KR100614775B1 - System and method of protecting network - Google Patents

System and method of protecting network Download PDF

Info

Publication number
KR100614775B1
KR100614775B1 KR1020040065652A KR20040065652A KR100614775B1 KR 100614775 B1 KR100614775 B1 KR 100614775B1 KR 1020040065652 A KR1020040065652 A KR 1020040065652A KR 20040065652 A KR20040065652 A KR 20040065652A KR 100614775 B1 KR100614775 B1 KR 100614775B1
Authority
KR
South Korea
Prior art keywords
packet
traffic
network
pattern
present
Prior art date
Application number
KR1020040065652A
Other languages
Korean (ko)
Other versions
KR20060017109A (en
Inventor
서현원
Original Assignee
(주)한드림넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)한드림넷 filed Critical (주)한드림넷
Priority to KR1020040065652A priority Critical patent/KR100614775B1/en
Publication of KR20060017109A publication Critical patent/KR20060017109A/en
Application granted granted Critical
Publication of KR100614775B1 publication Critical patent/KR100614775B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

본 발명은 네트워크 보호 장치 및 방법에 관한 것으로서, 특히 내부 네트워크 사용자의 맥 어드레스를 기반으로 폭주하는 유해 트래픽 및 바이러스 등의 공격을 감지 차단하고, 유효한 트래픽에 대한 서비스 품질 정책을 구현하여, 네트워크 가용성을 향상시킬 수 있는 네트워크 보안 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for protecting a network, and particularly, detects and blocks attacks such as harmful traffic and viruses that are congested based on the MAC address of an internal network user, implements a quality of service policy for valid traffic, and improves network availability. A network security device and method that can be improved.

본 발명은 L2 ∼ L7 기반의 유해 트래픽을 원천적으로 차단하고, 사용자 맥 어드레스 기반의 근본적 차단 정책을 제공함으로써, 서브 네트워크간의 유해 트래픽 확산을 차단하고, 공격 패턴 인식을 통한 공격에 대응하는 것이 가능하게 된다. 더욱이, 본 발명에 따른 시그너쳐 필터를 최상위에 배치함으로써 내부에서 올라오는 공격성 트래픽을 효율적으로 차단할 수 있으며, 정상적 트래픽은 이상적으로 통과시킬 수 있다. 또한, 본 발명은 실시간 QoS 모니터를 통해 트래픽 현황을 파악하고 제어함으로써 특정 사용자 및 애플리케이션에 전용 대역폭을 할당하고, 특정 트래픽의 대역폭 독점을 방지할 수 있다. The present invention blocks L2 to L7 based harmful traffic and provides a fundamental blocking policy based on user MAC address, thereby preventing the spread of harmful traffic between sub-networks and responding to attacks through attack pattern recognition. do. Moreover, by placing the signature filter according to the present invention at the top, it is possible to effectively block the aggressive traffic coming from inside, and the normal traffic can be ideally passed. In addition, the present invention can identify and control the traffic state through a real-time QoS monitor to allocate dedicated bandwidth to specific users and applications, and prevent bandwidth monopoly of specific traffic.

유해 트래픽, 방화벽, IDS, 필터링, 바이러스.Harmful Traffic, Firewall, IDS, Filtering, Virus.

Description

네트워크 보호 장치 및 방법{SYSTEM AND METHOD OF PROTECTING NETWORK}Network protection devices and methods {SYSTEM AND METHOD OF PROTECTING NETWORK}

도1은 종래 기술에 따른 외부 해커 침입 차단 시스템의 문제점을 나타낸 도면.1 is a view showing a problem of the external hacker intrusion prevention system according to the prior art.

도2는 본 발명에 따른 네트워크 보안 장치의 구성을 나타낸 도면.2 is a diagram showing the configuration of a network security device according to the present invention;

도3은 본 발명에 따른 네트워크 보안 장치를 구성하는 커널을 나타낸 도면.Figure 3 illustrates a kernel constituting a network security device according to the present invention.

도4는 본 발명에 따른 네트워크 보안장치를 구성하는 패턴 엔진의 일처리 흐름을 나타낸 도면.4 is a diagram illustrating a work flow of a pattern engine configuring a network security device according to the present invention.

도5는 본 발명에 따른 네트워크 보안 장치를 구성하는 시그너쳐 센서의 일처리 흐름을 나타낸 도면.5 is a flow chart showing the processing flow of the signature sensor constituting the network security device according to the present invention.

도5a 내지 도5f는 본 발명에 따른 네트워크 보안 장치가 제공하는 시스템 화면을 나타낸 도면.5A to 5F illustrate system screens provided by a network security device according to the present invention.

도5g는 본 발명에 따른 보안 장치의 QoS 정책 수립을 나타내는 도면.5G illustrates QoS policy establishment of a security device in accordance with the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

10 : 방화벽10: firewall

20 : IDS/IPS 시스템20: IDS / IPS system

30 : 이동성 매체30: removable media

40 : 백본 스위치40: backbone switch

50 : 세그먼트50: segment

86 : 내부 네트워크86: internal network

100 : 애플리케이션 영역100: application area

110 : 사용자 영역110: user area

111 : http 프로세스111: http process

112 : 텔넷 프로세스112: Telnet process

113 : 서브게이트 모듈113: subgate module

114 : QoS 모듈114: QoS module

115 : 트래픽 모듈115: traffic module

120 : 대몬 영역120: daemon area

121 : 시그너쳐 센서121: signature sensor

122 : QoS 로그 센서122: QoS log sensor

123 : IP 어카운트 센서123: IP Account Sensor

124 : 네트 캡124: Net Cap

200 : 커널 영역200: kernel area

212 : 패턴 엔진212: pattern engine

213: QoS 엔진213: QoS engine

250 : 하드웨어250: hardware

본 발명은 네트워크 보호 장치 및 방법에 관한 것으로서, 특히 내부 네트워크 사용자의 맥 어드레스(MAC address)를 기반으로 폭주하는 유해 트래픽 및 바이러스 등의 공격을 감지 차단하고, 유효한 트래픽에 대한 서비스 품질(Quality of Service; QoS) 정책을 구현하여, 네트워크 가용성을 향상시킬 수 있는 네트워크 보안 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for protecting a network, and in particular, detects and blocks attacks such as harmful traffic and viruses that are congested based on MAC addresses of internal network users, and provides a quality of service for valid traffic. And a network security apparatus and method for implementing network (QoS) policies to improve network availability.

최근 들어, 네트워크 통신 환경이 발전함에 따라서 해커의 네트워크 불법 침입, 컴퓨터 바이러스의 유포 등 유해 트래픽이 폭증하는 경우가 빈번히 발생하고 있으며, 이와 같은 유해 트래픽의 폭발적 증가는 내부 네트워크를 구성하는 라우터 또는 백본 스위치 등을 마비시켜서 네트워크를 마비시키게 된다.Recently, as the network communication environment develops, harmful traffic such as hackers illegally invading the network and disseminating computer viruses frequently occurs, and the explosive increase of such harmful traffic is a router or a backbone switch constituting an internal network. It paralyzes the back and paralyzes the network.

그런데, 해킹 기술이 교묘해지고 바이러스의 확산이 내부 네트워크의 노드에서 발생될 수도 있으므로 네트워크 관리자는 이와같은 네트워크의 마비 상태가 왜, 언제부터, 어디서부터, 무엇 때문에 발생하였는지 조차 파악하기 쉽지 않다.However, as hacking techniques are sophisticated and virus spreads can occur at nodes in the internal network, it is not easy for network administrators to understand why, when, where, and why such a network is paralyzed.

더욱이, 최근 들어 컴퓨터의 성능이 향상되고 네트워크 전송 속도가 수십 기가 BPS 이상으로 고속화되어짐에 따라, 외부 침입을 탐지하는 방화벽이 설치되어 있다 하더라도 내부 네트워크에서 발생하는 유해 트래픽이 초당 수백 메가 BPS 이상 발생될 수 있으며, 그 결과 네트워크를 마비시키게 된다.Moreover, with the recent increase in computer performance and the speed of network transfers of more than a few tens of BPS, even if a firewall is installed to detect external intrusions, harmful traffic from the internal network can generate hundreds of mega BPS or more per second. Can result in paralyzing the network.

더욱이, 유해 트래픽 발생이 더욱 지능화됨에 따라서, 방화벽이 설치되었다 하더라도 방화벽이 허용하는 포트를 이용한 유해 트래픽이 현저히 증가하고 있으며, 더욱 심각한 것은 외부로부터의 침투뿐 아니라 내부 노드에서의 유해 트래픽 발생이 빈번해지고 있다는 점이다.Moreover, as the generation of harmful traffic becomes more intelligent, even if a firewall is installed, the harmful traffic using the ports allowed by the firewall is increasing significantly, and more seriously, harmful traffic is generated from internal nodes as well as from outside. Is that there is.

상기 문제점을 해결하기 위해서 침입 탐지 시스템(IDS; Intrusion Detection System) 또는 바이러스 방화벽 등이 사용하여 패킷을 필터링 하는 기술이 사용되고 있으나 상기 방화벽 시스템은 경계선 상에 설치되는 수단이므로, 패킷의 데이터 영역을 패턴 매칭함으로써 여과하고자 하는 종래 기술은 유해 트래픽 발생 소스가 있는 노트북 등을 모바일 사용자가 내부 네트워크 노드에 자신도 모른 채 연결하면 유해 트래픽을 차단할 방법이 전혀 없다.In order to solve the problem, a technique for filtering a packet using an intrusion detection system (IDS) or a virus firewall is used, but since the firewall system is a means installed on a boundary line, pattern matching of a data area of a packet is performed. The conventional technique to filter by means that there is no way to block harmful traffic when a mobile user connects a laptop having a source of harmful traffic to an internal network node without knowing it.

따라서, 본 발명의 제1 목적은 종래 기술과 달리 불법 침입으로부터 내부 네트워크를 보호하는 것뿐 아니라, 일단 내부 네트워크에 유해 트래픽 발생 소스가 존재한다는 가정 하에 유해 트래픽을 차단하여 네트워크를 보호할 수 있는 네트워크 보호 기술을 제공하는데 있다.Accordingly, the first object of the present invention is not only to protect the internal network from illegal intrusion, but also to protect the network by blocking harmful traffic under the assumption that harmful traffic sources exist in the internal network. To provide protection technology.

본 발명의 제2 목적은 상기 제1 목적에 부가하여, 모바일 사용자, 메모리 스틱 또는 웹하드 디스크 사용자가 증대함에 따라 궁극적으로 네트워크는 감염되어 있다는 전제하에 대규모 트래픽이 네트워크에 발생하였을 경우 이의 확산 및 주변 세그먼트로의 감염 등을 방지 보호할 수 있는 네트워크 보호 방법 및 장치를 제공하는데 있다.The second object of the present invention is, in addition to the first object, that when a large amount of traffic occurs in the network under the premise that the network is infected as mobile users, memory sticks or web hard disk users increase, its spread and surroundings The present invention provides a network protection method and apparatus that can prevent and protect an infection into a segment.

본 발명의 제3 목적은 상기 제1 및 제2 목적에 부가하여, 네트워크의 가용성 분석 및 정책 기반의 QoS 방법을 제공하는 네트워크 기술을 제공하는데 있다.A third object of the present invention is to provide a network technology in addition to the first and second objects, which provides an availability analysis of a network and a policy-based QoS method.

본 발명의 제4 목적은 상기 목적에 부가하여, 단위 네트워크를 보안하고, 유 해 트래픽 발생 시의 확산을 최소화하며 정책 기반의 트래픽 제어를 도모할 수 있는 네트워크 보안 기술을 제공하는데 있다.In addition to the above object, a fourth object of the present invention is to provide a network security technology capable of securing a unit network, minimizing the spreading of harmful traffic and promoting policy-based traffic control.

상기 목적을 달성하기 위하여, 본 발명은 네트워크 세그먼트 사이에 공격(attack) 또는 바이러스에 의한 유해 트래픽의 확산을 차단하고 밴드 폭 보장을 통해 중요 트래픽을 보호하는 네트워크 보안 장치에 있어서, 상기 네트워크 보안 장치가 구현하는 프로세스는 애플리케이션 영역과 커널 영역으로 구분되고, 상기 애플리케이션 영역은 http 프로세스와 telnet 프로세스를 포함하고, 사용자 또는 관리자가 접근하여 관리, 유지 보수 및 모니터 할 수 있도록 통계 및 자료를 제공하는 사용자 영역과; 상기 사용자 영역과 커널 영역 사이에 위치해서 실시간 패킷을 수집 분석, 명령, 기록, 인터페이스하는 대몬 영역으로 구성되고, 상기 커널 영역은 모든 네트워크 패킷을 분석하여 패킷의 헤더 정보를 버퍼에 누적하여 기록하는 패킷 디코드 엔진과; 패킷 헤더 정보를 기준으로 하여 유해 트래픽 여부를 판단하는 다이내믹 필터, 소스 IP를 기준으로 등록되지 않은 내부 네트워크 대역일 경우 해당 패킷을 폐기하는 IP 스푸핑 필터, 데이터베이스화된 윔(WORM) 및 바이러스 패턴을 기준으로 패턴 매칭하여 차단하는 스태틱 필터를 구비하여 유해 트래픽으로 정의된 패킷을 검사하여 폐기하는 패턴 엔진과; 사용자에 의해 정의된 QoS 정책에 따라 대역폭 조절을 수행하는 QoS 엔진과; 시그너쳐 데이터 베이스에 등록된 ATTACK, DoS/DDoS, SCAN, MAC 기준 IP 스푸핑 감시하여 패킷의 헤더 정보를 감시하고, 유해 트래픽 여부를 상기 패턴 엔진에 통보하고, 상기 시그너쳐 데이터 베이스에 등록된 해제 시간을 기준으로 더 이상 공격이 없는 경우 해제 명령을 상기 패턴 엔진에 통보하는 시그너쳐 센서와; 상기 패턴 엔진의 차단 및 해제에 관한 정보를 기록하고, 통과하는 트래픽의 내부 IP, 목적지 IP 등을 기록하며, 현재 연결된 세션 정보를 기록하는 로그 데이터 베이스를 포함하는 네트워크 보안 장치를 제공한다.In order to achieve the above object, the present invention provides a network security device that blocks the spread of harmful traffic by an attack or virus between network segments and protects important traffic through bandwidth guarantee. The process to implement is divided into application area and kernel area, and the application area includes http process and telnet process, and user area that provides statistics and data for the user or administrator to access, manage, maintain and monitor. ; It is located between the user area and the kernel area, and consists of a daemon area for collecting, analyzing, commanding, recording, and interfacing real-time packets. A decode engine; Dynamic filter to determine whether there is harmful traffic based on packet header information, IP spoofing filter to discard the packet if not registered based on source IP, database based WORM and virus pattern A pattern engine for inspecting and discarding packets defined as harmful traffic, including a static filter for blocking by pattern matching; A QoS engine for performing bandwidth adjustment according to a QoS policy defined by a user; ATTACK, DoS / DDoS, SCAN, MAC standard IP spoofing registered in the signature database to monitor packet header information, notify the pattern engine of harmful traffic, and determine the release time registered in the signature database. A signature sensor for notifying the pattern engine of a release command when there is no more attack; It provides a network security device including a log database for recording information on the blocking and release of the pattern engine, the internal IP of the traffic passing through, the destination IP, and the like, and the currently connected session information.

이하에서는, 첨부 도면 도1 내지 도5를 참조하여 본 발명에 따른 네트워크 보안 기술을 양호한 실시예를 상세히 설명한다.DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, preferred embodiments of a network security technology according to the present invention will be described in detail with reference to the accompanying drawings.

도1은 종래 기술에 따른 외부 해커 침입 차단 시스템의 문제점을 나타낸 도면이다. 도1을 참조하면, 내부 네트워크를 보호하기 위하여 방화벽(10) 또는 IDS/IPS 시스템(20)을 설치한다 하더라도, 전술한 종래 기술은 접근 제어에 기반한 보안 기술이므로 위장 트래픽에 의한 공격 또는 내부자에 의한 공격에는 노출될 수밖에 없다. 이는 모바일 사용자가 증가하고 플래시 메모리, 메모리 스틱, 포터블 컴퓨터 등과 같은 이동성 매체(30)의 사용이 증가함에 따라서, 단 하나의 웜 바이러스 감염으로 백본 스위치(40)를 비롯한 내부 네트워크 세그먼트(50) 등 전체 네트워크를 마비시킬 수 있다.1 is a view showing a problem of the external hacker intrusion prevention system according to the prior art. Referring to FIG. 1, even if the firewall 10 or the IDS / IPS system 20 is installed to protect the internal network, the above-described conventional technology is a security technology based on access control. There is no choice but to be exposed to the attack. This is due to the increase in mobile users and the increasing use of removable media 30 such as flash memory, memory sticks, portable computers, etc., with only one worm virus infection, including the backbone switch 40 and the entire internal network segment 50, etc. Can paralyze the network.

따라서, 본 발명은 내부 네트워크가 이미 바이러스 또는 유해 트래픽에 감염되었다는 가정 하에 피해 확산의 최소화, 업무 연속성 보장, 문제 발생과 동시에 차단할 수 있는 수단을 제공한다.Accordingly, the present invention provides a means for minimizing the spread of damage, ensuring business continuity, and blocking problems at the same time, assuming that the internal network is already infected with a virus or harmful traffic.

본 발명에 따른 네트워크 보안 장치는 네트워크 장애 및 공격의 원인이 되는 패킷만을 선별적으로 차단하여 업무의 연속성을 보장하여, 상위의 백본 스위치 및 라우터, 서버 등의 장비를 보호한다. 더욱이, 본 발명에 따른 네트워크 보안 장치는 L2 - L7 기반의 유해 트래픽 및 바이러스를 차단하고 사용자의 맥 어드레스(MAC address) 기반의 원천적 차단 정책을 적용한다.The network security apparatus according to the present invention selectively blocks only packets that cause network failures and attacks, thereby ensuring continuity of work, and protects the upper backbone switches, routers, and servers. Moreover, the network security device according to the present invention blocks L2-L7 based harmful traffic and viruses and applies the original blocking policy based on the MAC address of the user.

예를 들어, 80 포트가 감염된 경우 본 발명에 따른 네트워크 보안 장치는 인터넷 익스플로러(Internet Explorer) 사용을 불가하게 하고, 80 포트로 들어오는 패킷을 차단한다. 반면에, 80 포트를 사용하지 않는 이메일, ERP 업무 등은 지속적으로 사용하도록 하여 업무의 연속성을 유지시킨다.For example, if port 80 is infected, the network security device according to the present invention disables the use of Internet Explorer, and blocks the packet entering port 80. On the other hand, e-mail and ERP tasks that do not use port 80 are continuously used to maintain business continuity.

도2는 본 발명에 따른 네트워크 보안 장치의 구성을 나타낸 도면이다. 도2를 참조하면, 본 발명에 따른 네트워크 보안 장치가 구현하는 프로세스는 애플리케이션(application) 영역(100)과 커널(kernel) 영역(200)으로 구분될 수 있으며, 애 플리케이션 영역은 다시 사용자(user) 영역(110)과 대몬(daemon) 영역(120)으로 구분될 수 있다.2 is a diagram showing the configuration of a network security device according to the present invention. Referring to FIG. 2, a process implemented by the network security apparatus according to the present invention may be divided into an application area 100 and a kernel area 200, and the application area is again a user. It may be divided into a region 110 and a daemon region 120.

또한, 커널 영역(200)은 하드웨어(250)를 포함한 모든 네트워크 패킷을 통제 및 관할한다. 본 발명에 따른 네트워크 장치는 구동 OS의 양호한 실시예로서 리눅스 시스템이 이용될 수 있으며, 사용자 영역(110)은 관리자 또는 사용자가 접근하여 관리 및 유지보수와 모니터할 수 있는 http 프로세스(111)와 텔넷(telnet) 프로세스(112)로 구분될 수 있으며, http 프로세스(111)는 서브게이트 모듈(113), QoS 모듈(114), 트래픽 모듈(115)로 구분될 수 있다.Kernel region 200 also controls and manages all network packets, including hardware 250. The network device according to the present invention may be a Linux system as a preferred embodiment of a running OS, and the user area 110 is an http process 111 and telnet that an administrator or user can access, manage, maintain and monitor. (telnet) process 112, and http process 111 may be divided into a subgate module 113, QoS module 114, traffic module 115.

본 발명에 따른 네트워크 보안 장치가 구현하는 프로세스의 대몬 영역(120)은 사용자(110)나 커널 사이(200)에 위치하며, 실시간 패킷(packet)을 수집하고 분석, 명령, 기록 및 인터페이스 하는 업무를 수행한다.The daemon area 120 of the process implemented by the network security device according to the present invention is located between the user 110 or the kernel 200, and collects, analyzes, commands, records, and interfaces real-time packets. To perform.

또한, 커널 영역(200)은 네트워크 랜 카드에서 받은 물리적 패킷 신호를 분석하여 대몬 영역(120)에서 분석하기 쉽도록 가공하여 패킷을 버퍼링하여 유해 트래픽 처리에 대한 폐기 결정권을 지니고 있다. 또한, 커널(200)은 최종까지 통과한 패킷에 대하여 등록된 QoS 정책을 적용하는 기능을 수행한다.In addition, the kernel region 200 analyzes the physical packet signal received from the network LAN card, processes the packet to be easily analyzed in the daemon region 120, and buffers the packet to have a decision to discard the harmful traffic. In addition, the kernel 200 performs a function of applying a registered QoS policy to the packet passed to the end.

도3은 본 발명에 따른 네트워크 보안 장치를 구성하는 커널의 구성을 나타낸 도면이다. 도3을 참조하면, 본 발명에 따른 패킷 디코드 엔진(packet decode engine; 211)은 네트워크 카드에서 들어오는 모든 패킷의 헤더 정보를 버퍼에 누적하여 기록한다. 한편, 유해 트래픽으로 정의된 모든 패킷은 패턴 엔진(pattern engine; 212)에서 검사되어지고 유해 트래픽으로 판정된 경우 곧바로 폐기된다.3 is a diagram showing the configuration of a kernel constituting the network security device according to the present invention. Referring to Fig. 3, a packet decode engine 211 according to the present invention accumulates and records header information of all packets coming from a network card in a buffer. On the other hand, all packets defined as harmful traffic are examined by the pattern engine 212 and immediately discarded when determined to be harmful traffic.

본 발명의 양호한 실시예로서, 본 발명에 따른 패턴 엔진(212)은 다이내믹 필터(dynamic filter), IP 스푸핑 필터(spoofing filter) 및 스태틱 필터(static filter) 등을 구비할 수 있으며, 각각의 기능은 다음과 같다. 즉, 다이내믹 필터는 패킷 헤더(packet header) 정보를 기준으로 하여 계속적으로 흐르는 유해 트래픽을 차단하는 기능을 수행하고, 이 때에 차단 기준은 시그너쳐 센서(121)에서 판정된 명령을 기반으로 차단한다.As a preferred embodiment of the present invention, the pattern engine 212 according to the present invention may include a dynamic filter, an IP spoofing filter, a static filter, and the like, and each function may be provided. As follows. That is, the dynamic filter performs a function of blocking harmful traffic continuously flowing based on packet header information, and at this time, the blocking criteria blocks based on the command determined by the signature sensor 121.

한편, IP 스푸핑 필터는 내부 네트워크(86)에서 들어오는 통로 C1 통과 패킷을 감시한다. 본 발명의 바람직한 실시예로서 소스 IP를 기준으로 등록되지 않은 내부 네트워크 대역일 경우 해당 패킷을 폐기한다. 이 때에, DHCP 프로토콜 운영 중인 경우에는 0.0.0.0 IP 는 통과시킬 수 있다.On the other hand, the IP spoofing filter monitors the incoming passage C1 passing packets from the internal network 86. As a preferred embodiment of the present invention, if the internal network band is not registered based on the source IP, the packet is discarded. At this time, 0.0.0.0 IP can be passed when DHCP protocol is in operation.

또한, 스태틱 필터(static filter)는 데이터베이스화 된 웜(WORM) 및 바이러스 패턴을 기준으로 상기 다이내믹 필터 스푸핑 필터를 통과한 패킷을 매칭하여 차단하는 필터이다. 예를 들어서, 트래픽 데이터 안에 숨겨진 해킹과 웜 바이러스의 패턴 매칭을 통해 차단할 수 있다.In addition, the static filter is a filter that matches and blocks packets passing through the dynamic filter spoofing filter based on a database-based worm and virus pattern. For example, it can be blocked by hacking hidden in traffic data and pattern matching of worm viruses.

다시 도3을 참조하면, QoS 엔진(213)은 사용자에 의해 정의된 QoS 클래스 정책에 따라 대역폭을 조절하는 기능을 수행한다. 또한, 도3에 도시된 네트캡(124) 모듈은 패킷 디코드 엔진(211)에서 분석되어진 패킷의 헤더 정보를 커널로부터 받아서 버퍼링하며, 버퍼링된 패킷을 시그너쳐 센서(121), QoS 로그 센서(122) 및 IP 어카운트 센서(123)에게 전달하는 역할을 수행한다.Referring back to FIG. 3, the QoS engine 213 adjusts bandwidth according to the QoS class policy defined by the user. In addition, the netcap 124 module illustrated in FIG. 3 receives and buffers header information of the packet analyzed by the packet decode engine 211 from the kernel, and buffers the buffered packet by the signature sensor 121 and the QoS log sensor 122. And deliver to the IP account sensor 123.

본 발명의 양호한 실시예로서, 시그너쳐 센서(121)는 계속적으로 흐르는 패 킷의 헤더 정보를 실시간으로 감시하여 유해 트래픽을 판정하고 차단 명령 및 해제 명령을 패턴 엔진(212)에게 전송하고, 해당 패킷 정보를 로그 데이터베이스(129)에 기록한다.In a preferred embodiment of the present invention, the signature sensor 121 monitors header information of a continuously flowing packet in real time to determine harmful traffic, and transmits a block command and a release command to the pattern engine 212, and the corresponding packet information. Is recorded in the log database 129.

본 발명의 양호한 실시에로서, 시그너쳐 데이터베이스에 등록된 Attacks, DoS/DDoS, SCAN, MAC 기준 IP 스푸핑 감시하며 패턴 엔진(212)에게 차단 명령을 내릴 수 있다. 본 발명의 또 다른 양호한 실시예로서, 시그너쳐 데이터베이스에 등록된 해제 시간을 기준으로 더 이상 공격이 없을 경우 해제 명령을 패턴 엔진(212)에게 보낸다.In a preferred embodiment of the present invention, Attacks, DoS / DDoS, SCAN, MAC reference IP spoofing registered in the signature database can be monitored and a block command can be issued to the pattern engine 212. In another preferred embodiment of the present invention, the release command is sent to the pattern engine 212 when there are no more attacks based on the release time registered in the signature database.

한편, 차단 및 해제에 관한 모든 정보는 로그 데이터베이스에 기록된다. 본 발명의 양호한 실시예로서, 통과되는 모든 트래픽에 대한 내부 IP, 목적지 IP 기준으로 로그 데이터베이스에 기록할 수 있다. 본 발명의 또 다른 실시예로서, 현재 연결되어 있는 모든 세션 정보를 로그 데이터베이스에 기록할 수 있다.On the other hand, all information about blocking and release is recorded in the log database. As a preferred embodiment of the present invention, it is possible to record in the log database on the basis of the internal IP and the destination IP for all traffic passing through. As still another embodiment of the present invention, all currently connected session information may be recorded in a log database.

다시 도3을 참조하여, 본 발명에 따른 네트워크 보호 장치에서의 패킷 흐름을 설명하기로 한다. 먼저 내부 패킷 흐름(C1)을 살펴보면 다음과 같다. 사용자 영역에서 패킷 발생되면 내부 NIC(86)를 통해서 C1 통로를 거쳐, 패킷 디코드 엔진(211)이 유입된 패킷을 쉽고 빠르게 분석할 수 있도록 분해해서 커널 버터에 누적한 후 통로 C2로 내보낸다. 그리고 나면, 다음 단계인 패턴 엔진(212)이 패킷의 운명을 결정하게 되고, 시그너쳐 필터, 아이피 스푸핑 필터, 스태틱 필터 등 각각의 필터에 의해 차단 또는 통과된다.3, packet flow in the network protection device according to the present invention will be described. First, the internal packet flow C1 is as follows. When the packet is generated in the user area, the packet decode engine 211 is decomposed and accumulated in the kernel butter so that the packet can be easily and quickly analyzed through the C1 path through the internal NIC 86 and then exported to the path C2. Then, the next step, the pattern engine 212 determines the fate of the packet, and is blocked or passed by each filter such as the signature filter, the IP spoofing filter, the static filter, and the like.

본 발명의 양호한 실시예에 따라, 차단된 패킷은 더 이상의 필터 없이 바로 폐기되고, 통과된 패킷은 통로 C3을 지나 QoS 엔진(213)으로 전달되어 큐잉(queuing)되어지고, 마지막에는 통로 C4를 지나 외부 NIC(262)에 전달된다.According to a preferred embodiment of the present invention, the blocked packet is immediately discarded without further filters, and the passed packet is passed through passage C3 to the QoS engine 213 for queuing, and finally through passage C4. It is delivered to the external NIC 262.

한편, 외부 네크워크의 패킷 흐름의 양호한 실시예는 다음과 같다. 즉, 외부 NIC(87)에서 패킷 발생되면, 통로 C5를 거쳐 패킷 디코드 엔진(211)이 유입된 패킷을 쉽고 빠르게 분석하도록 분해하여 커널 버퍼에 누적한 후 통로 C6으로 보낸다.On the other hand, a preferred embodiment of the packet flow of the external network is as follows. That is, when a packet is generated in the external NIC 87, the packet decode engine 211 decomposes the incoming packet to be easily and quickly analyzed through the passage C5, accumulates it in the kernel buffer, and sends the packet to the passage C6.

다음 단계인 패턴 엔진(212)이 패킷 운명을 결정하게 되는데, 여기서는 시그너쳐 필터, 아이피 스푸핑 필터, 스태틱 필터 등 각각의 필터에 의해 차단되거나 통과된다. 이어서, 차단된 패킷은 더 이상의 필터링 없이 곧바로 폐기되며, 통과된 패킷은 통로 C7을 지나서 QoS 엔진(213)으로 전달되어 큐잉(queuing)되어지고, 마지막으로 통로 C8을 지나 내부 NIC(261)에 전달된다. The next step, the pattern engine 212, determines the packet fate, which is blocked or passed by each filter, such as the signature filter, the IP spoofing filter, the static filter, and the like. The blocked packet is then discarded immediately without further filtering, and the passed packet is passed through the passage C7 to the QoS engine 213 for queuing, and finally through the passage C8 to the internal NIC 261. do.

도4는 본 발명에 따른 네트워크 보안장치를 구성하는 패턴 엔진의 일처리 흐름을 나타낸 도면이다. 도4를 참조하면, 패킷이 유입되면 형태에 따라 프로토콜(protocol), 출발지 MAC, 목적지 MAC, 출발지 IP, 목적지 IP, TCP 또는 UDP 소켓의 경우 출발지 PORT 및 목적지 PORT, 패킷 길이에 대한 정보를 메모리에 적재한다(단계 S410).4 is a diagram illustrating a work flow of a pattern engine constituting the network security apparatus according to the present invention. Referring to FIG. 4, when a packet is introduced, information about a source port, a destination port, and a packet length in the case of a protocol, a source MAC, a destination MAC, a source IP, a destination IP, a TCP, or a UDP socket may be stored in a memory. It loads (step S410).

이어서, 본 발명에 따른 패턴 엔진은 폴리시(policy)에 등록된 패턴 자료를 참조하여 패킷의 무결점 오류를 검증한다. 본 발명의 양호한 실시예로서, 무결점 오류 검증 단계(단계 S411)는 CRC 오류 검사, LAND ATTACK, 브로드캐스트 체크, 소스 아이피 범위 오류 검사 등을 포함할 수 있다. Subsequently, the pattern engine according to the present invention refers to the pattern data registered in the policy and verifies the defect of the packet. As a preferred embodiment of the present invention, the flawless error verification step (step S411) may include CRC error check, LAND ATTACK, broadcast check, source IP range error check, and the like.

여기서, 오류 검사 단계(단계 S411)에서 해당되는 패킷은 폐기된다. 한편, 시그너쳐 센서에서 전달받은 다양한 형태의 패킷 정보를 기준으로 각각의 패킷에 대입하여 시그너쳐 필터 매칭 여부를 검사하며(단계 S412), 일치하는 경우 해당 패킷은 폐기된다.Here, the corresponding packet is discarded in the error checking step (step S411). On the other hand, by checking the signature filter match by inserting each packet on the basis of various types of packet information received from the signature sensor (step S412), if the match, the packet is discarded.

이어서, 패킷의 이동 방향을 검사하게 되는데, 패킷의 랜 인터페이스 태그(LAN interface TAG)를 검사해서, 내부(사용자) 네트워크에서 올라오는 패킷의 경우는 IP 대역의 검사 단계를 거치고, 외부에서 내부로 유입되는 패킷의 경우는 단계 S415로 이동한다.Subsequently, the direction of movement of the packet is examined, and the LAN interface tag of the packet is examined, and the packet coming from the internal (user) network goes through the inspection of the IP band and flows in from the outside. In the case of a packet, the process moves to step S415.

전술한 단계 S413에서 내부에서 들어오는 패킷으로 판명된 경우, 출발지 IP를 기준으로 해서, 내부 IP 밴드 데이터베이스에 등록된 자료를 참조하여 검사하고, 출발지 IP가 등록된 IP인 경우에는 다음 검사를 진행하고, 내부 IP가 아닌 경우에는 바로 폐기시킨다(단계 S414). 이어서, L7 기반의 정적 유해 트래픽을 검사하게 되는데(단계 S415), 해당 패킷은 즉시 폐기된다. When it is determined that the packet is received from the inside in step S413 described above, based on the source IP, the packet is examined by referring to the data registered in the internal IP band database, and when the source IP is the registered IP, the next test is performed. If it is not an internal IP, it is immediately discarded (step S414). Then, the L7 based static harmful traffic is checked (step S415), and the packet is discarded immediately.

스태틱 필터 패턴은 출발지 포트, 목적지 포트, 패킷이 담고 있는 데이터 영역의 문자열 조합으로 검사되어질 수 있다. 본 발명의 양호한 실시예로서, 고속 검사 기법을 적용한 원패스 스캔(one pass scan)이라는 자료 구조 형태를 이용한 알고리즘이 적용될 수 있다.The static filter pattern may be examined by a combination of a source port, a destination port, and a string of data areas containing a packet. As a preferred embodiment of the present invention, an algorithm using a data structure form called a one pass scan using a fast inspection technique may be applied.

전술한 단계 S410 내지 단계 S415의 검사 항목을 모두 통과한 패킷에 대해서는 정상 패킷의 정보를 임시 메모리 데이터베이스 버퍼에 기록하고(단계 S416), 해당 패킷은 다음 모듈에 인계된다.About the packet which passed all the inspection items of step S410-step S415 mentioned above, the information of a normal packet is recorded in the temporary memory database buffer (step S416), and this packet is handed over to a next module.

본 발명의 양호한 실시예로서, 폐기(drop)하도록 처분된 패킷은 차단된 패킷 정보를 임시 메모리 데이터베이스 버터에 기록한 후 해당 패킷은 폐기되어질 수 있다. In a preferred embodiment of the present invention, a packet discarded to drop writes blocked packet information to a temporary memory database butter and then the packet can be discarded.

도5는 본 발명에 따른 네트워크 보안 장치를 구성하는 시그너쳐 센서의 일처리 흐름을 나타낸 도면이다. 도5를 참조하면, 단위 시간(1초) 당 분석 가능한 패킷을 네트 캡(124)으로부터 블록하면서 버퍼링한다(단계 S521). 이어서, 등록된 시그너쳐 패턴(signature pattern)을 모두 대입하면서 아래와 같이 반복 실행한다. 5 is a flowchart illustrating a work flow of the signature sensor constituting the network security device according to the present invention. Referring to Fig. 5, packets that can be analyzed per unit time (1 second) are buffered while being blocked from the net cap 124 (step S521). Subsequently, the procedure is repeated as follows while all the registered signature patterns are substituted.

우선, 등록된 패턴과 일치하는 패킷 정보가 있는지 확인하고(단계 S522), 출발지 IP를 기준으로 프로토콜(TCP, UDP, ICAM) 유형별 해당 시그너쳐 패킷이 들어 있는지를 검사하고, 해당 패킷이 있을 경우 단계 S523으로 진행하고, 해당 패킷이 없는 경우 다음 시그너쳐를 검사한다.First, check whether there is packet information that matches the registered pattern (step S522), and check whether there is a corresponding signature packet for each protocol (TCP, UDP, ICAM) type based on the source IP, and if there is a corresponding packet, step S523 If the packet does not exist, the next signature is checked.

본 발명의 양호한 실시예로서, 이미 같은 시그너쳐 패턴으로 탐지 및 차단되고 있는 동일한 시그너쳐가 이미 존재하고 있다면 단계 S522로 진행하고, 존재하지 않는다면 단계 S524로 진행한다.In a preferred embodiment of the present invention, if there is already the same signature that is already being detected and blocked with the same signature pattern, the flow proceeds to step S522, and if not, the flow goes to step S524.

이어서, 시그너쳐에 탐지된 모든 패킷을 데이터베이스에 기록한다(단계 S524). 환경 설정 변수 중에서 패킷 탐지가 아닌 차단 모드인 경우에는 단계 S526(차단 명령)을 실행하고, 탐지 모드인 경우에는 단계 S522로 이동한다. 한편, 단계 S526에서 본 발명의 양호한 실시예로서 차단할 최적의 명령을 패턴 엔진(212)에 전송한다(단계 S526). 차단된 모든 패턴 정보를 대입하게 되는데, 현재 차단되거나 탐지되고 있는 모든 시그너쳐의 해저 시점을 판단하고, 현재 차단된 패턴 정 보를 읽어 온다(단계 S527).Then, all packets detected by the signature are recorded in the database (step S524). In the blocking mode other than the packet detection among the environment setting parameters, step S526 (blocking instruction) is executed, and in the detection mode, the flow moves to step S522. On the other hand, in step S526, the best command to be blocked as the preferred embodiment of the present invention is transmitted to the pattern engine 212 (step S526). Substituting all blocked pattern information, the bottom point of all signatures that are currently blocked or detected is determined, and the currently blocked pattern information is read (step S527).

한편, 현재 차단된 패킷 카운트와 해제 시간을 기준으로 판단하여 차단된 패킷 룰 셋을 해제할 것인가를 판단하여(단계 S528), 해제할 패킷 룰 셋이라면 단계 S529로 이동하고 다음 패턴 정보를 독촉한다.On the other hand, it is determined based on the current blocked packet count and release time to determine whether to release the blocked packet rule set (step S528). If the packet rule set to be released is moved to step S529, the next pattern information is prompted.

본 발명의 양호한 실시예로서, 해제 시점에서 총 차단되거나 탐지된 패킷 카운트와 차단된 시간 정보를 기록할 수 있다(단계 S529). 이어서, 차단된 룻 셋의 해제 정보를 패턴 엔진(212)에 명령하고, 분석 작업을 계속할지 여부를 판단하여 시그너쳐 패던 분석 작업 시에 필요하면 단계 S521로 되돌아가 시그너쳐 분석을 계속한다. As a preferred embodiment of the present invention, the total blocked or detected packet count and blocked time information can be recorded at the release time (step S529). Subsequently, the release engine of the blocked root set is instructed to the pattern engine 212, and it is determined whether or not to continue the analysis operation. If necessary during the signature padding analysis operation, the process returns to step S521 to continue the signature analysis.

도5a 내지 도5f는 본 발명에 따른 네트워크 보안 장치가 제공하는 시스템 화면을 나타낸 도면이다. 도5a를 참조하면, 본 발명에 따른 네트워크 보안 장치의 사용 현황을 나타낸 도면으로서, 서비스 모듈 상태 유해 트래픽 차단정보, 시스템 사용량 등을 제공한다. 5A to 5F are diagrams illustrating a system screen provided by a network security device according to the present invention. Referring to FIG. 5A, it is a diagram showing the usage status of the network security apparatus according to the present invention, and provides the service module state harmful traffic blocking information, system usage, and the like.

도5b는 본 발명의 양호한 실시예로서, 유해 트래픽 정책 리스트를 나타내고 있다. 본 발명은 유해 트래픽 차단 패턴을 제공하며 Layer 2-7 기반으로 Attack 및 바이러스를 완벽히 차단할 수 있다. 도5c는 본 발명의 바람직한 실시예로서 유해 트래픽 실시간 차단 내역을 나타낸 도면이다. 본 발명은 실시간 주요 패킷 분석을 통하여 자동 탐지, 차단 및 해제를 반복적으로 수행하며, MAC 및 IP 주소 기반으로 서비스 포트 및 프로토콜별로 세부 차단을 적용할 수 있다. 도5d를 참조하면, 본 발명에 따른 네트워크 보안 장치는 일일, 주간, 월간, 특정 시간대별 유해 트래픽 차단 로그를 제공할 수 있으며, 위험도 등을 고려하여 해당 서비스 포트에 대한 보안 정책을 설정한다.Fig. 5B shows a harmful traffic policy list as a preferred embodiment of the present invention. The present invention provides a harmful traffic blocking pattern and can completely block attacks and viruses based on Layer 2-7. Figure 5c is a diagram showing the harmful traffic real-time blocking history as a preferred embodiment of the present invention. The present invention repeatedly performs automatic detection, blocking, and releasing through real-time major packet analysis, and can apply detailed blocking for each service port and protocol based on MAC and IP addresses. Referring to FIG. 5D, the network security apparatus according to the present invention may provide a harmful traffic blocking log for daily, weekly, monthly, and specific time zones, and sets a security policy for a corresponding service port in consideration of risk.

도5e는 본 발명의 양호한 실시예로서, QoS 실시간 트래픽 모니터링을 통해 네트워크 자원 현황을 제공한다. 도5f를 참조하면, 본 발명은 QoS 트래픽 분석을 통해 네트워크 능력을 향상시킨다. 도5g는 본 발명에 따른 보안 장치의 QoS 정책 수립을 나타내는 도면으로, 클래스별 컨텐츠 서비스를 정의하고 시간별 스케쥴링을 제공한다. 5E is a preferred embodiment of the present invention, which provides network resource status through QoS real-time traffic monitoring. Referring to FIG. 5F, the present invention improves network capability through QoS traffic analysis. 5G is a diagram illustrating QoS policy establishment of a security device according to the present invention, which defines a class-specific content service and provides time-based scheduling.

전술한 내용은 후술할 발명의 특허 청구 범위를 보다 잘 이해할 수 있도록 본 발명의 특징과 기술적 장점을 다소 폭넓게 개설하였다. 본 발명의 특허 청구 범위를 구성하는 부가적인 특징과 장점들은 이하에서 상술될 것이다. 개시된 본 발명의 개념과 특정 실시예는 본 발명과 유사 목적을 수행하기 위한 다른 구조의 설계나 수정의 기본으로 즉시 사용될 수 있음이 당해 기술 분야의 숙련된 사람들에 의해 인식되어야 한다.The foregoing has outlined rather broadly the features and technical advantages of the present invention to better understand the claims of the invention which will be described later. Additional features and advantages that make up the claims of the present invention will be described below. It should be appreciated by those skilled in the art that the conception and specific embodiments of the invention disclosed can be readily used as a basis for designing or modifying other structures for carrying out similar purposes to the invention.

또한, 본 발명에서 개시된 발명 개념과 실시예가 본 발명의 동일 목적을 수행하기 위하여 다른 구조로 수정하거나 설계하기 위한 기초로서 당해 기술 분야의 숙련된 사람들에 의해 사용되어질 수 있을 것이다. 또한, 당해 기술 분야의 숙련된 사람에 의한 그와 같은 수정 또는 변경된 등가 구조는 특허 청구 범위에서 기술한 발명의 사상이나 범위를 벗어나지 않는 한도 내에서 다양한 변화, 치환 및 변경이 가능하다.In addition, the inventive concepts and embodiments disclosed herein may be used by those skilled in the art as a basis for modifying or designing other structures for carrying out the same purposes of the present invention. In addition, such modifications or altered equivalent structures by those skilled in the art may be variously changed, substituted, and changed without departing from the spirit or scope of the invention described in the claims.

이상과 같이, 본 발명의 L2-L7 기반의 유해 트래픽을 원천적으로 차단하고, 사용자 맥 어드레스 기반의 근본적 차단 정책을 제공함으로써, 서브 네트워크간의 유해 트래픽 확산을 차단하고, 공격 패턴 인식을 통한 공격에 대응하는 것이 가능하게 된다. 더욱이, 본 발명에 따른 시그너쳐 필터를 최상위에 배치함으로써 내부에서 올라오는 공격성 트래픽을 효율적으로 차단할 수 있으며, 정상적 트래픽은 이상적으로 통과시킬 수 있다. As described above, by blocking the L2-L7-based harmful traffic based on the present invention, and by providing a fundamental blocking policy based on the user MAC address, it prevents the spread of harmful traffic between sub-networks, and responds to attacks by attack pattern recognition It becomes possible. Moreover, by placing the signature filter according to the present invention at the top, it is possible to effectively block the aggressive traffic coming from inside, and the normal traffic can be ideally passed.

또한, 본 발명은 실시간 QoS 모니터를 통해 트래픽 현황을 파악하고 제어함으로써 특정 사용자 및 애플리케이션에 전용 대역폭을 할당하고, 특정 트래픽의 대역폭 독점을 방지할 수 있다.In addition, the present invention can identify and control the traffic state through a real-time QoS monitor to allocate dedicated bandwidth to specific users and applications, and prevent bandwidth monopoly of specific traffic.

Claims (9)

네트워크 세그먼트 사이에 공격(attack) 또는 바이러스에 의한 유해 트래픽의 확산을 차단하고 밴드 폭 보장을 통해 중요 트래픽을 보호하는 네트워크 보안 장치에 있어서, 상기 네트워크 보안 장치가 구현하는 프로세스는 애플리케이션 영역과 커널 영역으로 구분되고, 상기 애플리케이션 영역은 In a network security device that blocks the spread of harmful traffic by an attack or a virus between network segments and protects critical traffic by guaranteeing bandwidth, the process implemented by the network security device is applied to an application area and a kernel area. And the application area is http 프로세스와 telnet 프로세스를 포함하고, 사용자 또는 관리자가 접근하여 관리, 유지 보수 및 모니터 할 수 있도록 통계 및 자료를 제공하는 사용자 영역과;a user area including an http process and a telnet process and providing statistics and data for the user or administrator to access, manage, maintain and monitor; 상기 사용자 영역과 커널 영역 사이에 위치해서 실시간 패킷을 수집 분석, 명령, 기록, 인터페이스하는 대몬 영역Daemon domain located between the user domain and kernel domain to collect, analyze, command, record, and interface real-time packets 으로 구성되고, 상기 커널 영역은The kernel region is composed of 모든 네트워크 패킷을 분석하여 패킷의 헤더 정보를 버퍼에 누적하여 기록하는 패킷 디코드 엔진과;A packet decode engine that analyzes all network packets and accumulates the header information of the packets in a buffer; 패킷 헤더 정보를 기준으로 하여 유해 트래픽 여부를 판단하는 다이내믹 필터, 소스 IP를 기준으로 등록되지 않은 내부 네트워크 대역일 경우 해당 패킷을 폐기하는 IP 스푸핑 필터, 데이터베이스화된 윔(WORM) 및 바이러스 패턴을 기준으로 패턴 매칭하여 차단하는 스태틱 필터를 구비하여 유해 트래픽으로 정의된 패킷을 검사하여 폐기하는 패턴 엔진과;Dynamic filter to determine whether there is harmful traffic based on packet header information, IP spoofing filter to discard the packet if not registered based on source IP, database based WORM and virus pattern A pattern engine for inspecting and discarding packets defined as harmful traffic, including a static filter for blocking by pattern matching; 사용자에 의해 정의된 QoS 정책에 따라 대역폭 조절을 수행하는 QoS 엔진과;A QoS engine for performing bandwidth adjustment according to a QoS policy defined by a user; 시그너쳐 데이터 베이스에 등록된 ATTACK, DoS/DDoS, SCAN, MAC 기준 IP 스푸핑 감시하여 패킷의 헤더 정보를 감시하고, 유해 트래픽 여부를 상기 패턴 엔진에 통보하고, 상기 시그너쳐 데이터 베이스에 등록된 해제 시간을 기준으로 더 이상 공격이 없는 경우 해제 명령을 상기 패턴 엔진에 통보하는 시그너쳐 센서와;ATTACK, DoS / DDoS, SCAN, MAC standard IP spoofing registered in the signature database to monitor packet header information, notify the pattern engine of harmful traffic, and determine the release time registered in the signature database. A signature sensor for notifying the pattern engine of a release command when there is no more attack; 상기 패턴 엔진의 차단 및 해제에 관한 정보를 기록하고, 통과하는 트래픽의 내부 IP, 목적지 IP 등을 기록하며, 현재 연결된 세션 정보를 기록하는 로그 데이터 베이스Log database that records information about blocking and releasing of the pattern engine, records internal IP, destination IP, etc. of traffic passing through, and records currently connected session information 를 포함하는 네트워크 보안 장치. Network security device comprising a. 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 네트워크 노드에 유입되는 패킷을 유해성 트래픽인지 여부를 판단하는 방법에 있어서,In the method for determining whether the packet flowing into the network node is harmful traffic, (a) 유입되는 패킷의 프로토콜, 출발지 MAC, 목적지 IP, TCP 또는 UDP 소켓의 경우 출발지 PORT 및 목적지, 패킷 길이 정보를 메모리에 적재하는 단계;(a) loading source PORT and destination and packet length information into a memory in the case of a protocol, source MAC, destination IP, TCP or UDP socket of an incoming packet; (b) CRC 오류 검사, LAND ATTACK, Broadcast 공격, 소스 IP 범위 오류 검사를 수행하는 단계;(b) performing CRC error checking, LAND ATTACK, Broadcast attack, source IP range error checking; (c) 시그너쳐 센서로부터 전달받은 패킷 정보를 기준으로 각각의 패킷에 대입하여 패턴 일치 여부를 검사하는 단계;(c) checking whether the pattern matches by substituting each packet based on the packet information received from the signature sensor; (d) 패킷의 LAN 인터페이스 태그를 검사하여 패킷 이동 방향을 검사하는 단계;(d) checking a packet moving direction by examining a LAN interface tag of the packet; (e) 상기 단계 (d)에서 내부에서 올라오는 패킷의 경우 내부 IP 밴드 데이터베이스에 등록된 자료를 기준으로 출발지 IP가 등록 IP 인지 여부를 판단하는 단계; (e) determining whether the source IP is a registered IP based on the data registered in the internal IP band database in the case of the packet coming up from the inside (d); (f)출발지 포트, 목적지 포트 및 패킷이 담고 있는 데이터 영역의 문자열 조합을 검사하여 L7 기반 패킷 검사하는 단계; 및(f) checking the combination of the source port, the destination port, and the character string of the data area containing the packet to check the L7 based packet; And (g) 상기 통과된 정상 패킷 및 차단 패킷의 정보를 임시 메모리 데이터 베이스 버퍼에 저장하는 단계(g) storing the information of the passed normal packet and the blocked packet in a temporary memory database buffer 를 포함하는 패킷의 패턴 분석 방법을 포함하는 유해 트래픽 차단 방법. Harmful traffic blocking method comprising a pattern analysis method of a packet comprising a. 삭제delete 네트워크 노드에 유입되는 패킷을 유해성 트래픽인지 여부를 판단하는 방법에 있어서,In the method for determining whether the packet flowing into the network node is harmful traffic, (a) 단위 시간당 분석 가능한 패킷을 블록하면서 버퍼링하는 단계;(a) buffering while analyzing packets that can be analyzed per unit time; (b) 프로토콜 유형별로 해당 시그너쳐 패킷이 등록된 패턴과 일치하는 패킷 정보가 있는지 검사하는 단계;(b) checking whether there is packet information corresponding to a pattern in which the signature packet is registered for each protocol type; (c) 패턴 엔진에 등록된 시그너쳐인지 판단하는 단계;(c) determining whether a signature is registered in the pattern engine; (d) 시그너쳐에 탐지된 모든 패킷을 데이터베이스에 기록하는 단계;(d) recording all packets detected in the signature into a database; (e) 패킷 차단 모드인 경우 패턴 엔진에 전송하는 단계; 및(e) transmitting to the pattern engine in the packet blocking mode; And (f) 패턴 엔진에 등록되어 차단되어진 패킷 데이터를 독출하고 해제 여부를 판단하는 단계;(f) reading the packet data registered and blocked by the pattern engine and determining whether to release the packet data; 를 포함하는 유해 트래픽 차단 방법.Harmful traffic blocking method comprising a.
KR1020040065652A 2004-08-20 2004-08-20 System and method of protecting network KR100614775B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040065652A KR100614775B1 (en) 2004-08-20 2004-08-20 System and method of protecting network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040065652A KR100614775B1 (en) 2004-08-20 2004-08-20 System and method of protecting network

Publications (2)

Publication Number Publication Date
KR20060017109A KR20060017109A (en) 2006-02-23
KR100614775B1 true KR100614775B1 (en) 2006-08-22

Family

ID=37125234

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040065652A KR100614775B1 (en) 2004-08-20 2004-08-20 System and method of protecting network

Country Status (1)

Country Link
KR (1) KR100614775B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014025225A1 (en) * 2012-08-10 2014-02-13 주식회사 아이디어웨어 Apparatus for detecting application packet data pattern

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100767803B1 (en) * 2006-03-27 2007-10-18 전덕조 Method and apparatus for detecting network attack based on network abnormal behavior
KR100841737B1 (en) * 2006-03-27 2008-06-27 주식회사 아라기술 Method and system for managing transmission of internet contents
KR100809416B1 (en) * 2006-07-28 2008-03-05 한국전자통신연구원 Appatus and method of automatically generating signatures at network security systems
KR100851509B1 (en) * 2007-01-24 2008-08-11 (주) 시스메이트 Real time packet classification apparatus and method through scattered signature matching
KR100863313B1 (en) * 2007-02-09 2008-10-15 주식회사 코어세스 Apparatus and Method for automatically blocking spoofing by address resolution protocol
KR100770357B1 (en) * 2007-06-04 2007-10-25 펌킨네트웍스코리아 (주) A high performance intrusion prevention system of reducing the number of signature matching using signature hashing and the method thereof
KR101289956B1 (en) * 2007-09-12 2013-07-26 주식회사 엘지씨엔에스 Apparatus and method of stabilizing service of network security system
KR100870871B1 (en) * 2008-05-29 2008-11-27 (주)한드림넷 Access level network securing device and securing system thereof
US9032478B2 (en) 2009-01-29 2015-05-12 Hewlett-Packard Development Company, L.P. Managing security in a network
KR101042291B1 (en) * 2009-11-04 2011-06-17 주식회사 컴트루테크놀로지 System and method for detecting and blocking to distributed denial of service attack
KR101116745B1 (en) * 2010-12-06 2012-02-22 플러스기술주식회사 A blocking method of connectionless traffic
KR101359692B1 (en) * 2013-01-09 2014-02-07 주식회사 유아이넷 Signature search system using memory space storaging partial information on substring of input signature
KR101504936B1 (en) * 2013-12-30 2015-03-23 주식회사 시큐아이 Proxy device and packet transmission method thereof
KR101835315B1 (en) 2016-03-07 2018-03-08 주식회사 윈스 IPS Switch System and Processing Method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014025225A1 (en) * 2012-08-10 2014-02-13 주식회사 아이디어웨어 Apparatus for detecting application packet data pattern

Also Published As

Publication number Publication date
KR20060017109A (en) 2006-02-23

Similar Documents

Publication Publication Date Title
US9917857B2 (en) Logging attack context data
KR100614775B1 (en) System and method of protecting network
Artail et al. A hybrid honeypot framework for improving intrusion detection systems in protecting organizational networks
US7757283B2 (en) System and method for detecting abnormal traffic based on early notification
US7561515B2 (en) Role-based network traffic-flow rate control
US7596807B2 (en) Method and system for reducing scope of self-propagating attack code in network
US9060020B2 (en) Adjusting DDoS protection based on traffic type
Giroire et al. Exploiting temporal persistence to detect covert botnet channels
US9491185B2 (en) Proactive containment of network security attacks
US20050216956A1 (en) Method and system for authentication event security policy generation
US20050071650A1 (en) Method and apparatus for security engine management in network nodes
US10469528B2 (en) Algorithmically detecting malicious packets in DDoS attacks
Mcdaniel et al. Enterprise Security: A Community of Interest Based Approach.
KR20100132079A (en) Active network defense system and method
Scarfone et al. Intrusion detection and prevention systems
Tariq et al. A comprehensive categorization of DDoS attack and DDoS defense techniques
CN116055163A (en) Login information acquisition and blocking method based on eBPF XDP
Schehlmann et al. COFFEE: a Concept based on OpenFlow to Filter and Erase Events of botnet activity at high-speed nodes
KR100769221B1 (en) Confrontation system preparing for zeroday attack and confrontation method thereof
Carlinet et al. Analysis of computer infection risk factors based on customer network usage
KR20020072618A (en) Network based intrusion detection system
US11330011B2 (en) Avoidance of over-mitigation during automated DDOS filtering
Liljenstam et al. Comparing passive and active worm defenses
Xia et al. Effective worm detection for various scan techniques
Rodrigues et al. Design and implementation of a low-cost low interaction IDS/IPS system using virtual honeypot approach

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120810

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20130814

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150810

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20161110

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20170810

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20190812

Year of fee payment: 14