본 발명에 따른 실시간 서비스 관리 시스템은, 인터넷을 사용하는 기업 가입자의 트래픽으로 부터 통신관리용 데이터인 플로우 및 SNMP 데이터를 실시간으로 수집/분석하여 이상 트래픽을 감지하는 실시간 트래픽 분석 서비스부; 상기 트래픽 분석 결과에 기초하여 기업 고객 차단 룰셋에 따른 비업무용 트래픽 차단정책을 설정하고 및 관리하며, 상기 차단 정책을 네트워크 장비에서 시행하는 기업용 QoS 서비스부; 상기 트래픽 분석 결과에 기초하여 유해트래픽을 선별적으로 차단하거나, 웹서비스 트래픽을 추출하여 우회시켜 미리 등록해둔 비업무용 URL 정보와 비교하여 비업무용 URL을 차단하는 네트워크 기반의 보안서비스부; 상기 실시간 트래픽 분석 서비스부, 기업용 QoS 서비스부, 유해트래픽 차단 서비스부 및, 비업무용 URL 차단 서비스부를 제어 및 감시하고, 사용자와의 인터페이스를 제공하는 통합 서비스 서버 제어부를 구비한다. 여기서 유해트래픽 차단서비스와 비업무용 URL 차단 서비스는 본 발명에서 제공하고자 하는 네트워크 기반의 보안서비스의 일부로서 설명하고 있다. 네트워크 기반의 보안서비스는 기존 네트워크 구조를 크게 변경시키지 않게 보안서비스를 제공하도록 구축하는 것을 특징으로 한다.
그리고, 본 발명에 따른 기업용 실시간 서비스 관리 방법은 인터넷을 사용하는 기업 가입자의 트래픽으로 부터 통신관리용 데이터인 플로우 및 SNMP 데이터를 실시간으로 수집/분석하여 이상 트래픽을 감지하는 실시간 트래픽 분석 서비스 단계; 상기 트래픽 분석 결과에 기초하여 기업 고객 차단 룰셋에 따른 비업무용 트래픽 차단정책을 설정 및 관리하며, 상기 차단 정책을 네트워크 장비에서 시행하는 기업용 QoS 서비스 단계; 상기 트래픽 분석 결과에 기초하여 유해한 트래픽을 선별적으로 차단하는 유해트래픽 차단 서비스 단계; 상기 트래픽 분석 결과에 기초하여 선택된 비업무용 URL 카테고리에 해당하는 URL을 차단하는 비업무용 URL 차단 서비스 단계; 상기 실시간 트래픽 분석 서비스 단계, 상기 기업용 QoS 서비스 단계, 유해트래픽 차단 서비스 단계 및, 비업무용 URL 차단 서비스 단계 각각에 대해 서비스서버간의 데이터처리흐름, 서버간 제어방법, 상호인증, 보안성을 포함하는 통합서비스 제어 단계(사용자와의 인터페이스를 제공하는 웹서비스 단계)를 포함한다.
한편 본 발명의 다른 실시예에 따른 기업용 실시간 서비스 관리 시스템은, 통신 관리용 데이터인 플로우 및 SNMP 데이터를 수집하고 실시간으로 비정상트래픽을 분석하는 트래픽 수집장치, 수집된 상기 플로우 및 SNMP 데이터에 기초하여, 실시간 트래픽 분석, 비업무용 및 유해서비스 현황분석을 실시하는 분석 장치, 상기 실시간 트래픽 분석, 상기 비업무용 및 유해서비스 현황분석 및, 상기 비정상트래픽 분석 데이터를 운용자에게 제공하고, 기업고객으로 부터 비업무용트래픽, 비업무용 URL에 대한 차단을 요청을 받는 웹서버; 상기 비업무용 트래픽에 대한 차단 및, 대역폭 제한 정책을 생성하여, 운용자의 확인을 받아, 차단 및 대역폭제한 정책을 상기 기업용 코어 라우터로 전송하여 정책 시행을 지시하는 정책서버; 정책서버로부터 명령어를 받아 직접 네트워크 장비를 제어하는 서비스제어장치; 네트워크 상에서 유해트래픽을 감지 및 차단하고, 그에 대한 결과를 상기 웹서버로 전송하는 유해트래픽 감지 및 차단장치; 기업고객이 요청한 상기 비업무용 사이트(URL)를 차단하고, 그에 대한 결과를 상기 웹서버로 전송하는 비업무용 URL 차단장치; 및 상기 기업용 코어 라우터 및 기업용스위치, 상기 트래픽 분석 장치, 상기 웹서버, 상기 정책서버, 상기 유해 트래픽 감지 및 차단 장치 및, 상기 비업무용 URL 차단장치를 중앙에서 총괄 및 제어를 담당하는 통합서비스 제어장치를 구비한다.
이하, 첨부한 도면을 참조하여 본 발명의 실시예에 대해 상세히 설명하고자 한다.
도 1은 본 발명에 따른 서비스 관리 시스템의 구성도이다. 도 1을 참조하면, 본 발명에 따른 실시간 서비스 관리 시스템은 실시간 트래픽 분석 서비스부(100), 기업용 QoS 서비스부(200), 유해 트래픽 차단 서비스부(300), 비업무용 URL 차단 서비스부(400) 및, 통합 서비스 서버 제어부(500)를 포함한다.
실시간 트래픽 분석 서비스부(100)는 실시간 플로우 및 SNMP 트래픽을 수집하는 트래픽 수집장치(101), 및 수집된 트래픽을 추출, 가공, 분석하는 트래픽 분석 장치(102)를 포함하여 구성된다.
트래픽분석장치(102)는 일반적인 데이터베이스의 트래픽분석작업을 수행한다. 트래픽분석장치(102)의 분석작업에 따라 기업고객별 트래픽 사용 내역이 파악되며, 이 결과는 후술하는 통합 서비스 서버 제어부(500)로 즉시 전달된다.
기업용 QoS 서비스부(200)는 실시간 트래픽 분석 서비스부(100)의 분석 결과를 토대로 기업고객이 직접 P2P와 같이 특정포트를 사용하는 비업무용트래픽에 대하여 차단이나 대역폭 제한의 요구를 주고, 이미 정의된 정책에 의거 차단명령어를 생성하면 서비스서버운용자의 최종 검토를 통해 네트워크 장치로 정책을 전달하는 정책서버로 구성된다. 정책서버에서 내린 명령어를 네트워크 장비 레벨에서 차단 또는 대역폭 제한을 수행하는 기능 즉, P2P 등 특정포트를 사용하는 비업무용트래픽에 대하여 기업고객의 차단룰셋 요구에 맞춰 네트워크 장비에 차단 명령어를 시행하는 역할은 통합서비스제어장치(601)에서 시행한다.
유해트래픽 차단 서비스부(300)는 실시간 트래픽 분석 서비스부(100)의 분석 결과를 토대로 유해트래픽을 자동으로 감지 및 차단할 수 있는 유해트래픽 감지 및 차단 장치(301)를 구비한다. 이때 제공되는 유해 트래픽 감지 및 차단 서비스에 따라 DOS, 웜, 바이러스, 스팸 메일 등과 같은 유해트래픽이 감지 및 차단되면, 그 결과를 망운용자에게 전달하는 것이 바람직하다.
비업무용 URL 차단 서비스부(400)는 증권, 오락, 쇼핑몰, 은행 사이트와 같은 비업무용 사이트에 대한 URL 차단서비스를 담당하는 비업무용 URL 차단장치(401)를 구비하고, 실시간 트래픽 분석 서비스부(100)의 분석 결과를 토대로 기업이 정의한 비업무용사이트 URL에 대한 차단요구를 받아 비업무용 사이트를 탐지 및 차단하고, 그 결과를 웹으로 전송한다.
통합 서비스 서버 제어부(500)는 각 장치들을 제어할 수 있는 통합서비스서버 제어장치(601), 및 각각의 구성요소들과 사용자간의 GUI(Graphic User Interface) 인터페이스를 제공하는 웹 서버(501)를 구비하며, 각 장치, 서버, 네트워크 장비의 상태 감시 및 제어를 담당하고 주기적으로 네트워크장비의 시설현황을 관리한다.
이하 기업용 실시간 서비스 관리 시스템의 각 구성요소에 대해 상세히 설명하도록 한다.
도 2는 도 1의 트래픽 분석 서비스부(100)에 대한 상세블럭도이다. 도2를 참조하면, 트래픽 수집 장치(101)는 네트워크 장비로부터 플로우/SNMP 데이터를 수집하는 플로우/SNMP 데이터 수집부(111, 112), 플로우/SNMP 데이터 수집부(111, 112)에 의해 수집된 플로우/SNMP 데이터를 주기적으로 트래픽분석 장치(102)로 전송하는 플로우/SNMP 데이터 전송부(113, 114)를 포함한다.
이때, 플로우 데이터를 수집하기 위해서는 네트워크 디바이스에서 사전에 트래픽 수집장치(101)의 IP 주소를 등록시켜야 한다. 이것은 플로우를 추출하는 네트워크 디바이스에 사전에 플로우 패킷을 수집할 수집장치의 IP 주소, 포트정보(트래픽 수집장치에서 해당 포트를 열고 대기해야함)를 설정해야, 생성된 플로우 패킷이 트래픽 수집장치로 수집되도록 되어있기 때문이다.
SNMP 정보는 기업고객별 링크 사용 현황 파악 및 시설정보 확보를 위해 주기적으로 수집하며, 수집위치는 고객의 인터넷 접속 최접점 장비로부터 수신한다. 이때 인터넷 접속 최접점 장비는 기업고객과 연결된 기업용 스위치 및 기업용 코어 라우터인 것이 가능하다.
여기서 사용하는 플로우 데이터의 구성은 도 8과 같고, SNMP 데이터는 도 9와 같다. 플로우 필드는 플로우 패킷에서 발착신 IP주소, 발착신 포트번호, 프로토콜, TOS 필드, input/output I/F 인덱스, nexthop, 발착신 AS번호, 발착신 네트워 크 MASK정보, 플로우수, 패킷수, 바이트수, 플로우시작시각, 플로우종료시각을 추출하고, SNMP 필드에는 기업고객의 네트워크 인터페이스로부터 총사용트래픽, 초당처리패킷수, 라우터 인터페이스 온/오프 정보를 추출하여 관리한다.
또한, SNMP 트래픽을 수집하기 위하여 기업고객별 접속네트워크 장비에 대한 시설정보가 필요하다. 이때 네트워크 장비에 대한 시설정보는 외부 시설 및 고객관리시스템을 통해 대부분 확보한다. 필요한 장비 시설정보는 고객의 IP블록정보, 기업고객이 수용된 장비대표 IP, SNMP 버전정보, Community String, SNMP MIB(Management Information Base) OID(Object Identifiers) 정보 등을 포함한다. Community String, MIB OID는 네트워크 장비에서 SNMP를 가져올 때 필요한 필수입력 정보를 의미한다
그리고 트래픽 분석 장치(102)는 트래픽 수집장치(101)로부터 플로우/SNMP 데이터를 로딩하는 플로우/SNMP 데이터 로딩부(115, 116), 로딩된 플로우/SNMP 데이터를 가공하는 플로우/SNMP 데이터 가공부(117, 118), 트래픽 분석부(119), 트래픽 분석 결과 웹서버 전송부(120), 비정상 트래픽 분석부(121), 및 운용자 정보 전달부(122)를 포함한다.
DB(DataBase) 로딩작업이 끝나면 플로우/SNMP 가공부(117, 118)는 원시 플로우/SNMP 데이터에서 필요한 정보만을 추출하여 분석에 사용할 수 있는 기초 테이블들을 생성하는 과정이다.
그리고 비정상트래픽 분석부(121)는 플로우/SNMP 데이터 수집과 동시에 실시간적으로 사전에 정의된 이상트래픽 감지를 수행한다.
비정상트래픽 분석부는 IP 헤더를 임의로 변조시키는 공격유형들(Smurf, Fraggle, Xmas, Land, TCP NULL, IP NULL, TCP port anomaly, UDP port anomaly)과 특정 목적지(공격의 타겟)로 동일 유형의 트래픽을 무작위로 보내는 Flooding 유형의 공격(TCP SYN Flood, TCP RST Flood, TCP ACK Flood, ICMP Flood, UDP Flood, Mstream)으로 구분하여 탐지한다.
IP 헤더를 임의로 변조한 공격유형들은 플로우 정보를 이용하여 비정상적으로 설정된 필드값을 보고 탐지하며, Flooding 유형의 공격들은 정상트래픽과 섞여서 들어올 경우 탐지가 어렵기 때문에, 정상트래픽과 공격트래픽을 구분해주기 위한 임계치(Threshold)를 정해주고, 설정된 임계치가 넘을 경우 비정상 상태로 판별하도록 한다. 임계값은 네트워크 트래픽의 크기 및 특성에 따라 다르며 기업망의 트래픽의 특성에 의해 결정될 것이고, 이 값은 운용중에 운용자가 변경하여 사용할 수 있도록 시스템을 설계한다.
또한, 비정상 트래픽 분석부(121)는 비정상 트래픽의 감지 정확도를 높이기 위해서 네트워크가 정상상태일 때의 트래픽 통계(이하 노말 트래픽 상태라 함)를 사전에 관리한다. 관리되어야 하는 노말 트래픽 상태 항목은 정상 상태의 트래픽의 양에 대한 통계치로서 기업고객별로 4주간 특정 시간대별, 시간단위별(최소 5분단위)의 트래픽 통계(트래픽 크기, 패킷수, 플로우수, 프로토콜 분포/포트별분포의 TOP N정보)를 대상으로 4주간의 min, max, avg 대표값을 유지하여, 이 값과 유입/유출 트래픽을 비교하여 비정상적인 트래픽 상황을 모니터링하도록 한다.
비정상 트래픽 분석부(121)는 상기와 같은 비정상 트래픽 유입이 감지되면 운용자 경보 전달부(122)로 경보 메시지를 전달하고, 비정상 트래픽 유입 사실을 트래픽 분석 결과 웹서버 전송부(120)로 전송한다.
운용자 경보 전달부(122)에서는 비정상트래픽 유입 강도에 따라 운용자에게 메일과 핸드폰으로 메시지를 전달한다. 운용자는 상기 메일 또는 핸드폰 메시지를 수신하는 즉시, 비정상 트래픽 유입 상황을 판단하여, 위험한 공격성 트래픽으로 확인되면, 공격트래픽/비정상트래픽을 블로킹함으로써 네트워크 및 기업고객을 보호할 수 있다. 단, 이러한 공격트래픽/비정상트래픽에 대한 차단서비스는 유료서비스로서 이러한 서비스를 신청한 고객에 대해서만 차단을 실시하고, 그렇지 않은 일반 고객들에게는 탐지 결과만을 웹상에 게시해 준다.
한편, 트래픽분석장치(102)의 트래픽분석부(119)에서는 플로우 및 SNMP 트래픽 데이터를 기반으로 다양한 분석을 실시한다. 도 10은 플로우 및 SNMP 필드를 이용하여 분석이 가능한 기본 통계 Matrix와 이를 이용한 트래픽 통계내역에 대한 설명이다. 이때, 트래픽 통계는 기업고객 관점의 트래픽분석 및 통신사업자의 망 분석을 위한 트래픽 통계로 분류하여 분석이 가능한다.
트래픽 통계치는, 개별 기업 고객별로 실시간 트래픽 통계인 5분통계, 및 보고서 형태로 처리하는 시간대별, 일별, 및 월별 단위 통계로 산출되며, 기업고객의 요구에 맞춰 분석내용을 쉽게 추가, 삭제할 수 있도록 구성한다.
트래픽 분석이 완료되면, 웹서버 전송부(120)는 전송받은 트래픽 분석 결과를 웹서버로 전송한다
그리고 트래픽 분석부(119)는 트래픽분석시 SNMP데이터에서 네트워크 장비 에 대한 상태정보를 추출하여, 이를 후술하는 네트워크장비 시설현황관리부(615)로 제공하여 운용자가 통합서비스제어장치(601)를 통해 네트워크 장비에 대한 상태 정보를 쉽게 확인할 수 있게 한다.
한편, 도 3은 도 1의 기업용 QoS 서비스부(200)의 정책서버(201)의 상세 블럭도이다. 도 3을 참조하면 정책서버(201)는 기업고객 프로파일 상태 관리부(211), 차단 명령어 생성부(212), 정책 정의부(213), 차단 명령어 확인부(214)를 포함한다.
기업고객 프로파일 관리부(211)는 후술하는 웹서버(501)의 기업고객별 차단룰셋 관리 GUI(516)의 제어를 받아 P2P와 같이 특정 포트를 쓰는 비업무용트래픽 중 기업고객이 차단을 원하는 차단룰셋을 설정 또는 해지한다. 그리고, 기업고객이 P2P서비스에 대한 차단 또는 대역폭제한을 설정하면, 날짜정보와 차단 룰셋 정보를 기록하여, 기업고객별 프로파일을 관리한다. 차단명령어 생성부(212)는 차단룰셋 정보에따라 네트워크 장비에 수행할 정책 즉 차단명령어 (Access Control Lists(ACLs))를 생성한다. 이때, 정책 정의부(213)는 미리 설정된 명령어 포멧을 상기 차단 명령어 생성부(212)로 제공한다.
한편, 차단명령어 생성부(212)는 정책 정의부에 미리 설정된 명령어 포멧 및, 고객정보, 네트워크 장비 및 그 I/F 정보를 이용하여 차단명령어를 생성한다.
이때 고객정보 즉, 특정고객이 어떤 IP대역을 사용하는지에 대한 정보와 특정고객으로부터 오는 트래픽이 네트워크 장비의 어느 I/F로 들어오는지에 대한 정보를 외부 서버와의 연동을 통해 1일 1회 DB 링크로 전송 받는 것이 가능하다. 그 리고 특정고객으로부터 오는 트래픽이 네트워크 장비의 어느 I/F로 들어오는지에 대한 정보는 정책서버에서 네트워크 장비를 원격으로 제어하여, 특정고객의 IP대역에 대한 라우팅 정보를 추출함으로써, 해당 I/F 정보를 알 수 있다.
이후 차단명령어 확인부(214)에서 전체 차단명령어 리스트를 운용자가 확인할 수 있도록 제공하고, 운용자의 최종확인이 끝나면, 통합서비스제어장치의 네트워크장비 제어부(618)에서 차단명령어를 네트워크장비로 전송한 후 시행한다. 만약 시행시 에러가 발생하면 롤백(rollback)을 수행하여 데이터의 불일치를 방지해야 한다.
도 4는 도 1의 유해 트래픽 차단 서비스부(300)의 유해트래픽 감지 및 차단 장치(301)의 상세 블럭도이다. 도 4를 참조하면, 유해트래픽 감지 및 차단 장치(301)는 유해 트래픽 감지부(311), 운용자 경보 전달부(312), 차단 신호 전달부(313), 유해 트래픽 차단부(314), 유해 트래픽 차단 보고서 생성부(315), 유해차단룰셋 변경부(316), 및 유해트래픽 차단결과 웹서버 전송부(317)를 포함한다.
유해트래픽 감지부(311)는 DOS, 웜, 바이러스, 스팸메일과 같은 유해트래픽을 감지한다. 운용자경보 전송부(312)는 감지된 유해 트래픽이 네트워크에 치명적인 공격성트래픽일 경우 망운용자에게 메일이나 핸드폰메시지를 통해 경보를 전송한다. 또한 유해트래픽 감지 후 차단신호전송부(313)는 차단신호를 유해트래픽 차단부(314)로 전달하여 차단하도록 한다. 유해차단룰셋 변경부(316)는 운용자가 룰셋에 대하여 감지 및 차단을 설정 또는 해제할 수 있는 기능을 제공한다. 유해트래픽 차단 보고서 생성부(315)는 차단된 내용에 대한 보고서를 생성하여 기업고객에 게 제공한다. 유해트래픽차단결과 웹서버전송부(317)는 앞서 생성한 보고서를 후술하는 웹서버(501)로 전송한다.
도 5는 도 1의 비업무용 URL 차단 서비스부(400)의 비업무용 URL 차단 장치(401)의 상세 블럭도이다. 도 5를 참조하면, 비업무용 URL 차단 장치(401)는 기업 고객별 비업무 URL 관리부(411), 웹서비스(80/8080) 추출부, 비업무용 URL 탐지 및 차단부(413), 및 차단결과 웹서버 전송부(414)를 포함한다.
비업무용 URL 관리부(411)에서는 후술하는 웹서버(501)의 기업고객 차단룰셋 관리 GUI(516)의 제어에 따라 기업고객별 비업무용 URL 정보를 기록 관리한다. 이때, 기업고객별 차단룰셋 관리 GUI(516)로 부터 입력받는 데이터는 차단한 비업무용 사이트 카테고리 및 이들 카테고리를 차단하는 시간, 가령 업무시간에만 차단, 또는 중식시간 및, 저녁시간에 대한 설정정보이다.
비업무용 URL 탐지 및 차단부(413)는 기업고객별로 정의한 비업무용 URL 에 대한 정보를 이용하여 차단을 실시한다. 이때, 네트워크장비와 기업용 유해사이트 차단장치(401)사이에서 웹서비스(80포트나 8080포트를 사용)트래픽만을 추출하는 웹서비스(80/8080)추출부(412)가 있어, 웹서비스 트래픽은 비업무용 URL 차단장치(401)로 우회시켜 차단하고, 웹서비스 이외의 트래픽은 인터넷으로 보내도록 한다. 차단결과 웹서버 전송부(414)는 차단된 결과를 웹서버로 전송하여 기업고객이 차단결과를 직접확인 할 수 있도록 한다.
도 6은 도 1의 통합 서비스 서버 제어부(500)의 웹서버(501)의 상세 블럭도이다. 도면을 참조하면, 웹서버(501)는 보고서 생성부(511), 트래픽 분석 결과 제 공 GUI(512), 유해 트래픽 차단 결과 제공 GUI(513), 기업고객 사용자 정보 관리 GUI(514), 기업고객 사용자 정보 관리부(515), 기업 고객별 차단 룰셋 관리 GUI(516) 및, 통합 서비스 제어 및 감시 현황 제공 GUI(517)을 포함하여, 각 서비스부에 대한 사용자 인터페이스를 제공한다.
보고서 생성부(511)는 트래픽분석결과 웹서버 전송부(120)에서 전송된 분석결과를 보고서 생성 툴을 이용하여 보고서로 생성하여 웹서버의 트래픽분석결과 제공 GUI(512)를 통해 제공한다. 또한 유해트래픽 차단결과 웹서버 전송부(317)에서 받은 유해트래픽 차단 결과를 유해트래픽 차단결과 제공 GUI(513)를 통해 제공한다.
기업고객 사용자정보 관리 GUI(514)는 기업고객이 처음으로 서비스에 가입할 수 있는 GUI를 제공하고, 기업고객 사용자정보 관리부(515)는 기업고객 가입시 기록한 기업고객 사용자 정보를 관리하며, 관련된 모든 GUI는 통합서비스 제어 장치(601)로 제공한다. 기업고객별 차단룰셋 관리 GUI(516)은 기업고객으로부터 P2P나 유해사이트에 대한 차단 요청을 받아 각각 기업용 QoS 서비스와 비업무용 URL 차단서비스로 제공한다.
도 7은 도 1의 통합 서비스 제어 장치(601)의 상세 블럭도이다. 도 7을 참조하면, 통합 서비스 서버 제어 장치(601)는 트래픽 수집 장치 제어 및 상태 감시부(611), 정책서버 상태 감시부(612), 유해 트래픽 차단 장치 상태 감시부(613), 비업무용 URL 차단 장치 상태 감시부(614) 및, 네트워크 장비 시설 현황 관리부(615), 분석서버 제어 및 상태 감시부(616),네트워크장비 자원관리부(617), 네트워 크장비 제어부(618)를 포함하여, 상기 모든 서비스서버들에 대한 상태를 감시하고, 제어를 담당하고, 이에 대한 결과를 통합서비스서버 제어 및 감시현황 제공 GUI(517)를 통해 웹으로 제공한다.
이런 서버 감시방법은 제어장치에서 각 서버들에게 주기적으로 keepalive 패킷을 보내어 해당 서버(611~614)로부터 응답이 오는지를 확인하는 1차적인 방법 및 각서버들이 작업단계별로 수행결과를 제어장치의 데이터베이스에 값을 갱신하여 작업상황을 알려주면, 제어서버에서 데이터베이스값을 확인하는 방법을 수행한다.
그리고 네트워크 시설현황 관리부(615)는 외부의 시설 및 고객관리시스템으로부터 받은 정보와 트래픽분석부(119)에서 수집한 SNMP데이터와 비교한 결과를 바탕으로 시설현황을 현행화 한다. 분석서버 제어 및 상태 감시부(616)에서는 분석서버의 DB 작업단계를 모니터링하고, 수집 누락 등으로 처리가 안된 경우 재처리를 지시하고 수행한다. 네트워크장비 자원관리부(617)는 기업용코어 라우터에서 플로우 성능과 관련된 지표들(라인카드별 CPU, 유입 플로우 개수, 플로우 캐쉬에 유지되는 플로우 수 등)을 실시간적으로 모니터링하여 장비의 이상상태를 조기에 발견하여 조처가 가능하도록 한다. 각 플로우 관련 지표들을 수집하는 방법은 제어서버에서 각 네트워크 장비로 XML(eXtensible Markup Language) 기반의 API 응용프로그램을 통해 수집하거나, MIB정보에 위의 지표들을 추가하도록 장비 벤더들에게 요청하여 SNMP를 통해 수집하는 두가지 방법이 가능하다. 네트워크장비 제어부(618)는 기업고객이 웹상으로 차단을 요청할 경우 정책서버를 통해 설정된 정책을 운용자의 최종 확인을 마친 후, 네트워크 장비로 해당 차단 정책을 전달하여 네트워크 장비 에서 시행하고, 그 결과를 전달받는 역할을 담당한다.
도 11은 통합서비스서버 제어 기술에 대한 설명이다.
트래픽 수집 장치(101)와 제어장치(601)와의 통신은 TCP 세션별로 수집서버의 IP인증, ID/PW인증을 수행하고, 인증시에는 암호화 알고리즘을 사용하여 도청이 불가능하도록 한다.
트래픽 분석 장치(102)와 제어장치(601)와의 통신은 제어장치 측에서 주기적으로 분석 장치의 작업상태를 감시할 때, DB 인증을 거치도록 한다. 즉 원격접속시 필요한 시스템 사용자, DB명, 사용자 권한을 미리 설정하여야 한다.
정책서버(201)와 제어장치(601)와의 통신은 SSL(Secure Socket Layer) 상에 XML 기반의 응용프로그램으로 제어한다.
제어장치(601)와 인증서버(모든 네트워크 장비들로의 접속시 인증을 담당하는 서버)는 IP기반의 TACACS+(Terminal Access Controller Access Control System) 인증 프로토콜을 사용한다.
네트워크 장비와 제어장치(601)와의 통신은 SSL(Secure Socket Layer) 상에 XML 기반의 응용프로그램으로 제어하고, 기본적으로 SSL위에 CLI(Command Line Interface)는 기본적으로 수행이 되도록 한다.
또한 보다 강력한 보안 체계를 유지하기 위해 서버간 인증시 공인인증 기관으로부터 공인된 Key를 사용하여 암호화된 형태로 ID, PW를 주고 받을 수도 있다.
도 12는 기업용 실시간 서비스 관리 시스템의 내부 데이터 흐름도에 대한 도면이다.
(1) 네트워크장비(기업용 코어라우터)로부터 트래픽 수집장치로 실시간으로 플로우 데이터가 UDP패킷으로 전송된다.
(2) 기업고객이 수용된 최접점장비(기업가입자 집선 스위치)로부터 주기적으로 SNMP정보를 UDP패킷을 통해 트래픽 수집장비로 수집한다.
(3) 수집장치에서 수집된 플로우 및 SNMP 데이터를 이용하여 실시간으로 비정상트래픽 감지를 수행 한 후, 로그정보를 웹서버로 전송한다.
(4) 수집장치에서 모아진 플로우 및 SNMP 정보를 파일로 저장한 후 ASCII파일 형태로 TCP패킷을 통해 트래픽 분석장치로 전송한다.
(5) 분석장치에서 분석한 결과를 웹서버로 전송한다.
(6) 제어장치에서 외부서버에 있는 시설,고객관리시스템과 데이터베이스접속을 통해 기업고객 정보, 기업고객이 수용된 네트워크 시설정보를 전송받는다. 전송주기는 1일1회 기본적으로 실시한다.
(7) 제어장치의 네트워크 장비 자원관리부에서 XML기반의 응용프로그램 또는 SNMP를 통해서 수집한 장비 현황(라우터 인터페이스 상태, 라우팅 정보 등)에 관련된 정보와 (6)의 외부서버에서 수집한 시설정보와 비교하여 시설, 고객정보를 현행화 한다.
(8) (7)번에서 현행화한 시설, 고객정보를 기업고객별 데이터 수집 및 비정상트래픽 감지시 사용하도록 수집장치로 전송한다.
(9) (7)번에서 현행화한 시설, 고객정보를 기업고객별 데이터 분석시 사용하기 위해 분석장치로 전송한다.
(10) (7)번에서 현행화한 시설, 고객정보를 웹 디스플레이시 사용하기 위해 웹서버로 전송한다.
(11) (7)번에서 현행화한 시설, 고객정보를 네트워크 장비제어시 사용한다.
(12) 사용자 인터페이싱을 통해 입력/수정/삭제된 내용이 웹디스플레이를 통해 웹상에 디스플래이된다.
(13) 정책서버에서 설정된 정책이 운용자의 최종 확인을 거친 후 네트워크 장비 제어부로 전송된다.
(14) (13)의 정책을 네트워크 장비에 시행한 결과를 웹서버로 전송한다.
(15) 제어장치의 서비스서버인증 프로세스 수행을 웹을 통해 수행한다.
(16) 유해트래픽 차단에 대한 보안정책이나 차단 결과를 웹을 통해 수행한다.
(17) 서비스서버 제어 및 감시에 대한 수행결과를 웹을 통해 수행한다.
(18) 비업무용 URL차단에 대한 보안정책이나 차단 결과를 웹을 통해 수행한다.
(19) 제어장치와 수집장치 사이에 TCP 세션별로 IP, ID/PW 인증정보를 전송한다.
(20) 제어장치와 분석장치 사이에 DB 인증정보를 전송한다.
(21) 제어장치와 정책서버 사이에 SSL을 통한 서버인증을 수행한다.
(22) 제어장치에서 네트워크 장비를 제어하기 위해 인증서버를 경유하여 인증을 수행한다.
(23) 제어장치와 유해트래픽 차단 장치 사이에 인증정보를 전송한다.
(24) 제어장치와 비업무용URL차단 장치사에에 인증정보를 전송한다.
(25) 제어장치에서 수집장치에 대한 제어 및 감시 정보를 전송한다.
(26) 제어장치에서 분석장치에 대한 제어 및 감시 정보를 전송한다.
(27) 제어장치에서 네트워크 장비에 대한 제어 및 감시 정보를 전송한다.
(28) 제어장치에서 유해트래픽 차단장치에 대한 제어 및 감시 정보를 전송한다.
(29) 제어장치에서 비업무용URL차단장치에 대한 제어 및 감시 정보를 전송한다.
상기 기술적인 방법을 통하여 의해 통신 사업자는 인터넷을 접속하는 기업 가입자를 대상으로 하여 종합적인 서비스 관리 기능을 제공할 수 있다.
한편, 도 13은 한편 본 발명에 따른 기업용 실시간 서비스 관리 시스템을 기업 네트워크에 적용한 실시예를 도시한다.
도 1 및 도 13을 참조하면, 우선 기업용코어라우터는 플로우, SNMP 데이터를 수집하여, 트래픽 수집장치(101)로 전송하고(①), 트래픽 수집 장치(101)에서는 수집된 데이터로 실시간 비정상트래픽분석을 실시하고, 동시에 주기적으로 트래픽분석 장치(102)로 보낸다(②). 트래픽분석장치(102)에서는 실시간 트래픽 분석 및 비업무용 및 유해서비스 현황분석을 실시하여(③), 그 결과를 웹서버(501)로 송신한다(④). 기업고객 및 운용자들은 웹서버를 통해 트래픽 분석결과를 제공 받는다(⑤). 기업고객은 웹을 통해 비업무용 트래픽, 비업무용 URL에 대한 차단을 요청하 고(⑥), 정책서버(201)에서는 비업무용트래픽에 대한 차단, 대역폭제한 정책을 생성하여, 운용자의 확인을 받은 후(⑦), 제어장치를 통해 차단, 대역폭제한 정책을 라우터로 전송하여 정책을 시행하게 한다(⑧). 유해트래픽 감지 및 차단장치(301)에서는 네트워크 상에서 유해트래픽을 감지 및 차단하고(⑨), 그에 대한 결과를 웹서버로 전송한다(⑩). 또한 ⑥ 단계로부터 비업무용사이트(URL)차단 요청을 받아 비업무용 URL 차단장치(401)로 전송하고(⑪), 비업무용 URL 차단장치(401)에서는 기업고객이 요청한 비업무용사이트(URL)차단을 실시한다. 통합서비스 제어장치(601)는 각 서버들에 대한 제어 및 감시 메시지를 전송하여 서버들을 관리한다.