1 |
1
수집된 네트워크 트래픽의 플로우 메타 정보를 추출하는 플로우 추출부; 추출된 상기 플로우 메타 정보를 데이터베이스의 테이블 형태로 저장하는 플로우 저장부; 및 지속적 외부 연결 질의 및 TCP SYN 플러딩 질의 중 적어도 어느 하나에 상응하는 질의를 상기 플로우 저장부로 전송하고, 상기 질의의 응답값을 기반으로 네트워크 악성 행위를 분석하는 악성행위 분석부를 포함하는 네트워크 악성행위 분석 장치
|
2 |
2
청구항 1에 있어서, 상기 악성행위 분석부는, 제1 네트워크 장비가 제2 네트워크 장비로 전송하는 복수 개의 SYN 패킷에 상응하는 RST 패킷을 분석하는, 상기 지속적 외부 연결 질의를 수행하는 것을 특징으로 하는 네트워크 악성행위 분석 장치
|
3 |
3
청구항 2에 있어서, 상기 악성행위 분석부는, 소스 IP에 상응하는 상기 제2 네트워크 장비의 호스트, 상기 제2 네트워크 장비의 포트, 목적지 IP에 상응하는 상기 제1 네트워크 장비의 호스트 및 상기 제1 네트워크 장비의 포트 개수 중 적어도 어느 하나를 그룹화하는 네트워크 악성행위 분석 장치
|
4 |
4
청구항 3에 있어서, 상기 악성행위 분석부는, 상기 제1 네트워크 장비의 포트 개수가 임계값 이상인 경우, 상기 지속적 외부 연결에 상응하는 악성행위로 탐지하는 것을 특징으로 하는 네트워크 악성행위 분석 장치
|
5 |
5
청구항 1에 있어서, 상기 악성행위 분석부는, 목적지 IP 및 목적지 포트에 상응하는 패킷의 수를 분석하는, 상기 TCP SYN 플러딩 질의를 수행하는 것을 특징으로 하는 네트워크 악성행위 분석 장치
|
6 |
6
청구항 5에 있어서, 상기 악성행위 분석부는, 상기 목적지 IP, 상기 목적지 포트 및 상기 목적지 IP의 상기 목적지 포트에 상응하는 플로우의 개수를 그룹화하는 것을 특징으로 하는 네트워크 악성행위 분석 장치
|
7 |
7
청구항 6에 있어서, 상기 악성행위 분석부는, 상기 플로우의 개수가 임계값 이상인 경우, 상기 TCP SYN 플러딩에 상응하는 악성행위로 탐지하는 것을 특징으로 하는 네트워크 악성행위 분석 장치
|
8 |
8
청구항 1에 있어서, 상기 플로우 저장부는, 상기 플로우 메타 정보의 인덱스를 비트맵 형태로 관리하는 것을 특징으로 하는 네트워크 악성행위 분석 장치
|
9 |
9
청구항 8에 있어서, 상기 플로우 메타 정보는, 상기 네트워크 트래픽의 플로우에 상응하는 소스의 IP, 상기 소스의 포트 번호, 목적지의 IP, 상기 목적지의 포트 번호, 패킷의 개수, 바이트 수, 프로토콜, 서비스, 파일 유형, TCP 플래그 정보의 누적값, 시작 시간 및 종료 시간 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 네트워크 악성행위 분석 장치
|
10 |
10
청구항 9에 있어서, 상기 악성행위 분석부는, 6비트의 상기 TCP 플래그 정보를 이용하여 상기 플로우 저장부로 질의하는 것을 특징으로 하는 네트워크 악성행위 분석 장치
|
11 |
11
네트워크 악성행위 분석 장치에 의해 수행되는 네트워크 악성행위 분석 방법에 있어서, 수집된 네트워크 트래픽의 플로우 메타 정보를 추출하는 단계; 추출된 상기 플로우 메타 정보를 데이터베이스의 테이블 형태로 저장하는 단계; 및 저장된 상기 플로우 메타 정보의 데이터베이스로, 지속적 외부 연결 질의 및 TCP SYN 플러딩 질의 중 적어도 어느 하나에 상응하는 질의를 전송하는 단계; 및 상기 질의의 응답값을 기반으로 네트워크 악성 행위를 분석하는 단계;를 포함하는 네트워크 악성행위 분석 방법
|
12 |
12
청구항 11에 있어서, 상기 질의를 전송하는 단계는, 제1 네트워크 장비가 제2 네트워크 장비로 전송하는 복수 개의 SYN 패킷에 상응하는 RST 패킷을 분석하는, 상기 지속적 외부 연결 질의를 전송하는 것을 특징으로 하는 네트워크 악성행위 분석 방법
|
13 |
13
청구항 12에 있어서, 상기 네트워크 악성 행위를 분석하는 단계는, 소스 IP에 상응하는 상기 제2 네트워크 장비의 호스트, 상기 제2 네트워크 장비의 포트, 목적지 IP에 상응하는 상기 제1 네트워크 장비의 호스트 및 상기 제1 네트워크 장비의 포트 개수 중 적어도 어느 하나를 그룹화하는 네트워크 악성행위 분석 방법
|
14 |
14
청구항 13에 있어서, 상기 네트워크 악성 행위를 분석하는 단계는, 상기 제1 네트워크 장비의 포트 개수가 임계값 이상인 경우, 상기 지속적 외부 연결에 상응하는 악성행위로 탐지하는 것을 특징으로 하는 네트워크 악성행위 분석 방법
|
15 |
15
청구항 11에 있어서, 상기 질의를 전송하는 단계는, 목적지 IP 및 목적지 포트에 상응하는 패킷의 수를 분석하는, 상기 TCP SYN 플러딩 질의를 전송하는 것을 특징으로 하는 네트워크 악성행위 분석 방법
|
16 |
16
청구항 15에 있어서, 상기 네트워크 악성 행위를 분석하는 단계는, 상기 목적지 IP, 상기 목적지 포트 및 상기 목적지 IP의 상기 목적지 포트에 상응하는 플로우의 개수를 그룹화하는 것을 특징으로 하는 네트워크 악성행위 분석 방법
|
17 |
17
청구항 16에 있어서, 상기 네트워크 악성 행위를 분석하는 단계는, 상기 플로우의 개수가 임계값 이상인 경우, 상기 TCP SYN 플러딩에 상응하는 악성행위로 탐지하는 것을 특징으로 하는 네트워크 악성행위 분석 방법
|
18 |
18
청구항 11에 있어서, 상기 플로우 메타 정보를 저장하는 단계는, 상기 플로우 메타 정보의 인덱스를 비트맵 형태로 관리하는 것을 특징으로 하는 네트워크 악성행위 분석 방법
|
19 |
19
청구항 18에 있어서, 상기 플로우 메타 정보는, 상기 네트워크 트래픽의 플로우에 상응하는 소스의 IP, 상기 소스의 포트 번호, 목적지의 IP, 상기 목적지의 포트 번호, 패킷의 개수, 바이트 수, 프로토콜, 서비스, 파일 유형, TCP 플래그 정보의 누적값, 시작 시간 및 종료 시간 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 네트워크 악성행위 분석 방법
|
20 |
20
청구항 19에 있어서, 상기 네트워크 악성 행위를 분석하는 단계는, 6비트의 상기 TCP 플래그 정보를 이용하여 상기 플로우 메타 정보의 데이터베이스로 질의하는 것을 특징으로 하는 네트워크 악성행위 분석 방법
|