1 |
1
수신된 패킷을 플로우(flow) 단위로 저장하고, 새로운 룰이 업데이트되면 저장된 패킷들을 NIDPS(200)에 송신하는 플로우 기반 PCA(100);업데이트된 룰을 통해 상기 플로우 기반 PCA(100)로부터 수신한 패킷들을 검사하여 제로데이 공격 패킷을 검출하고, 검출된 결과를 이용하여 제로데이 공격 패킷을 검출하기 위한 프로토콜인 ZAPDP(Zero-day Attack Packet Detection Protocol)를 생성하는 NIDPS(200);상기 NIDPS(200)로부터 수신한 ZAPDP를 이용하여, 제로데이 공격 패킷, 검사에 사용된 룰 정보, 상기 룰 정보에 매칭된 패킷 내 데이터 정보를 하이라이트(highlight)하기 위한 프로토콜인 ZAPHP(Zero-Day Attack Packet Highlight Protocol)를 생성하는 제로데이 공격 패킷 검출 시스템(400); 및상기 공격 패킷 검출 시스템(400)으로부터 수신한 ZAPHP를 이용하여, 풀 패킷(Full packet)에서 제로데이 공격으로 검출된 부분을 하이라이트하고, 검출된 부분에 해당하는 패킷과 룰에 대한 정보를 출력하는 패킷 하이라이트 시스템(600)을 포함하는 제로데이 공격 패킷 하이라이트 시스템
|
2 |
2
청구항 1에 있어서, 상기 ZAPDP는,NIDPS의 룰(rule)에 부여된 ID를 의미하는 SID(Signature ID) 필드;패킷이 수신된 시간의 년, 월, 일, 시, 분, 초 단위의 값을 의미하는 타임스탬프(TimeStamp)(seconds) 필드; 및 패킷이 수신된 시간의 초 단위 이하의 나노 초(nanoseconds) 단위까지의 값을 의미하는 타임스탬프(nanoseconds) 필드로 구성되는 것을 특징으로 하는 제로데이 공격 패킷 하이라이트 시스템
|
3 |
3
청구항 1에 있어서, 상기 ZAPHP는 헤더(Header) 부분과 페이로드(Payload) 부분으로 구성되며, 상기 헤더 부분은, NIDPS의 룰(rule)에 부여된 ID를 의미하는 SID(Signature ID) 필드; 패킷이 수신된 시간의 년, 월, 일, 시, 분, 초 단위의 값을 의미하는 타임스탬프(seconds) 필드;패킷이 수신된 시간의 초 단위 이하의 나노 초(nanoseconds) 단위까지의 값을 의미하는 타임스탬프(nanoseconds) 필드;ZAPHP의 페이로드 크기를 의미하는 렝스(Length) 필드;풀 패킷(Full Packet) 필드가 시작하는 위치를 의미하는 패킷 오프셋(Packet offset) 필드;풀 패킷에서 룰과 매칭된 부분의 첫 비트(bit) 위치를 의미하는 스타트 비트(Start Bit) 필드;풀 패킷에서 룰과 매칭된 부분의 마지막 비트 위치를 의미하는 엔드 비트(End Bit) 필드; 및추후 버전에서 사용하기 위한 예비 필드를 의미하고 0으로 채워지는 리저브드(Reserved) 필드로 구성되고, 상기 페이로드 부분은, 풀 패킷에서 룰과 매칭된 부분의 데이터를 의미하는 매칭 데이터(Matching Data) 필드; 및룰과 매칭된 패킷 전체 데이터를 의미하는 풀 패킷 필드로 구성되는 것을 특징으로 하는 제로데이 공격 패킷 하이라이트 시스템
|
4 |
4
청구항 1에 있어서, 상기 제로데이 공격 패킷 검출 시스템은, 상기 NIDPS(200)로부터 수신한 ZAPDP를 파싱하여, sid값을 룰 DB(420)로 전송하고 타임스탬프 값을 pcap 파일 파싱부(430)로 전송하기 위한 ZAPDP 파싱부(410);상기 ZAPDP 파싱부로부터 수신한 sid값을 가진 룰 풀 셋(rule full set)을 패킷 매칭부(440)로 전달하기 위한 룰 DB(420);pcap 파일을 파싱하여, 상기 ZAPDP 파싱부(410)로부터 수신한 타임스탬프 값을 가진 플로우(flow)와 해당 플로우의 패킷들을 검출하여 패킷 매칭부(440)로 전달하기 위한 pcap 파일 파싱부(430); 및상기 룰 DB(420)로부터 수신한 룰 정보와 매칭되는 패킷을 상기 pcap 파일 파싱부(430)로부터 수신한 패킷들 중에서 찾고, 룰 정보와 매칭되는 패킷을 찾으면, 매칭된 결과를 ZAPHP 구조로 만들어 전송하기 위한 패킷 매칭부(440)를 포함하여 이루어지는 것을 특징으로 하는 제로데이 공격 패킷 하이라이트 시스템
|
5 |
5
청구항 1에 있어서, 상기 패킷 하이라이트 시스템(600)은, 수신한 ZAPHP를 파싱(parsing)하여, 룰과 매칭된 풀 패킷에서 제로데이 공격으로 검출된 부분의 데이터를 매칭하여 하이라이트하기 위한 매칭 정보를 데이터 매칭부(620)로 전송하고, sid와 타임스탬프를 출력부(630)로 전송하기 위한 ZAPHP 파싱부(610); 상기 ZAPHP 파싱부(610)로부터 수신한 매칭 정보를 사용하여 풀 패킷 데이터에서 매칭되는 결과를 출력부(630)로 전송하기 위한 데이터 매칭부(620); 및상기 ZAPHP 파싱부(610)로부터 수신한 sid 및 타임스탬프와 상기 데이터 매칭부(620)로부터 수신한 매칭 결과를 하이라이트(highlight)하여 출력하기 위한 출력부(630)를 포함하여 이루어지는 것을 특징으로 하는 제로데이 공격 패킷 하이라이트 시스템
|
6 |
6
새로운 공격을 탐지 및 차단하기 위한 새로운 룰이 업데이트되면, 플로우 기반 PCA(100) 수신된 패킷을 플로우(flow) 단위로 저장하고, 저장된 패킷들을 NIDPS(200)에 송신하는 단계;NIDPS(200)는 업데이트된 룰을 통해 상기 플로우 기반 PCA(100)로부터 수신한 패킷들을 검사하여 제로데이 공격 패킷을 검출하고, 검출된 결과를 이용하여 제로데이 공격 패킷을 검출하기 위한 프로토콜인 ZAPDP(Zero-day Attack Packet Detection Protocol)를 생성하는 단계;제로데이 공격 패킷 검출 시스템(400)은 상기 NIDPS(200)로부터 수신한 ZAPDP를 이용하여, 제로데이 공격 패킷, 검사에 사용된 룰 정보, 상기 룰 정보에 매칭된 패킷 내 데이터 정보를 하이라이트(highlight)하기 위한 프로토콜인 ZAPHP(Zero-Day Attack Packet Highlight Protocol)를 생성하는 단계; 및패킷 하이라이트 시스템(600)은 상기 공격 패킷 검출 시스템(400)으로부터 수신한 ZAPHP를 이용하여, 풀 패킷(Full packet)에서 제로데이 공격으로 검출된 부분을 하이라이트하고, 검출된 부분에 해당하는 패킷과 룰에 대한 정보를 출력하는 단계를 포함하는 제로데이 공격 패킷 하이라이트 방법
|
7 |
7
청구항 6에 있어서, 상기 제로데이 공격 패킷 검출 시스템에서 ZAPHP(Zero-Day Attack Packet Highlight Protocol)를 생성하는 단계에서, ZAPDP 파싱부(410)가 상기 NIDPS(200)로부터 수신한 ZAPDP를 파싱하여, sid값을 룰 DB(420)로 전송하고 타임스탬프 값을 pcap 파일 파싱부(430)로 전송하는 단계;룰 DB(420)가 상기 ZAPDP 파싱부로부터 수신한 sid값을 가진 룰 풀 셋(rule full set)을 패킷 매칭부(440)로 전달하는 단계;pcap 파일 파싱부(430)가 pcap 파일을 파싱하여, 상기 ZAPDP 파싱부(410)로부터 수신한 타임스탬프 값을 가진 플로우(flow)와 해당 플로우의 패킷들을 검출하여 패킷 매칭부(440)로 전달하는 단계; 및패킷 매칭부(440)가 상기 룰 DB(420)로부터 수신한 룰 정보와 매칭되는 패킷을 상기 pcap 파일 파싱부(430)로부터 수신한 패킷들 중에서 찾고, 룰 정보와 매칭되는 패킷을 찾으면, 매칭된 결과를 ZAPHP 구조로 만들어 전송하는 단계를 포함하여 이루어지는 것을 특징으로 하는 제로데이 공격 패킷 하이라이트 방법
|
8 |
8
청구항 6에 있어서, 상기 패킷 하이라이트 시스템(600)에서 패킷과 룰에 대한 정보를 출력하는 단계에서, ZAPHP 파싱부(610)가 수신한 ZAPHP를 파싱(parsing)하여, 룰과 매칭된 풀 패킷에서 제로데이 공격으로 검출된 부분의 데이터를 매칭하여 하이라이트하기 위한 매칭 정보를 데이터 매칭부(620)로 전송하고, sid와 타임스탬프를 출력부(630)로 전송하는 단계; 데이터 매칭부(620)가 상기 ZAPHP 파싱부(610)로부터 수신한 매칭 정보를 사용하여 풀 패킷 데이터에서 매칭되는 결과를 출력부(630)로 전송하는 단계; 및출력부(630)가 상기 ZAPHP 파싱부(610)로부터 수신한 sid 및 타임스탬프와 상기 데이터 매칭부(620)로부터 수신한 매칭 결과를 하이라이트(highlight)하여 출력하는 단계를 포함하여 이루어지는 것을 특징으로 하는 제로데이 공격 패킷 하이라이트 방법
|