KR20110087972A - Method for blocking abnormal traffic using session table - Google Patents

Method for blocking abnormal traffic using session table Download PDF

Info

Publication number
KR20110087972A
KR20110087972A KR1020100007666A KR20100007666A KR20110087972A KR 20110087972 A KR20110087972 A KR 20110087972A KR 1020100007666 A KR1020100007666 A KR 1020100007666A KR 20100007666 A KR20100007666 A KR 20100007666A KR 20110087972 A KR20110087972 A KR 20110087972A
Authority
KR
South Korea
Prior art keywords
session table
security system
abnormal traffic
packet
address
Prior art date
Application number
KR1020100007666A
Other languages
Korean (ko)
Inventor
유승재
김진택
Original Assignee
한남대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한남대학교 산학협력단 filed Critical 한남대학교 산학협력단
Priority to KR1020100007666A priority Critical patent/KR20110087972A/en
Publication of KR20110087972A publication Critical patent/KR20110087972A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Abstract

PURPOSE: A method for blocking an abnormal traffic using a session table is provided to monitor an abnormal traffic in an IPSec protocol network. CONSTITUTION: A session table is created in a security system(300) when a security session is established using an IPSec protocol between a transmission part and a reception part. Predetermined information is extracted from a normal packet header which is received from the transmission part. The session table is updated using the extracted information. The predetermined information is extracted from the received packet and the information is compared with the information of the corresponding session table.

Description

세션 테이블을 이용한 비정상 트래픽의 차단 방법{method for blocking abnormal traffic using session table}Method for blocking abnormal traffic using session table}

본 발명은 IPSec 프로토콜을 이용하여 수행되는 보안 통신에 있어서 IPSec 프로토콜을 위한 확장 헤더의 소정의 필드를 세션 테이블로 관리하는 방식으로 비정상 트래픽을 모니터링 및 차단하는 방법에 관한 것이다.The present invention relates to a method for monitoring and blocking abnormal traffic in a manner of managing a predetermined field of an extension header for an IPSec protocol in a session table in a secure communication performed using the IPSec protocol.

IPSec 프로토콜은 IP 계층과 전송 계층간 적용할 수 있는 보안 서비스이며, 어플리케이션 독립적으로 네트워크 보안이 가능하고 호스트간의 통신에도 적용이 가능한 보안 프로토콜이다. IPv6 프로토콜에서는 IPSec 프로토콜을 기본적인 보안 기술로 사용하도록 권장하고 있으며, IPSec 프로토콜은 IP패킷을 인증 또는 암호화함으로써 데이터의 무결성, 인증, 기밀성, 부인 방지 등의 서비스를 제공한다. The IPSec protocol is a security service that can be applied between the IP layer and the transport layer, and is a security protocol that can be applied to network security independently and to communication between hosts. The IPv6 protocol recommends using the IPSec protocol as a basic security technology. The IPSec protocol provides services such as data integrity, authentication, confidentiality, and nonrepudiation by authenticating or encrypting IP packets.

IPSec 프로토콜이 적용된 패킷의 경우, 송수신 과정에서 키 합의와 인증단계와 암호화 매개변수 설정 단계를 거쳐야 한다. 또한, 송/수신측 간에 SA(Security Association) 협상을 통해 비밀 키를 공유하고, 공유된 키를 이용하여 인증(AH 확장 헤더) 및 암호화(ESP 확장 헤더)를 수행하여야 하기 때문에 전송 경로의 중간에 위치한 보안 시스템에서 트래픽을 신속하고 정확하게 처리하기 어려운 문제가 있다.In the case of the packet to which the IPSec protocol is applied, it is required to go through key agreement, authentication, and encryption parameter setting during transmission and reception. In addition, since the secret key must be shared between the transmitting and receiving parties through a security association (SA) negotiation, authentication (AH extended header) and encryption (ESP extended header) must be performed using the shared key. There is a problem that it is difficult to process traffic quickly and accurately in a security system located.

IPSec 프로토콜이 터널 모드로 동작할 경우, 양 종단 간의 터널 호스트(security gate) 사이에서 IPSec 프로토콜을 적용하기 때문에 보안시스템을 터널 외부에 설치하면 IPSec 프로토콜이 적용되지 않은 트래픽으로 간주하여 처리하는 문제가 있다. 반면에 보안 시스템을 터널 내부에 설치할 경우 전술한 사유로 인해 IPSec 프로토콜이 적용된 트래픽을 신속하게 처리하기 어려워진다.When the IPSec protocol operates in tunnel mode, the IPSec protocol is applied between the security gates between both ends. Therefore, when the security system is installed outside the tunnel, the IPSec protocol is regarded as unapplied traffic. . On the other hand, if the security system is installed inside the tunnel, the above-mentioned reasons make it difficult to process the traffic to which the IPSec protocol is applied quickly.

한편 IPSec 프로토콜이 전송 모드로 동작할 경우, 보안 시스템은 IPSec 프로토콜이 적용된 트래픽을 처리해야만 하므로 동일한 문제가 계속하여 발생한다.On the other hand, when the IPSec protocol operates in the transmission mode, the same problem continues because the security system has to handle the traffic to which the IPSec protocol is applied.

특히 ESP 확장 헤더에 의해 암호화된 패킷을 중간의 보안 시스템이 확인할 길이 없으므로 공격자가 악성 코드가 포함된 패킷에 ESP 확장 헤더를 교묘히 적용하여 전송할 경우 보안 시스템은 적절한 대응을 할 수 없다.In particular, since the security system of the intermediate security system cannot check the packet encrypted by the ESP extension header, the security system cannot respond properly when the attacker cleverly applies the ESP extension header to the packet containing the malicious code.

이러한 문제를 해결하기 위해 키 분배를 이용한 대응 기법이 제안되었다. 키 분배 기법은 IPSec 프로토콜에서 사용되는 키를 보안 시스템도 함께 공유함으로써 AH로 인증된 트래픽이나 ESP로 암호화된 트래픽에 대하여도 비정상 트래픽 여부를 검사할 수 있도록 한 것이다.In order to solve this problem, a countermeasure using key distribution has been proposed. The key distribution scheme is to share the key used in the IPSec protocol with the security system so that abnormal traffic can be checked for AH-authenticated or ESP-encrypted traffic.

즉, ESP 확장 헤더를 적용하여 암호화된 패킷은 보안 시스템에서 침입 여부를 판단할 수는 없지만, 보안 시스템이 수신측과 동일한 키와 동일한 암호화 알고리즘을 공유한다면 수신된 패킷을 복호화하여 칩입 여부를 판단할 수 있다.That is, the packet encrypted by applying the ESP extension header cannot be determined by the security system. However, if the security system shares the same encryption algorithm with the same key as the receiver, the received packet can be decrypted to determine whether the packet is encrypted. Can be.

그러나 키 분배 방식에 의할 때 다음과 같은 문제들이 야기된다.However, the following problems are caused by the key distribution method.

첫째, 키 분배를 위해 보안 시스템으로 키를 전달하는 과정에서 위험에 노출될 우려가 있다. First, there is a risk that the key is exposed to the security system for key distribution.

둘째, IPSec을 이용한 보안 시스템과의 키 분배 방법은 키와 암호화 알고리즘을 전송하기 위해 추가적인 IPSec 통신을 요구하므로 네트워크 오버헤드가 증가하는 문제가 있다. 송/수신측이 키 값을 서로 나눠가질 때 보안 시스템에게 키 값을 하나 복사해주는 방법도 고려할 수 있으나 이 역시 해커에게 의해 공격당할 위험이 존재한다. 또한 보안 시스템에서 패킷을 복호화한 후, 수신자에게 전송할 때 해당 패킷을 다시 암호화할 것인지 또는 복호화한 상태 그대로 전송할 것인지를 물어보는 방법도 고려할 수 있으나 이 역시 네트워크 오버헤드가 발생하게 된다.Secondly, the key distribution method with the security system using IPSec requires an additional IPSec communication in order to transmit a key and an encryption algorithm, thereby increasing network overhead. You can also consider copying one key value to the security system when the sender / receiver divides it, but there is also a risk of being attacked by hackers. In addition, after deciphering the packet in the security system, it may be considered to ask the receiver whether to re-encrypt the packet or transmit it as it is, but this also incurs network overhead.

본 발명이 해결하고자 하는 과제는 ESP 확장 헤더가 적용되는 IPSec 프로토콜 네트워크에서 전송 경로의 중간에 위치한 네트워크 보안 시스템이 비정상 트래픽을 모니터링하는 방법을 제공하는 것이다.An object of the present invention is to provide a method for monitoring abnormal traffic by a network security system located in the middle of a transmission path in an IPSec protocol network to which an ESP extension header is applied.

위의 과제를 해결하기 위해 본 발명은 전송 경로 상의 보안 시스템이 비정상 트래픽을 차단하는 방법을 일례로 제안한다. In order to solve the above problems, the present invention proposes, as an example, a method in which a security system on a transmission path blocks abnormal traffic.

본 발명의 일 실시예에 따른 비정상 트래픽 차단 방법은 송신측과 수신측 간에 IPSec 프로토콜을 이용한 보안 세션이 성립되면, 상기 보안 시스템에 세션 테이블이 생성되는 단계와, 상기 송신측으로부터 수신된 정상 패킷의 헤더로부터 소정의 정보를 추출하고, 상기 추출한 정보를 이용하여 상기 세션 테이블을 갱신하는 단계 및 수신된 패킷의 헤더로부터 소정의 정보를 추출하고 상기 세션 테이블의 해당 정보와 비교하여 상기 수신된 패킷이 비정상인지 판단하는 단계를 포함하여 이루어진다.In the abnormal traffic blocking method according to an embodiment of the present invention, if a secure session using an IPSec protocol is established between a sender and a receiver, a session table is generated in the security system, and a normal packet received from the sender is included. Extracting predetermined information from a header, updating the session table using the extracted information, extracting predetermined information from a header of a received packet, and comparing the corresponding information in the session table with the received packet to be abnormal. Determining whether or not it is.

여기서, 상기 수신된 패킷으로부터 추출되는 소정의 정보는 출발지 IP 주소, 도착지 IP 주소, 보안 매개 변수 색인(security parameter index, SPI), 시퀀스 번호(sequence number) 중 적어도 하나를 포함한다.The predetermined information extracted from the received packet includes at least one of a source IP address, a destination IP address, a security parameter index (SPI), and a sequence number.

상기 보안 시스템은 상기 수신된 패킷의 보안 매개 변수 색인을 상기 세션 테이블과 비교하여 출발지 IP 주소로 위장한 비정상 트래픽을 차단한다.The security system compares the security parameter index of the received packet with the session table to block abnormal traffic disguised as a source IP address.

또한 상기 보안 시스템은 상기 수신된 패킷의 시퀀스 번호가 상기 세션 테이블에서 중복되는지를 비교하여 공격자의 재전송 공격을 차단한다.The security system also blocks the attacker's retransmission attack by comparing the sequence numbers of the received packets in the session table.

또한 상기 보안 시스템은 상기 수신된 패킷의 출발지 IP 주소, 도착지 IP 주소, 보안 매개 변수 색인 및 시퀀스 번호를 상기 세션 테이블과 모두 비교하여 대용량의 비정상 트래픽 공격을 차단한다.In addition, the security system compares the source IP address, the destination IP address, the security parameter index and the sequence number of the received packet with the session table to block a large amount of abnormal traffic attack.

본 발명의 비정상 트래픽 모니터링 방법에 의하면 종래의 키 분배 방식에 비해 키 분배를 위한 오버헤드가 발생할 여지가 없고 키가 노출될 위험이 없으므로 종단 간에 보다 높은 보안 수준을 유지할 수 있다. 또한, IPSec 프로토콜의 헤더 정보를 이용하는 방식이므로 전송 계층 또는 응용 계층에서 대응하는 방식에 비해 신속한 처리가 가능하다. 또한, 네트워크 계층에서 수행되는 다른 보안 정책과 협업 처리할 경우 비정상 트래픽을 보다 철저히 모니터링 할 수 있다.According to the abnormal traffic monitoring method of the present invention, there is no overhead for key distribution and no risk of key exposure compared to the conventional key distribution method, thereby maintaining a higher security level from end to end. In addition, since the header information of the IPSec protocol is used, the processing can be performed faster than the corresponding method in the transport layer or the application layer. In addition, when collaborating with other security policies performed at the network layer, abnormal traffic can be monitored more thoroughly.

도 1은 IPSec 프로트콜에서 AH의 확장 헤더의 구조를 도시한다.
도 2는 IPSec 프로트콜에서 ESP의 확장 헤더의 구조를 도시한다.
도 3은 본 발명의 비정상 트래픽 차단 방법이 적용되는 네트워크 통신 시스템의 구성을 도시한다.
도 4는 보안 시스템에서 관리되는 세션 테이블의 구체적인 일례를 도시한 것이다.1 shows the structure of an extension header of an AH in an IPSec protocol.
2 illustrates the structure of an extension header of an ESP in an IPSec protocol.
3 is a block diagram of a network communication system to which an abnormal traffic blocking method of the present invention is applied.
4 illustrates a specific example of a session table managed in a security system.

이하, 첨부된 도면을 참고로 본 발명의 바람직한 실시예를 상세히 설명한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

본 발명은 IPSec 프로토콜을 이용한 보안 세션이 성립될 때마다 확장 헤더의 SPI 항목과 시퀀스 번호 항목을 보안 시스템에서 세션 테이블로 관리하고, 상기 보안 시스템에 패킷이 도착할 때마다 패킷의 헤더 정보와 상기 테이블에 관리 중인 정보를 비교하여 비정상 트래픽을 차단한다. The present invention manages the SPI item and sequence number item of the extension header as a session table in the security system whenever a secure session using the IPSec protocol is established. Compare abnormal information to block abnormal traffic.

상기 보안 시스템의 동작 과정을 상세히 설명하기에 앞서 먼저 IPSec 프로트콜의 기본적인 패킷 구성을 살펴본다.Before describing the operation of the security system in detail, the basic packet configuration of the IPSec protocol will be described.

도 1은 IPSec 프로트콜에서 AH의 확장 헤더의 구조를 도시한다.1 shows the structure of an extension header of an AH in an IPSec protocol.

IPsec 프로토콜의 AH(authentication header)는 IP패킷을 데이터 무결성과 인증을 지원하며 재전송 공격에 대한 보호를 제공한다. 데이터 무결성을 검사하여 전송 패킷의 불법적인 변경 여부를 확인할 수 있고, 인증 검사를 통해 최종적인 수신 시스템 또는 네트워크 장치가 사용자나 응용 프로그램의 정상 여부를 확인할 수 있다.The authentication header (AH) of the IPsec protocol supports data integrity and authentication of IP packets and provides protection against replay attacks. Data integrity can be checked to determine whether the transmission packet is illegally modified, and authentication can be used to verify that the final receiving system or network device is normal for the user or application.

도 1에서 보듯, AH의 확장 헤더에는 특히 보안 매개 변수 색인(security parameter index, SPI) 필드(11)와, 시퀀스 번호(sequence number) 필드(12)가 포함된다.As shown in FIG. 1, the extended header of the AH includes, in particular, a security parameter index (SPI) field 11 and a sequence number field 12.

다음으로, 도 2는 IPSec 프로트콜에서 ESP의 확장 헤더의 구조를 도시한다.Next, Fig. 2 shows the structure of the extension header of the ESP in the IPSec protocol.

ESP(Encapsulating Security Payload)는 AH가 제공하는 기본 기능들을 포함하며, 추가적으로 메시지 내용의 기밀성을 제공한다. 기밀성을 유지하기 위해 소정의 알고리즘에 의해 메시지 내용을 암호화한다.Encapsulating Security Payload (ESP) includes the basic functions provided by AH and additionally provides confidentiality of the message content. The content of the message is encrypted by a predetermined algorithm to maintain confidentiality.

도 2에서 보듯, ESP의 확장 헤더에도 SPI 필드(11)와, 시퀀스 번호 필드(12)가 포함되어 있음을 알 수 있다. As shown in FIG. 2, it can be seen that the extension header of the ESP includes the SPI field 11 and the sequence number field 12.

도 1 및 도 2에서, SPI 필드(11)는 목적지 주소(destination address) 및 보안 프로토콜(AH 또는 ESP)과 조합함으로써 수신된 패킷에 적용된 보안 연결을 식별하는 데 이용된다.1 and 2, the SPI field 11 is used to identify a secure connection applied to a received packet by combining it with a destination address and a security protocol (AH or ESP).

또한, 시퀀스 번호 필드(12)는 패킷에 재생 차단 보호 기능을 제공한다. 시퀀스 번호는 32비트 숫자로서 1에서부터 시작하여 차례로 증가하며 해당 통신에 대해 빠른 모드 보안 연결(fast mode security connection)로 보낸 패킷들의 일련 번호를 표시한다. 시퀀스 번호는 빠른 모드 보안 연결 중에 반복될 수 없다. 즉, 수신측의 컴퓨터는 수신된 패킷의 시퀀스 번호 필드를 검사하여 보안 연결에 대해 이전에 상기 번호로 수신된 패킷이 있는지를 확인하고, 수신된 패킷이 존재하면 해당 패킷은 수신이 거부된다.In addition, the sequence number field 12 provides a reproduction blocking protection function to the packet. The sequence number is a 32-bit number that increases in order starting from 1 and indicates the serial number of packets sent to the fast mode security connection for that communication. The sequence number cannot be repeated during a quick mode secure connection. That is, the receiving computer checks the sequence number field of the received packet to confirm whether there is a packet previously received with the number for the secure connection, and if the received packet exists, the packet is rejected.

AH와 ESP 확장 헤더의 SPI 항목(11)과 시퀀스 번호 항목(12)은 IPSec 프로토콜이 어떠한 모드(예를 들어, 터널 모드 또는 전송 모드)로 동작하는지와 상관없이 네트워크 보안시스템이 항상 확인할 수 있는 정보이다.The SPI entry (11) and sequence number entry (12) in the AH and ESP extension headers provide information that the network security system can always determine, regardless of which mode the IPSec protocol is operating in (for example, tunnel mode or transport mode). to be.

이상에서 설명한 IPSec 프로토콜의 기본 구조를 바탕으로 보안 시스템의 비정상 트래픽 차단 방법을 상세히 설명한다.Based on the basic structure of the IPSec protocol described above, the abnormal traffic blocking method of the security system will be described in detail.

도 3은 본 발명의 비정상 트래픽 차단 방법이 적용되는 네트워크 통신 시스템의 구성을 도시한다.3 is a block diagram of a network communication system to which an abnormal traffic blocking method of the present invention is applied.

전송측(source)의 호스트 1(100)과 수신측(destination)의 호스트 2(200) 간에 보안 데이터 통신을 수행하기 위해 IPSec 프로토콜 세션이 성립되면, 보안 시스템(300)에 해당 데이터 통신에 대한 세션 테이블이 생성된다.When an IPSec protocol session is established to perform secure data communication between the host 1 100 of the source and the host 2 200 of the destination, the session for the data communication is transmitted to the security system 300. The table is created.

이후 호스트 1로부터 정상적인 패킷이 발송되어 보안 시스템(300)에 도착하면, 해당 패킷의 IP 헤더 및 IPSec 확장 헤더로부터 출발지 IP 주소, 도착지 IP 주소, SPI 및 시퀀스 번호를 획득하여 상기 세션 테이블에 추가한다. 여기서, 출발지 IP 주소, 도착지 IP 주소 및 SPI는 SA 협상 후 IPSec 프로토콜 세션이 연결되면 그 이후에는 변하지 않는 값들인 반면, 시퀀스 번호는 패킷이 전송될 때마다 매번 갱신되는 값이다.After the normal packet is sent from the host 1 to the security system 300, the source IP address, the destination IP address, the SPI and the sequence number are obtained from the IP header and the IPSec extension header of the packet and added to the session table. Here, the source IP address, the destination IP address, and the SPI are values that do not change after the IPSec protocol session is connected after SA negotiation, whereas the sequence number is a value that is updated each time a packet is transmitted.

보안 시스템(300)에 의한 세션 테이블의 관리 및 비정상 트래픽의 모니터링 과정을 도 4의 실례를 들어 설명하면 다음과 같다. 도 4는 보안 시스템에서 관리되는 세션 테이블의 구체적인 일례를 도시한 것이다.The process of managing the session table and monitoring abnormal traffic by the security system 300 will be described with reference to the example of FIG. 4 as follows. 4 illustrates a specific example of a session table managed in a security system.

도 3의 예에서, 3ffe:ffff:0:f102::2의 출발지 IP 주소를 가지는 송신측의 호스트 1(100)과, 2001:3ffe:0:f101::6의 도착지 IP 주소를 가지는 수신측의 호스트 2(200)가 최초에 SA를 생성할 때, SPI가 하나 생성되고 시퀀스 번호는 0으로 초기화된다. 이때, 보안 시스템(300)에는 새로운 세션 테이블이 하나 생성된다.In the example of FIG. 3, the host 1 (100) of the sending side having the source IP address of 3ffe: ffff: 0: f102 :: 2 and the receiving side having the destination IP address of 2001: 3ffe: 0: f101 :: 6 When Host 2 200 of S1 initially creates an SA, one SPI is created and the sequence number is initialized to zero. At this time, a new session table is created in the security system 300.

이 상태에서 호스트 1(100)로부터 패킷이 송신되면, 중간의 보안 시스템(300)은 해당 패킷으로부터 출발지 IP 주소, 도착지 IP 주소, SPI 및 시퀀스 번호를 획득하여 상기 세션 테이블에 1번 레코드(R01)로 추가한다.In this state, when a packet is transmitted from the host 1 (100), the intermediate security system 300 obtains a source IP address, a destination IP address, an SPI, and a sequence number from the packet and records the first record (R01) in the session table. Add to

이후, 호스트 1(100)과 호스트 2(200)가 SA에 따라 패킷을 암호화 또는 인증하여 전송할 때마다 SPI는 그대로 변함이 없고 시퀀스 번호는 1씩 증가하게 된다. 그리고 패킷이 전송될 때마다 보안 시스템(300)의 세션 테이블에도 레코드가 하나씩 추가된다.Thereafter, whenever the host 1 (100) and the host 2 (200) encrypts or authenticates a packet according to SA and transmits the packet, the SPI is not changed and the sequence number is increased by one. Each time a packet is transmitted, one record is added to the session table of the security system 300.

도 3의 네트워크 시스템에 비정상 트래픽으로 공격이 시도되는 경우를 3가지로 구분하고 각 유형에 따른 공격 차단 방법을 상세히 설명한다.In the case of an attack being attempted due to abnormal traffic in the network system of FIG. 3, an attack blocking method according to each type will be described in detail.

<공격 유형 1><Attack type 1>

도 3에서 공격자가 호스트 1(100)의 IP 주소로 위장하여 호스트 2(200)를 공격하는 경우, 보안 시스템(300)은 수신된 패킷의 SPI 값과 시퀀스 번호 값을 보안 시스템(300)의 세션 테이블에 있는 SPI 값과 시퀀스 번호 값을 비교함으로써 비정상 트래픽을 탐지할 수 있다.In FIG. 3, when the attacker attacks the host 2 200 by masquerading as the IP address of the host 1 100, the security system 300 stores the SPI value and the sequence number value of the received packet in the session of the security system 300. Abnormal traffic can be detected by comparing the SPI values in the table with the sequence number values.

예를 들어, 공격자가 위장 패킷에 호스트 1(100)의 IP 주소인 "3ffe:ffff:0:f102::2"를 출발지 IP 주소로 설정하여 전송한 경우, 상기 위장 패킷의 SPI 값(예를 들어 "0x9326adec")은 세션 테이블의 SPI 값(도 4의 예에서 "0x08ce81ae")과 상이하므로, 보안 시스템(300)은 상기 위장 패킷이 비정상 트래픽임을 간파할 수 있다. 따라서 상기 위장 패킷은 목적지로 전송되는 대신 그 즉시 폐기처분(drop) 된다.For example, if an attacker sent a fake packet by setting the IP address of Host 1 (100) "3ffe: ffff: 0: f102 :: 2" as the source IP address, the SPI value of the fake packet (for example, For example, since "0x9326adec" is different from the SPI value of the session table ("0x08ce81ae" in the example of FIG. 4), the security system 300 may detect that the spoofed packet is abnormal traffic. Therefore, the spoof packet is dropped immediately after being sent to the destination.

<공격 유형 2><Attack type 2>

공격자는 도 3의 네트워크 시스템에 재전송 공격을 감행할 수도 있다.An attacker may launch a retransmission attack on the network system of FIG.

다만, 도 3의 네트워크 시스템에서 시퀀스 번호는 호스트 1(100)과 호스트 2(200) 간에만 공유되는 정보이기 때문에 공격자는 정확한 시퀀스 번호를 알지 못한 채 재전송 공격에 임하게 된다. However, in the network system of FIG. 3, since the sequence number is information shared only between the host 1 (100) and the host 2 (200), the attacker attacks the retransmission attack without knowing the correct sequence number.

다시 말해, 공격자는 시퀀스 번호를 추정하여 패킷을 보내야 하는데 추정된 시퀀스 번호는 보안 시스템(300)의 세션 테이블에 기 저장된 정보와 중복될 확률이 높기 때문에 재전송 공격의 성공률은 매우 낮아진다.In other words, the attacker needs to estimate the sequence number and send the packet. Since the estimated sequence number has a high probability of overlapping with information previously stored in the session table of the security system 300, the success rate of the retransmission attack is very low.

예를 들어, 공격자가 위장 패킷을 시퀀스 번호 "5"로 설정하여 전송한 경우, 상기 위장 패킷의 시퀀스 번호는 세션 테이블에 기 저장된 레코드들 중 하나(R02)의 시퀀스 번호 "5"와 중복되므로, 보안 시스템(300)은 상기 위장 패킷이 비정상 트래픽임을 간파할 수 있다. 따라서 상기 위장 패킷은 목적지로 전송되는 대신 그 즉시 폐기처분(drop) 된다.For example, when an attacker transmits a spoofed packet with a sequence number "5", the sequence number of the spoofed packet is duplicated with the sequence number "5" of one of the records (R02) previously stored in the session table. The security system 300 may detect that the spoofed packet is abnormal traffic. Therefore, the spoof packet is dropped immediately after being sent to the destination.

<공격 유형 3><Attack type 3>

공격자는 IPSec 프로토콜을 악용한 대용량의 비정상 트래픽 공격을 감행할 수도 있다. 이 경우 정상적인 트래픽을 포함한 모든 트래픽을 차단하게 되면 품질보장서비스(QoS)에 심각한 문제가 발생한다. An attacker can also launch a large-scale abnormal traffic attack that exploits the IPSec protocol. In this case, blocking all traffic, including normal traffic, causes serious problems with the quality of service.

따라서 보안 시스템(300)은 수신된 패킷들의 출발지 IP 주소, 도착지 IP 주소, SPI, 시퀀스 번호들을 세션 테이블의 그것들과 비교하고, 정상 트래픽으로 판단된 것들에 한하여 수신측에 전송함으로써 적정 수준의 품질보장서비스가 이루어지도록 한다. Therefore, the security system 300 compares the source IP address, the destination IP address, the SPI, the sequence numbers of the received packets with those in the session table, and transmits only those determined to be normal traffic to the receiving party for an appropriate level of quality assurance. Make sure the service is done.

이 과정에서 IPSec 프로토콜이 가지는 대용량 비정상 트래픽에 대한 취약성의 한계를 극복하기 위해 netfilter6 프레임워크를 추가로 사용하여 IPv6 환경에서 대용량의 비정상 트래픽에 실시간으로 대응할 수 있고, 오탐지율을 줄이기 위해 CBQ 매커니즘을 추가로 이용하여 의심스러운 트래픽의 대역폭을 줄일 수 있다.In this process, in order to overcome the limitations of the vulnerabilities for the large traffic abnormality of the IPSec protocol, the netfilter6 framework can be used to respond to the large traffic abnormalities in real time in the IPv6 environment, and the CBQ mechanism is added to reduce the false positive rate. This can reduce the bandwidth of suspicious traffic.

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 아래의 청구범위에서 정의하는 본 발명의 기본 개념을 이용하여 당업자가 여러 가지로 변형 및 개량한 형태 또한 본 발명의 권리범위에 속한다.Although the embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements may be made by those skilled in the art using the basic concept of the present invention as defined in the following claims. It belongs to the scope of the present invention.

Claims (5)

전송 경로 상의 보안 시스템이 비정상 트래픽을 차단하는 방법에 있어서,
송신측과 수신측 간에 IPSec 프로토콜을 이용한 보안 세션이 성립되면, 상기 보안 시스템에 세션 테이블이 생성되는 단계;
상기 송신측으로부터 수신된 정상 패킷의 헤더로부터 소정의 정보를 추출하고, 상기 추출한 정보를 이용하여 상기 세션 테이블을 갱신하는 단계; 및
수신된 패킷의 헤더로부터 소정의 정보를 추출하고 상기 세션 테이블의 해당 정보와 비교하여 상기 수신된 패킷이 비정상인지 판단하는 단계
를 포함하는 세션 테이블을 이용한 비정상 트래픽의 차단 방법.In the security system on the transmission path to block abnormal traffic,
Generating a session table in the security system when a secure session is established between the transmitting side and the receiving side using the IPSec protocol;
Extracting predetermined information from a header of a normal packet received from the transmitting side, and updating the session table using the extracted information; And
Extracting predetermined information from a header of a received packet and comparing the corresponding information in the session table to determine whether the received packet is abnormal;
Blocking of abnormal traffic using the session table comprising a. 제1항에 있어서,
상기 수신된 패킷으로부터 추출되는 소정의 정보는 출발지 IP 주소, 도착지 IP 주소, 보안 매개 변수 색인(security parameter index, SPI), 시퀀스 번호(sequence number) 중 적어도 하나인 것을 특징으로 하는 세션 테이블을 이용한 비정상 트래픽의 차단 방법.The method of claim 1,
The predetermined information extracted from the received packet is at least one of a source IP address, a destination IP address, a security parameter index (SPI), and a sequence number. How to block traffic. 제2항에 있어서,
상기 보안 시스템은 상기 수신된 패킷의 보안 매개 변수 색인을 상기 세션 테이블과 비교하여 출발지 IP 주소로 위장한 비정상 트래픽을 차단하는 것을 특징으로 하는 세션 테이블을 이용한 비정상 트래픽의 차단 방법.The method of claim 2,
The security system is to block the abnormal traffic disguised as a source IP address by comparing the security parameter index of the received packet with the session table. 제2항에 있어서,
상기 보안 시스템은 상기 수신된 패킷의 시퀀스 번호가 상기 세션 테이블에서 중복되는지를 비교하여 공격자의 재전송 공격을 차단하는 것을 특징으로 하는 세션 테이블을 이용한 비정상 트래픽의 차단 방법.The method of claim 2,
The security system is to block the abnormal traffic using the session table, characterized in that for comparing the sequence number of the received packet in the session table to block the retransmission attack of the attacker. 제2항에 있어서,
상기 보안 시스템은 상기 수신된 패킷의 출발지 IP 주소, 도착지 IP 주소, 보안 매개 변수 색인 및 시퀀스 번호를 상기 세션 테이블과 모두 비교하여 대용량의 비정상 트래픽 공격을 차단하는 것을 특징으로 하는 세션 테이블을 이용한 비정상 트래픽의 차단 방법.The method of claim 2,
The security system compares the source IP address, the destination IP address, the security parameter index, and the sequence number of the received packet with the session table to block a large amount of abnormal traffic attack, wherein the abnormal traffic using the session table How to block.
KR1020100007666A 2010-01-28 2010-01-28 Method for blocking abnormal traffic using session table KR20110087972A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100007666A KR20110087972A (en) 2010-01-28 2010-01-28 Method for blocking abnormal traffic using session table

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100007666A KR20110087972A (en) 2010-01-28 2010-01-28 Method for blocking abnormal traffic using session table

Publications (1)

Publication Number Publication Date
KR20110087972A true KR20110087972A (en) 2011-08-03

Family

ID=44926652

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100007666A KR20110087972A (en) 2010-01-28 2010-01-28 Method for blocking abnormal traffic using session table

Country Status (1)

Country Link
KR (1) KR20110087972A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101285769B1 (en) * 2011-12-29 2013-07-19 주식회사 시큐아이 Method and apparatus for defending against invite spoofing attack in session initiation protocol

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101285769B1 (en) * 2011-12-29 2013-07-19 주식회사 시큐아이 Method and apparatus for defending against invite spoofing attack in session initiation protocol

Similar Documents

Publication Publication Date Title
US8379638B2 (en) Security encapsulation of ethernet frames
CN102347870B (en) A kind of flow rate security detection method, equipment and system
JP3688830B2 (en) Packet transfer method and packet processing apparatus
US8886934B2 (en) Authorizing physical access-links for secure network connections
CN1833403B (en) Communication system, communication device and communication method
US9294506B2 (en) Method and apparatus for security encapsulating IP datagrams
CN109428867B (en) Message encryption and decryption method, network equipment and system
US8862871B2 (en) Network with protocol, privacy preserving source attribution and admission control and method
CN111245862A (en) System for safely receiving and sending terminal data of Internet of things
US20070214502A1 (en) Technique for processing data packets in a communication network
JP4107213B2 (en) Packet judgment device
CN101529805A (en) Relay device
KR100839941B1 (en) Abnormal ipsec packet control system using ipsec configuration and session data, and method thereof
US7290281B1 (en) Method and apparatus for cryptographically blocking network denial of service attacks based on payload size
CN113904809B (en) Communication method, device, electronic equipment and storage medium
CN111988289B (en) EPA industrial control network security test system and method
CN101360096B (en) System security planning scheme applied to digital medication
CN210839642U (en) Device for safely receiving and sending terminal data of Internet of things
KR20110087972A (en) Method for blocking abnormal traffic using session table
JP2005065004A (en) Method, device and program for inspecting encrypted communication data
JP2001111612A (en) Information leakage prevention method and system, and recording medium recording information leakage prevention program
Budzko et al. Analysis of the level of security provided by advanced information and communication technologies
Cebula et al. How secure is WiFi MAC layer in comparison with IPsec for classified environments?
JP3962050B2 (en) Packet encryption method and packet decryption method
CN113872865A (en) Message data distribution method and device, computer equipment and storage medium

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application