KR20200006824A - Method and apparatus for routing control in sdn network - Google Patents
Method and apparatus for routing control in sdn network Download PDFInfo
- Publication number
- KR20200006824A KR20200006824A KR1020180080657A KR20180080657A KR20200006824A KR 20200006824 A KR20200006824 A KR 20200006824A KR 1020180080657 A KR1020180080657 A KR 1020180080657A KR 20180080657 A KR20180080657 A KR 20180080657A KR 20200006824 A KR20200006824 A KR 20200006824A
- Authority
- KR
- South Korea
- Prior art keywords
- data packet
- source terminal
- transmitted
- address
- risk
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/70—Routing based on monitoring results
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/72—Routing based on the source address
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 개시는 네트워크 제어 방법 및 장치에 관한 것이다. 보다 상세하게는, 네트워크상에서 데이터 패킷 전송을 제어하는 방법에 관한 것이다. The present disclosure relates to a network control method and apparatus. More specifically, it relates to a method of controlling data packet transmission over a network.
소프트웨어 정의 네트워크(Software Defined Network, 이하 "SDN")는 제어 평면(Control Plane)과 데이터 평면(Data Plane)을 분리하고, 제어 평면을 하나의 컨트롤러(Controller)에 집중시킴으로써, 데이터 평면은 단순 데이터 포워딩만을 담당하도록 하고, 데이터를 어디로 전송할지 여부는 컨트롤러에서 결정하도록 하는 기술이다. The Software Defined Network (SDN) separates the Control Plane from the Data Plane, and concentrates the Control Plane on one Controller, thereby simplifying the data plane. It's a technology that allows the controller to take care of the data and decide where to send the data.
SDN 기술은 기존 하드웨어 형태의 네트워크 장비가 자체적으로 수행하였던 패킷 제어 동작을 소프트웨어 형태로 제공되는 컨트롤러가 대신하여 처리하기 때문에 기존의 네트워크보다 다양한 기능을 제공할 수 있다. SDN 네트워크는 분산 또는 클라우드 시스템에서 네트워크의 개념을 추상화하여 데이터 전송을 제어 및 관리할 수 있다. SDN 기술은 기존의 라우터나 스위치 등 하드웨어에 의존하는 네트워크 체계에서 속도, 안정성, 에너지 효율, 보안 등을 소프트웨어 적으로 개선하기 위해 개발된 기술로 오픈 플로우(Open Flow)라는 개념을 기초로 한다. SDN technology can provide a variety of functions than the existing network because the controller provided in software handles the packet control operation performed by the network equipment in the existing hardware form on its behalf. SDN networks can control and manage data transmission by abstracting the concept of networks in a distributed or cloud system. SDN technology is a technology developed to improve the speed, stability, energy efficiency, and security in software in hardware-dependent network systems such as routers and switches, and is based on the concept of open flow.
Open Flow는 네트워크 장비의 패킷 포워딩 기능과 컨트롤러 기능을 표준 인터페이스로 분리하여 네트워크의 개방성을 제공하는 기술로 컨트롤러(Controller)와 스위치(Switch)들 사이의 데이터 패킷 전송을 위한 프로토콜을 정의한다. Open Flow is a technology that provides network openness by separating the packet forwarding function and the controller function of a network device into a standard interface, and defines a protocol for data packet transmission between the controller and the switches.
컨트롤러(Controller)를 중심으로 패킷 처리와 관련된 동작을 제어하는 SDN의 경우에도 DDOS와 같은 보안 문제들이 제기되고 있고, 이를 해결하기 위한 여러 보안 기술들의 개발이 요구되고 있다.In the case of SDN which controls the operation related to packet processing with a controller, security problems such as DDOS are being raised, and various security technologies are required to solve this problem.
개시된 실시 예에 따르면, SDN 네트워크에서 보안성이 강화된 네트워크 제어 방법 및 네트워크 장치가 제공될 수 있다.According to the disclosed embodiment, a network control method and a network device with enhanced security in an SDN network may be provided.
구체적으로, 위험도를 기반으로 자원의 효율적 활용이 가능한 네트워크 제어 방법 및 장치가 제공될 수 있다. Specifically, a network control method and apparatus capable of efficiently utilizing resources based on risk may be provided.
상술한 기술적 과제를 달성하기 위한 본 개시의 일 실시 예에 따라, 네트워크 제어 장치는 소스 단말, 목적지 단말 및 상기 라우팅 장치와 통신하는 통신 인터페이스; 하나 이상의 인스트럭션을 저장하는 저장부; 및 상기 하나 이상의 인스트럭션을 실행하는 프로세서; 를 포함할 수 있다.According to an embodiment of the present disclosure for achieving the above technical problem, a network control device includes a communication interface for communicating with a source terminal, a destination terminal and the routing device; A storage unit for storing one or more instructions; And a processor that executes the one or more instructions. It may include.
상기 프로세서는 상기 하나 이상의 인스트럭션을 실행함으로써, 상기 라우팅 장치를 경유하여 상기 소스 단말로부터 상기 목적지 단말까지 전송될 데이터 패킷의 전송 경로를 나타내는 경로 정보를 상기 소스 단말로부터 수신하고; 상기 수신된 경로 정보의 위험 정도를 판단하고; 상기 판단된 위험 정도에 따라, 상기 소스단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송될 상기 데이터 패킷의 전송 경로를 제어할 수 있다.The processor is further configured to: receive, from the source terminal, route information indicating a transmission path of a data packet to be transmitted from the source terminal to the destination terminal via the routing device by executing the one or more instructions; Determine a degree of danger of the received route information; The transmission path of the data packet to which the data packet is transmitted from the source terminal to the destination terminal may be controlled according to the determined degree of risk.
상기 프로세서는 상기 하나 이상의 인스트럭션을 실행함으로써, 상기 판단된 위험 정도에 기초하여, 상기 소스 단말로부터 상기 목적지 단말로 전송될 상기 데이터 패킷을 검사할지 여부를 결정하고, 상기 결정에 기초하여 상기 데이터 패킷의 전송 경로를 변경할 수 있다.The processor determines whether to examine the data packet to be transmitted from the source terminal to the destination terminal based on the determined degree of risk by executing the one or more instructions and based on the determination of the data packet. You can change the transmission path.
상기 프로세서는 상기 하나 이상의 인스트럭션을 실행함으로써, 상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하지 않는 것으로 결정하는 경우, 상기 적어도 하나의 라우팅 장치를 경유하여 상기 소스 단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송되도록 상기 데이터 패킷의 전송 경로를 결정할 수 있다. If the processor determines not to inspect the data packet based on the determined degree of risk by executing the one or more instructions, the data from the source terminal to the destination terminal via the at least one routing device. The transmission path of the data packet may be determined such that the packet is transmitted.
상기 프로세서는 상기 하나 이상의 인스트럭션을 실행함으로써, 상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하는 것으로 결정하는 경우, 상기 데이터 패킷을 검사하기 위해 상기 소스 단말로부터 상기 데이터 패킷을 수신하고, 상기 데이터 패킷을 수신함과 함께 상기 적어도 하나의 라우팅 장치를 경유하여 상기 소스 단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송되도록 상기 데이터 패킷의 전송 경로를 변경할 수 있다.If the processor determines to inspect the data packet based on the determined degree of risk by executing the one or more instructions, the processor receives the data packet from the source terminal to inspect the data packet, and the data The transmission path of the data packet may be changed to receive the packet and to transmit the data packet from the source terminal to the destination terminal via the at least one routing device.
상기 프로세서는 상기 하나 이상의 인스트럭션을 실행함으로써, 상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하는 것으로 결정하는 경우, 상기 소스 단말로부터 상기 데이터 패킷을 수신하고, 상기 수신된 데이터 패킷을 검사하며, 상기 검사된 데이터 패킷이 상기 네트워크 제어장치로부터 상기 목적지 단말까지 전송되도록 상기 데이터 패킷의 전송 경로를 변경할 수 있다.If the processor determines to inspect the data packet based on the determined degree of risk by executing the one or more instructions, receiving the data packet from the source terminal, inspecting the received data packet, The transmission path of the data packet may be changed such that the inspected data packet is transmitted from the network controller to the destination terminal.
상기 프로세서는 상기 하나 이상의 인스트럭션을 실행함으로써, 상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하는 것으로 결정하는 경우, 상기 소스 단말로부터 상기 데이터 패킷을 수신하고, 상기 수신된 데이터 패킷을 검사하며, 상기 검사된 데이터 패킷이 상기 네트워크 제어장치로부터 상기 목적지 단말까지 전송되는 것을 차단할 수 있다.If the processor determines to inspect the data packet based on the determined degree of risk by executing the one or more instructions, receiving the data packet from the source terminal, inspecting the received data packet, The checked data packet may be blocked from being transmitted from the network controller to the destination terminal.
상기 프로세서는 상기 하나 이상의 인스트럭션을 실행함으로써, 상기 수신된 데이터 패킷을 검사하고, 상기 데이터 패킷의 검사 결과에 기초하여 상기 소스 단말로부터 상기 목적지 단말까지 전송중인 상기 데이터 패킷의 전송을 차단할 수 있다.The processor may examine the received data packet by executing the one or more instructions, and block transmission of the data packet being transmitted from the source terminal to the destination terminal based on a result of the inspection of the data packet.
상기 경로 정보는 상기 소스 단말의 네트워크 주소를 나타내는 소스 IP주소 및 상기 목적지 단말의 네트워크 주소를 나타내는 목적지 IP주소 중 적어도 하나를 포함하고, 상기 위험 정도는 상기 소스 IP주소에 대응하는 소스 단말로부터 전송될 데이터 패킷 또는 상기 목적지 IP주소에 대응하는 목적지 단말로 전송될 데이터 패킷이 비정상 데이터를 포함할 확률을 나타낼 수 있다.The route information includes at least one of a source IP address indicating a network address of the source terminal and a destination IP address indicating a network address of the destination terminal, and the degree of danger is transmitted from a source terminal corresponding to the source IP address. The data packet or the data packet to be transmitted to the destination terminal corresponding to the destination IP address may indicate a probability of including abnormal data.
상기 네트워크 장치는 소프트웨어 정의 네트워킹(Software-defined networking, SDN) 관리 장치를 포함할 수 있다.The network device may include a software-defined networking (SDN) management device.
상기 기술적 과제를 해결하기 위한 본 개시의 또 다른 실시 예에 따라, 네트워크 제어 방법은 복수의 라우팅 장치 중에서 적어도 하나의 라우팅 장치를 경유하여 소스 단말로부터 목적지 단말로 전송될 데이터 패킷의 전송 경로를 나타내는 경로 정보를 상기 소스 단말로부터 수신하는 단계; 상기 수신된 경로 정보의 위험 정도를 판단하는 단계; 및 상기 판단된 위험 정도에 따라, 상기 소스 단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송될 상기 데이터 패킷의 전송 경로를 제어하는 단계; 를 포함한다.According to another embodiment of the present disclosure for solving the above technical problem, a network control method includes a path indicating a transmission path of a data packet to be transmitted from a source terminal to a destination terminal via at least one routing device among a plurality of routing devices. Receiving information from the source terminal; Determining a degree of danger of the received route information; And controlling a transmission path of the data packet to which the data packet is to be transmitted from the source terminal to the destination terminal according to the determined degree of risk. It includes.
상기 네트워크 제어 방법은 상기 판단된 위험 정도에 기초하여, 상기 소스 단말로부터 상기 목적지 단말로 전송될 상기 데이터 패킷을 검사할지 여부를 결정하는 단계; 를 더 포함하고, 상기 제어하는 단계는 상기 결정에 기초하여 상기 데이터 패킷의 전송 경로를 변경할 수 있다.The network control method may further include determining whether to inspect the data packet to be transmitted from the source terminal to the destination terminal based on the determined degree of risk; Further, the controlling may change the transmission path of the data packet based on the determination.
상기 제어하는 단계는 상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하지 않는 것으로 결정하는 경우, 상기 복수의 라우팅 장치 중 적어도 하나의 라우팅 장치를 경유하여 상기 소스 단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송되도록 상기 데이터 패킷의 전송 경로를 결정할 수 있다.In the controlling step, when it is determined that the data packet is not inspected based on the determined risk level, the data packet is transmitted from the source terminal to the destination terminal via at least one routing device among the plurality of routing devices. It is possible to determine the transmission path of the data packet so that it is transmitted.
상기 제어하는 단계는 상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하는 것으로 결정하는 경우, 상기 데이터 패킷을 검사하기 위해 상기 소스 단말로부터 상기 데이터 패킷을 수신하고, 상기 데이터 패킷을 수신함과 함께 상기 라우팅 장치 중 적어도 하나를 경유하여 상기 소스 단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송되도록 상기 데이터 패킷의 전송 경로를 변경할 수 있다.In the controlling step, when the data packet is determined to be inspected based on the determined degree of risk, the data packet is received from the source terminal to inspect the data packet, and the data packet is received. The transmission path of the data packet may be changed such that the data packet is transmitted from the source terminal to the destination terminal via at least one routing device.
상기 제어하는 단계는 상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하는 것으로 결정하는 경우, 상기 소스 단말로부터 상기 데이터 패킷을 수신하고, 상기 수신된 데이터 패킷을 검사하며, 상기 검사된 데이터 패킷이 상기 네트워크 제어장치로부터 상기 목적지 단말까지 전송되도록 상기 데이터 패킷의 전송 경로를 변경할 수 있다.In the controlling step, when it is determined that the data packet is inspected based on the determined degree of risk, the data packet is received from the source terminal, the received data packet is inspected, and the inspected data packet is determined. The transmission path of the data packet may be changed to be transmitted from the network controller to the destination terminal.
상기 제어하는 단계는 상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하는 것으로 결정하는 경우, 상기 소스 단말로부터 상기 데이터 패킷을 수신하고, 상기 수신된 데이터 패킷을 검사하며, 상기 검사된 데이터 패킷이 상기 네트워크 제어장치로부터 상기 목적지 단말까지 전송되는 것을 차단할 수 있다.In the controlling step, when it is determined that the data packet is inspected based on the determined degree of risk, the data packet is received from the source terminal, the received data packet is inspected, and the inspected data packet is determined. It is possible to block transmission from the network controller to the destination terminal.
상기 제어하는 단계는 상기 수신된 데이터 패킷을 검사하고, 상기 데이터 패킷의 검사 결과에 기초하여 상기 소스 단말로부터 상기 목적지 단말까지 전송중인 상기 데이터 패킷의 전송을 차단할 수 있다.The controlling may inspect the received data packet and block transmission of the data packet being transmitted from the source terminal to the destination terminal based on a result of the inspection of the data packet.
상기 판단하는 단계는 상기 소스 IP주소에 대응하는 소스 단말로부터 전송되었던 패킷 전송 이력, 상기 목적지 IP주소에 대응하는 목적지 단말로 전송되었던 패킷 전송 이력, 상기 전송될 데이터 패킷이 상기 소스단말로부터 상기 목적지 단말 사이에 상기 데이터 패킷이 경유하는 적어도 하나의 라우팅 장치의 전송 이력, 상기 소스 IP주소에 관련된 공개 정보, 상기 목적지 IP주소에 관련된 공개정보 중 적어도 하나를 이용하여 상기 위험 정도를 판단할 수 있다.하는 것을 특징으로 하는 네트워크 제어 방법.The determining may include a packet transmission history transmitted from a source terminal corresponding to the source IP address, a packet transmission history transmitted to a destination terminal corresponding to the destination IP address, and the data packet to be transmitted from the source terminal to the destination terminal. The risk may be determined using at least one of a transmission history of at least one routing device via the data packet, public information related to the source IP address, and public information related to the destination IP address. Network control method, characterized in that.
상기 네트워크 제어 방법은 상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하는 것으로 결정하는 경우, 상기 데이터 패킷을 검사하기 위해 상기 소스 단말로부터 상기 데이터 패킷을 수신하고, 상기 수신된 데이터 패킷을 검사하며, 상기 검사 결과에 기초하여 상기 경로 정보의 위험 정도를 업데이트 하는 단계; 를 더 포함하고, 상기 경로 정보의 위험 정도는 상기 소스단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송될 전송경로와 매칭하여 저장될 수 있다. When the network control method determines to inspect the data packet based on the determined degree of risk, the network control method receives the data packet from the source terminal to inspect the data packet, inspects the received data packet, Updating a risk level of the route information based on the test result; Further, the risk level of the route information may be stored in accordance with the transmission path to which the data packet is transmitted from the source terminal to the destination terminal.
도 1은 본 개시의 일 실시 예에 따른 네트워크 제어 장치가 적어도 하나의 라우팅 장치를 경유하여 소스 단말로부터 목적지 단말까지 데이터 패킷 전송을 제어하는 과정을 나타내는 도면이다.
도 2는 본 개시의 또 다른 실시 예에 따른 네트워크 제어 장치가 복수의 라우팅 장치를 경유하여 소스 단말로부터 목적지 단말까지 데이터 패킷 전송을 제어하는 과정을 나타내는 도면이다.
도 3은 본 개시의 일 실시 예에 따른 네트워크 제어 장치의 블록도이다.
도 4는 본 개시의 다양한 실시 에에 따른 라우팅 경로를 나타내는 도면이다.
도 5는 본 개시의 다양한 실시 에에 따른 라우팅 경로를 나타내는 도면이다.
도 6는 본 개시의 다양한 실시 에에 따른 라우팅 경로를 나타내는 도면이다.
도 7는 본 개시의 다양한 실시 에에 따른 라우팅 경로를 나타내는 도면이다.
도 8은 본 개시의 일 실시 예에 따른 네트워크 제어 방법의 흐름도이다. 차폐부의 구조를 나타내는 도면이다.1 is a diagram illustrating a process of controlling a data packet transmission from a source terminal to a destination terminal via at least one routing device by a network control apparatus according to an embodiment of the present disclosure.
FIG. 2 is a diagram illustrating a process of controlling a data packet transmission from a source terminal to a destination terminal through a plurality of routing devices, according to another embodiment of the present disclosure.
3 is a block diagram of a network control apparatus according to an embodiment of the present disclosure.
4 is a diagram illustrating a routing path according to various embodiments of the present disclosure.
5 is a diagram illustrating a routing path according to various embodiments of the present disclosure.
6 is a diagram illustrating a routing path according to various embodiments of the present disclosure.
7 is a diagram illustrating a routing path according to various embodiments of the present disclosure.
8 is a flowchart illustrating a network control method according to an embodiment of the present disclosure. It is a figure which shows the structure of a shielding part.
본 명세서에서 사용되는 용어에 대해 간략히 설명하고, 본 개시에 대해 구체적으로 설명하기로 한다. Terms used herein will be briefly described, and the present disclosure will be described in detail.
본 개시에서 사용되는 용어는 본 개시에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 발명의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 개시에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 개시의 전반에 걸친 내용을 토대로 정의되어야 한다. The terms used in the present disclosure selected general terms widely used as far as possible in consideration of functions in the present disclosure, but may vary according to the intention or precedent of a person skilled in the art, the emergence of new technologies, and the like. In addition, in certain cases, there is a term arbitrarily selected by the applicant, and in this case, the meaning will be described in detail in the description of the invention. Therefore, the terms used in the present disclosure should be defined based on the meanings of the terms and the contents throughout the present disclosure, rather than simply the names of the terms.
명세서 전체에서 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다. 또한, 명세서에 기재된 "...부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다.When any part of the specification is to "include" any component, this means that it may further include other components, except to exclude other components unless specifically stated otherwise. In addition, the terms "... unit", "module", etc. described in the specification mean a unit that processes at least one function or operation, which may be implemented by hardware or software or a combination of hardware and software. .
아래에서는 첨부한 도면을 참고하여 본 개시의 실시예에 대하여 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 개시는 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 개시를 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present disclosure will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present disclosure. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In the drawings, parts irrelevant to the description are omitted for simplicity of explanation, and like reference numerals designate like parts throughout the specification.
도 1은 본 개시의 일 실시 예에 따른 네트워크 제어 장치(10)가 적어도 하나의 라우팅 장치(30)를 경유하여 소스 단말(800)로부터 목적지 단말(900)까지 데이터 패킷 전송을 제어하는 과정을 나타내는 도면이다.1 illustrates a process in which the
일 실시 예에 따르면, 네트워크 제어 장치(10)는 적어도 하나의 라우팅 장치(30)를 경유하여 소스 단말(800)로부터 목적지 단말(900)까지 전송될 데이터 패킷의 전송을 제어한다. 예를 들어 네트워크 제어 장치(10)는 소프트웨어 정의 네트워킹(Software-defined networking, SDN) 관리 장치를 포함할 수 있다. 본 발명에서 네트워크 제어 장치(10) 및 적어도 하나의 라우팅 장치(30)들은 SDN 네트워크를 구성할 수 있으나, 이에 한정되는 것은 아니다. 본 발명에서 적어도 하나의 라우팅 장치(30)는 라우터 또는 스위치를 포함할 수 있다. According to an embodiment of the present disclosure, the
예를 들어, 네트워크 제어 장치(10)는 소스 단말(800)로부터 소스 단말(800)이 목적지 단말(900)로 전송하고자 하는 데이터 패킷의 소스 IP(Source IP, SRC IP)주소 및 목적지 IP(Destination IP, DST IP)주소 중 적어도 하나를 수신할 수 있다. 네트워크 제어 장치(10)는 소스 단말(800)에 인접한 라우팅 장치(820)를 통하여 소스 IP(Source IP, SRC IP)주소 또는 목적지 IP(Destination IP, DST IP)주소를 수신할 수 있다. 본 발명에서 경로 정보는 소스 IP(Source IP, SRC IP)주소 및 목적지 IP(Destination IP, DST IP)주소 각각을 포함하거나, 소스 IP 및 목적지 IP를 모두 포함할 수 있다.For example, the
네트워크 제어 장치(10)는 소스 단말(800)이 목적지 단말(900)로 전송하고자 하는 데이터 패킷의 SRC IP 주소 및 DST IP 주소중 적어도 하나를 수신하고, 수신된 SRC IP 주소 및 DST IP 주소중 적어도 하나를 이용하여 소스 단말(800)로부터 목적지 단말(900)까지 전송될 데이터 패킷의 SRC IP 주소 및/또는 DST IP 주소에 대한 위험 정도를 판단하고, 판단된 위험 정도를 이용하여 전송 경로를 제어할 수 있다. The
예를 들어, 네트워크 제어 장치(10)는 소스 단말(800)로부터 수신된 SRC IP 또는 DST IP를 이용하여, 네트워크 제어 장치(10)가 제어하는 적어도 하나의 라우팅 장치(30)들의 라우팅 테이블(Routing Table)을 변경함으로써 데이터 패킷의 전송을 제어할 수 있다. For example, the
본 발명의 라우팅 장치(30)는 라우팅 테이블을 포함하고, 라우팅 테이블은 모든 목적지 정보에 대해서, 해당 목적지에 도달하기 위해서 거쳐야 할 라우팅 장치들의 정보를 포함할 수 있다. 예를 들어, 본 발명의 네트워크 제어 장치(10) 및 라우팅 장치(30)들이 SDN 네트워크를 구성하는 경우, 본 발명의 라우팅 장치(30)들은 네트워크 제어 장치(10)의 제어에 의하여, 라우팅 테이블을 갱신할 수 있다. The
예를 들어, 네트워크 제어 장치(10)는 소스 단말(800)로부터 SRC IP 및 DST IP 중 적어도 하나를 수신하고, 수신된 적어도 하나의 SRC IP 및 DST IP를 이용하여 라우팅 장치(30)들의 라우팅 테이블을 변경하며, 라우팅 장치(30)들의 라우팅 테이블을 변경함으로써 소스 단말(800)로부터 목적지 단말(900)로 전송될 데이터 패킷의 전송 경로를 제어할 수 있다.For example, the
도 2는 본 개시의 또 다른 실시 예에 따른 네트워크 제어 장치가 복수의 라우팅 장치를 경유하여 소스 단말로부터 목적지 단말까지 데이터 패킷 전송을 제어하는 과정을 나타내는 도면이다.FIG. 2 is a diagram illustrating a process of controlling a data packet transmission from a source terminal to a destination terminal through a plurality of routing devices, according to another embodiment of the present disclosure.
네트워크 제어 장치(10)는 SDN 컨트롤러(400), 분석 서버(Analysis Server, 500), 검사 서버(Inspection Server)를 포함할 수 있다. 하지만, 본원 발명에서 SDN 컨트롤러(400), 분석 서버(Analysis Server, 500), 검사 서버(Inspection Server)각각이 하나의 네트워크 제어 장치를 구성할 수도 있다. 즉, 네트워크 제어 방법은 SDN 컨트롤러(400), 분석 서버(Analysis Server, 500), 검사 서버(Inspection Server)로 구별되는 개별 네트워크 장치에서 각각 수행될 수도 있지만, SDN 컨트롤러(400), 분석 서버(Analysis Server, 500) 및 검사 서버(Inspection Server)를 포함하는 단일의 네트워크 장치에서 수행될 수 있다. The
후술하는 네트워크 제어 방법이 SDN 컨트롤러(400), 분석 서버(Analysis Server, 500), 검사 서버(Inspection Server)각각에서 수행되는 경우, SDN 컨트롤러(400), 분석 서버(Analysis Server, 500), 검사 서버(Inspection Server)는 각각 소스 단말, 목적지 단말 및 복수의 라우팅 장치와 통신하기 위한 통신 인터페이스, 하나 이상의 인스트럭션을 저장하는 저장부 및 저장부에 저장된 하나 이상의 인스트럭션을 실행하는 프로세서를 포함할 수 있다. When the network control method described below is performed in each of the
본 발명에서 저장부는 데이터 베이스(700)로 구현될 수 있고, 저장부는 네트워크 제어 장치(10)를 구성할 수도 있지만, 네트워크 제어 장치(10)외부에서 네트워크 제어 장치(10)와 연결될 수 있다. 본 발명에서 프로세서는 저장부에 저장된 하나 이상의 인스트럭션을 실행함으로써 SDN 컨트롤러(400), 분석 서버(500) 및 검사 서버(600)와 동일한 기능을 수행할 수 있다. In the present invention, the storage unit may be implemented as a
SDN 컨트롤러(400)는 라우팅 규약(Routing Rule)을 이용하여 복수의 라우팅 장치들을 제어한다. SDN 컨트롤러(400)는 라우팅 규약을 이용하여 라우팅 장치간 통신 방식을 규정할 수 있다. 예를 들어, SDN 컨트롤러(400)는 소스 단말(800)로부터 전송될 데이터 패킷의 SRC IP 주소 및 DST IP 주소 중 적어도 하나를 수신하고, 수신된 적어도 하나의 SRC IP 주소 및 DST IP 주소의 위험 정도를 판단하며, 판단된 위험 정도에 따라 라우팅 장치들(820, 920)의 라우팅 규약을 결정하고, 결정된 라우팅 장치들(820, 890)의 라우팅 규약을 이용하여 데이터 패킷이 전송되는 전송 경로를 제어할 수 있다.The
구체적으로, SDN 컨트롤러(400)는 라우팅 장치(30)를 경유하여 상기 소스 단말(800)로부터 상기 목적지 단말(900)까지 전송될 데이터 패킷의 전송 경로를 나타내는 경로 정보를 상기 소스 단말로부터 수신할 수 있다. SDN 컨트롤러(400)는 소스 단말(800)에 인접한 라우팅 장치(820)를 통하여 데이터 패킷의 전송 경로를 나타내는 경로 정보를 수신할 수 있다. 경로 정보는 소스 IP 주소 및/또는 목적지 IP 주소를 포함하고, 데이터 패킷이 어디로부터 어디로 전송될 수 있는 지와 관련된 정보를 나타낸다. 본 발명에서 경로 정보는 데이터 패킷이 전송되는 전송 경로를 나타낼 수 있다.In detail, the
SDN 컨트롤러(400)는 수신된 데이터 패킷의 경로 정보의 위험 정도를 판단할 수 있다. 예를 들어, SDN 컨트롤러(400)는 분석 서버(500)로 소스 단말(800)로부터 수신된 SRC IP 주소 및/또는 DST IP 주소에 대한 Risk Score(위험 점수) 조회 요청을 전송할 수 있다. SDN 컨트롤러(400)는 위험 점수 조회 요청에 응답하여 분석 서버(500)가 전송하는 SRC IP 주소 및/또는 DST IP 주소에 대한 Risk Score(위험 점수)를 수신하고, SRC IP 주소 및/또는 DST IP 주소에 대한 Risk Score(위험 점수)를 이용하여 상기 데이터 패킷의 경로 정보의 위험 정도를 판단할 수 있다.The
또한, SDN 컨트롤러(400)는 분석 서버(500)로 수신된 데이터 패킷의 경로 정보의 위험 정도를 판단하기 위하여, SRC IP 주소에 관련된 공개 정보 조회 요청 및/또는 DST IP 주소에 관련된 공개 정보 조회 요청을 전송할 수 있다. SDN 컨트롤러(400)는 SRC IP 주소에 관련된 공개 정보 조회 요청 또는 DST IP 주소에 관련된 공개 정보 조회 요청에 응답하여 분석 서버(500)가 전송하는 SRC IP 주소에 관련된 공개 정보 또는 DST IP 주소에 관련된 공개 정보를 수신하고, 수신된 SRC IP 주소에 관련된 공개 정보 및 DST IP 주소에 관련된 공개 정보 중 적어도 하나를 이용하여 위험 정도를 판단할 수 있다.In addition, the
예를 들어 SDN 컨트롤러(400)는 분석 서버(500)로부터 수신한 위험 점수를 기 설정된 방법에 따라 범주화하고, 범주화된 위험 점수를 이용하여 수신된 데이터 패킷의 경로 정보의 위험 정도를 판단할 수 있다. 예를 들어, SDN 컨트롤러(400)는 수신한 위험 점수를 제1 임계값으로 구분되는 두개의 구간으로 범주화할 수 있다. SDN 컨트롤러(400)가 분석 서버(500)로부터 수신한 위험 점수가 제1 임계값 보다 작은 경우 수신된 데이터 패킷의 경로 정보의 위험 정도를 낮게 판단할 수 있고, 분석 서버(500)로부터 수신한 위험 점수가 제1 임계값 보다 큰 경우 수신된 데이터 패킷의 경로 정보의 위험 정도를 높게 판단할 수 있다. For example, the
또한, SDN 컨트롤러(400)는 수신한 위험 점수를 제1 임계값 및 제2 임계값으로 구분되는 세개의 구간으로 범주화할 수 있다. 여기에서 제1임계값은 제2임계값 보다 작은 값일 수 있다. SDN 컨트롤러(400)가 분석 서버(500)로부터 수신한 위험 점수가 제1 임계값 보다 작은 경우 수신된 데이터 패킷의 경로 정보의 위험 정도를 낮게 판단할 수 있고, 분석 서버(500)로부터 수신한 위험 점수가 제1 임계값 보다 크고, 제2 임계값 보다 작은 경우 수신된 데이터 패킷의 경로 정보의 위험 정도를 중간으로 판단할 수 있으며, 분석 서버(500)로부터 수신한 위험 점수가 제2 임계값 보다 큰 경우 수신된 데이터 패킷의 경로 정보의 위험 정도를 높게 판단할 수 있다. SDN 컨트롤러(400)가 분석 서버(500)로부터 수신한 위험 점수를 범주화하는 방법은 전술한 방법에 한정되지 않으며, 더 세부적으로 범주화된 위험 점수를 이용할 수도 있다.In addition, the
일 실시 예에 따르면, SDN 컨트롤러(400)는 소스 IP주소에 대응하는 소스 단말로부터 전송되었던 패킷 전송 이력, 상기 목적지 IP주소에 대응하는 목적지 단말로 전송되었던 패킷 전송 이력, 상기 전송될 데이터 패킷이 상기 소스단말로부터 상기 목적지 단말 사이에 상기 데이터 패킷이 경유하는 적어도 하나의 라우팅 장치의 전송 이력, 상기 소스 IP주소에 관련된 공개 정보, 상기 목적지 IP주소에 관련된 공개 정보 중 적어도 하나를 이용하여 소스 단말(800)로부터 상기 목적지 단말(900)까지 전송될 데이터 패킷의 전송 경로를 나타내는 경로 정보의 위험 정도를 판단할 수 있다. 본 발명에서 위험 정도는 상기 소스 IP주소에 대응하는 소스 단말로부터 전송될 데이터 패킷 또는 상기 목적지 IP주소에 대응하는 목적지 단말로 전송될 데이터 패킷이 비정상 데이터를 포함할 확률을 나타낼 수 있다.According to an embodiment of the present disclosure, the
SDN 컨트롤러(400)는 판단된 위험 정도에 기초하여 소스 단말로부터 상기 목적지 단말로 전송될 상기 데이터 패킷을 검사할지 여부를 결정하고, 상기 결정에 기초하여 라우팅 규약을 이용함으로써, 상기 데이터 패킷의 전송 경로를 변경할 수 있다. 예를 들어, SDN 컨트롤러(400)는 판단된 위험 정도가 높은 경우 데이터 패킷을 검사하는 것으로 결정할 수 있고, 판단된 위험 정도가 낮은 경우 데이터 패킷을 검사하지 않는 것으로 결정할 수 있다. The
예를 들어, SDN 컨트롤러(400)는 수신된 데이터 패킷의 경로 정보가 위험하다고 판단한 경우, 소스 단말(800)로부터 출력된 데이터 패킷이 목적지 단말(900)로 전송되지 않고, 검사 서버(600)로 전송되도록 전송 경로를 제어할 수 있다. 또 다른 실시 예에 따르면, SDN 컨트롤러(400)는 수신된 데이터 패킷의 경로 정보가 위험하지 않다고 판단한 경우, 소스 단말(800)로부터 출력된 데이터 패킷이 목적지 단말(900)로 전송되도록 전송 경로를 제어할 수 있다. For example, when the
또 다른 실시 예에 따르면, SDN 컨트롤러(400)는 수신된 데이터 패킷의 경로 정보의 위험 정도가 중간인 경우, 데이터 패킷을 소스 단말(800)로부터 목적지 단말(900)로 전송되도록 전송 경로를 제어함과 함과 동시에, 데이터 패킷이 검사 서버(600)로도 전송되도록 전송 경로를 제어할 수 있다. SDN 컨트롤러(400)는 검사 서버(600)가 데이터 패킷을 검사한 결과, 위험하다고 판단되는 경우, 소스 단말(8000로부터 목적지 단말(900)로 전송 중인 데이터 패킷의 전송을 차단할 수 있다. According to another embodiment, the
즉, SDN 컨트롤러(400)는 네트워크 레벨에서 데이터 패킷에 포함될 수 있는 잠재적 위협을 판단할 수 있고, 실제 위협이 될 수 있는 정보를 포함하는 데이터 패킷이 목적지 단말(900)로 전송되지 않도록 할 수 있다. 따라서, 네트워크 제어 장치(10)는 라우팅 단계에서 목적지 단말(900)에 위협이 될 수 있는 데이터 패킷을 미리 처리할 수 있다. That is, the
분석 서버(500)는 검사 서버(600)에서 데이터 패킷을 검사한 결과를 수신하고, 수신된 데이터 패킷 검사 결과를 이용하여 해당 데이터 패킷의 SRC IP 주소 및/또는 DST IP 주소에 대한 Risk Score(위험 점수)를 계산할 수 있다. 분석 서버(500)는 상기 계산된 데이터 패킷의 SRC IP 주소 및/또는 DST IP 주소에 대한 Risk Score(위험 점수)를 데이터 베이스(700)에 저장할 수 있다. 분석 서버(500)는 상기 계산된 데이터 패킷의 SRC IP 주소 및/또는 DST IP 주소에 대한 Risk Score(위험 점수)를 분석 서버(500)내 저장부(200)에 저장할 수도 있다.The
예를 들어, 분석 서버(500)는 계산된 Risk Score(위험 점수)를 SRC IP 주소 및/또는 DST IP 주소에 매칭하여 데이터 베이스(700)에 저장할 수 있다. 분석 서버(500)는 계산된 SRC IP 주소 및/또는 DST IP 주소에 대한 Risk Score(위험 점수)를 데이터 베이스에 미리 저장된 Risk Score(위험 점수)와 동기화 할 수 있다. 또한, 분석 서버(500)는 SDN 컨트롤러(400)가 위험 점수를 기초로 판단한 경로 정보의 위험 정도를 나타내는 위험 정도 값을 데이터 베이스(700)에 저장할 수도 있다. SDN 컨트롤러(400)가 위험 점수를 기초로 판단한 경로 정보의 위험 정도는 데이터 패킷이 전송될 전송 경로와 매칭되어 데이터 베이스(700)에 저장될 수 있다.For example, the
분석 서버(500)는 SDN 컨트롤러(400)로부터 소스 단말(800)로부터 목적지 단말(900)로 전송될 데이터 패킷의 SRC IP 주소 및 DST IP 주소 중 적어도 하나에 대한 Risk Score 조회 요청을 수신하는 경우, 해당 데이터 패킷의 SRC IP 주소 및 DST IP 주소와 동일한 SRC IP 주소 및 DST IP 주소를 검색하고, 검색된 SRC IP 주소 및 DST IP 주소와 매칭되는 Risk Score를 획득하며, 획득된 Risk Score를 SDN 컨트롤러(400)로 전송할 수 있다. SDN 컨트롤러(400)는 분석 서버(500)로부터 수신한 Risk Score를 이용하여 소스 단말(800)이 전송하고자 하는 데이터 패킷의 SRC IP 주소 및 DST IP 주소 중 적어도 하나에 대한 위험 정도를 판단할 수 있다.When the
또한, 분석 서버(500)는 SRC IP 주소에 관련된 공개 정보 또는 DST IP 주소에 관련된 공개 정보를 SRC IP 주소 및/또는 DST IP 주소에 매칭하여 데이터 베이스(700)에 저장할 수 있다. 분석 서버(500)는 SRC IP 주소에 관련된 공개 정보 또는 DST IP 주소에 관련된 공개 정보를 분석 서버(500)내 저장부(200)에 저장할 수도 있다. 분석 서버(500)는 SRC IP 주소에 관련된 공개 정보, DST IP 주소에 관련된 공개 정보를 데이터 베이스에 미리 저장된 SRC IP 주소에 관련된 공개 정보 및 DST IP 주소에 관련된 공개 정보와 동기화 할 수 있다.In addition, the
예를 들어, 분석 서버(500)는 SDN 컨트롤러(400)로부터 소스 단말(800)로부터 목적지 단말(900)로 전송될 데이터 패킷의 SRC IP 주소 및 DST IP 주소 중 적어도 하나에 관련된 공개 정보 조회 요청을 수신하는 경우, 해당 데이터 패킷의 SRC IP 주소 및 DST IP 주소와 동일한 SRC IP 주소 및 DST IP 주소를 검색하고, 검색된 SRC IP 주소 및 DST IP 주소와 매칭되는 공개 정보를 획득하며, 획득된 공개 정보를 SDN 컨트롤러(400)로 전송할 수 있다. SDN 컨트롤러(400)는 분석 서버(500)로부터 수신한 공개 정보를 이용하여 소스 단말(800)이 전송하고자 하는 데이터 패킷의 SRC IP 주소 및 DST IP 주소 중 적어도 하나에 대한 위험 정도를 판단할 수 있다.For example, the
또한, 분석 서버(500)는 검사 서버(600)로부터 데이터 패킷 검사 결과를 수신하고, 수신한 데이터 패킷 검사 결과에 기초하여, 데이터 베이스(700)에 저장된 Risk Score(위험 점수)를 업데이트 할 수 있다. 또 다른 실시 예에 따르면, 분석 서버(500)는 데이터 베이스(700) 내부에 저장된, SDN 컨트롤러(400)가 판단한 경로 정보의 위험 정도를 나타내는 위험 정도 값을 업데이트할 수도 있다.In addition, the
검사 서버(600)는 SDN 컨트롤러(400)의 제어에 의해, 데이터 패킷을 수신하고, 수신된 데이터 패킷을 검사할 수 있다. 예를 들어, 검사 서버(600)는 기 설정된 보안 알고리즘을 이용하여 수신된 데이터 패킷을 검사할 수 있다. 검사 서버(600)는 데이터 패킷의 헤더 또는 페이로드를 검사할 수 있고, 응용 계층(Application Layer) 레벨에서 데이터 패킷을 검사할 수 있다. The
예를 들어, 검사 서버(600)는 데이터 패킷을 검사함으로써, 데이터 패킷 검사 결과를 생성할 수 있고, 생성된 데이터 패킷 검사 결과를 분석 서버(500)로 전송할 수 있다. 검사 서버(600)는 기 설정된 보안 알고리즘을 이용하여 데이터 패킷을 검사하기 때문에, 악성 코드 또는 멀 웨어에 감염된 데이터 패킷을 검사하여도, 악성 코드 또는 멀웨어는 검사 서버를 제외한 다른 장치에 영향을 주지 않는다. 본 발명에서 보안 알고리즘은 DPI(Deep Packet Inspection) 또는 SAND BOX 알고리즘을 포함할 수 있다. For example, the
본 발명에서 위험 정도는 상기 소스 IP 주소에 대응하는 소스 단말(800)로부터 전송될 데이터 패킷 또는 상기 목적지 IP주소에 대응하는 목적지 단말([920]900)로 전송될 데이터 패킷이 비정상 데이터를 포함할 확률을 나타낼 수 있다. 예를 들어, SDN 컨트롤러(400)가 소스 IP 주소에 대응하는 위험 정도가 높다고 판단하는 경우 해당 소스 IP 주소를 가지는 소스 단말(800)로부터 전송될 데이터 패킷들은 비정상 데이터를 포함할 확률이 높을 수 있다. 또한, SDN 컨트롤러(400)가 목적지 IP 주소에 대응하는 위험 정도가 높다고 판단하는 경우 해당 목적지 IP 주소를 가지는 목적지 단말([920]900)로 전송될 데이터 패킷들은 비정상 데이터를 포함할 확률이 높은 것을 의미할 수 있다. 본 발명에서 비정상 데이터는 악성 코드, 멀 웨어 및 악성코드, 멀 웨어의 통신정보, 디도스 공격패킷, 사용자가 전송에 동의하지 않은 정보 등을 포함할 수 있다. In the present invention, the degree of risk is that the data packet to be transmitted from the
도 3은 본 개시의 일 실시 예에 따른 네트워크 제어 장치(10)의 블록도이다.3 is a block diagram of a
일 실시 예에 따른 네트워크 제어 장치(10)는 통신 인터페이스(100), 저장부(200) 및 프로세서(300)를 포함할 수 있다. 도 2에 도시된 SDN 컨트롤러(400), 분석 서버(500) 및 검사 서버(600)의 기능을 단일의 네트워크 장치(10)로 구현하는 경우, 단일의 네트워크 제어 장치에 포함된 프로세서(300)는 SDN 컨트롤러(400), 분석 서버(500) 및 검사 서버(600)의 기능을 모두 수행할 수 있다.The
또 다른 실시 예에 따르면, 도 2에 도시된 SDN 컨트롤러(400), 분석 서버(500) 및 검사 서버(600)의 기능을 단일의 네트워크 장치가 아닌 SDN 컨트롤러(400), 분석 서버(500) 및 검사 서버(600) 각각에서 수행하는 경우, SDN 컨트롤러(400), 분석 서버(500) 및 검사 서버(600)는 각각 통신 인터페이스, 저장부 및 프로세서를 포함할 수 있다. 즉, SDN 컨트롤러(400), 분석 서버(500), 검사 서버(600)는 각각 적어도 하나의 프로세서들을 포함하고, 각각에 포함된 프로세서들을 이용하여 위험 점수를 기반으로 하는 네트워크 제어 방법을 수행할 수 있다. According to another embodiment, the functions of the
또한, SDN 컨트롤러(400)의 기능 및 분석 서버(500)의 기능을 제1 네트워크 장치에서 수행되도록 하고, 검사 서버(600)의 기능을 제2 네트워크 장치에서 수행되도록 할 수 있다. 즉, 제1 네트워크 장치는 적어도 하나의 프로세서들을 포함하고, 포함된 프로세서들을 이용하여 SDN 컨트롤러(400)의 기능 및 분석 서버(500)의 기능을 수행할 수 있고, 제2 네트워크 장치는 적어도 하나의 프로세서들을 포함하고, 포함된 프로세서들을 이용하여 검사 서버(600)의 기능을 수행할 수 있다.In addition, the function of the
통신 인터페이스(100)는 소스 단말(800), 목적지 단말(900) 및 라우팅 장치들(30)과 통신할 수 있다. 예를 들어, 통신 인터페이스(100)는 프로세서의 제어에 의하여 소스 단말(800)에 인접한 라우팅 장치(820)를 통하여 SRC IP 주소 및/또는 DST IP 주소를 수신할 수 있다. SDN 네트워크에서 통신 인터페이스(100)는 네트워크 제어 장치(10)가 제어하는 전체 라우팅 장치들(30)과 통신을 수행할 수 있다.The
통신 인터페이스(100)는 외부 장치와 통신을 가능하게 하는 하나 이상의 구성 요소를 포함할 수 있으며, 예를 들어 근거리 통신 모듈, 유선 통신 모듈 및 무선 통신 모듈 중 적어도 하나를 포함할 수 있다. 또한, 본 개시의 근거리 통신 모듈(short-range wireless communication module)은 블루투스 통신 모듈, BLE(Bluetooth Low Energy) 통신 모듈, 근거리 무선 통신 모듈(Near Field Communication Module), WLAN(와이파이) 통신 모듈, 지그비(Zigbee) 통신 모듈, 적외선(IrDA, infrared Data Association) 통신 모듈, WFD(Wi-Fi Direct) 통신 모듈, UWB() 통신 모듈, Ant+ 통신 모듈 등을 포함할 수 있으나, 이에 한정되는 것은 아니다. The
저장부(200)는 하나 이상의 인스트럭션을 저장할 수 있다. 예를 들어, 저장부(200)가 저장하는 인스트럭션은 SDN 네트워크에서 네트워크 제어 장치(10)가 라우팅 경로를 제어하기 위한 컴퓨터에서 실행 가능한 명령어들의 집합일 수 있다. 일 실시 예에 따르면, 저장부(200)는, 내장 메모리 또는 외장 메모리를 포함할 수 있다. The
예를 들어, 내장 메모리는, 휘발성 메모리(예: DRAM(dynamic RAM), SRAM(static RAM), 또는 SDRAM(synchronous dynamic RAM) 등), 비휘발성 메모리(non-volatile Memory)(예: OTPROM(one time programmable ROM), PROM(programmable ROM), EPROM(erasable and programmable ROM), EEPROM(electrically erasable and programmable ROM), mask ROM, flash ROM, 플래시 메모리(예: NAND flash 또는 NOR flash 등), 하드 드라이브, 또는 솔리드 스테이트 드라이브(solid state drive(SSD)) 중 적어도 하나를 포함할 수 있다. For example, the internal memory may be volatile memory (e.g., dynamic RAM, DRAM, static RAM, or synchronous dynamic RAM, etc.), non-volatile memory (e.g., OTPROM (one). time programmable ROM (PROM), programmable ROM (PROM), erasable and programmable ROM (EPROM), electrically erasable and programmable ROM (EEPROM), mask ROM, flash ROM, flash memory (such as NAND flash or NOR flash), hard drive, Or it may include at least one of a solid state drive (SSD).
외장 메모리는 플래시 드라이브(flash drive), 예를 들면, CF(compact flash), SD(secure digital), Micro-SD(micro secure digital), Mini-SD(mini secure digital), xD(extreme digital), MMC(multi-media card) 또는 메모리 스틱(memory stick) 등을 포함할 수 있다. 외장 메모리는 다양한 인터페이스를 통하여 네트워크 제어 장치(10)와 기능적으로 및/또는 물리적으로 연결될 수 있다.The external memory may be a flash drive such as compact flash (CF), secure digital (SD), micro secure digital (Micro-SD), mini secure digital (Mini-SD), extreme digital (XD), It may include a multi-media card (MMC) or a memory stick. The external memory may be functionally and / or physically connected to the
프로세서(300)는 저장부(200)에 저장된 하나 이상의 인스트럭션을 실행할 수 있다. 예를 들어, 프로세서(300)는 저장부(200)에 저장된 하나 이상의 인스트럭션을 실행함으로써, 통신 인터페이스(100)를 통하여, 적어도 하나의 라우팅 장치(30)들을 제어하고, 소스 단말(800)로부터 상기 목적지 단말(900)까지 전송될 데이터 패킷의 전송 경로를 나타내는 경로 정보를 상기 소스 단말로부터 수신할 수 있다. 본 발명에서 경로 정보는 소스 IP 주소 및/또는 목적지 IP 주소를 포함하고, 데이터 패킷의 전송 경로를 나타낼 수 있다. The
도 3에 도시된 프로세서(300)는 단일의 프로세서일 수 있지만, 복수의 프로세서일 수도 있다. 본 발명에서 네트워크 제어 장치(10)는 복수의 프로세서를 포함할 수 있고, 전술한 SDN 컨트롤러(400), 분석 서버(500) 및 검사 서버(600)의 기능을 복수의 프로세서를 이용하여 수행할 수 있다. The
도 4는 본 개시의 다양한 실시 에에 따른 라우팅 경로를 나타내는 도면이다. 4 is a diagram illustrating a routing path according to various embodiments of the present disclosure.
예를 들어, SDN 컨트롤러(400)가 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도에 기초하여, 데이터 패킷을 검사 서버(600)에서 검사하지 않는 것으로 결정하는 경우, 적어도 하나의 라우팅 장치(820, 920)를 통하여, 상기 소스 단말(800)로부터 목적지 단말(900)까지 데이터 패킷이 전송되도록 데이터 패킷의 전송 경로를 결정할 수 있다. For example, when the
일 실시 예에 따르면, SDN 컨트롤러(400)는 수신한 데이터 패킷의 경로 정보에 대한 위험 점수를 분석 서버(500)로부터 수신하고, 수신된 위험 점수가 제1 임계값 보다 작은 경우, 경로 정보의 위험 정도가 낮다고 판단할 수 있다. SDN 컨트롤러(400)가 수신한 경로 정보의 위험 정도를 낮다고 판단하는 경우, 데이터 패킷을 검사하지 않는 것으로 결정하고, 소스 단말(800)로부터 목적지 단말(900)까지 데이터 패킷이 전송되도록(경로 702) 데이터 패킷의 전송 경로를 제어할 수 있다.According to one embodiment, the
또 다른 실시 예에 따르면, SDN 컨트롤러(400), 분석 서버(500) 및 검사 서버(600)의 기능이 단일의 네트워크 제어 장치(10)에 포함된 적어도 하나의 프로세서들에 의하여 수행되는 경우, 네트워크 제어 장치(10)는 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도에 기초하여, 데이터 패킷을 검사하지 않는 것으로 결정할 수 있다. 네트워크 제어 장치(10)가 데이터 패킷을 검사하지 않는 것으로 결정하는 경우, 네트워크 제어 장치(10)는 소스 단말(800)로부터 목적지 단말(900)까지 데이터 패킷이 전송되도록(경로 702) 데이터 패킷의 전송 경로를 제어할 수 있다.According to another embodiment, when the functions of the
도 5는 본 개시의 다양한 실시 에에 따른 라우팅 경로를 나타내는 도면이다. 5 is a diagram illustrating a routing path according to various embodiments of the present disclosure.
예를 들어, SDN 컨트롤러(400)가 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도에 기초하여, 데이터 패킷을 검사 서버(600)에서 검사하는 것으로 결정하는 경우, 적어도 하나의 라우팅 장치(820, 920)를 통하여, 상기 소스 단말(800)로부터 목적지 단말(900)까지 데이터 패킷이 전송되도록 함과 동시에(경로 702), 데이터 패킷을 검사하기 위해 상기 데이터 패킷이 검사 서버(600)로 전송되도록(경로 704) 데이터 패킷의 전송 경로를 변경할 수 있다.For example, when the
일 실시 예에 따르면, SDN 컨트롤러(400)는 수신한 데이터 패킷의 경로 정보에 대한 위험 점수를 분석 서버(500)로부터 수신하고, 수신된 경로 정보의 위험 점수가 제1 임계값 보다 크고, 제2 임계값 보다 작은 경우, 경로 정보의 위험 정도가 중간 정도로 판단할 수 있다. SDN 컨트롤러(400)가 수신한 경로 정보의 위험 정도를 중간 정도로 판단 시, SDN 컨트롤러(400)는 소스 단말(800)로부터 목적지 단말(900)까지 데이터 패킷이 전송되도록 함과 동시에, 데이터 패킷을 검사하기 위해 상기 데이터 패킷이 검사 서버(600)로 전송되도록 데이터 패킷의 전송 경로를 변경할 수 있다. According to one embodiment, the
SDN 컨트롤러(400)는, 검사 서버(600)가 데이터 패킷을 검사한 결과에 기초하여, 데이터 패킷이 위험하다고 판단되는 경우, 소스 단말로부터 상기 목적지 단말까지 전송중인 상기 데이터 패킷의 전송을 차단할 수 있다. 물론, SDN 컨트롤러(400)는 검사 서버(600)로부터 목적지 단말(900)로 데이터 패킷이 전송되는 것 역시 차단할 수 있다.The
또 다른 실시 예에 따르면, SDN 컨트롤러(400), 분석 서버(500) 및 검사 서버(600)의 기능이 단일의 네트워크 제어 장치(10)에 포함된 적어도 하나의 프로세서들에 의하여 수행되는 경우, 네트워크 제어 장치(10)는 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도에 기초하여, 데이터 패킷을 검사하는 것으로 결정할 수 있다. 네트워크 제어 장치(10)는 데이터 베이스에 저장된 경로 정보의 위험 점수가 제1 임계값 보다 크고, 제2 임계값 보다 작은 경우, 경로 정보의 위험 정도를 중간 정도로 판단할 수 있다. 네트워크 제어 장치(10)가 수신한 경로 정보의 위험 정도를 중간 정도로 판단하는 경우, 네트워크 제어 장치(10)는 소스 단말(800)로부터 목적지 단말(900)까지 데이터 패킷이 전송되도록 함과 동시에, 데이터 패킷을 검사하기 위해 상기 데이터 패킷을 수신할 수 있다.According to another embodiment, when the functions of the
네트워크 제어 장치(10)는 수신된 데이터 패킷을 검사하고, 데이터 패킷을 검사한 결과, 데이터 패킷이 위험하다고 판단되는 경우, 소스 단말(800)로부터 상기 목적지 단말(900)까지 전송 중인 상기 데이터 패킷의 전송을 차단할 수 있다. 물론, 네트워크 제어 장치(10)는 데이터 패킷을 검사하기 위해 소스 단말(800)로부터 수신한 데이터 패킷을 목적지 단말(900)로 전송하지 않는다.The
도 6는 본 개시의 다양한 실시 예에 따른 라우팅 경로를 나타내는 도면이다. 6 is a diagram illustrating a routing path according to various embodiments of the present disclosure.
예를 들어, SDN 컨트롤러(400)가 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도에 기초하여, 데이터 패킷을 검사 서버(600)에서 검사하는 것으로 결정하는 경우, SDN 컨트롤러(400)는 데이터 패킷을 검사하기 위해, 데이터 패킷이 소스 단말(800)로부터 검사 서버(600)로 전송되도록 하고(경로 704), 검사된 데이터 패킷이 검사 서버(600)에서 목적지 단말(900)로 전송되도록(경로 706) 데이터 패킷의 전송 경로를 제어할 수 있다. For example, when the
즉, SDN 컨트롤러(400)가 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도에 기초하여, 데이터 패킷을 검사 서버(600)에서 검사하는 것으로 결정하는 경우, 데이터 패킷이 소스 단말(800)로부터 [검사 서버(600)]목적지 단말(900)로 전송되는 것을 차단함과 동시에, 데이터 패킷이 소스 단말(800)로부터 검사 서버(600)로 전송되도록(경로 704) 전송 경로를 제어할 수 있다. SDN 컨트롤러(400)는 검사 서버(600)가 데이터 패킷을 검사한 결과에 기초하여, 데이터 패킷이 위험하지 않다고 판단되는 경우, 데이터 패킷이 검사 서버(600)에서 목적지 단말(900)로 전송되도록(경로 706) 데이터 패킷의 전송 경로를 제어할 수 있다.That is, when the
일 실시 예에 따르면, SDN 컨트롤러(400)는 수신한 데이터 패킷의 경로 정보에 대한 위험 점수를 분석 서버(500)로부터 수신하고, 수신된 위험 점수가 제2 임계값 보다 큰 경우, 경로 정보의 위험 정도를 높다고 판단할 수 있다. SDN 컨트롤러(400)가 수신한 경로 정보의 위험 정도를 높다고 판단하는 경우, 데이터 패킷을 검사하는 것으로 결정할 수 있다. SDN 컨트롤러(400)가 데이터 패킷을 검사하는 것으로 결정하는 경우, SDN 컨트롤러(400)는 데이터 패킷이 소스 단말(800)로부터 목적지 단말(900)로 전송되는 것을 차단함과 동시에, 데이터 패킷이 소스 단말(800)로부터 검사 서버(600)로 전송되도록(경로 704) 전송 경로를 제어할 수 있다. SDN 컨트롤러(400)는 검사 서버(600)가 데이터 패킷을 검사한 결과, 데이터 패킷이 위험하지 않다고 판단되는 경우, 데이터 패킷이 검사 서버(600)에서 목적지 단말(900)로 전송되도록(경로 706) 데이터 패킷의 전송 경로를 제어할 수 있다.According to one embodiment, the
또 다른 실시 예에 따르면, SDN 컨트롤러(400), 분석 서버(500) 및 검사 서버(600)의 기능이 단일의 네트워크 제어 장치(10)에 포함된 적어도 하나의 프로세서들에 의하여 수행되는 경우, 네트워크 제어 장치(10)는 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도에 기초하여, 데이터 패킷을 검사하는 것으로 결정할 수 있다. 예를 들어, 네트워크 제어 장치(10)는 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도를 높다고 판단하는 경우, 데이터 패킷을 검사하는 것으로 결정할 수 있다. According to another embodiment, when the functions of the
네트워크 제어 장치(10)가 데이터 패킷을 검사하는 것으로 결정하는 경우, 네트워크 제어 장치(10)는 소스 단말(800)로부터 목적지 단말(900)까지 데이터 패킷이 전송되는 것을 차단함과 동시에, 데이터 패킷을 소스 단말(800)로부터 수신하고, 수신된 데이터 패킷을 검사할 수 있다. 네트워크 제어 장치(10)가 데이터 패킷을 검사한 결과, 데이터 패킷이 위험하지 않다고 판단되는 경우, 네트워크 제어 장치(10)는 검사된 데이터 패킷이 네트워크 장치(10)에서 목적지 단말([800]900)로 전송 되도록 데이터 패킷의 전송 경로를 변경할 수 있다.When the
도 7는 본 개시의 다양한 실시 에에 따른 라우팅 경로를 나타내는 도면이다. 7 is a diagram illustrating a routing path according to various embodiments of the present disclosure.
예를 들어, SDN 컨트롤러(400)가 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도에 기초하여, 데이터 패킷을 검사 서버(600)에서 검사하는 것으로 결정하는 경우, SDN 컨트롤러(400)는 데이터 패킷을 검사하기 위해, 데이터 패킷이 소스 단말(800)로부터 검사 서버(600)로 전송되도록 (경로 704) 데이터 패킷의 전송 경로를 제어할 수 있다.For example, when the
즉, SDN 컨트롤러(400)가 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도에 기초하여, 데이터 패킷을 검사 서버(600)에서 검사하는 것으로 결정하는 경우, 데이터 패킷이 소스 단말(800)로부터 목적지 단말(900)로 전송되는 것을 차단함과 동시에, 데이터 패킷이 소스 단말(800)로부터 검사 서버(600)로 전송되도록(경로 704) 전송 경로를 제어할 수 있다. SDN 컨트롤러(400)는 검사 서버(600)가 데이터 패킷을 검사한 결과에 기초하여, 데이터 패킷이 위험하다고 판단되는 경우, 데이터 패킷이 검사 서버(600)에서 목적지 단말(900)로 전송되는 것을 차단할 수 있다. That is, when the
일 실시 예에 따르면, SDN 컨트롤러(400)는 수신한 데이터 패킷의 경로 정보에 대한 위험 점수를 분석 서버(500)로부터 수신하고, 수신된 위험 점수가 제2 임계값 보다 큰 경우, 경로 정보의 위험 정도를 높다고 판단할 수 있다. SDN 컨트롤러(400)가 수신한 경로 정보의 위험 정도를 높다고 판단하는 경우, 데이터 패킷을 검사하는 것으로 결정할 수 있다. SDN 컨트롤러(400)가 데이터 패킷을 검사하는 것으로 결정하는 경우, SDN 컨트롤러(400)는 데이터 패킷이 소스 단말(800)로부터 목적지 단말(900)로 전송되는 것을 차단함과 동시에, 데이터 패킷이 소스 단말(800)로부터 검사 서버(600)로 전송되도록(경로 704) 전송 경로를 제어할 수 있다. According to one embodiment, the
SDN 컨트롤러(400)는 검사 서버(600)가 데이터 패킷을 검사한 결과에 기초하여, 데이터 패킷이 위험하다고 판단되는 경우, 데이터 패킷이 검사 서버(600)에서 목적지 단말(900)로 전송되는 것을 차단할 수 있다.The
또 다른 실시 예에 따르면, SDN 컨트롤러(400), 분석 서버(500) 및 검사 서버(600)의 기능이 단일의 네트워크 제어 장치(10)에 포함된 적어도 하나의 프로세서들에 의하여 수행되는 경우, 네트워크 제어 장치(10)는 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도에 기초하여, 데이터 패킷을 검사하는 것으로 결정할 수 있다. 예를 들어, 네트워크 제어 장치(10)는 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도를 높다고 판단하는 경우, 데이터 패킷을 검사하는 것으로 결정할 수 있다. According to another embodiment, when the functions of the
네트워크 제어 장치(10)가 데이터 패킷을 검사하는 것으로 결정하는 경우, 네트워크 제어 장치(10)는 소스 단말(800)로부터 목적지 단말(900)까지 데이터 패킷이 전송되는 것을 차단함과 동시에, 데이터 패킷을 소스 단말(800)로부터 수신하고, 수신된 데이터 패킷을 검사할 수 있다. 네트워크 제어 장치(10)가 데이터 패킷을 검사한 결과, 데이터 패킷이 위험하다고 판단되는 경우, 네트워크 제어 장치(10)는 검사된 데이터 패킷이 네트워크 장치(10)에서 목적지 단말(800)로 전송 되는 것을 차단할 수 있다. When the
도 8은 본 개시의 일 실시 예에 따른 네트워크 제어 방법의 흐름도이다. 8 is a flowchart illustrating a network control method according to an embodiment of the present disclosure.
네트워크 제어 장치(10)가 수행하는 네트워크 제어 방법은 네트워크 장치(10)에서 시계열적으로 수행되는 하기의 단계들을 포함한다. 단계 S100에서, SDN 컨트롤러(400)는 복수의 라우팅 장치 중에서 적어도 하나의 라우팅 장치를 경유하여 소스 단말로부터 목적지 단말로 전송될 데이터 패킷의 전송 경로를 나타내는 경로 정보를 상기 소스 단말(800)로부터 수신할 수 있다. 본 발명에서 경로 정보는 데이터 패킷의 SRC IP 주소 및/또는 DST IP 주소를 포함할 수 있다.The network control method performed by the
단계 S200에서, SDN 컨트롤러(400)는 수신된 경로 정보의 위험 정도를 판단한다. 예를 들어, SDN 컨트롤러(400)는 분석 서버(500)로 소스 단말(800)로부터 수신된 SRC IP 주소 및/또는 DST IP 주소에 대한 Risk Score(위험 점수) 조회 요청을 전송할 수 있다. SDN 컨트롤러(400)는 위험 점수 조회 요청에 응답하여 분석 서버(500)가 전송하는 SRC IP 주소 및/또는 DST IP 주소에 대한 Risk Score(위험 점수)를 수신하고, SRC IP 주소 및/또는 DST IP 주소에 대한 Risk Score(위험 점수)를 이용하여 상기 데이터 패킷의 경로 정보의 위험 정도를 판단할 수 있다.In step S200, the
또 다른 실시 예에 따르면, SDN 컨트롤러(400)는 분석 서버(500)로 수신된 데이터 패킷의 경로 정보의 위험 정도를 판단하기 위하여, SRC IP 주소에 관련된 공개 정보 조회 요청 및/또는 DST IP 주소에 관련된 공개 정보 조회 요청을 전송할 수 있다. SDN 컨트롤러(400)는 SRC IP 주소에 관련된 공개 정보 조회 요청 또는 DST IP 주소에 관련된 공개 정보 조회 요청에 응답하여 분석 서버(500)가 전송하는 SRC IP 주소에 관련된 공개 정보 또는 DST IP 주소에 관련된 공개 정보를 수신하고, 수신된 SRC IP 주소에 관련된 공개 정보 및 DST IP 주소에 관련된 공개 정보 중 적어도 하나를 이용하여 위험 정도를 판단할 수 있다.According to another embodiment, the
단계 S300에서, SDN 컨트롤러(400)는 판단된 위험 정도에 기초하여 소스 단말로부터 상기 목적지 단말로 전송될 상기 데이터 패킷을 검사할지 여부를 결정한다. SDN 컨트롤러(400)는 데이터 패킷을 검사할지 여부와 관련된 결정에 기초하여, 데이터 패킷의 전송 경로를 변경할 수 있다.In operation S300, the
단계 S400에서, SDN 컨트롤러(400)는 판단된 위험 정도에 따라, 상기 소스 단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송될 상기 데이터 패킷의 전송 경로를 제어한다. In step S400, the
예를 들어, SDN 컨트롤러(400)는 소스 단말(800)로부터 목적지 단말(900)까지 전송될 데이터 패킷의 경로 정보가 위험하지 않다고 판단하는 경우, 복수의 라우팅 장치 중 적어도 하나의 라우팅 장치를 경유하여 상기 소스 단말(800)로부터 상기 목적지 단말(900)까지 상기 데이터 패킷이 전송되도록 상기 데이터 패킷의 전송 경로를 결정할 수 있다.For example, when the
또한, SDN 컨트롤러(400)는 소스 단말(800)로부터 목적지 단말(900)까지 전송될 데이터 패킷의 경로 정보의 위험 정도가 중간 정도로 판단되는 경우, 데이터 패킷이 검사 서버(600)로 전송되도록 상기 데이터 패킷의 전송 경로를 제어함과 동시에, 소스 단말(800)로부터 목적지 단말(900)까지 데이터 패킷이 전송되도록 데이터 패킷의 전송 경로를 제어할 수 있다. SDN 컨트롤러(400)는 검사 서버(600)의 데이터 패킷 검사 결과에 기초하여, 상기 소스 단말(800)로부터 목적지 단말(900)까지 전송될 데이터 패킷이 위험하다고 판단되는 경우, 소스 단말(800)로부터 목적지 단말(900)까지 전송중인 데이터 패킷의 전송을 차단할 수 있다.In addition, when the risk level of the path information of the data packet to be transmitted from the
또 다른 실시 예에 따르면, SDN 컨트롤러(400)는 소스 단말(800)로부터 목적지 단말(900)까지 전송될 데이터 패킷의 경로 정보가 위험하다고 판단되는 경우, 데이터 패킷이 검사 서버(600)로 전송되도록 데이터 패킷의 전송 경로를 제어할 수 있다. 예를 들어, SDN 컨트롤러(400)는 데이터 패킷의 경로 정보가 위험하다고 판단되는 경우, 데이터 패킷이 소스 단말(800)로부터 목적지 단말(900)로 전송되는 것을 차단함과 동시에, 데이터 패킷이 소스 단말(800)로부터 검사 서버(600)로 전송되도록(경로 704) 전송 경로를 제어할 수 있다. SDN 컨트롤러(400)는 검사 서버(600)의 검사 결과에 기초하여, 데이터 패킷이 위험하지 않다고 판단되는 경우, 수신된 데이터 패킷을 검사 서버(600)에서 목적지 단말(900)로 전송되도록 데이터 패킷의 전송 경로를 제어할 수 있다. SDN 컨트롤러(400)는 검사 서버(600)의 검사 결과에 기초하여, 데이터 패킷이 실제로 위험하다고 판단되는 경우에는, 수신된 데이터 패킷을 검사 서버(600)에서 목적지 단말(900)로 전송하지 않는다. According to another embodiment, when it is determined that the path information of the data packet to be transmitted from the
본 발명에서 SDN 컨트롤러(400)는 소스 단말(800)로부터 목적지 단말(900)까지 전송될 데이터 패킷의 경로정보가 위험하지 않은 것으로 판단되는 경우, 데이터 패킷을 검사하지 않는 것으로 결정할 수 있다. 또한, SDN 컨트롤러가 소스 단말(800)로부터 목적지 단말(900)까지 전송될 데이터 패킷의 경로정보의 위험 정도가 높거나, 중간 정도로 판단되는 경우, 데이터 패킷을 검사하는 것으로 결정할 수 있다.In the present invention, if it is determined that the path information of the data packet to be transmitted from the
일 실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 개시를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. Method according to an embodiment is implemented in the form of program instructions that can be executed by various computer means may be recorded on a computer readable medium. The computer readable medium may include program instructions, data files, data structures, and the like, alone or in combination. Program instructions recorded on the media may be those specially designed and constructed for the purposes of this disclosure, or they may be of the kind well-known and available to those having skill in the computer software arts. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks such as floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like.
이상에서 본 개시의 실시예에 대하여 상세하게 설명하였지만 본 개시의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 개시의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 개시의 권리범위에 속한다.Although the embodiments of the present disclosure have been described in detail above, the scope of the present disclosure is not limited thereto, and various modifications and improvements of those skilled in the art using the basic concepts of the present disclosure, which are defined in the following claims, are also provided. It belongs to the scope of rights.
Claims (20)
복수의 라우팅 장치 중에서 적어도 하나의 라우팅 장치를 경유하여 소스 단말로부터 목적지 단말로 전송될 데이터 패킷의 전송 경로를 나타내는 경로 정보를 상기 소스 단말로부터 수신하는 단계;
상기 수신된 경로 정보의 위험 정도를 판단하는 단계; 및
상기 판단된 위험 정도에 따라, 상기 소스 단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송될 상기 데이터 패킷의 전송 경로를 제어하는 단계; 를 포함하는 네트워크 제어 방법.In the method for the network control device to control data packet transmission,
Receiving from the source terminal path information indicating a transmission path of a data packet to be transmitted from a source terminal to a destination terminal via at least one routing device among a plurality of routing devices;
Determining a degree of danger of the received route information; And
Controlling a transmission path of the data packet from which the data packet is to be transmitted from the source terminal to the destination terminal according to the determined degree of risk; Network control method comprising a.
상기 판단된 위험 정도에 기초하여, 상기 소스 단말로부터 상기 목적지 단말로 전송될 상기 데이터 패킷을 검사할지 여부를 결정하는 단계; 를 더 포함하고,
상기 제어하는 단계는 상기 결정에 기초하여 상기 데이터 패킷의 전송 경로를 변경하는 것을 특징으로 하는 네트워크 제어 방법.The method of claim 1,
Determining whether to inspect the data packet to be transmitted from the source terminal to the destination terminal based on the determined degree of risk; More,
And the controlling step changes the transmission path of the data packet based on the determination.
상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하지 않는 것으로 결정하는 경우,
상기 복수의 라우팅 장치 중 적어도 하나의 라우팅 장치를 경유하여 상기 소스 단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송되도록 상기 데이터 패킷의 전송 경로를 결정하는 것을 특징으로 하는 네트워크 제어 방법.The method of claim 2, wherein the controlling step
If it is determined not to inspect the data packet based on the determined degree of risk,
And determining a transmission path of the data packet such that the data packet is transmitted from the source terminal to the destination terminal via at least one routing device among the plurality of routing devices.
상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하는 것으로 결정하는 경우,
상기 데이터 패킷을 검사하기 위해 상기 소스 단말로부터 상기 데이터 패킷을 수신하고, 상기 데이터 패킷을 수신함과 함께 상기 라우팅 장치 중 적어도 하나를 경유하여 상기 소스 단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송되도록 상기 데이터 패킷의 전송 경로를 변경하는 것을 특징으로 하는 네트워크 제어 방법.The method of claim 2, wherein the controlling step
If it is determined that the data packet is examined based on the determined degree of risk,
Receiving the data packet from the source terminal to examine the data packet, receiving the data packet and transmitting the data packet from the source terminal to the destination terminal via at least one of the routing devices. A network control method comprising changing a transmission path of a packet.
상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하는 것으로 결정하는 경우,
상기 소스 단말로부터 상기 데이터 패킷을 수신하고, 상기 수신된 데이터 패킷을 검사하며, 상기 검사된 데이터 패킷이 상기 네트워크 제어 장치로부터 상기 목적지 단말까지 전송되도록 상기 데이터 패킷의 전송 경로를 변경하는 것을 특징으로 하는 네트워크 제어 방법. The method of claim 2, wherein the controlling step
If it is determined that the data packet is examined based on the determined degree of risk,
Receive the data packet from the source terminal, inspect the received data packet, and change the transmission path of the data packet so that the inspected data packet is transmitted from the network control device to the destination terminal. Network control method.
상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하는 것으로 결정하는 경우,
상기 소스 단말로부터 상기 데이터 패킷을 수신하고, 상기 수신된 데이터 패킷을 검사하며, 상기 검사된 데이터 패킷이 상기 네트워크 제어장치로부터 상기 목적지 단말까지 전송되는 것을 차단하는 것을 특징으로 하는 네트워크 제어 방법. The method of claim 2, wherein the controlling step
If it is determined that the data packet is examined based on the determined degree of risk,
Receiving the data packet from the source terminal, inspecting the received data packet, and blocking the checked data packet from being transmitted from the network controller to the destination terminal.
상기 수신된 데이터 패킷을 검사하고, 상기 데이터 패킷의 검사 결과에 기초하여 상기 소스 단말로부터 상기 목적지 단말까지 전송중인 상기 데이터 패킷의 전송을 차단하는 것을 특징으로 하는 네트워크 제어 방법.The method of claim 4, wherein the controlling step
Inspecting the received data packet and blocking transmission of the data packet being transmitted from the source terminal to the destination terminal based on a result of the inspection of the data packet.
상기 경로 정보는 상기 소스 단말의 네트워크 주소를 나타내는 소스 IP주소 및 상기 목적지 단말의 네트워크 주소를 나타내는 목적지 IP주소 중 적어도 하나를 포함하고,
상기 위험 정도는 상기 소스 IP주소에 대응하는 소스 단말로부터 전송될 데이터 패킷 또는 상기 목적지 IP주소에 대응하는 목적지 단말로 전송될 데이터 패킷이 비정상 데이터를 포함할 확률을 나타내는 것을 특징으로 하는 네트워크 제어 방법. The method of claim 2,
The route information includes at least one of a source IP address representing a network address of the source terminal and a destination IP address representing a network address of the destination terminal,
And the degree of risk indicates a probability that a data packet to be transmitted from a source terminal corresponding to the source IP address or a data packet to be transmitted to a destination terminal corresponding to the destination IP address includes abnormal data.
상기 소스 IP주소에 대응하는 소스 단말로부터 전송되었던 패킷 전송 이력, 상기 목적지 IP주소에 대응하는 목적지 단말로 전송되었던 패킷 전송 이력, 상기 전송될 데이터 패킷이 상기 소스 단말로부터 상기 목적지 단말 사이에 상기 데이터 패킷이 경유하는 적어도 하나의 라우팅 장치의 전송 이력, 상기 소스 IP주소에 관련된 공개 정보, 상기 목적지 IP주소에 관련된 공개정보 중 적어도 하나를 이용하여 상기 위험 정도를 판단하는 것을 특징으로 하는 네트워크 제어 방법.The method of claim 8, wherein the determining step
A packet transmission history transmitted from the source terminal corresponding to the source IP address, a packet transmission history transmitted to the destination terminal corresponding to the destination IP address, and the data packet to be transmitted from the source terminal to the destination terminal And determining the risk level using at least one of a transmission history of at least one routing device passing through the routing device, public information related to the source IP address, and public information related to the destination IP address.
상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하는 것으로 결정하는 경우,
상기 데이터 패킷을 검사하기 위해 상기 소스 단말로부터 상기 데이터 패킷을 수신하고, 상기 수신된 데이터 패킷을 검사하며, 상기 검사 결과에 기초하여 상기 경로 정보의 위험 정도를 업데이트 하는 단계; 를 더 포함하고,
상기 경로 정보의 위험 정도는 상기 소스 단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송될 전송경로와 매칭하여 저장되는 것을 특징으로 하는 네트워크 제어 방법.The method of claim 2,
If it is determined that the data packet is examined based on the determined degree of risk,
Receiving the data packet from the source terminal to inspect the data packet, inspecting the received data packet, and updating a degree of risk of the route information based on the inspection result; More,
The risk level of the path information is stored in accordance with the transmission path to which the data packet is transmitted from the source terminal to the destination terminal is stored.
소스 단말, 목적지 단말 및 상기 라우팅 장치와 통신하는 통신 인터페이스;
하나 이상의 인스트럭션을 저장하는 저장부; 및
상기 하나 이상의 인스트럭션을 실행하는 프로세서; 를 포함하고,
상기 프로세서는 상기 하나 이상의 인스트럭션을 실행함으로써,
상기 라우팅 장치를 경유하여 상기 소스 단말로부터 상기 목적지 단말까지 전송될 데이터 패킷의 전송 경로를 나타내는 경로 정보를 상기 소스 단말로부터 수신하고;
상기 수신된 경로 정보의 위험 정도를 판단하고;
상기 판단된 위험 정도에 따라, 상기 소스 단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송될 상기 데이터 패킷의 전송 경로를 제어하는 네트워크 제어 장치.A network control device for controlling data packet transmission through at least one routing device,
A communication interface in communication with a source terminal, a destination terminal, and the routing device;
A storage unit for storing one or more instructions; And
A processor executing the one or more instructions; Including,
The processor executes the one or more instructions,
Receive from the source terminal path information indicating a transmission path of a data packet to be transmitted from the source terminal to the destination terminal via the routing device;
Determine a degree of danger of the received route information;
And controlling a transmission path of the data packet from which the data packet is to be transmitted from the source terminal to the destination terminal according to the determined degree of danger.
상기 판단된 위험 정도에 기초하여, 상기 소스 단말로부터 상기 목적지 단말로 전송될 상기 데이터 패킷을 검사할지 여부를 결정하고, 상기 결정에 기초하여 상기 데이터 패킷의 전송 경로를 변경하는 것을 특징으로 하는 네트워크 제어 장치.The processor of claim 11, wherein the processor executes the one or more instructions, thereby:
Determining whether to inspect the data packet to be transmitted from the source terminal to the destination terminal based on the determined degree of risk, and changing a transmission path of the data packet based on the determination. Device.
상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하지 않는 것으로 결정하는 경우,
상기 적어도 하나의 라우팅 장치를 경유하여 상기 소스 단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송되도록 상기 데이터 패킷의 전송 경로를 결정하는 것을 특징으로 하는 네트워크 제어 장치.The processor of claim 12, wherein the processor executes the one or more instructions, thereby:
If it is determined not to inspect the data packet based on the determined degree of risk,
And determine a transmission path of the data packet such that the data packet is transmitted from the source terminal to the destination terminal via the at least one routing device.
상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하는 것으로 결정하는 경우,
상기 데이터 패킷을 검사하기 위해 상기 소스 단말로부터 상기 데이터 패킷을 수신하고, 상기 데이터 패킷을 수신함과 함께 상기 적어도 하나의 라우팅 장치를 경유하여 상기 소스 단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송되도록 상기 데이터 패킷의 전송 경로를 변경하는 것을 특징으로 하는 네트워크 제어 장치.The processor of claim 12, wherein the processor executes the one or more instructions, thereby:
If it is determined that the data packet is examined based on the determined degree of risk,
Receiving the data packet from the source terminal to examine the data packet, and receiving the data packet and transmitting the data packet from the source terminal to the destination terminal via the at least one routing device. A network control device, characterized in that for changing the transmission path of the packet.
상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하는 것으로 결정하는 경우,
상기 소스 단말로부터 상기 데이터 패킷을 수신하고, 상기 수신된 데이터 패킷을 검사하며, 상기 검사된 데이터 패킷이 상기 네트워크 제어장치로부터 상기 목적지 단말까지 전송되도록 상기 데이터 패킷의 전송 경로를 변경하는 것을 특징으로 하는 네트워크 제어 장치. The processor of claim 12, wherein the processor executes the one or more instructions, thereby:
If it is determined that the data packet is examined based on the determined degree of risk,
Receive the data packet from the source terminal, inspect the received data packet, and change the transmission path of the data packet so that the inspected data packet is transmitted from the network controller to the destination terminal. Network control unit.
상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하는 것으로 결정하는 경우,
상기 소스 단말로부터 상기 데이터 패킷을 수신하고, 상기 수신된 데이터 패킷을 검사하며, 상기 검사된 데이터 패킷이 상기 네트워크 제어장치로부터 상기 목적지 단말까지 전송되는 것을 차단하는 것을 특징으로 하는 네트워크 제어 장치. The processor of claim 12, wherein the processor executes the one or more instructions, thereby:
If it is determined that the data packet is examined based on the determined degree of risk,
Receiving the data packet from the source terminal, inspecting the received data packet, and preventing the checked data packet from being transmitted from the network controller to the destination terminal.
상기 수신된 데이터 패킷을 검사하고, 상기 데이터 패킷의 검사 결과에 기초하여 상기 소스 단말로부터 상기 목적지 단말까지 전송중인 상기 데이터 패킷의 전송을 차단하는 것을 특징으로 하는 네트워크 제어 장치.The processor of claim 14, wherein the processor executes the one or more instructions to:
Inspecting the received data packet and blocking transmission of the data packet being transmitted from the source terminal to the destination terminal based on a result of the inspection of the data packet.
상기 경로 정보는 상기 소스 단말의 네트워크 주소를 나타내는 소스 IP주소 및 상기 목적지 단말의 네트워크 주소를 나타내는 목적지 IP주소 중 적어도 하나를 포함하고,
상기 위험 정도는 상기 소스 IP주소에 대응하는 소스 단말로부터 전송될 데이터 패킷 또는 상기 목적지 IP주소에 대응하는 목적지 단말로 전송될 데이터 패킷이 비정상 데이터를 포함할 확률을 나타내는 것을 특징으로 하는 네트워크 제어 장치. The method of claim 12,
The route information includes at least one of a source IP address representing a network address of the source terminal and a destination IP address representing a network address of the destination terminal,
And the risk level indicates a probability that a data packet to be transmitted from a source terminal corresponding to the source IP address or a data packet to be transmitted to a destination terminal corresponding to the destination IP address includes abnormal data.
복수의 라우팅 장치 중에서 적어도 하나의 라우팅 장치를 경유하여 소스 단말로부터 목적지 단말로 전송될 데이터 패킷의 전송 경로를 나타내는 경로 정보를 상기 소스 단말로부터 수신하는 단계;
상기 수신된 경로 정보의 위험 정도를 판단하는 단계; 및
상기 판단된 위험 정도에 따라, 상기 소스 단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송될 상기 데이터 패킷의 전송 경로를 제어하는 단계; 를 포함하는, 컴퓨터 프로그램 제품.
A computer program product comprising a recording medium storing a program for performing a network control method, the network control method comprising
Receiving from the source terminal path information indicating a transmission path of a data packet to be transmitted from a source terminal to a destination terminal via at least one routing device among a plurality of routing devices;
Determining a degree of danger of the received route information; And
Controlling a transmission path of the data packet from which the data packet is to be transmitted from the source terminal to the destination terminal according to the determined degree of risk; Including, a computer program product.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020180080657A KR102585874B1 (en) | 2018-07-11 | 2018-07-11 | Method and apparatus for routing control in sdn network |
| PCT/KR2019/006242 WO2020013439A1 (en) | 2018-07-11 | 2019-05-24 | Device and method for control routing in sdn network |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020180080657A KR102585874B1 (en) | 2018-07-11 | 2018-07-11 | Method and apparatus for routing control in sdn network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20200006824A true KR20200006824A (en) | 2020-01-21 |
| KR102585874B1 KR102585874B1 (en) | 2023-10-06 |
Family
ID=69142726
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020180080657A KR102585874B1 (en) | 2018-07-11 | 2018-07-11 | Method and apparatus for routing control in sdn network |
Country Status (2)
| Country | Link |
|---|---|
| KR (1) | KR102585874B1 (en) |
| WO (1) | WO2020013439A1 (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102439880B1 (en) * | 2022-01-26 | 2022-09-05 | 프라이빗테크놀로지 주식회사 | System for controlling transmission and reception of file of application and method thereof |
| KR102460693B1 (en) * | 2022-02-23 | 2022-10-31 | 프라이빗테크놀로지 주식회사 | System for controlling transmission and reception of file of application and method thereof |
| KR102609368B1 (en) * | 2023-02-22 | 2023-12-05 | 프라이빗테크놀로지 주식회사 | System for controlling network access and method of the same |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115150312B (en) * | 2021-03-31 | 2024-05-17 | 华为技术有限公司 | Routing method and device |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7869352B1 (en) * | 2002-08-26 | 2011-01-11 | Juniper Networks, Inc. | Adaptive network router |
| US20120030302A1 (en) * | 2004-05-25 | 2012-02-02 | Google Inc. | Electronic message source reputation information system |
| KR20150056159A (en) * | 2013-11-15 | 2015-05-26 | 삼성전자주식회사 | A method operating of a controller and a switch to resolve network error, and the controller and the switch therefor |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10129293B2 (en) * | 2015-02-23 | 2018-11-13 | Level 3 Communications, Llc | Managing traffic control in a network mitigating DDOS |
| US10284595B2 (en) * | 2015-05-08 | 2019-05-07 | Citrix Systems, Inc. | Combining internet routing information with access logs to assess risk of user exposure |
| KR20170133790A (en) * | 2016-05-26 | 2017-12-06 | 한국전자통신연구원 | Apparatus and method for against suspicious traffic based context cognition |
-
2018
- 2018-07-11 KR KR1020180080657A patent/KR102585874B1/en active IP Right Grant
-
2019
- 2019-05-24 WO PCT/KR2019/006242 patent/WO2020013439A1/en active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7869352B1 (en) * | 2002-08-26 | 2011-01-11 | Juniper Networks, Inc. | Adaptive network router |
| US20120030302A1 (en) * | 2004-05-25 | 2012-02-02 | Google Inc. | Electronic message source reputation information system |
| KR20150056159A (en) * | 2013-11-15 | 2015-05-26 | 삼성전자주식회사 | A method operating of a controller and a switch to resolve network error, and the controller and the switch therefor |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102439880B1 (en) * | 2022-01-26 | 2022-09-05 | 프라이빗테크놀로지 주식회사 | System for controlling transmission and reception of file of application and method thereof |
| WO2023146305A1 (en) * | 2022-01-26 | 2023-08-03 | 프라이빗테크놀로지 주식회사 | System for controlling file transmission and reception of application, and method therefor |
| KR102460693B1 (en) * | 2022-02-23 | 2022-10-31 | 프라이빗테크놀로지 주식회사 | System for controlling transmission and reception of file of application and method thereof |
| WO2023163504A1 (en) * | 2022-02-23 | 2023-08-31 | 프라이빗테크놀로지 주식회사 | System for controlling file transmission and reception of application, and method therefor |
| KR102609368B1 (en) * | 2023-02-22 | 2023-12-05 | 프라이빗테크놀로지 주식회사 | System for controlling network access and method of the same |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102585874B1 (en) | 2023-10-06 |
| WO2020013439A1 (en) | 2020-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10924325B2 (en) | Maps having a high branching factor | |
| KR20200006824A (en) | Method and apparatus for routing control in sdn network | |
| CN112073411B (en) | Network security deduction method, device, equipment and storage medium | |
| US10917437B2 (en) | Conflict detection and resolution methods and apparatuses | |
| US10693899B2 (en) | Traffic enforcement in containerized environments | |
| KR20190017209A (en) | Apparatus for enhancing network security and method for the same | |
| US20130276092A1 (en) | System and method for dynamic security insertion in network virtualization | |
| US20140269299A1 (en) | Network controller normalization of network traffic | |
| EP2500838A1 (en) | SOC-based device for packet filtering and packet filtering method thereof | |
| EP3525407B1 (en) | Device and method of forwarding data packets in a virtual switch of a software-defined wide area network environment | |
| US20210212163A1 (en) | Relay apparatus, communication system, relay method, and non-transitory computer readable medium storing relay program | |
| CN109417556B (en) | System and method for secure service collaboration | |
| US10389757B2 (en) | Rule placement in network devices | |
| CN115834091A (en) | Network flow control method and related system | |
| Tahir et al. | A novel DDoS floods detection and testing approaches for network traffic based on linux techniques | |
| US11159533B2 (en) | Relay apparatus | |
| Askar | Deep learning Utilization in SDN Networks: A Review | |
| US11924243B2 (en) | Search device, search method, and search program | |
| Chalyy et al. | A simple Information Flow Security Model for Software-Define Networks | |
| Islam et al. | Building machine learning based firewall on spanning tree protocol over software defined networking | |
| JP6721542B2 (en) | Traffic control device, method, and program | |
| US20180123952A1 (en) | Dynamic scriptable routing | |
| US20230188500A1 (en) | Automatically generating security rules for a networked environment based on anomaly detection | |
| US20220279007A1 (en) | Analysis system, method, and program | |
| Manyatha et al. | Deterrence Pointer for Distributed Denial-of-Service (DDoS) Attack by Utilizing Watchdog Timer and Hybrid Routing Protocol |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right |