JP5193362B2 - アクセスレベル保安装置及び保安システム - Google Patents
アクセスレベル保安装置及び保安システム Download PDFInfo
- Publication number
- JP5193362B2 JP5193362B2 JP2011511487A JP2011511487A JP5193362B2 JP 5193362 B2 JP5193362 B2 JP 5193362B2 JP 2011511487 A JP2011511487 A JP 2011511487A JP 2011511487 A JP2011511487 A JP 2011511487A JP 5193362 B2 JP5193362 B2 JP 5193362B2
- Authority
- JP
- Japan
- Prior art keywords
- packet data
- address
- rule filter
- access level
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000000903 blocking effect Effects 0.000 claims description 39
- 239000004744 fabric Substances 0.000 claims description 33
- 230000004044 response Effects 0.000 claims description 23
- 238000007619 statistical method Methods 0.000 claims description 15
- 241000700605 Viruses Species 0.000 description 20
- 238000010586 diagram Methods 0.000 description 9
- 235000000421 Lepidium meyenii Nutrition 0.000 description 5
- 235000012902 lepidium meyenii Nutrition 0.000 description 5
- 238000000034 method Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、アクセスレベルでのネットワーク保安装置及び保安システムに係り、より詳細には、インターネットを通じてアクセスされるものではない、ノート型パソコン、パーソナルコンピュータ等におけるアクセスレベルでのパケットデータの特性と類型とをリアルタイムで統計的に分析して有害トラフィックを遮断し、またネットワークを通じて接続された多様なユーザのIP(インターネットプロトコル)を管理することができるアクセスレベル保安装置及びそれを含む保安システムに関する。
現代社会は、インターネットの発達につれて、いつでもどこでもインターネットを通じて多様なウイルスにさらされている。特に、有線ネットワークを構築して使う会社、学校、団体など、多様な組職では、一つのネットワークウイルスがネットワーク全体を一瞬に無力化し、これによる被害は、有害ウイルスの発見、遮断、そして、ネットワークが正常に復旧されるまでインターネットだけではなく、内部ネットワークを使えないという致命的で長期間の被害を与える結果をもたらす。
最近、ウイルスは、ネットワークが発達する以前のウイルスと異なって、一つのコンピュータを無力化させることよりはネットワーク全体を占領して複数台のコンピュータを無力化させることが特徴である。したがって、このようなネットワークウイルスの危険、脅威、事故などを遮断、対応、予防するための多様なネットワーク保安装置が登場しており、多くのネットワーク管理者及びネットワークサービス提供者は、このようなネットワーク保安装置の導入を積極的に検討している状況である。
図1は、保安機能を含む一般的なネットワーク構成を説明するブロック図である。
図1を参照すると、保安機能を含む一般的なネットワークは、インターネット10と端末機50との間にルーター20、防火壁30、バックボーンスイッチ40を備える。防火壁(ファイアーウォール)30によってインターネット10を通じて流入されるデータのうち、有害なデータがフィルタリングされる。
図1を参照すると、保安機能を含む一般的なネットワークは、インターネット10と端末機50との間にルーター20、防火壁30、バックボーンスイッチ40を備える。防火壁(ファイアーウォール)30によってインターネット10を通じて流入されるデータのうち、有害なデータがフィルタリングされる。
このように、一般的なネットワーク保安装置は、インターネットと接続されるゲートウェイで外部からの侵入を探知し及び遮断する。すなわち、図1で、インターネット10とルーター30とを通じて侵入する有害データの遮断に集中している。
このようなネットワーク保安装置は、インターネットのような外部ネットワークから内部ネットワーク資源を保護することができるが、内部ユーザあるいは訪問者が移動型保存装置(例えば、フラッシュメモリ、ノート型パソコン)などを用いて端末機50にアクセスしネットワークにアクセスしてウイルスを伝播させる場合には、このようなアクセスを効率的に阻むことができない。
また、既存に知られたウイルスではない新種または変種ウイルスが端末機50から侵入したら、既存の保安装置は、新種または変種ウイルスの形態を把握できる資料がないために、ネットワーク全体の保安が脆弱になるという問題がある。
本発明が解決しようとする技術的課題は、内部ユーザあるいは訪問者のコンピュータなどが接続されるアクセスレベルでの有害トラフィックをリアルタイムで分析及び遮断し、アクセスレベルでのIPの効率的な管理が可能なアクセスレベル保安装置を提供することである。
本発明が解決しようとする他の技術的課題は、内部ユーザあるいは訪問者のコンピュータなどが接続されるアクセスレベルでの有害トラフィックをリアルタイムで分析及び遮断し、アクセスレベルでのIPの効率的な管理が可能なアクセスレベル保安システムを提供することである。
前記技術的課題を解決するための本発明の一側面によるアクセスレベル保安装置は、多層分析部と、プロセッサと、を備える。
多層分析部は、スイッチファブリックを通じて入力されるパケットデータのヘッダを統計的方法で分析し、その分析結果を出力する。
プロセッサは、前記多層分析部の分析結果に応答して、前記パケットデータを遮断するか否かを決定する1次保安ルールフィルターを生成し、前記1次保安ルールフィルターに基づいて、前記スイッチファブリックを制御する遮断命令を出力し、前記パケットデータを伝送するIP(Internet Protocol)アドレスを確認して外部に出力し、遮断するIP情報を有するIP管理命令に応答して、前記遮断命令を出力する。前記プロセッサは、前記1次保安ルールフィルターを参照し、パケットの流入時間、パケットの量(packet quantity)及びパケットの連続性(packet continuity)を分析して、前記パケットデータを遮断するか否かを決定する2次保安ルールフィルターを生成し、前記2次保安ルールフィルターに基づいて、前記遮断命令を出力する。
前記多層分析部は、前記パケットデータのヘッダを第4レイヤレベルL4まで分析することができる。前記統計的方法では、入力されるパケットデータごとに、前記パケットデータのヘッダのソースアドレス(source address)、プロトコル(protocol)タイプ、ソースIPアドレス(以下「ソースIP」という。)、デスティネーションIPアドレス(以下「デスティネーションIP」という。)、ソースサービスポート(source service port)、デスティネーションサービスポート(destination
service port)を分析し続けて、その分布パターンを用いてネットワークトラフィックの特徴を確認することができる。前記多層分析部は、ASIC(Application Specific Integrated Circuit)で形成されうる。
前記多層分析部は、前記パケットデータのヘッダを第4レイヤレベルL4まで分析することができる。前記統計的方法では、入力されるパケットデータごとに、前記パケットデータのヘッダのソースアドレス(source address)、プロトコル(protocol)タイプ、ソースIPアドレス(以下「ソースIP」という。)、デスティネーションIPアドレス(以下「デスティネーションIP」という。)、ソースサービスポート(source service port)、デスティネーションサービスポート(destination
service port)を分析し続けて、その分布パターンを用いてネットワークトラフィックの特徴を確認することができる。前記多層分析部は、ASIC(Application Specific Integrated Circuit)で形成されうる。
アクセスレベル保安装置は、前記1次保安ルールフィルターと前記2次保安ルールフィルターとから生成されたログファイルを受信して保存するメモリをさらに備えうる。
前記スイッチファブリックは、前記1次保安ルールフィルター、2次保安ルールフィルター及び前記IP管理命令に基づいて発生する、遮断するIPを有する前記遮断命令に応答して、前記遮断するIPを遮断することができる。
前記プロセッサは、ARP(Address Resolution Protocol)トラップを用いて、前記パケットデータを伝送するIPアドレスとMACアドレスとを確認して外部に出力することができる。
前記IP管理命令は、外部の管理者によって作られたIP管理ポリシーによって遮断及び許容するIPアドレスが定めることができる。
前記技術的課題を解決するための本発明の他の側面による保安システムは、アクセスレベル保安装置と、ネットワーク管理部と、を備える。
アクセスレベル保安装置は、入力されるパケットデータのヘッダを統計的方法で分析して有害トラフィックを遮断し、IP管理ポリシーによって、前記パケットデータを伝送するIPアドレスを遮断する。
ネットワーク管理部は、前記IP管理ポリシーを保存し、前記IP管理ポリシーに応答して、遮断するIP情報を有するIP管理命令を出力し、前記アクセスレベル保安装置から出力される有害トラフィックについての情報を保存する。
前記アクセスレベル保安装置は、スイッチファブリックを通じて入力される前記パケットデータのヘッダを前記統計的方法で分析し、その分析結果を出力する多層分析部と、前記多層分析部の分析結果に応答して、前記パケットデータを遮断するか否かを決定する1次保安ルールフィルターを生成し、前記1次保安ルールフィルターに基づいて、前記スイッチファブリックを制御する遮断命令を出力し、前記パケットデータを伝送するIPアドレスを確認して、前記ネットワーク管理部に出力し、前記IP管理命令に応答して、前記遮断命令を出力するプロセッサと、を備える。前記プロセッサは、前記1次保安ルールフィルターを参照し、パケットの流入時間、パケットの量及びパケットの連続性を分析して、前記パケットデータを遮断するか否かを決定する2次保安ルールフィルターを生成し、前記2次保安ルールフィルターに基づいて、前記遮断命令を出力する。
前記多層分析部は、前記パケットデータのヘッダを第4レイヤレベルL4まで分析することができる。前記統計的方法では、入力されるパケットデータごとに、前記パケットデータのヘッダのソースアドレス、プロトコルタイプ、ソースIP、デスティネーションIP、ソースサービスポート、デスティネーションサービスポートを分析し続けて、その分布パターンを用いてネットワークトラフィックの特徴を確認することができる。
前記多層分析部は、ASIC(Application Specific Integrated Circuit)で形成されうる。
前記アクセスレベル保安装置は、前記1次保安ルールフィルターと前記2次保安ルールフィルターとから生成されたログファイルを受信して保存するメモリをさらに備えうる。
前記スイッチファブリックは、前記1次保安ルールフィルター、2次保安ルールフィルター及び前記IP管理命令に基づいて発生する、遮断するIPを有する前記遮断命令に応答して、前記遮断するIPを遮断することができる。
前記プロセッサは、ARP(Address Resolution Protocol)トラップを用いて、前記パケットデータを伝送するIPアドレスとMACアドレスとを確認して、前記ネットワーク管理部に出力することができる。
前記ネットワーク管理部は、前記プロセッサから前記IPアドレスとMACアドレスとを受信して、前記スイッチファブリックに接続されたポートのデータベースを生成し、前記IP管理ポリシーに応答して、前記データベースのポートのうち、有害なパケットデータを伝送するポートを遮断するための前記IP管理命令を出力することができる。前記IP管理ポリシーは、外部の管理者によって遮断及び許容するIPアドレスを定めうる。
本発明によれば、ネットワークのアクセスレベルで発生しうる、分かっているあるいは変形された有害トラフィックを、保安装置を含む保安システムを用いて統計的方法で探知及び遮断できる。また、モジュール化された多層分析部を使用することによって、パケットデータを非常に早い時間内に分析及び遮断することができる。
また、管理者が、ネットワークのIPをアクセスレベルで効率的に管理し、ネットワーク管理部に伝送されるパケットについての情報を通じて内部ネットワークの細部的な現況をリアルタイムで把握することができる。
本発明と本発明の動作上の利点及び本発明の実施によって達成される目的を十分に理解するためには、本発明の望ましい実施形態を例示する添付図面及び図面に記載の内容を参照しなければならない。
以下、添付図面を参照して、本発明の望ましい実施形態を説明する。
図2は、本発明によるアクセスレベル装置を含む保安システムを含むネットワーク構成を説明するブロック図である。
図2を参照すると、本発明の実施形態によるアクセスレベルでの有害トラフィック遮断が可能な保安システム200は、ネットワーク上でバックボーンスイッチ40と端末機50との間に設けられる。バックボーンスイッチ40と端末機50との間で保安システム200は、端末機50側から流入されるパケットデータをリアルタイムで分析して有害データを遮断すると同時に、端末機50側に接続された複数のIPを確認して、IP管理ポリシーによってIP資源を効率的に管理する。
ここで、端末機50は、パーソナルコンピュータ、ノート型パソコン、USBメモリのように多様な装置のうち一つであり得る。また、アクセスレベルとは、インターネットに接続されるゲートウェイの外部から侵入するものではなく、ネットワーク上で内部ユーザのように端末機50側に接続されてネットワークに侵入する場合を意味する。バックボーンスイッチ40の前端の構造は、図1と同一であるので、説明を省略する。
図2には、ネットワークの系統図に一つの保安システム200のみ示されているが、これは、説明の便宜のためのものであり、保安システム200は、複数個設けられることがあり、また保安システム200に接続される端末機も複数個であり得る。
図3は、図2の保安システム及びアクセスレベル保安装置の構成を説明するブロック図である。
以下、図2及び図3を参照して、保安システムの動作が詳しく説明される。
保安システム200は、アクセスレベル保安装置210及びネットワーク管理部250を備える。
アクセスレベル保安装置210は、入力されるパケットデータのヘッダを統計的方法で分析して有害トラフィックを遮断し、IP管理ポリシーによって、前記パケットデータを伝送するIPアドレスを遮断する。
ネットワーク管理部250は、IP管理ポリシーを保存し、前記IP管理ポリシーに応答して、遮断するIP情報を有するIP管理命令IPCTRLを出力し、アクセスレベル保安装置210から出力される有害トラフィックについての情報を保存する。
図3を参照して、アクセスレベル保安装置210についてさらに説明する。
アクセスレベル保安装置210は、スイッチファブリック305、多層分析部310及びプロセッサ320を備える。また、メモリ330をさらに備えることができる。
スイッチファブリック305は、端末機50−1、50−2、50−nがネットワークにアクセスする時、端末機50−1、50−2、50−nと接続されるスイッチである。端末機50−1、50−2、50−nは、物理プロトコルPHYを通じてスイッチファブリック305と接続されるが、図3ではPHYは省略する。スイッチファブリック305は、それぞれの端末機50−1、50−2、50−nから入力されるパケットデータを遮断することができる。
多層分析部310は、スイッチファブリック305を通じて入力されるパケットデータのヘッダを統計的方法で分析し、その分析結果を出力する。プロセッサ320は、多層分析部310の分析結果に応答して、前記パケットデータを遮断するか否かを決定する1次保安ルールフィルターを生成し、前記1次保安ルールフィルターに基づいてスイッチファブリック305を制御する遮断命令BLKを出力する。また、プロセッサ320は、パケットデータを伝送するIPアドレスを確認してネットワーク管理部250に出力し、IP管理命令IPCTRLに応答して遮断命令BLKを出力する。
多層分析部310は、スイッチファブリック305を通じて入力されるパケットデータをリアルタイムで統計的方法を用いて分析し、その分析結果を出力する。ここで、多層分析部310は、ASIC(Application Specific Integrated Circuit)で形成される。すなわち、パケットデータを分析する多層分析部310は、ハードウェアで作られることで、ソフトウェアを用いてパケットデータを分析するよりは迅速にパケットデータの分析が可能である。
多層分析部310は、パケットデータのヘッダを第4レイヤレベルL4まで分析する。ここで、多層分析部310が利用する統計的方法は、入力されるパケットデータごとに、前記パケットデータのヘッダのソースアドレス、プロトコルタイプ、ソースIP、デスティネーションIP、ソースサービスポート、デスティネーションサービスポートを分析し続けて、その分布パターンを用いてネットワークトラフィックの特徴を確認するというものである。
パケットデータのヘッダの第4レイヤレベルL4まで存在する前記要素(ソースアドレス、プロトコルタイプ、ソースIP、デスティネーションIP、ソースサービスポート、デスティネーションサービスポート)をパケットデータごとに抽出し、前記要素のそれぞれの変化を観察して、その変化が正常なパケットデータと類似しているか/異なるかを分析して、その分析結果がプロセッサ320に出力される。
プロセッサ320は、多層分析部310の分析結果に応答して、前記パケットデータを遮断するか否かを決定する1次保安ルールフィルターを生成し、前記1次保安ルールフィルターに基づいてスイッチファブリック305を制御する遮断命令BLKを出力する。
図4は、X軸をソースIPとし、Y軸をソースサービスポートとして入力されるパケットデータを分析した結果を示す図である。
図4によって、ネットワークを攻撃するウイルスパターンを確認することができる。ウイルスパターンのうち、DoS(Denial of Service)は、ソースIPは固定された状態でソースサービスポートが変化されるパターンを有する。
図4で、ソースIPは、固定された状態でソースサービスポートが非常に早く変化される領域410を確認し、多層分析部310から出力される分析結果から、前記領域410に含まれるパケットデータは、有害トラフィックと見なされる。
ウイルスパターンのうち、DDoS(Distributed Denial of Service)は、ソースIPが変化されるか(spoofed)によって二つに分類されうる。変化されるDDoSは、ソースサービスポートの約90%以上が変化を見せ、普通のDDoSは、ソースIPの約40%以上が変化される。
ウイルスパターンのうち、DDoS(Distributed Denial of Service)は、ソースIPが変化されるか(spoofed)によって二つに分類されうる。変化されるDDoSは、ソースサービスポートの約90%以上が変化を見せ、普通のDDoSは、ソースIPの約40%以上が変化される。
図4で、変化されるDDoS領域420と普通のDDoS領域430とを確認し、多層分析部310から出力される分析結果から、前記領域420、430に含まれるパケットデータは、有害トラフィックと見なされる。
ウイルスパターンのうち、Worm Attackは、ソースIPとソースサービスポートの約80%以上が変化を見せる。図4で、変化されるWorm Attack領域440を確認し、多層分析部310から出力される分析結果から、前記領域440に含まれるパケットデータは、有害トラフィックと見なされる。
プロセッサ320は、このように有害トラフィックと見なされたパケットデータ要素を使用して、パケットデータを遮断するか否かを決定する1次保安ルールフィルターを生成する。そしてプロセッサ320は、1次保安ルールフィルターに基づいて、前記有害トラフィックと見なされたパケットデータ要素を遮断するために、スイッチファブリック305に遮断命令BLKを出力する。遮断命令BLKは、遮断するIP情報を有している。スイッチファブリック305は、遮断命令BLKに応答して有害なパケットデータ要素が入力されるIPポートを遮断する。IPポートの遮断は、プログラムによったものではなく、スイッチファブリック305によって有害なIPが発見されたポートが直接遮断されるハードウェア的な方法によって行われるので、ソフトウェア的にIPポートを遮断するよりは遥かに迅速かつ正確に遮断することができる。
図4には、X軸をソースIPとし、Y軸をソースサービスポートとして入力されるパケットデータを分析した結果を示してしているが、入力されるパケットデータを分析した結果を示すためにX軸とY軸とは多様に変形され、プロセッサ320は、そのような動作を行う。
前記のように生成された1次保安ルールフィルターは、一般的なウイルスパターンを有するパケットデータの検出に良い性能を見せる。しかし、検出エラー率を低めて変形されたウイルスパターンも検出するために、プロセッサ320は1次保安ルールフィルターを参照し、パケットの流入時間、パケットの量及びパケットの連続性を分析して、前記パケットデータを遮断するか否かを決定する2次保安ルールフィルターを生成し、前記2次保安ルールフィルターに基づいて遮断命令BLKを出力する。
パケットの流入時間は、パケットの量とパケットの連続性とを分析するための基本的なパラメータとして作用する。
図5は、2次保安ルールフィルターを生成する過程を説明する図である。
図6は、図5に形成された集団が如何なるウイルスパターンに対応するかを説明する表である。
図5に示すように、パケットの流入時間、パケットの量及びパケットの連続性を互いに関連づけて3次元軸で表示する時、1次保安ルールフィルターを生成させたパケットデータを分析して、図5に示すような集団が見えるならば、プロセッサ320は、集団に属したパケットデータを有害トラフィックと容易に見なすことができる。なぜならば、普通のトラフィックでは、図5に示すような集団が表われないためである。
図6に示されたように、ウイルスパターンのうち、DoS(Denial of Service)は、パケットの流入時間は短く、パケット量は多く、パケットの連続性は非常に高い特徴を有する。ここで、パケットの流入時間の長短、パケット量の多少及びパケットの連続性の高低の基準は、本発明の実施形態による保安システムを設計する設計者によって設計されて、あらかじめ保安システムに設定される。設計基準は、保安システムが適用されるネットワーク環境によって多様に定義されうる。図6に開示された短い、長い、低い、高いの概念は、図5を理解しやすいように表示した一つの説明例である。したがって、このような特徴を有した集団が形成されれば(図5参照)、この集団に属するパケットデータは、DoSパターンを有するウイルスである可能性が非常に高い。
このように生成された2次保安ルールフィルターに基づいて、プロセッサ320は、遮断命令BLKをスイッチファブリック305に出力し、スイッチファブリック305は、遮断命令BLKが指示するポートを遮断する。
アクセスレベル保安装置210は、1次保安ルールフィルターと前記2次保安ルールフィルターとから生成されたログファイルを受信して保存するメモリ330をさらに備える。メモリ330に保存された1次保安ルールフィルターと2次保安ルールフィルターは、多層分析部310の動作時、既存に検索された有害トラフィックの資料として利用されることによって、多層分析部310の動作をさらに早くできる。また、メモリ330に保存された1次保安ルールフィルターと2次保安ルールフィルターは、ネットワーク管理部250に伝達されてネットワーク管理部250に保存されることによって、管理者の利用資料として利用されることもある。
プロセッサ320は、ARP(Address Resolution Protocol)トラップを用いて、前記パケットデータを伝送するIPアドレスIPAとMACアドレスMACAとを確認して、ネットワーク管理部250に出力する。
ARPトラップを利用すれば、スイッチファブリック305に接続される端末機50−1、50−2、50−nのIPアドレスIPAとMACアドレスMACAとを把握することができるので、その把握されたIPアドレスIPAとMACアドレスMACAとをネットワーク管理部250に伝送することによって、ネットワーク管理部250が、スイッチファブリック305に接続されたIPを管理できるようにする。
ネットワーク管理部250は、プロセッサ320からIPアドレスIPAとMACアドレスMACAとを受信して、スイッチファブリック305に接続されたポートのデータベースを生成する。そして、IP管理ポリシーに応答してデータベースのポートのうち、有害なパケットデータを伝送するポートを遮断するためのIP管理命令IPCTRLを出力する。IP管理ポリシーは、外部の管理者によってあらかじめ遮断及び許容するIPアドレスが定められたデータベースである。または、IP管理ポリシーは、管理者がリアルタイムでスイッチファブリック305に接続されたIPアドレスIPAとMACアドレスMACAとに関する情報を観察しながら、有害なトラフィックを伝送すると判断されるポートやその他の遮断する必要があるポートを変更することによって、IP管理を効率的かつ多様に行わせうる。
プロセッサ320は、IP管理命令IPCTRLに応答して遮断命令BLKを発生することによって、不要なポートを遮断することができる。従来、特定IPアドレスを遮断する場合、プログラム的に遮断する方法を利用したが、本発明の実施形態による保安システムは、IP管理ポリシーによってスイッチファブリック305に遮断命令BLKを伝送して、スイッチファブリック305が不要なIPが発見されたポートをハードウェア的に遮断させることによって、非常に迅速にIP管理を行うことができる。
以上、本発明の望ましい実施形態について詳しく記述したが、当業者ならば、特許請求の範囲に定義された本発明の精神及び範囲に外れずに、本発明を多様に変形または変更して実施できるということが分かる。したがって、本発明のこれからの実施形態の変更は、本発明の技術を外れることができない。
本発明は、ネットワーク保安分野に利用されうる。
Claims (17)
- スイッチファブリックを通じて入力されるパケットデータのヘッダを統計的方法で分析し、その分析結果を出力する多層分析部と、
前記多層分析部の分析結果に応答して、前記パケットデータを遮断するか否かを決定する1次保安ルールフィルターを生成し、前記1次保安ルールフィルターに基づいて、前記スイッチファブリックを制御する遮断命令を出力し、前記パケットデータを伝送するIPアドレスを確認して外部に出力し、ネットワーク管理部から取得されかつ遮断するIP情報を有するIP管理命令に応答して、前記遮断命令を出力するプロセッサと、
を備え、
前記プロセッサは、前記1次保安ルールフィルターを参照し、パケットの流入時間、パケットの量及びパケットの連続性を分析して、前記パケットデータを遮断するか否かを決定する2次保安ルールフィルターを生成し、前記2次保安ルールフィルターに基づいて、前記遮断命令を出力するアクセスレベル保安装置。 - 前記多層分析部は、前記パケットデータのヘッダを第4レイヤレベルL4まで分析する請求項1に記載のアクセスレベル保安装置。
- 前記統計的方法では、入力されるパケットデータごとに、前記パケットデータのヘッダのソースアドレス、プロトコルタイプ、ソースIPアドレス、デスティネーションIPアドレス、ソースサービスポート、デスティネーションサービスポートを分析し続けて、その分布パターンを用いてネットワークトラフィックの特徴を確認する請求項1に記載のアクセスレベル保安装置。
- 前記多層分析部は、ASICで形成されている請求項1に記載のアクセスレベル保安装置。
- 前記1次保安ルールフィルターと前記2次保安ルールフィルターとから生成されたログファイルを受信して保存するメモリをさらに備える請求項1に記載のアクセスレベル保安装置。
- 前記スイッチファブリックは、前記1次保安ルールフィルター、2次保安ルールフィルター及び前記IP管理命令に基づいて発生する、遮断するIPを有する前記遮断命令に応答して、前記遮断するIPを遮断する請求項1に記載のアクセスレベル保安装置。
- 前記プロセッサは、ARPトラップを用いて、前記パケットデータを伝送するIPアドレスとMACアドレスとを確認して外部に出力する請求項1に記載のアクセスレベル保安装置。
- 前記IP管理命令は、外部の管理者によって作られたIP管理ポリシーによって遮断及び許容するIPアドレスを定める請求項1に記載のアクセスレベル保安装置。
- 入力されるパケットデータのヘッダを統計的方法で分析して有害トラフィックを遮断し、IP管理ポリシーによって、前記パケットデータを伝送するIPアドレスを遮断するアクセスレベル保安装置と、
前記IP管理ポリシーを保存し、前記IP管理ポリシーに応答して、遮断するIP情報を有するIP管理命令を出力し、前記アクセスレベル保安装置から出力される有害トラフィックについての情報を保存するネットワーク管理部と、
を備え、
前記アクセスレベル保安装置は、
スイッチファブリックを通じて入力される前記パケットデータのヘッダを前記統計的方法で分析し、その分析結果を出力する多層分析部と、
前記多層分析部の分析結果に応答して、前記パケットデータを遮断するか否かを決定する1次保安ルールフィルターを生成し、前記1次保安ルールフィルターに基づいて、前記スイッチファブリックを制御する遮断命令を出力し、前記パケットデータを伝送するIPアドレスを確認して、前記ネットワーク管理部に出力し、前記IP管理命令に応答して、前記遮断命令を出力するプロセッサと、
を備え、
前記プロセッサは、前記1次保安ルールフィルターを参照し、パケットの流入時間、パケットの量及びパケットの連続性を分析して、前記パケットデータを遮断するか否かを決定する2次保安ルールフィルターを生成し、前記2次保安ルールフィルターに基づいて、前記遮断命令を出力する保安システム。 - 前記多層分析部は、前記パケットデータのヘッダを第4レイヤレベルL4まで分析する請求項9に記載の保安システム。
- 前記統計的方法では、入力されるパケットデータごとに、前記パケットデータのヘッダのソースアドレス、プロトコルタイプ、ソースIPアドレス、デスティネーションIPアドレス、ソースサービスポート、デスティネーションサービスポートを分析し続けて、その分布パターンを用いてネットワークトラフィックの特徴を確認する請求項9に記載の保安システム。
- 前記多層分析部は、ASICで形成されている請求項9に記載の保安システム。
- 前記アクセスレベル保安装置は、前記1次保安ルールフィルターと前記2次保安ルールフィルターとから生成されたログファイルを受信して保存するメモリをさらに備える請求項9に記載の保安システム。
- 前記スイッチファブリックは、前記1次保安ルールフィルター、2次保安ルールフィルター及び前記IP管理命令に基づいて発生する、遮断するIPを有する前記遮断命令に応答して、前記遮断するIPを遮断する請求項9に記載の保安システム。
- 前記プロセッサは、ARPトラップを用いて、前記パケットデータを伝送するIPアドレスとMACアドレスとを確認して、前記ネットワーク管理部に出力する請求項9に記載の保安システム。
- 前記ネットワーク管理部は、前記プロセッサから前記IPアドレスとMACアドレスとを受信して、前記スイッチファブリックに接続されたポートのデータベースを生成し、前記IP管理ポリシーに応答して、前記データベースのポートのうち、有害なパケットデータを伝送するポートを遮断するための前記IP管理命令を出力する請求項15に記載の保安システム。
- 前記IP管理ポリシーは、外部の管理者によって遮断及び許容するIPアドレスが定められる請求項16記載の保安システム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020080050193A KR100870871B1 (ko) | 2008-05-29 | 2008-05-29 | 액세스레벨에서의 유해트래픽 차단장치 및 보안시스템 |
| KR10-2008-0050193 | 2008-05-29 | ||
| PCT/KR2008/003150 WO2009145379A1 (en) | 2008-05-29 | 2008-06-05 | Access level network securing device and securing system thereof |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011523822A JP2011523822A (ja) | 2011-08-18 |
| JP5193362B2 true JP5193362B2 (ja) | 2013-05-08 |
Family
ID=40284852
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011511487A Active JP5193362B2 (ja) | 2008-05-29 | 2008-06-05 | アクセスレベル保安装置及び保安システム |
Country Status (3)
| Country | Link |
|---|---|
| JP (1) | JP5193362B2 (ja) |
| KR (1) | KR100870871B1 (ja) |
| WO (1) | WO2009145379A1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012023657A1 (ko) * | 2010-08-16 | 2012-02-23 | 주식회사 이세정보 | 가상 머신을 이용한 네트워크 기반 유해 프로그램 검출 방법 및 그 시스템 |
| TWI619038B (zh) * | 2011-11-07 | 2018-03-21 | Admedec Co Ltd | Safety box |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100432167B1 (ko) | 2001-12-26 | 2004-05-17 | 한국전자통신연구원 | 은닉형 침입 탐지 및 차단 제어 시스템 및 그 제어방법 |
| JP3652661B2 (ja) * | 2002-03-20 | 2005-05-25 | 日本電信電話株式会社 | サービス不能攻撃の防御方法および装置ならびにそのコンピュータプログラム |
| JP2003348113A (ja) * | 2002-05-22 | 2003-12-05 | Takeshi Hosohara | スイッチおよびlan |
| US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
| KR20050090640A (ko) * | 2004-03-09 | 2005-09-14 | 유넷시스템주식회사 | 유해 트래픽 분석 시스템 및 방법 |
| KR100614775B1 (ko) * | 2004-08-20 | 2006-08-22 | (주)한드림넷 | 네트워크 보호 장치 및 방법 |
| JP4547342B2 (ja) * | 2005-04-06 | 2010-09-22 | アラクサラネットワークス株式会社 | ネットワーク制御装置と制御システム並びに制御方法 |
| JP2006332997A (ja) * | 2005-05-25 | 2006-12-07 | Nec Corp | 通信管理装置、ネットワークシステム、ネットワークシステムにおける通信遮断方法、およびプログラム |
| JP2007013262A (ja) * | 2005-06-28 | 2007-01-18 | Fujitsu Ltd | ワーム判定プログラム、ワーム判定方法およびワーム判定装置 |
| JP2007094493A (ja) * | 2005-09-27 | 2007-04-12 | Matsushita Electric Works Ltd | アクセス制御システム及びアクセス制御方法 |
| KR100766724B1 (ko) | 2006-06-20 | 2007-10-17 | (주)한드림넷 | 보안스위치 및 보안시스템 및 방법 |
-
2008
- 2008-05-29 KR KR1020080050193A patent/KR100870871B1/ko active IP Right Grant
- 2008-06-05 WO PCT/KR2008/003150 patent/WO2009145379A1/en active Application Filing
- 2008-06-05 JP JP2011511487A patent/JP5193362B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| KR100870871B1 (ko) | 2008-11-27 |
| JP2011523822A (ja) | 2011-08-18 |
| WO2009145379A1 (en) | 2009-12-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Hu et al. | FLOWGUARD: Building robust firewalls for software-defined networks | |
| AU2004282937B2 (en) | Policy-based network security management | |
| US8239951B2 (en) | System, method and computer readable medium for evaluating a security characteristic | |
| EP3821580B1 (en) | Methods and systems for efficient network protection | |
| CN104115463A (zh) | 用于处理网络元数据的流式传输方法和系统 | |
| EP2767056A1 (en) | A method and a system to detect malicious software | |
| KR101252812B1 (ko) | 네트워크 보안 장치 및 그를 이용한 패킷 데이터 처리방법 | |
| CN108156079B (zh) | 一种基于云服务平台的数据包转发系统及方法 | |
| KR20130124692A (ko) | 유해 트래픽의 필터링 정보 관리 시스템 및 그 방법 | |
| Qiu et al. | Global Flow Table: A convincing mechanism for security operations in SDN | |
| Ma et al. | A design of firewall based on feedback of intrusion detection system in cloud environment | |
| Meena et al. | HyPASS: Design of hybrid-SDN prevention of attacks of source spoofing with host discovery and address validation | |
| JP5193362B2 (ja) | アクセスレベル保安装置及び保安システム | |
| Nagendra et al. | Securing ultra-high-bandwidth science DMZ networks with coordinated situational awareness | |
| Zou et al. | A firewall network system for worm defense in enterprise networks | |
| CN107395615B (zh) | 一种打印机安全防护的方法和装置 | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| Cisco | Working With Sensor Signatures | |
| Byun et al. | Risk and avoidance strategy for blocking mechanism of SDN-based security service | |
| Cisco | Working with Sensor Signatures | |
| KR100671044B1 (ko) | 내부네트워크 상의 유해 트래픽 분석 시스템 및 방법 | |
| Cisco | Working with Sensor Signatures | |
| Okafor et al. | Vulnerability bandwidth depletion attack on distributed cloud computing network: A qos perspective | |
| Kumar et al. | IPv6 network security using Snort | |
| Veena et al. | Detection and mitigation of security attacks using real time SDN analytics |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110310 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120824 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120904 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121128 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130104 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130201 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5193362 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160208 Year of fee payment: 3 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150414 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |