KR100717635B1 - 패킷 내용 기반 인터넷 트래픽 제어 방법 및 시스템 - Google Patents

패킷 내용 기반 인터넷 트래픽 제어 방법 및 시스템 Download PDF

Info

Publication number
KR100717635B1
KR100717635B1 KR1020050066214A KR20050066214A KR100717635B1 KR 100717635 B1 KR100717635 B1 KR 100717635B1 KR 1020050066214 A KR1020050066214 A KR 1020050066214A KR 20050066214 A KR20050066214 A KR 20050066214A KR 100717635 B1 KR100717635 B1 KR 100717635B1
Authority
KR
South Korea
Prior art keywords
protocol
packet
service
session
control
Prior art date
Application number
KR1020050066214A
Other languages
English (en)
Other versions
KR20070011711A (ko
Inventor
김대환
김상연
Original Assignee
김대환
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김대환 filed Critical 김대환
Priority to KR1020050066214A priority Critical patent/KR100717635B1/ko
Publication of KR20070011711A publication Critical patent/KR20070011711A/ko
Application granted granted Critical
Publication of KR100717635B1 publication Critical patent/KR100717635B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 패킷 데이터 기반 프로토콜 분석 엔진을 통하여 인터넷 트래픽 측정 및 제어 서비스를 제공하는 방법 및 시스템으로서, 클라이언트의 접속 요청에 의하여 클라이언트와 서버 사이에 새로운 TCP 세션이 수립되는지를 감시하는 단계와, 상기 새로운 세션이 수립되면 패킷내의 데이터를 분석하여 프로토콜을 확인하는 단계와, 상기 확인 결과 HTTP 프로토콜이면 패킷내 URL 정보를 기초로 기정의된 사이트 목록과 대비하여 접속을 차단 대상인지를 판별하는 단계와, 상기 확인 결과 HTTP 이외의 프로토콜이면 패킷내 데이터를 분석하여 서비스 유형을 파악하여 기정의된 서비스 목록과 대비하여 차단 대상인지를 판별하는 단계와, 상기 차단 대상인지의 판별 결과에 따라 기정의된 정책에 따라 상기 세션을 제어하는 단계를 포함하는 인터넷 서비스의 선택적 제어 방법 및 이를 수행하는 시스템을 제공한다.
인터넷, 트래픽, 프로토콜, 서비스, 제어, 차단

Description

패킷 내용 기반 인터넷 트래픽 제어 방법 및 시스템{The method of Internet traffic control based on packet data and the system thereof}
도 1은 본 발명에 따르는 인터넷 트래픽 측정 및 제어 시스템의 구성도.
도 2는 본 발명에 따르는 인터넷 트래픽 측정 및 제어 방법의 흐름도.
본 발명은 인터넷 서비스 접속 제어에 관한 것으로서, 구체적으로는 인터넷 트랙픽을 감시/측정하여, 불건전한 사이트로의 접근을 제어하기 위한 것이다.
인터넷의 활용이 증대됨에 따라서 폭력/음란 사이트로의 접속 등 청소년 유해 트래픽이 증가하고 있다. 특히 근래에는 인터넷 사이트와는 접속 방식이 상이한 온라인게임, P2P 메신저를 통한 채팅, 커뮤니티서비스 등에 관한 유해 트래픽이 증가하고 있다.
최근에는 특히 온라인 게임 망국론이 대두되고 있기도 하며, 감수성이 예민하고 자제력이 부족한 청소년들에게 이러한 서비스에 무방비로 노출되어 있다. 이런 청소년 유해 사이트들의 기하급수적으로 증대됨에 따라서, 명시적으로 허용되는 사이트만을 접속하고 싶다는 서비스에 대한 요청도 증가하고 있다.
인터넷 유해 사이트 차단과 관련하여 한국특허출원 제10-2000-0021151호(유해사이트의 접속차단 서비스 제공장치 및 방법)등이 있으나, 종래 기술에서는 인터넷 트래픽 분석과 제어는 TCP port 번호로 인터넷 서비스를 식별하고 이를 차단 대상 사이트 목록과 대비하여 차단 여부를 결정하게 된다.
초기 인터넷에서는 TCP 포트번호와 인터넷 서비스가 1:1 결합이 되어 있었다. 이러한 포트번호는 IANA에 의해서 관리되고 있다. 포트번호는 특성에 따라서 WELL KNOWN PORT, REGISTERED PORT, DYNAMIC PORT/AND PRIVATE PORT로 구별되기도 한다. 초기 이러한 포트는 대부분 0-255사이의 범위를 가지고 있었다. 80포트는 HTTP(hyper text transfer protocol) 서비스 웹서비스를 의미하고 25번 포트는 SMTP(simple mail transfer protocol), 23번 포트는 telnet서비스, 20번 21번 포트는 ftp(file transfer protocol)서비스에 해당한다. 또한 이러한 서비스는 IETF(internet engineering task force)에 의해서 RFC(request for comment)라는 인터넷 규약에 의해 정의되어 있는 것이 일반적이다. 이러한 환경하에서 인터넷에서 사용하는 서비스 사용현황 통계는 패킷의 포트번호를 확인하여 정량화하면 가능했다. 기타 서비스의 트래픽은 미비한 수준으로 무시할만하거나 전체적인 추이를 파악하는데 있어서 주요 변수가 되지 않았다.
하지만, 최근 2000년이후로 소프트웨어형 MP3 플래이어인 넵스터를 필두로하여 P2P를 비롯하여 많은 인터넷 서비스가 생겨나고 있다. 대중적인 메신저 서비스만하더라도 AOL(America on line), MSN messenger, Yahoo messenger등을 들수 있다. 이러한 서비스들은 그전의 TCP 서비스와 달리 IETF에 의해서 정의된 프로토콜 을 사용하지 않는다. 또한 이러한 서비스들은 대부분 상용소프트웨어 개발회사에 의해서 비공개적으로 개발되었다. 이러한 서비스들은 서비스의 가용성(availability)이 주요 목표로 설계되었다. 즉 어떠한 경우라도 통신이 가능하도록 하는 것이다. 이러한 서비스들 중의 몇몇은 고정된 포트가 없다. 예를 들면 Yahoo Messenger의 최신버전은 특정 포트를 기본 로그인 포트로 사용한다. 이때 사내 방화벽의 설정 등의 원인으로 인하여 해당포트가 차단되어있을 경우 통상 HTTP 프로토콜이 사용하는 80포트로 우회하여 로그인을 수행한다. 현재 80포트는 모든 프로토콜의 포트라고 불리울만큼 대부분 서비스의 우회경로로 활용되고 있다.
MSN messenger서비스와 같은 P2P서비스는 대용량데이터 전송시 서버 부하 회피등의 이유로 인하여, 종종 서버를 거치지 않고 직접 통신 양단끼리 데이터를 주고 받는 P2P를 사용한다. 이때는 그전까지 통신으로 사용하던 포트를 사용하지 않고 통신양단간의 별도의 포트를 서로간에 정의해서 활용하는 경우가 있다.
요즘 전형적인 서비스는 또한 프락시(proxy)서비스를 사용할 수 있도록 설정할 수 있다. 프락시는 대부분 HTTP protocol과 비슷한 형식을 취하고 80포트를 빈번하게 통신 포트로 설정하곤 한다..
요컨데, 최근 인터넷 서비스들은 고정되지 않은 동적 혹은 임의의 포트를 사용하는 경향, 서비스내에서 별도 포트를 사용하는 경향과 프락시 서비스를 사용하는 경향이 강하게 있다. 따라서 패킷의 TCP PORT번호를 통해서 서비스를 식별하고 트래픽을 분석하는 것이 더 이상 유효하지 않게 되었다.
이러한 상황에서는 트래픽 내용을 유효하게 분석하고 필요에 따라서 제어하 기 위해서는 TCP 포트번호로 판단하는 것이 아니라 패킷 데이터 내용을 해석(parsing)해서 서비스를 구별하는 프로토콜 분석 시스템의 개발의 요청이 강하게 대두되고 있다.
본 발명의 목적은 인터넷 유해 사이트 및 기타 전용 프로토콜을 이용하는 온라인 게임이나 채팅 서비스와 같은 제반 인터넷 트래픽에 대한 정확한 측정 및 선별적인 제어를 가능하게 하는 방법 및 시스템을 제공하는 데 있다.
본 발명은 인터넷 트래픽 측정 및 서비스의 선택적 제어 방법에 있어서, 클라이언트의 접속 요청에 의하여 클라이언트와 서버 사이에 새로운 TCP 세션이 수립되는지를 감시하는 단계와, 상기 새로운 세션이 수립되면 패킷내의 데이터를 분석하여 프로토콜을 확인하는 단계와, 상기 확인 결과 HTTP 프로토콜이면 패킷내 URL 정보를 기초로 기정의된 사이트 목록과 대비하여 접속을 차단 대상인지를 판별하는 단계와, 상기 확인 결과 HTTP 이외의 프로토콜이면 패킷내 데이터를 분석하여 서비스 유형을 파악하여 기정의된 서비스 목록과 대비하여 차단 대상인지를 판별하는 단계와, 상기 차단 대상인지의 판별 결과에 따라 기정의된 정책에 따라 상기 세션을 제어하는 단계를 포함하는 인터넷 트래픽 측정 및 서비스의 선택적 제어 방법을 제공한다.
본 발명의 다른 특징에 따라 인터넷 트래픽 측정 및 서비스의 선택적 제어 시스템에 있어서, 클라이언트와 서버가 존재하는 네트워크 내에서 위치하며, 네트 워크내에 존재하는 패킷 데이터를 수집하여 감시하는 트래픽 측정 및 제어 서버와, 상기 트래픽 측정 및 제어 서버에 연결되고, 제어 정책 정보를 저장하고 갱신하는 정책 서버를 포함하고, 상기 트래픽 측정 및 제어 서버는 클라이언트의 접속 요청에 의하여 클라이언트와 서버 사이에 새로운 TCP 세션이 수립되는지를 감시하는 단계와, 상기 새로운 세션이 수립되면 패킷내의 데이터를 분석하여 프로토콜을 확인하는 단계와, 상기 확인 결과 HTTP 프로토콜이면 패킷내 URL 정보를 기초로 기정의된 사이트 목록과 대비하여 접속을 차단 대상인지를 판별하는 단계와, 상기 확인 결과 HTTP 이외의 프로토콜이면 패킷내 데이터를 분석하여 서비스 유형을 파악하여 기정의된 서비스 목록과 대비하여 차단 대상인지를 판별하는 단계와, 상기 차단 대상인지의 판별 결과에 따라 기정의된 정책에 따라 상기 세션을 제어하는 단계를 수행하는 것인 인터넷 트래픽 측정 및 서비스의 선택적 제어 시스템을 제공한다.
한편, 본 발명은 TCP session Killing기법 및 트래픽 미러링기법, 트래픽 터널링 기법, 사용자 인증 기법 등을 활용하고 있다. 이는 이미 수년전부터 네트워크 업계에서 다양하게 시도되어 오고 있던 시도이며, 네트워크 관리자에게는 일반적인 지식이나 본 발명의 기초가 되는 사항이므로 이하 약술한다.
FAKE PACKET을 사용한 TCP SESSION KILLING 기법
TCP 접속은 3-way 핸드쉐이킹 과정을 통해서 성립된다. 처음에 서비스 요청자가 싱크 패킷(sync packet; sync flag가 on되어 있는 패킷)을 보내고 서비스 제공자는 액크 패킷(ack packet; ack flag가 on되어 있는 패킷)을 보내고, 마지막으로 서비스 요청자가 다시 액크 패킷을 보내는 것으로 접속이 성립된다. 이러한 TCP 세션(session)을 중단시키는 방식 중에서 모조 패킷(Fake packet)방식이 있다. 이는 통신하는 양단에게 통신의 종료를 의미하는 패킷(Fin or Reset 플래그를 포함한 패킷)을 전송함으로써 이루어진다. 이러한 방식은 TCP 세션 킬링(TCP session killing)기법으로도 일컬어진다. TCP 세션 킬링 기법은 통상적으로 초기 connection이 성립될 때 종료시키는 방식을 채택한다. 세션 중간에도 세션 킬링은 가능하다. TCP/IP의 자료 전송 속도를 높이는 매커니즘의 하나인 슬라이딩 윈도우 사이즈 때문에, 방법은 조금더 복잡해지거나 한번에 끊어지지 않을 수도 있다. 이러한 TCP 세션 킬링 방법은 네트워크 스위치의 미러링을 통해서 트래픽을 복사받고, 트래픽 분석 후에 세션 차단 패킷을 발생시켜 양단에 전송하는 절차를 따른다. 이러한 기법은, 결과적으로 방화벽과 같은 in-line장비가 없이도 효과적으로 TCP데이터 전송을 제어할 수 있는 효과를 준다. 특히 이러한 TCP 세션 킬링 방식은 스위치를 통해서 패킷 미러링을 받는 방식으로 설정할수 있기에 방화벽(firewall), 라우터(router), 프락시(proxy) 장비에 비해서 상대적으로 초기 설치가 간편하고, 네트워크에 one-point failure의 위험을 부가하지 않으며, 추가적으로 트래픽 유발이 거의 없다. 몇몇 예외를 제외하고는 대부분의 인터넷 서비스는 TCP 접속을 사용하기에, TCP 세션 킬링 기법은 거의 모든 인터넷 서비스를 제어할 수 있는 수단이 된다. 본 발명에서는 인터넷 트래픽 제어를 위하여, TCP 세션 킬링 기법을 사용한다.
ISP에 의한 네트워크 사용자 인증기법
최근 국내에서 서비스되고 있는 초고속 인터넷 서비스에는 ISP차원에서 사용 자를 인증할 수 있는 인프라를 제공하고 있다. 이는 통칭 스마트 에지 라우터(smart edge router)라는 장비를 통해서 이루어진다. 이는 컴퓨터를 부팅하고 처음 인터넷을 사용하려는 시점에서, 강제적인 인증을 통해서 사용자를 식별하는 것이다. 인증은 통상 편의성 때문에 id/password를 통해서 이루어지나, 스마트카드나 생체인식(biometrics)와 같은 수단을 사용에 제한이 있는 것은 아니다. 인증서비스가 귀찮거나 원하지 않는 사용자에게는 단말인증(컴퓨터 인증이라고도 불리며, 네트워크 카드 MAC 인증이라고도 불리기도 함)을 통해서 서비스를 제공하도록 한다.
이 중 사용자 id에 기반한 인증은 사람에 따라서 차별화된 서비스를 제공해주는 용도로 이용될 수 있다. 어른들에게는 서비스 제한이 없도록 하며, 청소년들에게는, 음란사이트와 게임 그리고 채팅사이트에 대한 차단이 이루어지는 것이 그 예가 된다. 또한 부가서비스 가입자에게는 일정 정도 이상의 트래픽을 보장하기도 한다. 이러한 인증은 또 개별화된(personalized) 서비스를 제공하는 원천이 되기도 한다. 즉 접속자의 취향에 적합한 정보와 광고 그리고 서비스를 제공해주게 된다. 본 발명에서 제안하는 서비스가 ISP에 의해서 적용될 때 이러한 네트워크 사용자인증인프라와 결합되어서, 청소년들에게는 인터넷 서비스에 대한 제한을 두고, 어른들에게 제한을 주지 않는 방식으로 운영하도록 한다.
터널링 기법을 통한 서비스 가입자 트래픽 중앙집중
스위치의 트래픽 터널링 기법을 사용하면, 여러 개의 분산되어 있는 스위치의 트래픽을 한곳으로 집중할 수 있다. 특히나 ISP처럼 전국적인 네트워크 망을 구축하고 있는 조직에서는 그 필요성이 대두된다. 최근 네트워크 장비는 선별적인 트 래픽만을 터널링(L2TP)하도록 하는 기능을 제공하고 있다. 예컨데 상향 트래픽(upload traffic)만을 터널링해줄수 있으며, 특정 IP 주소 범위(IP range)에 해당하는 것만을 터널링해줄 수 있게 된다. 통칭 스마트 에지 라우터라는 장비는 서비스 가입자들은 선별해서 해당 트래픽만을 터널링 기법으로 한곳으로 전송해줄수 있다. 본 발명에서 제안하는 서비스가 ISP에 효율적으로 적용하려면 이러한 기법으로 네트워크 트래픽을 한곳으로 집중하는 것이 필요하다.
제어모드
본 발명에서는 인터넷 트래픽 측정과 제어에 3가지 모드를 제안하고 있다.
1. 화이트 리스트 모드 (WHITE LIST MODE)
2. 블랙 리스트 모드 (BLACK LIST MODE)
3. 모니터링 모드 (MONITORING MODE)
화이트 리스트 모드는 명시적으로 허용된 사이트 이외에는 차단하는 역할을 수행한다. 예를 들어 유소년에게는 명백하게 무해하다고 판단된 인터넷 서비스와 사이트만을 접속할 수 있도록 한다. 특히 초등학교 수준의 어린이들의 인터넷 서핑은 명시적으로 허용되는 사이트 중심으로 이루어지는 것이 오히려 바람직할때가 빈번하다. 화이트리스트 기반의 ISP의 인터넷 접근 제어 서비스는 본 발명만의 독창적인 접근이다.
블랙 리스트 모드는 명시적으로 차단된 사이트 이외에는 허용하도록 하는 역할을 수행한다. 대부분의 인터넷 유해사이트 차단 서비스는 블랙리스트 방식을 채택하였다.
모니터링 모드는 차단을 하지 않고 단지 서비스 분석을 통해서 트래픽만을 모니터링하는 역할을 수행한다. 차단을 적극적으로 수행할 경우에 사용자의 반발을 오히려 초래할수 있고, 은닉서비스와 우회서비스 발명과 생성을 조장할 수 있기에, 대부분의 경우에 모니터링만으로도 충분할 것이다.
전술한 바와 같이, 인터넷 트래픽 분석과 제어는 TCP port 번호로 인터넷 서비스를 식별하게 되면, 최근 들어서 포트와 서비스 내용이 일치하지 않는 경우가 빈번하게 나타나고 있고, 특히 80포트(HTTP protocol의 포트)는 모든 프로토콜의 포트라고 여겨지고 있는 상황에서는 인터넷 서비스 판별이 불가능하다.
또한 웹프락시를 사용하는 경우 미리 정해진 포트 번호 (예를 들면 HTTP는 80 혹은 8000, 8080포트)가 아닌 클라이언트와 웹프락시 사이에 임의의 포트를(예 : 13642 포트) 설정하여 서비스 접근이 가능하다. 이러한 경우에 기존 특허에서 제공하는 유해사이트(자살폭력음란사이트) 차단 서비스는 유효성이 떨어지게 된다.
따라서 본 발명에서는 정확한 인터넷 트래픽을 측정하고 제어하기 위해서 패킷내 데이터 내용으로 트래픽 분석을 수행한다. 본 발명에서 트래픽이라는 용어는 프로토콜 혹은 서비스를 의미하는 것이다. 웹(HTTP)은 TCP 세션이 이루어진 후에 클라이언트가 처음 보낸 패킷을 보면 GET이라는 스트링이 있고, 그 패킷내의 URL정보가 들어있으며 URL정보를 보면 어느 사이트(또는 서비스) 접속하는지 확인할 수 있다. 그러나 게임이나 P2P서비스인 경우에는 웹프로토콜이 아니며, 따라서 개별 프로토콜마다 분석을 독립적으로 해야 한다. 프로토콜을 식별하는 것은 대부분 첫번째 패킷으로 하게 되는데 간혹 첫번째 패킷으로 불충분하여 2-3개이상의 연속적 인 패킷을 분석해야할때도 존재한다. 패킷은 헤더부분과 데이터부분으로 나누어져있는 데 데이터 부분에 있는 내용을 분석, 즉 파싱해서 프로토콜을 식별한다. HTTP의 경우 예를 들면 데이터 패킷중에서 몇번째 바이트가 GET이면 URL을 요청하는 패킷이고, GET 패킷 내용 중에서 URL이 위치해 있기 때문에 URL부분을 추출해낼 수 있고, 그 이외의 전용 프로토콜을 채택하는 다른 서비스들, 예컨대 온라인 게임의 하나인 '카트라이더'인 경우에 데이터에 몇번째 바이트가 XX로 되어 있고 그 후 몇번째 바이트가 XX로 되어 있는 등의 규칙성이 있기 때문에, 이 전용 프로토콜을 사전에 분석하여 이 정보를 가지고 있으면 매우 높은 신뢰도로서 카트라이더임을 식별할 수 있다.
종래 기술에서는 HTTP서비스만의 제어를 대상으로 삼고 있으나, 본 발명에서 제공하는 트래픽 측정 및 제어 서비스는 HTTP서비스 이외에 모든 인터넷 서비스를 대상으로 한다. 특히 대표적인 온라인 게임, 온라인 커뮤니티서비스, P2P 메신저 서비스의 프로토콜을 제어한다.
본 발명의 제어 방법은 사용자단말(인터넷 클라이언트)에는 어떠한 프로그램도 설치하지 않는다는 점에서 PC단에서 제공하는 유해사이트 차단 시스템과 차별성을 가진다. 본 발명은 ISP혹은 유사한 기관에서 운영하는 트래픽 측정 및 제어 서버에서 유해여부판단과 차단에 대한 결정이 이루어진다.
이하, 첨부 도면을 참조하며 본 발명의 구성에 대하여 상세히 설명한다.
도 1은 본 발명에 따르는 제어 시스템의 구성 및 적용되는 인터넷 환경을 도시한 모식도이다.
사용자 단말이 인터넷 서비스를 이용하기 위해서는 ISP를 경유하여 웹, P2P 서비스, 온라인 게임 서비스 등을 수행하는 인터넷 버서에 접속해야 하며, ISP 사업자는 스위치(40)을 포함한다.
사용자는 인터넷 서비스를 이용하기 전에 가입한 ISP에 대하여 사용자 인증을 받는다. 사용자 인증을 받았을 경우에는 id별로 식별되는 개인 정보(예컨대, 연령, 지역) 등의 차별화된 서비스 제어가 가능하다. 사용자 인증을 받지 않을 경우에는 단말기인증(MAC address 혹은 IP)로 서비스 제공 여부를 식별한다.
인터넷 트래픽 측정 및 제어 서버(10)는 스위치(40)에 연결되어, 스위치장비의 미러링을 통해서 트래픽을 제공받는다. 미러링이외에 탭장비를 통해서 트래픽을 제공받을수 있다. 제어 서버(10)는 이와 같이 인터넷 트래픽을 측정/감시하다가, 데이터베이스(30)를 참조하고 정책 서버(20)에 저장된 정책 정보에 기초하여 사용자가 접속하려는 또는 접속하고 있는 서비스 유형에 따라서 차단, 허용, 감시 여부를 결정하고 그에 따라 제어한다.
도 2는 본 발명에 따르는 인터넷 서비스 측정 및 제어 방법에 대한 흐름도이다.
제어 서버(10)는 패킷이 보고 우선 서비스 요청 초기단계에 해당하는 내용인지 확인한다(단계 S1). 대부분 TCP 세션의 성립 후 클라이언트가 보내는 첫번째 한두개 패킷이 이에 해당한다. 사용자가 인터넷 서비스를 사용하려고 할 경우에 그 트래픽은 표준 HTTP일수도 있고, 그외 전용(proprietary) 프로토콜일 수 있다. 온라인게임과 메신저는 대부분 전용 프로토콜을 사용하며, 업체마다 프로토콜이 상이 하다.
초기단계인 경우에 패킷 내용을 확인하여 HTTP 서비스인지 전용 프로토콜인지 판단한다(단계 S2).
만일 초기 단계가 아닌 경우에는 현재 사용자(클라이언트 IP 혹은 사용자 id로 식별함)에 대한 제어 모드가 모니터링 상황인지 판단한다(단계 S3). 모니터링 모드일 경우에 패킷의 프로토콜을 식별한 후 해당 프로토콜과 세션의 통계 정보를 갱신하고 처리를 종료한다(단계 S9).
서비스 요청 초기단계이고 HTTP 서비스인 경우에는 데이터베이스(30)을 확인하여 URL카테고리를 확인한다(단계 S5). 예를 들면 음란사이트 혹은 싸이월드와 같은 커뮤니티사이트인지 여부를 확인한다.
전용 프로토콜이며 서비스 요청 초기단계인 경우 즉 TCP세션이 이루어진 후에 첫번째 패킷 혹은 그 후 한두개의 패킷 내용까지 포함하여 패킷 데이터를 분석하여 그중에 어떤 프로토콜인지 확인한다(단계 S4). 예를 들면 패킷의 헤더내용을 제외한 데이터 내용중에서 4번째 byte가 FF이고, 15번째 byte가 4F이며, 25, 26byte가 5A, 6B인경우에 XX프로토콜이라고 판정내린다. 전용 프로토콜이란 예컨대 NC소프트의 리니지, WOW(world of warcraft), NEXON의 카트라이더, MSN messenger, NATE On messenger, BuddyBuddy messenger등이다.
전용 프로토콜의 분석은 제어 서버(10)에 프로토콜별 분석엔진(parsing engine)을 구비하여 수행된다. 프로토콜 분석엔진은 DLL(dynamic link library)형태로 신규 프로토콜마다 하나씩 추가할 수 있는 구조를 채택하는 것이 바람직하다. 또한, ㅊ분석엔진은 Web proxy와 SOCK proxy 등 프락시 분석을 수행한다.
단계(S5) 및 단계(S4)를 통하여 사이트 또는 서비스 카테고리를 식별한 후에는 정책 서버에 저장된 제어 정책을 확인하고(단계 S6), DB를 검색하여 해당 서비스가 차단대상인지 확인한다(단계 S7).
서비스 제어는 정책(Policy)기반으로 이루어진다. 정책은 사용자, 시간대, 서비스 카테고리, 제어 모드에 대한 기술이다. 제어 모드는 화이트 리스트, 블랙리스트, 모니터링 모드를 지원한다. 화이트 리스트의 예를 들면 청소년에게는 오후 7시부터 새벽 2시까지 정보통신윤리위원회 등 공신력 있는 기관에서 판단하여 청소년에게 유용한 사이트로 인증받은 사이트만을 접속할 수 있도록 하는 것이다. 블랙리스트의 예를 들면 청소년에게는 오후 7시부터 새벽 2시까지는 대표적인 온라인 게임 사이트 접속을 금지한다는 정책이다. 차단모드로 운영할 경우에 사용자의 반발과 우회경로의 탐색등 부작용을 초래할수 있기 때문에 모니터링 모드로 운영할수 있다.
시간대는 단순히 시간영역을 지정할수도 있으며, 시간의 총량을 지정할수도 있다.
사용자 식별은 IP address로 수행한다. 서비스 가입자에게는 특정한 IP range를 제공하는 방식으로 해결하는 방법과, 서비스 가입자 트래픽만을 한곳으로 집중화해주는 방법 등을 사용한다. 또한 개별 사용자 식별은 IP address와 사용자 id 와의 정보를 담고 있는 데이터베이스를 참고하여 수행한다.
위의 단계(S7)에서 차단 대상 사이트 또는 서비스로 판단될 경우에는 서비스 를 차단하고(단계 S8), 위의 단계(S7)에서 차단 대상 사이트 또는 서비스가 아닌 것으로 판단된 경우에는 단계(S9)로 가서 프로토콜 통계 정보를 갱신한다.
이상, 바람직한 실시예를 통하여 본 발명의 구성에 대하여 상세하게 기술하였으나, 이는 본 발명의 구성을 예시하고자 하는 것으로서 본 발명의 보호 범위가 이에 한정되는 것은 아니다. 예컨대, 허용 대상 또는 차단 대상을 목록화하여 저장하는 데이터베이스(30)는 허용 대상 및 차단 대상을 모두 한 곳에 저장하는 것일 수도 있으며, 각각 논리적 또는 물리적으로 별개로 저장하는 것을 수 있다. 또한 URL에 기초한 인터넷 사이트 및 전용 프로토콜을 취하는 인터넷 서비스 역시 함께 저장될 수 있고, 별개로 저장될 수 있다. 결국, 허용 대상/차단 대상/인터넷 사이트/인터넷 서비스 등의 저장에 다양한 조합이 있을 수 있으며, 여하한 조합이든지 본 발명의 범주에 속하는 것이다. 기타 정책 서버 역시 서버라고 표현되어 있으니 정책을 주기적 또는 필요시 갱신하는 기능을 포함하는 정책 서버 일 수 있고, 정해진 정책을 저장하는 일종의 DB 서버일 수 있다.
본 발명의 기술 분야에 통상의 지식을 가지는 자라면 본 발명의 바람직한 실시예에 대한 기타의 다양한 변형과 변경이 가능할 것이므로, 본 발명의 범위는 이하의 특허청구범위에 의하여 정하여져야 할 것이다.
본 발명에 의하면 HTTP 프로토콜을 이용하는 통상의 인터넷 사이트 이외에 전용 프로토콜을 이용하는 P2P 서비스, 온라인 게임 등에 대해서도 식별 및 접속 제어가 가능하다.

Claims (20)

  1. 인터넷 트래픽 측정 및 서비스의 선택적 제어 방법에 있어서,
    클라이언트의 접속 요청에 의하여 클라이언트와 서버 사이에 새로운 TCP 세션이 수립되는지를 감시하는 단계와,
    상기 새로운 세션이 수립되면 패킷내의 데이터를 분석하여 프로토콜을 확인하는 단계와,
    상기 확인 결과 HTTP 프로토콜이면 패킷내 URL 정보를 기초로 기정의된 사이트 목록과 대비하여 접속을 차단 대상인지를 판별하는 단계와,
    상기 확인 결과 HTTP 이외의 인터넷 프로토콜이면 패킷내 데이터를 분석하여 서비스 유형을 파악하여 기정의된 서비스 목록과 대비하여 차단 대상인지를 판별하는 단계와,
    상기 차단 대상인지의 판별 결과에 따라 기정의된 정책에 따라 상기 세션을 제어하는 단계를 포함하는 인터넷 트래픽 측정 및 서비스의 선택적 제어 방법.
  2. 제1항에 있어서, 상기 서비스 목록은 온라인게임, 커뮤니티, 메신저 채팅, 음란사이트 분류를 포함하는 것인 인터넷 트래픽 측정 및 서비스의 선택적 제어 방법.
  3. 제1항에 있어서, 상기 정책은 사용자, 시간대, 제어 모드 중 적어도 하나를 고려하여 결정되는 것인 인터넷 트래픽 측정 및 서비스의 선택적 제어 방법.
  4. 제3항에 있어서, 상기 사용자는 사용자 id 및/또는 IP 어드레스로 식별하는 것인 인터넷 트래픽 측정 및 서비스의 선택적 제어 방법.
  5. 제3항에 있어서, 상기 제어모드는 블랙리스트차단, 화이트리스트차단, 모니터링 모드를 포함하는 것인 인터넷 트래픽 측정 및 서비스의 선택적 제어 방법.
  6. 제1항에 있어서, 상기 HTTP 이외의 프로토콜은 프로토콜마다 분석엔진(parsing engine)을 별도로 구비하여 판별하는 것인 인터넷 트래픽 측정 및 서비스의 선택적 제어 방법.
  7. 제6항에 있어서, 상기 프로토콜 분석엔진은 DLL(dynamic link library)형태로 신규 프로토콜마다 하나씩 추가할 수 있는 구조를 채택하는 것인 인터넷 트래픽 측정 및 서비스의 선택적 제어 방법.
  8. 제6항에 있어서, 상기 분석엔진은 Web proxy와 SOCK proxy 등 프락시 분석을 수행하는 것인 인터넷 트래픽 측정 및 서비스의 선택적 제어 방법.
  9. 제1항에 있어서, 상기 패킷은 네트워크 스위치의 트래픽 미러링 방식 혹은 탭(Tap)장비를 통해서 수집하는 것인 인터넷 트래픽 측정 및 서비스의 선택적 제어 방법.
  10. 제1항에 있어서, 상기 세션을 제어하는 단계는 모조 패킷(FAKE PACKET) 기반의 TCP 세션 킬링(SESSION KILLING) 기법을 사용하여 TCP 접속을 제어함으로써 수행되는 것인 인터넷 트래픽 측정 및 서비스의 선택적 제어 방법.
  11. 인터넷 트래픽 측정 및 서비스의 선택적 제어 시스템에 있어서,
    클라이언트와 서버가 존재하는 네트워크 내에서 위치하며, 네트워크내에 존재하는 패킷 데이터를 수집하여 감시하는 트래픽 측정 및 제어 서버와,
    상기 트래픽 측정 및 제어 서버에 연결되고, 제어 정책 정보를 저장하고 갱신하는 정책 서버를 포함하고,
    상기 트래픽 측정 및 제어 서버는 클라이언트의 접속 요청에 의하여 클라이언트와 서버 사이에 새로운 TCP 세션이 수립되는지를 감시하는 단계와, 상기 새로운 세션이 수립되면 패킷내의 데이터를 분석하여 프로토콜을 확인하는 단계와, 상기 확인 결과 HTTP 프로토콜이면 패킷내 URL 정보를 기초로 기정의된 사이트 목록과 대비하여 접속을 차단 대상인지를 판별하는 단계와, 상기 확인 결과 HTTP 이외의 프로토콜이면 패킷내 데이터를 분석하여 서비스 유형을 파악하여 기정의된 서비스 목록과 대비하여 차단 대상인지를 판별하는 단계와, 상기 차단 대상인지의 판별 결과에 따라 기정의된 정책에 따라 상기 세션을 제어하는 단계를 수행하는 것인 인터넷 트래픽 측정 및 서비스의 선택적 제어 시스템.
  12. 제11항에 있어서, 차단 대상 사이트 및/또는 서비스 목록을 저장하는 저장수단을 더 포함하는 인터넷 트래픽 측정 및 서비스의 선택적 제어 시스템.
  13. 제11항에 있어서, 허용 대상 사이트 및/또는 서비스 목록을 저장하는 저장수단을 더 포함하는 인터넷 트래픽 측정 및 서비스의 선택적 제어 시스템.
  14. 제1항에 있어서, 상기 정책 서버에 저장되는 상기 정책 정보는 사용자, 시간대, 제어 모드를 포함하는 것인 인터넷 트래픽 측정 및 서비스의 선택적 제어 시스템.
  15. 제14항에 있어서, 상기 제어 모드는 블랙리스트차단, 화이트리스트차단, 모니터링 모드를 포함하는 것인 인터넷 트래픽 측정 및 서비스의 선택적 제어 시스템.
  16. 제11항에 있어서, 상기 HTTP 이외의 프로토콜을 분석하여 서비스 유형을 파악하는 분석엔진(parsing engine)을 더 포함하는 인터넷 트래픽 측정 및 서비스의 선택적 제어 시스템.
  17. 제16항에 있어서, 상기 프로토콜 분석엔진은 DLL(dynamic link library)형태로 신규 프로토콜마다 하나씩 추가할 수 있는 구조를 채택하는 것인 인터넷 트래픽 측정 및 서비스의 선택적 제어 시스템.
  18. 제16항에 있어서, 상기 분석엔진은 Web proxy와 SOCK proxy 등 프락시 분석을 수행하는 것인 인터넷 트래픽 측정 및 서비스의 선택적 제어 시스템.
  19. 제11항에 있어서, 상기 트래픽 측정 및 제어 서버는 네트워크 스위치의 트래픽 미러링 방식 혹은 탭(Tap)장비를 통해서 수집하는 것인 인터넷 트래픽 측정 및 서비스의 선택적 제어 시스템.
  20. 제11항에 있어서, 상기 트래픽 측정 및 제어 서버는 모조 패킷(FAKE PACKET) 기반의 TCP 세션 킬링(SESSION KILLING) 기법을 사용하여 TCP 접속을 제어하는 것인 인터넷 트래픽 측정 및 서비스의 선택적 제어 시스템.
KR1020050066214A 2005-07-21 2005-07-21 패킷 내용 기반 인터넷 트래픽 제어 방법 및 시스템 KR100717635B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050066214A KR100717635B1 (ko) 2005-07-21 2005-07-21 패킷 내용 기반 인터넷 트래픽 제어 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050066214A KR100717635B1 (ko) 2005-07-21 2005-07-21 패킷 내용 기반 인터넷 트래픽 제어 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20070011711A KR20070011711A (ko) 2007-01-25
KR100717635B1 true KR100717635B1 (ko) 2007-05-15

Family

ID=38012311

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050066214A KR100717635B1 (ko) 2005-07-21 2005-07-21 패킷 내용 기반 인터넷 트래픽 제어 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR100717635B1 (ko)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100969455B1 (ko) * 2007-12-28 2010-07-14 주식회사 케이티 네트워크 이용경향 관리를 위한 홈게이트웨이 장치 및 그동작 방법과, 그를 이용한 네트워크 이용경향 관리 방법
KR101029260B1 (ko) * 2008-10-27 2011-04-18 (주)소만사 유해 사이트 차단 장치 및 방법
CN102340428B (zh) * 2011-09-29 2014-01-15 哈尔滨安天科技股份有限公司 基于网络丢包的url检测与拦截方法和系统
KR101275708B1 (ko) * 2011-12-20 2013-06-17 (주)소만사 Ssl/tls 핸드쉐이킹 패킷의 정보를 이용한 정보유출방지 시스템 및 https 접속 선별 차단 방법
KR101980099B1 (ko) * 2012-09-21 2019-05-20 에스케이 텔레콤주식회사 전송 상태 정보를 이용한 트래픽 제어 방법과 그를 위한 정책 제공 장치 및 단말기
JP5222427B1 (ja) * 2012-09-28 2013-06-26 株式会社 ディー・エヌ・エー ネットワークシステム、及び、プログラム
KR101523708B1 (ko) * 2013-11-25 2015-05-28 나이스평가정보 주식회사 웹사이트 선별차단 관리시스템
KR101511474B1 (ko) * 2014-06-09 2015-04-10 플러스기술주식회사 에이전트 프로그램을 이용한 인터넷 접속 차단 방법
KR102259357B1 (ko) * 2019-12-26 2021-06-02 주식회사 나온웍스 산업제어 프로토콜 보안 장치

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010097250A (ko) * 2000-04-21 2001-11-08 김태주 유해사이트의 접속차단 서비스 제공장치 및 방법
KR20020085053A (ko) * 2001-05-04 2002-11-16 이재형 네트워크 트래픽 흐름 제어 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010097250A (ko) * 2000-04-21 2001-11-08 김태주 유해사이트의 접속차단 서비스 제공장치 및 방법
KR20020085053A (ko) * 2001-05-04 2002-11-16 이재형 네트워크 트래픽 흐름 제어 시스템

Also Published As

Publication number Publication date
KR20070011711A (ko) 2007-01-25

Similar Documents

Publication Publication Date Title
KR100717635B1 (ko) 패킷 내용 기반 인터넷 트래픽 제어 방법 및 시스템
Pa et al. IoTPOT: A novel honeypot for revealing current IoT threats
US9515991B2 (en) Managing authentication requests when accessing networks
US9444835B2 (en) Method for tracking machines on a network using multivariable fingerprinting of passively available information
US9521118B2 (en) Secure network privacy system
KR101095447B1 (ko) 분산 서비스 거부 공격 차단 장치 및 방법
US20050166049A1 (en) Upper-level protocol authentication
US20080168556A1 (en) Server denial of service shield
US20100281159A1 (en) Manipulation of dhcp packets to enforce network health policies
KR20140122044A (ko) 슬로우 리드 도스 공격 탐지 장치 및 방법
CN110557358A (zh) 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置
JP2022554101A (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
KR101281160B1 (ko) 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법
KR101518472B1 (ko) 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 추가 비지정 도메인 네임을 구비한 웹서버에 의해 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템
JP2014236461A (ja) 遮断システム、遮断サーバ、遮断方法、およびプログラム
US8463921B2 (en) Method and system for controlling a computer application program
EP1950917A1 (en) Methods for peer-to-peer application message identifying and operating realization and their corresponding devices
JP4550145B2 (ja) アクセス制御のための方法、装置、およびコンピュータ・プログラム
CN112491836B (zh) 通信系统、方法、装置及电子设备
KR101518470B1 (ko) 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 웹서버에 의해 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템
US20070250922A1 (en) Integration of social network information and network firewalls
US8271678B2 (en) Independent detection and filtering of undesirable packets
KR100919696B1 (ko) 차단 대상 사이트에 대한 우회 접근을 차단하는 방법 및시스템
CN114124473A (zh) 基于端口镜像的网络准入认证系统及认证方法
Cisco Controlling Network Access and Use

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130430

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140530

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150506

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20160504

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20170927

Year of fee payment: 11

LAPS Lapse due to unpaid annual fee