KR100609170B1 - 네트워크 보안 시스템 및 그 동작 방법 - Google Patents

네트워크 보안 시스템 및 그 동작 방법 Download PDF

Info

Publication number
KR100609170B1
KR100609170B1 KR1020040009684A KR20040009684A KR100609170B1 KR 100609170 B1 KR100609170 B1 KR 100609170B1 KR 1020040009684 A KR1020040009684 A KR 1020040009684A KR 20040009684 A KR20040009684 A KR 20040009684A KR 100609170 B1 KR100609170 B1 KR 100609170B1
Authority
KR
South Korea
Prior art keywords
packet
information
traffic
blocking
policy
Prior art date
Application number
KR1020040009684A
Other languages
English (en)
Other versions
KR20050081439A (ko
Inventor
손소라
이상우
표승종
유연식
홍오영
Original Assignee
엘지엔시스(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지엔시스(주) filed Critical 엘지엔시스(주)
Priority to KR1020040009684A priority Critical patent/KR100609170B1/ko
Priority to US10/962,560 priority patent/US20050182950A1/en
Priority to JP2004323784A priority patent/JP3968724B2/ja
Priority to CNB2005100047653A priority patent/CN100463409C/zh
Publication of KR20050081439A publication Critical patent/KR20050081439A/ko
Application granted granted Critical
Publication of KR100609170B1 publication Critical patent/KR100609170B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명에 의한 네트워크 보안 시스템은, 네트워크 트래픽의 정적공격에 대한 하드웨어적인 필터링을 일차적으로 수행하는 패킷 전용처리기와; 상기 패킷 전용처리기에서 처리된 결과가 선택적으로 전송되어 네트워크 트래픽의 동적공격에 대한 소프트웨어적인 필터링을 이차적으로 수행하는 소프트웨어 필터가 구비된 호스트 시스템으로 구성됨을 특징으로 한다.
이와 같은 본 발명에 의하면, 본 발명에 의한 네트워크 보안 시스템 및 그 방법에 의하면, 기가급의 고용량 트래픽 환경에서 패킷의 손실이나 지연 없이 실시간으로 공격이 들어있는 패킷을 하드웨어 기반의 패킷 전용처리기를 이용하여 탐지 및 차단함으로써, 효과적으로 공격에 대하여 방어할 수 있으며, 또한 정적공격이 아닌 동적공격에 대해서는 범용 컴퓨터 상의 소프트웨어 필터를 통해 필터링이 수행되기 때문에, 이상 트래픽에 대해 보다 안전하게 내부 네트웍 망을 보호할 수 있다는 장점이 있다.

Description

네트워크 보안 시스템 및 그 동작 방법{system of network security and working method thereof}
도 1은 본 발명에 의한 네트워크 보안 시스템이 구비된 네트워크망의 구성을 개략적으로 나타낸 도면.
도 2는 도 1에 도시된 방지 시스템의 구성을 나타내는 블록도.
도 3은 도 2에 도시된 호스트 시스템에 구비된 소프트웨어 필터의 내부 구성모듈 간 기능 흐름을 나타내는 블록도.
도 4는 도 1에 도시된 원격관리시스템의 구성을 나타내는 블록도.
도 5는 도 1에 도시된 트래픽 분석시스템의 구성을 나타내는 블록도.
<도면의 주요 부분에 대한 부호의 설명>
14 : 방지시스템 15 : 데이터 베이스 시스템
20 : 패킷 전용처리기 27 : 호스트시스템
30 : 소프트웨어 필터 50 : 원격 관리시스템
60 : 네트워크 분석시스템
본 발명은 네트워크 보안 시스템 및 그 동작 방법에 관한 것으로, 특히 네트워크 트래픽에 대한 손실 없이 고속으로 처리하기 위해 트래픽 공격 탐지 및 차단을 위한 ASIC 기반의 패킷 전용처리기가 구비되어, 트래픽 공격에 대한 하드웨어적인 필터링을 수행하고, 또한, 소프트웨어적으로는 일정시간 동안 트래픽의 정도를 분석하여 서비스 거부(Denial of Service : DoS) 공격과 같은 동적 공격에 대해 필터링을 수행하며, 축적된 트래픽 통계 정보를 이용하여 공격 예방정보를 제공하는 네트워크 보안 시스템 및 그 동작 방법에 관한 것이다.
종래의 경우 네트워크 트래픽에 대한 공격을 차단하기 위해서 각 호스트에 방화벽을 설치하거나, 게이트웨이 차원에서 사전에 네트워크 망에 공격이 침투하지 않도록 소프트웨어 및 하드웨어 기반의 차단시스템을 설치하였다.
또는, 네트워크 트래픽에 대한 공격을 차단하기 위해 설치하는 L7 어플리케이션 스위치의 경우, 콘텐츠 필터링 기능을 이용하여 패턴이 노출된 특정 공격에 대해 상기 패턴을 분석함으로써 이를 차단하였다.
여기서, 상기 종래 게이트웨이 차원에서의 소프트웨어 및 하드웨어 기반의 차단시스템으로는, 일반적인 범용 네트워크 카드를 내 / 외부 네트워크로 구분하여 탑재하고, 네트워크 패킷을 소프트웨어적으로 처리하여, 네트워크 트래픽의 공격을 차단하고 관련 정보를 관리자에게 전달하는 구조 또는 범용 시스템과 별도의 운영체제가 탑재된 임베디드 하드웨어를 PCI 인터페이스로 결합한 구조로, 상기 임베디드 하드웨어에서 고속의 트래픽을 차단하거나 전달하는 기능을 수행하고, 범용시스템에서는 임베디드 하드웨어의 주요기능을 제외한 침입로그 관리자 경보기능과 같 은 기타 기능을 수행하도록 하는 구조가 있다.
앞서 설명한 각 호스트에 설치된 방화벽은 해당 호스트로 전송되는 네트워크 패킷 중에서 접근제어 정책을 기반으로 패킷을 전달하거나 차단하는 기능을 수행하는 것으로, 네트워크 망에 불법 사용자들이 접근하여 컴퓨터 자원을 사용 또는 교란하거나 중요한 정보들을 불법으로 외부에 유출하는 행위를 방지하기 위함이 그 목적이다.
또한, 소프트웨어 기반의 차단시스템은 탐지 및 차단을 위한 소프트웨어 엔진을 기반으로 하여 네트워크 카드로부터 입력 받은 패킷을 공격 룰을 기반으로 차단하거나 전달하는 기능을 수행하며, 하드웨어 기반의 차단시스템은 탐지 및 차단을 위한 엔진을 별도의 운영체제와 메모리, CPU를 갖는 임베디드 시스템에 구현하여 상기 보안 기능을 수행토록하고, 그에 대한 관련 정보를 결합된 범용컴퓨터로 통신하여 처리하게 한다.
또한, L7 어플리케이션 스위치의 경우 통과하는 패킷의 데이터 부분에 대하여 어플리케이션 레벨에서 공격에 대한 패턴 매칭을 실시하여 공격 패킷으로 판단될 경우 차단함으로써 공격을 방어할 수 있다.
그러나, 상기 호스트 기반으로 설치되게 되는 방화벽의 경우는 네트워크의 규모가 커지면 커질수록 관리자가 관리하기 어려우며, 소프트웨어 기반의 차단시스템의 경우는 트래픽이 증가할수록 시스템에 걸리는 부하로 인하여 전체 트래픽 처리율이 떨어지게 되므로 트래픽이 공격 당했을 때 이에 대한 차단율이 떨어지게 된다.
또한, L7 어플리케이션 스위치를 이용한 경우에도 콘텐츠 필터링 수행 시 성능 저하 및 장비 크래쉬(crash)가 발생할 수 있다는 단점이 있다.
또한, 하드웨어 기반의 차단시스템의 경우 임베디드 시스템에서 수행되는 주요 차단 기능을 제외한 기타 기능을 이와 연결된 윈도우 운영체제 기반의 범용컴퓨터에서 수행하는 구조로, 대규모 네트워크 환경에서 다수의 차단 시스템을 통합관리 해야 하는 환경에서는 다소 부적합 구조를 갖고 있다. 또한, 상기 임베디드 시스템과 범용컴퓨터의 직접적인 결합은 범용컴퓨터의 차단 외의 동작에 대한 안정성이 임베디드 시스템의 차단기능에 직접적인 영향을 주게 된다.
네트워크 트래픽에 대한 공격은 각 단위 패킷을 조사하여 판단할 수 있는 것과 연속된 패킷의 스트림을 통하여 얻을 수 있는 것으로 분류될 수 있는데, 앞서 설명한 종래의 네트워크 보안 시스템들은 패킷의 스트림에 대한 검사와 각 단위 패킷에 대한 검사를 병행함에 따라 패킷 전송의 지연 원인이 되고 있으며, CPU(Processor)와 롬(ROM)/ 램(RAM)의 요소를 주 구성으로 하는 임베디드 시스템의 경우도 침입판단을 위한 소프트웨어 동작이 필요함에 따라 실시간/ 전체 트래픽 처리에 한계가 있다는 단점이 있다.
또한, 종래의 네트워크 보안 기술은 단위 패킷의 조사를 기반으로 하여 공격의 판단을 위한 전용보드를 사용하고 있으나, 상기 전용보드는 실시간/전체 트래픽 처리를 위해 별도의 CPU/ ROM/ RAM 기반으로 소프트웨어 적인 동작을 수반하지 않는다는 문제점이 있다.
본 발명은 하드웨어 처리 및 소프트웨어 처리가 융합된 이상 트래픽 분석 및 방지를 목적으로 하는 네트워크 보안 시스템 및 그 동작 방법을 제시하는 것으로, 이는 기가 네트워크망과 같은 고용량 트래픽 환경에서 보호하고자 하는 네트워크 라인에 인-라인(In-Line) 모드로 설치되어 상기 네트워크에 대한 다단계의 공격에 대해 필터링을 기반으로 실시간으로 상기 네트워크 공격을 탐지 및 차단하고, 그 후 관리자에게 관련정보를 실시간으로 전달할 수 있도록 하는 네트워크 보안 시스템 및 그 동작 방법을 제공하는 것을 목적으로 한다.
상기 목적을 달성하기 위하여 본 발명에 의한 네트워크 보안 시스템은, 네트워크 트래픽의 정적공격에 대한 하드웨어적인 필터링을 일차적으로 수행하는 패킷 전용처리기와; 상기 패킷 전용처리기에서 처리된 결과가 선택적으로 전송되어 네트워크 트래픽의 동적공격에 대한 소프트웨어적인 필터링을 이차적으로 수행하는 소프트웨어 필터가 구비된 호스트 시스템으로 구성됨을 특징으로 한다.
여기서, 상기 정적공격에 대한 하드웨어적인 필터링은, 입력되는 네트워크 패킷에 대해 정의된 보안 정책을 기반으로 패턴 매칭되어 수행되는 것이고, 상기 패킷 전용처리기에서 처리된 결과는 패킷 처리기에 유입된 패킷에 대한 차단결과 정보 또는 상기 패킷 전용처리기에서 일차적으로 필터링된 패킷 또는 상기 패킷 전용처리기에 유입된 전체 패킷 또는 전체 패킷에 대한 각각의 헤더 정보 임을 특징으로 한다.
또한, 상기 패킷 전용처리기 및 소프트웨어 필터에 적용될 보안 정책을 생성하고, 이를 온라인 상으로 전송하는 원격관리 시스템과, 상기 패킷 전용처리기 및 소프트웨어 필터로부터 네트워크 트래픽 정보를 전달 받아 이를 축적/ 분석하여 침임 예방 정보를 관리자에게 제공하는 네트워크 트래픽 분석시스템이 더 포함되는 것을 특징으로 한다.
또한, 본 발명에 의한 네트워크 보안 시스템의 동작 방법은, 네트워크 트래픽의 정적공격에 대한 하드웨어적 필터링이 일차적으로 수행되는 단계와; 상기 하드웨어적 필터링에 의해 처리된 결과를 선택적으로 전송받아, 일정시간 동안 발생되는 패킷 스트림을 분석하여 네트워크 트래픽의 동적공격에 대한 소프트웨어적 필터링이 이차적으로 수행되는 단계가 포함되는 것을 특징으로 한다.
삭제
삭제
또한, 상기 정적보안 정책 및 동적공격 정책에 대한 설정, 차단 로그의 데이터 관리 및 기타 보안관리를 포함한 정보가 온라인 상으로 전송되는 단계가 더 포함되는 것을 특징으로 하는 한다.
또한, 상기 하드웨어적 필터링이 수행되는 단계는, 네트워크 및 게이트웨이로부터 패킷이 입력되는 단계와; 상기 패킷 내부의 헤더 정보, 콘텐츠(contents) 정보를 설정된 보안 정책에 의해 실시간 분석하는 단계와; 상기 보안 정책에 위배되는 패킷을 실시간 검색, 차단하여 어떤 패킷 형태와 길이에 상관없이 패킷을 처리하는 하는 단계로 구성됨을 특징으로 한다.
또한, 상기 소프트웨어적 필터링이 수행되는 단계는, 상기 동적공격 필터링을 통하여 차단되는 패킷의 차단정책을 상기 하드웨어 필터링으로 전송하는 단계가 포함되는 것을 특징으로 한다.
또한, 상기 동적공격 필터링은 미리 정의된 동적공격 보안정책 및 케쥴드(Scheduled) 차단정책을 기반으로 입력된 패킷 정보를 누적하여 일정시간 동안의 트래픽 추이를 분석하고, 상기 트래픽이 이상 트래픽으로 한계치를 초과한다고 판단될 때, 상기 차단정책을 대응 관리모듈로 전달하는 것임을 특징으로 한다.
또한, 상기 네트워크 보안 시스템 동작 방법은, 상기 소프트웨어적 필터링에 의해 처리된 결과 정보를 축적 분석하여 침입 예방 관리자에게 제공되는 단계가 더 포함되는 것을 특징으로 하고, 상기 네트워크 보안 시스템 동작 방법은 상기 동적공격 필터링의 결과를 원격 관리시스템으로 전송하는 단계가 포함되는 것을 특징으로 한다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 실시 예를 상세히 설명하도록 한다.
도 1은 본 발명에 의한 네트워크 보안 시스템이 구비된 네트워크망의 구성을 개략적으로 나타낸 도면이다.
도 1을 참조하면, 인터넷 즉, 외부 네트워크에 연결된 클라이언트(11)와 서버(12)가 있고, 상기 외부 네트워크로부터 내부 네트워크로 유입되는 트래픽 공격을 차단하기 위해 본 발명에 의한 이상 트래픽 분석/ 방지시스템(이하, 방지 시스템)은 기존의 네트워크 환경이 변경되지 않도록 보호하고자 하는 내부 네트워크의 게이트웨이(13)에 투과성(transparent) 모드로 연결되어 있다.
즉, 상기 방지시스템(14)은 보호하고자 하는 내부 네트워크에 있는 호스트와, 인터넷에 연결된 호스트와의 모든 통신 트래픽에 대하여 실시간 공격 탐지 및 차단을 수행하며, 그 결과를 관리 콘솔 즉, 원격 관리시스템(50)으로 전송하게 된다.
상기 방지시스템(14)은 PCI 형태의 카드로 제작된 패킷 전용처리기와, 상기 패킷 전용처리기가 설치된 호스트 시스템으로 구성되며, 이를 통해 트래픽 공격에 대해 하드웨어적인 필터링과 소프트웨어적인 필터링을 순차적으로 수행한다.
또한, 상기 원격 관리 시스템(50)에서는 상기 방지시스템(14)에 적용할 보안 규칙을 생성할 수 있으며, 이를 온라인으로 상기 방지 시스템(14)에 전송하여 적용 케 할 수 있다.
이 때, 상기 원격 관리시스템(50)이 동시에 다수의 방지시스템(14)을 통합 관리할 수 있도록 상기 방지 시스템(14)에는 원격 관리시스템(50)과의 통신을 위한 별도의 네트워크 인터페이스 카드가 구성되어 있다.
본 발명에 의한 네트워크 보안 시스템의 구성 및 그 동작을 보다 상세히 설명하면 다음과 같다.
먼저 상기 방지 시스템(14)에는 네트워크 인터페이스와 Static Rule(이하, 정적보안 정책) 즉, 공격에 대한 대응정보를 로딩하기 위한 SRAM 및 PCI 인터페이스 등을 기반으로 하여 카드로 구성된 패킷 전용처리기가 구비되어 있어, 이를 통해 1차적으로 네트워크 트래픽에 대한 정적 공격을 필터링하게 된다.
또한, 상기 패킷 전용처리기에서 처리된 결과로서 "유입된 패킷에 대한 차단결과 정보" 또는 "상기 패킷 전용처리기에서 일차적으로 필터링된 패킷" 또는 "상기 패킷 전용처리기에 유입된 전체 패킷" 또는 "임의의 조건에 따른 패킷의 일부 정보(일례로 전체 패킷에 대한 각각의 헤더 정보)"가 선택적으로 상기 방지 시스템의 호스트 시스템에 구비된 소정의 소프트웨어 필터로 전달되고, 이를 통해 일정시간 동안 발생되는 패킷 스트림을 분석하여 서비스 거부(DoS) 공격 등과 같은 동적 공격을 2차적으로 필터링하게 된다.
즉, 상기 방지 시스템(14)은 패킷 처리부분에 대해 트래픽의 공격 탐지 및 차단을 위한 패킷 전용처리기를 ASIC으로 구현하고, 네트워크 패킷을 입력 받아 이를 정의된 룰(정적보안 정책)을 기반으로 패턴 매칭토록 함으로써, 네트워크 트래 픽의 정적 공격(Static Attack)에 대한 하드웨어적인 필터링을 일차적으로 수행하고,
상기 패킷 전용처리기에서 처리된 결과로서 "유입된 패킷에 대한 차단결과 정보" 또는 "상기 패킷 전용처리기에서 일차적으로 필터링된 패킷" 또는 "상기 패킷 전용처리기에 유입된 전체 패킷" 또는 "임의의 조건에 따른 패킷의 일부 정보(일례로 전체 패킷에 대한 각각의 헤더 정보)"가 선택적으로 상기 소정의 소프트웨어 필터로 전달되어 이를 통해 일정시간 동안 발생되는 패킷 스트림을 분석함으로써, 네트워크 트래픽의 동적 공격(Dynamic Attack)에 대한 소프트웨어적인 필터링을 이차적으로 수행하는 역할을 한다.
여기서, 상기 정적 공격은 일례로 시그너쳐 기반의 공격(Signature Detection)으로 수집된 단위 패킷 만으로 공격의 특성을 판단할 수 있는 공격을 의미하는 것이며, 상기 동적 공격은 일례로 DoS 공격 또는 Anomaly 공격으로 일정기간 수집된 패킷 스트림을 분석하여야 공격 여부를 판단할 수 있는 공격을 의미하는 것이다.
이와 같이 상기 방지 시스템(14)을 통해 얻어지는 네트워크 트래픽 정보들은 별도의 네트워크 트래픽 분석시스템(60)으로 전달하고, 상기 네트워크 트래픽 분석시스템(60)은 이들 정보를 축적 분석하여 침입예방 정보를 관리자에게 제공하는 역할을 한다.
이 때, 상기 네트워크 트래픽 분석시스템(60)은 원격관리 시스템(50)에 탑재되거나 또는 독립적으로 운영될 수 있는 시스템이다.
또한, 차단 로그의 데이터 관리나, 정적보안 정책 및 동적공격 정책에 대한 설정, 패킷 전용처리기 및 소프트웨어 필터의 환경설정 및 기타 보안관리 기능을 수행하는 관리 기능은, TCP /IP환경의 소켓통신을 이용하여 원격으로 연결 될 수 있는 구조로 별도의 원격관리시스템(50)으로 구현하여 대규모 환경의 통합환경 구축이 가능하도록 한다.
또한, 상기 방지시스템(14)은 상기 차단 로그 정보를 수신하여 이를 데이터 베이스화하며, 관리자에게 메일, SMS 등을 통해 전송하여 제 2의 경보기능을 수행토록 한다.
도 2는 도 1에 도시된 방지 시스템의 구성을 나타내는 블록도이다.
도 2를 참조하면, 상기 방지 시스템은 네트워크 트래픽의 정적공격에 대한 하드웨어적인 필터링을 일차적으로 수행하는 패킷 전용 처리기와, 이차적으로 네트워크 트래픽의 동적공격(서비스 거부(DoS) 공격 등)에 대한 소프트웨어적인 필터링을 수행하는 호스트 시스템으로 구성된다.
상기 패킷 전용처리기(20)는 ASIC으로 구성된 대용량 트래픽 처리 전용 패킷 패턴 검색 엔진(Pattern Search Engine, PSE)(24)이 탑재되어 있어, 기가 환경에서 양방향 2Gbps의 트래픽을 인-라인(in-line) 모드로 패킷 크기에 무관하게 실시간 처리할 수 있다.
이러한 패킷 처리능력을 바탕으로 패킷 내부의 헤더 정보, 콘텐츠(contents) 등을 설정된 룰에 의해 실시간 분석하여 보안 규칙에 위배되는 패킷을 실시간 검색, 차단 함으로써, 어떤 패킷 형태와 길이에도 상관없이 안정되고 투명하게 패킷 을 처리 한다.
상기 패킷 전용처리기(20)의 이더넷 콘트롤러(Ethernet controller, 이하 PHY)(21)는 기가비트 라인 인터페이스로부터 패킷을 입력시켜 인-라인 콘트롤러(In-Line Controller, 이하 ILC)(22) 블럭에서 처리할 수 있도록 하는 것으로, 2계층(Layer 2)의 기능을 수행한다. 또한, 입력되어 패킷 전용처릭(20) 내부에서 처리된 패킷을 라인으로 출력하는 기능을 한다.
또한, 상기 ILC(22) 블록은 PHY(21)로부터 입력된 패킷을 분석하여 헤더 정보는 헤더 검색 엔진(Header Search Engine, 이하 HSE)(23)로, 콘텐츠 즉, 패턴은 패턴 검색 엔진(Pattern Search Engine, 이하 PSE)(24)로 전달하여 상기 HSE, PSE 두 개의 엔진에서 분석된 결과를 이용하여 해당 패킷의 포워딩 등의 처리를 수행한다.
또한, PCI(26) 블록을 통해 원격 관리시스템(50)에서 호스트 시스템(27)을 거쳐 전달된 PSE(24), HSE(23) 등의 내부 블럭의 설정 정보를 해당 블록(PSE(24), HSE(23) 등)에 전달하고, 패킷 처리 결과 등의 정보를 PCI(26) 블럭을 거쳐 이를 호스트 시스템(27)으로 전달한다.
여기서, 상기 패킷 전용처리기(21)와 호스트 시스템(27)의 통신을 담당하는 PCI(26) 블록은, 상기 호스트 시스템(27)과의 데이터 전달 패스로서 상기 엔진(PSE(24), HSE(23))에서 사용하는 검색 조건과, SRAM(Action Info Database)(25)에서 사용할 정보 등의 설정을 위해 원격 관리시스템(50)에서 호스트 시스템(27)을 거쳐 소정의 정보를 전달 받고, 또한, 패킷 처리 결과, 통계 정보 등 의 데이터를 호스트 시스템(27)을 거쳐 상기 원격 관리시스템(50)으로 전달하여 처리 결과, 상태 등을 보고하는 전달 패스로 쓰인다.
이 때, 상기 ASIC으로 구성된 PSE(24)에는 검색 조건(즉, 유입되는 패킷이 정상 패킷인지 여부를 판단할 수 있는 비교 정보)가 최초 상기 원격 관리시스템(50)으로부터 전송 받아 저장되고, 상기 SRAM(Action Info Database)(25)에는 네트워크 트래픽 공격에 대한 대응정보(즉, 필터링된 패킷을 차단할 것인지, 패스할 것인지 등에 대한 판단 정보)가 최초 상기 원격 관리시스템(50)으로부터 전송 받아 저장되는 것이다.
즉, 패킷 분석의 주요 구성요소로 트래픽 공격에 대한 차단 로직을 갖는 PSE(24)는 ASIC으로 구성되며, 상기 ILC(22)를 통해 상기 원격 관리시스템(50)으로부터 전송된 검색 조건이 설정되고, 그 설정된 값에 따라 콘텐츠 검색을 수행하며, 그 결과를 ILC(22)에 전달하는 역할을 하게 된다.
또한, 상기 HSE(23)도 ILC(22)에 의해 설정된 값에 따라 패킷의 헤더 검색을 수행하며 그 결과를 ILC(22)에 전달하는 역할을 한다.
또한, 상기 패킷 전용처리기(20)의 SRAM(25)은 패킷 검색 결과에 따른 처리 방법을 가지고 있는 DB로써, 상기 ILC(22)를 통해 상기 원격 관리시스템(50)으로부터 전송된 상기 대응정보가 설정되고, 상기 ILC(22)의 패킷 검색 결과를 입력으로 하여, 입력되는 패킷에 대한 처리 방법을 ILC(22)에 전달한다.
도 3은 도 2에 도시된 호스트 시스템에 구비된 소프트웨어 필터의 내부 구성모듈 간 기능 흐름을 나타내는 블록도이다.
여기서, 상기 소프트웨어 필터는 네트워크 트래픽의 동적 공격을 소프트웨어적으로 필터링하는 것으로, 도 2에 도시된 호스트 시스템의 CPU(도 2의 28) 상에서 동적공격 탐지 및 기타 보안기능을 수행한다.
소프트웨어 필터의 주요 기능인 동적공격 필터링 기능의 동작을 설명하면 다음과 같다.
먼저 패킷 처리모듈(33)이 DMA(Direct Memory Access) 메모리 영역을 통해 상기 패킷 전용처리기(20)로부터 그 처리된 결과로서 "유입된 패킷에 대한 차단결과 정보" 또는 "상기 패킷 전용처리기에서 일차적으로 필터링된 패킷" 또는 "상기 패킷 전용처리기에 유입된 전체 패킷" 또는 "임의의 조건에 따른 패킷의 일부 정보(일례로 전체 패킷에 대한 각각의 헤더 정보)"를 선택적으로 전달 받은 후, 상기 차단결과 정보는 대응 관리모듈(37)로 전달하여 관리자 경보기능을 수행하게 하고, 상기 패킷 정보는 상기 동적공격 필터링을 위해 동적공격 필터(35)와 스케쥴드(Scheduled) 차단필터(36)로 전달한다.
이 때, 상기 패킷 처리모듈(33)은 사용자의 설정에 의해 상기 패킷 전용처리기(20)로부터 그 처리된 결과로서, "유입된 패킷에 대한 차단결과 정보" 또는 "상기 패킷 전용처리기에서 일차적으로 필터링된 패킷" 또는 "상기 패킷 전용처리기에 유입된 전체 패킷" 또는 "임의의 조건에 따른 패킷의 일부 정보(일례로 전체 패킷에 대한 각각의 헤더 정보)"를 선택적으로 전달 받을 수 있다.
또한, 상기 패킷 처리모듈(33)은 소정의 트래픽 정보를 트래픽 처리모듈(34)로 전달하여, 네트워크 트래픽 분석시스템(60)으로 통계정보가 전송될 수 있도록 한다.
상기 동적공격 필터(35)와 스케쥴드(Scheduled) 차단필터(36)는 미리 정의된 동적공격 보안정책 및 스케쥴드(Scheduled) 차단정책을 기반으로 하여 입력된 패킷 정보를 일정시간 동안의 트래픽 추이를 분석하여, 상기 트래픽이 이상 트래픽으로 한계치를 초과한다고 판단될 때, 상기 차단정책을 대응 관리모듈(37)로 전달하고, 이를 패킷 전용처리기(20)로 전달토록 함으로써, 상기 패킷 전용처리기(20)가 이상 트래픽을 차단할 수 있도록 한다. 즉, 상기 패킷 전용처리기(20)에 차단 정책을 추가토록 한다.
상기 대응 관리모듈(37)은 패킷 전용처리기(20)로부터 전달 받은 패킷의 차단결과 정보를 관리자에게 경보하기 위해 데이터 송수신모듈(40)로 전달하고, 데이터 송수신 모듈은(40) TCP/IP 소켓을 통해 원격관리시스템(50)으로 결과를 전송한다.
데이터 송수신모듈(40)은 차단결과 정보의 관리자 경보기능 외에도 원격관리시스템(50)에 의해 정의된 보안정책 및 구성관리 정보를 수신 받아 이를 구성관리모듈(38) 및 정책관리모듈(39)에 전달하고, 상기 구성관리모듈(38) 및 정책관리모듈(39)은 이를 통해 상기 패킷 전용처리기(20) 및 소프트웨어 필터(30)가 상기 보안정책 및 구성관리 정보가 적용토록 하는 기능을 수행한다.
또한, 데이터 송수신모듈(56)은 원격관리시스템(50)과 패킷 전용처리기 및 호스트 시스템이 구비된 방지시스템(14) 간의 통신 상의 상호인증 기능을 함께 포함하고 있다.
구성관리 모듈(38)은 패킷 전용처리기(20)의 상태초기화 및 구동모드에 대한 기능을 수행하고, 정책관리 모듈(39)은 PCI 인터페이스(도 2의 26)를 통해서 패킷 전용처리기(20) 상의 탐지/ 차단 기준이 되는 정적 보안정책을 다운로드하여 실시간으로 온라인 정책변경 기능을 수행한다.
도 4는 도 1에 도시된 원격관리시스템의 구성을 나타내는 블록도이다.
즉, 이는 방지시스템(14)으로부터 발생된 차단정보의 관리자 경보기능과, 방지시스템(14)의 운영을 위한 보안정책을 포함한 모든 구성관리 정보를 관리하는 원격관리시스템(50)의 구성요소를 도시한 것이다.
상기 원격 관리시스템(50)의 주요 기능은 데이터 송수신모듈(56)을 통해 방지시스템(14)으로부터 발생된 차단로그를 관리자에게 경보하는 것이며, 동시에 다수의 방지시스템(14)으로부터의 수신된 차단로그를 통합 관리할 수 있도록 하는 것이다. 또한, 상기 방지시스템의 구성관리 정보 및 차단관련 보안 정책들을 방지시스템에 전송하여 이를 적용토록 하는 기능을 수행한다.
도 4를 참조하면, 데이터 송수신모듈(56)은 수신 받은 로그정보를 침입차단 로그 관리모듈(54)을 통해서 데이터베이스 시스템(15)에 저장하고, 그 밖에도 구성 관리모듈(52)로부터 정의되는 방지시스템(14)의 구성관리 정보와, 정책 관리모듈(53)로부터 정의되는 차단관련 보안 정책들을 방지시스템(14)에 적용하는 기능을 수행한다.
또한, 데이터 송수신모듈(56)은 원격관리시스템(50)과 방지시스템(14) 간의 통신 상의 상호인증 기능을 함께 포함하고 있다.
상기 정책 관리모듈(53)은 방지시스템(14)의 패킷 전용처리기(20) 상의 정적공격에 대한 필터링의 규칙을 정의하는 기능과, 호스트 시스템의 CPU(도 2의 28)상의 소프트웨어 필터(30)의 동적공격의 필터링 규칙과 Scheduled 필터링을 위한 규칙을 정의하는 기능을 수행한다.
그 밖의 사용자인증 관리모듈(51)은 원격관리시스템 및 방지시스템(14)의 사용자 인증정보를 관리하고, 원격관리시스템의 인가된 사용자 접근하도록 사용자인증 기능을 수행한다.
또한, 보고서 관리모듈(55)은 데이터베이스 시스템에 축적된 차단정보를 이용하여 관리자를 위한 통계정보 및 차단로그에 대한 형식화된 보고서를 제공하는 역할을 한다.
도 5는 도 1에 도시된 트래픽 분석시스템의 구성을 나타내는 블록도이다.
즉, 이는 방지시스템(14)으로부터 트래픽 정보를 전달 받아 트래픽의 변화를 분석하는 네트워크 트래픽 분석시스템(60)의 구성요소를 도시한 것이다.
도 5를 참조하면, 데이터 송수신 모듈(66)은 방지시스템(14)으로부터 전달 받은 트래픽 정보를 수신받고, 이를 데이터베이스 시스템(15)에 저장하는 기능을 수행하고, 이를 트래픽 부하 변화율 분석모듈(61)로 전달하여 실시간 변화율을 관리자에게 제공한다.
또한, 서비스별 트래픽 분석모듈(62)이나 패킷 사이즈별 트래픽 분석모듈(63)은 축적된 트래픽 정보를 이용하여 트래픽 분포정보를 관리자에게 제공한다.
또한, 네트웍 트래픽 분석시스템(60)은 알려지지 않은 공격들로부터 발생할 수 있는 이상 트래픽을 분석하기 위해 정책 관리모듈(64)이 구비되어 있으며, 이는 정상 트래픽과 구분될 수 있는 이상 트래픽의 기준을 정립하여 정책화하고, 이를 분석하여 이상 트래픽으로 분석되는 정보를 관리자에게 통보하여 침입 예방을 할 수 있도록 하는 역할을 한다.
또한, 보고서 관리모듈(65)은 데이터베이스 시스템(15)에 축적된 트래픽 정보를 이용하여 관리자를 위한 통계정보 및 이상 트래픽 관련 정보에 대한 형식화된 보고서를 제공한다.
여기서, 상기 네트워크 트래픽 분석시스템(60)은 원격관리 시스템(50)에 탑재되거나 또는 독립적으로 운영될 수 있는 시스템이다.
이와 같은 본 발명에 의한 네트워크 보안 시스템은, 부하가 많이 걸리는 패턴매칭 작업을 이용한 공격 탐지 및 차단 기능을 하드웨어적으로 처리하도록 PCI 형태의 카드로 제작할 수 있으며, 상기 카드가 설치된 호스트는 원격관리시스템과의 통신을 담당하여 탐지 및 차단결과를 원격관리시스템에게 전송하게 되고, 기타 트래픽 정보도 네트워크 트래픽 분석시스템으로 전송하여 트래픽 정보를 관리자에게 실시간으로 제공할 수 있게 된다.
본 발명에 의한 네트워크 보안 시스템 및 그 방법에 의하면, 기가급의 고용량 트래픽 환경에서 패킷의 손실이나 지연 없이 실시간으로 공격이 들어있는 패킷을 하드웨어 기반의 패킷 전용처리기를 이용하여 탐지 및 차단함으로써, 효과적으 로 공격에 대하여 방어할 수 있으며, 또한 정적공격이 아닌 동적공격에 대해서는 범용 컴퓨터 상의 소프트웨어 필터를 통해 필터링이 수행되기 때문에, 이상 트래픽에 대해 보다 안전하게 내부 네트웍 망을 보호할 수 있다는 장점이 있다.
또한, 본 발명에 의할 경우 종래의 네트워크 구조에 대해 변경 없이 설치할 수 있어 비용을 최소화할 수 있으며, 동시에 다수의 방지시스템을 통합 관리할 수 있기 때문에 대규모 환경의 네트웍 환경에서 관리가 용이하다는 장점이 있다.

Claims (29)

  1. 네트워크 트래픽의 정적공격에 대한 하드웨어적인 필터링을 일차적으로 수행하는 패킷 전용처리기와;
    상기 패킷 전용처리기에서 처리된 결과가 선택적으로 전송되어 네트워크 트래픽의 동적공격에 대한 소프트웨어적인 필터링을 이차적으로 수행하는 소프트웨어 필터가 구비된 호스트 시스템으로 구성됨을 특징으로 하는 네트워크 보안 시스템.
  2. 제 1항에 있어서,
    상기 정적공격에 대한 하드웨어적인 필터링은, 입력되는 네트워크 패킷에 대해 정의된 보안 정책을 기반으로 패턴 매칭되어 수행됨을 특징으로 하는 네트워크 보안 시스템.
  3. 삭제
  4. 제 1항에 있어서,
    상기 패킷 전용처리기에서 처리된 결과는 "패킷 처리기에 유입된 패킷에 대한 차단결과 정보" 또는 "상기 패킷 전용처리기에서 일차적으로 필터링된 패킷" 또는 "상기 패킷 전용처리기에 유입된 전체 패킷" 또는 "전체 패킷에 대한 각각의 헤더 정보"임을 특징으로 하는 네트워크 보안 시스템.
  5. 제 1항에 있어서,
    상기 패킷 전용처리기 및 소프트웨어 필터에 적용될 보안 정책을 생성하고, 이를 온라인 상으로 전송하는 원격관리 시스템이 더 포함되는 것을 특징으로 하는 네트워크 보안 시스템.
  6. 제 1항에 있어서,
    상기 패킷 전용처리기 및 소프트웨어 필터로부터 네트워크 트래픽 정보를 전달 받아 이를 축적/ 분석하여 침임 예방 정보를 관리자에게 제공하는 네트워크 트래픽 분석시스템이 더 포함되는 것을 특징으로 하는 네트워크 보안 시스템.
  7. 제 1항에 있어서,
    상기 패킷 전용처리기는,
    패킷을 네트워크 및 게이트웨이로부터 입/출력하는 이더넷 콘트롤러(PHY)와;
    상기 PHY로부터 입력된 패킷을 분석하여 헤더 정보는 헤더 검색 엔진(HSE)으로, 콘텐츠는 패턴 검색 엔진(PSE)으로 전달하여 상기 HSE, PSE에서 분석된 결과를 이용하여 보안 규칙에 위배되는 패킷을 실시간 검색, 차단하는 인-라인 콘트롤러(ILC)와;
    상기 ILC에 의해 설정된 값에 따라 콘텐츠 검색을 수행하고, 그 결과를 ILC에 전달하는 패턴 검색 엔진(PSE)과;
    상기 ILC에 의해 설정된 값에 따라 패킷의 헤더 검색을 수행하며 그 결과를 ILC에 전달하는 헤더 검색 엔진(HSE)과;
    패킷 검색 결과에 따른 처리 방법이 저장되어 있고, 상기 ILC의 패킷 검색 결과를 입력으로 하여, 상기 처리 방법을 ILC에 전달하는 SRAM(Action Info Database)과;
    상기 PSE, HSE에서 사용하는 검색 조건 및 상기 SRAM에서 사용할 정보의 설정을 위해 상기 호스트 시스템으로부터 소정의 정보를 전달 받고, 패킷 처리 결과, 통계 정보 데이터를 호스트 시스템으로 전달하여 처리 결과, 상태를 보고하는 PCI 블록이 포함됨을 특징으로 하는 네트워크 보안 시스템.
  8. 제 7항에 있어서,
    상기 PSE는 ASIC으로 구성되며, 유입되는 패킷에 대한 검색 조건이 저장됨을 특징으로 하는 네트워크 보안 시스템,
  9. 제 8항에 있어서,
    상기 검색 조건은 유입되는 패킷이 정상 패킷인지 여부를 판단할 수 있는 비교 정보임을 특징으로 하는 네트워크 보안 시스템.
  10. 제 7항에 있어서,
    상기 SRAM에는 네트워크 트래픽 공격에 대한 대응정보가 저장됨을 특징으로 하는 네트워크 보안 시스템.
  11. 제 10항에 있어서,
    상기 대응정보에는 상기 패킷 전용처리기에서 필터링된 패킷을 차단할 것인지, 패스할 것인지에 대한 판단 정보가 포함됨을 특징으로 하는 네트워크 보안 시스템.
  12. 제 1항에 있어서,
    상기 호스트 시스템에 구비된 소프트웨어 필터는,
    DMA(Direct Memory Access) 메모리 영역을 통해 상기 패킷 전용처리기로부터 차단 결과정보와 패킷 정보를 전달 받는 패킷 처리모듈과,
    상기 패킷 처리모듈로부터 차단 결과정보를 전달 받아 관리자 경보기능을 수행하며 동적공격 필터링을 통하여 차단되는 패킷의 차단정책을 상기 패킷전용처리기로 송신하는 대응 관리모듈과,
    상기 패킷 처리모듈로부터 패킷 정보를 전달 받아 동적공격 필터링을 수행하는 동적공격 필터 및 스케쥴드(Scheduled) 차단필터와,
    트래픽 공격에 대한 분석을 위해 상기 패킷 처리모듈로부터 전달받은 소정의 정보를 네트워크 트래픽 분석시스템으로 전송하는 트래픽 처리모듈과,
    상기 차단 결과정보를 관리자에게 경보하기 위해 이를 데이터 송수신모듈로 전달하는 대응 관리모듈과,
    TCP/IP 소켓을 통해 원격관리시스템으로 결과를 전송하는 데이터 송수신 모듈과,
    상기 패킷 전용처리기의 상태초기화 및 구동모드에 대한 기능을 수행하는 구성관리 모듈과,
    패킷 전용처리기 상의 탐지/ 차단 기준이 되는 정적 보안정책을 다운로드하여 실시간으로 온라인 정책변경 기능을 수행하는 정책관리 모듈이 포함됨을 특징으로 하는 네트워크 보안 시스템.
  13. 제 12항에 있어서,
    상기 데이터 송수신모듈은 상기 원격관리시스템에 의해 정의된 보안정책 및 구성관리 정보를 수신 받아 이를 상기 구성관리모듈 및 정책관리모듈에 전달함을 특징으로 하는 네트워크 보안 시스템.
  14. 제 12항에 있어서,
    상기 패킷 처리모듈은 사용자의 설정에 의해 상기 패킷 전용처리기로부터 그 처리된 결과로서 유입된 패킷에 대한 차단결과 정보 또는 상기 패킷 전용처리기에서 일차적으로 필터링된 패킷 또는 상기 패킷 전용처리기에 유입된 전체 패킷 또는 전체 패킷에 대한 각각의 헤더 정보 를 선택적으로 전달 받을 수 있음을 특징으로 하는 네트워크 보안 시스템.
  15. 제 12항에 있어서,
    상기 동적공격 필터 및 스케쥴드(Scheduled) 차단필터는 미리 정의된 동적공격 보안정책 및 스케쥴드(Scheduled) 차단정책을 기반으로 입력된 패킷 정보를 누적하여 일정시간 동안의 트래픽 추이를 분석하고, 상기 트래픽이 이상 트래픽으로 한계치를 초과한다고 판단될 때, 상기 차단정책을 대응 관리모듈로 전달하는 것을 특징으로 하는 네트워크 보안 시스템.
  16. 제 5항에 있어서,
    상기 원격관리 시스템은,
    상기 방지 시스템으로부터 로그 정보를 수신받는 데이터 송수신 모듈과,
    상기 수신받은 로그 정보를 데이터 베이스 시스템에 저장토록 전송하는 침입차단 로그 관리모듈과,
    상기 방지 시스템의 구성관리 정보를 정의하는 구성 관리모듈과,
    상기 방지 시스템의 차단관련 보안정책을 정의하는 정책 관리모듈과,
    상기 데이터베이스 시스템에 축적된 차단정보를 이용하여 관리자를 위한 통계정보 및 차단로그에 대한 형식화된 보고서를 제공하는 보고서 관리모듈이 포함되는 것을 특징으로 하는 네트워크 보안 시스템.
  17. 제 16항에 있어서,
    상기 정책 관리모듈은 네트워크 트래픽 정적공격에 대한 필터링 규칙 및 네트워크 트래픽 동적공격에 대한 필터링 규칙을 정의하는 기능을 수행함을 특징으로 하는 네트워크 보안 시스템.
  18. 제 16항에 있어서,
    상기 원격관리 시스템에 상기 원격관리 시스템 및 방지시스템의 사용자 인증정보를 관리하고, 원격관리 시스템의 인가된 사용자 접근하도록 사용자인증 기능을 수행하는 사용자인증 관리모듈이 더 포함됨을 특징으로 하는 네트워크 보안 시스템.
  19. 제 6항에 있어서,
    상기 네트워크 트래픽 분석시스템은,
    상기 방지 시스템으로부터 전달되는 트래픽 정보를 수신하고, 이를 데이터베이스 시스템에 저장하는 데이터 송수신 모듈과,
    축적된 트래픽 정보를 이용하여 트래픽 분포정보를 관리자에게 제공하는 서비스별 트래픽 분석모듈 또는 패킷 사이즈별 트래픽 분석모듈과,
    알려지지 않은 공격들로부터 발생할 수 있는 이상 트래픽을 분석하기 위해 정책 관리모듈과,
    상기 데이터베이스 시스템에 축적된 트래픽 정보를 이용하여 관리자를 위한 통계정보 및 이상 트래픽 관련 정보에 대한 형식화된 보고서를 제공하는 보고서 관 리모듈이 포함되는 것을 특징으로 하는 네트워크 보안 시스템.
  20. 제 19항에 있어서,
    상기 정책 관리모듈은 정상 트래픽과 구분될 수 있는 이상 트래픽의 기준을 정립하여 정책화하고, 이를 분석하여 이상 트래픽으로 분석되는 정보를 관리자에게 통보하는 기능을 수행하는 것을 특징으로 하는 네트워크 보안 시스템.
  21. 제 19항에 있어서,
    상기 방지 시스템으로부터 전달되는 트래픽 정보에 대한 실시간 변화율을 관리자에게 제공하는 트래픽 부하 변화율 분석모듈이 더 포함되는 것을 특징으로 하는 네트워크 보안 시스템.
  22. 삭제
  23. 네트워크 트래픽의 정적공격에 대한 하드웨어적 필터링이 일차적으로 수행되는 단계와,
    상기 하드웨어적 필터링에 의해 처리된 결과를 선택적으로 전송받아 일정시간 동안 발생되는 패킷 스트림을 분석하여 네트워크 트래픽의 동적공격에 대한 소프트웨어적 필터링이 이차적으로 수행되는 단계가 포함되는 것을 특징으로 하는 네트워크 보안 시스템 동작 방법.
  24. 제 23항에 있어서,
    상기 정적보안 정책 및 동적공격 정책에 대한 설정, 차단 로그의 데이터 관리 및 기타 보안관리를 포함한 정보가 온라인 상으로 전송되는 단계가 더 포함되는 것을 특징으로 하는 네트워크 보안 시스템 동작 방법.
  25. 제 23항에 있어서,
    상기 하드웨어적 필터링이 수행되는 단계는,
    네트워크 및 게이트웨이로부터 패킷이 입력되는 단계와,
    상기 패킷 내부의 헤더 정보, 콘텐츠(contents) 정보를 설정된 보안 정책에 의해 실시간 분석하는 단계와,상기 보안 정책에 위배되는 패킷을 실시간 검색, 차단하여 어떤 패킷 형태와 길이에 상관없이 패킷을 처리하는 하는 단계로 구성됨을 특징으로 하는 네트워크 보안 시스템 동작 방법.
  26. 제 23항에 있어서,
    상기 소프트웨어적 필터링이 수행되는 단계는,
    상기 동적공격 필터링을 통하여 차단되는 패킷의 차단정책을 상기 하드웨어적 필터링으로 전송하는 단계가 포함되는 것을 특징으로 하는 네트워크 보안 시스템 동작 방법.
  27. 제 26항에 있어서,
    상기 동적공격 필터링은 미리 정의된 동적공격 보안정책 및 스케쥴드(Scheduled) 차단정책을 기반으로 입력된 패킷 정보를 누적하여 일정시간 동안의 트래픽 추이를 분석하고, 상기 트래픽이 이상 트래픽으로 한계치를 초과한다고 판단될 때, 상기 차단정책을 대응 관리모듈로 전달하는 것을 특징으로 하는 네트워크 보안 시스템 동작 방법.
  28. 제 23항에 있어서,
    상기 네트워크 보안 시스템 동작 방법은,
    상기 소프트웨어적 필터링에 의해 처리된 결과 정보를 축적 분석하여 침입 예방 관리자에게 제공되는 단계가 더 포함되는 것을 특징으로 하는 네트워크 보안 시스템 동작 방법.
  29. 제 23항에 있어서,
    상기 네트워크 보안 시스템 동작 방법은 상기 동적공격 필터링의 결과를 원격 관리시스템으로 전송하는 단계가 포함되는 것을 특징으로 하는 네트워크 보안 시스템 동작 방법.
KR1020040009684A 2004-02-13 2004-02-13 네트워크 보안 시스템 및 그 동작 방법 KR100609170B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020040009684A KR100609170B1 (ko) 2004-02-13 2004-02-13 네트워크 보안 시스템 및 그 동작 방법
US10/962,560 US20050182950A1 (en) 2004-02-13 2004-10-13 Network security system and method
JP2004323784A JP3968724B2 (ja) 2004-02-13 2004-11-08 ネットワーク保安システム及びその動作方法
CNB2005100047653A CN100463409C (zh) 2004-02-13 2005-01-21 网络安全系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040009684A KR100609170B1 (ko) 2004-02-13 2004-02-13 네트워크 보안 시스템 및 그 동작 방법

Publications (2)

Publication Number Publication Date
KR20050081439A KR20050081439A (ko) 2005-08-19
KR100609170B1 true KR100609170B1 (ko) 2006-08-02

Family

ID=34836742

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040009684A KR100609170B1 (ko) 2004-02-13 2004-02-13 네트워크 보안 시스템 및 그 동작 방법

Country Status (4)

Country Link
US (1) US20050182950A1 (ko)
JP (1) JP3968724B2 (ko)
KR (1) KR100609170B1 (ko)
CN (1) CN100463409C (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101196366B1 (ko) * 2009-01-20 2012-11-01 주식회사 엔피코어 서버보안을 위한 랜카드 시스템
KR101383397B1 (ko) * 2011-08-08 2014-04-08 삼성에스디에스 주식회사 방화벽 엔진 및 이를 이용한 패킷 매칭 방법

Families Citing this family (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8590011B1 (en) * 2005-02-24 2013-11-19 Versata Development Group, Inc. Variable domain resource data security for data processing systems
US7860006B1 (en) * 2005-04-27 2010-12-28 Extreme Networks, Inc. Integrated methods of performing network switch functions
US8255996B2 (en) 2005-12-30 2012-08-28 Extreme Networks, Inc. Network threat detection and mitigation
KR101252812B1 (ko) * 2006-04-25 2013-04-12 주식회사 엘지씨엔에스 네트워크 보안 장치 및 그를 이용한 패킷 데이터 처리방법
US8009566B2 (en) * 2006-06-26 2011-08-30 Palo Alto Networks, Inc. Packet classification in a network security device
KR100796814B1 (ko) * 2006-08-10 2008-01-31 모젠소프트 (주) 피씨아이형 보안 인터페이스 카드 및 보안관리 시스템
KR101206542B1 (ko) * 2006-12-18 2012-11-30 주식회사 엘지씨엔에스 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는네트워크 보안 장치 및 방법
US8220049B2 (en) * 2006-12-28 2012-07-10 Intel Corporation Hardware-based detection and containment of an infected host computing device
US8505092B2 (en) 2007-01-05 2013-08-06 Trend Micro Incorporated Dynamic provisioning of protection software in a host intrusion prevention system
US7930747B2 (en) * 2007-01-08 2011-04-19 Trend Micro Incorporated Host intrusion prevention server
KR101367652B1 (ko) * 2007-03-12 2014-02-27 주식회사 엘지씨엔에스 정적 정책정보를 이용한 침입방지 장치 및 방법
KR100864889B1 (ko) * 2007-03-13 2008-10-22 삼성전자주식회사 Tcp 상태 기반 패킷 필터 장치 및 그 방법
US7853998B2 (en) * 2007-03-22 2010-12-14 Mocana Corporation Firewall propagation
US8310923B1 (en) * 2007-03-27 2012-11-13 Amazon Technologies, Inc. Monitoring a network site to detect adverse network conditions
US20080239988A1 (en) * 2007-03-29 2008-10-02 Henry Ptasinski Method and System For Network Infrastructure Offload Traffic Filtering
US8594085B2 (en) * 2007-04-11 2013-11-26 Palo Alto Networks, Inc. L2/L3 multi-mode switch including policy processing
US7996896B2 (en) 2007-10-19 2011-08-09 Trend Micro Incorporated System for regulating host security configuration
KR100849888B1 (ko) * 2007-11-22 2008-08-04 한국정보보호진흥원 공격 멀티미디어 패킷 차단 장치, 시스템 및 방법
WO2009125151A2 (fr) * 2008-03-31 2009-10-15 France Telecom Mode de communication de defense pour un equipement apte a communiquer au moyen de differents services de communication
KR100860607B1 (ko) * 2008-04-21 2008-09-29 주식회사 모보 네트워크 통합보안 스위치장치 및 방법
KR101033510B1 (ko) * 2008-11-17 2011-05-09 (주)소만사 메신저 정보유출 제어방법 및 그를 이용한 네트워크 콘텐츠보안시스템
KR101017015B1 (ko) * 2008-11-17 2011-02-23 (주)소만사 네트워크 기반 고성능 콘텐츠 보안 시스템 및 방법
JP5309924B2 (ja) * 2008-11-27 2013-10-09 富士通株式会社 パケット処理装置、ネットワーク機器、及びパケット処理方法
US8873556B1 (en) 2008-12-24 2014-10-28 Palo Alto Networks, Inc. Application based packet forwarding
TW201029396A (en) * 2009-01-21 2010-08-01 Univ Nat Taiwan Packet processing device and method
US8098677B1 (en) * 2009-07-31 2012-01-17 Anue Systems, Inc. Superset packet forwarding for overlapping filters and related systems and methods
US8934495B1 (en) 2009-07-31 2015-01-13 Anue Systems, Inc. Filtering path view graphical user interfaces and related systems and methods
US8018943B1 (en) 2009-07-31 2011-09-13 Anue Systems, Inc. Automatic filter overlap processing and related systems and methods
US8554141B2 (en) 2010-06-24 2013-10-08 Broadcom Corporation Method and system for multi-stage device filtering in a bluetooth low energy device
CA2712542C (en) * 2010-08-25 2012-09-11 Ibm Canada Limited - Ibm Canada Limitee Two-tier deep analysis of html traffic
US9363278B2 (en) * 2011-05-11 2016-06-07 At&T Mobility Ii Llc Dynamic and selective response to cyber attack for telecommunications carrier networks
US8151341B1 (en) * 2011-05-23 2012-04-03 Kaspersky Lab Zao System and method for reducing false positives during detection of network attacks
US9047441B2 (en) 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
US8695096B1 (en) 2011-05-24 2014-04-08 Palo Alto Networks, Inc. Automatic signature generation for malicious PDF files
US10620241B2 (en) * 2012-02-17 2020-04-14 Perspecta Labs Inc. Method and system for packet acquisition, analysis and intrusion detection in field area networks
US9110101B2 (en) * 2012-02-17 2015-08-18 Vencore Labs, Inc. Method and system for packet acquisition, analysis and intrusion detection in field area networks
WO2014021863A1 (en) * 2012-07-31 2014-02-06 Hewlett-Packard Development Company, L.P. Network traffic processing system
US8943587B2 (en) * 2012-09-13 2015-01-27 Symantec Corporation Systems and methods for performing selective deep packet inspection
US9165142B1 (en) * 2013-01-30 2015-10-20 Palo Alto Networks, Inc. Malware family identification using profile signatures
US9124552B2 (en) * 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
TW201505411A (zh) * 2013-07-31 2015-02-01 Ibm 用於規則式安全防護設備之規則解譯方法及設備
TWI515600B (zh) * 2013-10-25 2016-01-01 緯創資通股份有限公司 惡意程式防護方法與系統及其過濾表格更新方法
US9467385B2 (en) 2014-05-29 2016-10-11 Anue Systems, Inc. Cloud-based network tool optimizers for server cloud networks
US9781044B2 (en) 2014-07-16 2017-10-03 Anue Systems, Inc. Automated discovery and forwarding of relevant network traffic with respect to newly connected network tools for network tool optimizers
US9794274B2 (en) 2014-09-08 2017-10-17 Mitsubishi Electric Corporation Information processing apparatus, information processing method, and computer readable medium
US10050847B2 (en) 2014-09-30 2018-08-14 Keysight Technologies Singapore (Holdings) Pte Ltd Selective scanning of network packet traffic using cloud-based virtual machine tool platforms
US11363035B2 (en) 2015-05-22 2022-06-14 Fisher-Rosemount Systems, Inc. Configurable robustness agent in a plant security system
US9992134B2 (en) 2015-05-27 2018-06-05 Keysight Technologies Singapore (Holdings) Pte Ltd Systems and methods to forward packets not passed by criteria-based filters in packet forwarding systems
US9699205B2 (en) 2015-08-31 2017-07-04 Splunk Inc. Network security system
US10652112B2 (en) 2015-10-02 2020-05-12 Keysight Technologies Singapore (Sales) Pte. Ltd. Network traffic pre-classification within VM platforms in virtual processing environments
US10116528B2 (en) 2015-10-02 2018-10-30 Keysight Technologies Singapore (Holdings) Ptd Ltd Direct network traffic monitoring within VM platforms in virtual processing environments
US10142212B2 (en) 2015-10-26 2018-11-27 Keysight Technologies Singapore (Holdings) Pte Ltd On demand packet traffic monitoring for network packet communications within virtual processing environments
US11777963B2 (en) * 2017-02-24 2023-10-03 LogRhythm Inc. Analytics for processing information system data
DE102017214624A1 (de) * 2017-08-22 2019-02-28 Audi Ag Verfahren zum Filtern von über eine Kommunikationsverbindung eingehenden Kommunikationsdaten in einer Datenverarbeitungseinrichtung, Datenverarbeitungseinrichtung und Kraftfahrzeug
US10764309B2 (en) 2018-01-31 2020-09-01 Palo Alto Networks, Inc. Context profiling for malware detection
US11159538B2 (en) 2018-01-31 2021-10-26 Palo Alto Networks, Inc. Context for malware forensics and detection
KR102174462B1 (ko) * 2018-05-15 2020-11-05 엑사비스 주식회사 네트워크 보안 방법 및 이를 수행하는 시스템
US10897480B2 (en) * 2018-07-27 2021-01-19 The Boeing Company Machine learning data filtering in a cross-domain environment
DE102019210224A1 (de) * 2019-07-10 2021-01-14 Robert Bosch Gmbh Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk
KR102260822B1 (ko) * 2020-10-22 2021-06-07 (주)테이텀 클라우드 보안규정 준수여부 진단 및 관리 장치
US11956212B2 (en) 2021-03-31 2024-04-09 Palo Alto Networks, Inc. IoT device application workload capture

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6990591B1 (en) * 1999-11-18 2006-01-24 Secureworks, Inc. Method and system for remotely configuring and monitoring a communication device
US6496935B1 (en) * 2000-03-02 2002-12-17 Check Point Software Technologies Ltd System, device and method for rapid packet filtering and processing
JP2002073433A (ja) * 2000-08-28 2002-03-12 Mitsubishi Electric Corp 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法
US7331061B1 (en) * 2001-09-07 2008-02-12 Secureworks, Inc. Integrated computer security management system and method
US7076803B2 (en) * 2002-01-28 2006-07-11 International Business Machines Corporation Integrated intrusion detection services
US7174566B2 (en) * 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
CN1175621C (zh) * 2002-03-29 2004-11-10 华为技术有限公司 一种检测并监控恶意用户主机攻击的方法
CN1160899C (zh) * 2002-06-11 2004-08-04 华中科技大学 分布式网络动态安全保护系统
US7278162B2 (en) * 2003-04-01 2007-10-02 International Business Machines Corporation Use of a programmable network processor to observe a flow of packets

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101196366B1 (ko) * 2009-01-20 2012-11-01 주식회사 엔피코어 서버보안을 위한 랜카드 시스템
KR101383397B1 (ko) * 2011-08-08 2014-04-08 삼성에스디에스 주식회사 방화벽 엔진 및 이를 이용한 패킷 매칭 방법

Also Published As

Publication number Publication date
CN1655518A (zh) 2005-08-17
CN100463409C (zh) 2009-02-18
KR20050081439A (ko) 2005-08-19
US20050182950A1 (en) 2005-08-18
JP2005229573A (ja) 2005-08-25
JP3968724B2 (ja) 2007-08-29

Similar Documents

Publication Publication Date Title
KR100609170B1 (ko) 네트워크 보안 시스템 및 그 동작 방법
US7832009B2 (en) Techniques for preventing attacks on computer systems and networks
KR101111433B1 (ko) 능동 네트워크 방어 시스템 및 방법
EP1905197B1 (en) System and method for detecting abnormal traffic based on early notification
US20100251370A1 (en) Network intrusion detection system
CN100435513C (zh) 网络设备与入侵检测系统联动的方法
US7475420B1 (en) Detecting network proxies through observation of symmetric relationships
US10693890B2 (en) Packet relay apparatus
EP1911241B1 (en) Method for defending against denial of service attacks in ip networks by target victim self-identification and control
CN113228591B (zh) 用于动态补救安全系统实体的方法、系统和计算机可读介质
CN106992955A (zh) Apt防火墙
US20090178140A1 (en) Network intrusion detection system
KR101042291B1 (ko) 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법
CN111970300A (zh) 一种基于行为检查的网络入侵防御系统
KR102501372B1 (ko) Ai 기반 이상징후 침입 탐지 및 대응 시스템
Hegazy et al. A multi-agent based system for intrusion detection
Neu et al. Lightweight IPS for port scan in OpenFlow SDN networks
US20030084344A1 (en) Method and computer readable medium for suppressing execution of signature file directives during a network exploit
CN101453363A (zh) 网络入侵检测系统
CN115017502A (zh) 一种流量处理方法、及防护系统
KR20060130892A (ko) 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법
CN101300807A (zh) 通信网络的网络接入节点计算机、通信系统以及用于操作通信系统的方法
KR100728446B1 (ko) 하드웨어 기반의 침입방지장치, 시스템 및 방법
KR100870871B1 (ko) 액세스레벨에서의 유해트래픽 차단장치 및 보안시스템
CN112134845A (zh) 一种抗拒绝服务系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120109

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20130530

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150717

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20160701

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20170703

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20180703

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20190708

Year of fee payment: 14