[go: up one dir, main page]

KR101424490B1 - Reverse access detecting system and method based on latency - Google Patents

Reverse access detecting system and method based on latency Download PDF

Info

Publication number
KR101424490B1
KR101424490B1 KR1020130005385A KR20130005385A KR101424490B1 KR 101424490 B1 KR101424490 B1 KR 101424490B1 KR 1020130005385 A KR1020130005385 A KR 1020130005385A KR 20130005385 A KR20130005385 A KR 20130005385A KR 101424490 B1 KR101424490 B1 KR 101424490B1
Authority
KR
South Korea
Prior art keywords
delay time
traffic
packet
server
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020130005385A
Other languages
Korean (ko)
Other versions
KR20140093060A (en
Inventor
남구민
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020130005385A priority Critical patent/KR101424490B1/en
Publication of KR20140093060A publication Critical patent/KR20140093060A/en
Application granted granted Critical
Publication of KR101424490B1 publication Critical patent/KR101424490B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

개시된 기술은 네트워크 보안 장비에서 행위기반 분석을 통해 네트워크 외부로부터의 역 접속 트래픽을 탐지하는 기술에 관한 것으로, 개시된 기술에 따른 지연시간 기반 역 접속 탐지 시스템은 클라이언트와 서버 간 송수신되는 패킷들을 수집하는 패킷 수집부, 상기 패킷 수집부에서 수집된 패킷들을 분석하여 상기 패킷들을 세션별로 분류하는 세션 관리부, 상기 세션별로, 인바운드(inbound) 패킷과 아웃바운드(outbound) 패킷이 송수신된 시간을 기초로 클라이언트 지연시간과 서버 지연시간을 산출하는 지연시간 분석부 및 상기 클라이언트 지연시간과 서버 지연시간을 기초로 기 저장된 룰과 비교분석하여 역 접속 트래픽을 탐지하는 탐지부를 포함한다.The disclosed technology relates to a technology for detecting reverse access traffic from the outside of a network through behavior-based analysis in a network security device, and a delay time based reverse connection detection system according to the disclosed technology includes a packet collecting packets transmitted and received between a client and a server A session manager for analyzing the packets collected by the packet collecting unit and classifying the packets according to the sessions; a client management unit for analyzing packets collected by the client collecting unit, based on a time when inbound packets and outbound packets are transmitted and received, And a detection unit for detecting the reverse access traffic by comparing and analyzing the client delay time and the stored rule based on the server delay time.

Description

지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법{Reverse access detecting system and method based on latency}TECHNICAL FIELD [0001] The present invention relates to a delay time based reverse link detection system and a detection method thereof,

개시된 기술은 네트워크 보안 장비에서 역 접속 트래픽을 탐지 또는 차단하는 기술에 관한 것으로, 더 상세하게는 클라이언트와 서버 간 행위들을 분석하여 네트워크 외부로부터의 역 접속 트래픽을 탐지하는 역 접속 탐지 시스템 및 그 탐지 방법에 관한 것이다.The disclosed technology relates to a technique for detecting or blocking reverse access traffic in a network security device, and more particularly, to a reverse access detection system for detecting reverse access traffic from outside the network by analyzing behaviors between a client and a server, .

최근 디지털 처리 장치의 발달과 더불어 통신망 특히 인터넷을 통한 데이터 송수신이 보편화되고, 이러한 통신망을 통해 데이터를 송수신하는 디지털 처리 장치 중 일반적으로 데이터를 제공하는 디지털 처리 장치를 서버(Server)라하고, 데이터를 요청하고 수신하는 디지털 처리 장치를 클라이언트(Client)라고 정의한다.BACKGROUND ART [0002] With the recent development of digital processing apparatuses, data transmission and reception through a communication network, in particular the Internet has become common, and among digital processing apparatuses for transmitting and receiving data through such communication networks, a digital processing apparatus that generally provides data is called a server, The digital processing device that requests and receives is defined as a client.

네트워크 또는 서버에 접근하는 역 접속 트래픽, 유해 트래픽, 비인가 트래픽 등을 탐지 또는 차단하기 위해 IDS(Intrusion Detection System), IPS(Intrusion Protection System)와 같은 네트워크 보안 장비가 사용될 수 있다. IDS와 IPS는 로그 또는 네트워크 트래픽을 분석하여 외부 또는 내부 사용자에 의한 불법적인 시스템 접근, 권한 초과 행위 등을 탐지하거나 차단한다.Network security devices such as Intrusion Detection System (IDS) and Intrusion Protection System (IPS) can be used to detect or block reverse access traffic, harmful traffic, unauthorized traffic, etc. accessing a network or a server. IDS and IPS analyze log or network traffic to detect or block illegal system access or privilege violation by external or internal users.

네트워크 보안 장비에서 역 접속 트래픽, 유해 트래픽, 비인가 트래픽 등을 탐지하는 방법에는 행위기반 탐지(Behavior Detection) 기법, 시그니처 기반 탐지(Signature Base Detection) 기법 등이 있다. 행위기반 탐지 기법은 시스템 내에서 발생하는 행위들을 바탕으로 역 접속 트래픽, 유해 트래픽, 비인가 트래픽 등을 탐지하는 기법으로 알려지지 않은 공격(Unknown Attack)에 능동적으로 대응할 수 있으나 오탐률이 높은 문제점이 있다. 시그니처 기반 탐지 기법은 유입되는 데이터 스트림(Data Stream)을 보안 장비가 갖고 있는 시그니처 또는 스트링(String)과 비교하여 역 접속 트래픽, 유해 트래픽, 비인가 트래픽 등을 탐지하는 기법으로 비교적 정확한 탐지가 가능하며 빠른 스캔 속도를 제공한다는 장점이 있으나, 알려지지 않은 공격에 취약하다는 문제점이 있다.Behavior Detection and Signature Base Detection are methods to detect reverse traffic, harmful traffic and unauthorized traffic in network security devices. Behavior based detection is a technique to detect reverse traffic, harmful traffic, unauthorized traffic based on the actions occurring in the system. It can actively respond to unknown attack, but has a high error rate. Signature based detection is a technique that detects reverse traffic, harmful traffic, unauthorized traffic, etc. by comparing the incoming data stream with the signature or string of the security device. It has the advantage of providing scan speed, but is vulnerable to unknown attack.

행위기반 탐지 기법의 예로, 대한민국 공개특허 공보 제10-2012-0020609호(2012.03.08) '온라인 게임의 비공개 봇 검출방법'에 기재된 바와 같이, 봇(bot) 특유의 마우스 및 키보드 입력 이벤트 발생처리, 코드 인젝션 등의 징후를 포착하는 기술들이 공개되어 있다.As an example of the behavior-based detection technique, as described in Korean Unexamined Patent Publication No. 10-2012-0020609 (March 23, 2012) 'Method for detecting a private bot of online games', a bot- , Code injection, and the like.

대한민국 공개특허 공보 제10-2012-0020609호, 2012.03. 08Korean Patent Publication No. 10-2012-0020609, 2012.03. 08

개시된 기술에 따른 역 접속 탐지 시스템 및 그 탐지 방법의 목적은 행위기반 트래픽 분석(예를 들어, 지연시간 분석)을 통해 네트워크 보안 장비에서 네트워크 외부로부터의 역 접속 트래픽을 탐지 또는 차단하는 데 있다.The object of the reverse access detection system and its detection method according to the disclosed technique is to detect or block reverse access traffic from outside the network in network security equipment through behavior based traffic analysis (e.g., delay time analysis).

또한, 개시된 기술의 목적은 트래픽 분석을 통해 RAT(Remote Administration Tool) 툴이 설치된 클라이언트와 C&C(Command and Control) 서버간 접속을 탐지 또는 차단하는 데 있다.The purpose of the disclosed technique is to detect or block the connection between a client and a command and control (C & C) server installed with a Remote Administration Tool (RAT) tool through traffic analysis.

또한, 개시된 기술의 목적은 APT(Advanced Persist Threat) 공격에서 자주 사용되는 RAT 툴을 통해 외부 C&C 서버로 내부 정보가 유출되는 것을 방지하는 데 있다.Also, the purpose of the disclosed technique is to prevent leakage of internal information to an external C & C server through a RAT tool frequently used in an APT (Advanced Persist Threat) attack.

개시된 기술에 따른 지연시간 기반 역 접속 탐지 시스템은 클라이언트와 서버 간 송수신되는 패킷들을 수집하는 패킷 수집부, 상기 패킷 수집부에서 수집된 패킷들을 분석하여 상기 패킷들을 세션별로 분류하는 세션 관리부, 상기 세션별로, 인바운드 패킷과 아웃바운드 패킷이 송수신된 시간을 기초로 클라이언트 지연시간과 서버 지연시간을 산출하는 지연시간 분석부 및 상기 클라이언트 지연시간과 서버 지연시간을 기초로 기 저장된 룰과 비교분석하여 역 접속 트래픽을 탐지하는 탐지부를 포함한다.A delay time based reverse link detection system according to the disclosed technology includes a packet collection unit for collecting packets transmitted and received between a client and a server, a session management unit for analyzing packets collected by the packet collection unit and classifying the packets according to sessions, A delay time analyzer for calculating a client delay time and a server delay time on the basis of the time when the inbound packet and the outbound packet are transmitted and received, and comparing and analyzing the stored rule based on the client delay time and the server delay time, As shown in FIG.

상기 지연시간 분석부는 분석 예외 패킷을 제외한 인바운드 패킷과 아웃바운드 패킷을 기초로 클라이언트 지연시간과 서버 지연시간을 산출하며, 상기 분석 예외 패킷은 프로토콜 제어 패킷과 웹페이지의 다중 링크에 의한 요청 패킷을 포함한다.The delay time analyzer calculates a client delay time and a server delay time on the basis of an inbound packet and an outbound packet excluding an analysis exception packet, and the analysis exception packet includes a protocol control packet and a request packet by a multiple link of a web page do.

상기 지연시간 분석부는 서버 측 마지막 인바운드 패킷이 수신된 시간과 트래픽 방향이 변경된 후 클라이언트 측 첫 번째 아웃바운드 패킷이 수신된 시간 사이의 시간 간격을 클라이언트 지연시간으로 산출하고, 클라이언트 측 마지막 아웃바운드 패킷이 수신된 시간과 트래픽 방향이 변경된 후 서버 측 첫 번째 인바운드 응답 패킷이 수신된 시간 사이의 시간 간격을 서버 지연시간으로 산출한다.The delay time analyzer calculates a time interval between a time when the server-side last inbound packet is received and a time when the first outbound packet is received after the traffic direction is changed, as a client delay time, and the client- The time interval between the time when the received time and the direction of the traffic is changed and the time when the server-side first inbound response packet is received is calculated as the server delay time.

상기 탐지부는 상기 클라이언트 지연시간이 기준값(threshold)보다 크고, 상기 서버 지연시간이 기준값보다 작은 경우에는 해당 세션의 트래픽은 정상 트래픽으로 분류한다.If the client delay time is greater than a threshold value and the server delay time is smaller than the reference value, the detection unit classifies traffic of the session as normal traffic.

그리고, 상기 탐지부는 상기 클라이언트 지연시간이 기준값보다 작고, 상기 서버 지연시간이 기준값보다 큰 경우와 상기 클라이언트 지연시간과 상기 서버 지연시간이 모두 기준값보다 작은 경우에는 해당 세션의 트래픽은 네트워크 외부로부터의 역 접속 트래픽으로 분류한다.If the client delay time is smaller than the reference value, the server delay time is larger than the reference value, and the client delay time and the server delay time are both smaller than the reference value, the detection unit detects the traffic from the outside of the network And classified as connection traffic.

또한, 상기 탐지부는 기준값 이상의 지연시간 후 수신된 첫 번째 패킷이 인바운드 방향인 경우에는 해당 세션의 트래픽은 네트워크 외부로부터의 역 접속 트래픽으로 분류한다.In addition, if the first packet received after the delay time longer than the reference value is in the inbound direction, the detection unit classifies the traffic of the session into the reverse traffic from the outside of the network.

개시된 기술에 따른 지연시간 기반 역 접속 탐지 시스템은 역 접속 트래픽이 탐지된 세션을 차단하는 차단부를 더 포함할 수 있다.The delay time based reverse link detection system according to the disclosed technology may further include a blocking unit for blocking a session in which reverse link traffic is detected.

개시된 기술에 따른 지연시간 기반 역 접속 탐지 방법은 (a) 패킷 수집부에서 클라이언트와 서버 간 송수신되는 패킷들을 수집하는 단계, (b) 세션 관리부에서 상기 수집된 패킷들을 분석하여 상기 패킷들을 세션별로 분류하는 단계, (c) 지연시간 분석부에서 세션별로 인바운드 패킷과 아웃바운드 패킷이 송수신된 시간을 기초로 클라이언트 지연시간과 서버 지연시간을 산출하는 단계 및 (d) 탐지부에서 상기 클라이언트 지연시간과 서버 지연시간을 기초로 기 저장된 룰과 비교분석하여 역 접속을 탐지하는 단계를 포함한다.The delay time based reverse connection detection method according to the disclosed technology includes the steps of (a) collecting packets transmitted and received between a client and a server in a packet collection unit, (b) analyzing the collected packets in a session management unit, (C) calculating a client delay time and a server delay time based on a time when the inbound packet and the outbound packet are transmitted and received for each session in the delay time analyzing unit; and (d) And comparing the delayed time with a pre-stored rule based on the delay time to detect the reverse connection.

개시된 기술에 따른 지연시간 기반 역 접속 탐지 방법은 상기 패킷들을 세션별로 분류한 후, 분석 예외 패킷을 제외하는 단계를 더 포함할 수 있고, 상기 분석 예외 패킷은 프로토콜 제어 패킷과 웹페이지의 다중 링크에 의한 요청 패킷을 포함한다.The delay time based reverse connection detection method according to the disclosed technology may further include excluding the analysis exception packet after classifying the packets according to the session and the analysis exception packet includes a protocol control packet and a multi link Lt; / RTI >

이상에서 설명한 바와 같이, 개시된 기술에 따른 지연시간 기반 역 접속 탐지 시스템 및 그 방법은 지연시간 분석을 통해 네트워크 외부로부터의 역 접속을 탐지 또는 차단할 수 있다. As described above, the delay time based reverse link detection system and method according to the disclosed technology can detect or block reverse link from outside the network through delay time analysis.

또한, 개시된 기술에 따른 지연시간 기반 역 접속 탐지 시스템 및 그 방법은 지연시간 분석을 통해 계산량과 시스템 복잡도를 높이지 않고 효과적으로 역 접속 트래픽을 탐지 또는 차단할 수 있으며, 알려지지 않은 공격도 탐지/차단할 수 있는 효과가 있다.Also, the delay time based reverse link detection system and method according to the disclosed technology can effectively detect or block reverse link traffic without increasing the amount of computation and system complexity through delay time analysis, and can detect / It is effective.

또한, 개시된 기술에 따른 지연시간 기반 역 접속 탐지 시스템 및 그 방법은 RAT(Remote Administration Tool) 툴이 설치된 클라이언트와 C&C(Command and Control) 서버간 접속을 탐지 또는 차단할 수 있으며, RAT 툴을 통해 외부 C&C 서버로 내부 정보가 유출되는 것을 방지할 수 있다.In addition, the delay time based reverse connection detection system and method according to the disclosed technology can detect or block a connection between a client installed with a Remote Administration Tool (RAT) tool and a C & C (Command and Control) server, It is possible to prevent leakage of internal information to the server.

도 1은 일반적인 네트워크 구성을 나타내는 구성도.
도 2는 개시된 기술에 따른 네트워크 보안 장비의 지연시간 기반 역 접속 탐지 시스템의 상세 구성을 나타내는 구성도.
도 3은 정상 트래픽의 패턴을 나타내는 도면.
도 4는 역 접속 패턴으로서 봇과 C&C 서버간 제1 트래픽 패턴을 나타내는 도면.
도 5는 역 접속 패턴으로서 봇과 C&C 서버간 제2 트래픽 패턴을 나타내는 도면.
도 6은 개시된 기술에 따른 네트워크 보안 장비의 지연시간 기반 역 접속 탐지 방법을 나타내는 흐름도.
도 7은 도 6의 룰 분석 과정을 나타내는 흐름도.1 is a configuration diagram showing a general network configuration;
2 is a block diagram showing a detailed configuration of a delay time based reverse connection detection system of a network security device according to the disclosed technology;
3 shows a pattern of normal traffic.
4 is a diagram showing a first traffic pattern between a bot and a C & C server as a reverse connection pattern;
5 is a diagram showing a second traffic pattern between a bot and a C & C server as a reverse connection pattern;
6 is a flow chart illustrating a delay time based reverse connection detection method of a network security device in accordance with the disclosed technology.
7 is a flowchart showing a rule analysis process of FIG.

개시된 기술의 실시예들에 관한 설명은 개시된 기술의 구조적 내지 기능적 설명들을 위하여 예시된 것에 불과하므로, 개시된 기술의 권리범위는 본문에 설명된 실시예들에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 개시된 기술의 실시예들은 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 개시된 기술의 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다.The description of embodiments of the disclosed technique is merely illustrative for the structural and functional explanations of the disclosed technology, and thus the scope of the disclosed technology should not be construed as limited by the embodiments described herein. In other words, it should be understood that the embodiments of the disclosed technology are capable of various changes and various forms, and therefore, are capable of implementing the technical idea of the disclosed technology.

개시된 기술에서 기재된 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다" 또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.It is to be understood that the singular forms "a", "an", ",", "an", "an" , Parts or combinations thereof, and does not preclude the presence or addition of one or more other features, integers, steps, operations, elements, components, or combinations thereof .

개시된 기술에서 기술한 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않은 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다. Each step described in the disclosed technique may take place differently from the stated order unless explicitly stated in the context of the specific order. That is, each step may occur in the same order as described, may be performed substantially concurrently, or may be performed in reverse order.

이하, 본 발명에 따른 네트워크 보안 장비의 패턴 매칭 시스템 및 그 패턴 매칭 방법을 실시하기 위한 구체적인 내용을 설명하면 다음과 같다.
Hereinafter, the pattern matching system and the pattern matching method of the network security apparatus according to the present invention will be described in detail.

[도 1]은 일반적인 네트워크 구성을 나타내는 구성도이다.[Fig. 1] is a configuration diagram showing a general network configuration.

서버(140)는 라우터(120)를 통해 외부 네트워크(110)와 연결되며, 서버(140)와 외부 네트워크(110) 사이에는 역 접속 트래픽, 유해 트래픽, 비인가 트래픽 등으로부터 서버(140)를 보호하기 위해 네트워크 보안 장비(130)가 구비된다. 예를 들어, 네트워크 보안 장비(130)에는 서버(140)에 접근하는 역 접속 트래픽, 유해 트래픽, 비인가 트래픽 등을 탐지 또는 차단하기 위해 IDS(Intrusion Detection System), IPS(Intrusion Protection System) 등이 사용될 수 있다.The server 140 is connected to the external network 110 through the router 120 and protects the server 140 from the reverse connection traffic, the harmful traffic, the unauthorized traffic, etc. between the server 140 and the external network 110 A network security device 130 is provided. For example, an IDS (Intrusion Detection System), an IPS (Intrusion Protection System), and the like are used to detect or block the reverse access traffic, harmful traffic, unauthorized traffic, .

개시된 기술은 네트워크 보안 장비(130)에서 지연시간을 기준으로 네트워크 외부로부터의 역 접속 트래픽을 탐지 또는 차단하는 기술에 관한 것이다.
The disclosed technique relates to a technique for detecting or blocking reverse access traffic from outside the network based on the delay time in the network security device 130. [

[도 2]는 개시된 기술에 따른 네트워크 보안 장비의 지연시간 기반 역 접속 탐지 시스템의 상세 구성을 나타내는 구성도이다. 도 2를 참조하면, 지연시간 기반 역 접속 탐지 시스템은 패킷 수집부(210), 세션 관리부(220), 지연시간 분석부(230) 및 탐지부(240)를 포함한다. 일 실시예에서, 지연시간 기반 역 접속 탐지 시스템은 역 접속 트래픽이 탐지된 세션을 차단하는 차단부를 더 포함할 수 있다.FIG. 2 is a configuration diagram showing a detailed configuration of a delay time based reverse connection detection system of a network security device according to the disclosed technology. Referring to FIG. 2, the delay time based reverse link detection system includes a packet collection unit 210, a session management unit 220, a delay time analysis unit 230, and a detection unit 240. In one embodiment, the delay time based reverse link detection system may further include a blocking unit for blocking the session in which reverse link traffic is detected.

패킷 수집부(210), 세션 관리부(220), 지연시간 분석부(230) 및 탐지부(240)는 분석 엔진의 각 프로세스 처리 블록을 편의상 기능에 따라 분류한 것이며, 구현 예에 따라 더 상세히 분류되거나 또는 통합되어 구현될 수 있다. 일 실시예에서 각 구성요소는 소프트웨어 모듈로 구현될 수 있다.The packet collecting unit 210, the session managing unit 220, the delay time analyzing unit 230 and the detecting unit 240 classify each process processing block of the analysis engine according to functions for convenience. Or integrated. In one embodiment, each component may be implemented as a software module.

패킷 수집부(210)는 클라이언트와 서버 간 송수신되는 패킷들을 수집한다. 패킷 수집부(210)는 인라인(inline) 방식, 미러링 포트(mirroring port)를 통해 패킷을 수집하는 미러링 방식, 네트워크 탭(network tap) 또는 탭 드라이버(tap driver)를 통해 패킷을 수집하는 탭 방식을 통해 패킷을 수집할 수 있다. 패킷 수집부(210)는 인바운드(inbound) 방향과 아웃바운드(outbound) 방향을 구분하여 패킷의 송수신 방향을 확인할 수 있다.The packet collecting unit 210 collects packets transmitted and received between the client and the server. The packet collecting unit 210 may include an inline method, a mirroring method of collecting packets through a mirroring port, a tap method of collecting packets through a network tap or a tap driver, You can collect packets through. The packet collecting unit 210 can distinguish between an inbound direction and an outbound direction, and can confirm a transmission / reception direction of a packet.

세션 관리부(220)는 패킷 수집부(210)에서 수집된 패킷들을 분석하여 패킷들을 세션(session)별로 분류하고, 동일한 세션 내에서 방향별로 패킷이 수집된 시작시간과 마지막 시간을 기록한다. 세션 관리부(220)는 패킷의 TCP/IP 헤더를 분석하여 5튜플(소스 IP, 소스 port, 목적지 IP, 목적지 IP, 사용 중인 프로토콜)을 확인하고, 5튜플(5 tuples)을 기초로 세션을 분류할 수 있다. 예를 들어, 동일한 5튜플을 갖는 패킷은 동일한 세션으로 분류할 수 있다.The session managing unit 220 analyzes the packets collected by the packet collecting unit 210, classifies the packets according to sessions, and records the start time and the last time of collecting the packets in the same session. The session management unit 220 analyzes the TCP / IP header of the packet to identify 5 tuples (source IP, source port, destination IP, destination IP, and protocol in use), classifies the session based on 5 tuples can do. For example, a packet with the same 5 tuples can be classified as the same session.

이때, 세션 관리부(220)는 인바운드 방향의 패킷과 아웃바운드 방향의 패킷은 동일한 세션으로 분류한다. 즉, 5튜플에서 소스(source)와 목적지(destination) 방향이 반대인 패킷들도 동일한 세션으로 분류한다.At this time, the session management unit 220 classifies the packet in the inbound direction and the packet in the outbound direction into the same session. In other words, packets with opposite source and destination directions in 5 tuples are classified as the same session.

수집된 패킷의 5튜플이 기존 세션의 값과 일치하지 않은 경우 세션 관리부(220)는 해당 5튜플을 기초로 신규 세션을 생성한다. 세션이 생성된 후 TCP FIN과 같은 세션 종료 메시지가 수신된 세션, 설정 시간(inactive time) 동안 패킷이 수집되지 않는 세션의 경우에는 세션 관리부(220)는 해당 세션을 관리 리스트에서 제거한다.If the five tuples of the collected packets do not match the values of the existing session, the session management unit 220 creates a new session based on the five tuples. In the case of a session in which a session end message such as a TCP FIN is generated after a session is created or a session in which a packet is not collected during an inactive time, the session management unit 220 removes the session from the management list.

지연시간 분석부(230)는 인바운드 패킷과 아웃바운드 패킷이 송수신된 시간을 기초로 세션별로 클라이언트 지연시간과 서버 지연시간을 산출한다. 지연시간 분석부(230)는 서버측 마지막 인바운드 패킷이 수신된 시간과 트래픽 방향이 변경된 후 클라이언트 측 첫 번째 아웃바운드 패킷이 수신된 시간 사이의 시간 간격을 클라이언트 지연시간으로 산출하고, 클라이언트 측 마지막 아웃바운드 패킷이 수신된 시간과 트래픽 방향이 변경된 후 서버측 첫 번째 인바운드 패킷이 수신된 시간 사이의 시간 간격을 서버 지연시간으로 산출한다. 예를 들어, 트래픽 방향이 변경될 때 즉, 인바운드에서 아웃바운드로 또는 아웃바운드에서 인바운드로 트래픽 방향이 변경될 때, 이전 방향의 마지막 패킷이 수집된 시간과 현재 수집된 패킷이 수집된 시간 사이의 간격을 지연시간으로 산출한다.The delay time analyzer 230 calculates the client delay time and the server delay time for each session based on the time when the inbound packet and the outbound packet are transmitted and received. The delay time analyzer 230 calculates the time interval between the time when the server-side last inbound packet is received and the time when the first outbound packet is received after the traffic direction is changed, as the client delay time, The time interval between the reception of the bound packet and the reception of the first inbound packet on the server side after the traffic direction is changed is calculated as the server delay time. For example, when the direction of traffic changes, that is, when the direction of traffic changes from inbound to outbound or from outbound to inbound, the time between the time the last packet in the previous direction was collected and the time the currently collected packet was collected The interval is calculated as a delay time.

이때, 지연시간 분석부(230)는 분석 예외 패킷을 제외한 인바운드 패킷과 아웃바운드 패킷을 기초로 클라이언트 지연시간과 서버 지연시간을 산출한다.At this time, the delay time analyzer 230 calculates the client delay time and the server delay time based on the inbound packet and the outbound packet excluding the analysis exception packet.

분석 예외 패킷은 프로토콜 제어 패킷과 웹페이지의 다중 링크에 의한 요청 패킷을 포함한다. 예를 들어, TCP SYN, TCP ACK, TCP FIN과 같은 프로토콜 제어 패킷, 하나의 웹 페이지에 포함되어 있는 다중 링크에 의한 자동 요청 패킷을 분석 예외 패킷으로 제외할 수 있다. 일 실시예에서, 지연시간 분석부(230)는 클라이언트 지연 시간이 설정값 이하인 패킷의 경우 다중 링크에 의한 자동 요청 패킷으로 분류하여 분석 예외 패킷으로 제외할 수 있다. 분석 예외 패킷은 시스템 상황 등에 따라 사용자에 의해 미리 설정될 수 있다.The analysis exception packet includes a protocol control packet and a request packet by a multiple link of a web page. For example, protocol control packets such as TCP SYN, TCP ACK, and TCP FIN, and automatic request packets by multiple links contained in one web page can be excluded as analysis exception packets. In one embodiment, the delay time analyzer 230 may classify the packet as the automatic request packet by the multi-link and exclude it as the analysis exception packet in the case of the packet whose client delay time is less than the set value. The analysis exception packet can be preset by the user depending on the system condition and the like.

탐지부(240)는 지연시간 분석부(230)에서 산출된 클라이언트 지연시간과 서버 지연시간을 기초로 기 저장된 룰과 비교분석하여 네트워크 외부로부터의 역 접속 트래픽을 탐지한다. 이하에서는 [도 3] 내지 [도 5]를 참조하여 지연시간을 기초로 역 접속 트래픽을 탐지하는 과정을 상세히 설명하기로 한다.
The detection unit 240 compares the client delay time and the server delay time calculated by the delay time analyzer 230 with previously stored rules and detects reverse traffic from outside the network. Hereinafter, the process of detecting reverse access traffic based on the delay time will be described in detail with reference to FIG. 3 to FIG. 5.

[도 3]은 정상 트래픽의 패턴을 나타내는 도면이다.[Fig. 3] is a diagram showing a pattern of normal traffic.

도 3을 참조하면, 네트워크 보안 장비(320)의 탐지부(240)는 트래픽 방향이 변경되기 전 클라이언트(310)가 송신한 마지막 아웃바운드 패킷(340)이 수집된 시간과 트래픽 방향이 변경된 후 서버(330)가 송신한 첫 번째 인바운드 패킷(350)이 수집된 시간 차이를 서버 지연시간으로 산출한다. 그리고 트래픽 방향이 변경되기 전 마지막 인바운드 패킷(360)이 수집된 시간과 트래픽 방향이 변경된 후 첫 번째 아웃바운드 패킷(370)이 수집된 시간 차이를 클라이언트 지연시간으로 산출한다.3, the detection unit 240 of the network security device 320 detects the time when the last outbound packet 340 transmitted by the client 310 is collected before the traffic direction is changed, The time difference when the first inbound packet 350 transmitted by the first inbound packet 330 is collected is calculated as the server delay time. The time difference between the time when the last inbound packet 360 is collected before the traffic direction is changed and the time when the first outbound packet 370 is collected after the traffic direction is changed is calculated as a client delay time.

일반적으로 악성 코드에 감염된 봇(bot)이 아닌 사람이 클라이언트(310)를 동작시키는 경우, 클라이언트 지연시간은 특정 값보다 크고, 시스템에 의해 자동으로 동작하는 서버 지연시간은 특정 값보다 작다. 따라서, 탐지부(240)는 클라이언트 지연시간이 기준값보다 크고, 서버 지연시간이 기준값보다 작은 경우에는 해당 세션의 트래픽은 정상 트래픽으로 분류한다. 일 실시예에서, 클라이언트 지연시간에 대한 기준값과 서버 지연시간에 대한 기준값은 동일한 값일 수도 있고, 다른 값일 수도 있다. 해당 기준값들은 실험치로 미리 설정될 수도 있고, 시스템에서 산출된 평균 지연시간에 대응하여 자동으로 특정 값으로 설정될 수도 있다.
Generally, when a person other than a bot infected with malicious code operates the client 310, the client delay time is larger than a specific value, and the server delay time automatically operated by the system is smaller than a specific value. Accordingly, when the client delay time is larger than the reference value and the server delay time is smaller than the reference value, the detection unit 240 classifies the traffic of the session as normal traffic. In one embodiment, the reference value for the client delay time and the reference value for the server delay time may be the same value or different values. The reference values may be preset to an experimental value or automatically set to a specific value corresponding to the average delay time calculated in the system.

[도 4]은 역 접속 패턴으로서 봇과 C&C 서버간 제1 트래픽 패턴을 나타내는 도면이다.4 is a diagram showing a first traffic pattern between the bot and the C & C server as a reverse connection pattern.

도 4를 참조하면, 네트워크 보안 장비(420)는 악성코드에 감염된 봇(410)과 C&C(Command and Control) 서버(430) 사이에 위치하는 것으로 가정한다.Referring to FIG. 4, it is assumed that the network security device 420 is located between the bot 410 infected with the malicious code and the command and control (C & C) server 430.

네트워크 보안 장비(420)의 탐지부(240)는 트래픽 방향이 변경되기 전 서버 측 마지막 인바운드 패킷(440)이 수집된 시간과 트래픽 방향이 변경된 후 클라이언트 측 첫 번째 아웃바운드 패킷(450)이 수집된 시간 차이를 클라이언트 지연시간으로 산출한다. 그리고 트래픽 방향이 변경되기 전 마지막 아웃바운드 패킷(460)이 수집된 시간과 트래픽 방향이 변경된 후 첫 번째 인바운드 패킷(470)이 수집된 시간 차이를 서버 지연시간으로 산출한다.The detection unit 240 of the network security device 420 determines whether the client side first outbound packet 450 is collected after the time when the server side last inbound packet 440 is collected before the traffic direction is changed and the traffic direction is changed The time difference is calculated as the client delay time. The time difference between the collected time of the last outbound packet 460 before the traffic direction is changed and the time of the first inbound packet 470 after the traffic direction is changed is calculated as the server delay time.

사용자는 C&C 서버를 통해 Netcat, Poinson Ivy와 같은 RAT(Remote Administration Tool) 툴에 감염된 봇(bot)에 접근하고 봇을 제어할 수 있다. 사용자가 C&C 서버를 동작시키는 경우, 봇이 자동으로 응답하는 클라이언트의 지연시간은 특정 값보다 작고, 사용자에 의해 제어되는 서버의 지연시간은 특정 값보다 크다. 따라서, 탐지부(240)는 클라이언트 지연시간이 기준값보다 작고, 서버 지연시간이 기준값보다 큰 경우에는 해당 세션의 트래픽은 역 접속 트래픽으로 분류한다.Through the C & C server, users can access and control infected bots with Remote Administration Tool (RAT) tools such as Netcat and Poinson Ivy. When the user operates the C & C server, the delay time of the client automatically responding to the bots is smaller than a specific value, and the delay time of the server controlled by the user is larger than a specific value. Accordingly, when the client delay time is smaller than the reference value and the server delay time is larger than the reference value, the detection unit 240 classifies the traffic of the session as the reverse access traffic.

일 실시예에서, 클라이언트 지연시간에 대한 기준값과 서버 지연시간에 대한 기준값은 동일한 값일 수도 있고, 다른 값일 수도 있다. 해당 기준값들은 실험치로 미리 설정될 수도 있고, 시스템에서 산출된 평균 지연시간에 대응하여 자동으로 특정 값으로 설정될 수도 있다.
In one embodiment, the reference value for the client delay time and the reference value for the server delay time may be the same value or different values. The reference values may be preset to an experimental value or automatically set to a specific value corresponding to the average delay time calculated in the system.

[도 5]는 역 접속 패턴으로서 봇과 C&C 서버간 제2 트래픽 패턴을 나타내는 도면이다.5 is a diagram showing a second traffic pattern between the bot and the C & C server as a reverse connection pattern.

도 5를 참조하면, 네트워크 보안 장비(520)는 악성코드에 감염된 봇(510)과 C&C 서버(530) 사이에 위치하는 것으로 가정한다.Referring to FIG. 5, it is assumed that the network security device 520 is located between the bot 510 infected with malicious code and the C & C server 530.

네트워크 보안 장비(520)의 탐지부(240)는 트래픽 방향이 변경되기 전 서버 측 마지막 인바운드 패킷(540)이 수집된 시간과 트래픽 방향이 변경된 후 클라이언트 측 첫 번째 아웃바운드 패킷(550)이 수집된 시간 차이를 클라이언트 지연시간으로 산출한다. 그리고 트래픽 방향이 변경되기 전 마지막 아웃바운드 패킷(560)이 수집된 시간과 트래픽 방향이 변경된 후 첫 번째 인바운드 패킷(570)이 수집된 시간 차이를 서버 지연시간으로 산출한다.The detection unit 240 of the network security device 520 determines whether the client side first outbound packet 550 is collected after the time when the server side last inbound packet 540 is collected before the traffic direction is changed and the traffic direction is changed The time difference is calculated as the client delay time. The time difference between the time when the last outbound packet 560 is collected before the traffic direction is changed and the time when the first inbound packet 570 is collected after the traffic direction is changed is calculated as the server delay time.

C&C 서버가 RAT 툴 등에 의해 감염되어 자동으로 동작하는 경우, 봇이 자동으로 응답하는 클라이언트의 지연시간은 특정 값보다 작고, 자동으로 제어되는 서버의 지연시간도 특정 값보다 작다. 따라서, 탐지부(240)는 클라이언트 지연시간과 서버 지연시간이 모두 기준값보다 작은 경우에는 해당 세션의 트래픽은 역 접속 트래픽으로 분류한다.When the C & C server is infected and automatically operated by the RAT tool, the latency of the client that the bot responds to automatically is smaller than the specified value, and the latency of the server that is automatically controlled is also smaller than the specified value. Accordingly, when both the client delay time and the server delay time are smaller than the reference value, the detection unit 240 classifies the traffic of the session as the reverse access traffic.

일 실시예에서, 클라이언트 지연시간에 대한 기준값과 서버 지연시간에 대한 기준값은 동일한 값일 수도 있고, 다른 값일 수도 있다. 해당 기준값들은 실험치로 미리 설정될 수도 있고, 시스템에서 산출된 평균 지연시간에 대응하여 자동으로 특정 값으로 설정될 수도 있다.
In one embodiment, the reference value for the client delay time and the reference value for the server delay time may be the same value or different values. The reference values may be preset to an experimental value or automatically set to a specific value corresponding to the average delay time calculated in the system.

일 실시예에서, 특정값 이상의 지연시간 후 최초 트래픽 방향이 서버 측에서 송신된 인바운드 방향인 경우, 해당 트래픽의 패킷은 C&C 서버의 요청 또는 C&C 서버가 봇에 keepalive 메시지를 송신하는 것 일 수 있다. 따라서, 탐지부(240)는 기준값 이상의 지연시간 후 수신된 첫 번째 패킷이 인바운드 방향인 경우에는 해당 세션의 트래픽은 역 접속 트래픽으로 분류한다.
In one embodiment, if the initial traffic direction after a delay time of more than a certain value is the inbound direction sent from the server side, the packet of traffic may be a request from the C & C server or the C & C server sending a keepalive message to the bot. Accordingly, when the first packet received after the delay time equal to or longer than the reference value is in the inbound direction, the detection unit 240 classifies the traffic of the session as the reverse access traffic.

[도 6]은 개시된 기술에 따른 네트워크 보안 장비의 지연시간 기반 역 접속 탐지 방법을 나타내는 흐름도이다.6 is a flowchart illustrating a delay time based reverse connection detection method of a network security device according to the disclosed technology.

네트워크 보안 장비는 패킷 수집부를 통해 클라이언트와 서버 간 송수신되는 패킷들을 수집하고(단계 S610), 세션 관리부를 통해 수집된 패킷들을 분석하여 패킷들을 세션별로 분류한다(단계 S620). 세션 관리부는 패킷의 5튜플을 기초로 세션을 분류할 수 있다.The network security apparatus collects packets transmitted and received between the client and the server through the packet collecting unit (step S610), analyzes packets collected through the session managing unit, and classifies the packets according to sessions (step S620). The session manager can classify sessions based on five tuples of the packet.

패킷들을 세션별로 분류한 후, 지연시간 분석부는 분석 예외 패킷을 제외하고(단계 S630), 세션별로 인바운드 패킷과 아웃바운드 패킷이 송수신된 시간을 기초로 클라이언트 지연시간과 서버 지연시간을 산출한다(단계 S640). 분석 예외 패킷은 프로토콜 제어 패킷과 웹페이지의 다중 링크에 의한 요청 패킷을 포함한다.After classifying the packets by session, the delay time analyzing unit excludes the analysis exception packet (step S630), and calculates the client delay time and the server delay time based on the time when the inbound packet and the outbound packet are transmitted and received for each session S640). The analysis exception packet includes a protocol control packet and a request packet by a multiple link of a web page.

탐지부는 클라이언트 지연시간과 서버 지연시간을 기초로 기 저장된 룰과 비교분석하고(단계 S650), 네트워크 외부로부터의 역 접속 트래픽을 탐지한다(단계 S660). 일 실시예에서, 탐지부는 탐지된 역 접속 트래픽을 사용자에게 알릴 수 있다. 또는, 네트워크 보안 장비가 차단부를 통해 탐지부에서 탐지된 역 접속 트래픽을 자동으로 차단할 수 있다.
The detection unit compares and analyzes the pre-stored rules based on the client delay time and the server delay time (step S650), and detects the reverse access traffic from outside the network (step S660). In one embodiment, the detection unit can inform the user of the detected reverse access traffic. Alternatively, the network security equipment may automatically block the reverse-connection traffic detected by the detection unit through the blocking unit.

[도 7]은 [도 6]의 룰 분석 과정을 나타내는 흐름도이다.FIG. 7 is a flowchart showing the rule analysis process of FIG. 6;

탐지부는 클라이언트 지연시간과 서버 지연시간을 분석하여(단계 S710), 클라이언트 지연시간이 기준값보다 크고, 서버 지연시간이 기준값보다 작은 경우에는 정상 트래픽으로 분류한다(단계 S720).The detection unit analyzes the client delay time and the server delay time (step S710). If the client delay time is larger than the reference value and the server delay time is smaller than the reference value, it is classified as normal traffic (step S720).

클라이언트 지연시간이 기준값보다 작고, 서버 지연시간이 기준값보다 큰 경우에는 탐지부는 해당 트래픽을 역 접속 트래픽으로 분류한다(단계 S730). 예를 들어, 탐지부는 해당 트래픽을 봇과 사용자에 의해 제어되는 C&C 서버간 트래픽으로 분류할 수 있다.If the client delay time is smaller than the reference value and the server delay time is larger than the reference value, the detection unit classifies the traffic as the reverse access traffic (step S730). For example, the detector can classify the traffic into traffic between the bot and the C & C server controlled by the user.

클라이언트 지연시간과 서버 지연시간이 모두 기준값보다 작은 경우에는 탐지부는 해당 트래픽을 역 접속 트래픽으로 분류한다(단계 S740). 예를 들어, 탐지부는 해당 트래픽을 봇과 자동으로 제어되는 C&C 서버간 트래픽으로 분류할 수 있다.If both the client delay time and the server delay time are smaller than the reference value, the detecting unit classifies the corresponding traffic as the reverse access traffic (step S740). For example, the detectors can classify the traffic as traffic between the bot and automatically controlled C & C servers.

일 실시예에서, 탐지부는 기준값 이상의 지연시간 후 수신된 첫 번째 패킷이 인바운드 방향인 경우에는 해당 세션의 트래픽을 역 접속 트래픽으로 분류할 수 있다.
In one embodiment, if the first packet received after the delay time equal to or greater than the reference value is in the inbound direction, the detection unit may classify the traffic of the session as the reverse access traffic.

이상에서 설명한 바와 같이, 개시된 기술에 따른 지연시간 기반 역 접속 탐지 시스템 및 방법을 적용하면 지연시간 분석을 통해 네트워크 외부로부터의 역 접속 트래픽을 탐지 또는 차단할 수 있다.As described above, according to the delay time based reverse connection detection system and method according to the disclosed technology, it is possible to detect or block the reverse connection traffic from the outside of the network through the delay time analysis.

또한, 개시된 기술에 따른 지연시간 기반 역 접속 탐지 시스템 및 방법은 지연시간 분석을 통해 계산량과 시스템 복잡도를 높이지 않고 효과적으로 역 접속 트래픽을 탐지 또는 차단할 수 있으며, 알려지지 않은 공격도 탐지/차단할 수 있는 효과가 있다.In addition, the delay time based reverse link detection system and method according to the disclosed technology can effectively detect or block reverse link traffic without increasing the amount of computation and system complexity through delay time analysis, and can detect and block unknown attacks .

또한, 개시된 기술에 따른 지연시간 기반 역 접속 탐지 시스템 및 방법은 RAT 툴이 설치된 클라이언트와 C&C 서버간 접속을 탐지 또는 차단할 수 있으며, RAT 툴을 통해 외부 C&C 서버로 내부 정보가 유출되는 것을 방지할 수 있다.In addition, the delay time based reverse connection detection system and method according to the disclosed technology can detect or block the connection between a client installed with the RAT tool and the C & C server, and prevent leakage of internal information to the external C & C server through the RAT tool have.

이상 본 발명의 실시예로 설명하였으나 본 발명의 기술적 사상이 상기 실시예로 한정되는 것은 아니며, 본 발명의 기술적 사상을 벗어나지 않는 범주에서 다양한 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법으로 구현할 수 있다.Although the present invention has been described with reference to the exemplary embodiments of the present invention, the technical idea of the present invention is not limited to the above embodiments, and various delay time based reverse link detection systems and detection methods thereof can be implemented in a range that does not depart from the technical idea of the present invention .

210 : 패킷 수집부 220 : 세션 관리부
230 : 지연시간 분석부 240 : 탐지부210: Packet collecting unit 220:
230: delay time analyzer 240:

Claims (15)

클라이언트와 서버 간 송수신되는 패킷들을 수집하는 패킷 수집부;
상기 패킷 수집부에서 수집된 패킷들을 분석하여 상기 패킷들을 세션별로 분류하는 세션 관리부;
상기 세션별로, 인바운드(inbound) 패킷과 아웃바운드(outbound) 패킷이 송수신된 시간을 기초로 클라이언트 지연시간과 서버 지연시간을 산출하는 지연시간 분석부; 및
상기 클라이언트 지연시간과 서버 지연시간을 기초로 기 저장된 룰과 비교분석하여 역 접속 트래픽을 탐지하는 탐지부를 포함하고,
상기 탐지부는
상기 클라이언트 지연시간이 기준값보다 작고, 상기 서버 지연시간이 기준값보다 큰 경우에는 해당 세션의 트래픽은 역 접속 트래픽으로 분류하고,
상기 클라이언트 지연시간과 상기 서버 지연시간이 모두 기준값보다 작은 경우에는 해당 세션의 트래픽은 역 접속 트래픽으로 분류하고,
기준값 이상의 지연시간 후 수신된 첫 번째 패킷이 서버 측에서 송신된 인바운드 방향인 경우에는 해당 세션의 트래픽은 역 접속 트래픽으로 분류하는 것을 특징으로 하는 지연시간 기반 역 접속 탐지 시스템.A packet collecting unit for collecting packets transmitted and received between the client and the server;
A session management unit for analyzing the packets collected by the packet collection unit and classifying the packets according to sessions;
A delay time analyzer for calculating a client delay time and a server delay time based on a time when an inbound packet and an outbound packet are transmitted and received for each session; And
And a detection unit for detecting reverse access traffic by comparing and analyzing the pre-stored rules based on the client delay time and the server delay time,
The detection unit
If the client delay time is smaller than the reference value and the server delay time is larger than the reference value, the traffic of the session is classified as the reverse access traffic,
If the client delay time and the server delay time are both smaller than the reference value, the traffic of the session is classified as the reverse access traffic,
If the first packet received after the delay time longer than the reference value is the inbound direction transmitted from the server side, classifies the traffic of the session as the reverse access traffic. 제1항에 있어서, 상기 지연시간 분석부는
분석 예외 패킷을 제외한 인바운드 패킷과 아웃바운드 패킷을 기초로 클라이언트 지연시간과 서버 지연시간을 산출하는 것을 특징으로 하는 지연시간 기반 역 접속 탐지 시스템.2. The apparatus of claim 1, wherein the delay time analyzer
Wherein the client delay time and the server delay time are calculated on the basis of the inbound packet and the outbound packet excluding the analysis exception packet. 제2항에 있어서, 상기 분석 예외 패킷은
프로토콜 제어 패킷과 웹페이지의 다중 링크에 의한 요청 패킷을 포함하는 것을 특징으로 하는 지연시간 기반 역 접속 탐지 시스템.3. The method of claim 2, wherein the analysis exception packet
A protocol control packet and a request packet by a multiple link of a web page. 제1항에 있어서, 상기 지연시간 분석부는
서버 측 마지막 인바운드 패킷이 수신된 시간과 트래픽 방향이 변경된 후 클라이언트 측 첫 번째 아웃바운드 패킷이 수신된 시간 사이의 시간 간격을 클라이언트 지연시간으로 산출하고,
클라이언트 측 마지막 아웃바운드 패킷이 수신된 시간과 트래픽 방향이 변경된 후 서버 측 첫 번째 인바운드 응답 패킷이 수신된 시간 사이의 시간 간격을 서버 지연시간으로 산출하는 것을 특징으로 하는 지연시간 기반 역 접속 탐지 시스템.2. The apparatus of claim 1, wherein the delay time analyzer
A time interval between the reception time of the server-side last inbound packet and the reception time of the client-side first outbound packet after the traffic direction is changed is calculated as the client delay time,
Wherein the time interval between the time when the client-side last outbound packet is received and the time when the server-side first inbound response packet is received after the traffic direction is changed is calculated as the server delay time. 제1항에 있어서, 상기 탐지부는
상기 클라이언트 지연시간이 기준값(threshold)보다 크고, 상기 서버 지연시간이 기준값보다 작은 경우에는 해당 세션의 트래픽은 정상 트래픽으로 분류하는 것을 특징으로 하는 지연시간 기반 역 접속 탐지 시스템.The apparatus of claim 1, wherein the detecting unit
If the client delay time is greater than a threshold value and the server delay time is less than a reference value, the traffic of the session is classified as a normal traffic. 삭제delete 삭제delete 삭제delete 제1항에 있어서,
상기 역 접속 트래픽이 탐지된 세션을 차단하는 차단부를 더 포함하는 것을 특징으로 하는 지연시간 기반 역 접속 탐지 시스템.The method according to claim 1,
Further comprising a blocking unit for blocking a session in which the reverse access traffic is detected. (a) 패킷 수집부에서 클라이언트와 서버 간 송수신되는 패킷들을 수집하는 단계;
(b) 세션 관리부에서 상기 수집된 패킷들을 분석하여 상기 패킷들을 세션별로 분류하는 단계;
(c) 지연시간 분석부에서 세션별로 인바운드 패킷과 아웃바운드 패킷이 송수신된 시간을 기초로 클라이언트 지연시간과 서버 지연시간을 산출하는 단계; 및
(d) 탐지부에서 상기 클라이언트 지연시간과 서버 지연시간을 기초로 기 저장된 룰과 비교분석하여 역 접속 트래픽을 탐지하는 단계를 포함하고,
상기 역 접속 트래픽을 탐지하는 단계는
상기 클라이언트 지연시간이 기준값보다 작고, 상기 서버 지연시간이 기준값보다 큰 경우에는 해당 세션의 트래픽은 역 접속 트래픽으로 분류하고,
상기 클라이언트 지연시간과 상기 서버 지연시간이 모두 기준값보다 작은 경우에는 해당 세션의 트래픽은 역 접속 트래픽으로 분류하고,
기준값 이상의 지연시간 후 수신된 첫 번째 패킷이 인바운드 방향인 경우에는 해당 세션의 트래픽은 역 접속 트래픽으로 분류하는 것을 특징으로 하는 지연시간 기반 역 접속 탐지 방법.(a) collecting packets transmitted and received between a client and a server in a packet collecting unit;
(b) analyzing the collected packets in the session management unit and classifying the collected packets by session;
(c) calculating a client delay time and a server delay time based on a time when the inbound packet and the outbound packet are transmitted and received for each session in the delay time analyzing unit; And
(d) detecting a reverse access traffic by comparing and analyzing with the pre-stored rule based on the client delay time and the server delay time at the detecting unit,
The step of detecting the reverse access traffic
If the client delay time is smaller than the reference value and the server delay time is larger than the reference value, the traffic of the session is classified as the reverse access traffic,
If the client delay time and the server delay time are both smaller than the reference value, the traffic of the session is classified as the reverse access traffic,
And if the first packet received after the delay time equal to or greater than the reference value is in the inbound direction, the traffic of the session is classified as the reverse connection traffic. 제10항에 있어서,
상기 패킷들을 세션별로 분류한 후, 분석 예외 패킷을 제외하는 단계를 더 포함하는 것을 특징으로 하는 지연시간 기반 역 접속 탐지 방법.11. The method of claim 10,
Further comprising the step of classifying the packets by session and excluding an analysis exception packet. 제10항에 있어서, 상기 역 접속 트래픽을 탐지하는 단계는
상기 클라이언트 지연시간이 기준값보다 크고, 상기 서버 지연시간이 기준값보다 작은 경우에는 해당 세션의 트래픽은 정상 트래픽으로 분류하는 것을 특징으로 하는 지연시간 기반 역 접속 탐지 방법.11. The method of claim 10, wherein detecting the reverse-
And if the client delay time is greater than a reference value and the server delay time is less than the reference value, the traffic of the session is classified as normal traffic. 삭제delete 삭제delete 삭제delete
KR1020130005385A 2013-01-17 2013-01-17 Reverse access detecting system and method based on latency Active KR101424490B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130005385A KR101424490B1 (en) 2013-01-17 2013-01-17 Reverse access detecting system and method based on latency

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130005385A KR101424490B1 (en) 2013-01-17 2013-01-17 Reverse access detecting system and method based on latency

Publications (2)

Publication Number Publication Date
KR20140093060A KR20140093060A (en) 2014-07-25
KR101424490B1 true KR101424490B1 (en) 2014-08-01

Family

ID=51739423

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130005385A Active KR101424490B1 (en) 2013-01-17 2013-01-17 Reverse access detecting system and method based on latency

Country Status (1)

Country Link
KR (1) KR101424490B1 (en)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10476673B2 (en) 2017-03-22 2019-11-12 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
US20180324061A1 (en) * 2017-05-03 2018-11-08 Extrahop Networks, Inc. Detecting network flow states for network traffic analysis
US9967292B1 (en) 2017-10-25 2018-05-08 Extrahop Networks, Inc. Inline secret sharing
US10389574B1 (en) 2018-02-07 2019-08-20 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US10038611B1 (en) 2018-02-08 2018-07-31 Extrahop Networks, Inc. Personalization of alerts based on network monitoring
US10270794B1 (en) 2018-02-09 2019-04-23 Extrahop Networks, Inc. Detection of denial of service attacks
US10411978B1 (en) 2018-08-09 2019-09-10 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US10594718B1 (en) 2018-08-21 2020-03-17 Extrahop Networks, Inc. Managing incident response operations based on monitored network activity
US10965702B2 (en) 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
US11165814B2 (en) 2019-07-29 2021-11-02 Extrahop Networks, Inc. Modifying triage information based on network monitoring
US10742530B1 (en) 2019-08-05 2020-08-11 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US11388072B2 (en) 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
CN110995733B (en) * 2019-12-12 2022-10-28 江苏亨通工控安全研究院有限公司 Intrusion detection system in industrial control field based on remote measuring technology
US11165823B2 (en) 2019-12-17 2021-11-02 Extrahop Networks, Inc. Automated preemptive polymorphic deception
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
WO2022066910A1 (en) 2020-09-23 2022-03-31 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004140524A (en) 2002-10-16 2004-05-13 Sony Corp Method and apparatus for detecting dos attack, and program
US6789203B1 (en) 2000-06-26 2004-09-07 Sun Microsystems, Inc. Method and apparatus for preventing a denial of service (DOS) attack by selectively throttling TCP/IP requests

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6789203B1 (en) 2000-06-26 2004-09-07 Sun Microsystems, Inc. Method and apparatus for preventing a denial of service (DOS) attack by selectively throttling TCP/IP requests
JP2004140524A (en) 2002-10-16 2004-05-13 Sony Corp Method and apparatus for detecting dos attack, and program

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
논문:한국인터넷진흥원 *
카달로그(2012) *

Also Published As

Publication number Publication date
KR20140093060A (en) 2014-07-25

Similar Documents

Publication Publication Date Title
KR101424490B1 (en) Reverse access detecting system and method based on latency
US11316878B2 (en) System and method for malware detection
US8255996B2 (en) Network threat detection and mitigation
US10911473B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
US8042182B2 (en) Method and system for network intrusion detection, related network and computer program product
US8295188B2 (en) VoIP security
US8966627B2 (en) Method and apparatus for defending distributed denial-of-service (DDoS) attack through abnormally terminated session
US11005865B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
KR102244036B1 (en) Method for Classifying Network Asset Using Network Flow data and Method for Detecting Threat to the Network Asset Classified by the Same Method
KR101219796B1 (en) Apparatus and Method for protecting DDoS
CN108616488B (en) Attack defense method and defense equipment
KR20130017333A (en) Attack decision system of slow distributed denial of service based application layer and method of the same
US20220263846A1 (en) METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF
Schehlmann et al. COFFEE: a Concept based on OpenFlow to Filter and Erase Events of botnet activity at high-speed nodes
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
US20040250158A1 (en) System and method for protecting an IP transmission network against the denial of service attacks
KR102685997B1 (en) Harmful ip determining method
KR20070079781A (en) Intrusion prevention system using hypertext transfer protocol request information extraction and UAL blocking method using same
KR20120000942A (en) Bot Infection Host Detection Device Based on Blacklist Access Statistics and Its Detection Method
WO2005026872A2 (en) Internal lan perimeter security appliance composed of a pci card and complementary software
KR102211503B1 (en) Harmful ip determining method
KR101065800B1 (en) Network management apparatus and method thereof, user terminal and recording medium thereof
Stanciu Technologies, methodologies and challenges in network intrusion detection and prevention systems.
KR100983549B1 (en) System for defending client distribute denial of service and method therefor
KR101196325B1 (en) Distributed denial of service attack search apparatus and method thereof

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20130117

PA0201 Request for examination
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20140227

Patent event code: PE09021S01D

PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20140526

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20140723

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20140723

End annual number: 3

Start annual number: 1

PG1501 Laying open of application
PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20170717

Year of fee payment: 4

PR1001 Payment of annual fee

Payment date: 20170717

Start annual number: 4

End annual number: 4

FPAY Annual fee payment

Payment date: 20180723

Year of fee payment: 5

PR1001 Payment of annual fee

Payment date: 20180723

Start annual number: 5

End annual number: 5

FPAY Annual fee payment

Payment date: 20190723

Year of fee payment: 6

PR1001 Payment of annual fee

Payment date: 20190723

Start annual number: 6

End annual number: 6

PR1001 Payment of annual fee

Payment date: 20200723

Start annual number: 7

End annual number: 7

PR1001 Payment of annual fee

Payment date: 20220725

Start annual number: 9

End annual number: 9

PR1001 Payment of annual fee

Payment date: 20230724

Start annual number: 10

End annual number: 10

PR1001 Payment of annual fee

Payment date: 20231220

Start annual number: 11

End annual number: 11