[go: up one dir, main page]

KR20180024524A - Apparatus and method for blocking using reputation analysys - Google Patents

Apparatus and method for blocking using reputation analysys Download PDF

Info

Publication number
KR20180024524A
KR20180024524A KR1020160110888A KR20160110888A KR20180024524A KR 20180024524 A KR20180024524 A KR 20180024524A KR 1020160110888 A KR1020160110888 A KR 1020160110888A KR 20160110888 A KR20160110888 A KR 20160110888A KR 20180024524 A KR20180024524 A KR 20180024524A
Authority
KR
South Korea
Prior art keywords
reputation
information
traffic
packet
event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
KR1020160110888A
Other languages
Korean (ko)
Inventor
박지백
이대준
고혁준
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020160110888A priority Critical patent/KR20180024524A/en
Publication of KR20180024524A publication Critical patent/KR20180024524A/en
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to reputation-based blocking apparatus and method by a network traffic analysis. More specifically, the present invention relates to reputation-based blocking apparatus and method by a network traffic analysis, which are able to generate an attacker reputation information through the analysis of network traffic, to use the reputation information generated thereby, and to detect and block a source who has performed outside of social norms in the past. In addition, according to the present invention, the reputation-based blocking apparatus by the network traffic analysis comprises: a packet collection unit to collect packets in a network interface card; a packet analysis unit to analyze the packets collected by the packet collection unit and to, when traffic is determined to be traffic having with an intent to exhibit ill will, generate an event for the traffic; an event analysis unit to extract information needed for the generation of reputation information from the event transferred from the packet analysis unit; a reputation analysis unit to calculate the person′s reputation by using the information transferred from the event analysis unit and to store and manage the reputation in a reputation database; and a reputation control unit to use attacker reputation information managed in the reputation database and to detect and block a source which has performed outside of social norms in the past.

Description

네트워크 트래픽 분석에 의한 평판 기반 차단 장치 및 방법{APPARATUS AND METHOD FOR BLOCKING USING REPUTATION ANALYSYS}[0001] APPARATUS AND METHOD FOR BLOCKING USING REPORT ANALYSYS [0002]

본 발명은 네트워크 트래픽 분석에 의한 평판 기반 차단 장치 및 방법에 관한 것으로, 특히 네트워크 트래픽의 분석을 통한 공격자 평판 정보를 생성하고, 이렇게 생성된 평판 정보를 이용하여 과거 악의적인 의도를 수행하였던 원천에 대한 탐지와 차단을 수행하는 네트워크 트래픽 분석에 의한 평판 기반 차단 장치 및 방법에 관한 것이다.The present invention relates to a reputation-based blocking apparatus and method by analyzing network traffic, and more particularly, to a method and apparatus for generating attacker reputation information by analyzing network traffic and using the generated reputation information for a source of malicious intent And more particularly, to a reputation based blocking device and method by network traffic analysis that performs detection and blocking.

종래 기술에 따른 평판 정보 생성 방식은 개별 기관에서 여러 소스를 수집하고 이에 대한 평판을 계산하여 생성한다.In the conventional flat information generation method, various sources are collected from individual institutions and the reputation is calculated and generated.

이렇게 생성된 평판 정보를 이용하여 고속 네트워크 탐지/차단 시스템에서는 과거 악의적인 의도를 수행하였던 원천에 대한 탐지/차단을 수행할 수 있다.Using the generated reputation information, the high-speed network detection / blocking system can detect / block the source that has performed malicious intention in the past.

하지만 공격자 평판 정보에 대한 생성 기준과 수집대상 등이 명확하지 않게 되면 실제 보호 대상 네트워크에 적합한 평판 정보를 선택하는데 어려움이 존재한다. However, there is a difficulty in selecting the reputation information suitable for the actual protected network when the generation criterion and the collection target of the attacker reputation information are not clear.

공격자 평판 정보의 배포 기관은 중앙에서 관리하고 있어 네트워크 탐지/차단 시스템 입장에서는 공격자 평판 정보의 지속적인 관리/갱신이 어렵게 된다.Since the distributor of attacker reputation information is centrally managed, it is difficult for the network detection / blocking system to constantly manage / update attacker reputation information.

또한 배포 기관에서 배포하는 공격자 평판 정보는 광범위하여, 네트워크 탐지/차단 시스템이 보호하는 네트워크가 지역적인 경우에 적합하지 않은 경우가 많이 발생한다.Also, because the attacker reputation information distributed by the distribution agency is extensive, it often occurs that the network protected by the network detection / blocking system is not suitable for the local area.

이러한 평판 정보의 중앙 관리/배포의 문제점으로 인하여 외부 평판 정보를 이용하더라도 네트워크 탐지/차단 시스템에서 효과적으로 활용되기 어려운 부분이 존재한다.Due to the problem of central management / distribution of such reputation information, even if external reputation information is used, there is a part that is not effectively utilized in the network detection / blocking system.

국내특허공개번호 : 10-2009-0060718호Korean Patent Publication No. 10-2009-0060718 국내 등록번호 : 10-1126532호Domestic registration number: 10-1126532 국내특허공개번호 : 10-2015-0119519호Korean Patent Publication No. 10-2015-0119519

본 발명은 상기와 같은 문제점을 해결하기 위하여, 네트워크 트래픽의 분석을 통한 공격자 평판 정보를 생성하고, 이렇게 생성된 평판 정보를 이용하여 과거 악의적인 의도를 수행하였던 원천에 대한 탐지와 차단을 수행하는 네트워크 트래픽 분석에 의한 평판 기반 차단 장치 및 방법을 제공하는 데 있다.In order to solve the above-described problems, the present invention provides a method and apparatus for generating attacker reputation information by analyzing network traffic, and detecting and blocking a source that has performed malicious intent in the past using the generated reputation information. And to provide a reputation-based blocking device and method by traffic analysis.

본 발명의 일 측면은 네트워크 인터페이스 카드에서 패킷을 수집하는 패킷 수집부; 상기 패킷 수집부에서 수집된 패킷은 분석하여 악의적인 의도를 가진 트래픽으로 판단될 경우 해당 트래픽에 대한 이벤트 생성하는 패킷 분석부; 상기 패킷 분석부에서 전달받은 이벤트로부터 평판 정보 생성에 필요한 정보를 추출하는 이벤트 분석부; 상기 이벤트 분석부에서 전달받은 정보를 이용하여 평판을 계산하여 평판 데이터베이스에 저장하여 관리하는 평판 분석부; 및 상기 평판 데이터베이스에서 관리되고 있는 공격자 평판 정보를 이용하여 과거 악의적인 의도를 수행하였던 원천에 대한 탐지와 차단을 수행하는 평판 제어부를 포함한다.According to an aspect of the present invention, there is provided a network interface card, comprising: a packet collector for collecting packets in a network interface card; A packet analyzer for analyzing the packet collected by the packet collector and generating an event for the traffic when it is determined that the traffic is malicious intention; An event analyzer for extracting information necessary for generating reputation information from the event received from the packet analyzer; A flat analysis unit for calculating a flat using the information received from the event analysis unit, storing the flat in the flat database, and managing the flat; And a reputation controller for performing detection and blocking of a source that has performed a malicious intention in the past using attacker reputation information managed in the reputation database.

또한, 본 발명의 일 측면의 상기 패킷 분석부는 정책을 설정해 놓고, 트래픽 분석시에 정책에 부합하는 트래픽이 발생되었을 경우에 이를 악의적인 공격이라고 판단하고 해당 정책으로 이벤트를 발생시키는 다수의 분석 엔진을 포함한다.Also, the packet analyzing unit of the present invention sets a policy, and when a traffic corresponding to the policy is generated at the time of traffic analysis, it is determined that the attack is a malicious attack and a plurality of analysis engines .

또한, 본 발명의 일 측면의 상기 이벤트 분석부가 추출하는 평판 정보 생성을 위해 필요한 정보는 공격자 IP 정보, 공격 유형 정보, 공격시 트래픽의 량, 공격의 빈도, 공격의 위험 정보 및 공격의 패턴을 포함한다.In addition, the information necessary for generating the reputation information extracted by the event analysis unit of the present invention includes attacker IP information, attack type information, amount of traffic at the time of attack, frequency of attack, risk information of an attack, do.

또한, 본 발명의 일 측면의 상기 평판 제어부는 평판 제어 엔진을 사용하여 상기 평판 데이터베이스에서 관리되고 있는 공격자 평판 정보를 이용하여 과거 악의적인 의도를 수행하였던 원천에 대한 탐지와 차단을 수행한다.In addition, the flat panel control unit of the present invention uses the flat panel control engine to detect and block the source of the past malicious intention using the attacker reputation information managed in the reputation database.

한편, 본 발명의 다른 측면은 (A) 패킷 수집부가 네트워크 인터페이스 카드에서 패킷을 수집하는 단계; (B) 패킷 분석부가 상기 패킷 수집부에서 수집된 패킷은 분석하여 악의적인 의도를 가진 트래픽으로 판단될 경우 해당 트래픽에 대한 이벤트 생성하는 단계; (C) 이벤트 분석부가 상기 패킷 분석부에서 전달받은 이벤트로부터 평판 정보 생성에 필요한 정보를 추출하는 단계; (D) 평판 분석부가 상기 이벤트 분석부에서 전달받은 정보를 이용하여 평판을 계산하여 평판 데이터베이스에 저장하여 관리하는 단계; 및 (E) 평판 제어부가 상기 평판 데이터베이스에서 관리되고 있는 공격자 평판 정보를 이용하여 과거 악의적인 의도를 수행하였던 원천에 대한 탐지와 차단을 수행하는 단계를 포함한다.According to another aspect of the present invention, there is provided a method of transmitting packet data, comprising the steps of: (A) collecting packets in a network interface card; (B) analyzing a packet collected by the packet analyzing unit in the packet collecting unit and generating an event for the traffic when it is determined that the traffic has a malicious intention; (C) extracting information necessary for generating reputation information from the event received by the packet analyzing unit; (D) calculating a reputation using the information received from the event analyzer and storing the same in a reputation database; And (E) performing a detection and blocking of a source for which the malicious intention has been performed using the attacker reputation information managed by the reputation database in the reputation control unit.

또한, 본 발명의 다른 측면의 상기 (B) 단계에서 상기 패킷 분석부는 정책을 설정해 놓은 다수의 분석 엔진을 사용하여 트래픽 분석시에 정책에 부합하는 트래픽이 발생되었을 경우에 이를 악의적인 공격이라고 판단하고 해당 정책으로 이벤트를 발생시킨다.In addition, in step (B) of another aspect of the present invention, the packet analyzing unit may use a plurality of analysis engines that set a policy to determine that a malicious attack occurs when traffic conforming to the policy is generated at the time of traffic analysis The event is triggered by the corresponding policy.

또한, 본 발명의 다른 측면의 상기 (C) 단계에서 상기 이벤트 분석부가 추출하는 평판 정보 생성을 위해 필요한 정보는 공격자 IP 정보, 공격 유형 정보, 공격시 트래픽의 량, 공격의 빈도, 공격의 위험 정보 및 공격의 패턴을 포함한다.Further, in the step (C) of the other aspect of the present invention, the information required for generating the reputation information extracted by the event analysis unit includes attacker IP information, attack type information, amount of traffic at the time of attack, frequency of attack, And patterns of attacks.

본 발명에 따르면, 네트워크 트래픽의 분석을 통한 공격자 평판 정보를 생성하고, 이렇게 생성된 평판 정보를 이용하여 과거 악의적인 의도를 수행하였던 원천에 대한 탐지와 차단을 수행하기 때문에, 지역적인 네트워크에서의 정보 활용도를 높일 수 있다.According to the present invention, attacker reputation information is generated through analysis of network traffic, and detection and blocking of a source that has performed malicious intent in the past using the generated reputation information are performed, It can increase utilization.

또한, 본 발명에 따르면, 공격자 평판 정보를 배포하는 기관에 의존하지 않기 때문에 비용이 발생하지 않으며 지속적인 관리가 가능하도록 한다.Further, according to the present invention, cost is not incurred because it does not depend on an organization distributing attacker reputation information, and continuous management is possible.

도 1은 본 발명의 일 실시예에 따른 네트워크 트래픽 분석에 의한 평판 기반 차단 장치의 구성도이다.
도 2는 본 발명의 일 실시예에 따른 네트워크 트래픽 분석에 의한 평판 기반 차단 방법의 흐름도이다.
1 is a configuration diagram of a flat panel-based blocking device by analyzing network traffic according to an embodiment of the present invention.
2 is a flowchart of a reputation-based blocking method by analyzing network traffic according to an exemplary embodiment of the present invention.

본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 설명하기 위하여 이하에서는 본 발명의 바람직한 실시예를 예시하고 이를 참조하여 살펴본다.BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, features and advantages of the present invention will become more apparent from the following detailed description of the present invention when taken in conjunction with the accompanying drawings.

먼저, 본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니며, 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함할 수 있다. 또한 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.First, the terminology used in the present application is used only to describe a specific embodiment, and is not intended to limit the present invention, and the singular expressions may include plural expressions unless the context clearly indicates otherwise. Also, in this application, the terms "comprise", "having", and the like are intended to specify that there are stated features, integers, steps, operations, elements, parts or combinations thereof, But do not preclude the presence or addition of features, numbers, steps, operations, components, parts, or combinations thereof.

본 발명을 설명함에 있어서, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear.

도 1은 본 발명의 일 실시예에 따른 네트워크 트래픽 분석에 의한 평판 기반 차단 장치의 구성도이다. 1 is a configuration diagram of a flat panel-based blocking device by analyzing network traffic according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일 실시예에 따른 네트워크 트래픽 분석에 의한 평판 기반 차단 장치는 패킷 수집부(100), 패킷 분석부(200), 이벤트 분석부(300), 평판 분석부(400), 평판 데이터베이스(500) 및 평판 제어부(600)를 포함한다.Referring to FIG. 1, a flat panel based blocking device according to an embodiment of the present invention includes a packet collecting unit 100, a packet analyzing unit 200, an event analyzing unit 300, a flat analysis unit 400 A flat panel database 500, and a flat panel controller 600. [

상기 패킷 수집부(100)는 네트워크 인터페이스 카드(Network Interface Card )(100-1)에서 패킷을 수집한다. The packet collecting unit 100 collects packets from the network interface card 100-1.

그리고, 패킷 분석부(200)는 상기 패킷 수집부(100)에서 수집된 패킷은 여러 분석 엔진(200-1~200-3)을 통해 분석하고, 분석 결과 악의적인 의도를 가진 트래픽으로 판단될 경우 해당 트래픽에 대한 이벤트 생성 후 이벤트 분석부(300)로 전달한다.The packet analyzing unit 200 analyzes the packet collected by the packet collecting unit 100 through the analysis engines 200-1 through 200-3 and if it is determined that the packet has a malicious intention And transmits the event to the event analysis unit 300 after the event is generated.

상기 여러 분석 엔진(200-1~200-3)은 미리 정책을 설정해 놓고, 트래픽 분석시에 정책에 부합하는 트래픽이 발생되었을 경우에 이를 악의적인 의도를 가진 공격이라 판단하고 해당 정책으로 이벤트를 발생시킨다.The plurality of analysis engines 200-1 to 200-3 set a policy in advance, and when traffic corresponding to the policy is generated at the time of traffic analysis, it is determined that the attack is a malicious intention and an event is generated by the corresponding policy .

다음으로, 이벤트 분석부(300)는 전달받은 이벤트로부터 평판 정보 생성에 필요한 정보를 추출한다.Next, the event analysis unit 300 extracts information necessary for generating reputation information from the received event.

네트워크 트래픽 분석에 의한 평판 기반 차단 장치의 자체적인 공격자 평판 정보를 생성하기 위하여 필요한 정보는 공격자 IP 정보, 공격 유형 정보, 공격시 트래픽의 량, 공격의 빈도, 공격의 위험 정보, 공격의 패턴이다. 여기에서, 공격자 평판 정보는 네트워크 트래픽을 발생시킨 주체의 위험도를 나타낸다.The information needed to generate attacker reputation information of reputation based blocking device by network traffic analysis is attacker IP information, attack type information, amount of traffic in attack, attack frequency, attack information, and attack pattern. Here, the attacker reputation information represents the risk of the entity that generated the network traffic.

상기 이벤트 분석부(300)는 추출한 정보를 평판 분석부(400)에 전달한다.The event analysis unit 300 delivers the extracted information to the flat analysis unit 400. [

상기 평판 분석부(400)는 이벤트 분석부(200)에서 전달받은 정보를 이용하여 평판을 계산 및 평판 데이터베이스(500)에 저장하여 관리한다.The flat analysis unit 400 uses the information received from the event analysis unit 200 to store and manage the reputation in the flatness database 500.

상기 평판 데이터베이스(500)는 평판 분석부(400)에서 계산된 공격자 평판 정보를 저장하여 관리한다.The reputation database 500 stores and manages the attacker reputation information calculated by the reputation analyzer 400.

한편, 평판 제어부(600)는 평판 제어 엔진(600-1)을 사용하여 평판 데이터베이스(500)에서 관리되고 있는 공격자 평판 정보를 이용하여 과거 악의적인 의도를 수행하였던 원천에 대한 탐지와 차단을 수행한다.On the other hand, the flat panel control unit 600 uses the flat panel control engine 600-1 to detect and block the source of the past malicious intention using the attacker reputation information managed in the reputation database 500 .

도 2는 본 발명의 일 실시예에 따른 네트워크 트래픽 분석에 의한 평판 기반 차단 방법의 흐름도이다.2 is a flowchart of a reputation-based blocking method by analyzing network traffic according to an exemplary embodiment of the present invention.

도 2를 참조하면, 본 발명의 일 실시예에 따른 네트워크 트래픽 분석에 의한 평판 기반 차단 방법은 먼저 패킷 수집부가 네트워크 인터페이스 카드(Network Interface Card )에서 패킷을 수집한다(S100). Referring to FIG. 2, in the reputation-based blocking method by analyzing network traffic according to an embodiment of the present invention, a packet collector collects packets from a network interface card (S100).

다음으로, 패킷 분석부의 여러 분석 엔진은 상기 패킷 수집부에서 수집된 패킷은 분석하여 분석 결과 무해한 트래픽으로 판단되는 경우에 단계 S100부터 반복하고 악의적인 의도를 가진 트래픽으로 판단될 경우, 즉 유해한 트래픽으로 판단될 경우에 해당 트래픽에 대한 이벤트를 생성하여 생성된 이벤트를 이벤트 분석부로 전달한다(S120).Next, the various analysis engines in the packet analyzer analyze the packets collected in the packet collection unit and repeat the process from step S100 when it is determined that the traffic is harmless traffic. If it is determined that the traffic is malicious intention, that is, When it is determined that the traffic is generated, an event for the traffic is generated and the generated event is transmitted to the event analysis unit (S120).

다음으로, 이벤트 분석부는 전달받은 이벤트로부터 평판 정보 생성에 필요한 정보를 추출한다(S130). Next, the event analyzing unit extracts information necessary for generating reputation information from the received event (S130).

네트워크 트래픽 분석에 의한 평판 기반 차단 장치의 자체적인 공격자 평판 정보를 생성하기 위하여 필요한 정보는 공격자 IP 정보, 공격 유형 정보, 공격시 트래픽의 량, 공격의 빈도, 공격의 위험 정보, 공격의 패턴이다. The information needed to generate attacker reputation information of reputation based blocking device by network traffic analysis is attacker IP information, attack type information, amount of traffic in attack, attack frequency, attack information, and attack pattern.

상기 이벤트 분석부는 추출한 정보를 평판 분석부에 전달하며, 평판 분석부는 이벤트 분석부에서 전달받은 정보를 이용하여 공격자 평판 정보를 생성하고, 생성된 공격자 평판 정보를 평판 데이터베이스에 저장하여 관리한다(S140).The event analysis unit transmits the extracted information to the reputation analysis unit. The reputation analysis unit generates attacker reputation information using the information received from the event analysis unit, and stores the generated attacker reputation information in the reputation database (S140) .

상기 평판 데이터베이스는 평판 분석부에서 계산된 공격자 평판 정보를 저장하여 관리한다.The reputation database stores and manages attacker reputation information calculated by the reputation analysis unit.

한편, 평판 제어부는 평판 제어 엔진을 사용하여 평판 데이터베이스에서 관리되고 있는 공격자 평판 정보를 이용하여 과거 악의적인 의도를 수행하였던 원천에 대한 탐지와 차단을 수행한다(S150).Meanwhile, the flat panel control unit uses the flat panel control engine to detect and block the source that has performed the malicious intention in the past using the attacker reputation information managed in the reputation database (S150).

본 발명에 따르면, 네트워크 트래픽의 분석을 통한 공격자 평판 정보를 생성하고, 이렇게 생성된 평판 정보를 이용하여 과거 악의적인 의도를 수행하였던 원천에 대한 탐지와 차단을 수행하기 때문에, 지역적인 네트워크에서의 정보 활용도를 높일 수 있다.According to the present invention, attacker reputation information is generated through analysis of network traffic, and detection and blocking of a source that has performed a malicious intention in the past using the generated reputation information are performed, It can increase utilization.

또한, 본 발명에 따르면, 공격자 평판 정보를 배포하는 기관에 의존하지 않기 때문에 비용이 발생하지 않으며 지속적인 관리가 가능하도록 한다.Further, according to the present invention, cost is not incurred because it does not depend on an organization distributing attacker reputation information, and continuous management is possible.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서 본 발명에 기재된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상이 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의해서 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The foregoing description is merely illustrative of the technical idea of the present invention, and various changes and modifications may be made by those skilled in the art without departing from the essential characteristics of the present invention. Therefore, the embodiments of the present invention are not intended to limit the scope of the present invention but to limit the scope of the present invention. The scope of protection of the present invention should be construed according to the following claims, and all technical ideas within the scope of equivalents thereof should be construed as being included in the scope of the present invention.

100 : 패킷 수집부 200 : 패킷 분석부
300 : 이벤트 분석부 400 : 평판 분석부
500 : 평판 데이터베이스 600 : 평판 제어부100: packet collecting unit 200: packet analyzing unit
300: event analysis unit 400: reputation analysis unit
500: reputation database 600:

Claims (7)

네트워크 인터페이스 카드에서 패킷을 수집하는 패킷 수집부;
상기 패킷 수집부에서 수집된 패킷은 분석하여 악의적인 의도를 가진 트래픽으로 판단될 경우 해당 트래픽에 대한 이벤트 생성하는 패킷 분석부;
상기 패킷 분석부에서 전달받은 이벤트로부터 평판 정보 생성에 필요한 정보를 추출하는 이벤트 분석부;
상기 이벤트 분석부에서 전달받은 정보를 이용하여 평판을 계산하여 평판 데이터베이스에 저장하여 관리하는 평판 분석부; 및
상기 평판 데이터베이스에서 관리되고 있는 공격자 평판 정보를 이용하여 과거 악의적인 의도를 수행하였던 원천에 대한 탐지와 차단을 수행하는 평판 제어부를 포함하는 네트워크 트래픽 분석에 의한 평판 기반 차단 장치.
A packet collecting unit for collecting packets from the network interface card;
A packet analyzer for analyzing the packet collected by the packet collector and generating an event for the traffic when it is determined that the traffic is malicious intention;
An event analyzer for extracting information necessary for generating reputation information from the event received from the packet analyzer;
A flat analysis unit for calculating a flat using the information received from the event analysis unit, storing the flat in the flat database, and managing the flat; And
And a reputation controller for performing detection and blocking of a source that has performed a malicious intent in the past using attacker reputation information managed in the reputation database.
청구항 1항에 있어서,
상기 패킷 분석부는 정책을 설정해 놓고, 트래픽 분석시에 정책에 부합하는 트래픽이 발생되었을 경우에 이를 악의적인 공격이라고 판단하고 해당 정책으로 이벤트를 발생시키는 다수의 분석 엔진을 포함하는 네트워크 트래픽 분석에 의한 평판 기반 차단 장치.
The method according to claim 1,
The packet analysis unit sets a policy, and when a traffic corresponding to the policy is generated at the time of traffic analysis, it is determined that the attack is a malicious attack and a plurality of analysis engines for generating an event based on the policy, Based blocking device.
청구항 1항에 있어서,
상기 이벤트 분석부가 추출하는 평판 정보 생성을 위해 필요한 정보는 공격자 IP 정보, 공격 유형 정보, 공격시 트래픽의 량, 공격의 빈도, 공격의 위험 정보 및 공격의 패턴을 포함하는 네트워크 트래픽 분석에 의한 평판 기반 차단 장치.
The method according to claim 1,
The information required for generating the reputation information extracted by the event analysis unit includes reputation based on network traffic analysis including attacker IP information, attack type information, amount of traffic at the time of attack, attack frequency, attack risk information, Blocking device.
청구항 1항에 있어서,
상기 평판 제어부는 평판 제어 엔진을 사용하여 상기 평판 데이터베이스에서 관리되고 있는 공격자 평판 정보를 이용하여 과거 악의적인 의도를 수행하였던 원천에 대한 탐지와 차단을 수행하는 네트워크 트래픽 분석에 의한 평판 기반 차단 장치.
The method according to claim 1,
Wherein the flat panel control unit is configured to detect and block the source of the past malicious intention using the attacker reputation information managed in the reputation database by using the flat panel control engine.
(A) 패킷 수집부가 네트워크 인터페이스 카드에서 패킷을 수집하는 단계;
(B) 패킷 분석부가 상기 패킷 수집부에서 수집된 패킷은 분석하여 악의적인 의도를 가진 트래픽으로 판단될 경우 해당 트래픽에 대한 이벤트 생성하는 단계;
(C) 이벤트 분석부가 상기 패킷 분석부에서 전달받은 이벤트로부터 평판 정보 생성에 필요한 정보를 추출하는 단계;
(D) 평판 분석부가 상기 이벤트 분석부에서 전달받은 정보를 이용하여 평판을 계산하여 평판 데이터베이스에 저장하여 관리하는 단계; 및
(E) 평판 제어부가 상기 평판 데이터베이스에서 관리되고 있는 공격자 평판 정보를 이용하여 과거 악의적인 의도를 수행하였던 원천에 대한 탐지와 차단을 수행하는 단계를 포함하는 네트워크 트래픽 분석에 의한 평판 기반 차단 방법.
(A) collecting packets from a network interface card;
(B) analyzing a packet collected by the packet analyzing unit in the packet collecting unit and generating an event for the traffic when it is determined that the traffic has a malicious intention;
(C) extracting information necessary for generating reputation information from the event received by the packet analyzing unit;
(D) calculating a reputation using information received from the event analyzer and storing the same in a reputation database; And
And (E) performing a detection and blocking of a source for which the malicious intention has been performed using the attacker reputation information managed by the reputation control unit in the reputation database.
청구항 5항에 있어서,
상기 (B) 단계에서 상기 패킷 분석부는 정책을 설정해 놓은 다수의 분석 엔진을 사용하여 트래픽 분석시에 정책에 부합하는 트래픽이 발생되었을 경우에 이를 악의적인 공격이라고 판단하고 해당 정책으로 이벤트를 발생시키는 네트워크 트래픽 분석에 의한 평판 기반 차단 방법.
The method of claim 5,
In the step (B), the packet analyzing unit may use a plurality of analysis engines that set a policy, and when traffic corresponding to the policy is generated at the time of traffic analysis, the packet analyzing unit determines that the attack is a malicious attack, A reputation - based blocking method based on traffic analysis.
청구항 5항에 있어서,
상기 (C) 단계에서 상기 이벤트 분석부가 추출하는 평판 정보 생성을 위해 필요한 정보는 공격자 IP 정보, 공격 유형 정보, 공격시 트래픽의 량, 공격의 빈도, 공격의 위험 정보 및 공격의 패턴을 포함하는 네트워크 트래픽 분석에 의한 평판 기반 차단 방법. The method of claim 5,
The information required for generating the reputation information extracted by the event analysis unit in the step (C) includes at least one of attacker IP information, attack type information, amount of traffic at the time of attack, frequency of attack, A reputation - based blocking method based on traffic analysis.
KR1020160110888A 2016-08-30 2016-08-30 Apparatus and method for blocking using reputation analysys Ceased KR20180024524A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160110888A KR20180024524A (en) 2016-08-30 2016-08-30 Apparatus and method for blocking using reputation analysys

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160110888A KR20180024524A (en) 2016-08-30 2016-08-30 Apparatus and method for blocking using reputation analysys

Publications (1)

Publication Number Publication Date
KR20180024524A true KR20180024524A (en) 2018-03-08

Family

ID=61726458

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160110888A Ceased KR20180024524A (en) 2016-08-30 2016-08-30 Apparatus and method for blocking using reputation analysys

Country Status (1)

Country Link
KR (1) KR20180024524A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101990022B1 (en) * 2018-11-28 2019-06-17 한국인터넷진흥원 Method for generating malicious traffic template about device group including malicious device apparatus thereof

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120090104A (en) * 2010-12-23 2012-08-17 한국인터넷진흥원 Device for evaluating landing, hopping and distribution sites of malicious code
US8370407B1 (en) * 2011-06-28 2013-02-05 Go Daddy Operating Company, LLC Systems providing a network resource address reputation service
KR20130116418A (en) * 2012-03-15 2013-10-24 주식회사 코닉글로리 Apparatus, method and computer readable recording medium for analyzing a reputation of an internet protocol
US20140143825A1 (en) * 2012-11-16 2014-05-22 Microsoft Corporation Reputation-Based In-Network Filtering of Client Event Information
KR20160055826A (en) * 2013-09-27 2016-05-18 비트데펜더 아이피알 매니지먼트 엘티디 Systems and Methods for Using a Reputation Indicator to Facilitate Malware Scanning

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120090104A (en) * 2010-12-23 2012-08-17 한국인터넷진흥원 Device for evaluating landing, hopping and distribution sites of malicious code
US8370407B1 (en) * 2011-06-28 2013-02-05 Go Daddy Operating Company, LLC Systems providing a network resource address reputation service
KR20130116418A (en) * 2012-03-15 2013-10-24 주식회사 코닉글로리 Apparatus, method and computer readable recording medium for analyzing a reputation of an internet protocol
US20140143825A1 (en) * 2012-11-16 2014-05-22 Microsoft Corporation Reputation-Based In-Network Filtering of Client Event Information
KR20160055826A (en) * 2013-09-27 2016-05-18 비트데펜더 아이피알 매니지먼트 엘티디 Systems and Methods for Using a Reputation Indicator to Facilitate Malware Scanning

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101990022B1 (en) * 2018-11-28 2019-06-17 한국인터넷진흥원 Method for generating malicious traffic template about device group including malicious device apparatus thereof
US11245712B2 (en) 2018-11-28 2022-02-08 Korea Internet & Security Agency Method and apparatus for generating virtual malicious traffic template for terminal group including device infected with malicious code

Similar Documents

Publication Publication Date Title
Xu et al. BeepTrace: Blockchain-enabled privacy-preserving contact tracing for COVID-19 pandemic and beyond
Reichert et al. A survey of automatic contact tracing approaches using Bluetooth Low Energy
Saxena et al. General study of intrusion detection system and survey of agent based intrusion detection system
US9338187B1 (en) Modeling user working time using authentication events within an enterprise network
Dong et al. Network measurement based modeling and optimization for IP geolocation
CN115883223B (en) User risk image generation method and device, electronic equipment and storage medium
Rahman et al. An automated contact tracing approach for controlling COVID-19 spread based on geolocation data from mobile cellular networks
CN105991587B (en) An intrusion detection method and system
CN110445801A (en) A kind of Situation Awareness method and system of Internet of Things
US10855705B2 (en) Enhanced flow-based computer network threat detection
CN102801738A (en) Distributed DoS (Denial of Service) detection method and system on basis of summary matrices
Ozer et al. A prevention and a traction system for ransomware attacks
KR100748246B1 (en) Intrusion Detection Log Collection Engine and Traffic Statistics Collection Engine
CN109891853A (en) Impossible stroke is detected in being locally located
Wang et al. A blockchain-based human-to-infrastructure contact tracing approach for COVID-19
CN102945254B (en) The method of the data that note abnormalities in TB level magnanimity Audit data
CN108833442A (en) A kind of distributed network security monitoring device and its method
CN109359484A (en) Processing method, device, equipment and the medium of the security audit terminal log of cloud platform
Boutet et al. Contact Tracing by Giant Data Collectors: Opening Pandora's Box of Threats to Privacy, Sovereignty and National Security
KR20180024524A (en) Apparatus and method for blocking using reputation analysys
CN117040943B (en) Cloud network endogenous security defense method and device based on IPv6 address driver
EP3826242B1 (en) Cyber attack information analyzing program, cyber attack information analyzing method, and information processing device
CN108322460B (en) Business system flow monitoring system
Chang et al. Detection of Sybil attacks in participatory sensing using cloud based trust management system
CN105991630B (en) A kind of shared access detection method and device

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20160830

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20180307

Patent event code: PE09021S01D

PG1501 Laying open of application
E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20180720

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20180307

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I