1 |
1
5G 단독모드 네트워크 침입 탐지 시스템을 통한 침입 탐지 방법에 있어서,트래픽 수집장치가 5G SA(Standalone) 망 중 SBI(service-based interface) 구간의 gNB(gNodeB)와 AMF(access and mobility management function) 간 IP/TCP Port와 AMF와 AUSF(authentication server function) 간의 IP/TCP Port, HTTP/2 Stream ID 통신에서 트래픽을 수집하는 단계;포맷 가공장치가 상기 SBI 구간의 트래픽을 IDS 입력 포맷으로 변환하는 단계; 및침입 탐지장치가 상기 포맷 변환된 SBI 구간의 트래픽을 통해 침입 여부를 판단하는 단계;를 포함하되,상기 침입 탐지장치가 침입 여부를 판단하는 단계는,시그니처 생성부가 상기 포맷 변환된 SBI 구간의 트래픽을 Procedure 시그니처화하는 단계; 및침입 판단부가 상기 시그니처 생성부가 생성한 시그니처와 시그니처 저장부에 저장되어 있는 3GPP(third generation partnership project) 표준 Procedure 시그니처를 비교하여 침입 여부를 판단하는 단계;를 포함하되,상기 시그니처 생성부가 상기 포맷 변환된 SBI 구간의 트래픽을 Procedure 시그니처화하는 단계는,Link-Head, SRC(출발지 IP주소), S_Function(출발지 장비의 종류(예를 들어 AMF, SMF 등)), DST(도착지 IP주소), D_Function(도착지 장비의 종류(예를 들어 AMS, SMF 등)), MessageType(예를 들어 Registration, Authentication, Session Establishment 등), REQ_RES_Flag(Req 0, Res 1), LSH or SSDeep(MessageField Value)(기타 메시지 필드에 대한 필드 전체의 유사도 해쉬값(예를 들어 전체헤더 해쉬값)) 및 Link-Foot 블록들로 구성된 메타데이터를 형성하는 단계; 메타데이터들끼리 사전에 생성되어 있는 Correlation(상관분석) 된 패키 집합을 통해 Link-Head와 Link-Foot을 연결해 주는 단계; Benign 블록과 Message Sequence Signature 블록을 결합하여주는 단계; 및블록의 중복제거, 안정화 및 임계값을 설정하여 생성하는 단계;를 더 포함하는 것을 특징으로 하는 5G 단독모드 네트워크 침입 탐지 시스템을 통한 침입 탐지 방법
|
2 |
2
삭제
|
3 |
3
제1항에 있어서,상기 침입 판단부는,상기 시그니처 생성부가 생성한 시그니처와 시그니처 저장부에 저장되어 있는 3GPP 표준 Procedure 시그니처를 문자열 비교 알고리즘을 이용해 비교하여 침입 여부를 판단하는 것을 특징으로 하는 5G 단독모드 네트워크 침입 탐지 시스템을 통한 침입 탐지 방법
|
4 |
4
제1항에 있어서,상기 침입 판단부는,상기 시그니처 생성부가 생성한 시그니처와 시그니처 저장부에 저장되어 있는 3GPP 표준 Procedure 시그니처를 유사도 비교 해시함수를 이용해 비교하여 침입 여부를 판단하는 것을 특징으로 하는 5G 단독모드 네트워크 침입 탐지 시스템을 통한 침입 탐지 방법
|
5 |
5
5G SA(Standalone) 망 중 SBI(service-based interface) 구간의 gNB(gNodeB)와 AMF(access and mobility management function) 간 IP/TCP Port와 AMF와 AUSF(authentication server function) 간의 IP/TCP Port, HTTP/2 Stream ID 통신에서 트래픽을 수집하는 트래픽 수집장치;상기 SBI 구간의 트래픽을 IDS 입력 포맷으로 변환하는 포맷 가공장치; 및 상기 포맷 변환된 SBI 구간의 트래픽을 통해 침입 여부를 판단하는 침입 탐지장치;를 포함하되,상기 침입 탐지장치는,상기 포맷 변환된 SBI 구간의 트래픽을 Procedure 시그니처화하는 시그니처 생성부;3GPP(third generation partnership project) 표준 Procedure 시그니처가 저장되어 있는 시그니처 저장부; 및상기 시그니처 생성부가 생성한 시그니처와 시그니처 저장부에 저장되어 있는 3GPP(third generation partnership project) 표준 Procedure 시그니처를 비교하여 침입 여부를 판단하는 침입 판단부;를 포함하되,상기 시그니처 생성부는,Link-Head, SRC(출발지 IP주소), S_Function(출발지 장비의 종류(예를 들어 AMF, SMF 등)), DST(도착지 IP주소), D_Function(도착지 장비의 종류(예를 들어 AMS, SMF 등)), MessageType(예를 들어 Registration, Authentication, Session Establishment 등), REQ_RES_Flag(Req 0, Res 1), LSH or SSDeep(MessageField Value)(기타 메시지 필드에 대한 필드 전체의 유사도 해쉬값(예를 들어 전체헤더 해쉬값)) 및 Link-Foot 블록들로 구성된 메타데이터를 형성하는 단계; 메타데이터들끼리 사전에 생성되어 있는 Correlation(상관분석) 된 패키 집합을 통해 Link-Head와 Link-Foot을 연결해 주는 단계; Benign 블록과 Message Sequence Signature 블록을 결합하여주는 단계; 및블록의 중복제거, 안정화 및 임계값을 설정하여 생성하는 단계;를 통해 상기 포맷 변환된 SBI 구간의 트래픽을 Procedure 시그니처화하는 것을 특징으로 하는 5G 단독모드 네트워크 침입 탐지 시스템
|
6 |
6
삭제
|
7 |
7
제5항에 있어서,상기 침입 판단부는,상기 시그니처 생성부가 생성한 시그니처와 시그니처 저장부에 저장되어 있는 3GPP 표준 Procedure 시그니처를 문자열 비교 알고리즘을 이용해 비교하여 침입 여부를 판단하는 것을 특징으로 하는 5G 단독모드 네트워크 침입 탐지 시스템
|
8 |
8
제5항에 있어서,상기 침입 판단부는,상기 시그니처 생성부가 생성한 시그니처와 시그니처 저장부에 저장되어 있는 3GPP 표준 Procedure 시그니처를 유사도 비교 해시함수를 이용해 비교하여 침입 여부를 판단하는 것을 특징으로 하는 5G 단독모드 네트워크 침입 탐지 시스템
|