[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR100578503B1 - Intrusion Detection System for Inferring Risk Level - Google Patents

Intrusion Detection System for Inferring Risk Level Download PDF

Info

Publication number
KR100578503B1
KR100578503B1 KR1020010078986A KR20010078986A KR100578503B1 KR 100578503 B1 KR100578503 B1 KR 100578503B1 KR 1020010078986 A KR1020010078986 A KR 1020010078986A KR 20010078986 A KR20010078986 A KR 20010078986A KR 100578503 B1 KR100578503 B1 KR 100578503B1
Authority
KR
South Korea
Prior art keywords
packet
intrusion
destination system
hacking
type
Prior art date
Application number
KR1020010078986A
Other languages
Korean (ko)
Other versions
KR20030048933A (en
Inventor
이용균
박규형
전법훈
차수길
박현태
주정호
Original Assignee
주식회사 이글루시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이글루시큐리티 filed Critical 주식회사 이글루시큐리티
Priority to KR1020010078986A priority Critical patent/KR100578503B1/en
Publication of KR20030048933A publication Critical patent/KR20030048933A/en
Application granted granted Critical
Publication of KR100578503B1 publication Critical patent/KR100578503B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크 패킷을 수집하는 패킷수집기와, 목적지시스템의 IP를 포함한 목적지시스템의 사용용도에 대한 정보를 저장하고 있는 목적지시스템 사용 용도 DB와, 각종 침입유형에 대한 정보를 저장하고 있는 침입유형 DB와, 상기 패킷수집기에 의해 수집된 패킷을 분석하여 목적지시스템의 IP와 패킷 데이타를 분리하고 상기 패킷 데이타와 상기 침입유형 DB를 비교검색하여 소정의 침입유형 해당 여부를 판단하며 소정의 침입유형에 해당되면 상기 목적지시스템의 IP와 상기 목적지시스템 사용용도DB를 검색비교하여 위험도를 추론하여 알려주는 패킷분석기를 포함하는 위험도 추론 침입탐지시스템에 관한 것이다.The present invention provides a packet collector for collecting network packets, a destination system use use DB storing information on the use of the destination system including the IP of the destination system, and an intrusion type DB storing information on various intrusion types. And, analyzing the packets collected by the packet collector, separating IP and packet data of a destination system, and comparing the packet data with the intrusion type DB to determine whether a predetermined intrusion type is applicable and corresponding to a predetermined intrusion type. The present invention relates to a risk inference intrusion detection system including a packet analyzer that detects and compares the IP of the destination system with the destination system usage DB.

침입탐지시스템, 패킷, 해킹Intrusion Detection System, Packet, Hack

Description

위험도 추론 침입탐지시스템{Intrusion Detection System for Inferring Risk Level}Inference Detection System for Inferring Risk Level

도1은 종래의 침입탐지 시스템을 도시하는 블럭도.1 is a block diagram showing a conventional intrusion detection system.

도2는 본 발명에 따른 위험도 추론 침입탐지시스템을 도시하는 블럭도.Figure 2 is a block diagram showing a risk inference intrusion detection system according to the present invention.

도3은 본 발명에 따른 침입탐지시스템이 탐지된 패킷을 분석하여 알려주는 과정을 도시하는 흐름도.3 is a flowchart illustrating a process of analyzing and informing a detected packet by an intrusion detection system according to the present invention;

도4는 본 발명에 따른 침입탐지시스템의 해킹패턴DB에 탑재된 데이터베이스의 계층구조를 도시하는 구조도.4 is a structural diagram showing a hierarchical structure of a database mounted on a hacking pattern DB of an intrusion detection system according to the present invention;

본 발명은 침입탐지 시스템에 관한 것으로, 특히 네트워크 패킷을 분석하고 위험도를 추론하여 관리자에게 알려주는 위험도 추론 침입탐지시스템에 관한 것이다.The present invention relates to an intrusion detection system, and more particularly, to a risk inference intrusion detection system that analyzes a network packet and infers a risk to inform an administrator.

International이라는 단어와 Network라는 단어의 합성어인 인터넷은 1969년 미국 국방성의 지원으로 미국의 4개의 대학을 연결하기 위해 구축된 알파넷(ARPANET)에서 그 근원을 찾을 수 있다. 처음에는 군사적 목적으로 도입된 것이지만 최근들어 상용화의 물결에 힘입어 전세계의 수많은 사람들이 인터넷을 이용하고 있고 이를 근거로 전자우편(e-mail), 원격 컴퓨터 연결(telnet), 파일 전송(FTP), 유즈넷 뉴스(Usenet News), 인터넷 정보 검색(Gopher), 인터넷 대화와 토론(IRC), 전자 게시판(BBS), 하이퍼텍스트 정보 열람(WWW:World Wide Web), 온라인 게임, 동화상이나 음성 데이터를 실시간으로 방송하는 서비스나 비디오 회의 등 새로운 서비스가 차례로 개발되어 이용 가능하게 되었다. 이와 같이 인터넷의 상용화가 급속하게 퍼져나감에 따라 전세계가 하나의 인터넷망에 연결되고 인터넷에 의한 현대인들의 생활의 편의도 날로 높아져만 가고 있다. 그러나 이러한 인터넷의 이면에는 현대인들의 편리 이외의 정보 누설 등과 같은 위험요소들이 도사리고 있는데 일명 해커라고 지칭되는 범죄자들에 의한 정보 파괴, 정보 유출, 불법침입에 의한 시스템의 교란 및 파괴 등이 쉽게 이루어질 수 있는 문제점이 발생하게 되었다. 이러한 해킹을 방지하기 위해서 내부자 또는 외부자에 의한 허가되지 않은 침입을 사전에 탐지하여 사용자에게 알려 주는 침입탐지시스템이 사용되고 있다.  The Internet, a combination of the word International and the word Network, can be found in the ARPANET, which was established in 1969 with the support of the US Department of Defense to link four universities in the United States. It was initially introduced for military purposes, but recently, thanks to the wave of commercialization, millions of people around the world are using the Internet, based on e-mail, remote computer connections, file transfers (FTP), Usenet News, Internet Information Search (Gopher), Internet Conversation and Discussion (IRC), Bulletin Board (BBS), Hypertext Information View (WWW: World Wide Web), Online Games, Movies, or Voice Data in Real Time New services, such as broadcasting services and video conferencing, were developed and available in turn. As the commercialization of the Internet spreads rapidly, the whole world is connected to one Internet network, and the convenience of modern people's life by the Internet is increasing day by day. However, there are risk factors such as information leakage other than the convenience of modern people on the other side of the Internet, which can be easily disrupted and destroyed by criminals called hackers, information leakage, and illegal intrusion. Problems have arisen. In order to prevent such hacking, an intrusion detection system that detects and informs users in advance of unauthorized intrusion by insiders or outsiders is used.

침입탐지시스템은 네트워크 환경에서 침입 또는 의심스러운 행위를 탐지하는 시스템으로서 탐지되는 패턴에 따라 위험도를 분류하여 탐지된 결과를 사용자에게 알려준다.Intrusion detection system is a system that detects intrusion or suspicious behavior in network environment and classifies risk according to detected pattern and informs user of detected result.

도1에 도시된 바와 같이, 종래의 침입탐지시스템은 네트워크 패킷을 수집하는 패킷수집기(22)와, 상기 패킷수집기(22)에 의해 수집된 패킷을 분석하는 패킷 분석기(24)와 상기 패킷 분석기(24)에 의해 분석된 패킷 내용이 어떤 침입유형인지를 판단하기 위하여 각종 침입유형에 대한 정보를 저장하고 있는 침입유형 DB와 상 기 패킷 분석기(24)에 의해 분석된 패킷 내용과 상기 침입유형DB에 저장된 침입유형을 비교 판단하여 관리자에게 알려주는 사용자 인터페이스로 구성된다. As shown in FIG. 1, the conventional intrusion detection system includes a packet collector 22 for collecting network packets, a packet analyzer 24 for analyzing the packets collected by the packet collector 22, and the packet analyzer ( Intrusion type DB that stores information about various intrusion types in order to determine which intrusion type is analyzed by 24) and the packet contents analyzed by the packet analyzer 24 and the intrusion type DB. It consists of a user interface that compares the stored intrusion types and informs the administrator.

그러나, 이와 같은 종래의 침입탐지시스템은 단지 분석된 패킷 내용을 침입유형 DB와 비교하는 과정에서 침입을 시도하는 목적지 시스템이 어떤 용도(예컨대 그 시스템이 파일서버, 웹서버, 메일서버, DB서버인지 여부)로 사용되고 있고 어떤 취약점이 있는지 여부를 비교하지 아니하고 단순히 침입유형DB와 비교하여 수집된 패킷이 DB의 침입유형과 일치할 경우 실제 위험여부와 무관하게 위험경보를 발생시키기 때문에 실제 위험한 패킷임에도 불구하고 위험도를 낮게 평가하거나 반대로 실제 위험한 패킷이 아님에도 불구하고 위험도를 높게 평가하여 알려주는 문제점을 가지고 있다. 게다가 짧은 시간에도 수천개의 패킷이 발생되는 것이 일반적인 상황에서 이와 같은 문제점은 더욱 심각하게 대두된다. However, such a conventional intrusion detection system only uses the destination system which attempts to intrude in the process of comparing the analyzed packet contents with the intrusion type DB (eg, whether the system is a file server, a web server, a mail server, or a DB server). It does not compare whether there are any vulnerabilities, but simply compares the intrusion type DB, and if the collected packet matches the intrusion type of the DB, it generates a risk alarm regardless of the actual risk. And the risk is low, or on the contrary, even though it is not a dangerous packet, it has a problem of high risk. In addition, this problem becomes more serious when it is common to generate thousands of packets in a short time.

본 발명은 상기 종래 탐지시스템의 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은 탐지된 패킷의 목적지 시스템의 용도를 고려하여 패킷을 분석하고 그 위험도를 추론한 후 알려줄 수 있는 위험도 추론 침입탐지시스템을 제공하는 것이다. The present invention has been made to solve the problems of the conventional detection system, the object of the present invention is to infer the risk inference detection that can be informed after analyzing the packet and infer the risk in consideration of the purpose of the destination system of the detected packet To provide a system.

본 발명의 또 다른 목적은 해킹 패턴별로 해킹이 이루어지는 단계를 DB화하여 저장하고 분석된 패킷이 실제 위험도가 높은 경우 해당 패킷이 해킹의 어느 단계에 해당되는지 여부를 알려줌으로서 추후 발생될 해킹을 미연에 방지할 수 있는 위험도 추론 침입탐지시스템을 제공하는 것이다. Another object of the present invention is to make a hacking pattern for each hacking pattern by DB, and if the analyzed packet has a high actual risk, the hacking that is to be generated later will be reported by indicating whether the packet corresponds to which stage of the hacking. It is to provide a risk inference detection system that can be prevented.

본 발명은 상기한 목적을 달성하기 위하여 다음과 같은 구성을 가진다. The present invention has the following configuration to achieve the above object.

본 발명에 따른 위험도 추론 침입탐지시스템은 네트워크 패킷을 수집하는 패킷수집기와, 목적지시스템의 IP를 포함한 목적지시스템의 사용용도에 대한 정보를 저장하고 있는 목적지시스템 사용용도 DB와, 각종 침입유형에 대한 정보를 저장하고 있는 침입유형 DB와, 상기 패킷수집기에 의해 수집된 패킷을 분석하여 목적지시스템의 IP와 패킷 데이타(패킷데이타는 해커가 시도하고자 하는 궁극적인 목적을 알 수 있는 정보를 총칭함)를 분리하고 상기 패킷 데이타와 상기 침입유형 DB를 비교검색하여 소정의 침입유형 해당여부를 판단하며 소정의 침입유형에 해당되면 상기 목적지시스템의 IP 및 상기 침입유형DB로부터 파악되는 목적지시스템에 관한 정보(예컨대, 시스템의 OS, 시스템의 용도(Web서버, Mail서버, FTP서버인지 여부), 사용되는 서버프로그램명 등, 이하 '목적지시스템의 특성정보'라 함)와 상기 목적지시스템 사용용도DB를 검색비교하여 위험도를 추론하여 알려주는 패킷분석기를 포함한다. The risk inference intrusion detection system according to the present invention includes a packet collector for collecting network packets, a destination system use DB storing information on the use of the destination system including the IP of the destination system, and information on various intrusion types. Intrusion type DB that stores the data and the packet collected by the packet collector to analyze the IP of the destination system and packet data (packet data collectively the information that can know the ultimate purpose hackers try to separate) And comparing and searching the packet data and the intrusion type DB to determine whether or not a predetermined intrusion type is applicable, and if it corresponds to a predetermined intrusion type, information on a destination system obtained from the IP of the destination system and the intrusion type DB (eg, System OS, system purpose (whether it is Web server, Mail server, FTP server), server program name used And the like, hereinafter referred to as 'characteristic information of the destination system') and the destination system usage DB, the packet analyzer may be inferred and informed of the risk level.

또한 본 발명에 따른 위험도 추론 침입탐지시스템은 해킹이 이루어지는 단계를 패턴화한 계층구조를 적재하고 있는 해킹패턴DB를 추가로 포함하며, 상기 패킷분석기는 분석된 패킷의 위험도가 높다고 판단할 경우 상기 패킷 데이타와 상기 해킹패턴DB의 계층구조를 비교하여 해킹 레벨을 알려주는 것을 특징으로 한다. In addition, the risk inference detection system according to the present invention further includes a hacking pattern DB that is loaded with a hierarchical pattern patterning the step of hacking, the packet analyzer if the packet analysis determines that the risk of the analyzed packet is high Comparing the hierarchical structure of the data and the hacking pattern DB is characterized in that the hacking level is informed.

본 발명에 따른 침입탐지시스템은 패킷수집기가 인터넷상에서 발생되는 패킷을 수집하고, 패킷분석기가 상기 패킷을 패킷데이타와 목적지시스템의 IP를 분리하며, 분리된 패킷데이타와 상기 침입유형 DB를 비교하여 DB상의 침입유형에 해당되는지 여부를 판단하고, 침입유형에 해당되면 분리된 목적지시스템의 IP 및 상기 침입유형DB로부터 파악되는 목적지시스템의 특성정보와 목적지시스템 사용용도DB를 비교하여 실제 위험한 침입시도인지 여부를 판단하여 관리자에게 경보하거나 알려주게 된다. Intrusion detection system according to the present invention is a packet collector collects packets generated on the Internet, the packet analyzer separates the packet data and the IP of the destination system, DB by comparing the separated packet data and the intrusion type DB It is determined whether or not it is an intrusion type on the network, and if it is an intrusion type, it compares the IP of the separated destination system and the characteristic information of the destination system identified from the intrusion type DB with the destination system use DB, and whether it is a real dangerous intrusion attempt. This will alert or inform the administrator.

한걸음 더 나아가 본 발명에 따른 침입탐지시스템은 해킹이 이루어지는 과정을 패턴화한 계층 구조를 탑재한 해킹패턴DB를 구비할 수 있어서, 상기 패킷분석기가 패킷이 실제 위험한 침입시도에 해당된다고 판단하면 해당 패킷데이타를 상기 해킹패턴DB와 비교하여 해당 패킷이 해킹단계중 어느 단계에 해당되는지 여부와 앞으로 발생될 해킹을 경보하거나 알려줌으로써 사전에 해킹을 차단할 수 있도록 한다. Furthermore, the intrusion detection system according to the present invention may include a hacking pattern DB equipped with a hierarchical structure patterning the process of hacking, and if the packet analyzer determines that the packet corresponds to an actual dangerous intrusion attempt, By comparing the data with the hacking pattern DB, it is possible to block hacking in advance by alerting or notifying which stage of the hacking step the hacking step and the hacking to occur in the future.

이하 첨부된 도면을 참조하여 본 발명의 실시예를 설명한다. Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings.

도2를 참조하면, 본 발명의 침입탐지시스템은 패킷수집기(42), 패킷분석기(44), 상기 패킷분석기(44)와 연동되는 목적지시스템 사용용도 DB(45)와 침입유형 DB(48)와 해킹패턴DB(47)와, 분석된 내용에 대한 경보와 알림을 담당하는 사용자 인터페이스(46)로 구성된다.2, the intrusion detection system of the present invention includes a packet collector 42, a packet analyzer 44, a destination system use DB 45 and an intrusion type DB 48 interoperable with the packet analyzer 44; The hacking pattern DB 47 and a user interface 46 for alerting and notifying the analyzed content are configured.

상기 패킷수집기(42)는 인터넷망이나 네트워크를 통하여 송/수신되는 모든 패킷을 가로채서 수집하는 것으로, 공지된 기술이어서 이에 대한 설명은 생략한다. The packet collector 42 intercepts and collects all packets transmitted / received through an internet network or a network, and thus a description thereof will be omitted.

상기 침입유형 DB(48)는 카테고리별로 침입유형을 분류하여 이에 대한 정보를 저장하고 있으므로, 기존의 침입유형 뿐만 아니라 새로운 침입유형을 수시로 추가할 수 있다. 예컨대 상기 서버(48)에 탑재되는 침입유형에 대한 DB는 아래 표와 같이 대분류, 중분류를 기준으로 개념 정의된 구조를 가질 수도 있다. 물론 그 구조는 이에 제한되지 아니한다. 이와 같이, 상기 침입유형DB(48)에 탑재되는 침입유형은 모두 이미 발생한 침입사례를 분석하여 적재되기 때문에, 상기 패킷분석기(44)는 침입유형을 분석하는 과정에서 해당 침입유형에 취약한 목적지시스템의 특성정보를 자동적으로 파악할 수 있게 된다.Since the intrusion type DB 48 classifies intrusion types by category and stores information on the intrusion types, new intrusion types as well as existing intrusion types may be added at any time. For example, the DB for the intrusion type mounted on the server 48 may have a structure defined conceptually on the basis of large classification and medium classification as shown in the following table. Of course, the structure is not limited to this. As described above, since all intrusion types mounted on the intrusion type DB 48 are loaded by analyzing intrusion cases that have already occurred, the packet analyzer 44 of the destination system vulnerable to the intrusion type in the process of analyzing the intrusion type. Characteristic information can be grasped automatically.

<표1:대분류>    Table 1: Major Category

대분류 명Major Category 설명Explanation 정보수집 공격Information gathering attack Hacking이 이루어지기 전 단계로 Network 또는 System의 취약점을 수집하는 공격이다. 이 공격을 통하여 System의 OS나 열려진 Port별로 사용하는 Application의 Version을 알 수 있으며 이는 해킹으로 연결될 수 도 있는 공격유형이다.It is an attack that collects network or system vulnerabilities before hacking is performed. Through this attack, you can see the version of the application used by the OS of the system or open ports. This is the type of attack that can lead to hacking. 침입공격Intrusion attack 실제로 공격이 진행중인 공격유형이다. 이러한 유형에는 백도어와 같이 시스템 내부의 정보를 유출또는 불법적인 동작이 이루어지는 경우와 인가되지 않은 접근을 시도하는 경우, 포로토콜을 해석하여 메일이나 사용자 아이디/패스워드를 보고자 시도하는 경우, 버퍼오버플로우의 취약점을 이용하여 침입을 시도하는 경우 등 즉시 조치를 취해야 하는 공격 유형이다.In fact, the type of attack is underway. These types include buffer overflows when leaking or illegal operation of information inside the system such as backdoors, attempting to gain unauthorized access, attempting to interpret the protocol to view mail or user IDs / passwords, and so on. This type of attack requires immediate action, such as attempting an intrusion using a vulnerability. 서비스거부 공격Denial of Service Attack 서비스 거부 공격은 특정 서버의 기능을 정지시킬 목적으로 엄청난 양의 네트워크 트래픽을 유발시키는 공격 유형이며, 내부의 정보가 유출되지는 않으나 기능의 장애로 인하여 업무에 치명적인 피해를 입을 수 있다.A denial of service attack is a type of attack that generates a huge amount of network traffic for the purpose of shutting down a particular server. It does not leak internal information, but it can be fatal to business due to a malfunction. 기타Etc Hacking의 패턴은 아니지만 주의가 요망되는 또는 관리적 통계에 필요한 분류 유형이며, 어플리케이션 (예를 들어 ICQ, IRC 등)에서 사용하는 경우와 업무와 관련없는 유해 사이트 접속 통계에 필요한 패턴 및 WEB 사용에 관련된 내용을 포함한다.Although not a pattern of hacking, this is a classification type that requires attention or is necessary for administrative statistics, and is used for applications (e.g. ICQ, IRC, etc.) It includes.

<표2: 중분류 >Table 2: Mid Category

대분류Main Category 중분류Category 설명Explanation 정보수집 공격Information gathering attack 공격전 탐침Aggression probe 인가받지 않은 접근(공격)을 시도하기 위한 사전 정보를 수집하기 위한 공격유형이며, 사탄을 이용한 스캔이나 포트, IP 스캔 등이 이 유형에 속한다.It is a type of attack that collects proactive information for attempting unauthorized access (attack), and this type includes scans using Satan, ports, and IP scans. 의심스러운 행위Suspicious behavior 일반적으로 공격전 탐침 이후에 이루어지는 행위로 공격전 탐침보다는 좀 더 주의가 요망되는 단계이며, 열려진 포트 등을 이전 단계에서 확인하고 그 포트를 통한 더욱 세밀한 정보를 얻으려는 시도가 이루어진다.In general, the action is performed after the pre-attack probe, which requires more attention than the pre-attack probe, and an attempt is made to check open ports at the previous stage and to obtain more detailed information through the port. 침입공격Intrusion attack 백도어Backdoor 바이러스와 유사한 형태로 시스템 내부에 존재하여 외부로 각종 정보를 유출하는 것 부터 시스템의 통제를 외부에서 불법적으로 장악할 수 있는 것 까지 다양한 종류가 있고, 외부와 연결되는 통신 Port를 감시하여 그 Port를 사용하는 백도어를 삭제하여야 한다.It exists in the form of a virus, and there are various types from leaking various information to the outside to be able to illegally take control of the system from outside and monitor the communication port connected to the outside. The backdoor used must be deleted. 버퍼오버플로우Buffer overflow 시스템 및 응용프로그램 내부 코드에서 사용하는 버퍼가 오버플로우 될때 발생하는 취약점을 이용한 공격이며, 모든 프로그램이 작성될때 이와같은 위험요소를 고려하여 구현되어야 하나 그렇지 못한 경우에 주요 공격대상이 될 수 있다. 시스템 프로그램의 경우 알려진 취약점을 보완한 패치 프로그램을 설치하여 이에 대비하여야 한다.It is an attack that exploits a vulnerability that occurs when the buffer used by the system and application internal code overflows, and it must be implemented considering such risks when all programs are written, but it can be a major target if it does not. In the case of system programs, a patch program that fixes known vulnerabilities should be installed. IP 스푸핑IP spoofing IP Address를 기반으로 접근제어를 하는 방화벽을 속이기 위한 공격유형이며, 해킹을 시도하는 컴퓨터의 IP Address를 접근이 가능한 것으로 위장하여 침입하는 것으로 방화벽의 수동적인 보호방식을 이용한 공격이다. 사후에 로그를 분석하더라도 엉뚱한 결과로 분석될 수 있다.It is an attack type to deceive a firewall that controls access based on an IP address. It is an attack that uses the passive protection method of a firewall to infiltrate the IP address of a computer attempting hacking as accessible. Even after analyzing the log, it may be misleading. 프로토콜 분석시도Protocol analysis attempt 네트워크 패킷을 가로채어 프로토콜을 분석하기 위한 시도이며, 각 패킷이 암호화되어 있지 않을 경우 사용자 아이디와 패스워드와 같은 중요한 정보가 노출될 수 있고, 주고 받는 메일의 내용이 외부로 유출될 수도 있는 공격 유형이다.It is an attempt to analyze a protocol by intercepting a network packet, and if each packet is not encrypted, it is a type of attack that may expose sensitive information such as a user ID and a password, and leak the contents of an exchanged mail. . 인가되지 않은 접근시도Unauthorized access attempt 인가받지 않고 내부 네트워크 또는 시스템에 침입을 시도하거나 내부의 정보가 외부로 유출될 수도 있는 심각한 공격 유형이며, 이경우 즉시 조치가 이루어져야 피해를 최소화 할 수 있다.It is a serious type of attack that attempts to intrude into the internal network or system without authorization or the information inside can be leaked to the outside. In this case, immediate action must be taken to minimize the damage. 서비스 거부공격Denial of Service Attack DOSDOS 서비스 거부 공격은 서버의 기능을 정지시킬 목적으로 엄청난 양의 네트워크 트래픽을 유발시키는 공격 유형이며, 곳에서 공격하거나 분산된 여러 곳에서 동시에 공격하는 패턴이 있다.A denial of service attack is a type of attack that generates a huge amount of network traffic for the purpose of shutting down a server. There are patterns of attacks from one location or from several distributed locations simultaneously. 기타Etc 어플리케이션application 사용되는 어플리케이션 패턴에 대한 정보이며, 이러한 어플리케이션에 대해 알려진 해킹공격에 따라 취약할 수도 있다. 특히 메신저 프로그램에 대한 경우는 주의가 요망된다.Information about the application patterns used, and may be vulnerable to known hacking attacks against these applications. In particular, attention should be paid to the messenger program. 잘못된 사용Misuse 업무와 무관하게 접속되는 잘못된 사용에 대한 정보를 탐지한 경우 로서, 내부 관리의 목적상 필요할 수도 있지만 해킹과는 무관한 정보들이며. 이러한 유형으로는 음란내용, 도박, 스포츠, 증권 등에 관련된 내용들이다.Detects information about misuse that is connected regardless of work, and may be necessary for internal management purposes but is not related to hacking. These types include pornography, gambling, sports, and securities. Web 정보Web information 외부에서 내부의 Web서버로 접속하여 사용되는 정보들에 대한 유형이며, 이중에는 Web Server의 종류와 버젼에 따라 주의가 요망되는 경우도 있다.This is a type of information used to connect to internal web server from outside, and some of them may require attention depending on the type and version of web server. 기타정보Other information 공격의 패턴으로 분류할 수는 없지만 침입탐지에서 감지된 기타 여러가지의 정보들을 나타낸다.Although it cannot be classified as an attack pattern, it shows various other information detected by intrusion detection.

상기 목적지시스템 사용용도 DB(45)는 목적지시스템의 IP, 그 시스템에 사용되는 OS(window NT,Solaris, Linux 등), 그 시스템의 용도(FTP 서버, Web서버, Mail서버, DB서버 등), 그 시스템에서 사용되는 서버프로그램명(예컨대 Web서버는 lls 나 Aparch 등을 사용하고, FTP서버는 wu-ftpd나 proftpd 등을 사용하며, Mail 서버는 Msexchange나 Lotusnotes, DB서버는 Oracle, MsSQL SERVER을 사용함)등(이하, '목적지시스템 사용용도정보'라 함)을 저장하고 있다. The destination system use DB 45 is the IP of the destination system, the OS (window NT, Solaris, Linux, etc.) used for the system, the purpose of the system (FTP server, Web server, Mail server, DB server, etc.), Server program name used in the system (e.g., Web server uses lls or Aparch, FTP server uses wu-ftpd or proftpd, Mail server uses Msexchange or Lotusnotes, DB server uses Oracle, MsSQL SERVER, etc.) (Hereinafter referred to as 'purpose system usage information').

상기 해킹패턴DB(47)는 도4에 도시된 바와 같이 해킹 유형별로 해킹 단계를 세분화하여 계층적으로 구조화한 해킹패턴 구조 DB를 저장하고 있다. As illustrated in FIG. 4, the hacking pattern DB 47 stores the hacking pattern structure DB hierarchically structured by subdividing the hacking step by hacking type.

도3을 참조하면, 상기 패킷분석기(44)는 수집된 패킷을 목적지 시스템의 IP와 패킷 데이타를 분리하며(52,54), 상기 분석된 패킷 데이타와 상기 침입유형 DB(48)의 DB를 비교하여 소정의 침입유형에 해당하는지 여부를 판단하고(56), 소정의 침입유형에 해당하지 아니하면 분석을 종료한다(66). 나아가 상기 패킷 분석기(44)는 수집된 패킷이 소정의 침입유형에 해당하면 앞서 분리된 목적지 시스템의 IP 및 상기 침입유형DB(47)로부터 파악되는 목적지시스템 특성정보와 동일한 목적지시스템 사용용도 정보를 가진 목적지시스템이 존재하는지 여부를 확인하기 위하여 상기 목적지시스템 사용용도 DB(45)를 검색하고(58), 검색결과, 존재한다면 상기 패킷이 목적지 시스템에 영향을 줄 수 있는 위험한 것이라고 판단하여 사용자에게 경보하거나 알려주고(64) 그렇지 않다면 분석을 종료한다(66). 또한 상기 패킷분석기(44)는 패킷이 시스템에 위해를 가할 침입임을 판단한(60) 후 상기 해킹패턴DB(47)와 연동되어 상기 DB(47)에 탑재된 해킹패턴 구조DB를 검색하고(62) 상기 패킷이 해킹의 어느 단계에 위치하고 있으며 앞으로 어느 방향으로 발전해 나갈 것인지 여부에 대하여 추가로 경보하거나 알려 줄 수도 있다(64).Referring to FIG. 3, the packet analyzer 44 separates the collected packets from IP of the destination system and packet data (52, 54), and compares the analyzed packet data with the DB of the intrusion type DB 48. It is determined whether or not it corresponds to the predetermined intrusion type (56), and if it does not correspond to the predetermined intrusion type, the analysis is terminated (66). Furthermore, if the collected packet corresponds to a predetermined intrusion type, the packet analyzer 44 has destination system usage information that is the same as the IP of the separated destination system and destination system characteristic information identified from the intrusion type DB 47. Search the destination system usage DB 45 to determine whether the destination system exists (58), and if it is present, determine that the packet is dangerous to affect the destination system to alert the user or (64) otherwise end the analysis (66). In addition, the packet analyzer 44 determines that the packet is an intrusion to harm the system (60), and then searches for the hacking pattern structure DB mounted on the DB 47 in association with the hacking pattern DB 47 (62). The packet may be further alerted or notified at which stage of the hack and in which direction it will develop (64).

앞서 본 바와 같은 본 발명의 실시예에 따른 침입탐지시스템의 작동에 대하여 다음과 같이 설명한다.  The operation of the intrusion detection system according to the embodiment of the present invention as described above will be described as follows.

"코드레드"는 windowNT의 IIS웹서버를 통해 들어와서 매우 짧은 주기로 패킷을 만들어 windowNT의 IIS웹서버를 감염시키는 웜 바이러스의 일종이다. 상기 "코드레드"가 만든 패킷을 IIS가 받게 되면 바로 코드레드에 감염되게 된다. 그러나 "코드레드"는 운영체계가 windowNT이고 서버 프로그램이 IIS인 웹서버만을 감염시키기 때문에 웹서버가 아닌 메일서버나 FTP서버 등에는 아무런 영향을 미치지 아니하며 나아가 웹서버라하더라도 windowNT 운영체계나 IIS서버 프로그램을 사용하지 아니하는 웹서버에는 아무런 영향을 주지 못한다.   "Code Red" is a type of worm that enters through windowNT's IIS web server and infects windowNT's IIS web server by making packets in very short cycles. As soon as IIS receives the packet created by "Code Red", it becomes infected with Code Red. However, "Code Red" does not affect mail server or FTP server other than web server because it only infects web server whose window system is windowNT and IIS is IIS. It has no effect on web servers that do not use.

이와 같이 "코드레드"는 windowNT의 IIS웹서버만을 감염시킴에도 불구하고 종래의 침입탐지시스템에서는 "코드레드"가 만든 패킷을 탐지하기만 하면 목적지 시스템의 용도가 웹서버인지 메일서버인지 여부를 검토하지 아니하고 경보를 하기 때문에 목적지시스템이 메일서버인 경우에도 경보를 수행하게 되며, 이러한 문제점으로 인해 사용자는 위험에 대한 경고 메시지에 무감각해질 수 있고 신속한 대처를 할 수 없게 된다. Thus, although "Code Red" only infects the IIS web server of windowNT, the conventional intrusion detection system only detects packets made by "Code Red" and examines whether the destination system is a web server or a mail server. If the destination system is a mail server, the alarm is triggered, and the user may be insensitive to the warning message about the danger and cannot respond quickly.

그러나 본 발명에 따른 침입탐지 시스템에 의하면, 상기 패킷 수집기(42)는 "코드레드"가 만든 패킷을 수집한다. 그 후 상기 패킷분석기(54)는 상기 패킷을 목적지 시스템의 IP와 패킷 데이타로 분리하고(52,54), 상기 패킷이 침입유형 DB(48)에 탑재된 소정의 침입유형에 해당하는지 여부를 판단하며(56), 상기 패킷이 소정의 침입유형에 해당하면 상기 목적지시스템 사용용도 DB(45)를 검색하고(58), 그 결과, 상기 패킷에서 분리된 목적지시스템의 IP 및 상기 침입유형DB(47)로부터 파악되는 목적지시스템의 특성정보(OS가 windowNT, 서버프로그램이 IIS인 웹서버)와 일치하는 목적지시스템 사용용도정보(OS가 windowNT, 서버프로그램이 IIS인 웹서버)를 가진 목적지시스템이 존재한다면, 위험도가 높다는 사실을 경고하거나 알려주고(60,64), 그 이외의 경우(예를 들어 OS가 Solaris, Linux이거나 용도가 FTP서버, Mail서버 또는, 웹서버인 경우에도 서버프로그램이 Aparch인 경우)에는 경고 등을 진행하지 아니하고 분석을 종료한다(66). However, according to the intrusion detection system according to the present invention, the packet collector 42 collects packets made by "Code Red". The packet analyzer 54 then separates the packet into IP and packet data of the destination system (52, 54), and determines whether the packet corresponds to a predetermined intrusion type mounted in the intrusion type DB 48. 56, if the packet corresponds to a predetermined intrusion type, search for the destination system use DB 45, and as a result, IP of the destination system separated from the packet and the intrusion type DB 47 If there exists a destination system with the destination system usage information (OS is windowNT, the server program is IIS) and the destination system characteristic information (OS is windowNT, the server program is IIS). , Warns or notifies you that the risk is high (60, 64), and otherwise (for example, if the OS is Aparch, even if the OS is Solaris, Linux, FTP server, Mail server, or web server). No warning light Be carried out nor end the analysis (66).

또한 위험도가 높다고 판단한 경우에는, 상기 패킷 분석기(44)는 상기 패킷이 도4에 도시된 바와 같은 계층 구조를 가지는 해킹패턴을 탑재하고 있는 해킹패턴DB(47)의 계층 구조 중 어느 단계에 해당하는지 여부를 판단하여 사용자에게 그 단계를 추가로 알려주거나 경고해 줄 수도 있다(62,64). 도4에 도시된 바와 같이, "코드 레드"에 의한 공격은 바이러스에 의한 서비스 거부 공격의 일종으로, 그로인한 공격 단계는 서비스 거부 초기 단계, 서비스 거부 중간 단계와 서비스 거부 공격 단계로 구분될 수 있고, 각 단계는 단위 시간당 발생되는 서비스 거부 공격 패킷 수에 의해 구분된다. 상기 해킹패턴DB(47)의 계층 구조는 단위 시간당 "코드레드"에 의해 발생되는 패킷의 수를 기준으로 분류되는데, 예컨대 패킷의 수가 30초 동안 10개이내는 서비스 거부 초기 단계로, 10초 동안 100개 이내는 서비스 거부 중간 단계로, 10초 동안 200개 이내는 서비스 거부 공격 단계로 구조화되어 상기 DB(47)에 탑재된다. 따라서, 상기 패킷 분석기(44)는 상기 해킹 패턴DB(47)와 연동되어 "코드레드"에 의해 발생되는 패킷의 수가 30초당 10개 이내라면 사용자에게 서비스 거부 초기 단계임을 알려주고 추후 해킹 행위가 서비스 중간단계와 서비스 공격 단계로 진행될 가능성이 있음을 경보하며, 10초당 100개 이내라면 서비스 중간단계 임을 알려주며 추후 서비스 공격 단계로 진행될 가능성이 있음을 경보하고, 10초당 200개 이내라면 서비스 공격 단계임을 경보한다. In addition, when it is determined that the risk is high, the packet analyzer 44 determines which stage of the hierarchical structure of the hacking pattern DB 47 in which the packet is loaded with a hacking pattern having a hierarchical structure as shown in FIG. It may determine whether or not to further inform or warn the user of the steps (62, 64). As shown in Fig. 4, the attack by “code red” is a kind of denial of service attack by a virus, and thus the attack phase may be classified into an initial denial of service, an intermediate denial of service, and a denial of service attack step. Each stage is distinguished by the number of denial of service attack packets generated per unit time. The hierarchical structure of the hacking pattern DB 47 is classified based on the number of packets generated by " code red " per unit time. For example, the number of packets is less than 10 for 30 seconds. Less than 100 are structured as intermediate denial of service, and less than 200 are denial-of-service attacks during 10 seconds and are mounted on the DB 47. Accordingly, the packet analyzer 44, in conjunction with the hacking pattern DB 47, notifies the user of the initial stage of denial of service if the number of packets generated by "code red" is less than 10 per 30 seconds. Alerts that there is a possibility to proceed to the stage and service attack phase, alerts that the service is intermediate if it is within 100 per 10 seconds, alerts that it is likely to proceed to the service attack phase later, and alerts to the service attack phase if it is within 200 per 10 seconds. .

상기한 실시예는 본 발명의 일예에 지나지 않으며, 본 발명은 그 기술적 범위를 초과하지 아니하는 어떠한 변경 및 수정도 가능하다. The above embodiments are merely examples of the present invention, and the present invention may be changed and modified without exceeding its technical scope.

상기 구성에 의해 본 발명은 다음과 같은 효과를 도모할 수 있다 By the above configuration, the present invention can achieve the following effects.

본 발명은 탐지된 패킷의 목적지 시스템의 용도를 고려하여 패킷을 분석하여 그 위험도를 추론하고 알려줄 수 있기 때문에, 잘못된 경보(False Alarm)의 남발로 인한 침입탐지시스템의 무력화를 방지할 수 있는 효과를 도모할 수 있다. Since the present invention can infer and inform the risk by analyzing the packet in consideration of the purpose of the destination system of the detected packet, it is possible to prevent the intrusion detection system from being ineffective due to the false alarm. We can plan.

본 발명은 해킹 패턴별로 해킹이 이루어지는 과정을 DB화하여 저장하고 분석된 패킷이 실제 위험도가 높은 경우 해당 패킷이 해킹의 어느 단계에 해당되는지 여부를 알려줌으로서 추후 발생될 해킹을 미연에 방지할 수 있는 효과를 도모할 수 있다.
According to the present invention, if a hacking pattern is processed by DB, the hacking process is made into a DB, and if the analyzed packet has a high risk, the step of hacking is notified. The effect can be aimed at.

Claims (2)

네트워크 패킷을 수집하는 패킷수집기와, 목적지시스템의 IP를 포함한 목적지시스템의 사용용도에 대한 정보를 저장하고 있는 목적지시스템 사용용도 DB와, 각종 침입유형에 대한 정보를 저장하고 있는 침입유형 DB와, 상기 패킷수집기에 의해 수집된 패킷을 분석하여 목적지시스템의 IP와 패킷 데이타를 분리하고 상기 패킷 데이타와 상기 침입유형 DB를 비교검색하여 소정의 침입유형 해당여부를 판단하며 소정의 침입유형에 해당되면 상기 목적지시스템의 IP 및 상기 침입유형DB로부터 파악되는 목적지시스템의 특성정보와 상기 목적지시스템 사용용도DB를 검색비교하여 IP 및 특성정보와 일치하는 사용용도정보를 가진 목적지시스템의 존재 여부를 판단하여 위험도를 추론하여 알려주는 패킷분석기를 포함하는 위험도 추론침입탐지시스템.A packet collector for collecting network packets, a destination system use DB storing information on the use of the destination system including the IP of the destination system, an intrusion type DB storing information on various intrusion types, and Analyzes the packets collected by the packet collector to separate the IP of the destination system and the packet data, and compares the packet data and the intrusion type DB to determine whether a predetermined intrusion type is applicable. Inferring the risk by judging the existence of the destination system with usage information that matches the IP and the characteristic information by searching and comparing the characteristic information of the destination system identified from the system IP and the intrusion type DB and the destination system usage DB. Risk inference intrusion detection system including a packet analyzer to inform. 제1항에 있어서, 상기 침입탐지시스템은 해킹이 이루어지는 과정을 패턴화한 계층구조를 적재하고 있는 해킹패턴DB를 추가로 포함하며, 상기 패킷분석기는 분석된 패킷의 위험도가 높다고 판단할 경우 상기 패킷 데이타와 상기 해킹패턴DB의 계층구조를 비교하여 상기 패킷이 속하는 단계를 알려주는 것을 특징으로하는 위험도 추론 침입탐지시스템.The method of claim 1, wherein the intrusion detection system further comprises a hacking pattern DB that loads a hierarchical structure patterning the process of hacking, the packet analyzer when the packet analyzer determines that the risk of the analyzed packet is high Inference detection intrusion detection system, characterized in that the comparison of the hierarchical structure of the data and the hacking pattern DB to inform the step of belonging to the packet.
KR1020010078986A 2001-12-13 2001-12-13 Intrusion Detection System for Inferring Risk Level KR100578503B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020010078986A KR100578503B1 (en) 2001-12-13 2001-12-13 Intrusion Detection System for Inferring Risk Level

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020010078986A KR100578503B1 (en) 2001-12-13 2001-12-13 Intrusion Detection System for Inferring Risk Level

Publications (2)

Publication Number Publication Date
KR20030048933A KR20030048933A (en) 2003-06-25
KR100578503B1 true KR100578503B1 (en) 2006-05-12

Family

ID=29574771

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020010078986A KR100578503B1 (en) 2001-12-13 2001-12-13 Intrusion Detection System for Inferring Risk Level

Country Status (1)

Country Link
KR (1) KR100578503B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240043211A (en) 2022-09-26 2024-04-03 주식회사 렛츠핵 method for obtaining packet of an applicatoin for a smart phone

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100578506B1 (en) * 2001-12-13 2006-05-12 주식회사 이글루시큐리티 Intrusion Detection Method for Inferring Risk Level
KR100623552B1 (en) * 2003-12-29 2006-09-18 한국정보보호진흥원 Method of risk analysis in automatic intrusion response system
EP1790131B1 (en) * 2004-09-09 2012-12-05 Avaya Inc. Methods of and systems for network traffic security
KR100688604B1 (en) * 2004-11-18 2007-03-02 고려대학교 산학협력단 Apparatus and method for intercepting malicious executable code in the network
KR101138748B1 (en) 2010-01-22 2012-04-24 주식회사 안철수연구소 Apparatus, system and method for preventing malicious codes

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19990062289A (en) * 1997-12-31 1999-07-26 유기범 Satellite Resource Security System in Multimedia Satellite Communication System
JPH11308272A (en) * 1998-04-23 1999-11-05 Toshiba Corp Packet communication control system and packet communication controller
KR20000010253A (en) * 1998-07-31 2000-02-15 최종욱 Trespass detection system and module of trespass detection system using arbitrator agent
KR20000054538A (en) * 2000-06-10 2000-09-05 김주영 System and method for intrusion detection in network and it's readable record medium by computer
WO2001013589A1 (en) * 1999-08-18 2001-02-22 Yoshimi Baba Cracker monitoring system
KR20020062070A (en) * 2001-01-19 2002-07-25 주식회사 정보보호기술 Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof
KR20020069760A (en) * 2001-02-27 2002-09-05 웰넷정보통신주식회사 Network connection apparatus having an intrusion detection function

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19990062289A (en) * 1997-12-31 1999-07-26 유기범 Satellite Resource Security System in Multimedia Satellite Communication System
JPH11308272A (en) * 1998-04-23 1999-11-05 Toshiba Corp Packet communication control system and packet communication controller
KR20000010253A (en) * 1998-07-31 2000-02-15 최종욱 Trespass detection system and module of trespass detection system using arbitrator agent
WO2001013589A1 (en) * 1999-08-18 2001-02-22 Yoshimi Baba Cracker monitoring system
KR20000054538A (en) * 2000-06-10 2000-09-05 김주영 System and method for intrusion detection in network and it's readable record medium by computer
KR20020062070A (en) * 2001-01-19 2002-07-25 주식회사 정보보호기술 Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof
KR20020069760A (en) * 2001-02-27 2002-09-05 웰넷정보통신주식회사 Network connection apparatus having an intrusion detection function

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240043211A (en) 2022-09-26 2024-04-03 주식회사 렛츠핵 method for obtaining packet of an applicatoin for a smart phone

Also Published As

Publication number Publication date
KR20030048933A (en) 2003-06-25

Similar Documents

Publication Publication Date Title
CN111385236B (en) Dynamic defense system based on network spoofing
Kumar Survey of current network intrusion detection techniques
US8635666B2 (en) Anti-phishing system
US6405318B1 (en) Intrusion detection system
US7549166B2 (en) Defense mechanism for server farm
EP2555486B1 (en) Multi-method gateway-based network security systems and methods
US8640234B2 (en) Method and apparatus for predictive and actual intrusion detection on a network
US20030188189A1 (en) Multi-level and multi-platform intrusion detection and response system
US20060026683A1 (en) Intrusion protection system and method
KR20000072707A (en) The Method of Intrusion Detection and Automatical Hacking Prevention
Kizza System intrusion detection and prevention
JP2002342279A (en) Filtering device, filtering method and program for making computer execute the method
CN113422779B (en) Active security defense system based on centralized management and control
KR100578503B1 (en) Intrusion Detection System for Inferring Risk Level
KR20030035142A (en) Method for Providing Enterprise Security Management Service
Singh Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis
KR100578506B1 (en) Intrusion Detection Method for Inferring Risk Level
KR20030035143A (en) Enterprise Security Management System
KR100879608B1 (en) A Network Traffic Analysis and Monitoring Method based on Attack Knowledge
Mittal et al. A Study of Different Intrusion Detection and Prevension System
Tan NIDS—Should You Do Without It
Lawrence Intrusion Prevention Systems: The Future of Intrusion Detection?
KR20030087583A (en) A system for detecting hacker invasion of personal computer
Asarcıklı Firewall monitoring using intrusion detection systems
Yavwa The Firewall Technology

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130503

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140502

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20150504

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20160503

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20180504

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20200122

Year of fee payment: 15