KR101453728B1 - Method and apparatus for providing network security policy based nat ip process - Google Patents

Method and apparatus for providing network security policy based nat ip process Download PDF

Info

Publication number
KR101453728B1
KR101453728B1 KR1020130111684A KR20130111684A KR101453728B1 KR 101453728 B1 KR101453728 B1 KR 101453728B1 KR 1020130111684 A KR1020130111684 A KR 1020130111684A KR 20130111684 A KR20130111684 A KR 20130111684A KR 101453728 B1 KR101453728 B1 KR 101453728B1
Authority
KR
South Korea
Prior art keywords
nat
port
flag
threshold
flooding
Prior art date
Application number
KR1020130111684A
Other languages
Korean (ko)
Inventor
주은영
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020130111684A priority Critical patent/KR101453728B1/en
Application granted granted Critical
Publication of KR101453728B1 publication Critical patent/KR101453728B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

A method for providing a network address translation (NAT) IP processing-based network security policy of the present invention includes: a step of determining whether NAT is used or not by analyzing a traffic of packets collected from a host terminal, and updating an NAT IP table which is relevant to a corresponding IP according to the result; a step of determining whether a predetermined flooding threshold-based flooding attack is on each of the IPs or not, and blocking the IP which exceeds the flooding threshold; and a step of checking whether the blocked IP exceeds the predetermined NAT IP threshold through the NAT IP table to determine whether the IP is blocked if the blocked IP is determined to be an NAT IP by analyzing the IP with reference to a protocol type, and performing a load balancing service parser if the blocked IP is not the NAT IP and allocated to a specific application service port.

Description

NAT IP 처리 기반 네트워크 보안 정책 제공 방법 및 장치{METHOD AND APPARATUS FOR PROVIDING NETWORK SECURITY POLICY BASED NAT IP PROCESS}[0001] METHOD AND APPARATUS FOR PROVIDING NETWORK SECURITY POLICY BASED NAT IP PROCESS [0002]

본 발명은 네트워크 보안 정책 제공에 관한 것으로, 특히 NAT IP를 실시간 효율적으로 관리 및 정상 사용자와 공격자를 구분하여 NAT IP를 효율적으로 관리하기 위한 것이다.The present invention relates to providing a network security policy, and more particularly, to efficiently manage NAT IP in real time and effectively manage a NAT IP by distinguishing a normal user from an attacker.

최근 통신환경이 개선됨에 따라 네트워크로 송수신되는 데이터가 대용량으로 증가되어, 좀더 다양한 종류의 데이터가 전송된다.As the communication environment is improved in recent years, a large amount of data is transmitted and received to and from the network, and more various types of data are transmitted.

이와 함께 바이러스 해킹 등에 대비한 보안 장치가 마련되는 것으로, 대표적인 것이 방화벽이라 할 수 있을 것이다. 이러한 방화벽에서는 정상적인 패킷인지 여부를 검사하고, 패킷 중에 바이러스 정보, 해킹 데이터가 포함되었는지 여부를 검사하여, 안전하다고 분류된 데이터만 서버측으로 전송하도록 마련되는 것이다.In addition, a security device is prepared in preparation for virus hacking, and a typical example is a firewall. In this firewall, it is checked whether the packet is a normal packet, whether virus information and hacking data are included in the packet, and only the data classified as safe is transmitted to the server side.

그러나 근래의 대용량 데이터가 송수신되는 환경 하의 방화벽에서는 네트워크 데이터가 고속으로 처리되어야 할 것이다. 특히 반드시 방화벽을 거치도록 함으로써, 고속 네트워크 환경하에서도 보다 안전하게 데이터를 사용할 수 있어야 할 것이다.However, in a firewall under the environment where a large amount of data is transmitted and received in recent years, network data must be processed at a high speed. In particular, by using a firewall, it is necessary to use data more securely even in a high-speed network environment.

그런데, 일반적인 고속 네트워크 보안 시스템에서 임계치 기반 블랙 리스트(black list)차단의 경우에 NAT IP는 블랙 리스트 차단 정책에 차단이 발생하는 경우가 많다.However, in a high-speed network security system, in the case of the threshold-based black list blocking, the NAT IP often blocks the black list blocking policy.

이럴 경우, NAT IP를 별도로 관리하거나, 화이트 리스트(white list)로 관리하는 방법 등으로 보안정책을 관리하곤 하지만, 이와 같은 환경에서의 고속 네트워크 보안 시스템은 일반 사용자와 NAT IP를 구별 관리하기가 용이하지 않다.In such a case, the security policy is managed by managing the NAT IP separately or by managing it as a white list. However, the high-speed network security system in this environment facilitates distinguishing and managing the NAT user from the general user I do not.

왜냐하면, 해당 환경에서는 스푸핑(spoofing)된 플러딩(flooding) 공격과 신규 NAT IP의 접속 시도한 유사한 특성을 가지기 때문에 대규모 NAT IP 사용자들은 고속 네트워크 보안 시스템의 차단 리스트에 등록되는 경우가 존재한다.In this environment, large NAT IP users are registered in the block list of the high-speed network security system because they have similar characteristics of spoofing flooding attack and attempting to connect a new NAT IP.

또한, NAT IP 사용자 중, Layer 7 어플리케이션 프로토콜 등을 동일하게 사용할 경우, 임계치 기반 차단에 문제가 발생한다.In addition, if NAT IP users use the same Layer 7 application protocol, there is a problem in threshold-based blocking.

따라서, 본 발명은 NAT IP를 실시간 효율적으로 관리 및 정상 사용자와 공격자를 구분하여 NAT IP를 효율적으로 관리하는 기술을 제공하고자 한다.Accordingly, the present invention intends to provide a technology for efficiently managing NAT IP in real time and effectively managing NAT IP by distinguishing normal users and attackers.

본 발명의 일 견지에 따르면, NAT(Network Address Translation)IP 처리 기반 네트워크 보안 정책 제공 방법에 있어서, 호스트 단말로부터 수집된 패킷의 트래픽을 분석하여 NAT 사용 여부를 판단하고, 판단 결과에 따라 해당 IP ID 관련 NAT IP 테이블을 업데이트하는 과정과, 상기 IP별로 기설정된 플러딩(flooding) 임계치 기반 플러딩 공격 여부를 판단하여 상기 플러딩 임계치가 초과된 IP를 차단하는 과정과, 차단된 상기 IP의 프로토콜 타입 참조를 통해 분석 결과 NAT IP일 경우 NAT IP 테이블을 통해 상기 차단된 IP의 기설정된 NAT IP 임계치 초과 여부를 확인하여 차단 여부를 결정하고, 상기 NAT IP가 아닐 경우 특정 어플리케이션 서비스 포트에 할당된 IP일 경우 부하 분산 서비스 파서(parser)를 수행하는 과정을 포함함을 특징으로 한다.According to an aspect of the present invention, there is provided a network security policy provision method based on a Network Address Translation (NAT), comprising: analyzing traffic of packets collected from a host terminal to determine whether to use NAT; The method comprising the steps of: updating an associated NAT IP table; determining whether a flooding threshold-based flooding attack is predefined for each IP; blocking an IP whose flooding threshold is exceeded; As a result of the analysis, if the NAT IP is not the NAT IP, the NAT IP table determines whether the blocked IP exceeds the preset NAT IP threshold. If the NAT IP is not the NAT IP, And performing a service parser.

본 발명의 다른 견지에 따르면, NAT(Network Address Translation)IP 처리 기반 네트워크 보안 정책 제공 장치에 있어서, 호스트 단말로부터 수집된 패킷의 트래픽을 분석하는 트래픽 분석부와, 상기 트래픽 분석부를 통해 NAT 사용 여부를 판단하고, 판단 결과에 따라 해당 IP ID 관련 포트 테이블을 업데이트하는 제어부를 포함하고, 상기 제어부는, 플러딩(flooding) 탐지부를 통해 IP별로 기설정된 플러딩(flooding) 임계치 기반 플러딩 공격 여부를 판단하여 상기 플러딩 임계치가 초과된 IP를 차단하고, 차단된 상기 IP의 프로토콜 타입 참조를 통해 분석 결과 NAT IP일 경우 NAT IP 테이블을 통해 상기 차단된 IP의 기설정된 플러딩 임계치 초과 여부를 확인하여 차단 여부를 결정하고, 상기 NAT IP가 아닐 경우 특정 어플리케이션 서비스 포트에 할당된 IP일 경우 L7 어플리케이션 탐지부를 통해 부하 분산 서비스 파서(parser)를 수행하도록 제어함을 특징으로 한다.According to another aspect of the present invention, there is provided an apparatus for providing a network security policy based on a Network Address Translation (NAT), comprising: a traffic analyzing unit for analyzing traffic of packets collected from a host terminal; And a controller for updating the port table related to the IP ID according to a result of the determination. The controller determines whether a flooding threshold based flooding attack is predetermined for each IP through a flooding detector, And if it is a NAT IP as an analysis result through the protocol type reference of the intercepted IP, whether or not the intercepted IP exceeds the predetermined flooding threshold value is determined through the NAT IP table, If it is not the NAT IP, the L7 application And to perform a load balancing service parser through the detection unit.

본 발명은 고속 네트워크 보안 장비에서 신규 NAT IP를 빠르게 판단/관리 할 수 있을 뿐만 아니라, 플러딩(flooding) 임계치 기반 차단에서 NAT IP를 효율적으로 관리하고, 해당 NAT IP의 해당 사용자를 실시간적으로 차단하고, 플러딩 임계치 기반 차단에서 NAT IP와 공격 IP를 분리 차단 가능한 효과가 있다.The present invention can quickly determine / manage a new NAT IP in a high-speed network security device, efficiently manage a NAT IP in a flooding threshold-based blocking, block the corresponding user of the corresponding NAT IP in real time , The NAT IP and the attack IP can be separated from the flooding threshold based blocking.

도 1은 본 발명의 일 실시 예에 따른 NAT IP 처리 기반 네트워크 보안 정책 제공 방법에 관한 개략적인 흐름도.
도 2는 본 발명의 일 실시 예에 따른 NAT IP 처리 기반 네트워크 보안 정책 제공 방법에 있어서, NAT IP 판단에 관한 상세 처리 흐름도.
도 3은 본 발명의 일 실시 예에 따른 NAT IP 처리 기반 네트워크 보안 정책 제공 방법에 있어서, NAT IP 테이블 관리 흐름을 보인 예시도.
도 4는 본 발명이 적용된 NAT IP 테이블 생성 관련 관리 테이블을 보인 예시도.
도 5는 본 발명의 일 실시 예에 따른 NAT IP 처리 기반 네트워크 보안 정책 제공 장치의 구성을 보인 블록도.1 is a schematic flow diagram of a method for providing a network security policy based on NAT IP processing according to an embodiment of the present invention;
FIG. 2 is a detailed flowchart of NAT IP determination in a network security policy provision method based on a NAT IP according to an embodiment of the present invention; FIG.
3 is a diagram illustrating a NAT IP table management flow in a NAT IP processing-based network security policy providing method according to an exemplary embodiment of the present invention.
4 is a diagram illustrating an example of a management table related to the creation of a NAT IP table to which the present invention is applied;
5 is a block diagram illustrating a configuration of a network security policy providing apparatus based on a NAT IP processing according to an embodiment of the present invention.

이하 본 발명에 따른 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 하기 설명에서는 구체적인 구성 소자 등과 같은 특정 사항들이 나타나고 있는데 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐 이러한 특정 사항들이 본 발명의 범위 내에서 소정의 변형이나 혹은 변경이 이루어질 수 있음은 이 기술 분야에서 통상의 지식을 가진 자에게는 자명하다 할 것이다.
Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. It will be appreciated that those skilled in the art will readily observe that certain changes in form and detail may be made therein without departing from the spirit and scope of the present invention as defined by the appended claims. To those of ordinary skill in the art.

본 발명은 네트워크 보안 정책 제공에 관한 것으로, 더욱 상세하게는 고속 네트워크 보안 시스템에서 NAT IP와 공격자 IP를 보다 효율적으로 구분하기 위하여 호스트 단말로부터 수집된 패킷의 트래픽을 분석하여 NAT 사용 여부를 판단하고, 그 판단 결과에 따라 해당 IP ID(예컨대, TCP, UDP, NAT) 관련 포트 테이블을 업데이트하여 IP별로 기설정된 플러딩(flooding) 임계치 기반 플러딩 공격 여부를 판단함으로써 상기 플러딩 임계치가 초과된 IP에 대응하는 포트를 차단하고, 이후 차단된 상기 포트에 할당된 IP를 분석하여 NAT IP일 경우 NAT 테이블을 통해 상기 차단된 포트의 기설정된 플러딩 임계치 초과 여부를 확인하여 차단 여부를 결정하고, 상기 NAT IP가 아닐 경우 특정 어플리케이션 서비스 포트에 할당된 IP일 경우 부하 분산 서비스 파서(parser)를 수행함으로써 고속 네트워크 보안 장비에서 신규 NAT IP를 빠르게 판단/관리 할 수 있을 뿐만 아니라, 플러딩(flooding) 임계치 기반 차단에서 NAT IP를 효율적으로 관리하고, 해당 NAT IP의 해당 사용자를 실시간적으로 차단하고, 플러딩 임계치 기반 차단에서 NAT IP와 공격 IP를 분리 차단 가능한 기술을 제공하고자 한다.
The present invention relates to providing a network security policy, and more particularly, to a method for efficiently distinguishing an NAT IP and an attacker IP in a high-speed network security system by analyzing traffic of packets collected from a host terminal, Based on the result of the determination, updates the port table related to the corresponding IP ID (e.g., TCP, UDP, NAT) to determine whether the flooding threshold based flooding attack is predetermined for each IP, If the NAT IP is not the NAT IP, it determines whether the port is blocked or not by checking whether the blocked port exceeds a predetermined flooding threshold through the NAT table. If the NAT IP is not the NAT IP, If the IP is assigned to a specific application service port, by performing a load balancing service parser In addition to being able to quickly determine and manage new NAT IPs in high-speed network security appliances, it can efficiently manage NAT IPs in flooding threshold-based blocking, block corresponding users in corresponding NAT IPs in real time, Based IP blocking with NAT IP and attack IP.

또한, 본 발명의 실시 예에 따른 호스트 단말기는 서버를 대상으로 디도스 공격이 가능한 단말기로서, PC, 노트북 컴퓨터, 랩탑 컴퓨터, 휴대단말과 같이 범용의 또는 특화된 용도의 컴퓨팅 장치로서, 마이크로프로세서를 탑재함으로써 일정한 연산 동작을 수행할 수 있는 단말기를 통칭하는 개념으로 해석된다. 이러한 호스트 단말기는 NAT IP를 사용하는 공유기 등을 통해 외부 네트워크에 접속할 수 있다.In addition, the host terminal according to the embodiment of the present invention is a terminal capable of attacking the server by using the terminal, and is a general purpose or special purpose computing device such as a PC, a notebook computer, a laptop computer, So that it can be interpreted as a concept collectively referred to as a terminal capable of performing a certain calculation operation. Such a host terminal can access the external network through a router or the like using NAT IP.

상기 휴대단말은 디지털 방송 단말기, 개인 정보 단말기(PDA, Personal Digital Assistant), 스마트 폰(Smart Phone), 태블릿(Tablet) PC, 아이패드(Ipad), 3G 단말기 예를 들면 IMT-2000(International Mobile Telecommunication 2000)단말기, WCDMA(Wideband Code Division Multiple Access)단말기, GSM/GPRS(Global System For Mobile Communication Packet Radio Service) 및 UMTS(Universal Mobile Telecommunication Service) 단말기 등과 같은 모든 정보통신기기 및 멀티미디어 기기 등이 포함될 수 있다. 그러나, 본 명세서에서 기재된 실시예에 따른 구성은 휴대단말기에만 적용 가능한 경우를 제외하면, 디지털 TV, 데스크탑 컴퓨터 등과 같은 고정 단말기에도 적용될 수도 있음을 본 기술분야의 당업자라면 쉽게 알 수 있을 것이다.
The portable terminal may be a digital broadcasting terminal, a personal digital assistant (PDA), a smart phone, a tablet PC, an iPad, a 3G terminal, for example, an International Mobile Telecommunication 2000) terminal, a WCDMA (Wideband Code Division Multiple Access) terminal, a GSM / GPRS (Global System for Mobile Communication Packet Radio Service) and a UMTS (Universal Mobile Telecommunication Service) terminal, . However, it will be readily apparent to those skilled in the art that the configuration according to the embodiments described herein may be applied to fixed terminals such as a digital TV, a desktop computer, and the like, unless the configuration is applicable only to a portable terminal.

이하, 본 발명의 일 실시 예에 따른 NAT IP 처리 기반 네트워크 보안 정책 제공 방법에 관해 도 1을 참조하여 자세히 살펴보기로 한다.Hereinafter, a method for providing a network security policy based on NAT IP according to an embodiment of the present invention will be described in detail with reference to FIG.

도 1은 본 발명의 일 실시 예에 따른 NAT IP 처리 기반 네트워크 보안 정책 제공 방법에 관한 개략적인 흐름도이다.1 is a schematic flowchart of a method for providing a network security policy based on a NAT IP according to an embodiment of the present invention.

도 1을 참조하면, 110 과정에서는 호스트 단말로부터 수집된 패킷의 트래픽을 분석하고, 112 과정에서는 상기 분석된 트래픽에서 NAT 사용 여부를 판단하여 그 결과에 따라 해당 IP ID 관련 포트 테이블을 업데이트한다.Referring to FIG. 1, in operation 110, traffic of packets collected from the host terminal is analyzed. In operation 112, it is determined whether or not NAT is used in the analyzed traffic, and the port table related to the IP ID is updated according to the result.

더욱 상세하게는, 사설망으로부터 전송된 패킷은 TCP 포트와 함께 NAT 테이블에 등록되고 이 패킷의 사설망 주소는 NAT 매핑 규칙에 따라 IP 주소와 TCP 포트가 함께 변환되어 송신되기 때문에 일반 IP 사용자와, NAT IP를 구별하기가 용이하지 않으므로, 우선 상기 NAT 사용 여부를 확인하여 NAT IP가 아닐 경우 NAT IP가 아닌 기사용된 포트의 임계치를 체크하여 임계치 이하인 경우 해당 IP에 대응되게 포트 테이블을 업데이트한다.More specifically, the packet transmitted from the private network is registered in the NAT table together with the TCP port, and the private network address of the packet is converted and transmitted together with the IP address and the TCP port according to the NAT mapping rule. It is checked whether the NAT is used. If the NAT is not the NAT IP, the threshold of the used port is checked. If the NAT is not the NAT IP, the port table is updated in correspondence with the IP.

여기서, 상기 NAT는 사설망 주소의 재사용 개념에 근간한 것으로, 라우터에 적용되어져 라우터가 각 포트에서 데이터를 받아 NAT 매칭 규칙에 따라 IP 패킷의 발신지 IP 주소(source IP address) 영역을 공인 IP 주소로 변환하여 전송한다.Here, the NAT is based on the concept of reuse of a private network address. The NAT is applied to a router, and the router receives data from each port and converts the source IP address area of the IP packet into a public IP address .

본 발명에 따른 NAT IP 처리 기반 네트워크 보안 정책 시스템은 별도의 주소풀(pool)에 적절량의 공인 IP 주소를 확보하고 있다가 사설망에서 외부망으로의 접속 요청이 있으면 확보하고 있던 공인 IP 주소 중에서 사용되고 있지 않은 주소를 사설망에게 할당한다. The network security policy system based on the NAT IP processing according to the present invention reserves a proper amount of public IP address in a separate address pool and is used among the public IP addresses secured in the case of a connection request from the private network to the external network Assign an address that does not exist to the private network.

이때, 상기 공인 IP 주소의 할당은 사용자가 미리 정의한 매핑 규칙에 따라 수행되고, IP 주소의 변환은 NAT 테이블을 통하여 관리된다.At this time, the assignment of the public IP address is performed according to a mapping rule predefined by the user, and the conversion of the IP address is managed through the NAT table.

그리고 본 발명에서 NAT IP 처리 기반 네트워크 보안 정책 시스템은 네트마크스(netmask)를 이용하여 주소 군을 두어 접속 요청 시 마다 그 주소 군의 임의의 주소를 할당하여 공인 IP 주소를 할당한다. 또는, 사설망의 모든 접속을 하나의 IP 주소로 매칭하여 공인 IP 주소를 할당하는데, 각 접속을 구분하기 위하여 전송 제어 프로토콜(Transmission Control Protocol; 이하, TCP)포트를 이용한다.In the present invention, the network security policy system based on the NAT IP processing allocates a public IP address by allocating an arbitrary address in the address group every time a connection is made by using an address group using a netmask. Alternatively, all the connections of the private network are matched to one IP address to assign a public IP address, and a Transmission Control Protocol (TCP) port is used to distinguish each connection.

114 과정에서는 상기 IP별로 기설정된 플러딩(flooding) 임계치 기반 플러딩 공격 여부를 판단하고, 116 과정에서는 상기 플러딩 임계치가 초과된 IP를 차단한다.In step 114, it is determined whether a flooding threshold-based flooding attack is predefined for each IP. In step 116, an IP whose flooding threshold is exceeded is blocked.

118 과정에서는 차단된 IP의 프로콜 타입 참조를 통해 분석을 수행한다.In step 118, the analysis is performed through the protocol type reference of the blocked IP.

이때, 상기 IP의 프로토콜 타입 참조를 통해 분석된 결과는, 어드레스풀(address pool)에 기확보된 IP 중에서 NAT 매칭 규칙에 따라 할당되어 IP 패킷의 발신지 IP 주소 영역에 할당된 IP를 참조하여 수행되고, 그 결과를 120 과정에서 체크하여 NAT IP일 경우 126 과정으로 이동하여 NAT 테이블을 참조하여 패스(pass)를 결정한다.At this time, the analyzed result through the protocol type reference of the IP is allocated according to the NAT matching rule among the IPs secured in the address pool and is performed with reference to the IP allocated to the source IP address area of the IP packet , The result is checked in step 120, and if it is NAT IP, the process moves to step 126 to determine a pass by referring to the NAT table.

즉, NAT IP 포트별 플러그 카운트(flog count)부에서 라스트 플래그 값 업데이트 및 플러그 카운트를 업데이트한다. 이때, NAT IP의 포트 스캔(port scan) 유형의 공격을 탐지하기 위해 라스트 플래그의 카운트가 업데이트된다.That is, the last flags value update and the plug counts are updated in the plug count (flog count) by NAT IP port. At this time, the count of the last flag is updated to detect an attack of the port scan type of the NAT IP.

그리고 상기 차단된 IP의 기설정된 NAT IP 임계치 초과 여부를 확인하여 NAT 포트 플래그 카운트가 기설정된 NAT IP 임계치에 설정된 NAT 포트 플래그 카운트보다 클 경우 NAT IP 라고 판단하여 NAT IP 테이블을 생성하고, 작을 경우 이전에 관리된 NAT IP로 인식하여 관리한다.If the NAT port flag count is greater than the NAT port flag count set in the preset NAT IP threshold, it is determined that the NAT IP is generated and the NAT IP table is generated. If the NAT IP table is smaller than the NAT IP threshold, And the NAT IP address is managed as a managed NAT IP address.

여기서, 상기 기설정된 NAT IP 임계치는, 어드레스풀에 기확보된 IP 중에서 NAT 매칭 규칙에 따라 할당되어, 사용자가 미리 정의한 매핑 규칙에 따라 IP별 할당되어 NAT 테이블을 통해 관리되는 NAT IP 중에서 라스트 플래그 상태 레벨 범위 내 NAT IP가 식별된 것을 의미한다.Here, the predetermined NAT IP threshold is allocated according to the NAT matching rule among the IPs secured in the address pool, allocated to each IP according to a mapping rule predefined by the user, and among the NAT IPs managed through the NAT table, This means that NAT IP within the level range has been identified.

상기 120 과정에서의 체크 결과, NAT IP가 아닐 경우, 122 과정으로 이동하여 특정 어플리케이션 즉, Layer 7 Application 프로토콜서비스 포트에 할당된 IP인지의 여부를 체크하여, 일치할 경우 128 과정으로 이동하여 부하 분산 서비스 파서를 수행한다.As a result of the checking in step 120, if it is not NAT IP, it moves to step 122 and checks whether it is an IP assigned to a specific application, that is, an IP address assigned to a Layer 7 Application protocol service port. Perform a service parser.

이때, 122 과정의 동작은, NAT IP 사용자 중, Layer 7 Application 프로토콜 등을 동일하게 사용할 경우, 임계치 기반 차단에 오류 발생을 방지하기 위한 것으로, 예를 들어 VOIP의 SIP 프로토콜의 NAT IP와 포트가 동일하게 요청이 들어오기 때문에 판단이 용이하지 않기 때문이다.In this case, the operation of the step 122 is to prevent an error in the threshold-based blocking when the same Layer 7 Application protocol is used among the NAT IP users. For example, the NAT IP of the SIP protocol of the VOIP is the same This is because it is not easy to make judgment because the request comes in.

한편, 상기 122 과정 수행 결과, 특정 어플리케이션 서비스 포트 IP가 아닐 경우, 124 과정으로 이동하여 해당 NAT IP를 드랍(drop)한다.
If it is determined in step 122 that the IP address is not a specific application service port IP, step 124 is performed to drop the corresponding NAT IP.

도 2는 본 발명의 일 실시 예에 따른 NAT IP 처리 기반 네트워크 보안 정책 제공 방법에 있어서, NAT IP 판단에 관한 상세 처리 흐름도를 보인 것으로, 상술한 본 발명의 전체 흐름을 보다 상세히 살펴 보면, 먼저 210 과정에서 NAT IP 여부를 판단하여 NAT IP가 아닌 경우, 212 과정으로 이동하여 기사용된 포트를 체크하고, 214 과정에서 기사용된 포트의 기설정된 임계치 초과 여부를 판단한다.FIG. 2 is a detailed flowchart of a method for providing a network security policy based on a NAT IP according to an exemplary embodiment of the present invention. Referring to FIG. 2, If it is determined that the NAT is not the NAT IP, the process proceeds to step 212 to check the used port. In step 214, it is determined whether the used port exceeds the predetermined threshold.

상기 체크 결과 기사용된 포트 임계치 보다 클 경우 NAT IP라 판단하여 216 과정으로 이동하여 NAT IP 테이블을 업데이트한다.As a result of the check, if it is greater than the used port threshold, it is determined to be NAT IP, and the process moves to step 216 to update the NAT IP table.

환언하면, 상기 NAT 사용 여부 판단 결과 NAT IP가 아닐 경우, 사용 포트 카운트가 NAT IP 판단 카운트보다 클 경우, NAT IP라고 판단, 해당 IP의 프로토콜 타입과 소스 포트 정보를 참조하여 NAT IP 테이블을 업데이트하여 일반 사용자와 구분하고, 상기 업데이트된 상기 NAT 사용 여부 판단 결과 NAT IP가 아닐 경우, 상기 업데이트된 NAT IP 테이블 내 관련 포트에 할당된 IP가 기설정된 NAT IP 임계치 초과 여부를 판단한다.In other words, if it is determined that the NAT is not used, the NAT IP table is updated by referring to the protocol type of the IP and the source port information when the used port count is larger than the NAT IP determination count And determines whether the IP allocated to the related port in the updated NAT IP table exceeds a predetermined NAT IP threshold if the updated NAT is not the NAT IP.

상기 판단 결과, NAT IP 임계치를 초과한 경우 NAT IP 관련 포트 테이블을 생성하고, 상기 NAT IP 관련 기사용된 포트를 카운팅하고, 임계치를 초과한 경우 마지막 플래그들임을 판단하는 마지막 포트임을 나타내는 플래그(flag) 판단, 적절량의 공인 IP 주소를 확보를 통해 포트 공격 유형 혹은 NAT IP여부를 판단한다.As a result of the determination, when a NAT IP threshold is exceeded, a NAT IP related port table is generated, a port used for the NAT IP related counter is counted, and a flag indicating that the last port is used ) And judges whether the port attack type or NAT IP is obtained through securing an appropriate amount of public IP address.

한편, 상기 210 과정의 동작 결과, NAT IP인 경우 218 과정으로 이동하여 TCP 여부를 확인한다.As a result of the operation 210, if it is the NAT IP, it moves to the step 218 and checks whether the TCP is the NAT.

상기 NAT 사용 여부 판단 결과 TCP IP인 경우, 220 과정으로 이동하여 TCP 플래그 카운트부를 통해 플래그별 카운터를 업데이트하고, 상기 업데이트 결과 NAT IP 여부를 224 과정에서 판단한다.If the result of the NAT use determination is TCP IP, the process proceeds to step 220 to update the counter for each flag through the TCP flag counting unit.

상기 판단 결과, NAT IP인 경우, 228 과정으로 이동하여 NAT IP 포트별 플래그 카운트부에서 플래그 값 및 플래그 카운트를 업데이트를 통해 230 과정에서 NAT IP 테이블을 업데이트 한다.If it is determined in step 228 that the NAT IP address is the NAT IP address, the NAT IP table is updated in step 230 by updating the flag value and the flag count in the NAT IP port flag unit.

상기 218 과정의 동작 결과, NAT IP인 경우 226 과정으로 이동하여 NAT IP 테이블을 업데이트하고, NAT IP가 아닌 경우 232 과정으로 이동하여 기설정된 플러딩 임계치 기반 플러딩 공격 여부 판단한다.As a result of the operation 218, if the NAT IP is the NAT IP, the process moves to step 226 to update the NAT IP table. If the NAT IP is not the NAT IP, it moves to step 232 to determine whether or not the attack is based on the predetermined flooding threshold based flooding.

234 과정에서 상기 차단된 IP가 NAT IP 임계치 이하인 경우, 236 과정에서는 해당 포트 관련 데이터 패킷을 패스하고, NAT IP 임계치를 초과한 경우 238 과정에서는 블랙 리스트(black list) IP와 NAT IP를 동일 여부를 확인하여 블랙 리스트에 대응할 경우 240 과정에서 해당 IP를 드롭(drop)하고, 대응하지 않을 경우 242 과정으로 이동하여 NAT 포트 플래그가 기설정된 임계치 초과 여부를 판단한다.If the blocked IP is equal to or less than the NAT IP threshold in step 234, the corresponding port related data packet is passed in step 236, and if the NAT IP threshold is exceeded, the black list IP and the NAT IP are the same If it is determined that the NAT port flag corresponds to the black list, the corresponding IP is dropped in operation 240, and if not, the operation proceeds to operation 242 to determine whether the NAT port flag exceeds the predetermined threshold.

상기 NAT 포트 플래그가 기설정된 임계치 초과하지 않은 경우 244 과정으로 이동하여 해당 NAT IP를 패스하고, 초과한 경우 246 과정으로 이동하여 특정 어플리케이션(VoIP의 SIP, DNP 등) 서비스 포트에 할당된 IP가 아닐 경우, 248 과정에서 NAT IP의 해당 포트를 드롭하고, 특정 어플리케이션 서비스 포트에 할당된 IP인 경우 250 과정으로 이동하여 L7 Application 파서를 수행한 후, 252 과정으로 이동하여 L7 어플리케이션을 수행한다.If the NAT port flag does not exceed the predetermined threshold, the process moves to step 244 and passes the corresponding NAT IP. If the NAT port flag is not exceeded, the process moves to step 246 and the IP address is not assigned to a specific application (SIP, DNP, etc.) In step 248, the corresponding port of the NAT IP is dropped. If the IP is allocated to a specific application service port, the process moves to step 250, and the L7 Application parser is performed. Then, the process moves to step 252 and executes the L7 application.

이와 더불어, 도 3은 본 발명의 일 실시 예에 따른 NAT IP 처리 기반 네트워크 보안 정책 제공 방법에 있어서, NAT IP 테이블 관리 흐름을 보인 개략적으로 보인 것으로, 310 과정에서는 패킷을 수신하여 프로토콜을 분석하여 해당 프로토콜의 TCP/UDP 포트 플래그 비트(port flag bit set)를 설정하고, 311 과정에서 TCP/UDP 포트 카운트를 수행한다.In addition, FIG. 3 schematically shows a NAT IP table management flow in a NAT IP processing-based network security policy providing method according to an embodiment of the present invention. In step 310, Set the TCP / UDP port flag bit of the protocol, and perform the TCP / UDP port count in step 311.

이후, 312 과정에서 NAT IP인지 여부를 확인하고, NAT IP인 경우 318 과정으로 이동하여 포트 해쉬 테이블을 업데이트하고, 320 과정에서 라스트 플래그를 업데이트한다.Thereafter, in step 312, it is checked whether the NAT IP is present. If the IP address is a NAT IP, the process proceeds to step 318 to update the port hash table. In step 320, the last flag is updated.

한편, 312 과정 동작 결과, NAT IP가 아닌 경우 314 과정으로 이동하여 기설정된 NAT IP 임계치 초과 여부를 판단하여 초과되지 않은 경우 다음 동작을 수행하고, 초과된 경우 NAT IP로 판단하여 316 과정으로 이동하여 NAT IP 포트 해쉬(hash) 테이블을 생성한 후 상술한 318 및 320 과정의 동작을 수행한다.If it is determined that the NAT IP is not exceeded, the process proceeds to step 314, and if the NAT IP is not exceeded, it is determined that the NAT IP is exceeded. If the NAT IP is not exceeded, After the NAT IP port hash table is created, the operations of steps 318 and 320 described above are performed.

이때, 도 4는 NAT IP 테이블 생성 관련 관리 테이블을 보인 것으로, 도 4에 도시된 바와 같이, TCP, UDP 그 밖의 프로토콜 관련 테이블은 각각 Key 값이 공통으로 포함되고, 상기 TCP 포트 해쉬 테이블은 key, pps, timer, last flag, flag count로 구성되고, 상기 UDP 포트 해쉬 테이블은 key, count, timer로 구성된다.As shown in FIG. 4, the TCP, UDP, and other protocol related tables commonly include a key value. The TCP port hash table includes key, pps, a timer, a last flag, and a flag count. The UDP port hash table includes a key, a count, and a timer.

상술한 본 발명에 따른 NAT IP 처리 기반 네트워크 보안 정책 제공 방법에 있어서, NAT IP 테이블 관리 시 이전에 관리된 NAT IP 인지 검사하여 이전 NAT IP일 경우 NAT IP 테이블을 업데이트한다.In the NAT IP processing-based network security policy providing method according to the present invention, when managing the NAT IP table, it is checked whether the NAT IP is the previously managed NAT IP address, and the NAT IP table is updated if the NAT IP table is the previous NAT IP.

이때, 이전 NAT IP가 아닐 경우, 사용 포트 카운트가 NAT IP 판단 카운트보다 클 경우 NAT IP라고 판단하고, NAT IP 포트 관리 테이블을 생성한다.At this time, if it is not the previous NAT IP, it is judged to be the NAT IP when the used port count is larger than the NAT IP judgment count, and the NAT IP port management table is generated.

해당 프로토콜과 IP 정보, 스포트(sport)정보를 테이블로 관리 5 Tuple Key로 맵핑하여 관리하고, TCP 포트 플래그 비트 또는 UDP 포트 플래그 비트에 비트 설정을 수행한다. NAT IP에 대한 트래픽 정보 및 마지막 세션 정보를 관리하고, TCP의 마지막 포트 플래그를 관리하여 해당 플래그의 카운트를 관리한다.It manages the protocol, IP information, and sport information as a table. It maps and manages by 5 Tuple Key, and bit setting is performed on TCP port flag bit or UDP port flag bit. Manages traffic information on the NAT IP and the last session information, manages the last port flag of the TCP, and manages the count of the corresponding flag.

NAT IP별 맵핑 테이블을 모든 포트로 관리하면 메모리 사용량이 많기 때문에 TOP 10 형태로 관리한다.If the mapping table for each NAT IP is managed by all the ports, the top 10 type is managed because the memory usage is large.

이후, 해당 테이블 정보를 활용하여, 플러딩 탐지 엔진 및 스캔 공격 탐지 엔진에서 사용한다.
Thereafter, the table information is utilized and used by the flooding detection engine and the scan attack detection engine.

이상에서는 본 발명의 일 실시 예에 따른 이상에서는 본 발명의 일 실시 예에 따른 NAT IP 처리 기반 네트워크 보안 정책 제공 방법에 대해서 살펴보았다.In the foregoing, a method of providing a network security policy based on NAT IP processing according to an embodiment of the present invention has been described.

이하, 본 발명의 일 실시 예에 따른 NAT IP 처리 기반 네트워크 보안 정책 제공 장치에 관해 도 5를 참조하여 자세히 살펴보기로 한다.Hereinafter, an apparatus for providing a network security policy based on a NAT IP according to an embodiment of the present invention will be described in detail with reference to FIG.

도 5는 본 발명의 일 실시 예에 따른 NAT IP 처리 기반 네트워크 보안 정책 제공 장치의 구성을 보인 블록도이다. 도 3을 참조하면, 상기 NAT IP 처리 기반 네트워크 보안 정책 제공 장치(500)은 수집부(510), 트랙픽 분석부(512), 플래그 카운트부(514), 제어부(520), IP 테이블 관리부(522), 플러딩 탐지부(524) 및 L7 어플리케이션 탐지부(526)를 포함한다.5 is a block diagram illustrating a configuration of a network security policy providing apparatus based on a NAT IP according to an embodiment of the present invention. 3, the NAT IP processing-based network security policy providing apparatus 500 includes a collection unit 510, a traffic analysis unit 512, a flag count unit 514, a control unit 520, an IP table management unit 522 ), A flooding detection unit 524, and an L7 application detection unit 526.

상기 제어부(520)는 트래픽 분석부(512)를 통해 NAT 사용여부를 판단하고, 판단 결과에 따라 해당 IP ID 관련 포트 테이블을 NAT IP 테이블 관리부(522)를 통해 업데이트한다.The control unit 520 determines whether NAT is used through the traffic analyzer 512 and updates the corresponding IP ID related port table through the NAT IP table management unit 522 according to the determination result.

이때, 상기 제어부(520)는, 플러딩(flooding) 탐지부(524)를 통해 IP별로 기설정된 플러딩(flooding) 임계치 기반 플러딩 공격 여부를 판단하여 상기 플러딩 임계치가 초과된 IP를 차단하고, 차단된 상기 IP의 프로토콜 타입 참조를 통해 분석 결과 NAT IP일 경우 NAT 테이블을 통해 상기 차단된 IP의 기설정된 플러딩 임계치 초과 여부를 확인하여 차단 여부를 결정하고, 상기 NAT IP가 아닐 경우 특정 어플리케이션 서비스 포트에 할당된 IP일 경우 L7 어플리케이션 탐지부(526)를 통해 부하 분산 서비스 파서(parser)를 수행하도록 제어한다.At this time, the controller 520 determines whether a flooding threshold based flooding attack is predetermined for each IP through the flooding detector 524, blocks the IP whose flooding threshold is exceeded, If the NAT IP is analyzed as a result of the analysis through the protocol type reference of the IP, it is determined whether the blocked IP exceeds the predetermined flooding threshold value through the NAT table to determine whether to block or not. If the NAT IP is not the NAT IP, IP, the L7 application detecting unit 526 controls the load balancing service parser to perform the load balancing service parser.

그리고 상기 제어부(520)는 상기 NAT 사용 여부 판단 결과 NAT IP가 아닐 경우, 해당 IP의 프로토콜 타입과 소스 포트 정보를 참조하여 NAT IP 테이블을 업데이트하고, 상기 업데이트된 NAT IP 테이블 내 관련 포트에 할당된 IP가 기설정된 NAT IP 임계치 초과 여부를 판단하여 NAT IP 임계치를 초과한 경우 NAT IP 관련 포트 테이블을 생성하고, 상기 NAT IP 관련 기사용된 포트를 카운팅하고, 마지막 포트임을 나타내는 플래그(flag) 판단을 통해 포트 공격 유형을 판단한다.If it is determined that the NAT is not used, the controller 520 updates the NAT IP table with reference to the protocol type and the source port information of the corresponding IP, and if the NAT IP table is updated, If the IP exceeds the NAT IP threshold, the NAT IP related port table is generated, the NAT IP related port is counted, and a flag indicating that the port is the last port is determined To determine the port attack type.

또한, 상기 제어부(520)는 상기 NAT 사용 여부 판단 결과 TCP IP인 경우, TCP 플래그 카운트부(516)를 통해 플래그별 카운터를 업데이트하고, 상기 업데이트 결과 NAT IP 여부를 판단하고, 상기 판단 결과, NAT IP인 경우, NAT IP 포트별 플래그 카운트부(518)에서 플래그 값 및 플래그 카운트를 업데이트를 통해 NAT IP 테이블을 업데이트하도록 제어한다.If the result of the NAT use is a TCP IP, the control unit 520 updates the counter for each flag through the TCP flag count unit 516. The control unit 520 determines whether the NAT is the result of the update, IP, the NAT IP table is updated by updating the flag value and the flag count in the NAT IP port flag counter 518.

이때, 상기 NAT IP 포트별 플래그 카운트부(518)에서 업데이트되는 플래그는 라스트 플래그에 해당하고, 상기 라스트 플래그 업데이이트를 통해 NAT IP 관련 포트 스캔(scan) 공격 타입을 탐지 가능하다.At this time, the flag updated by the flag count unit 518 per NAT IP port corresponds to the last flag, and the NAT IP related port scan attack type can be detected through the last flag update.

상기 제어부(520)는 상기 기설정된 플러딩 임계치 기반 플러딩 공격 여부 판단결과, 상기 차단된 IP가 NAT IP임계치 이하인 경우, 해당 포트 관련 데이터 패킷을 전송하고, 상기 특정 어플리케이션 서비스 포트에 할당된 IP가 아닐 경우, NAT IP의 해당 포트를 드롭(drop)하도록 제어한다.If the blocked IP is equal to or less than the NAT IP threshold as a result of the predetermined flooding threshold based flooding attack, the controller 520 transmits a corresponding port related data packet. If the blocked IP is not the IP allocated to the specific application service port , And controls to drop the corresponding port of the NAT IP.

그리고 제어부(520)에서의 IP의 프로토콜 타입 참조를 통해 분석된 결과는,어드레스풀(address pool)에 기확보된 IP 중에서 NAT 매칭 규칙에 따라 할당되어 IP 패킷의 발신지 IP 주소 영역에 할당된 IP를 참조하여 수행되고, 상기 기설정된 NAT IP 임계치는, 어드레스풀에 기확보된 IP 중에서 NAT 매칭 규칙에 따라 할당되어, 사용자가 미리 정의한 매핑 규칙에 따라 IP별 할당되어 NAT 테이블을 통해 관리되는 NAT IP 중에서 라스트 플래그 상태 레벨 범위 내 NAT IP가 식별된 것이다.
The analyzed result of the protocol type reference of the IP in the control unit 520 is the IP allocated in the source IP address area of the IP packet in accordance with the NAT matching rule among the IPs secured in the address pool , And the preset NAT IP threshold is allocated among the IPs secured in the address pool according to the NAT matching rule and assigned to each IP according to a mapping rule predefined by the user, The last flag state level NAT IP within the range is identified.

상기와 같이 본 발명에 따른 NAT IP 처리 기반 네트워크 보안 정책 제공 장치 및 방법에 관한 동작이 이루어질 수 있으며, 한편 상기한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나 여러 가지 변형이 본 발명의 범위를 벗어나지 않고 실시될 수 있다. 따라서 본 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 청구범위와 청구범위의 균등한 것에 의하여 정하여져야 할 것이다.Although the present invention has been described with respect to specific embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, And can be carried out without leaving. Accordingly, the scope of the present invention should not be limited by the illustrated embodiments, but should be determined by equivalents of the claims and the claims.

510: 수집부 512: 트래픽 분석부
514: 플래그 카운트부 520: 제어부
522: NAT IP 테이블 관리부 524: 플러딩 감지부
526: L7 어플리케이션 탐지부510: collecting unit 512: traffic analyzing unit
514: flag count unit 520:
522: NAT IP table management unit 524:
526: L7 application detection unit

Claims (16)

NAT(Network Address Translation)IP 처리 기반 네트워크 보안 정책 제공 방법에 있어서,
호스트 단말로부터 수집된 패킷의 트래픽을 분석하여 NAT 사용 여부를 판단하고, 판단 결과에 따라 해당 IP ID 관련 NAT IP 테이블을 업데이트하는 과정과,
상기 IP별로 기설정된 플러딩(flooding) 임계치 기반 플러딩 공격 여부를 판단하여 상기 플러딩 임계치가 초과된 IP를 차단하는 과정과,
차단된 상기 IP의 프로토콜 타입 참조를 통해 분석 결과 NAT IP일 경우 NAT IP 테이블을 통해 상기 차단된 IP의 기설정된 NAT IP 임계치 초과 여부를 확인하여 차단 여부를 결정하고, 상기 NAT IP가 아닐 경우 특정 어플리케이션 서비스 포트에 할당된 IP일 경우 부하 분산 서비스 파서(parser)를 수행하는 과정을 포함함을 특징으로 하는 NAT IP 처리 기반 네트워크 보안 정책 제공 방법.A network address translation (NAT) -based network security policy providing method,
Analyzing traffic of packets collected from the host terminal to determine whether to use NAT, and updating the corresponding NAT IP table according to the determination result;
Determining whether a flooding threshold based flooding attack is predefined for each IP, and blocking the IP whose flooding threshold is exceeded;
If the NAT IP is not the NAT IP, it is determined whether the blocked IP exceeds the preset NAT IP threshold by checking the protocol type reference of the blocked IP. If the NAT IP is not the NAT IP, And performing a load balancing service parser when the IP is allocated to the service port. 제1항에 있어서,
상기 NAT 사용 여부 판단 결과 NAT IP가 아닐 경우,
해당 IP의 프로토콜 타입과 소스 포트 정보를 참조하여 NAT IP 테이블을 업데이트하는 과정과,
상기 업데이트된 포트 테이블 내 관련 포트에 할당된 IP가 기설정된 NAT IP 임계치 초과 여부를 판단하는 과정과,
상기 판단 결과, NAT IP 임계치를 초과한 경우 NAT IP 관련 포트 테이블을 생성하는 과정과,
상기 NAT IP 관련 기사용된 포트를 카운팅하고, 마지막 포트임을 나타내는 플래그(flag) 판단을 통해 포트 공격 유형 혹은 NAT IP 여부를 판단하는 과정을 포함함을 특징으로 하는 NAT IP 처리 기반 네트워크 보안 정책 제공 방법.The method according to claim 1,
If it is determined that the NAT is not used,
Updating the NAT IP table with reference to the protocol type of the IP and the source port information,
Determining whether an IP assigned to an associated port in the updated port table exceeds a preset NAT IP threshold;
Generating a NAT IP related port table when the NAT IP threshold is exceeded,
Counting a port used for the NAT IP, and determining whether a port attack type or a NAT IP is determined by determining a flag indicating that the port is the last port. . 제1항에 있어서, 상기 NAT 사용 여부 판단 결과 TCP IP인 경우,
TCP 플래그 카운트부를 통해 플래그별 카운터를 업데이트하고, 상기 업데이트 결과 NAT IP 여부를 판단하는 과정과,
상기 판단 결과, NAT IP인 경우, NAT IP 포트별 플래그 카운트부에서 플래그 값 및 플래그 카운트를 업데이트를 통해 NAT IP 테이블을 업데이트 하는 과정을 포함함을 특징으로 하는 NAT IP 처리 기반 네트워크 보안 정책 제공 방법.The method as claimed in claim 1, wherein, in the case of the TCP IP,
Updating a counter for each flag through a TCP flag counting unit and determining whether the NAT IP is the update result;
And updating the NAT IP table by updating the flag value and the flag count in the flag counting unit for each NAT IP port when the NAT IP is determined as a result of the determination. 제3항에 있어서, 상기 NAT IP 포트별 플래그 카운트부에서 업데이트되는 플래그는 라스트 플래그에 해당하고, 상기 라스트 플래그 업데이이트를 통해 NAT IP 관련 포트 스캔(scan) 공격 타입을 탐지 가능함을 특징으로 하는 NAT IP 처리 기반 네트워크 보안 정책 제공 방법.4. The method according to claim 3, wherein the flag updated in the flag count unit of the NAT IP port corresponds to a last flag, and a NAT IP related port scan attack type can be detected through the last flag update. A method for providing an IP processing based network security policy. 제1항에 있어서, 상기 기설정된 플러딩 임계치 기반 플러딩 공격 여부 판단결과, 상기 차단된 IP가 NAT IP 임계치 이하인 경우, 해당 포트 관련 데이터 패킷을 전송하는 과정을 더 포함함을 특징으로 하는 NAT IP 처리 기반 네트워크 보안 정책 제공 방법.The method of claim 1, further comprising transmitting a corresponding port related data packet when the blocked IP is equal to or less than the NAT IP threshold as a result of the predetermined flooding threshold based flooding attack determination, How to provide network security policy. 제1항에 있어서, 상기 특정 어플리케이션 서비스 포트에 할당된 IP가 아닐 경우, NAT IP의 해당 포트를 드롭(drop)하는 과정을 더 포함함을 특징으로 하는 NAT IP 처리 기반 네트워크 보안 정책 제공 방법.The method of claim 1, further comprising dropping a corresponding port of the NAT IP if the IP is not assigned to the specific application service port. 제1항에 있어서, 상기 IP의 프로토콜 타입 참조를 통해 분석된 결과는,
어드레스풀(address pool)에 기확보된 IP 중에서 NAT 매칭 규칙에 따라 할당되어 IP 패킷의 발신지 IP 주소 영역에 할당된 IP를 참조하여 수행됨을 특징으로 하는 NAT IP 처리 기반 네트워크 보안 정책 제공 방법.2. The method of claim 1, wherein the result of analyzing through the protocol type reference of the &
The method of claim 1, wherein the NAT IP address is assigned in accordance with a NAT matching rule in an IP address pool, and the IP address is assigned to a source IP address area of the IP packet. 제1항 내지 제2항 중 어느 한 항에 있어서,
상기 기설정된 NAT IP 임계치는,
어드레스풀에 기확보된 IP 중에서 NAT 매칭 규칙에 따라 할당되어, 사용자가 미리 정의한 매핑 규칙에 따라 IP별 할당되어 NAT 테이블을 통해 관리되는 NAT IP 중에서 라스트 플래그 상태 레벨 범위 내 NAT IP가 식별된 것임을 특징으로 하는 NAT IP 처리 기반 네트워크 보안 정책 제공 방법.3. The method according to any one of claims 1 to 2,
The predetermined NAT IP threshold is set to < RTI ID = 0.0 >
NAT IP in the last flag state level range is identified among the NAT IPs allocated in the address pool according to the NAT matching rule and allocated to each IP according to the mapping rule predefined by the user and managed through the NAT table. A method for providing a network security policy based on NAT IP processing. NAT(Network Address Translation)IP 처리 기반 네트워크 보안 정책 제공 장치에 있어서,
호스트 단말로부터 수집된 패킷의 트래픽을 분석하는 트래픽 분석부와,
상기 트래픽 분석부를 통해 NAT 사용 여부를 판단하고, 판단 결과에 따라 해당 IP ID 관련 포트 테이블을 업데이트하는 제어부를 포함하고,
상기 제어부는, 플러딩(flooding) 탐지부를 통해 IP별로 기설정된 플러딩(flooding) 임계치 기반 플러딩 공격 여부를 판단하여 상기 플러딩 임계치가 초과된 IP를 차단하고,
차단된 상기 IP의 프로토콜 타입 참조를 통해 분석 결과 NAT IP일 경우 NAT IP 테이블을 통해 상기 차단된 IP의 기설정된 플러딩 임계치 초과 여부를 확인하여 차단 여부를 결정하고,
상기 NAT IP가 아닐 경우 특정 어플리케이션 서비스 포트에 할당된 IP일 경우 L7 어플리케이션 탐지부를 통해 부하 분산 서비스 파서(parser)를 수행하도록 제어함을 특징으로 하는 NAT IP 처리 기반 네트워크 보안 정책 제공 장치.A network security policy providing apparatus based on a Network Address Translation (NAT) IP processing,
A traffic analysis unit for analyzing traffic of packets collected from the host terminal,
And a controller for determining whether to use the NAT through the traffic analyzing unit and updating the port table related to the IP ID according to a determination result,
The control unit determines whether a flooding threshold based flooding attack is predefined for each IP through a flooding detector, blocks the IP whose flooding threshold is exceeded,
If the NAT type IP is analyzed through the protocol type reference of the blocked IP, the NAT IP table is used to check whether the blocked IP exceeds the predetermined flooding threshold,
If the NAT IP is not the IP address assigned to a specific application service port, controls the L7 application detecting unit to perform a load balancing service parser (parser). 제9항에 있어서, 상기 제어부는,
상기 NAT 사용 여부 판단 결과 NAT IP가 아닐 경우,
해당 IP의 프로토콜 타입과 소스 포트 정보를 참조하여 NAT IP 테이블을 업데이트하고, 상기 업데이트된 NAT IP 테이블 내 관련 포트에 할당된 IP가 기설정된 NAT IP 임계치 초과 여부를 판단하여 NAT IP 임계치를 초과한 경우 NAT IP 관련 포트 테이블을 생성하고, 상기 NAT IP 관련 기사용된 포트를 카운팅하고, 마지막 포트임을 나타내는 플래그(flag) 판단을 통해 포트 공격 유형을 판단함을 특징으로 하는 NAT IP 처리 기반 네트워크 보안 정책 제공 장치.10. The apparatus according to claim 9,
If it is determined that the NAT is not used,
The NAT IP table is updated with reference to the protocol type and the source port information of the corresponding IP, and if the IP allocated to the related port in the updated NAT IP table exceeds the preset NAT IP threshold and exceeds the NAT IP threshold A NAT IP related port table is generated, a port used for the NAT IP is counted, and a port attack type is determined by determining a flag indicating that the port is the last port. Device. 제9항에 있어서, 상기 제어부는,
상기 NAT 사용 여부 판단 결과 TCP IP인 경우,
TCP 플래그 카운트부를 통해 플래그별 카운터를 업데이트하고, 상기 업데이트 결과 NAT IP 여부를 판단하고,
상기 판단 결과, NAT IP인 경우, NAT IP 포트별 플래그 카운트부에서 플래그 값 및 플래그 카운트를 업데이트를 통해 NAT IP 테이블을 업데이트함을 특징으로 하는 NAT IP 처리 기반 네트워크 보안 정책 제공 장치.10. The apparatus according to claim 9,
If the result of the NAT use determination is TCP IP,
Updates the counter for each flag through the TCP flag counting unit, judges whether the NAT IP is the update result,
Wherein the NAT IP table updates the NAT IP table by updating a flag value and a flag count in a flag counting unit for each NAT IP port in case of the NAT IP. 제11항에 있어서, 상기 NAT IP 포트별 플래그 카운트부에서 업데이트되는 플래그는 라스트 플래그에 해당하고, 상기 라스트 플래그 업데이이트를 통해 NAT IP 관련 포트 스캔(scan) 공격 타입을 탐지 가능함을 특징으로 하는 NAT IP 처리 기반 네트워크 보안 정책 제공 장치.12. The method as claimed in claim 11, wherein the flag updated in the flag count unit of the NAT IP port corresponds to a last flag, and a NAT IP related port scan attack type can be detected through the last flag update. IP processing based network security policy provision device. 제9항에 있어서, 상기 제어부는,
상기 기설정된 플러딩 임계치 기반 플러딩 공격 여부 판단결과, 상기 차단된 IP가 NAT IP임계치 이하인 경우, 해당 포트 관련 데이터 패킷을 전송하도록 제어함을 특징으로 하는 NAT IP 처리 기반 네트워크 보안 정책 제공 장치.10. The apparatus according to claim 9,
Wherein the control unit controls to transmit a port-related data packet when the blocked IP is equal to or less than the NAT IP threshold as a result of the predetermined flooding threshold-based flooding attack determination. 제9항에 있어서, 상기 제어부는,
상기 특정 어플리케이션 서비스 포트에 할당된 IP가 아닐 경우, NAT IP의 해당 포트를 드롭(drop)함을 특징으로 하는 NAT IP 처리 기반 네트워크 보안 정책 제공 장치.10. The apparatus according to claim 9,
And dropping a corresponding port of the NAT IP if the IP address is not assigned to the specific application service port. 제9항에 있어서, 상기 IP의 프로토콜 타입 참조를 통해 분석된 결과는,
어드레스풀(address pool)에 기확보된 IP 중에서 NAT 매칭 규칙에 따라 할당되어 IP 패킷의 발신지 IP 주소 영역에 할당된 IP를 참조하여 수행됨을 특징으로 하는 NAT IP 처리 기반 네트워크 보안 정책 제공 장치.10. The method of claim 9, wherein the result of analyzing through the protocol type reference of the &
Wherein the NAT is performed by referring to an IP allocated in an address pool of an IP address allocated in a source IP address area of the IP packet according to a NAT matching rule. 제9항 내지 제10항 중 어느 한 항에 있어서,
상기 기설정된 NAT IP 임계치는,
어드레스풀에 기확보된 IP 중에서 NAT 매칭 규칙에 따라 할당되어, 사용자가 미리 정의한 매핑 규칙에 따라 IP별 할당되어 NAT 테이블을 통해 관리되는 NAT IP 중에서 라스트 플래그 상태 레벨 범위 내 NAT IP가 식별된 것임을 특징으로 하는 NAT IP 처리 기반 네트워크 보안 정책 제공 장치.11. The method according to any one of claims 9 to 10,
The predetermined NAT IP threshold is set to < RTI ID = 0.0 >
NAT IP in the last flag state level range is identified among the NAT IPs allocated in the address pool according to the NAT matching rule and allocated to each IP according to the mapping rule predefined by the user and managed through the NAT table. NAT IP processing based network security policy provision device.
KR1020130111684A 2013-09-17 2013-09-17 Method and apparatus for providing network security policy based nat ip process KR101453728B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130111684A KR101453728B1 (en) 2013-09-17 2013-09-17 Method and apparatus for providing network security policy based nat ip process

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130111684A KR101453728B1 (en) 2013-09-17 2013-09-17 Method and apparatus for providing network security policy based nat ip process

Publications (1)

Publication Number Publication Date
KR101453728B1 true KR101453728B1 (en) 2014-10-22

Family

ID=51998495

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130111684A KR101453728B1 (en) 2013-09-17 2013-09-17 Method and apparatus for providing network security policy based nat ip process

Country Status (1)

Country Link
KR (1) KR101453728B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105959290A (en) * 2016-06-06 2016-09-21 杭州迪普科技有限公司 Detection method and device of attack message

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070006478A (en) * 2005-07-08 2007-01-11 플러스기술주식회사 Method for admitting or intercepting selectively an access to internet by users using private ip
KR20100040631A (en) * 2008-10-10 2010-04-20 플러스기술주식회사 A method for allowing and blocking a user pc which can use internet at the same time in a private network thereof a method for analyzing and detecting a judgement about whether nat(network address translation) can be used or not using a traffic data, and the number of terminals sharing nat
KR100994076B1 (en) 2010-04-12 2010-11-12 주식회사 나우콤 Nat-enabled system to prevent the blocking of a normal client's web service using nat and control method thereof
KR20120067784A (en) * 2010-12-16 2012-06-26 한국인터넷진흥원 Method and apparatus for detecting nat ip and identifying host number

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070006478A (en) * 2005-07-08 2007-01-11 플러스기술주식회사 Method for admitting or intercepting selectively an access to internet by users using private ip
KR20100040631A (en) * 2008-10-10 2010-04-20 플러스기술주식회사 A method for allowing and blocking a user pc which can use internet at the same time in a private network thereof a method for analyzing and detecting a judgement about whether nat(network address translation) can be used or not using a traffic data, and the number of terminals sharing nat
KR100994076B1 (en) 2010-04-12 2010-11-12 주식회사 나우콤 Nat-enabled system to prevent the blocking of a normal client's web service using nat and control method thereof
KR20120067784A (en) * 2010-12-16 2012-06-26 한국인터넷진흥원 Method and apparatus for detecting nat ip and identifying host number

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105959290A (en) * 2016-06-06 2016-09-21 杭州迪普科技有限公司 Detection method and device of attack message

Similar Documents

Publication Publication Date Title
US11108799B2 (en) Name translation monitoring
US11374835B2 (en) Apparatus and process for detecting network security attacks on IoT devices
CN103607399B (en) Private IP network network safety monitoring system and method based on darknet
US20130031626A1 (en) Methods of detecting dns flooding attack according to characteristics of type of attack traffic
US20140181972A1 (en) Preventive intrusion device and method for mobile devices
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
US10193900B2 (en) Methods and apparatus to identify an internet protocol address blacklist boundary
US11489832B2 (en) Communication control apparatus, communication control method, and communication control program
CN102487339A (en) Attack preventing method for network equipment and device
JP7388613B2 (en) Packet processing method and apparatus, device, and computer readable storage medium
CN106685899B (en) Method and device for identifying malicious access
US20180248908A1 (en) Algorithmically detecting malicious packets in ddos attacks
AbdelSalam et al. An automated approach for preventing ARP spoofing attack using static ARP entries
CN110113290B (en) Network attack detection method, device, host and storage medium
CN106911665B (en) Method and system for identifying malicious code weak password intrusion behavior
US11863584B2 (en) Infection spread attack detection device, attack origin specification method, and program
KR100950900B1 (en) Protection Method and System for Distributed Denial of Service Attack
KR20200109875A (en) Harmful ip determining method
US10963562B2 (en) Malicious event detection device, malicious event detection method, and malicious event detection program
KR101494329B1 (en) System and Method for detecting malignant process
KR101453728B1 (en) Method and apparatus for providing network security policy based nat ip process
US10237287B1 (en) System and method for detecting a malicious activity in a computing environment
KR101593897B1 (en) Network scan method for circumventing firewall, IDS or IPS
CN116938507A (en) Electric power internet of things security defense terminal and control system thereof
KR101186873B1 (en) Wireless intrusion protecting system based on signature

Legal Events

Date Code Title Description
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170928

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181016

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20191016

Year of fee payment: 6