1 |
1
다수의 지역 호스트, 복수 모델의 네트워크 기반의 비정상행위 탐지기능을 갖는 제1 호스트, 네트워크 기반의 오용행위 탐지기능을 갖는 제2 호스트, 하위 매니저 및 상위 매니저가 전자통신회선을 통해 연결된 대규모 네트워크에 있어서, 상기 지역 호스트가, 지역 호스트 센서부에서 탐지한 지역 호스트 수준의 비정상행위 및 오용행위에 대한 탐지정보를 지역호스트 통합 판정부에서 통합 판정한 결과인 지역 호스트에 대한 침입 탐지정보를 상기 하위 매니저로 전송하고, 상기 하위 매니저가, 지역 호스트에서의 통합 판정 결과, 복수 모델의 네트워크 기반의 비정상행위 탐지기능을 갖는 제1 호스트 및 네트워크 기반의 오용행위 탐지기능을 갖는 제2 호스트에서의 탐지 결과를 수신하는 데이터 수신부, 상기 데이터 수신부를 통하여 수신된 데이터를 통합 판정하는 지역 네트워크 통합 판정부, GUI 환경의 표시부 및 상기 지역 네트워크 통합 판정부의 판정 결과를 상기 상위 매니저로 전송하는 하위 매니저 전송부로 구성되는 것을 특징으로 하는 오용행위와 비정상행위 통합 판정 기능을 갖는 계층구조의 통합침입탐지시스템
|
2 |
2
제 1 항에 있어서, 상기 복수 모델의 네트워크기반 비정상행위 탐지기능을 갖는 제1 호스트가, 데이터 마이닝 방식의 연관규칙과 클러스터링 기법의 비정상행위 탐지센서를 포함하는 것을 특징으로 하는 오용행위와 비정상행위 통합 판정 기능을 갖는 계층구조의 통합침입탐지시스템
|
3 |
3
지역 호스트에서, 복수 모델의 비정상행위 탐지센서와 오용행위 탐지센서를 통하여 비정상행위 및 오용행위를 탐지하고, 탐지된 각각의 비정상행위 및 오용행위 정보간의 반영비율을 도출하고, 탐지된 비정상행위 및 오용행위에 대한 정보와 반영비율을 통합 판정하여 지역 호스트에 대한 통합침입탐지정보를 생성하는 단계(S1); 하위 매니저로 상기 지역 호스트에 대한 침입탐지정보, 복수 모델의 네트워크기반 비정상행위 탐지정보 및 오용행위 탐지정보를 전송하는 단계(S2); 하위 매니저에서 상기 지역 호스트에 대한 침입탐지정보와 지역 네트워크 수준의 비정상행위 및 오용행위 탐지정보간의 연관성을 도출하는 단계(S3); 하위 매니저에서 상기 지역 호스트에 대한 침입탐지정보와 지역 네트워크 수준의 비정상행위 및 오용행위 탐지정보를, 도출된 상기 연관성 정보와 통합 판정하여 지역 네트워크 수준의 통합침입탐지정보를 생성하는 단계(S4); 및 상기 지역 네트워크 수준의 침입탐지정보를 상위 매니저로 전송하는 단계(S5)로 구성되는 것을 특징으로 하는 오용행위와 비정상행위 통합 판정 기능을 갖는 계층구조의 통합침입탐지방법
|
4 |
4
제 3 항에 있어서, 상기 하위 매니저로 상기 지역 호스트에 대한 침입탐지정보, 네트워크 수준의 비정상행위 탐지정보 및 네트워크 수준의 오용행위 탐지정보를 전송하는 단계(S2)가, 해당 호스트의 IP 주소를 삽입하여 전송함으로써 상위 지역 네트워크에서 통합 판정 시 어디에서 일어난 침입행위인지를 알 수 있도록 하고, 또한 호스트별로 연관성 테이블을 생성할 수 있도록 하는 것을 특징으로 하는 오용행위와 비정상행위 통합 판정 기능을 갖는 계층구조의 통합침입탐지방법
|
5 |
5
제 3 항에 있어서, 하위 매니저에서 상기 지역 호스트에 대한 침입탐지정보와 지역 네트워크 수준의 비정상행위 및 오용행위 탐지정보간의 연관성을 도출하는 단계(S3)가, 지역 네트워크 수준에서의 통합판정을 수행하기 위해 지역 호스트 수에 1을 더한 개수만큼의 연관성 테이블이 생성되는데, 이는 지역 네트워크와 지역 호스트에서 동시에 탐지되는 공격이 발생하였을 경우를 위해 지역 호스트의 탐지정보와 지역 네트워크 수준에서의 탐지정보간의 연관성을 도출하고 네트워크 기반의 공격만이 일어났을 경우를 대비하여 네트워크 기반비정상행위와 오용행위 탐지센서의 탐지정보간 연관성을 도출하는 것을 특징으로 하는 오용행위와 비정상행위 통합판정기능을 갖는 계층구조의 통합침입탐지방법
|
6 |
6
제 3 항에 있어서, 상기 하위 매니저에서 상기 지역 호스트에 대한 침입탐지정보와 지역 네트워크 수준의 비정상행위 및 오용행위 탐지정보간의 연관성을 도출하는 단계(S3)가, 각 탐지센서의 신뢰도(λ) 파일을 읽고 신뢰도(λ) 데이터를 센서별로 저장하는 단계(S51); 각 탐지센서의 로그파일을 통합판정시간 단위로 읽는 단계(S52); 각 탐지센서의 모든 로그파일을 모두 읽었는지 확인하는 단계(S53); 다 읽지 않은 경우, 지역 호스트 통합 판정부의 로그, 네트워크 수준의 연관규칙 탐지센서 로그, 및 클러스터링 탐지센서 로그를 각각 읽고, 각각의 통합판정시간 단위의 로그값 중 최고값을 저장하는 단계(S54); 기록된 최고값별로 시간을 비교하여 다른 로그에 그 시간대 값이 없으면 0으로 처리하고, 있으면 그 값을 저장하는 단계(S55); 각 탐지센서의 로그파일을 모두 읽었으면 상기 로그의 최고값들을 최고값 행렬에 저장하는 단계(S56); 및 상기 최고값 행렬로부터 반영비율을 계산하고 연관성 행렬(η2')에 저장하는 단계(S57)로 구성되는 것을 특징으로 하는 오용행위와 비정상행위 통합 판정 기능을 갖는 계층구조의 통합침입탐지방법
|
7 |
7
제 6 항에 있어서, 상기 최고값 행렬로부터 반영비율을 계산하고 연관성 행렬(η2')에 저장하는 단계(S57)가 다음의 수학식
8
제 3 항에 있어서, 상기 하위 매니저에서 상기 지역 호스트에 대한 침입탐지정보와 지역 네트워크 수준의 비정상행위 및 오용행위 탐지정보를, 도출된 상기 연관성 정보와 통합 판정하여 지역 네트워크 수준의 통합침입탐지정보를 생성하는 단계(S4)가 각 탐지센서의 로그파일을 읽는 단계(S71); 각 탐지센서의 로그에 센서별로 신뢰도(λ) 정보를 적용하는 단계(S72); 호스트 IP 주소와 포트별로 신뢰도 정보가 추가된 각 탐지센서의 로그값을 큐에 추가 및 갱신하는 단계(S73); 지역 네트워크 통합판정시간을 점검하여 시간이 일치하지 않는 경우 상기 단계(S72) 및 단계(S73)를 반복하는 단계(S74); 지역 네트워크 통합판정시간을 점검하여 시간이 일치하는 경우 각 탐지센서의 판정값을 큐에서 읽는 단계(S75); 및 연관성행렬(η2')을 이용하여 지역 네트워크 통합 판정부의 최종 판정값을 결정하고 지역 네트워크 통합 판정부의 로그파일에 저장하는 단계(S76)로 구성되는 것을 특징으로 하는 오용행위와 비정상행위 통합 판정 기능을 갖는 계층구조의 통합침입탐지방법
|