KR100850629B1 - 네트워크에서 전송되는 데이터 패킷을 필터링하는 네트워크인터페이스 카드 및 필터링 방법 - Google Patents

네트워크에서 전송되는 데이터 패킷을 필터링하는 네트워크인터페이스 카드 및 필터링 방법 Download PDF

Info

Publication number
KR100850629B1
KR100850629B1 KR1020070010419A KR20070010419A KR100850629B1 KR 100850629 B1 KR100850629 B1 KR 100850629B1 KR 1020070010419 A KR1020070010419 A KR 1020070010419A KR 20070010419 A KR20070010419 A KR 20070010419A KR 100850629 B1 KR100850629 B1 KR 100850629B1
Authority
KR
South Korea
Prior art keywords
data packet
network
address
local network
interface card
Prior art date
Application number
KR1020070010419A
Other languages
English (en)
Inventor
김성훈
박선호
강동석
박노철
Original Assignee
에스케이 텔레콤주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이 텔레콤주식회사 filed Critical 에스케이 텔레콤주식회사
Priority to KR1020070010419A priority Critical patent/KR100850629B1/ko
Application granted granted Critical
Publication of KR100850629B1 publication Critical patent/KR100850629B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/321Interlayer communication protocols or service data unit [SDU] definitions; Interfaces between layers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/324Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the data link layer [OSI layer 2], e.g. HDLC

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 내에서 송수신되는 데이터 패킷을 필터링하는 네트워크인터페이스 카드 및 상기 데이터 패킷을 필터링하는 방법에 관한 것이다. 본 발명에서는 로컬 네트워크를 관리하는 모니터링 시스템에 장착되는 네트워크 인터페이스 카드에서 데이터 패킷의 ip 주소를 분석하여 1차 필터링을 수행하기 때문에, 상기 모니터링 시스템의 데이터 패킷 분석에 걸리는 부하가 감소된다
네트워크 인터페이스 카드, NIC, 패킷 모니터링, 필터링, ip 주소 분석

Description

네트워크에서 전송되는 데이터 패킷을 필터링하는 네트워크 인터페이스 카드 및 필터링 방법 {A network interface card for filtering transmitted data packet in a network and a method for filtering}
도 1은 본 발명에 따른 네트워크 인터페이스 카드가 적용되는 DB 모니터링 시스템 및 로컬 네트워크의 구성을 도시한 것.
도 2는 통상의 네트워크 인터페이스 카드가 구비된 DB 모니터링 시스템의 구성을 도시한 것.
도 3은 일반적인 데이터 패킷의 구조를 도시한 것.
도 4는 데이터베이스의 테이블 및 컬럼의 예를 설명하기 위한 도면.
도 5는 본 발명에 따른 네트워크 인터페이스 카드의 구성을 도시한 것.
도 6은 본 발명에 따라 네트워크 인터페이스 카드에서 데이터 패킷을 필터링하는 과정을 도시한 순서도.
도 7은 네트워크 인터페이스 카드를 통과한 데이터 패킷이 DB 모니터링 시스템에 의하여 필터링되는 과정을 도시한 순서도.
본 발명은 네트워크 내에서 송수신되는 데이터 패킷을 필터링하는 네트워크인터페이스 카드 및 상기 데이터 패킷을 필터링하는 방법에 관한 것이다. 본 발명에서는 로컬 네트워크를 관리하는 모니터링 시스템에 장착되는 네트워크 인터페이스 카드에서 데이터 패킷의 ip 주소를 분석하여 1차 필터링을 수행하기 때문에, 상기 모니터링 시스템의 데이터 패킷 분석에 걸리는 부하가 감소된다.
네트워크 인터페이스 카드(Network Interface Card, 이하에서는 "NIC"라 칭함)란 PC 또는 서버 등의 컴퓨터를 네트워크에 연결시켜 주는 장치이다. 데이터베이스(DB) 모니터링 시스템은 상기 NIC를 통하여 로컬 네트워크 내의 허브와 접속하고 있다가, 상기 로컬 네트워크 내부 또는 외부와 송수신되는 데이터 패킷의 정보를 수집 및 분석함으로써, 로컬 네트워크를 관리하고, 외부의 공격으로부터 로컬 네트워크를 보호하며, 로컬 네트워크의 보안을 유지한다.
도 1은 본 발명에 따른 네트워크 인터페이스 카드(NIC)가 적용되는 DB 모니터링 시스템 및 로컬 네트워크의 구성을 도시한 것이다.
상기 로컬 네트워크(40)는 DB 서버(1, 3, 5), DB 서버가 아닌 일반 서버(2, 4, 6, 7, 8), 및 호스트 컴퓨터(9) 등이 허브(30)에 의하여 서로 연결되어 있으며, 추가로 상기 로컬 네트워크를 관리하고, 보안을 유지하기 위한 DB 모니터링 서버(10)가 NIC(20)를 통하여 상기 허브(30)에 함께 연결된다.
상기 허브(30)는 또다른 허브 등과 연결될 수 있는 라우터(50)를 통하여 외부의 네트워크와 연결됨으로써 거대한 인터넷 망(60)을 이루게 된다.
상기 로컬 네트워크(40) 내의 DB 서버(1, 3, 5) 및 일반 서버(2, 4, 6, 7, 8) 등의 자료는 로컬 네트워크(40) 내부에 존재하는 호스트 컴퓨터(9)에 의하여 조회(query)되거나, 인터넷(60) 상의 외부 네트워크와 연결되어 있는 임의의 호스트 컴퓨터(미도시)에 의하여 조회될 수 있다.
상기 로컬 네트워크(40) 내의 호스트 컴퓨터(9) 또는 외부 네트워크 중 어느 하나의 컴퓨터가 상기 로컬 네트워크(40) 내의 데이터 자료를 요청하는 경우, 상기 DB 모니터링 서버(10)는 로컬 네트워크의 관리 및 보안 유지를 위하여 상기 허브(30) 상에서 전송되는 모든 데이터 패킷을 복사하여 자신의 DB에 저장한다. 이러한 과정을 미러링(mirroring)이라 한다.
예를 들어, 외부 네트워크 중 어느 하나의 컴퓨터가 호스트 컴퓨터로서 상기 로컬 네트워크에 연결된 후, 상기 DB 서버 중 DB 서버(1) 내 자료를 조회하려는 경우, 질의(query) 패킷이 상기 호스트 컴퓨터로부터 DB 서버(1)로 전송되며, 상기 DB 서버(1)에서는 상기 질의 패킷에 해당하는 파일을 자신의 DB에서 조회하여 찾아내고, 이를 상기 질의에 대한 응답으로서 상기 호스트 컴퓨터에 데이터 패킷(응답 패킷)으로 전송한다.
상기 과정 중 상기 질의 패킷 및 응답 패킷이 송수신될 때, 이들 패킷과 동일한 패킷이 복사되어 DB 모니터링 서버(10)로도 전송된다(미러링). 따라서, 상기 DB 모니터링 서버(10) 내로 모든 데이터 패킷이 그대로 전송되며, 어떠한 패킷이 어느 ip 주소에서 어느 ip 주소로 전송되었는지를 자신의 DB에 기록한다.
도 2는 통상적인 NIC가 구비된 DB 모니터링 시스템의 구성을 도시한 것이다. 상기 DB 모니터링 시스템(10)에서 상기 NIC(20)를 통과한 패킷은 CPU(11), 메모리(12), 및 애플리케이션(13)에 의하여 분석되고, 상기 패킷이 어느 ip 주소에서 어느 ip 주소로 전송되었는지를 자신의 DB(14)에 기록한다.
도 3은 일반적인 데이터 패킷의 구조를 도시한 것으로서, 일반적으로 데이터 패킷(70)은 헤더(71), 목적지의 mac 주소(d-mac)(72), 출발지의 mac 주소(s-mac)(73), 목적지의 ip 주소(d-ip)(74), 출발지의 ip 주소(s-ip)(75), 프로토콜(미도시), 및 기타 데이터 내용(미도시) 등의 내용을 포함한다. 상기 데이터 패킷(70)은 물리계층(L1)을 통과한 후, 상기 NIC(20)에서 제2계층(L2)을 분석하여 mac 주소(72, 73)를 확인한 후에 NIC를 통과한다. 상기 NIC(20)를 통과한 패킷 데이터는 CPU(11) 및 메모리(12)에 의하여 제3계층(L3)을 분석하여 ip 주소(74, 75)를 알아낼 수 있다. 이후, 제4계층(L4)에 의하여 적합한 프로토콜을 사용하고, 이에 따라 적합한 애플리케이션(13)을 사용하여 데이터 패킷의 내용을 확인할 수 있다.
그러나, 상기 DB 모니터링 시스템(10) 내 DB(14)의 크기가 무한히 큰 것이 아니며, 또한 CPU(11) 및 메모리(12)와 같은 자원의 크기도 한정되어 있다. 따라서, 상기 DB 모니터링 시스템(10)은 애플리케이션(13)에 의하여 내용을 분석한 데이터 패킷 중에서 상기 로컬 네트워크 운용자의 관리 정책(policy)에 따라 필요한 데이터만을 DB(14)에 저장한다.
예를 들어, 상기 DB 모니터링 시스템(10)은 자신이 연결되어 있는 로컬 네트워크(40) 중에서 DB 서버(1, 3, 5)의 데이터 전송에만 관심을 둘 수 있으며, 그 중 에서 특정 테이블의 특정 컬럼 내용만을 자신의 DB(14)에 저장하게 할 수 있다.
도 4는 데이터베이스의 테이블 및 컬럼의 예를 설명하기 위한 도면이다. 상기 도 4에 도시된 데이터베이스는 사내 구성원의 신상을 데이터베이스로 구축한 것으로서, 각 구성원에 대하여 하나의 테이블(테이블 갑, 테이블 을, 테이블 병)을 작성하고, 각 테이블에 각 구성원의 주민등록번호, 주소, 취미, 및 사번 등을 컬럼으로 작성하여 각 컬럼에 해당 내용을 기재하여, 데이터베이스를 구축한 것이다.
상기 도 4의 데이터베이스가 상기 DB 서버(1, 3, 5)에 구축되어 있는 것으로가정한다. 상기 데이터베이스 중 각 테이블의 주민등록번호 컬럼의 내용은 중요한 정보이기 때문에 상기 주민등록번호 컬럼 내용이 조회되거나 전송된 경우에는 보안 상 큰 문제가 야기될 수 있다. 따라서, 로컬 네트워크(40) 관리자는 상기 주민등록 번호 컬럼의 데이터 전송 또는 조회에 한하여 DB(14)에 저장하게 할 수 있다(관리 정책).
따라서, 상기 DB 모니터링 시스템(10)은 상기 DB 서버(1, 3, 5)로 전송되거나 상기 상기 DB 서버(1, 3, 5)로부터 전송되는 데이터 패킷 중에서 각 테이블의 특정 컬럼(즉, 주민등록번호 컬럼) 내용에 관한 데이터 패킷에 대해서는 자신의 DB(14)에 모든 내용을 저장하여야 한다.
이때 상기 정책 조건에 맞는지 아닌지를 체크하기 위하여, 상기 DB 모니터링 시스템(10)은 모든 송수신되는 데이터 패킷을 NIC를 통하여 전송받는다.
DB 모니터링 시스템의 일반적인 구성을 도시한 도 2에 도시되어 있는 바와 같이, DB 모니터링 시스템(10)은 NIC(20), 패킷을 분석하는데 사용되는 자원인 CPU(11) 및 메모리(12), 및 데이터 패킷과 송수신 정보를 기록하는 DB를 포함한다.
종래 NIC(20)에 의하면 데이터 패킷의 mac 계층(L2)만을 분석할 수 있기 때문에, ip 주소는 정책적으로 검토하는 것이 불가능하다. 따라서, 상기 DB 모니터링 시스템(10)은 DB 서버가 아닌 일반 서버 또는 컴퓨터(2, 4, 6, 7, 8)에서 송수신되는 모든 데이터 패킷까지 NIC를 통과한 후에, CPU 및 메모리를 사용하여 ip 주소를 분석하고 나서야 상기 일반 서버 또는 컴퓨터(2, 4, 6, 7, 8)에서 송수신되는 데이터 패킷을 폐기하고, DB 서버(1, 3, 5)에서 송수신되는 데이터를 필터링한다.
상기 필터링된 데이터 패킷 중에서 관리자가 특히 보안에 신경써야 하는 컬럼 또는 필드인 패킷은 상기 데이터 패킷에 관한 애플리케이션을 L7 계층에서 구동하여 확인한다. 확인 결과, 보안에 특히 신경써야 하는 컬럼 또는 필드를 포함하는 데이터 패킷인 경우, 이러한 패킷을 상기 DB에 저장하며, 나머지 데이터 패킷은 폐기한다.
그러나, 이러한 과정을 거쳐서 데이터 패킷을 저장하는 상기 DB 모니터링 시스템에서는 모든 데이터 패킷이 상기 NIC(20)를 통과하고, 이후 CPU 및 메모리를 사용하여 모든 데이터 패킷의 ip 주소를 확인하여야 하기 때문에 CPU 및 메모리의 자원에 대한 부하가 지나치게 높아져 DB 모니터링 시스템은 치명적인 손상을 입게 된다. 또한, CPU 및 메모리에서 분석된 데이터를 DB(디스크)에 기록하는 경우에 I/O 에러(error)를 유발하여 시스템에 치명적인 손상을 입히게 된다.
본 발명은 전술한 바와 같은 문제점을 해결하기 위하여 안출된 것으로서, 본 발명에서는 종래 모니터링 시스템의 CPU 또는 메모리에서 수행하던 기능을 NIC가 대신 수행한다. 즉, 본 발명에서는 로컬 네트워크를 관리하는 모니터링 시스템에 장착되는 네트워크 인터페이스 카드에서 기존의 하드웨어 주소인 MAC 주소 뿐만 아니라, 데이터 패킷의 ip 주소를 분석하여 1차 필터링을 수행하고, 필요한 데이터를 저장한다. 따라서, 상기 모니터링 시스템의 데이터 패킷 분석에 걸리는 부하가 감소되고, 모니터링 시스템의 자원을 효율적으로 활용할 수 있다.
따라서, 본 발명의 목적은 네트워크 내에서 송수신되는 데이터 패킷을 필터링하는 네트워크 인터페이스 카드를 제공하기 위한 것이다. 또한, 본 발명의 목적은 상기 네트워크 인터페이스 카드에서 데이터 패킷을 필터링하는 방법을 제공하기 위한 것이다.
본 발명은 네트워크 내에서 송수신되는 데이터 패킷을 필터링하는 네트워크 인터페이스 카드(NIC)에 관한 것이다.
구체적으로, 본 발명에 따른 네트워크 인터페이스 카드는, 로컬 네트워크에서 송수신되는 데이터 패킷을 미러링하여 상기 로컬 네트워크를 모니터링하는 네트워크 모니터링 서버에 장착되어, 상기 네트워크 모니터링 서버를 상기 로컬 네트워크에 연결시키는 네트워크 인터페이스 카드로서, 상기 데이터 패킷의 매체 접근 제어(MAC, media access control) 계층을 분석하는 MAC 하드웨어 처리 장치, 및 상기 데이터 패킷의 ip 주소 계층을 분석하는 연산장치 및 메모리를 포함하며, 상기 연산장치 및 메모리에서 분석된 상기 데이터 패킷의 ip 주소가 상기 로컬 네트워크 내의 분석 대상 서버의 ip 주소에 해당하는 경우에 상기 데이터 패킷을 상기 네트워크 모니터링 서버 내로 통과시킨다.
상기 연산장치 및 메모리에서 분석된 상기 데이터 패킷의 ip 주소가 상기 로컬 네트워크 내의 분석 대상 서버의 ip 주소에 해당하지 아니하는 경우에는, 상기 데이터 패킷은 폐기된다.
또한, 본 발명은 상기 네트워크 인터페이스 카드에서 데이터 패킷을 필터링하는 방법에 관한 것이다.
구체적으로, 본 발명에 따른 필터링 방법은, 로컬 네트워크에서 송수신되는 데이터 패킷을 미러링하여 상기 로컬 네트워크를 모니터링하는 네트워크 모니터링 서버에 장착되어, 상기 네트워크 모니터링 서버를 상기 로컬 네트워크에 연결시키는 네트워크 인터페이스 카드에서 특정 데이터 패킷을 필터링하는 방법으로서, 상기 로컬 네트워크에서 송수신되는 데이터 패킷을 미러링하기 위하여 상기 네트워크 인터페이스 카드로 유입되는 데이터 패킷의 MAC 계층을 분석하는 단계(a); 상기 데이터 패킷의 ip 주소 계층을 분석하여, 출발지 및 목적지의 ip 주소를 알아내는 단계(b); 상기 분석된 데이터 패킷의 출발지 ip 주소 또는 목적지 ip 주소가, 상기 로컬 네트워크 내의 분석 대상 서버의 ip 주소와 동일한지 여부를 판단하는 단계(c); 상기 단계(c)에서 판단한 결과, ip 주소가 동일한 경우, 상기 데이터 패킷을 상기 네트워크 모니터링 서버 내로 통과시키는 단계(d); 및 상기 단계(c)에서 판단한 결과, ip 주소가 동일하지 아니한 경우, 상기 데이터 패킷을 폐기시키는 단계(e)를 포함한다.
이하에서는, 도면을 참조하여 본 발명의 실시예를 구체적으로 설명한다. 그러나, 본 발명이 하기 실시예에 의하여 제한되는 것은 아니다.
도 5는 본 발명에 따른 네트워크 인터페이스 카드의 구성을 도시한 것이다.
본 발명에 따른 네트워크 인터페이스 카드(20)는 허브(30)에 의하여 연결된 로컬 네트워크에서 송수신되는 데이터 패킷을 미러링하여 상기 로컬 네트워크를 모니터링하는 네트워크 모니터링 서버에 장착되어, 상기 네트워크 모니터링 서버를 상기 로컬 네트워크에 연결시킨다.
상기 네트워크 인터페이스 카드(20)는 모뎀(21)을 통하여 유입되는 데이터 패킷의 매체 접근 제어(MAC, media access control) 계층을 분석하는 MAC 하드웨어 처리 장치(22), 데이터 패킷의 ip 주소 계층을 분석하는 연산장치(24) 및 메모리(25)를 포함한다.
상기 연산장치(24) 및 메모리(25)에서 분석된 데이터 패킷의 ip 주소가 상기 로컬 네트워크 내의 분석 대상 서버의 ip 주소(예를 들어, 특정 DB 서버의 ip 주소)에 해당하는 경우에 상기 데이터 패킷은 네트워크 모니터링 서버 내로 통과된다.
그러나, 상기 연산장치(24) 및 메모리(25)에서 분석된 데이터 패킷의 ip 주소가 상기 로컬 네트워크 내의 분석 대상 서버의 ip 주소에 해당하지 아니하는 경우, 상기 데이터 패킷은 폐기된다.
상기 연산장치(24) 및 메모리(25)는 주문형 반도체(23) 형태로 제작되어, 네트워크 인터페이스 카드 제작 시에 상기 NIC에 장착된다.
데이터 유입시 비교되는 상기 로컬 네트워크 내의 분석 대상 서버의 ip 주소목록은 펌웨어(firmware) 형태로 상기 주문형 반도체에 입력되어, 필요시 업그레이드할 수 있다.
도 6 및 도 7은 본 발명에 따라 네트워크 인터페이스 카드에서 데이터 패킷을 필터링하는 과정을 도시한 순서도이다.
우선, 로컬 네트워크에서 데이터 패킷이 송수신되는 경우(S10), 상기 데이터패킷을 미러링하기 위하여 상기 네트워크 인터페이스 카드로 패킷이 유입된다(S20). 이 때 상기 네트워크 인터페이스 카드는 데이터 패킷의 MAC 계층(L2)을 분석하고(S30), 이후, 상기 데이터 패킷의 ip 주소 계층(L3)을 분석하여, 출발지 및 목적지의 ip 주소를 알아낸다(S40).
이후, 상기 분석된 데이터 패킷의 ip 주소가, 상기 로컬 네트워크 내의 분석 대상 서버의 ip 주소와 동일한지 여부를 판단하여(S50), ip 주소가 동일하지 아니한 경우, 상기 데이터 패킷은 폐기된다(S60).
한편, 상기 단계 S50에서 ip 주소가 동일한 것으로 판단된 경우(A), 상기 데이터 패킷은 상기 네트워크 모니터링 서버 내로 통과된다(S70).
상기 통과된 데이터 패킷은 상기 모니터링 서버 내의 상위 계층(즉, 애플리케이션 계층)에서 분석된다(S80). 분석된 내용이 모니터링하고자 하는 특정 데이터와 관련된 경우(S90), 상기 데이터 패킷은 상기 모니터링 서버 내의 DB에 저장되고, 상기 패킷의 이동은 모니터링 관리자에 의하여 모니터링된다(S100).
한편, 상기 단계(S90)에서 분석된 내용이 모니터링하고자 하는 특정 데이터와 관련이 없는 경우(S90), 상기 데이터 패킷은 정책에 따라 폐기된다(S110).
본 발명에 따르면, 본 발명에서는 로컬 네트워크를 관리하는 모니터링 시스템에 장착되는 네트워크 인터페이스 카드에서 데이터 패킷의 ip 주소를 분석하여 1차 필터링을 수행하기 때문에, 상기 모니터링 시스템의 데이터 패킷 분석에 걸리는 부하가 감소된다
본 발명에 따른 실시예는 상술한 것으로 한정되지 않고, 본 발명과 관련하여 통상의 지식을 가진 자에게 자명한 범위내에서 여러 가지의 대안, 수정 및 변경하여 실시할 수 있다.

Claims (6)

  1. 로컬 네트워크에서 송수신되는 데이터 패킷을 미러링하여 상기 로컬 네트워크를 모니터링하는 네트워크 모니터링 서버에 장착되어, 상기 네트워크 모니터링 서버를 상기 로컬 네트워크에 연결시키는 네트워크 인터페이스 카드로서,
    상기 데이터 패킷의 매체 접근 제어(MAC, media access control) 계층을 분석하는 MAC 하드웨어 처리 장치, 및
    상기 데이터 패킷의 ip 주소 계층을 분석하는 연산장치 및 메모리를 포함하며,
    상기 연산장치 및 메모리에서 분석된 상기 데이터 패킷의 ip 주소가 상기 로컬 네트워크 내의 분석 대상 서버의 ip 주소에 해당하는 경우에 상기 데이터 패킷을 상기 네트워크 모니터링 서버 내로 통과시키는 것을 특징으로 하는 네트워크 인터페이스 카드.
  2. 제 1 항에 있어서, 상기 연산장치 및 메모리에서 분석된 상기 데이터 패킷의 ip 주소가 상기 로컬 네트워크 내의 분석 대상 서버의 ip 주소에 해당하지 아니하는 경우, 상기 데이터 패킷은 폐기시키는 것을 특징으로 하는 네트워크 인터페이스 카드.
  3. 제 1 항에 있어서, 상기 연산장치 및 메모리는 주문형 반도체 형태로 장착되 는 것을 특징으로 하는 네트워크 인터페이스 카드.
  4. 제 3 항에 있어서, 상기 로컬 네트워크 내의 분석 대상 서버의 ip 주소는 펌웨어(firmware) 형태로 상기 주문형 반도체에 입력되는 것을 특징으로 하는 네트워크 인터페이스 카드.
  5. 로컬 네트워크에서 송수신되는 데이터 패킷을 미러링하여 상기 로컬 네트워크를 모니터링하는 네트워크 모니터링 서버에 장착되어, 상기 네트워크 모니터링 서버를 상기 로컬 네트워크에 연결시키는 네트워크 인터페이스 카드에서 특정 데이터 패킷을 필터링하는 방법으로서,
    상기 로컬 네트워크에서 송수신되는 데이터 패킷을 미러링하기 위하여 상기네트워크 인터페이스 카드로 유입되는 데이터 패킷의 MAC 계층을 분석하는 단계(a);
    상기 데이터 패킷의 ip 주소 계층을 분석하여, 출발지 및 목적지의 ip 주소를 알아내는 단계(b);
    상기 분석된 데이터 패킷의 ip 주소가, 상기 로컬 네트워크 내의 분석 대상 서버의 ip 주소와 동일한지 여부를 판단하는 단계(c);
    상기 단계(c)에서 판단한 결과, ip 주소가 동일한 경우, 상기 데이터 패킷을 상기 네트워크 모니터링 서버 내로 통과시키는 단계(d); 및
    상기 단계(c)에서 판단한 결과, ip 주소가 동일하지 아니한 경우, 상기 데이터 패킷을 폐기시키는 단계(e)를 포함하는 것을 특징으로 하는 데이터 패킷의 필터링 방법.
  6. 제 5 항에 있어서,
    상기 네트워크 인터페이스 카드는 ip 주소를 분석하기 위한 연산장치 및 메모리를 구비하되, 상기 연산장치 및 메모리를 주문형 반도체 형태로 구비하며,
    상기 로컬 네트워크 내의 분석 대상 서버의 ip 주소는 펌웨어(firmware) 형태로 상기 주문형 반도체에 저장되어 있는 것을 특징으로 하는 데이터 패킷의 필터링 방법.
KR1020070010419A 2007-02-01 2007-02-01 네트워크에서 전송되는 데이터 패킷을 필터링하는 네트워크인터페이스 카드 및 필터링 방법 KR100850629B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070010419A KR100850629B1 (ko) 2007-02-01 2007-02-01 네트워크에서 전송되는 데이터 패킷을 필터링하는 네트워크인터페이스 카드 및 필터링 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070010419A KR100850629B1 (ko) 2007-02-01 2007-02-01 네트워크에서 전송되는 데이터 패킷을 필터링하는 네트워크인터페이스 카드 및 필터링 방법

Publications (1)

Publication Number Publication Date
KR100850629B1 true KR100850629B1 (ko) 2008-08-05

Family

ID=39881255

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070010419A KR100850629B1 (ko) 2007-02-01 2007-02-01 네트워크에서 전송되는 데이터 패킷을 필터링하는 네트워크인터페이스 카드 및 필터링 방법

Country Status (1)

Country Link
KR (1) KR100850629B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101262446B1 (ko) 2009-12-21 2013-05-08 한국전자통신연구원 개인 정보 유출 방지 시스템 및 방법
KR101564643B1 (ko) * 2013-10-17 2015-11-09 한국전자통신연구원 네트워크 장치 및 이를 이용한 선별적 정보 모니터링 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020088956A (ko) * 2001-05-22 2002-11-29 (주)인젠 네트워크 침입탐지 시스템
KR100477672B1 (ko) 2002-10-08 2005-03-18 삼성전자주식회사 네트워크 계층 일부를 지원하는 네트워크 인터페이스 카드
EP1521409A2 (en) 2003-10-01 2005-04-06 Broadcom Corporation System and method for load balancing and fail over
KR20060021549A (ko) * 2004-09-03 2006-03-08 하나로텔레콤 주식회사 네트워크 시스템간 데이터의 정상적인 처리 검증을 위한실시간 데이터 변경 방법 및 그 시스템

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020088956A (ko) * 2001-05-22 2002-11-29 (주)인젠 네트워크 침입탐지 시스템
KR100477672B1 (ko) 2002-10-08 2005-03-18 삼성전자주식회사 네트워크 계층 일부를 지원하는 네트워크 인터페이스 카드
EP1521409A2 (en) 2003-10-01 2005-04-06 Broadcom Corporation System and method for load balancing and fail over
KR20060021549A (ko) * 2004-09-03 2006-03-08 하나로텔레콤 주식회사 네트워크 시스템간 데이터의 정상적인 처리 검증을 위한실시간 데이터 변경 방법 및 그 시스템

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101262446B1 (ko) 2009-12-21 2013-05-08 한국전자통신연구원 개인 정보 유출 방지 시스템 및 방법
US8767773B2 (en) 2009-12-21 2014-07-01 Electronics And Telecommunications Research Institute System and method for preventing leak of personal information
KR101564643B1 (ko) * 2013-10-17 2015-11-09 한국전자통신연구원 네트워크 장치 및 이를 이용한 선별적 정보 모니터링 방법
US9742699B2 (en) 2013-10-17 2017-08-22 Electronics And Telecommunications Research Institute Network apparatus and selective information monitoring method using the same

Similar Documents

Publication Publication Date Title
US9641413B2 (en) Methods and computer program products for collecting storage resource performance data using file system hooks
US8516509B2 (en) Methods and computer program products for monitoring system calls using safely removable system function table chaining
US9634915B2 (en) Methods and computer program products for generating a model of network application health
EP3939231B1 (en) Intent-based governance service
KR101535502B1 (ko) 보안 내재형 가상 네트워크 제어 시스템 및 방법
US7519624B2 (en) Method for proactive impact analysis of policy-based storage systems
US8589537B2 (en) Methods and computer program products for aggregating network application performance metrics by process pool
US8868727B2 (en) Methods and computer program products for storing generated network application performance data
US9246774B2 (en) Sample based determination of network policy violations
US9369478B2 (en) OWL-based intelligent security audit
US20180006923A1 (en) Software tap for traffic monitoring in virtualized environment
US8909761B2 (en) Methods and computer program products for monitoring and reporting performance of network applications executing in operating-system-level virtualization containers
US11223519B2 (en) Storage system for network information
US11489849B2 (en) Method and system for detecting and remediating malicious code in a computer network
US10970148B2 (en) Method, device and computer program product for managing input/output stack
CN111131339A (zh) 一种基于ip标识号的nat设备识别方法及系统
Ujcich et al. Data protection intents for software-defined networking
US8312138B2 (en) Methods and computer program products for identifying and monitoring related business application processes
KR100850629B1 (ko) 네트워크에서 전송되는 데이터 패킷을 필터링하는 네트워크인터페이스 카드 및 필터링 방법
Tudosi et al. Design and implementation of a distributed firewall management system for improved security
EP2384593A1 (en) Dynamically applying a control policy to a network
JP2018125669A (ja) 送信パケットを監視する装置
CN114389982B (zh) 一种网络质量的评估方法、装置、设备和介质
US20240106855A1 (en) Security telemetry from non-enterprise providers to shutdown compromised software defined wide area network sites
WO2024185164A1 (ja) 情報処理装置、情報処理方法および情報処理プログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130618

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140617

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20150625

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20160823

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee