 블룸 필터의 시그니처를 삭제하는 경우, 다른 정합 테이블에 기록된 역 플로우(f-1)의 처리규칙을 변경하여 삭제하는 것을 특징으로 하는 네트워크 침입방지 시스템
|
| 18 |
18
(a) 침입탐지모듈이 침입을 탐지하고, 침입방지결정모듈로 위협정보를 전달하는 단계;(b) 침입방지실행모듈이 입력된 패킷에 대하여 플로우 테이블 조회를 요청하는 단계;(c) 침입방지결정모듈이 설정된 보안 정책에 따라 접근 허락 또는 거부를 결정하는 단계;(d) 상기 침입방지결정모듈이 결정된 결과를 플로우 엔트리에 반영하여 상기 침입방지실행모듈에 동작지침을 설치하는 단계;(e) 상기 침입방지실행모듈이 동작지침에 따라 플로우를 처리하는 단계;를 포함하고,상기 침입방지실행모듈은,패킷의 시그니처(signature)를 미리 저장하고, 시그니처 기반의 패킷 처리 국지화를 위한 블룸 필터(Bloom filter)를 사용하며,플로우(f)가 입력되면 침입방지결정모듈에 테이블 조회를 요청하여 SDN 메시지를 통해 상기 플로우에 대한 완전일치 정합 엔트리를 송신받고, 피드백 플로우(f')를 시그니처 정합 테이블에 등록할 것인지 결정하여 피드백 플로우(f')가 입력되면 시그니처 정합을 이루며, 시그니처 정합 엔트리에서 완전일치 정합 엔트리로 규칙 복사(rule clone)를 수행하는 것을 특징으로 하는 네트워크 침입방지 방법
|
| 19 |
19
제 18항에 있어서,상기 침입탐지모듈, 상기 침입방지결정모듈, 상기 침입방지실행모듈은 물리적으로 분리되어 있으며, SDN(Software defined networking)에 의해 상호 연동되는 것을 특징으로 하는 네트워크 침입처리 방법
|
