KR101346810B1 - Unitive Service Controlling Device and Method - Google Patents
Unitive Service Controlling Device and Method Download PDFInfo
- Publication number
- KR101346810B1 KR101346810B1 KR1020120023571A KR20120023571A KR101346810B1 KR 101346810 B1 KR101346810 B1 KR 101346810B1 KR 1020120023571 A KR1020120023571 A KR 1020120023571A KR 20120023571 A KR20120023571 A KR 20120023571A KR 101346810 B1 KR101346810 B1 KR 101346810B1
- Authority
- KR
- South Korea
- Prior art keywords
- signature
- service
- tag
- signatures
- attribute
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
통합적 서비스 제어 장치 및 방법은 네트워크 서비스 분류의 기준으로 사용되는 서비스 제공자, 서비스 기능, 및 서비스 프로토콜을 시그니처에 적용하여, 서비스 제공자, 서비스 기능, 또는 서비스 프로토콜에 대해 동일한 ID 태그를 갖는 시그니처들을 그룹화하여 정책을 적용함으로써 네트워크 서비스를 통합적으로 제어 및 관리할 수 있다.The integrated service control apparatus and method applies a service provider, a service function, and a service protocol, which are used as criteria of network service classification, to a signature to group signatures having the same ID tag for the service provider, service function, or service protocol. By applying policies, network services can be integrated and controlled.
Description
본 발명은 서비스 제어 장치 및 방법에 관한 것으로서 특히, 통합적 서비스 제어 장치 및 방법에 관한 것이다. The present invention relates to a service control apparatus and method, and more particularly, to an integrated service control apparatus and method.
네트워크 환경이 다양해지고 복잡해짐에 따라 다양한 서비스를 통한 정보 유출이 증가하게 된다. 이러한 정보 유출을 방지하기 위해 방화벽 또는 침입 예방 시스템(IPS) 등이 사용된다. 방화벽 또는 침입 예방 시스템에서는 미리 작성된 시그니처와 입력되는 데이터 패킷을 패턴 매칭하여 해당 패킷의 유입을 허용하거나 차단한다. As the network environment is diversified and complicated, information leakage through various services increases. In order to prevent such information leakage, a firewall or an intrusion prevention system (IPS) is used. The firewall or intrusion prevention system pattern-matches the pre-signed signature and the incoming data packet to allow or block the inflow of the packet.
방화벽 또는 침입 예방 시스템에서 다수의 시그니처들을 작성하여 입력 패킷과 시그니처들의 패턴 매칭을 수행할 때, 작성된 시그니처와 입력 데이터 패킷을 일대일로 매칭한다. When a plurality of signatures are created in a firewall or an intrusion prevention system to perform pattern matching of input packets and signatures, the signatures and input data packets are matched one-to-one.
이로인해, 작성된 시그니처들이 다수인 경우 다수의 시그니처들 각각을 수동으로 매칭하는데 많은 시간이 소요된다. 또한, 동일한 속성을 갖는 시그니처들에 대한 매칭 동작과 정책을 동시에 수행할 수 없는 문제점이 있다. As a result, it takes a lot of time to manually match each of the multiple signatures when there are a large number of signatures created. In addition, there is a problem that a matching operation and a policy for signatures having the same property cannot be simultaneously performed.
본 발명이 이루고자 하는 기술적 과제는 동일한 속성값을 갖는 시그니처들을 그룹화하여 정책을 적용함으로써 서비스를 통합적으로 제어할 수 있는 서비스 제어 장치 및 방법을 제공하는 것이다.An object of the present invention is to provide a service control apparatus and method that can collectively control a service by applying a policy by grouping signatures having the same attribute value.
통합적 서비스 제어 방법은 속성 정보에 따라 시그니처들을 2 이상의 속성을 기준으로 분류하여 각 속성에 대한 ID 태그를 각 시그니처에 추가하는 단계, 적용하고자 하는 정책 정보에 따라 상기 2 이상의 속성 중 제1 속성에 대해 제1 ID 태그를 포함하는 제1 그룹의 시그니처를 선택하는 단계, 및 선택된 제1 그룹의 시그니처와 입력 패킷을 매칭하여 상기 입력 패킷의 유입을 허용 또는 차단하는 단계를 포함하고, 상기 제1 그룹의 시그니처 중 적어도 하나의 시그니처와 상기 입력 패킷이 매칭되면 상기 입력 패킷의 유입을 차단하는 것을 특징으로 한다.The integrated service control method classifies signatures based on two or more attributes according to attribute information, and adds an ID tag for each attribute to each signature, and applies the first attribute of the two or more attributes according to the policy information to be applied. Selecting a signature of the first group including a first ID tag, and matching or matching the signature of the selected first group with the input packet to allow or block the inflow of the input packet; When at least one signature of the signature and the input packet match, the inflow of the input packet is blocked.
통합적 서비스 제어 장치는 속성 정보에 따라 시그니처들을 2 이상의 속성을 기준으로 분류하여 각 속성에 대한 ID 태그를 각 시그니처에 추가하는 시그니처 가공부, 적용하고자 하는 정책 정보에 따라, 가공된 시그니처들 중 제1 속성에 대해 제1 ID 태그를 포함하는 제1 그룹의 시그니처를 선택하는 시그니처 선택부, 및 선택된 제1 그룹의 시그니처와 입력 패킷을 매칭하여 상기 입력 패킷의 유입을 허용 또는 차단하는 시그니처 매칭부를 포함하고, 상기 시그니처 매칭부는 상기 제1 그룹의 시그니처 중 적어도 하나의 시그니처와 상기 입력 패킷이 매칭되면 상기 입력 패킷의 유입을 차단하는 것을 특징으로 한다.The integrated service control device classifies the signatures based on two or more attributes according to the attribute information and adds an ID tag for each attribute to each signature, and the first one of the processed signatures according to the policy information to be applied. A signature selector which selects a signature of a first group including a first ID tag for an attribute, and a signature matcher which permits or blocks the inflow of the input packet by matching an input packet with a signature of the selected first group; The signature matching unit may block inflow of the input packet when at least one signature of the first group of signatures matches the input packet.
본 발명의 통합적 서비스 제어 장치 및 방법에 의하면 네트워크 서비스 분류의 기준으로 사용되는 서비스 제공자, 서비스 기능, 및 서비스 프로토콜을 시그니처에 적용하여, 서비스 제공자, 서비스 기능, 또는 서비스 프로토콜에 대해 동일한 ID 태그를 갖는 시그니처들을 그룹화하여 정책을 적용함으로써 네트워크 서비스를 통합적으로 제어 및 관리할 수 있다. According to the integrated service control apparatus and method of the present invention, a service provider, a service function, and a service protocol, which are used as criteria of network service classification, are applied to a signature to have the same ID tag for the service provider, service function, or service protocol. By grouping signatures and applying policies, network services can be integrated and controlled.
도 1은 본 발명의 일 실시예에 따른 통합적 서비스 제어 장치를 설명하기 위한 블록도이다.
도 2는 속성을 기준으로 네트워크 서비스들을 분류하는 것을 설명하기 위한 개념도이다.
도 3은 도 1의 시그니처 가공부에서 가공된 시그니처들을 설명하기 위한 도식도이다.
도 4는 도 3의 가공된 시그니처들을 예시적으로 설명하기 위한 도식도이다.
도 5는 도 4의 가공된 시그니처들에서 특정 속성에 대해 특정 ID 태그값을 갖는 시그니처 그룹이 선택되는 것을 설명하기 위한 도식도이다.
도 6은 본 발명의 일 실시예에 따른 통합적 서비스 제어 방법을 설명하기 위한 흐름도이다.1 is a block diagram illustrating an integrated service control apparatus according to an embodiment of the present invention.
2 is a conceptual diagram for describing classifying network services based on attributes.
3 is a schematic diagram illustrating signatures processed by the signature processing unit of FIG. 1.
4 is a schematic diagram illustrating an example of the processed signatures of FIG. 3.
FIG. 5 is a schematic diagram illustrating that a signature group having a specific ID tag value is selected for a specific attribute in the processed signatures of FIG. 4.
6 is a flowchart illustrating an integrated service control method according to an embodiment of the present invention.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In order to clearly illustrate the present invention, parts not related to the description are omitted, and similar parts are denoted by like reference characters throughout the specification.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다.Throughout the specification, when a part is referred to as being "connected" to another part, it includes not only "directly connected" but also "electrically connected" with another part in between .
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Throughout the specification, when a part is said to "include" a certain component, it means that it can further include other components, without excluding other components unless specifically stated otherwise. Also, the terms " part, "" module," and " module ", etc. in the specification mean a unit for processing at least one function or operation and may be implemented by hardware or software or a combination of hardware and software have.
도 1은 본 발명의 일 실시예에 따른 통합적 서비스 제어 장치를 설명하기 위한 블록도이다.1 is a block diagram illustrating an integrated service control apparatus according to an embodiment of the present invention.
도 1을 참조하면, 본 발명의 일 실시예에 따른 통합적 서비스 제어 장치(100)는 시그니처 가공부(110), 시그니처 선택부(120), 및 시그니처 매칭부(130)를 포함한다. Referring to FIG. 1, an integrated
시그니처 가공부(110)는 속성 정보에 따라 시그니처들을 2 이상의 속성을 기준으로 분류하여 각 속성에 대한 ID 태그를 각 시그니처에 추가한다. 본 발명에서는 시그니처들을 분류하는 속성들의 예로서 서비스제공자, 서비스 기능, 서비스 프로토콜을 설명한다. 그러나 시그니처들을 분류하는 속성이 이것들에 한정되는 것은 아니다. The
시그니처 가공부(110)는 예를 들면 시그니처 데이터베이스(미도시)에 저장되어 있는 시그니처들 또는 시그니처 생성부(미도시)에서 생성된 시그니처들과 같은 가공 전 시그니처들을 서비스 제공자, 서비스 기능, 서비스 프로토콜을 기준으로 분류한다. 그리고 각 시그니처에 해당 시그니처의 서비스 제공자 ID 태그, 서비스 기능 ID 태그, 서비스 프로토콜 ID 태그를 추가하여 가공된 시그니처들을 생성한다. 서비스 제공자, 서비스 기능, 서비스 프로토콜에 대해서는 후술하기로 한다. The
시그니처 선택부(120)는 적용하고자 하는 정책 정보에 따라, 가공된 시그니처들 중 제1 속성에 대해 제1 ID 태그를 포함하는 제1 그룹의 시그니처를 선택한다.The
본 발명에서 정책 정보는 사용자 또는 관리자가 제어하고자 하는 서비스 대상과 관련된 정보이다. 즉, 특정 서비스 제공자가 제공하는 서비스를 제어하고 싶은 경우, 특정 기능을 포함하는 서비스를 제어하고 싶은 경우, 또는 특정 프로토콜을 사용하는 서비스를 제어하고 싶은 경우에 따라 정책 정보는 달라질 수 있다. 정책 정보는 미리 정책 설정 데이터 베이스(미도시)에 저장될 수 있다. 따라서, 시그니처 선택부(120)는 예를 들면 특정 서비스 제공자가 제공하는 서비스를 제어하라는 명령이 입력되면 서비스 제공자 속성에 대해 특정 ID 태그를 갖는 시그니처 그룹을 선택할 수 있다. In the present invention, the policy information is information related to a service object that a user or an administrator wants to control. That is, the policy information may vary according to a case in which a service provided by a specific service provider is desired, a service including a specific function is desired, or a service using a specific protocol is desired. The policy information may be stored in advance in a policy setting database (not shown). Accordingly, the
시그니처 매칭부(130)는 선택된 제1 그룹의 시그니처와 입력 패킷을 매칭하여 상기 입력 패킷의 유입을 허용 또는 차단한다. 시그니처 매칭부(130)는 제1 그룹의 시그니처들을 입력 패킷과 각각 매칭하여 매칭 결과 적어도 하나의 시그니처와 입력 패킷의 매칭이 일치하면 입력 패킷의 유입을 차단함으로써 특정 속성을 갖는 서비스의 접근을 차단한다. 반대로, 매칭 결과 모든 시그니처와 입력 패킷의 매칭이 일치하지 않으면 입력 패킷의 유입을 허용함으로써 특정 속성을 갖는 서비스의 접근을 허용한다. The
따라서 특정 속성을 갖는 서비스의 접근을 허용 또는 차단할 수 있다. Therefore, it is possible to allow or block the access of a service having a specific property.
도 2는 속성을 기준으로 네트워크 서비스들을 분류하는 것을 설명하기 위한 개념도이다. 본 발명에서는 네트워크 서비스들의 분류 기준을 시그니처에 활용한다.2 is a conceptual diagram for describing classifying network services based on attributes. In the present invention, the classification criteria of network services are utilized for signature.
도 2를 참조하면, 네트워크 서비스들은 서비스 제공자(Provider), 서비스 기능(Function), 및 서비스 프로토콜(Protocol)을 기준으로 분류될 수 있다. Referring to FIG. 2, network services may be classified based on a service provider, a service function, and a service protocol.
서비스 제공자는 서비스를 제공하는 회사나 단체를 의미한다. NHN, 다음(DAUM), 마이크로소프트(Microsoft)와 같은 서비스 제공 업체를 예로 들 수 있다. 하나의 서비스 제공자는 메일 서비스, SNS(Social Network Service), 파일 공유 등의 다양한 서비스를 제공할 수 있다. 이러한 서비스 제공자들을 분류하기 위하여 RFC 2410 HTTP 표준안의 HOST 필드 값을 이용할 수 있다. 즉, RFC 2410 HTTP 표준안의 HOST 필드 값을 확인하면 서비스 제공자를 식별할 수 있다. Service Provider means a company or organization that provides services. For example, service providers such as NHN, DAUM, and Microsoft. One service provider may provide various services such as a mail service, a social network service (SNS), a file sharing, and the like. You can use the HOST field value in the RFC 2410 HTTP standard to classify these service providers. That is, the service provider can be identified by checking the value of the HOST field in the RFC 2410 HTTP standard.
서비스 기능은 서비스 제공자가 사용자에게 제공하는 서비스의 형태를 의미한다. 서비스의 형태는 다양할 수 있지만, 사용자에게 노출되는 서비스의 형태의 예로 메시지, 파일, 파일 사이즈, 로그인 등을 들 수 있다. 메시지는 메시지를 전송하는 행위를 의미한다. 즉, 메일 쓰기, 홈페이지에 글 등록하기, 댓글 달기, 쪽지 쓰기 등의 행위를 포함할 수 있다. 파일은 저장 장치에 저장된 파일을 첨부하여 전송하는 행위를 의미한다. 즉, 메일 쓰기에서 첨부 파일을 첨부하여 전송하거나, 사진을 등록하거나, 글 등록 시 첨부 파일을 추가하는 행위를 포함할 수 있다. 파일 사이즈는 파일 기능에 첨부되는 파일의 크기(예: Byte)를 의미한다. 로그인은 서비스 제공자의 기능을 사용할 목적으로 발급받은 계정의 아이디(ID)와 패스워드(Password)를 이용하여 서비스에 접근하는 행위를 의미한다.The service function refers to a type of service provided by a service provider to a user. Although the types of services may vary, examples of the types of services exposed to the user include a message, a file, a file size, and a login. A message refers to the act of sending a message. That is, it may include actions such as writing a mail, registering a post on a homepage, commenting, and writing a note. A file refers to an act of attaching and transmitting a file stored in a storage device. That is, the mail writing may include attaching and sending an attachment, registering a photo, or adding an attachment when registering a post. The file size refers to the size of a file attached to the file function (for example, byte). Login refers to the act of accessing a service using an ID and password of an account issued for the purpose of using the service provider's functions.
서비스 프로토콜은 서비스 제공자와 서비스 사용자 상호간에 통신을 하기 위한 약속을 의미한다. 웹 서비스를 이용하는 경우에는 앞서 설명한 HTTP 표준안(RFC 2410)을 따른다. 특정 네트워크 서비스(또는 애플리케이션)는 상호간의 통신을 위하여 독자적인 프로토콜을 사용한다 예를 들면, P2P(peer to peer)로 잘 알려진 BitTorrent 애플리케이션의 경우 Bittorrent protocol을 사용하여 애플리케이션끼리 서로 통신하며, 인스턴트 메신저(Instant Messenger) 서비스로 알려진 MSN의 경우 MSNP라는 독자적인 프로토콜을 사용한다. The service protocol means an appointment for communication between a service provider and a service user. When using web services, follow the HTTP standard (RFC 2410) described above. Certain network services (or applications) use proprietary protocols to communicate with each other. For example, in the case of BitTorrent applications, also known as peer to peer (P2P) applications, the applications communicate with each other using the Bittorrent protocol. MSN, also known as Messenger) service, uses its own protocol called MSNP.
도 3은 도 1의 시그니처 가공부에서 가공된 시그니처들을 설명하기 위한 도식도이고, 도 4는 도 3의 가공된 시그니처들을 예시적으로 설명하기 위한 도식도이다.3 is a schematic diagram illustrating signatures processed by the signature processing unit of FIG. 1, and FIG. 4 is a schematic diagram illustrating an example of the processed signatures of FIG. 3.
도 3을 참조하면, 각 시그니처는 시그니처 가공부에서 해당 시그니처의 서비스 제공자 ID 태그, 서비스 기능 ID 태그, 서비스 프로토콜 ID 태그가 추가되도록 가공된다. Referring to FIG. 3, each signature is processed in the signature processing unit to add a service provider ID tag, a service function ID tag, and a service protocol ID tag of the signature.
웹메일, SNS, 웹하드 등의 트래픽을 수집하여 분석한 결과를 이용하여 시그니처에 서비스 제공자 ID 태그, 서비스 기능 ID 태그, 서비스 프로토콜 ID 태그가 추가되도록 한다.The service provider ID tag, the service function ID tag, and the service protocol ID tag are added to the signature using the result of collecting and analyzing the traffic of webmail, SNS, and web hard.
도 4를 참조하면, 제1 네이버 웹메일 시그니처는 서비스 제공자 ID 태그로서 NHN, 서비스 기능 ID 태그로서 메시지, 그리고 서비스 프로토콜 ID 태그로서 http를 포함한다. 이것은 제1 네이버 웹메일 시그니처가 서비스 제공자를 기준으로 NHN, 서비스 기능을 기준으로 메시지, 서비스 프로토콜을 기준으로 http인 속성값을 갖는다는 것을 의미한다. 그리고 제1 네이버 웹메일 시그니처는 이러한 속성값을 갖는 네트워크 서비스의 접근을 차단할 수 있다. Referring to FIG. 4, the first NAVER webmail signature includes NHN as a service provider ID tag, a message as a service function ID tag, and http as a service protocol ID tag. This means that the first NAVER webmail signature has an NHN based on the service provider, a message based on the service function, and an http value based on the service protocol. The first NAVER webmail signature may block access to a network service having such an attribute value.
제2 네이버 웹메일 시그니처는 서비스 제공자 ID 태그로서 NHN, 서비스 기능 ID 태그로서 파일, 그리고 서비스 프로토콜 ID 태그로서 ftp를 포함한다. 이것은 제2 네이버 웹메일 시그니처가 서비스 제공자를 기준으로 NHN, 서비스 기능을 기준으로 파일, 서비스 프로토콜을 기준으로 ftp인 속성값을 갖는다는 것을 의미한다. 그리고 제2 네이버 웹메일 시그니처는 이러한 속성값을 갖는 네트워크 서비스의 접근을 차단할 수 있다. The second NAVER webmail signature includes NHN as the service provider ID tag, file as the service function ID tag, and ftp as the service protocol ID tag. This means that the second NAVER webmail signature has an attribute value of NHN based on the service provider, file based on the service function, and ftp based on the service protocol. The second NAVER webmail signature may block access to a network service having such an attribute value.
제1 MSN IM 시그니처는 서비스 제공자 ID 태그로서 마이크로소프트, 서비스 기능 ID 태그로서 메시지, 그리고 서비스 프로토콜 ID 태그로서 MSNP를 포함한다. 이것은 제1 MSN IM 시그니처가 서비스 제공자를 기준으로 마이크로소프트, 서비스 기능을 기준으로 메시지, 서비스 프로토콜을 기준으로 MSNP인 속성값을 갖는다는 것을 의미한다. 그리고 제1 MSN IM 시그니처는 이러한 속성값을 갖는 네트워크 서비스의 접근을 차단할 수 있다. The first MSN IM signature includes Microsoft as the service provider ID tag, a message as the service function ID tag, and MSNP as the service protocol ID tag. This means that the first MSN IM signature has an attribute value of Microsoft based on the service provider, message based on the service function, and MSNP based on the service protocol. The first MSN IM signature may block access to a network service having such an attribute value.
도 5는 도 4의 가공된 시그니처들에서 특정 속성에 대해 특정 ID 태그값을 갖는 시그니처 그룹이 선택되는 것을 설명하기 위한 도식도이다.FIG. 5 is a schematic diagram illustrating that a signature group having a specific ID tag value is selected for a specific attribute in the processed signatures of FIG. 4.
도 5를 참조하면, 시그니처들은 적용하고자 하는 정책에 따라 시그니처 선택부에서 동일한 속성값 즉, 동일한 ID 태그값들을 갖는 시그니처 그룹으로 그룹화된다. Referring to FIG. 5, the signatures are grouped into a signature group having the same attribute value, that is, the same ID tag values, in the signature selector according to a policy to be applied.
예를 들면, 적용하고자 하는 정책이 서비스 제공자가 'NHN'인 네트워크 서비스는 모두 차단하는 것이라면, 서비스 제공자 ID 태그가 'NHN'인 시그니처들이 그룹화되어 선택된다. 즉, 제1 네이버 웹메일 시그니처, 제2 네이버 웹메일 시그니처, 제1 미투데이 SNS 시그니처, 제2 미투데이 SNS 시그니처가 제1 시그니처 그룹으로서 그룹화되어 선택된다. For example, if the policy to be applied is to block all network services whose service provider is 'NHN', signatures having a service provider ID tag of 'NHN' are selected and grouped. That is, the first neighbor webmail signature, the second neighbor webmail signature, the first me2day SNS signature, and the second me2day SNS signature are grouped and selected as the first signature group.
따라서 시그니처들 중 서비스 제공자 속성이 'NHN'인 시그니처들이 동시에 선택되므로 다른 속성들(서비스 기능, 서비스 프로토콜)에 관계없이, 서비스 제공자가 'NHN'인 네트워크 서비스들을 모두 차단할 수 있다. Therefore, signatures having a service provider attribute of 'NHN' among signatures are selected at the same time, and thus, all network services having a service provider of 'NHN' can be blocked regardless of other attributes (service function and service protocol).
다른 예로서, 적용하고자 하는 정책이 서비스 기능이 '메시지'인 네트워크 서비스는 모두 차단하는 것이라면, 서비스 기능 ID 태그가 '메시지'인 시그니처들이 그룹화되어 선택된다. 즉, 제1 네이버 웹메일 시그니처, 제1 미투데이 SNS 시그니처, 제1 MSN IM 시그니처, 제1 다음 웹메일 시그니처가 제2 시그니처 그룹으로서 그룹화되어 선택된다.As another example, if the policy to be applied is to block all network services whose service function is 'message', the signatures whose service function ID tag is 'message' are selected and grouped. That is, the first neighbor webmail signature, the first metoday SNS signature, the first MSN IM signature, and the first next webmail signature are grouped and selected as the second signature group.
따라서 시그니처들 중 서비스 기능 속성이 '메시지'인 시그니처들이 동시에 선택되므로 다른 속성들(서비스 제공자, 서비스 프로토콜)에 관계없이, 서비스 기능이 '메시지'인 네트워크 서비스들을 모두 차단할 수 있다.Accordingly, since signatures having a service function attribute of 'message' among signatures are selected at the same time, all network services having a service function of 'message' can be blocked regardless of other attributes (service provider, service protocol).
이와 같이, 본 발명에서는 네트워크 서비스 분류의 기준으로 사용되는 서비스 제공자, 서비스 기능, 및 서비스 프로토콜을 시그니처에 적용한다. 서비스 제공자, 서비스 기능, 또는 서비스 프로토콜에 대해 동일한 ID 태그를 갖는 시그니처들을 그룹화하여 정책을 적용함으로써 네트워크 서비스를 통합적으로 제어 및 관리할 수 있다.As described above, the present invention applies a service provider, a service function, and a service protocol used as a criterion of network service classification to a signature. Grouping signatures with the same ID tag for a service provider, service function, or service protocol can be used to collectively control and manage network services by applying policies.
도 6은 본 발명의 일 실시예에 따른 통합적 서비스 제어 방법을 설명하기 위한 흐름도이다.6 is a flowchart illustrating an integrated service control method according to an embodiment of the present invention.
도 6을 참조하면, 본 발명의 일 실시예에 따른 통합적 서비스 제어 방법에서는 우선, 시그니처들을 속성 정보에 따라 2 이상의 속성을 기준으로 분류한다. 상세하게는, 서비스 제공자, 서비스 기능, 및 서비스 프로토콜을 기준으로 분류한다. 그리고 각 시그니처에 해당 시그니처의 서비스 제공자 ID 태그, 서비스 기능 ID 태그, 및 서비스 프로토콜 ID 태그를 추가한다(단계 610). Referring to FIG. 6, in the integrated service control method according to an embodiment of the present invention, signatures are first classified based on two or more attributes according to attribute information. Specifically, they are classified based on service provider, service function, and service protocol. Then, the service provider ID tag, the service function ID tag, and the service protocol ID tag of the signature are added to each signature (step 610).
그 다음, 적용하고자 하는 정책 정보에 따라 제1 속성(예: 서비스 제공자 속성)에 대해 제1 ID 태그(예: NHN)를 포함하는 제1 시그니처 그룹을 선택한다(단계 620).Next, a first signature group including a first ID tag (eg, NHN) is selected for the first attribute (eg, service provider property) according to the policy information to be applied (step 620).
다음으로, 제1 시그니처 그룹에 포함되는 각 시그니처와 입력 패킷을 매칭하여 입력 패킷의 유입을 허용 또는 차단한다(단계 630).Next, each signature included in the first signature group is matched with the input packet to allow or block the inflow of the input packet (step 630).
매칭 결과 제1 시그니처 그룹에 포함되는 시그니처들 중 적어도 하나의 시그니처와 입력 패킷의 패턴이 매칭되는 경우 입력 패킷의 유입을 차단하여 서비스의 접근을 차단한다(단계 640).If at least one signature among the signatures included in the first signature group matches the pattern of the input packet as a result of the matching, access of the service is blocked by blocking the inflow of the input packet (step 640).
매칭 결과 제1 시그니처 그룹에 포함되는 모든 시그니처들과 입력 패킷의 패턴이 매칭되지 않는 경우 입력 패킷의 유입을 허용하여 서비스의 접근을 허용한다(단계 650). If all of the signatures included in the first signature group and the pattern of the input packet do not match as a result of the matching, the flow of the input packet is allowed to allow access of the service (step 650).
이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다. The embodiments of the present invention described above are not only implemented by the apparatus and method but may be implemented through a program for realizing the function corresponding to the configuration of the embodiment of the present invention or a recording medium on which the program is recorded, The embodiments can be easily implemented by those skilled in the art from the description of the embodiments described above.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, It belongs to the scope of right.
100: 통합적 서비스 제어 장치
110: 시그니처 가공부
120: 시그니처 선택부
130: 시그니처 매칭부100: integrated service control unit
110: signature processing part
120: signature selection unit
130: signature matching unit
Claims (8)
적용하고자 하는 정책 정보에 따라 상기 2 이상의 속성 중 제1 속성에 대해 제1 ID 태그를 포함하는 제1 그룹의 시그니처를 선택하는 단계; 및
선택된 제1 그룹의 시그니처와 입력 패킷을 매칭하여 상기 입력 패킷의 유입을 허용 또는 차단하는 단계를 포함하고,
상기 제1 그룹의 시그니처 중 적어도 하나의 시그니처와 상기 입력 패킷이 매칭되면 상기 입력 패킷의 유입을 차단하는 것을 특징으로 하는 통합적 서비스 제어 방법.
Classifying the signatures based on two or more attributes according to the attribute information, and adding an ID tag for each attribute to each signature;
Selecting a signature of a first group including a first ID tag for a first attribute of the two or more attributes according to the policy information to be applied; And
Allowing an incoming packet to be allowed or blocked by matching the input packet with a signature of the selected first group;
And inflow of the input packet when at least one signature of the first group of signatures matches the input packet.
The method of claim 1, wherein the attribute comprises at least one of a service provider, a service function, or a service protocol.
메시지 전송 또는 파일 첨부 전송 기능을 포함하는 통합적 서비스 제어 방법.
The method of claim 2, wherein the service function
Integrated service control method that includes message transfer or file attachment transfer.
적용하고자 하는 정책 정보에 따라, 가공된 시그니처들 중 제1 속성에 대해 제1 ID 태그를 포함하는 제1 그룹의 시그니처를 선택하는 시그니처 선택부; 및
선택된 제1 그룹의 시그니처와 입력 패킷을 매칭하여 상기 입력 패킷의 유입을 허용 또는 차단하는 시그니처 매칭부를 포함하고,
상기 시그니처 매칭부는
상기 제1 그룹의 시그니처 중 적어도 하나의 시그니처와 상기 입력 패킷이 매칭되면 상기 입력 패킷의 유입을 차단하는 것을 특징으로 하는 통합적 서비스 제어 장치.
A signature processing unit for classifying signatures based on two or more attributes according to attribute information and adding an ID tag for each attribute to each signature;
A signature selecting unit that selects a signature of a first group including a first ID tag with respect to a first attribute among the processed signatures according to the policy information to be applied; And
A signature matching unit configured to allow or block the inflow of the input packet by matching an input packet with a signature of the selected first group,
The signature matching unit
And at least one signature of the first group of signatures matches the input packet to block the inflow of the input packet.
6. The integrated service control device of claim 5, wherein the attribute comprises at least one of a service provider, a service function, or a service protocol.
메시지 전송 또는 파일 첨부 전송 기능을 포함하는 통합적 서비스 제어 장치.
The method of claim 6, wherein the service function
Integrated service control device including message transfer or file attachment transfer.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120023571A KR101346810B1 (en) | 2012-03-07 | 2012-03-07 | Unitive Service Controlling Device and Method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120023571A KR101346810B1 (en) | 2012-03-07 | 2012-03-07 | Unitive Service Controlling Device and Method |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20130116398A KR20130116398A (en) | 2013-10-24 |
KR101346810B1 true KR101346810B1 (en) | 2014-01-03 |
Family
ID=49635463
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020120023571A KR101346810B1 (en) | 2012-03-07 | 2012-03-07 | Unitive Service Controlling Device and Method |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101346810B1 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006041969A (en) * | 2004-07-28 | 2006-02-09 | Mitsubishi Electric Corp | Network monitoring device, network monitoring method and program |
KR100809416B1 (en) | 2006-07-28 | 2008-03-05 | 한국전자통신연구원 | Appatus and method of automatically generating signatures at network security systems |
KR20090037540A (en) * | 2007-10-12 | 2009-04-16 | 한국정보보호진흥원 | Hybrid network discovery method for detecting client applications |
KR20100073527A (en) * | 2008-12-23 | 2010-07-01 | 한국인터넷진흥원 | Detection and block system for hacking attack of internet telephone using the sip-based and method thereof |
-
2012
- 2012-03-07 KR KR1020120023571A patent/KR101346810B1/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006041969A (en) * | 2004-07-28 | 2006-02-09 | Mitsubishi Electric Corp | Network monitoring device, network monitoring method and program |
KR100809416B1 (en) | 2006-07-28 | 2008-03-05 | 한국전자통신연구원 | Appatus and method of automatically generating signatures at network security systems |
KR20090037540A (en) * | 2007-10-12 | 2009-04-16 | 한국정보보호진흥원 | Hybrid network discovery method for detecting client applications |
KR20100073527A (en) * | 2008-12-23 | 2010-07-01 | 한국인터넷진흥원 | Detection and block system for hacking attack of internet telephone using the sip-based and method thereof |
Also Published As
Publication number | Publication date |
---|---|
KR20130116398A (en) | 2013-10-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10735511B2 (en) | Device and related method for dynamic traffic mirroring | |
US10178112B2 (en) | Systems and methods for automated retrieval, processing, and distribution of cyber-threat information | |
US9979753B2 (en) | Cyber-security system and methods thereof | |
EP3494682B1 (en) | Security-on-demand architecture | |
US10063587B2 (en) | Management of security actions based on computing asset classification | |
US9832227B2 (en) | System and method for network level protection against malicious software | |
US9130826B2 (en) | System and related method for network monitoring and control based on applications | |
US9584393B2 (en) | Device and related method for dynamic traffic mirroring policy | |
US20160036855A1 (en) | Cloud application control using man-in-the-middle identity brokerage | |
US9230213B2 (en) | Device and related method for scoring applications running on a network | |
US20180198791A1 (en) | Systems and methods for cloud-based service function chaining using security assertion markup language (saml) assertion | |
US11645144B2 (en) | Methods and systems securing an application based on auto-learning and auto-mapping of application services and APIs | |
US11050787B1 (en) | Adaptive configuration and deployment of honeypots in virtual networks | |
Hyun et al. | SDN-based network security functions for effective DDoS attack mitigation | |
EP3750289B1 (en) | Method, apparatus, and computer readable medium for providing security service for data center | |
KR20220125251A (en) | Programmable Switching Device for Network Infrastructures | |
US20150286824A1 (en) | Methods for selection of collaborators for online threat mitigation | |
KR101346810B1 (en) | Unitive Service Controlling Device and Method | |
US9935990B1 (en) | Systems and methods for multicast streaming analysis | |
Singh | Implementing Cisco Networking Solutions: Configure, implement, and manage complex network designs | |
US20190104110A1 (en) | Method and system for controlling transmission of data packets in a network | |
Lakshmanan | Enhanced Software Defined Networking (SDN) with security & performance in cloud computing | |
KNOW | Magic Quadrant for Secure Web Gateway | |
Yassir et al. | Analysis of Different Features and the Application of Cisco’s SecureX Architecture in Secure Environment | |
Narendra | Study of computer networking security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20161206 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20181204 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20191202 Year of fee payment: 7 |