KR101490227B1 - 트래픽 제어 방법 및 장치 - Google Patents

트래픽 제어 방법 및 장치 Download PDF

Info

Publication number
KR101490227B1
KR101490227B1 KR20130015913A KR20130015913A KR101490227B1 KR 101490227 B1 KR101490227 B1 KR 101490227B1 KR 20130015913 A KR20130015913 A KR 20130015913A KR 20130015913 A KR20130015913 A KR 20130015913A KR 101490227 B1 KR101490227 B1 KR 101490227B1
Authority
KR
South Korea
Prior art keywords
application
traffic
session
information
unit
Prior art date
Application number
KR20130015913A
Other languages
English (en)
Other versions
KR20140102502A (ko
Inventor
김선호
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR20130015913A priority Critical patent/KR101490227B1/ko
Publication of KR20140102502A publication Critical patent/KR20140102502A/ko
Application granted granted Critical
Publication of KR101490227B1 publication Critical patent/KR101490227B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2475Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/143Termination or inactivation of sessions, e.g. event-controlled end of session

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 트래픽 제어 방법 및 장치에 관한 것으로, 본 발명의 일 실시예에 따른 애플리케이션의 트래픽 제어 방법은, 프로세스 정보 및 세션 정보를 수신하는 단계, 프로세스 정보를 이용하여 애플리케이션을 식별하는 단계 및 식별한 애플리케이션의 트래픽을 제어하는 단계를 포함하는 것을 특징으로 한다.
본 발명에 따르면, 애플리케이션을 식별하여 트래픽을 제어함에 있어, 패킷의 데이터에 대한 패턴 매칭을 수행하지 않고, 프로세스 정보 및 세션 정보를 이용하여 애플리케이션을 식별하고 식별한 애플리케이션의 트래픽을 제어함으로써 보다 효율적인 트래픽 제어를 수행할 수 있다.

Description

트래픽 제어 방법 및 장치{METHOD AND APPARATUS FOR CONTROLLING TRAFFIC}
본 발명은 트래픽 제어 방법 및 장치에 관한 것으로, 보다 구체적으로는 프로세스 이름과 트래픽의 세션 정보를 이용하여 애플리케이션의 트래픽을 제어하는 방법 및 장치에 관한 것이다.
인터넷 기술이 발달함에 따라 점점 많은 정보들이 인터넷 망을 통하여 전송되고 있다. 하지만 이렇게 인터넷 망을 통해 전송되는 정보들이 많아짐에 따라 트래픽 역시 기하급수적으로 증가하여 네트워크나 서버의 트래픽을 효율적으로 관리하고, 보안 위협에 대처할 수 있는 트래픽 제어 기술이 요구된다.
일반적인 애플리케이션 트래픽 제어는 시그니처(예를 들어, Host: www.abc.com)가 패킷에 존재하는지 여부를 이용하여 트래픽을 발생시키는 애플리케이션을 식별하고 이를 기반으로 식별된 애플리케이션의 트래픽을 제어하였다. 이러한 방법을 사용하는 경우, 시그니처를 생성하는데 많은 시간이 소모된다는 문제점이 있다. 또한, 이러한 방법은 모든 패킷에 대해 시그니처가 존재하는지 여부를 검사해야 하는데, 시그니처 존재 여부를 검사하기 위해서는 다수의 패턴 매칭 방법이 사용된다. 패턴 매칭은 모든 패킷 데이터를 검사해야 하기 때문에 많은 CPU 자원을 소모한다는 문제점이 있다.
본 발명은 이러한 문제를 해결하기 위해 제안된 것으로, 프로세스 정보 및 세션 정보를 이용하여 애플리케이션을 식별하고 식별한 애플리케이션의 트래픽을 제어하는 방법 및 장치를 제공하는데 그 목적이 있다.
본 발명의 일 실시예에 따른 트래픽 제어 방법은, 프로세스 정보 및 세션 정보를 수신하는 단계, 프로세스 정보를 이용하여 애플리케이션을 식별하는 단계 및 식별한 애플리케이션의 트래픽을 제어하는 단계를 포함하는 것을 특징으로 한다.
또한, 발명의 다른 실시예에 따른 트래픽 제어 장치는, 프로세스 정보 및 세션 정보를 수신하는 통신부, 프로세스 정보를 이용하여 애플리케이션을 식별하는 트래픽 식별부 및 식별한 애플리케이션의 트래픽을 제어하는 트래픽 차단부를 포함하는 것을 특징으로 한다.
본 발명에 따르면, 애플리케이션을 식별하여 트래픽을 제어함에 있어, 패킷의 데이터에 대한 패턴 매칭을 수행하지 않고, 프로세스 정보 및 세션 정보를 이용하여 애플리케이션을 식별하고 식별한 애플리케이션의 트래픽을 제어함으로써 보다 효율적인 트래픽 제어를 수행할 수 있다.
나아가, 동일한 프로토콜을 이용하는 애플리케이션 트래픽들을 선택적으로 제어 가능하고, 암호화된 트래픽 역시 보다 효율적으로 식별 및 제어 가능하다.
도 1은 본 발명이 적용되는 네트워크 시스템을 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 트래픽 제어 장치의 내부 구성을 나타내는 블록도이다.
도 3은 본 발명의 일 실시예에 따른 트래픽 제어 과정을 나타내는 도면이다.
도 4는 본 발명의 일 실시예에 따라 네트워크 장치에서 트래픽 정보 수집 방법을 나타내는 순서도이다.
도 5는 본 발명의 일 실시예에 따라 트래픽 제어 장치에서 트래픽 제어 방법을 나타내는 순서도이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예들을 상세히 설명한다. 이 때, 첨부된 도면에서 동일한 구성 요소는 가능한 동일한 부호로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 흐리게 할 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략할 것이다.
도 1은 본 발명이 적용되는 네트워크 시스템을 도시한 도면이다.
도 1을 참조하면, 본 발명이 적용되는 네트워크 시스템은 네트워크 장치(110), 트래픽 제어 장치(120), 네트워크(130) 및 서버(140)를 포함한다.
본 발명에 있어서 네트워크 장치(110)는 컴퓨터, PC, 노트북, 휴대폰 등 네트워크(130)에 접속할 수 있는 모든 단말 장치를 포함할 수 있다. 또한, 네트워크(130)는 인터넷, 인트라넷 등 네트워크 장치(110)가 접속할 수 있는 모든 네트워크를 포함할 수 있다.
본 발명의 일 실시예에 따른 트래픽 제어 장치(120)는 네트워크 장치(110)와 네트워크(130) 사이에 위치한다. 특히, 트래픽 제어 장치(120)는 게이트웨이(Gateway)에 위치할 수 있다. 또한, 트래픽 제어 장치(120)는 트래픽 제어 기능 외에, 예를 들어 보안 기능, 네트워크 장치 관리 기능 등, 다른 기능들을 함께 수행할 수도 있다.
본 발명의 일 실시예에 따른 서버(303)는 네트워크 장치(110)에서 실행되는 애플리케이션이 접속하는 서버이다. 서버는 특정 종류에 한정되지 않고, 애플리케이션과 세션을 개설하고 데이터를 통신하는 모든 서버를 포함한다.
도 2는 본 발명의 일 실시예에 따른 트래픽 제어 장치의 내부 구성을 나타내는 블록도이다. 본 발명의 일 실시예에 따른 트래픽 제어 장치(200)는 통신부(210), 저장부(220), 및 제어부(230)를 포함할 수 있다.
통신부(210)는 트래픽 제어 장치(200)와 네트워크 시스템을 연결하는 역할을 수행한다. 즉, 통신부(210)는 트래픽 제어 장치(200)와 네트워크 장치(110) 및 네트워크(130) 간에 통신을 위한 데이터의 송수신 기능을 수행하는 것이다. 또한 본 발명의 실시예에 따르면, 통신부(210)는 트래픽 식별부(231)의 제어에 따라 네트워크 장치(110)로부터 프로세스 정보 및 세션 정보를 수신할 수 있다. 이때, 통신부(210)에서 수신하는 프로세스 정보는 애플리케이션을 구성하는 프로세스의 이름을 포함할 수 있다. 또한, 세션 정보는 네트워크 프로토콜, 소스 IP, 소스 포트, 목적지 IP, 목적지 포트) 등을 포함할 수 있다.
저장부(220)는 트래픽 제어 장치(200)의 동작에 필요한 프로그램 및 데이터를 저장하는 역할을 수행한다. 본 발명의 실시예에 따른 저장부(220)는 애플리케이션과 해당 애플리케이션을 구성하는 프로세스 이름, 해당 애플리케이션의 보안 정책 및 패킷 세션 테이블에 대한 데이터 베이스를 저장할 수 있다. 또한, 네트워크 장치(110)로부터 수신한 프로세스 정보 및 세션 정보 역시 저장할 수 있다.
제어부(230)는 트래픽 제어 장치(200)의 전반적인 동작을 제어하는 구성요소이다. 본 발명에서 제어부(230)는 트래픽 제어 장치(200)가 애플리케이션을 식별하고 식별한 애플리케이션의 트래픽을 제어하는 과정의 전반적인 동작을 제어하는 역할을 수행한다.
또한, 본 발명에서 제어부(230)는 트래픽 식별부(231) 및 트래픽 차단부(232) 를 포함할 수 있다.
트래픽 식별부(231)는 통신부(210)를 통해 네트워크 장치(110)로부터 수신한 프로세스 정보를 이용하여 애플리케이션을 식별하는 역할을 수행한다.
애플리케이션은 여러 개의 프로세스로 구성되는데, 각 프로세스는 고유의 프로세스 이름을 사용한다. 따라서, 특정 애플리케이션을 구성하는 프로세스의 이름을 알 수 있으면, 어떠한 애플리케이션에 대한 트래픽인지 식별 가능하다. 트래픽 식별부(231)는 이러한 점을 이용하여, 시그니처가 존재하는지 여부를 검사하는 종래와는 달리 모든 패킷 데이터에 대한 패턴 매칭을 수행하지 않고도, 네트워크 장치(110)로부터 수신한 프로세스 정보를 이용하여 애플리케이션을 식별할 수 있어 적은 CPU 자원으로 애플리케이션을 식별할 수 있다. 또한, 동일한 프로토콜을 이용하는 애플리케이션(예를 들어, HTTP를 사용하는 웹 브라우저, 즉, 인터넷 익스플로러, 크롬, 사파리 등) 트래픽들을 선택적으로 제어 가능하고, 암호화된 트래픽 역시 보다 효율적으로 식별 및 제어 가능하다.
보다 구체적으로, 트래픽 식별부(231)는 애플리케이션 식별 시, 네트워크 장치(110)로부터 수신한 프로세스 이름과 저장부(220)에 저장된 데이터 베이스를 비교하여, 데이터 베이스에 프로세스 이름이 있는지 여부로 애플리케이션을 식별할 수 있다. 즉, 데이터 베이스에 저장된 애플리케이션과 해당 애플리케이션을 구성하는 프로세스 이름을 수신한 프로세스 이름을 비교하여 어떠한 애플리케이션을 구성하는 프로세스인지 알 수 있는 것이다.
트래픽 차단부(232)는 트래픽 식별부(231)에서 식별한 애플리케이션의 트래픽을 제어하는 역할을 수행한다. 즉, 트래픽 차단부(232)는 식별한 애플리케이션의 트래픽을 차단하거나 허용하는 등의 제어를 수행한다. 트래픽 차단부(232)는 식별한 애플리케이션의 트래픽을 제어하는 경우, 애플리케이션에 대한 보안 정책 및 상기 세션 정보를 이용하여 상기 애플리케이션을 제어할 수 있다.
보다 구체적으로, 트래픽 차단부(232)는 식별한 애플리케이션의 트래픽을 제어하는 경우, 식별한 애플리케이션에 대한 보안 정책이 애플리케이션의 통신을 허용하는지 여부를 먼저 판단할 수 있다. 식별한 애플리케이션에 대한 보안 정책이 애플리케이션의 통신을 허용하지 않는 경우, 트래픽 차단부(232)는 네트워크 장치(110)로부터 수신한 세션 정보를 기반으로 식별한 애플리케이션의 세션이 연결되어 있는지 여부를 판단한다. 트래픽 차단부(232)는, 식별한 애플리케이션의 세션이 연결되어 있는지 여부를 판단할 때, 식별한 애플리케이션의 세션이 패킷 세션 테이블에 존재하는지 여부로 세션이 연결되어 있는지 여부를 판단할 수 있다. 이때, 식별한 애플리케이션의 세션이 연결되어 있는 경우, 트래픽 차단부(232)는 통신부(210)를 제어하여 네트워크 장치(110)와 서버(140)로 리셋 패킷을 전송하여 식별한 애플리케이션의 세션을 종료시켜 차단할 수 있다.
트래픽 차단부(232)는 보안 정책이 애플리케이션의 통신을 허용하는 경우에는 식별한 애플리케이션의 통신을 그대로 허용할 수 있다. 또한, 트래픽 차단부(232)는 보안 정책이 애플리케이션의 통신을 허용하지 않더라도 식별한 애플리케이션의 세션이 연결되어 있지 않은 경우에는 통신이 이루어지지 않는 상태이므로 추가적인 차단 동작을 수행하지 않을 수도 있다.
위 설명에서는 제어부(230), 트래픽 식별부(231) 및 트래픽 차단부(232)가 별도의 블록으로 구성되고, 각 블록이 상이한 기능을 수행하는 것으로 기술하였지만 이는 기술상의 편의를 위한 것일 뿐, 반드시 이와 같이 각 기능이 구분되는 것은 아니다. 예를 들어, 트래픽 식별부(231) 및 트래픽 차단부(232)가 수행하는 기능을 제어부(230) 자체가 수행할 수도 있다.
위에서 설명한 것과 같이 본 발명의 실시예에 따른 트래픽 제어 장치(200)는 통신부(210), 저장부(220), 및 제어부(230)를 이용하여 애플리케이션을 식별하여 트래픽을 제어함에 있어, 패킷의 데이터에 대한 패턴 매칭을 수행하지 않고, 프로세스 정보 및 세션 정보를 이용하여 애플리케이션을 식별하고 식별한 애플리케이션의 트래픽을 제어함으로써 보다 효율적인 트래픽 제어를 수행할 수 있다.
도 3은 본 발명의 일 실시예에 따른 애플리케이션의 트래픽 제어 과정을 나타내는 도면이다.
도 3을 참조하면, 네트워크 장치와 서버 간에는 이미 세션이 개설되어 있는 것으로 가정한다. 이를 토대로 트래픽 제어 과정을 전체적으로 설명한다.
310 단계에서 네트워크 장치(301)와 서버(303)는 트래픽 제어 장치(302)를 통해 데이터 패킷을 송수신한다. 데이터 패킷 송수신 중, 320 단계에서 네트워크 장치(301)에 설정된 이벤트가 발생하면, 네트워크 장치(301)는 330 단계에서 프로세스 정보 및 세션 정보를 트래픽 제어 장치(302)로 전송한다. 이때, 네트워크 장치(301)의 구체적인 동작은 도 4를 참조하여 설명한다.
도 4는 본 발명의 일 실시예에 따라 네트워크 장치에서 트래픽 정보 수집 방법을 나타내는 순서도이다.
네트워크 장치(301)는 410 단계에서 설정된 이벤트가 발생되는지 여부를 판단한다. 여기서 이벤트는 과다한 트래픽 유발, 즉 일정 수준 이상의 트래픽이 발생하는 경우를 포함할 수 있다. 또한, 기타 설정된 어떠한 조건을 만족하는 경우를 의미한다. 네트워크 장치(301)는 410 단계에서 설정된 이벤트가 발생된다고 판단하는 경우, 420 단계로 진행하여 프로세스 정보 및 세션 정보를 수집한다. 여기서 프로세스 정보는 애플리케이션을 구성하는 프로세스의 이름을 포함할 수 있고, 세션 정보는 네트워크 프로토콜, 소스 IP, 소스 포트, 목적지 IP, 목적지 포트) 등을 포함할 수 있다. 420 단계에서 수집된 프로세스 정보 및 세션 정보는 430 단계에서 트래픽 제어 장치(302)로 송신되어 트래픽 제어 장치(302)가 애플리케이션을 식별하고 트래픽을 제어하는데 이용될 수 있다.
다시 도 3의 설명으로 돌아가면, 330 단계에서 네트워크 장치(301)로부터 프로세스 정보 및 세션 정보를 수신한 트래픽 제어 장치(302)는 340 단계에서 프로세스 정보를 이용하여 애플리케이션을 식별하고, 350 단계에서 보안 정책 및 애플리케이션과 서버간 통신 여부에 따라 세션을 차단할 수 있다. 이때, 트래픽 제어 장치(302)의 구체적인 동작은 도 5를 참조하여 설명한다.
도 5는 본 발명의 일 실시예에 따라 트래픽 제어 장치에서 트래픽 제어 방법을 나타내는 순서도이다.
아래에서 설명하는 트래픽 제어 방법에서는 트래픽 식별부(231) 및 트래픽 차단부(232)가 수행하는 기능을 제어부(230) 자체가 수행하는 것으로 설명한다.
먼저, 510 단계에서, 제어부(230)는 통신부(210)를 제어하여 네트워크 장치(301)로부터 프로세스 정보 및 세션 정보를 수신한다. 여기서 프로세스 정보는 애플리케이션을 구성하는 프로세스의 이름을 포함할 수 있고, 세션 정보는 네트워크 프로토콜, 소스 IP, 소스 포트, 목적지 IP, 목적지 포트) 등을 포함할 수 있다. 프로세스 정보 및 세션 정보를 수신한 제어부(230)는 520 단계에서 데이터 베이스에 수신한 프로세스 정보와 일치하는 데이터가 존재하는지 여부를 판단한다. 여기서 데이터 베이스는 애플리케이션과 해당 애플리케이션을 구성하는 프로세스 이름, 해당 애플리케이션의 보안 정책 및 패킷 세션 테이블에 대한 데이터 베이스를 포함할 수 있다.
제어부(230)가 520 단계에서 일치하는 데이터가 존재한다고 판단하는 경우, 제어부(230)는 530 단계로 진행하여 수신한 프로세스 정보를 이용하여 애플리케이션을 식별한다. 즉, 제어부(230)는 수신한 프로세스 정보와 일치하는 프로세스를 갖는 애플리케이션을 찾아 어떠한 애플리케이션인지 여부를 식별할 수 있다.
이러한 실시예에 따르면 네트워크 장치(301)로부터 수신한 프로세스 정보를 이용하여 애플리케이션을 식별할 수 있어 적은 CPU 자원으로 애플리케이션을 식별할 수 있다. 또한, 동일한 프로토콜을 이용하는 애플리케이션(예를 들어, HTTP를 사용하는 웹 브라우저, 즉, 인터넷 익스플로러, 크롬, 사파리 등) 트래픽들을 선택적으로 제어 가능하고, 암호화된 트래픽 역시 보다 효율적으로 식별 및 제어 가능하다.
제어부(230)는 540 단계에서 식별한 애플리케이션에 대한 보안 정책이 애플리케이션의 통신을 허용하는지 여부를 판단한다. 제어부(230)는 540 단계에서 식별한 애플리케이션에 대한 보안 정책이 애플리케이션의 통신을 허용하지 않는다고 판단하는 경우 550 단계로 진행하여 510 단계에서 수신한 세션 정보를 기반으로 애플리케이션의 세션이 연결되어 있는지 여부를 판단한다. 여기서 제어부(230)는 식별한 애플리케이션의 세션이 패킷 세션 테이블에 존재하는지 여부로 세션이 연결되어 있는지 여부를 판단할 수 있다.
제어부(230)는 550 단계에서 애플리케이션의 세션이 연결되어 있다고 판단하는 경우, 560 단계로 진행하여 세션을 차단할 수 있다.
제어부(230)가 520 단계에서 데이터 베이스에 수신한 프로세스 정보와 일치하는 데이터가 존재하지 않는다고 판단하여 애플리케이션을 식별할 수 없거나, 540 단계에서 애플리케이션의 보안 정책이 애플리케이션의 통신을 허용하는 경우에는 네트워크 장치(301)와 서버(303) 간의 통신을 그대로 허용할 수 있다. 또한, 제어부(230)가 보안 정책이 애플리케이션의 통신을 허용하지 않는다고 판단하더라도 550 단계에서 식별한 애플리케이션의 세션이 연결되어 있지 않은 경우에는 통신이 이루어지지 않는 상태이므로 추가적인 차단 동작을 수행하지 않을 수도 있다.
위에서 설명한 것과 같이 본 발명의 실시예에 따른 트래픽 제어 방법은 애플리케이션을 식별하여 트래픽을 제어함에 있어, 패킷의 데이터에 대한 패턴 매칭을 수행하지 않고, 프로세스 정보 및 세션 정보를 이용하여 애플리케이션을 식별하고 식별한 애플리케이션의 트래픽을 제어함으로써 보다 효율적인 트래픽 제어를 수행할 수 있다.
본 명세서와 도면에 개시된 본 발명의 실시예들은 본 발명의 기술 내용을 쉽게 설명하고 본 발명의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.
210: 통신부
220: 저장부
230: 제어부
231: 트래픽 식별부
232: 트래픽 차단부

Claims (12)

  1. 트래픽 제어 방법에 있어서,
    프로세스 정보 및 세션 정보를 수신하는 단계;
    상기 프로세스 정보를 이용하여 애플리케이션을 식별하는 단계; 및
    상기 식별한 애플리케이션의 트래픽을 제어하는 단계를 포함하고,
    상기 프로세스 정보는 상기 애플리케이션을 구성하는 프로세스의 이름을 포함하는 것을 특징으로 하는 방법.
  2. 삭제
  3. 제1항에 있어서,
    상기 애플리케이션을 식별하는 단계는,
    상기 프로세스 이름과 데이터 베이스를 비교하여 상기 데이터 베이스에 상기 프로세스 이름이 있는지 여부로 식별하는 것을 특징으로 하는 방법.
  4. 제1항에 있어서,
    상기 트래픽을 제어하는 단계는,
    상기 애플리케이션에 대한 보안 정책 및 상기 세션 정보를 이용하여 상기 애플리케이션을 제어하는 단계를 포함하는 것을 특징으로 하는 방법.
  5. 제4항에 있어서,
    상기 트래픽을 제어하는 단계는,
    상기 애플리케이션에 대한 보안 정책이 상기 애플리케이션을 허용하는지 여부를 판단하는 단계;
    상기 애플리케이션에 대한 보안 정책이 상기 애플리케이션을 허용하지 않는 경우, 상기 세션 정보를 기반으로 상기 애플리케이션의 세션이 연결되어 있는지 여부를 판단하는 단계; 및
    상기 애플리케이션의 세션이 연결되어 있는 경우, 상기 애플리케이션의 세션을 차단하는 단계를 포함하는 것을 특징으로 하는 방법.
  6. 제5항에 있어서,
    상기 세션이 연결되어 있는지 여부를 판단하는 단계는,
    상기 애플리케이션의 세션이 패킷 세션 테이블에 존재하는지 여부를 판단하는 것을 특징으로 하는 방법.
  7. 트래픽 제어 장치에 있어서,
    프로세스 정보 및 세션 정보를 수신하는 통신부;
    상기 프로세스 정보를 이용하여 애플리케이션을 식별하는 트래픽 식별부; 및
    상기 식별한 애플리케이션의 트래픽을 제어하는 트래픽 차단부를 포함하고,
    상기 프로세스 정보는 상기 애플리케이션을 구성하는 프로세스의 이름을 포함하는 것을 특징으로 하는 장치.
  8. 삭제
  9. 제7항에 있어서,
    상기 트래픽 식별부는,
    상기 애플리케이션을 식별 시, 상기 프로세스 이름과 데이터 베이스를 비교하여 상기 데이터 베이스에 상기 프로세스 이름이 있는지 여부로 식별하는 것을 특징으로 하는 장치.
  10. 제7항에 있어서,
    상기 트래픽 차단부는,
    상기 트래픽을 제어 시, 상기 애플리케이션에 대한 보안 정책 및 상기 세션 정보를 이용하여 상기 애플리케이션을 제어하는 것을 특징으로 하는 장치.
  11. 제10항에 있어서,
    상기 트래픽 차단부는,
    상기 트래픽을 제어 시, 상기 애플리케이션에 대한 보안 정책이 상기 애플리케이션을 허용하는지 여부를 판단하고, 상기 애플리케이션에 대한 보안 정책이 상기 애플리케이션을 허용하지 않는 경우 상기 세션 정보를 기반으로 상기 애플리케이션의 세션이 연결되어 있는지 여부를 판단하며, 상기 애플리케이션의 세션이 연결되어 있는 경우, 상기 애플리케이션의 세션을 차단하는 것을 특징으로 하는 장치.
  12. 제11항에 있어서,
    상기 트래픽 차단부는,
    상기 세션이 연결되어 있는지 여부를 판단 시, 상기 애플리케이션의 세션이 패킷 세션 테이블에 존재하는지 여부를 판단하는 것을 특징으로 하는 장치.
KR20130015913A 2013-02-14 2013-02-14 트래픽 제어 방법 및 장치 KR101490227B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20130015913A KR101490227B1 (ko) 2013-02-14 2013-02-14 트래픽 제어 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20130015913A KR101490227B1 (ko) 2013-02-14 2013-02-14 트래픽 제어 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20140102502A KR20140102502A (ko) 2014-08-22
KR101490227B1 true KR101490227B1 (ko) 2015-02-05

Family

ID=51747287

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20130015913A KR101490227B1 (ko) 2013-02-14 2013-02-14 트래픽 제어 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101490227B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102379721B1 (ko) * 2021-09-03 2022-03-29 프라이빗테크놀로지 주식회사 Tcp 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101189262B1 (ko) * 2005-06-30 2012-10-09 오라클 인터내셔날 코포레이션 네트워크에서 통신 세션을 관리하는 시스템 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101189262B1 (ko) * 2005-06-30 2012-10-09 오라클 인터내셔날 코포레이션 네트워크에서 통신 세션을 관리하는 시스템 및 방법

Also Published As

Publication number Publication date
KR20140102502A (ko) 2014-08-22

Similar Documents

Publication Publication Date Title
US11552954B2 (en) Private cloud control
US11496387B2 (en) Auto re-segmentation to assign new applications in a microsegmented network
CN110311929B (zh) 一种访问控制方法、装置及电子设备和存储介质
EP2973160B1 (en) System and method for secure application communication between networked processors
US11165805B2 (en) Guard system for automatic network flow controls for internet of things (IoT) devices
US20140020067A1 (en) Apparatus and method for controlling traffic based on captcha
US11792194B2 (en) Microsegmentation for serverless computing
US9444830B2 (en) Web server/web application server security management apparatus and method
US10348687B2 (en) Method and apparatus for using software defined networking and network function virtualization to secure residential networks
US20140122716A1 (en) Virtual private network access control
US10397225B2 (en) System and method for network access control
US20220201041A1 (en) Administrative policy override in microsegmentation
CN110557358A (zh) 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置
US11588859B2 (en) Identity-based enforcement of network communication in serverless workloads
CN109302397B (zh) 一种网络安全管理方法、平台和计算机可读存储介质
US11381446B2 (en) Automatic segment naming in microsegmentation
CN115996122A (zh) 访问控制方法、装置及系统
KR101087291B1 (ko) 인터넷을 사용하는 모든 단말을 구분하는 방법 및 시스템
KR101772681B1 (ko) 방화벽 장치 및 그의 구동방법
CN108040124B (zh) 基于DNS-Over-HTTP协议的控制移动端应用的方法及装置
KR101490227B1 (ko) 트래픽 제어 방법 및 장치
CN105827427B (zh) 一种信息处理方法及电子设备
KR101812732B1 (ko) 보안 장치 및 이의 동작 방법
WO2018014555A1 (zh) 数据传输控制方法及装置
CN108632090B (zh) 网络管理方法及系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190103

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20200102

Year of fee payment: 6