| 1 |
1
네트워크 공격을 탐지하는 장치에 있어서,외부 장치로 유입되는 패킷 데이터를 수신하는 수신부;유해 패킷에 관한 정보를 포함하는 기저장된 시그니처의 관계 정보에 기초하여 상기 수신된 패킷 데이터를 분석하여 상기 시그니처가 포함되어 있는지 여부를 탐지하는 제 1 탐지부;복수의 계층 별로 상기 패킷 데이터를 분석하여 네트워크 공격 여부를 탐지하는 제 2 탐지부; 및상기 제 1 탐지부 및 상기 제 2 탐지부의 결과에 따라 상기 외부 장치로 상기 패킷 데이터를 전송하는 전송부를 포함하고,상기 관계 정보는 상기 시그니처를 구성하는 각 데이터 간의 상관 관계인 것인, 네트워크 공격 탐지 장치
|
| 2 |
2
제 1 항에 있어서,상기 네트워크 공격 탐지 장치는 산업용 IoT(Internet Of Things) 장치로 연속적으로 유입되는 패킷 데이터에 대해 상기 복수의 계층에서 패킷 필터링을 실시하여 디도스(DDos) 여부를 탐지하는 보안 게이트웨이인 것인, 네트워크 공격 탐지 장치
|
| 3 |
3
제 1 항에 있어서,상기 제 1 탐지부는 상기 시그니처를 구성하는 복수의 부분 시그니처 각각에 포함된 기설정된 크기의 데이터를 상기 복수의 부분 시그니처 각각의 키 바이트로서 마스킹하고, 상기 각각의 키 바이트를 상기 복수의 부분 시그니처 간의 관계 정보로서 저장하는 것인, 네트워크 공격 탐지 장치
|
| 4 |
4
제 3 항에 있어서,상기 제 1 탐지부는 상기 수신된 패킷 데이터로부터 기설정된 크기의 데이터를 추출하고, 상기 추출된 데이터를 주소로 사용하여 상기 저장된 관계 정보를 로드하고, 상기 로드된 관계 정보와 상기 패킷 데이터를 비교하는 것인, 네트워크 공격 탐지 장치
|
| 5 |
5
제 1 항에 있어서,상기 제 2 탐지부는 제 3 계층, 제 4 계층 및 제 7 계층 중 적어도 하나를 통해 수신되는 패킷 데이터의 양이 기설정된 임계치를 초과하는지 여부를 판단하는 것인, 네트워크 공격 탐지 장치
|
| 6 |
6
제 5 항에 있어서,상기 제 2 탐지부는 상기 수신되는 패킷 데이터의 양이 기설정된 임계치를 초과하는 경우, 상기 수신되는 패킷 데이터를 차단하거나 기설정된 레이트 리미트(rate-limit)를 설정하는 공격 대응 정책을 적용시키는 것인, 네트워크 공격 탐지 장치
|
| 7 |
7
제 6 항에 있어서,상기 제 2 탐지부는 상기 수신된 패킷 데이터 및 상기 수신된 패킷 데이터의 송수신 정보 중 적어도 하나에 기초하여 기저장된 탐지 정보를 로드하고, 상기 로드된 탐지 정보와 상기 패킷 데이터의 송수신 정보를 비교하고,상기 탐지 정보는 상기 유해한 패킷 데이터와 관련된 송신자 IP, 수신자 IP, 상기 송신자 IP를 통해 수신된 패킷 데이터의 수신 시간 및 현재 수신 중인 패킷 데이터와 같은 주소 또는 상기 주소의 조합으로 수신된 패킷 데이터의 수 중 적어도 하나를 포함하는 것인, 네트워크 공격 탐지 장치
|
| 8 |
8
제 7 항에 있어서,상기 2 탐지부는 상기 비교 결과에 따라 상기 로드된 탐지 정보의 초기화, 누적, 및 상기 공격 대응 정책의 해제 중 적어도 하나를 결정하는 것인, 네트워크 공격 탐지 장치
|
| 9 |
9
제 1 항에 있어서,상기 수신부는 상기 네트워크 공격에 대응하기 위한 정책을 반영하여 상기 외부 장치로 유입되는 패킷 데이터 중 선택적으로 패킷 데이터를 추출하여 수신하는 것인, 네트워크 공격 탐지 장치
|
| 10 |
10
네트워크 공격을 탐지하는 방법에 있어서,외부 장치로 유입되는 패킷 데이터를 수신하는 단계;유해 패킷에 관한 정보를 포함하는 기저장된 시그니처의 관계 정보에 기초하여 상기 수신된 패킷 데이터를 분석하여 상기 시그니처가 포함되어 있는지 여부를 탐지하는 단계;복수의 계층 별로 상기 패킷 데이터를 분석하여 네트워크 공격 여부를 탐지하는 단계; 및상기 탐지 결과에 따라 상기 외부 장치로 상기 패킷 데이터를 전송하는 단계를 포함하고,상기 관계 정보는 상기 시그니처를 구성하는 각 데이터 간의 상관 관계인 것인, 네트워크 공격 탐지 방법
|
| 11 |
11
제 10 항에 있어서,상기 시그니처가 포함되어 있는지 여부를 탐지하는 단계는 상기 시그니처를 구성하는 복수의 부분 시그니처 각각에 포함된 기설정된 크기의 데이터를 상기 복수의 부분 시그니처 각각의 키 바이트로서 마스킹하는 단계; 및 상기 각각의 키 바이트를 상기 복수의 부분 시그니처 간의 관계 정보로서 저장하는 단계를 포함하는 것인, 네트워크 공격 탐지 방법
|
| 12 |
12
제 11 항에 있어서,상기 시그니처가 포함되어 있는지 여부를 탐지하는 단계는상기 수신된 패킷 데이터로부터 기설정된 크기의 데이터를 추출하는 단계;상기 추출된 데이터를 주소로 사용하여 상기 저장된 관계 정보를 로드하는 단계; 및상기 로드된 관계 정보와 상기 패킷 데이터를 비교하는 단계를 더 포함하는 것인, 네트워크 공격 탐지 방법
|
| 13 |
13
네트워크 공격을 탐지하는 시스템에 있어서,제 1 외부 장치;네트워크 공격 탐지 장치; 및제 2 외부 장치를 포함하고,상기 제 1 외부 장치는 상기 제 2 외부 장치로 전송하기 위한 패킷 데이터를 상기 네트워크 공격 탐지 장치로 전송하고,상기 네트워크 공격 탐지 장치는 유해 패킷에 관한 정보를 포함하는 기저장된 시그니처의 관계 정보에 기초하여 상기 수신된 패킷 데이터를 분석하여 상기 시그니처가 포함되어 있는지 여부를 탐지하고, 복수의 계층 별로 상기 패킷 데이터를 분석하여 네트워크 공격 여부를 탐지하고, 상기 제 1 탐지부 및 상기 제 2 탐지부의 결과에 따라 상기 제 2 외부 장치로 상기 패킷 데이터를 전송하고,상기 제 2 외부 장치는 네트워크 공격 탐지 장치의 탐지 결과에 따라 상기 패킷 데이터를 수신하고,상기 관계 정보는 상기 복수의 부분 시그니처 각각을 구성하는 데이터 간의 상관 관계인 것인, 네트워크 공격 탐지 시스템
|
| 14 |
14
제 13 항에 있어서,상기 제 2 외부 장치는 산업용 IoT(Internet Of Things) 장치를 포함하고,상기 네트워크 공격 탐지 장치는 상기 산업용 IoT(Internet Of Things) 장치로 연속적으로 유입되는 패킷 데이터에 대해 상기 복수의 계층에서 패킷 필터링을 실시하여 디도스(DDOS) 여부를 탐지하는 보안 게이트웨이인 것인, 네트워크 공격 탐지 시스템
|
