1 |
1
네트워크상의 송신패킷들 및 수신패킷들의 통신경로를 설정하며 통신망을 관리하는 라우터;외부 네트워크로부터 내부 네트워크를 보호하기 위해 상기 송신패킷들 또는 상기 수신패킷들을 감시하거나 차단하는 방화벽;패킷헤드 정보를 이용하여 상기 수신패킷들에서 상기 공격패킷들을 분류하는 제로데이 공격패킷 수집정책에 따라 상기 공격패킷들로부터 인터넷 프로토콜 정보를 추출하는 제로데이 공격 탐지부;상기 인터넷 프로토콜 정보를 전달받아 상기 공격패킷들로부터 패이로드정보를 추출 및 비교하여 제로데이 공격 의심 시그니쳐를 생성하는 제로데이 공격 시그니쳐 생성부;기존의 공격 시그니쳐들 및 이들의 리스트가 포함된 시그니쳐정보를 저장하는 시그니쳐 데이터베이스;상기 제로데이 공격 의심 시그니쳐와 상기 시그니쳐정보를 비교하여 신규공격여부를 판단하는 제로데이 공격 시그니쳐 관리부; 및상기 제로데이 공격 의심 시그니쳐가 신규공격일 경우 상기 제로데이 공격 의심 시그니쳐와 상기 수신패킷들을 비교하여 일정한 횟수이상 일치하면 상기 제로데이 공격 의심 시그니쳐를 제로데이 공격 시그니쳐로 간주하고 상기 방화벽과 상기 라우터를 이용하여 상기 제로데이 공격 의심 시그니쳐가 포함된 상기 공격패킷들을 차단하는 침입방지부;를 포함하여 구성하는 것을 특징으로 하는 제로데이 공격 대응 시스템
|
2 |
2
제 1 항에 있어서, 상기 제로데이 공격패킷 수집정책은상기 수신패킷들로부터 패킷헤드 정보를 분석하여 동일한 출발지 인터넷 프로토콜 주소와 N개 이상의 서로 다른 도착지 인터넷 프로토콜 주소를 가지는 상기 수신패킷들을 공격패킷으로 간주하는 것을 특징으로 하는 제로데이 공격 대응 시스템
|
3 |
3
제 2 항에 있어서 상기 패킷헤드 정보는출발지 인터넷 프로토콜 주소, 도착지 인터넷 프로토콜 주소, 출발지 포트번호 및 도착지 포트번호인 것을 특징으로 하는 제로데이 공격 대응 시스템
|
4 |
4
제 1 항에 있어서, 상기 인터넷 프로토콜 정보는출발지 인터넷 프로토콜 주소, 도착지 포트번호인 것을 특징으로 하는 제로데이 공격 대응 시스템
|
5 |
5
제 2 항 또는 제 4 항에 있어서, 상기 제로데이 공격 탐지부는상기 제로데이 공격패킷 수집정책에 따라 상기 수신패킷들로부터 공격패킷을 검출하는 패킷수집모듈; 및상기 공격패킷들로부터 상기 인터넷 프로토콜 주소, 상기 도착지 포트번호를 추출하여 상기 제로데이 공격 시그니쳐 생성부로 전달하는 인터넷 프로토콜 정보 추출모듈;을 구비하는 것을 특징으로 하는 제로데이 공격 대응 시스템
|
6 |
6
제 5 항에 있어서, 상기 제로데이 공격 시그니쳐 생성부는상기 인터넷 프로토콜 정보 추출모듈로부터 상기 인터넷 프로토콜 주소 및 상기 도착지 포트번호를 전달받아 상기 네트워크의 트래픽에서 상기 공격패킷들을 수집하는 공격패킷 검출 모듈;상기 공격패킷들로부터 상기 패이로드 정보를 수집하는 패이로드 수집 모듈; 및상기 패이로드 정보에서 반복 데이터 패턴을 찾아 상기 제로데이 공격 의심 시그니쳐을 생성하는 시그니쳐 생성 모듈;을 포함하여 구성되는 것을 특징으로 하는 제로데이 공격 대응 시스템
|
7 |
7
제 6 항에 있어서, 상기 제로데이 공격 시그니쳐 관리부는상기 시그니쳐 생성 모듈로부터 상기 제로데이 공격 의심 시그니쳐을 전달받아 상기 시그니쳐 데이터베이스의 시그니쳐정보와 비교하여 상기 제로데이 공격 의심 시그니쳐가 상기 시그니쳐정보와 일치할 경우 기존공격으로 판단하고, 불일치할 경우 신규공격으로 판단하는 신규공격 판단 모듈;상기 시그니쳐 데이터베이스에 상기 제로데이 공격 의심 시그니쳐과 일치하는 상기 시그니쳐정보의 검색을 요청하는 시그니쳐 검색 모듈; 및 상기 제로데이 공격 의심 시그니쳐을 상기 기존공격 또는 상기 신규공격으로 구분하여 상기 침입방지부에 적용하는 신규공격 적용 모듈;을 포함하여 구성되는 것을 특징으로 하는 제로데이 공격 대응 시스템
|
8 |
8
제 1 항 또는 제 2 항에 있어서,상기 제로데이 공격 탐지부 및 상기 제로데이 공격 시그니쳐 생성부 및 상기 제로데이 공격 시그니쳐 관리부는 각각 분리된 별도의 시스템이거나 하나의 통합된 시스템인 것을 특징으로 하는 제로데이 공격 대응 시스템
|
9 |
9
제 1 항 또는 제 2 항에 있어서, 상기 침입방지부는침입 방지 시스템, 침입 탐지 시스템 및 기업 보안관리 시스템 중 적어도 어느 하나인 것을 특징으로 하는 제로데이 공격 대응시스템
|
10 |
10
제 1 항 또는 제 2 항에 있어서, 하나의 상기 제로데이 공격 시그니쳐 관리부는,적어도 하나의 서로 다른 상기 침입방지부에 상기 제로데이 공격 의심 시그니쳐를 적용하는 것을 특징으로 하는 제로데이 공격 대응 시스템
|
11 |
11
네트워크상의 수신패킷들로부터 패킷헤드 정보를 이용하여 상기 수신패킷 들에서 공격패킷들을 분류하는 제로데이 공격패킷 수집정책에 따라 상기 공격패킷들로부터 인터넷 프로토콜 정보를 추출하는 제 1 단계;상기 인터넷 프로토콜 정보가 포함된 상기 공격패킷들로부터 패이로드 정보를 추출하여 제로데이 공격 의심 시그니쳐를 생성하는 제 2 단계;상기 제로데이 공격 의심 시그니쳐와 시그니쳐 데이터베이스에 저장된 기존의 공격 시그니쳐들 및 이들의 리스트가 포함된 시그니쳐정보를 비교하여 신규공격인지 판단하여 침입방지부에 적용하는 제 3 단계;신규공격이라고 판단될 때 상기 침입방지부가 상기 제로데이 공격 의심 시그니쳐와 입력되는 상기 수신패킷들을 패턴매칭하여 소정횟수이상 일치하면 상기 제로데이 공격 의심 시그니쳐가 포함된 상기 공격패킷들을 차단하도록 하는 제 4 단계;를 포함하는 것을 특징으로 하는 제로데이 공격 대응방법
|
12 |
12
제 11 항에 있어서, 상기 제로데이 공격패킷 수집정책은상기 수신패킷들로부터 패킷헤드 정보를 분석하여 동일한 출발지 인터넷 프로토콜 주소와 N개 이상의 서로 다른 도착지 인터넷 프로토콜 주소를 가지는 상기 수신패킷들을 공격패킷으로 간주하는 것을 특징으로 하는 제로데이 공격 대응방법
|
13 |
13
제 12 항에 있어서 상기 패킷헤드 정보는출발지 인터넷 프로토콜 주소, 도착지 인터넷 프로토콜 주소, 출발지 포트번호 및 도착지 포트번호인 것을 특징으로 하는 제로데이 공격 대응방법
|
14 |
14
제 11 항에 있어서, 상기 인터넷 프로토콜 정보는출발지 인터넷 프로토콜 주소, 도착지 포트번호인 것을 특징으로 하는 제로데이 공격 대응방법
|
15 |
15
제 11 항에 있어서, 제 4 단계 이후에상기 제로데이 공격 의심 시그니쳐을 제로데이 공격 시그니쳐라고 간주하고 상기 시그니쳐 데이터베이스에 저장하는 제 5 단계를 더 포함하는 것을 특징으로 하는 제로데이 공격 대응방법
|
16 |
16
제 11 항에 있어서, 상기 침입방지부는침입 방지 시스템, 침입 탐지 시스템 및 기업 보안관리 시스템 중 적어도 어느 하나인 것을 특징으로 하는 제로데이 공격 대응방법
|