KR101502490B1 - 네트워크 트래픽을 감시하는 가입자 단말 및 보안 감시 노드 - Google Patents

네트워크 트래픽을 감시하는 가입자 단말 및 보안 감시 노드 Download PDF

Info

Publication number
KR101502490B1
KR101502490B1 KR20130124803A KR20130124803A KR101502490B1 KR 101502490 B1 KR101502490 B1 KR 101502490B1 KR 20130124803 A KR20130124803 A KR 20130124803A KR 20130124803 A KR20130124803 A KR 20130124803A KR 101502490 B1 KR101502490 B1 KR 101502490B1
Authority
KR
South Korea
Prior art keywords
security monitoring
packet
address
monitoring node
received
Prior art date
Application number
KR20130124803A
Other languages
English (en)
Inventor
박태민
김봉기
정현호
황영헌
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR20130124803A priority Critical patent/KR101502490B1/ko
Priority to US14/518,011 priority patent/US9674142B2/en
Application granted granted Critical
Publication of KR101502490B1 publication Critical patent/KR101502490B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크 트래픽을 감시하는 가입자 단말 및 보안 감시 노드가 개시된다. 여기서, 가입자 단말은 네트워크 상에 위치하는 보안 감시 노드와 보안 채널을 통해 연결되고, 송수신 패킷을 상기 보안 감시 노드로 우회시킨 후, 상기 보안 감시 노드에서 무해하다고 판단된 송수신 패킷만 송수신하는 보안 감시부, 그리고 상기 보안 감시 노드와 상기 송수신 패킷을 송수신하는 통신부를 포함한다.

Description

네트워크 트래픽을 감시하는 가입자 단말 및 보안 감시 노드{SUBSCIBE TERMINAL AND SECURITY FARM NODE FOR MONITORING NETWORK TRAFFIC}
본 발명은 네트워크 트래픽을 감시하는 가입자 단말 및 보안 감시 노드에 관한 것이다.
여러 보안 장비를 자체 구축하고 보안 대응책을 잘 운용하고 있는 대기업에 비해 소규모 사업자들은 개인 정보를 취급하지만 보안 장비에 대한 투자비나 운용능력이 없다. 따라서, 악의적 해커들은 어려운 대기업의 해킹 보다는 방어가 허술한 소규모 사업자를 타겟으로 침해 공격을 시도하는 경향이 두드러진다.
이러한 해킹을 방지하기 위한 종래의 클린존 서비스는 예컨대 디도스(DdoS) 공격 발생시 목적지(공격 대상) 주소로 향하는 패킷을 싱크홀 라우터에서 싱크홀 처리하고, 싱크홀 처리된 패킷을 DDoS 탐지 시스템(DDX)으로 보낸다. 그러면, DDoS 탐지 시스템은 유입된 패킷을 검사하여 정상 패킷만 다시 망으로 유통시킨다. 하지만, 종래의 클린존 서비스는 DDoS가 탐지 되었을 때만 일시적으로 싱크홀 처리를 하므로, 한시적 대응에 국한된다. 그리고 DDoS 공격에만 대응 가능하다는 한계가 있다. 그리고 서버로 가는 정상 패킷도 함께 차단될 수 있다.
한편, 종래의 에지(Edge) 라우터의 정책 변경을 통하여 트래픽을 우회시키는 기술이 제안되어 있다. 그런데 이 기술은 Edge 라우터에 물려있는 모든 고객에게 서비스를 적용해야 하므로 고객 선별적인 서비스는 불가하다는 한계가 있다.
따라서, 본 발명이 이루고자 하는 기술적 과제는 가입자의 트래픽 경로를 특정 네트워크 노드 즉 보안 감시 노드로 우회시켜 네트워크 사업자가 보안 감시를 대행할 수 있는 가입자 단말 및 보안 감시 노드를 제공하는 것이다.
본 발명의 하나의 특징에 따르면, 가입자 단말은 네트워크 상에 위치하는 보안 감시 노드와 보안 채널을 통해 연결되고, 송수신 패킷을 상기 보안 감시 노드로 우회시킨 후, 상기 보안 감시 노드에서 무해하다고 판단된 송수신 패킷만 송수신하는 보안 감시부, 그리고 상기 보안 감시 노드와 상기 송수신 패킷을 송수신하는 통신부를 포함한다.
상기 보안 감시부는,
수신 패킷의 발신 주소가 기 정의된 주소가 아니라면, 상기 수신 패킷의 수신을 차단한 후, 상기 보안 감시 노드로 우회시키고, 생성된 송신 패킷은 상기 보안 감시 노드로 우회시켜 목적지로의 전송을 요청할 수 있다.
상기 보안 감시부는,
발신 주소가 공인 IP 대역에 포함되는 모든 수신 패킷은 차단한 후, 상기 보안 감시 노드로 우회시킬 수 있다.
상기 보안 감시부는,
발신 주소가 상기 보안 감시 노드의 주소가 아닌 모든 수신 패킷은 차단한 후, 상기 보안 감시 노드로 우회시킬 수 있다.
상기 보안 감시부는,
외부로부터 다운로드되어 설치된 상기 보안 감시 노드와 연동하여 동작하는 클라이언트 에이전트 프로그램을 저장하는 메모리를 더 포함하고,
상기 보안 감시부는,
상기 클라이언트 에이전트 프로그램을 실행시켜 상기 보안 감시 노드와 상기 보안 채널을 통해 연결될 수 있다.
상기 보안 감시부의 요청에 따라 상기 보안 감시 노드와 상기 보안 채널을 형성하는 가상 사설망 처리부를 더 포함할 수 있다.
상기 가상 사설망 처리부는,
상기 보안 감시부의 요청에 따른 수신 패킷 및 송신 패킷을 인캡술화하여 상기 보안 감시 노드로 전송하고, 상기 보안 감시 노드로부터 수신되는 인캡슐화된 수신 패킷을 디캡슐화한 후 상기 보안 감시부로 전달할 수 있다.
상기 보안 감시부는,
수신 패킷 및 송신 패킷이 유해 패킷으로 판단되면, 상기 보안 감시 노드로부터 유해 패킷 알림을 수신할 수 있다.
본 발명의 다른 특징에 따르면, 보안 감시 노드는 네트워크 상에 위치하는 보안 감시 노드로서, 복수의 가입자 단말과 접속되고, 상기 가입자 단말이 우회시킨 송신 패킷 및 수신 패킷을 수신하는 수신부, 상기 송신 패킷 및 상기 수신 패킷이 유해 패킷인지를 판단하는 보안 감시 기능을 수행하는 보안 감시 제어부, 그리고 상기 복수의 가입자 단말과 접속되고, 상기 보안 감시 제어부에 의해 무해하다고 판단된 송신 패킷을 상기 네트워크 상에 송신하고, 상기 보안 감시 제어부에 의해 무해하다고 판단된 수신 패킷을 상기 가입자 단말로 송신하는 전송부를 포함한다.
상기 보안 감시 제어부는,
상기 가입자 단말의 요청에 따라 상기 가입자 단말과 보안 채널을 생성하고, 상기 보안 채널을 인캡슐화된 송신 패킷 및 수신 패킷을 수신하여 디캡슐화하며, 상기 무해하다고 판단된 수신 패킷을 인캡슐화하는 가상 사설망 모듈을 포함할 수 있다.
상기 보안 감시 노드는,
무해하다고 판단된 송신 패킷 및 수신 패킷의 발신지 주소를 상기 보안 감시 노드의 주소로 변경하는 네트워크 주소 변환 모듈, 그리고 상기 네트워크 주소 변환 모듈이 변환하기 전의 발신지 주소와 변환후의 발신지 주소가 매핑되어 저장된 주소 매핑 테이블을 더 포함하고,
상기 가상 사설망 모듈은,
상기 네트워크 주소 변환 모듈이 변환한 송신 패킷 및 수신 패킷을 각각 인캡슐화할 수 있다.
상기 보안 감시 노드는, 외부로부터 수신한 패킷의 발신지 주소와 매핑된 가입자 단말의 주소를 상기 주소 매핑 테이블로부터 확인하고, 확인된 가입자 단말의 주소를 이용하여 상기 보안 감시 제어부에 의해 무해하다고 판단된 상기 외부로부터 수신한 패킷을 상기 가입자 단말로 전달하는 라우터 모듈을 더 포함할 수 있다.
상기 보안 감시 제어부는,
상기 송신 패킷 및 상기 수신 패킷을 분석하여 기 설정된 보안 정책에 적합한지 또는 위배되는지 판정하고, 위배된다고 판단된 유해 패킷은 폐기하는 방화벽 엔진 모듈, 그리고 상기 송신 패킷 및 상기 수신 패킷을 분석하여 목적지 주소를 추출하고, 목적지 주소에 해당하는 사이트의 접속 허용 여부를 판단하며, 접속이 허용되지 않는 사이트라면, 상기 송신 패킷 및 상기 수신 패킷은 폐기하는 유해 사이트 차단 모듈 중 하나 이상을 더 포함할 수 있다.
상기 방화벽 엔진 모듈은,
네트워크 상에 위치하는 운용자 서버로부터 수신된 정보를 토대로 상기 보안 정책을 업데이트하고,
상기 유해 사이트 차단 모듈은,
상기 운용자 서버의 요청에 따라 접속이 허용되는 사이트 정보를 업데이트할 수 있다.
본 발명의 실시예에 따르면, 서비스 가입자는 보안 감시 노드를 거친 패킷만 송수신함으로써, 보안 침해 공격 및 개인 정보 유출에 대한 상시 모니터링 및 점검 서비스를 제공받을 수 있다.
도 1은 본 발명의 실시예에 따른 보안 감시 시스템의 구성도이다.
도 2는 도 1의 가입자 단말의 구성을 나타낸 블록도이다.
도 3은 도 1의 보안 감시 노드의 구성을 나타낸 블록도이다.
도 4는 본 발명의 한 실시예에 따른 보안 감시 방법의 흐름도이다.
도 5는 본 발명의 다른 실시예에 따른 보안 감시 방법의 흐름도이다.
도 6은 본 발명의 또 다른 실시예에 따른 보안 감시 방법의 흐름도이다.
도 7은 본 발명의 다른 실시예에 따른 보안 감시 노드의 구성을 나타낸 블록도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.
또한, 명세서에 기재된 "…부", "…모듈" 의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
이하, 도면을 참조로 하여 본 발명의 실시예에 따른 네트워크 트래픽을 감시하는 가입자 단말 및 보안 감시 노드에 대하여 상세히 설명한다.
이때, 본 발명의 실시예는 고객의 개인 정보를 취급하지만 보안 장비의 자체 구축 여력이 없는 소규모 사업자를 서비스 대상으로 한다. 예를 들면, 동네 병의원, 약국, 통신사 대리점, 부동산 중계소, 도시가스업체, 여행사, 학원 등의 소규모 사업자를 대상으로 할 수 있다.
도 1은 본 발명의 실시예에 따른 보안 감시 시스템의 구성도이고, 도 2는 도 1의 가입자 단말의 구성을 나타낸 블록도이며, 도 3은 도 1의 보안 감시 노드의 구성을 나타낸 블록도이다.
먼저, 도 1을 참조하면, 가입자 단말(100)은 보안 감시 노드(200)와 보안 채널을 통해 연결되어 통신한다. 여기서, 보안 채널은 VPN(Virtual Private Network) 채널일 수 있으며, 가입자 단말(100)과 보안 감시 노드(200)는 VPN 통신을 할 수 있다.
보안 감시 노드(200)는 네트워크(300)에 연결되어 인터넷 통신을 한다. 운용자 서버(400)는 네트워크(300)에 연결되어 인터넷 통신을 한다. 미가입자 단말(500) 역시 네트워크(300)에 연결되어 인터넷 통신을 한다.
보안 감시 노드(200)는 네트워크 운용자가 고객 트래픽 즉 인터넷 패킷에 대한 집중화된 보안 감시를 대행한다. 그리고 네트워크 사업자가 네트워크 단에서 서비스 가입 고객의 트래픽에 대해 보안 감시를 수행한다. 보안 미들박스를 집중화한 보안 어플리언스 팜(Security Appliance Farm)을 구축하여 보안관리를 대행하는 서비스를 구현한다.
여기서, 가입자 단말(100)은 본 발명의 실시예에 따른 경로 우회를 통한 네트워크 트래픽 감시 서비스에 가입된 사용자의 단말이고, 미가입자 단말(500)은 가입하지 않은 일반 사용자의 단말이다.
이때, 가입자 단말(100) 및 미가입자 단말(500)은 네트워크에 접속할 수 있는 PDA(Personal Digital Assistant), 스마트 폰, 노트북 등의 휴대용 통신기기 등이 될 수 있다.
여기서, 가입자 단말(100)은 도 2와 같이 구현될 수 있다.
도 2를 참조하면, 가입자 단말(100)은 통신부(110), 메모리(130) 및 프로세서(150)를 포함한다.
통신부(110)는 보안 감시 노드(200)를 통해 네트워크(300)와 연결된 무선 채널을 통해 데이터를 송수신하고, 무선 신호를 처리하기 위한 베이스밴드 회로를 포함할 수 있다. 통신부(110)는 송신 패킷 및 수신 패킷을 보안 감시 노드(200)와 보안 채널을 통해 송수신한다.
메모리(130)는 동적 랜덤 액세스 메모리(Dynamic Random Access Memory, DRAM), 램버스 DRAM(RAM Bus DRAM, RDRAM), 동기식 DRAM(Synchronous DRAM, SDRAM), 정적 RAM(Static RAM, SRAM) 등의 RAM과 같은 매체로 구현될 수 있다. 그리고 메모리(130)는 보안 감시 노드(200)와 연동하여 동작하는 클라이언트 에이전트 프로그램(131)을 저장한다. 이러한 클라이언트 에이전트 프로그램은 외부 서버(미도시)로부터 다운로드되어 설치될 수 있다. 여기서, 외부 서버(미도시)는 어플리케이션을 거래할 수 있는 앱 서버일 수 있으며, 클라이언트 에이전트 프로그램은 소정의 비용을 지불하고 구매할 수 있는 어플리케이션 형태로 구현될 수 있다.
프로세서(150)는 중앙처리 유닛(CPU, Central Processing Unit)이나 기타 칩셋, 마이크로프로세서 등으로 구현될 수 있다. 프로세서(150)는 통신부(110) 및 메모리(130)와 연동하여 동작한다.
프로세서(150)는 보안 감시부(151) 및 가상 사설망(Virtual Private Network, 이하, 'VPN'이라 칭함) 처리부(153)를 포함한다.
보안 감시부(151)는 네트워크(300) 상에 위치하는 보안 감시 노드(200)와 보안 채널을 통해 연결된다. 그리고, 통신부(110)로부터 전달되는 송수신 패킷을 보안 감시 노드(200)로 우회시킨 후, 보안 감시 노드(200)에서 무해하다고 판단된 송수신 패킷만 송수신한다.
보안 감시부(151)는 수신 패킷의 발신 주소가 기 정의된 주소가 아니라면, 수신 패킷의 수신을 차단한 후, 보안 감시 노드로 우회시킨다.
보안 감시부(151)는 생성한 송신 패킷은 보안 감시 노드(200)로 우회시켜 목적지로의 전송을 요청한다.
이때, 보안 감시부(151)는 발신 주소가 공인 IP 대역에 포함되는 모든 수신 패킷은 차단한 후, 보안 감시 노드(200)로 우회시킬 수 있다.
또한, 보안 감시부(151)는 발신 주소가 보안 감시 노드(200)의 주소가 아닌 모든 수신 패킷은 차단한 후, 보안 감시 노드로 우회시킬 수 있다.
또한, 보안 감시부(151)는 수신 패킷 및 송신 패킷이 유해 패킷으로 판단되면, 보안 감시 노드(200)로부터 유해 패킷 알림을 수신한다.
여기서, 보안 감시부(151)는 클라이언트 에이전트 프로그램을 실행시켜 보안 감시 노드(200)와 보안 채널을 통해 연결된다.
VPN 처리부(153)는 보안 감시부(151)의 요청에 따라 보안 감시 노드(200)와 보안 채널을 형성한다. 이때, VPN에 사용되는 터널링(tunneling) 기술을 사용할 수 있다. 여기서, 터널링 기술은 인터넷 상에서 외부의 영향을 받지 않는 가상적인 터널을 형성해 정보를 주고받도록 하는 기술이다.
VPN 처리부(153)는 송신 패킷을 인캡슐화하여 보안 감시 노드(200)로 VPN 터널링을 통해 전송한다. 그리고 수신 패킷을 인캡슐화하여 보안 감시 노드(200)로 VPN 터널링을 통해 전송한다. 그리고 무해하다고 판단된 수신 패킷을 VPN 터널링을 통해 수신하여 디캡슐화한다.
이때, 인캡슐화 및 디캡슐화는 사전 정의된 암호화/복호화 방식을 이용한다.
한편, 보안 감시 노드(200)는 도 3과 같이 구현될 수 있다.
도 3을 참조하면, 보안 감시 노드(200)는 수신부(210), 전송부(230) 및 보안 감시 제어부(250)를 포함한다.
수신부(210)는 보안 채널을 통해 복수의 가입자 단말(100)과 접속되고 가입자 단말(100)이 우회시킨 송신 패킷 및 수신 패킷을 수신한다.
전송부(230)는 복수의 가입자 단말(100)과 접속되고, 보안 감시 제어부(250)에 의해 무해하다고 판단된 송신 패킷을 인터넷 채널을 통해 네트워크(300) 상에 송신한다. 그리 보안 감시 제어부(250)에 의해 무해하다고 판단된 수신 패킷을 보안 채널을 통해 가입자 단말(100)로 송신한다.
보안 감시 제어부(250)는 송신 패킷 및 수신 패킷이 유해 패킷인지를 판단하는 보안 감시 기능을 수행한다.
여기서, 보안 감시 제어부(250)는 방화벽 엔진 모듈(251), 유해사이트 차단 모듈(252), VPN 모듈(253), 네트워크 주소 변환(Network Address Translaton, 이하, 'NAT'라 통칭함) 모듈(254), 라우터 모듈(255) 및 주소 매핑 테이블(256)을 포함한다.
방화벽 엔진 모듈(251)은 송신 패킷 및 수신 패킷을 분석하여 보안 정책의 위반 여부를 판정한다. 방화벽 엔진 모듈(251)은 보안 정책을 적용하도록 설정되고 지정된 보안 정책에 따라 수신부(210)를 통해 가입자 단말(100)로부터 수신되는 송신 패킷 및 수신 패킷을 분석하고 보안 정책에 적합한지 또는 위배되는지 판정한다. 만약, 패킷이 보안 정책을 위반한다고 판정할 경우에는, 해당 패킷에 대해서 전달하지 않고 폐기한다. 반면, 보안 정책을 위반하지 않으면, 가입자 단말(100)로부터 수신되는 송신 패킷은 네트워크(300로 전송하고, 가입자 단말(100)로부터 수신되는 수신 패킷은 가입자 단말(100)로 다시 전송한다.
이때, 방화벽 엔진 모듈(251)은 네트워크 상에 위치하는 운용자 서버(400)로부터 수신된 정보를 토대로 보안 정책을 업데이트한다.
여기서, 운용자 서버(400)는 보안 감시 노드(200)를 관리하는 플랫폼 서버로서, 사용자 관리, 사용자별 정책 관리, VoC 대응, 서비스 플랫폼 관리 및 프로비저닝을 수행한다.
유해사이트 차단 모듈(252)은 송신 패킷 및 상기 수신 패킷을 분석하여 목적지 주소를 추출하고, 목적지 주소에 해당하는 사이트의 접속 허용 여부를 판단하며, 접속이 허용되지 않는 사이트라면, 송신 패킷 및 수신 패킷은 폐기한다.
이때, 유해사이트 차단 모듈(252)은 목적지 주소에 해당하는 사이트의 등급을 조회하여 접속 허용 여부를 판단한다. 여기서, 사이트의 등급 정보는 접속이 허용되는 등급을 말한다. 예를들어, N(노출, 0~4 등급), S(성행위, 0~4등급), V(폭력,0~4등급), L(언어, 0~4등급), I(마약사용조장/무기사용조장/도박, 유/무), H(음주조장/흡연조장, 유/무) 등과 같이 다양하게 분류하여 규칙에 따라 등급을 부여하고 이를 URL 별로 정리한 데이터베이스를 더 포함할 수 있다. 그리고 가입자 단말(100)이 접속하고자 하는 목적지 사이트의 등급을 파악하고, 그 등급에 따라 목적지 사이트에 접속이 불가하다고 판정하고 그 반대이면 목적지 사이트에 접속이 허용된다고 판단할 수 있다.
또한, 유해사이트 차단 모듈(252)은 운용자 서버(400)의 요청에 따라 접속이 허용되는 사이트 정보를 업데이트할 수 있다.
이때, 업데이트되는 정보는 사용자 별로 다르게 설정될 수 있다.
방화벽 엔진 모듈(251), 유해사이트 차단 모듈(252)은 유해 패킷으로 판단되면, 유해 패킷이므로 폐기됨을 알리는 메세지를 가입자 단말(100)로 전송할 수 있다.
VPN 모듈(253)은 가입자 단말(100)의 요청에 따라 가입자 단말(100)과 보안 채널 즉 VPN 터널을 생성하고, VPN 서버로서 동작한다.
VPN 모듈(253)은 보안 채널을 통해 인캡슐화된 송신 패킷 및 수신 패킷을 수신하여 디캡슐화한다. 또한, 무해하다고 판단된 수신 패킷을 인캡슐화한다.
이때, VPN 모듈(253)은 VPN 터널을 통해 가입자 단말(100)과 기 설정되어있는 암호키를 인캡슐화된 패킷을 디캡슐화하거나 또는 인캡슐화한다.
또한, VPN 모듈(253)은 NAT 모듈(254)이 변환한 송신 패킷 및 수신 패킷을 각각 인캡슐화한다.
NAT 모듈(254)은 무해하다고 판단된 송신 패킷 및 수신 패킷의 발신지 주소를 보안 감시 노드(200)의 주소로 변경한다.
NAT 모듈(254)은 가입자 단말(100)로부터 송신 패킷이 수신되면, 송신 패킷의 사설 주소 형식의 발신지 주소를 범용주소 형식의 보안 감시 노드(200)의 주소로 변환한다. 여기서 송신 패킷의 발신지 주소는 가입자 단말(100)의 주소이다. 그리고 이러한 주소 변환 정보를 주소 매핑 테이블(256)에 저장한다.
라우터 모듈(255)은 외부로부터 수신한 패킷의 발신지 주소와 매핑된 가입자 단말의 주소를 주소 매핑 테이블(256)로부터 확인한다. 그리고 방화벽 엔진 모듈(251), 유해사이트 차단 모듈(252)로부터 무해하다고 판단된 패킷을 가입자 단말(100)의 주소를 이용하여 해당되는 가입자 단말(100)로 라우팅한다.
주소 매핑 테이블(256)은 NAT 모듈(254)이 변환하기 전의 발신지 주소와 변환후의 발신지 주소가 매핑되어 저장된다.
그러면, 지금까지 설명한 구성을 토대로 보안 감시 방법에 대해 설명한다. 이때, 도 1 내지 도 3의 구성과 동일한 구성 요소에 대한 설명은 동일한 도면 부호를 사용한다.
도 4는 본 발명의 한 실시예에 따른 보안 감시 방법의 흐름도이다.
도 4를 참조하면, 가입자 단말(100)은 보안 감시 노드(200)와 보안 채널을 형성한다(S101).
가입자 단말(100)은 패킷이 수신(S103)되면, 수신 패킷의 발신 주소를 확인한다(S105).
가입자 단말(100)은 S105 단계에서 확인한 발신 주소가 보안 감시 노드(200)의 주소인지를 확인한다(S107).
이때, 보안 감시 노드(200)의 주소라면, 수신 패킷의 수신 처리를 한다(S109).
반면, 보안 감시 노드(200)의 주소가 아니라면, 수신 패킷을 VPN 암호화키로 인캡슐화하여(S111) 보안 채널을 통해 보안 감시 노드(200)로 전송한다(S113).
그러면, 보안 감시 노드(200)는 수신 패킷을 디캡슐화(S115)한 후, 보안 검사를 수행한다(S117). 즉 보안 정책 위반 여부, 유해 사이트 접속 여부를 판단할 수 있다.
보안 감시 노드(200)는 수신 패킷이 유해한지 판단(S119)하여 유해하다고 판단되면, 폐기 처리한다(S121). 그리고 유해 패킷 알림을 가입자 단말(100)로 전송한다(S123).
반면, 수신 패킷이 무해하다고 판단되면, 패킷 발신지 주소를 보안 감시 노드(200)의 주소로 변경(S125)하고, 변경 정보를 주소 매핑 테이블(256)에 저장한다(S127). 그다음, 보안 감시 노드(200)는 S125에서 주소가 변경된 수신 패킷을 인캡슐화(S129)하여 VPN 채널을 통해 가입자 단말(100)로 전송한다(S131).
도 5는 본 발명의 다른 실시예에 따른 보안 감시 방법의 흐름도이다.
도 5를 참조하면, 가입자 단말(100)은 보안 감시 노드(200)와 보안 채널을 형성한다(S201).
다음, 가입자 단말(100)은 전송 패킷을 생성(S203)하면, VPN 암호화키로 인캡슐화(S205)하여 보안 감시 노드(200)로 전달하여 패킷 전송을 요청한다(S207).
그러면, 보안 감시 노드(200)는 S207 단계에서 수신된 전송 패킷을 디캡슐화(S209)한 후, 보안 검사를 수행한다(S211). 즉, 보안 정책 위반 여부, 유해 사이트 접속 여부를 판단할 수 있다.
다음, 보안 감시 노드(200)는 수신 패킷이 유해한지 판단(S213)하여 유해하다고 판단되면, 폐기 처리한다(S215). 그리고 유해 패킷 알림을 가입자 단말(100)로 전송한다(S217).
반면, 전송 패킷이 무해하다고 판단되면, 패킷 발신지 주소를 보안 감시 노드(200)의 주소로 변경(S219)하고, 변경 정보를 주소 매핑 테이블(256)에 저장한다(S221). 그다음, 보안 감시 노드(200)는 S219에서 주소가 변경된 전송 패킷을 네트워크(300)로 전송한다(S223).
도 6은 본 발명의 또 다른 실시예에 따른 보안 감시 방법의 흐름도로서, 보안 감시 노드(200)의 라우팅 동작을 나타낸 순서도이다.
도 6을 참조하면, 보안 감시 노드(200)의 라우터 모듈(255)은 수신(S301)된 패킷의 발신지 주소를 확인(S303)하여 주소 매핑 테이블(256)을 검색한다(S305).
이때, 발신지 주소가 주소 매핑 테이블(256)에 존재하는지 판단(S307)하여 존재하면, 보안 검사를 수행한다(S309). 그리고 유해한지를 판단(S311)하여 무해하다고 판단되면, 수신 패킷을 인캡슐화(S313)하여 가입자 단말(100)로 전송한다(S315).
반면, 유해하다고 판단되면, 폐기 처리한다(S317).
한편, 도 7은 본 발명의 다른 실시예에 따른 보안 감시 노드의 개략적인 도면으로, 도 3을 참고하여 설명한 방화벽 엔진 모듈(251), 유해사이트 차단 모듈(252), VPN 모듈(253), 네트워크 주소 변환(Network Address Translaton, 이하, 'NAT'라 통칭함) 모듈(254), 라우터 모듈(255) 및 주소 매핑 테이블(256)의 기능 중 적어도 일부를 수행하는 데 사용할 수 있는 시스템을 나타낸다.
도 7을 참고하면, 보안 감시 노드(500)는 프로세서(501), 메모리(503), 적어도 하나의 저장장치(505), 입출력(input/output, I/O) 인터페이스(507) 및 네트워크 인터페이스(509)를 포함한다.
프로세서(501)는 중앙처리 유닛(CPU)이나 기타 칩셋, 마이크로프로세서 등으로 구현될 수 있으며, 메모리(503)는 동적 랜덤 액세스 메모리(Dynamic Random Access Memory, DRAM), 램버스 DRAM(RAM Bus DRAM, RDRAM), 동기식 DRAM(Synchronous DRAM, SDRAM), 정적 RAM(Static RAM, SRAM) 등의 RAM과 같은 매체로 구현될 수 있다.
저장 장치(505)는 하드디스크(hard disk), CD-ROM(compact disk read only memory), CD-RW(CD rewritable), DVD-ROM(digital video disk ROM), DVD-RAM, DVD-RW 디스크, 블루레이(blue-ray) 디스크 등의 광학디스크, 플래시메모리, 다양한 형태의 RAM과 같은 영구 또는 휘발성 저장장치로 구현될 수 있다.
또한, I/O 인터페이스(507)는 프로세서(501) 및/또는 메모리(503)가 저장 장치(505)에 접근할 수 있도록 하며, 네트워크 인터페이스(509)는 프로세서(501) 및/또는 메모리(503)가 네트워크(300)에 접근할 수 있도록 한다.
이 경우, 프로세서(501)는 방화벽 엔진 모듈(251), 유해사이트 차단 모듈(252), VPN 모듈(253), 네트워크 주소 변환(Network Address Translaton, 이하, 'NAT'라 통칭함) 모듈(254), 라우터 모듈(255)의 기능의 적어도 일부 기능을 구현하기 위한 프로그램 명령을 메모리(503)에 로드하고, 주소 매핑 테이블(256)의 기능을 저장 장치(505)에 위치시켜서, 도 1을 참고로 하여 설명한 동작이 수행되도록 제어할 수 있다.
또한, 메모리(503) 또는 저장장치(505)는 프로세서(501)와 연동하여 방화벽 엔진 모듈(251), 유해사이트 차단 모듈(252), VPN 모듈(253), 네트워크 주소 변환(Network Address Translaton, 이하, 'NAT'라 통칭함) 모듈(254), 라우터 모듈(255)의 기능이 수행되도록 할 수 있다.
도 7에 도시한 프로세서(501), 메모리(503), 저장장치(505), I/O 인터페이스(507) 및 네트워크 인터페이스(509)는 하나의 컴퓨터에 구현될 수도 있으며 또는 복수의 컴퓨터에 분산되어 구현될 수도 있다.
이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.

Claims (14)

  1. 네트워크상에 위치하여 경로 우회를 통한 네트워크 트래픽 감시 서비스에 가입된 가입자 단말의 인터넷 패킷에 대한 집중화된 보안 감시를 대행하는 보안 감시 노드와 보안 채널을 통해 연결되고, 상기 네트워크로부터 수신되는 수신 패킷의 발신 주소를 확인하여 상기 발신 주소가 기 정의된 주소가 아니라면, 상기 수신 패킷의 수신을 차단한 후, 상기 수신 패킷을 상기 보안 채널을 통해 상기 보안 감시 노드로 우회시키고, 상기 보안 감시 노드로부터 상기 수신 패킷이 무해하다고 판단되고 발신지 주소가 상기 보안 감시 노드로 변경된 상기 수신 패킷을 수신하여 수신 처리하며, 생성한 송신 패킷은 상기 보안 감시 노드로 우회시켜 무해하다고 판단되면 상기 보안 감시 노드의 주소로 패킷 발신지 주소를 설정하여 목적지 주소로 전송되도록 하는 보안 감시부,
    상기 보안 감시부의 요청에 따라 상기 보안 감시 노드와 상기 보안 채널을 형성하는 가상 사설망 처리부, 그리고
    상기 보안 감시 노드와 상기 송신 패킷 및 상기 수신 패킷을 송수신하는 통신부
    를 포함하는 가입자 단말.
  2. 삭제
  3. 제1항에 있어서,
    상기 보안 감시부는,
    발신 주소가 공인 IP 대역에 포함되는 모든 수신 패킷은 차단한 후, 상기 보안 감시 노드로 우회시키는 가입자 단말.
  4. 제1항에 있어서,
    상기 보안 감시부는,
    발신 주소가 상기 보안 감시 노드의 주소가 아닌 모든 수신 패킷은 차단한 후, 상기 보안 감시 노드로 우회시키는 가입자 단말.
  5. 제1항에 있어서,
    상기 보안 감시부는,
    외부로부터 다운로드되어 설치된 상기 보안 감시 노드와 연동하여 동작하는 클라이언트 에이전트 프로그램을 저장하는 메모리를 더 포함하고,
    상기 보안 감시부는,
    상기 클라이언트 에이전트 프로그램을 실행시켜 상기 보안 감시 노드와 상기 보안 채널을 통해 연결되는 가입자 단말.
  6. 삭제
  7. 제5항에 있어서,
    상기 가상 사설망 처리부는,
    상기 보안 감시부의 요청에 따른 수신 패킷 및 송신 패킷을 인캡술화하여 상기 보안 감시 노드로 전송하고, 상기 보안 감시 노드로부터 수신되는 인캡슐화된 수신 패킷을 디캡슐화한 후 상기 보안 감시부로 전달하는 가입자 단말.
  8. 제7항에 있어서,
    상기 보안 감시부는,
    수신 패킷 및 송신 패킷이 유해 패킷으로 판단되면, 상기 보안 감시 노드로부터 유해 패킷 알림을 수신하는 가입자 단말.
  9. 네트워크 상에 위치하여 경로 우회를 통한 네트워크 트래픽 감시 서비스에 가입된 가입자 단말의 인터넷 패킷에 대한 집중화된 보안 감시를 대행하는 보안 감시 노드로서,
    복수의 상기 가입자 단말과 접속되고, 상기 가입자 단말이 우회시킨 상기 가입자 단말이 생성한 송신 패킷 및 상기 가입자 단말이 네트워크로부터 수신한 수신 패킷을 상기 가입자 단말로부터 수신하는 수신부,
    상기 가입자 단말의 요청에 따라 상기 가입자 단말과 보안 채널을 생성하고, 상기 송신 패킷 및 상기 수신 패킷이 유해 패킷인지를 판단하는 보안 감시 기능을 수행하며, 무해하다고 판단된 송신 패킷 및 수신 패킷의 발신지 주소를 상기 보안 감시 노드의 주소로 변경하는 보안 감시 제어부, 그리고
    상기 복수의 가입자 단말과 접속되고, 상기 보안 감시 제어부에 의해 무해하다고 판단된 송신 패킷을 상기 네트워크 상에 송신하고, 상기 보안 감시 제어부에 의해 무해하다고 판단된 수신 패킷을 다시 상기 가입자 단말로 전달하는 전송부
    를 포함하는 보안 감시 노드.
  10. 제9항에 있어서,
    상기 보안 감시 제어부는,
    상기 보안 채널을 인캡슐화된 송신 패킷 및 수신 패킷을 수신하여 디캡슐화하며, 상기 무해하다고 판단된 수신 패킷을 인캡슐화하는 가상 사설망 모듈
    을 포함하는 보안 감시 노드.
  11. 제10항에 있어서,
    상기 보안 감시 제어부는,
    무해하다고 판단된 송신 패킷 및 수신 패킷의 발신지 주소를 상기 보안 감시 노드의 주소로 변경하는 네트워크 주소 변환 모듈, 그리고
    상기 네트워크 주소 변환 모듈이 변환하기 전의 발신지 주소와 변환후의 발신지 주소가 매핑되어 저장된 주소 매핑 테이블을 더 포함하고,
    상기 가상 사설망 모듈은,
    상기 네트워크 주소 변환 모듈이 변환한 송신 패킷 및 수신 패킷을 각각 인캡슐화하는 보안 감시 노드.
  12. 제11항에 있어서,
    외부로부터 수신한 패킷의 발신지 주소와 매핑된 가입자 단말의 주소를 상기 주소 매핑 테이블로부터 확인하고, 확인된 가입자 단말의 주소를 이용하여 상기 보안 감시 제어부에 의해 무해하다고 판단된 상기 외부로부터 수신한 패킷을 상기 가입자 단말로 전달하는 라우터 모듈
    을 더 포함하는 보안 감시 노드.
  13. 제10항에 있어서,
    상기 보안 감시 제어부는,
    상기 송신 패킷 및 상기 수신 패킷을 분석하여 기 설정된 보안 정책에 적합한지 또는 위배되는지 판정하고, 위배된다고 판단된 유해 패킷은 폐기하는 방화벽 엔진 모듈, 그리고
    상기 송신 패킷 및 상기 수신 패킷을 분석하여 목적지 주소를 추출하고, 목적지 주소에 해당하는 사이트의 접속 허용 여부를 판단하며, 접속이 허용되지 않는 사이트라면, 상기 송신 패킷 및 상기 수신 패킷은 폐기하는 유해 사이트 차단 모듈
    중 하나 이상을 더 포함하는 보안 감시 노드.
  14. 제13항에 있어서,
    상기 방화벽 엔진 모듈은,
    네트워크 상에 위치하는 운용자 서버로부터 수신된 정보를 토대로 상기 보안 정책을 업데이트하고,
    상기 유해 사이트 차단 모듈은,
    상기 운용자 서버의 요청에 따라 접속이 허용되는 사이트 정보를 업데이트 하는 보안 감시 노드.
KR20130124803A 2013-10-18 2013-10-18 네트워크 트래픽을 감시하는 가입자 단말 및 보안 감시 노드 KR101502490B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR20130124803A KR101502490B1 (ko) 2013-10-18 2013-10-18 네트워크 트래픽을 감시하는 가입자 단말 및 보안 감시 노드
US14/518,011 US9674142B2 (en) 2013-10-18 2014-10-20 Monitoring network traffic

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20130124803A KR101502490B1 (ko) 2013-10-18 2013-10-18 네트워크 트래픽을 감시하는 가입자 단말 및 보안 감시 노드

Publications (1)

Publication Number Publication Date
KR101502490B1 true KR101502490B1 (ko) 2015-03-13

Family

ID=52827415

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20130124803A KR101502490B1 (ko) 2013-10-18 2013-10-18 네트워크 트래픽을 감시하는 가입자 단말 및 보안 감시 노드

Country Status (2)

Country Link
US (1) US9674142B2 (ko)
KR (1) KR101502490B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022215941A1 (ko) * 2021-04-08 2022-10-13 삼성전자주식회사 전자 장치의 네트워크 보안 정책 처리 방법
KR20230097350A (ko) 2021-12-24 2023-07-03 엑사비스 주식회사 네트워크 트래픽 분석을 통한 보안 시스템 및 그 방법

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9882924B2 (en) * 2015-03-12 2018-01-30 Forcepoint Llc Systems and methods for malware analysis of network traffic
US10721161B2 (en) * 2015-08-28 2020-07-21 Vmware, Inc. Data center WAN aggregation to optimize hybrid cloud connectivity
US11005963B2 (en) * 2015-08-28 2021-05-11 Vmware, Inc. Pre-fetch cache population for WAN optimization
US10721098B2 (en) * 2015-08-28 2020-07-21 Vmware, Inc. Optimizing connectivity between data centers in a hybrid cloud computing system
US10547540B2 (en) 2015-08-29 2020-01-28 Vmware, Inc. Routing optimization for inter-cloud connectivity
US10361999B2 (en) * 2015-12-01 2019-07-23 Sonicwall Inc. Category-based data loss prevention for network-connected devices
US10594732B2 (en) * 2016-11-08 2020-03-17 Ca, Inc. Selective traffic blockage
US10594725B2 (en) * 2017-07-27 2020-03-17 Cypress Semiconductor Corporation Generating and analyzing network profile data
US11050785B2 (en) * 2018-08-25 2021-06-29 Mcafee, Llc Cooperative mitigation of distributed denial of service attacks originating in local networks
CN110798402B (zh) * 2019-10-30 2023-04-07 腾讯科技(深圳)有限公司 业务消息处理方法、装置、设备及存储介质
US11882448B2 (en) * 2021-06-07 2024-01-23 Sr Technologies, Inc. System and method for packet detail detection and precision blocking

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060035680A (ko) * 2006-03-30 2006-04-26 지니네트웍스(주) 가상의 인라인 네트워크 보안방법
KR20110026926A (ko) * 2009-09-09 2011-03-16 (주)제이투씨엔에스 분산서비스거부 공격의 차단 방법

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020023160A1 (en) * 2000-03-20 2002-02-21 Garrett John W. Service selection in a shared access network providing access control
US8438241B2 (en) * 2001-08-14 2013-05-07 Cisco Technology, Inc. Detecting and protecting against worm traffic on a network
US7574737B1 (en) * 2002-05-31 2009-08-11 Novatel Wireless, Inc. Systems and methods for secure communication over a wireless network
US20050193429A1 (en) * 2004-01-23 2005-09-01 The Barrier Group Integrated data traffic monitoring system
US20070079366A1 (en) * 2005-10-03 2007-04-05 Microsoft Corporation Stateless bi-directional proxy
US7761915B2 (en) * 2005-12-28 2010-07-20 Zyxel Communications Corp. Terminal and related computer-implemented method for detecting malicious data for computer network
US7890612B2 (en) * 2006-05-08 2011-02-15 Electro Guard Corp. Method and apparatus for regulating data flow between a communications device and a network
CA2706721C (en) * 2006-11-27 2016-05-31 Smobile Systems, Inc. Wireless intrusion prevention system and method
US7903655B2 (en) * 2007-04-19 2011-03-08 Hewlett-Packard Development Company, L.P. Marked packet forwarding
JP4985246B2 (ja) * 2007-09-04 2012-07-25 富士通株式会社 データ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラム
KR100995904B1 (ko) * 2007-12-18 2010-11-23 한국전자통신연구원 웹 서비스 방법 및 그 장치
JP5298203B2 (ja) * 2008-12-10 2013-09-25 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Nat経由のデータセッションのポリシー及び課金制御のための制御セッションのトークンベースの相関
US9043463B1 (en) * 2009-03-30 2015-05-26 Amazon Technologies, Inc. Providing extendible network capabilities for managed computer networks
US8856869B1 (en) * 2009-06-22 2014-10-07 NexWavSec Software Inc. Enforcement of same origin policy for sensitive data
KR101006372B1 (ko) 2010-02-11 2011-01-05 어울림엘시스 주식회사 유해 트래픽 격리 시스템 및 방법
CN102377629B (zh) * 2010-08-20 2014-08-20 华为技术有限公司 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统
US20130007882A1 (en) * 2011-06-28 2013-01-03 The Go Daddy Group, Inc. Methods of detecting and removing bidirectional network traffic malware
US9288159B2 (en) * 2012-08-03 2016-03-15 Marvell World Trade Ltd. Systems and methods for deep packet inspection with a virtual machine
US9578062B2 (en) * 2014-04-03 2017-02-21 Palo Alto Research Center Incorporated Portable proxy for security management and privacy protection and method of use

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060035680A (ko) * 2006-03-30 2006-04-26 지니네트웍스(주) 가상의 인라인 네트워크 보안방법
KR20110026926A (ko) * 2009-09-09 2011-03-16 (주)제이투씨엔에스 분산서비스거부 공격의 차단 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022215941A1 (ko) * 2021-04-08 2022-10-13 삼성전자주식회사 전자 장치의 네트워크 보안 정책 처리 방법
KR20230097350A (ko) 2021-12-24 2023-07-03 엑사비스 주식회사 네트워크 트래픽 분석을 통한 보안 시스템 및 그 방법

Also Published As

Publication number Publication date
US20150113629A1 (en) 2015-04-23
US9674142B2 (en) 2017-06-06

Similar Documents

Publication Publication Date Title
KR101502490B1 (ko) 네트워크 트래픽을 감시하는 가입자 단말 및 보안 감시 노드
CN103907330B (zh) 在网络环境中用于重定向的防火墙发现的系统和方法
US9444835B2 (en) Method for tracking machines on a network using multivariable fingerprinting of passively available information
CN103875226B (zh) 用于网络环境中主机发起的防火墙发现的系统和方法
US8695059B2 (en) Method and system for providing network security services in a multi-tenancy format
US20210136037A1 (en) Endpoint security domain name server agent
US11658938B2 (en) Systems and methods for user defined network enabled content filtering
CN1968272B (zh) 通信网络中用于缓解拒绝服务攻击的方法和系统
US10135785B2 (en) Network security system to intercept inline domain name system requests
US20110154477A1 (en) Dynamic content-based routing
US20070288613A1 (en) Providing support for responding to location protocol queries within a network node
US9674144B1 (en) IP reflection
WO2015103338A1 (en) Cloud-based network security
US20170048815A1 (en) Location Awareness to Packet Flows using Network Service Headers
KR20160122992A (ko) 정책 기반으로 네트워크 간에 연결성을 제공하기 위한 네트워크 통합 관리 방법 및 장치
CN105490995A (zh) 一种在nvo3网络中nve转发报文的方法和设备
Tosun et al. RESIP host detection: identification of malicious residential IP proxy flows
KR101480443B1 (ko) 하이브리드 망 분리 시스템 및 그 방법
Schulz et al. Tetherway: a framework for tethering camouflage
Abbas et al. Security Assessment and Evaluation of VPNs: A Comprehensive Survey
CN102752266B (zh) 访问控制方法及其设备
Hofer et al. Vulnerability analysis of LTE location services
KR101118398B1 (ko) 트래픽 방어 방법 및 장치
US20170026406A1 (en) A Method for Providing a Connection Between a Communications Service Provider and an Internet Protocol, IP, Server, Providing a Service, as well as a Perimeter Network, Comprising the IP Server, and an IP Server Providing the Service
US20070147376A1 (en) Router-assisted DDoS protection by tunneling replicas

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant