KR100785804B1 - Intrusion blocking policy enforcement apparatus and method in router hardware platform - Google Patents

Intrusion blocking policy enforcement apparatus and method in router hardware platform Download PDF

Info

Publication number
KR100785804B1
KR100785804B1 KR1020060108362A KR20060108362A KR100785804B1 KR 100785804 B1 KR100785804 B1 KR 100785804B1 KR 1020060108362 A KR1020060108362 A KR 1020060108362A KR 20060108362 A KR20060108362 A KR 20060108362A KR 100785804 B1 KR100785804 B1 KR 100785804B1
Authority
KR
South Korea
Prior art keywords
policy
intrusion prevention
time
priority
intrusion
Prior art date
Application number
KR1020060108362A
Other languages
Korean (ko)
Other versions
KR20070058311A (en
Inventor
조수형
김기영
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Publication of KR20070058311A publication Critical patent/KR20070058311A/en
Application granted granted Critical
Publication of KR100785804B1 publication Critical patent/KR100785804B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 의한 라우터 하드웨어 플랫폼에서의 침입차단 정책 적용 장치 및 그 방법은 적어도 하나 이상의 침입차단 정책을 관련 정보와 함께 저장하는 정책데이터베이스; 상기 정책데이터베이스에 침입차단 정책을 추가하거나 삭제하는 정책서버; 상기 관련 정보를 참조하여 우선순위에 따라 침입 차단 정책을 적용할 것을 결정하는 시간제어부; 및 상기 시간제어부의 결정에 의한 침입 차단 정책을 라우터하드웨어 플랫폼이 처리하는 데이터에 적용하여 침입을 차단하는 침입차단부;를 포함하는 것을 특징으로 하며, 하드웨어 플랫폼은 네트워크 프로세서가 장착되어 있으며, 정책을 우선순위에 따라 적용하여 네트워크 프로세서내의 마이크로 엔진에서 별도로 우선순서 처리를 할 필요가 없고, 우선순위의 순서에 따라 시간 정보를 메모리 리스트에 저장해 두어 정책을 적용할 시간을 검사하기 위해 데이터베이스의 많은 데이터를 검색하지 않고, 메모리 리스트의 요약 정보만을 검색하여 빠른 우선순위 처리와 정책 적용이 가능하다.Apparatus and method for applying an intrusion prevention policy in a router hardware platform according to the present invention include a policy database for storing at least one intrusion prevention policy with related information; A policy server for adding or deleting an intrusion prevention policy to the policy database; A time control unit determining to apply an intrusion prevention policy according to a priority based on the related information; And an intrusion blocking unit that blocks an intrusion by applying an intrusion blocking policy determined by the time controller to data processed by a router hardware platform. The hardware platform includes a network processor. It does not need to be processed by the micro engine in the network processor separately in order of priority, and the time information is stored in the memory list according to the order of priority so that much data in the database can be checked to check the time to apply the policy. Instead of searching, only the summary information of the memory list can be searched for fast priority processing and policy application.

침입차단, 정책 적용 Intrusion Prevention, Policy Application

Description

라우터 하드웨어 플랫폼에서의 침입차단 정책 적용 장치 및 그 방법{Intrusion blocking policy enforcement apparatus and method in router hardware platform}Intrusion blocking policy enforcement apparatus and method in router hardware platform

도 1은 본 발명에 따른 라우터 하드웨어 플랫폼에서의 침입차단 정책 적용 장치의 구성을 보여주는 블록도이다.1 is a block diagram showing the configuration of an intrusion prevention policy application apparatus in a router hardware platform according to the present invention.

도 2는 도 1의 리스트부에서 메모리 리스트에 저장하는 데이터의 구조를 보여주는 도면이다.FIG. 2 is a diagram illustrating a structure of data stored in a memory list in the list unit of FIG. 1.

도 3은 본 발명에 의한 라우터 하드웨어 플랫폼에서의 침입차단 정책 적용 방법의 과정을 보여주는 흐름도이다.3 is a flowchart illustrating a method of applying an intrusion prevention policy in a router hardware platform according to the present invention.

도 4는 도 3의 과정을 보다 상세하게 보여주는 흐름도이다.4 is a flowchart illustrating the process of FIG. 3 in more detail.

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

1 : 네트워크 프로세서 10: Xscale1: Network Processor 10: Xscale

20 : 마이크로 엔진20: micro engine

110 : 정책서버 120 : 정책데이터베이스110: Policy Server 120: Policy Database

130 : 시간제어부 140 : 침입차단부130: time control unit 140: intrusion blocking unit

131 : 리스트부 133 : 제어부131: list unit 133: control unit

본 발명은 라우터 하드웨어 플랫폼에서의 침입을 차단하기 위한 침입 차단 정책을 적용하기 위한 장치 및 그 방법에 관한 것으로, 더욱 상세하게는 네트워크 프로세서가 장착된 라우터 하드웨어 플랫폼에서 침입을 차단하도록 마이크로 엔진에 정책을 적용할 때, 우선순위에 따라 적용하는 장치 및 그 방법에 관한 것이다. The present invention relates to an apparatus and a method for applying an intrusion prevention policy for blocking intrusion in a router hardware platform, and more particularly, to a policy for a micro engine to block intrusion in a router hardware platform equipped with a network processor. When applied, the present invention relates to an apparatus and a method of applying according to priority.

라우터는 네트워크의 구성 요소들을 연결하여 데이터 전송을 담당하는 장비로 네트워크의 공격을 막기 위해 라우터의 송신 패킷과 수신 패킷 및 전송 패킷을 침입차단 정책에 의해 허가하거나 차단한다. 침입차단 정책은 IP주소, 프로토콜, 포트 번호를 이용하여 허가나 차단을 결정한다. 프로토콜이 ICMP일 경우에는, 포트번호가 아닌 ICMP Type과 Code를 이용하여 허가 또는 차단을 결정한다. 그리고, TCP 프로토콜은 상태에 기반한 연결을 유지하면서 통신하기 때문에 기존의 보안 장비에 없는 TCP 연결에 대한 관리를 위한 상태 기반 침입차단 정책이 필요하다.A router is a device that is responsible for data transmission by connecting the components of the network. In order to prevent an attack of the network, the router allows or blocks the transmission packet, the reception packet, and the transmission packet by an intrusion prevention policy. Intrusion prevention policies use the IP address, protocol, and port number to determine permission or blocking. If the protocol is ICMP, permit or block is determined using ICMP Type and Code, not port number. In addition, since the TCP protocol communicates while maintaining a state-based connection, a state-based intrusion prevention policy is required to manage TCP connections that are not present in the existing security equipment.

침입차단 정책을 적용할 때, 먼저 처리해야 할 정책이 있기 때문에 우선순위가 필요하다. 예를 들어, A 서브넷 내의 B 주소를 차단하는 정책이 1순위이고, A 서브넷을 허가하는 정책이 2순위이면, A 서브넷 내의 B주소만 차단하고, B 주소를 제외한 나머지 A 서브넷 내의 모든 주소는 허가를 한다. 이와 반대로, A 서브넷을 허가하는 정책이 1순위이고, A 서브넷 내의 B 주소를 차단하는 정책이 2순위이면, A 서브넷 허가가 우선 순위가 높으므로 B주소의 차단은 불가하다. When applying intrusion prevention policies, priorities are necessary because there are policies that need to be addressed first. For example, if the policy to block B addresses within subnet A is 1st, and the policy to allow subnet A is 2nd, only block B addresses within subnet A and all addresses in subnet A except B are allowed. Do On the contrary, if the policy for allowing A subnet is 1st priority and the policy for blocking B address in A subnet 2 is 2nd priority, blocking of B address is impossible because A subnet permission has high priority.

이러한 침입차단 정책은 데이터베이스로 저장되어 데이터베이스관리시스템이 관리하는데, 오라클이나 인포믹스 등의 상용제품은 데이터베이스를 쉽게 관리할 수 있도록 다양한 라이브러리와 기능을 제공한다. 그러나, 가격이 비쌀 뿐 아니라, 많은 하드웨어 자원을 필요로 하기 때문에, 제한된 하드웨어 자원을 사용하는 하드웨어 플랫폼에서는 데이터베이스를 관리할 수 없는 문제점이 있다.These intrusion prevention policies are stored in a database and managed by a database management system. Commercial products such as Oracle and Informix provide various libraries and functions to easily manage the database. However, since the price is expensive and requires a lot of hardware resources, there is a problem in that the database cannot be managed on a hardware platform using limited hardware resources.

본 발명이 이루고자 하는 기술적 과제는 상기의 문제점을 해결하기 위하여 안출된 것으로서, 정책 데이터베이스에 저장해두고 있는 복수의 침입 차단 정책들을 우선순위에 따라 새롭게 배열하고 적용할 시간의 도래 여부를 판단하여 적용하는 장치 및 그 방법을 제공하는데 있다. An object of the present invention is to solve the above problems, an apparatus for determining and applying the arrival of time to newly arrange and apply a plurality of intrusion prevention policies stored in the policy database according to the priority And to provide a method.

상기의 기술적 과제를 이루기 위하여 본 발명에 의한 라우터 하드웨어 플랫폼에서의 침입 차단 적용 장치는 적어도 하나 이상의 침입차단 정책을 관련 정보와 함께 저장하는 정책데이터베이스; 상기 정책데이터베이스에 침입차단 정책을 추가하거나 삭제하는 정책서버; 상기 관련 정보를 참조하여 우선순위에 따라 침입 차단 정책을 적용할 것을 결정하는 시간제어부; 및 상기 시간제어부의 결정에 의한 침입 차단 정책을 라우터 하드웨어 플랫폼이 처리하는 데이터에 적용하여 침입을 차단하는 침입차단부;를 포함하는 것을 특징으로 한다.In order to achieve the above technical problem, an apparatus for applying intrusion prevention in a router hardware platform according to the present invention includes a policy database for storing at least one or more intrusion prevention policies together with related information; A policy server for adding or deleting an intrusion prevention policy to the policy database; A time control unit determining to apply an intrusion prevention policy according to a priority based on the related information; And an intrusion blocking unit that blocks an intrusion by applying an intrusion prevention policy determined by the time control unit to data processed by the router hardware platform.

바람직하게는, 상기 정책데이터베이스는 상기 침입차단 정책을 침입차단 정책별 ID, 우선순위, 적용할 시간, 발신지와 목적지 주소, 발신지와 목적지 포트, 프로토콜, 패킷 차단 여부를 포함하는 정보를 상기 관련정보로 하여 저장하는 것을 특징으로 한다.Preferably, the policy database includes information including the ID, priority, time to apply, source and destination address, source and destination port, protocol, and packet blocking as the related information. Characterized in that for storing.

보다 바람직하게는, 상기 정책데이터베이스는 GDBM(GDU Database Management) 를 기초로 상기 침입차단 정책과 관련 정보를 저장하는 것을 특징으로 한다.More preferably, the policy database stores the intrusion prevention policy and related information based on GDUM (GDU Database Management).

바람직하게는, 상기 시간제어부는 상기 침입차단 정책을 우선순위별로 저장하며, 각 우선순위별로 침입차단 정책 ID, 적용할 시간을 포함하는 상기 관련정보에 시간 플래그, 다음 우선순위를 가지는 정보의 주소를 부가하여 저장하는 리스트부; 및 상기 우선순위에 따라 상기 정책을 추출한 후 상기 적용할 시간을 참조하여 적용시간이 되면 상기 차단부로 추출된 정책을 출력하는 제어부;를 포함하는 것을 특징으로 한다.Preferably, the time control unit stores the intrusion blocking policy by priority, and sets a time flag and an address of information having a next priority in the related information including an intrusion blocking policy ID and time to be applied for each priority. A list unit to be added and stored; And a controller for extracting the policy according to the priority and outputting the extracted policy to the blocking unit when the application time is reached by referring to the time to be applied.

바람직하게는, 상기 제어부는 상기 시간 플래그를 설정 또는 해제하여 해당하는 침입차단 정책의 적용 또는 비적용을 표현하고, 상기 다음 우선순위를 가지는 정보의 주소를 설정 또는 리셋하여 다음 우선순위를 가지는 침입차단 정책의 유무를 표현하는 것을 특징으로 한다.Preferably, the control unit expresses the application or non-application of a corresponding intrusion prevention policy by setting or releasing the time flag, and setting or resetting an address of information having the next priority to have an intrusion prevention policy having a next priority. It is characterized by the presence or absence of.

상기의 기술적 과제를 이루기 위하여 본 발명에 의한 라우터 하드웨어 플랫폼에서의 정책 차단 방법은 적어도 하나 이상의 침입차단 정책을 관련 정보와 함께 저장하는 단계; 상기 관련 정보를 참조하여 우선순위에 따라 상기 침입차단 정책을 정렬하는 단계; 및 상기 정렬된 각 침입차단 정책을 적용할 시간을 검사하여 해당하는 시간이 도래하면 상기 침입차단 정책을 입력되는 패킷에 적용하는 단계;를 포함하는 것을 특징으로 한다.In order to achieve the above technical problem, a policy blocking method in a router hardware platform according to the present invention includes: storing at least one intrusion blocking policy together with related information; Sorting the intrusion prevention policy according to a priority with reference to the related information; And checking a time to apply the sorted intrusion prevention policies and applying the intrusion prevention policy to an input packet when a corresponding time arrives.

바람직하게는, 상기 침입차단 정책을 정렬하는 단계는 상기 관련 정보중에서 시간제어와 정렬에 필요한 요소를 추출하는 단계; 상기 침입차단 정책을 우선순위에 따라 배열하는 단계; 상기 우선순위에 따라 배열된 각 침입차단 정책을 추출 단계에서 추출된 침입차단 정책 ID, 적용할 시간에 시간 플래그, 다음 우선순위를 가지는 정보의 주소를 부가하여 메모리 리스트를 구성하는 단계;를 포함하는 것을 특징으로 한다.Preferably, the step of arranging the intrusion prevention policy may include extracting elements necessary for time control and alignment from the related information; Arranging the intrusion prevention policies according to priorities; Constructing a memory list by adding each of the intrusion prevention policies arranged according to the priority, the intrusion prevention policy ID extracted in the extracting step, a time flag to be applied, and an address of information having a next priority; It is characterized by.

바람직하게는, 상기 패킷에 적용하는 단계는 우선순위별로 침입차단 정책의 적용시간을 확인하는 단계; 적용시간이 도래된 침입차단 정책이면, 시간 플래그를 설정하여 그 정책의 적용을 알리고, 상기 침입차단 정책에 따라 패킷을 차단하거나 허가하는 단계; 적용시간이 경과한 침입차단 정책이면, 상기 침입차단 정책의 해제여부를 판단하여, 해제되지 않았으면 시간 플래그를 리셋한 후 상기 침입차단 정책을 해제한 후 패킷을 전달하고, 이미 해제되었다면 일정 시간 대기하였다가 정책 적용을 다시 검사하는 단계;를 포함하는 것을 특징으로 한다.Preferably, the step of applying to the packet is a step of checking the application time of the intrusion prevention policy for each priority; Setting a time flag to notify application of the policy and blocking or permitting the packet according to the intrusion prevention policy if the application time is the arrival intrusion prevention policy; If the application time has elapsed, it is determined whether the intrusion prevention policy is released. If not, the time flag is reset. If not, the packet is delivered after the intrusion prevention policy is released. And re-examine the policy application.

또한, 본 발명에 의한 라우터 하드웨어 플랫폼의 침입차단 정책 적용 방법에 기재된 발명을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 포함하는 것을 특징으로 가진다.A computer-readable recording medium having recorded thereon a program for executing the invention described in the method for applying an intrusion prevention policy of a router hardware platform according to the present invention is also characterized in that it comprises a computer-readable recording medium.

본 발명이 적용되는 라우터 하드웨어 플랫폼은 네트워크 프로세서로 인텔사의 IXP2800을 사용하고, 네트워크 프로세서의 Xscale에서 정책을 저장하고 우선순위를 처리하며 마이크로 엔진에서 적용하는 것이 바람직하다. 그리고, GDBM(GNU Database Management)로 데이터베이스를 저장하는 것이 바람직한데, 이는 Open Source이기 때문에 구입 비용이 없고, 적은 하드웨어 자원을 사용하여 구동이 가능한 장점이 있다. 한편 GDBM에서는 우선순위에 따라서 데이터베이스를 정렬하는 기능을 제공하지 않으므로, 우선순위에 대한 처리가 필요하다.The router hardware platform to which the present invention is applied uses Intel's IXP2800 as a network processor, and stores the policy in Xscale of the network processor, processes priorities, and applies it in the micro engine. In addition, it is preferable to store a database by GDBM (GNU Database Management). This is an open source, so there is no purchase cost, and there is an advantage in that it can be driven using less hardware resources. On the other hand, GDBM does not provide the function to sort the database according to the priority, so it needs to handle the priority.

이하, 첨부된 도면을 참조하여 본 발명에 따른 실시예를 상세하게 설명하기로 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 따른 라우터 하드웨어 플랫폼에서의 침입차단 정책 적용 장치의 구성을 보여주는 블록도이고, 도 2는 도 1의 리스트부(131)에서 메모리 리스트에 저장하는 데이터의 구조를 보여주는 도면이다. 그리고 도 3은 본 발명에 의한 라우터 하드웨어 플랫폼에서의 침입차단 정책 적용 방법의 과정을 보여주는 흐름도이며, 도 4는 도 3의 과정을 보다 상세하게 보여주는 흐름도이다.1 is a block diagram illustrating a configuration of an apparatus for applying an intrusion prevention policy in a router hardware platform according to the present invention, and FIG. 2 is a diagram illustrating a structure of data stored in a memory list by the list unit 131 of FIG. 1. 3 is a flowchart illustrating a process of applying an intrusion prevention policy in a router hardware platform according to the present invention, and FIG. 4 is a flowchart illustrating the process of FIG. 3 in more detail.

도 1을 참조하면, 라우터 하드웨어 플랫폼은 정책서버(110), 정책데이터베이스(120), 시간제어부(130) 및 침입차단부(140)로 구성된다.Referring to FIG. 1, the router hardware platform includes a policy server 110, a policy database 120, a time controller 130, and an intrusion blocking unit 140.

정책서버(110), 정책데이터베이스(120) 및 시간제어부(130)는 네트워크 프로세서(1)의 Xscale(10) 내에 있고, 침입차단부(140)는 네트워크 프로세서(1)의 마이크로 엔진(20)내에 있다. 침입차단 정책은 IP주소, 프로토콜, 포트 번호를 이용하여 패킷을 허가하거나 차단하는 규칙이다. 프로토콜이 ICMP일 때는, 포트번호가 아닌 ICMP Type과 Code를 이용하여 허가하거나 차단하는 규칙이 적용된다. 그리고, TCP 프로토콜은 상태에 기반한 연결을 유지하면서 통신하기 때문에 TCP 연결에 대한 관리를 위한 상태 기반 침입을 허가하거나 차단하는 규칙을 가진다. 이러한 침입차단 정책을 정책서버(110)가 정책데이터베이스(120)에 추가, 삭제 및 변경하여 저장한 다. The policy server 110, the policy database 120, and the time controller 130 are in the Xscale 10 of the network processor 1, and the intrusion blocker 140 is in the micro engine 20 of the network processor 1. have. Intrusion prevention policy is a rule that allows or blocks the packet by using IP address, protocol and port number. When the protocol is ICMP, rules that permit or block using ICMP Type and Code, not port number, apply. In addition, since the TCP protocol communicates while maintaining a state-based connection, the TCP protocol has a rule that permits or blocks a state-based intrusion for management of the TCP connection. The intrusion blocking policy is stored in the policy server 110 by adding, deleting, and changing the policy database 120.

정책데이터베이스(120)에는 도 2에 도시된 바와 같이, 복수의 정책들(121)이 저장되고, 각 정책은 정책 ID, 우선순위, 적용시간, 발신지 주소, 목적지 주소, 발신지 포트, 목적지 포트, 프로토콜, 패킷차단여부를 포함하는 각종 정보(123)를 가지고 있다.As shown in FIG. 2, a plurality of policies 121 are stored in the policy database 120, and each policy includes a policy ID, priority, application time, source address, destination address, source port, destination port, and protocol. And various kinds of information 123 including packet blocking.

정책데이터베이스(120)에 정책들이 저장되면, 시간제어부(130)내의 제어부(133)는 정책데이터베이스(120)에 있는 정보 중 정책 ID(213), 적용시간(215), 시간플래그(217)를 우선순위(211)에 순서대로 리스트부(131)에 저장하고 정책을 메모리 리스트 순서대로 적용시간(215)을 검사하여 정책을 마이크로 엔진(20), 구체적으로는 침입차단부(140)에 적용하거나 적용을 해제한다. 정책데이터베이스(120)로 GDBM(GNU Database Management)를 사용한다. GDBM은 적은 하드웨어 자원으로 구동이 가능하지만 저장된 데이터의 정렬을 할 수 없다. 따라서, 시간제어부(130)에서 도 2와 같은 메모리 리스트를 만들 때 먼저 데이터를 우선순위(211)대로 정렬해서 정책을 적용하면 침입차단부(140)를 포함하는 마이크로 엔진(20)에서 별도로 우선순위(211)처리를 할 필요가 없게 된다.When the policies are stored in the policy database 120, the control unit 133 in the time controller 130 prioritizes the policy ID 213, the application time 215, and the time flag 217 among the information in the policy database 120. The policy is applied to the micro engine 20, specifically, the intrusion blocking unit 140, by storing the ranking in the list 211 in the order of the list unit 131 and checking the application time 215 in the order of the memory list. Release it. The policy database 120 uses GDBM (GNU Database Management). GDBM can run on low hardware resources, but can't sort stored data. Therefore, when the time controller 130 creates a memory list as shown in FIG. 2 and first applies data by sorting the data according to the priority 211, the priority is separately provided by the micro engine 20 including the intrusion blocking unit 140. (211) There is no need for processing.

도 2를 참조하면 보다 이해가 용이하게 될 것이다. 리스트부(131)가 저장하는 메모리 리스트는 정책데이터베이스(120)의 모든 데이터로 구성되지 않고 시간제어와 정렬에 필요한 요소만으로 구성된다. 메모리 리스트는 정책데이터베이스(120)에 저장되어 있는 정보 중에 정책 ID(213)와 적용시간(215)을 우선순위(211)에 따라 정렬된 후 시간플래그(217)와 Next header(219)로 구성된다. 우선순위(211)는 마이크로 엔진(20)의 침입차단부(140)에 정책을 적용할 순서이고, 정책 ID(213)는 정책들을 구분하기 위한 식별자이다. 적용시간(215)은 정책이 적용될 시간의 범위이고, 시간플래그(217)는 정책의 적용이나 해제를 알려주는 플래그로 메모리 리스트에 처음 추가할 때는 0으로 설정되고, 정책이 적용되면 1로 설정되고, 정책이 해제되면 0으로 설정된다. Next header(219)는 리스트부(131)에 저장된 다음 정보의 주소이다. Next header(219)는 처음에 Null로 설정되고, 다음 정책 정보가 추가되면, 다음 정보의 주소로 변경된다.Referring to Figure 2 will be easier to understand. The memory list stored by the list unit 131 is not composed of all data of the policy database 120, but is composed of only elements necessary for time control and alignment. The memory list includes a time flag 217 and a next header 219 after sorting the policy ID 213 and the application time 215 according to the priority 211 among the information stored in the policy database 120. . Priority 211 is an order of applying the policy to the intrusion blocking unit 140 of the micro engine 20, and the policy ID 213 is an identifier for identifying the policies. The application time 215 is a range of time to which the policy is to be applied. The time flag 217 is a flag indicating whether the policy is to be applied or released. The time flag 217 is set to 0 when it is first added to the memory list, and is set to 1 when the policy is applied. If the policy is off, it is set to zero. The next header 219 is an address of the next information stored in the list unit 131. The Next header 219 is initially set to Null, and when the next policy information is added, it is changed to the address of the next information.

이제, 침입차단부(140)는 시간제어부(130)에서 적용한 정책에 따라 라우터의 송신 패킷과 수신 패킷 및 전송 패킷을 차단하거나 허가하게 되고, 시간제어부(130)에서 해제한 정책은 참고하지 않는다.Now, the intrusion blocking unit 140 blocks or permits the transmission packet, the reception packet, and the transmission packet of the router according to the policy applied by the time controller 130, and does not refer to the policy released by the time controller 130.

도 3과 도 4를 참조하면서, 본 발명에 의한 라우터 하드웨어 플랫폼에서의 침입차단 적용 방법의 흐름을 살펴보자. 도 3은 그 개요인데, 먼저 적어도 하나 이상의 침입차단 정책을 관련 정보와 함께 저장하는 준비과정을 가진다(S310). 다음으로 상기 관련 정보를 참조하여 우선순위(211)에 따라 상기 침입차단 정책을 정렬하게 되며(S320), 마지막으로 상기 정렬된 각 침입차단 정책을 적용할 시간을 검사하여 해당하는 시간이 도래하면 상기 침입차단 정책을 입력되는 패킷에 적용하게 된다(S330). Referring to Figures 3 and 4, let's look at the flow of the intrusion prevention method in the router hardware platform according to the present invention. 3 is an overview thereof, and first, a preparation process of storing at least one or more intrusion prevention policies together with related information (S310). Next, the intrusion blocking policy is sorted according to the priority 211 with reference to the related information (S320). Finally, when the corresponding time arrives by checking the time to apply each sorted intrusion blocking policy, Intrusion blocking policy is applied to the input packet (S330).

보다 구체적인 과정은 도 4를 참조하면서 설명한다.A more detailed process will be described with reference to FIG. 4.

먼저 침입차단 정책을 정책데이터베이스(120)에 저장한다(S401). 정책데이터베이스(120)에 저장된 정책의 정보(123) 중 정책 ID(213), 우선순위(211), 적용시 간(215)만 검색하여 우선순위(211)대로 정렬한다(S403 내지 S405). 정렬된 정보를 저장하기 전에 리스트부(131)를 초기화하고(S407), 시간플래그(217)를 0으로 설정하고, Next header(219)를 Null로 설정한다(S409). First, the intrusion prevention policy is stored in the policy database 120 (S401). Only the policy ID 213, the priority 211, and the application time 215 of the policy information 123 stored in the policy database 120 are searched and sorted according to the priority 211 (S403 to S405). Before storing the sorted information, the list unit 131 is initialized (S407), the time flag 217 is set to 0, and the Next header 219 is set to Null (S409).

초기화된 리스트부(131)에 우선순위(211)대로 정렬된 정보를 저장한다. 저장할 때 시간플래그(217)와 Next header(219)도 함께 저장한다(S411). 다음으로, 리스트부(131)에 추가할 정책이 있는지 판단하여(S413), 추가할 정책이 있으면 Next header(219)를 다음 정보의 주소로 변경하여 리스트부(131)에 추가된다(S415, S411). The information sorted according to priority 211 is stored in the initialized list unit 131. When saving, the time flag 217 and the next header 219 are also stored (S411). Next, it is determined whether there is a policy to be added to the list unit 131 (S413). If there is a policy to be added, the next header 219 is changed to the address of the next information and added to the list unit 131 (S415, S411). ).

한편, 단계 S413의 판단결과, 더 이상 추가할 정책이 없으면, 리스트부(131)에 저장된 정책의 적용시간(215)을 검사하여(S417), 현재시간이 적용시간(215)에 해당되면 이미 보안 정책을 적용하였는지 검사한다(S419). 보안 정책을 아직 적용하지 않았다면, 시간플래그(217)를 1로 설정하고, 침입차단부(140)에 정책을 적용한다(S421). 적용한 정책에 따라 침입차단부(140)에서 라우터의 송신 패킷과 수신 패킷 및 전송 패킷을 차단하거나 허가한다(S423). 일정시간동안 대기(S425)하다가, 단계417부터 정책의 적용시간(215)과 적용여부를 판단하여 적용 또는 해제한다. 한편, 단계 S419의 검사결과, 이미 보안 정책을 적용하였다면, 일정시간동안 대기한다(S425).On the other hand, as a result of the determination in step S413, if there are no more policies to add, the application time 215 of the policy stored in the list unit 131 is examined (S417), if the current time corresponds to the application time 215 already secured Check whether the policy is applied (S419). If the security policy has not yet been applied, the time flag 217 is set to 1, and the policy is applied to the intrusion blocking unit 140 (S421). Intrusion blocking unit 140 blocks or permits the transmission packet, the reception packet, and the transmission packet of the router according to the applied policy (S423). While waiting for a predetermined time (S425), starting from step 417, it is determined whether or not the application time 215 of the policy and whether it is applied or not. On the other hand, if the security policy has already been applied as a result of the check in step S419, it waits for a predetermined time (S425).

한편, 단계 S417의 검사결과, 현재시간이 적용시간(215)에 해당되지 않으면, 보안 정책을 해제하였는지 검사한다(S427). 아직 보안 정책을 해제하지 않았다면, 시간플래그(217)를 0으로 설정하고, 침입차단부(140)에 정책을 해제한다(S429). 정 책이 해제되면, 침입차단부(140)에서 패킷을 검사하지 않고 그대로 전달한다(S431). 그리고, 일정시간동안 대기한다(S425). 한편, 단계 S427의 검사결과, 이미 보안 정책을 해제하였다면, 일정시간 대기한다(S425).On the other hand, if the current time does not correspond to the application time 215 as a result of the check in step S417, it is checked whether the security policy is released (S427). If the security policy has not been released yet, the time flag 217 is set to 0, and the policy is released to the intrusion blocking unit 140 (S429). When the policy is released, the intrusion blocking unit 140 transmits the packet as it is without checking (S431). Then, it waits for a predetermined time (S425). On the other hand, if the result of the check in step S427 has already been released, the security policy waits for a predetermined time (S425).

또한, 본 발명에 따른 라우터 하드웨어 플랫폼에서의 침입차단 정책 적용 장치 및 그 방법은 이에 대응하는 프로그램으로 구현되어 기록 매체로 저장될 수 있으며, 기록 매체에 저장된 프로그램은 본 발명의 장치에 대응하는 하드웨어 또는 범용 하드웨어에서 실행될 수 있다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. In addition, the apparatus and method for applying an intrusion prevention policy in a router hardware platform according to the present invention may be implemented as a corresponding program and stored in a recording medium, and the program stored in the recording medium may correspond to hardware or a device corresponding to the apparatus of the present invention. It can run on general purpose hardware. Computer-readable recording media include all kinds of recording devices that store data that can be read by a computer system.

컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플라피 디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like, which are also implemented in the form of carrier waves (for example, transmission over the Internet). It also includes. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

이상 도면과 명세서에서 최적 실시예들이 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. The best embodiments have been disclosed in the drawings and specification above. Although specific terms have been used herein, they are used only for the purpose of describing the present invention and are not used to limit the scope of the present invention as defined in the meaning or claims.

그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.Therefore, those skilled in the art will understand that various modifications and equivalent other embodiments are possible from this. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.

본 발명에 의한 라우터 하드웨어 플랫폼에서의 침입차단 정책 적용 장치 및 그 방법은, 네트워크 프로세서가 장착되어 라우터의 네트워킹 속도를 높일 수 있고, 시간제어부에서 정책을 우선순위에 따라 적용하여 마이크로 엔진에서 별도로 우선순서 처리를 할 필요가 없고, 우선순위와 시간 정보를 메모리 리스트에 저장해 두어 정책을 적용할 시간을 검사하기 위해 데이터베이스의 많은 데이터를 검색하지 않고, 메모리 리스트의 요약 정보만을 검색하여 빠른 우선순위 처리와 정책 적용이 가능하고, GDBM으로 정책을 저장하여 적은 하드웨어 자원으로도 데이터베이스 구동이 가능하며, 공격에 대한 대응을 하는 정책과 같이 가장 먼저 적용해야 할 정책이 있을 경우 우선순위를 이용하여 침입을 차단할 수 있는 효과가 있다.Apparatus and method for applying an intrusion prevention policy in a router hardware platform according to the present invention may be equipped with a network processor to increase the networking speed of the router, and separately apply the priority in the micro engine by applying the policy according to the priority in the time controller. There is no need for processing, and the priority and time information is stored in the memory list so that the priority information of the memory list is retrieved without retrieving much data from the database to check the time to apply the policy. It can be applied, and the policy can be saved with GDBM to run the database with less hardware resources. If there is a policy that needs to be applied first, such as a policy that responds to an attack, it can be used to prevent intrusion. It works.

Claims (8)

적어도 하나 이상의 침입차단 정책을 관련 정보와 함께 저장하는 정책데이터베이스;A policy database for storing at least one intrusion prevention policy together with related information; 상기 정책데이터베이스에 침입차단 정책을 추가하거나 삭제하는 정책서버;A policy server for adding or deleting an intrusion prevention policy to the policy database; 상기 관련 정보를 참조하여 우선 순위에 따라 침입 차단 정책을 적용할 것을 결정하는 시간제어부; 및A time control unit which determines to apply an intrusion prevention policy according to a priority based on the related information; And 상기 시간제어부의 결정에 의한 침입 차단 정책을 라우터 하드웨어 플랫폼이 처리하는 데이터에 적용하여 침입을 차단하는 침입차단부;를 포함하는 것을 특징으로 하며,And an intrusion blocking unit that blocks an intrusion by applying an intrusion prevention policy determined by the time controller to data processed by a router hardware platform. 상기 시간제어부는 The time control unit 상기 침입차단 정책을 우선순위별로 저장하며, 각 우선순위별로 침입차단 정책 ID, 적용할 시간을 포함하는 상기 관련정보에 시간 플래그, 다음 우선순위를 가지는 정보의 주소를 부가하여 저장하는 리스트부; 및A list unit for storing the intrusion prevention policy by priority and adding and storing a time flag and an address of information having next priority to the related information including the intrusion prevention policy ID and time to be applied for each priority; And 상기 우선순위에 따라 상기 정책을 추출한 후 상기 적용할 시간을 참조하여 적용시간이 되면 상기 차단부로 추출된 정책을 출력하는 제어부;를 포함하는 것을 특징으로 하는 라우터 하드웨어 플랫폼에서의 침입차단 정책 적용 장치.And a controller for extracting the policy according to the priority and then outputting the extracted policy to the blocking unit when the application time is reached by referring to the time to be applied. 삭제delete 삭제delete 삭제delete 제1항에 있어서, 상기 제어부는The method of claim 1, wherein the control unit 상기 시간 플래그를 설정 또는 해제하여 해당하는 침입차단 정책의 적용 또는 비적용을 표현하고,By setting or clearing the time flag, it expresses the application or non-application of the relevant intrusion prevention policy, 상기 다음 우선순위를 가지는 정보의 주소를 설정 또는 리셋하여 다음 우선순위를 가지는 침입차단 정책의 유무를 표현하는 것을 특징으로 하는 라우터 하드웨어 플랫폼에서의 침입차단 정책 적용 장치. The apparatus for applying an intrusion prevention policy in a router hardware platform, characterized by expressing the presence or absence of an intrusion prevention policy having a next priority by setting or resetting the address of the information having the next priority. (a) 적어도 하나 이상의 침입차단 정책을 관련 정보와 함께 저장하는 단계;(a) storing at least one intrusion prevention policy with related information; (b) 상기 관련 정보를 참조하여 우선 순위에 따라 상기 침입차단 정책을 정렬하는 단계; 및(b) arranging the intrusion prevention policies according to priorities with reference to the related information; And (c) 상기 정렬된 각 침입차단 정책을 적용할 시간을 검사하여 해당하는 시간이 도래하면 상기 침입차단 정책을 입력되는 패킷에 적용하는 단계;를 포함하며,(c) checking a time to apply each sorted intrusion prevention policy and applying the intrusion prevention policy to an input packet when a corresponding time arrives; 상기 (b)단계는Step (b) is (b1) 상기 관련 정보중에서 시간제어와 정렬에 필요한 요소를 추출하는 단계;(b1) extracting elements necessary for time control and alignment from the related information; (b2) 상기 침입차단 정책을 우선순위에 따라 배열하는 단계; 및(b2) arranging the intrusion prevention policies in order of priority; And (b3) 상기 우선순위에 따라 배열된 각 침입차단 정책을 (b1)단계에서 추출된 침입차단 정책 ID, 적용할 시간에 시간 플래그, 다음 우선순위를 가지는 정보의 주소를 부가하여 메모리 리스트를 구성하는 단계;를 포함하는 것을 특징으로 하는 라우터 하드웨어 플랫폼에서의 침입차단 정책 적용 방법.(b3) constructing a memory list by adding the intrusion prevention policy ID extracted in step (b1), the time flag to the time to be applied, and the address of the information having the next priority, for each intrusion prevention policy arranged according to the priority; Intrusion prevention policy application method in the router hardware platform comprising the ;. 삭제delete 제6항에 있어서, 상기 (c)단계는The method of claim 6, wherein step (c) (c1) 우선순위별로 침입차단 정책의 적용시간을 확인하는 단계;(c1) checking the application time of the intrusion prevention policy for each priority; (c2) 적용시간이 도래된 침입차단 정책이면, 시간 플래그를 설정하여 그 정책의 적용을 알리고, 상기 침입차단 정책에 따라 패킷을 차단하거나 허가하는 단계; 및(c2) if the application time is the intrusion prevention policy that has arrived, setting a time flag to notify the application of the policy and blocking or allowing the packet according to the intrusion prevention policy; And (c3) 적용시간이 경과한 침입차단 정책이면, 상기 침입차단 정책의 해제여부를 판단하여, 해제되지 않았으면 시간 플래그를 리셋한 후 상기 침입차단 정책을 해제한 후 패킷을 전달하고, 이미 해제되었다면 일정 시간 대기하였다가 정책 적용을 다시 검사하는 단계;를 포함하는 것을 특징으로 하는 라우터 하드웨어 플랫폼에서의 침입차단 정책 적용 방법.(c3) If the intrusion prevention policy has passed the application time, it is determined whether the intrusion prevention policy has been released. If not, the time flag is reset, the time flag is reset, and the packet is forwarded after the intrusion prevention policy is released. Inspecting policy application again after waiting for a predetermined time; Method of applying an intrusion prevention policy in a router hardware platform comprising a.
KR1020060108362A 2005-12-02 2006-11-03 Intrusion blocking policy enforcement apparatus and method in router hardware platform KR100785804B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20050116872 2005-12-02
KR1020050116872 2005-12-02

Publications (2)

Publication Number Publication Date
KR20070058311A KR20070058311A (en) 2007-06-08
KR100785804B1 true KR100785804B1 (en) 2007-12-13

Family

ID=38355261

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060108362A KR100785804B1 (en) 2005-12-02 2006-11-03 Intrusion blocking policy enforcement apparatus and method in router hardware platform

Country Status (1)

Country Link
KR (1) KR100785804B1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101230254B1 (en) * 2011-12-29 2013-02-06 시큐아이닷컴 주식회사 Appratus and method of managing reference information for object
KR102267101B1 (en) * 2020-04-02 2021-06-18 한충희 Security control system for responding overseas cyber threat and method thereof
CN114221793B (en) * 2021-11-23 2022-12-20 武汉天楚云计算有限公司 Data information intrusion protection method and server in big data environment

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010105116A (en) * 2000-05-19 2001-11-28 김강호 Linux-Based Integrated Security System for Network and Method thereof, and Semiconductor Device Having These Solutions
JP2003054034A (en) 2001-08-10 2003-02-26 Mitsumi Electric Co Ltd Printing head mechanism for optical printer
KR20030038873A (en) * 2001-11-06 2003-05-17 이창배 Embeded Stealth Firewall
KR20030075903A (en) * 2002-03-21 2003-09-26 한국전자통신연구원 Policy based network system for minimizing policy application loss and running method thereof
KR20030091257A (en) * 2002-05-27 2003-12-03 한국전자통신연구원 Method for providing and executing policy using system function in a policy based network security management system
KR20040055513A (en) * 2002-12-21 2004-06-26 한국전자통신연구원 Information model for security policy in policy-based network security system
KR20040079515A (en) * 2003-03-07 2004-09-16 주식회사 지모컴 An embedded board for intrusion detection system and an intrusion detection system comprising said embedded board
KR20050031215A (en) * 2003-09-29 2005-04-06 한국전자통신연구원 Security engine management apparatus and method in network nodes

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010105116A (en) * 2000-05-19 2001-11-28 김강호 Linux-Based Integrated Security System for Network and Method thereof, and Semiconductor Device Having These Solutions
JP2003054034A (en) 2001-08-10 2003-02-26 Mitsumi Electric Co Ltd Printing head mechanism for optical printer
KR20030038873A (en) * 2001-11-06 2003-05-17 이창배 Embeded Stealth Firewall
KR20030075903A (en) * 2002-03-21 2003-09-26 한국전자통신연구원 Policy based network system for minimizing policy application loss and running method thereof
KR20030091257A (en) * 2002-05-27 2003-12-03 한국전자통신연구원 Method for providing and executing policy using system function in a policy based network security management system
KR20040055513A (en) * 2002-12-21 2004-06-26 한국전자통신연구원 Information model for security policy in policy-based network security system
KR20040079515A (en) * 2003-03-07 2004-09-16 주식회사 지모컴 An embedded board for intrusion detection system and an intrusion detection system comprising said embedded board
KR20050031215A (en) * 2003-09-29 2005-04-06 한국전자통신연구원 Security engine management apparatus and method in network nodes

Also Published As

Publication number Publication date
KR20070058311A (en) 2007-06-08

Similar Documents

Publication Publication Date Title
CN106713049B (en) Monitoring alarm method and device
CN106559395B (en) A kind of data message detection method and device based on industrial network
US20050169258A1 (en) Fibre channel zoning hardware for directing a data packet to an external processing device
US8555374B2 (en) High performance packet processing using a general purpose processor
WO2020209085A1 (en) Registration system, registration method, and registration program
CN105991444B (en) The method and apparatus of business processing
CN110798482B (en) System-level honeypot network isolation system based on linux network filter
CN105915516B (en) Data stream acquisition method and device based on security detection
CN113992428A (en) Intrusion prevention method and device under container environment, electronic equipment and storage medium
CN109450955A (en) A kind of flow processing method and device based on network attack
CN110224947A (en) Message processing method, device and equipment in a kind of multicore repeater system
CN112565300B (en) Industry cloud hacker attack identification and blocking method, system, device and medium
KR100785804B1 (en) Intrusion blocking policy enforcement apparatus and method in router hardware platform
CN101587521B (en) method and device for acquiring remote computer information
CN103701653B (en) The processing method of a kind of interface hot plug configuration data and network configuration server
CN112887405A (en) Intrusion prevention method, system and related equipment
CN111030971A (en) Distributed access control method and device and storage equipment
JP2003085139A (en) Intrusion detecting control system
CN110519147A (en) Data frame transmission method, device, equipment and computer readable storage medium
CN108965093B (en) VLAN (virtual local area network) distribution method and device
CN112688899A (en) In-cloud security threat detection method and device, computing equipment and storage medium
CN102438023A (en) Method and device for detecting malicious remote procedure call (RPC) behaviors
JP2006332997A (en) Communication management device, network system, communication disconnecting method, and program
KR101361243B1 (en) Apparatus and Method for Tenant-aware Security Management in Multi-Tenancy system
CN106533882A (en) Message processing method and device

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
G170 Publication of correction
FPAY Annual fee payment

Payment date: 20101201

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee