KR100471636B1 - system for processing a packet on a network of computer systems using a multi-bridge mode - Google Patents

system for processing a packet on a network of computer systems using a multi-bridge mode Download PDF

Info

Publication number
KR100471636B1
KR100471636B1 KR10-2002-0018905A KR20020018905A KR100471636B1 KR 100471636 B1 KR100471636 B1 KR 100471636B1 KR 20020018905 A KR20020018905 A KR 20020018905A KR 100471636 B1 KR100471636 B1 KR 100471636B1
Authority
KR
South Korea
Prior art keywords
network
packet
nic
harmful
bridge
Prior art date
Application number
KR10-2002-0018905A
Other languages
Korean (ko)
Other versions
KR20030080330A (en
Inventor
하현
윤영태
Original Assignee
씨에이치케이한강 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 씨에이치케이한강 주식회사 filed Critical 씨에이치케이한강 주식회사
Priority to KR10-2002-0018905A priority Critical patent/KR100471636B1/en
Publication of KR20030080330A publication Critical patent/KR20030080330A/en
Application granted granted Critical
Publication of KR100471636B1 publication Critical patent/KR100471636B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/125Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 브리지 방식을 도입하여 스니핑 모드에서 발생했던 케이블의 용량초과 현상이 발생하지 않으며, 유해 패킷 전달 가능성을 0%로 만들게 되고, 존재하고 있는 네트워크를 그대로 사용할 수 있으며, 여러 개의 브리지를 구축할 경우에는 스니핑 모드에서 직렬적으로 처리하던 패킷방식을 병렬적으로 처리할 수 있게 됨으로써 부하의 분산 기능도 수행할 수 있는 브리지방식을 이용한 네트워크상의 패킷처리시스템을 제공한다.According to the present invention, the cable does not exceed the capacity caused by the sniffing mode by introducing a bridge method, and the possibility of harmful packet forwarding is made to 0%, the existing network can be used as it is, and multiple bridges can be constructed. In this case, a packet processing system in a network using a bridge method that can perform a load balancing function can be processed in parallel by processing a packet method that was processed serially in a sniffing mode.

그 패킷처리시스템은, 데이터 통신을 위한 통신장치를 포함하는 다수의 사용자 시스템(17)과 허브(11)에 연결되어 내부 네트워크를 구성하는 다수의 서버(12)사이에 통신이 이루어지는 네트워크상에서의 패킷처리시스템에 있어서, 내부 네트워크를 연결시키는 허브(11)의 전후에서 내외부로부터의 네트워크 트래픽을 병렬로 수신하고 송신하도록 수신측 NIC(21) 및 송신측 NIC(26)의 브리지를 통해 접속되고 그 수신측 NIC(21)에서 유입된 패킷중 이미 세션이 생성되지 아니한 패킷에 대해 정책결정알고리즘에 따라 유해한 패킷인지를 검사하여 유해한 패킷인 때에는 차단시키고, 유해하지 아니한 패킷인 때에는 송신측 NIC(26)를 통해 유출시켜 내부 네트워크로 유입시키는 CPU(23) 및 메모리수단(22)을 포함하여 구성되는 것을 특징으로 한다.The packet processing system is a packet on a network in which communication is performed between a plurality of user systems 17 including a communication device for data communication and a plurality of servers 12 connected to a hub 11 and forming an internal network. In a processing system, connected via a bridge of a receiving side NIC 21 and a transmitting side NIC 26 to receive and transmit network traffic from inside and outside in parallel before and after the hub 11 connecting the internal network. Among the packets flowing in from the NIC 21, the packet that has not already been created is examined according to the policy decision algorithm to check whether the packet is harmful and block if it is harmful, and if it is not harmful, the sending NIC 26 is blocked. It is characterized in that it comprises a CPU 23 and the memory means 22 to flow through the flow into the internal network.

Description

브리지방식을 이용한 네트워크상의 패킷처리시스템{system for processing a packet on a network of computer systems using a multi-bridge mode} System for processing a packet on a network of computer systems using a multi-bridge mode}

본 발명은, 멀티브리지방식을 이용한 네트워크상의 패킷처리시스템에 관한 것으로, 더 상세하게는 브리지 방식을 도입하여 스니핑 모드에서 발생했던 케이블의 용량초과 현상이 발생하지 않으며, 유해 패킷 전달 가능성을 0%로 만들게 되고, 존재하고 있는 네트워크를 그대로 사용할 수 있으며, 여러 개의 브리지를 구축할 경우에는 스니핑 모드에서 직렬적으로 처리하던 패킷방식을 병렬적으로 처리할 수 있게 됨으로써 부하의 분산 기능도 수행할 수 있는 브리지방식을 이용한 네트워크상의 패킷처리시스템에 관한 것이다.The present invention relates to a packet processing system on a network using a multi-bridge method, and more particularly, the cable over-capacity phenomenon occurred in the sniffing mode by introducing a bridge method does not occur, and the possibility of harmful packet transmission is reduced to 0%. In addition, the existing network can be used as it is, and when multiple bridges are constructed, the bridges that can perform load balancing functions can be performed by processing the packet method that was processed serially in the sniffing mode in parallel. It relates to a packet processing system on a network using the scheme.

현재 일반적으로 사용하고 있는 침입탐지시스템(IDS: Intrusion Detection System)의 제품 성능 여하를 막론하고, 침입을 탐지 혹은 방지하기 위해서는 관리하고자 하는 네트워크의 유동 패킷을 모두 가로채거나 복사할 수 있는 기능(이하 스니핑이라고 칭함)을 가지고 있어야 한다. 기존의 IDS에서는 이러한 기능을 위해 스위치의 포트 미러링(port mirroring)이나 더미 허브(dummy hub) 등의 방법을 이용하고 있으며, 스니핑으로 얻게된 패킷에 대해 그것이 유해패킷인지 아닌지를 판별하고 정책을 내리고 있다.Regardless of the product performance of the IDS (Intrusion Detection System) commonly used today, in order to detect or prevent intrusion, it is possible to intercept or copy all the floating packets of the network to be managed. Have been called sniffing). Existing IDS uses a method such as port mirroring or a dummy hub of the switch for this function, and determines whether or not it is a harmful packet for a packet obtained by sniffing and makes a policy. .

종래의 스니퍼방식의 NIDS의 구조가 도 1에 도시된다. 도 1에서 내부 네트워크가 허브(11)를 개재하여 각 서버(12)들간에 구축될 뿐만 아니라, 그 허브(11)를 통해 외부와의 통신을 위해 네트워크(10)에 연결되며, 사용자 시스템(17)이 허브(16) 등의 통신장치를 개재하여 통신을 위해 그 네트워크(10)에 연결된다. 또, 외부로부터의 침입을 탐지하기 위해 네트워크침입탐지시스템(13)이 허브(11)에 연결된다. 네트워크 NIDS의 경우는 주로 네트워크 패킷을 이용해 침입을 탐지하고, 호스트 기반의 IDS 경우에는 주로 시스템 로그나 감사로그를 통하여 침입을 탐지한다. 로그를 읽는 것은 이미 발생한 이벤트를 검사하는 방식으로서 실시간이라는 개념과는 동떨어져 있고, 그 로그의 양이 많은 때에는 분석을 위해 많은 시스템 자원의 사용과 검출 시간을 필요로 한다.The structure of a conventional sniffer type NIDS is shown in FIG. In FIG. 1, the internal network is not only established between the servers 12 via the hub 11, but also connected to the network 10 for communication with the outside via the hub 11, and the user system 17. Is connected to the network 10 for communication via a communication device such as a hub 16. In addition, the network intrusion detection system 13 is connected to the hub 11 to detect intrusion from the outside. In the case of network NIDS, intrusion is mainly detected through network packet. In the case of host-based IDS, intrusion is mainly detected through system log or audit log. Reading logs is a way of checking for events that have already occurred, which is far from the concept of real time, and when the amount of logs is large, it requires a lot of system resources and detection time for analysis.

또, 이러한 방식은 대용량의 패킷 사용량을 가지는 네트워크에서는 다음과 같은 명백한 한계성을 가지고 있다. 현재의 IDS에서 사용하고 있는 스니핑 방식으로의 패킷을 가로챔 기술은, 도 2에 도시된 바와 같이, 유동하는 모든 패킷이 직렬적으로 하나의 물리적 케이블로 전송된다. 예를 들자면, m(bit/s)의 유량으로 패킷을 처리하는 서버가 n대이라면 mn(bit/s)의 유량이 하나의 케이블로 직렬적으로 전송이 되는 것이다. 그렇지만, 현재 가장 널리 쓰이는 네트워크 케이블인 CAT5의 허용량은 알려진 바와 같이 100mbps이므로, 이 허용량을 초과하는 패킷이 올 경우에는, 패킷 지연(packet delay)상황이 일어나거나 지연 상황이 심각해지게 되면 패킷 손실(packet loss)의 상황으로 확대될 수 있으며, 보다 심각한 사태로는 유해 패킷에 대해 어떠한 정책도 내리지 못한 채 서비스를 하고 있는 서버로 유해 패킷이 통과하는 것을 지켜보고만 있어야 하는 일이 생길 수 있다.In addition, this method has the following obvious limitations in a network with a large amount of packet usage. In the sniffing method used in the current IDS, as shown in FIG. 2, as shown in FIG. 2, all flowing packets are serially transmitted through one physical cable. For example, if there are n servers that process packets at a flow rate of m (bit / s), the flow rate of mn (bit / s) is transmitted serially on one cable. However, the allowance for CAT5, the most widely used network cable at present, is 100mbps, as it is known.If a packet exceeds this allowance, packet delay occurs or packet loss occurs when the delay becomes serious. It can be extended to a situation of loss, and more serious situation may require watching the harmful packet pass through to the serving server without any policy about harmful packet.

따라서, 이러한 스니핑 방식의 IDS의 문제점을 해결하기 위해서 패킷 수집 방식의 변화에 대한 필요성이 대두되게 된다. 즉, 프로미스키우어스(Promiscuous) 모드에서만 IDS는 구현될 수 있다라는 고정관념에서 벗어나서 브리지(Bridge)라는 그렇게 생소하지만은 않은 방식을 도입하여 스니핑 모드에서 발생했던 케이블의 용량초과 현상이 발생하지 않으며, 유해 패킷 전달 가능성을 0%로 만들게 되고, 존재하고 있는 네트워크를 그대로 사용할 수 있으며, 여러 개의 브리지를 구축할 경우에는 스니핑 모드에서 직렬적으로 처리하던 패킷방식을 병렬적으로 처리할 수 있게 됨으로써 부하의 분산 기능(load balancing)도 수행할 수 있는 브리지방식을 이용한 네트워크상의 패킷처리시스템을 제공하는 데에 본 발명의 목적이 있다. Therefore, there is a need for a change in the packet collection scheme in order to solve the problem of the IDS of the sniffing scheme. In other words, beyond the stereotype that IDS can only be implemented in Promiscuous mode, it introduces such a non-trivial way of bridge, so that the cable overcapacity occurred in sniffing mode does not occur. In this case, 0% chance of harmful packet forwarding is made, and existing network can be used as it is.If multiple bridges are established, the packet method that was processed serially in the sniffing mode can be processed in parallel. SUMMARY OF THE INVENTION An object of the present invention is to provide a packet processing system on a network using a bridge method that can also perform load balancing.

이와 같은 브리지방식을 이용한 네트워크상의 패킷처리시스템은, 이미 구축되어있는 네트워크 배치에서 관리하고자 하는 시스템들의 상위 라인 상에 슬그머니 끼워 넣기만 하면 되므로 IP주소의 할당과 같은 논리적인 설정 작업이 요구되지 않는다.A packet processing system on a network using such a bridge method does not require logical setting work such as assigning an IP address because it only needs to be slipped on an upper line of systems to be managed in an already constructed network layout.

본 발명의 상술한 목적을 달성하기 위한 브리지방식을 이용한 네트워크상의 패킷처리시스템은, 데이터 통신을 위한 통신장치를 포함하는 다수의 사용자 시스템과 허브에 연결되어 내부 네트워크를 구성하는 다수의 서버사이에 통신이 이루어지는 네트워크상에서의 패킷처리시스템에 있어서, 내부 네트워크를 연결시키는 허브의 전후에서 내부 또는 외부로부터의 네트워크 트래픽을 수신하고 송신하도록 수신측 NIC 및 송신측 NIC에 브리지를 통해 연결되고 그 수신측 NIC 또는 송신측 NIC에서 유입된 패킷중 이미 세션이 생성되지 아니한 패킷에 대해 정책결정알고리즘에 따라 유해한 패킷인지를 검사하여 유해한 패킷인 때에는 차단시키고, 유해하지 아니한 패킷인 때에는 송신측 NIC 또는 수신측 NIC을 통해 유출시켜 네트워크로 유입시키는 CPU 및 메모리수단을 포함하여 구성되는 것을 특징으로 한다.A packet processing system on a network using a bridge method for achieving the above object of the present invention is a communication between a plurality of user systems including a communication device for data communication and a plurality of servers constituting an internal network connected to a hub. In a packet processing system on a network comprising: a bridge connected to a receiving side NIC and a transmitting side NIC to receive and transmit network traffic from inside or outside before and after a hub connecting the internal network, the receiving side NIC or The packet that has not already been created from the packet from the sending NIC checks for harmful packets according to the decision-making algorithm. If the packet is harmful, the packet is blocked. If the packet is not harmful, the packet is sent through the sending NIC or the receiving NIC. CPUs and memory that leak out into the network It characterized in that it comprises a means.

이 경우, 본 발명은, 상기 CPU와 메모리수단 및 수신측 NIC와 송신측 NIC이 네트워크침입방지시스템을 구성하며, 그 네트워크침입방지시스템의 데이타베이스는, 패킷의 유해성 여부를 판단하는 정책결정알고리즘에 의해 조회되도록 구축된 침입패턴데이타베이스를 포함하며, 상기 수신측 NIC 및 송신측 NIC가 다수의 브리지로 구축되는 멀티브리지인 경우 내부 또는 외부로부터의 네트워크 트래픽을 병렬로 수신하고 송신하며, 병렬 처리를 통하여 상기 수신측 NIC 및 송신측 NIC의 각 멀티브리지사이에 부하를 분산시킴으로써 로드 발란싱이 이루어지는 것이 바람직하다.In this case, in the present invention, the CPU, the memory means, the receiving NIC, and the transmitting NIC constitute a network intrusion prevention system, and the database of the network intrusion prevention system is based on a policy decision algorithm for determining whether a packet is harmful. An intrusion pattern database constructed to be queried by the network; and in the case of the multi-bridge in which the receiving NIC and the transmitting NIC are formed of a plurality of bridges, network traffic from the inside or the outside is transmitted and received in parallel, and parallel processing is performed. Load balancing is preferably achieved by distributing the load between the multi-bridges of the receiving NIC and transmitting NIC.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하면 다음과 같다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 3에는 본 발명의 일실시예에 따른 멀티브리지방식을 이용한 네트워크상의 패킷처리시스템의 구성이 블록도로 도시되며, 도 4에는 도 3의 멀티브리지방식에서의 패킷수집방식의 패킷흐름도가, 도 5에는 도 3의 NIPS의 구성의 일예가 도시된다.3 is a block diagram showing the configuration of a packet processing system on a network using a multi-bridge method according to an embodiment of the present invention. An example of the configuration of the NIPS of FIG. 3 is shown.

도 3에서, 네트워크(10)는, 다수의 사용자 시스템(17)이 허브(16) 등의 통신장치를 개재하여 연결되고, 서비스를 제공하는 다수의 서버(12)가 연결되는 허브(11)가 네트워크침입방지시스템(20)을 개재하여 네트워크(10)에 연결된다.In FIG. 3, the network 10 includes a hub 11 to which a plurality of user systems 17 are connected via a communication device such as a hub 16, and to which a plurality of servers 12 providing a service are connected. It is connected to the network 10 via the network intrusion prevention system 20.

그 네트워크(10)로부터의 트래픽 패킷들은, 도 4에 도시된 바와 같이 네트워크침입방지시스템(20)에 병렬적으로 송수신되도록 구성된다. 따라서, 패킷수집방식이 병렬적으로 이루어지게 된다. Traffic packets from the network 10 are configured to be transmitted and received in parallel to the network intrusion prevention system 20 as shown in FIG. Therefore, the packet collection method is performed in parallel.

그 네트워크침입방지시스템(20)의 구체적인 구성의 일예는, 도 5에 도시된 바와 같이, 각각 다수의 브리지를 지니는 수신측 NIC(21) 및 송신측 NIC(26)를 구비하며, 수신되는 패킷을 일시적으로 저장하기 위한 버퍼와 정책결정알고리즘이 탑재되는 알고리즘부 등으로 구성되는 RAM 및/또는 ROM 등의 메모리수단(22) 및 그 정책결정알고리즘을 수행하기 위한 CPU(23)를 포함한다. 또한, 상기 정책결정알고리즘의 수행중에 데이터를 참조하거나 저장하기 하기 위한 데이터베이스(24)를 포함한다. 도 5에서 정책결정알고리즘(25)은 유입되는 패킷에 대해 그 패킷의 유해성 여부를 판별하는 알고리즘으로 내부 모듈로서 그 유해성을 판별하기도 하며, 침입패턴데이타베이스를 이용해서 결정을 내리기도 한다. 패킷의 유해성은 허가되지 않은 목적지나 출발지를 가진 패킷이거나 혹은 악의적인 목적으로 네트워크를 사용하고자하는 공격자로부터 임의적으로 생성된 패킷을 의미한다.An example of a specific configuration of the network intrusion prevention system 20 is, as shown in FIG. 5, each having a receiving side NIC 21 and a transmitting side NIC 26 having a plurality of bridges, and receiving received packets. Memory means 22, such as RAM and / or ROM, comprising a buffer for temporarily storing, and an algorithm unit on which the policy decision algorithm is mounted, and a CPU 23 for performing the policy decision algorithm. It also includes a database 24 for referencing or storing data during the execution of the policy decision algorithm. In FIG. 5, the policy decision algorithm 25 is an algorithm for determining whether a packet is harmful to an incoming packet. The policy decision algorithm 25 may determine the harmfulness as an internal module, or may make a decision using an intrusion pattern database. A packet's harmfulness refers to a packet with an unauthorized destination or origin, or a packet randomly generated by an attacker who wants to use the network for malicious purposes.

5에서 그 데이터베이스(24)는, 현재의 시점에서 세션의 생성여부를 저장하는 세션데이타베이스, 해커들의 일반적인 행태 및 악성패킷의 정의를 담고있는 침입패턴데이타베이스 및 현재까지의 침입관련 여부에 관한 정보를 담고 있는 침입관련로그데이타베이스로 구성되는 예가 도시된다.  In 5, the database 24 includes a session database that stores whether a session has been created at this point in time, an intrusion pattern database containing definitions of hackers' general behavior, and malicious packets, and information about whether or not intrusions have been made. An example consists of an intrusion-related log database containing a.

그 네트워크침입방지시스템(20)은, 수신측 NIC(21) 및 송신측 NIC(26)의 다수의 브리지를 통해 내외부로부터의 네트워크 트래픽을 병렬로 송수신하도록 구성되고, CPU(23)에서 수신측 NIC(21)에 병렬로 유입된 패킷중 이미 세션이 생성되지 아니한 패킷에 대해 정책결정알고리즘에 따라 유해한 패킷인지를 검사하게 된다. 이때, 유해한 패킷인 때에는 해당 브리지를 차단시키고, 유해하지 아니한 패킷인 때에는 송신측 NIC(26)를 통해 유출시켜 내부 네트워크로 유입시킨다.The network intrusion prevention system 20 is configured to transmit and receive network traffic from the inside and the outside in parallel through a plurality of bridges of the receiving side NIC 21 and the transmitting side NIC 26, and the CPU 23 receives the receiving side NIC. Among the packets introduced in parallel to (21), the packet that has not already been created is checked for harmful packets according to the policy decision algorithm. At this time, if the packet is harmful, the corresponding bridge is blocked. If the packet is not harmful, the bridge is leaked through the transmitting NIC 26 and introduced into the internal network.

한편, 상기 수신측 NIC(21) 및 송신측 NIC(26)가 다수의 브리지로 구축되는 멀티브리지인 경우 멀티브리지사이의 부하를 분산시킴으로써 로드 발란싱이 이루어지도록 구성되는 것이 바람직하다.On the other hand, in the case where the receiving NIC 21 and the transmitting NIC 26 are multibridges formed of a plurality of bridges, it is preferable that load balancing is performed by distributing loads between the multibridges.

이와 같이 브리지라는 방식을 이용함으로써 이미 구축되어있는 네트워크 배치에서 관리하고자 하는 시스템들의 상위 라인 상에 그 준비된 브리지방식의 네트워크침입방지시스템(20)을 슬그머니 끼워 넣기만 하면 되므로 IP주소의 할당과 같은 논리적인 설정 작업이 요구되지 않을 뿐만 아니라, 존재하고 있는 네트워크를 그대로 사용하므로 스니핑 모드에서 발생했던 케이블의 용량초과 현상이 발생하지 않게 되며, 유해 패킷 전달 가능성을 0%로 만들게 된다.By using the bridge method as described above, it is only necessary to simply insert the prepared bridge type network intrusion prevention system 20 on the upper line of the systems to be managed in the network layout that is already established. Not only does the setup work need to be done, but the existing network is used as it is, so that the cable excess capacity that occurred in the sniffing mode does not occur, and the probability of harmful packet forwarding is reduced to 0%.

또, 다수의 브리지를 구축할 경우에는 스니핑 모드에서 직렬적으로 처리하던 패킷방식을 병렬적으로 처리할 수 있게 됨으로써 부하 분산 기능(load balancing)도 수행할 수 있게 된다.In addition, in the case of constructing a plurality of bridges, it is possible to process the packet method that was processed serially in the sniffing mode in parallel, thereby performing load balancing.

도 6에는 도 5의 패킷의 처리순서도가 도시된다. 도 6에서, 먼저, 단계S1에서 패킷이 수신측 NIC(21)로 유입되면, 단계S2에서 각 브리지를 점검하여 부하를 분산시키고, 그 패킷을 단계S3에서 메모리수단(22)에 적재시킨다. 단계S4에서는 CPU(23)에 그 제어권을 전달하여 정책결정알고리즘을 수행함으로써 각 데이터베이스(24)를 조회하는 등에 의해 단계S5에서 이미 생성된 세션인지를 판별하고, 이미 생성된 세션인 경우, 단계S8에서 송신측 NIC(26)으로 전송하며, 이미 생성된 세션이 아닌 경우에는 단계S6에서 유해성 여부를 검사한다. 단계S6에서 패킷이 유해한 패킷인 경우에는 단계S7에서 데이터베이스(24)의 침입관련로그데이타베이스에 저장하고, 해당 브리지를 차단하며, 유해하지 아니한 패킷인 경우에는 단계S8에서 송신측 NIC(26)으로 전송한다. 그 뒤, 단계S9에서는 송신측 NIC(26)의 각 브리지의 부하상태에 따라 부하를 분산시켜 로드발란싱을 이루고 패킷을 내부 네트워크에 송신하여 외부의 네트워크(10)로부터 패킷을 유입시킨다.6 is a flowchart illustrating the processing of the packet of FIG. In Fig. 6, first, when a packet enters the receiving NIC 21 in step S1, each bridge is checked in step S2 to distribute the load, and the packet is loaded into the memory means 22 in step S3. In step S4, the control authority is transferred to the CPU 23 to perform a policy decision algorithm to determine whether or not the session has already been created in step S5 by querying each database 24 or the like. Transmits to the transmitting NIC 26, and if it is not a session already created, it is checked for harmfulness in step S6. If the packet is a harmful packet in step S6, the packet is stored in the intrusion-related log database of the database 24 in step S7, and the corresponding bridge is blocked. If the packet is not harmful, the packet is sent to the sending NIC 26 in step S8. send. Thereafter, in step S9, the load is balanced according to the load state of each bridge of the transmitting NIC 26 to achieve load balancing, and the packet is transmitted to the internal network to introduce the packet from the external network 10.

이와 같이 구성되는 그 브리지모드로의 네트워크침입방지시스템(20)은, 또한 방화벽의 기능의 일부를 수행할 수 있으며 쉽게 변형이 가능하다.The network intrusion prevention system 20 in the bridge mode thus configured can also perform some of the functions of the firewall and can be easily modified.

상술한 도 3 및 도 4로부터 알 수 있듯이 브리지의 방식은 다음과 같은 장점을 가지게 된다.As can be seen from FIG. 3 and FIG. 4, the bridge has the following advantages.

물리적 설치가 간결성을 지닌다. 즉, 기존의 NIDS의 방식은 설치하고자 하는 네트워크 장비에서 스패닝포트(spanning port)를 지원해야하는 등 물리적인 제약이 있었다. 그렇지만 Bridge 방식의 패킷수집은 현존하는 라인상에 그대로 설치되므로 물리적인 제약이 없게 된다.Physical installation is concise. In other words, the existing NIDS method had physical limitations such as supporting spanning ports in the network equipment to be installed. However, Bridge type packet collection is installed on the existing line as it is, there is no physical limitation.

또, 본 발명의 브리지방식을 이용한 네트워크상의 패킷처리시스템은, 기본적인 스텔스(Stealth)기능을 지닌다. 즉, 브리지는 네트워크 상에서 IP주소를 가지지 않는다. 따라서 어떠한 공격자로부터의 공격의 대상이 됨을 막을 수 있다.Further, a packet processing system on a network using the bridge system of the present invention has a basic stealth function. In other words, the bridge does not have an IP address on the network. Therefore, it can prevent the target of attack from any attacker.

또한, 본 발명에 따른 브리지방식을 이용한 네트워크상의 패킷처리시스템은, 보다 많은 사용자를 관리하는 것이 가능하다. 즉, 이 부분은 상술한 바와 같이, 스니핑(Sniffing) 방식에서는 트래픽 처리의 한계성으로 NIDS가 수집할 수 있는 패킷량이 매우 적으므로 관리할 수 있는 사용자의 수도 적을 수 밖에 없었지만, 브리지 방식은 현존하는 네트워크 구조를 그대로 가지므로 보다 과도한 트래픽(heavy traffic)을 견딜 수 있게 된다.Further, the packet processing system on the network using the bridge system according to the present invention can manage more users. In other words, as described above, in the sniffing method, due to the limitation of traffic processing, the amount of packets that can be collected by the NIDS is very small, and the number of users that can be managed is limited. However, the bridge method is an existing network. With the structure intact, it can withstand heavy traffic.

또, 본 발명의 브리지방식을 이용한 네트워크상의 패킷처리시스템은, 내부자원 방화벽(Internal Firewall)을 구성하게 된다. 즉, 대부분의 방화벽(Firewall)은 브리지방식을 취하고 있다. 따라서 이러한 형태의 침입차단, 탐지, 방지 시스템은 추가적인 방화벽의 도입없이 그 기능을 수행할 수 있는 능력을 구축할 수 있게 된다.In addition, the packet processing system on the network using the bridge system of the present invention constitutes an internal firewall. In other words, most firewalls are bridged. Thus, this type of intrusion, detection, and prevention system can build the ability to perform its functions without the introduction of additional firewalls.

지금까지, 본 발명을 특정실시예와 관련하여 설명하였지만, 상기 본 발명에 대한 개시는 단지 본 발명의 바람직한 실시예로서 특정 실시예에 국한되는 것은 아니다. 또한, 이하의 특허청구의 범위에 의해 기술된 발명의 정신이나 범위를 벗어나지 않는 한도 내에서 다양하게 수정 및 변경될 수 있다는 것은 당 업계의 통상의 지식을 가진 자라면 용이하게 이해할 수 있을 것이다.While the present invention has been described with reference to specific embodiments, the above disclosure of the invention is not limited to the specific embodiments as merely preferred embodiments of the present invention. In addition, it will be readily understood by those skilled in the art that various modifications and changes can be made without departing from the spirit or scope of the invention as set forth in the claims below.

따라서, 본 발명의 실시예에 따른 브리지방식을 이용한 네트워크상의 패킷처리시스템의 구성과 작용에 의하면, 패킷 수집 방식의 변화에 대한 필요성이 대두되게 된다. 즉, 프로미스키우어스(Promiscuous) 모드에서만 IDS는 구현될 수 있다라는 고정관념에서 벗어나서 브리지(Bridge)라는 그렇게 생소하지만은 않은 방식을 도입하여 스니핑 모드에서 발생했던 케이블의 용량초과 현상이 발생하지 않으며, 유해 패킷 전달 가능성을 0%로 만들게 되고, 존재하고 있는 네트워크를 그대로 사용할 수 있으며, 여러 개의 브리지를 구축할 경우에는 스니핑 모드에서 직렬적으로 처리하던 패킷방식을 병렬적으로 처리할 수 있게 됨으로써 부하의 분산 기능(load balancing)도 수행할 수 있는 등의 효과가 있다.Therefore, according to the configuration and operation of the packet processing system on the network using the bridge method according to an embodiment of the present invention, there is a need for a change in the packet collection method. In other words, beyond the stereotype that IDS can only be implemented in Promiscuous mode, it introduces such a non-trivial way of bridge, so that the cable overcapacity occurred in sniffing mode does not occur. In this case, 0% chance of harmful packet forwarding is made, and existing network can be used as it is.If multiple bridges are established, the packet method that was processed serially in the sniffing mode can be processed in parallel. Load balancing can also be performed.

도 1은 종래의 침입 탐지 및 방지를 위한 네트워크상의 패킷처리시스템의 구성을 나타내는 블록도,1 is a block diagram showing the configuration of a packet processing system on a network for conventional intrusion detection and prevention;

도 2는 도 1에서의 스니핑방식에서의 패킷수집방식을 나타내는 패킷흐름도,FIG. 2 is a packet flow diagram illustrating a packet collection method in the sniffing method of FIG. 1;

도 3은 본 발명의 일실시예에 따른 멀티브리지방식을 이용한 네트워크상의 패킷처리시스템의 구성을 나타내는 블록도,3 is a block diagram showing the configuration of a packet processing system on a network using a multi-bridge method according to an embodiment of the present invention;

도 4는 도 3의 멀티브리지방식에서의 패킷수집방식을 나타내는 패킷흐름도,4 is a packet flow diagram illustrating a packet collection method in the multi-bridge method of FIG.

도 5는 도 3의 NIPS의 구성의 일예를 나타내는 블럭도,5 is a block diagram showing an example of the configuration of the NIPS of FIG. 3;

도 6은 도 5의 패킷의 처리순서도.6 is a flowchart of the packet processing of FIG. 5;

<도면의 주요 부분에 대한 부호 설명><Description of the symbols for the main parts of the drawings>

10: 네트워크(LAN) 11: 허브10: Network (LAN) 11: Hub

12: 서버 13: 네트워크침입탐지시스템(NIDS)12: Server 13: Network Intrusion Detection System (NIDS)

16: 허브 17: 사용자 시스템16: Hub 17: User System

20: 네트워크침입방지시스템(NIPS) 21,26: NIC20: Network Intrusion Prevention System (NIPS) 21, 26: NIC

22: 메모리수단 23: CPU22: memory means 23: CPU

24: 데이터베이스 25: 정책결정알고리즘(Algorithm)24: Database 25: Policy Decision Algorithm

Claims (2)

데이터 통신을 위한 통신장치를 포함하는 다수의 사용자 시스템(17)과 허브(11)에 연결되어 내부 네트워크를 구성하는 다수의 서버(12)사이에 통신이 이루어지는 네트워크상에서의 패킷처리시스템에 있어서,In a packet processing system on a network in which communication is performed between a plurality of user systems 17 including a communication device for data communication and a plurality of servers 12 constituting an internal network connected to a hub 11, 내부 네트워크를 연결시키는 허브(11)의 전후에서 내부 또는 외부로부터의 네트워크 트래픽을 수신하고 송신하도록 수신측 NIC(21) 및 송신측 NIC(26)에 브리지를 통해 연결되고 그 수신측 NIC(21) 또는 송신측 NIC(26)에서 유입된 패킷중 이미 세션이 생성되지 아니한 패킷에 대해 정책결정알고리즘에 따라 유해한 패킷인지를 검사하여 유해한 패킷인 때에는 차단시키고, 유해하지 아니한 패킷인 때에는 송신측 NIC(26) 또는 수신측 NIC(21)을 통해 유출시켜 네트워크로 유입시키는 CPU(23) 및 메모리수단(22)을 포함하여 구성되는 것을 특징으로 하는 브리지방식을 이용한 양방향 네트워크상의 패킷처리시스템.Bridged to and connected to the receiving side NIC 21 and the transmitting side NIC 26 to receive and transmit network traffic from inside or outside before and after the hub 11 connecting the internal network. Alternatively, the packet sent from the sending NIC 26 is checked for harmful packets according to the policy decision algorithm, and blocked if the packet is harmful, and blocked if it is not harmful. Or a CPU (23) and a memory means (22) for flowing out through the receiving side NIC (21) to the network to flow into the network. 제1항에 있어서, 상기 CPU(23)와 메모리수단(22) 및 수신측 NIC(21)와 송신측 NIC(26)이 네트워크침입방지시스템(20)을 구성하며, 그 네트워크침입방지시스템(20)의 데이타베이스(24)는, 패킷의 유해성 여부를 판단하는 정책결정알고리즘에 의해 조회되도록 구축된 침입패턴데이타베이스를 포함하며, 상기 수신측 NIC(21) 및 송신측 NIC(26)가 다수의 브리지로 구축되는 멀티브리지인 경우 내부 또는 외부로부터의 네트워크 트래픽을 병렬로 수신하고 송신하며, 병렬 처리를 통하여 상기 수신측 NIC(21) 및 송신측 NIC(26)의 각 멀티브리지사이에 부하를 분산시킴으로써 로드 발란싱이 이루어지는 것을 특징으로 하는 하나 이상의 브리지방식을 이용한 네트워크상의 패킷처리시스템.2. The network intrusion prevention system (20) according to claim 1, wherein the CPU (23), the memory means (22), the receiving side NIC (21), and the transmitting side NIC (26) constitute a network intrusion prevention system (20). Database 24 includes an intrusion pattern database constructed to be inquired by a policy decision algorithm that determines whether a packet is harmful or not. In the case of a multibridge constructed as a bridge, network traffic from the inside or the outside is received and transmitted in parallel, and the load is distributed between the multibridges of the receiving NIC 21 and the transmitting NIC 26 through parallel processing. By using one or more bridges, characterized in that load balancing is achieved.
KR10-2002-0018905A 2002-04-08 2002-04-08 system for processing a packet on a network of computer systems using a multi-bridge mode KR100471636B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0018905A KR100471636B1 (en) 2002-04-08 2002-04-08 system for processing a packet on a network of computer systems using a multi-bridge mode

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0018905A KR100471636B1 (en) 2002-04-08 2002-04-08 system for processing a packet on a network of computer systems using a multi-bridge mode

Publications (2)

Publication Number Publication Date
KR20030080330A KR20030080330A (en) 2003-10-17
KR100471636B1 true KR100471636B1 (en) 2005-03-08

Family

ID=32378080

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0018905A KR100471636B1 (en) 2002-04-08 2002-04-08 system for processing a packet on a network of computer systems using a multi-bridge mode

Country Status (1)

Country Link
KR (1) KR100471636B1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6226372B1 (en) * 1998-12-11 2001-05-01 Securelogix Corporation Tightly integrated cooperative telecommunications firewall and scanner with distributed capabilities
KR20010105116A (en) * 2000-05-19 2001-11-28 김강호 Linux-Based Integrated Security System for Network and Method thereof, and Semiconductor Device Having These Solutions
KR20030049853A (en) * 2001-12-17 2003-06-25 주식회사 윈스테크넷 system for protecting of network and operation method thereof
KR20030050883A (en) * 2001-12-19 2003-06-25 한국전자통신연구원 Method and Apparatus of ATM(Asynchronous Transfer Mode) Firewall Switch having distributed CAC(Call Admission Control) and Parallel Cell Screen Structure
KR20030052511A (en) * 2001-12-21 2003-06-27 한국전자통신연구원 method and recorded media for security grade to measure the network security condition

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6226372B1 (en) * 1998-12-11 2001-05-01 Securelogix Corporation Tightly integrated cooperative telecommunications firewall and scanner with distributed capabilities
KR20010105116A (en) * 2000-05-19 2001-11-28 김강호 Linux-Based Integrated Security System for Network and Method thereof, and Semiconductor Device Having These Solutions
KR100383224B1 (en) * 2000-05-19 2003-05-12 주식회사 사이젠텍 Linux-Based Integrated Security System for Network and Method thereof, and Semiconductor Device Having These Solutions
KR20030049853A (en) * 2001-12-17 2003-06-25 주식회사 윈스테크넷 system for protecting of network and operation method thereof
KR20030050883A (en) * 2001-12-19 2003-06-25 한국전자통신연구원 Method and Apparatus of ATM(Asynchronous Transfer Mode) Firewall Switch having distributed CAC(Call Admission Control) and Parallel Cell Screen Structure
KR20030052511A (en) * 2001-12-21 2003-06-27 한국전자통신연구원 method and recorded media for security grade to measure the network security condition

Also Published As

Publication number Publication date
KR20030080330A (en) 2003-10-17

Similar Documents

Publication Publication Date Title
CN101589595B (en) A containment mechanism for potentially contaminated end systems
US11252183B1 (en) System and method for ransomware lateral movement protection in on-prem and cloud data center environments
US7167922B2 (en) Method and apparatus for providing automatic ingress filtering
US20150067764A1 (en) Whitelist-based network switch
US7830898B2 (en) Method and apparatus for inter-layer binding inspection
US11863570B2 (en) Blockchain-based network security system and processing method
KR100358518B1 (en) Firewall system combined with embeded hardware and general-purpose computer
US20050283831A1 (en) Security system and method using server security solution and network security solution
KR20060116741A (en) Method and apparatus for identifying and disabling worms in communication networks
US20010014912A1 (en) Distributed security system for a communication network
KR101286015B1 (en) Security audit service system and method among virtual machines in the virtualization environment
CN103858383B (en) Authentication sharing in a firewall cluster
Nehra et al. FICUR: Employing SDN programmability to secure ARP
Dakhane et al. Active warden for TCP sequence number base covert channel
Smyth et al. Exploiting pitfalls in software-defined networking implementation
JP3790486B2 (en) Packet relay device, packet relay system, and story guidance system
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
KR100765340B1 (en) Security method for Imaginary in-line network
KR100471636B1 (en) system for processing a packet on a network of computer systems using a multi-bridge mode
Schmitt et al. Vulnerability assessment of InfiniBand networking
CN101300807A (en) Network access remote front-end processor for a communication network and method for operating a communications system
KR101440154B1 (en) Apparatus and method for user authentication of network security system
KR20070073293A (en) Appratus for operating of flexible security policy in intrusion prevention system for supporting multi-port and method thereof
US20050086524A1 (en) Systems and methods for providing network security with zero network footprint
TWI732708B (en) Network security system and network security method based on multi-access edge computing

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
N231 Notification of change of applicant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20100202

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee