KR101553264B1 - System and method for preventing network intrusion - Google Patents
System and method for preventing network intrusion Download PDFInfo
- Publication number
- KR101553264B1 KR101553264B1 KR1020140178226A KR20140178226A KR101553264B1 KR 101553264 B1 KR101553264 B1 KR 101553264B1 KR 1020140178226 A KR1020140178226 A KR 1020140178226A KR 20140178226 A KR20140178226 A KR 20140178226A KR 101553264 B1 KR101553264 B1 KR 101553264B1
- Authority
- KR
- South Korea
- Prior art keywords
- intrusion prevention
- intrusion
- flow
- module
- network
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 230000002265 prevention Effects 0.000 claims abstract description 212
- 238000001514 detection method Methods 0.000 claims abstract description 46
- 230000008569 process Effects 0.000 claims description 15
- 238000012545 processing Methods 0.000 claims description 14
- 230000006855 networking Effects 0.000 claims description 11
- 230000008859 change Effects 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 abstract description 6
- 230000005540 biological transmission Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000007423 decrease Effects 0.000 description 4
- 230000015556 catabolic process Effects 0.000 description 3
- 238000006731 degradation reaction Methods 0.000 description 3
- 230000014509 gene expression Effects 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 침입탐지프로그램과 연계하여 동작하며 보안위협을 분석하고, 침입이 탐지되면 침입방지결정모듈에게 위협정보를 전달하는 침입탐지모듈, 패킷 플로우에 대한 침입방지를 결정하며, 상기 침입탐지모듈과 침입방지실행모듈에 대한 접근제어 기능을 갖는 침입방지결정모듈, 내부 네트워크에 대한 침입방지 기능을 수행하며, SDN 기술에 의해 상기 침입방지결정모듈에 제어되는 침입방지실행모듈을 포함하는 네트워크 침입방지 시스템 및 방법에 관한 것이다.The present invention relates to an intrusion detection system, which operates in conjunction with an intrusion detection program, analyzes a security threat, determines an intrusion detection module for delivering threat information to an intrusion prevention determination module when an intrusion is detected, An intrusion prevention determination module having an access control function for an intrusion prevention execution module, a network intrusion prevention system including an intrusion prevention execution module that performs an intrusion prevention function for an internal network and is controlled by the intrusion prevention determination module by SDN technology And methods.
Description
본 발명은 침입탐지프로그램과 연계하여 동작하며 보안위협을 분석하고, 침입이 탐지되면 침입방지결정모듈에게 위협정보를 전달하는 침입탐지모듈, 패킷 플로우에 대한 침입방지를 결정하며, 상기 침입탐지모듈과 침입방지실행모듈에 대한 접근제어 기능을 갖는 침입방지결정모듈, 내부 네트워크에 대한 침입방지 기능을 수행하며, SDN 기술에 의해 상기 침입방지결정모듈에 제어되는 침입방지실행모듈을 포함하는 네트워크 침입방지 시스템 및 방법에 관한 것이다.
The present invention relates to an intrusion detection system, which operates in conjunction with an intrusion detection program, analyzes a security threat, determines an intrusion detection module for delivering threat information to an intrusion prevention determination module when an intrusion is detected, An intrusion prevention determination module having an access control function for an intrusion prevention execution module, a network intrusion prevention system including an intrusion prevention execution module that performs an intrusion prevention function for an internal network and is controlled by the intrusion prevention determination module by SDN technology And methods.
인터넷 백본 대역폭의 폭발적 증가에도 불구하고, 복잡도가 증가된 일반 목적 망(general-purpose network)은 데이터 전송성능의 병목 지점으로 작용하고 있다. 특히, 상태기반 방화벽(stateful firewall)으로 인한 사용자 망(last-mile network)의 병목은 패킷손실을 유발해 대용량 과학기술데이터(scientific data)의 전송 성능을 크게 저하시킨다.Despite the explosive growth of Internet backbone bandwidth, increased complexity of the general-purpose network is a bottleneck in data transmission performance. In particular, bottlenecks in the last-mile network due to stateful firewalls cause packet loss and greatly degrade the transmission performance of large-capacity scientific data.
방화벽 등으로 인한 사용자 망의 성능병목 문제를 완화하고 대용량 과학기술데이터의 고속 전송을 담보하기 위해 Science DMZ와 같은 네트워크 완충 영역에 대한 연구가 진행되어 왔다. 특히 근래에는 DMZ 내부 및 외부 네트워킹 자원을 유연하게 연동하기 위해 SDN(Software Defined Networking) 기술을 DMZ 환경에 적용하는 방안이 모색되고 있다. 하지만, SDN의 적용 범위가 가상회선(virtual circuit)의 설정 등 네트워킹 유연성 확보에 초점을 두고 있는 단계로써 DMZ 환경의 보안 강화 방안에 대해서는 고려되지 않고 있다.Research has been conducted on network buffer areas such as Science DMZ to mitigate performance bottlenecks of users' networks due to firewalls and to ensure high-speed transmission of high-capacity scientific data. In recent years, in order to flexibly interlock DMZ internal and external networking resources, SDN (Software Defined Networking) technology is being applied to the DMZ environment. However, the coverage of SDN is focused on securing networking flexibility, such as setting up a virtual circuit, and thus there is no consideration for enhancing the security of the DMZ environment.
따라서, 내부 네트워크에 대한 침입 방지 시스템은 데이터 처리성능 및 저비용 구조와 정책규칙 설정의 유연성 및 관리의 용이성을 가져야 한다. 네트워크 내·외부 간 데이터 전송 속도와 침입 방지 시스템의 적용 사이에는 트레이드오프 관계가 존재하며, 고성능 침입 방지 시스템의 적용을 통해 전송 속도 저하와 관련된 문제를 일부 해결할 수 있지만 관련 장비가 고가인 단점이 있으므로, 적용되는 침입 방지 시스템은 데이터 전송 속도의 저하를 초래하지 않아야 하며 시스템 확장성(extensibility)의 확보를 통해 초기 구축비용을 줄일 수 있어야 한다. Therefore, the intrusion prevention system for the internal network should have data processing performance and low cost structure and flexibility of policy rule setting and ease of management. There is a trade-off relationship between the speed of data transmission between the inside and the outside of the network and the application of the intrusion prevention system. There is a disadvantage that the related equipment is expensive because some problems related to the transmission rate decrease can be solved through the application of the high performance intrusion prevention system , The applied intrusion prevention system should not cause a decrease in data transmission speed and should be able to reduce the initial construction cost by securing system extensibility.
또한, 방화벽 사용으로 인해 네트워크 자원에 대한 접근 제어가 데이터 통신의 단절을 야기할 수 있다. 방화벽에서 접근제어 규칙을 정적으로 적용하면 임의의 포트번호를 사용하는 UDP 응용의 통신 단절을 야기하며, 다수 응용의 통신 단절문제를 해결하기 위해서는 방화벽 설정의 빈번한 변경이 요구되지만 이는 시스템 관리비용의 증가를 초래하게 되므로, 침입 탐지 시스템은 관리운영 측면의 유연성 확보를 통해 운영비용을 줄일 수 있어야 한다.
In addition, access control of network resources due to the use of a firewall can cause data communication to be disconnected. Static application of access control rules in firewalls causes communication disconnection of UDP applications using arbitrary port numbers. In order to solve communication disconnection problem of many applications, frequent change of firewall setting is required. However, , The intrusion detection system should be able to reduce the operating cost by securing flexibility in management and operation aspects.
본 발명은 DMZ 환경에서 유연한 보안 적용을 가능하게 하는 SDN 기반의 침입 방지 프레임워크인 SAFE(SDN-Assisted Firewall Environment)를 이용하는 네트워크 침입방지 시스템을 제안한다. 네트워크 침입 방지 시스템은, 침입 방지 시스템 (IPS, Intrusion Prevention System)의 침입 탐지, 방지 결정, 침입 방지 등의 기능을 물리적으로 분산하고 SDN을 이용해 상호 연동시키는 것을 해결 과제로 한다.The present invention proposes a network intrusion prevention system using an SDN-Assisted Firewall Environment (SAFE), an SDN-based intrusion prevention framework that enables flexible security application in a DMZ environment. The network intrusion prevention system aims to physically disperse the intrusion detection, prevention decision, and intrusion prevention functions of Intrusion Prevention System (IPS) and interworking with SDN.
이와 같이 기존 방화벽이 갖는 침입 탐지, 침입 방지 결정, 침입 방지 실행 등 기능을 물리적으로 분리시키고, SDN 기술을 이용하여 상호 연동시킴으로써 보안 정책의 유연한 적용과 보안시스템 관리운영의 자동화가 가능하게 된다.By physically separating the existing firewall functions such as intrusion detection, intrusion prevention decision and intrusion prevention execution and interworking with SDN technology, flexible application of security policy and automation of security system management operation become possible.
본 발명이 이루고자 하는 기술적 과제는 이상에서 언급한 기술적 과제로 제한되지 않으며, 이하에서 설명할 내용으로부터 통상의 기술자에게 자명한 범위 내에서 다양한 기술적 과제가 포함될 수 있다.
The technical problem to be solved by the present invention is not limited to the technical problems mentioned above, and various technical problems can be included within the scope of what is obvious to the ordinary skilled in the art from the following description.
상기와 같은 과제를 해결하기 위한 본 발명의 일 실시예에 따른 네트워크 침입방지 시스템은, 침입탐지프로그램과 연계하여 동작하며, 보안위협을 분석하고 침입이 탐지되면 침입방지결정모듈에 위협정보를 전달하는 침입탐지모듈; 상기 침입탐지모듈과 침입방지실행모듈에 대한 접근제어를 수행하며, 패킷 플로우에 대한 침입방지를 결정하는 침입방지결정모듈; 상기 침입방지결정모듈과 SDN(Software defined networking)에 의해 상호 연동되어, 상기 침입방지결정모듈이 결정한 접근 허락 여부에 따라 내부 네트워크에 대한 외부의 침입 방지를 수행하는 침입방지실행모듈; 을 포함한다.According to an aspect of the present invention, there is provided a network intrusion prevention system, which operates in conjunction with an intrusion detection program, analyzes security threats and transmits threat information to an intrusion prevention determination module when an intrusion is detected Intrusion detection module; An intrusion prevention determination module that performs access control to the intrusion detection module and the intrusion prevention execution module and determines intrusion prevention for the packet flow; An intrusion prevention execution module interworking with the intrusion prevention determination module through software defined networking (SDN), and performing an intrusion prevention operation on the internal network according to the access permission determined by the intrusion prevention determination module; .
이 때, 본 발명의 일 실시예에 따른 네트워크 침입방지 시스템은, 상기 침입탐지모듈, 상기 침입방지결정모듈, 상기 침입방지실행모듈은 물리적으로 분리되어 있으며, SDN에 의해 상호 연동되는 것을 특징으로 한다.In the network intrusion prevention system according to an embodiment of the present invention, the intrusion detection module, the intrusion prevention determination module, and the intrusion prevention execution module are physically separated and are interlocked by the SDN .
또한, 본 발명의 일 실시예에 따른 네트워크 침입방지 시스템의 상기 침입탐지모듈은, 침입탐지프로그램과 연계하여, 내부 네트워크의 보안 위협을 실시간으로 분석하는 위협분석부; 상기 분석 결과를 침입방지결정모듈에 보고하는 위협보고부; 를 더 포함하는 것을 특징으로 한다.Also, the intrusion detection module of the network intrusion prevention system according to an embodiment of the present invention may include a threat analysis unit, which analyzes security threats of an internal network in real time in connection with an intrusion detection program; A threat reporting unit reporting the analysis result to the intrusion prevention determination module; And further comprising:
이 때, 상기 위협분석부는, 상기 내부 네트워크 및 시스템의 보안위협을 취합하고 침입 방지 시스템의 보안 정책에 따라 보안 위협을 분류하며, 보안 위협을 단계별로 재분류하고, 상기 위협보고부는, E2N(End to Network) 메시지를 구성한 후 상기 침입방지결정모듈에 보고하는 것을 특징으로 한다.At this time, the threat analysis unit collects security threats of the internal network and the system, classifies security threats according to a security policy of the intrusion prevention system, recategorizes security threats in stages, and the threat reporting unit reports E2N (End to Network message and then reports the message to the intrusion prevention determination module.
또한, 본 발명의 일 실시예에 따른 네트워크 침입방지 시스템의 상기 침입방지결정모듈은, 상기 침입탐지모듈이 위협정보를 제공하고 상기 침입방지실행모듈이 패킷 플로우 테이블 조회를 요청하면, 설정된 보안 정책에 따라 접근 허락 또는 거부를 결정하고, 결과를 플로우 엔트리에 반영하여 상기 침입방지실행모듈에 설치하고 동작지침에 따라 플로우를 처리하도록 하는 것을 특징으로 한다.In addition, the intrusion prevention determination module of the network intrusion prevention system according to an embodiment of the present invention may be configured such that when the intrusion detection module provides threat information and the intrusion prevention execution module requests packet flow table inquiry, Determines whether the access permission or denial is permitted, reflects the result in the flow entry, installs the result in the intrusion prevention execution module, and processes the flow according to the operation instructions.
이 때, 상기 침입방지결정모듈은, 보안 규정에 따라 내부네트워크에 대한 접근 허가 또는 접근 거부를 결정하는 침입방지 결정부; 침입탐지모듈과 침입방지실행모듈을 직접 연결하는 경우 네트워크 간 환경을 설정하는 시스템 연동부; 비인가 침입방지실행모듈과 비인가 침입탐지모듈이 침입방지결정모듈에 접근하는 것을 차단하기 위해 IP주소 기반의 접근 제어를 수행하는 접근 제어부; 상기 침입탐지모듈에 의해 확인된 위협 정보가 저장되는 보안위협 데이터베이스; 를 더 포함하는 것을 특징으로 한다.In this case, the intrusion prevention determining module may include an intrusion prevention determining unit determining access permission or denial of access to the internal network according to a security rule; A system interworking part for setting an inter-network environment when an intrusion detection module and an intrusion prevention execution module are directly connected; An access control unit for performing access control based on an IP address to block an unauthorized intrusion prevention execution module and an unauthorized intrusion detection module from accessing the intrusion prevention determination module; A security threat database storing threat information confirmed by the intrusion detection module; And further comprising:
아울러, 상기 시스템 연동부는, 시스템 명령을 이용하여 패킷 필터링과, IP 패킷의 네트워크 주소와 포트 주소를 변경하며, IP패킷의 캡슐화 및 역캡슐화 하는 것을 특징으로 하며, 상기 시스템 명령은, FORWARD, DROP, SET_FIELD, SET_TUNNEL 명령 중 하나 이상을 포함하고, 상기 시스템 연동부는, 침입탐지프로그램 또는 방화벽의 운용환경을 모사하여, 네트워크 주소변경 방식을 통해 자동적으로 네트워크간 환경을 설정하는 것을 특징으로 한다.In addition, the system interworking unit may perform packet filtering, change a network address and a port address of an IP packet, encapsulate and encapsulate an IP packet using a system command, and the system command may include FORWARD, DROP, A SET_FIELD, and a SET_TUNNEL command. The system interfacing unit simulates an operating environment of an intrusion detection program or a firewall, and automatically sets an inter-network environment through a network address changing method.
또한, 상기 시스템 연동부는, 공격자의 IP 주소를 포함하는 보안 위협 정보를 수집, 개방 또는 공유하여 다수의 서버에 대한 공격을 협력적으로 방지하는 것을 특징으로 한다.In addition, the system interworking unit collects, opens or shares security threat information including an IP address of an attacker to cooperatively prevent an attack on a plurality of servers.
이어, 본 발명의 일 실시예에 따른 네트워크 침입방지 시스템의 상기 침입방지실행모듈은, 패킷이 수신되면 정합 테이블의 우선순위에 따라 플로우 엔트리를 검색하고, 할당된 동작지침에 따라 패킷을 처리하는 것을 특징으로 한다. 이 때, 상기 정합 테이블은, 완전일치 정합(exact match), 시그니처 정합(signature match), 와일드카드 정합(wildcard match)의 순으로 우선순위인 것을 특징으로 한다.Then, the intrusion prevention execution module of the network intrusion prevention system according to an embodiment of the present invention searches for a flow entry according to the priority of the matching table when a packet is received, and processes the packet according to the assigned operation instruction . In this case, the matching table is characterized by being a priority in the order of an exact match, a signature match, and a wildcard match.
또한, 본 발명의 일 실시예에 따른 네트워크 침입방지 시스템의 상기 침입방지실행모듈은, 패킷의 시그니처(signature)를 미리 저장하고, 시그니처 기반의 패킷 처리 국지화를 위한 블룸 필터(Bloom filter)를 사용하는 것을 특징으로 한다.In addition, the intrusion prevention enforcement module of the network intrusion prevention system according to an embodiment of the present invention may be configured to store a signature of a packet in advance and use a Bloom filter for localizing a signature-based packet processing .
이 때, 상기 침입방지실행모듈은, 활성 블룸 필터와 대기 블룸 필터를 포함하여 플로우 엔트리를 구성하고, (수학식 1)에 따라 상기 활성 블룸 필터에 t개 이상의 플로우가 기록되면 해당 필터를 초기화한 후 대기 상태로 전환하며, 대기 블룸 필터를 활성 상태로 전환하는 것을 특징으로 한다.In this case, the intrusion prevention execution module configures a flow entry including an active bloom filter and an atmospheric bloom filter, and if t or more flows are recorded in the active bloom filter according to Equation (1), the corresponding filter is initialized The standby bloom filter is switched to the standby state, and the standby bloom filter is switched to the active state.
(수학식 1)(1)
(m: 블룸 필터의 비트 수, n: 플로우 시그니처의 수, α: 기대 위양성 확률)(m: number of bits of Bloom filter, n: number of flow signatures, and?: expected false positive probability)
또한, 상기 침입방지실행모듈은, n이 (수학식 2)의 조건에 맞는 경우, 활성 블룸 필터와 대기 블룸 필터 모두에 시그니처를 남기는 것을 특징으로 한다.In addition, the intrusion prevention execution module is characterized in that a signature is left in both the active bloom filter and the atmospheric bloom filter when n satisfies the condition of (Equation (2)).
(수학식 2)(2)
(β: 기대 위양성 계수)(β: expected false positive coefficient)
또한, 상기 침입방지실행모듈은, 플로우(f)가 입력되면 침입방지결정모듈에 테이블 조회를 요청하여 SDN 메시지를 통해 상기 플로우에 대한 완전일치 정합 엔트리를 송신받고, 피드백 플로우(f')를 시그니처 정합 테이블에 등록할 것인지 결정하여 피드백 플로우(f')가 입력되면 시그니처 정합을 이루며, 시그니처 정합 엔트리에서 완전일치 정합 엔트리로 규칙 복사(rule clone)를 수행하는 것을 특징으로 한다.In addition, the intrusion prevention execution module requests the intrusion prevention determination module to inquire the table when the flow (f) is input, transmits a complete matching entry for the flow through the SDN message, and transmits the feedback flow (f ' (F ') is input and a rule clone is performed from a signature match entry to a perfectly match match entry by determining whether to register in the match table.
또한, 상기 침입방지실행모듈은, 상기 블룸 필터의 시그니처를 삭제하는 경우, 다른 정합 테이블에 기록된 역 플로우(f-1)의 처리규칙을 변경하여 삭제하는 것을 특징으로 한다.In addition, the intrusion prevention execution module may delete the signature of the Bloom filter and change the processing rule of the reverse flow (f -1 ) recorded in another matching table.
한편, 본 발명의 일 실시 예에 따른 네트워크 침입방지 방법은, (a) 침입탐지모듈이 침입을 탐지하고, 침입방지결정모듈로 위협정보를 전달하는 단계; (b) 침입방지실행모듈이 입력된 패킷에 대하여 플로우 테이블 조회를 요청하는 단계; (c) 침입방지결정모듈이 설정된 보안 정책에 따라 접근 허락 또는 거부를 결정하는 단계; (d) 상기 침입방지결정모듈이 결정된 결과를 플로우 엔트리에 반영하여 상기 침입방지실행모듈에 동작지침을 설치하는 단계; (e) 상기 침입방지실행모듈이 동작지침에 따라 플로우를 처리하는 단계; 를 포함한다.According to another aspect of the present invention, there is provided a network intrusion prevention method comprising the steps of: (a) detecting an intrusion by an intrusion detection module and transmitting threat information to an intrusion prevention determination module; (b) requesting the intrusion prevention execution module to inquire a flow table for the inputted packet; (c) determining whether to allow or deny access according to a security policy set by the intrusion prevention determining module; (d) installing operation instructions in the intrusion prevention execution module by reflecting the determined result in the flow entry; (e) the intrusion prevention execution module processes the flow according to the operation instructions; .
이 때, 상기 침입탐지모듈, 상기 침입방지결정모듈, 상기 침입방지실행모듈은 물리적으로 분리되어 있으며, SDN(Software defined networking)에 의해 상호 연동되는 것을 특징으로 한다.
In this case, the intrusion detection module, the intrusion prevention determination module, and the intrusion prevention execution module are physically separated and interoperate by SDN (Software Defined Networking).
종래의 침입방지시스템들이 이메일, 그룹웨어, 웹 등을 주요 응용으로 갖는 일반 목적 네트워크에서의 보안 강화를 목적으로 개발되었기 때문에 대용량 데이터전송 시 성능저하를 초래하는 등 과학기술 네트워크에서 응용성능에 부정적인 영향을 주는 단점이 있으나, 본 발명은 모니터링 채널과 데이터 채널을 분리시킴으로써 성능저하의 문제를 완화하며, SDN을 통해 연동함으로써 기존 보안 시스템들과의 정보 공유가 가능하여 다양한 보안위협 정보들이 중앙에서 유지 관리되므로 보안위협에 대한 효과적인 대처가 가능하여 상태기반 방화벽 사용으로 인한 성능병목을 해소할 수 있다.Conventional intrusion prevention systems have been developed for the purpose of enhancing security in general-purpose networks that have e-mail, groupware, and web applications as main applications. Therefore, they deteriorate performance when transmitting large amounts of data. The present invention alleviates the problem of performance degradation by separating the monitoring channel and the data channel and enables information sharing with existing security systems by interworking with the SDN so that various security threat information is centrally maintained It is possible to effectively deal with security threats, thereby eliminating performance bottlenecks due to the use of state-based firewalls.
또한, 종래의 침입방지시스템들은 침입탐지, 방지결정, 침입방지의 기능이 하나의 보안장치 내에 통합되어 있기 때문에 장치의 개발 및 구매 비용이 높은 단점이 있으나, 본 발명은 침입방지 기능의 모듈화를 통해 다양한 방화벽 기능을 쉽게 적용하며 오픈소스 침입탐지프로그램 등과 용이하고 유연하게 연동될 수 있으므로 침입 방지 시스템의 구축비용 절감 및 확장성 (extensibility) 향상을 기대할 수 있다.In addition, the conventional intrusion prevention systems have a disadvantage in that the functions of intrusion detection, prevention determination, and intrusion prevention are integrated into one security device, which leads to high development and purchase cost of the device. However, It is easy to apply various firewall functions and can easily and flexibly interoperate with open source intrusion detection programs. Therefore, it is expected to reduce the construction cost and improve the extensibility of the intrusion prevention system.
또한, 다수의 침입방지시스템들을 중앙에서 제어할 수 있으므로 보안시스템의 빈번한 설정 변경으로 야기되는 운영비용(operational cost)을 절감하는 효과가 있다.
In addition, since a large number of intrusion prevention systems can be centrally controlled, there is an effect of reducing operational cost caused by frequent setting change of a security system.
도 1, 2는 본 발명의 일 실시예에 따른 네트워크 침입방지 시스템을 나타내는 구성도이다.
도 3, 4는 본 발명의 일 실시예에 따른 네트워크 침입방지 시스템이 동작하는 방법을 나타내는 순서도이다.
도 5는 본 발명의 일 실시예에 따른 네트워크 침입방지 시스템의 침입방지실행모듈이 패킷 플로우의 국지적 처리를 위해 블룸 필터와 규칙 복사를 이용하는 과정을 나타내는 예시도이다.
도 6은 본 발명의 일 실시예에 따른 네트워크 침입방지 시스템의 희생자 서버의 수에 따른 공격 교차율을 나타내는 도표이다.
도 7은 본 발명의 일 실시예에 따른 네트워크 침입방지 시스템의 블룸 필터 적중률을 나타내는 도표이다.
도 8은 본 발명의 일 실시예에 따른 네트워크 침입방지 방법을 나타내는 순서도이다.1 and 2 are block diagrams illustrating a network intrusion prevention system according to an embodiment of the present invention.
3 and 4 are flowcharts illustrating a method of operating a network intrusion prevention system according to an embodiment of the present invention.
5 is an exemplary diagram illustrating a process of using a bloom filter and rule copy for local processing of a packet flow according to an exemplary embodiment of the present invention.
FIG. 6 is a diagram illustrating attack crossing rates according to the number of victim servers in a network intrusion prevention system according to an exemplary embodiment of the present invention.
FIG. 7 is a chart showing a Bloom filter hit ratio of a network intrusion prevention system according to an embodiment of the present invention.
8 is a flowchart illustrating a network intrusion prevention method according to an embodiment of the present invention.
이하, 첨부된 도면들을 참조하여 본 발명에 따른 '네트워크 침입방지 시스템'을 상세하게 설명한다. 설명하는 실시 예들은 본 발명의 기술 사상을 통상의 기술자가 용이하게 이해할 수 있도록 제공되는 것으로 이에 의해 본 발명이 한정되지 않는다. 또한, 첨부된 도면에 표현된 사항들은 본 발명의 실시 예들을 쉽게 설명하기 위해 도식화된 도면으로 실제로 구현되는 형태와 상이할 수 있다.Hereinafter, a 'network intrusion prevention system' according to the present invention will be described in detail with reference to the accompanying drawings. The present invention is not limited to the above-described embodiments, and various changes and modifications may be made without departing from the scope of the present invention. In addition, the matters described in the attached drawings may be different from those actually implemented by the schematic drawings to easily describe the embodiments of the present invention.
한편, 이하에서 표현되는 각 구성부는 본 발명을 구현하기 위한 예일 뿐이다. 따라서, 본 발명의 다른 구현에서는 본 발명의 사상 및 범위를 벗어나지 않는 범위에서 다른 구성부가 사용될 수 있다. 또한, 각 구성부는 순전히 하드웨어 또는 소프트웨어의 구성만으로 구현될 수도 있지만, 동일 기능을 수행하는 다양한 하드웨어 및 소프트웨어 구성들의 조합으로 구현될 수도 있다. 또한, 하나의 하드웨어 또는 소프트웨어에 의해 둘 이상의 구성부들이 함께 구현될 수도 있다. In the meantime, each constituent unit described below is only an example for implementing the present invention. Thus, in other implementations of the present invention, other components may be used without departing from the spirit and scope of the present invention. In addition, each component may be implemented solely by hardware or software configuration, but may be implemented by a combination of various hardware and software configurations performing the same function. Also, two or more components may be implemented together by one hardware or software.
또한, 어떤 구성요소들을 '포함'한다는 표현은, '개방형'의 표현으로서 해당 구성요소들이 존재하는 것을 단순히 지칭할 뿐이며, 추가적인 구성요소들을 배제하는 것으로 이해되어서는 안 된다. Also, the expression " comprising " is intended to merely denote that such elements are present as an expression of " open ", and should not be understood to exclude additional elements.
또한, '제1, 제2' 등과 같은 표현은, 복수의 구성들을 구분하기 위한 용도로만 사용된 표현으로써, 구성들 사이의 순서나 기타 특징들을 한정하지 않는다.
Also, the expressions such as 'first, second', etc. are used only to distinguish between plural configurations, and do not limit the order or other features among the configurations.
한편, 이상에서 살펴본 본 발명의 일 실시 예에 따른 '네트워크 침입방지 시스템'은, 카테고리는 상이하지만 본 발명의 일 실시 예에 따른 '네트워크 침입방지 방법'과 실질적으로 동일한 기술적 특징을 포함할 수 있다. Meanwhile, the 'network intrusion prevention system' according to an embodiment of the present invention described above may include substantially the same technical features as the 'network intrusion prevention method' according to an embodiment of the present invention, although the categories are different .
따라서, 중복 기재를 방지하기 위하여 자세히 기재하지는 않았지만, 상기 '네트워크 침입방지 시스템'과 관련하여 상술한 특징들은, 본 발명은 일 실시 예에 따른 '네트워크 침입방지 방법'에도 당연히 유추 적용될 수 있다. 또한, 반대로, 상기 '네트워크 침입방지 방법'과 관련하여 상술한 특징들은 상기 '네트워크 침입방지 시스템'에도 당연히 유추 적용될 수 있다.
Accordingly, although not described in detail in order to prevent redundant description, the above-described features related to the 'network intrusion prevention system' can be analogously applied to the 'network intrusion prevention method' according to an embodiment. Conversely, the above-described features related to the 'network intrusion prevention method' can be analogously applied to the 'network intrusion prevention system' as well.
도 1, 2는 본 발명의 일 실시예에 따른 네트워크 침입방지 시스템을 나타내는 구성도이다.1 and 2 are block diagrams illustrating a network intrusion prevention system according to an embodiment of the present invention.
도 1을 참조하면, 네트워크 침입방지 시스템(110)은 침입탐지모듈(110), 침입방지결정모듈(120), 침입방지실행모듈(130)을 포함하며, 침입탐지모듈은 위협분석부(111)와 위협보고부(112), 침입방지결정모듈은 침입방지 결정부(121), 시스템 연동부(122), 접근 제어부(123), 데이터베이스(124)를 포함할 수 있다. 1, the network intrusion prevention system 110 includes an intrusion detection module 110, an intrusion prevention determination module 120, and an intrusion prevention execution module 130. The intrusion detection module includes a threat analysis unit 111, The threat reporting unit 112 and the intrusion prevention determining module may include an intrusion prevention determining unit 121, a system interlocking unit 122, an access control unit 123, and a database 124.
침입탐지모듈(110)은 소프트웨어 에이전트이며, logwatch, OSSEC(Open Source SECurity) 등 침입탐지프로그램과 연계하여, 내부 네트워크의 보안 위협을 실시간으로 분석하는 위협분석부(111) 및 분석 결과를 침입방지결정모듈에 보고하는 위협보고부(112) 를 포함한다. 이 때, 위협분석부는 rsyslog 등을 이용해 내부 네트워크 및 시스템의 보안위협을 취합하고 침입 방지 시스템의 보안 정책에 따라 보안 위협을 분류하며, 보안 위협을 단계별로 재분류하고, 위협보고부는, E2N(End to Network) 메시지를 구성한 후 상기 침입방지결정모듈에 보고하게 된다.The intrusion detection module 110 is a software agent. The intrusion detection module 110 includes a threat analysis unit 111 for analyzing security threats of the internal network in real time in cooperation with an intrusion detection program such as logwatch and OSSEC (Open Source Security) And a threat reporting unit 112 for reporting to the module. In this case, the threat analysis unit collects security threats of the internal network and system using rsyslog, classifies security threats according to the security policy of the intrusion prevention system, recategorizes security threats in stages, to Network message and then reports to the intrusion prevention determination module.
침입방지결정모듈(120)은 침입탐지모듈이 위협정보를 제공하고 침입방지실행모듈이 패킷 플로우 테이블 조회를 요청하면, 설정된 보안 정책에 따라 접근 허락 또는 거부를 결정하고, 결과를 플로우 엔트리에 반영하여 침입방지실행모듈에 설치하고 동작지침에 따라 패킷 플로우를 처리하도록 한다. When the intrusion prevention module provides the threat information and the intrusion prevention execution module requests the packet flow table inquiry, the intrusion prevention determination module 120 determines access permission or denial according to the set security policy, and reflects the result in the flow entry It is installed in the Intrusion Prevention Execution Module and the packet flow is processed according to the operation instructions.
이 때, 침입방지결정모듈은 보안 규정에 따라 내부네트워크에 대한 접근 허가 또는 접근 거부를 결정하는 침입방지 결정부(121), 침입탐지모듈과 침입방지실행모듈을 직접 연결하는 경우 네트워크 간 환경을 설정하는 시스템 연동부(122), 비인가 침입방지실행모듈과 비인가 침입탐지모듈이 침입방지결정모듈에 접근하는 것을 차단하기 위해 IP주소 기반의 접근 제어를 수행하는 접근 제어부(123), 상기 침입탐지모듈에 의해 확인된 위협 정보가 저장되는 보안위협 데이터베이스(124)를 포함한다.In this case, the intrusion prevention determining module 121 includes an intrusion prevention determining unit 121 for determining access permission or denial of access to the internal network in accordance with security rules, and an intrusion prevention determining module 121 for setting an inter- An access control unit 123 for performing access control based on an IP address to block access to the intrusion prevention determination module by the unauthorized intrusion prevention execution module and the unauthorized intrusion detection module, And a security threat database 124 in which threat information confirmed by the security threat database is stored.
또한, 시스템 연동부는 침입탐지프로그램 또는 방화벽의 운용환경을 모사하여, 네트워크 주소변경 방식을 통해 자동적으로 네트워크간 환경을 설정할 수 있으며, 시스템 연동부는, 공격자의 IP 주소를 포함하는 보안 위협 정보를 수집, 개방 또는 공유하여 다수의 서버에 대한 공격을 협력적으로 방지할 수 있다.The system interworking unit may automatically set an inter-network environment through a network address changing method by simulating an operating environment of an intrusion detection program or a firewall. The system interworking unit collects and analyzes security threat information including an attacker's IP address, Open or shared to cooperatively prevent attacks against multiple servers.
침입방지실행모듈(130)은 설치된 플로우 엔트리의 동작지침에 따라 침입 방지를 실행한다. 침입방지실행모듈의 시스템 소프트웨어는 CPU 포트로 FORWARD된 패킷에 임시 플로우 엔트리를 할당해 데이터평면에 설치한 후 침입방지결정모듈에게 테이블 조회를 요청한다. 즉, 침입방지실행모듈은 문제점을 해결하기 위해 패킷을 ‘선 포워드 후 조회’ 한다. 이후 침입방지결정모듈은 초기 연결 설정 시 상기 플로우 처리 과정을 침입방지실행모듈에 설정한다.
The intrusion prevention execution module 130 executes the intrusion prevention according to the operation instructions of the installed flow entry. The system software of the intrusion prevention execution module allocates a temporary flow entry to the FORWARD packet to the CPU port, installs the temporary flow entry on the data plane, and requests the intrusion prevention determination module to inquire the table. That is, the Intrusion Prevention Execution Module performs a 'forward lookup' after a packet to solve a problem. Then, the intrusion prevention determination module sets the flow processing procedure to the intrusion prevention execution module at initial connection establishment.
한편, 상기 침입탐지모듈, 상기 침입방지결정모듈, 상기 침입방지실행모듈은 물리적으로 분리되어 있으며, SDN(Software defined networking)에 의해 상호 연동된다. Meanwhile, the intrusion detection module, the intrusion prevention determination module, and the intrusion prevention execution module are physically separated and interoperate by SDN (Software Defined Networking).
SDN은 네트워크 제어와 포워딩 기능을 분리하고 오픈플로우 등 개방형 API(Application Programming Interface)를 통해 제어 기능과 포워딩 기능을 상호 연동시키는 것을 특징으로 갖는 네트워킹 접근방식이다. 중앙 집중화된 컨트롤러에서 패킷 플로우에 대한 제어와 네트워크 인프라에 대한 환경 설정(configuration)이 가능하기 때문에 네트워크 상황 변화에 민첩히 대응할 수 있다. 또한, 네트워크 자원에 대한 설정, 관리, 보호, 최적화 등의 프로세스들을 SDN 프로그램화함으로 네트워크 운영 업무를 자동화할 수 있다.SDN is a networking approach that separates network control and forwarding functions and interworks with control and forwarding functions through an open API (Application Programming Interface) such as open flow. The centralized controller allows control of packet flows and configuration of the network infrastructure, so it can respond to changes in the network situation in a nimble manner. In addition, network operation can be automated by SDN programming of processes such as setting, managing, protecting, and optimizing network resources.
SDN에서 패킷 플로우에 대한 출력 포트 검색 절차는 다음과 같다. 패킷이 도착하면 네트워크 스위치는 로컬 플로우 테이블에서 플로우 엔트리를 조회하고 지정된 동작지침(action)에 따라 패킷을 처리한다. 플로우 엔트리가 존재하지 않으면 수신된 패킷을 캡슐화한 후 컨트롤러에게 전달함으로써 일종의 플로우 테이블 조회(flow table lookup)과정을 수행한다. 컨트롤러의 SDN 프로그램은 전달받은 패킷의 동작지침을 결정한 후 개방형 API를 통해 네트워크 스위치에 플로우 엔트리를 설치한다. The output port search procedure for packet flow in SDN is as follows. When a packet arrives, the network switch queries the flow entry in the local flow table and processes the packet according to the specified action. If the flow entry does not exist, the received packet is encapsulated and transmitted to the controller to perform a kind of flow table lookup process. The SDN program of the controller decides the operation instructions of the received packet and installs the flow entry to the network switch through the open API.
침입탐지모듈(110)은 침입탐지프로그램과 연계하여 동작하며 보안위협을 분석하고, 침입이 탐지되면 침입방지결정모듈에게 위협정보를 전달한다. 침입방지결정모듈(120)은 패킷 플로우에 대한 침입방지를 결정하며, 상기 침입탐지모듈과 침입방지실행모듈에 대한 접근제어 기능을 갖는다. 침입방지실행모듈(130)은 내부 네트워크에 대한 침입방지 기능을 수행하며, SDN 기술에 의해 상기 침입방지결정모듈에 제어된다. 위와 같은 네트워크 침입방지 시스템은, 외부 네트워크로부터 내부 네트워크로 침입을 시도할 때, 접근 허가 여부를 결정하게 된다. The intrusion detection module 110 operates in conjunction with the intrusion detection program, analyzes the security threat, and transmits the threat information to the intrusion prevention determination module when the intrusion is detected. The intrusion prevention determination module 120 determines an intrusion prevention for a packet flow and has an access control function for the intrusion detection module and the intrusion prevention execution module. The intrusion prevention execution module 130 performs an intrusion prevention function for the internal network and is controlled by the intrusion prevention determination module by SDN technology. The above-mentioned network intrusion prevention system determines whether or not access is permitted when an intrusion is attempted from an external network to an internal network.
이 때, 내부 네트워크는 특히 Science DMZ를 이용하는 것을 특징으로 할 수 있다. Science DMZ는 독자적인 전송 장비, 네트워크 구성 및 보안 정책을 갖는 일종의 부분망으로써 기업 등의 사설망(intranet)과 인터넷 망의 중간 지역에 구축되어 데이터 전송 성능을 가속시키는 역할을 한다. 대용량 과학기술데이터의 전송 속도를 향상시키기 위해 상태기반 방화벽의 사용이 지양되며 광역 데이터전송시 전송 성능 가속을 위해 전용 데이터전송노드(DTN, Data Transfer Node)를 이용한다. WAN과 LAN의 접점에 DTN을 설치하고 전송 구간을 분리해 데이터를 수신 받는다면 LAN 구간에서 발생하는 패킷 손실이 WAN 구간에 영향을 주지 않으므로 TCP 성능의 간접적 향상을 기대할 수 있다.
In this case, the internal network may be characterized by using Science DMZ in particular. Science DMZ is a kind of subnetwork with proprietary transmission equipment, network configuration and security policy, and is installed in the middle of the network such as the intranet of enterprise and accelerates the data transmission performance. In order to improve the transmission rate of large-capacity scientific data, the state-based firewall is not used and a dedicated data transmission node (DTN) is used to accelerate the transmission performance in the wide area data transmission. If the DTN is installed at the WAN and LAN interfaces and the data is received by separating the transmission interval, the packet loss occurring in the LAN interval does not affect the WAN interval, so that indirect improvement of the TCP performance can be expected.
한편, SDN에서 각 모듈을 물리적으로 분리함으로써, HOF(Head-Of-Flow delay) 문제와 플로우 테이블 조회 병목(lookup bottleneck)이 발생하게 된다. HOF 문제는 SDN 스위치가 플로우에 속한 최초 패킷에 대해 플로우 테이블 조회를 수행하면서 소요되는 SDN 메시지의 왕복시간 및 처리시간 등으로 인해 발생하며, 플로우 테이블 조회 병목은 네트워크 스위치에서 발생하는 요청 병목과 컨트롤러의 SDN 메시지 처리 병목으로 구분할 수 있다. 위의 HOF와 조회 병목 문제는 TCP의 RTO(Retransmission TimeOut)에 부정적인 영향을 주기 때문에 TCP 성능 저하를 초래할 수 있다. On the other hand, by physically separating each module from the SDN, a head-of-flow delay (HOF) problem and a lookup bottleneck in a flow table occur. The HOF problem is caused by the round-trip time and the processing time of the SDN message, which is performed while the SDN switch performs the flow table inquiry for the first packet belonging to the flow. The flow table inquiry bottleneck is caused by the request bottleneck occurring in the network switch, SDN message processing bottleneck. The above HOF and lookup bottleneck problems negatively affect TCP's RTO (retransmission timeout), which may lead to TCP performance degradation.
따라서, 본 발명의 네트워크 침입방지 시스템은, 인가된 패킷의 시그니처(signature)를 침입방지실행모듈에 미리 저장한 후 해당 패킷의 처리를 침입방지실행모듈에게 위임함으로써 HOF 문제와 조회 병목을 완화시킨다. 또한 시그니처 기반의 패킷 처리 국지화를 위해 블룸 필터를 적용하며, 블룸 필터에 대한 자세한 설명은 도 5를 참조하기로 한다.
Accordingly, the network intrusion prevention system of the present invention alleviates the HOF problem and the inquiry bottleneck by dynamically storing the signature of the authorized packet in the intrusion prevention execution module and then delegating the processing of the packet to the intrusion prevention execution module. In addition, a Bloom filter is applied to localize the signature-based packet processing, and a detailed description of the Bloom filter will be given with reference to FIG.
도 3, 4는 본 발명의 일 실시예에 따른 네트워크 침입방지 시스템이 동작하는 방법을 나타내는 순서도이다.3 and 4 are flowcharts illustrating a method of operating a network intrusion prevention system according to an embodiment of the present invention.
도 3을 참조하면, 네트워크 침입방지 시스템은, 침입탐지모듈, 침입방지결정모듈, 침입방지실행모듈을 포함한다. 먼저 침입탐지모듈이 침입을 탐지하고, 침입방지결정모듈로 위협정보를 전달한다. 이어, 침입방지실행모듈이 입력된 패킷에 대하여 플로우 테이블 조회를 요청하고, 침입방지결정모듈이 설정된 보안 정책에 따라 접근 허락 또는 거부를 결정한다. 침입방지결정모듈은 결정된 결과를 플로우 엔트리에 반영하여 침입방지실행모듈에 동작지침을 설치하고, 동작지침에 따라 플로우를 처리하게 된다.Referring to FIG. 3, the network intrusion prevention system includes an intrusion detection module, an intrusion prevention determination module, and an intrusion prevention execution module. First, the intrusion detection module detects the intrusion and transmits the threat information to the intrusion prevention determination module. Then, the intrusion prevention execution module requests a flow table inquiry for the inputted packet, and the intrusion prevention determination module determines access permission or denial according to the security policy set. The intrusion prevention determination module reflects the determined result in the flow entry, installs the operation instructions in the intrusion prevention execution module, and processes the flow according to the operation instructions.
이 때, 네트워크 침입방지 시스템을 구성하는 각 모듈들은 물리적으로 분리된 상태에서 SDN 기술을 이용해 상호 연동시키는 비용효율적 침입 방지 프레임워크이다. 침입방지실행모듈은, 방지 결정 기능 등을 침입방지결정모듈에게 이관함으로써 그 기능을 간소화할 수 있으며, 기능 간소화는 장비 가격을 낮추고 성능 병목 문제를 해결하는데 효과적이고, 침입방지결정모듈에 의한 방지 결정을 통해 탐지된 보안 위협에 대한 신속하고 동적인 대처가 가능하다. 또한, 탐지된 공격자 정보를 집중화하고 유관 컨트롤러, IPS, 방화벽 등과 공유함으로써 DDoS등 분산서비스 공격 등에 효과적으로 대응할 수 있다.In this case, each module constituting the network intrusion prevention system is a cost-effective intrusion prevention framework that interoperates with SDN technology in a physically separated state. The intrusion prevention execution module can simplify the function by transferring the prevention decision function to the intrusion prevention decision module. Simplification of function is effective in lowering the equipment cost and solving the performance bottleneck problem, To quickly and dynamically respond to detected security threats. In addition, it can effectively respond to distributed service attacks such as DDoS by concentrating the detected attacker information and sharing it with related controllers, IPS, and firewalls.
한편, 네트워크 침입방지 시스템은 탐지 기능을 분리시킴으로써 DPI(Deep Packet Inspection) 등 복잡한 기능 수행으로 야기되는 모듈의 성능 저하 문제를 해결한다. 또한, Snort, OSSEC, Modsecurity 등 침입탐지프로그램 및 방화벽들과의 연계가 용이해지기 때문에 초기 구축비용을 절감하고 시스템 확장성을 높일 수 있으며, 호스트 IDS(HIDS), 네트워크 IDS(NIDS), 또는 혼합 IDS(Hybrid IDS) 등 다양한 형태의 IDS(Intrusion Detection System)를 조합해 침입 탐지에 활용 가능하므로 각 IDS가 갖는 단점을 상쇄할 수 있다.
On the other hand, the network intrusion prevention system solves the degradation of module performance caused by performing complex functions such as DPI (Deep Packet Inspection) by separating the detection function. In addition, Snort, OSSEC, Modsecurity, and other intrusion detection programs and firewalls can be easily connected to reduce initial deployment costs, improve system scalability, and can be used for host IDS (HIDS), network IDS (NIDS) IDS (Hybrid IDS) and various types of IDS (Intrusion Detection System) can be combined and used for intrusion detection, so that the weak points of each IDS can be offset.
도 5는 본 발명의 일 실시예에 따른 네트워크 침입방지 시스템의 침입방지실행모듈이 패킷 플로우의 국지적 처리를 위해 블룸 필터와 규칙 복사를 이용하는 과정을 나타내는 예시도이다.5 is an exemplary diagram illustrating a process of using a bloom filter and rule copy for local processing of a packet flow according to an exemplary embodiment of the present invention.
도 5를 참조하면, 침입방지실행모듈은 패킷이 수신되면 정합 테이블의 우선순위에 따라 플로우 엔트리를 검색하고, 할당된 동작지침에 따라 패킷을 처리한다. 이 때, 정합의 우선순위는 완전일치 정합(exact match), 시그니처(signiture) 정합, 와일드카드 정합(wildcard match)의 순으로, 패킷이 수신되면 침입방지실행모듈은 각 정합 테이블의 우선 순위에 따라 플로우 엔트리를 검색하고 할당된 동작지침에 따라 패킷을 처리한다. Referring to FIG. 5, when a packet is received, the intrusion prevention execution module searches the flow entry according to the priority of the matching table and processes the packet according to the assigned operation instructions. In this case, the priorities of the matching are, in the order of exact match, signiture match, and wildcard match, when the packet is received, the intrusion prevention execution module sets the priority of each match table It searches the flow entry and processes the packet according to the assigned operation instructions.
또한, 침입방지실행모듈은, 패킷의 시그니처(signature)를 미리 저장하고, 시그니처 기반의 패킷 처리 국지화를 위한 블룸 필터(Bloom filter)를 사용할 수 있다. In addition, the intrusion prevention executable module may store a signature of a packet in advance and use a Bloom filter for localizing the signature-based packet processing.
블룸 필터(133, 134)는 위양성(false positive)과 공간-효율성 간에 상반관계를 갖는 확률적 데이터 구조이다. 이 때, 시그니처 정합을 위한 플로우 엔트리는 위양성 문제를 해결하기 위해 활성 블룸 필터와 대기 블룸 필터를 포함하는 2개의 블룸 필터를 교대로 이용하여 구성한다. 이는 위양성 확률을 기대 위양성 확률 이하로 유지하기 위해 블룸 필터에 n개 이하의 플로우 시그니처만 남기는 방식에 해당한다. Bloom filters 133 and 134 are probabilistic data structures that have a conflict between false positives and space-efficiency. At this time, a flow entry for signature matching is constructed by alternately using two bloom filters including an active bloom filter and an atmospheric bloom filter in order to solve the problem of false positives. This is equivalent to leaving n or fewer flow signatures in the Bloom filter to keep the false positive probability below the expected false positive probability.
활성 블룸 필터에 t개 이상의 플로우가 기록되면, 해당 필터를 초기화한 후 대기 상태로 전환하며, 대기 블룸 필터를 활성 상태로 전환한다. When more than t flows are recorded in the active bloom filter, the filter is initialized and then the standby filter is activated, and the standby bloom filter is activated.
(m: 블룸 필터의 비트 수, n: 플로우 시그니처의 수, α: 기대 위양성 확률)(m: number of bits of Bloom filter, n: number of flow signatures, and?: expected false positive probability)
또한, 규칙 복사가 수행되지 않은 플로우의 시그니처 정보를 삭제하는 문제점을 해결하기 위하여, 침입방지실행모듈은 플로우 시그니처의 수인 n이 (수학식 2)의 조건에 맞는 경우, 활성 블룸 필터와 대기 블룸 필터 모두에 시그니처를 남김으로써 필터 초기화로 인한 문제를 해결할 수 있다.In order to solve the problem of deleting the signature information of a flow in which rule copying has not been performed, the intrusion prevention execution module sets an active bloom filter and an atmospheric bloom filter, when n, which is the number of flow signatures, satisfies the condition of (Equation 2) By leaving a signature on all of them, you can solve the problem caused by the filter initialization.
(β: 기대 위양성 계수)(β: expected false positive coefficient)
이 때, 확률 α=0.001, 계수 β=1인 것이 바람직하다.At this time, it is preferable that the probability? = 0.001 and the coefficient? = 1.
이어, 침입방지실행모듈은 외부 네트워크로부터 플로우(f)가 입력되면 침입방지결정모듈에 테이블 조회를 요청하여 SDN 메시지를 통해 플로우에 대한 완전일치 정합 엔트리를 송신받고, 피드백 플로우(f')를 시그니처 정합 테이블에 등록할 것인지 결정한다. 이 때 SDN 메시지에 피기백(piggyback)하여 함께 전달한다.Then, when the flow f is inputted from the external network, the intrusion prevention execution module requests the intrusion prevention determination module to inquire the table, and transmits the completely matching entry for the flow through the SDN message, and transmits the feedback flow f ' It is determined whether to register in the matching table. At this time, the SDN message is piggybacked and delivered together.
피드백 플로우(f')가 입력되면 시그니처 정합을 이루며, 시그니처 정합 엔트리에서 완전일치 정합 엔트리로 규칙 복사(rule clone)를 수행하게 되며, 규칙 복사를 통하여 제한된 하드웨어 자원을 비용 효과적으로 사용할 수 있게 된다. 예를 들어, 하나의 통신 세션이 데이터 플로우와 피드백 플로우로 구성된다고 가정하면, 블룸 필터와 규칙 복사를 적용하여 N개의 통신 세션에 대해 테이블 조회 횟수가 2N에서 N으로 50% 줄고 SDN 메시지의 발생도 4N에서 2N으로 감소하기 때문에 조회 병목 문제와 메시지 부하를 줄일 수 있다. 한 번의 테이블 조회는 SDN 메시지를 2번씩(요청과 응답) 발생시킨다.
When the feedback flow (f ') is inputted, signature matching is performed. In the signature matching entry, a rule clone is performed from the matching entry to the matching entry. Thus, limited hardware resources can be used cost-effectively through rule copying. For example, assuming a single communication session consists of a data flow and a feedback flow, applying a Bloom filter and rule copy reduces the number of table lookups from N to N by 50% for N communication sessions, Since it decreases from 4N to 2N, it can reduce the bottleneck problem and message load. One table lookup generates an SDN message twice (request and response).
한편, 블룸 필터의 사용은 네트워킹 상태에 대한 일관성(consistency) 문제를 발생할 수 있다. On the other hand, the use of Bloom filters can cause consistency problems with networking conditions.
먼저, 블룸 필터가 시그니처 삭제를 지원하지 않기 때문에 플로우의 상태 변화가 요구될 때, 필터에서 시그니처를 삭제할 수 없는 문제가 발생할 수 있으며, 이는 침입방지실행모듈은 블룸 필터의 시그니처를 삭제하는 경우, 다른 정합 테이블에 기록된 역 플로우(f-1)의 처리규칙을 변경하여 삭제하여 문제를 해결할 수 있다.First, the Bloom filter does not support signature deletion, so when the state of the flow is required to change, there may be a problem that the filter can not delete the signature. This is because if the signature of the Bloom filter is deleted, The processing rule of the reverse flow (f-1) recorded in the matching table is changed and deleted to solve the problem.
두번째로, 네트워크 침입방지 시스템은, 위양성 문제를 완화하기 위해 블룸 필터를 초기화시키며, 블룸 필터는 국지적으로 초기화되기 때문에 침입방지결정모듈이 유지하는 플로우 테이블에 일관성 문제가 발생할 수 있다. 이는 블룸 필터에 의해 시그니처 정합된 플로우는 규칙 복사되어 최종적으로 완전일치 테이블에 저장하고, 네트워크 침입방지 시스템은 완전일치 테이블에 저장된 플로우 엔트리 중 접근 허가된 플로우에 대해서 타임아웃(timeout)시키는 방법으로 일관성 문제를 해결할 수 있다.
Second, the network intrusion prevention system initializes the bloom filter to mitigate the false positives problem, and the bloom filter is locally initialized, so that the consistency problem may occur in the flow table maintained by the intrusion prevention determination module. This is because the flow of signature matching by the Bloom filter is regularly copied and finally stored in the complete match table, and the network intrusion prevention system is consistent with the method of timeout for the flow permitted to access among the flow entries stored in the complete match table I can solve the problem.
도 6은 본 발명의 일 실시예에 따른 네트워크 침입방지 시스템의 희생자 서버의 수에 따른 공격 교차율을 나타내는 도표이다.FIG. 6 is a diagram illustrating attack crossing rates according to the number of victim servers in a network intrusion prevention system according to an exemplary embodiment of the present invention.
본 발명의 성능 평가 수행에 있어서, 동일한 서브넷에 구축된 총 7대의 희생자(victim) 서버가 OSSEC 서버에게 로그 정보를 전달하면 침입탐지모듈은 무작위 대입 공격(brute force attack)을 시도한 공격자 IP 주소를 추출해 침입방지결정모듈에게 전달한다. 도 6의 공격자 정보는 약 50일 간 수집되었으며, 수집 기간 동안 관측된 서버 별 총 공격자(IP 주소) 수는 평균 158개이다. 단, 공격자 수는 공격의 횟수 또는 공격 성공의 횟수를 의미하지 않는다. In the performance evaluation of the present invention, when a total of seven victim servers constructed on the same subnet transmit log information to the OSSEC server, the intrusion detection module extracts the attacker IP address that attempted a brute force attack Intrusion Prevention Decision Module. The attacker information in FIG. 6 was collected for about 50 days, and the total number of attackers (IP addresses) per server observed during the collection period was 158 on average. However, the number of attackers does not mean the number of attacks or the number of successful attacks.
공격 교차율은 임의의 희생자 서버 에 대한 공격 가 다른 희생자 서버 중 한 곳 이상을 공격하는 비율로 정의한다. 도 6에서, 희생자 서버의 수가 증가함에 따라 공격 교차율도 높아짐을 확인할 수 있다. 따라서 공격 정보를 공유하고 경계선에서 방어함으로써 교차율이 높은 보안 위협에 대해 효과적으로 대응할 수 있다. 바꿔 말하면, 네트워크 침입방지 시스템은 교차율이 높은 공격들로부터 내부 네트워크가 포함하는 서버들을 효과적으로 방어할 수 있다.
The Attack Crossover rate defines the rate at which an attack on any victim server attacks one or more of the other victim servers. In FIG. 6, it can be seen that as the number of victim servers increases, the attack crossing rate also increases. Therefore, it is possible to effectively respond to security threats with a high cross rate by sharing attack information and protecting them at the perimeter. In other words, the network intrusion prevention system can effectively defend the servers included in the internal network from attacks with high cross rates.
도 7은 본 발명의 일 실시예에 따른 네트워크 침입방지 시스템의 블룸 필터 적중률을 나타내는 도표이다.FIG. 7 is a chart showing a Bloom filter hit ratio of a network intrusion prevention system according to an embodiment of the present invention.
본 발명의 성능 수행 평가에 있어서, 패킷을 국지적으로 처리하기 위해 적용된 블룸 필터의 높은 적중률은 상대적으로 낮은 조회 병목과 네트워크 대역폭 소비를 의미한다. 적중률을 측정하기 위해 희생자 서버에서 발생된 웹 플로우(HTTP flow)들을 침입방지결정모듈에서 분석하며, 침입방지결정모듈은 외부 접근이 허가된 플로우의 역 플로우 정보를 침입방지실행모듈의 블룸 필터에 등록한다. 블룸 필터에 의해 국지적으로 처리되지 못한 플로우의 동작지침을 얻기 위해 플로우 테이블 조회가 요구된다.In the performance evaluation of the present invention, a high hit ratio of the Bloom filter applied to treat packets locally means a relatively low hit bottleneck and network bandwidth consumption. In order to measure the hit ratio, the web flow (HTTP flow) generated in the victim server is analyzed in the intrusion prevention determination module, and the intrusion prevention determination module registers the reverse flow information of the flow permitted to the external access in the bloom filter of the intrusion prevention execution module do. A flow table inquiry is required to obtain the operation instructions of a flow that has not been locally processed by the Bloom filter.
도 7을 참조하면, 4회에 걸친 측정 결과 94% 이상의 블룸 필터 적중률을 보였다. 바꿔 말하면 네트워크 침입방지 시스템의 응용 시나리오에서 시그니처 정합 엔트리를 이용하면 메시지 발생회수가 완전일치 정합 엔트리를 이용했을 때보다 최소 46.9% 이상 감소한다. 소개된 네트워크 침입방지 시스템의 응용 시나리오에서 메시지 발생회수와 대역폭 소비에 대한 최대 성능이득은 50%이다. 플로우 테이블 조회 요청 메시지와 응답 메시지의 크기가 동일하다고 가정하면 네트워크 대역폭 소비도 동일한 비율로 감소한다. Referring to FIG. 7, a Bloom filter hit ratio of 94% or more was obtained from four measurements. In other words, in an application scenario of a network intrusion prevention system, using a signature match entry reduces the message generation count by at least 46.9% over using a full match entry. In the application scenario of the introduced network intrusion prevention system, the maximum performance gain for the message generation frequency and bandwidth consumption is 50%. Assuming that the sizes of the flow table lookup request message and the response message are the same, the network bandwidth consumption also decreases at the same rate.
블룸 필터에 비 적중(missed flows)된 플로우가 발생하는 이유는 역 플로우 정보가 블룸 필터에 등록되기 이전에 해당 역 플로우가 침입방지실행모듈에 도착했기 때문이며, 희생자 서버와 접속 요청한 웹서버의 왕복지연시간이 플로우 테이블 조회시간 보다 짧을 경우 비 적중 풀로우가 발생한다.
The reason for the flow of missed flows in the Bloom filter is that the reverse flow arrives at the intrusion prevention execution module before the reverse flow information is registered in the Bloom filter and the round trip delay of the victim server and the requested web server If the time is shorter than the flow table lookup time, a non-hit pull-down occurs.
도 8은 본 발명의 일 실시예에 따른 네트워크 침입방지 방법을 나타내는 순서도이다.8 is a flowchart illustrating a network intrusion prevention method according to an embodiment of the present invention.
도 8을 참조하면, 본 발명의 일 실시예에 따른 네트워크 침입방지 방법은, (a) 침입탐지모듈이 침입을 탐지하고, 침입방지결정모듈로 위협정보를 전달하는 단계; (b) 침입방지실행모듈이 입력된 패킷에 대하여 플로우 테이블 조회를 요청하는 단계; (c) 침입방지결정모듈이 설정된 보안 정책에 따라 접근 허락 또는 거부를 결정하는 단계; (d) 상기 침입방지결정모듈이 결정된 결과를 플로우 엔트리에 반영하여 상기 침입방지실행모듈에 동작지침을 설치하는 단계; (e) 상기 침입방지실행모듈이 동작지침에 따라 플로우를 처리하는 단계; 를 포함한다. Referring to FIG. 8, a network intrusion prevention method according to an embodiment of the present invention includes: (a) detecting an intrusion by an intrusion detection module and transmitting threat information to an intrusion prevention determination module; (b) requesting the intrusion prevention execution module to inquire a flow table for the inputted packet; (c) determining whether to allow or deny access according to a security policy set by the intrusion prevention determining module; (d) installing operation instructions in the intrusion prevention execution module by reflecting the determined result in the flow entry; (e) the intrusion prevention execution module processes the flow according to the operation instructions; .
이 때, 상기 침입탐지모듈, 상기 침입방지결정모듈, 상기 침입방지실행모듈은 물리적으로 분리되어 있으며, SDN(Software defined networking)에 의해 상호 연동되는 것을 특징으로 한다.
In this case, the intrusion detection module, the intrusion prevention determination module, and the intrusion prevention execution module are physically separated and interoperate by SDN (Software Defined Networking).
위에서 설명된 본 발명의 실시 예들은 예시의 목적을 위해 개시된 것이며, 이들에 의하여 본 발명이 한정되는 것은 아니다. 또한, 본 발명에 대한 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 사상과 범위 안에서 다양한 수정 및 변경을 가할 수 있을 것이며, 이러한 수정 및 변경은 본 발명의 범위에 속하는 것으로 보아야 할 것이다.
The embodiments of the present invention described above are disclosed for the purpose of illustration, and the present invention is not limited thereto. It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit and scope of the invention.
100: 네트워크 침입방지 시스템
110: 침입탐지모듈
111: 위협분석부
112: 위협보고부
120: 침입방지결정모듈
121: 침입방지 결정부
122: 시스템 연동부
123: 접근 제어부
124: 데이터베이스
130: 침입방지 실행모듈
131: 완전정합 테이블
132: 시그니처 정합 테이블
133: 활성 블룸필터
134: 대기 블룸필터100: Network intrusion prevention system
110: intrusion detection module
111: Threat Analyzer
112: Threat Report Unit
120: Intrusion prevention determination module
121: Intrusion prevention determination unit
122: system interlocking part
123: Access control unit
124: Database
130: Intrusion Prevention Execution Module
131: Fully matched table
132: signature matching table
133: Active Bloom Filter
134: Atmospheric bloom filter
Claims (19)
상기 침입탐지모듈과 침입방지실행모듈에 대한 접근제어를 수행하며, 패킷 플로우에 대한 침입방지를 결정하는 침입방지결정모듈;
상기 침입방지결정모듈과 SDN(Software defined networking)에 의해 상호 연동되어, 상기 침입방지결정모듈이 결정한 접근 허락 여부에 따라 내부 네트워크에 대한 외부의 침입 방지를 수행하는 침입방지실행모듈;
을 포함하고,
상기 침입방지실행모듈은,
패킷의 시그니처(signature)를 미리 저장하고, 시그니처 기반의 패킷 처리 국지화를 위한 블룸 필터(Bloom filter)를 사용하며,
플로우(f)가 입력되면 침입방지결정모듈에 테이블 조회를 요청하여 SDN 메시지를 통해 상기 플로우에 대한 완전일치 정합 엔트리를 송신받고, 피드백 플로우(f')를 시그니처 정합 테이블에 등록할 것인지 결정하여 피드백 플로우(f')가 입력되면 시그니처 정합을 이루며, 시그니처 정합 엔트리에서 완전일치 정합 엔트리로 규칙 복사(rule clone)를 수행하는 것을 특징으로 하는 네트워크 침입방지 시스템.
An intrusion detection module that operates in conjunction with an intrusion detection program and analyzes security threats and delivers threat information to an intrusion prevention determination module when an intrusion is detected;
An intrusion prevention determination module that performs access control to the intrusion detection module and the intrusion prevention execution module and determines intrusion prevention for the packet flow;
An intrusion prevention execution module interworking with the intrusion prevention determination module through software defined networking (SDN), and performing an intrusion prevention operation on the internal network according to the access permission determined by the intrusion prevention determination module;
/ RTI >
The intrusion prevention execution module includes:
A signature of a packet is stored in advance, a Bloom filter for localizing a signature-based packet processing is used,
When the flow (f) is inputted, the table inquiry is requested to the intrusion prevention determination module, and a complete match entry for the flow is transmitted through the SDN message, and it is determined whether to register the feedback flow (f ') in the signature matching table, And a rule clone is performed from the signature match entry to the perfectly matched match entry when the flow f 'is input.
상기 침입탐지모듈, 상기 침입방지결정모듈, 상기 침입방지실행모듈은 물리적으로 분리되어 있으며, SDN에 의해 상호 연동되는 것을 특징으로 하는 네트워크 침입방지 시스템.
The method according to claim 1,
Wherein the intrusion detection module, the intrusion prevention determination module, and the intrusion prevention execution module are physically separated from each other and are interlocked by SDN.
상기 침입탐지모듈은,
침입탐지프로그램과 연계하여, 내부 네트워크의 보안 위협을 실시간으로 분석하는 위협분석부;
상기 분석 결과를 침입방지결정모듈에 보고하는 위협보고부;
를 포함하는 것을 특징으로 하는 네트워크 침입방지 시스템.
The method according to claim 1,
The intrusion detection module includes:
A threat analysis unit for analyzing security threats of the internal network in real time in connection with an intrusion detection program;
A threat reporting unit reporting the analysis result to the intrusion prevention determination module;
The network intrusion prevention system comprising:
상기 위협분석부는,
상기 내부 네트워크 및 시스템의 보안위협을 취합하고 침입 방지 시스템의 보안 정책에 따라 보안 위협을 분류하며, 보안 위협을 단계별로 재분류하고,
상기 위협보고부는,
E2N(End to Network) 메시지를 구성한 후 상기 침입방지결정모듈에 보고하는 것을 특징으로 하는 네트워크 침입방지 시스템.
The method of claim 3,
The threat analysis unit,
Collects security threats of the internal network and system, classifies security threats according to the security policy of the intrusion prevention system, recategorizes security threats in stages,
The threat reporting unit,
And configures an E2N (End to Network) message and reports the result to the intrusion prevention determination module.
상기 침입방지결정모듈은,
상기 침입탐지모듈이 위협정보를 제공하고 상기 침입방지실행모듈이 패킷 플로우 테이블 조회를 요청하면, 설정된 보안 정책에 따라 접근 허락 또는 거부를 결정하고, 결과를 플로우 엔트리에 반영하여 상기 침입방지실행모듈에 설치하고 동작지침에 따라 플로우를 처리하도록 하는 것을 특징으로 하는 네트워크 침입방지 시스템.
The method according to claim 1,
The intrusion prevention determination module includes:
When the intrusion prevention module provides the threat information and the intrusion prevention execution module requests the packet flow table inquiry, it determines access permission or denial according to the set security policy, reflects the result in the flow entry, Wherein the network intrusion prevention system is configured to process the flow according to operation instructions.
상기 침입방지결정모듈은,
보안 규정에 따라 내부네트워크에 대한 접근 허가 또는 접근 거부를 결정하는 침입방지 결정부;
침입탐지모듈과 침입방지실행모듈을 직접 연결하는 경우 네트워크 간 환경을 설정하는 시스템 연동부;
비인가 침입방지실행모듈과 비인가 침입탐지모듈이 침입방지결정모듈에 접근하는 것을 차단하기 위해 IP주소 기반의 접근 제어를 수행하는 접근 제어부;
상기 침입탐지모듈에 의해 확인된 위협 정보가 저장되는 보안위협 데이터베이스;
를 포함하는 것을 특징으로 하는 네트워크 침입방지 시스템.
The method according to claim 1,
The intrusion prevention determination module includes:
An intrusion prevention determination unit for determining access permission or denial of access to the internal network in accordance with security rules;
A system interworking part for setting an inter-network environment when an intrusion detection module and an intrusion prevention execution module are directly connected;
An access control unit for performing access control based on an IP address to block an unauthorized intrusion prevention execution module and an unauthorized intrusion detection module from accessing the intrusion prevention determination module;
A security threat database storing threat information confirmed by the intrusion detection module;
The network intrusion prevention system comprising:
상기 시스템 연동부는,
시스템 명령을 이용하여 패킷 필터링과, IP 패킷의 네트워크 주소와 포트 주소를 변경하며, IP패킷의 캡슐화 및 역캡슐화 하는 것을 특징으로 하는 네트워크 침입방지 시스템.
The method according to claim 6,
Wherein the system interlocking unit comprises:
Wherein the network intrusion prevention system changes the network address and the port address of the IP packet and encapsulates and encapsulates the IP packet using the system command.
상기 시스템 명령은,
FORWARD, DROP, SET_FIELD, SET_TUNNEL 명령 중 하나 이상을 포함하는 것을 특징으로 하는 네트워크 침입방지 시스템.
8. The method of claim 7,
The system command includes:
FORWARD, DROP, SET_FIELD, and SET_TUNNEL commands.
상기 시스템 연동부는,
침입탐지프로그램 또는 방화벽의 운용환경을 모사하여, 네트워크 주소변경 방식을 통해 자동적으로 네트워크간 환경을 설정하는 것을 특징으로 하는 네트워크 침입방지 시스템.
The method according to claim 6,
Wherein the system interlocking unit comprises:
The network intrusion prevention system automatically sets an inter-network environment through a network address change method by simulating an operation environment of an intrusion detection program or a firewall.
상기 시스템 연동부는,
공격자의 IP 주소를 포함하는 보안 위협 정보를 수집, 개방 또는 공유하여 다수의 서버에 대한 공격을 협력적으로 방지하는 것을 특징으로 하는 네트워크 침입방지 시스템.
The method according to claim 6,
Wherein the system interlocking unit comprises:
And collectively opening or sharing security threat information including an IP address of an attacker to cooperatively prevent an attack on a plurality of servers.
상기 침입방지실행모듈은,
패킷이 수신되면 정합 테이블의 우선순위에 따라 플로우 엔트리를 검색하고, 할당된 동작지침에 따라 패킷을 처리하는 것을 특징으로 하는 네트워크 침입방지 시스템.
The method according to claim 1,
The intrusion prevention execution module includes:
And when the packet is received, searches the flow entry according to the priority of the matching table, and processes the packet according to the assigned operation instruction.
상기 정합 테이블은,
완전일치 정합(exact match), 시그니처 정합(signature match), 와일드카드 정합(wildcard match)의 순으로 우선순위인 것을 특징으로 하는 네트워크 침입방지 시스템.
12. The method of claim 11,
The matching table includes:
Wherein the network intrusion prevention system is a priority order of an exact match, a signature match, and a wildcard match.
상기 침입방지실행모듈은,
활성 블룸 필터와 대기 블룸 필터를 포함하여 플로우 엔트리를 구성하고, (수학식 1)에 따라 상기 활성 블룸 필터에 t개 이상의 플로우가 기록되면 해당 필터를 초기화한 후 대기 상태로 전환하며, 대기 블룸 필터를 활성 상태로 전환하는 것을 특징으로 하는 네트워크 침입방지 시스템.
(수학식 1)
(m: 블룸 필터의 비트 수, n: 플로우 시그니처의 수, α: 기대 위양성 확률)
The method according to claim 1,
The intrusion prevention execution module includes:
The flow entry includes an active bloom filter and an atmospheric bloom filter. If at least t flows are recorded in the active bloom filter according to Equation (1), the filter is initialized and then switched to a standby state. Is switched to an active state.
(1)
(m: number of bits of Bloom filter, n: number of flow signatures, and?: expected false positive probability)
상기 침입방지실행모듈은,
n이 (수학식 2)의 조건에 맞는 경우, 활성 블룸 필터와 대기 블룸 필터 모두에 시그니처를 남기는 것을 특징으로 하는 네트워크 침입방지 시스템.
(수학식 2)
(β: 기대 위양성 계수)
The method according to claim 1,
The intrusion prevention execution module includes:
n leaves the signature in both the active bloom filter and the atmospheric bloom filter when the condition of (Equation (2)) is met.
(2)
(β: expected false positive coefficient)
상기 침입방지실행모듈은,
상기 블룸 필터의 시그니처를 삭제하는 경우, 다른 정합 테이블에 기록된 역 플로우(f-1)의 처리규칙을 변경하여 삭제하는 것을 특징으로 하는 네트워크 침입방지 시스템.
The method according to claim 1,
The intrusion prevention execution module includes:
And deletes the signature of the Bloom filter by changing the processing rule of the reverse flow (f- 1 ) recorded in another matching table.
(b) 침입방지실행모듈이 입력된 패킷에 대하여 플로우 테이블 조회를 요청하는 단계;
(c) 침입방지결정모듈이 설정된 보안 정책에 따라 접근 허락 또는 거부를 결정하는 단계;
(d) 상기 침입방지결정모듈이 결정된 결과를 플로우 엔트리에 반영하여 상기 침입방지실행모듈에 동작지침을 설치하는 단계;
(e) 상기 침입방지실행모듈이 동작지침에 따라 플로우를 처리하는 단계;
를 포함하고,
상기 침입방지실행모듈은,
패킷의 시그니처(signature)를 미리 저장하고, 시그니처 기반의 패킷 처리 국지화를 위한 블룸 필터(Bloom filter)를 사용하며,
플로우(f)가 입력되면 침입방지결정모듈에 테이블 조회를 요청하여 SDN 메시지를 통해 상기 플로우에 대한 완전일치 정합 엔트리를 송신받고, 피드백 플로우(f')를 시그니처 정합 테이블에 등록할 것인지 결정하여 피드백 플로우(f')가 입력되면 시그니처 정합을 이루며, 시그니처 정합 엔트리에서 완전일치 정합 엔트리로 규칙 복사(rule clone)를 수행하는 것을 특징으로 하는 네트워크 침입방지 방법.
(a) detecting an intrusion by an intrusion detection module and transmitting threat information to an intrusion prevention determination module;
(b) requesting the intrusion prevention execution module to inquire a flow table for the inputted packet;
(c) determining whether to allow or deny access according to a security policy set by the intrusion prevention determining module;
(d) installing operation instructions in the intrusion prevention execution module by reflecting the determined result in the flow entry;
(e) the intrusion prevention execution module processes the flow according to the operation instructions;
Lt; / RTI >
The intrusion prevention execution module includes:
A signature of a packet is stored in advance, a Bloom filter for localizing a signature-based packet processing is used,
When the flow (f) is inputted, the table inquiry is requested to the intrusion prevention determination module, and a complete match entry for the flow is transmitted through the SDN message, and it is determined whether to register the feedback flow (f ') in the signature matching table, Wherein a signature is matched when a flow f 'is input, and a rule clone is performed from a signature match entry to a perfectly matched match entry.
상기 침입탐지모듈, 상기 침입방지결정모듈, 상기 침입방지실행모듈은 물리적으로 분리되어 있으며, SDN(Software defined networking)에 의해 상호 연동되는 것을 특징으로 하는 네트워크 침입처리 방법.
19. The method of claim 18,
Wherein the intrusion detection module, the intrusion prevention determination module, and the intrusion prevention execution module are physically separated and interworked by SDN (Software Defined Networking).
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140178226A KR101553264B1 (en) | 2014-12-11 | 2014-12-11 | System and method for preventing network intrusion |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140178226A KR101553264B1 (en) | 2014-12-11 | 2014-12-11 | System and method for preventing network intrusion |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101553264B1 true KR101553264B1 (en) | 2015-09-15 |
Family
ID=54248328
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020140178226A KR101553264B1 (en) | 2014-12-11 | 2014-12-11 | System and method for preventing network intrusion |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101553264B1 (en) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101836214B1 (en) | 2016-05-25 | 2018-03-08 | 동서대학교 산학협력단 | Adaptive Security Management for Software-Defined Network |
| KR20180041953A (en) * | 2016-10-17 | 2018-04-25 | 숭실대학교산학협력단 | SDN capable of detection DDoS attacks using artificial intelligence and controller including the same |
| KR102091076B1 (en) | 2019-04-16 | 2020-03-20 | 주식회사 이글루시큐리티 | Intelligent security control system and method using mixed map alert analysis and non-supervised learning based abnormal behavior detection method |
| WO2021020935A1 (en) * | 2019-07-31 | 2021-02-04 | 현대자동차주식회사 | Sdn-based intrusion response method for in-vehicle network and system using same |
| WO2021020934A1 (en) * | 2019-07-31 | 2021-02-04 | 현대자동차주식회사 | Sdn-based intrusion response method for in-vehicle network, and system using same |
| KR20210101937A (en) | 2020-02-11 | 2021-08-19 | (주)유엠로직스 | Method and system for preventing malicious code in uas |
| KR102354467B1 (en) * | 2021-06-25 | 2022-01-24 | 영남대학교 산학협력단 | Network intrusion detection system using deferred decision for packet |
| KR102468193B1 (en) * | 2022-01-21 | 2022-11-17 | 퀀텀테크엔시큐 주식회사 | Method and apparatus for monitoring ip-cam |
-
2014
- 2014-12-11 KR KR1020140178226A patent/KR101553264B1/en active IP Right Grant
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101836214B1 (en) | 2016-05-25 | 2018-03-08 | 동서대학교 산학협력단 | Adaptive Security Management for Software-Defined Network |
| KR20180041953A (en) * | 2016-10-17 | 2018-04-25 | 숭실대학교산학협력단 | SDN capable of detection DDoS attacks using artificial intelligence and controller including the same |
| KR102091076B1 (en) | 2019-04-16 | 2020-03-20 | 주식회사 이글루시큐리티 | Intelligent security control system and method using mixed map alert analysis and non-supervised learning based abnormal behavior detection method |
| WO2021020935A1 (en) * | 2019-07-31 | 2021-02-04 | 현대자동차주식회사 | Sdn-based intrusion response method for in-vehicle network and system using same |
| WO2021020934A1 (en) * | 2019-07-31 | 2021-02-04 | 현대자동차주식회사 | Sdn-based intrusion response method for in-vehicle network, and system using same |
| CN114467281A (en) * | 2019-07-31 | 2022-05-10 | 现代自动车株式会社 | SDN-based vehicle network intrusion response method and system using the same |
| CN114467281B (en) * | 2019-07-31 | 2024-06-21 | 现代自动车株式会社 | SDN-based vehicle-mounted network intrusion handling method and system using same |
| US12127004B2 (en) | 2019-07-31 | 2024-10-22 | Hyundai Motor Company | SDN-based intrusion response method for in-vehicle network and system using same |
| KR20210101937A (en) | 2020-02-11 | 2021-08-19 | (주)유엠로직스 | Method and system for preventing malicious code in uas |
| KR102354467B1 (en) * | 2021-06-25 | 2022-01-24 | 영남대학교 산학협력단 | Network intrusion detection system using deferred decision for packet |
| WO2022270678A1 (en) * | 2021-06-25 | 2022-12-29 | 영남대학교 산학협력단 | Network intrusion detection system using determination delay for packets |
| KR102468193B1 (en) * | 2022-01-21 | 2022-11-17 | 퀀텀테크엔시큐 주식회사 | Method and apparatus for monitoring ip-cam |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101553264B1 (en) | System and method for preventing network intrusion | |
| Giotis et al. | Combining OpenFlow and sFlow for an effective and scalable anomaly detection and mitigation mechanism on SDN environments | |
| US10097578B2 (en) | Anti-cyber hacking defense system | |
| US9584531B2 (en) | Out-of band IP traceback using IP packets | |
| US10116696B2 (en) | Network privilege manager for a dynamically programmable computer network | |
| AU2015255980B2 (en) | System and methods for reducing impact of malicious activity on operations of a wide area network | |
| US9407602B2 (en) | Methods and apparatus for redirecting attacks on a network | |
| US8060927B2 (en) | Security state aware firewall | |
| Mihai-Gabriel et al. | Achieving DDoS resiliency in a software defined network by intelligent risk assessment based on neural networks and danger theory | |
| US20110231935A1 (en) | System and method for passively identifying encrypted and interactive network sessions | |
| US20060095968A1 (en) | Intrusion detection in a data center environment | |
| JP2005517349A (en) | Network security system and method based on multi-method gateway | |
| CN103561004A (en) | Cooperative type active defense system based on honey nets | |
| KR20120046891A (en) | Apparatus for sharing security information among network domains and method for the same | |
| WO2012164336A1 (en) | Distribution and processing of cyber threat intelligence data in a communications network | |
| Schoof et al. | Detecting peer-to-peer botnets | |
| US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
| Khalaf et al. | A simulation study of syn flood attack in cloud computing environment | |
| Schehlmann et al. | COFFEE: a Concept based on OpenFlow to Filter and Erase Events of botnet activity at high-speed nodes | |
| JP2008306610A (en) | Illicit intrusion/illicit software investigation system, and communicating switching device | |
| JP4620070B2 (en) | Traffic control system and traffic control method | |
| JP6780838B2 (en) | Communication control device and billing method | |
| Khosravifar et al. | An experience improving intrusion detection systems false alarm ratio by using honeypot | |
| Patel et al. | A Snort-based secure edge router for smart home | |
| Grant | Distributed detection and response for the mitigation of distributed denial of service attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20141211 |
|
| PA0201 | Request for examination | ||
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20150622 Patent event code: PE09021S01D |
|
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration |
Patent event code: PE07011S01D Comment text: Decision to Grant Registration Patent event date: 20150902 |
|
| GRNT | Written decision to grant | ||
| PR0701 | Registration of establishment |
Comment text: Registration of Establishment Patent event date: 20150909 Patent event code: PR07011E01D |
|
| PR1002 | Payment of registration fee |
Payment date: 20150910 End annual number: 3 Start annual number: 1 |
|
| PG1601 | Publication of registration | ||
| FPAY | Annual fee payment |
Payment date: 20180809 Year of fee payment: 4 |
|
| PR1001 | Payment of annual fee |
Payment date: 20180809 Start annual number: 4 End annual number: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20190701 Year of fee payment: 5 |
|
| PR1001 | Payment of annual fee |
Payment date: 20190701 Start annual number: 5 End annual number: 5 |
|
| PC1903 | Unpaid annual fee |
Termination category: Default of registration fee Termination date: 20210620 |