KR101218698B1 - Method of realizing network security solution for supporting several IP version - Google Patents

Method of realizing network security solution for supporting several IP version Download PDF

Info

Publication number
KR101218698B1
KR101218698B1 KR1020060010748A KR20060010748A KR101218698B1 KR 101218698 B1 KR101218698 B1 KR 101218698B1 KR 1020060010748 A KR1020060010748 A KR 1020060010748A KR 20060010748 A KR20060010748 A KR 20060010748A KR 101218698 B1 KR101218698 B1 KR 101218698B1
Authority
KR
South Korea
Prior art keywords
network
version
ipv4
network packet
ipv6
Prior art date
Application number
KR1020060010748A
Other languages
Korean (ko)
Other versions
KR20070079787A (en
Inventor
이해진
Original Assignee
주식회사 엘지씨엔에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘지씨엔에스 filed Critical 주식회사 엘지씨엔에스
Priority to KR1020060010748A priority Critical patent/KR101218698B1/en
Publication of KR20070079787A publication Critical patent/KR20070079787A/en
Application granted granted Critical
Publication of KR101218698B1 publication Critical patent/KR101218698B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 IP 헤더부분의 버전정보에 근거하여 입력되는 네트워크 패킷을 버전별로 구분하여 처리함으로써 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법에 관한 것이다. 본 발명에 따른 제 1 실시예에서, 네트워크 디바이스 드라이버(201)는 입력되는 네트워크 패킷의 버전을, 20 바이트(byte)의 IP 헤더부분 가운데 최초 4 비트(bit) 버전정보에 근거하여 확인하고(S401), 상기 확인된 버전에 따라 네트워크 패킷을 구분하여 임시저장한다(S402). 이어, 라이브러리(102)는 상기 임시저장된 네트워크 패킷을 각각 로드(load)하여(S403) 해당 엔진(101a,101b)에 송신하고, 패턴 매칭 엑셀레이터(300)는, IPv4 및 IPv6 엔진(101a, 101b), 라이브러리(102) 및 패턴 매칭 엑셀레이터 드라이버(301)를 거쳐 수신된 네트워크 패킷의 페이로드(payload) 부분을, 기 저장된 소정 개수의 침입 패턴(pattern)과 순차적으로 비교한다(S404). 비교결과 동일한 경우(S405의 예), IPv4 및 IPv6 엔진(101a, 101b)은 상기 비교결과를 저장하고(S406) 선택적으로 해당 네트워크 패킷의 입력을 차단하게 된다(S407). 이에 따라, 본 발명은 유동적인 네트워크 보안 관련 시장상황에 보다 능동적으로 대처할 수 있도록 한 매우 유용한 발명인 것이다.The present invention relates to a network security solution implementation method that supports a plurality of IP versions by classifying and processing the input network packet based on the version information of the IP header portion. In the first embodiment according to the present invention, the network device driver 201 checks the version of the input network packet based on the first 4 bit version information among the 20 byte IP header portions (S401). In step S402, network packets are classified and stored according to the checked version. Subsequently, the library 102 loads the temporarily stored network packets (S403) and transmits them to the corresponding engines 101a and 101b, and the pattern matching accelerator 300 receives the IPv4 and IPv6 engines 101a and 101b. In operation S404, the payload portion of the network packet received through the library 102 and the pattern matching accelerator driver 301 is sequentially compared with a predetermined number of intrusion patterns. If the comparison result is the same (YES in S405), the IPv4 and IPv6 engines 101a and 101b store the comparison result (S406) and selectively block the input of the corresponding network packet (S407). Accordingly, the present invention is a very useful invention that can more actively cope with the fluid network security-related market situation.

네트워크 패킷, IP 버전, IPv4, IPv6, IP 헤더 Network packet, IP version, IPv4, IPv6, IP header

Description

복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법{Method of realizing network security solution for supporting several IP version}Method of realizing network security solution for supporting several IP version}

도 1은 종래의 IPv4를 지원하는 네트워크 보안솔루션 구현방법이 적용된 시스템의 구성블럭도이다.1 is a block diagram illustrating a system to which a conventional method for implementing a network security solution supporting IPv4 is applied.

도 2는 본 발명에 따른 제 1 실시예에 적용되는 시스템의 구성블럭도이다.2 is a configuration block diagram of a system applied to the first embodiment according to the present invention.

도 3은 네트워크 패킷에서 IP 헤더 부분의 포맷(format)을 도시한 것이다.3 illustrates the format of an IP header portion in a network packet.

도 4는 본 발명에 따른 제 1 실시예에 적용되는 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법의 흐름도이다.4 is a flowchart illustrating a method for implementing a network security solution supporting a plurality of IP versions applied to the first embodiment according to the present invention.

<도면의 주요부분에 대한 부호의 설명>          <Description of the symbols for the main parts of the drawings>

10,100 : GUI 관리콘솔 11,101a : IPv4 엔진10,100: GUI management console 11,101a: IPv4 engine

12,102 : 라이브러리 20,200 : 네트워크 디바이스12,102 library 20,200 network device

21,201 : 네트워크 디바이스 드라이버21,201: Network Device Drivers

22,202a : IPv4 프로토콜(protocol) 스택(stack)22,202a: IPv4 protocol stack

30,300 : 패턴 매칭 엑셀레이터 30,300: Pattern Matching Accelerator

31,301 : 패턴 매칭 엑셀레이터 드라이버31,301: Pattern Matching Accelerator Driver

101b : IPv6 엔진 202b: IPv6 프로토콜 스택101b: IPv6 engine 202b: IPv6 protocol stack

본 발명은 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법에 관한 것으로서, 보다 상세하게는 IP 헤더 부분의 버전정보에 근거하여 입력되는 네트워크 패킷을 버전별로 구분하여 처리함으로써 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법에 관한 것이다.The present invention relates to a method for implementing a network security solution that supports a plurality of IP versions, and more particularly, to process a plurality of IP versions by classifying and processing an input network packet based on version information of an IP header part. The present invention relates to a network security solution implementation method.

인터넷이 정보화사회에서 정보통신 인프라(infra)로 자리매김함에 따라, 인터넷 사용매체 증가로 인해 인터넷 사용 주소의 부족 현상이 심화되고 있다.As the Internet has become an information and communication infrastructure (infra) in the information society, the shortage of the Internet address is intensifying due to the increase of the Internet use media.

지금까지 통상적으로 이용되어왔던 인터넷 주소인 IPv4는 xxx.xxx.xxx.xxx의 형식이며, 도 1은 종래의 IPv4를 지원하는 네트워크 보안솔루션 구현방법이 적용된 시스템의 구성블럭도로서, 상기 시스템 상단의 네트워크 침입탐지 시스템과 하단의 방화벽 시스템은 연동하여 동작한다.IPv4, which is a conventionally used Internet address, has a format of xxx.xxx.xxx.xxx, and FIG. 1 is a block diagram of a system to which a conventional network security solution implementation method is applied. The network intrusion detection system and the lower firewall system work in conjunction.

도 1에 도시된 바와 같이, 종래의 IPv4를 지원하는 네트워크 보안솔루션 구현방법이 적용된 시스템 상단의 네트워크 침입탐지 시스템에서, GUI(graphical user interface) 관리 콘솔(consol)(10)은 IP 버전이 IPv4인 엔진을 등록하여 관리 할 수 있으며 침입 방지 정책, 방화벽 정책, NAT(network address translation) 정책, QoS 정책을 적용/관리하고 침입 탐지/차단 결과(log)나 방화벽 로그 등을 확인할 수 있는 모니터링 기능을 제공한다.As shown in FIG. 1, in a network intrusion detection system on a system to which a conventional method for implementing a network security solution supporting IPv4 is applied, a graphical user interface (GUI) management console 10 has an IP version of IPv4. The engine can be registered and managed, and it provides monitoring functions to apply / manage intrusion prevention policy, firewall policy, NAT (network address translation) policy, QoS policy, and check intrusion detection / blocking result log or firewall log. do.

상기 네트워크 침입탐지 시스템에서, IPv4 엔진(11)은, IP 버전이 IPv4인 네트워크 패킷을 라이브러리(12)로부터 수신한 후 IP 헤더 부분을 제외한 나머지 부분 즉 페이로드(payload) 부분만 후술되는 방화벽 시스템의 패턴 매칭 엑셀레이터 드라이버(31) 및 패턴 매칭 엑셀레이터(30)로 송신한다. 그리고 IPv4 엔진(11)은, 상기 패턴 매칭 엑셀레이터(30)로부터 침입 패턴 비교결과를 수신받아 상기 수행된 비교결과 즉 로그(log)를 저장하고 상기 비교결과에 따라 선택적으로 해당 네트워크 패킷의 입력을 차단시키는 네트워크 침입 방지 기능, NAT 기능, QoS 기능을 수행한다.In the network intrusion detection system, the IPv4 engine 11 receives a network packet having an IP version of IPv4 from the library 12, and then, except for the IP header portion, that is, only the payload portion of the firewall system is described below. It transmits to the pattern matching accelerator driver 31 and the pattern matching accelerator 30. The IPv4 engine 11 receives the intrusion pattern comparison result from the pattern matching accelerator 30, stores the comparison result, that is, a log, and selectively blocks the input of the corresponding network packet according to the comparison result. It performs network intrusion prevention function, NAT function, and QoS function.

그리고, 상기 라이브러리(12)는 후술되는 방화벽 시스템의 IPv4 프로토콜 스택(22)에 임시저장된 네트워크 패킷을 로드(load)하여 지정된 형식에 맞게 처리한 후 상기 IPv4 엔진(11)에 송신한다.The library 12 loads the network packet temporarily stored in the IPv4 protocol stack 22 of the firewall system described later, processes the packet according to a designated format, and transmits the packet to the IPv4 engine 11.

그리고, 종래의 IPv4를 지원하는 네트워크 보안솔루션 구현방법이 적용된 시스템 하단의 방화벽 시스템에서, 네트워크 디바이스(20)는 네트워크 패킷이 입력되는 물리적인 장치이고, 네트워크 디바이스 드라이버(21)는 상기 네트워크 디바이스(20)를 통해 입력되는 네트워크 패킷을 IPv4 프로토콜 스택(22)에 임시저장한다.In addition, in the firewall system at the bottom of the system to which the conventional network security solution implementation method supporting IPv4 is applied, the network device 20 is a physical device to which a network packet is input, and the network device driver 21 is the network device 20. Temporarily stores the network packet input through the IPv4 protocol stack 22.

아울러, 상기 방화벽 시스템에서 패턴 매칭 엑셀레이터(30)는, 상기 네트워크 침입탐지 시스템의 IPv4 엔진(11)으로부터 수신된 IPv4 의 네트워크 패킷을, 기 저장된 소정 개수의 침입 패턴(pattern)과 순차적으로 비교한다. 그리고 패턴 매칭 엑셀레이터(30)는 상기 비교결과를 패턴 매칭 엑셀레이터 드라이버(31)를 통해 상기 IPv4 엔진(11)에 송신한다.In the firewall system, the pattern matching accelerator 30 sequentially compares network packets of IPv4 received from the IPv4 engine 11 of the network intrusion detection system with a predetermined number of intrusion patterns stored in advance. The pattern matching accelerator 30 transmits the comparison result to the IPv4 engine 11 through the pattern matching accelerator driver 31.

상기와 같이 구성되고 동작하는 종래의 IPv4를 지원하는 네트워크 보안솔루션 구현방법이 적용된 시스템은 IP 버전이 IPv4 인 하나의 IP 버전에 대해서만 지원하고 있다. The system to which the conventional network security solution implementation method that supports and configures the above-described IPv4 is applied supports only one IP version whose IP version is IPv4.

그런데, IPv4에 의한 주소 고갈 문제와 더불어 라우팅의 효율성, 보안 기능 이동성 지원, QoS 보장 등을 위해, xxx.xxx.xxx.xxx.xxx.xxx 의 형식을 갖는 새로운 인터넷 주소 IP 버전 IPv6가 개발됨에 따라, 현재는 IPv4가 많이 사용되고 있지만 점차 IPv6가 많이 이용될 예정이며 정부의 IT 839 정책에 따라 우리나라에서도 향후 10년 내에 IPv6로 옮겨갈 전망이다.However, in order to solve the problem of address exhaustion by IPv4, routing efficiency, security feature mobility support, and QoS guarantee, as the new version of the Internet address IP version IPv6 having the format xxx.xxx.xxx.xxx.xxx.xxx has been developed, Currently, IPv4 is widely used, but IPv6 will be gradually used, and according to the government's IT 839 policy, Korea is expected to move to IPv6 within the next 10 years.

따라서, IPv4와 IPv6의 인터넷 주소가 혼용되고 있어 IPv4와 IPv6를 동시에 지원할 수 있는 보안제품이 요구되며, 더 나아가 향후 새롭게 제안될 다양한 IP 버전을 모두 지원할 수 있는 보안제품의 개발이 시급히 요구되고 있는 실정이다.Therefore, because IPv4 and IPv6 internet addresses are mixed, there is a need for a security product capable of supporting both IPv4 and IPv6 simultaneously. Furthermore, there is an urgent need to develop a security product that can support all of the various IP versions to be proposed in the future. to be.

따라서, 본 발명은 상기와 같은 요구를 해결하기 위해 창작된 것으로서, IP 헤더 부분의 버전정보에 근거하여 입력되는 네트워크 패킷을 버전별로 구분하여 처리함으로써 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법을 제공하는 데 그 목적이 있다.Therefore, the present invention was created to solve the above-mentioned requirements, and implements a network security solution method for supporting a plurality of IP versions by processing the network packets inputted by version based on the version information of the IP header part. The purpose is to provide.

상술한 목적을 달성하기 위한 본 발명의 제 1 실시예에 따른 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법은, 입력되는 네트워크 패킷(packet)의 IP(Internet Protocol) 버전(version)을 확인하는 제 1 단계; 상기 확인된 버전에 따라, 상기 네트워크 패킷을 구분하여 임시저장하는 제 2 단계; 상기 임시저장된 각각의 네트워크 패킷에서 IP 헤더(header) 부분을 제외한 나머지 부분을, 기 저장된 소정 개수의 침입 패턴(pattern)과 순차적으로 비교하는 제 3 단계; 그리고 상기 비교결과 동일하면, 해당 네트워크 패킷을 선택적으로 차단하는 제 4 단계를 포함한다.Network security solution implementation method for supporting a plurality of IP version according to the first embodiment of the present invention for achieving the above object, to check the IP (Internet Protocol) version (version) of the network packet (packet) input First step; A second step of classifying and temporarily storing the network packet according to the checked version; A third step of sequentially comparing the remaining portions except for the IP header portion in each of the temporarily stored network packets with a predetermined number of intrusion patterns stored in advance; And if the comparison result is the same, a fourth step of selectively blocking the corresponding network packet.

상기 IP 버전은 IPv4 또는 IPv6일 수 있다.The IP version may be IPv4 or IPv6.

상기 제 1단계는, 상기 네트워크 패킷의 IP 헤더 부분의 최초 4비트 버전정보에 근거할 수 있다.The first step may be based on first 4-bit version information of an IP header portion of the network packet.

이상과 같은 흐름에 의해, 본 발명에 따른 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법은, IP 헤더 부분의 버전정보에 근거하여 입력되는 네트워크 패킷을 버전별로 구분하여 처리함으로써 복수의 IP 버전을 지원하도록 한다.According to the above-described flow, the network security solution implementation method for supporting a plurality of IP versions according to the present invention, the plurality of IP versions by processing the network packet inputted by the version based on the version information of the IP header portion. Support.

이하에서는, 도면을 참조하여 복수의 IP 버전을 지원하는 네트워크 보안솔루 션 구현방법에 대하여 보다 상세히 설명하기로 한다.Hereinafter, a method for implementing a network security solution supporting a plurality of IP versions will be described in detail with reference to the accompanying drawings.

참고로, 본 실시예에서는 네트워크 패킷의 IP 버전이 IPv4 및 IPv6 인 것에 대해서만 언급하였으나, 향후 IPv4 및 IPv6 를 제외한 보다 다양한 IP 버전이 개발 보급되는 경우에도 본 발명의 기본적인 사상을 벗어나지 않는 한도 내에서 동일하게 적용실시될 수 있음을 미리 말해둔다.For reference, in the present embodiment, only the IP version of the network packet is referred to as IPv4 and IPv6, but even if more IP versions except for IPv4 and IPv6 are developed and distributed in the future, the same without departing from the basic spirit of the present invention. It can be said that it can be applied in advance.

도 2는 본 발명에 따른 제 1 실시예에 적용되는 시스템의 구성블럭도로서 상기 시스템 상단의 네트워크 침입탐지 시스템과 하단의 방화벽 시스템은 연동하여 동작하고, 도 3은 네트워크 패킷에서 IP 헤더 부분의 포맷(format)을 도시한 것이다.FIG. 2 is a block diagram illustrating a system applied to the first embodiment of the present invention. The network intrusion detection system at the top of the system and the firewall system at the bottom operate in conjunction with each other. FIG. 3 is a format of an IP header portion of a network packet. (format) is shown.

도 2에 도시된 바와 같이 본 발명에 따른 제 1 실시예에 적용되는 시스템 상단의 네트워크 침입탐지 시스템에서, GUI 관리 콘솔(100)은 IP 버전이 IPv4 및 IPv6인 엔진을 등록하여 관리할 수 있으며 침입 방지 정책, 방화벽 정책, NAT 정책, QoS 정책을 적용/관리하고 침입 탐지/차단 결과(log)나 방화벽 로그 등을 확인할 수 있는 모니터링 기능을 제공한다.In the network intrusion detection system on the top of the system applied to the first embodiment according to the present invention as shown in FIG. 2, the GUI management console 100 may register and manage an engine whose IP versions are IPv4 and IPv6. It provides monitoring function to apply / manage prevention policy, firewall policy, NAT policy, QoS policy, and check intrusion detection / blocking result log or firewall log.

상기 네트워크 침입탐지 시스템에서, IPv4 및 IPv6 엔진(101a, 101b)은, IP 버전이 각각 IPv4 및 IPv6인 네트워크 패킷을 라이브러리(102)로부터 각각 수신한 후 IP 헤더 부분을 제외한 나머지 부분 즉 페이로드(payload) 부분만 후술되는 방화벽 시스템의 패턴 매칭 엑셀레이터 드라이버(301) 및 패턴 매칭 엑셀레이터(300)로 송신한다.In the network intrusion detection system, the IPv4 and IPv6 engines 101a and 101b receive network packets having IP versions of IPv4 and IPv6, respectively, from the library 102, and then pay the rest of the packet except the IP header. ) Is transmitted to the pattern matching accelerator driver 301 and the pattern matching accelerator 300 of the firewall system which will be described later.

그리고 IPv4 및 IPv6 엔진(101a, 101b)은, 상기 패턴 매칭 엑셀레이터(300)로부터 침입 패턴 비교결과를 수신받아 상기 수행된 비교결과 즉 로그(log)를 저장하고 상기 비교결과에 따라 선택적으로 해당 네트워크 패킷의 입력을 차단시키는 네트워크 침입 방지 기능, NAT 기능, QoS 기능을 수행한다.The IPv4 and IPv6 engines 101a and 101b receive the intrusion pattern comparison result from the pattern matching accelerator 300 and store the comparison result, that is, the log, and optionally the corresponding network packet according to the comparison result. Perform network intrusion prevention function, NAT function, QoS function to block input

상기 라이브러리(102)는 후술되는 방화벽 시스템의 IPv4 프로토콜 스택(22)에 임시저장된 네트워크 패킷을 IP 버전별로 각각 로드(load)하여 지정된 형식에 맞게 처리한 후 IP 버전별로 상기 IPv4 및 IPv6 엔진(101a, 101b)에 각각 송신한다.The library 102 loads the network packets temporarily stored in the IPv4 protocol stack 22 of the firewall system to be described below for each IP version and processes them according to a specified format, and then the IPv4 and IPv6 engines 101a, 101b).

그리고, 본 발명에 따른 제 1 실시예에 적용되는 시스템 하단의 방화벽 시스템에서, 네트워크 디바이스(200)는 일반적인 컴퓨터 시스템에서 랜(LAN) 카드로 예시될 수 있으며 네트워크 패킷이 입력되는 물리적인 장치이다. In the firewall system at the bottom of the system applied to the first embodiment according to the present invention, the network device 200 may be exemplified as a LAN card in a general computer system and is a physical device to which a network packet is input.

그리고 상기 방화벽 시스템에서, 네트워크 디바이스 드라이버(201)는 일반적인 컴퓨터 시스템에서 랜(LAN) 카드 드라이버로 예시될 수 있으며 상기 네트워크 디바이스(200)를 통해 입력되는 네트워크 패킷을 IP 버전에 따라 IPv4 및 IPv6 프로토콜 스택(202a, 202b)에 각각 임시저장한다. 이때, 상기 네트워크 디바이스 드라이버(201)는 상기 네트워크 디바이스(200)를 통해 입력되는 네트워크 패킷의 IP 헤더 부분의 최초 4비트 버전정보(도 3을 참조)에 근거하여 상기 네트워크 패킷을 IPv4 및 IPv6 프로토콜 스택(202a, 202b)에 구분시켜 임시저장하는 것이다.In the firewall system, the network device driver 201 may be exemplified as a LAN card driver in a general computer system, and the network packet inputted through the network device 200 may be configured according to the IP version of the IPv4 and IPv6 protocol stacks. Temporarily stored in 202a and 202b, respectively. At this time, the network device driver 201 stacks the network packet based on the first 4-bit version information (see FIG. 3) of the IP header portion of the network packet inputted through the network device 200. It is divided into 202a and 202b and stored temporarily.

아울러, 상기 방화벽 시스템에서 패턴 매칭 엑셀레이터(300)는, 상기 네트워크 침입탐지 시스템의 IPv4 및 IPv6 엔진(101a, 101b)으로부터 수신된 IPv4 및 IPv6의 네트워크 패킷을, 기 저장된 소정 개수의 침입 패턴(pattern)과 순차적으로 비교한다. 그리고 패턴 매칭 엑셀레이터(300)는 상기 비교결과를 패턴 매칭 엑셀레이터 드라이버(301)를 통해 상기 IPv4 및 IPv6 엔진(101a, 101b)에 각각 송신함으로써, IPv4 및 IPv6 엔진(101a, 101b)는 상기 비교결과 즉 로그(log)를 저장하고 비교결과에 따라 선택적으로 해당 네트워크 패킷의 입력을 차단시키는 네트워크 침입 방지 기능, NAT 기능, QoS 기능을 수행한다.In addition, the pattern matching accelerator 300 in the firewall system, the network packet of the IPv4 and IPv6 received from the IPv4 and IPv6 engine (101a, 101b) of the network intrusion detection system, a predetermined number of pre-stored intrusion pattern (pattern) And compare sequentially. The pattern matching accelerator 300 transmits the comparison result to the IPv4 and IPv6 engines 101a and 101b through the pattern matching accelerator driver 301, so that the IPv4 and IPv6 engines 101a and 101b respectively receive the comparison result. It performs network intrusion prevention function, NAT function, and QoS function to save log and selectively block the input of corresponding network packet according to the comparison result.

도 4는 본 발명에 따른 제 1 실시예에 적용되는 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법의 흐름도이다.4 is a flowchart illustrating a method for implementing a network security solution supporting a plurality of IP versions applied to the first embodiment according to the present invention.

이하에서는, 상기와 같이 구성되는 시스템의 동작을 참고하여, 본 발명에 따른 제 1 실시예에 적용되는 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법에 대해 상세히 설명하기로 한다.Hereinafter, a method of implementing a network security solution supporting a plurality of IP versions applied to the first embodiment according to the present invention will be described in detail with reference to the operation of the system configured as described above.

먼저, 방화벽 시스템의 네트워크 디바이스(200)를 통해 네트워크 패킷이 입력되면, 네트워크 디바이스 드라이버(201)는 상기 입력되는 네트워크 패킷의 버전을, 20 바이트(byte)의 IP 헤더 부분 가운데 최초 4 비트(bit) 버전정보(도 3을 참조)에 근거하여 확인한다(S401). 그리고, 네트워크 디바이스 드라이버(201)는, 상기 확인된 버전에 따라 네트워크 패킷을 구분하여 IPv4 및 IPv6 프로토콜 스택(202a, 202b)에 각각 임시저장한다(S402).First, when a network packet is input through the network device 200 of the firewall system, the network device driver 201 uses the first 4 bits of the 20-byte IP header part as the version of the input network packet. Check based on version information (see FIG. 3) (S401). The network device driver 201 classifies network packets according to the checked versions and temporarily stores them in the IPv4 and IPv6 protocol stacks 202a and 202b (S402).

이와 같이 입력되는 네트워크 패킷이 버전에 따라 방화벽 시스템의 IPv4 및 IPv6 프로토콜 스택(202a, 202b)에 각각 임시저장되고 나면, 네트워크 침입탐지 시스템의 라이브러리(102)는 상기 IPv4 및 IPv6 프로토콜 스택(202a, 202b)으로부터 IPv4 및 IPv6 버전의 네트워크 패킷을 각각 로드(load)한 후(S403), 상기 로드한 각각의 네트워크 패킷을 지정된 형식에 맞게 처리한 후 IPv4 및 IPv6 엔진(101a, 101b)에 각각 송신한다.After the input network packets are temporarily stored in the IPv4 and IPv6 protocol stacks 202a and 202b of the firewall system according to their versions, the library 102 of the network intrusion detection system is configured to store the IPv4 and IPv6 protocol stacks 202a and 202b. IPv4 and IPv6 versions of the network packets are loaded (S403), and each of the loaded network packets is processed according to a specified format and transmitted to the IPv4 and IPv6 engines 101a and 101b, respectively.

이어, IPv4 및 IPv6 엔진(101a, 101b)은, 상기 라이브러리(102)로부터 수신된 IPv4 및 IPv6 버전의 네트워크 패킷에서 IP 헤더 부분을 제외한 나머지 즉 페이로드(payload) 부분을 라이브러리(102)로 다시 송신한다. 그리고, 라이브러리(102)는 수신된 네트워크 패킷의 페이로드(payload) 부분을 방화벽 시스템의 패턴 매칭 엑셀레이터 드라이버(301)로 송신한다.Subsequently, the IPv4 and IPv6 engines 101a and 101b transmit the payload portion to the library 102 except for the IP header portion in the IPv4 and IPv6 version of the network packet received from the library 102. do. The library 102 then transmits the payload portion of the received network packet to the pattern matching accelerator driver 301 of the firewall system.

상기 패턴 매칭 엑셀레이터 드라이버(301)는 네트워크 패킷의 페이로드(payload) 부분을 패턴 매칭 엑셀레이터(300)로 전송한다. 패턴 매칭 엑셀레이터(300)는, 라이브러리(102) 및 패턴 매칭 엑셀레이터 드라이버(301)로부터 수신된 네트워크 패킷의 페이로드(payload) 부분을, 기 저장된 소정 개수의 침입 패턴(pattern)과 순차적으로 비교하고(S404) 비교결과를 패턴 매칭 엑셀레이터 드라이버(301) 및 라이브러리(102)를 거쳐 IPv4 및 IPv6 엔진(101a, 101b)에 버전별로 구분하여 각각 송신한다.The pattern matching accelerator driver 301 transmits a payload portion of the network packet to the pattern matching accelerator 300. The pattern matching accelerator 300 sequentially compares the payload portion of the network packet received from the library 102 and the pattern matching accelerator driver 301 with a predetermined number of intrusion patterns previously stored ( S404) The comparison result is transmitted to the IPv4 and IPv6 engines 101a and 101b by the version through the pattern matching accelerator driver 301 and the library 102, respectively.

그러고 나면, IPv4 및 IPv6 엔진(101a, 101b)는 상기 비교결과 동일한 경우(S405의 예) 비교결과에 해당하는 로그(log)를 저장하고(S406), 시스템에 치명적인 침입 패턴에 해당하는 네트워크 패킷의 입력은 차단시키고 시스템에 그다지 해를 끼치지 않는 침입 패턴에 해당하는 네트워크 패킷의 입력은 허용함으로써, 선택적으로 상기 네트워크 패킷의 입력을 차단하게 된다(S407).Then, the IPv4 and IPv6 engines 101a and 101b store a log corresponding to the comparison result when the comparison result is the same (YES in S405) (S406), and the network packet corresponding to the intrusion pattern that is fatal to the system. Blocking the input and allowing the input of the network packet corresponding to the intrusion pattern that does not harm the system so as to selectively block the input of the network packet (S407).

상술한 바와 같이, 본 발명이 도면에 도시된 실시예를 참고하여 설명되었으나, 이는 예시적인 것들에 불과하며, 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자라면 본 발명의 요지 및 범위를 벗어나지 않으면서도 다양한 변형, 변경 및 균등한 타 실시예들이 가능하다는 것을 명백하게 알 수 있을 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.As described above, the present invention has been described with reference to the embodiments shown in the drawings, which are merely exemplary, and those of ordinary skill in the art to which the present invention pertains should not depart from the spirit and scope of the present invention. It will be apparent that various modifications, changes and equivalent other embodiments are possible without departing. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.

상술한 바와 같이, 본 발명에 따른 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법은, IP 헤더 부분의 버전정보에 근거하여 입력되는 네트워크 패킷을 버전별로 구분하여 처리함으로써 복수의 IP 버전을 지원하여, 유동적인 네트워크 보안 관련 시장상황에 보다 능동적으로 대처할 수 있도록 한 매우 유용한 발명인 것이다.As described above, a method for implementing a network security solution supporting a plurality of IP versions according to the present invention supports a plurality of IP versions by classifying and processing a network packet input based on version information of an IP header part. This is a very useful invention that enables us to proactively cope with the market situation related to flexible network security.

Claims (3)

네트워크 침입탐지 시스템에서 실행되는 네트워크 보안솔루션 구현방법에 있어서, 상기 네트워크 보안솔루션 구현방법은In the network security solution implementation method executed in the network intrusion detection system, the network security solution implementation method is 입력되는 네트워크 패킷(packet)에서 IP(Internet Protocol) 헤더 부분에 있는 버전정보에 기초하여 상기 IP의 버전(version)을 확인하는 제 1 단계;A first step of checking a version of the IP based on version information in an IP (Internet Protocol) header portion of an input network packet; 상기 확인된 IP의 버전에 따라, 상기 네트워크 패킷을 구분하여 각각 임시 저장하는 제 2 단계;A second step of classifying and temporarily storing the network packets according to the checked version of the IP; 상기 임시 저장된 각각의 네트워크 패킷을 버전별로 로딩하고, 상기 로딩한 네트워크 패킷에서 상기 IP 헤더(header) 부분을 제외한 페이로드 부분을, 기 저장된 소정 개수의 침입 패턴(pattern)과 순차적으로 비교하는 제 3 단계; 그리고A third step of loading each temporarily stored network packet by version and sequentially comparing a payload portion except for the IP header portion from the loaded network packet with a predetermined number of intrusion patterns stored in advance; step; And 상기 비교 결과에 해당하는 로그(log)를 저장하여 침입 패턴에 해당 네트워크 패킷의 입력을 차단하는 제 4 단계를 포함하는 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법.And a fourth step of storing a log corresponding to the comparison result and blocking input of a corresponding network packet to an intrusion pattern. 제 1항에 있어서,The method of claim 1, 상기 IP 버전은 IPv4 또는 IPv6인 것을 특징으로 하는 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법.The IP version is an IPv4 or IPv6 network security solution implementation method for supporting a plurality of IP versions, characterized in that. 제 1항 또는 제 2항에 있어서,The method according to claim 1 or 2, 상기 제 1단계는, 상기 네트워크 패킷의 IP 헤더 부분의 최초 4비트 버전정 보에 근거하는 것을 특징으로 하는 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법.And the first step is based on the first 4-bit version information of the IP header portion of the network packet.
KR1020060010748A 2006-02-03 2006-02-03 Method of realizing network security solution for supporting several IP version KR101218698B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060010748A KR101218698B1 (en) 2006-02-03 2006-02-03 Method of realizing network security solution for supporting several IP version

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060010748A KR101218698B1 (en) 2006-02-03 2006-02-03 Method of realizing network security solution for supporting several IP version

Publications (2)

Publication Number Publication Date
KR20070079787A KR20070079787A (en) 2007-08-08
KR101218698B1 true KR101218698B1 (en) 2013-01-04

Family

ID=38600335

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060010748A KR101218698B1 (en) 2006-02-03 2006-02-03 Method of realizing network security solution for supporting several IP version

Country Status (1)

Country Link
KR (1) KR101218698B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040099864A (en) * 2003-05-20 2004-12-02 한국전자통신연구원 Security gateway system and method for intrusion detection
KR20040105587A (en) * 2003-06-06 2004-12-16 마이크로소프트 코포레이션 Multi-layered firewall architecture
KR20050058625A (en) * 2003-12-12 2005-06-17 한국전자통신연구원 Apparatus and method for providing virtual private network service using ip security protocol on ipv6 internet

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040099864A (en) * 2003-05-20 2004-12-02 한국전자통신연구원 Security gateway system and method for intrusion detection
KR20040105587A (en) * 2003-06-06 2004-12-16 마이크로소프트 코포레이션 Multi-layered firewall architecture
KR20050058625A (en) * 2003-12-12 2005-06-17 한국전자통신연구원 Apparatus and method for providing virtual private network service using ip security protocol on ipv6 internet

Also Published As

Publication number Publication date
KR20070079787A (en) 2007-08-08

Similar Documents

Publication Publication Date Title
US10164851B2 (en) Transmission and reception of a diagnostic request in an IP network
US7146421B2 (en) Handling state information in a network element cluster
US8782739B2 (en) Access list key compression
US7894456B2 (en) Routing data packets from a multihomed host
US7130305B2 (en) Processing of data packets within a network element cluster
US7519004B1 (en) Loopback testing of a network interface device from a user-space software layer
KR101495946B1 (en) Hardware interface for enabling direct access and security assessment sharing
US20030231632A1 (en) Method and system for packet-level routing
US11019102B2 (en) Method for a communication network, and electronic monitoring unit
KR20110008001A (en) Flow classification for encrypted and tunneled packet streams
US20080101222A1 (en) Lightweight, Time/Space Efficient Packet Filtering
US8902731B2 (en) Method, network card, and communication system for binding physical network ports
US7710971B2 (en) Method of blocking network attacks using packet information and apparatus thereof
EP3133798A1 (en) Management device, control device, and managment method
US20080212609A1 (en) ICMP translator
US20120027015A1 (en) Application of Services in a Packet Switching Device
US20050182815A1 (en) Device for managing data filters
CN112887211B (en) Internet protocol message data forwarding system
US11522892B2 (en) Method and device for intrusion detection in a computer network
US20210014257A1 (en) Method and device for intrusion detection in a computer network
KR101218698B1 (en) Method of realizing network security solution for supporting several IP version
EP2983337A1 (en) Method and system for facilitating the establishment of a virtual private network in a cellular communication network
US7536479B2 (en) Local and remote network based management of an operating system-independent processor
CN113765799A (en) Method for transmitting and receiving container message, storage medium and container communication system
WO2004062216A1 (en) Apparatus for checking policy of firewall

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150911

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160928

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20171011

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20181008

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20191007

Year of fee payment: 8