KR100785804B1 - Intrusion blocking policy enforcement apparatus and method in router hardware platform - Google Patents
Intrusion blocking policy enforcement apparatus and method in router hardware platform Download PDFInfo
- Publication number
- KR100785804B1 KR100785804B1 KR1020060108362A KR20060108362A KR100785804B1 KR 100785804 B1 KR100785804 B1 KR 100785804B1 KR 1020060108362 A KR1020060108362 A KR 1020060108362A KR 20060108362 A KR20060108362 A KR 20060108362A KR 100785804 B1 KR100785804 B1 KR 100785804B1
- Authority
- KR
- South Korea
- Prior art keywords
- policy
- intrusion prevention
- time
- priority
- intrusion
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명에 의한 라우터 하드웨어 플랫폼에서의 침입차단 정책 적용 장치 및 그 방법은 적어도 하나 이상의 침입차단 정책을 관련 정보와 함께 저장하는 정책데이터베이스; 상기 정책데이터베이스에 침입차단 정책을 추가하거나 삭제하는 정책서버; 상기 관련 정보를 참조하여 우선순위에 따라 침입 차단 정책을 적용할 것을 결정하는 시간제어부; 및 상기 시간제어부의 결정에 의한 침입 차단 정책을 라우터하드웨어 플랫폼이 처리하는 데이터에 적용하여 침입을 차단하는 침입차단부;를 포함하는 것을 특징으로 하며, 하드웨어 플랫폼은 네트워크 프로세서가 장착되어 있으며, 정책을 우선순위에 따라 적용하여 네트워크 프로세서내의 마이크로 엔진에서 별도로 우선순서 처리를 할 필요가 없고, 우선순위의 순서에 따라 시간 정보를 메모리 리스트에 저장해 두어 정책을 적용할 시간을 검사하기 위해 데이터베이스의 많은 데이터를 검색하지 않고, 메모리 리스트의 요약 정보만을 검색하여 빠른 우선순위 처리와 정책 적용이 가능하다.Apparatus and method for applying an intrusion prevention policy in a router hardware platform according to the present invention include a policy database for storing at least one intrusion prevention policy with related information; A policy server for adding or deleting an intrusion prevention policy to the policy database; A time control unit determining to apply an intrusion prevention policy according to a priority based on the related information; And an intrusion blocking unit that blocks an intrusion by applying an intrusion blocking policy determined by the time controller to data processed by a router hardware platform. The hardware platform includes a network processor. It does not need to be processed by the micro engine in the network processor separately in order of priority, and the time information is stored in the memory list according to the order of priority so that much data in the database can be checked to check the time to apply the policy. Instead of searching, only the summary information of the memory list can be searched for fast priority processing and policy application.
침입차단, 정책 적용 Intrusion Prevention, Policy Application
Description
도 1은 본 발명에 따른 라우터 하드웨어 플랫폼에서의 침입차단 정책 적용 장치의 구성을 보여주는 블록도이다.1 is a block diagram showing the configuration of an intrusion prevention policy application apparatus in a router hardware platform according to the present invention.
도 2는 도 1의 리스트부에서 메모리 리스트에 저장하는 데이터의 구조를 보여주는 도면이다.FIG. 2 is a diagram illustrating a structure of data stored in a memory list in the list unit of FIG. 1.
도 3은 본 발명에 의한 라우터 하드웨어 플랫폼에서의 침입차단 정책 적용 방법의 과정을 보여주는 흐름도이다.3 is a flowchart illustrating a method of applying an intrusion prevention policy in a router hardware platform according to the present invention.
도 4는 도 3의 과정을 보다 상세하게 보여주는 흐름도이다.4 is a flowchart illustrating the process of FIG. 3 in more detail.
<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>
1 : 네트워크 프로세서 10: Xscale1: Network Processor 10: Xscale
20 : 마이크로 엔진20: micro engine
110 : 정책서버 120 : 정책데이터베이스110: Policy Server 120: Policy Database
130 : 시간제어부 140 : 침입차단부130: time control unit 140: intrusion blocking unit
131 : 리스트부 133 : 제어부131: list unit 133: control unit
본 발명은 라우터 하드웨어 플랫폼에서의 침입을 차단하기 위한 침입 차단 정책을 적용하기 위한 장치 및 그 방법에 관한 것으로, 더욱 상세하게는 네트워크 프로세서가 장착된 라우터 하드웨어 플랫폼에서 침입을 차단하도록 마이크로 엔진에 정책을 적용할 때, 우선순위에 따라 적용하는 장치 및 그 방법에 관한 것이다. The present invention relates to an apparatus and a method for applying an intrusion prevention policy for blocking intrusion in a router hardware platform, and more particularly, to a policy for a micro engine to block intrusion in a router hardware platform equipped with a network processor. When applied, the present invention relates to an apparatus and a method of applying according to priority.
라우터는 네트워크의 구성 요소들을 연결하여 데이터 전송을 담당하는 장비로 네트워크의 공격을 막기 위해 라우터의 송신 패킷과 수신 패킷 및 전송 패킷을 침입차단 정책에 의해 허가하거나 차단한다. 침입차단 정책은 IP주소, 프로토콜, 포트 번호를 이용하여 허가나 차단을 결정한다. 프로토콜이 ICMP일 경우에는, 포트번호가 아닌 ICMP Type과 Code를 이용하여 허가 또는 차단을 결정한다. 그리고, TCP 프로토콜은 상태에 기반한 연결을 유지하면서 통신하기 때문에 기존의 보안 장비에 없는 TCP 연결에 대한 관리를 위한 상태 기반 침입차단 정책이 필요하다.A router is a device that is responsible for data transmission by connecting the components of the network. In order to prevent an attack of the network, the router allows or blocks the transmission packet, the reception packet, and the transmission packet by an intrusion prevention policy. Intrusion prevention policies use the IP address, protocol, and port number to determine permission or blocking. If the protocol is ICMP, permit or block is determined using ICMP Type and Code, not port number. In addition, since the TCP protocol communicates while maintaining a state-based connection, a state-based intrusion prevention policy is required to manage TCP connections that are not present in the existing security equipment.
침입차단 정책을 적용할 때, 먼저 처리해야 할 정책이 있기 때문에 우선순위가 필요하다. 예를 들어, A 서브넷 내의 B 주소를 차단하는 정책이 1순위이고, A 서브넷을 허가하는 정책이 2순위이면, A 서브넷 내의 B주소만 차단하고, B 주소를 제외한 나머지 A 서브넷 내의 모든 주소는 허가를 한다. 이와 반대로, A 서브넷을 허가하는 정책이 1순위이고, A 서브넷 내의 B 주소를 차단하는 정책이 2순위이면, A 서브넷 허가가 우선 순위가 높으므로 B주소의 차단은 불가하다. When applying intrusion prevention policies, priorities are necessary because there are policies that need to be addressed first. For example, if the policy to block B addresses within subnet A is 1st, and the policy to allow subnet A is 2nd, only block B addresses within subnet A and all addresses in subnet A except B are allowed. Do On the contrary, if the policy for allowing A subnet is 1st priority and the policy for blocking B address in A subnet 2 is 2nd priority, blocking of B address is impossible because A subnet permission has high priority.
이러한 침입차단 정책은 데이터베이스로 저장되어 데이터베이스관리시스템이 관리하는데, 오라클이나 인포믹스 등의 상용제품은 데이터베이스를 쉽게 관리할 수 있도록 다양한 라이브러리와 기능을 제공한다. 그러나, 가격이 비쌀 뿐 아니라, 많은 하드웨어 자원을 필요로 하기 때문에, 제한된 하드웨어 자원을 사용하는 하드웨어 플랫폼에서는 데이터베이스를 관리할 수 없는 문제점이 있다.These intrusion prevention policies are stored in a database and managed by a database management system. Commercial products such as Oracle and Informix provide various libraries and functions to easily manage the database. However, since the price is expensive and requires a lot of hardware resources, there is a problem in that the database cannot be managed on a hardware platform using limited hardware resources.
본 발명이 이루고자 하는 기술적 과제는 상기의 문제점을 해결하기 위하여 안출된 것으로서, 정책 데이터베이스에 저장해두고 있는 복수의 침입 차단 정책들을 우선순위에 따라 새롭게 배열하고 적용할 시간의 도래 여부를 판단하여 적용하는 장치 및 그 방법을 제공하는데 있다. An object of the present invention is to solve the above problems, an apparatus for determining and applying the arrival of time to newly arrange and apply a plurality of intrusion prevention policies stored in the policy database according to the priority And to provide a method.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 라우터 하드웨어 플랫폼에서의 침입 차단 적용 장치는 적어도 하나 이상의 침입차단 정책을 관련 정보와 함께 저장하는 정책데이터베이스; 상기 정책데이터베이스에 침입차단 정책을 추가하거나 삭제하는 정책서버; 상기 관련 정보를 참조하여 우선순위에 따라 침입 차단 정책을 적용할 것을 결정하는 시간제어부; 및 상기 시간제어부의 결정에 의한 침입 차단 정책을 라우터 하드웨어 플랫폼이 처리하는 데이터에 적용하여 침입을 차단하는 침입차단부;를 포함하는 것을 특징으로 한다.In order to achieve the above technical problem, an apparatus for applying intrusion prevention in a router hardware platform according to the present invention includes a policy database for storing at least one or more intrusion prevention policies together with related information; A policy server for adding or deleting an intrusion prevention policy to the policy database; A time control unit determining to apply an intrusion prevention policy according to a priority based on the related information; And an intrusion blocking unit that blocks an intrusion by applying an intrusion prevention policy determined by the time control unit to data processed by the router hardware platform.
바람직하게는, 상기 정책데이터베이스는 상기 침입차단 정책을 침입차단 정책별 ID, 우선순위, 적용할 시간, 발신지와 목적지 주소, 발신지와 목적지 포트, 프로토콜, 패킷 차단 여부를 포함하는 정보를 상기 관련정보로 하여 저장하는 것을 특징으로 한다.Preferably, the policy database includes information including the ID, priority, time to apply, source and destination address, source and destination port, protocol, and packet blocking as the related information. Characterized in that for storing.
보다 바람직하게는, 상기 정책데이터베이스는 GDBM(GDU Database Management) 를 기초로 상기 침입차단 정책과 관련 정보를 저장하는 것을 특징으로 한다.More preferably, the policy database stores the intrusion prevention policy and related information based on GDUM (GDU Database Management).
바람직하게는, 상기 시간제어부는 상기 침입차단 정책을 우선순위별로 저장하며, 각 우선순위별로 침입차단 정책 ID, 적용할 시간을 포함하는 상기 관련정보에 시간 플래그, 다음 우선순위를 가지는 정보의 주소를 부가하여 저장하는 리스트부; 및 상기 우선순위에 따라 상기 정책을 추출한 후 상기 적용할 시간을 참조하여 적용시간이 되면 상기 차단부로 추출된 정책을 출력하는 제어부;를 포함하는 것을 특징으로 한다.Preferably, the time control unit stores the intrusion blocking policy by priority, and sets a time flag and an address of information having a next priority in the related information including an intrusion blocking policy ID and time to be applied for each priority. A list unit to be added and stored; And a controller for extracting the policy according to the priority and outputting the extracted policy to the blocking unit when the application time is reached by referring to the time to be applied.
바람직하게는, 상기 제어부는 상기 시간 플래그를 설정 또는 해제하여 해당하는 침입차단 정책의 적용 또는 비적용을 표현하고, 상기 다음 우선순위를 가지는 정보의 주소를 설정 또는 리셋하여 다음 우선순위를 가지는 침입차단 정책의 유무를 표현하는 것을 특징으로 한다.Preferably, the control unit expresses the application or non-application of a corresponding intrusion prevention policy by setting or releasing the time flag, and setting or resetting an address of information having the next priority to have an intrusion prevention policy having a next priority. It is characterized by the presence or absence of.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 라우터 하드웨어 플랫폼에서의 정책 차단 방법은 적어도 하나 이상의 침입차단 정책을 관련 정보와 함께 저장하는 단계; 상기 관련 정보를 참조하여 우선순위에 따라 상기 침입차단 정책을 정렬하는 단계; 및 상기 정렬된 각 침입차단 정책을 적용할 시간을 검사하여 해당하는 시간이 도래하면 상기 침입차단 정책을 입력되는 패킷에 적용하는 단계;를 포함하는 것을 특징으로 한다.In order to achieve the above technical problem, a policy blocking method in a router hardware platform according to the present invention includes: storing at least one intrusion blocking policy together with related information; Sorting the intrusion prevention policy according to a priority with reference to the related information; And checking a time to apply the sorted intrusion prevention policies and applying the intrusion prevention policy to an input packet when a corresponding time arrives.
바람직하게는, 상기 침입차단 정책을 정렬하는 단계는 상기 관련 정보중에서 시간제어와 정렬에 필요한 요소를 추출하는 단계; 상기 침입차단 정책을 우선순위에 따라 배열하는 단계; 상기 우선순위에 따라 배열된 각 침입차단 정책을 추출 단계에서 추출된 침입차단 정책 ID, 적용할 시간에 시간 플래그, 다음 우선순위를 가지는 정보의 주소를 부가하여 메모리 리스트를 구성하는 단계;를 포함하는 것을 특징으로 한다.Preferably, the step of arranging the intrusion prevention policy may include extracting elements necessary for time control and alignment from the related information; Arranging the intrusion prevention policies according to priorities; Constructing a memory list by adding each of the intrusion prevention policies arranged according to the priority, the intrusion prevention policy ID extracted in the extracting step, a time flag to be applied, and an address of information having a next priority; It is characterized by.
바람직하게는, 상기 패킷에 적용하는 단계는 우선순위별로 침입차단 정책의 적용시간을 확인하는 단계; 적용시간이 도래된 침입차단 정책이면, 시간 플래그를 설정하여 그 정책의 적용을 알리고, 상기 침입차단 정책에 따라 패킷을 차단하거나 허가하는 단계; 적용시간이 경과한 침입차단 정책이면, 상기 침입차단 정책의 해제여부를 판단하여, 해제되지 않았으면 시간 플래그를 리셋한 후 상기 침입차단 정책을 해제한 후 패킷을 전달하고, 이미 해제되었다면 일정 시간 대기하였다가 정책 적용을 다시 검사하는 단계;를 포함하는 것을 특징으로 한다.Preferably, the step of applying to the packet is a step of checking the application time of the intrusion prevention policy for each priority; Setting a time flag to notify application of the policy and blocking or permitting the packet according to the intrusion prevention policy if the application time is the arrival intrusion prevention policy; If the application time has elapsed, it is determined whether the intrusion prevention policy is released. If not, the time flag is reset. If not, the packet is delivered after the intrusion prevention policy is released. And re-examine the policy application.
또한, 본 발명에 의한 라우터 하드웨어 플랫폼의 침입차단 정책 적용 방법에 기재된 발명을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 포함하는 것을 특징으로 가진다.A computer-readable recording medium having recorded thereon a program for executing the invention described in the method for applying an intrusion prevention policy of a router hardware platform according to the present invention is also characterized in that it comprises a computer-readable recording medium.
본 발명이 적용되는 라우터 하드웨어 플랫폼은 네트워크 프로세서로 인텔사의 IXP2800을 사용하고, 네트워크 프로세서의 Xscale에서 정책을 저장하고 우선순위를 처리하며 마이크로 엔진에서 적용하는 것이 바람직하다. 그리고, GDBM(GNU Database Management)로 데이터베이스를 저장하는 것이 바람직한데, 이는 Open Source이기 때문에 구입 비용이 없고, 적은 하드웨어 자원을 사용하여 구동이 가능한 장점이 있다. 한편 GDBM에서는 우선순위에 따라서 데이터베이스를 정렬하는 기능을 제공하지 않으므로, 우선순위에 대한 처리가 필요하다.The router hardware platform to which the present invention is applied uses Intel's IXP2800 as a network processor, and stores the policy in Xscale of the network processor, processes priorities, and applies it in the micro engine. In addition, it is preferable to store a database by GDBM (GNU Database Management). This is an open source, so there is no purchase cost, and there is an advantage in that it can be driven using less hardware resources. On the other hand, GDBM does not provide the function to sort the database according to the priority, so it needs to handle the priority.
이하, 첨부된 도면을 참조하여 본 발명에 따른 실시예를 상세하게 설명하기로 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명에 따른 라우터 하드웨어 플랫폼에서의 침입차단 정책 적용 장치의 구성을 보여주는 블록도이고, 도 2는 도 1의 리스트부(131)에서 메모리 리스트에 저장하는 데이터의 구조를 보여주는 도면이다. 그리고 도 3은 본 발명에 의한 라우터 하드웨어 플랫폼에서의 침입차단 정책 적용 방법의 과정을 보여주는 흐름도이며, 도 4는 도 3의 과정을 보다 상세하게 보여주는 흐름도이다.1 is a block diagram illustrating a configuration of an apparatus for applying an intrusion prevention policy in a router hardware platform according to the present invention, and FIG. 2 is a diagram illustrating a structure of data stored in a memory list by the
도 1을 참조하면, 라우터 하드웨어 플랫폼은 정책서버(110), 정책데이터베이스(120), 시간제어부(130) 및 침입차단부(140)로 구성된다.Referring to FIG. 1, the router hardware platform includes a
정책서버(110), 정책데이터베이스(120) 및 시간제어부(130)는 네트워크 프로세서(1)의 Xscale(10) 내에 있고, 침입차단부(140)는 네트워크 프로세서(1)의 마이크로 엔진(20)내에 있다. 침입차단 정책은 IP주소, 프로토콜, 포트 번호를 이용하여 패킷을 허가하거나 차단하는 규칙이다. 프로토콜이 ICMP일 때는, 포트번호가 아닌 ICMP Type과 Code를 이용하여 허가하거나 차단하는 규칙이 적용된다. 그리고, TCP 프로토콜은 상태에 기반한 연결을 유지하면서 통신하기 때문에 TCP 연결에 대한 관리를 위한 상태 기반 침입을 허가하거나 차단하는 규칙을 가진다. 이러한 침입차단 정책을 정책서버(110)가 정책데이터베이스(120)에 추가, 삭제 및 변경하여 저장한 다. The
정책데이터베이스(120)에는 도 2에 도시된 바와 같이, 복수의 정책들(121)이 저장되고, 각 정책은 정책 ID, 우선순위, 적용시간, 발신지 주소, 목적지 주소, 발신지 포트, 목적지 포트, 프로토콜, 패킷차단여부를 포함하는 각종 정보(123)를 가지고 있다.As shown in FIG. 2, a plurality of
정책데이터베이스(120)에 정책들이 저장되면, 시간제어부(130)내의 제어부(133)는 정책데이터베이스(120)에 있는 정보 중 정책 ID(213), 적용시간(215), 시간플래그(217)를 우선순위(211)에 순서대로 리스트부(131)에 저장하고 정책을 메모리 리스트 순서대로 적용시간(215)을 검사하여 정책을 마이크로 엔진(20), 구체적으로는 침입차단부(140)에 적용하거나 적용을 해제한다. 정책데이터베이스(120)로 GDBM(GNU Database Management)를 사용한다. GDBM은 적은 하드웨어 자원으로 구동이 가능하지만 저장된 데이터의 정렬을 할 수 없다. 따라서, 시간제어부(130)에서 도 2와 같은 메모리 리스트를 만들 때 먼저 데이터를 우선순위(211)대로 정렬해서 정책을 적용하면 침입차단부(140)를 포함하는 마이크로 엔진(20)에서 별도로 우선순위(211)처리를 할 필요가 없게 된다.When the policies are stored in the
도 2를 참조하면 보다 이해가 용이하게 될 것이다. 리스트부(131)가 저장하는 메모리 리스트는 정책데이터베이스(120)의 모든 데이터로 구성되지 않고 시간제어와 정렬에 필요한 요소만으로 구성된다. 메모리 리스트는 정책데이터베이스(120)에 저장되어 있는 정보 중에 정책 ID(213)와 적용시간(215)을 우선순위(211)에 따라 정렬된 후 시간플래그(217)와 Next header(219)로 구성된다. 우선순위(211)는 마이크로 엔진(20)의 침입차단부(140)에 정책을 적용할 순서이고, 정책 ID(213)는 정책들을 구분하기 위한 식별자이다. 적용시간(215)은 정책이 적용될 시간의 범위이고, 시간플래그(217)는 정책의 적용이나 해제를 알려주는 플래그로 메모리 리스트에 처음 추가할 때는 0으로 설정되고, 정책이 적용되면 1로 설정되고, 정책이 해제되면 0으로 설정된다. Next header(219)는 리스트부(131)에 저장된 다음 정보의 주소이다. Next header(219)는 처음에 Null로 설정되고, 다음 정책 정보가 추가되면, 다음 정보의 주소로 변경된다.Referring to Figure 2 will be easier to understand. The memory list stored by the
이제, 침입차단부(140)는 시간제어부(130)에서 적용한 정책에 따라 라우터의 송신 패킷과 수신 패킷 및 전송 패킷을 차단하거나 허가하게 되고, 시간제어부(130)에서 해제한 정책은 참고하지 않는다.Now, the
도 3과 도 4를 참조하면서, 본 발명에 의한 라우터 하드웨어 플랫폼에서의 침입차단 적용 방법의 흐름을 살펴보자. 도 3은 그 개요인데, 먼저 적어도 하나 이상의 침입차단 정책을 관련 정보와 함께 저장하는 준비과정을 가진다(S310). 다음으로 상기 관련 정보를 참조하여 우선순위(211)에 따라 상기 침입차단 정책을 정렬하게 되며(S320), 마지막으로 상기 정렬된 각 침입차단 정책을 적용할 시간을 검사하여 해당하는 시간이 도래하면 상기 침입차단 정책을 입력되는 패킷에 적용하게 된다(S330). Referring to Figures 3 and 4, let's look at the flow of the intrusion prevention method in the router hardware platform according to the present invention. 3 is an overview thereof, and first, a preparation process of storing at least one or more intrusion prevention policies together with related information (S310). Next, the intrusion blocking policy is sorted according to the
보다 구체적인 과정은 도 4를 참조하면서 설명한다.A more detailed process will be described with reference to FIG. 4.
먼저 침입차단 정책을 정책데이터베이스(120)에 저장한다(S401). 정책데이터베이스(120)에 저장된 정책의 정보(123) 중 정책 ID(213), 우선순위(211), 적용시 간(215)만 검색하여 우선순위(211)대로 정렬한다(S403 내지 S405). 정렬된 정보를 저장하기 전에 리스트부(131)를 초기화하고(S407), 시간플래그(217)를 0으로 설정하고, Next header(219)를 Null로 설정한다(S409). First, the intrusion prevention policy is stored in the policy database 120 (S401). Only the
초기화된 리스트부(131)에 우선순위(211)대로 정렬된 정보를 저장한다. 저장할 때 시간플래그(217)와 Next header(219)도 함께 저장한다(S411). 다음으로, 리스트부(131)에 추가할 정책이 있는지 판단하여(S413), 추가할 정책이 있으면 Next header(219)를 다음 정보의 주소로 변경하여 리스트부(131)에 추가된다(S415, S411). The information sorted according to
한편, 단계 S413의 판단결과, 더 이상 추가할 정책이 없으면, 리스트부(131)에 저장된 정책의 적용시간(215)을 검사하여(S417), 현재시간이 적용시간(215)에 해당되면 이미 보안 정책을 적용하였는지 검사한다(S419). 보안 정책을 아직 적용하지 않았다면, 시간플래그(217)를 1로 설정하고, 침입차단부(140)에 정책을 적용한다(S421). 적용한 정책에 따라 침입차단부(140)에서 라우터의 송신 패킷과 수신 패킷 및 전송 패킷을 차단하거나 허가한다(S423). 일정시간동안 대기(S425)하다가, 단계417부터 정책의 적용시간(215)과 적용여부를 판단하여 적용 또는 해제한다. 한편, 단계 S419의 검사결과, 이미 보안 정책을 적용하였다면, 일정시간동안 대기한다(S425).On the other hand, as a result of the determination in step S413, if there are no more policies to add, the
한편, 단계 S417의 검사결과, 현재시간이 적용시간(215)에 해당되지 않으면, 보안 정책을 해제하였는지 검사한다(S427). 아직 보안 정책을 해제하지 않았다면, 시간플래그(217)를 0으로 설정하고, 침입차단부(140)에 정책을 해제한다(S429). 정 책이 해제되면, 침입차단부(140)에서 패킷을 검사하지 않고 그대로 전달한다(S431). 그리고, 일정시간동안 대기한다(S425). 한편, 단계 S427의 검사결과, 이미 보안 정책을 해제하였다면, 일정시간 대기한다(S425).On the other hand, if the current time does not correspond to the
또한, 본 발명에 따른 라우터 하드웨어 플랫폼에서의 침입차단 정책 적용 장치 및 그 방법은 이에 대응하는 프로그램으로 구현되어 기록 매체로 저장될 수 있으며, 기록 매체에 저장된 프로그램은 본 발명의 장치에 대응하는 하드웨어 또는 범용 하드웨어에서 실행될 수 있다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. In addition, the apparatus and method for applying an intrusion prevention policy in a router hardware platform according to the present invention may be implemented as a corresponding program and stored in a recording medium, and the program stored in the recording medium may correspond to hardware or a device corresponding to the apparatus of the present invention. It can run on general purpose hardware. Computer-readable recording media include all kinds of recording devices that store data that can be read by a computer system.
컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플라피 디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like, which are also implemented in the form of carrier waves (for example, transmission over the Internet). It also includes. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.
이상 도면과 명세서에서 최적 실시예들이 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. The best embodiments have been disclosed in the drawings and specification above. Although specific terms have been used herein, they are used only for the purpose of describing the present invention and are not used to limit the scope of the present invention as defined in the meaning or claims.
그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.Therefore, those skilled in the art will understand that various modifications and equivalent other embodiments are possible from this. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.
본 발명에 의한 라우터 하드웨어 플랫폼에서의 침입차단 정책 적용 장치 및 그 방법은, 네트워크 프로세서가 장착되어 라우터의 네트워킹 속도를 높일 수 있고, 시간제어부에서 정책을 우선순위에 따라 적용하여 마이크로 엔진에서 별도로 우선순서 처리를 할 필요가 없고, 우선순위와 시간 정보를 메모리 리스트에 저장해 두어 정책을 적용할 시간을 검사하기 위해 데이터베이스의 많은 데이터를 검색하지 않고, 메모리 리스트의 요약 정보만을 검색하여 빠른 우선순위 처리와 정책 적용이 가능하고, GDBM으로 정책을 저장하여 적은 하드웨어 자원으로도 데이터베이스 구동이 가능하며, 공격에 대한 대응을 하는 정책과 같이 가장 먼저 적용해야 할 정책이 있을 경우 우선순위를 이용하여 침입을 차단할 수 있는 효과가 있다.Apparatus and method for applying an intrusion prevention policy in a router hardware platform according to the present invention may be equipped with a network processor to increase the networking speed of the router, and separately apply the priority in the micro engine by applying the policy according to the priority in the time controller. There is no need for processing, and the priority and time information is stored in the memory list so that the priority information of the memory list is retrieved without retrieving much data from the database to check the time to apply the policy. It can be applied, and the policy can be saved with GDBM to run the database with less hardware resources. If there is a policy that needs to be applied first, such as a policy that responds to an attack, it can be used to prevent intrusion. It works.
Claims (8)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20050116872 | 2005-12-02 | ||
KR1020050116872 | 2005-12-02 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20070058311A KR20070058311A (en) | 2007-06-08 |
KR100785804B1 true KR100785804B1 (en) | 2007-12-13 |
Family
ID=38355261
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060108362A KR100785804B1 (en) | 2005-12-02 | 2006-11-03 | Intrusion blocking policy enforcement apparatus and method in router hardware platform |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100785804B1 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101230254B1 (en) * | 2011-12-29 | 2013-02-06 | 시큐아이닷컴 주식회사 | Appratus and method of managing reference information for object |
KR102267101B1 (en) * | 2020-04-02 | 2021-06-18 | 한충희 | Security control system for responding overseas cyber threat and method thereof |
CN114221793B (en) * | 2021-11-23 | 2022-12-20 | 武汉天楚云计算有限公司 | Data information intrusion protection method and server in big data environment |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20010105116A (en) * | 2000-05-19 | 2001-11-28 | 김강호 | Linux-Based Integrated Security System for Network and Method thereof, and Semiconductor Device Having These Solutions |
JP2003054034A (en) | 2001-08-10 | 2003-02-26 | Mitsumi Electric Co Ltd | Printing head mechanism for optical printer |
KR20030038873A (en) * | 2001-11-06 | 2003-05-17 | 이창배 | Embeded Stealth Firewall |
KR20030075903A (en) * | 2002-03-21 | 2003-09-26 | 한국전자통신연구원 | Policy based network system for minimizing policy application loss and running method thereof |
KR20030091257A (en) * | 2002-05-27 | 2003-12-03 | 한국전자통신연구원 | Method for providing and executing policy using system function in a policy based network security management system |
KR20040055513A (en) * | 2002-12-21 | 2004-06-26 | 한국전자통신연구원 | Information model for security policy in policy-based network security system |
KR20040079515A (en) * | 2003-03-07 | 2004-09-16 | 주식회사 지모컴 | An embedded board for intrusion detection system and an intrusion detection system comprising said embedded board |
KR20050031215A (en) * | 2003-09-29 | 2005-04-06 | 한국전자통신연구원 | Security engine management apparatus and method in network nodes |
-
2006
- 2006-11-03 KR KR1020060108362A patent/KR100785804B1/en not_active IP Right Cessation
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20010105116A (en) * | 2000-05-19 | 2001-11-28 | 김강호 | Linux-Based Integrated Security System for Network and Method thereof, and Semiconductor Device Having These Solutions |
JP2003054034A (en) | 2001-08-10 | 2003-02-26 | Mitsumi Electric Co Ltd | Printing head mechanism for optical printer |
KR20030038873A (en) * | 2001-11-06 | 2003-05-17 | 이창배 | Embeded Stealth Firewall |
KR20030075903A (en) * | 2002-03-21 | 2003-09-26 | 한국전자통신연구원 | Policy based network system for minimizing policy application loss and running method thereof |
KR20030091257A (en) * | 2002-05-27 | 2003-12-03 | 한국전자통신연구원 | Method for providing and executing policy using system function in a policy based network security management system |
KR20040055513A (en) * | 2002-12-21 | 2004-06-26 | 한국전자통신연구원 | Information model for security policy in policy-based network security system |
KR20040079515A (en) * | 2003-03-07 | 2004-09-16 | 주식회사 지모컴 | An embedded board for intrusion detection system and an intrusion detection system comprising said embedded board |
KR20050031215A (en) * | 2003-09-29 | 2005-04-06 | 한국전자통신연구원 | Security engine management apparatus and method in network nodes |
Also Published As
Publication number | Publication date |
---|---|
KR20070058311A (en) | 2007-06-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106713049B (en) | Monitoring alarm method and device | |
CN106559395B (en) | A kind of data message detection method and device based on industrial network | |
US20050169258A1 (en) | Fibre channel zoning hardware for directing a data packet to an external processing device | |
US8555374B2 (en) | High performance packet processing using a general purpose processor | |
WO2020209085A1 (en) | Registration system, registration method, and registration program | |
CN105991444B (en) | The method and apparatus of business processing | |
CN110798482B (en) | System-level honeypot network isolation system based on linux network filter | |
CN105915516B (en) | Data stream acquisition method and device based on security detection | |
CN113992428A (en) | Intrusion prevention method and device under container environment, electronic equipment and storage medium | |
CN109450955A (en) | A kind of flow processing method and device based on network attack | |
CN110224947A (en) | Message processing method, device and equipment in a kind of multicore repeater system | |
CN112565300B (en) | Industry cloud hacker attack identification and blocking method, system, device and medium | |
KR100785804B1 (en) | Intrusion blocking policy enforcement apparatus and method in router hardware platform | |
CN101587521B (en) | method and device for acquiring remote computer information | |
CN103701653B (en) | The processing method of a kind of interface hot plug configuration data and network configuration server | |
CN112887405A (en) | Intrusion prevention method, system and related equipment | |
CN111030971A (en) | Distributed access control method and device and storage equipment | |
JP2003085139A (en) | Intrusion detecting control system | |
CN110519147A (en) | Data frame transmission method, device, equipment and computer readable storage medium | |
CN108965093B (en) | VLAN (virtual local area network) distribution method and device | |
CN112688899A (en) | In-cloud security threat detection method and device, computing equipment and storage medium | |
CN102438023A (en) | Method and device for detecting malicious remote procedure call (RPC) behaviors | |
JP2006332997A (en) | Communication management device, network system, communication disconnecting method, and program | |
KR101361243B1 (en) | Apparatus and Method for Tenant-aware Security Management in Multi-Tenancy system | |
CN106533882A (en) | Message processing method and device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
G170 | Publication of correction | ||
FPAY | Annual fee payment |
Payment date: 20101201 Year of fee payment: 4 |
|
LAPS | Lapse due to unpaid annual fee |