KR101022787B1 - 차세대 네트워크 보안 관리 시스템 및 그 방법 - Google Patents

차세대 네트워크 보안 관리 시스템 및 그 방법 Download PDF

Info

Publication number
KR101022787B1
KR101022787B1 KR1020040016121A KR20040016121A KR101022787B1 KR 101022787 B1 KR101022787 B1 KR 101022787B1 KR 1020040016121 A KR1020040016121 A KR 1020040016121A KR 20040016121 A KR20040016121 A KR 20040016121A KR 101022787 B1 KR101022787 B1 KR 101022787B1
Authority
KR
South Korea
Prior art keywords
address
packet
sequence
source
list
Prior art date
Application number
KR1020040016121A
Other languages
English (en)
Other versions
KR20050090848A (ko
Inventor
최창효
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020040016121A priority Critical patent/KR101022787B1/ko
Publication of KR20050090848A publication Critical patent/KR20050090848A/ko
Application granted granted Critical
Publication of KR101022787B1 publication Critical patent/KR101022787B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 차세대 네트워크 보안 시스템 및 그 방법에 관한 것이다. 차세대 네트워크 보안 시스템 및 그 방법은 SIP 폰, PC 단말 등을 사용하는 차세대망의 가입자로부터 정상적인 트래픽과 악의적인 공격자에 의해 출발지 IP 주소가 변조된 비정상적인 트래픽이 혼재되어 유입될 경우에, 중개 게이트웨이와 같은 가입자 네트워크 접속장치에서 비정상적인 트래픽을 탐지 및 차단하며, 공격자 IP 주소를 패킷 분석을 통해 역추적하여 공격자의 물리적인 위치를 검출할 수 있다. 이와 같이 하면, 출발지 IP 주소가 변조된 패킷을 차단하고, 다수의 경로로 유입되는 트래픽을 협응적으로 판별하여 패킷의 이상 유무에 대한 오탐지를 방지할 수 있어 서비스 지속성이 유지되고, 그에 따른 서비스 만족도 및 신뢰도를 증대시킬 수 있으며, 보안사고에 따른 네트워크 트래픽 폭주나 사고를 사전에 방지하여 네트워크의 여유 용량을 줄이고 보안에 필요한 비용을 절감할 수 있다.
차세대 망, 맥 인증, 가입자 네트워크 접속장치, 보안 관리 장치, 출발지 IP 주소, ID 시퀀스

Description

차세대 네트워크 보안 관리 시스템 및 그 방법{SYSTEM AND METHOD FOR SECURITY MANAGEMENT OF NEXT GENERATION NETWORK}
도 1은 본 발명의 실시예에 따른 차세대 네트워크 보안 시스템의 개략적인 망 구성을 도시한 것이다.
도 2는 도 1의 보안 관리 기능 블록들을 상세히 도시한 것이다.
도 3은 본 발명의 실시예에 따른 차세대 네트워크 보안 방법에서 변조된 IP 패킷을 탐색하는 과정에 대한 순서도를 도시한 것이다.
도 4는 IP 주소별 ID 시퀀스 검색을 통한 출발지 IP 주소가 변조된 패킷 탐색 과정을 설명하기 위한 것이다.
도 5는 본 발명의 실시예에 따른 차세대 네트워크 보안 방법에서 역추적 및 차단 과정에 대한 순서도를 도시한 것이다.
본 발명은 차세대 네트워크 보안 시스템 및 그 방법에 관한 것으로, 특히 가입자 네트워크 접속장치에서 정상적인 트래픽과 비정상적인 트래픽을 선별적으로 탐지, 차단, 역추적을 통해 보안 기능을 강화하기 위한 차세대 네트워크 보안 시스 템 및 그 방법에 관한 것이다.
최근 인터넷의 보급 확산으로 전자상거래 등의 개인정보 요청 서비스가 많아짐에 따라 네트워크 보안이 주요한 문제로 대두되고 있다.
종래 기술의 실시예에 따른 네트워크 상에서의 침입 탐지 및 차단 시스템은 전자적 침해 행위를 탐지하고 차단할 수 있도록 가입자 네트워크와 공중망 네트워크의 접속점, 또는 가입자 네트워크 내부에 설치되어 입출력되는 트래픽의 이상을 검출하고 불법 침입을 차단하도록 한다.
그러나 대부분의 회사나 가입자에서는 비용이나 기타 사유로 인해 네트워크를 통한 불법 침입을 차단하기 위한 보안 전담반을 운영하고 있지 못하고 있어, 새로운 해킹에 대한 대응이 어려워 가입자가 직접 보안 운용을 할 수 없는 실정이다.
전문 보안 장비 회사에서 대행하여 네트워크 상에서의 침입 탐지 및 차단을 운영하더라도 가입자마다 다른 전자적 침해 탐지 및 차단 장치를 사용하므로 투자비용이 높고, 다수의 장비 관리에 따르는 운영관리 인력, 원격 관리에 많은 비용이 소요되는 문제점이 있다.
따라서 통신 사업자가 가입자 측면에서 전자적 침해 탐지 및 차단 운영을 대행하여 보안 기능을 제공할 필요성이 대두되고 있고, 통신 사업자 특면에서도 서비스 거부(Denial of Service, DoS)형 공격에 대해 네트워크의 트래픽 폭주의 위험이 있으므로 자체적인 보안 기능이 요구되고 있다.
그런데, 통신 사업자의 네트워크 내부에 별도의 침입 탐지 및 차단을 위한 보안 장비를 도입하기 위해서는 많은 비용이 소요되고, 라우터, NAS(Network Attached Storage), 이더넷 시스템의 패킷 필터링 기능 등의 사용이 장비 기능을 악화시키거나, 특정 포트를 모두 동일하게 차단할 수 있어 정상적인 사용자의 패킷도 차단할 수 있는 문제점이 있다.
트래픽이 다원화 경로를 경유하여 전송될 경우에, 보안 장비는 다수의 오탐지 특성을 갖고 있으나 통신 사업자는 통신의 안정성 및 생존을 위해 대부분 이원화된 경로를 운영하고 있어 일반적인 보안 장비가 적합하지 않는 문제점이 있다.
악의적인 공격자가 네트워크 접속 인증시에 정상적인 인증 과정을 거쳐 출발지 주소를 변조하여 패킷을 전달할 수 있어 출발지 주소를 신뢰할 수 없지만, 일반적인 보안 장비로는 출발지의 물리적인 위치를 대부분 알 수 없어 공격자를 찾아내거나 공격 차단이 어려운 문제점이 있다.
그러므로 네트워크 상에서의 침입 탐지 및 차단 시스템은 가입자 액세스 단의 장비에서 IP 주소 변조된 패킷을 탐지하는 보안 기능을 갖는 것이 필요하고, 특히 차세대 네트워크의 액세스단의 접속장비인 액세스 게이트웨이(ACCESS GATEWAY) 또는 중재(MEDIATION) 게이트웨이에서 출발지 IP 주소가 변조된 공격성 트래픽을 차단하는 기능을 갖는 것이 절실히 요구되고 있다.
본 발명이 이루고자 하는 기술적 과제는 정상적인 트래픽과 IP 주소가 변조된 공격성 트래픽이 혼재되어 유입되는 경우에 액세스단의 접속 장비에서 패킷 헤드 정보를 추출하여 출발지 IP 주소가 변조된 패킷을 선별적으로 탐지 차단하고, 공격성 트래픽의 출발지를 역추적할 수 있도록 하는 차세대 네트워크 보안 시스템 및 그 방법을 제공하는 것이다.
본 발명의 첫 번째 특징에 따른 차세대 네트워크 보안 시스템은, 사용자 단말기로부터 정상/비정상 패킷이 혼재되어 유입/유출되면, 맥(MAC) 인증을 수행하여 맥 주소, IP 주소, ID 시퀀스를 추출하는 맥 인증 서버; 상기 사용자 단말기가 접속되고 상기 맥 인증 서버로부터 전송된 IP 패킷을 전송받아 상기 IP 패킷의 헤드 정보를 추출하는 가입자 네트워크 접속 장치; 및 상기 맥 인증 서버와 가입자 네트워크 접속장치에서 해당 패킷 관련 정보를 전송받아 IP 패킷의 ID 시퀀스를 검사하여 IP 주소가 변조된 패킷을 검출하고, 상기 변조된 패킷의 차단/역추적을 수행하는 보안 관리 장치를 포함한다.
상기 가입자 네트워크 접속장치는 사용자 단말과 네트워크를 경유하여 접속되면 유입되는 트래픽에서 패킷 헤드 정보를 추출하고, 출발지 IP 주소가 변조된 패킷의 차단 명령에 따라 상기 패킷을 차단하는 패킷 헤드 처리부를 포함한다.
상기 보안 관리 장치는, 상기 맥 인증 서버와 가입자 네트워크 접속 장치에서 맥 주소, 출발지 IP 주소, 식별 연속성(ID 시퀀스)에 대한 정보를 전송받아 이 정보들을 토대로 IP 패킷의 ID 시퀀스의 이상 여부를 검출하여 출발지 IP 주소가 변조된 IP 주소 리스트를 추출하는 IP 변조 탐지부; 및 상기 IP 변조 탐지부에서 추출한 IP 주소 리스트를 통해 해당 패킷을 차단하거나 상기 변조된 패킷을 역추적하여 공격자의 물리적 위치를 탐색하는 역추적 및 차단부를 포함한다.
본 발명의 두 번째 특징에 따른 맥 인증 서버 및 가입자 네트워크 접속장치 와 체계적으로 연결되어 불법 침입을 탐색 및 차단하는 차세대 네트워크 보안 방법은, a) 사용자 단말이 네트워크 접속시, 맥 인증 서버를 통해 IP 주소와 맥 주소를 인증하고 초기 패킷의 ID를 확보하는 단계; b) 상기 사용자 단말이 가입자 네트워크 접속장치에 접속되면, 상기 가입자 네트워크 접속장치로부터 상기 사용자 단말에서 유입/유출되는 트래픽의 패킷 헤드 정보를 추출하는 단계; c) 상기 a) 단계와 b) 단계를 통해 확보한 상기 패킷의 IP 주소와 헤드 정보를 토대로 IP 헤드를 검사하여 IP 주소별 ID 시퀀스를 확인하는 단계; 및 d) 상기 c) 단계를 통해 출발지 IP 주소가 변조된 IP 주소 리스트를 검색하고 선택적으로 상기 변조된 패킷을 차단하거나 공격자의 물리적인 위치를 역추적하는 단계를 포함한다.
상기 c) 단계는, c-1) 상기 IP 주소별 ID가 1씩 증가하면 다음 패킷을 검사하고, 상기 IP 주소별 ID가 1씩 증가하지 않으면 프레그멘테이션 비트를 판별 여부에 따라 출발지 주소 변조 대상 IP 주소로 선정하는 단계; c-2) 상기 c-1) 단계에서 선정된 출발지 주소 변조 대상 IP 주소들에 대해 IP 주소 리스트를 작성하고, 상기 IP 주소 리스트를 탐색하여 ID 시퀀스의 일치 유무를 판별하는 단계; c-3) 상기 c-2) 단계에서 상기 IP 주소 리스트에서 ID 시퀀스가 일치하는 IP 주소가 없으면 테어드랍(TEAR DROP) 패킷으로 보고하고, 상기 IP 주소 리스트에서 ID 시퀀스가 일치하는 IP 주소가 존재하면 상기 ID 시퀀스의 일치 횟수를 검출하는 단계; 및 c-4) 상기 c-3) 단계에서 상기 IP 주소와 ID 시퀀스의 일치 횟수가 정해진 횟수 이상 일치하면 출발지 주소 변조 패킷으로 보고한 후 다른 패킷을 검사하는 단계를 포함한다.
상기 d) 단계는, d-1) 상기 공격자의 IP 주소를 획득하고 상기 맥 인증 서버와 기획득한 출발지 IP 주소가 변조된 IP 주소 리스트를 검색하여 해당 맥주소를 검색하는 단계; 및 d-2) 상기 d-1) 단계에서 검색한 맥주소와 가입자의 위치 정보를 이용하여 공격자의 물리적 위치를 찾아 보고하는 단계를 포함한다.
상기 d) 단계는, 상기 출발지 IP 주소가 변조된 IP 주소 리스트를 대상으로 관리자가 차단 패킷 리스트를 입력하고 패킷 차단 명령을 전송하면, 상기 가입자 네트워크 접속 장치에서 소스 주소를 기반으로 패킷을 차단하는 것이 바람직하다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였다. 명세서 전체를 통하여 유사한 부분에 대해서는 동일한 도면 부호를 붙였다.
먼저, 본 발명의 실시예에 따른 차세대 네트워크 보안 시스템에 대하여 도 1을 참고로 하여 상세하게 설명한다.
도 1은 본 발명의 실시예에 따른 차세대 네트워크 보안 시스템의 개략적인 망 구성을 도시한 것이고, 도 2는 도 1의 보안 관리 기능 블록들을 상세히 도시한 것이다.
도 1에 나타낸 바와 같이, 본 발명의 실시예에 따른 차세대 네트워크 보안 시스템은, 사용자 단말(111, 112), 액세스 게이트웨이(122), 중개 게이트웨이(130), 소프트스위치(SOFTSWITCH)(140), 맥(MAC) 인증서버(150), 보안 관리 장치(160), 서비스 서버(150)를 포함한다.
사용자 단말(111, 112)은 영상 단말(111)이나 PC 폰(112)과 같은 차세대망 단말로서, 영상 단말(111, 112)은 전용 가입자 망(121)에 연결되고, PC 폰(112)은 액세스 게이트웨이(122)에 연결된다.
중개 게이트웨이(130)는 액세스 단의 가입자 네트워크 접속 장치이다.
소프트 스위치(140)는 중개 게이트웨이(130)와 백본 전달망과의 신호망을 관장하여 서비스 서버(150)와 연결되도록 하고, 맥 인증 서버(150)는 사용자 단말(111, 112)의 접속을 인증한다.
보안 관리 장치(160)는 사용자 단말(111, 112)에서 초기 접속시 정상적인 인증 수행 후에 출발지 IP 주소가 변조된 비정상적인 공격형 트래픽을 발생하여 네트워크로 유입시켜 정상적인 트래픽과 혼재하는 경우에, 출발지 IP 주소가 변조된 트래픽을 검출하기 위해 중개 게이트웨이(130), 맥 인증 서버(150)와 연결되어 보안 기능을 수행한다.
도 2를 참고하여 중개 게이트웨이, 맥 인증 서버(150), 보안 관리 장치(160)간의 보안 관리 기능을 더욱 상세히 살펴본다.
중개 게이트웨이(130)는 가입자 접속부(131), 패킷헤드 처리부(132), 다중화 및 스위칭부(133), 중계 트렁크(134)를 포함한다.
가입자 접속부(131)는 사용자 단말(111, 112)이 전용 가입자 망(121)이나 액세스 게이트웨이(122)를 경유하여 중개 게이트웨이(130)에 접속되도록 한다. 패킷 헤드 처리부(132)는 가입자 접속부(131)를 통해 유입 및 유출되는 트래픽에서 패킷 헤드 정보를 추출하고, 패킷의 차단 명령에 따라 해당 패킷을 차단하기도 한다.
다중화 및 스위칭부(133)는 패킷 헤드 처리부(132)를 거쳐 전송되는 트래픽을 다중화하고, 백본 전달망과의 연결을 중계하는 중계 트렁크(134)로의 스위칭 처리를 수행한다.
보안 관리 장치(160)는 IP 변조 탐지부(161)와 역추적 및 차단부(162)를 포함하지만 이에 한정되지는 않는다.
IP 변조 탐지부(161)는 초기 사용자 단말(111, 112)의 접속시 맥 인증 서버(150)에서 맥 주소, 출발지 IP 주소, ID를 전송받은 후에 이를 토대로 중개 게이트웨이(130)의 패킷 헤드 처리부(132)에서 전송 전송받은 IP 패킷의 ID 시퀀스의 이상 유무를 검출하여 IP 주소가 변조된 패킷을 추출한다.
역추적 및 차단부(162)는 IP 변조 탐지부(161)는 변조된 IP 주소 리스트를 기반으로 침입 차단 명령을 중개 게이트웨이에 전달하여 해당 IP 패킷을 차단하거나 해당 사용자 단말(111, 112)이 공격받은 경우에 도착지의 패킷을 추출하여 공격지의 IP 주소와 맥 인증 서버(150)의 맥 주소 DB를 이용하여 물리적인 맥 주소를 탐색하는 역추적을 수행한다.
다음, 도 3 내지 도 5를 참조하여 본 발명의 실시예에 따른 차세대 네트워크 보안 시스템의 동작에 대하여 자세하게 설명한다.
도 3은 본 발명의 실시예에 따른 차세대 네트워크 보안 방법에서 변조된 IP 패킷을 탐색하는 과정에 대한 순서도를 도시한 것이다.
도 3에 도시된 바와 같이, 본 발명의 실시예에 따른 차세대 네트워크 보안 방법은 사용자 단말(111, 112)이 네트워크를 통해 가입자 접속부(131)에 접속하면, 맥 인증 서버(150)에서 IP 주소와 맥 주소를 인증하고, 초기 패킷의 ID를 확보한다.
그러면, 보안 관리 장치(160)는 자동적으로 출발지 IP 주소의 변조 탐지 과정을 수행한다. 즉 IP 변조 탐지부(161)에서 IP 주소를 중개 게이트웨이(130)의 패킷 헤드 처리부(132)에서 전송받아 가입자 접속부(131)로 유입 또는 유출되는 패킷에 대해 IP 주소별 ID 시퀀스를 확인한다.(S101)
IP 변조 탐지부(161)는 IP 주소별로 ID가 1씩 증가하는 경우(마지막 순번인 경우, 1로 순환 포함)에 다음 패킷을 검사하고, ID가 1씩 증가하지 않는 경우(동일 경우, 2이상씩 증가하는 경우)에 프레그멘테이션 비트(fragmentation bit)를 판별한다.(S102, S103)
위에서, IP 주소별 ID 시퀀스가 1씩 증가하는 경우와 프레그멘테이션 비트가 프레그멘테이션 과정이면 IP 주소의 순번을 증가하여 다음 패킷을 검사하고, 프레그멘테이션 과정이 아니면 출발지 IP 주소가 변조된 대상 IP 주소 리스트로 선정한다.(S104, S105)
IP 변조 탐지부(161)는 위의 IP 주소 리스트를 탐색하여 ID 시퀀스의 일치 여부를 판별한다.(S106) 이때, 변조 대상 IP 주소 리스트에서 ID 시퀀스가 일치하는 것이 존재하지 않으면 TEAR DROP 패킷으로 보고한다.
여기서, TEAR DROP 패킷은 비정상 IP 프레그먼트를 보내면 타겟 호스트에서 UDP 데이터그램으로 결합할 때 타겟 호스트를 매우 불안정하게 하여 다운(DOWN)시킬 수 있는 패킷을 의미한다.
IP 변조 탐지부(161)는 변조 대상 IP 주소 리스트에서 ID 시퀀스가 일치하는 IP 주소가 존재하면 ID 시퀀스가 몇 회(N>0) 이상 일치하는 지를 검출한다.(S110)
이때, 변조 대상 IP 주소 리스트에서 ID 시퀀스가 시스템에서 정해진 횟수 이상으로 ID 시퀀스가 일치하면 이 IP 주소에 해당하는 패킷을 출발지 주소 변조 IP 패킷으로 보고한 후 다른 패킷을 검사하고, IP 주소 리스트에서 ID 시퀀스가 정해진 횟수 이내로 일치하면서 중지 명령어가 전달되면 출발지 주소가 변조된 IP 주소의 탐색 과정을 종료한다.(S111)
도 4는 IP 주소별 ID 시퀀스 검색을 통한 출발지 IP 주소가 변조된 패킷 탐색 과정을 설명하기 위한 것이다.
도 4를 참고하면, IP1이 초기 접속시 정상 인증을 받은 패킷이고, 동일 시스템에서 IP2를 변조하여 패킷을 발생한 후 IP1과 IP2를 동시에 중개 게이트웨이(130)로 유입한다.
IP 패킷의 ID 시퀀스가 각각의 IP 주소에 대해 1씩 증가하지 않고 두 IP 주소의 패킷이 합하여 1씩 증가하는 특성을 갖는다. 이러한 과정이 N회 이상 발생하면 두 패킷은 동일 시스템에서 발생한 확률이 거의 1에 가까우므로 출발지 주소가 변조된 패킷임을 알 수 있다.
도 5는 본 발명의 실시예에 따른 차세대 네트워크 보안 방법에서 역추적 및 차단 과정에 대한 순서도를 도시한 것이다.
도 5에 도시된 바와 같이, 중개 게이트웨이(130)의 사용자 단말에 IP 주소가 변조된 패킷에 의해 공격이 있는 경우에, 공격자의 IP 주소를 역추적하기 위해 역추적 및 차단부(162)는 데이터베이스에서 해당 네트워크의 맥 인증 서버(150)와 IP 변조 탐지부(161)를 통해 기획득한 출발지 IP 주소가 변조된 IP 주소 리스트를 검색하여 맥 주소를 추출한다.(S201, S202)
역추적 및 차단부(162)는 맥주소와 가입자의 위치정보를 위하여 공격자의 물리적 위치를 보고하고(S203), IP 변조 탐지부(161)에서 보고한 출발지 IP 주소가 변조된 IP 주소 리스트를 대상으로 관리자가 차단 패킷 리스트를 입력하고 패킷 차단 명령을 전송하면, 중개 게이트웨이(130)에서 소스 주소를 기반으로 패킷을 차단한다.(S204, S205)
이와 같이, 본 발명의 실시예에 따른 차세대 네트워크 보안 시스템 및 그 방법에서는 IP 헤드에 식별(ID) 필드가 존재하고, 이 식별 필드가 양의 임의의 초기치를 갖으면서 이후에 1씩 증가하는 특성을 이용한다.
따라서 본 발명의 실시예에서는 초기 사용자 단말(111, 112)의 인증시에 출발지 주소에 대한 ID 숫자를 기록하여 해당 주소의 패킷에 대하여 지속적으로 카운팅하면 해당 주소지에서 생성되는 패킷의 이상 유무를 판별할 수 있다. 특히, 사용자 단말(111, 112)의 인증이 성공적으로 수행된 후에 비정상 패킷이 발생하는 경우에 대해 패킷의 이상 유무를 감지할 수 있고, 다수의 장비를 경유하여 도착한 패킷에 대해서도 네트워크 내부의 경로만 일원화되어 있으면 검출이 용이하다.
네트워크 내부의 경로가 이원화되어 있는 경우에도 상호 협응을 통해 비정상 패킷의 오탐지를 방지하면서 패킷의 이상 유무를 검출할 수 있다.
이상에서 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 본 발명은 이에 한정되는 것은 아니며, 그 외의 다양한 변경이나 변형이 가능하다.
이와 같이, 본 발명에 의한 차세대 네트워크 보안 시스템 및 그 방법은 출발지 IP 주소가 변조된 패킷을 중개 게이트웨이와 같은 가입자 네트워크 접속 장치로부터 추출된 헤드정보에 의해 탐지하고 패킷에 대한 차단 명령에 따라 가입자 네트워크 접속 장치에서 해당 패킷을 차단할 수 있는 효과가 있다.
본 발명에 의한 차세대 네트워크 보안 시스템 및 그 방법은 초기 사용자 단말의 인증시 출발지 IP 주소 패킷의 ID 값을 획득하여 해당 출발지 IP 주소의 패킷에 대한 식별 연속성(즉, ID 시퀀스)을 검사하여 해당 주소지 패킷의 이상 유무를 검증하여 출발지 IP 주소가 변조된 공격성 패킷을 검출할 수 있는 효과가 있다.
본 발명에 의한 차세대 네트워크 보안 시스템 및 그 방법은 악의적인 네트워크 공격자의 IP 패킷을 분석하여 공격자의 IP 주소를 획득한 경우에 맥 인증 서버의 맥 주소 데이터베이스를 토대로 역추적하여 공격자의 물리적인 위치를 검출할 수 있는 효과가 있다.
본 발명에 의한 차세대 네트워크 보안 시스템 및 그 방법은 출발지 IP 주소가 변조된 패킷을 차단하고, 다수의 경로로 유입되는 트래픽을 협응적으로 판별하여 패킷의 이상 유무에 대한 오탐지를 방지할 수 있는 효과가 있다.
그로 인해, 본 발명에 의한 차세대 네트워크 보안 시스템 및 그 방법은 서비 스 지속성이 유지되고, 그에 따른 서비스 만족도 및 신뢰도를 증대시킬 수 있으며, 보안사고에 따른 네트워크 트래픽 폭주나 사고를 사전에 방지하여 네트워크의 여유 용량을 줄이고 보안에 필요한 비용을 절감할 수 있는 효과가 있다.

Claims (8)

  1. 사용자 단말기로부터 정상/비정상 패킷이 혼재되어 유입/유출되면, 맥(MAC) 인증을 수행하여 맥 주소, IP 주소, ID 시퀀스를 추출하는 맥 인증 서버;
    상기 사용자 단말기가 접속되고 상기 맥 인증 서버로부터 전송된 IP 패킷을 전송받아 상기 IP 패킷의 헤드 정보를 추출하는 가입자 네트워크 접속 장치; 및
    상기 맥 인증 서버와 가입자 네트워크 접속장치에서 해당 패킷 관련 정보를 전송받아 IP 패킷의 ID 시퀀스를 검사하여 IP 주소가 변조된 패킷을 검출하고, 상기 변조된 패킷의 차단/역추적을 수행하는 보안 관리 장치를 포함하고,
    상기 보안 관리 장치는,
    상기 맥 인증 서버가 추출한 IP 주소별 ID가 1씩 증가하면 다음 패킷을 검사하고, 상기 IP 주소별 ID가 1씩 증가하지 않으면 프레그멘테이션 비트의 판별 여부에 따라 출발지 주소 변조 대상 IP 주소로 선정하며, 선정된 출발지 주소 변조 대상 IP 주소들에 대해 IP 주소 리스트를 작성하고, 상기 IP 주소 리스트를 탐색하여 ID 시퀀스의 일치 유무를 판별하며, 상기 IP 주소 리스트에서 ID 시퀀스가 일치하는 IP 주소가 없으면 테어드랍(TEAR DROP) 패킷으로 보고하고, 상기 IP 주소 리스트에서 ID 시퀀스가 일치하는 IP 주소가 존재하면 상기 ID 시퀀스의 일치 횟수를 검출하여 상기 IP 주소와 ID 시퀀스의 일치 횟수가 정해진 횟수 이상 일치하면 출발지 주소 변조 패킷으로 보고한 후 다른 패킷을 검사하는 차세대 네트워크 보안 시스템.
  2. 제1항에 있어서,
    상기 가입자 네트워크 접속장치는 사용자 단말과 네트워크를 경유하여 접속되면 유입되는 트래픽에서 패킷 헤드 정보를 추출하고, 출발지 IP 주소가 변조된 패킷의 차단 명령에 따라 상기 패킷을 차단하는 패킷 헤드 처리부를 포함하는 차세대 네트워크 보안 시스템.
  3. 제1항에 있어서,
    상기 보안 관리 장치는,
    상기 맥 인증 서버와 가입자 네트워크 접속 장치에서 맥 주소, 출발지 IP 주 소, 식별 연속성(ID 시퀀스)에 대한 정보를 전송받아 이 정보들을 토대로 IP 패킷의 ID 시퀀스의 이상 여부를 검출하여 출발지 IP 주소가 변조된 IP 주소 리스트를 추출하는 IP 변조 탐지부; 및
    상기 IP 변조 탐지부에서 추출한 IP 주소 리스트를 통해 해당 패킷을 차단하거나 상기 변조된 패킷을 역추적하여 공격자의 물리적 위치를 탐색하는 역추적 및 차단부
    를 포함하는 차세대 네트워크 보안 시스템.
  4. 맥 인증 서버 및 가입자 네트워크 접속장치와 체계적으로 연결되어 불법 침입을 탐색 및 차단하는 차세대 네트워크 보안 방법에 있어서,
    a) 사용자 단말이 네트워크 접속시, 맥 인증 서버를 통해 IP 주소와 맥 주소를 인증하고 초기 패킷의 ID를 확보하는 단계;
    b) 상기 사용자 단말이 가입자 네트워크 접속장치에 접속되면, 상기 가입자 네트워크 접속장치로부터 상기 사용자 단말에서 유입/유출되는 트래픽의 패킷 헤드 정보를 추출하는 단계;
    c) 상기 a) 단계와 b) 단계를 통해 확보한 상기 패킷의 IP 주소와 헤드 정보를 토대로 IP 헤드를 검사하여 IP 주소별 ID 시퀀스를 확인하는 단계; 및
    d) 상기 c) 단계를 통해 출발지 IP 주소가 변조된 IP 주소 리스트를 검색하고 선택적으로 상기 변조된 패킷을 차단하거나 공격자의 물리적인 위치를 역추적하는 단계를 포함하고,
    상기 c) 단계는,
    c-1) 상기 IP 주소별 ID가 1씩 증가하면 다음 패킷을 검사하고, 상기 IP 주소별 ID가 1씩 증가하지 않으면 프레그멘테이션 비트를 판별 여부에 따라 출발지 주소 변조 대상 IP 주소로 선정하는 단계;
    c-2) 상기 c-1) 단계에서 선정된 출발지 주소 변조 대상 IP 주소들에 대해 IP 주소 리스트를 작성하고, 상기 IP 주소 리스트를 탐색하여 ID 시퀀스의 일치 유무를 판별하는 단계;
    c-3) 상기 c-2) 단계에서 상기 IP 주소 리스트에서 ID 시퀀스가 일치하는 IP 주소가 없으면 테어드랍(TEAR DROP) 패킷으로 보고하고, 상기 IP 주소 리스트에서 ID 시퀀스가 일치하는 IP 주소가 존재하면 상기 ID 시퀀스의 일치 횟수를 검출하는 단계; 및
    c-4) 상기 c-3) 단계에서 상기 IP 주소와 ID 시퀀스의 일치 횟수가 정해진 횟수 이상 일치하면 출발지 주소 변조 패킷으로 보고한 후 다른 패킷을 검사하는 단계
    를 포함하는 차세대 네트워크 보안 방법.
  5. 삭제
  6. 제4항에 있어서,
    상기 c-4) 단계는, 상기 IP 주소와 ID 시퀀스의 일치 횟수가 정해진 횟수 이하이면 탐색 중지 명령이 전달될 때까지 다음 패킷을 검사하는 차세대 네트워크 보안 방법.
  7. 제4항에 있어서,
    상기 d) 단계는,
    d-1) 상기 공격자의 IP 주소를 획득하고 상기 맥 인증 서버와 기획득한 출발지 IP 주소가 변조된 IP 주소 리스트를 검색하여 해당 맥주소를 검색하는 단계; 및
    d-2) 상기 d-1) 단계에서 검색한 맥주소와 가입자의 위치 정보를 이용하여 공격자의 물리적 위치를 찾아 보고하는 단계
    를 포함하는 차세대 네트워크 보안 방법.
  8. 제4항에 있어서,
    상기 d) 단계는, 상기 출발지 IP 주소가 변조된 IP 주소 리스트를 대상으로 관리자가 차단 패킷 리스트를 입력하고 패킷 차단 명령을 전송하면, 상기 가입자 네트워크 접속 장치에서 소스 주소를 기반으로 패킷을 차단하는 차세대 네트워크 보안 방법.
KR1020040016121A 2004-03-10 2004-03-10 차세대 네트워크 보안 관리 시스템 및 그 방법 KR101022787B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040016121A KR101022787B1 (ko) 2004-03-10 2004-03-10 차세대 네트워크 보안 관리 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040016121A KR101022787B1 (ko) 2004-03-10 2004-03-10 차세대 네트워크 보안 관리 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20050090848A KR20050090848A (ko) 2005-09-14
KR101022787B1 true KR101022787B1 (ko) 2011-03-17

Family

ID=37272741

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040016121A KR101022787B1 (ko) 2004-03-10 2004-03-10 차세대 네트워크 보안 관리 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101022787B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100613904B1 (ko) * 2004-11-04 2006-08-21 한국전자통신연구원 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법
KR101145771B1 (ko) * 2010-06-21 2012-05-16 한국전자통신연구원 Ip 기반 필터링 장치 및 방법, 그리고 합법 사용자 선별 장치 및 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020005440A (ko) * 2000-07-06 2002-01-17 윤종용 미디어 억세스 제어 어드레스에 의한 통신제한 방법
KR20030052843A (ko) * 2001-12-21 2003-06-27 주식회사 케이티 네트웍 침입자 역추적 시스템 및 방법
WO2003073724A2 (en) * 2002-02-20 2003-09-04 Deep Nines, Inc. System and method for detecting and eliminating ip spoofing in a data transmission network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020005440A (ko) * 2000-07-06 2002-01-17 윤종용 미디어 억세스 제어 어드레스에 의한 통신제한 방법
KR20030052843A (ko) * 2001-12-21 2003-06-27 주식회사 케이티 네트웍 침입자 역추적 시스템 및 방법
WO2003073724A2 (en) * 2002-02-20 2003-09-04 Deep Nines, Inc. System and method for detecting and eliminating ip spoofing in a data transmission network

Also Published As

Publication number Publication date
KR20050090848A (ko) 2005-09-14

Similar Documents

Publication Publication Date Title
CN110445770B (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
CN101136922B (zh) 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统
US7017186B2 (en) Intrusion detection system using self-organizing clusters
CN100443910C (zh) 主动网络防护系统与方法
EP1244967B1 (en) Method for automatic intrusion detection and deflection in a network
US7222366B2 (en) Intrusion event filtering
KR100456635B1 (ko) 분산 서비스 거부 공격 대응 시스템 및 방법
US7409712B1 (en) Methods and apparatus for network message traffic redirection
KR101217647B1 (ko) 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치
US8776217B2 (en) Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis
US20040073800A1 (en) Adaptive intrusion detection system
CN100435513C (zh) 网络设备与入侵检测系统联动的方法
JP2005517349A (ja) マルチメッソドゲートウエイに基づいたネットワークセキュリティシステム及び方法
KR20010090014A (ko) 네트워크 보호 시스템
KR20080026122A (ko) 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법
CN113259349A (zh) 一种轨道交通控制网络的监测方法及装置
US20040233849A1 (en) Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture
KR101022787B1 (ko) 차세대 네트워크 보안 관리 시스템 및 그 방법
KR101551537B1 (ko) 정보유출방지장치
KR100613904B1 (ko) 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법
Badea et al. Computer network vulnerabilities and monitoring
KR20050095147A (ko) 침해유형별 시나리오를 고려한 침입방어장치 및 그 방법
Prabhu et al. Network intrusion detection system
Hofbauer et al. CDRAS: An approach to dealing with Man-in-the-Middle attacks in the context of Voice over IP
CN115412922A (zh) 一种区块链辅助的数据鹰眼网络功能

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140303

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150302

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160229

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170322

Year of fee payment: 7