KR100350451B1 - 네트워크상의 장치에서의 패킷 필터링방법 - Google Patents

네트워크상의 장치에서의 패킷 필터링방법 Download PDF

Info

Publication number
KR100350451B1
KR100350451B1 KR1020000012396A KR20000012396A KR100350451B1 KR 100350451 B1 KR100350451 B1 KR 100350451B1 KR 1020000012396 A KR1020000012396 A KR 1020000012396A KR 20000012396 A KR20000012396 A KR 20000012396A KR 100350451 B1 KR100350451 B1 KR 100350451B1
Authority
KR
South Korea
Prior art keywords
information
packet
type
received
offset
Prior art date
Application number
KR1020000012396A
Other languages
English (en)
Other versions
KR20010092028A (ko
Inventor
박재홍
Original Assignee
삼성전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자 주식회사 filed Critical 삼성전자 주식회사
Priority to KR1020000012396A priority Critical patent/KR100350451B1/ko
Publication of KR20010092028A publication Critical patent/KR20010092028A/ko
Application granted granted Critical
Publication of KR100350451B1 publication Critical patent/KR100350451B1/ko

Links

Classifications

    • AHUMAN NECESSITIES
    • A01AGRICULTURE; FORESTRY; ANIMAL HUSBANDRY; HUNTING; TRAPPING; FISHING
    • A01GHORTICULTURE; CULTIVATION OF VEGETABLES, FLOWERS, RICE, FRUIT, VINES, HOPS OR SEAWEED; FORESTRY; WATERING
    • A01G9/00Cultivation in receptacles, forcing-frames or greenhouses; Edging for beds, lawn or the like
    • A01G9/24Devices or systems for heating, ventilating, regulating temperature, illuminating, or watering, in greenhouses, forcing-frames, or the like
    • A01G9/241Arrangement of opening or closing systems for windows and ventilation panels
    • AHUMAN NECESSITIES
    • A01AGRICULTURE; FORESTRY; ANIMAL HUSBANDRY; HUNTING; TRAPPING; FISHING
    • A01GHORTICULTURE; CULTIVATION OF VEGETABLES, FLOWERS, RICE, FRUIT, VINES, HOPS OR SEAWEED; FORESTRY; WATERING
    • A01G9/00Cultivation in receptacles, forcing-frames or greenhouses; Edging for beds, lawn or the like
    • A01G9/24Devices or systems for heating, ventilating, regulating temperature, illuminating, or watering, in greenhouses, forcing-frames, or the like
    • A01G9/246Air-conditioning systems

Abstract

본 발명은, 네트워크상의 장치에서의 패킷 필터링방법에 있어서, 상기 장치에 수신되는 패킷을 필터링하기 위한 복수개의 가용정보들중 사용자에 의해서 선택된 가용정보들을 설정하는 과정과, 상기 장치에 수신되는 패킷의 패턴들이 상기 선택 설정된 가용정보들 각각에 대응해 찾아질 수 있도록 하는 도구정보를 사용자에 의해서 작성하는 과정과, 패킷이 상기 장치에 수신되면 상기 선택 설정된 가용정보 및 상기 도구정보를 이용해서 패킷 필터링 하는 과정으로 이루어진다.

Description

네트워크상의 장치에서의 패킷 필터링방법{PACKET FILTERING METHOD OF NETWORK DEVICE}
본 발명은 네트워크상에서의 보안정책(security policy)에 관한 것으로, 특히 네트워크 장비에서의 패킷 필터링 방법에 관한 것이다.
최근 인터넷의 고속 성장으로 말미암아 수많은 사람들이 인터넷의 방대한 자원을 접하게 되었다. 이러한 인터넷의 성장으로 인해 연구원들은 인터넷을 연구하고, 사업자는 인터넷에서 새로운 사업을 시도하게 되고, 악의적인 사람들은 인터넷을 파괴하려는 시도를 하게 되었다. 특히 악의적인 사람들의 공격은 무차별적이다.조직이나 개인이 인터넷에 연결되어 있다면, 그들은 악의적인 사람들의 목표가 될 수 있다. 이 악의적인 사람들은 그들의 공격을 부인하기 위하기 위해서 강력한 방어막을 구축함으로써 자신을 방어할 수 있다. 견고하게 설계되고 유지되는 방화벽(fire wall)은 이러한 파괴자를 몰아내기 위해 울타리를 제공할 수 있다. 방어 방법은 단순한 방법에서부터 매우 복잡한 방법이 방화벽에 구현되어 진다.
방화벽은 침입자로부터 사설 네트워크를 보호하기 위한 수단이다. 방화벽은 네트워크에 관계되는 접근 통제 규칙이 있다. 방화벽은 주로 두 가지 중요한 기능을 가지고 있다. 하나는 방화벽을 통과하는 특정한 트래픽을 허용하기 위한 것이고, 다른 하나는 특정 트래픽을 보호된 네트워크로 유입되지 못하도록 막는 것이다.
이러한 방화벽은 몇 가지의 보호 메커니즘이 있는데, 방화벽의 보호메커니즘의 종류는 방화벽이 운용되는 프로토콜 계층의 위치에 따라 구분된다. 대부분의 방화벽은 네트워크 레벨이나 어플리케이션 레벨(application level)에서 동작한다. 이러한 레벨은 ISO OSI(International Standards Organization Open Systems Interconnection) 레퍼런스 모델에 근간을 두고 있다. 네트워크 계층 방화벽은 통상 소스 어드레스, 목적지 어드레스, 그리고 포트 번호를 가지고 트래픽 통과를 필터링 하는 라우터(전형적인 하드웨어)를 포함한다. 만약 패킷이 정당한 IP(Internet Protocol) 주소를 가진다면 라우터는 패킷을 다음 목적지로 보낸다. 요즘의 라우터는 의심스러운 패킷을 정밀하게 조사함으로써 좀 더 지능적으로 진화하고 있다. 어플리케이션 레벨 방화벽은 대개 네트워크 레벨 방화벽보다 더 견고한보안을 제공한다. 어플리케이션 레벨 방화벽은 그것을 통해 지나가는 트래픽을 좀더 정밀하게 조사하는 소프트웨어로 되어있다. 이러한 방화벽은 패킷들을 보낼지 차단할지를 결정하는데 필요한 더 많은 정보를 제공하기 위해서 특정 어플리케이션 패킷상의 헤더 부분을 해석할 수 있다. 이 소프트웨어는 대체로 telnet, ftp, email 등과 같은 잘 알려진 인터넷 서비스를 변경한 것이고, 주로 프락시 서버(proxy server)로서 동작한다. 프락시 서버는 서비스 요구를 조사하고, 보호할 서버의 위치에서 서비스 요구에 대한 정당성을 보증한다. 정당한 패킷은 보호된 서버로 보내진다. 어플리케이션 방화벽은 좀 더 비싸고, 네트워크상에서 각 어플리케이션마다 특정 프로그램이 필요하기 때문에 설정하기가 더욱 힘들다.
대부분의 방화벽은 패킷 필터링(Packet Filtering)을 제공하는 스크리닝 라우터(Screening Router)를 이용한다. 스크리닝 라우터(필터링 라우터라고도 함)는 방화벽의 가장 기본적인 구성요소이다. 스크리닝 라우터는 대기 패킷 필터링을 할 수 있도록 함으로써 네트워크간의 IP포트 레벨에서 트래픽을 차단하는 기능을 가지고 있다. 스크리닝 라우터는 일반 라우터보다 더욱 안전하게 만들기 위해서 네트워크 레벨에 더 많은 기능을 가지고 있다. 통상적인 라우터처럼 단순히 어디로 패킷을 전송할지를 결정하는 것뿐만 아니라 스크리닝 라우터는 패킷을 전송해야 할지 말지를 결정한다. 패킷을 전송하기 위한 결정은 다음과 같은 것을 포함하여 여러 가지 요소들을 기초로 하고 있다.
- 포트 번호를 포함한 소스 어드레스
- 포트 번호를 포함한 목적지 어드레스
- 사용되는 어플리케이션 또는 프로토콜
스크리닝 라우터는 대개 두 네트워크 연결 사이에 위치해서 라우터를 통과하는 트래픽을 필터링하기 때문에 "패킷 필터링 게이트웨이"라고 부른다. 대부분의 방화벽 시스템은 방화벽 구조 안에서 이러한 라우터와 결합한다. 아직, 스크리닝 라우터는 자유로운 방식으로 트래픽을 허용하기 때문에 통합 솔루션은 아니다. 스크리닝 라우터는 알맞고 추가적인 설정이 라우터에 위치하기 때문에 인기가 있다.
스크리닝 라우터는 네트워크상에서 진입구(choke-point)를 감시하기 때문에 전체 네트워크에 하나의 통합된 보안을 제공한다. 네트워크로 들어가기 위해서 트래픽은 스크리닝 라우터에 의해서 걸러지고 전송되어야 한다. 스크리닝 라우터는 전체 네트워크에 대해서 약간의 보안을 제공하기 때문에, 적은 비용으로 보안을 구축할 때 알맞은 솔루션이다. 게다가, 라우터는 어떠한 네트워크에서도 필수적이고, 최신의 라우터는 대체로 필터링 소프트웨어를 포함하고 있기 때문에 필터링 입장에서 약간의 비용이 들뿐이다. 스크리닝 라우터는 기존의 네트워크에 덧붙이기 위해서 약간의 추가적인 설정이 필요하다. 스크리닝 라우터의 필터링 규칙(rule)은 초기에 설정되지만 약간의 유지 보수가 요구된다. 프락시와는 달리 클라이언트는 스크리닝 라우터가 네트워크 층에서 동작하기 때문에 재설정 할 필요가 없다. 이러한 점은 일반 사용자에게 스크리닝 라우터가 존재하는 지를 모르게 한다.
패킷 필터링 방법은 스크리닝 라우터가 분석하는 정보를 바탕으로 한다. 패킷과 관련된 프로토콜 또는 어플리케이션 뿐만 아니라 소스/목적지 어드레스와 포트는 결정적인 정보이다. 동시에 이 패킷 정보는 "가용 정보"(예컨대, 프로토콜,소스 어드레스, 소스 포트, 목적지 어드레스, 목적지 포트 등)라 부르고, 어떤 연결을 확립하기 위해서 반드시 필요하다. 스크리닝 라우터는 IP 또는 TCP(Transmission Control Protocol) 헤더에 포함된 여러 가지 정보를 조사할 기회를 가지지만 단지 "가용 정보"내의 데이터만이 대부분의 스크리닝 라우터에 의해서 분석되어진다. 이러한 헤더 정보를 기반으로 한 규칙(rule)은 규칙 내에서 매치 되는 것이 발견될 때까지, 즉 수행되어 열거된 행동이 발생할 때까지 검사되어진다. 규칙이 적용되지 않는다면, 기본 규칙이 패킷에 적용되어진다.
이러한 종래 패킷 필터링 방법에서의 단점은 하기와 같다. 사용자가 구성할 때 설정하지 않은 파라미터(상기의 "가용정보")는 디폴트 값이 된다. 그러나 종래 패킷 필터링 방법은 모든 파라미터의 값들과 수신된 패킷 패턴을 비교를 한다. 비록 사용자에 의해서 설정되지 않은 디폴트 값이라 할지라도 디폴트 파라미터값으로 패킷 패턴을 비교한다. 하지만 이러한 동작은 패킷 필터링 처리속도를 저하시킨다. 그리고 종래 패킷 필터링 방법은 프로토콜 종류만큼을 비교하는 루틴을 만들어야 했다. 즉 프로토콜마다 헤더가 다르기 때문에 그 정보에 대한 오프셋(offset)이 다르다.
따라서 본 발명의 목적은 효율적인 패킷 필터링 방법을 제공하는데 있다.
상기한 목적에 따라, 본 발명은, 네트워크상의 장치에서의 패킷 필터링방법에 있어서, 상기 장치에 수신되는 패킷을 필터링하기 위한 복수개의 가용정보들중사용자에 의해서 선택된 가용정보들을 설정하는 과정과, 상기 장치에 수신되는 패킷의 패턴들이 상기 선택 설정된 가용정보들 각각에 대응해 찾아질 수 있도록 하는 도구정보를 사용자에 의해서 작성하는 과정과, 패킷이 상기 장치에 수신되면 상기 선택 설정된 가용정보 및 상기 도구정보를 이용해서 패킷 필터링 하는 과정으로 이루어짐을 특징으로 한다.
도 1은 네트워크 장비에서 패킷 필터링을 수행하는 네트워크 구성도,
도 2는 본 발명의 실시 예에 따른 파라미터 설정 및 오프셋 스트링 작성 수행 흐름도,
도 3은 본 발명의 실시 예에 따른 패킷 필터링 수행 흐름도.
이하 본 발명의 바람직한 실시 예들을 첨부한 도면을 참조하여 상세히 설명한다.
도 1은 네트워크 장비에서 패킷 필터링을 수행하는 네트워크의 일 예 구성도이다. 인터넷(2)에서 사설 네트워크(6)로 인가되는 패킷 P는 패킷 필터링 기능이 구현된 라우터(4)에 의해서 패킷 필터링이 된다. 그후 라우터(4)에 의해서 걸러진 패킷만이 사설 네트워크(6)에 제공된다.
본 발명의 실시 예에서는 프로토콜 종류에 상관없이 의미 있는 정보(후술될 사용자에 의해서 설정된 파라미터들)만을 사용한다. 특히 상기 의미 있는 정보를 용이하게 사용할 수 있도록 오프셋 스트링(offset string)을 작성하고 패킷 필터링에 적용한다.
상기 오프셋 스트링은 본 발명의 실시 예에 따라 정의된 용어로서, 오프셋, 타입, 길이, 비트/바이트(Offset - Type - Length - Byte/Bit: 이하 "OTLB"라 칭함)로 구성된 집합이다. 오프셋 스트링은 바이트 어레이(byte array)형태이다. 오프셋 스트링은 본 발명의 실시 예에 따른 효율적인 패킷 필터링을 수행하기 위한 도구(도구 정보)로서, 라우터 사용자에 의해서 작성되고 패킷 필터링시 사용된다.
본 발명의 실시 예에 따른 파라미터 설정 및 오프셋 스트링 작성 수행 흐름이 도 2에 도시되어 있다. 도 2를 참조하면, 도 1의 라우터(4)에 인가되는 패킷과 비교를 위해 라우터(4)에는 파라미터들 예컨대, 프로토콜, 소스 어드레스, 소스 포트, 목적지 어드레스, 목적지 포트 등을 포함하고 있는 액세스 리스트(access list)가 구비된다. 본 발명의 실시 예에 따라 상기 액세스 리스트의 파라미터들은 도 2의 100단계에서와 같이 사용자의 요구에 따라 선택적으로 설정된다. 따라서 파라미터들중 사용자가 불필요하다고 판단되는 파라미터는 액세스 리스트상에 설정되지 않는다.
그리고 도 2의 110단계에서와 같이, 오프셋 스트링(offset string)도 사용자에 의해서 프로토콜 유형 및 파라미터들 각각에 대응하여 작성되고 상기 액세스 리스트에 할당된다. 상기 오프셋 스트링 작성에 대해 상세히 설명하면 하기와 같다.
오프셋 스트링의 OTLB(Offset - Type - Length - Byte/Bit) 집합은 오프셋 필드 0와, 타입 필드 T와, 길이 필드 L, 및 바이트/비트 필드 B로 구성되며, 하기와 같이 정의된다.
- O(2바이트): 라우터(4)에 수신되는 패킷의 헤더내의 소망하는 정보를 읽기 위해 진행하는 오프셋(offset) 값이 기록된다.
- T(1바이트): 비교될 패킷 패턴의 타입(type)을 나타내는 것으로, 그 타입의 종류로는 바이트(byte), 비트(bit), 및 범위(range)가 있다. 예컨대, 타입필드T의 값이, "00(H)"이면 비교될 패킷패턴의 타입은 바이트이고, "01(H)"이면 비교될 패킷 패턴의 타입은 비트이다. 그리고, 상기 타입필드 T의 값 "10(H)"이면 비교될 패킷 패턴의 타입은 범위이다. 여기서, "H"는 헥사(hexa)값을 의미한다.
- L(1바이트): 타입의 값에 의해서 패킷으로부터 읽을 바이트 수 또는 비트 수가 기록된다.
상기의 길이 필드 L, 및 바이트/비트 필드 B를 정리하면 하기 표 1과 같다.
타 입(T) 길 이(L)
바이트 = 00(H) 리드할 바이트의 수
비트 = 01(H) 리드할 비트의 수
범위 = 10(H) 리드할 바이트의 수로서, 그 영역의 시작과 끝을 표시
- B(x 바이트/비트, x는 자연수): 바이트/비트 패턴, 혹은 패킷에서 찾을 범위가 기록된다.
예를 들어, 라우터(4)에 수신된 패킷으로부터 액세스 리스트에 설정된 파라미터에 대응하는 10비트를 찾아내고자 하면, 오프셋 스트링의 OTLB집합의 각 값은 하기와 같이 작성된다.
O - 오프셋 값
T - O1(H)
L - 10
B - vvvv vvvv vv00 0000, 여기서, "v"는 유효한 비트를 의미한다.
즉, 오프셋 필드 O에는 "오프셋 값"이 기록된다. 상기 오프셋 값은 프로토콜 유형에 따라 달라지는데, 그에 상응하는 오프셋 값이 기록된다. 예컨대, 프로토콜유형이 IP(Internet Protocol)인가 아니면 IPX(Internet Packet eXchange)인가에 따라 그 오프셋 값이 달라진다. 상기 오프셋은 액세스 리스트에 설정된 파라미터에 대응하는 수신되는 패킷의 패턴을 읽기 위한 지점 예컨대, 패킷의 헤더로부터 진행시킬 오프셋 값을 의미한다. 상기 일 예에서, 타입 필드 T의 이진논리 "O1(H)"는 타입이 비트임을 의미한다. 상기 일 예에서, 길이 필드 L의 "10"은 읽은 패킷 패턴이 10비트임을 의미한다. 상기 일 예에서, 바이트/비트 필드 B의 "vvvv vvvv vv00 0000"은 유효한 비트 v의 패턴을 의미한다.
사용자에 의해서 액세스 리스트에 파라미터가 선택적으로 설정되면 그 설정된 파라미터 각각은 라우터(4)에 수신되는 패킷의 프로토콜 유형에 맞게 상기와 같은 일 예로 오프셋 스트링이 작성되고 상기 액세스 리스트에 할당된다.
본 발명의 실시 예에 따른 패킷 필터링 기능을 가진 라우터(4)는 오프셋 스트링을 이용해 사용자에 의해 설정된 파라미터와 비교할 수신 패킷 패턴을 찾는다. 그후 수신 패킷 패턴과 사용자에 의해 설정된 파라미터들 각각과 비교하여 수신되는 패킷의 필터링 여부를 결정한다.
도 3은 본 발명의 실시 예에 다른 패킷 필터링 수행 흐름도이다.
지금, 인터넷(2)으로부터의 패킷이 라우터(4)에 수신되면, 라우터(4)는 도 3의 200단계에서 이를 인식하고 210단계로 진행한다. 도 3의 210단계에서 라우터(4)는 수신된 패킷의 프로토콜을 분석한다. 예컨대, 패킷의 패킷이 IP인지 아니면 IPX인지를 수신된 패킷의 헤더를 읽어 분석을 한다. 그후에는 220단계로 진행하여 분석된 패킷의 프로토콜과 액세스 리스트상에 설정된 파라미터들 각각에 따른 오프셋스트링의 OTLB값을 이용해서 수신된 패킷의 패턴들 각각을 찾는다. 또한 찾은 패킷 패턴들 각각과 그에 대응하는 파리미터들 각각을 비교한다. 이렇게 비교해서 사용자에 의해 설정된 모든 파라미터들 각각과 그에 대응하는 패킷 패턴들 각각을 비교한다. 그후 230단계에서 라우터(4)는 사용자에 의해 설정된 모든 파라미터들 각각과 그에 대응하는 패킷 패턴들 각각이 모두 일치하는가를 판단한다. 만약 사용자에 의해 설정된 모든 파라미터들 각각과 그에 대응하는 패킷 패턴들 각각이 모두 일치하면 라우터(4)는 240단계로 진행하여 패킷을 패스시켜 사설 네트워크(6)로 제공한다. 하지만 도 3의 230단계에서 사용자에 의해 설정된 모든 파라미터들 각각과 그에 대응하는 패킷 패턴들 각각중 하나라도 일치하지 않으면 라우터(4)는 250단계로 진행하여 패킷을 블로킹시킨다.
상술한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시할 수 있다. 따라서 본 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위와 특허청구범위의 균등한 것에 의해 정해 져야 한다.
본 발명의 실시 예에서는 프로토콜 종류에 상관없이 의미 있는 정보(사용자에 의해서 설정된 파라미터들)만을 사용한다. 특히 상기 의미 있는 정보를 용이하게 사용할 수 있도록 오프셋 스트링(offset string)을 작성하고 패킷 필터링에 적용한다. 상술한 바와 같이 본 발명은 네트워크상의 임의의 장비로 들어오는 여러 가지 패킷을 필터링 하고자 할 때 액세스 리스트에 할당된 오프셋 스트링을 사용함으로써 효과적으로 패킷 필터링을 수행할 수 있다.

Claims (7)

  1. 네트워크상의 장치에서의 패킷 필터링방법에 있어서,
    상기 장치에 수신되는 패킷을 필터링하기 위한 복수개의 가용정보들중 사용자에 의해서 선택된 가용정보들을 설정하는 과정과,
    상기 장치에 수신되는 패킷의 패턴들이 상기 선택 설정된 가용정보들 각각에 대응해 패킷의 프로토콜 유형에 상관없이 찾아질 수 있도록 하는 프로토콜 유형 및 상기 선택된 가용정보들에 대한 오프셋 스트링의 도구정보를 사용자에 의해서 작성하는 과정과,
    패킷이 상기 장치에 수신되면 상기 상기 패킷의 프로토콜을 분석하고 상기 설정된 선택 가용정보들 및 상기 도구정보를 이용해서 패킷 필터링 하는 과정으로 이루어짐을 특징으로 하는 패킷 필터링방법.
  2. 제1항에 있어서, 상기 복수개의 가용정보들은 프로토콜, 소스 어드레스, 소스 포트, 목적지 어드레스, 목적지 포트를 적어도 포함함을 특징으로 하는 패킷 필터링방법.
  3. 제1항에 있어서, 상기 도구정보는, 상기 장치에 수신되는 패킷의 헤더내의 소망하는 정보를 읽기 위해 진행하는 오프셋정보와, 상기 가용정보들 각각과 비교될 패킷 패턴의 타입을 나타내는 타입정보와, 상기 타입정보에 의해서 수신된 패킷으로부터 읽을 갯수를 나타내는 길이정보와, 상기 길이정보에 따른 패킷의 패턴을 나타내는 바이트/비트정보로 구성함을 특징으로 하는 패킷 필터링방법.
  4. 네트워크상의 장치에서의 패킷 필터링방법에 있어서,
    오프셋, 타입, 길이, 바이트/비트 정보를 포함하며 상기 장치에 수신되는 패킷의 패턴들이 패킷의 프로토콜 유형에 상관없이 가용정보들 각각에 대응해 찾아질 수 있도록 하는 프로토콜 유형 및 상기 선택된 가용정보들에 대한 오프셋 스트링을 작성하여 상기 장치에 할당하며, 상기 가용정보는 상기 장치에 수신되는 패킷을 필터링하기 위한 복수개의 정보인 과정과,
    패킷이 상기 장치에 수신되면 상기 패킷의 프로토콜을 분석하고 상기 프로토콜 유형과 상기 선택된 가용정보들 각각에 대응하는 상기 오프셋 스트링의 정보들을 이용해서 패킷 필터링 하는 과정으로 이루어짐을 특징으로 하는 패킷 필터링방법.
  5. 제4항에 있어서, 상기 오프셋 스트링 정보중 오프셋정보는 상기 장치에 수신되는 패킷의 헤더내의 소망하는 정보를 읽기 위해 진행하기 위한 정보이고, 상기 타입정보는 상기 가용정보들 각각과 비교될 패킷 패턴의 타입을 나타내는 정보이며, 상기 길이정보는 상기 타입정보에 의해서 수신된 패킷으로부터 읽을 갯수를 나타내는 정보이고, 상기 바이트/비트정보는 상기 길이정보에 따른 패킷의 패턴을 나타내는 정보임을 특징으로 하는 패킷 필터링방법.
  6. 네트워크상의 장치에서의 패킷 필터링방법에 있어서,
    상기 장치에 수신되는 패킷을 필터링하기 위한 복수개의 가용정보들중 사용자에 의해서 선택된 가용정보들을 상기 장치에 설정하는 과정과,
    오프셋, 타입, 길이, 바이트/비트 정보를 포함하며 상기 장치에 수신되는 패킷의 패턴들이 상기 선택 설정된 가용정보들 각각에 대응해 찾아질 수 있도록 하는 오프셋 스트링을 작성하여 상기 장치에 할당하는 과정과,
    패킷이 상기 장치에 수신되면 상기 패킷의 프로토콜을 분석하는 과정과,
    상기 분석된 프로토콜과 상기 선택 설정된 가용정보들 각각에 따른 오프셋 스트링의 정보들을 이용해서 패킷 필터링 하는 과정으로 이루어짐을 특징으로 하는 패킷 필터링방법.
  7. 제6항에 있어서, 상기 오프셋 스트링 정보중 오프셋정보는 상기 장치에 수신되는 패킷의 헤더내의 소망하는 정보를 읽기 위해 진행하기 위한 정보이고, 상기 타입정보는 상기 가용정보들 각각과 비교될 패킷 패턴의 타입을 나타내는 정보이며, 상기 길이정보는 상기 타입정보에 의해서 수신된 패킷으로부터 읽을 갯수를 나타내는 정보이고, 상기 바이트/비트정보는 상기 길이정보에 따른 패킷의 패턴을 나타내는 정보임을 특징으로 하는 패킷 필터링방법.
KR1020000012396A 2000-03-13 2000-03-13 네트워크상의 장치에서의 패킷 필터링방법 KR100350451B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020000012396A KR100350451B1 (ko) 2000-03-13 2000-03-13 네트워크상의 장치에서의 패킷 필터링방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020000012396A KR100350451B1 (ko) 2000-03-13 2000-03-13 네트워크상의 장치에서의 패킷 필터링방법

Publications (2)

Publication Number Publication Date
KR20010092028A KR20010092028A (ko) 2001-10-24
KR100350451B1 true KR100350451B1 (ko) 2002-08-28

Family

ID=19654476

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020000012396A KR100350451B1 (ko) 2000-03-13 2000-03-13 네트워크상의 장치에서의 패킷 필터링방법

Country Status (1)

Country Link
KR (1) KR100350451B1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100488357B1 (ko) * 2002-11-11 2005-05-11 주식회사 인티게이트 이더넷 패킷의 서비스 구분을 위한 다중 패턴분석 장치 및분석방법
US8688834B2 (en) 2004-07-09 2014-04-01 Toshiba America Research, Inc. Dynamic host configuration and network access authentication
KR100729266B1 (ko) * 2005-05-18 2007-06-15 주식회사 파이오링크 네트워크 장비에서 소정의 네트워크를 통해 전송되는파일을 검사하는 방법 및 상기 방법이 채용된 네트워크장비
KR101090630B1 (ko) * 2009-11-18 2011-12-08 주식회사 반딧불소프트웨어 개인 컴퓨터의 네트워크 패킷 분석을 통한 네트워크 제어 방법 및 장치

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5802320A (en) * 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
KR19980063454A (ko) * 1996-12-23 1998-10-07 제프리엘.포먼 인터넷 방화벽 상에서의 ip 필터링에 대한 웹 기초형 관리
KR19990007444A (ko) * 1997-06-30 1999-01-25 가네꼬 히사시 어드레스 필터링부를 가지는 수신부를 구비하는 통신 제어장치 및 셀 수신방법
KR19990072760A (ko) * 1998-02-20 1999-09-27 가네코 히사시 패킷식별자필터회로및선입선출회로

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5802320A (en) * 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
US5878231A (en) * 1995-05-18 1999-03-02 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
KR19980063454A (ko) * 1996-12-23 1998-10-07 제프리엘.포먼 인터넷 방화벽 상에서의 ip 필터링에 대한 웹 기초형 관리
KR19990007444A (ko) * 1997-06-30 1999-01-25 가네꼬 히사시 어드레스 필터링부를 가지는 수신부를 구비하는 통신 제어장치 및 셀 수신방법
KR19990072760A (ko) * 1998-02-20 1999-09-27 가네코 히사시 패킷식별자필터회로및선입선출회로

Also Published As

Publication number Publication date
KR20010092028A (ko) 2001-10-24

Similar Documents

Publication Publication Date Title
US7359962B2 (en) Network security system integration
US6499107B1 (en) Method and system for adaptive network security using intelligent packet analysis
US7895326B2 (en) Network service zone locking
KR101111433B1 (ko) 능동 네트워크 방어 시스템 및 방법
CA2470294C (en) Network service zone locking
US7644151B2 (en) Network service zone locking
US6513122B1 (en) Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
EP1682985B1 (en) Distributed intrusion response system
US7467205B1 (en) Systems and methods for identifying the client applications of a network
US6487666B1 (en) Intrusion detection signature analysis using regular expressions and logical operators
EP0943198B1 (en) Method to activate unregistered systems in a distributed multiserver network environment
US7225468B2 (en) Methods and apparatus for computer network security using intrusion detection and prevention
US7016980B1 (en) Method and apparatus for analyzing one or more firewalls
US6301668B1 (en) Method and system for adaptive network security using network vulnerability assessment
US7162742B1 (en) Interoperability of vulnerability and intrusion detection systems
US6609205B1 (en) Network intrusion detection signature analysis using decision graphs
US7830898B2 (en) Method and apparatus for inter-layer binding inspection
US20070214504A1 (en) Method And System For Network Intrusion Detection, Related Network And Computer Program Product
WO2001013589A1 (fr) Systeme de surveillance contre le piratage informatique
JP2002026907A (ja) 通信ネットワークセキュリティ方法および通信ネットワークのネットワークセキュリティを分析するための方法および通信システムおよびセキュリティホストコンピュータおよび機械で読み出し可能な媒体。
WO2004070547A2 (en) Method and device for monitoring data traffic and preventing unauthorized access to a network
KR100350451B1 (ko) 네트워크상의 장치에서의 패킷 필터링방법
CN213693762U (zh) 一种网络入侵防御系统
JP2006501527A (ja) ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム
US20050147037A1 (en) Scan detection

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20080704

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee