KR101976794B1 - Network security method and apparatus thereof - Google Patents
Network security method and apparatus thereof Download PDFInfo
- Publication number
- KR101976794B1 KR101976794B1 KR1020170016091A KR20170016091A KR101976794B1 KR 101976794 B1 KR101976794 B1 KR 101976794B1 KR 1020170016091 A KR1020170016091 A KR 1020170016091A KR 20170016091 A KR20170016091 A KR 20170016091A KR 101976794 B1 KR101976794 B1 KR 101976794B1
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- address
- network
- internal network
- directionality
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 내부망 및 외부망 간에 송수신되는 패킷에 대한 보안 처리를 수행하는 네트워크 보안 장치의 네트워크 보안 방법에 있어서, 패킷이 수신되면, 상기 패킷의 IP 주소가 내부망 IP 주소에 대응되는지 여부를 기초로 상기 패킷의 방향성을 판단하는 단계, 상기 패킷의 IP 주소가 상기 내부망 IP 주소에 대응하지 않으면, 상기 패킷의 IP 주소가 내부망 네트워크 대역에 포함되는지 여부를 기초로 상기 패킷의 상기 방향성을 판단하는 단계 및 상기 판단된 방향성을 기초로 네트워크 보안을 수행하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 방법에 관한 것이다. A network security method for a network security device that performs security processing on packets transmitted and received between an internal network and an external network, the method comprising: upon receipt of a packet, determining whether an IP address of the packet corresponds to an internal network IP address Determining the directionality of the packet based on whether the IP address of the packet is included in the internal network bandwidth if the IP address of the packet does not correspond to the internal network IP address; And performing network security on the basis of the determined directionality.
Description
본 발명은 네트워크 보안 방법 및 그 장치에 관한 것으로, 보다 구체적으로 본 발명은 패킷 미러링이 단일 포트로 구성되는 네트워크 환경에서 네트워크 보안 장치가 패킷의 방향성을 구분할 수 있도록 하는 네트워크 보안 방법 및 그 장치에 관한 것이다. BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a network security method and apparatus, and more particularly, to a network security method and a device for enabling a network security apparatus to distinguish packet direction in a network environment in which packet mirroring is configured with a single port will be.
네트워크 보안 장비 중 침입 탐지 시스템(Intrusion Detection System; IDS)와 같이 직접적인 패킷 차단을 수행할 필요가 없는 장비의 경우에는, TAP 장비를 이용한 패킷 미러링을 통하여 패킷을 전달받을 수 있다. In the case of an apparatus that does not need to perform direct packet blocking such as Intrusion Detection System (IDS) among network security apparatuses, packets can be received through packet mirroring using TAP equipment.
TAP 장비는 단일 포트 또는 멀티 포트로 네트워크 보안 장비와 연결될 수 있는데, TAP 장비가 단일 포트로 네트워크 보안 장비에 연결되는 경우, 네트워크 보안 장비는 미러링된 패킷이 내부망으로부터 유입된 것인지 또는 외부망으로부터 유입된 것인지 방향성을 판단할 수 없게 된다. When a TAP device is connected to a network security device with a single port, the network security device can determine whether the mirrored packet is from the internal network or from the external network It can not be judged whether it has been made or direction.
본 발명은 상기한 문제를 해결하기 위한 것으로, 단일 포트를 통하여 미러링된 패킷을 수신하는 네트워크 보안 장치가 수신된 패킷의 방향성을 판단할 수 있도록 하는 네트워크 보안 방법 및 그 장치를 제공한다. SUMMARY OF THE INVENTION The present invention provides a network security method and apparatus for allowing a network security device that receives a mirrored packet through a single port to determine the directionality of a received packet.
상술한 과제를 해결하기 위한 본 발명에 따른 네트워크 보안 방법은, 내부망 및 외부망 간에 송수신되는 패킷에 대한 보안 처리를 수행하는 네트워크 보안 장치의 네트워크 보안 방법에 있어서, 패킷이 수신되면, 상기 패킷의 IP 주소가 내부망 IP 주소에 대응되는지 여부를 기초로 상기 패킷의 방향성을 판단하는 단계, 상기 패킷의 IP 주소가 상기 내부망 IP 주소에 대응하지 않으면, 상기 패킷의 IP 주소가 내부망 네트워크 대역에 포함되는지 여부를 기초로 상기 패킷의 상기 방향성을 판단하는 단계 및 상기 판단된 방향성을 기초로 네트워크 보안을 수행하는 단계를 포함하는 것을 특징으로 한다. According to another aspect of the present invention, there is provided a network security method for a network security apparatus that performs security processing on packets transmitted and received between an internal network and an external network, Determining the directionality of the packet based on whether the IP address corresponds to the internal network IP address or not if the IP address of the packet does not correspond to the internal network IP address, Determining the directionality of the packet based on whether the packet is included or not, and performing network security based on the determined directionality.
또한, 상기 내부망 IP 주소는, 상기 내부망에 연결된 적어도 하나의 사용자 단말에 할당된 IP 주소인 것을 특징으로 한다. The internal network IP address is an IP address assigned to at least one user terminal connected to the internal network.
또한, 상기 패킷의 IP 주소가 상기 내부망 IP 주소에 대응되는지 여부를 기초로 상기 패킷의 방향성을 판단하는 단계는, 상기 패킷의 출발지 IP 주소가 상기 내부망 IP 주소에 대응하면, 상기 패킷이 상기 내부망으로부터 유입된 것으로 상기 방향성을 판단하는 단계 및 상기 패킷의 목적지 IP 주소가 상기 내부망 IP 주소에 대응하면, 상기 패킷이 상기 외부망으로부터 유입된 것으로 상기 방향성을 판단하는 단계를 포함하는 것을 특징으로 한다. The step of determining the directionality of the packet on the basis of whether the IP address of the packet corresponds to the internal network IP address may include determining whether the packet corresponds to the internal network IP address, And determining the directionality of the packet as the incoming packet from the external network if the destination IP address of the packet corresponds to the internal network IP address. .
또한, 상기 내부망 네트워크 대역은, 상기 네트워크 보안 장치에 적용된 규약에 의하여 미리 정의되는 것으로, 상기 내부망에 연결되는 적어도 하나의 사용자 단말을 위하여 할당될 수 있는 IP 주소의 범위인 것을 특징으로 한다.In addition, the internal network bandwidth is defined in advance by a protocol applied to the network security apparatus, and is a range of IP addresses that can be allocated for at least one user terminal connected to the internal network.
또한, 상기 패킷의 IP 주소가 상기 내부망 네트워크 대역에 포함되는지 여부를 기초로 상기 패킷의 상기 방향성을 판단하는 단계는, 상기 패킷의 출발지 IP 주소가 상기 내부망 네트워크 대역에 대응하면, 상기 패킷이 상기 내부망으로부터 유입된 것으로 상기 방향성을 판단하는 단계 및 상기 패킷의 목적지 IP 주소가 상기 내부망 네트워크 대역에 대응하면, 상기 패킷이 상기 외부망으로부터 유입된 것으로 상기 방향성을 판단하는 단계를 포함하는 것을 특징으로 한다. The step of determining the directionality of the packet based on whether an IP address of the packet is included in the internal network band includes: if the source IP address of the packet corresponds to the internal network band, Determining the directionality of the packet from the external network if the destination IP address of the packet corresponds to the internal network bandwidth, and determining the directionality of the packet from the external network .
또한, 상기 패킷의 IP 주소가 상기 내부망 네트워크 대역에 포함되지 않으면, 상기 패킷의 방향성을 알 수 없음으로 판단하는 단계를 더 포함하는 것을 특징으로 한다. The method may further include determining that the direction of the packet is unknown if the IP address of the packet is not included in the internal network bandwidth.
또한, 상기 패킷은, 상기 내부망 및 상기 외부망 간을 연결하고, 상기 네트워크 보안 장치와 단일 포트로 연결되는 TAP 장비로부터 수신되는 미러링 패킷인 것을 특징으로 한다. The packet is a mirroring packet transmitted from the TAP equipment which connects the internal network and the external network and is connected to the network security apparatus through a single port.
또한, 상술한 과제를 해결하기 위한 본 발명에 따른 네트워크 보안 장치는, 내부망 및 외부망 간에 송수신되는 패킷을 수신하는 통신부 및 상기 패킷의 IP 주소가 내부망 IP 주소에 대응되는지 여부 및 상기 패킷의 IP 주소가 내부망 네트워크 대역에 포함되는지 여부 중 적어도 하나를 기초로 상기 패킷의 방향성을 판단하고, 상기 판단된 방향성을 기초로 네트워크 보안을 수행하는 제어부를 포함하는 것을 특징으로 한다.According to another aspect of the present invention, there is provided a network security apparatus including a communication unit for receiving packets transmitted and received between an internal network and an external network, and a communication unit for determining whether an IP address of the packet corresponds to an internal network IP address, And a controller for determining a direction of the packet based on at least one of whether an IP address is included in an internal network band and performing network security based on the determined direction.
또한, 상기 내부망 IP 주소는, 상기 내부망에 연결된 적어도 하나의 사용자 단말에 할당된 IP 주소이고, 상기 내부망 네트워크 대역은, 상기 네트워크 보안 장치에 적용된 규약에 의하여 미리 정의되는 것으로, 상기 내부망에 연결되는 적어도 하나의 사용자 단말을 위하여 할당될 수 있는 IP 주소의 범위인 것을 특징으로 한다.The internal network IP address is an IP address allocated to at least one user terminal connected to the internal network. The internal network bandwidth is defined in advance according to a protocol applied to the network security apparatus, And the IP address is a range of IP addresses that can be allocated for at least one user terminal connected to the Internet.
또한, 상기 제어부는, 상기 패킷의 출발지 IP 주소가 상기 내부망 IP 주소에 대응하면, 상기 패킷이 상기 내부망으로부터 유입된 것으로 상기 방향성을 판단하고, 상기 패킷의 목적지 IP 주소가 상기 내부망 IP 주소에 대응하면, 상기 패킷이 상기 외부망으로부터 유입된 것으로 상기 방향성을 판단하는 것을 특징으로 한다. If the source IP address of the packet corresponds to the internal network IP address, the control unit determines that the packet is received from the internal network and determines that the destination IP address of the packet is the internal network IP address And determines the directionality of the packet as the packet is received from the external network.
또한, 상기 제어부는, 상기 패킷의 IP 주소가 상기 내부망 IP 주소에 대응하지 않으면, 상기 패킷의 IP 주소가 내부망 네트워크 대역에 포함되는지 여부를 기초로 상기 패킷의 상기 방향성을 판단하는 것을 특징으로 한다. The control unit may determine the directionality of the packet based on whether an IP address of the packet is included in an internal network band band if the IP address of the packet does not correspond to the internal network IP address do.
또한, 상기 제어부는, 상기 패킷의 출발지 IP 주소가 상기 내부망 네트워크 대역에 대응하면, 상기 패킷이 상기 내부망으로부터 유입된 것으로 상기 방향성을 판단하고, 상기 패킷의 목적지 IP 주소가 상기 내부망 네트워크 대역에 대응하면, 상기 패킷이 상기 외부망으로부터 유입된 것으로 상기 방향성을 판단하는 것을 특징으로 한다. If the source IP address of the packet corresponds to the internal network bandwidth, the control unit determines that the packet is received from the internal network. If the destination IP address of the packet is within the internal network bandwidth And determines the directionality of the packet as the packet is received from the external network.
또한, 상기 제어부는, 상기 패킷의 IP 주소가 상기 내부망 네트워크 대역에 포함되지 않으면, 상기 패킷의 방향성을 알 수 없음으로 판단하는 것을 특징으로 한다. In addition, the controller determines that the direction of the packet is unknown if the IP address of the packet is not included in the internal network bandwidth.
또한, 상기 통신부는, 상기 내부망 및 상기 외부망 간을 연결하는 TAP 장비와 단일 포트로 연결되고, 상기 단일 포트를 통하여 상기 TAP 장비로부터 미러링 패킷을 수신하는 것을 특징으로 한다. The communication unit is connected to the TAP equipment connecting between the internal network and the external network through a single port, and receives the mirroring packet from the TAP equipment through the single port.
또한, 상기 내부망 IP 주소를 포함하는 내부망 IP 주소 목록 및 상기 내부 네트워크 대역에 관한 정보를 저장하는 저장부를 더 포함하는 것을 특징으로 한다.The apparatus may further include a storage unit for storing the internal network IP address list including the internal network IP address and the internal network bandwidth information.
본 발명에 따른 네트워크 보안 방법 및 그 장치는, 외부망 및 내부망으로부터 전달되는 패킷이 미러링되고, 네트워크 보안 장치에서 혼합되어 수신되는 경우에도, 네트워크 보안 장치가 패킷의 방향성을 판단할 수 있도록 한다. The network security method and apparatus according to the present invention allow a network security device to determine the directionality of a packet even when packets transmitted from an external network and an internal network are mirrored and mixed in a network security device.
도 1은 네트워크 보안 장치가 인라인에서 직접 패킷을 수신하는 네트워크 구조를 나타낸 도면이다.
도 2는 네트워크 보안 장치가 멀티 포트를 통하여 미러링된 패킷을 수신하는 네트워크 구조를 나타낸 도면이다.
도 3은 네트워크 보안 장치가 단일 포트를 통하여 미러링된 패킷을 수신하는 네트워크 구조를 나타낸 도면이다.
도 4는 본 발명의 실시 예에 따른 네트워크 보안 방법을 나타낸 순서도이다.
도 5는 본 발명의 실시 예에 따른 네트워크 보안 장치의 구조를 나타낸 블록도이다. Figure 1 is a diagram illustrating a network architecture in which a network security device receives packets directly in-line.
2 is a diagram illustrating a network structure in which a network security apparatus receives a mirrored packet through a multiport.
3 is a diagram illustrating a network structure in which a network security apparatus receives a mirrored packet through a single port.
4 is a flowchart illustrating a network security method according to an embodiment of the present invention.
5 is a block diagram illustrating a structure of a network security apparatus according to an embodiment of the present invention.
본 명세서의 실시 예를 설명함에 있어 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 명세서의 요지를 흐릴 수 있다고 판단되는 경우, 그 상세한 설명은 생략될 수 있다. In the description of the embodiments of the present invention, if it is determined that a detailed description of known configurations or functions related to the present invention can not be applied to the present invention, detailed description thereof may be omitted.
본 명세서에서 사용되는 "포함한다," "포함할 수 있다." 등의 표현은 개시된 해당 기능, 동작, 구성요소 등의 존재를 가리키며, 추가적인 하나 이상의 기능, 동작, 구성요소 등을 제한하지 않는다. 또한, 본 명세서에서, "포함하다." 또는 "가지다." 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다. Quot ;, " include, " " include, " as used herein. And the like are intended to indicate the presence of disclosed features, operations, components, etc., and are not intended to limit the invention in any way. Also, in this specification, " include. &Quot; Or "have." , Etc. are intended to designate the presence of stated features, integers, steps, operations, components, parts, or combinations thereof, may be combined with one or more other features, steps, operations, components, It should be understood that they do not preclude the presence or addition of combinations thereof.
본 명세서에서 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.As used herein, the singular forms "a", "an" and "the" include plural referents unless the context clearly dictates otherwise.
이하, 첨부된 도면을 참조하여 본 발명을 설명한다. Hereinafter, the present invention will be described with reference to the accompanying drawings.
본 발명의 실시 예에 따른 네트워크 보안 장치는 기설정된 보안 정책에 따라 네트워크에서 패킷의 송수신을 제어하는 장치로, 패킷 송수신의 허용/차단을 직접 수행하지는 않으나, 패킷 분석, 통계 정보 수집 등을 통하여 패킷 송수신 제어를 관리하는 장치일 수 있다. 다양한 실시 예에서, 네트워크 보안 장치는 침입 방지 시스템(Intrusion Prevention System; IPS), 침입 탐지 시스템(Intrusion Detection System; IDS) 등으로 구성될 수 있다. The network security apparatus according to an embodiment of the present invention controls transmission and reception of packets in a network according to a predetermined security policy. It does not directly allow or block packet transmission / reception, And may be a device for managing transmission / reception control. In various embodiments, the network security device may comprise an Intrusion Prevention System (IPS), an Intrusion Detection System (IDS), and the like.
도 1은 네트워크 보안 장치가 인라인에서 직접 패킷을 수신하는 네트워크 구조를 나타낸 도면이다. Figure 1 is a diagram illustrating a network architecture in which a network security device receives packets directly in-line.
일반적으로, 네트워크는 논리상 내부망(1)과 외부망(2)으로 구분될 수 있다. 외부망(2)은 인터넷 구간을 포함할 수 있으며, 사용자 단말은 내부망(1)을 통하여 외부망(2)에 접속할 수 있다. Generally, a network may be logically divided into an internal network 1 and an
네트워크 보안 장치(10)는 사용자 단말과 인터넷 구간 간에 송수신되는 패킷의 보안 처리를 수행할 수 있다. 이를 위하여 네트워크 보안 장치(10)는 내부망(1)과 외부망(2) 사이에 구비될 수 있으며, 내부망(1)에 연결된 사용자 단말들의 IP 주소 목록(이하, 내부망 IP 주소 목록)을 미리 저장할 수 있다. The
도 1에서, 네트워크 보안 장치(10)는 내부망(1)과 외부망(2)을 연결하는 라인 상에 구비되어, 내부망(1)과 외부망(2) 사이를 오가는 패킷을 직접 수신한다. 네트워크 보안 장치(10)는 기설정된 보안 프로토콜에 따라 수신된 패킷에 관한 정보를 수집하거나, 패킷의 송수신 제어를 위한 동작을 수행할 수 있다. 1, a
도 2는 네트워크 보안 장치가 멀티 포트를 통하여 미러링된 패킷을 수신하는 네트워크 구조를 나타낸 도면이다. 2 is a diagram illustrating a network structure in which a network security apparatus receives a mirrored packet through a multiport.
도 2에서, 네트워크 보안 장치(20)는 내부망(1)과 외부망(2)을 연결하는 라인 상에 구비되는 TAP 장비(3)와 멀티 포트(4, 5)를 통해 연결된다. 2, the
TAP 장비(3)는 내부망(1) 또는 외부망(2)으로부터 수신된 패킷을 지정된 포트로 전송함과 동시에, 해당 패킷과 동일하게 복사된 패킷을 생성(미러링)하여 미러링 포트, 즉 네트워크 보안 장치(20)와 연결된 포트로 전달할 수 있다. The
도 2에서, TAP 장비(3)는 내부망(1)으로부터 유입된 패킷의 미러링 패킷은 제1 포트(4)를 통하여, 외부망(2)으로부터 유입된 패킷의 미러링 패킷은 제2 포트(5)를 통하여 네트워크 보안 장치(20)로 전달할 수 있다. 2, the
네트워크 보안 장치(20)는 패킷이 수신되는 포트를 기초로, 해당 패킷의 방향성을 판단할 수 있다. 즉, 네트워크 보안 장치(20)는 제1 포트(4)를 통하여 유입되는 패킷의 경우, 내부망(1)으로부터 외부망(2)으로 전송되는 패킷으로 판단하고, 제2 포트(5)를 통하여 유입되는 패킷의 경우, 외부망(2)으로부터 내부망(1)으로 전송되는 패킷으로 판단할 수 있다. The
도 3은 네트워크 보안 장치가 단일 포트를 통하여 미러링된 패킷을 수신하는 네트워크 구조를 나타낸 도면이다.3 is a diagram illustrating a network structure in which a network security apparatus receives a mirrored packet through a single port.
도 3에서, 네트워크 보안 장치(30)는 내부망(1)과 외부망(2)을 연결하는 라인 상에 구비되는 TAP 장비(3)와 단일 포트(6)를 통해 연결된다. 3, the
TAP 장비(3)는 내부망(1)으로부터 유입된 패킷의 미러링 패킷 및 외부망(2)으로부터 유입된 패킷의 미러링 패킷을 모두 단일 포트(6)를 통하여 네트워크 보안 장치(30)로 전달할 수 있다. The
도 3의 실시 예에서, 네트워크 보안 장치(30)는 단일 포트(6)를 통하여 모든 미러링 패킷을 수신하기 때문에, 도 2의 실시 예와 달리 패킷이 유입되는 포트를 이용하여 패킷의 방향성을 판단할 수 없다. In the embodiment of FIG. 3, since the
일반적으로 네트워크 통신에서 해커 등 공격자에 의한 공격성 트래픽(위험한 트래픽)은 외부망(2)으로부터 유입되는 경우가 많다. 또한, 네트워크 보안 장치(30)를 이용하여 사용자 단말의 특정 도메인 접속을 제한하고자 하는 경우, 내부망(1)으로부터 유입된 패킷을 제어해야 하는 경우가 많다. 결과적으로, 네트워크 보안에 있어서 패킷의 방향성에 대한 판단 여부는 중요한 요인으로 작용할 수 있다. Generally, in network communication, aggressive traffic (dangerous traffic) caused by an attacker such as a hacker is often input from the external network (2). In addition, when the
네트워크 보안 장치(30)가, 도 3의 실시 예와 같이, 단일 포트(6)를 통하여 미러링된 패킷을 수신하도록 구현되는 경우, TAP 장비(3)와 네트워크 보안 장치(30)를 연결하는 인터페이스가 하나만 요구되기 때문에, 장비 구조의 복잡도나 네트워크 망 구조의 복잡도가 낮아질 수 있다. 그러나 상술한 바와 같이 단일 포트(6)를 통하여 네트워크 보안 장치(30)로 미러링된 패킷이 전달되는 경우, 네트워크 보안 장치(30)가 패킷의 방향성을 판단할 수 없게 되므로, 네트워크 보안에 있어서 효율성이 낮아지게 된다. If the
이러한 문제점을 해결하기 위하여, 본 발명에서는 도 3과 같이 구성된 네트워크에서, 내부망(1)에 대한 네트워크 대역을 정의한 정보를 기초로, 패킷 미러링이 단일 포트로 구성되는 네트워크에서 네트워크 보안 장치가 패킷의 방향성을 판단할 수 있도록 한다. In order to solve such a problem, according to the present invention, in a network configured as shown in FIG. 3, in a network in which packet mirroring is configured by a single port based on information defining a network band for the internal network 1, So that the directionality can be judged.
도 4는 본 발명의 실시 예에 따른 네트워크 보안 방법을 나타낸 순서도이다.4 is a flowchart illustrating a network security method according to an embodiment of the present invention.
도 4를 참조하면, 본 발명에 따른 네트워크 보안 장치는, 패킷이 수신되는 경우(401), 먼저 해당 패킷의 출발지 IP 주소가 내부망 IP 주소인지 여부를 판단할 수 있다(402).Referring to FIG. 4, when a packet is received (401), the network security apparatus according to the present invention may determine whether a source IP address of the packet is an internal network IP address (402).
여기서, 네트워크 보안 장치로 수신되는 패킷은 TAP 장비로부터 유입되는 미러링 패킷일 수 있으나, 이로 한정하지는 않는다.Here, the packet received by the network security device may be a mirroring packet received from the TAP equipment, but is not limited thereto.
네트워크 보안 장치는 내부망 IP 주소들을 포함하는 내부망 IP 주소 목록을 미리 저장할 수 있다. 내부망 IP 주소 목록은, 내부망에 연결된 적어도 하나의 사용자 단말의 IP 주소를 포함하는 목록일 수 있다. The network security device may store in advance a list of internal network IP addresses including internal network IP addresses. The internal network IP address list may be a list including an IP address of at least one user terminal connected to the internal network.
다양한 실시 예에서, 내부망 IP 주소 목록은 네트워크 보안 장치의 사용자(예를 들어, 관리자)를 통하여 직접 입력되거나, 네트워크로부터 수신되어 미리 저장될 수 있다. In various embodiments, the list of internal network IP addresses may be entered directly via a user (e.g., a manager) of the network security device, or received from the network and stored in advance.
네트워크 보안 장치는 수신된 패킷의 헤더로부터 추출되는 출발지 IP 주소가 기저장된 내부망 IP 주소 목록에 포함되어 있는지 여부를 판단할 수 있다. The network security apparatus can determine whether the source IP address extracted from the header of the received packet is included in the pre-stored internal network IP address list.
출발지 IP 주소가 내부망 IP 주소인 경우, 네트워크 보안 장치는 해당 패킷이 내부망으로부터 유입된 것으로 판단할 수 있다(403).If the source IP address is an internal network IP address, the network security device may determine that the packet is received from the internal network (403).
한편, 출발지 IP 주소가 내부망 IP 주소가 아닌 경우, 네트워크 보안 장치는 해당 패킷의 목적지 IP 주소가 내부망 IP 주소인지 여부를 판단할 수 있다(404). If the source IP address is not the internal network IP address, the network security device may determine whether the destination IP address of the packet is an internal network IP address (404).
네트워크 보안 장치는 패킷의 헤더로부터 추출되는 목적지 IP 주소가 기저장된 내부망 IP 주소 목록에 포함되어 있는지 여부를 판단할 수 있다. The network security apparatus can determine whether the destination IP address extracted from the header of the packet is included in the pre-stored internal network IP address list.
패킷의 목적지 IP 주소가 내부망 IP 주소인 경우, 네트워크 보안 장치는 해당 패킷이 외부망으로부터 유입된 것으로 판단할 수 있다(405).If the destination IP address of the packet is an internal network IP address, the network security device can determine that the packet is received from the external network (405).
상기에서는 네트워크 보안 장치가 출발지 IP 주소가 내부 IP 주소인지를 먼저 판단한 후에, 목적지 IP 주소가 내부 IP 주소인지를 판단하는 것으로 예를 들어 설명하였으나, 본 발명의 기술 사상은 이에 한정되지는 않는다.In the above description, the network security apparatus first determines that the source IP address is the internal IP address, and then determines whether the destination IP address is the internal IP address. However, the present invention is not limited thereto.
즉, 다른 실시 예에서 네트워크 보안 장치는 목적지 IP 주소가 내부 IP 주소인지를 먼저 판단한 후에 출발지 IP 주소가 내부 IP 주소인지를 판단하거나, 출발지 IP 주소 또는 목적지 IP 주소 중 어느 하나가 내부 IP 주소에 대응하는지 여부를 판단할 수 있다. That is, in another embodiment, the network security device first determines whether the destination IP address is the internal IP address, and then determines whether the source IP address is the internal IP address or whether the source IP address or the destination IP address corresponds to the internal IP address Or not.
한편, 목적지 IP 주소가 내부망 IP 주소가 아닌 경우, 네트워크 보안 장치는 패킷의 출발지 IP 주소가 기정의된 내부망 네트워크 대역에 포함되는지 여부를 판단할 수 있다(406).If the destination IP address is not the internal network IP address, the network security device may determine whether the source IP address of the packet is included in the predetermined internal network bandwidth (406).
내부망 네트워크 대역은, 네트워크 보안 장치에 적용된 규약에 의하여 미리 정의될 수 있는 것으로, 내부망에 연결되는 사용자 단말들을 위하여 할당될 수 있는 IP 주소의 범위일 수 있다. The internal network bandwidth may be predefined by a protocol applied to a network security device and may be a range of IP addresses that can be allocated for user terminals connected to the internal network.
일 실시 예에서 내부망 네트워크 대역은 IETF에서 정의된 것일 수 있으며, 내부망 네트워크 대역은 10.0.0.0 내지 10.255.255.255, 172.16.0.0 내지 172.31.255.255, 또는 192.168.0.0 내지 192.168.255.255 등과 같이 정의될 수 있다. In one embodiment, the internal network bandwidth may be defined in the IETF, and the internal network bandwidth may be defined as 10.0.0.0 to 10.255.255.255, 172.16.0.0 to 172.31.255.255, or 192.168.0.0 to 192.168.255.255, etc. .
네트워크 보안 장치는 패킷의 헤더로부터 추출되는 출발지 IP 주소가 기정의된 내부망 네트워크 대역에 포함되는지 여부를 판단할 수 있다. The network security apparatus can determine whether the source IP address extracted from the header of the packet is included in the predetermined internal network network band.
패킷의 출발지 IP 주소가 기정의된 내부망 네트워크 대역에 포함되는 경우, 네트워크 보안 장치는 해당 패킷이 내부망으로부터 유입된 것으로 판단할 수 있다(403).If the source IP address of the packet is included in the predefined internal network bandwidth, the network security device may determine that the packet is received from the internal network (403).
한편, 패킷의 출발지 IP 주소가 기정의된 내부망 네트워크 대역에 포함되지 않는 경우, 네트워크 보안 장치는 패킷의 목적지 IP 주소가 기정의된 내부망 네트워크 대역에 포함되는지 여부를 판단할 수 있다(407). On the other hand, if the source IP address of the packet is not included in the predefined internal network band, the network security device may determine whether the destination IP address of the packet is included in the predefined internal network band (407) .
패킷의 목적지 IP 주소가 기정의된 내부망 네트워크 대역에 포함되는 경우, 네트워크 보안 장치는 해당 패킷이 외부망으로부터 유입된 것으로 판단할 수 있다(405). If the destination IP address of the packet is included in the predefined internal network band, the network security device may determine that the packet is received from the external network (405).
상기에서는 네트워크 보안 장치가 출발지 IP 주소가 내부망 네트워크 대역에 포함되는지를 먼저 판단한 후에, 목적지 IP 주소가 내부망 네트워크 대역에 포함되는지 여부를 판단하는 것으로 예를 들어 설명하였으나, 본 발명의 기술 사상은 이에 한정되지는 않는다.In the above description, the network security apparatus first determines whether the source IP address is included in the internal network band, and then determines whether the destination IP address is included in the internal network band. However, But is not limited thereto.
즉, 다른 실시 예에서 네트워크 보안 장치는 목적지 IP 주소가 내부망 네트워크 대역에 포함되는지를 먼저 판단한 후에, 출발지 IP 주소가 내부망 네트워크 대역에 포함되는지 여부를 판단하거나, 출발지 IP 주소 또는 목적지 IP 중 어느 하나가 내부망 네트워크 대역에 포함되는지 여부를 판단할 수 있다. That is, in another embodiment, the network security apparatus first determines whether the destination IP address is included in the internal network band, and then determines whether the source IP address is included in the internal network band, It is possible to determine whether one is included in the internal network network band.
한편, 출발지 IP 주소 및 목적지 IP 주소가 모두 내부망 IP 주소가 아니고 내부망 네트워크 대역에 포함되지 않는 경우, 네트워크 보안 장치는 해당 패킷의 방향성을 알 수 없음으로 판단하고(408), 관련된 정보를 저장 및 관리할 수 있다.If the source IP address and the destination IP address are both not the internal network IP address and are not included in the internal network band, the network security device determines that the direction of the packet is unknown (408) And manage.
추가로, 네트워크 보안 장치는 상술한 동작에 따라 판단된 패킷의 방향성을 기초로 기설정된 보안 프로토콜에 따른 네트워크 보안을 수행할 수 있다. 일 예로, 네트워크 보안 장치는 판단된 패킷의 방향성을 기초로 트래픽 분석, 통계 분석, 공격 패킷 여부 판단 등을 수행할 수 있고, 수행 결과를 화면에 출력하거나 관리자에게 보고하는 등 다양한 동작을 수행할 수 있다. In addition, the network security device may perform network security according to a predetermined security protocol based on the directionality of the packet determined according to the operation described above. For example, the network security device can perform traffic analysis, statistical analysis, determination of whether or not an attack packet is performed based on the direction of the determined packet, and can perform various operations such as outputting the result to the screen or reporting to the administrator have.
도 5는 본 발명의 실시 예에 따른 네트워크 보안 장치의 구조를 나타낸 블록도이다. 5 is a block diagram illustrating a structure of a network security apparatus according to an embodiment of the present invention.
도 5를 참조하면, 본 발명의 실시 예에 따른 네트워크 보안 장치(50)는 통신부(51), 제어부(52) 및 저장부(53)를 포함하여 구성될 수 있다. 5, a
통신부(51)는 외부와 통신을 수행할 수 있다.The
본 발명의 다양한 실시 예에서, 통신부(51)는 내부망 및 외부망을 연결하는 라인 상에 구비되는 TAP 장비와 단일 포트로 연결될 수 있고, 단일 포트를 통하여 TAP 장비로부터 내부망과 외부망 간 송수신되는 패킷의 미러링 패킷을 수신할 수 있다. In the various embodiments of the present invention, the
제어부(52)는 본 발명에 따른 네트워크 보안 방법을 수행하기 위하여 네트워크 보안 장치(50)의 각 구성 요소들을 제어할 수 있다. The
구체적으로, 제어부(52)는 TAP 장비를 통하여 미러링 패킷이 수신되면, 수신된 패킷의 출발지 IP 주소 및 목적지 IP 주소 중 어느 하나가 내부망 IP 주소인지 여부를 기초로 패킷의 방향성을 판단할 수 있다. 또한, 제어부(52)는 내부망 IP 주소인지 여부를 기초로 패킷의 방향성을 판단할 수 없을 때, 패킷의 출발지 IP 주소 및 목적지 IP 주소 중 어느 하나가 기정의된 내부망 네트워크 대역에 포함되는지 여부를 기초로 패킷의 방향성을 판단할 수 있다. Specifically, when the mirroring packet is received through the TAP equipment, the
제어부(52)의 구체적인 동작은 도 4를 참조하여 설명한 바와 동일하므로, 자세한 설명은 생략한다.Since the specific operation of the
저장부(53)는 네트워크 보안 장치(50)의 동작을 위한 프로그램, 데이터 등을 저장할 수 있다. 이를 위하여, 저장부(53)는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), 멀티미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(예를 들어 SD 또는 xD 메모리 등), 램(Random Access Memory, RAM), SRAM(Static Random Access Memory), 롬(Read-Only Memory, ROM), EEPROM(Electrically Erasable Programmable Read-Only Memory), PROM(Programmable Read-Only Memory), 자기 메모리, 자기 디스크, 광디스크 중 적어도 하나의 타입의 저장매체를 포함할 수 있다.The
본 발명의 다양한 실시 예에서, 저장부(53)는 네트워크 보안 장치(50)와 연결된 내부망의 IP 주소 목록 및 기정의된 내부망 네트워크 대역에 관한 정보 등을 저장할 수 있다. In various embodiments of the present invention, the
본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 그리고 본 명세서와 도면에 개시된 실시 예들은 본 발명의 내용을 쉽게 설명하고, 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 따라서 본 발명의 범위는 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상을 바탕으로 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다. It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. It is to be understood that both the foregoing general description and the following detailed description of the present invention are exemplary and explanatory and are intended to provide further explanation of the invention as claimed. Accordingly, the scope of the present invention should be construed as being included in the scope of the present invention, all changes or modifications derived from the technical idea of the present invention.
50: 네트워크 보안 장치
51: 통신부
52: 제어부
53: 저장부50: Network security device
51:
52:
53:
Claims (15)
멀티 포트를 이용하는 미러링 장비로부터 제1 패킷이 수신되면, 상기 제1 패킷이 전송된 포트 정보에 기초하여 상기 제1 패킷의 방향성을 판단하는 단계;
단일 포트를 이용하는 미러링 장비로부터 제2 패킷이 수신되면, 상기 제2 패킷의 IP 주소가 내부망 IP 주소에 대응되는지 여부를 기초로 상기 제2 패킷의 방향성을 1차 판단하는 단계;
상기 제2 패킷의 IP 주소가 상기 내부망 IP 주소에 대응하지 않으면, 상기 제2 패킷의 IP 주소가 내부망 네트워크 대역에 포함되는지 여부를 기초로 상기 제2 패킷의 상기 방향성을 2차 판단하는 단계; 및
상기 판단된 방향성을 기초로 네트워크 보안을 수행하는 단계를 포함하되,
상기 내부망 네트워크 대역은,
상기 네트워크 보안 장치에 적용된 규약에 의하여 미리 정의되는 것으로, 상기 네트워크 보안 장치가 상기 내부망에 연결되는 적어도 하나의 사용자 단말을 위하여 할당할 수 있도록 허용된 IP 주소의 범위인 것을 특징으로 하는 네트워크 보안 방법. A network security method of a network security apparatus for performing security processing on packets transmitted and received between an internal network and an external network,
Determining a directionality of the first packet based on the port information on which the first packet is transmitted when the first packet is received from the mirroring equipment using the multiport;
Determining a directionality of the second packet based on whether an IP address of the second packet corresponds to an internal network IP address when a second packet is received from a mirroring device using a single port;
Determining a direction of the second packet based on whether an IP address of the second packet is included in an internal network bandwidth band if the IP address of the second packet does not correspond to the internal network IP address ; And
And performing network security based on the determined directionality,
Wherein the internal network bandwidth comprises:
Wherein the network security device is defined in advance by a protocol applied to the network security device and is a range of IP addresses allowed to be allocated for at least one user terminal connected to the internal network .
상기 내부망에 연결된 적어도 하나의 사용자 단말에 할당된 IP 주소인 것을 특징으로 하는 네트워크 보안 방법. [2] The method of claim 1,
Wherein the IP address is an IP address assigned to at least one user terminal connected to the internal network.
상기 제2 패킷의 출발지 IP 주소가 상기 내부망 IP 주소에 대응하면, 상기 제2 패킷이 상기 내부망으로부터 유입된 것으로 상기 방향성을 판단하는 단계; 및
상기 제2 패킷의 목적지 IP 주소가 상기 내부망 IP 주소에 대응하면, 상기 제2 패킷이 상기 외부망으로부터 유입된 것으로 상기 방향성을 판단하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 방법. 2. The method of claim 1, wherein the first determining the directionality of the second packet comprises:
Determining the directionality that the second packet is received from the internal network if the source IP address of the second packet corresponds to the internal network IP address; And
And determining the directionality that the second packet is received from the external network if the destination IP address of the second packet corresponds to the internal network IP address.
상기 제2 패킷의 출발지 IP 주소가 상기 내부망 네트워크 대역에 대응하면, 상기 제2 패킷이 상기 내부망으로부터 유입된 것으로 상기 방향성을 판단하는 단계; 및
상기 제2 패킷의 목적지 IP 주소가 상기 내부망 네트워크 대역에 대응하면, 상기 제2 패킷이 상기 외부망으로부터 유입된 것으로 상기 방향성을 판단하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 방법. 2. The method of claim 1, wherein the first determining of the directionality of the second packet comprises:
Determining the directionality that the second packet is received from the internal network if the source IP address of the second packet corresponds to the internal network bandwidth; And
And determining the directionality that the second packet is received from the external network if the destination IP address of the second packet corresponds to the internal network bandwidth.
상기 제2 패킷의 IP 주소가 상기 내부망 네트워크 대역에 포함되지 않으면, 상기 제2 패킷의 방향성을 알 수 없음으로 판단하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 보안 방법. The method according to claim 1,
And determining that the directionality of the second packet is unknown if the IP address of the second packet is not included in the internal network bandwidth.
상기 내부망 및 상기 외부망 간을 연결하는 TAP 장비인 것을 특징으로 하는 네트워크 보안 방법. The apparatus of claim 1,
Wherein the TAP equipment is a TAP equipment for connecting the internal network and the external network.
멀티 포트를 이용하는 미러링 장비로부터 제1 패킷이 수신되면, 상기 제1 패킷이 전송된 포트 정보에 기초하여 상기 제1 패킷의 방향성을 판단하고, 단일 포트를 이용하는 미러링 장비로부터 제2 패킷이 수신되면, 상기 제2 패킷의 IP 주소가 내부망 IP 주소에 대응되는지 여부 및 상기 제2 패킷의 IP 주소가 내부망 네트워크 대역에 포함되는지 여부 중 적어도 하나를 기초로 상기 제2 패킷의 방향성을 판단하고, 상기 판단된 방향성을 기초로 네트워크 보안을 수행하는 제어부를 포함하되,
상기 내부망 IP 주소는,
상기 내부망에 연결된 적어도 하나의 사용자 단말에 할당된 IP 주소이고,
상기 내부망 네트워크 대역은,
네트워크 보안 장치에 적용된 규약에 의하여 미리 정의되는 것으로, 상기 내부망에 연결되는 적어도 하나의 사용자 단말을 위하여 할당할 수 있도록 허용된 IP 주소의 범위인 것을 특징으로 하는 네트워크 보안 장치. A communication unit for receiving a packet transmitted and received between an internal network and an external network; And
When the first packet is received from the mirroring equipment using the multi port, the directionality of the first packet is determined based on the port information on which the first packet is transmitted, and when the second packet is received from the mirroring equipment using the single port, Determining a directionality of the second packet based on at least one of whether an IP address of the second packet corresponds to an internal network IP address and whether an IP address of the second packet is included in an internal network band, And a controller for performing network security based on the determined directionality,
Wherein the internal network IP address includes:
An IP address allocated to at least one user terminal connected to the internal network,
Wherein the internal network bandwidth comprises:
Wherein the network security device is defined in advance by a protocol applied to a network security device and is a range of IP addresses allowed to be allocated for at least one user terminal connected to the internal network.
상기 제2 패킷의 출발지 IP 주소가 상기 내부망 IP 주소에 대응하면, 상기 제2 패킷이 상기 내부망으로부터 유입된 것으로 상기 방향성을 판단하고, 상기 제2 패킷의 목적지 IP 주소가 상기 내부망 IP 주소에 대응하면, 상기 제2 패킷이 상기 외부망으로부터 유입된 것으로 상기 방향성을 판단하는 것을 특징으로 하는 네트워크 보안 장치. 9. The apparatus according to claim 8,
If the source IP address of the second packet corresponds to the internal network IP address, determines that the second packet is received from the internal network and determines that the destination IP address of the second packet is the internal network IP address And determines the directionality that the second packet is received from the external network.
상기 제2 패킷의 IP 주소가 상기 내부망 IP 주소에 대응하지 않으면, 상기 제2 패킷의 IP 주소가 내부망 네트워크 대역에 포함되는지 여부를 기초로 상기 제2 패킷의 상기 방향성을 판단하는 것을 특징으로 하는 네트워크 보안 장치. 9. The apparatus according to claim 8,
And determines the directionality of the second packet based on whether the IP address of the second packet is included in the internal network band if the IP address of the second packet does not correspond to the internal network IP address Network security device.
상기 제2 패킷의 출발지 IP 주소가 상기 내부망 네트워크 대역에 대응하면, 상기 제2 패킷이 상기 내부망으로부터 유입된 것으로 상기 방향성을 판단하고, 상기 제2 패킷의 목적지 IP 주소가 상기 내부망 네트워크 대역에 대응하면, 상기 제2 패킷이 상기 외부망으로부터 유입된 것으로 상기 방향성을 판단하는 것을 특징으로 하는 네트워크 보안 장치. 9. The apparatus according to claim 8,
And determines the directionality that the second packet is received from the internal network if the source IP address of the second packet corresponds to the internal network band, and determines that the destination IP address of the second packet is the internal network band And determines the directionality that the second packet is received from the external network.
상기 제2 패킷의 IP 주소가 상기 내부망 네트워크 대역에 포함되지 않으면, 상기 제2 패킷의 방향성을 알 수 없음으로 판단하는 것을 특징으로 하는 네트워크 보안 장치. 9. The apparatus according to claim 8,
And determines that the direction of the second packet is unknown if the IP address of the second packet is not included in the internal network bandwidth.
상기 내부망 및 상기 외부망 간을 연결하는 TAP 장비와 연결되고, 상기 단일 포트 또는 상기 멀티 포트를 통하여 상기 TAP 장비로부터 미러링 패킷을 수신하는 것을 특징으로 하는 네트워크 보안 장치. The communication device according to claim 8,
Wherein the network security device is connected to a TAP equipment that connects the internal network and the external network and receives a mirroring packet from the TAP equipment through the single port or the multiport.
상기 내부망 IP 주소를 포함하는 내부망 IP 주소 목록 및 상기 내부망 네트워크 대역에 관한 정보를 저장하는 저장부를 더 포함하는 것을 특징으로 하는 네트워크 보안 장치.9. The method of claim 8,
Further comprising: a storage unit configured to store a list of internal network IP addresses including the internal network IP address and information on the internal network bandwidth.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170016091A KR101976794B1 (en) | 2017-02-06 | 2017-02-06 | Network security method and apparatus thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170016091A KR101976794B1 (en) | 2017-02-06 | 2017-02-06 | Network security method and apparatus thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20180091215A KR20180091215A (en) | 2018-08-16 |
KR101976794B1 true KR101976794B1 (en) | 2019-05-09 |
Family
ID=63443400
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020170016091A KR101976794B1 (en) | 2017-02-06 | 2017-02-06 | Network security method and apparatus thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101976794B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102006149B1 (en) * | 2018-09-10 | 2019-08-01 | 이준엽 | Apparatus and method for monitoring and controlling relay network in separated network environment |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120163196A1 (en) * | 2009-08-13 | 2012-06-28 | International Business Machines Corporation | Automatic Address Range Detection for IP Networks |
CN103368868A (en) * | 2012-04-05 | 2013-10-23 | 中国移动通信集团江苏有限公司 | Network flow bandwidth control method, device and system |
-
2017
- 2017-02-06 KR KR1020170016091A patent/KR101976794B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120163196A1 (en) * | 2009-08-13 | 2012-06-28 | International Business Machines Corporation | Automatic Address Range Detection for IP Networks |
CN103368868A (en) * | 2012-04-05 | 2013-10-23 | 中国移动通信集团江苏有限公司 | Network flow bandwidth control method, device and system |
Also Published As
Publication number | Publication date |
---|---|
KR20180091215A (en) | 2018-08-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7474655B2 (en) | Restricting communication service | |
CN105681353B (en) | Defend the method and device of port scan invasion | |
US7472411B2 (en) | Method for stateful firewall inspection of ICE messages | |
EP3449600B1 (en) | A data driven intent based networking approach using a light weight distributed sdn controller for delivering intelligent consumer experiences | |
US8073936B2 (en) | Providing support for responding to location protocol queries within a network node | |
US7830898B2 (en) | Method and apparatus for inter-layer binding inspection | |
US20140020067A1 (en) | Apparatus and method for controlling traffic based on captcha | |
CN104967609A (en) | Intranet development server access method, intranet development server access device and intranet development server access system | |
US20160173452A1 (en) | Multi-connection system and method for service using internet protocol | |
US10505976B2 (en) | Real-time policy filtering of denial of service (DoS) internet protocol (IP) attacks and malicious traffic | |
KR100723864B1 (en) | Method for blocking network attacks using the information in packet and apparatus thereof | |
US10375076B2 (en) | Network device location information validation for access control and information security | |
US9641485B1 (en) | System and method for out-of-band network firewall | |
US20200067883A1 (en) | Port Authentication Control For Access Control and Information Security | |
US7904950B2 (en) | Dynamic network security | |
US10462141B2 (en) | Network device information validation for access control and information security | |
KR101976794B1 (en) | Network security method and apparatus thereof | |
KR101522139B1 (en) | Method for blocking selectively in dns server and change the dns address using proxy | |
CN112565217B (en) | Protocol-based confusion communication method, client terminal, server and storage medium | |
KR101440154B1 (en) | Apparatus and method for user authentication of network security system | |
KR102056641B1 (en) | Sdn controller for resolving arp poisoning attack and method for managing the same | |
US20090158386A1 (en) | Method and apparatus for checking firewall policy | |
US20170331838A1 (en) | Methods and computing devices to regulate packets in a software defined network | |
KR101686990B1 (en) | Method for Controlling Connection to Service Server Port | |
KR101871146B1 (en) | Network switch apparatus for blocking an unauthorized terminal and Blocking method for the unauthorized terminal |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
AMND | Amendment | ||
X701 | Decision to grant (after re-examination) | ||
GRNT | Written decision to grant |