1 |
1
네트워크 트래픽을 분석하고 감시하는 방법에 있어서,각각의 호스트(100, 101, 102)와 데이터베이스 서버(200, DB Server) 및 관리자 호스트(300, Admin Host)는 네트워크 망에 연결되어 있고,각각의 호스트(100, 101, 102)는 상기 각각의 호스트(100, 101, 102)를 지나가는 모든 트래픽들을 캡쳐하는 단계(S_10);상기에서 캡쳐된 트래픽을 분석하여 공격성향을 판단하는 단계(S_20);상기의 과정에서 공격성향이 아닌 것으로 판단된 트래픽은 삭제하고, 공격성향으로 판단된 트래픽은 호스트에 저장하고 데이터베이스 서버(200)에 전송하는 단계(S_30);상기의 데이터베이스 서버(200)는 각각의 호스트(100, 101, 102)로부터 전송되는 트래픽을 이용하여 테이블을 생성하고 관리자 호스트(300)에게 상기 트래픽 테이블을 전송하는 단계(S_40);상기 관리자 호스트(300)는 데이터베이스 서버(200)에서 전송된 트래픽 테이블을 수신하는 단계(S_50);상기 수신된 트래픽 테이블 중에서 설정된 시간의 이전 트래픽은 삭제하는 단계(S_60);상기에서 설정된 시간 이후의 트래픽에 대해서 이전에 저장된 트래픽 테이블과 결합하는 단계(S_70);상기의 비교에 따라 상황 분석하고 상기 분석된 트래픽 중에서 탐지엔진의 데이터와 규칙이 일치하면 경고하는 단계(S_80);로 이루어짐을 특징으로 하는 공격지식기반의 네트워크 트래픽 분석 및 감시 방법
|
2 |
2
청구항 제 1항에 있어서,상기의 공격 성향 판단에 대한 속성은,소스 IP, 목적지 IP, 공격 클래스 이름을 이용하여 조합하는 것을 특징으로 하는 공격지식기반의 네트워크 트래픽 분석 및 감시 방법
|
3 |
3
청구항 제 1항에 있어서,상기에서 트래픽 테이블의 구성은,정보를 보낸 호스트명, 정보 발생지의 소스의 주소, 공격 대상 목적지의 주소, 소스가 생성된 시간, 공격 방법에 대한 정보, 공격이 행하여진 횟수, 특징적 상황 분석에 의한 공격패턴으로 이루어짐을 특징으로 하는 공격지식기반의 네트워크 트래픽 분석 및 감시 방법
|
4 |
3
청구항 제 1항에 있어서,상기에서 트래픽 테이블의 구성은,정보를 보낸 호스트명, 정보 발생지의 소스의 주소, 공격 대상 목적지의 주소, 소스가 생성된 시간, 공격 방법에 대한 정보, 공격이 행하여진 횟수, 특징적 상황 분석에 의한 공격패턴으로 이루어짐을 특징으로 하는 공격지식기반의 네트워크 트래픽 분석 및 감시 방법
|