KR101257057B1 - Apparatus and method of preventing dormant dangerous port by profiling network traffic data - Google Patents

Apparatus and method of preventing dormant dangerous port by profiling network traffic data Download PDF

Info

Publication number
KR101257057B1
KR101257057B1 KR1020060129592A KR20060129592A KR101257057B1 KR 101257057 B1 KR101257057 B1 KR 101257057B1 KR 1020060129592 A KR1020060129592 A KR 1020060129592A KR 20060129592 A KR20060129592 A KR 20060129592A KR 101257057 B1 KR101257057 B1 KR 101257057B1
Authority
KR
South Korea
Prior art keywords
data
profiling
port
network traffic
traffic information
Prior art date
Application number
KR1020060129592A
Other languages
Korean (ko)
Other versions
KR20080056551A (en
Inventor
박주환
Original Assignee
주식회사 엘지씨엔에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘지씨엔에스 filed Critical 주식회사 엘지씨엔에스
Priority to KR1020060129592A priority Critical patent/KR101257057B1/en
Publication of KR20080056551A publication Critical patent/KR20080056551A/en
Application granted granted Critical
Publication of KR101257057B1 publication Critical patent/KR101257057B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 내부 시스템 및 네트워크의 안정성을 확보하기 위한 장치 및 방법에 관한 것이다. 본 발명에 따른 제 1 실시예에 적용되는 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한장치에서, 프로파일링 모듈(110)은 네트워크 보안시스템(100)으로부터 전송되는 네트워크 트래픽 데이터에 포함된 TCP(Transmission Control Protocol) 및 IP(Internet Protocol) 헤더로부터 트래픽정보를 추출하고 각 포트의 데이터량을 검출한다. 또한, 프로파일링 모듈(110)은 상기 추출된 트래픽정보에 기초하여, 상기 전송된 네트워크 트래픽 데이터 가운데 목적지 IP가 내부 IP인 트래픽 데이터의 트래픽정보와, 상기 검출된 데이터량을 DB(120)에 저장한다. 통계데이터 생성모듈(130)은, 실시간 또는 지정된 주기마다, 상기 트래픽정보 및 데이터량을 이용하여 IP별 각 포트의 데이터량을 누계한 통계데이터를 생성하고, 정책 모듈(140)은, 데이터량이 소정의 기준치 이하인 IP별 제한 포트의 네트워크 트래픽 데이터가 차단되도록 제어한다. 이에 따라, 본 발명은 네트워크의 취약성을 제거하여 내부 네트워크의 원활한 이용을 도모하고, 네트워크 (시스템) 관리자의 업무 로드(load)를 줄이도록 한 매우 탁월한 발명인 것이다.The present invention relates to an apparatus and a method for securing stability of an internal system and a network. In a potential dangerous port limiting device through profiling of network traffic data applied to the first embodiment according to the present invention, the profiling module 110 includes TCP (TCP) included in the network traffic data transmitted from the network security system 100. Traffic information is extracted from Transmission Control Protocol (IP) and Internet Protocol (IP) headers and the amount of data on each port is detected. In addition, the profiling module 110 stores the traffic information of the traffic data of which the destination IP is an internal IP among the transmitted network traffic data and the detected data amount in the DB 120 based on the extracted traffic information. do. The statistical data generating module 130 generates statistical data that accumulates the data amount of each port for each IP by using the traffic information and the data amount in real time or at a designated period, and the policy module 140 determines a predetermined amount of data. Control to block the network traffic data of the restricted port for each IP that is less than the standard of. Accordingly, the present invention is a very excellent invention to remove the vulnerability of the network to facilitate the use of the internal network, and to reduce the work load of the network (system) administrator.

네트워크 트래픽 데이터, TCP/IP, 프로토콜, 포트(port) Network traffic data, TCP / IP, protocol, port

Description

네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한 장치 및 방법{Apparatus and method of preventing dormant dangerous port by profiling network traffic data}Apparatus and method of preventing dormant dangerous port by profiling network traffic data}

도 1은 종래의 네트워크 보안시스템의 구성블럭도이다.1 is a block diagram of a conventional network security system.

도 2는 본 발명에 따른 제 1 실시예에 적용되는 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한장치의 구성블럭도이다.2 is a block diagram of a potential dangerous port limiting device through profiling of network traffic data applied to the first embodiment according to the present invention.

도 3a 및 도 3b는 TCP(Transmission Control Protocol) 및 IP(Internet Protocol) 헤더의 포맷을 도시한 것이다.3A and 3B illustrate the formats of Transmission Control Protocol (TCP) and Internet Protocol (IP) headers.

도 4는 본 발명에 따른 제 1 실시예에 적용되는 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한방법의 흐름도이다.4 is a flowchart of a method for limiting potentially dangerous ports through profiling of network traffic data applied to the first embodiment according to the present invention.

도 5 는 본 발명에 따른 제 1 실시예에서 생성된 통계데이터를 예시한 것이다.5 illustrates statistical data generated in the first embodiment according to the present invention.

<도면의 주요부분에 대한 부호의 설명>          <Description of the symbols for the main parts of the drawings>

10,100 : 네트워크 보안시스템 11 : 룰 DB10,100: Network security system 11: Rule DB

12 : 관리 모듈 13 : 탐지룰 DB12: management module 13: detection rule DB

14 : 탐지/차단 모듈 110 : 프로파일링 모듈14: detection / blocking module 110: profiling module

120 : DB 130 : 통계정보 생성모듈120: DB 130: statistical information generation module

140 : 정책 모듈140: policy module

본 발명은 내부 시스템 및 네트워크의 안정성을 확보하기 위한 장치 및 방법에 관한 것으로서, 보다 상세하게는, 일정기간 동안 네트워크 트래픽 데이터를 프로파일링(profiling)하고 이를 이용하여 잠재적으로 위험한 포트를 차단함으로써 내부 시스템 및 네트워크의 안정성을 확보하는 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and a method for securing the stability of an internal system and a network, and more particularly, to internal network system by profiling network traffic data for a period of time and using the same to block potentially dangerous ports. And a potentially dangerous port limiting apparatus and method through profiling network traffic data to secure network stability.

도 1은 종래의 네트워크 보안시스템(10)의 구성블럭도이다. 1 is a block diagram of a network security system 10 according to the related art.

룰(rule) 데이터베이스(DataBase, 이하 'DB'라 함)(11)는 전체 룰을 저장한다. 관리 모듈(12)은, 상기 룰 DB(11)에 저장된 전체 룰 가운데 관리자에 의해 선택된 룰이 탐지룰 DB(13)에 저장되도록 제어하고, 탐지/차단 모듈(14)에 의한 탐지 및 차단 동작이 개시되도록 제어한다.A rule database (DataBase, hereinafter referred to as 'DB') 11 stores the entire rule. The management module 12 controls the rule selected by the administrator to be stored in the detection rule DB 13 among all the rules stored in the rule DB 11, and detects and blocks by the detection / blocking module 14. Control to initiate.

그리고 상기 탐지/차단 모듈(14)은, 상기 탐지룰 DB(13)에 저장된 룰을 순차적으로 독출한 후, 상기 독출된 룰과 입력되는 네트워크 트래픽 데이터(network traffic data)를 패킷단위로 순차 비교하는 탐지 동작과, 탐지 결과 상기 독출된 룰과 일치하는 패킷을 포함하는 네트워크 트래픽 데이터를 유해 트래픽(traffic) 데이터로 판단하고 이를 차단하는 동작을 수행한다.The detection / blocking module 14 sequentially reads the rules stored in the detection rule DB 13 and sequentially compares the read rules with the input network traffic data in packet units. A detection operation and network traffic data including a packet matching the read rule are determined as harmful traffic data and blocked.

그런데, 상기와 같이 구성되고 동작하는 종래의 네트워크 보안시스템에서는, 알려진 취약 포트(port)에 대한 탐지 및 차단 동작만 이루어져, 알려지지 않은 잠재적으로 취약한 포트에 의해 위험에 노출될 수 있는 문제점이 있었다.However, in the conventional network security system configured and operated as described above, only a detection and blocking operation for known vulnerable ports is made, and there is a problem that a risk may be exposed by an unknown and potentially vulnerable port.

따라서, 본 발명은 상기와 같은 문제점을 해결하기 위해 창작된 것으로서, 일정기간 동안 네트워크 트래픽 데이터를 프로파일링하고 이를 이용하여 잠재적으로 위험한 포트를 차단하는 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한 장치 및 방법을 제공하는 것이다.Therefore, the present invention was created to solve the above problems, and the potential dangerous port limiting device by profiling network traffic data for a certain period of time and profiling network traffic data using the same to block potentially dangerous ports. And a method.

상술한 목적을 달성하기 위한 본 발명의 제 1 실시예에 따른 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한장치는, 네트워크 트래픽 데이터(network traffic data)로부터 트래픽정보를 추출하고 각 포트의 데이터량을 검출하는 프로파일링 모듈; 상기 트래픽정보 및 데이터량을 이용하여, 상기 네트워크 트래픽 데이터의 IP별 각 포트의 데이터량을 누계한 통계데이터를 생성하는 통계데이터 생성모듈; 그리고 상기 생성된 통계데이터 가운데, 데이터량이 소정의 기준치 이하인 IP별 제한 포트의 네트워크 트래픽 데이터가 차단되도록 제어하는 정 책 모듈을 포함한다.Potentially dangerous port limiting apparatus through profiling network traffic data according to the first embodiment of the present invention for achieving the above object, extracts the traffic information from the network traffic data (network traffic data) and the amount of data of each port Profiling module for detecting the; A statistical data generation module for generating statistical data by accumulating the data amount of each port of each IP of the network traffic data using the traffic information and the data amount; And a policy module for controlling network traffic data of a restricted port for each IP having a data amount less than or equal to a predetermined reference value among the generated statistical data.

또한, 본 발명의 제 1 실시예에 따른 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한장치는, 적어도 하나 이상의 내부 IP를 저장하는 DB를 더 포함하고, 상기 트래픽정보는, 목적지 IP가 내부 IP일 수 있다.In addition, the potential dangerous port limiting apparatus through profiling network traffic data according to the first embodiment of the present invention further comprises a DB for storing at least one or more internal IP, wherein the traffic information, the destination IP is the internal IP Can be.

상기 DB는, 상기 트래픽정보 및 데이터량을 더 저장할 수 있다.The DB may further store the traffic information and data amount.

상기 DB는, 프로파일링 시간을 더 저장할 수 있다.The DB may further store a profiling time.

상기 DB는, 상기 생성된 통계데이터를 더 저장할 수 있다.The DB may further store the generated statistical data.

상기 DB는, 마지막 통계데이터 생성날짜를 더 저장할 수 있다.The DB may further store a date of generating last statistical data.

상기 프로파일링 모듈은, 상기 네트워크 트래픽 데이터에 포함된 TCP(Transmission Control Protocol) 및 IP(Internet Protocol) 헤더로부터 상기 트래픽정보를 추출할 수 있다.The profiling module may extract the traffic information from a Transmission Control Protocol (TCP) and an Internet Protocol (IP) header included in the network traffic data.

상기 트래픽정보는, 프로토콜(protocol), 원천지(source) IP(Internet Protocol) 및 포트, 목적지(destination) IP(Internet Protocol) 및 포트 가운데 적어도 하나 이상을 포함할 수 있다.The traffic information may include at least one of a protocol, a source IP (Internet Protocol) and a port, a destination IP (Internet Protocol), and a port.

또한, 본 발명의 제 1 실시예에 따른 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한방법은, 네트워크 트래픽 데이터(network traffic data)로부터 트래픽정보를 추출하고 각 포트의 데이터량을 검출하는 프로파일링 단계; 상기 트래픽정보 및 데이터량을 이용하여, 상기 네트워크 트래픽 데이터의 IP별 각 포트의 데이터량을 누계한 통계데이터를 생성하는 통계데이터 생성단계; 그 리고 상기 생성된 통계데이터 가운데, 데이터량이 소정의 기준치 이하인 IP별 제한 포트의 네트워크 트래픽 데이터가 차단되도록 제어하는 정책 단계를 포함한다.In addition, the potential dangerous port restriction method through profiling network traffic data according to the first embodiment of the present invention, profiling to extract the traffic information from the network traffic data (network traffic data) and detect the data amount of each port step; A statistical data generation step of generating statistical data by accumulating the data amount of each port for each IP of the network traffic data using the traffic information and the data amount; And, among the generated statistical data, the policy step of controlling the network traffic data of the restricted port for each IP, the data amount is less than a predetermined reference value.

상기 트래픽정보는, 목적지 IP가 내부 IP일 수 있다.In the traffic information, the destination IP may be an internal IP.

상기 프로파일링 단계는, 상기 트래픽정보 및 데이터량을 저장하는 단계를 더 포함할 수 있다.The profiling step may further include storing the traffic information and the data amount.

상기 프로파일링 단계는, 프로파일링 시간을 저장하는 단계를 더 포함할 수 있다.The profiling step may further include storing a profiling time.

상기 통계데이터 생성단계는, 상기 생성된 통계데이터를 저장하는 단계를 더 포함할 수 있다.The generating of the statistical data may further include storing the generated statistical data.

상기 통계데이터 생성단계는, 마지막 통계데이터 생성날짜를 갱신하는 단계를 더 포함할 수 있다.The generating of the statistical data may further include updating a last statistical data generation date.

상기 프로파일링 단계는, 상기 네트워크 트래픽 데이터에 포함된 TCP(Transmission Control Protocol) 및 IP(Internet Protocol) 헤더로부터 상기 트래픽정보를 추출할 수 있다.In the profiling step, the traffic information may be extracted from a Transmission Control Protocol (TCP) and an Internet Protocol (IP) header included in the network traffic data.

상기 트래픽정보는, 프로토콜(protocol), 원천지(source) IP(Internet Protocol) 및 포트, 목적지(destination) IP(Internet Protocol) 및 포트 가운데 적어도 하나 이상을 포함할 수 있다.The traffic information may include at least one of a protocol, a source IP (Internet Protocol) and a port, a destination IP (Internet Protocol), and a port.

이상과 같은 구성과 흐름에 의해, 본 발명에 따른 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한 장치 및 방법은, 일정기간 동안 네트워 크 트래픽 데이터를 프로파일링하고 이를 이용하여 잠재적으로 위험한 포트를 차단하는 것이다.By the above configuration and flow, the apparatus and method for limiting potentially dangerous ports through profiling of network traffic data according to the present invention profiling network traffic data for a certain period of time and using the same to block potentially dangerous ports. It is.

이하에서는, 도면을 참조하여 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한 장치 및 방법에 대하여 보다 상세히 설명하기로 한다.Hereinafter, an apparatus and method for limiting potentially dangerous ports through profiling network traffic data will be described in detail with reference to the accompanying drawings.

도 2는 본 발명에 따른 제 1 실시예에 적용되는 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한장치의 구성블럭도이고, 도 3a 및 도 3b는 TCP(Transmission Control Protocol) 및 IP(Internet Protocol) 헤더의 포맷을 도시한 것이다.FIG. 2 is a block diagram of a potential dangerous port limiting device through profiling network traffic data applied to the first embodiment according to the present invention, and FIGS. 3A and 3B are Transmission Control Protocol (TCP) and Internet Protocol (IP). ) Shows the format of the header.

본 발명에 따른 제 1 실시예에 적용되는 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한장치에서, 네트워크 보안시스템(100)은, 종래에 수행하였던 침입에 대한 탐지 및 차단 동작 외에, 패킷(또는 비트) 단위로 수신되는 네트워크 트래픽 데이터(network traffic data)를 프로파일링 모듈(110)로 전송하고, 정책 모듈(140)의 제어에 의해 IP별 제한 포트의 네트워크 트래픽 데이터를 차단한다.In a potentially dangerous port limiting device through profiling network traffic data applied to the first embodiment according to the present invention, the network security system 100 may further include a packet (or The network traffic data received in units of bits) is transmitted to the profiling module 110 and the network traffic data of the IP-restricted port is blocked by the control of the policy module 140.

프로파일링 모듈(110)은, 상기 네트워크 보안시스템(100)으로부터 전송되는 네트워크 트래픽 데이터에 포함된 TCP(Transmission Control Protocol) 및 IP(Internet Protocol) 헤더로부터 트래픽정보를 추출하고, 각 포트의 데이터량을 검출한다.The profiling module 110 extracts traffic information from TCP (Transmission Control Protocol) and IP (Internet Protocol) headers included in the network traffic data transmitted from the network security system 100, and calculates the data amount of each port. Detect.

상기 추출되는 트래픽정보는, 프로토콜(protocol), 원천지(source) IP(Internet Protocol) 및 포트, 목적지(destination) IP(Internet Protocol) 및 포트 가운데 적어도 하나 이상을 포함한다(도 3a 및 도 3b 참조).The extracted traffic information includes at least one of a protocol, a source IP (Internet Protocol) and a port, a destination IP (Internet Protocol), and a port (see FIGS. 3A and 3B). ).

또한, 프로파일링 모듈(110)은 상기 추출된 트래픽정보에 기초하여 상기 전송된 네트워크 트래픽 데이터 가운데 목적지 IP가 내부 IP인 트래픽 데이터의 트래픽정보와, 상기 검출된 데이터량을 DB(120)에 저장한다.In addition, the profiling module 110 stores the traffic information of the traffic data of which the destination IP is an internal IP among the transmitted network traffic data and the detected data amount in the DB 120 based on the extracted traffic information. .

따라서, 상기 DB(120)에는 프로토콜, 목적지 IP 및 포트 가운데 적어도 하나 이상을 포함하는 트래픽정보와, 데이터량 및 프로파일링 시간이 저장된다.Therefore, the DB 120 stores traffic information including at least one of a protocol, a destination IP, and a port, a data amount, and a profiling time.

통계데이터 생성모듈(130)은, 실시간 또는 지정된 통계정보 생성주기{일(日)별, 주(周)별, 월(月)별}마다, 상기 DB(120)에 저장된 트래픽정보와 데이터량 및 프로파일링 시간을 독출하고, 마지막 통계데이터 생성날짜가 오늘날짜가 아닌 경우, 프로파일링 시간이 어제날짜를 포함하여 이전인 트래픽정보 및 데이터량을 이용하여 IP별 각 포트의 데이터량을 누계한 통계데이터를 생성한 후, 생성된 통계데이터는 프로파일링 시간에 연계시켜 DB(120)에 저장하고 마지막 통계데이터 생성날짜는 DB(120)에 갱신한다.Statistics data generation module 130, the traffic information and data amount stored in the DB 120 in real time or every designated statistical information generation cycle (day, week, month)} When the profiling time is read out and the last statistical data generation date is not today's date, statistics data is accumulated by accumulating the data amount of each port by IP using the traffic information and data amount that the profiling time is earlier than yesterday's date. After generating, the generated statistical data is stored in the DB 120 in association with the profiling time and the last statistical data generation date is updated in the DB (120).

이어, 정책 모듈(140)은, 상기와 같이 DB(120)에 저장된 통계데이터 가운데 프로파일링 시간이 어제날짜인 통계데이터를 이용하여 IP별 제한 포트를 분류하고, 분류된 IP별 제한 포트를 네트워크 보안시스템(100)에 전송함으로써, IP별 제한 포트의 네트워크 트래픽 데이터가 차단되도록 제어한다.Subsequently, the policy module 140 classifies the restriction ports for each IP by using the statistical data whose profiling time is yesterday among the statistical data stored in the DB 120 as described above, and classifies the restricted ports for each IP in the network security. By transmitting to the system 100, the network traffic data of the restricted port for each IP is controlled to be blocked.

도 4는 본 발명에 따른 제 1 실시예에 적용되는 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한방법의 흐름도이고, 도 5 는 본 발명에 따른 제 1 실시예에서 생성된 통계데이터를 예시한 것이다.4 is a flowchart of a method for limiting potentially dangerous ports through profiling of network traffic data applied to the first embodiment according to the present invention, and FIG. 5 illustrates statistical data generated in the first embodiment according to the present invention. will be.

이하에서는, 상기와 같이 구성되는 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한장치의 동작에 대해, 도 4 및 도 5와 병행하여 상세히 설명하기로 한다.Hereinafter, the operation of the potential dangerous port limiting device through profiling of the network traffic data configured as described above will be described in detail with reference to FIGS. 4 and 5.

먼저, 네트워크 트래픽 데이터의 프로파일링이 요청되면(S401의 "예"), 네트워크 보안시스템(100)은 패킷(또는 비트) 단위로 수신되는 네트워크 트래픽 데이터(network traffic data)를 프로파일링 모듈(110)로 전송한다.First, when profiling of network traffic data is requested (YES in S401), the network security system 100 may profile the network traffic data (network traffic data) received in packet (or bit) units. To send.

이어, 프로파일링 모듈(110)은, 상기 네트워크 보안시스템(100)으로부터 전송된 네트워크 트래픽 데이터에 포함된 TCP(Transmission Control Protocol) 및 IP(Internet Protocol) 헤더로부터 트래픽정보{프로토콜(protocol), 원천지(source) IP(Internet Protocol) 및 포트, 목적지(destination) IP(Internet Protocol) 및 포트}를 추출하고, 이와 아울러, 각 포트에 대한 데이터량을 검출한다(S402).Subsequently, the profiling module 110 may transmit traffic information (protocol, source) from a TCP (Transmission Control Protocol) and IP (Internet Protocol) header included in the network traffic data transmitted from the network security system 100. A source IP (Internet Protocol) and a port, a destination IP (Internet Protocol) and a port} are extracted, and the amount of data for each port is detected (S402).

그리고 프로파일링 모듈(110)은, 상기 추출된 트래픽정보에 기초하여 네트워크 트래픽 데이터의 목적지 IP가 내부 IP인지를 판단하고, 상기 판단결과(S403의 "예") 목적지 IP가 내부 IP인 네트워크 트래픽 데이터의 트래픽정보와, 데이터량 및 프로파일링 시간을 DB(120)에 저장한다(S404).The profiling module 110 determines whether the destination IP of the network traffic data is an internal IP based on the extracted traffic information, and determines that the destination IP is an internal IP (YES in S403). The traffic information, the amount of data and the profiling time are stored in the DB 120 (S404).

참고로, 상기 제 403단계에서 프로파일링 모듈(110)은, 상기 추출된 트래픽 정보 가운데 목적지 IP를, DB(120)에 저장된 내부 IP와 순차비교함으로써 목적지 IP가 내부 IP인지를 판단하게 된다.For reference, in step 403, the profiling module 110 determines whether the destination IP is the internal IP by sequentially comparing the destination IP among the extracted traffic information with the internal IP stored in the DB 120.

아울러, 상기 제 404단계에서 저장되는 트래픽정보는 프로토콜, 목적지 IP 및 포트 가운데 적어도 하나 이상을 포함할 수 있다.In addition, the traffic information stored in step 404 may include at least one or more of a protocol, a destination IP, and a port.

이와 같이 하여 프로파일링 동작이 종료되고, 실시간 또는 지정된 통계데이터 생성주기{일(日)별, 주(周)별, 월(月)별}마다 통계데이터 생성이 요청되면(S405의 "예"), 통계데이터 생성모듈(130)은, DB(120)에 저장된 프로파일링 시간이 어제날짜까지인지 여부와, DB(120)에 기 저장된 마지막 통계데이터 생성날짜가 오늘날짜 인지를 각각 판단한다.In this way, when the profiling operation is terminated and the generation of the statistical data is requested in real time or every designated statistical data generation period {per day, week per month, month per month} (YES in S405). The statistical data generation module 130 determines whether the profiling time stored in the DB 120 is up to yesterday's date and whether the last statistical data generation date pre-stored in the DB 120 is today.

상기 판단결과 마지막 통계데이터 생성날짜가 오늘날짜가 아닌 경우(S406의 "예"), 통계데이터 생성모듈(130)은 DB(120)로부터 프로파일링 시간이 어제날짜를 포함하여 이전인 트래픽정보 및 데이터량을 독출하고(S407), 이를 이용하여 IP별 각 포트의 데이터량을 누계함으로써 통계데이터를 생성한다(S408)(도 5 참조).As a result of the determination, when the last statistical data generation date is not the present date (YES in S406), the statistical data generation module 130 may include traffic information and data having a profiling time from the DB 120 earlier than yesterday. The amount of data is read (S407), and statistical data is generated by accumulating the amount of data of each port for each IP using this (S408) (see FIG. 5).

또한 통계데이터 생성모듈(130)은, 상기와 같이 생성된 통계데이터를 프로파일링 시간에 연계시켜 DB에 저장하고, DB(120)에 저장된 마지막 통계데이터 생성날짜를 오늘날짜로 갱신한다(S409).In addition, the statistical data generation module 130 stores the statistical data generated as described above in association with the profiling time in the DB and updates the last statistical data generation date stored in the DB 120 to today (S409).

이후, 정책 적용이 요청되면(S410의 "예"), 정책 모듈(140)은, 프로파일링 시간이 어제날짜인 통계데이터를 DB(120)로부터 독출하고(S411), 독출된 통계데이터 가운데 데이터량이 소정의 기준치 이하인 IP별 제한 포트를 분류한다(S412)(도 5 참조).Subsequently, if a policy application is requested (YES in S410), the policy module 140 reads statistical data having a profiling time from yesterday from the DB 120 (S411), and the amount of data among the read statistical data. The restricted ports for each IP that are less than or equal to the predetermined reference value are classified (S412) (see FIG. 5).

이어, 정책 모듈(140)은 분류된 IP별 제한 포트를 네트워크 보안시스템(100)에 전송함으로써(S413), IP별 제한 포트의 네트워크 트래픽 데이터가 차단되도록 제어하게 된다.Subsequently, the policy module 140 transmits the classified IP restricted ports to the network security system 100 (S413), thereby controlling network traffic data of the restricted IP ports.

상술한 바와 같이, 본 발명이 도면에 도시된 실시예를 참고하여 설명되었으나, 이는 예시적인 것들에 불과하며, 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자라면 본 발명의 요지 및 범위를 벗어나지 않으면서도 다양한 변형, 변경 및 균등한 타 실시예들이 가능하다는 것을 명백하게 알 수 있을 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.As described above, the present invention has been described with reference to the embodiments shown in the drawings, which are merely exemplary, and those of ordinary skill in the art to which the present invention pertains should not depart from the spirit and scope of the present invention. It will be apparent that various modifications, changes and equivalent other embodiments are possible without departing. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.

상술한 바와 같이, 본 발명에 따른 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한 장치 및 방법은, 일정기간 동안 네트워크 트래픽 데이터를 프로파일링하고 이를 이용하여 잠재적으로 위험한 포트를 차단함으로써, 네트워크의 취약성을 제거하여 내부 네트워크의 원활한 이용을 도모하고, 네트워크 (시스템) 관리자의 업무 로드(load)를 줄이도록 한 매우 탁월한 발명인 것이다.As described above, the apparatus and method for limiting potentially dangerous ports through the profiling of network traffic data according to the present invention, by profiling network traffic data for a period of time and using the same to block potentially dangerous ports, It is an excellent invention that eliminates the problem of using the internal network, and reduces the workload of the network (system) administrator.

Claims (16)

네트워크 트래픽 데이터(network traffic data)로부터 트래픽 정보를 추출하고 각 포트의 데이터량을 검출하며, 트래픽정보 가운데 목적지 IP를 DB에 저장된 내부 IP와 순차비교하며, 목적지 IP가 내부 IP인 경우 트래픽정보, 데이터량 및 프로파일링 시간을 DB에 저장하는 프로파일링 모듈;Extracts traffic information from network traffic data and detects the data volume of each port, sequentially compares the destination IP among the traffic information with the internal IP stored in the DB.If the destination IP is the internal IP, the traffic information and data Profiling module for storing the amount and profiling time in the DB; 상기 프로파일링 시간을 확인하여 이전의 트래픽정보 및 데이터량을 독출해 IP별 각 포트의 데이터량을 누계시켜 통계데이터로 생성하고, 통계데이터를 프로파일링 시간에 연계시켜 DB에 저장하고 마지막 통계데이터 생성날짜를 DB에 갱신하는 통계데이터 생성모듈; 그리고Read the previous traffic information and data amount by checking the profiling time to accumulate the data amount of each port for each IP to generate statistical data, and store the statistical data in DB by linking the profiling time to the last statistical data. Statistical data generation module for updating the date in the DB; And DB에 저장된 통계데이터를 독출하고, 독출된 통계데이터 가운데 데이터량이 소정의 기준치 이하인 IP별 제한 포트를 분류하고, IP별 제한 포트의 네트워크 트래픽 데이터가 차단되도록 제어하는 정책 모듈을 포함하는 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한장치.The network traffic data including a policy module for reading the statistical data stored in the DB, classifying restricted ports for each IP whose data amount is less than a predetermined standard among the read statistical data, and controlling network traffic data of the restricted ports for each IP to be blocked. Potentially dangerous port limiter through profiling. 제1항에 있어서, 상기 정책 모듈은The method of claim 1, wherein the policy module 상기 DB에 저장된 통계데이터 가운데, 프로파일링 시간이 하루 전 날짜의 통계데이터를 이용하는 정책 모듈을 포함하는 것을 특징으로 하는 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한장치.Among the statistical data stored in the DB, the potential dangerous port limiting device through the profiling of network traffic data, characterized in that the profiling time comprises a policy module that uses the statistical data of the day before. 삭제delete 삭제delete 삭제delete 삭제delete 제 1항에 있어서, 상기 프로파일링 모듈은,The method of claim 1, wherein the profiling module, 상기 네트워크 트래픽 데이터에 포함된 TCP(Transmission Control Protocol) 및 IP(Internet Protocol) 헤더로부터 상기 트래픽정보를 추출하는 것을 특징으로 하는 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한장치.Potentially dangerous port limiting apparatus through profiling network traffic data, characterized in that the traffic information is extracted from a Transmission Control Protocol (TCP) and an Internet Protocol (IP) header included in the network traffic data. 제 1항에 있어서, 상기 트래픽정보는,The method of claim 1, wherein the traffic information, 프로토콜(protocol), 원천지(source) IP(Internet Protocol) 및 포트, 목적지(destination) IP(Internet Protocol) 및 포트 가운데 적어도 하나 이상을 포함하는 것을 특징으로 하는 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한장치.Potential risks through the profiling of network traffic data comprising at least one of a protocol, a source Internet Protocol (IP) and a port, a destination Internet Protocol (IP), and a port. Port Restrictor. 네트워크 트래픽 데이터(network traffic data)로부터 트래픽 정보를 추출하고 각 포트의 데이터량을 검출하며, 트래픽정보 가운데 목적지 IP를 DB에 저장된 내부 IP와 순차비교하며, 목적지 IP가 내부 IP인 경우 트래픽정보, 데이터량 및 프로파일링 시간을 DB에 저장하는 프로파일링 단계;Extracts traffic information from network traffic data and detects the data volume of each port, sequentially compares the destination IP among the traffic information with the internal IP stored in the DB.If the destination IP is the internal IP, the traffic information and data A profiling step of storing the amount and the profiling time in a DB; 상기 프로파일링 시간을 확인하여 이전의 트래픽정보 및 데이터량을 독출해 IP별 각 포트의 데이터량을 누계시켜 통계데이터로 생성하고, 통계데이터를 프로파일링 시간에 연계시켜 DB에 저장하고 마지막 통계데이터 생성날짜를 DB에 갱신하는 통계데이터 생성단계; 그리고Read the previous traffic information and data amount by checking the profiling time to accumulate the data amount of each port for each IP to generate statistical data, and store the statistical data in DB by linking the profiling time to the last statistical data. Generating statistical data to update the date in the DB; And DB에 저장된 통계데이터를 독출하고, 독출된 통계데이터 가운데 데이터량이 소정의 기준치 이하인 IP별 제한 포트를 분류하고, IP별 제한 포트의 네트워크 트래픽 데이터가 차단되도록 제어하는 정책 단계를 포함하는 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한방법.A policy step of reading the statistical data stored in the DB, classifying restricted ports for each IP whose data amount is less than a predetermined threshold among the read statistical data, and controlling network traffic data of the restricted ports for each IP to be blocked. How to limit potential dangerous ports through profiling. 제9항에 있어서, 상기 정책 단계는10. The method of claim 9, wherein said policy step is 상기 DB에 저장된 통계데이터 가운데, 프로파일링 시간이 하루 전 날짜의 통계데이터를 이용하는 단계를 포함하는 것을 특징으로 하는 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한방법.Among the statistical data stored in the DB, the profiling time limiting the potential dangerous port through the profiling of the network traffic data, characterized in that it comprises the step of using the statistical data of the day before. 삭제delete 삭제delete 삭제delete 삭제delete 제 9항에 있어서, 상기 프로파일링 단계는,The method of claim 9, wherein the profiling step, 상기 네트워크 트래픽 데이터에 포함된 TCP(Transmission Control Protocol) 및 IP(Internet Protocol) 헤더로부터 상기 트래픽정보를 추출하는 것을 특징으로 하는 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한방법.A method for limiting potentially dangerous ports through profiling network traffic data, characterized in that the traffic information is extracted from a Transmission Control Protocol (TCP) and an Internet Protocol (IP) header included in the network traffic data. 제 9항에 있어서, 상기 트래픽정보는,The method of claim 9, wherein the traffic information, 프로토콜(protocol), 원천지(source) IP(Internet Protocol) 및 포트, 목적지(destination) IP(Internet Protocol) 및 포트 가운데 적어도 하나 이상을 포함하는 것을 특징으로 하는 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험 포트 제한방법.Potential risks through the profiling of network traffic data comprising at least one of a protocol, a source Internet Protocol (IP) and a port, a destination Internet Protocol (IP), and a port. How to restrict ports.
KR1020060129592A 2006-12-18 2006-12-18 Apparatus and method of preventing dormant dangerous port by profiling network traffic data KR101257057B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060129592A KR101257057B1 (en) 2006-12-18 2006-12-18 Apparatus and method of preventing dormant dangerous port by profiling network traffic data

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060129592A KR101257057B1 (en) 2006-12-18 2006-12-18 Apparatus and method of preventing dormant dangerous port by profiling network traffic data

Publications (2)

Publication Number Publication Date
KR20080056551A KR20080056551A (en) 2008-06-23
KR101257057B1 true KR101257057B1 (en) 2013-04-22

Family

ID=39802724

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060129592A KR101257057B1 (en) 2006-12-18 2006-12-18 Apparatus and method of preventing dormant dangerous port by profiling network traffic data

Country Status (1)

Country Link
KR (1) KR101257057B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102110909B1 (en) * 2013-08-05 2020-05-14 삼성전자 주식회사 Method and apparatus for data communication control in weak electromagnetic field
KR101489770B1 (en) * 2013-12-24 2015-02-04 한국인터넷진흥원 Nonnormal utilization detection method using normal profile information

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060028601A (en) * 2004-09-25 2006-03-30 한국전자통신연구원 Apparatus for detecting abnormality of traffic in network and method thereof
KR20060099050A (en) * 2005-03-10 2006-09-19 한국전자통신연구원 Apparatus and method of adaptive prevention on attack

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060028601A (en) * 2004-09-25 2006-03-30 한국전자통신연구원 Apparatus for detecting abnormality of traffic in network and method thereof
KR20060099050A (en) * 2005-03-10 2006-09-19 한국전자통신연구원 Apparatus and method of adaptive prevention on attack

Also Published As

Publication number Publication date
KR20080056551A (en) 2008-06-23

Similar Documents

Publication Publication Date Title
CN106464577B (en) Network system, control device, communication device and communication control method
US20130312101A1 (en) Method for simulation aided security event management
US20060250954A1 (en) Method and apparatus for controlling connection rate of network hosts
US20120096510A1 (en) Computer network security
CN101026576A (en) Pattern matching method and device for processing fragmented message string giving consideration to matching strategy
US8006303B1 (en) System, method and program product for intrusion protection of a network
US20230412591A1 (en) Traffic processing method and protection system
KR100614757B1 (en) Apparatus and method for searching and cutting off abnormal traffic by packet header analysis
KR20140044970A (en) Method and apparatus for controlling blocking of service attack by using access control list
Cho et al. Aguri: An aggregation-based traffic profiler
KR101257057B1 (en) Apparatus and method of preventing dormant dangerous port by profiling network traffic data
US8948019B2 (en) System and method for preventing intrusion of abnormal GTP packet
CN108810008A (en) Transmission control protocol traffic filtering method, apparatus, server and storage medium
KR102069142B1 (en) Apparatus and method for automatic extraction of accurate protocol specifications
KR102387102B1 (en) System and Method for Providing Flow Table Overflow Attack Defense for Software-Defined Network
KR100756462B1 (en) Method for management a self-learning data in Intrusion prevention system and Method for handling a malicious traffic using the same
KR100596386B1 (en) Method for dynamic filtering IP fragment attack fragment
KR100656340B1 (en) Apparatus for analyzing the information of abnormal traffic and Method thereof
KR101310252B1 (en) Apparatus and method of forming statistics data in relation to network security
KR101440154B1 (en) Apparatus and method for user authentication of network security system
KR100976602B1 (en) Method and Apparatus for file transference security
KR101472523B1 (en) Security device controlling unidentified traffic and operating method thereof
JP4130445B2 (en) Abnormal data detection apparatus, abnormal data detection program, and abnormal data detection method
US8307445B2 (en) Anti-worm program, anti-worm apparatus, and anti-worm method
KR101290042B1 (en) Apparatus and method for detecting worm scan

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160308

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170403

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180403

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190401

Year of fee payment: 7