맞춤기술찾기

홈으로 가기
맞춤기술찾기
이전대상기술
프린트하기

이전대상기술

오용행위와 비정상행위 통합 판정 기능을 갖는 계층구조의통합침입탐지시스템 및 방법

  • 기술번호 : KST2015219938
  • 담당센터 :
  • 전화번호 :
상담신청 PDF 받기
요약, Int. CL, CPC, 출원번호/일자, 출원인, 등록번호/일자, 공개번호/일자, 공고번호/일자, 국제출원번호/일자, 국제공개번호/일자, 우선권정보, 법적상태, 심사진행상태, 심판사항, 구분, 원출원번호/일자, 관련 출원번호, 기술이전 희망, 심사청구여부/일자, 심사청구항수의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 서지정보 표입니다.
요약 본 발명은 대규모 네트워크에 대한 불법적인 침입행위를 실시간으로 탐지하기 위한 침입탐지기술에 관한 것이다. 대규모의 하부구조를 가진 네트워크에 대한 침입은 다양하고 포괄적인 형태를 지니기 때문에 기존의 단일 침입탐지 시스템에서 탐지하기 쉽지 않다. 이를 위해 본 발명은 단일 침입탐지 시스템에서의 정보 수집 및 분석이 지닌 한계점을 극복하고, 하부 침입탐지센서들의 탐지정보를 상위의 침입 통합 판정시스템으로 보내어 통합 분석함으로써, 하부 침입탐지센서의 탐지 정보에 대한 신뢰성을 부여하고 복수모델의 침입탐지센서의 탐지 정보를 서로 관련시킬 수 있는 통합 판정 방법론을 제시한다. 그리하여 대규모 네트워크에서 복수모델의 오용행위와 비정상행위 탐지센서 통합 판정을 통해 오경보율을 감소시키는 한편, 탐지 영역을 확대시키고 탐지의 정확성을 크게 향상시킬 수 있다.오용행위탐지, 비정상행위탐지, 네트워크 침입탐지, 침입탐지시스템
Int. CL H04L 12/22 (2006.01)
CPC H04L 63/1425(2013.01) H04L 63/1425(2013.01) H04L 63/1425(2013.01)
출원번호/일자 1020020059845 (2002.10.01)
출원인 한국정보보호진흥원
등록번호/일자 10-0449476-0000 (2004.09.09)
공개번호/일자 10-2004-0029544 (2004.04.08) 문서열기
공고번호/일자 (20040922) 문서열기
국제출원번호/일자
국제공개번호/일자
우선권정보
법적상태 소멸
심사진행상태 수리
심판사항
구분
원출원번호/일자
관련 출원번호
심사청구여부/일자 Y (2002.10.01)
심사청구항수 8

출원인

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 출원인 표입니다.
번호 이름 국적 주소
1 한국정보보호진흥원 대한민국 서울특별시 송파구

발명자

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 발명자 표입니다.
번호 이름 국적 주소
1 김홍근 대한민국 경기도성남시분당구
2 김민수 대한민국 광주광역시북구
3 이보경 대한민국 서울특별시구로구

대리인

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 대리인 표입니다.
번호 이름 국적 주소
1 김영철 대한민국 서울특별시 종로구 종로*길 **, **층 케이씨엘특허법률사무소 (수송동, 석탄회관빌딩)
2 김 순 영 대한민국 서울특별시 종로구 종로*길 **, **층 케이씨엘특허법률사무소 (수송동, 석탄회관빌딩)

최종권리자

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 최종권리자 표입니다.
번호 이름 국적 주소
1 한국인터넷진흥원 서울특별시 송파구
번호, 서류명, 접수/발송일자, 처리상태, 접수/발송일자의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 행정처리 표입니다.
번호 서류명 접수/발송일자 처리상태 접수/발송번호
1 특허출원서
Patent Application		 2002.10.01 수리 (Accepted) 1-1-2002-0323541-82
2 선행기술조사의뢰서
Request for Prior Art Search		 2004.05.13 수리 (Accepted) 9-1-9999-9999999-89
3 선행기술조사보고서
Report of Prior Art Search		 2004.06.11 수리 (Accepted) 9-1-2004-0033331-54
4 등록결정서
Decision to grant		 2004.07.29 발송처리완료 (Completion of Transmission) 9-5-2004-0306170-18
5 대리인변경신고서
Agent change Notification		 2007.05.31 불수리 (Non-acceptance) 1-1-2007-0400669-39
번호, 청구항의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 청구항 표입니다.
번호 청구항
1 1

다수의 지역 호스트, 복수 모델의 네트워크 기반의 비정상행위 탐지기능을 갖는 제1 호스트, 네트워크 기반의 오용행위 탐지기능을 갖는 제2 호스트, 하위 매니저 및 상위 매니저가 전자통신회선을 통해 연결된 대규모 네트워크에 있어서,

상기 지역 호스트가, 지역 호스트 센서부에서 탐지한 지역 호스트 수준의 비정상행위 및 오용행위에 대한 탐지정보를 지역호스트 통합 판정부에서 통합 판정한 결과인 지역 호스트에 대한 침입 탐지정보를 상기 하위 매니저로 전송하고,

상기 하위 매니저가, 지역 호스트에서의 통합 판정 결과, 복수 모델의 네트워크 기반의 비정상행위 탐지기능을 갖는 제1 호스트 및 네트워크 기반의 오용행위 탐지기능을 갖는 제2 호스트에서의 탐지 결과를 수신하는 데이터 수신부, 상기 데이터 수신부를 통하여 수신된 데이터를 통합 판정하는 지역 네트워크 통합 판정부, GUI 환경의 표시부 및 상기 지역 네트워크 통합 판정부의 판정 결과를 상기 상위 매니저로 전송하는 하위 매니저 전송부로 구성되는 것을 특징으로 하는 오용행위와 비정상행위 통합 판정 기능을 갖는 계층구조의 통합침입탐지시스템

2 2

제 1 항에 있어서, 상기 복수 모델의 네트워크기반 비정상행위 탐지기능을 갖는 제1 호스트가, 데이터 마이닝 방식의 연관규칙과 클러스터링 기법의 비정상행위 탐지센서를 포함하는 것을 특징으로 하는 오용행위와 비정상행위 통합 판정 기능을 갖는 계층구조의 통합침입탐지시스템

3 3

지역 호스트에서, 복수 모델의 비정상행위 탐지센서와 오용행위 탐지센서를 통하여 비정상행위 및 오용행위를 탐지하고, 탐지된 각각의 비정상행위 및 오용행위 정보간의 반영비율을 도출하고, 탐지된 비정상행위 및 오용행위에 대한 정보와 반영비율을 통합 판정하여 지역 호스트에 대한 통합침입탐지정보를 생성하는 단계(S1);

하위 매니저로 상기 지역 호스트에 대한 침입탐지정보, 복수 모델의 네트워크기반 비정상행위 탐지정보 및 오용행위 탐지정보를 전송하는 단계(S2);

하위 매니저에서 상기 지역 호스트에 대한 침입탐지정보와 지역 네트워크 수준의 비정상행위 및 오용행위 탐지정보간의 연관성을 도출하는 단계(S3);

하위 매니저에서 상기 지역 호스트에 대한 침입탐지정보와 지역 네트워크 수준의 비정상행위 및 오용행위 탐지정보를, 도출된 상기 연관성 정보와 통합 판정하여 지역 네트워크 수준의 통합침입탐지정보를 생성하는 단계(S4); 및

상기 지역 네트워크 수준의 침입탐지정보를 상위 매니저로 전송하는 단계(S5)로 구성되는 것을 특징으로 하는 오용행위와 비정상행위 통합 판정 기능을 갖는 계층구조의 통합침입탐지방법

4 4

제 3 항에 있어서, 상기 하위 매니저로 상기 지역 호스트에 대한 침입탐지정보, 네트워크 수준의 비정상행위 탐지정보 및 네트워크 수준의 오용행위 탐지정보를 전송하는 단계(S2)가,

해당 호스트의 IP 주소를 삽입하여 전송함으로써 상위 지역 네트워크에서 통합 판정 시 어디에서 일어난 침입행위인지를 알 수 있도록 하고, 또한 호스트별로 연관성 테이블을 생성할 수 있도록 하는 것을 특징으로 하는 오용행위와 비정상행위 통합 판정 기능을 갖는 계층구조의 통합침입탐지방법

5 5

제 3 항에 있어서, 하위 매니저에서 상기 지역 호스트에 대한 침입탐지정보와 지역 네트워크 수준의 비정상행위 및 오용행위 탐지정보간의 연관성을 도출하는 단계(S3)가,

지역 네트워크 수준에서의 통합판정을 수행하기 위해 지역 호스트 수에 1을 더한 개수만큼의 연관성 테이블이 생성되는데, 이는 지역 네트워크와 지역 호스트에서 동시에 탐지되는 공격이 발생하였을 경우를 위해 지역 호스트의 탐지정보와 지역 네트워크 수준에서의 탐지정보간의 연관성을 도출하고 네트워크 기반의 공격만이 일어났을 경우를 대비하여 네트워크 기반비정상행위와 오용행위 탐지센서의 탐지정보간 연관성을 도출하는 것을 특징으로 하는 오용행위와 비정상행위 통합판정기능을 갖는 계층구조의 통합침입탐지방법

6 6

제 3 항에 있어서, 상기 하위 매니저에서 상기 지역 호스트에 대한 침입탐지정보와 지역 네트워크 수준의 비정상행위 및 오용행위 탐지정보간의 연관성을 도출하는 단계(S3)가,

각 탐지센서의 신뢰도(λ) 파일을 읽고 신뢰도(λ) 데이터를 센서별로 저장하는 단계(S51);

각 탐지센서의 로그파일을 통합판정시간 단위로 읽는 단계(S52);

각 탐지센서의 모든 로그파일을 모두 읽었는지 확인하는 단계(S53);

다 읽지 않은 경우, 지역 호스트 통합 판정부의 로그, 네트워크 수준의 연관규칙 탐지센서 로그, 및 클러스터링 탐지센서 로그를 각각 읽고, 각각의 통합판정시간 단위의 로그값 중 최고값을 저장하는 단계(S54);

기록된 최고값별로 시간을 비교하여 다른 로그에 그 시간대 값이 없으면 0으로 처리하고, 있으면 그 값을 저장하는 단계(S55);

각 탐지센서의 로그파일을 모두 읽었으면 상기 로그의 최고값들을 최고값 행렬에 저장하는 단계(S56); 및

상기 최고값 행렬로부터 반영비율을 계산하고 연관성 행렬(η2')에 저장하는 단계(S57)로 구성되는 것을 특징으로 하는 오용행위와 비정상행위 통합 판정 기능을 갖는 계층구조의 통합침입탐지방법

7 7

제 6 항에 있어서, 상기 최고값 행렬로부터 반영비율을 계산하고 연관성 행렬(η2')에 저장하는 단계(S57)가 다음의 수학식

8

제 3 항에 있어서, 상기 하위 매니저에서 상기 지역 호스트에 대한 침입탐지정보와 지역 네트워크 수준의 비정상행위 및 오용행위 탐지정보를, 도출된 상기 연관성 정보와 통합 판정하여 지역 네트워크 수준의 통합침입탐지정보를 생성하는 단계(S4)가

각 탐지센서의 로그파일을 읽는 단계(S71);

각 탐지센서의 로그에 센서별로 신뢰도(λ) 정보를 적용하는 단계(S72);

호스트 IP 주소와 포트별로 신뢰도 정보가 추가된 각 탐지센서의 로그값을 큐에 추가 및 갱신하는 단계(S73);

지역 네트워크 통합판정시간을 점검하여 시간이 일치하지 않는 경우 상기 단계(S72) 및 단계(S73)를 반복하는 단계(S74);

지역 네트워크 통합판정시간을 점검하여 시간이 일치하는 경우 각 탐지센서의 판정값을 큐에서 읽는 단계(S75); 및

연관성행렬(η2')을 이용하여 지역 네트워크 통합 판정부의 최종 판정값을 결정하고 지역 네트워크 통합 판정부의 로그파일에 저장하는 단계(S76)로 구성되는 것을 특징으로 하는 오용행위와 비정상행위 통합 판정 기능을 갖는 계층구조의 통합침입탐지방법

지정국 정보가 없습니다
패밀리정보가 없습니다
국가 R&D 정보가 없습니다.