KR100898241B1 - 가변적 경로구성을 기반으로 한 동적인 전자적 침해방지서비스 제공 장치 및 그 방법 - Google Patents

가변적 경로구성을 기반으로 한 동적인 전자적 침해방지서비스 제공 장치 및 그 방법 Download PDF

Info

Publication number
KR100898241B1
KR100898241B1 KR1020020059577A KR20020059577A KR100898241B1 KR 100898241 B1 KR100898241 B1 KR 100898241B1 KR 1020020059577 A KR1020020059577 A KR 1020020059577A KR 20020059577 A KR20020059577 A KR 20020059577A KR 100898241 B1 KR100898241 B1 KR 100898241B1
Authority
KR
South Korea
Prior art keywords
path
subscriber
network
setting
router
Prior art date
Application number
KR1020020059577A
Other languages
English (en)
Other versions
KR20040028407A (ko
Inventor
최창효
문호건
조유희
박승언
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020020059577A priority Critical patent/KR100898241B1/ko
Publication of KR20040028407A publication Critical patent/KR20040028407A/ko
Application granted granted Critical
Publication of KR100898241B1 publication Critical patent/KR100898241B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 가변적 경로구성을 기반으로 한 동적인 전자적 침해 방지서비스 제공 장치 및 그 방법에 관한 것으로서, 내부 및 외부로부터의 침입을 탐지하고 차단하는 통신 사업자 보안 장비군과, 공중 인터넷 접속망을 통해 인터넷에 접속하는 공중인터넷 접속망 사용자와, 전용접속망을 통해 인터넷에 접속하는 전용접속망 사용자와, 상기 공중인터넷 접속망 사용자 및 상기 전용접속망 사용자의 인터넷 접속을 위한 통신사업자 네트웍 장비군과, 상기 통신사업자 네트웍 장비군 및 통신사업자 보안 장비군을 원격 관리하는 원격관리 시스템을 구비하는 것을 특징으로 한다.

Description

가변적 경로구성을 기반으로 한 동적인 전자적 침해 방지서비스 제공 장치 및 그 방법{system of dynamic security service for intrusion detection and prevention from cyber attack by using path configuration and method thereof}
도 1은 본 발명에 따른 가변적 경로 구성을 기반으로 한 동적인 전자적 침해탐지 및 차단서비스 제공시스템의 전체 구성도.
도 2는 도 1의 통신 사업자 보안장비군의 구성도.
도 3은 본 발명에 따른 침입탐지 시스템만을 사용할 경우의 트래픽 복제 전송 방법도.
도 4는 본 발명에 따른 동적인 전자적 침해방지를 위한 전체 흐름도.
도 5는 도 4의 분산침입 탐지경로 변경 결정과정을 나타낸 절차도.
도 6은 본 발명의 실시예에 따른 공중 인터넷에 접속시 동적인 전자적 침해 방지서비스 제공 시스템의 전체구성도.
도 7은 본 발명에 따른 공중 인터넷 접속 시 가입자 송수신 트래픽 경로 변경을 설명하기 위한 구성도.
도 8a는 본 발명에 따른 공중인터넷 접속시 경로변경 절차도.
도 8b는 본 발명에 따른 공중인터넷 접속시 경로 복구 절차도.
도 9는 본 발명에 따른 전용망에 접속 시 가입자송수신 트래픽 경로 변경을 설명하기 위한 구성도.
도 10a는 본 발명에 따른 전용망 접속시 경로 변경 절차도.
도 10b는 본 발명에 따른 전용망 접속시 경로 복구 절차도이다.
본 발명은 가변적 경로구성을 기반으로 한 동적인 전자적 침해 방지서비스 제공 장치 및 그 방법에 관한 것으로서, 전자적 침해에 대하여 침입탐지장치나 방화벽을 사용하고 있지 않은 사용자에게 사용자의 위치에 관계없이 효율적으로 침해탐지 및 차단을 수행하도록 하는 가변적 경로구성을 기반으로 한 동적인 전자적 침해 방지서비스 제공 장치 및 그 방법에 관한 것이다.
종래에는 가입자에게 보안서비스를 제공하기 위해, 가입자 네트웍의 입구에 침입탐지 시스템 및 침입 차단 시스템을 상시적으로 고정 배치하여 가입자에게 유출입되는 트래픽에 대하여 보안 탐지 및 차단을 수행하거나, 서버내에 방화벽 및 침입탐지 프로그램을 구축하는 방법을 사용해왔다.
그러나, 종래의 네트웍 입구에 보안 장비를 구축하는 방식은 상시적으로 보안장비가 배치되어 보안성은 높으나 고가의 침입 탐지시스템 및 침입 차단 시스템을 가입자마다 배치하여 비용의 부담이 크고, 가입자에게 분산되어 있는 많은 장비를 관리하기 위하여 이를 전문적으로 운영하는 인력이 많이 소요되는 문제점이 있었다.
또한, 침입 탐지시스템 및 침입 차단 시스템이 가입자마다 분산되어 설치되어 있으므로, 장애조치를 위해 가입자마다 방문하여 장애처리를 해야하므로, 장애조치를 위한 시간이 많이 소요되며, 그에 따라 관리비가 많이 소요되는 문제점이 있었다.
게다가, 이러한 방식의 종래 침입 탐지 시스템 및 침입 차단 시스템은 일반적으로 가입자 네트웍의 입구단에 위치하여, 내부 네트웍의 트래픽에 대한 감시가 전혀 이루어지지 않아, 완벽한 침해 차단이 이루어지지 않았다.
한편, 서버내에 침입탐지 및 침입 차단 프로그램을 구축하는 방식은 서버내에 유출입되는 트래픽을 전량 검사하는 방식으로, 모든 트래픽을 검사함에 따라 전산자원이 많이 소요되고, 설치된 시스템만 방어가 가능하여, 서비스 거부공격 등의 네트웍 공격에 취약한 단점이 있었다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 사용자의 서버에 분산 설치되어 지속적인 트래픽 샘플링을 통해 이상징후를 검출하여 보고되는 결과로써, 이상 징후 발견 시 혹은 필요시에 가입자의 트래픽 경로를 동적으로 변경하여 효율적인 침해탐지 및 차단이 가능하도록 하는 데 있다.
또한, 보안장비를 통신 사업자 내부에 집결 설치하여, 소수의 관리 인력으로 효율적인 운영이 가능하고, 샘플링된 가입자 트래픽을 수시로 감시하여, 외부에서 유입되는 트래픽 및 가입자 내부 트래픽도 감시함으로써, 효율적인 침해 탐지 및 차단이 가능하도록 하는 데 있다.
상기 과제를 달성하기 위한 본 발명은 내부 및 외부로부터의 침입을 탐지하고 차단하는 통신 사업자 보안 장비군과, 공중 인터넷 접속망을 통해 인터넷에 접속하는 공중인터넷 접속망 사용자와, 전용접속망을 통해 인터넷에 접속하는 전용접속망 사용자와, 상기 공중인터넷 접속망 사용자 및 상기 전용접속망 사용자의 인터넷 접속을 위한 통신사업자 네트웍 장비군과, 상기 통신사업자 네트웍 장비군 및 통신사업자 보안 장비군을 원격 관리하는 원격관리 시스템을 구비하는 것을 특징으로 한다.
상술한 목적 및 기타의 목적과 본 발명의 특징 및 이점은 첨부도면과 관련한 다음의 상세한 설명을 통해 보다 분명해 질 것이다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예를 상세히 설명하면 다음과 같다.
도 1은 본 발명에 따른 가변적 경로 구성을 기반으로 한 동적인 전자적 침해탐지 및 차단서비스 제공시스템을 설명하기 위한 전체 구성도로서, 본 발명은 원격관리 시스템(10), 트래픽 경로를 가변적으로 변경할 수 있는 통신사업자의 네트웍 장비군(11), 공중인터넷 접속을 위한 공중인터넷 접속A망(12), 통신사업자 보안장비군(13), 전용망 접속B망(14), 전용망 접속C망(15)을 구비한 예를 개시한다.
공중인터넷 접속A망(12)이 통신사업자 네트웍 장비군(11)과의 사이에 방화벽(16)을 구비하고, 통신사업자 보안 장비군(13)은 내부에 방화벽(17) 및 침입탐지시스템(18)을 구비하며, 전용망 접속B망(14)은 내부에 분산침입탐지 시스템(19)을 구비한 경우를 도시함으로써, 동적인 전자적 침해 방지서비스를 제공한다.
이때, 도 1에서는 공중인터넷 접속A망(12)의 외부에 방화벽(16)을 설치한 예를 도시하였으나, 공중인터넷 접속A망(12) 및 전용접속망 접속C망(15)의 내부에 분산침입 탐지시스템을 구비할 수도 있고, 전용접속망 접속C망(15)의 내부에 방화벽을 설치하는 경우도 있으며, 본 발명에서는 도 1을 통해 전용망 접속B망(14)의 내부에 분산침입 탐지시스템(14)을 구비하고, 공중인터넷접속A망(12)의 외부에 방화벽(16)을 설치한 예를 들어 설명하고 있다.
분산침입탐지 시스템(19)은 분산침입 정보를 수집하여 샘플링하는 정보수집부(22)와 샘플링된 정보를 이용하여, 이상징후를 탐지하고 분석하는 탐지분석부(23)를 구비함으로써, 서버의 트래픽을 일부 샘플링하여 통신사업자 보안장비군(13)에게 전송하거나 자체 이상징후를 탐지한다.
원격관리 시스템(10)은 방화벽(16), 통신사업자 보안장비군(13), 분산침입탐지 시스템(19) 및 통신사업자 네트웍 장비군(11) 원격 운영 관제하는 통합 보안관제 시스템(20) 및 통신사업자 네트웍 장비군(11)을 원격 운영 제어하는 망운용관리시스템(21)으로 구성된다.
통신사업자의 네트웍 장비군(11)은 근거리통신망들 사이, 또는 광역통신망 내의 단말지점들 간에 간헐적인 트래픽을 위해, 비용 효율이 좋은 전송 서비스인 프레임 릴레이 (frame relay; 이하, FR 이라 함), IP(internet protocol), 회선분배 시스템(Digital cross connector system; 이하, DCS라 함), 비동기 전송모드(asynchronous transfer mode; 이하, ATM 이라 함)를 구비하여, 각 통신접속망 사용자들과 연동된다.
도 2는 도 1의 통신 사업자 보안장비군(13)의 구성도로서, 국간접속 중계용 라우터(200), 가입자 접속 중계용 라우터(201), L4/L5 스위치(202), 침입탐지 시스템(203, 204), 침입 차단 시스템(205), 침입탐지 차단 통합시스템(206)을 유기적으로 결합함을 개시한다.
국간 접속 중계용 라우터(200)는 각각의 경로변경 결정에 의해 트래픽 경로가 변경되어 통신사업자의 보안장비군(13)으로 유입되는 트래픽을 수신한다. 가입자 접속 중계용 라우터(201)는 각각의 가입자 라우터와 가상적 경로 또는 실제 물리적 경로를 유지한다.
L4/L5 스위치(202)는 국간 접속 중계용 라우터(200)로부터 해당 트래픽을 전송받아, 각 사용자의 보안 서비스 요구 수준에 따라서 침입 탐지 시스템(203, 204), 침입탐지 차단 통합 시스템(206)으로 트래픽 경로를 설정한다.
특히, 우회 필요성이 있는 트래픽은 우회 패킷 경로를 설정하여, 침입 탐지 시스템(203, 204) 등의 처리 용량을 줄이며 침입 탐지 시스템(203, 204)만을 사용하는 트래픽은 침입 탐지 시스템(203, 204)에서 트래픽을 검사 한 후 종단한다.
침입탐지 시스템(203, 204), 침입 차단 시스템(205), 침입 탐지 차단 통합 시스템(206)은 가입자별로 보안 방지정책을 수행한다. 여기서 침입 탐지 차단 통합 시스템(206)은 침입탐지를 하면서 동시에 침입 차단을 수행하는 통합 시스템이다.
도 3은 본 발명에 따른 침입탐지 시스템만을 사용할 경우의 트래픽 복제 전 송 방법도로서, 침입탐지 시스템에서 트래픽의 종단이 가능하므로 상술한 경로변경을 사용하지 않고 동일한 트래픽을 복제하여 침입 탐지 시스템으로 전송할 수 있음을 설명하기 위한 도면이다.
가입자에게 송수신 트래픽을 직접 전달하면서 해당 트래픽을 복제하여 보안 시스템의 침입 탐지 시스템에 전달함으로써, 보안 탐지기능을 수행한다.
이러한 트래픽을 복제하기 위한 3가지 방법을 도 3에서 개시한다.
첫째는 광학적, 전기적 분배기(splitter)(300)를 사용하는 방법이고, 둘째는 이더넷 스위치 등을 이용한 L2 계층 스위치(301)의 미러링 기능을 이용하여 패킷을 복제하여 전송하는 방법이며, 셋째는 L3 계층 스위치(302)의 멀티 캐스팅 기능을 이용하여 트래픽을 복제하여 전송하는 방법이다.
여기서, 전송시에는 직접 접속하거나 장거리인 경우에는 물리적 혹은 가상적 경로설정을 이용하여 통신사업자의 침입 탐지 시스템에 전송한다.
도 4는 본 발명에 따른 동적인 전자적 침해탐지 및 차단서비스 제공을 위한 전체 흐름도로서, 본 발명을 구현하는 방법은 크게 분산침입 탐지경로 변경 결정과정, 보안검사 주기경로 변경 결정과정, 사용자가 공중인터넷 접속망 사용자인지, 전용접속망 사용자인지에 따른 경로변경 보안과정으로 구성됨을 개시한다.
먼저, 인터넷 공중망 구성 및 전용망 구성 등의 통신망 접속 형태 및 망구성 형태, 사용자가 방화벽을 보유하는지 여부, 보안 요구 수준 등에 따른 보안 수준 및 방법 등을 결정하여 입력한다(S20).
분산침입 탐지 경로변경을 설정할 지를 판단하여(S20), 분산침입 탐지 경로 변경을 설정하는 경우, 분산침입 탐지 시스템(19)을 이용하여 이상정보를 수집한다(S22). 수집된 이상정보를 이용하여, 이상징후를 탐지 분석하고(S23), 이상징후가 탐지되면 트래픽 경로 변경을 결정한다(S24).
한편, 상술한 단계(S21)에서 분산침입 탐지 경로변경 설정이 아니면, 운영자 경로변경을 설정인지를 판단하여(S25), 운영자 경로변경 설정이면, 운영자의 판단에 의한 경로 변경 명령에 따라 보안장비군으로 트래픽 경로 변경을 결정한다(S26).
반면, 상술한 단계(S22)에서 운영자 경로 변경설정이 아니면, 보안검사 주기 경로 변경 설정인지를 판단하여(S27), 보안검사 주기경로 변경설정이면, 운영자의 판단에 의해 다양한 주기적, 비주기적 보안 설정방법을 이용하여, 보안설정 방법을 선택한 후(S28), 보안 설정 시간이 도래하면 경로변경 보안절차를 수행한다(S29).
상술한 단계(S24, S26, S29)로부터 경로변경 설정을 완료한 후, 변경된 경로를 보안하기 위해, 먼저 해당 가입자가 공중인터넷 접속자 인지 전용접속망 접속자인 지를 판별하여(S30), 전용접속망 가입자는 전용접속망 경로를 변경설정 하고(S31), 공중인터넷 접속망 가입자는 공중인터넷 접속망 경로를 변경설정 한다(S32).
그 후, 통신사업자 보안 장비군(64)의 이상 탐지 및 차단보고서를 분석하고(S33), 경로 복구 명령이 있는 지를 판단한다(S34). 경로 복구 명령이 있으면 경로복구를 실행하고(S37), 경로 복구 명령이 없으면, 보안 감시 시간이 종료되었는 지를 판단하여(S35), 보안 감시 시간이 종료되었으면 경로를 복구하고(S37), 보안 감시 시간이 종료되지 않았으면 해당 장비에 대한 보안 이상이 있는지를 판단하고(S36), 보안 이상이 있으면 상술한 단계(S33)를 반복 수행하고, 보안 이상이 없으면, 경로를 복구한 후(S37), 네트웍 재구성 형태 및 보안방법 입력부를 수행하는 과정부터 반복한다.
도 5는 도 4의 분산침입 탐지경로 변경 결정과정을 나타낸 절차도이다.
먼저, 분산침입 탐지시스템(19)의 정보수집부(22)에서 패킷을 수신하고(S50), 수신된 패킷을 시스템의 처리속도 및 보안정책을 고려하여 샘플링한다(S51). 그후, 샘플링된 패킷을 플로우 샘플링을 수행하거나 샘플링된 패킷을 복제하고(S52), 샘플링된 패킷 및 플로우에 대한 이상징후를 탐지하고 분석하여(S53), 이상징후가 없는 경우에는 통합보안 관제시스템(미도시)에 해당 결과를 표시한다(S54).
반면, 이상징후가 있는 경우에는 해당 패킷의 도착지 주소를 통신사업자의 침입 탐지 시스템의 네트웍 주소로 설정한 후(S55), 도착지 주소를 변경한 샘플링 패킷을 변경된 주소의 통신사업자의 침입 탐지 시스템으로 송신한다(S56).
이와같이, 전문적인 침입 탐지 시스템을 통해 샘플링된 트래픽을 검사함으로써 DOS 공격을 탐지하거나 악성 웜 바이러스의 유통 등의 이상징후를 상세하게 탐지 할 수 있다.
도 6은 본 발명의 실시예에 따른 공중 인터넷에 접속시 동적인 전자적 침해 방지서비스 제공 시스템의 전체구성도로서, 원격관리 시스템(60), 인터넷망(61), 가입자 내부망(62), 가상/물리 경로 스위치망(63), 통신사업자 보안군(64)으로 구 성됨을 개시한다.
원격관리 시스템(60)은 가입자 내부망(62), 인터넷망(61), 가상/물리 경로 스위치망(63)을 운용관리하는 망운용 관리 시스템(65)과 가입자 내부망(62)의 분산침입 탐지장치, 인터넷망(61)의 라우팅 경로와 액세스 제어리스트, 통신사업자 보안장비군(64)을 연동하여 제어하고 운영하는 통합보안 관제 시스템(66)을 구비한다.
인터넷망(61)은 백본 라우터(66), 가입자의 가입자 라우터와 이를 공중 인터넷망에 접속하는 통신 통신사업자의 가입자 수용 라우터(67), 상술한 가입자 수용 라우터(67)를 중계 접속하는 중계 라우터(68)를 구비하여, 트래픽 경로를 변경하고 복구한다.
가입자 내부망(62)은 가입자 라우터(69)를 구비하며, 가상/물리 경로 스위치망(63)은 이상 탐지시 가입자 라우터(69)의 FR, 네트웍 트래픽 흐름의 속도를 높이고 관리하기 쉽게 하기 위한 MPLS (Multiprotocol Label Switching), DCS, ATM 등을 구비한다. 한편, 통신사업자 보안군(64)은 침입 탐지 시스템(70), 침입 차단 시스템 (71)을 구비하여, 외부 또는 내부의 침입 탐지 및 해당 침입을 차단한다.
도 7은 본 발명에 따른 공중 인터넷 접속 시 가입자 송수신 트래픽 경로 변경을 설명하기 위한 구성도로서, 가입자 라우터 A(700), 가입자 수용 라우터A(701), 중계라우터A(702), 백본 라우터A(703), 가입자 라우터 B(704), 가입자 수용 라우터 B(705), 중계 라우터B(706), 백본 라우터 B(707), 통신사업자 보안 장비군(64)를 구비하며, 가입자 네트웍이 공중 인터넷에 접속된 상황에서 내부 혹 인 외부 접속 트래픽에 대하여 이상 징후를 검출한 경우 등 가입자 송수신 트래픽을 보안 장치군으로 유출입시킬 필요성이 발생한 경우에 가입자 송수신 트래픽 경로를 변경하는 경우를 개시한다.
여기서, 통신사업자 보안 장비군(64)는 도 2에서 이미 설명하였으므로 생략한다. 도 7에서 도시한 바와같이, 가입자 라우터A(700), 가입자 접속 중계용 라우터(710)간의 경로를 설정하기 위하여 가입자 수용 라우터A(701), 중계 라우터A(702), 백본 라우터A(703), 중계 라우터B(706)의 FR, ATM, MPLS 등의 에뮬레이션 기능을 이용한 가상 경로 혹은 FR, ATM, DCS 등의 실제 스위치를 이용하여 물리적 경로를 설정하여 가입자 구간 경로를 설정한다.
또한, 트래픽이 가입자 수용 라우터A(701)에서 보안 시스템의 국간 접속 중계용 라우터(709)로 효율적으로 유입되고, 국간 접속 중계용 라우터(709)에서 중계 라우터B(706) 또는 백본 라우터 B(707) 등을 포함하는 공중 인터넷망에 효율적으로 유출되도록 경로를 설정, 링크 접속 및 라우팅 변경 등을 망운용 관리 시스템(65)을 사용하여 중계 구간 경로를 설정한다.
그 후, 가입자 수용 라우터 A(701)와 가입자 라우터 A(700)간에 직결되는 IP 주소를 제거하여 논리적 네트웍을 제거함으로써, 가입자 수용 라우터A(701), 중계 라우터A(702), 백본 라우터A(703) 등으로부터 가입자 라우터A(700)에 트래픽을 송수신 하기 위해서는 통신사업자 보안 장비군(64)의 국간 접속 중계용 라우터(709)로 패킷을 전송하는데, 라우팅 테이블(미도시)의 자동갱신을 통하여 가입자 라우터 A(700)의 수신 트래픽 경로가 자동 으로 변경된다.
가입자 라우터 A(700)의 송신 트래픽은 가입자 라우터 A(700)에서 가입자 수용 라우터A(701), 중계라우터A(702), 백본 라우터A(703) , 중계 라우터B(706), 가입자 접속 중계용 라우터(710) 및 국간접속 중계용 라우터(709)를 물리적 또는 가상적 경로를 통하여 경유하여 인터넷망에 접속됨으로써 송신된다.
가입자 라우터 B(704)와 같이 가입자 수용라우터B(705)와 가입자 수용 라우터C(708)에 접속 경로가 이원화되어 있는 경우 가입자 라우터 B(704), 가입자 수용 라우터 C(708)를 경유하여, 가입자 접속 중계용 라우터(710)로 물리적 또는 가상적 경로 설정을 한 후, 가입자 라우터 B(704)와 가입자 수용 라우터 C(708)의 논리적 네트웍을 제거한다.
그리고, 라우팅 테이블이 재갱신되면, 가입자 라우터 B(704)와 가입자 수용 라우터 B(705), 중계 라우터 B(706), 가입자 접속 중계용 라우터(710)간의 물리적 혹은 논리적 경로를 설정하고, 가입자 라우터 B(704)와 가입자 수용 라우터 B(705)간의 논리적 네트웍을 차단하여 트래픽 흐름이 지속적으로 유지되어 트래픽의 순간적인 중단이 없게 경로를 재설정하도록 하는 것이 바람직하다. 또한, 일정시간 동안 이상 트래픽이 검출되지 않는 등 보안 검사 종료가 필요한 경우 경로 복구 절차에 의해 경로를 복구한다.
도 8a는 도 4의 공중인터넷 접속시 경로변경 절차도 이고, 도 8b는 공중인터넷 접속시 경로 복구 절차도이다.
도 8a에 도시한 바와 같이, 공중 인터넷 접속시 경로 변경 절차는 가입자 네트웍이 공중 인터넷에 접속된 상황에서 외부 공중 인터넷망 접속 트래픽에 대한 보 안 서비스를 위하여 통신 사업자 보안 장비군(13)으로 트래픽 경로를 변경할 경우에 침입탐지 시스템의 탐지 설정을 변경한다(S80).
필요시 침입 차단 시스템의 차단 설정을 변경한 후(S81), 가입자 라우터와 가입자 접속 중계용 라우터(201)의 물리적 또는 가상 경로 설정을 이용하여 가입자 구간 경로를 설정한다(S82).
해당 가입자 트래픽이 가입자 수용 라우터에서 보안 시스템의 국간접속 중계용 라우터(200)로 효율적으로 유입되고 공중 인터넷망에 유출되도록 경로설정, 링크접속, 라우팅변경을 포함하여 중계 구간 경로를 설정한 후(S83), 가입자 수용 라우터와 가입자 라우터간에 직결되는 논리적 네트웍을 차단하여 라우팅 테이블이 갱신되거나 라우팅 정책에 의하여 가입자 송수신 트래픽이 가입자 수용 라우터에서 보안 시스템을 경유하게 한다(S84).
이때, 가입자 라우터 경로가 이원화되어 있는 경우 가입자 구간 경로 변경을 순차적으로 실시하여 트래픽 중단을 막는다.
한편, 공중인터넷 접속시 경로 복구절차는 가입자 접속용 직결 논리적 네트웍을 복구하고(S800), 가입자용 중계 구간 경로를 제거한다(S801).
그 후, 가입자 구간 경로를 제거한 후(S802), 필요시 해당 가입자 트래픽 처리용의 침입 차단 시스템 설정을 해제하고(S803), 해당 가입자 트래픽 처리용의 침입 탐지 시스템 설정을 해제한다(S804).
도 9는 본 발명에 따른 전용망에 접속 시 가입자송수신 트래픽 경로 변경을 설명하기 위한 구성도로서, 통신망 사업자 전용망(909)을 중심으로, 가입자망A(900), 가입자망B(901), 가입자망C(902), 가입자망D(903) 및 통신사업자 보안 장비군(14)을 구비함을 개시한다. 여기서, 통신사업자 보안 장비군(14)은 도 2에서 이미 설명하였으므로 생략한다.
가입자망D(903)와 가입자망B(901)간의 트래픽에 대한 보안 서비스를 위하여 통신 사업자의 전용망(909)을 구성하는 라우터의 FR, ATM, MPLS 등의 에뮬레션 기능을 이용한 가상경로 혹은 FR, ATM, DCS 등의 실제 스위치를 이용하여 물리적 경로를 설정하여 가입자망 D(903)와 통신사업자 보안 장비군(14)의 가입자 접속 중계용 라우터(909)간의 가입자 접속 구간 경로를 변경한다.
가입자망 B(901)과 국간 접속 중계용 라우터(904)간의 트래픽 변경을 위하여 통신 사업자의 전용망(909)을 구성하는 라우터의 FR, ATM, MPLS 등의 에뮬레이션 기능을 이용한 가상 경로 혹은 FR, ATM, DCS 등의 실제 스위치를 이용하여 물리적 경로를 설정하여 가입자망 B와 통신사업자 보안 장비군(14)의 국간 접속 중계용 라우터(904)간의 중계 구간 경로를 변경한다.
도 10a는 도 4의 전용망 접속 시 경로 변경 절차도이고, 도 10b는 도 4의 전용망 접속시 경로 복구 절차도이다.
먼저, 전용망 접속시 경로 변경 절차는, 가입자 네트웍의 사설망을 구성하기 위하여 통신사업자의 전용선을 사용하는 상황에서 사설망 내부의 보안 서비스를 위하여 통신 사업자 보안장비군(13)으로 트래픽 경로를 변경할 경우에 침입 탐지 시스템의 탐지 설정을 변경한다(S100).
필요시 침입 차단 시스템의 차단 설정을 변경한 후(S101), 가입자 라우터와 가입자 접속 중계용 라우터의 물리적 또는 가상 경로 설정을 이용하여 가입자 구간 경로를 설정하고(S102), 상대편 가입자 트래픽이 국간 접속중계용 라우터(200)로 효율적인 경로를 설정하는 중계 구간 경로를 설정한다(S103). 이때, 가입자 라우터 경로가 이원화되어 있는 경우 가입자 구간 경로 설정을 순차적으로 실시하여 트래픽 중단을 막는다.
한편, 전용망 접속시 경로복구 절차는 상술한 중계 구간 경로를 원상복구하고(S1000), 가입자 상호간 경로를 원상 복구한다(S1001). 그 후, 필요시 해당 가입자 트래픽 처리용의 침입 차단 시스템 설정을 해제하고(S1002), 트래픽 처리용의 침입 탐지 시스템 설정을 해제한다(S1003).
이상에서 살펴본 바와 같이, 본 발명에 의하면, 사용자에게 저렴한 비용으로 효율성이 좋은 보안 서비스를 제공하고, 통신사업자의 장비효율성 및 관리 인력의 효율성이 높으며, 사용자 그룹의 위치에 관계없이 보안 서비스를 제공할 수 있는 효과가 있다.
아울러 본 발명의 바람직한 실시예는 예시의 목적을 위한 것으로, 당업자라면 첨부된 특허청구범위의 기술적 사상과 범위를 통해 다양한 수정, 변경, 대체 및 부가가 가능할 것이며, 이러한 수정 변경 등은 이하의 특허청구범위에 속하는 것으로 보아야 할 것이다.

Claims (12)

  1. 내부 및 외부로부터의 침입을 탐지하고 차단하는 통신 사업자 보안 장비군;
    공중 인터넷 접속망을 통해 인터넷에 접속하는 공중인터넷 접속망 사용자;
    분산침입 탐지장치를 구비하고, 전용접속망을 통해 인터넷에 접속하는 전용접속망 사용자;
    상기 공중인터넷 접속망 사용자 및 상기 전용접속망 사용자의 인터넷 접속을 위한 통신사업자 네트웍 장비군; 및
    상기 통신사업자 네트웍 장비군 및 통신사업자 보안 장비군을 원격 관리하는 원격관리 시스템을 포함하는 가변적 경로구성을 기반으로 한 동적인 전자적 침해 방지서비스 제공 장치.
  2. 제 1 항에 있어서, 상기 분산침입 탐지 장치는,
    상기 통신사업자 네트웍 장비군으로부터 패킷을 수신받아 샘플링하고, 샘플링된 패킷을 복제하고, 도착지 주소를 상기 통신사업자 보안장비군의 네트웍주소로 변경한 후, 변경된 주소로 상기 샘플링된 패킷을 전송하는 정보수집부; 및
    상기 정보수집부에서 샘플링된 패킷을 이용하여 이상징후를 탐지하고 분석하는 탐지분석부를 구비하는 것을 특징으로 하는 가변적 경로구성을 기반으로 한 동적인 전자적 침해 방지서비스 제공 장치.
  3. 통신망 접속 형태, 망구성 형태, 방화벽 보유 여부, 보안요구수준, 네트웍 재구성 형태 및 보안방법을 입력하는 입력단계;
    상기 입력된 정보를 이용하여, 침입과 관련된 이상징후가 있는지를 탐지하고 분석하는 분산침입 탐지경로를 변경 결정하는 분산침입 탐지경로 변경설정과정, 운영자의 판단에 의한 경로변경 명령에 따라 경로를 변경 설정하는 운영자 경로변경설정과정, 보안검사 주기 설정에 따라 주기경로를 변경설정하는 보안검사 주기경로 변경설정과정을 구비하는 경로변경 설정단계; 및
    상기 경로변경 설정단계에서 변경된 경로를 보안하는 경로변경 보안단계를 포함하는 가변적 경로구성을 기반으로 한 동적인 전자적 침해 방지서비스 제공 방법.
  4. 제 3 항에 있어서,
    상기 변경된 경로를 복구하는 경로복구 단계를 더 포함하는 것을 특징으로 하는 가변적 경로구성을 기반으로 한 동적인 전자적 침해 방지서비스 제공 방법.
  5. 제 3 항에 있어서, 상기 분산침입 탐지경로변경 설정단계는,
    상기 침입과 관련된 패킷을 수신하여, 저속 샘플링하는 샘플링단계;
    플로우 샘플링을 수행한 후, 샘플링된 패킷을 복제하는 복제단계;
    샘플링된 패킷에 이상징후가 있는지를 탐지하는 탐지단계; 및
    상기 이상징후가 있으면, 상기 패킷의 도착지 주소를 변경한 후, 변경된 주 소로 송신하는 송신단계를 포함하는 가변적 경로구성을 기반으로 한 동적인 전자적 침해 방지서비스 제공 방법.
  6. 제 3 항에 있어서, 상기 보안검사 주기경로변경 설정단계는,
    보안설정 방법을 선택하는 보안설정방법 선택단계; 및
    상기 선택된 방법을 이용하여 보안 설정시간이 도래하면 보안수행을 하는 보안수행단계를 구비하는 것을 특징으로 하는 가변적 경로구성을 기반으로 한 동적인 전자적 침해 방지서비스 제공 방법.
  7. 제 3 항에 있어서, 상기 경로변경 보안단계는,
    공중인터넷망 접속 가입자가 공중인터넷 접속 시 경로변경을 보안하는 공중인터넷망 경로변경 보안단계; 및
    전용접속망 가입자가 전용망 접속시 경로 변경을 보안하는 전용망 경로변경 보안단계;를 구비하는 것을 특징으로 하는 가변적 경로구성을 기반으로 한 동적인 전자적 침해 방지서비스 제공 방법.
  8. 제 7 항에 있어서, 상기 공중인터넷망 경로변경 보안단계는,
    침입 탐지 시스템을 설정변경하는 단계;
    가입자 라우터와 가입자 접속 중계용 라우터간의 가입자 구간을 설정하는 가입자 구간 경로 설정단계;
    가입자 수용 라우터와 국간 접속 중계용 라우터간의 중계 구간을 설정하는 중계 구간을 설정하는 중계 구간 경로 설정단계; 및
    상기 가입자 수용 라우터와 상기 가입자 라우터간에 직결되는 네트웍을 제거하는 가입자 접속용 직결 네트웍 제거단계를 구비하는 것을 특징으로 하는 가변적 경로구성을 기반으로 한 동적인 전자적 침해 방지서비스 제공 방법.
  9. 제 7 항에 있어서, 상기 전용망 경로변경 보안단계는,
    침입 탐지 시스템을 설정변경하는 단계;
    가입자 라우터와 가입자 접속 중계용 라우터간의 가입자 구간을 설정하는 가입자 구간 경로 설정단계;
    가입자 수용 라우터와 국간 접속 중계용 라우터간의 중계 구간을 설정하는 중계 구간을 설정하는 중계 구간 경로 설정단계를 구비하는 것을 특징으로 하는 가변적 경로구성을 기반으로 한 동적인 전자적 침해 방지서비스 제공 방법.
  10. 제 4 항에 있어서, 상기 경로복구 단계는,
    공중인터넷망 접속 가입자가 공중인터넷 접속 시 경로변경을 복구하는 공중인터넷망 경로복구단계; 및
    전용접속망 가입자가 전용망 접속시 경로 변경을 복구하는 전용망 경로복구단계를 구비하는 것을 특징으로 하는 가변적 경로구성을 기반으로 한 동적인 전자적 침해 방지서비스 제공 방법.
  11. 제 10 항에 있어서, 상기 공중인터넷망 경로복구단계는,
    제거된 가입자 접속용 직결 네트웍을 복구하는 네트웍복구단계;
    가입자 수용 라우터와 국간 접속 중계용 라우터간의 설정된 중계구간을 제거하는 중계 구간 경로 제거단계;
    가입자 라우터와 가입자 접속 중계용 라우터간의 설정된 가입자 구간경로를 제거하는 가입자 구간 경로 제거단계; 및
    침입탐지 시스템 설정을 해제하는 설정해제단계를 구비하는 것을 특징으로 하는 가변적 경로구성을 기반으로 한 동적인 전자적 침해 방지서비스 제공 방법.
  12. 제 10 항에 있어서, 상기 전용망 경로복구단계는,
    가입자 수용 라우터와 국간 접속 중계용 라우터간의 설정된 중계구간을 제거하고 원 경로를 복구하는 중계 구간 경로 원상복구단계;
    가입자 라우터와 가입자 접속 중계용 라우터간의 설정된 가입자 구간경로를 제거하고 원 경로를 복구하는 가입자 구간 경로 원상복구단계; 및
    침입탐지 시스템 설정을 해제하는 설정해제단계를 구비하는 것을 특징으로 하는 가변적 경로구성을 기반으로 한 동적인 전자적 침해 방지서비스 제공 방법.
KR1020020059577A 2002-09-30 2002-09-30 가변적 경로구성을 기반으로 한 동적인 전자적 침해방지서비스 제공 장치 및 그 방법 KR100898241B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020020059577A KR100898241B1 (ko) 2002-09-30 2002-09-30 가변적 경로구성을 기반으로 한 동적인 전자적 침해방지서비스 제공 장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020020059577A KR100898241B1 (ko) 2002-09-30 2002-09-30 가변적 경로구성을 기반으로 한 동적인 전자적 침해방지서비스 제공 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20040028407A KR20040028407A (ko) 2004-04-03
KR100898241B1 true KR100898241B1 (ko) 2009-05-18

Family

ID=37330617

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020020059577A KR100898241B1 (ko) 2002-09-30 2002-09-30 가변적 경로구성을 기반으로 한 동적인 전자적 침해방지서비스 제공 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR100898241B1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100794520B1 (ko) * 2006-05-11 2008-01-14 주식회사 엘지씨엔에스 보안 시스템 및 트래픽 제어방법
KR101038673B1 (ko) * 2009-12-18 2011-06-03 주식회사 케이티 백본망 기반 DDoS 대응 서비스 제공방법 및 제공장치
KR101144332B1 (ko) * 2011-12-01 2012-05-11 주식회사 프라이머리넷 네트워크 트래픽 처리 시스템
US10212184B2 (en) 2016-10-27 2019-02-19 Opaq Networks, Inc. Method for the continuous calculation of a cyber security risk index

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000124955A (ja) * 1998-10-19 2000-04-28 Nec Corp トラフィックシェーピングによるネットワークアタック防御システム
KR20000065547A (ko) * 1999-04-07 2000-11-15 이종성 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템
KR20020062070A (ko) * 2001-01-19 2002-07-25 주식회사 정보보호기술 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000124955A (ja) * 1998-10-19 2000-04-28 Nec Corp トラフィックシェーピングによるネットワークアタック防御システム
KR20000065547A (ko) * 1999-04-07 2000-11-15 이종성 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템
KR20020062070A (ko) * 2001-01-19 2002-07-25 주식회사 정보보호기술 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법

Also Published As

Publication number Publication date
KR20040028407A (ko) 2004-04-03

Similar Documents

Publication Publication Date Title
US9794272B2 (en) Method and apparatus for monitoring malicious traffic in communication networks
CN108965123B (zh) 一种链路切换方法和网络通信系统
EP1999890B1 (en) Automated network congestion and trouble locator and corrector
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn系统的工作方法
US7134135B2 (en) Fault management in a VDSL network
JP4398113B2 (ja) レイヤ型ネットワークの管理システム
US7409712B1 (en) Methods and apparatus for network message traffic redirection
JP4556981B2 (ja) ネットワーク監視装置及びネットワーク監視方法
EP1158736B1 (en) Gateway system for interconnecting internet and telephone network, and routing control method
EP4362403A2 (en) A method for deep packet inspection in software defined networks
CN101411156A (zh) 对网络入侵者的自动阻止
EP1487232A2 (en) Intelligent fault recovery in a line card with control plane and data plane separation
CN103957138A (zh) 一种网络监控方法、装置及其系统
KR100898241B1 (ko) 가변적 경로구성을 기반으로 한 동적인 전자적 침해방지서비스 제공 장치 및 그 방법
Lam et al. Network management requirements for mpls-based transport networks
US20020133717A1 (en) Physical switched network security
KR20110067871A (ko) Ip 망에서 oam 패킷을 이용한 트래픽 감시 및 제어를 위한 네트워크 액세스 장치 및 방법
KR100964392B1 (ko) 망 관리에서의 장애 관리 시스템 및 그 방법
JP4260848B2 (ja) ネットワーク制御方法
US7058707B1 (en) Performance modeling in a VDSL network
JP2004328307A (ja) 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法
JP2008211690A (ja) ネットワーク制御方法
KR100611933B1 (ko) 홈 네트워크에서 홈 게이트웨이를 이용한 유해트래픽 차단장치 및 방법
KR20080040257A (ko) 네트워크 수준의 웜, 바이러스 조기 탐지 방법 및 장치
CN117294533B (zh) 一种基于云化环境的网络流量采集方法及系统

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130430

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140508

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20150507

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20160503

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20170504

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20180503

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20190502

Year of fee payment: 11