KR100818307B1 - IPv6 공격 패킷 탐지장치 및 방법 - Google Patents
IPv6 공격 패킷 탐지장치 및 방법 Download PDFInfo
- Publication number
- KR100818307B1 KR100818307B1 KR1020060121834A KR20060121834A KR100818307B1 KR 100818307 B1 KR100818307 B1 KR 100818307B1 KR 1020060121834 A KR1020060121834 A KR 1020060121834A KR 20060121834 A KR20060121834 A KR 20060121834A KR 100818307 B1 KR100818307 B1 KR 100818307B1
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- attack
- ipv6
- header
- protocol
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000001514 detection method Methods 0.000 claims abstract description 37
- 230000005641 tunneling Effects 0.000 claims abstract description 29
- 230000000903 blocking effect Effects 0.000 claims description 5
- 238000005516 engineering process Methods 0.000 claims description 5
- 241000065695 Teredo Species 0.000 claims description 3
- 239000012634 fragment Substances 0.000 claims description 3
- 230000004044 response Effects 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 claims description 2
- 230000009977 dual effect Effects 0.000 claims description 2
- 238000007689 inspection Methods 0.000 claims description 2
- 230000007246 mechanism Effects 0.000 claims description 2
- 230000007704 transition Effects 0.000 claims description 2
- 238000007781 pre-processing Methods 0.000 abstract 2
- 238000010586 diagram Methods 0.000 description 8
- 239000000284 extract Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 IPv6 공격 패킷 탐지장치 및 방법에 관한 것으로서, 공격판단 규칙 및 공격 패킷의 처리 규칙을 설정하는 제어부; IPv6(internet protocol version 6) 패킷 및 터널링 패킷을 디코딩하고 상기 디코딩한 패킷을 구조별로 분류하는 전처리부; 상기 전처리부에서 분류된 패킷의 정보를 이용하여 상기 제어부에서 설정된 공격판단 규칙에 따라 해당 패킷의 공격 가능성을 판단하는 공격판단부; 및 상기 공격판단부에서의 판단 결과 및 상기 제어부에서 설정된 공격 패킷의 처리 규칙에 따라 해당 패킷의 차단, 삭제, 포워딩, 및 침입 탐지 경보 생성 중 하나 이상의 기능을 수행하는 패킷처리부를 포함하여 구성되며, 이에 의해, IPv6 패킷의 공격을 탐지하고 대응할 수 있다.
IPv6, 침입탐지, 네트워크보안, IPS, IPv6 네트워크보안
Description
도 1은 본 발명의 일 실시예에 따른 IPv6 공격 패킷 탐지장치의 기본적인 구성도,
도 2는 본 발명의 일 실시예에 따른 IPv6 공격 패킷 탐지방법의 흐름도,
도 3은 본 발명의 일 실시예에 따른 IPv6 공격 패킷 탐지장치의 전처리부의 구성도,
도 4는 본 발명의 일 실시예에 따른 IPv6 공격 패킷 탐지장치의 공격판단부의 구성도, 그리고
도 5는 본 발명의 일 실시예에 따른 IPv6 공격 패킷 탐지장치의 제어부의 구성도이다.
본 발명은 공격 패킷 탐지장치 및 방법에 관한 것으로, 특히 인터넷 프로토콜 버전 6(internet protocol version 6: 이하 IPv6라 칭함) 패킷의 공격이나 칩입 을 탐지하고 이에 대응할 수 있는 IPv6 공격 패킷 탐지장치 및 방법에 관한 것이다.
IPv6는 IP 주소 공간의 확대, 단순화된 기본헤더 형식과 향상된 확장헤더 구조, 인터넷 제어 메시지 프로토콜 버전 6(internet control message protocol version 6, 이하 ICMPv6라 칭함) 프로토콜 강화, 이웃 탐색 프로토콜(neighbor discovery protocol: 이하 NDP라 칭함), 자동 주소 설정 등의 새로운 특징을 포함하고 있는 차세대 인터넷 프로토콜이다. 최근 들어 이런 IPv6 환경을 지원하는 라우터, 스위치등의 네트워크 장비들이 등장하고 있어 IPv6 공격 패킷을 탐지하고 대응할 수 있는 기술의 필요성이 증가하고 있다. 그러나 현재까지의 침입탐지 및 대응 기술은 IPv4 환경에 적합하도록 설계된 기술이어서 IPv6 표준 프로토콜 규격 에 따른 패킷의 네트워크 공격을 탐지하고 대응하기 어려웠다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, IPv6 표준 프로토콜 규격에 따른 패킷 및 IPv4/IPv6 터널링 패킷의 특성에 따라 침입탐지 및 대응을 할 수 있는 IPv6 공격 패킷 탐지장치 및 방법을 제공하는데 있다.
상기와 같은 본 발명의 목적을 달성하기 위하여, 본 발명의 IPv6 공격 패킷 탐지장치는, 공격판단 규칙 및 공격 패킷의 처리 규칙을 설정하는 제어부; IPv6(internet protocol version 6) 패킷 및 터널링 패킷을 디코딩하고 상기 디코딩한 패킷을 페이로드 및 헤더 구조별로 분류하는 전처리부; 상기 전처리부에서 분류된 패킷의 정보를 이용하여 상기 제어부에서 설정된 공격판단 규칙에 따라 해당 패킷의 공격 가능성을 판단하고, IPv6 프로토콜 취약성을 이용한 공격 탐지를 수행하는 공격판단부; 및 상기 공격판단부에서의 판단 결과 및 상기 제어부에서 설정된 공격 패킷의 처리 규칙에 따라 해당 패킷의 차단, 삭제, 포워딩, 및 침입 탐지 경보 생성 중 하나 이상의 기능을 수행하는 패킷처리부를 포함하여 구성한다.
또한, 본 발명의 IPv6 공격 패킷 탐지장치는, 상기 제어부에서 상기 공격판단부 및 상기 패킷처리부의 동작을 제어하는데 참조할 수 있도록, 공격 패킷으로 판단된 경우 해당 트래픽 정보를 저장하는 트래픽 정보 저장부를 더 포함하는 것을 특징으로 한다.
상기와 같은 본 발명의 목적을 달성하기 위하여, 본 발명의 IPv6 공격 패킷 탐지방법은, 공격판단 규칙 및 공격 패킷의 처리 규칙을 설정하는 제1단계; IPv6 패킷 및 터널링 패킷을 디코딩하는 제2단계; 상기 디코딩된 패킷을 페이로드와 헤더 구조별로 분류하는 제3단계; 상기 분류된 패킷의 정보를 이용하여 IPv6 프로토콜의 취약성을 이용한 공격 및 프로토콜 무결성을 검사하고, 상기 제1단계에서 설정된 공격판단 규칙에 따라 해당 패킷의 공격 가능성을 판단하는 단계는 제4단계; 및 상기 공격 판단 결과 및 제1단계에서 설정된 공격 패킷의 처리 규칙에 따라 해당 패킷의 차단, 삭제, 포워딩, 및 침입 탐지 경보 생성 중 하나 이상의 기능을 수행하는 제5단계로 이루어진다.
또한, 본 발명의 IPv6 공격 패킷 탐지장치 방법은, 상기 제4단계에서 해당 패킷에 공격 가능성이 있다고 판단된 경우, 상기 제1단계에서 상기 공격판단 규칙 및 공격 패킷의 처리 규칙을 설정하는데 참조할 수 있도록, 해당 트래픽 정보를 저장하는 단계를 더 포함하는 것을 특징으로 한다.
이하 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있는 바람직한 실시예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시예에 대한 동작 원리를 상세하게 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다. 또한, 도면 전체에 걸쳐 유사한 기능 및 작용을 하는 부분에 대해서는 동일한 도면 부호를 사용한다.
도 1은 본 발명의 일 실시예에 따른 IPv6 공격 패킷 탐지장치의 기본적인 구성도이다. 도 1을 참조하면, 본 발명의 IPv6 공격 패킷 탐지장치는 기본적으로 전처리부(100), 공격판단부(200), 패킷처리부(300) 및 제어부(400)를 포함하여 구성되며, 공격 패킷에 대한 정보 저장을 위해 트래픽 정보 저장부(500)를 더 포함하여 구성될 수 있다.
상기 전처리부(100)는 IPv6 패킷과 터널링 패킷을 수집하여 디코딩하고 상기 디코딩된 IPv6 패킷을 페이로드 및 헤더 구조별로 분류한다. 이후, 상기 분류된 패킷은 공격판단부(200)로 전달된다.
상기 공격판단부(200)는 상기 전처리부(100)로부터 전달받은 페이로드 및 헤더 구조별로 분류된 패킷에 대해서 공격 패킷의 특성을 갖고 있는지 판단한다.
상기 패킷처리부(300)는 상기 공격판단부(200)에서의 판단 결과 공격 패킷으로 판단된 경우 해당 패킷을 차단 및/또는 삭제한다. 더하여, 같은 특성을 갖는 패킷에 대해 신속한 탐지와 대응을 할 수 있도록 해당 트래픽 정보를 전송하여 트래픽 정보 저장부(500)에 저장할 수 있도록 하는 것이 바람직하다. 또한 공격 패킷에 대해 보다 적절한 대처가 이루어 질 수 있도록 침입 탐지 경보를 생성하여 본 발명을 이용하는 보안시스템이나 관리자에게 통지한다. 반대로, 공격 패킷이 아닌 것으로 판단되는 경우에는 해당 패킷을 포워딩한다.
상기 제어부(400)는 상기 공격판단부(200) 또는 패킷처리부(300)에서의 동작을 제어한다. 즉, 어떠한 경우에 공격 가능성이 있는 패킷으로 분류할 것인지, 또는 공격 가능성이 있는 패킷이나 그렇지 않은 패킷의 처리 방법을 정한다. 이때, 상기 트래픽 정보 저장부(500)에 저장된 공격 패킷의 트래픽 정보를 활용하여 상기 공격판단부(200)와 패킷처리부(300)의 동작을 제어할 수 있다.
각 부의 동작에 대해서는 아래에서 좀 더 자세하게 설명하기로 한다.
도 2는 본 발명의 일 실시예에 따른 IPv6 공격 패킷 탐지방법의 흐름도이다. 도 2를 참조하면, 먼저 IPv6 패킷 및/또는 터널링 패킷이 수신되면(S210), 해당 패킷을 디코딩한다(S220). 상기 디코딩은, 예를 들어, RFC 표준 규격에 따라 분해하는 방식으로 이루어 질 수 있다. 그 후, 상기 디코딩된 패킷을 페이로드와 헤더별로 분류한다(S230). 그리고 상기 디코딩된 터널링 패킷과 분류된 IPv6 패킷에 대하여 공격가능성이 있는지 판단한다(S240). 만일 공격가능성이 없다고 판단되는 경 우(S250), 패킷을 포워딩하고(S260), 만일 공격가능성이 있다고 판단되는 경우에는(S250), 해당 패킷을 차단하거나 삭제한다(S270). 그리고 본 발명을 이용하는 보안 시스템이나 관리자가 적절한 조치를 취할 수 있도록 공격에 대한 경보를 생성하고 알린다(S280). 마지막으로 공격가능성이 있다고 판단된 패킷의 트래픽 정보를 저장하여 다음 패킷의 침입 탐지에 활용할 수 있도록 한다(S290).
도 3은 본 발명의 일 실시예에 따른 IPv6 공격 패킷 탐지장치의 전처리부(100)의 구성도이다. 도 3을 참조하면, 상기 전처리부(100)는 IPv6 패킷 디코더(310), 터널링 패킷 디코더(320), 및 패킷 분류부(330)으로 구성된다.
상기 IPv6 패킷 디코더(310) 및 터널링 패킷 디코더(320)는, 예를 들어, RFC 표준 규격에 따라서 분해하는 방식으로 해당 패킷을 디코딩한다.
상기 패킷 분류부(330)는 해당 디코딩된 IPv6 패킷을 기본헤더, 확장헤더, 상위 L4(layer 4) 프로토콜헤더, 및 페이로드 등의 정보로 분류하고, 해당 디코딩된 터널링 패킷을 IPv6 헤더와 IPv4 헤더로 분류한다. 상기 디코딩과 분류는 각 정보에 대하여 동시에 공격 가능성을 판단할 수 있게 하기 위함이다. 상기 분류된 패킷은 공격 가능성의 판단을 위해 공격판단부(200)로 전달된다.
도 4는 본 발명의 일 실시예에 따른 IPv6 공격 패킷 탐지장치의 공격판단부(200)의 구성도이다. 도 4를 참조하면, 상기 공격판단부(200)는 기본헤더 검사부(410), 확장헤더 검사부(420), 페이로드 검사부(430), L4 프로토콜 검사부(440), IPv6 프로토콜 취약성 검사부(450), 터널링 패킷의 IPv6 헤더 검사부(460), 및 터널링 패킷의 IPv4 헤더 검사부(470) 중에서 하나 이상을 포함한다. 이때, 각 검사부는 분류된 패킷의 공격 가능성에 대해, 제어부(400)에서 설정된 공격 판단 규칙에 따라 패턴 매칭 방법으로 판단한다.
상기 기본헤더 검사부(410)는 전처리부(100)에서 전달받은 기본헤더 구조 필드에서 근원지주소, 목적지주소, 버전정보, 넥스트헤더정보, 및 페이로드길이 정보 등을 추출하고 그 중 하나 이상의 정보를 활용하여 해당 패킷에 공격 가능성이 있는지를 판단한다. 상기 확장헤더 검사부(420)는 전처리부(100)에서 전달받은 기본헤더 구조 필드에서 hop-by-hop 확장헤더, 라우팅 확장헤더, 단편(fragment) 확장헤더, 목적지 확장헤더, IPSec(internet protocol security protocol) 확장헤더, 및 인증 확장헤더 정보 등을 추출하고 그 중 하나 이상의 정보를 활용하여 공격 패킷 여부를 판단한다.
상기 페이로드 검사부(430)는 전처리부(100)에서 전달받은 페이로드 구조 필드에 공격가능성이 있는지 판단하고, 상기 L4 프로토콜 검사부(440)는 해당 패킷의 상위 L4 프로토콜에 대해 전송 제어 프로토콜(transmission control protocol, 이하 TCP라 칭함) 및/또는 사용자 데이터그램 프로토콜(user datagram protocol, 이하 UDP라 칭함)을 검사하여 공격 가능성을 판단한다.
상기 IPv6 프로토콜 취약성 검사부(450)는 프로토콜 자체의 구조에서 발생하는 NDP, 주소 중복 감지(duplicate address detection, 이하 DAD라 칭함), 및 ICMPv6의 취약성을 이용한 공격을 탐지한다.
상기 터널링 패킷의 IPv6 헤더 검사부(460) 및 터널링 패킷의 IPv4 헤더 검사부(470)는 각각의 헤더에 대하여 설정 터널(Configured tunnel), 6to4, 6over4, ISATAP(intra-site automatic tunnel addressing protocol), Teredo, 및 IPv6 over MPLS(dual stack transition mechanism) 등의 IPv4(internet protocol version 4)와 IPv6간 전환 기술을 이용한 공격 가능성을 판단한다. 일반적으로 IPv6 환경에서 터널링 패킷은 IPv6 헤더 필드와 IPv4 헤더 필드를 동시에 갖고 있으므로 각각의 공격 판단을 분리해서 하기 위함이다.
도 5는 본 발명의 일 실시예에 따른 IPv6 공격 패킷 탐지장치의 제어부(400)의 구성도이다. 도 5를 참조하면, 상기 제어부(400)는 공격판단 설정부(510) 및 패킷처리 설정부(520)로 구성된다.
상기 공격판단 설정부(510)은 공격 패킷을 탐지하기 위한 규칙을 설정하여 해당 규칙에 대한 정보를 공격판단부(200)로 전송한다. 상기 공격 패킷을 탐지하기 위한 규칙은 관리자의 설정이나 본 발명을 사용하는 보안 시스템에서 상황에 맞게 조정할 수 있을 것이다. 또한 기존에 공격 패킷으로 판단되어 저장된 트래픽 정보 저장부(500)의 정보를 이용하여 공격 패킷의 판단에 사용되는 규칙을 설정할 수 있을 것이며, 이렇게 하여 유사한 특성을 갖는 공격 패킷의 탐지와 대응이 더 빨라질 수 있다.
상기 패킷처리 설정부(520)는 공격 패킷을 처리하기 위한 규칙을 설정하여 해당 규칙에 대한 정보를 상기 패킷처리부(300)로 전송한다. 예를 들면, 공격 패킷 으로 판단된 패킷을 차단 및/또는 삭제하고, 트래픽 정보 저장부(500)에 해당 정보를 전송하여 다음 패킷의 판단에 활용할 수 있도록 한다. 또한 공격 패킷의 탐지시 침입 탐지 경보를 생성하여 본 발명을 이용하는 보안 시스템이나 관리자가 적절한 대응을 할 수 있도록 한다. 상기 규칙의 설정에 있어 기존 공격 패킷에 대한 트래픽 정보 저장부의 정보를 참조하여, 특정 패킷에 대한 처리를 조정할 수 있을 것이다.
이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 당업자에게 있어 명백할 것이다.
상기와 같은 본 발명의 IPv6 공격 패킷 탐지장치 및 방법은 IPv6 패킷 및 터널링 패킷에 대해 공격가능성을 판단하고 공격 가능성이 있는 패킷에 대해 차단 및/또는 삭제함으로써, IPv6 패킷의 공격을 탐지하고 및 대응할 수 있다.
Claims (20)
- 공격판단 규칙 및 공격 패킷의 처리 규칙을 설정하는 제어부;IPv6(internet protocol version 6) 패킷 및 터널링 패킷을 디코딩하고 상기 디코딩한 패킷을 페이로드 및 헤더 구조별로 분류하는 전처리부;상기 전처리부에서 분류된 패킷의 정보를 이용하여 상기 제어부에서 설정된 공격판단 규칙에 따라 해당 패킷의 공격 가능성을 판단하고, IPv6 프로토콜 취약성을 이용한 공격 탐지를 수행하는 공격판단부; 및상기 공격판단부에서의 판단 결과 및 상기 제어부에서 설정된 공격 패킷의 처리 규칙에 따라 해당 패킷의 차단, 삭제, 포워딩, 및 침입 탐지 경보 생성 중 하나 이상의 기능을 수행하는 패킷처리부를 포함하여 구성되는 IPv6 공격 패킷 탐지장치.
- 제1항에 있어서,상기 제어부에서 상기 공격판단부 및 상기 패킷처리부의 동작을 제어하는데 참조할 수 있도록, 공격 패킷으로 판단된 경우 해당 트래픽 정보를 저장하는 트래픽 정보 저장부를 더 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지장치.
- 제1항에 있어서, 상기 전처리부는IPv6 패킷을 디코딩하는 IPv6 패킷 디코더;터널링 패킷을 디코딩하는 터널링 패킷 디코더; 및상기 디코딩된 패킷을 페이로드와 헤더 구조별로 분류하는 패킷 분류부를 포함하여 구성되는 것을 특징으로 하는 IPv6 공격 패킷 탐지장치.
- 제3항에 있어서,상기 IPv6 패킷 디코더 및 상기 터널링 패킷 디코더는 해당 패킷을 RFC(request for comments) 표준 프로토콜 구조에 따라 분해하는 방식으로 디코딩하는 것을 특징으로 하는 IPv6 공격 패킷 탐지장치.
- 제3항에 있어서,상기 패킷 분류부는 상기 디코딩된 IPv6 패킷을 기본헤더, 확장헤더, 상위 L4(layer 4) 프로토콜헤더, 및 페이로드로 분류하고, 상기 디코딩된 터널링 패킷을 IPv6 헤더와 IPv4 헤더로 분류하는 것을 특징으로 하는 IPv6 공격 패킷 탐지장치.
- 제5항에 있어서, 상기 공격판단부는기본헤더의 근원지주소, 목적지주소, 버전정보, 넥스트헤더정보, 및 페이로 드길이 정보 중 하나 이상의 정보를 활용하여 공격 패킷 여부를 판단하는 기본헤더 검사부를 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지장치.
- 제5항에 있어서, 상기 공격판단부는hop-by-hop 확장헤더, 라우팅 확장헤더, 단편(fragment) 확장헤더, 목적지 확장헤더, IPSec(internet protocol security protocol) 확장헤더, 및 인증 확장헤더 중 하나 이상의 정보를 활용하여 공격 패킷 여부를 판단하는 확장헤더 검사부를 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지장치.
- 제5항에 있어서, 상기 공격판단부는TCP(transmission control protocol) 및 UDP(user datagram protocol)을 검사하여 공격 패킷 여부를 판단하는 L4 프로토콜 검사부를 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지장치.
- 제5항에 있어서, 상기 공격판단부는NDP(Neighbor Discovery Protocol), DAD(duplicate address detection), 및 ICMPv6(internet control message protocol version 6)의 취약성을 이용하여 공격을 탐지하는 IPv6 프로토콜 취약성 검사부를 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지장치.
- 제5항에 있어서, 상기 공격판단부는상기 분류된 터널링 패킷의 IPv6 헤더와 IPv4 헤더에 대하여, 설정 터널(Configured tunnel), 6to4, 6over4, ISATAP(intra-site automatic tunnel addressing protocol), Teredo, 및 IPv6 over MPLS(dual stack transition mechanism)의 IPv4(internet protocol version 4)와 IPv6간 전환 기술 중 해당 패킷에 사용된 기술에 대해 이를 이용한 공격을 검사하고 탐지하는 터널링 패킷의 IPv6 헤더 검사부와 터널링 패킷의 IPv4 헤더 검사부를 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지장치.
- 제1항에 있어서, 상기 제어부는상기 공격 패킷을 탐지하기 위한 규칙을 설정하여 해당 규칙에 대한 정보를 상기 공격판단부로 전송하는 공격판단 설정부; 및상기 공격 패킷을 처리하기 위한 규칙을 설정하여 해당 규칙에 대한 정보를 상기 패킷처리부로 전송하는 패킷처리 설정부를 포함하여 구성되는 것을 특징으로 하는 IPv6 공격 패킷 탐지장치.
- 공격판단 규칙 및 공격 패킷의 처리 규칙을 설정하는 제1단계;IPv6 패킷 및 터널링 패킷을 디코딩하는 제2단계;상기 디코딩된 패킷을 페이로드와 헤더 구조별로 분류하는 제3단계;상기 분류된 패킷의 정보를 이용하여 IPv6 프로토콜의 취약성을 이용한 공격 및 프로토콜 무결성을 검사하고, 상기 제1단계에서 설정된 공격판단 규칙에 따라 해당 패킷의 공격 가능성을 판단하는 단계는 제4단계; 및상기 공격 판단 결과 및 제1단계에서 설정된 공격 패킷의 처리 규칙에 따라 해당 패킷의 차단, 삭제, 포워딩, 및 침입 탐지 경보 생성 중 하나 이상의 기능을 수행하는 제5단계로 이루어지는 IPv6 공격 패킷 탐지방법.
- 제12항에 있어서,상기 제4단계에서 해당 패킷에 공격 가능성이 있다고 판단된 경우, 상기 제1단계에서 상기 공격판단 규칙 및 공격 패킷의 처리 규칙을 설정하는데 참조할 수 있도록, 해당 트래픽 정보를 저장하는 단계를 더 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지방법.
- 제12항에 있어서,상기 제2단계는 해당 패킷을 RFC 표준 프로토콜 구조에 따라 분해하는 방식으로 디코딩하는 것을 특징으로 하는 IPv6 공격 패킷 탐지방법.
- 제12항에 있어서,상기 제3단계는 상기 디코딩된 IPv6 패킷을 기본헤더, 확장헤더, 상위 L4 프로토콜헤더, 및 페이로드로 분류하고, 상기 디코딩된 터널링 패킷을 IPv6 헤더와 IPv4 헤더로 분류하는 것을 특징으로 하는 IPv6 공격 패킷 탐지방법.
- 제15항에 있어서, 상기 제4단계는기본헤더의 근원지주소, 목적지주소, 버전정보, 넥스트헤더정보, 및 페이로드길이 정보 중 하나 이상의 정보를 활용하여 공격 패킷 여부를 판단하는 기본헤더 구조 필드 검사단계를 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지방법.
- 제15항에 있어서, 상기 제4단계는hop-by-hop 확장헤더, 라우팅 확장헤더, 단편 확장헤더, 목적지 확장헤더, IPSec 확장헤더, 및 인증 확장헤더 중 하나 이상의 정보를 활용하여 공격 패킷 여부를 판단하는 확장헤더 구조 필드 검사 단계를 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지방법.
- 제15항에 있어서, 상기 제4단계는TCP 및 UDP를 검사하여 공격 패킷 여부를 판단하는 상위 L4 프로토콜 헤더 검사 단계를 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지방법.
- 제15항에 있어서, 상기 제4단계는NDP, DAD, 및 ICMPv6의 취약성을 이용하여 공격을 탐지하는, 상기 IPv6 프로토콜의 취약성을 이용한 공격 및 상기 프로토콜 무결성을 검사하는 단계를 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지방법.
- 제15항에 있어서, 상기 제4단계는상기 분류된 터널링 패킷의 IPv6 헤더와 IPv4 헤더에 대하여, 설정 터널, 6to4, 6over4, ISATAP, Teredo, 및 IPv6 over MPLS의 IPv4와 IPv6간 전환 기술 중 해당 패킷에 사용된 기술에 대해 이를 이용한 공격을 검사하고 탐지하는 터널링 패킷 검사 단계를 포함하는 것을 특징으로 하는 IPv6 공격 패킷 탐지방법.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060121834A KR100818307B1 (ko) | 2006-12-04 | 2006-12-04 | IPv6 공격 패킷 탐지장치 및 방법 |
US11/944,479 US20080134339A1 (en) | 2006-12-04 | 2007-11-23 | APPARATUS AND METHOD FOR DETECTING ATTACK PACKET IN IPv6 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060121834A KR100818307B1 (ko) | 2006-12-04 | 2006-12-04 | IPv6 공격 패킷 탐지장치 및 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR100818307B1 true KR100818307B1 (ko) | 2008-04-01 |
Family
ID=39477471
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060121834A KR100818307B1 (ko) | 2006-12-04 | 2006-12-04 | IPv6 공격 패킷 탐지장치 및 방법 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20080134339A1 (ko) |
KR (1) | KR100818307B1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101530020B1 (ko) * | 2013-12-10 | 2015-06-18 | (주)소만사 | 대용량 초고속 NDLP 어플라이언스에서의 IPv4 및 IPv6 듀얼 패킷분석 및 처리기능을 내장한 NDLP용 고성능 패킷처리 시스템 및 방법 |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4905395B2 (ja) * | 2008-03-21 | 2012-03-28 | 富士通株式会社 | 通信監視装置、通信監視プログラム、および通信監視方法 |
US8874693B2 (en) * | 2009-02-20 | 2014-10-28 | Microsoft Corporation | Service access using a service address |
CN101888370B (zh) * | 2009-05-11 | 2013-01-09 | 中兴通讯股份有限公司 | 防止IPv6地址被欺骗性攻击的装置与方法 |
US9843488B2 (en) | 2011-11-07 | 2017-12-12 | Netflow Logic Corporation | Method and system for confident anomaly detection in computer network traffic |
US9954876B2 (en) * | 2015-12-10 | 2018-04-24 | Sonicwall Us Holdings Inc. | Automatic tunnels routing loop attack defense |
JP6280662B2 (ja) * | 2016-07-05 | 2018-02-14 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正制御抑止方法、不正制御抑止装置及び車載ネットワークシステム |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH02511A (ja) * | 1987-10-12 | 1990-01-05 | Ricoh Co Ltd | 液体噴射記録方法 |
US20050160183A1 (en) | 2002-03-27 | 2005-07-21 | British Telecommunications Public Limited Company | Tunnel broker management |
KR20060079782A (ko) * | 2006-06-14 | 2006-07-06 | 문영성 | 아이피버젼포와 아이피버젼식스 혼재 망에서의 상호 운용성향상을 위한 보안 시스템 |
KR100656483B1 (ko) | 2006-02-09 | 2006-12-11 | 삼성전자주식회사 | IPv4-IPv6 네트워크에서의 보안 장치 및 방법 |
KR100656405B1 (ko) | 2005-11-29 | 2006-12-11 | 한국전자통신연구원 | IPv4/IPv6 연동 네트워크에서의 공격차단 방법 및그 장치 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6728241B2 (en) * | 2002-02-27 | 2004-04-27 | Nokia Corporation | Boolean protocol filtering |
EP1420559A1 (en) * | 2002-11-13 | 2004-05-19 | Thomson Licensing S.A. | Method and device for supporting a 6to4 tunneling protocol across a network address translation mechanism |
DE60335741D1 (de) * | 2002-11-29 | 2011-02-24 | Freebit Co Ltd | Server für routingverbindung mit einem clientgerät |
KR100803272B1 (ko) * | 2004-01-29 | 2008-02-13 | 삼성전자주식회사 | 아이피 브이 식스 네트워크에서 인증을 처리하는 방법 및그 장치 |
US20050268331A1 (en) * | 2004-05-25 | 2005-12-01 | Franck Le | Extension to the firewall configuration protocols and features |
CN100571196C (zh) * | 2005-03-22 | 2009-12-16 | 华为技术有限公司 | 移动IPv6报文穿越防火墙的实现方法 |
US9455953B2 (en) * | 2006-10-11 | 2016-09-27 | Lantiq Beteiligungs-GmbH & Co. KG | Router chip and method of selectively blocking network traffic in a router chip |
-
2006
- 2006-12-04 KR KR1020060121834A patent/KR100818307B1/ko active IP Right Grant
-
2007
- 2007-11-23 US US11/944,479 patent/US20080134339A1/en not_active Abandoned
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH02511A (ja) * | 1987-10-12 | 1990-01-05 | Ricoh Co Ltd | 液体噴射記録方法 |
US20050160183A1 (en) | 2002-03-27 | 2005-07-21 | British Telecommunications Public Limited Company | Tunnel broker management |
KR100656405B1 (ko) | 2005-11-29 | 2006-12-11 | 한국전자통신연구원 | IPv4/IPv6 연동 네트워크에서의 공격차단 방법 및그 장치 |
KR100656483B1 (ko) | 2006-02-09 | 2006-12-11 | 삼성전자주식회사 | IPv4-IPv6 네트워크에서의 보안 장치 및 방법 |
KR20060079782A (ko) * | 2006-06-14 | 2006-07-06 | 문영성 | 아이피버젼포와 아이피버젼식스 혼재 망에서의 상호 운용성향상을 위한 보안 시스템 |
Non-Patent Citations (1)
Title |
---|
논문 (2005.11) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101530020B1 (ko) * | 2013-12-10 | 2015-06-18 | (주)소만사 | 대용량 초고속 NDLP 어플라이언스에서의 IPv4 및 IPv6 듀얼 패킷분석 및 처리기능을 내장한 NDLP용 고성능 패킷처리 시스템 및 방법 |
Also Published As
Publication number | Publication date |
---|---|
US20080134339A1 (en) | 2008-06-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210112091A1 (en) | Denial-of-service detection and mitigation solution | |
KR100818307B1 (ko) | IPv6 공격 패킷 탐지장치 및 방법 | |
US9392002B2 (en) | System and method of providing virus protection at a gateway | |
KR101010465B1 (ko) | 엔드포인트 리소스를 사용하는 네트워크 보안 요소 | |
KR100610287B1 (ko) | 패킷 네트워크의 라우터에 노드 보안을 제공하기 위한방법 및 장치 | |
JP4490994B2 (ja) | ネットワークセキュリティデバイスにおけるパケット分類 | |
US12069092B2 (en) | Network security attack detection and mitigation solution using honeypots | |
CN105991655B (zh) | 用于缓解基于邻居发现的拒绝服务攻击的方法和装置 | |
WO2019179375A1 (zh) | 一种防御网络攻击的方法及装置 | |
US11483339B1 (en) | Detecting attacks and quarantining malware infected devices | |
US20180191525A1 (en) | Network device using ip address and method thereof | |
JP2006135963A (ja) | 悪性コード検出装置及び検出方法 | |
JP2009534001A (ja) | 悪質な攻撃の検出システム及びそれに関連する使用方法 | |
WO2023040303A1 (zh) | 网络流量控制方法以及相关系统 | |
Song et al. | Novel duplicate address detection with hash function | |
US10771391B2 (en) | Policy enforcement based on host value classification | |
WO2009064114A2 (en) | Protection method and system for distributed denial of service attack | |
WO2019096104A1 (zh) | 攻击防范 | |
KR101774242B1 (ko) | 네트워크 스캔 탐지 방법 및 장치 | |
TW201132055A (en) | Routing device and related packet processing circuit | |
JP6476530B2 (ja) | 情報処理装置、方法およびプログラム | |
JP2009005122A (ja) | 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム | |
CN114785876A (zh) | 报文检测方法及装置 | |
Yoganguina et al. | Proposition of a model for securing the neighbor discovery protocol (NDP) in IPv6 environment | |
Prabadevi et al. | Security solution for ARP cache poisoning attacks in large data centre networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130304 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20130730 Year of fee payment: 19 |