KR20050090848A - System and method for security management of next generation network - Google Patents

System and method for security management of next generation network Download PDF

Info

Publication number
KR20050090848A
KR20050090848A KR1020040016121A KR20040016121A KR20050090848A KR 20050090848 A KR20050090848 A KR 20050090848A KR 1020040016121 A KR1020040016121 A KR 1020040016121A KR 20040016121 A KR20040016121 A KR 20040016121A KR 20050090848 A KR20050090848 A KR 20050090848A
Authority
KR
South Korea
Prior art keywords
address
packet
source
sequence
list
Prior art date
Application number
KR1020040016121A
Other languages
Korean (ko)
Other versions
KR101022787B1 (en
Inventor
최창효
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020040016121A priority Critical patent/KR101022787B1/en
Publication of KR20050090848A publication Critical patent/KR20050090848A/en
Application granted granted Critical
Publication of KR101022787B1 publication Critical patent/KR101022787B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Abstract

본 발명은 차세대 네트워크 보안 시스템 및 그 방법에 관한 것이다. 차세대 네트워크 보안 시스템 및 그 방법은 SIP 폰, PC 단말 등을 사용하는 차세대망의 가입자로부터 정상적인 트래픽과 악의적인 공격자에 의해 출발지 IP 주소가 변조된 비정상적인 트래픽이 혼재되어 유입될 경우에, 중개 게이트웨이와 같은 가입자 네트워크 접속장치에서 비정상적인 트래픽을 탐지 및 차단하며, 공격자 IP 주소를 패킷 분석을 통해 역추적하여 공격자의 물리적인 위치를 검출할 수 있다. 이와 같이 하면, 출발지 IP 주소가 변조된 패킷을 차단하고, 다수의 경로로 유입되는 트래픽을 협응적으로 판별하여 패킷의 이상 유무에 대한 오탐지를 방지할 수 있어 서비스 지속성이 유지되고, 그에 따른 서비스 만족도 및 신뢰도를 증대시킬 수 있으며, 보안사고에 따른 네트워크 트래픽 폭주나 사고를 사전에 방지하여 네트워크의 여유 용량을 줄이고 보안에 필요한 비용을 절감할 수 있다.The present invention relates to a next generation network security system and method thereof. The next-generation network security system and its method are similar to the mediation gateway when a normal traffic and an abnormal traffic whose source IP address is modified by a malicious attacker are introduced from a subscriber of the next-generation network using a SIP phone, a PC terminal, or the like. Abnormal traffic can be detected and blocked at the subscriber network access device, and the attacker's IP address can be traced back through packet analysis to detect the attacker's physical location. In this way, it is possible to block packets with the modified source IP address and to cooperatively determine the traffic flowing into the multiple paths to prevent false detection of abnormal packets. Satisfaction and reliability can be increased, and network traffic congestion or accidents caused by security accidents can be prevented in advance, thereby reducing network capacity and reducing security costs.

Description

차세대 네트워크 보안 관리 시스템 및 그 방법{SYSTEM AND METHOD FOR SECURITY MANAGEMENT OF NEXT GENERATION NETWORK} Next-generation network security management system and its method {SYSTEM AND METHOD FOR SECURITY MANAGEMENT OF NEXT GENERATION NETWORK}

본 발명은 차세대 네트워크 보안 시스템 및 그 방법에 관한 것으로, 특히 가입자 네트워크 접속장치에서 정상적인 트래픽과 비정상적인 트래픽을 선별적으로 탐지, 차단, 역추적을 통해 보안 기능을 강화하기 위한 차세대 네트워크 보안 시스템 및 그 방법에 관한 것이다. The present invention relates to a next generation network security system and method thereof, and more particularly, to a next generation network security system and method for enhancing security by selectively detecting, blocking, and backtracking normal traffic and abnormal traffic in a subscriber network access device. It is about.

최근 인터넷의 보급 확산으로 전자상거래 등의 개인정보 요청 서비스가 많아짐에 따라 네트워크 보안이 주요한 문제로 대두되고 있다. Recently, as the spread of the Internet has increased the number of personal information request services such as e-commerce, network security has emerged as a major problem.

종래 기술의 실시예에 따른 네트워크 상에서의 침입 탐지 및 차단 시스템은 전자적 침해 행위를 탐지하고 차단할 수 있도록 가입자 네트워크와 공중망 네트워크의 접속점, 또는 가입자 네트워크 내부에 설치되어 입출력되는 트래픽의 이상을 검출하고 불법 침입을 차단하도록 한다.An intrusion detection and blocking system on a network according to an embodiment of the prior art detects an abnormality of traffic that is installed and input / output inside an access point of a subscriber network and a public network or inside a subscriber network so as to detect and block an electronic infringement activity To block.

그러나 대부분의 회사나 가입자에서는 비용이나 기타 사유로 인해 네트워크를 통한 불법 침입을 차단하기 위한 보안 전담반을 운영하고 있지 못하고 있어, 새로운 해킹에 대한 대응이 어려워 가입자가 직접 보안 운용을 할 수 없는 실정이다. However, most companies or subscribers do not operate a security task force to prevent illegal intrusion through the network due to cost or other reasons, so that it is difficult to respond to new hacking and the subscribers cannot directly operate the security.

전문 보안 장비 회사에서 대행하여 네트워크 상에서의 침입 탐지 및 차단을 운영하더라도 가입자마다 다른 전자적 침해 탐지 및 차단 장치를 사용하므로 투자비용이 높고, 다수의 장비 관리에 따르는 운영관리 인력, 원격 관리에 많은 비용이 소요되는 문제점이 있다. Although intrusion detection and blocking on the network is operated by a professional security equipment company, the investment cost is high because each subscriber uses a different electronic intrusion detection and blocking device. There is a problem.

따라서 통신 사업자가 가입자 측면에서 전자적 침해 탐지 및 차단 운영을 대행하여 보안 기능을 제공할 필요성이 대두되고 있고, 통신 사업자 특면에서도 서비스 거부(Denial of Service, DoS)형 공격에 대해 네트워크의 트래픽 폭주의 위험이 있으므로 자체적인 보안 기능이 요구되고 있다.Therefore, there is a growing need for service providers to provide security functions for the detection and blocking of electronic infringement on the subscriber side, and the risk of traffic congestion in the network against Denial of Service (DoS) -type attacks in terms of service providers. This requires its own security features.

그런데, 통신 사업자의 네트워크 내부에 별도의 침입 탐지 및 차단을 위한 보안 장비를 도입하기 위해서는 많은 비용이 소요되고, 라우터, NAS(Network Attached Storage), 이더넷 시스템의 패킷 필터링 기능 등의 사용이 장비 기능을 악화시키거나, 특정 포트를 모두 동일하게 차단할 수 있어 정상적인 사용자의 패킷도 차단할 수 있는 문제점이 있다. However, it is very expensive to introduce security equipment for separate intrusion detection and blocking inside the network of the service provider, and the use of routers, network attached storage (NAS), and packet filtering functions of the Ethernet system can be used for the equipment function. There is a problem that can worsen, or block all the same port the same can block the packets of normal users.

트래픽이 다원화 경로를 경유하여 전송될 경우에, 보안 장비는 다수의 오탐지 특성을 갖고 있으나 통신 사업자는 통신의 안정성 및 생존을 위해 대부분 이원화된 경로를 운영하고 있어 일반적인 보안 장비가 적합하지 않는 문제점이 있다.When traffic is transmitted through multiple paths, security devices have a number of false positives, but most operators operate dual paths for the stability and survival of communication. have.

악의적인 공격자가 네트워크 접속 인증시에 정상적인 인증 과정을 거쳐 출발지 주소를 변조하여 패킷을 전달할 수 있어 출발지 주소를 신뢰할 수 없지만, 일반적인 보안 장비로는 출발지의 물리적인 위치를 대부분 알 수 없어 공격자를 찾아내거나 공격 차단이 어려운 문제점이 있다. A malicious attacker can send a packet by modifying the source address through a normal authentication process when authenticating a network connection, so the source address cannot be trusted, but general security equipment cannot find the attacker because most of the physical location of the source cannot be found. Attack blocking is difficult.

그러므로 네트워크 상에서의 침입 탐지 및 차단 시스템은 가입자 액세스 단의 장비에서 IP 주소 변조된 패킷을 탐지하는 보안 기능을 갖는 것이 필요하고, 특히 차세대 네트워크의 액세스단의 접속장비인 액세스 게이트웨이(ACCESS GATEWAY) 또는 중재(MEDIATION) 게이트웨이에서 출발지 IP 주소가 변조된 공격성 트래픽을 차단하는 기능을 갖는 것이 절실히 요구되고 있다. Therefore, the intrusion detection and blocking system on the network needs to have a security function for detecting IP address-modulated packets in the equipment of the subscriber access stage, and in particular, the access gateway or arbitration, which is the access equipment of the access stage of the next-generation network. (MEDIATION) There is an urgent need for the gateway to have the ability to block aggressive traffic from which the source IP address has been tampered with.

본 발명이 이루고자 하는 기술적 과제는 정상적인 트래픽과 IP 주소가 변조된 공격성 트래픽이 혼재되어 유입되는 경우에 액세스단의 접속 장비에서 패킷 헤드 정보를 추출하여 출발지 IP 주소가 변조된 패킷을 선별적으로 탐지 차단하고, 공격성 트래픽의 출발지를 역추적할 수 있도록 하는 차세대 네트워크 보안 시스템 및 그 방법을 제공하는 것이다. The technical problem to be achieved by the present invention is to selectively detect and block the packet modulated from the source IP address by extracting the packet head information from the access equipment of the access stage when the normal traffic and the aggressive traffic modulated with the IP address is mixed In addition, the present invention provides a next-generation network security system and method for tracing the origin of aggressive traffic.

본 발명의 첫 번째 특징에 따른 차세대 네트워크 보안 시스템은, 사용자 단말기로부터 정상/비정상 패킷이 혼재되어 유입/유출되면, 맥(MAC) 인증을 수행하여 맥 주소, IP 주소, ID 시퀀스를 추출하는 맥 인증 서버; 상기 사용자 단말기가 접속되고 상기 맥 인증 서버로부터 전송된 IP 패킷을 전송받아 상기 IP 패킷의 헤드 정보를 추출하는 가입자 네트워크 접속 장치; 및 상기 맥 인증 서버와 가입자 네트워크 접속장치에서 해당 패킷 관련 정보를 전송받아 IP 패킷의 ID 시퀀스를 검사하여 IP 주소가 변조된 패킷을 검출하고, 상기 변조된 패킷의 차단/역추적을 수행하는 보안 관리 장치를 포함한다. In the next generation network security system according to the first aspect of the present invention, when normal / abnormal packets are mixed in and out / out of a user terminal, MAC authentication is performed by performing MAC (MAC) authentication to extract a MAC address, an IP address, and an ID sequence. server; A subscriber network access device connected to the user terminal and receiving the IP packet transmitted from the MAC authentication server to extract head information of the IP packet; And receiving the packet-related information from the MAC authentication server and the subscriber network access device, inspecting the ID sequence of the IP packet to detect a packet in which the IP address is modified, and performing block / backtracking of the modulated packet. Device.

상기 가입자 네트워크 접속장치는 사용자 단말과 네트워크를 경유하여 접속되면 유입되는 트래픽에서 패킷 헤드 정보를 추출하고, 출발지 IP 주소가 변조된 패킷의 차단 명령에 따라 상기 패킷을 차단하는 패킷 헤드 처리부를 포함한다. The subscriber network access apparatus includes a packet head processing unit for extracting packet head information from incoming traffic when the user terminal and the user terminal are connected through a network, and blocking the packet according to a blocking command of a packet whose source IP address is modulated.

상기 보안 관리 장치는, 상기 맥 인증 서버와 가입자 네트워크 접속 장치에서 맥 주소, 출발지 IP 주소, 식별 연속성(ID 시퀀스)에 대한 정보를 전송받아 이 정보들을 토대로 IP 패킷의 ID 시퀀스의 이상 여부를 검출하여 출발지 IP 주소가 변조된 IP 주소 리스트를 추출하는 IP 변조 탐지부; 및 상기 IP 변조 탐지부에서 추출한 IP 주소 리스트를 통해 해당 패킷을 차단하거나 상기 변조된 패킷을 역추적하여 공격자의 물리적 위치를 탐색하는 역추적 및 차단부를 포함한다. The security management device receives the MAC address, the source IP address, and the identification continuity (ID sequence) from the MAC authentication server and the subscriber network access device, and detects an abnormality of the ID sequence of the IP packet based on the information. An IP tamper detection unit for extracting a list of IP addresses of which the source IP address is modulated; And a back tracer and a blocker for blocking the packet through the IP address list extracted by the IP tampering detector or searching the attacker's physical location by backtracking the modulated packet.

본 발명의 두 번째 특징에 따른 맥 인증 서버 및 가입자 네트워크 접속장치와 체계적으로 연결되어 불법 침입을 탐색 및 차단하는 차세대 네트워크 보안 방법은, a) 사용자 단말이 네트워크 접속시, 맥 인증 서버를 통해 IP 주소와 맥 주소를 인증하고 초기 패킷의 ID를 확보하는 단계; b) 상기 사용자 단말이 가입자 네트워크 접속장치에 접속되면, 상기 가입자 네트워크 접속장치로부터 상기 사용자 단말에서 유입/유출되는 트래픽의 패킷 헤드 정보를 추출하는 단계; c) 상기 a) 단계와 b) 단계를 통해 확보한 상기 패킷의 IP 주소와 헤드 정보를 토대로 IP 헤드를 검사하여 IP 주소별 ID 시퀀스를 확인하는 단계; 및 d) 상기 c) 단계를 통해 출발지 IP 주소가 변조된 IP 주소 리스트를 검색하고 선택적으로 상기 변조된 패킷을 차단하거나 공격자의 물리적인 위치를 역추적하는 단계를 포함한다. Next-generation network security method for systematically connected with the MAC authentication server and subscriber network access device according to the second aspect of the present invention to detect and block illegal intrusion, a) when the user terminal is connected to the network, the IP address through the MAC authentication server Authenticating the MAC address and securing an ID of the initial packet; b) if the user terminal is connected to a subscriber network access device, extracting packet head information of traffic flowing in / out from the user terminal from the subscriber network access device; c) checking an IP head based on the IP address and head information of the packet obtained through steps a) and b) to identify an ID sequence for each IP address; And d) retrieving a list of IP addresses whose source IP addresses have been modulated through step c) and optionally blocking the tampered packets or tracing back the physical location of an attacker.

상기 c) 단계는, c-1) 상기 IP 주소별 ID가 1씩 증가하면 다음 패킷을 검사하고, 상기 IP 주소별 ID가 1씩 증가하지 않으면 프레그멘테이션 비트를 판별 여부에 따라 출발지 주소 변조 대상 IP 주소로 선정하는 단계; c-2) 상기 c-1) 단계에서 선정된 출발지 주소 변조 대상 IP 주소들에 대해 IP 주소 리스트를 작성하고, 상기 IP 주소 리스트를 탐색하여 ID 시퀀스의 일치 유무를 판별하는 단계; c-3) 상기 c-2) 단계에서 상기 IP 주소 리스트에서 ID 시퀀스가 일치하는 IP 주소가 없으면 테어드랍(TEAR DROP) 패킷으로 보고하고, 상기 IP 주소 리스트에서 ID 시퀀스가 일치하는 IP 주소가 존재하면 상기 ID 시퀀스의 일치 횟수를 검출하는 단계; 및 c-4) 상기 c-3) 단계에서 상기 IP 주소와 ID 시퀀스의 일치 횟수가 정해진 횟수 이상 일치하면 출발지 주소 변조 패킷으로 보고한 후 다른 패킷을 검사하는 단계를 포함한다. In step c), if the ID for each IP address increases by 1, the next packet is inspected; if the ID for each IP address does not increase by 1, the source address modulation target depends on whether the fragmentation bit is determined. Selecting by IP address; c-2) generating an IP address list for source address modulation target IP addresses selected in step c-1), and searching the IP address list to determine whether ID sequences match; c-3) In step c-2), if there is no IP address that matches the ID sequence in the IP address list, a TEAR DROP packet is reported and an IP address whose ID sequence matches in the IP address list exists. Detecting a number of matches of the ID sequence; And c-4) reporting a source address modulation packet and checking another packet when the number of matching of the IP address and the ID sequence matches at least a predetermined number in step c-3).

상기 d) 단계는, d-1) 상기 공격자의 IP 주소를 획득하고 상기 맥 인증 서버와 기획득한 출발지 IP 주소가 변조된 IP 주소 리스트를 검색하여 해당 맥주소를 검색하는 단계; 및 d-2) 상기 d-1) 단계에서 검색한 맥주소와 가입자의 위치 정보를 이용하여 공격자의 물리적 위치를 찾아 보고하는 단계를 포함한다. The step d) may include: d-1) acquiring the attacker's IP address, searching for the beer address by searching the list of IP addresses in which the MAC authentication server and the predetermined source IP address have been modified; And d-2) finding and reporting the attacker's physical location using the location information of the brewery and the subscriber searched in step d-1).

상기 d) 단계는, 상기 출발지 IP 주소가 변조된 IP 주소 리스트를 대상으로 관리자가 차단 패킷 리스트를 입력하고 패킷 차단 명령을 전송하면, 상기 가입자 네트워크 접속 장치에서 소스 주소를 기반으로 패킷을 차단하는 것이 바람직하다.In step d), when the administrator inputs a blocking packet list and transmits a packet blocking command to the IP address list in which the source IP address is modified, the subscriber network access device blocks the packet based on the source address. desirable.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였다. 명세서 전체를 통하여 유사한 부분에 대해서는 동일한 도면 부호를 붙였다. DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention. Like parts are designated by like reference numerals throughout the specification.

먼저, 본 발명의 실시예에 따른 차세대 네트워크 보안 시스템에 대하여 도 1을 참고로 하여 상세하게 설명한다.First, a next generation network security system according to an embodiment of the present invention will be described in detail with reference to FIG. 1.

도 1은 본 발명의 실시예에 따른 차세대 네트워크 보안 시스템의 개략적인 망 구성을 도시한 것이고, 도 2는 도 1의 보안 관리 기능 블록들을 상세히 도시한 것이다. 1 illustrates a schematic network configuration of a next-generation network security system according to an embodiment of the present invention, and FIG. 2 illustrates the security management function blocks of FIG. 1 in detail.

도 1에 나타낸 바와 같이, 본 발명의 실시예에 따른 차세대 네트워크 보안 시스템은, 사용자 단말(111, 112), 액세스 게이트웨이(122), 중개 게이트웨이(130), 소프트스위치(SOFTSWITCH)(140), 맥(MAC) 인증서버(150), 보안 관리 장치(160), 서비스 서버(150)를 포함한다.As shown in FIG. 1, the next-generation network security system according to an embodiment of the present invention includes user terminals 111 and 112, an access gateway 122, an intermediate gateway 130, a soft switch 140, and a MAC. (MAC) authentication server 150, security management device 160, service server 150.

사용자 단말(111, 112)은 영상 단말(111)이나 PC 폰(112)과 같은 차세대망 단말로서, 영상 단말(111, 112)은 전용 가입자 망(121)에 연결되고, PC 폰(112)은 액세스 게이트웨이(122)에 연결된다.The user terminals 111 and 112 are next-generation network terminals such as the video terminal 111 or the PC phone 112. The video terminals 111 and 112 are connected to the dedicated subscriber network 121, and the PC phone 112 Is connected to the access gateway 122.

중개 게이트웨이(130)는 액세스 단의 가입자 네트워크 접속 장치이다. The intermediate gateway 130 is a subscriber network access device of the access stage.

소프트 스위치(140)는 중개 게이트웨이(130)와 백본 전달망과의 신호망을 관장하여 서비스 서버(150)와 연결되도록 하고, 맥 인증 서버(150)는 사용자 단말(111, 112)의 접속을 인증한다.The soft switch 140 manages the signaling network between the intermediate gateway 130 and the backbone delivery network to be connected to the service server 150, and the Mac authentication server 150 authenticates the connection of the user terminals 111 and 112. .

보안 관리 장치(160)는 사용자 단말(111, 112)에서 초기 접속시 정상적인 인증 수행 후에 출발지 IP 주소가 변조된 비정상적인 공격형 트래픽을 발생하여 네트워크로 유입시켜 정상적인 트래픽과 혼재하는 경우에, 출발지 IP 주소가 변조된 트래픽을 검출하기 위해 중개 게이트웨이(130), 맥 인증 서버(150)와 연결되어 보안 기능을 수행한다.The security management apparatus 160 generates abnormal attack-type traffic whose source IP address is modified after normal authentication at initial access by the user terminals 111 and 112 and enters the network to mix with normal traffic. In order to detect the tampered traffic, the intermediary gateway 130 and the MAC authentication server 150 are connected to perform a security function.

도 2를 참고하여 중개 게이트웨이, 맥 인증 서버(150), 보안 관리 장치(160)간의 보안 관리 기능을 더욱 상세히 살펴본다.Referring to Figure 2 looks at the security management function between the mediation gateway, Mac authentication server 150, security management device 160 in more detail.

중개 게이트웨이(130)는 가입자 접속부(131), 패킷헤드 처리부(132), 다중화 및 스위칭부(133), 중계 트렁크(134)를 포함한다.The intermediate gateway 130 includes a subscriber access unit 131, a packet head processing unit 132, a multiplexing and switching unit 133, and a relay trunk 134.

가입자 접속부(131)는 사용자 단말(111, 112)이 전용 가입자 망(121)이나 액세스 게이트웨이(122)를 경유하여 중개 게이트웨이(130)에 접속되도록 한다. 패킷 헤드 처리부(132)는 가입자 접속부(131)를 통해 유입 및 유출되는 트래픽에서 패킷 헤드 정보를 추출하고, 패킷의 차단 명령에 따라 해당 패킷을 차단하기도 한다.The subscriber access unit 131 allows the user terminals 111 and 112 to be connected to the intermediate gateway 130 via the dedicated subscriber network 121 or the access gateway 122. The packet head processor 132 extracts packet head information from traffic flowing in and out through the subscriber access unit 131, and blocks the packet according to a packet blocking command.

다중화 및 스위칭부(133)는 패킷 헤드 처리부(132)를 거쳐 전송되는 트래픽을 다중화하고, 백본 전달망과의 연결을 중계하는 중계 트렁크(134)로의 스위칭 처리를 수행한다.The multiplexing and switching unit 133 multiplexes the traffic transmitted through the packet head processing unit 132 and performs a switching process to the relay trunk 134 relaying the connection with the backbone transport network.

보안 관리 장치(160)는 IP 변조 탐지부(161)와 역추적 및 차단부(162)를 포함하지만 이에 한정되지는 않는다.The security management device 160 may include, but is not limited to, an IP tamper detection unit 161 and a traceback and blocking unit 162.

IP 변조 탐지부(161)는 초기 사용자 단말(111, 112)의 접속시 맥 인증 서버(150)에서 맥 주소, 출발지 IP 주소, ID를 전송받은 후에 이를 토대로 중개 게이트웨이(130)의 패킷 헤드 처리부(132)에서 전송 전송받은 IP 패킷의 ID 시퀀스의 이상 유무를 검출하여 IP 주소가 변조된 패킷을 추출한다.When the IP tamper detection unit 161 receives the MAC address, the source IP address, and the ID from the MAC authentication server 150 when the initial user terminals 111 and 112 are connected, the packet head processing unit of the intermediate gateway 130 ( In 132, the packet is a packet whose IP address is modulated by detecting the abnormality of the ID sequence of the received IP packet.

역추적 및 차단부(162)는 IP 변조 탐지부(161)는 변조된 IP 주소 리스트를 기반으로 침입 차단 명령을 중개 게이트웨이에 전달하여 해당 IP 패킷을 차단하거나 해당 사용자 단말(111, 112)이 공격받은 경우에 도착지의 패킷을 추출하여 공격지의 IP 주소와 맥 인증 서버(150)의 맥 주소 DB를 이용하여 물리적인 맥 주소를 탐색하는 역추적을 수행한다.The traceback and blocking unit 162 blocks the IP packet by transmitting an intrusion prevention command to the intermediary gateway based on the modulated IP address list, or the user terminal 111 or 112 attacks. If received, it extracts the packet of the destination and performs a back trace to search for the physical MAC address using the IP address of the attack destination and the Mac address DB of the Mac authentication server 150.

다음, 도 3 내지 도 5를 참조하여 본 발명의 실시예에 따른 차세대 네트워크 보안 시스템의 동작에 대하여 자세하게 설명한다. Next, the operation of the next generation network security system according to an embodiment of the present invention will be described in detail with reference to FIGS. 3 to 5.

도 3은 본 발명의 실시예에 따른 차세대 네트워크 보안 방법에서 변조된 IP 패킷을 탐색하는 과정에 대한 순서도를 도시한 것이다. 3 is a flowchart illustrating a process of searching for a modulated IP packet in a next-generation network security method according to an embodiment of the present invention.

도 3에 도시된 바와 같이, 본 발명의 실시예에 따른 차세대 네트워크 보안 방법은 사용자 단말(111, 112)이 네트워크를 통해 가입자 접속부(131)에 접속하면, 맥 인증 서버(150)에서 IP 주소와 맥 주소를 인증하고, 초기 패킷의 ID를 확보한다.As shown in FIG. 3, in the next-generation network security method according to an exemplary embodiment of the present invention, when the user terminals 111 and 112 access the subscriber access unit 131 through a network, the MAC authentication server 150 uses the IP address and the IP address. Authenticates the MAC address and obtains the initial packet ID.

그러면, 보안 관리 장치(160)는 자동적으로 출발지 IP 주소의 변조 탐지 과정을 수행한다. 즉 IP 변조 탐지부(161)에서 IP 주소를 중개 게이트웨이(130)의 패킷 헤드 처리부(132)에서 전송받아 가입자 접속부(131)로 유입 또는 유출되는 패킷에 대해 IP 주소별 ID 시퀀스를 확인한다.(S101)Then, the security management device 160 automatically performs a tamper detection process of the source IP address. That is, the IP tamper detection unit 161 receives the IP address from the packet head processing unit 132 of the intermediate gateway 130 and checks the ID sequence for each IP address for the packet flowing into or out of the subscriber access unit 131. S101)

IP 변조 탐지부(161)는 IP 주소별로 ID가 1씩 증가하는 경우(마지막 순번인 경우, 1로 순환 포함)에 다음 패킷을 검사하고, ID가 1씩 증가하지 않는 경우(동일 경우, 2이상씩 증가하는 경우)에 프레그멘테이션 비트(fragmentation bit)를 판별한다.(S102, S103)The IP tamper detection unit 161 checks the next packet when the ID is increased by 1 for each IP address (including the cyclicity of 1 in the last order), and when the ID is not increased by 1 (the same, 2 or more). Fragmentation bit is determined in increments of steps (S102, S103).

위에서, IP 주소별 ID 시퀀스가 1씩 증가하는 경우와 프레그멘테이션 비트가 프레그멘테이션 과정이면 IP 주소의 순번을 증가하여 다음 패킷을 검사하고, 프레그멘테이션 과정이 아니면 출발지 IP 주소가 변조된 대상 IP 주소 리스트로 선정한다.(S104, S105) Above, if the ID sequence for each IP address is incremented by 1 and the fragmentation bit is a fragmentation process, the next packet is examined by increasing the sequence number of the IP address. Select from the list of IP addresses (S104, S105).

IP 변조 탐지부(161)는 위의 IP 주소 리스트를 탐색하여 ID 시퀀스의 일치 여부를 판별한다.(S106) 이때, 변조 대상 IP 주소 리스트에서 ID 시퀀스가 일치하는 것이 존재하지 않으면 TEAR DROP 패킷으로 보고한다.The IP tamper detection unit 161 searches the above IP address list to determine whether the ID sequence matches (S106). If there is no ID sequence match in the modulation target IP address list, the IP tamper detection unit 161 reports the TEAR DROP packet. do.

여기서, TEAR DROP 패킷은 비정상 IP 프레그먼트를 보내면 타겟 호스트에서 UDP 데이터그램으로 결합할 때 타겟 호스트를 매우 불안정하게 하여 다운(DOWN)시킬 수 있는 패킷을 의미한다. Here, the TEAR DROP packet refers to a packet that can be down (down) by making the target host very unstable when combining with the UDP datagram when the abnormal IP fragment is sent.

IP 변조 탐지부(161)는 변조 대상 IP 주소 리스트에서 ID 시퀀스가 일치하는 IP 주소가 존재하면 ID 시퀀스가 몇 회(N>0) 이상 일치하는 지를 검출한다.(S110)The IP tampering detection unit 161 detects how many times (N> 0) ID sequences match if there is an IP address in which the ID sequence matches in the modulation target IP address list (S110).

이때, 변조 대상 IP 주소 리스트에서 ID 시퀀스가 시스템에서 정해진 횟수 이상으로 ID 시퀀스가 일치하면 이 IP 주소에 해당하는 패킷을 출발지 주소 변조 IP 패킷으로 보고한 후 다른 패킷을 검사하고, IP 주소 리스트에서 ID 시퀀스가 정해진 횟수 이내로 일치하면서 중지 명령어가 전달되면 출발지 주소가 변조된 IP 주소의 탐색 과정을 종료한다.(S111)At this time, if the ID sequence is matched more than the number of times determined by the system in the modulation target IP address list, the packet corresponding to the IP address is reported as the source address modulation IP packet, and then another packet is inspected. When the stop command is transmitted while the sequence matches within a predetermined number of times, the searching process of the source address is modified.

도 4는 IP 주소별 ID 시퀀스 검색을 통한 출발지 IP 주소가 변조된 패킷 탐색 과정을 설명하기 위한 것이다.FIG. 4 illustrates a packet search process in which a source IP address is modulated by searching an ID sequence for each IP address.

도 4를 참고하면, IP1이 초기 접속시 정상 인증을 받은 패킷이고, 동일 시스템에서 IP2를 변조하여 패킷을 발생한 후 IP1과 IP2를 동시에 중개 게이트웨이(130)로 유입한다.Referring to FIG. 4, IP1 is a packet that is normally authenticated upon initial access, and after generating a packet by modulating IP2 in the same system, IP1 and IP2 flow into the intermediary gateway 130 at the same time.

IP 패킷의 ID 시퀀스가 각각의 IP 주소에 대해 1씩 증가하지 않고 두 IP 주소의 패킷이 합하여 1씩 증가하는 특성을 갖는다. 이러한 과정이 N회 이상 발생하면 두 패킷은 동일 시스템에서 발생한 확률이 거의 1에 가까우므로 출발지 주소가 변조된 패킷임을 알 수 있다. The ID sequence of an IP packet does not increase by 1 for each IP address, but the packet of two IP addresses adds up by one. If this process occurs more than N times, it can be seen that the two packets are packets of which the source address is modulated because the probability of occurrence in the same system is almost one.

도 5는 본 발명의 실시예에 따른 차세대 네트워크 보안 방법에서 역추적 및 차단 과정에 대한 순서도를 도시한 것이다. 5 is a flowchart illustrating a backtracking and blocking process in a next-generation network security method according to an embodiment of the present invention.

도 5에 도시된 바와 같이, 중개 게이트웨이(130)의 사용자 단말에 IP 주소가 변조된 패킷에 의해 공격이 있는 경우에, 공격자의 IP 주소를 역추적하기 위해 역추적 및 차단부(162)는 데이터베이스에서 해당 네트워크의 맥 인증 서버(150)와 IP 변조 탐지부(161)를 통해 기획득한 출발지 IP 주소가 변조된 IP 주소 리스트를 검색하여 맥 주소를 추출한다.(S201, S202)As shown in FIG. 5, in the case where an attack is caused by a packet in which an IP address is modulated at a user terminal of the intermediary gateway 130, the backtracking and blocking unit 162 is configured to trace back an attacker's IP address. In step S201 and S202, the MAC address is retrieved by searching the IP address list of the source IP address modulated by the MAC authentication server 150 and the IP tamper detection unit 161 of the network.

역추적 및 차단부(162)는 맥주소와 가입자의 위치정보를 위하여 공격자의 물리적 위치를 보고하고(S203), IP 변조 탐지부(161)에서 보고한 출발지 IP 주소가 변조된 IP 주소 리스트를 대상으로 관리자가 차단 패킷 리스트를 입력하고 패킷 차단 명령을 전송하면, 중개 게이트웨이(130)에서 소스 주소를 기반으로 패킷을 차단한다.(S204, S205)The traceback and blocking unit 162 reports the physical location of the attacker for the location information of the brewery and the subscriber (S203), and targets the IP address list of which the source IP address reported by the IP tamper detection unit 161 is modulated. When the administrator inputs a block packet list and transmits a packet block command, the intermediary gateway 130 blocks the packet based on the source address. (S204, S205)

이와 같이, 본 발명의 실시예에 따른 차세대 네트워크 보안 시스템 및 그 방법에서는 IP 헤드에 식별(ID) 필드가 존재하고, 이 식별 필드가 양의 임의의 초기치를 갖으면서 이후에 1씩 증가하는 특성을 이용한다.As described above, in the next-generation network security system and method according to an embodiment of the present invention, an identification (ID) field exists in the IP head, and this identification field has a positive random initial value and then increases by one. I use it.

따라서 본 발명의 실시예에서는 초기 사용자 단말(111, 112)의 인증시에 출발지 주소에 대한 ID 숫자를 기록하여 해당 주소의 패킷에 대하여 지속적으로 카운팅하면 해당 주소지에서 생성되는 패킷의 이상 유무를 판별할 수 있다. 특히, 사용자 단말(111, 112)의 인증이 성공적으로 수행된 후에 비정상 패킷이 발생하는 경우에 대해 패킷의 이상 유무를 감지할 수 있고, 다수의 장비를 경유하여 도착한 패킷에 대해서도 네트워크 내부의 경로만 일원화되어 있으면 검출이 용이하다. Therefore, in the embodiment of the present invention, if the ID number of the starting address is recorded at the time of authentication of the initial user terminals 111 and 112 and counted continuously for the packet of the corresponding address, it is possible to determine whether there is an abnormality of the packet generated at the address. Can be. In particular, it is possible to detect the abnormality of the packet in the case of an abnormal packet after the successful authentication of the user terminal (111, 112), and only the route within the network for the packet arrived via a plurality of devices If it is unified, it is easy to detect.

네트워크 내부의 경로가 이원화되어 있는 경우에도 상호 협응을 통해 비정상 패킷의 오탐지를 방지하면서 패킷의 이상 유무를 검출할 수 있다.Even when the path inside the network is dualized, it is possible to detect abnormality of packets while preventing false detection of abnormal packets through mutual coordination.

이상에서 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 본 발명은 이에 한정되는 것은 아니며, 그 외의 다양한 변경이나 변형이 가능하다. Although the preferred embodiment of the present invention has been described in detail above, the present invention is not limited thereto, and various other changes and modifications are possible.

이와 같이, 본 발명에 의한 차세대 네트워크 보안 시스템 및 그 방법은 출발지 IP 주소가 변조된 패킷을 중개 게이트웨이와 같은 가입자 네트워크 접속 장치로부터 추출된 헤드정보에 의해 탐지하고 패킷에 대한 차단 명령에 따라 가입자 네트워크 접속 장치에서 해당 패킷을 차단할 수 있는 효과가 있다.As described above, the next-generation network security system and method according to the present invention detect a packet whose source IP address is modulated by head information extracted from a subscriber network access device such as an intermediate gateway, and access the subscriber network according to a blocking command for the packet. The device can block the packet.

본 발명에 의한 차세대 네트워크 보안 시스템 및 그 방법은 초기 사용자 단말의 인증시 출발지 IP 주소 패킷의 ID 값을 획득하여 해당 출발지 IP 주소의 패킷에 대한 식별 연속성(즉, ID 시퀀스)을 검사하여 해당 주소지 패킷의 이상 유무를 검증하여 출발지 IP 주소가 변조된 공격성 패킷을 검출할 수 있는 효과가 있다. Next-generation network security system and method according to the present invention obtains the ID value of the source IP address packet at the time of authentication of the initial user terminal and checks the continuity of identification of the packet of the source IP address (that is, the ID sequence) to check the corresponding address packet. By verifying that there is an abnormality, there is an effect that can detect the aggressive packet modulated from the source IP address.

본 발명에 의한 차세대 네트워크 보안 시스템 및 그 방법은 악의적인 네트워크 공격자의 IP 패킷을 분석하여 공격자의 IP 주소를 획득한 경우에 맥 인증 서버의 맥 주소 데이터베이스를 토대로 역추적하여 공격자의 물리적인 위치를 검출할 수 있는 효과가 있다. The next-generation network security system and method according to the present invention detects the physical location of the attacker by trace backing based on the MAC address database of the Mac authentication server when the attacker obtains the IP address by analyzing the IP packet of the malicious network attacker. It can work.

본 발명에 의한 차세대 네트워크 보안 시스템 및 그 방법은 출발지 IP 주소가 변조된 패킷을 차단하고, 다수의 경로로 유입되는 트래픽을 협응적으로 판별하여 패킷의 이상 유무에 대한 오탐지를 방지할 수 있는 효과가 있다.  The next-generation network security system and method according to the present invention block the packet of which the source IP address has been tampered with, and cooperatively determine the traffic flowing into a plurality of paths, thereby preventing false detection of abnormal packets. There is.

그로 인해, 본 발명에 의한 차세대 네트워크 보안 시스템 및 그 방법은 서비스 지속성이 유지되고, 그에 따른 서비스 만족도 및 신뢰도를 증대시킬 수 있으며, 보안사고에 따른 네트워크 트래픽 폭주나 사고를 사전에 방지하여 네트워크의 여유 용량을 줄이고 보안에 필요한 비용을 절감할 수 있는 효과가 있다.Therefore, the next-generation network security system and method according to the present invention can maintain service continuity, thereby increasing service satisfaction and reliability, and prevent network congestion or accidents caused by security incidents in advance, thereby freeing up the network. This can reduce capacity and reduce the cost of security.

도 1은 본 발명의 실시예에 따른 차세대 네트워크 보안 시스템의 개략적인 망 구성을 도시한 것이다.1 illustrates a schematic network configuration of a next-generation network security system according to an embodiment of the present invention.

도 2는 도 1의 보안 관리 기능 블록들을 상세히 도시한 것이다.FIG. 2 illustrates the security management functional blocks of FIG. 1 in detail.

도 3은 본 발명의 실시예에 따른 차세대 네트워크 보안 방법에서 변조된 IP 패킷을 탐색하는 과정에 대한 순서도를 도시한 것이다.3 is a flowchart illustrating a process of searching for a modulated IP packet in a next-generation network security method according to an embodiment of the present invention.

도 4는 IP 주소별 ID 시퀀스 검색을 통한 출발지 IP 주소가 변조된 패킷 탐색 과정을 설명하기 위한 것이다.FIG. 4 illustrates a packet search process in which a source IP address is modulated by searching an ID sequence for each IP address.

도 5는 본 발명의 실시예에 따른 차세대 네트워크 보안 방법에서 역추적 및 차단 과정에 대한 순서도를 도시한 것이다.5 is a flowchart illustrating a backtracking and blocking process in a next-generation network security method according to an embodiment of the present invention.

Claims (8)

사용자 단말기로부터 정상/비정상 패킷이 혼재되어 유입/유출되면, 맥(MAC) 인증을 수행하여 맥 주소, IP 주소, ID 시퀀스를 추출하는 맥 인증 서버;A MAC authentication server extracting a MAC address, an IP address, and an ID sequence by performing MAC authentication when normal / abnormal packets are mixed in and out of the user terminal; 상기 사용자 단말기가 접속되고 상기 맥 인증 서버로부터 전송된 IP 패킷을 전송받아 상기 IP 패킷의 헤드 정보를 추출하는 가입자 네트워크 접속 장치; 및A subscriber network access device connected to the user terminal and receiving the IP packet transmitted from the MAC authentication server to extract head information of the IP packet; And 상기 맥 인증 서버와 가입자 네트워크 접속장치에서 해당 패킷 관련 정보를 전송받아 IP 패킷의 ID 시퀀스를 검사하여 IP 주소가 변조된 패킷을 검출하고, 상기 변조된 패킷의 차단/역추적을 수행하는 보안 관리 장치The MAC management server and the subscriber network access device receives the packet-related information, examines the ID sequence of the IP packet, detects a packet whose IP address is modified, and performs a block / backtracking of the modulated packet. 을 포함하는 차세대 네트워크 보안 시스템. Next generation network security system comprising a. 제1항에 있어서, The method of claim 1, 상기 가입자 네트워크 접속장치는 사용자 단말과 네트워크를 경유하여 접속되면 유입되는 트래픽에서 패킷 헤드 정보를 추출하고, 출발지 IP 주소가 변조된 패킷의 차단 명령에 따라 상기 패킷을 차단하는 패킷 헤드 처리부를 포함하는 차세대 네트워크 보안 시스템. The subscriber network access apparatus includes a packet head processing unit which extracts packet head information from incoming traffic when connected to a user terminal through a network, and blocks the packet according to a blocking command of a packet whose source IP address is modulated. Network security system. 제1항에 있어서, The method of claim 1, 상기 보안 관리 장치는,The security management device, 상기 맥 인증 서버와 가입자 네트워크 접속 장치에서 맥 주소, 출발지 IP 주소, 식별 연속성(ID 시퀀스)에 대한 정보를 전송받아 이 정보들을 토대로 IP 패킷의 ID 시퀀스의 이상 여부를 검출하여 출발지 IP 주소가 변조된 IP 주소 리스트를 추출하는 IP 변조 탐지부; 및 The MAC authentication server and the subscriber network access device receive information on MAC address, source IP address, and identification continuity (ID sequence), and detect the abnormality of the ID sequence of the IP packet based on the information, and then modulate the source IP address. An IP tamper detection unit for extracting an IP address list; And 상기 IP 변조 탐지부에서 추출한 IP 주소 리스트를 통해 해당 패킷을 차단하거나 상기 변조된 패킷을 역추적하여 공격자의 물리적 위치를 탐색하는 역추적 및 차단부A back tracer and a blocker that blocks the packet through the IP address list extracted by the IP tampering detector or searches the attacker's physical location by backtracking the modulated packet. 를 포함하는 차세대 네트워크 보안 시스템. Next generation network security system comprising a. 맥 인증 서버 및 가입자 네트워크 접속장치와 체계적으로 연결되어 불법 침입을 탐색 및 차단하는 차세대 네트워크 보안 방법에 있어서, In the next generation network security method that systematically connects with a Mac authentication server and subscriber network access device to detect and block illegal intrusions, a) 사용자 단말이 네트워크 접속시, 맥 인증 서버를 통해 IP 주소와 맥 주소를 인증하고 초기 패킷의 ID를 확보하는 단계;a) when the user terminal accesses a network, authenticating an IP address and a MAC address through a Mac authentication server and securing an ID of an initial packet; b) 상기 사용자 단말이 가입자 네트워크 접속장치에 접속되면, 상기 가입자 네트워크 접속장치로부터 상기 사용자 단말에서 유입/유출되는 트래픽의 패킷 헤드 정보를 추출하는 단계;b) if the user terminal is connected to a subscriber network access device, extracting packet head information of traffic flowing in / out from the user terminal from the subscriber network access device; c) 상기 a) 단계와 b) 단계를 통해 확보한 상기 패킷의 IP 주소와 헤드 정보를 토대로 IP 헤드를 검사하여 IP 주소별 ID 시퀀스를 확인하는 단계; 및 c) checking an IP head based on the IP address and head information of the packet obtained through steps a) and b) to identify an ID sequence for each IP address; And d) 상기 c) 단계를 통해 출발지 IP 주소가 변조된 IP 주소 리스트를 검색하고 선택적으로 상기 변조된 패킷을 차단하거나 공격자의 물리적인 위치를 역추적하는 단계d) retrieving a list of IP addresses modulated by the source IP address through step c) and optionally blocking the tampered packet or tracing the physical location of the attacker. 를 포함하는 차세대 네트워크 보안 방법.Next generation network security method comprising a. 제1항에 있어서, The method of claim 1, 상기 c) 단계는,C), c-1) 상기 IP 주소별 ID가 1씩 증가하면 다음 패킷을 검사하고, 상기 IP 주소별 ID가 1씩 증가하지 않으면 프레그멘테이션 비트를 판별 여부에 따라 출발지 주소 변조 대상 IP 주소로 선정하는 단계;c-1) checking the next packet when the ID for each IP address is increased by 1, and selecting the source address modulation target IP address according to whether a fragmentation bit is determined if the ID for each IP address is not increased by 1; ; c-2) 상기 c-1) 단계에서 선정된 출발지 주소 변조 대상 IP 주소들에 대해 IP 주소 리스트를 작성하고, 상기 IP 주소 리스트를 탐색하여 ID 시퀀스의 일치 유무를 판별하는 단계;c-2) generating an IP address list for source address modulation target IP addresses selected in step c-1), and searching the IP address list to determine whether ID sequences match; c-3) 상기 c-2) 단계에서 상기 IP 주소 리스트에서 ID 시퀀스가 일치하는 IP 주소가 없으면 테어드랍(TEAR DROP) 패킷으로 보고하고, 상기 IP 주소 리스트에서 ID 시퀀스가 일치하는 IP 주소가 존재하면 상기 ID 시퀀스의 일치 횟수를 검출하는 단계; 및c-3) In step c-2), if there is no IP address that matches the ID sequence in the IP address list, a TEAR DROP packet is reported and an IP address whose ID sequence matches in the IP address list exists. Detecting a number of matches of the ID sequence; And c-4) 상기 c-3) 단계에서 상기 IP 주소와 ID 시퀀스의 일치 횟수가 정해진 횟수 이상 일치하면 출발지 주소 변조 패킷으로 보고한 후 다른 패킷을 검사하는 단계c-4) reporting the source address modulation packet and checking another packet when the number of matching of the IP address and ID sequence matches more than a predetermined number in step c-3). 를 포함하는 차세대 네트워크 보안 방법.Next generation network security method comprising a. 제4항에 있어서, The method of claim 4, wherein 상기 c-4) 단계는, 상기 IP 주소와 ID 시퀀스의 일치 횟수가 정해진 횟수 이하이면 탐색 중지 명령이 전달될 때까지 다음 패킷을 검사하는 차세대 네트워크 보안 방법.In the step c-4), when the number of matching of the IP address and the ID sequence is equal to or less than a predetermined number of times, the next packet is examined until the search stop command is transmitted. 제4항에 있어서, The method of claim 4, wherein 상기 d) 단계는,Step d), d-1) 상기 공격자의 IP 주소를 획득하고 상기 맥 인증 서버와 기획득한 출발지 IP 주소가 변조된 IP 주소 리스트를 검색하여 해당 맥주소를 검색하는 단계; 및 d-1) acquiring the attacker's IP address and searching the beer address by searching the list of IP addresses in which the MAC authentication server and the predetermined source IP address have been modified; And d-2) 상기 d-1) 단계에서 검색한 맥주소와 가입자의 위치 정보를 이용하여 공격자의 물리적 위치를 찾아 보고하는 단계d-2) finding and reporting the physical location of the attacker using the location information of the brewer and the subscriber searched in step d-1) 를 포함하는 차세대 네트워크 보안 방법.Next generation network security method comprising a. 제4항에 있어서, The method of claim 4, wherein 상기 d) 단계는, 상기 출발지 IP 주소가 변조된 IP 주소 리스트를 대상으로 관리자가 차단 패킷 리스트를 입력하고 패킷 차단 명령을 전송하면, 상기 가입자 네트워크 접속 장치에서 소스 주소를 기반으로 패킷을 차단하는 차세대 네트워크 보안 방법.In step d), when the administrator inputs a blocking packet list and transmits a packet blocking command to the IP address list of which the source IP address is modified, the subscriber network access device blocks the packet based on the source address. Network security method.
KR1020040016121A 2004-03-10 2004-03-10 System and method for security management of next generation network KR101022787B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040016121A KR101022787B1 (en) 2004-03-10 2004-03-10 System and method for security management of next generation network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040016121A KR101022787B1 (en) 2004-03-10 2004-03-10 System and method for security management of next generation network

Publications (2)

Publication Number Publication Date
KR20050090848A true KR20050090848A (en) 2005-09-14
KR101022787B1 KR101022787B1 (en) 2011-03-17

Family

ID=37272741

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040016121A KR101022787B1 (en) 2004-03-10 2004-03-10 System and method for security management of next generation network

Country Status (1)

Country Link
KR (1) KR101022787B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100613904B1 (en) * 2004-11-04 2006-08-21 한국전자통신연구원 Apparatus and method for defeating network attacks with abnormal IP address
KR101145771B1 (en) * 2010-06-21 2012-05-16 한국전자통신연구원 Internet protocol based filtering device and method, and legitimate user identifying device and method

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7380272B2 (en) * 2000-05-17 2008-05-27 Deep Nines Incorporated System and method for detecting and eliminating IP spoofing in a data transmission network
IL144100A (en) * 2000-07-06 2006-08-01 Samsung Electronics Co Ltd Mac address-based communication restricting method
KR20030052843A (en) * 2001-12-21 2003-06-27 주식회사 케이티 System and method for inverse tracing a intruder

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100613904B1 (en) * 2004-11-04 2006-08-21 한국전자통신연구원 Apparatus and method for defeating network attacks with abnormal IP address
KR101145771B1 (en) * 2010-06-21 2012-05-16 한국전자통신연구원 Internet protocol based filtering device and method, and legitimate user identifying device and method

Also Published As

Publication number Publication date
KR101022787B1 (en) 2011-03-17

Similar Documents

Publication Publication Date Title
CN110445770B (en) Network attack source positioning and protecting method, electronic equipment and computer storage medium
US10505900B2 (en) Data leak protection in upper layer protocols
CN101136922B (en) Service stream recognizing method, device and distributed refusal service attack defending method, system
US6363489B1 (en) Method for automatic intrusion detection and deflection in a network
US8042182B2 (en) Method and system for network intrusion detection, related network and computer program product
US7260846B2 (en) Intrusion detection system
CN100443910C (en) Active network defense system and method
US7409714B2 (en) Virtual intrusion detection system and method of using same
US8776217B2 (en) Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis
US20040073800A1 (en) Adaptive intrusion detection system
KR101217647B1 (en) Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs
US20080295173A1 (en) Pattern-based network defense mechanism
KR101236822B1 (en) Method for detecting arp spoofing attack by using arp locking function and recordable medium which program for executing method is recorded
JP2005517349A (en) Network security system and method based on multi-method gateway
KR20010090014A (en) system for protecting against network intrusion
US20040233849A1 (en) Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture
KR101022787B1 (en) System and method for security management of next generation network
KR101551537B1 (en) Information spill prevention apparatus
KR100613904B1 (en) Apparatus and method for defeating network attacks with abnormal IP address
Badea et al. Computer network vulnerabilities and monitoring
KR20050095147A (en) Hacking defense apparatus and method with hacking type scenario
Prabhu et al. Network intrusion detection system
KR20200116773A (en) Cyber inspection system
Hofbauer et al. CDRAS: An approach to dealing with Man-in-the-Middle attacks in the context of Voice over IP
CN115412922A (en) Block chain assisted data eagle eye network function

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140303

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150302

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160229

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170322

Year of fee payment: 7