KR100870871B1 - Access level network securing device and securing system thereof - Google Patents
Access level network securing device and securing system thereof Download PDFInfo
- Publication number
- KR100870871B1 KR100870871B1 KR1020080050193A KR20080050193A KR100870871B1 KR 100870871 B1 KR100870871 B1 KR 100870871B1 KR 1020080050193 A KR1020080050193 A KR 1020080050193A KR 20080050193 A KR20080050193 A KR 20080050193A KR 100870871 B1 KR100870871 B1 KR 100870871B1
- Authority
- KR
- South Korea
- Prior art keywords
- packet data
- blocking
- access level
- security rule
- harmful traffic
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
본 발명은 액세스레벨에서의 유해트래픽 차단장치 및 액세스레벨에서의 유해트래픽의 차단이 가능한 보안시스템에 관한 것으로서, 보다 상세하게는 인터넷을 통해 연결되는 것이 아닌 노트북 컴퓨터, 개인용 컴퓨터와 같은 액세스레벨로 접근하는 패킷데이터의 특성과 유형을 실시간 및 통계적으로 분석하여 유해트래픽을 차단하고 또한 네트워크을 통해 연결된 다양한 사용자의 IP를 관리할 수 있는 유해트래픽 차단장치 및 이를 포함하는 보안시스템에 관한 것이다. The present invention relates to an apparatus for blocking harmful traffic at an access level and a security system capable of blocking harmful traffic at an access level, and more particularly, to an access level such as a notebook computer or a personal computer, which is not connected through the Internet. The present invention relates to a harmful traffic blocking device and a security system that can block harmful traffic by analyzing characteristics and types of packet data in real time and statistically, and also manage IP of various users connected through a network.
현대 사회는 인터넷의 발달로 언제 어디서나 인터넷을 통하여 다양한 바이러스에 노출되어 있다. 특히, 유선 네트워크를 구축하여 사용하는 회사, 학교, 단체 등, 여러 조직에서는 하나의 네트워크 바이러스가 전체 네트워크를 한 순간에 무력화 시킬 수 있으며, 이로 인한 피해는 유해 바이러스의 발견, 차단, 그리고 네트워크가 정상적으로 복구될 때까지 인터넷 뿐 만 아니라 내부 네트워크를 사용하지 못하는 치명적이고 장시간의 피해를 주는 결과를 가져온다. Modern society is exposed to various viruses through the internet anytime and anywhere due to the development of the internet. In particular, in many organizations, such as companies, schools, and organizations that build and use wired networks, a single network virus can neutralize the entire network at one time. Until it is recovered, it can result in fatal and prolonged damage that results in the use of the internal network as well as the Internet.
최근 바이러스는 네트워크가 발달되기 이전의 바이러스와 달리 하나의 컴퓨 터를 무능하게 만드는 것 보다 전체 네트워크 점령하여 여러 대의 컴퓨터를 무력화 시키는 것이 특징이다. 따라서 이런 네트워크 바이러스의 위험, 위협, 사고 등을 차단, 대응, 예방하기 위한 다양한 네트워크 보안장치들이 등장하고 있으며, 많은 네트워크 관리자 및 네트워크 서비스 제공자들은 이러한 네트워크 보안장치의 도입을 적극 검토하고 있는 상황이다. Recent viruses, unlike viruses before the network was developed, are characterized by occupying the entire network and incapacitating several computers, rather than disabling one computer. Therefore, various network security devices have appeared to prevent, respond to, and prevent the risks, threats, and accidents of network viruses, and many network administrators and network service providers are actively considering the introduction of such network security devices.
도 1은 보안기능을 포함하는 일반적인 네트워크 구성을 설명하는 블록도이다. 1 is a block diagram illustrating a general network configuration including a security function.
도 1을 참조하면, 보안기능을 포함하는 일반적인 네트워크는 인터넷(10)과 단말기(50) 사이에 라우터(20), 방화벽(30), 백본스위치(40)를 구비한다. 방화벽(30)에 의해서 인터넷(10)을 통해서 유입되는 데이터들 중 유해한 데이터가 필터링된다. Referring to FIG. 1, a general network including a security function includes a
이와같이, 일반적인 네트워크 보안장치들은 인터넷과 연될 되는 게이트웨이 단에서 외부로부터의 침입탐지 및 차단에 집중되어 있다. 즉, 도 1에서, 인터넷(10)과 라우터(30)를 통해서 침입하는 유해 데이터를 차단하는데 집중되어 있다. As such, general network security devices are focused on detecting and blocking intrusion from the outside at the gateway stage connected to the Internet. That is, in FIG. 1, it concentrates on blocking harmful data invading through the Internet 10 and the
이러한 네트워크 보안장치들은 인터넷과 같은 외부 네트워크로부터 내부 네트워크 자원들을 보호할 수 있으나, 내부 사용자 혹은 방문자가 이동형 저장장치(예를 들어, 프레쉬 메모리, 노트북)등을 이용하여 단말기(50) 단에 연결되어 네트워크에 접근하여 바이러스를 전파 시키거나 하는 경우에는 이러한 접근을 효율적으로 막지 못하고 있다. Such network security devices may protect internal network resources from an external network such as the Internet, but internal users or visitors may be connected to the
또한, 기존에 알려진 바이러스가 아닌 신종 또는 변종 바이러스가 단말기(50) 단으 로부터 침입한다면 기존의 보안장치들은 신종 또는 변종 바이러스의 형태를 파악할 수 있는 자료가 없기 때문에 네트워크 전체의 보안이 취약해지는 문제가 있다. In addition, if a new or variant virus other than the known virus is invaded from the
본 발명이 이루고자 하는 기술적 과제는 내부 사용자 혹은 방문자 컴퓨터 등이 연결되는 액세스레벨에서의 유해트래픽을 실시간으로 분석 및 차단할 수 있으며, 액세스레벨에 연결된 IP의 효율적인 관리가 가능한 액세스레벨에서의 유해트래픽 차단장치를 제공하는 데 있다. The technical problem to be achieved by the present invention is to analyze and block harmful traffic at the access level connected to the internal user or visitor computer in real time, harmful traffic blocking device at the access level capable of efficient management of IP connected to the access level To provide.
본 발명이 이루고자 하는 다른 기술적 과제는 내부 사용자 혹은 방문자 컴퓨터 등이 연결되는 액세스레벨에서의 유해트래픽을 실시간으로 분석 및 차단할 수 있으며, 액세스레벨에 연결된 IP의 효율적인 관리가 가능한 액세스레벨에서의 유해트래픽 차단이 가능한 보안시스템을 제공하는 데 있다. Another technical problem to be achieved by the present invention is to analyze and block harmful traffic at an access level to which an internal user or a visitor computer is connected in real time, and to block harmful traffic at an access level that enables efficient management of IP connected to the access level. This is to provide a possible security system.
상기 기술적 과제를 이루기 위한 본 발명의 실시예에 따른 액세스레벨에서의 유해트래픽 차단 장치는 다층분석부 및 프로세서를 구비한다. The harmful traffic blocking device at the access level according to the embodiment of the present invention for achieving the technical problem comprises a multi-layer analysis unit and a processor.
다층분석부는 스위치 패브릭을 통해서 입력되는 패킷 데이터의 헤더를 통계적 방법으로 분석하고 분석결과를 출력한다. The multilayer analysis unit analyzes the header of the packet data input through the switch fabric in a statistical manner and outputs the analysis result.
프로세서는 상기 다층분석부의 분석결과에 응답하여 상기 패킷데이터의 차단여부를 결정하는 1차보안룰필터를 생성하고, 상기 1차보안룰필터에 근거하여 상기 스위치 패브릭을 제어하는 차단명령을 출력하며, 상기 패킷 데이터를 전송하는 IP(Internet Protocol) 어드레스를 확인하여 외부로 출력하고, 차단할 IP 정보를 가지는 IP관리명령에 응답하여 상기 차단명령을 출력한다. The processor generates a first security rule filter for determining whether to block the packet data in response to the analysis result of the multi-layer analysis unit, and outputs a blocking command for controlling the switch fabric based on the first security rule filter. An IP address for transmitting the packet data is identified and output to the outside, and the blocking command is output in response to an IP management command having IP information to be blocked.
상기 다층분석부는 상기 패킷데이터의 헤더를 L4(Layer 4) 레벨까지 분석한다. 상기 통계적 방법은 입력되는 패킷데이터마다 상기 패킷데이터의 헤더의 소스 어드레스(source address), 프로토콜(protocol) 타입, 소스IP, 데스티네이션IP, 소스서비스포트(source service port), 데스티네이션서비스포트(destination service port)를 계속해서 분석하여 그 분포패턴을 이용하여 네트워크 트래픽 특징을 검토한다. 상기 다층분석부는 ASIC (Application Specific Integrated Circuit)으로 형성된다. The multilayer analysis unit analyzes the header of the packet data up to L4 (Layer 4) level. The statistical method includes a source address, a protocol type, a source IP, a destination IP, a source service port, and a destination service port of a header of the packet data for each packet data input. service port), and analyze the network traffic characteristics using the distribution pattern. The multilayer analysis unit is formed of an application specific integrated circuit (ASIC).
상기 프로세서는 상기 1차보안룰필터를 참고하여, 상기 패킷의 유입시간과 패킷의 양(packet quantity), 패킷의 연속성(packet continuity)을 분석하여 상기 패킷데이터의 차단여부를 결정하는 2차보안룰필터를 생성하고 상기 2차보안룰필터에 근거하여 상기 차단명령을 출력한다. The processor determines the blocking of the packet data by analyzing the inflow time, the packet quantity, and the packet continuity of the packet with reference to the primary security rule filter. A filter is generated and the blocking command is output based on the secondary security rule filter.
차단장치는 상기 1차보안룰필터와 상기 2차보안룰필터로부터 생성된 로그파일을 수신하여 저장하는 메모리를 더 구비한다. The blocking device further includes a memory for receiving and storing a log file generated from the primary security rule filter and the secondary security rule filter.
상기 스위치패브릭은 상기 1차보안룰필터, 2차보안룰필터 및 상기 IP관리명령에 근거하여 발생되는 차단할 IP 정보를 가지는 상기 차단명령에 응답하여 상기 차단할 IP를 하드웨어적으로 차단한다. The switch fabric hardware blocks the IP to be blocked in response to the blocking command having the IP information to be blocked based on the primary security rule filter, the secondary security rule filter, and the IP management command.
상기 프로세서는 ARP(Address Resolution Protocol) 트랩을 이용하여 상기 패킷 데이터를 전송하는 IP 어드레스와 MAC 어드레스를 확인하여 외부로 출력한다. The processor checks an IP address and a MAC address for transmitting the packet data using an ARP (Address Resolution Protocol) trap and outputs it to the outside.
상기 IP관리명령은 외부의 관리자에 의해서 만들어진 IP관리정책에 따라 차단 및 허용할 IP 어드레스가 정해진다. The IP management command determines an IP address to be blocked and allowed according to an IP management policy made by an external administrator.
상기 기술적과제를 달성하기 위한 본 발명의 다른 실시예에 따른 액세스레벨에서의 유해트래픽 차단이 가능한 보안시스템은 유해트래픽 차단장치 및 네트워크관리부를 구비한다. The security system capable of blocking harmful traffic at an access level according to another embodiment of the present invention for achieving the technical problem includes a harmful traffic blocking device and a network management unit.
유해트래픽 차단장치는 입력되는 패킷데이터의 헤더를 통계적방법으로 분석하여 유해트래픽을 차단하고, IP관리정책에 따라 상기 패킷데이터를 전송하는 IP(Internet Protocol) 어드레스를 차단한다. The harmful traffic blocking device analyzes the header of the incoming packet data in a statistical manner to block harmful traffic and to block an IP (Internet Protocol) address for transmitting the packet data according to an IP management policy.
네트워크관리부는 상기 IP관리정책을 저장하고, 상기 IP관리정책에 응답하여 차단할 IP정보를 가지는 IP관리명령을 출력하며, 상기 유해트래픽 차단장치에서 출력되는 유해트래픽에 대한 정보를 저장한다. The network manager stores the IP management policy, outputs an IP management command having IP information to be blocked in response to the IP management policy, and stores information about harmful traffic output from the harmful traffic blocking device.
상기 유해트래픽 차단장치는 스위치 패브릭을 통해서 입력되는 상기 패킷 데이터의 헤더를 상기 통계적 방법으로 분석하고 분석결과를 출력하는 다층분석부, 상기 다층분석부의 분석결과에 응답하여 상기 패킷데이터의 차단여부를 결정하는 1차보안룰필터를 생성하고, 상기 1차보안룰필터에 근거하여 상기 스위치 패브릭을 제어하는 차단명령을 출력하며, 상기 패킷데이터를 전송하는 IP 어드레스를 확인하여 상기 네트워크관리부로 출력하고, 상기 IP관리명령에 응답하여 상기 차단명령을 출력하는 프로세서를 구비한다. The harmful traffic blocking device is a multi-layer analysis unit for analyzing the header of the packet data input through the switch fabric in the statistical method and outputs an analysis result, and determines whether to block the packet data in response to the analysis results of the multi-layer analysis unit Generate a primary security rule filter, output a blocking command for controlling the switch fabric based on the primary security rule filter, check an IP address for transmitting the packet data, and output the packet address to the network manager; And a processor for outputting the blocking command in response to the IP management command.
상기 다층분석부는 상기 패킷데이터의 헤더를 L4(Layer 4) 레벨까지 분석한다. 상기 통계적 방법은 입력되는 패킷데이터마다 상기 패킷데이터의 헤더의 소스 어드레스(source address), 프로토콜(protocol) 타입, 소스IP, 데스티네이션IP, 소스서비스포트(source service port), 데스티네이션서비스포트(destination service port)를 계속해서 분석하여 그 분포패턴을 이용하여 네트워크 트래픽 특징을 검토한다. The multilayer analysis unit analyzes the header of the packet data up to L4 (Layer 4) level. The statistical method includes a source address, a protocol type, a source IP, a destination IP, a source service port, and a destination service port of a header of the packet data for each packet data input. service port), and analyze the network traffic characteristics using the distribution pattern.
상기 다층분석부는 ASIC (Application Specific Integrated Circuit)으로 형성된다. 상기 프로세서는 상기 1차보안룰필터를 참조하고, 상기 패킷의 유입시간과 패킷의 양(packet quantity), 패킷의 연속성(packet continuity)을 분석하여 상기 패킷데이터의 차단여부를 결정하는 2차보안룰필터를 생성하고 상기 2차보안룰필터에 근거하여 상기 차단명령을 출력한다. The multilayer analysis unit is formed of an application specific integrated circuit (ASIC). The processor refers to the first security rule filter and analyzes the packet inflow time, the packet quantity, and the packet continuity of the packet to determine whether to block the packet data. A filter is generated and the blocking command is output based on the secondary security rule filter.
상기 유해트래픽 차단장치는 상기 1차보안룰필터와 상기 2차보안룰필터로부터 생성된 로그파일을 수신하여 저장하는 메모리를 더 구비한다. The harmful traffic blocking apparatus further includes a memory for receiving and storing a log file generated from the primary security rule filter and the secondary security rule filter.
상기 스위치패브릭은 상기 1차보안룰필터, 2차보안룰필터 및 상기 IP관리명령에 근거하여 발생되는 차단할 IP 정보를 가지는 상기 차단명령에 응답하여 상기 차단할 IP를 하드웨어적으로 차단한다. The switch fabric hardware blocks the IP to be blocked in response to the blocking command having the IP information to be blocked based on the primary security rule filter, the secondary security rule filter, and the IP management command.
상기 프로세서는 ARP(Address Resolution Protocol) 트랩을 이용하여 상기 패킷 데이터를 전송하는 IP 어드레스와 MAC 어드레스를 확인하여 상기 네트워크관리부로 출력한다. The processor checks an IP address and a MAC address for transmitting the packet data using an Address Resolution Protocol (ARP) trap and outputs the MAC address to the network manager.
상기 네트워크 관리부는 상기 프로세서로부터 상기 IP 어드레스와 MAC 어드레스를 수신하여 상기 스위치 패브릭에 연결된 포트들의 데이터베이스를 생성하고, 상기 IP관리정책에 응답하여 상기 데이터베이스의 포트들 중 유해한 패킷데이터를 전송하는 포트를 차단하기 위한 상기 IP관리명령을 출력한다. 상기 IP관리정책은 외부의 관리자에 의해서 차단 및 허용할 IP 어드레스가 정해진다. The network manager receives the IP address and the MAC address from the processor to generate a database of ports connected to the switch fabric, and blocks a port for transmitting harmful packet data among the ports of the database in response to the IP management policy. Outputs the IP management command. The IP management policy determines an IP address to be blocked and allowed by an external administrator.
본 발명에 따르면, 네트워크의 액세스레벨에서 발생할 수 있는 알고 있는 혹은 변형된 유해트래픽을 차단장치를 포함하는 보안시스템을 이용하여 통계적 방법으로 탐지 및 차단할 수 있으며, 패킷데이터를 탐지 및 분석할 때 모듈화된 다층분석부를 이용함으로써 매우 빠른 시간내에 분석 및 차단이 가능하다는 장점이 있다. According to the present invention, it is possible to detect and block a known or modified harmful traffic that may occur at an access level of a network by a statistical method using a security system including a blocking device, and to modularize when detecting and analyzing packet data. By using the multilayer analysis unit, there is an advantage that analysis and blocking can be performed at a very fast time.
또한 관리자가 네트워크의 IP를 액세스 레벨에서 효율적으로 관리할 수 있으며, 네트워크관리부로 전송되는 패킷에 대한 정보를 통해 내부 네트워크의 세부적인 현황을 실시간으로 파악할 수 있는 장점이 있다. In addition, the administrator can efficiently manage the IP of the network at the access level, and has the advantage of real-time detailed information on the internal network through the information about the packet transmitted to the network management unit.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 첨부 도면에 기재된 내용을 참조하여야만 한다. In order to fully understand the present invention, the operational advantages of the present invention, and the objects achieved by the practice of the present invention, reference should be made to the accompanying drawings which illustrate preferred embodiments of the present invention and the contents described in the accompanying drawings.
이하, 첨부 도면을 참조하여 본 발명의 바람직한 실시예를 설명하기로 한다. Hereinafter, exemplary embodiments of the present invention will be described with reference to the accompanying drawings.
도 2는 본 발명에 따른 유해트래픽 차단장치를 포함하는 보안시스템을 포함하는 네트워크 구성을 설명하는 블록도이다. 2 is a block diagram illustrating a network configuration including a security system including a harmful traffic blocking apparatus according to the present invention.
도2를 참조하면, 본 발명의 실시예에 따른 액세스레벨에서의 유해트래픽 차단이 가능한 보안시스템(200)은 네트워크 상에서 백본스위치(40)와 단말기(50) 사이에 설치된다. 백본스위치(40)와 단말기(50) 사이에서 보안시스템(200)은 단말기(50) 측으로부터 유입되는 패킷데이터를 실시간으로 분석하고 유해데이터를 차단함과 동시에 단말기(50) 측에 연결된 복수개의 IP를 확인하여 IP관리정책에 따라 IP자원을 효율적으로 관리한다. 2, a
여기서, 단말기(50)는 개인용 컴퓨터, 노트북, USB 메모리와 같이 다양한 장치들 중 하나일 수 있다. 또한, 액세스레벨이란 인터넷에 연결되는 게이트웨이 단의 외부에서 침입하는 것이 아니라, 네트워크 상에서 내부 사용자와 같이 단말기(50) 측에 접속되어 네트워크로 칩입하는 경우를 의미한다. 백본스위치(40) 앞단의 구조는 도 1과 동일하므로 설명을 생략한다. Here, the
도 2에는 네트워크의 계통도에 하나의 보안시스템(200)만 도시되어 있으나, 이는 설명의 편의를 위한 것이며, 보안시스템(200)은 복수개 설치될 수 있고, 또한 보안시스템(200)에 연결되는 단말기들도 복수개일 수 있다. Although only one
도 3은 도 2의 보안시스템 및 유해트래픽 차단장치의 구성을 설명하는 블록도이다. 3 is a block diagram illustrating the configuration of the security system and harmful traffic blocking device of FIG.
이하, 도 2 및 도3을 참조하여 보안시스템의 동작이 상세히 설명된다. Hereinafter, the operation of the security system will be described in detail with reference to FIGS. 2 and 3.
액세스레벨에서의 유해트래픽 차단이 가능한 보안시스템(200)은 유해트래픽 차단장치(210) 및 네트워크관리부(250)를 구비한다. The
유해트래픽 차단장치(210)는 입력되는 패킷데이터의 헤더를 통계적방법으로 분석하여 유해트래픽을 차단하고, IP관리정책에 따라 상기 패킷데이터를 전송하는 IP(Internet Protocol) 어드레스를 차단한다.The harmful
네트워크관리부(250)는 IP관리정책을 저장하고, 상기 IP관리정책에 응답하여 차단할 IP정보를 가지는 IP관리명령(IPCTRL)을 출력하며, 유해트래픽 차단장치(210)에서 출력되는 유해트래픽에 대한 정보를 저장한다. The
도 3을 참조하여 유해트래픽 차단장치(210)에 대해서 좀 더 설명한다.The harmful
유해트래픽 차단장치(210)는 스위치패브릭(305), 다층분석부(310) 및 프로세서(320)를 구비한다. 또한, 메모리(330)를 더 구비할 수 있다. The harmful
스위치패브릭(305)은 단말기들(50-1, 50-2, 50-n)이 네트워크에 접속할 때 단말기들(50-1, 50-2, 50-n)과 연결되는 스위치이다. 단말기들(50-1, 50-2, 50-n)은 PHY(미도시)라는 물리층 프로토콜을 통해 스위치패브릭(305)과 연결되지만 도 3에서 PHY는 생략된다. 스위치패브릭(305)은 각각의 단말기들(50-1, 50-2, 50-n)로부터 입력되는 패킷데이터를 차단할 수 있다. The
다층분석부(310)는 스위치패브릭(305)을 통해서 입력되는 패킷 데이터의 헤더를 통계적 방법으로 분석하고 분석결과를 출력한다. 프로세서(320)는 다층분석부(310)의 분석결과에 응답하여 상기 패킷데이터의 차단여부를 결정하는 1차보안룰필터를 생성하고, 상기 1차보안룰필터에 근거하여 스위치패브릭(305)을 제어하는 차단명령(BLK)을 출력하며, 패킷데이터를 전송하는 IP 어드레스를 확인하여 네트워크관리부(250)로 출력하고, IP관리명령(IPCTRL)에 응답하여 차단명령(BLK)을 출력한다. The
다층분석부(310)는 스위치패브릭(305)을 통해 입력되는 패킷데이터를 실시간으로 통계적방법을 이용하여 분석하고 분석결과를 출력하며, ASIC (Application Specific Integrated Circuit)으로 형성된다. 즉, 패킷데이터를 분석하는 다층분석부(310)는 하드웨어로 만들어짐으로써 소프트웨어를 이용하여 패킷데이터를 분석하는 것보다 빠른 속도로 패킷데이터의 분석이 가능하다. The
다층분석부(310)는 패킷데이터의 헤더를 L4(Layer 4) 레벨까지 분석한다. 여기서, 다층분석부(310)가 이용하는 통계적 방법은 입력되는 패킷데이터마다 상기 패킷데이터의 헤더의 소스 어드레스(source address), 프로토콜(protocol) 타입, 소스IP, 데스티네이션IP, 소스서비스포트(source service port), 데스티네이션서비스포트(destination service port)를 계속해서 분석하여 그 분포패턴을 이용하여 네트워크 트래픽 특징을 검토하는 것이다. The
패킷데이터 헤더의 L4 레벨까지 존재하는 상기 요소들(소스 어드레스 , 프로토콜 타입, 소스IP, 데스티네이션IP, 소스서비스포트, 데스티네이션서비스포트)을 패킷데이터마다 추출하고 상기 요소들 각각의 변화를 관찰하여 그 변화가 정상적인 패킷데이터와 유사한지 다른지를 분석하여 분석결과가 프로세서(320)로 출력된다. By extracting the elements (source address, protocol type, source IP, destination IP, source service port, destination service port) up to L4 level of the packet data header for each packet data and observing the change of each of the elements The analysis result is output to the
프로세서(320)는 다층분석부(310)의 분석결과에 응답하여 상기 패킷데이터의 차단여부를 결정하는 1차보안룰필터를 생성하고, 상기 1차보안룰필터에 근거하여 스위치패브릭(305)을 제어하는 차단명령(BLK)을 출력한다. The
도4는 x축을 소스IP로 하고 Y축을 소스서비스포트로 하여 입력되는 패킷데이터를 분석한 결과를 나타내는 도면이다.4 is a diagram illustrating a result of analyzing packet data input using the x-axis as the source IP and the Y-axis as the source service port.
도 4에 의하여 네트워크를 공격하는 바이러스 패턴을 확인할 수 있다. 바이러스 패턴 중 DoS (Denial of Service)는 소스IP는 고정된 상태에서 소스서비스포트가 변화되는 패턴을 가진다. 4, the virus pattern attacking the network can be confirmed. Among the virus patterns, DoS (Denial of Service) has a pattern in which the source service port is changed while the source IP is fixed.
도 4에서 소스IP는 고정된 상태에서 소스서비스포트가 매우 빠르게 변화되는 영역(410)을 확인할 수 있으며, 다층분석부(310)에서 출력되는 분석결과가 상기 영 역(410)에 포함되는 패킷데이터들은 유해트래픽으로 간주된다. In FIG. 4, the source IP can identify a
바이러스 패턴 중 DDoS (Distributed Denial of Service)는 소스IP가 변화되는가(spoofed)에 따라 두가지로 분류될 수 있다. 변화되는 DDoS는 소스서비스포트의 약 90% 이상이 변화를 보이며, 보통의 DDoS는 소스IP의 약 40%이상이 변화된다. Among the virus patterns, distributed denial of service (DDoS) can be classified into two types depending on whether the source IP is changed (spoofed). In the case of changing DDoS, more than 90% of the source service port changes, and in general, DDoS changes more than 40% of the source IP.
도 4에서 변화되는 DDoS 영역(420)과 보통의 DDoS 영역(430)을 확인할 수 있으며, 다층분석부(310)에서 출력되는 분석결과가 상기 영역(420, 430)에 포함되는 패킷데이터들은 유해트래픽으로 간주된다. In FIG. 4, the changed
바이러스 패턴 중 Worm Attack은 소스IP와 소스서비스포트의 약 80% 이상이 변화를 보인다. 도 4에서 변화되는 Worm Attack 영역(440)을 확인할 수 있으며, 다층분석부(310)에서 출력되는 분석결과가 상기 영역(440)에 포함되는 패킷데이터들은 유해트래픽으로 간주된다. Among the virus patterns, Worm Attack changes more than 80% of source IP and source service port. In FIG. 4, the
프로세서(320)는 이와 같이 유해트래픽으로 간주된 패킷데이터들을 가지고 패킷데이터의 차단여부를 결정하는 1차보안룰필터를 생성한다. 즉, 다층분석부(310)에서 분석결과가 상기 영역들(410~440)에 포함되는 패킷데이터들은 유해트래픽으로 간주되고, 유해트래픽으로 간주된 패킷데이터들의 IP를 추출하여 1차보안룰필터를 생성한다. 그리고, 1차보안룰필터에 근거하여 상기 유해트래픽으로 간주된 패킷데이터들을 차단하기 위하여 스위치패브릭(305)으로 차단명령(BLK)을 출력한다. 따라서, 차단명령(BLK)은 차단할 IP정보를 가지고 있다. 스위치패브릭(305)은 차단명령(BLK)에 응답하여 유해한 패킷데이터들이 입력되는 IP 포트를 차단한다. IP 포트의 차단은 프로그램에 의한 것이 아니고, 스위치패브릭(305)에 의하여 유해한 IP가 발견된 포트가 직접 차단하는 하드웨어적인 방법에 의해서 차단동작이 수행되므로 소프트웨어적으로 IP 포트를 차단하는 것보다 훨씬더 신속하고 정확하게 차단할 수 있다. The
도 4에는 x축을 소스IP로 하고 Y축을 소스서비스포트로 하여 입력되는 패킷데이터를 분석한 결과를 설명하고 있지만 x축과 y축을 다양하게 변형하여 입력되는 패킷데이터를 분석할 수 있으며, 프로세서(320)는 이러한 동작을 수행한다. Although FIG. 4 illustrates the result of analyzing packet data input using the x-axis as the source IP and the Y-axis as the source service port, the packet data can be analyzed by variously changing the x-axis and the y-axis. ) Performs this operation.
상기와 같이 생성된 1차보안룰필터는 일반적인 바이러스 패턴을 가지는 패킷데이터를 검출하는데 좋은 성능을 보인다. 그러나 검출 에러율을 낮추고 변형된 바이러스 패턴도 검출하기 위해서 프로세서(320)는 1차보안룰필터를 참고하고, 패킷의 유입시간과 패킷의 양(packet quantity), 패킷의 연속성(packet continuity)을 분석하여 상기 패킷데이터의 차단여부를 결정하는 2차보안룰필터를 생성하고 상기 2차보안룰필터에 근거하여 차단명령(BLK)을 출력한다. The primary security rule filter generated as described above has a good performance in detecting packet data having a general virus pattern. However, in order to lower the detection error rate and detect the modified virus pattern, the
패킷의 유입시간은 패킷의 양과 패킷의 연속성을 분석하기 위한 기본적인 파라미터로 작용한다. Packet ingress time serves as a basic parameter for analyzing packet quantity and packet continuity.
도 5는 2차보안룰필터를 생성하는 과정을 설명하는 도면이다. 5 is a diagram illustrating a process of generating a secondary security rule filter.
도 6은 도 5에 형성된 집단이 어떤 바이러스 패턴에 대응되는지를 설명하는 표이다.FIG. 6 is a table for explaining which virus pattern the population formed in FIG. 5 corresponds. FIG.
도 5에서와 같이, 패킷의 유입시간, 패킷의 양 및 패킷의 연속성을 서로 관련지어 3차원의 각축을 표시하도록 할 때, 1차보안룰필터를 생성시킨 패킷데이터를 분석하여 도 5에서와 같은 집단이 보인다면, 프로세서(320)는 집단에 속한 패킷데이터를 유해트래픽으로 쉽게 간주할 수 있다. 왜냐하면, 보통의 트래픽에서는 도 5에서와 같은 집단이 나타나지 않기 때문이다. As shown in FIG. 5, when the inflow time of the packet, the amount of packets, and the continuity of the packets are related to each other to display three-dimensional axes, the packet data generated by the first security rule filter is analyzed, as shown in FIG. If the group is visible, the
도 6에 도시된 것처럼, 바이러스 패턴 중 DoS (Denial of Service)는 패킷의 유입시간은 짧고, 패킷 양은 많고 패킷의 연속성은 매우 높은 특징을 가진다. 여기서, 패킷의 유입시간의 길고 짧음, 패킷 양의 많고 적음 및 패킷의 연속성의 높고 낮음의 기준은 본 발명의 실시예에 따른 보안시스템을 설계하는 설계자에 의해서 설계되어 미리 보안시스템에 설정된다. 설계기준은 보안시스템이 적용되는 네트워크 환경에 따라 다양하게 정의될 수 있다. 도 6에 개시된 short, long, low, high의 개념은 도 5를 이해하기 편리하도록 표시한 하나의 설명 예이다. 따라서, 이러한 특징을 가진 집단이 형성되면(도 5참조) 이 집단에 속하는 패킷데이터는 DoS 패턴을 가지는 바이러스일 가능성이 매우 높은 것이다. As shown in FIG. 6, DoS (Denial of Service) among virus patterns has a feature of short packet inflow time, high packet quantity, and high packet continuity. Here, the criteria of long and short of packet inflow time, high and low amount of packet and high and low continuity of packet are designed by the designer who designs the security system according to the embodiment of the present invention and set in advance in the security system. Design criteria can be defined in various ways according to the network environment to which the security system is applied. The concept of short, long, low, and high disclosed in FIG. 6 is one explanatory example in which FIG. 5 is displayed for convenience of understanding. Therefore, if a population having such characteristics is formed (see Fig. 5), packet data belonging to this population is very likely to be a virus having a DoS pattern.
이렇게 생성된 2차보안룰필터에 근거하여 프로세서(320)는 차단명령(BLK)을 스위치패브릭(305)으로 출력하고, 스위치패브릭(305)은 차단명령(BLK)이 지시하는 포트를 차단한다. The
유해트래픽 차단장치(210)는 1차보안룰필터와 상기 2차보안룰필터로부터 생성된 로그파일을 수신하여 저장하는 메모리(330)를 더 구비한다. 일단 메모리(330)에 저장된 1차보안룰필터와 2차보안룰필터는 다층분석부(310)의 동작시 기존에 검색된 유해트래픽의 자료로서 이용됨으로써 다층분석부(310)의 동작을 더 빠르게 할 수 있다. 또한, 메모리(330)에 저장된 1차보안룰필터와 2차보안룰필터는 네트워크관리부(250)로 전달되어 네트워크관리부(250)에 저장됨으로써 관리자의 이용자료로 이용될 수도 있다. The harmful
프로세서(320)는 ARP(Address Resolution Protocol) 트랩을 이용하여 상기 패킷 데이터를 전송하는 IP 어드레스(IPA)와 MAC 어드레스(MACA)를 확인하여 네트워크관리부(250)로 출력한다. The
ARP 트랩을 이용하면 스위치패브릭(305)에 연결되는 단말기들(50-1, 50-2, 50-n)의 IP 어드레스(IPA)와 MAC 어드레스(MACA)를 파악할 수 있으므로, 파악된 IP 어드레스(IPA)와 MAC 어드레스(MACA)를 네트워크관리부(250)로 전송함으로써 네트워크관리부(250)가 스위치패브릭(305)에 연결된 IP를 관리할 수 있도록 해준다. By using the ARP trap, the IP address (IPA) and MAC address (MACA) of the terminals 50-1, 50-2, and 50-n connected to the
네트워크관리부(250)는 프로세서(320)로부터 IP 어드레스(IPA)와 MAC 어드레스(MACA)를 수신하여 스위치패브릭(305)에 연결된 포트들의 데이터베이스를 생성한다. 그리고, IP관리정책에 응답하여 데이터베이스의 포트들 중 유해한 패킷데이터를 전송하는 포트를 차단하기 위한 IP관리명령(IPCTRL)을 출력한다. IP관리정책은 외부의 관리자에 의해서 미리 차단 및 허용할 IP 어드레스가 정해진 데이터베이스 이다. 또는 IP관리정책은 관리자가 실시간으로 스위치패브릭(305)에 연결된 IP 어드레스(IPA)와 MAC 어드레스(MACA)에 관한 정보를 관찰하면서 유해한 트래픽을 전송한다고 판단되는 포트나 기타 차단할 필요가 있는 포트를 변경함으로써 IP관리를 효율적이고 다양하게 수행하도록 할 수 있다. The
프로세서(320)는 IP관리명령(IPCTRL)에 응답해서 차단명령(BLK)을 발생함으로써 불필요한 포트를 차단할 수 있다. 기존에는 특정 IP 어드레스를 차단할 경우 프로그램적으로 차단하는 방법을 이용하였으나, 본 발명의 실시예에 따른 보안시스템은 IP관리정책에 따라 스위치패브릭(305)으로 차단명령(BLK)을 전송하여 스위치패브릭(305)이 불필요한 IP가 발견된 포트를 하드웨어적으로 차단하도록 함으로써 매우 빠른 속도로 IP관리를 수행할 수 있다. The
이상 본 발명의 바람직한 실시예에 대해 상세히 기술하였지만, 본 발명이 속하는 기술분야에 있어서 통상의 지식을 가진 사람이라면, 첨부된 청구범위에 정의된 본 발명의 정신 및 범위에 벗어나지 않으면서 본 발명을 여러 가지로 변형 또는 변경하여 실시할 수 있음을 알 수 있을 것이다. 따라서, 본 발명의 앞으로의 실시예들의 변경은 본 발명의 기술을 벗어날 수 없을 것이다.Although a preferred embodiment of the present invention has been described in detail above, those skilled in the art to which the present invention pertains can make various changes without departing from the spirit and scope of the invention as defined in the appended claims. It will be appreciated that modifications or variations may be made. Accordingly, modifications to future embodiments of the present invention will not depart from the technology of the present invention.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.BRIEF DESCRIPTION OF THE DRAWINGS In order to better understand the drawings cited in the detailed description of the invention, a brief description of each drawing is provided.
도 1은 보안기능을 포함하는 일반적인 네트워크 구성을 설명하는 블록도이다. 1 is a block diagram illustrating a general network configuration including a security function.
도 2는 본 발명에 따른 유해트래픽 차단장치를 포함하는 보안시스템을 포함하는 네트워크 구성을 설명하는 블록도이다. 2 is a block diagram illustrating a network configuration including a security system including a harmful traffic blocking apparatus according to the present invention.
도 3은 도 2의 보안시스템 및 유해트래픽 차단장치의 구성을 설명하는 블록도이다. 3 is a block diagram illustrating the configuration of the security system and harmful traffic blocking device of FIG.
도4는 x축을 소스IP로 하고 Y축을 소스서비스포트로 하여 입력되는 패킷데이터를 분석한 결과를 나타내는 도면이다.4 is a diagram illustrating a result of analyzing packet data input using the x-axis as the source IP and the Y-axis as the source service port.
도 5는 2차보안룰필터를 생성하는 과정을 설명하는 도면이다. 5 is a diagram illustrating a process of generating a secondary security rule filter.
도 6은 도 5에 형성된 집단이 어떤 바이러스 패턴에 대응되는지를 설명하는 표이다.FIG. 6 is a table for explaining which virus pattern the population formed in FIG. 5 corresponds. FIG.
Claims (20)
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080050193A KR100870871B1 (en) | 2008-05-29 | 2008-05-29 | Access level network securing device and securing system thereof |
JP2011511487A JP5193362B2 (en) | 2008-05-29 | 2008-06-05 | Access level security device and security system |
PCT/KR2008/003150 WO2009145379A1 (en) | 2008-05-29 | 2008-06-05 | Access level network securing device and securing system thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080050193A KR100870871B1 (en) | 2008-05-29 | 2008-05-29 | Access level network securing device and securing system thereof |
Publications (1)
Publication Number | Publication Date |
---|---|
KR100870871B1 true KR100870871B1 (en) | 2008-11-27 |
Family
ID=40284852
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080050193A KR100870871B1 (en) | 2008-05-29 | 2008-05-29 | Access level network securing device and securing system thereof |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP5193362B2 (en) |
KR (1) | KR100870871B1 (en) |
WO (1) | WO2009145379A1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012023657A1 (en) * | 2010-08-16 | 2012-02-23 | 주식회사 이세정보 | Network-based harmful-program detection method using a virtual machine, and a system comprising the same |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI619038B (en) * | 2011-11-07 | 2018-03-21 | Admedec Co Ltd | Safety box |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100432167B1 (en) | 2001-12-26 | 2004-05-17 | 한국전자통신연구원 | Hidden-type intrusion detection and blocking control system and control method thereof |
KR20050090640A (en) * | 2004-03-09 | 2005-09-14 | 유넷시스템주식회사 | A system and method for analyzing harmful traffic |
KR100766724B1 (en) | 2006-06-20 | 2007-10-17 | (주)한드림넷 | Securing switch and securing system and method |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3652661B2 (en) * | 2002-03-20 | 2005-05-25 | 日本電信電話株式会社 | Method and apparatus for preventing denial of service attack and computer program therefor |
JP2003348113A (en) * | 2002-05-22 | 2003-12-05 | Takeshi Hosohara | Switch and lan |
US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
KR100614775B1 (en) * | 2004-08-20 | 2006-08-22 | (주)한드림넷 | System and method of protecting network |
JP4547342B2 (en) * | 2005-04-06 | 2010-09-22 | アラクサラネットワークス株式会社 | Network control apparatus, control system, and control method |
JP2006332997A (en) * | 2005-05-25 | 2006-12-07 | Nec Corp | Communication management device, network system, communication disconnecting method, and program |
JP2007013262A (en) * | 2005-06-28 | 2007-01-18 | Fujitsu Ltd | Program, method and apparatus for worm determination |
JP2007094493A (en) * | 2005-09-27 | 2007-04-12 | Matsushita Electric Works Ltd | Access control system and method |
-
2008
- 2008-05-29 KR KR1020080050193A patent/KR100870871B1/en active IP Right Grant
- 2008-06-05 WO PCT/KR2008/003150 patent/WO2009145379A1/en active Application Filing
- 2008-06-05 JP JP2011511487A patent/JP5193362B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100432167B1 (en) | 2001-12-26 | 2004-05-17 | 한국전자통신연구원 | Hidden-type intrusion detection and blocking control system and control method thereof |
KR20050090640A (en) * | 2004-03-09 | 2005-09-14 | 유넷시스템주식회사 | A system and method for analyzing harmful traffic |
KR100766724B1 (en) | 2006-06-20 | 2007-10-17 | (주)한드림넷 | Securing switch and securing system and method |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012023657A1 (en) * | 2010-08-16 | 2012-02-23 | 주식회사 이세정보 | Network-based harmful-program detection method using a virtual machine, and a system comprising the same |
Also Published As
Publication number | Publication date |
---|---|
JP5193362B2 (en) | 2013-05-08 |
WO2009145379A1 (en) | 2009-12-03 |
JP2011523822A (en) | 2011-08-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100609170B1 (en) | system of network security and working method thereof | |
US7830898B2 (en) | Method and apparatus for inter-layer binding inspection | |
AU2004282937B2 (en) | Policy-based network security management | |
Deng et al. | DoS vulnerabilities and mitigation strategies in software-defined networks | |
US20080127338A1 (en) | System and method for preventing malicious code spread using web technology | |
CN114679338A (en) | Network risk assessment method based on network security situation awareness | |
US11290424B2 (en) | Methods and systems for efficient network protection | |
CN109962891A (en) | Monitor method, apparatus, equipment and the computer storage medium of cloud security | |
US10469528B2 (en) | Algorithmically detecting malicious packets in DDoS attacks | |
CN106850690B (en) | Honeypot construction method and system | |
US20090178140A1 (en) | Network intrusion detection system | |
CN111526121A (en) | Intrusion prevention method and device, electronic equipment and computer readable medium | |
US7299489B1 (en) | Method and apparatus for host probing | |
Steadman et al. | Dnsxd: Detecting data exfiltration over dns | |
Ma et al. | A design of firewall based on feedback of intrusion detection system in cloud environment | |
CN112333191A (en) | Illegal network asset detection and access blocking method, device, equipment and medium | |
CN115017502A (en) | Flow processing method and protection system | |
KR100870871B1 (en) | Access level network securing device and securing system thereof | |
CN113328976B (en) | Security threat event identification method, device and equipment | |
Sourour et al. | Environmental awareness intrusion detection and prevention system toward reducing false positives and false negatives | |
Gheorghe et al. | Attack evaluation and mitigation framework | |
KR20070011736A (en) | Hardware based intruding protection device, system and method | |
Dimiter et al. | Botnet Attack Identification Based on SDN | |
Shah et al. | Attack Monitoring and Protection in Cloud Computing Environment through IDS | |
Ambika et al. | Architecture for real time monitoring and modeling of network behavior for enhanced security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20121112 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20131111 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20141110 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20151117 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20161110 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20171121 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20181115 Year of fee payment: 11 |
|
FPAY | Annual fee payment |
Payment date: 20191210 Year of fee payment: 12 |