| 摘要 |
<p>본 발명은 세션 단위의 네트워크 트래픽 데이터를 파싱(parsing) 및 디코딩(decoding)하여 패턴매칭하는 네트워크 보안 장치 및 방법에 관한 것이다. 본 발명에 따른 제 1 실시예에 적용되는 네트워크 보안장치에서, 탐지/차단 모듈(140)은 패킷(또는 비트) 단위로 수신되는 네트워크 트래픽 데이터(network traffic data)를 세션 단위로 재조합(reassemble)한다. 파싱(parsing)부(141)는, 세션(session) 단위로 재조합된 네트워크 트래픽 데이터를 헤더(header)와 페이로드(payload)로 구분한 뒤, 구분된 네트워크 트래픽 데이터를 스펙(spec.)에 맞게 세부적으로 재구분한다. 디코딩(decoding)부(142)는 상기와 같이 구분된 네트워크 트래픽 데이터 가운데 인코딩 데이터를 인코딩 이전의 상태로 복원한다. 그리고, 디텍팅(detecting)부는 상기 디코딩된 네트워크 트래픽 데이터를 지정된 패턴 즉 <script> 혹은 </script>과 순차적으로 비교하여 패턴매칭함으로써 공격여부를 판단한다. 이에 따라, 본 발명은 L7(network layer 7)에 해당하는 네트워크 트래픽 데이터의 패턴매칭에 따른 탐지동작이 보다 정확하게 수행되도록 한 매우 유용한 발명인 것이다.</p> |
