KR20100048105A - 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 - Google Patents

네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 Download PDF

Info

Publication number
KR20100048105A
KR20100048105A KR1020080107117A KR20080107117A KR20100048105A KR 20100048105 A KR20100048105 A KR 20100048105A KR 1020080107117 A KR1020080107117 A KR 1020080107117A KR 20080107117 A KR20080107117 A KR 20080107117A KR 20100048105 A KR20100048105 A KR 20100048105A
Authority
KR
South Korea
Prior art keywords
harmful traffic
address
destination
traffic information
network
Prior art date
Application number
KR1020080107117A
Other languages
English (en)
Other versions
KR101065800B1 (ko
Inventor
김성주
황찬규
이희원
이재진
김영대
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020080107117A priority Critical patent/KR101065800B1/ko
Publication of KR20100048105A publication Critical patent/KR20100048105A/ko
Application granted granted Critical
Publication of KR101065800B1 publication Critical patent/KR101065800B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 관리 장치 및 그 방법에 관한 것이다.
본 발명의 네트워크 관리 장치는 복수의 사용자 단말기들로부터 유해 트래픽 정보-여기서, 유해 트래픽 정보는 유해 트래픽의 소스 IP 주소 및 목적지 IP 주소를 포함함-를 각각 수신하여 저장하고, 저장된 유해 트래픽 정보들 중 제1 목적지 IP 주소를 갖는 유해 트래픽 정보를 검출한다. 그리고 검출된 유해 트래픽 정보가 설정된 수를 초과하는지 여부를 판단하여 검출된 유해 트래픽 정보가 설정된 수를 초과하는 경우에, 검출된 유해 트래픽 정보를 송신한 사용자 단말기들로 제1 목적지 IP 주소를 갖는 유해 트래픽 송신 차단을 위한 제어 메시지를 생성하여 전송한다.
본 발명에 따르면, DDOS와 같이 하나의 타겟 단말기에 대한 복수의 송신 단말기 공격을 원천적으로 차단할 수 있으며, 해당 트래픽을 발생하는 프로그램을 삭제하여 사용자 단말기의 부하를 감소시키고, 사용자 단말기가 악성 공격에 이용되는 것을 막을 수 있는 효과를 기대할 수 있다.
트래픽, 공격, 해킹, 크래킹, DDOS, 관리, 네트워크

Description

네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기 및 그의 기록 매체{NETWORK MANAGEMENT APPARATUS AND METHOD THEREOF, USER TERMINAL FOR MANAGING NETWORK AND RECODING MEDIUM THEREOF}
본 발명은 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기 및 그의 기록 매체에 관한 것이다. 특히 본 발명은 사용자 단말기에 의해 발생되는 유해 트래픽을 효율적으로 차단할 수 있는 네트워크 관리 장치 및 그 방법과 네트워크 관리 장치에 의해 유해 트래픽 발생을 차단하는 사용자 단말기 및 그의 기록매체에 관한 것이다.
종래 유해 트래픽을 차단하는 대표적인 방법으로 방화벽, IDS(Intrusion Detection System, 이하, "IDS"라 함), IPS(Intrusion Prevention System; 이하, "IPS"라 함)를 이용하는 방법이 있다.
방화벽은 내부의 네트워크와 인터넷과 같은 외부의 네트워크 사이의 진입 장벽을 구축하는 네트워크 정책과, 이를 지원하는 하드웨어 및 소프트웨어를 포괄하는 시스템으로, 해킹과 같은 외부의 비정상적이고 불법적인 접근으로부터 내부 네트워크의 정보자산을 보호하고 각종 유해 정보의 유입을 차단하는 기능을 한다.
IDS는 사용자 단말기의 비정상적인 사용, 오용, 남용 등을 실시간 탐지하는 시스템으로, 사용자 단말기로 침입하는 해커 침입 패턴에 대한 추적과 유해 정보 감시를 통해 사용자 단말기 내 모든 내외 정보의 흐름을 실시간으로 차단하는 기능을 한다.
IPS는 사용자 단말기(혹은 서버)에 설치되는 보안 솔루션으로, 네트워크에서 공격 서명을 찾아내어 자동으로 모종의 조치를 취함으로써, 비정상적인 트래픽을 중단시키는 기능을 수행한다.
이러한, 종래 유해 트래픽 차단 방법은 보유 장치에 진입하거나 이미 진입된 유해 트래픽에 대하여 보유 장치를 보호하는 기능을 제공하기 때문에, 보호 측면에서 상당히 유용하지만, 원천적으로 유해 트래픽의 발생을 차단하지 못하여 반복적인 유해 트래픽에 상당히 수동적인 기능을 한다. 따라서, 반복적인 유해 트래픽에 의한 네트워크 가용성 감소, 해당 장치의 부하 증가 등의 문제점을 해결하지 못하는 단점이 있다.
본 발명이 이루고자 하는 기술적 과제는 사용자 단말기에 의해 발생되는 유해 트래픽을 효율적으로 차단할 수 있는 네트워크 관리 장치 및 그 방법과 네트워크 관리 장치에 의해 유해 트래픽 발생을 차단하는 사용자 단말기 및 그의 기록매체를 제공하는 것이다.
전술한 과제를 해결하기 위한 본 발명의 특징에 따라서, 네트워크 관리 장치는 IP(Internet Protocol)망을 통해 복수의 사용자 단말기들로부터 유해 트래픽 정보-여기서, 상기 유해 트래픽 정보는 유해 트래픽의 소스 IP 주소 및 목적지 IP 주소를 포함함-를 각각 수신하는 통신부; 상기 통신부가 수신한 유해 트래픽 정보들을 저장하는 저장부; 상기 저장부에 저장된 유해 트래픽 정보들 중 제1 목적지 IP 주소를 갖는 유해 트래픽 정보를 검출하고, 검출된 유해 트래픽 정보가 설정된 수를 초과하는 경우에, 상기 검출된 유해 트래픽 정보를 송신한 사용자 단말기들을 유해 트래픽 발생 그룹으로 그룹화하는 유해 트래픽 검출부; 및 상기 제1 목적지 IP 주소를 갖는 유해 트래픽에 대한 송신을 차단하도록 상기 유해 트래픽 발생 그룹의 각 사용자 단말기를 제어하는 제어부를 포함한다.
여기서, 상기 제어부는, 상기 유해 트래픽에 대한 송신을 차단하도록 유해 트래픽 차단 제어 메시지를 생성하고, 생성된 유해 트래픽 차단 제어 메시지를 상기 유해 트래픽 발생 그룹의 각 사용자 단말기로 전송한다.
본 발명의 특징에 따라서, 복수의 사용자 단말기와 IP(Internet Protocol)망을 통해 데이터를 송수신하는 장치의 네트워크 관리 방법은, 상기 복수의 사용자 단말기들로부터 유해 트래픽 정보-여기서, 상기 유해 트래픽 정보는 유해 트래픽의 소스 IP 주소 및 목적지 IP 주소를 포함함-를 각각 수신하여 저장하는 단계; 저장된 유해 트래픽 정보들 중 제1 목적지 IP 주소를 갖는 유해 트래픽 정보를 검출하는 단계; 상기 검출된 유해 트래픽 정보가 설정된 수를 초과하는지 여부를 판단하는 단계; 및 상기 판단 결과, 검출된 유해 트래픽 정보가 설정된 수를 초과하는 경우에, 상기 검출된 유해 트래픽 정보를 송신한 사용자 단말기들로 상기 제1 목적지 IP 주소를 갖는 유해 트래픽 송신 차단을 위한 제어 메시지를 생성하여 전송하는 단계를 포함한다.
여기서, 상기 판단 결과, 검출된 유해 트래픽 정보가 설정된 수를 초과하는 경우에, 상기 검출된 유해 트래픽 정보를 송신한 사용자 단말기들이 상기 제1 목적지 IP 주소로 전송하는 유해 트래픽을 차단하도록 IP망의 복수의 라우터들을 제어하는 단계를 더 포함한다.
본 발명의 특징에 따라서, 네트워크를 관리하는 장치와 IP(Internet Protocol)망을 통해 연결되어 데이터를 송수신하는 사용자 단말기는, IP망으로 송신되는 패킷들의 헤더를 분석하여 목적지 IP 주소별 패킷 전송량을 계산하고, 계산된 패킷 전송량이 설정된 임계치를 초과하는 경우에, 패킷의 목적지 IP 주소, 소스 IP 주소가 포함된 유해 트래픽 정보를 상기 장치로 전송하는 유해 트래픽 추출부; 및 상기 장치로부터 상기 유해 트래픽 정보 제공에 대응하여 상기 목적지 IP 주소 가 포함된 유해 트래픽 차단 제어 메시지를 수신하면 상기 목적지 IP 주소를 갖는 패킷에 대한 송신을 차단하도록 상기 유해 트래픽 추출부를 제어하는 유해 트래픽 설정부를 포함한다.
여기서, 상기 유해 트래픽 설정부는,
차단 IP 주소 목록을 저장하며, 상기 유해 트래픽 차단 제어 메시지에 포함된 상기 목적지 IP 주소를 상기 차단 IP 주소 목록에 추가하고, 상기 추가된 차단 IP 주소 목록을 상기 유해 트래픽 추출부로 제공한다.
본 발명의 특징에 따라서, 네트워크를 관리하는 장치와 IP(Internet Protocol)망을 통해 연결되어 데이터를 송수신하는 사용자 단말기에 저장되며 컴퓨터로 판독가능한 기록 매체는,
IP망으로 송신되는 패킷들의 헤더를 분석하여 목적지 IP 주소별 패킷 전송량을 계산하는 기능; 상기 계산된 패킷 전송량이 설정된 임계치를 초과하는지 여부를 판단하는 기능; 상기 판단 결과, 패킷 전송량이 설정된 임계치를 초과한 경우에, 임계치를 초과한 패킷의 목적지 IP 주소, 소스 IP 주소가 포함된 유해 트래픽 정보를 상기 장치로 전송하는 기능; 상기 장치로부터 상기 유해 트래픽 정보 제공에 대응하여 상기 목적지 IP 주소가 포함된 유해 트래픽 차단 제어 메시지를 수신하는 기능; 및 상기 유해 트래픽 차단 제어 메시지에 포함된 목적지 IP 주소를 갖는 패킷에 대한 송신을 차단하는 기능을 포함한다.
여기서, 상기 목적지 IP 주소를 갖는 패킷에 대한 송신을 차단하는 기능은,
상기 유해 트래픽 차단 제어 메시지에 포함된 상기 목적지 IP 주소를 차단 IP 주소 목록에 추가하는 기능; 및 IP망으로 송신되는 패킷들의 헤더를 분석하여 상기 추가된 차단 IP 주소 목록에 포함된 목적지 IP 주소를 갖는 패킷이 검출되면, 검출된 패킷을 파기하는 기능을 포함한다.
본 발명에 따르면, 복수의 사용자 단말기로부터 수신된 유해 트래픽 정보들을 기초로 제어할 사용자 단말기를 선별하고, 선별된 사용자 단말기의 유해 트래픽 송신 차단을 제어함으로써, 네트워크 망에 영향을 주는 유해 트래픽을 정확도 높게 차단할 수 있는 효과를 기대할 수 있다. 즉, DDOS와 같이 하나의 타겟 단말기에 대한 복수의 송신 단말기 공격을 원천적으로 차단할 수 있으며, 해당 트래픽을 발생하는 프로그램을 삭제하여 사용자 단말기의 부하를 감소시키고, 사용자 단말기가 악성 공격에 이용되는 것을 막을 수 있는 효과를 기대할 수 있다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
이제 도면을 통해 본 발명의 실시 예에 따른 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기 및 그의 기록 매체에 대하여 상세히 설명한다.
도 1은 본 발명의 실시 예에 따른 네트워크 관리 장치가 적용된 시스템을 도시한 도면이다.
도 1에 나타낸 바와 같이, 본 발명의 실시 예에 따른 시스템은 네트워크 관리 장치(300)와 IP(Internet Protocol; 이하, "IP"라 함)망을 구성하는 다수의 라우터(200-1, 200-2, 200-3, 200-4, 200-5, 200-6)를 포함하며, 복수의 사용자 단말기(100, 120)와 연결되어 데이터를 송수신한다.
네트워크 관리 장치(300)는 IP망을 구성하는 다수의 라우터(200-1, 200-2, 200-3, 200-4, 200-5, 200-6)를 제어 및 감시하며, 복수의 사용자 단말기(100, 120)로부터 수신되는 유해 트래픽 정보를 수신하고, 수신된 유해 트래픽 정보들을 이용하여 유해 트래픽을 발생하는 사용자 단말기를 추출한다. 그리고 추출된 사용자 단말기의 유해 트래픽 발생을 제어한다. 또한, 네트워크 관리 장치(300)는 유해 트래픽 정보들을 기초로 유해 트래픽을 검출하여 해당 유해 트래픽에 대한 전송을 차단하도록 다수 라우터(200-1, 200-2, 200-3, 200-4, 200-5, 200-6)를 제어한다.
이러한, 네트워크 관리 장치(300)에 대하여 하기의 도 2를 통해 상세히 후술 한다.
다수의 라우터(200-1, 200-2, 200-3, 200-4, 200-5, 200-6)는 패킷 전송 제어 장치로, 패킷 전달 기능을 수행한다. 또한, 각 라우터(200-1, 200-2, 200-3, 200-4, 200-5, 200-6)는 네트워크 관리 장치(300)으로부터 전송 차단 IP 주소 정보를 수신하고, 수신된 전송 차단 IP 주소 정보를 기초로 전송 차단 패킷을 검출하여 파기한다.
사용자 단말기(100)는 IP망을 통해 네트워크 관리 장치(300)와 데이터를 송수신하며, IP망으로 송신하는 패킷을 분석하여 유해 트래픽 여부를 감지하고, 유해 트래픽으로 판단되면 네트워크 관리 장치(300)로 유해 트래픽 정보를 제공한다.
또한, 사용자 단말기(100)는 네트워크 관리 장치(300)로부터 유해 트래픽 차단 제어 메시지를 수신하고, 수신된 유해 트래픽 차단 제어 메시지에 포함된 IP 주소를 목적지로 하는 패킷이 IP 망으로 송신하지 않도록 관리한다.
여기서, 사용자 단말기(100)는 IP망에 접속할 수 있고, 특정 프로그램을 동작할 수 있는 저장공간을 포함하는 장치로, 컴퓨터(Computer), 휴대 단말기 등을 포함한다.
이러한, 사용자 단말기(100)에 대하여 하기의 도 3을 통해 상세히 후술한다.
도 2는 본 발명의 실시 예에 따른 네트워크 관리 장치를 상세히 도시한 블록도이다.
도 2에 나타낸 바와 같이, 본 발명의 실시 에에 따른 네트워크 관리 장치(300)는 통신부(302), 저장부(304), 유해 트래픽 검출부(306) 및 제어부(308)를 포함한다.
통신부(302)는 복수의 사용자 단말기(100, 120)로부터 유해 트래픽 정보 메시지를 수신하고, 수신된 유해 트래픽 정보 메시지의 유해 트래픽 정보를 저장부(304)에 저장한다.
저장부(304)는 통신부(302)로부터 수신된 유해 트래픽 정보를 사용자 단말기(100, 120)별(사용자 단말기의 IP별)로 저장하고, 저장된 유해 트래픽 정보를 유해 트래픽 검출부(306)로 제공한다.
유해 트래픽 검출부(306)는 주기적으로 저장부(304)에 저장된 사용자 단말기(100)별 유해 트래픽 정보를 확인하여 유해 트래픽을 차단할 사용자 단말기(100)를 선별한다.
구체적으로, 유해 트래픽 검출부(306)는 사용자 단말기(100)별 유해 트래픽 정보를 확인하여 동일한 목적지 IP 주소를 갖는 유해 트래픽 정보를 검출하고, 검출된 유해 트래픽 정보가 설정된 수를 초과하는 경우에, 해당 유해 트래픽 정보를 송신한 사용자 단말기(100, 120)들을 유해 트래픽 발생 그룹으로 그룹화한다. 그리고 그룹화된 사용자 단말기(100, 120)의 IP 주소들을 제어부(308)로 제공한다.
제어부(308)는 통신부(302), 저장부(304) 및 유해 트래픽 검출부(306)간의 데이터 흐름을 제어하며, 유해 트래픽 검출부(306)로부터 수신된 유해 트래픽 발생 그룹의 IP 주소들을 수신하고, 동일한 목적지 IP 주소를 갖는 유해 트래픽의 송신을 차단하기 위한 유해 트래픽 차단 제어 메시지를 생성하여 유해 트래픽 발생 그룹의 각 사용자 단말기(100, 120)로 전송한다.
이때, 제어부(308)는 목적지 IP 주소로 전송되는 유해 트래픽을 차단하도록 IP망의 각 라우터(200-1, 200-2, 200-3, 200-4, 200-5, 200-6)로 전송 차단 IP 주소 정보가 포함된 유해 트래픽 차단 제어 메시지를 전송하여, 사용자 단말기(소스 IP 주소)에서 목적지 IP 주소로 전송되는 유해 트래픽들을 차단할 수도 있다. 여기서, 전송 차단 IP 주소 정보는 유해 트래픽 발생 그룹의 IP 주소들과 목적지 IP 주소를 포함한다.
도 3은 본 발명의 실시 예에 따른 사용자 단말기를 상세히 도시한 블록도이다.
도 3에 나타낸 바와 같이, 본 발명의 실시 예에 따른 사용자 단말기(100)는 통신부(102), 유해 트래픽 추출부(104), 유해 트래픽 설정부(106) 및 제어부(108)를 포함한다.
통신부(102)는 IP망에 연결되며, 유해 트래픽 추출부(104)로부터 수신된 유해 트래픽 정보 메시지를 IP망을 통해 네트워크 관리 장치(300)로 전송한다.
또한, 통신부(102)는 IP망을 통해 네트워크 관리 장치(300)로부터 수신한 유해 트래픽 차단 메시지를 유해 트래픽 설정부(106)로 전송한다.
유해 트래픽 추출부(104)는 통신부(102)가 송신하는 패킷의 헤더를 분석하여 목적지 IP주소별 PPS(Packet Per Second; 이하, "PPS"라 함)를 계산하고, 계산된 PPS가 설정된 임계치를 초과하는 경우에, 해당 패킷의 목적지 IP 주소, PPS 수치, 소스 IP 주소, 소스 MAC 주소를 포함하는 유해 트래픽 정보를 생성한다. 그리고 유해 트래픽 정보가 포함된 메시지를 생성하여 통신부(102)를 통해 네트워크 관리 장 치(300)로 전송한다.
또한, 유해 트래픽 추출부(104)는 통신부(102)가 송신하는 패킷의 헤더를 분석하는 경우에, 차단 IP 주소 목록의 목적지 IP 주소를 갖는 패킷이 검출되면, 해당 패킷을 파기한다.
유해 트래픽 설정부(106)는 통신부(102)를 통해 네트워크 관리 장치(300)로부터 유해 트래픽 차단 제어 메시지를 수신하면, 유해 트래픽 차단 제어 메시지에 포함된 목적지 IP 주소 정보를 추출하고, 추출된 목적지 IP 주소를 차단 IP 주소 목록에 저장한다. 여기서, 유해 트래픽 설정부(106)는 차단 IP 주소 목록을 유해 트래픽 추출부(104)에 제공한다.
제어부(108)는 통신부(102), 유해 트래픽 추출부(104) 및 유해 트래픽 설정부(106)간의 데이터 흐름을 제어한다.
또한, 제어부(108)는 유해 트래픽 설정부(106)에 저장된 차단 IP 주소 목록의 IP 주소를 목적지로 하는 패킷이 유해 트래픽 추출부(104)에서 검출되면, 해당 패킷을 생성한 프로그램을 검출하여 삭제할 수도 있다. 다만, 해당 프로그램을 삭제할 경우 사용자의 승인을 얻어 삭제해야 한다.
한편, 본 발명의 실시 예에 따른 사용자 단말기(100)는 PPS만을 이용하여 유해 트래픽을 검출하였지만, 더욱 정밀한 검출을 위해 PPS와 함께 페이로드(Payload)의 패턴을 파악하여 유해 트래픽을 검출할 수도 있다.
도 4는 본 발명의 실시 예에 따른 유해 트래픽 발생 제어를 위한 사용자 단말기와 네트워크 관리 장치간의 데이터 흐름을 도시한 도면이다.
도 4에 나타낸 바와 같이, 본 발명의 실시 예에 따른 사용자 단말기(100)는 발생되는 패킷 헤더를 분석하고(S100), 목적지 IP주소별 PPS를 계산한다(S102). 그리고, 계산된 PPS가 설정된 임계치를 초과하였는지 여부를 판단한다(S104).
상기 S104 단계의 판단 결과, PPS가 설정된 임계치를 초과하지 않은 경우에, S100 단계를 수행한다.
상기 S104 단계의 판단 결과, PPS가 설정된 임계치를 초과한 경우에, 사용자 단말기(100)는 유해 트래픽 발생을 네트워크 관리 장치(300)로 알리기 위해 유해 트래픽 정보가 포함된 유해 트래픽 정보 메시지를 생성하고(S106), 생성된 유해 트래픽 정보 메시지를 네트워크 관리 장치(300)로 전송한다(S108).
네트워크 관리 장치(300)는 사용자 단말기(100)로부터 유해 트래픽 정보 메시지를 수신하고(S110), 수신된 유해 트래픽 정보 메시지에 포함된 유해 트래픽 정보를 저장한다(S112).
그리고, 네트워크 관리 장치(300)는 주기적으로 복수의 사용자 단말기(100, 120)로부터 수신된 유해 트래픽 정보들 중 동일한 목적지 IP 주소를 갖는 유해 트래픽 정보를 추출하고(S114), 추출된 유해 트래픽 정보가 설정된 수를 초과하는지 여부를 판단한다(S116).
상기 S116 단계의 판단 결과, 추출된 유해 트래픽 정보가 설정된 수를 초과하지 않은 경우에, 상기 S114 단계를 수행한다.
상기 S116 단계의 판단 결과, 추출된 유해 트래픽 정보가 설정된 수를 초과한 경우에, 네트워크 관리 장치(300)는 추출된 유해 트래픽 정보를 전송한 사용자 단 말기(100)들이 동일한 목적지 IP 주소로의 유해 트래픽 발생을 차단하기 위한 유해 트래픽 차단 제어 메시지를 생성하고(S118), 생성된 유해 트래픽 차단 제어 메시지를 추출된 유해 트래픽 정보의 소스 IP 주소로 각각 전송한다(S120).
사용자 단말기(100)는 네트워크 관리 장치(300)로부터 유해 트래픽 차단 제어 메시지를 수신하고(S122), 수신된 유해 트래픽 차단 제어 메시지에 포함된 목적지 IP 주소로의 패킷을 전송하지 않도록 차단 IP 주소 목록에 해당 목적지 IP 주소를 저장한다(S124). 그리고 사용자 단말기(100)는 송신될 패킷의 헤더를 분석하여 저장된 차단 IP 주소를 목적지로 갖는 패킷이 검출되면, 해당 패킷을 파기한다(S126).
이러한, 네트워크 관리 장치는 복수의 사용자 단말기로부터 수신된 유해 트래픽 정보들을 기초로 제어할 사용자 단말기를 선별하고, 선별된 사용자 단말기의 유해 트래픽 송신 차단을 제어함으로써, 원천적으로 네트워크 망에 영향을 주는 유해 트래픽을 정확도 높게 차단할 수 있는 장점이 있다. 또한, DDOS와 같이 하나의 타겟 단말기에 대한 복수의 송신 단말기 공격을 효율적으로 차단할 수 있으며, 해당 트래픽을 발생하는 프로그램을 삭제하여 사용자 단말기의 부하를 감소시키고, 사용자 단말기가 악성 공격에 이용되는 것을 막을 수 있는 장점이 있다.
이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
도 1은 본 발명의 실시 예에 따른 네트워크 관리 장치가 적용된 시스템을 도시한 도면이다
도 2는 본 발명의 실시 예에 따른 네트워크 관리 장치를 상세히 도시한 블록도이다.
도 3은 본 발명의 실시 예에 따른 사용자 단말기를 상세히 도시한 블록도이다.
도 4는 본 발명의 실시 예에 따른 유해 트래픽 발생 제어를 위한 사용자 단말기와 네트워크 관리 장치간의 데이터 흐름을 도시한 도면이다.

Claims (12)

  1. IP(Internet Protocol)망을 통해 복수의 사용자 단말기들로부터 유해 트래픽 정보-여기서, 상기 유해 트래픽 정보는 유해 트래픽의 소스 IP 주소 및 목적지 IP 주소를 포함함-를 각각 수신하는 통신부;
    상기 통신부가 수신한 유해 트래픽 정보들을 저장하는 저장부;
    상기 저장부에 저장된 유해 트래픽 정보들 중 제1 목적지 IP 주소를 갖는 유해 트래픽 정보를 검출하고, 검출된 유해 트래픽 정보가 설정된 수를 초과하는 경우에, 상기 검출된 유해 트래픽 정보를 송신한 사용자 단말기들을 유해 트래픽 발생 그룹으로 그룹화하는 유해 트래픽 검출부; 및
    상기 제1 목적지 IP 주소를 갖는 유해 트래픽에 대한 송신을 차단하도록 상기 유해 트래픽 발생 그룹의 각 사용자 단말기를 제어하는 제어부
    를 포함하는 네트워크 관리 장치.
  2. 제1항에 있어서,
    상기 제어부는,
    상기 유해 트래픽에 대한 송신을 차단하도록 유해 트래픽 차단 제어 메시지를 생성하고, 생성된 유해 트래픽 차단 제어 메시지를 상기 유해 트래픽 발생 그룹의 각 사용자 단말기로 전송하는 네트워크 관리 장치.
  3. 제1항에 있어서,
    상기 제어부는,
    상기 유해 트래픽 발생 그룹의 각 사용자 단말기가 상기 제1 목적지 IP 주소로 전송하는 유해 트래픽을 차단하도록 상기 IP망에 속한 라우터들을 제어하는 네트워크 관리 장치.
  4. 제1항 내지 제3항 중 어느 한 항에 있어서,
    상기 복수의 사용자 단말기 각각은,
    IP망으로 송신되는 패킷들의 헤더를 분석하여 목적지 IP 주소별 패킷 전송량을 계산하고, 계산된 패킷 전송량이 임계치를 초과하면, 상기 유해 트래픽 정보를 생성하는 특징을 갖는 네트워크 관리 장치.
  5. 복수의 사용자 단말기와 IP(Internet Protocol)망을 통해 데이터를 송수신하는 장치의 네트워크 관리 방법에 있어서,
    상기 복수의 사용자 단말기들로부터 유해 트래픽 정보-여기서, 상기 유해 트래픽 정보는 유해 트래픽의 소스 IP 주소 및 목적지 IP 주소를 포함함-를 각각 수신하여 저장하는 단계;
    저장된 유해 트래픽 정보들 중 제1 목적지 IP 주소를 갖는 유해 트래픽 정보를 검출하는 단계;
    상기 검출된 유해 트래픽 정보가 설정된 수를 초과하는지 여부를 판단하는 단계; 및
    상기 판단 결과, 검출된 유해 트래픽 정보가 설정된 수를 초과하는 경우에, 상기 검출된 유해 트래픽 정보를 송신한 사용자 단말기들로 상기 제1 목적지 IP 주소를 갖는 유해 트래픽 송신 차단을 위한 제어 메시지를 생성하여 전송하는 단계
    를 포함하는 네트워크 관리 방법.
  6. 제5항에 있어서,
    상기 판단 결과, 검출된 유해 트래픽 정보가 설정된 수를 초과하는 경우에,
    상기 검출된 유해 트래픽 정보를 송신한 사용자 단말기들이 상기 제1 목적지 IP 주소로 전송하는 유해 트래픽을 차단하도록 IP망의 복수의 라우터들을 제어하는 단계
    를 더 포함하는 네트워크 관리 방법.
  7. 네트워크를 관리하는 장치와 IP(Internet Protocol)망을 통해 연결되어 데이터를 송수신하는 사용자 단말기에 있어서,
    IP망으로 송신되는 패킷들의 헤더를 분석하여 목적지 IP 주소별 패킷 전송량을 계산하고, 계산된 패킷 전송량이 설정된 임계치를 초과하는 경우에, 패킷의 목적지 IP 주소, 소스 IP 주소가 포함된 유해 트래픽 정보를 상기 장치로 전송하는 유해 트래픽 추출부; 및
    상기 장치로부터 상기 유해 트래픽 정보 제공에 대응하여 상기 목적지 IP 주 소가 포함된 유해 트래픽 차단 제어 메시지를 수신하면 상기 목적지 IP 주소를 갖는 패킷에 대한 송신을 차단하도록 상기 유해 트래픽 추출부를 제어하는 유해 트래픽 설정부
    를 포함하는 사용자 단말기.
  8. 제7항에 있어서,
    상기 유해 트래픽 설정부는,
    차단 IP 주소 목록을 저장하며, 상기 유해 트래픽 차단 제어 메시지에 포함된 상기 목적지 IP 주소를 상기 차단 IP 주소 목록에 추가하고, 상기 추가된 차단 IP 주소 목록을 상기 유해 트래픽 추출부로 제공하는 사용자 단말기.
  9. 제8항에 있어서,
    상기 유해 트래픽 추출부는,
    IP망으로 송신할 제1 패킷의 목적지 IP 주소가 상기 차단 IP 주소 목록에 포함되면, 상기 제1 패킷을 파기하는 사용자 단말기.
  10. 제8항에 있어서,
    상기 차단 IP 주소 목록들 중 하나의 IP 주소를 갖는 제2 패킷이 송신되는 경우에, 상기 제2 패킷을 생성한 프로그램을 검출하여 삭제하는 사용자 단말기.
  11. 네트워크를 관리하는 장치와 IP(Internet Protocol)망을 통해 연결되어 데이터를 송수신하는 사용자 단말기에 저장되며 컴퓨터로 판독가능한 기록 매체에 있어서,
    IP망으로 송신되는 패킷들의 헤더를 분석하여 목적지 IP 주소별 패킷 전송량을 계산하는 기능;
    상기 계산된 패킷 전송량이 설정된 임계치를 초과하는지 여부를 판단하는 기능;
    상기 판단 결과, 패킷 전송량이 설정된 임계치를 초과한 경우에, 임계치를 초과한 패킷의 목적지 IP 주소, 소스 IP 주소가 포함된 유해 트래픽 정보를 상기 장치로 전송하는 기능;
    상기 장치로부터 상기 유해 트래픽 정보 제공에 대응하여 상기 목적지 IP 주소가 포함된 유해 트래픽 차단 제어 메시지를 수신하는 기능; 및
    상기 유해 트래픽 차단 제어 메시지에 포함된 목적지 IP 주소를 갖는 패킷에 대한 송신을 차단하는 기능
    을 포함하는 기록 매체.
  12. 제11항에 있어서,
    상기 목적지 IP 주소를 갖는 패킷에 대한 송신을 차단하는 기능은,
    상기 유해 트래픽 차단 제어 메시지에 포함된 상기 목적지 IP 주소를 차단 IP 주소 목록에 추가하는 기능; 및
    IP망으로 송신되는 패킷들의 헤더를 분석하여 상기 추가된 차단 IP 주소 목록에 포함된 목적지 IP 주소를 갖는 패킷이 검출되면, 검출된 패킷을 파기하는 기능
    을 포함하는 기록 매체.
KR1020080107117A 2008-10-30 2008-10-30 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 KR101065800B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080107117A KR101065800B1 (ko) 2008-10-30 2008-10-30 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080107117A KR101065800B1 (ko) 2008-10-30 2008-10-30 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체

Publications (2)

Publication Number Publication Date
KR20100048105A true KR20100048105A (ko) 2010-05-11
KR101065800B1 KR101065800B1 (ko) 2011-09-19

Family

ID=42274921

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080107117A KR101065800B1 (ko) 2008-10-30 2008-10-30 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체

Country Status (1)

Country Link
KR (1) KR101065800B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101018848B1 (ko) * 2010-06-28 2011-03-04 (주)더프론즈 모바일 기기의 악성 코드가 생성하는 네트워크 데이터를 제어하는 네트워크 데이터 제어 장치 및 네트워크 데이터 제어 방법
KR101338247B1 (ko) * 2012-03-23 2013-12-09 플러스기술주식회사 스마트tv의 트래픽 구분 제어 방법 및 장치
KR101427412B1 (ko) * 2014-04-17 2014-08-08 (주)지란지교소프트 데이터 유출 방지를 위한 악성 코드 탐색 방법 및 장치
KR101506210B1 (ko) * 2010-12-08 2015-03-27 주식회사 케이티 분산서비스거부 공격 대응 방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100527794B1 (ko) * 2002-02-26 2005-11-09 (주)넷피아닷컴 네트워크 접속 차단 시스템 및 그 방법
KR20050049741A (ko) * 2003-11-24 2005-05-27 삼성전자주식회사 컴퓨터 시스템 및 그 네트워크 트래픽 제어방법
KR100736054B1 (ko) * 2004-08-03 2007-07-06 주식회사 엘지데이콤 이더넷 패킷 분석을 기반으로 한 pc 트래픽 분석 및감시 방법
US8255996B2 (en) 2005-12-30 2012-08-28 Extreme Networks, Inc. Network threat detection and mitigation

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101018848B1 (ko) * 2010-06-28 2011-03-04 (주)더프론즈 모바일 기기의 악성 코드가 생성하는 네트워크 데이터를 제어하는 네트워크 데이터 제어 장치 및 네트워크 데이터 제어 방법
KR101506210B1 (ko) * 2010-12-08 2015-03-27 주식회사 케이티 분산서비스거부 공격 대응 방법
KR101338247B1 (ko) * 2012-03-23 2013-12-09 플러스기술주식회사 스마트tv의 트래픽 구분 제어 방법 및 장치
KR101427412B1 (ko) * 2014-04-17 2014-08-08 (주)지란지교소프트 데이터 유출 방지를 위한 악성 코드 탐색 방법 및 장치

Also Published As

Publication number Publication date
KR101065800B1 (ko) 2011-09-19

Similar Documents

Publication Publication Date Title
KR101404352B1 (ko) 정보 시스템 기반구조의 보안 정책 조정 방법
KR100952350B1 (ko) 지능망 인터페이스 컨트롤러
US8650287B2 (en) Local reputation to adjust sensitivity of behavioral detection system
KR100663546B1 (ko) 악성 봇 대응 방법 및 그 시스템
KR101231975B1 (ko) 차단서버를 이용한 스푸핑 공격 방어방법
KR101424490B1 (ko) 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법
US7610624B1 (en) System and method for detecting and preventing attacks to a target computer system
KR20100118836A (ko) 다수의 캐시 서버를 이용하여 부하를 분산시키는 DDoS 공격 회피 시스템, 부하 분산 시스템 및 캐시 서버
WO2004095281A2 (en) System and method for network quality of service protection on security breach detection
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
US8159948B2 (en) Methods and apparatus for many-to-one connection-rate monitoring
US20110023088A1 (en) Flow-based dynamic access control system and method
KR101065800B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
KR101380015B1 (ko) 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치
EP1742438A1 (en) Network device for secure packet dispatching via port isolation
KR20170109949A (ko) 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치
US11159533B2 (en) Relay apparatus
JP2006067078A (ja) ネットワークシステムおよび攻撃防御方法
KR101075234B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 컨텐츠 제공 서버
US8646081B1 (en) Method and system to detect a security event in a packet flow and block the packet flow at an egress point in a communication network
KR101230919B1 (ko) 이상 트래픽 자동 차단 시스템 및 방법
KR102046612B1 (ko) Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법
JP4084317B2 (ja) ワーム検出方法
US20100157806A1 (en) Method for processing data packet load balancing and network equipment thereof
JP4326423B2 (ja) 管理装置および不正アクセス防御システム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140901

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160901

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180903

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190807

Year of fee payment: 9