KR100656483B1 - IPv4-IPv6 네트워크에서의 보안 장치 및 방법 - Google Patents

IPv4-IPv6 네트워크에서의 보안 장치 및 방법 Download PDF

Info

Publication number
KR100656483B1
KR100656483B1 KR1020060012742A KR20060012742A KR100656483B1 KR 100656483 B1 KR100656483 B1 KR 100656483B1 KR 1020060012742 A KR1020060012742 A KR 1020060012742A KR 20060012742 A KR20060012742 A KR 20060012742A KR 100656483 B1 KR100656483 B1 KR 100656483B1
Authority
KR
South Korea
Prior art keywords
packet
session
input
ipv4
pattern
Prior art date
Application number
KR1020060012742A
Other languages
English (en)
Inventor
김상호
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020060012742A priority Critical patent/KR100656483B1/ko
Application granted granted Critical
Publication of KR100656483B1 publication Critical patent/KR100656483B1/ko

Links

Images

Classifications

    • EFIXED CONSTRUCTIONS
    • E03WATER SUPPLY; SEWERAGE
    • E03BINSTALLATIONS OR METHODS FOR OBTAINING, COLLECTING, OR DISTRIBUTING WATER
    • E03B9/00Methods or installations for drawing-off water
    • E03B9/02Hydrants; Arrangements of valves therein; Keys for hydrants
    • E03B9/08Underground hydrants
    • EFIXED CONSTRUCTIONS
    • E03WATER SUPPLY; SEWERAGE
    • E03BINSTALLATIONS OR METHODS FOR OBTAINING, COLLECTING, OR DISTRIBUTING WATER
    • E03B7/00Water main or service pipe systems
    • E03B7/07Arrangement of devices, e.g. filters, flow controls, measuring devices, siphons, valves, in the pipe systems
    • E03B7/072Arrangement of flowmeters
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F16ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
    • F16KVALVES; TAPS; COCKS; ACTUATING-FLOATS; DEVICES FOR VENTING OR AERATING
    • F16K21/00Fluid-delivery valves, e.g. self-closing valves

Abstract

본 발명은 IPv4-IPv6 네트워크에서의 보안 장치 및 방법에 관한 것으로, 하드웨어를 사용하여 입력되는 패킷을 해당 패킷의 버전별로 분류하고, 해당 패킷이 유효한 세션을 통해 입력된 패킷인지를 검사한 후, 유효한 세션을 통해 입력된 패킷에 대해서만 패턴 검사를 수행함으로써 IPv4-IPv6 네트워크에서의 보안을 위한 침입 탐지에 소요되는 시간을 감소시킬 수 있다.

Description

IPv4-IPv6 네트워크에서의 보안 장치 및 방법{APPARATUS AND METHOD OF SECURITY ON IPv4-IPv6 NETWORK}
도 1은 보안 장치를 포함하는 네트워크의 구성도.
도 2는 IPv4(Internet Protocol version 4)-IPv6(IP version 6) 네트워크의 구성도.
도 3은 IPv4 TCP(Transmission Control Protocol)-IP 패킷의 헤더 구조를 도시한 도면이고, 도 4는 IPv6 TCP/IP 패킷의 헤더 구조를 도시한 도면.
도 5는 본 발명에 따른 IPv4-IPv6 네트워크에서의 보안 장치를 포함하는 라우터에서의 패킷 입출력 관계를 도시하는 도면.
도 6은 본 발명에 따른 IPv4-IPv6 네트워크에서의 보안 장치의 블록 구성도.
본 발명은 IPv4(Internet Protocol version 4)-IPv6(IP version 6) 네트워크에서의 보안 장치 및 방법에 관한 것이다.
보안은 오늘날의 네트워크에서 아주 중요하게 다루어지고 있는 사항 중의 하나이며, 보안의 중요성은 점점 높아지고 있다. 그 결과 네트워크의 보안을 위한 여러 가지 장치들이 개발 및 사용되고 있다. 네트워크의 보안을 위한 장치들의 대표적인 예로, 방화벽, 침입 탐지 시스템(Intrusion Detection System; IDS) 및 침입 방지 시스템(Intrusion Prevention System; IPS)을 들 수 있다.
방화벽은 모든 보안 시스템의 기본과 같은 장치이다. 방화벽은 외부 네트워크로부터 내부 네트워크에의 부정한 액세스를 방지하기 위해 사용된다. 방화벽은 안전하다고 인정되지 않는 액세스를 무조건 차단한다. 방화벽은 침입 차단 시스템이라 불리기도 한다. 방화벽은 패킷 필터링, 프락시 필터링 등의 방식을 사용하여 부정한 액세스를 검출할 수 있다. 방화벽은 ACL(Access Control List)를 사용하여 패킷 필터링을 수행할 수 있다.
그런데, 방화벽은 웜 바이러스와 같은, 컨텐츠 안에 유해 데이터를 포함하여 전파되는 바이러스나 TCP 프로토콜의 일부 취약점을 이용하여 공격을 하는 경우 유해 트래픽을 차단하지 못한다. 이러한 문제를 해결하기 위해, 침입 탐지 시스템이나 침입 방지 시스템이 사용될 수 있다. 침입 탐지 시스템 및 침입 방지 시스템은, 라우터 앞에 위치하여 유해 트래픽으로부터 내부 네트워크를 보호한다.
침입 탐지 시스템은 내부 시스템의 비정상적인 사용을 실시간으로 탐지할 수 있는 장치이다. 침입 탐지 시스템은 내부 사용자의 불법적인 행동(예를 들면, 기밀 유출 등)과 외부 해킹에 대처하기 위해, 해커 침입 패턴에 대한 추적과 유해 정보 감시를 수행한다. 즉, 침입 탐지 시스템은 인입 패킷의 패턴을 실시간으로 조 사하여 해당 패킷의 유해 여부를 판단할 수 있는 장치이다.
침입 방지 시스템은 유해 패킷의 인입 여부를 감시하고, 유해 패킷이 발견되는 경우, 발견된 유해 패킷 또는 해당 패킷이 포함된 트래픽을 차단할 수 있는 장치이다. 즉, 침입 방지 시스템은 방화벽과 침입 탐지 시스템의 기능들을 모두 가진 장치라고 볼 수 있다.
이 외에 HTTP(HyperText Transfer Protocol), FTP(File Transfer Protocol), 메일 프로토콜(예를 들면, SMTP(Simple Mail Trasfer Protocol), POP3(Post Office Protocol version 3), IMAP(Internet Mail Access Protocol)) 등에 대한 제어를 수행하는 바이러스 월(virus wall) 등이 네트워크의 보안을 위해 사용될 수 있다.
도 1은 보안 장치를 포함하는 네트워크의 구성도이다.
도 1은 내부 네트워크(local network)가 침입 탐지 시스템, 침입 차단 시스템 또는 바이러스 월과 방화벽을 통해 외부 네트워크인 인터넷에 연결되는 구조의 네트워크를 도시하고 있다. 방화벽, 침입 탐지 시스템, 침입 차단 시스템 및 바이러스 월은 라우터와 스위치 사이에 위치하여 내부 네트워크를 보호할 수 있다.
이러한 네트워크 보안 장치들은, 인입 패킷이 유해 패킷인지를 판단하는 수단으로 패킷 필터링을 주로 사용한다. 패킷 필터링은 인입 패킷에 대해 해당 패킷이 유해 패킷인지를 판단하고, 유해 패킷이라고 판단되는 패킷을 차단하는 방식을 의미한다. 패킷 필터링을 위해서는 인입 패킷의 패턴을 기 설정된 패턴들과 비교하여 인입 패킷의 패턴이 기 설정된 패턴과 일치하는지를 판단해야 한다. 이러한 패킷의 패턴 검사는 네트워크 보안 장치에서의 부하를 유발하는 주요 요인 중의 하 나이다. 패턴 검사를 위해서는 IP/포트(port) 등의, 패킷 내의 여러 정보들이 사용될 수 있다.
한편, 현재의 네트워크는 기존의 IPv4 네트워크에 더하여, IPv4 네트워크에서의 IP 주소의 고갈을 해결하기 위해 제안된 IPv6 네트워크를 포함하고 있다.
도 2는 IPv4 네트워크와 IPv6 네트워크가 공존하는 IPv4-IPv6 네트워크의 구성도이다.
도 2는 내부 네트워크들이 IPv4-IPv6 라우터를 통해 IPv4-IPv6 네트워크에 연결되는 구조의 네트워크를 도시하고 있다.
즉, IPv4-IPv6 라우터에는 IPv4 패킷과 IPv6 패킷이 인입될 수 있다. 따라서, IPv4-IPv6 네트워크에서는 IPv4 패킷과 IPv6 패킷의 두 가지 패킷들에 대한 패턴 검사를 모두 수행할 수 있어야 한다. IPv4 패킷과 IPv6 패킷은 그 구조가 서로 다르므로, IPv4-IPv6 네트워크에서의 패턴 검사는, IPv4 네트워크에서의 패턴 검사보다 더 긴 시간을 필요로 한다. 또한, IPv6 패킷은 IPv4 패킷에 비해 헤더의 크기가 크기 때문에, IPv6 패킷은 IPv4 패킷에 비해 더 긴 패턴 검사 시간을 필요로 한다. 패턴 검사에 소요되는 시간은, 네트워크에서의 패킷 처리 속도를 저하시키며, 고속화를 지향하는 네트워크의 발전을 저해하는 요소가 된다. 즉, 현재와 같이 기가급 이상의 속도를 가지도록 고속화되고, IPv6 패킷과 같이 헤더의 크기가 큰 패킷이 사용되는 네트워크 환경에서는 특히 패턴 검사 속도를 비롯한 패킷 검사 속도를 향상시킬 필요가 있다.
따라서, 본 발명의 목적은 네트워크의 보안을 위한 패킷의 패턴 검사의 속도를 향상시킬 수 있는 IPv4(Internet Protocol version 4)-IPv6(IP version 6) 네트워크에서의 보안 장치 및 방법을 제공함에 있다.
본 발명의 다른 목적은 IPv6 패킷에 대한 패턴 검사의 속도를 향상시킬 수 있는 IPv4-IPv6 네트워크에서의 보안 장치 및 방법을 제공함에 있다.
상기 목적들을 달성하기 위한 본 발명의 일 측면에 따른 IPv4(Internet Protocol version 4)-IPv6(IP version 6) 네트워크에서의 보안 장치는, 입력되는 패킷을 통과 또는 차단시키는 패킷 차단부와, 입력된 패킷에 대한 통과 또는 차단의 결정을 위해 사용되는 정보들을 저장하는 정보 저장부와, 상기 패킷 차단부로부터 패킷을 입력받고, 입력받은 패킷을, 하드웨어를 사용하여 해당 패킷의 버전에 따라 분류한 후 해당 패킷의 헤더를 분석하여 해당 패킷의 통과 또는 차단을 결정하기 위한 검색 정보를 획득하고, 획득한 정보를 사용하여 상기 정보 저장부에 저장된 정보를 검색하여 해당 패킷의 통과 또는 차단 여부를 결정하고, 그 결정 결과를 상기 패킷 차단부에 제공하는 패킷 검사부를 포함할 수 있다.
상기 패킷 차단부는 입력된 패킷을, 해당 패킷에 대한 통과 또는 차단 여부가 결정될 때까지 저장하는 패킷 저장부를 포함할 수 있다.
상기 패킷 차단부는 외부로부터 패킷을 입력받기 위한 인터페이스를 제공하 고, 상기 인터페이스를 통해 패킷을 입력받아 상기 패킷 저장부 및 상기 패킷 검사부에 출력하는 패킷 입력부를 더 포함할 수 있다.
상기 패킷 차단부는 외부에 패킷을 출력하기 위한 인터페이스를 제공하고, 상기 패킷 검사부에 의해 통과가 결정된 패킷을 상기 패킷 저장부로부터 입력받아 추력하는 패킷 출력부를 더 포함할 수 있다.
상기 정보 저장부는, 입력되는 패킷의 세션 검사를 위한 정보를 저장하는 세션 테이블과, 입력되는 패킷의 패턴 검사를 위한 정보를 저장하는 패턴 테이블을 포함할 수 있다.
상기 세션 테이블은, 3-way handshaking 방식을 통해 설정된 TCP(Transmission Control Protocol) 세션들의 정보를 저장할 수 있다.
상기 패킷 검사부는 입력되는 패킷의 통과 또는 차단을 결정하기 위한 정보를 수집하고, 상기 수집한 정보를 사용하여 상기 세션 테이블 및 패턴 테이블을 갱신할 수 있다.
상기 패킷 검사부는, 입력되는 패킷의 세션이 상기 세션 테이블에 저장되어 있는 세션인지를 판단하고, 상기 패킷의 세션이 상기 세션 테이블에 저장되어 있지 않으면, 해당 패킷을 차단할 것을 결정할 수 있다.
상기 패킷 검사부는, 그 세션이 상기 세션 테이블에 저장되어 있는 패킷에 대해서 해당 패킷에 대한 패턴 검사를 수행하고, 상기 패킷의 패턴이 상기 세션 테이블에 저장되어 있으면 해당 패킷을 차단할 것을 결정할 수 있다.
상기 패킷 검사부는 FPGA(Field Programmable Gate Array)를 사용하여 입력 되는 패킷을 해당 버전 별로 분류하고, 분류된 패킷이 유효한 세션을 통해 입력된 패킷인지를 검사하고, 유효한 세션을 통해 입력된 패킷에 대해 패턴 검사를 수행할 수 있다.
상기 패킷 검사부는 입력되는 패킷을 해당 패킷의 버전 별로 분류하는 헤더 분리부와, 상기 정보 저장부를 검색하여 상기 패킷이 유효한 세션을 통해 입력된 패킷인지를 검사하는 세션 관리부와, 상기 정보 저장부를 검색하여 상기 유효한 세션을 통해 입력된 패킷에 대한 통과 또는 차단 여부를 결정하는 패턴 검사부를 포함할 수 있다.
상기 패턴 검사부는 상기 입력되는 패킷이 IPv4 패킷이면, 해당 패킷에 대한 패턴 검사를 소프트웨어적으로 수행하고, 상기 입력되는 패킷이 IPv6 패킷이면, 해당 패킷에 대한 패턴 검사를 하드웨어적으로 수행한다.
상기 목적들을 달성하기 위한 본 발명의 다른 측면에 다른 IPv4-IPv6 네트워크에서의 보안 방법은, 입력되는 패킷에 대한 버전 별 분류를 하드웨어를 사용하여 수행하는 과정과, 상기 버전에 따라 분류된 패킷이 유효한 세션을 통해 입력된 패킷인지를 검사하여 유효한 세션을 통해 입력되지 않은 패킷을 차단하는 과정과, 유효한 세션을 통해 입력된 패킷에 대한 패턴 검사를 수행하여 해당 패킷의 통과 또는 차단을 결정하는 과정을 포함할 수 있다.
상기 패킷이 유효한 세션을 통해 입력된 패킷인지를 검사하는 과정은, 해당 패킷의 세션이 기 설정된 세션 테이블에 저장되어 있는지를 검색하고, 해당 패킷의 세션이 상기 세션 테이블에 저장되어 있으면 해당 패킷이 유효한 세션을 통해 입력 되었다고 판단하는 과정이다.
상기 패킷의 통과 또는 차단 여부를 결정하는 과정은, 해당 패킷의 패턴이 기 설정된 패턴 테이블에 저장되어 있는지를 검색하고, 해당 패킷의 패턴이 상기 패턴 테이블에 저장되어 있으면 해당 패킷의 차단을 결정하는 과정이다.
전술한 바와 같이, 본 발명은 입력되는 패킷들을 각 패킷의 버전에 따라 구분하기 위해, 소프트웨어가 아닌 하드웨어를 사용함을 특징으로 한다. 또한 본 발명은, 입력되는 패킷들 중 IPv6 패킷에 대한 패킷 검사를 하드웨어를 사용하여 수행할 수 있다.
본 발명에 따른 IPv4-IPv6 네트워크에서의 보안 장치 및 방법을 설명하기에 앞서, 패킷 헤더의 구조에 대해서 설명하도록 한다.
도 3은 IPv4 TCP/IP 패킷의 헤더 구조를 나타낸 도면이고, 도 4는 IPv6 TCP/IP 패킷의 헤더 구조를 나타낸 도면이다.
도 3 및 도 4에 도시된 바와 같이, IPv4 패킷 및 IPv6 패킷은 자신의 버전 정보를 알려주는 필드를 헤더 내에 가지고 있다. 따라서, 본 발명에서의 패킷 버전별 분류는 해당 필드를 참조하여 수행될 수 있다. 후술할, 본 발명에 따른 IPv4-IPv6 네트워크에서의 보안 장치는, IPv4 패킷 및 IPv6 패킷의 분류를 하드웨어를 사용하여 수행함으로써 패킷 분류에 소요되는 시간을 감소시킬 수 있다.
한편, 도 3 및 도 4를 참조하면, IPv4 패킷의 경우, 5tuple(Source Address + Destination Address + Protocol Type + Source Port + Destination Port)(이하 IP 주소라 칭하기로 한다)의 크기가 104 비트이고, IPv6 패킷의 경우, IP 주소의 크기가 306 비트임을 알 수 있다. 이는, IPv4 패킷의 패턴 검사를 위해서는 104비트 룩업이 수행되어야 하고, IPv6 패킷의 패턴 검사를 위해서는 306 비트 룩업이 수행되어야 한다는 의미로 간주될 수 있다. 즉, IPv6 패킷의 경우 패턴 검사를 위해서 IPv4 패킷보다 더 많은 시간을 필요로 하며, 그 시간 감소의 필요성이 IPv4 패킷보다 높다. 따라서, 후술할, 본 발명에 따른 IPv4-IPv6 네트워크에서의 보안 장치는, IPv6 패킷에 대한 패턴 검사를 하드웨어를 사용하여 수행함으로써 IPv6 패킷에 대한 패턴 검사 속도를 향상시킬 수 있다.
도 5는 본 발명에 따른 IPv4-IPv6 네트워크에서의 보안 장치의 연결 관계를 도시하는 도면이다.
도 5에 도시된 탐지 모듈은 본 발명에 따른 IPv4-IPv6 네트워크에서의 보안 장치(이하 "본 발명의 장치"라 칭함)에 해당할 수 있다.
라우터는 근거리통신망을 연결해주는 장치로써, 수신된 패킷의 헤더에 포함된, IP 주소 등의 정보를 분석하여 선택된 가장 적절한 통신통로를 이용하여 해당 패킷을 다른 통신망으로 전송하는 장치이다. 동일한 플로우에 속한 모든 패킷들은 기 설정된(predefined) 룰에 따라 라우터에 의해 유사한 방법으로 처리될 수 있다.
도 5는 본 발명의 장치가 라우터에 대해 look a-side 형태로 구현된 형태를 도시하고 있다. 그러나, 본 발명의 장치는, 비록 도시하지는 않았으나, 라우터에 대해 in-line 형태로 구현될 수도 있다. 따라서, 본 발명은 라우터와 본 발명의 장치와의 연결 관계에 의해 한정되지 않는다. 본 발명의 장치는, 하드웨어적 구현을 위해 FPGA(Field Programmable Gate Array)에 의해 구현될 수 있다. 또한, 본 발명의 장치는 라우터 외에도, 게이트웨이 등의 다른 네트워크 구성요소에 장착될 수 있다.
도 5에 표기된 WAN(Wide Area Network)은 외부 네트워크에 해당하고, LAN(Local Area Network)은 내부 네트워크에 해당할 수 있다. 도 5에 도시된 바와 같이, 본 발명의 장치는 외부 네트워크로부터 내부 네트워크에 유입되는 패킷 및 내부 네트워크로부터 외부 네크워크에 유출되는 패킷에 대한 검사가 모두 가능한, 양방향 패킷의 유해 여부를 검사할 수 있는 장치이다.
본 발명의 장치는, 하기의 도 6과 같이 구성될 수 있으며, 세션 관리 기능, 패턴 관리 기능 등의 침입 탐지 관리 기능을 수행할 수 있다.
도 6은 본 발명에 따른 IPv4-IPv6 네트워크에서의 보안 장치의 블록 구성도이다.
본 발명에 따른 장치는, 도 6에 도시된 바와 같이, 크게는 패킷 차단부(600), 패킷 검사부(610) 및 정보 저장부(620)로 구분될 수 있다. 정보 저장부(620)는 입력되는 패킷을 통과 또는 차단(pass/drop) 여부를 결정하기 위해 사용되는 정보를 저장할 수 있다. 패킷 검사부(610)는 정보 저장부(620)를 검색하여, 입력되는 패킷의 통과 또는 차단 여부를 결정한다. 패킷 차단부(600)는 패킷 검사부(610)의 결정 결과에 따라 패킷을 통과시키거나 차단한다.
이하 패킷 차단부(600), 패킷 검사부(610) 및 정보 저장부(620) 각각에 대해 상세히 설명하도록 한다.
패킷 차단부(600)는 패킷 입력부(602), 패킷 저장부(604) 및 패킷 출력부(606)를 포함하도록 구성될 수 있다.
패킷 입력부(602) 및 패킷 출력부(606)는 IPv4, IPv6 패킷의, 외부와의 인터페이스 정합을 지원한다.
패킷 입력부(602)는 외부로부터 패킷을 입력받고, 입력받은 패킷을 패킷 저장부(604) 및 패턴 검사부(610)에 출력한다. 패킷 저장부(604)는 입력받은 패킷에 대한 통과 또는 차단여부가 결정될 때까지 해당 패킷을 일시 저장한다. 패킷 저장부(604)는 통과가 결정된 패킷을 패킷 출력부(606)에 출력하고, 차단이 결정된 패킷을 버린다. 패킷의 통과 또는 차단 결정은 패킷 검사부(610)에 의해 수행된다. 따라서, 패킷 저장부(604)는 패킷 검사부(610)로부터 해당 패킷에 대한 통과 또는 차단 결정 여부가 입력될 때까지 해당 패킷을 저장한다. 패킷 출력부(606)는 외부 인터페이스를 사용하여 패킷 저장부(604)로부터 입력받은 패킷을 출력한다.
패킷 검사부(610)는, 인입되는 패킷을 해당 패킷의 IPv4, IPv6 버전에 따라 선 분류를 하고, 분류된 패킷들로부터 주소 정보와 포트 정보를 분리하여 세션 테이블 검색을 통한 세션 검사를 수행하고, 세션 검사가 된 패킷에 대해 패턴 검사를 수행하여 해당 패킷의 통과 또는 차단 여부를 결정할 수 있다. 패턴 검사부(610)는 헤더 분류부(612), 세션 관리부(614) 및 패턴 검사부(616)를 포함하도록 구성될 수 있다.
헤더 분류부(612)는 수신되는 패킷을 해당 패킷의 버전에 따라 분류한다. 분류된 패킷은 세션 관리부(614)에 입력된다. 이후의 세션 관리 및 패턴 검사는 해당 패킷의 버전에 따라 수행된다.
세션 관리부(614)는, 입력받은 패킷의 종류에 따라 해당 패킷이 유효한 세션을 통해 입력된 패킷인지를 판단하는 세션 관리를 수행한다. 유효한 세션의 예로, 3-way handshaking에 의해 설정된 TCP 세션을 들 수 있다. 즉, 세션 관리부(614)는 해당 패킷의 입력을 위해 사용된 세션(이하 "해당 패킷의 세션"이라 칭함)이, 3-way handshaking에 의해 설정된 패킷이면, 해당 패킷의 세션이 유효한 세션이라고 판단할 수 있다.
세션 관리부(614)는 세션 관리를 위해 세션 정보가 저장된 별도의 세션 테이블(622)을 관리할 수 있다. 세션 관리부(614)는 새로이 TCP 세션이 설정되면, 해당 TCP 세션에 대한 정보를 추가하여 세션 테이블(622)을 갱신할 수 있다. 또한, 세션 관리부(614)는 설정되었던 세션이 해제되는 경우, 해당 세션을 세션 테이블(622)에서 삭제할 수 있다. 즉, 세션 관리부(614)는 설정되거나 해제되는 세션의 정보 수집, 수집한 정보를 반영한 세션 테이블(622)의 갱신 등의, 세션 테이블(622)에 대한 관리를 수행할 수 있다. 세션 관리부(614)는 세션 테이블(622)을 검색하여 패킷의 세션이 유효한 패킷인지를 판단할 수 있으며, 세션 테이블(622)의 검색을 위해서는 Version , IP address, Port, Protocol Type, TCP Flag, Sequence Number, ack Num 중 적어도 하나를 정보를 사용할 수 있다.
세션 관리부(614)는 임의의 패킷에 대한 세션 검색 결과, 유효하지 않은 세션을 통해 입력되었다고 판단된 패킷에 대해서는 해당 패킷을 차단할 것을 패킷 차 단부(600)의 패킷 저장부(604)에 요청하고, 유효한 세션을 통해 입력되었다고 판단된 패킷에 대해서는 해당 패킷을 패턴 검사부(616)에 출력한다.
패턴 검사부(616)는 입력된 패킷의 패턴을 소정의 정보와 비교하여 해당 패킷이 유해한 패킷인지 아닌지를 판단한다. 즉, 본 발명의 장치는, 유효한 세션을 통해서 입력된 패킷에 대해서만 패턴 검사를 수행하는, 세션 기반의 패턴 검사를 수행한다.
패턴 검사를 수행하기 위한 정보는 정보 저장부(620)의 패턴 테이블(624)에 저장될 수 있다. 일반적으로, 패턴 테이블(624)에는 바이러스나 유해 패킷의 signature가 저장된다. 패턴 검사부(616)는 패킷이 입력되면, 패턴 테이블(624)을 검색하여 입력된 패킷의 패턴이 패턴 테이블에 저장되어 있으면, 해당 패킷이 유해한 패킷이라고 판단한다. 물론, 필요에 따라서는, 패턴 테이블(624)에는 유해하지 않은 패킷의 signature가 저장될 수도 있을 것이다.
패턴 검사부(616)는 패킷이 입력되는 경우 패턴 테이블(624)을 검색하고, 입력받은 패킷의 패턴이 패턴 테이블(624)에 저장되어 있는 경우, 해당 패킷은 유해한 패킷이라고 판단하고, 해당 패킷을 차단할 것을 결정한다. 한편, 패턴 검사부(616)는 입력된 패킷의 패턴이 패턴 테이블(624)에 저장되어 있지 않으면, 해당 패킷은 유해하지 않은 패킷이라고 판단하고, 해당 패킷을 통과시킬 것을 결정한다. 패턴 검사부(616)는 입력된 패킷의 통과 또는 차단 여부 결정 결과를 패킷 차단부(600)의 패킷 저장부(604)에 출력한다.
정보 저장부(620)는 침입 탐지의 세션 검사 및 패턴 검사를 위해 사용되는 정보를 저장한다. 정보 저장부(620)는 세션 검사를 위한 정보를 저장하는 세션 테이블(622)과 패턴 검사를 위한 정보를 저장하는 패턴 테이블(624)을 포함하도록 구성될 수 있다. 정보 저장부(620)는, SRAM, DRAM, Flash ROM 등의 다양한 종류의 메모리를 통해 구현될 수 있다.
패킷 차단부(600) 및 패킷 검사부(610)는, 하드웨어적 구현을 위해 FPGA를 사용하여 구현될 수 있다.
전술한 바와 같이 본 발명의 장치는, 특히, 일차적으로 TCP/IP 패킷의 세션 관리를 통해 트래픽의 유해 여부를 판단하고, 이차적으로, 세션 관리를 통과한 패킷에 대한 패턴 검색을 통해 해당 패킷의 유해 여부를 검사하는 단계적 침입 감지를 수행할 수 있다. 이러한 본 발명의 장치에 대응되는, 본 발명에 따른 IPv4-IPv6 네트워크에서의 보안 방법은, 헤더 분류부(612)에 의한, 입력되는 패킷에 대한 버전 별 분류 과정, 세션 관리부(614)에 의한, 버전에 따라 분류된 패킷이 유효한 세션을 통해 입력된 패킷인지를 검사하여 유효한 세션을 통해 입력되지 않은 패킷을 차단하는 세션 관리 과정과, 유효한 세션을 통해 입력된 패킷에 대한 패턴 검사를 수행하여 해당 패킷의 통과 또는 차단을 결정하는 과정들에 의해 수행될 수 있다.
전술한 본 발명은, 라우터, 게이트웨이 등에 장착되어 내부 네트워크를 외부 네트워크로부터 유입되는 유해 트래픽으로부터 보호하거나, 내부 네트워크로부터 유출되는 유해 트래픽을 차단하기 위해 사용될 수 있다.
본 발명은, 세션 기반의 패턴 검사, 하드웨어를 이용한 입력 패킷의 버전별 분류 등을 통해 IPv4-IPv6 네트워크에서의 보안을 위한 침입 탐지 속도를 향상시킬 수 있다.

Claims (15)

  1. IPv4(Internet Protocol version 4)-IPv6(IP version 6) 네트워크에서의 보안 장치에 있어서,
    입력되는 패킷을 통과 또는 차단시키는 패킷 차단부;
    입력된 패킷에 대한 통과 또는 차단의 결정을 위해 사용되는 정보들을 저장하는 정보 저장부; 및
    상기 패킷 차단부로부터 패킷을 입력받고, 입력받은 패킷을, 하드웨어를 사용하여 해당 패킷의 버전에 따라 분류한 후 해당 패킷의 헤더를 분석하여 해당 패킷의 통과 또는 차단을 결정하기 위한 검색 정보를 획득하고, 획득한 정보를 사용하여 상기 정보 저장부에 저장된 정보를 검색하여 해당 패킷의 통과 또는 차단 여부를 결정하고, 그 결정 결과를 상기 패킷 차단부에 제공하는 패킷 검사부를 포함하는 IPv4-IPv6 네트워크에서의 보안 장치.
  2. 제 1항에 있어서,
    상기 패킷 차단부는 입력된 패킷을, 해당 패킷에 대한 통과 또는 차단 여부가 결정될 때까지 저장하는 패킷 저장부를 포함하는 IPv4-IPv6 네트워크에서의 보안 장치.
  3. 제 2항에 있어서,
    상기 패킷 차단부는 외부로부터 패킷을 입력받기 위한 인터페이스를 제공하고, 상기 인터페이스를 통해 패킷을 입력받아 상기 패킷 저장부 및 상기 패킷 검사부에 출력하는 패킷 입력부를 포함하는 IPv4-IPv6 네트워크에서의 보안 장치.
  4. 제 2항에 있어서,
    상기 패킷 차단부는 외부에 패킷을 출력하기 위한 인터페이스를 제공하고, 상기 패킷 검사부에 의해 통과가 결정된 패킷을 상기 패킷 저장부로부터 입력받고, 상기 입력받은 패킷을 상기 인터페이스를 통해 출력하는 패킷 출력부를 더 포함하는 IPv4-IPv6 네트워크에서의 보안 장치.
  5. 제 1항에 있어서,
    상기 정보 저장부는,
    입력되는 패킷의 세션 검사를 위한 정보를 저장하는 세션 테이블; 과
    입력되는 패킷의 패턴 검사를 위한 정보를 저장하는 패턴 테이블을 포함하는 IPv4-IPv6 네트워크에서의 보안 장치.
  6. 제 5항에 있어서,
    상기 세션 테이블은, 3-way handshaking 방식을 통해 설정된 TCP(Transmission Control Protocol) 세션들의 정보를 저장하는 IPv4-IPv6 네트워크에서의 보안 장치.
  7. 제 5항에 있어서,
    상기 패킷 검사부는 입력되는 패킷의 통과 또는 차단을 결정하기 위한 정보를 수집하고, 상기 수집한 정보를 사용하여 상기 세션 테이블 및 패턴 테이블을 갱신하는 IPv4-IPv6 네트워크에서의 보안 장치 및 방법.
  8. 제 5항에 있어서,
    상기 패킷 검사부는, 입력되는 패킷의 세션이 상기 세션 테이블에 저장되어 있는 세션인지를 판단하고, 상기 패킷의 세션이 상기 세션 테이블에 저장되어 있지 않으면, 해당 패킷을 차단할 것을 결정하는 IPv4-IPv6 네트워크에서의 보안 장치 및 방법.
  9. 제 8항에 있어서,
    상기 패킷 검사부는, 그 세션이 상기 세션 테이블에 저장되어 있는 패킷에 대해서 해당 패킷에 대한 패턴 검사를 수행하고, 상기 패킷의 패턴이 상기 세션 테이블에 저장되어 있으면 해당 패킷을 차단할 것을 결정하는 IPv4-IPv6 네트워크에서의 보안 장치 및 방법.
  10. 제 1항에 있어서,
    상기 패킷 검사부는 FPGA(Field Programmable Gate Array)를 사용하여 입력되는 패킷을 해당 버전 별로 분류하고, 분류된 패킷이 유효한 세션을 통해 입력된 패킷인지를 검사하고, 유효한 세션을 통해 입력된 패킷에 대해 패턴 검사를 수행하는 IPv4-IPv6 네트워크에서의 보안 장치.
  11. 제 10항에 있어서,
    상기 패킷 검사부는,
    입력되는 패킷을 해당 패킷의 버전 별로 분류하는 헤더 분리부;
    상기 정보 저장부를 검색하여 상기 패킷이 유효한 세션을 통해 입력된 패킷인지를 검사하는 세션 관리부; 및
    상기 정보 저장부를 검색하여 상기 유효한 세션을 통해 입력된 패킷에 대한 통과 또는 차단 여부를 결정하는 패턴 검사부를 포함하는 IPv4-IPv6 네트워크에서의 보안 장치.
  12. 제 11항에 있어서,
    상기 패턴 검사부는 상기 입력되는 패킷이 IPv4 패킷이면, 해당 패킷에 대한 패턴 검사를 소프트웨어적으로 수행하고, 상기 입력되는 패킷이 IPv6 패킷이면, 해당 패킷에 대한 패턴 검사를 하드웨어적으로 수행하는 IPv4-IPv6 네트워크에서의 보안 장치.
  13. IPv4-IPv6 네트워크에서의 보안 방법에 있어서,
    입력되는 패킷에 대한 버전 별 분류를 하드웨어를 사용하여 수행하는 과정;
    상기 버전에 따라 분류된 패킷이 유효한 세션을 통해 입력된 패킷인지를 검사하여 유효한 세션을 통해 입력되지 않은 패킷을 차단하는 과정; 및
    유효한 세션을 통해 입력된 패킷에 대한 패턴 검사를 수행하여 해당 패킷의 통과 또는 차단을 결정하는 과정을 포함하는 IPv4-IPv6 네트워크에서의 보안 방법.
  14. 제 13항에 있어서,
    상기 패킷이 유효한 세션을 통해 입력된 패킷인지를 검사하는 과정은, 해당 패킷의 세션이 기 설정된 세션 테이블에 저장되어 있는지를 검색하고, 해당 패킷의 세션이 상기 세션 테이블에 저장되어 있으면 해당 패킷이 유효한 세션을 통해 입력되었다고 판단하는 과정인 IPv4-Ipv6 네트워크에서의 보안 방법.
  15. 제 13항에 있어서,
    상기 패킷의 통과 또는 차단 여부를 결정하는 과정은, 해당 패킷의 패턴이 기 설정된 패턴 테이블에 저장되어 있는지를 검색하고, 해당 패킷의 패턴이 상기 패턴 테이블에 저장되어 있으면 해당 패킷의 차단을 결정하는 과정인 IPv4-IPv6 네트워크에서의 보안 방법.
KR1020060012742A 2006-02-09 2006-02-09 IPv4-IPv6 네트워크에서의 보안 장치 및 방법 KR100656483B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060012742A KR100656483B1 (ko) 2006-02-09 2006-02-09 IPv4-IPv6 네트워크에서의 보안 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060012742A KR100656483B1 (ko) 2006-02-09 2006-02-09 IPv4-IPv6 네트워크에서의 보안 장치 및 방법

Publications (1)

Publication Number Publication Date
KR100656483B1 true KR100656483B1 (ko) 2006-12-11

Family

ID=37732988

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060012742A KR100656483B1 (ko) 2006-02-09 2006-02-09 IPv4-IPv6 네트워크에서의 보안 장치 및 방법

Country Status (1)

Country Link
KR (1) KR100656483B1 (ko)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100818307B1 (ko) 2006-12-04 2008-04-01 한국전자통신연구원 IPv6 공격 패킷 탐지장치 및 방법
KR100860406B1 (ko) 2006-12-05 2008-09-26 한국전자통신연구원 인터넷 프로토콜 보안 기반의 정적 터널링 방법 및 장치
KR100875931B1 (ko) 2006-12-05 2008-12-26 한국전자통신연구원 통합 ip 패킷 지원 보안 장치 및 방법
KR100912541B1 (ko) 2006-12-01 2009-08-18 한국전자통신연구원 인터넷 프로토콜 버전 4/인터넷프로토콜 버전 6혼합망에서의 침입탐지규칙 통합관리 장치 및 방법
KR101039092B1 (ko) 2011-01-21 2011-06-07 (주)넷맨 IPv6 네트워크 내 호스트 보호 및 격리방법
KR101290036B1 (ko) * 2007-03-12 2013-07-30 주식회사 엘지씨엔에스 동적 공격에 대한 네트워크 보안 장치 및 방법
KR101323852B1 (ko) 2007-07-12 2013-10-31 삼성전자주식회사 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그제어방법
KR101410233B1 (ko) * 2012-11-01 2014-06-20 주식회사 윈스 네트워크 세션 행위 패턴 모델링 탐지방법 및 모델링탐지시스템

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100912541B1 (ko) 2006-12-01 2009-08-18 한국전자통신연구원 인터넷 프로토콜 버전 4/인터넷프로토콜 버전 6혼합망에서의 침입탐지규칙 통합관리 장치 및 방법
KR100818307B1 (ko) 2006-12-04 2008-04-01 한국전자통신연구원 IPv6 공격 패킷 탐지장치 및 방법
KR100860406B1 (ko) 2006-12-05 2008-09-26 한국전자통신연구원 인터넷 프로토콜 보안 기반의 정적 터널링 방법 및 장치
KR100875931B1 (ko) 2006-12-05 2008-12-26 한국전자통신연구원 통합 ip 패킷 지원 보안 장치 및 방법
KR101290036B1 (ko) * 2007-03-12 2013-07-30 주식회사 엘지씨엔에스 동적 공격에 대한 네트워크 보안 장치 및 방법
KR101323852B1 (ko) 2007-07-12 2013-10-31 삼성전자주식회사 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그제어방법
KR101039092B1 (ko) 2011-01-21 2011-06-07 (주)넷맨 IPv6 네트워크 내 호스트 보호 및 격리방법
KR101410233B1 (ko) * 2012-11-01 2014-06-20 주식회사 윈스 네트워크 세션 행위 패턴 모델링 탐지방법 및 모델링탐지시스템

Similar Documents

Publication Publication Date Title
US7835348B2 (en) Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch
KR100656483B1 (ko) IPv4-IPv6 네트워크에서의 보안 장치 및 방법
US9001661B2 (en) Packet classification in a network security device
US10608992B2 (en) Hybrid hardware-software distributed threat analysis
US7463590B2 (en) System and method for threat detection and response
US7650634B2 (en) Intelligent integrated network security device
CN1656731B (zh) 基于多方法网关的网络安全系统和方法
EP2171976B1 (en) Method and mechanism for port redirects in a network switch
US20140157405A1 (en) Cyber Behavior Analysis and Detection Method, System and Architecture
JP2009534001A (ja) 悪質な攻撃の検出システム及びそれに関連する使用方法
US20180191681A1 (en) Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows
EP1122932B1 (en) Protection of computer networks against malicious content
JP2015528263A (ja) ネットワークトラフィック処理システム
KR20050086441A (ko) 능동 네트워크 방어 시스템 및 방법
US9172629B1 (en) Classifying packets
Krit et al. Overview of firewalls: Types and policies: Managing windows embedded firewall programmatically
KR20080080858A (ko) IPv4/IPv6 네트워크 침입 탐지 시스템 및 시스템의효율적인 세션 테이블 관리 방법
WO2017217247A1 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
US20050147037A1 (en) Scan detection
Mavani et al. Security implication and detection of threats due to manipulating IPv6 extension headers
RU2812087C1 (ru) Система и способ анализа входящего потока трафика
US20230319078A1 (en) System and method for detecting and mitigating port scanning attacks
Frikha et al. Simulation, optimisation and integration of covert channels, intrusion detection and packet filtering systems
Krit et al. Novel Application to Managing Windows Embedded Firewall Programmatically in Network Security
Henry Protocol and application awareness: a new trend or an established tradition?

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee