KR101172889B1 - Method and System for Detecting and Responsing Harmful Traffic - Google Patents

Method and System for Detecting and Responsing Harmful Traffic Download PDF

Info

Publication number
KR101172889B1
KR101172889B1 KR1020090046007A KR20090046007A KR101172889B1 KR 101172889 B1 KR101172889 B1 KR 101172889B1 KR 1020090046007 A KR1020090046007 A KR 1020090046007A KR 20090046007 A KR20090046007 A KR 20090046007A KR 101172889 B1 KR101172889 B1 KR 101172889B1
Authority
KR
South Korea
Prior art keywords
harmful traffic
data
address
router
encapsulated data
Prior art date
Application number
KR1020090046007A
Other languages
Korean (ko)
Other versions
KR20100063633A (en
Inventor
김은주
이순석
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to US12/620,710 priority Critical patent/US8402538B2/en
Publication of KR20100063633A publication Critical patent/KR20100063633A/en
Application granted granted Critical
Publication of KR101172889B1 publication Critical patent/KR101172889B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic

Abstract

본 발명은 유해트래픽 탐지/대응 방법 및 시스템에 관한 것으로서, DFI(Dynamic Flow Identification) 기능 및 DPI(Deep Packet Inspection) 기능을 이용하여 수신된 데이터가 유해트래픽인지 여부를 판정하고, 상기 수신된 데이터의 Cflowd 정보를 전송한 후, 유해트래픽으로 판정된 데이터를 캡슐화하는 라우터; 상기 라우터로부터 상기 Cflowd 정보를 수신하고, 수신한 Cflowd 정보를 이용하여 상기 수신된 데이터가 유해트래픽인지 여부를 판정한 후, 판정 결과를 상기 라우터로 전송하는 정책 자원 제어 장치; 및 상기 라우터로부터 상기 캡슐화된 데이터를 수신하고, 상기 캡슐화된 데이터가 유해트래픽인지 여부를 재확인한 후, 상기 캡슐화된 데이터를 처리하는 보안 관리 서버를 포함한다.

Figure R1020090046007

유해트래픽, 라우터, 싱크홀 터널

The present invention relates to a harmful traffic detection and response method and system, using a dynamic flow identification (DFI) function and a deep packet inspection (DPI) function to determine whether the received data is harmful traffic, and A router encapsulating data determined to be harmful traffic after transmitting the flow information; A policy resource control device which receives the Cflowd information from the router, determines whether the received data is harmful traffic by using the received Cflowd information, and transmits a determination result to the router; And a security management server that receives the encapsulated data from the router, reconfirms whether the encapsulated data is harmful traffic, and processes the encapsulated data.

Figure R1020090046007

Hazardous Traffic, Routers, Sinkhole Tunnels

Description

유해트래픽 탐지/대응 방법 및 시스템{Method and System for Detecting and Responsing Harmful Traffic}Hazardous Traffic Detection / Response Method and System

본 발명은 이동통신망을 포함한 All-IP 융합 네트워크에서 실시간 유해트래픽 탐지/대응 방법 및 시스템에 관한 것으로, 이때 유해트래픽은 분산공격트래픽, 바이러스 등을 포함하며, 알려지지 않는 패턴에 대해서도 라우터의 정책 라우팅(Policy Routing) 기능과 정책 자원 제어 장치(Policy & Resource Control Entity)를 이용하여 싱크홀 터널(Sinkhole Tunnel) 기술을 쉽게 구현할 수 있는 유해트래픽 탐지/대응 방법 및 시스템에 관한 것이다.The present invention relates to a real-time harmful traffic detection and response method and system in an all-IP converged network including a mobile communication network, wherein the harmful traffic includes distributed attack traffic, viruses, etc. The present invention relates to a harmful traffic detection / response method and system that can easily implement a sinkhole tunnel technology using a policy routing function and a policy & resource control entity.

본 발명은 지식경제부의 IT원천기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호:2006-S-064-03, 과제명:BcN 네트워크 엔지니어링 기술연구]The present invention is derived from the research conducted as part of the IT source technology development project of the Ministry of Knowledge Economy [Task management number: 2006-S-064-03, Task name: BcN network engineering technology research]

DDoS(Distributed Denial of Service) 공격을 탐지하고 예방하는 기존의 방법으로서, 패턴에 기반한 필터링(Pattern-based Filtering) 기술이나 큐 관리(Queue Management)와 같은 방법들이 있다. 이러한 기존의 방법들은 주로 네트워크 상의 트래픽을 관찰하여 DDoS 공격이 있는지를 탐지하는데, 알려진 패턴에 대해 서만 공격 탐지와 예방을 한다는 단점이 있다.Existing methods of detecting and preventing Distributed Denial of Service (DDoS) attacks include methods such as pattern-based filtering or queue management. These existing methods mainly detect the DDoS attack by observing the traffic on the network, which has the disadvantage of detecting and preventing attacks only for known patterns.

상기와 같은 문제점을 해결하기 위해, 데이터가 목적지 주소의 다음 홉 주소를 변경하지 않고 정해진 터널을 지나가게 하고, 이 터널에서 ACL(Access Control List), Rate-limit, 분석 등의 필요한 작업을 한 후에 정상적인 트래픽일 경우, 터널을 빠져나가 원래의 목적지로 전송될 수 있도록 내보내는 싱크홀 터널링(Sinkhole Tunneling) 기술이 제안되었다. 이러한 공격 차단 방법은 먼저 분석 장비들이 연결되어 있는 싱크홀 라우터를 준비해야하고, 라우터에서 패킷들을 싱크홀 라우터로 들어가게 하는 터널을 생성해야한다.In order to solve the above problems, the data passes through the specified tunnel without changing the next hop address of the destination address, and after the necessary work such as access control list (ACL), rate-limit, analysis, etc. In the case of normal traffic, a sinkhole tunneling technique has been proposed to exit the tunnel and send it to its original destination. This attack blocking method must first prepare a sinkhole router to which analysis equipment is connected, and then create a tunnel through the router to allow packets to enter the sinkhole router.

하지만, 종래의 싱크홀 터널링 기술에서, 싱크홀 라우터를 따로 만들지 않고 알려지지 않은 패턴의 유해트래픽에 대한 실시간 탐지 및 대응 방법은 정의되고 있지 않다.However, in the conventional sinkhole tunneling technique, a real-time detection and response method for harmful traffic of an unknown pattern without creating a sinkhole router is not defined.

본 발명은 상기한 바와 같은 문제점을 해결하기 위하여 안출된 것으로서, 싱크홀 라우터를 따로 만들지 않고, 알려지지 않은 패턴의 유해트래픽에 대한 유해트래픽 탐지/대응 방법 및 시스템을 제공하는 데 그 목적이 있다.Disclosure of Invention The present invention has been made to solve the above problems, and an object thereof is to provide a harmful traffic detection / response method and system for harmful traffic of an unknown pattern without separately making a sinkhole router.

본 발명의 다른 목적은 정책 자원 제어 장치의 패턴 분석기의 기능을 이용하여 알려지지 않은 시그니처를 포함하는 바이러스에 감염된 유해트래픽에 대한 유해트래픽 탐지/대응 방법 및 시스템을 제공한다.Another object of the present invention is to provide a harmful traffic detection / response method and system for harmful traffic infected with a virus including an unknown signature using the function of the pattern analyzer of the policy resource control device.

본 발명의 다른 목적은 라우터의 정책 라우팅 기능과 정책 자원 제어 장치를 통해서 공격 트래픽과 바이러스 트래픽을 포함하는 유해트래픽에 대한 유해트래픽 탐지/대응 방법 및 시스템을 제공한다.Another object of the present invention is to provide a harmful traffic detection / response method and system for harmful traffic including attack traffic and virus traffic through the policy routing function of the router and the policy resource control device.

이와 같은 목적을 달성하기 위한 본 발명은, DFI(Dynamic Flow Identification) 기능 및 DPI(Deep Packet Inspection) 기능을 이용하여 수신된 데이터가 유해트래픽인지 여부를 판정하고, 상기 수신된 데이터의 Cflowd 정보를 전송한 후, 유해트래픽으로 판정된 데이터를 캡슐화하는 라우터; 상기 라우터로부터 상기 Cflowd 정보를 수신하고, 수신한 Cflowd 정보를 이용하여 상기 수신된 데이터가 유해트래픽인지 여부를 판정한 후, 판정 결과를 상기 라우터로 전송하는 정책 자원 제어 장치; 및 상기 라우터로부터 상기 캡슐화된 데이터를 수신하고, 상기 캡슐화된 데이터가 유해트래픽인지 여부를 재확인한 후, 상기 캡슐화된 데이터를 처 리하는 보안 관리 서버를 포함하는 유해트래픽 탐지/대응 시스템을 제공한다.In order to achieve the above object, the present invention uses a dynamic flow identification (DFI) function and a deep packet inspection (DPI) function to determine whether received data is harmful traffic, and transmit Cflowd information of the received data. A router for encapsulating data determined to be harmful traffic; A policy resource control device which receives the Cflowd information from the router, determines whether the received data is harmful traffic by using the received Cflowd information, and transmits a determination result to the router; And a security management server that receives the encapsulated data from the router, reconfirms whether the encapsulated data is harmful traffic, and processes the encapsulated data.

본 발명은, 수신된 데이터가 유해 트래픽인지 여부를 판정하는 단계; 상기 수신된 데이터가 유해트래픽인 경우, 상기 수신된 데이터를 캡슐화하는 단계; 및 상기 캡슐화된 데이터가 유해트래픽인지 여부를 재확인한 후, 상기 캡슐화된 데이터를 처리하는 단계를 포함하는 유해트래픽 탐지/대응 방법을 제공한다.The present invention includes the steps of determining whether the received data is harmful traffic; If the received data is harmful traffic, encapsulating the received data; And reconfirming whether the encapsulated data is harmful traffic, and then processing the encapsulated data, thereby providing a harmful traffic detection / response method.

이상에서 설명한 바와 같이 본 발명에 의하면, 라우터의 정책 라우팅 기능과 정책 자원 제어 장치를 이용하여 싱크홀 터널 기술을 쉽게 구현할 수 있는 유해트래픽 탐지/대응 방법 및 시스템을 제공함으로써, 향후 예측되지 못한 보안 공격을 포함한 다양한 유해트래픽에 대하여 효과적으로 탐지하고 대응할 수 있다.As described above, according to the present invention, by providing a harmful traffic detection / response method and system that can easily implement the sinkhole tunnel technology by using the policy routing function of the router and the policy resource control device, the security attack unexpected in the future It can effectively detect and respond to various harmful traffic including

이하, 본 발명의 일실시예를 첨부된 도면들을 참조하여 상세히 설명한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.Hereinafter, an embodiment of the present invention will be described in detail with reference to the accompanying drawings. In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear.

본 발명에서 유해트래픽은 분산공격트래픽, 바이러스 등을 모두 포함한다.The harmful traffic in the present invention includes all of the distributed attack traffic, viruses and the like.

도 1은 본 발명의 일실시예에 따른 유해트래픽 탐지/대응 방법 및 시스템을 나타낸 블럭 구성도이다.1 is a block diagram showing a harmful traffic detection / response method and system according to an embodiment of the present invention.

도 1을 참조하면, 본 발명에 따른 유해트래픽 탐지/대응 방법 및 시스템은 라우터(120), 정책 자원 제어 장치(Policy & Resource Control Entity)(130) 및 보 안 관리 서버(140) 등을 포함한다.Referring to FIG. 1, a harmful traffic detection / response method and system according to the present invention includes a router 120, a policy & resource control entity 130, a security management server 140, and the like. .

송신 단말(110) 및 수신 단말(150)은 휴대폰, PDA 및 스마트폰 등을 포함하는 IP 주소를 가지고 있는 단말기로서, VoIP, MMoIP 서비스 등을 제공할 수 있다.The transmitting terminal 110 and the receiving terminal 150 are terminals having an IP address including a mobile phone, a PDA, a smartphone, and the like, and may provide VoIP, MMoIP service, and the like.

라우터(120)는 정책 라우팅(Policy Routing) 기능을 갖으며, DFI(Dynamic Flow Identification) 기능 및 DPI(Deep Packet Inspection) 기능을 이용하여 수신된 데이터가 알려진 패턴(Pattern) 또는 시그니처(Signature)를 포함하는 유해트래픽인지 여부를 판정하고, 이와 동시에 수신된 데이터의 Cflowd 정보를 정책 자원 제어 장치(130)의 패턴 분석기(134)로 전송한다. 여기서, Cflowd 정보는 근원지 IP 주소, 목적지 IP 주소, 다음 홉 IP 주소, 패킷, 바이트, 플로우 시작 시간, 플로우 종료 시간, 근원지 포트, 목적지 포트 및 IP 프로토콜 등을 포함한다.The router 120 has a policy routing function and includes a pattern or signature in which received data is known using a dynamic flow identification (DFI) function and a deep packet inspection (DPI) function. It is determined whether the traffic is harmful, and at the same time, Cflowd information of the received data is transmitted to the pattern analyzer 134 of the policy resource control device 130. Here, the Cflowd information includes a source IP address, a destination IP address, a next hop IP address, a packet, a byte, a flow start time, a flow end time, a source port, a destination port, an IP protocol, and the like.

즉, 라우터(120)는 DFI 기능을 이용하여 이미 알려진 패턴의 분산공격에 대한 유해트래픽을 검출하고, DPI 기능을 통해 이미 알려진 바이러스에 대한 유해트래픽을 검출한다.That is, the router 120 detects harmful traffic for a distributed attack of a known pattern by using a DFI function, and detects harmful traffic for a known virus through a DPI function.

또한, 라우터(120)는 유해트래픽인 데이터를 IP 캡슐화(Encapsulation) 기능을 이용하여 캡슐화하고, 캡슐화된 데이터에 보안 관리 서버(140)의 IP 주소를 수신자로 지정한 헤더를 추가하여 보안 관리 서버(140)로 전송한다.In addition, the router 120 encapsulates harmful traffic data using an IP encapsulation function, and adds a header designating the IP address of the security management server 140 as a receiver to the encapsulated data. To send).

본 발명에 따른 정책 자원 제어 장치(130)는 전송 계층(Transport Stratum)에 존재하며, 정책 제어 서버(132) 및 패턴 분석기(134)를 포함한다.The policy resource control apparatus 130 according to the present invention exists in a transport stratum and includes a policy control server 132 and a pattern analyzer 134.

정책 제어 서버(132)는 라우터(120)의 DFI 기능 및 DPI 기능 수행을 위한 DFI 정보 및 DPI 정보를 라우터(120)로 전송한다. DFI 정보는 존속 기간, 평균 패 킷 크기, 평균 전송률 및 바이트 카운트 등의 범위를 포함하고, 라우터(120)는 이 범위를 벗어나면 해당 데이터를 유해트래픽으로 간주하게 된다.The policy control server 132 transmits the DFI information and the DPI information for performing the DFI function and the DPI function of the router 120 to the router 120. The DFI information includes a range of duration, average packet size, average transfer rate, and byte count, and when the router 120 is out of this range, the data is regarded as harmful traffic.

패턴 분석기(134)는 라우터(120)로부터 수신한 Cflowd 정보를 이용하여 수신된 데이터가 알려지지 않은 패턴 또는 시그니처를 포함하는 유해트래픽인지 여부를 판정한 후, 판정 결과를 라우터(120)로 전송한다.The pattern analyzer 134 determines whether the received data is harmful traffic including an unknown pattern or signature by using the Cflowd information received from the router 120, and then transmits the determination result to the router 120.

보안 관리 서버(140)는 캡슐화된 데이터를 라우터(120)로부터 수신하고, 캡슐화된 데이터가 유해트래픽인지 여부를 재확인하며, 캡슐화된 데이터가 유해트리픽이 아닌 경우, IP 역캡슐화(Decapsulation) 기능을 이용하여 캡슐화된 데이터를 역캡슐화하여 보안 관리 서버(140)의 IP 주소를 포함하는 헤더를 제거한 후 라우터(120)로 전송한다.The security management server 140 receives the encapsulated data from the router 120, double-checks whether the encapsulated data is harmful traffic, and, if the encapsulated data is not harmful traffic, performs IP decapsulation. By decapsulating the encapsulated data, the header including the IP address of the security management server 140 is removed and then transmitted to the router 120.

보안 관리 서버(140)는 캡슐화된 데이터가 유해트래픽인 경우, 캡슐화된 데이터의 근원지 IP 주소를 저장하고, 캡슐화된 데이터를 삭제하며, 근원지 IP 주소 관련 정보들을 정책 제어 서버(132)로 전송한다.When the encapsulated data is harmful traffic, the security management server 140 stores the source IP address of the encapsulated data, deletes the encapsulated data, and transmits source IP address related information to the policy control server 132.

정책 제어 서버(132)는 근원지 IP 주소를 갖는 데이터의 정책을 조정하고, 해당 정책을 라우터(120)로 전송하여 활성화한다. 즉, 정책 제어 서버(132)는 라우터(120)로 하여금 근원지 IP 주소를 갖는 데이터의 QoS(Quality of Service)(예컨대, Rate Limit 등)를 관리하고, 근원지 IP 주소를 사용하는 사용자의 플로우를 제어하도록 한다.The policy control server 132 adjusts the policy of the data having the source IP address and transmits the policy to the router 120 to activate it. That is, the policy control server 132 allows the router 120 to manage a quality of service (QoS) (eg, a rate limit, etc.) of data having a source IP address, and control a flow of a user using the source IP address. Do it.

도 2는 알려지지 않은 패턴 또는 시그니처를 포함하는 유해트래픽에 대한 유해트래픽 탐지/대응 방법을 나타낸 흐름도이다.2 is a flowchart illustrating a harmful traffic detection / response method for harmful traffic including an unknown pattern or signature.

도 2를 참조하면, 패턴 분석기(134)는 라우터(120)로부터 수신된 데이터의 Cflowd 정보를 수신하고(S210), 수신한 Cflowd 정보를 이용하여 수신된 데이터가 알려지지 않은 패턴 또는 시그니처를 포함하는 유해트래픽인지 여부를 판정한다(S220).Referring to FIG. 2, the pattern analyzer 134 receives Cflowd information of the data received from the router 120 (S210), and the harmful data including a pattern or a signature of which the received data is unknown using the received Cflowd information is included. It is determined whether the traffic (S220).

단계 S220에서 해당 데이터가 유해트래픽인 경우, 패턴 분석기(134)는 판정 결과를 라우터(120)로 전송하고, 라우터(120)는 데이터를 IP 캡슐화(Encapsulation) 기능을 이용하여 캡슐화하며(S230), 캡슐화된 데이터에 보안 관리 서버(140)의 IP 주소를 수신자로 지정한 헤더를 추가하여 보안 관리 서버(140)로 전송한다(S240).If the corresponding data is harmful traffic in step S220, the pattern analyzer 134 transmits the determination result to the router 120, and the router 120 encapsulates the data using an IP encapsulation function (S230). The header to which the IP address of the security management server 140 is designated as the receiver is added to the encapsulated data and transmitted to the security management server 140 (S240).

보안 관리 서버(140)는 캡슐화된 데이터가 유해트래픽인지 여부를 재확인하고(S250), 캡슐화된 데이터가 유해트래픽인 경우 캡슐화된 데이터를 삭제한다(S252).The security management server 140 checks again whether the encapsulated data is harmful traffic (S250), and deletes the encapsulated data when the encapsulated data is harmful traffic (S252).

단계 S250에서 캡슐화된 데이터가 유해트래픽이 아닌 경우, 캡슐화된 데이터를 역캡슐화하고(S260), 보안 관리 서버(140)의 IP 주소를 포함하는 헤더를 제거한 후 라우터(120)로 전송한다(S270).If the encapsulated data is not harmful traffic in step S250, the encapsulated data is decapsulated (S260), the header including the IP address of the security management server 140 is removed, and then transmitted to the router 120 (S270). .

도 3은 알려진 패턴 또는 시그니처를 포함하는 유해트래픽에 대한 유해트래픽 탐지/대응 방법을 나타낸 흐름도이다.3 is a flowchart illustrating a harmful traffic detection / response method for harmful traffic including a known pattern or signature.

도 3을 참조하면, 라우터(120)는 DFI 기능 및 DPI 기능을 수행하기 위해 정책 제어 서버(132)로부터 DFI 정보 및 DPI 정보를 수신하고(S310), DFI 기능 및 DPI 기능을 이용하여 수신된 데이터가 알려진 패턴 또는 시그니처를 포함하는 유해 트래픽인지 여부를 판정한다(S320).Referring to FIG. 3, the router 120 receives DFI information and DPI information from the policy control server 132 to perform the DFI function and the DPI function (S310), and the data received using the DFI function and the DPI function. It is determined whether is harmful traffic including a known pattern or signature (S320).

라우터(120)는 데이터를 IP 캡슐화(Encapsulation) 기능을 이용하여 캡슐화하며(S330), 캡슐화된 데이터에 보안 관리 서버(140)의 IP 주소를 수신자로 지정한 헤더를 추가하여 보안 관리 서버(140)로 전송한다(S340).The router 120 encapsulates the data using the IP encapsulation function (S330), and adds a header specifying the IP address of the security management server 140 as the receiver to the security management server 140. It transmits (S340).

보안 관리 서버(140)는 캡슐화된 데이터가 유해트래픽인지 여부를 재확인하고(S350), 캡슐화된 데이터가 유해트래픽인 경우 캡슐화된 데이터를 삭제한다(S352).The security management server 140 checks again whether the encapsulated data is harmful traffic (S350), and deletes the encapsulated data when the encapsulated data is harmful traffic (S352).

단계 S250에서 캡슐화된 데이터가 유해트래픽이 아닌 경우, 캡슐화된 데이터를 역캡슐화하고(S360), 보안 관리 서버(140)의 IP 주소를 포함하는 헤더를 제거한 후 라우터(120)로 전송한다(S370).If the encapsulated data is not harmful traffic in step S250, the encapsulated data is decapsulated (S360), the header including the IP address of the security management server 140 is removed, and then transmitted to the router 120 (S370). .

도 4는 본 발명의 일실시예에 따른 유해트래픽 대응 방법을 나타낸 흐름도이다.4 is a flowchart illustrating a harmful traffic response method according to an exemplary embodiment of the present invention.

도 4를 참조하면, 보안 관리 서버(140)는 라우터(120)로부터 캡슐화된 데이터를 수신하고, 캡슐화된 데이터가 유해트래픽인지 여부를 재확인한다(S410).Referring to FIG. 4, the security management server 140 receives the encapsulated data from the router 120 and re-confirms whether the encapsulated data is harmful traffic (S410).

보안 관리 서버(140)는 캡슐화된 데이터가 유해트래픽인 경우, 캡슐화된 뎅터의 근원지 IP 주소를 저장하고, 캡슐화된 데이터를 삭제한다(S420).If the encapsulated data is harmful traffic, the security management server 140 stores the source IP address of the encapsulated denter and deletes the encapsulated data (S420).

이어서, 보안 관리 서버(140)는 근원지 IP 주소를 정책 제어 서버(132)로 전송하고, 정책 제어 서버(132)는 근원지 IP 주소를 갖는 데이터의 정책을 조정하며(S430), 해당 정책을 라우터(120)로 전송하여 활성화한다(S440). 즉, 정책 제어 서버(132)는 라우터(120)로 하여금 근원지 IP 주소를 갖는 데이터의 QoS(Quality of Service)(예컨대, Rate Limit 등)를 관리하고, 근원지 IP 주소를 사용하는 사용자의 플로우를 제어하도록 한다.Subsequently, the security management server 140 transmits the source IP address to the policy control server 132, and the policy control server 132 adjusts the policy of the data having the source IP address (S430), and transmits the corresponding policy to the router ( 120 to activate (S440). That is, the policy control server 132 allows the router 120 to manage a quality of service (QoS) (eg, a rate limit, etc.) of data having a source IP address, and control a flow of a user using the source IP address. Do it.

보안 관리 서버(140)는 캡슐화된 데이터가 유해트래픽이 아닌 경우, 캡슐화된 데이터를 역캡슐화하여 라우터(120)로 전송한다(S412).If the encapsulated data is not harmful traffic, the security management server 140 decapsulates the encapsulated data and transmits the encapsulated data to the router 120 (S412).

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The foregoing description is merely illustrative of the technical idea of the present invention, and various changes and modifications may be made by those skilled in the art without departing from the essential characteristics of the present invention. Therefore, the embodiments disclosed in the present invention are intended to illustrate rather than limit the scope of the present invention, and the scope of the technical idea of the present invention is not limited by these embodiments. The protection scope of the present invention should be interpreted by the following claims, and all technical ideas within the equivalent scope should be interpreted as being included in the scope of the present invention.

도 1은 본 발명의 일실시예에 따른 유해트래픽 탐지/대응 방법 및 시스템을 나타낸 블럭 구성도,1 is a block diagram showing a harmful traffic detection / response method and system according to an embodiment of the present invention,

도 2는 알려지지 않은 패턴 또는 시그니처를 포함하는 유해트래픽에 대한 유해트래픽 탐지/대응 방법을 나타낸 흐름도,2 is a flowchart illustrating a harmful traffic detection / response method for harmful traffic including an unknown pattern or signature;

도 3은 알려진 패턴 또는 시그니처를 포함하는 유해트래픽에 대한 유해트래픽 탐지/대응 방법을 나타낸 흐름도,3 is a flowchart illustrating a harmful traffic detection / response method for harmful traffic including a known pattern or signature;

도 4는 본 발명의 일실시예에 따른 유해트래픽 대응 방법을 나타낸 흐름도이다.4 is a flowchart illustrating a harmful traffic response method according to an exemplary embodiment of the present invention.

< 도면의 주요 부분에 대한 부호의 설명 >Description of the Related Art

120: 라우터 130: 정책 자원 제어 장치120: router 130: policy resource control device

132: 정책 제어 서버 134: 패턴 분석기132: Policy Control Server 134: Pattern Analyzer

140: 보안 관리 서버140: security management server

Claims (12)

DFI(Dynamic Flow Identification) 기능 및 DPI(Deep Packet Inspection) 기능을 이용하여 수신된 데이터가 유해트래픽인지 여부를 판정하고, 상기 수신된 데이터의 Cflowd 정보를 전송한 후, 유해트래픽으로 판정된 데이터를 캡슐화하는 라우터;Determine whether the received data is harmful traffic by using the Dynamic Flow Identification (DFI) function and the Deep Packet Inspection (DPI) function, transmit the flow information of the received data, and then encapsulate the data determined as harmful traffic. A router; 상기 라우터로부터 상기 Cflowd 정보를 수신하고, 수신한 Cflowd 정보를 이용하여 상기 수신된 데이터가 유해트래픽인지 여부를 판정한 후, 판정 결과를 상기 라우터로 전송하는 정책 자원 제어 장치; 및A policy resource control device which receives the Cflowd information from the router, determines whether the received data is harmful traffic by using the received Cflowd information, and transmits a determination result to the router; And 상기 라우터로부터 상기 캡슐화된 데이터를 수신하고, 상기 캡슐화된 데이터가 유해트래픽인지 여부를 재확인한 후, 상기 캡슐화된 데이터를 처리하는 보안 관리 서버;A security management server that receives the encapsulated data from the router, reconfirms whether the encapsulated data is harmful traffic, and processes the encapsulated data; 를 포함하는 유해트래픽 탐지/대응 시스템.Harmful traffic detection / response system comprising a. 제1항에 있어서, 상기 정책 자원 제어 장치는,The apparatus of claim 1, wherein the policy resource control device comprises: 상기 라우터에게 DFI 정보 및 DPI 정보를 제공하는 정책 제어 서버; 및A policy control server providing DFI information and DPI information to the router; And 상기 Cflowd 정보를 이용하여 상기 수신된 데이터가 유해트래픽인지 여부를 판정하는 패턴 분석기;A pattern analyzer for determining whether the received data is harmful traffic using the flow information; 를 포함하는 것을 특징으로 하는 유해트래픽 탐지/대응 시스템.Harmful traffic detection / response system comprising a. 제2항에 있어서,3. The method of claim 2, 상기 보안 관리 서버는 상기 캡슐화된 데이터가 유해트래픽인 경우, 상기 캡슐화된 데이터의 근원지 IP 주소를 저장하고, 상기 캡슐화된 데이터를 삭제하는 것을 특징으로 하는 유해트래픽 탐지/대응 시스템.The security management server, if the encapsulated data is harmful traffic, harmful traffic detection / response system, characterized in that for storing the source IP address of the encapsulated data, and delete the encapsulated data. 제3항에 있어서,The method of claim 3, 상기 보안 관리 서버는 상기 근원지 IP 주소를 상기 정책 제어 서버로 전송하는 것을 특징으로 하는 유해트래픽 탐지/대응 시스템.The security management server is harmful traffic detection / response system, characterized in that for transmitting the source IP address to the policy control server. 제4항에 있어서,5. The method of claim 4, 상기 정책 제어 서버는 상기 라우터로 하여금 상기 근원지 IP 주소를 갖는 데이터의 QoS(Quality of Service)를 관리하고, 상기 근원지 IP 주소를 사용하는 사용자의 플로우를 제어하도록 하는 것을 특징으로 하는 유해트래픽 탐지/대응 시스템.The policy control server allows the router to manage quality of service (QoS) of data having the source IP address and to control the flow of a user using the source IP address. system. 제1항에 있어서,The method of claim 1, 상기 보안 관리 서버는 상기 캡슐화된 데이터가 정상적인 트래픽인 경우, 상기 캡슐화된 데이터를 역캡슐화하여 상기 라우터로 전송하는 것을 특징으로 하는 유해트래픽 탐지/대응 시스템.The security management server, if the encapsulated data is normal traffic, harmful traffic detection / response system, characterized in that the encapsulated data to be decapsulated and transmitted to the router. 제1항에 있어서,The method of claim 1, 상기 Cflowd 정보는 근원지 IP 주소, 목적지 IP 주소, 다음 홉 IP 주소, 패킷, 바이트, 플로우 시작 시간, 플로우 종료 시간, 근원지 포트, 목적지 포트 및 IP 프로토콜 중 적어도 하나를 포함하는 것을 특징으로 하는 유해트래픽 탐지/대응 시스템.The Cflowd information includes at least one of source IP address, destination IP address, next hop IP address, packet, byte, flow start time, flow end time, source port, destination port, and IP protocol. / Response system. 수신된 데이터가 유해 트래픽인지 여부를 판정하는 단계;Determining whether the received data is harmful traffic; 상기 수신된 데이터가 유해트래픽인 경우, 상기 수신된 데이터를 캡슐화하는 단계; 및If the received data is harmful traffic, encapsulating the received data; And 상기 캡슐화된 데이터가 유해트래픽인지 여부를 재확인한 후, 상기 캡슐화된 데이터를 처리하는 단계;Reconfirming whether the encapsulated data is harmful traffic, and then processing the encapsulated data; 를 포함하는 유해트래픽 탐지/대응 방법.Harmful traffic detection / response method comprising a. 제8항에 있어서, 상기 수신된 데이터가 유해 트래픽인지 여부를 판정하는 단계는,The method of claim 8, wherein determining whether the received data is harmful traffic comprises: 수신된 데이터가 알려진 패턴 또는 시그니처를 포함하는 유해트래픽인 경우, DFI(Dynamic Flow Identification) 기능 및 DPI(Deep Packet Inspection) 기능을 이용하여 상기 수신된 데이터가 유해트래픽인지 여부를 판정하는 단계; 및When the received data is harmful traffic including a known pattern or signature, determining whether the received data is harmful traffic by using a dynamic flow identification (DFI) function and a deep packet inspection (DPI) function; And 상기 수신된 데이터가 알려지지 않은 패턴 또는 시그니처를 포함하는 유해트래픽인 경우, 상기 수신된 데이터의 Cflowd 정보를 이용하여 상기 수신된 데이터가 유해트래픽인지 여부를 판정하는 단계;If the received data is harmful traffic including an unknown pattern or signature, determining whether the received data is harmful traffic using Cflowd information of the received data; 를 포함하는 것을 특징으로 하는 유해트래픽 탐지/대응 방법.Harmful traffic detection / response method comprising a. 제9항에 있어서,10. The method of claim 9, 상기 Cflowd 정보는 근원지 IP 주소, 목적지 IP 주소, 다음 홉 IP 주소, 패킷, 바이트, 플로우 시작 시간, 플로우 종료 시간, 근원지 포트, 목적지 포트 및 IP 프로토콜 중 적어도 하나를 포함하는 것을 특징으로 하는 유해트래픽 탐지/대응 방법.The Cflowd information includes at least one of source IP address, destination IP address, next hop IP address, packet, byte, flow start time, flow end time, source port, destination port, and IP protocol. / Response method. 제8항에 있어서, 상기 캡슐화된 데이터를 처리하는 단계는,The method of claim 8, wherein processing the encapsulated data comprises: 상기 캡슐화된 데이터가 유해트래픽인 경우, 상기 캡슐화된 데이터의 근원지 IP 주소를 저장하고, 상기 캡슐화된 데이터를 삭제하는 단계; 및If the encapsulated data is harmful traffic, storing the source IP address of the encapsulated data and deleting the encapsulated data; And 상기 근원지 IP 주소를 갖는 데이터의 QoS(Quality of Service)를 관리하고, 상기 근원지 IP 주소를 사용하는 사용자의 플로우를 제어하는 단계;Managing a quality of service (QoS) of data having the source IP address and controlling a flow of a user using the source IP address; 를 포함하는 것을 특징으로 하는 유해트래픽 탐지/대응 방법.Harmful traffic detection / response method comprising a. 제11항에 있어서,12. The method of claim 11, 상기 캡슐화된 데이터가 정상적인 트래픽인 경우, 상기 캡슐화된 데이터를 역캡슐화하여 전송하는 단계;If the encapsulated data is normal traffic, decapsulating and transmitting the encapsulated data; 를 더 포함하는 것을 특징으로 하는 유해트래픽 탐지/대응 방법.Harmful traffic detection / response method characterized in that it further comprises.
KR1020090046007A 2008-12-03 2009-05-26 Method and System for Detecting and Responsing Harmful Traffic KR101172889B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US12/620,710 US8402538B2 (en) 2008-12-03 2009-11-18 Method and system for detecting and responding to harmful traffic

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020080122062 2008-12-03
KR20080122062 2008-12-03

Publications (2)

Publication Number Publication Date
KR20100063633A KR20100063633A (en) 2010-06-11
KR101172889B1 true KR101172889B1 (en) 2012-08-10

Family

ID=42363555

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090046007A KR101172889B1 (en) 2008-12-03 2009-05-26 Method and System for Detecting and Responsing Harmful Traffic

Country Status (1)

Country Link
KR (1) KR101172889B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9840035B2 (en) 2016-04-15 2017-12-12 Cc3D Llc Head and system for continuously manufacturing composite hollow structure

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100427179B1 (en) 2001-11-22 2004-04-14 한국전자통신연구원 Attacker isolation method and system using packet filtering at the border router of ISP
KR100596395B1 (en) 2004-12-16 2006-07-04 한국전자통신연구원 System for handling encrypted abnormal traffic in IPv4/IPv6 network and method thereof
US20070157306A1 (en) 2005-12-30 2007-07-05 Elrod Craig T Network threat detection and mitigation
KR100819036B1 (en) 2005-12-08 2008-04-02 한국전자통신연구원 Traffic Authentication Equipment using Packet Header Information and Method thereof

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100427179B1 (en) 2001-11-22 2004-04-14 한국전자통신연구원 Attacker isolation method and system using packet filtering at the border router of ISP
KR100596395B1 (en) 2004-12-16 2006-07-04 한국전자통신연구원 System for handling encrypted abnormal traffic in IPv4/IPv6 network and method thereof
KR100819036B1 (en) 2005-12-08 2008-04-02 한국전자통신연구원 Traffic Authentication Equipment using Packet Header Information and Method thereof
US20070157306A1 (en) 2005-12-30 2007-07-05 Elrod Craig T Network threat detection and mitigation

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9840035B2 (en) 2016-04-15 2017-12-12 Cc3D Llc Head and system for continuously manufacturing composite hollow structure

Also Published As

Publication number Publication date
KR20100063633A (en) 2010-06-11

Similar Documents

Publication Publication Date Title
US11784928B2 (en) System and method for dataplane-signaled packet capture in IPv6 environment
US8402538B2 (en) Method and system for detecting and responding to harmful traffic
Quinn et al. Network service header (NSH)
US10270691B2 (en) System and method for dataplane-signaled packet capture in a segment routing environment
CN113132342B (en) Method, network device, tunnel entry point device, and storage medium
CN108040057B (en) Working method of SDN system suitable for guaranteeing network security and network communication quality
US20120023552A1 (en) Method for detection of a rogue wireless access point
CA2410522A1 (en) Packet data communications
Žagar et al. Security aspects in IPv6 networks–implementation and testing
Yao et al. VASE: Filtering IP spoofing traffic with agility
Kumarasamy et al. Distributed denial of service (DDoS) attacks detection mechanism
KR101172889B1 (en) Method and System for Detecting and Responsing Harmful Traffic
Patel et al. A Snort-based secure edge router for smart home
Taranum et al. Maneuvering black-hole attack using different traffic generators in MANETs
Ho et al. A secured openflow-based switch architecture
Albadri Development of a network packet sniffing tool for internet protocol generations
KR100656405B1 (en) Method for preventing attack in ipv4/ipv6 stack network and the apparatus thereof
CN111464527B (en) Router advertisement protection mechanism filtering strategy detection method and device based on multipoint coordination
Bavosa GPRS security threats and solution recommendations
Quinn et al. RFC 8300: Network Service Header (NSH)
JP2008028720A (en) Ip network apparatus capable of controlling send side ip address arrogating ip packet, and send side ip address arrogating ip packet control method
CN113839909B (en) Method, device and system for processing data message
Priyanka et al. IP Traceback Techniques–A Selective Survey
Bundela et al. A secure routing in ad-hoc network
Koch Changing network behavior

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150722

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160622

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180731

Year of fee payment: 7