패킷 감시 시스템 및 그 방법

본 발명은 개별 시스템상에서 발생하는 ARP(Address Resolution Protocol) 위조 공격을 검출 및 차단하기 위한 패킷 감시 시스템을 개시한다. 즉, 상기 개별 시스템의 ARP 패킷 전송 횟수 및 상기 개별 시스템에 탑재된 NIC(Network Interface Card)의 패킷 수신 모드를 감시하여 상기 개별 시스템에 대한 사전 공격을 감지하는 사전 공격 탐지 모듈; 및 상기 개별 시스템에 대한 사전 공격이 감지될 경우, 상기 개별 시스템으로부터 아웃바운드(Outbound)되는 ARP 패킷을 공격 대상으로 지정하여 상기 지정된 ARP 패킷을 전송하는 프로세스 정보(Process ID, Process Name) 및 주소 정보를 파악하며, 상기 파악된 주소 정보를 토대로 상기 ARP 패킷의 위조 여부를 판단하여 상기 판단 결과에 따라 위조된 ARP 패킷 또는 특정 프로세스를 차단시키는 공격 차단 모듈을 포함함으로써, 공격이 진행되고 있는 감염 시스템상에서 ARP 스캐닝(Scanning) 또는 NIC(Network Interface Card)의 'Promiscuous' 모드 사용 감지 후 나타나는 아웃바운드(Outbound) ARP 위조 공격을 차단할 수 있다. ARP(Address Resolution Protocol), 아웃바운드(Outbound), ARP 위조