KR101416523B1 - Security system and operating method thereof - Google Patents

Security system and operating method thereof Download PDF

Info

Publication number
KR101416523B1
KR101416523B1 KR1020120106380A KR20120106380A KR101416523B1 KR 101416523 B1 KR101416523 B1 KR 101416523B1 KR 1020120106380 A KR1020120106380 A KR 1020120106380A KR 20120106380 A KR20120106380 A KR 20120106380A KR 101416523 B1 KR101416523 B1 KR 101416523B1
Authority
KR
South Korea
Prior art keywords
address
packet
dns
packets
host computers
Prior art date
Application number
KR1020120106380A
Other languages
Korean (ko)
Other versions
KR20140044987A (en
Inventor
임진우
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020120106380A priority Critical patent/KR101416523B1/en
Publication of KR20140044987A publication Critical patent/KR20140044987A/en
Application granted granted Critical
Publication of KR101416523B1 publication Critical patent/KR101416523B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크에 관한 것으로, 좀 더 구체적으로는 보안 시스템 및 그것의 동작 방법에 관한 것이다. 본 발명의 실시 예에 따른 보안 시스템의 동작 방법은 복수의 호스트 컴퓨터들과 인터넷 망 사이에서 통신되는 패킷들(packets) 각각이 DNS(Domain Named Server) 서버로부터 인터넷 망을 통해 전송되는 DNS 응답 패킷인지 여부를 판별하고, DNS 응답 패킷으로부터 도메인 네임에 대응하는 아이피 주소를 추출하여 아이피 주소 테이블에 업데이트하고, 아이피 주소 테이블에 기반하여 패킷들을 차단 또는 허용하는 것을 포함한다.The present invention relates to networks, and more particularly to a security system and a method of operation thereof. The operation method of the security system according to the embodiment of the present invention is a method in which each of packets communicated between a plurality of host computers and an Internet network is a DNS response packet transmitted from a DNS (Domain Named Server) Updating the IP address table by extracting an IP address corresponding to the domain name from the DNS response packet, and blocking or allowing packets based on the IP address table.

Description

보안 시스템 및 그것의 동작 방법{SECURITY SYSTEM AND OPERATING METHOD THEREOF}[0001] SECURITY SYSTEM AND OPERATING METHOD THEREOF [0002]

본 발명은 네트워크에 관한 것으로, 좀 더 구체적으로는 보안 시스템 및 그것의 동작 방법에 관한 것이다.The present invention relates to networks, and more particularly to a security system and a method of operation thereof.

인터넷 상에서 도메인 네임(예를 들면, Fully Qualified Domain Name, FQDN)을 관리하는 시스템으로서 도메인 네임 시스템(DNS: Domain Name System)이 이용되고 있다. 이를 이용하면, 도메인 네임과 해당 서버 컴퓨터의 아이피 주소(Internet Protocol Address)를 맵핑(mapping)시켜 DNS 서버(server)에 등록한 상태에서, 호스트 컴퓨터(예를 들면, 클라이언트 컴퓨터)의 사용자는 아이피 주소를 입력할 필요없이 도메인 네임을 입력하여 도메인 네임에 대응하는 아이피 주소가 무엇인지를 DNS 서버에 먼저 요청하고, DNS 서버로부터 해당 아이피 주소를 제공받으면 아이피 주소가 가리키는 서버 컴퓨터에 접속할 수 있게 된다. 도메인 네임 시스템을 이용함으로써, 기억하기 힘든 아이피 주소 대신에 도메인 네임을 입력함으로써 해당 서버 컴퓨터에 접속할 수 있다.A Domain Name System (DNS) is used as a system for managing a domain name (e.g., Fully Qualified Domain Name, FQDN) on the Internet. In this case, the domain name and the IP address of the server computer are mapped and registered in the DNS server. In this state, the user of the host computer (for example, client computer) It is possible to input a domain name without inputting it, to first request to the DNS server what IP address corresponds to the domain name, and to receive the IP address from the DNS server, thereby accessing the server computer indicated by the IP address. By using the domain name system, you can connect to the server computer by entering the domain name instead of the hard-to-remember IP address.

하나의 도메인 네임에는 복수의 아이피 주소들이 대응할 수 있다. 예를 들면, 하나의 도메인 네임에 대응하는 웹 사이트를 각각 제공하는 복수의 서버 컴퓨터들이 운용될 수 있다.A plurality of IP addresses can correspond to one domain name. For example, a plurality of server computers each providing a website corresponding to one domain name can be operated.

본 발명의 목적은 특정한 웹 사이트에 대한 접속을 효율적으로 차단하는 보안 시스템을 제공하는 것이다.It is an object of the present invention to provide a security system that efficiently blocks access to a specific web site.

본 발명의 실시 예에 따른 보안 시스템의 동작 방법은 복수의 호스트 컴퓨터들과 인터넷 망 사이에서 통신되는 패킷들(packets) 각각이 DNS(Domain Named Server) 서버로부터 상기 인터넷 망을 통해 전송되는 DNS 응답 패킷인지 여부를 판별하는 단계; 상기 DNS 응답 패킷으로부터 도메인 네임에 대응하는 아이피 주소를 추출하여 아이피 주소 테이블에 업데이트하는 단계; 및 상기 패킷들 각각의 출발지 아이피 주소 또는 목적지 아이피 주소가 상기 아이피 주소 테이블 내의 아이피 주소들 중 어느 하나와 일치하는지 여부에 따라 해당 패킷을 차단하는 단계를 포함한다.A method of operating a security system according to an embodiment of the present invention is a method in which each of packets communicated between a plurality of host computers and an Internet network is transmitted to a Domain Name Server (DNS) A step of determining whether or not it is determined whether or Extracting an IP address corresponding to a domain name from the DNS response packet and updating the extracted IP address in an IP address table; And blocking the packet according to whether the source IP address or the destination IP address of each of the packets matches one of the IP addresses in the IP address table.

상기 DNS 응답 패킷은 상기 도메인 네임에 대응하는 아이피 주소를 요청하는 DNS 쿼리 패킷에 따라 상기 DNS 서버로부터 상기 복수의 호스트 컴퓨터들 중 어느 하나에 제공되고, 상기 DNS 쿼리 패킷은 상기 복수의 호스트 컴퓨터들 중 어느 하나에서 발생될 수 있다.Wherein the DNS response packet is provided to the one of the plurality of host computers from the DNS server according to a DNS query packet requesting an IP address corresponding to the domain name, Can be generated in any one of them.

상기 도메인 네임에 대응하는 아이피 주소는 상기 도메인 네임과 매치되어 상기 아이피 주소 테이블에 저장될 수 있다.The IP address corresponding to the domain name may be matched with the domain name and stored in the IP address table.

실시 예로서, 상기 판별하는 단계는 상기 패킷들 각각의 헤더에 기반하여 수행될 수 있다.In an embodiment, the determining may be performed based on a header of each of the packets.

실시 예로서, 상기 DNS 응답 패킷의 목적지는 상기 복수의 호스트 컴퓨터들 중 어느 하나이고, 상기 동작 방법은 상기 복수의 호스트 컴퓨터들로부터 상기 인터넷 망을 통해 상기 DNS 서버에 전송되는 복수의 DNS 쿼리 패킷들을 검출하고, 상기 복수의 DNS 쿼리 패킷들에 대한 정보를 저장하는 단계를 더 포함할 수 있다. 이때, 상기 아이피 주소 테이블에 업데이트하는 단계는 상기 복수의 DNS 쿼리 패킷들 중 상기 DNS 응답 패킷에 대응하는 DNS 쿼리 패킷이 존재하는지 여부를 판별하고, 판별 결과에 따라 상기 DNS 응답 패킷으로부터 상기 도메인 네임에 대응하는 상기 아이피 주소를 추출하는 단계를 포함할 수 있다.In an embodiment, the destination of the DNS response packet is any one of the plurality of host computers, and the operating method includes receiving a plurality of DNS query packets transmitted from the plurality of host computers to the DNS server through the Internet network And storing information on the plurality of DNS query packets. The step of updating the IP address table may include determining whether a DNS query packet corresponding to the DNS response packet exists among the plurality of DNS query packets, And extracting the corresponding IP address.

실시 예로서, 상기 차단하는 단계는 상기 패킷들 각각의 출발지 아이피 주소 또는 목적지 아이피 주소가 상기 아이피 주소 테이블 내의 아이피 주소들 중 어느 하나와 일치할 때, 상기 해당 패킷을 차단하는 단계; 및 상기 패킷들 각각의 출발지 아이피 주소 또는 목적지 아이피 주소가 상기 아이피 주소 테이블 내의 아이피 주소들과 일치하지 않을 때, 상기 해당 패킷을 허용하는 단계를 포함할 수 있다.Blocking the corresponding packet when the source IP address or the destination IP address of each of the packets matches any one of the IP addresses in the IP address table; And allowing the corresponding packet when the source IP address or the destination IP address of each of the packets does not match the IP addresses in the IP address table.

본 발명의 다른 일면은 보안 시스템에 관한 것이다. 본 발명의 실시 예에 따른 보안 시스템은 인터넷 망에 연결된 복수의 호스트 컴퓨터들을 관리하는 보안 유닛; 및 상기 복수의 호스트 컴퓨터들과 상기 인터넷 망 사이에서 통신되는 패킷들(packets) 각각이 DNS(Domain Named Server) 서버로부터 상기 인터넷 망을 통해 전송되는 DNS 응답 패킷인지 여부를 판별하고, 상기 DNS 응답 패킷으로부터 도메인 네임에 대응하는 아이피 주소를 추출하여 아이피 주소 테이블에 업데이트하도록 구성되는 스니핑 유닛을 포함하되, 상기 보안 유닛은 상기 패킷들 각각의 출발지 아이피 주소 또는 목적지 아이피 주소가 상기 아이피 주소 테이블 내의 아이피 주소들 중 어느 하나와 일치하는지 여부에 따라 해당 패킷을 차단하도록 구성되는 보안 시스템.Another aspect of the invention relates to a security system. A security system according to an embodiment of the present invention includes a security unit for managing a plurality of host computers connected to an Internet network; And determining whether each of the packets communicated between the plurality of host computers and the Internet network is a DNS response packet transmitted through the Internet network from a DNS (Domain Named Server) server, And a sniffing unit configured to extract an IP address corresponding to a domain name from the IP address table and to update the IP address corresponding to the domain name in the IP address table, wherein the security unit identifies a source IP address or a destination IP address of each of the packets, And to block the packet according to whether or not the packet matches any one of the packets.

상기 DNS 응답 패킷은 상기 도메인 네임에 대응하는 아이피 주소를 요청하는 DNS 쿼리 패킷에 따라 상기 DNS 서버로부터 상기 복수의 호스트 컴퓨터들 중 어느 하나에 제공되고, 상기 DNS 쿼리 패킷은 상기 복수의 호스트 컴퓨터들 중 어느 하나에서 발생될 수 있다.Wherein the DNS response packet is provided to the one of the plurality of host computers from the DNS server according to a DNS query packet requesting an IP address corresponding to the domain name, Can be generated in any one of them.

실시 예로서, 상기 아이피 주소 테이블은 상기 보안 유닛에 저장될 수 있다.In an embodiment, the IP address table may be stored in the security unit.

실시 예로서, 상기 아이피 주소 테이블은 상기 스니핑 유닛에 저장될 수 있다.As an example, the IP address table may be stored in the sniffing unit.

실시 예로서, 상기 보안 유닛은 상기 패킷들 각각의 출발지 아이피 주소 또는 목적지 아이피 주소가 상기 아이피 주소 테이블 내의 아이피 주소들 중 어느 하나와 일치할 때, 상기 해당 패킷을 차단하고, 상기 패킷들 각각의 출발지 아이피 주소 또는 목적지 아이피 주소가 상기 아이피 주소 테이블 내의 아이피 주소들과 일치하지 않을 때, 상기 해당 패킷을 허용하도록 구성될 수 있다.In an embodiment, the security unit blocks the corresponding packet when the source IP address or the destination IP address of each of the packets matches any one of the IP addresses in the IP address table, And to allow the corresponding packet when the IP address or the destination IP address does not match the IP addresses in the IP address table.

본 발명의 다른 실시 예에 따른 보안 시스템의 동작 방법은 상기 복수의 호스트 컴퓨터들과 상기 인터넷 망 사이에서 통신되는 패킷(packet)이 DNS(Domain Named Server) 서버로부터 상기 인터넷 망을 통해 전송되는 DNS 응답 패킷인지 또는 노멀 패킷인지 여부를 판별하는 단계; 상기 패킷이 상기 DNS 응답 패킷일 때, 상기 DNS 응답 패킷으로부터 도메인 네임에 대응하는 아이피 주소를 추출하여 아이피 주소 테이블에 업데이트하는 단계; 및 상기 패킷이 상기 노멀 패킷일 때, 상기 노멀 패킷의 출발지 아이피 주소 또는 목적지 아이피 주소가 상기 아이피 주소 테이블 내의 아이피 주소들 중 어느 하나와 일치하는지 여부에 따라 상기 노멀 패킷을 차단하는 단계를 포함한다.A method of operating a security system according to another embodiment of the present invention is a method in which a packet communicated between the plurality of host computers and the Internet network is transmitted from a Domain Name Server (DNS) server to a DNS response Determining whether the packet is a packet or a normal packet; Extracting an IP address corresponding to a domain name from the DNS response packet and updating the extracted IP address in an IP address table when the packet is the DNS response packet; And blocking the normal packet according to whether the source IP address or the destination IP address of the normal packet coincides with any one of the IP addresses in the IP address table when the packet is the normal packet.

실시 예로서, 상기 판별하는 단계는 상기 패킷의 헤더에 기반하여 수행될 수 있다.In an embodiment, the determining step may be performed based on a header of the packet.

실시 예로서, 상기 DNS 응답 패킷의 목적지는 상기 복수의 호스트 컴퓨터들 중 어느 하나이고, 상기 동작 방법은 상기 복수의 호스트 컴퓨터들로부터 상기 인터넷 망을 통해 상기 DNS 서버에 전송되는 복수의 DNS 쿼리 패킷들을 검출하고, 상기 복수의 DNS 쿼리 패킷들에 대한 정보를 저장하는 단계를 더 포함할 수 있다. 이때, 상기 아이피 주소 테이블에 업데이트하는 단계는 상기 복수의 DNS 쿼리 패킷들 중 상기 DNS 응답 패킷에 대응하는 DNS 쿼리 패킷이 존재하는지 여부를 판별하고, 판별 결과에 따라 상기 DNS 응답 패킷으로부터 상기 도메인 네임에 대응하는 상기 아이피 주소를 추출하는 단계를 포함할 수 있다.In an embodiment, the destination of the DNS response packet is any one of the plurality of host computers, and the operating method includes receiving a plurality of DNS query packets transmitted from the plurality of host computers to the DNS server through the Internet network And storing information on the plurality of DNS query packets. The step of updating the IP address table may include determining whether a DNS query packet corresponding to the DNS response packet exists among the plurality of DNS query packets, And extracting the corresponding IP address.

실시 예로서, 상기 차단하는 단계는 상기 노멀 패킷의 출발지 아이피 주소 또는 목적지 아이피 주소가 상기 아이피 주소 테이블 내의 아이피 주소들 중 어느 하나와 일치할 때, 상기 노멀 패킷을 차단하는 단계; 및 상기 노멀 패킷의 출발지 아이피 주소 또는 목적지 아이피 주소가 상기 아이피 주소 테이블 내의 아이피 주소들과 일치하지 않을 때, 상기 노멀 패킷을 허용하는 단계를 포함할 수 있다.The blocking step may include blocking the normal packet when the source IP address or the destination IP address of the normal packet matches one of the IP addresses in the IP address table. And allowing the normal packet when the source IP address or the destination IP address of the normal packet does not match the IP addresses in the IP address table.

본 발명의 실시 예에 따르면, 특정한 웹 사이트에 대한 접속을 효율적으로 차단하는 보안 시스템이 제공된다.According to an embodiment of the present invention, a security system that efficiently blocks access to a specific web site is provided.

도 1은 인터넷 망을 통해 송수신되는 패킷의 데이터 포맷을 개념적으로 보여주는 도면이다.
도 2는 본 발명의 실시 예에 따른 보안 시스템을 포함하는 네트워크를 보여주는 블록도이다.
도 3은 본 발명의 실시 예에 따른 스니핑 유닛의 동작 방법을 보여주는 순서도이다.
도 4는 DNS 응답 패킷의 헤더의 데이터 포맷을 예시적으로 보여주는 도면이다.
도 5는 아이피 주소 테이블을 보여주는 도면이다.
도 6은 본 발명의 실시 예에 따른 보안 유닛의 동작 방법을 보여주는 순서도이다.
도 7은 본 발명의 다른 실시 예에 따른 스니핑 유닛의 동작 방법을 보여주는 순서도이다.
도 8은 DNS 쿼리 패킷을 획득하는 방법을 보여주는 순서도이다.
도 9는 도 1의 보안 시스템이 직접 DNS 쿼리 패킷들을 DNS 서버에 전송할 때 보안 시스템에 수집되는 아이피 주소들을 보여주는 테이블이다.
도 10은 본 발명의 실시 예에 따라 도메인 네임 당 수집되는 아이피 주소들을 보여주는 테이블이다.
도 11은 본 발명의 다른 실시 예에 따른 보안 시스템의 동작 방법을 보여주는 순서도이다.1 is a conceptual diagram illustrating a data format of a packet transmitted and received through the Internet network.
2 is a block diagram illustrating a network including a security system according to an embodiment of the present invention.
3 is a flowchart illustrating an operation method of a sniffing unit according to an embodiment of the present invention.
4 is an exemplary diagram showing the data format of the header of the DNS response packet.
5 is a diagram showing an IP address table.
6 is a flowchart illustrating an operation method of a security unit according to an embodiment of the present invention.
7 is a flowchart illustrating an operation method of a sniffing unit according to another embodiment of the present invention.
Figure 8 is a flow chart illustrating a method for obtaining a DNS query packet.
FIG. 9 is a table showing IP addresses collected in the security system when the security system of FIG. 1 directly transmits DNS query packets to the DNS server.
10 is a table showing IP addresses collected per domain name according to an embodiment of the present invention.
11 is a flowchart illustrating an operation method of a security system according to another embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 통해 설명될 것이다. 그러나 본 발명은 여기에서 설명되는 실시 예들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 단지, 본 실시 예들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여 제공되는 것이다.BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention, and how to accomplish it, will be described with reference to the embodiments described in detail below with reference to the accompanying drawings. However, the present invention is not limited to the embodiments described herein but may be embodied in other forms. The embodiments are provided so that those skilled in the art can easily carry out the technical idea of the present invention to those skilled in the art.

명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "간접적으로 연결"되어 있는 경우도 포함한다. 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part is referred to as being "connected" to another part, it includes not only "directly connected" but also "indirectly connected" . Throughout the specification, when an element is referred to as "comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise.

도 1은 인터넷 망을 통해 송수신되는 패킷(P)의 데이터 포맷을 개념적으로 보여주는 도면이다.1 is a diagram conceptually showing a data format of a packet P transmitted and received through the Internet network.

도 1을 참조하면, 패킷(P)은 헤더(HD)와 사용자 데이터(UD)를 포함한다. 헤더(HD)는 사용자 데이터(UD)를 관리하기 위한 데이터이다. 헤더(HD)는 출발지 아이피 주소(SP), 목적지 아이피 주소(DP) 및 도메인 네임(DN)에 대한 정보를 포함할 수 있다.Referring to FIG. 1, a packet P includes a header HD and user data UD. The header HD is data for managing the user data UD. The header HD may include information on a source IP address SP, a destination IP address DP, and a domain name DN.

복수의 호스트 컴퓨터들을 관리하는 보안 시스템에 있어서, 특정한 웹 사이트에 대한 접속을 차단하는 것이 요구될 수 있다. 웹 사이트에 대한 접속을 차단하는 방법으로는, 패킷(P)에 포함된 도메인 네임(DN)을 이용하는 것이다. 이러한 방법의 한계는 패킷(P)에 도메인 네임(DN)을 포함시키지 않고 도메인 네임(DN)에 대응하는 복수의 아이피 주소들 중 어느 하나를 목적지 아이피 주소(DP)로서 입력하여 우회 접속을 시도하는 경우이다. 따라서, 이러한 방법으로는 해당 웹 사이트에 대한 접속을 효과적으로 차단할 수 없다.In a security system that manages a plurality of host computers, it may be required to block access to a particular web site. A method of blocking access to a Web site is to use a domain name (DN) included in the packet (P). The limitation of this method is that any one of a plurality of IP addresses corresponding to a domain name (DN) is input as a destination IP address (DP) without including a domain name (DN) in the packet P to attempt a bypass connection . Therefore, this method can not effectively block access to the web site.

웹 사이트에 대한 접속을 차단하는 다른 방법으로는, 패킷(P)에 포함된 목적지 아이피 주소(DP) 또는 출발지 아이피 주소(SP)를 이용하는 것이다. 그러나, 이러한 방법의 문제점은 보안 시스템이 도메인 네임(DN)에 대응하는 아이피 주소들을 효과적으로 수집하지 못할 경우에 나타난다.Another way to block access to the web site is to use the destination IP address DP or the source IP address SP included in the packet P. However, the problem with this method is that the security system can not effectively collect IP addresses corresponding to domain names (DNs).

도메인 네임 www.XXXX.net에 대응하는 아이피 주소들의 개수가 12개라고 가정한다. 그리고, 복수의 호스트 컴퓨터들을 관리하는 보안 시스템이 www.XXXX.net에 대응하는 아이피 주소들을 얻고자 한다고 가정한다. 보안 시스템은 도메인 네임에 대응하는 아이피 주소들를 요청하는 DNS 쿼리(query) 패킷들을 DNS 서버에 요청할 것이다. 이때, 보안 시스템이 반복적으로 DNS 쿼리 패킷들을 전송하더라도, DNS 서버는 2개의 아이피 주소들만을 제공할 수 있다. 즉, 하나의 목적지(즉, 보안 시스템)로부터 아무리 많은 DNS 쿼리 패킷들이 DNS 서버에 전송되라도, DNS 서버가 제공하는 아이피 주소들의 개수는 한정될 수 있다. 이에 따라, 보안 시스템은 도메인 네임(DN)에 대응하는 아이피 주소들을 효율적으로 획득할 수 없다. 또한, GSLB(Global Service Load Balancing) 방식이 사용되는 경우, DNS 서버에 따라 하나의 도메인 네임(DN)에 대해서 서로 다른 아이피 주소를 제공한다. 이때, 보안 시스템이 하나의 도메인 네임(DN)과 관련하여 획득할 수 있는 아이피 주소들은 한정될 수 있다.Assume that the number of IP addresses corresponding to the domain name www.XXXX.net is 12. It is assumed that a security system managing a plurality of host computers wants to obtain IP addresses corresponding to www.XXXX.net. The security system will ask the DNS server for DNS query packets requesting IP addresses corresponding to the domain name. At this time, even if the security system repeatedly transmits DNS query packets, the DNS server can provide only two IP addresses. That is, no matter how many DNS query packets are transmitted from a single destination (i.e., the security system) to the DNS server, the number of IP addresses provided by the DNS server may be limited. Accordingly, the security system can not efficiently obtain the IP addresses corresponding to the domain name (DN). In addition, when Global Service Load Balancing (GSLB) is used, different IP addresses are provided for one domain name (DN) according to the DNS server. At this time, the IP addresses that the security system can obtain in association with one domain name (DN) may be limited.

도 2는 본 발명의 실시 예에 따른 보안 시스템(110)을 포함하는 네트워크(100)를 보여주는 블록도이다.2 is a block diagram illustrating a network 100 including a security system 110 in accordance with an embodiment of the present invention.

도 2를 참조하면, 네트워크(100)는 복수의 호스트 컴퓨터들(PC1~PCk), 보안 시스템(110), 인터넷 망(120), DNS(Domain Name System) 서버(130) 및 복수의 서버 컴퓨터들(141~14n)을 포함한다.2, the network 100 includes a plurality of host computers PC1 to PCk, a security system 110, an Internet network 120, a DNS (Domain Name System) server 130, (141 to 14n).

복수의 호스트 컴퓨터들(PC1~PCk)은 보안 시스템(110)을 통해 인터넷 망(120)에 연결된다. 복수의 호스트 컴퓨터들(PC1~PCk)은 도메인 네임에 대응하는 아이피 주소를 DNS 서버(130)로부터 제공받아, 복수의 서버 컴퓨터들(141~14n) 중 제공받은 아이피 주소에 대응하는 서버 컴퓨터에 접속할 수 있다.The plurality of host computers PC1 to PCk are connected to the Internet network 120 through the security system 110. [ The plurality of host computers PC1 to PCk receive the IP address corresponding to the domain name from the DNS server 130 and access the server computer corresponding to the provided IP address of the plurality of server computers 141 to 14n .

먼저, 복수의 호스트 컴퓨터들(PC1~PCk) 중 어느 하나, 예를 들면 제 1 호스트 컴퓨터(PC1)는 도메인 네임에 대응하는 아이피 주소(Internet Protocol Address)를 요청하는 DNS 쿼리 패킷을 DNS 서버(130)에 전송한다. 그리고, 제 1 호스트 컴퓨터(PC1)는 DNS 서버(130)로부터 제공된 DNS 응답 패킷을 수신하여 DNS 응답 패킷으로부터 아이피 주소를 얻을 수 있다. 제 1 호스트 컴퓨터(PC1)는, 이후에 목적지 아이피 주소가 DNS 응답 패킷으로부터 얻어진 아이피 주소로서 정의되고 출발지 아이피 주소가 제 1 호스트 컴퓨터(PC1)에 대응하는 아이피 주소로서 정의된 노멀 패킷을 인터넷 망(120)을 통해 전송하고, 목적지 아이피 주소가 제 1 호스트 컴퓨터(PC1)에 대응하는 아이피 주소로서 정의되고 출발지 아이피 주소가 DNS 응답 패킷으로부터 얻어진 아이피 주소로서 정의된 노멀 패킷을 수신함으로써 해당 서버 컴퓨터에 접속할 것이다.The first host computer PC1 transmits a DNS query packet requesting an IP address corresponding to the domain name to the DNS server 130 . The first host computer PC1 receives the DNS response packet provided from the DNS server 130 and obtains the IP address from the DNS response packet. The first host computer PC1 then transmits a normal packet defined as an IP address obtained from the DNS response packet to the destination IP address and a source IP address defined as an IP address corresponding to the first host computer PC1 120) and connects to the server computer by receiving a normal packet whose destination IP address is defined as an IP address corresponding to the first host computer (PC1) and whose source IP address is defined as an IP address obtained from the DNS response packet will be.

보안 시스템(110)은 복수의 호스트 컴퓨터들(PC1~PCk)을 관리하도록 구성된다. 보안 시스템(110)은 보안 유닛(111) 및 스니핑 유닛(112)을 포함한다. 보안 유닛(111)은 기 설정된 보안 정책들에 따라 복수의 호스트 컴퓨터들(PC1~PCk)에 송수신되는 패킷들을 관리하도록 구성될 것이다.The security system 110 is configured to manage a plurality of host computers PC1 to PCk. The security system 110 includes a security unit 111 and a sniffing unit 112. The security unit 111 may be configured to manage packets transmitted to and received from a plurality of host computers PC1 to PCk according to predetermined security policies.

실시 예로서, 보안 유닛(111)은 인터넷 망(120)을 통해 복수의 호스트 컴퓨터들(PC1~PCk)로 전송되는 패킷들을 모니터링하고, 기 설정된 보안 정책들에 따라 패킷들 중 전부 또는 일부를 차단하도록 구성된다. 또한, 보안 유닛(111)은 복수의 호스트 컴퓨터들(PC1~PCk)로부터 인터넷 망(120)으로 전송되는 패킷들을 모니터링하고, 기 설정된 보안 정책들에 따라 패킷들 중 전부 또는 일부를 차단하도록 구성된다.The security unit 111 monitors packets transmitted to the plurality of host computers PC1 through PCk through the Internet network 120 and blocks all or a part of the packets according to predetermined security policies . The security unit 111 is also configured to monitor packets transmitted from the plurality of host computers PC1 to PCk to the Internet network 120 and to block all or a part of the packets according to predetermined security policies .

보안 유닛(111)은 아이피 주소 테이블(도 5의 T 참조)을 저장할 수 있다. 보아 유닛(111)은 복수의 호스트 컴퓨터들(PC1~PCk)과 인터넷 망(120) 사이에서 통신되는 패킷들 각각의 출발지 아이피 주소 또는 목적지 아이피 주소가 아이피 주소 테이블 내의 아이피 주소들 중 하나와 일치하는지 판별하고, 판별 결과에 따라 해당 패킷을 차단하도록 구성된다.The security unit 111 may store the IP address table (see T in Fig. 5). The bore unit 111 determines whether the source IP address or the destination IP address of each of the packets communicated between the host computers PC1 to PCk and the Internet network 120 matches one of the IP addresses in the IP address table And blocks the packet according to the discrimination result.

패킷들 각각의 출발지 아이피 주소 또는 목적지 아이피 주소가 아이피 주소 테이블 내의 아이피 주소들 중 어느 하나와 일치할 때, 보안 유닛(111)은 해당 패킷을 차단할 것이다. 패킷들 각각의 출발지 아이피 주소 또는 목적지 아이피 주소가 아이피 주소 테이블 내의 아이피 주소들과 일치하지 않을 때, 보안 유닛(111)은 해당 패킷을 허용할 것이다.When the source IP address or destination IP address of each of the packets matches any of the IP addresses in the IP address table, the security unit 111 will block the packet. When the source IP address or the destination IP address of each of the packets does not match the IP addresses in the IP address table, the security unit 111 will allow the packet.

스니핑 유닛(112)은 각 호스트 컴퓨터가 도메인 네임과 관련하여 DNS 서버(130)로부터 부여받는 아이피 주소들을 수집하도록 구성된다. 즉, 스니핑 유닛(112)은 패킷들 각각이 DNS 서버(130)로부터 인터넷 망(120)을 통해 복수의 호스트 컴퓨터들(PC1~PCk)에 전송되는 DNS 응답 패킷인지 여부를 판별하고, 판별 결과에 따라 DNS 응답 패킷으로부터 아이피 주소를 획득 및 저장하도록 구성된다.The sniffing unit 112 is configured to collect IP addresses that each host computer receives from the DNS server 130 in relation to the domain name. That is, the sniffing unit 112 determines whether each of the packets is a DNS response packet transmitted from the DNS server 130 to the plurality of host computers PC1 to PCk via the Internet 120, Thereby obtaining and storing the IP address from the DNS response packet.

DNS 서버(130)는 인터넷 망(120)을 통하여 보안 시스템(110) 및 복수의 호스트 컴퓨터들(PC1~PCk)에 연결된다. DNS 서버(130)는 각 호스트 컴퓨터로부터 수신된 DNS 쿼리 패킷에 응답하여 DNS 응답 패킷을 해당 호스트 컴퓨터에 제공하도록 구성된다.The DNS server 130 is connected to the security system 110 and a plurality of host computers PC1 to PCk via the Internet network 120. [ The DNS server 130 is configured to provide a DNS response packet to the host computer in response to the DNS query packet received from each host computer.

DNS 서버(130)는 각 도메인 네임에 대응하는 아이피 주소들에 대한 정보를 저장할 것이다. 저장된 정보에 기반하여, DNS 서버(130)는 DNS 쿼리 패킷의 도메인 네임이 어떤 아이피 주소에 대응하는지 검색하고 검색된 아이피 주소를 포함하는 DNS 응답 패킷을 인터넷 망(120)을 통해 해당 호스트 컴퓨터에 제공한다.DNS server 130 will store information about IP addresses corresponding to each domain name. Based on the stored information, the DNS server 130 searches for a domain address of the DNS query packet corresponding to an IP address and provides a DNS response packet including the searched IP address to the host computer through the Internet 120 .

실시 예로서, 하나의 도메인 네임에 복수의 아이피 주소들이 대응할 때, DNS 서버(130)는 동일한 목적지(예를 들면, 동일한 호스트 컴퓨터)로부터 반복적으로 DNS 쿼리 패킷들이 전송되더라도 한정된 개수의 아이피 주소들만을 해당 호스트 컴퓨터에 제공할 수 있다. 각 호스트 컴퓨터는 제 1 내지 제 n 서버 컴퓨터들(141~14n) 중 한정된 개수의 서버 컴퓨터들과 통신할 수 있다.In an embodiment, when a plurality of IP addresses correspond to a single domain name, the DNS server 130 transmits only a limited number of IP addresses, even if DNS query packets are repeatedly transmitted from the same destination (for example, the same host computer) It can be provided to the host computer. Each host computer can communicate with a limited number of server computers among the first to nth server computers 141 to 14n.

보안 시스템(110)이 하나의 도메인 네임에 대응하는 아이피 주소들을 수집하기 위해 DNS 쿼리 패킷들을 반복적으로 DNS 서버(130)에 전송한다고 가정한다. DNS 서버(130)는 동일한 목적지인 보안 시스템(110)로부터 수신되는 DNS 쿼리 패킷들에 응답하여 한정된 개수의 아이피 주소들만을 보안 시스템(110)에 제공할 것이다. 이러한 방법에 따르면, 보안 시스템(110)은 호스트 컴퓨터들(PC1~PCk)이 특정한 도메인 네임과 관련하여 통신하는 서버 컴퓨터들(141~14n)의 아이피 주소들을 획득하기 어렵다.It is assumed that the security system 110 repeatedly transmits DNS query packets to the DNS server 130 in order to collect IP addresses corresponding to one domain name. The DNS server 130 will provide only a limited number of IP addresses to the security system 110 in response to DNS query packets received from the security system 110, which are the same destination. According to this method, it is difficult for the security system 110 to obtain the IP addresses of the server computers 141 to 14n with which the host computers PC1 to PCk communicate with respect to a specific domain name.

본 발명의 실시 예에 따르면, 스니핑 유닛(112)은 호스트 컴퓨터들(PC1~PCk)과 인터넷 망(120) 사이에서 통신되는 패킷들을 모니터링하고, 그러한 패킷들로부터 DNS 응답 패킷을 구별하고, 구별된 DNS 응답 패킷으로부터 아이피 주소를 획득한다. 따라서, 적어도 호스트 컴퓨터들(PC1~PCk)이 해당 도메인 네임과 관련하여 통신하는 아이피 주소들은 스니핑 유닛(112)에 의해 효율적으로 수집될 수 있다.According to an embodiment of the present invention, the sniffing unit 112 monitors packets communicated between the host computers (PC1-PCk) and the Internet network 120, distinguishes DNS response packets from such packets, Obtain the IP address from the DNS response packet. Thus, at least the IP addresses with which the host computers PC1 to PCk communicate with respect to the domain name can be efficiently collected by the sniffing unit 112. [

제 1 내지 제 n 서버 컴퓨터들(141~14n)은 인터넷 망(120)을 통해 제 1 내지 제 k 호스트 컴퓨터들(PC1~PCk)과 통신하도록 구성된다. 제 1 내지 제 n 서버 컴퓨터들(141~14n)에 각각 대응하는 아이피 주소들은 상이하다. 그러나, 제 1 내지 제 n 서버 컴퓨터들(141~14n) 각각은 하나의 도메인 네임에 대응하는 웹 사이트를 제공한다.The first to nth server computers 141 to 14n are configured to communicate with the first to kth host computers PC1 to PCk through the Internet network 120. [ The IP addresses corresponding to the first to nth server computers 141 to 14n are different. However, each of the first to n-th server computers 141 to 14n provides a website corresponding to one domain name.

도 2에서, 보안 유닛(111) 및 스니핑 유닛(112)은 복수의 물리적인 장치들에 의해 구현될 수도 있고, 하나의 물리적인 장치에 의해 구현될 수 있음이 이해될 것이다. 예를 들면, 보안 유닛(111) 및 스니핑 유닛(112) 각각은 소프트웨어(software)를 이용하거나 펌웨어(firmware)를 이용하는 등 다양한 방식들을 이용하여 구현될 수 있다.In FIG. 2, it will be appreciated that the security unit 111 and the sniffing unit 112 may be implemented by a plurality of physical devices, and may be implemented by a single physical device. For example, each of the security unit 111 and the sniffing unit 112 may be implemented using various methods, such as using software or using firmware.

도 3은 본 발명의 실시 예에 따른 스니핑 유닛(112)의 동작 방법을 보여주는 순서도이다.3 is a flowchart showing an operation method of the sniffing unit 112 according to an embodiment of the present invention.

도 2 및 도 3을 참조하면, S110단계에서 스니핑 유닛(112)은 복수의 호스트 컴퓨터들(PC1~PCk)과 인터넷 망(120) 사이에서 통신되는 패킷을 모니터링한다. 복수의 호스트 컴퓨터들(PC1~PCk)은 인터넷 망(120)을 통해 DNS 서버(130)와 통신할 수 있다. 복수의 호스트 컴퓨터들(PC1~PCk)과 DNS 서버(130) 사이에서 송수신되는 패킷은 DNS 패킷이라고 정의된다. 이때, 각 호스트 컴퓨터로부터 DNS 서버(130)에 전송되는 패킷은 DNS 쿼리 패킷으로 정의되고, DNS 서버(130)로부터 각 호스트 컴퓨터에 전송되는 패킷은 DNS 응답 패킷으로 정의된다. 복수의 호스트 컴퓨터들(PC1~PCk)은 인터넷 망(120)을 통해 서버 컴퓨터들(141~14n)과 통신할 수 있다. 복수의 호스트 컴퓨터들(PC1~PCk)과 서버 컴퓨터들(141~14n) 사이에서 송수신되는 패킷은 노멀 패킷으로 정의된다.2 and 3, in step S110, the sniffing unit 112 monitors packets communicated between the plurality of host computers PC1 to PCk and the Internet network 120. [ The plurality of host computers PC1 to PCk can communicate with the DNS server 130 through the Internet network 120. [ A packet transmitted and received between a plurality of host computers (PC1 to PCk) and a DNS server 130 is defined as a DNS packet. At this time, a packet transmitted from each host computer to the DNS server 130 is defined as a DNS query packet, and a packet transmitted from the DNS server 130 to each host computer is defined as a DNS response packet. The plurality of host computers PC1 to PCk can communicate with the server computers 141 to 14n via the Internet network 120. [ Packets transmitted and received between a plurality of host computers (PC1 to PCk) and server computers (141 to 14n) are defined as normal packets.

이하, 설명의 편의를 위해 도 3을 참조한 설명에서는 제 1 호스트 컴퓨터(PC1)가 DNS 서버(130)와 패킷을 송수신하는 경우를 일 예로서 설명한다.Hereinafter, for convenience of explanation, a case where the first host computer PC1 transmits / receives a packet to / from the DNS server 130 will be described as an example with reference to FIG.

S120단계에서, 스니핑 유닛(112)은 해당 패킷이 DNS 응답 패킷인지 여부를 판별한다. 즉, 스니핑 유닛(112)은 해당 패킷이 DNS 서버(130)로부터 전송되는 DNS 응답 패킷인지 여부를 판별한다.In step S120, the sniffing unit 112 determines whether the packet is a DNS response packet. That is, the sniffing unit 112 determines whether the packet is a DNS response packet transmitted from the DNS server 130. [

실시 예로서, 해당 패킷이 DNS 응답 패킷인지 여부는 해당 패킷의 헤더에 기반하여 판별될 수 있다. 이는 도 4를 참조하여 더 상세히 설명된다.As an embodiment, whether the packet is a DNS response packet can be determined based on the header of the packet. This is described in more detail with reference to FIG.

만약 해당 패킷이 DNS 응답 패킷인 경우, S130단계가 수행된다.If the packet is a DNS response packet, step S130 is performed.

S130단계에서, 스니핑 유닛(112)은 DNS 응답 패킷으로부터 도메인 네임에 대응하는 아이피 주소를 추출한다. DNS 응답 패킷에는 도메인 네임 정보 및 해당 아이피 주소 정보가 포함될 수 있다. DNS 응답 패킷은 도메인 네임에 대응하는 아이피 주소를 요청하는 DNS 쿼리 패킷에 응답하여 제공되는 것이고, 따라서 도메인 네임에 대응하는 아이피 주소를 포함한다. 추출된 아이피 주소는, 제 1 내지 제 n 서버 컴퓨터들(141~14n) 중 하나를 가리키는 주소일 것이다. In step S130, the sniffing unit 112 extracts the IP address corresponding to the domain name from the DNS response packet. The DNS response packet may include domain name information and corresponding IP address information. The DNS response packet is provided in response to a DNS query packet requesting an IP address corresponding to a domain name, and thus includes an IP address corresponding to the domain name. The extracted IP address may be an address indicating one of the first to nth server computers 141 to 14n.

S140단계에서, 스니핑 유닛(112)은 추출된 아이피 주소를 아이피 주소 테이블에 도메인 네임과 관련하여 추가한다. 실시 예로서, 아이피 주소 테이블은 보안 유닛(111)에 저장될 수 있다. 다른 예로서, 아이피 주소 테이블은 스니핑 유닛(112)에 저장될 수 있다.In step S140, the sniffing unit 112 adds the extracted IP address to the IP address table in association with the domain name. As an example, the IP address table may be stored in the security unit 111. [ As another example, the IP address table may be stored in the sniffing unit 112.

아이피 주소 테이블에는 도메인 네임 별로 해당 아이피 주소들이 저장된다. 즉, 추출된 아이피 주소는 해당 도메인 네임과 매치되어 저장된다. 이는 도 5를 참조하여 더 상세히 설명된다.The IP address table stores corresponding IP addresses for each domain name. That is, the extracted IP address is matched with the corresponding domain name and stored. This is described in more detail with reference to FIG.

도 4는 DNS 응답 패킷의 헤더(DNS_HD)의 데이터 포맷을 예시적으로 보여주는 도면이다.4 is an exemplary diagram showing a data format of a header (DNS_HD) of a DNS response packet.

도 4를 참조하면, DNS 응답 패킷의 헤더(DNS_HD)는 제 1 내지 제 3 플래그 정보(11~13), 목적지 아이피 주소(DP) 및 도메인 주소(DN)를 포함한다. 제 1 플래그 정보(11)는 해당 패킷이 DNS 패킷인지 또는 노멀(normal) 패킷인지 여부를 나타낸다.Referring to FIG. 4, the header (DNS_HD) of the DNS response packet includes first to third flag information 11 to 13, a destination IP address DP, and a domain address DN. The first flag information 11 indicates whether the packet is a DNS packet or a normal packet.

실시 예로서, 제 1 플래그 정보(11)는 해당 패킷의 출발지 포트(source port)의 아이피 주소(도 1의 SP 참조)일 수 있다. 그리고, 제 1 플래그 정보(11)가 DNS 서버(130)를 가리키는지에 따라 해당 패킷이 DNS 패킷인지 판별될 수 있다.As an embodiment, the first flag information 11 may be the IP address of the source port of the packet (see SP in FIG. 1). Whether the first flag information 11 indicates the DNS server 130 or not can be determined if the packet is a DNS packet.

목적지 아이피 주소(DP)는 DNS 응답 패킷이 전송될 목적지 포트(destination port)의 아이피 주소이다.The destination IP address (DP) is the IP address of the destination port to which the DNS response packet is to be transmitted.

예를 들면, 제 1 플래그 정보(11), 목적지 아이피 주소(DP), 도메인 네임(DN)은 DNS 응답 패킷의 헤더(DNS_HD) 중 TCP(Transmission Control Protocol) 헤더에 포함될 수 있다.For example, the first flag information 11, the destination IP address DP, and the domain name DN may be included in the Transmission Control Protocol (TCP) header of the DNS response header of the DNS response packet.

제 2 플래그 정보(12)는 해당 패킷이 DNS 쿼리 패킷인지 또는 DNS 응답 패킷인지 여부를 나타낸다. 예를 들면, 제 2 플래그 정보(12)는 1 데이터 비트로 구성되고, 제 2 플래그 정보(12)가 논리 상태 "1"이면 해당 패킷이 DNS 응답 패킷이고, 제 2 플래그 정보(12)가 논리 상태 "0"이면 해당 패킷이 DNS 쿼리 패킷임을 의미할 수 있다.The second flag information 12 indicates whether the packet is a DNS query packet or a DNS response packet. For example, if the second flag information 12 is composed of one data bit, and the second flag information 12 is a logical state "1 ", the packet is a DNS response packet and the second flag information 12 is a logical state "0" means that the packet is a DNS query packet.

제 3 플래그 정보(13)는 해당 패킷이 DNS 응답 패킷인 경우 해당 아이피 주소가 존재하는지 여부 및 해당 아이피 주소의 개수를 나타낸다.The third flag information 13 indicates whether the corresponding IP address is present and the number of corresponding IP addresses when the packet is a DNS response packet.

아이피 주소(IP)는 복수의 호스트 컴퓨터들(PC1~PCk) 중 어느 하나로부터의 DNS 쿼리 패킷에 대응하여 제공된다.An IP address (IP) is provided corresponding to a DNS query packet from any one of a plurality of host computers (PC1 to PCk).

예를 들면, 제 2 및 제 3 플래그 정보(12, 13), 그리고 아이피 주소(IP)는 DNS 응답 패킷의 헤더(DNS_HD) 중 DNS 헤더에 포함될 수 있다.For example, the second and third flag information 12 and 13 and the IP address IP may be included in the DNS header of the DNS response header of the DNS response packet.

호스트 컴퓨터들(PC1~PCk)과 인터넷 망(120) 사이에서 통신되는 패킷들이 DNS 응답 패킷인지 여부는 제 1 내지 제 3 플래그 정보(11~13)에 기반하여 판별될 수 있다.Whether the packets communicated between the host computers PC1 to PCk and the Internet network 120 are DNS response packets can be discriminated based on the first to third flag information 11 to 13. [

도 5는 아이피 주소 테이블(T)을 보여주는 도면이다.5 is a diagram showing an IP address table (T).

도 5를 참조하면, 아이피 주소 테이블(T)은 도메인 네임들(DN1~DNn) 각각에 대응하는 아이피 주소들을 포함한다. 실시 예로서, DNS 응답 패킷에는 아이피 주소에 대한 정보 및 해당 도메인 네임이 무엇인지에 대한 정보가 포함된다. 스니핑 유닛(112)은 DNS 응답 패킷이 검출될 때마다 추출된 아이피 주소를 해당 도메인 네임과 매칭하여 아이피 주소 테이블(T)에 추가한다.Referring to FIG. 5, the IP address table T includes IP addresses corresponding to the respective domain names DN1 to DNn. As an embodiment, the DNS response packet includes information on the IP address and information on what the corresponding domain name is. Each time the DNS response packet is detected, the sniffing unit 112 adds the extracted IP address to the IP address table T by matching with the corresponding domain name.

실시 예로서, 아이피 주소 테이블(T)은 보안 유닛(111, 도 2 참조)에 저장될 수 있다. 이때, 스니핑 유닛(112, 도 2 참조)은 DNS 응답 패킷이 검출될 때마다 추출된 아이피 주소에 대한 정보 및 해당 도메인 네임에 대한 정보를 보안 유닛(111)에 제공할 것이다.As an example, the IP address table T may be stored in the security unit 111 (see FIG. 2). At this time, the sniffing unit 112 (see FIG. 2) will provide information about the extracted IP address and information about the corresponding domain name to the security unit 111 whenever a DNS response packet is detected.

다른 실시 예로서, 아이피 주소 테이블(T)은 스니핑 유닛(112)에 저장될 수 있다. 이때, 스니핑 유닛(112)은 아이피 주소 테이블(T)을 저장하기 위한 데이터 저장 매체를 포함할 것이다.As another example, the IP address table T may be stored in the sniffing unit 112. At this time, the sniffing unit 112 will include a data storage medium for storing the IP address table T.

도 6은 본 발명의 실시 예에 따른 보안 유닛(111)의 동작 방법을 보여주는 순서도이다.6 is a flowchart showing an operation method of the security unit 111 according to the embodiment of the present invention.

도 2 및 도 6을 참조하면, S111단계에서, 보안 유닛(111)은 복수의 호스트 컴퓨터들(PC1~PCk)과 인터넷 망(120) 사이에서 통신되는 패킷을 모니터링한다.Referring to FIGS. 2 and 6, in step S111, the security unit 111 monitors packets communicated between the plurality of host computers PC1 to PCk and the Internet network 120. FIG.

이하, 설명의 편의를 위해 도 6을 참조한 설명에서는 제 1 호스트 컴퓨터(PC1)와 제 1 서버 컴퓨터(141)가 패킷을 교환하는 경우를 일 예로서 설명한다.Hereinafter, for convenience of explanation, a case where the first host computer PC1 and the first server computer 141 exchange packets will be described as an example with reference to FIG.

S121단계에서, 보안 유닛(111)은 아이피 주소 테이블(T, 도 5 참조) 내의 아이피 주소들 중 어느 하나가 해당 패킷의 목적지 아이피 주소(DP, 도 1 참조) 또는 출발지 아이피 주소(SP, 도 1 참조)와 일치하지 판별한다. 만약 그렇다면, S131단계가 수행된다. 만약 그렇지 않다면, S141단계가 수행된다.In step S121, the security unit 111 determines whether one of the IP addresses in the IP address table T (see FIG. 5) corresponds to the destination IP address DP (see FIG. 1) or the source IP address SP ). If so, step S131 is performed. If not, step S141 is performed.

예를 들면, 해당 패킷이 인터넷 망(120)을 통해 제 1 호스트 컴퓨터(PC1)로 전송될 하향 패킷일 때, 보안 유닛(111)은 해당 패킷의 출발지 아이피 주소(SP)가 아이피 주소 테이블 내에 존재하는지 판별한다. 예를 들면, 해당 패킷이 제 1 호스트 컴퓨터(PC1)로부터 인터넷 망(120)으로 전송될 상향 패킷일 때, 보안 유닛(111)은 해당 패킷의 목적지 아이피 주소(DP)가 아이피 주소 테이블 내에 존재하는지 판별한다.For example, when the packet is a downstream packet to be transmitted to the first host computer PC1 through the Internet network 120, the security unit 111 determines whether the source IP address SP of the packet exists in the IP address table . For example, when the packet is an upstream packet to be transmitted from the first host computer PC1 to the Internet network 120, the security unit 111 determines whether the destination IP address DP of the packet exists in the IP address table .

S131단계에서, 보안 유닛(111)은 해당 패킷을 차단한다. S141단계에서, 보안 유닛(111)은 해당 패킷을 허용한다.In step S131, the security unit 111 blocks the packet. In step S141, the security unit 111 allows the packet.

본 발명의 실시 예에 따르면, 보안 시스템(110)은 도메인 네임에 대응하는 아이피 주소들을 효율적으로 검색하고, 검색된 아이피 주소들을 이용하여 해당 웹 사이트에 대한 접속을 차단 또는 허용할 수 있다.According to an embodiment of the present invention, the security system 110 may efficiently search for IP addresses corresponding to a domain name, and may block or allow access to a corresponding web site using the retrieved IP addresses.

도 7은 본 발명의 다른 실시 예에 따른 스니핑 유닛(112)의 동작 방법을 보여주는 순서도이다.7 is a flowchart showing a method of operating the sniffing unit 112 according to another embodiment of the present invention.

도 2 및 도 7을 참조하면, S210단계에서 스니핑 유닛(112)은 복수의 호스트 컴퓨터들(PC1~PCk)과 인터넷 망(120) 사이에서 통신되는 패킷을 모니터링한다. S220단계에서, 스니핑 유닛(112)은 해당 패킷이 DNS 응답 패킷인지 여부를 판별한다.Referring to FIGS. 2 and 7, in step S210, the sniffing unit 112 monitors packets communicated between the plurality of host computers PC1 through PCk and the Internet network 120. FIG. In step S220, the sniffing unit 112 determines whether the packet is a DNS response packet.

이하, 도 7 및 도 8을 참조한 설명에서, 설명의 편의를 위해 제 1 호스트 컴퓨터(PC1)가 DNS 서버(130)와 패킷을 송수신하는 경우가 일 예로서 설명된다.Hereinafter, for convenience of explanation, a case where the first host computer PC1 transmits / receives a packet to / from the DNS server 130 will be described as an example in the description with reference to FIG. 7 and FIG.

S230단계에서, 스니핑 유닛(112)은 DNS 응답 패킷에 대응하는 DNS 쿼리 패킷이 제 1 호스트 컴퓨터(PC1)로부터 DNS 서버(130)에 전송되었는지 여부가 판별된다. 이를 위해, 스니핑 유닛(112)은 제 1 호스트 컴퓨터(PC1)로부터 DNS 서버(130)에 전송되는 DNS 쿼리 패킷에 대한 정보를 저장한다. 이는 도 6을 참조하여 더 상세히 설명된다.In step S230, the sniffing unit 112 determines whether or not a DNS query packet corresponding to the DNS response packet has been transmitted from the first host computer PC1 to the DNS server 130. [ To this end, the sniffing unit 112 stores information about a DNS query packet transmitted from the first host computer PC1 to the DNS server 130. [ This is described in more detail with reference to FIG.

공격 등의 다양한 목적들로서, DNS 쿼리 패킷이 발생하지 않았음에도 인터넷 망(120)을 통해 호스트 컴퓨터들(PC1~PCk) 중 적어도 하나, 예를 들면, 제 1 호스트 컴퓨터(PC1)로 DNS 응답 패킷이 전송될 수 있다. 이러한 DNS 응답 패킷은 DNS 서버(13)에 의해 발생되지 않고 다른 임의의 서버에 의해 발생될 것이다.DNS response packets are transmitted to at least one of the host computers PC1 to PCk, for example, the first host computer PC1 via the Internet network 120, for various purposes, Lt; / RTI > This DNS response packet will not be generated by the DNS server 13 but will be generated by any other server.

이러한 경우, DNS 응답 패킷의 헤더(DNS_HD)의 신뢰성은 매우 낮다. 이러한 DNS 응답 패킷의 헤더(DNS_HD)에도 도 3을 참조하여 설명된 바와 동일한 제 1 내지 제 3 플래그 정보(11~13)가 포함될 수 있다. 스니핑 유닛(112)이 해당 패킷이 DNS 응답 패킷인지 여부를 DNS 응답 패킷의 헤더(DNS_HD)만으로 판단하는 경우, 잘못된 아이피 주소를 수집할 수 있다.In this case, the reliability of the header (DNS_HD) of the DNS response packet is very low. The header (DNS_HD) of the DNS response packet may include the same first to third flag information 11-13 as described with reference to FIG. If the sniffing unit 112 determines whether the packet is a DNS response packet based on only the header (DNS_HD) of the DNS response packet, it is possible to collect an invalid IP address.

이 실시 예에 따르면 해당 패킷이 DNS 응답 패킷인지 여부를 DNS 응답 패킷의 헤더(HD)에 기반하여 판별하고, 스니핑 유닛(112)은 제 1 호스트 컴퓨터(PC1)가 DNS 쿼리 패킷을 발생하였는지 여부를 체크한다.According to this embodiment, whether the packet is a DNS response packet is determined based on the header (HD) of the DNS response packet, and the sniffing unit 112 determines whether the first host computer (PC1) has generated the DNS query packet Check.

S240단계에서, 스니핑 유닛(112)은 DNS 응답 패킷으로부터 도메인 네임에 대응하는 아이피 주소를 추출한다. S250단계에서, 스니핑 유닛(112)은 아이피 주소 테이블에 추출된 아이피 주소를 추가한다.In step S240, the sniffing unit 112 extracts the IP address corresponding to the domain name from the DNS response packet. In step S250, the sniffing unit 112 adds the extracted IP address to the IP address table.

이 실시 예에 따르면, 스니핑 유닛(112)에 의해 수집되는 아이피 주소들의 신뢰성은 더 향상될 수 있다.According to this embodiment, the reliability of the IP addresses collected by the sniffing unit 112 can be further improved.

도 8은 DNS 쿼리 패킷을 획득하는 방법을 보여주는 순서도이다.Figure 8 is a flow chart illustrating a method for obtaining a DNS query packet.

도 8을 참조하면, 스니핑 유닛(112)은 복수의 호스트 컴퓨터들(PC1~PCk)과 인터넷 망(120) 사이에서 통신되는 패킷을 모니터링하고(S210), 해당 패킷이 DNS 쿼리 패킷인지 여부를 판별한다(S220). DNS 쿼리 패킷은 도메인 네임에 대응하는 아이피 주소를 묻는 패킷으로서, 제 1 호스트 컴퓨터(PC1)로부터 DNS 서버(130)로 전송된다. 예를 들면, 해당 패킷이 DNS 쿼리 패킷인지 여부는 해당 패킷의 목적지 아이피 주소에 의해 판별될 수 있다. 해당 패킷이 DNS 쿼리 패킷이면, 스니핑 유닛(112)은 DNS 쿼리 패킷에 대한 정보를 저장한다(S230). 이러한 DNS 쿼리 패킷에 대한 정보는 도 7의 S230단계에서 사용될 것이다.8, the sniffing unit 112 monitors packets communicated between a plurality of host computers PC1 to PCk and the Internet network 120 (S210), and determines whether the packet is a DNS query packet (S220). The DNS query packet is a packet for asking for an IP address corresponding to a domain name, and is transmitted from the first host computer PC1 to the DNS server 130. [ For example, whether the packet is a DNS query packet can be determined by the destination IP address of the packet. If the packet is a DNS query packet, the sniffing unit 112 stores information about the DNS query packet (S230). Information on the DNS query packet will be used in step S230 of FIG.

도 9는 도 1의 보안 시스템(110)이 직접 DNS 쿼리 패킷들을 DNS 서버(130)에 전송할 때 보안 시스템(110)에 수집되는 아이피 주소들을 보여주는 테이블이다.FIG. 9 is a table showing IP addresses collected in the security system 110 when the security system 110 of FIG. 1 directly transmits DNS query packets to the DNS server 130.

도 9를 참조하면, 하나의 도메인 네임(www.daum.net)에 대응하는 2개의 아이피 주소들이 획득된다. 호스트 컴퓨터들(PC1~PCk, 도 1 참조)이 통신하는 모든 아이피 주소들은 획득되지 않는다.Referring to FIG. 9, two IP addresses corresponding to one domain name (www.daum.net) are obtained. All IP addresses with which the host computers (PC1 to PCk, see Fig. 1) communicate are not obtained.

도 10은 본 발명의 실시 예에 따라 도메인 네임 당 수집되는 아이피 주소들을 보여주는 테이블이다.10 is a table showing IP addresses collected per domain name according to an embodiment of the present invention.

도 10을 참조하면, 하나의 도메인 네임(www.daum.net)에 3개 이상의 아이피 주소들이 획득된다. 호스트 컴퓨터들(PC1~PCk)이 DNS 서버(130, 도 2 참조)로부터 수신하는 DNS 응답 패킷들을 모니터링 및 검출함으로써, 호스트 컴퓨터들(PC1~PCk)이 통신하는 모든 아이피 주소들이 획득될 수 있다는 것을 알 수 있다.Referring to FIG. 10, three or more IP addresses are obtained in one domain name (www.daum.net). By monitoring and detecting the DNS response packets that the host computers PC1 to PCk receive from the DNS server 130 (see FIG. 2), it can be seen that all the IP addresses with which the host computers PC1 to PCk communicate can be obtained Able to know.

도 11은 본 발명의 다른 실시 예에 따른 보안 시스템(110)의 동작 방법을 보여주는 순서도이다.11 is a flowchart illustrating an operation method of the security system 110 according to another embodiment of the present invention.

도 2 및 도 11을 참조하면, S410단계에서, 보안 시스템(110)은 복수의 호스트 컴퓨터들(PC1~PCk)과 인터넷 망(120) 사이에서 통신되는 패킷을 모니터링한다.Referring to FIGS. 2 and 11, in step S410, the security system 110 monitors packets communicated between the plurality of host computers PC1 through PCk and the Internet network 120. FIG.

S420단계에서, 해당 패킷이 DNS 응답 패킷인지 여부가 판별된다. 만약 그렇다면, S430단계가 수행된다. In step S420, it is determined whether or not the packet is a DNS response packet. If so, step S430 is performed.

S430단계에서, DNS 응답 패킷으로부터 도메인 네임에 대응하는 아이피 주소가 추출된다. S440단계에서, 추출된 아이피 주소는 아이피 주소 테이블(T, 도 5 참조)에 추가된다.In step S430, the IP address corresponding to the domain name is extracted from the DNS response packet. In step S440, the extracted IP address is added to the IP address table (see FIG. 5).

S450단계에서, 해당 패킷이 DNS 응답 패킷이 아닌 경우, 해당 패킷의 출발지 아이피 주소 또는 목적지 아이피 주소가 아이피 주소 테이블(T, 도 5 참조) 내의 아이피 주소들 중 어느 하나와 일치하는지 판별된다. 만약 그렇다면, S460단계가 수행된다. 만약 그렇지 않다면, S470단계가 수행된다.In step S450, if the packet is not a DNS response packet, it is determined whether the source IP address or the destination IP address of the packet matches one of the IP addresses in the IP address table (T, see FIG. 5). If so, step S460 is performed. If not, step S470 is performed.

S460단계에서, 해당 패킷은 차단된다. S470단계에서, 해당 패킷은 허용된다.In step S460, the packet is blocked. In step S470, the packet is allowed.

예를 들면, 해당 패킷은 인터넷 망(120)으로 전송되는 상향 패킷이고, 아이피 주소 테이블(T) 내에 제 1 내지 제 n 서버 컴퓨터들(141~14n)에 대응하는 아이피 주소들이 모두 포함된다고 가정한다. 해당 패킷이 DNS 쿼리 패킷일 때, 해당 패킷의 출발지 아이피 주소(PC1~PCk 중 어느 하나에 대응) 또는 목적지 아이피 주소(130에 대응)는 아이피 주소 테이블(T)에 존재하지 않을 것이다. 해당 패킷이 노멀 패킷일 때, 해당 패킷의 목적지 아이피 주소(141~14n 중 어느 하나에 대응)는 아이피 주소 테이블(T) 내에 존재할 것이다.For example, it is assumed that the corresponding packet is an uplink packet transmitted to the Internet network 120, and all the IP addresses corresponding to the first to nth server computers 141 to 14n are included in the IP address table T . When the corresponding packet is a DNS query packet, the source IP address (corresponding to any one of PC1 to PCk) or the destination IP address (corresponding to 130) of the packet will not exist in the IP address table T. When the packet is a normal packet, the destination IP address (corresponding to any one of 141 to 14n) of the packet will be present in the IP address table T.

예를 들면, 해당 패킷은 인터넷 망(120)을 통해 전송되는 하향 패킷이고, 아이피 주소 테이블(T) 내에 제 1 내지 제 n 서버 컴퓨터들(141~14n)에 대응하는 아이피 주소들이 모두 포함된다고 가정한다. 해당 패킷이 DNS 응답 패킷일 때, S450단계는 수행되지 않을 것이다. 해당 패킷이 노멀 패킷일 때, 해당 패킷의 출발지 아이피 주소(141~14n 중 어느 하나에 대응)는 아이피 주소 테이블(T) 내에 존재할 것이다.For example, it is assumed that the corresponding packet is a downlink packet transmitted through the Internet network 120 and that all the IP addresses corresponding to the first to nth server computers 141 to 14n are included in the IP address table T do. When the packet is a DNS response packet, step S450 will not be performed. When the packet is a normal packet, the source IP address (corresponding to any one of 141 to 14n) of the packet will be present in the IP address table T.

결과적으로, 제 1 내지 제 k 호스트 컴퓨터들(PC1~PCk)과 제 1 내지 제 n 서버 컴퓨터들(141~14n) 사이에서 통신되는 노멀 패킷들은 아이피 주소 테이블(T)에 따라 차단 또는 허용될 것이다.As a result, the normal packets communicated between the first to kth host computers PC1 to PCk and the first to nth server computers 141 to 14n will be blocked or allowed according to the IP address table T .

본 발명의 실시 예에 따르면, 도메인 네임에 대응하는 아이피 주소들을 효율적으로 검색함으로써, 검색된 아이피 주소들을 이용하여 해당 웹 사이트에 대한 접속을 차단할 수 있다.According to the embodiment of the present invention, it is possible to effectively block the access to the corresponding web site by using the searched IP addresses by efficiently searching the IP addresses corresponding to the domain name.

본 발명의 상세한 설명에서는 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위와 기술적 사상에서 벗어나지 않는 한도 내에서 다양한 변경이 가능하다. 그러므로 본 발명의 범위는 상술한 실시 예에 국한되어 정해져서는 안되며 후술하는 특허청구범위뿐만 아니라 이 발명의 특허청구범위와 균등한 것들에 의해 정해져야 한다.While the invention has been shown and described with reference to certain preferred embodiments thereof, it will be understood by those skilled in the art that various changes and modifications may be made without departing from the spirit and scope of the invention. Therefore, the scope of the present invention should not be limited to the above-described embodiments, but should be determined by the claims equivalent to the claims of the present invention as well as the claims of the following.

PC1~PCk: 제 1 내지 제 k 호스트 컴퓨터들
보안 시스템: 110
인터넷 망: 120
DNS 서버: 130
141~14n: 제 1 내지 제 n 서버 컴퓨터들
DN: 도메인 네임PC1 to PCk: first to kth host computers
Security system: 110
Internet network: 120
DNS server: 130
141 to 14n: first to nth server computers
DN: Domain Name

Claims (16)

인터넷 망에 연결된 복수의 호스트 컴퓨터들을 관리하는 보안 시스템의 동작 방법에 있어서:
상기 복수의 호스트 컴퓨터들과 상기 인터넷 망 사이에서 통신되는 패킷들(packets) 각각이 DNS(Domain Named Server) 서버로부터 상기 인터넷 망을 통해 전송되는 DNS 응답 패킷인지 여부를 판별하는 단계;
상기 DNS 응답 패킷으로부터 도메인 네임에 대응하는 아이피 주소를 추출하여 아이피 주소 테이블에 업데이트하는 단계; 및
상기 패킷들 각각의 출발지 아이피 주소 또는 목적지 아이피 주소가 상기 아이피 주소 테이블 내의 아이피 주소들 중 어느 하나와 일치하는지 여부에 따라 해당 패킷을 차단하는 단계를 포함하되,
상기 DNS 응답 패킷은 상기 도메인 네임에 대응하는 아이피 주소를 요청하는 DNS 쿼리 패킷에 따라 상기 DNS 서버로부터 상기 복수의 호스트 컴퓨터들 중 어느 하나에 제공되고,
상기 DNS 쿼리 패킷은 상기 복수의 호스트 컴퓨터들 중 어느 하나에서 발생되는 동작 방법.A method of operating a security system for managing a plurality of host computers connected to an Internet network, the method comprising:
Determining whether each of packets communicated between the plurality of host computers and the Internet network is a DNS response packet transmitted through the Internet network from a DNS (Domain Named Server) server;
Extracting an IP address corresponding to a domain name from the DNS response packet and updating the extracted IP address in an IP address table; And
Blocking the corresponding packet according to whether the source IP address or the destination IP address of each of the packets matches any one of the IP addresses in the IP address table,
Wherein the DNS response packet is provided to the one of the plurality of host computers from the DNS server according to a DNS query packet requesting an IP address corresponding to the domain name,
Wherein the DNS query packet is generated at any one of the plurality of host computers. 삭제delete 제 1 항에 있어서,
상기 도메인 네임에 대응하는 아이피 주소는 상기 도메인 네임과 매치되어 상기 아이피 주소 테이블에 저장되는 동작 방법.The method according to claim 1,
Wherein the IP address corresponding to the domain name is matched with the domain name and stored in the IP address table. 제 1 항에 있어서,
상기 판별하는 단계는 상기 패킷들 각각의 헤더에 기반하여 수행되는 동작 방법.The method according to claim 1,
Wherein the determining is performed based on a header of each of the packets. 제 1 항에 있어서,
상기 DNS 응답 패킷의 목적지는 상기 복수의 호스트 컴퓨터들 중 어느 하나이고,
상기 복수의 호스트 컴퓨터들로부터 상기 인터넷 망을 통해 상기 DNS 서버에 전송되는 복수의 DNS 쿼리 패킷들을 검출하고, 상기 복수의 DNS 쿼리 패킷들에 대한 정보를 저장하는 단계를 더 포함하고,
상기 아이피 주소 테이블에 업데이트하는 단계는 상기 복수의 DNS 쿼리 패킷들 중 상기 DNS 응답 패킷에 대응하는 DNS 쿼리 패킷이 존재하는지 여부를 판별하고, 판별 결과에 따라 상기 DNS 응답 패킷으로부터 상기 도메인 네임에 대응하는 상기 아이피 주소를 추출하는 단계를 포함하는 동작 방법.The method according to claim 1,
Wherein the destination of the DNS response packet is any one of the plurality of host computers,
Detecting a plurality of DNS query packets transmitted from the plurality of host computers to the DNS server through the Internet network and storing information on the plurality of DNS query packets,
The step of updating the IP address table may include determining whether a DNS query packet corresponding to the DNS response packet exists among the plurality of DNS query packets, And extracting the IP address. 제 1 항에 있어서,
상기 차단하는 단계는
상기 패킷들 각각의 출발지 아이피 주소 또는 목적지 아이피 주소가 상기 아이피 주소 테이블 내의 아이피 주소들 중 어느 하나와 일치할 때, 상기 해당 패킷을 차단하는 단계; 및
상기 패킷들 각각의 출발지 아이피 주소 또는 목적지 아이피 주소가 상기 아이피 주소 테이블 내의 아이피 주소들과 일치하지 않을 때, 상기 해당 패킷을 허용하는 단계를 포함하는 동작 방법.The method according to claim 1,
The blocking step
Blocking the corresponding packet when a source IP address or a destination IP address of each of the packets matches any one of IP addresses in the IP address table; And
And accepting the corresponding packet when the source IP address or the destination IP address of each of the packets does not match the IP addresses in the IP address table. 인터넷 망에 연결된 복수의 호스트 컴퓨터들을 관리하는 보안 유닛; 및
상기 복수의 호스트 컴퓨터들과 상기 인터넷 망 사이에서 통신되는 패킷들(packets) 각각이 DNS(Domain Named Server) 서버로부터 상기 인터넷 망을 통해 전송되는 DNS 응답 패킷인지 여부를 판별하고, 상기 DNS 응답 패킷으로부터 도메인 네임에 대응하는 아이피 주소를 추출하여 아이피 주소 테이블에 업데이트하도록 구성되는 스니핑 유닛을 포함하되,
상기 보안 유닛은 상기 패킷들 각각의 출발지 아이피 주소 또는 목적지 아이피 주소가 상기 아이피 주소 테이블 내의 아이피 주소들 중 어느 하나와 일치하는지 여부에 따라 해당 패킷을 차단하도록 구성되는 보안 시스템.A security unit for managing a plurality of host computers connected to the Internet network; And
Wherein each of the packets communicated between the plurality of host computers and the Internet network is a DNS response packet transmitted from the Domain Name Server (DNS) server through the Internet network, And a sniffing unit configured to extract an IP address corresponding to the domain name and update the IP address in the IP address table,
Wherein the security unit is configured to block the packet according to whether the source IP address or the destination IP address of each of the packets matches one of the IP addresses in the IP address table. 제 7 항에 있어서,
상기 DNS 응답 패킷은 상기 도메인 네임에 대응하는 아이피 주소를 요청하는 DNS 쿼리 패킷에 따라 상기 DNS 서버로부터 상기 복수의 호스트 컴퓨터들 중 어느 하나에 제공되고,
상기 DNS 쿼리 패킷은 상기 복수의 호스트 컴퓨터들 중 어느 하나에서 발생되는 보안 시스템.8. The method of claim 7,
Wherein the DNS response packet is provided to the one of the plurality of host computers from the DNS server according to a DNS query packet requesting an IP address corresponding to the domain name,
Wherein the DNS query packet is generated at any one of the plurality of host computers. 제 7 항에 있어서,
상기 아이피 주소 테이블은 상기 보안 유닛에 저장되는 보안 시스템.8. The method of claim 7,
Wherein the IP address table is stored in the security unit. 제 7 항에 있어서,
상기 아이피 주소 테이블은 상기 스니핑 유닛에 저장되는 보안 시스템.8. The method of claim 7,
Wherein the IP address table is stored in the sniffing unit. 제 7 항에 있어서,
상기 보안 유닛은
상기 패킷들 각각의 출발지 아이피 주소 또는 목적지 아이피 주소가 상기 아이피 주소 테이블 내의 아이피 주소들 중 어느 하나와 일치할 때, 상기 해당 패킷을 차단하고,
상기 패킷들 각각의 출발지 아이피 주소 또는 목적지 아이피 주소가 상기 아이피 주소 테이블 내의 아이피 주소들과 일치하지 않을 때, 상기 해당 패킷을 허용하도록 구성되는 보안 시스템.8. The method of claim 7,
The security unit
When the source IP address or the destination IP address of each of the packets coincides with any one of the IP addresses in the IP address table,
And accepts the packet when the source IP address or the destination IP address of each of the packets does not match the IP addresses in the IP address table. 인터넷 망에 연결된 복수의 호스트 컴퓨터들을 관리하는 보안 시스템의 동작 방법에 있어서:
상기 복수의 호스트 컴퓨터들과 상기 인터넷 망 사이에서 통신되는 패킷(packet)이 DNS(Domain Named Server) 서버로부터 상기 인터넷 망을 통해 전송되는 DNS 응답 패킷인지 또는 노멀 패킷인지 여부를 판별하는 단계;
상기 패킷이 상기 DNS 응답 패킷일 때, 상기 DNS 응답 패킷으로부터 도메인 네임에 대응하는 아이피 주소를 추출하여 아이피 주소 테이블에 업데이트하는 단계; 및
상기 패킷이 상기 노멀 패킷일 때, 상기 노멀 패킷의 출발지 아이피 주소 또는 목적지 아이피 주소가 상기 아이피 주소 테이블 내의 아이피 주소들 중 어느 하나와 일치하는지 여부에 따라 상기 노멀 패킷을 차단하는 단계를 포함하되,
상기 DNS 응답 패킷은 상기 도메인 네임에 대응하는 아이피 주소를 요청하는 DNS 쿼리 패킷에 따라 상기 DNS 서버로부터 상기 복수의 호스트 컴퓨터들 중 어느 하나에 제공되고,
상기 DNS 쿼리 패킷은 상기 복수의 호스트 컴퓨터들 중 어느 하나에서 발생되는 동작 방법.A method of operating a security system for managing a plurality of host computers connected to an Internet network, the method comprising:
Determining whether a packet communicated between the plurality of host computers and the Internet network is a DNS response packet transmitted through the Internet network or a normal packet from a DNS (Domain Named Server) server;
Extracting an IP address corresponding to a domain name from the DNS response packet and updating the extracted IP address in an IP address table when the packet is the DNS response packet; And
Blocking the normal packet according to whether the source IP address or the destination IP address of the normal packet coincides with any one of the IP addresses in the IP address table when the packet is the normal packet,
Wherein the DNS response packet is provided to the one of the plurality of host computers from the DNS server according to a DNS query packet requesting an IP address corresponding to the domain name,
Wherein the DNS query packet is generated at any one of the plurality of host computers. 삭제delete 제 12 항에 있어서,
상기 판별하는 단계는 상기 패킷의 헤더에 기반하여 수행되는 동작 방법.13. The method of claim 12,
Wherein the determining is performed based on a header of the packet. 제 12 항에 있어서,
상기 DNS 응답 패킷의 목적지는 상기 복수의 호스트 컴퓨터들 중 어느 하나이고,
상기 복수의 호스트 컴퓨터들로부터 상기 인터넷 망을 통해 상기 DNS 서버에 전송되는 복수의 DNS 쿼리 패킷들을 검출하고, 상기 복수의 DNS 쿼리 패킷들에 대한 정보를 저장하는 단계를 더 포함하고,
상기 아이피 주소 테이블에 업데이트하는 단계는 상기 복수의 DNS 쿼리 패킷들 중 상기 DNS 응답 패킷에 대응하는 DNS 쿼리 패킷이 존재하는지 여부를 판별하고, 판별 결과에 따라 상기 DNS 응답 패킷으로부터 상기 도메인 네임에 대응하는 상기 아이피 주소를 추출하는 단계를 포함하는 동작 방법.13. The method of claim 12,
Wherein the destination of the DNS response packet is any one of the plurality of host computers,
Detecting a plurality of DNS query packets transmitted from the plurality of host computers to the DNS server through the Internet network and storing information on the plurality of DNS query packets,
The step of updating the IP address table may include determining whether a DNS query packet corresponding to the DNS response packet exists among the plurality of DNS query packets, And extracting the IP address. 제 12 항에 있어서,
상기 차단하는 단계는
상기 노멀 패킷의 출발지 아이피 주소 또는 목적지 아이피 주소가 상기 아이피 주소 테이블 내의 아이피 주소들 중 어느 하나와 일치할 때, 상기 노멀 패킷을 차단하는 단계; 및
상기 노멀 패킷의 출발지 아이피 주소 또는 목적지 아이피 주소가 상기 아이피 주소 테이블 내의 아이피 주소들과 일치하지 않을 때, 상기 노멀 패킷을 허용하는 단계를 포함하는 동작 방법.
13. The method of claim 12,
The blocking step
Blocking the normal packet when the source IP address or the destination IP address of the normal packet matches any one of the IP addresses in the IP address table; And
Allowing the normal packet when the source IP address or the destination IP address of the normal packet does not match the IP addresses in the IP address table.
KR1020120106380A 2012-09-25 2012-09-25 Security system and operating method thereof KR101416523B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120106380A KR101416523B1 (en) 2012-09-25 2012-09-25 Security system and operating method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120106380A KR101416523B1 (en) 2012-09-25 2012-09-25 Security system and operating method thereof

Publications (2)

Publication Number Publication Date
KR20140044987A KR20140044987A (en) 2014-04-16
KR101416523B1 true KR101416523B1 (en) 2014-07-09

Family

ID=50652664

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120106380A KR101416523B1 (en) 2012-09-25 2012-09-25 Security system and operating method thereof

Country Status (1)

Country Link
KR (1) KR101416523B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101623570B1 (en) * 2014-09-02 2016-05-23 주식회사 케이티 Method for detecting harmful dns and spoofing site, and security system thereof

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150135851A (en) 2014-05-26 2015-12-04 김영중 The dried radishleaves for direct cook, do not wash.
KR101522139B1 (en) * 2014-05-26 2015-05-20 플러스기술주식회사 Method for blocking selectively in dns server and change the dns address using proxy
KR101656615B1 (en) * 2015-05-12 2016-09-22 주식회사 수산아이앤티 Network security system and method for displaying a blocked site
KR101642223B1 (en) 2015-05-12 2016-07-22 주식회사 수산아이앤티 Method for deriving the installation of a private certificate
KR101728764B1 (en) * 2015-06-02 2017-04-21 주식회사 수산아이앤티 Network security system and method for blocking a drive by download
KR101942158B1 (en) * 2016-11-04 2019-02-19 주식회사 시큐아이 Network security method and apparatus thereof

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060039984A (en) * 2004-11-04 2006-05-10 한국전자통신연구원 Apparatus and method for defeating network attacks with abnormal ip address
KR100732689B1 (en) * 2005-05-13 2007-06-27 (주)트리니티소프트 Web Security Method and apparatus therefor

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060039984A (en) * 2004-11-04 2006-05-10 한국전자통신연구원 Apparatus and method for defeating network attacks with abnormal ip address
KR100732689B1 (en) * 2005-05-13 2007-06-27 (주)트리니티소프트 Web Security Method and apparatus therefor

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101623570B1 (en) * 2014-09-02 2016-05-23 주식회사 케이티 Method for detecting harmful dns and spoofing site, and security system thereof

Also Published As

Publication number Publication date
KR20140044987A (en) 2014-04-16

Similar Documents

Publication Publication Date Title
KR101416523B1 (en) Security system and operating method thereof
JP5237034B2 (en) Root cause analysis method, device, and program for IT devices that do not acquire event information.
US20100138921A1 (en) Countering Against Distributed Denial-Of-Service (DDOS) Attack Using Content Delivery Network
WO2018107784A1 (en) Method and device for detecting webshell
US7840699B2 (en) Name resolution server and packet transfer device
US11696110B2 (en) Distributed, crowdsourced internet of things (IoT) discovery and identification using Block Chain
US20120297478A1 (en) Method and system for preventing dns cache poisoning
KR101001353B1 (en) Autonomous management method for processing unexpecting events using interaction between nodes in sensor networks
CN114145004A (en) System and method for using DNS messages to selectively collect computer forensics data
KR20110071453A (en) Zigbee gateway and method for identifying message of the same
KR101127246B1 (en) Method of identifying terminals which share an ip address and apparatus thereof
US20090122721A1 (en) Hybrid network discovery method for detecting client applications
KR101429120B1 (en) Security system collecting sub-domain name and operating method thereof
KR101448953B1 (en) Security system and operating method thereof
KR101400136B1 (en) Security system and operating method thereof
KR101645222B1 (en) Advanced domain name system and management method
JP2006157313A (en) Path creation system, path creation apparatus and path creation program
KR101603694B1 (en) Method of identifying terminals and system thereof
KR101429107B1 (en) Security system collecting sub-domain name and operating method thereof
CN103368798A (en) A method and a network element for content based addressing in a data transfer network
JP6740191B2 (en) Attack response system and attack response method
US20210064411A1 (en) Management apparatus, management system, management method and management program
JP4772025B2 (en) P2P communication detection device, method and program thereof
KR20150084721A (en) Method of identifying terminals and system thereof
AU2023203129B2 (en) Systems and methods for distributing partial data to subnetworks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant