KR20180125293A - Network security apparatus and method for detecting attack thereof - Google Patents
Network security apparatus and method for detecting attack thereof Download PDFInfo
- Publication number
- KR20180125293A KR20180125293A KR1020170060011A KR20170060011A KR20180125293A KR 20180125293 A KR20180125293 A KR 20180125293A KR 1020170060011 A KR1020170060011 A KR 1020170060011A KR 20170060011 A KR20170060011 A KR 20170060011A KR 20180125293 A KR20180125293 A KR 20180125293A
- Authority
- KR
- South Korea
- Prior art keywords
- packets
- tcp segments
- tcp
- attack
- network
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
본 발명은 네트워크 보안 장치 및 그의 공격 탐지 방법에 관한 것으로, 보다 구체적으로 본 발명은 TCP 세그먼트(segment) 조합 단계에서 DDoS공격을 탐지하는 네트워크 보안 장치 및 그의 공격 탐지 방법에 관한 것이다. The present invention relates to a network security apparatus and an attack detection method thereof. More particularly, the present invention relates to a network security apparatus for detecting a DDoS attack in a TCP segment combination step and an attack detection method thereof.
RUDY(R-U-Dead-Yet), Slowread 등의 DDoS 공격은 네트워크 단말(서버, 사용자 장치 등)의 세션을 고갈시켜 네트워크 단말이 정상적으로 서비스를 제공하거나 서비스를 이용할 수 없게 한다. DDoS attacks such as RUDY (R-U-Dead-Yet) and Slowread exhaust a session of a network terminal (server, user device, etc.) so that a network terminal can not normally provide service or use a service.
이러한 공격을 방어하기 위하여 HTTP 헤더의 Content-length 또는 TCP 헤더의 window size를 분석하여 공격을 탐지하는 방법들이 사용되고 있다.In order to defend against such an attack, methods of detecting an attack by analyzing the content size of the HTTP header or the window size of the TCP header are used.
그러나 상술한 종래의 방법들은 응용 계층에서의 패킷 처리까지 수행된 이후에, 처리 결과에 따라 공격 탐지 방식을 결정하므로, 공격 탐지의 효율이 떨어지는 문제가 있다. However, since the above-described conventional methods determine the attack detection method according to the processing result after the packet processing in the application layer is performed, there is a problem that the efficiency of the attack detection is low.
본 발명은 상기한 문제점을 해결하기 위한 것으로, TCP 세그먼트를 분석하여 비정상적인 행위를 검출하고, 세션 대역폭 DDoS 공격을 탐지할 수 있도록 하는 네트워크 보안 장치 및 그의 공격 탐지 방법에 관한 것이다. The present invention relates to a network security apparatus and an attack detection method for analyzing a TCP segment to detect an abnormal behavior and to detect a session bandwidth DDoS attack.
또한, 본 발명은 TCP 세그먼트 분석을 통해 판단된 정상 패킷에 대하여는 서비스 제공 응답을 전송하고, 비정상 패킷에 대하여는 차단 등 보안 처리를 수행함으로써, DDoS 공격을 방어하고 서비스가 지속적으로 제공될 수 있도록 하는 네트워크 보안 장치 및 그의 공격 탐지 방법에 관한 것이다. In addition, the present invention provides a network that can prevent a DDoS attack and continuously provide a service by transmitting a service provision response to a normal packet determined through TCP segment analysis and performing security processing such as blocking of an abnormal packet, Security device and an attack detection method thereof.
상술한 과제를 해결하기 위한 본 발명에 따른 네트워크 보안 장치는, 네트워크로부터 복수 개의 패킷들을 수신하는 통신부 및 상기 복수 개의 패킷들 각각에 대한 복수 개의 TCP 세그먼트를 추출하고, 상기 복수 개의 TCP 세그먼트에 대한 재조립을 수행하고, 상기 재조립되는 TCP 세그먼트들의 개수를 기초로 상기 복수 개의 패킷들이 공격 패킷 여부를 판단하는 제어부를 포함할 수 있다. According to an aspect of the present invention, there is provided a network security apparatus including a communication unit for receiving a plurality of packets from a network, a plurality of TCP segments for each of the plurality of packets, And a controller for determining whether the plurality of packets are attack packets based on the number of TCP segments to be reassembled.
또한, 상기 제어부는, 상기 재조립되는 TCP 세그먼트들의 개수가 기설정된 임계 개수를 초과하면, 상기 복수 개의 패킷들을 상기 공격 패킷으로 판단할 수 있다.In addition, the controller may determine the plurality of packets as the attack packet if the number of TCP segments to be reassembled exceeds a predetermined threshold number.
또한, 상기 제어부는, 기설정된 임계 기간 동안 추출된 상기 복수 개의 TCP 세그먼트들의 개수가 기설정된 임계 개수를 초과하면, 상기 복수 개의 패킷들을 상기 공격 패킷으로 판단할 수 있다. Also, the controller may determine the plurality of packets as the attack packet if the number of the plurality of TCP segments extracted during a predetermined threshold period exceeds a preset threshold number.
또한, 상기 제어부는, 상기 복수 개의 패킷들 각각에 대하여 네트워크 계층 처리를 수행하여 네트워크 헤더를 분리하고, 상기 네트워크 헤더가 분리된 복수 개의 패킷들 각각에 대하여 인터넷 계층 처리를 수행하여 IP 헤더를 분리하고, 상기 IP 헤더가 분리된 복수 개의 패킷들을 상기 복수 개의 TCP 세그먼트로써 추출할 수 있다. The control unit separates a network header by performing a network layer process on each of the plurality of packets, separates the IP header by performing an Internet layer process on each of the separated plurality of packets, , And extract a plurality of packets from which the IP header is separated as the plurality of TCP segments.
또한, 상기 제어부는, 상기 복수 개의 TCP 세그먼트 각각의 TCP 헤더에 정의된 Segment Number를 기초로 상기 복수 개의 TCP 세그먼트를 재조립할 수 있다. The control unit may reassemble the plurality of TCP segments based on a segment number defined in a TCP header of each of the plurality of TCP segments.
또한, 상기 제어부는, 상기 복수 개의 패킷들이 상기 공격 패킷인 것으로 판단되면, 상기 복수 개의 패킷들을 차단하거나 폐기하는 동작 중 적어도 하나를 수행할 수 있다. In addition, the controller may perform at least one of blocking or discarding the plurality of packets if it is determined that the plurality of packets are the attack packet.
또한, 상기 제어부는, 상기 복수 개의 패킷들이 상기 공격 패킷이 아닌 것으로 판단되면, 상기 복수 개의 패킷들을 대응되는 수신측 네트워크 단말로 전달할 수 있다.In addition, the controller may transmit the plurality of packets to the corresponding receiving-side network terminal when it is determined that the plurality of packets are not the attack packet.
또한, 상기한 과제를 해결하기 위한 본 발명에 따른 네트워크 보안 장치의 공격 탐지 방법은, 복수 개의 패킷들이 수신되면, 상기 복수 개의 패킷들 각각에 대한 복수 개의 TCP 세그먼트를 추출하는 단계, 상기 복수 개의 TCP 세그먼트에 대한 재조립을 수행하는 단계 및 상기 재조립되는 TCP 세그먼트들의 개수를 기초로 상기 복수 개의 패킷들이 공격 패킷 여부를 판단하는 단계를 포함할 수 있다. According to another aspect of the present invention, there is provided an attack detection method for a network security apparatus, the method comprising: extracting a plurality of TCP segments for each of a plurality of packets when a plurality of packets are received; Performing reassembly on the segment, and determining whether the plurality of packets are attack packets based on the number of TCP segments to be reassembled.
또한, 상기 공격 패킷 여부를 판단하는 단계는, 상기 재조립되는 TCP 세그먼트들의 개수가 기설정된 임계 개수를 초과하면, 상기 복수 개의 패킷들을 상기 공격 패킷으로 판단하는 단계를 포함할 수 있다. The step of determining whether or not the attack packet includes the step of determining the plurality of packets as the attack packet when the number of TCP segments to be reassembled exceeds a predetermined threshold number.
또한, 상기 공격 패킷 여부를 판단하는 단계는, 기설정된 임계 기간 동안 추출된 상기 복수 개의 TCP 세그먼트들의 개수가 기설정된 임계 개수를 초과하면, 상기 복수 개의 패킷들을 상기 공격 패킷으로 판단하는 단계를 포함할 수 있다. The step of determining whether or not the attack packet includes the step of determining the plurality of packets as the attack packet when the number of the plurality of TCP segments extracted during a predetermined threshold period exceeds a predetermined threshold number .
또한, 상기 복수 개의 TCP 세그먼트를 추출하는 단계는, 상기 복수 개의 패킷들 각각에 대하여 네트워크 계층 처리를 수행하여 네트워크 헤더를 분리하는 단계, 상기 네트워크 헤더가 분리된 복수 개의 패킷들 각각에 대하여 인터넷 계층 처리를 수행하여 IP 헤더를 분리하는 단계 및 상기 IP 헤더가 분리된 복수 개의 패킷들을 상기 복수 개의 TCP 세그먼트로써 추출하는 단계를 포함할 수 있다. The extracting of the plurality of TCP segments may include separating a network header by performing a network layer process on each of the plurality of packets, And separating the IP header and extracting a plurality of separated packets as the plurality of TCP segments.
또한, 상기 복수 개의 TCP 세그먼트에 대한 재조립을 수행하는 단계는, 상기 복수 개의 TCP 세그먼트 각각의 TCP 헤더에 정의된 Segment Number를 기초로 상기 복수 개의 TCP 세그먼트를 재조립하는 단계를 포함할 수 있다. The step of reassembling the plurality of TCP segments may include reassembling the plurality of TCP segments based on a segment number defined in a TCP header of each of the plurality of TCP segments.
또한, 상기 복수 개의 패킷들이 상기 공격 패킷인 것으로 판단되면, 상기 복수 개의 패킷들을 차단하거나 폐기하는 동작 중 적어도 하나를 수행하는 단계를 더 포함할 수 있다. The method may further include performing at least one of blocking or discarding the plurality of packets if the plurality of packets are determined to be the attack packet.
또한, 상기 복수 개의 패킷들이 상기 공격 패킷이 아닌 것으로 판단되면, 상기 복수 개의 패킷들을 대응되는 수신측 네트워크 단말로 전달하는 단계를 더 포함할 수 있다.The method may further include, when it is determined that the plurality of packets are not the attack packet, transmitting the plurality of packets to the corresponding receiving-side network terminal.
본 발명에 따른 네트워크 보안 장치 및 그의 공격 탐지 방법은, 응용 계층에서의 데이터 확인 절차 없이, 패킷의 방향성과 무관하게 TCP 세그먼트를 기초로 공격을 탐지할 수 있도록 한다. The network security device and the attack detection method according to the present invention can detect an attack based on a TCP segment regardless of a direction of a packet without a data checking procedure at an application layer.
또한, 본 발명에 따른 네트워크 보안 장치 및 그의 공격 탐지 방법은, HTTP 뿐만 아니라 TCP를 이용하는 다양한 응용 서비스를 이용하는 공격을 폭넓게 탐지할 수 있도록 한다. In addition, the network security device and the attack detection method according to the present invention can widely detect an attack using various application services using TCP as well as HTTP.
도 1은 계층별 TCP/IP 패킷 구조를 간략히 나타낸 도면이다.
도 2는 본 발명에 따른 네트워크 보안 장치가 동작하는 네트워크 시스템을 나타낸 도면이다.
도 3은 본 발명에 따른 네트워크 보안 장치의 구성을 나타낸 블록도이다.
도 4는 본 발명에 따른 공격 탐지 방법을 나타낸 순서도이다. 1 is a diagram schematically illustrating a TCP / IP packet structure according to a layer.
2 is a diagram illustrating a network system in which the network security apparatus according to the present invention operates.
3 is a block diagram illustrating a configuration of a network security apparatus according to the present invention.
4 is a flowchart illustrating an attack detection method according to the present invention.
본 명세서의 실시 예를 설명함에 있어 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 명세서의 요지를 흐릴 수 있다고 판단되는 경우, 그 상세한 설명은 생략될 수 있다. In the description of the embodiments of the present invention, if it is determined that a detailed description of known configurations or functions related to the present invention can not be applied to the present invention, detailed description thereof may be omitted.
본 명세서에서 사용되는 "포함한다," "포함할 수 있다." 등의 표현은 개시된 해당 기능, 동작, 구성요소 등의 존재를 가리키며, 추가적인 하나 이상의 기능, 동작, 구성요소 등을 제한하지 않는다. 또한, 본 명세서에서, "포함하다." 또는 "가지다." 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다. Quot ;, " include, " " include, " as used herein. And the like are intended to indicate the presence of disclosed features, operations, components, etc., and are not intended to limit the invention in any way. Also, in this specification, " include. &Quot; Or "have." , Etc. are intended to designate the presence of stated features, integers, steps, operations, components, parts, or combinations thereof, may be combined with one or more other features, steps, operations, components, It should be understood that they do not preclude the presence or addition of combinations thereof.
본 명세서에서 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.As used herein, the singular forms "a", "an" and "the" include plural referents unless the context clearly dictates otherwise.
이하, 첨부된 도면을 참조하여 본 발명을 설명한다. Hereinafter, the present invention will be described with reference to the accompanying drawings.
도 1은 TCP/IP 패킷 구조를 간략히 나타낸 도면이다. 1 is a diagram schematically showing a TCP / IP packet structure.
TCP/IP 패킷은 TCP/IP 4계층 구조에 따라 데이터(110), TCP 헤더(120), IP 헤더(130), 네트워크 헤더(140)를 포함하여 구성될 수 있다. The TCP / IP packet may include data 110, a TCP header 120, an
데이터(110)는 응용 계층(Application layer)(101)에서 TCP/IP를 이용하는 응용 서비스에 의해 생성되는 원본 데이터이다. 응용 서비스는, 예를 들어, FTP, HTTP, telnet, SMTP, NFS, TFTP 등일 수 있다. The data 110 is original data generated by an application service using the TCP / IP in an application layer 101. The application service may be, for example, FTP, HTTP, telnet, SMTP, NFS, TFTP, and the like.
응용 서비스가 HTTP인 경우, 데이터(110)는 HTTP 헤더 및 바디를 포함할 수 있다. HTTP 헤더에는 바디의 길이를 정의하는 Content-length 값이 포함될 수 있다. 해당 패킷을 수신하는 수신측 네트워크 단말은 HTTP 헤더에 Content-length가 정의된 경우, 해당 길이만큼의 바디를 수신한 후에 송신측 네트워크 단말과의 세션을 종료할 수 있다. If the application service is HTTP, the data 110 may include an HTTP header and a body. The HTTP header may include a Content-length value that defines the length of the body. When the content-length is defined in the HTTP header, the receiving-side network terminal receiving the packet can terminate the session with the transmitting-side network terminal after receiving the body of the corresponding length.
바디에는, 예를 들어, 웹 페이지에 데이터를 전송하고자 하는 경우, HTTP POST request가, 웹 페이지로 데이터를 요청하고자 하는 경우, HTTP GET request가 포함될 수 있다. In the body, for example, when an HTTP POST request is desired to transmit data to a web page, or when an HTTP request is requested to a web page, an HTTP GET request may be included.
TCP 헤더(120)는 전송 계층(Transport layer)(102)에 의하여 추가되는 것으로, 해당 패킷의 TCP 처리를 위해 필요한 정보를 포함할 수 있다. 일 예로, TCP 헤더(120)는 송신측 네트워크 단말의 포트 번호, 수신측 네트워크 단말에서 해당 패킷을 처리해야 할 포트 번호 등을 포함할 수 있다. The TCP header 120 is added by a transport layer 102 and may include information necessary for TCP processing of the packet. For example, the TCP header 120 may include a port number of a transmitting-side network terminal, a port number of a receiving-side network terminal to process the packet, and the like.
또한, TCP 헤더(120)에는 패킷 흐름 제어를 위한 window size를 포함할 수 있다. window size는 수신측 네트워크 단말로부터 ACK가 수신되지 않더라도 송신측 네트워크 단말이 연속하여 송신할 수 있는 패킷의 수를 정의하는 것으로, 수신측 네트워크 단말의 데이터 처리 능력 및 네트워크 사정에 따라 수신측 네트워크 단말이 결정하여 송신측 네트워크 단말로 전송할 수 있다. In addition, the TCP header 120 may include a window size for packet flow control. The window size defines the number of packets that can be continuously transmitted by the transmitting-side network terminal even if no ACK is received from the receiving-side network terminal. In this case, depending on the data processing capability of the receiving- And transmit it to the transmitting-side network terminal.
TCP 헤더(120)와 데이터(110)는 TCP 세그먼트(121)를 구성할 수 있다. TCP 세그먼트(121)의 최대 크기는 MSS(Maximum Segment Size)로 정의될 수 있다. MSS는 TCP/IP 네트워크에서 한 번에 전송될 수 있는 패킷의 크기를 설정하는 MTU(Maximum Transmission Unit)에 의해 결정될 수 있다. The TCP header 120 and the data 110 may constitute the TCP segment 121. The maximum size of the TCP segment 121 may be defined as an MSS (Maximum Segment Size). The MSS can be determined by an MTU (Maximum Transmission Unit) that sets the size of a packet that can be transmitted at one time in a TCP / IP network.
MTU 및 MSS의 제한에 의해, 응용 서비스에서 생성한 데이터(110)가 한 번의 패킷 전송에 의해 모두 전송될 수 없는 경우에는, 도 1에 도시된 바와 같이, 하나의 데이터(110)로부터 복수 개의 TCP 세그먼트들이 생성될 수 있다. 이 경우, 각각의 TCP 헤더(120)에는 대응되는 TCP 세그먼트(121)가 복수 개의 TCP 세그먼트들 중 몇 번째 TCP 세그먼트인지를 나타내는 Segment Number가 포함될 수 있다. When the data 110 generated by the application service can not be all transmitted by one packet transmission due to the limitation of the MTU and the MSS, a plurality of TCPs Segments can be created. In this case, each TCP header 120 may include a segment number indicating a TCP segment of the plurality of TCP segments corresponding to the TCP segment 121.
수신측 네트워크 단말은 TCP 헤더(120)에 정의된 Segment Number를 기초로 복수 개의 TCP 세그먼트들을 재조립하여, 원래의 데이터(110)를 복구할 수 있다. The receiving network terminal can recover the original data 110 by reassembling the plurality of TCP segments based on the segment number defined in the TCP header 120. [
송신측 네트워크 단말과 수신측 네트워크 단말은 패킷 전송을 위한 세션을 수립한 이후에, 3-way Handshake 과정을 수행하여, 자신의 MSS 및 window size를 상대방과 공유할 수 있다. After establishing a session for packet transmission, the transmitting-side network terminal and the receiving-side network terminal can perform a 3-way handshake process and share their MSS and window size with each other.
IP 헤더(130)는 인터넷 계층(Internet layer)(103) 에 의하여 추가되는 것으로, 해당 패킷의 IP 처리를 위해 필요한 정보를 포함할 수 있다. 일 예로, IP 헤더(130)는 송신측 네트워크 단말 및 수신측 네트워크 단말의 IP 주소 등을 포함할 수 있다. The
네트워크 헤더(140)는 네트워크 액세스 계층(Network access layer)(104)에 의하여 추가되는 것으로, 해당 패킷의 물리적인 전달을 위하여 필요한 정보를 포함할 수 있다. 일 실시 예에서, TCP/IP 네트워크가 이더넷(Ethernet) 환경인 경우, 네트워크 헤더(140)에는 이더넷 헤더로써 MAC Address, CRC(Cyclical Redundancy Check) 등이 포함될 수 있다. The network header 140 is added by a network access layer 104 and may include information necessary for physical transmission of the packet. In one embodiment, when the TCP / IP network is an Ethernet environment, the network header 140 may include a MAC address, a cyclical redundancy check (CRC), or the like as an Ethernet header.
RUDY(R-U-Dead-Yet), Slowread 등의 DDoS 공격은 HTTP 응용 서비스를 이용한 공격으로, HTTP POST request와 HTTP GET request를 이용하여 공격 대상과 정상적인 세션을 수립한 후, 세션을 장시간 유지시킴으로써 세션 자원이 고갈되도록 한다. DDoS attacks such as RUDY (RU-Dead-Yet) and Slowread are attacks using HTTP application service. After establishing a normal session with attack target using HTTP POST request and HTTP GET request, session is maintained for a long time .
구체적으로, RUDY 공격은 공격 대상으로 HTTP POST request를 전송하면서, HTTP 헤더의 content-length를 실제 HTTP 바디 크기와 달리 매우 큰 값으로 설정함으로써, 수신측 네트워크 단말인 공격 대상이 content-length에 대응하는 크기의 HTTP 바디를 수신할 때까지 세션을 유지하고, 세션 자원을 소모하도록 한다. Specifically, a RUDY attack transmits an HTTP POST request to an attack target, and sets the content-length of the HTTP header to a very large value, unlike the actual HTTP body size, so that an attack target, which is a receiving network terminal, Size HTTP body, and consume session resources.
한편, Slowread 공격은 공격 대상으로 HTTP GET request를 전송하면서, TCP 헤더(120)의 window size를 매우 작은 값으로 설정하여, 공격 대상으로부터 데이터를 매우 느리게 수신하여 세션 장시간 유지에 따라 세션 자원이 소모되도록 한다. Meanwhile, the slow-slow attack transmits an HTTP GET request to the attack target, sets the window size of the TCP header 120 to a very small value, and receives data from the attacked object very slowly, so that session resources are consumed do.
이러한 공격을 탐지하기 위하여, 송신측 네트워크 단말과 수신측 네트워크 단말 간을 연결하는 네트워크 보안 장치는 송신측 네트워크 단말과 수신측 네트워크 단말 간에 송수신되는 패킷을 획득한다. 네트워크 보안 장치는 획득된 패킷을 TCP/IP 계층에 따라 분석하고, 응용 계층에서 데이터가 HTTP 요청을 포함하고 있는지, 포함하고 있다면 HTTP POST request인지 HTTP GET request인지에 따라 서로 다른 공격 탐지 동작(content-length를 분석하는 동작 또는 window size를 분석하는 동작)을 수행한다. In order to detect such an attack, a network security apparatus connecting a transmitting side network terminal and a receiving side network terminal acquires a packet transmitted and received between a transmitting side network terminal and a receiving side network terminal. The network security device analyzes the acquired packets according to the TCP / IP layer, and if the data includes HTTP requests at the application layer, or if the HTTP request or the HTTP GET request is included in the application layer, length analyzing operation or window size analyzing operation).
그러나 수신된 패킷의 처리는 네트워크 액세스 계층(104), 인터넷 계층(103), 전송 계층(102) 및 응용 계층(101)의 순서대로 수행되므로, 응용 계층(101)에서의 데이터 분석을 통해 공격 판단 방식을 결정하면, 공격 탐지 속도가 느리고 공격 탐지를 위한 자원이 더 많이 소모된다는 점에서 비효율적인 문제가 있다. However, since the processing of the received packet is performed in this order of the network access layer 104, the Internet layer 103, the transport layer 102, and the application layer 101, There is an inefficiency in determining the scheme, in that the attack detection rate is slow and the resources for attack detection are consumed more.
이하에서는, 이러한 문제를 해결하기 위하여 TCP 세그먼트를 기초로 공격을 탐지하는 네트워크 보안 장치의 공격 탐지 방법에 대하여 설명한다. Hereinafter, an attack detection method of a network security apparatus that detects an attack based on a TCP segment will be described in order to solve such a problem.
도 2는 본 발명에 따른 네트워크 보안 장치가 동작하는 네트워크 시스템을 나타낸 도면이다.2 is a diagram illustrating a network system in which the network security apparatus according to the present invention operates.
도 2를 참조하면, 본 발명에 따른 네트워크 보안 장치(300)는 TCP/IP 네트워크에서 동작할 수 있다. Referring to FIG. 2, the
네트워크 보안 장치(300)는 네트워크 단말들(201, 202) 간에 송수신되는 TCP/IP 패킷을 수신하여 공격 탐지를 수행할 수 있다. 네트워크 보안 장치(300)는 공격 패킷으로 판단된 패킷을 차단하는 등의 네트워크 보안 동작을 수행할 수 있다. 다양한 실시 예에서, 네트워크 보안 장치(300)는 IPS, IDS, 방화벽, UTM 등일 수 있다. The
네트워크 단말들(201, 202)은 송신측 또는 수신측 네트워크 단말로 동작할 수 있다. 본 발명의 다양한 실시 예에서, 네트워크 단말들(201, 202) 중 적어도 일부는 HTTP와 같이 TCP 기반의 응용 서비스를 이용하는 단말일 수 있다. 또는, 네트워크 단말들(201, 202) 중 적어도 일부는 다른 네트워크 단말에게 응용 서비스를 제공하는 서버 등일 수 있다. The
본 발명의 다양한 실시 예에서, 네트워크 단말들(201, 202) 중 일부는 다른 네트워크 단말을 공격하는 공격자 단말이고, 일부는 공격자 단말의 타겟이 되는 공격 대상 단말일 수 있다. In various embodiments of the present invention, some of the
도 3은 본 발명에 따른 네트워크 보안 장치의 구성을 나타낸 블록도이다.3 is a block diagram illustrating a configuration of a network security apparatus according to the present invention.
도 3을 참조하면, 본 발명에 따른 네트워크 보안 장치(300)는 통신부(310) 및 제어부(320)를 포함하여 구성될 수 있다. Referring to FIG. 3, the
통신부(310)는 외부와 데이터 통신을 수행할 수 있다. 이를 위하여 통신부(310)는 송신되는 신호의 주파수를 상승 변환 및 증폭하는 송신기와 수신되는 신호를 저잡음 증폭하고 주파수를 하강 변환하는 수신기 등을 포함할 수 있다. The
본 발명의 다양한 실시 예에서, 통신부(310)는 네트워크 보안 장치(300)에 연결된 복수 개의 네트워크 단말들 사이에서 전송되는 패킷을 수신할 수 있다. 통신부(310)는 수신된 패킷을 제어부(320)로 전달할 수 있다. In various embodiments of the present invention, the
다양한 실시 예에서, 연속되는 복수 개의 패킷들이 수신되는 경우, 통신부(310)는 수신되는 복수 개의 패킷들을 순차적으로 제어부(320)에 전달할 수 있다. In various embodiments, when a plurality of consecutive packets are received, the
제어부(320)는 본 발명에 따른 공격 탐지 방법을 수행하기 위하여, 네트워크 보안 장치(300)의 각 구성 요소들을 제어할 수 있다. The
제어부(320)는 통신부(310)를 통하여 수신된 패킷을 TCP/IP 계층에 따라 처리하여, 수신된 패킷으로부터 TCP 세그먼트(121)를 추출할 수 있다. 구체적으로, 제어부(320)는 수신된 패킷에 대하여 네트워크 액세스 계층(104)에서의 처리 및 인터넷 계층(103)에서의 처리를 통해, 패킷으로부터 네트워크 헤더(140) 및 IP 헤더(130)를 분리하고 TCP 세그먼트(121)를 추출할 수 있다. The
통신부(310)를 통하여 복수 개의 패킷들이 연속적으로 수신되는 경우, 제어부(320)는 복수 개의 패킷들로부터 순차적으로 TCP 세그먼트들을 추출할 수 있다.When a plurality of packets are successively received through the
일 실시 예에서, 임의의 패킷으로부터 추출된 TCP 세그먼트(121)의 TCP 헤더(120)에 Segment Number가 정의된 경우, 제어부(320)는 해당 패킷에 연속하여 수신되는 복수 개의 패킷들로부터 각각의 TCP 세그먼트들을 순차적으로 추출하고, 추출된 복수 개의 TCP 세그먼트들을 Segment Number에 따라 재조립할 수 있다. In one embodiment, when a segment number is defined in the TCP header 120 of the TCP segment 121 extracted from an arbitrary packet, the
본 발명의 다양한 실시 예에서, 제어부(320)는 TCP 세그먼트(121)의 재조립 과정에서, 해당 패킷에 대한 공격 탐지 여부를 판단할 수 있다. In various embodiments of the present invention, the
일 예로, 제어부(320)는 재조립해야 할 TCP 세그먼트들이 기설정된 임계 개수를 초과하는 경우, 해당 복수 개의 패킷들을 공격 패킷으로 판단할 수 있다. 또는, 일 예로, 제어부(320)는 기설정된 주기 동안 추출된 TCP 세그먼트로써, 재조립해야 할 TCP 세그먼트들이 임계 개수를 초과하는 경우, 해당 복수 개의 패킷들을 공격 패킷으로 판단할 수 있다. For example, when the TCP segments to be reassembled exceed a predetermined threshold number, the
상술한 본 발명의 실시 예에 따르면, 제어부(320)는 수신된 복수 개의 연속되는 패킷들에 대한 응용 계층(101)에서의 처리까지 수행되기 이전에 복수 개의 연속되는 패킷들에 대한 공격 패킷 여부의 판단을 수행한다. 즉, 제어부(320)는 응용 계층(101)에서의 처리 이후에 데이터(110) 분석을 통하여 확인할 수 있는 정보(예를 들어, HTTP POST request, HTTP GET request)와 관계없이 재조립되어야 하는 TCP 세그먼트들(121)의 개수를 기초로 공격 패킷 여부를 판단하기 때문에, 보다 신속하고 효율적으로 공격을 탐지할 수 있다. According to the embodiment of the present invention, the
제어부(320)는 공격 패킷으로 판단된 복수 개의 패킷들에 대하여 네트워크 보안 동작을 수행할 수 있다. 일 예로, 제어부(320)는 공격 패킷으로 판단된 복수 개의 패킷들을 차단 및/또는 폐기하거나, 해당 복수 개의 패킷들과 관련된 정보를 블랙 리스트로 저장할 수 있다.The
또한, 제어부(320)는 해당 복수 개의 패킷들에 대한 수신측 네트워크 단말로, 공격 탐지 결과를 알리거나, 수신측 네트워크 단말로부터 해당 복수 개의 패킷들에 대한 처리 여부의 명령을 수신할 수 있다. In addition, the
제어부(320)는 공격 패킷이 아닌 것으로 판단된 복수 개의 패킷들을 해당 복수 개의 패킷들의 수신측 네트워크 단말로 전달할 수 있다.The
필요한 경우 제어부(320)는 공격 패킷이 아닌 것으로 판단된 복수 개의 패킷들에 대하여 다음 패킷 처리를 수행할 수 있다. 구체적으로, 제어부(203)는 공격 패킷이 아닌 것으로 판단된 복수 개의 패킷들 각각으로부터 이미 추출된 복수 개의 TCP 세그먼트들을 Segment Number에 따라 재조립한다. If necessary, the
이후에, 제어부(320)는 재조립된 TCP 세그먼트에 대한 최종 전송 계층(102) 처리 및 응용 계층(101) 처리를 수행하여 데이터(110)에 대응하는 제어 동작을 수행할 수 있다. Thereafter, the
도 4는 본 발명에 따른 공격 탐지 방법을 나타낸 순서도이다. 4 is a flowchart illustrating an attack detection method according to the present invention.
도 4를 참조하면, 본 발명에 따른 네트워크 보안 장치(300)는, 먼저 복수 개의 패킷들을 순차적으로 수신할 수 있다(410). Referring to FIG. 4, the
다음으로, 네트워크 보안 장치(300)는 복수 개의 패킷들 각각에 대하여 순차적으로 복수 개의 TCP 세그먼트들을 추출할 수 있다(420).Next, the
네트워크 보안 장치(300)는 수신된 복수 개의 패킷들에 대하여 순차적으로 네트워크 액세스 계층(104) 처리 및 인터넷 계층(103) 처리를 수행할 수 있다. 구체적으로, 네트워크 보안 장치(300)는 수신된 복수 개의 패킷들에 대하여 순차적으로 네트워크 헤더(140) 분리 및 분석과 IP 헤더(130) 분리 및 분석을 수행할 수 있다.The
다음으로, 네트워크 보안 장치(300)는 추출된 복수 개의 TCP 세그먼트들에 대하여, TCP 세그먼트 재조립을 수행한다(430).Next, the
네트워크 보안 장치(300)는 추출된 복수 개의 TCP 세그먼트들에 포함된 TCP 헤더(120)를 기초로, 복수 개의 TCP 세그먼트들을 재조립할 수 있다. The
네트워크 보안 장치(300)는 TCP 세그먼트 재조립을 수행하는 동안 공격 탐지를 수행할 수 있다(431). The
구체적으로, 네트워크 보안 장치(300)는 재조립할 TCP 세그먼트들이 임계 개수를 초과하는 경우, 해당 TCP 세그먼트들에 대응하는 패킷들을 공격 패킷으로 판단할 수 있다. 또는, 네트워크 보안 장치(300)는 기설정된 주기 동안 추출된 TCP 세그먼트로써, 재조립해야 할 TCP 세그먼트들이 임계 개수를 초과하는 경우, 해당 복수 개의 패킷들을 공격 패킷을 판단할 수 있다. Specifically, when the TCP segments to be reassembled exceed the threshold number, the
수신된 복수 개의 패킷들이 공격 패킷인 것으로 판단되면(432), 네트워크 보안 장치(300)는 해당 복수 개의 패킷들에 대한 네트워크 보안 동작을 수행할 수 있다(440).If it is determined in
일 예로, 네트워크 보안 장치(300)는 공격 패킷으로 판단된 복수 개의 패킷들을 차단 및/또는 폐기하거나, 해당 복수 개의 패킷들과 관련된 정보를 정보를 블랙 리스트로 저장할 수 있다. 또는, 네트워크 보안 장치(300)는 해당 복수 개의 패킷들에 대한 수신측 네트워크 단말로, 공격 탐지 결과를 알리거나, 수신측 네트워크 단말로부터 해당 복수 개의 패킷들에 대한 처리 여부의 명령을 수신할 수 있다. For example, the
한편, 수신된 복수 개의 패킷들이 공격 패킷이 아닌 것으로 판단되면, 네트워크 보안 장치(300)는 해당 복수 개의 패킷들을 대응되는 수신측 네트워크 단말로 전달할 수 있다(450).Meanwhile, if it is determined that the plurality of received packets are not attack packets, the
본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 그리고 본 명세서와 도면에 개시된 실시 예들은 본 발명의 내용을 쉽게 설명하고, 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 따라서 본 발명의 범위는 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상을 바탕으로 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다. It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. It is to be understood that both the foregoing general description and the following detailed description of the present invention are exemplary and explanatory and are intended to provide further explanation of the invention as claimed. Accordingly, the scope of the present invention should be construed as being included in the scope of the present invention, all changes or modifications derived from the technical idea of the present invention.
201, 202: 네트워크 단말
300: 네트워크 보안 장치
310: 통신부
320: 제어부201, 202: network terminal
300: Network security device
310:
320:
Claims (14)
상기 복수 개의 패킷들 각각에 대한 복수 개의 TCP 세그먼트를 추출하고, 상기 복수 개의 TCP 세그먼트에 대한 재조립을 수행하고, 재조립되는 TCP 세그먼트들의 개수를 기초로 상기 복수 개의 패킷들이 공격 패킷 여부를 판단하는 제어부를 포함하는 것을 특징으로 하는 네트워크 보안 장치. A communication unit for receiving a plurality of packets from a network; And
Extracting a plurality of TCP segments for each of the plurality of packets, performing reassembly for the plurality of TCP segments, and determining whether the plurality of packets are attack packets based on the number of reassembled TCP segments And a control unit.
상기 재조립되는 TCP 세그먼트들의 개수가 기설정된 임계 개수를 초과하면, 상기 복수 개의 패킷들을 상기 공격 패킷으로 판단하는 것을 특징으로 하는 네트워크 보안 장치.The apparatus of claim 1,
And determines the plurality of packets as the attack packet if the number of reassembled TCP segments exceeds a predetermined threshold number.
기설정된 임계 기간 동안 추출된 상기 복수 개의 TCP 세그먼트들의 개수가 기설정된 임계 개수를 초과하면, 상기 복수 개의 패킷들을 상기 공격 패킷으로 판단하는 것을 특징으로 하는 네트워크 보안 장치. The apparatus of claim 1,
And determines the plurality of packets as the attack packet if the number of the TCP segments extracted during a predetermined threshold period exceeds a predetermined threshold number.
상기 복수 개의 패킷들 각각에 대하여 네트워크 계층 처리를 수행하여 네트워크 헤더를 분리하고, 상기 네트워크 헤더가 분리된 복수 개의 패킷들 각각에 대하여 인터넷 계층 처리를 수행하여 IP 헤더를 분리하고, 상기 IP 헤더가 분리된 복수 개의 패킷들을 상기 복수 개의 TCP 세그먼트로써 추출하는 것을 특징으로 하는 네트워크 보안 장치. The apparatus of claim 1,
Separating a network header by performing a network layer process for each of the plurality of packets, separating an IP header by performing an Internet layer process on each of a plurality of separated packets of the network header, And extracts a plurality of packets as the plurality of TCP segments.
상기 복수 개의 TCP 세그먼트 각각의 TCP 헤더에 정의된 Segment Number를 기초로 상기 복수 개의 TCP 세그먼트를 재조립하는 것을 특징으로 하는 네트워크 보안 장치. The apparatus of claim 1,
And reassembles the plurality of TCP segments based on a segment number defined in a TCP header of each of the plurality of TCP segments.
상기 복수 개의 패킷들이 상기 공격 패킷인 것으로 판단되면, 상기 복수 개의 패킷들을 차단하거나 폐기하는 동작 중 적어도 하나를 수행하는 것을 특징으로 하는 네트워크 보안 장치. The apparatus of claim 1,
And blocking or discarding the plurality of packets if it is determined that the plurality of packets are the attack packet.
상기 복수 개의 패킷들이 상기 공격 패킷이 아닌 것으로 판단되면, 상기 복수 개의 패킷들을 대응되는 수신측 네트워크 단말로 전달하는 것을 특징으로 하는 네트워크 보안 장치.The apparatus of claim 1,
And transmits the plurality of packets to a corresponding receiving-side network terminal if it is determined that the plurality of packets are not the attack packet.
상기 복수 개의 TCP 세그먼트에 대한 재조립을 수행하는 단계; 및
재조립되는 TCP 세그먼트들의 개수를 기초로 상기 복수 개의 패킷들이 공격 패킷 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 장치의 공격 탐지 방법. Receiving a plurality of packets, extracting a plurality of TCP segments for each of the plurality of packets;
Performing reassembly for the plurality of TCP segments; And
And determining whether the plurality of packets are attack packets based on the number of TCP segments to be reassembled.
상기 재조립되는 TCP 세그먼트들의 개수가 기설정된 임계 개수를 초과하면, 상기 복수 개의 패킷들을 상기 공격 패킷으로 판단하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 장치의 공격 탐지 방법. 9. The method of claim 8,
And determining the plurality of packets as the attack packet if the number of TCP segments to be reassembled exceeds a predetermined threshold number.
기설정된 임계 기간 동안 추출된 상기 복수 개의 TCP 세그먼트들의 개수가 기설정된 임계 개수를 초과하면, 상기 복수 개의 패킷들을 상기 공격 패킷으로 판단하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 장치의 공격 탐지 방법.9. The method of claim 8,
And determining the plurality of packets as the attack packet if the number of TCP segments extracted during a predetermined threshold period exceeds a predetermined threshold number.
상기 복수 개의 패킷들 각각에 대하여 네트워크 계층 처리를 수행하여 네트워크 헤더를 분리하는 단계;
상기 네트워크 헤더가 분리된 복수 개의 패킷들 각각에 대하여 인터넷 계층 처리를 수행하여 IP 헤더를 분리하는 단계; 및
상기 IP 헤더가 분리된 복수 개의 패킷들을 상기 복수 개의 TCP 세그먼트로써 추출하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 장치의 공격 탐지 방법. 9. The method of claim 8, wherein extracting the plurality of TCP segments comprises:
Performing network layer processing on each of the plurality of packets to separate a network header;
Performing Internet layer processing for each of a plurality of packets separated by the network header to separate an IP header; And
And extracting a plurality of packets in which the IP header is separated as the plurality of TCP segments.
상기 복수 개의 TCP 세그먼트 각각의 TCP 헤더에 정의된 Segment Number를 기초로 상기 복수 개의 TCP 세그먼트를 재조립하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 장치의 공격 탐지 방법. 9. The method of claim 8, wherein performing the reassembly for the plurality of TCP segments comprises:
And reassembling the plurality of TCP segments based on a segment number defined in a TCP header of each of the plurality of TCP segments.
상기 복수 개의 패킷들이 상기 공격 패킷인 것으로 판단되면, 상기 복수 개의 패킷들을 차단하거나 폐기하는 동작 중 적어도 하나를 수행하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 보안 장치의 공격 탐지 방법. 9. The method of claim 8,
Further comprising performing at least one of blocking or discarding the plurality of packets if the plurality of packets are determined to be the attack packet.
상기 복수 개의 패킷들이 상기 공격 패킷이 아닌 것으로 판단되면, 상기 복수 개의 패킷들을 대응되는 수신측 네트워크 단말로 전달하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 보안 장치의 공격 탐지 방법. 9. The method of claim 8,
And forwarding the plurality of packets to a corresponding receiving-side network terminal when it is determined that the plurality of packets are not the attack packet.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170060011A KR101997211B1 (en) | 2017-05-15 | 2017-05-15 | Network security apparatus and method for detecting attack thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170060011A KR101997211B1 (en) | 2017-05-15 | 2017-05-15 | Network security apparatus and method for detecting attack thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20180125293A true KR20180125293A (en) | 2018-11-23 |
KR101997211B1 KR101997211B1 (en) | 2019-07-08 |
Family
ID=64565574
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020170060011A KR101997211B1 (en) | 2017-05-15 | 2017-05-15 | Network security apparatus and method for detecting attack thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101997211B1 (en) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050204170A1 (en) * | 2004-03-12 | 2005-09-15 | Andrey Belenky | Accomodating fragmentation with deterministic packet marking |
KR20110036912A (en) * | 2008-06-23 | 2011-04-12 | 알카텔-루센트 유에스에이 인코포레이티드 | Processing of packet fragments |
-
2017
- 2017-05-15 KR KR1020170060011A patent/KR101997211B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050204170A1 (en) * | 2004-03-12 | 2005-09-15 | Andrey Belenky | Accomodating fragmentation with deterministic packet marking |
KR20110036912A (en) * | 2008-06-23 | 2011-04-12 | 알카텔-루센트 유에스에이 인코포레이티드 | Processing of packet fragments |
Also Published As
Publication number | Publication date |
---|---|
KR101997211B1 (en) | 2019-07-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10931711B2 (en) | System of defending against HTTP DDoS attack based on SDN and method thereof | |
CN110198293B (en) | Attack protection method and device for server, storage medium and electronic device | |
KR101424490B1 (en) | Reverse access detecting system and method based on latency | |
US10693908B2 (en) | Apparatus and method for detecting distributed reflection denial of service attack | |
US20120227088A1 (en) | Method for authenticating communication traffic, communication system and protective apparatus | |
US20220263823A1 (en) | Packet Processing Method and Apparatus, Device, and Computer-Readable Storage Medium | |
CN107645409B (en) | Method and device for determining transmission fault reason of data | |
EP3432533B1 (en) | Method and system for processing forged tcp data packet | |
US20140304817A1 (en) | APPARATUS AND METHOD FOR DETECTING SLOW READ DoS ATTACK | |
US10834125B2 (en) | Method for defending against attack, defense device, and computer readable storage medium | |
US20130263268A1 (en) | Method for blocking a denial-of-service attack | |
US9641485B1 (en) | System and method for out-of-band network firewall | |
RU2635220C2 (en) | Two-way communication system in real time, using http protocol | |
US9917925B2 (en) | Method for determining maximum segment size | |
Salunkhe et al. | Analysis and review of TCP SYN flood attack on network with its detection and performance metrics | |
KR101211147B1 (en) | System for network inspection and providing method thereof | |
KR101997211B1 (en) | Network security apparatus and method for detecting attack thereof | |
CN113411350B (en) | Network system for defending DDOS attack | |
Wendzel et al. | Preventing protocol switching covert channels | |
KR101269552B1 (en) | Method and apparatus for denial of service detection against incomplete get request of http | |
JP5009200B2 (en) | Network attack detection device and defense device | |
KR101449627B1 (en) | Method and apparatus for detecting abnormal session | |
CA3159619C (en) | Packet processing method and apparatus, device, and computer-readable storage medium | |
CN114726797B (en) | Acceleration transmission method, device, equipment, system and storage medium | |
KR20180102884A (en) | Firewall and processing method for packet thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |