KR100870871B1 - Access level network securing device and securing system thereof - Google Patents

Access level network securing device and securing system thereof Download PDF

Info

Publication number
KR100870871B1
KR100870871B1 KR1020080050193A KR20080050193A KR100870871B1 KR 100870871 B1 KR100870871 B1 KR 100870871B1 KR 1020080050193 A KR1020080050193 A KR 1020080050193A KR 20080050193 A KR20080050193 A KR 20080050193A KR 100870871 B1 KR100870871 B1 KR 100870871B1
Authority
KR
South Korea
Prior art keywords
packet data
blocking
access level
security rule
harmful traffic
Prior art date
Application number
KR1020080050193A
Other languages
Korean (ko)
Inventor
서현원
Original Assignee
(주)한드림넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)한드림넷 filed Critical (주)한드림넷
Priority to KR1020080050193A priority Critical patent/KR100870871B1/en
Priority to JP2011511487A priority patent/JP5193362B2/en
Priority to PCT/KR2008/003150 priority patent/WO2009145379A1/en
Application granted granted Critical
Publication of KR100870871B1 publication Critical patent/KR100870871B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

A harmfulness traffic blocking device and security system are provided to offer the security system in which the harmfulness traffic can cut off at the access level in which the efficient administration of IP connected to the access level is possible. A harmfulness traffic blocking device and security system comprise the followings: the multilayer analysis section(310) analyzing the header of packet data inputted through the switch fabric to the statistical method and outputting the analyzed result; the processor(320) producing the first security rule filter determining the cut off whether or not of packet data in response to the analyzed result of the multilayer analysis section, outputting the disconnect command controlling the switch fabric based on the first security rule filter, outputting to outside after the IP(Internet Protocol) address transmitting packet data is looked around, and outputting the disconnect command in response to the IP management message having the IP information blocked.

Description

액세스레벨에서의 유해트래픽 차단장치 및 보안시스템{Access level network securing device and securing system thereof}Hazardous traffic blocking device and security system at access level

본 발명은 액세스레벨에서의 유해트래픽 차단장치 및 액세스레벨에서의 유해트래픽의 차단이 가능한 보안시스템에 관한 것으로서, 보다 상세하게는 인터넷을 통해 연결되는 것이 아닌 노트북 컴퓨터, 개인용 컴퓨터와 같은 액세스레벨로 접근하는 패킷데이터의 특성과 유형을 실시간 및 통계적으로 분석하여 유해트래픽을 차단하고 또한 네트워크을 통해 연결된 다양한 사용자의 IP를 관리할 수 있는 유해트래픽 차단장치 및 이를 포함하는 보안시스템에 관한 것이다. The present invention relates to an apparatus for blocking harmful traffic at an access level and a security system capable of blocking harmful traffic at an access level, and more particularly, to an access level such as a notebook computer or a personal computer, which is not connected through the Internet. The present invention relates to a harmful traffic blocking device and a security system that can block harmful traffic by analyzing characteristics and types of packet data in real time and statistically, and also manage IP of various users connected through a network.

현대 사회는 인터넷의 발달로 언제 어디서나 인터넷을 통하여 다양한 바이러스에 노출되어 있다. 특히, 유선 네트워크를 구축하여 사용하는 회사, 학교, 단체 등, 여러 조직에서는 하나의 네트워크 바이러스가 전체 네트워크를 한 순간에 무력화 시킬 수 있으며, 이로 인한 피해는 유해 바이러스의 발견, 차단, 그리고 네트워크가 정상적으로 복구될 때까지 인터넷 뿐 만 아니라 내부 네트워크를 사용하지 못하는 치명적이고 장시간의 피해를 주는 결과를 가져온다. Modern society is exposed to various viruses through the internet anytime and anywhere due to the development of the internet. In particular, in many organizations, such as companies, schools, and organizations that build and use wired networks, a single network virus can neutralize the entire network at one time. Until it is recovered, it can result in fatal and prolonged damage that results in the use of the internal network as well as the Internet.

최근 바이러스는 네트워크가 발달되기 이전의 바이러스와 달리 하나의 컴퓨 터를 무능하게 만드는 것 보다 전체 네트워크 점령하여 여러 대의 컴퓨터를 무력화 시키는 것이 특징이다. 따라서 이런 네트워크 바이러스의 위험, 위협, 사고 등을 차단, 대응, 예방하기 위한 다양한 네트워크 보안장치들이 등장하고 있으며, 많은 네트워크 관리자 및 네트워크 서비스 제공자들은 이러한 네트워크 보안장치의 도입을 적극 검토하고 있는 상황이다. Recent viruses, unlike viruses before the network was developed, are characterized by occupying the entire network and incapacitating several computers, rather than disabling one computer. Therefore, various network security devices have appeared to prevent, respond to, and prevent the risks, threats, and accidents of network viruses, and many network administrators and network service providers are actively considering the introduction of such network security devices.

도 1은 보안기능을 포함하는 일반적인 네트워크 구성을 설명하는 블록도이다. 1 is a block diagram illustrating a general network configuration including a security function.

도 1을 참조하면, 보안기능을 포함하는 일반적인 네트워크는 인터넷(10)과 단말기(50) 사이에 라우터(20), 방화벽(30), 백본스위치(40)를 구비한다. 방화벽(30)에 의해서 인터넷(10)을 통해서 유입되는 데이터들 중 유해한 데이터가 필터링된다. Referring to FIG. 1, a general network including a security function includes a router 20, a firewall 30, and a backbone switch 40 between the Internet 10 and a terminal 50. The harmful data is filtered out of the data flowing through the Internet 10 by the firewall 30.

이와같이, 일반적인 네트워크 보안장치들은 인터넷과 연될 되는 게이트웨이 단에서 외부로부터의 침입탐지 및 차단에 집중되어 있다. 즉, 도 1에서, 인터넷(10)과 라우터(30)를 통해서 침입하는 유해 데이터를 차단하는데 집중되어 있다. As such, general network security devices are focused on detecting and blocking intrusion from the outside at the gateway stage connected to the Internet. That is, in FIG. 1, it concentrates on blocking harmful data invading through the Internet 10 and the router 30. As shown in FIG.

이러한 네트워크 보안장치들은 인터넷과 같은 외부 네트워크로부터 내부 네트워크 자원들을 보호할 수 있으나, 내부 사용자 혹은 방문자가 이동형 저장장치(예를 들어, 프레쉬 메모리, 노트북)등을 이용하여 단말기(50) 단에 연결되어 네트워크에 접근하여 바이러스를 전파 시키거나 하는 경우에는 이러한 접근을 효율적으로 막지 못하고 있다. Such network security devices may protect internal network resources from an external network such as the Internet, but internal users or visitors may be connected to the terminal 50 using a portable storage device (for example, a fresh memory or a laptop). In the case of spreading viruses by accessing the network, such access cannot be effectively prevented.

또한, 기존에 알려진 바이러스가 아닌 신종 또는 변종 바이러스가 단말기(50) 단으 로부터 침입한다면 기존의 보안장치들은 신종 또는 변종 바이러스의 형태를 파악할 수 있는 자료가 없기 때문에 네트워크 전체의 보안이 취약해지는 문제가 있다. In addition, if a new or variant virus other than the known virus is invaded from the terminal 50, the existing security devices have a problem that the security of the entire network is vulnerable because there is no data for identifying the type of the new or variant virus. .

본 발명이 이루고자 하는 기술적 과제는 내부 사용자 혹은 방문자 컴퓨터 등이 연결되는 액세스레벨에서의 유해트래픽을 실시간으로 분석 및 차단할 수 있으며, 액세스레벨에 연결된 IP의 효율적인 관리가 가능한 액세스레벨에서의 유해트래픽 차단장치를 제공하는 데 있다. The technical problem to be achieved by the present invention is to analyze and block harmful traffic at the access level connected to the internal user or visitor computer in real time, harmful traffic blocking device at the access level capable of efficient management of IP connected to the access level To provide.

본 발명이 이루고자 하는 다른 기술적 과제는 내부 사용자 혹은 방문자 컴퓨터 등이 연결되는 액세스레벨에서의 유해트래픽을 실시간으로 분석 및 차단할 수 있으며, 액세스레벨에 연결된 IP의 효율적인 관리가 가능한 액세스레벨에서의 유해트래픽 차단이 가능한 보안시스템을 제공하는 데 있다. Another technical problem to be achieved by the present invention is to analyze and block harmful traffic at an access level to which an internal user or a visitor computer is connected in real time, and to block harmful traffic at an access level that enables efficient management of IP connected to the access level. This is to provide a possible security system.

상기 기술적 과제를 이루기 위한 본 발명의 실시예에 따른 액세스레벨에서의 유해트래픽 차단 장치는 다층분석부 및 프로세서를 구비한다. The harmful traffic blocking device at the access level according to the embodiment of the present invention for achieving the technical problem comprises a multi-layer analysis unit and a processor.

다층분석부는 스위치 패브릭을 통해서 입력되는 패킷 데이터의 헤더를 통계적 방법으로 분석하고 분석결과를 출력한다. The multilayer analysis unit analyzes the header of the packet data input through the switch fabric in a statistical manner and outputs the analysis result.

프로세서는 상기 다층분석부의 분석결과에 응답하여 상기 패킷데이터의 차단여부를 결정하는 1차보안룰필터를 생성하고, 상기 1차보안룰필터에 근거하여 상기 스위치 패브릭을 제어하는 차단명령을 출력하며, 상기 패킷 데이터를 전송하는 IP(Internet Protocol) 어드레스를 확인하여 외부로 출력하고, 차단할 IP 정보를 가지는 IP관리명령에 응답하여 상기 차단명령을 출력한다. The processor generates a first security rule filter for determining whether to block the packet data in response to the analysis result of the multi-layer analysis unit, and outputs a blocking command for controlling the switch fabric based on the first security rule filter. An IP address for transmitting the packet data is identified and output to the outside, and the blocking command is output in response to an IP management command having IP information to be blocked.

상기 다층분석부는 상기 패킷데이터의 헤더를 L4(Layer 4) 레벨까지 분석한다. 상기 통계적 방법은 입력되는 패킷데이터마다 상기 패킷데이터의 헤더의 소스 어드레스(source address), 프로토콜(protocol) 타입, 소스IP, 데스티네이션IP, 소스서비스포트(source service port), 데스티네이션서비스포트(destination service port)를 계속해서 분석하여 그 분포패턴을 이용하여 네트워크 트래픽 특징을 검토한다. 상기 다층분석부는 ASIC (Application Specific Integrated Circuit)으로 형성된다. The multilayer analysis unit analyzes the header of the packet data up to L4 (Layer 4) level. The statistical method includes a source address, a protocol type, a source IP, a destination IP, a source service port, and a destination service port of a header of the packet data for each packet data input. service port), and analyze the network traffic characteristics using the distribution pattern. The multilayer analysis unit is formed of an application specific integrated circuit (ASIC).

상기 프로세서는 상기 1차보안룰필터를 참고하여, 상기 패킷의 유입시간과 패킷의 양(packet quantity), 패킷의 연속성(packet continuity)을 분석하여 상기 패킷데이터의 차단여부를 결정하는 2차보안룰필터를 생성하고 상기 2차보안룰필터에 근거하여 상기 차단명령을 출력한다. The processor determines the blocking of the packet data by analyzing the inflow time, the packet quantity, and the packet continuity of the packet with reference to the primary security rule filter. A filter is generated and the blocking command is output based on the secondary security rule filter.

차단장치는 상기 1차보안룰필터와 상기 2차보안룰필터로부터 생성된 로그파일을 수신하여 저장하는 메모리를 더 구비한다. The blocking device further includes a memory for receiving and storing a log file generated from the primary security rule filter and the secondary security rule filter.

상기 스위치패브릭은 상기 1차보안룰필터, 2차보안룰필터 및 상기 IP관리명령에 근거하여 발생되는 차단할 IP 정보를 가지는 상기 차단명령에 응답하여 상기 차단할 IP를 하드웨어적으로 차단한다. The switch fabric hardware blocks the IP to be blocked in response to the blocking command having the IP information to be blocked based on the primary security rule filter, the secondary security rule filter, and the IP management command.

상기 프로세서는 ARP(Address Resolution Protocol) 트랩을 이용하여 상기 패킷 데이터를 전송하는 IP 어드레스와 MAC 어드레스를 확인하여 외부로 출력한다. The processor checks an IP address and a MAC address for transmitting the packet data using an ARP (Address Resolution Protocol) trap and outputs it to the outside.

상기 IP관리명령은 외부의 관리자에 의해서 만들어진 IP관리정책에 따라 차단 및 허용할 IP 어드레스가 정해진다. The IP management command determines an IP address to be blocked and allowed according to an IP management policy made by an external administrator.

상기 기술적과제를 달성하기 위한 본 발명의 다른 실시예에 따른 액세스레벨에서의 유해트래픽 차단이 가능한 보안시스템은 유해트래픽 차단장치 및 네트워크관리부를 구비한다. The security system capable of blocking harmful traffic at an access level according to another embodiment of the present invention for achieving the technical problem includes a harmful traffic blocking device and a network management unit.

유해트래픽 차단장치는 입력되는 패킷데이터의 헤더를 통계적방법으로 분석하여 유해트래픽을 차단하고, IP관리정책에 따라 상기 패킷데이터를 전송하는 IP(Internet Protocol) 어드레스를 차단한다. The harmful traffic blocking device analyzes the header of the incoming packet data in a statistical manner to block harmful traffic and to block an IP (Internet Protocol) address for transmitting the packet data according to an IP management policy.

네트워크관리부는 상기 IP관리정책을 저장하고, 상기 IP관리정책에 응답하여 차단할 IP정보를 가지는 IP관리명령을 출력하며, 상기 유해트래픽 차단장치에서 출력되는 유해트래픽에 대한 정보를 저장한다. The network manager stores the IP management policy, outputs an IP management command having IP information to be blocked in response to the IP management policy, and stores information about harmful traffic output from the harmful traffic blocking device.

상기 유해트래픽 차단장치는 스위치 패브릭을 통해서 입력되는 상기 패킷 데이터의 헤더를 상기 통계적 방법으로 분석하고 분석결과를 출력하는 다층분석부, 상기 다층분석부의 분석결과에 응답하여 상기 패킷데이터의 차단여부를 결정하는 1차보안룰필터를 생성하고, 상기 1차보안룰필터에 근거하여 상기 스위치 패브릭을 제어하는 차단명령을 출력하며, 상기 패킷데이터를 전송하는 IP 어드레스를 확인하여 상기 네트워크관리부로 출력하고, 상기 IP관리명령에 응답하여 상기 차단명령을 출력하는 프로세서를 구비한다. The harmful traffic blocking device is a multi-layer analysis unit for analyzing the header of the packet data input through the switch fabric in the statistical method and outputs an analysis result, and determines whether to block the packet data in response to the analysis results of the multi-layer analysis unit Generate a primary security rule filter, output a blocking command for controlling the switch fabric based on the primary security rule filter, check an IP address for transmitting the packet data, and output the packet address to the network manager; And a processor for outputting the blocking command in response to the IP management command.

상기 다층분석부는 상기 패킷데이터의 헤더를 L4(Layer 4) 레벨까지 분석한다. 상기 통계적 방법은 입력되는 패킷데이터마다 상기 패킷데이터의 헤더의 소스 어드레스(source address), 프로토콜(protocol) 타입, 소스IP, 데스티네이션IP, 소스서비스포트(source service port), 데스티네이션서비스포트(destination service port)를 계속해서 분석하여 그 분포패턴을 이용하여 네트워크 트래픽 특징을 검토한다. The multilayer analysis unit analyzes the header of the packet data up to L4 (Layer 4) level. The statistical method includes a source address, a protocol type, a source IP, a destination IP, a source service port, and a destination service port of a header of the packet data for each packet data input. service port), and analyze the network traffic characteristics using the distribution pattern.

상기 다층분석부는 ASIC (Application Specific Integrated Circuit)으로 형성된다. 상기 프로세서는 상기 1차보안룰필터를 참조하고, 상기 패킷의 유입시간과 패킷의 양(packet quantity), 패킷의 연속성(packet continuity)을 분석하여 상기 패킷데이터의 차단여부를 결정하는 2차보안룰필터를 생성하고 상기 2차보안룰필터에 근거하여 상기 차단명령을 출력한다. The multilayer analysis unit is formed of an application specific integrated circuit (ASIC). The processor refers to the first security rule filter and analyzes the packet inflow time, the packet quantity, and the packet continuity of the packet to determine whether to block the packet data. A filter is generated and the blocking command is output based on the secondary security rule filter.

상기 유해트래픽 차단장치는 상기 1차보안룰필터와 상기 2차보안룰필터로부터 생성된 로그파일을 수신하여 저장하는 메모리를 더 구비한다. The harmful traffic blocking apparatus further includes a memory for receiving and storing a log file generated from the primary security rule filter and the secondary security rule filter.

상기 스위치패브릭은 상기 1차보안룰필터, 2차보안룰필터 및 상기 IP관리명령에 근거하여 발생되는 차단할 IP 정보를 가지는 상기 차단명령에 응답하여 상기 차단할 IP를 하드웨어적으로 차단한다. The switch fabric hardware blocks the IP to be blocked in response to the blocking command having the IP information to be blocked based on the primary security rule filter, the secondary security rule filter, and the IP management command.

상기 프로세서는 ARP(Address Resolution Protocol) 트랩을 이용하여 상기 패킷 데이터를 전송하는 IP 어드레스와 MAC 어드레스를 확인하여 상기 네트워크관리부로 출력한다. The processor checks an IP address and a MAC address for transmitting the packet data using an Address Resolution Protocol (ARP) trap and outputs the MAC address to the network manager.

상기 네트워크 관리부는 상기 프로세서로부터 상기 IP 어드레스와 MAC 어드레스를 수신하여 상기 스위치 패브릭에 연결된 포트들의 데이터베이스를 생성하고, 상기 IP관리정책에 응답하여 상기 데이터베이스의 포트들 중 유해한 패킷데이터를 전송하는 포트를 차단하기 위한 상기 IP관리명령을 출력한다. 상기 IP관리정책은 외부의 관리자에 의해서 차단 및 허용할 IP 어드레스가 정해진다. The network manager receives the IP address and the MAC address from the processor to generate a database of ports connected to the switch fabric, and blocks a port for transmitting harmful packet data among the ports of the database in response to the IP management policy. Outputs the IP management command. The IP management policy determines an IP address to be blocked and allowed by an external administrator.

본 발명에 따르면, 네트워크의 액세스레벨에서 발생할 수 있는 알고 있는 혹은 변형된 유해트래픽을 차단장치를 포함하는 보안시스템을 이용하여 통계적 방법으로 탐지 및 차단할 수 있으며, 패킷데이터를 탐지 및 분석할 때 모듈화된 다층분석부를 이용함으로써 매우 빠른 시간내에 분석 및 차단이 가능하다는 장점이 있다. According to the present invention, it is possible to detect and block a known or modified harmful traffic that may occur at an access level of a network by a statistical method using a security system including a blocking device, and to modularize when detecting and analyzing packet data. By using the multilayer analysis unit, there is an advantage that analysis and blocking can be performed at a very fast time.

또한 관리자가 네트워크의 IP를 액세스 레벨에서 효율적으로 관리할 수 있으며, 네트워크관리부로 전송되는 패킷에 대한 정보를 통해 내부 네트워크의 세부적인 현황을 실시간으로 파악할 수 있는 장점이 있다. In addition, the administrator can efficiently manage the IP of the network at the access level, and has the advantage of real-time detailed information on the internal network through the information about the packet transmitted to the network management unit.

본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 첨부 도면에 기재된 내용을 참조하여야만 한다. In order to fully understand the present invention, the operational advantages of the present invention, and the objects achieved by the practice of the present invention, reference should be made to the accompanying drawings which illustrate preferred embodiments of the present invention and the contents described in the accompanying drawings.

이하, 첨부 도면을 참조하여 본 발명의 바람직한 실시예를 설명하기로 한다. Hereinafter, exemplary embodiments of the present invention will be described with reference to the accompanying drawings.

도 2는 본 발명에 따른 유해트래픽 차단장치를 포함하는 보안시스템을 포함하는 네트워크 구성을 설명하는 블록도이다. 2 is a block diagram illustrating a network configuration including a security system including a harmful traffic blocking apparatus according to the present invention.

도2를 참조하면, 본 발명의 실시예에 따른 액세스레벨에서의 유해트래픽 차단이 가능한 보안시스템(200)은 네트워크 상에서 백본스위치(40)와 단말기(50) 사이에 설치된다. 백본스위치(40)와 단말기(50) 사이에서 보안시스템(200)은 단말기(50) 측으로부터 유입되는 패킷데이터를 실시간으로 분석하고 유해데이터를 차단함과 동시에 단말기(50) 측에 연결된 복수개의 IP를 확인하여 IP관리정책에 따라 IP자원을 효율적으로 관리한다. 2, a security system 200 capable of blocking harmful traffic at an access level according to an embodiment of the present invention is installed between a backbone switch 40 and a terminal 50 on a network. Between the backbone switch 40 and the terminal 50, the security system 200 analyzes packet data flowing from the terminal 50 side in real time and blocks harmful data and at the same time a plurality of IPs connected to the terminal 50 side. Check and manage IP resources efficiently according to IP management policy.

여기서, 단말기(50)는 개인용 컴퓨터, 노트북, USB 메모리와 같이 다양한 장치들 중 하나일 수 있다. 또한, 액세스레벨이란 인터넷에 연결되는 게이트웨이 단의 외부에서 침입하는 것이 아니라, 네트워크 상에서 내부 사용자와 같이 단말기(50) 측에 접속되어 네트워크로 칩입하는 경우를 의미한다. 백본스위치(40) 앞단의 구조는 도 1과 동일하므로 설명을 생략한다. Here, the terminal 50 may be one of various devices such as a personal computer, a notebook, and a USB memory. In addition, the access level refers to a case in which the terminal accesses the terminal 50 side like the internal user on the network and enters the network instead of invading from the outside of the gateway stage connected to the Internet. Since the structure of the front end of the backbone switch 40 is the same as that of FIG.

도 2에는 네트워크의 계통도에 하나의 보안시스템(200)만 도시되어 있으나, 이는 설명의 편의를 위한 것이며, 보안시스템(200)은 복수개 설치될 수 있고, 또한 보안시스템(200)에 연결되는 단말기들도 복수개일 수 있다. Although only one security system 200 is shown in the schematic diagram of FIG. 2, this is for convenience of description, and a plurality of security systems 200 may be installed and terminals connected to the security system 200. There may be a plurality.

도 3은 도 2의 보안시스템 및 유해트래픽 차단장치의 구성을 설명하는 블록도이다. 3 is a block diagram illustrating the configuration of the security system and harmful traffic blocking device of FIG.

이하, 도 2 및 도3을 참조하여 보안시스템의 동작이 상세히 설명된다. Hereinafter, the operation of the security system will be described in detail with reference to FIGS. 2 and 3.

액세스레벨에서의 유해트래픽 차단이 가능한 보안시스템(200)은 유해트래픽 차단장치(210) 및 네트워크관리부(250)를 구비한다. The security system 200 capable of blocking harmful traffic at an access level includes a harmful traffic blocking device 210 and a network manager 250.

유해트래픽 차단장치(210)는 입력되는 패킷데이터의 헤더를 통계적방법으로 분석하여 유해트래픽을 차단하고, IP관리정책에 따라 상기 패킷데이터를 전송하는 IP(Internet Protocol) 어드레스를 차단한다.The harmful traffic blocking apparatus 210 blocks the harmful traffic by analyzing the header of the input packet data by a statistical method, and blocks the IP (Internet Protocol) address transmitting the packet data according to the IP management policy.

네트워크관리부(250)는 IP관리정책을 저장하고, 상기 IP관리정책에 응답하여 차단할 IP정보를 가지는 IP관리명령(IPCTRL)을 출력하며, 유해트래픽 차단장치(210)에서 출력되는 유해트래픽에 대한 정보를 저장한다. The network manager 250 stores the IP management policy, outputs an IP management command (IPCTRL) having IP information to be blocked in response to the IP management policy, and information on harmful traffic output from the harmful traffic blocking device 210. Save it.

도 3을 참조하여 유해트래픽 차단장치(210)에 대해서 좀 더 설명한다.The harmful traffic blocking device 210 will be described in more detail with reference to FIG. 3.

유해트래픽 차단장치(210)는 스위치패브릭(305), 다층분석부(310) 및 프로세서(320)를 구비한다. 또한, 메모리(330)를 더 구비할 수 있다. The harmful traffic blocking device 210 includes a switch fabric 305, a multi-layer analysis unit 310, and a processor 320. In addition, the memory 330 may be further provided.

스위치패브릭(305)은 단말기들(50-1, 50-2, 50-n)이 네트워크에 접속할 때 단말기들(50-1, 50-2, 50-n)과 연결되는 스위치이다. 단말기들(50-1, 50-2, 50-n)은 PHY(미도시)라는 물리층 프로토콜을 통해 스위치패브릭(305)과 연결되지만 도 3에서 PHY는 생략된다. 스위치패브릭(305)은 각각의 단말기들(50-1, 50-2, 50-n)로부터 입력되는 패킷데이터를 차단할 수 있다. The switch fabric 305 is a switch connected to the terminals 50-1, 50-2, and 50-n when the terminals 50-1, 50-2, and 50-n connect to the network. The terminals 50-1, 50-2, and 50-n are connected to the switch fabric 305 through a physical layer protocol called PHY (not shown), but the PHY is omitted in FIG. 3. The switch fabric 305 may block packet data input from each of the terminals 50-1, 50-2, and 50-n.

다층분석부(310)는 스위치패브릭(305)을 통해서 입력되는 패킷 데이터의 헤더를 통계적 방법으로 분석하고 분석결과를 출력한다. 프로세서(320)는 다층분석부(310)의 분석결과에 응답하여 상기 패킷데이터의 차단여부를 결정하는 1차보안룰필터를 생성하고, 상기 1차보안룰필터에 근거하여 스위치패브릭(305)을 제어하는 차단명령(BLK)을 출력하며, 패킷데이터를 전송하는 IP 어드레스를 확인하여 네트워크관리부(250)로 출력하고, IP관리명령(IPCTRL)에 응답하여 차단명령(BLK)을 출력한다. The multi-layer analysis unit 310 analyzes the header of the packet data input through the switch fabric 305 by a statistical method and outputs the analysis result. The processor 320 generates a first security rule filter for determining whether to block the packet data in response to the analysis result of the multi-layer analysis unit 310, and generates a switch fabric 305 based on the first security rule filter. It outputs a blocking command BLK to control, checks an IP address for transmitting packet data, outputs it to the network manager 250, and outputs a block command BLK in response to the IP management command IPCTRL.

다층분석부(310)는 스위치패브릭(305)을 통해 입력되는 패킷데이터를 실시간으로 통계적방법을 이용하여 분석하고 분석결과를 출력하며, ASIC (Application Specific Integrated Circuit)으로 형성된다. 즉, 패킷데이터를 분석하는 다층분석부(310)는 하드웨어로 만들어짐으로써 소프트웨어를 이용하여 패킷데이터를 분석하는 것보다 빠른 속도로 패킷데이터의 분석이 가능하다. The multilayer analysis unit 310 analyzes packet data input through the switch fabric 305 using a statistical method in real time and outputs an analysis result, and is formed as an application specific integrated circuit (ASIC). That is, the multi-layer analysis unit 310 for analyzing packet data is made of hardware, and thus it is possible to analyze the packet data at a faster speed than analyzing the packet data using software.

다층분석부(310)는 패킷데이터의 헤더를 L4(Layer 4) 레벨까지 분석한다. 여기서, 다층분석부(310)가 이용하는 통계적 방법은 입력되는 패킷데이터마다 상기 패킷데이터의 헤더의 소스 어드레스(source address), 프로토콜(protocol) 타입, 소스IP, 데스티네이션IP, 소스서비스포트(source service port), 데스티네이션서비스포트(destination service port)를 계속해서 분석하여 그 분포패턴을 이용하여 네트워크 트래픽 특징을 검토하는 것이다. The multilayer analysis unit 310 analyzes the header of the packet data up to L4 (Layer 4) level. Here, the statistical method used by the multi-layer analysis unit 310 is a source address, a protocol type, a source IP, a destination IP, a source service port of a header of the packet data for each input packet data. port) and destination service port, and then analyze the network traffic characteristics using the distribution pattern.

패킷데이터 헤더의 L4 레벨까지 존재하는 상기 요소들(소스 어드레스 , 프로토콜 타입, 소스IP, 데스티네이션IP, 소스서비스포트, 데스티네이션서비스포트)을 패킷데이터마다 추출하고 상기 요소들 각각의 변화를 관찰하여 그 변화가 정상적인 패킷데이터와 유사한지 다른지를 분석하여 분석결과가 프로세서(320)로 출력된다. By extracting the elements (source address, protocol type, source IP, destination IP, source service port, destination service port) up to L4 level of the packet data header for each packet data and observing the change of each of the elements The analysis result is output to the processor 320 by analyzing whether the change is similar to the normal packet data.

프로세서(320)는 다층분석부(310)의 분석결과에 응답하여 상기 패킷데이터의 차단여부를 결정하는 1차보안룰필터를 생성하고, 상기 1차보안룰필터에 근거하여 스위치패브릭(305)을 제어하는 차단명령(BLK)을 출력한다. The processor 320 generates a first security rule filter for determining whether to block the packet data in response to the analysis result of the multi-layer analysis unit 310, and generates a switch fabric 305 based on the first security rule filter. Outputs the blocking command BLK to be controlled.

도4는 x축을 소스IP로 하고 Y축을 소스서비스포트로 하여 입력되는 패킷데이터를 분석한 결과를 나타내는 도면이다.4 is a diagram illustrating a result of analyzing packet data input using the x-axis as the source IP and the Y-axis as the source service port.

도 4에 의하여 네트워크를 공격하는 바이러스 패턴을 확인할 수 있다. 바이러스 패턴 중 DoS (Denial of Service)는 소스IP는 고정된 상태에서 소스서비스포트가 변화되는 패턴을 가진다. 4, the virus pattern attacking the network can be confirmed. Among the virus patterns, DoS (Denial of Service) has a pattern in which the source service port is changed while the source IP is fixed.

도 4에서 소스IP는 고정된 상태에서 소스서비스포트가 매우 빠르게 변화되는 영역(410)을 확인할 수 있으며, 다층분석부(310)에서 출력되는 분석결과가 상기 영 역(410)에 포함되는 패킷데이터들은 유해트래픽으로 간주된다. In FIG. 4, the source IP can identify a region 410 in which the source service port is changed very quickly in a fixed state, and the packet data including the analysis result output from the multi-layer analysis unit 310 is included in the region 410. Are considered harmful traffic.

바이러스 패턴 중 DDoS (Distributed Denial of Service)는 소스IP가 변화되는가(spoofed)에 따라 두가지로 분류될 수 있다. 변화되는 DDoS는 소스서비스포트의 약 90% 이상이 변화를 보이며, 보통의 DDoS는 소스IP의 약 40%이상이 변화된다. Among the virus patterns, distributed denial of service (DDoS) can be classified into two types depending on whether the source IP is changed (spoofed). In the case of changing DDoS, more than 90% of the source service port changes, and in general, DDoS changes more than 40% of the source IP.

도 4에서 변화되는 DDoS 영역(420)과 보통의 DDoS 영역(430)을 확인할 수 있으며, 다층분석부(310)에서 출력되는 분석결과가 상기 영역(420, 430)에 포함되는 패킷데이터들은 유해트래픽으로 간주된다. In FIG. 4, the changed DDoS region 420 and the normal DDoS region 430 can be identified, and packet data whose analysis results output from the multilayer analyzer 310 are included in the regions 420 and 430 are harmful traffic. Is considered.

바이러스 패턴 중 Worm Attack은 소스IP와 소스서비스포트의 약 80% 이상이 변화를 보인다. 도 4에서 변화되는 Worm Attack 영역(440)을 확인할 수 있으며, 다층분석부(310)에서 출력되는 분석결과가 상기 영역(440)에 포함되는 패킷데이터들은 유해트래픽으로 간주된다. Among the virus patterns, Worm Attack changes more than 80% of source IP and source service port. In FIG. 4, the Worm Attack region 440 is changed. Packet data in which the analysis result output from the multilayer analyzer 310 is included in the region 440 is regarded as harmful traffic.

프로세서(320)는 이와 같이 유해트래픽으로 간주된 패킷데이터들을 가지고 패킷데이터의 차단여부를 결정하는 1차보안룰필터를 생성한다. 즉, 다층분석부(310)에서 분석결과가 상기 영역들(410~440)에 포함되는 패킷데이터들은 유해트래픽으로 간주되고, 유해트래픽으로 간주된 패킷데이터들의 IP를 추출하여 1차보안룰필터를 생성한다. 그리고, 1차보안룰필터에 근거하여 상기 유해트래픽으로 간주된 패킷데이터들을 차단하기 위하여 스위치패브릭(305)으로 차단명령(BLK)을 출력한다. 따라서, 차단명령(BLK)은 차단할 IP정보를 가지고 있다. 스위치패브릭(305)은 차단명령(BLK)에 응답하여 유해한 패킷데이터들이 입력되는 IP 포트를 차단한다. IP 포트의 차단은 프로그램에 의한 것이 아니고, 스위치패브릭(305)에 의하여 유해한 IP가 발견된 포트가 직접 차단하는 하드웨어적인 방법에 의해서 차단동작이 수행되므로 소프트웨어적으로 IP 포트를 차단하는 것보다 훨씬더 신속하고 정확하게 차단할 수 있다. The processor 320 generates the first security rule filter that determines whether the packet data is blocked based on the packet data considered as harmful traffic. That is, in the multilayer analysis unit 310, packet data whose analysis results are included in the areas 410 to 440 are regarded as harmful traffic, and IPs of packet data regarded as harmful traffic are extracted to extract a primary security rule filter. Create Then, a block command BLK is output to the switch fabric 305 to block packet data regarded as the harmful traffic based on the primary security rule filter. Therefore, the block command BLK has IP information to block. The switch fabric 305 blocks an IP port to which harmful packet data is input in response to a block command BLK. The blocking of the IP port is not by program, but the blocking operation is performed by the hardware method that directly blocks the port where harmful IP is found by the switch fabric 305, so it is much more than blocking the IP port by software. Can be blocked quickly and accurately.

도 4에는 x축을 소스IP로 하고 Y축을 소스서비스포트로 하여 입력되는 패킷데이터를 분석한 결과를 설명하고 있지만 x축과 y축을 다양하게 변형하여 입력되는 패킷데이터를 분석할 수 있으며, 프로세서(320)는 이러한 동작을 수행한다. Although FIG. 4 illustrates the result of analyzing packet data input using the x-axis as the source IP and the Y-axis as the source service port, the packet data can be analyzed by variously changing the x-axis and the y-axis. ) Performs this operation.

상기와 같이 생성된 1차보안룰필터는 일반적인 바이러스 패턴을 가지는 패킷데이터를 검출하는데 좋은 성능을 보인다. 그러나 검출 에러율을 낮추고 변형된 바이러스 패턴도 검출하기 위해서 프로세서(320)는 1차보안룰필터를 참고하고, 패킷의 유입시간과 패킷의 양(packet quantity), 패킷의 연속성(packet continuity)을 분석하여 상기 패킷데이터의 차단여부를 결정하는 2차보안룰필터를 생성하고 상기 2차보안룰필터에 근거하여 차단명령(BLK)을 출력한다. The primary security rule filter generated as described above has a good performance in detecting packet data having a general virus pattern. However, in order to lower the detection error rate and detect the modified virus pattern, the processor 320 refers to the primary security rule filter, analyzes the packet inflow time, the packet quantity, and the packet continuity. A secondary security rule filter for determining whether to block the packet data is generated, and a blocking command BLK is output based on the secondary security rule filter.

패킷의 유입시간은 패킷의 양과 패킷의 연속성을 분석하기 위한 기본적인 파라미터로 작용한다. Packet ingress time serves as a basic parameter for analyzing packet quantity and packet continuity.

도 5는 2차보안룰필터를 생성하는 과정을 설명하는 도면이다. 5 is a diagram illustrating a process of generating a secondary security rule filter.

도 6은 도 5에 형성된 집단이 어떤 바이러스 패턴에 대응되는지를 설명하는 표이다.FIG. 6 is a table for explaining which virus pattern the population formed in FIG. 5 corresponds. FIG.

도 5에서와 같이, 패킷의 유입시간, 패킷의 양 및 패킷의 연속성을 서로 관련지어 3차원의 각축을 표시하도록 할 때, 1차보안룰필터를 생성시킨 패킷데이터를 분석하여 도 5에서와 같은 집단이 보인다면, 프로세서(320)는 집단에 속한 패킷데이터를 유해트래픽으로 쉽게 간주할 수 있다. 왜냐하면, 보통의 트래픽에서는 도 5에서와 같은 집단이 나타나지 않기 때문이다. As shown in FIG. 5, when the inflow time of the packet, the amount of packets, and the continuity of the packets are related to each other to display three-dimensional axes, the packet data generated by the first security rule filter is analyzed, as shown in FIG. If the group is visible, the processor 320 can easily regard the packet data belonging to the group as harmful traffic. This is because the group as shown in FIG. 5 does not appear in normal traffic.

도 6에 도시된 것처럼, 바이러스 패턴 중 DoS (Denial of Service)는 패킷의 유입시간은 짧고, 패킷 양은 많고 패킷의 연속성은 매우 높은 특징을 가진다. 여기서, 패킷의 유입시간의 길고 짧음, 패킷 양의 많고 적음 및 패킷의 연속성의 높고 낮음의 기준은 본 발명의 실시예에 따른 보안시스템을 설계하는 설계자에 의해서 설계되어 미리 보안시스템에 설정된다. 설계기준은 보안시스템이 적용되는 네트워크 환경에 따라 다양하게 정의될 수 있다. 도 6에 개시된 short, long, low, high의 개념은 도 5를 이해하기 편리하도록 표시한 하나의 설명 예이다. 따라서, 이러한 특징을 가진 집단이 형성되면(도 5참조) 이 집단에 속하는 패킷데이터는 DoS 패턴을 가지는 바이러스일 가능성이 매우 높은 것이다. As shown in FIG. 6, DoS (Denial of Service) among virus patterns has a feature of short packet inflow time, high packet quantity, and high packet continuity. Here, the criteria of long and short of packet inflow time, high and low amount of packet and high and low continuity of packet are designed by the designer who designs the security system according to the embodiment of the present invention and set in advance in the security system. Design criteria can be defined in various ways according to the network environment to which the security system is applied. The concept of short, long, low, and high disclosed in FIG. 6 is one explanatory example in which FIG. 5 is displayed for convenience of understanding. Therefore, if a population having such characteristics is formed (see Fig. 5), packet data belonging to this population is very likely to be a virus having a DoS pattern.

이렇게 생성된 2차보안룰필터에 근거하여 프로세서(320)는 차단명령(BLK)을 스위치패브릭(305)으로 출력하고, 스위치패브릭(305)은 차단명령(BLK)이 지시하는 포트를 차단한다. The processor 320 outputs a block command BLK to the switch fabric 305 based on the generated second security rule filter, and the switch fabric 305 blocks a port indicated by the block command BLK.

유해트래픽 차단장치(210)는 1차보안룰필터와 상기 2차보안룰필터로부터 생성된 로그파일을 수신하여 저장하는 메모리(330)를 더 구비한다. 일단 메모리(330)에 저장된 1차보안룰필터와 2차보안룰필터는 다층분석부(310)의 동작시 기존에 검색된 유해트래픽의 자료로서 이용됨으로써 다층분석부(310)의 동작을 더 빠르게 할 수 있다. 또한, 메모리(330)에 저장된 1차보안룰필터와 2차보안룰필터는 네트워크관리부(250)로 전달되어 네트워크관리부(250)에 저장됨으로써 관리자의 이용자료로 이용될 수도 있다. The harmful traffic blocking device 210 further includes a memory 330 that receives and stores a log file generated from the primary security rule filter and the secondary security rule filter. Once the first security rule filter and the second security rule filter stored in the memory 330 is used as the data of the harmful traffic that was previously searched during the operation of the multi-layer analysis unit 310 to speed up the operation of the multi-layer analysis unit 310 Can be. In addition, the first security rule filter and the second security rule filter stored in the memory 330 is delivered to the network management unit 250 may be used as the user's use data by being stored in the network management unit 250.

프로세서(320)는 ARP(Address Resolution Protocol) 트랩을 이용하여 상기 패킷 데이터를 전송하는 IP 어드레스(IPA)와 MAC 어드레스(MACA)를 확인하여 네트워크관리부(250)로 출력한다. The processor 320 identifies an IP address (IPA) and a MAC address (MACA) for transmitting the packet data by using an ARP (Address Resolution Protocol) trap and outputs the same to the network manager 250.

ARP 트랩을 이용하면 스위치패브릭(305)에 연결되는 단말기들(50-1, 50-2, 50-n)의 IP 어드레스(IPA)와 MAC 어드레스(MACA)를 파악할 수 있으므로, 파악된 IP 어드레스(IPA)와 MAC 어드레스(MACA)를 네트워크관리부(250)로 전송함으로써 네트워크관리부(250)가 스위치패브릭(305)에 연결된 IP를 관리할 수 있도록 해준다. By using the ARP trap, the IP address (IPA) and MAC address (MACA) of the terminals 50-1, 50-2, and 50-n connected to the switch fabric 305 can be determined. By transmitting the IPA) and the MAC address (MACA) to the network manager 250, the network manager 250 can manage the IP connected to the switch fabric 305.

네트워크관리부(250)는 프로세서(320)로부터 IP 어드레스(IPA)와 MAC 어드레스(MACA)를 수신하여 스위치패브릭(305)에 연결된 포트들의 데이터베이스를 생성한다. 그리고, IP관리정책에 응답하여 데이터베이스의 포트들 중 유해한 패킷데이터를 전송하는 포트를 차단하기 위한 IP관리명령(IPCTRL)을 출력한다. IP관리정책은 외부의 관리자에 의해서 미리 차단 및 허용할 IP 어드레스가 정해진 데이터베이스 이다. 또는 IP관리정책은 관리자가 실시간으로 스위치패브릭(305)에 연결된 IP 어드레스(IPA)와 MAC 어드레스(MACA)에 관한 정보를 관찰하면서 유해한 트래픽을 전송한다고 판단되는 포트나 기타 차단할 필요가 있는 포트를 변경함으로써 IP관리를 효율적이고 다양하게 수행하도록 할 수 있다. The network manager 250 receives an IP address (IPA) and a MAC address (MACA) from the processor 320 and generates a database of ports connected to the switch fabric 305. In response to the IP management policy, an IP management command (IPCTRL) for blocking a port for transmitting harmful packet data among the ports of the database is output. IP management policy is a database where IP addresses to be blocked and allowed by external administrators are determined in advance. Alternatively, the IP management policy changes the port that the administrator determines to transmit harmful traffic or other ports that need to be blocked while observing information about the IP address (IPA) and MAC address (MACA) connected to the switch fabric 305 in real time. By doing so, IP management can be efficiently and variously performed.

프로세서(320)는 IP관리명령(IPCTRL)에 응답해서 차단명령(BLK)을 발생함으로써 불필요한 포트를 차단할 수 있다. 기존에는 특정 IP 어드레스를 차단할 경우 프로그램적으로 차단하는 방법을 이용하였으나, 본 발명의 실시예에 따른 보안시스템은 IP관리정책에 따라 스위치패브릭(305)으로 차단명령(BLK)을 전송하여 스위치패브릭(305)이 불필요한 IP가 발견된 포트를 하드웨어적으로 차단하도록 함으로써 매우 빠른 속도로 IP관리를 수행할 수 있다. The processor 320 may block an unnecessary port by generating a block command BLK in response to the IP management command IPCTRL. Conventionally, when a specific IP address is blocked, a programmatic blocking method is used. However, the security system according to the embodiment of the present invention transmits a block command BLK to the switch fabric 305 according to the IP management policy. 305) allows hardware to block ports in which unnecessary IPs are found, so that IP management can be performed at a very high speed.

이상 본 발명의 바람직한 실시예에 대해 상세히 기술하였지만, 본 발명이 속하는 기술분야에 있어서 통상의 지식을 가진 사람이라면, 첨부된 청구범위에 정의된 본 발명의 정신 및 범위에 벗어나지 않으면서 본 발명을 여러 가지로 변형 또는 변경하여 실시할 수 있음을 알 수 있을 것이다. 따라서, 본 발명의 앞으로의 실시예들의 변경은 본 발명의 기술을 벗어날 수 없을 것이다.Although a preferred embodiment of the present invention has been described in detail above, those skilled in the art to which the present invention pertains can make various changes without departing from the spirit and scope of the invention as defined in the appended claims. It will be appreciated that modifications or variations may be made. Accordingly, modifications to future embodiments of the present invention will not depart from the technology of the present invention.

본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.BRIEF DESCRIPTION OF THE DRAWINGS In order to better understand the drawings cited in the detailed description of the invention, a brief description of each drawing is provided.

도 1은 보안기능을 포함하는 일반적인 네트워크 구성을 설명하는 블록도이다. 1 is a block diagram illustrating a general network configuration including a security function.

도 2는 본 발명에 따른 유해트래픽 차단장치를 포함하는 보안시스템을 포함하는 네트워크 구성을 설명하는 블록도이다. 2 is a block diagram illustrating a network configuration including a security system including a harmful traffic blocking apparatus according to the present invention.

도 3은 도 2의 보안시스템 및 유해트래픽 차단장치의 구성을 설명하는 블록도이다. 3 is a block diagram illustrating the configuration of the security system and harmful traffic blocking device of FIG.

도4는 x축을 소스IP로 하고 Y축을 소스서비스포트로 하여 입력되는 패킷데이터를 분석한 결과를 나타내는 도면이다.4 is a diagram illustrating a result of analyzing packet data input using the x-axis as the source IP and the Y-axis as the source service port.

도 5는 2차보안룰필터를 생성하는 과정을 설명하는 도면이다. 5 is a diagram illustrating a process of generating a secondary security rule filter.

도 6은 도 5에 형성된 집단이 어떤 바이러스 패턴에 대응되는지를 설명하는 표이다.FIG. 6 is a table for explaining which virus pattern the population formed in FIG. 5 corresponds. FIG.

Claims (20)

스위치 패브릭을 통해서 입력되는 패킷 데이터의 헤더를 통계적 방법으로 분석하고 분석결과를 출력하는 다층분석부 ; 및Multi-layer analysis unit for analyzing the header of the packet data input through the switch fabric in a statistical method and outputs the analysis results; And 상기 다층분석부의 분석결과에 응답하여 상기 패킷데이터의 차단여부를 결정하는 1차보안룰필터를 생성하고, 상기 1차보안룰필터에 근거하여 상기 스위치 패브릭을 제어하는 차단명령을 출력하며, 상기 패킷 데이터를 전송하는 IP(Internet Protocol) 어드레스를 확인하여 외부로 출력하고, 차단할 IP 정보를 가지는 IP관리명령에 응답하여 상기 차단명령을 출력하는 프로세서를 구비하는 것을 특징으로 하는 액세스레벨에서의 유해트래픽 차단 장치.In response to an analysis result of the multi-layer analysis unit, generate a first security rule filter for determining whether to block the packet data, output a blocking command for controlling the switch fabric based on the first security rule filter, and output the packet Blocking harmful traffic at an access level, comprising: a processor for checking an Internet Protocol (IP) address for transmitting data, outputting it to the outside, and outputting the blocking command in response to an IP management command having IP information to block Device. 제1항에 있어서, 상기 다층분석부는,The method of claim 1, wherein the multi-layer analysis unit, 상기 패킷데이터의 헤더를 L4(Layer 4) 레벨까지 분석하는 것을 특징으로 하는 액세스레벨에서의 유해트래픽 차단장치.The harmful traffic blocking device of the access level, characterized in that for analyzing the header of the packet data up to L4 (Layer 4) level. 제 1항에 있어서, 상기 통계적 방법은,The method of claim 1, wherein the statistical method is 입력되는 패킷데이터마다 상기 패킷데이터의 헤더의 소스 어드레스(source address), 프로토콜(protocol) 타입, 소스IP, 데스티네이션IP, 소스서비스포트(source service port), 데스티네이션서비스포트(destination service port)를 계속해서 분석하여 그 분포패턴을 이용하여 네트워크 트래픽 특징을 검토하는 것을 특징으로 하는 액세스레벨에서의 유해트래픽 차단장치. For each packet data input, a source address, a protocol type, a source IP, a destination IP, a source service port, and a destination service port of the header of the packet data are determined. A harmful traffic blocking device at an access level, characterized by continuously analyzing and examining network traffic characteristics using the distribution pattern. 제1항에 있어서, 상기 다층분석부는,The method of claim 1, wherein the multi-layer analysis unit, ASIC (Application Specific Integrated Circuit)으로 형성되는 것을 특징으로 하는 액세스레벨에서의 유해트래픽 차단장치.Harmful traffic blocking device at the access level, characterized in that formed by ASIC (Application Specific Integrated Circuit). 제 1항에 있어서, 상기 프로세서는,The method of claim 1, wherein the processor, 상기 1차보안룰필터를 참조하고, 상기 패킷의 유입시간과 패킷의 양(packet quantity), 패킷의 연속성(packet continuity)을 분석하여 상기 패킷데이터의 차단여부를 결정하는 2차보안룰필터를 생성하고 상기 2차보안룰필터에 근거하여 상기 차단명령을 출력하는 것을 특징으로 하는 액세스레벨에서의 유해트래픽 차단장치.Referring to the first security rule filter, a second security rule filter is generated to determine whether to block the packet data by analyzing the packet inflow time, the packet quantity, and the packet continuity of the packet. And outputting the blocking command based on the secondary security rule filter. 제 5항에 있어서, 상기 1차보안룰필터와 상기 2차보안룰필터로부터 생성된 로그파일을 수신하여 저장하는 메모리를 더 구비하는 것을 특징으로 하는 액세스레벨에서의 유해트래픽 차단장치. 6. The harmful traffic blocking apparatus according to claim 5, further comprising a memory for receiving and storing log files generated from the first security rule filter and the second security rule filter. 제5항에 있어서, 상기 스위치패브릭은,The method of claim 5, wherein the switch fabric, 상기 1차보안룰필터, 2차보안룰필터 및 상기 IP관리명령에 근거하여 발생되는 차단할 IP 정보를 가지는 상기 차단명령에 응답하여 상기 차단할 IP를 하드웨어적으로 차단하는 것을 특징으로 하는 액세스레벨에서의 유해트래픽 차단장치. At the access level, characterized in that the IP to be blocked is blocked in hardware in response to the blocking command having the IP information to be blocked based on the first security rule filter, the second security rule filter, and the IP management command. Hazardous Traffic Blocker. 제 1항에 있어서, 상기 프로세서는,The method of claim 1, wherein the processor, ARP(Address Resolution Protocol) 트랩을 이용하여 상기 패킷 데이터를 전송하는 IP 어드레스와 MAC 어드레스를 확인하여 외부로 출력하는 것을 특징으로 하는 액세스레벨에서의 유해트래픽 차단장치. A harmful traffic blocking device at an access level, characterized in that the IP address and MAC address for transmitting the packet data to be identified and output to the outside using an ARP (Address Resolution Protocol) trap. 제 1항에 있어서, 상기 IP관리명령은,The method of claim 1, wherein the IP management command, 외부의 관리자에 의해서 만들어진 IP관리정책에 따라 차단 및 허용할 IP 어드레스가 정해지는 것을 특징으로 하는 액세스레벨에서의 유해트래픽 차단장치. A harmful traffic blocking device at an access level, wherein an IP address to be blocked and allowed is determined according to an IP management policy made by an external administrator. 입력되는 패킷데이터의 헤더를 통계적방법으로 분석하여 유해트래픽을 차단하고, IP관리정책에 따라 상기 패킷데이터를 전송하는 IP(Internet Protocol) 어드레스를 차단하는 유해트래픽 차단장치 ; 및A harmful traffic blocking device that blocks harmful traffic by analyzing a header of the packet data to be input in a statistical manner and blocks an IP (Internet Protocol) address transmitting the packet data according to an IP management policy; And 상기 IP관리정책을 저장하고, 상기 IP관리정책에 응답하여 차단할 IP정보를 가지는 IP관리명령을 출력하며, 상기 유해트래픽 차단장치에서 출력되는 유해트래픽에 대한 정보를 저장하는 네트워크관리부를 구비하는 것을 특징으로 하는 액세스레벨에서의 유해트래픽 차단이 가능한 보안시스템.And a network management unit for storing the IP management policy, outputting an IP management command having IP information to be blocked in response to the IP management policy, and storing information about harmful traffic output from the harmful traffic blocking device. Security system that can block harmful traffic at access level. 제 10항에 있어서, 상기 유해트래픽 차단장치는,The method of claim 10, wherein the harmful traffic blocking device, 스위치 패브릭을 통해서 입력되는 상기 패킷 데이터의 헤더를 상기 통계적 방법으로 분석하고 분석결과를 출력하는 다층분석부 ; A multi-layer analysis unit analyzing the header of the packet data input through a switch fabric by the statistical method and outputting an analysis result; 상기 다층분석부의 분석결과에 응답하여 상기 패킷데이터의 차단여부를 결정하는 1차보안룰필터를 생성하고, 상기 1차보안룰필터에 근거하여 상기 스위치 패브릭을 제어하는 차단명령을 출력하며, 상기 패킷데이터를 전송하는 IP 어드레스를 확인하여 상기 네트워크관리부로 출력하고, 상기 IP관리명령에 응답하여 상기 차단명령을 출력하는 프로세서를 구비하는 것을 특징으로 하는 액세스레벨에서의 유해트래픽 차단이 가능한 보안시스템.In response to an analysis result of the multi-layer analysis unit, generate a first security rule filter for determining whether to block the packet data, output a blocking command for controlling the switch fabric based on the first security rule filter, and output the packet And a processor which checks an IP address for transmitting data, outputs it to the network management unit, and outputs the blocking command in response to the IP management command. 제11항에 있어서, 상기 다층분석부는,The method of claim 11, wherein the multi-layer analysis unit, 상기 패킷데이터의 헤더를 L4(Layer 4) 레벨까지 분석하는 것을 특징으로 하는 액세스레벨에서의 유해트래픽 차단이 가능한 보안시스템.A harmful system at the access level, characterized in that for analyzing the header of the packet data up to L4 (Layer 4) level. 제 11항에 있어서, 상기 통계적 방법은,The method of claim 11, wherein the statistical method comprises: 입력되는 패킷데이터마다 상기 패킷데이터의 헤더의 소스 어드레스(source address), 프로토콜(protocol) 타입, 소스IP, 데스티네이션IP, 소스서비스포트(source service port), 데스티네이션서비스포트(destination service port)를 계속해서 분석하여 그 분포패턴을 이용하여 네트워크 트래픽 특징을 검토하는 것을 특징으로 하는 액세스레벨에서의 유해트래픽 차단이 가능한 보안시스템. For each packet data input, a source address, a protocol type, a source IP, a destination IP, a source service port, and a destination service port of the header of the packet data are determined. A security system capable of blocking harmful traffic at an access level, characterized in that the analysis is continued and the network traffic characteristics are examined using the distribution pattern. 제11항에 있어서, 상기 다층분석부는,The method of claim 11, wherein the multi-layer analysis unit, ASIC (Application Specific Integrated Circuit)으로 형성되는 것을 특징으로 하는 액세스레벨에서의 유해트래픽 차단이 가능한 보안시스템.A security system capable of blocking harmful traffic at an access level, characterized by being formed as an Application Specific Integrated Circuit (ASIC). 제 11항에 있어서, 상기 프로세서는,The method of claim 11, wherein the processor, 상기 1차보안룰필터를 참조하고, 상기 패킷의 유입시간과 패킷의 양(packet quantity), 패킷의 연속성(packet continuity)을 분석하여 상기 패킷데이터의 차단여부를 결정하는 2차보안룰필터를 생성하고 상기 2차보안룰필터에 근거하여 상기 차단명령을 출력하는 것을 특징으로 하는 액세스레벨에서의 유해트래픽 차단이 가능한 보안시스템.Referring to the first security rule filter, a second security rule filter is generated to determine whether to block the packet data by analyzing the packet inflow time, the packet quantity, and the packet continuity of the packet. And outputting the blocking command on the basis of the secondary security rule filter. 제 15항에 있어서, 상기 유해트래픽 차단장치는,The method of claim 15, wherein the harmful traffic blocking device, 상기 1차보안룰필터와 상기 2차보안룰필터로부터 생성된 로그파일을 수신하여 저장하는 메모리를 더 구비하는 것을 특징으로 하는 액세스레벨에서의 유해트래픽 차단이 가능한 보안시스템. And a memory for receiving and storing log files generated from the first security rule filter and the second security rule filter. 제15항에 있어서, 상기 스위치패브릭은,The method of claim 15, wherein the switch fabric, 상기 1차보안룰필터, 2차보안룰필터 및 상기 IP관리명령에 근거하여 발생되는 차단할 IP 정보를 가지는 상기 차단명령에 응답하여 상기 차단할 IP를 하드웨어적으로 차단하는 것을 특징으로 하는 액세스레벨에서의 유해트래픽 차단이 가능한 보안시스템. At the access level, characterized in that the IP to be blocked is blocked in hardware in response to the blocking command having the IP information to be blocked based on the first security rule filter, the second security rule filter, and the IP management command. Security system that can block harmful traffic. 제 11항에 있어서, 상기 프로세서는,The method of claim 11, wherein the processor, ARP(Address Resolution Protocol) 트랩을 이용하여 상기 패킷 데이터를 전송하는 IP 어드레스와 MAC 어드레스를 확인하여 상기 네트워크 관리부로 출력하는 것을 특징으로 하는 액세스레벨에서의 유해트래픽 차단이 가능한 보안시스템.A security system capable of blocking harmful traffic at an access level, characterized by identifying an IP address and a MAC address for transmitting the packet data using an ARP (Address Resolution Protocol) trap and outputting the MAC address. 제 18항에 있어서, 상기 네트워크 관리부는,The method of claim 18, wherein the network management unit, 상기 프로세서로부터 상기 IP 어드레스와 MAC 어드레스를 수신하여 상기 스위치 패브릭에 연결된 포트들의 데이터베이스를 생성하고, 상기 IP관리정책에 응답하여 상기 데이터베이스의 포트들 중 유해한 패킷데이터를 전송하는 포트를 차단하기 위한 상기 IP관리명령을 출력하는 것을 특징으로 하는 액세스레벨에서의 유해트래픽 차단이 가능한 보안시스템.The IP for receiving the IP address and the MAC address from the processor to create a database of ports connected to the switch fabric, and blocking the port for transmitting harmful packet data among the ports of the database in response to the IP management policy. A security system capable of blocking harmful traffic at an access level, characterized by outputting a management command. 제 19항에 있어서, 상기 IP관리정책은,The method of claim 19, wherein the IP management policy, 외부의 관리자에 의해서 차단 및 허용할 IP 어드레스가 정해지는 것을 특징으로 하는 액세스레벨에서의 유해트래픽 차단이 가능한 보안시스템. A security system capable of blocking harmful traffic at an access level, wherein an IP address to be blocked and allowed is determined by an external administrator.
KR1020080050193A 2008-05-29 2008-05-29 Access level network securing device and securing system thereof KR100870871B1 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020080050193A KR100870871B1 (en) 2008-05-29 2008-05-29 Access level network securing device and securing system thereof
JP2011511487A JP5193362B2 (en) 2008-05-29 2008-06-05 Access level security device and security system
PCT/KR2008/003150 WO2009145379A1 (en) 2008-05-29 2008-06-05 Access level network securing device and securing system thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080050193A KR100870871B1 (en) 2008-05-29 2008-05-29 Access level network securing device and securing system thereof

Publications (1)

Publication Number Publication Date
KR100870871B1 true KR100870871B1 (en) 2008-11-27

Family

ID=40284852

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080050193A KR100870871B1 (en) 2008-05-29 2008-05-29 Access level network securing device and securing system thereof

Country Status (3)

Country Link
JP (1) JP5193362B2 (en)
KR (1) KR100870871B1 (en)
WO (1) WO2009145379A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012023657A1 (en) * 2010-08-16 2012-02-23 주식회사 이세정보 Network-based harmful-program detection method using a virtual machine, and a system comprising the same

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI619038B (en) * 2011-11-07 2018-03-21 Admedec Co Ltd Safety box

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100432167B1 (en) 2001-12-26 2004-05-17 한국전자통신연구원 Hidden-type intrusion detection and blocking control system and control method thereof
KR20050090640A (en) * 2004-03-09 2005-09-14 유넷시스템주식회사 A system and method for analyzing harmful traffic
KR100766724B1 (en) 2006-06-20 2007-10-17 (주)한드림넷 Securing switch and securing system and method

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3652661B2 (en) * 2002-03-20 2005-05-25 日本電信電話株式会社 Method and apparatus for preventing denial of service attack and computer program therefor
JP2003348113A (en) * 2002-05-22 2003-12-05 Takeshi Hosohara Switch and lan
US7454499B2 (en) * 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
KR100614775B1 (en) * 2004-08-20 2006-08-22 (주)한드림넷 System and method of protecting network
JP4547342B2 (en) * 2005-04-06 2010-09-22 アラクサラネットワークス株式会社 Network control apparatus, control system, and control method
JP2006332997A (en) * 2005-05-25 2006-12-07 Nec Corp Communication management device, network system, communication disconnecting method, and program
JP2007013262A (en) * 2005-06-28 2007-01-18 Fujitsu Ltd Program, method and apparatus for worm determination
JP2007094493A (en) * 2005-09-27 2007-04-12 Matsushita Electric Works Ltd Access control system and method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100432167B1 (en) 2001-12-26 2004-05-17 한국전자통신연구원 Hidden-type intrusion detection and blocking control system and control method thereof
KR20050090640A (en) * 2004-03-09 2005-09-14 유넷시스템주식회사 A system and method for analyzing harmful traffic
KR100766724B1 (en) 2006-06-20 2007-10-17 (주)한드림넷 Securing switch and securing system and method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012023657A1 (en) * 2010-08-16 2012-02-23 주식회사 이세정보 Network-based harmful-program detection method using a virtual machine, and a system comprising the same

Also Published As

Publication number Publication date
JP5193362B2 (en) 2013-05-08
WO2009145379A1 (en) 2009-12-03
JP2011523822A (en) 2011-08-18

Similar Documents

Publication Publication Date Title
KR100609170B1 (en) system of network security and working method thereof
US7830898B2 (en) Method and apparatus for inter-layer binding inspection
AU2004282937B2 (en) Policy-based network security management
Deng et al. DoS vulnerabilities and mitigation strategies in software-defined networks
US20080127338A1 (en) System and method for preventing malicious code spread using web technology
CN114679338A (en) Network risk assessment method based on network security situation awareness
US11290424B2 (en) Methods and systems for efficient network protection
CN109962891A (en) Monitor method, apparatus, equipment and the computer storage medium of cloud security
US10469528B2 (en) Algorithmically detecting malicious packets in DDoS attacks
CN106850690B (en) Honeypot construction method and system
US20090178140A1 (en) Network intrusion detection system
CN111526121A (en) Intrusion prevention method and device, electronic equipment and computer readable medium
US7299489B1 (en) Method and apparatus for host probing
Steadman et al. Dnsxd: Detecting data exfiltration over dns
Ma et al. A design of firewall based on feedback of intrusion detection system in cloud environment
CN112333191A (en) Illegal network asset detection and access blocking method, device, equipment and medium
CN115017502A (en) Flow processing method and protection system
KR100870871B1 (en) Access level network securing device and securing system thereof
CN113328976B (en) Security threat event identification method, device and equipment
Sourour et al. Environmental awareness intrusion detection and prevention system toward reducing false positives and false negatives
Gheorghe et al. Attack evaluation and mitigation framework
KR20070011736A (en) Hardware based intruding protection device, system and method
Dimiter et al. Botnet Attack Identification Based on SDN
Shah et al. Attack Monitoring and Protection in Cloud Computing Environment through IDS
Ambika et al. Architecture for real time monitoring and modeling of network behavior for enhanced security

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121112

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20131111

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20141110

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20151117

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20161110

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20171121

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20181115

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20191210

Year of fee payment: 12