KR101039092B1 - Method for protecting and isolating host in internet protocol version 6 network - Google Patents

Method for protecting and isolating host in internet protocol version 6 network Download PDF

Info

Publication number
KR101039092B1
KR101039092B1 KR1020110006409A KR20110006409A KR101039092B1 KR 101039092 B1 KR101039092 B1 KR 101039092B1 KR 1020110006409 A KR1020110006409 A KR 1020110006409A KR 20110006409 A KR20110006409 A KR 20110006409A KR 101039092 B1 KR101039092 B1 KR 101039092B1
Authority
KR
South Korea
Prior art keywords
host
network
information
security policy
ndp
Prior art date
Application number
KR1020110006409A
Other languages
Korean (ko)
Inventor
서승호
문해은
이동호
Original Assignee
(주)넷맨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)넷맨 filed Critical (주)넷맨
Priority to KR1020110006409A priority Critical patent/KR101039092B1/en
Application granted granted Critical
Publication of KR101039092B1 publication Critical patent/KR101039092B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: A host protection and isolation method in an IPv6 is provide to protect an important host and isolate the host from a host which is not verified or violates to a network security policy. CONSTITUTION: A link-layer address initially using a corresponding IP is set to a link-layer address which must be protected(S101). Information is obtained by capturing a packet is generated from a network through an agent(S103). The obtained information is determined whether an IP of a host which host protective policy is set(S105). The captured packet is protected to continuously communicate with a host set the host protective policy if an IP of the host which protective policy is set(S107).

Description

IPv6 네트워크 내 호스트 보호 및 격리방법{Method for protecting and isolating host in Internet Protocol Version 6 network}Method and apparatus for protecting and isolating hosts in an IPv6 network [

본 발명은 IPv6 네트워크 내 호스트 보호 및 격리방법에 관한 것이다.The present invention relates to a host protection and isolation method in an IPv6 network.

일반적으로, 32bit 주소체계인 IPv4의 고갈이 점차 현실화 되어가고 있다.In general, the depletion of IPv4, which is a 32-bit address system, is gradually becoming a reality.

한국인터넷 진흥원 IPv6포탈(http://www.vsix.net)의 정보를 인용하면 IP주소 신규할당 중단 예상 시점이 2010년 12월 1일 현재 약 93일 후로 보고 있으며, 주소고갈을 인지한 많은 기업 및 관공서에서는 이미 IPv4 네트워크 망에서 IPv6 네트워크 망으로의 전환사업이 진행되고 있어 IPv6를 사용하는 곳이 점점 늘고 있는 추세이다.When we cite the information of IPv6 Internet portal (http://www.vsix.net) of Korea Internet Promotion Agency, the estimated time of stopping IP address assignment is about 93 days as of December 1, 2010, and many companies And government offices are already in the process of transitioning from IPv4 network to IPv6 network, and IPv6 is being used more and more.

IPv6망으로 전환하기 위해서는 기본적으로 네트워크 장비, 소프트웨어, PC등이 IPv6를 지원하거나 IPv4를 IPv6로 변환하는 기능이 지원되어야 한다.In order to switch to IPv6 network, network equipment, software, and PC should basically support IPv6 or convert IPv4 to IPv6.

또한, 네트워크 관리의 부분에서 IPv6망 전환을 생각하게 되면 기존에 IPv4에서 네트워크를 관리하기 위해서 사용되었던 소프트웨어 및 하드웨어가 IPv6를 지원해야 한다.Also, in the network management part, considering the transition to IPv6 network, the software and hardware used for managing the network in IPv4 should support IPv6.

IPv6로 변경하는 가장 큰 이유는 IPv4의 주소 고갈이기 때문이며 IPv4와 같이 여전히 IP충돌, 바이러스 및 해킹에 의한 내부 네트워크 자원의 위협이 존재하기 때문이다.The biggest reason for changing to IPv6 is because of IPv4 address exhaustion, and there is still threat of internal network resources due to IP collision, virus and hacking like IPv4.

최근에는, 이를 해결하기 위해 IPv6네트워크에서 IP도용이 발생하였을 때 중요 호스트 및 네트워크 장비를 보호하고 인증되지 않은 호스트이거나 네트워크 보안정책에 위배되는 호스트에 대해서는 격리를 수행하여 IPv6네트워크에서 보다 안정적인 서비스와 한 단계 높은 보안환경을 구현하기 위한 연구가 지속적으로 행해져 오고 있는 상황이다.
Recently, in order to solve this problem, when IP theft occurs in IPv6 network, it protects important host and network equipment, isolates host which is not authenticated host or violates network security policy, Researches are being continuously carried out to realize a high level security environment.

본 발명의 목적은, IPv6네트워크에서 IP충돌이 발생하였을 때 중요 호스트를 보호하고 인증되지 않은 호스트이거나 네트워크 보안정책에 위배되는 호스트에 대해서는 격리를 수행하여 IPv6네트워크에서 보다 안정적인 서비스와 한 단계 높은 보안환경을 구축시키는 데에 있다.
It is an object of the present invention to protect an important host when an IP collision occurs in an IPv6 network and to isolate a host that is not authenticated or violates a network security policy to provide a more stable service and a higher security environment And the like.

이러한 목적을 달성하기 위하여 본 발명은 보호가 필요한 호스트에 대해서 호스트 보호정책을 설정하는 호스트 보호정책 설정단계; 에이전트를 통해 네트워크에서 발생되는 패킷을 캡쳐하여 정보를 획득하는 정보 획득 단계; 정보 획득 단계를 통해 획득된 정보가 호스트 보호정책 설정단계를 통해 호스트 보호정책이 설정된 호스트의 IP를 도용하는지를 판정하는 IP 도용 판정단계; 및 정보 획득 단계를 통해 캡쳐된 패킷이 IP 도용 판정단계를 통해 호스트 보호정책이 설정된 호스트의 IP를 도용하는 것으로 판정하면, 호스트 보호정책이 설정된 호스트가 지속적으로 통신이 될 수 있도록 보호하는 호스트 보호단계를 포함한다.To achieve these and other advantages and in accordance with the purpose of the present invention, as embodied and broadly described herein, there is provided a host protection policy setting method comprising: setting a host protection policy for a host requiring protection; An information acquiring step of acquiring information by capturing a packet generated in a network through an agent; An IP stealing determining step of determining whether the information acquired through the information acquiring step steals the IP of the host on which the host protection policy is set through the host protection policy setting step; And a host protection step of protecting a host configured with a host protection policy so as to continuously communicate when a packet captured through the information acquisition step determines that the IP of the host to which the host protection policy is set is stolen through the IP theft determination step .

본 발명의 다른 특징에 따르면, 호스트 보호정책 설정단계는 호스트 보호정책을 보호 호스트의 IP어드레스, link-layer address, netbios name, netbios group, 정책 시작 일시, 정책 만료 일시, 주간 스케줄에 따른 정책 적용여부, 시간 스케줄에 따른 정책 적용여부, 정책 만료 후 동작 설정 중 적어도 하나를 사용하여 제공하는 단계이다.According to another aspect of the present invention, the step of establishing the host protection policy comprises the steps of: applying the host protection policy to the IP address of the protection host, link-layer address, netbios name, netbios group, policy start date and time, policy expiration date and time, , Whether or not the policy is applied according to the time schedule, and the operation setting after the policy expiration.

본 발명의 또 다른 특징에 따르면, 호스트 보호정책 설정단계는 link-layer address을 적어도 하나 이상으로 설정하거나, link-layer address가 설정되지 않을 경우 호스트 보호정책을 설정한 후에 해당 IP를 최초로 사용하는 link-layer address를 보호할 link-layer address로 설정하는 단계이다.According to another aspect of the present invention, the step of establishing a host protection policy includes setting at least one link-layer address, setting a host protection policy if a link-layer address is not set, -layer Set the address to the link-layer address to be protected.

본 발명의 또 다른 특징에 따르면, 정보 획득 단계는 통신을 위해 네트워크에 접속된 에이전트의 NIC(Network Interface Card)를 이용하여 네트워크에서 발생되는 패킷을 캡쳐하거나, 네트워크에서 발생되는 패킷을 모니터링 할 수 있도록 설정된 포트에 접속된 에이전트의 NIC(Network Interface Card)를 이용하여 네트워크에서 발생되는 패킷을 캡쳐함으로써 정보를 획득하는 단계이다.According to another aspect of the present invention, the information acquiring step may include a step of acquiring a packet generated in the network using a network interface card (NIC) of an agent connected to the network for communication, or monitoring a packet generated in the network And acquiring information by capturing a packet generated in the network using an NIC (Network Interface Card) of an agent connected to the set port.

본 발명의 또 다른 특징에 따르면, 정보 획득 단계는 패킷을 IPv6 패킷 또는 ICMPv6패킷중 적어도 하나를 제공하는 단계이다.According to another aspect of the present invention, the information obtaining step is a step of providing a packet with at least one of an IPv6 packet or an ICMPv6 packet.

본 발명의 또 다른 특징에 따르면, IP 도용 판정단계는 호스트 보호정책에 설정된 값과 정보 획득 단계를 통해 캡쳐된 패킷의 Ethernet header source link-layer address, Ethernet header destination link-layer address, IPv6 header source address, IPv6 header destination address, ICMPv6 header type, ICMPv6 header target address, ICMPv6 header target link-layer address 중 적어도 하나를 참조하여 호스트 보호정책이 설정된 호스트의 IP를 도용하는지를 판정하는 단계이다.According to another aspect of the present invention, the IP stealing determining step determines a value of the host protection policy based on the value set in the host protection policy, the Ethernet header source link-layer address of the packet captured through the information obtaining step, , The IPv6 header destination address, the ICMPv6 header type, the ICMPv6 header target address, and the ICMPv6 header target link-layer address to determine whether the IP of the host to which the host protection policy is set is stolen.

본 발명의 또 다른 특징에 따르면, 호스트 보호단계는 정보 획득 단계를 통해 캡쳐된 패킷이 IP 도용 판정 단계를 통해 호스트 보호정책이 설정된 호스트의 IP를 도용하는 것으로 판정하면, DAD(Duplicate Address Detection) 동작을 이용하여 IP도용 호스트에 IP충돌이 발생했음을 알리는 NDP(Neighbor Discovery Protocol) 패킷을 IP도용 호스트에 전송함으로써, IP도용 호스트가 IP설정에 실패하도록 만드는 단계이다.According to another aspect of the present invention, the host protection step includes a Duplicate Address Detection (DAD) operation when the packet captured through the information obtaining step determines that the IP of the host configured with the host protection policy is stolen through the IP theft determination step (NDP) packet to the IP stolen host notifying the IP stolen host of the occurrence of the IP collision, thereby causing the IP stolen host to fail the IP setting.

본 발명의 또 다른 특징에 따르면, 호스트 보호단계는 정보 획득 단계를 통해 캡쳐된 패킷이 IP 도용 판정 단계를 통해 호스트 보호정책이 설정된 호스트의 IP를 도용하는 것으로 판정하면, 호스트 보호정책이 설정된 호스트의 NDP 정보를 네트워크 내 호스트들에게 전송하여 네트워크 내 호스트들의 NDP 캐시정보를 업데이트하는 방법 또는 IP도용 호스트에게 네트워크 내 호스트들의 변조된 NDP 정보를 전송하여 IP도용 호스트의 NDP 캐시정보를 업데이트하는 방법중 적어도 하나의 방법을 사용함으로써, 네트워크 내 호스트들과 통신을 불가능하게 하거나, IP도용 호스트가 IP설정에 실패하도록 만드는 단계이다.According to another aspect of the present invention, in the host protection step, when the packet captured through the information obtaining step determines that the IP of the host configured with the host protection policy is stolen through the IP theft determination step, A method of updating the NDP cache information of the hosts in the network by transmitting the NDP information to the hosts in the network or a method of updating the NDP cache information of the IP theft host by transmitting the modulated NDP information of the hosts in the network to the IP theft host By using one method, the communication with the hosts in the network is disabled, or the IP stealing host fails to set the IP.

본 발명의 또 다른 특징에 따르면, 호스트 보호단계는 호스트 보호정책이 설정된 호스트의 NDP 정보를 네트워크 내부 호스트들이 해당 패킷을 수신한 후에, 자신의 NDP 캐시정보를 호스트 보호정책에 설정된 호스트 IP와 link-layer address로 업데이트하여 보호 호스트와 지속적인 통신이 가능하도록 제공하는 단계이다.According to another aspect of the present invention, in the host protection step, after the NDP information of the host in which the host protection policy is set is received by the internal hosts of the network, the NDP cache information of the NDP information is linked to the host IP set in the host protection policy, layer address to provide continuous communication with the protection host.

본 발명의 또 다른 특징에 따르면, 호스트 보호단계는 네트워크 내 호스트들의 변조된 NDP 정보를 IP도용 호스트가 해당 패킷을 수신한 후에, 자신의 네트워크 내 호스트들의 NDP 캐시정보를 에이전트 link-layer address 또는 해당 네트워크 내부에 존재하지 않는 link-layer address중 적어도 하나로 업데이트하여 IP도용 호스트의 네트워크 접근을 차단하는 단계이다.According to another aspect of the present invention, in the host protection step, after receiving the packet, the NDP information of the hosts in the network is transmitted to the agent link-layer address or the corresponding And the link-layer address not existing in the network to block the network access of the IP theft host.

본 발명의 또 다른 특징에 따르면, 호스트 보호단계는 NDP에 해당하는 ICMPv6 header type의 값을 Router Advertisements, Router Solicitation, Neighbor Solicitation, Neighbor Advertisement, Redirect중 적어도 하나를 사용하여 제공하는 단계이다.According to another aspect of the present invention, the host protection step is a step of providing a value of an ICMPv6 header type corresponding to the NDP using at least one of Router Advertisements, Router Solicitation, Neighbor Solicitation, Neighbor Advertisement, and Redirect.

본 발명의 또 다른 특징에 따르면, 호스트 보호단계는 호스트 보호정책이 설정된 호스트의 보호 상태를 유지하기 위해 주기적으로 수행되거나, 정보 획득 단계를 통해 IP도용 호스트의 네트워크 접근 시도가 감지될 때마다 수행하는 단계이다.According to another aspect of the present invention, the host protection step is performed periodically in order to maintain the protection state of the host in which the host protection policy is set, or every time when the network access attempt of the IP theft host is detected through the information acquisition step .

본 발명의 또 다른 특징에 따르면, 네트워크 내 접근 가능한 호스트를 정의하는 네트워크 보안정책 설정단계; 에이전트를 통해 네트워크에서 발생되는 패킷을 캡쳐하여 정보를 획득하는 정보 획득 단계; 정보 획득 단계를 통해 획득된 정보가 네트워크 보안정책 설정단계를 통해 네트워크 보안정책이 만족하는지를 판정하는 네트워크 보안정책 판정단계; 및 네트워크 보안정책 판정단계를 통해 네트워크 보안정책이 만족하지 않는다고 판정하면, 호스트의 네트워크 접근을 제한하고 무결성에 위배되는 호스트 또는 무결성에 위배되는 호스트가 접근 가능한 네트워크만 접근할 수 있도록 격리하는 호스트 격리단계를 포함한다.According to still another aspect of the present invention, there is provided a network security policy setting step of defining a network accessible host in a network; An information acquiring step of acquiring information by capturing a packet generated in a network through an agent; A network security policy determination step of determining whether the information acquired through the information acquisition step satisfies the network security policy through the network security policy setting step; And a host isolation step of isolating a host that is not in conformity with the integrity or that is in violation of the integrity so that only a network accessible by the host can be accessed, when the network security policy is determined to be unsatisfactory through the network security policy determination step .

본 발명의 또 다른 특징에 따르면, 호스트 격리단계 이후에, 네트워크 보안정책 판정단계를 통해 네트워크 보안정책이 만족한다고 판정하면, 호스트 격리단계를 통해 격리된 호스트를 해제하는 호스트 격리 해제단계를 더 수행한다.According to another aspect of the present invention, when the network security policy is determined to be satisfied through the network security policy determination step after the host isolation step, the host isolation step is further performed to release the isolated host through the host isolation step .

본 발명의 또 다른 특징에 따르면, 네트워크 보안정책 설정단계는 네트워크 보안정책을 무결성 검증과, 보안정책 적용 네트워크, 보안정책 적용 호스트IP, 보안정책 적용 호스트 link-layer address 리스트, 보안정책 적용 예외 네트워크, 보안정책 적용 예외 호스트IP, 보안정책 적용 예외 호스트 link-layer address 리스트, 보안정책 예외 장비 타입, 무결성에 위배되는 호스트가 접근 가능한 네트워크, 무결성에 위배되는 호스트가 접근 가능한 호스트IP, 무결성에 위배되는 호스트가 접근 가능한 호스트 link-layer address 리스트중 적어도 하나를 사용하여 제공하는 단계이다.According to another aspect of the present invention, a network security policy setting step includes: a network security policy management step of performing integrity verification, a security policy application network, a security policy application host IP, a security policy application host link-layer address list, Security policy enforcement exception host IP, security policy enforcement exception host link-layer address list, security policy exception type, integrity-violating host-accessible network, untrusted host-accessible host IP, Using at least one of a list of accessible host link-layer addresses.

본 발명의 또 다른 특징에 따르면, 네트워크 보안정책 설정단계는 무결성 검증을 사용자 인증 여부, 프로그램 설치 여부, 프로그램 동작여부, OS및 프로그램 패치 여부, 바이러스 검출 여부, 이상 트래픽 발생 여부중 적어도 하나를 사용하여 제공하는 단계이다.According to another aspect of the present invention, the network security policy setting step may include at least one of integrity verification using at least one of whether or not user authentication, program installation, program operation, OS and program patching, virus detection, .

본 발명의 또 다른 특징에 따르면, 정보 획득 단계는 패킷을 IPv6 패킷 또는 ICMPv6패킷중 적어도 하나를 제공하는 단계이다.According to another aspect of the present invention, the information obtaining step is a step of providing a packet with at least one of an IPv6 packet or an ICMPv6 packet.

본 발명의 또 다른 특징에 따르면, 네트워크 보안정책 판정단계는 네트워크 보안정책에 설정된 값과 정보 획득 단계를 통해 캡쳐된 패킷의 Ethernet header source link-layer address, Ethernet header destination link-layer address, IPv6 header source address, IPv6 header destination address, ICMPv6 header type, ICMPv6 header target address, ICMPv6 header target link-layer address중 적어도 하나를 참조하여 네트워크 보안정책이 만족하는지를 판정하는 단계이다.According to another aspect of the present invention, a network security policy determination step may include determining a network security policy based on a value set in the network security policy, an Ethernet header source link-layer address of the packet captured through the information obtaining step, address, an IPv6 header destination address, an ICMPv6 header type, an ICMPv6 header target address, and an ICMPv6 header target link-layer address to determine whether the network security policy is satisfied.

본 발명의 또 다른 특징에 따르면, 호스트 격리단계는 네트워크 보안정책에 위배되는 격리 호스트의 변조 NDP 정보를 네트워크 내 호스트들에게 전송하여 네트워크 내 호스트들의 NDP 캐시정보를 업데이트하는 방법 또는 격리 호스트에게 네트워크 내 호스트들의 변조된 NDP 정보를 전송하여 격리 호스트의 NDP 캐시정보를 업데이트하는 방법중 적어도 하나의 방법을 사용함으로써, 호스트를 격리하는 단계이다.According to another aspect of the present invention, the host isolation step may include a method of updating the NDP cache information of the hosts in the network by transmitting the modulated NDP information of the quarantine host that violates the network security policy to the hosts in the network, And isolating the host by using at least one of the methods of transmitting the modulated NDP information of the hosts to update the NDP cache information of the quarantine host.

본 발명의 또 다른 특징에 따르면, 호스트 격리단계는 네트워크 보안정책에 위배되는 격리 호스트의 변조 NDP 정보를 네트워크 내부 호스트들이 해당 패킷을 수신한 후에, 자신의 격리 호스트 NDP 캐시정보를 에이전트 link-layer address 또는 네트워크 내에 존재하지 않는 link-layer address로 업데이트하여 격리 호스트와 네트워크 내 호스트들의 통신을 차단하는 단계이다.According to another aspect of the present invention, in the host isolation step, after receiving the modulated NDP information of the quarantine host that violates the network security policy, the internal host of the network sends the quarantine host NDP cache information to the agent link-layer address Or a link-layer address that does not exist in the network, thereby blocking communication between the quarantine host and the hosts in the network.

본 발명의 또 다른 특징에 따르면, 호스트 격리단계는 격리 호스트에게 네트워크 내 호스트들의 변조된 NDP 정보를 전송하면, 격리 호스트가 해당 패킷을 수신한 후에, 자신의 네트워크 내 호스트들의 NDP 캐시정보를 에이전트 link-layer address 또는 네트워크 내에 존재하지 않는 link-layer address로 업데이트하여 격리 호스트와 네트워크 내 호스트들의 통신을 차단하는 단계이다.According to another aspect of the present invention, the host isolation step transmits modulated NDP information of the hosts in the network to the quarantine host. After the quarantine host receives the packet, the NDP cache information of the hosts in the network is transmitted to the agent link -layer address or a link-layer address that does not exist in the network to block communication between the quarantine host and the hosts in the network.

본 발명의 또 다른 특징에 따르면, 호스트 격리 해제단계는 격리 호스트의 정상적인 NDP 정보를 네트워크 내 호스트들에게 전송하여 네트워크 내 호스트들의 NDP 캐시정보를 업데이트하는 방법 또는 격리 호스트에게 네트워크 내 호스트들의 정상적인 NDP 정보를 전송하여 격리 호스트의 NDP 캐시정보를 업데이트하는 방법중 적어도 하나의 방법을 사용함으로써, 격리된 호스트를 해제하는 단계이다.According to another aspect of the present invention, the step of releasing the host isolation step may include a method of updating the NDP cache information of the hosts in the network by transmitting the normal NDP information of the quarantine host to the hosts in the network, To update the NDP cache information of the quarantine host by using at least one method of releasing the quarantined host.

본 발명의 또 다른 특징에 따르면, 호스트 격리단계는 NDP에 해당하는 ICMPv6 header type의 값을 Router Advertisements, Router Solicitation, Neighbor Solicitation, Neighbor Advertisement, Redirect중 적어도 하나를 사용하여 제공하는 단계이다.According to another aspect of the present invention, the step of isolating the host is a step of providing the value of the ICMPv6 header type corresponding to the NDP using at least one of Router Advertisements, Router Solicitation, Neighbor Solicitation, Neighbor Advertisement, and Redirect.

본 발명의 또 다른 특징에 따르면, 호스트 격리 해제단계는 NDP에 해당하는 ICMPv6 header type의 값을 Router Advertisements, Router Solicitation, Neighbor Solicitation, Neighbor Advertisement, Redirect중 적어도 하나를 사용하여 제공하는 단계이다.According to another aspect of the present invention, the step of releasing the host isolation step is a step of providing the value of the ICMPv6 header type corresponding to the NDP using at least one of Router Advertisements, Router Solicitation, Neighbor Solicitation, Neighbor Advertisement, and Redirect.

본 발명의 또 다른 특징에 따르면, 호스트 격리단계는 격리 호스트와 네트워크 내 호스트들로부터 수신된 패킷을 에이전트 또는 에이전트를 관리하는 매니저가 분석하여 무결성에 위배되는 호스트가 접근 가능한 호스트 또는 무결성에 위배되는 호스트가 접근 가능한 네트워크일 경우에, 패킷 릴레이를 통해 격리 호스트와 무결성에 위배되는 호스트가 접근 가능한 호스트 또는 무결성에 위배되는 호스트가 접근 가능한 네트워크와의 통신을 가능하도록 하는 단계이다.According to another aspect of the present invention, in the host isolation step, a packet received from the quarantine host and the hosts in the network is analyzed by the manager managing the agent or the agent, so that a host that is incompatible with the host can access, Is a step of allowing a host that is incompatible with the quarantine host to communicate with an accessible host or a network that can be accessed by a host that is incompatible with the integrity through packet relay.

본 발명의 또 다른 특징에 따르면, 호스트 격리단계는 네트워크 보안정책이 설정된 격리 호스트의 격리 상태를 유지하기 위해서 주기적으로 수행되거나, 정보 획득 단계를 통해 격리 호스트의 통신 시도가 감지될 때마다 수행하는 단계이다.
According to another aspect of the present invention, the host isolation step may be performed periodically in order to maintain the isolation state of the isolation host in which the network security policy is set, or each time a communication attempt of the isolation host is detected through the information acquisition step to be.

상기한 바와 같이 이루어진 본 발명의 IPv6 네트워크 내 호스트 보호 및 격리방법에 따르면, 다음과 같은 효과를 얻을 수 있다.According to the host protection and isolation method in the IPv6 network of the present invention as described above, the following effects can be obtained.

IPv6네트워크에서 IP충돌이 발생하였을 때 중요 호스트를 보호하고 인증되지 않은 호스트이거나 네트워크 보안정책에 위배되는 호스트에 대해서는 격리를 수행하여 IPv6네트워크에서 보다 안정적인 서비스와 한 단계 높은 보안환경을 구축시키는 효과가 있다.
It is effective to protect important hosts when an IP conflict occurs in an IPv6 network, to isolate hosts that are not authenticated or violate the network security policy, and to establish a more stable service and a higher security environment in an IPv6 network .

도 1은 본 발명의 제 1 실시예에 따른 IPv6 네트워크 내 호스트 보호 방법을 통해 IPv6 네트워크 내 호스트의 보호동작을 수행하는 흐름도이다.
도 2는 본 발명의 제 1 실시예에 따른 모니터링 모드를 사용하여 패킷을 획득하기 위한 방법을 나타낸 구성도이다.
도 3은 본 발명의 제 1 실시예에 따른 모니터링 모드를 사용했을 때 네트워크 내 패킷 흐름 상태를 나타낸 구성도이다.
도 4는 본 발명의 제 1 실시예에 따른 보호 호스트의 IP도용을 시도하는 상황을 나타낸 구성도이다.
도 5는 본 발명의 제 1 실시예에 따른 보호 호스트의 NDP정보를 네트워크에 전송하고 네트워크 내 호스트들의 변조 NDP를 IP도용 호스트에게 전송하여 보호 호스트와 통신이 지속적으로 되도록 하는 방법을 나타낸 구성도이다.
도 6은 본 발명의 제 1 실시예에 따른 보호 호스트 보호와 IP도용 호스트 차단을 수행하고 난 이후의 상태에 대해서 나타낸 구성도이다.
도 7은 본 발명의 제 2 실시예에 따른 IPv6 네트워크 내 호스트 격리 방법을 통해 IPv6 네트워크 내 호스트의 격리동작을 수행하고, 네트워크 보안정책이 만족한다고 판정하면 격리된 호스트를 해제하는 동작을 수행하는 흐름도이다.
도 8은 본 발명의 제 2 실시예에 따른 호스트의 격리를 위해 격리 호스트의 변조된 NDP를 네트워크 내 호스트들에게 전송하고 네트워크 내 호스트들의 변조된 NDP정보를 격리 호스트에게 전송하는 상황을 나타낸 구성도이다.
도 9는 본 발명의 제 2 실시예에 따른 격리 호스트에 대한 격리동작 수행 이후의 상태에 대해서 나타낸 구성도이다.1 is a flowchart illustrating a method for protecting a host in an IPv6 network through a host protection method in an IPv6 network according to a first embodiment of the present invention.
2 is a block diagram illustrating a method for acquiring a packet using the monitoring mode according to the first embodiment of the present invention.
3 is a block diagram illustrating a packet flow state in a network when the monitoring mode according to the first embodiment of the present invention is used.
FIG. 4 is a configuration diagram illustrating an attempt to use IP of a protection host according to the first embodiment of the present invention.
5 is a diagram illustrating a method of transmitting NDP information of a protection host according to the first embodiment of the present invention to a network and transmitting a modulated NDP of hosts in the network to an IP hashing host so that communication with the protection host is maintained .
FIG. 6 is a configuration diagram illustrating a state after performing protection host protection and IP blocking host blocking according to the first embodiment of the present invention. FIG.
FIG. 7 is a flowchart illustrating an operation of performing an isolation operation of a host in an IPv6 network through a host isolation method in an IPv6 network according to a second embodiment of the present invention, and releasing an isolated host when it is determined that the network security policy is satisfied to be.
FIG. 8 is a diagram illustrating a state in which a modulated NDP of a quarantine host is transmitted to hosts in a network for isolation of a host according to a second embodiment of the present invention, and the modulated NDP information of hosts in the network is transmitted to the quarantine host to be.
9 is a configuration diagram illustrating a state after performing an isolation operation for an isolation host according to the second embodiment of the present invention.

이하에서는 첨부된 도면을 참고로 하여 본 발명의 바람직한 실시예들을 보다 상세히 설명하기로 한다.
Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 제 1 실시에에 따른 IPv6 네트워크 내 호스트 보호 방법을 통해 IPv6 네트워크 내 호스트의 보호동작을 수행하는 흐름도이다.1 is a flowchart illustrating a method for performing a protection operation of a host in an IPv6 network through a method for protecting hosts in an IPv6 network according to a first embodiment of the present invention.

도 2는 본 발명의 제 1 실시예에 따른 모니터링 모드를 사용하여 패킷을 획득하기 위한 방법을 나타낸 구성도이다.2 is a block diagram illustrating a method for acquiring a packet using the monitoring mode according to the first embodiment of the present invention.

도 3은 본 발명의 제 1 실시예에 따른 모니터링 모드를 사용했을 때 네트워크 내 패킷 흐름 상태를 나타낸 구성도이다.3 is a block diagram illustrating a packet flow state in a network when the monitoring mode according to the first embodiment of the present invention is used.

도 4는 본 발명의 제 1 실시예에 따른 보호 호스트의 IP도용을 시도하는 상황을 나타낸 구성도이다.FIG. 4 is a configuration diagram illustrating an attempt to use IP of a protection host according to the first embodiment of the present invention.

도 5는 본 발명의 제 1 실시예에 따른 보호 호스트의 NDP정보를 네트워크에 전송하고 네트워크 내 호스트들의 변조 NDP를 IP도용 호스트에게 전송하여 보호 호스트와 통신이 지속적으로 되도록 하는 방법을 나타낸 구성도이다.5 is a diagram illustrating a method of transmitting NDP information of a protection host according to the first embodiment of the present invention to a network and transmitting a modulated NDP of hosts in the network to an IP hashing host so that communication with the protection host is maintained .

도 6은 본 발명의 제 1 실시예에 따른 보호 호스트 보호와 IP도용 호스트 차단을 수행하고 난 이후의 상태에 대해서 나타낸 구성도이다.FIG. 6 is a configuration diagram illustrating a state after performing protection host protection and IP blocking host blocking according to the first embodiment of the present invention. FIG.

도 1을 참조하면, 본 발명의 제 1 실시에에 따른 IPv6 네트워크 내 호스트 보호 방법(100)은 호스트 보호정책 설정단계(S101), 정보 획득 단계(S103), IP 도용 판정단계(S105), 호스트 보호단계(S107)등을 수행한다.Referring to FIG. 1, a host protection method 100 in an IPv6 network according to a first embodiment of the present invention includes a host protection policy setting step S101, an information obtaining step S103, an IP hijacking determination step S105, A protection step (S107), and the like.

호스트 보호정책 설정단계(S101)는 보호가 필요한 호스트에 대해서 호스트 보호정책을 설정하는 단계이다.The host protection policy setting step (S101) is a step for setting a host protection policy for a host requiring protection.

여기서, 호스트 보호정책 설정단계(S101)는 호스트 보호정책을 보호 호스트의 IP어드레스, link-layer address, netbios name, netbios group, 정책 시작 일시, 정책 만료 일시, 주간 스케줄에 따른 정책 적용여부, 시간 스케줄에 따른 정책 적용여부, 정책 만료 후 동작 설정 중 적어도 하나를 사용하여 제공하는 단계일 수가 있다.The host protection policy setting step (S101) includes setting the host protection policy to the IP address of the protection host, the link-layer address, the netbios name, the netbios group, the policy start date and time, the policy expiration date and time, Whether the policy is applied according to the policy, and setting the action after the policy expiration.

이때, 호스트 보호정책 설정단계(S101)는 link-layer address을 적어도 하나 이상으로 설정하거나, link-layer address가 설정되지 않을 경우 호스트 보호정책을 설정한 후에 해당 IP를 최초로 사용하는 link-layer address를 보호할 link-layer address로 설정하는 단계일 수가 있다.At this time, the host protection policy setting step (S101) sets the link-layer address to at least one, or sets the host-protection policy if the link-layer address is not set, and then sets the link- It can be set to the link-layer address to be protected.

정보 획득 단계(S103)는 에이전트를 통해 네트워크에서 발생되는 패킷을 캡쳐하여 정보를 획득하는 단계이다.The information acquisition step (S103) is a step of acquiring information by capturing a packet generated in the network through the agent.

여기서, 정보 획득 단계(S103)는 통신을 위해 네트워크에 접속된 에이전트의 NIC(Network Interface Card)를 이용하여 네트워크에서 발생되는 패킷을 캡쳐하는 단계일 수가 있다.Here, the information acquisition step (S103) may be a step of capturing a packet generated in the network using an NIC (Network Interface Card) of an agent connected to the network for communication.

또한, 도 2 및 도 3에 도시된 바와 같이 정보 획득 단계(S103)는 통신을 위해 네트워크에 접속된 에이전트의 NIC(Network Interface Card)를 이용하여 네트워크에서 발생되는 패킷을 캡쳐하거나, 네트워크에서 발생되는 패킷을 모니터링 할 수 있도록 설정된 포트에 접속된 에이전트의 NIC(Network Interface Card)를 이용하여 네트워크에서 발생되는 패킷을 캡쳐함으로써 정보를 획득하는 단계일 수가 있다.As shown in FIGS. 2 and 3, the information acquisition step (S103) includes capturing a packet generated in the network using an NIC (Network Interface Card) of an agent connected to the network for communication, It may be a step of acquiring information by capturing a packet generated in the network using an NIC (Network Interface Card) of an agent connected to the port configured to monitor the packet.

이때, 정보 획득 단계(S103)는 패킷을 IPv6 패킷 또는 ICMPv6패킷중 적어도 하나를 제공하는 단계일 수가 있다.In this case, the information acquisition step (S103) may be a step of providing at least one of an IPv6 packet or an ICMPv6 packet.

IP 도용 판정단계(S105)는 정보 획득 단계(S103)를 통해 획득된 정보가 호스트 보호정책 설정단계(S101)를 통해 호스트 보호정책이 설정된 호스트의 IP를 도용하는지를 판정하는 단계이다.The IP stealing determination step S105 is a step of determining whether the information obtained through the information acquisition step S103 is used to steal the IP of the host on which the host protection policy is set through the host protection policy setting step S101.

이때, IP 도용 판정단계(S105)는 호스트 보호정책에 설정된 값과 정보 획득 단계를 통해 캡쳐된 패킷의 Ethernet header source link-layer address, Ethernet header destination link-layer address, IPv6 header source address, IPv6 header destination address, ICMPv6 header type, ICMPv6 header target address, ICMPv6 header target link-layer address 중 적어도 하나를 참조하여 호스트 보호정책이 설정된 호스트의 IP를 도용하는지를 판정하는 단계일 수가 있다.At this time, the IP stealing determination step (S105) determines whether the value set in the host protection policy and the Ethernet header source link-layer address of the packet captured through the information obtaining step, the Ethernet header destination link-layer address, address, an ICMPv6 header type, an ICMPv6 header target address, and an ICMPv6 header target link-layer address to determine whether the IP address of the host to which the host protection policy is set is stolen.

호스트 보호단계(S107)는 정보 획득 단계(S103)를 통해 캡쳐된 패킷이 IP 도용 판정단계(S105)를 통해 호스트 보호정책이 설정된 호스트의 IP를 도용하는 것으로 판정하면, 호스트 보호정책이 설정된 호스트가 지속적으로 통신이 될 수 있도록 보호하는 단계이다.If the host protection step S107 determines that the packet captured through the information obtaining step S103 stolen the IP of the host on which the host protection policy is set through the IP stolen judgment step S105, It is a step to protect the communication continuously.

여기서, 도 4 내지 도 6에 도시된 바와 같이 호스트 보호단계(S107)는 정보 획득 단계를 통해 캡쳐된 패킷이 IP 도용 판정 단계(S105)를 통해 호스트 보호정책이 설정된 호스트의 IP를 도용하는 것으로 판정하면, DAD(Duplicate Address Detection) 동작을 이용하여 IP도용 호스트에 IP충돌이 발생했음을 알리는 NDP(Neighbor Discovery Protocol) 패킷을 IP도용 호스트에 전송함으로써, IP도용 호스트가 IP설정에 실패하도록 만드는 단계일 수가 있다.Here, as shown in FIGS. 4 to 6, in the host protection step S107, it is determined that the packet captured through the information obtaining step stolen the IP of the host on which the host protection policy is set through the IP stealing determination step (S105) , A step may be taken to cause the IP theft host to fail the IP setup by sending a Neighbor Discovery Protocol (NDP) packet to the IP theft host indicating that an IP collision has occurred on the IP theft host using DAD (Duplicate Address Detection) have.

또한, 호스트 보호단계(S107)는 정보 획득 단계(S103)를 통해 캡쳐된 패킷이 IP 도용 판정 단계(S105)를 통해 호스트 보호정책이 설정된 호스트의 IP를 도용하는 것으로 판정하면, 호스트 보호정책이 설정된 호스트의 NDP 정보를 네트워크 내 호스트들에게 전송하여 네트워크 내 호스트들의 NDP 캐시정보를 업데이트하는 방법을 사용함으로써, 네트워크 내 호스트들과 통신을 불가능하게 하거나, IP도용 호스트가 IP설정에 실패하도록 만드는 단계일 수가 있다.If the host protection step S107 determines that the packet captured through the information acquisition step S103 is an IP address of a host configured with the host protection policy through the IP theft determination step S105, The NDP information of the host is transmitted to the hosts in the network to update the NDP cache information of the hosts in the network to disable the communication with the hosts in the network or to cause the IP theft host to fail the IP setting There is a number.

또한, 호스트 보호단계(S107)는 IP도용 호스트에게 네트워크 내 호스트들의 변조된 NDP 정보를 전송하여 IP도용 호스트의 NDP 캐시정보를 업데이트하는 방법을 사용함으로써, 네트워크 내 호스트들과 통신을 불가능하게 하거나, IP도용 호스트가 IP설정에 실패하도록 만드는 단계일 수가 있다.In addition, the host protection step (S107) disables communication with the hosts in the network by using the method of updating the NDP cache information of the IP stealing host by transmitting the modulated NDP information of hosts in the network to the IP theft host, It can be a step to make IP stolen hosts fail IP configuration.

이때, 호스트 보호단계(S107)는 호스트 보호정책이 설정된 호스트의 NDP 정보를 네트워크 내부 호스트들이 해당 패킷을 수신한 후에, 자신의 NDP 캐시정보를 호스트 보호정책에 설정된 호스트 IP와 link-layer address로 업데이트하여 보호 호스트와 지속적인 통신이 가능하도록 제공하는 단계일 수가 있다.At this time, the host protection step (S107) updates the NDP information of the host having the host protection policy to the host IP and the link-layer address set in the host protection policy after the internal hosts of the network receive the corresponding packet And to provide continuous communication with the protection host.

또한, 호스트 보호단계(S107)는 네트워크 내 호스트들의 변조된 NDP 정보를 IP도용 호스트가 해당 패킷을 수신한 후에, 자신의 네트워크 내 호스트들의 NDP 캐시정보를 에이전트 link-layer address 또는 해당 네트워크 내부에 존재하지 않는 link-layer address중 적어도 하나로 업데이트하여 IP도용 호스트의 네트워크 접근을 차단하는 단계일 수가 있다.In addition, the host protection step (S107) is a step of protecting the NDP information of the hosts in the network from the agent link-layer address or the network And the link-layer address of the IP theft host.

여기서, 호스트 보호단계(S107)는 NDP에 해당하는 ICMPv6 header type의 값을 Router Advertisements, Router Solicitation, Neighbor Solicitation, Neighbor Advertisement, Redirect중 적어도 하나를 사용하여 제공하는 단계일 수가 있다.Here, the host protection step S107 may be a step of providing the value of the ICMPv6 header type corresponding to the NDP using at least one of Router Advertisements, Router Solicitation, Neighbor Solicitation, Neighbor Advertisement, and Redirect.

이때, 호스트 보호단계(S107)는 호스트 보호정책이 설정된 호스트의 보호 상태를 유지하기 위해 주기적으로 수행되거나, 정보 획득 단계(S103)를 통해 IP도용 호스트의 네트워크 접근 시도가 감지될 때마다 수행하는 단계일 수가 있다.
At this time, the host protection step (S107) is performed periodically to maintain the protection state of the host to which the host protection policy is set, or every time when the network access attempt of the IP theft host is detected through the information acquisition step (S103) Can be.

도 7은 본 발명의 제 2 실시예에 따른 IPv6 네트워크 내 호스트 격리 방법을 통해 IPv6 네트워크 내 호스트의 격리동작을 수행하고, 네트워크 보안정책이 만족한다고 판정하면 격리된 호스트를 해제하는 동작을 수행하는 흐름도이다.FIG. 7 is a flowchart illustrating an operation of performing an isolation operation of a host in an IPv6 network through a host isolation method in an IPv6 network according to a second embodiment of the present invention, and releasing an isolated host when it is determined that the network security policy is satisfied to be.

도 8은 본 발명의 제 2 실시예에 따른 호스트의 격리를 위해 격리 호스트의 변조된 NDP를 네트워크 내 호스트들에게 전송하고 네트워크 내 호스트들의 변조된 NDP정보를 격리 호스트에게 전송하는 상황을 나타낸 구성도이다.FIG. 8 is a diagram illustrating a state in which a modulated NDP of a quarantine host is transmitted to hosts in a network for isolation of a host according to a second embodiment of the present invention, and the modulated NDP information of hosts in the network is transmitted to the quarantine host to be.

도 9는 본 발명의 제 2 실시예에 따른 격리 호스트에 대한 격리동작 수행 이후의 상태에 대해서 나타낸 구성도이다.9 is a configuration diagram illustrating a state after performing an isolation operation for an isolation host according to the second embodiment of the present invention.

도 7을 참조하면, 본 발명의 제 2 실시예에 따른 IPv6 네트워크 내 호스트 격리 방법(700)은 네트워크 보안정책 설정단계(S701), 정보 획득 단계(S703), 네트워크 보안정책 판정단계(S705), 호스트 격리단계(S707), 호스트 격리 해제단계(S709)등을 수행한다.Referring to FIG. 7, a host isolation method 700 in an IPv6 network according to a second embodiment of the present invention includes a network security policy setting step S701, an information obtaining step S703, a network security policy determination step S705, A host isolation step S707, a host isolation release step S709, and the like.

네트워크 보안정책 설정단계(S701)는 네트워크 내 접근 가능한 호스트를 정의하는 단계이다.The network security policy setting step S701 is a step of defining a host that can be accessed in the network.

여기서, 네트워크 보안정책 설정단계(S701)는 네트워크 보안정책을 무결성 검증과, 보안정책 적용 네트워크, 보안정책 적용 호스트IP, 보안정책 적용 호스트 link-layer address 리스트, 보안정책 적용 예외 네트워크, 보안정책 적용 예외 호스트IP, 보안정책 적용 예외 호스트 link-layer address 리스트, 보안정책 예외 장비 타입, 무결성에 위배되는 호스트가 접근 가능한 네트워크, 무결성에 위배되는 호스트가 접근 가능한 호스트IP, 무결성에 위배되는 호스트가 접근 가능한 호스트 link-layer address 리스트중 적어도 하나를 사용하여 제공하는 단계일 수가 있다.Here, the network security policy setting step S701 may include a network security policy integrity verification, a security policy application network, a security policy application host IP, a security policy application host link-layer address list, a security policy application exception network, Host IP, security policy enforcement exception host link-layer address list, security policy exception type, network that can be accessed by host that violates integrity, host IP that can be accessed by host that violates integrity, link-layer address list using at least one of the link-layer address lists.

이때, 네트워크 보안정책 설정단계(S701)는 무결성 검증을 사용자 인증 여부, 프로그램 설치 여부, 프로그램 동작여부, OS및 프로그램 패치 여부, 바이러스 검출 여부, 이상 트래픽 발생 여부중 적어도 하나를 사용하여 제공하는 단계일 수가 있다.At this time, the network security policy setting step S701 is a step of providing integrity verification using at least one of whether or not user authentication, program installation, program operation, OS and program patching, virus detection, and abnormal traffic generation There is a number.

정보 획득 단계(S703)는 에이전트를 통해 네트워크에서 발생되는 패킷을 캡쳐하여 정보를 획득하는 단계이다.The information acquisition step S703 is a step of capturing a packet generated in the network through the agent to acquire information.

여기서, 정보 획득 단계(S703)는 통신을 위해 네트워크에 접속된 에이전트의 NIC(Network Interface Card)를 이용하여 네트워크에서 발생되는 패킷을 캡쳐하는 단계일 수가 있다.Here, the information acquisition step S703 may be a step of capturing a packet generated in the network using an NIC (Network Interface Card) of an agent connected to the network for communication.

또한, 도 2 및 도 3에 도시된 바와 같이 정보 획득 단계(S703)는 모니터링이 설정된 포트에 접속된 라우터의 NIC(Network Interface Card)를 이용하여 네트워크에서 발생되는 패킷을 캡쳐함으로써 정보를 획득하는 단계일 수가 있다.2 and 3, the information acquisition step S703 includes acquiring information by capturing a packet generated in the network using a NIC (Network Interface Card) of a router connected to a port for which monitoring is set Can be.

이때, 정보 획득 단계(S703)는 패킷을 IPv6 패킷 또는 ICMPv6패킷중 적어도 하나를 제공하는 단계일 수가 있다.At this time, the information acquisition step (S703) may be a step of providing at least one of an IPv6 packet or an ICMPv6 packet.

네트워크 보안정책 판정단계(S705)는 정보 획득 단계(S703)를 통해 획득된 정보가 네트워크 보안정책 설정단계(S701)를 통해 네트워크 보안정책이 만족하는지를 판정하는 단계이다.The network security policy determination step S705 is a step of determining whether the information obtained through the information acquisition step S703 satisfies the network security policy through the network security policy setting step S701.

이때, 네트워크 보안정책 판정단계(S705)는 네트워크 보안정책에 설정된 값과 정보 획득 단계(S703)를 통해 캡쳐된 패킷의 Ethernet header source link-layer address, Ethernet header destination link-layer address, IPv6 header source address, IPv6 header destination address, ICMPv6 header type, ICMPv6 header target address, ICMPv6 header target link-layer address중 적어도 하나를 참조하여 네트워크 보안정책이 만족하는지를 판정하는 단계일 수가 있다.At this time, the network security policy determination step S705 determines whether the value set in the network security policy, the Ethernet header source link-layer address of the packet captured through the information acquisition step S703, the Ethernet header destination link- , An IPv6 header destination address, an ICMPv6 header type, an ICMPv6 header target address, and an ICMPv6 header target link-layer address to determine whether the network security policy is satisfied.

호스트 격리단계(S707)는 네트워크 보안정책 판정단계(S705)를 통해 네트워크 보안정책이 만족하지 않는다고 판정하면, 호스트의 네트워크 접근을 제한하고 무결성에 위배되는 호스트 또는 무결성에 위배되는 호스트가 접근 가능한 네트워크만 접근할 수 있도록 격리하는 단계이다.If the host security step S707 determines that the network security policy is not satisfied through the network security policy determination step S705, the host security step S707 may be performed only when the network access restriction of the host is restricted and the host that is incompatible with the integrity or the host This is a step to isolate access.

여기서, 도 8 및 도 9에 도시된 바와 같이 호스트 격리단계(S707)는 네트워크 보안정책이 설정된 격리 호스트의 변조 NDP 정보를 네트워크 내 호스트들에게 전송하여 네트워크 내 호스트들의 NDP 캐시정보를 업데이트하는 방법을 사용함으로써, 호스트를 격리하는 단계일 수가 있다.8 and 9, the host isolation step S707 is a method of updating the NDP cache information of the hosts in the network by transmitting the modulated NDP information of the quarantine host for which the network security policy is set to the hosts in the network By using it, it can be a step of isolating the host.

또한, 호스트 격리단계(S707)는 네트워크 보안정책에 위배되는 격리 호스트의 변조 NDP 정보를 네트워크 내 호스트들에게 전송하여 네트워크 내 호스트들의 NDP 캐시정보를 업데이트하는 방법 또는 격리 호스트에게 네트워크 내 호스트들의 변조된 NDP 정보를 전송하여 격리 호스트의 NDP 캐시정보를 업데이트하는 방법중 적어도 하나의 방법을 사용함으로써, 호스트를 격리하는 단계일 수가 있다.In addition, the host isolation step S707 may include a method of updating the NDP cache information of the hosts in the network by transmitting the modulated NDP information of the quarantine host in violation of the network security policy to the hosts in the network, A method of isolating the host by using at least one method of transmitting the NDP information and updating the NDP cache information of the quarantine host.

이때, 호스트 격리단계(S707)는 네트워크 보안정책에 위배되는 격리 호스트의 변조 NDP 정보를 네트워크 내부 호스트들이 해당 패킷을 수신한 후에, 자신의 격리 호스트 NDP 캐시정보를 에이전트 link-layer address 또는 네트워크 내에 존재하지 않는 link-layer address로 업데이트하여 격리 호스트와 네트워크 내 호스트들의 통신을 차단하는 단계일 수가 있다.At this time, in the host isolation step S707, after receiving the modulated NDP information of the quarantine host that is in violation of the network security policy, the internal host of the network sends the quarantine host NDP cache information to the agent link- To the link-layer address, thereby blocking communication between the quarantine host and the hosts in the network.

또한, 호스트 격리단계(S707)는 격리 호스트에게 네트워크 내 호스트들의 변조된 NDP 정보를 전송하면, 격리 호스트가 해당 패킷을 수신한 후에, 자신의 네트워크 내 호스트들의 NDP 캐시정보를 에이전트 link-layer address 또는 네트워크 내에 존재하지 않는 link-layer address로 업데이트하여 격리 호스트와 네트워크 내 호스트들의 통신을 차단하는 단계일 수가 있다.In step S707, when the quarantine host receives the NDP information of the hosts in the network, it sends the NDP cache information of the hosts in the network to the agent link-layer address or And updating the link-layer address that does not exist in the network to block communication between the quarantine host and the hosts in the network.

여기서, 호스트 격리단계(S707)는 NDP에 해당하는 ICMPv6 header type의 값을 Router Advertisements, Router Solicitation, Neighbor Solicitation, Neighbor Advertisement, Redirect중 적어도 하나를 사용하여 제공하는 단계일 수가 있다.Here, the host isolation step S707 may be a step of providing the value of the ICMPv6 header type corresponding to NDP using at least one of Router Advertisements, Router Solicitation, Neighbor Solicitation, Neighbor Advertisement, and Redirect.

또한, 호스트 격리단계(S707)는 격리 호스트와 네트워크 내 호스트들로부터 수신된 패킷을 에이전트 또는 에이전트를 관리하는 매니저가 분석하여 무결성에 위배되는 호스트가 접근 가능한 호스트 또는 무결성에 위배되는 호스트가 접근 가능한 네트워크일 경우에, 패킷 릴레이를 통해 격리 호스트와 무결성에 위배되는 호스트가 접근 가능한 호스트 또는 무결성에 위배되는 호스트가 접근 가능한 네트워크와의 통신을 가능하도록 하는 단계일 수가 있다.In the host isolation step S707, the manager managing the agent or the agent analyzes the packet received from the quarantine host and the hosts in the network, and detects a host accessible to the host that is incompatible with integrity or a host , It may be possible to allow communication between a quarantine host through a packet relay and a host which is incompatible with an accessible host or a network which is violated by an integrity-enabled host.

이때, 호스트 격리단계(S707)는 네트워크 보안정책이 설정된 격리 호스트의 격리 상태를 유지하기 위해서 주기적으로 수행되거나, 정보 획득 단계(S703)를 통해 격리 호스트의 통신 시도가 감지될 때마다 수행하는 단계일 수가 있다.At this time, the host isolation step (S707) is performed periodically to maintain the isolation state of the quarantine host for which the network security policy is set, or every time a quarantine host communication attempt is detected through the information acquisition step (S703) There is a number.

호스트 격리 해제단계(S709)는 호스트 격리단계(S707) 이후에 네트워크 보안정책 판정단계(S705)를 통해 네트워크 보안정책이 만족한다고 판정하면, 호스트 격리단계(S707)를 통해 격리된 호스트를 해제하는 단계이다.If the network security policy is determined to be satisfied through the network security policy determination step S705 after the host isolation step S707 after the host isolation step S707, the host isolation step S709 is to release the isolated host through the host isolation step S707 to be.

이때, 호스트 격리 해제단계(S709)는 격리 호스트의 정상적인 NDP 정보를 네트워크 내 호스트들에게 전송하여 네트워크 내 호스트들의 NDP 캐시정보를 업데이트하는 방법을 사용함으로써, 격리된 호스트를 해제하는 단계일 수가 있다.At this time, the host isolation release step S709 may be a step of releasing the isolated host by using the method of updating the NDP cache information of the hosts in the network by transmitting the normal NDP information of the quarantine host to the hosts in the network.

또한, 호스트 격리 해제단계(S709)는 격리 호스트에게 네트워크 내 호스트들의 정상적인 NDP 정보를 전송하여 격리 호스트의 NDP 캐시정보를 업데이트하는 방법을 사용함으로써, 격리된 호스트를 해제하는 단계일 수가 있다.In addition, the host isolation release step S709 may be a step of releasing the isolated host by using the method of updating the NDP cache information of the quarantine host by transmitting the normal NDP information of the hosts in the network to the quarantine host.

여기서, 호스트 격리 해제단계(S709)는 NDP에 해당하는 ICMPv6 header type의 값을 Router Advertisements, Router Solicitation, Neighbor Solicitation, Neighbor Advertisement, Redirect중 적어도 하나를 사용하여 제공하는 단계일 수가 있다.
Here, the host isolation release step S709 may be a step of providing the value of the ICMPv6 header type corresponding to the NDP using at least one of Router Advertisements, Router Solicitation, Neighbor Solicitation, Neighbor Advertisement, and Redirect.

이와 같은, 본 발명의 실시예에 따른 IPv6 네트워크 내 호스트 보호 및 격리방법은 IPv6네트워크에서 IP충돌이 발생하였을 때 중요 호스트를 보호하고 인증되지 않은 호스트이거나 네트워크 보안정책에 위배되는 호스트에 대해서는 격리를 수행하여 IPv6네트워크에서 보다 안정적인 서비스와 한 단계 높은 보안환경을 구축시킬 수가 있게 된다.
The host protection and isolation method in the IPv6 network according to the embodiment of the present invention protects the important host when an IP conflict occurs in the IPv6 network and performs isolation for the host that is not authenticated or violates the network security policy So that a more stable service and a higher security environment can be established in the IPv6 network.

본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해되어야 하고, 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.It will be understood by those skilled in the art that the present invention may be embodied in other specific forms without departing from the spirit or essential characteristics thereof. Therefore, it should be understood that the above-described embodiments are to be considered in all respects as illustrative and not restrictive, the scope of the invention being indicated by the appended claims rather than the foregoing description, It is intended that all changes and modifications derived from the equivalent concept be included within the scope of the present invention.

Claims (26)

보호가 필요한 호스트에 대해서 호스트 보호정책을 설정하되, link-layer address을 적어도 하나 이상으로 설정하거나, 상기 link-layer address가 설정되지 않을 경우 상기 호스트 보호정책을 설정한 후에 해당 IP를 최초로 사용하는 상기 link-layer address를 보호할 link-layer address로 설정하는 호스트 보호정책 설정단계;
에이전트를 통해 네트워크에서 발생되는 패킷을 캡쳐하여 정보를 획득하는 정보 획득 단계;
상기 정보 획득 단계를 통해 획득된 정보가 상기 호스트 보호정책 설정단계를 통해 상기 호스트 보호정책이 설정된 호스트의 IP를 도용하는지를 판정하는 IP 도용 판정단계; 및
상기 정보 획득 단계를 통해 캡쳐된 패킷이 상기 IP 도용 판정단계를 통해 상기 호스트 보호정책이 설정된 호스트의 IP를 도용하는 것으로 판정하면, 상기 호스트 보호정책이 설정된 호스트가 지속적으로 통신이 될 수 있도록 보호하는 호스트 보호단계를 포함하는 IPv6 네트워크 내 호스트 보호방법.
A host protection policy is set for a host requiring protection, and at least one link-layer address is set, or if the link-layer address is not set, the host protection policy is set and then the IP is used for the first time Set the host-protection policy to set the link-layer address to the link-layer address to protect;
An information acquiring step of acquiring information by capturing a packet generated in a network through an agent;
An IP stealing determining step of determining whether the information obtained through the information obtaining step steals an IP of a host configured with the host protection policy through the host protection policy setting step; And
If the packet captured through the information obtaining step determines that the IP of the host to which the host protection policy is set is stolen via the IP stolen determination step, A method of protecting a host in an IPv6 network that includes a host protection step.
삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 제 1항에 있어서,
상기 호스트 보호단계는,
상기 정보 획득 단계를 통해 캡쳐된 패킷이 상기 IP 도용 판정 단계를 통해 상기 호스트 보호정책이 설정된 호스트의 IP를 도용하는 것으로 판정하면,
상기 호스트 보호정책이 설정된 호스트의 NDP 정보를 상기 네트워크 내 호스트들에게 전송하여 상기 네트워크 내 호스트들의 NDP 캐시정보를 업데이트하는 방법 또는 IP도용 호스트에게 상기 네트워크 내 호스트들의 변조된 NDP 정보를 전송하여 IP도용 호스트의 NDP 캐시정보를 업데이트하는 방법중 적어도 하나의 방법을 사용함으로써, 상기 네트워크 내 호스트들과 통신을 불가능하게 하거나, 상기 IP도용 호스트가 IP설정에 실패하도록 만드는 단계인 IPv6 네트워크 내 호스트 보호방법.
The method according to claim 1,
The host protection step includes:
If the packet captured through the information acquiring step determines that the IP of the host on which the host protection policy is set is stolen through the IP stolen determination step,
A method of updating the NDP cache information of the hosts in the network by transmitting the NDP information of the host in which the host protection policy is set to the hosts in the network or the method of transmitting the modulated NDP information of the hosts in the network to the IP theft- The method comprising: disabling communications with hosts in the network by using at least one of the methods of updating NDP cache information of the host, or causing the IP stolen host to fail to set up the IP.
제 8항에 있어서,
상기 호스트 보호단계는,
상기 호스트 보호정책이 설정된 호스트의 NDP 정보를 상기 네트워크 내부 호스트들이 해당 패킷을 수신한 후에, 자신의 NDP 캐시정보를 상기 호스트 보호정책에 설정된 호스트 IP와 link-layer address로 업데이트하여 보호 호스트와 지속적인 통신이 가능하도록 제공하는 단계인 IPv6 네트워크 내 호스트 보호방법.
9. The method of claim 8,
The host protection step includes:
After receiving the NDP information of the host in which the host protection policy is set, the NDP cache information of the host is updated to the host IP and the link-layer address set in the host protection policy, A method for protecting a host in an IPv6 network.
제 8항에 있어서,
상기 호스트 보호단계는,
상기 네트워크 내 호스트들의 변조된 NDP 정보를 상기 IP도용 호스트가 해당 패킷을 수신한 후에, 자신의 네트워크 내 호스트들의 NDP 캐시정보를 에이전트 link-layer address 또는 해당 네트워크 내부에 존재하지 않는 link-layer address중 적어도 하나로 업데이트하여 상기 IP도용 호스트의 네트워크 접근을 차단하는 단계인 IPv6 네트워크 내 호스트 보호방법.
9. The method of claim 8,
The host protection step includes:
After receiving the NDP information of the hosts in the network, the NDP cache information of the hosts in the network is transmitted to the agent link-layer address or a link-layer address not existing in the network And blocking the network access of the IP theft host.
제 8항 내지 제 10항중 어느 한 항에 있어서,
상기 호스트 보호단계는,
상기 NDP에 해당하는 ICMPv6 header type의 값을 Router Advertisements, Router Solicitation, Neighbor Solicitation, Neighbor Advertisement, Redirect중 적어도 하나를 사용하여 제공하는 단계인 IPv6 네트워크 내 호스트 보호방법.
11. The method according to any one of claims 8 to 10,
The host protection step includes:
And providing the value of the ICMPv6 header type corresponding to the NDP using at least one of Router Advertisements, Router Solicitation, Neighbor Solicitation, Neighbor Advertisement, and Redirect.
삭제delete 네트워크 내 접근 가능한 호스트를 정의하는 네트워크 보안정책 설정단계;
에이전트를 통해 상기 네트워크에서 발생되는 패킷을 캡쳐하여 정보를 획득하는 정보 획득 단계;
상기 정보 획득 단계를 통해 획득된 정보가 상기 네트워크 보안정책 설정단계를 통해 네트워크 보안정책이 만족하는지를 판정하는 네트워크 보안정책 판정단계; 및
상기 네트워크 보안정책 판정단계를 통해 상기 네트워크 보안정책이 만족하지 않는다고 판정하면, 상기 호스트의 상기 네트워크 접근을 제한하고 무결성에 위배되는 호스트 또는 상기 무결성에 위배되는 호스트가 접근 가능한 네트워크만 접근할 수 있도록 격리하는 호스트 격리단계를 포함하는 IPv6 네트워크 내 호스트 격리방법.
A network security policy setting step of defining an accessible host in the network;
An information acquiring step of acquiring information by capturing a packet generated in the network through an agent;
A network security policy determination step of determining whether the information acquired through the information acquisition step satisfies a network security policy through the network security policy setting step; And
If it is determined that the network security policy is not satisfied through the network security policy determination step, the network access control unit restricts the network access by the host and isolates the network from the host that is incompatible with the integrity, A host isolation method within an IPv6 network that includes a host isolation step.
제 13항에 있어서,
상기 호스트 격리단계 이후에,
상기 네트워크 보안정책 판정단계를 통해 상기 네트워크 보안정책이 만족한다고 판정하면, 상기 호스트 격리단계를 통해 격리된 호스트를 해제하는 호스트 격리 해제단계를 더 수행하는 IPv6 네트워크 내 호스트 격리방법.
14. The method of claim 13,
After the host isolation step,
Further comprising a host isolation step of releasing an isolated host through the host isolation step when it is determined that the network security policy is satisfied through the network security policy determination step.
제 13항에 있어서,
상기 네트워크 보안정책 설정단계는,
상기 네트워크 보안정책을 무결성 검증과, 보안정책 적용 네트워크, 보안정책 적용 호스트IP, 보안정책 적용 호스트 link-layer address 리스트, 보안정책 적용 예외 네트워크, 보안정책 적용 예외 호스트IP, 보안정책 적용 예외 호스트 link-layer address 리스트, 보안정책 예외 장비 타입, 무결성에 위배되는 호스트가 접근 가능한 네트워크, 무결성에 위배되는 호스트가 접근 가능한 호스트IP, 무결성에 위배되는 호스트가 접근 가능한 호스트 link-layer address 리스트중 적어도 하나를 사용하여 제공하는 단계인 IPv6 네트워크 내 호스트 격리방법.
14. The method of claim 13,
The network security policy setting step includes:
The above network security policy integrity verification, security policy application network, security policy application host IP, security policy application host link-layer address list, security policy application exception network, security policy application exception host IP, a layer address list, a security policy exception type, a network that can be accessed by a host that violates integrity, a host IP that can be accessed by a host that is incompatible with integrity, and a link-layer address list A host isolation method in an IPv6 network that provides a step.
제 15항에 있어서,
상기 네트워크 보안정책 설정단계는,
상기 무결성 검증을 사용자 인증 여부, 프로그램 설치 여부, 프로그램 동작여부, OS및 프로그램 패치 여부, 바이러스 검출 여부, 이상 트래픽 발생 여부중 적어도 하나를 사용하여 제공하는 단계인 IPv6 네트워크 내 호스트 격리방법.
16. The method of claim 15,
The network security policy setting step includes:
Wherein the integrity verification is provided using at least one of whether or not user authentication, program installation, program operation, OS and program patching, virus detection, and abnormal traffic generation.
제 13항에 있어서,
상기 정보 획득 단계는,
상기 패킷을 IPv6 패킷 또는 ICMPv6패킷중 적어도 하나를 제공하는 단계인 IPv6 네트워크 내 호스트 격리방법.
14. The method of claim 13,
The information acquiring step includes:
And providing said packet with at least one of an IPv6 packet or an ICMPv6 packet.
제 13항에 있어서,
상기 네트워크 보안정책 판정단계는,
상기 네트워크 보안정책에 설정된 값과 상기 정보 획득 단계를 통해 캡쳐된 패킷의 Ethernet header source link-layer address, Ethernet header destination link-layer address, IPv6 header source address, IPv6 header destination address, ICMPv6 header type, ICMPv6 header target address, ICMPv6 header target link-layer address중 적어도 하나를 참조하여 상기 네트워크 보안정책이 만족하는지를 판정하는 단계인 IPv6 네트워크 내 호스트 격리방법.
14. The method of claim 13,
Wherein the network security policy determination step comprises:
An IPv6 header source address, an IPv6 header destination address, an ICMPv6 header type, and an ICMPv6 header, which are set in the network security policy, and an Ethernet header source link-layer address of the packet captured through the information obtaining step, target address and an ICMPv6 header target link-layer address to determine whether the network security policy is satisfied.
제 13항에 있어서,
상기 호스트 격리단계는,
상기 네트워크 보안정책에 위배되는 격리 호스트의 변조 NDP 정보를 상기 네트워크 내 호스트들에게 전송하여 상기 네트워크 내 호스트들의 NDP 캐시정보를 업데이트하는 방법 또는 상기 격리 호스트에게 상기 네트워크 내 호스트들의 변조된 NDP 정보를 전송하여 상기 격리 호스트의 NDP 캐시정보를 업데이트하는 방법중 적어도 하나의 방법을 사용함으로써, 상기 호스트를 격리하는 단계인 IPv6 네트워크 내 호스트 격리방법.
14. The method of claim 13,
Wherein the host isolation step comprises:
A method of updating the NDP cache information of the hosts in the network by transmitting the modulated NDP information of the quarantine host in violation of the network security policy to the hosts in the network or transmitting the modulated NDP information of hosts in the network to the quarantine host By using at least one of the methods of updating the NDP cache information of the quarantine host.
제 19항에 있어서,
상기 호스트 격리단계는,
상기 네트워크 보안정책에 위배되는 격리 호스트의 변조 NDP 정보를 상기 네트워크 내부 호스트들이 해당 패킷을 수신한 후에, 자신의 격리 호스트 NDP 캐시정보를 에이전트 link-layer address 또는 상기 네트워크 내에 존재하지 않는 link-layer address로 업데이트하여 상기 격리 호스트와 상기 네트워크 내 호스트들의 통신을 차단하는 단계인 IPv6 네트워크 내 호스트 격리방법.
20. The method of claim 19,
Wherein the host isolation step comprises:
After the network hosts have received the corresponding NDP information of the quarantine host in violation of the network security policy, the NPS cache information of the quarantine host is transmitted to the agent link-layer address or the link-layer address To the hosts in the network to block communications between the quarantine host and the hosts in the network.
제 19항에 있어서,
상기 호스트 격리단계는,
상기 격리 호스트에게 상기 네트워크 내 호스트들의 변조된 NDP 정보를 전송하면, 상기 격리 호스트가 해당 패킷을 수신한 후에, 자신의 네트워크 내 호스트들의 NDP 캐시정보를 에이전트 link-layer address 또는 상기 네트워크 내에 존재하지 않는 link-layer address로 업데이트하여 상기 격리 호스트와 상기 네트워크 내 호스트들의 통신을 차단하는 단계인 IPv6 네트워크 내 호스트 격리방법.

20. The method of claim 19,
Wherein the host isolation step comprises:
And transmitting the modulated NDP information of the hosts in the network to the quarantine host, after the quarantine host receives the packet, transmits the NDP cache information of the hosts in the network to the agent link-layer address, link-layer address to block communications between the quarantine host and the hosts in the network.

제 14항에 있어서,
상기 호스트 격리 해제단계는,
상기 격리 호스트의 정상적인 NDP 정보를 상기 네트워크 내 호스트들에게 전송하여 상기 네트워크 내 호스트들의 NDP 캐시정보를 업데이트하는 방법 또는 상기 격리 호스트에게 상기 네트워크 내 호스트들의 정상적인 NDP 정보를 전송하여 상기 격리 호스트의 NDP 캐시정보를 업데이트하는 방법중 적어도 하나의 방법을 사용함으로써, 격리된 호스트를 해제하는 단계인 IPv6 네트워크 내 호스트 격리방법.
15. The method of claim 14,
Wherein the host isolation release step comprises:
A method of transmitting NDP cache information of hosts in the network by transmitting normal NDP information of the quarantine host to hosts in the network or a method of transmitting normal NDP information of hosts in the network to the quarantine host, A method of isolating a host within an IPv6 network, the step of releasing an isolated host by using at least one of the methods of updating the information.
제 19항 내지 제 21항중 어느 한 항에 있어서,
상기 호스트 격리단계는,
상기 NDP에 해당하는 ICMPv6 header type의 값을 Router Advertisements, Router Solicitation, Neighbor Solicitation, Neighbor Advertisement, Redirect중 적어도 하나를 사용하여 제공하는 단계인 IPv6 네트워크 내 호스트 격리방법.
22. The method according to any one of claims 19 to 21,
Wherein the host isolation step comprises:
And providing the value of the ICMPv6 header type corresponding to the NDP using at least one of Router Advertisements, Router Solicitation, Neighbor Solicitation, Neighbor Advertisement, and Redirect.
제 22항에 있어서,
상기 호스트 격리 해제단계는,
상기 NDP에 해당하는 ICMPv6 header type의 값을 Router Advertisements, Router Solicitation, Neighbor Solicitation, Neighbor Advertisement, Redirect중 적어도 하나를 사용하여 제공하는 단계인 IPv6 네트워크 내 호스트 격리방법.
23. The method of claim 22,
Wherein the host isolation release step comprises:
And providing the value of the ICMPv6 header type corresponding to the NDP using at least one of Router Advertisements, Router Solicitation, Neighbor Solicitation, Neighbor Advertisement, and Redirect.
제 19항에 있어서,
상기 호스트 격리단계는,
상기 격리 호스트와 상기 네트워크 내 호스트들로부터 수신된 패킷을 상기 에이전트 또는 상기 에이전트를 관리하는 매니저가 분석하여 상기 무결성에 위배되는 호스트가 접근 가능한 호스트 또는 상기 무결성에 위배되는 호스트가 접근 가능한 네트워크일 경우에, 패킷 릴레이를 통해 상기 격리 호스트와 상기 무결성에 위배되는 호스트가 접근 가능한 호스트 또는 상기 무결성에 위배되는 호스트가 접근 가능한 네트워크와의 통신을 가능하도록 하는 단계인 IPv6 네트워크 내 호스트 격리방법.
20. The method of claim 19,
Wherein the host isolation step comprises:
When a packet received from the quarantine host and hosts in the network is analyzed by a manager managing the agent or the agent and the host that can be accessed by the host in violation of the integrity or the host that is in violation of the integrity can access the packet And enabling communication between the quarantine host and a host accessible by the host violating the integrity or a host accessible by the host in violation of the integrity via packet relay.
제 13항에 있어서,
상기 호스트 격리단계는,
상기 네트워크 보안정책이 설정된 격리 호스트의 격리 상태를 유지하기 위해서 주기적으로 수행되거나, 상기 정보 획득 단계를 통해 상기 격리 호스트의 통신 시도가 감지될 때마다 수행하는 단계인 IPv6 네트워크 내 호스트 격리방법.
14. The method of claim 13,
Wherein the host isolation step comprises:
Wherein the network security policy is periodically performed to maintain an isolation state of a quarantine host set in the network security policy or whenever an attempt to communicate with the quarantine host is detected through the information obtaining step.
KR1020110006409A 2011-01-21 2011-01-21 Method for protecting and isolating host in internet protocol version 6 network KR101039092B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110006409A KR101039092B1 (en) 2011-01-21 2011-01-21 Method for protecting and isolating host in internet protocol version 6 network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110006409A KR101039092B1 (en) 2011-01-21 2011-01-21 Method for protecting and isolating host in internet protocol version 6 network

Publications (1)

Publication Number Publication Date
KR101039092B1 true KR101039092B1 (en) 2011-06-07

Family

ID=44405019

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110006409A KR101039092B1 (en) 2011-01-21 2011-01-21 Method for protecting and isolating host in internet protocol version 6 network

Country Status (1)

Country Link
KR (1) KR101039092B1 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101174305B1 (en) * 2012-03-09 2012-08-16 (주)넷맨 Method for controlling activity of host in applying internet protocol version 6 network
KR101296376B1 (en) * 2012-03-02 2013-08-14 건국대학교 산학협력단 Method for protecting host apparatus in ipv6 network, and network management apparatus thereof
KR101359371B1 (en) 2013-12-12 2014-02-07 (주)넷맨 Method for checking and searching activity state of host using packet generated in network
KR101359369B1 (en) 2012-09-17 2014-02-07 (주)넷맨 Method for checking and searching activity state of host in network using ICMPv6 Node Information Query
KR101359372B1 (en) 2013-12-12 2014-02-07 (주)넷맨 Method for checking and searching activity state of host in network using DHC Internet Protocol Version 6 packet
KR101359373B1 (en) 2013-12-12 2014-02-07 (주)넷맨 Method for checking and searching activity state of host in network

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040003977A (en) * 2002-07-05 2004-01-13 스콥정보통신 주식회사 IP collision detection/ Interseption method thereof
KR20060039984A (en) * 2004-11-04 2006-05-10 한국전자통신연구원 Apparatus and method for defeating network attacks with abnormal ip address
KR100591554B1 (en) 2005-02-04 2006-06-20 (주)넷맨 Method for controlling communication with network resources mamagement policy
KR100656483B1 (en) 2006-02-09 2006-12-11 삼성전자주식회사 Apparatus and method of security on ipv4-ipv6 network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040003977A (en) * 2002-07-05 2004-01-13 스콥정보통신 주식회사 IP collision detection/ Interseption method thereof
KR20060039984A (en) * 2004-11-04 2006-05-10 한국전자통신연구원 Apparatus and method for defeating network attacks with abnormal ip address
KR100591554B1 (en) 2005-02-04 2006-06-20 (주)넷맨 Method for controlling communication with network resources mamagement policy
KR100656483B1 (en) 2006-02-09 2006-12-11 삼성전자주식회사 Apparatus and method of security on ipv4-ipv6 network

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101296376B1 (en) * 2012-03-02 2013-08-14 건국대학교 산학협력단 Method for protecting host apparatus in ipv6 network, and network management apparatus thereof
KR101174305B1 (en) * 2012-03-09 2012-08-16 (주)넷맨 Method for controlling activity of host in applying internet protocol version 6 network
KR101359369B1 (en) 2012-09-17 2014-02-07 (주)넷맨 Method for checking and searching activity state of host in network using ICMPv6 Node Information Query
KR101359371B1 (en) 2013-12-12 2014-02-07 (주)넷맨 Method for checking and searching activity state of host using packet generated in network
KR101359372B1 (en) 2013-12-12 2014-02-07 (주)넷맨 Method for checking and searching activity state of host in network using DHC Internet Protocol Version 6 packet
KR101359373B1 (en) 2013-12-12 2014-02-07 (주)넷맨 Method for checking and searching activity state of host in network

Similar Documents

Publication Publication Date Title
Chen et al. Software-defined mobile networks security
JP4777461B2 (en) Network security monitoring device and network security monitoring system
KR101039092B1 (en) Method for protecting and isolating host in internet protocol version 6 network
EP2850803B1 (en) Integrity monitoring to detect changes at network device for use in secure network access
WO2018080976A1 (en) Detection of vulnerable devices in wireless networks
CN108605264B (en) Method and apparatus for network management
CA2680231A1 (en) System and method for providing data and device security between external and host devices
US8955049B2 (en) Method and a program for controlling communication of target apparatus
CN106797378B (en) Apparatus and method for controlling a communication network
WO2018116123A1 (en) Protecting against unauthorized access to iot devices
CN102438028A (en) Method, device and system for preventing fraud of dynamic host configuration protocol (DHCP) server
US20110113243A1 (en) Wireless ad hoc network security
US20140150069A1 (en) Method for distinguishing and blocking off network node
US11336621B2 (en) WiFiwall
Al Sukkar et al. Address resolution protocol (ARP): Spoofing attack and proposed defense
US8245294B1 (en) Network based virus control
JP2008276457A (en) Network protection program, network protection device, and network protection method
Al-Shareeda et al. Sadetection: Security mechanisms to detect slaac attack in ipv6 link-local network
Antrosiom et al. Malware defense using network security authentication
Mutaher et al. OPENFLOW CONTROLLER-BASED SDN: SECURITY ISSUES AND COUNTERMEASURES.
JP5509999B2 (en) Unauthorized connection prevention device and program
Vanjale et al. Multi parameter based robust and efficient rogue AP detection approach
Lapiotis et al. A policy-based approach to wireless LAN security management
Amin et al. Edge-computing with graph computation: A novel mechanism to handle network intrusion and address spoofing in SDN
CN105337983A (en) DoS attack defending method

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140318

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160318

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170512

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180410

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190424

Year of fee payment: 9