1 |
1
수신된 패킷을 플로우(flow) 단위로 저장하고, 새로운 룰이 업데이트되면 저장된 패킷들을 NIDPS(200)에 송신하는 플로우 기반 PCA(100);새로운 룰이 업데이트되면 룰 DB(300)로 새로 업데이트된 룰의 sid를 전송하고 룰 DB(300)로부터 sid에 해당하는 룰 풀 셋(rule full set) 정보를 참조하여 상기 플로우 기반 PCA(100)로부터 수신한 패킷들을 검사하고, 이를 통해 패킷의 타임스탬프(timestamp)를 pcap 파일 파싱부(400)로 송신하는 NIDPS(200);sid와 룰 풀 셋을 저장하고 있으며, 상기 NIDPS로부터 수신한 sid 값을 가진 룰 풀 셋을 검색하여 상기 NIDPS(200)로 송신하고 검출된 flow와 매칭된 룰 풀 셋을 패킷 매칭부(500)로 송신하는 룰 DB(300);상기 NIDPS(200)로부터 수신한 타임스템프(timestamp) 값을 기반으로 상기 플로우 기반 PCA(100)에서 해당하는 플로우를 검출하고, 이 플로우에 포함되는 패킷들을 검출하여 상기 패킷 매칭부(500)로 전송하는 pcap 파일 파싱부(400); 및상기 pcap 파일 파싱부(400)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 룰과 매칭되는 패킷을 제로데이 공격 패킷으로 검출하는 패킷 매칭부(500)를 포함하는 제로데이 공격 패킷 검출 시스템
|
2 |
2
청구항 1에 있어서, 상기 pcap 파일 파싱부(400)는, 상기 NIDPS(200)로부터 수신한 타임스템프(timestamp) 값을 기반으로 상기 플로우 기반 PCA(100)에서 해당하는 플로우를 검출하고, 검출한 플로우를 패킷 탐색부(420)로 전송하는 플로우 탐색부(410)와,상기 플로우 탐색부(410)로부터 수신한 플로우에 포함되는 패킷들을 상기 패킷 매칭부(500)로 전송하는 패킷 탐색부(420)를 포함하여 이루어지는 것을 특징으로 하는 제로데이 공격 패킷 검출 시스템
|
3 |
3
청구항 1에 있어서, 상기 패킷 매칭부(500)는, 상기 pcap 파일 파싱부(400)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 공격 패킷의 헤더 패턴 부분과 매칭되는 패킷을 검출하고, 검출된 패킷을 페이로드 매칭부(520)로 전송하는 헤더 매칭부(510)와, 상기 헤더 매칭부(510)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 공격 패킷의 페이로드 패턴 부분과 매칭되는 패킷을 제로데이 공격 패킷으로 검출하는 페이로드 매칭부(520)를 포함하여 이루어지는 것을 특징으로 하는 제로데이 공격 패킷 검출 시스템
|
4 |
4
플로우 기반 PCA(100)에서 수신된 패킷을 플로우(flow) 단위로 저장하고, 새로운 룰이 업데이트되면 저장된 패킷들을 NIDPS(200)에 송신하는 단계;NIDPS(200)에서 새로운 룰이 업데이트되면 룰 DB(300)로 새로 업데이트된 룰의 sid를 전송하고 룰 DB(300)로부터 sid에 해당하는 룰 풀 셋(rule full set) 정보를 참조하여 상기 플로우 기반 PCA(100)로부터 수신한 패킷들을 검사하고, 이를 통해 패킷의 타임스탬프(timestamp)를 pcap 파일 파싱부(400)로 송신하고, 검출된 flow와 매칭된 룰의 sid를 상기 룰 DB(300)로 송신하는 단계;룰 DB(300)에서 sid와 룰 풀 셋을 저장하고 있으며, 상기 NIDPS로부터 수신한 sid 값을 가진 룰 풀 셋을 검색하여 상기 NIDPS(200)로 송신하고 검출된 flow와 매칭된 룰 풀 셋을 패킷 매칭부(500)로 송신하는 단계; pcap 파일 파싱부(400)에서 상기 NIDPS(200)로부터 수신한 타임스템프(timestamp) 값을 기반으로 상기 플로우 기반 PCA(100)에서 해당하는 플로우를 검출하고, 이 플로우에 포함되는 패킷들을 검출하여 상기 패킷 매칭부(500)로 전송하는 단계; 및패킷 매칭부(500)에서 상기 pcap 파일 파싱부(400)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 룰과 매칭되는 패킷을 제로데이 공격 패킷으로 검출하는 단계를 포함하는 제로데이 공격 패킷 검출 방법
|
5 |
5
청구항 4에 있어서, 상기 pcap 파일 파싱부(400)에서 패킷을 검출하여 상기 패킷 매칭부(500)로 전송하는 단계에서, 플로우 탐색부(410)가 상기 NIDPS(200)로부터 수신한 타임스템프(timestamp) 값을 기반으로 상기 플로우 기반 PCA(100)에서 해당하는 플로우를 검출하고, 검출한 플로우를 패킷 탐색부(420)로 전송하는 단계와,패킷 탐색부(420)가 상기 플로우 탐색부(410)로부터 수신한 플로우에 포함되는 패킷들을 검출하여 상기 패킷 매칭부(500)로 전송하는 단계를 포함하여 이루어지는 것을 특징으로 하는 제로데이 공격 패킷 검출 방법
|
6 |
6
청구항 4에 있어서, 상기 패킷 매칭부(500) 제로데이 공격 패킷으로 검출하는 단계에서, 헤더 매칭부(510)가 상기 pcap 파일 파싱부(400)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 공격 패킷의 헤더 패턴 부분과 매칭되는 패킷을 검출하고, 검출된 패킷을 페이로드 매칭부(520)로 전송하는 단계와, 페이로드 매칭부(520)가 상기 헤더 매칭부(510)로부터 수신한 패킷 중에서 상기 룰 DB(300)로부터 수신한 룰 풀 셋의 공격 패킷의 페이로드 패턴 부분과 매칭되는 패킷을 제로데이 공격 패킷으로 검출하는 단계를 포함하여 이루어지는 것을 특징으로 하는 제로데이 공격 패킷 검출 방법
|